[发明专利]用于动态控制对网络的访问的方法和系统

说明书

相关专利申请

根据35U.S.C.§119，本专利申请要求2007年2月1日提交的标题为 “Dynamic Security Control”的第60/899,276号美国临时专利申请的优先 权，该申请的全部公开由此通过引入被完整地并入本文。

发明领域

本发明通常涉及用于企业广域网的安全方法和结构。更具体地说， 本发明涉及确定服务请求是否将被网络接受的动态安全的系统和方法。

背景

随着互联网的增长，公司已经努力采用使它们的计算网络安全而防 止未授权的用户的方法。公司已经将开发工作集中在它们的私有网络的安 全性上。为了使这些网络更加安全，很多公司采用防火墙、登录屏蔽、安 全令牌和其它对于本领域普通技术人员众所周知的方法，以试图只允许授 权的个人访问企业网络。虽然公共用户可能有权访问公司网络的一些部 分，但是公司网络的大量部分被限制于员工，并且在大多数情况下，员工 只能访问网络的特定部分。

随着时间的推移，用于使公司的网络更易经由互联网访问的技术已 经被开发出来。一个重要的开发领域是在通过使用虚拟专用网络的非现场 访问、无线访问和WiFi的领域中，仅举几例。这些技术使员工更容易实 质上从任何地方访问公司网络的资源。这样的访问已经考虑到增长的员工 生产力。此外，通常，在不对公众提供访问权的情况下，在公司之间共享 信息的能力已经提高了公司进行外包服务的能力，同时仍然使信息保持在 安全网络上。

然而，用于使访问公司网络变得更容易的技术具有几个缺点。增加 的易访问性的出现也已经使那些打算通过欺骗、捎带(piggy-backing)和 其它众所周知的对网络进行未授权访问的方法对网络进行破坏的人更容 易访问这些网络。此外，传统技术未提供方法来持续监控访问网络的设备 或一方以确定在访问网络的该设备或该方中是否出现改变，这使得对是否 继续允许设备访问网络进行再评估变得必要。因此，一旦人从一设备登录 并且被允许访问系统，那么访问权持续有效，直到该设备或该方选择退出 网络为止。因此，如果被给予访问权的一方在未退出的情况下离开了该设 备，那么任何其它人将有权继续访问该网络，而无论这个人是否应该被允 许访问。此外，传统技术不监控访问网络的设备或人的位置以基于位置判 断访问是否被允许。

因此，在本领域中，存在对一种产品或方法的需要，即，该产品或 方法通过基于对个人、设备特征和发出请求的位置确定服务请求是否将被 接受或拒绝，来允许企业广域网的动态安全性。本发明解决了本领域的这 些需要和其它需要。

发明内容

动态访问评估系统可接收来自于试图访问网络的设备的服务请求。 在一个示例性的实施方式中，该请求用于访问网络上提供的应用或服务。 该系统可接收关于进行请求的人(“请求者”)、进行请求的设备和/或请求者 和设备的位置的信息。进一步地，系统可对所被请求的应用或服务的一组 或多组规则进行分析以确定对请求者、设备和/或位置的验证是否是必要 的。该系统可访问授权数据库，以接收有权访问被请求的应用或服务的用 户的列表。此外，授权数据库可提供用户登录信息。该系统可将请求中接 收到的关于请求者的信息与授权数据库中关于请求者的信息进行比较，以 确定该信息是一样的还是相似的。系统也可接收关于进行请求的设备的信 息，并且将它与关于该设备的历史信息进行比较，以确定该设备是否是可 靠的，或者该设备是否已经被改变为允许它访问网络，或落在被请求的应 用或服务的规则之外。此外，作为请求的部分或除了请求以外，该系统可 接收设备和请求者的位置信息。设备和请求者的位置信息可被比较，以确 定它们是否是在一样的或相似的位置。此外，在允许访问网络之后，系统 可继续监控关于请求者、设备或位置的信息，并且可基于被监控的信息中 的违反了设备正在访问的服务或应用的规则的改变而终止该设备对网络 的访问。