CN109660504A - 用于控制对企业网络的访问的系统和方法 - Google Patents
用于控制对企业网络的访问的系统和方法 Download PDFInfo
- Publication number
- CN109660504A CN109660504A CN201811156413.3A CN201811156413A CN109660504A CN 109660504 A CN109660504 A CN 109660504A CN 201811156413 A CN201811156413 A CN 201811156413A CN 109660504 A CN109660504 A CN 109660504A
- Authority
- CN
- China
- Prior art keywords
- request
- enterprise servers
- enterprise
- access control
- control server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 28
- 238000003860 storage Methods 0.000 claims description 14
- 238000012423 maintenance Methods 0.000 claims 2
- 230000006870 function Effects 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 2
- 230000000712 assembly Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种在访问控制服务器中的控制对企业网络的访问的方法包括:在访问控制服务器处,从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求;在访问控制服务器处,响应于接收到请求,从企业网络外部的中央存储库获得企业服务器的安全属性;基于安全属性确定企业服务器是否满足预定义安全阈值;以及,当企业服务器不满足预定义安全阈值时,拒绝在客户端计算设备与企业服务器之间建立连接的请求。
Description
技术领域
本说明书总体上涉及通信系统,并且具体涉及一种用于在通信系统中控制对企业网络的访问的系统和方法。
背景技术
企业网络通常通过部署防火墙来监视企业网络与位于企业网络外部的计算设备之间的连接。位于企业网络外部但却与企业网络相关联的客户端设备可能会试图连接到企业网络内的资源。然而,这种连接可能会使企业网络易受到攻击(例如来自恶意客户端设备的攻击)。某些网络架构(比如,其中采用了客户端设备与企业网络之间的端到端加密的网络架构)可能会降低对源自客户端设备的流量进行检查的传统防火墙部署的有效性。
发明内容
本说明书的一个方面提供了一种在访问控制服务器中的控制对企业网络的访问的方法,所述方法包括:在访问控制服务器处,从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求;在访问控制服务器处,响应于接收到请求,从企业网络外部的中央存储库获得企业服务器的安全属性;基于安全属性确定企业服务器是否满足预定义安全阈值;以及,当企业服务器不满足预定义安全阈值时,拒绝在客户端计算设备与企业服务器之间建立连接的请求。
本说明书的另一方面提供了一种访问控制服务器,其包括:通信接口;连接到通信接口的处理器,该处理器配置为:经由通信接口从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求;响应于接收到请求,从企业网络外部的中央存储库获得企业服务器的安全属性;基于安全属性确定企业服务器是否满足预定义安全阈值;以及,当企业服务器不满足预定义安全阈值时,拒绝在客户端计算设备与企业服务器之间建立连接的请求。
本说明书的另一方面提供了一种存储多个计算机可读指令的非暂时性计算机可读存储介质,该多个计算机可读指令可由访问控制服务器的处理器执行,以将处理器配置为执行包括以下步骤的方法:在访问控制服务器处,从企业网络外部的客户端计算设备接收在客户端计算设备与企业网络中的企业服务器之间建立连接的请求;在访问控制服务器处,响应于接收到请求,从企业网络外部的中央存储库获得企业服务器的安全属性;基于安全属性确定企业服务器是否满足预定义安全阈值;以及,当企业服务器不满足预定义安全阈值时,拒绝在客户端计算设备与企业服务器之间建立连接的请求。
附图说明
参考以下附图来描述各实施例,其中:
图1描绘了根据非限制性实施例的通信系统;
图2描绘了根据非限制性实施例的图1的系统的访问控制服务器的某些内部组件;
图3描绘了控制对企业网络的访问的方法;
图4描绘了在执行图3的方法期间图1的系统的一部分;以及
图5A和图5B描绘了在执行图3的方法期间返回到图1的系统的客户端设备的示例性消息。
具体实施方式
图1描绘了通信系统100。系统100包括多个客户端计算设备,其中示出了它们的两个示例104-1和104-2(一般称为客户端计算设备104或客户端设备104,并且统称为客户端计算设备104或客户端设备104;该命名法也与本公开中的其他单元一起使用)。每个客户端设备104是蜂窝电话、智能电话、平板电脑、台式计算机等等中的任何合适的一种。一般情况下,每个客户端计算设备104包括:形式为一个或多个集成电路(IC)的中央处理单元(CPU)和存储器,以及输入和输出设备(例如与显示器集成在一起的触摸屏)。在上述存储器中,每个客户端设备104可以存储可由上述处理器执行来实现各种功能的一个或多个应用。
某些客户端设备应用(例如,电子邮件和其他消息传递应用、云存储应用等)需要访问客户端设备104自身没有的资源。如此,每个客户端设备104还包括通信接口(例如无线电组件),以使得客户端设备104能够经由诸如互联网之类的广域网108与其他计算设备进行通信。客户端设备104可以经由有线链路和无线链路的任何合适组合来连接到WAN 108,该组合可以穿过另外的网络,例如图1中未示出的移动网络、局域网(LAN)等。
上面提到的资源提供在移动设备104经由网络108可访问的一个或多个服务提供商服务器上。具体地,在本示例中,客户端设备104-1执行的应用(例如,消息传递应用)所需要的某些资源由企业服务器112-1提供。换言之,客户端设备104-1与企业服务器112-1和部署该企业服务器112-1的企业网络116-1相关联。在本示例中,企业网络116-1是公司LAN,而客户端设备104-1是公司移动计算设备,其被分配给了对网络116-1进行控制的公司实体的雇员。客户端设备104-1配置为在执行上述消息传递应用期间从企业服务器112-1取回数据。
例如,客户端设备104-1可以配置为从企业服务器112-1取回那些寻址到分配给上述雇员的消息传递帐户的消息。如图1所示,企业网络116-1经由企业防火墙120-1连接到WAN 108。与此同时,客户端设备104-2可以与另一企业网络116-2相关联,该另一企业网络116-2包含企业服务器112-2并且可以经由另一企业防火墙120-2连接到WAN 108。在其他实施例中还可以提供多个其他客户端设备104和企业网络116,其中每个企业网络116包含一个或多个企业服务器112。此外,不只一个客户端设备104可以与给定企业网络116相关联。
对本领域技术人员而言显然的是,每个企业服务器112包括一个或多个中央处理单元和存储器组件。每个企业服务器112的CPU配置为执行存储在存储器中的一个或多个应用,以便执行各种功能。这样的功能包括接收来自与企业服务器112相关联的客户端设备104的请求以及为这样的请求提供服务。
在本示例中,系统100配置为使得能够在企业服务器112与客户端设备104之间建立端到端加密的连接。具体而言,系统100配置为使客户端设备104-1能够与企业服务器112-1建立加密的连接,由此使得在企业服务器112-1与客户端设备104-1之间交换的有效载荷数据(例如上述消息传递应用的数据)对于系统100的任何中间组件而言基本上是无法破译的,所述中间组件包括WAN 108内的路由硬件和防火墙120-1。如本领域技术人员将会理解的,诸如路由信息之类的附加数据可以封装上述有效载荷数据。在一些实施例中,这些附加数据也可被加密,但是可被中间组件解密。
此外,系统100配置为减少或消除了为了允许企业服务器112接收来自客户端设备104的请求并对请求作出响应而要重新配置给定企业网络116的防火墙120的需求。例如,为了使企业服务器112-1能够接收来自客户端设备104-1的请求,通常需要将防火墙120-1配置为允许实现预定义端口上的入站连接(即,开放该端口),其中客户端设备104-1配置为在发送给企业服务器112-1的请求中使用该端口。不过,在系统100中,尽管防火墙120-1被配置为没有开放这样的端口,但是这样的入站请求仍然可以到达企业服务器112-1。
为此,系统100包括连接到WAN 108的桥接服务器124。每个企业服务器112(例如在启动时)配置为:向桥接服务器124发送请求以在企业服务器112与桥接服务器124之间建立持久(在本示例中是经过加密的)连接,在本文中也被称为隧道。例如,企业服务器112可以预先配置有桥接服务器124的网络标识符(例如,IP地址、URL等),以在生成和发送上述请求时使用。因此,企业服务器112-1配置为请求建立隧道128-1,并且企业服务器112-2配置为请求建立隧道128-2。逻辑连接(如隧道128)在图1中以虚线示出,而系统100的各单元之间的物理链路(逻辑连接建立在物理链路之上)以实线示出。因为每个隧道128是经由来自相应的企业服务器112的出站请求而创建的,而不是源自入站请求(例如,来自桥接服务器124的请求),所以不需要将防火墙120重新配置为允许建立隧道128。
如下面将更详细地讨论的,桥接服务器124配置为针对各种服务中的任何一种服务通过隧道128来路由去往和来自企业服务器112的流量(traffic)。例如,桥接服务器124可以配置为在企业服务器112-1与客户端设备104-1之间通过隧道128-1(下面将更详细地讨论的,在其他连接上)路由数据流量。客户端设备104还配置为建立与桥接服务器124的连接,以与企业服务器112进行通信。具体地,客户端设备104配置为经由连接到网络108的访问控制服务器132请求访问企业服务器112。
访问控制服务器132配置为接收并处理来自客户端设备104的访问企业网络116内的资源(诸如企业服务器112)的请求。具体地,访问控制服务器132配置为发起客户端设备104与企业服务器112之间的经由桥接服务器124的加密连接的建立。一旦建立了这样的连接,企业服务器112就可以提供客户端设备104所请求的服务。在一些示例中,企业服务器112可以实现一种或多种认证机制,例如在向客户端设备104提供所请求的服务之前,提示客户端设备104提供认证凭证(例如,账户标识符和关联的密码)。
在启动时,访问控制服务器132配置为建立与桥接服务器124的连接136。每个客户端设备104配置为通过建立到访问控制服务器132的连接140来请求访问企业网络116,其中访问控制服务器132的网络地址可被预配置在客户端设备104内(例如,作为存储的IP地址、URL等,包括或伴随有标识与客户端设备104相关联的特定企业服务器112的属性)。示出了在客户端设备104-1与访问控制服务器132之间建立的连接140-1。
响应于来自客户端设备104(例如客户端设备104-1)的请求,访问控制服务器132可以促进客户端设备104-1与企业服务器112-1之间的连接,比如通过下述方式来促进:通过存储连接140-1与连接136之间的关联;或者通过向客户端设备104-1提供路由信息,以使客户端设备104-1能够直接与桥接服务器124建立连接(未示出)。访问控制服务器132还配置为向桥接服务器124发送用以将客户端设备104-1与隧道128-1相关联的指令,由此允许数据经由桥接服务器124在客户端设备104-1与企业服务器112之间流动。来自访问控制服务器132的用以将连接136和140-1(或者客户端设备104-1与桥接服务器124之间的任何其他合适的连接)与隧道128-1相关联的指令使得客户端设备104-1和企业服务器112-1能够协商通过隧道128-1承载的加密连接。
如前所述,图1中所示的系统架构减少了对防火墙120进行重新配置的需求,并且允许在客户端设备104与企业服务器112之间建立采用端到端加密的连接。然而,上述系统架构还可能使恶意客户端设备(例如,安装在客户端设备104-1上的恶意软件,不管客户端设备104-1的操作者是否知晓)能利用企业服务器112中的漏洞。具体而言,访问控制服务器132是可经由WAN 108公开访问的,从而允许客户端设备104经由WAN 108到达访问控制服务器132。因此,任何客户端设备都可以经由访问控制服务器132来请求访问任何企业服务器。在经由访问控制服务器132和桥接服务器124在客户端设备104与企业服务器112之间建立连接之后,隧道128-1允许客户端设备104有效地绕过对应的防火墙120。此外,客户端设备104与企业服务器112之间的端到端加密可以阻止其他网络组件(例如访问控制服务器132和桥接服务器124)通过检查流量来检测对企业网络116的潜在攻击。因此,上述漏洞可被恶意客户端设备利用来获得对企业网络116的其他部分的访问,或者利用来破坏企业服务器112本身的功能。
为了降低上述风险,访问控制服务器132还配置为:在促进客户端设备与企业服务器的连接之前,通过参考存储库144中的与企业服务器112相对应的安全属性来实现一个或多个安全检查。将在下面更详细地讨论由访问控制服务器132实现的安全检查功能。
在讨论访问控制服务器132的安全相关功能之前,将参考图2讨论访问控制服务器132和桥接服务器124的某些内部组件。如图2所示,访问控制服务器132包括中央处理单元(CPU)200,在本文中也被称为处理器200,其形式为一个或多个集成电路(IC)。处理器200与非暂时性计算机可读存储介质(例如存储器204)互连。存储器204包括易失性(例如,随机存取存储器或RAM)和非易失性存储器(例如,只读存储器或ROM、电可擦除可编程只读存储器或EEPROM、闪存)的任何合适的组合。存储器204存储可由处理器200执行的计算机可读指令,其包括访问控制应用208,在本文中也被称为应用208。
处理器200执行应用208的指令,以结合访问控制服务器132的其他组件来执行各种功能,所述功能与接收并处理来自客户端设备104的要求访问企业服务器112的请求有关。当在下面对这些功能进行讨论时,访问控制服务器132被称作是配置为执行这些功能,应当理解的是,访问控制服务器132通过处理器200执行应用208中的指令来如此配置。
存储器204还存储路由数据存储库212。例如,存储库212可以包含每个企业服务器112的标识符。在一些实施例中,例如可以部署多个桥接服务器124来为地理位置不同的企业网络116提供服务。在这样的实施例中,路由数据212还可以指示企业服务器112与各个桥接服务器124之间的关联。
访问控制服务器132还包括与处理器200互连的通信接口216,通信接口216使得访问控制服务器132能连接到WAN 108。通信接口216因此包括通过WAN 108进行通信所需要的硬件,诸如网络接口控制器等(例如,一个或多个以太网控制器)。访问控制服务器132还可以包括与处理器200互连的输入设备和输出设备,例如键盘、显示器等(未示出)。
如图2所示,访问控制服务器132经由通信接口216和WAN 108访问安全属性的存储库144。也就是说,存储库144存储在另一计算设备(例如,桥接服务器124或图1中未示出的另一服务器)的存储器中。然而在其他示例中,存储库144直接存储在访问控制服务器132上的存储器204中。在其他示例中,存储库144还可以存储在系统100中的多个计算设备上。也就是说,存储库144的一部分内容(将在下面更详细地讨论)可以存储在访问控制服务器132处,而另一部分可以存储在访问控制服务器132的外部并经由WAN 108进行访问。
桥接服务器124包括:中央处理单元(CPU)250,其在本文中也被称为处理器250,其形式为一个或多个集成电路(IC)。处理器250与非暂时性计算机可读存储介质(例如存储器254)互连。存储器254包括易失性(例如,随机存取存储器或RAM)和非易失性存储器(例如,只读存储器或ROM、电可擦除可编程只读存储器或EEPROM、闪存)的任何合适的组合。存储器254存储可由处理器250执行的计算机可读指令,包括桥接应用258。如上所述,在一些实施例中,存储器254还存储安全属性的存储库144。
处理器250执行应用258的指令,以结合桥接服务器124的其他组件来执行各种功能,所述功能与在客户端设备104与企业服务器112之间建立连接有关。当在下面对这些功能进行讨论时,桥接服务器124被称作是配置为执行这些功能,应当理解的是,桥接服务器124通过处理器250执行应用258中的指令来如此配置。
桥接服务器124还包括与处理器250互连的通信接口266,其使得桥接服务器124能够连接到WAN 108。因此,通信接口266包括通过WAN 108进行通信所需要的硬件,诸如网络接口控制器等(例如,一个或多个以太网控制器)。桥接服务器124还可以包括与处理器250互连的输入设备和输出设备,例如键盘、显示器等(未示出)。
现转到图3,示出了控制对企业网络116的访问的方法300。方法300将在下面结合其在系统100上的执行来讨论。具体地,如下所述的方法300的某些方框由访问控制服务器132经由处理器200执行应用208来执行,而方法300的其他方框由桥接服务器124经由处理器250执行应用258来执行。
在方框305处,访问控制服务器132配置为从客户端设备104接收访问企业网络116的请求。在本示例中,在方框305处接收请求之前,访问控制服务器132配置为与桥接服务器124建立连接136。例如,访问控制服务器132可以配置为在启动时建立连接136,如前所述。
在方法300的本示例性执行中,在方框305处,访问控制服务器132从客户端设备104-1接收请求。例如,客户端设备104-1可以配置为经由WAN 108发送访问企业服务器112-1的请求。例如,该请求可以采用先前存储在客户端设备104-1上的URL的形式,例如“https://bes112-1.ac132.com”。上述示例中的字符串“ac132.com”对应于访问控制服务器132,并且字符串“bes112-1”标识客户端设备104-1所请求访问的企业服务器112-1。例如,基于上述域名字符串“ac132.com”,该请求被路由到访问控制服务器132,并且客户端设备104-1和访问控制服务器132被配置为建立连接140-1,如图1所示。例如,客户端设备104-1和访问控制服务器132可以配置为将连接140-1建立为安全连接。可以采用任何合适的安全通信协议来建立这种连接,例如安全超文本传输协议(HTTPS,也被称为基于传输层安全(TLS)的HTTP)。
在方框310处,访问控制服务器132配置为经由桥接服务器124在客户端设备104-1与企业服务器112-1之间发起隧道的建立。在本实施例中,访问控制服务器132配置为经由连接136向桥接服务器发送指令,以将连接140-1和136与隧道128-1相关联。现在对于本领域技术人员来说明显的是,对于接收自其他客户端设备104的请求或要求访问其他企业服务器112的请求,上述给桥接服务器124的指令指示其他连接140和隧道的适当组合。当系统100中存在不只一个桥接服务器124时,访问控制服务器132可以咨询路由储存库212,以选出适当的桥接服务器124。
参考图4,示出了在方框310的执行期间系统100的一部分(不包括企业网络116-2和客户端设备104-2)。访问控制服务器132配置为通过连接136向桥接服务器124发送指令400。该指令使得桥接服务器124将隧道128-1与连接140-1和136相关联。在其他示例中,也如图4所示,连接404可以在客户端设备104-1与桥接服务器124之间直接建立(例如,在访问控制服务器132的帮助下响应于在方框305处接收的请求来建立)。连接404与隧道128-1之间的关联可以存储在桥接服务器124处,如内部链路408所示。
在方框315处,除了将内部链路408或任何其他合适的关联存储在存储器254中以定义客户端设备104-1与企业服务器112-1之间的隧道之外,桥接服务器124还配置为向访问控制服务器132请求访问控制决策,而不是允许客户端设备104-1访问所请求的资源(即,本示例中的企业服务器112-1)。因此,在本实施例中,桥接服务器124配置为在开始通过客户端设备104-1与企业服务器112-1之间的隧道路由数据之前会等待来自访问控制服务器132的响应(如由指向方框337的虚线所示)。
在方框320处,访问控制服务器132配置为:响应于来自桥接服务器124的访问控制决策请求,获得对应于企业服务器112-1的至少一个安全属性。从存储库144获得该至少一个安全属性,并且访问控制服务器132所采取的用于获得该至少一个安全属性的具体动作取决于存储库144的具体部署。在一些示例中,如前所述,存储库144被维护在与访问控制服务器132不同的计算设备处,并且在方框320处,访问控制服务器132因此配置为经由通信接口216和WAN 108发送针对至少一个安全属性的请求。该请求至少包括请求访问的企业服务器112的标识符(根据在方框305处接收的请求)。在存储库144存储在存储器204中的其他示例中,访问控制服务器132通过如下方式执行方框320:从存储器204中的储存库144直接取回至少一个安全属性(即,不需要向另一个计算设备发送请求)。
一般情况下,存储库144是与系统100中的每个企业服务器112对应的安全属性的中心源。在一些示例中,存储库144仅包括系统100中的企业服务器112的子集的安全属性。例如,可能会要求每个企业服务器112选择加入本文讨论的由访问控制服务器132执行的过程,因此,可以仅存储那些已经选择加入的企业服务器112的安全属性。可以根据各种机制填充存储库144。在本示例中,当每个企业服务器112建立各自的隧道128时,企业服务器112通过隧道128传输各种安全属性中的任何一个或任何合适的组合。在本示例中,企业服务器112至少传输企业服务器112为了服务来自客户端设备104的请求而执行的企业管理应用的版本信息,以及企业服务器112用来建立隧道128的安全通信协议的版本信息。在其他示例中,企业服务器112还可以传输各种其他软件、通信协议等等中的任何一种的版本信息。例如,如果企业服务器112为了服务客户端请求而执行多个不同的应用(例如,与各种类型的客户端请求相对应的不同应用,如消息传递应用和云存储应用),则可以从企业服务器112传输每个应用的版本信息。
企业服务器112在建立隧道128时传输的数据存储在存储库144中。例如,当存储库144存储在访问服务器132处时,桥接服务器124配置为将上述版本信息通过连接136转发给访问控制服务器132。在存储库存储在与桥接服务器124和访问控制服务器132不同的计算设备处的其他示例中,桥接服务器124配置为将版本信息转发给其他计算设备。在又一示例中,桥接服务器124配置为将数据转发给访问控制服务器132,而访问控制服务器132又配置为指示托管存储库144的另一计算设备对其执行任何必要的更新。下面的表1示出了在存储库144中维护的一组示例性安全属性。
表1:安全属性存储库144
具体地,从上面可以看出,存储库144针对每个企业服务器112包括一组安全参数。安全参数包括“企业版本”和安全通信协议版本(例如,用来通过隧道128进行通信的HTTPS协议或与其一起部署的TLS机制的版本)。
存储在存储库144中的安全属性还包括关于任何已知漏洞是否对应于从企业服务器接收到的版本信息的指示。例如,表1表明了在企业服务器112-1当前部署的软件版本和安全通信协议版本中的一者或两者存在有已知漏洞。在其他示例中,可以基于每个版本来指示已知漏洞是否存在,而不是如表1中指示为单个标记。在其他示例中,已知漏洞可以与版本信息分开存储。例如,存储库144可以包括单独的表(未示出),此表包含针对企业软件和通信协议的多个版本中的每一个版本是否存在已知漏洞的指示。现在明显的是,存储库144还可以包含关于漏洞性质的更加详细的信息(如果存在的话)。例如,可以与漏洞标记相关联来指示严重程度;在另一个示例中,可以与每个版本相关联地存储多个标记,指示存在(或不存在)严重程度不同的漏洞。
当存储库144存储在不同于访问服务器132的计算设备处时,所接收的对上述安全属性请求的响应可以包括上述讨论的任何或所有属性。然而,在其他示例中,响应可以仅包括与企业服务器112-1相关联的任何漏洞标记是否被设置为“真”(例如,表1中的值“是”或任何其他合适的值,如二进制1等)的指示。
从表1中还可以看出,存储库144可以包括一个或多个辅助安全属性。与上面讨论的安全属性(其定义企业服务器112自身的特性)不同,辅助安全属性可以涉及其他计算设备。例如,表1表明黑名单已经与企业服务器112-1相关联,表明不允许IP地址“1.2.3.4.5”访问企业服务器112-1。其他辅助安全属性也可被存储在存储库144中,包括列入白名单的IP地址、速率限制等。
在方框325处,访问控制服务器132配置为确定在方框320处获得的安全属性是否满足预定安全阈值。一般情况下,安全阈值定义了一个或多个条件,如果安全属性满足这些条件,则表明企业服务器112是安全的足以允许客户端设备104(在方框305处接收的请求来自该客户端设备104)访问企业服务器112。
在应用208中预先配置的阈值的性质取决于在方框320处获得的安全属性的性质。例如,如果在方框320处访问控制服务器132接收到表明存在与企业服务器112-1相关的漏洞的简单指示(例如该指示来自另一个计算设备),则所述阈值是企业服务器112-1不存在已知漏洞的要求。在其他示例中,该指示可以包括这种已知漏洞的严重程度,因此,阈值可以定义最大可允许严重程度。在访问服务器132取回或接收与不同软件组件或通信协议相对应的漏洞的不同指示的其他示例中,该阈值可以包括多个阈值,每个阈值对应于特定软件组件或通信协议。
当在方框325处的确定为肯定结果时,方法300的执行进行到方框330。在方框330处,访问控制服务器132配置为向桥接服务器124返回准许访问企业服务器112-1的决策(即,有效地准许在方框305处接收的初始请求)。可以将该决策发送给桥接服务器,作为在方框305处请求的访问(以及在方框310处发送的指令与之相关)被准许的指示。在接收到指示访问被准许的访问控制决策之后,在方框337处,桥接服务器124配置为通过如下方式实现决策:允许数据流量通过使用连接140-1、136和128-1建立的隧道在客户端设备104-1与企业服务器112-1之间流动。然后,客户端设备104-1和企业服务器112-1可以协商用于递送客户端设备104-1所请求的服务的安全连接。
简要地参考图5A,在方框330处,访问控制服务器132或桥接服务器124可以配置为向客户端设备104-1发送表明正在建立所请求的与企业服务器112-1的连接的指示。例如,可以将网页500提供给客户端设备104-1,在此之后,客户端设备104-1可以与企业服务器112协商上述安全连接(例如,采用端到端加密)。当已经建立了企业服务器112-1与客户端设备104-1之间的安全连接时,企业服务器112-1可以在提供对所请求的服务的访问之前将网页502发送给客户端设备104-1,提示客户端设备104-1提供认证参数(如用户名和密码)。
返回到图3,当方框325处的确定为否定结果时(指示企业服务器112-1可能易受到来自恶意客户端设备的攻击),则访问控制服务器132转而进行到方框335。在方框335处,访问控制服务器132配置为向桥接服务器124返回拒绝访问企业服务器112-1的决策。在一些实施例中,在方框335发送的决策仅包含拒绝访问的指示。在其他实施例中,决策可以包括拒绝的原因(例如,拒绝是由企业服务器112-1处的过期的安全协议造成的)。桥接服务器124配置为例如通过丢弃先前存储的隧道128-1与连接140-1和136(或其他实施例中的连接404)之间的关联在方框337处实现该拒绝访问的决策。由于在方框337处实现了该拒绝访问的决策,桥接服务器124不允许数据流量在客户端设备104-1与企业服务器112-1之间流动。在方框335处,访问控制服务器132或桥接服务器124还可以配置为向客户端设备104-1提供错误消息,例如图5B中所示的网页504。换言之,当在方框325处的确定为否定结果时,访问控制服务器132配置为在桥接服务器124处阻止客户端设备104-1对企业网络116-1的访问。
当存储库144中包括辅助安全参数时,如表1所示,可以在方框320处获得这样的辅助参数,并将其与在方框305处接收的请求进行比较。例如,方框325处的确定可以包括上述关于安全属性是否满足预定阈值的确定以及在方框305处接收的客户请求是否满足辅助安全属性的确定。
返回图3,在方框340处,访问控制服务器132配置为响应于拒绝在方框305处接收的请求而生成一个或多个警报。通常,在方框340处生成的警报用于向企业服务器112-1的管理员通知由于企业服务器112-1本身存在潜在漏洞而导致了入站客户端连接已被拒绝(而不是指明客户端设备104-1处的恶意活动的指示)。在方框340处生成的警报可以采用各种形式中的任何一种或任何合适的组合。例如,访问控制服务器132可以配置为通过连接136和隧道128-1(即,经由桥接服务器124)向企业服务器112-1传输警报。
对于本领域技术人员将是明显的是,企业服务器112-1通常包括警报生成机制,用于(例如向管理员)传送从桥接服务器124接收的错误。在其他示例中,访问控制服务器132在存储器204中存储一个或多个标识符,该一个或多个标识符对应于与企业服务器112-1的管理员相关联的计算设备。因此,在方框340处,访问控制服务器132配置为检索一个或多个这样的标识符,并经由WAN 108(但不一定经由桥接服务器124)向对应设备传输通知。在方框340处传输的通知可以包括电子邮件、短消息服务(SMS)、即时消息(IM)和电话(例如音频录音)通知中的任何一种或多种。在方框340处生成的警报指示下述中的任何一个或多个:在方框335处拒绝的日期和时间、在方框305处接收的请求来自的客户端设备104的标识符以及在方框335处拒绝的原因(例如,已知漏洞与在企业服务器112-1处的当前实现的通信协议相关联)。方法300在执行方框340之后结束。
可以想到上述系统和方法的变型。例如,尽管如上所讨论的方法300包括针对每一个客户端请求的安全属性评估,但是在其他实施例中,访问控制服务器132可以配置为仅针对从客户端设备104接收的请求的子集执行方框320和325。例如,访问控制服务器132可以配置为针对预定义数量的客户端请求中的每个客户端请求执行方框320和325一次,或者是在预定义时间段内执行一次。对于不执行方框320和325的任何客户端请求来说,访问控制服务器132可以配置为针对相关企业服务器112应用方框325的最近一次执行结果。
在其他变型中,访问控制服务器132和桥接服务器124可以被实现为执行如上所述的服务器124和132的功能的单个计算设备。
本领域技术人员将会理解的是,在一些实施例中,可以使用预编程硬件或固件元件(例如,专用集成电路(ASIC)、现场可编程门阵列(FPGA)等)或其他相关组件来实现由处理器200执行的应用208的功能。
权利要求的范围不应受上述示例中阐述的实施例的限制,而应被赋予与整个说明书一致的最广泛解释。
Claims (18)
1.一种在访问控制服务器中的控制对企业网络的访问的方法,包括:
在所述访问控制服务器处,从所述企业网络外部的客户端计算设备接收在所述客户端计算设备与所述企业网络中的企业服务器之间建立连接的请求;
在所述访问控制服务器处,响应于接收到所述请求,从所述企业网络外部的中央存储库获得所述企业服务器的安全属性;
基于所述安全属性确定所述企业服务器是否满足预定义安全阈值;以及
当所述企业服务器不满足所述预定义安全阈值时,拒绝在所述客户端计算设备与所述企业服务器之间建立连接的所述请求。
2.根据权利要求1所述的方法,还包括:
在接收到所述请求之前,在所述访问控制服务器与桥接服务器之间建立连接,所述桥接服务器配置为维护与所述企业服务器的隧道连接;
响应于所述请求,通过将所述隧道连接与所述客户端计算设备相关联,发起经由所述桥接服务器在所述客户端计算设备与所述企业服务器之间建立连接。
3.根据权利要求2所述的方法,还包括:
当所述企业服务器满足所述预定义安全阈值时,通过从所述访问控制服务器向所述桥接服务器发送用以在所述客户端计算设备与所述企业服务器之间路由数据流量的命令来允许所述请求,
其中拒绝建立连接的所述请求包括:向所述桥接服务器发送用以在所述客户端计算设备与所述企业服务器之间阻止数据流量的命令。
4.根据权利要求1所述的方法,其中获得所述安全属性包括:向托管所述存储库的另一计算设备发送请求;以及,响应于所述请求,接收所述安全属性。
5.根据权利要求1所述的方法,其中所述存储库包含相应企业网络中的多个企业服务器中的每一个的相应安全属性。
6.根据权利要求5所述的方法,其中所述安全属性指示已知漏洞是否与所述企业服务器相关联。
7.根据权利要求1所述的方法,还包括:
从所述存储库获得辅助安全属性;以及
确定建立连接的所述请求是否满足所述辅助安全属性。
8.根据权利要求7所述的方法,还包括:
当下述两个确定中的至少一个为否定结果时,拒绝所述建立连接的请求:(i)所述企业服务器是否满足所述预定义安全阈值;以及(ii)所述建立连接的请求是否满足所述辅助安全属性。
9.一种访问控制服务器,包括:
通信接口;
连接到所述通信接口的处理器,所述处理器配置为:
经由所述通信接口从所述企业网络外部的客户端计算设备接收在所述客户端计算设备与所述企业网络中的企业服务器之间建立连接的请求;
响应于接收到所述请求,从所述企业网络外部的中央存储库获得所述企业服务器的安全属性;
基于所述安全属性确定所述企业服务器是否满足预定义安全阈值;并且
当所述企业服务器不满足所述预定义安全阈值时,拒绝在所述客户端计算设备与所述企业服务器之间建立连接的所述请求。
10.根据权利要求9所述的访问控制服务器,所述处理器还配置为:
在接收到所述请求之前,在所述访问控制服务器与桥接服务器之间建立连接,所述桥接服务器配置为维护与所述企业服务器的隧道连接;
响应于所述请求,通过将所述隧道连接与所述客户端计算设备相关联,发起经由所述桥接服务器在所述客户端计算设备与所述企业服务器之间建立连接。
11.根据权利要求10所述的访问控制服务器,所述处理器还配置为:
当所述企业服务器满足所述预定义安全阈值时,通过从所述访问控制服务器向所述桥接服务器发送用以在所述客户端计算设备与所述企业服务器之间路由数据流量的命令来允许所述请求;并且
当所述企业服务器不满足所述预定义安全阈值时,通过向所述桥接服务器发送用以在所述客户端计算设备与所述企业服务器之间阻止数据流量的命令来拒绝建立所述连接的所述请求。
12.根据权利要求9所述的访问控制服务器,所述处理器还配置为:通过向托管所述储存库的另一计算设备发送请求来获得所述安全属性;以及,响应于所述请求,接收所述安全属性。
13.根据权利要求9所述的访问控制服务器,其中所述存储库包含相应企业网络中的多个企业服务器中的每一个的相应安全属性。
14.根据权利要求13所述的访问控制服务器,其中所述安全属性指示已知漏洞是否与所述企业服务器相关联。
15.根据权利要求9所述的访问控制服务器,所述处理器还配置为:
从所述存储库获得辅助安全属性;并且
确定建立连接的所述请求是否满足所述辅助安全属性。
16.根据权利要求15所述的访问控制服务器,所述处理器还配置为:
当下述两个确定中的至少一个为否定结果时,拒绝所述建立连接的请求:(i)所述企业服务器是否满足所述预定义安全阈值;以及(ii)所述建立连接的请求是否满足所述辅助安全属性。
17.根据权利要求9所述的访问控制服务器,还包括:
存储所述存储库的存储器,
其中所述处理器还配置为通过从所述存储器取回所述企业服务器的安全属性来获得所述企业服务器的安全属性。
18.一种存储多个计算机可读指令的非暂时性计算机可读存储介质,所述多个计算机可读指令可由访问控制服务器的处理器执行,以将所述处理器配置为执行包括以下步骤的方法:
在所述访问控制服务器处,从企业网络外部的客户端计算设备接收在所述客户端计算设备与所述企业网络中的企业服务器之间建立连接的请求;
在所述访问控制服务器处,响应于接收到所述请求,从所述企业网络外部的中央存储库获得所述企业服务器的安全属性;
基于所述安全属性确定所述企业服务器是否满足预定义安全阈值;以及
当所述企业服务器不满足所述预定义安全阈值时,拒绝在所述客户端计算设备与所述企业服务器之间建立连接的所述请求。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/728832 | 2017-10-10 | ||
| US15/728,832 US10038696B1 (en) | 2017-10-10 | 2017-10-10 | System and method for controlling access to enterprise networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109660504A true CN109660504A (zh) | 2019-04-19 |
| CN109660504B CN109660504B (zh) | 2022-10-21 |
Family
ID=62948508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811156413.3A Active CN109660504B (zh) | 2017-10-10 | 2018-09-30 | 用于控制对企业网络的访问的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10038696B1 (zh) |
| EP (1) | EP3471370B1 (zh) |
| CN (1) | CN109660504B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3104598A1 (en) * | 2018-06-29 | 2020-01-02 | Cryptometry Canada Inc. | Communications bridge |
| JP7167585B2 (ja) | 2018-09-20 | 2022-11-09 | 富士フイルムビジネスイノベーション株式会社 | 障害検出装置、障害検出方法及び障害検出プログラム |
| US11553047B2 (en) * | 2018-11-30 | 2023-01-10 | International Business Machines Corporation | Dynamic connection capacity management |
| US11329954B1 (en) * | 2019-07-30 | 2022-05-10 | Berryville Holdings, LLC | Traceless access to remote deployed devices in undisclosed locations |
| JP7279568B2 (ja) * | 2019-07-31 | 2023-05-23 | コニカミノルタ株式会社 | 支援サーバー、トンネル接続支援方法およびトンネル接続支援プログラム |
| CN112351005B (zh) * | 2020-10-23 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| US20230388307A1 (en) * | 2022-05-27 | 2023-11-30 | Pc Matic Inc | System and Method for Improved Security when Working Remotely |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101405A1 (en) * | 2004-07-30 | 2007-05-03 | Engle Michael T | System and method for secure network connectivity |
| US20100057895A1 (en) * | 2008-08-29 | 2010-03-04 | At& T Intellectual Property I, L.P. | Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products |
| CN102724296A (zh) * | 2012-05-24 | 2012-10-10 | 中国工商银行股份有限公司 | 一种网络客户端监控系统 |
| US8572219B1 (en) * | 2006-03-02 | 2013-10-29 | F5 Networks, Inc. | Selective tunneling based on a client configuration and request |
| US20140189781A1 (en) * | 2012-12-31 | 2014-07-03 | Verizon Patent And Licensing Inc. | Mobile enterprise server and client device interaction |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1466261B1 (en) * | 2002-01-08 | 2018-03-07 | Seven Networks, LLC | Connection architecture for a mobile network |
| EP1933522B1 (en) * | 2006-12-11 | 2013-10-23 | Sap Ag | Method and system for authentication |
| US9015789B2 (en) * | 2009-03-17 | 2015-04-21 | Sophos Limited | Computer security lock down methods |
| JP6006533B2 (ja) * | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
| US9461876B2 (en) * | 2012-08-29 | 2016-10-04 | Loci | System and method for fuzzy concept mapping, voting ontology crowd sourcing, and technology prediction |
| TWI530222B (zh) * | 2013-01-20 | 2016-04-11 | 蘋果公司 | 經由一無線同級間連接卸載訊務 |
| US9420002B1 (en) * | 2013-03-14 | 2016-08-16 | Mark McGovern | Authorization server access system |
| US9106693B2 (en) * | 2013-03-15 | 2015-08-11 | Juniper Networks, Inc. | Attack detection and prevention using global device fingerprinting |
| US9642078B2 (en) * | 2013-10-25 | 2017-05-02 | At&T Mobility Ii Llc | Devices, methods, and computer readable storage devices for providing application services |
| US9621736B2 (en) * | 2015-02-24 | 2017-04-11 | Broadview Communications, Llc | Method and system for sponsoring location based mobile data services |
-
2017
- 2017-10-10 US US15/728,832 patent/US10038696B1/en active Active
-
2018
- 2018-09-30 CN CN201811156413.3A patent/CN109660504B/zh active Active
- 2018-10-10 EP EP18199726.3A patent/EP3471370B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101405A1 (en) * | 2004-07-30 | 2007-05-03 | Engle Michael T | System and method for secure network connectivity |
| US8572219B1 (en) * | 2006-03-02 | 2013-10-29 | F5 Networks, Inc. | Selective tunneling based on a client configuration and request |
| US20100057895A1 (en) * | 2008-08-29 | 2010-03-04 | At& T Intellectual Property I, L.P. | Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products |
| CN102724296A (zh) * | 2012-05-24 | 2012-10-10 | 中国工商银行股份有限公司 | 一种网络客户端监控系统 |
| US20140189781A1 (en) * | 2012-12-31 | 2014-07-03 | Verizon Patent And Licensing Inc. | Mobile enterprise server and client device interaction |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109660504B (zh) | 2022-10-21 |
| EP3471370B1 (en) | 2020-08-19 |
| US10038696B1 (en) | 2018-07-31 |
| EP3471370A1 (en) | 2019-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660504A (zh) | 用于控制对企业网络的访问的系统和方法 | |
| US20210250333A1 (en) | Private application access with browser isolation | |
| EP3716108A1 (en) | Cloud-based web content processing system providing client threat isolation and data integrity | |
| US11303647B1 (en) | Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement | |
| US11178188B1 (en) | Synthetic request injection to generate metadata for cloud policy enforcement | |
| US11184403B1 (en) | Synthetic request injection to generate metadata at points of presence for cloud security enforcement | |
| US11271972B1 (en) | Data flow logic for synthetic request injection for cloud security enforcement | |
| US11190550B1 (en) | Synthetic request injection to improve object security posture for cloud security enforcement | |
| EP2997706B1 (en) | Method and system for authentication with denial-of-service attack protection | |
| US9160718B2 (en) | Selectively performing man in the middle decryption | |
| US11271973B1 (en) | Synthetic request injection to retrieve object metadata for cloud policy enforcement | |
| US11336698B1 (en) | Synthetic request injection for cloud policy enforcement | |
| US10425465B1 (en) | Hybrid cloud API management | |
| US11647052B2 (en) | Synthetic request injection to retrieve expired metadata for cloud policy enforcement | |
| US11418498B2 (en) | Single sign on proxy for regulating access to a cloud service | |
| CN109450766A (zh) | 一种工作区级vpn的访问处理方法及装置 | |
| US12015594B2 (en) | Policy integration for cloud-based explicit proxy | |
| US9888034B2 (en) | Pluggable API firewall filter | |
| WO2022226202A1 (en) | Synthetic request injection to retrieve object metadata for cloud policy enforcement | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| US11695736B2 (en) | Cloud-based explicit proxy with private access feature set | |
| US12040977B1 (en) | Systems and methods for providing secure software-as-a-service (SaaS) access from unmanaged devices | |
| US11153280B1 (en) | True transparent proxy to support multiple HTTP/S web applications on same IP and port on a data communication network | |
| CN112751811A (zh) | 网站的鉴权方法、装置、存储介质和电子设备 | |
| CN115529148A (zh) | 报文处理方法、装置、设备、系统及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240523 Address after: Ai Erlandubailin Patentee after: Maliki Innovation Co.,Ltd. Country or region after: Ireland Address before: Voight, Ontario, Canada Patentee before: BlackBerry Ltd. Country or region before: Canada |