CN107005542A - 用于保护网络装置的系统和方法 - Google Patents
用于保护网络装置的系统和方法 Download PDFInfo
- Publication number
- CN107005542A CN107005542A CN201580056146.0A CN201580056146A CN107005542A CN 107005542 A CN107005542 A CN 107005542A CN 201580056146 A CN201580056146 A CN 201580056146A CN 107005542 A CN107005542 A CN 107005542A
- Authority
- CN
- China
- Prior art keywords
- client
- network
- terminal device
- network equipment
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开的实施例有助于保护网络装置免受未经授权的访问。除此之外,本公开的实施例允许对客户端被允许访问的应用服务器和其他网络装置的完全访问,同时防止客户端不被允许访问的网络装置的所有访问(或甚至对该网络装置的知晓)。
Description
相关申请的交叉引用
本申请要求于2015年8月17日提交的美国专利申请序列号14/828,357、于2014年12月19日提交的美国专利申请序列号14/578,140以及于2014年10月6日提交的美国临时专利申请号62/060,427的优先权,其公开内容通过引用并入本文。
背景技术
在客户端-服务器网络模型中,公司或服务提供商典型地通过计算机网络向客户端计算机和其他服务提供服务和/或应用。服务器和相关联的服务可以包括例如邮件服务器、文件服务器、客户关系管理或CRM服务、企业资源规划或ERP服务和文档管理服务等。
一方面,需要通过将对这些服务的访问限制到仅受信用户和客户端来保证安全性。另一方面,受信用户需要以容易和直接的方式访问服务。优选地,可以在任何时间从任何地方到达服务。随着“自带装置”(或“BYOD”)策略在公司中越来越多地被接受,服务也应该从“任何东西”(即从由受信用户拥有的任何装置,诸如例如平板电脑、手提电脑、他在家的计算机或智能手机)可到达。
存在各种常规方法来尝试防止对这样的应用服务器或由这些应用服务器服务的服务或应用的未经授权的访问。例如,将应用服务器放置在专用网络内本身是一种安全措施,这是因为它将公司网络、局域网(或“LAN”)与互联网和其他外部公共网络隔离。专用网络内的装置以及因此的服务从公共网络不可见。专用网络中的流量的内容以及流量可穿越公司的网络边界的方式可以通过使用将WAN与公司的专用网络分离的网关装置中的网络地址转换(NAT)、防火墙规则和代理来进行调节和监视。专用网络可以进一步物理地或虚拟地由例如虚拟LAN来细分,以便进一步将公司专用网络内的应用服务器与由客户端进行的潜在未经授权的访问分离。
网络级安全性可以基于逐用户或逐客户端来实施,诸如通过将客户端的防火墙配置为(默认情况下)只能访问认证服务器。当客户端被授权时,客户端的防火墙被打开,并且所有网络装置被配置为将客户端的网络流量传递给其已被准许访问的应用服务器。
对客户端或用户级的网络级安全性也可以由控制器基于身份简档和健康简档为用户生成访问权限来尝试。然后,控制器配置保护装置,从而提供对服务器集合的网络访问。
可以通过由控制器配置主机来尝试在接受主机中实施网络级安全性。当发起主机被授权访问接受主机时,控制器对接受主机进行配置以接受来自发起主机的网络连接。
专用网络内的安全性还可以由应用级安全性来实施,其中用户或客户端在认证之后只能访问服务器上的服务。在这种情况下,客户端可以例如通过其IP网络地址在网络中找到应用服务器,并且可以通过其TCP或UDP端口号找到在应用服务器上运行的服务,但是服务或应用本身可以基于认证凭证拒绝客户端或用户。这种认证可以由个别服务本地管理,或者由认证服务器集中地管理。然后,在准许用户和/或客户端对某个服务的访问之前,服务检查这种认证服务器的认证凭证。
对公司的专用网络的访问可以由VPN或虚拟专用网络来建立,其中在客户端装置和专用网络之间设置安全的网络隧道。这种隧道的设置仅通过与VPN服务器的认证来准许。存在不同的授权方案以确保仅受信用户和/或客户端可以加入VPN。
用于提供对公司的专用网络中的服务的访问的另一解决方案是通过打开对某些服务的外部访问。例如,电子邮件服务器可以允许来自外部的连接,使得用户可以在他们不在公司时检查他们的电子邮件。这些服务有时由仅通过特定接口(诸如例如通过公司的网站)提供访问来限制,使得客户端不具有对运行服务的服务器的物理网络访问,而仅对提供服务的子集的web服务器具有物理网络访问。
在基于风险的认证中,不仅基于由认证凭证对用户和/或客户端的识别、而且基于进一步的度量以便得出适合于风险级别的信任级别,来准许对服务的访问。这样的度量例如是:用户的位置、客户端的类型、操作系统(如果已经安装了所有安全补丁的话)、用户的登录历史等。这样,通过VPN登录的用户可能会受到以下服务的限制,当从专用网络登录内时他不会从其受到限制。或者使用他自己的装置从专用网络内登录的用户可能被拒绝一些服务。
发明内容
本公开的实施例有助于保护网络装置免受未经授权的访问。除此之外,本公开的实施例允许对客户端被允许访问的应用服务器和其他网络装置的完全访问,同时防止客户端不被允许访问的网络装置的所有访问(或甚至对该网络装置的知晓)。
根据本公开的一个实施例的计算机实现的方法包括:由实现了到专用网络的网关的计算机系统来接收来自客户端装置的对所述客户端装置与所述专用网络中的网络装置之间的网络隧道的请求;由所述计算机系统来认证所述客户端装置;从与所述计算机系统通信的认证服务器接收客户端访问列表,所述客户端访问列表包括所述客户端装置被允许与其通信的网络装置的列表;由所述计算机系统来验证所述专用网络中的网络装置是所述客户端装置被允许与其通信的网络装置的列表的一部分;并且由所述计算机系统通过所述网关在所述客户端装置与所述专用网络中的网络装置之间建立所述网络隧道。
本公开包括各种方法、执行这样的方法的设备(包括计算机系统)和包含指令的计算机可读介质,当所述指令由计算系统执行时,致使计算系统执行这样的方法。
其它特征从附图并且从下面的详细描述将是显而易见的。
附图说明
图1是根据本公开的各个方面的用于保护网络装置免受不受信客户端装置的网络访问的示例性系统。
图2是根据本公开的各个方面的由客户端装置执行的以获得对受保护的网络装置的网络访问的示例性过程。
图3是根据本公开的各个方面的由认证服务器执行的用于向客户端装置提供客户端访问和隧道列表以允许该客户端对受保护网络装置的网络访问的示例性过程。
图4是根据本公开的各个方面的由网关执行的以提供对该网关中的防火墙后面的受保护网络装置的访问的示例性过程。
图5是根据本公开的各个方面的由客户端装置执行的以在已经获得对这些网络装置的第一选择的访问之后获得对网关的防火墙后面的网络装置的第二选择的网络访问的示例性过程。
图6示出了根据本公开的各个方面的客户端装置和网关之间的保活消息的示例性交换,以维持客户端和客户端装置之间的网络隧道。
图7示出了根据本公开的各个方面的用于保护网络装置免受不受信客户端装置对网络访问的示例性系统。
图8示出了根据本公开的各个方面的用于保护网络装置免受不受信客户端装置对网络访问的示例性系统。
图9示出了根据本公开的各个方面的用于保护网络装置免于不受信客户端装置对网络访问的示例性系统,其中网关的网络负载由第二网关来平衡。
图10示出了根据本公开的各个方面的示例性计算系统。
具体实施方式
现在将在下文中参考构成其的一部分的附图更全面地描述主题,并且其借由图示示出了具体示例性实施例。然而,主题可以以各种不同的形式被实施,并且因此,涵盖的或要求保护的主题旨在被解释为不限于本文阐述的任何示例性实施例;示例性实施例仅被提供为说明性的。同样地,旨在要求保护的或涵盖的主题的合理宽的范围。除此之外,例如,主题可以被实施为方法、装置、组件或系统。因此,实施例可以例如采取硬件、软件、固件或其任何组合(除软件本身之外)的形式。因此,下面的详细描述不旨在被认为是限制性的。
在附图中,一些特征可以被放大以示出特定组件的细节(并且在附图中示出的任何尺寸、材料和类似细节旨在是说明性的而不是限制性的)。因此,本文公开的具体结构和功能细节不应被解释为限制,而仅仅是作为教导本领域技术人员以各种方式采用所公开的实施例的代表性基础。
在本说明书中对“一个实施例”或“实施例”的引用意味着结合该实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。在说明书中的各个位置出现的短语“在一个实施例中”不一定全部指代相同的实施例,也不是与其它实施例相互排斥的分离的或替代的实施例。此外,描述了可以由一些实施例而不是由其他实施例展现的各种特征。类似地,描述了可能是对一些实施例而不是对其他实施例的要求的各种要求。
本文描绘的方法的元件的任何组合和/或子集可以彼此组合,基于各种条件选择性地执行或不执行,重复任何所期次数,并且以任何合适的顺序并结合任何合适的系统、装置和/或过程实践。本文描述和描绘的方法可以以任何合适的方式被实现,诸如通过在一个或多个计算机系统上操作的软件。该软件可以包括被存储在有形计算机可读介质(诸如计算机系统的存储器)中并且可以由一个或多个处理器执行以执行各种实施例的方法的计算机可读指令。
图1示出了根据本公开的各个方面的用于保护网络装置免受不想要的网络访问的示例性系统。在该示例中,三个网络装置(应用服务器141、142和143)是专用网络140的一部分。经由专用网络地址从专用网络140内获得对服务器141-143的访问。在该上下文中,术语“专用(private)”指的是应用服务器141-143不是全局可路由的事实。换句话说,应用服务器141-143不能由其来自专用网络140外部的专用网络地址来寻址。
专用网络140和图1中的其他组件可以利用任何数量和类型的通信协议,也被称为因特网协议(“IP”),或者作为传输控制协议/因特网协议(“TCP/IP”)。例如,专用网络140可以具有由针对因特网协议版本4或IPv4的RFC 1918以及针对因特网协议版本6或IPv6的RFC4193设置的地址范围。
应用服务器141-143通过网络140向其他计算装置提供服务。任何数量和类型的应用服务器和相关联的服务可以结合本公开的实施例来使用,诸如邮件服务器、文件服务器、客户关系管理或CRM服务、企业资源规划或ERP服务和/或文档管理服务。
可以通过在与服务相关联的端口(或端口范围)上打开与相应应用服务器的通信套接字来与应用服务器141-143中的任一个建立数据连接。应用服务器141-143可以对应于具有与专用网络地址相关联的物理网络接口的物理装置。可替代地,应用服务器141-143也可以对应于在一个或多个物理服务器上运行的虚拟服务器实例。虚拟服务器实例可以每个具有带有相关联的专用网络地址的虚拟网络接口。虚拟服务器实例可以包括一个或多个用户空间实例(也被称为软件容器、虚拟引擎、虚拟专用服务器和/或狱(jails))以及结合其来操作。这样的用户空间实例可以以任何合适的方式实现,包括经由DOCKER软件工具。
在图1中示出的示例中,专用网络140通过网关100与外部网络180分离,从而以受控的方式允许外部网络180和专用网络140之间的网络流量。图1的系统可以将客户端121、122标识为“受信客户端”,其具有对专用网络140内的一个或多个应用服务器141-143的访问权限,以便使用在其上运行的服务。客户端121、122可以是或包括物理硬件和/或虚拟组件。例如,客户端121、122可以包括在物理装置(诸如移动装置)上运行的虚拟操作系统。系统还可以准许对客户端121、122被允许访问的应用服务器141-143的选择的网络访问,并且拒绝对不允许客户端121、122访问的任何应用服务器的网络访问。
为了控制由客户端121、122对应用服务器141-143的访问,网关100包括用于在由外部网络180中的客户端121、122请求时建立网络隧道的隧道模块101。在图1中示出的示例中,在隧道模块101和客户端121、122之间分别建网络隧道181、182,从而将专用网络140延伸到客户端121、122。在一些实施例中,虚拟专用网络(或“VPN”)通过隧道181、182来建立。以这种方式,虽然在网络180内,但是客户端121、122被提供在专用网络140的范围内的专用网络地址,并且因此可以由它们相应的专用网络地址来潜在地访问所有应用服务器141-143(如果允许访问的话,如下面更详细讨论的)。
在客户端121、122请求时建立隧道,从而向隧道模块101提供隧道认证信息。可以结合本公开的实施例使用任何数量和类型的认证信息,诸如用户名和密码。隧道认证信息还可以(或者可替代地)包括生物测定、双因素认证和/或其他密码方法。在隧道181、182中传送的数据还可以通过加密来保护,诸如根据互联网协议安全(或“IPsec协议”)、传输层安全(或“TLS”)和/或数据报传输层安全(或“DTLS”)。隧道认证模块105验证隧道认证信息,并且如果认证成功,则建立与相应客户端的网络隧道。
图1中的网关100包括防火墙102,用于在已经建立了相应的隧道181、182之后控制客户端121、122和应用服务器141-143之间的网络流量。防火墙102可以根据由防火墙配置模块103或从另一个源提供的防火墙规则来控制这样的流量。在一些实施例中,防火墙配置模块103根据从相应客户端121、122接收到的客户端访问列表获得防火墙规则,该相应客户端121、122继而从认证服务器160接收客户端访问列表。
除此之外,防火墙规则允许客户端121、122建立和维护与应用服务器141、142和143的网络连接。客户端121、122可访问哪些应用服务器141-143的选择可以从客户端访问列表确定,防火墙规则也从该客户端访问列表获得。防火墙规则可以包括任何所期信息。在一些实施例中,例如,防火墙规则包括定义客户端可以访问的信息的授权令牌。这样的授权令牌可以被用于将防火墙配置为不仅准许/拒绝网络流量访问而且准许/拒绝访问各种文件(例如,被分类(包含元数据)为高度机密的)。
防火墙102可以是或包括任何数量和类型的系统、装置、硬件组件和/或软件组件。例如,防火墙102可以被实现为包括多个硬件和/或软件组件的分布式防火墙。在一些实施例中,防火墙102在默认情况下阻止来自客户端121、122的所有流量通过安全隧道180、181,但是可以被配置为响应于防火墙规则而允许流量。例如,如果客户端访问列表指示客户端121可以访问应用服务器141,则防火墙配置模块103获得对应的规则并且在防火墙102中激活它。在激活规则之后,防火墙102不再阻止在客户端121和应用服务器141之间的专用网络140上的网络流量。
图1的系统包括认证服务器160,该认证服务器160继而包括用于认证客户端121、122并生成客户端信息的认证模块162。在图1中示出的示例中,为了使客户端121、122访问专用网络140中的应用服务器141-143,其首先需要向认证服务器160认证自身。
认证服务器160可以使用硬件和软件组件的任何所期组合来实现,并且可以以任何所期方式与其他硬件和软件组件通信。在图1中示出的示例性系统中,认证服务器160不是专用网络140的一部分,但是由客户端121、122通过网络180可访问的。由客户端121、122提供的认证信息唯一地标识客户端或客户端的用户,诸如通过提供用户名和密码(其可以由认证模块162来验证)。
客户端121、122可以使用任何数量和类型的不同认证方法来认证。例如,除了密码认证之外(或作为替代),认证可以利用基于客户端121、122的硬件的认证,诸如客户端硬件的使用历史和客户端的硬件属性。在一个实施例中,这样的信息可以被存储在客户端装置上的记录中,由此检测记录到不同机器的移动导致认证失败。记录可以被加密和/或密钥签名以提供额外的完整性。认证还可以基于时间窗,使得如果客户端121、122在预定时间窗之外尝试认证,则拒绝认证(或需要进一步认证)。
可以根据基于位置的信息来执行认证,诸如根据客户端121、122的互联网协议(IP)地址或与客户端121、122相关联的全球定位信息。例如,客户端121、122的物理位置可以从全球定位信息、特定IP地址或甚至客户端的IP地址的国家代码来确定,并且被用于确定客户端121、122是真实客户端还是尝试伪装成客户端的第三方(诸如黑客)。基于先前历史(即,黑客尝试、认证失败等),IP地址(基于国家代码的个别或范围等)可被列入黑名单或列入白名单。同样地,被用于认证的基于位置的信息也可以从由客户端121、122在尝试连接中使用的一个或多个物理网络导出。
认证模块162还可以直接从客户端121、122接收上下文或状态信息。当直接从客户端接收到这样的信息并且因此不能由认证服务器验证时,其可以被视为不受信的“客户端上下文信息”。可以被包括在客户端信息中的客户端上下文信息可以包括诸如以下信息:可以是以完全限定域名(或“FQDN”)的形式的主机名,例如“host.domain.com”;在主机上运行的操作系统的家族和版本号;指示哪些补丁已经被应用于所述操作系统的补丁级别;被安装在客户端上的防病毒软件的状态;和/或客户端装置的用户已经登录到客户端多长时间。
认证模块162还可以向客户端信息添加“受信客户端信息”,其可以包括诸如指示用户所属的用户组和部门的用户会员信息的信息。受信客户端信息可以由使用轻量级目录访问协议(“LDAP”)或活动目录(“AD”)服务的用户目录系统来提供。受信客户端信息还可以包括信息,诸如关于客户端与认证服务器160的先前会话的历史信息(例如,最后登录时间戳和失败登录尝试的量)。
在图1中示出的示例中,认证模块162包括客户端列表引擎163和隧道列表引擎165。在由认证模块162成功认证之后,基于由认证模块提供的客户端信息,隧道列表引擎165生成客户端隧道列表并且客户端列表引擎163生成客户端访问列表。
客户端隧道列表可以包括用于已认证客户端121、122建立相应隧道181、182的所有信息。客户端隧道列表可以包括例如网络地址信息(诸如网关100的目的地IP地址和/或目的地端口号),以便客户端121、122通过请求在客户端隧道列表中指定的IP地址和端口号处的隧道设置来发起相应隧道181、182的建立。客户端隧道列表还可以包括隧道认证信息,以便使用网关100中的认证模块105来认证客户端121、122。客户端隧道列表可以包括例如虚拟专用网(VPN)令牌,其包含将客户端连接到各种网关所需的信息。
由隧道列表引擎165生成的隧道认证信息可以是动态的(即,不是由网关100的认证模块105预先知道的)。在这种情况下,认证服务器可以通过认证服务器160和网关100之间的通信链路168将隧道认证信息转发到网关100。因此,通信链路168在网关100和认证服务器160之间提供通道,该通道允许配置更新被交换并且如果在认证服务器160中移除了用户和/或会话,则允许由用户或会话进行的访问被撤销。存在可以移除用户或会话的各种原因,诸如:1)服务数据库改变,并且管理员希望对所有用户实施改变;2)用户改变他或她的认证方法;或3)用户或客户端从系统被禁止。通信链路168可以以任何所期方式被实现,诸如经由仅允许认证服务器160与来自一个或多个网关之间的通信的超文本传输协议安全(HTTPS)通道。
客户端访问列表标识对客户端被准许访问的应用服务器141-143的选择。在一些实施例中,客户端列表引擎163生成针对防火墙102的防火墙规则,并且将这些规则包括在客户端访问列表中。然后,由网关100中的防火墙配置模块103从客户端访问列表中提取防火墙规则,并将其应用于防火墙102。客户端访问列表可以进一步向应用服务器141-143的寻址信息添加条件。客户端访问列表的说明性示例在下表中被示出。
表1:具有条件应用服务器的客户端访问列表
| IP地址 | 条件 |
| 10.0.0.1 | 时间间隔(09.00-17.00) |
| 10.0.0.11 | 域(“domain.com”) |
| 10.0.0.3 | 字符串前缀(用户名,“adm_”) |
表1的第一列指定客户端被准许网络访问的应用服务器的IP地址。第二列进一步指定需要满足以便具有访问权限的条件。第一个条件指定客户端被准许对应用服务器10.0.0.1的访问所处的特定时间间隔。第二条件指定请求应起源的特定域(即,其指定客户端可以从其访问应用的域)。第二条件可以例如由公司使用以仅允许从其自己的域(即,从公司的网络内)访问。第三条件可以被用于标识特定用户或组(诸如公司的管理员),其是应该能够访问给定应用服务器或其他网络装置的唯一用户或组。
在图1中示出的示例性系统中,认证服务器160包括用于创建数字签名列表的签名模块164,诸如签名的客户端访问列表和签名的客户端隧道列表。在接收到客户端访问和隧道列表时,由签名模块164生成的数字签名可以由网关100中的签名验证模块104来验证。在网关100不通知认证服务器160的情况下,签名可以由在网关和认证服务器160之间共享的签名密钥来生成和验证,使得客户端访问列表和客户端隧道列表不可由客户端121、122改变。在一个示例性实施例中,使用了私钥/公钥机制的X.509证书被用于验证证书。
在一些实施例中,如果网关100在尝试验证签名时确定客户端访问列表或客户端隧道列表被改变,则网关100可以向认证服务器160通知改变和/或中断与客户端的网络隧道。认证服务器160可以在与客户端的未来交互中使用这样的通知作为与客户端相关联的“受信客户端信息”的一部分。在一些实施例中,网关100可以(例如,响应于检测到如上面描述的客户端访问列表或客户端隧道列表中的改变)以其自己的意图断开已建立的网络隧道181、182。额外地或可替代地,认证服务器160可以适于通过在通信链路168上向网关100发送消息来致使网关100断开已建立的网络隧道181、182,该消息指示了隧道模块101断开网络隧道,并且从防火墙移除允许相应的客户端访问应用服务器的防火墙规则。
图2、图3和图4示出了可以由结合本公开的实施例操作的各种组件执行的示例性过程,包括图1中示出的示例性系统的组件,分别是客户端121、122,认证服务器160和网关100。本文描述的过程可以通过不同硬件和/或软件组件的任何其他组合来执行(全部或部分地)。
图2、图3和图4可以在各种上下文和情况下被实现,诸如其中应用服务器141、142和143全部属于公司,其目的是以安全的方式向受信客户端121、122提供应用服务器的服务。在这种情况下,“受信客户端”是这样的客户端装置:其用户或装置本身对于公司是已知的,并且可以被提供对一个或多个应用服务器的访问。每个客户端121、122可以被实现为可以访问和使用由应用服务器141-143可用的服务的计算机硬件和/或软件的任何组合。客户端可以例如是(或包括)台式电脑、手提电脑、智能电话和/或平板电脑。客户端还可以例如是(或包括)使用证书来认证自身的服务器。图2、图3和图4中的过程有助于防止客户端121、122直接访问专用网络,取而代之仅通过网关(诸如图1中的网关100)来提供访问。这种限制也可以关于在公司的专用网络内操作的客户端来实施。对于诸如场景的示例,再次参考图1,网络180和网络140两者都可以是分离的“专用网络”,但是客户端121、122和应用服务器141-143之间的网络通信仍然由网关100来控制。
图2示出了可由客户端121、122中的任一个执行以访问应用服务器141-143上的一个或多个服务的示例性过程。图2中的过程可以以任何合适的方式实现,诸如经由客户端装置上在客户端活动时在后台自动运行的软件应用。软件应用可以在客户端的启动时自动运行,或者可以由用户或在客户端上操作的另一进程手动启动。客户端121、122监视(201)客户端装置对应用服务器141-143之一的网络访问。应用服务器141-143的网络地址可以是使用应用服务器的服务的客户端应用中的配置选项。例如,应用服务器可以是(或包括):具有在邮件客户端应用中配置的网络地址和端口的邮件服务器;被配置有其网络地址作为网络共享的文件服务器;CRM服务以及具有被安装用于访问该CRM服务的专用客户端应用的客户端;和/或web服务,并且用户指定浏览器应用的地址栏中的地址。
客户端可以基于目的地网络地址来检测(202)客户端应用尝试访问专用网络140内的应用服务器。客户端检索(203)认证信息以发送到认证服务器160。认证信息的检索可以诸如通过使用用户先前提交以用于登录的认证凭证来自动执行。可替代地,认证信息的检索可包括请求用户提供认证凭证,诸如用户名和密码。替代图2的步骤201-203,客户端可以在不等待对应用服务器141-143之一的网络访问尝试的情况下直接使用认证服务器160来认证自身。例如,当客户端的用户登录到客户端时或当客户端启动时,该客户端可以使用认证服务器160进行认证。
客户端的认证可以以任何所期方式执行,诸如通过使用存储的认证凭证、用户的登录凭证和/或从用户请求的分离的认证凭证。任何数量和类型的身份提供者也可以结合本公开的实施例来使用,包括RSA、Oauth、证书、Radius和SAML等。认证凭证被用于使用认证服务器160来认证(204)客户端121、122。作为响应,客户端接收(205)来自认证服务器160的客户端隧道列表和客户端访问列表。
客户端121、122通过例如从客户端隧道列表中检索网关100的网络地址并向网关100发送建立隧道的请求来建立(206)与网关100的网络隧道181、182。在建立(206)隧道时,客户端可以向网关提供客户端隧道列表作为认证。客户端隧道列表承载认证服务器160的签名,网关100可以在不进一步交换认证凭证的情况下从其验证客户端是受信的并且建立隧道。在建立网络隧道之后,专用网络140通过隧道扩展到客户端,但是客户端仍然不能访问应用服务器141-143中的任一个,这是因为对服务器的网络访问可能被网关100的防火墙102阻挡。
客户端将从认证服务器160接收到的客户端访问列表发送(207)到网关100,并记录(211)客户端可以从客户端访问列表访问哪些应用服务器。客户端还可以向客户端装置的用户发信号通知或显示可访问的应用服务器或服务。假设成功认证,则网关100向在客户端访问列表中列出的所有应用服务器或应用服务器上的服务提供客户端网络访问。
图3是可以由认证服务器(诸如图1中的认证服务器160)执行的用于向客户端提供客户端访问和隧道列表的示例性过程。在该示例性过程中,认证服务器接收来自相应客户端的请求(301)。在该请求中,客户端诸如在图2的步骤204中向认证服务器提供用于识别的认证信息。认证服务器尝试识别(302)客户端。如果客户端对于认证服务器是未知的并且因此是不受信的,则服务器停止流程(303)。如果客户端是已知的,则认证服务器检索(304)受信客户端信息并将其添加到客户端信息。在步骤301中与认证信息一起接收到的客户端上下文信息也可以被添加到客户端信息。
认证模块识别(310)客户端被允许访问的应用服务器的选择。然后可以将应用服务器的选择与客户端信息一起转发到认证服务器160的客户端列表引擎163和隧道列表引擎165。隧道列表引擎165通过例如提供网关100的IP地址以及用于建立与网关100的网络隧道的认证凭证基于客户端信息而生成(305)隧道列表。客户端隧道列表由签名引擎164签名(306)。认证服务器基于客户端被允许访问的服务器的选择而生成(307)客户端访问列表。基于客户端信息,可以向客户端访问列表添加进一步的条件限制。然后,还对客户端访问列表进行签名308。认证服务器然后向客户端发送309客户端访问和隧道列表。
图4示出了可以由结合本公开的实施例操作的网关(诸如图1中的网关100)来执行的用于提供对客户端的网络访问的示例性过程。在该示例性过程中,网关101接收(401)来自客户端121或122的请求以设置与该客户端的网络隧道(例如,VPN连接)。作为响应,网关从客户端请求(402)认证凭证,并接收(403)以客户端隧道列表的形式的认证凭证。为了认证客户端,网关100使用与认证服务器160共享的签名密钥来验证(404)客户端隧道列表中的签名。如果签名是正确的并且客户端隧道列表没有被客户端修改,则网关100建立(405)与客户端的网络隧道,从而通过隧道将专用网络140延伸到客户端。网关的防火墙还被配置为默认情况下阻止来自客户端的所有网络访问。网关接收(406)由认证服务器生成的来自客户端的客户端访问列表,并验证(407)该客户端访问列表中的签名。从客户端访问列表,网关获得(408)用于允许对客户端访问列表中列出的应用服务器的网络访问(以及针对这种访问的条件,其也在客户端访问列表中被提供)的防火墙规则。网关激活(409)防火墙规则,从而允许客户端访问在客户端访问列表中列出的应用服务器的选择。
在一些实施例中,认证服务器160可以向客户端访问列表添加增强的认证要求以及在满足这些增强的认证要求时可以访问的应用服务器的第二选择。这些增强的需求可以涉及认证机制本身,并且可以例如声明必须使用更安全的认证机制(相对于应用服务器的第一选择)。例如,代替供应用户/密码组合(其可以满足针对应用服务器的第一集合的认证要求),增强的要求可以指定需要两个因素认证来获得对应用服务器的第二集合的访问。该要求还可以涉及客户端自身的上下文或状态信息。可以使用任何所期要求,诸如以下要求:所有补丁需要被应用于客户端操作系统以访问特定应用服务器;病毒扫描程序必须运行并且是最新的以访问某个应用服务器;和/或不能从公共无线网络访问应用服务器。
在使用认证服务器来认证之后,认证服务器160(例如,经由客户端列表引擎163)提供包括增强的认证要求的签名客户端访问列表以及要求这种增强认证的应用服务器的第二选择。当客户端认证并满足增强的认证要求时,认证服务器可以向客户端发布更新的客户端访问列表,其中在允许客户端访问的应用服务器中列出应用服务器的第二选择。可以在客户端访问列表中列出多级增强认证要求(以及应用服务器的对应集合)。
图5示出了可以由客户端执行以便获得对具有增强的认证要求的应用服务器的网络访问的示例性过程。在该示例性过程中,客户端建立对在第一客户端访问列表(在本文中也被称为“基础客户端访问列表”)中列出的专用网络140中的应用服务器的第一选择的网络访问(501)。步骤501可以进一步根据图2中概述的流程来实现,区别在于基础客户端访问列表还包括应用服务器的第二选择和增强的认证要求,以便获得对该第二选择的网络访问。
客户端监视(502)在客户端装置上运行的应用以及这种应用对专用网络140的网络访问。如果客户端应用尝试连接到不是第一选择的一部分的应用服务器,则客户端检查(503)应用服务器是否是第二选择的一部分。如果不是,则客户端不能获得对该应用服务器的访问,并且可以向客户端的用户或应用通知被拒绝的访问(504)。如果应用服务器是第二选择的一部分,则客户端使用认证服务器启动增强的认证过程(505),其可以包括请求用户提供增强的认证凭证,诸如指纹扫描、虹膜扫描、关于用户的进一步的生物测定信息、和/或由外部密钥生成器生成的密钥。客户端还可以请求用户更新客户端装置本身的上下文和/或状态。例如,可以请求用户:将客户端连接到有线网络;不通过公共无线网络连接客户端;安装客户端的操作系统的最新补丁;安装病毒扫描程序;和/或更新病毒扫描程序的数据库。
在用户成功地实现增强的认证要求后(506),客户端接收(507)来自认证服务器160的第二或更新的客户端访问列表。如果增强的认证不成功,则请求网络访问的用户或软件应用被发信号通知或警告(504)网络访问被拒绝。更新的客户端访问列表列出客户端可以访问的应用服务器的第一选择和第二选择,并且被发送(508)到网关100,网关100相应地配置其防火墙102。然后,客户端可以向客户端应用和用户发信号通知(509)哪些应用或服务被允许。
图6描绘了根据本公开的各个方面的示例性系统。在该示例性系统中,网关600包括保活(keep alive)模块605。网关600通过建立的网络隧道182与客户端621连接,并且保活模块被配置为检查以规则的间隔从客户端621接收到保活消息。如果未及时接收到保活消息,则保活模块指示防火墙配置模块103从防火墙102清除针对客户端621的防火墙规则,并指示隧道模块101断开网络隧道182。保活模块605还可以被配置为检查关于客户端621的某些预定义状态或上下文信息是否存在于保活消息中并且满足某些预定义的要求。这样的要求可以包括例如客户端的病毒扫描程序和/或防火墙必须是活动的。
客户端621可以执行由步骤601-604示出的过程,以便向网关600发送保活消息。在第一步骤601中,建立至网关600的网络隧道182。网络隧道182可以以任何所期方式建立,包括使用图2和图5中示出的过程(或其部分)。客户端收集(602)所需的上下文和状态信息,并将其格式化为保活消息。保活消息通过网络隧道182被发送(603)到网关600的保活模块605。当发送该消息时,定时器被激活(604)以从预定义的时间间隔倒计时。当定时器期满时,执行步骤602-604的新周期,以便发送下一个保活消息。
图7示出了根据本公开的各个方面的用于保护应用服务器741至746免受未经授权的访问的示例性系统。在该示例中,应用服务器741-746是分别由网关700、701和702保护的专用网络750、751和752的一部分。客户端721可以使用认证服务器760进行认证,并且从而获得客户端隧道列表和客户端访问列表。客户端隧道列表包括建立与网关700-702中的每个的网络隧道所需的信息,以便将所有专用网络740-744延伸到客户端721。客户端隧道列表可以是任何合适的格式,诸如单个数据对象、具有标识所有网关的单个签名的文件、分开签名的数据对象和/或每个标识网关700-702之一的文件。在接收到客户端隧道列表时,客户端721建立与网关700-702中的每个的网络隧道781、782和783。
客户端访问列表包括客户端可以经由网络隧道781、782和783连接到的应用服务器741-747的选择。客户端721将客户端访问列表发送到网关,该网关继而根据接收到的客户端访问列表配置它们的防火墙,从而允许客户端721访问应用服务器的选择。
在一些实施例中,认证服务器760可以访问其他服务器以用于客户端721的认证或用于检索关于客户端721的信息。这也由图7示出,其中认证服务器760可以访问用作认证服务器760的认证后端的radius服务器762。认证服务器760中的认证模块162然后用作客户端721的认证接口,而服务器762执行实际认证。认证服务器760还可以连接到提供认证服务器760的活动目录(ActiveDirectory)服务的服务器761,以检索关于客户端721的用户的进一步简档信息。
图8示出又一示例性系统,其中radius服务器846和活动目录服务器847对应于网关702后面的专用网络744内的应用服务器,从而有助于保护服务器846-847免于未经授权的访问。为了访问服务器846-847,授权服务器760可以包括永久网络隧道884,其中网关702保护服务器846和847。可替代地,授权服务器760可以利用另一机制来提供对服务器846-847的访问,诸如JSON上的LDAP,以便利用标准HTTPS流量以代替使用网络隧道。然后允许认证服务器760访问服务器的防火墙规则可以事先被配置在网关702中,使得不需要客户端隧道列表或客户端访问列表来建立认证服务器760和服务器846-847之间的网络连接。
图9示出了其中多个网关900、901被用于保护同一专用网络940内的应用服务器941-944的示例。该拓扑可以被用于平衡多个网关900、901之间的网络流量负载。认证服务器960提供指定到客户端921和922的不同网关的客户端隧道列表。特别地,客户端921建立与网关900的网络隧道981,并且客户端922建立与网关901的网络隧道982。
本文中的示例性实施例示出了保护应用服务器免受未经授权的访问的本公开的实施例。除了应用服务器之外,提供服务并且通过网络可寻址的任何其他类型的网络装置可以由本公开的实施例来保护。同样地,可以由本公开的实施例保护的网络装置包括向路由器和网络级交换机提供管理员接口的网络设备。
图10示出了可结合本文公开的实施例利用的示例性计算系统1000。计算系统1000可以被用作客户端装置、网关、认证服务器和/或任何其他合适的系统。计算系统1000包括总线1010、处理器1002、本地存储器1004、一个或多个可选输入接口1014、一个或多个可选输出接口1016、通信接口1012、存储元件接口1006和一个或多个存储元件1008。
总线1010可以包括允许计算系统1000的组件之间的通信的一个或多个导体。处理器1002可以包括解释和执行编程指令的任何类型的处理器。本地存储器1004可以包括随机存取存储器(RAM)或存储由处理器1002执行的信息和指令的另一类型的动态存储装置、和/或只读存储器(ROM)或存储由处理器1002使用的静态信息和指令的另一类型的静态存储装置。输入接口1014可以包括允许操作者向计算装置1000输入信息的一个或多个常规机构,诸如键盘1020、鼠标1030、笔、语音识别和/或生物测定机构等。
输出接口1016可以包括向操作者输出信息的一个或多个常规机构,诸如显示器1040、打印机1050、扬声器等。通信接口1012可以包括任何类似收发器的机构,诸如例如一个或多个以太网接口,其使得计算系统1000能够与其他装置和/或系统1100通信。计算系统1000的通信接口1012可以借由局域网(LAN)或诸如例如因特网的广域网(WAN)被连接到这样的另一计算系统。存储元件接口1006可以包括诸如例如串行高级技术附件(SATA)接口或小型计算机系统接口(SCSI)的存储接口以用于将总线1010连接到诸如一个或多个本地磁盘(例如SATA磁盘驱动器)的一个或多个存储元件1008,并且控制从这些存储元件1008读取数据和/或向这些存储元件1008写入数据。虽然上述存储元件1008被描述为本地磁盘,但是一般来说,可以使用诸如可移动磁盘的任何其他合适的计算机可读介质、诸如CD或DVD的光学存储介质、-ROM盘、固态驱动器、闪速存储卡等。上面描述的系统1000还可以作为虚拟机运行在物理硬件之上。
本文示出的方法可以经由被存储在计算系统1000的本地存储器1004中的用于由其处理器1002执行的编程指令来实现。可替代地,指令可以被存储在存储元件1008上,或者可以通过通信接口1012从另一计算系统可访问。
系统1000可以对应于分别由图1、图6、图7、图8和图9示出的实施例的客户端121、122、621、721、921、922。在这种情况下,系统1000可以通过通信接口1012来连接到网关和授权服务器。在图2、图5和图6中示出的方法的步骤可以在执行期间作为处理器1002上的指令来执行,并且可以被存储在存储器存储1004或1008中。
系统1000可以对应于分别由图1、图6、图7、图8和图9示出的实施例的网关100、600、700、701、702、900和901。在这种情况下,系统可以包括两个通信接口1012,一个通信接口用于连接到专用网络,并且一个用于连接到另一个网络,通过该网络其连接到客户端。图4中示出的方法的步骤可以在执行期间作为处理器1002上的指令来执行,并且可以被存储在存储器存储1004或1008中。
系统1000可以对应于图1、图6、图7、图8和图9示出的实施例的认证服务器160、760和960。在这种情况下,通信接口1012可以被用于将系统1000连接到客户端和网关。然后图3中示出的方法的步骤可以在执行期间作为处理器1002上的指令来执行,并且可以被存储在存储器存储1004或1008中。
由认证服务器和网关执行的方法可以进一步在相同的计算机系统上、在分离的计算机系统上或作为相同或不同的物理计算机系统上的分离的虚拟计算机系统运行。
结合本公开的实施例操作的系统、装置和组件之间的通信可以使用任何合适的通信方法来执行,诸如例如电话网络、外联网、内联网、因特网、交互点装置(销售点装置、个人数字助理(例如,)、蜂窝电话、信息亭等)、在线通信、卫星通信、离线通信、无线通信、应答器通信、局域网(LAN)、广域网(WAN)、虚拟专用网(VPN)、网络或链接装置、键盘、鼠标和/或任何合适的通信或数据输入模态。本公开的系统和装置可以利用TCP/IP通信协议以及IPX、Appletalk、IP-6、NetBIOS、OSI、任何隧道协议(例如IPsec、SSH)或任何数量的现有或未来的协议。
尽管一些实施例可以在全功能的计算机和计算机系统中实现,但是无论被用于实际影响分布的特定类型的机器或计算机可读介质,各种实施例都能够以各种形式被分布为计算产品并且能够被应用。
机器可读介质可以被用于存储软件和数据,其在由数据处理系统执行时使得系统执行各种方法。可执行软件和数据可以被存储在各种地方,包括例如ROM、易失性RAM、非易失性存储器和/或高速缓存。该软件和/或数据的一部分可以被存储在这些存储装置中的任何一个中。此外,可以从集中式服务器或对等网络获得数据和指令。数据和指令的不同部分可以在不同的时间和在不同的通信会话中或在相同的通信会话中从不同的集中式服务器和/或对等网络获得。数据和指令可以在应用的执行之前被整体获得。可替代地,当需要执行时,可以动态地、及时地获得数据和指令的部分。因此,不要求数据和指令在特定的时间情况下整体在机器可读介质上。
计算机可读介质的示例包括但不限于可记录和不可记录型介质,诸如易失性和非易失性存储器装置、只读存储器(ROM)、随机存取存储器(RAM)、闪速存储器装置、软盘和其他可移动磁盘、磁盘存储介质、光存储介质(例如,光盘只读存储器(CD ROM)、数字通用光盘(DVD)等)等。计算机可读介质可以存储指令。
在各种实施例中,硬连线电路可与软件指令组合使用以实现所述技术。因此,该技术既不限于硬件电路和软件的任何特定组合,也不限于由数据处理系统执行的指令的任何特定源。
虽然一些附图以特定顺序示出了多个操作,但是不依赖于顺序的操作可以被重新排序,并且其他操作可以被组合或分解。虽然具体提及了一些重新排序或其他分组,但是其它对于本领域的普通技术人员将是显而易见的,并且因此不提出替代的详尽列表。此外,应当认识到,这些阶段可以在硬件、固件、软件或其任何组合中实现。
为了简洁起见,本文中可能不详细描述常规数据网络、应用开发和系统的其它功能方面(以及系统的个别操作组件的组件)。此外,本文包含的各个附图中示出的连接线旨在表示各种元件之间的示例性功能关系和/或物理耦接。应当注意,在实际系统中可以呈现许多替代或额外的功能关系或物理连接。
本文讨论的各种系统组件可以包括以下中的一个或多个:主机服务器或其他计算系统,其包括用于处理数字数据的处理器;存储器,其被耦接到处理器以用于存储数字数据;输入数字化仪,其被耦接到处理器以用于输入数字数据;应用程序,其被存储在存储器中并且由处理器可访问以用于由处理器指导数字数据的处理;显示装置,其被耦接到处理器和存储器以用于显示从由处理器处理的数字数据导出的信息;以及多个数据库。本文使用的各种数据库可以包括:运送数据、包数据和/或在系统的操作中有用的任何数据。
可以经由web浏览器和/或利用web浏览器的应用接口来执行各种功能。这种浏览器应用可以被包括安装在计算单元或系统内以执行各种功能的因特网浏览软件。这些计算单元或系统可以采用计算机或计算机集合的形式,并且可以使用任何类型的计算装置或系统,包括手提电脑、笔记本电脑、平板电脑、手持计算机、个人数字助理、机顶盒、工作站、计算机服务器、主机电脑、微型计算机、PC服务器、计算机网络集合、个人计算机和平板电脑(诸如iPad、iMAC和MacBook)、信息亭、终端、销售点(POS)装置和/或终端、电视或能够通过网络接收数据的任何其它装置。各种实施例可以利用Microsoft Internet Explorer、Mozilla Firefox、Google Chrome、Apple Safari、Opera或者可用于浏览因特网的任何其他各种软件包。
各种实施例可以结合任何合适的操作系统(例如,Windows NT、95/98/2000/CE/Mobile/、Windows 7/8、OS2、UNIX、Linux、Solaris、MacOS、PalmOS等)以及典型地与计算机相关联的各种常规支持软件和驱动器来操作。各种实施例可以包括任何合适的个人计算机、网络计算机、工作站、个人数字助理、蜂窝电话、智能电话、小型计算机或大型机等。实施例可以实现安全协议,诸如安全套接字层(SSL)、传输层安全(TLS)和安全外壳(SSH)。实施例可以实现任何所期应用层协议,包括http、https、ftp和sftp。
各种系统组件可独立地、分离地或共同地经由数据链路适当地被耦接到网络,所述数据链路包括例如通过本地环路与因特网服务提供商(ISP)的连接,如典型地与标准调制解调器通信、电缆调制解调器、卫星网络、ISDN、数字用户线路(DSL)或各种无线通信方法结合使用。注意,本公开的实施例可以结合任何合适类型的网络来操作,诸如交互式电视(ITV)网络。
可以使用云计算来部分地或全部地实现该系统。“云”或“云计算”包括一个模型,用于使能对可以以最少的管理努力或服务提供商互动来快速地提供和发布的可配置计算资源(例如,网络、服务器、存储、应用和服务)的共享池的方便的、按需的网络访问。云计算可以包括与位置无关的计算,由此共享服务器根据需要向计算机和其他装置提供资源、软件和数据。
各种实施例可以与web服务、效用计算、普适和个性化计算、安全和身份解决方案、自主计算、云计算、商品计算、移动性和无线解决方案、开源、生物测定、网格计算和/或网眼计算结合使用。
这里讨论的任何数据库可以包括关系、层次,图形或面向对象的结构和/或任何其他数据库配置。此外,数据库可以以任何合适的方式被组织,例如,作为数据表或查找表。每个记录可以是单个文件、文件序列、链接的数据字段序列或任何其他数据结构。某些数据的关联可以通过任何所期数据关联技术(诸如本领域中已知或实践的那些技术)来完成。例如,该关联可以手动或自动完成。
任何数据库、系统、装置、服务器或系统的其他组件可以位于单个位置处或多个位置处,其中每个数据库或系统包括各种合适的安全特征中的任一个,诸如防火墙、访问码、加密、解密、压缩和/或解压缩等。
可以借由本领域现有可用的或者可以变得可用的任何技术来执行加密,例如Twofish、RSA、El Gamal、Schorr签名、DSA、PGP、PKI以及对称和非对称密码系统。
实施例可以使用标准拨号、电缆、DSL或本领域已知的任何其它因特网协议连接到因特网或内联网。事务可以通过防火墙,以防止来自其他网络的用户的未经授权的访问。
本文讨论的计算机可以提供合适的网站或由用户可访问的其他基于因特网的图形用户界面。例如,Microsoft因特网信息服务器(IIS)、Microsoft事务服务器(MTS)和Microsoft SQL Server可以与Microsoft操作系统、Microsoft NT web服务器软件、Microsoft SQL Server数据库系统以及Microsoft Commerce Server结合使用。另外,诸如Access或Microsoft SQL Server、Oracle、Sybase、Informix MySQL、Interbase等的组件可以被用于提供符合活动数据对象(ADO)的数据库管理系统。在另一示例中,Apache web服务器可以与Linux操作系统、MySQL数据库以及Perl、PHP和/或Python编程语言结合使用。
可以通过具有网页的网站来促进本文讨论的通信、输入、存储、数据库或显示中的任一个。如本文使用的术语“网页(web page)”并不意味着限制可能被用于与用户交互的文档和应用的类型。例如,除了标准HTML文档之外,典型的网站还可以包括各种形式:Java小程序、JavaScript、活动服务器页面(ASP)、通用网关接口脚本(CGI)、可扩展标记语言(XML)、动态HTML、级联样式表(CSS)、AJAX(异步Javascript和XML)、帮助应用和插件等。服务器可以包括接收来自web服务器的请求的web服务,该请求包括URL和IP地址。web服务器检索适当的网页,并将网页的数据或应用发送到IP地址。Web服务是能够通过通信手段(诸如因特网)与其他应用交互的应用。
各种实施例可以采用任何所期数量的用于在基于浏览器的文档内显示数据的方法。例如,数据可以被表示为标准文本或在固定列表、可滚动列表、下拉列表、可编辑文本字段、固定文本字段和弹出窗口等内。同样地,实施例可以利用任何所期数量的用于修改网页中的数据(诸如例如使用键盘的自由文本输入、菜单项的选择、复选框和选项框等)的方法。
可以根据功能框组件、屏幕截图、可选选择和各种处理步骤来描述本文示出的示例性系统和方法。应当理解,这样的功能框可以由被配置为执行指定功能的任何数量的硬件和/或软件组件来实现。例如,系统可以采用各种集成电路组件,例如存储器元件、处理元件、逻辑元件和查找表等,其可以在一个或多个微处理器或其他控制装置的控制下执行各种功能。类似地,系统的软件元素可以使用诸如C、C++、C#、Java、JavaScript、VBScript、Macromedia Cold Fusion、COBOL、Microsoft Active Server Pages、assembly、PERL、PHP、AWK、Python、Visual Basic、SQL存储过程、PL/SQL、任何UNIX shell脚本和可扩展标记语言(XML)的任何编程或脚本语言来实现,其中使用数据结构、对象、过程、例程或其他编程元素的任何组合来实现各种算法。此外,应当注意,系统可以利用用于数据传输、信令、数据处理和网络控制等的任何数量的常规技术。此外,系统可以被用于检测或防止诸如JavaScript或VBScript等的客户端侧脚本语言的安全问题。
本公开的系统和方法可以被实施为现有系统的定制、附加产品、执行升级软件的处理设备、独立系统、分布式系统、方法、数据处理系统、用于数据处理的装置和/或计算机程序产品。因此,系统或模块的任何部分可以采取执行代码的处理设备、基于因特网的实施例、完全硬件实施例或组合因特网、软件和硬件的各方面的实施例的形式。此外,系统可以采取具有在存储介质中实施的计算机可读程序代码装置的计算机可读存储介质上的计算机程序产品的形式。可以利用任何合适的计算机可读存储介质,包括硬盘、CD-ROM、光存储装置和/或磁存储装置等。
本文参考根据各种实施例的方法、设备(例如,系统)和计算机程序产品的屏幕截图、框图和流程图图示来描述系统和方法。将理解的是,框图和流程图图示中的每个功能框、以及框图和流程图图示中的功能框的组合分别可以通过计算机程序指令来实现。
这些计算机程序指令可以被加载到通用计算机、专用计算机或其他可编程数据处理设备上以产生机器,使得在计算机或其他可编程数据处理装置上执行的指令创建用于实现在一个或多个流程图框中指定的功能的装置。这些计算机程序指令还可以被存储在计算机可读存储器中,其可以指导计算机或其他可编程数据处理设备以特定方式工作,使得被存储在计算机可读存储器中的指令产生包括实现在一个或多个流程图框中指定的功能的指令装置的物品。计算机程序指令还可以被加载到计算机或其他可编程数据处理设备上,以使得在计算机或其他可编程设备上执行操作步骤序列以产生计算机实现的过程,使得在计算机或其他可编程设备上执行的指令提供用于实现一个或多个流程图框中指定的功能的步骤。
因此,框图和流程图图示的功能框支持用于执行指定功能的装置的组合、用于执行指定功能的步骤的组合、以及用于执行指定功能的程序指令装置的组合。还将理解,框图和流程图图示中的每个功能框以及框图和流程图图示中的功能框的组合可以由执行指定功能或步骤的基于专用硬件的计算机系统或专用硬件和计算机指令的适当组合来实现。此外,处理流程及其描述的图示可以参考用户窗口、网页、网站、web表单、提示等。实践者将理解,本文描述的图示的步骤可以包括以任何数量的配置,包括窗口、网页、web表单、弹出窗和提示等的使用。还应当理解,示出的和描述的多个步骤可以被组合成单个网页和/或窗口,但是为了简单起见已经被扩展。在其他情况下,示出和描述为单个处理步骤的步骤可以被分离成多个网页和/或窗口,但是为了简单起见已经被组合。
术语“非暂时性”应被理解为从权利要求范围仅移除传播的暂时信号本身,并且不放弃不仅传播的暂时信号本身的所有标准计算机可读介质的权利。换句话说,术语“非暂时性计算机可读介质”的含义应当被解释为仅排除在In Re Nuijten中发现的那些类型的暂时性计算机可读介质,以落在根据35U.S.C.§101的可授予专利的主题的范围之外。
本文已经关于特定实施例描述了益处、其它优点和问题的解决方案。然而,可以导致任何益处、优点或解决方案发生或变得更加显着的益处、优点、问题的解决方案和任何元素不应被解释为本公开的关键的、必需的或必要的特征或元素。
尽管本公开包括一种方法,但是可以设想的是它可以被实施为有形计算机可读载体(诸如磁存储器或光存储器或磁盘或光盘)上的计算机程序指令。本领域普通技术人员已知的上面描述的示例性实施例的元件的所有结构、化学和功能等同物通过引用明确地并入本文,并且旨在被包括在本权利要求中。此外,装置或方法不需要解决由本公开寻求解决的每一个问题,这是因为它被权利要求所包括。此外,无论元件、组件或方法步骤是否在权利要求中被明确地陈述,本公开中的元件、组件或方法步骤都不旨在被专用于公开。本文中的权利要求元素不应根据35U.S.C.112、第六款的规定进行解释,除非使用短语“用于...的装置”明确地陈述了该元素。如本文所使用的,术语“包括”、“包括了”或其任何其他变体旨在涵盖非排他性包括,使得包括元素列表的过程、方法、物品或设备不仅仅包括那些元件,而是可以包括未明确列出的或这种过程、方法、物品或设备固有的其它元件。
其中使用类似于“A、B或C中的至少一个”、“A、B和C中的至少一个”,“一个或多个A、B或C”或“A、B和C中的一个或多个”,旨在将该短语解释为意味着A可以单独在一个实施例中呈现,B可以单独在一个实施例中呈现,C可以单独在一个实施例中呈现,或者元件A、B和C的任何组合可以在单个实施例中呈现;例如A和B、A和C、B和C、或A和B和C。
在不脱离本公开的范围的情况下,可以对公开的实施例进行改变和修改。这些和其他改变或修改旨在被包括在如所附权利要求中表达的本公开的范围内。
Claims (20)
1.一种计算机实现的方法,包括:
由将网关实施到专用网络的计算机系统来接收来自客户端装置的对所述客户端装置与所述专用网络中的网络装置之间的网络隧道的请求;
由所述计算机系统来认证所述客户端装置;
从与所述计算机系统通信的认证服务器接收客户端访问列表,所述客户端访问列表包括所述客户端装置被允许与其通信的网络装置的列表;
由所述计算机系统来验证所述专用网络中的网络装置是所述客户端装置被允许与其通信的网络装置的列表的一部分;并且
由所述计算机系统通过所述网关在所述客户端装置与所述专用网络中的网络装置之间建立所述网络隧道。
2.根据权利要求1所述的方法,其中所述专用网络中的网络装置包括提供服务的应用服务器。
3.根据权利要求2所述的方法,其中应用服务器包括以下中的一个或多个:
提供邮件服务的邮件服务器;
提供网络数据存储的文件服务器;以及
提供主机服务的web服务器。
4.根据权利要求1所述的方法,其中所述专用网络中的网络装置包括提供管理员访问的路由器和交换机中的一个或多个。
5.根据权利要求1所述的方法,其中所述计算机系统还实施用于选择性地阻止和允许所述客户端装置与所述专用网络中的网络装置之间的网络流量的防火墙。
6.根据权利要求5所述的方法,其中所述防火墙在默认情况下阻止所述客户端装置与所述专用网络中的网络装置之间的所有网络流量。
7.根据权利要求5所述的方法,还包括:
由所述计算机系统来获得用于允许所述客户端装置与所述专用网络中的网络装置之间的网络访问的防火墙规则;并且
基于所述防火墙规则来配置所述防火墙。
8.根据权利要求7所述的方法,其中所述防火墙规则被包括在所述客户端访问列表中。
9.根据权利要求1所述的方法,其中在所述客户端装置与所述专用网络中的网络装置之间建立所述网络隧道包括建立虚拟专用网络。
10.根据权利要求1所述的方法,其中所述客户端访问列表是可读的,但不可由所述客户端改变。
11.根据权利要求1所述的方法,其中认证所述客户端装置包括:经由在所述网关和所述认证服务器之间共享的签名密钥来验证所述客户端访问列表中的数字签名。
12.根据权利要求1所述的方法,还包括:由所述计算机系统从所述认证服务器接收客户端隧道列表,其包括用于建立所述网络隧道的信息。
13.根据权利要求12所述的方法,其中仅响应于所述客户端装置的成功认证而从所述认证服务器接收所述客户端隧道列表,并且否则不接收。
14.根据权利要求12所述的方法,其中所述客户端隧道列表包括所述网关的目的地互联网协议地址和目的地端口号。
15.根据权利要求1所述的方法,其中所述客户端访问列表包括网络装置的第一选择和网络装置的第二选择,所述网络装置的第二选择相对于所述网络装置的第一选择具有增强的认证要求。
16.根据权利要求15所述的方法,其中所述增强的认证要求包括从由以下项组成的群组中选出的要求:
所有补丁都需要被应用到所述客户端上的操作系统的要求;
最新的病毒扫描程序必须在所述客户端上运行的要求;以及
所述客户端不尝试经由公共无线网络访问所述专用网络上的网络装置的要求。
17.根据权利要求15所述的方法,其中所述增强的认证要求包括所述客户端装置的用户提供从由以下项组成的群组中选出的认证凭证的要求:
指纹扫描;
虹膜扫描;以及
由外部密钥生成器生成的密钥。
18.根据权利要求1所述的方法,还包括:
由所述计算机系统来接收来自所述客户端的客户端状态信息;并且
响应于以规则的时间间隔从所述客户端接收所述客户端状态信息的失败或者响应于所述客户端状态信息未能对应于针对所述客户端的预定义要求,而断开所述网络隧道。
19.一种存储指令的非暂时性计算机可读介质,所述指令在被执行时致使计算机系统将网关实施到专用网络以:
从客户端装置接收对所述客户端装置与所述专用网络中的网络装置之间的网络隧道的请求;
认证所述客户端装置;
从与所述计算机系统通信的认证服务器接收包括所述客户端装置被允许与其通信的网络装置的列表的客户端访问列表;
验证所述专用网络中的网络装置是所述客户端装置被允许与其通信的网络装置的列表的一部分;并且
通过所述网关来建立所述客户端装置与所述专用网络中的网络装置之间的网络隧道。
20.一种实现了网关的计算机系统,所述计算机系统包括:
处理器;以及
非暂时性存储器,其与所述处理器通信并且存储指令,所述指令在由所述处理器执行时致使所述计算机系统:
从客户端装置接收对所述客户端装置与所述专用网络中的网络装置之间的网络隧道的请求;
认证所述客户端装置;
从与所述计算机系统通信的认证服务器接收包括所述客户端装置被允许与其通信的网络装置的列表的客户端访问列表;
验证所述专用网络中的网络装置是所述客户端装置被允许与其通信的网络装置的列表的一部分;并且
通过所述网关来建立所述客户端装置与所述专用网络中的网络装置之间的网络隧道。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462060427P | 2014-10-06 | 2014-10-06 | |
| US62/060,427 | 2014-10-06 | ||
| US14/578,140 US9148408B1 (en) | 2014-10-06 | 2014-12-19 | Systems and methods for protecting network devices |
| US14/578,140 | 2014-12-19 | ||
| US14/828,357 US9853947B2 (en) | 2014-10-06 | 2015-08-17 | Systems and methods for protecting network devices |
| US14/828,357 | 2015-08-17 | ||
| PCT/US2015/050485 WO2016057177A1 (en) | 2014-10-06 | 2015-09-16 | Systems and methods for protecting network devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107005542A true CN107005542A (zh) | 2017-08-01 |
Family
ID=54149739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580056146.0A Pending CN107005542A (zh) | 2014-10-06 | 2015-09-16 | 用于保护网络装置的系统和方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (4) | US9148408B1 (zh) |
| EP (1) | EP3205073A4 (zh) |
| JP (2) | JP2017537501A (zh) |
| KR (1) | KR102009685B1 (zh) |
| CN (1) | CN107005542A (zh) |
| AU (1) | AU2015328628B2 (zh) |
| BR (1) | BR112017007051A2 (zh) |
| CA (1) | CA2963947C (zh) |
| CO (1) | CO2017003283A2 (zh) |
| MX (1) | MX2017004292A (zh) |
| RU (1) | RU2675055C2 (zh) |
| WO (1) | WO2016057177A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019514298A (ja) * | 2016-04-12 | 2019-05-30 | クリプトゾーン ノース アメリカ, インコーポレイテッド | ファイアウォールによってネットワークデバイスを保護するシステムおよび方法 |
| CN110247896A (zh) * | 2019-05-22 | 2019-09-17 | 深圳壹账通智能科技有限公司 | 基于开启防火墙的信息处理方法、装置和计算机设备 |
| CN111756747A (zh) * | 2020-06-25 | 2020-10-09 | 深圳市幻一科技有限公司 | 一种防火墙网络安全联控方法及其系统 |
| CN112202823A (zh) * | 2020-12-07 | 2021-01-08 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2996018A1 (fr) * | 2012-09-27 | 2014-03-28 | France Telecom | Dispositif et procede de gestion de l'acces a un ensemble de ressources informatiques et reseaux mis a la disposition d'une entite par un systeme informatique en nuage |
| US20150332351A1 (en) * | 2014-05-16 | 2015-11-19 | Centurylink Intellectual Property Llc | System and Method for Service Provider Cloud Services - Cloud Marketplace |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US10447692B2 (en) * | 2015-03-31 | 2019-10-15 | Oath Inc. | Auto-creation of application passwords |
| US9706376B2 (en) * | 2015-05-15 | 2017-07-11 | Avaya Inc. | Navigational aid for emergency response personnel |
| EP3320708B1 (en) * | 2015-07-06 | 2022-03-09 | Telefonaktiebolaget LM Ericsson (publ) | Facilitating secure communcation between a client device and an application server |
| US9942202B2 (en) * | 2015-09-08 | 2018-04-10 | Microsoft Technology Licensing, Llc | Trust status of a communication session |
| US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
| US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
| US10078577B2 (en) | 2016-01-25 | 2018-09-18 | Entit Software Llc | Policy compliance of container images |
| US10412048B2 (en) * | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9628444B1 (en) * | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US11743264B2 (en) * | 2016-02-27 | 2023-08-29 | Gryphon Online Safety Inc. | Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router |
| US10212167B2 (en) * | 2016-02-27 | 2019-02-19 | Gryphon Online Safety, Inc. | Method and system to enable controlled safe internet browsing |
| US11405399B2 (en) * | 2016-02-27 | 2022-08-02 | Gryphon Online Safety Inc. | Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router |
| JP6597452B2 (ja) * | 2016-03-30 | 2019-10-30 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
| US10158610B2 (en) | 2016-07-06 | 2018-12-18 | Adp, Llc | Secure application communication system |
| US10650621B1 (en) | 2016-09-13 | 2020-05-12 | Iocurrents, Inc. | Interfacing with a vehicular controller area network |
| CN107979577B (zh) * | 2016-10-25 | 2021-10-15 | 华为技术有限公司 | 一种终端认证的方法及设备 |
| JP6900657B2 (ja) * | 2016-11-15 | 2021-07-07 | 株式会社リコー | 機器、情報処理システム及びプログラム |
| US10911452B2 (en) * | 2016-11-22 | 2021-02-02 | Synergex Group (corp.) | Systems, methods, and media for determining access privileges |
| US11240240B1 (en) * | 2017-08-09 | 2022-02-01 | Sailpoint Technologies, Inc. | Identity defined secure connect |
| CN110120932B (zh) | 2018-02-06 | 2020-10-23 | 华为技术有限公司 | 多路径建立方法及装置 |
| WO2019239834A1 (ja) * | 2018-06-14 | 2019-12-19 | 京セラドキュメントソリューションズ株式会社 | 認証装置及び画像形成装置 |
| US11522835B2 (en) * | 2018-07-03 | 2022-12-06 | Vmware, Inc. | Context based firewall service for agentless machines |
| US11277380B2 (en) * | 2018-12-17 | 2022-03-15 | T-Mobile Usa, Inc. | Adaptive malicious network traffic response |
| US11190521B2 (en) * | 2019-01-18 | 2021-11-30 | Vmware, Inc. | TLS policy enforcement at a tunnel gateway |
| TWI706281B (zh) * | 2019-02-19 | 2020-10-01 | 華東科技股份有限公司 | 裝置驗證方法 |
| US11394693B2 (en) * | 2019-03-04 | 2022-07-19 | Cyxtera Cybersecurity, Inc. | Establishing network tunnel in response to access request |
| CN113632437B (zh) * | 2019-03-29 | 2023-05-30 | Abb瑞士股份有限公司 | 工业物联网中的安全远程连接 |
| WO2021060859A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법 |
| US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
| KR102119257B1 (ko) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
| US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
| WO2021060858A1 (ko) * | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
| US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| KR102214555B1 (ko) * | 2019-10-22 | 2021-02-08 | 윤홍익 | 인터넷의 특정 사이트만 접속이 가능하도록 방화벽을 구축하는 공기조화시스템용 라우팅 시스템 구성방법 |
| KR102214550B1 (ko) * | 2019-10-22 | 2021-02-08 | 윤홍익 | 인터넷의 특정 사이트만 접속이 가능하도록 방화벽을 구축하는 라우팅 장치를 포함한 공기조화 시스템 |
| CN111245785A (zh) * | 2019-12-30 | 2020-06-05 | 中国建设银行股份有限公司 | 防火墙封禁和解禁ip的方法、系统、设备和介质 |
| KR102204366B1 (ko) * | 2020-04-08 | 2021-01-18 | (주)아이피로드 | 무선환경에서 유해트래픽 제어를 위한 솔루션시스템 |
| US11616762B2 (en) * | 2020-07-24 | 2023-03-28 | Arris Enterprises Llc | Method and system for voice based application blocker |
| US12001874B2 (en) | 2021-07-13 | 2024-06-04 | Rockwell Automation Technologies | Digital engineering secure remote access |
| US11863560B2 (en) * | 2021-07-15 | 2024-01-02 | Rockwell Automation Technologies, Inc. | Industrial automation secure remote access |
| KR102379720B1 (ko) * | 2021-09-03 | 2022-03-29 | 프라이빗테크놀로지 주식회사 | 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 |
| TWI795148B (zh) * | 2021-12-28 | 2023-03-01 | 四零四科技股份有限公司 | 處理存取控制的裝置、方法及系統 |
| CN114268508B (zh) * | 2021-12-30 | 2023-08-18 | 天翼物联科技有限公司 | 物联网设备安全接入方法、装置、设备及介质 |
| CN114422212A (zh) * | 2021-12-31 | 2022-04-29 | 中煤科工集团信息技术有限公司 | 一种工业互联网装置云连接方法、系统及装置 |
| US11463412B1 (en) * | 2022-03-29 | 2022-10-04 | Uab 360 It | Protected configuration of a virtual private network server |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020026503A1 (en) * | 2000-04-12 | 2002-02-28 | Samuel Bendinelli | Methods and system for providing network services using at least one processor interfacing a base network |
| US20040167984A1 (en) * | 2001-07-06 | 2004-08-26 | Zone Labs, Inc. | System Providing Methodology for Access Control with Cooperative Enforcement |
| US20060053296A1 (en) * | 2002-05-24 | 2006-03-09 | Axel Busboom | Method for authenticating a user to a service of a service provider |
| US20080052775A1 (en) * | 1998-11-30 | 2008-02-28 | Ravi Sandhu | Secure Cookies |
| CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
| CN102546585A (zh) * | 2010-12-23 | 2012-07-04 | 国际商业机器公司 | 用于自动虚拟专用网络的方法与系统 |
| CN103168450A (zh) * | 2011-10-14 | 2013-06-19 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
| US20140282914A1 (en) * | 2013-03-15 | 2014-09-18 | Netop Solutions A/S | System and method for secure application communication between networked processors |
Family Cites Families (158)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5889942A (en) * | 1996-12-18 | 1999-03-30 | Orenshteyn; Alexander S. | Secured system for accessing application services from a remote station |
| US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
| US6766454B1 (en) * | 1997-04-08 | 2004-07-20 | Visto Corporation | System and method for using an authentication applet to identify and authenticate a user in a computer network |
| US6381631B1 (en) | 1999-06-03 | 2002-04-30 | Marimba, Inc. | Method and apparatus for controlling client computer systems |
| US7610289B2 (en) | 2000-10-04 | 2009-10-27 | Google Inc. | System and method for monitoring and analyzing internet traffic |
| US7954144B1 (en) * | 2000-01-18 | 2011-05-31 | Novell, Inc. | Brokering state information and identity among user agents, origin servers, and proxies |
| US7085854B2 (en) * | 2000-04-12 | 2006-08-01 | Corente, Inc. | Methods and systems for enabling communication between a processor and a network operations center |
| US7028334B2 (en) | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for using names in virtual networks |
| US7028333B2 (en) | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for partners in virtual networks |
| US7181542B2 (en) | 2000-04-12 | 2007-02-20 | Corente, Inc. | Method and system for managing and configuring virtual private networks |
| US7047424B2 (en) | 2000-04-12 | 2006-05-16 | Corente, Inc. | Methods and systems for hairpins in virtual networks |
| US6898710B1 (en) * | 2000-06-09 | 2005-05-24 | Northop Grumman Corporation | System and method for secure legacy enclaves in a public key infrastructure |
| FI20001837A (fi) * | 2000-08-18 | 2002-02-19 | Nokia Corp | Autentikointi |
| JP2002133324A (ja) * | 2000-10-25 | 2002-05-10 | Toshiba Corp | ユーザ情報管理装置、ユーザ情報管理方法及び電子サービスシステム |
| WO2002048858A2 (en) * | 2000-12-15 | 2002-06-20 | Nokia Corporation | Method and system for acces in open service architecture |
| US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
| US7533409B2 (en) * | 2001-03-22 | 2009-05-12 | Corente, Inc. | Methods and systems for firewalling virtual private networks |
| US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
| US6928549B2 (en) | 2001-07-09 | 2005-08-09 | International Business Machines Corporation | Dynamic intrusion detection for computer systems |
| US7827278B2 (en) | 2001-07-23 | 2010-11-02 | At&T Intellectual Property Ii, L.P. | System for automated connection to virtual private networks related applications |
| US7114175B2 (en) * | 2001-08-03 | 2006-09-26 | Nokia Corporation | System and method for managing network service access and enrollment |
| AR037011A1 (es) | 2001-08-13 | 2004-10-20 | Qualcomm Inc | Un metodo para almacenar una aplicacion en un dispositivo, un dispositivo para ejecutar una aplicacion con dicho metodo, metodos para permitir acceso a un recurso del dispositivo y asociar una lista de autorizacion a una aplicacion, sistemas para almacenar una aplicacion en un dispositivo, para perm |
| US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
| US7099957B2 (en) | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
| US7769838B2 (en) * | 2001-08-23 | 2010-08-03 | The Directv Group, Inc. | Single-modem multi-user virtual private network |
| FI20012338A0 (fi) | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
| US7506058B2 (en) | 2001-12-28 | 2009-03-17 | International Business Machines Corporation | Method for transmitting information across firewalls |
| US7099319B2 (en) | 2002-01-23 | 2006-08-29 | International Business Machines Corporation | Virtual private network and tunnel gateway with multiple overlapping, remote subnets |
| US7076803B2 (en) | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7606938B2 (en) * | 2002-03-01 | 2009-10-20 | Enterasys Networks, Inc. | Verified device locations in a data network |
| US7359974B1 (en) | 2002-03-29 | 2008-04-15 | Packeteer, Inc. | System and method for dynamically controlling aggregate and individual packet flow characteristics within a compressed logical data tunnel |
| CN101795303B (zh) | 2002-04-08 | 2012-08-01 | 艾利森电话股份有限公司 | 能够连接到具有本地地址域的网络的方法及系统 |
| US7245619B1 (en) | 2002-05-31 | 2007-07-17 | Extreme Networks | Method and apparatus for managing routes |
| US7574737B1 (en) * | 2002-05-31 | 2009-08-11 | Novatel Wireless, Inc. | Systems and methods for secure communication over a wireless network |
| JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
| JP4129783B2 (ja) * | 2002-07-10 | 2008-08-06 | ソニー株式会社 | リモートアクセスシステム及びリモートアクセス方法 |
| US7849495B1 (en) | 2002-08-22 | 2010-12-07 | Cisco Technology, Inc. | Method and apparatus for passing security configuration information between a client and a security policy server |
| US7373662B2 (en) * | 2002-08-27 | 2008-05-13 | Hewlett-Packard Development Company, L.P. | Secure resource access |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US20060005237A1 (en) * | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
| US20040167954A1 (en) | 2003-02-21 | 2004-08-26 | Infineon Technologies North America Corp. | Overflow detection system for multiplication |
| US7673048B1 (en) | 2003-02-24 | 2010-03-02 | Cisco Technology, Inc. | Methods and apparatus for establishing a computerized device tunnel connection |
| US7444518B1 (en) * | 2003-06-16 | 2008-10-28 | Microsoft Corporation | Method and apparatus for communicating authorization data |
| US7305705B2 (en) | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
| EP1643691B1 (en) * | 2003-07-04 | 2007-12-05 | Nippon Telegraph and Telephone Corporation | Remote access vpn mediation method and mediation device |
| US20050076198A1 (en) * | 2003-10-02 | 2005-04-07 | Apacheta Corporation | Authentication system |
| US8429232B1 (en) * | 2003-10-03 | 2013-04-23 | Voltage Security, Inc. | Message authentication using signatures |
| EP1725946A4 (en) | 2004-03-10 | 2012-07-11 | Enterasys Networks Inc | Dynamic Network Detection System and Method |
| US7665130B2 (en) | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
| JP4448719B2 (ja) | 2004-03-19 | 2010-04-14 | 株式会社日立製作所 | ストレージシステム |
| US8230480B2 (en) | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
| IL161706A0 (en) | 2004-04-29 | 2004-09-27 | Nulens Ltd | Intraocular lens fixation device |
| US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
| US8136149B2 (en) * | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
| US8340283B2 (en) * | 2004-06-30 | 2012-12-25 | International Business Machines Corporation | Method and system for a PKI-based delegation process |
| US8914522B2 (en) | 2004-07-23 | 2014-12-16 | Citrix Systems, Inc. | Systems and methods for facilitating a peer to peer route via a gateway |
| KR20070039597A (ko) | 2004-07-23 | 2007-04-12 | 사이트릭스 시스템스, 인크. | 사설망에 대한 원격 액세스를 보안화하기 위한 방법 및시스템 |
| US9088547B2 (en) | 2004-07-28 | 2015-07-21 | Nec Corporation | Connection method, communication system, device, and program |
| US7360237B2 (en) * | 2004-07-30 | 2008-04-15 | Lehman Brothers Inc. | System and method for secure network connectivity |
| US7373516B2 (en) | 2004-08-19 | 2008-05-13 | International Business Machines Corporation | Systems and methods of securing resources through passwords |
| US7647492B2 (en) | 2004-09-15 | 2010-01-12 | Check Point Software Technologies Inc. | Architecture for routing and IPSec integration |
| CA2578186C (en) * | 2004-10-12 | 2012-07-10 | Bce Inc. | System and method for access control |
| US7591010B2 (en) | 2005-01-19 | 2009-09-15 | Microsoft Corporation | Method and system for separating rules of a security policy from detection criteria |
| US7661131B1 (en) | 2005-02-03 | 2010-02-09 | Sun Microsystems, Inc. | Authentication of tunneled connections |
| JP4376233B2 (ja) * | 2005-02-04 | 2009-12-02 | 株式会社エヌ・ティ・ティ・ドコモ | クライアント装置、デバイス検証装置及び検証方法 |
| US20060248337A1 (en) | 2005-04-29 | 2006-11-02 | Nokia Corporation | Establishment of a secure communication |
| US8001610B1 (en) | 2005-09-28 | 2011-08-16 | Juniper Networks, Inc. | Network defense system utilizing endpoint health indicators and user identity |
| US8151338B2 (en) * | 2005-09-29 | 2012-04-03 | Cisco Technology, Inc. | Method and system for continuously serving authentication requests |
| WO2007062069A1 (en) * | 2005-11-23 | 2007-05-31 | Ils Technology Llc | Business-to-business remote network connectivity |
| US8584226B2 (en) | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
| US8028071B1 (en) | 2006-02-15 | 2011-09-27 | Vmware, Inc. | TCP/IP offload engine virtualization system and methods |
| US20070209081A1 (en) * | 2006-03-01 | 2007-09-06 | Morris Robert P | Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device |
| US8868757B1 (en) | 2006-05-24 | 2014-10-21 | Avaya Inc. | Two-way web service router gateway |
| US9137043B2 (en) * | 2006-06-27 | 2015-09-15 | International Business Machines Corporation | System, method and program for determining a network path by which to send a message |
| US7849505B2 (en) * | 2006-08-17 | 2010-12-07 | At&T Intellectual Property I, Lp | System and method of selecting a virtual private network access server |
| US8369224B1 (en) | 2006-09-08 | 2013-02-05 | Juniper Networks, Inc. | Combining network endpoint policy results |
| JP4763560B2 (ja) | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
| US8249081B2 (en) | 2006-09-29 | 2012-08-21 | Array Networks, Inc. | Dynamic virtual private network (VPN) resource provisioning using a dynamic host configuration protocol (DHCP) server, a domain name system (DNS) and/or static IP assignment |
| US9231911B2 (en) * | 2006-10-16 | 2016-01-05 | Aruba Networks, Inc. | Per-user firewall |
| US20080178278A1 (en) | 2007-01-22 | 2008-07-24 | Doron Grinstein | Providing A Generic Gateway For Accessing Protected Resources |
| US7809003B2 (en) | 2007-02-16 | 2010-10-05 | Nokia Corporation | Method for the routing and control of packet data traffic in a communication system |
| US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
| US20080301801A1 (en) * | 2007-05-31 | 2008-12-04 | Premkumar Jothimani | Policy based virtual private network (VPN) communications |
| US7992201B2 (en) | 2007-07-26 | 2011-08-02 | International Business Machines Corporation | Dynamic network tunnel endpoint selection |
| US8819763B1 (en) | 2007-10-05 | 2014-08-26 | Xceedium, Inc. | Dynamic access policies |
| US9225684B2 (en) | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
| US8108911B2 (en) | 2007-11-01 | 2012-01-31 | Comcast Cable Holdings, Llc | Method and system for directing user between captive and open domains |
| WO2009145987A2 (en) * | 2008-03-30 | 2009-12-03 | Symplified, Inc. | System, method, and apparatus for single sign-on and managing access to resources across a network |
| US20090254970A1 (en) | 2008-04-04 | 2009-10-08 | Avaya Inc. | Multi-tier security event correlation and mitigation |
| US20090300750A1 (en) | 2008-05-27 | 2009-12-03 | Avaya Inc. | Proxy Based Two-Way Web-Service Router Gateway |
| US8856926B2 (en) | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
| DK2144460T3 (en) | 2008-07-10 | 2016-02-08 | Teliasonera Ab | A method, system, packet data gateway, and computer program for providing connection to the supply of data |
| US9088615B1 (en) * | 2008-07-31 | 2015-07-21 | Pulse Secure, Llc | Determining a reduced set of remediation actions for endpoint integrity |
| US9614855B2 (en) * | 2009-11-05 | 2017-04-04 | Micro Focus Software Inc. | System and method for implementing a secure web application entitlement service |
| US8353021B1 (en) | 2008-09-30 | 2013-01-08 | Symantec Corporation | Determining firewall rules for an application on a client based on firewall rules and reputations of other clients |
| US8893260B2 (en) | 2008-12-17 | 2014-11-18 | Rockstar Consortium Us Lp | Secure remote access public communication environment |
| US8171539B2 (en) * | 2009-01-07 | 2012-05-01 | Symbol Technologies, Inc. | Methods and apparatus for implementing a search tree |
| US8392972B2 (en) | 2009-02-11 | 2013-03-05 | Sophos Plc | Protected access control method for shared computer resources |
| US20100217975A1 (en) * | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
| GB0905559D0 (en) | 2009-03-31 | 2009-05-13 | British Telecomm | Addressing scheme |
| US8850549B2 (en) | 2009-05-01 | 2014-09-30 | Beyondtrust Software, Inc. | Methods and systems for controlling access to resources and privileges per process |
| US20100306530A1 (en) | 2009-06-02 | 2010-12-02 | Johnson Robert A | Workgroup key wrapping for community of interest membership authentication |
| US8275890B2 (en) * | 2009-06-03 | 2012-09-25 | International Business Machines Corporation | Detecting an inactive client during a communication session |
| US8549173B1 (en) | 2009-09-29 | 2013-10-01 | Google Inc. | User-space resource management |
| DE102009054114A1 (de) | 2009-11-20 | 2011-05-26 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Zugreifen auf Steuerungsdaten gemäß einer bereitgestellten Rechteinformation |
| US8549300B1 (en) * | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
| EP2550620B1 (en) | 2010-03-24 | 2014-07-02 | e-BO Enterprises | Trusted content distribution system |
| US9009330B2 (en) | 2010-04-01 | 2015-04-14 | Cloudflare, Inc. | Internet-based proxy service to limit internet visitor connection speed |
| US8601569B2 (en) * | 2010-04-09 | 2013-12-03 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
| US20110252459A1 (en) * | 2010-04-12 | 2011-10-13 | Walsh Robert E | Multiple Server Access Management |
| JP5521736B2 (ja) * | 2010-04-23 | 2014-06-18 | 富士ゼロックス株式会社 | 通信制御装置、通信制御プログラム及び通信制御システム |
| US8997196B2 (en) * | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
| US20110314532A1 (en) * | 2010-06-17 | 2011-12-22 | Kyle Dean Austin | Identity provider server configured to validate authentication requests from identity broker |
| US8127350B2 (en) * | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
| US8433783B2 (en) | 2010-09-29 | 2013-04-30 | Citrix Systems, Inc. | Systems and methods for providing quality of service via a flow controlled tunnel |
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
| US8671221B2 (en) | 2010-11-17 | 2014-03-11 | Hola Networks Ltd. | Method and system for increasing speed of domain name system resolution within a computing device |
| US8510820B2 (en) * | 2010-12-02 | 2013-08-13 | Duo Security, Inc. | System and method for embedded authentication |
| US20120198541A1 (en) * | 2011-02-02 | 2012-08-02 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| US20120210002A1 (en) | 2011-02-15 | 2012-08-16 | Mcquade Philip A | Dynamic walled garden |
| US20120278878A1 (en) | 2011-04-27 | 2012-11-01 | International Business Machines Corporation | Systems and methods for establishing secure virtual private network communications using non-privileged vpn client |
| US8761187B2 (en) | 2011-06-14 | 2014-06-24 | Futurewei Technologies, Inc. | System and method for an in-server virtual switch |
| US9529996B2 (en) | 2011-10-11 | 2016-12-27 | Citrix Systems, Inc. | Controlling mobile device access to enterprise resources |
| US20130332724A1 (en) | 2012-01-24 | 2013-12-12 | Cummings Engineering Consultants, Inc. | User-Space Enabled Virtual Private Network |
| WO2013116856A1 (en) | 2012-02-02 | 2013-08-08 | Seven Networks, Inc. | Dynamic categorization of applications for network access in a mobile network |
| US9201704B2 (en) | 2012-04-05 | 2015-12-01 | Cisco Technology, Inc. | System and method for migrating application virtual machines in a network environment |
| US10091049B2 (en) | 2012-08-17 | 2018-10-02 | F5 Networks, Inc. | Scripting for implementing policy-based traffic steering and management |
| US9565180B2 (en) * | 2012-09-28 | 2017-02-07 | Symantec Corporation | Exchange of digital certificates in a client-proxy-server network configuration |
| US20140109171A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
| US9992185B1 (en) * | 2012-11-02 | 2018-06-05 | Wyse Technology L.L.C. | Virtual desktop accelerator support for network gateway |
| GB201220692D0 (en) | 2012-11-16 | 2013-01-02 | Overnet Data Man Ltd | Software deployment and control method and system |
| US9401924B2 (en) * | 2012-12-20 | 2016-07-26 | At&T Intellectual Property I, L.P. | Monitoring operational activities in networks and detecting potential network intrusions and misuses |
| WO2014117375A1 (zh) | 2013-01-31 | 2014-08-07 | 华为技术有限公司 | 保持应用在线的方法、永久在线控制器和设备 |
| KR20140099598A (ko) | 2013-02-04 | 2014-08-13 | 한국전자통신연구원 | 모바일 vpn 서비스를 제공하는 방법 |
| US9130901B2 (en) | 2013-02-26 | 2015-09-08 | Zentera Systems, Inc. | Peripheral firewall system for application protection in cloud computing environments |
| WO2014161133A1 (zh) | 2013-04-01 | 2014-10-09 | 华为技术有限公司 | 虚拟机的数据交换方法、装置和系统 |
| US9258270B2 (en) | 2013-05-23 | 2016-02-09 | International Business Machines Corporation | Selecting between domain name system servers of a plurality of networks |
| US9300629B1 (en) | 2013-05-31 | 2016-03-29 | Palo Alto Networks, Inc. | Password constraint enforcement used in external site authentication |
| US9426081B2 (en) | 2013-06-01 | 2016-08-23 | Microsoft Technology Licensing, Llc | Management of multilevel queues for shared network adapters |
| US9325630B2 (en) | 2013-07-05 | 2016-04-26 | Red Hat, Inc. | Wild card flows for switches and virtual switches based on hints from hypervisors |
| EP3066607B1 (en) | 2013-11-04 | 2018-12-12 | Illumio, Inc. | Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model |
| EP3066815B1 (en) | 2013-11-04 | 2019-12-04 | Illumio, Inc. | Automated generation of label-based access control rules. |
| US20150135265A1 (en) | 2013-11-11 | 2015-05-14 | MyDigitalShield, Inc. | Automatic network firewall policy determination |
| JP2015115893A (ja) * | 2013-12-13 | 2015-06-22 | 富士通株式会社 | 通信方法、通信プログラム、および中継装置 |
| US9363282B1 (en) | 2014-01-28 | 2016-06-07 | Infoblox Inc. | Platforms for implementing an analytics framework for DNS security |
| US9542224B2 (en) | 2014-01-30 | 2017-01-10 | Vmware, Inc. | User space function execution from a kernel context for input/output filtering from a thread executing in the user space |
| US9635014B2 (en) * | 2014-02-21 | 2017-04-25 | Samsung Electronics Co., Ltd. | Method and apparatus for authenticating client credentials |
| US10469448B2 (en) | 2014-09-05 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Firewall port access rule generation |
| US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US9509574B2 (en) | 2015-04-03 | 2016-11-29 | Illumio, Inc. | End-to-end policy enforcement in the presence of a traffic midpoint device |
| US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
| US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
| US9860213B2 (en) | 2015-12-30 | 2018-01-02 | Iomaxis, Llc | Method and system for securing and protecting smart devices within the internet of things ecosystem |
| US9628444B1 (en) | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| US10362021B2 (en) * | 2016-05-31 | 2019-07-23 | Airwatch Llc | Device authentication based upon tunnel client network requests |
-
2014
- 2014-12-19 US US14/578,140 patent/US9148408B1/en active Active
-
2015
- 2015-08-17 US US14/828,357 patent/US9853947B2/en active Active
- 2015-09-16 KR KR1020177011077A patent/KR102009685B1/ko active IP Right Grant
- 2015-09-16 BR BR112017007051A patent/BR112017007051A2/pt not_active Application Discontinuation
- 2015-09-16 WO PCT/US2015/050485 patent/WO2016057177A1/en active Application Filing
- 2015-09-16 MX MX2017004292A patent/MX2017004292A/es active IP Right Grant
- 2015-09-16 AU AU2015328628A patent/AU2015328628B2/en active Active
- 2015-09-16 CN CN201580056146.0A patent/CN107005542A/zh active Pending
- 2015-09-16 RU RU2017115774A patent/RU2675055C2/ru active
- 2015-09-16 EP EP15848610.0A patent/EP3205073A4/en not_active Withdrawn
- 2015-09-16 JP JP2017519551A patent/JP2017537501A/ja active Pending
- 2015-09-16 CA CA2963947A patent/CA2963947C/en active Active
-
2017
- 2017-04-04 CO CONC2017/0003283A patent/CO2017003283A2/es unknown
- 2017-12-22 US US15/853,178 patent/US10193869B2/en active Active
-
2018
- 2018-12-03 US US16/207,566 patent/US10979398B2/en active Active
-
2019
- 2019-06-25 JP JP2019116973A patent/JP2019208219A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080052775A1 (en) * | 1998-11-30 | 2008-02-28 | Ravi Sandhu | Secure Cookies |
| US20020026503A1 (en) * | 2000-04-12 | 2002-02-28 | Samuel Bendinelli | Methods and system for providing network services using at least one processor interfacing a base network |
| US20040167984A1 (en) * | 2001-07-06 | 2004-08-26 | Zone Labs, Inc. | System Providing Methodology for Access Control with Cooperative Enforcement |
| US20060053296A1 (en) * | 2002-05-24 | 2006-03-09 | Axel Busboom | Method for authenticating a user to a service of a service provider |
| CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
| CN102546585A (zh) * | 2010-12-23 | 2012-07-04 | 国际商业机器公司 | 用于自动虚拟专用网络的方法与系统 |
| CN103168450A (zh) * | 2011-10-14 | 2013-06-19 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
| US20140282914A1 (en) * | 2013-03-15 | 2014-09-18 | Netop Solutions A/S | System and method for secure application communication between networked processors |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019514298A (ja) * | 2016-04-12 | 2019-05-30 | クリプトゾーン ノース アメリカ, インコーポレイテッド | ファイアウォールによってネットワークデバイスを保護するシステムおよび方法 |
| CN110247896A (zh) * | 2019-05-22 | 2019-09-17 | 深圳壹账通智能科技有限公司 | 基于开启防火墙的信息处理方法、装置和计算机设备 |
| CN110247896B (zh) * | 2019-05-22 | 2022-06-14 | 深圳壹账通智能科技有限公司 | 基于开启防火墙的信息处理方法、装置和计算机设备 |
| CN111756747A (zh) * | 2020-06-25 | 2020-10-09 | 深圳市幻一科技有限公司 | 一种防火墙网络安全联控方法及其系统 |
| CN111756747B (zh) * | 2020-06-25 | 2022-07-29 | 深圳市幻一科技有限公司 | 一种防火墙网络安全控制方法及其系统 |
| CN112202823A (zh) * | 2020-12-07 | 2021-01-08 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
| CN112202823B (zh) * | 2020-12-07 | 2021-03-19 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
| US11632376B2 (en) | 2020-12-07 | 2023-04-18 | Hangzhou Jindoutengyun Technologies Co., Ltd. | Network resource access system and method, user portal and resource portal |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2675055C2 (ru) | 2018-12-14 |
| EP3205073A4 (en) | 2017-10-04 |
| AU2015328628B2 (en) | 2018-11-08 |
| US10193869B2 (en) | 2019-01-29 |
| MX2017004292A (es) | 2017-10-02 |
| AU2015328628A1 (en) | 2017-04-27 |
| US20160099916A1 (en) | 2016-04-07 |
| KR20170063795A (ko) | 2017-06-08 |
| CO2017003283A2 (es) | 2017-06-30 |
| KR102009685B1 (ko) | 2019-08-12 |
| JP2017537501A (ja) | 2017-12-14 |
| RU2017115774A3 (zh) | 2018-11-13 |
| US20190116156A1 (en) | 2019-04-18 |
| US9853947B2 (en) | 2017-12-26 |
| US20180139177A1 (en) | 2018-05-17 |
| BR112017007051A2 (pt) | 2018-06-19 |
| CA2963947C (en) | 2019-03-05 |
| RU2017115774A (ru) | 2018-11-13 |
| WO2016057177A1 (en) | 2016-04-14 |
| CA2963947A1 (en) | 2016-04-14 |
| US10979398B2 (en) | 2021-04-13 |
| EP3205073A1 (en) | 2017-08-16 |
| JP2019208219A (ja) | 2019-12-05 |
| US9148408B1 (en) | 2015-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107005542A (zh) | 用于保护网络装置的系统和方法 | |
| US10938785B2 (en) | Multi-tunneling virtual network adapter | |
| CN107210956A (zh) | 多隧道虚拟网络适配器 | |
| JP6678767B2 (ja) | ファイアウォールによってネットワークデバイスを保護するシステムおよび方法 | |
| JP6255091B2 (ja) | プライベートデータを保護するセキュアプロキシ | |
| US10819816B1 (en) | Investigating and securing communications with applications having unknown attributes | |
| JP2018067327A (ja) | プライベートデータを保護するセキュアプロキシ | |
| Bálint | Possible CisCo-based Fire ProteCtion solutions in eduCation institutions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170801 |
|
| WD01 | Invention patent application deemed withdrawn after publication |