專利名稱:提供察覺防火墻穿越的相容的應(yīng)用程序的制作方法
提供察覺防火墻穿越的相容的應(yīng)用程序些旦 冃尿背景技術(shù)和相關(guān)領(lǐng)域隨著計(jì)算機(jī)化系統(tǒng)的日益流行�����,對(duì)大型和小型網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)系統(tǒng)的文件和 處理資源分布的需要也日益增加����。 一般而言,計(jì)算機(jī)系統(tǒng)和相關(guān)設(shè)備經(jīng)由網(wǎng)絡(luò) 通信信息是出于各種原因�,例如交換個(gè)人電子消息、出售商品���、提供賬戶信息 等����。然而人們會(huì)認(rèn)識(shí)到,隨著計(jì)算機(jī)系統(tǒng)及其相關(guān)應(yīng)用程序變得愈發(fā)復(fù)雜��,與 網(wǎng)絡(luò)上數(shù)據(jù)和資源(例如����,"設(shè)備"、"應(yīng)用"或"應(yīng)用組件")的共享相關(guān) 聯(lián)的各種難題也增加了���。在網(wǎng)絡(luò)內(nèi)管理資源的一些現(xiàn)有方法包括集中計(jì)算方案��,這會(huì)涉及與未在本 地安裝這些資源的一個(gè)或多個(gè)客戶共享資源的集中網(wǎng)關(guān)服務(wù)器��。這類示例之一 涉及允許客戶計(jì)算機(jī)系統(tǒng)登錄到本地內(nèi)聯(lián)網(wǎng)上的網(wǎng)關(guān)服務(wù)器�,或者通過網(wǎng)絡(luò)防 火墻登錄��?����?蛻粲?jì)算機(jī)隨后能夠使用安全連接通過防火墻來訪問感興趣的數(shù)據(jù) 和資源。在一個(gè)防火墻的示例中����,客戶計(jì)算機(jī)系統(tǒng)可能使用虛擬專用網(wǎng)("VPN")��、 遠(yuǎn)程訪問服務(wù)器("RAS")或其他相關(guān)類型的穿越防火墻的連接�,從客戶計(jì) 算機(jī)系統(tǒng)處的網(wǎng)絡(luò)層從隧道穿越防火墻到達(dá)服務(wù)器計(jì)算機(jī)系統(tǒng)處的對(duì)應(yīng)網(wǎng)絡(luò) 層。像這類從隧道穿越式的穿越防火墻的連接包括使用安全超文本傳輸協(xié)議 ("HTTPS")的客戶在網(wǎng)關(guān)服務(wù)器處進(jìn)行鑒別����,其中HTTPS是一種使用安 全套接層("SSL")或傳輸層安全("TLS")加密機(jī)制來交換加密信息的 HTTP機(jī)制。在網(wǎng)關(guān)服務(wù)器允許通過防火墻之后�����,該客戶計(jì)算機(jī)系統(tǒng)隨后就能 夠訪問該防火墻之后的所有資源�,諸如通過使用一個(gè)或多個(gè)套接字來與給定資 源互連。使用另一種穿越防火墻的解決方案����,諸如連接客戶處的應(yīng)用層和服務(wù)器處 的應(yīng)用層的解決方案,用戶可能還需要調(diào)出與感興趣資源相關(guān)聯(lián)的協(xié)議處理 器����。協(xié)議處理器在此情況下本質(zhì)上是應(yīng)用編程接口 ( "API"),它通常也可由第三方開發(fā)者設(shè)計(jì)為對(duì)RPC/HTTPS通信棧的插件(即����,"協(xié)議處理器插 件")�����。除了被配置為與某類資源或應(yīng)用程序通信之外�����,協(xié)議處理器插件通常 也可被設(shè)計(jì)為包括確定的網(wǎng)絡(luò)策略,以便使用給定的資源(或"應(yīng)用程序")�����。 于是�����, 一旦登錄��,并且一旦傳遞該協(xié)議處理器插件所要求的任何必需的鑒別級(jí) 別���,客戶計(jì)算機(jī)系統(tǒng)就能夠與服務(wù)器計(jì)算機(jī)系統(tǒng)處的被請(qǐng)求的資源交換信息�。 例如���,客戶可以發(fā)送鼠標(biāo)和鍵盤事件�,這些事件隨后被中繼給適當(dāng)?shù)馁Y源。該 資源隨后處理這些事件���,并將處理結(jié)果返回給客戶以供本地顯示���。不幸的是���,盡管這些不同類型的穿越解決方案可能具備一些優(yōu)點(diǎn)���,但是多 個(gè)低效率的特性使得這些通信類型從第三方開發(fā)者的觀點(diǎn)來看難以實(shí)現(xiàn)。例 如�����,當(dāng)使用網(wǎng)絡(luò)層而非應(yīng)用層之間的網(wǎng)絡(luò)連接時(shí)����,客戶可以有效地禁用本地網(wǎng) 絡(luò)操作。例如��,在各網(wǎng)絡(luò)層之間造出的連接隧道可以禁用某些類型的網(wǎng)絡(luò)資源�, 而這些資源本來可用于其他類型的網(wǎng)絡(luò)連接,于是就使得例如客戶可能無(wú)法訪 問局域網(wǎng)打印機(jī)�,本地網(wǎng)可用的音樂或視頻流設(shè)備等����。另一個(gè)問題是所有的因特網(wǎng)通信量都被引導(dǎo)通過該客戶計(jì)算機(jī)系統(tǒng)所連 接的服務(wù)器計(jì)算機(jī)系統(tǒng)���。于是���,如果該客戶使用VPN連接至公司防火墻,并 且該客戶請(qǐng)求基于外部新聞的網(wǎng)站�,該基于新聞的網(wǎng)站將在打通其通向該客戶 計(jì)算機(jī)系統(tǒng)的道路之前從隧道穿越該公司防火墻。再一個(gè)問題是VPN/RAS可 以只檢査分組并過濾���,但是對(duì)復(fù)雜的或完全狀態(tài)的協(xié)議是難以這樣做的�����。作為替代��,與應(yīng)用層類的連接有關(guān)的問題包括這一概念��,即第三方開發(fā)者 難以開發(fā)出能夠控制應(yīng)用程序-協(xié)議在較高級(jí)別通過服務(wù)器網(wǎng)關(guān)的協(xié)議處理器 插件�。更具體地�����,雖然應(yīng)用層連接可能允許客戶同時(shí)連接至其他網(wǎng)絡(luò),因?yàn)槊?個(gè)連接都是基于應(yīng)用的身份而非網(wǎng)絡(luò)的身份���,但是這種類型的集成意味著開發(fā) 者也需要為愿意讓客戶能夠訪問的每個(gè)獨(dú)立資源或應(yīng)用程序創(chuàng)建不同的協(xié)議 處理器插件��。這會(huì)導(dǎo)致更多的問題�����,因?yàn)槊總€(gè)不同的協(xié)議處理器也需要包括額 外的且唯一的訪問策略���。這些訪問策略可以包括例如一用戶甚至是一類用戶如 何�����、何時(shí)或是否應(yīng)被允許登錄(或訪問)某一資源����。于是,例如實(shí)現(xiàn)應(yīng)用層連接的開發(fā)者可以編寫一個(gè)使用遠(yuǎn)程桌面協(xié)議 ("RDP")的協(xié)議處理器插件���,該插件可以實(shí)現(xiàn)與網(wǎng)關(guān)服務(wù)器的一種訪問策 略����;與此同時(shí),編寫一個(gè)使用服務(wù)器信息塊("SMB")協(xié)議的協(xié)議處理器插件����,而該插件則可以在網(wǎng)關(guān)服務(wù)器處使用又一種不同的訪問策略。除了具有潛 在唯一的訪問策略��,每個(gè)協(xié)議處理器還具有彼此分開且唯一的腳本���,用于其他 各類管理和診斷工具��。于是��,時(shí)常會(huì)出現(xiàn)這樣的情況���,即開發(fā)者為他們期望其 可以通過防火墻進(jìn)行訪問的每個(gè)不同的感興趣的資源不斷地創(chuàng)建不同的插件、 網(wǎng)絡(luò)策略以及相關(guān)的診斷腳本�。對(duì)于開發(fā)者和網(wǎng)絡(luò)管理員而言,完成這些創(chuàng)建將會(huì)相當(dāng)復(fù)雜�,特別是在考 慮到服務(wù)器和/或資源在其生存期中可能會(huì)遇到的各種代碼版本的情況下更是 如此。例如����,客戶計(jì)算機(jī)系統(tǒng)在與服務(wù)器通信之前可能尚未安裝某一資源或應(yīng) 用功能部件�,而這些功能部件可以確保通信不被截取�����,或不易出現(xiàn)訛誤�����。然而����, 現(xiàn)有的安全鑒別協(xié)議和協(xié)議處理器插件通常不會(huì)考慮這類限制。相反地��,這些 問題會(huì)在稍后由連接的資源來處理�����,但這會(huì)導(dǎo)致通信錯(cuò)誤�����、連接的丟失或截取��, 在最壞情況下甚至?xí)<熬W(wǎng)關(guān)服務(wù)器的安全��。更具體地���,現(xiàn)有的訪問策略控制 不能容易地向網(wǎng)絡(luò)和/或資源管理員提供粒度控制�。因此����,現(xiàn)有的客戶/服務(wù)器通信存在許多要解決的低效問題。發(fā)明簡(jiǎn)述本發(fā)明的各個(gè)實(shí)現(xiàn)使用系統(tǒng)�、方法和計(jì)算機(jī)程序產(chǎn)品來解決本領(lǐng)域中的一個(gè)或多個(gè)問題,這些系統(tǒng)��、方法和計(jì)算機(jī)程序產(chǎn)品被配置為提供一個(gè)在其中開發(fā)者能夠容易地提供客戶/服務(wù)器應(yīng)用連接的標(biāo)準(zhǔn)化平臺(tái)���。更具體地���,本發(fā)明的一個(gè)實(shí)現(xiàn)包括安全通信框架,它被配置為在通信棧的應(yīng)用層處有效且安全地穿過防火墻來連接遠(yuǎn)程客戶和任何服務(wù)器資源����。通信框架可以考慮多種合適的訪問策略而促進(jìn)連接,并且這些訪問策略無(wú)需開發(fā)者分別開發(fā)���。此外��,該通信框架還可以包括某些隔離功能��,這些功能可用來確?�?蛻舨粫?huì)連接至尚未安裝最低要求軟件補(bǔ)丁的資源���。例如�����,在具有至少一個(gè)遠(yuǎn)程過程調(diào)用層和安全超文本傳輸協(xié)議層的網(wǎng)關(guān)服務(wù)器處���,根據(jù)本發(fā)明一個(gè)實(shí)現(xiàn)的方法可以包括接收來自一客戶的連接請(qǐng)求。一 般而言����,該連接請(qǐng)求能標(biāo)識(shí)客戶期望連接的資源。本方法還包括將連接與該客 戶隔離��,以判定該客戶是否支持最小一組的功能部件��。此外�����,本方法還包括基 于標(biāo)識(shí)資源的資源類型來標(biāo)識(shí)協(xié)議處理器插件�����,并將與該客戶的連接轉(zhuǎn)發(fā)給這一標(biāo)識(shí)的協(xié)議處理器插件���。此外�����,在其中客戶穿過網(wǎng)關(guān)服務(wù)器防火墻訪問一資源的客戶計(jì)算機(jī)系統(tǒng) 處���,根據(jù)本發(fā)明一個(gè)實(shí)現(xiàn)的方法可以包括發(fā)送有關(guān)在網(wǎng)關(guān)服務(wù)器處進(jìn)行連接的 請(qǐng)求。 一般而言�����,該請(qǐng)求能夠標(biāo)識(shí)一服務(wù)器資源以與對(duì)應(yīng)的客戶資源相連接��。 本方法還包括接收來自網(wǎng)關(guān)服務(wù)器對(duì)于在客戶資源處可用的最小一組的功能 部件的請(qǐng)求����。此外,本方法包括發(fā)送版本響應(yīng)給網(wǎng)關(guān)服務(wù)器�����,其中該響應(yīng)指示 客戶處支持的一組功能部件。此外�,從客戶觀點(diǎn)看本方法可以包括連接至網(wǎng)關(guān) 服務(wù)器處的通信棧的應(yīng)用層。由此���,客戶資源可以與關(guān)聯(lián)于該服務(wù)器資源的協(xié) 議處理器插件傳輸數(shù)據(jù)�。提供本概述以便以簡(jiǎn)化形式介紹選擇的概念��,這些概念將在以下的詳細(xì)描 述中被進(jìn)一步描述��。本概述并不旨在標(biāo)識(shí)要求保護(hù)的主題的關(guān)鍵特征或本質(zhì)特 征�,也不旨在用于幫助確定要求保護(hù)的主題的范圍。本發(fā)明的額外特征和優(yōu)點(diǎn)將在以下的描述中闡述����,并且部分可從該描述中 顯而易見,或者可以從本發(fā)明的實(shí)踐中習(xí)得�����。各個(gè)特征和優(yōu)點(diǎn)可以通過在所附 權(quán)利要求中特別指出的手段和組合來認(rèn)識(shí)并獲取�。本發(fā)明的這些和其它特征將 從以下描述和所附權(quán)利要求書中變得完全顯而易見,或者可通過如下所述對(duì)本 發(fā)明的實(shí)踐而獲知��。
為了描述在其中能夠獲得本發(fā)明的前述和其他優(yōu)點(diǎn)和特征的方式���,將通過 參考在附圖中示出的特定實(shí)施例來呈現(xiàn)以上簡(jiǎn)述的本發(fā)明的更具體描述���。應(yīng)該 理解這些附圖僅描述了本發(fā)明的典型實(shí)施例,因此不將其考慮為對(duì)本發(fā)明的范 圍的限制���,通過使用附圖可以用附加的特性和細(xì)節(jié)來描述本發(fā)明��,在附圖中圖1A根據(jù)本發(fā)明一個(gè)實(shí)現(xiàn)示出了系統(tǒng)的概略圖�����,在所述系統(tǒng)中客戶計(jì)算 機(jī)系統(tǒng)與網(wǎng)關(guān)服務(wù)器通信框架進(jìn)行通信依此穿越防火墻����;圖1B根據(jù)本發(fā)明一個(gè)實(shí)現(xiàn)示出了圖1A所示系統(tǒng)的概略圖�,在所述系統(tǒng) 中客戶計(jì)算機(jī)系統(tǒng)與指定資源通信;以及圖2示出了方法的流程圖�,從客戶計(jì)算機(jī)系統(tǒng)和網(wǎng)關(guān)服務(wù)器的角度所述方 法根據(jù)由通信框架提供的網(wǎng)絡(luò)策略用于穿越防火墻,以及用于與指定資源通信���。詳細(xì)說明本發(fā)明的各個(gè)實(shí)現(xiàn)延伸至系統(tǒng)�、方法和計(jì)算機(jī)程序產(chǎn)品,這些系統(tǒng)�、方法 和計(jì)算機(jī)程序產(chǎn)品被配置為提供一個(gè)在其中開發(fā)者能夠容易地提供客戶/服務(wù)器應(yīng)用連接的標(biāo)準(zhǔn)化平臺(tái)。更具體地��,本發(fā)明的一個(gè)實(shí)現(xiàn)包括安全通信框架�����, 它被配置為在通信棧的應(yīng)用層處有效且安全地穿過防火墻來連接遠(yuǎn)程客戶和 任何服務(wù)器資源��。通信框架可以考慮多種合適的訪問策略而促進(jìn)連接��,并且這 些訪問策略無(wú)需開發(fā)者分別開發(fā)���。此外�����,該通信框架還可以包括某些隔離功能�, 這些功能可用來確??蛻舨粫?huì)連接至尚未安裝最低要求軟件補(bǔ)丁的資源。作為這些和其他特征的結(jié)果��,根據(jù)本發(fā)明各方面的通信框架簡(jiǎn)化了延伸點(diǎn) 對(duì)點(diǎn)應(yīng)用協(xié)議的能力,為此利用了網(wǎng)關(guān)��。例如�����,本發(fā)明的各方面允許在網(wǎng)關(guān)服 務(wù)器處為客戶暴露給知曉應(yīng)用的協(xié)議處理器插件��,而這些插件能提供對(duì)如何����、 何時(shí)以及由誰(shuí)訪問特定資源的指定管理����。因?yàn)榇蠖鄶?shù)訪問策略都包括在通信框 架內(nèi),所以粒度配置和傳遞-通過用策略可由協(xié)議處理器插件開發(fā)者容易地實(shí) 現(xiàn)�,并使得協(xié)議處理器插件的開發(fā)變得更為簡(jiǎn)單和高效。此外����,根據(jù)本發(fā)明各 方面的通信框架能夠確保只有支持特定功能部件的客戶才能從隧道穿越第一 實(shí)例中的網(wǎng)關(guān)服務(wù)器防火墻,并最終建立對(duì)資源的通道��。作為預(yù)備����,在此描述的簡(jiǎn)圖和流程圖作出對(duì)根據(jù)本發(fā)明各方面可使用的多 個(gè)應(yīng)用編程接口 ( "API")的引用��。能夠從客戶側(cè)和從網(wǎng)關(guān)服務(wù)器側(cè)與通信 框架一并使用的API的數(shù)目可以隨著任何實(shí)現(xiàn)而有所變化����。例如�,在一個(gè)實(shí)現(xiàn)中,可以存在至少兩個(gè)客戶API��,以及至少四個(gè)網(wǎng)關(guān)服務(wù)器API����。從客戶側(cè),例如一個(gè)客戶API能夠包括"核心API"�����,它允許客戶協(xié)議處 理器插件創(chuàng)建和找出隧道����,創(chuàng)建通道,并將通信量發(fā)送至資源服務(wù)器�。這一核 心API還包括額外的API,這些API依據(jù)資源訪問策略聚集非默認(rèn)證書�。第二 客戶API可以包括"配置API"����。配置API能夠允許客戶協(xié)議處理器插件存儲(chǔ) 并載入配置信息用以連接至網(wǎng)關(guān)服務(wù)器(例如�����,網(wǎng)關(guān)服務(wù)器名��、授權(quán)類型等) 并且控制客戶適配器的行為���。從服務(wù)器側(cè), 一個(gè)網(wǎng)關(guān)服務(wù)器API也包括"核心API"���,它允許網(wǎng)關(guān)服務(wù)器協(xié)議處理器插件服務(wù)于客戶請(qǐng)求以創(chuàng)建通道����,并將來自客戶的通信量轉(zhuǎn)發(fā)給 網(wǎng)關(guān)服務(wù)器并且反之亦然����。同樣是"配置API"的第二API能夠?yàn)榉?wù)器協(xié)議永久性數(shù)據(jù)提供公共存儲(chǔ)。第三API�,即"策略API"可以提供對(duì)網(wǎng)絡(luò)和資源訪問策略的接口,該接口可由網(wǎng)關(guān)服務(wù)器協(xié)議處理器插件用來判定在通道創(chuàng)建期間���,用戶是否被授權(quán)連接至一特定的資源服務(wù)器���。第四API��,即"運(yùn)行時(shí)狀 態(tài)和控制API"能夠允許邊緣上的管理工具監(jiān)視使用情況并對(duì)運(yùn)行時(shí)狀態(tài)做出 改變����,例如關(guān)閉屬于行為不端用戶的隧道�����。這里有幾個(gè)可以根據(jù)本發(fā)明的大致原理來使用的具體API類型的例子�����。這 些API的功能可以連同以下各附圖的概括引用一并討論�。例如,圖1A示出了 在其中客戶計(jì)算機(jī)系統(tǒng)100嘗試與位于網(wǎng)關(guān)服務(wù)器150處防火墻后的具體資源 (例如�����,應(yīng)用或相關(guān)組件)通信的本發(fā)明一個(gè)實(shí)現(xiàn)的概略圖�����。為了讓這一通信 得以發(fā)生,客戶100和網(wǎng)關(guān)服務(wù)器150將最終使用類似配置的協(xié)議處理器插件 (例如�,115a-b),它包括了能夠在通信框架107 (即�,"插件"至框架)的 上下文中通信和/或操作的一組API (例如,上述API)�����。正如將從隨后的說明書和權(quán)利要求書中更為透徹地理解的那樣�����,通信框架 107是包括了各類組件�、處理模塊����、工具、索引等的富功能部件數(shù)據(jù)結(jié)構(gòu)(例 如��,包括上述的四個(gè)API)���。 一般而言����,通信框架107被設(shè)計(jì)和/或配置,使得 開發(fā)者能夠容易地設(shè)計(jì)與通信框架107接口的協(xié)議處理器插件(例如����,115a-b、 117)����,并且使用在通信框架107內(nèi)提供的功能部件和策略而無(wú)需分開地開發(fā) 或編寫這些功能部件和策略。更具體地���,圖1API示出了通信框架107包括通信棧113�����,它可用于在網(wǎng) 絡(luò)135處的物理邊界和網(wǎng)絡(luò)服務(wù)器150處的多個(gè)軟件組件之間進(jìn)行接口����。 一般 而言����,網(wǎng)關(guān)服務(wù)器150可以包括任何網(wǎng)絡(luò)邊緣服務(wù)器,諸如大型組織的防火墻 式的因特網(wǎng)服務(wù)器���,用來傳遞通過所有的入站和出站因特網(wǎng)通信量�����。例如����,組 織內(nèi)的工作者期望從家中的辦公地點(diǎn)連接到辦公室地點(diǎn)處的資源,那么在他訪 問防火墻后的資源之前�,將要連接通過網(wǎng)關(guān)服務(wù)器150。由此�����,通信框架107能夠包括任何數(shù)量的組件和模塊�����,以便與可用來訪問 具體資源的防火墻后的各個(gè)資源接口�����。例如�,圖1A示出了在通信框架107處 的通信棧113的一個(gè)實(shí)現(xiàn)包括安全超文本傳輸協(xié)議("HTTPS")層105�,以及可插傳輸層110b。在一個(gè)實(shí)現(xiàn)中��,可插傳輸層110b (以及層110a)是遠(yuǎn)程 過程調(diào)用("RPC")層llb,使得層105a-b和層llOa-b也可以統(tǒng)稱為 "HTTPS/RPC"�����。當(dāng)被這樣使用時(shí)��,HTTPS層105b解密或解碼任何SSL或 TLS加密/編碼�,而可插傳輸層110b則拆封在客戶100的對(duì)應(yīng)可插傳輸層110a 處做出的任何包裝(例如,RPC)���。當(dāng)然�,通信棧113內(nèi)可以包括任何數(shù)量的額外層或可選層��,這些層可以是 傳統(tǒng)的7層操作系統(tǒng)互連("OSI")模型的一部分或與其相關(guān)����。例如,雖然 在此實(shí)現(xiàn)中為了簡(jiǎn)明示出了 HTTPS/可插傳輸層105b/110b做出的最小一組的 層���,但是這不是實(shí)現(xiàn)本發(fā)明各方面的唯一途徑���。在其他實(shí)現(xiàn)中,例如開發(fā)者可 以省去HTTPS,并且使用基于SSL和/或傳輸控制協(xié)議("TCP")解決方案 的���、也可通過安全連接來連接客戶和網(wǎng)關(guān)應(yīng)用層的另一種連接機(jī)制���。因此, HTTPS/可插傳輸��,特別是HTTPS/RPC組���,只是用來提供穿越防火墻的解決原 理的一種可能的途徑�。特別地�,HTTPS和諸如RPC的可插傳輸層的一個(gè)優(yōu)點(diǎn)是諸如RPC的某些 協(xié)議可以與HTTP的早期版本(例如,HTTP版本1.0)向后兼容�����。于是��,開發(fā) 者使用一組HTTPS/RPC可以發(fā)現(xiàn)這種穿越防火墻解決方案的原則可以在較早 的服務(wù)器處更容易地被利用��,或者在把通信量的類型限制在更為普通的HTTP 類型的通信量的服務(wù)器中來利用��。無(wú)論如何�,圖1A還示出了穿越應(yīng)用接口 ("穿越API") 160作為HTTPS/ 可插傳輸捆綁棧113的頂層。穿越API 160可以包括任何數(shù)量的組件和模塊(例 如���,上述的一個(gè)或多個(gè)"核心API"��、"配置API"�、"策略API"和/或"運(yùn) 行時(shí)狀態(tài)和控制API")用于在客戶IOO和適當(dāng)?shù)膮f(xié)議處理器插件之間創(chuàng)建適 當(dāng)?shù)倪B接�,并用于確保在連接中實(shí)現(xiàn)適當(dāng)?shù)木W(wǎng)絡(luò)策略。例如��,穿越API160包 括訪問策略組件170 (例如�,"策略API")以及管理工具組件175 (例如, "配置API"和/或"運(yùn)行時(shí)狀態(tài)和控制API")���,它們可以為隨后具體描述的 多個(gè)功能所引用��。然而更一般地�,穿越API 160可以用作為一種補(bǔ)償片(shim)��, 存在于通信棧113中的HTTPS/可插傳輸捆綁和用來與一具體資源通信的一個(gè) 或多個(gè)協(xié)議處理器插件之間����。例如,圖1A示出了網(wǎng)關(guān)服務(wù)器150至少還包括協(xié)議處理器插件115b和117����。
一般而言�,協(xié)議處理器插件是由第三方開發(fā)者開發(fā)的接口��,它的一端能夠與通信框架107的范圍相接口�。而另一端則把通過通信框架107接收到的數(shù)據(jù)傳遞給一具體資源。此外�����,協(xié)議處理器插件可以依照插件的"類型"是有關(guān) 一資源還是一類資源而進(jìn)行定義�。例如,通過公共接口來進(jìn)行交互的一組辦公 室應(yīng)用程序可以組成一種類型的應(yīng)用程序����,而通過不同的接口進(jìn)行交互的一組 數(shù)據(jù)庫(kù)程序則可組成一種不同類型的應(yīng)用程序或資源。此外�,諸如打印機(jī)或硬 盤驅(qū)動(dòng)器的硬件可以組成具有其他類型的通信接口的又一種資源。由此�����,提供 資源的開發(fā)者也可以為給定資源編寫唯一的協(xié)議處理器插件���。然而��,開發(fā)者還需要為客戶提供對(duì)應(yīng)的協(xié)議處理器插件�����,這樣客戶就能夠與被請(qǐng)求的資源進(jìn)行通信�。于是����,例如圖1A示出了客戶IOO具有通信棧103, 該通信棧103也包括HTTPS層105a和可插傳輸層110a�����。 一般而言�,可插傳輸 層110a用于根據(jù)適當(dāng)?shù)膮f(xié)議(例如,當(dāng)使用RPC層時(shí)是RPC協(xié)議)來包裝任 何外出的消息(例如���,130)�����,而HTTPS層105API則用于諸如使用SSL或TLS 加密或編碼來加密或編碼外出消息���。位于客戶的HTTPS/可插傳輸捆綁頂層的 是協(xié)議處理器插件115a����。一般而言����,協(xié)議處理器插件115a包括任何接口 (例如,"核心API"和/ 或"配置API")���、創(chuàng)建連接隧道必需的資源或組件����、以及與網(wǎng)關(guān)服務(wù)器150 處的適當(dāng)資源通信的對(duì)應(yīng)通道(在隧道內(nèi)部)�。因此,協(xié)議處理器插件115a 至少與協(xié)議處理器插件115b互補(bǔ)����。例如,圖1A示出了協(xié)議處理器插件115a 是對(duì)應(yīng)于客戶100本地使用的資源類型(g卩��,資源120a)的某一類型(即�,"類 型A"),并由此能夠使用相同的調(diào)用����、編碼等來與互補(bǔ)的協(xié)議處理器插件通 信���。沿著這些線路,圖lA還示出了通信棧103包括資源120a(例如�����,應(yīng)用程 序����、組件甚至是另一API)�����。例如����,客戶打開本地計(jì)算機(jī)系統(tǒng)上的數(shù)據(jù)庫(kù)應(yīng)用 程序,而該應(yīng)用程序則與位于網(wǎng)關(guān)服務(wù)器150處防火墻后的數(shù)據(jù)庫(kù)的工作版本 相同步��。雖然資源120a在某些情況下可以是應(yīng)用程序的完整版本����,但是資源 120a可以只是應(yīng)用程序的軟件組件,用以允許從網(wǎng)關(guān)服務(wù)器150流入的數(shù)據(jù)以 某一方式得到顯示����。因此����,諸如資源120a的組件在此情況下提供能夠讓客戶 100直接與網(wǎng)關(guān)服務(wù)器150處的資源相連接的最小一組的資源��。例如��,圖1A示出了客戶100使用資源120a請(qǐng)求130與資源120b的通信����。 這樣,客戶100就啟用具有適當(dāng)協(xié)議處理器插件(即����,115a)的通信棧103, 該協(xié)議處理器插件是針對(duì)所期望的資源(即,資源120a)的適當(dāng)類型(即�,"類 型A")??蛻?00隨后通過通信棧113將連接請(qǐng)求消息130發(fā)送給網(wǎng)關(guān)服務(wù) 器150。更具體地�,協(xié)議處理器插件115a用鑒別信息(例如,用戶名和密碼���、 客戶身份����、數(shù)字簽名)、對(duì)資源120b的具體調(diào)用���、以及可能在穿越API 160 處所必需的任何網(wǎng)絡(luò)策略信息來準(zhǔn)備輸出消息130�����。消息130隨后在可插傳輸 層110封裝,在HTTPS層105加密(即���,經(jīng)由TLS或SSL)����,并在隨后由協(xié) 議處理器插件115a經(jīng)網(wǎng)絡(luò)135發(fā)送�����。通信框架107隨后接收消息130�����,并執(zhí)行初始的拆封和解碼功能���。例如�����, HTTPS層105b解密任何SSL或TLS編碼�����,而可插傳輸層110b拆封來自任何 適當(dāng)編碼(例如���,RPC編碼)的消息��。穿越API160隨后可以檢査消息130中 的鑒別信息�,并且判定客戶IOO是否基于公正粒度訪問策略而被授權(quán)進(jìn)行所請(qǐng) 求的連接���。更具體地�,在一個(gè)實(shí)現(xiàn)中����,訪問策略的粒度是基于將訪問策略區(qū)分 為至少兩個(gè)獨(dú)立的組 一種網(wǎng)絡(luò)訪問策略,用于判定在第一實(shí)例中客戶是否被授權(quán)做出對(duì)服務(wù)器150的網(wǎng)絡(luò)連接�����;以及一種資源訪問策略,用于判定無(wú)論客 戶被允許創(chuàng)建連接隧道與否�,該客戶是否被授權(quán)具有與所請(qǐng)求資源的連接。這 些訪問策略(網(wǎng)絡(luò)或資源)授權(quán)可以取決于網(wǎng)絡(luò)和/或應(yīng)用程序/資源管理器所 期望的任何數(shù)量的考慮來配置�����,諸如鑒別傳統(tǒng)的用戶名和密碼�,標(biāo)識(shí)"客戶健 康狀況"等(例如,以下將更為全面討論的隔離功能部件)����。網(wǎng)絡(luò)訪問策略規(guī)則的某些示例包括對(duì)客戶100的用戶是否是與所請(qǐng)求資 源相關(guān)聯(lián)的經(jīng)授權(quán)團(tuán)體一部分的限制。 一組網(wǎng)絡(luò)訪問策略還可被配置為將某些 服務(wù)器連接限定為僅對(duì)市場(chǎng)部門的團(tuán)體��,將普通服務(wù)器連接隧道的數(shù)量限制在 最大值之下���,限制對(duì)防火墻后某一服務(wù)器的訪問(限制一天中的訪問時(shí)間、特 定用戶等)�,甚至將訪問限制為給定服務(wù)器上的指定端口。其他的網(wǎng)絡(luò)訪問策 略還可被配置為要求客戶在連接至服務(wù)器150之前出示"智能卡"����。沿著類似的線路,一組資源訪問策略可被配置為限制對(duì)一資源的連接通道 的數(shù)量(雖然用戶已經(jīng)穿過防火墻連接至該服務(wù)器), 一般地限定所有資源����, 和/或甚至將資源和/或連接限定為僅在一天的某一時(shí)段對(duì)某些團(tuán)體的用戶開放。至少部分因?yàn)榫W(wǎng)絡(luò)訪問策略和資源訪問策略可以用個(gè)性化的準(zhǔn)則獨(dú)立配置�,所以訪問策略組件170可以提供對(duì)網(wǎng)關(guān)服務(wù)器150處的鑒別和訪問過濾有精細(xì)得多的粒度控制的網(wǎng)絡(luò)和/或訪問管理程序。更具體地��,這兩類策略(即���,資源訪問策略和網(wǎng)絡(luò)訪問策略)可以經(jīng)由"訪 問級(jí)別"鏈接���,這就允許網(wǎng)絡(luò)和/或應(yīng)用程序/資源管理員相當(dāng)獨(dú)立地定義和發(fā) 展他們的策略,特別是在他們同意他們之間的一組具體的訪問級(jí)別的情況下�。 例如,用戶能夠訪問在提供特定用戶名和密碼的情況下在一天的某一時(shí)段訪問 一組資源���,但是在同樣出示智能卡的情況下也不能在一天的另一時(shí)段訪問同一 組資源����。類似地�,用戶能夠在一天的另一時(shí)段或者在周末的某一時(shí)段訪問一組 不同的無(wú)重疊資源,無(wú)論該用戶是否出示任何形式的鑒別��。另外,網(wǎng)絡(luò)和資源訪問策略的結(jié)合可以用來防止用戶在具有對(duì)服務(wù)器最大連接隧道的特定限制的一天的一個(gè)時(shí)段一起訪問服務(wù)器150��,或者可以用來連 接一個(gè)內(nèi)部服務(wù)器之后的資源版本���,但不連接至在具體時(shí)段內(nèi)在另一服務(wù)器處 存留的同一資源的不同版本��。當(dāng)然�,由訪問策略組件170的網(wǎng)絡(luò)和資源訪問策 略內(nèi)的獨(dú)立準(zhǔn)則提供的這一粒度控制級(jí)別可以通過將用戶的訪問級(jí)別從基礎(chǔ) 級(jí)簡(jiǎn)單地改變?yōu)楣芾硇愿鼜?qiáng)的訪問類型級(jí)別而得到修改�。無(wú)論如何,圖1A還示出了通信框架107用消息140回復(fù)���,以請(qǐng)求例如該 通信框架107被配置為與其通信的一個(gè)或多個(gè)功能部件中的任何數(shù)量的功能部 件����。更具體地����,本發(fā)明的實(shí)現(xiàn)還可以包括如上所述的可能的隔離功能部件作為 網(wǎng)絡(luò)訪問策略的一部分��,在其中通信框架107確保只有具備了資源或功能部件 得最小組(例如�,特定的資源版本、協(xié)議或組件組��、軟件補(bǔ)丁等)的那些客戶 才被允許連接至給定的服務(wù)器資源。在可選的實(shí)現(xiàn)中����,通信框架107簡(jiǎn)單地關(guān)閉不受客戶100支持的任何功能 部件,使得該客戶不會(huì)在某些點(diǎn)處嘗試與這些不受支持的功能部件進(jìn)行通信���。 例如��,資源120b的開發(fā)者可能已經(jīng)為該資源提供了多個(gè)功能部件或功能部件 更新��,但是除非客戶100 (或者由資源訪問策略標(biāo)識(shí)的一類用戶中的客戶)也 已具備了最小一組的對(duì)應(yīng)的資源���、功能部件或功能部件更新,否則就不應(yīng)允許 客戶100訪問(或使用)這一資源�����。這些資源���、功能部件和/或相關(guān)的功能部件 更新可以是功能性的��,但是也可以是安全相關(guān)的����,并且可以對(duì)開發(fā)者的實(shí)施甚為重要的。因此���,在一個(gè)實(shí)現(xiàn)中�����,通信框架107可以簡(jiǎn)單地對(duì)所請(qǐng)求的連接進(jìn)行隔離�����,直到與客戶IOO協(xié)商的這些功能部件被驗(yàn)證或鑒別�����?��?蛻鬒OO隨后處理消息140,例如通過檢測(cè)哪些功能部件客戶100正在運(yùn) 行或配備以用來運(yùn)行�,并準(zhǔn)備響應(yīng)。例如�,圖1B示出了客戶100用消息145 回復(fù),來指示任何這種標(biāo)識(shí)的����、受支持的功能部件。穿越API160隨后可以將 響應(yīng)145與訪問策略組件170內(nèi)的信息進(jìn)行比較��,以判定這些受客戶支持的功 能部件是否適合于該網(wǎng)絡(luò)連接����,適合于建立通向所請(qǐng)求資源的通道,或者是否 還需要不同的功能部件(或者相同功能部件的不同版本)�。在一個(gè)實(shí)現(xiàn)中,如 果為了連接至網(wǎng)關(guān)服務(wù)器150而需要不同的功能部件(即���,客戶100沒有足夠 的更新��,或者不具有某些所需的功能部件)���,穿越API160就簡(jiǎn)單地丟棄這一 連接,可以發(fā)送錯(cuò)誤消息或者發(fā)送指向客戶IOO能夠下載該功能部件的網(wǎng)絡(luò)位 置的消息����。在如上所述的其他實(shí)現(xiàn)中,通信框架107簡(jiǎn)單地關(guān)閉那些客戶100 也不支持的網(wǎng)關(guān)服務(wù)器150功能部件�����。如果消息145指示一組合適的功能部件(當(dāng)這些功能部件被請(qǐng)求時(shí))�,并 且客戶IOO被授權(quán)訪問所請(qǐng)求的服務(wù)器側(cè)的資源��,那么穿越API160就可以開 始將該連接傳送給用于該資源的合適的協(xié)議處理器插件�����。例如��,穿越API 160 可以首先參考所請(qǐng)求的資源"類型"以判定資源120b是否請(qǐng)求一具體協(xié)議處 理器插件����,或者資源120b是否是一類更廣資源的一部分�����。更具體地���,圖1B示 出了協(xié)議處理器插件115b至少與資源120b和123相關(guān)聯(lián)�����,而作為"類型B" 處理器的協(xié)議處理器插件117則至少與資源125和127相關(guān)聯(lián)����。 一般而言,決 定合適的協(xié)議處理器插件的這一動(dòng)作可以通過審査每個(gè)協(xié)議處理器插件在安 裝時(shí)都將注冊(cè)的系統(tǒng)注冊(cè)表來完成�����。無(wú)論如何��,圖1B示出了穿越API 160標(biāo)識(shí)協(xié)議處理器插件115b�����,它是"類 型A"處理器并且與所請(qǐng)求的資源120b相關(guān)聯(lián)�����。穿越API 160隨后不再負(fù)責(zé) 對(duì)客戶IOO和協(xié)議處理器插件115b之間通道的控制����。由此�����,在客戶100處的 協(xié)議處理器插件115a和在網(wǎng)關(guān)服務(wù)器150處的協(xié)議處理器插件115b現(xiàn)在就通 過其各自的棧103和113的應(yīng)用層相連接�����,由此就能夠通過該連接的這一通道 來交換數(shù)據(jù)(例如���,155)�。更具體地,通信框架107允許隧道內(nèi)一個(gè)或多個(gè) 通道使用對(duì)應(yīng)的客戶和網(wǎng)關(guān)服務(wù)器協(xié)議處理器插件連接至一具體資源����,而非通過各自通信棧的網(wǎng)絡(luò)層手動(dòng)地進(jìn)行網(wǎng)絡(luò)連接。對(duì)穿過該連接隧道的這些通道的控制就允許客戶ioo標(biāo)識(shí)可被訪問的任 何額外資源����,并且允許客戶100創(chuàng)建與最初請(qǐng)求資源(即,資源120b)間的額外通道���。例如�,客戶IOO能夠在該連接隧道內(nèi)通過通信框架107創(chuàng)建與同一資 源的多個(gè)通道����,并且還能夠請(qǐng)求穿越API160將額外的通道(以及其他的隧道 和對(duì)應(yīng)的一個(gè)或多個(gè)其他通道)提供給與用于資源120b的同一協(xié)議處理器插 件相關(guān)聯(lián)的其他資源,諸如資源123�����。在某些實(shí)現(xiàn)中��,客戶IOO還可以要求通 信框架107標(biāo)識(shí)與另一資源(例如,125)通信相符合的另一協(xié)議處理器插件 (例如�����,117)�����。無(wú)論如何����,對(duì)連接控制的管理至少部分通過訪問策略組件170 和/或管理工具組件175 (或"工具組件175")來進(jìn)行�����。一般而言�,工具組件175可以包括任何數(shù)量的接口 (例如, 一個(gè)或多個(gè)"核 心API"��、"配置API"�����、"策略API"和/或"運(yùn)行時(shí)狀態(tài)和控制API"中的 任何接口)�。管理工具組件175還包括能夠由例如網(wǎng)關(guān)服務(wù)器150的管理員所 訪問的任何腳本、數(shù)據(jù)表和相關(guān)功能。例如��,網(wǎng)絡(luò)管理員希望影響針對(duì)一具體 協(xié)議處理器插件的網(wǎng)絡(luò)策略�����,或是希望分析穿過通信框架107的連接數(shù)量���,那 么他可以打開由工具組件175提供的用戶界面(未示出)���。網(wǎng)絡(luò)管理員隨后能夠監(jiān)視普通的因特網(wǎng)使用,改變運(yùn)行時(shí)狀態(tài)����,關(guān)閉屬于 行為不端用戶的任何隧道,現(xiàn)在穿越防火墻的連接數(shù)量�����,并且聲明用于做出這 一連接的加密類型�����。網(wǎng)絡(luò)管理員還可以改變這些和其他網(wǎng)絡(luò)設(shè)置或策略中的任 何設(shè)置和策略���,諸如那些還會(huì)在本說明書通篇描述的設(shè)置和策略�。網(wǎng)絡(luò)管理員 還可以使用該界面來設(shè)置哪些用戶被允許訪問哪種類型的資源,哪些資源會(huì)是 完全可用�����,那些資源何時(shí)可從防火墻外訪問����,以及哪些服務(wù)器可由那些用戶訪 問。協(xié)議處理器插件的開發(fā)者還可以訪問組件175內(nèi)的這些工具����。更具體地�����, 開發(fā)者還可以編寫協(xié)議處理器插件來訪問并設(shè)置要與該協(xié)議處理器插件一并 使用的各種默認(rèn)網(wǎng)絡(luò)策略����。例如,協(xié)議處理器插件的開發(fā)者可以將該協(xié)議處理 器插件設(shè)計(jì)為與管理工具175內(nèi)的另一界面相交互���,并設(shè)置最低的資源或功能 部件要求���。因此���,圖1A-1B示出了多個(gè)組件、工具和簡(jiǎn)圖�����,它們可以在通信框 架107的上下文中使用并且可被配置為對(duì)防火墻設(shè)置內(nèi)的各資源提供粒度�、安全且有分寸的訪問。對(duì)本發(fā)明各實(shí)現(xiàn)的描述還可以通過包括一個(gè)或多個(gè)動(dòng)作以實(shí)現(xiàn)一特定結(jié) 果的方法來進(jìn)行�。例如,圖2示出了從客戶100觀點(diǎn)和網(wǎng)關(guān)服務(wù)器150觀點(diǎn)來 看用于創(chuàng)建穿過防火墻的對(duì)一具體資源的連接(例如�����,通道)的方法的流程圖���。如下將參考圖1A至1B來討論圖2的動(dòng)作�����。更具體地����,圖2示出的從客戶IOO觀點(diǎn)看來的方法包括將連接請(qǐng)求發(fā)送給 網(wǎng)關(guān)服務(wù)器的動(dòng)作200。動(dòng)作200包括發(fā)送用于連接的請(qǐng)求至網(wǎng)關(guān)服務(wù)器處����, 其中該請(qǐng)求標(biāo)識(shí)連接至對(duì)應(yīng)的客戶資源的服務(wù)器資源。例如�����,客戶100例示了 帶有協(xié)議處理器插件115a以訪問資源120b的通信棧103��?��?蛻?00隨后準(zhǔn)備 消息130���,并將其發(fā)送給網(wǎng)關(guān)服務(wù)器150��,其中該消息130包括鑒別信息以及 對(duì)訪問資源120b的請(qǐng)求��。此外��,圖2示出的此種從網(wǎng)關(guān)服務(wù)器150的觀點(diǎn)看的方法包括接收客戶對(duì) 一資源的請(qǐng)求的動(dòng)作210��。動(dòng)作210包括接收客戶對(duì)一客戶連接的請(qǐng)求�,其中 該客戶請(qǐng)求標(biāo)識(shí)了該客戶期望連接的資源���。例如,網(wǎng)關(guān)服務(wù)器150接收消息 130���。網(wǎng)關(guān)服務(wù)器150隨后在HTTPS層105b處解碼消息130���,在可插傳輸層 110b處拆封任何其他的協(xié)議封裝,并且評(píng)估其內(nèi)含有的任何包括的鑒別信息���。 如果鑒別信息不正確�����,諸如與網(wǎng)絡(luò)訪問策略相沖突��,則網(wǎng)關(guān)服務(wù)器150可以簡(jiǎn) 單地拒絕該連接��。換句話說��,如果鑒別信息正確�,諸如達(dá)到了用于通過防火墻 連接的最低標(biāo)準(zhǔn)(例如���,合適的用戶名和密碼)���,網(wǎng)關(guān)服務(wù)器150就可以隔離 該連接直到來自客戶100的一組確定功能部件被標(biāo)識(shí)�����,而這也是依據(jù)網(wǎng)絡(luò)或資 源訪問策略��。于是���,例如圖2示出的此種從網(wǎng)關(guān)服務(wù)器150的觀點(diǎn)看的方法還包括隔離 該連接的動(dòng)作220。動(dòng)作220包括隔離連接與客戶�,以判定該客戶是否已安裝 了最小一組的一個(gè)或多個(gè)的功能部件。例如�,圖1A示出了通信框架107在接 收到消息130時(shí),發(fā)送一個(gè)或多個(gè)回復(fù)消息140�����。并非必需在這里準(zhǔn)許該連接�����, 回復(fù)消息140請(qǐng)求額外的信息來標(biāo)識(shí)在客戶IOO處受支持的功能部件�����,諸如協(xié) 議處理器插件115a的版本�,客戶100和網(wǎng)關(guān)服務(wù)器150相互支持的連接功能 部件,或者最終可用于該連接的任何其他的資源組件120a (或者對(duì)應(yīng)的功能部 件��、功能部件更新等)�。因此,圖2示出的此種從客戶100的觀點(diǎn)看的方法還包括接收對(duì)最小一組 的功能部件的請(qǐng)求的動(dòng)作230���。動(dòng)作230包括接收來自網(wǎng)關(guān)服務(wù)器的有關(guān)受該 客戶支持的對(duì)于該資源的最小一組的一個(gè)或多個(gè)功能部件的請(qǐng)求����。例如���,客戶 100在通信棧103處接收消息140�,并且在協(xié)議處理器插件115a處諸如通過運(yùn) 行任何腳本或者檢查有關(guān)所請(qǐng)求功能部件的任何系統(tǒng)注冊(cè)信息來處理消息 140��,上述所請(qǐng)求的功能部件包括由服務(wù)器150請(qǐng)求的任何其他資源或資源功 能部件�����。更具體地�,協(xié)議處理器插件115a標(biāo)識(shí)其自身的功能部件信息,或者 有關(guān)資源120a的功能部件信息,或者有關(guān)客戶IOO處其他軟件組件或資源(未 示出)的功能部件信息��。另外����,圖2示出的從客戶IOO觀點(diǎn)看來的方法包括將功能部件響應(yīng)發(fā)送給 網(wǎng)關(guān)服務(wù)器的動(dòng)作240。動(dòng)作240包括發(fā)送受支持的功能部件響應(yīng)給網(wǎng)關(guān)服務(wù) 器���,該受支持的功能部件響應(yīng)指示客戶支持的功能部件����。例如�,圖1B示出了 客戶IOO發(fā)送響應(yīng)消息145,該消息指示了客戶IOO支持的一個(gè)或多個(gè)的功能 部件組�����,諸如呈現(xiàn)了所請(qǐng)求軟件版本的功能部件��。圖2示出的從網(wǎng)關(guān)服務(wù)器150觀點(diǎn)看的方法還包括標(biāo)識(shí)合適的協(xié)議處理器 插件的動(dòng)作250���。動(dòng)作250包括基于所標(biāo)識(shí)資源的資源類型來標(biāo)識(shí)協(xié)議處理器 插件�����。例如��,穿越API 160標(biāo)識(shí)協(xié)議處理器插件115b是"類型A"插件�,是 與客戶100處找出的協(xié)議處理115a相同的類型�,并且與網(wǎng)關(guān)服務(wù)器150處所 請(qǐng)求的資源120b相關(guān)聯(lián)。圖2示出的從網(wǎng)關(guān)服務(wù)器150觀點(diǎn)看的方法還包括將該連接轉(zhuǎn)發(fā)給協(xié)議處 理器插件的動(dòng)作260����。動(dòng)作260包括將與該客戶的連接轉(zhuǎn)發(fā)給被標(biāo)識(shí)的協(xié)議處 理器插件。例如���,如圖1B所示�, 一旦穿越API160標(biāo)識(shí)協(xié)議處理器插件115b 是合適的��,并且標(biāo)識(shí)由客戶IOO提供的信息是依據(jù)一特定的資源訪問策略��,那 么穿越API 160就能夠把對(duì)所請(qǐng)求連接的控制傳遞給協(xié)議處理器插件115b�����。 一 般而言���,這涉及在客戶100處的協(xié)議處理器115a和在網(wǎng)關(guān)服務(wù)器150處的協(xié) 議處理器插件115b之間建立一個(gè)隧道����,以及該隧道內(nèi)的一個(gè)或多個(gè)通道?���??戶100處的協(xié)議處理器插件115a和在網(wǎng)關(guān)服務(wù)器150處的協(xié)議處理器插件 115b隨后能夠通過該隧道以及對(duì)應(yīng)的一個(gè)或多個(gè)通道直接在網(wǎng)絡(luò)棧103和113 的應(yīng)用層上通信。于是���,圖2還示出了從客戶100的觀點(diǎn)看的方法包括連接至網(wǎng)關(guān)服務(wù)器處的協(xié)議處理器插件的動(dòng)作270�����。動(dòng)作270包括連接至網(wǎng)關(guān)服務(wù)器處的通信棧的 應(yīng)用層���,使得該客戶資源與關(guān)聯(lián)于該服務(wù)器資源的協(xié)議處理器插件進(jìn)行傳輸數(shù) 據(jù)。例如���,現(xiàn)在協(xié)議處理器插件115a-b直接穿過防火墻進(jìn)行通信�,并且因?yàn)橐?據(jù)網(wǎng)絡(luò)策略不再負(fù)責(zé)該連接�,所以客戶100僅僅獲得足以與資源120b通信的 穿過防火墻的入口。這樣�,客戶IOO就不具備自由訪問防火墻后所有資源的能 力。而且如上所述���,客戶IOO能夠啟動(dòng)附加通道或?qū)ν毁Y源的連接���,到該資 源的不同實(shí)例的連接�����,或者到允許客戶IOO通過通信框架107標(biāo)識(shí)的其他資源 的連接。因此�����,如上所述的各種方法和簡(jiǎn)圖提供了在其中通信框架107能夠使用由 開發(fā)者開發(fā)的各類插件來提供對(duì)特定資源的訪問的多種途徑�。更具體地,通信 框架107提供了可用于簡(jiǎn)化協(xié)議處理器插件開發(fā)和實(shí)現(xiàn)的多種訪問策略(網(wǎng)絡(luò) 和資源)工具和組件�。例如,開發(fā)者能夠避免為了實(shí)現(xiàn)特定的資源訪問策略或 者為了實(shí)現(xiàn)特定的診斷工具而獨(dú)立開發(fā)協(xié)議處理器插件腳本�,因?yàn)檫@些工具已 經(jīng)集成入通信框架107。相反地�����,開發(fā)者僅僅需要開發(fā)針對(duì)客戶和服務(wù)器處使 用的協(xié)議處理器插件����,如果開發(fā)者期望任何給定資源可經(jīng)防火墻訪問���。類似地,網(wǎng)絡(luò)管理員在很多情況下能夠避免獨(dú)立編寫新的網(wǎng)絡(luò)連接訪問策 略�����,因?yàn)檫@些訪問策略己經(jīng)能夠在通信框架中找出����,因此能被容易地配置或啟 用/禁用。因此���,在此描述的功能部件能夠在一定程度上減輕開發(fā)者和網(wǎng)絡(luò)管理 員的責(zé)任��,并將管理的負(fù)擔(dān)轉(zhuǎn)移給強(qiáng)有力的通信框架��。本發(fā)明的實(shí)施例可以包括含有各種計(jì)算機(jī)硬件的專用或通用計(jì)算機(jī)���,這將 在以下做出進(jìn)一步討論。更具體地����,本發(fā)明的范圍內(nèi)的實(shí)施例還包括用于攜帶 或在其上儲(chǔ)存計(jì)算機(jī)可執(zhí)行指令或數(shù)據(jù)結(jié)構(gòu)的計(jì)算機(jī)可讀介質(zhì)。這類計(jì)算機(jī)可 讀介質(zhì)可以是可由通用或?qū)S糜?jì)算機(jī)系統(tǒng)訪問的任一可用介質(zhì)�。作為示例而非 限制����,這類計(jì)算機(jī)可讀介質(zhì)可包括RAM�����、 ROM����、 EEPROM�����、 CD-ROM或其它 光盤存儲(chǔ)���、磁盤存儲(chǔ)或其它磁存儲(chǔ)設(shè)備等物理存儲(chǔ)介質(zhì)�、或其它可用來以計(jì)算 機(jī)可執(zhí)行指令或數(shù)據(jù)結(jié)構(gòu)的形式攜帶或儲(chǔ)存所期望的程序代碼裝置并可由通 用或?qū)S糜?jì)算機(jī)訪問的任何其他介質(zhì)�����。當(dāng)通過網(wǎng)絡(luò)或另一通信連接(或者硬連線�、無(wú)線、或硬連線和無(wú)線的組合)向計(jì)算機(jī)傳輸或提供信息時(shí)���,計(jì)算機(jī)將該連接適當(dāng)?shù)匾暈橛?jì)算機(jī)可讀介質(zhì)�����。由 此����,任一這類連接適當(dāng)?shù)胤Q為計(jì)算機(jī)可讀介質(zhì)。上述的組合也應(yīng)當(dāng)包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)��。計(jì)算機(jī)可執(zhí)行指令例如包括促使通用計(jì)算機(jī)����、專用計(jì)算機(jī)或?qū)S锰幚碓O(shè)備執(zhí)行一個(gè)或一組特定功能的指令和數(shù)據(jù)。雖然已經(jīng)用具體到結(jié)構(gòu)功能部件和/ 或方法動(dòng)作的語(yǔ)言對(duì)主題進(jìn)行了描述����,但是應(yīng)該理解在所附權(quán)利要求中定義的 該主題不必限于上述具體的功能部件或動(dòng)作。相反����,上述具體功能部件和動(dòng)作 是作為實(shí)現(xiàn)權(quán)利要求的示例形式而公開。本發(fā)明可以用其它具體形式來實(shí)施���,而不脫離其精神或本質(zhì)特征��。所描述 的實(shí)施例被認(rèn)為在所有方面都僅是說明性而非限制性的�。因此,本發(fā)明的范圍 由所附權(quán)利要求書而非以上描述來指示�。該權(quán)利要求書的等效技術(shù)方案的含義 和范圍以內(nèi)的所有更改將被包含在其范圍內(nèi)。
權(quán)利要求
1.在計(jì)算機(jī)化環(huán)境內(nèi)的網(wǎng)關(guān)服務(wù)器處�����,在所述環(huán)境中客戶計(jì)算機(jī)系統(tǒng)通過防火墻訪問所述網(wǎng)關(guān)服務(wù)器處的資源�,所述網(wǎng)關(guān)服務(wù)器提供通過防火墻的應(yīng)用層連接,一種方法包括以下動(dòng)作接收來自客戶的連接請(qǐng)求�,其中所述連接請(qǐng)求標(biāo)識(shí)所述客戶期望連接的資源��;隔離與所述客戶的連接����,以判定所述客戶是否已安裝最小一組的一個(gè)或多個(gè)功能部件;基于所標(biāo)識(shí)資源的資源類型來標(biāo)識(shí)協(xié)議處理器插件�����;以及將與所述客戶的連接轉(zhuǎn)發(fā)給所標(biāo)識(shí)的協(xié)議處理器插件��。
2. 如權(quán)力要求1所述的方法�����,還包括基于在所述客戶請(qǐng)求中提供的鑒別 信息與一個(gè)或多個(gè)訪問策略的比較來鑒別所述客戶。
3. 如權(quán)力要求2所述的方法���,其特征在于���,還包括標(biāo)識(shí)來自在所述網(wǎng)關(guān) 服務(wù)器處安裝的通信框架的所述一個(gè)或多個(gè)訪問策略的動(dòng)作。
4. 如權(quán)力要求1所述的方法��,其特征在于���,將所述連接轉(zhuǎn)發(fā)給所標(biāo)識(shí)的 協(xié)議處理器插件包括將連接隧道的通道控制提供給所述服務(wù)器處的協(xié)議處理 器插件的動(dòng)作��。
5. 如權(quán)利要求4所述的方法�����,其特征在于���,還包括以下動(dòng)作 接收來自所述客戶的對(duì)不同資源的不同連接請(qǐng)求;以及 通過同一條連接隧道建立所述客戶與所述不同資源之間的不同連接���。
6. 如權(quán)利要求4所述的方法���,其特征在于�,還包括接收對(duì)所述資源的不 同連接請(qǐng)求的動(dòng)作���,這樣就已經(jīng)請(qǐng)求了對(duì)同一資源的多個(gè)連接���,所述請(qǐng)求是來 自任何所述客戶或者所述客戶與所述防火墻外部的一個(gè)或多個(gè)不同客戶。
7. 如權(quán)利要求6所述的方法��,其特征在于�����,還包括將對(duì)不同通道的控制 提供給做出所述不同連接請(qǐng)求的客戶的標(biāo)識(shí)的協(xié)議處理器插件的動(dòng)作�。
8. 如權(quán)利要求6所述的方法,其特征在于�����,還包括以下動(dòng)作 標(biāo)識(shí)來自粒度訪問策略的有關(guān)所述不同的連接請(qǐng)求是不適當(dāng)?shù)脑O(shè)置�����;以及 拒絕所述不同的連接請(qǐng)求���。
9. 如權(quán)利要求8所述的方法�����,其特征在于��,所述訪問策略包括用于判定 所述客戶是否被授權(quán)連接至所述服務(wù)器的網(wǎng)絡(luò)訪問策略�����,以及用于判定所述客 戶是否訪問以創(chuàng)建通過所述服務(wù)器連接的與所請(qǐng)求資源的通道的資源訪問策 略�。
10. 如權(quán)利要求8所述的方法����,其特征在于,所述訪問策略設(shè)置包括限制 由所述客戶在一天的某一時(shí)段訪問所述資源的指示�����,并且其中所述不同的連接 請(qǐng)求是在該時(shí)段之外�。
11. 如權(quán)利要求8所述的方法,其特征在于�����,所述訪問策略設(shè)置包括限制 由所述客戶在防火墻之后的資源服務(wù)器的具體端口處訪問所述資源的指示,其 中所述不同的連接請(qǐng)求請(qǐng)求在所述資源服務(wù)器的所述具體端口處連接至所述 資源�����。
12. 如權(quán)利要求8所述的方法���,其特征在于��,所述訪問策略設(shè)置是網(wǎng)絡(luò)訪 問策略�,所述網(wǎng)絡(luò)訪問策略限制在所述網(wǎng)關(guān)服務(wù)器處通過所述防火墻連接隧道 的數(shù)量���,這樣����,所述不同的連接請(qǐng)求要求創(chuàng)建超出所述限制的新的連接隧道�。
13. 如權(quán)利要求8所述的方法,其特征在于���,所述訪問策略設(shè)置要求所述 客戶請(qǐng)求是由具有智能卡的客戶做出的,其中所述不同的連接請(qǐng)求指示所述客 戶不具有所述智能卡��。
14. 如權(quán)利要求8所述的方法,其特征在于�����,所述訪問策略設(shè)置將對(duì)同一 資源的訪問限制在準(zhǔn)許的一類用戶���,其中所述不同的連接請(qǐng)求源自并非所述準(zhǔn) 許的一類用戶的成員的不同用戶�。
15. 在計(jì)算機(jī)化環(huán)境內(nèi)的客戶計(jì)算機(jī)系統(tǒng)處��,其中所述客戶計(jì)算機(jī)系統(tǒng)通 過網(wǎng)關(guān)服務(wù)器防火墻訪問資源��,所述網(wǎng)關(guān)服務(wù)器提供通過防火墻的應(yīng)用層連 接����, 一種方法包括以下動(dòng)作發(fā)送用于在網(wǎng)關(guān)服務(wù)器處的連接的請(qǐng)求,其中所述請(qǐng)求標(biāo)識(shí)與對(duì)應(yīng)的客戶 資源相連接的服務(wù)器資源����。接收來自所述網(wǎng)關(guān)服務(wù)器的受所述客戶支持的最小一組的一個(gè)或多個(gè)功 能部件的請(qǐng)求。發(fā)送功能部件響應(yīng)給所述網(wǎng)關(guān)服務(wù)器��,所述功能部件響應(yīng)指示所述一組請(qǐng) 求的一個(gè)或多個(gè)功能部件中的那些受所述客戶支持�;以及連接至所述網(wǎng)關(guān)服務(wù)器處的通信棧的應(yīng)用層,使得所述客戶資源與關(guān)聯(lián)于 所述服務(wù)器資源的協(xié)議處理器插件進(jìn)行通信��。
16. 如權(quán)利要求15所述的方法,其特征在于��,還包括將鑒別信息與對(duì)所 述連接的請(qǐng)求一并發(fā)送���,其中所述鑒別信息包括對(duì)所述客戶具有智能卡的指 示���。
17. 如權(quán)利要求15所述的方法,其特征在于����,連接至應(yīng)用層還包括以下動(dòng)作建立通過所述應(yīng)用層處的網(wǎng)關(guān)服務(wù)器的防火墻的連接隧道;以及 在所述連接隧道內(nèi)建立對(duì)所述被請(qǐng)求資源的連接通道��。
18. 如權(quán)利要求15所述的方法����,其特征在于,還包括以下動(dòng)作 將對(duì)于所述資源的不同連接請(qǐng)求發(fā)送給所述網(wǎng)關(guān)服務(wù)器���;以及 通過不同的通道與所述協(xié)議處理器插件通信��,所述不同的通道與在網(wǎng)關(guān)服務(wù)器處的用于所述連接的所述請(qǐng)求中創(chuàng)建的通道不同��。
19. 如權(quán)利要求15所述的方法�����,其特征在于��,還包括以下動(dòng)作 發(fā)送對(duì)于與所述協(xié)議處理器插件相關(guān)聯(lián)的不同資源的不同連接請(qǐng)求����;以及 通過所述協(xié)議處理器插件與所述不同的資源的通信�����,使得所述協(xié)議處理器插件處理在所述客戶和所述網(wǎng)關(guān)服務(wù)器處多個(gè)資源之間的多個(gè)連接通道����。
20. 在計(jì)算機(jī)化環(huán)境內(nèi)網(wǎng)關(guān)服務(wù)器處,其中客戶計(jì)算機(jī)系統(tǒng)通過防火墻訪 問所述網(wǎng)關(guān)服務(wù)器處資源���,所述網(wǎng)關(guān)服務(wù)器至少在通信框架內(nèi)具有遠(yuǎn)程過程調(diào) 用層和安全超文本傳輸協(xié)議層��, 一種具有計(jì)算機(jī)可執(zhí)行指令存儲(chǔ)其上的計(jì)算機(jī) 程序產(chǎn)品�,所述計(jì)算機(jī)可執(zhí)行指令在被執(zhí)行時(shí)����,引起所述網(wǎng)關(guān)服務(wù)器處的一個(gè) 或多個(gè)進(jìn)程執(zhí)行一種方法���,所述方法包括如下接收來自客戶的連接請(qǐng)求,其中所述連接請(qǐng)求標(biāo)識(shí)所述客戶期望連接的資源����;隔離與所述客戶的連接,以判定所述客戶是否己安裝最小一組的一個(gè)或多 個(gè)功能部件�;基于所標(biāo)識(shí)資源的資源類型來標(biāo)識(shí)協(xié)議處理器插件;以及 將與所述客戶的連接轉(zhuǎn)發(fā)給所標(biāo)識(shí)的協(xié)議處理器插件����。
全文摘要
本發(fā)明的實(shí)現(xiàn)涉及可容易地適用于想要通過防火墻訪問的各類資源的通信框架。一般而言�,網(wǎng)關(guān)服務(wù)器處的通信框架能夠根據(jù)各類資源和/或網(wǎng)絡(luò)訪問策略來提供對(duì)請(qǐng)求資源的具體連接。在一個(gè)實(shí)例中���,客戶請(qǐng)求對(duì)防火墻后的具體資源的連接�。通信框架鑒別該連接�����,并隔離該連接直到判定例如該客戶正使用正確的資源功能部件����。如果被正確鑒別�����,該通信框架就把連接控制傳遞給被正確標(biāo)識(shí)的協(xié)議插件處理器�����,該協(xié)議插件處理器促進(jìn)對(duì)通信棧應(yīng)用層處所請(qǐng)求資源的直接連接。
文檔編號(hào)G06F17/00GK101263466SQ200680033211
公開日2008年9月10日 申請(qǐng)日期2006年8月15日 優(yōu)先權(quán)日2005年9月12日
發(fā)明者A·帕勒卡, D·斯蒂里, I·本-沙查, J·奇克, M·瑪拉卡帕里, T·巴拉伯伊 申請(qǐng)人:微軟公司