采用安全即服務(wù)的web緩存的制作方法
【專(zhuān)利摘要】本公開(kāi)涉及采用安全即服務(wù)的web緩存�����。在一個(gè)實(shí)現(xiàn)方式中���,將部署在企業(yè)場(chǎng)所中的web緩存和基于云的SecaaS相組合����,以使得類(lèi)似的基于身份的策略被實(shí)施在SecaaS和從web緩存遞送的內(nèi)容二者上。使用SecaaS在網(wǎng)絡(luò)外部并且在網(wǎng)絡(luò)內(nèi)部針對(duì)web緩存的內(nèi)容的基于身份的策略實(shí)現(xiàn)方式提供了一致的基于身份的安全�����,同時(shí)仍然高性能地將內(nèi)容提供給最終用戶(hù)���。由SecaaS檢查和/或修改的內(nèi)容可以被緩存在企業(yè)場(chǎng)所中����,以使得對(duì)來(lái)自原始服務(wù)器的內(nèi)容的請(qǐng)求減少���。流內(nèi)容的本地緩存可以降低延時(shí)同時(shí)基于身份的策略的本地實(shí)現(xiàn)方式繼續(xù)適當(dāng)?shù)叵拗屏魇絺鬏攦?nèi)容���。基于身份的策略的本地實(shí)現(xiàn)方式可以降低SecaaS上的負(fù)載��。對(duì)于web內(nèi)容�����,不使用由服務(wù)提供商提供的內(nèi)容遞送網(wǎng)絡(luò)而使用企業(yè)內(nèi)的緩存服務(wù)器��。
【專(zhuān)利說(shuō)明】采用安全即服務(wù)的web緩存
【技術(shù)領(lǐng)域】
[0001]本公開(kāi)總體涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域����,更具體地涉及采用基于云的安全即服務(wù)(security as a service)的 web 緩存��。
【背景技術(shù)】
[0002]企業(yè)網(wǎng)絡(luò)可以緩存web內(nèi)容����。web緩存通過(guò)緩存受歡迎的內(nèi)容增強(qiáng)了內(nèi)容的端到端傳輸���。需求量最大的內(nèi)容緩存在網(wǎng)絡(luò)內(nèi)的服務(wù)器上以將這些內(nèi)容高可靠性且高性能地供應(yīng)給終端用戶(hù)���。企業(yè)部署web內(nèi)容的緩存來(lái)降低帶寬需求、降低服務(wù)器負(fù)載���、并且改善對(duì)存儲(chǔ)在緩存中的內(nèi)容的客戶(hù)端響應(yīng)時(shí)間。
[0003]作為安全措施���,內(nèi)容被過(guò)濾��。企業(yè)部署執(zhí)行應(yīng)用協(xié)議檢測(cè)/解密�����、深度分組檢查��、啟發(fā)式方法和/或網(wǎng)絡(luò)內(nèi)的其他功能以檢測(cè)惡意軟件���、利用腳本�、防止數(shù)據(jù)泄漏或以其他方式保護(hù)網(wǎng)絡(luò)的安全裝置���??赡軐⑦@些基于網(wǎng)絡(luò)的安全處理應(yīng)用到緩存的內(nèi)容���。另一種用于企業(yè)網(wǎng)絡(luò)的安全是基于云的“安全即服務(wù)”(SecaaS)���。SecaaS提供可擴(kuò)展的安全。使用SecaaS����,企業(yè)受益于市場(chǎng)主導(dǎo)的web安全,在節(jié)省帶寬����、資金和資源的同時(shí)快速且容易地保護(hù)網(wǎng)絡(luò)免受基于web的威脅。然而����,SecaaS被提供于網(wǎng)絡(luò)外部�,因此可能無(wú)法實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)內(nèi)緩存的內(nèi)容的基于身份的安全策略���。
【發(fā)明內(nèi)容】
[0004]本公開(kāi)一方面提供了一種方法��,包括:在網(wǎng)絡(luò)的云連接器設(shè)備處攔截來(lái)自用戶(hù)的對(duì)內(nèi)容的請(qǐng)求���;當(dāng)內(nèi)容未被緩存在網(wǎng)絡(luò)中時(shí):將該請(qǐng)求重定向至基于云的安全即服務(wù)服務(wù)器;從基于云的安全即服務(wù)服務(wù)器接收內(nèi)容���;將該內(nèi)容路由至緩存服務(wù)器�����;以及在云連接器處從基于云的安全即服務(wù)服務(wù)器接收針對(duì)該內(nèi)容的基于身份的安全策略��;當(dāng)內(nèi)容被緩存在網(wǎng)絡(luò)中時(shí):確定請(qǐng)求是否滿(mǎn)足基于身份的安全策略;當(dāng)請(qǐng)求滿(mǎn)足基于身份的安全策略時(shí)��,將請(qǐng)求發(fā)送至緩存服務(wù)器����;以及當(dāng)請(qǐng)求不滿(mǎn)足所述基于身份的安全策略時(shí),拒絕該請(qǐng)求。
[0005]本公開(kāi)另一方面提供了一種編碼在一個(gè)或多個(gè)非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯����,該邏輯包括用于運(yùn)行的代碼并且當(dāng)這些代碼由處理器運(yùn)行時(shí)可操作以執(zhí)行以下操作:在網(wǎng)絡(luò)內(nèi)從網(wǎng)絡(luò)外部的安全即服務(wù)服務(wù)器接收基于身份的安全信息;從識(shí)別出的來(lái)源接收對(duì)緩存在網(wǎng)絡(luò)內(nèi)的內(nèi)容的請(qǐng)求��;采用基于身份的安全信息核實(shí)識(shí)別出的來(lái)源被允許訪(fǎng)問(wèn)緩存在網(wǎng)絡(luò)內(nèi)的內(nèi)容����;以及將內(nèi)容提供給識(shí)別出的來(lái)源。
[0006]本公開(kāi)另一方面提供了一種裝置�,包括:連接至網(wǎng)絡(luò)的客戶(hù)端設(shè)備,該客戶(hù)端設(shè)備被配置來(lái)請(qǐng)求內(nèi)容;以及網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備被配置來(lái)響應(yīng)于請(qǐng)求���,根據(jù)基于云的安全即服務(wù)的基于身份的安全策略,約束對(duì)網(wǎng)絡(luò)內(nèi)緩存的內(nèi)容的供應(yīng)����。
[0007]本公開(kāi)還提供了一種方法����,包括:在安全服務(wù)處理器處從企業(yè)網(wǎng)絡(luò)中的主機(jī)接收對(duì)內(nèi)容的請(qǐng)求?’從web服務(wù)器請(qǐng)求內(nèi)容;響應(yīng)于請(qǐng)求,從web服務(wù)器接收內(nèi)容�;由安全服務(wù)處理器過(guò)濾從web服務(wù)器接收到的內(nèi)容�����;調(diào)整內(nèi)容的新鮮度設(shè)置�����,該新鮮度設(shè)置與緩存相對(duì)應(yīng)�;以及將具有調(diào)整的新鮮度設(shè)置的內(nèi)容傳送至企業(yè)網(wǎng)絡(luò)作為對(duì)請(qǐng)求的響應(yīng)�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0008]為提供對(duì)本公開(kāi)以及其特征和優(yōu)點(diǎn)更加完整的理解��,結(jié)合附圖����,參照以下說(shuō)明,其中�����,相同的參考序號(hào)表不相同的部分����,其中:
[0009]圖1是用于采用安全即服務(wù)的web緩存的示例網(wǎng)絡(luò)的簡(jiǎn)化框圖;
[0010]圖2是用于獲得安全信息的方法的一個(gè)實(shí)施例的流程圖����;
[0011]圖3是從云連接器的角度的�����、用于采用安全即服務(wù)的web緩存的方法的一個(gè)實(shí)施例的流程圖�;
[0012]圖4是采用安全即服務(wù)的web緩存的示例的通信示意圖���;
[0013]圖5是從安全即服務(wù)服務(wù)器的角度的、用于采用安全即服務(wù)的web緩存的方法的一個(gè)實(shí)施例的流程圖����;
[0014]圖6是根據(jù)一個(gè)實(shí)施例,用于采用安全即服務(wù)的web緩存的網(wǎng)絡(luò)設(shè)備的框圖�����。
【具體實(shí)施方式】
[0015]緩存的內(nèi)容由SecaaS過(guò)濾����。然而,請(qǐng)求者的身份可能改變���,因此����,對(duì)緩存的內(nèi)容來(lái)說(shuō),基于身份的安全是在安全方面的缺口���。當(dāng)緩存中內(nèi)容不可用時(shí)���,云連接器能夠從web緩存獲取或?qū)⒘髁恐囟ㄏ蛑罶ecaaS。為安全�,云連接器將HTTP流量重定向至SecaaS。它還收集用戶(hù)身份�,以便SecaaS能夠在云上提供基于身份的安全。這隱含著云連接器不知道云上的策略�����。另一方面�����,隨著web緩存的出現(xiàn)�,從web緩存而不是從內(nèi)容服務(wù)器獲得緩存的內(nèi)容。不將流量重定向至SecaaS��。
[0016]將web緩存和SecaaS組合起來(lái)�,以使得在SecaaS和從web緩存遞送來(lái)的內(nèi)容二者上實(shí)施類(lèi)似的基于身份的策略。在使用SecaaS的企業(yè)網(wǎng)絡(luò)外且在用于web緩存的內(nèi)容的網(wǎng)絡(luò)內(nèi)的基于身份的策略實(shí)現(xiàn)方式在高性能地將內(nèi)容提供給終端用戶(hù)的同時(shí)還提供了一致的基于身份的安全??梢詫⒂蒘ecaaS檢查的和/或修改的內(nèi)容緩存在企業(yè)場(chǎng)所中,以使得對(duì)來(lái)自源服務(wù)器的內(nèi)容的請(qǐng)求減少�����,從而釋放互聯(lián)網(wǎng)帶寬并降低訪(fǎng)問(wèn)時(shí)間���。對(duì)流內(nèi)容的本地緩存可以降低延時(shí)��,同時(shí)基于身份的策略的本地實(shí)現(xiàn)方式適當(dāng)?shù)爻掷m(xù)限制內(nèi)容的遞送?�;谏矸莸牟呗缘谋镜貙?shí)現(xiàn)可以降低SecaaS上的負(fù)載��。雖然⑶N(內(nèi)容遞送網(wǎng)絡(luò))是由互聯(lián)網(wǎng)服務(wù)提供商(ISP)提供的����,但是這對(duì)于附連到企業(yè)網(wǎng)絡(luò)的最終用戶(hù)將不是高效的,因?yàn)閮?nèi)容請(qǐng)求將由云連接器重定向至基于云的SecaaS�����。因此����,企業(yè)將要在企業(yè)本身中部署web緩存��。
[0017]在一方面�,提供了一種方法�����。在網(wǎng)絡(luò)的云連接器設(shè)備處攔截來(lái)自用戶(hù)的對(duì)內(nèi)容的請(qǐng)求��。當(dāng)該內(nèi)容沒(méi)被緩存在該網(wǎng)絡(luò)中時(shí)��,該請(qǐng)求由云連接器重定向至基于云的安全即服務(wù)���,從基于云的安全即服務(wù)接收該內(nèi)容��,并且該內(nèi)容由云連接器路由至緩存服務(wù)器�。當(dāng)該內(nèi)容被緩存在該網(wǎng)絡(luò)中時(shí)�����,處理器確定該請(qǐng)求是否滿(mǎn)足基于身份的安全策略�����。當(dāng)該請(qǐng)求滿(mǎn)足基于身份的安全策略時(shí),將該請(qǐng)求發(fā)送至緩存服務(wù)器�����,而當(dāng)該請(qǐng)求不滿(mǎn)足基于身份的安全策略時(shí),拒絕該請(qǐng)求��。
[0018]在另一方面�����,將邏輯編碼到一個(gè)或多個(gè)非暫態(tài)的計(jì)算機(jī)可讀介質(zhì)中�。該邏輯包括用于運(yùn)行并且當(dāng)由處理器運(yùn)行可操作以執(zhí)行各種操作的代碼?;谏矸莸陌踩畔木W(wǎng)絡(luò)外的基于云的安全即服務(wù)接收到該網(wǎng)絡(luò)內(nèi)。從識(shí)別的來(lái)源接收對(duì)緩存在網(wǎng)絡(luò)內(nèi)的內(nèi)容的請(qǐng)求�����?��;谏矸莸陌踩畔⒈挥脕?lái)核實(shí)該識(shí)別的來(lái)源被允許訪(fǎng)問(wèn)緩存在該網(wǎng)絡(luò)內(nèi)的內(nèi)容。將該內(nèi)容提供給該識(shí)別的來(lái)源�。
[0019]還有在另一個(gè)方面,客戶(hù)端設(shè)備連接到企業(yè)網(wǎng)絡(luò)�。該客戶(hù)端設(shè)備被配置來(lái)請(qǐng)求內(nèi)容�。該網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備被配置來(lái)響應(yīng)于該請(qǐng)求����,基于從基于云的安全即服務(wù)接收到的基于身份的安全策略,約束對(duì)該網(wǎng)絡(luò)內(nèi)緩存的內(nèi)容的供應(yīng)����。
[0020]在其他方面,基于云的安全即服務(wù)接收來(lái)自企業(yè)網(wǎng)絡(luò)的對(duì)內(nèi)容的請(qǐng)求�����。從web服務(wù)器請(qǐng)求該內(nèi)容����。響應(yīng)于該請(qǐng)求,從web服務(wù)器接收該內(nèi)容��?����;谠频陌踩捶?wù)過(guò)濾從web服務(wù)器接收到的內(nèi)容����,并且調(diào)整該內(nèi)容的新鮮度設(shè)置�����。新鮮度設(shè)置與緩存相對(duì)應(yīng)����。作為對(duì)該請(qǐng)求的響應(yīng)�����,將具有調(diào)整的新鮮度設(shè)置的內(nèi)容傳送至企業(yè)網(wǎng)絡(luò)�����。
[0021]將網(wǎng)絡(luò)內(nèi)的web緩存和SecaaS結(jié)合以在能將內(nèi)容高性能地提供給最終用戶(hù)的同時(shí)還提供安全�。一套機(jī)制確保這兩種方案按照要求工作。為提供一致的安全��,云連接器實(shí)現(xiàn)基于身份的安全策略�。緩存的內(nèi)容已經(jīng)由SecaaS過(guò)濾�����。甚至對(duì)從web緩存檢索到的內(nèi)容���,企業(yè)可以實(shí)施身份策略�。SecaaS通過(guò)提供可以是由云連接器使用的白名單或黑名單的優(yōu)化的URL列表來(lái)優(yōu)化web緩存方案。
[0022]圖1顯示了用于采用基于云的安全即服務(wù)的web緩存的示例網(wǎng)絡(luò)10��。網(wǎng)絡(luò)10或其一部分是用于采用安全即服務(wù)的web緩存的裝置�。對(duì)于非緩存的內(nèi)容,基于身份的策略由SecaaS來(lái)實(shí)現(xiàn)�,并且,對(duì)于緩存的內(nèi)容��,基于身份的策略在企業(yè)網(wǎng)絡(luò)12中實(shí)現(xiàn)�。旨在將相同的基于身份的安全策略用于內(nèi)容和/或位置兩種類(lèi)型。
[0023]網(wǎng)絡(luò)10包括連接到其他服務(wù)器和/或網(wǎng)絡(luò)(比如��,SecaaS網(wǎng)絡(luò)或服務(wù)器20和面向公共web服務(wù)器22)的企業(yè)網(wǎng)絡(luò)12����。企業(yè)網(wǎng)絡(luò)12、SecaaS服務(wù)器20和web服務(wù)器22包括各種網(wǎng)絡(luò)設(shè)備���,包括一個(gè)或多個(gè)客戶(hù)端設(shè)備14�、網(wǎng)關(guān)或云連接器16�、緩存服務(wù)器18、安全即服務(wù)服務(wù)器20以及面向公共web服務(wù)器22����。企業(yè)網(wǎng)絡(luò)12與更廣的網(wǎng)絡(luò)10相連接或是更廣的網(wǎng)絡(luò)10的一部分�����。采用安全即服務(wù)的web緩存在企業(yè)網(wǎng)絡(luò)12和/或SecaaS服務(wù)器20上進(jìn)行操作���。企業(yè)網(wǎng)絡(luò)12通過(guò)線(xiàn)路或無(wú)線(xiàn)地與諸如互聯(lián)網(wǎng)之類(lèi)的其他網(wǎng)絡(luò)相連接。SecaaS服務(wù)器20和面向公共web服務(wù)器22是一個(gè)或多個(gè)其他網(wǎng)絡(luò)的一部分或可通過(guò)一個(gè)或多個(gè)其他網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)�����。SecaaS服務(wù)器20由企業(yè)網(wǎng)絡(luò)12外部的一個(gè)或多個(gè)服務(wù)器來(lái)實(shí)現(xiàn)��。類(lèi)似地�,web服務(wù)器22由企業(yè)網(wǎng)絡(luò)12外部的一個(gè)或多個(gè)服務(wù)器來(lái)實(shí)現(xiàn)?���?梢允褂萌我猬F(xiàn)在所知的或之后開(kāi)發(fā)的SecaaS服務(wù)器20和/或web服務(wù)器22。
[0024]可以提供附加的�����、不同的或更少的部件�。例如,提供附加的客戶(hù)端設(shè)備14����。如另一個(gè)示例,可以提供附加的云連接器16和/或緩存服務(wù)器18�。可以使用任意數(shù)目的用于提供安全即服務(wù)���、緩存和/或web服務(wù)的服務(wù)器�。
[0025]企業(yè)網(wǎng)絡(luò)12顯示為框�����,但可以是連接到局域網(wǎng)���、廣域網(wǎng)�、內(nèi)聯(lián)網(wǎng)����、虛擬局域網(wǎng)、互聯(lián)網(wǎng)或網(wǎng)絡(luò)的組合的許多不同設(shè)備��。可以提供任意形式的網(wǎng)絡(luò)��,例如����,傳輸網(wǎng)絡(luò)、數(shù)據(jù)中心或其他有線(xiàn)的或無(wú)線(xiàn)的網(wǎng)絡(luò)����。網(wǎng)絡(luò)12可以跨平臺(tái)適用、可擴(kuò)展和/或通過(guò)連接性的鏈路協(xié)商(link-negotiat1n)適應(yīng)于專(zhuān)用平臺(tái)和/或技術(shù)要求��。
[0026]企業(yè)網(wǎng)絡(luò)12的網(wǎng)絡(luò)設(shè)備14�、16、18處于相同的房間��、建筑物��、設(shè)施或校園���。在其他的實(shí)施例中����,企業(yè)網(wǎng)絡(luò)12由分布在整個(gè)地區(qū)(例如��,多個(gè)州和/或國(guó)家)的設(shè)備形成。企業(yè)網(wǎng)絡(luò)12是由或?yàn)榻o定實(shí)體所有���、操作和/或運(yùn)行的網(wǎng)絡(luò)(例如,針對(duì)企業(yè)操作的Cisco網(wǎng)絡(luò))�����。
[0027]網(wǎng)絡(luò)設(shè)備通過(guò)端口經(jīng)由鏈路連接����。可以使用任意數(shù)目的端口和鏈路���。這些端口和鏈路可以使用相同或不同的介質(zhì)來(lái)通信����?���?梢允褂脽o(wú)線(xiàn)網(wǎng)、有線(xiàn)網(wǎng)��、以太網(wǎng)���、數(shù)字用戶(hù)線(xiàn)路(DSL)����、電話(huà)線(xiàn)、Tl線(xiàn)�����、T3線(xiàn)��、衛(wèi)星��、光纖���、電纜和/或其他鏈路���。提供相應(yīng)的接口作為端口。
[0028]可以提供任意數(shù)目的客戶(hù)端設(shè)備14�����??蛻?hù)端設(shè)備14是計(jì)算機(jī)、平板電腦�����、蜂窩電話(huà)、支持wifi的設(shè)備����、膝上計(jì)算機(jī)、主機(jī)或通過(guò)企業(yè)網(wǎng)絡(luò)12訪(fǎng)問(wèn)內(nèi)容的其他用戶(hù)設(shè)備����?���?蛻?hù)端設(shè)備14通過(guò)諸如以太網(wǎng)電纜之類(lèi)的線(xiàn)路或使用諸如wifi之類(lèi)的無(wú)線(xiàn)地連接到企業(yè)網(wǎng)絡(luò)12。連接可以相對(duì)固定�����,例如���,對(duì)于通過(guò)線(xiàn)路連接至交換機(jī)的個(gè)人計(jì)算機(jī)����。連接可以是暫時(shí)的����,例如����,與按照需要或當(dāng)在范圍中時(shí)訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)12的移動(dòng)設(shè)備相關(guān)聯(lián)的連接���。
[0029]客戶(hù)端設(shè)備14被配置來(lái)請(qǐng)求web內(nèi)容���。例如,在客戶(hù)端設(shè)備14之一上操作的瀏覽器根據(jù)TCP/IP來(lái)請(qǐng)求web內(nèi)容��。如另一個(gè)例����,根據(jù)企業(yè)網(wǎng)絡(luò)12中用于通信的任意標(biāo)準(zhǔn),應(yīng)用請(qǐng)求更新或其他信息��。
[0030]所請(qǐng)求的內(nèi)容位于web服務(wù)器22上��。為更快的響應(yīng)���,所請(qǐng)求的內(nèi)容可以已經(jīng)被緩存在網(wǎng)絡(luò)內(nèi)����。一個(gè)或多個(gè)緩存服務(wù)器18將先前所請(qǐng)求和所獲得的內(nèi)容存儲(chǔ)在企業(yè)網(wǎng)絡(luò)12內(nèi)。緩存服務(wù)器18可以預(yù)獲取并存儲(chǔ)預(yù)期將被請(qǐng)求的內(nèi)容���。
[0031]緩存服務(wù)器18是諸如服務(wù)器卡和/或數(shù)據(jù)庫(kù)之類(lèi)的服務(wù)器��?�?梢允褂闷渌W(wǎng)絡(luò)設(shè)備��,例如���,路由器����、網(wǎng)關(guān)或網(wǎng)橋。緩存服務(wù)器18是處理設(shè)備����。由緩存服務(wù)器18來(lái)處理數(shù)據(jù),例如���,響應(yīng)于客戶(hù)端請(qǐng)求和/或基于編程來(lái)提供緩存的內(nèi)容���。當(dāng)所請(qǐng)求的內(nèi)容沒(méi)有被存儲(chǔ)和/或到期時(shí)�����,緩存服務(wù)器18可以被配置來(lái)獲得原始內(nèi)容��。
[0032]可以使用任意內(nèi)容緩存�����。在一個(gè)實(shí)施例中���,緩存操作依賴(lài)于隨內(nèi)容提供的頭部信息���。頭部可以指示適合于該內(nèi)容的壽命��、新鮮度或期限�����。例如,相對(duì)靜態(tài)的內(nèi)容可以指示可允許緩存數(shù)小時(shí)或數(shù)天���。只要該內(nèi)容在可緩存的周期內(nèi)通過(guò)請(qǐng)求被獲得����,該緩存的內(nèi)容就可以被使用�。如果該內(nèi)容到期,那么該內(nèi)容不從緩存中供應(yīng)���。
[0033]云連接器16是企業(yè)網(wǎng)絡(luò)12的網(wǎng)關(guān)設(shè)備��。云連接器16是網(wǎng)絡(luò)接口卡�、邊界路由器�����、其他路由器�、防火墻或其他網(wǎng)絡(luò)設(shè)備。作為網(wǎng)關(guān)設(shè)備���,云連接器16將企業(yè)網(wǎng)絡(luò)12與諸如互聯(lián)網(wǎng)中的SecaaS服務(wù)器20之類(lèi)的其他網(wǎng)絡(luò)相接合。云連接器16是用于與緩存服務(wù)器18�、客戶(hù)端設(shè)備14和/或基于云的SecaaS20進(jìn)行通信的處理設(shè)備。還可以提供與其他網(wǎng)絡(luò)設(shè)備的通信��。
[0034]云連接器16由軟件和/或硬件配置來(lái)對(duì)緩存的內(nèi)容實(shí)現(xiàn)基于身份的策略��。響應(yīng)于客戶(hù)端請(qǐng)求而對(duì)網(wǎng)絡(luò)內(nèi)緩存內(nèi)容的進(jìn)行供應(yīng)被約束����。該約束基于SecaaS20的基于身份的安全策略���。一致的身份策略由云連接器16和SecaaS服務(wù)器20來(lái)實(shí)施。在可替代的實(shí)施例中�,不同的基于身份的策略可以用于緩存的內(nèi)容與非緩存的內(nèi)容。
[0035]即使對(duì)于緩存的內(nèi)容�,其他安全過(guò)濾由SecaaS服務(wù)器20提供。任何緩存的內(nèi)容都是從SecaaS服務(wù)器20接收的�����,因此��,在緩存之前已經(jīng)被安全過(guò)濾����。由于緩存內(nèi)容的請(qǐng)求者的身份可以與原始請(qǐng)求者的身份不同,因此�����,針對(duì)每個(gè)請(qǐng)求實(shí)現(xiàn)基于身份的安全�。
[0036]網(wǎng)絡(luò)10的各個(gè)部件由硬件和/或軟件配置以提供緩存、SecaaS、供應(yīng)內(nèi)容或其他操作����。邏輯被編碼在一個(gè)或多個(gè)非暫態(tài)的計(jì)算機(jī)可讀介質(zhì)中,以操作云連接器16����、緩存服務(wù)器18和/或SecaaS服務(wù)器20。該介質(zhì)是存儲(chǔ)器��?�?梢允褂闷髽I(yè)網(wǎng)絡(luò)12內(nèi)部或外部的存儲(chǔ)器���。該邏輯包括用于由諸如云連接器16的處理器之類(lèi)的一個(gè)或多個(gè)處理器運(yùn)行的代碼�。當(dāng)由處理器運(yùn)行時(shí)��,該代碼用來(lái)執(zhí)行用于緩存���、供應(yīng)緩存的內(nèi)容和基于身份的安全的操作�����。該邏輯代碼配置設(shè)備以執(zhí)行操作。
[0037]圖2和圖3顯示了從云連接器16的角度的、用于采用基于云的安全即服務(wù)(SecaaS)的web緩存的方法的實(shí)施例��。圖2針對(duì)用于獲得基于身份的安全策略的初始化�、更新或周期性操作。該操作在不考慮任何客戶(hù)端請(qǐng)求的情況下出現(xiàn)�����,并且/或者該操作被作為對(duì)內(nèi)容的請(qǐng)求的響應(yīng)的過(guò)程的一部分來(lái)觸發(fā)���。
[0038]圖3針對(duì)響應(yīng)于來(lái)自網(wǎng)絡(luò)內(nèi)的客戶(hù)端對(duì)內(nèi)容的請(qǐng)求���。采用基于云的安全即服務(wù)的web緩存的組合被實(shí)現(xiàn)為程序,例如�����,由WebSocket創(chuàng)建的程序�����?���?梢詣?chuàng)建協(xié)議來(lái)定義操作����,或者程序不需要專(zhuān)用協(xié)議定義進(jìn)行操作����。
[0039]圖5針對(duì)SecaaS的操作。SecaaS與企業(yè)網(wǎng)絡(luò)進(jìn)行交互來(lái)為內(nèi)容提供安全和/或提供基于身份的策略以由企業(yè)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)���。
[0040]圖2��、圖3和圖5的方法由圖1的網(wǎng)絡(luò)�����、由云連接器(圖3)���、由SecaaS服務(wù)器(圖5)、由其他企業(yè)網(wǎng)絡(luò)設(shè)備��、或由其他網(wǎng)絡(luò)或軟件來(lái)實(shí)現(xiàn)���。各種設(shè)備和相應(yīng)應(yīng)用的任意一種可以實(shí)現(xiàn)這些方法的全部或者一部分���。可以提供附加的���、不同的或更少的動(dòng)作�。例如�����,這些方法針對(duì)為給定的請(qǐng)求服務(wù)���。對(duì)于其他請(qǐng)求���,重復(fù)這些動(dòng)作的一些或者全部。以所示順序或不同的順序執(zhí)行這些動(dòng)作����。
[0041]參照?qǐng)D2,在動(dòng)作30中��,將網(wǎng)絡(luò)中的web緩存通知給基于云的安全即服務(wù)��。該網(wǎng)絡(luò)將在緩存的內(nèi)容上執(zhí)行基于身份的安全�。為了提供一致的基于身份的策略,安全即服務(wù)被通知來(lái)同步策略����。云連接器16或其他企業(yè)網(wǎng)絡(luò)設(shè)備請(qǐng)求基于身份的安全策略或其他信息����?��?商娲?��,實(shí)現(xiàn)不同的策略,并且不執(zhí)行圖2的動(dòng)作���。在另一個(gè)選項(xiàng)中�,在動(dòng)作32中通過(guò)推送來(lái)提供策略�����,因此�����,不需要來(lái)自網(wǎng)絡(luò)的通知或請(qǐng)求�。而在另一個(gè)選項(xiàng)中,通過(guò)人工或半自動(dòng)的配置���,管理員確保在兩個(gè)位置實(shí)現(xiàn)相同的策略���。
[0042]通知作為建立緩存時(shí)的初始動(dòng)作出現(xiàn)���?�?商娲鼗蚋郊拥?���,通知周期地出現(xiàn),例如更新策略信息���。在其他實(shí)施例中�����,通知可以響應(yīng)于觸發(fā)而出現(xiàn)��。
[0043]在動(dòng)作32中���,從SecaaS接收基于身份的安全策略。響應(yīng)于請(qǐng)求�����,從SecaaS提供與身份相關(guān)聯(lián)的安全策略。SecaaS是企業(yè)網(wǎng)絡(luò)外����、用于安全策略的集中的資源,因此�,提供策略以由云連接器16使用。在其他實(shí)施例中���,從其他資源提供策略����,例如��,從網(wǎng)絡(luò)內(nèi)廣播或分發(fā)的資源����。策略可以起源于企業(yè)網(wǎng)絡(luò)內(nèi)部或外部。
[0044]策略與安全有關(guān)�����,例如,限制訪(fǎng)問(wèn)���。限制可以出于威脅或攻擊原因��,或者可以出于其他原因���。例如,對(duì)企業(yè)網(wǎng)絡(luò)的雇員限制內(nèi)容�����,例如����,不允許賭博相關(guān)內(nèi)容�。客人可以被允許賭博內(nèi)容����。如另一示例,與可能的網(wǎng)絡(luò)威脅相關(guān)聯(lián)的內(nèi)容被限制到只有具有處理這樣威脅的技能(training)的雇員�。策略可以是以規(guī)則陳述、一個(gè)或多個(gè)列表�����、至資源的鏈路或該策略的其他指示的形式。
[0045]在一個(gè)實(shí)施例中���,將基于身份的安全策略作為一個(gè)或多個(gè)列表來(lái)提供�����,例如�����,一個(gè)或多個(gè)白名單和一個(gè)或多個(gè)黑名單����。白名單指示被允許訪(fǎng)問(wèn)各類(lèi)內(nèi)容的用戶(hù)群組�。黑名單指示不被允許訪(fǎng)問(wèn)各類(lèi)內(nèi)容的用戶(hù)群組。其他因素可以用于包含在或不包含在給定的列表中���,例如�����,基于URL而不是內(nèi)容類(lèi)型的列表��?����?梢詾椴煌?lèi)型的內(nèi)容和/或具體的內(nèi)容提供分開(kāi)的列表�����?���?商娲兀斜戆ㄍㄟ^(guò)不同類(lèi)型的內(nèi)容進(jìn)行不同分組的指示��?��?梢允褂每紤]允許或不允許通過(guò)身份訪(fǎng)問(wèn)內(nèi)容的任意格式和因素。提供針對(duì)不同身份的安全策略���。
[0046]可以使用任意身份分類(lèi)���。在一個(gè)實(shí)施例中,身份是用戶(hù)�����。在上述示例中,用戶(hù)可以是客人或雇員��?��?梢蕴峁┢渌纸M���,例如,承包人或不是承包人�����?���?梢允褂闷渌麡?biāo)識(shí)。例如����,用戶(hù)的位置為標(biāo)識(shí),例如��,位于公共空間的用戶(hù)與位于私有或約束空間的用戶(hù)����。另一標(biāo)識(shí)可以是客戶(hù)端設(shè)備的類(lèi)型����。例如��,內(nèi)容約束對(duì)于私有客戶(hù)端設(shè)備與公共客戶(hù)端設(shè)備可以是不同的���。如另一個(gè)示例�,內(nèi)容約束對(duì)于蜂窩電話(huà)或移動(dòng)電話(huà)可以不同于個(gè)人計(jì)算機(jī)或固定設(shè)備����。可以提供這些不同類(lèi)型的基于身份的群組的組合�����。
[0047]可以從SecaaS提供其他信息�����。例如����,SecaaS提供將被緩存的內(nèi)容。因此�����,SecaaS可以記載或記錄緩存的信息的列表和該緩存的內(nèi)容的相關(guān)聯(lián)的壽命���。在其他實(shí)施例中�����,云連接器和/或緩存服務(wù)器記載或記錄緩存的內(nèi)容的列表�。該列表可以由統(tǒng)一資源定位符(URL)標(biāo)識(shí)����,但可以使用其他標(biāo)識(shí)。在可替代的實(shí)施例中��,SecaaS提供內(nèi)容類(lèi)型的指示(例如�,可緩存的目標(biāo)URL)和由該類(lèi)型使用的相應(yīng)的壽命。
[0048]參照?qǐng)D3����,顯示了云連接器16的操作。其他企業(yè)網(wǎng)絡(luò)設(shè)備可以執(zhí)行這些動(dòng)作中的一個(gè)或多個(gè)動(dòng)作����,例如�,緩存服務(wù)器18執(zhí)行這些動(dòng)作的子集或全部�。在此將參照?qǐng)D4的示例對(duì)圖3的動(dòng)作進(jìn)行描述。圖4顯示了包括客戶(hù)端�、云連接器、緩存服務(wù)器���、SecaaS和內(nèi)容提供商的通信和相應(yīng)動(dòng)作的示例通信示意圖���。也可能是其他示例。
[0049]諸如客人“bob”之類(lèi)的客戶(hù)端生成對(duì)內(nèi)容的請(qǐng)求�。在該示例中,該內(nèi)容與賭博相關(guān)聯(lián)或涉及賭博��。將該請(qǐng)求提供給云連接器�。該請(qǐng)求被提交(address)至內(nèi)容提供商以供應(yīng)所請(qǐng)求的內(nèi)容。
[0050]在動(dòng)作40中�����,云連接器攔截來(lái)自用戶(hù)的請(qǐng)求�����。該請(qǐng)求可能不可被提交到云連接器�����,但是云連接器沿著針對(duì)該請(qǐng)求的傳送或路由的路徑��,從而對(duì)該請(qǐng)求進(jìn)行檢查����。在其他實(shí)施例中,該請(qǐng)求被定向到云連接器���,因此��,云連接器通過(guò)接收進(jìn)行攔截�。由于該請(qǐng)求是針對(duì)不由云連接器供應(yīng)的內(nèi)容的����,因此,該請(qǐng)求被攔截�。
[0051]云連接器作為透明代理(transparent proxy)進(jìn)行操作。任何對(duì)于內(nèi)容的請(qǐng)求通過(guò)云連接器進(jìn)行路由����,因此�����,所有的請(qǐng)求都可被攔截��。在提供多個(gè)云連接器的情況下����,每個(gè)給定的云連接器攔截通過(guò)給定云連接器進(jìn)行路由或在給定云連接器處被接收的所有對(duì)于內(nèi)容的請(qǐng)求�。針對(duì)任何給定請(qǐng)求,透明代理允許客戶(hù)端設(shè)備�����、緩存服務(wù)器以及SecaaS進(jìn)行操作就像云連接器不是web緩存和SecaaS操作的一部分��。適合于請(qǐng)求和對(duì)內(nèi)容的請(qǐng)求的響應(yīng)的尋址和路由對(duì)于緩存和/或SecaaS是相同的�����。
[0052]請(qǐng)求是針對(duì)被緩存的內(nèi)容或沒(méi)被緩存的內(nèi)容�����。一些請(qǐng)求可以針對(duì)緩存的內(nèi)容。其他請(qǐng)求可以針對(duì)未緩存的內(nèi)容��?���?蛻?hù)端可能不知道該內(nèi)容是否被緩存��。緩存操作根據(jù)任意緩存方法發(fā)生�����。對(duì)于緩存的內(nèi)容���,云連接器將對(duì)內(nèi)容的請(qǐng)求從網(wǎng)絡(luò)外的web服務(wù)器重新路由到該網(wǎng)絡(luò)內(nèi)的緩存服務(wù)器����,對(duì)于未緩存的任意內(nèi)容�,云連接器將請(qǐng)求轉(zhuǎn)發(fā)到web服務(wù)器?���?商娲兀七B接器將所有請(qǐng)求定向到緩存服務(wù)器���。緩存服務(wù)器提供緩存的內(nèi)容或者將請(qǐng)求轉(zhuǎn)發(fā)回云連接器以從web服務(wù)器獲得內(nèi)容����。
[0053]在動(dòng)作42中,確定請(qǐng)求的來(lái)源的身份�。解析請(qǐng)求。請(qǐng)求的頭部包括標(biāo)識(shí)信息����,例如,客戶(hù)端設(shè)備的類(lèi)型���,設(shè)備的位置�,與該設(shè)備相關(guān)聯(lián)的用戶(hù)���,登錄信息���,傳輸連接,或者客戶(hù)端�、客戶(hù)端設(shè)備或用戶(hù)的其他標(biāo)識(shí)特點(diǎn)。連接器可以使用多種機(jī)制中的任意一種機(jī)制來(lái)得知用戶(hù)身份��?��?梢詮闹T如活動(dòng)目錄(Active Directory)/AAA服務(wù)器之類(lèi)的會(huì)話(huà)目錄或者通過(guò)諸如web認(rèn)證�、NTLM或Kerberos之類(lèi)的認(rèn)證機(jī)制來(lái)得知身份。
[0054]針對(duì)請(qǐng)求確定該請(qǐng)求的來(lái)源(S卩����,客戶(hù)端)。來(lái)自請(qǐng)求自身的信息被用作標(biāo)識(shí)�。在其他實(shí)施例中���,來(lái)自請(qǐng)求的信息被用來(lái)確定進(jìn)一步的身份信息�����。例如��,客戶(hù)端設(shè)備地址的指示被用來(lái)查找登錄到該設(shè)備的當(dāng)前用戶(hù)或者當(dāng)前的連接類(lèi)型或該設(shè)備的位置�。該查找可以通過(guò)對(duì)另一個(gè)設(shè)備的請(qǐng)求�����、對(duì)客戶(hù)端設(shè)備的請(qǐng)求和/或由云連接器進(jìn)行的本地查找進(jìn)行����。可以使用用于SecaaS或其他策略實(shí)現(xiàn)方式的任意身份確定或處理。
[0055]從所標(biāo)識(shí)的來(lái)源接收對(duì)緩存的內(nèi)容或非緩存的內(nèi)容的請(qǐng)求�����。該標(biāo)識(shí)由云連接器針對(duì)緩存的內(nèi)容并且由SecaaS針對(duì)非緩存的內(nèi)容用于基于身份的安全策略��。
[0056]在動(dòng)作44中�,云連接器確定所請(qǐng)求的內(nèi)容是否被緩存在網(wǎng)絡(luò)內(nèi)。例如并如圖4中所示�����,云連接器將請(qǐng)求轉(zhuǎn)發(fā)至緩存服務(wù)器��。緩存實(shí)現(xiàn)方式可以首先從緩存中尋找內(nèi)容����。如果緩存服務(wù)器響應(yīng)該內(nèi)容沒(méi)有被緩存,那么云連接器確定沒(méi)有緩存���。如果緩存服務(wù)器以緩存的內(nèi)容做出響應(yīng)�����,那么云連接器確定緩存�。緩存服務(wù)器維護(hù)針對(duì)緩存的內(nèi)容的統(tǒng)一資源定位符的列表?���?商娲兀七B接器維護(hù)該列表�,并且在不需要轉(zhuǎn)發(fā)給緩存服務(wù)器的情況下進(jìn)行確定。
[0057]在其他實(shí)施例中��,在動(dòng)作52中請(qǐng)求所尋找的內(nèi)容是否違反基于身份的策略的判定�,在不需要對(duì)該內(nèi)容是否被緩存進(jìn)行確定或在此之前被執(zhí)行。云連接器可以執(zhí)行基于身份的策略驗(yàn)證�,而不考慮該內(nèi)容是否被緩存����,避免SecaaS不得不執(zhí)行基于身份的核實(shí)。
[0058]動(dòng)作46����、48和50與當(dāng)內(nèi)容沒(méi)被緩存在網(wǎng)絡(luò)中時(shí)所采取的行動(dòng)相對(duì)應(yīng)。當(dāng)最終用戶(hù)或客戶(hù)端從緩存服務(wù)器請(qǐng)求內(nèi)容時(shí)��,云連接器已經(jīng)意識(shí)到該內(nèi)容在使用列表(例如�����,針對(duì)可從該站點(diǎn)(標(biāo)稱(chēng)為WCache)訪(fǎng)問(wèn)的內(nèi)容的可緩存的目標(biāo)URI和目標(biāo)壽命)的緩存中不可得,并且將該請(qǐng)求轉(zhuǎn)發(fā)至緩存服務(wù)器���。在緩存的一種實(shí)現(xiàn)方式中��,緩存服務(wù)器被配置來(lái)從內(nèi)容提供商請(qǐng)求未緩存的內(nèi)容���。
[0059]在動(dòng)作46中,云連接器將對(duì)內(nèi)容提供商的請(qǐng)求重定向至基于云的安全即服務(wù)����。由于新的內(nèi)容正被尋找,因此��,該內(nèi)容將通過(guò)安全即服務(wù)進(jìn)行路由�����,并且由安全即服務(wù)進(jìn)行處理����。改變尋址,以使得網(wǎng)絡(luò)外的安全即服務(wù)接收該請(qǐng)求�。該過(guò)程針對(duì)與未緩存的內(nèi)容相關(guān)聯(lián)的任意請(qǐng)求來(lái)執(zhí)行。云連接器將針對(duì)原始內(nèi)容提供商的流量重定向至SecaaS�。SecaaS實(shí)施web過(guò)濾策略�,因此,該請(qǐng)求被路由至SecaaS,以使得響應(yīng)的內(nèi)容也經(jīng)過(guò)SecaaS進(jìn)行過(guò)濾��。
[0060]參照?qǐng)D4, SecaaS接收對(duì)內(nèi)容的請(qǐng)求���。SecaaS檢查請(qǐng)求或流量,并且獲取響應(yīng)�����。該檢查是針對(duì)URL�,以確保URL滿(mǎn)足安全策略��。這可以是基于身份�、基于內(nèi)容和/或其他策略。如果滿(mǎn)足�����,那么響應(yīng)于該請(qǐng)求�����,從內(nèi)容提供商接收內(nèi)容�。
[0061]SecaaS過(guò)濾任何所接收到的內(nèi)容��。可以使用任意策略�。例如,該內(nèi)容可以針對(duì)多種“粉色”或膚色進(jìn)行檢查�。如另一個(gè)示例,可以執(zhí)行字搜索來(lái)識(shí)別不被允許的具體的字或字串�。SecaaS使流量經(jīng)受深度分組檢查、行為分析�����、啟發(fā)式方法���、應(yīng)用識(shí)別或其他處理����?�?梢允褂萌我釹ecaaS處理�����。
[0062]在其他實(shí)施例中�����,內(nèi)容被提供給云連接器,而不需要特別對(duì)于響應(yīng)的內(nèi)容通過(guò)SecaaS進(jìn)行路由���。內(nèi)容和/或身份策略由SecaaS通過(guò)檢查請(qǐng)求和相應(yīng)的URL而不是響應(yīng)的內(nèi)容本身來(lái)實(shí)現(xiàn)���。
[0063]在動(dòng)作48中,從SecaaS服務(wù)器和/或web服務(wù)器來(lái)接收內(nèi)容���。響應(yīng)于對(duì)沒(méi)有被緩存的內(nèi)容的請(qǐng)求��,接收該內(nèi)容�。在企業(yè)網(wǎng)絡(luò)的操作期間��,響應(yīng)于相應(yīng)的請(qǐng)求�,可以接收許多這樣的響應(yīng)和相應(yīng)的內(nèi)容。
[0064]接收到的內(nèi)容是安全的�。由SecaaS實(shí)現(xiàn)的過(guò)濾和策略被滿(mǎn)足,因?yàn)镾ecaaS被包括在請(qǐng)求響應(yīng)回路內(nèi)�。如果滿(mǎn)足SecaaS策略����,則在由SecaaS服務(wù)器過(guò)濾之后接收內(nèi)容。SecaaS實(shí)施基于身份的web過(guò)濾策略�����。
[0065]將響應(yīng)從SecaaS通過(guò)云連接器發(fā)送至緩存服務(wù)器。實(shí)現(xiàn)緩存���,除了將非緩存的內(nèi)容提供給客戶(hù)端或作為將該內(nèi)容提供給客戶(hù)端的一部分���,將非緩存的內(nèi)容提供給緩存服務(wù)器。
[0066]對(duì)于緩存����,將一個(gè)或多個(gè)設(shè)置或參數(shù)包括在內(nèi)容中。內(nèi)容提供商指示該內(nèi)容是否可以被緩存以及持續(xù)多久��。例如�����,壽命或新鮮度設(shè)置被包括在該內(nèi)容內(nèi)���?�?梢允褂糜行院蜔o(wú)效性設(shè)置��?��?梢蕴峁┤我饩彺嬖O(shè)置����。
[0067]SecaaS可以更改緩存設(shè)置的一個(gè)或多個(gè)值�。例如,更改壽命�。由云連接器從SecaaS接收到的內(nèi)容已經(jīng)更改了緩存設(shè)置。在另一個(gè)實(shí)施例中��,從內(nèi)容提供商接收內(nèi)容�����,并且云連接器根據(jù)從SecaaS提供的策略更改緩存設(shè)置�。緩存頭部包括與由內(nèi)容提供商提供的不同的值。內(nèi)容的壽命通常由原始獲得該內(nèi)容的web服務(wù)器來(lái)指示���?���?梢愿膲勖?��。例如�����,SecaaS可以將壽命調(diào)整為不同�。壽命可以被增加或減少�����。由于SecaaS已經(jīng)被通知企業(yè)網(wǎng)絡(luò)正在使用web緩存���,因此SecaaS知道修改響應(yīng)來(lái)影響內(nèi)容的緩存�?���?商娲兀琒ecaaS進(jìn)行修改�����,而不考慮知道緩存是否被執(zhí)行��。
[0068]可以為任何目的而修改壽命��。例如,SecaaS適當(dāng)?shù)馗淖兊狡陬^部來(lái)影響將被緩存的時(shí)間內(nèi)容和/或改變緩存控制頭部�����,以使得內(nèi)容可以是可緩存的或不是可緩存的���。在對(duì)于SecaaS來(lái)說(shuō)內(nèi)容可以是未知的或者不完整的啟發(fā)式方法是可用的情況下�����,為了收集啟發(fā)式方法可以設(shè)置緩存控制來(lái)阻止任意緩存�。如另一個(gè)示例�,可以減少期限以使得緩存更早到期,在這種情況下�,該內(nèi)容可能遭受包括不想要的內(nèi)容的風(fēng)險(xiǎn)。如果所獲取的內(nèi)容不具有信譽(yù)得分并且經(jīng)受蜜罐(Honey-pot)方式的測(cè)試以監(jiān)控所獲取內(nèi)容的活動(dòng)(在OS級(jí)別和虛擬網(wǎng)絡(luò)兩者處以檢測(cè)任意惡意內(nèi)容)��,那么基于云的SecaaS改變HTTP響應(yīng)中的頭部以指示“不儲(chǔ)存”�����,以使得web緩存不緩存該內(nèi)容�����。
[0069]在動(dòng)作50中,內(nèi)容被提供以緩存在網(wǎng)絡(luò)中�����。該內(nèi)容被路由至緩存服務(wù)器����?��;诰彺骖^部���,緩存服務(wù)器進(jìn)行緩存或不進(jìn)行緩存。緩存有效的時(shí)間段是基于壽命設(shè)置的��。通過(guò)將內(nèi)容路由至緩存服務(wù)器�,緩存服務(wù)器可以進(jìn)行緩存?����;陧憫?yīng)中的HTTP頭部�����,緩存服務(wù)器緩存該內(nèi)容。
[0070]作為緩存操作的一部分���,緩存服務(wù)器還可以將內(nèi)容發(fā)送至客戶(hù)端��。在其他實(shí)施例中��,云連接器將內(nèi)容提供給緩存服務(wù)器和客戶(hù)端二者��。緩存服務(wù)器不轉(zhuǎn)發(fā)該內(nèi)容���。無(wú)論哪種方法,只要該內(nèi)容清除SecaaS��,客戶(hù)端就接收所請(qǐng)求的內(nèi)容���。
[0071]作為從企業(yè)網(wǎng)絡(luò)外部獲得內(nèi)容的處理的一部分����,緩存的內(nèi)容由SecaaS清除����。在緩存之前,所有緩存的內(nèi)容由SecaaS過(guò)濾�����。
[0072]可以緩存附加的內(nèi)容。例如���,緩存實(shí)現(xiàn)方式可以預(yù)測(cè)將被請(qǐng)求的下一個(gè)內(nèi)容�����。緩存服務(wù)器預(yù)獲取或預(yù)請(qǐng)求可能被客戶(hù)端請(qǐng)求的內(nèi)容。該預(yù)獲取作為對(duì)來(lái)自企業(yè)網(wǎng)絡(luò)外部?jī)?nèi)容的任意請(qǐng)求由云連接器重定向至SecaaS��。因此�����,緩存服務(wù)器僅僅存儲(chǔ)由SecaaS檢查的內(nèi)容����。
[0073]云連接器和/或緩存服務(wù)器存儲(chǔ)可緩存的目標(biāo)統(tǒng)一資源定位符的列表。該列表是關(guān)于已經(jīng)被緩存的內(nèi)容的URL的�����。該列表用來(lái)確定后續(xù)所請(qǐng)求的內(nèi)容是否可從緩存中得至IJ�����。緩存服務(wù)器為客戶(hù)端請(qǐng)求服務(wù),并且該緩存隨著時(shí)間而受歡迎��?����?梢詼p少對(duì)來(lái)自原始服務(wù)器的內(nèi)容的請(qǐng)求����,以釋放互聯(lián)網(wǎng)帶寬。
[0074]回到動(dòng)作44�����,內(nèi)容可能已經(jīng)被緩存��。緩存的內(nèi)容被對(duì)請(qǐng)求做出響應(yīng)����。在圖4的示例中,雇員請(qǐng)求賭博內(nèi)容����。如上述對(duì)圖2所討論的���,在某個(gè)較早點(diǎn)(如圖4中所示的在緩存之后且客人請(qǐng)求之前),將基于身份的策略從SecaaS提供給云連接器�。在該示例中,基于身份的策略為不允許雇員訪(fǎng)問(wèn)賭博內(nèi)容而允許客人訪(fǎng)問(wèn)��。這些適合于緩存的內(nèi)容的策略可以被提供有用于與內(nèi)容的類(lèi)型相關(guān)聯(lián)的緩存的原始內(nèi)容����,或者提供一套綜合的基于身份的策略。
[0075]如果所請(qǐng)求的內(nèi)容先前被緩存并且到期���,那么處理按照上面所討論的動(dòng)作46、48和50進(jìn)行�����。將請(qǐng)求提供給緩存服務(wù)器���,緩存服務(wù)器檢查期限�����。如果該內(nèi)容不是新鮮的�,那么緩存服務(wù)器通過(guò)云連接器從web服務(wù)器請(qǐng)求原始內(nèi)容。該請(qǐng)求通過(guò)SecaaS被重定向�。
[0076]如果所請(qǐng)求的內(nèi)容被緩存并且依然新鮮,那么該緩存的內(nèi)容對(duì)于給定的客戶(hù)端(例如�����,個(gè)人���、設(shè)備��、位置���、連接類(lèi)型或其他客戶(hù)端身份)來(lái)說(shuō)可能適用或者可能不適用。當(dāng)最終用戶(hù)請(qǐng)求內(nèi)容時(shí)���,云連接器已經(jīng)意識(shí)到該內(nèi)容可在使用列表(例如���,WCache)的緩存服務(wù)器中得到。為實(shí)施基于身份的安全策略�����,云連接器在客戶(hù)端和緩存服務(wù)器之間的路徑中作為SecaaS。云連接器根據(jù)基于身份的策略采用合適的行動(dòng)�。
[0077]在動(dòng)作52中,云連接器確定對(duì)內(nèi)容的請(qǐng)求是否滿(mǎn)足基于身份的安全策略���。其他設(shè)備可以進(jìn)行該確定��,比如緩存服務(wù)器����。
[0078]為確定滿(mǎn)足策略����,識(shí)別合適的策略。具有或不具有其他設(shè)置的內(nèi)容的類(lèi)型被用來(lái)選擇策略����。在圖4的示例中�,關(guān)于賭博的策略被選擇。針對(duì)不同的身份分組可以提供不同的策略�,因此可以選擇不止一種策略。其他標(biāo)準(zhǔn)可以被用于選擇一個(gè)或多個(gè)合適的策略�。
[0079]所選擇的一個(gè)或多個(gè)基于身份的策略被用來(lái)核實(shí)允許所識(shí)別的來(lái)源訪(fǎng)問(wèn)緩存的內(nèi)容。適合于所選擇的策略的身份信息被用來(lái)將安全策略應(yīng)用到該請(qǐng)求���。在圖4的示例中�,客戶(hù)端的身份是該客戶(hù)端是該網(wǎng)絡(luò)上的雇員。使用賭博策略�����,允許客人訪(fǎng)問(wèn)賭博內(nèi)容而不允許雇員訪(fǎng)問(wèn)賭博內(nèi)容���。將具有或不具有其他設(shè)置的客戶(hù)端的身份和內(nèi)容的類(lèi)型與白名單和/或黑名單或表格進(jìn)行比較以確定依從性�。這些列表用于具體情況����,合適的列表被獲得,并且身份用來(lái)確定滿(mǎn)足或不滿(mǎn)足�����。緩存的內(nèi)容先前由SecaaS進(jìn)行過(guò)濾�,因此,由云連接器實(shí)現(xiàn)基于身份的安全提供了綜合安全策略實(shí)現(xiàn)方式��。
[0080]在基于身份的策略是從SecaaS提供的或者與SecaaS相同的情況下����,基于身份的策略的滿(mǎn)足條件對(duì)于云連接器與對(duì)于SecaaS是相同的�。因此,安全實(shí)現(xiàn)方式在原始內(nèi)容和緩存的內(nèi)容之間是一致的���,盡管緩存的內(nèi)容不被重路到網(wǎng)絡(luò)外至SecaaS���。
[0081]在動(dòng)作54中,將內(nèi)容供應(yīng)給客戶(hù)端���,在該情況下�,請(qǐng)求滿(mǎn)足基于身份的安全策略�����。如果匹配“白名單SecaaS”策略規(guī)則�,那么云連接器將該請(qǐng)求發(fā)送至緩存服務(wù)器來(lái)為客戶(hù)端請(qǐng)求服務(wù)。緩存服務(wù)器以該內(nèi)容進(jìn)行回復(fù)�。將內(nèi)容提供給客戶(hù)端。所提供的內(nèi)容經(jīng)過(guò)或不經(jīng)過(guò)云連接器���。
[0082]在動(dòng)作56中�,該請(qǐng)求不滿(mǎn)足基于身份的安全策略�。在圖4的示例中�����,雇員請(qǐng)求緩存的賭博內(nèi)容。云連接器和/或緩存服務(wù)器確定不允許雇員或該身份群組訪(fǎng)問(wèn)賭博內(nèi)容�����。例如����,該請(qǐng)求可能在黑名單上。對(duì)賭博內(nèi)容的列表指示不允許雇員訪(fǎng)問(wèn)�����,因此����,云連接器拒絕該請(qǐng)求。將錯(cuò)誤或其他沒(méi)有內(nèi)容的響應(yīng)發(fā)送給客戶(hù)端�。
[0083]如果身份、內(nèi)容的類(lèi)型或其他值不落入可用列表或基于身份的策略?xún)?nèi)���,那么動(dòng)作52是不確定的���。緩存的內(nèi)容可用���,但是不能確定對(duì)內(nèi)容的請(qǐng)求是否應(yīng)該被準(zhǔn)許。云連接器通?����?梢哉?qǐng)求策略更新或請(qǐng)求具體針對(duì)該情況的策略����。該附加的信息可以包括處理該情況的策略規(guī)則(例如,新用戶(hù)群組許可)�。云連接器然后可以允許對(duì)緩存的內(nèi)容進(jìn)行檢索或在適當(dāng)?shù)那闆r下拒絕??商娲兀瑢⒄?qǐng)求路由至SecaaS以如獲得原始內(nèi)容一樣進(jìn)行處置����。
[0084]圖5顯示了一種對(duì)圖1的網(wǎng)絡(luò)或其他網(wǎng)絡(luò)由SecaaS表示行動(dòng)的方法。盡管下面描述為給定SecaaS服務(wù)器的行動(dòng)���,但是這些行動(dòng)可以由分布式服務(wù)器執(zhí)行����。類(lèi)似地�����,其他SecaaS服務(wù)器可以針對(duì)其他請(qǐng)求重復(fù)這些行動(dòng)����。
[0085]在動(dòng)作80中,接收對(duì)內(nèi)容的請(qǐng)求�,比如,上面針對(duì)動(dòng)作46所討論的請(qǐng)求。諸如服務(wù)器之類(lèi)的安全服務(wù)處理器從諸如企業(yè)網(wǎng)絡(luò)之類(lèi)的網(wǎng)絡(luò)接收對(duì)內(nèi)容的請(qǐng)求��。
[0086]在動(dòng)作82中����,從web服務(wù)器請(qǐng)求內(nèi)容。安全服務(wù)器更改頭部�,以使得web服務(wù)器將該內(nèi)容提供給安全服務(wù)器,而不是企業(yè)網(wǎng)絡(luò)或原始客戶(hù)端���。將請(qǐng)求發(fā)送至web服務(wù)器��。在動(dòng)作84中��,web服務(wù)器做出響應(yīng)�����,因此��,安全服務(wù)器從web服務(wù)器接收該內(nèi)容����。
[0087]在動(dòng)作86中,安全服務(wù)器過(guò)濾從web服務(wù)器接收到的內(nèi)容�����。過(guò)濾可以基于URL���、內(nèi)容分析�����、請(qǐng)求者的身份和/或其他信息���。該過(guò)濾實(shí)現(xiàn)了 SecaaS的策略或者實(shí)現(xiàn)了由或?qū)ζ髽I(yè)網(wǎng)絡(luò)進(jìn)行配置的策略。盡管顯示了在接收內(nèi)容之后進(jìn)行過(guò)濾����,但是一些過(guò)濾可以在從web服務(wù)器請(qǐng)求內(nèi)容之前發(fā)生。例如,基于URL的過(guò)濾和/或基于身份的過(guò)濾基于請(qǐng)求而不是所接收到的內(nèi)容而發(fā)生���。從請(qǐng)求或先前的發(fā)掘能夠得知內(nèi)容的性質(zhì)�。例如�����,URL可以被用來(lái)指示內(nèi)容的類(lèi)型�。使用內(nèi)容的類(lèi)型���,客戶(hù)端的身份被用來(lái)確定是否應(yīng)該提供該內(nèi)容的類(lèi)型����。
[0088]在可選的動(dòng)作88中����,安全服務(wù)器調(diào)整該內(nèi)容的新鮮度或其他緩存設(shè)置。web服務(wù)器向該內(nèi)容提供緩存設(shè)置�����。這些緩存設(shè)置可以根據(jù)安全策略進(jìn)行更改���。例如���,緩存的能力或沒(méi)有緩存的能力從允許緩存改變?yōu)椴辉试S緩存�����,比如�,正在為SecaaS收集啟發(fā)式方法的情況���。如另一示例��,縮短壽命來(lái)確保新鮮度���,而不管對(duì)該內(nèi)容的原始緩存設(shè)置。在另一示例中�,可能無(wú)法獲得充足的安全信息,因此�,將緩存改為更有限或不被允許的。
[0089]在動(dòng)作90中�����,在過(guò)濾之后���,將該內(nèi)容作為對(duì)來(lái)自客戶(hù)端的請(qǐng)求的響應(yīng)進(jìn)行傳送�����。該內(nèi)容可以與從web服務(wù)器接收到的內(nèi)容相同或從其進(jìn)行更改�。緩存頭部可以與從web服務(wù)器接收的頭部相同或從其進(jìn)行更改。將過(guò)濾的內(nèi)容傳送至企業(yè)網(wǎng)絡(luò)�。在其他示例中,該內(nèi)容不傳遞安全策略�,因此�����,錯(cuò)誤消息或其他消息而不是該內(nèi)容被傳送��。
[0090]在動(dòng)作92中�����,將一個(gè)或多個(gè)基于身份的安全策略傳送至企業(yè)網(wǎng)絡(luò)����,比如,傳送至云連接器���。傳送黑名單�����、白名單��、以規(guī)則����、代碼形式或其他形式的策略和/或其他策略信息?��?商娲?��,傳送用來(lái)配置基于身份的安全策略的一個(gè)或多個(gè)設(shè)置。
[0091]該傳送響應(yīng)于來(lái)自企業(yè)網(wǎng)絡(luò)的通知��。該通知指示正在執(zhí)行緩存��。在其他實(shí)施例中���,該傳送響應(yīng)于另一觸發(fā)而發(fā)生��,例如��,企業(yè)網(wǎng)絡(luò)指示策略不足以確定是否基于身份供應(yīng)緩存的信息�����??商娲鼗蚋郊拥兀搨魉褪侵芷谛缘?��。
[0092]圖6是諸如圖1的客戶(hù)端設(shè)備14��、云連接器16�����、緩存服務(wù)器18或SecaaS服務(wù)器20之類(lèi)的示例網(wǎng)絡(luò)設(shè)備的簡(jiǎn)化框圖。在圖6中�����,示例網(wǎng)絡(luò)裝置或設(shè)備70與可以被部署在網(wǎng)絡(luò)12或網(wǎng)絡(luò)10中的網(wǎng)絡(luò)元件或計(jì)算設(shè)備相對(duì)應(yīng)�����。網(wǎng)絡(luò)設(shè)備70包括軟件和/或硬件以執(zhí)行用于通過(guò)安全即服務(wù)進(jìn)行緩存的活動(dòng)或操作中的任意一個(gè)或多個(gè)���。
[0093]網(wǎng)絡(luò)設(shè)備70包括處理器72��、主存儲(chǔ)器73�����、次級(jí)存儲(chǔ)設(shè)備74���、無(wú)線(xiàn)網(wǎng)絡(luò)接口 75�、有線(xiàn)網(wǎng)絡(luò)接口 76�����、用戶(hù)接口 77和包括計(jì)算機(jī)可讀介質(zhì)79的可移除介質(zhì)驅(qū)動(dòng)78�。諸如系統(tǒng)總線(xiàn)和存儲(chǔ)器總線(xiàn)之類(lèi)的總線(xiàn)71可以提供處理器72與網(wǎng)絡(luò)設(shè)備70的其他部件、存儲(chǔ)器�����、驅(qū)動(dòng)和接口之間的電子通信�。
[0094]可以提供附加的、不同的或更少的部件�����。這些部件旨在用于說(shuō)明性的目的,并且不意味著隱含對(duì)網(wǎng)絡(luò)設(shè)備12���、14的架構(gòu)限制���。例如,網(wǎng)絡(luò)設(shè)備70可以包括另一個(gè)處理器和/或不包括次級(jí)存儲(chǔ)設(shè)備74或可移除介質(zhì)驅(qū)動(dòng)78����。每個(gè)網(wǎng)絡(luò)設(shè)備12、14可以包括比其他網(wǎng)絡(luò)設(shè)備14更多或更少的部件��。
[0095]處理器72(還可以稱(chēng)為中央處理單元(CPU))是能夠運(yùn)行機(jī)器可讀指令并按照由這些機(jī)器可讀指令所指示的來(lái)對(duì)數(shù)據(jù)執(zhí)行操作的通用或?qū)S锰幚砥?�。主存?chǔ)器73對(duì)處理器72訪(fǎng)問(wèn)機(jī)器指令來(lái)說(shuō)是可以直接進(jìn)行訪(fǎng)問(wèn)的����,并且主存儲(chǔ)器73可以是隨機(jī)存取存儲(chǔ)器(RAM)或任意類(lèi)型的動(dòng)態(tài)存儲(chǔ)設(shè)備(例如�,動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM))。次級(jí)存儲(chǔ)設(shè)備74可以是諸如硬盤(pán)之類(lèi)的能夠存儲(chǔ)包括可執(zhí)行軟件文件的電子數(shù)據(jù)的任意非易失性存儲(chǔ)器����。可以將外部存儲(chǔ)的電子數(shù)據(jù)通過(guò)一個(gè)或多個(gè)可移除介質(zhì)驅(qū)動(dòng)78提供給計(jì)算機(jī)70����,可移除介質(zhì)驅(qū)動(dòng)78可以被配置來(lái)接收任意類(lèi)型的外部介質(zhì)79���,例如,光盤(pán)(CD)�、數(shù)字視頻盤(pán)(DVD)、閃速驅(qū)動(dòng)����、外部硬驅(qū)或任意其他外部介質(zhì)。
[0096]可以提供無(wú)線(xiàn)網(wǎng)絡(luò)接口和有線(xiàn)網(wǎng)絡(luò)接口 75和76來(lái)使得網(wǎng)絡(luò)設(shè)備70和其他網(wǎng)絡(luò)設(shè)備12��、14間能夠通過(guò)一個(gè)或多個(gè)網(wǎng)絡(luò)進(jìn)行電子通信��。在一個(gè)示例中���,無(wú)線(xiàn)網(wǎng)絡(luò)接口 75包括具有合適的發(fā)射和接收部件(比如����,收發(fā)器)的無(wú)線(xiàn)網(wǎng)絡(luò)控制器(WNIC)�����,用于在網(wǎng)絡(luò)10內(nèi)進(jìn)行無(wú)線(xiàn)通信�。有線(xiàn)網(wǎng)絡(luò)接口 76可以使得網(wǎng)絡(luò)設(shè)備70能夠通過(guò)諸如以太網(wǎng)電纜之類(lèi)的線(xiàn)路物理地連接到網(wǎng)絡(luò)10�。無(wú)線(xiàn)網(wǎng)絡(luò)接口和有線(xiàn)網(wǎng)絡(luò)接口 75和76 二者都可以被配置來(lái)使用合適的通信協(xié)議(比如�����,互聯(lián)網(wǎng)協(xié)議組(TCP/IP))促進(jìn)通信�。
[0097]僅為說(shuō)明性的目的,網(wǎng)絡(luò)設(shè)備70顯示有無(wú)線(xiàn)網(wǎng)絡(luò)接口和有線(xiàn)網(wǎng)絡(luò)接口 75和76 二者���。盡管無(wú)線(xiàn)接口和硬連線(xiàn)接口中的一者或二者可以被提供在網(wǎng)絡(luò)設(shè)備70中����,或者可以從外部連接到網(wǎng)絡(luò)設(shè)備70�����,但是只需要一個(gè)連接選項(xiàng)來(lái)使得網(wǎng)絡(luò)設(shè)備70連接到網(wǎng)絡(luò)10���。網(wǎng)絡(luò)設(shè)備70可以包括使用任意類(lèi)型連接選項(xiàng)的任意數(shù)目的端口����。
[0098]可以將用戶(hù)接口 77不提供在機(jī)器中����、提供在一些機(jī)器中或提供在所有的機(jī)器中以允許用戶(hù)與網(wǎng)絡(luò)設(shè)備70進(jìn)行交互。用戶(hù)接口 77包括顯示設(shè)備(例如���,等離子顯示板(PDP)�����、液晶顯示器(LCD)或陰極射線(xiàn)管(CRT))�。此外�����,還可以包括諸如鍵盤(pán)�����、觸摸屏�、鼠標(biāo)、軌跡球��、麥克風(fēng)(例如���,用于聲音識(shí)別的輸入)���、按鈕和/或觸摸板之類(lèi)的任意合適的輸入設(shè)備����。
[0099]可以將體現(xiàn)本申請(qǐng)所描述的活動(dòng)或功能的指令存儲(chǔ)在一個(gè)或多個(gè)外部計(jì)算機(jī)可讀介質(zhì)79上��、在主存儲(chǔ)器73中���、在次級(jí)存儲(chǔ)設(shè)備74中或在網(wǎng)絡(luò)設(shè)備70的處理器72的緩存存儲(chǔ)器中��。網(wǎng)絡(luò)設(shè)備70的這些存儲(chǔ)器元件是非暫態(tài)計(jì)算機(jī)可讀介質(zhì)����。將用于實(shí)現(xiàn)本申請(qǐng)所討論的這些處理���、方法和/或技術(shù)的邏輯提供在非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)或存儲(chǔ)器上�,比如�����,緩存�、緩沖器、RAM���、可移除介質(zhì)��、硬驅(qū)或其他計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括各種類(lèi)型的易失性和非易失性存儲(chǔ)介質(zhì)�����。因此��,“計(jì)算機(jī)可讀介質(zhì)”意味著包括能夠存儲(chǔ)指令的任意介質(zhì)����,網(wǎng)絡(luò)設(shè)備70運(yùn)行這些指令以使得機(jī)器執(zhí)行本申請(qǐng)所公開(kāi)的活動(dòng)中的任意一個(gè)或多個(gè)活動(dòng)。
[0100]作為邏輯存儲(chǔ)在存儲(chǔ)器上的指令可以由處理器72來(lái)運(yùn)行�����。響應(yīng)于存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中或上的指令中的一組或多組指令��,執(zhí)行附圖中所示出的或本申請(qǐng)所描述的功能�����、動(dòng)作或任務(wù)�����。這些功能、動(dòng)作或任務(wù)獨(dú)立于特定類(lèi)型的指令集���、存儲(chǔ)介質(zhì)����、處理器或處理策略��,并且這些功能���、動(dòng)作或任務(wù)可以由單獨(dú)地或組合地進(jìn)行操作的軟件��、硬件��、集成電路�����、固件����、微代碼等來(lái)執(zhí)行���。同樣�,處理策略可以包括多處理、多任務(wù)���、并行處理等��。
[0101]可以將附加的硬件耦合于網(wǎng)絡(luò)設(shè)備70的處理器72。例如�,存儲(chǔ)器管理單元(MMU)、附加的對(duì)稱(chēng)多處理(SMP)元件����、物理存儲(chǔ)器、外部部件互聯(lián)(PCI)總線(xiàn)和相應(yīng)網(wǎng)橋或小型計(jì)算機(jī)系統(tǒng)接口(SCSI)/集成驅(qū)動(dòng)電子(IDE)元件�。網(wǎng)絡(luò)設(shè)備70可以包括促進(jìn)操作的任何附加的合適的硬件、軟件����、部件、模塊����、接口或?qū)ο蟆_@可以包括允許對(duì)數(shù)據(jù)的有效保護(hù)和通信的合適的算法和通信協(xié)議�。而且�����,任意合適的操作系統(tǒng)被配置在網(wǎng)絡(luò)設(shè)備70中��,以恰當(dāng)?shù)毓芾砥溆布考牟僮鳌?br>
[0102]存儲(chǔ)器73����、74�、79或另一個(gè)存儲(chǔ)器中的一個(gè)或多個(gè)存儲(chǔ)器存儲(chǔ)緩存的內(nèi)容、緩存設(shè)置或頭部���、黑名單�、白名單��、基于身份的策略���、錯(cuò)誤消息����、請(qǐng)求����、響應(yīng)和/或一個(gè)或多個(gè)來(lái)源身份�����。處理器72被配置來(lái)應(yīng)用基于身份的規(guī)則以供應(yīng)緩存的信息并重定向?qū)υ純?nèi)容的請(qǐng)求��。作為安全服務(wù)器��,處理器72可以作為安全即服務(wù)的一部分更改緩存頭部�����。
[0103]盡管本發(fā)明上面已經(jīng)通過(guò)參照各個(gè)實(shí)施例進(jìn)行了描述,但是應(yīng)當(dāng)理解的是���,可以在不背離本發(fā)明的范圍的情況下做出許多改變和修改��。因此�����,前面的詳細(xì)描述可以被看作是說(shuō)明性的而不是限制性的�����,并且應(yīng)當(dāng)理解所附權(quán)利要求包括所有等同物旨在限定本發(fā)明的精神和范圍��。
【權(quán)利要求】
1.一種方法����,包括: 在網(wǎng)絡(luò)的云連接器設(shè)備處攔截來(lái)自用戶(hù)的對(duì)內(nèi)容的請(qǐng)求; 當(dāng)所述內(nèi)容未被緩存在所述網(wǎng)絡(luò)中時(shí): 將所述請(qǐng)求重定向至基于云的安全即服務(wù)服務(wù)器���; 從所述基于云的安全即服務(wù)服務(wù)器接收所述內(nèi)容��; 將所述內(nèi)容路由至緩存服務(wù)器���;以及 在云連接器處從所述基于云的安全即服務(wù)服務(wù)器接收針對(duì)所述內(nèi)容的基于身份的安全策略; 當(dāng)所述內(nèi)容被緩存在所述網(wǎng)絡(luò)中時(shí): 確定所述請(qǐng)求是否滿(mǎn)足基于身份的安全策略����; 當(dāng)所述請(qǐng)求滿(mǎn)足所述基于身份的安全策略時(shí),將所述請(qǐng)求發(fā)送至緩存服務(wù)器;以及 當(dāng)所述請(qǐng)求不滿(mǎn)足所述基于身份的安全策略時(shí),拒絕所述請(qǐng)求�����。
2.如權(quán)利要求1所述的方法,其中���,攔截包括:攔截在所述云連接器設(shè)備處接收到的��、包括所述請(qǐng)求在內(nèi)的所有請(qǐng)求�,并且其中,包括被路由到所述緩存服務(wù)器的所述內(nèi)容在內(nèi)的所有緩存的內(nèi)容在進(jìn)行緩存之前由基于云的安全即服務(wù)服務(wù)器進(jìn)行過(guò)濾����。
3.如權(quán)利要求1所述的方法,其中���,在網(wǎng)絡(luò)的云連接器設(shè)備處進(jìn)行攔截包括:采用在企業(yè)網(wǎng)絡(luò)的邊界路由器處的透明代理進(jìn)行攔截�。
4.如權(quán)利要求1所述的方法�����,還包括:存儲(chǔ)可緩存的目標(biāo)統(tǒng)一資源定位符列表�����,并且確定所述內(nèi)容是否是從所述可緩存的目標(biāo)統(tǒng)一資源定位符緩存來(lái)的�����。
5.如權(quán)利要求1所述的方法�,其中���,重定向包括:重定向至所述網(wǎng)絡(luò)外部的安全即服務(wù)服務(wù)器���。
6.如權(quán)利要求1所述的方法���,其中,接收所述內(nèi)容包括:在由基于云的安全即服務(wù)服務(wù)器對(duì)所述內(nèi)容進(jìn)行過(guò)濾之后接收所述內(nèi)容�。
7.如權(quán)利要求1所述的方法,其中���,路由所述內(nèi)容包括:將所述內(nèi)容路由至緩存服務(wù)器以進(jìn)行緩存��,并且由所述緩存服務(wù)器以所述內(nèi)容對(duì)來(lái)自客戶(hù)端而不是所述緩存服務(wù)器的請(qǐng)求做出響應(yīng)�。
8.如權(quán)利要求1所述的方法�,還包括:通知安全即服務(wù)服務(wù)器在所述網(wǎng)絡(luò)中進(jìn)行web緩存,其中�����,接收所述內(nèi)容包括:接收與由內(nèi)容服務(wù)器所提供的內(nèi)容相比具有更改的緩存頭部的內(nèi)容��。
9.如權(quán)利要求8所述的方法���,其中�����,接收所述具有更改的緩存頭部的內(nèi)容包括:接收具有不緩存指示的內(nèi)容��。
10.如權(quán)利要求1所述的方法�����,其中��,確定所述請(qǐng)求是否滿(mǎn)足所述基于身份的安全策略包括:由用戶(hù)����、用戶(hù)群組、設(shè)備群組����、安全許可、來(lái)源的位置或他們的組合確定所述請(qǐng)求的來(lái)源的身份�����。
11.如權(quán)利要求1所述的方法����,還包括:從基于云的安全即服務(wù)服務(wù)器接收基于身份的安全策略,其中���,確定所述請(qǐng)求是否滿(mǎn)足所述基于身份的安全策略包括:采用與在所述安全即服務(wù)服務(wù)器處進(jìn)行確定所采用的相同策略在所述云連接器設(shè)備處針對(duì)所述緩存的內(nèi)容進(jìn)行確定���。
12.如權(quán)利要求1所述的方法,其中�����,確定所述請(qǐng)求是否滿(mǎn)足基于身份的安全策略包括:確定對(duì)于所述內(nèi)容的所述請(qǐng)求的來(lái)源的身份是否在白名單或黑名單中��。
13.如權(quán)利要求12所述的方法���,其中��,還包括:在所述身份不在所述白名單或所述黑名單中的情況下����,向所述安全即服務(wù)服務(wù)器請(qǐng)求策略�����。
14.一種編碼在一個(gè)或多個(gè)非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯,所述邏輯包括用于運(yùn)行的代碼并且當(dāng)所述代碼由處理器運(yùn)行時(shí)可操作以執(zhí)行以下操作�,所述操作包括: 在網(wǎng)絡(luò)內(nèi)從所述網(wǎng)絡(luò)外部的安全即服務(wù)服務(wù)器接收基于身份的安全信息; 從識(shí)別出的來(lái)源接收對(duì)緩存在所述網(wǎng)絡(luò)內(nèi)的內(nèi)容的請(qǐng)求����; 采用所述基于身份的安全信息核實(shí)所述識(shí)別出的來(lái)源被允許訪(fǎng)問(wèn)緩存在所述網(wǎng)絡(luò)內(nèi)的所述內(nèi)容;以及 將所述內(nèi)容提供給所述識(shí)別出的來(lái)源��。
15.如權(quán)利要求14所述的編碼在一個(gè)或多個(gè)非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯�����,其中�,接收基于身份的安全信息包括:接收用戶(hù)身份、用戶(hù)群組身份�����、位置身份�����、設(shè)備身份或它們的組合以及由所述安全即服務(wù)服務(wù)器實(shí)現(xiàn)的相應(yīng)的安全策略���,并且其中,核實(shí)包括:將所述安全策略應(yīng)用到對(duì)所緩存的內(nèi)容的請(qǐng)求。
16.如權(quán)利要求14所述的編碼在一個(gè)或多個(gè)非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯還包括:確定所述內(nèi)容被緩存在所述網(wǎng)絡(luò)內(nèi)����,所緩存的內(nèi)容包括由基于云的安全即服務(wù)過(guò)濾后的內(nèi)容,其中����,核實(shí)包括:對(duì)緩存在所述網(wǎng)絡(luò)中的所述過(guò)濾后的內(nèi)容實(shí)現(xiàn)基于身份的安全。
17.如權(quán)利要求14所述的編碼在一個(gè)或多個(gè)非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯還包括: 接收對(duì)未被緩存在所述網(wǎng)絡(luò)中的內(nèi)容的進(jìn)一步請(qǐng)求����; 將所述進(jìn)一步請(qǐng)求重定向至安全即服務(wù); 從所述安全即服務(wù)接收對(duì)所述進(jìn)一步請(qǐng)求的響應(yīng)����;以及 提供所述響應(yīng)以在所述網(wǎng)絡(luò)中進(jìn)行緩存。
18.如權(quán)利要求17所述的編碼在一個(gè)或多個(gè)非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯����,其中,所述響應(yīng)包括:響應(yīng)于所述進(jìn)一步請(qǐng)求的進(jìn)一步內(nèi)容��,所述進(jìn)一步內(nèi)容包括:具有由安全即服務(wù)服務(wù)器調(diào)整的緩存壽命的安全過(guò)濾后的內(nèi)容���。
19.一種裝置,包括: 連接至網(wǎng)絡(luò)的客戶(hù)端設(shè)備��,所述客戶(hù)端設(shè)備被配置來(lái)請(qǐng)求內(nèi)容��;以及所述網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備��,所述網(wǎng)關(guān)設(shè)備被配置來(lái)響應(yīng)于所述請(qǐng)求��,根據(jù)基于云的安全即服務(wù)的基于身份的安全策略�,約束對(duì)所述網(wǎng)絡(luò)內(nèi)緩存的內(nèi)容的供應(yīng)。
20.如權(quán)利要求19所述的裝置���,還包括存儲(chǔ)所述緩存的內(nèi)容的緩存服務(wù)器��,所述緩存的內(nèi)容的壽命由安全即服務(wù)設(shè)置為與所述內(nèi)容的來(lái)源的設(shè)置不同�����。
21.—種方法,包括: 在安全服務(wù)處理器處從企業(yè)網(wǎng)絡(luò)中的主機(jī)接收對(duì)內(nèi)容的請(qǐng)求����; 從web服務(wù)器請(qǐng)求所述內(nèi)容���; 響應(yīng)于所述請(qǐng)求���,從所述web服務(wù)器接收所述內(nèi)容����; 由所述安全服務(wù)處理器過(guò)濾從所述web服務(wù)器接收到的內(nèi)容����; 調(diào)整所述內(nèi)容的新鮮度設(shè)置����,所述新鮮度設(shè)置與緩存相對(duì)應(yīng);以及 將具有調(diào)整的新鮮度設(shè)置的所述內(nèi)容傳送至所述企業(yè)網(wǎng)絡(luò)作為對(duì)所述請(qǐng)求的響應(yīng)���。
22.如權(quán)利要求21所述的方法�����,還包括: 將基于身份的安全策略傳送至所述企業(yè)網(wǎng)絡(luò)中的云連接器���,以使用所述基于身份的安全策略從所述網(wǎng)絡(luò)內(nèi)的緩存提供所述內(nèi)容。
【文檔編號(hào)】H04L29/06GK104333567SQ201410347566
【公開(kāi)日】2015年2月4日 申請(qǐng)日期:2014年7月21日 優(yōu)先權(quán)日:2013年7月22日
【發(fā)明者】瑞迪·蒂魯瑪勒什沃爾, 帕蒂爾·普拉尚斯, 內(nèi)什·拉梅什, 溫·丹尼爾, 懷爾德·克里斯多夫 申請(qǐng)人:思科技術(shù)公司