專利名稱:用于分布式安全內(nèi)容管理系統(tǒng)的認(rèn)證的制作方法
用于分布式安全內(nèi)容管理系統(tǒng)的認(rèn)證背景通常�,企業(yè)采用包括在各種安全產(chǎn)品和設(shè)備中的功能來(lái)保護(hù)公司信息技術(shù)資產(chǎn)。 這些功能可包括���,例如�,過(guò)濾進(jìn)入和離開(kāi)企業(yè)的網(wǎng)絡(luò)通信的諸如惡意軟件等惡意代碼����、限制 對(duì)不適當(dāng)?shù)耐獠績(jī)?nèi)容的訪問(wèn)�、阻止對(duì)企業(yè)網(wǎng)絡(luò)的攻擊和其他入侵等����。隨著移動(dòng)、家庭和其他計(jì)算設(shè)備的廣泛的使用���,員工將工作帶到公司網(wǎng)絡(luò)以外的 地方����。為了獲得同等級(jí)的保護(hù)和實(shí)施企業(yè)網(wǎng)絡(luò)上提供的策略���,某些企業(yè)要求這些員工登錄 或以其他方式訪問(wèn)企業(yè)網(wǎng)絡(luò)并通過(guò)企業(yè)網(wǎng)絡(luò)來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)以外的資源����。出于各種原因�, 當(dāng)漫游用戶不靠近企業(yè)網(wǎng)絡(luò)時(shí),這成為非最優(yōu)的��。在此要求保護(hù)的主題不限于解決任何缺點(diǎn)或僅在諸如上述環(huán)境中操作的各個(gè)實(shí) 施例���。相反��,提供該背景僅用以示出在其中可實(shí)踐在此描述的部分實(shí)施例的一個(gè)示例性技 術(shù)領(lǐng)域�����。概述簡(jiǎn)言之��,此處所描述的主題的各方面涉及用于分布式安全內(nèi)容管理系統(tǒng)的認(rèn)證�。 在各方面����,訪問(wèn)可通過(guò)因特網(wǎng)獲得的資源的請(qǐng)求被路由到安全組件。安全組件是分布在因 特網(wǎng)各處的多個(gè)安全組件中的一個(gè)并負(fù)責(zé)認(rèn)證與企業(yè)相關(guān)聯(lián)的實(shí)體����。安全組件確定要對(duì)實(shí) 體使用的認(rèn)證協(xié)議然后認(rèn)證該實(shí)體。如果該實(shí)體被認(rèn)證�����,則該實(shí)體被允許使用轉(zhuǎn)發(fā)代理�����。提供本概述是為了簡(jiǎn)要地標(biāo)識(shí)在以下詳細(xì)描述中進(jìn)一步描述的主題的一些方面���。 本概述并不旨在標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵特征或必要特征���,也不旨在用于限制所要 求保護(hù)的主題的范圍����。除非上下文清楚地指出����,否則短語(yǔ)“此處所描述的主題”指的是詳細(xì)描述中所描述 的主題。術(shù)語(yǔ)“方面”被當(dāng)作“至少一個(gè)方面”����。標(biāo)識(shí)詳細(xì)描述中所描述的主題的各方面不 旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征。上述各方面和此處所描述的主題的其它方面是借助于示例說(shuō)明的���,并且不受附圖 限制�����,附圖中相同的標(biāo)號(hào)指出相似的元素�����。附圖簡(jiǎn)述
圖1是表示其中可結(jié)合此處所描述的主題的各方面的示例性通用計(jì)算環(huán)境的框 圖���;圖2是概括地表示此處所描述的主題的各方面可以在其中實(shí)現(xiàn)的示例性環(huán)境的 框圖�;圖3是表示根據(jù)此處所描述的主題的各方面的用安全組件配置的示例性裝置的 框圖��;以及圖4-5是概括地表示根據(jù)此處所描述的主題的各方面的可結(jié)合認(rèn)證發(fā)生的動(dòng)作 的流程圖���。詳細(xì)描述示例件操作環(huán)境圖1示出可在其上實(shí)現(xiàn)此處所描述的主題的各方面的合適的計(jì)算系統(tǒng)環(huán)境100的4示例���。計(jì)算系統(tǒng)環(huán)境100僅為合適的計(jì)算環(huán)境的一個(gè)示例��,并非旨在對(duì)此處所描述的主題 的各方面的使用范圍或功能提出任何限制��。也不應(yīng)該將計(jì)算環(huán)境100解釋為對(duì)示例性操作 環(huán)境100中示出的任一組件或其組合有任何依賴性或要求�����。此處所描述的主題的各方面可與眾多其他通用或?qū)S糜?jì)算系統(tǒng)環(huán)境或配置一起 操作���。適用于此處所描述的主題的各方面的公知的計(jì)算系統(tǒng)���、環(huán)境和/或配置的示例包括, 但不限于�����,個(gè)人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)�����、手持式或膝上型設(shè)備�、多處理器系統(tǒng)、基于微處理器 的系統(tǒng)��、機(jī)頂盒�、可編程消費(fèi)電子產(chǎn)品、網(wǎng)絡(luò)PC����、小型計(jì)算機(jī)、大型計(jì)算機(jī)���、包括上述系統(tǒng)或 設(shè)備中的任一個(gè)的分布式計(jì)算環(huán)境等���。此處所描述的主題的各方面可在由計(jì)算機(jī)執(zhí)行的諸如程序模塊等計(jì)算機(jī)可執(zhí)行 指令的一般上下文中描述。一般而言���,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類 型的例程����、程序、對(duì)象����、組件、數(shù)據(jù)結(jié)構(gòu)等等��。此處所描述的主題的各方面也可以在其中任務(wù) 由通過(guò)通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行的分布式計(jì)算環(huán)境中實(shí)現(xiàn)����。在分布式計(jì)算環(huán)境 中,程序模塊可以位于包括存儲(chǔ)器存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中��。參考圖1�,用于實(shí)現(xiàn)此處所描述的主題的各方面的示例性系統(tǒng)包括計(jì)算機(jī)110形 式的通用計(jì)算設(shè)備��。計(jì)算機(jī)110的組件可以包括但不限于處理單元120�����、系統(tǒng)存儲(chǔ)器130 和將包括系統(tǒng)存儲(chǔ)器在內(nèi)的各種系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121�����。系統(tǒng)總線 121可以是幾種類型的總線結(jié)構(gòu)中的任何一種,包括存儲(chǔ)器總線或存儲(chǔ)控制器�����、外圍總線�、 以及使用各種總線體系結(jié)構(gòu)中的任一種的局部總線。作為示例�����,而非限制���,這樣的體系結(jié)構(gòu) 包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線�、微通道體系結(jié)構(gòu)(MCA)總線���、增強(qiáng)型ISA(EISA)總線���、 視頻電子技術(shù)標(biāo)準(zhǔn)協(xié)會(huì)(VESA)局部總線、也稱為夾層(Mezzanine)總線的外圍部件互連 (PCI)總線����、擴(kuò)展外圍部件互連(PCI-X)總線、高級(jí)圖形端口(AGP)�、以及快速PCI (PCIe)�。計(jì)算機(jī)110通常包括各種計(jì)算機(jī)可讀介質(zhì)����。計(jì)算機(jī)可讀介質(zhì)可以是能由計(jì)算機(jī) 110訪問(wèn)的任何可用介質(zhì),并包含易失性和非易失性介質(zhì)以及可移動(dòng)��、不可移動(dòng)介質(zhì)����。作為 示例而非限制,計(jì)算機(jī)可讀介質(zhì)可以包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)����。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其 它數(shù)據(jù)等信息的任何方法或技術(shù)實(shí)現(xiàn)的易失性和非易失性��、可移動(dòng)和不可移動(dòng)介質(zhì)�����。計(jì)算 機(jī)存儲(chǔ)介質(zhì)包括但不限于�����,RAM��、ROM��、EEPR0M����、閃存或其它存儲(chǔ)器技術(shù)、CD-ROM���、數(shù)字多功能 盤(DVD)或其它光盤存儲(chǔ)�����、磁盒����、磁帶���、磁盤存儲(chǔ)或其它磁存儲(chǔ)設(shè)備����、或可以用來(lái)儲(chǔ)存所期 望的信息并可由計(jì)算機(jī)110訪問(wèn)的任一其它介質(zhì)。通信介質(zhì)通常以諸如載波或其他傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號(hào)來(lái)體現(xiàn)計(jì)算機(jī)可讀 指令�、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)����,并包括任何信息傳送介質(zhì)。術(shù)語(yǔ)“已調(diào)制數(shù)據(jù)信號(hào)” 指的是其一個(gè)或多個(gè)特征以在信號(hào)中編碼信息的方式被設(shè)定或更改的信號(hào)��。作為示例而非 限制��,通信介質(zhì)包括有線介質(zhì)���,如有線網(wǎng)絡(luò)或直接線連接��,以及諸如聲學(xué)��、RF�、紅外線及其他 無(wú)線介質(zhì)之類的無(wú)線介質(zhì)����。上述的任意組合也應(yīng)包含在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)���。系統(tǒng)存儲(chǔ)器130包括易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)��,如只 讀存儲(chǔ)器(ROM) 131和隨機(jī)存取存儲(chǔ)器(RAM) 132���?���;据斎?輸出系統(tǒng)133 ¢10 包括如 在啟動(dòng)時(shí)幫助在計(jì)算機(jī)110內(nèi)的元件之間傳輸信息的基本例程���,它通常儲(chǔ)存在ROM 131中�����。 RAM 132通常包含處理單元120可以立即訪問(wèn)和/或目前正在操作的數(shù)據(jù)和/或程序模塊���。 作為示例而非限制,圖1示出了操作系統(tǒng)134��、應(yīng)用程序135�、其它程序模塊136和程序數(shù)據(jù)137。計(jì)算機(jī)110也可以包括其他可移動(dòng)/不可移動(dòng)�����、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介 質(zhì)。僅作為示例�����,圖1示出了從不可移動(dòng)���、非易失性磁介質(zhì)中讀取或向其寫入的硬盤驅(qū)動(dòng)器 141����,從可移動(dòng)����、非易失性磁盤152中讀取或向其寫入的磁盤驅(qū)動(dòng)器151,以及從諸如⑶ROM 或其它光學(xué)介質(zhì)等可移動(dòng)��、非易失性光盤156中讀取或向其寫入的光盤驅(qū)動(dòng)器155�����?���?梢栽?該示例性操作環(huán)境中使用的其他可移動(dòng)/不可移動(dòng)、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)包 括但不限于�����,磁帶盒����、閃存卡、數(shù)字多功能盤��、其他光盤��、數(shù)字錄像帶���、固態(tài)RAM�����、固態(tài)ROM等 等�����。硬盤驅(qū)動(dòng)器141通常通過(guò)諸如接口 140等不可移動(dòng)存儲(chǔ)器接口連接到系統(tǒng)總線121�,而 磁盤驅(qū)動(dòng)器151和光盤驅(qū)動(dòng)器155則通常由諸如接口 150等可移動(dòng)存儲(chǔ)器接口連接至系統(tǒng) 總線121�����。以上描述并在圖1中示出的驅(qū)動(dòng)器及其相關(guān)聯(lián)的計(jì)算機(jī)存儲(chǔ)介質(zhì)為計(jì)算機(jī)110提 供了對(duì)計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�、程序模塊和其它數(shù)據(jù)的存儲(chǔ)。例如�,在圖1中,硬盤驅(qū)動(dòng) 器141被示為存儲(chǔ)操作系統(tǒng)144����、應(yīng)用程序145、其它程序模塊146和程序數(shù)據(jù)147��。注意�����, 這些組件可以與操作系統(tǒng)134��、應(yīng)用程序135�����、其他程序模塊136和程序數(shù)據(jù)137相同�����,也可 以與它們不同�。操作系統(tǒng)144�、應(yīng)用程序145��、其他程序模塊146和程序數(shù)據(jù)147在這里被 標(biāo)注了不同的附圖標(biāo)記是為了說(shuō)明至少它們是不同的副本���。用戶可以通過(guò)輸入設(shè)備���,如鍵 盤162和定點(diǎn)設(shè)備161(通常被稱為鼠標(biāo)�����、跟蹤球或觸摸板)向計(jì)算機(jī)20輸入命令和信息���。 其它輸入設(shè)備(未示出)可包括話筒�、操縱桿���、游戲手柄��、圓盤式衛(wèi)星天線���、掃描儀、觸敏屏����、 寫字板等����。這些和其他輸入設(shè)備通常由耦合至系統(tǒng)總線的用戶輸入接口 160連接至處理單 元120��,但也可以由其他接口和總線結(jié)構(gòu)��,諸如并行端口����、游戲端口或通用串行總線(USB) 連接。監(jiān)視器191或其他類型的顯示設(shè)備也經(jīng)由接口��,諸如視頻接口 190連接至系統(tǒng)總線 121���。除監(jiān)視器以外����,計(jì)算機(jī)還可以包括其他外圍輸出設(shè)備���,諸如揚(yáng)聲器197和打印機(jī)196���, 它們可以通過(guò)輸出外圍接口 190連接����。計(jì)算機(jī)110可使用至一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)�����,如遠(yuǎn)程計(jì)算機(jī)180的邏輯連接在網(wǎng) 絡(luò)化環(huán)境中操作���。遠(yuǎn)程計(jì)算機(jī)180可以是個(gè)人計(jì)算機(jī)��、服務(wù)器、路由器��、網(wǎng)絡(luò)PC��、對(duì)等設(shè)備 或其它常見(jiàn)網(wǎng)絡(luò)節(jié)點(diǎn)����,且通常包括上文相對(duì)于計(jì)算機(jī)110描述的許多或所有元件,盡管在 圖1中只示出存儲(chǔ)器存儲(chǔ)設(shè)備181����。圖1中所示的邏輯連接包括局域網(wǎng)(LAN) 171和廣域網(wǎng) (WAN) 173,但也可以包括其它網(wǎng)絡(luò)��。這樣的聯(lián)網(wǎng)環(huán)境常見(jiàn)于辦公室、企業(yè)范圍計(jì)算機(jī)網(wǎng)絡(luò)�、 內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中。當(dāng)在LAN聯(lián)網(wǎng)環(huán)境中使用時(shí)�����,計(jì)算機(jī)110通過(guò)網(wǎng)絡(luò)接口或適配器170連接至LAN 171��。當(dāng)在WAN聯(lián)網(wǎng)環(huán)境中使用時(shí)����,計(jì)算機(jī)110可包括調(diào)制解調(diào)器172或用于通過(guò)諸如因特 網(wǎng)等的WAN 173來(lái)建立通信的其它裝置?���?蔀閮?nèi)置或可為外置的調(diào)制解調(diào)器172可以經(jīng)由 用戶輸入接口 160或其他合適的機(jī)制連接至系統(tǒng)總線121。在網(wǎng)絡(luò)化環(huán)境中����,關(guān)于計(jì)算機(jī) 110所描述的程序模塊或其部分可被儲(chǔ)存在遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中。作為示例而非限制��, 圖1示出了遠(yuǎn)程應(yīng)用程序185駐留在存儲(chǔ)器設(shè)備181上�。可以理解�����,所示的網(wǎng)絡(luò)連接是示 例性的,且可以使用在計(jì)算機(jī)之間建立通信鏈路的其他手段�����。ME如前所述�����,員工常常在公司網(wǎng)絡(luò)以外工作����。然而�,同時(shí),企業(yè)希望能夠提供同等級(jí) 的保護(hù)����、提供基于用戶活動(dòng)的報(bào)告、并應(yīng)用與當(dāng)用戶使用企業(yè)網(wǎng)絡(luò)來(lái)訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)資源時(shí)所應(yīng)用的相同的策略�。根據(jù)此處所描述的主題的各方面,提供了位于云中的一個(gè)或多個(gè)轉(zhuǎn)發(fā)代理�����。在邏 輯上,轉(zhuǎn)發(fā)代理位于客戶機(jī)和該客戶機(jī)試圖訪問(wèn)的網(wǎng)絡(luò)資源之間���。轉(zhuǎn)發(fā)代理從客戶機(jī)接收 請(qǐng)求����、向客戶機(jī)提供到所請(qǐng)求的資源的連接����、并可在適當(dāng)時(shí)向這些請(qǐng)求提供上文標(biāo)識(shí)的其 他功能。轉(zhuǎn)發(fā)代理可與認(rèn)證實(shí)體并記錄與其相關(guān)聯(lián)的活動(dòng)的一個(gè)或多個(gè)安全組件相關(guān)聯(lián)��。 這些組件可使用各種認(rèn)證協(xié)議來(lái)認(rèn)證實(shí)體�����,并可與位于企業(yè)站點(diǎn)的身份系統(tǒng)進(jìn)行通信來(lái)執(zhí) 行該認(rèn)證�����。這些組件還可獲得要在記錄實(shí)體活動(dòng)時(shí)使用的標(biāo)識(shí)符��。與安全組件相關(guān)聯(lián)意味著轉(zhuǎn)發(fā)代理可包括安全組件的全部或部分��,或者安全組件 的全部或部分可位于轉(zhuǎn)發(fā)代理之外。圖2是概括地表示此處所描述的主題的各方面可以在其中實(shí)現(xiàn)的示例性環(huán)境的 框圖���。圖2中示出的環(huán)境可包括漫游設(shè)備205-206�、家庭設(shè)備207���、企業(yè)設(shè)備208�、網(wǎng)絡(luò)訪問(wèn)設(shè) 備209和身份系統(tǒng)210 (在下文中有時(shí)被共同稱為實(shí)體)�����,并可包括其他實(shí)體(未示出)��。各 種實(shí)體可以經(jīng)由各種網(wǎng)絡(luò)進(jìn)行通信���,這些網(wǎng)絡(luò)包括辦公室內(nèi)和辦公室間網(wǎng)絡(luò)以及網(wǎng)絡(luò)215���。在一實(shí)施例中,網(wǎng)絡(luò)215可包括因特網(wǎng)����。在一實(shí)施例中���,網(wǎng)絡(luò)215可包括一個(gè)或多 個(gè)局域網(wǎng)�、廣域網(wǎng)、直接連接���、以上的某種組合等��。設(shè)備205-208可包括一個(gè)或多個(gè)通用或?qū)S糜?jì)算設(shè)備����。這些設(shè)備可包括���,例如����,個(gè) 人計(jì)算機(jī)�、服務(wù)器計(jì)算機(jī)、手持式或膝上型設(shè)備�、多處理器系統(tǒng)、基于微控制器的系統(tǒng)��、機(jī)頂 盒��、可編程消費(fèi)電子產(chǎn)品����、網(wǎng)絡(luò)PC��、小型計(jì)算機(jī)���、大型計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)�、游戲設(shè) 備、打印機(jī)��、包括機(jī)頂盒����、媒體中心或其他電器在內(nèi)的電器、汽車嵌入式或附連的計(jì)算設(shè)備����、 其他移動(dòng)設(shè)備、包括以上系統(tǒng)或設(shè)備中的任一種的分布式計(jì)算環(huán)境等�。可被配置成用作設(shè) 備205-208中的一個(gè)或多個(gè)的示例性設(shè)備包括圖1的計(jì)算機(jī)110���。漫游設(shè)備205-206可包括在各位置之間攜帶的計(jì)算設(shè)備�。例如��,員工可在出差時(shí) 攜帶筆記本計(jì)算機(jī)�����。作為另一示例���,員工可帶著蜂窩電話���、PDA或員工幾乎可以在任何地方 使用的某種其他手持式設(shè)備來(lái)旅行。家庭設(shè)備207可包括���,例如�����,個(gè)人計(jì)算機(jī)或位于員工的家的其他電子設(shè)備��。企業(yè)設(shè)備208可包括位于一個(gè)或多個(gè)企業(yè)站點(diǎn)并連接到企業(yè)網(wǎng)絡(luò)的設(shè)備����。例如����, 企業(yè)設(shè)備208可包括工作站���、服務(wù)器、路由器�����、移動(dòng)設(shè)備、或上述的其他通用或?qū)S糜?jì)算設(shè)備。網(wǎng)絡(luò)訪問(wèn)設(shè)備209可包括被配置成允許��、拒絕、代理���、發(fā)送���、緩存計(jì)算機(jī)通信或?qū)?其執(zhí)行其他動(dòng)作的一個(gè)或多個(gè)設(shè)備和/或軟件組件。在被配置為防火墻的情況下��,網(wǎng)絡(luò)訪 問(wèn)設(shè)備209可用于提供對(duì)連接在網(wǎng)絡(luò)訪問(wèn)設(shè)備209后的企業(yè)設(shè)備208和身份系統(tǒng)210以及 其他設(shè)備(如果存在)的保護(hù)��。網(wǎng)絡(luò)訪問(wèn)設(shè)備209可被配置為到虛擬專用網(wǎng)絡(luò)的端點(diǎn)���。在 這種配置中�,網(wǎng)絡(luò)訪問(wèn)設(shè)備209可向轉(zhuǎn)發(fā)代理220-222中的一個(gè)或多個(gè)以及諸如本地身份 系統(tǒng)230等的附連到網(wǎng)絡(luò)215的其他組件提供安全通信信道����。與本地身份系統(tǒng)230之間的 安全通信信道可用于在身份系統(tǒng)210和本地身份系統(tǒng)230之間建立單向或雙向信任關(guān)系�。 在一個(gè)實(shí)施例中�,網(wǎng)絡(luò)訪問(wèn)設(shè)備209可包括�����,例如��,用適當(dāng)?shù)挠布蛙浖?lái)配置的圖1的計(jì) 算機(jī)110����。在另一實(shí)施例中,網(wǎng)絡(luò)訪問(wèn)設(shè)備209可包括專用設(shè)備���。身份系統(tǒng)210可包括主存在諸如以上描述的設(shè)備等的一個(gè)或多個(gè)設(shè)備上的一個(gè) 或多個(gè)進(jìn)程����?�?衫蒙矸菹到y(tǒng)210來(lái)標(biāo)識(shí)用戶和/或設(shè)備���,如以下將更詳細(xì)地描述的����。在一個(gè)實(shí)施例中,身份系統(tǒng)210可包括華盛頓州雷蒙德市微軟公司生產(chǎn)的現(xiàn)用目錄(Active Directory)�����。身份系統(tǒng)的其他示例包括基于RADIUS的ID系統(tǒng)��、基于LDAP的ID系統(tǒng)����、通用 數(shù)據(jù)庫(kù)ID系統(tǒng)等。如圖2所示��,在一個(gè)實(shí)施例中�,身份系統(tǒng)210駐留在可通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備209訪問(wèn) 的企業(yè)網(wǎng)絡(luò)上。在另一實(shí)施例中�����,身份系統(tǒng)210可駐留在企業(yè)網(wǎng)絡(luò)外部的網(wǎng)絡(luò)上�����。例如����,身 份系統(tǒng)210可駐留或分布在網(wǎng)絡(luò)215中的各個(gè)位置處���。在一個(gè)實(shí)施例中,身份系統(tǒng)210可 以是附連到網(wǎng)絡(luò)215的服務(wù)器所主存的服務(wù)�����。轉(zhuǎn)發(fā)代理220-222位于可經(jīng)由網(wǎng)絡(luò)訪問(wèn)的各個(gè)位置處�����。這些轉(zhuǎn)發(fā)代理可提供有時(shí) 由企業(yè)網(wǎng)絡(luò)中的設(shè)備所提供的各種功能�,如連接���、反病毒�、間諜軟件和網(wǎng)絡(luò)釣魚保護(hù)����、URL過(guò) 濾、防火墻���、入侵檢測(cè)���、信息泄漏保護(hù)(ILP)等��。轉(zhuǎn)發(fā)代理220-222還可向連接到網(wǎng)絡(luò)215 的漫游設(shè)備提供集中式管理����。轉(zhuǎn)發(fā)代理220-220還可向各種設(shè)備提供其他功能�����,諸如用于 移動(dòng)設(shè)備的呈現(xiàn)�����、對(duì)網(wǎng)頁(yè)和其他內(nèi)容的緩存����、和企業(yè)可能期望的任何其他連接和/或安全 功能。當(dāng)設(shè)備試圖訪問(wèn)連接到網(wǎng)絡(luò)215的資源時(shí)��,進(jìn)入和離開(kāi)該設(shè)備的通信可被路由到 轉(zhuǎn)發(fā)代理來(lái)提供例如上述的一個(gè)或多個(gè)功能���。然而��,在向設(shè)備提供這些功能之前�����,與轉(zhuǎn)發(fā)代 理相關(guān)聯(lián)的安全組件認(rèn)證該設(shè)備和/或使用該設(shè)備的用戶�。在認(rèn)證的上下文中,此處使用 的術(shù)語(yǔ)實(shí)體有時(shí)指示設(shè)備和/或使用該設(shè)備的用戶�。可出于各種原因來(lái)認(rèn)證實(shí)體��。例如����,可能期望只允許已注冊(cè)的實(shí)體使用轉(zhuǎn)發(fā)代理�����。 為了確保出現(xiàn)這種情況���,可執(zhí)行認(rèn)證�。作為另一示例��,認(rèn)證實(shí)體可用作標(biāo)識(shí)來(lái)了解向被路由 至和自該設(shè)備的通信應(yīng)用什么策略����。作為又一示例����,認(rèn)證實(shí)體可用于報(bào)告���、審計(jì)����、和以其他 方式跟蹤實(shí)體的活動(dòng)���。以上所述的認(rèn)證實(shí)體的示例原因不旨在是包括一切的或限制性的���。其也不旨在限 制此處所描述的主題的各方面和涉及上述示例的一個(gè)或多個(gè)的實(shí)現(xiàn)。事實(shí)上����,基于此處的 教學(xué),本領(lǐng)域技術(shù)人員可認(rèn)識(shí)到��,可以應(yīng)用此處呈現(xiàn)的各概念中的許多其他場(chǎng)景而不背離 此處所描述的主題的方面的精神或范圍�����。在基于企業(yè)憑證來(lái)認(rèn)證實(shí)體時(shí),來(lái)自身份系統(tǒng)210的信息可被發(fā)送到試圖認(rèn)證實(shí) 體的安全組件���。在一個(gè)實(shí)施例中�,安全組件可以不為被授權(quán)使用轉(zhuǎn)發(fā)代理的實(shí)體維護(hù)其自 身的憑證數(shù)據(jù)庫(kù)�����。相反���,憑證可被存儲(chǔ)在企業(yè)控制的位置處�����,如可經(jīng)由身份系統(tǒng)210訪問(wèn)的 憑證數(shù)據(jù)庫(kù)上�。這可以出于各種原因來(lái)完成�。例如��,在云中沒(méi)有憑證數(shù)據(jù)庫(kù)的情況下��,系統(tǒng) 可避免維護(hù)并同步存儲(chǔ)在云中的憑證數(shù)據(jù)庫(kù)和存儲(chǔ)在企業(yè)網(wǎng)絡(luò)上的憑證數(shù)據(jù)庫(kù)���。同樣����,因 為云憑證數(shù)據(jù)庫(kù)可由除企業(yè)之外的一方控制,所以將憑證數(shù)據(jù)庫(kù)存儲(chǔ)在企業(yè)網(wǎng)絡(luò)上可引起 較少的安全風(fēng)險(xiǎn)��。作為另一好處�,企業(yè)網(wǎng)絡(luò)上最近創(chuàng)建的新的實(shí)體可立即訪問(wèn)轉(zhuǎn)發(fā)代理,因 為這些實(shí)體不需要等待同步�。另外,不再被允許訪問(wèn)轉(zhuǎn)發(fā)代理的實(shí)體可通過(guò)將其憑證從憑 證數(shù)據(jù)庫(kù)中移除來(lái)立即拒絕對(duì)轉(zhuǎn)發(fā)代理的訪問(wèn)����。此外,關(guān)于實(shí)體的網(wǎng)絡(luò)活動(dòng)所生成的報(bào)告 可跟蹤實(shí)體��,無(wú)論該實(shí)體從什么位置訪問(wèn)轉(zhuǎn)發(fā)代理���。在該實(shí)施例中����,為認(rèn)證實(shí)體�,安全組件可在需要時(shí)與身份系統(tǒng)210進(jìn)行通信來(lái)獲 得足夠的信息以認(rèn)證該實(shí)體。該信息可包括�,例如,實(shí)體憑證�、質(zhì)詢/響應(yīng)數(shù)據(jù)��、證書相關(guān)的 信息�����、或可用于認(rèn)證該實(shí)體的任何其他信息���。在另一實(shí)施例中,安全組件可訪問(wèn)使用單向或雙向信任關(guān)系與身份系統(tǒng)210同步的本地身份系統(tǒng)230�����。在單向信任關(guān)系中���,使用同步到本地身份系統(tǒng)230的企業(yè)憑證來(lái)認(rèn)證 的實(shí)體被允許經(jīng)由轉(zhuǎn)發(fā)代理來(lái)訪問(wèn)資源����。安全組件和身份系統(tǒng)210和230之間的通信可按各種方式完成����,包括例如���,虛擬專 用網(wǎng)絡(luò)(VPN)��、多協(xié)議標(biāo)簽轉(zhuǎn)換(MPLS)��、因特網(wǎng)協(xié)議安全(IPSec)�、因特網(wǎng)協(xié)議版本6 (IPv6) 全局尋址、其他通信協(xié)議等���。在一個(gè)實(shí)施例中���,只有特定通信協(xié)議所需的端口可在身份系統(tǒng)和安全組件之間的 虛擬專用網(wǎng)絡(luò)中涉及。換言之��,可轉(zhuǎn)發(fā)到在通信協(xié)議中涉及的端口的消息��,而不轉(zhuǎn)發(fā)到不在 通信協(xié)議中涉及的端口的消息�。這可有助于維護(hù)企業(yè)網(wǎng)絡(luò)的安全,因?yàn)榇蟠蠼档土斯舯?面(例如�����,轉(zhuǎn)發(fā)的端口數(shù)量)���。轉(zhuǎn)發(fā)代理和身份系統(tǒng)可被配置成經(jīng)由IPv6來(lái)進(jìn)行通信���。結(jié)合msec和所配置的 策略����,這可用于保證只有指定的轉(zhuǎn)發(fā)代理被允許與身份系統(tǒng)進(jìn)行通信����。為了認(rèn)證實(shí)體,與轉(zhuǎn)發(fā)代理相關(guān)聯(lián)的安全組件可使用許多不同的機(jī)制中的一個(gè)或 多個(gè)�。例如,可以在安全組件和設(shè)備之間建立虛擬專用網(wǎng)絡(luò)(VPN)����。在這種配置中,成功地 建立VPN可用于認(rèn)證實(shí)體����。作為其他示例,可以使用集成Windows 認(rèn)證�����、IPSec���、基于表單 的認(rèn)證�����、RADIUS����、MPLS�、基本訪問(wèn)認(rèn)證、Kerberos����、基于客戶機(jī)證書的認(rèn)證、或某些其他認(rèn)證 協(xié)議等來(lái)認(rèn)證實(shí)體���。在一個(gè)實(shí)施例中����,認(rèn)證可作為HTTP代理認(rèn)證的一部分來(lái)發(fā)起���。認(rèn)證協(xié)議的類型可在安全組件和設(shè)備之間協(xié)商����。例如���,如果設(shè)備支持第一組認(rèn)證 協(xié)議而安全組件支持第二組認(rèn)證協(xié)議���,則可以選擇設(shè)備和安全組件兩者都支持的認(rèn)證協(xié)議 來(lái)認(rèn)證該實(shí)體��。作為另一示例��,如果設(shè)備支持允許設(shè)備來(lái)認(rèn)證自身和/或用戶而無(wú)需用戶 交互的認(rèn)證協(xié)議(例如��,諸如集成Windows 認(rèn)證)�,則可以選擇該協(xié)議�。有許多方式來(lái)認(rèn)證實(shí)體。例如��,為了認(rèn)證實(shí)體����,安全組件可要求實(shí)體憑證(例如, 用戶名和口令或與該實(shí)體相關(guān)聯(lián)的其他憑證)����。使用這些憑證,安全組件可與身份系統(tǒng)210 進(jìn)行通信來(lái)驗(yàn)證這些憑證�。為此,實(shí)體可使用例如Basic�����、表單、RADIUS或某種其他認(rèn)證協(xié) 議����。如果憑證有效����,則身份系統(tǒng)210可將此指示給安全組件并將與該實(shí)體相關(guān)聯(lián)的標(biāo) 識(shí)符發(fā)送給安全組件。該標(biāo)識(shí)符可包括該實(shí)體的企業(yè)身份�。該標(biāo)識(shí)符可在記錄該實(shí)體的后 續(xù)活動(dòng)時(shí)使用。作為認(rèn)證實(shí)體的另一示例��,安全組件可在不接收憑證的情況下認(rèn)證憑證�����。例如����,安 全組件可向?qū)嶓w提供質(zhì)詢并可使用對(duì)該質(zhì)詢的響應(yīng)來(lái)認(rèn)證實(shí)體。安全組件可將身份系統(tǒng) 210涉及到確定質(zhì)詢和/或驗(yàn)證對(duì)質(zhì)詢的響應(yīng)中�����。作為另一示例,安全組件可關(guān)聯(lián)于使用單向或雙向信任關(guān)系來(lái)與身份系統(tǒng)210同 步的本地身份系統(tǒng)230���。安全組件可利用本地身份系統(tǒng)230來(lái)認(rèn)證實(shí)體�。作為另一示例���,可向在HTTP協(xié)議中定義的代理能力添加安全套接字層(SSL)和/ 或傳輸層安全(TLQ能力����。用于HTTP代理的當(dāng)前HTTP協(xié)議不提供在HTTP代理中使用SSL 或TLS����。當(dāng)與客戶機(jī)進(jìn)行通信時(shí),可增強(qiáng)HTTP代理來(lái)使用SSL和/或TLS�����。SSL/TLS也可用 于互認(rèn)證����。作為建立連接的一部分,客戶機(jī)可經(jīng)由SSL或TLS來(lái)認(rèn)證���。在該認(rèn)證方法中����,安 全組件可例如通過(guò)驗(yàn)證可信證書授權(quán)機(jī)構(gòu)所簽署的客戶機(jī)證書來(lái)認(rèn)證客戶機(jī)。向HTTP代 理添加SSL/TLS還能夠?qū)崿F(xiàn)端點(diǎn)和轉(zhuǎn)發(fā)代理之間的安全(例如�����,加密)通信��。在一個(gè)實(shí)施例中�,在客戶機(jī)和安全組件之間的第一認(rèn)證之后��,可向客戶機(jī)提供9cookie以便與后續(xù)請(qǐng)求一起使用�����。當(dāng)前HTTP協(xié)議允許目標(biāo)服務(wù)器向客戶機(jī)提供cookie但 不允許HTTP代理獨(dú)立地生成cookie并將其供應(yīng)給客戶機(jī)����。此外,在當(dāng)前HTTP協(xié)議中��,客 戶機(jī)只有在與向該客戶機(jī)發(fā)送cookie的目標(biāo)服務(wù)器進(jìn)行通信時(shí)才提供cookie�。當(dāng)轉(zhuǎn)發(fā)代理用作HTTP代理時(shí),轉(zhuǎn)發(fā)代理(或與其相關(guān)聯(lián)的安全組件)可生成 cookie并在客戶機(jī)被認(rèn)證之后將其發(fā)送給客戶機(jī)�����。在后續(xù)請(qǐng)求中,客戶機(jī)隨后可將該 cookie發(fā)送給向該客戶機(jī)提供該cookie的轉(zhuǎn)發(fā)代理(或與其相關(guān)聯(lián)的安全組件)或另 一轉(zhuǎn)發(fā)代理�����?�?蛻魴C(jī)甚至還可在該客戶機(jī)試圖訪問(wèn)不同目標(biāo)服務(wù)器上的資源時(shí)發(fā)送該 cookie�。當(dāng)客戶機(jī)在后續(xù)請(qǐng)求中發(fā)送該cookie時(shí),轉(zhuǎn)發(fā)代理(或與其相關(guān)聯(lián)的安全組件) 可檢查該cookie來(lái)判定該客戶機(jī)是否已經(jīng)被認(rèn)證����。這可避免與重新認(rèn)證從客戶機(jī)接收的 每一請(qǐng)求相關(guān)聯(lián)的開(kāi)銷??捎蒙鏁r(shí)間參數(shù)來(lái)配置cookie從而使得其在一設(shè)定時(shí)間后超 時(shí)。此處使用的cookie包括可用于驗(yàn)證一實(shí)體已經(jīng)被認(rèn)證的任何數(shù)據(jù)����。例如,cookie 可包括安全組件可用來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的記錄的標(biāo)識(shí)符���。該記錄可指示該實(shí)體是否已經(jīng)被認(rèn) 證����。作為另一示例,cookie可包括安全組件能夠解密來(lái)判定該實(shí)體是否已經(jīng)被認(rèn)證的加密 fn息οcookie還可包括關(guān)于實(shí)體的其他數(shù)據(jù)��。例如�����,cookie可包括與該實(shí)體相關(guān)聯(lián)的 標(biāo)識(shí)符���。該標(biāo)識(shí)符可與該實(shí)體例如在訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)使用的標(biāo)識(shí)符相對(duì)應(yīng)�����。該標(biāo)識(shí)符可在 記錄實(shí)體活動(dòng)時(shí)使用。作為另一示例���,cookie可包括與該實(shí)體相關(guān)聯(lián)的策略信息����。例如�����, cookie可包括指示該實(shí)體被允許訪問(wèn)什么站點(diǎn)的信息�����。可用于認(rèn)證實(shí)體的另一機(jī)制是經(jīng)由連接組件(例如����,連接組件125)。連接組件是 駐留在設(shè)備上并監(jiān)視來(lái)自設(shè)備的連接的組件����。例如,連接組件可監(jiān)視發(fā)送至和自設(shè)備的TCP 通信�����。當(dāng)連接組件看到要被路由到轉(zhuǎn)發(fā)代理的連接請(qǐng)求時(shí)�,連接組件可用與該轉(zhuǎn)發(fā)代理相 關(guān)聯(lián)的安全組件來(lái)認(rèn)證并加密該連接。這可以按照對(duì)使用設(shè)備的用戶透明的方式來(lái)完成���。 當(dāng)用戶輸入需要通過(guò)轉(zhuǎn)發(fā)代理來(lái)路由的請(qǐng)求(例如�,URL請(qǐng)求)時(shí)���,連接組件可用與該轉(zhuǎn)發(fā) 代理相關(guān)聯(lián)的安全組件來(lái)認(rèn)證該請(qǐng)求��,然后通過(guò)安全信道將該請(qǐng)求轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)代理�����。在一個(gè)實(shí)施例中��,當(dāng)cookie被提供給實(shí)體以便在后續(xù)請(qǐng)求中的認(rèn)證中使用時(shí)����,連 接組件可處理該cookie并在后續(xù)請(qǐng)求中提供該cookie。在另一實(shí)施例中���,當(dāng)cookie被提 供給實(shí)體以便在后續(xù)請(qǐng)求中的認(rèn)證中使用時(shí)�����,連接組件可允許實(shí)體來(lái)處理該cookie并在 后續(xù)請(qǐng)求中提供該cookie�。雖然上文提供了用于認(rèn)證實(shí)體的某些機(jī)制的示例��,但這些示例不旨在是包括一切 的或限制性的�。事實(shí)上���,此處所描述的主題的各方面不限于該認(rèn)證方法���,因?yàn)榛旧峡梢圆?用任何認(rèn)證方法(現(xiàn)有的或要開(kāi)發(fā)的)而不背離此處所描述的主題的各方面的精神或范圍���。作為認(rèn)證過(guò)程的結(jié)果,可以獲得隨后可用于記錄��、審計(jì)�、應(yīng)用策略等的標(biāo)識(shí)符。該 標(biāo)識(shí)符可由身份系統(tǒng)210�����、本地身份系統(tǒng)230�����、或某一其他組件來(lái)提供而不背離此處所描述 的主題的各方面�。該標(biāo)識(shí)符可以是與用于向與實(shí)體相關(guān)聯(lián)的企業(yè)網(wǎng)絡(luò)標(biāo)識(shí)該實(shí)體的標(biāo)識(shí)符 相同的標(biāo)識(shí)符。雖然上述環(huán)境包括不同數(shù)量的實(shí)體中的每一個(gè)和相關(guān)基礎(chǔ)結(jié)構(gòu)�����,但可以理解�����,可以采用更多、更少的這些實(shí)體和其他實(shí)體或這些實(shí)體和其他實(shí)體的不同組合而不背離此處 所描述的主題的各方面的精神或范圍��。此外����,該環(huán)境中包括的各實(shí)體和通信網(wǎng)絡(luò)可以用本 領(lǐng)域技術(shù)人員所理解的各種方式來(lái)配置而不背離此處所描述的主題的各方面的精神或范圍。圖3是表示根據(jù)此處所描述的主題的各方面的用安全組件來(lái)配置的示例性裝置 的框圖�。圖3中示出的組件是示例性的且不意味著包括一切的可能需要或包括的組件。在 其他實(shí)施例中����,結(jié)合圖3描述的組件或功能可被包括在其他組件中或者被放置在子組件中 而不背離此處所描述的主題的各方面的精神或范圍。在某些實(shí)施例中���,結(jié)合圖3描述的組 件或功能可分布在裝置305可訪問(wèn)的多個(gè)設(shè)備上�。轉(zhuǎn)向圖3�����,裝置305可包括安全組件310�、存儲(chǔ)340和通信機(jī)制345���。安全組件310 可包括協(xié)議選擇器315、客戶機(jī)組件320����、身份確認(rèn)器325��、代理通知器330����、歷史跟蹤器335 和報(bào)告組件337����。安全組件310可與結(jié)合圖1描述的轉(zhuǎn)發(fā)代理相關(guān)聯(lián)。與上下文相關(guān)聯(lián)意 味著被包括在相同的設(shè)備上�、位于不主存轉(zhuǎn)發(fā)代理但可與轉(zhuǎn)發(fā)代理通信的一個(gè)或多個(gè)設(shè)備μ絕絕 丄寸寸O通信機(jī)制345允許裝置305與圖2中示出的其他實(shí)體進(jìn)行通信。通信機(jī)制345可 以是結(jié)合圖1描述的網(wǎng)絡(luò)接口或適配器170�、調(diào)制解調(diào)器172或用于建立通信的任何其它機(jī) 制。存儲(chǔ)340是能夠存儲(chǔ)關(guān)于實(shí)體所參與的活動(dòng)的歷史信息的任何存儲(chǔ)介質(zhì)����。存儲(chǔ) 340可包括文件系統(tǒng)、數(shù)據(jù)庫(kù)���、諸如RAM等易失性存儲(chǔ)器���、其它存儲(chǔ)、以上的某種組合等,并 可以分布在多個(gè)設(shè)備中����。存儲(chǔ)340可以在裝置305的外部或內(nèi)部。協(xié)議選擇器315可用于確定要結(jié)合認(rèn)證試圖獲取對(duì)可經(jīng)由第一網(wǎng)絡(luò)獲得的資 源的訪問(wèn)的實(shí)體來(lái)使用的認(rèn)證協(xié)議�����。例如��,參考圖2����,協(xié)議選擇器可確定要用于在設(shè)備 205-208中的一個(gè)試圖訪問(wèn)可經(jīng)由網(wǎng)絡(luò)215訪問(wèn)的資源時(shí)認(rèn)證這些設(shè)備的認(rèn)證協(xié)議?�?蛻魴C(jī)組件320可用于使用協(xié)議選擇器315所確定的認(rèn)證協(xié)議來(lái)認(rèn)證實(shí)體�。實(shí)體 可包括使用設(shè)備的用戶和/或設(shè)備。例如����,參考圖2,客戶機(jī)組件可使用互TLS協(xié)議來(lái)認(rèn)證 使用漫游設(shè)備205的用戶��。身份確認(rèn)器325可用于從身份系統(tǒng)獲得與實(shí)體相關(guān)聯(lián)的標(biāo)識(shí)符�。身份系統(tǒng)可位于 本地網(wǎng)絡(luò)上或如前所指示的客戶機(jī)組件320外部的網(wǎng)絡(luò)上�����。身份系統(tǒng)可訪問(wèn)包括用于與控 制客戶機(jī)組件320外部的網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò))的企業(yè)相關(guān)聯(lián)的實(shí)體的標(biāo)識(shí)符的數(shù)據(jù)庫(kù)����。 例如,參考圖2�,身份確認(rèn)器可與身份系統(tǒng)210通信來(lái)獲得該標(biāo)識(shí)符。代理通知器330可用于基于從客戶機(jī)組件320獲得的結(jié)果向轉(zhuǎn)發(fā)代理指示實(shí)體是 否被認(rèn)證��。例如���,參考圖2���,代理通知器可向轉(zhuǎn)發(fā)代理220-222中的一個(gè)指示實(shí)體被認(rèn)證來(lái) 使用該轉(zhuǎn)發(fā)代理所提供的安全功能。歷史跟蹤器335可用于存儲(chǔ)標(biāo)識(shí)實(shí)體和該實(shí)體訪問(wèn)的資源的信息���。例如��,參考圖 2��,歷史跟蹤器可隨著使用漫游設(shè)備205的用戶向轉(zhuǎn)發(fā)代理220發(fā)送的每一 URL來(lái)存儲(chǔ)用戶 名�。歷史跟蹤器335可利用存儲(chǔ)340來(lái)存儲(chǔ)歷史信息。報(bào)告組件337可用于按標(biāo)識(shí)實(shí)體和該實(shí)體訪問(wèn)的資源(例如��,URL����、網(wǎng)絡(luò)地址等) 的形式來(lái)提供歷史信息。該形式可包括用戶名或其他標(biāo)識(shí)符�����,連同資源標(biāo)識(shí)符�。因?yàn)樵撔畔?包含足夠的信息來(lái)標(biāo)識(shí)企業(yè)上的實(shí)體,所以如果設(shè)備變?yōu)楦腥镜?例如����,經(jīng)由惡意軟件),則當(dāng)用戶將設(shè)備帶至企業(yè)網(wǎng)絡(luò)時(shí)�����,報(bào)告可指示該設(shè)備已經(jīng)被感染并需要在被允許訪問(wèn)企業(yè) 網(wǎng)絡(luò)之前清除��。圖4-5是概括地表示根據(jù)此處所描述的主題的各方面的可結(jié)合認(rèn)證發(fā)生的動(dòng)作 的流程圖���。為解釋簡(jiǎn)明起見(jiàn)��,結(jié)合圖4-5描述的方法被描繪和描述為一系列動(dòng)作��?���?梢岳?解和明白��,此處所描述的主題的各方面不受所示出的動(dòng)作和/或動(dòng)作次序的限制��。在一個(gè) 實(shí)施例中��,動(dòng)作以如下描述的次序發(fā)生����。然而,在其它實(shí)施例中�����,動(dòng)作可以并行地發(fā)生����,以另 一次序發(fā)生,和/或與此處未呈現(xiàn)和描述的其它動(dòng)作一起發(fā)生����。此外���,并非所有示出的動(dòng)作 都是實(shí)現(xiàn)根據(jù)此處所描述的主題的各方面的方法所必需的。另外���,本領(lǐng)域的技術(shù)人員將了 解和明白�,方法也可以替代地經(jīng)由狀態(tài)圖或作為事件表示為一系列相互相關(guān)聯(lián)的狀態(tài)�。轉(zhuǎn)向圖4,在框405處���,動(dòng)作開(kāi)始����。在框407����,可以建立信任關(guān)系。例如��,參考圖2��, 本地身份系統(tǒng)230可建立與企業(yè)身份系統(tǒng)210之間的信任關(guān)系�。在框410處��,設(shè)備試圖訪 問(wèn)該設(shè)備外部的網(wǎng)絡(luò)(例如���,因特網(wǎng))上的資源。例如��,參考圖2����,漫游設(shè)備206試圖訪問(wèn)可 經(jīng)由網(wǎng)絡(luò)215獲得的資源(例如����,網(wǎng)頁(yè))。在框415處��,請(qǐng)求被路由到與轉(zhuǎn)發(fā)代理相關(guān)聯(lián)的安全組件�。例如,參考圖2�,連接組 件125將請(qǐng)求路由到與轉(zhuǎn)發(fā)代理222相關(guān)聯(lián)的安全組件。在框420處��,安全組件從設(shè)備接收消息����。例如���,參考圖3,安全組件310接收請(qǐng)求���。在框425處���,確定要用于認(rèn)證與設(shè)備相關(guān)聯(lián)的實(shí)體的認(rèn)證協(xié)議。例如���,參考圖310��, 協(xié)議選擇器315確定要在認(rèn)證與圖2的漫游設(shè)備206相關(guān)聯(lián)的用戶時(shí)使用的認(rèn)證協(xié)議�。在框430處�����,安全組件認(rèn)證與設(shè)備相關(guān)聯(lián)的實(shí)體�����。例如����,參考圖2和3�����,客戶機(jī)組件 320認(rèn)證與漫游設(shè)備206相關(guān)聯(lián)的用戶�����。在框435處���,當(dāng)使用cookie時(shí),將cookie發(fā)送給設(shè)備以便在后續(xù)請(qǐng)求中使用�。例 如,參考圖2����,與轉(zhuǎn)發(fā)代理222相關(guān)聯(lián)的安全組件將cookie發(fā)送給漫游設(shè)備206�。在框440處,設(shè)備在后續(xù)請(qǐng)求中發(fā)送cookie���。例如���,參考圖2,漫游設(shè)備206在對(duì) 于可經(jīng)由網(wǎng)絡(luò)215訪問(wèn)的資源的后續(xù)請(qǐng)求中發(fā)送其接收的cookie。在框445處��,可以發(fā)生其他動(dòng)作(如果存在)�。例如,可以周期性地重新認(rèn)證實(shí)體����。轉(zhuǎn)向圖5,在框505處�,動(dòng)作開(kāi)始。在框510處�,從與附連到第一網(wǎng)絡(luò)的設(shè)備相關(guān)聯(lián) 的實(shí)體發(fā)送要訪問(wèn)第二網(wǎng)絡(luò)上的資源的請(qǐng)求。例如����,參考圖2,從與設(shè)備206相關(guān)聯(lián)的實(shí)體 發(fā)送要訪問(wèn)可經(jīng)由網(wǎng)絡(luò)215訪問(wèn)的資源的請(qǐng)求����。在框515處,在通信組件處接收請(qǐng)求�。例如,參考圖2���,通信組件125接收請(qǐng)求���。在框520處��,經(jīng)由通信組件來(lái)認(rèn)證實(shí)體���。例如,參考圖2�,通信組件125與關(guān)聯(lián)于轉(zhuǎn) 發(fā)代理222的安全組件通信來(lái)認(rèn)證使用設(shè)備206的用戶。在框525處�,將請(qǐng)求發(fā)送到轉(zhuǎn)發(fā)代理。例如�����,參考圖2�����,將請(qǐng)求從設(shè)備206發(fā)送到轉(zhuǎn) 發(fā)代理222�。在框530處��,可在設(shè)備處接收cookie����。該cookie指示該實(shí)體先前是否已經(jīng)由安全 組件認(rèn)證。例如,可出現(xiàn)這種情況來(lái)加速后續(xù)認(rèn)證���。在框535處�����,在后續(xù)請(qǐng)求中發(fā)送cookie�。例如��,參考圖2��,通信組件125可在對(duì)資 源的后續(xù)請(qǐng)求中發(fā)送cookie���。在框540處��,可以發(fā)生其他動(dòng)作(如果存在)���。如從上述詳細(xì)描述中可以看見(jiàn),已經(jīng)描述了關(guān)于在分布式安全內(nèi)容管理系統(tǒng)中的認(rèn)證的各方面����。盡管此處所描述的主題的各方面易于作出各種修改和替換構(gòu)造,但其某些 說(shuō)明性實(shí)施例在附圖中示出并在上面被詳細(xì)地描述���。然而�����,應(yīng)當(dāng)理解�,并不旨在將所要求保 護(hù)主題的各方面限制于所公開(kāi)的具體形式,而是相反地���,目的是要覆蓋落入此處所描述的 主題的各方面的精神和范圍之內(nèi)的所有修改���、替換構(gòu)造和等效方案。
權(quán)利要求
1.一種至少部分地由計(jì)算機(jī)實(shí)現(xiàn)的方法����,所述方法包括在安全組件處接收(420)從設(shè)備發(fā)送的消息,所述安全組件與在邏輯上在所述設(shè)備和 所述設(shè)備試圖訪問(wèn)的資源之間的轉(zhuǎn)發(fā)代理相關(guān)聯(lián)����;經(jīng)由所述安全組件認(rèn)證(430)與所述設(shè)備相關(guān)聯(lián)的實(shí)體;以及將cookie發(fā)送(435)給所述設(shè)備����,所述cookie指示所述實(shí)體先前是否已經(jīng)由所述安 全組件認(rèn)證,所述設(shè)備隨著要訪問(wèn)可經(jīng)由所述轉(zhuǎn)發(fā)代理訪問(wèn)的資源的后續(xù)請(qǐng)求來(lái)呈現(xiàn)所述 cookie���。
2.如權(quán)利要求1所述的方法����,其特征在于�,所述轉(zhuǎn)發(fā)代理至少作為HTTP代理來(lái)操作,且 其中認(rèn)證與所述設(shè)備相關(guān)聯(lián)的實(shí)體包括在所述轉(zhuǎn)發(fā)代理和所述設(shè)備之間建立安全連接����。
3.如權(quán)利要求2所述的方法,其特征在于�����,所述安全連接包括安全套接字層連接�����。
4.如權(quán)利要求2所述的方法���,其特征在于��,所述安全連接包括傳輸層安全連接����。
5.如權(quán)利要求1所述的方法,其特征在于���,所述轉(zhuǎn)發(fā)代理至少作為HTTP代理來(lái)操作��,且 其中認(rèn)證與所述設(shè)備相關(guān)聯(lián)的實(shí)體包括使用客戶機(jī)證書����。
6.如權(quán)利要求1所述的方法��,其特征在于�,所述cookie指示與所述實(shí)體相關(guān)聯(lián)的身份, 所述身份標(biāo)識(shí)關(guān)聯(lián)于與所述設(shè)備相關(guān)聯(lián)的實(shí)體的企業(yè)實(shí)體所控制的網(wǎng)絡(luò)上的實(shí)體����。
7.如權(quán)利要求1所述的方法,其特征在于�����,所述cookie包括與所述實(shí)體相關(guān)聯(lián)的策略 信息�����,所述策略信息可用于實(shí)施用于所述后續(xù)請(qǐng)求的策略。
8.如權(quán)利要求1所述的方法�,其特征在于,還包括為所述cookie建立生存時(shí)間�,所述 cookie在超過(guò)所述生存時(shí)間之后對(duì)認(rèn)證不再有用�。
9.如權(quán)利要求6所述的方法,其特征在于��,還包括存儲(chǔ)所述設(shè)備發(fā)送的后續(xù)請(qǐng)求以及 所述標(biāo)識(shí)符的歷史���。
10.如權(quán)利要求1所述的方法�����,其特征在于���,還包括在位于所述轉(zhuǎn)發(fā)代理本地的第一網(wǎng) 絡(luò)上的第一身份系統(tǒng)和所述第一網(wǎng)絡(luò)外部的網(wǎng)絡(luò)上的第二身份系統(tǒng)之間建立信任關(guān)系。
11.如權(quán)利要求10所述的方法�,其特征在于,建立信任關(guān)系包括在所述第一和第二身 份系統(tǒng)之間同步憑證����。
12.—種具有計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)存儲(chǔ)介質(zhì),所述計(jì)算機(jī)可執(zhí)行指令在被執(zhí)行 時(shí)執(zhí)行以下動(dòng)作����,包括從與附連到第一網(wǎng)絡(luò)的設(shè)備相關(guān)聯(lián)的實(shí)體發(fā)送(510)要訪問(wèn)來(lái)自第二網(wǎng)絡(luò)的資源的 請(qǐng)求�����;在主存在所述設(shè)備上的組件處接收(51 所述請(qǐng)求���,所述組件監(jiān)視所述設(shè)備和所述第 二網(wǎng)絡(luò)之間的通信;在將所述請(qǐng)求發(fā)送到所述第二網(wǎng)絡(luò)之前���,經(jīng)由所述組件認(rèn)證(520)所述實(shí)體�����;以及將所述請(qǐng)求發(fā)送(52 給轉(zhuǎn)發(fā)代理��。
13.如權(quán)利要求12所述的計(jì)算機(jī)存儲(chǔ)介質(zhì)�,其特征在于�����,經(jīng)由所述組件驗(yàn)證與所述設(shè) 備相關(guān)聯(lián)的實(shí)體包括與關(guān)聯(lián)于附連到所述第二網(wǎng)絡(luò)的轉(zhuǎn)發(fā)代理的安全組件進(jìn)行通信����,所述 轉(zhuǎn)發(fā)代理在邏輯上在所述設(shè)備和所述第二網(wǎng)絡(luò)之間。
14.如權(quán)利要求13所述的計(jì)算機(jī)存儲(chǔ)介質(zhì),其特征在于��,所述轉(zhuǎn)發(fā)代理至少作為HTTP 代理來(lái)操作��,且其中經(jīng)由所述組件認(rèn)證與所述設(shè)備相關(guān)聯(lián)的實(shí)體包括使用客戶機(jī)證書�。
15.如權(quán)利要求13所述的計(jì)算機(jī)存儲(chǔ)介質(zhì),其特征在于�����,還包括從所述轉(zhuǎn)發(fā)代理接收cookie���,所述cookie指示所述實(shí)體先前是否已經(jīng)由所述安全組件認(rèn)證。
16.如權(quán)利要求15所述的計(jì)算機(jī)存儲(chǔ)介質(zhì)�,其特征在于,還包括經(jīng)由所述組件處理所 述cookie����,其中處理所述cookie包括存儲(chǔ)所述cookie并在對(duì)于可經(jīng)由所述第二網(wǎng)絡(luò)訪問(wèn) 的資源的后續(xù)請(qǐng)求中發(fā)送所述cookie。
17.如權(quán)利要求12所述的計(jì)算機(jī)存儲(chǔ)介質(zhì)�����,其特征在于����,所述實(shí)體包括所述設(shè)備和/或 用戶��。
18.—種處于計(jì)算環(huán)境的裝置��,包括可用于確定要結(jié)合認(rèn)證試圖獲得對(duì)可經(jīng)由第一網(wǎng)絡(luò)獲得的資源的訪問(wèn)的實(shí)體來(lái)使用 的認(rèn)證協(xié)議的協(xié)議選擇器(315)����;可用于使用經(jīng)由與所述實(shí)體相關(guān)聯(lián)的設(shè)備的所述認(rèn)證協(xié)議來(lái)認(rèn)證所述實(shí)體的客戶機(jī) 組件(320)�;以及可用于從與第二身份系統(tǒng)具有信任關(guān)系的第一身份系統(tǒng)獲得用于所述實(shí)體的標(biāo)識(shí)符 的身份確認(rèn)器(325),所述第一身份系統(tǒng)駐留在所述第一網(wǎng)絡(luò)上����,所述第二身份系統(tǒng)駐留在 第二網(wǎng)絡(luò)上;以及可用于向轉(zhuǎn)發(fā)代理指示所述實(shí)體是否被認(rèn)證的代理通知器(330)���,所述轉(zhuǎn)發(fā)代理是分 布在一個(gè)或多個(gè)網(wǎng)絡(luò)上的多個(gè)轉(zhuǎn)發(fā)代理中的一個(gè)�����,所述轉(zhuǎn)發(fā)代理被構(gòu)造成允許經(jīng)認(rèn)證的實(shí) 體訪問(wèn)可經(jīng)由所述一個(gè)或多個(gè)網(wǎng)絡(luò)獲得的資源��。
19.如權(quán)利要求18所述的裝置����,其特征在于,還包括可用于存儲(chǔ)標(biāo)識(shí)所述實(shí)體和所述 實(shí)體訪問(wèn)的可經(jīng)由所述第一網(wǎng)絡(luò)獲得的資源的信息的歷史跟蹤器����。
20.如權(quán)利要求19所述的裝置,其特征在于����,還包括可用于按標(biāo)識(shí)所述實(shí)體和所訪問(wèn) 的資源的形式來(lái)提供所述信息的報(bào)告組件。
全文摘要
此處所描述的主題的各方面涉及用于分布式安全內(nèi)容管理系統(tǒng)的認(rèn)證�����。在各方面�����,要訪問(wèn)可通過(guò)因特網(wǎng)獲得的資源的請(qǐng)求被路由到安全組件��。安全組件是分布在因特網(wǎng)各處的多個(gè)安全組件中的一個(gè)并負(fù)責(zé)認(rèn)證與企業(yè)相關(guān)聯(lián)的實(shí)體�。安全組件確定要對(duì)實(shí)體使用的認(rèn)證協(xié)議然后認(rèn)證該實(shí)體�。如果該實(shí)體被認(rèn)證,則該實(shí)體被允許使用轉(zhuǎn)發(fā)代理����。
文檔編號(hào)G06F21/00GK102047262SQ200980120235
公開(kāi)日2011年5月4日 申請(qǐng)日期2009年3月27日 優(yōu)先權(quán)日2008年5月27日
發(fā)明者A·捷普里斯基, A·芬克爾斯坦, J·F·沃爾伏特, N·奈斯, O·阿納尼耶夫 申請(qǐng)人:微軟公司