[发明专利]对基于云的应用的安全访问控制

说明书

背景技术

近年来，越来越多的提供商提供在云中创建计算环境的能力。例如，Amazon Web Services^TM(也称为AWS)于2006年推出了一项服务，其为用户提供了配置针对通过云计算平台执行的应用而被定制的整个环境的能力。通常，这样的服务允许开发可扩展的应用，其中使用计算资源来支持应用的有效执行。

开发、提供或以其他方式维护基于云的应用的组织和行业已经习惯于依赖于这些服务并且实现各种类型的环境，从复杂的网站到被提供作为软件即服务(SaaS)交付模型的应用和服务。这些服务和应用统称为“基于云的应用”。

基于云的应用通常由用户经由web浏览器使用客户端设备来访问。基于云的应用包括电子商务应用、社交媒体应用、企业应用、游戏应用、媒体共享应用、存储应用、软件开发应用等。很多个体用户、行业和企业都转向基于云的应用，代替本地安装和管理的“传统”软件应用。例如，企业可以使用用于电子邮件帐户的365在线服务，而不是具有由企业维护的Server。

随着对基于云的应用的更多依赖，从web浏览器对这样的应用的访问必须是完全安全的。例如，对于在基于云的平台中执行的电子商务应用，必须防止任何未经授权的访问和/或数据泄露。

云计算平台的提供商提供主要被设计为保护其基础设施免受网络攻击(例如，DoS、DDoS等)的各种安全能力。然而，云计算平台并没有被设计为检测对被托管在其中的基于云的应用的任何未经授权的和/或不安全的访问。

大多数(如果不是全部)基于云的应用实现通常限于用户名和密码(也称为登录信息)的本地访问控制。更高级的解决方案将需要使用例如软件证书和/或两步认证的另一层认证。然而，当前可用的认证解决方案对于用户的设备是不可知的。

也就是说，用户可以从任何客户端设备进行认证，这些客户端设备使用相同的凭证并且具有对基于云的应用的功能相同的信任级别和权限，而不管客户端设备是否被利用来访问应用。例如，用户可以使用相同的登录信息从他/她的工作计算机以及从他/她的家用计算机访问Office 365电子邮件帐户。

由于不是所有的客户端设备都配置有相同的安全级别，因此用于获取对基于云的应用的访问的现有解决方案施加了重大的漏洞。参考上述示例，工作计算机可以是完全安全的，而家用计算机可能尚未安装有反恶意软件的软件。因此，从家用计算机对敏感文档(例如，电子邮件)的任何访问可能通过可能存在于家用计算机中的恶意代码而被下载和分发。

总而言之，传统的认证解决方案不提供基于客户端设备的安全措施的任何应用访问控制。具体地，传统的认证解决方案不能区分尝试访问基于云的应用的受管理客户端设备和不受管理客户端设备。受管理设备通常由组织的IT人员保护，而不受管理客户端设备不是。参考以上示例，工作计算机是受管理设备，而家用计算机是不受管理设备。

因此，有利的是，提供一种通过向基于云的应用提供安全访问控制来克服上述缺陷的解决方案。

发明内容

提供本发明内容以便以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在标识要求保护的实施例的关键特征或必要特征，也不旨在用于限制各种要求保护的实施例的范围。此外，本发明内容的唯一目的是以简化的形式呈现一个或多个实施例的一些概念，作为稍后呈现的更详细描述的序言。为了方便起见，本文中可以使用术语“一些实施例”或“各种实施例”来指代本公开的单个实施例或多个实施例。

本文中公开的一些实施例包括一种用于保护对基于云的应用的访问的方法。该方法包括接收认证令牌，其中认证令牌包括请求对基于云的应用的访问的客户端设备的用户的身份；从在客户端设备中执行的代理接收客户端证书；从合规性服务器检索客户端设备的设备情形，其中设备情形关于所接收的客户端证书被检索；标识用于客户端设备访问基于云的应用的访问策略，其中访问策略至少基于所检索的设备情形被标识；并且部分基于客户端设备关于所标识的访问策略的合规性来确定是否要授予对基于云的应用的访问。