[发明专利]用于SSL VPN免客户机访问的策略驱动的细粒度URL编码机制

说明书

相关申请

本申请要求2009年1月23日提交的美国非临时专利申请12/359101名称为“Policy Driven Fine Grain URL Encoding Mechanism for SSLVPN Clientless Access”的优先权，该申请要求2008年1月26日提交的美国临时申请61/023847的优先权，二者的内容通过引用全部包含于此。

技术领域

本申请总的涉及数据通信网络。更具体地，本申请涉及用于对于免客户机安全套接字层(SSL)虚拟专用网络(VPN)访问场景的细粒度配置和策略驱动的统一资源定位符(URL)编码方案的系统和方法。

背景技术

公司或者企业可以通过网络提供不同的服务来服务多个客户机。一些客户机期望请求访问专用网络上的资源。例如，用户可以从公用位置或者网络经由虚拟专用网络连接来访问企业的专用网络。用户可以访问期望保护的资源。提供者可以允许客户机访问资源但期望保护专用网络上资源的标识或者位置。例如，资源可以典型地通过统一资源定位符(URL)来识别。如果提供者提供了专用网络上的资源的URL，客户机或者用户可以尝试经由不安全装置或者直接从虚拟专用网络连接外部获取对该资源的访问。基于访问场景，提供者可以不期望直接提供专用网络上的URL给客户机。

发明内容

本申请通过允许提供者基于访问场景使用不同方案来编码URL并且选择编码方案用于不同客户机来提供对于这些问题的解决方案。在一些场景中，这样的保护可以包括遮掩或者改变资源的URL以使得客户机不能查看资源位置但允许客户机能够访问资源本身。在一些场景中，提供资源给客户机而不允许客户机查看资源的位置可以通过对客户机接收的URL进行重写、模糊化或者加密来实现。有时，提供者可以期望根据客户机的信用、关于客户机的安全程度或客户机的类型的多种方式来改变URL。

在一些方面，本申请涉及用于经由代理对于免客户机安全套接字层虚拟专用网络(SSL VPN)从多个编码方案中确定统一资源定位符(URL)的编码方案的方法和系统。中间设备或者设备可以从服务器接收包括URL的响应。来自服务器的响应可以经由SSL VPN会话并经由中间设备指向客户机。中间设备可以在客户机和服务器之间建立SSL VPN会话。中间设备可以响应于编码策略来从多个用于编码URL的编码方案中确定编码方案。中间设备还可以根据确定的编码方案来重写该URL以传输到客户机。

在一些实施例中，该策略是确定至少一个规则来触发关于所建立会话的至少一个动作的会话策略。在许多实施例中，编码方案去除URL的一部分。在许多实施例中，编码方案使用另一个URL的一部分来重写该URL的一部分。在许多实施例中，编码方案使用一个或多个加密密钥对URL的一部分进行加密。在多个实施例中，编码方案是透明的编码方案。在多个实施例中，编码方案是不透明的编码方案。在多个实施例中，编码方案使用可逆转换机制来转换URL。有时，编码方案是加密URL一部分的加密的编码方案。在许多实施例中，编码方案将URL重写为唯一的标识符，该唯一标识符唯一识别该URL。在多个实施例中，编码方案使得来自URL的有关服务器的目录结构的信息模糊化。

在一些实施例中，中间设备经由第二SSL VPN会话来接收从服务器到第二客户机的包括第二URL的第二响应。中间设备可以在第二客户机和服务器之间建立第二SSL VPN会话。该中间设备可以响应于编码策略来从多个用于编码URL的编码方案确定第二编码方案。中间设备还可以根据确定的第二编码方案来重写该第二URL以传输到第二客户机。在一些实施例中，该策略是确定至少一个规则来触发关于所建立的SSL VPN会话的至少一个动作的第二SSL VPN会话策略。

在一些方面中，本申请涉及用于经由代理对于免客户机安全套接字层虚拟专用网络(SSL VPN)从多个编码方案中确定统一资源定位符(URL)的编码方案的中间设备。在一些实施例中，中间设备还可以称为设备或者代理。中间设备可以包括用于经由SSL VPN会话接收包括从服务器到客户机的URL的响应的包引擎。中间设备可以在客户机和服务器之间建立SSL VPN会话。中间设备还可以包括响应于编码策略来从多个用于编码URL的编码方案中确定编码方案的策略引擎。中间设备还可以包括响应于策略引擎根据确定的编码方案来重写该URL以便传输到客户机的重写器。