[发明专利]提供用于访问控制的智能组的系统和方法

说明书

相关申请

本申请要求2010年7月21日提交的、名称为“SYSTEMS AND METHODS FOR PROVIDING A SMART GROUP”的美国专利申请序列号12/840632的优先权，该申请通过引用被全部包含于此。

技术领域

本申请总的涉及控制对与数据通信网络连接的资源的访问。本申请尤其涉及用于配置和应用用于做出访问控制决策的策略组的系统和方法。

背景技术

通信和数据网络的激增已经显著提高了资源对于大量用户的可用性，该资源例如是文件、应用以及服务。为了有效地管理和保护这些资源，可以实施各种系统来限制或控制对这些资源的访问。可将对某些网络及其资源的访问限制到对这些网络具有访问权限的用户上。例如，可能需要对请求访问资源的用户进行认证。在一些实施例中，可基于资源的可用性和/或其他因素将有限的资源分配给用户。随着资源类型、网络、保护方案和分配方法的增加，网络资源的管理也变得日益复杂。例如，传统系统可能包括诸如访问网关、防火墙以及认证、授权和审计（AAA）服务器的网络组件，来提供各种功能。

发明内容

本发明针对提供策略组用于控制对网络资源的访问的方法和系统。可将策略组配置为聚合与控制对网络资源的访问相关的一个或多个访问配置。可将策略组用于逻辑地管理一个或多个访问配置。策略组的访问配置可属于下列中一个或多个的任意组合：登录点（logon point）、资源的标识和该资源的可用权限、装置描述文件，以及组名。每个登录点可与至少一种认证方法和一种授权方法相关联。应用策略组的网络装置或访问网关可基于访问配置的评估来为所请求的资源授予特定的访问级别。客户机装置处的用户可尝试登录会话以访问资源。用户可经由登录点提供的统一资源定位符（URL）来访问登录接口。可认证用户并且可以评估用户的授权权限。基于认证和/或授权，可识别用户可应用的组名。系统可至少部分基于该组名识别一个或多个策略组。还可以根据与该策略组关联的装置描述文件来评估用户的客户机装置。基于所识别的组名、认证、授权和/或装置描述文件评估，所述策略组可准许用户对一个或多个资源的访问。

在一个方面，本发明涉及用于建立策略组以集合访问配置从而控制用户对所识别资源的访问的方法。该方法包括经由在多个客户机和一个或多个服务器的中间的装置上执行的策略管理器，建立策略组，该策略组表示一个或多个访问配置的集合，用于用户经由该装置访问一个或多个服务器的一个或多个所标识资源。策略组可包括用于表示访问一个或多个所标识资源的入口点的登录点组件。该方法可包括经由策略管理器将所述登录点组件配置用于为入口点指定统一资源定位符。该方法可包括经由策略管理器为登录点组件选择一个或多个认证方法。该方法可包括经由策略管理器，基于一个或多个认证方法为登录点组件识别一个或多个授权方法。

在一些实施例中，该方法包括建立策略组以使其具有装置描述文件组件与登录点组件。装置描述文件组件可识别要执行的一个或多个端点分析用于经由登录点组件的入口点访问。该方法可包括为策略组建立第二登录点组件并且将第二统一资源定位符（URL）配置为入口点。方法可以包括为登录点组件指定两个认证方法用于双重认证。策略管理器可基于一个或多个认证方法的选择来限制授权方法的选择。在一个实施例中，该方法可包括禁用登录点组件，其中策略组可变为不可用。

在一些实施例中，该方法包括为策略组指定一个或多个装置描述文件。该一个或多个装置描述文件的每一个可识别一种或多种类型的端点分析以在用户的装置上执行。该方法可包括为策略组指定一个或多个所识别资源的允许访问的一种资源。该方法可包括为策略组指定一个或多个所识别资源的拒绝访问的一种资源。该方法可包括为登录点组件指定一个或多个参数，该一个或多个参数优先于装置的相应参数。

在另一个方面，本发明涉及用于应用策略组来控制用户对所识别资源的访问的方法。在多个客户机和一个或多个服务器中间的装置可识别策略组。所述策略组可表示一个或多个访问配置的集合，用于用户经由所述装置访问一个或多个服务器的一个或多个所识别资源。策略组可包括用于表示访问一个或多个所识别资源的入口点的登录点组件。所述装置可接收用户访问统一资源定位符的请求，该统一资源定位符对应于由登录点组件指定的入口点。装置可发起由登录点组件指定的与用户的一个或多个认证方法。为访问所述一个或多个所识别资源，装置可基于一个或多个认证方法应用由登录点组件指定的一个或多个授权方法。