国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于保護(hù)網(wǎng)絡(luò)裝置的系統(tǒng)和方法與流程

      文檔序號(hào):11637236閱讀:190來源:國(guó)知局
      用于保護(hù)網(wǎng)絡(luò)裝置的系統(tǒng)和方法與流程
      相關(guān)申請(qǐng)的交叉引用本申請(qǐng)要求于2015年8月17日提交的美國(guó)專利申請(qǐng)序列號(hào)14/828,357、于2014年12月19日提交的美國(guó)專利申請(qǐng)序列號(hào)14/578,140以及于2014年10月6日提交的美國(guó)臨時(shí)專利申請(qǐng)?zhí)?2/060,427的優(yōu)先權(quán),其公開內(nèi)容通過引用并入本文。
      背景技術(shù)
      :在客戶端-服務(wù)器網(wǎng)絡(luò)模型中,公司或服務(wù)提供商典型地通過計(jì)算機(jī)網(wǎng)絡(luò)向客戶端計(jì)算機(jī)和其他服務(wù)提供服務(wù)和/或應(yīng)用。服務(wù)器和相關(guān)聯(lián)的服務(wù)可以包括例如郵件服務(wù)器、文件服務(wù)器、客戶關(guān)系管理或crm服務(wù)、企業(yè)資源規(guī)劃或erp服務(wù)和文檔管理服務(wù)等。一方面,需要通過將對(duì)這些服務(wù)的訪問限制到僅受信用戶和客戶端來保證安全性。另一方面,受信用戶需要以容易和直接的方式訪問服務(wù)。優(yōu)選地,可以在任何時(shí)間從任何地方到達(dá)服務(wù)。隨著“自帶裝置”(或“byod”)策略在公司中越來越多地被接受,服務(wù)也應(yīng)該從“任何東西”(即從由受信用戶擁有的任何裝置,諸如例如平板電腦、手提電腦、他在家的計(jì)算機(jī)或智能手機(jī))可到達(dá)。存在各種常規(guī)方法來嘗試防止對(duì)這樣的應(yīng)用服務(wù)器或由這些應(yīng)用服務(wù)器服務(wù)的服務(wù)或應(yīng)用的未經(jīng)授權(quán)的訪問。例如,將應(yīng)用服務(wù)器放置在專用網(wǎng)絡(luò)內(nèi)本身是一種安全措施,這是因?yàn)樗鼘⒐揪W(wǎng)絡(luò)、局域網(wǎng)(或“l(fā)an”)與互聯(lián)網(wǎng)和其他外部公共網(wǎng)絡(luò)隔離。專用網(wǎng)絡(luò)內(nèi)的裝置以及因此的服務(wù)從公共網(wǎng)絡(luò)不可見。專用網(wǎng)絡(luò)中的流量的內(nèi)容以及流量可穿越公司的網(wǎng)絡(luò)邊界的方式可以通過使用將wan與公司的專用網(wǎng)絡(luò)分離的網(wǎng)關(guān)裝置中的網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)、防火墻規(guī)則和代理來進(jìn)行調(diào)節(jié)和監(jiān)視。專用網(wǎng)絡(luò)可以進(jìn)一步物理地或虛擬地由例如虛擬lan來細(xì)分,以便進(jìn)一步將公司專用網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器與由客戶端進(jìn)行的潛在未經(jīng)授權(quán)的訪問分離。網(wǎng)絡(luò)級(jí)安全性可以基于逐用戶或逐客戶端來實(shí)施,諸如通過將客戶端的防火墻配置為(默認(rèn)情況下)只能訪問認(rèn)證服務(wù)器。當(dāng)客戶端被授權(quán)時(shí),客戶端的防火墻被打開,并且所有網(wǎng)絡(luò)裝置被配置為將客戶端的網(wǎng)絡(luò)流量傳遞給其已被準(zhǔn)許訪問的應(yīng)用服務(wù)器。對(duì)客戶端或用戶級(jí)的網(wǎng)絡(luò)級(jí)安全性也可以由控制器基于身份簡(jiǎn)檔和健康簡(jiǎn)檔為用戶生成訪問權(quán)限來嘗試。然后,控制器配置保護(hù)裝置,從而提供對(duì)服務(wù)器集合的網(wǎng)絡(luò)訪問。可以通過由控制器配置主機(jī)來嘗試在接受主機(jī)中實(shí)施網(wǎng)絡(luò)級(jí)安全性。當(dāng)發(fā)起主機(jī)被授權(quán)訪問接受主機(jī)時(shí),控制器對(duì)接受主機(jī)進(jìn)行配置以接受來自發(fā)起主機(jī)的網(wǎng)絡(luò)連接。專用網(wǎng)絡(luò)內(nèi)的安全性還可以由應(yīng)用級(jí)安全性來實(shí)施,其中用戶或客戶端在認(rèn)證之后只能訪問服務(wù)器上的服務(wù)。在這種情況下,客戶端可以例如通過其ip網(wǎng)絡(luò)地址在網(wǎng)絡(luò)中找到應(yīng)用服務(wù)器,并且可以通過其tcp或udp端口號(hào)找到在應(yīng)用服務(wù)器上運(yùn)行的服務(wù),但是服務(wù)或應(yīng)用本身可以基于認(rèn)證憑證拒絕客戶端或用戶。這種認(rèn)證可以由個(gè)別服務(wù)本地管理,或者由認(rèn)證服務(wù)器集中地管理。然后,在準(zhǔn)許用戶和/或客戶端對(duì)某個(gè)服務(wù)的訪問之前,服務(wù)檢查這種認(rèn)證服務(wù)器的認(rèn)證憑證。對(duì)公司的專用網(wǎng)絡(luò)的訪問可以由vpn或虛擬專用網(wǎng)絡(luò)來建立,其中在客戶端裝置和專用網(wǎng)絡(luò)之間設(shè)置安全的網(wǎng)絡(luò)隧道。這種隧道的設(shè)置僅通過與vpn服務(wù)器的認(rèn)證來準(zhǔn)許。存在不同的授權(quán)方案以確保僅受信用戶和/或客戶端可以加入vpn。用于提供對(duì)公司的專用網(wǎng)絡(luò)中的服務(wù)的訪問的另一解決方案是通過打開對(duì)某些服務(wù)的外部訪問。例如,電子郵件服務(wù)器可以允許來自外部的連接,使得用戶可以在他們不在公司時(shí)檢查他們的電子郵件。這些服務(wù)有時(shí)由僅通過特定接口(諸如例如通過公司的網(wǎng)站)提供訪問來限制,使得客戶端不具有對(duì)運(yùn)行服務(wù)的服務(wù)器的物理網(wǎng)絡(luò)訪問,而僅對(duì)提供服務(wù)的子集的web服務(wù)器具有物理網(wǎng)絡(luò)訪問。在基于風(fēng)險(xiǎn)的認(rèn)證中,不僅基于由認(rèn)證憑證對(duì)用戶和/或客戶端的識(shí)別、而且基于進(jìn)一步的度量以便得出適合于風(fēng)險(xiǎn)級(jí)別的信任級(jí)別,來準(zhǔn)許對(duì)服務(wù)的訪問。這樣的度量例如是:用戶的位置、客戶端的類型、操作系統(tǒng)(如果已經(jīng)安裝了所有安全補(bǔ)丁的話)、用戶的登錄歷史等。這樣,通過vpn登錄的用戶可能會(huì)受到以下服務(wù)的限制,當(dāng)從專用網(wǎng)絡(luò)登錄內(nèi)時(shí)他不會(huì)從其受到限制?;蛘呤褂盟约旱难b置從專用網(wǎng)絡(luò)內(nèi)登錄的用戶可能被拒絕一些服務(wù)。技術(shù)實(shí)現(xiàn)要素:本公開的實(shí)施例有助于保護(hù)網(wǎng)絡(luò)裝置免受未經(jīng)授權(quán)的訪問。除此之外,本公開的實(shí)施例允許對(duì)客戶端被允許訪問的應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)裝置的完全訪問,同時(shí)防止客戶端不被允許訪問的網(wǎng)絡(luò)裝置的所有訪問(或甚至對(duì)該網(wǎng)絡(luò)裝置的知曉)。根據(jù)本公開的一個(gè)實(shí)施例的計(jì)算機(jī)實(shí)現(xiàn)的方法包括:由實(shí)現(xiàn)了到專用網(wǎng)絡(luò)的網(wǎng)關(guān)的計(jì)算機(jī)系統(tǒng)來接收來自客戶端裝置的對(duì)所述客戶端裝置與所述專用網(wǎng)絡(luò)中的網(wǎng)絡(luò)裝置之間的網(wǎng)絡(luò)隧道的請(qǐng)求;由所述計(jì)算機(jī)系統(tǒng)來認(rèn)證所述客戶端裝置;從與所述計(jì)算機(jī)系統(tǒng)通信的認(rèn)證服務(wù)器接收客戶端訪問列表,所述客戶端訪問列表包括所述客戶端裝置被允許與其通信的網(wǎng)絡(luò)裝置的列表;由所述計(jì)算機(jī)系統(tǒng)來驗(yàn)證所述專用網(wǎng)絡(luò)中的網(wǎng)絡(luò)裝置是所述客戶端裝置被允許與其通信的網(wǎng)絡(luò)裝置的列表的一部分;并且由所述計(jì)算機(jī)系統(tǒng)通過所述網(wǎng)關(guān)在所述客戶端裝置與所述專用網(wǎng)絡(luò)中的網(wǎng)絡(luò)裝置之間建立所述網(wǎng)絡(luò)隧道。本公開包括各種方法、執(zhí)行這樣的方法的設(shè)備(包括計(jì)算機(jī)系統(tǒng))和包含指令的計(jì)算機(jī)可讀介質(zhì),當(dāng)所述指令由計(jì)算系統(tǒng)執(zhí)行時(shí),致使計(jì)算系統(tǒng)執(zhí)行這樣的方法。其它特征從附圖并且從下面的詳細(xì)描述將是顯而易見的。附圖說明圖1是根據(jù)本公開的各個(gè)方面的用于保護(hù)網(wǎng)絡(luò)裝置免受不受信客戶端裝置的網(wǎng)絡(luò)訪問的示例性系統(tǒng)。圖2是根據(jù)本公開的各個(gè)方面的由客戶端裝置執(zhí)行的以獲得對(duì)受保護(hù)的網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)訪問的示例性過程。圖3是根據(jù)本公開的各個(gè)方面的由認(rèn)證服務(wù)器執(zhí)行的用于向客戶端裝置提供客戶端訪問和隧道列表以允許該客戶端對(duì)受保護(hù)網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)訪問的示例性過程。圖4是根據(jù)本公開的各個(gè)方面的由網(wǎng)關(guān)執(zhí)行的以提供對(duì)該網(wǎng)關(guān)中的防火墻后面的受保護(hù)網(wǎng)絡(luò)裝置的訪問的示例性過程。圖5是根據(jù)本公開的各個(gè)方面的由客戶端裝置執(zhí)行的以在已經(jīng)獲得對(duì)這些網(wǎng)絡(luò)裝置的第一選擇的訪問之后獲得對(duì)網(wǎng)關(guān)的防火墻后面的網(wǎng)絡(luò)裝置的第二選擇的網(wǎng)絡(luò)訪問的示例性過程。圖6示出了根據(jù)本公開的各個(gè)方面的客戶端裝置和網(wǎng)關(guān)之間的?;钕⒌氖纠越粨Q,以維持客戶端和客戶端裝置之間的網(wǎng)絡(luò)隧道。圖7示出了根據(jù)本公開的各個(gè)方面的用于保護(hù)網(wǎng)絡(luò)裝置免受不受信客戶端裝置對(duì)網(wǎng)絡(luò)訪問的示例性系統(tǒng)。圖8示出了根據(jù)本公開的各個(gè)方面的用于保護(hù)網(wǎng)絡(luò)裝置免受不受信客戶端裝置對(duì)網(wǎng)絡(luò)訪問的示例性系統(tǒng)。圖9示出了根據(jù)本公開的各個(gè)方面的用于保護(hù)網(wǎng)絡(luò)裝置免于不受信客戶端裝置對(duì)網(wǎng)絡(luò)訪問的示例性系統(tǒng),其中網(wǎng)關(guān)的網(wǎng)絡(luò)負(fù)載由第二網(wǎng)關(guān)來平衡。圖10示出了根據(jù)本公開的各個(gè)方面的示例性計(jì)算系統(tǒng)。具體實(shí)施方式現(xiàn)在將在下文中參考構(gòu)成其的一部分的附圖更全面地描述主題,并且其借由圖示示出了具體示例性實(shí)施例。然而,主題可以以各種不同的形式被實(shí)施,并且因此,涵蓋的或要求保護(hù)的主題旨在被解釋為不限于本文闡述的任何示例性實(shí)施例;示例性實(shí)施例僅被提供為說明性的。同樣地,旨在要求保護(hù)的或涵蓋的主題的合理寬的范圍。除此之外,例如,主題可以被實(shí)施為方法、裝置、組件或系統(tǒng)。因此,實(shí)施例可以例如采取硬件、軟件、固件或其任何組合(除軟件本身之外)的形式。因此,下面的詳細(xì)描述不旨在被認(rèn)為是限制性的。在附圖中,一些特征可以被放大以示出特定組件的細(xì)節(jié)(并且在附圖中示出的任何尺寸、材料和類似細(xì)節(jié)旨在是說明性的而不是限制性的)。因此,本文公開的具體結(jié)構(gòu)和功能細(xì)節(jié)不應(yīng)被解釋為限制,而僅僅是作為教導(dǎo)本領(lǐng)域技術(shù)人員以各種方式采用所公開的實(shí)施例的代表性基礎(chǔ)。在本說明書中對(duì)“一個(gè)實(shí)施例”或“實(shí)施例”的引用意味著結(jié)合該實(shí)施例描述的特定特征、結(jié)構(gòu)或特性被包括在本公開的至少一個(gè)實(shí)施例中。在說明書中的各個(gè)位置出現(xiàn)的短語“在一個(gè)實(shí)施例中”不一定全部指代相同的實(shí)施例,也不是與其它實(shí)施例相互排斥的分離的或替代的實(shí)施例。此外,描述了可以由一些實(shí)施例而不是由其他實(shí)施例展現(xiàn)的各種特征。類似地,描述了可能是對(duì)一些實(shí)施例而不是對(duì)其他實(shí)施例的要求的各種要求。本文描繪的方法的元件的任何組合和/或子集可以彼此組合,基于各種條件選擇性地執(zhí)行或不執(zhí)行,重復(fù)任何所期次數(shù),并且以任何合適的順序并結(jié)合任何合適的系統(tǒng)、裝置和/或過程實(shí)踐。本文描述和描繪的方法可以以任何合適的方式被實(shí)現(xiàn),諸如通過在一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)上操作的軟件。該軟件可以包括被存儲(chǔ)在有形計(jì)算機(jī)可讀介質(zhì)(諸如計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器)中并且可以由一個(gè)或多個(gè)處理器執(zhí)行以執(zhí)行各種實(shí)施例的方法的計(jì)算機(jī)可讀指令。圖1示出了根據(jù)本公開的各個(gè)方面的用于保護(hù)網(wǎng)絡(luò)裝置免受不想要的網(wǎng)絡(luò)訪問的示例性系統(tǒng)。在該示例中,三個(gè)網(wǎng)絡(luò)裝置(應(yīng)用服務(wù)器141、142和143)是專用網(wǎng)絡(luò)140的一部分。經(jīng)由專用網(wǎng)絡(luò)地址從專用網(wǎng)絡(luò)140內(nèi)獲得對(duì)服務(wù)器141-143的訪問。在該上下文中,術(shù)語“專用(private)”指的是應(yīng)用服務(wù)器141-143不是全局可路由的事實(shí)。換句話說,應(yīng)用服務(wù)器141-143不能由其來自專用網(wǎng)絡(luò)140外部的專用網(wǎng)絡(luò)地址來尋址。專用網(wǎng)絡(luò)140和圖1中的其他組件可以利用任何數(shù)量和類型的通信協(xié)議,也被稱為因特網(wǎng)協(xié)議(“ip”),或者作為傳輸控制協(xié)議/因特網(wǎng)協(xié)議(“tcp/ip”)。例如,專用網(wǎng)絡(luò)140可以具有由針對(duì)因特網(wǎng)協(xié)議版本4或ipv4的rfc1918以及針對(duì)因特網(wǎng)協(xié)議版本6或ipv6的rfc4193設(shè)置的地址范圍。應(yīng)用服務(wù)器141-143通過網(wǎng)絡(luò)140向其他計(jì)算裝置提供服務(wù)。任何數(shù)量和類型的應(yīng)用服務(wù)器和相關(guān)聯(lián)的服務(wù)可以結(jié)合本公開的實(shí)施例來使用,諸如郵件服務(wù)器、文件服務(wù)器、客戶關(guān)系管理或crm服務(wù)、企業(yè)資源規(guī)劃或erp服務(wù)和/或文檔管理服務(wù)??梢酝ㄟ^在與服務(wù)相關(guān)聯(lián)的端口(或端口范圍)上打開與相應(yīng)應(yīng)用服務(wù)器的通信套接字來與應(yīng)用服務(wù)器141-143中的任一個(gè)建立數(shù)據(jù)連接。應(yīng)用服務(wù)器141-143可以對(duì)應(yīng)于具有與專用網(wǎng)絡(luò)地址相關(guān)聯(lián)的物理網(wǎng)絡(luò)接口的物理裝置??商娲?,應(yīng)用服務(wù)器141-143也可以對(duì)應(yīng)于在一個(gè)或多個(gè)物理服務(wù)器上運(yùn)行的虛擬服務(wù)器實(shí)例。虛擬服務(wù)器實(shí)例可以每個(gè)具有帶有相關(guān)聯(lián)的專用網(wǎng)絡(luò)地址的虛擬網(wǎng)絡(luò)接口。虛擬服務(wù)器實(shí)例可以包括一個(gè)或多個(gè)用戶空間實(shí)例(也被稱為軟件容器、虛擬引擎、虛擬專用服務(wù)器和/或獄(jails))以及結(jié)合其來操作。這樣的用戶空間實(shí)例可以以任何合適的方式實(shí)現(xiàn),包括經(jīng)由docker軟件工具。在圖1中示出的示例中,專用網(wǎng)絡(luò)140通過網(wǎng)關(guān)100與外部網(wǎng)絡(luò)180分離,從而以受控的方式允許外部網(wǎng)絡(luò)180和專用網(wǎng)絡(luò)140之間的網(wǎng)絡(luò)流量。圖1的系統(tǒng)可以將客戶端121、122標(biāo)識(shí)為“受信客戶端”,其具有對(duì)專用網(wǎng)絡(luò)140內(nèi)的一個(gè)或多個(gè)應(yīng)用服務(wù)器141-143的訪問權(quán)限,以便使用在其上運(yùn)行的服務(wù)??蛻舳?21、122可以是或包括物理硬件和/或虛擬組件。例如,客戶端121、122可以包括在物理裝置(諸如移動(dòng)裝置)上運(yùn)行的虛擬操作系統(tǒng)。系統(tǒng)還可以準(zhǔn)許對(duì)客戶端121、122被允許訪問的應(yīng)用服務(wù)器141-143的選擇的網(wǎng)絡(luò)訪問,并且拒絕對(duì)不允許客戶端121、122訪問的任何應(yīng)用服務(wù)器的網(wǎng)絡(luò)訪問。為了控制由客戶端121、122對(duì)應(yīng)用服務(wù)器141-143的訪問,網(wǎng)關(guān)100包括用于在由外部網(wǎng)絡(luò)180中的客戶端121、122請(qǐng)求時(shí)建立網(wǎng)絡(luò)隧道的隧道模塊101。在圖1中示出的示例中,在隧道模塊101和客戶端121、122之間分別建網(wǎng)絡(luò)隧道181、182,從而將專用網(wǎng)絡(luò)140延伸到客戶端121、122。在一些實(shí)施例中,虛擬專用網(wǎng)絡(luò)(或“vpn”)通過隧道181、182來建立。以這種方式,雖然在網(wǎng)絡(luò)180內(nèi),但是客戶端121、122被提供在專用網(wǎng)絡(luò)140的范圍內(nèi)的專用網(wǎng)絡(luò)地址,并且因此可以由它們相應(yīng)的專用網(wǎng)絡(luò)地址來潛在地訪問所有應(yīng)用服務(wù)器141-143(如果允許訪問的話,如下面更詳細(xì)討論的)。在客戶端121、122請(qǐng)求時(shí)建立隧道,從而向隧道模塊101提供隧道認(rèn)證信息??梢越Y(jié)合本公開的實(shí)施例使用任何數(shù)量和類型的認(rèn)證信息,諸如用戶名和密碼。隧道認(rèn)證信息還可以(或者可替代地)包括生物測(cè)定、雙因素認(rèn)證和/或其他密碼方法。在隧道181、182中傳送的數(shù)據(jù)還可以通過加密來保護(hù),諸如根據(jù)互聯(lián)網(wǎng)協(xié)議安全(或“ipsec協(xié)議”)、傳輸層安全(或“tls”)和/或數(shù)據(jù)報(bào)傳輸層安全(或“dtls”)。隧道認(rèn)證模塊105驗(yàn)證隧道認(rèn)證信息,并且如果認(rèn)證成功,則建立與相應(yīng)客戶端的網(wǎng)絡(luò)隧道。圖1中的網(wǎng)關(guān)100包括防火墻102,用于在已經(jīng)建立了相應(yīng)的隧道181、182之后控制客戶端121、122和應(yīng)用服務(wù)器141-143之間的網(wǎng)絡(luò)流量。防火墻102可以根據(jù)由防火墻配置模塊103或從另一個(gè)源提供的防火墻規(guī)則來控制這樣的流量。在一些實(shí)施例中,防火墻配置模塊103根據(jù)從相應(yīng)客戶端121、122接收到的客戶端訪問列表獲得防火墻規(guī)則,該相應(yīng)客戶端121、122繼而從認(rèn)證服務(wù)器160接收客戶端訪問列表。除此之外,防火墻規(guī)則允許客戶端121、122建立和維護(hù)與應(yīng)用服務(wù)器141、142和143的網(wǎng)絡(luò)連接??蛻舳?21、122可訪問哪些應(yīng)用服務(wù)器141-143的選擇可以從客戶端訪問列表確定,防火墻規(guī)則也從該客戶端訪問列表獲得。防火墻規(guī)則可以包括任何所期信息。在一些實(shí)施例中,例如,防火墻規(guī)則包括定義客戶端可以訪問的信息的授權(quán)令牌。這樣的授權(quán)令牌可以被用于將防火墻配置為不僅準(zhǔn)許/拒絕網(wǎng)絡(luò)流量訪問而且準(zhǔn)許/拒絕訪問各種文件(例如,被分類(包含元數(shù)據(jù))為高度機(jī)密的)。防火墻102可以是或包括任何數(shù)量和類型的系統(tǒng)、裝置、硬件組件和/或軟件組件。例如,防火墻102可以被實(shí)現(xiàn)為包括多個(gè)硬件和/或軟件組件的分布式防火墻。在一些實(shí)施例中,防火墻102在默認(rèn)情況下阻止來自客戶端121、122的所有流量通過安全隧道180、181,但是可以被配置為響應(yīng)于防火墻規(guī)則而允許流量。例如,如果客戶端訪問列表指示客戶端121可以訪問應(yīng)用服務(wù)器141,則防火墻配置模塊103獲得對(duì)應(yīng)的規(guī)則并且在防火墻102中激活它。在激活規(guī)則之后,防火墻102不再阻止在客戶端121和應(yīng)用服務(wù)器141之間的專用網(wǎng)絡(luò)140上的網(wǎng)絡(luò)流量。圖1的系統(tǒng)包括認(rèn)證服務(wù)器160,該認(rèn)證服務(wù)器160繼而包括用于認(rèn)證客戶端121、122并生成客戶端信息的認(rèn)證模塊162。在圖1中示出的示例中,為了使客戶端121、122訪問專用網(wǎng)絡(luò)140中的應(yīng)用服務(wù)器141-143,其首先需要向認(rèn)證服務(wù)器160認(rèn)證自身。認(rèn)證服務(wù)器160可以使用硬件和軟件組件的任何所期組合來實(shí)現(xiàn),并且可以以任何所期方式與其他硬件和軟件組件通信。在圖1中示出的示例性系統(tǒng)中,認(rèn)證服務(wù)器160不是專用網(wǎng)絡(luò)140的一部分,但是由客戶端121、122通過網(wǎng)絡(luò)180可訪問的。由客戶端121、122提供的認(rèn)證信息唯一地標(biāo)識(shí)客戶端或客戶端的用戶,諸如通過提供用戶名和密碼(其可以由認(rèn)證模塊162來驗(yàn)證)。客戶端121、122可以使用任何數(shù)量和類型的不同認(rèn)證方法來認(rèn)證。例如,除了密碼認(rèn)證之外(或作為替代),認(rèn)證可以利用基于客戶端121、122的硬件的認(rèn)證,諸如客戶端硬件的使用歷史和客戶端的硬件屬性。在一個(gè)實(shí)施例中,這樣的信息可以被存儲(chǔ)在客戶端裝置上的記錄中,由此檢測(cè)記錄到不同機(jī)器的移動(dòng)導(dǎo)致認(rèn)證失敗。記錄可以被加密和/或密鑰簽名以提供額外的完整性。認(rèn)證還可以基于時(shí)間窗,使得如果客戶端121、122在預(yù)定時(shí)間窗之外嘗試認(rèn)證,則拒絕認(rèn)證(或需要進(jìn)一步認(rèn)證)??梢愿鶕?jù)基于位置的信息來執(zhí)行認(rèn)證,諸如根據(jù)客戶端121、122的互聯(lián)網(wǎng)協(xié)議(ip)地址或與客戶端121、122相關(guān)聯(lián)的全球定位信息。例如,客戶端121、122的物理位置可以從全球定位信息、特定ip地址或甚至客戶端的ip地址的國(guó)家代碼來確定,并且被用于確定客戶端121、122是真實(shí)客戶端還是嘗試偽裝成客戶端的第三方(諸如黑客)?;谙惹皻v史(即,黑客嘗試、認(rèn)證失敗等),ip地址(基于國(guó)家代碼的個(gè)別或范圍等)可被列入黑名單或列入白名單。同樣地,被用于認(rèn)證的基于位置的信息也可以從由客戶端121、122在嘗試連接中使用的一個(gè)或多個(gè)物理網(wǎng)絡(luò)導(dǎo)出。認(rèn)證模塊162還可以直接從客戶端121、122接收上下文或狀態(tài)信息。當(dāng)直接從客戶端接收到這樣的信息并且因此不能由認(rèn)證服務(wù)器驗(yàn)證時(shí),其可以被視為不受信的“客戶端上下文信息”??梢员话ㄔ诳蛻舳诵畔⒅械目蛻舳松舷挛男畔⒖梢园ㄖT如以下信息:可以是以完全限定域名(或“fqdn”)的形式的主機(jī)名,例如“host.domain.com”;在主機(jī)上運(yùn)行的操作系統(tǒng)的家族和版本號(hào);指示哪些補(bǔ)丁已經(jīng)被應(yīng)用于所述操作系統(tǒng)的補(bǔ)丁級(jí)別;被安裝在客戶端上的防病毒軟件的狀態(tài);和/或客戶端裝置的用戶已經(jīng)登錄到客戶端多長(zhǎng)時(shí)間。認(rèn)證模塊162還可以向客戶端信息添加“受信客戶端信息”,其可以包括諸如指示用戶所屬的用戶組和部門的用戶會(huì)員信息的信息。受信客戶端信息可以由使用輕量級(jí)目錄訪問協(xié)議(“l(fā)dap”)或活動(dòng)目錄(“ad”)服務(wù)的用戶目錄系統(tǒng)來提供。受信客戶端信息還可以包括信息,諸如關(guān)于客戶端與認(rèn)證服務(wù)器160的先前會(huì)話的歷史信息(例如,最后登錄時(shí)間戳和失敗登錄嘗試的量)。在圖1中示出的示例中,認(rèn)證模塊162包括客戶端列表引擎163和隧道列表引擎165。在由認(rèn)證模塊162成功認(rèn)證之后,基于由認(rèn)證模塊提供的客戶端信息,隧道列表引擎165生成客戶端隧道列表并且客戶端列表引擎163生成客戶端訪問列表??蛻舳怂淼懒斜砜梢园ㄓ糜谝颜J(rèn)證客戶端121、122建立相應(yīng)隧道181、182的所有信息??蛻舳怂淼懒斜砜梢园ɡ缇W(wǎng)絡(luò)地址信息(諸如網(wǎng)關(guān)100的目的地ip地址和/或目的地端口號(hào)),以便客戶端121、122通過請(qǐng)求在客戶端隧道列表中指定的ip地址和端口號(hào)處的隧道設(shè)置來發(fā)起相應(yīng)隧道181、182的建立??蛻舳怂淼懒斜磉€可以包括隧道認(rèn)證信息,以便使用網(wǎng)關(guān)100中的認(rèn)證模塊105來認(rèn)證客戶端121、122??蛻舳怂淼懒斜砜梢园ɡ缣摂M專用網(wǎng)(vpn)令牌,其包含將客戶端連接到各種網(wǎng)關(guān)所需的信息。由隧道列表引擎165生成的隧道認(rèn)證信息可以是動(dòng)態(tài)的(即,不是由網(wǎng)關(guān)100的認(rèn)證模塊105預(yù)先知道的)。在這種情況下,認(rèn)證服務(wù)器可以通過認(rèn)證服務(wù)器160和網(wǎng)關(guān)100之間的通信鏈路168將隧道認(rèn)證信息轉(zhuǎn)發(fā)到網(wǎng)關(guān)100。因此,通信鏈路168在網(wǎng)關(guān)100和認(rèn)證服務(wù)器160之間提供通道,該通道允許配置更新被交換并且如果在認(rèn)證服務(wù)器160中移除了用戶和/或會(huì)話,則允許由用戶或會(huì)話進(jìn)行的訪問被撤銷。存在可以移除用戶或會(huì)話的各種原因,諸如:1)服務(wù)數(shù)據(jù)庫改變,并且管理員希望對(duì)所有用戶實(shí)施改變;2)用戶改變他或她的認(rèn)證方法;或3)用戶或客戶端從系統(tǒng)被禁止。通信鏈路168可以以任何所期方式被實(shí)現(xiàn),諸如經(jīng)由僅允許認(rèn)證服務(wù)器160與來自一個(gè)或多個(gè)網(wǎng)關(guān)之間的通信的超文本傳輸協(xié)議安全(https)通道??蛻舳嗽L問列表標(biāo)識(shí)對(duì)客戶端被準(zhǔn)許訪問的應(yīng)用服務(wù)器141-143的選擇。在一些實(shí)施例中,客戶端列表引擎163生成針對(duì)防火墻102的防火墻規(guī)則,并且將這些規(guī)則包括在客戶端訪問列表中。然后,由網(wǎng)關(guān)100中的防火墻配置模塊103從客戶端訪問列表中提取防火墻規(guī)則,并將其應(yīng)用于防火墻102。客戶端訪問列表可以進(jìn)一步向應(yīng)用服務(wù)器141-143的尋址信息添加條件。客戶端訪問列表的說明性示例在下表中被示出。表1:具有條件應(yīng)用服務(wù)器的客戶端訪問列表ip地址條件10.0.0.1時(shí)間間隔(09.00-17.00)10.0.0.11域(“domain.com”)10.0.0.3字符串前綴(用戶名,“adm_”)表1的第一列指定客戶端被準(zhǔn)許網(wǎng)絡(luò)訪問的應(yīng)用服務(wù)器的ip地址。第二列進(jìn)一步指定需要滿足以便具有訪問權(quán)限的條件。第一個(gè)條件指定客戶端被準(zhǔn)許對(duì)應(yīng)用服務(wù)器10.0.0.1的訪問所處的特定時(shí)間間隔。第二條件指定請(qǐng)求應(yīng)起源的特定域(即,其指定客戶端可以從其訪問應(yīng)用的域)。第二條件可以例如由公司使用以僅允許從其自己的域(即,從公司的網(wǎng)絡(luò)內(nèi))訪問。第三條件可以被用于標(biāo)識(shí)特定用戶或組(諸如公司的管理員),其是應(yīng)該能夠訪問給定應(yīng)用服務(wù)器或其他網(wǎng)絡(luò)裝置的唯一用戶或組。在圖1中示出的示例性系統(tǒng)中,認(rèn)證服務(wù)器160包括用于創(chuàng)建數(shù)字簽名列表的簽名模塊164,諸如簽名的客戶端訪問列表和簽名的客戶端隧道列表。在接收到客戶端訪問和隧道列表時(shí),由簽名模塊164生成的數(shù)字簽名可以由網(wǎng)關(guān)100中的簽名驗(yàn)證模塊104來驗(yàn)證。在網(wǎng)關(guān)100不通知認(rèn)證服務(wù)器160的情況下,簽名可以由在網(wǎng)關(guān)和認(rèn)證服務(wù)器160之間共享的簽名密鑰來生成和驗(yàn)證,使得客戶端訪問列表和客戶端隧道列表不可由客戶端121、122改變。在一個(gè)示例性實(shí)施例中,使用了私鑰/公鑰機(jī)制的x.509證書被用于驗(yàn)證證書。在一些實(shí)施例中,如果網(wǎng)關(guān)100在嘗試驗(yàn)證簽名時(shí)確定客戶端訪問列表或客戶端隧道列表被改變,則網(wǎng)關(guān)100可以向認(rèn)證服務(wù)器160通知改變和/或中斷與客戶端的網(wǎng)絡(luò)隧道。認(rèn)證服務(wù)器160可以在與客戶端的未來交互中使用這樣的通知作為與客戶端相關(guān)聯(lián)的“受信客戶端信息”的一部分。在一些實(shí)施例中,網(wǎng)關(guān)100可以(例如,響應(yīng)于檢測(cè)到如上面描述的客戶端訪問列表或客戶端隧道列表中的改變)以其自己的意圖斷開已建立的網(wǎng)絡(luò)隧道181、182。額外地或可替代地,認(rèn)證服務(wù)器160可以適于通過在通信鏈路168上向網(wǎng)關(guān)100發(fā)送消息來致使網(wǎng)關(guān)100斷開已建立的網(wǎng)絡(luò)隧道181、182,該消息指示了隧道模塊101斷開網(wǎng)絡(luò)隧道,并且從防火墻移除允許相應(yīng)的客戶端訪問應(yīng)用服務(wù)器的防火墻規(guī)則。圖2、圖3和圖4示出了可以由結(jié)合本公開的實(shí)施例操作的各種組件執(zhí)行的示例性過程,包括圖1中示出的示例性系統(tǒng)的組件,分別是客戶端121、122,認(rèn)證服務(wù)器160和網(wǎng)關(guān)100。本文描述的過程可以通過不同硬件和/或軟件組件的任何其他組合來執(zhí)行(全部或部分地)。圖2、圖3和圖4可以在各種上下文和情況下被實(shí)現(xiàn),諸如其中應(yīng)用服務(wù)器141、142和143全部屬于公司,其目的是以安全的方式向受信客戶端121、122提供應(yīng)用服務(wù)器的服務(wù)。在這種情況下,“受信客戶端”是這樣的客戶端裝置:其用戶或裝置本身對(duì)于公司是已知的,并且可以被提供對(duì)一個(gè)或多個(gè)應(yīng)用服務(wù)器的訪問。每個(gè)客戶端121、122可以被實(shí)現(xiàn)為可以訪問和使用由應(yīng)用服務(wù)器141-143可用的服務(wù)的計(jì)算機(jī)硬件和/或軟件的任何組合??蛻舳丝梢岳缡?或包括)臺(tái)式電腦、手提電腦、智能電話和/或平板電腦??蛻舳诉€可以例如是(或包括)使用證書來認(rèn)證自身的服務(wù)器。圖2、圖3和圖4中的過程有助于防止客戶端121、122直接訪問專用網(wǎng)絡(luò),取而代之僅通過網(wǎng)關(guān)(諸如圖1中的網(wǎng)關(guān)100)來提供訪問。這種限制也可以關(guān)于在公司的專用網(wǎng)絡(luò)內(nèi)操作的客戶端來實(shí)施。對(duì)于諸如場(chǎng)景的示例,再次參考圖1,網(wǎng)絡(luò)180和網(wǎng)絡(luò)140兩者都可以是分離的“專用網(wǎng)絡(luò)”,但是客戶端121、122和應(yīng)用服務(wù)器141-143之間的網(wǎng)絡(luò)通信仍然由網(wǎng)關(guān)100來控制。圖2示出了可由客戶端121、122中的任一個(gè)執(zhí)行以訪問應(yīng)用服務(wù)器141-143上的一個(gè)或多個(gè)服務(wù)的示例性過程。圖2中的過程可以以任何合適的方式實(shí)現(xiàn),諸如經(jīng)由客戶端裝置上在客戶端活動(dòng)時(shí)在后臺(tái)自動(dòng)運(yùn)行的軟件應(yīng)用。軟件應(yīng)用可以在客戶端的啟動(dòng)時(shí)自動(dòng)運(yùn)行,或者可以由用戶或在客戶端上操作的另一進(jìn)程手動(dòng)啟動(dòng)??蛻舳?21、122監(jiān)視(201)客戶端裝置對(duì)應(yīng)用服務(wù)器141-143之一的網(wǎng)絡(luò)訪問。應(yīng)用服務(wù)器141-143的網(wǎng)絡(luò)地址可以是使用應(yīng)用服務(wù)器的服務(wù)的客戶端應(yīng)用中的配置選項(xiàng)。例如,應(yīng)用服務(wù)器可以是(或包括):具有在郵件客戶端應(yīng)用中配置的網(wǎng)絡(luò)地址和端口的郵件服務(wù)器;被配置有其網(wǎng)絡(luò)地址作為網(wǎng)絡(luò)共享的文件服務(wù)器;crm服務(wù)以及具有被安裝用于訪問該crm服務(wù)的專用客戶端應(yīng)用的客戶端;和/或web服務(wù),并且用戶指定瀏覽器應(yīng)用的地址欄中的地址??蛻舳丝梢曰谀康牡鼐W(wǎng)絡(luò)地址來檢測(cè)(202)客戶端應(yīng)用嘗試訪問專用網(wǎng)絡(luò)140內(nèi)的應(yīng)用服務(wù)器。客戶端檢索(203)認(rèn)證信息以發(fā)送到認(rèn)證服務(wù)器160。認(rèn)證信息的檢索可以諸如通過使用用戶先前提交以用于登錄的認(rèn)證憑證來自動(dòng)執(zhí)行??商娲兀J(rèn)證信息的檢索可包括請(qǐng)求用戶提供認(rèn)證憑證,諸如用戶名和密碼。替代圖2的步驟201-203,客戶端可以在不等待對(duì)應(yīng)用服務(wù)器141-143之一的網(wǎng)絡(luò)訪問嘗試的情況下直接使用認(rèn)證服務(wù)器160來認(rèn)證自身。例如,當(dāng)客戶端的用戶登錄到客戶端時(shí)或當(dāng)客戶端啟動(dòng)時(shí),該客戶端可以使用認(rèn)證服務(wù)器160進(jìn)行認(rèn)證。客戶端的認(rèn)證可以以任何所期方式執(zhí)行,諸如通過使用存儲(chǔ)的認(rèn)證憑證、用戶的登錄憑證和/或從用戶請(qǐng)求的分離的認(rèn)證憑證。任何數(shù)量和類型的身份提供者也可以結(jié)合本公開的實(shí)施例來使用,包括rsa、oauth、證書、radius和saml等。認(rèn)證憑證被用于使用認(rèn)證服務(wù)器160來認(rèn)證(204)客戶端121、122。作為響應(yīng),客戶端接收(205)來自認(rèn)證服務(wù)器160的客戶端隧道列表和客戶端訪問列表??蛻舳?21、122通過例如從客戶端隧道列表中檢索網(wǎng)關(guān)100的網(wǎng)絡(luò)地址并向網(wǎng)關(guān)100發(fā)送建立隧道的請(qǐng)求來建立(206)與網(wǎng)關(guān)100的網(wǎng)絡(luò)隧道181、182。在建立(206)隧道時(shí),客戶端可以向網(wǎng)關(guān)提供客戶端隧道列表作為認(rèn)證??蛻舳怂淼懒斜沓休d認(rèn)證服務(wù)器160的簽名,網(wǎng)關(guān)100可以在不進(jìn)一步交換認(rèn)證憑證的情況下從其驗(yàn)證客戶端是受信的并且建立隧道。在建立網(wǎng)絡(luò)隧道之后,專用網(wǎng)絡(luò)140通過隧道擴(kuò)展到客戶端,但是客戶端仍然不能訪問應(yīng)用服務(wù)器141-143中的任一個(gè),這是因?yàn)閷?duì)服務(wù)器的網(wǎng)絡(luò)訪問可能被網(wǎng)關(guān)100的防火墻102阻擋。客戶端將從認(rèn)證服務(wù)器160接收到的客戶端訪問列表發(fā)送(207)到網(wǎng)關(guān)100,并記錄(211)客戶端可以從客戶端訪問列表訪問哪些應(yīng)用服務(wù)器??蛻舳诉€可以向客戶端裝置的用戶發(fā)信號(hào)通知或顯示可訪問的應(yīng)用服務(wù)器或服務(wù)。假設(shè)成功認(rèn)證,則網(wǎng)關(guān)100向在客戶端訪問列表中列出的所有應(yīng)用服務(wù)器或應(yīng)用服務(wù)器上的服務(wù)提供客戶端網(wǎng)絡(luò)訪問。圖3是可以由認(rèn)證服務(wù)器(諸如圖1中的認(rèn)證服務(wù)器160)執(zhí)行的用于向客戶端提供客戶端訪問和隧道列表的示例性過程。在該示例性過程中,認(rèn)證服務(wù)器接收來自相應(yīng)客戶端的請(qǐng)求(301)。在該請(qǐng)求中,客戶端諸如在圖2的步驟204中向認(rèn)證服務(wù)器提供用于識(shí)別的認(rèn)證信息。認(rèn)證服務(wù)器嘗試識(shí)別(302)客戶端。如果客戶端對(duì)于認(rèn)證服務(wù)器是未知的并且因此是不受信的,則服務(wù)器停止流程(303)。如果客戶端是已知的,則認(rèn)證服務(wù)器檢索(304)受信客戶端信息并將其添加到客戶端信息。在步驟301中與認(rèn)證信息一起接收到的客戶端上下文信息也可以被添加到客戶端信息。認(rèn)證模塊識(shí)別(310)客戶端被允許訪問的應(yīng)用服務(wù)器的選擇。然后可以將應(yīng)用服務(wù)器的選擇與客戶端信息一起轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器160的客戶端列表引擎163和隧道列表引擎165。隧道列表引擎165通過例如提供網(wǎng)關(guān)100的ip地址以及用于建立與網(wǎng)關(guān)100的網(wǎng)絡(luò)隧道的認(rèn)證憑證基于客戶端信息而生成(305)隧道列表。客戶端隧道列表由簽名引擎164簽名(306)。認(rèn)證服務(wù)器基于客戶端被允許訪問的服務(wù)器的選擇而生成(307)客戶端訪問列表?;诳蛻舳诵畔ⅲ梢韵蚩蛻舳嗽L問列表添加進(jìn)一步的條件限制。然后,還對(duì)客戶端訪問列表進(jìn)行簽名308。認(rèn)證服務(wù)器然后向客戶端發(fā)送309客戶端訪問和隧道列表。圖4示出了可以由結(jié)合本公開的實(shí)施例操作的網(wǎng)關(guān)(諸如圖1中的網(wǎng)關(guān)100)來執(zhí)行的用于提供對(duì)客戶端的網(wǎng)絡(luò)訪問的示例性過程。在該示例性過程中,網(wǎng)關(guān)101接收(401)來自客戶端121或122的請(qǐng)求以設(shè)置與該客戶端的網(wǎng)絡(luò)隧道(例如,vpn連接)。作為響應(yīng),網(wǎng)關(guān)從客戶端請(qǐng)求(402)認(rèn)證憑證,并接收(403)以客戶端隧道列表的形式的認(rèn)證憑證。為了認(rèn)證客戶端,網(wǎng)關(guān)100使用與認(rèn)證服務(wù)器160共享的簽名密鑰來驗(yàn)證(404)客戶端隧道列表中的簽名。如果簽名是正確的并且客戶端隧道列表沒有被客戶端修改,則網(wǎng)關(guān)100建立(405)與客戶端的網(wǎng)絡(luò)隧道,從而通過隧道將專用網(wǎng)絡(luò)140延伸到客戶端。網(wǎng)關(guān)的防火墻還被配置為默認(rèn)情況下阻止來自客戶端的所有網(wǎng)絡(luò)訪問。網(wǎng)關(guān)接收(406)由認(rèn)證服務(wù)器生成的來自客戶端的客戶端訪問列表,并驗(yàn)證(407)該客戶端訪問列表中的簽名。從客戶端訪問列表,網(wǎng)關(guān)獲得(408)用于允許對(duì)客戶端訪問列表中列出的應(yīng)用服務(wù)器的網(wǎng)絡(luò)訪問(以及針對(duì)這種訪問的條件,其也在客戶端訪問列表中被提供)的防火墻規(guī)則。網(wǎng)關(guān)激活(409)防火墻規(guī)則,從而允許客戶端訪問在客戶端訪問列表中列出的應(yīng)用服務(wù)器的選擇。在一些實(shí)施例中,認(rèn)證服務(wù)器160可以向客戶端訪問列表添加增強(qiáng)的認(rèn)證要求以及在滿足這些增強(qiáng)的認(rèn)證要求時(shí)可以訪問的應(yīng)用服務(wù)器的第二選擇。這些增強(qiáng)的需求可以涉及認(rèn)證機(jī)制本身,并且可以例如聲明必須使用更安全的認(rèn)證機(jī)制(相對(duì)于應(yīng)用服務(wù)器的第一選擇)。例如,代替供應(yīng)用戶/密碼組合(其可以滿足針對(duì)應(yīng)用服務(wù)器的第一集合的認(rèn)證要求),增強(qiáng)的要求可以指定需要兩個(gè)因素認(rèn)證來獲得對(duì)應(yīng)用服務(wù)器的第二集合的訪問。該要求還可以涉及客戶端自身的上下文或狀態(tài)信息。可以使用任何所期要求,諸如以下要求:所有補(bǔ)丁需要被應(yīng)用于客戶端操作系統(tǒng)以訪問特定應(yīng)用服務(wù)器;病毒掃描程序必須運(yùn)行并且是最新的以訪問某個(gè)應(yīng)用服務(wù)器;和/或不能從公共無線網(wǎng)絡(luò)訪問應(yīng)用服務(wù)器。在使用認(rèn)證服務(wù)器來認(rèn)證之后,認(rèn)證服務(wù)器160(例如,經(jīng)由客戶端列表引擎163)提供包括增強(qiáng)的認(rèn)證要求的簽名客戶端訪問列表以及要求這種增強(qiáng)認(rèn)證的應(yīng)用服務(wù)器的第二選擇。當(dāng)客戶端認(rèn)證并滿足增強(qiáng)的認(rèn)證要求時(shí),認(rèn)證服務(wù)器可以向客戶端發(fā)布更新的客戶端訪問列表,其中在允許客戶端訪問的應(yīng)用服務(wù)器中列出應(yīng)用服務(wù)器的第二選擇。可以在客戶端訪問列表中列出多級(jí)增強(qiáng)認(rèn)證要求(以及應(yīng)用服務(wù)器的對(duì)應(yīng)集合)。圖5示出了可以由客戶端執(zhí)行以便獲得對(duì)具有增強(qiáng)的認(rèn)證要求的應(yīng)用服務(wù)器的網(wǎng)絡(luò)訪問的示例性過程。在該示例性過程中,客戶端建立對(duì)在第一客戶端訪問列表(在本文中也被稱為“基礎(chǔ)客戶端訪問列表”)中列出的專用網(wǎng)絡(luò)140中的應(yīng)用服務(wù)器的第一選擇的網(wǎng)絡(luò)訪問(501)。步驟501可以進(jìn)一步根據(jù)圖2中概述的流程來實(shí)現(xiàn),區(qū)別在于基礎(chǔ)客戶端訪問列表還包括應(yīng)用服務(wù)器的第二選擇和增強(qiáng)的認(rèn)證要求,以便獲得對(duì)該第二選擇的網(wǎng)絡(luò)訪問??蛻舳吮O(jiān)視(502)在客戶端裝置上運(yùn)行的應(yīng)用以及這種應(yīng)用對(duì)專用網(wǎng)絡(luò)140的網(wǎng)絡(luò)訪問。如果客戶端應(yīng)用嘗試連接到不是第一選擇的一部分的應(yīng)用服務(wù)器,則客戶端檢查(503)應(yīng)用服務(wù)器是否是第二選擇的一部分。如果不是,則客戶端不能獲得對(duì)該應(yīng)用服務(wù)器的訪問,并且可以向客戶端的用戶或應(yīng)用通知被拒絕的訪問(504)。如果應(yīng)用服務(wù)器是第二選擇的一部分,則客戶端使用認(rèn)證服務(wù)器啟動(dòng)增強(qiáng)的認(rèn)證過程(505),其可以包括請(qǐng)求用戶提供增強(qiáng)的認(rèn)證憑證,諸如指紋掃描、虹膜掃描、關(guān)于用戶的進(jìn)一步的生物測(cè)定信息、和/或由外部密鑰生成器生成的密鑰。客戶端還可以請(qǐng)求用戶更新客戶端裝置本身的上下文和/或狀態(tài)。例如,可以請(qǐng)求用戶:將客戶端連接到有線網(wǎng)絡(luò);不通過公共無線網(wǎng)絡(luò)連接客戶端;安裝客戶端的操作系統(tǒng)的最新補(bǔ)??;安裝病毒掃描程序;和/或更新病毒掃描程序的數(shù)據(jù)庫。在用戶成功地實(shí)現(xiàn)增強(qiáng)的認(rèn)證要求后(506),客戶端接收(507)來自認(rèn)證服務(wù)器160的第二或更新的客戶端訪問列表。如果增強(qiáng)的認(rèn)證不成功,則請(qǐng)求網(wǎng)絡(luò)訪問的用戶或軟件應(yīng)用被發(fā)信號(hào)通知或警告(504)網(wǎng)絡(luò)訪問被拒絕。更新的客戶端訪問列表列出客戶端可以訪問的應(yīng)用服務(wù)器的第一選擇和第二選擇,并且被發(fā)送(508)到網(wǎng)關(guān)100,網(wǎng)關(guān)100相應(yīng)地配置其防火墻102。然后,客戶端可以向客戶端應(yīng)用和用戶發(fā)信號(hào)通知(509)哪些應(yīng)用或服務(wù)被允許。圖6描繪了根據(jù)本公開的各個(gè)方面的示例性系統(tǒng)。在該示例性系統(tǒng)中,網(wǎng)關(guān)600包括?;?keepalive)模塊605。網(wǎng)關(guān)600通過建立的網(wǎng)絡(luò)隧道182與客戶端621連接,并且?;钅K被配置為檢查以規(guī)則的間隔從客戶端621接收到?;钕ⅰH绻醇皶r(shí)接收到?;钕ⅲ瑒t?;钅K指示防火墻配置模塊103從防火墻102清除針對(duì)客戶端621的防火墻規(guī)則,并指示隧道模塊101斷開網(wǎng)絡(luò)隧道182。?;钅K605還可以被配置為檢查關(guān)于客戶端621的某些預(yù)定義狀態(tài)或上下文信息是否存在于?;钕⒅胁⑶覞M足某些預(yù)定義的要求。這樣的要求可以包括例如客戶端的病毒掃描程序和/或防火墻必須是活動(dòng)的??蛻舳?21可以執(zhí)行由步驟601-604示出的過程,以便向網(wǎng)關(guān)600發(fā)送?;钕?。在第一步驟601中,建立至網(wǎng)關(guān)600的網(wǎng)絡(luò)隧道182。網(wǎng)絡(luò)隧道182可以以任何所期方式建立,包括使用圖2和圖5中示出的過程(或其部分)??蛻舳耸占?602)所需的上下文和狀態(tài)信息,并將其格式化為?;钕?。保活消息通過網(wǎng)絡(luò)隧道182被發(fā)送(603)到網(wǎng)關(guān)600的?;钅K605。當(dāng)發(fā)送該消息時(shí),定時(shí)器被激活(604)以從預(yù)定義的時(shí)間間隔倒計(jì)時(shí)。當(dāng)定時(shí)器期滿時(shí),執(zhí)行步驟602-604的新周期,以便發(fā)送下一個(gè)保活消息。圖7示出了根據(jù)本公開的各個(gè)方面的用于保護(hù)應(yīng)用服務(wù)器741至746免受未經(jīng)授權(quán)的訪問的示例性系統(tǒng)。在該示例中,應(yīng)用服務(wù)器741-746是分別由網(wǎng)關(guān)700、701和702保護(hù)的專用網(wǎng)絡(luò)750、751和752的一部分??蛻舳?21可以使用認(rèn)證服務(wù)器760進(jìn)行認(rèn)證,并且從而獲得客戶端隧道列表和客戶端訪問列表。客戶端隧道列表包括建立與網(wǎng)關(guān)700-702中的每個(gè)的網(wǎng)絡(luò)隧道所需的信息,以便將所有專用網(wǎng)絡(luò)740-744延伸到客戶端721??蛻舳怂淼懒斜砜梢允侨魏魏线m的格式,諸如單個(gè)數(shù)據(jù)對(duì)象、具有標(biāo)識(shí)所有網(wǎng)關(guān)的單個(gè)簽名的文件、分開簽名的數(shù)據(jù)對(duì)象和/或每個(gè)標(biāo)識(shí)網(wǎng)關(guān)700-702之一的文件。在接收到客戶端隧道列表時(shí),客戶端721建立與網(wǎng)關(guān)700-702中的每個(gè)的網(wǎng)絡(luò)隧道781、782和783。客戶端訪問列表包括客戶端可以經(jīng)由網(wǎng)絡(luò)隧道781、782和783連接到的應(yīng)用服務(wù)器741-747的選擇??蛻舳?21將客戶端訪問列表發(fā)送到網(wǎng)關(guān),該網(wǎng)關(guān)繼而根據(jù)接收到的客戶端訪問列表配置它們的防火墻,從而允許客戶端721訪問應(yīng)用服務(wù)器的選擇。在一些實(shí)施例中,認(rèn)證服務(wù)器760可以訪問其他服務(wù)器以用于客戶端721的認(rèn)證或用于檢索關(guān)于客戶端721的信息。這也由圖7示出,其中認(rèn)證服務(wù)器760可以訪問用作認(rèn)證服務(wù)器760的認(rèn)證后端的radius服務(wù)器762。認(rèn)證服務(wù)器760中的認(rèn)證模塊162然后用作客戶端721的認(rèn)證接口,而服務(wù)器762執(zhí)行實(shí)際認(rèn)證。認(rèn)證服務(wù)器760還可以連接到提供認(rèn)證服務(wù)器760的活動(dòng)目錄(activedirectory)服務(wù)的服務(wù)器761,以檢索關(guān)于客戶端721的用戶的進(jìn)一步簡(jiǎn)檔信息。圖8示出又一示例性系統(tǒng),其中radius服務(wù)器846和活動(dòng)目錄服務(wù)器847對(duì)應(yīng)于網(wǎng)關(guān)702后面的專用網(wǎng)絡(luò)744內(nèi)的應(yīng)用服務(wù)器,從而有助于保護(hù)服務(wù)器846-847免于未經(jīng)授權(quán)的訪問。為了訪問服務(wù)器846-847,授權(quán)服務(wù)器760可以包括永久網(wǎng)絡(luò)隧道884,其中網(wǎng)關(guān)702保護(hù)服務(wù)器846和847??商娲兀跈?quán)服務(wù)器760可以利用另一機(jī)制來提供對(duì)服務(wù)器846-847的訪問,諸如json上的ldap,以便利用標(biāo)準(zhǔn)https流量以代替使用網(wǎng)絡(luò)隧道。然后允許認(rèn)證服務(wù)器760訪問服務(wù)器的防火墻規(guī)則可以事先被配置在網(wǎng)關(guān)702中,使得不需要客戶端隧道列表或客戶端訪問列表來建立認(rèn)證服務(wù)器760和服務(wù)器846-847之間的網(wǎng)絡(luò)連接。圖9示出了其中多個(gè)網(wǎng)關(guān)900、901被用于保護(hù)同一專用網(wǎng)絡(luò)940內(nèi)的應(yīng)用服務(wù)器941-944的示例。該拓?fù)淇梢员挥糜谄胶舛鄠€(gè)網(wǎng)關(guān)900、901之間的網(wǎng)絡(luò)流量負(fù)載。認(rèn)證服務(wù)器960提供指定到客戶端921和922的不同網(wǎng)關(guān)的客戶端隧道列表。特別地,客戶端921建立與網(wǎng)關(guān)900的網(wǎng)絡(luò)隧道981,并且客戶端922建立與網(wǎng)關(guān)901的網(wǎng)絡(luò)隧道982。本文中的示例性實(shí)施例示出了保護(hù)應(yīng)用服務(wù)器免受未經(jīng)授權(quán)的訪問的本公開的實(shí)施例。除了應(yīng)用服務(wù)器之外,提供服務(wù)并且通過網(wǎng)絡(luò)可尋址的任何其他類型的網(wǎng)絡(luò)裝置可以由本公開的實(shí)施例來保護(hù)。同樣地,可以由本公開的實(shí)施例保護(hù)的網(wǎng)絡(luò)裝置包括向路由器和網(wǎng)絡(luò)級(jí)交換機(jī)提供管理員接口的網(wǎng)絡(luò)設(shè)備。圖10示出了可結(jié)合本文公開的實(shí)施例利用的示例性計(jì)算系統(tǒng)1000。計(jì)算系統(tǒng)1000可以被用作客戶端裝置、網(wǎng)關(guān)、認(rèn)證服務(wù)器和/或任何其他合適的系統(tǒng)。計(jì)算系統(tǒng)1000包括總線1010、處理器1002、本地存儲(chǔ)器1004、一個(gè)或多個(gè)可選輸入接口1014、一個(gè)或多個(gè)可選輸出接口1016、通信接口1012、存儲(chǔ)元件接口1006和一個(gè)或多個(gè)存儲(chǔ)元件1008。總線1010可以包括允許計(jì)算系統(tǒng)1000的組件之間的通信的一個(gè)或多個(gè)導(dǎo)體。處理器1002可以包括解釋和執(zhí)行編程指令的任何類型的處理器。本地存儲(chǔ)器1004可以包括隨機(jī)存取存儲(chǔ)器(ram)或存儲(chǔ)由處理器1002執(zhí)行的信息和指令的另一類型的動(dòng)態(tài)存儲(chǔ)裝置、和/或只讀存儲(chǔ)器(rom)或存儲(chǔ)由處理器1002使用的靜態(tài)信息和指令的另一類型的靜態(tài)存儲(chǔ)裝置。輸入接口1014可以包括允許操作者向計(jì)算裝置1000輸入信息的一個(gè)或多個(gè)常規(guī)機(jī)構(gòu),諸如鍵盤1020、鼠標(biāo)1030、筆、語音識(shí)別和/或生物測(cè)定機(jī)構(gòu)等。輸出接口1016可以包括向操作者輸出信息的一個(gè)或多個(gè)常規(guī)機(jī)構(gòu),諸如顯示器1040、打印機(jī)1050、揚(yáng)聲器等。通信接口1012可以包括任何類似收發(fā)器的機(jī)構(gòu),諸如例如一個(gè)或多個(gè)以太網(wǎng)接口,其使得計(jì)算系統(tǒng)1000能夠與其他裝置和/或系統(tǒng)1100通信。計(jì)算系統(tǒng)1000的通信接口1012可以借由局域網(wǎng)(lan)或諸如例如因特網(wǎng)的廣域網(wǎng)(wan)被連接到這樣的另一計(jì)算系統(tǒng)。存儲(chǔ)元件接口1006可以包括諸如例如串行高級(jí)技術(shù)附件(sata)接口或小型計(jì)算機(jī)系統(tǒng)接口(scsi)的存儲(chǔ)接口以用于將總線1010連接到諸如一個(gè)或多個(gè)本地磁盤(例如sata磁盤驅(qū)動(dòng)器)的一個(gè)或多個(gè)存儲(chǔ)元件1008,并且控制從這些存儲(chǔ)元件1008讀取數(shù)據(jù)和/或向這些存儲(chǔ)元件1008寫入數(shù)據(jù)。雖然上述存儲(chǔ)元件1008被描述為本地磁盤,但是一般來說,可以使用諸如可移動(dòng)磁盤的任何其他合適的計(jì)算機(jī)可讀介質(zhì)、諸如cd或dvd的光學(xué)存儲(chǔ)介質(zhì)、-rom盤、固態(tài)驅(qū)動(dòng)器、閃速存儲(chǔ)卡等。上面描述的系統(tǒng)1000還可以作為虛擬機(jī)運(yùn)行在物理硬件之上。本文示出的方法可以經(jīng)由被存儲(chǔ)在計(jì)算系統(tǒng)1000的本地存儲(chǔ)器1004中的用于由其處理器1002執(zhí)行的編程指令來實(shí)現(xiàn)。可替代地,指令可以被存儲(chǔ)在存儲(chǔ)元件1008上,或者可以通過通信接口1012從另一計(jì)算系統(tǒng)可訪問。系統(tǒng)1000可以對(duì)應(yīng)于分別由圖1、圖6、圖7、圖8和圖9示出的實(shí)施例的客戶端121、122、621、721、921、922。在這種情況下,系統(tǒng)1000可以通過通信接口1012來連接到網(wǎng)關(guān)和授權(quán)服務(wù)器。在圖2、圖5和圖6中示出的方法的步驟可以在執(zhí)行期間作為處理器1002上的指令來執(zhí)行,并且可以被存儲(chǔ)在存儲(chǔ)器存儲(chǔ)1004或1008中。系統(tǒng)1000可以對(duì)應(yīng)于分別由圖1、圖6、圖7、圖8和圖9示出的實(shí)施例的網(wǎng)關(guān)100、600、700、701、702、900和901。在這種情況下,系統(tǒng)可以包括兩個(gè)通信接口1012,一個(gè)通信接口用于連接到專用網(wǎng)絡(luò),并且一個(gè)用于連接到另一個(gè)網(wǎng)絡(luò),通過該網(wǎng)絡(luò)其連接到客戶端。圖4中示出的方法的步驟可以在執(zhí)行期間作為處理器1002上的指令來執(zhí)行,并且可以被存儲(chǔ)在存儲(chǔ)器存儲(chǔ)1004或1008中。系統(tǒng)1000可以對(duì)應(yīng)于圖1、圖6、圖7、圖8和圖9示出的實(shí)施例的認(rèn)證服務(wù)器160、760和960。在這種情況下,通信接口1012可以被用于將系統(tǒng)1000連接到客戶端和網(wǎng)關(guān)。然后圖3中示出的方法的步驟可以在執(zhí)行期間作為處理器1002上的指令來執(zhí)行,并且可以被存儲(chǔ)在存儲(chǔ)器存儲(chǔ)1004或1008中。由認(rèn)證服務(wù)器和網(wǎng)關(guān)執(zhí)行的方法可以進(jìn)一步在相同的計(jì)算機(jī)系統(tǒng)上、在分離的計(jì)算機(jī)系統(tǒng)上或作為相同或不同的物理計(jì)算機(jī)系統(tǒng)上的分離的虛擬計(jì)算機(jī)系統(tǒng)運(yùn)行。結(jié)合本公開的實(shí)施例操作的系統(tǒng)、裝置和組件之間的通信可以使用任何合適的通信方法來執(zhí)行,諸如例如電話網(wǎng)絡(luò)、外聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、因特網(wǎng)、交互點(diǎn)裝置(銷售點(diǎn)裝置、個(gè)人數(shù)字助理(例如,)、蜂窩電話、信息亭等)、在線通信、衛(wèi)星通信、離線通信、無線通信、應(yīng)答器通信、局域網(wǎng)(lan)、廣域網(wǎng)(wan)、虛擬專用網(wǎng)(vpn)、網(wǎng)絡(luò)或鏈接裝置、鍵盤、鼠標(biāo)和/或任何合適的通信或數(shù)據(jù)輸入模態(tài)。本公開的系統(tǒng)和裝置可以利用tcp/ip通信協(xié)議以及ipx、appletalk、ip-6、netbios、osi、任何隧道協(xié)議(例如ipsec、ssh)或任何數(shù)量的現(xiàn)有或未來的協(xié)議。盡管一些實(shí)施例可以在全功能的計(jì)算機(jī)和計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn),但是無論被用于實(shí)際影響分布的特定類型的機(jī)器或計(jì)算機(jī)可讀介質(zhì),各種實(shí)施例都能夠以各種形式被分布為計(jì)算產(chǎn)品并且能夠被應(yīng)用。機(jī)器可讀介質(zhì)可以被用于存儲(chǔ)軟件和數(shù)據(jù),其在由數(shù)據(jù)處理系統(tǒng)執(zhí)行時(shí)使得系統(tǒng)執(zhí)行各種方法??蓤?zhí)行軟件和數(shù)據(jù)可以被存儲(chǔ)在各種地方,包括例如rom、易失性ram、非易失性存儲(chǔ)器和/或高速緩存。該軟件和/或數(shù)據(jù)的一部分可以被存儲(chǔ)在這些存儲(chǔ)裝置中的任何一個(gè)中。此外,可以從集中式服務(wù)器或?qū)Φ染W(wǎng)絡(luò)獲得數(shù)據(jù)和指令。數(shù)據(jù)和指令的不同部分可以在不同的時(shí)間和在不同的通信會(huì)話中或在相同的通信會(huì)話中從不同的集中式服務(wù)器和/或?qū)Φ染W(wǎng)絡(luò)獲得。數(shù)據(jù)和指令可以在應(yīng)用的執(zhí)行之前被整體獲得??商娲兀?dāng)需要執(zhí)行時(shí),可以動(dòng)態(tài)地、及時(shí)地獲得數(shù)據(jù)和指令的部分。因此,不要求數(shù)據(jù)和指令在特定的時(shí)間情況下整體在機(jī)器可讀介質(zhì)上。計(jì)算機(jī)可讀介質(zhì)的示例包括但不限于可記錄和不可記錄型介質(zhì),諸如易失性和非易失性存儲(chǔ)器裝置、只讀存儲(chǔ)器(rom)、隨機(jī)存取存儲(chǔ)器(ram)、閃速存儲(chǔ)器裝置、軟盤和其他可移動(dòng)磁盤、磁盤存儲(chǔ)介質(zhì)、光存儲(chǔ)介質(zhì)(例如,光盤只讀存儲(chǔ)器(cdrom)、數(shù)字通用光盤(dvd)等)等。計(jì)算機(jī)可讀介質(zhì)可以存儲(chǔ)指令。在各種實(shí)施例中,硬連線電路可與軟件指令組合使用以實(shí)現(xiàn)所述技術(shù)。因此,該技術(shù)既不限于硬件電路和軟件的任何特定組合,也不限于由數(shù)據(jù)處理系統(tǒng)執(zhí)行的指令的任何特定源。雖然一些附圖以特定順序示出了多個(gè)操作,但是不依賴于順序的操作可以被重新排序,并且其他操作可以被組合或分解。雖然具體提及了一些重新排序或其他分組,但是其它對(duì)于本領(lǐng)域的普通技術(shù)人員將是顯而易見的,并且因此不提出替代的詳盡列表。此外,應(yīng)當(dāng)認(rèn)識(shí)到,這些階段可以在硬件、固件、軟件或其任何組合中實(shí)現(xiàn)。為了簡(jiǎn)潔起見,本文中可能不詳細(xì)描述常規(guī)數(shù)據(jù)網(wǎng)絡(luò)、應(yīng)用開發(fā)和系統(tǒng)的其它功能方面(以及系統(tǒng)的個(gè)別操作組件的組件)。此外,本文包含的各個(gè)附圖中示出的連接線旨在表示各種元件之間的示例性功能關(guān)系和/或物理耦接。應(yīng)當(dāng)注意,在實(shí)際系統(tǒng)中可以呈現(xiàn)許多替代或額外的功能關(guān)系或物理連接。本文討論的各種系統(tǒng)組件可以包括以下中的一個(gè)或多個(gè):主機(jī)服務(wù)器或其他計(jì)算系統(tǒng),其包括用于處理數(shù)字?jǐn)?shù)據(jù)的處理器;存儲(chǔ)器,其被耦接到處理器以用于存儲(chǔ)數(shù)字?jǐn)?shù)據(jù);輸入數(shù)字化儀,其被耦接到處理器以用于輸入數(shù)字?jǐn)?shù)據(jù);應(yīng)用程序,其被存儲(chǔ)在存儲(chǔ)器中并且由處理器可訪問以用于由處理器指導(dǎo)數(shù)字?jǐn)?shù)據(jù)的處理;顯示裝置,其被耦接到處理器和存儲(chǔ)器以用于顯示從由處理器處理的數(shù)字?jǐn)?shù)據(jù)導(dǎo)出的信息;以及多個(gè)數(shù)據(jù)庫。本文使用的各種數(shù)據(jù)庫可以包括:運(yùn)送數(shù)據(jù)、包數(shù)據(jù)和/或在系統(tǒng)的操作中有用的任何數(shù)據(jù)。可以經(jīng)由web瀏覽器和/或利用web瀏覽器的應(yīng)用接口來執(zhí)行各種功能。這種瀏覽器應(yīng)用可以被包括安裝在計(jì)算單元或系統(tǒng)內(nèi)以執(zhí)行各種功能的因特網(wǎng)瀏覽軟件。這些計(jì)算單元或系統(tǒng)可以采用計(jì)算機(jī)或計(jì)算機(jī)集合的形式,并且可以使用任何類型的計(jì)算裝置或系統(tǒng),包括手提電腦、筆記本電腦、平板電腦、手持計(jì)算機(jī)、個(gè)人數(shù)字助理、機(jī)頂盒、工作站、計(jì)算機(jī)服務(wù)器、主機(jī)電腦、微型計(jì)算機(jī)、pc服務(wù)器、計(jì)算機(jī)網(wǎng)絡(luò)集合、個(gè)人計(jì)算機(jī)和平板電腦(諸如ipad、imac和macbook)、信息亭、終端、銷售點(diǎn)(pos)裝置和/或終端、電視或能夠通過網(wǎng)絡(luò)接收數(shù)據(jù)的任何其它裝置。各種實(shí)施例可以利用microsoftinternetexplorer、mozillafirefox、googlechrome、applesafari、opera或者可用于瀏覽因特網(wǎng)的任何其他各種軟件包。各種實(shí)施例可以結(jié)合任何合適的操作系統(tǒng)(例如,windowsnt、95/98/2000/ce/mobile/、windows7/8、os2、unix、linux、solaris、macos、palmos等)以及典型地與計(jì)算機(jī)相關(guān)聯(lián)的各種常規(guī)支持軟件和驅(qū)動(dòng)器來操作。各種實(shí)施例可以包括任何合適的個(gè)人計(jì)算機(jī)、網(wǎng)絡(luò)計(jì)算機(jī)、工作站、個(gè)人數(shù)字助理、蜂窩電話、智能電話、小型計(jì)算機(jī)或大型機(jī)等。實(shí)施例可以實(shí)現(xiàn)安全協(xié)議,諸如安全套接字層(ssl)、傳輸層安全(tls)和安全外殼(ssh)。實(shí)施例可以實(shí)現(xiàn)任何所期應(yīng)用層協(xié)議,包括http、https、ftp和sftp。各種系統(tǒng)組件可獨(dú)立地、分離地或共同地經(jīng)由數(shù)據(jù)鏈路適當(dāng)?shù)乇获罱拥骄W(wǎng)絡(luò),所述數(shù)據(jù)鏈路包括例如通過本地環(huán)路與因特網(wǎng)服務(wù)提供商(isp)的連接,如典型地與標(biāo)準(zhǔn)調(diào)制解調(diào)器通信、電纜調(diào)制解調(diào)器、衛(wèi)星網(wǎng)絡(luò)、isdn、數(shù)字用戶線路(dsl)或各種無線通信方法結(jié)合使用。注意,本公開的實(shí)施例可以結(jié)合任何合適類型的網(wǎng)絡(luò)來操作,諸如交互式電視(itv)網(wǎng)絡(luò)。可以使用云計(jì)算來部分地或全部地實(shí)現(xiàn)該系統(tǒng)。“云”或“云計(jì)算”包括一個(gè)模型,用于使能對(duì)可以以最少的管理努力或服務(wù)提供商互動(dòng)來快速地提供和發(fā)布的可配置計(jì)算資源(例如,網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù))的共享池的方便的、按需的網(wǎng)絡(luò)訪問。云計(jì)算可以包括與位置無關(guān)的計(jì)算,由此共享服務(wù)器根據(jù)需要向計(jì)算機(jī)和其他裝置提供資源、軟件和數(shù)據(jù)。各種實(shí)施例可以與web服務(wù)、效用計(jì)算、普適和個(gè)性化計(jì)算、安全和身份解決方案、自主計(jì)算、云計(jì)算、商品計(jì)算、移動(dòng)性和無線解決方案、開源、生物測(cè)定、網(wǎng)格計(jì)算和/或網(wǎng)眼計(jì)算結(jié)合使用。這里討論的任何數(shù)據(jù)庫可以包括關(guān)系、層次,圖形或面向?qū)ο蟮慕Y(jié)構(gòu)和/或任何其他數(shù)據(jù)庫配置。此外,數(shù)據(jù)庫可以以任何合適的方式被組織,例如,作為數(shù)據(jù)表或查找表。每個(gè)記錄可以是單個(gè)文件、文件序列、鏈接的數(shù)據(jù)字段序列或任何其他數(shù)據(jù)結(jié)構(gòu)。某些數(shù)據(jù)的關(guān)聯(lián)可以通過任何所期數(shù)據(jù)關(guān)聯(lián)技術(shù)(諸如本領(lǐng)域中已知或?qū)嵺`的那些技術(shù))來完成。例如,該關(guān)聯(lián)可以手動(dòng)或自動(dòng)完成。任何數(shù)據(jù)庫、系統(tǒng)、裝置、服務(wù)器或系統(tǒng)的其他組件可以位于單個(gè)位置處或多個(gè)位置處,其中每個(gè)數(shù)據(jù)庫或系統(tǒng)包括各種合適的安全特征中的任一個(gè),諸如防火墻、訪問碼、加密、解密、壓縮和/或解壓縮等??梢越栌杀绢I(lǐng)域現(xiàn)有可用的或者可以變得可用的任何技術(shù)來執(zhí)行加密,例如twofish、rsa、elgamal、schorr簽名、dsa、pgp、pki以及對(duì)稱和非對(duì)稱密碼系統(tǒng)。實(shí)施例可以使用標(biāo)準(zhǔn)撥號(hào)、電纜、dsl或本領(lǐng)域已知的任何其它因特網(wǎng)協(xié)議連接到因特網(wǎng)或內(nèi)聯(lián)網(wǎng)。事務(wù)可以通過防火墻,以防止來自其他網(wǎng)絡(luò)的用戶的未經(jīng)授權(quán)的訪問。本文討論的計(jì)算機(jī)可以提供合適的網(wǎng)站或由用戶可訪問的其他基于因特網(wǎng)的圖形用戶界面。例如,microsoft因特網(wǎng)信息服務(wù)器(iis)、microsoft事務(wù)服務(wù)器(mts)和microsoftsqlserver可以與microsoft操作系統(tǒng)、microsoftntweb服務(wù)器軟件、microsoftsqlserver數(shù)據(jù)庫系統(tǒng)以及microsoftcommerceserver結(jié)合使用。另外,諸如access或microsoftsqlserver、oracle、sybase、informixmysql、interbase等的組件可以被用于提供符合活動(dòng)數(shù)據(jù)對(duì)象(ado)的數(shù)據(jù)庫管理系統(tǒng)。在另一示例中,apacheweb服務(wù)器可以與linux操作系統(tǒng)、mysql數(shù)據(jù)庫以及perl、php和/或python編程語言結(jié)合使用??梢酝ㄟ^具有網(wǎng)頁的網(wǎng)站來促進(jìn)本文討論的通信、輸入、存儲(chǔ)、數(shù)據(jù)庫或顯示中的任一個(gè)。如本文使用的術(shù)語“網(wǎng)頁(webpage)”并不意味著限制可能被用于與用戶交互的文檔和應(yīng)用的類型。例如,除了標(biāo)準(zhǔn)html文檔之外,典型的網(wǎng)站還可以包括各種形式:java小程序、javascript、活動(dòng)服務(wù)器頁面(asp)、通用網(wǎng)關(guān)接口腳本(cgi)、可擴(kuò)展標(biāo)記語言(xml)、動(dòng)態(tài)html、級(jí)聯(lián)樣式表(css)、ajax(異步j(luò)avascript和xml)、幫助應(yīng)用和插件等。服務(wù)器可以包括接收來自web服務(wù)器的請(qǐng)求的web服務(wù),該請(qǐng)求包括url和ip地址。web服務(wù)器檢索適當(dāng)?shù)木W(wǎng)頁,并將網(wǎng)頁的數(shù)據(jù)或應(yīng)用發(fā)送到ip地址。web服務(wù)是能夠通過通信手段(諸如因特網(wǎng))與其他應(yīng)用交互的應(yīng)用。各種實(shí)施例可以采用任何所期數(shù)量的用于在基于瀏覽器的文檔內(nèi)顯示數(shù)據(jù)的方法。例如,數(shù)據(jù)可以被表示為標(biāo)準(zhǔn)文本或在固定列表、可滾動(dòng)列表、下拉列表、可編輯文本字段、固定文本字段和彈出窗口等內(nèi)。同樣地,實(shí)施例可以利用任何所期數(shù)量的用于修改網(wǎng)頁中的數(shù)據(jù)(諸如例如使用鍵盤的自由文本輸入、菜單項(xiàng)的選擇、復(fù)選框和選項(xiàng)框等)的方法??梢愿鶕?jù)功能框組件、屏幕截圖、可選選擇和各種處理步驟來描述本文示出的示例性系統(tǒng)和方法。應(yīng)當(dāng)理解,這樣的功能框可以由被配置為執(zhí)行指定功能的任何數(shù)量的硬件和/或軟件組件來實(shí)現(xiàn)。例如,系統(tǒng)可以采用各種集成電路組件,例如存儲(chǔ)器元件、處理元件、邏輯元件和查找表等,其可以在一個(gè)或多個(gè)微處理器或其他控制裝置的控制下執(zhí)行各種功能。類似地,系統(tǒng)的軟件元素可以使用諸如c、c++、c#、java、javascript、vbscript、macromediacoldfusion、cobol、microsoftactiveserverpages、assembly、perl、php、awk、python、visualbasic、sql存儲(chǔ)過程、pl/sql、任何unixshell腳本和可擴(kuò)展標(biāo)記語言(xml)的任何編程或腳本語言來實(shí)現(xiàn),其中使用數(shù)據(jù)結(jié)構(gòu)、對(duì)象、過程、例程或其他編程元素的任何組合來實(shí)現(xiàn)各種算法。此外,應(yīng)當(dāng)注意,系統(tǒng)可以利用用于數(shù)據(jù)傳輸、信令、數(shù)據(jù)處理和網(wǎng)絡(luò)控制等的任何數(shù)量的常規(guī)技術(shù)。此外,系統(tǒng)可以被用于檢測(cè)或防止諸如javascript或vbscript等的客戶端側(cè)腳本語言的安全問題。本公開的系統(tǒng)和方法可以被實(shí)施為現(xiàn)有系統(tǒng)的定制、附加產(chǎn)品、執(zhí)行升級(jí)軟件的處理設(shè)備、獨(dú)立系統(tǒng)、分布式系統(tǒng)、方法、數(shù)據(jù)處理系統(tǒng)、用于數(shù)據(jù)處理的裝置和/或計(jì)算機(jī)程序產(chǎn)品。因此,系統(tǒng)或模塊的任何部分可以采取執(zhí)行代碼的處理設(shè)備、基于因特網(wǎng)的實(shí)施例、完全硬件實(shí)施例或組合因特網(wǎng)、軟件和硬件的各方面的實(shí)施例的形式。此外,系統(tǒng)可以采取具有在存儲(chǔ)介質(zhì)中實(shí)施的計(jì)算機(jī)可讀程序代碼裝置的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品的形式??梢岳萌魏魏线m的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),包括硬盤、cd-rom、光存儲(chǔ)裝置和/或磁存儲(chǔ)裝置等。本文參考根據(jù)各種實(shí)施例的方法、設(shè)備(例如,系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的屏幕截圖、框圖和流程圖圖示來描述系統(tǒng)和方法。將理解的是,框圖和流程圖圖示中的每個(gè)功能框、以及框圖和流程圖圖示中的功能框的組合分別可以通過計(jì)算機(jī)程序指令來實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令可以被加載到通用計(jì)算機(jī)、專用計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上以產(chǎn)生機(jī)器,使得在計(jì)算機(jī)或其他可編程數(shù)據(jù)處理裝置上執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)在一個(gè)或多個(gè)流程圖框中指定的功能的裝置。這些計(jì)算機(jī)程序指令還可以被存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中,其可以指導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作,使得被存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括實(shí)現(xiàn)在一個(gè)或多個(gè)流程圖框中指定的功能的指令裝置的物品。計(jì)算機(jī)程序指令還可以被加載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,以使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行操作步驟序列以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的過程,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)一個(gè)或多個(gè)流程圖框中指定的功能的步驟。因此,框圖和流程圖圖示的功能框支持用于執(zhí)行指定功能的裝置的組合、用于執(zhí)行指定功能的步驟的組合、以及用于執(zhí)行指定功能的程序指令裝置的組合。還將理解,框圖和流程圖圖示中的每個(gè)功能框以及框圖和流程圖圖示中的功能框的組合可以由執(zhí)行指定功能或步驟的基于專用硬件的計(jì)算機(jī)系統(tǒng)或?qū)S糜布陀?jì)算機(jī)指令的適當(dāng)組合來實(shí)現(xiàn)。此外,處理流程及其描述的圖示可以參考用戶窗口、網(wǎng)頁、網(wǎng)站、web表單、提示等。實(shí)踐者將理解,本文描述的圖示的步驟可以包括以任何數(shù)量的配置,包括窗口、網(wǎng)頁、web表單、彈出窗和提示等的使用。還應(yīng)當(dāng)理解,示出的和描述的多個(gè)步驟可以被組合成單個(gè)網(wǎng)頁和/或窗口,但是為了簡(jiǎn)單起見已經(jīng)被擴(kuò)展。在其他情況下,示出和描述為單個(gè)處理步驟的步驟可以被分離成多個(gè)網(wǎng)頁和/或窗口,但是為了簡(jiǎn)單起見已經(jīng)被組合。術(shù)語“非暫時(shí)性”應(yīng)被理解為從權(quán)利要求范圍僅移除傳播的暫時(shí)信號(hào)本身,并且不放棄不僅傳播的暫時(shí)信號(hào)本身的所有標(biāo)準(zhǔn)計(jì)算機(jī)可讀介質(zhì)的權(quán)利。換句話說,術(shù)語“非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)”的含義應(yīng)當(dāng)被解釋為僅排除在inrenuijten中發(fā)現(xiàn)的那些類型的暫時(shí)性計(jì)算機(jī)可讀介質(zhì),以落在根據(jù)35u.s.c.§101的可授予專利的主題的范圍之外。本文已經(jīng)關(guān)于特定實(shí)施例描述了益處、其它優(yōu)點(diǎn)和問題的解決方案。然而,可以導(dǎo)致任何益處、優(yōu)點(diǎn)或解決方案發(fā)生或變得更加顯著的益處、優(yōu)點(diǎn)、問題的解決方案和任何元素不應(yīng)被解釋為本公開的關(guān)鍵的、必需的或必要的特征或元素。盡管本公開包括一種方法,但是可以設(shè)想的是它可以被實(shí)施為有形計(jì)算機(jī)可讀載體(諸如磁存儲(chǔ)器或光存儲(chǔ)器或磁盤或光盤)上的計(jì)算機(jī)程序指令。本領(lǐng)域普通技術(shù)人員已知的上面描述的示例性實(shí)施例的元件的所有結(jié)構(gòu)、化學(xué)和功能等同物通過引用明確地并入本文,并且旨在被包括在本權(quán)利要求中。此外,裝置或方法不需要解決由本公開尋求解決的每一個(gè)問題,這是因?yàn)樗粰?quán)利要求所包括。此外,無論元件、組件或方法步驟是否在權(quán)利要求中被明確地陳述,本公開中的元件、組件或方法步驟都不旨在被專用于公開。本文中的權(quán)利要求元素不應(yīng)根據(jù)35u.s.c.112、第六款的規(guī)定進(jìn)行解釋,除非使用短語“用于...的裝置”明確地陳述了該元素。如本文所使用的,術(shù)語“包括”、“包括了”或其任何其他變體旨在涵蓋非排他性包括,使得包括元素列表的過程、方法、物品或設(shè)備不僅僅包括那些元件,而是可以包括未明確列出的或這種過程、方法、物品或設(shè)備固有的其它元件。其中使用類似于“a、b或c中的至少一個(gè)”、“a、b和c中的至少一個(gè)”,“一個(gè)或多個(gè)a、b或c”或“a、b和c中的一個(gè)或多個(gè)”,旨在將該短語解釋為意味著a可以單獨(dú)在一個(gè)實(shí)施例中呈現(xiàn),b可以單獨(dú)在一個(gè)實(shí)施例中呈現(xiàn),c可以單獨(dú)在一個(gè)實(shí)施例中呈現(xiàn),或者元件a、b和c的任何組合可以在單個(gè)實(shí)施例中呈現(xiàn);例如a和b、a和c、b和c、或a和b和c。在不脫離本公開的范圍的情況下,可以對(duì)公開的實(shí)施例進(jìn)行改變和修改。這些和其他改變或修改旨在被包括在如所附權(quán)利要求中表達(dá)的本公開的范圍內(nèi)。當(dāng)前第1頁12
      當(dāng)前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1