RU2675055C2 - Системы и способы для защиты сетевых устройств - Google Patents
Системы и способы для защиты сетевых устройств Download PDFInfo
- Publication number
- RU2675055C2 RU2675055C2 RU2017115774A RU2017115774A RU2675055C2 RU 2675055 C2 RU2675055 C2 RU 2675055C2 RU 2017115774 A RU2017115774 A RU 2017115774A RU 2017115774 A RU2017115774 A RU 2017115774A RU 2675055 C2 RU2675055 C2 RU 2675055C2
- Authority
- RU
- Russia
- Prior art keywords
- network
- client
- list
- access
- client device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных. Способ защиты сетевых устройств, содержащий этапы, на которых: принимают, посредством компьютерной системы, реализующей шлюз в частную сеть, из клиентского устройства запрос на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети; аутентифицируют клиентское устройство посредством компьютерной системы; принимают, из сервера аутентификации, поддерживающего связь с компьютерной системой, список доступа клиента, который включает в себя список сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; удостоверяются, посредством компьютерной системы, в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; и устанавливают, посредством компьютерной системы, сетевой туннель между клиентским устройством и сетевым устройством в частной сети через шлюз, при этом сетевое устройство в частной сети включает в себя сервер приложений, предоставляющий услугу. 3 н. 16 з.п ф-лы, 10 ил.
Description
Перекрестные ссылки на родственные заявки
[0001] Настоящая заявка притязает на приоритет заявки на патент (США) порядковый номер 14/828357, поданной 17 августа 2015 года, заявки на патент (США) порядковый номер 14/578140, поданной 19 декабря 2014 года, и предварительной заявки на патент (США) № 62/060427, поданной 6 октября 2014 года, раскрытия которых настоящим содержатся в данном документе по ссылке.
Уровень техники
[0002] В клиент-серверной сетевой модели, компании или поставщики услуг типично предлагают услуги и/или приложения для клиентских компьютеров и для других услуг по компьютерной сети. Серверы и ассоциированные услуги могут включать в себя, например, почтовые серверы, файловые серверы, услуги управления взаимоотношениями с клиентами, или CRM, услуги планирования ресурсов предприятия, или ERP, услуги управления документооборотом и т.п.
[0003] С одной стороны, безопасность должна быть гарантирована посредством ограничения доступа к этим услугам только доверенными пользователями и клиентами. С другой стороны, доверенным пользователям требуется доступ к услугам простым и удобным способом. Предпочтительно, услуги могут достигаться из любого места в любое время. В силу того, что политика на основе концепции использования собственных устройств сотрудников (или BYOD) приобретает все большую популярность в компаниях, услуги должны также быть достижимыми из "любого места", т.е. из любого устройства, принадлежавшего доверенному пользователю, такого как, например, планшетный компьютер, переносной компьютер, его компьютер дома или смартфон.
[0004] Существуют различные традиционные подходы для того, чтобы пытаться предотвращать неавторизованный доступ к таким серверам приложений или к услугам или приложениям, обслуживаемым посредством этих серверов приложений. Например, размещение серверов приложений в частной сети представляет собой меру обеспечения безопасности, поскольку она изолирует сеть компании, локальную вычислительную сеть (или LAN) от Интернета и других внешних сетей общего пользования. Устройства и, в силу этого, услуги внутри частной сети являются невидимыми из сети общего пользования. Контент трафика в частной сети и способ, которым трафик может проходить по границам сети компании, может упорядочиваться и отслеживаться посредством использования трансляции сетевых адресов (NAT), правил брандмауэра и прокси в шлюзовых устройствах, отделяющих WAN от частной сети компании. Частные сети дополнительно могут подразделяться физически или виртуально, например, посредством виртуальной LAN с тем, чтобы дополнительно отделять серверы приложений от потенциального неавторизованного доступа посредством клиентов в частной сети компании.
[0005] Безопасность сетевого уровня может быть принудительно активирована для каждого пользователя или клиента, к примеру, посредством конфигурирования брандмауэра клиента таким образом, чтобы (по умолчанию) иметь доступ только к серверу аутентификации. Когда клиент авторизован, брандмауэр клиента открыт и все сетевые устройства сконфигурированы с возможностью позволять пропускать сетевой трафик клиента на серверы приложений, к которым ему предоставлено разрешение на доступ.
[0006] Безопасность сетевого уровня на уровне клиента или пользователя также может осуществляться посредством контроллера, формирующего права доступа для пользователей на основе профилей идентификационных данных и профилей работоспособности. Контроллер затем конфигурирует защитное устройство, за счет этого предоставляя сетевой доступ к набору серверов.
[0007] Принудительная активация безопасности сетевого уровня в подтверждающем хосте может осуществляться посредством конфигурирования хоста посредством контроллера. Когда инициирующему хосту авторизован доступ к подтверждающему хосту, контроллер конфигурирует подтверждающий хост с возможностью подтверждать сетевые соединения из инициирующего хоста.
[0008] Безопасность в частной сети дополнительно может быть принудительно активирована посредством безопасности прикладного уровня, при которой пользователь или клиенты могут осуществлять доступ к услугам на серверах только после аутентификации. В таком случае клиент может находить сервер приложений в сети, например, посредством его сетевого IP-адреса и может находить услугу, работающую на сервере приложений, посредством ее номера TCP- или UDP-порта, но сама услуга или приложение может запрещать клиента или пользователя на основе аутентификационных учетных данных. Такая аутентификация может локально управляться посредством отдельных услуг или централизованно посредством сервера аутентификации. Услуги затем сверяют аутентификационные учетные данные с таким сервером аутентификации перед предоставлением разрешения пользователю и/или клиенту на доступ к определенной услуге.
[0009] Доступ к частной сети компании может устанавливаться посредством VPN или виртуальной частной сети, в которой защищенный сетевой туннель устанавливается между клиентским устройством и частной сетью. Разрешение на установление такого туннеля предоставляется только посредством аутентификации в VPN-сервере. Существуют различные схемы авторизации, чтобы обеспечивать то, что только доверенные пользователи и/или клиенты могут присоединяться к VPN.
[0010] Другое решение по предоставлению доступа к услугам в частной сети компании заключается в открытии наружного доступа к некоторым услугам. Например, почтовый сервер может разрешать соединения снаружи, так что пользователи могут проверять свою электронную почту, когда они не находятся в компании. Эти услуги иногда ограничиваются посредством предоставления доступа только посредством конкретного интерфейса, к примеру, через веб-узел компании, так что клиент не имеет физического сетевого доступа к серверу, выполняющему услугу, а имеет только к веб-серверу, предоставляющему поднабор услуг.
[0011] В аутентификации на основе риска, разрешение на доступ к услугам предоставляется не только на основе идентификации пользователя и/или клиента посредством аутентификационных учетных данных, но также и на основе дополнительных показателей, чтобы извлекать уровень доверия, соответствующий уровню риска. Такие показатели представляют собой, например: местоположение пользователя, тип клиента, операционную систему, то, все или нет исправления безопасности установлены, предысторию логических входов в учетную запись пользователя и т.д. Таким образом, пользователю, осуществляющему логический вход в учетную запись посредством VPN, могут ограничиваться услуги, которые ему не должны ограничиваться при логическом входе в учетную запись из частной сети. Альтернативно, пользователю, осуществляющему логический вход в учетную запись из частной сети с помощью своего устройства, могут быть запрещены некоторые услуги.
Сущность изобретения
[0012] Варианты осуществления настоящего раскрытия помогают защищать сетевые устройства от неавторизованного доступа. В числе прочего, варианты осуществления раскрытия предоставляют полный доступ к серверам приложений и другим сетевым устройствам, к которым клиенту разрешается осуществлять доступ, при предотвращении всего доступа (или даже знания) сетевых устройств, к которым клиенту не разрешается осуществлять доступ.
[0013] Машинореализуемый способ согласно одному варианту осуществления настоящего раскрытия включает в себя: прием, посредством компьютерной системы, реализующей шлюз в частную сеть, запроса из клиентского устройства на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети; аутентификацию клиентского устройства посредством компьютерной системы; прием, из сервера аутентификации, поддерживающего связь с компьютерной системой, списка доступа клиента, который включает в себя список сетевых устройств, с которыми разрешается обмениваться данными клиентскому устройству; удостоверение, посредством компьютерной системы, в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешается обмениваться данными; и установление, посредством компьютерной системы, сетевого туннеля между клиентским устройством и сетевым устройством в частной сети через шлюз.
[0014] Настоящее раскрытие включает в себя различные способы, устройства (включающие в себя компьютерные системы), которые осуществляют такие способы, и машиночитаемые носители, содержащие инструкции, которые при из исполнении посредством вычислительных систем, инструктируют вычислительным системам осуществлять такие способы.
[0015] Другие признаки должны быть очевидными из прилагаемых чертежей и из нижеприведенного подробного описания.
Краткое описание чертежей
[0016] Фиг. 1 является примерной системой для защиты сетевых устройств от сетевого доступа посредством недоверенных клиентских устройств согласно различным аспектам раскрытия.
[0017] Фиг. 2 является примерным процессом, выполняемым посредством клиентского устройства, чтобы получать сетевой доступ к защищенным сетевым устройствам согласно различным аспектам раскрытия.
[0018] Фиг. 3 является примерным процессом, выполняемым посредством сервера аутентификации для предоставления в клиентское устройство списка доступа и туннелей клиента, разрешающего этому клиенту сетевой доступ для защиты сетевых устройств согласно различным аспектам раскрытия.
[0019] Фиг. 4 является примерным процессом, выполняемым посредством шлюза, чтобы предоставлять клиенту доступ к защищенным сетевым устройствам за брандмауэром в этом шлюзе согласно различным аспектам раскрытия.
[0020] Фиг. 5 является примерным процессом, выполняемым посредством клиентского устройства, чтобы получать сетевой доступ ко второму выбору сетевых устройств за брандмауэром шлюза после получения доступа к первому выбору этих сетевых устройств согласно различным аспектам раскрытия.
[0021] Фиг. 6 иллюстрирует примерный обмен сообщением поддержания активности между клиентским устройством и шлюзом, чтобы поддерживать сетевой туннель между клиентом и клиентским устройством согласно различным аспектам раскрытия.
[0022] Фиг. 7 иллюстрирует примерную систему для защиты сетевых устройств от сетевого доступа посредством недоверенных клиентских устройств согласно различным аспектам раскрытия.
[0023] Фиг. 8 иллюстрирует примерную систему для защиты сетевых устройств от сетевого доступа посредством недоверенных клиентских устройств согласно различным аспектам раскрытия.
[0024] Фиг. 9 иллюстрирует примерную систему для защиты сетевых устройств от сетевого доступа посредством недоверенных клиентских устройств, в которой сетевая нагрузка шлюза балансируется посредством второго шлюза согласно различным аспектам раскрытия.
[0025] Фиг. 10 иллюстрирует примерную вычислительную систему согласно различным аспектам раскрытия.
Подробное описание изобретения
[0026] Далее подробнее описывается изобретение со ссылкой на прилагаемые чертежи, которые являются частью настоящего документа и которые показывают, в качестве иллюстрации, конкретные примерные варианты осуществления. Тем не менее, изобретение может осуществляться во множестве различных форм и, в силу этого, подразумевается, что охватываемое или заявляемое изобретение истолковывается как не ограниченное какими-либо примерными вариантами осуществления, изложенными в данном документе; примерные варианты осуществления предоставляются просто в качестве иллюстрации. Аналогично, предполагается достаточно широкий объем для заявленного или охватываемого изобретения. В числе прочего, например, изобретение может быть осуществлено в качестве способов, устройств, компонентов или систем. Соответственно, варианты осуществления, например, могут принимать форму аппаратных средств, программного обеспечения, микропрограммного обеспечения или любой комбинации вышеозначенного (отличного от программного обеспечения по сути). Следовательно, нижеприведенное подробное описание не должно рассматриваться в ограничивающем смысле.
[0027] На прилагаемых чертежах некоторые признаки могут быть чрезмерно увеличены, чтобы показывать подробности конкретных компонентов (и любые подробности касательно размера, материалов и аналогичные подробности, показанные на чертежах, имеют намерение быть иллюстративными, а не ограничивающими). Следовательно, конкретные структурные и функциональные подробности, раскрытые в данном документе, должны интерпретироваться не в качестве ограничения, а просто в качестве характерной основы для обучения специалистов в данной области техники на предмет различного использования раскрытых вариантов осуществления.
[0028] Ссылка в данном подробном описании на "один вариант осуществления" или "вариант осуществления" означает, что отдельный признак, структура или характеристика, описанная в связи с вариантом осуществления, включена, по меньшей мере, в один вариант осуществления раскрытия. Все вхождения фразы "в одном варианте осуществления" в различных местах данного подробного описания не обязательно ссылаются на один вариант осуществления, и при этом отдельные или альтернативные варианты осуществления не исключают взаимно другие варианты осуществления. Более того, описаны различные признаки, которые могут быть продемонстрированы некоторыми вариантами осуществления, но не другими. Аналогично, описаны различные требования, которые могут представлять собой требования для некоторых вариантов осуществления, но не для других вариантов осуществления.
[0029] Любая комбинация и/или поднабор элементов способов, проиллюстрированных в данном документе, могут комбинироваться друг с другом, избирательно выполняться или не выполняться на основе различных условий, повторяться любое требуемое число раз и осуществляться на практике в любом подходящем порядке и в сочетании с любой подходящей системой, устройством и/или процессом. Способы, описанные и проиллюстрированные в данном документе, могут реализовываться любым подходящим способом, к примеру, через программное обеспечение, работающее на одной или более компьютерных систем. Программное обеспечение может содержать машиночитаемые инструкции, сохраненные на материальном машиночитаемом носителе (к примеру, в запоминающем устройстве компьютерной системы), и может выполняться посредством одного или более процессоров, чтобы осуществлять способы различных вариантов осуществления.
[0030] Фиг. 1 иллюстрирует примерную систему для защиты сетевых устройств от нежелательного сетевого доступа согласно различным аспектам настоящего раскрытия. В этом примере, три сетевых устройства (серверы 141, 142 и 143 приложений) являются частью частной сети 140. Доступ к серверам 141-143 получается из частной сети 140 через частный сетевой адрес. В этом контексте, термин "частный" означает тот факт, что серверы 141-143 приложений не являются глобально маршрутизируемыми. Другими словами, серверы 141-143 приложений не могут адресоваться посредством своего частного сетевого адреса снаружи частной сети 140.
[0031] Частная сеть 140 и другие компоненты на фиг. 1 могут использовать любое число и тип протоколов связи, также называемых в качестве Интернет-протокола (IP) или в качестве протокола управления передачей/Интернет-протокола (TCP/IP). Например, частная сеть 140 может иметь диапазоны адресов, заданные посредством RFC 1918 для Интернет-протокола версия 4, или IPv4, и посредством RFC 4193 для Интернет-протокола версия 6, или IPv6.
[0032] Серверы 141-143 приложений предоставляют услуги (сервисы) по сети 140 в другие вычислительные устройства. Любое число и тип серверов приложений и ассоциированных услуг могут использоваться в сочетании с вариантами осуществления настоящего раскрытия, такие как почтовые серверы, файловые серверы, услуги управления взаимоотношениями с клиентами, или CRM, услуги планирования ресурсов предприятия, или ERP, и/или услуги управления документооборотом.
[0033] Соединение для передачи данных может устанавливаться с любым из серверов 141-143 приложений посредством открытия сокета связи с соответствующим сервером приложений на порту (или в диапазоне портов), ассоциированном с услугой. Серверы 141-143 приложений могут соответствовать физическим устройствам с физическим сетевым интерфейсом, ассоциированным с частным сетевым адресом. Альтернативно, серверы 141-143 приложений также могут соответствовать экземплярам виртуального сервера, работающим на одном или более физических серверов. Экземпляры виртуального сервера могут иметь виртуальный сетевой интерфейс с ассоциированным частным сетевым адресом. Экземпляры виртуального сервера могут включать в себя, а также работать в сочетании с одним или более экземпляров пользовательского пространства (также известных как программные контейнеры, виртуальные подсистемы, виртуальные частные серверы и/или зональные серверы). Такие экземпляры пользовательского пространства могут реализовываться любым подходящим способом, в том числе через программное инструментальное средство DOCKER.
[0034] В примере, показанном на фиг. 1, частная сеть 140 отделяется от внешней сети 180 посредством шлюза 100, в силу этого разрешая сетевой трафик между внешней сетью 180 и частной сетью 140 управляемым способом. Система по фиг. 1 может идентифицировать клиенты 121, 122 в качестве "доверенных клиентов", имеющих права доступа к одному или более серверов 141-143 приложений в частной сети 140, чтобы использовать услуги, выполняемые на них. Клиенты 121, 122 могут представлять собой или включать в себя физические аппаратные средства и/или виртуальные компоненты. Например, клиент 121, 122 может включать в себя виртуальную операционную систему, работающую на физическом устройстве, таком как мобильное устройство. Система также может предоставлять разрешение на сетевой доступ к выбору серверов 141-143 приложений, к которым клиентам 121, 122 разрешается осуществлять доступ, и запрещать сетевой доступ ко всем серверам приложений, к которым клиентам 121, 122 не разрешается осуществлять доступ.
[0035] Чтобы управлять доступом со стороны клиентов 121, 122 к серверам 141-143 приложений, шлюз 100 включает в себя модуль 101 туннелирования для установления сетевых туннелей при запросе со стороны клиентов 121, 122 во внешней сети 180. В примере, показанном на фиг. 1, сетевые туннели 181, 182 устанавливаются между модулем 101 туннелирования и клиентами 121, 122, соответственно, за счет этого расширяя частную сеть 140 до клиентов 121, 122. В некоторых вариантах осуществления, виртуальная частная сеть (или VPN) устанавливается через туннели 181, 182. Таким образом, клиенту 121, 122, хотя и внутри сети 180, предоставляется частный сетевой адрес в диапазоне частной сети 140, и в силу этого он может потенциально осуществлять доступ ко всем серверам 141-143 приложений посредством их соответствующего частного сетевого адреса (если доступ разрешается, как пояснено подробнее ниже).
[0036] Туннель устанавливается при запросе клиента 121, 122, в силу этого предоставляя информацию аутентификации туннелей в модуль 101 туннелирования. Любой объем и тип аутентификационной информации может использоваться в сочетании с вариантами осуществления настоящего раскрытия, к примеру, имя пользователя и пароль. Информация аутентификации туннелей также (или альтернативно) может включать в себя биометрические данные, двухфакторную аутентификацию и/или другие криптографические способы. Данные, перемещаемые в туннелях 181, 182, дополнительно могут быть защищены посредством шифрования, к примеру, согласно протоколу безопасности Интернет-протокола (или "IPsec-протоколу"), протоколу безопасности транспортного уровня (или TLS) и/или протоколу безопасности датаграммного транспортного уровня (или DTLS). Модуль 105 аутентификации туннелей верифицирует информацию аутентификации туннелей, и если аутентификация завершается удачно, сетевой туннель устанавливается с соответствующим клиентом.
[0037] Шлюз 100 на фиг. 1 включает в себя брандмауэр 102 для управления сетевым трафиком между клиентами 121, 122 и серверами 141-143 приложений после того, как установлены соответствующие туннели 181, 182. Брандмауэр 102 может управлять таким трафиком согласно правилам брандмауэра, предоставленным модулем 103 конфигурирования брандмауэра или из другого источника. В некоторых вариантах осуществления, модуль 103 конфигурирования брандмауэра получает правила брандмауэра из списков доступа клиента, принимаемых из соответствующих клиентов 121, 122, которые, в свою очередь, принимают список доступа клиента из сервера 160 аутентификации.
[0038] В числе прочего, правила брандмауэра разрешают клиенту 121, 122 устанавливать и поддерживать сетевые соединения с серверами 141, 142 и 143 приложений. Выбор того, к каким серверам 141-143 приложений может осуществлять доступ клиент 121, 122, может определяться из списка доступа клиента, из которого также получаются правила брандмауэра. Правила брандмауэра могут включать в себя любую требуемую информацию. В некоторых вариантах осуществления, например, правила брандмауэра включают в себя разрешающие маркеры, которые задают информацию, к которой могут иметь доступ клиенты. Такие разрешающие маркеры могут использоваться для того, чтобы конфигурировать брандмауэр с возможностью предоставлять разрешение/запрещать не только доступ к сетевому трафику, но также и доступ к различным файлам (например, которые классифицируются (содержат метаданные) как сверхконфиденциальные).
[0039] Брандмауэр 102 может быть или включать в себя любое число и тип системы, устройства, аппаратного компонента и/или программного компонента. Например, брандмауэр 102 может реализовываться как распределенный брандмауэр, который включает в себя несколько аппаратных и/или программных компонентов. В некоторых вариантах осуществления, брандмауэр 102 блокирует весь трафик из клиентов 121, 122 по защищенным туннелям 180, 181 по умолчанию, но может быть сконфигурирован с возможностью разрешать трафик в ответ на правило брандмауэра. Например, если список доступа клиента указывает то, что клиент 121 может осуществлять доступ к серверу 141 приложений, модуль 103 конфигурирования брандмауэра получает соответствующее правило и активирует его в брандмауэре 102. После активации правила брандмауэр 102 более не блокирует сетевой трафик в частной сети 140 между клиентом 121 и сервером 141 приложений.
[0040] Система по фиг. 1 включает в себя сервер 160 аутентификации, который, в свою очередь, включает в себя модуль 162 аутентификации для аутентификации клиентов 121, 122 и формирования информации клиента. В примере, показанном на фиг. 1, для получения клиентом 121, 122 доступа к серверу 141-143 приложений в частной сети 140, он сначала должен аутентифицировать себя с помощью сервера 160 аутентификации.
[0041] Сервер 160 аутентификации может реализовываться с использованием любой требуемой комбинации аппаратных и программных компонентов и может обмениваться данными с другими аппаратными и программными компонентами любым требуемым способом. В примерной системе, показанной на фиг. 1, сервер 160 аутентификации не является частью частной сети 140, но является доступным посредством клиентов 121, 122 по сети 180. Аутентификационная информация, предоставляемая клиентами 121, 122, уникально идентифицирует клиент или пользователя клиента, к примеру, посредством предоставления имени пользователя и пароля (которые могут верифицироваться посредством модуля 162 аутентификации).
[0042] Клиенты 121, 122 могут аутентифицироваться с использованием любого числа и типа различных способов аутентификации. Например, помимо (или в качестве альтернативы) аутентификации по паролю, аутентификация может использовать аутентификацию на основе аппаратных средств клиента 121, 122, к примеру, предыстории использования клиентских аппаратных средств и аппаратных атрибутов клиента. В одном варианте осуществления, эта информация может сохраняться в записи на клиентском устройстве, в силу чего обнаружение перемещения записи в другую машину приводит к сбою аутентификации. Запись может шифроваться и/или подписываться ключом, чтобы предоставлять дополнительную целостность. Аутентификация также может быть основана на временном окне, так что аутентификация отклоняется (или дополнительная аутентификация требуется), если клиент 121, 122 выполняет попытку аутентификации за пределами предварительно определенного временного окна.
[0043] Аутентификация может выполняться на основе информации, основывающейся на местоположении, к примеру, на основе адреса по Интернет-протоколу (IP) клиента 121, 122 или глобальной информации позиционирования, ассоциированной с клиентом 121, 122. Например, физическое местоположение клиента 121, 122 может определяться из глобальной информации позиционирования, конкретного IP-адреса или даже кода страны IP-адреса клиента и использоваться для того, чтобы определять то, является клиент 121, 122 добросовестным клиентом или третьей стороной (к примеру, хакером), пытающимся изобразить из себя клиента. IP-адреса (отдельные или диапазоны на основе кода страны и т.д.) могут помещаться в черный список или в белый список на основе предыдущей предыстории (т.е. попытки взлома, сбои аутентификации и т.д.). Аналогично, основывающаяся на местоположении информация, используемая для аутентификации, также может извлекаться из физической сети(ей), используемой посредством клиента 121,122 при попытке соединения.
[0044] Модуль 162 аутентификации также может принимать контекстную информацию или информацию состояния непосредственно из клиентов 121, 122. Когда эта информация принимается непосредственно из клиента и, в силу этого, не может быть верифицирована сервером аутентификации, она может трактоваться в качестве недоверенной "контекстной информации клиента". Контекстная информация клиента, которая может быть включена в информацию клиента, может включать в себя такую информацию, как: имя хоста, которое может иметь форму полностью определенного доменного имени (или FQDN), например, "host.domain.com"; семейство и номер версии операционной системы, работающей на хосте; уровень установки исправления, указывающий то, какие исправления применяются к операционной системе; состояние антиантивирусного программного обеспечения, установленного на клиенте; и/или то, в течение какого времени пользователь клиентского устройства входит в учетную запись на клиенте.
[0045] Модуль 162 аутентификации также может добавлять "доверенную информацию клиента" в информацию клиента, которая может включать в себя такую информацию, как информация членства пользователя, указывающая группы пользователя и отделы, которым принадлежит пользователь. Доверенная информация клиента может предоставляться посредством систем каталогов пользователей с использованием упрощенного протокола доступа к каталогам (LDAP) или служб Active Directory (AD). Доверенная информация клиента также может включать в себя такую информацию, как информация предыстории по предыдущим сеансам клиента с сервером 160 аутентификации (например, последняя временная метка входа в учетную запись и число неудавшихся попыток входа в учетную запись).
[0046] В примере, показанном на фиг. 1, модуль 162 аутентификации содержит средство 163 формирования списков клиента и средство 165 формирования списков туннелей. При успешной аутентификации посредством модуля 162 аутентификации, средство 165 формирования списков туннелей формирует список туннелей клиента, а средство 163 формирования списков клиента формирует список доступа клиента на основе информации клиента, предоставляемой модулем аутентификации.
[0047] Список туннелей клиента может включать в себя всю информацию для аутентифицированного клиента 121, 122, чтобы устанавливать соответствующий туннель 181, 182. Список туннелей клиента может включать в себя, например, информацию сетевого адреса (такую как целевой IP-адрес и/или номер целевого порта шлюза 100) для того, чтобы клиент 121, 122 инициировал установление соответствующего туннеля 181, 182 посредством запроса на установление туннеля по IP-адресу и номеру порта, указываемому в списке туннелей клиента. Список туннелей клиента также может включать в себя информацию аутентификации туннелей, чтобы аутентифицировать клиент 121, 122 с помощью модуля 105 аутентификации в шлюзе 100. Список туннелей клиента может включать в себя, например, маркеры виртуальной частной сети (VPN), которые содержат информацию, необходимую для того, чтобы соединять клиента с различными шлюзами.
[0048] Информация аутентификации туннелей, сформированная посредством средства 165 формирования списков туннелей, может быть динамической (т.е. неизвестна для модуля 105 аутентификации шлюза 100 заранее). В таких случаях, сервер аутентификации может перенаправлять информацию аутентификации туннелей в шлюз 100 посредством линии 168 связи между сервером 160 аутентификации и шлюзом 100. Таким образом, линия 168 связи предоставляет канал между шлюзом 100 и сервером 160 аутентификации, который обеспечивает возможность обмена обновлениями конфигураций и разрешает отзыв доступа пользователем или сеанса, если пользователь и/или сеанс удаляется на сервере 160 аутентификации. Предусмотрено множество причин, по которым пользователь или сеанс может удаляться, к примеру: 1) база данных предоставляемых услуг изменяется, и администратор хочет принудительно активировать изменение для всех пользователей; 2) пользователь изменяет свой способ аутентификации; или 3) пользователю или клиенту запрещается работа в системе. Линия 168 связи может реализовываться любым требуемым способом, к примеру, через канал по протоколу защищенной передачи гипертекста (HTTPS), который обеспечивает возможность связи только между сервером 160 аутентификации и одним или более из одного или более шлюзов.
[0049] Список доступа клиента идентифицирует выбор серверов 141-143 приложений, разрешение на доступ к которым предоставлено клиенту. В некоторых вариантах осуществления, средство 163 формирования списков клиента формирует правила брандмауэра для брандмауэра 102 и включает в себя эти правила в список доступа клиента. Правила брандмауэра затем извлекаются из списка доступа клиента посредством модуля 103 конфигурирования брандмауэра в шлюзе 100 и применяются к брандмауэру 102. Список доступа клиента дополнительно может добавлять условия в адресную информацию серверов 141-143 приложений. Иллюстративный пример списка доступа клиента показан в нижеприведенной таблице.
Табл. 1. Список доступа клиента с условными серверами приложений
IP-адрес | Условие |
10.0.0.1 | TimeInterval(09.00-17.00) |
10.0.0.11 | Domain("domain.com") |
10.0.0.3 | StringPrefix(имя пользователя, "adm _") |
[0050] Первый столбец таблицы 1 указывает IP-адрес сервера приложений, разрешение на сетевой доступ к которому предоставлено клиенту. Второй столбец дополнительно указывает условие, которое должно удовлетворяться, чтобы иметь доступ. Первое условие указывает конкретный временной интервал, в течение которого клиенту предоставлено разрешение на доступ к серверу приложений 10.0.0.1. Второе условие указывает конкретный домен, из которого должен исходить запрос (т.е. оно указывает домен, из которого клиент может осуществлять доступ к приложению). Второе условие может использоваться, например, посредством компании, чтобы предоставлять доступ только из собственного домена (т.е. изнутри сети компании). Третье условие может использоваться для того, чтобы идентифицировать конкретного пользователя или группу (к примеру, администраторов компании), которые являются единственными, которые должны иметь возможность осуществлять доступ к данному серверу приложений или другому сетевому устройству.
[0051] В примерной системе, показанной на фиг. 1, сервер 160 аутентификации включает в себя модуль 164 формирования подписей для создания списков с цифровой подписью, таких как подписанный список доступа клиента и подписанный список туннелей клиента. Цифровые подписи, сформированные модулем 164 формирования подписей, могут быть верифицированы модулем 104 верификации подписей в шлюзе 100 при приеме списка доступа и туннелей клиента. Подпись может формироваться и верифицироваться посредством ключа подписи, совместно используемого шлюзом и сервером 160 аутентификации, так что список доступа клиента и список туннелей клиента не может быть изменен клиентами 121, 122 без уведомления сервера 160 аутентификации шлюзом 100. В одном примерном варианте осуществления, X.509-сертификаты с использованием механизма на основе закрытых/открытых ключей используются для того, чтобы верифицировать сертификат.
[0052] В некоторых вариантах осуществления, если шлюз 100, при попытке заверить подпись, определяет то, что список доступа клиента или список туннелей клиента изменен, шлюз 100 может уведомлять сервер 160 аутентификации относительно изменений и/или разрывать сетевой туннель с клиентом. Сервер 160 аутентификации может использовать такие уведомления в качестве части "доверенной информации клиента", ассоциированной с клиентом, в будущих взаимодействиях с клиентом. В некоторых вариантах осуществления, шлюз 100 может разрывать установленный сетевой туннель 181, 182 по собственной воле (например, в ответ на обнаружение изменения в списке доступа клиента или списке туннелей клиента, как описано выше). Дополнительно или альтернативно, сервер 160 аутентификации может быть сконфигурирован с возможностью инструктировать шлюзу 100 разрывать устанавливаемые сетевые туннели 181, 182 посредством отправки сообщения в шлюз 100 по линии 168 связи, инструктирующего модулю 101 туннелирования разрывать сетевой туннель и удалять из брандмауэра правила брандмауэра, разрешающие соответствующему клиенту доступ к серверам приложений.
[0053] Фиг. 2, 3 и 4 показывают примерные процессы, которые могут выполняться посредством различных компонентов, работающих в сочетании с вариантами осуществления настоящего раскрытия, включающих в себя компоненты примерной системы, показанной на фиг. 1, а именно, клиент 121, 122, сервер 160 аутентификации и шлюз 100, соответственно. Процессы, описанные в данном документе, могут выполняться (полностью или частично) посредством любой другой комбинации различных аппаратных и/или программных компонентов.
[0054] Процессы на фиг. 2, 3 и 4 могут реализовываться во множестве контекстов и случаев, к примеру, когда все серверы 141, 142 и 143 приложений принадлежат компании, которая нацелена на предоставление услуг серверов приложений защищенным способом доверенным клиентам 121, 122. В таких случаях, "доверенный клиент" представляет собой клиентское устройство, пользователь или само устройство которого известно для компании, и ему может предоставляться доступ к одному или более серверов приложений. Каждый клиент 121, 122 может реализовываться как любая комбинация компьютерных аппаратных средств и/или программного обеспечения, которые могут осуществлять доступ и использовать услугу, доступную посредством серверов 141-143 приложений. Клиент, например, может представлять собой (или включать в себя) настольный компьютер, переносной компьютер, смартфон и/или планшетный компьютер. Клиент также может представлять собой (или включать в себя) сервер, который, например, использует сертификат, чтобы аутентифицировать себя. Процессы на фиг. 2, 3 и 4 помогают предотвращать доступ клиентов 121, 122 к частной сети непосредственно, вместо этого предоставляя доступ только через шлюз (к примеру, шлюз 100 на фиг. 1). Такие ограничения также могут быть принудительно активированы относительно клиентов, работающих в частной сети компании. Для примера такого сценария, снова ссылаясь на фиг. 1, как сеть 180, так и сеть 140 могут представлять собой отдельные "частные сети", но сетевая связь между клиентами 121, 122 и серверами 141-143 приложений по-прежнему управляется посредством шлюза 100.
[0055] Фиг. 2 показывает примерный процесс, который может выполняться посредством любого из клиентов 121, 122, чтобы осуществлять доступ к одной или более услугам на серверах 141-143 приложений. Процесс на фиг. 2 может реализовываться любым подходящим способом, к примеру, через приложение на клиентском устройстве, которое исполняется автоматически в фоновом режиме, когда клиент является активным. Приложение может исполняться автоматически во время запуска клиента, либо оно может вручную инициироваться пользователем или посредством другого процесса, работающего на клиенте. Клиент 121, 122 отслеживает (201) сетевой доступ клиентских устройств к одному из серверов 141-143 приложений. Сетевой адрес серверов 141-143 приложений может быть конфигурационным параметром в клиентских приложениях с использованием услуг серверов приложений. Например, сервер приложений может представлять собой (или включать в себя): почтовый сервер с сетевым адресом и портами, сконфигурированными в клиентском почтовом приложении; файловый сервер, сконфигурированный с сетевым адресом в качестве сетевого ресурса; CRM-услуга и клиент имеют установленное выделенное клиентское приложение для осуществления доступа к CRM-услуге; и/или веб-служба и пользователь указывают адрес в адресной строке приложения обозревателя.
[0056] Клиент может обнаруживать (202) то, что клиентское приложение пытается осуществлять доступ к серверам приложений в частной сети 140, на основе целевого сетевого адреса. Клиент извлекает (203) аутентификационную информацию, которую следует отправлять на сервер 160 аутентификации. Извлечение аутентификационной информации может выполняться автоматически, к примеру, посредством использования аутентификационных учетных данных, которые пользователь отправил ранее для осуществления логического входа в учетную запись. Альтернативно, извлечение аутентификационной информации может включать в себя запрос пользователя на предоставление аутентификационных учетных данных, таких как имя пользователя и пароль. Альтернативно этапам 201-203 по фиг. 2, клиент может непосредственно аутентифицировать себя на сервере 160 аутентификации, без ожидания попытки сетевого доступа к одному из серверов 141-143 приложений. Например, клиент может аутентифицироваться на сервере 160 аутентификации, когда пользователь клиента входит в учетную запись клиента, либо когда клиент загружается.
[0057] Аутентификация клиента может выполняться любым требуемым способом, к примеру, посредством использования сохраненных аутентификационных учетных данных, учетных данных защиты при входе в учетную запись пользователя и/или отдельных аутентификационных учетных данных, которые запрашиваются от пользователя. Любое число и тип поставщиков идентификационных данных также могут использоваться в сочетании с вариантами осуществления этого раскрытия, включающих в себя RSA, OAuth, сертификаты, RADIUS, SAML и т.п. Аутентификационные учетные данные используются для того, чтобы аутентифицировать (204) клиент 121, 122 на сервере 160 аутентификации. В ответ, клиент принимает (205) список туннелей клиента и список доступа клиента из сервера 160 аутентификации.
[0058] Клиент 121, 122 устанавливает (206) сетевой туннель 181, 182 со шлюзом 100, например, посредством извлечения сетевого адреса шлюза 100 из списка туннелей клиента и отправки запроса в шлюз 100, чтобы устанавливать туннель. После установления (206) туннеля, клиент может предоставлять список туннелей клиента в шлюз в качестве аутентификации. Список туннелей клиента переносит подпись сервера 160 аутентификации, из которой шлюз 100 может верифицировать то, что клиент является доверенным, и устанавливать туннель без дополнительного обмена аутентификационными учетными данными. После того, как сетевой туннель устанавливается, частная сеть 140 расширяется до клиента через туннель, но клиент по-прежнему не может иметь возможность осуществлять доступ к любому из серверов 141-143 приложений, поскольку сетевой доступ к серверам может блокироваться посредством брандмауэра 102 шлюза 100.
[0059] Клиент отправляет (207) список доступа клиента, принимаемый от сервера 160 аутентификации, в шлюз 100 и записывает (211) то, к каким серверам приложений клиент может осуществлять доступ из списка доступа клиента. Клиент также может передавать в служебных сигналах или отображать доступные серверы приложений или услуги пользователю клиентского устройства. При условии успешной аутентификации, шлюз 100 предоставляет клиенту сетевой доступ ко всем серверам приложений или услугам на серверах приложений, которые перечислены в списке доступа клиента.
[0060] Фиг. 3 является примерным процессом для предоставления списков доступа и туннелей клиента клиентам, который может выполняться посредством сервера аутентификации, такого как сервер 160 аутентификации на фиг. 1. В этом примерном процессе, сервер аутентификации принимает запрос от соответствующего клиента (301). В запросе, клиент предоставляет аутентификационную информацию для идентификации на сервере аутентификации, к примеру, на этапе 204 по фиг. 2. Сервер аутентификации пытается идентифицировать (302) клиент. Если клиент неизвестен для сервера аутентификации и, в силу этого, является недоверенным, сервер прекращает последовательность операций (303). Если клиент известен, сервер аутентификации извлекает (304) доверенную информацию клиента и добавляет ее в информацию клиента. Контекстная информация клиента, принимаемая с аутентификационной информацией на этапе 301, также может добавляться в информацию клиента.
[0061] Модуль аутентификации идентифицирует (310) выбор серверов приложений, к которым клиенту разрешается осуществлять доступ. Выбор серверов приложений, вместе с информацией клиента, затем может перенаправляться в средство 163 формирования списков клиента и средство 165 формирования списков туннелей сервера 160 аутентификации. Средство 165 формирования списков туннелей формирует (305) список туннелей на основе информации клиента, например, посредством предоставления IP-адреса шлюза 100 вместе с аутентификационными учетными данными для установления сетевого туннеля со шлюзом 100. Список туннелей клиента подписывается (306) посредством средства подписи 164. Сервер аутентификации формирует (307) список доступа клиента на основе выбора серверов, к которым клиенту разрешается осуществлять доступ. На основе информации клиента, дополнительные условные ограничения могут добавляться в список доступа клиента. Затем также список доступа клиента подписывается 308. Сервер аутентификации после этого отправляет 309 список доступа и туннелей клиента клиенту.
[0062] Фиг. 4 показывает примерный процесс для предоставления сетевого доступа клиенту, который может выполняться посредством шлюза, работающего в сочетании с вариантами осуществления настоящего раскрытия, к примеру, шлюза 100 на фиг. 1. В этом примерном процессе, шлюз 101 принимает (401) запрос от клиента 121 или 122 на то, чтобы устанавливать сетевой туннель (например, VPN-соединение) с этим клиентом. В ответ, шлюз запрашивает (402) аутентификационные учетные данные от клиента и принимает (403) аутентификационные учетные данные в форме списка туннелей клиента. Чтобы аутентифицировать клиент, шлюз 100 верифицирует (404) подпись в списке туннелей клиента с использованием ключа подписи, совместно используемого с сервером 160 аутентификации. Если подпись является корректной и список туннелей клиента не модифицирован посредством клиента, шлюз 100 устанавливает (405) сетевой туннель с клиентом, в силу этого расширяя частную сеть 140 до клиента по туннелю. Брандмауэр шлюза дополнительно сконфигурирован с возможностью блокировать весь сетевой доступ от клиента по умолчанию. Шлюз принимает (406) список доступа клиента от клиента, который сформирован посредством сервера аутентификации, и верифицирует (407) подпись в этом списке доступа клиента. Из списка доступа клиента, шлюз получает (408) правила брандмауэра для разрешения сетевого доступа к серверам приложений, перечисленным в списке доступа клиента (и условия для такого доступа, которые также предоставляются в списке доступа клиента). Шлюз активирует (409) правила брандмауэра, в силу этого разрешая клиенту осуществлять доступ к выбору серверов приложений, перечисленных в списке доступа клиента.
[0063] В некоторых вариантах осуществления, сервер 160 аутентификации может добавлять улучшенные требования по аутентификации в список доступа клиента вместе со вторым выбором серверов приложений, к которым может осуществляться доступ после удовлетворения этих улучшенных требований по аутентификации. Эти улучшенные требования могут быть связаны с самим механизмом аутентификации и, например, могут утверждать, что должен использоваться механизм более защищенной аутентификации (относительно первого выбора серверов приложений). Например, вместо предоставления комбинации пользователя/пароля (которая может удовлетворять требованиям по аутентификации для первого набора серверов приложений), улучшенные требования могут указывать то, что двухфакторная аутентификация требуется для того, чтобы получать доступ ко второму набору серверов приложений. Требования также могут быть связаны с контекстной информацией или информацией состояния самого клиента. Могут использоваться любые желательные требования, такие как требование: того, что все исправления должны применяться к операционной системе клиентов, чтобы осуществлять доступ к определенному серверу приложений; того, что антивирусный сканер должен выполняться и быть актуальным, чтобы осуществлять доступ к определенному серверу приложений; и/или того, что к серверу приложений не может осуществляться доступ из беспроводной сети общего пользования.
[0064] После аутентификации на сервере аутентификации, сервер 160 аутентификации (например, через средство 163 формирования списков клиента) предоставляет подписанный список доступа клиента, содержащий улучшенные требования по аутентификации вместе со вторым выбором серверов приложений, требующих такой улучшенной аутентификации. Когда клиент аутентифицируется и удовлетворяет улучшенным требованиям по аутентификации, сервер аутентификации может выдавать клиенту обновленный список доступа клиента, в котором второй выбор серверов приложений перечислен в числе серверов приложений, к которым клиенту разрешается осуществлять доступ. Несколько уровней улучшенных требований по аутентификации (и соответствующих наборов серверов приложений) могут быть перечислены в списке доступа клиента.
[0065] Фиг. 5 показывает примерный процесс, который может выполняться посредством клиента, чтобы получать сетевой доступ к серверам приложений с улучшенными требованиями по аутентификации. В этом примерном процессе, клиент устанавливает сетевой доступ (501) к первому выбору серверов приложений в частной сети 140, перечисленной в первом списке доступа клиента, также упоминаемом в данном документе в качестве "базового списка доступа клиента". Этап 501 может быть дополнительно реализован согласно последовательности операций, приведенной на фиг. 2, с тем отличием, что базовый список доступа клиента дополнительно содержит второй выбор серверов приложений и улучшенных требований по аутентификации, чтобы получать сетевой доступ к этому второму выбору.
[0066] Клиент отслеживает (502) приложения, работающие на клиентском устройстве, и сетевой доступ таких приложений к частной сети 140. Если клиентское приложение пытается соединяться с сервером приложений, который не является частью первого выбора, клиент проверяет (503) то, является или нет сервер приложений частью второго выбора. Если нет, клиент не может получать доступ к этому серверу приложений, и пользователь или приложение клиента может уведомляться относительно запрещенного доступа (504). Если сервер приложений является частью второго выбора, клиент начинает процесс улучшенной аутентификации на сервере аутентификации (505), который может включать в себя запрос на то, что пользователь должен предоставлять учетные данные улучшенной аутентификации, такие как сканирование отпечатков пальцев, сканирование радужной оболочки глаз, дополнительная биометрическая информация относительно пользователя и/или ключ, сформированный посредством внешнего формирователя ключей. Клиент также может запрашивать то, что пользователь должен обновлять контекст и/или состояние самого клиентского устройства. Например, пользователь может запрашиваться на то, чтобы: соединять клиента с проводной сетью; не соединять клиента через беспроводную сеть общего пользования; устанавливать последние исправления операционной системы клиента; устанавливать антивирусный сканер; и/или обновлять базу данных антивирусного сканера.
[0067] Если пользователь успешно удовлетворяет улучшенным требованиям по аутентификации (506), клиент принимает (507) второй или обновленный список доступа клиента из сервера 160 аутентификации. Если улучшенная аутентификация не является успешной, пользователь или приложение, запрашивающее сетевой доступ, передаются в служебных сигналах или оповещаются (504) в отношении того, что сетевой доступ запрещен. Обновленный список доступа клиента перечисляет как первый выбор, так и второй выбор серверов приложений, к которым клиент может осуществлять доступ, и отправляется (508) в шлюз 100, который конфигурирует своей брандмауэр 102 соответствующим образом. Клиент затем может передавать в служебных сигналах (509) в клиентские приложения и пользователю то, какие приложения или услуги разрешаются.
[0068] Фиг. 6 иллюстрирует примерную систему согласно различным аспектам настоящего раскрытия. В этой примерной системе, шлюз 600 включает в себя модуль 605 проверки поддержания активности. Шлюз 600 соединен по установленному сетевому туннелю 182 с клиентом 621, и модуль проверки поддержания активности сконфигурирован с возможностью проверять то, что сообщения поддержания активности принимаются с регулярными интервалами от клиента 621. Если сообщение поддержания активности не принимается вовремя, модуль проверки поддержания активности инструктирует модулю 103 конфигурирования брандмауэра очищать правила брандмауэра для клиента 621 из брандмауэра 102 и инструктирует модулю 101 туннелирования разрывать сетевой туннель 182. Модуль 605 проверки поддержания активности дополнительно может быть сконфигурирован с возможностью проверять то, присутствует либо нет определенная предварительно заданная информация состояния или контекстная информация относительно клиента 621 в сообщении поддержания активности и удовлетворяет определенным предварительно заданным требованиям. Такие требования могут включать в себя, например, то, что антивирусный сканер и/или брандмауэр клиента должен быть активным.
[0069] Клиент 621 может выполнять процесс, проиллюстрированный посредством этапов 601-604, чтобы отправлять сообщения поддержания активности в шлюз 600. На первом этапе 601, сетевой туннель 182 в шлюз 600 устанавливается. Сетевой туннель 182 может устанавливаться любым требуемым способом, в том числе и с использованием процесса (или его частей), проиллюстрированного на фиг. 2 и 5. Клиент собирает (602) требуемый контекст и информацию состояния и форматирует ее в сообщение поддержания активности. Сообщение поддержания активности отправляется (603) по сетевому туннелю 182 в модуль 605 проверки поддержания активности шлюза 600. Когда сообщение отправляется, таймер активируется (604), чтобы выполнять подсчет в обратном порядке из предварительно заданного временного интервала. Когда таймер истекает, новый цикл этапов 602-604 выполняется для того, чтобы отправлять следующее сообщение поддержания активности.
[0070] Фиг. 7 иллюстрирует примерную систему для защиты серверов 741-746 приложений от неавторизованного доступа согласно различным аспектам настоящего раскрытия. В этом примере, серверы 741-746 приложений являются частью частных сетей 750, 751 и 752, защищенных посредством шлюзов 700, 701 и 702, соответственно. Клиент 721 может аутентифицироваться на сервере 760 аутентификации и за счет этого получать список туннелей клиента и список доступа клиента. Список туннелей клиента содержит информацию, требуемую для того, чтобы устанавливать сетевой туннель с каждым из шлюзов 700-702, чтобы расширять все частные сети 740-744 до клиента 721. Список туннелей клиента может иметь любой подходящий форма, к примеру, один объект данных, файл с одной подписью, идентифицирующей все шлюзы, отдельные подписанные объекты данных и/или файлы, каждый из которых идентифицирует один из шлюзов 700-702. При приеме списка туннелей клиента, клиент 721 устанавливает сетевой туннель 781, 782 и 783 с каждым из шлюзов 700-702.
[0071] Список доступа клиента включает в себя выбор серверов 741-747 приложений, с которыми может соединяться клиент через сетевые туннели 781, 782 и 783. Клиент 721 отправляет список доступа клиента в шлюзы, которые, в свою очередь, конфигурируют свой брандмауэр согласно принимаемому списку доступа клиента, за счет этого разрешая клиенту 721 доступ к выбору серверов приложений.
[0072] В некоторых вариантах осуществления, сервер 760 аутентификации может осуществлять доступ к другим серверам для аутентификации клиента 721 либо для извлечения информации относительно клиента 721. Это также проиллюстрировано посредством фиг. 7, на котором сервер 760 аутентификации может осуществлять доступ к RADIUS-серверу 762, служащему в качестве аутентификационного внутреннего интерфейса для сервера 760 аутентификации. Модуль 162 аутентификации на сервере 760 аутентификации в таком случае служит в качестве аутентификационного интерфейса с клиентом 721 в то время, когда сервер 762 выполняет фактическую аутентификацию. Сервер 760 аутентификации также может соединяться с сервером 761, предоставляющим службу Active Directory сервер 760 аутентификации, чтобы извлекать дополнительную информацию профиля относительно пользователя клиента 721.
[0073] Фиг. 8 иллюстрирует еще одну другую примерную систему, в которой RADIUS-сервер 846 и сервер 847 Active Directory соответствуют серверам приложений в частной сети 744 за шлюзом 702, за счет этого помогая защищать серверы 846-847 от неавторизованного доступа. Чтобы осуществлять доступ к серверам 846-847, сервер 760 авторизации может включать в себя постоянный сетевой туннель 884 со шлюзом 702, защищающим серверы 846 и 847. Альтернативно, сервер 760 авторизации может использовать другой средство, чтобы предоставлять доступ к серверам 846-847, такой как LDAP по JSON, чтобы использовать стандартный HTTPS-трафик вместо использования сетевого туннеля. Правила брандмауэра, разрешающие серверу 760 аутентификации осуществлять доступ к серверам, затем могут быть сконфигурированы в шлюзе 702 заранее, так что список туннелей клиента или список доступа клиента не требуется для того, чтобы устанавливать сетевое соединение между сервером 760 аутентификации и серверами 846-847.
[0074] Фиг. 9 иллюстрирует пример, в котором несколько шлюзов 900, 901 используются для того, чтобы защищать серверы 941-944 приложений в идентичной частной сети 940. Эта топология может использоваться для того, чтобы балансировать нагрузку по сетевому трафику между несколькими шлюзами 900, 901. Сервер 960 аутентификации предоставляет списки туннелей клиента, указывающие различный шлюз, клиентам 921 и 922. В частности, клиент 921 устанавливает сетевой туннель 981 со шлюзом 900, и клиент 922 устанавливает сетевой туннель 982 со шлюзом 901.
[0075] Примерные варианты осуществления в данном документе иллюстрируют варианты осуществления раскрытия для защиты серверов приложений от неавторизованного доступа. Кроме серверов приложений, любой другой тип сетевого устройства, которое предоставляет услугу и является адресуемым по сети, может быть защищен посредством вариантов осуществления этого раскрытия. Аналогично, сетевые устройства, которые могут быть защищены посредством вариантов осуществления раскрытия, включают в себя сетевое оборудование, предоставляющее интерфейс администратора в маршрутизаторы и коммутаторы сетевого уровня.
[0076] Фиг. 10 иллюстрирует примерную вычислительную систему 1000, которая может быть использована в сочетании с вариантами осуществления, раскрытыми в данном документе. Вычислительная система 1000 может использоваться в качестве клиентского устройства, шлюза, сервера аутентификации и/или любой другой подходящей системы. Вычислительная система 1000 содержит шину 1010, процессор 1002, локальное запоминающее устройство 1004, один или более необязательных интерфейсов 1014 ввода, один или более необязательных интерфейсов 1016 вывода, интерфейс 1012 связи, интерфейс 1006 элемента хранения данных и один или более элементов 1008 хранения данных.
[0077] Шина 1010 может содержать один или более проводников, которые разрешают связь между компонентами вычислительной системы 1000. Процессор 1002 может включать в себя любой тип процессора, который интерпретирует и выполняет инструкции программирования. Локальное запоминающее устройство 1004 может включать в себя оперативное запоминающее устройство (RAM) или другой тип устройства динамического хранения данных, которое сохраняет информацию и инструкции для выполнения посредством процессора 1002, и/или постоянное запоминающее устройство (ROM) или другой тип устройства статического хранения данных, которое сохраняет для использования статическую информацию и инструкции посредством процессора 1002. Интерфейс 1014 ввода может содержать один или более традиционных механизмов, которые разрешают оператору вводить информацию в вычислительное устройство 1000, таких как клавиатура 1020, мышь 1030, перо, распознавание речи и/или биометрические механизмы и т.д.
[0078] Интерфейс 1016 вывода может содержать один или более традиционных механизмов, которые выводят информацию, таких как дисплей 1040, принтер 1050, динамик и т.д. Интерфейс 1012 связи может содержать любой механизм в форме приемо-передающего устройства, такой как, например, один или более Ethernet-интерфейсов, которые обеспечивают возможность вычислительной системе 1000 обмениваться данными с другими устройствами и/или системами 1100. Интерфейс 1012 связи вычислительной системы 1000 может соединяться с такой другой вычислительной системой посредством локальной вычислительной сети (LAN) или глобальной вычислительной сети (WAN), такой как, например, Интернет. Интерфейс 1006 элемента хранения данных может содержать интерфейс хранения данных, такой как, например, последовательный интерфейс ATA (SATA) или интерфейс малых компьютерных систем (SCSI) для соединения шины 1010 с одним или более элементов 1008 хранения данных, к примеру, с одним или более локальных дисков, например, SATA-накопителей на дисках, и управлять считыванием и записью данных в и/или из этих элементов 1008 хранения данных. Хотя элементы 1008 хранения данных выше описываются как локальный диск, в общем, могут использоваться любые другие подходящие машиночитаемые носители, такие как съемный магнитный диск, оптические носители хранения данных, такие как CD- или DVD-ROM-диск, полупроводниковые накопители, карты флэш-памяти и т.д. Система 1000, описанная выше, также может работать в качестве виртуальной машины поверх физических аппаратных средств.
[0079] Способы, проиллюстрированные в данном документе, могут реализовываться через инструкции программирования, сохраненные в локальном запоминающем устройстве 1004 вычислительной системы 1000 для выполнения посредством ее процессора 1002. Альтернативно инструкции могут сохраняться на элементе 1008 хранения данных или быть доступными из другой вычислительной системы через интерфейс 1012 связи.
[0080] Система 1000 может соответствовать клиенту 121, 122, 621, 721, 921, 922 вариантов осуществления, проиллюстрированных посредством фиг. 1, 6, 7, 8 и 9, соответственно. В таких случаях, система 1000 может соединяться со шлюзом и сервером авторизации посредством интерфейса 1012 связи. Этапы способов, проиллюстрированных на фиг. 2, 5 и 6, могут выполняться в качестве инструкций в процессоре 1002 в ходе выполнения и могут сохраняться в запоминающем устройстве 1004 или 1008.
[0081] Система 1000 может соответствовать шлюзу 100, 600, 700, 701, 702, 900 и 901 вариантов осуществления, проиллюстрированных посредством фиг. 1, 6, 7, 8 и 9, соответственно. В таких случаях, система может содержать два интерфейса 1012 связи, один интерфейс связи для соединения с частной сетью и один для соединения с другой сетью, посредством которой он соединяется с клиентами. Этапы способа, проиллюстрированные на фиг. 4, могут выполняться в качестве инструкций в процессоре 1002 в ходе выполнения и могут сохраняться в запоминающем устройстве 1004 или 1008.
[0082] Система 1000 может соответствовать серверу 160, 760 и 960 аутентификации вариантов осуществления, проиллюстрированных посредством фиг. 1, 6, 7, 8 и 9. В таких случаях, интерфейс 1012 связи может использоваться для того, чтобы соединять систему 1000 с клиентами и шлюзами. Этапы способа, проиллюстрированные на фиг. 3, в таком случае могут выполняться в качестве инструкций в процессоре 1002 в ходе выполнения и могут сохраняться в запоминающем устройстве 1004 или 1008.
[0083] Способы, осуществляемые посредством сервера аутентификации и шлюза, дополнительно могут работать в идентичной компьютерной системе, в отдельных компьютерных системах или в качестве отдельных виртуальных компьютерных систем в идентичных или различных физических компьютерных системах.
[0084] Связь между системами, устройствами и компонентами, работающими в сочетании с вариантами осуществления настоящего раскрытия, может выполняться с использованием любого подходящего способа связи, такого как, например, телефонная сеть, сеть extranet, сеть intranet, Интернет, устройство взаимодействия (торговый терминал, персональное цифровое устройство (например, iPhone®, Palm Pilot®, Blackberry®), сотовый телефон, киоск и т.д.), онлайновая связь, спутниковая связь, оффлайновая связь, беспроводная связь, связь через транспондеры, локальная вычислительная сеть (LAN), глобальная вычислительная сеть (WAN), виртуальная частная сеть (VPN), соединенные по сети или линии связи устройства, клавиатура, мышь и/или любая подходящая модальность связи или ввода данных. Системы и устройства настоящего раскрытия могут использовать TCP/IP-протоколы связи, а также IPX, Appletalk, IP 6, NetBIOS, OSI, любой протокол туннелирования (например, IPsec, SSH) либо любое число существующих или будущих протоколов.
[0085] Хотя некоторые варианты осуществления могут реализовываться в полнофункциональных компьютерах и компьютерных системах, различные варианты осуществления допускают распределение в качестве вычислительного продукта во множестве форм и допускают применение независимо от конкретного типа машины или машиночитаемых носителей, используемых для того, чтобы фактически осуществлять распределение.
[0086] Машиночитаемый носитель может использоваться для того, чтобы сохранять программное обеспечение и данные, которые при выполнении посредством системы обработки данных инструктируют системе осуществлять различные способы. Исполняемое программное обеспечение и данные могут сохраняться в различных местах, включающих в себя, например, ROM, энергозависимое RAM, энергонезависимое запоминающее устройство и/или кэш. Части этого программного обеспечения и/или данных могут сохраняться в любом из этих устройств хранения данных. Дополнительно, данные и инструкции могут получаться из централизованных серверов или сетей с равноправными узлами. Другие части данных и инструкций могут получаться из различных централизованных серверов и/или сетей с равноправными узлами в различные моменты времени и в различных сеансах связи или в идентичном сеансе связи. Данные и инструкции могут получаться полностью до выполнения приложений. Альтернативно, части данных и инструкции могут получаться динамически, вовремя, при необходимости для выполнения. Таким образом, не требуется, чтобы данные и инструкции полностью были на машиночитаемом носителе в конкретный момент времени.
[0087] Примеры машиночитаемых носителей включают в себя, но не только, записываемые и незаписываемые носители, такие как энергозависимые и энергонезависимые запоминающие устройства, постоянное запоминающее устройство (ROM), оперативное запоминающее устройство (RAM), устройства флэш-памяти, флоппи- и другие съемные диски, носители хранения данных на магнитных дисках, оптические носители хранения данных (например, постоянное запоминающее устройство на компакт-дисках (CD-ROM), универсальные цифровые диски (DVD) и т.д.), в числе других. Машиночитаемые носители могут сохранять инструкции.
[0088] В различных вариантах осуществления, аппаратные схемы могут быть использованы в комбинации с программными инструкциями, чтобы реализовывать технологии. Таким образом, технологии не ограничены какой-либо конкретной комбинацией аппаратных схем и программного обеспечения, а также конкретным источником инструкций, выполняемых посредством системы обработки данных.
[0089] Хотя некоторые чертежи иллюстрируют определенное число операций в конкретном порядке, операции, которые являются независимыми от порядка, могут переупорядочиваться, и другие операции могут комбинироваться или разделяться. Хотя некоторые изменения порядка или другие группировки конкретно упоминаются, другие должны быть очевидными для специалистов в данной области техники и в силу этого не представляют полный список альтернатив. Кроме того, следует признавать, что стадии могут реализовываться в аппаратных средствах, микропрограммном обеспечении, программном обеспечении или любой комбинации вышеозначенного.
[0090] Для краткости, традиционная организация сетей передачи данных, разработка приложений и другие функциональные аспекты систем (и компоненты отдельных рабочих компонентов систем) могут не описываться подробно в данном документе. Кроме того, соединительные линии, показанные на различных чертежах, содержащихся в данном документе, имеют намерение представлять примерные функциональные взаимосвязи и/или физические связи между различными элементами. Следует отметить, что множество альтернативных или дополнительных функциональных взаимосвязей или физических соединений могут присутствовать в практической системе.
[0091] Различные системные компоненты, поясненные в данном документе, могут включать в себя одно или более из следующего: хост-сервер или другие вычислительные системы, включающие в себя процессор для обработки цифровых данных; запоминающее устройство, соединенное с процессором для сохранения цифровых данных; цифрователь ввода, соединенный с процессором для ввода цифровых данных; прикладная программа, сохраненная в запоминающем устройстве и доступная посредством процессора для направления обработки цифровых данных посредством процессора; устройство отображения, соединенное с процессором и запоминающим устройством для отображения информации, извлекаемой из цифровых данных, обрабатываемых посредством процессора; и множество баз данных. Различные базы данных, используемые в данном документе, могут включать в себя: отгрузочные данные, пакетированные данные и/или любые данные, полезные в работе системы.
[0092] Различная функциональность может выполняться через веб-обозреватель и/или приложение, осуществляющее взаимодействие через интерфейс с использованием веб-обозревателя. Такие приложения обозревателя могут содержать программное обеспечение просмотра веб-страниц, установленное в вычислительном модуле или системе, чтобы выполнять различные функции. Эти вычислительные модули или системы могут принимать форму компьютера или набора компьютеров, и могут использоваться любые типы вычислительного устройства или систем, включающие в себя переносные компьютеры, ноутбуки, планшетные компьютеры, карманные компьютеры, персональные цифровые устройства, абонентские приставки, рабочие станции, компьютеры-серверы, мэйнфреймы, миникомпьютеры, PC-серверы, сетевые наборы компьютеров, персональные компьютеры и планшетные компьютеры, такие как iPad, IMAC и MacBook, киоски, терминалы, торговые (POS) устройства и/или терминалы, телевизионные приемники или любое другое устройство, допускающее прием данных по сети. Различные варианты осуществления могут использовать Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari, Opera или любые другие из множества программных пакетов, доступных для просмотра Интернета.
[0093] Различные варианты осуществления могут работать в сочетании с любой подходящей операционной системой (например, Windows NT, 95/98/2000/CE/Mobile, Windows 7/8, OS2, UNIX, Linux, Solaris, MacOS, PalmOS и т.д.), а также различным традиционным обеспечивающим программным обеспечением и драйверами, типично ассоциированными с компьютерами. Различные варианты осуществления могут включать в себя любой подходящий персональный компьютер, сетевой компьютер, рабочую станцию, персональное цифровое устройство, сотовый телефон, смартфон, миникомпьютер, мэйнфрейм и т.п. Варианты осуществления могут реализовывать протоколы безопасности, такие как протокол защищенных сокетов (SSL), протокол безопасности транспортного уровня (TLS) и протокол защищенной оболочки (SSH). Варианты осуществления могут реализовывать любой требуемый протокол прикладного уровня, включающий в себя HTTP, HTTPS, FTP и SFTP.
[0094] Различные системные компоненты могут быть независимо, отдельно или совместно надлежащим образом соединены с сетью через линии связи для передачи данных, которая включает в себя, например, соединение с поставщиком Интернет-услуг (ISP) по абонентской линии, которое типично используется в соединении с помощью стандартной модемной связи, кабельный модем, сети спутниковой связи, ISDN, цифровую абонентскую линию (DSL) или различные способы беспроводной связи. Следует отметить, что варианты осуществления настоящего раскрытия могут работать в сочетании с любым подходящим типом сети, такой как интерактивная телевизионная (ITV) сеть.
[0095] Система может быть частично или полностью реализована с использованием облачных вычислений. "Облако" или "Облачные вычисления" включают в себя модель для обеспечения удобного сетевого доступа по запросу к совместно используемому пулу конфигурируемых вычислительных ресурсов (например, сетей, серверов, устройств хранения, приложений и служб), которые могут быстро инициализироваться и высвобождаться с минимальным объемом работ по управлению или взаимодействием с поставщиком услуг. Облачные вычисления могут включать в себя независимые от местоположения вычисления, в силу которых совместно используемые серверы предоставляют ресурсы, программное обеспечение и данные в компьютеры и другие устройства по запросу.
[0096] Различные варианты осуществления могут использоваться в сочетании с веб-службами, коммунальными вычислительными услугами, всепроникающими и индивидуализированными вычислительными услугами, решениями по безопасности и идентификации, автономными вычислениями, облачными вычислениями, вычислениями на потребительском оборудовании, решениями по обеспечению мобильности и беспроводной связи, открытым исходным кодом, биометрическими данными, сетевыми параллельными вычислениями и/или сетчатыми вычислениями.
[0097] Любые базы данных, поясненные в данном документе, могут включать в себя реляционную, иерархическую, графическую или объектно-ориентированную структуру и/или любые другие конфигурации баз данных. Кроме того, базы данных могут быть организованы любым подходящим способом, например, в качестве таблиц данных или таблиц поиска. Каждая запись может представлять собой один файл, последовательность файлов, связанную последовательность полей данных или любую другую структуру данных. Ассоциирование определенных данных может быть выполнено через любую технологию ассоциирования требуемых данных, к примеру, технологии, известные или осуществляемые на практике в данной области техники. Например, ассоциирование может быть выполнено или вручную или автоматически.
[0098] Любые базы данных, системы, устройства, серверы или другие компоненты системы могут быть расположены в одном местоположении или в нескольких местоположениях, при этом каждая база данных или система включает в себя любой из различных подходящих признаков безопасности, таких как брандмауэры, коды доступа, шифрование, дешифрование, сжатие, распаковка и/или т.п.
[0099] Шифрование может выполняться посредством любой из технологий, доступных на сегодня в данной области техники, либо которые могут становиться доступными, например, Twofish, RSA, El Gamal, Schorr signature, DSA, PGP, PKI и симметричные и асимметричные криптосистемы.
[00100] Варианты осуществления могут соединяться с Интернетом или сетью intranet с использованием стандартного коммутируемого доступа, кабеля, DSL либо любого другого Интернет-протокола, известного в данной области техники. Транзакции могут проходить через брандмауэр, чтобы предотвращать неавторизованный доступ от пользователей других сетей.
[00101] Компьютеры, поясненные в данном документе, могут предоставлять подходящий веб-узел или другой графический пользовательский интерфейс на основе Интернет-технологий, который является доступным пользователями. Например, информационный Интернет-сервер Microsoft (IIS), сервер транзакций Microsoft (MTS) и Microsoft SQL-сервер могут использоваться в сочетании с операционной системой Microsoft, веб-серверным программным обеспечением Microsoft NT, системой баз данных на основе Microsoft SQL-сервера и коммерческим сервером Microsoft. Дополнительно, такие компоненты, как Access или Microsoft SQL-сервер, Oracle, Sybase, Informix MySQL, Interbase и т.д., могут использоваться для того, чтобы предоставлять совместимую с активными объектами доступа к данным (ADO) систему управления базами данных. В другом примере, веб-сервер Apache может использоваться в сочетании с операционной системой Linux, базой данных MySQL и языками программирования Perl, PHP и/или Python.
[00102] Любые из средств связи, средств ввода, средств хранения данных, баз данных или дисплеев, поясненных в данном документе, могут упрощаться через веб-узел, имеющий веб-страницы. Термин "веб-страница", при использовании в данном документе, не предназначен для того, чтобы ограничивать тип документов и приложений, которые могут использоваться для того, чтобы взаимодействовать с пользователем. Например, типичный веб-узел может включать в себя, в дополнение к стандартным HTML-документам, различные формы, Java-апплеты, JavaScript, активные серверные страницы (ASP), сценарии общего шлюзового интерфейса (CGI), расширяемый язык разметки (XML), динамический HTML, каскадные таблицы стилей (CSS), AJAX (технологию взаимодействия с сервером на основе Asynchronous JavaScript и XML), вспомогательные приложения, подключаемые модули и т.п. Сервер может включать в себя веб-службу, которая принимает запрос из веб-сервера, причем запрос включает в себя URL-адрес и IP-адрес. Веб-сервер извлекает надлежащие веб-страницы и отправляет данные или приложения для веб-страниц по IP-адресу. Веб-службы представляют собой приложения, которые допускают взаимодействие с другими приложениями по средству связи, такому как Интернет.
[00103] Различные варианты осуществления могут использовать любое требуемое число способов для отображения данных в документе на основе обозревателя. Например, данные могут представляться как стандартный текст или в фиксированном списке, прокручиваемом списке, раскрывающемся списке, доступном для редактирования текстовом поле, фиксированном текстовом поле, всплывающем окне и т.п. Аналогично, варианты осуществления могут использовать любое требуемое число способов для модификации данных в веб-странице, таких как, например, свободный ввод текста с использованием клавиатуры, выбор пунктов меню, флажков, блоков опций и т.п.
[00104] Примерные системы и способы, проиллюстрированные в данном документе, могут описываться с точки зрения компонентов функциональных блоков, снимков экрана, необязательных вариантов выбора и различных этапов обработки. Следует принимать во внимание, что такие функциональные блоки могут быть реализованы посредством любого числа аппаратных и/или программных компонентов, сконфигурированных с возможностью выполнять указанные функции. Например, система может использовать различные компоненты интегральной схемы, например, запоминающие элементы, элементы обработки, логические элементы, таблицы поиска и т.п., которые могут выполнять множество функций под управлением одного или более микропроцессоров либо других устройств управления. Аналогично, программные элементы системы могут реализовываться с помощью любого языка программирования или подготовки сценариев, такого как C, C++, C#, Java, JavaScript, VBScript, Macromedia Cold Fusion, COBOL, Microsoft Active Server Pages, язык ассемблера, Perl, PHP, AWK, Python, Visual Basic, хранимые процедуры SQL, PL/SQL, любой сценарий оболочки UNIX и расширяемый язык разметки (XML), при этом различные алгоритм реализуются с любой комбинацией структур данных, объектов, процессов, процедур или других программных элементов. Дополнительно, следует отметить, что система может использовать любое число традиционных технологий для передачи данных, передачи служебных сигналов, обработки данных, управления сетью и т.п. Еще дополнительно, система может использоваться для того, чтобы обнаруживать или предотвращать проблемы безопасности с клиентским языком подготовки сценариев, таким как JavaScript, VBScript и т.п.
[00105] Системы и способы настоящего раскрытия могут быть осуществлены в качестве настройки существующей системы, продукта в форме надстройки, устройства обработки, выполняющего обновленное программное обеспечение, автономной системы, распределенной системы, способа, системы обработки данных, устройства для обработки данных и/или компьютерного программного продукта. Соответственно, любая часть системы или модуля может принимать форму устройства обработки, выполняющего код, варианта осуществления на основе Интернет-технологий, полностью аппаратного варианта осуществления либо варианта осуществления, комбинирующего аспекты Интернета, программного обеспечения и аппаратных средств. Кроме того, система может принимать форму компьютерного программного продукта на машиночитаемом носителе хранения данных, имеющем средство машиночитаемого программного кода, осуществленное в носителе хранения данных. Может использоваться любой подходящий машиночитаемый носитель хранения данных, включающий в себя жесткие диски, CD-ROM, оптические устройства хранения данных, магнитные устройства хранения данных и/или т.п.
[00106] Система и способ описываются в данном документе со ссылкой на снимки экрана, блок-схемы и иллюстрации блок-схем последовательности операций способа способов, устройств (например, систем) и компьютерные программные продукты согласно различным вариантам осуществления. Следует понимать, что каждый функциональный блок блок-схем и иллюстраций блок-схем последовательности операций способа и комбинаций функциональных блоков на блок-схемах и иллюстрациях блок-схем последовательности операций способа, соответственно, могут реализовываться посредством компьютерных программных инструкций.
[00107] Эти компьютерные программные инструкции могут загружаться в компьютер общего назначения, в компьютер специального назначения или в другое программируемое устройство обработки данных, чтобы формировать машину, так что инструкции, которые выполняются в компьютере или другом программируемом устройстве обработки данных, создают средство для реализации функций, указанных на этапе или этапах блок-схемы последовательности операций способа. Эти компьютерные программные инструкции также могут быть сохранены на машиночитаемом запоминающем устройстве таким образом, что они управляют компьютером или другим программируемым устройством обработки данных с возможностью функционировать конкретным способом, так что инструкции, сохраненные на машиночитаемом запоминающем устройстве, формируют изделие, включающее в себя средство инструктирования, которое реализует функцию, указываемую на этапе или этапах блок-схема последовательности операций способа. Компьютерные программные инструкции также могут загружаться в компьютер или другое программируемое устройство обработки данных, чтобы инструктировать выполнение последовательности функциональных этапов на компьютере или другом программируемом устройстве, с тем чтобы формировать машинореализованный процесс, так что инструкции, которые исполняются на компьютере или другом программируемом устройстве, предоставляют этапы для реализации функций, указанных на этапе или этапах блок-схемы последовательности операций.
[00108] Соответственно, функциональные блоки блок-схем и иллюстраций блок-схем последовательности операций способа поддерживают комбинации средств для выполнения конкретных функций, комбинации этапов выполнения конкретных функций и средств программных инструкций для выполнения конкретных функций. Также следует понимать, что каждый функциональный блок блок-схем и иллюстраций блок-схем последовательности операций способа и комбинации функциональных блоков на блок-схемах и иллюстрациях блок-схем последовательности операций способа могут реализовываться посредством либо аппаратных компьютерных систем специального назначения, которые выполняют указанные функции или этапы, либо подходящих комбинаций аппаратных средств специального назначения и компьютерных инструкций. Дополнительно, иллюстрации последовательностей операций обработки и их описания могут обращаться к пользовательским окнам, веб-страницам, веб-узлам, веб-формам, запросам и т.д. Специалисты-практики должны принимать во внимание, что проиллюстрированные этапы, описанные в данном документе, могут содержать любое число конфигураций, включающих в себя использование окон, веб-страниц, веб-форм, всплывающих окон, запросов и т.п. Дополнительно следует принимать во внимание, что несколько проиллюстрированных и описанных этапов могут комбинироваться в одиночные веб-страницы и/или окна, но расширяются для простоты. В других случаях, этапы, проиллюстрированные и описанные в качестве отдельных этапов процесса, могут разделяться на несколько веб-страниц и/или окон, но комбинируются для простоты.
[00109] Термин "энергонезависимый", как должны понимать, удаляет только распространяемые переходные сигналы по сути из объема формулы изобретения и не отказывается от прав на все стандартные машиночитаемые носители, которые представляют собой не только распространяемые переходные сигналы по сути. Иначе говоря, значение слова "энергонезависимый машиночитаемый носитель" должно истолковываться как исключающее только те типы энергозависимых машиночитаемых носителей, которые, как выявлено в In Re Nuijten, выходят за пределы объема патентоспособного изобретения в соответствии с 35 U.S.C. 101.
[00110] Выгоды, другие преимущества и решения проблем описаны в данном документе по отношению к конкретным вариантам осуществления. Тем не менее, выгоды, преимущества, решения проблем и все элементы, которые могут приводить к возникновению или становлению более явными любых выгод, преимуществ или решений, не должны истолковываться в качестве критических, обязательных либо существенных признаков или элементов раскрытия.
[00111] Хотя раскрытие включает в себя способ, предполагается, что оно может быть осуществлено в качестве компьютерных программных инструкций на материальном машиночитаемом носителе, таком как магнитное или оптическое запоминающее устройство или магнитный или оптический диск. Все структурные, химические и функциональные эквиваленты элементов вышеописанных вариантов осуществления, которые известны специалистам в данной области техники, явно включаются в данный документ и должны охватываться посредством настоящей формулы изобретения. Кроме того, устройству или способу необязательно разрешать каждую искомую для решения проблему посредством настоящего раскрытия, поскольку она должна охватываться посредством настоящей формулы изобретения. Кроме того, элемент, компонент или этап способа в настоящем раскрытии не имеет намерение становиться всеобщим достоянием независимо от того, изложен элемент, компонент или этап способа либо нет явно в формуле изобретения. Элементы формулы изобретения в данном документе не должны истолковываться согласно условиям 35 U.S.C. 112, шестой параграф, если элемент явно не изложен с использованием фразы "средство для". При использовании в данном документе, термин "содержит", "содержащий" или любая другая его разновидность служит для того, чтобы охватывать неисключительное включение, так что процесс, способ, изделие или устройство, которое содержит список элементов, включают в себя не только эти элементы, а могут включать в себя другие элементы, не перечисленные в явном виде или внутренне присущие такому процессу, способу, изделию или устройству.
[00112] Если используется фраза, аналогичная "по меньшей мере, одно из A, B или C", "по меньшей мере, одно из A, B и C", "одно или более из A, B или C" либо "одно или более из A, B и C", подразумевается, что фраза должна интерпретироваться как означающая то, что только A может присутствовать в варианте осуществления, только B может присутствовать в варианте осуществления, только C может присутствовать в варианте осуществления, либо то, что любая комбинация элементов A, B и C может присутствовать в одном варианте осуществления; например, A и B, A и C, B и C или A и B и C.
[00113] Изменения и модификации могут вноситься в раскрытые варианты осуществления без отступления от объема настоящего раскрытия. Эти и другие изменения или модификации подразумеваются включенными в пределы объема настоящего раскрытия, определяемого нижеприведенной формулой изобретения.
Claims (19)
1. Машинореализуемый способ защиты сетевых устройств, содержащий этапы, на которых: принимают, посредством компьютерной системы, реализующей шлюз в частную сеть, из клиентского устройства запрос на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети; аутентифицируют клиентское устройство посредством компьютерной системы; принимают, из сервера аутентификации, поддерживающего связь с компьютерной системой, список доступа клиента, который включает в себя список сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; удостоверяются, посредством компьютерной системы, в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; и устанавливают, посредством компьютерной системы, сетевой туннель между клиентским устройством и сетевым устройством в частной сети через шлюз, при этом сетевое устройство в частной сети включает в себя сервер приложений, предоставляющий услугу.
2. Способ по п. 1, в котором сервер приложений включает в себя одно или более из следующего: почтовый сервер, предоставляющий почтовую службу; файловый сервер, предоставляющий сетевое хранение данных; и веб-сервер, предоставляющий услуги хостинга.
3. Способ по п. 1, в котором сетевое устройство в частной сети включает в себя одно или более из маршрутизатора и коммутатора, предоставляющего доступ администратора.
4. Способ по п. 1, в котором компьютерная система дополнительно реализует брандмауэр для избирательного блокирования и разрешения сетевого трафика между клиентским устройством и сетевым устройством в частной сети.
5. Способ по п. 4, в котором брандмауэр блокирует весь сетевой трафик между клиентским устройством и сетевым устройством в частной сети по умолчанию.
6. Способ по п. 4, дополнительно содержащий этапы, на которых: получают, посредством компьютерной системы, правило брандмауэра для разрешения сетевого доступа между клиентским устройством и сетевым устройством в частной сети; и конфигурируют брандмауэр на основе правила брандмауэра.
7. Способ по п. 6, в котором правило брандмауэра включено в список доступа клиента.
8. Способ по п. 1, в котором установление сетевого туннеля между клиентским устройством и сетевым устройством в частной сети включает в себя установление виртуальной частной сети.
9. Способ по п. 1, в котором список доступа клиента является считываемым, но не изменяемым посредством клиента.
10. Способ по п. 1, в котором аутентификация клиентского устройства включает в себя этап, на котором верифицируют цифровую подпись в списке доступа клиента через ключ подписи, совместно используемый шлюзом и сервером аутентификации.
11. Способ по п. 1, дополнительно содержащий этап, на котором принимают, посредством компьютерной системы из сервера аутентификации, список туннелей клиента, который включает в себя информацию для установления сетевого туннеля.
12. Способ по п. 11, в котором список туннелей клиента принимается только из сервера аутентификации в ответ на успешную аутентификацию клиентского устройства и не принимается в ином случае.
13. Способ по п. 11, в котором список туннелей клиента включает в себя целевой адрес Интернет-протокола и номер целевого порта шлюза.
14. Способ по п. 1, в котором список доступа клиента включает в себя первую подборку сетевых устройств и вторую подборку сетевых устройств, причем вторая подборка сетевых устройств имеет усиленные требования по аутентификации относительно первой подборки сетевых устройств.
15. Способ по п. 14, в котором усиленные требования по аутентификации включают в себя требование, выбранное из группы, состоящей из следующего: такое требование, что все исправления должны применяться к операционной системе на клиенте; такое требование, что актуальный антивирусный сканер должен работать на клиенте; и такое требование, что клиент не пытается осуществлять доступ к сетевому устройству в частной сети через беспроводную сеть общего пользования.
16. Способ по п. 14, в котором усиленные требования по аутентификации включают в себя такое требование, что пользователь клиентского устройства должен предоставлять аутентификационные учетные данные, выбранные из группы, состоящей из следующего: сканирование отпечатков пальцев; сканирование радужной оболочки глаз; и ключ, сформированный посредством внешнего формирователя ключей.
17. Способ по п. 1, дополнительно содержащий этапы, на которых: принимают, посредством компьютерной системы, информацию состояния клиента от клиента; и разрывают сетевой туннель в ответ на сбой при приеме информации состояния клиента от клиента с регулярным временным интервалом или в ответ на несоответствие информации состояния клиента предварительно заданным требованиям для клиента.
18. Долговременный машиночитаемый носитель, на котором сохранены инструкции, которые при их исполнении инструктируют компьютерной системе, реализующей шлюз в частную сеть: принимать из клиентского устройства запрос на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети; аутентифицировать клиентское устройство; принимать из сервера аутентификации, поддерживающего связь с компьютерной системой, список доступа клиента, который включает в себя список сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; удостоверяться в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; и устанавливать сетевой туннель между клиентским устройством и сетевым устройством в частной сети через шлюз, при этом сетевое устройство в частной сети включает в себя сервер приложений, предоставляющий услугу.
19. Компьютерная система, реализующая шлюз, причем компьютерная система содержит процессор; и энергонезависимое запоминающее устройство, поддерживающее связь с процессором и хранящее инструкции, которые при их исполнении процессором инструктируют компьютерной системе: принимать из клиентского устройства запрос на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети; аутентифицировать клиентское устройство; принимать из сервера аутентификации, поддерживающего связь с компьютерной системой, список доступа клиента, который включает в себя список сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; удостоверяться в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; и устанавливать сетевой туннель между клиентским устройством и сетевым устройством в частной сети через шлюз, при этом сетевое устройство в частной сети включает в себя сервер приложений, предоставляющий услугу.
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462060427P | 2014-10-06 | 2014-10-06 | |
US62/060,427 | 2014-10-06 | ||
US14/578,140 US9148408B1 (en) | 2014-10-06 | 2014-12-19 | Systems and methods for protecting network devices |
US14/578,140 | 2014-12-19 | ||
US14/828,357 US9853947B2 (en) | 2014-10-06 | 2015-08-17 | Systems and methods for protecting network devices |
US14/828,357 | 2015-08-17 | ||
PCT/US2015/050485 WO2016057177A1 (en) | 2014-10-06 | 2015-09-16 | Systems and methods for protecting network devices |
Publications (3)
Publication Number | Publication Date |
---|---|
RU2017115774A3 RU2017115774A3 (ru) | 2018-11-13 |
RU2017115774A RU2017115774A (ru) | 2018-11-13 |
RU2675055C2 true RU2675055C2 (ru) | 2018-12-14 |
Family
ID=54149739
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017115774A RU2675055C2 (ru) | 2014-10-06 | 2015-09-16 | Системы и способы для защиты сетевых устройств |
Country Status (12)
Country | Link |
---|---|
US (4) | US9148408B1 (ru) |
EP (1) | EP3205073A4 (ru) |
JP (2) | JP2017537501A (ru) |
KR (1) | KR102009685B1 (ru) |
CN (1) | CN107005542A (ru) |
AU (1) | AU2015328628B2 (ru) |
BR (1) | BR112017007051A2 (ru) |
CA (1) | CA2963947C (ru) |
CO (1) | CO2017003283A2 (ru) |
MX (1) | MX2017004292A (ru) |
RU (1) | RU2675055C2 (ru) |
WO (1) | WO2016057177A1 (ru) |
Families Citing this family (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2996018A1 (fr) * | 2012-09-27 | 2014-03-28 | France Telecom | Dispositif et procede de gestion de l'acces a un ensemble de ressources informatiques et reseaux mis a la disposition d'une entite par un systeme informatique en nuage |
US20150332351A1 (en) * | 2014-05-16 | 2015-11-19 | Centurylink Intellectual Property Llc | System and Method for Service Provider Cloud Services - Cloud Marketplace |
US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
US10447692B2 (en) * | 2015-03-31 | 2019-10-15 | Oath Inc. | Auto-creation of application passwords |
US9706376B2 (en) * | 2015-05-15 | 2017-07-11 | Avaya Inc. | Navigational aid for emergency response personnel |
US10749731B2 (en) * | 2015-07-06 | 2020-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communication between a client device and an application server |
US9942202B2 (en) * | 2015-09-08 | 2018-04-10 | Microsoft Technology Licensing, Llc | Trust status of a communication session |
US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
US10078577B2 (en) | 2016-01-25 | 2018-09-18 | Entit Software Llc | Policy compliance of container images |
US9628444B1 (en) * | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US10412048B2 (en) * | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US10212167B2 (en) * | 2016-02-27 | 2019-02-19 | Gryphon Online Safety, Inc. | Method and system to enable controlled safe internet browsing |
US11405399B2 (en) * | 2016-02-27 | 2022-08-02 | Gryphon Online Safety Inc. | Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router |
US11743264B2 (en) * | 2016-02-27 | 2023-08-29 | Gryphon Online Safety Inc. | Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router |
JP6597452B2 (ja) * | 2016-03-30 | 2019-10-30 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
US10158610B2 (en) | 2016-07-06 | 2018-12-18 | Adp, Llc | Secure application communication system |
US10650621B1 (en) | 2016-09-13 | 2020-05-12 | Iocurrents, Inc. | Interfacing with a vehicular controller area network |
CN107979577B (zh) * | 2016-10-25 | 2021-10-15 | 华为技术有限公司 | 一种终端认证的方法及设备 |
JP6900657B2 (ja) * | 2016-11-15 | 2021-07-07 | 株式会社リコー | 機器、情報処理システム及びプログラム |
US10911452B2 (en) * | 2016-11-22 | 2021-02-02 | Synergex Group (corp.) | Systems, methods, and media for determining access privileges |
US11240240B1 (en) * | 2017-08-09 | 2022-02-01 | Sailpoint Technologies, Inc. | Identity defined secure connect |
CN110120932B (zh) * | 2018-02-06 | 2020-10-23 | 华为技术有限公司 | 多路径建立方法及装置 |
WO2019239834A1 (ja) * | 2018-06-14 | 2019-12-19 | 京セラドキュメントソリューションズ株式会社 | 認証装置及び画像形成装置 |
US11522835B2 (en) * | 2018-07-03 | 2022-12-06 | Vmware, Inc. | Context based firewall service for agentless machines |
US11277380B2 (en) * | 2018-12-17 | 2022-03-15 | T-Mobile Usa, Inc. | Adaptive malicious network traffic response |
US11190521B2 (en) * | 2019-01-18 | 2021-11-30 | Vmware, Inc. | TLS policy enforcement at a tunnel gateway |
TWI706281B (zh) * | 2019-02-19 | 2020-10-01 | 華東科技股份有限公司 | 裝置驗證方法 |
US11895092B2 (en) * | 2019-03-04 | 2024-02-06 | Appgate Cybersecurity, Inc. | Network access controller operation |
CN113632437B (zh) * | 2019-03-29 | 2023-05-30 | Abb瑞士股份有限公司 | 工业物联网中的安全远程连接 |
CN110247896B (zh) * | 2019-05-22 | 2022-06-14 | 深圳壹账通智能科技有限公司 | 基于开启防火墙的信息处理方法、装置和计算机设备 |
US11190494B2 (en) | 2019-09-24 | 2021-11-30 | Pribit Technology, Inc. | Application whitelist using a controlled node flow |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
WO2021060859A1 (ko) | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법 |
KR102119257B1 (ko) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
EP4037278A4 (en) * | 2019-09-24 | 2022-11-16 | PRIBIT Technology, Inc. | SYSTEM FOR CONTROLLING NETWORK ACCESS OF A NODE BASED ON TUNNEL AND DATA FLOW AND METHOD THEREOF |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
KR102214550B1 (ko) * | 2019-10-22 | 2021-02-08 | 윤홍익 | 인터넷의 특정 사이트만 접속이 가능하도록 방화벽을 구축하는 라우팅 장치를 포함한 공기조화 시스템 |
KR102214555B1 (ko) * | 2019-10-22 | 2021-02-08 | 윤홍익 | 인터넷의 특정 사이트만 접속이 가능하도록 방화벽을 구축하는 공기조화시스템용 라우팅 시스템 구성방법 |
CN111245785A (zh) * | 2019-12-30 | 2020-06-05 | 中国建设银行股份有限公司 | 防火墙封禁和解禁ip的方法、系统、设备和介质 |
KR102204366B1 (ko) * | 2020-04-08 | 2021-01-18 | (주)아이피로드 | 무선환경에서 유해트래픽 제어를 위한 솔루션시스템 |
CN111756747B (zh) * | 2020-06-25 | 2022-07-29 | 深圳市幻一科技有限公司 | 一种防火墙网络安全控制方法及其系统 |
US11616762B2 (en) * | 2020-07-24 | 2023-03-28 | Arris Enterprises Llc | Method and system for voice based application blocker |
CN112202823B (zh) | 2020-12-07 | 2021-03-19 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
US12020056B2 (en) | 2021-07-13 | 2024-06-25 | Rockwell Automation Technologies, Inc. | Industrial automation control project conversion |
US12001874B2 (en) | 2021-07-13 | 2024-06-04 | Rockwell Automation Technologies | Digital engineering secure remote access |
US11863560B2 (en) * | 2021-07-15 | 2024-01-02 | Rockwell Automation Technologies, Inc. | Industrial automation secure remote access |
KR102379720B1 (ko) * | 2021-09-03 | 2022-03-29 | 프라이빗테크놀로지 주식회사 | 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 |
TWI795148B (zh) * | 2021-12-28 | 2023-03-01 | 四零四科技股份有限公司 | 處理存取控制的裝置、方法及系統 |
CN114268508B (zh) * | 2021-12-30 | 2023-08-18 | 天翼物联科技有限公司 | 物联网设备安全接入方法、装置、设备及介质 |
CN114422212A (zh) * | 2021-12-31 | 2022-04-29 | 中煤科工集团信息技术有限公司 | 一种工业互联网装置云连接方法、系统及装置 |
US11463412B1 (en) * | 2022-03-29 | 2022-10-04 | Uab 360 It | Protected configuration of a virtual private network server |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6381631B1 (en) * | 1999-06-03 | 2002-04-30 | Marimba, Inc. | Method and apparatus for controlling client computer systems |
EP2144460A1 (en) * | 2008-07-10 | 2010-01-13 | TeliaSonera AB | Method, system, packet data gateway and computer program for providing connection for data delivery |
US20140109175A1 (en) * | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network Tunnels |
Family Cites Families (163)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5889942A (en) * | 1996-12-18 | 1999-03-30 | Orenshteyn; Alexander S. | Secured system for accessing application services from a remote station |
US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US6766454B1 (en) * | 1997-04-08 | 2004-07-20 | Visto Corporation | System and method for using an authentication applet to identify and authenticate a user in a computer network |
US8019881B2 (en) * | 1998-11-30 | 2011-09-13 | George Mason Intellectual Properties, Inc. | Secure cookies |
US7610289B2 (en) | 2000-10-04 | 2009-10-27 | Google Inc. | System and method for monitoring and analyzing internet traffic |
US7954144B1 (en) * | 2000-01-18 | 2011-05-31 | Novell, Inc. | Brokering state information and identity among user agents, origin servers, and proxies |
US7085854B2 (en) * | 2000-04-12 | 2006-08-01 | Corente, Inc. | Methods and systems for enabling communication between a processor and a network operations center |
US7181766B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Methods and system for providing network services using at least one processor interfacing a base network |
US7047424B2 (en) | 2000-04-12 | 2006-05-16 | Corente, Inc. | Methods and systems for hairpins in virtual networks |
US7028333B2 (en) | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for partners in virtual networks |
US7028334B2 (en) | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for using names in virtual networks |
US7181542B2 (en) | 2000-04-12 | 2007-02-20 | Corente, Inc. | Method and system for managing and configuring virtual private networks |
US6898710B1 (en) * | 2000-06-09 | 2005-05-24 | Northop Grumman Corporation | System and method for secure legacy enclaves in a public key infrastructure |
FI20001837A (fi) * | 2000-08-18 | 2002-02-19 | Nokia Corp | Autentikointi |
JP2002133324A (ja) * | 2000-10-25 | 2002-05-10 | Toshiba Corp | ユーザ情報管理装置、ユーザ情報管理方法及び電子サービスシステム |
DK1402350T3 (da) * | 2000-12-15 | 2011-10-31 | Nokia Siemens Networks Oy | Fremgangsmåde og system til adgang i en åben servicearkitektur |
US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
US7533409B2 (en) * | 2001-03-22 | 2009-05-12 | Corente, Inc. | Methods and systems for firewalling virtual private networks |
US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
US6928549B2 (en) | 2001-07-09 | 2005-08-09 | International Business Machines Corporation | Dynamic intrusion detection for computer systems |
US7827278B2 (en) | 2001-07-23 | 2010-11-02 | At&T Intellectual Property Ii, L.P. | System for automated connection to virtual private networks related applications |
US7114175B2 (en) * | 2001-08-03 | 2006-09-26 | Nokia Corporation | System and method for managing network service access and enrollment |
TWI281107B (en) | 2001-08-13 | 2007-05-11 | Qualcomm Inc | Using permissions to allocate device resources to an application |
US7099957B2 (en) | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
US7769838B2 (en) * | 2001-08-23 | 2010-08-03 | The Directv Group, Inc. | Single-modem multi-user virtual private network |
FI20012338A0 (fi) | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
US7506058B2 (en) | 2001-12-28 | 2009-03-17 | International Business Machines Corporation | Method for transmitting information across firewalls |
US7099319B2 (en) | 2002-01-23 | 2006-08-29 | International Business Machines Corporation | Virtual private network and tunnel gateway with multiple overlapping, remote subnets |
US7076803B2 (en) | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
US7898977B2 (en) * | 2002-03-01 | 2011-03-01 | Enterasys Networks Inc. | Using signal characteristics to determine the physical location of devices in a data network |
US7359974B1 (en) | 2002-03-29 | 2008-04-15 | Packeteer, Inc. | System and method for dynamically controlling aggregate and individual packet flow characteristics within a compressed logical data tunnel |
CN1647489A (zh) | 2002-04-08 | 2005-07-27 | 艾利森电话股份有限公司 | 能够连接到具有本地地址域的网络的方法及系统 |
DE60314871T2 (de) * | 2002-05-24 | 2008-03-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters |
US7574737B1 (en) * | 2002-05-31 | 2009-08-11 | Novatel Wireless, Inc. | Systems and methods for secure communication over a wireless network |
US7245619B1 (en) | 2002-05-31 | 2007-07-17 | Extreme Networks | Method and apparatus for managing routes |
JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
JP4129783B2 (ja) * | 2002-07-10 | 2008-08-06 | ソニー株式会社 | リモートアクセスシステム及びリモートアクセス方法 |
US7849495B1 (en) | 2002-08-22 | 2010-12-07 | Cisco Technology, Inc. | Method and apparatus for passing security configuration information between a client and a security policy server |
US7373662B2 (en) * | 2002-08-27 | 2008-05-13 | Hewlett-Packard Development Company, L.P. | Secure resource access |
US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US20060005237A1 (en) * | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
US20040167954A1 (en) | 2003-02-21 | 2004-08-26 | Infineon Technologies North America Corp. | Overflow detection system for multiplication |
US7673048B1 (en) | 2003-02-24 | 2010-03-02 | Cisco Technology, Inc. | Methods and apparatus for establishing a computerized device tunnel connection |
US7444518B1 (en) * | 2003-06-16 | 2008-10-28 | Microsoft Corporation | Method and apparatus for communicating authorization data |
US7305705B2 (en) | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
CN100456739C (zh) * | 2003-07-04 | 2009-01-28 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
US20050076198A1 (en) * | 2003-10-02 | 2005-04-07 | Apacheta Corporation | Authentication system |
US8429232B1 (en) * | 2003-10-03 | 2013-04-23 | Voltage Security, Inc. | Message authentication using signatures |
US20060037075A1 (en) | 2004-03-10 | 2006-02-16 | Frattura David E | Dynamic network detection system and method |
US7665130B2 (en) | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
JP4448719B2 (ja) | 2004-03-19 | 2010-04-14 | 株式会社日立製作所 | ストレージシステム |
US8230480B2 (en) | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
IL161706A0 (en) | 2004-04-29 | 2004-09-27 | Nulens Ltd | Intraocular lens fixation device |
US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
US8136149B2 (en) * | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
US8340283B2 (en) * | 2004-06-30 | 2012-12-25 | International Business Machines Corporation | Method and system for a PKI-based delegation process |
US8046830B2 (en) | 2004-07-23 | 2011-10-25 | Citrix Systems, Inc. | Systems and methods for network disruption shielding techniques |
CA2572401A1 (en) | 2004-07-23 | 2006-02-02 | Citrix Systems, Inc. | A method and systems for securing remote access to private networks |
JP4352275B2 (ja) | 2004-07-28 | 2009-10-28 | 日本電気株式会社 | 接続方法、通信システム、装置及びプログラム |
US7360237B2 (en) * | 2004-07-30 | 2008-04-15 | Lehman Brothers Inc. | System and method for secure network connectivity |
US7373516B2 (en) | 2004-08-19 | 2008-05-13 | International Business Machines Corporation | Systems and methods of securing resources through passwords |
US7647492B2 (en) | 2004-09-15 | 2010-01-12 | Check Point Software Technologies Inc. | Architecture for routing and IPSec integration |
CA2578186C (en) * | 2004-10-12 | 2012-07-10 | Bce Inc. | System and method for access control |
US7591010B2 (en) | 2005-01-19 | 2009-09-15 | Microsoft Corporation | Method and system for separating rules of a security policy from detection criteria |
US7661131B1 (en) | 2005-02-03 | 2010-02-09 | Sun Microsystems, Inc. | Authentication of tunneled connections |
JP4376233B2 (ja) * | 2005-02-04 | 2009-12-02 | 株式会社エヌ・ティ・ティ・ドコモ | クライアント装置、デバイス検証装置及び検証方法 |
US20060248337A1 (en) | 2005-04-29 | 2006-11-02 | Nokia Corporation | Establishment of a secure communication |
US8001610B1 (en) | 2005-09-28 | 2011-08-16 | Juniper Networks, Inc. | Network defense system utilizing endpoint health indicators and user identity |
US8151338B2 (en) * | 2005-09-29 | 2012-04-03 | Cisco Technology, Inc. | Method and system for continuously serving authentication requests |
JP2009517923A (ja) * | 2005-11-23 | 2009-04-30 | アイエルエス・テクノロジー・エルエルシー | 企業間のリモートネットワーク接続 |
US8584226B2 (en) | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
US8028071B1 (en) | 2006-02-15 | 2011-09-27 | Vmware, Inc. | TCP/IP offload engine virtualization system and methods |
US20070209081A1 (en) * | 2006-03-01 | 2007-09-06 | Morris Robert P | Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device |
US8868757B1 (en) | 2006-05-24 | 2014-10-21 | Avaya Inc. | Two-way web service router gateway |
US9137043B2 (en) * | 2006-06-27 | 2015-09-15 | International Business Machines Corporation | System, method and program for determining a network path by which to send a message |
US7849505B2 (en) * | 2006-08-17 | 2010-12-07 | At&T Intellectual Property I, Lp | System and method of selecting a virtual private network access server |
US8369224B1 (en) | 2006-09-08 | 2013-02-05 | Juniper Networks, Inc. | Combining network endpoint policy results |
JP4763560B2 (ja) | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
US8249081B2 (en) | 2006-09-29 | 2012-08-21 | Array Networks, Inc. | Dynamic virtual private network (VPN) resource provisioning using a dynamic host configuration protocol (DHCP) server, a domain name system (DNS) and/or static IP assignment |
US9231911B2 (en) * | 2006-10-16 | 2016-01-05 | Aruba Networks, Inc. | Per-user firewall |
CN101212374A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 实现校园网资源远程访问的方法和系统 |
US20080178278A1 (en) | 2007-01-22 | 2008-07-24 | Doron Grinstein | Providing A Generic Gateway For Accessing Protected Resources |
US7809003B2 (en) | 2007-02-16 | 2010-10-05 | Nokia Corporation | Method for the routing and control of packet data traffic in a communication system |
US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
US20080301801A1 (en) * | 2007-05-31 | 2008-12-04 | Premkumar Jothimani | Policy based virtual private network (VPN) communications |
US7992201B2 (en) | 2007-07-26 | 2011-08-02 | International Business Machines Corporation | Dynamic network tunnel endpoint selection |
US8819763B1 (en) | 2007-10-05 | 2014-08-26 | Xceedium, Inc. | Dynamic access policies |
US9225684B2 (en) | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
US8108911B2 (en) | 2007-11-01 | 2012-01-31 | Comcast Cable Holdings, Llc | Method and system for directing user between captive and open domains |
US8418238B2 (en) * | 2008-03-30 | 2013-04-09 | Symplified, Inc. | System, method, and apparatus for managing access to resources across a network |
US20090254970A1 (en) | 2008-04-04 | 2009-10-08 | Avaya Inc. | Multi-tier security event correlation and mitigation |
US20090300750A1 (en) | 2008-05-27 | 2009-12-03 | Avaya Inc. | Proxy Based Two-Way Web-Service Router Gateway |
US8856926B2 (en) | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
US9088615B1 (en) * | 2008-07-31 | 2015-07-21 | Pulse Secure, Llc | Determining a reduced set of remediation actions for endpoint integrity |
US9614855B2 (en) * | 2009-11-05 | 2017-04-04 | Micro Focus Software Inc. | System and method for implementing a secure web application entitlement service |
US8353021B1 (en) | 2008-09-30 | 2013-01-08 | Symantec Corporation | Determining firewall rules for an application on a client based on firewall rules and reputations of other clients |
US8893260B2 (en) | 2008-12-17 | 2014-11-18 | Rockstar Consortium Us Lp | Secure remote access public communication environment |
US8171539B2 (en) * | 2009-01-07 | 2012-05-01 | Symbol Technologies, Inc. | Methods and apparatus for implementing a search tree |
US8392972B2 (en) | 2009-02-11 | 2013-03-05 | Sophos Plc | Protected access control method for shared computer resources |
US20100217975A1 (en) * | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
GB0905559D0 (en) | 2009-03-31 | 2009-05-13 | British Telecomm | Addressing scheme |
US8850549B2 (en) | 2009-05-01 | 2014-09-30 | Beyondtrust Software, Inc. | Methods and systems for controlling access to resources and privileges per process |
US20100306530A1 (en) | 2009-06-02 | 2010-12-02 | Johnson Robert A | Workgroup key wrapping for community of interest membership authentication |
US8275890B2 (en) * | 2009-06-03 | 2012-09-25 | International Business Machines Corporation | Detecting an inactive client during a communication session |
US8549173B1 (en) | 2009-09-29 | 2013-10-01 | Google Inc. | User-space resource management |
DE102009054114A1 (de) | 2009-11-20 | 2011-05-26 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Zugreifen auf Steuerungsdaten gemäß einer bereitgestellten Rechteinformation |
US8549300B1 (en) * | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
WO2011117370A2 (en) | 2010-03-24 | 2011-09-29 | E-Bo Enterprises | Trusted content distribution system |
US8751633B2 (en) | 2010-04-01 | 2014-06-10 | Cloudflare, Inc. | Recording internet visitor threat information through an internet-based proxy service |
US8601569B2 (en) * | 2010-04-09 | 2013-12-03 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
US20110252459A1 (en) * | 2010-04-12 | 2011-10-13 | Walsh Robert E | Multiple Server Access Management |
JP5521736B2 (ja) * | 2010-04-23 | 2014-06-18 | 富士ゼロックス株式会社 | 通信制御装置、通信制御プログラム及び通信制御システム |
US8997196B2 (en) * | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
US20110314532A1 (en) * | 2010-06-17 | 2011-12-22 | Kyle Dean Austin | Identity provider server configured to validate authentication requests from identity broker |
US8127350B2 (en) * | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
US8433783B2 (en) | 2010-09-29 | 2013-04-30 | Citrix Systems, Inc. | Systems and methods for providing quality of service via a flow controlled tunnel |
JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
US8671221B2 (en) | 2010-11-17 | 2014-03-11 | Hola Networks Ltd. | Method and system for increasing speed of domain name system resolution within a computing device |
US8510820B2 (en) * | 2010-12-02 | 2013-08-13 | Duo Security, Inc. | System and method for embedded authentication |
US20120167196A1 (en) * | 2010-12-23 | 2012-06-28 | International Business Machines Corporation | Automatic Virtual Private Network |
US20120198541A1 (en) * | 2011-02-02 | 2012-08-02 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
US20120210002A1 (en) | 2011-02-15 | 2012-08-16 | Mcquade Philip A | Dynamic walled garden |
US20120278878A1 (en) | 2011-04-27 | 2012-11-01 | International Business Machines Corporation | Systems and methods for establishing secure virtual private network communications using non-privileged vpn client |
US8761187B2 (en) | 2011-06-14 | 2014-06-24 | Futurewei Technologies, Inc. | System and method for an in-server virtual switch |
US9143530B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
WO2012163005A1 (zh) * | 2011-10-14 | 2012-12-06 | 华为技术有限公司 | 访问虚拟专用网络的方法、装置以及网关设备 |
US20130332724A1 (en) | 2012-01-24 | 2013-12-12 | Cummings Engineering Consultants, Inc. | User-Space Enabled Virtual Private Network |
WO2013116856A1 (en) | 2012-02-02 | 2013-08-08 | Seven Networks, Inc. | Dynamic categorization of applications for network access in a mobile network |
US9201704B2 (en) | 2012-04-05 | 2015-12-01 | Cisco Technology, Inc. | System and method for migrating application virtual machines in a network environment |
US10091049B2 (en) | 2012-08-17 | 2018-10-02 | F5 Networks, Inc. | Scripting for implementing policy-based traffic steering and management |
US9565180B2 (en) * | 2012-09-28 | 2017-02-07 | Symantec Corporation | Exchange of digital certificates in a client-proxy-server network configuration |
US9992185B1 (en) * | 2012-11-02 | 2018-06-05 | Wyse Technology L.L.C. | Virtual desktop accelerator support for network gateway |
GB201220692D0 (en) | 2012-11-16 | 2013-01-02 | Overnet Data Man Ltd | Software deployment and control method and system |
US9401924B2 (en) * | 2012-12-20 | 2016-07-26 | At&T Intellectual Property I, L.P. | Monitoring operational activities in networks and detecting potential network intrusions and misuses |
EP2945456A4 (en) | 2013-01-31 | 2016-04-27 | Huawei Tech Co Ltd | METHOD, PERMANENT ONLINE STATUS CONTROLLER, AND DEVICE FOR KEEPING AN ONLINE APPLICATION |
KR20140099598A (ko) * | 2013-02-04 | 2014-08-13 | 한국전자통신연구원 | 모바일 vpn 서비스를 제공하는 방법 |
US9130901B2 (en) | 2013-02-26 | 2015-09-08 | Zentera Systems, Inc. | Peripheral firewall system for application protection in cloud computing environments |
EP3620943B1 (en) | 2013-03-15 | 2023-06-07 | Netop Solutions A/S | System and method for secure application communication between networked processors |
CN103621026B (zh) | 2013-04-01 | 2017-06-13 | 华为技术有限公司 | 虚拟机的数据交换方法、装置和系统 |
US9258270B2 (en) | 2013-05-23 | 2016-02-09 | International Business Machines Corporation | Selecting between domain name system servers of a plurality of networks |
US9300629B1 (en) | 2013-05-31 | 2016-03-29 | Palo Alto Networks, Inc. | Password constraint enforcement used in external site authentication |
US9426081B2 (en) | 2013-06-01 | 2016-08-23 | Microsoft Technology Licensing, Llc | Management of multilevel queues for shared network adapters |
US9325630B2 (en) | 2013-07-05 | 2016-04-26 | Red Hat, Inc. | Wild card flows for switches and virtual switches based on hints from hypervisors |
WO2015066208A1 (en) | 2013-11-04 | 2015-05-07 | Illumio, Inc. | Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model |
US9485279B2 (en) | 2013-11-04 | 2016-11-01 | Illumio, Inc. | Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model |
US20150135265A1 (en) | 2013-11-11 | 2015-05-14 | MyDigitalShield, Inc. | Automatic network firewall policy determination |
JP2015115893A (ja) * | 2013-12-13 | 2015-06-22 | 富士通株式会社 | 通信方法、通信プログラム、および中継装置 |
US9363282B1 (en) | 2014-01-28 | 2016-06-07 | Infoblox Inc. | Platforms for implementing an analytics framework for DNS security |
US9934067B2 (en) | 2014-01-30 | 2018-04-03 | Vmware, Inc. | Synchronous user space function execution from a kernel context |
US9635014B2 (en) * | 2014-02-21 | 2017-04-25 | Samsung Electronics Co., Ltd. | Method and apparatus for authenticating client credentials |
US10469448B2 (en) | 2014-09-05 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Firewall port access rule generation |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
US9509574B2 (en) | 2015-04-03 | 2016-11-29 | Illumio, Inc. | End-to-end policy enforcement in the presence of a traffic midpoint device |
US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
US9860213B2 (en) | 2015-12-30 | 2018-01-02 | Iomaxis, Llc | Method and system for securing and protecting smart devices within the internet of things ecosystem |
US9628444B1 (en) | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
US10362021B2 (en) * | 2016-05-31 | 2019-07-23 | Airwatch Llc | Device authentication based upon tunnel client network requests |
-
2014
- 2014-12-19 US US14/578,140 patent/US9148408B1/en active Active
-
2015
- 2015-08-17 US US14/828,357 patent/US9853947B2/en active Active
- 2015-09-16 AU AU2015328628A patent/AU2015328628B2/en active Active
- 2015-09-16 CA CA2963947A patent/CA2963947C/en active Active
- 2015-09-16 CN CN201580056146.0A patent/CN107005542A/zh active Pending
- 2015-09-16 KR KR1020177011077A patent/KR102009685B1/ko active IP Right Grant
- 2015-09-16 MX MX2017004292A patent/MX2017004292A/es active IP Right Grant
- 2015-09-16 JP JP2017519551A patent/JP2017537501A/ja active Pending
- 2015-09-16 RU RU2017115774A patent/RU2675055C2/ru active
- 2015-09-16 EP EP15848610.0A patent/EP3205073A4/en not_active Withdrawn
- 2015-09-16 BR BR112017007051A patent/BR112017007051A2/pt not_active Application Discontinuation
- 2015-09-16 WO PCT/US2015/050485 patent/WO2016057177A1/en active Application Filing
-
2017
- 2017-04-04 CO CONC2017/0003283A patent/CO2017003283A2/es unknown
- 2017-12-22 US US15/853,178 patent/US10193869B2/en active Active
-
2018
- 2018-12-03 US US16/207,566 patent/US10979398B2/en active Active
-
2019
- 2019-06-25 JP JP2019116973A patent/JP2019208219A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6381631B1 (en) * | 1999-06-03 | 2002-04-30 | Marimba, Inc. | Method and apparatus for controlling client computer systems |
EP2144460A1 (en) * | 2008-07-10 | 2010-01-13 | TeliaSonera AB | Method, system, packet data gateway and computer program for providing connection for data delivery |
US20140109175A1 (en) * | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network Tunnels |
Also Published As
Publication number | Publication date |
---|---|
US20180139177A1 (en) | 2018-05-17 |
MX2017004292A (es) | 2017-10-02 |
CA2963947C (en) | 2019-03-05 |
US10193869B2 (en) | 2019-01-29 |
CN107005542A (zh) | 2017-08-01 |
RU2017115774A3 (ru) | 2018-11-13 |
BR112017007051A2 (pt) | 2018-06-19 |
US20190116156A1 (en) | 2019-04-18 |
EP3205073A1 (en) | 2017-08-16 |
RU2017115774A (ru) | 2018-11-13 |
CO2017003283A2 (es) | 2017-06-30 |
KR102009685B1 (ko) | 2019-08-12 |
US10979398B2 (en) | 2021-04-13 |
CA2963947A1 (en) | 2016-04-14 |
AU2015328628A1 (en) | 2017-04-27 |
JP2019208219A (ja) | 2019-12-05 |
JP2017537501A (ja) | 2017-12-14 |
US9148408B1 (en) | 2015-09-29 |
US9853947B2 (en) | 2017-12-26 |
AU2015328628B2 (en) | 2018-11-08 |
EP3205073A4 (en) | 2017-10-04 |
WO2016057177A1 (en) | 2016-04-14 |
US20160099916A1 (en) | 2016-04-07 |
KR20170063795A (ko) | 2017-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2675055C2 (ru) | Системы и способы для защиты сетевых устройств | |
US10938785B2 (en) | Multi-tunneling virtual network adapter | |
AU2018206713B2 (en) | Multi-tunneling virtual network adapter | |
US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
US9578005B2 (en) | Authentication server enhancements | |
US20210083881A1 (en) | Dynamically analyzing third-party application website certificates across users to detect malicious activity | |
Paavola | Company grade network at home |