CN111988269A - 经由分布式数据存储库提供授权信息的策略管理系统 - Google Patents
经由分布式数据存储库提供授权信息的策略管理系统 Download PDFInfo
- Publication number
- CN111988269A CN111988269A CN202010437490.7A CN202010437490A CN111988269A CN 111988269 A CN111988269 A CN 111988269A CN 202010437490 A CN202010437490 A CN 202010437490A CN 111988269 A CN111988269 A CN 111988269A
- Authority
- CN
- China
- Prior art keywords
- network
- nodes
- information
- access
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及经由分布式数据存储库提供授权信息的策略管理系统。提供了一种分布式策略管理(PM)系统(例如,用于网络上的认证、授权和计费(AAA)活动的系统)。PM系统的节点可以使用分布式数据存储库(例如,多主高速缓存)来共享PM系统的信息。通过扩增远程认证拨入用户服务(RADIUS)协议消息中的信息,分布式PM系统的每个节点还可以与公司基础设施网络的其他节点共享来自分布式数据存储库的信息。策略管理中所涉及的无法访问分布式数据存储库的节点(例如,网络认证服务器(NAS)或防火墙)可以经由扩增的RADIUS消息来接收信息。以这种方式,设备可以接口到分布式PM系统,而无需访问分布式数据存储库。通过利用跨PM系统的节点的分布式数据存储库,可以提供高可用性和负载均衡的实现。
Description
技术领域
本公开总体上涉及网络领域,并且更具体地涉及经由分布式数据存储库提供授权信息的策略管理系统。
背景技术
认证、授权和计费(AAA)是由网络安全协议供应的能力,以限制、启用和监测对服务的联网集群或分布式网络上的服务和资源的访问。认证是安全提供方通过其确保尝试访问网络资源的用户或设备的身份已被识别并被验证为真实的功能。这种保证可以经由标识证书的呈现来提供,并且可以经由LAN上的可扩展认证协议(EAP)(EAPoL)来执行。EAPoL是由电气和电子工程师协会提供的基于端口的网络访问控制标准(例如,IEEE 802.1X标准)中使用的网络端口认证协议。授权功能通常被用来确定具有已认证身份(例如,经由网络认证服务器(NAS)被网络认证)的用户对特定网络资源的允许访问的范围或角色。在针对(多个)特定资源而对实体进行认证并授权之后,可以为该用户和设备建立会话。计费功能表示一种跟踪用户在已建立的会话中的活动的方式。出于不同的目的(例如,网络监测、使用情况跟踪、分析和其他原因),已建立的会话可以进一步允许收集统计数据。远程认证拨入用户服务(RADIUS)是一种网络协议,其使用标准接口来提供所有这三种AAA功能。RADIUS被许多不同的硬件和软件供应方所支持,并基于互联网工程任务组(IETF)标准被控制。
发明内容
根据本公开的一些实施例,提供了一种方法,包括:接收与客户端设备和客户端设备的用户相关联的访问-请求消息,访问-请求消息与所请求的对网络资源的访问有关,访问-请求消息部分地由连接到网络基础设施的策略管理(PM)系统管理;获取表示要被应用于来自用户的资源请求的第一策略规则的属性,第一策略规则表示PM系统的强制实施策略;扩增分布式数据存储库中的记录,分布式数据存储库对于共同提供PM系统的功能性的多个PM节点中的每个PM节点是可访问的,记录用以向多个PM节点中的每个PM节点提供关于属性和第一策略规则的信息;以及将记录传播遍及PM系统的多个PM节点。
根据本公开的另一些实施例,提供了一种用以管理第一网络上的认证、授权和计费(AAA)活动的网络基础设施设备,网络基础设施设备包括:通信地耦合到第一网络的网络接口;通信地耦合到网络接口的处理设备;以及由处理设备可读取并存储指令的非瞬态存储介质,指令在由处理设备执行时使网络基础设施设备提供多个PM节点中的第一PM节点的功能性,并且用以:接收与客户端设备和客户端设备的用户相关联的访问-请求消息,访问-请求消息与所请求的对第一网络的网络资源的访问有关,并且部分地由连接到第一网络的策略管理(PM)系统管理;获取表示要被应用于来自用户的资源请求的第一策略规则的属性,第一策略规则表示PM系统的强制实施策略;扩增分布式数据存储库中的记录,分布式数据存储库对于共同提供PM系统的功能性的多个PM节点中的每个PM节点是可访问的,记录用以向多个PM节点中的每个PM节点提供关于属性和第一策略规则的信息;以及将记录传播遍及PM系统的多个PM节点。
根据本公开的又一些实施例,提供了一种非瞬态计算机可读介质,包括被存储于其上的指令,指令在由第一网络基础设施设备的处理器执行时使第一网络基础设施设备:接收与客户端设备和客户端设备的用户相关联的访问-请求消息,访问-请求消息与所请求的对第一网络的网络资源的访问有关,并且部分地由连接到第一网络的策略管理(PM)系统管理;获取表示要被应用于来自用户的资源请求的第一策略规则的属性,第一策略规则表示分布式PM系统的强制实施策略;扩增分布式数据存储库中的记录,分布式数据存储库对于共同提供分布式PM系统的功能性的多个PM节点中的每个PM节点是可访问的,记录用以向多个PM节点中的每个PM节点提供关于属性和第一策略规则的信息;将记录传播遍及分布式PM系统的多个PM节点;以及经由远程认证拨入用户服务(RADIUS)协议消息,与第一网络的第二基础设施设备共享关于属性和第一策略规则的信息的至少一部分。
附图说明
当结合附图阅读时,从以下详细描述中可以更好地理解本公开。要强调的是,根据行业中的标准实践,各种特征未按比例绘制。实际上,可以基于设计、安全性、性能或计算机系统领域中已知的其他因素来重新定位或组合功能属性的尺寸或位置。此外,可以关于彼此以及内部地针对一些功能改变处理的次序。换言之,一些功能可能不执行串行处理,并且因此那些功能可以以与所示的次序不同的次序执行,或者可以彼此并行地执行。对于各种示例的详细描述,现在将对附图进行参考,其中:
图1图示了根据一个或多个所公开的实施方式的功能时间线示图,其包括用于系统的示例组件(以及这些组件的动作),该系统使用RADIUS联网协议和其他协议而被构建,以与网络中的其他设备共享来自策略管理器(PM)的信息;
图2是图示了根据一个或多个所公开的实施方式的向示例PM实现的分布式实例提供AAA功能的集群内的多个交互资源之间的一种可能关系的框图;
图3是图示了根据一个或多个所公开的实施方式的用于访问请求功能的握手方法的一种可能的处理流程的流程图,并且包括更新对应的访问-接受响应的结果;
图4是图示了根据一个或多个所公开的实施方式的用于表示计费请求功能的第二握手方法的一个可能的处理流程的流程图,并且包括将对应的计费-响应的结果更新回到请求的网络设备;
图5图示了根据一个或多个所公开的实施方式的用于实现图3的示例方法的示例处理器和计算机可读介质;
图6图示了根据一个或多个所公开的实施方式的用于实现图4的示例方法的示例处理器和计算机可读介质;
图7图示了根据一个或多个所公开的实施例的示例计算机网络基础设施,其可以被用来实现用于经由RADIUS将AAA信息从PM更新到外部服务器的所公开的技术的全部或部分;以及
图8图示了可以被用来实现本公开的功能、模块、处理平台、执行平台、通信设备以及其他方法和过程的计算设备。
具体实施方式
现在将公开下面要求保护的主题的说明性示例。为了清楚起见,并未针对本公开中的每个示例实施方式描述实际实施方式的所有特征。将理解的是,在任何这样的实际示例的开发中,可以做出许多特定于实现的决策来达到开发者的特定目标,诸如遵从与系统有关和与业务有关的约束,这将因实施方式而异。而且,将理解,这种开发工作即使是复杂且费时的,对于受益于本公开的本领域普通技术人员来说也只是例行的工作。
被开发以处理针对用户的AAA的系统,诸如实现RADIUS协议的那些系统,可以使用可靠的存储机制来维护和共享有关已知用户(例如,经认证的用户)及其被指派的角色的信息。处理AAA的一个这样的系统是轻型目录访问协议(LDAP)服务器。AAA系统通常在运行时存储有关用户会话和被识别的用户角色的信息。AAA系统还可以提供用户会话的计费(例如,使用认证数据库)。在一些实施方式中,代理服务器可以充当隔离的网络组件(例如,较大的公司网络的不同子网)之间的桥接器,以帮助信息的集中管理以及将信息传播到理解相同的诸如RADIUS的网络协议的设备的其他实例。使用诸如RADIUS之类的标准协议还允许同时由多个供应方提供的设备的异构网络。例如,使用在标准协议中描述的相同的定义良好的接口来转发或重写该协议的分组可以允许不同的供应方设备共同地起作用。
还可以使诸如RADIUS之类的AAA系统高度可用(例如,被配置用于冗余性),以在单个设备故障的情况下提供对其所提供的服务和资源的可靠的可访问性。高可用性(HA)是以下特性:从综合的角度来看,其试图确保系统、服务或资源在该系统的个体组件经历单点故障的情况下以最大的正常运行时间和较低的停机时间的可能性来保持运行和可访问。可以与HA一起被提供的另一方面是分布式资源特性,其进一步允许系统、服务或资源在给定企业中是广泛可访问的。经由作用组件的分布和/或针对访问和修改的状态信息的分布,可以实现HA和分布式访问的这些目标。针对访问和修改的状态分布允许当前信息以及时的方式在分布式系统上被反映(例如,集群信息共享、分布式数据库等)。对于提供AAA功能的网络安全协议(诸如RADIUS)的支持基础设施所做出的选择可以针对不同的实施方式而被定制,并依赖于来自多个供应方的组件。
诸如RADIUS之类的网络安全协议的实现通常经由协议所定义的标准接口来提供其认证、授权和计费(AAA)功能。RADIUS和其他网络协议可以提供已定义的接口,以支持外部作用方(例如,公司网络的其他系统)和被用来提供AAA功能的系统之间的握手。除了用于提供AAA功能性的系统的任何预定义接口(例如,设备消耗方握手)之外,本公开还提供了一种取回和修改结果状态信息的方式。因此,可以提供对传统计算机网络的改进以在针对消耗的联网系统与可以在大型企业内进一步处理该共享信息的外围系统之间进行接口。具体而言,示例实施方式可以允许与其他系统(例如,防火墙)共享来自PM系统的信息,该其他系统可以从关于公司网络策略(例如,PM系统所提供的策略)提供的附加信息中受益。
用于取回对由PM服务器执行的通过AAA功能维护的信息的改变的所公开的实施方式包括使用共享存储器高速缓存,其在本文中被称为“多主高速缓存”(MMC)。MMC可以被传播到不同的计算设备,不同的计算设备共同工作以为组织提供全面的策略管理。如上所提及,策略管理功能包括控制针对组织公司网络内的网络服务的访问能力(例如,安全性)。
通常,公司网络上可能存在作为消耗设备(例如,用户设备或订阅设备)的设备。用户设备可以表示膝上型计算机、平板计算机、台式计算机等。订阅设备可以表示应用服务器或计算资源,其提供整体功能性(例如,计算机应用)以经由通信地耦合到公司网络的设备来支持公司操作。这些消耗设备中的每个消耗设备可以使用诸如RADIUS之类的网络协议来与提供设备(例如,提供PM功能性的参与方)交互以及彼此交互。提供PM功能性的每个参与方都可以通过使用MMC以及经由RADIUS(或其他网络协议)来共享信息。使用分布的MMC可以允许PM功能性被分布在整个集群中,以变得高度可用于公司网络。实施方式不限于针对HA的集群,而是,集群仅是提供冗余性的一种方式。
在本公开的示例实施方式中将使用集群,但是,鉴于本公开的益处,用于HA的其他技术也是可能的,并且将被本领域的普通技术人员所理解。具体而言,针对提供PM功能性的两个服务器的传统主要角色和备份角色是用于HA的另一示例实施方式。在任何情况下,通过使用所公开的MMC来共享信息并允许多个设备访问信息的当前集合(例如,对动态信息的改变被自动传播)来执行其预期功能,共同工作以提供HA解决方案的多个服务器可以这样做。
在集群实施方式中,MMC可以操作为PM集群的节点的存储库以存储动态信息,其然后可以(基于变化)被自动传播遍及集群的每个节点,使得每个节点被保持最新,并提供数据访问的冗余性以用于高可用性。此外,(例如,经由MMC)共享当前信息的每个设备可以允许信息被消耗方设备使用不一定由任何特定协议标准(例如,RADIUS)所定义的后端信道来访问。简言之,可以提供对标准的扩展,其允许扩增可用数据而不会“破坏”遵从标准的接口。
在所公开的实施方式中,提供PM功能性的能力可以使用已建立的(多个)网络安全协议,诸如RADIUS,以用于建立和共享AAA信息。建立和共享AAA信息的一种方法可以包括整个本公开中所讨论的握手接口。共享可以发生在提供设备之间(例如,使用RADIUS或MMC访问),并且还可以被提供给利用AAA信息的资源(例如,消耗设备)。消耗设备的示例包括但不限于应用服务、计算资源和防火墙。消耗设备可能无法直接访问MMC,但可以能够经由MMC间接地访问当前数据。换言之,其可以与提供对MMC的直接访问的PM功能性的分布式组件进行交互(例如,经由握手或其他接口)。这种类型的实施方式的一个优点是提供与任何一种协议的丢失耦合,并进一步允许在不限于或干扰基于行业标准提供的功能性的情况下对该信息进行专有访问(例如,不基于行业标准的访问)。因此,对AAA信息的访问可以使用否则将不可用(例如,任何标准都不提供)的技术而被简化、增强和被使得可用。
使用MMC可以允许以至少两种方式更新AAA信息。例如,AAA信息可以被维护在MMC中,并且更新可以使用诸如RADIUS之类的协议而被提供给非MMC设备(例如,防火墙)。另外,可以经由分布式共享数据存储库将AAA信息更新提供给MMC设备。当然,也可能以与通过使用MMC能力不同的方式将更新提供给MMC设备。通常,可以对共享数据存储库(MMC)进行更新,作为成功确认任何尝试的握手接口的集成功能。在一个示例中,MMC更新可以在将握手的成功/故障报告给该尝试的握手的发起方之前发生。一旦在与执行握手的组件设备相关联的本地数据存储库中被更新,对数据的任何改变就可以被自动传播(例如,被共享或被分发)到不直接参与该握手实例的其他组件设备。因此,可以利用当前信息来维护表示其MMC的本地版本的集群的其余节点上的数据存储库。
通常,信息的传播可以应用于任何握手操作,这些握手操作引起关于PM功能性的所得到的状态的信息的添加、修改或删除。在该上下文中,状态的信息是指基于与公司基础设施网络的交互的关于用户或最终用户设备的认证状态。交互可以包括对公司网络进行认证或对作为整体安全公司基础设施的一部分被提供的任何应用服务进行访问的请求。在使用RADIUS的实施方式的一个示例中,在利用访问-响应进行答复之前,可以将特定用户的身份和角色信息以及由成功的访问-请求调用引起的指派的会话更新到MMC。此外,在执行状态的关联AAA信息的删除之前,可能不发送计费-停止响应。因此,可以跨MMC独立地传播变化,以对于使用MMC(例如,共享和传播的数据存储库)实现PM功能性的集群或其他计算资源的成员是可用的。
通常,所公开的实施方式可以利用若干不同的功能流(例如,握手)来共享信息。第一信息流可以在分布式PM实施方式的两个PM节点之间。在该第一流中,第一PM节点可以(在可能不同的节点处的认证之后)从规则(例如,策略规则)的数据库中得出(例如,经由查询来提取或获取)授权属性(例如,针对新认证的用户)。然后,第一PM节点可以更新/插入反映得出的授权属性的记录(作为示例,到MMC中)。在一个特定示例中,当用户BOB进行认证时,数据库可以将BOB标识为具有“学生”的角色。然后,可以将BOB与学生角色的关联插入到MMC中。
第二信息流可以在NAS和PM节点之间并反映计费请求。在该第二流中,NAS可以做出计费请求,以获取针对与用户BOB相关联的设备的站标识和帧IP地址。第三功能流可以在分布式PM实现的节点之间(例如,像上面讨论的第一功能流一样)。该第三功能流可能可以在第二流的计费请求之后发生,并且表示向MMC执行对用户BOB的查询的节点。然后,可以基于在第二流中获取的信息来做出针对用户BOB的账户信息的更新。然后,可以使用对MMC的更新遍及分布式PM的节点来共享更新的账户信息。最后,第四示例流可以在分布式PM实现的节点和防火墙之间。在该流中,分布式PM的节点可以使用基于RADIUS的消息来向防火墙提供信息(例如,从MMC获取的信息)。其他流也是可能的,这些示例的目的是解释信息可以经由MMC在PM实现的分布式节点之间被共享。利用共享能力,不同的节点可以与其他网络设备(例如,防火墙、PM数据库实例)进行交互以执行可能(例如,在非分布式PM实施方式中)受限于单个设备的功能。因此,可以通过本文所公开的利用分布式MMC的实施方式来提供PM功能性(即,负载均衡)和HA(例如,分布式冗余性)的进一步分布。
在理解了以上概述之后,本公开现在解释了一种可能的非限制性示例实施方式(在适用的情况下也可以包括可能的可选变型)。该示例实施方式参考附图而被解释,并且仅表示基于所公开的技术的一种可能性。在图1中,功能框图图示了被构建在标准协议的参数内操作的RADIUS网络协议上的系统的相关作用组件,同时还包括分布式存储器中高速缓存技术以扩展功能性而没有违反标准。然后,图2图示了用以示出可以由PM系统(例如,从惠普(Hewlett Packard)公司可获得的ClearPass策略管理器)管理的连接设备之间的可能关系的功能框图。在一个示例中,PM可以经由RADIUS交互来共享扩增的信息,并使用分布式多主高速缓存(MMC)来跨公司网络(例如,PM的集群实施方式)维持并发性。因此,多个网络组件可以通过从MMC接收其他联网组件的状态信息来并发地知道其他联网组件的关系。然后,图3图示了用于访问-请求功能的握手(例如,诸如质询(challenge)-响应之类的受控设备交互)的示例方法的流程图。访问-请求功能可以表示基于RADIUS联网协议在网络设备(例如,客户端设备)或集群组件之间的交互。参与此握手的每个不同的设备可以具有经由分布式MMC来实现PM策略所需的数据的并发性和可用性。然后,图4图示了用于示例第二握手方法(其可以在第一握手之后)的流程图,以基于RADIUS联网协议在网络设备(例如,客户端设备)或集群组件之间提供计费-请求功能。再次地,参与此握手的每个不同的设备可以具有经由分布式MMC来实现PM策略所需的数据的并发性和可用性。图5-图6图示了用于实现所公开方法的非瞬态计算机可读介质和对应的计算资源。最后,图7-图8分别图示了可能的公司网络基础设施和用于公司网络基础设施的组件的处理设备。图7-图8图示了可以实现本公开的各方面以提供对联网设备的策略管理的管理、维护、安全性、可用性以及整体性能/可靠性的改进的环境。
现在参考图1,图示了功能时间线100。时间线100包括示例作用组件(例如,客户端设备105、网络认证服务器(NAS)110、PM115、防火墙1(120)和防火墙2(125))。根据一个或多个所公开的实施方式,这些作用组件可以共同地表示使用RADIUS联网协议和其他协议被构建的系统的示例,以实现PM功能性来向外部服务器提供授权和计费信息。尽管在图1中PM115被图示为单个框,但是,分布式实施方式可以提供PM 115的功能性。时间线100的事件从上到下被图示,并且交互被图示为从左到右和从右到左箭头。
时间线100从左上开始,其中客户端设备105首先使用LAN上的可扩展认证协议(EAPoL)进行与NAS 110的连接,如双向箭头130所指示。如上所提及,EAPoL在针对基于端口的网络访问控制(PNAC)的电气和电子工程师协会(IEEE)标准中被定义,并且在行业中通常由首字母缩写和细目IEEE 802.1X来标识。通过首先(或并发地)向PM 115发送由箭头135所指示的访问-请求,NAS 110可以经由箭头130确定对EAPoL请求的适当响应。在此示例中,与箭头135相关联的访问-请求表示对认证的请求。如果PM 115能够验证客户端设备105的身份,则可以用与授权访问相关的适当值对MMC进行更新(如环140所指示)(例如,服务与箭头135相关联的访问-请求的节点可以更新MMC的本地实例)。适当值可以包括当前与客户端设备105相关联的用户的角色,或者可以经由NAS 110和PM 115所提供的认证/授权过程来验证/标识的其他特权。在此示例中,属性可以被添加(由注释145所指示)到MMC中的账户请求。一个示例属性(如注释150所指示)是“STUDENT(学生)”的角色。在一些实现中,由环140指示的更新可以关于被添加到MMC的属性而在任何响应被提供给客户端设备105之前进行。响应于由PM 115对MMC的成功更新,由箭头155指示的访问-响应可以被返回给NAS 110。NAS110然后可以将响应(为简单起见未示出)传送回到客户端设备105。对客户端的响应可以包括与被指派给现在已认证的客户端设备105和关联的用户的会话有关的信息。
在时间线100的该阶段,在一个示例中,现在对客户端设备105进行认证,并且客户端设备105可以基于实例化的会话信息在公司网络上执行功能。另外,NAS 110可以如箭头160所指示将计费-请求传送给PM 115。计费-请求可以与跟踪或允许客户端设备(例如,客户端设备105)和关联用户的用户交互(例如,认证或访问请求)相关联。最初,作为初始网络认证活动的一部分(或响应于初始网络认证活动),计费-请求可以与EAPoL 130相关联。在认证之后,计费-请求可以与客户端设备105访问公司网络上的特定服务或资源的尝试相关联。
在该示例中,公司网络由PM 115保护和管理。响应于访问-请求,PM 115可以发起查询165以从MMC获取信息(例如,基于客户端设备105的MAC地址的查询或基于用户标识的查询、基于用户/设备角色的查询、或基于其组合的查询)。查询165可以被用来确定客户端设备105(以及可能的关联用户)是否有权访问目标服务或资源。然后,PM 115可以如箭头175所指示地将计费-请求转发给另一计算设备。重要的是,注意,在PM 115的分布式PM实现中,第一节点可以执行与关联于箭头160的计费-请求相关联的功能性,而第二不同节点可以发起与箭头175相关联的计费-请求(注意:一个去往防火墙1(120),另一个去往防火墙2(125))。此外,单个分布式PM 115的不同节点可以并发地与防火墙1(120)和防火墙2(125)交互。因此,分布式实现PM 115的至少三个节点可以利用共享MMC来共同执行时间线100中所图示的活动。当然,少于三个节点也是可能的,并且时间线100的所有活动可以由单个节点或任何数目的节点来执行。每个所涉及的节点都可以有权访问共享MMC,以维护PM信息的一致的分布式副本。
继续时间线100,如箭头185所指示的计费-响应可以从防火墙1(120)和防火墙2(125)被发送到PM 115。如注释170所指示,PM 115可能不会等待来自一个或多个防火墙中每个防火墙的响应。相反,PM 115可以如箭头180所指示发起传输(例如发送)计费-响应消息。注意,可以使用PM 115先前已从MMC(例如,如环165所指示)获取的信息(例如,查询响应)而得出由箭头180所指示的计费-响应消息。由箭头180所指示的计费-响应消息可以从PM 115被发送回到NAS 110,然后NAS 110(在时间线100中未被示出)将响应(或关于响应的信息)传送回到客户端设备105。以这种方式,可以通过利用MMC中可用的信息来将处理并行化。
完成对时间线100的讨论,可以从客户端设备105做出针对特定网站通用资源定位符(URL)的HTTP GET(HTTP获取)请求(如箭头190所指示)。在此示例中,结果是拒绝,因为防火墙2(125)不授权访问该URL。拒绝可能是由于缺乏适当的认证所导致,或者是由于与用户和/或客户端设备105相关联的角色(如防火墙2(125)所知)未被授权与该URL进行交互。在任何一种情况下,拒绝都导致HTTP:如箭头195所指示的错误禁止响应消息被发送回到客户端设备105。
现在参考图2,根据一个或多个所公开的实施方式,通过示出PM系统的一个示例实施方式的组件与通常可以在公司网络基础设施中找到的其他计算机系统之间的选定关系来描述示例联网系统200。具体地,联网系统200描述了被实现为集群的PM系统(例如,PM节点1-5(210-1至210-5)),其中分布式PM系统的每个PM节点(210-1至210-5)有权访问分布式数据存储库220(例如,如上所述的MMC)。在此示例中,分布式PM系统的每个PM节点(210-1至210-5)可以使用RADIUS协议接口与其他网络设备(例如,防火墙230和应用集群235)进行交互,以提供来自分布式数据存储库220的信息。
如联网系统200中所图示,多个客户端设备205被图示为与PM节点(210-1至210-5)的选定实例进行接口。注意,为清楚起见,在联网系统200中没有详尽地示出先前描述的(多个)NAS实例。针对PM节点3(210-3)图示了一个示例NAS 206,并且可以类似地配置PM节点的其他实例。如上所解释,NAS 206可以充当客户端设备205-3与PM节点3(210-3)之间的中间网络设备,并且可以存在类似的中间设备来根据需要辅助其他PM节点。在联网系统200中,客户端设备205-1与PM节点1(210-1)进行接口,并且PM节点1(210-1)可以经由双向链路215-1与分布式数据存储库220进行接口。类似地,客户端设备205-2与PM节点2(210-2)进行接口,并且PM节点2(210-2)可以经由双向链路215-2与分布式数据存储库220进行接口。客户端设备205-3和客户端设备205-4中的每个分别与PM节点4(210-4)和PM节点5(210-5)进行接口,后者又利用双向链路215-4和215-5(再次分别地)来访问分布式数据存储库220。注意,如本文所讨论的,给定客户端设备可能可以针对单个认证会话在不同时间点处与PM节点的多个不同实例进行交互。换言之,客户端设备的实例可以与PM节点的第一实例执行第一握手交互,并且可以(在相同的认证会话内)与PM节点的第二不同实例执行第二握手交互。因此,可以针对在公司基础设施网络内支持多个客户端设备的PM功能性实现负载均衡。此外,分布式数据存储库220增强了PM功能性被均衡的能力,这部分地是因为PM节点(210-1至210-5)的每个实例在分布式数据存储库220内维护信息的一致副本(例如,通过使用本文所述的MMC的实现)。
图2还图示了PM节点(210-1至210-5)的每个实例与PM节点201-1至210-5中的每个节点可访问的分布式数据存储库220之间的关系。还应注意,PM节点N 226的虚线框在联网系统200中出现了两次,并分别被用来图示与从防火墙230和应用集群235到来自分布式数据存储库220的数据的间接关系(例如,链路225-1和225-2)。上面已经描述了这种间接关系,并且该间接关系表示,即使应用集群235和防火墙230无法直接访问分布式数据存储库220,也可以经由RADIUS协议消息从适当的PM节点向联网系统200的其他PM节点提供来自分布式数据存储库220的信息。具体地,可以用由PM系统维护的信息来扩增分布式数据存储库220内的记录,并将其提供给联网系统200的其他节点,这些其他节点被配备来理解RADIUS协议消息。以这种方式,可以与无法直接访问分布式数据存储库220(例如,如上所述的MMC)的节点共享来自如联网系统200中所图示的分布式PM系统的信息。
通常,每个PM节点210-1至210-5的实例都可以将分布式数据存储库220视为其后端数据存储库,并使用内部集成层遍及集群来传播信息。此外,PM节点210-1至210-5的每个实例可以利用RADIUS协议来通过代理向联网系统200的所有其他节点提供传播。PM节点210-1至210-5的每个实例可以经由代理从其他RADIUS实现接收更新,并经由代理使用RADIUS实现将其自己的更新传播到其他计算机系统。然而,当PM节点(例如,PM节点2(210-2))的实例期望向PM节点(例如,PM节点4(210-4))的另一实例提供更新时,该更新可以通过在分布式数据存储库220(例如,MMC)内的数据的传播而被提供,这可以表示比使用RADIUS消息更高效的共享数据的机制。还应注意,尽管在图2中将分布式数据存储库220图示为中央独立实体,但是这仅是出于说明目的(即,其是逻辑表示)。在联网系统200的实际实施方式中,可以没有中央存储库,因为出于性能或其他原因,PM节点210-1至210-5的每个实例可以在内部(或本地可访问的)存储器中维护数据的本地同步副本。
现在参考图3,图示了根据一个或多个所公开的实施方式的用于概述示例方法300的流程图,该示例方法300允许客户端设备做出认证请求(例如,如本文所讨论的,执行握手交互)。可以以与图3中所图示的那些次序不同的次序来执行示例方法300的动作,并且可以并行地执行一些动作。示例方法300可以利用与分布式PM功能性一起工作的RADIUS的实施方式来扩增通常在使用RADIUS协议的标准实施方式中可用的能力。示例方法300在框305处开始,其中客户端设备(例如,图1的客户端设备105)可以向NAS(例如,图1的NAS 110)做出EAPoL请求以进行认证。框310指示NAS可以进一步发起由RADIUS或某种其他网络协议所定义的对操作在集群或企业网络的其他计算设备内的示例分布式PM实现的实例(例如,被图示为图1的PM 115)的访问请求调用。回想一下,分布式PM实现提供安全性并监测公司企业网络(或其他类型的网络)内的设备和用户的活动。决策315指示对访问请求的响应可以被分析以确定例如方法300的不同的可能流程路径。
如果决策315确定PM节点的响应是访问-质询类型,则流程继续至框320。框320指示访问-质询响应可以被返回给NAS,并且然后被传送回到适当的客户端设备,返回到框305。在从框320返回时,客户端设备可以基于质询来处理响应以完成认证请求。例如,客户端设备可以基于质询来更改信息并尝试另一请求。
备选地,如果决策315确定PM节点的响应是访问-拒绝类型,则流程继续至框325。在框325处,访问-拒绝响应可以被返回给NAS,并最终被提供给客户端设备。在典型的实施方式中,访问-拒绝响应将故障条件返回给客户端设备,并以故障状态结束示例方法300的迭代。
作为来自决策315的第三种可能的确定,如果PM节点的响应表示访问-接受类型的响应,那么流程继续到框330。如框330中所指示,诸如角色和用于授权的其他属性之类的用户和会话信息可以在共享分布式存储库(例如MMC)中被更新。出自框330的流具有两个可能的路径,取决于PM节点的实现类型,该两个可能的路径可以串行或并行地被执行。框335指示用户和会话信息然后可以经由涉及集群化的存储器中高速缓存的同步的数据传播技术而被传播到集群的其他PM节点。与框335的处理串行地或同时地,框340指示访问-接受响应可以被返回给NAS并且最终被返回给客户端设备。NAS可以简单地转发访问-接受响应,或者可以处理访问-接受响应并发送指示认证请求已被授权的信息。接收访问授权的条件可以允许客户端设备继续被请求的操作(例如,对服务的访问可以被授权,对URL的访问可以被授权,并针对该URL返回信息)。
现在参考图4,图示了用于解释示例方法400的流程图,其中已认证的客户端设备可以具有由分布式PM系统的示例实施方式所处理的关联的一个或多个计费请求。可以至少部分地使用RADIUS协议来处理这些一个或多个计费请求,以允许PM系统与公司网络上可用的其他计算机设备进行交互。可以以与图4中所图示的那些次序不同的次序来执行示例方法400的动作,并且并行地执行一些动作。
在示例方法400中,PM系统可以被实现来利用被传播遍及分布式PM系统的信息(例如,在CCM中可用)以经由RADIUS协议所定义的功能与其他计算机系统(例如,防火墙)进一步交互。示例方法400开始于框405,其中NAS可以定期(或按需)向分布式PM系统提供信息(例如,代表已经向网络认证的关联的客户端设备)。这些更新可以继续,直到客户端与NAS断开连接为止。通常,认证后,客户端设备可以执行引起计费-请求的动作,其可以符合标准RADIUS协议。NAS可以定期(或按需)将计费更新发送到分布式PM系统的PM节点。流程继续到框410,框410指示(例如,分布式PM系统的)PM节点可以查询分布式数据存储库的本地实例,其可以是诸如上述MMC之类的多主高速缓存的实施方式。该查询可以在特定最终用户设备处取回经由NAS已向网络认证的用户的会话信息。框415指示计费-请求的类型可以是更新关于用户会话的信息或终止用户会话。
如果在决策415中确定该请求为更新,那么流程继续至框420,其中PM节点(其可以是与针对该特定用户认证会话与该客户端先前进行过交互的节点不同的节点)可以添加针对用户的授权值(例如,上面讨论的AAA信息)。授权值可以被添加到MMC中存储的经配置半径属性。在框420处,存在可以被并行或串行执行的两个可能的出口路径。框430指示对MMC的更新可以跨集群或分布式PM实现内的MMC(或其他分布式数据存储库)的所有实例被传播。框435指示PM节点还可以经由网络通信协议(例如,RADIUS)将那些相同的更新(或其一部分以相同或不同的格式)传播到其他连接的设备,并且可以经由代理转发一个或多个授权-请求。以这种方式,信息可以被传播到不一定有权访问MMC的外部服务器。框445指示PM节点不是必须等待对那些代理请求的响应,因为其可以与其他动作异步地被处理。当然,在一些实施方式中,PM节点可能会等待确认。然后,流程退出框445,以到达框450,其中PM节点(或PM集群中的另一节点)可以将有关计费-响应的信息返回给最初请求的客户端设备。信息到客户端设备的这种返回可以可选地被直接发送到客户端,或者在一些实例中,可以经由NAS被发送。
返回到决策415,如果对PM节点做出的请求被确定是停止指令(例如,活动或会话的终止),那么流程继续至框425。框425具有两个不同的可能退出路径(类似于如以上讨论的框420),其可以被并行或顺序地执行。如上所提及,框430指示对MMC的更新可以跨集群或分布式PM实现中的MMC的所有实例(或其他分布式数据存储库)的所有实例被传播。框440指示PM节点还可以经由网络通信协议(例如,RADIUS)将那些相同的会话关闭更新(或其一部分以相同或不同的格式)传播到其他连接的设备。关闭更新可以指示删除有关被终止的活动或会话的信息。另外,还可以经由代理转发擦除会话信息的指令。以这种方式,信息可以被传播到不一定有权访问MMC的外部服务器。框445和框450以与上面已经讨论的方式类似的方式完成会话更新的过程。
图5是根据一个或多个所公开的示例实施方式的示例计算设备500,其具有硬件处理器501以及被存储在机器可读介质502上以用于实现分布式PM系统的管理的可访问机器可读指令。作为示例,图5图示了被配置为执行方法300的流程的计算设备500。然而,计算设备500还可以被配置为执行本公开中描述的其他方法、技术、功能或过程的流程。在图3的该示例中,机器可读存储介质502包括使硬件处理器501执行以上参考图3讨论的框305-340的指令。
图6是根据一个或多个所公开的示例实施方式的示例计算设备600,其具有硬件处理器601以及被存储在机器可读介质602上以用于实现与上述分布式PM系统相关联的备选技术和方法的可访问机器可读指令。作为示例,图6图示了被配置为执行方法400的流程的计算设备600。然而,计算设备600还可以被配置为执行本公开中描述的其他方法、技术、功能或过程的流程。在图4的该示例中,机器可读存储介质602包括使硬件处理器601执行以上参考图4讨论的框405-450的指令。
诸如图5的502和图6的602之类的机器可读存储介质可以包括易失性和非易失性、可移除和不可移除介质,并且可以是包含或存储可执行指令、数据结构、程序模块或处理器可访问的其他数据的任何电、磁、光或其他物理存储设备,例如固件、可擦可编程只读存储器(EPROM)、随机存取存储器(RAM)、非易失性随机存取存储器(NVRAM)、光盘、固态驱动器(SSD)、闪存芯片等。机器可读存储介质可以是非瞬态存储介质,其中术语“非瞬态”不涵盖瞬时传播信号。
图7表示根据一个或多个所公开的实施方式的计算机网络基础设施700,该计算机网络基础设施700可以被用来实现用于经由高度可用的分布式存储器中高速缓存(例如,CCM)由网络安全协议(诸如RADIUS)中定义的AAA功能所提供的用户会话信息的分布的所公开技术的全部或部分,或者在执行所公开技术的系统与其他计算机网络之间提供信息流。网络基础设施700包括可以在其中操作本公开的实施例的一组网络。网络基础设施700包括客户网络702、网络708、蜂窝网络703和云服务提供方网络710。在一个实施例中,客户网络702可以是包括各种网络设备的诸如局域网(LAN)之类的本地专用网络,各种网络设备包括但不限于交换机、服务器和路由器。
这些网络中的每个网络可以包含有线或无线可编程设备,并使用任何数目的网络协议(例如TCP/IP)和连接技术(例如
网络或
)进行操作。在另一实施例中,客户网络702表示企业网络,其可以包括或通信地耦合到一个或多个局域网(LAN)、虚拟网络、数据中心和/或其他远程网络(例如708、710)。在本公开的上下文中,客户网络702可以包括支持如上所述的分布式CCM数据存储库的网络设备。
如图7中所示,客户网络702可以连接到一个或多个客户端设备704A-E,并允许客户端设备704A-E经由网络708(例如,互联网)与云服务提供方网络710通信和/或彼此通信。客户端设备704A-E可以是计算系统,诸如台式计算机704B、平板计算机704C、移动电话704D、膝上型计算机(被示为无线)704E、和/或通常被示为客户端设备704A的其他类型的计算系统。客户端设备704A-E可以具有一个或多个关联用户(未被示出),其可以向网络进行认证并且访问由诸如上述的PM系统所管理的服务。
网络基础设施700还可以包括通常被称为物联网(IoT)的其他类型的设备(例如,边缘IOT设备705),其可以被配置为经由网络发送和接收信息以访问云计算服务或与远程web浏览器应用交互(例如,以接收配置信息)。
图7还图示了客户网络702包括本地计算资源706A-C,该本地计算资源706A-C可以包括服务器、接入点、路由器或被配置为提供本地计算资源和/或有利于网络和设备之间的通信的其他设备。例如,本地计算资源706A-C可以是一个或多个物理本地硬件设备。本地计算资源706A-C还可以有利于其他外部应用、数据源(例如707A和707B)和服务与客户网络702之间的通信。计算资源706A-C可以被配置为一组集群节点以共同执行应用功能。
网络基础设施700还包括用于与移动通信设备一起使用的蜂窝网络703。移动蜂窝网络支持移动电话和许多其他类型的移动设备,诸如膝上型计算机等。网络基础设施700中的移动设备被图示为移动电话704D、膝上型计算机704E和平板计算机704C。诸如移动电话704D之类的移动设备可以在移动设备移动时与一个或多个移动提供方网络交互,通常与用于连接到蜂窝网络703的多个移动网络塔720、730和740交互。
图7图示了客户网络702耦合到网络708。网络708可以包括当今可用的一个或多个计算网络,诸如其他LAN、广域网(WAN)、互联网和/或其他远程网络,以在客户端设备704A-D和云服务提供方网络710之间传送数据。网络708内的每个计算网络可以包含在电和/或光域中操作的有线和/或无线可编程设备。
在图7中,云服务提供方网络710被图示为能够经由客户网络702和网络708与客户端设备704A-E进行通信的远程网络(例如,云网络)。云服务提供方网络710用作平台,其向客户端设备704A-E和/或客户网络702提供附加的计算资源。在一个实施例中,云服务提供方网络710包括具有一个或多个服务器实例714的一个或多个数据中心712。云服务提供方网络710还可以包括表示可以从本公开的技术中受益的可缩放计算资源的一个或多个帧。
图8图示了可以被用来实现本公开的功能、模块、处理平台、执行平台、通信设备以及其他方法和过程的计算设备800。例如,图8中所图示的计算设备800可以表示客户端设备或物理服务器设备,并且包括硬件或(多个)虚拟处理器,这取决于计算设备的抽象级别。在一些实例中(没有抽象),如图8中所示,计算设备800及其元件各自都涉及物理硬件。备选地,在一些情况下,可以使用模拟器或虚拟机将一个、多个或所有元件实现为抽象级别。在任何情况下,无论远离物理硬件多少抽象级别,都可以在物理硬件上实现最低级别的计算设备800。
还如图8中所示,计算设备800可以包括诸如键盘、鼠标、触摸板或传感器读出器(例如,生物特征扫描仪)的一个或多个输入设备830和诸如显示器、用于音频的扬声器或打印机的一个或多个输出设备815。一些设备也可以被配置为输入/输出设备(例如,网络接口或触摸屏显示器)。
计算设备800还可以包括诸如网络通信单元之类的通信接口825,其可以包括通信地耦合到处理器805的有线通信组件和/或无线通信组件。网络通信单元可以利用诸如以太网、TCP/IP(举几个示例)之类的各种专有或标准化网络协议中的任何协议,以实现设备之间的通信。网络通信单元还可以包括利用以太网、电力线通信(PLC)、WiFi、蜂窝和/或其他通信方法的一个或多个收发器。
如图8中所图示,计算设备800包括诸如处理器805之类的处理元件,其包含一个或多个硬件处理器,其中每个硬件处理器可以具有单个或多个处理器核。在一个实施例中,处理器805可以包括至少一个共享高速缓存,其存储由处理器805的一个或多个其他组件利用的数据(例如,计算指令)。例如,共享高速缓存可以是被存储在存储器中的本地高速缓存的数据,以用于由组成处理器805的处理元件的组件快速访问。在一个或多个实施例中,共享高速缓存可以包括一个或多个中级别高速缓存,诸如级别2(L2)、级别3(L3)、级别4(L4)或其他级别的高速缓存、最后级别的高速缓存(LLC)或其组合。处理器的示例包括但不限于微处理器的中央处理单元(CPU)。尽管未在图8中图示,但是组成处理器805的处理元件还可以包括一个或多个其他类型的硬件处理组件,诸如图形处理单元(GPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、和/或数字信号处理器(DSP)。
图8图示了存储器810可以操作地并且通信地耦合到处理器805。存储器810可以是被配置为存储各种类型的数据的非瞬态介质。例如,存储器810可以包括一个或多个存储设备820,其包括非易失性存储设备和/或易失性存储器。诸如随机存取存储器(RAM)之类的易失性存储器可以是任何合适的非永久性存储设备。非易失性存储设备820可以包括一个或多个磁盘驱动器、光盘驱动器、固态驱动器(SSD)、磁带驱动器、闪存、只读存储器(ROM)和/或被设计来在断电或关闭操作后的一段持续时间内对数据进行维护的任何其他类型的存储器。在某些实例中,如果被分配的RAM不足够大以保持所有工作数据,则非易失性存储设备820可以被用来存储溢出数据。非易失性存储设备820还可以被用来存储当程序被选择用于执行时而被加载到RAM中的这样的程序。
本领域普通技术人员知道,可以针对各种软件平台和/或操作系统以各种计算语言来开发、编码和编译软件程序,并且随后由处理器805来加载和执行软件程序。在一个实施例中,软件程序的编译过程可以将以编程语言编写的程序代码转换为另一种计算机语言,使得处理器805能够执行该编程代码。例如,软件程序的编译过程可以生成可执行程序,该可执行程序为处理器805提供编码指令(例如,机器代码指令)以完成特别的、非通用的、特定的计算功能。
在编译过程之后,然后可以将编码指令作为计算机可执行指令或过程步骤从存储设备820、存储器810加载到处理器805和/或嵌入处理器805内(例如,经由高速缓存或板上ROM)。处理器805可以被配置为执行所存储的指令或处理步骤,以执行指令或处理步骤来将计算设备转换为非通用的、特定的、特别编程的机器或装置。在执行计算机可执行指令或处理步骤以指导计算设备800内的一个或多个组件期间,处理器805可以访问所存储的数据,例如由存储设备820所存储的数据。
用户接口(例如,输出设备815和输入设备830)可以包括显示器、位置输入设备(诸如鼠标、触摸板、触摸屏等)、键盘或其他形式的用户输入和输出设备。用户接口组件可以通信地耦合到处理器805。当输出设备是显示器或包括显示器时,可以以各种方式来实现显示器,包括通过液晶显示器(LCD)或阴极射线管(CRT)或发光二极管(LED)显示器(诸如有机发光二极管(OLED)显示器)来实现。本领域普通技术人员知道,计算设备800可以包括在图8中未明确示出的本领域公知的其他组件,诸如传感器、电源和/或模数转换器。
在整个说明书和权利要求书中使用了某些术语来指代特定的系统组件。如本领域技术人员将理解的,不同的各方可以通过不同的名称来指代组件。本文档无意区分名称不同但功能相同的组件。在本公开和权利要求中,术语“包括”和“包含”以开放式的方式而被使用,并且因此应被解释为意指“包括但不限于……”。同样,术语“耦合”旨在意指间接或直接的有线或无线连接。因此,如果第一设备耦合到第二设备,则该连接可以是通过直接连接或通过经由其他设备和连接的间接连接。陈述方式“基于”旨在意指“至少部分地基于”。因此,如果X基于Y,则X可以根据Y和任何数目的其他因素。
以上讨论意在说明本公开的原理和各种实施方式。一旦完全理解了上述公开,许多变化和修改对于本领域技术人员将变得显而易见。意图将以下权利要求解释为涵盖所有这样的变化和修改。
Claims (20)
1.一种方法,包括:
接收与客户端设备和所述客户端设备的用户相关联的访问-请求消息,所述访问-请求消息与所请求的对网络资源的访问有关,所述访问-请求消息部分地由连接到网络基础设施的策略管理(PM)系统管理;
获取表示要被应用于来自所述用户的资源请求的第一策略规则的属性,所述第一策略规则表示所述PM系统的强制实施策略;
扩增分布式数据存储库中的记录,所述分布式数据存储库对于共同提供所述PM系统的功能性的多个PM节点中的每个PM节点是可访问的,所述记录用以向所述多个PM节点中的每个PM节点提供关于所述属性和所述第一策略规则的信息;以及
将所述记录传播遍及所述PM系统的所述多个PM节点。
2.根据权利要求1所述的方法,其中所述分布式数据存储库表示多主高速缓存,所述多主高速缓存具有用于所述PM系统的所述多个PM节点中的每个PM节点的本地可访问数据存储库,所述本地可访问数据存储库用以维护关于客户端设备的状态、以及包括所述第一策略规则的多个策略规则的共享信息,所述多个策略规则中的每个策略规则由所述PM系统强制实施。
3.根据权利要求1所述的方法,其中所述访问-请求消息在所述多个PM节点中的第一PM节点处被接收,并且所述属性从所述第一PM节点外部的数据库被获取,所述数据库包含关于包括所述第一策略规则的多个策略规则的信息。
4.根据权利要求1所述的方法,还包括:
经由远程认证拨入用户服务(RADIUS)协议消息,与所述网络基础设施的基础设施设备共享关于所述属性和所述策略规则的所述信息的至少一部分。
5.根据权利要求4所述的方法,其中共享所述信息的至少所述一部分包括:将所述信息的所述一部分嵌入在符合针对RADIUS协议的行业标准的所述RADIUS协议消息的分段内。
6.根据权利要求4所述的方法,其中所述网络基础设施的所述基础设施设备基于所述RADIUS协议消息来确定对所述第一策略规则的遵从。
7.根据权利要求1所述的方法,其中所述访问-请求消息在所述多个PM节点中的第一PM节点处被接收,并且所述方法还包括:
在所述多个PM节点中的第二PM节点处接收计费-请求消息;
更新所述分布式数据存储库中的所述记录以反映所述计费-请求消息,并且在所述分布式数据存储库中创建已更新记录;以及
将所述已更新记录传播遍及所述PM系统的所述多个PM节点。
8.根据权利要求7所述的方法,还包括:
经由远程认证拨入用户服务(RADIUS)协议消息,与所述网络基础设施的基础设施设备共享来自所述已更新记录的信息的至少一部分。
9.根据权利要求8所述的方法,其中所述网络基础设施的所述基础设施设备是防火墙或网络认证服务器(NAS)。
10.根据权利要求9所述的方法,其中共享来自所述已更新记录的所述信息的所述至少一部分由所述多个PM节点中的第三PM节点基于从所述第二PM节点传播的信息来执行。
11.根据权利要求8所述的方法,其中所述多个PM节点中的所述第三PM节点的性能由所述PM系统的负载均衡能力来指示。
12.根据权利要求1所述的方法,其中所述PM系统的所述多个PM节点中的每个PM节点是集群配置的节点,所述集群配置的节点被实现为共同地提供所述PM系统的功能性作为高可用性(HA)PM系统。
13.一种用以管理第一网络上的认证、授权和计费(AAA)活动的网络基础设施设备,所述网络基础设施设备包括:
通信地耦合到所述第一网络的网络接口;
通信地耦合到所述网络接口的处理设备;以及
由所述处理设备可读取并存储指令的非瞬态存储介质,所述指令在由所述处理设备执行时使所述网络基础设施设备提供多个PM节点中的第一PM节点的功能性,并且用以:
接收与客户端设备和所述客户端设备的用户相关联的访问-请求消息,所述访问-请求消息与所请求的对所述第一网络的网络资源的访问有关,并且部分地由连接到所述第一网络的策略管理(PM)系统管理;
获取表示要被应用于来自所述用户的资源请求的第一策略规则的属性,所述第一策略规则表示所述PM系统的强制实施策略;
扩增分布式数据存储库中的记录,所述分布式数据存储库对于共同提供所述PM系统的功能性的所述多个PM节点中的每个PM节点是可访问的,所述记录用以向所述多个PM节点中的每个PM节点提供关于所述属性和所述第一策略规则的信息;以及
将所述记录传播遍及所述PM系统的所述多个PM节点。
14.根据权利要求13所述的网络基础设施设备,其中所述分布式数据存储库表示多主高速缓存,所述多主高速缓存具有用于所述PM系统的所述多个PM节点中的每个PM节点的本地可访问数据存储库,所述本地可访问数据存储库用以维护关于客户端设备的状态、以及包括所述第一策略规则的多个策略规则的共享信息,所述多个策略规则中的每个策略规则由所述PM系统强制实施。
15.根据权利要求13所述的网络基础设施设备,其中所述指令还包括使所述网络基础设施设备执行以下操作的指令:
经由远程认证拨入用户服务(RADIUS)协议消息,与所述网络基础设施的不同基础设施设备共享关于所述属性和所述策略规则的所述信息的至少一部分。
16.根据权利要求13所述的网络基础设施设备,其中所述指令还包括使所述网络基础设施设备执行以下操作的指令:
经由数据存储库传播,接收与在所述多个PM节点中的第二PM节点处被处理的计费-请求消息有关的数据;以及
更新所述分布式数据存储库的本地实例以反映所述计费-请求消息,并且在所述分布式数据存储库中创建已更新记录;以及
将与所述计费-请求有关的所述数据转发给所述多个PM节点中的第三PM节点。
17.根据权利要求16所述的网络基础设施设备,其中所述指令还包括使所述网络基础设施设备执行以下操作的指令:
经由远程认证拨入用户服务(RADIUS)协议消息,与所述网络基础设施的不同基础设施设备共享来自所述已更新记录的信息的至少一部分。
18.根据权利要求17所述的网络基础设施设备,其中所述网络基础设施的所述不同基础设施设备是防火墙或网络认证服务器(NAS)。
19.一种非瞬态计算机可读介质,包括被存储于其上的指令,所述指令在由第一网络基础设施设备的处理器执行时使所述第一网络基础设施设备:
接收与客户端设备和所述客户端设备的用户相关联的访问-请求消息,所述访问-请求消息与所请求的对第一网络的网络资源的访问有关,并且部分地由连接到所述第一网络的策略管理(PM)系统管理;
获取表示要被应用于来自所述用户的资源请求的第一策略规则的属性,所述第一策略规则表示所述分布式PM系统的强制实施策略;
扩增分布式数据存储库中的记录,所述分布式数据存储库对于共同提供所述分布式PM系统的功能性的多个PM节点中的每个PM节点是可访问的,所述记录用以向所述多个PM节点中的每个PM节点提供关于所述属性和所述第一策略规则的信息;
将所述记录传播遍及所述分布式PM系统的所述多个PM节点;以及
经由远程认证拨入用户服务(RADIUS)协议消息,与所述第一网络的第二基础设施设备共享关于所述属性和所述第一策略规则的所述信息的至少一部分。
20.根据权利要求19所述的非瞬态计算机可读介质,其中所述访问-请求消息在所述多个PM节点中的第一PM节点处被接收,并且所述非瞬态计算机可读介质还包括使所述网络基础设施设备执行以下操作的指令:
经由数据存储库传播,接收与在所述多个PM节点中的第二PM节点处被处理的计费-请求消息有关的数据;以及
更新所述分布式数据存储库的本地实例以反映所述计费-请求消息,并且在所述分布式数据存储库中创建已更新记录;
将与所述计费-请求有关的所述数据转发给所述多个PM节点中的第三PM节点;以及
经由远程认证拨入用户服务(RADIUS)协议消息,与所述网络基础设施的不同基础设施设备共享来自所述已更新记录的信息的至少一部分,其中所述不同基础设施设备缺乏对所述分布式数据存储库的直接访问。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/419,138 US11463477B2 (en) | 2019-05-22 | 2019-05-22 | Policy management system to provide authorization information via distributed data store |
| US16/419,138 | 2019-05-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111988269A true CN111988269A (zh) | 2020-11-24 |
Family
ID=73052666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010437490.7A Pending CN111988269A (zh) | 2019-05-22 | 2020-05-21 | 经由分布式数据存储库提供授权信息的策略管理系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11463477B2 (zh) |
| CN (1) | CN111988269A (zh) |
| DE (1) | DE102020113257A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113946624A (zh) * | 2021-10-11 | 2022-01-18 | 北京达佳互联信息技术有限公司 | 分布式集群、信息处理方法、装置、电子设备及存储介质 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
| US7483438B2 (en) * | 2005-04-14 | 2009-01-27 | Alcatel Lucent | Systems and methods for managing network services between private networks |
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| EP2115568A4 (en) | 2006-12-13 | 2012-11-28 | Identity Engines Inc | DISTRIBUTED AUTHENTICATION, AUTHORIZATION AND ACCOUNTING |
| WO2009032711A1 (en) * | 2007-08-29 | 2009-03-12 | Nirvanix, Inc. | Policy-based file management for a storage delivery network |
| US8839386B2 (en) * | 2007-12-03 | 2014-09-16 | At&T Intellectual Property I, L.P. | Method and apparatus for providing authentication |
| US9129071B2 (en) * | 2012-10-24 | 2015-09-08 | Texas Instruments Incorporated | Coherence controller slot architecture allowing zero latency write commit |
| WO2015040280A1 (en) | 2013-09-20 | 2015-03-26 | Notava Oy | Access control to wireless networks involving a policy proxy server |
| US10193878B2 (en) * | 2013-10-31 | 2019-01-29 | Hewlett Packard Enterprise Development Lp | Using application level authentication for network login |
| US9438506B2 (en) * | 2013-12-11 | 2016-09-06 | Amazon Technologies, Inc. | Identity and access management-based access control in virtual networks |
| US10462210B2 (en) * | 2014-02-13 | 2019-10-29 | Oracle International Corporation | Techniques for automated installation, packing, and configuration of cloud storage services |
| US9571452B2 (en) * | 2014-07-01 | 2017-02-14 | Sophos Limited | Deploying a security policy based on domain names |
| US9473504B2 (en) * | 2014-10-15 | 2016-10-18 | Ayla Networks, Inc. | Role based access control for connected consumer devices |
| US9979733B2 (en) * | 2015-09-24 | 2018-05-22 | International Business Machines Corporation | Automatically provisioning new accounts on managed targets by pattern recognition of existing account attributes |
| US9894067B1 (en) * | 2015-12-03 | 2018-02-13 | Amazon Technologies, Inc. | Cross-region roles |
| US10454940B2 (en) * | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
| US20190238550A1 (en) * | 2016-12-26 | 2019-08-01 | Cloudminds (Shenzhen) Robotics Systems Co., Ltd. | Permission control method, apparatus and system for block chain, and node device |
| US10547614B2 (en) * | 2017-03-30 | 2020-01-28 | Juniper Networks, Inc. | Bulk delivery of change of authorization data via AAA protocols |
| US10931673B2 (en) * | 2017-09-19 | 2021-02-23 | Amazon Technologies, Inc. | Policy activation for client applications |
| US11057366B2 (en) * | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
-
2019
- 2019-05-22 US US16/419,138 patent/US11463477B2/en active Active
-
2020
- 2020-05-15 DE DE102020113257.3A patent/DE102020113257A1/de active Pending
- 2020-05-21 CN CN202010437490.7A patent/CN111988269A/zh active Pending
-
2022
- 2022-08-30 US US17/823,193 patent/US11968238B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113946624A (zh) * | 2021-10-11 | 2022-01-18 | 北京达佳互联信息技术有限公司 | 分布式集群、信息处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220417288A1 (en) | 2022-12-29 |
| US11968238B2 (en) | 2024-04-23 |
| US20200374315A1 (en) | 2020-11-26 |
| DE102020113257A1 (de) | 2020-11-26 |
| US11463477B2 (en) | 2022-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110679131B (zh) | 多租户身份云服务的数据复制冲突检测和解决方案 | |
| US10122798B2 (en) | System and process for managing network communications | |
| US9183031B2 (en) | Provisioning of a virtual machine by using a secured zone of a cloud environment | |
| US10425465B1 (en) | Hybrid cloud API management | |
| US11503027B2 (en) | Validating configuration changes on a network device | |
| US8726348B2 (en) | Collaborative rules based security | |
| CN111801923A (zh) | 用于多租户身份云服务的资源类型和模式元数据的复制 | |
| US20080163340A1 (en) | Method and apparatus for policy-based network access control with arbitrary network access control frameworks | |
| WO2019152119A1 (en) | Distributed self sovereign identities for network function virtualization | |
| WO2012129468A1 (en) | System and method for sharing data from a local network to a remote device | |
| CN112788031A (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| US20230093304A1 (en) | Application Programming Interface Specification Generator | |
| US20230254286A1 (en) | Vpn deep packet inspection | |
| US11829784B1 (en) | Dynamically reordering plugin execution order at an API gateway of a microservices application | |
| US10715605B2 (en) | System and method for limiting active sessions | |
| US10621111B2 (en) | System and method for unified secure remote configuration and management of multiple applications on embedded device platform | |
| US11968238B2 (en) | Policy management system to provide authorization information via distributed data store | |
| US20130007841A1 (en) | Client server communication system | |
| CA3135722C (en) | Sharing resources between client devices in a virtual workspace environment | |
| US20230336360A1 (en) | Server to synchronize a digital avatar with a device based on items of information wrapped together | |
| US11212237B1 (en) | Sharing resources between client devices in a virtual workspace environment | |
| US11711373B2 (en) | Platform-based authentication for external services | |
| US20230195909A1 (en) | Secure on-premises to cloud connector framework | |
| WO2024078366A1 (zh) | 数据管理方法、服务器端、客户端及系统 | |
| US20230222227A1 (en) | Machine learning notebook cell obfuscation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |