[发明专利]将访问控制系统与业务管理系统相结合的系统和方法

说明书

技术领域

该技术大体上涉及网络通信安全，具体涉及通过外部访问管理技术执行动态访问策略的系统和方法。

背景技术

现有的计算机网络系统利用访问管理系统来控制对各种应用程序和文件的访问。这些系统包括各种组件，例如可存储策略信息的企业访问管理（EAM，Enterprise Access Management）系统。该政策信息描述由EAM系统保护的应用程序和文件的各种安全设置。该安全设置可包括被允许访问安全应用程序的各种用户的授权属性。EAM系统安全地维护并实施与已创建策略配置一致的每个用户的认证、授权、审计（AAA）程序，以确保仅为符合或具有适当的安全级别的用户提供安全域内许可的服务。

特别是，现有的计算机网络系统建立起来，这样来自用户的请求由安全网络中的应用服务器接收。该应用服务器可包含基于软件的访问管理服务器代理（EAM agent），该EAM代理可使应用服务器与EAM服务器直接通信，进而由EAM服务器执行AAA程序。在该配置的一个示例中，针对用户发送的每个访问请求，应用服务器的EAM代理将用户的信息传送到EAM服务器。EAM服务器进而对与用户试图访问的应用程序相关联的访问策略进行评估，并将评估结果返回应用服务器。根据接收到的来自EAM服务器的结果，应用服务器可允许或拒绝用户访问应用程序。

在通常的配置中，EAM系统和业务管理系统（traffic management system）是两种完全不同的系统且互不相关。由于负载均衡和业务处理参数，在安全网络域中包含几个应用服务器的计算机网络系统要求每个应用服务器具有EAM代理以使得应用服务器可有效地与EAM服务器通信。这很繁重且管理起来成本高，对互操作性和可扩展性提出挑战，且缺乏安全性。

所需的是网络业务管理设备，其被配置为实施EAM代理，该EAM代理可使网络业务管理设备在有效执行业务管理操作的同时，与EAM服务器通信以接收策略信息并具有AAA功能。

发明内容

在一个方面，一种用于处理来自客户端设备的对来自服务器的服务进行访问的请求的方法。该方法包括接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求。该请求由具有本地外部访问管理（EAM）代理的网络业务管理设备接收。EAM代理与提供至少能够部分地访问服务器的多个用户的认证策略信息的EAM服务器直接进行通信。用户凭据信息由EAM代理发送至EAM服务器，由此EAM代理接收来自EAM服务器的用户的访问策略信息，该访问策略信息包括授权和认证信息。该系统和方法根据在网络业务管理设备处接收到的访问策略信息，选择性地控制所述用户的请求对服务器的访问。

在一个方面，一种其上存储有指令的非临时性机器可读介质，该指令用于处理来自客户端设备的对来自服务器的服务进行访问的请求。所述机器可读介质包括机器可执行代码，在由至少一个机器执行时，所述代码可使所述机器接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求。使用所述机器可读介质，所述机器被配置为直接与EAM服务器进行通信，所述EAM服务器被配置为提供至少能够部分地访问该服务器的多个用户的认证策略信息。所述代码可使所述机器发送用户凭据信息至所述EAM服务器，并接收来自所述EAM服务器的用户的访问策略信息。所述代码可使所述机器根据接收到的访问策略信息，选择性地控制所述用户的用以接收所请求的资源的请求对所述服务器的访问。

在一个方面，一种用于处理来自客户端设备的对安全网络中的服务进行访问的请求的网络业务管理设备。所述网络业务管理设备包括：网络接口，其被配置为在一个或多个网络上接收并传送网络数据包；存储器，其存储一个或多个可编程指令；以及本地外部访问管理（EAM）代理，其被配置为直接与外部访问管理（EAM）服务器进行通信。所述网络业务管理设备包括：处理器，其被配置为执行所存储的可编程指令和所述EAM代理。在所述处理器执行可编程指令时，导致执行的动作包括：接收来自使用客户端设备的用户的对来自服务器的服务进行访问的请求；通过所述EAM代理发送用户凭据信息至所述EAM服务器。所述处理器能够在所述EAM代理处，接收来自所述EAM服务器的用户的访问策略信息；且根据接收到的访问策略信息，选择性地控制所述用户的用以接收所请求的资源的请求对所述服务器的访问。

附图说明

图1为根据本申请一个方面的包括网络业务管理器的示例系统环境的示意图；

图2为根据本申请一个方面在图1中示出的网络业务管理器的框图；