[发明专利]用于专用网络的基于电子集合的两级访问控制方法和装置

权利要求书

1.一种提供对专用网络资源的访问的方法，其特征在于，包括：

防火墙接收来自电子集合服务的指示，所述指示表明客户端应用已通过第一组认证和授权过程，所述客户端应用通过所述防火墙以通信方式耦合到所述专用网络资源；

所述防火墙从所述客户端应用接收访问所述专用网络资源的请求；

所述防火墙开放入口点，该入口点使得对所述客户端应用进行第二组认证和授权过程，所述第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示，所述指示表明所述客户端应用已通过所述第一组认证和授权过程；以及

所述防火墙至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源；

其中，所述客户端连接所述电子集合服务所需的信息不能从防火墙中发现，并且连接防火墙所需的信息不能从所述电子集合服务中发现。

2.根据权利要求1所述的方法，其特征在于，使能所述客户端应用访问所述专用网络资源包括至少部分基于确定所述客户端应用已在预定的时间范围内通过所述第一组认证和授权过程以及所述第二组认证和授权过程来使能所述客户端应用访问所述专用网络资源。

3.根据权利要求1所述的方法，其特征在于，使能所述客户端应用访问所述专用网络资源包括使能所述客户端应用在有限的时间内访问所述专用网络资源。

4.根据权利要求1所述的方法，其特征在于，使能所述客户端应用访问所述专用网络资源包括在与所述专用网络相关联的防火墙中创建动态入口点。

5.根据权利要求4所述的方法，其特征在于，创建动态入口点包括在网络地址转换模块中改变与所述专用网络资源相关联的公共地址。

6.根据权利要求1所述的方法，其特征在于，所述第一组认证和授权过程包括所述电子集合服务对所述客户端应用进行认证和授权，以及所述第二组认证和授权过程包括所述专用网络对所述客户端应用进行认证和授权。

7.一种提供对专用网络资源的访问的防火墙装置，其特征在于，包括：

接口，用于接收来自电子集合服务的指示，所述指示表明客户端应用已通过第一组认证和授权过程，所述客户端应用通过所述防火墙装置以通信方式耦合到所述专用网络资源；以及

处理器，用于从所述客户端应用接收访问所述专用网络资源的请求，开放入口点，该入口点使得对所述客户端应用进行第二组认证和授权过程，所述第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示，所述指示表明所述客户端应用已通过所述第一组认证和授权过程，并至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源，其中，所述客户端连接所述电子集合服务所需的信息不能从防火墙装置中发现，并且连接防火墙装置所需的信息不能从所述电子集合服务中发现。

8.根据权利要求7所述的装置，其特征在于，进一步包括存储介质，用于存储所述专用网络资源和其它专用网络资源的认证和授权信息。

9.根据权利要求7所述的装置，其特征在于，进一步包括防火墙，用于至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程动态地开放入口点，以使能所述客户端应用访问所述专用网络资源的。

10.根据权利要求9所述的装置，其特征在于，所述防火墙包括网络地址转换模块，用于改变与所述专用网络资源相关联的公共地址。

11.根据权利要求9所述的装置，其特征在于，所述防火墙用于在有限的时间内动态地开放所述入口点。

12.根据权利要求7所述的装置，其特征在于，所述处理器用于至少部分基于确定所述客户端应用已在预定的时间范围内通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源。