本文所述主題一般涉及通過網(wǎng)絡(luò)訪問內(nèi)容,并且尤其涉及利用中繼代理,通過用戶裝置上的多個(gè)應(yīng)用促進(jìn)訪問網(wǎng)絡(luò)內(nèi)容。
背景技術(shù):
很多組織和機(jī)構(gòu)經(jīng)由超文本傳送協(xié)議(HTTP)代理來路由從他們自己的網(wǎng)絡(luò)傳入或傳出的通信,以便監(jiān)測網(wǎng)絡(luò)業(yè)務(wù)和執(zhí)行網(wǎng)絡(luò)安全策略。在網(wǎng)絡(luò)中每個(gè)計(jì)算裝置上執(zhí)行的瀏覽器應(yīng)用連接到代理,該代理視情況往來于瀏覽器路由數(shù)據(jù)分組。當(dāng)所有傳入和傳出的數(shù)據(jù)分組都通過代理時(shí),該代理可以監(jiān)測網(wǎng)絡(luò)通信并且在需要時(shí)進(jìn)行執(zhí)行操作。
大多數(shù)學(xué)校經(jīng)由HTTP代理向他們的學(xué)生提供互聯(lián)網(wǎng)訪問。因此,所有學(xué)生web業(yè)務(wù)都通過可以被監(jiān)測的單個(gè)訪問點(diǎn)。此外,通過HTTP代理可以阻止利用學(xué)校的計(jì)算裝置的瀏覽器來訪問認(rèn)為是不良的內(nèi)容,防止學(xué)生訪問這些內(nèi)容。
現(xiàn)代平板電腦和智能電話(例如運(yùn)行AndroidTM操作系統(tǒng)的智能電話)通常包括多個(gè)應(yīng)用,其中的很多經(jīng)由互聯(lián)網(wǎng)訪問遠(yuǎn)程資源。這對(duì)于希望利用代理來監(jiān)測網(wǎng)絡(luò)業(yè)務(wù)和執(zhí)行網(wǎng)絡(luò)安全策略的組織和機(jī)構(gòu)提出了很多挑戰(zhàn)。
首先,必須將每個(gè)應(yīng)用都配置為經(jīng)由代理通信。這樣實(shí)施起來耗時(shí),并且執(zhí)行起來有問題。網(wǎng)絡(luò)管理者不能容易地監(jiān)測網(wǎng)絡(luò)中操作的每個(gè)裝置的每個(gè)應(yīng)用是否都經(jīng)由代理連接到互聯(lián)網(wǎng)。因此,難以檢測或者是意外或者是惡意地安裝有繞開代理直接連接到互聯(lián)網(wǎng)的應(yīng)用的裝置。
其次,很多代理要求連接到互聯(lián)網(wǎng)的裝置提供認(rèn)證證書。這些證書需要能夠訪問要求訪問互聯(lián)網(wǎng)的每個(gè)應(yīng)用。這樣既有安全風(fēng)險(xiǎn),因?yàn)閻阂鈶?yīng)用可能與未授權(quán)的第三方共享證書,又沒有效率,因?yàn)槊總€(gè)應(yīng)用都必須獨(dú)立訪問證書。在多個(gè)用戶使用同一個(gè)裝置的環(huán)境(例如學(xué)校)中這種無效率更加突出。在這種情況下,裝置必須跟蹤每個(gè)應(yīng)用正在使用哪些用戶證書,并且保證不使得給定用戶的證書可用于另一個(gè)用戶。
技術(shù)實(shí)現(xiàn)要素:
一種用于從本地網(wǎng)絡(luò)內(nèi)訪問存儲(chǔ)在本地網(wǎng)絡(luò)外部的遠(yuǎn)程內(nèi)容的計(jì)算機(jī)系統(tǒng)包括中繼代理和多個(gè)應(yīng)用。所述中繼代理被配置為::經(jīng)由代理服務(wù)器檢索遠(yuǎn)程內(nèi)容項(xiàng),所述代理服務(wù)器管理進(jìn)入和離開所述網(wǎng)絡(luò)的網(wǎng)絡(luò)業(yè)務(wù)。多個(gè)應(yīng)用可通信地連接到中繼代理。每個(gè)應(yīng)用被配置為向中繼代理發(fā)送對(duì)于遠(yuǎn)程內(nèi)容項(xiàng)的請(qǐng)求,并且作為響應(yīng),接收所請(qǐng)求的遠(yuǎn)程內(nèi)容項(xiàng)。
一種用于從本地網(wǎng)絡(luò)內(nèi)訪問存儲(chǔ)在本地網(wǎng)絡(luò)外部的遠(yuǎn)程內(nèi)容的方法包括在用戶裝置上執(zhí)行的中繼代理處接收第一請(qǐng)求和第二請(qǐng)求。第一請(qǐng)求從用戶裝置上執(zhí)行的第一應(yīng)用接收,并且第二請(qǐng)求從用戶裝置上執(zhí)行的第二應(yīng)用接收。第一請(qǐng)求識(shí)別第一遠(yuǎn)程內(nèi)容項(xiàng),并且第二請(qǐng)求識(shí)別第二遠(yuǎn)程內(nèi)容項(xiàng)。所述方法還包括將第一請(qǐng)求和第二請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)器,該代理服務(wù)器管理進(jìn)入和離開本地網(wǎng)絡(luò)的網(wǎng)絡(luò)業(yè)務(wù);并且接收對(duì)于第一請(qǐng)求和第二請(qǐng)求的響應(yīng)。對(duì)于第一請(qǐng)求的響應(yīng)包括第一遠(yuǎn)程內(nèi)容項(xiàng),并且對(duì)于第二請(qǐng)求的響應(yīng)包括第二遠(yuǎn)程內(nèi)容項(xiàng)。所述方法還包括將第一遠(yuǎn)程內(nèi)容項(xiàng)轉(zhuǎn)發(fā)給第一應(yīng)用,并且將第二遠(yuǎn)程內(nèi)容項(xiàng)轉(zhuǎn)發(fā)給第二應(yīng)用。
附圖說明
圖1是圖示出根據(jù)一個(gè)實(shí)施例,可以使用中繼代理的網(wǎng)絡(luò)化計(jì)算環(huán)境的高級(jí)方框圖。
圖2是圖示出根據(jù)一個(gè)實(shí)施例,適合于在圖1所示的網(wǎng)絡(luò)化計(jì)算環(huán)境中使用的用戶裝置的高級(jí)方框圖。
圖3圖示出根據(jù)一個(gè)實(shí)施例,適合于用作圖1所示的用戶裝置、代理服務(wù)器、或資源服務(wù)器的計(jì)算機(jī)。
圖4是圖示出根據(jù)一個(gè)實(shí)施例,中繼代理管理應(yīng)用與遠(yuǎn)程資源服務(wù)器之間的網(wǎng)絡(luò)業(yè)務(wù)的方法的流程圖。
具體實(shí)施方式
附圖和以下說明僅通過示例描述了某些實(shí)施例。本領(lǐng)域技術(shù)人員根據(jù)以下說明能夠容易地認(rèn)識(shí)到,在不脫離本文所述原理的情況下,可以采用本文所示結(jié)構(gòu)和方法的替代性實(shí)施例。下面對(duì)若干實(shí)施例進(jìn)行參考,其示例在附圖中示出。應(yīng)當(dāng)注意,只要切實(shí)可行,在附圖中可以使用相似或相同的附圖標(biāo)記,并且可以指示相似或相同的功能。
圖1是圖示出根據(jù)一個(gè)實(shí)施例,可以使用中繼代理的網(wǎng)絡(luò)化計(jì)算環(huán)境100的高級(jí)方框圖。在所示實(shí)施例中,網(wǎng)絡(luò)化計(jì)算環(huán)境100包括多個(gè)用戶裝置110A-N、代理服務(wù)器130、以及多個(gè)資源服務(wù)器150A-N。用戶裝置110經(jīng)由本地網(wǎng)絡(luò)120連接到代理服務(wù)器130,且代理服務(wù)器經(jīng)由外部網(wǎng)絡(luò)140連接到資源服務(wù)器150。在其他實(shí)施例中,網(wǎng)絡(luò)化計(jì)算環(huán)境100包含不同和/或附加的元素。此外,可以按照與本文所述不同的方式將多個(gè)功能分布在多種元素之間。
本地網(wǎng)絡(luò)120將用戶裝置110A-N連接到代理服務(wù)器130。本地網(wǎng)絡(luò)120通常是組織保持的LAN或WAN,并且可以是有線的、無線的、或者兩者的組合。本地網(wǎng)絡(luò)120將用戶裝置110A-N(通過與組織相關(guān)聯(lián)的用戶來操作)相互連接以及連接到外部網(wǎng)絡(luò)140。外部網(wǎng)絡(luò)140通常是互聯(lián)網(wǎng),也可以是組織希望監(jiān)測訪問或執(zhí)行安全策略的任何網(wǎng)絡(luò)。雖然將標(biāo)識(shí)符“本地”和“外部”用于網(wǎng)絡(luò)120和網(wǎng)絡(luò)140,但是這不應(yīng)視為對(duì)范圍的限制。在各種實(shí)施例中,本地網(wǎng)絡(luò)120分布于多個(gè)地理位置(例如企業(yè)的虛擬專用網(wǎng)絡(luò)),或者外部網(wǎng)絡(luò)140通過與本地網(wǎng)絡(luò)120相同的組織來管理。例如在教育設(shè)置中,外部網(wǎng)絡(luò)140可以提供與學(xué)校管理的資源服務(wù)器150的連接,它只有在某個(gè)班級(jí)登記的學(xué)生才允許訪問。
資源服務(wù)器150A-N是諸如網(wǎng)絡(luò)服務(wù)器這樣的計(jì)算裝置,它托管可通過其他計(jì)算裝置諸如用戶裝置110A-N經(jīng)由外部網(wǎng)絡(luò)140訪問的內(nèi)容。雖然僅示出3個(gè)資源服務(wù)器150,但是實(shí)際上可以有很多(例如幾千甚至幾百萬臺(tái))可經(jīng)由外部網(wǎng)絡(luò)140訪問的資源服務(wù)器。例如,互聯(lián)網(wǎng)實(shí)現(xiàn)對(duì)于托管網(wǎng)站、文檔、以及其他計(jì)算機(jī)可讀數(shù)據(jù)的幾百萬臺(tái)資源服務(wù)器150的訪問。
用戶裝置110A-N是諸如智能電話、平板電腦、膝上型電腦、以及臺(tái)式電腦這樣的計(jì)算裝置,它們連接到本地網(wǎng)絡(luò)120,并且可用于訪問資源服務(wù)器150上托管的網(wǎng)絡(luò)化內(nèi)容。雖然僅示出3個(gè)用戶裝置110,但是實(shí)際上有很多(例如幾十或幾百臺(tái))連接到可經(jīng)由外部網(wǎng)絡(luò)140訪問遠(yuǎn)程內(nèi)容的本地網(wǎng)絡(luò)120的用戶裝置。例如,學(xué)校可以擁有一套30臺(tái)平板電腦,學(xué)生用來訪問在線教育內(nèi)容。下面參照?qǐng)D2更詳細(xì)地描述用戶裝置110的各種實(shí)施例。
本地網(wǎng)絡(luò)120經(jīng)由代理服務(wù)器130連接到外部網(wǎng)絡(luò)140。代理服務(wù)器130監(jiān)測本地網(wǎng)絡(luò)120與外部網(wǎng)絡(luò)140之間的網(wǎng)絡(luò)業(yè)務(wù),并且在需要時(shí)執(zhí)行安全策略。在一個(gè)實(shí)施例中,代理服務(wù)器130包括防火墻,該防火墻阻止并非從用戶裝置110中的一個(gè)的中繼代理傳入或傳出的任何網(wǎng)絡(luò)業(yè)務(wù),如下參照?qǐng)D2更詳細(xì)所述。因此,用戶裝置110與外部網(wǎng)絡(luò)140之間的所有網(wǎng)絡(luò)業(yè)務(wù)都通過代理服務(wù)器130。因此,代理服務(wù)器130向本地網(wǎng)絡(luò)120提供對(duì)應(yīng)組織可以監(jiān)測業(yè)務(wù)和執(zhí)行安全策略的單個(gè)訪問點(diǎn)。例如,向?qū)W生提供在教室使用的平板電腦(用戶裝置110A-N)的學(xué)??梢詢H限于對(duì)于認(rèn)為適當(dāng)?shù)倪h(yuǎn)程內(nèi)容的訪問(白名單途徑),阻止對(duì)于認(rèn)為不適當(dāng)?shù)倪h(yuǎn)程內(nèi)容的訪問(黑名單途徑),或者使用這兩種處理的組合。此外,學(xué)??梢员O(jiān)測從平板電腦傳入和傳出的網(wǎng)絡(luò)業(yè)務(wù),以保證學(xué)生在學(xué)習(xí)或者識(shí)別當(dāng)前可以訪問但是應(yīng)當(dāng)阻止的不適當(dāng)內(nèi)容。
圖2是圖示出根據(jù)一個(gè)實(shí)施例的用戶裝置110的高級(jí)方框圖。在所示實(shí)施例中,用戶裝置110包括多個(gè)應(yīng)用210、中繼代理220、以及認(rèn)證憑證證書儲(chǔ)存器230。在其他實(shí)施例中,用戶裝置110包含不同和/或附加的元素。此外,可以按照與本文所述不同的方式將功能分布在元素之間。
認(rèn)證憑證證書儲(chǔ)存器230包括一個(gè)或多個(gè)非暫時(shí)性計(jì)算機(jī)可讀介質(zhì),并且被配置為存儲(chǔ)用于使用用戶裝置110的一個(gè)或多個(gè)用戶的認(rèn)證證書??梢允褂酶鞣N類型的認(rèn)證證書,包括用戶名和密碼對(duì)、數(shù)字護(hù)照、令牌等等。在一個(gè)實(shí)施例中,將認(rèn)證證書加密,以防止未授權(quán)使用。在另一個(gè)實(shí)施例中,定期(例如每小時(shí)一次)提示用戶提供認(rèn)證證書,并且將認(rèn)證證書存儲(chǔ)在存儲(chǔ)器中直到提供下一個(gè)提示,此時(shí)將舊證書從存儲(chǔ)器清除。通過這種方式,保護(hù)用戶的授權(quán)證書不被計(jì)算裝置的其他用戶未授權(quán)訪問。
應(yīng)用210在執(zhí)行時(shí)向用戶裝置110的用戶提供功能。應(yīng)用210中的至少一些訪問通過資源服務(wù)器150A-N中的一個(gè)或多個(gè)托管的遠(yuǎn)程內(nèi)容,作為它們提供的功能的一部分。例如,web瀏覽器可能嘗試訪問在第一資源服務(wù)器托管的名人八卦網(wǎng)站,而為了在高中地理課使用的教育應(yīng)用可能嘗試從第二資源服務(wù)器150B檢索全世界一系列地方的天氣數(shù)據(jù)。為了減少學(xué)生在課堂上脫離學(xué)習(xí)狀態(tài)的可能性,學(xué)校可能希望配置代理服務(wù)器130,允許用戶裝置110訪問天氣數(shù)據(jù)而不是名人八卦網(wǎng)站。
如上所述,利用傳統(tǒng)的系統(tǒng)配置(沒有中繼代理220),可能難以將代理服務(wù)器130配置為正確地允許和阻止對(duì)遠(yuǎn)程內(nèi)容的訪問。隨著移動(dòng)裝置110上安裝的應(yīng)用210的數(shù)量增加,配置代理服務(wù)器130的任務(wù)變得更加復(fù)雜、更加容易出錯(cuò)。例如,在AndroidTM操作系統(tǒng)中,每個(gè)應(yīng)用都保持它自己與外部網(wǎng)絡(luò)140的連接,并且因此,必須對(duì)于從其期望遠(yuǎn)程內(nèi)容請(qǐng)求的每個(gè)應(yīng)用個(gè)別地配置代理服務(wù)器130。此外,在教育設(shè)置中,任何給定用戶裝置110都很可能被多個(gè)學(xué)生使用,并且任何給定學(xué)生都很可能在不同時(shí)間使用用戶裝置110A-N的不同用戶裝置。因此,必須個(gè)別地向每個(gè)應(yīng)用210提供學(xué)生的認(rèn)證證書,這進(jìn)一步增加了系統(tǒng)的復(fù)雜性并且增加了破壞網(wǎng)絡(luò)安全的可能性。這些問題通過中繼代理220來解決。應(yīng)當(dāng)注意,本文用術(shù)語“中繼代理”來描述用戶裝置110的向本地網(wǎng)絡(luò)120提供(并且因此向遠(yuǎn)程網(wǎng)絡(luò)140提供)接入點(diǎn)的組件。這個(gè)術(shù)語不應(yīng)當(dāng)與諸如用作DHCP中繼的一部分的中繼代理相混淆,該DHCP中繼將DHCP服務(wù)器與客戶端隔離,并實(shí)現(xiàn)從多個(gè)這樣的服務(wù)器獲得租賃服務(wù)和選擇最需要的服務(wù)。在DHCP中繼接收來自多個(gè)用戶裝置的租賃請(qǐng)求并將這些請(qǐng)求分發(fā)至多個(gè)DHCP服務(wù)器的情況下,中繼代理220是在特定用戶裝置110上執(zhí)行的應(yīng)用,該特定用戶裝置110被配置為實(shí)現(xiàn)用戶裝置上執(zhí)行的其他應(yīng)用210與控制對(duì)外部網(wǎng)絡(luò)140(例如互聯(lián)網(wǎng))的訪問的代理服務(wù)器130之間的網(wǎng)絡(luò)業(yè)務(wù)的路由的定制。與通過相同方式路由所有租賃請(qǐng)求的DHCP代理不同,中繼代理220可以被配置為通過不同方式路由來自不同源的通信。例如,可以忽略從未知或受阻(列入黑名單)應(yīng)用接收的訪問外部網(wǎng)絡(luò)140的請(qǐng)求,或者路由到網(wǎng)絡(luò)管理員,而不是轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)。
中繼代理220在用戶裝置110上執(zhí)行并提供應(yīng)用210由其連接到代理服務(wù)器130(經(jīng)由本地網(wǎng)絡(luò)120)的集中機(jī)制。當(dāng)應(yīng)用210要求對(duì)遠(yuǎn)程內(nèi)容項(xiàng)(例如在資源服務(wù)器150上托管的內(nèi)容片段)的訪問時(shí),應(yīng)用向中繼代理220發(fā)送識(shí)別該內(nèi)容項(xiàng)的請(qǐng)求。在一個(gè)實(shí)施例中,請(qǐng)求是標(biāo)準(zhǔn)的HTTP請(qǐng)求。
中繼代理220將該請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)器130,該代理服務(wù)器130相應(yīng)地將該請(qǐng)求轉(zhuǎn)發(fā)給適當(dāng)?shù)馁Y源服務(wù)器150。因此,從代理服務(wù)器130的角度而言,請(qǐng)求來自于中繼代理220。因此,代理服務(wù)器130只需要被配置為轉(zhuǎn)發(fā)從中繼代理220接收的請(qǐng)求,并且可以被配置為阻止直接從應(yīng)用210接收的任何請(qǐng)求。
在一個(gè)實(shí)施例中,代理服務(wù)器130要求在任何時(shí)候建立與遠(yuǎn)程資源服務(wù)器150的連接時(shí)都提供用戶的認(rèn)證證書。為了解決這個(gè)問題,中繼代理220監(jiān)測從應(yīng)用210接收的網(wǎng)絡(luò)業(yè)務(wù),并且在需要時(shí)插入用戶的認(rèn)證證書(例如存儲(chǔ)在認(rèn)證憑證證書儲(chǔ)存器230中)。在一個(gè)實(shí)施例中,如果中繼代理220識(shí)別源自應(yīng)用210中的一個(gè)的對(duì)于資源服務(wù)器150的連接請(qǐng)求,中繼代理就將當(dāng)前用戶的認(rèn)證證書添加到該請(qǐng)求中。因此,并非對(duì)于每個(gè)應(yīng)用而言獨(dú)立地要求用戶提供認(rèn)證證書并處理對(duì)應(yīng)的數(shù)據(jù)管理開銷,用戶可以僅登入中繼代理220(例如通過提供用戶名和密碼),并且用戶裝置110上的所有應(yīng)用210都將利用該用戶的證書操作。在其他實(shí)施例中,使用其他方法來認(rèn)證用戶的身份,包括但不限于:指紋識(shí)別、臉部識(shí)別、和數(shù)字簽名。通過單個(gè)應(yīng)用(例如中繼代理220)為多個(gè)應(yīng)用提供用戶認(rèn)證也改善了用戶體驗(yàn),因?yàn)椴灰笥脩舳啻翁峁┱J(rèn)證證書。這在多個(gè)用戶共享單個(gè)用戶裝置110的環(huán)境(諸如學(xué)校)中特別有用。
圖3是圖示出示例計(jì)算機(jī)300的高級(jí)方框圖。計(jì)算機(jī)300包括耦合到芯片組304的至少一個(gè)處理器302。芯片組304包括存儲(chǔ)器控制器集線器320和輸入/輸出(I/O)控制器集線器322。存儲(chǔ)器306和圖形適配器312耦合到存儲(chǔ)器控制器集線器320,并且顯示器318耦合到圖形適配器312。儲(chǔ)存器裝置308、鍵盤310、定點(diǎn)裝置314、以及網(wǎng)絡(luò)適配器316耦合到I/O控制器集線器322。計(jì)算機(jī)300的其他實(shí)施例具有不同的基本結(jié)構(gòu)。
儲(chǔ)存器裝置308包括一個(gè)或多個(gè)非暫時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),例如硬盤驅(qū)動(dòng)器、壓縮盤只讀存儲(chǔ)器(CD-ROM)、DVD、或固態(tài)存儲(chǔ)器裝置。存儲(chǔ)器306保存處理器302使用的指令和數(shù)據(jù)。定點(diǎn)裝置314是鼠標(biāo)、軌跡球、或其他類型的定點(diǎn)裝置,并且與鍵盤310組合用于將數(shù)據(jù)輸入計(jì)算機(jī)系統(tǒng)300。圖形適配器312在顯示器318上顯示圖像和其他信息。網(wǎng)絡(luò)適配器316將計(jì)算機(jī)系統(tǒng)300耦合到一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò),諸如網(wǎng)絡(luò)120和140。
計(jì)算機(jī)300適合于執(zhí)行用于提供本文所述功能的計(jì)算機(jī)程序模塊。如同本文使用的,術(shù)語“模塊”指的是用于提供指定功能的計(jì)算機(jī)程序邏輯。因此,可以在硬件、固件、和/或軟件中實(shí)施模塊。在一個(gè)實(shí)施例中,程序模塊存儲(chǔ)在儲(chǔ)存器裝置308上,載入存儲(chǔ)器306,并通過處理器302執(zhí)行。
圖1和圖2的實(shí)體所使用的計(jì)算機(jī)的類型可以取決于實(shí)施例以及實(shí)體所要求的處理功率而改變。例如,資源服務(wù)器150可包括一起工作的多個(gè)服務(wù)器,以提供本文所述的功能,而用戶裝置110可以是平板計(jì)算裝置。取決于它們?cè)诰W(wǎng)絡(luò)化計(jì)算環(huán)境100中提供的特定功能,計(jì)算機(jī)可以沒有上述某些組件,諸如鍵盤310、圖形適配器312、以及顯示器318。
圖4圖示出根據(jù)一個(gè)實(shí)施例,中繼代理220管理應(yīng)用210與遠(yuǎn)程資源服務(wù)器150之間的網(wǎng)絡(luò)業(yè)務(wù)的方法。圖4的步驟是從進(jìn)行該方法的中繼代理220的角度示出。但是,這些步驟中的一些或全部可通過其他實(shí)體和/或組件進(jìn)行。此外,某些實(shí)施例可以并行進(jìn)行這些步驟,按照不同順序進(jìn)行這些步驟,或者進(jìn)行不同的步驟。
該方法始于中繼代理220從應(yīng)用210接收410訪問網(wǎng)絡(luò)化內(nèi)容(例如在資源服務(wù)器150上托管的內(nèi)容)的項(xiàng)的請(qǐng)求。在一個(gè)實(shí)施例中,該請(qǐng)求識(shí)別特定資源服務(wù)器150并包括在網(wǎng)絡(luò)化計(jì)算環(huán)境100中唯一識(shí)別所請(qǐng)求的內(nèi)容的內(nèi)容標(biāo)識(shí)符。
中繼代理220在需要時(shí)將認(rèn)證證書插入430該請(qǐng)求。在一個(gè)實(shí)施例中,中繼代理檢查該請(qǐng)求,以確定是否要求認(rèn)證證書。例如,如果在起源應(yīng)用110與托管資源服務(wù)器150之間連接已經(jīng)活躍,取決于代理服務(wù)器130的配置,可能就不需要提供認(rèn)證證書。如果需要插入430認(rèn)證證書,中繼代理220就從認(rèn)證憑證證書儲(chǔ)存器230檢索所要求的證書,并將它們添加到請(qǐng)求。在一個(gè)實(shí)施例中,中繼代理220起初在沒有插入430認(rèn)證證書的情況下發(fā)送請(qǐng)求。如果對(duì)于請(qǐng)求而言需要認(rèn)證證書,那么代理服務(wù)器130將拒絕該請(qǐng)求,并且中繼代理220將接收認(rèn)證失敗通知。作為響應(yīng),中繼代理220插入430所要求的認(rèn)證證書并重新發(fā)送該請(qǐng)求。
中繼代理220將請(qǐng)求(包括任何要求的認(rèn)證證書)轉(zhuǎn)發(fā)430給代理服務(wù)器130用于本地網(wǎng)絡(luò)。因?yàn)橥ㄟ^代理服務(wù)器130接收的請(qǐng)求源自中繼代理220,所以它包含所要求的認(rèn)證報(bào)頭。因此,代理服務(wù)器130處理該請(qǐng)求并且從托管資源服務(wù)器150檢索所要求的內(nèi)容。相反,如果應(yīng)用210直接向代理服務(wù)器230發(fā)送請(qǐng)求,那么該請(qǐng)求將缺少所要求的認(rèn)證報(bào)頭。因此,代理服務(wù)器將該請(qǐng)求識(shí)別為來自于未授權(quán)源,并防止請(qǐng)求離開本地網(wǎng)絡(luò)120。
中繼代理220接收440來自代理服務(wù)器130的響應(yīng),其包括從資源服務(wù)器150檢索的所請(qǐng)求的內(nèi)容。然后中繼代理220將所請(qǐng)求的內(nèi)容項(xiàng)轉(zhuǎn)發(fā)450給訪問內(nèi)容的請(qǐng)求源自的應(yīng)用210。然后可通過應(yīng)用210使用所請(qǐng)求的內(nèi)容,以將功能提供給終端用戶。例如,教育測驗(yàn)應(yīng)用可以檢索用于特定區(qū)域(例如學(xué)區(qū)、國家、全世界等等)的一組高分,并結(jié)合用戶自己的得分在用戶裝置110的顯示器上呈現(xiàn)它們。作為另一個(gè)示例,視頻播放器應(yīng)用可以在用戶裝置110的顯示器上呈現(xiàn)視頻內(nèi)容。
利用上述系統(tǒng)和方法,諸如學(xué)校這樣的組織可以有效地監(jiān)測進(jìn)出組織的本地網(wǎng)絡(luò)120的網(wǎng)絡(luò)業(yè)務(wù)。此外,該組織可以執(zhí)行網(wǎng)絡(luò)安全策略,諸如限制學(xué)生對(duì)某些已批準(zhǔn)網(wǎng)站的互聯(lián)網(wǎng)訪問。通過利用在用戶裝置110上安裝的中繼代理220,可將本地網(wǎng)絡(luò)的代理服務(wù)器130配置為只允許往來于中繼代理的網(wǎng)絡(luò)業(yè)務(wù)跨越本地網(wǎng)絡(luò)120與外部網(wǎng)絡(luò)140之間的邊界。因此,相比于每個(gè)應(yīng)用110直接訪問外部網(wǎng)絡(luò)140的配置(即不經(jīng)由中繼代理220),本地網(wǎng)絡(luò)的代理服務(wù)器130的配置簡單得多。此外,因?yàn)槭墙?jīng)由中繼代理220來路由往來于應(yīng)用的網(wǎng)絡(luò)業(yè)務(wù),所以個(gè)體應(yīng)用210不需要訪問用戶的認(rèn)證證書。因此,相對(duì)于惡意或設(shè)計(jì)不佳的應(yīng)用210,本地網(wǎng)絡(luò)120和用戶的安全得到保護(hù),不向未授權(quán)一方泄露認(rèn)證證書。
以上描述的某些部分在算法處理或操作方面描述了實(shí)施例。這些算法描述和表示由數(shù)據(jù)處理領(lǐng)域的普通技術(shù)人員共同用來將他們工作的實(shí)質(zhì)有效傳達(dá)給本領(lǐng)域其他技術(shù)人員。在功能、計(jì)算、或邏輯方面描述時(shí),這些操作被理解為通過計(jì)算機(jī)程序來實(shí)施,所述計(jì)算機(jī)程序包括用于通過處理器或等效電子電路、微代碼等等執(zhí)行的指令。此外,有時(shí)候也證明了將功能操作的這些布置表示為模塊是方便的,不損失一般性。可以在軟件、固件、硬件、或它們的任何組合中具體實(shí)施所述的操作以及它們的關(guān)聯(lián)模塊。
如同本文使用的,對(duì)“一個(gè)實(shí)施例”或“實(shí)施例”的任何參考都表示結(jié)合所述實(shí)施例描述的特定元件、特征、結(jié)構(gòu)、或特性包括在至少一個(gè)實(shí)施例中。在說明書中各個(gè)地方術(shù)語“在一個(gè)實(shí)施例中”的出現(xiàn)不一定都表示相同的實(shí)施例。
可以利用措辭“耦合”和“連接”連同它們的衍生物來描述某些實(shí)施例。應(yīng)當(dāng)理解,這些術(shù)語并非要成為相互的同義詞。例如,可以利用術(shù)語“連接”來描述某些實(shí)施例,以指示兩個(gè)或多個(gè)元件相互之間處于直接的物理或電接觸。在另一個(gè)示例中,可以利用術(shù)語“耦合”來描述某些實(shí)施例,以指示兩個(gè)或多個(gè)元件處于直接的物理或電接觸。但是,術(shù)語“耦合”也可以表示兩個(gè)或多個(gè)元件相互之間不是處于直接接觸,但是仍然相互配合或互動(dòng)。這些實(shí)施例不限于這個(gè)背景。
如同本文使用的,術(shù)語“包括”、“包含”、“含有”、“具有”、“有”或者它的任何其他變型都是為了涵蓋非排他性包括。例如,包括元素列表的處理、方法、物品或設(shè)備不一定僅限于這些元素,而是可包括未明確列出的其他元素或者這些處理、方法、物品或設(shè)備固有的其他元素。此外,除非明確地不同陳述,否則“或”都表示同或而非異或。例如,以下條件中的任何一個(gè)都滿足條件A或B:A真(或者有)且B假(或者沒有);A假(或者沒有)且B真(或者有);以及A和B皆真(或者有)。
此外,本文采用“一”或“一個(gè)”來描述實(shí)施例的元素或組件。這樣做只是為了方便,并且以給出本公開的一般含義。這種描述應(yīng)當(dāng)理解為包括一個(gè)或至少一個(gè),并且單數(shù)形式也包括多個(gè),除非明顯的另有所指。
在閱讀本公開時(shí),本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,存在用于利用中繼代理提供安全和可執(zhí)行的網(wǎng)絡(luò)連接的系統(tǒng)和處理的其他附加替代性結(jié)構(gòu)和功能設(shè)計(jì)。因此,雖然已經(jīng)示出和描述了特定實(shí)施例和應(yīng)用,但是應(yīng)當(dāng)理解,所述主題內(nèi)容并不限于本文公開的準(zhǔn)確構(gòu)造和組件,并且在本文公開的方法和設(shè)備的布置、操作和細(xì)節(jié)中可以進(jìn)行對(duì)本領(lǐng)域技術(shù)人員而言顯而易見的各種修改、改變和變化。本發(fā)明范圍僅由后附權(quán)利要求書來限定。