專利名稱:用于分布式安全內(nèi)容管理系統(tǒng)的認證的制作方法
用于分布式安全內(nèi)容管理系統(tǒng)的認證背景通常,企業(yè)采用包括在各種安全產(chǎn)品和設(shè)備中的功能來保護公司信息技術(shù)資產(chǎn)。 這些功能可包括,例如,過濾進入和離開企業(yè)的網(wǎng)絡(luò)通信的諸如惡意軟件等惡意代碼、限制 對不適當(dāng)?shù)耐獠績?nèi)容的訪問、阻止對企業(yè)網(wǎng)絡(luò)的攻擊和其他入侵等。隨著移動、家庭和其他計算設(shè)備的廣泛的使用,員工將工作帶到公司網(wǎng)絡(luò)以外的 地方。為了獲得同等級的保護和實施企業(yè)網(wǎng)絡(luò)上提供的策略,某些企業(yè)要求這些員工登錄 或以其他方式訪問企業(yè)網(wǎng)絡(luò)并通過企業(yè)網(wǎng)絡(luò)來訪問企業(yè)網(wǎng)絡(luò)以外的資源。出于各種原因, 當(dāng)漫游用戶不靠近企業(yè)網(wǎng)絡(luò)時,這成為非最優(yōu)的。在此要求保護的主題不限于解決任何缺點或僅在諸如上述環(huán)境中操作的各個實 施例。相反,提供該背景僅用以示出在其中可實踐在此描述的部分實施例的一個示例性技 術(shù)領(lǐng)域。概述簡言之,此處所描述的主題的各方面涉及用于分布式安全內(nèi)容管理系統(tǒng)的認證。 在各方面,訪問可通過因特網(wǎng)獲得的資源的請求被路由到安全組件。安全組件是分布在因 特網(wǎng)各處的多個安全組件中的一個并負責(zé)認證與企業(yè)相關(guān)聯(lián)的實體。安全組件確定要對實 體使用的認證協(xié)議然后認證該實體。如果該實體被認證,則該實體被允許使用轉(zhuǎn)發(fā)代理。提供本概述是為了簡要地標(biāo)識在以下詳細描述中進一步描述的主題的一些方面。 本概述并不旨在標(biāo)識出所要求保護的主題的關(guān)鍵特征或必要特征,也不旨在用于限制所要 求保護的主題的范圍。除非上下文清楚地指出,否則短語“此處所描述的主題”指的是詳細描述中所描述 的主題。術(shù)語“方面”被當(dāng)作“至少一個方面”。標(biāo)識詳細描述中所描述的主題的各方面不 旨在標(biāo)識所要求保護的主題的關(guān)鍵特征或必要特征。上述各方面和此處所描述的主題的其它方面是借助于示例說明的,并且不受附圖 限制,附圖中相同的標(biāo)號指出相似的元素。附圖簡述
圖1是表示其中可結(jié)合此處所描述的主題的各方面的示例性通用計算環(huán)境的框 圖;圖2是概括地表示此處所描述的主題的各方面可以在其中實現(xiàn)的示例性環(huán)境的 框圖;圖3是表示根據(jù)此處所描述的主題的各方面的用安全組件配置的示例性裝置的 框圖;以及圖4-5是概括地表示根據(jù)此處所描述的主題的各方面的可結(jié)合認證發(fā)生的動作 的流程圖。詳細描述示例件操作環(huán)境圖1示出可在其上實現(xiàn)此處所描述的主題的各方面的合適的計算系統(tǒng)環(huán)境100的4示例。計算系統(tǒng)環(huán)境100僅為合適的計算環(huán)境的一個示例,并非旨在對此處所描述的主題 的各方面的使用范圍或功能提出任何限制。也不應(yīng)該將計算環(huán)境100解釋為對示例性操作 環(huán)境100中示出的任一組件或其組合有任何依賴性或要求。此處所描述的主題的各方面可與眾多其他通用或?qū)S糜嬎阆到y(tǒng)環(huán)境或配置一起 操作。適用于此處所描述的主題的各方面的公知的計算系統(tǒng)、環(huán)境和/或配置的示例包括, 但不限于,個人計算機、服務(wù)器計算機、手持式或膝上型設(shè)備、多處理器系統(tǒng)、基于微處理器 的系統(tǒng)、機頂盒、可編程消費電子產(chǎn)品、網(wǎng)絡(luò)PC、小型計算機、大型計算機、包括上述系統(tǒng)或 設(shè)備中的任一個的分布式計算環(huán)境等。此處所描述的主題的各方面可在由計算機執(zhí)行的諸如程序模塊等計算機可執(zhí)行 指令的一般上下文中描述。一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類 型的例程、程序、對象、組件、數(shù)據(jù)結(jié)構(gòu)等等。此處所描述的主題的各方面也可以在其中任務(wù) 由通過通信網(wǎng)絡(luò)鏈接的遠程處理設(shè)備執(zhí)行的分布式計算環(huán)境中實現(xiàn)。在分布式計算環(huán)境 中,程序模塊可以位于包括存儲器存儲設(shè)備在內(nèi)的本地和遠程計算機存儲介質(zhì)中。參考圖1,用于實現(xiàn)此處所描述的主題的各方面的示例性系統(tǒng)包括計算機110形 式的通用計算設(shè)備。計算機110的組件可以包括但不限于處理單元120、系統(tǒng)存儲器130 和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121。系統(tǒng)總線 121可以是幾種類型的總線結(jié)構(gòu)中的任何一種,包括存儲器總線或存儲控制器、外圍總線、 以及使用各種總線體系結(jié)構(gòu)中的任一種的局部總線。作為示例,而非限制,這樣的體系結(jié)構(gòu) 包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線、微通道體系結(jié)構(gòu)(MCA)總線、增強型ISA(EISA)總線、 視頻電子技術(shù)標(biāo)準(zhǔn)協(xié)會(VESA)局部總線、也稱為夾層(Mezzanine)總線的外圍部件互連 (PCI)總線、擴展外圍部件互連(PCI-X)總線、高級圖形端口(AGP)、以及快速PCI (PCIe)。計算機110通常包括各種計算機可讀介質(zhì)。計算機可讀介質(zhì)可以是能由計算機 110訪問的任何可用介質(zhì),并包含易失性和非易失性介質(zhì)以及可移動、不可移動介質(zhì)。作為 示例而非限制,計算機可讀介質(zhì)可以包括計算機存儲介質(zhì)和通信介質(zhì)。計算機存儲介質(zhì)包括以用于存儲諸如計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其 它數(shù)據(jù)等信息的任何方法或技術(shù)實現(xiàn)的易失性和非易失性、可移動和不可移動介質(zhì)。計算 機存儲介質(zhì)包括但不限于,RAM、ROM、EEPR0M、閃存或其它存儲器技術(shù)、CD-ROM、數(shù)字多功能 盤(DVD)或其它光盤存儲、磁盒、磁帶、磁盤存儲或其它磁存儲設(shè)備、或可以用來儲存所期 望的信息并可由計算機110訪問的任一其它介質(zhì)。通信介質(zhì)通常以諸如載波或其他傳輸機制等已調(diào)制數(shù)據(jù)信號來體現(xiàn)計算機可讀 指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù),并包括任何信息傳送介質(zhì)。術(shù)語“已調(diào)制數(shù)據(jù)信號” 指的是其一個或多個特征以在信號中編碼信息的方式被設(shè)定或更改的信號。作為示例而非 限制,通信介質(zhì)包括有線介質(zhì),如有線網(wǎng)絡(luò)或直接線連接,以及諸如聲學(xué)、RF、紅外線及其他 無線介質(zhì)之類的無線介質(zhì)。上述的任意組合也應(yīng)包含在計算機可讀介質(zhì)的范圍內(nèi)。系統(tǒng)存儲器130包括易失性和/或非易失性存儲器形式的計算機存儲介質(zhì),如只 讀存儲器(ROM) 131和隨機存取存儲器(RAM) 132?;据斎?輸出系統(tǒng)133 ¢10 包括如 在啟動時幫助在計算機110內(nèi)的元件之間傳輸信息的基本例程,它通常儲存在ROM 131中。 RAM 132通常包含處理單元120可以立即訪問和/或目前正在操作的數(shù)據(jù)和/或程序模塊。 作為示例而非限制,圖1示出了操作系統(tǒng)134、應(yīng)用程序135、其它程序模塊136和程序數(shù)據(jù)137。計算機110也可以包括其他可移動/不可移動、易失性/非易失性計算機存儲介 質(zhì)。僅作為示例,圖1示出了從不可移動、非易失性磁介質(zhì)中讀取或向其寫入的硬盤驅(qū)動器 141,從可移動、非易失性磁盤152中讀取或向其寫入的磁盤驅(qū)動器151,以及從諸如⑶ROM 或其它光學(xué)介質(zhì)等可移動、非易失性光盤156中讀取或向其寫入的光盤驅(qū)動器155??梢栽?該示例性操作環(huán)境中使用的其他可移動/不可移動、易失性/非易失性計算機存儲介質(zhì)包 括但不限于,磁帶盒、閃存卡、數(shù)字多功能盤、其他光盤、數(shù)字錄像帶、固態(tài)RAM、固態(tài)ROM等 等。硬盤驅(qū)動器141通常通過諸如接口 140等不可移動存儲器接口連接到系統(tǒng)總線121,而 磁盤驅(qū)動器151和光盤驅(qū)動器155則通常由諸如接口 150等可移動存儲器接口連接至系統(tǒng) 總線121。以上描述并在圖1中示出的驅(qū)動器及其相關(guān)聯(lián)的計算機存儲介質(zhì)為計算機110提 供了對計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的存儲。例如,在圖1中,硬盤驅(qū)動 器141被示為存儲操作系統(tǒng)144、應(yīng)用程序145、其它程序模塊146和程序數(shù)據(jù)147。注意, 這些組件可以與操作系統(tǒng)134、應(yīng)用程序135、其他程序模塊136和程序數(shù)據(jù)137相同,也可 以與它們不同。操作系統(tǒng)144、應(yīng)用程序145、其他程序模塊146和程序數(shù)據(jù)147在這里被 標(biāo)注了不同的附圖標(biāo)記是為了說明至少它們是不同的副本。用戶可以通過輸入設(shè)備,如鍵 盤162和定點設(shè)備161(通常被稱為鼠標(biāo)、跟蹤球或觸摸板)向計算機20輸入命令和信息。 其它輸入設(shè)備(未示出)可包括話筒、操縱桿、游戲手柄、圓盤式衛(wèi)星天線、掃描儀、觸敏屏、 寫字板等。這些和其他輸入設(shè)備通常由耦合至系統(tǒng)總線的用戶輸入接口 160連接至處理單 元120,但也可以由其他接口和總線結(jié)構(gòu),諸如并行端口、游戲端口或通用串行總線(USB) 連接。監(jiān)視器191或其他類型的顯示設(shè)備也經(jīng)由接口,諸如視頻接口 190連接至系統(tǒng)總線 121。除監(jiān)視器以外,計算機還可以包括其他外圍輸出設(shè)備,諸如揚聲器197和打印機196, 它們可以通過輸出外圍接口 190連接。計算機110可使用至一個或多個遠程計算機,如遠程計算機180的邏輯連接在網(wǎng) 絡(luò)化環(huán)境中操作。遠程計算機180可以是個人計算機、服務(wù)器、路由器、網(wǎng)絡(luò)PC、對等設(shè)備 或其它常見網(wǎng)絡(luò)節(jié)點,且通常包括上文相對于計算機110描述的許多或所有元件,盡管在 圖1中只示出存儲器存儲設(shè)備181。圖1中所示的邏輯連接包括局域網(wǎng)(LAN) 171和廣域網(wǎng) (WAN) 173,但也可以包括其它網(wǎng)絡(luò)。這樣的聯(lián)網(wǎng)環(huán)境常見于辦公室、企業(yè)范圍計算機網(wǎng)絡(luò)、 內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中。當(dāng)在LAN聯(lián)網(wǎng)環(huán)境中使用時,計算機110通過網(wǎng)絡(luò)接口或適配器170連接至LAN 171。當(dāng)在WAN聯(lián)網(wǎng)環(huán)境中使用時,計算機110可包括調(diào)制解調(diào)器172或用于通過諸如因特 網(wǎng)等的WAN 173來建立通信的其它裝置??蔀閮?nèi)置或可為外置的調(diào)制解調(diào)器172可以經(jīng)由 用戶輸入接口 160或其他合適的機制連接至系統(tǒng)總線121。在網(wǎng)絡(luò)化環(huán)境中,關(guān)于計算機 110所描述的程序模塊或其部分可被儲存在遠程存儲器存儲設(shè)備中。作為示例而非限制, 圖1示出了遠程應(yīng)用程序185駐留在存儲器設(shè)備181上??梢岳斫?,所示的網(wǎng)絡(luò)連接是示 例性的,且可以使用在計算機之間建立通信鏈路的其他手段。ME如前所述,員工常常在公司網(wǎng)絡(luò)以外工作。然而,同時,企業(yè)希望能夠提供同等級 的保護、提供基于用戶活動的報告、并應(yīng)用與當(dāng)用戶使用企業(yè)網(wǎng)絡(luò)來訪問遠程網(wǎng)絡(luò)資源時所應(yīng)用的相同的策略。根據(jù)此處所描述的主題的各方面,提供了位于云中的一個或多個轉(zhuǎn)發(fā)代理。在邏 輯上,轉(zhuǎn)發(fā)代理位于客戶機和該客戶機試圖訪問的網(wǎng)絡(luò)資源之間。轉(zhuǎn)發(fā)代理從客戶機接收 請求、向客戶機提供到所請求的資源的連接、并可在適當(dāng)時向這些請求提供上文標(biāo)識的其 他功能。轉(zhuǎn)發(fā)代理可與認證實體并記錄與其相關(guān)聯(lián)的活動的一個或多個安全組件相關(guān)聯(lián)。 這些組件可使用各種認證協(xié)議來認證實體,并可與位于企業(yè)站點的身份系統(tǒng)進行通信來執(zhí) 行該認證。這些組件還可獲得要在記錄實體活動時使用的標(biāo)識符。與安全組件相關(guān)聯(lián)意味著轉(zhuǎn)發(fā)代理可包括安全組件的全部或部分,或者安全組件 的全部或部分可位于轉(zhuǎn)發(fā)代理之外。圖2是概括地表示此處所描述的主題的各方面可以在其中實現(xiàn)的示例性環(huán)境的 框圖。圖2中示出的環(huán)境可包括漫游設(shè)備205-206、家庭設(shè)備207、企業(yè)設(shè)備208、網(wǎng)絡(luò)訪問設(shè) 備209和身份系統(tǒng)210 (在下文中有時被共同稱為實體),并可包括其他實體(未示出)。各 種實體可以經(jīng)由各種網(wǎng)絡(luò)進行通信,這些網(wǎng)絡(luò)包括辦公室內(nèi)和辦公室間網(wǎng)絡(luò)以及網(wǎng)絡(luò)215。在一實施例中,網(wǎng)絡(luò)215可包括因特網(wǎng)。在一實施例中,網(wǎng)絡(luò)215可包括一個或多 個局域網(wǎng)、廣域網(wǎng)、直接連接、以上的某種組合等。設(shè)備205-208可包括一個或多個通用或?qū)S糜嬎阍O(shè)備。這些設(shè)備可包括,例如,個 人計算機、服務(wù)器計算機、手持式或膝上型設(shè)備、多處理器系統(tǒng)、基于微控制器的系統(tǒng)、機頂 盒、可編程消費電子產(chǎn)品、網(wǎng)絡(luò)PC、小型計算機、大型計算機、個人數(shù)字助理(PDA)、游戲設(shè) 備、打印機、包括機頂盒、媒體中心或其他電器在內(nèi)的電器、汽車嵌入式或附連的計算設(shè)備、 其他移動設(shè)備、包括以上系統(tǒng)或設(shè)備中的任一種的分布式計算環(huán)境等??杀慌渲贸捎米髟O(shè) 備205-208中的一個或多個的示例性設(shè)備包括圖1的計算機110。漫游設(shè)備205-206可包括在各位置之間攜帶的計算設(shè)備。例如,員工可在出差時 攜帶筆記本計算機。作為另一示例,員工可帶著蜂窩電話、PDA或員工幾乎可以在任何地方 使用的某種其他手持式設(shè)備來旅行。家庭設(shè)備207可包括,例如,個人計算機或位于員工的家的其他電子設(shè)備。企業(yè)設(shè)備208可包括位于一個或多個企業(yè)站點并連接到企業(yè)網(wǎng)絡(luò)的設(shè)備。例如, 企業(yè)設(shè)備208可包括工作站、服務(wù)器、路由器、移動設(shè)備、或上述的其他通用或?qū)S糜嬎阍O(shè)備。網(wǎng)絡(luò)訪問設(shè)備209可包括被配置成允許、拒絕、代理、發(fā)送、緩存計算機通信或?qū)?其執(zhí)行其他動作的一個或多個設(shè)備和/或軟件組件。在被配置為防火墻的情況下,網(wǎng)絡(luò)訪 問設(shè)備209可用于提供對連接在網(wǎng)絡(luò)訪問設(shè)備209后的企業(yè)設(shè)備208和身份系統(tǒng)210以及 其他設(shè)備(如果存在)的保護。網(wǎng)絡(luò)訪問設(shè)備209可被配置為到虛擬專用網(wǎng)絡(luò)的端點。在 這種配置中,網(wǎng)絡(luò)訪問設(shè)備209可向轉(zhuǎn)發(fā)代理220-222中的一個或多個以及諸如本地身份 系統(tǒng)230等的附連到網(wǎng)絡(luò)215的其他組件提供安全通信信道。與本地身份系統(tǒng)230之間的 安全通信信道可用于在身份系統(tǒng)210和本地身份系統(tǒng)230之間建立單向或雙向信任關(guān)系。 在一個實施例中,網(wǎng)絡(luò)訪問設(shè)備209可包括,例如,用適當(dāng)?shù)挠布蛙浖砼渲玫膱D1的計 算機110。在另一實施例中,網(wǎng)絡(luò)訪問設(shè)備209可包括專用設(shè)備。身份系統(tǒng)210可包括主存在諸如以上描述的設(shè)備等的一個或多個設(shè)備上的一個 或多個進程??衫蒙矸菹到y(tǒng)210來標(biāo)識用戶和/或設(shè)備,如以下將更詳細地描述的。在一個實施例中,身份系統(tǒng)210可包括華盛頓州雷蒙德市微軟公司生產(chǎn)的現(xiàn)用目錄(Active Directory)。身份系統(tǒng)的其他示例包括基于RADIUS的ID系統(tǒng)、基于LDAP的ID系統(tǒng)、通用 數(shù)據(jù)庫ID系統(tǒng)等。如圖2所示,在一個實施例中,身份系統(tǒng)210駐留在可通過網(wǎng)絡(luò)訪問設(shè)備209訪問 的企業(yè)網(wǎng)絡(luò)上。在另一實施例中,身份系統(tǒng)210可駐留在企業(yè)網(wǎng)絡(luò)外部的網(wǎng)絡(luò)上。例如,身 份系統(tǒng)210可駐留或分布在網(wǎng)絡(luò)215中的各個位置處。在一個實施例中,身份系統(tǒng)210可 以是附連到網(wǎng)絡(luò)215的服務(wù)器所主存的服務(wù)。轉(zhuǎn)發(fā)代理220-222位于可經(jīng)由網(wǎng)絡(luò)訪問的各個位置處。這些轉(zhuǎn)發(fā)代理可提供有時 由企業(yè)網(wǎng)絡(luò)中的設(shè)備所提供的各種功能,如連接、反病毒、間諜軟件和網(wǎng)絡(luò)釣魚保護、URL過 濾、防火墻、入侵檢測、信息泄漏保護(ILP)等。轉(zhuǎn)發(fā)代理220-222還可向連接到網(wǎng)絡(luò)215 的漫游設(shè)備提供集中式管理。轉(zhuǎn)發(fā)代理220-220還可向各種設(shè)備提供其他功能,諸如用于 移動設(shè)備的呈現(xiàn)、對網(wǎng)頁和其他內(nèi)容的緩存、和企業(yè)可能期望的任何其他連接和/或安全 功能。當(dāng)設(shè)備試圖訪問連接到網(wǎng)絡(luò)215的資源時,進入和離開該設(shè)備的通信可被路由到 轉(zhuǎn)發(fā)代理來提供例如上述的一個或多個功能。然而,在向設(shè)備提供這些功能之前,與轉(zhuǎn)發(fā)代 理相關(guān)聯(lián)的安全組件認證該設(shè)備和/或使用該設(shè)備的用戶。在認證的上下文中,此處使用 的術(shù)語實體有時指示設(shè)備和/或使用該設(shè)備的用戶。可出于各種原因來認證實體。例如,可能期望只允許已注冊的實體使用轉(zhuǎn)發(fā)代理。 為了確保出現(xiàn)這種情況,可執(zhí)行認證。作為另一示例,認證實體可用作標(biāo)識來了解向被路由 至和自該設(shè)備的通信應(yīng)用什么策略。作為又一示例,認證實體可用于報告、審計、和以其他 方式跟蹤實體的活動。以上所述的認證實體的示例原因不旨在是包括一切的或限制性的。其也不旨在限 制此處所描述的主題的各方面和涉及上述示例的一個或多個的實現(xiàn)。事實上,基于此處的 教學(xué),本領(lǐng)域技術(shù)人員可認識到,可以應(yīng)用此處呈現(xiàn)的各概念中的許多其他場景而不背離 此處所描述的主題的方面的精神或范圍。在基于企業(yè)憑證來認證實體時,來自身份系統(tǒng)210的信息可被發(fā)送到試圖認證實 體的安全組件。在一個實施例中,安全組件可以不為被授權(quán)使用轉(zhuǎn)發(fā)代理的實體維護其自 身的憑證數(shù)據(jù)庫。相反,憑證可被存儲在企業(yè)控制的位置處,如可經(jīng)由身份系統(tǒng)210訪問的 憑證數(shù)據(jù)庫上。這可以出于各種原因來完成。例如,在云中沒有憑證數(shù)據(jù)庫的情況下,系統(tǒng) 可避免維護并同步存儲在云中的憑證數(shù)據(jù)庫和存儲在企業(yè)網(wǎng)絡(luò)上的憑證數(shù)據(jù)庫。同樣,因 為云憑證數(shù)據(jù)庫可由除企業(yè)之外的一方控制,所以將憑證數(shù)據(jù)庫存儲在企業(yè)網(wǎng)絡(luò)上可引起 較少的安全風(fēng)險。作為另一好處,企業(yè)網(wǎng)絡(luò)上最近創(chuàng)建的新的實體可立即訪問轉(zhuǎn)發(fā)代理,因 為這些實體不需要等待同步。另外,不再被允許訪問轉(zhuǎn)發(fā)代理的實體可通過將其憑證從憑 證數(shù)據(jù)庫中移除來立即拒絕對轉(zhuǎn)發(fā)代理的訪問。此外,關(guān)于實體的網(wǎng)絡(luò)活動所生成的報告 可跟蹤實體,無論該實體從什么位置訪問轉(zhuǎn)發(fā)代理。在該實施例中,為認證實體,安全組件可在需要時與身份系統(tǒng)210進行通信來獲 得足夠的信息以認證該實體。該信息可包括,例如,實體憑證、質(zhì)詢/響應(yīng)數(shù)據(jù)、證書相關(guān)的 信息、或可用于認證該實體的任何其他信息。在另一實施例中,安全組件可訪問使用單向或雙向信任關(guān)系與身份系統(tǒng)210同步的本地身份系統(tǒng)230。在單向信任關(guān)系中,使用同步到本地身份系統(tǒng)230的企業(yè)憑證來認證 的實體被允許經(jīng)由轉(zhuǎn)發(fā)代理來訪問資源。安全組件和身份系統(tǒng)210和230之間的通信可按各種方式完成,包括例如,虛擬專 用網(wǎng)絡(luò)(VPN)、多協(xié)議標(biāo)簽轉(zhuǎn)換(MPLS)、因特網(wǎng)協(xié)議安全(IPSec)、因特網(wǎng)協(xié)議版本6 (IPv6) 全局尋址、其他通信協(xié)議等。在一個實施例中,只有特定通信協(xié)議所需的端口可在身份系統(tǒng)和安全組件之間的 虛擬專用網(wǎng)絡(luò)中涉及。換言之,可轉(zhuǎn)發(fā)到在通信協(xié)議中涉及的端口的消息,而不轉(zhuǎn)發(fā)到不在 通信協(xié)議中涉及的端口的消息。這可有助于維護企業(yè)網(wǎng)絡(luò)的安全,因為大大降低了攻擊表 面(例如,轉(zhuǎn)發(fā)的端口數(shù)量)。轉(zhuǎn)發(fā)代理和身份系統(tǒng)可被配置成經(jīng)由IPv6來進行通信。結(jié)合msec和所配置的 策略,這可用于保證只有指定的轉(zhuǎn)發(fā)代理被允許與身份系統(tǒng)進行通信。為了認證實體,與轉(zhuǎn)發(fā)代理相關(guān)聯(lián)的安全組件可使用許多不同的機制中的一個或 多個。例如,可以在安全組件和設(shè)備之間建立虛擬專用網(wǎng)絡(luò)(VPN)。在這種配置中,成功地 建立VPN可用于認證實體。作為其他示例,可以使用集成Windows 認證、IPSec、基于表單 的認證、RADIUS、MPLS、基本訪問認證、Kerberos、基于客戶機證書的認證、或某些其他認證 協(xié)議等來認證實體。在一個實施例中,認證可作為HTTP代理認證的一部分來發(fā)起。認證協(xié)議的類型可在安全組件和設(shè)備之間協(xié)商。例如,如果設(shè)備支持第一組認證 協(xié)議而安全組件支持第二組認證協(xié)議,則可以選擇設(shè)備和安全組件兩者都支持的認證協(xié)議 來認證該實體。作為另一示例,如果設(shè)備支持允許設(shè)備來認證自身和/或用戶而無需用戶 交互的認證協(xié)議(例如,諸如集成Windows 認證),則可以選擇該協(xié)議。有許多方式來認證實體。例如,為了認證實體,安全組件可要求實體憑證(例如, 用戶名和口令或與該實體相關(guān)聯(lián)的其他憑證)。使用這些憑證,安全組件可與身份系統(tǒng)210 進行通信來驗證這些憑證。為此,實體可使用例如Basic、表單、RADIUS或某種其他認證協(xié) 議。如果憑證有效,則身份系統(tǒng)210可將此指示給安全組件并將與該實體相關(guān)聯(lián)的標(biāo) 識符發(fā)送給安全組件。該標(biāo)識符可包括該實體的企業(yè)身份。該標(biāo)識符可在記錄該實體的后 續(xù)活動時使用。作為認證實體的另一示例,安全組件可在不接收憑證的情況下認證憑證。例如,安 全組件可向?qū)嶓w提供質(zhì)詢并可使用對該質(zhì)詢的響應(yīng)來認證實體。安全組件可將身份系統(tǒng) 210涉及到確定質(zhì)詢和/或驗證對質(zhì)詢的響應(yīng)中。作為另一示例,安全組件可關(guān)聯(lián)于使用單向或雙向信任關(guān)系來與身份系統(tǒng)210同 步的本地身份系統(tǒng)230。安全組件可利用本地身份系統(tǒng)230來認證實體。作為另一示例,可向在HTTP協(xié)議中定義的代理能力添加安全套接字層(SSL)和/ 或傳輸層安全(TLQ能力。用于HTTP代理的當(dāng)前HTTP協(xié)議不提供在HTTP代理中使用SSL 或TLS。當(dāng)與客戶機進行通信時,可增強HTTP代理來使用SSL和/或TLS。SSL/TLS也可用 于互認證。作為建立連接的一部分,客戶機可經(jīng)由SSL或TLS來認證。在該認證方法中,安 全組件可例如通過驗證可信證書授權(quán)機構(gòu)所簽署的客戶機證書來認證客戶機。向HTTP代 理添加SSL/TLS還能夠?qū)崿F(xiàn)端點和轉(zhuǎn)發(fā)代理之間的安全(例如,加密)通信。在一個實施例中,在客戶機和安全組件之間的第一認證之后,可向客戶機提供9cookie以便與后續(xù)請求一起使用。當(dāng)前HTTP協(xié)議允許目標(biāo)服務(wù)器向客戶機提供cookie但 不允許HTTP代理獨立地生成cookie并將其供應(yīng)給客戶機。此外,在當(dāng)前HTTP協(xié)議中,客 戶機只有在與向該客戶機發(fā)送cookie的目標(biāo)服務(wù)器進行通信時才提供cookie。當(dāng)轉(zhuǎn)發(fā)代理用作HTTP代理時,轉(zhuǎn)發(fā)代理(或與其相關(guān)聯(lián)的安全組件)可生成 cookie并在客戶機被認證之后將其發(fā)送給客戶機。在后續(xù)請求中,客戶機隨后可將該 cookie發(fā)送給向該客戶機提供該cookie的轉(zhuǎn)發(fā)代理(或與其相關(guān)聯(lián)的安全組件)或另 一轉(zhuǎn)發(fā)代理。客戶機甚至還可在該客戶機試圖訪問不同目標(biāo)服務(wù)器上的資源時發(fā)送該 cookie。當(dāng)客戶機在后續(xù)請求中發(fā)送該cookie時,轉(zhuǎn)發(fā)代理(或與其相關(guān)聯(lián)的安全組件) 可檢查該cookie來判定該客戶機是否已經(jīng)被認證。這可避免與重新認證從客戶機接收的 每一請求相關(guān)聯(lián)的開銷。可用生存時間參數(shù)來配置cookie從而使得其在一設(shè)定時間后超 時。此處使用的cookie包括可用于驗證一實體已經(jīng)被認證的任何數(shù)據(jù)。例如,cookie 可包括安全組件可用來訪問數(shù)據(jù)庫的記錄的標(biāo)識符。該記錄可指示該實體是否已經(jīng)被認 證。作為另一示例,cookie可包括安全組件能夠解密來判定該實體是否已經(jīng)被認證的加密 fn息οcookie還可包括關(guān)于實體的其他數(shù)據(jù)。例如,cookie可包括與該實體相關(guān)聯(lián)的 標(biāo)識符。該標(biāo)識符可與該實體例如在訪問企業(yè)網(wǎng)絡(luò)時使用的標(biāo)識符相對應(yīng)。該標(biāo)識符可在 記錄實體活動時使用。作為另一示例,cookie可包括與該實體相關(guān)聯(lián)的策略信息。例如, cookie可包括指示該實體被允許訪問什么站點的信息??捎糜谡J證實體的另一機制是經(jīng)由連接組件(例如,連接組件125)。連接組件是 駐留在設(shè)備上并監(jiān)視來自設(shè)備的連接的組件。例如,連接組件可監(jiān)視發(fā)送至和自設(shè)備的TCP 通信。當(dāng)連接組件看到要被路由到轉(zhuǎn)發(fā)代理的連接請求時,連接組件可用與該轉(zhuǎn)發(fā)代理相 關(guān)聯(lián)的安全組件來認證并加密該連接。這可以按照對使用設(shè)備的用戶透明的方式來完成。 當(dāng)用戶輸入需要通過轉(zhuǎn)發(fā)代理來路由的請求(例如,URL請求)時,連接組件可用與該轉(zhuǎn)發(fā) 代理相關(guān)聯(lián)的安全組件來認證該請求,然后通過安全信道將該請求轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)代理。在一個實施例中,當(dāng)cookie被提供給實體以便在后續(xù)請求中的認證中使用時,連 接組件可處理該cookie并在后續(xù)請求中提供該cookie。在另一實施例中,當(dāng)cookie被提 供給實體以便在后續(xù)請求中的認證中使用時,連接組件可允許實體來處理該cookie并在 后續(xù)請求中提供該cookie。雖然上文提供了用于認證實體的某些機制的示例,但這些示例不旨在是包括一切 的或限制性的。事實上,此處所描述的主題的各方面不限于該認證方法,因為基本上可以采 用任何認證方法(現(xiàn)有的或要開發(fā)的)而不背離此處所描述的主題的各方面的精神或范圍。作為認證過程的結(jié)果,可以獲得隨后可用于記錄、審計、應(yīng)用策略等的標(biāo)識符。該 標(biāo)識符可由身份系統(tǒng)210、本地身份系統(tǒng)230、或某一其他組件來提供而不背離此處所描述 的主題的各方面。該標(biāo)識符可以是與用于向與實體相關(guān)聯(lián)的企業(yè)網(wǎng)絡(luò)標(biāo)識該實體的標(biāo)識符 相同的標(biāo)識符。雖然上述環(huán)境包括不同數(shù)量的實體中的每一個和相關(guān)基礎(chǔ)結(jié)構(gòu),但可以理解,可以采用更多、更少的這些實體和其他實體或這些實體和其他實體的不同組合而不背離此處 所描述的主題的各方面的精神或范圍。此外,該環(huán)境中包括的各實體和通信網(wǎng)絡(luò)可以用本 領(lǐng)域技術(shù)人員所理解的各種方式來配置而不背離此處所描述的主題的各方面的精神或范圍。圖3是表示根據(jù)此處所描述的主題的各方面的用安全組件來配置的示例性裝置 的框圖。圖3中示出的組件是示例性的且不意味著包括一切的可能需要或包括的組件。在 其他實施例中,結(jié)合圖3描述的組件或功能可被包括在其他組件中或者被放置在子組件中 而不背離此處所描述的主題的各方面的精神或范圍。在某些實施例中,結(jié)合圖3描述的組 件或功能可分布在裝置305可訪問的多個設(shè)備上。轉(zhuǎn)向圖3,裝置305可包括安全組件310、存儲340和通信機制345。安全組件310 可包括協(xié)議選擇器315、客戶機組件320、身份確認器325、代理通知器330、歷史跟蹤器335 和報告組件337。安全組件310可與結(jié)合圖1描述的轉(zhuǎn)發(fā)代理相關(guān)聯(lián)。與上下文相關(guān)聯(lián)意 味著被包括在相同的設(shè)備上、位于不主存轉(zhuǎn)發(fā)代理但可與轉(zhuǎn)發(fā)代理通信的一個或多個設(shè)備μ絕絕 丄寸寸O通信機制345允許裝置305與圖2中示出的其他實體進行通信。通信機制345可 以是結(jié)合圖1描述的網(wǎng)絡(luò)接口或適配器170、調(diào)制解調(diào)器172或用于建立通信的任何其它機 制。存儲340是能夠存儲關(guān)于實體所參與的活動的歷史信息的任何存儲介質(zhì)。存儲 340可包括文件系統(tǒng)、數(shù)據(jù)庫、諸如RAM等易失性存儲器、其它存儲、以上的某種組合等,并 可以分布在多個設(shè)備中。存儲340可以在裝置305的外部或內(nèi)部。協(xié)議選擇器315可用于確定要結(jié)合認證試圖獲取對可經(jīng)由第一網(wǎng)絡(luò)獲得的資 源的訪問的實體來使用的認證協(xié)議。例如,參考圖2,協(xié)議選擇器可確定要用于在設(shè)備 205-208中的一個試圖訪問可經(jīng)由網(wǎng)絡(luò)215訪問的資源時認證這些設(shè)備的認證協(xié)議??蛻魴C組件320可用于使用協(xié)議選擇器315所確定的認證協(xié)議來認證實體。實體 可包括使用設(shè)備的用戶和/或設(shè)備。例如,參考圖2,客戶機組件可使用互TLS協(xié)議來認證 使用漫游設(shè)備205的用戶。身份確認器325可用于從身份系統(tǒng)獲得與實體相關(guān)聯(lián)的標(biāo)識符。身份系統(tǒng)可位于 本地網(wǎng)絡(luò)上或如前所指示的客戶機組件320外部的網(wǎng)絡(luò)上。身份系統(tǒng)可訪問包括用于與控 制客戶機組件320外部的網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò))的企業(yè)相關(guān)聯(lián)的實體的標(biāo)識符的數(shù)據(jù)庫。 例如,參考圖2,身份確認器可與身份系統(tǒng)210通信來獲得該標(biāo)識符。代理通知器330可用于基于從客戶機組件320獲得的結(jié)果向轉(zhuǎn)發(fā)代理指示實體是 否被認證。例如,參考圖2,代理通知器可向轉(zhuǎn)發(fā)代理220-222中的一個指示實體被認證來 使用該轉(zhuǎn)發(fā)代理所提供的安全功能。歷史跟蹤器335可用于存儲標(biāo)識實體和該實體訪問的資源的信息。例如,參考圖 2,歷史跟蹤器可隨著使用漫游設(shè)備205的用戶向轉(zhuǎn)發(fā)代理220發(fā)送的每一 URL來存儲用戶 名。歷史跟蹤器335可利用存儲340來存儲歷史信息。報告組件337可用于按標(biāo)識實體和該實體訪問的資源(例如,URL、網(wǎng)絡(luò)地址等) 的形式來提供歷史信息。該形式可包括用戶名或其他標(biāo)識符,連同資源標(biāo)識符。因為該信息 包含足夠的信息來標(biāo)識企業(yè)上的實體,所以如果設(shè)備變?yōu)楦腥镜?例如,經(jīng)由惡意軟件),則當(dāng)用戶將設(shè)備帶至企業(yè)網(wǎng)絡(luò)時,報告可指示該設(shè)備已經(jīng)被感染并需要在被允許訪問企業(yè) 網(wǎng)絡(luò)之前清除。圖4-5是概括地表示根據(jù)此處所描述的主題的各方面的可結(jié)合認證發(fā)生的動作 的流程圖。為解釋簡明起見,結(jié)合圖4-5描述的方法被描繪和描述為一系列動作??梢岳?解和明白,此處所描述的主題的各方面不受所示出的動作和/或動作次序的限制。在一個 實施例中,動作以如下描述的次序發(fā)生。然而,在其它實施例中,動作可以并行地發(fā)生,以另 一次序發(fā)生,和/或與此處未呈現(xiàn)和描述的其它動作一起發(fā)生。此外,并非所有示出的動作 都是實現(xiàn)根據(jù)此處所描述的主題的各方面的方法所必需的。另外,本領(lǐng)域的技術(shù)人員將了 解和明白,方法也可以替代地經(jīng)由狀態(tài)圖或作為事件表示為一系列相互相關(guān)聯(lián)的狀態(tài)。轉(zhuǎn)向圖4,在框405處,動作開始。在框407,可以建立信任關(guān)系。例如,參考圖2, 本地身份系統(tǒng)230可建立與企業(yè)身份系統(tǒng)210之間的信任關(guān)系。在框410處,設(shè)備試圖訪 問該設(shè)備外部的網(wǎng)絡(luò)(例如,因特網(wǎng))上的資源。例如,參考圖2,漫游設(shè)備206試圖訪問可 經(jīng)由網(wǎng)絡(luò)215獲得的資源(例如,網(wǎng)頁)。在框415處,請求被路由到與轉(zhuǎn)發(fā)代理相關(guān)聯(lián)的安全組件。例如,參考圖2,連接組 件125將請求路由到與轉(zhuǎn)發(fā)代理222相關(guān)聯(lián)的安全組件。在框420處,安全組件從設(shè)備接收消息。例如,參考圖3,安全組件310接收請求。在框425處,確定要用于認證與設(shè)備相關(guān)聯(lián)的實體的認證協(xié)議。例如,參考圖310, 協(xié)議選擇器315確定要在認證與圖2的漫游設(shè)備206相關(guān)聯(lián)的用戶時使用的認證協(xié)議。在框430處,安全組件認證與設(shè)備相關(guān)聯(lián)的實體。例如,參考圖2和3,客戶機組件 320認證與漫游設(shè)備206相關(guān)聯(lián)的用戶。在框435處,當(dāng)使用cookie時,將cookie發(fā)送給設(shè)備以便在后續(xù)請求中使用。例 如,參考圖2,與轉(zhuǎn)發(fā)代理222相關(guān)聯(lián)的安全組件將cookie發(fā)送給漫游設(shè)備206。在框440處,設(shè)備在后續(xù)請求中發(fā)送cookie。例如,參考圖2,漫游設(shè)備206在對 于可經(jīng)由網(wǎng)絡(luò)215訪問的資源的后續(xù)請求中發(fā)送其接收的cookie。在框445處,可以發(fā)生其他動作(如果存在)。例如,可以周期性地重新認證實體。轉(zhuǎn)向圖5,在框505處,動作開始。在框510處,從與附連到第一網(wǎng)絡(luò)的設(shè)備相關(guān)聯(lián) 的實體發(fā)送要訪問第二網(wǎng)絡(luò)上的資源的請求。例如,參考圖2,從與設(shè)備206相關(guān)聯(lián)的實體 發(fā)送要訪問可經(jīng)由網(wǎng)絡(luò)215訪問的資源的請求。在框515處,在通信組件處接收請求。例如,參考圖2,通信組件125接收請求。在框520處,經(jīng)由通信組件來認證實體。例如,參考圖2,通信組件125與關(guān)聯(lián)于轉(zhuǎn) 發(fā)代理222的安全組件通信來認證使用設(shè)備206的用戶。在框525處,將請求發(fā)送到轉(zhuǎn)發(fā)代理。例如,參考圖2,將請求從設(shè)備206發(fā)送到轉(zhuǎn) 發(fā)代理222。在框530處,可在設(shè)備處接收cookie。該cookie指示該實體先前是否已經(jīng)由安全 組件認證。例如,可出現(xiàn)這種情況來加速后續(xù)認證。在框535處,在后續(xù)請求中發(fā)送cookie。例如,參考圖2,通信組件125可在對資 源的后續(xù)請求中發(fā)送cookie。在框540處,可以發(fā)生其他動作(如果存在)。如從上述詳細描述中可以看見,已經(jīng)描述了關(guān)于在分布式安全內(nèi)容管理系統(tǒng)中的認證的各方面。盡管此處所描述的主題的各方面易于作出各種修改和替換構(gòu)造,但其某些 說明性實施例在附圖中示出并在上面被詳細地描述。然而,應(yīng)當(dāng)理解,并不旨在將所要求保 護主題的各方面限制于所公開的具體形式,而是相反地,目的是要覆蓋落入此處所描述的 主題的各方面的精神和范圍之內(nèi)的所有修改、替換構(gòu)造和等效方案。
權(quán)利要求
1.一種至少部分地由計算機實現(xiàn)的方法,所述方法包括在安全組件處接收(420)從設(shè)備發(fā)送的消息,所述安全組件與在邏輯上在所述設(shè)備和 所述設(shè)備試圖訪問的資源之間的轉(zhuǎn)發(fā)代理相關(guān)聯(lián);經(jīng)由所述安全組件認證(430)與所述設(shè)備相關(guān)聯(lián)的實體;以及將cookie發(fā)送(435)給所述設(shè)備,所述cookie指示所述實體先前是否已經(jīng)由所述安 全組件認證,所述設(shè)備隨著要訪問可經(jīng)由所述轉(zhuǎn)發(fā)代理訪問的資源的后續(xù)請求來呈現(xiàn)所述 cookie。
2.如權(quán)利要求1所述的方法,其特征在于,所述轉(zhuǎn)發(fā)代理至少作為HTTP代理來操作,且 其中認證與所述設(shè)備相關(guān)聯(lián)的實體包括在所述轉(zhuǎn)發(fā)代理和所述設(shè)備之間建立安全連接。
3.如權(quán)利要求2所述的方法,其特征在于,所述安全連接包括安全套接字層連接。
4.如權(quán)利要求2所述的方法,其特征在于,所述安全連接包括傳輸層安全連接。
5.如權(quán)利要求1所述的方法,其特征在于,所述轉(zhuǎn)發(fā)代理至少作為HTTP代理來操作,且 其中認證與所述設(shè)備相關(guān)聯(lián)的實體包括使用客戶機證書。
6.如權(quán)利要求1所述的方法,其特征在于,所述cookie指示與所述實體相關(guān)聯(lián)的身份, 所述身份標(biāo)識關(guān)聯(lián)于與所述設(shè)備相關(guān)聯(lián)的實體的企業(yè)實體所控制的網(wǎng)絡(luò)上的實體。
7.如權(quán)利要求1所述的方法,其特征在于,所述cookie包括與所述實體相關(guān)聯(lián)的策略 信息,所述策略信息可用于實施用于所述后續(xù)請求的策略。
8.如權(quán)利要求1所述的方法,其特征在于,還包括為所述cookie建立生存時間,所述 cookie在超過所述生存時間之后對認證不再有用。
9.如權(quán)利要求6所述的方法,其特征在于,還包括存儲所述設(shè)備發(fā)送的后續(xù)請求以及 所述標(biāo)識符的歷史。
10.如權(quán)利要求1所述的方法,其特征在于,還包括在位于所述轉(zhuǎn)發(fā)代理本地的第一網(wǎng) 絡(luò)上的第一身份系統(tǒng)和所述第一網(wǎng)絡(luò)外部的網(wǎng)絡(luò)上的第二身份系統(tǒng)之間建立信任關(guān)系。
11.如權(quán)利要求10所述的方法,其特征在于,建立信任關(guān)系包括在所述第一和第二身 份系統(tǒng)之間同步憑證。
12.—種具有計算機可執(zhí)行指令的計算機存儲介質(zhì),所述計算機可執(zhí)行指令在被執(zhí)行 時執(zhí)行以下動作,包括從與附連到第一網(wǎng)絡(luò)的設(shè)備相關(guān)聯(lián)的實體發(fā)送(510)要訪問來自第二網(wǎng)絡(luò)的資源的 請求;在主存在所述設(shè)備上的組件處接收(51 所述請求,所述組件監(jiān)視所述設(shè)備和所述第 二網(wǎng)絡(luò)之間的通信;在將所述請求發(fā)送到所述第二網(wǎng)絡(luò)之前,經(jīng)由所述組件認證(520)所述實體;以及將所述請求發(fā)送(52 給轉(zhuǎn)發(fā)代理。
13.如權(quán)利要求12所述的計算機存儲介質(zhì),其特征在于,經(jīng)由所述組件驗證與所述設(shè) 備相關(guān)聯(lián)的實體包括與關(guān)聯(lián)于附連到所述第二網(wǎng)絡(luò)的轉(zhuǎn)發(fā)代理的安全組件進行通信,所述 轉(zhuǎn)發(fā)代理在邏輯上在所述設(shè)備和所述第二網(wǎng)絡(luò)之間。
14.如權(quán)利要求13所述的計算機存儲介質(zhì),其特征在于,所述轉(zhuǎn)發(fā)代理至少作為HTTP 代理來操作,且其中經(jīng)由所述組件認證與所述設(shè)備相關(guān)聯(lián)的實體包括使用客戶機證書。
15.如權(quán)利要求13所述的計算機存儲介質(zhì),其特征在于,還包括從所述轉(zhuǎn)發(fā)代理接收cookie,所述cookie指示所述實體先前是否已經(jīng)由所述安全組件認證。
16.如權(quán)利要求15所述的計算機存儲介質(zhì),其特征在于,還包括經(jīng)由所述組件處理所 述cookie,其中處理所述cookie包括存儲所述cookie并在對于可經(jīng)由所述第二網(wǎng)絡(luò)訪問 的資源的后續(xù)請求中發(fā)送所述cookie。
17.如權(quán)利要求12所述的計算機存儲介質(zhì),其特征在于,所述實體包括所述設(shè)備和/或 用戶。
18.—種處于計算環(huán)境的裝置,包括可用于確定要結(jié)合認證試圖獲得對可經(jīng)由第一網(wǎng)絡(luò)獲得的資源的訪問的實體來使用 的認證協(xié)議的協(xié)議選擇器(315);可用于使用經(jīng)由與所述實體相關(guān)聯(lián)的設(shè)備的所述認證協(xié)議來認證所述實體的客戶機 組件(320);以及可用于從與第二身份系統(tǒng)具有信任關(guān)系的第一身份系統(tǒng)獲得用于所述實體的標(biāo)識符 的身份確認器(325),所述第一身份系統(tǒng)駐留在所述第一網(wǎng)絡(luò)上,所述第二身份系統(tǒng)駐留在 第二網(wǎng)絡(luò)上;以及可用于向轉(zhuǎn)發(fā)代理指示所述實體是否被認證的代理通知器(330),所述轉(zhuǎn)發(fā)代理是分 布在一個或多個網(wǎng)絡(luò)上的多個轉(zhuǎn)發(fā)代理中的一個,所述轉(zhuǎn)發(fā)代理被構(gòu)造成允許經(jīng)認證的實 體訪問可經(jīng)由所述一個或多個網(wǎng)絡(luò)獲得的資源。
19.如權(quán)利要求18所述的裝置,其特征在于,還包括可用于存儲標(biāo)識所述實體和所述 實體訪問的可經(jīng)由所述第一網(wǎng)絡(luò)獲得的資源的信息的歷史跟蹤器。
20.如權(quán)利要求19所述的裝置,其特征在于,還包括可用于按標(biāo)識所述實體和所訪問 的資源的形式來提供所述信息的報告組件。
全文摘要
此處所描述的主題的各方面涉及用于分布式安全內(nèi)容管理系統(tǒng)的認證。在各方面,要訪問可通過因特網(wǎng)獲得的資源的請求被路由到安全組件。安全組件是分布在因特網(wǎng)各處的多個安全組件中的一個并負責(zé)認證與企業(yè)相關(guān)聯(lián)的實體。安全組件確定要對實體使用的認證協(xié)議然后認證該實體。如果該實體被認證,則該實體被允許使用轉(zhuǎn)發(fā)代理。
文檔編號G06F21/00GK102047262SQ200980120235
公開日2011年5月4日 申請日期2009年3月27日 優(yōu)先權(quán)日2008年5月27日
發(fā)明者A·捷普里斯基, A·芬克爾斯坦, J·F·沃爾伏特, N·奈斯, O·阿納尼耶夫 申請人:微軟公司