CN116530073A - 无边界访问控制服务 - Google Patents
无边界访问控制服务 Download PDFInfo
- Publication number
- CN116530073A CN116530073A CN202180081050.5A CN202180081050A CN116530073A CN 116530073 A CN116530073 A CN 116530073A CN 202180081050 A CN202180081050 A CN 202180081050A CN 116530073 A CN116530073 A CN 116530073A
- Authority
- CN
- China
- Prior art keywords
- service
- request
- session
- spa
- borderless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000013475 authorization Methods 0.000 claims abstract description 20
- 230000004044 response Effects 0.000 claims abstract description 14
- 230000000977 initiatory effect Effects 0.000 claims abstract description 9
- 230000009471 action Effects 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 10
- 239000003795 chemical substances by application Substances 0.000 description 66
- 230000015654 memory Effects 0.000 description 25
- 238000004891 communication Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 239000000835 fiber Substances 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000001816 cooling Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 230000003936 working memory Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013501 data transformation Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 239000002957 persistent organic pollutant Substances 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了用于无边界访问控制的技术。一种无边界访问控制的方法可包括:由无边界访问控制服务的控制器从电子设备上的代理接收对会话票据的单包授权(SPA)请求,其中响应于截获去往与所述无边界访问控制服务相关联的服务的流量并且确定所述代理不具有所述服务的会话票据,所述代理发送对所述会话票据的所述请求;对所述SPA请求进行授权;基于所述请求来将会话票据提供给所述代理;由所述无边界访问控制服务的网关接收发起与服务的会话的请求,所述请求包括所述会话票据;核验所述会话票据;以及将会话参数提供给所述代理以用于发起所述电子设备与所述服务之间的所述会话。
Description
背景技术
虚拟专用网络(VPN)通常用于为用户提供在异地时对其组织的网络的访问。但是,VPN访问具有影响其可扩展性、性能和网络安全性的若干缺点。例如,VPN通过包括高流量但安全的操作系统内置服务的企业隧道传输所有客户端流量,这会降低可扩展性并且不会增加太多安全性。另外,VPN提供对企业网络的完全访问,包括与用户不需要访问但为攻击者提供有吸引力的目标的潜在易受攻击服务的网络连接。此外,VPN无法灵活地保护不需要通过企业网络隧道传输的用户应用程序的性能和隐私。VPN还会掩蔽隧道内的诸如语音和视频通信的实时服务,从而阻止端到端的服务质量(QoS)优先化。替代地,直接将服务暴露于互联网会引起另一组问题。例如,服务堆栈暴露于随机各方进行的扫描以及对服务进行指纹识别以识别易受攻击部件。另外,由于服务端口始终处于开放状态,因此攻击者更容易瞄准并且执行成功的DDoS攻击。由直接暴露的服务处理的大量非法流量会形成噪声,所述噪声隐藏机敏且坚定的对手的行动,这些对手正积极致力于渗透组织的开放攻击面。
附图说明
将参考附图描述根据本公开的各种实施方案,在附图中:
图1是示出根据一些实施方案的用于无边界访问控制的环境的图。
图2是示出根据一些实施方案的用于无边界访问控制的环境的图。
图3是示出根据一些实施方案的用于利用欺骗环境的无边界访问控制的环境的图。
图4是示出根据一些实施方案的无边界访问控制的数据流图的图。
图5是示出根据一些实施方案的用于无边界访问控制的方法的操作的流程图。
图6示出根据一些实施方案的示例性提供商网络环境。
图7是根据一些实施方案的将存储服务和硬件虚拟化服务提供给客户的示例性提供商网络的框图。
图8是示出可在一些实施方案中使用的示例性计算机系统的框图。
具体实施方式
本公开涉及用于无边界访问控制的方法、设备、系统和非暂时性计算机可读存储介质。随着移动工作人员数量增加以及供应链变得更加复杂,在大量合同雇员和合作伙伴雇员访问组织的信息基础设施的情况下,将这些用户连接到核心企业IT服务的可扩展且安全的方式变得更加重要。根据一些实施方案,无边界访问控制服务使得企业能够将受限服务暴露于企业边界之外的授权用户,同时使服务对未授权连接保持不可见并且使服务受到保护以免受未授权连接的影响。这允许组织通过暴露其内部网络服务以实现来自互联网的直接访问来简化其IT架构和操作。实施方案解决了使用利用单包授权(SPA)的客户端授权层将服务直接暴露于互联网的问题。SPA使得授权客户端设备能够直接访问服务,同时忽略来自未授权源的网络流量。在一些实施方案中,服务可被配置为在客户端设备与提供会话加密的网关之间建立安全隧道。A.使用SPA,单包可向系统认证用户。此外,它是一种允许远程用户设备在封闭系统(例如,具有有限开放服务或不具有开放服务的系统)上安全认证并且改变封闭系统或在封闭系统上运行应用程序的协议。
实施方案使用预配给用户设备的轻量级SPA代理来认证用户设备并且促进与企业服务的通信。在注册期间,SPA代理预配有它在轻量级请求中呈现给SPA控制器服务的唯一加密凭据。在一些实施方案中,请求是单向通信,诸如UDP单包。这样,无边界访问控制服务可对未授权参与者保持不可见。替代地,在一些实施方案中,SPA可作为TLS握手的一部分来执行。在此类实施方案中,请求仍然是单向的,并且将SPA实现为TLS握手的一部分有效地防止对服务器和/或服务进行指纹识别,但是这确实允许通过TCP 3次握手发现它。SPA控制器认证客户端,并且如果成功,则使得能够访问由策略允许并且由客户端安全态势和上下文通知的企业服务。SPA代理可从电子设备获得态势和/或上下文信息。态势和/或上下文信息可包括设备物理位置(例如,仅当用户设备位于一个或多个特定物理位置时才可访问服务)、连接的无线设备(例如,确定其他设备是否经由蓝牙或其他无线连接连接到用户设备,确定无线连接是否启用等),设备/用户生物识别等。例如,用户利用易受攻击设备(例如,未提供补丁或以其他方式缺少最新软件)通过WiFi热点访问企业服务将被允许访问IT支持帮助台和基本故障排除信息。一旦设备已更新并且不再易受攻击和/或不再从不安全位置连接,则设备将被允许访问更敏感信息。实施方案另外提供针对分布式拒绝服务(DDoS)攻击的另外的防御。只有经验证用户才可与系统通信,从而使其对端口扫描不可见,并且不花费另外的资源来减少攻击流量。因此,实施方案提供对企业服务的安全且可扩展的访问,所述企业服务克服了上述现有技术的缺陷。
图1是示出根据一些实施方案的用于无边界访问控制的环境的图。如图1所示,提供商网络100可包括多个服务112-116。这些服务可包括由企业提供给其用户、雇员、客户、承包商等的各种服务。这些服务托管在开放互联网上。因此,访问这些服务不需要VPN。相反,供应商网络100可将对这些服务的访问提供给授权用户或其他实体,并且对未授权实体隐藏这些服务。相对于在提供商网络环境中实现无边界访问控制服务102来描述实施方案。然而,在一些实施方案中,所述的技术可全部或部分地在其他计算环境中实现以降低安全复杂性同时保护服务、计算系统等免受未授权访问影响。例如,本文所述的SPA技术可由无线接入点实现。网格接入点可在严重拥塞的Wi-Fi区域中实现本文所述的SPA技术以忽略未授权包,从而防止接入点使用的RF频谱上的DDoS。
提供商网络100(或“云”提供商网络)为用户提供利用各种类型的计算相关资源中的一者或多者的能力,所述计算相关资源诸如计算资源(例如,执行虚拟机(VM)实例和/或容器、执行批作业、执行代码而不预配服务器)、数据/存储资源(例如,对象存储、块级存储、数据档案存储、数据库和数据库表等)、网络相关资源(例如,配置虚拟网络(包括多组计算资源)、内容传递网络(CDN)、域名服务(DNS))、应用程序资源(例如,数据库、应用构建/部署服务)、访问策略或角色、身份策略或角色、机器图像、路由器及其他数据处理资源等。这些和其他计算资源可作为服务提供,所述服务诸如:可执行计算实例的硬件虚拟化服务、可存储数据对象的存储服务等。提供商网络100的用户(或“客户”)可利用与客户账户相关联的一个或多个用户账户,但是可根据使用的情境稍微可互换地使用这些项。用户可经由一个或多个接口(诸如通过使用应用程序编程接口(API)调用)、经由作为网站或应用程序实现的控制台等跨一个或多个中间网络106(例如,互联网)与提供商网络100交互。API是指客户端和服务器之间的接口和/或通信协议,使得如果客户端以预定义格式发出请求,则客户端应以特定格式接收响应或发起定义的动作。在云提供商网络背景中,API通过允许客户从云提供商网络获得数据或在云提供商网络内引起动作来为客户提供访问云基础设施的网关,从而使得能够开发与托管在云提供商网络中的资源和服务交互的应用程序。API还可使得云提供商网络的不同服务能够彼此交换数据。一个或多个接口可以是提供商网络100的控制平面的一部分或充当控制平面的前端,所述控制平面包括支持和实现可更直接地提供给客户的服务的“后端”服务。
例如,云提供商网络(或仅“云”)通常是指可访问的虚拟化计算资源(诸如计算、存储和联网资源、应用程序以及服务)的大池。云可提供对可配置计算资源共享池的方便、按需网络访问,所述计算资源可响应于客户命令而以编程方式预配和发布。可动态地预配和重新配置这些资源以调节到可变负载。因此,云计算可被视为通过公共可访问网络(例如,互联网、蜂窝通信网络)作为服务交付的应用程序以及提供那些服务的云提供商数据中心中的硬件和软件。
云提供商网络可形成为多个区,其中区是云提供商将数据中心聚集在其中的地理区域。每个区包括经由专用高速网络(例如,光纤通信连接)彼此连接的多个(例如,两个或更多个)可用区(AZ)。AZ(也称为可用性域,或简称为“区”)提供隔离的故障域,其包括一个或多个数据中心设施,所述一个或多个数据中心设施具有与另一个AZ中的那些数据中心设施分开的电力、联网和冷却。数据中心是指容纳云提供商网络的服务器并为其提供电力和冷却的物理建筑物或机柜。优选地,区内的AZ彼此相距足够远,因此自然灾害(或其他故障诱发事件)不会同时影响多于一个AZ或使多于一个AZ离线。
客户可经由可公开访问的网络(例如,互联网、蜂窝通信网络)例如通过转接中心(TC)连接到云提供商网络的AZ。TC是将客户连接到云提供商网络的主要骨干位置,并且可并置在其他网络提供商设施(例如,互联网服务提供商(ISP)、电信提供商)处并安全地连接(例如,经由VPN或直接连接)到AZ。每个区可操作两个或更多个TC以实现冗余。区连接到全球网络,所述全球网络包括专用网络基础设施(例如,由云提供商控制的光纤连接),所述专用网络基础设施将每个区连接到至少一个其他区。云提供商网络可通过边缘位置和区边缘高速缓存服务器,从这些区之外但与这些区联网的存在点(或“POP”)交付内容。计算硬件的这种划分和地理分布使得云提供商网络能够在全球范围内以高度的容错性和稳定性为客户提供低延迟的资源访问。
为了提供这些和其他计算资源服务,提供商网络100通常依赖于虚拟化技术。例如,虚拟化技术可用于向用户提供控制或利用计算资源的能力(例如,“计算实例”,诸如使用客户操作系统(O/S)的VM,所述VM使用以下各项来操作:可在底层主机O/S之上进一步操作或不进一步操作的管理程序、可在VM中操作或不操作的容器、可在没有底层管理程序的“裸机”硬件上执行的计算实例),其中一个或多个计算资源可使用单个电子设备来实现。因此,用户可直接利用由提供商网络托管的计算资源(例如,由硬件虚拟化服务提供)来执行各种计算任务。另外或替代地,用户可通过提交由提供商网络执行的代码(例如,经由按需代码执行服务)来间接地利用计算资源,所述提供商网络继而利用一个或多个计算资源来执行代码,通常用户对所涉及的一个或多个底层计算实例没有任何控制或了解。
在一些实施方案中,用户可安装SPA代理108以促进从用户电子设备104到提供商网络100的一个或多个服务的通信。SPA代理然后可到达企业端点(例如,由提供商网络100暴露的URL或其他端点或互联网、企业内联网或其他网络上的另一个位置)。用户然后提供他们的一个或多个凭据(例如,用户名和密码、生物识别数据和/或其他识别信息),并且企业配置SPA代理108以访问特定服务。在一些实施方案中,配置SPA代理108包括由企业将凭据提供给SPA代理108,所述凭据用于由无边界访问控制服务102执行SPA。
电子设备104(例如,用户设备、物联网(IoT)设备或其他计算设备)上的应用程序110可经由轻量级SPA代理108访问由提供商网络100提供的服务。例如,应用程序可尝试发起与服务的会话(例如,查看电子邮件、请求文档等)。在一些实施方案中,这可响应于用户输入(例如,用户在他们的用户设备上访问应用程序)来执行,或者可不涉及任何用户参与。例如,在电子设备是IoT设备的情况下,在IoT设备上运行的应用程序可尝试自动连接到服务以中继由IoT设备的一个或多个传感器收集的传感器数据。在数字1处,SPA代理可截获来自电子设备104的流量,包括来自应用程序110的流量。在数字2处,SPA代理确定该流量是否与其访问由无边界访问控制服务102管理的服务中的一个相关联。如果流量不与这些服务中的一个相关联,则流量径直传递到其目的地。如果流量与服务中的一个相关联,则它由SPA代理108持有,直到用户设备已使用SPA进行授权(如果尚未授权)。在一些实施方案中,在数字3处,SPA代理108预配有它在轻量级请求中呈现给无边界访问控制服务102的唯一加密凭据。例如,SPA代理使用授权有效载荷将访问凭据和态势数据提供给无边界访问控制服务102的SPA控制器。在一些实施方案中,授权有效载荷包括单向UDP包(或其他单包)。替代地,在一些实施方案中,TLS握手(例如,TCP 3次握手中涉及的多包)可在作为授权有效载荷的一部分的单向包之前。
在数字4处,无边界访问控制服务102认证电子设备104(例如,请求客户端设备),并且如果成功,则使得能够访问由策略允许并且由客户端安全态势和上下文通知的企业服务。在各种实施方案中,策略可识别时间限制、原始网络/IP限制、特定授权服务等。例如,用户利用未提供补丁的设备通过WiFi热点访问企业服务可被允许访问有限数量的服务(诸如IT支持帮助台和基本故障排除信息),但在应用任何/所有关键补丁的情况下可被允许在处于安全位置时访问更敏感的信息。可在允许访问之前验证的其他态势要求可包括但不限于设备物理位置(例如,仅当用户设备位于一个或多个特定物理位置时才可访问服务)、连接的无线设备(例如确定其他设备是否经由蓝牙或其他无线连接连接到用户设备,确定无线连接是否启用等)、设备/用户生物识别等。在一些实施方案中,无边界访问控制服务102可基于与用户相关联的认证和安全策略来使会话票据返回到SPA代理108。会话票据可指示用户被授权访问哪些服务。在一些实施方案中,无边界访问控制服务102仅在SPA请求被正确认证的情况下才核验SPA请求;否则请求被默默丢弃。
在数字5处,SPA代理可尝试使用会话票据连接到所请求服务。无边界访问控制服务102然后可核验票据并且提供使得SPA代理108能够打开到所请求服务的连接的会话参数。例如,在数字6处,可打开到所请求服务(诸如服务A 112或其他服务(例如,服务B 110至服务N 112)中的一个)的连接。一旦打开连接,则先前由SPA代理108持有的流量将通过打开的连接传递到服务。在一些实施方案中,如果会话票据不提供对所请求服务的访问,则流量被忽略。在一些实施方案中,在数字7处,如果无会话票据包括在请求中,则无边界访问控制服务102可完全忽略流量或将流量重定向到欺骗环境110。
图2是示出根据一些实施方案的用于无边界访问控制的环境的图。如图2所示,在一些实施方案中,在数字1处,SPA代理108截获来自电子设备104的流量,诸如来自应用程序110的流量。在数字2处,SPA代理108可基于流量的特性(例如,目的地地址等)来确定流量是否是对由无边界访问控制服务102管理的服务的请求。在一些实施方案中,如果所请求服务由无边界访问控制服务102管理,则SPA代理还可确定它是否具有与该服务相关联的会话票据。如果是,则它可经由网关202连接到服务。然而,如果它不具有会话票据,则在数字3处它可向SPA控制器200发送对会话票据的请求。请求可包括在设置时预配给SPA代理108的凭据。SPA控制器200在数字4处核验凭据,并且然后在数字5处使用设备到用户映射204确定与设备相关联的用户。设备到用户的映射204可将与电子设备104相关联的标识符映射到用户(例如,企业雇员、承包商或被授权访问企业服务中的一者或多者的其他人),该标识符可作为在数字3处提供的凭据的一部分包括在内。
在数字6处,SPA控制器200然后可查找与用户相关联的安全策略206。安全策略206可限定用户可访问的服务以及必须满足以访问这些服务中的一些或全部的用户设备态势要求。例如,用户设备态势要求可包括用户设备通过其访问服务的网络的类型(例如,公共或专用)、用户设备上的软件的当前状态(例如,是用最新安全补丁更新的操作系统和/或客户端应用程序)等。SPA控制器然后向SPA代理108预配指示用户可访问的服务的会话票据。在一些实施方案中,与用户相关联的策略可限制他们对服务的访问。例如,如果用户最近被终止,则他们对服务的访问可禁用,或者可减少到一个或多个服务,通过所述一个或多个服务他们可返还其一个或多个电子设备。这样,即使预配给SPA代理的凭据仍然有效,用户可访问的服务也可动态更新。另外,在一些实施方案中,策略可根据用户正在使用的电子设备的类型启用不同访问。例如,基于设备特性(例如,设备加密、设备安全等),用户的个人设备可访问第一组服务,而他们的企业发布的设备可访问第二组服务。
在数字7处,SPA代理108然后通过将包连同会话票据发送到网关来打开到所请求服务的连接。在一些实施方案中,不同服务可与不同网关相关联。另外或替代地,多个服务可与同一网关相关联。在数字8处,SPA网关核验票据。如果会话是合法的,则SPA网关202可选地为SPA代理108和它本身协商会话端口重写对,并且在数字9处在SPA代理108与服务112之间建立一个或多个会话特定规则。SPA代理108然后可通过新建立的连接将在建立连接时最初持有的流量传递到服务。
在一些实施方案中,无边界访问控制服务102可实现多个网关和对相同服务或不同服务的访问。在一些实施方案中,不同网关可支持不同通信协议。当尝试连接到给定服务时,SPA代理可跨网关进行故障转移。例如,如果在数字7处,SPA代理无法使用UDP包连接到SPA网关202,则在数字10处,SPA代理108然后可故障转移到SPA网关208并且尝试经由TCP进行连接。在数字11处,尝试与SPA网关208进行TLS握手。如果在TLS握手期间认证SPA代理,则可将会话参数提供给SPA代理以在数字12处打开与服务的连接。如果SPA代理未成功认证,则可丢弃流量。这样,通信仍然是单向的(例如,不会向SPA代理返还响应)。然而,这确实将SPA网关208暴露为存在并通过TCP通信。因此,它可能更容易受到一些攻击。通过分离出SPA网关202,保护SPA网关202可访问的任何服务免受对SPA网关208的攻击。
图3是示出根据一些实施方案的用于利用欺骗环境的无边界访问控制的环境的图。如图1所示,在一些实施方案中,在数字1处,恶意源300可尝试连接到SPA控制器200以获得访问由提供商网络100提供的服务的票据。SPA控制器可确定它已接收到无效请求(例如,由于客户端未被预配或未使用正确的授权凭据)并且在数字2处向客户端(例如,恶意源300)提供将在SPA网关202处触发重定向到欺骗环境中的票据。另外或替代地,在一些实施方案中,如果恶意源300在未首先由SPA控制器200认证的情况下在数字2处尝试直接访问服务,则SPA网关202可重定向到欺骗环境110或忽略流量。传统的欺骗环境有其自己与目标服务分开的IP地址。然而,使用SPA,欺骗环境110和目标服务(例如,服务A 112)都具有相同IP地址。因此,无边界访问控制服务102确定在IP地址处接收的流量被路由到目标服务还是欺骗环境110。
如图所讨论,在数字2处,从尚未正确认证的恶意源接收流量。SPA网关202核验是否允许该会话的设备/用户策略。如果不是这种情况或者SPA网关在任何服务端口处接收到未经通知的流量,则它可选择基于其策略配置和已实现的任何主动阻挡来在欺骗环境110中对会话定向。在一些实施方案中,SPA网关202可选择丢弃流量或将流量路由到欺骗环境110。通过丢弃流量,与DDoS攻击相关联的风险会降低,因为任何未授权流量正好被忽略。替代地,从恶意源接收的流量可在数字3处重路由到的欺骗环境,与此同时看起来访问相同IP地址。这样,无边界访问控制服务102将授权用户与未授权用户分开,与此同时服务暴露于互联网或其他公共网络,而无需任何VPN服务。
有组织的对手务实地瞄准允许他们最大化其收益的系统。使初始侦察更加困难(例如,通过忽略流量或将流量路由到欺骗环境)可能会使目标的吸引力在杀伤链中的早期阶段大幅降低。另外,欺骗能力通过早期检测能力为寻找目标或可能主动尝试渗透的对手提供改进的情况感知。它允许自动映射对手基础设施,并且实现对对手战术、技术和程序(TTP)的一定程度的洞察力。另外,在一些实施方案中,虽然在欺骗环境110中,恶意源可进行指纹识别和/或属性数据可被收集。例如,网络钩子可用于收集客户端浏览器数据或利用网络信标修改所请求数据(即对文档的请求)。这实现威胁参与者剖析(TAP)的绑定响应。TAP是一种成本效应预警系统,其模拟参与者的行为和输入以构建网络角色。
在一些实施方案中,欺骗环境110可收集关于可提供给防御分析服务302的参与者、策略、技术和程序的情报。防御分析服务302可从托管在提供商网络100中的多个客户应用程序中收集此情报,并且使用此情报来改进对多个客户的保护。例如,在数字5处,SPA网关202可基于情报来更新。这可包括识别应始终忽略其流量的特定参与者(例如,通过IP地址、指纹识别等)。例如,防御分析服务302可使用所采集情报(例如,通过自动规则和/或明确的分析行动)生成应用回网关的威胁列表和/或保护规则。这样,网关可对已知的恶意流量做出快速、低资源的决策,同时能够进一步研究新的/未知的威胁。在一些实施方案中,除了基于所采集情报来更新SPA网关202之外,可选地,可类似地更新供应商网络100和/或一个或多个客户网络306的一个或多个其他服务304。例如,服务304可包括DDoS服务、防火墙服务或由提供商网络100提供的其他防御服务。一个或多个服务304可使用由防御分析服务302基于欺骗环境110采集的情报更新它们自己的防御(例如,经由威胁列表、保护规则等)。另外或替代地,提供商网络100可使用所采集情报改变网络或应用程序态势(例如,更新路由、增加日志记录级别等),和/或利用另外的刺激更新欺骗环境以收集另外的情报。同样,客户网络可包括防御系统308,诸如防火墙或其他系统,所述防御系统可基于所采集情报来类似地更新。类似地,客户网络306也可基于所采集情报来更新他们的网络管理系统310(例如,更新路由、增加日志记录级别等)。
图4是示出根据一些实施方案的无边界访问控制的数据流图的图。在数字1处,应用程序尝试连接到提供商网络100中的服务(诸如服务A 112)。请求被在执行认证时保持会话状态的用户设备上执行的SPA代理108截获。例如,在数字2处,SPA代理108向SPA控制器200发送SPA请求。如所讨论的,请求可包括单包(例如,UDP包或其他包),所述单包包括客户端凭据(例如,设备标识符或当在用户设备上设置SPA代理时预配的其他安全凭据)以向服务器进行认证。
SPA控制器108接收请求并且执行若干动作中的一个。例如,SPA控制器108可核验请求并且在数字3处返还包括服务票据的SPA响应。如所讨论的,SPA控制器108可确定它是无效请求(例如,由于客户端未被预配、未使用正确的授权凭据等)并且向客户端提供将在SPA网关202处触发重定向到欺骗环境中的票据。替代地,SPA控制器108可如上所述确定它是无效请求并且默默忽略它。
假设客户端已发布有效票据,则在数字4处,它可使用所述票据发起与SPA控制器200的TLS保护会话,以提交其态势信息并且检索策略以及它被授权到达的允许服务的目录。此时,用户设备经由SPA代理108准备好发起服务请求。用户设备中的SPA代理108识别发起到受无边界访问控制服务102保护的服务的流量。当请求这种服务时,在数字5处,向SPA网关202的SPA会话请求连同从SPA控制器200获得的服务票据。SPA网关202核验允许该会话的设备/用户策略。如前所述,如果会话因为其无法核验而不被允许或者SPA网关在任何服务端口处接收到未经通知的流量,则它可选择基于其策略配置和已实现的任何主动阻挡来在欺骗环境中对会话定向。替代地,SPA网关可简单地忽略任何无法核验的流量。如果会话成功核验,则SPA网关可选地为SPA代理和它本身协商会话端口重写对,并且在SPA客户端与服务之间建立会话特定规则。可在数字6处在SPA响应中提供这些会话参数。SPA代理108然后可在数字7处使用这些会话参数与所请求服务建立会话隧道,并且提供在数字1处接收到的先前已由SPA代理保有的流量。
图5是示出根据一些实施方案的用于无边界访问控制的方法的操作500的流程图。操作500(或本文描述的其他过程、或其变型、和/或组合)的一些或全部在配置有可执行指令的一个或多个计算机系统的控制下执行,并且作为共同在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用程序)实现、由硬件实现或由其组合实现。代码以例如包括可由一个或多个处理器执行的指令的计算机程序的形式存储在计算机可读储存介质上。计算机可读存储介质是非暂时性的。在一些实施方案中,操作500中的一个或多个(或全部)由其他附图的SPA代理108和/或无边界访问控制服务102执行。
操作500包括,在框502处,由无边界访问控制服务的控制器从电子设备上的代理接收对会话票据的单包授权(SPA)请求,其中响应于截获去往与无边界访问控制服务相关联的服务的流量并且确定代理不具有服务的会话票据,代理发送对会话票据的请求。在一些实施方案中,客户端设备上的代理被配置为由客户端设备上的代理截获来自客户端设备上的应用程序的流量,所述流量与服务相关联;确定服务与无边界访问控制服务相关联;并且确定代理不具有服务的会话票据。在一些实施方案中,代理进一步被配置为获得电子设备的态势信息,所述态势信息包括与客户端设备相关联的软件版本、与客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者,并且向控制器提供态势信息。在一些实施方案中,代理保有流量并且在会话已发起时将流量提供给服务。在一些实施方案中,SPA请求包括授权有效载荷和先前预配给代理的凭据。在一些实施方案中,SPA请求是单向的。
操作500还包括在框504处对SPA请求进行授权。例如,控制器可对SPA请求中包括的凭据授权。控制器可识别与已预配凭据的客户端设备相关联的一个或多个策略。这些策略可限定与设备相关联的用户可访问的服务以及可访问服务的一个或多个条件。例如,设备可根据设备的态势访问不同服务。例如,连接到公共网络或缺少当前软件安全更新(例如,补丁)的设备可访问有限数量的服务,而通过专用网络连接的最新设备可访问更多服务。在一些实施方案中,对SPA请求进行授权还包括:将用户映射到电子设备,确定与用户相关联的策略,以及基于策略来生成会话票据
操作500还包括,在框506处,基于请求来将会话票据提供给代理。在一些实施方案中,会话票据可以基于与用户或客户端设备相关联的一个或多个策略以及客户端设备的态势。会话票据可识别用户或设备被授权访问的服务。在一些实施方案中,会话票据可包括一个或多个限制,诸如访问服务的时间限制。在各种实施方案中,控制器可监测设备并且如果例如设备的安全态势改变则改变或撤销会话票据。
操作500还包括,在框508处,由无边界访问控制服务的网关接收发起与服务的会话的请求,所述请求包括会话票据。操作500还包括,在框510处,核验会话票据。例如,网关可核验会话票据是有效的(未过期、与请求设备相关联、由授权控制器发布等)并且它授予对所请求服务的访问权限。
操作500还包括,在框512处,将会话参数提供给代理以用于发起客户端设备与服务之间的会话。在一些实施方案中,在已发起会话时,客户端设备上的代理进一步被配置为在已发起会话时将流量提供给服务。
在一些实施方案中,操作还包括:将识别客户端设备的凭据预配给代理。例如,在设置期间,代理可由用户下载到客户端设备,所述用户然后可连接到企业以将凭据预配给代理。
在一些实施方案中,如果由无边界访问控制服务接收到未授权的请求,则无边界访问控制服务可丢弃流量或将其转移到欺骗环境。例如,在一些实施方案中,操作还包括:由无边界访问控制服务的网关接收发起与服务的会话的第二请求,所述请求不包括会话票据;以及忽略第二请求。替代地,在一些实施方案中,操作还包括:由无边界访问控制服务的网关接收发起与服务的会话的第二请求,所述请求不包括会话票据;以及将第二请求路由到具有与服务相同的IP地址的欺骗环境。在一些实施方案中,操作还包括:基于在欺骗环境中执行的一个或多个动作来识别恶意参与者;以及更新网关以对从恶意参与者接收的未来流量执行一个或多个防御动作。
在一些实施方案中,操作包括:由客户端设备上的单包授权(SPA)代理截获从客户端设备上的应用程序去往提供商网络的服务的流量;确定服务与无边界访问控制服务相关联;向无边界访问控制服务的控制器发送SPA请求,所述SPA请求包括设备凭据;从无边界访问控制服务获得会话票据,所述会话票据基于与客户端设备相关联的策略;向无边界访问控制服务的网关发送发起与服务的会话的请求;从网关接收会话参数;使用会话参数发起与服务的会话;以及通过会话提供去往服务的流量。
在一些实施方案中,网关核验会话票据并且确定会话票据与服务相关联。在一些实施方案中,会话票据进一步基于态势信息,所述态势信息包括与客户端设备相关联的软件版本、与客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者。
图6示出根据一些实施方案的示例性提供商网络(或“服务提供商系统”)环境。提供商网络600可经由一个或多个虚拟化服务610向客户提供资源虚拟化,所述一个或多个虚拟化服务允许客户购买、租借或以其他方式获得在一个或多个数据中心中的一个或多个提供商网络内的设备上实现的虚拟化资源(包括但不限于计算资源和存储资源)的实例612。本地互联网协议(IP)地址616可与资源实例612相关联;本地IP地址是提供商网络600上的资源实例612的内部网络地址。在一些实施方案中,提供商网络600还可提供客户可从提供商600获得的公共IP地址614和/或公共IP地址范围(例如,互联网协议版本4(IPv4)或互联网协议版本6(IPv6)地址)。
常规上,提供商网络600可经由虚拟化服务610来允许服务提供商的客户(例如,操作包括一个或多个客户设备652的一个或多个客户端网络650A至650C的客户)使指派或分配给客户的至少一些公共IP地址614与指派给客户的特定资源实例612动态地相关联。提供商网络600还可允许客户将先前映射到分配给客户的一个虚拟化计算资源实例612的公共IP地址614重新映射到也分配给客户的另一虚拟化计算资源实例612。例如,服务提供商(诸如,一个或多个客户网络650A至650C的运营商)的客户可使用由服务提供商提供的虚拟化计算资源实例612和公共IP地址614来实现客户特定的应用并且在诸如互联网的中间网络640上呈现客户的应用。然后,中间网络640上的其他网络实体620可生成到由一个或多个客户网络650A至650C发布的目的地公共IP地址614的流量;所述流量被路由到服务提供商数据中心,并且在数据中心处经由网络底层路由到虚拟化计算资源实例612的当前映射到目的地公共IP地址614的本地IP地址616。类似地,来自虚拟化计算资源实例612的响应流量可经由网络底层路由回到中间网络640上到源实体620。
本文中所使用的本地IP地址指代例如提供商网络中的资源实例的内部或“专用”网络地址。本地IP地址可在由互联网工程任务组(IETF)注释请求(RFC)1918预留的地址块内和/或具有由IETF RFC 4193指定的地址格式,并且在提供商网络内可以是可变的。源自提供商网络外部的网络流量不会直接路由到本地IP地址;而是,流量使用映射到资源实例的本地IP地址的公共IP地址。提供商网络可包括提供网络地址转译(NAT)或类似功能性以执行从公共IP地址到本地IP地址的映射的网络设备或设备,反之亦然。
公共IP地址是由服务提供商或由客户分配给资源实例的互联网可变网络地址。路由到公共IP地址的流量例如经由1:1NAT转译并转发到资源实例的相应本地IP地址。
一些公共IP地址可由提供商网络基础设施分配给特定资源实例;这些公共IP地址可称为标准公共IP地址,或简称为标准IP地址。在一些实施方案中,标准IP地址到资源实例的本地IP地址的映射是所有资源实例类型的默认启动配置。
至少一些公共IP地址可被分配给提供商网络600的客户或由提供商网络600的客户获得;然后,客户可将其分配到的公共IP地址指派给分配给客户的特定资源实例。这些公共IP地址可称为客户公共IP地址,或简称为客户IP地址。代替如在标准IP地址的情况下由提供商网络600指派给资源实例,客户IP地址可由客户例如经由服务提供商提供的API指派给资源实例。与标准IP地址不同,客户IP地址被分配给客户帐户,并且可根据需要或期望由相应客户重新映射到其他资源实例。客户IP地址与客户账户相关联,而不是与特定资源实例相关联,并且客户控制所述IP地址,直到客户选择释放它。与常规的静态IP地址不同,客户IP地址允许客户通过将客户的公共IP地址重新映射到与客户账户关联的任何资源实例来屏蔽资源实例或可用区故障。例如,客户IP地址使客户能够通过将客户IP地址重新映射到替换资源实例来解决客户资源实例或软件的问题。
图7是根据一些实施方案的向客户提供存储服务和硬件虚拟化服务的示例性提供商网络的框图。硬件虚拟化服务720向客户提供多个计算资源724(例如,诸如VM的计算实例725)。例如,可将计算资源724租借或租赁给提供商网络700的客户(例如,实现客户网络750的客户)。每个计算资源724可设置有一个或多个本地IP地址。提供商网络700可被配置为将分组从计算资源724的本地IP地址路由到公共互联网目的地,以及从公共互联网源路由到计算资源724的本地IP地址。
提供商网络700可为例如经由本地网络756耦合到中间网络740的客户网络750提供经由耦合到中间网络740和提供商网络700的硬件虚拟化服务720实现虚拟计算系统792的能力。在一些实施方案中,硬件虚拟化服务720可提供一个或多个API 702(例如,web服务接口),经由所述API,客户网络750可例如经由控制台794(例如,基于web的应用程序、独立应用程序、移动应用程序等)访问由硬件虚拟化服务720提供的功能性。在一些实施方案中,在提供商网络700处,客户网络750处的每个虚拟计算系统792可对应于被租赁、租借或以其他方式提供给客户网络750的计算资源724。
客户可例如经由一个或多个API 702从虚拟计算系统792和/或另一客户设备790(例如,经由控制台794)的实例访问存储服务710的功能性,以从提供商网络700所提供的虚拟数据存储区716(例如,文件夹或“桶”、虚拟化卷、数据库等)的存储资源718A至718N中访问数据以及将数据存储到所述存储资源。在一些实施方案中,可在客户网络750处提供虚拟化数据存储网关(未示出),所述虚拟化数据存储网关可在本地缓存至少一些数据(例如,频繁访问的或关键的数据),并且可经由一个或多个通信信道与存储服务710通信以从本地缓存上传新的或修改的数据,使得维护数据的主存储区(虚拟化数据存储区716)。在一些实施方案中,用户经由虚拟计算系统792和/或在另一客户设备790上可经由充当存储虚拟化服务的存储服务710安装和访问虚拟数据存储区716卷,并且这些卷在用户看来可以是本地(虚拟化)存储设备798。
虽然在图7中未示出,但是还可经由一个或多个API 702从提供商网络700内的资源实例访问一个或多个虚拟化服务。例如,客户、设备服务提供商或其他实体可经由API702从提供商网络700上的相应的虚拟网络内部访问虚拟化服务,以请求在虚拟网络内或另一虚拟网络内分配一个或多个资源实例。
说明性系统
在一些实施方案中,一种实现本文所述的技术的部分或全部的系统可包括通用计算机系统(诸如图8所示的计算机系统800),所述通用计算机系统包括一个或多个计算机可访问介质或者被配置为访问一个或多个计算机可访问介质。在所示的实施方案中,计算机系统800包括一个或多个处理器810,所述一个或多个处理器经由输入/输出(I/O)接口830耦合到系统存储器820。计算机系统800还包括耦合到I/O接口830的网络接口840。虽然图8将计算机系统800示出为单个计算设备,但是在各种实施方案中,计算机系统800可包括一个计算设备或被配置为作为单个计算机系统800一起工作的任何数量的计算设备。
在各种实施方案中,计算机系统800可以是包括一个处理器810的单处理器系统或者包括若干处理器810(例如,两个、四个、八个或另一合适数量)的多处理器系统。处理器810可以是能够执行指令的任何合适的处理器。例如,在各种实施方案中,处理器810可以是实现多种指令集架构(ISA)中的任一种(诸如x86、ARM、PowerPC、SPARC、或MIPS ISA或任何其他合适的ISA)的通用或嵌入式处理器。在多处理器系统中,处理器810中的每一个通常可以(但不一定)实现相同的ISA。
系统存储器820可存储可由一个或多个处理器810访问的指令和数据。在各种实施方案中,可使用任何合适的存储器技术(诸如随机存取存储器(RAM)、静态RAM(SRAM)、同步动态RAM(SDRAM)、非易失性/快闪型存储器或任何其他类型的存储器)来实现系统存储器820。在所示的实施方案中,实现一个或多个期望功能的程序指令和数据(诸如上述那些方法、技术和数据)被示出为作为无边界访问控制服务代码825(例如,可执行以全部或部分实现无边界访问控制服务102)和数据826存储在系统存储器820内。
在一个实施方案中,I/O接口830可被配置为协调设备中的处理器810、系统存储器820和任何外围设备(包括网络接口840或其他外围接口)之间的I/O流量。在一些实施方案中,I/O接口830可执行任何必要的协议、时序或其他数据变换,以将来自一个部件(例如,系统存储器820)的数据信号转换成适合于由另一部件(例如,处理器810)使用的格式。在一些实施方案中,I/O接口830可包括支持通过各种类型的外围总线(例如,诸如外围部件互连(PCI)总线标准或通用串行总线(USB)标准的变型)附接的设备。在一些实施方案中,I/O接口830的功能可拆分成两个或更多个单独的部件,例如,诸如北网桥和南网桥。而且,在一些实施方案中,I/O接口830(诸如到系统存储器820的接口)的功能性中的一些或全部可直接并入处理器810中。
网络接口840可被配置为允许在计算机系统800与附接到一个或多个网络850的其他设备860(例如,诸如如图1所示的其他计算机系统或设备)之间交换数据。在各种实施方案中,例如,网络接口840可支持经由任何合适的有线或无线通用数据网络(例如,诸如以太网网络类型)进行的通信。另外,网络接口840可支持经由电信/电话网络(诸如模拟语音网络或数字光纤通信网络)、经由存储区域网(SAN)(诸如光纤通道SAN)或经由I/O任何其他合适类型的网络和/或协议进行的通信。
在一些实施方案中,计算机系统800包括一个或多个卸载卡870A或870B(包括一个或多个处理器875,并且可包括一个或多个网络接口840),所述一个或多个卸载卡使用I/O接口830(例如,实现外围部件互连快速(PCI-E)标准的版本或诸如快速路径互连(QPI)或超路径互连(UPI)的另一互连的总线)来连接。例如,在一些实施方案中,计算机系统800可充当托管计算资源(诸如计算实例)的主机电子设备(例如,作为硬件虚拟化服务的一部分进行操作),并且一个或多个卸载卡870A或870B执行可管理在主机电子设备上执行的计算实例的虚拟化管理器。作为示例,在一些实施方案中,一个或多个卸载卡870A或870B可执行计算实例管理操作,诸如暂停和/或取消暂停计算实例、启动和/或终止计算实例、执行存储器转移/复制操作等。在一些实施方案中,这些管理操作可由一个或多个卸载卡870A或870B与由计算机系统800的其他处理器810A至810N执行的管理程序(例如,根据来自管理程序的请求)协作来执行。然而,在一些实施方案中,由一个或多个卸载卡870A或870B实现的虚拟化管理器可容纳来自其他实体(例如,来自计算实例本身)的请求,并且可不与任何单独的管理程序协作(或服务于任何单独的管理程序)。
在一些实施方案中,系统存储器820可以是被配置为存储如上所述的程序指令和数据的计算机可访问介质的一个实施方案。然而,在其他实施方案中,程序指令和/或数据可以在不同类型的计算机可访问介质上接收、发送或存储。一般来说,计算机可访问介质可以包括非暂时性存储介质或存储器介质,诸如磁性介质或光学介质,例如经由I/O接口830耦合到计算机系统800的磁盘或DVD/CD。非暂时性计算机可访问存储介质还可包括任何易失性或非易失性介质,诸如RAM(例如,SDRAM、双倍数据速率(DDR)SDRAM、SRAM等)、只读存储器(ROM)等,它们可作为系统存储器820或另一种类型的存储器包括在计算机系统800的一些实施方案中。此外,计算机可访问介质可以包括经由通信介质(诸如网络和/或无线链路,诸如可以经由网络接口840实现)传达的传输介质或信号,诸如电信号、电磁信号或数字信号。
本文中所论述或所提出的各种实施方案可在各种各样的操作环境中实现,在一些情形中所述操作环境可包括可用于操作多个应用程序中的任一者的一个或多个用户计算机、计算设备或处理设备。用户或客户端设备可包括:许多通用个人计算机中的任一者,诸如运行标准操作系统的台式计算机或笔记本计算机;以及运行移动软件并且能够支持许多联网协议和消息传递协议的蜂窝设备、无线设备和手持式设备。这种系统还可包括许多工作站,所述工作站运行多种可商业购得的操作系统和用于诸如开发和数据库管理等目的的其他已知应用程序中的任一者。这些设备还可包括其他电子设备,诸如虚拟终端、瘦客户端、游戏系统和/或能够经由网络通信的其他设备。
大多数实施方案利用本领域技术人员将熟悉的至少一种网络来支持使用多种广泛可用的协议中的任一者进行通信,所述协议诸如传输控制协议/互联网协议(TCP/IP)、文件传输协议(FTP)、通用即插即用(UPnP)、网络文件系统(NFS)、公共互联网文件系统(CIFS)、可扩展消息传递和到场协议(XMPP)、AppleTalk等。所述一个或多个网络可包括例如局域网(LAN)、广域网(WAN)、虚拟专用网(VPN)、互联网、内联网、外联网、公用电话交换网(PSTN)、红外网络、无线网络以及它们的任何组合。
在利用web服务器的实施方案中,web服务器可运行各种服务器或中间层应用程序中的任一种,包括HTTP服务器、文件传输协议(FTP)服务器、通用网关接口(CGI)服务器、数据服务器、Java服务器、流量应用程序服务器等。所述一个或多个服务器还可能能够响应于来自用户设备的请求(诸如通过执行可被实现为以任何编程语言(诸如C、C#或C++)或任何脚本语言(诸如Perl、Python、PHP或TCL)以及它们的组合编写的一个或多个脚本或程序的一个或多个Web应用)而执行程序或脚本。一个或多个服务器还可包括数据库服务器,包括但不限于商业上可从Oracle(R)、Microsoft(R)、Sybase(R)、IBM(R)等购得的数据库服务器。数据库服务器可以为关系型或非关系型(例如,“NoSQL”)、分布式或非分布式等。
本文公开的环境可包括多种数据存储区以及如上文所讨论的其他存储器和存储介质。这些可驻留在多种位置中,诸如驻留在一个或多个计算机本地(和/或驻留在其中)的存储介质上,或驻留在跨网络远离计算机中的任一者或全部的存储介质上。在一组特定的实施方案中,信息可驻留在本领域技术人员熟悉的存储区域网(SAN)中。类似地,用于执行属于计算机、服务器或其他网络设备的功能的任何必要文件可视情况本地或远程存储。在系统包括计算机化设备的情况下,每个这样的设备可包括可经由总线电耦合的硬件元件,所述元件包括例如至少一个中央处理单元(CPU)、至少一个输入设备(例如,鼠标、键盘、控制器、触摸屏或小键盘)和/或至少一个输出设备(例如,显示设备、打印机或扬声器)。这种系统还可包括一个或多个存储设备,诸如硬盘驱动器、光存储设备和诸如随机存取存储器(RAM)或只读存储器(ROM)等固态存储设备,以及可移除介质设备、存储卡、闪存卡等。
此类设备还可包括计算机可读存储介质读取器、通信设备(例如,调制解调器、网卡(无线或有线)、红外线通信设备等)和工作存储器,如上文所述。计算机可读存储介质读取器可与计算机可读存储介质连接或被配置为接收计算机可读存储介质,所述计算机可读存储介质表示远程、本地、固定和/或可移除存储设备以及用于暂时和/或更永久地包含、存储、传输和检索计算机可读信息的存储介质。系统和各种设备通常还将包括位于至少一个工作存储器设备内的多个软件应用程序、模块、服务或其他元件,包括操作系统和应用程序,诸如客户端应用程序或web浏览器。应当明白,备选实施方案可具有与上述不同的大量变型。例如,还可使用自定义硬件,和/或特定元件可在硬件、软件(包括便携式软件,诸如小应用程序)或这两者中实现。此外,可采用与诸如网络输入/输出设备等其他计算设备的连接。
用于包含代码或部分代码的存储介质和计算机可读介质可包括本领域已知或已使用的任何适当介质,包括存储介质和通信介质,诸如但不限于以用于存储和/或传输信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术实现的易失性和非易失性、可移除和不可移除的介质,包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、闪存存储器或其他存储器技术、只读光盘存储器(CD-ROM)、数字通用光盘(DVD)或其他光存储器设备、磁盒、磁带、磁盘存储设备或其他磁性存储设备,或可用于存储期望信息并且可由系统设备访问的任何其他介质。基于本文中提供的公开和教导,本领域一般技术人员将会明白用于实现各种实施方案的其他方式和/或方法。
在以上描述中,描述各种实施方案。出于解释目的,阐述了具体配置和细节以便提供对实施方案的透彻理解。然而,对于本领域技术人员来说也显而易见的是,可在没有具体细节的情况下实践所述实施方案。此外,为了不使所描述的实施方案变得模糊,可能会省略或简化众所周知的特征。
在本文中使用带有虚线边框(例如,大破折号、小破折号、点破折号和点)的带括号的文本和框来示出向一些实施方案添加附加特征的任选操作。然而,这种表示法不应视为意指这些是仅有的选项或任选操作,和/或在某些实施方案中,带有实线边界的框不是任选的。
在各种实施方案中,具有后缀字母的附图标记(例如,718A至718N)可用于指示可存在所引用实体的一个或多个实例,并且当存在多个实例时,每个实例不必相同,而是可替代地共享一些一般特征或按惯例行事。此外,除非有相反的明确说明,否则所使用的特定后缀并不意指暗示存在特定量的实体。因此,在各种实施方案中,使用相同或不同后缀字母的两个实体可具有或可不具有相同数量的实例。
对于“一个实施方案”、“实施方案”、“示例性实施方案”等的提及指示所述的实施方案可包括特定特征、结构或特性,但是每一个实施方案都可不必包括所述特定特征、结构或特性。此外,此类短语不一定是指同一实施方案。此外,当结合实施方案来描述特定特征、结构或特性时,应认为,无论是否有明确描述,结合其他实施方案来实施此类特征、结构或特性也在本领域技术人员的知识范围内。
此外,在上述各种实施方案中,除非另外特别指出,否则诸如短语“A、B或C中的至少一个”的析取语言意图被理解为意指A、B或C或其任何组合(例如,A、B和/或C)。因而,析取语言通常并不意图也不应被理解为暗示给定的实施方案要求至少一个A、至少一个B或至少一个C各自都存在。
除非另外明确规定,否则诸如“一个(a)”或“一个(an)”的冠词一般应理解为包括一个或多个所描述物品。因此,诸如“被配置为……的设备”的短语意图包括一个或多个所述设备。此类一个或多个所述设备还可共同地被配置为执行所陈述的叙述。例如,“被配置为执行叙述A、B和C的处理器”可包括与被配置为执行叙述B和C的第二处理器联合工作的被配置为执行叙述A的第一处理器。
所公开的技术的至少一些实施方案可根据以下条款来描述:
1.一种计算机实现的方法,其包括:
由客户端设备上的单包授权(SPA)代理截获从所述客户端设备上的应用程序去往提供商网络的服务的流量;
确定所述服务与无边界访问控制服务相关联;
向所述无边界访问控制服务的控制器发送SPA请求,所述SPA请求包括设备凭据;
从所述无边界访问控制服务获得会话票据,所述会话票据基于与所述客户端设备相关联的策略;
向所述无边界访问控制服务的网关发送发起与所述服务的会话的请求;
从所述网关接收会话参数;
使用所述会话参数发起与所述服务的会话;以及
通过所述会话提供去往所述服务的所述流量。
2.如条款1所述的计算机实现的方法,其中所述网关核验所述会话票据并且确定所述会话票据与所述服务相关联。
3.如条款1-2中任一项所述的计算机实现的方法,其中所述会话票据进一步基于态势信息,所述态势信息包括与所述客户端设备相关联的软件版本、与所述客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者。
4.一种计算机实现的方法,其包括:
由无边界访问控制服务的控制器从电子设备上的代理接收对会话票据的单包授权(SPA)请求,其中响应于截获去往与所述无边界访问控制服务相关联的服务的流量并且确定所述代理不具有所述服务的会话票据,所述代理发送对所述会话票据的所述请求;
对所述SPA请求进行授权;
基于所述请求来将会话票据提供给所述代理;
由所述无边界访问控制服务的网关接收发起与服务的会话的请求,所述请求包括所述会话票据;
核验所述会话票据;以及
将会话参数提供给所述代理以用于发起所述电子设备与所述服务之间的所述会话。
5.如条款4所述的计算机实现的方法,其中所述电子设备上的所述代理进一步被配置为:
获得所述电子设备的态势信息,所述态势信息包括与所述客户端设备相关联的软件版本、与所述客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者;并且
将所述态势信息提供给所述控制器。
6.如条款4-5中任一项所述的计算机实现的方法,其中所述电子设备上的所述代理进一步被配置为:
保有所述流量;并且
一旦所述会话已被发起,就将所述流量提供给所述服务。
7.如条款4-6中任一项所述的计算机实现的方法,其中对所述SPA请求进行授权还包括:
将用户映射到所述电子设备;
确定与所述用户相关联的策略;以及
基于所述策略来生成所述会话票据。
8.如条款4-7中任一项所述的计算机实现的方法,其中所述SPA请求包括授权有效载荷和先前预配给所述代理的凭据。
9.如条款4-8中任一项所述的计算机实现的方法,其中所述SPA请求是单向的。
10.如条款4-9中任一项所述的计算机实现的方法,其还包括:
由所述无边界访问控制服务的所述网关接收发起与服务的会话的第二请求,所述请求不包括所述会话票据;以及
忽略所述第二请求。
11.如条款4-10中任一项所述的计算机实现的方法,其还包括:
由所述无边界访问控制服务的所述网关接收发起与服务的会话的第二请求,所述请求不包括所述会话票据;以及
将所述第二请求路由到具有与所述服务相同的IP地址的欺骗环境。
12.如条款11所述的计算机实现的方法,其还包括:
基于在所述欺骗环境中执行的一个或多个动作来识别恶意参与者;以及
更新所述网关以对从所述恶意参与者接收的未来流量执行一个或多个防御动作。
13.一种系统,其包括:
一个或多个第一电子设备,所述一个或多个第一电子设备用于在多租户提供商网络中实现服务;以及
一个或多个第二电子设备,所述一个或多个第二电子设备用于在所述多租户提供商网络中实现无边界访问控制服务,所述无边界访问控制服务包括指令,所述指令在执行时致使所述无边界访问控制服务:
由无边界访问控制服务的控制器从客户端设备上的代理接收对会话票据的单包授权(SPA)请求,其中响应于截获去往与所述无边界访问控制服务相关联的服务的流量并且确定所述代理不具有所述服务的会话票据,所述代理发送对所述会话票据的所述请求;
对所述SPA请求进行授权;
基于所述请求来将会话票据提供给所述代理;
由所述无边界访问控制服务的网关接收发起与服务的会话的请求,所述请求包括所述会话票据;
核验所述会话票据;并且
将会话参数提供给所述代理以用于发起所述客户端设备与所述服务之间的所述会话。
14.如条款13所述的系统,其中所述客户端设备上的所述代理进一步被配置为:
获得所述电子设备的态势信息,所述态势信息包括与所述客户端设备相关联的软件版本、与所述客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者;并且
将所述态势信息提供给所述控制器。
15.如条款13-14中任一项所述的系统,其中所述客户端设备上的所述代理进一步被配置为:
保有所述流量;并且
一旦所述会话已被发起,就将所述流量提供给所述服务。
16.如条款13-15中任一项所述的系统,其中为了对所述SPA请求进行授权,所述指令在执行时进一步致使所述无边界访问控制服务:
将用户映射到所述电子设备;
确定与所述用户相关联的策略;并且
基于所述策略来生成所述会话票据。
17.如条款14-16中任一项所述的系统,其中所述SPA请求包括授权有效载荷和先前预配给所述代理的凭据。
18.如条款13-17中任一项所述的系统,其中所述SPA请求是单向的。
19.如条款13-18中任一项所述的系统,其中所述指令在执行时进一步致使所述无边界访问控制服务:
由所述无边界访问控制服务的所述网关接收发起与服务的会话的第二请求,所述请求不包括所述会话票据;并且
忽略所述第二请求。
20.如条款13-19中任一项所述的系统,其中所述指令在执行时进一步致使所述无边界访问控制服务:
由所述无边界访问控制服务的所述网关接收发起与服务的会话的第二请求,所述请求不包括所述会话票据;并且
将所述第二请求路由到具有与所述服务相同的IP地址的欺骗环境。
因此,说明书和附图被认为是说明性的而不是限制性的意义。然而,显而易见的是,在不偏离如所附权利要求中所阐述的本公开的更宽泛的精神及范围的情况下,可对其进行各种修改及改变。
Claims (15)
1.一种计算机实现的方法,其包括:
由无边界访问控制服务的控制器从电子设备上的代理接收对会话票据的单包授权(SPA)请求,其中响应于截获去往与所述无边界访问控制服务相关联的服务的流量并且确定所述代理不具有所述服务的会话票据,所述代理发送对所述会话票据的所述请求;
对所述SPA请求进行授权;
基于所述请求来将会话票据提供给所述代理;
由所述无边界访问控制服务的网关接收发起与服务的会话的请求,所述请求包括所述会话票据;
核验所述会话票据;以及
将会话参数提供给所述代理以用于发起所述电子设备与所述服务之间的所述会话。
2.如权利要求1所述的计算机实现的方法,其中所述电子设备上的所述代理进一步被配置为:
获得所述电子设备的态势信息,所述态势信息包括与客户端设备相关联的软件版本、与所述客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者;并且
将所述态势信息提供给所述控制器。
3.如权利要求1-2中任一项所述的计算机实现的方法,其中所述电子设备上的所述代理进一步被配置为:
保有所述流量;并且
一旦所述会话已被发起,就将所述流量提供给所述服务。
4.如权利要求1-3中任一项所述的计算机实现的方法,其中对所述SPA请求进行授权还包括:
将用户映射到所述电子设备;
确定与所述用户相关联的策略;以及
基于所述策略来生成所述会话票据。
5.如权利要求1-4中任一项所述的计算机实现的方法,其中所述SPA请求包括授权有效载荷和先前预配给所述代理的凭据。
6.如权利要求1-5中任一项所述的计算机实现的方法,其中所述SPA请求是单向的。
7.如权利要求1-6中任一项所述的计算机实现的方法,其还包括:
由所述无边界访问控制服务的所述网关接收发起与服务的会话的第二请求,所述请求不包括所述会话票据;以及
忽略所述第二请求。
8.如权利要求1-7中任一项所述的计算机实现的方法,其还包括:
由所述无边界访问控制服务的所述网关接收发起与服务的会话的第二请求,所述请求不包括所述会话票据;以及
将所述第二请求路由到具有与所述服务相同的IP地址的欺骗环境。
9.如权利要求8所述的计算机实现的方法,其还包括:
基于在所述欺骗环境中执行的一个或多个动作来识别恶意参与者;以及
更新所述网关以对从所述恶意参与者接收的未来流量执行一个或多个防御动作。
10.一种系统,其包括:
一个或多个第一电子设备,所述一个或多个第一电子设备用于在多租户提供商网络中实现服务;以及
一个或多个第二电子设备,所述一个或多个第二电子设备用于在所述多租户提供商网络中实现无边界访问控制服务,所述无边界访问控制服务包括指令,所述指令在执行时致使所述无边界访问控制服务:
由无边界访问控制服务的控制器从客户端设备上的代理接收对会话票据的单包授权(SPA)请求,其中响应于截获去往与所述无边界访问控制服务相关联的服务的流量并且确定所述代理不具有所述服务的会话票据,所述代理发送对所述会话票据的所述请求;
对所述SPA请求进行授权;
基于所述请求来将会话票据提供给所述代理;
由所述无边界访问控制服务的网关接收发起与服务的会话的请求,所述请求包括所述会话票据;
核验所述会话票据;并且
将会话参数提供给所述代理以用于发起所述客户端设备与所述服务之间的所述会话。
11.如权利要求10所述的系统,其中所述客户端设备上的所述代理进一步被配置为:
获得所述电子设备的态势信息,所述态势信息包括与所述客户端设备相关联的软件版本、与所述客户端设备相关联的网络安全信息、设备物理位置、连接的无线设备或用户生物识别中的一者或多者;并且
将所述态势信息提供给所述控制器。
12.如权利要求10-11中任一项所述的系统,其中所述客户端设备上的所述代理进一步被配置为:
保有所述流量;并且
一旦所述会话已被发起,就将所述流量提供给所述服务。
13.如权利要求10-12中任一项所述的系统,其中为了对所述SPA请求进行授权,所述指令在执行时进一步致使所述无边界访问控制服务:
将用户映射到所述电子设备;
确定与所述用户相关联的策略;并且
基于所述策略来生成所述会话票据。
14.如权利要求10-13中任一项所述的系统,其中所述SPA请求包括授权有效载荷和先前预配给所述代理的凭据。
15.如权利要求10-14中任一项所述的系统,其中所述SPA请求是单向的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/119,640 US11652822B2 (en) | 2020-12-11 | 2020-12-11 | Deperimeterized access control service |
| US17/119,640 | 2020-12-11 | ||
| PCT/US2021/062695 WO2022125828A1 (en) | 2020-12-11 | 2021-12-09 | Deperimeterized access control service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116530073A true CN116530073A (zh) | 2023-08-01 |
| CN116530073B CN116530073B (zh) | 2024-03-01 |
Family
ID=79259321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180081050.5A Active CN116530073B (zh) | 2020-12-11 | 2021-12-09 | 无边界访问控制服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11652822B2 (zh) |
| CN (1) | CN116530073B (zh) |
| DE (1) | DE112021006422T5 (zh) |
| WO (1) | WO2022125828A1 (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937608A (zh) * | 2005-09-22 | 2007-03-28 | 国际商业机器公司 | 管理客户机-服务器通信的方法和计算机系统 |
| US20120226813A1 (en) * | 2011-03-02 | 2012-09-06 | Accenture Global Services Limited | Computer network, computer system, computer-implemented method, and computer program product for managing session tokens |
| US8832855B1 (en) * | 2010-09-07 | 2014-09-09 | Symantec Corporation | System for the distribution and deployment of applications with provisions for security and policy conformance |
| US8843999B1 (en) * | 2012-04-18 | 2014-09-23 | Google Inc. | VOIP identification systems and methods |
| CN110463163A (zh) * | 2017-03-28 | 2019-11-15 | 云端跳动公司 | 用于提供对会话服务器的按需唤醒访问的方法及系统 |
| US20200127994A1 (en) * | 2018-10-18 | 2020-04-23 | Oracle International Corporation | Adaptive authorization using access token |
| US20200336484A1 (en) * | 2016-03-28 | 2020-10-22 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10230770B2 (en) * | 2013-12-02 | 2019-03-12 | A10 Networks, Inc. | Network proxy layer for policy-based application proxies |
| EP3227821A1 (en) * | 2014-11-21 | 2017-10-11 | Interdigital Patent Holdings, Inc. | Using security posture information to determine access to services |
| US20210367944A1 (en) * | 2016-03-28 | 2021-11-25 | Zscaler, Inc. | REST API provided by a local agent to detect network path of a request |
| US10075424B2 (en) | 2016-03-28 | 2018-09-11 | Airwatch Llc | Application authentication wrapper |
| US12101318B2 (en) * | 2016-03-28 | 2024-09-24 | Zscaler, Inc. | Adaptive multipath tunneling in cloud-based systems |
| US10320748B2 (en) * | 2017-02-23 | 2019-06-11 | At&T Intellectual Property I, L.P. | Single packet authorization in a cloud computing environment |
| US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
| US11233821B2 (en) * | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US10609154B2 (en) * | 2018-03-30 | 2020-03-31 | Ofinno, Llc | Data transmission over user plane for cellular IoT |
| US10992670B1 (en) * | 2018-11-12 | 2021-04-27 | Amazon Technologies, Inc. | Authenticating identities for establishing secure network tunnels |
| US11429802B2 (en) * | 2019-09-12 | 2022-08-30 | MobileIron, Inc. | Obtaining device posture of a third party managed device |
| US11381557B2 (en) * | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
| US11271777B2 (en) * | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| US11190494B2 (en) * | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
| US11595385B2 (en) * | 2019-11-26 | 2023-02-28 | Twingate, Inc. | Secure controlled access to protected resources |
| US11190493B2 (en) * | 2019-12-16 | 2021-11-30 | Vmware, Inc. | Concealing internal applications that are accessed over a network |
| US11924248B2 (en) * | 2020-07-08 | 2024-03-05 | Nokia Solutions And Networks Oy | Secure communications using secure sessions |
| US11558184B2 (en) * | 2020-08-09 | 2023-01-17 | Perimeter 81 Ltd | Unification of data flows over network links with different internet protocol (IP) addresses |
-
2020
- 2020-12-11 US US17/119,640 patent/US11652822B2/en active Active
-
2021
- 2021-12-09 WO PCT/US2021/062695 patent/WO2022125828A1/en active Application Filing
- 2021-12-09 CN CN202180081050.5A patent/CN116530073B/zh active Active
- 2021-12-09 DE DE112021006422.3T patent/DE112021006422T5/de active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937608A (zh) * | 2005-09-22 | 2007-03-28 | 国际商业机器公司 | 管理客户机-服务器通信的方法和计算机系统 |
| US8832855B1 (en) * | 2010-09-07 | 2014-09-09 | Symantec Corporation | System for the distribution and deployment of applications with provisions for security and policy conformance |
| US20120226813A1 (en) * | 2011-03-02 | 2012-09-06 | Accenture Global Services Limited | Computer network, computer system, computer-implemented method, and computer program product for managing session tokens |
| US8843999B1 (en) * | 2012-04-18 | 2014-09-23 | Google Inc. | VOIP identification systems and methods |
| US20200336484A1 (en) * | 2016-03-28 | 2020-10-22 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
| CN110463163A (zh) * | 2017-03-28 | 2019-11-15 | 云端跳动公司 | 用于提供对会话服务器的按需唤醒访问的方法及系统 |
| US20200127994A1 (en) * | 2018-10-18 | 2020-04-23 | Oracle International Corporation | Adaptive authorization using access token |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022125828A1 (en) | 2022-06-16 |
| CN116530073B (zh) | 2024-03-01 |
| US20220191209A1 (en) | 2022-06-16 |
| DE112021006422T5 (de) | 2023-10-05 |
| US11652822B2 (en) | 2023-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11962572B2 (en) | Policy-based network packet inspection and mediation | |
| US12034854B2 (en) | Providing single sign-on (SSO) in disjoint networks with non-overlapping authentication protocols | |
| US11190493B2 (en) | Concealing internal applications that are accessed over a network | |
| US11444925B1 (en) | Secure access to a corporate application in an SSH session using a transparent SSH proxy | |
| JP7012896B1 (ja) | クラウドベースのセキュリティサービスのための大規模なローカル化 | |
| US9935788B2 (en) | Pluggable authentication and authorization | |
| WO2017161706A1 (zh) | 一种局域网内网资源的访问控制方法、装置及网关设备 | |
| US20170063927A1 (en) | User-Aware Datacenter Security Policies | |
| US20140047498A1 (en) | System and method for shared folder creation in a network environment | |
| US20190273731A1 (en) | Securing Authentication Processes | |
| CA2912774C (en) | Providing single sign-on for wireless devices | |
| CN116530073B (zh) | 无边界访问控制服务 | |
| US11831638B1 (en) | Single-packet authorization using proof of work |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |