CN102918801A

CN102918801A - 将网络流量策略应用于应用会话的系统和方法

Info

Publication number: CN102918801A
Application number: CN2011800260751A
Authority: CN
Inventors: 陈澧; 常约翰; 丹尼斯·奥什巴
Original assignee: A10 Networks Inc
Current assignee: A10 Networks Inc
Priority date: 2010-05-27
Filing date: 2011-05-20
Publication date: 2013-02-06
Anticipated expiration: 2031-05-20
Also published as: US20160119382A1; US10305859B2; US8595791B1; WO2011149796A3; US20160050233A1; EP2577910A2; CN102918801B; US9661026B2; US20100235880A1; EP2577910B1; JP5946189B2; WO2011149796A2; US20170041350A1; EP2577910A4; US9219751B1; US9350744B2; US20160105446A1; US8813180B1; US20170289106A1; US9497201B2

Abstract

一种用于将安全策略应用于应用会话的方法，包括：经由安全网关识别在网络与应用之间的应用会话；通过安全网关利用关于应用会话的信息确定应用会话的用户标识；通过安全网关获得包括被映射至用户标识的网络参数的安全策略；以及通过安全网关将安全策略应用于应用会话。用户标识可以是根据应用会话的包识别的网络用户标识或应用用户标识。安全策略可包括被映射至用户标识的网络流量策略和/或被映射至用户标识的文档访问策略，其中网络流量策略被应用于应用会话。安全网关可进一步生成关于对应用会话应用安全策略的安全报告。

Description

将网络流量策略应用于应用会话的系统和方法

技术领域

此发明总体上涉及数据网络，更具体地，涉及在应用会话过程中应用基于用户标识的网络流量策略的系统和方法。

背景技术

公司的保密数据网络对于日复一日的公司业务活动的运行而言是一个关键部分。公司员工为了在公司内部的通信以及与外部世界的通信而访问安全数据网络。在通信过程中，交换往往是专有的或保密的公司信息。

通常，员工借助于使用私人用户标识（诸如，用户名“Robert P.Williamson”或员工编号“NG01-60410”）的网络登录程序获得对公司的安全数据网络的访问。利用公司办公室应用（诸如，电子邮件、文件传送或文档控制）的随后的信息交换基于私人用户标识通过网络事件日志是可追踪的。

自从20世纪90年代末，我们已见证了公共通信应用和服务（诸如，雅虎（Yahoo^TM）、美国在线（America Online^TM）（AOL）或谷歌（Google^TM）提供的电子邮件和即时通信、WebEx^TM或Centra^TM提供的会议和协作服务、或者针对各种文件共享的点对点服务）的显著上升的流行。通常，公共通信服务允许用户通过利用公共用户标识（诸如，“butterdragon”、“fingernail1984”或“peterrabbit”）的消息、文字聊天或文档交换来交换信息。

然而，在公司设定中，当员工通过公司的安全数据网络用公共用户标识连接至公共信息服务时，由于公共用户标识并不与私人用户标识绑定，所以信息交换根本不容易追踪。

在一个实例中，公司的信息技术（IT）部门注意到，员工Victor已利用公司的电子邮件系统发送出了专有文档，违反了公司的保密政策。在向Victor发出警告后，IT部门没再发现其他违反。不幸地，他们未意识到这种情况，即，Vitor利用雅虎（Yahoo^TM）电子邮件通过公共用户标识“PiratesOfCaribbeanYahoo”继续这种活动。

在另一实例中，在重要的贸易展览之前的两周，公司采取安全措施以监控经理级以上的员工的通信活动以确保竞争信息的机密性。然而，涵盖公司邮件、电话会议以及语音消息的这种安全措施证明是失败的，因为敏感信息在贸易展览之前以任何方式泄露给商业记者。可能无法确定泄露的源头，但商业记者私下披露他利用昵称为“opensecret2006”的AOL即时通信（AOL Instant Messaging^TM）从公司的匿名员工得到该信息。

上面的讨论示出了需要安全性解决方案来将用户标识与公共应用相关联。

发明内容

一种用于将安全策略应用于应用会话的方法包括：经由安全网关识别在网络与应用之间的应用会话；通过安全网关利用关于应用会话的信息确定应用会话的用户标识；通过安全网关获得包括被映射至用户标识的网络参数的安全策略；以及通过安全网关将安全策略应用于应用会话。用户标识可以是根据应用会话的包识别的网络用户标识或应用用户标识。安全策略可包括被映射至用户标识的网络流量策略和/或被映射至用户标识的文档访问策略，其中网络流量策略被应用于应用会话。安全网关可进一步生成关于对应用会话应用安全策略的安全报告。

附图说明

图1a示出了安全网络。

图1b示出了访问会话和应用会话。

图1c示出了访问会话记录和应用会话记录。

图2示出了生成应用会话记录的处理。

图3示出了识别应用会话的处理。

图4a示出了确定应用会话的公共用户标识的处理。

图4b示出了在AIM登录包中的数据包。

图5示出了确定私人用户标识的处理。

图6示出了通过查询企业目录来获得安全策略的安全网关的实施方式。

图7示出了包括安全控制的安全策略。

图8示出了网络流量策略的多个实施方式。

具体实施方式

图1a示出了安全网络。

安全网络160包括主机130。用户120使用主机130来访问位于应用服务器190中的公共应用180。应用服务器190在安全网络160的外部。主机130与应用服务器190之间的网络流量通过安全网关150。安全网关150操作地耦接至处理器171和计算机可读介质172。计算机可读介质172存储用于实现如本文所描述的本发明的各种实施方式的计算机可读程序代码。

主机130是具有网络访问能力的计算装置。主机130操作地耦接至处理器173和计算机可读介质174。计算机可读介质174存储用于实现如本文所描述的本发明的各种实施方式的计算机可读程序代码。在一个实施方式中，主机130是工作站、台式个人计算机或膝上型个人计算机。在一个实施方式中，主机130是个人数字助理（PDA）、智能电话或移动电话。

在一个实施方式中，安全网络160是因特网协议（IP）网络。在一个实施方式中，安全网络160是企业数据网络或地区企业数据网络（regionalcorporate data network）。在一个实施方式中，安全网络160是因特网服务供应商网络。在一个实施方式中，安全网络160是住宅数据网络。在一个实施方式中，安全网络160包括诸如以太网的有线网络。在一个实施方式中，安全网络160包括诸如WiFi网络的无线网络。

公共应用180提供了允许用户120以实时方式与其他用户通信的服务。在一个实施方式中，该服务包括文字聊天。在一个实施方式中，该服务包括语音电话或视频电话。在一个实施方式中，该服务包括网络游戏。在一个实施方式中，该服务包括交换文档，诸如，发送或接收文本文档，PowerPoint^TM报告、Excel^TM数据表、图像文件、音乐文件或视频剪辑。在一个实施方式中，该服务包括诸如创建文档、商业计划以及协议的协作的文档处理，其中用户120与其他用户以实时方式协作。在一个实施方式中，该服务包括诸如电话会议的协作信息交换。在一个实施方式中，该服务是社交网络服务。在一个实施方式中，该服务包括实时协作和非实时协作。

在一个实例中，公共应用180提供美国在线即时信使（America OnlineInstant Messenger^TM）服务。在一个实施方式中，公共应用180提供雅虎即时信使（Yahoo Instant Messenger^TM）语音服务。在一个实施方式中，公共应用180提供诸如Kazaa^TM文件共享服务的文件共享服务。在一个实施方式中，公共应用180提供诸如Microsoft^TM网络游戏服务的网络游戏服务。在一个实施方式中，公共应用180提供诸如Google Docs^TM、Salesforce.com^TM的在线协作文档处理。在一个实施方式中，公共应用180提供诸如WebEx^TM的在线信息交换与通信。在一个实施方式中，公共应用180提供诸如现场视频流、现场音频流以及即时图片上传的现场信息流。

安全网关150位于安全网络160的边缘。安全网关150将安全网络160连接至公共应用180。安全网关150从安全网络160接收网络流量并且将网络流量传输至应用服务器190。同样，安全网关150从应用服务器190接收网络流量并且将该网络流量传输至安全网络160。

在一个实施方式中，安全网关150包括企业广域网（WAN）网关的功能。在一个实施方式中，安全网关150包括住宅宽带网关。在一个实施方式中，安全网关150包括用于因特网服务供应商的WAN网关的功能。

图1b示出了访问会话和应用会话。

用户120使用主机130，以在访问会话162过程中访问安全网络160。

主机130具有主机标识134。主机130使用主机标识134以连接至安全网络160。在一个实施方式中，主机标识134包括IP地址。在一个实施方式中，主机标识134包括介质访问控制层（MAC）地址。

在安全网络160内，用户120具有私人用户标识124。在一个实施方式中，私人用户标识124是员工编号或员工姓名。在一个实施方式中，私人用户标识124是因特网服务订阅标识。在一个实施方式中，访问会话162在使用私人用户标识124对于安全网络160成功的网络用户登录程序（诸如，员工网络登录）之后被建立。私人用户标识124与主机标识134相关联。在一个实施方式中，主机130是客户计算装置。私人用户标识124与连接了主机130的以太网交换端口相关联。在此实施方式中，私人用户标识124是端口号、因特网接口标识或以太网VLAN标识。

用户120使用主机130以在应用会话182中访问公共应用180。用户120在应用会话182过程中使用公共用户标识127。在一个实施方式中，公共应用180提示用户120在建立应用会话182之前登录。在应用用户登录程序过程中，用户120向公共应用180提供公共用户标识127。在另一实施方式中，公共应用180选择应用会话182的用户120的公共用户标识127。在一个实施方式中，公共用户标识127通过用户注册处理或服务订阅处理来建立。在应用会话182中的网络流量通过安全网关150。

图1c示出了访问会话记录和应用会话记录。

服务会话记录164记录关于访问会话162的信息。该信息包括私人用户标识124、主机标识134以及访问会话时间166。在一个实施方式中，访问会话时间166是当访问会话162建立时的开始时间。在一个实施方式中，访问会话时间166包括开始时间和当用户120完成访问会话162时的结束时间。在一个实施方式中，访问会话时间166是在访问会话162过程中的时间的时间戳。

应用会话记录184记录关于应用会话182的信息。该信息包括私人用户标识124、公共用户标识127以及应用会话时间186。在一个实施方式中，该信息还包括主机标识134。在一个实施方式中，应用会话时间186包括当应用会话182建立时的开始时间。在一个实施方式中，应用会话时间186包括在应用会话182过程中的时间戳。在一个实施方式中，应用会话时间186包括当安全网关150识别应用会话182时的时间戳。

图2示出了生成应用会话记录的处理。

生成应用会话记录184的处理包括多个步骤。

在步骤201中，安全网关150识别应用会话。

在步骤201中，安全网关150确定应用会话的公共用户标识。

在步骤203中，安全网关150使用关于应用会话的信息确定私人用户标识。

图3至图5分别示出了步骤201至步骤203。

图3示出了识别应用会话的处理。

安全网关150检查主机130与应用服务器190之间的网络流量，以识别公共应用180的应用会话182。

在一个实施方式中，安全网关150为了识别应用会话182检查主机130与应用服务器190之间的数据包339。

安全网关150包括公共应用180的应用标识符。应用标识符355包括用于识别应用会话182的信息。在一个实施方式中，应用标识符355包括传输层信息，诸如，传输控制协议（TCP）或用户图表协议（UDP）；以及至少一个传输端口号，诸如，TCP端口号或UDP端口号。在一个实施方式中，应用标识符355包括应用层信息，诸如，一个或多个数据滤波器，其中数据滤波器规定了在数据包中的值和该值的位置。在一个实例中，数据滤波器是[具有值“0x52”的字节0]。在一个实例中，数字滤波器是[具有ASCII值“ADEH”的字节4-7]。

安全网关150对照应用标识符355来匹配数据包339。

在一个实施方式中，应用标识符355包括传输协议类型TCP以及目的地TCP端口号5190，该TCP端口号被AIM协议所使用。在此实施方式中，数据包339是从主机130至应用服务器190的TCP数据包。安全网关150对照应用标识符355来确定数据包339并且确定公共应用180提供AIM服务。

安全网关150创建应用会话记录184。安全网关150从数据包339的IP报头提取源IP地址，并且将源IP地址存储为主机标识134。在一个实施方式中，数据包339包括链路层信息，诸如源MAC地址；安全网关150提取并存储源MAC地址作为主机标识134。

在一个实施方式中，安全网关150连接至时钟359。时钟359表示当前时刻。安全网关150以应用会话时间186存储时钟359所表示的时刻。

图4a示出了确定应用会话182的公共用户标识的处理。

用于确定公共用户标识127的方法通常专用于公共应用180。在一个实施方式中，数据包339是应用包。例如，公共应用180提供AIM服务；数据包339是AIM包

AIM包包括多个字段，例如，

命令开始字段是在具有固定的十六进制值“0x02”的0字节偏移处开始的1个字节的数据字段；

信道ID字段是在1字节偏移处开始的1个字节的数据字段；

序列号字段是在2字节偏移处开始的2字节的整数；

数据字段长度字段是在4字节偏移处开始的2字节的数据字段；

族（family）字段是在6字节偏移处开始的2字节的数据字段；以及

图表类型（subtype）字段是在8字节偏移处开始的2字节的数据字段。

AIM登录包是包括具有固定的十六进制值“0x000x17”的族字段和具有固定的十六进制值“0x00 0x06”的图表类型字段的AIM包。

AIM登录包还包括好友姓名长度字段、在19字节偏移处开始的1个字节的整数以及在20字节偏移处开始的可变长度好友姓名字段。好友姓名长度字段表示好友姓名字段的以字节计的长度。

安全网关150与数据包339匹配以确定数据包339是否是AIM登录包。在一个实施方式中，数据包339是在图4b中示出的AIM登录包400。安全网关150提取好友姓名长度字段405。安全网关150还提取好友姓名字段407。在此实施方式中，好友姓名长度字段405是整数“13”并且好友姓名字段407是“JohnSmith1984”。安全网关150将“JohnSmith1984”作为公共用户标识124存储在应用会话记录184中。

在一个实施方式中，数据包339不是AIM登录包。安全网关150检查来自主机130的另一数据包。

图5示出了确定私人用户标识的处理。

安全网络160包括标识服务器570。标识服务器150操作地耦接至处理器581和计算机可读介质582。该计算机可读介质582存储用于实现如在本文中所描述的本发明的各种实施方式的计算机可读程序代码。标识服务器570包括访问会话162的访问会话记录164，在该访问会话过程中用户120访问应用会话182。

安全网关150查询标识服务器570。安全网关150将主机标识134和应用会话时间186发送至标识服务器570。

标识服务器570接收主机标识134和应用会话时间186。标识服务器570对照访问会话记录164来匹配主机标识134和应用会话时间186。标识服务器570确定主机标识134与访问会话记录164的主机标识相匹配。标识服务器570还确定由于应用会话时间186在访问会话记录164的开始时间与结束时间之间所以应用会话时间186与访问会话记录164的访问会话时间166相匹配。标识服务器570将访问会话记录164的私人用户标识124发送至安全网关以作为对查询的响应。

安全网关150从标识服务器570接收私人用户标识124，并且将私人用户标识124存储在应用会话记录184中。

在一个实施方式中，安全网关150在从公共应用180识别出用于公共用户标识127的登录批准指示之后将公共用户标识127存储在应用会话记录184中。

在一个实施方式中，安全网关150在确定了公共用户标识127之后立刻查询标识服务器570。在一个实施方式中，安全网关150在应用会话182结束之后查询标识服务器570。

在一个实施方式中，安全网关150以批请求方式通过发送多个主机标识来查询标识服务器570；并且以批响应方式接收多个私人用户标识。

在一个实施方式中，应用会话记录184包括与私人用户标识124相关联的附加用户信息，诸如，房间或办公室编号、房间或办公室位置、电话号码、电子邮件地址、信箱位置、部门名称/标识或经理姓名。

在一个实施方式中，安全网关150从标识服务器570获得附加用户信息。在一个实施方式中，安全网关150通过利用从标识服务器570接收的私人用户标识124通过查询不同的服务器（诸如，企业目录服务器）来获得附加用户信息。

在一个实施方式中，公共应用180利用文件传输协议（FTP）协议或专有协议来提供文件传输服务。在一个实施方式中，公共应用180利用简单邮件传输协议（SMTP）、因特网消息存取协议（IMAP）或邮局协议版本3（POP3）协议来提供电子邮件服务。

通过利用应用会话记录，可确定应用会话182的私人用户标识124和公共用户标识127。在如图6所示的一个实施方式中，一旦确定了公共用户标识和私人用户标识，则安全网关150通过查询企业目录470获得应用会话182的安全策略402。在一实施方式中，企业目录470包括安全策略402。在一个实施方式中，企业目录470是具有包括安全策略402的存储器601的服务器计算机。在一个实施方式中，企业目录470是包括安全策略402的数据库。在另一实施方式中，企业目录470是在计算机中运行的具有被存储在计算机可读介质（未示出）上的程序代码的软件模块。在一个实施方式中，企业目录470位于标识服务器570中。在一个实施方式中，企业目录470使用目录技术，诸如，微软活动目录（Microsoft ActiveDirectory^TM）、轻量级目录访问协议（LDAP）目录服务、网络服务、使用Java^TM技术的目录服务。在一个实施方式中，企业目录470包括主控（host）安全策略402和其他策略的策略服务器。

安全网关150查询企业目录470以获得安全策略，其中该查询包括用户标识424。用户标识424可包括私人用户标识124或公共用户标识127。企业目录470对照安全策略402来匹配用户标识424并且确定安全策略402适用于用户标识424。在一个实施方式中，安全策略402将网络参数映射至用户标识并且在用户标识424与安全策略402中的用户标识之间存在匹配。在一个实施方式中，安全策略402将网络参数映射至标识组（未示出）并且用户标识424是标识组的一员。响应于找到用户标识424与在安全策略402中的用户标识之间的匹配，企业目录470将安全策略402发送至安全网关150。

在一个实施方式中，安全网关150基于应用会话记录184和安全策略402生成安全报告475。在一个实施方式中，安全网关150基于预定的用户标识或预定的用户标识列表来生成安全报告475。例如，安全报告可基于用户标识或多个用户标识的输入来生成。在一个实施方式中，安全网关150基于预定义的进度表或当操作者要求时生成安全报告475。

在一个实施方式中，安全策略402包括如图7中所示的安全控制功能。安全网关150响应于对应用会话182的查询而应用从企业目录470接收的安全策略402。安全策略402通常由公司构建，以防止不合法地访问公司机密文档并且防止不合法地使用对公司运转很重要的公司安全网络160。在一个实施方式中，响应于接收安全策略402，安全网关150确认所接收的安全策略402包含与在查询中所发送的用户标识424相匹配的用户标识。响应于该确认，安全网关475将安全策略402应用于应用会话182。在图7中，安全策略402包括网络流量策略451或文档访问策略453。

图8示出了网络流量策略451的多个实施方式。在一个实施方式中，网络流量策略451规定了基于网络的应用会话访问控制，其表示用户标识424是否被拒绝或允许继续应用会话182。如果被拒绝，则安全网关150可停止转发应用会话182的数据包439。在一个实施方式中，网络策略451规定带宽速率容量，诸如，1Mbps、每日100MB或每月5GB。在一实施方式中，带宽速率容量以包来测量，诸如，每秒100包，每天1万包或每月4百万包。在一个实施方式中，网络流量策略451规定映射至应用会话182的用户标识424的服务质量（QOS）。例如，网络流量策略451表示标记在应用会话182的数据包中的差分服务代码点（DSCP）的改变。在一个实施方式中，网络流量策略451规定了排队延迟、排队优先权、包转发路径、链路接口偏好、服务器负载平衡偏好、包路由策略或处理应用会话182的数据包439的其他控制。

在一个实施方式中，网络流量策略451包括流量整形控制。在一个实例中，流量整形控制规定了诸如窗口段尺寸的变化的TCP属性，或TCP窗口调节。

在一个实施方式中，网络流量策略451表示基于规定速率或容量（诸如，每秒10个会话连接、35个并发会话、午餐期间的100个会话、一天500个会话、一天24个语音会话或一小时75个文件传输会话）的用户标识424的会话连接速率控制。在一个实施方式中，网络流量策略451可规定，当超出速率或容量时，是否拒绝应用会话182或丢弃应用会话182的数据包439。

在一个实施方式中，网络流量策略451包括映射至用户标识424的应用会话更改控制，规定如何对于具有用户标识424的用户更改应用会话182的数据包439。在一个实例中，应用会话更改控制规定安全网关150应对用户标识424的应用会话182执行网络地址转换（NAT）。在一个实例中，安全网关150应利用用户标识424的预定端口号来对应用会话182执行端口地址转换（PAT）。在另一实例中，在应用会话182是HTTP会话的情况下以及在应用会话182的数据包439中的统一资源定位符（URL）与用户标识424的预定URL相匹配的情况下，安全网关150应执行内容替换。在一个实例中，在应用会话182是文件传输会话的情况下以及在用户标识424的应用会话182的数据包439中发现与预定文件名匹配的文件名的情况下，安全网关150应执行文件名替换。在另一实例中，在应用会话182是可选地具有与URL的预定POST或GET请求匹配的数据包439的HTTP会话的情况下，安全网关150应插入用户标识424的信息片段（cookie）。

再参照图7，在一个实施方式中，文件访问策略453规定了是否允许或拒绝对文档447的访问。在一个实施方式中，文档447包括文件、商业协议、合同、电子数据表、演示、绘画、文本文件、手册、程序、软件程序的片段、设计、产品说明书、数据表、视频文件、音频文件、电子邮件、语音邮件、传真、文档的影印或任何商业文档。在一个实施方式中，文档447包括导向诸如数据库查询结果的数字信息的URL、网页、视频或一段音乐。在一个实施方式中，文档447包括信息的实时传输或信息流，诸如视频流、音频流、网络播放、播客（podcast）、视频展示、电话会议会话或电话。在一个实施方式中，文档访问策略453包括文档标识443和文档用户标识444。文档标识443识别文档447。文档用户标识444识别对文档447的访问受文档访问策略453的影响的用户。在一个实施方式中，安全网关150将用户标识424与文档用户标识444相比较。在一个实施方式中，响应于确定出用户标识424与文档用户标识444相匹配，安全网关150允许具有文档标识443的文档447被用户标识424访问。在另一实施方式中，安全网关150拒绝对具有文档标识443的文档447的访问。在拒绝访问的过程中，安全网关150可断开应用会话182或丢弃数据包439。在一个实施方式中，安全网关150确定数据包439包括文档标识443。响应于确认出数据包439包括文档标识443，安全网关150应用文档访问策略453。

在一个实施方式中，安全策略402包括时间457，其中安全策略402在时间457内是可应用的。在一个实施方式中，时间457表示开始时间，诸如，上午8点、下午4点、午夜。在一个实施方式中，时间457表示时间范围，诸如，上午8点至上午10点、下午7点至上午5点、早晨的时间、午餐时、高峰时段、黄金时间。安全网关150将时钟359与时间457相比较并且确定是否可应用安全策略402。

在一个实施方式中，在安全网关150确定了安全策略402是否可应用于用户标识424的应用会话182时，安全网关150生成安全消息472。在一个实施方式中，当安全网关150将安全策略402应用于应用会话182时，安全网关生成安全消息472。在一个实施方式中，安全报告475包括安全消息472。在一个实例中，安全消息472包括安全策略402和用户标识424。在一个实例中，安全消息472包括安全网关150利用安全策略402应用于应用会话182的操作。

本发明可采用完全是硬件的实施方式、完全是软件的实施方式或包含硬件和软件要素的实施方式的形式。在优选实施方式中，本发明可以软件实现，其包括但不限于固件、常驻软件、微代码等。

此外，本发明可采用可从计算机可用或计算机可读的介质（其提供由计算机或任意指令执行系统使用或与其相关的程序代码）得到的计算机程序产品的形式。对于此描述的目的，计算机可用的或计算机可读的介质可以是能获得、存储、通信、传播或传送被指令执行系统、设备或装置使用或与指令执行系统、设备或装置相关的程序的任何设备。

该介质可以是电子的、磁的、光的、电磁的、红外的或半导体系统（或设备或装置）或传播介质。计算机可读介质的实例包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器（RAM）、只读存储器（ROM）、硬磁盘以及光盘。目前的光盘的实例包括只读光盘存储器（CD-ROM）、读/写光盘（CD-R/W）以及DVD。

适合存储和/或执行程序代码的数据处理系统将包括通过系统总线被直接或间接耦接至存储元件的至少一个处理器。存储元件可包括在程序代码的实际执行过程中所采用的本地存储器、大容量存储器以及为了降低在执行过程中必须从大容量存储器得到代码的次数而提供至少一些程序代码的暂时存储的高速缓冲存储器。

输入/输出或I/O装置（包括但不限于键盘、显示器、指示设备等）可直接或通过中间I/O控制器而耦接至该系统。

网络适配器也可被耦接至该系统，以使数据处理系统能够通过中间的私人或公共网络耦接至其他数据处理系统或远程打印机或存储装置。调制解调器、光缆调制解调器以及以太网卡只是网络适配器的几个当前可用类型。

提供了本发明的前述实施方式作为图示和描述。它们并不旨在将发明限制于所描述的确切形式。具体地，可设想，本文所描述的发明的功能实现可以硬件、软件、固件和/或其他可用功能组件或结构模块等价地实现，并且网络可以是有线的、无线的或有线与无线的结合。根据上述教导，可存在其他变形和实施方式，因此意味着本发明的范围并不受限于本文详细的描述，而是受所附权利要求的限制。

Claims

1.一种对应用会话应用安全策略的方法，包括：

（a）经由安全网关识别在网络与应用之间的所述应用会话；

（b）通过所述安全网关利用关于所述应用会话的信息确定所述应用会话的用户标识；

（c）通过所述安全网关获得包括被映射至所述用户标识的网络参数的所述安全策略；以及

（d）通过所述安全网关将所述安全策略应用于所述应用会话。

2.根据权利要求1所述的方法，其中，所述确定（b）包括：

（b1）根据所述应用会话的应用会话记录来确定所述用户标识，其中，所述应用会话记录包括用于通过主机访问所述网络的所述用户标识、所述主机的主机标识以及应用会话时间。

3.根据权利要求2所述的方法，其中，所述应用会话记录的创建包括：

（b1i）通过发送在所述应用会话记录中的所述主机标识和所述应用会话时间来查询标识服务器，其中，所述标识服务器包括在第二主机与所述网络之间的访问会话的访问会话记录，其中，所述访问会话记录包括用于通过所述第二主机访问所述网络的第二用户标识、所述第二主机的第二主机标识以及访问会话时间；

（b1ii）通过所述标识服务器将在所述应用会话记录中的所述主机标识与在所述访问会话记录中的所述第二主机标识相比较，并且将所述访问会话时间与所述应用会话时间相比较；

（b1iii）通过所述标识服务器返回在所述访问会话记录中的所述第二用户标识、在所述应用会话记录中的所述主机标识是否与在所述访问会话记录中的所述第二主机标识相匹配、以及所述访问会话时间是否与所述应用会话时间相匹配；以及

（b1iv）将所述第二用户标识作为用于访问所述网络的网络用户标识存储在所述应用会话记录中。

4.根据权利要求1所述的方法，其中，所述用户标识包括用于访问所述网络的网络用户标识。

5.根据权利要求1所述的方法，其中，所述用户标识包括用于访问所述应用的用户标识，其中，根据所述应用会话的包来识别所述用户标识。

6.根据权利要求1所述的方法，其中，所述获得（c）和应用（d）包括：

（c1）获得包括被映射至所述用户标识的网络流量策略的所述安全策略；以及

（d1）将所述网络流量策略应用于所述应用会话。

7.根据权利要求6所述的方法，其中，所述网络流量策略包括下列中的一个或多个：

针对所述应用会话的包更改控制；

流量整形控制；

表示所述用户标识是否被拒绝或被允许继续所述应用会话的应用会话访问控制；以及

带宽控制。

8.根据权利要求7所述的方法，其中，针对所述应用会话的包更改控制包括下列中的一个或多个：

对所述应用会话执行网络地址转换；

利用预定端口号对所述应用会话执行端口地址转换；

在所述应用会话是超文本传输协议（HTTP）的情况下以及在所述应用会话的数据包中的统一资源定位符（URL）与预定URL相匹配的情况下，执行内容替代；

在所述应用会话是文件传输会话的情况下以及在所述应用会话的数据包中被找到与预定文件名匹配的文件名的情况下，执行文件名替代；以及

在所述应用会话是HTTP会话的情况下，插入用于所述用户标识的用户的信息片段。

9.根据权利要求7所述的方法，其中，所述流量整形控制包括下列中的一个或多个：

改变窗口段尺寸；以及

调节传输控制协议（TCP）窗口。

10.根据权利要求6所述的方法，其中，所述网络流量策略包括连接速率控制。

11.根据权利要求6所述的方法，其中，所述网络流量策略包括服务器负载平衡偏好。

12.根据权利要求6所述的方法，其中，所述网络流量策略包括服务质量。

13.根据权利要求12所述的方法，其中，所述服务质量表示标记在所述应用会话的数据包中的差分服务代码点（DSCP）的变化。

14.根据权利要求1所述的方法，其中，所述获得（c）和应用（d）包括：

（c1）获得包括被映射至所述用户标识的文档访问策略的所述安全策略；以及

（d1）将所述文档访问策略应用于所述应用会话。

15.根据权利要求14所述的方法，其中，所述文档访问策略包括文档标识和文档用户标识，其中所述施加（d1）包括：

（d1i）将所述用户标识与所述文档用户标识相比较；以及

（d1ii）响应于确定出所述用户标识与所述文档用户标识相匹配，允许通过所述用户标识访问具有所述文档标识的文档。

16.根据权利要求1所述的方法，还包括：

（e）生成关于所述安全策略对所述应用会话的应用的安全报告。

17.一种用于对应用会话应用安全策略的计算机程序产品，所述计算机程序产品包括：

具有在其中实施的计算机可读程序代码的计算机可读存储介质，所述计算机可读程序代码被配置为：

经由安全网关来识别在网络与应用之间的所述应用会话；

利用关于所述应用会话的信息来确定所述应用会话的用户标识；

获得包括被映射至所述用户标识的网络参数的所述安全策略；以及

将所述安全策略应用于所述应用会话。

18.根据权利要求17所述的计算机程序产品，其中，所述用户标识包括用于访问所述网络的网络用户标识。

19.根据权利要求17所述的计算机程序产品，其中，所述用户标识包括用于访问所述应用的用户标识，其中所述用户标识根据所述应用会话的包来识别。

20.根据权利要求17所述的计算机程序产品，其中，被配置为获得包括被映射至所述用户标识的网络参数的所述安全策略并且将所述安全策略应用于所述应用会话的所述计算机可读程序代码被进一步配置为：

获得包括被映射至所述用户识别的网络流量策略的所述安全策略；以及

将所述网络流量策略应用于所述应用会话。

21.根据权利要求17所述的计算机程序产品，其中，被配置为获得包括被映射至所述用户标识的网络参数的所述安全策略并且将所述安全策略应用于所述应用会话的所述计算机可读程序代码被进一步配置为：

获得包括被映射至所述用户标识的文档访问策略的所述安全策略；以及

将所述文档访问策略应用于所述应用会话。

22.一种系统，包括：

包括多个安全策略的企业目录；以及

安全网关，其中，所述安全网关：

经由所述安全网关来识别网络与应用之间的应用会话；

从所述公司目录获得所述多个安全策略中包括被映射至所述用户标识的网络参数的安全策略；以及

将所述安全策略应用于所述应用会话。

23.根据权利要求22所述的系统，其中，所述用户标识包括用于访问所述网络的网络用户标识或用于访问所述应用的用户标识，其中，所述用户标识是根据所述应用会话的包来识别。

24.根据权利要求22所述的系统，其中，所述安全网关进一步：

获得包括被映射至所述用户标识的网络流量策略的所述安全策略；以及

将所述网络流量策略应用于所述应用会话。

25.根据权利要求22所述的系统，其中，所述安全网关进一步：

将所述文档访问策略应用于所述应用会话。