專利名稱:在提供訪問聯(lián)網(wǎng)內(nèi)容文件中分配訪問控制級的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于安全訪問聯(lián)網(wǎng)資源的方法和設(shè)備���,并且具體地���,涉及用于在從服務(wù)器提供訪問聯(lián)網(wǎng)內(nèi)容文件中分配訪問控制級的方法和設(shè)備。
背景技術(shù):
按照慣例���,客戶端系統(tǒng)上的用戶使用web瀏覽器和其它基于客戶端的應(yīng)用程序來訪問從遠端位置取回的內(nèi)容文件���。例如,用戶可以使用華盛頓州的雷蒙德(Redmond)的微軟公司的INTERNET EXPLORER訪問互聯(lián)網(wǎng)內(nèi)容����,并且然后使用也來自微軟公司的WINDOWS EXPLORER來訪問桌面產(chǎn)品文件類型,比如已經(jīng)被下載到本地位置的WORD文檔��。
常規(guī)的處理要求下載文件到客戶端節(jié)點用于觀看和處理�。然而�,從安全性觀點看���,這種處理存在問題�。為了訪問客戶端上的內(nèi)容�,要求用戶兩次本地保存該內(nèi)容到非易失存儲器。在下載期間要求第一次保存�,并且在上傳處理之前編輯之后要求第二次保存。而且�,許多用戶經(jīng)常從一個本地目錄移動和/或拷貝下載的內(nèi)容到另一個本地目錄(例如,從dir://downloaded_files到dir://my_documents)�����。這些保存動作的每一個在客戶端創(chuàng)建了該文檔的一個本地拷貝�?�?蛻舳嗽O(shè)備的極少用戶將記得手動刪除所述文檔的這些本地拷貝��,這些拷貝因此保留在客戶端設(shè)備上�。
此外,客戶端設(shè)備的存儲器的直接處理對用戶來說可能難接近的�����,比如其中客戶端設(shè)備位于公用電話亭環(huán)境中的情況。在這些情況中�����,刪除本地拷貝的選項對用戶來說并不是可以做到的�。因為留在客戶端上的文檔可能是由未被授權(quán)的個人通過訪問客戶端機器所訪問的,這提出了顯著的安全性問題���。另外��,較小的設(shè)備類型����,比如個人數(shù)字助理���,可能沒有足夠的資源來允許在設(shè)備上使用基于客戶端的應(yīng)用程序����。
為了試圖解決這些顧慮���,常規(guī)的訪問控制方法在準許訪問之前可能要求來自客戶端的特定認證證書(authentication credential)并且可能拒絕來自不合法位置或設(shè)備的訪問���。然而��,常規(guī)方法的局限性是通常要求訪問控制決定引起要么拒絕要么準許訪問資源���。在拒絕的情況下,該方法不能提供任何可替換的訪問方法����。在準許的情況下,該方法可以提供僅完全的和完整的資源公開����。通過基于訪問控制級分配訪問等級來準許訪問控制的方法在聯(lián)網(wǎng)環(huán)境中提供對私有資源(proprietary resource)的訪問時是所希望的。
另外����,在保護私有數(shù)據(jù)不受到不合法客戶端節(jié)點的訪問中,訪問權(quán)根據(jù)諸如客戶端設(shè)備類型��、授權(quán)(authorization)證書����、以及性能之類的因素來提供訪問文件的可替換方法是所希望的���。完全拒絕訪問權(quán)的一種替換方案(比如代表客戶端對在安全網(wǎng)絡(luò)上執(zhí)行的文件的有限權(quán)利)是所希望的�����。
發(fā)明內(nèi)容
本發(fā)明涉及通過分配多個訪問級之一用于安全訪問來自服務(wù)器的內(nèi)容文件以實現(xiàn)增強安全性�����、證據(jù)收集��、以及政策應(yīng)用程序從而提供訪問控制的方法和設(shè)備����。
在一個方面中,本發(fā)明涉及用于準許訪問資源的系統(tǒng)和方法���?��?蛻舳斯?jié)點請求訪問資源。收集代理收集關(guān)于該客戶端節(jié)點的信息并且政策機接收所收集的信息�。政策機通過響應(yīng)于政策的應(yīng)用程序分配多個訪問級之一給所接收的信息來做出訪問控制決定。
在一個實施例中���,政策機通過應(yīng)用政策到所接收的信息做出訪問決定���。在另一個實施例中���,政策機傳送該收集代理給客戶端節(jié)點。
在另一個方面中����,本發(fā)明涉及用于準許訪問資源的方法和設(shè)備。該設(shè)備包括政策機��,該政策機包括兩個部件�����。第一部件接收關(guān)于客戶端節(jié)點的信息并且從該信息生成數(shù)據(jù)組����。第二部件接收該數(shù)據(jù)組,并且基于所接收的數(shù)據(jù)組將可用于該客戶端的資源的枚舉(enumeration)提供給第一部件����。第一部件將所述資源的枚舉呈現(xiàn)給客戶端節(jié)點。
在一個實施例中���,第一部件從收集代理接收信息。在一個實施例中�����,每個部件另外包括數(shù)據(jù)庫。第一部件中的數(shù)據(jù)庫存儲條件�。第二部件中的數(shù)據(jù)庫存儲政策。第一部件應(yīng)用條件到所接收的信息并且第二部件應(yīng)用政策到所接收的數(shù)據(jù)組���。在另一個實施例中����,第二部件生成可用于客戶端節(jié)點的資源的子組的枚舉�。
本發(fā)明還涉及用于訪問網(wǎng)絡(luò)資源以實現(xiàn)增強的安全性從而減少聯(lián)網(wǎng)環(huán)境中的私有數(shù)據(jù)的公開的方法和設(shè)備。
在一個方面中��,本發(fā)明涉及用于提供文件內(nèi)容的方法和設(shè)備���?��?蛻舳斯?jié)點傳送文件請求。訪問控制服務(wù)器接收該請求并且做出訪問控制決定���。應(yīng)用程序服務(wù)器中心(application server farm)使用與所請求文件的文件類型有關(guān)的應(yīng)用程序?qū)⑽募?nèi)容呈現(xiàn)給客戶端節(jié)點�。
在一個實施例中����,在做出訪問控制決定之前���,訪問控制服務(wù)器收集關(guān)于客戶端節(jié)點的信息。在另一個實施例中����,訪問控制服務(wù)器將可執(zhí)行文件傳送給客戶端節(jié)點,所述可執(zhí)行文件包含與文件類型有關(guān)的應(yīng)用程序的標識符和能夠?qū)⑽募?nèi)容呈現(xiàn)給客戶端節(jié)點的應(yīng)用程序服務(wù)器的標識符���。在一個實施例中��,在將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點之前�����,訪問控制服務(wù)器識別與文件類型有關(guān)的應(yīng)用程序����。在另一個實施例中���,在將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點之前���,應(yīng)用程序服務(wù)器識別與文件類型有關(guān)的應(yīng)用程序�����。
另外,本發(fā)明涉及用于訪問所轉(zhuǎn)換的文件內(nèi)容以實現(xiàn)增強的安全性從而提供基于政策的文檔控制的方法和設(shè)備��。
在一個方面中����,本發(fā)明涉及準許訪問資源的方法和設(shè)備?��?蛻舳斯?jié)點請求訪問資源�。收集代理收集關(guān)于客戶端節(jié)點的信息�。政策機接收所收集的信息并且基于所接收的信息做出訪問控制決定。轉(zhuǎn)換服務(wù)器從政策機接收文件請求��,將文件內(nèi)容從原始格式轉(zhuǎn)換成第二格式�,并且將所轉(zhuǎn)換的文件內(nèi)容呈現(xiàn)給客戶端節(jié)點。
在一個實施例中��,政策機通過應(yīng)用政策到所接收的信息來做出訪問決定���。在又一個實施例中��,政策機傳送收集代理給客戶端節(jié)點����。
在另一個方面中,本發(fā)明涉及用于準許訪問資源的方法和設(shè)備����。該設(shè)備包括政策機,該政策機包括兩個部件��。第一部件接收關(guān)于客戶端節(jié)點的信息并且從該信息生成數(shù)據(jù)組����。第二部件接收該數(shù)據(jù)組,并且基于所接收的數(shù)據(jù)組將可用于該客戶端的資源的枚舉提供給第一部件�。第一部件將所述資源的枚舉呈現(xiàn)給客戶端節(jié)點。
在一個實施例中�����,第一部件從收集代理接收信息�。在一個實施例中,每個部件另外包括數(shù)據(jù)庫�����。第一部件中的數(shù)據(jù)庫存儲條件。第二部件中的數(shù)據(jù)庫存儲政策����。第一部件應(yīng)用條件到所接收的信息并且第二部件應(yīng)用政策到所接收的數(shù)據(jù)組。
本發(fā)明的這些和其它方面將從下面用于示例而并非用于限制本發(fā)明的具體描述和附圖中變得易于明白����,并且其中圖1A是適合于實施本發(fā)明的示例性實施例的環(huán)境框圖����;圖1B和1C是描繪了用于本發(fā)明的計算機的實施例的框圖;圖1D是計算機網(wǎng)絡(luò)的實施例的框圖���,其中該網(wǎng)絡(luò)提供準許訪問網(wǎng)絡(luò)資源的基于政策的系統(tǒng)�����;圖2是政策機的實施例的更具體的框圖��;圖3是描繪了由政策機基于所接收的關(guān)于客戶端節(jié)點的信息做出訪問控制決定所采取的步驟的一個實施例的流程圖�����;圖4是計算機網(wǎng)絡(luò)的實施例的框圖�����,其中網(wǎng)絡(luò)提供基于政策訪問客戶端節(jié)點的文件內(nèi)容���;圖4B是描繪了由應(yīng)用程序服務(wù)器中心(server farm)提供文件內(nèi)容給客戶端節(jié)點所采取的步驟的一個實施例的流程圖�;圖5是計算機網(wǎng)絡(luò)的實施例的框圖�,其中該網(wǎng)絡(luò)準許訪問所轉(zhuǎn)換的資源內(nèi)容;圖6是描繪了由轉(zhuǎn)換服務(wù)器轉(zhuǎn)換所請求的文件內(nèi)容并且將該轉(zhuǎn)換的內(nèi)容呈現(xiàn)給客戶端節(jié)點所采取的步驟的一個實施例的流程圖��;圖7是計算機網(wǎng)絡(luò)的實施例的框圖��,其中在該計算機網(wǎng)絡(luò)中提供了對多個應(yīng)用程序會話的授權(quán)的遠端訪問����;以及圖7B是描繪了通過會話服務(wù)器使客戶端節(jié)點與其相關(guān)應(yīng)用程序會話連接所采取的步驟的一個實施例的流程圖。
具體實施例方式
本發(fā)明的示例性實施例適用于分布式網(wǎng)絡(luò)環(huán)境�����,其中遠端用戶請求訪問內(nèi)容����。在討論本發(fā)明的細節(jié)之前�����,討論某些網(wǎng)絡(luò)環(huán)境將是有幫助的��,其中在該網(wǎng)絡(luò)環(huán)境中可以應(yīng)用本發(fā)明的示例性實施例�。
圖1A是適合于實施本發(fā)明的示例性實施例的環(huán)境框圖���?����?蛻舳斯?jié)點102包括web瀏覽器110和應(yīng)用程序112a,112b...112n��。應(yīng)用程序是處理數(shù)據(jù)來提供輸出并且使用操作系統(tǒng)用于訪問系統(tǒng)資源的任何程序���。典型應(yīng)用程序包括文字處理應(yīng)用程序��,比如由華盛頓州的雷蒙德的微軟公司開發(fā)的MICROSOFT WORD���;電子制表軟件程序,比如由微軟公司開發(fā)的MICROSOFT EXCEL�����;電子郵件程序,比如由微軟公司開發(fā)的MICROSOFT OUTLOOK以及由猶他州Provo的Novell公司開發(fā)的GROUPWISE�����;以及產(chǎn)品組�,比如由加利福尼亞州Mountain View的SunMicrosystems開發(fā)的STAR OFFICE。
內(nèi)容服務(wù)器126包括內(nèi)容文件128并且可以連接到分別保存附加內(nèi)容文件124和132的數(shù)據(jù)存儲器122和130���。本領(lǐng)域的技術(shù)人員將意識到��,在不背離本發(fā)明范圍的情況下保存內(nèi)容文件的其它網(wǎng)絡(luò)存儲設(shè)備或文檔貯藏庫(document repository)也可以被聯(lián)網(wǎng)到內(nèi)容服務(wù)器126���。客戶端節(jié)點102的用戶可以使用web瀏覽器110從內(nèi)容服務(wù)器126請求內(nèi)容��,來發(fā)送請求比如所描繪的超文本傳輸協(xié)議安全(HTTPS)請求115�����,或者HTTP(超文本傳輸協(xié)議)����、FTP(文件傳輸協(xié)議)請求�����,或者用于文件共享的操作�����,SMB(服務(wù)器管理塊協(xié)議)請求��。
在許多實施例中�����,內(nèi)容服務(wù)器126��、客戶端節(jié)點102和代理服務(wù)器120被提供為由加利福尼亞州Palo Alto的Hewlett-Packard公司或德克薩斯州的Round Rock的戴爾(Dell)公司生產(chǎn)的那種類型的個人計算機或計算機服務(wù)器����。圖1B和1C描繪了在那些實施例中可用作內(nèi)容服務(wù)器126�、代理服務(wù)器120或客戶端節(jié)點102的典型計算機100的框圖��。如圖1B和1C中所示�����,每個計算機100包括中央處理單元102、和主存儲器單元104�。每個計算機100還可以包括其它任選元件,比如一個或多個輸入/輸出設(shè)備130a-130n(通常涉及使用參考數(shù)字130)�����,以及與中央處理單元102進行通信的高速緩存器140���。
中央處理單元102是響應(yīng)并且處理從主存儲器單元104提取的指令的任何邏輯電路��。在許多實施例中��,中央處理單元由微處理器單元來提供��,所述微處理器單元比如全部由加利福尼亞州的Mountain View的英特爾(Intel)公司生產(chǎn)的8088�、80286����、80386、80486��、奔騰處理器�、高能奔騰、奔騰處理器II、Celeron�、或Xeon處理器;全部由伊利諾斯州的Schaumburg的摩托羅拉(Motorola)公司生產(chǎn)的68000��、68010�����、68020�、68030、68040����、PowerPC 601、PowerPC 604���、PowerPC 604e����、MPC603e���、MPC603ei、MPC603ev��、MPC603r�、MPC603p�����、MPC740��、MPC745�、MPC750����、MPC755、MPC7400���、MPC7410�����、MPC7441���、MPC7445、MPC7447�、MPC7450、MPC7451�、MPC7455、MPC7457處理器;由加利福尼亞州的Sant aClara的Transmeta公司生產(chǎn)的Crusoe TM5800����、Crusoe TM5600、CrusoeTM5500�、Crusoe TM5400、Efficeon TM8600�����、Efficeon TM8300��、或Efficeon TM8620處理器�;全部由紐約州的White Plains的美國國際商用機器(IBM)公司生產(chǎn)的RS/6000處理器、RS64����、RS64II、P2SC�����、POWER3��、RS64 III���、POWER3-II�、RS64 IV���、POWER4�����、POWER4+��、POWER5或POWER6處理器���;或由加利福尼亞州的Sunnyvale的AMD(AdcancedMicro Devices)公司生產(chǎn)的AMD Opteron、AMD Athalon 64FX���、AMDAthalon���、或AMD Duron處理器。
主存儲器單元104可以是能夠存儲數(shù)據(jù)并且允許微處理器102直接訪問任意存儲位置的一個或多個存儲器芯片�����,比如靜態(tài)隨機訪問存儲器(SRAM)��、或突發(fā)式SRAM或同步突發(fā)式SRAM(BSRAM)、動態(tài)隨訪訪問存儲器(DRAM)�����、快速頁面模式DRAM(FPM DRAM)����、增強DRAM(EDRAM)、可擴展數(shù)據(jù)輸出RAM(EDO RAM)�����、可擴展數(shù)據(jù)輸出DRAM(EDO DRAM)����、突發(fā)可擴展數(shù)據(jù)輸出DRAM(BEDO DRAM)、增強DRAM(EDRAM)�����、同步DRAM(SDRAM)��、JEDEC SRAM�、PC100 SDRAM、雙數(shù)據(jù)速率SDRAM(DDR SDRAM)���、增強SDRAM(ESDRAM)����、同步鏈路DRAM(SLDRAM)�����、直接Rambus DRAM(DRDRAM)�����、或鐵電RAM(FRAM)�。
在圖1B中所示的實施例中,處理器102通過系統(tǒng)總線120(下面將更具體地加以描述的)與主存儲器104進行通信����。圖1C描繪了計算機系統(tǒng)100的實施例,其中處理器通過存儲器端口直接與主存儲器104進行通信�。例如,在圖1C中����,主存儲器104可以是DRDRAM。
圖1B和圖1C描繪了其中主處理器102通過有時稱作“后方”總線的第二總線直接與高速緩存器140進行通信的實施例�。在其它實施例中����,主處理器102使用系統(tǒng)總線120與高速緩存器140進行通信��。高速緩存器140典型地具有比主存儲器104更快的響應(yīng)時間并且典型地由SRAM�����、BSRAM�����、或EDRAM提供���。
在圖1B中示出的實施例中��,處理器102通過本地系統(tǒng)總線120與各種I/O設(shè)備130進行通信�����。各種總線可以用于連接中央處理單元102到I/O設(shè)備130���,所述總線包括VESA VL總線、ISA總線����、EISA總線��、微通道結(jié)構(gòu)(MCA)總線�����、PCI總線�、PCI-X總線�����、PCI-Express總線���、或NuBus總線。對于其中所述I/O設(shè)備為視頻顯示器的實施例�,處理器102可以使用加速圖形接口(AGP)來與顯示器通信。圖1C描繪了計算機系統(tǒng)100的實施例����,其中主處理器102通過HyperTransport(超高速傳輸)、快速I/O(Rapid I/O)����、或InfiniBand(無限帶寬)直接與I/O設(shè)備130b進行通信��。圖1C還描繪了其中混合了本地總線和直接通信的實施例處理器102使用本地互連總線與I/O設(shè)備130a通信同時與I/O設(shè)備130b直接進行通信����。
多種I/O設(shè)備130可以呈現(xiàn)在計算機系統(tǒng)100中��。輸入設(shè)備包括鍵盤��、鼠標���、跟蹤板�、跟蹤球��、麥克風(fēng)���、以及寫字板�。輸出設(shè)備包括視頻顯示器�����、揚聲器��、噴墨打印機、激光打印機����、以及染料升華打印機(dye-sublimation printer)。I/O設(shè)備還可以提供用于計算機系統(tǒng)100的大容量存儲器�,比如硬盤驅(qū)動器、用于容納軟盤比如3.5英寸����、5.25英寸磁盤或ZIP磁盤的軟盤驅(qū)動器、CD-ROM驅(qū)動器�����、CD-R/RW驅(qū)動器���、DVD-ROM驅(qū)動器、各種格式的磁帶驅(qū)動器���、以及USB存儲器設(shè)備比如由加利福尼亞的洛杉磯的Twintech Industry公司生產(chǎn)的設(shè)備的USB閃速驅(qū)動線���。
在另一個實施例中,I/O設(shè)備130可以是系統(tǒng)總線120和外部通信總線之間的電橋(bridge)����,外部通信總線比如是USB總線��、AppleDesktop Bus(蘋果桌面總線)��、RS-232串行連接����、SCSI總線���、火線(FireWire)總線����、火線800總線����、以太網(wǎng)總線、AppleTalk總線���、吉比特以太網(wǎng)總線�����、異步傳輸模式總線��、HIPPI總線���、超HIPPI總線���、SerialPlus總線、SCI/LAMP總線����、光纖通道(FibreChannel)總線、或者串行連接小型計算機系統(tǒng)接口總線�����。
圖1B和圖1C中描繪的那種通用桌面計算機通常在操作系統(tǒng)的控制下工作�����,所述操作系統(tǒng)控制任務(wù)調(diào)度并且訪問系統(tǒng)資源����。其中����,典型操作系統(tǒng)包括由華盛頓州的雷蒙德的微軟公司開發(fā)的MICROSOFTWINDOWS;由加利福尼亞州的庫珀蒂諾(Cupertino)的蘋果計算機(AppleComputer)公司開發(fā)的MacOS;由紐約州的Armonk的國際商用機器(IBM)公司開發(fā)的OS/2�;以及猶他州的鹽湖城(Salt Lake City)的Caldera公司供銷的免費獲得的操作系統(tǒng)Linux。
客戶端節(jié)點102可以是任何個人計算機(例如�,286、386��、486����、奔騰、奔騰II���、Macintosh計算機)�、基于視窗的終端�����、網(wǎng)絡(luò)計算機����、無線設(shè)備、信息設(shè)備�、RISC Power PC、X設(shè)備���、工作站���、微型計算機�����、主機計算機�、個人數(shù)字助理�、或具有基于視窗的桌面并且具有足夠的永久存儲器用于執(zhí)行小型顯示器顯示節(jié)目的其它計算設(shè)備。顯示器顯示節(jié)目使用通過通信通道發(fā)送給它的命令和數(shù)據(jù)來呈現(xiàn)圖形顯示�。所述客戶端節(jié)點102支持的面向視窗的平臺可以包括但不限于WINDOWS3.x、WINDOWS 95��、WINDOWS 98��、WINDOWS NT 3.51�����、WINDOWS NT 4.0�����、WINDOWS 2000�、WINDOWS CE、MAC/OS���、Java以及UNIX�����?�?蛻舳斯?jié)點102可以包括可視顯示器設(shè)備(例如���,計算機監(jiān)視器)、數(shù)據(jù)輸入設(shè)備(例如����,鍵盤)、用于存儲下載的應(yīng)用程序的永久或易失存儲器(例如���,計算機存儲器)�����、處理器���、以及鼠標��。小型顯示器顯示節(jié)目的執(zhí)行允許客戶端節(jié)點102參與分布式計算機系統(tǒng)模型(即�����,基于服務(wù)器的計算模型)���。
對于其中客戶端節(jié)點102為移動設(shè)備的實施例,所述設(shè)備可以是JAVA使能的蜂窩電話����,比如全部由伊利諾斯州的Schaumburg的摩托羅拉(Motorola)公司生產(chǎn)的i50sx、i55sr�����、i58sr�、i85s、i88s��、i90c��、i95c1�、或im11000;由日本京都的Kyocera生產(chǎn)的6035或7135����;或者韓國漢城的三星電子有限公司生產(chǎn)的i300或i330。在其中客戶端節(jié)點102為移動的其它實施例中�����,它可以是在Pa lmOS操作系統(tǒng)控制下工作的個人數(shù)字助理(PDA)���,比如全部由加利福尼亞州的Milpitas的palmOne公司生產(chǎn)的Tungsten W��、VII�、VIIx��、i705��。在另外的實施例中���,客戶端節(jié)點102可以是在PocketPC操作系統(tǒng)控制下工作的個人數(shù)字助理(PDA)�����,比如全部由加利福尼亞州的Palo Alto的Hewlett-Packard公司生產(chǎn)iPAQ 4155���、iPAQ 5555�、iPAQ 1945���、iPAQ2215���、以及iPAQ 4255;由加利福尼亞州的Walnut的ViewSonic公司生產(chǎn)的ViewSonic V36����;或者由紐約州的紐約的東芝美國公司生產(chǎn)的東芝PocketPC e405。在又一個實施例中����,客戶端節(jié)點是組合PDA/電話設(shè)備,比如全部由加利福尼亞州的Milpitas的palmOne公司生產(chǎn)的Treo 180��、Treo 270或Treo 600�����。在又一個實施例中����,客戶端節(jié)點102為在PocketPC操作系統(tǒng)控制下工作的蜂窩電話,比如由摩托羅拉公司生產(chǎn)的MPx200。
現(xiàn)在參照圖1D����,描繪了根據(jù)本發(fā)明構(gòu)建的計算機網(wǎng)絡(luò)100的一個實施例,其包括客戶端節(jié)點102���、收集代理104、政策機106���、政策數(shù)據(jù)庫108�����、應(yīng)用程序服務(wù)器中心114����、以及應(yīng)用程序服務(wù)器116��。盡管在圖1D所示的實施例中僅描繪了一個客戶端節(jié)點102�、收集代理104、政策機106�、應(yīng)用程序服務(wù)器中心114、以及應(yīng)用程序服務(wù)器116�,應(yīng)當(dāng)理解本系統(tǒng)可以提供這些部件中任意一種或每一種的多個。例如,在一個實施例中����,系統(tǒng)100包括多個邏輯分組的應(yīng)用程序服務(wù)器116,其中的每一個可用于代表所述客戶端節(jié)點102執(zhí)行應(yīng)用程序���。在這些實施例中���,該邏輯組服務(wù)器可以稱作“服務(wù)器中心”。在這些實施例的某些實施例中��,服務(wù)器可以在地理上被分散�。
概言之,當(dāng)客戶端節(jié)點102傳送請求110到政策機106用于訪問資源時����,收集代理104與客戶端節(jié)點102進行通信,取回關(guān)于客戶端節(jié)點102的信息����,并且傳送客戶端節(jié)點信息112到政策機106。政策機106通過將來自政策數(shù)據(jù)庫108的政策應(yīng)用到所接收的信息112做出訪問控制決定�����。
更具體地,客戶端節(jié)點102傳送用于資源的請求110到政策機106��。在某些實施例中���,客戶端節(jié)點102通過網(wǎng)絡(luò)連接傳送請求110�。網(wǎng)絡(luò)可以是局域網(wǎng)(LAN)��、城域網(wǎng)(MAN)�����、或者廣域網(wǎng)(WAN)比如互聯(lián)網(wǎng)�?���?蛻舳斯?jié)點102和政策機106可以通過多種連接而連接到網(wǎng)絡(luò),所述連接包括標準電話線�����、LAN或WAN鏈路(例如���,T1����、T3、56kb�����、X.25)���、寬帶連接(I SDN����、幀中繼�、ATM)、以及無線連接����。客戶端節(jié)點102和政策機106之間的連接可以使用多種數(shù)據(jù)鏈路層通信協(xié)議(例如��,TCP/IP����、IPX、SPX���、NetBIOS����、NetBEUI、SMB�、Ethernet(以太網(wǎng))、ARCNET��、光纖分布式數(shù)據(jù)接口(FDDI)���、RS232���、IEEE 802.11、IEEE 802.11a���、IEEE 802.11b、IEEE 802.11g以及直接異步連接)�����。
一旦接收到請求��,政策機106通過收集代理104發(fā)起信息收集����。收集代理104收集關(guān)于客戶端節(jié)點102的信息并且將信息112傳送給政策機106�。
在一些實施例中���,收集代理104收集并且通過網(wǎng)絡(luò)連接傳送信息112����。在一些實施例中��,收集代理104包括字節(jié)碼���,比如以字節(jié)碼編程語言JAVA編寫的應(yīng)用程序�����。在一些實施例中����,收集代理104包括至少一個腳本�。在那些實施例中,收集代理104通過在客戶端節(jié)點102上運行至少一個腳本來收集信息����。在一些實施例中����,收集代理包括在客戶端節(jié)點102上的Active X控件��。Active X控件是一種實現(xiàn)一組接口的專用COM(組件對象模型)對象���,該接口使得其能夠看起來和做起來像一種控件�����。
在一些實施例中�,收集代理104在客戶端節(jié)點上執(zhí)行��。在其它實施例中����,收集代理104位于政策機106上。在又一些實施例中��,收集代理104位于服務(wù)器上�����。在其它實施例中����,政策機106位于該服務(wù)器上。在這些實施例的某些實施例中����,收集代理104位于政策機106和該服務(wù)器上。
在一個實施例中�����,政策機106傳送收集代理104給客戶端節(jié)點102���。在一個實施例中����,在收集代理104已經(jīng)傳送信息112給政策機106之后�,政策機106需要收集代理104的第二次執(zhí)行。在這個實施例中��,政策機106可以具有不足信息112來判定客戶端節(jié)點102是否滿足特定條件�。在其它實施例中,政策機106響應(yīng)于所接收的信息112要求收集代理104的多次執(zhí)行�����。
在一些實施例中,政策機106傳送指令給收集代理104確定收集代理104收集的信息類型��。在那些實施例中�,系統(tǒng)管理員可以配置從政策機106傳送到收集代理104的指令。這對所收集的信息類型提供了更大控制���。由于對于所收集的信息的類型提供了更大控制�,這還擴展了政策機106可以做出的訪問控制決定的類型��。收集代理104收集信息112�,該信息包括但不限于客戶端節(jié)點的機器I D、操作系統(tǒng)類型����、操作系統(tǒng)補丁的存在、被安裝的網(wǎng)卡的MAC地址����、客戶端設(shè)備上的數(shù)字水印、有效目錄(active directory)中的從屬關(guān)系�、病毒掃描軟件(virus scanner)的存在、個人防火墻的存在����、HTTP報頭、瀏覽器類型��、設(shè)備類型�、網(wǎng)絡(luò)連接信息、以及授權(quán)證書�。
在一些實施例中,設(shè)備類型是個人數(shù)字助理�。在其它實施例中,設(shè)備類型是蜂窩電話��。在其它實施例中����,設(shè)備類型是膝上型計算機。在其它實施例中����,設(shè)備類型是桌上型計算機。在其它實施例中�,設(shè)備類型是互聯(lián)網(wǎng)公用電話亭(Internet kiosk)。
在一些實施例中��,數(shù)字水印包括數(shù)據(jù)嵌入����。在一些實施例中����,水印包括插入文件中的數(shù)據(jù)模式以提供關(guān)于該文件的源信息���。在其它實施例中�����,水印包括數(shù)據(jù)散列文件以提供篡改檢測����。在其它實施例中�����,水印提供關(guān)于所述文件的版權(quán)信息����。
在一些實施例中,網(wǎng)絡(luò)連接信息與帶寬能力有關(guān)��。在其它實施例中���,網(wǎng)絡(luò)連接信息與互聯(lián)網(wǎng)協(xié)議地址有關(guān)��。在又一些實施例中���,網(wǎng)絡(luò)連接信息包含互聯(lián)網(wǎng)協(xié)議地址。在一個實施例中�,網(wǎng)絡(luò)連接信息包括網(wǎng)絡(luò)區(qū)域(network zone),該網(wǎng)絡(luò)區(qū)域識別登錄上網(wǎng)代理��,客戶端節(jié)點提供認證證書給該登錄上網(wǎng)代理���。
在一些實施例中����,授權(quán)證書包括多種類型的認證信息�,包括但不限于用戶名、客戶端名��、客戶端地址���、口令�����、PIN���、語音采樣���、一次性口令、生統(tǒng)統(tǒng)計數(shù)據(jù)(biometric data)���、數(shù)字證書�����、標簽等等及其組合���。在接收到所收集的信息112之后,政策機106基于所接收的信息112做出訪問控制決定�����。
現(xiàn)在參照圖2�����,它是政策機200的一個實施例的框圖��,包括第一部件202和第二部件210,其中第一部件202包括條件數(shù)據(jù)庫204和登錄上網(wǎng)代理206�,第二部件210包括政策數(shù)據(jù)庫212。第一部件202將來自條件數(shù)據(jù)庫204的條件應(yīng)用到所接收的關(guān)于客戶端節(jié)點102的信息并且判定所接收的信息是否滿足條件�。
在一些實施例中,第一部件202和第二部件210邏輯上獨立但物理上不獨立����。在一些實施例中�,第一部件202和第二部件210邏輯和物理上獨立。在一些實施例中���,條件數(shù)據(jù)庫204位于第一部件202上�。在其它實施例中�����,條件數(shù)據(jù)庫204位于第二部件210上����。
在一些實施例中,條件可以要求客戶端節(jié)點102執(zhí)行特定操作系統(tǒng)來滿足該條件�。在一些實施例中,條件可以要求客戶端節(jié)點102執(zhí)行特定操作系統(tǒng)補丁以滿足該條件�。在又一些實施例中��,條件可以要求客戶端節(jié)點102提供用于每個被安裝的網(wǎng)卡的MAC地址以滿足該條件�����。在一些實施例中���,條件可以要求客戶端節(jié)點102表明在特定有效目錄中的從屬關(guān)系以滿足該條件。在另外的實施例中��,條件可以要求客戶端節(jié)點102執(zhí)行病毒掃描軟件以滿足條件�����。在其它實施例中�,條件可以要求客戶端節(jié)點102執(zhí)行個人防火墻以滿足該條件。在一些實施例中��,條件可以要求客戶端節(jié)點102包括特定設(shè)備類型以滿足該條件�。在其它實施例中,條件可以要求客戶端節(jié)點102建立特定類型的網(wǎng)絡(luò)連接以滿足該條件���。
如果所接收的信息滿足條件��,那么第一部件202在數(shù)據(jù)組208中為那個條件存儲標識符���。在一個實施例中����,如果信息使得條件為真��,那么所接收的信息滿足條件�。例如,條件可以要求安裝特定操作系統(tǒng)�。如果客戶端節(jié)點102具有那個操作系統(tǒng),那么該條件為真并且滿足�。在另外的實施例中���,如果信息使得條件為假�����,則所接收的信息滿足條件�����。例如�����,條件可以針對spyware(間諜軟件)是否存在客戶端節(jié)點102上���。如果客戶端節(jié)點102不包含間諜軟件����,則條件為假并且滿足�。
在一些實施例中,登錄上網(wǎng)代理206位于政策機200之外���。在其它實施例中���,登錄上網(wǎng)代理206位于政策機200上。在一個實施例中�����,第一部件202包括登錄上網(wǎng)代理206�,該登錄上網(wǎng)代理206發(fā)起關(guān)于客戶端節(jié)點102的信息收集。在一些實施例中��,登錄上網(wǎng)代理206進一步包括數(shù)據(jù)存儲器�。在這些實施例中,數(shù)據(jù)存儲器包括收集代理可以收集信息的條件。這個數(shù)據(jù)存儲器不同于條件DB 204����。
在一些實施例中,登錄上網(wǎng)代理206通過執(zhí)行收集代理104發(fā)起信息收集�����。在其它實施例中��,登錄上網(wǎng)代理206通過傳送收集代理104給客戶端節(jié)點102發(fā)起信息收集用于在客戶端節(jié)點102上執(zhí)行����。在又一些實施例中,登錄上網(wǎng)代理206在接收信息112之后發(fā)起另外的信息收集����。在一個實施例中�����,登錄上網(wǎng)代理206也接收信息112�。在這個實施例中,登錄上網(wǎng)代理206基于所接收的信息112生成數(shù)據(jù)組208�����。在一些實施例中,登錄上網(wǎng)代理206通過將來自數(shù)據(jù)庫204的條件應(yīng)用到從收集代理104接收的信息來生成數(shù)據(jù)組208��。
在另外的實施例中����,第一部件202包括多個登錄上網(wǎng)代理206。在這個實施例中���,所述多個登錄上網(wǎng)代理206中的至少一個位于每個網(wǎng)絡(luò)域上���,客戶端節(jié)點102可以從所述每個網(wǎng)絡(luò)域傳送資源請求。在這個實施例中�����,客戶端節(jié)點102傳送資源請求給特定登錄上網(wǎng)代理206��。在一些實施例中����,登錄上網(wǎng)代理206將客戶端節(jié)點102從其訪問登錄上網(wǎng)代理206的所述網(wǎng)絡(luò)域傳送給政策機200。在一個實施例中���,客戶端節(jié)點102從其訪問登錄上網(wǎng)代理206的網(wǎng)絡(luò)域被稱作客戶端節(jié)點102的網(wǎng)絡(luò)區(qū)域����。
條件數(shù)據(jù)庫204存儲第一部件202應(yīng)用到所接收信息的條件。政策數(shù)據(jù)庫212存儲第二部件210應(yīng)用到所接收數(shù)據(jù)組的政策�。在一些實施例中,條件數(shù)據(jù)庫204和政策數(shù)據(jù)庫212在ODBC相容數(shù)據(jù)庫中存儲數(shù)據(jù)���。例如���,條件數(shù)據(jù)庫204和政策數(shù)據(jù)庫212可以被提供為由加利福尼亞州的Redwood Shores的Oracle公司開發(fā)的ORACLE數(shù)據(jù)庫。在其它實施例中�,條件數(shù)據(jù)庫204和政策數(shù)據(jù)庫212可以是華盛頓州的雷蒙德的微軟公司開發(fā)的Microsoft ACCESS數(shù)據(jù)庫或Microsoft SQL服務(wù)器數(shù)據(jù)庫。
在第一部件202將所接收的信息應(yīng)用到條件數(shù)據(jù)庫204中的每個條件之后��,第一部件傳送數(shù)據(jù)組208到第二部件210�。在一個實施例中,第一部件202僅傳送數(shù)據(jù)組208到第二部件210���。因此����,在這個實施例中���,第二部件210不接收信息112��,僅接收滿足條件的標識符�����。第二部件210接收數(shù)據(jù)組208并且基于數(shù)據(jù)組208中所識別的條件通過應(yīng)用來自政策數(shù)據(jù)庫212的政策做出訪問控制決定��。
在一個實施例中�����,政策數(shù)據(jù)庫212存儲應(yīng)用到所接收的信息112的政策���。在一個實施例中,存儲在政策數(shù)據(jù)庫212中的政策至少部分地由系統(tǒng)管理員指定����。在另外的實施例中,用戶指定存儲在政策數(shù)據(jù)庫212中的至少一些政策�。用戶指定的一個或多個政策被存儲為優(yōu)先選擇。政策數(shù)據(jù)庫212可以被存儲在易失或非易失存儲器中或者例如通過多個服務(wù)器分配����。
在一個實施例中���,只有當(dāng)滿足一個或多個條件,政策才允許訪問資源�����。在另外的實施例中�����,政策允許訪問資源但是禁止傳送資源到客戶端節(jié)點102�����。存儲在政策數(shù)據(jù)庫212中的政策之一可能要求或者禁止自動連接到斷開的應(yīng)用程序會話��。又一政策可能做出發(fā)生在客戶端節(jié)點102上的連接�����,該連接請求在安全網(wǎng)絡(luò)中進行訪問���。另一政策可能要求或者禁止自動連接到當(dāng)前被連接到不同客戶端節(jié)點102的有效應(yīng)用程序會話���。另一政策可能僅允許在接收到用戶準許之后連接到應(yīng)用程序會話。另一政策可能僅在斷開之后預(yù)定時間允許連接�。又一個政策可能僅允許連接到包括特定應(yīng)用程序的應(yīng)用程序會話。一種政策可能允許僅僅觀看請求文件的轉(zhuǎn)換內(nèi)容���。一種政策可能允許僅僅觀看請求文件的HTML版本���。在一些實施例中,提供訪問資源同時防止文件下載到客戶端節(jié)點102�����。這可能以多種方式來完成�����,包括轉(zhuǎn)換文件內(nèi)容為僅閱讀器格式���、轉(zhuǎn)換文件內(nèi)容為HTML����,用于使用web瀏覽器觀看���、使用相關(guān)的文件類型來使用服務(wù)器中心的服務(wù)器擁有的應(yīng)用程序�����,而不是使用客戶端節(jié)點102擁有的應(yīng)用程序打開文件�����、或者通過使用在美國專利申請序列號10/931405中描述的那種系統(tǒng)�,該申請的內(nèi)容在此作為參考被結(jié)合進來。
在上面的一些實施例中���,該方法和設(shè)備提供私有信息的文檔保護�。在這些實施例中����,客戶端節(jié)點不能訪問聯(lián)網(wǎng)資源除非政策機106準許客戶端節(jié)點102允許訪問資源。在這些實施例之一中����,政策機106為單個外露的網(wǎng)絡(luò)元件,用來保證客戶端節(jié)點102必須訪問政策機106以便訪問聯(lián)網(wǎng)資源����。在這些實施例的另一個實施例中,用于在政策機106之后訪問聯(lián)網(wǎng)資源的URL被重新寫入來防止客戶端節(jié)點102的直接訪問���。在上面其它實施例中����,所述方法和設(shè)備增強客戶端節(jié)點訪問資源的能力�����,該資源用別的方式是不可訪問的��。在上面的一些實施例中��,所述方法和設(shè)備提供私有信息的保護和增強的客戶端節(jié)點能力��。
現(xiàn)在參照圖3�����,流程圖描繪了由政策機106基于所接收的關(guān)于客戶端節(jié)點102的信息做出訪問控制決定所采取的步驟的一個實施例��。一旦接收到所收集的關(guān)于客戶端節(jié)點102的信息(步驟350)��,政策機106基于所述信息生成數(shù)據(jù)組(步驟352)����。在一些實施例中���,政策機106從收集代理104請求關(guān)于客戶端節(jié)點102的另外信息。在這些實施例中�,政策機106要求在客戶端節(jié)點102上不止一次執(zhí)行收集代理104。在那些實施例中��,政策機106在接收到附加的請求信息之后生成數(shù)據(jù)組108�。在這些實施例中,政策機106可以具有不足的信息112來判定客戶端節(jié)點102是否滿足特定條件��。在這些實施例的其它實施例中���,條件可以是不確定的����。在其中條件是不確定的一些實施例中�,收集代理不能收集滿足該條件所要求的信息。
數(shù)據(jù)組208包含由所接收信息112所滿足的每個條件的標識符�����。接著����,政策機106將政策應(yīng)用到數(shù)據(jù)組208中的每個所識別的條件�����。那個應(yīng)用程序產(chǎn)生客戶端節(jié)點102可以訪問的資源的枚舉(步驟354)�。在一個實施例中���,資源包括私有數(shù)據(jù)����。在一些實施例中���,資源包括web網(wǎng)頁。在其它實施例中����,資源包括文字處理文檔。在又一些實施例中��,資源包括電子制表軟件����。在一些實施例中,所述枚舉包括僅客戶端節(jié)點102可以訪問的資源的子組。政策機106然后將所述枚舉呈現(xiàn)給客戶端節(jié)點102�。在一些實施例中,政策機106創(chuàng)建用于將所述枚舉呈現(xiàn)給客戶端節(jié)點的超文本鏈接標示語言(HTML)文檔���。
現(xiàn)在參照圖4���,描繪了根據(jù)本發(fā)明構(gòu)建的計算機網(wǎng)絡(luò)400的一個實施例,其包括客戶端節(jié)點402���、收集代理404��、訪問控制服務(wù)器406��、政策數(shù)據(jù)庫408�、應(yīng)用程序服務(wù)器中414�、第一應(yīng)用程序服務(wù)器416、應(yīng)用程序數(shù)據(jù)庫418�、第二應(yīng)用程序服務(wù)器420、以及第二應(yīng)用程序數(shù)據(jù)庫422��。在一些實施例中����,存在將客戶端節(jié)點402所位于的網(wǎng)絡(luò)與訪問控制服務(wù)器406和應(yīng)用程序服務(wù)器中心414所位于的網(wǎng)絡(luò)分隔的網(wǎng)絡(luò)邊界��。
概言之���,當(dāng)客戶端節(jié)點402傳送訪問資源的請求410給訪問控制服務(wù)器406時,收集代理404與客戶端節(jié)點402進行通信��,取回關(guān)于客戶端節(jié)點402的信息��,并且傳送客戶端節(jié)點信息412至訪問控制服務(wù)器406�����。在一個實施例中�����,在政策機106向客戶端節(jié)點402呈現(xiàn)可用資源的枚舉之后�����,客戶端節(jié)點402傳送請求410����。訪問控制服務(wù)器406通過將來自政策數(shù)據(jù)庫408的政策應(yīng)用到所接收的信息412做出訪問控制決定�。最后,訪問控制服務(wù)器406傳送文件類型給應(yīng)用程序服務(wù)器中414用于將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點402。省略了計算機網(wǎng)絡(luò)400的附加部件并且其將在圖4B中進一步加以描述�����。
現(xiàn)在參照圖4B�����,流程圖描繪了訪問控制服務(wù)器406和應(yīng)用程序服務(wù)器中414提供文件內(nèi)容給客戶端節(jié)點402所采取的步驟的一個實施例�����。應(yīng)用程序服務(wù)器中414的一部分是應(yīng)用程序服務(wù)器416����。
在一個實施例中,一旦訪問控制服務(wù)器406決定準許客戶端節(jié)點402訪問所請求的文件�����,則訪問控制服務(wù)器406確定所請求的文件的文件類型(步驟452)����。在其它實施例中,應(yīng)用程序服務(wù)器416確定所請求的文件的文件類型���。在又一些實施例中�,除了應(yīng)用程序服務(wù)器416或者訪問控制服務(wù)器406之外的服務(wù)器。在一些實施例中�����,確定文件類型的服務(wù)器必須首先取回所請求的文件�。在那些實施例的一些實施例中,文件位于網(wǎng)絡(luò)邊界424的與確定文件類型的服務(wù)器同一側(cè)�����。在那些實施例的其它實施例中���,文件位于網(wǎng)絡(luò)邊界424的與客戶端節(jié)點402同一側(cè)�。在這些實施例中��,所述方法和設(shè)備增強了客戶端節(jié)點訪問資源的能力���,該資源用別的方式是不可訪問的,但是它們不提供私有信息的文檔保護��。
在一些實施例中�,網(wǎng)絡(luò)邊界424物理上分割至少兩個網(wǎng)絡(luò)�。在其它實施例中��,網(wǎng)絡(luò)邊界424邏輯上分割至少兩個網(wǎng)絡(luò)���。在一個實施例中��,網(wǎng)絡(luò)邊界424是防火墻��。
在一個實施例中���,文件擴展名是文件類型并且確定文件類型的服務(wù)器通過從文件中提取文件擴展名來做到這一點。在另一個實施例中���,資源分支(resource fork)是文件類型�。在確定文件類型之后��,確定文件類型的服務(wù)器傳送文件類型給應(yīng)用程序服務(wù)器中414用于取回和呈現(xiàn)給客戶端節(jié)點402(步驟454)����。
應(yīng)用程序服務(wù)器416從訪問控制服務(wù)器406接收文件類型(步驟456)。在一些實施例中��,應(yīng)用程序服務(wù)器416識別與那個文件類型有關(guān)的應(yīng)用程序�����。在其它實施例中,訪問控制服務(wù)器406識別與那個文件類型有關(guān)的應(yīng)用程序���。在又一些其它實施例中��,除了訪問控制服務(wù)器406或應(yīng)用程序服務(wù)器416之外的服務(wù)器識別與那個文件類型有關(guān)的應(yīng)用程序��。
在一個實施例中���,識別與文件類型有關(guān)的應(yīng)用程序的服務(wù)器查詢應(yīng)用程序數(shù)據(jù)庫418來取回用于應(yīng)用程序的標識符。在一些實施例中����,應(yīng)用程序數(shù)據(jù)庫418是登記文件。在其中應(yīng)用程序服務(wù)器416或單獨服務(wù)器基于文件類型識別應(yīng)用程序類型的實施例中��,識別服務(wù)器于是傳送應(yīng)用程序的所述標識符給訪問控制服務(wù)器406����。在一些實施例中,識別服務(wù)器通過網(wǎng)絡(luò)連接傳送標識符給訪問控制服務(wù)器406�。
在一些實施例中�����,訪問控制服務(wù)器406或單獨服務(wù)器都不需要傳送文件類型給應(yīng)用程序服務(wù)器416,以確定相關(guān)應(yīng)用程序的標識符���。在這些實施例之一中��,應(yīng)用程序服務(wù)器416傳送所擁有的應(yīng)用程序列表和與那些應(yīng)用程序有關(guān)的文件類型給訪問控制服務(wù)器406����。在這些實施例中���,訪問控制服務(wù)器406從所傳送的列表中取回與文件類型有關(guān)的應(yīng)用程序的標識符����。
當(dāng)訪問控制服務(wù)器406接收應(yīng)用程序的標識符時��,訪問控制服務(wù)器406創(chuàng)建并且傳送可執(zhí)行文件給客戶端節(jié)點402(步驟458)���。在一些實施例中�,可執(zhí)行文件包含應(yīng)用程序的標識符�����。在一些實施例中,可執(zhí)行文件包含將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點402的應(yīng)用程序服務(wù)器中414中的應(yīng)用程序服務(wù)器的標識符���。在一些實施例中�����,使用文件類型識別應(yīng)用程序的同一應(yīng)用程序服務(wù)器416將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點402���。在其它實施例中,第二應(yīng)用程序服務(wù)器420將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點402����。在一個實施例中,可執(zhí)行文件包含應(yīng)用程序的標識符和將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點402的應(yīng)用程序服務(wù)器中心414中的應(yīng)用程序服務(wù)器的標識符���。在一些實施例中��,可執(zhí)行文件使得客戶端節(jié)點402能夠使用表示層協(xié)議���,比如來自佛羅里達的FortLauderdale的Citrix Systems公司的獨立計算結(jié)構(gòu)(ICA)協(xié)議與所識別的服務(wù)器連接。在其它實施例中���,可執(zhí)行文件使得客戶端節(jié)點402能夠使用微軟公司開發(fā)的遠端桌面協(xié)議(RDP)�����,與所識別的服務(wù)器連接�。在其它實施例中�����,表示層協(xié)議被封裝在較高層的協(xié)議中����。
客戶端節(jié)點402從訪問控制服務(wù)器406接收可執(zhí)行文件?�?蛻舳斯?jié)點402連接到在可執(zhí)行文件中識別的應(yīng)用程序服務(wù)器416(步驟460)��。在一個實施例中����,客戶端節(jié)點402使用ICA協(xié)議連接到所識別的應(yīng)用程序服務(wù)器416。在另一個實施例中��,客戶端節(jié)點402使用RDP連接到所識別的應(yīng)用程序服務(wù)器416�。
應(yīng)用程序服務(wù)器416選擇呈現(xiàn)文件內(nèi)容的格式(步驟464)。在其它實施例中,訪問控制服務(wù)器406識別用于呈現(xiàn)文件內(nèi)容的格式��。在那些實施例中�,訪問控制服務(wù)器406可應(yīng)用政策來識別可用格式。在一些實施例中�����,應(yīng)用程序服務(wù)器416基于所接收的關(guān)于客戶端節(jié)點402的信息選擇格式�。在其它實施例中,應(yīng)用程序服務(wù)器416通過將政策應(yīng)用到所接收的信息來選擇格式�����。
應(yīng)用程序服務(wù)器416接受客戶端節(jié)點402連接并且取回所請求的文件(步驟466)���。在一個實施例中�����,應(yīng)用服務(wù)器416從web服務(wù)器取回文件����。在另一個實施例中��,應(yīng)用程序服務(wù)器416從文件服務(wù)器取回文件。在又一個實施例中��,所取回的文件是電子郵件的附件�。在這個實施例中,應(yīng)用程序服務(wù)器416從電子郵件服務(wù)器中取回文件����。在一些實施例中����,郵件服務(wù)器是Lotus郵件服務(wù)器。在其它實施例中����,郵件服務(wù)器是OutLook郵件服務(wù)器或者OutLook Web Access郵件服務(wù)器。
應(yīng)用程序服務(wù)器416通過連接將文件內(nèi)容呈現(xiàn)給客戶端節(jié)點402(步驟468)����。在一個實施例中,所呈現(xiàn)的文件內(nèi)容包含電子郵件附件��。
參照圖5�,描繪了根據(jù)本發(fā)明構(gòu)建的計算機網(wǎng)絡(luò)500的一個實施例,該計算機網(wǎng)絡(luò)包括客戶端節(jié)點502�,收集代504���,政策機506,第一部件508��,第二部件512���,條件數(shù)據(jù)庫510��,政策數(shù)據(jù)庫512����,轉(zhuǎn)換服務(wù)器516��,和存儲元件518�。概言之,當(dāng)客戶端節(jié)點502從政策機506傳送用于訪問資源的請求522時����,收集代理504與客戶端節(jié)點502進行通信,取回關(guān)于客戶端節(jié)點502的信息��,并且傳送客戶端節(jié)點信息512至政策機506��。政策機506做出訪問控制決定�,如上面圖3中所討論的�。一旦政策機506決定準許客戶端節(jié)點502訪問所請求的文件�����,則政策機506傳送該請求至轉(zhuǎn)換服務(wù)器516用于轉(zhuǎn)換和呈現(xiàn)給客戶端節(jié)點502�。
更具體地,政策機506從客戶端節(jié)點502接收用于所轉(zhuǎn)換的文件內(nèi)容的請求��。在一個實施例中�,政策機506識別能夠?qū)⑺D(zhuǎn)換的文件內(nèi)容呈現(xiàn)給客戶端節(jié)點502的轉(zhuǎn)換服務(wù)器516。在一些實施例中�����,轉(zhuǎn)換服務(wù)器516能夠呈現(xiàn)轉(zhuǎn)換的文件內(nèi)容����,因為它包含之前轉(zhuǎn)換的內(nèi)容的拷貝���。在其它實施例中���,轉(zhuǎn)換服務(wù)器516能夠呈現(xiàn)轉(zhuǎn)換的文件內(nèi)容,因為它當(dāng)前有能力轉(zhuǎn)換文件內(nèi)容�。
在一個實施例中�,政策機506通過查詢一個存儲元件518以決定是否轉(zhuǎn)換服務(wù)器516之前轉(zhuǎn)換了文件內(nèi)容來識別轉(zhuǎn)換服務(wù)器516�����。在那個實施例中�,政策機506傳送由存儲元件518識別的轉(zhuǎn)換服務(wù)器518的標識符給客戶端節(jié)點502。在其它實施例中�����,沒有任何轉(zhuǎn)換服務(wù)器516之前轉(zhuǎn)換內(nèi)容�。在那些實施例中,政策機而是識別當(dāng)前能夠轉(zhuǎn)換文件內(nèi)容的轉(zhuǎn)換服務(wù)器516并且傳送客戶端節(jié)點502的請求至那個轉(zhuǎn)換服務(wù)器516�����。
在其它實施例中��,除了政策機506之外的服務(wù)器識別能夠?qū)⑺D(zhuǎn)換的文件內(nèi)容呈現(xiàn)給客戶端的轉(zhuǎn)換服務(wù)器516���。在這些實施例的一些實施例中����,同一服務(wù)器還向轉(zhuǎn)換服務(wù)器516傳送將文件呈現(xiàn)給客戶端的請求����。在這些實施例的一些實施例中��,識別有能力的轉(zhuǎn)換服務(wù)器516的同一服務(wù)器通過代理服務(wù)器路由并且傳送所述請求給轉(zhuǎn)換服務(wù)器516����。
在一個實施例中����,轉(zhuǎn)換服務(wù)器516接收來自政策機506的請求用于轉(zhuǎn)換所請求文件的內(nèi)容并且呈現(xiàn)給客戶端節(jié)點502。在另一實施例中��,轉(zhuǎn)換服務(wù)器516接收來自除了政策機506之外的服務(wù)器的請求����。轉(zhuǎn)換服務(wù)器516取回文件并且將內(nèi)容從原始格式轉(zhuǎn)換成第二格式����。轉(zhuǎn)換服務(wù)器516然后接受來自客戶端節(jié)點502的連接并且呈現(xiàn)所轉(zhuǎn)換的文件內(nèi)容,如果所述內(nèi)容先前沒有轉(zhuǎn)換的話則轉(zhuǎn)換所述內(nèi)容�����。最后��,轉(zhuǎn)換服務(wù)器516將轉(zhuǎn)換文件內(nèi)容的服務(wù)器的標識符和文件的標識符寫入存儲元件518。
現(xiàn)在參照圖6�����,流程圖描繪了由轉(zhuǎn)換服務(wù)器516轉(zhuǎn)換所請求的文件內(nèi)容并且將該轉(zhuǎn)換的內(nèi)容呈現(xiàn)給客戶端節(jié)點502所采取的步驟的一個實施例����。
轉(zhuǎn)換服務(wù)器516接收所請求文件的內(nèi)容的轉(zhuǎn)換請求并且呈現(xiàn)給客戶端節(jié)點502(步驟600)。在一個實施例中��,轉(zhuǎn)換服務(wù)器516通過網(wǎng)絡(luò)連接接收這個請求���。
轉(zhuǎn)換服務(wù)器516將所請求的文件內(nèi)容從原始格式轉(zhuǎn)換為第二格式(步驟602)��。在一個實施例中�,轉(zhuǎn)換服務(wù)器516使用規(guī)則表示將文件內(nèi)容從原始格式轉(zhuǎn)換為第二格式用于呈現(xiàn)在客戶端上�。在另一實施例中,轉(zhuǎn)換服務(wù)器516將文件內(nèi)容從原始格式轉(zhuǎn)換成第二格式��,其包含格式轉(zhuǎn)換工具��。在另一實施例中�����,轉(zhuǎn)換服務(wù)器516將文件內(nèi)容從原始格式轉(zhuǎn)換成HTML。在另一實施例中����,轉(zhuǎn)換服務(wù)器516將文件內(nèi)容從原始格式轉(zhuǎn)換成第二格式,其中第二格式使得能夠在個人數(shù)字助理上呈現(xiàn)��。在另一實施例中�,轉(zhuǎn)換服務(wù)器516將文件內(nèi)容從原始格式轉(zhuǎn)換成第二格式,其中第二格式使得能夠在蜂窩電話上呈現(xiàn)����。在另一實施例中,轉(zhuǎn)換服務(wù)器516將文件內(nèi)容從原始格式轉(zhuǎn)換為第二格式���,其中第二格式使得能夠在膝上型計算機上呈現(xiàn)�。在另一實施例中���,轉(zhuǎn)換服務(wù)器516將文件內(nèi)容從原始格式轉(zhuǎn)換為第二格式,其中第二格式使得能夠在互聯(lián)網(wǎng)公用電話亭上呈現(xiàn)�。
轉(zhuǎn)換服務(wù)器516將關(guān)于所述轉(zhuǎn)換的識別信息寫入存儲元件518(步驟604)。在一個實施例中���,識別信息包括轉(zhuǎn)換服務(wù)器516的標識符以及所轉(zhuǎn)換的文件的標識符����。在一些實施例中,識別信息包括臨時文件��,該臨時文件包含所轉(zhuǎn)換的文件內(nèi)容���。在那些實施例中�����,存儲元件518用作所轉(zhuǎn)換的文件內(nèi)容的全局高速緩存器��。
在政策機506識別能夠呈現(xiàn)用于客戶端節(jié)點502的所轉(zhuǎn)換的文件內(nèi)容的轉(zhuǎn)換服務(wù)器516之后�,政策服務(wù)器506傳送轉(zhuǎn)換服務(wù)器516的標識符給客戶端節(jié)點502���?���?蛻舳斯?jié)點502接收標識符并且連接到轉(zhuǎn)換服務(wù)器516�����。轉(zhuǎn)換服務(wù)器516接受所述連接并且通過該連接將所請求文件的轉(zhuǎn)換內(nèi)容呈現(xiàn)給客戶端節(jié)點502(步驟606)。在一個實施例中���,轉(zhuǎn)換服務(wù)器516在呈現(xiàn)給客戶端節(jié)點502之后保留所請求文件的轉(zhuǎn)換內(nèi)容����。
參照圖7���,描繪了根據(jù)本發(fā)明構(gòu)建的計算機網(wǎng)絡(luò)700的一個實施例��,其包括第一客戶端節(jié)點702��、收集代理704��、政策機706����、政策數(shù)據(jù)庫708�����、條件數(shù)據(jù)庫710���、第二客戶端節(jié)點716、會話服務(wù)器720、所存儲的應(yīng)用程序數(shù)據(jù)庫722�����、應(yīng)用程序服務(wù)器中心724���、第一應(yīng)用程序服務(wù)器726��、第一數(shù)據(jù)庫728�����、第二應(yīng)用程序服務(wù)器730�����、以及第二數(shù)據(jù)庫732����。概言之�����,當(dāng)?shù)谝豢蛻舳斯?jié)點702傳送訪問資源的請求712到訪問控制服務(wù)器706時�����,收集代理704與客戶端節(jié)點702進行通信,取回關(guān)于客戶端節(jié)點702的信息����,并且傳送客戶端節(jié)點信息714給政策機706。政策機706做出訪問控制決定�,如上面圖3中所討論的。最后���,會話服務(wù)器720在客戶端節(jié)點702和與客戶端節(jié)點702有關(guān)的多個應(yīng)用程序會話之間建立連接�����。計算機網(wǎng)絡(luò)700的附加部件被省略并且其將在圖7B中進一步加以描述�。
現(xiàn)在參照圖7B�,流程圖描繪了由會話服務(wù)器720使客戶端節(jié)點702與其相關(guān)應(yīng)用程序會話連接所采取的步驟的一個實施例。會話服務(wù)器720從政策機706接收關(guān)于客戶端節(jié)點702的包含政策機706做出的訪問控制決定的信息�。在一個實施例中,該信息還包括客戶端節(jié)點信息714���。
在一些實施例中����,政策機706識別已經(jīng)與客戶端節(jié)點702有關(guān)的多個應(yīng)用程序會話。在其它實施例中����,會話服務(wù)器720識別與客戶端節(jié)點702有關(guān)的所存儲的應(yīng)用程序會話��。在這些實施例的一些實施例中���,一接收到來自政策機706的信息�����,會話服務(wù)器720自動識別所存儲的應(yīng)用程序會話��。在一個實施例中�,所存儲的應(yīng)用程序數(shù)據(jù)庫722位于會話服務(wù)器720上�。在另一實施例中,所存儲的應(yīng)用程序數(shù)據(jù)庫722位于政策機706上���。
所存儲的應(yīng)用程序數(shù)據(jù)庫722包含與執(zhí)行應(yīng)用程序會話的應(yīng)用程序服務(wù)器中724中的多個服務(wù)器有關(guān)的數(shù)據(jù)�����。在一些實施例中�����,識別與客戶端節(jié)點702有關(guān)的應(yīng)用程序會話要求查閱與執(zhí)行應(yīng)用程序會話的一個或多個服務(wù)器有關(guān)的存儲數(shù)據(jù)����。在這些實施例的一些實施例中,會話存儲器720查閱與執(zhí)行應(yīng)用程序會話的一個或多個服務(wù)器有關(guān)的存儲數(shù)據(jù)�����。在這些實施例的其它實施例中����,政策機706查閱與執(zhí)行應(yīng)用程序會話的一個或多個服務(wù)器有關(guān)的存儲數(shù)據(jù)。在一些實施例中�����,第一應(yīng)用程序會話運行在第一應(yīng)用程序服務(wù)器726上并且第二應(yīng)用程序會話運行在第二應(yīng)用程序服務(wù)器730上���。在其它實施例中�����,所有應(yīng)用程序會話運行在應(yīng)用程序服務(wù)器中724中的單個應(yīng)用程序服務(wù)器上�。
會話服務(wù)器720包括與由用戶發(fā)起的應(yīng)用程序會話有關(guān)的信息。會話服務(wù)器可以被存儲在易失或非易失存儲器中���,或者例如通過多個服務(wù)器分配�。表格7-1示出了包括在所示例性會話服務(wù)器720的一部分中的數(shù)據(jù)�����。
表格7-1
表格7-1中的示例性會話服務(wù)器720包括使每個應(yīng)用程序會話與發(fā)起應(yīng)用程序會話的用戶相關(guān)聯(lián)的數(shù)據(jù)�����,客戶端計算機702或716的標識���,如果有的話,當(dāng)前用戶從其被連接到服務(wù)器726���、以及那個客戶端計算機702a或716的IP地址�����。所示例的會話服務(wù)器720還包括每個應(yīng)用程序會話的狀態(tài)��。應(yīng)用程序會話狀態(tài)可以例如為“有效”(指用戶被連接到應(yīng)用程序會話)或者“斷開”(指用戶沒有連接到應(yīng)用程序會話)���。在可替換的實施例中��,應(yīng)用程序會話狀態(tài)還可以被設(shè)置為“執(zhí)行-斷開”(指用戶已經(jīng)從所述應(yīng)用程序會話斷開����,但是應(yīng)用程序會話中的應(yīng)用程序仍舊執(zhí)行)�����,或者“停止-斷開”(指用戶斷開并且應(yīng)用程序會話中的應(yīng)用程序沒有執(zhí)行����,但是它們的工作狀態(tài)在斷開之前立即被保存)。會話服務(wù)器720進一步存儲表示在每個應(yīng)用程序會話中執(zhí)行的應(yīng)用程序116和表示在服務(wù)器上每個應(yīng)用程序處理的數(shù)據(jù)的信息���。在其中服務(wù)器726為服務(wù)器中724的一部分的實施例中�,會話服務(wù)器720至少為動態(tài)存儲器的一部分��,并且還包括表格1的最后兩行中的數(shù)據(jù)�,該數(shù)據(jù)表示每個應(yīng)用程序正在服務(wù)器中心中的哪個服務(wù)器上執(zhí)行,以及那個服務(wù)器的IP地址����。在可替換的實施例中�����,會話服務(wù)器720包括在每個應(yīng)用程序會話中的每個應(yīng)用程序的狀態(tài)指示符���。
例如,在表格7-1的例子中��,存在三個應(yīng)用程序會話����,即應(yīng)用程序會話1���、應(yīng)用程序會話2���、和應(yīng)用程序會話3。應(yīng)用程序會話1與用戶1相關(guān)聯(lián)�,該用戶當(dāng)前使用終端1。終端1的IP地址為152.16.2.50����。應(yīng)用程序會話1的狀態(tài)為有效,并且在應(yīng)用程序會話1中,正在執(zhí)行文字處理程序���。文字處理程序在服務(wù)器A上執(zhí)行��,作為處理序號1��。服務(wù)器A的IP地址是152.16.2.55���。表格1中的應(yīng)用程序會話2是斷開的應(yīng)用程序會話118的例子。應(yīng)用程序會話2與用戶2相關(guān)聯(lián)���,但是應(yīng)用程序會話2沒有連接到客戶計算機702a或716���。應(yīng)用程序會話2包括在服務(wù)器A上執(zhí)行的數(shù)據(jù)庫程序,服務(wù)器A的IP地址為152.16.2.55����,處理序號為3。應(yīng)用程序會話3是用戶如何與在不同服務(wù)器726上工作的應(yīng)用程序會話交互的例子����。應(yīng)用程序會話3與應(yīng)用程序會話1一樣也與用戶1相關(guān)聯(lián)。應(yīng)用程序會話3包括在服務(wù)器B上執(zhí)行的電子制表軟件程序�,服務(wù)器B的IP地址是152.16.2.56,處理序號為2,而包括在應(yīng)用程序會話1中的應(yīng)用程序會話在服務(wù)器A上執(zhí)行��。
在一個實施例中����,會話服務(wù)器720被配置來接收斷開請求來斷開與客戶端節(jié)點702有關(guān)的應(yīng)用程序會話并且響應(yīng)于所述請求這么做來斷開應(yīng)用程序會話。會話服務(wù)器720在從應(yīng)用程序會話斷開客戶端節(jié)點702之后繼續(xù)執(zhí)行應(yīng)用程序會話�。在這個實施例中,會話服務(wù)器720訪問所存儲的應(yīng)用程序數(shù)據(jù)庫722并且更新與每個斷開應(yīng)用程序會話有關(guān)的數(shù)據(jù)記錄�����,這樣該記錄表示與客戶端節(jié)點702有關(guān)的應(yīng)用程序會話是斷開的�。
由不完善網(wǎng)絡(luò)連接和用戶自己不能終止它們的應(yīng)用程序會話引起的應(yīng)用程序會話的無意識終止可以給用戶帶來麻煩。本發(fā)明的一個實施例通過區(qū)分斷開(其被當(dāng)作用戶沒有完成與應(yīng)用程序會話一起工作來處理)與終止(其被假設(shè)為有意結(jié)束應(yīng)用程序會話)并且通過將應(yīng)用程序會話與相對于客戶端節(jié)點的用戶相關(guān)��,限制這些麻煩�����。當(dāng)用戶使用工作在應(yīng)用程序會話中的應(yīng)用程序結(jié)束時���,用戶可以終止應(yīng)用程序會話。終止通常包括表示服務(wù)器應(yīng)當(dāng)不再保持應(yīng)用程序會話的用戶肯定輸入�����。這樣的肯定用戶輸入可以包括從菜單選擇“退出”選項,點擊圖標等等�。響應(yīng)于接收終止請求的會話服務(wù)器720,暫停那個應(yīng)用程序會話中的應(yīng)用程序會話和任何應(yīng)用程序的執(zhí)行�����。在一個實施例中����,與應(yīng)用程序會話有關(guān)的數(shù)據(jù)也從所存儲的應(yīng)用程序數(shù)據(jù)庫722中移除。
另一方面���,不管是有意還是無意的斷開�����,不會引起應(yīng)用程序會話的終止�����。由于工作在應(yīng)用程序會話中的一個或多個應(yīng)用程序在服務(wù)器720上執(zhí)行�,到第一客戶端節(jié)點702的連接通常不必繼續(xù)執(zhí)行應(yīng)用程序�,并且在一個實施例中��,應(yīng)用程序可以繼續(xù)執(zhí)行同時等待用戶連接�����。在可替換的實施例中�����,一旦斷開用戶�,會話服務(wù)器720停止工作在應(yīng)用程序會話中的應(yīng)用程序的執(zhí)行���。即���,會話服務(wù)器720停止應(yīng)用程序的進一步執(zhí)行,并且會話服務(wù)器720存儲應(yīng)用程序的工作狀態(tài)以及應(yīng)用程序正在處理的任何數(shù)據(jù)���。在另一實施例中�,在用戶斷開之后��,會話服務(wù)器720可以選擇地停止特定應(yīng)用程序的執(zhí)行�����。例如����,在一個實施例中,會話服務(wù)器720繼續(xù)執(zhí)行應(yīng)用程序一個固定時間段�,并且如果用戶不能在那個時間段內(nèi)連接,那么會話服務(wù)器720停止該應(yīng)用程序��。在另一實施例中���,會話服務(wù)器720不使用任何用戶輸入停止不能繼續(xù)執(zhí)行的特定應(yīng)用程序會話��。在每個上面所述的實施例中����,如果第一客戶端節(jié)點702的用戶從服務(wù)器726斷開并且然后連接到服務(wù)器726同時操作第一客戶端節(jié)點702�����、第二客戶端節(jié)點716�����、或第三客戶端計算機��,則會話服務(wù)器720可以連接由用戶操作的客戶端計算機到一個或多個先前發(fā)起的與用戶有關(guān)的未終止的一個或多個應(yīng)用程序會話,并且重新發(fā)起任何停止的應(yīng)用程序的執(zhí)行��。
在一個實施例中�,會話服務(wù)器720檢測到斷開。用戶可以有意和手工命令服務(wù)器從用戶正在與之通信的客戶端節(jié)點702或716斷開應(yīng)用程序會話����。例如,在一個實施例中���,應(yīng)用程序會話提供用戶可以選擇的用于斷開(與上面的終止有所區(qū)別)的菜單選項��。會話服務(wù)器720還可以檢測無意斷開����。例如�,在一個實施例中,會話服務(wù)器720識別何時傳送到客戶端節(jié)點702或716的預(yù)定數(shù)量的數(shù)據(jù)分組還沒有由客戶端節(jié)點702或716確認����。在另一實施例中,客戶端節(jié)點702或716定期傳送信號給服務(wù)器726來確認連接仍舊保持原樣����。如果會話服務(wù)器720檢測到來自客戶端節(jié)點702或716的預(yù)定數(shù)量的預(yù)期確認信號還沒有到達,那么會話服務(wù)器720確定客戶端節(jié)點702或716已經(jīng)斷開�。如果會話服務(wù)器720檢測到用戶已經(jīng)從應(yīng)用程序會話有意或無意地斷開,那么與斷開的應(yīng)用程序會話有關(guān)的會話服務(wù)器720中的項目被修改來反映該斷開�。
在接收到認證信息之后,會話服務(wù)器720查閱所存儲的應(yīng)用程序數(shù)據(jù)庫722來識別與用戶有關(guān)但連接到不同客戶端節(jié)點比如舉例來說第一客戶端節(jié)點702的任何有效應(yīng)用程序會話�。在一個實施例中,如果會話服務(wù)器720識別任何這樣的有效應(yīng)用程序會話�����,那么會話服務(wù)器720自動地將一個(或多個)應(yīng)用程序會話與第一客戶端節(jié)點702斷開并且連接該一個(或多個)應(yīng)用程序會話到當(dāng)前客戶端計算機716����。在一些實施例中,所接收的認證信息將限制客戶端節(jié)點702重新連接到的應(yīng)用程序會話�����。在一個實施例中�,用戶可以觸發(fā)會話服務(wù)器的自動查閱以及隨后與單個用戶接口元件的選擇的連接。
在識別與客戶端節(jié)點702有關(guān)的應(yīng)用程序會話之后�����,會話服務(wù)器720連接客戶端節(jié)點702到相關(guān)的應(yīng)用程序會話�。會話服務(wù)器720確定所述多個應(yīng)用程序會話中的每一個是有效還是斷開的�����。在一個實施例中�����,所述多個應(yīng)用程序會話中的至少一個是有效的����。在一個實施例中�����,所述多個應(yīng)用程序會話中的至少一個是斷開的�����。在一個實施例中�����,會話服務(wù)器720自動接收應(yīng)用程序輸出�����。在另一實施例中,應(yīng)用程序輸出的接收由客戶端節(jié)點702觸發(fā)單個用戶接口元件的選擇���。會話服務(wù)器720基于包含在所接收的信息714中的訪問控制決定識別與客戶端節(jié)點702重新連接的斷開的應(yīng)用程序會話。在一個實施例中��,一旦識別任何斷開的應(yīng)用程序會話����,則會話服務(wù)器720提示用戶表示是否希望連接。如果不希望連接�,則會話服務(wù)器720提示用戶表示斷開的應(yīng)用程序會話是否應(yīng)當(dāng)保持斷開,或者應(yīng)用程序會話是否應(yīng)當(dāng)終止�����。
在一個實施例中�����,連接包括修改所存儲的應(yīng)用程序數(shù)據(jù)庫722中的項目以表示用戶被連接到應(yīng)用程序會話并且表示用戶從那個客戶端節(jié)點702連接到服務(wù)器�����。一旦連接,服務(wù)器726重新開始傳送應(yīng)用程序輸出數(shù)據(jù)到客戶端節(jié)點702或716���。在一個實施例中�����,與客戶端節(jié)點有關(guān)的所述多個應(yīng)用程序會話在連接之前被連接到第一客戶端節(jié)點702并且�����,在連接之后所述多個應(yīng)用程序會話被重新連接到第一客戶端節(jié)點702����。在另一實施例中���,與所述客戶端節(jié)點有關(guān)的所述多個應(yīng)用程序會話在連接之前被連接到第一客戶端節(jié)點702并且���,在連接之后所述多個應(yīng)用程序會話被重新連接到第二客戶端節(jié)點716。
下面的示例性例子示出了上面討論的方法和設(shè)備如何被用于提供基于政策的對客戶端節(jié)點的文件內(nèi)容的訪問��。這些例子用于示例而不是用來限制本發(fā)明�����。
證據(jù)收集在一個實施例中,客戶端節(jié)點102請求訪問位于政策機106所位于的同一網(wǎng)絡(luò)的服務(wù)器上的文字處理文檔����。政策機106接收請求并且確定它不擁有任何關(guān)于客戶端節(jié)點102的信息。政策機106傳送收集代理104到客戶端節(jié)點102�����。在一些實施例中��,收集代理104具有從客戶端節(jié)點進行收集的預(yù)定義信息��。在其它實施例中���,收集代理104首先分析客戶端節(jié)點來確定將要收集什么類型的信息。在又一個實施例中��,收集代理104從政策機106取回關(guān)于將要收集關(guān)于客戶端節(jié)點102的什么信息的指令����。
一旦在客戶端節(jié)點102上執(zhí)行,則收集代理104收集所請求的信息并且傳送該信息112給政策機106��。政策機106接收信息112并且開始確定信息112滿足什么條件的處理��。在一些實施例中,政策機106確定所接收的信息112不足夠用于確定信息112是否滿足一個或多個條件�����。在那些實施例中�����,政策機106傳送另外的指令給收集代理104用于收集關(guān)于客戶端節(jié)點102的更多信息���。
基于政策的訪問控制當(dāng)政策機106的第一部件202確定滿足一個或多個條件時����,它存儲每個滿足條件的標識符到數(shù)據(jù)組中����。一旦完成,第一部件202傳送該數(shù)據(jù)組以及所請求的應(yīng)用程序給第二部件210��。在這個實施例的一個例子中�,所請求的應(yīng)用程序可以是文字處理文檔并且所滿足的條件可以表示客戶端設(shè)備是個人數(shù)字助理。在這個實施例的另一個例子中�,所請求的應(yīng)用程序可以是電子制表軟件并且所滿足的條件可以表示客戶端設(shè)備是從不安全網(wǎng)絡(luò)比如公共互聯(lián)網(wǎng)公用電話亭連接的受信任的膝上型計算機。在這個實施例的第三個例子中���,所請求的應(yīng)用程序可以是添加到電子郵件消息的文件并且所滿足的條件可以表示客戶端設(shè)備在從安全網(wǎng)絡(luò)連接的但缺少適當(dāng)?shù)膽?yīng)用程序軟件來觀看該文件的個人桌上型計算機上����。
第二部件210從第一部件202接收數(shù)據(jù)組并且應(yīng)用一個或多個政策到所接收的數(shù)據(jù)。在這個實施例的一個例子中����,第二部件210可以應(yīng)用政策,該政策要求當(dāng)客戶端設(shè)備類型為個人數(shù)字助理時如果客戶端節(jié)點在其上具有應(yīng)用程序軟件的條件不滿足���,則客戶端節(jié)點接收轉(zhuǎn)換的文件內(nèi)容�����。客戶端節(jié)點將然后接收能夠連接到轉(zhuǎn)換服務(wù)器的可執(zhí)行文件�����,轉(zhuǎn)換服務(wù)器將以對于客戶端設(shè)備類型可訪問的格式呈現(xiàn)文件內(nèi)容�。應(yīng)用這個政策使得客戶端節(jié)點能夠觀看文件內(nèi)容,而不管用于觀看的不適當(dāng)形式因素����。
在這個實施例的又一個例子中�,第二部件210可以應(yīng)用政策���,當(dāng)客戶端設(shè)備類型為受信任的膝上型計算機時該政策禁止下載到客戶端節(jié)點102��,所述膝上型計算機包含適當(dāng)?shù)牡珌碜圆话踩W(wǎng)絡(luò)比如互聯(lián)網(wǎng)公用電話亭的應(yīng)用程序軟件���。在這個實施例中,政策可能要求政策機106傳送可執(zhí)行文件給客戶端節(jié)點102��,客戶端節(jié)點102使得能夠連接到應(yīng)用程序服務(wù)器416以用于呈現(xiàn)文件內(nèi)容�����。應(yīng)用這個類型的政策并且取回文件僅給應(yīng)用程序服務(wù)器416��,使得客戶端節(jié)點102能夠觀看文件內(nèi)容而不危及來自不適當(dāng)散布的私有文件內(nèi)容����。
在這個實施例的又一個例子中,第二部件210可以應(yīng)用政策���,該政策要求個人桌上型計算機做出安全連接����,但缺乏適當(dāng)?shù)膽?yīng)用程序軟件,通過ICA會話將個人桌上型計算機連接到應(yīng)用程序服務(wù)器416�,并且要求應(yīng)用程序服務(wù)器416執(zhí)行適當(dāng)?shù)膽?yīng)用程序并且將該文件呈現(xiàn)給客戶端節(jié)點102。應(yīng)用該政策使得客戶端節(jié)點102能夠觀看文件內(nèi)容而不管在客戶端節(jié)點102上是否缺少應(yīng)用程序軟件���。
本發(fā)明可以提供為包含在一項或多項產(chǎn)品上或在一項或多項產(chǎn)品中的一個或多個計算機可讀程序���。所述項產(chǎn)品可以是軟盤、硬盤���、光盤����、數(shù)字多能光盤���、高速存儲器卡���、PROM��、RAM�����、ROM、或磁帶����。一般而言,計算機可讀程序可以以任何編程語言來實現(xiàn)����。可以使用的語言的一些例子包括C�����、C++���、C#����、或JAVA�。軟件程序可以被存儲在一項或多項產(chǎn)品上或在一項或多項產(chǎn)品中作為目標代碼。
雖然已經(jīng)參照特定優(yōu)選實施例加以示出和描述了本發(fā)明�,但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在形式和細節(jié)上對其做出各種變化而不背離下面權(quán)利要求所限定的本發(fā)明的宗旨和范圍�。
權(quán)利要求
1.一種準許訪問資源的系統(tǒng),包括a.客戶端節(jié)點,其請求訪問資源�����;b.收集代理��,其收集關(guān)于該客戶端節(jié)點的信息����;以及c.政策機,其接收所收集的信息并且響應(yīng)于政策的應(yīng)用程序分配多個訪問級之一給所接收的信息����。
2.根據(jù)權(quán)利要求1的系統(tǒng),其中所述政策機進一步包括存儲可配置政策的數(shù)據(jù)庫��。
3.根據(jù)權(quán)利要求1的系統(tǒng)�,其中系統(tǒng)管理員在政策機中配置政策以提供訪問控制權(quán)級給客戶端節(jié)點。
4.根據(jù)權(quán)利要求1的系統(tǒng)���,其中所述政策機傳送指令給收集代理確定收集代理所收集的信息的類型�����。
5.根據(jù)權(quán)利要求1的系統(tǒng),其中所述政策機進一步包括登錄上網(wǎng)代理�����。
6.根據(jù)權(quán)利要求5的登錄上網(wǎng)代理,其中所述登錄上網(wǎng)代理從收集代理接收所收集的信息�。
7.根據(jù)權(quán)利要求5的登錄上網(wǎng)代理,其中所述登錄上網(wǎng)代理為所述政策機識別出從所述收集代理接收的認證信息��。
8.根據(jù)權(quán)利要求1的系統(tǒng)���,其中所述政策機進一步包括多個登錄上網(wǎng)代理�。
9.根據(jù)權(quán)利要求8的系統(tǒng)�����,其中所述多個登錄上網(wǎng)代理的至少一個位于每個網(wǎng)絡(luò)域�����,客戶端節(jié)點可以從所述每個網(wǎng)絡(luò)域傳送資源請求�。
10.根據(jù)權(quán)利要求9的系統(tǒng),其中所述客戶端節(jié)點傳送所述資源請求給特定的登錄上網(wǎng)代理�����。
11.根據(jù)權(quán)利要求10的系統(tǒng),其中所述登錄上網(wǎng)代理為政策機識別出所述網(wǎng)絡(luò)域����,客戶端節(jié)點可以從所述網(wǎng)絡(luò)域傳送資源請求。
12.根據(jù)權(quán)利要求1的系統(tǒng)�,其中所述收集代理在客戶端節(jié)點上執(zhí)行。
13.根據(jù)權(quán)利要求1的系統(tǒng)�����,其中所述政策機傳送收集代理給客戶端節(jié)點��。
14.根據(jù)權(quán)利要求1的系統(tǒng)�����,其中所述收集代理包括至少一個腳本����。
15.根據(jù)權(quán)利要求1的系統(tǒng),其中所述收集代理包括字節(jié)碼���。
16.根據(jù)權(quán)利要求1的系統(tǒng)�,其中所述收集代理通過在客戶端節(jié)點上運行至少一個腳本來收集信息����。
17.根據(jù)權(quán)利要求1的系統(tǒng)���,其中所述收集代理收集關(guān)于客戶端節(jié)點的信息���,所述信息位于服務(wù)器上�。
18.根據(jù)權(quán)利要求17的系統(tǒng)��,其中所述收集代理收集包括HTTP報頭的信息�。
19.根據(jù)權(quán)利要求17的系統(tǒng),其中所述收集代理收集包括客戶端節(jié)點的網(wǎng)絡(luò)區(qū)域的信息��。
20.根據(jù)權(quán)利要求17的系統(tǒng)��,其中所述收集代理收集包括由客戶端節(jié)點使用的認證方法的信息��。
21.根據(jù)權(quán)利要求1的系統(tǒng)����,其中所述收集代理收集客戶端節(jié)點的機器ID。
22.根據(jù)權(quán)利要求1的系統(tǒng)�,其中所述收集代理收集包括操作系統(tǒng)類型的信息。
23.根據(jù)權(quán)利要求1的系統(tǒng)����,其中所述收集代理收集包括操作系統(tǒng)補丁的存在的信息��。
24.根據(jù)權(quán)利要求1的系統(tǒng)�,其中所述收集代理收集包括安裝的網(wǎng)絡(luò)卡的MAC地址的信息����。
25.根據(jù)權(quán)利要求1的系統(tǒng),其中所述收集代理收集包括客戶端設(shè)備上的水印的信息����。
26.根據(jù)權(quán)利要求1的系統(tǒng),其中所述收集代理收集包括有效目錄中的從屬關(guān)系的信息�����。
27.根據(jù)權(quán)利要求1的系統(tǒng)�����,其中所述收集代理收集包括病毒掃描軟件的存在的信息���。
28.根據(jù)權(quán)利要求1的系統(tǒng)��,其中所述收集代理收集包括防火墻的存在的信息����。
29.根據(jù)權(quán)利要求1的系統(tǒng),其中所述收集代理收集包括HTTP報頭的信息��。
30.一種準許訪問資源的方法���,該方法包括a.客戶端節(jié)點請求訪問資源;b.收集代理收集關(guān)于該客戶端節(jié)點的信息����;c.政策機接收所收集的信息;d.以及e.基于所接收的信息做出訪問控制決定�。
31.根據(jù)權(quán)利要求30的方法,其中步驟(a)進一步包括通過網(wǎng)絡(luò)連接請求資源��。
32.根據(jù)權(quán)利要求30的方法�����,其中步驟(b)進一步包括通過網(wǎng)絡(luò)連接收集信息�����。
33.根據(jù)權(quán)利要求30的方法��,其中步驟(b)進一步包括通過在客戶端節(jié)點上執(zhí)行至少一個腳本來收集信息。
34.根據(jù)權(quán)利要求30的方法���,其中步驟(c)進一步包括判定所接收的信息是否滿足條件��。
35.根據(jù)權(quán)利要求34的方法��,進一步包括通過比較所接收的信息與至少一個條件來判定所接收的信息是否滿足條件�����。
36.根據(jù)權(quán)利要求35的方法���,其中步驟(d)進一步包括通過應(yīng)用政策到所述條件做出訪問控制決定。
37.一種政策機�����,包括a.第一部件�����,其接收關(guān)于客戶端節(jié)點的信息��,并且從該信息生成數(shù)據(jù)組��;b.第二部件,其接收該數(shù)據(jù)組��,并且基于該數(shù)據(jù)組將可用于該客戶端的資源的枚舉提供給第一部件��。
38.根據(jù)權(quán)利要求37的政策機�,其中所述第一部件從收集代理接收信息。
39.根據(jù)權(quán)利要求37的政策機�����,其中所述第一部件包括所接收的信息與之比較的至少一個條件��。
40.根據(jù)權(quán)利要求37的政策機�����,其中所述第二部件進一步包括數(shù)據(jù)庫���。
41.根據(jù)權(quán)利要求40的政策機,其中所述數(shù)據(jù)庫存儲至少一個政策���。
42.根據(jù)權(quán)利要求41的政策機����,其中所述第二部件進一步包括通過應(yīng)用所述至少一個政策到所述數(shù)據(jù)組來識別可用資源。
43.根據(jù)權(quán)利要求37的政策機�����,其中所述政策機進一步包括登錄上網(wǎng)代理�。
44.根據(jù)權(quán)利要求43的登錄上網(wǎng)代理,其中所述登錄上網(wǎng)代理從收集代理接收所收集的信息���。
45.根據(jù)權(quán)利要求44的登錄上網(wǎng)代理��,其中所述登錄上網(wǎng)代理為所述政策機識別出從所述收集代理接收的認證信息�����。
46.根據(jù)權(quán)利要求43的政策機����,其中所述政策機進一步包括多個登錄上網(wǎng)代理��。
47.根據(jù)權(quán)利要求46的系統(tǒng)�,其中所述多個登錄上網(wǎng)代理的至少一個位于每個網(wǎng)絡(luò)域上,客戶端節(jié)點可以從每個網(wǎng)絡(luò)域傳送資源請求��。
48.根據(jù)權(quán)利要求47的政策機,其中所述客戶端節(jié)點傳送資源請求給特定登錄上網(wǎng)代理��。
49.一種使用政策機準許訪問的方法�����,該方法包括a.第一部件接收關(guān)于客戶端節(jié)點的信息����;b.第一部件從該信息生成數(shù)據(jù)組;c.以及d.第二部件提供可用于所述客戶端的資源的枚舉�。
50.根據(jù)權(quán)利要求49的方法,進一步包括第二部件基于所述數(shù)據(jù)組識別可用于所述客戶端節(jié)點的資源的步驟����。
51.根據(jù)權(quán)利要求50的方法,進一步包括通過應(yīng)用政策到所接收的數(shù)據(jù)組來識別出可用資源�����。
52.根據(jù)權(quán)利要求49的方法�,進一步包括請求的步驟���。
53.根據(jù)權(quán)利要求49的方法�����,進一步包括接收關(guān)于客戶端節(jié)點的另外信息的步驟��。
54.根據(jù)權(quán)利要求49的方法����,其中步驟(c)進一步包括第二部件應(yīng)用政策到所接收的信息以決定可用于所述客戶端節(jié)點的訪問方法。
55.根據(jù)權(quán)利要求49的方法��,其中步驟(c)進一步包括第一部件接收所述可用資源的枚舉�����。
56.根據(jù)權(quán)利要求55的方法���,其中步驟(c)進一步包括第一部件接收可用資源的子集的枚舉�����。
57.根據(jù)權(quán)利要求55的方法��,其中步驟(c)進一步包括第一部件提供所述枚舉給所述客戶端節(jié)點�。
58.根據(jù)權(quán)利要求55的方法����,其中步驟(c)進一步包括第一部件在HTML網(wǎng)頁上提供所述枚舉給客戶端節(jié)點���。
59.一種提供文件內(nèi)容的方法,包括步驟a.客戶端節(jié)點傳送文件請求����;b.訪問控制服務(wù)器接收文件請求;c.訪問控制服務(wù)器做出訪問控制決定����;d.確定該文件的文件類型;e.確定與文件類型有關(guān)的應(yīng)用程序的標識符���;以及f.將文件內(nèi)容呈現(xiàn)給所述客戶端節(jié)點��。
60.根據(jù)權(quán)利要求59的方法����,其中步驟(f)進一步包括應(yīng)用程序服務(wù)器中心中的應(yīng)用程序服務(wù)器將文件內(nèi)容呈現(xiàn)給所述客戶端節(jié)點����。
61.根據(jù)權(quán)利要求59的方法�,進一步包括應(yīng)用程序服務(wù)器中心中的第一應(yīng)用程序服務(wù)器確定與所述文件類型有關(guān)的應(yīng)用程序。
62.根據(jù)權(quán)利要求61的方法,進一步包括應(yīng)用程序服務(wù)器中心中的第一應(yīng)用程序服務(wù)器將文件內(nèi)容呈現(xiàn)給所述客戶端節(jié)點�。
63.根據(jù)權(quán)利要求61的方法,進一步包括應(yīng)用程序服務(wù)器中心中的第二應(yīng)用程序服務(wù)器將文件內(nèi)容呈現(xiàn)給所述客戶端節(jié)點���。
64.根據(jù)權(quán)利要求59的方法�����,其中步驟(d)進一步包括訪問控制服務(wù)器確定所述文件的文件類型�。
65.根據(jù)權(quán)利要求59的方法���,其中步驟(d)進一步包括應(yīng)用程序服務(wù)器中心中的應(yīng)用程序服務(wù)器確定所述文件的文件類型�。
66.根據(jù)權(quán)利要求59的方法����,其中步驟(e)進一步包括訪問控制服務(wù)器確定與所述文件類型有關(guān)的應(yīng)用程序的標識符。
67.根據(jù)權(quán)利要求59的方法�����,其中步驟(e)進一步包括應(yīng)用程序服務(wù)器中心中的應(yīng)用程序服務(wù)器確定與所述文件類型有關(guān)的應(yīng)用程序的標識符���。
68.根據(jù)權(quán)利要求59的方法�,進一步包括訪問控制服務(wù)器獲取關(guān)于所述客戶端節(jié)點的信息。
69.根據(jù)權(quán)利要求68的方法����,其中步驟(c)進一步包括比較由所述訪問控制服務(wù)器獲取的信息與政策以做出所述訪問控制決定。
70.根據(jù)權(quán)利要求68的方法��,其中步驟(f)進一步包括應(yīng)用程序服務(wù)器使用所獲取的信息來選擇用于呈現(xiàn)文件內(nèi)容的格式����。
71.根據(jù)權(quán)利要求68的方法,其中步驟(f)進一步包括通過將政策應(yīng)用到所獲取的信息來呈現(xiàn)文件內(nèi)容以選擇用于呈現(xiàn)所述文件內(nèi)容的格式��。
72.根據(jù)權(quán)利要求59的方法����,進一步包括訪問控制服務(wù)器傳送收集代理給所述客戶端節(jié)點的步驟。
73.根據(jù)權(quán)利要求59的方法����,進一步包括訪問控制服務(wù)器使用收集代理獲取關(guān)于所述客戶端節(jié)點的信息。
74.根據(jù)權(quán)利要求73的方法��,其中步驟(c)進一步包括比較由所述收集代理獲取的信息與政策以做出訪問控制決定��。
75.根據(jù)權(quán)利要求59的方法����,其中步驟(c)進一步包括訪問控制服務(wù)器拒絕所述請求。
76.根據(jù)權(quán)利要求59的方法�,其中步驟(d)進一步包括訪問控制服務(wù)器通過提取文件擴展名判定所述文件類型。
77.根據(jù)權(quán)利要求59的方法���,其中步驟(e)進一步包括應(yīng)用程序服務(wù)器通過使用文件擴展名查詢用于該應(yīng)用程序的數(shù)據(jù)庫來判定應(yīng)用程序的標識符���。
78.根據(jù)權(quán)利要求59的方法,進一步包括從文件服務(wù)器取回所述文件的步驟����。
79.根據(jù)權(quán)利要求78的方法,進一步包括應(yīng)用程序服務(wù)器從文件服務(wù)器取回所述文件的步驟�。
80.根據(jù)權(quán)利要求78的方法,進一步包括訪問控制服務(wù)器從文件服務(wù)器取回所述文件的步驟�。
81.根據(jù)權(quán)利要求59的方法,進一步包括從web服務(wù)器取回所述文件的步驟���。
82.根據(jù)權(quán)利要求81的方法�,進一步包括應(yīng)用程序服務(wù)器從web服務(wù)器取回所述文件的步驟�����。
83.根據(jù)權(quán)利要求81的方法,進一步包括訪問控制服務(wù)器從web服務(wù)器取回所述文件的步驟����。
84.根據(jù)權(quán)利要求59的方法,進一步包括從電子郵件服務(wù)器取回所述文件的步驟�。
85.根據(jù)權(quán)利要求84的方法,進一步包括應(yīng)用程序服務(wù)器從電子郵件服務(wù)器取回所述文件的步驟����。
86.根據(jù)權(quán)利要求84的方法,進一步包括訪問控制服務(wù)器從電子郵件服務(wù)器取回所述文件的步驟�����。
87.根據(jù)權(quán)利要求59的方法�����,進一步包括所述客戶端節(jié)點連接到應(yīng)用程序服務(wù)器的步驟���。
88.根據(jù)權(quán)利要求87的方法�,其中步驟(f)進一步包括通過所述連接將所述文件內(nèi)容呈現(xiàn)給所述客戶端節(jié)點�����。
89.根據(jù)權(quán)利要求59的方法,進一步包括訪問控制服務(wù)器傳送可執(zhí)行文件給所述客戶端節(jié)點的步驟����。
90.根據(jù)權(quán)利要求89的方法�,進一步包括可執(zhí)行文件識別打開所述客戶端節(jié)點的文件的所述應(yīng)用程序服務(wù)器。
91.根據(jù)權(quán)利要求59的方法��,其中步驟(a)進一步包括所述客戶端節(jié)點位于通過網(wǎng)絡(luò)邊界與第二網(wǎng)絡(luò)分隔開的第一網(wǎng)絡(luò)上�����,所述客戶端節(jié)點從位于所述第二網(wǎng)絡(luò)上的訪問控制服務(wù)器請求文件���。
92.根據(jù)權(quán)利要求85的方法�,其中步驟(d)進一步包括訪問控制服務(wù)器從內(nèi)容服務(wù)器下載所述文件�����。
93.一種用于提供文件內(nèi)容的系統(tǒng)��,包括a.請求文件的客戶端節(jié)點��;b.訪問控制服務(wù)器���,其接收用于所述文件的請求并且做出訪問控制決定����;以及c.應(yīng)用程序服務(wù)器,其使用與所請求的文件的文件類型有關(guān)的應(yīng)用程序?qū)⑺鑫募?nèi)容呈現(xiàn)給所述客戶端節(jié)點�����。
94.根據(jù)權(quán)利要求93的系統(tǒng)��,其中所述應(yīng)用程序服務(wù)器進一步包括識別與所述文件類型有關(guān)的應(yīng)用程序��。
95.根據(jù)權(quán)利要求93的系統(tǒng)��,其中所述訪問控制服務(wù)器進一步包括識別與所述文件類型有關(guān)的應(yīng)用程序��。
96.根據(jù)權(quán)利要求93的系統(tǒng)��,其中所述訪問控制服務(wù)器進一步包括存儲至少一個政策的數(shù)據(jù)庫��。
97.根據(jù)權(quán)利要求93的系統(tǒng)���,其中所述訪問控制服務(wù)器進一步包括獲取關(guān)于客戶端節(jié)點的信息的收集代理����。
98.根據(jù)權(quán)利要求97的系統(tǒng),其中所述訪問控制服務(wù)器進一步包括基于由所述收集代理獲取的信息做出訪問控制決定�。
99.根據(jù)權(quán)利要求97的系統(tǒng),其中所述訪問控制服務(wù)器進一步包括通過應(yīng)用政策到由所述收集代理獲取的信息做出訪問控制決定�。
100.根據(jù)權(quán)利要求97的系統(tǒng),其中所述收集代理獲取關(guān)于客戶端節(jié)點的有關(guān)設(shè)備類型的信息�。
101.根據(jù)權(quán)利要求97的系統(tǒng),其中所述收集代理獲取關(guān)于客戶端節(jié)點的有關(guān)網(wǎng)絡(luò)連接信息的信息�����。
102.根據(jù)權(quán)利要求97的系統(tǒng)�,其中所述收集代理獲取關(guān)于客戶端節(jié)點的有關(guān)授權(quán)證書的信息����。
103.根據(jù)權(quán)利要求93的系統(tǒng),其中所述應(yīng)用程序服務(wù)器包括數(shù)據(jù)庫����,該數(shù)據(jù)庫包含與至少一個文件類型有關(guān)的至少一個應(yīng)用程序。
104.根據(jù)權(quán)利要求103的系統(tǒng)�,其中所述應(yīng)用程序服務(wù)器進一步包括通過查詢所述數(shù)據(jù)庫判定應(yīng)用程序的標識符。
105.根據(jù)權(quán)利要求93的系統(tǒng)�����,其中所述訪問控制服務(wù)器傳送可執(zhí)行文件給所述客戶端節(jié)點。
106.根據(jù)權(quán)利要求105的系統(tǒng)�����,其中所述可執(zhí)行文件包括與所述文件有關(guān)的所述應(yīng)用程序的標識符����。
107.根據(jù)權(quán)利要求105的系統(tǒng),其中所述可執(zhí)行文件識別應(yīng)用程序服務(wù)器�����。
108.根據(jù)權(quán)利要求105的系統(tǒng)����,其中所述客戶端節(jié)點進行到由所述可執(zhí)行文件識別的應(yīng)用程序服務(wù)器的連接。
109.根據(jù)權(quán)利要求105的系統(tǒng)�,其中所述應(yīng)用程序服務(wù)器接受來自所述客戶端節(jié)點的連接。
110.根據(jù)權(quán)利要求105的系統(tǒng)�����,其中所述客戶端節(jié)點傳送由所述可執(zhí)行文件識別的所述應(yīng)用程序的標識符到所述應(yīng)用程序服務(wù)器�����。
111.根據(jù)權(quán)利要求105的系統(tǒng),其中所述應(yīng)用程序服務(wù)器通過所述連接將文件內(nèi)容呈現(xiàn)給所述客戶端節(jié)點�。
112.一種準許訪問資源的系統(tǒng),包括a.客戶端節(jié)點���,其請求訪問資源�;b.收集代理��,其收集關(guān)于客戶端節(jié)點的信息��;c.政策機����,其接收所收集的信息并且基于所接收的信息做出訪問控制決定�;以及d.轉(zhuǎn)換服務(wù)器,其從政策機接收文件請求���,將文件內(nèi)容從原始格式轉(zhuǎn)換成第二格式����,并且將所轉(zhuǎn)換的文件內(nèi)容呈現(xiàn)給客戶端節(jié)點�。
113.根據(jù)權(quán)利要求112的系統(tǒng),其中所述轉(zhuǎn)換服務(wù)器通過代理服務(wù)器接收來自所述政策機的文件請求。
114.根據(jù)權(quán)利要求112的系統(tǒng)����,其中所述政策機基于應(yīng)用政策到所收集的信息做出訪問控制決定。
115.根據(jù)權(quán)利要求112的系統(tǒng)����,其中所述政策機進一步包括數(shù)據(jù)庫。
116.根據(jù)權(quán)利要求112的系統(tǒng)�,其中所述政策機進一步包括登錄上網(wǎng)代理。
117.根據(jù)權(quán)利要求116的登錄上網(wǎng)代理����,其中所述登錄上網(wǎng)代理從所述收集代理接收所收集的信息。
118.根據(jù)權(quán)利要求112的系統(tǒng)�����,其中所述收集代理在所述客戶端節(jié)點上執(zhí)行�。
119.根據(jù)權(quán)利要求112的系統(tǒng),其中所述政策機傳送所述收集代理給所述客戶端節(jié)點��。
120.根據(jù)權(quán)利要求112的系統(tǒng)�,其中所述收集代理包括至少一個腳本。
121.根據(jù)權(quán)利要求112的系統(tǒng)����,其中所述收集代理包括字節(jié)碼���。
122.根據(jù)權(quán)利要求112的系統(tǒng),其中所述政策機傳送指令到所述收集代理來確定收集代理收集的信息的類型�。
123.根據(jù)權(quán)利要求112的系統(tǒng),其中所述收集代理通過在所述客戶端節(jié)點上運行至少一個腳本來收集信息�����。
124.根據(jù)權(quán)利要求112的系統(tǒng)����,其中所述收集代理收集有關(guān)所述客戶端節(jié)點設(shè)備類型的信息。
125.根據(jù)權(quán)利要求112的系統(tǒng)����,其中所述收集代理收集有關(guān)所述客戶端節(jié)點網(wǎng)絡(luò)連接的信息���。
126.根據(jù)權(quán)利要求112的系統(tǒng)�����,其中所述收集代理收集包括瀏覽器類型的信息�。
127.根據(jù)權(quán)利要求112的系統(tǒng),其中所述收集代理收集包括操作系統(tǒng)類型的信息�����。
128.一種準許訪問資源的方法���,該方法包括a.客戶端節(jié)點請求訪問文件��;b.收集代理收集關(guān)于客戶端節(jié)點的信息����;c.政策機接收所收集的信息���;d.基于所接收的信息做出訪問控制決定�;e.轉(zhuǎn)換服務(wù)器將文件內(nèi)容從原始格式轉(zhuǎn)換成第二格式��;并且f.轉(zhuǎn)換服務(wù)器將所轉(zhuǎn)換的文件內(nèi)容呈現(xiàn)給客戶端節(jié)點��。
129.根據(jù)權(quán)利要求128的方法��,進一步包括政策機傳送所述文件請求給轉(zhuǎn)換服務(wù)器����。
130.根據(jù)權(quán)利要求128的方法����,進一步包括通過代理服務(wù)器路由所述文件請求給所述轉(zhuǎn)換服務(wù)器��。
131.根據(jù)權(quán)利要求128的方法�����,進一步包括政策機通過代理服務(wù)器路由所述文件請求給所述轉(zhuǎn)換服務(wù)器�。
132.根據(jù)權(quán)利要求128的方法,其中步驟(a)進一步包括通過網(wǎng)絡(luò)連接請求所述資源���。
133.根據(jù)權(quán)利要求128的方法�,其中步驟(b)進一步包括所述收集代理通過網(wǎng)絡(luò)連接收集所述信息�。
134.根據(jù)權(quán)利要求128的方法,其中步驟(b)進一步包括所述收集代理通過在所述客戶端節(jié)點上執(zhí)行至少一個腳本收集所述信息��。
135.根據(jù)權(quán)利要求128的方法�����,其中步驟(c)進一步包括所述政策機判定所接收的信息是否滿足條件��。
136.根據(jù)權(quán)利要求128的方法�����,進一步包括政策機通過比較所接收的信息與至少一個條件來判定所接收的信息是否滿足條件�����。
137.根據(jù)權(quán)利要求136的方法����,其中步驟(d)進一步包括政策機通過應(yīng)用政策到所述條件來做出訪問控制決定。
138.一種政策機����,包括a.第一部件,其接收關(guān)于客戶端節(jié)點的信息�,并且從所接收的信息生成數(shù)據(jù)組;以及b.第二部件��,其接收所述數(shù)據(jù)組����,并且基于所述數(shù)據(jù)組將可用于所述客戶端的資源的枚舉提供給所述第一部件。
139.根據(jù)權(quán)利要求138的政策機��,其中所述第一部件從收集代理接收信息����。
140.根據(jù)權(quán)利要求138的政策機�,其中所述第一部件包括所接收的信息與之比較的至少一個條件��。
141.根據(jù)權(quán)利要求138的政策機���,其中所述第二部件進一步包括數(shù)據(jù)庫�����。
142.根據(jù)權(quán)利要求141的政策機����,其中所述數(shù)據(jù)庫存儲至少一個政策�����。
143.根據(jù)權(quán)利要求142的政策機�����,其中所述第二部件進一步包括通過應(yīng)用所述至少一個政策到所述數(shù)據(jù)組來識別可用資源�。
144.一種準許使用政策機訪問的方法,該方法包括a.第一部件接收關(guān)于客戶端節(jié)點的信息;b.第一部件從所述信息生成數(shù)據(jù)組��;以及c.第二部件提供可用于所述客戶端的資源的枚舉���。
145.根據(jù)權(quán)利要求144的方法,進一步包括第二部件基于所述數(shù)據(jù)組識別可用于所述客戶端節(jié)點的資源的步驟��。
146.根據(jù)權(quán)利要求145的方法����,進一步包括通過應(yīng)用政策到所接收的數(shù)據(jù)組識別可用資源。
147.根據(jù)權(quán)利要求144的方法��,進一步包括請求關(guān)于所述客戶端節(jié)點的信息的步驟��。
148.根據(jù)權(quán)利要求144的方法�,進一步包括接收關(guān)于所述客戶端節(jié)點的另外信息的步驟。
149.根據(jù)權(quán)利要求144的方法�,其中步驟(b)進一步包括第一部件應(yīng)用政策到所接收的信息來確定可用于所述客戶端節(jié)點的訪問方法。
150.根據(jù)權(quán)利要求144的方法��,其中步驟(c)進一步包括第二部件提供可用資源的子組的枚舉給所述客戶端節(jié)點�����。
151.根據(jù)權(quán)利要求144的方法,其中步驟(c)進一步包括第一部件接收可用資源的枚舉���。
152.根據(jù)權(quán)利要求151的方法�,其中步驟(c)進一步包括第一部件提供所述枚舉給所述客戶端節(jié)點�����。
153.根據(jù)權(quán)利要求151的方法��,其中步驟(c)進一步包括第一部件在HTML網(wǎng)頁上提供所述枚舉給所述客戶端節(jié)點����。
全文摘要
公開了當(dāng)提供訪問聯(lián)網(wǎng)內(nèi)容文件時,用于分配訪問控制級的方法和設(shè)備����,該設(shè)備包括客戶端節(jié)點(102)、收集代理(104)�、以及政策機(106)?����?蛻舳斯?jié)點請求訪問資源��。收集代理收集關(guān)于該客戶端節(jié)點的信息。政策機接收所收集的信息并且響應(yīng)于政策的應(yīng)用程序分配多個訪問級之一給所接收的信息�����。應(yīng)用程序服務(wù)器中心(114)可以使用與所請求的文件的文件類型有關(guān)的應(yīng)用程序?qū)①Y源內(nèi)容呈現(xiàn)給客戶端節(jié)點�。轉(zhuǎn)換服務(wù)器(516)可以將資源內(nèi)容從原始格式轉(zhuǎn)換為第二格式并且將所轉(zhuǎn)換的資源內(nèi)容呈現(xiàn)給客戶端節(jié)點�。
文檔編號H04L29/06GK101069145SQ200580041061
公開日2007年11月7日 申請日期2005年8月10日 優(yōu)先權(quán)日2004年9月30日
發(fā)明者R·G·布拉迪, T·西蒙斯, A·D·庫克里爾, P·N·卡爾文 申請人:茨特里克斯系統(tǒng)公司