用于动态控制对网络的访问的方法和系统的制作方法

专利名称：用于动态控制对网络的访问的方法和系统的制作方法
技术领域：
本发明通常涉及用于企业广域网的安全方法和结构。更具体地说， 本发明涉及确定服务请求是否将被网络接受的动态安全的系统和方法。
背景
随着互联网的增长，公司已经努力采用使它们的计算网络安全而防 止未授权的用户的方法">司已经将开发工作集中在它们的私有网络的安 全性上。为了使这些网络更加安全，很多公司采用防火墙、登录屏蔽、安 全令牌和其它对于本领域普通技术人员众所周知的方法，以试图只允许授 权的个人访问企业网络。虽然公共用户可能有权访问公司网络的一些部 分，但是^^司网络的大量部分被限制于员工，并且在大多数情况下，员工 只能访问网络的特定部分。
随着时间的推移，用于使公司的网络更易经由互联网访问的技术已 经被开发出来。 一个重要的开发领域是在通过使用虚拟专用网络的非现场 访问、无线访问和WiFi的领域中，仅举几例。这些技术使员工更容易实 质上从任何地方访问公司网络的资源。这样的访问已经考虑到增长的员工 生产力。此外，通常，在不对公众提供访问权的情况下，在公司之间共享 信息的能力已经提高了公司进行外包服务的能力，同时仍然使信息保持在安全网络上。
然而，用于使访问公司网络变得更容易的技术具有几个缺点。增加
的易访问性的出现也已经使那些打算通过欺骗、捎带(piggy-backing)和 其它众所周知的对网络进行未授权访问的方法对网络进行破坏的人更容 易访问这些网络。此外，传统技术未提供方法来持续监控访问网络的设备 或一方以确定在访问网络的该设备或该方中是否出现改变，这使得对是否 继续允许设备访问网络进行再评估变得必要。因此， 一旦人从一设备登录 并且被允许访问系统，那么访问权持续有效，直到该设备或该方选择退出 网络为止。因此，如果被给予访问权的一方在未退出的情况下离开了该设 备，那么任何其它人将有权继续访问该网络，而无论这个人是否应该被允 许访问。此外，传统技术不监控访问网络的设备或人的位置以基于位置判 断访问是否被允许。
因此，在本领域中，存在对一种产品或方法的需要，即，该产品或 方法通过基于对个人、设备特征和发出请求的位置确定服务请求是否将被 接受或拒绝，来允许企业广域网的动态安全性。本发明解决了本领域的这 些需要和其它需要。

发明内容
动态访问评估系统可接收来自于试图访问网络的设备的服务请求。 在一个示例性的实施方式中，该请求用于访问网络上提供的应用或服务。 该系统可接收关于进行请求的人("请求者")、进行请求的设备和/或请求者 和设备的位置的信息。进一步地，系统可对所被请求的应用或服务的一组 或多组规则进行分析以确定对请求者、设备和/或位置的验证是否是必要 的。该系统可访问^:权数据库，以接收有权访问被请求的应用或服务的用 户的列表。此外，授权数据库可提供用户登录信息。该系统可将请求中接 收到的关于请求者的信息与授权数据库中关于请求者的信息进行比较，以 确定该信息是一样的还是相似的。系统也可接收关于进行请求的"i殳备的信 息，并且将它与关于该设备的历史信息进行比较，以确定该设备是否是可 靠的，或者该设备是否已经被改变为允许它访问网络，或落在被请求的应用或服务的规则之外。此外，作为请求的部分或除了请求以夕卜，该系统可 接收设备和请求者的位置信息。设备和请求者的位置信息可被比较，以确 定它们是否是在一样的或相似的位置。此外，在允许访问网^^之后，系统 可继续监控关于请求者、设备或位置的信息，并且可基于被监控的信息中 的违反了设备正在访问的服务或应用的规则的改变而终止该设备对网络 的访问。
对于本发明的 一个方面，动态访问评估系统可接收来自 一设备处的 请求者对网络进行访问的请求。动态访问评估系统可接收请求者的验证信 息。在一个示例性的实施方式中，验证信息可被包含在访问请求中，或者 包含在对动态访问评估系统的分离传输中。动态访问评估系统可从授权数 据库中取回关于请求者的授权信息。授权信息可包括，但不局限于，关于 被允许访问网络或网络上的特定服务或应用的人的信息。动态访问评估系 统将验证信息与授权信息进行比较，以确定该请求者是否是可靠的。在一 个示例性的实施方式中，如果认证信息和授权信息是相同的或者实质上是 相似的，那么请求者是可靠的。然后，可基于验证信息与授权信息的比较 通过动态访问评估系统产生验证评分。策略引擎可使用该验证评分来确定 是否允许该设备访问网络。
对于本发明的另 一方面，动态访问评估系统可接收一设备对网络的 访问的请求。动态访问评估系统也可接收关于进行请求的设备的信息。在 一个示例性的实施方式中，关于设备的信息可被包含在访问网络的请求 中，或者为对动态访问评估系统的分离传输的一部分。动态访问评估系统 可将设备信息与历史设备信息进行比较。在一个示例性的实施方式中，历 史设备信息包括，但不局限于，计算机资产与这些资产中的每一个相关的
信息，其包括设备类型、设备序列号、每个设备的存储器分配和每个设 备的操作系统等级，动态访问评估系统可基于设备信息与历史设备信息的 比较确定设备是否是可靠的。然后，它可基于比较产生验证评分。然后， 可基于验证评分确定是否允许该设备访问网络。
对于本发明的又一个方面，动态访问评估系统可接收来自 一设备处 的请求者的对网络进行访问的请求。动态访问评估系统可进一步接收设备和请求者的位置。在一个示例性的实施方式中，设备和/或请求者的位置 可被包含在初始请求中，或者为对动态访问评估系统的分离传输的一部 分。在另一个示例性的实施方式中，请求者的位置可基于在场信源
(presence feed )、生物统计数据或独立于该设备进行的访问网络的请求的 其它设备来确定。动态访问评估系统可将设备的位置与请求者的位置进行 比较，以确定它们是否是一样的或者实质上是相似的。在一个示例性的实 施方式中，设备的位置可比请求者的位置一般，或者反之亦然。如果更具 体的位置处于更不具体位置的区域内，那么这些位置可被^人为实质上是相 似的。在可选的实施方式中，如果设备的位置位于请求者的位置的预定距 离内，包括但不局限于，50英尺、100英尺、500英尺、1000英尺、0.5 英里或1英里，那么该位置可被认为是实质上相似的。可基于对设备和请 求者的位置是一样的或实质上相似的判断来允许该设备访问网络。
对于本发明的又一个方面，评估系统可包括用于接收关于使用"i殳备 的请求者的信息并确定请求者的可靠性的第一逻辑组件。系统还可包括用 于接收关于进行访问网络的请求的设备的信息并确定该设备是否是可靠 的第二逻辑组件。此外，系统可包括用于接收关于设备的位置和请求者的 位置的信息并确定设备的位置和请求者的位置是否是相同或实质上相似 的第三逻辑组件，如上所述。
附图简迷
为了更完整地了解本发明和其中的优点，现在结合附图参考下面的 描述，其中


图1是示出了用于实现本发明的各个实施方式的示例性的操:作环境；
请求的人的身份的过程的流程请求的设备的身份的过程的流程图；以及
图4是示出了根据本发明的示例性的实施方式的用于验证进行服务请求的设备和人的位置的过程的流程图。发明描迷
本发明支持用于管理来自于代理的服务请求的动态安全性以确定服务请求是否将被接受到网络中的计算机实现的方法和系统。通过参考附图可更容易地理解本发明的示例性实施方式。尽管本发明的示例性的实施方式通常将在软件模块和硬件模块以及在网络上运行的操作系统的上下文中被描述，但是本领域技术人员将认识到，本发明也可结合其它类型计算机的其它程序模块来实现。此外，本领域技术人员将认识到，本发明可在独立的或者在分布式计算环境中实现。另外，本领域技术人员将认识到，本发明可在计算机硬件、计算机软件或计算机硬件与软件的组合中实现。
在分布式计算环境中，程序模块可物理地位于不同的本地存储设备或远程存储设备中。程序模块的执行可以按独立的方式在本地发生或者以客户/服务器的方式远程地发生。这种分布式计算环境的实例包括局域网、企业广域计算机网络和全球互联网。
下面的详细描述主要是根据通过传统计算组件进行的操作的过程和符号表示而表现的，这些组件包括处理单元、存储设备、显示设备和输入设备。这些过程和操作可利用分布式计算环境中的传统计算机组件。
由计算机执行的过程和操作包括通过处理单元或远程计算机操作信号并且^f吏这些信号保持在位于一个或多个本地或远程存储"i殳备中的数据结构中。这样的数据结构对储存在存储设备中的数据集合强加了物理机制并且表示具体的电子或磁性元件。符号表示是计算机编程和计算机结构领域中的技术人员使用来最有效地将教学和发现传递给本领域其它技术人员的工具。
本发明的示例性的实施方式包括体现本文描述的和图中示出的功能的计算机程序和/或计算机硬件。应该明显，可能存在以计算机编程实现
本发明的很多不同的方式，其包括但不局限于，专用集成电路("ASIC，，)和数据阵列；然而，本发明不应该被解释为被限制于任何一组计算机编程指令。此外，熟练的编程人员将能够写这样的计算机程序以基于附图和应用文档中的相关联的描述不费力地实现本发明的所公开的实施方式。因此，公开或一组特定的程序代码指令不被认为是对充分地理解如何产生和利用本发明所必要的。本计算机程序的创造性功能将在下面的描述中^^皮更详细地解释并且将结合剩余的图被^Hf 。
现在参考附图，其中，在几个图中相同的号码表示相同的元件，将描述用于实现本发明的方面和示例性的操作环境。图1是示出了根据本发明的示例性的实施方式的用于实现动态安全控制过程的示例性的系统级
结构100的方框图。现在参照图1，示例性的系统100包括是谁、是什么、哪里("W3")设备105、授权数据库115、配置管理数据库120、网络信息125、在场信源130、应用信息135、网络功能和基础结构145以及代理110。示例性的W3设备105包括是谁逻辑(who logic) 150、是什么逻辑(whatlogic) 155、在哪里逻辑(wherelogic) 160、策略引擎165以及网络功能和基础结构170。在一个示例性的实施方式中，W3i殳备105位于公司的内部数据中心与外部数据中心之间的网络的边缘上。在另 一个示例性的实施方式中， 一个或多个W3设备105可位于公司内的一个或多个企业数据中心的功能和基础结构145之间。
是谁逻辑150经由分布式计算机网络被通信地连接于授权数据库115和策略引擎165。在一个示例性的实施方式中，授权数据库115储存关于被允许访问网络上的特定服务的人的信息。授权数据库115的实例包括AAA服务器和RADIUS数据库。示例性的是谁逻辑150确定人是否一皮允许访问受保护的网络中的应用或服务。
图2表示用于确定人是否被允许访问网络的示例性过程，该示例性的过程是由图1的W3设备105的是谁逻辑150完成的。图2的示例性过程200是在开始步骤处开始的，并且前进至步骤205,其中，W3设备105接收访问应用或服务的请求("服务请求")。在一个示例性的实施方式中，请求是一XML信源(或者任何其它类型的已知传输信源)的一部分，其由策略引擎165经由互联网175接收到并被传递给是谁逻辑150。在可选的实施方式中，该请求是由是谁逻辑150经由互联网175从代理110处接收到的XML信源的一部分。在步骤210中，在代理IIO处对请求者的一或两因素验证是作为服务请求的一部分由是谁逻辑150接收的。在一个示例性的实施方式中，两因素验证包括安全标识如安全令牌和个人识别码("PIN");然而，其它认证方法如生物统计可被额外使用或者替代安全令牌或PIN来使用。
在步骤215中，是谁逻辑150将安全令牌或安全令牌和PIN与授权数据库115中的信息进行相互对照。在步骤220中，是谁逻辑150确定请求方是否有权访问所被请求的服务。在一个示例性的实施方式中，是谁逻辑150通过将安全令牌中的信息与授权数据库115中的信息进行比较，并基于是谁逻辑150中的一组规则确定信息是否是相同的或实质上相似的来做出判断。在一个示例性的实施方式中，所述一组规则包括查找列出了被允许使用服务的已知用户的用户数据库(未示出)。在步骤225中，由是谁逻辑150获得的信息被传输至策略引擎165，在那里，这些信息可被进一步分析。
在一个示例性的实施方式中，策略引擎165评估从是谁逻辑150接收到的信息和服务请求中的信息，并计算来自于是谁逻辑150的多少信息是可信的或来自于是谁逻辑150的多少信息需要被信任，作为策略引擎165对是否允许服务请求进行连接进行判断的一部分。例如，除了这个人处于建筑物中的刷卡证明和来自于手机的全球定位系统数据以及对位于银行金库中的安全电话线的声紋确认以外，策略引擎165的规则可能需要是谁逻辑150通过使用虹膜扫描仪或指紋进行特定请求生物统计确i人。此外，该规则可要求正在使用的设备必须没有病毒和恶意软件并且必须 一 直使用加密的硬盘驱动器。
当请求者被连接时，策略引擎165监控连接和信源并根据规则响应任何检测到的改变。使用上面的实施例，如果策略引擎165接收到请求者已经刷卡离开银行金库的信息或者请求者的身份已经改变的信息，这由是谁逻辑150所确定，则策略引擎165将终止请求者与系统之间的连接。该过程从步骤225继续至结束步骤。
是什么逻辑155经由分布式计算机网络被通信地连接于配置管理数据库120和策略引擎165。示例性的配置管理数据库120是由机构所拥有 或管理的所有计算机资产和与那些资产中的每一个相关的信息的储存库。 设备类型、设备序列号、给每个特定设备的存储分配和每个设备的操作系 统级别是可被包含在配置管理数据库120中的信息的实例。示例性的是什 么逻辑155确定服务请求所来自于的设备是否与储存在配置管理数据库 120中的设备特征相同或实质上相似。
图3表示用于确定提出服务请求的设备是否是可靠的并且因此被允 许访问网络的示例性的过程，这由图1的W3设备105中的是什么逻辑 155完成。图3的示例性过程300在开始步骤处开始并前进至步骤305, 其中，W3设备105接收访问应用或服务的请求。在一个示例性的实施方 式中，请求是一XML信源的一部分，其由策略引擎165经由互联网175 从代理IIO接收到并被传递至是什么逻辑155。在可选的实施方式中，请 求是由是什么逻辑155经由互联网175从代理110处接收到的一 XML信 源(或任何其它类型的已知传输信源)的一部分。在步骤310中，是什么逻 辑155从代理110接收关于正在进行请求的设备的信息。从代理110接收 到的信息可包括设备的指纟丈数据或对设备上的数据的算法散列。在一个示 例性的实施方式中，设备的指紋数据包括下述几项中的一个或多个序列 号、设备配置(包括安装的存储器、中心处理单元速度等)，设备的状态(包 括恶意软件或病毒是否被安装在设备上、硬盘驱动器是否被加密，以及 BIOS密码或PIN是否被用于设备上)。
在步骤315中，是什么逻辑155对从代理110接收到的关于设备的信 息与配置管理数据库120的信息进行交叉对照，以确定设备Mi各是否是一 样的或实质上是相似的。在步骤320中，是什么逻辑155做出对所谓正在 进行请求的设备的可靠性的判断。在步骤325中，由是什么逻辑155荻得 的信息可然后被传递给策略引擎165，在引擎165中，它可#1进一步分析。 例如，用户从一个人计算机进行服务请求。从配置管理数据库120获得的 信息表明进行请求的计算机具有500M的随机存取存储器，而来自代理 110的信息表明计算机具有1G的随机存取存储器。是什么逻辑155可基 于什么逻辑155中提出的规则确定访问是否应该被拒绝或者上述差别是否不会上升至有必要拒绝服务请求的严重程度，或者它可将该信息传递给
策略引擎165,以使策略引擎165可做出访问判断。过程继续从步骤325 前进至结束步骤。
在哪里逻辑160经由分布式计算机网络被通信地连接于网络信息 125、在场信源130和策略引擎165。在一个示例性的实施方式中，在哪 里逻辑160试图确定正在进行服务请求的设备的位置，并使用该位置信息 确定请求者是否有权访问被请求的服务。网络信息125提供这样的信息， 即，其允许在哪里逻辑160确认代理110是在无线电网络、专用网络中或 互联网175上的哪个地方。
在一个示例性的实施方式中，可经由无线电网络通过4吏用去往设备 或来自于设备的无线电信号以查明设备的位置来确定代理110的位置，类 似于在E911系统用于位置检测的方式。Wifi接入点提供了使用无线电信 号以确定设备的位置的另一个实施例。在另一个示例性的实施方式中，在 互联网175上来自于代理110的请求的位置可通过在哪里逻辑160接收请 求的句柄或IP地址来确定。在哪里逻辑160可将IP地址与将IP地址与 详细的全球位置信息相链接的传统数据库进行比较。对于正在专用网络中
址和它们在专用网络中的地址的内部数据库进行比较。
在场信源130试图使用数据以确定人物理上位于什么位置、人在特 定的时间正在干什么，和/或他们是否可用的。在场信源130可包括信息 流和与进行请求的人的位置有关的数据的数据库。在场信源130的一个实 例是建筑刷卡用卡，它可被用于跟踪卡的位置，并且在持卡人访问安全建 筑的不同区域时，推测地跟踪持卡人。在场信源130的另一个实例是设备 登录信息。当人被要求登录以访问设备并且设备的位置是已知的时，可假 定，正在登录到设备上的人正在设备处，直到他们退出设备为止。在场信 源130的额外实例包括调度日历和即时消息设备。本领域普通技术人员将 i人识到，负面在场信息，例如知道对人不在他的办公室或者目前不在国 内，可被用作在场信源130以确定进行请求的人的位置。
图4表示用于确定从代理IIO发起的对网络的请求的位置的示例性的过程400，这由图1的W3设备105中的在哪里逻辑160完成。示例性的 过程400从开始步骤开始，并且继续至步骤405，其中，策略引擎165经 由互联网175从代理IIO接收以XML信源的形式的服务请求，并将服务 请求中的信息传递给在哪里逻辑160。在可选的实施方式中，请求是由在 哪里逻辑160经由互联网175从代理110接收到的XML信源(或任何其 它类型的已知传输信源)的一部分。在步骤410中，能够4皮用于识别进行 请求的人的信息是根据服务请求被解析的。在一个示例性的实施方式中， 该信息是安全令牌。在另一个示例性的实施方式中，来自于是谁逻辑150 的能够识别进行请求的人的信息可直接地或通过策略引擎165被传递至 在哪里逻辑160。在步骤415中，IP地址或识别设备的其它信息是才艮据服 务请求被解析的。
在步骤420中，网络信息125基于IP地址或设备标识由在哪里逻辑 160接收，以确定发起服务请求的位置。在一个示例性的实施方式中，在 哪里逻辑160做出关于请求者和设备是否在相同的位置的判断。例如，全 球定位系统("GPS")将设备置于美国并且将该信息提供给在哪里逻辑 160。为了验证请求者的位置，被电连接于GPS的摄像头可被聚焦在请求 者的安全识别卡上，并通过在哪里逻辑160进行分析以-睑证设备和请求者 位于相同的位置。在另一个实施例中，GPS单元可包括指紋读出器。作 为传递给在哪里逻辑160的请求和信息的一部分，请求者可提供他的/她 的指紋以验证请求者与GPS单元和设备位于相同的位置。
在又一个示例性的实施方式中，请求者可经由固定于物理位置的电 话线(或者通过电话设备中的GPS，或电话线不是便携式的(即，陆地线)) 的事实来给在哪里逻辑160提供信息。来自于请求者的语音生物统计数据 由在哪里逻辑160接收，并且被分析以确认该请求者是被认为正在进行请 求的人，从而验证该设备和请求者位于相同的位置。在一个示例性的实施 方式中，关于请求者和设备位于相同的位置的验证导致当由策略引擎 165评估时关于信息可信度的更高评分。
在步骤425中，在哪里逻辑160接收被认为正在进行请求的人的在 场信源信息130。在步骤430中，在哪里逻辑160确定人的一个或多个可能的位置。在步骤435中，在哪里逻辑160将正在进行请求的人的位置与 由网络信息125提供的请求的发起位置进行比较。在步骤440中，在哪里 逻辑160使用 一组规则以确定两个位置是否相同或实质上相似，位置信息 是否是可信的，在场信源信息130是否是可信的，或者基于请求的类型位 置判断信息是否是重要的，并且做出请求是否应该被允许的初始确定。在 一个示例性的实施方式中，判断位置信息是否是可信，是基于将请求者置 于相同的位置的源(即，正在辆 使用的IP地址，请求者声称他所处的位 置、蜂窝电话塔信息、GPS等)的数量。源越多，评分越高。
在步骤445中，在哪里逻辑160输出网络认为服务请求从代理110 发出至策略引擎165的位置。策略逻辑165可使用来自于在哪里逻辑160 的位置信息，用于额外地处理服务请求。在一个示例性的实施方式中，由 在哪里逻辑160提供给策略逻辑165的信息被设置在XML信源中并且包 括位置评分和关于请求者和/或设备的位置的细节。由在哪里逻辑160接 收和分析的额外信息也可根据需要被传递给策略引擎165。过程从步骤 445前进至结束步骤。
策略引擎165经由分布式计算机网络被通信地连接于代理110、 W3 设备105中的是谁逻辑150、是什么逻辑155、在哪里逻辑160、应用信 息135、网络功能和基础结构170，以及功能和基础结构145。策略引擎 165获得服务请求背后的事实和信息，并确定W3设备105对那些事实应 该寸故是什么。策略引擎165包括基于可能的商业风险的一组规则，并且策 略引擎165使用这些规则以基于每组特定事实确定如何对服务请求做出 反应。例如，在目的是管理全球商业的电子商务环境中，策略引擎165 可能不评估来自于在哪里逻辑160的信息或者可能不请求在哪里逻辑160 管理评估。另一方面，例如，如果系统被设计为只给瑞士位置提供瑞士数 据，那么来自于在哪里逻辑160的评估和信息将在决定是否应该允许访问 瑞士数据时变得具有更大的重要性。
应用信息135是关于应用如何提供数据的信息的储存库。应用信息 135中的信息通常表示软件型资源、电子商务应用和位于设备上的应用。 策略引擎165访问应用信息135,以便决定在企业中对应用的访问或使用是否是合适的。应用信息135也可包括定义对特定应用的可访问性的规 则。例如，对于每个应用，应用信息135告知策略引擎165与特定应用可 连接的设备的类型。
策略引擎135可使用应用信息以及来自于是什么逻辑155的设备信 息以决定访问是否应该被拒绝，因为服务请求是由与应用不兼容的设备发 出的，或者决定访问是否应该被允许。此外，策略引擎165可访问网络功 能和基础结构170中的数据变换引擎184，以确定正在被服务请求所请求 的数据是否可被转换为可与进行服务"^青求的设备连接的对象。例如，来自 于个人数字助理("PDA，，)设备的服务请求可能请求通常打算呈现在个人 计算机监控器上的信息。策略引擎165可要求数据转换引擎184确定数据 是否可被转换为适合于显示在PDA上的类型。如果不能转换，那么策略 引擎165可拒绝服务请求，否则，它可使数据经由数据转换引擎184被转 换并且被传送至PDA。在另一个实施例中，数据转换引擎184可被用于 进行一些数据匿名，同时不对其它数据进行改变。例如，如果信息正在医 院建筑物外被请求，那么被并入数据中的社会安全号码可被转换为星号， 以使进行服务请求的代理110将不能确定社会安全号码。在一个示例性的 实施方式中，策略引擎165的输出是标准网络组件的配置。
此外，策略引擎165在感测到或4企测到是谁150、是什么155或哪里 160逻辑中的改变时具有动态地改变对应用或信息的访问的控制或权利 的能力。例如，如果是谁逻辑150正在接收面部识别或其它生物信息作为 对是否允许访问的分析的部分，当面部在提供面部识别数据的照相机前改 变时，策略引擎165可将正在根据社会安全号码显示的信息的数据转换变 为星号，或者策略引擎165可完全停止对数据或应用的访问。在另一个实 施例中，当是什么逻辑155继续监控当前正在接收对受保护的网络或环境 中的数据的访问的设备时，如果是什么逻辑155感测到或注意到设备中的 改变，例如一USB设备正在被插入，那么策略引擎165将接收来自于是 什么逻辑155的信息并且策略引擎165可阻止对该数据的进一步访问。在 又一个实施例中，如果一私人银行家在瑞士内时被允许访问瑞士数据，而 该银行家通过边界旅行到了德国，则位置的改变可被检测到(例如通过 24使用便携式手机或全球移动系统("GSM")通信网络上的全球定位系统数 据)，并且在哪里逻辑160或策略引擎165可停止对瑞士数据的访问。此 外，W3 105环境中的其它改变，例如还未被专门讨论的由是谁150、 是什么155或哪里160逻辑分析的信息的改变可具有对流出数据中心145 的数据流的配置和控制的即时和动态的影响。
代理IIO是经由分布式计算机网络例如互联网175被通信地连接至策 略引擎165的。示例性的代理110为正在对策略引擎165进行服务请求的 设备提供了机器状态和操作系统级信息。在可选的实施方式中，进行服务 等级请求的设备的机器状态和操作系统级信息可通过使用探测器替代策 略引擎165而被获得。网络功能和基础结构170被通信地连接至策略引擎 165。在一个示例性的环境中，网络功能和基础结构170包括传统的技术， 例如本领域普通技术人员众所周知的防火墙182、数据转换引擎184、 恶意软件防止设备186、网络优化引擎188和虛拟私人网络180、 190("VPN")。功能和基础结构140经由分布式计算机网络被通信地连接 于策略引擎165。功能和基础结构表示企业体系结构中的数据中心。
当需要确定请求者是否应该访问系统时，策略引擎165能够接收是 谁150、是什么155和在哪里165逻辑的任意组合。例如，瑞士银行家试 图通过远程访问解决方案访问个人信息，其中，策略引擎165的规则表明 连接和数据必须只在瑞士国家边界内被访问。是谁信息是由是谁逻辑150 通过使用被发给银行家的安全标识和3G SIM来确定的，银行家是与远程 访问端点的连接上的呼叫线标识被识别的。此外，通过在规律的持续进行 的基础上使用蜂窝三角测量，3G服务供应商给在哪里逻辑160提供了对 3G卡的位置进行定位的XML信源。是什么逻辑155接收使用中的设备 的标识信源信息，包括设备特征例如CPU的指紋。当设备被连接于网络 时，与是谁、是什么和在哪里有关的信息被构造并且通过逻辑組件150、 155和160中的每一个被发送到策略引擎165上，并且策略引擎165允许 访问网络。因为银行家在火车上，因此银行家和设备的位置总在变化。一 旦位置位于瑞士边界线外时，位置信息由在哪里逻辑160提供给策略引擎 165，策略引擎165关闭连接并且告知用户该连接已经被终止。上面的实施例也可被延伸至是谁逻辑150。设备上的摄像头提供了对 银行家的观察。面部识别软件由是谁逻辑150使用来以验证银行家的身 份。身份信息由是谁逻辑150提供给策略引擎165，只要银行家位于摄像 头前，它就保持了对网络的公开连接。 一旦银行家不在4聂像头的视野范围 内和/或另 一个人位于摄像头的视野范围内时，不能识别请求者的身份的 改变(当没有人在摄像头的视野范围内的情况下)从是谁逻辑150传递至策 略引擎165，策略引擎165关闭与网络的连接。在又一个实施例中，请求者可试图从医院网络访问患者信息。策略 引擎的规则或被请求的数据表明，例如，通过使用Wifi三角测量，除非 请求者位于医院建筑物内，否则使正在被发送的数据是匿名的，即使请求 者和设备是被验证过的。例如，如果在哪里逻辑160确定请求者和设备位 于医院中，那么位置信息被提供给策略引擎165,其给请求者提供了对患 者记录的访问并且包括患者的社会安全号码。然而， 一旦在哪里逻辑160 确定请求者或设备不再位于医院中，那么新的位置信息被提供给策略逻辑 165，策略逻辑165自动地将提供给请求者的信息变为匿名的，包括例如 对被请求的患者记录，用X取代患者的社会安全号码。虽然本发明可以进行各种修改和可选的实施方式，但是示例性的实 施方式是通过图中的实施例被示出的并且已经在本文中被描述。然而，应 该理解，本发明没有被规定为被限制到所公开的示例性的实施方式。更确 切地，目的是覆盖落在所描述的发明的精神和范围内的所有修改、等价和 替换形式。
权利要求
1.一种用于动态地评估请求者对计算机网络的访问的计算机实现方法，其包括以下步骤接收来自于在一设备处的请求者的对所述网络的访问的请求；接收对所述请求者的验证信息；接收对所述请求者的授权信息；将所述验证信息与所述授权信息进行比较以确定所述请求者是否是可靠的；基于所述验证信息与所述授权信息的比较结果产生验证评分；和基于所述验证评分确定网络访问。
2. 根据权利要求1所述的计算机实现方法，其进一步包括以下步骤允许所述请求者在所述设备处访问所述网络；在所述设备处给所述请求者提供对所述网络的访问；接收所迷请求者的额外验证信息；识别所述请求者的所述验证信息的改变，其中所述额外验证信息的至少一部分不同于所述验证信息；以及基于所迷改变确定是否在所述设备处终止所述请求者对所述网络的访问。
3. 根据权利要求1所述的计算机实现方法，其中所述验证信息包括两因素验证信息。
4. 4艮据权利要求3所述的计算机实现方法，其中所述两因素验证信息包括安全标识和个人识别码。
5. 根据权利要求1所述的计算机实现方法，其中所述验证信息包括所述请求者的生物统计数据。
6. 根据权利要求1所述的计算机实现方法，其中将所述验证信息与所述授权信息进行比较的所述步骤包括确定所述验证信息是否实质上相似于所述授权信息；以及基于所述验证信息与所述授权信息的相似性产生所述验证评分。
7. 根据权利要求l所述的计算机实现方法，其中将所述验证信息与所述授权信息进行比较的所述步骤包括基于所述验证信息确定所述请求者的身份；确定所述请求者在所述网络中请求的服务；以及通过将所述请求者的身份与被允许访问所述服务的用户的列表进行比较来确定所述请求者是否被授权访问在所述网络上的所述服务。
8. 根据权利要求7所述的计算机实现方法，其中所述服务包括所述网络上的应用。
9. 一种用于动态地评估设备对计算机网络的访问的计算机实现方法，其包括以下步骤接收来自于设备的对所述网络的访问的请求； 接收关于进行所述请求的所述设备的信息；将所述设备信息与历史设备信息进行比较；基于所述设备信息与所述历史设备信息的比较结果确定所述设备是否是可靠的；基于所述设备信息与所述历史设备信息的比较结果产生验证评分；以及基于所述验证评分确定是否允许所述设备进行网络访问。
10. 才艮据权利要求9所述的计算机实现方法，其中基于所述验证评分确定是否允许所述设备进行网络访问的所述步骤包栝评估所述验i正评分；评估所述设备信息与所述历史设备信息的比较结果的至少 一部分；以及基于所述验证评分和所述设备信息与所述历史设备信息的比较结果的所述一部分确定是否允许所述设备进行网络访问。
11. 根据权利要求9所述的计算机实现方法，其进一步包括以下步骤允许所述设备访问所述网络；给所述设备提供对所述网络的访问；当所述设备正在访问所述网络时，接收所述设备的额外设备信息；识别所述设^f言息中的改变，其中所述额外信息的至少一部分不同于所述设备信息；以及基于所述改变确定是否终止所述设备对所述网络的访问。
12. 根据权利要求9所述的计算机实现方法，其中关于所述设备的信息包括所述设备的指紋数据。
13. 根据权利要求9所述的计算机实现方法，其中确定所述设备是否是可靠的所述步骤包括以下步骤确定所述设备信息是否实质上相似于所述历史设备信息；以及基于所述设备信息与所述历史设备信息之间的相似性的量产生所述验证评分。
14. 根据权利要求9所述的计算机实现方法，其进一步包括以下步骤确定所述设备在所述网络中请求的服务；对关于所请求的服务的 一组规则进行评估，以确定所请求的服务是否需要对所述设备进行验证；以及如果确定所请求的服务不需要对所述设备进行验证，那么允许访问所述网络上的所述服务，而无需对所述验证评分进行评估。
15. 根据权利要求14所述的计算机实现方法，其进一步包括以下步骤如果确定所请求的服务需要验证，那么评估所述验证评分以确定是否允许网络访问。
16. 根据权利要求14所述的计算机实现方法，其中所述服务包括所述网络上的应用。
17. —种用于动态地评估设备对计算机网络的访问的计算机实现方法，其包括以下步骤接收来自于在一设备处的请求者的对所述网络的访问的请求；接收设备位置；接收请求者位置；将所述设备位置与所述请求者位置进行比较，以判断它们实质上是否是相似的；以及基于所述设备位置和所述请求者位置实质上是相似的肯定判断而允许在所述设备处访问所述网络。
18. 根据权利要求17所述的计算机实现方法，其进一步包括以下步骤确定所述设备在所述网络中请求的服务；对关于所请求的服务的一组规则进行评估，以确定对所述服务的访问是否需要确定所述设备位置或所述请求者位置；以及基于对所述服务的访问不需要所述设备位置或所述请求者位置的确定，允许访问所述网络上的所述服务，而不考虑比较所述设备位置与所述请求者位置。
19. 根据权利要求17所述的计算机实现方法，其进一步包括以下步骤确定所述设备在所述网络中请求的服务；对关于所请求的服务的 一组规则进行评估，以确定所述服务可被访问的位置；判断所述设备位置是否在允许访问所述服务的位置内；以及基于所述设备位置在允许访问所述服务的位置内的肯定判断而给所述设备提供对所述网络上的所述服务的访问。
20. 根据权利要求19所述的计算机实现方法，其进一步包括以下步骤当所述设备正在访问所述网络上的所迷服务时，接收额外的设备位置信息；基于所述设备位置与所述额外设备位置信息之间的差别来识别所述设备的位置的改变；基于所述额外设备位置信息来确定所述设备的位置是否位于允许访问所述服务的位置内；以及基于所述额外设备位置信息而确定是否终止对所述服务的访问。
21. 根据权利要求17所述的计算机实现方法，其进一步包括以下步骤确定所述设备在所述网络中请求的服务；对关于所请求的服务的一组规则进行评估以确定所述服务可被访问的位置；判断所述请求者位置是否在允许访问所述服务的位置内；以及基于所述请求者位置在允许访问所述服务的位置内的肯定判断给所述设备提供对所述网络上的所述服务的访问。
22. 根据权利要求21所述的计算机实现方法，其进一步包括以下步骤当所述设备正在访问所述网络上的所述服务时，接收额外的请求者位置信息；基于所述额外的设备位置信息识别所述请求者的位置的改变；基于所述额外的请求者位置信息来确定所述请求者的位置是否在允许访问所述月良务的位置内；以及基于所述额外的请求者位置信息来确定是否终止对所述服务的访问。
23. 根据权利要求17所述的计算机实现方法，其中所述请求者位置是根据在场信源确定的。
24. 根据权利要求17所述的计算机实现方法，其中所述设备位置是根据全球定位系统信号确定的。
25. 根据权利要求17所述的计算机实现方法，其中接收设备位置的所述步骤包括接受所述请求的互联网协议地址；评估所述互联网协议地址以确定所述互联网协议地址的位置；指定所述互联网协议地址的所述位置作为所述设备位置。
26. 根据权利要求17所述的计算机实现方法，其进一步包括以下步骤确定所述请求者的身份，该步骤包括以下步骤接收对所述请求者的验证信息；接受对所述请求者的授权信息；将所述驺3正信息与所述授权信息进行比较，以判断所述请求者是否是可靠的；以及基于所述i青求者是可靠的肯定判断来识别所述请求者。
27. 根据权利要求17所述的计算机实现方法，其中接收所述请求者位置的所述步骤包括以下步骤接收所述设备位置，其中所述设备包括摄像头；从所述摄像头处接收所述请求者的至少 一部分的视频信源；基于所述视频信源确定所述请求者的身份；以及将所述请求者的位置设置为与所述设备位置相同。
28. 根据权利要求17所述的计算机实现方法，其中接收所述请求者位置的所述步骤包4舌以下步骤接收所述设备位置；在所述设备处接收所述请求者的生物统计数据；评估所述生物统计数据以确定所述请求者的身份；以及将所述请求者的位置设置为等于所述设备位置。
29. 根据权利要求17所述的计算机实现方法，其进一步包括以下步骤基于所述设备和所述请求者的位置信息的相似性产生位置评分；以及基于所述位置评分确定是否允许所述设备进行网络访问。
30. 根据权利要求29所述的计算机实现方法，其中所述位置评分基于识别所述请求者与所述设备实质上处于相似位置的位置源供应商的数量的增加而提高。
31. —种用于动态地评估设备对计算机网络的访问的系统，其包括第一逻辑组件，其用于接收关于使用所述设备的请求者的信息并确定所述请求者的可靠性；第二逻辑组件，其用于4妄收关于请求访问所述网络的所述设备的信息并确定所述设备是否是可靠的；以及第三逻辑组件，其用于"^妄收关于所述设备位置和所述请求者位置的信息并确定所述设备的位置和所述请求者的位置是否实质上是相似的。
32. 根据权利要求31所述的系统，其进一步包括策略引擎，所述策略引擎用于接收所述第 一逻辑组件、第二逻辑组件和第三逻辑组件的判断结果并基于那些判断结果来确定是否允许所述设备访问所述网络。
33. 根据权利要求32所述的系统，其中所述策略引擎进一步接收关于所述设备位置和所述请求者位置的信息的至少一部分，以及，确定是否允许所述设备访问所述网络进一步包括:对关于所述设备位置和所述请求者位置的信息的所接收的部分进行评估。
34. 根据权利要求32所述的系统，其中当所述设备正在访问所述网络时，所述策略引擎接收来自于所述第一逻辑组件、所述第二逻辑组件和所述第三逻辑组件中的至少 一个的更新的信息，其中所述更新的信息由所 述策略引擎分析，来识别所述更新的信息与来自于所述第一逻辑组件、所 述第二逻辑组件和所述第三逻辑组件的信息之间的差别。
35. 根据权利要求34所述的系统，其进一步包括多个应用，所述应 用中的至少一部分包括访问规则，其中所述策略引擎对由所述设备请求的 应用的访问规则进行评估，并且如果所述更新的信息与来自于所述第一逻 辑组件、所述第二逻辑组件和所述第三逻辑组件的信息之间的差别违反了 所请求的应用的访问规则中的至少一个，那么终止所述设备与所述网络之 间的连接。
36. 根据权利要求31所述的系统，其进一步包括与所述第三逻辑组 件通信地连接的在场信源，其中所述在场信源包括关于所述请求者的位置 的信息。
37. 根据权利要求31所述的系统，其进一步包括与所述第一逻辑组 件通信地连接的授权数据库，其中所述授权数据库包括对所述网络上的多 个服务的用户许可信息。
38. 根据权利要求31所述的系统，其进一步包括与所述第二逻辑组 件通信地连接的设备资产储存库，其中所述储存库包括关于有权访问所述 网络的多个设备的信息。
39. 根据权利要求31所述的系统，其中所述第一逻辑组件、第二逻 辑组件和第三逻辑组件被包含在单个逻辑组件中。
40. —种用于动态地评估请求者对计算机网络的访问的计算机实现方 法，其包括以下步骤在第 一时期确定所述请求者的第 一-睑证信息；当所述请求者正在访问所述网络时，在第二时期确定所述请求者的第 二验证信息；将所述第 一验证信息与所述第二验证信息进行比较；识别所述请求者的所述第 一验证信息与所述第二验证信息之间的改变；以及基于所述改变，确定是否终止所述请求者在所述设备处对所述网络的 访问。
41. 根据权利要求40所述的计算机实现方法，其中确定是否终止所 述请求者在所述设备处对所述网络的访问是基于对所述第二验证信息的 评估。
42. 根据权利要求40所述的计算机实现方法，其进一步包括以下步骤基于所述第 一验证信息允许所述请求者在所述设备处访问所述网络。
43. —种用于动态地评估设备对计算机网络的访问的计算机实现方 法，其包括以下步骤在第 一 时期接收关于进行请求的所述设备的第 一组信息；当所述设备正在访问所述网络时，在第二时期接收关于所述设备的第 二组信息；将关于所述设备的第 一组信息与关于所述设备的第二组信息进行比较；识别所述第一组信息与所述第二组信息之间的改变；以及 基于所述改变确定是否终止所述设备对所述网络的访问。
44. 根据权利要求43所述的计算机实现方法，其中确定是否终止所 述设备对所述网络的访问是基于对关于所述设备的所述第二组信息的评 估。
45. 根据权利要求43所述的计算机实现方法，其进一步包括以下步骤基于所述设备的所述第 一组信息允许所述设备访问所述网络。
46. —种用于动态地评估设备对计算机网络的访问的计算机实现方 法，其包括以下步骤在第 一时期接收所述设备的第 一位置；当所迷设备正在访问所述网络时，在第二时期接收所述设备的第二位置；将所迷第一位置与所述第二位置进行比较； 识别所述第一位置与所述第二位置之间的改变；以及 基于所述改变确定是否终止所述设备对所述网络的访问。
47. 根据权利要求46所述的计算机执行方法，其中确定是否终止所 述设备对所述网络的访问是基于对所述设备的所述第二位置的评估。
48. 根据权利要求46所述的计算机实现方法，其进一步包括以下步骤基于所述设备的所述第 一位置允许所述设备访问所述网络。
49. 一种用于动态地评估在一设备处的请求者对计算机网络的访问的 计算机实现方法，其包括以下步骤在第一时期接收所述请求者的第 一位置；当所述设备正在访问所述网络时，在第二时期接收所述请求者的第二 位置；将所述请求者的所述第 一位置与所述第二位置进行比较；识别所述请求者的所述第一位置与所述第二位置之间的改变；以及基于所述改变确定是否终止对所述网络的访问。
50. 根据权利要求49所述的计算机实现方法，其中确定是否终止对 所述网络的访问的步骤是基于对所述请求者的所迷第二位置的评估。
51. 才艮据权利要求49所述的计算机实现方法，其进一步包括以下步骤基于所述请求者的所述第一位置允许所述请求者在所述设备处访问 所述网络。
52. —种用于动态地评估设备对计算机网络的访问的系统，其包括:第一逻辑组件，其用于接收关于使用所述设备的请求者的信息并确定所述请求者的可靠性；第二逻辑组件，其用于接收关于请求访问所述网络的所述设备的信息 并确定所述设备是否是可靠的；第三逻辑组件，其用于接收关于所述设备的位置和所述请求者的位置 的信息并确定所述设备位置和所述请求者位置是否实质上是相似的；策略引擎，其用于在第一时期接收来自所述第一逻辑组件、第二逻辑 组件和第三逻辑组件中的至少一个的信息并当所述设备正在访问所述网 络时在第二时期接收来自于所述第一逻辑组件、第二逻辑组件和第三逻辑 组件中的至少 一个的更新的信息，其中所述信息和所述更新的信息被比较问。
全文摘要
动态访问评估系统接收来自于试图访问网络的设备的服务请求。系统接收关于请求者、进行请求的设备的信息和/或请求者和设备的位置的信息。系统分析正在网络上被请求的应用的规则组以确定验证是否是必要的。系统基于授权信息与关于请求中接收到的请求者的信息的比较来验证请求者。系统通过将请求中的设备信息与历史设备信息进行比较来验证设备。此外，系统接收设备和请求者的位置信息并对它们进行比较以确定位置是否是相同的或相似的。在允许访问之后，系统继续监控关于请求者、设备或位置的信息，并且可基于被监控的信息中的改变终止设备访问。
文档编号G06F15/173GK101657807SQ200880011536
公开日2010年2月24日 申请日期2008年2月1日 优先权日2007年2月1日
发明者科林·康斯特布尔 申请人:瑞士信贷证券(美国)有限责任公司