公开(公告)号：US09344432B2

公开(公告)日：2016-05-17

申请号：US12822724

申请日：2010-06-24

申请人： Yair Tor ,  Daniel Rose ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Moshe Sapir ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Anat Eyal

发明人： Yair Tor ,  Daniel Rose ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Moshe Sapir ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Anat Eyal

IPC分类号： H04L29/06 ,  G06F15/16 ,  G06F21/33 ,  G06F21/41

CPC分类号： H04L63/102 ,  G06F21/33 ,  G06F21/41 ,  H04L63/0807 ,  H04L63/0823 ,  H04L63/10 ,  H04L63/107 ,  H04L63/164

摘要： Embodiments of the invention provide techniques for basing access control decisions at the network layer at least in part on information provided in claims, which may describe attributes of a computer requesting access, one or more resources to which access is requested, the user, the circumstances surrounding the requested access, and/or other information. The information may be evaluated based on one or more access control policies, which may be pre-set or dynamically generated, and used in making a decision whether to grant or deny the computer access to the specified resource(s).

摘要翻译： 本发明的实施例提供了至少部分地基于在权利要求中提供的信息来在网络层基础访问控制决策的技术，其可以描述请求访问的计算机的属性，请求访问的一个或多个资源，用户，情况 围绕所请求的访问，和/或其他信息。 可以基于可以被预先设置或动态生成的一个或多个访问控制策略来评估信息，并且用于做出是否授予或拒绝计算机对指定资源的访问的决定。

公开(公告)号：US08918856B2

公开(公告)日：2014-12-23

申请号：US12822745

申请日：2010-06-24

申请人： Yair Tor ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Daniel Rose

发明人： Yair Tor ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Daniel Rose

IPC分类号： G06F21/00 ,  H04L29/06

CPC分类号： H04L63/102 ,  H04L63/164

摘要： Embodiments of the invention provide a trusted intermediary for use in a system in which access control decisions may be based at least in part on information provided in claims. The intermediary may request claims on behalf of a network resource to which access is requested, and submit the claims for a decision whether to grant or deny access. The decision may be based at least in part on one or more access control policies, which may be pre-set or dynamically generated. Because the intermediary requests the claims and submits the claims for an access control decision, the network resource (e.g., a server application) need not be configured to process claims information.

摘要翻译： 本发明的实施例提供了一种在系统中使用的可信中介，其中访问控制决定可以至少部分地基于权利要求中提供的信息。 中介人可以代表要求访问的网络资源请求索赔，并提交索赔以作决定是否授予或拒绝访问。 该决定可以至少部分地基于可以被预先设置或动态生成的一个或多个访问控制策略。 因为中介请求权并提交用于访问控制决定的权利要求，所以不需要将网络资源（例如，服务器应用）配置为处理权利要求信息。

公开(公告)号：US20110321152A1

公开(公告)日：2011-12-29

申请号：US12822745

申请日：2010-06-24

申请人： Yair Tor ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Daniel Rose

发明人： Yair Tor ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Daniel Rose

IPC分类号： G06F21/20 ,  G06F15/16

CPC分类号： H04L63/102 ,  H04L63/164

摘要： Embodiments of the invention provide a trusted intermediary for use in a system in which access control decisions may be based at least in part on information provided in claims. The intermediary may request claims on behalf of a network resource to which access is requested, and submit the claims for a decision whether to grant or deny access. The decision may be based at least in part on one or more access control policies, which may be pre-set or dynamically generated. Because the intermediary requests the claims and submits the claims for an access control decision, the network resource (e.g., a server application) need not be configured to process claims information.

摘要翻译： 本发明的实施例提供了一种在系统中使用的可信中介，其中访问控制决定可以至少部分地基于权利要求中提供的信息。 中介人可以代表要求访问的网络资源请求索赔，并提交索赔以作决定是否授予或拒绝访问。 该决定可以至少部分地基于可以被预先设置或动态生成的一个或多个访问控制策略。 因为中介请求权并提交用于访问控制决定的权利要求，所以不需要将网络资源（例如，服务器应用）配置为处理权利要求信息。

公开(公告)号：US20110321130A1

公开(公告)日：2011-12-29

申请号：US12822724

申请日：2010-06-24

申请人： Yair Tor ,  Daniel Rose ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Moshe Sapir ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Anat Eyal

发明人： Yair Tor ,  Daniel Rose ,  Eugene (John) Neystadt ,  Patrik Schnell ,  Moshe Sapir ,  Oleg Ananiev ,  Arthur Zavalkovsky ,  Anat Eyal

IPC分类号： G06F21/20

CPC分类号： H04L63/102 ,  G06F21/33 ,  G06F21/41 ,  H04L63/0807 ,  H04L63/0823 ,  H04L63/10 ,  H04L63/107 ,  H04L63/164

摘要： Embodiments of the invention provide techniques for basing access control decisions at the network layer at least in part on information provided in claims, which may describe attributes of a computer requesting access, one or more resources to which access is requested, the user, the circumstances surrounding the requested access, and/or other information. The information may be evaluated based on one or more access control policies, which may be pre-set or dynamically generated, and used in making a decision whether to grant or deny the computer access to the specified resource(s).

摘要翻译： 本发明的实施例提供了至少部分地基于在权利要求中提供的信息来在网络层基础访问控制决策的技术，其可以描述请求访问的计算机的属性，请求访问的一个或多个资源，用户，情况 围绕所请求的访问，和/或其他信息。 可以基于可以被预先设置或动态生成的一个或多个访问控制策略来评估信息，并且用于做出是否授予或拒绝计算机对指定资源的访问的决定。

公开(公告)号：US20110307947A1

公开(公告)日：2011-12-15

申请号：US12815215

申请日：2010-06-14

申请人： Asaf Kariv ,  Oleg Ananiev ,  Eli Tovbeyn ,  Daniel Kershaw ,  Eugene (John) Neystadt

发明人： Asaf Kariv ,  Oleg Ananiev ,  Eli Tovbeyn ,  Daniel Kershaw ,  Eugene (John) Neystadt

IPC分类号： G06F7/04

CPC分类号： H04L63/08 ,  H04L63/102 ,  H04L2463/082

摘要： Systems, methods and apparatus for accessing at least one resource hosted by at least one server of a cloud service provider. In some embodiments, a client computer sends authentication information associated with a user of the client computer and a statement of health regarding the client computer to an access control gateway deployed in an enterprise's managed network. The access control gateway authenticates the user and determines whether the user is authorized to access the at least one resource hosted in the cloud. If the user authentication and authorization succeeds, the access control gateway requests a security token from a security token service trusted by an access control component in the cloud and forwards the security token to the client computer. The client computer sends the security token to the access component in the cloud to access the at least one resource from the at least one server.

摘要翻译： 用于访问由云服务提供商的至少一个服务器托管的至少一个资源的系统，方法和装置。 在一些实施例中，客户端计算机将与客户端计算机的用户相关联的认证信息和关于客户端计算机的健康声明发送到部署在企业的受管网络中的接入控制网关。 访问控制网关对用户进行认证，并确定用户是否被授权访问云中托管的至少一个资源。 如果用户认证和授权成功，则访问控制网关从云中的访问控制组件信任的安全令牌服务请求安全令牌，并将安全令牌转发给客户端计算机。 客户端计算机将安全令牌发送到云中的访问组件以从至少一个服务器访问该至少一个资源。

公开(公告)号：US08997196B2

公开(公告)日：2015-03-31

申请号：US12815215

申请日：2010-06-14

申请人： Asaf Kariv ,  Oleg Ananiev ,  Eli Tovbeyn ,  Daniel Kershaw ,  Eugene (John) Neystadt

发明人： Asaf Kariv ,  Oleg Ananiev ,  Eli Tovbeyn ,  Daniel Kershaw ,  Eugene (John) Neystadt

IPC分类号： G06F7/04 ,  H04L29/06

CPC分类号： H04L63/08 ,  H04L63/102 ,  H04L2463/082

摘要： Systems, methods and apparatus for accessing at least one resource hosted by at least one server of a cloud service provider. In some embodiments, a client computer sends authentication information associated with a user of the client computer and a statement of health regarding the client computer to an access control gateway deployed in an enterprise's managed network. The access control gateway authenticates the user and determines whether the user is authorized to access the at least one resource hosted in the cloud. If the user authentication and authorization succeeds, the access control gateway requests a security token from a security token service trusted by an access control component in the cloud and forwards the security token to the client computer. The client computer sends the security token to the access component in the cloud to access the at least one resource from the at least one server.

摘要翻译： 用于访问由云服务提供商的至少一个服务器托管的至少一个资源的系统，方法和装置。 在一些实施例中，客户端计算机将与客户端计算机的用户相关联的认证信息和关于客户端计算机的健康声明发送到部署在企业的受管网络中的接入控制网关。 访问控制网关对用户进行认证，并确定用户是否被授权访问云中托管的至少一个资源。 如果用户认证和授权成功，则访问控制网关从云中的访问控制组件信任的安全令牌服务请求安全令牌，并将安全令牌转发给客户端计算机。 客户端计算机将安全令牌发送到云中的访问组件以从至少一个服务器访问该至少一个资源。

公开(公告)号：US20110138442A1

公开(公告)日：2011-06-09

申请号：US12727267

申请日：2010-03-19

申请人： Anders B. Vinberg ,  John Neystadt ,  Yair Tor ,  Oleg Ananiev

发明人： Anders B. Vinberg ,  John Neystadt ,  Yair Tor ,  Oleg Ananiev

IPC分类号： G06F21/00

CPC分类号： G06F21/53 ,  H04L63/20

摘要： Architecture that provides additional data that can be obtained and employed in security models in order to provide security to services over the service lifecycle. The architecture automatically propagates security classifications throughout the lifecycle of the service, which can include initial deployment, expansion, moving servers, monitoring, and reporting, for example, and further include classification propagation from the workload (computer), classification propagation in the model, classification propagation according to the lineage of the storage location (e.g., virtual hard drive), status propagation in the model and classification based on data stored in the machine.

摘要翻译： 提供可在安全模型中获取和使用的附加数据的架构，以便在服务生命周期中为服务提供安全性。 该架构在服务的整个生命周期中自动传播安全性分类，其可以包括初始部署，扩展，移动服务器，监视和报告，并且进一步包括来自工作负载（计算机）的分类传播，模型中的分类传播， 根据存储位置（例如，虚拟硬盘驱动器）的沿袭分类传播，模型中的状态传播和基于存储在机器中的数据的分类。

公开(公告)号：US08799985B2

公开(公告)日：2014-08-05

申请号：US12727267

申请日：2010-03-19

申请人： Anders B. Vinberg ,  John Neystadt ,  Yair Tor ,  Oleg Ananiev

发明人： Anders B. Vinberg ,  John Neystadt ,  Yair Tor ,  Oleg Ananiev

IPC分类号： H04L29/06 ,  G06F21/53

CPC分类号： G06F21/53 ,  H04L63/20

摘要： Architecture that provides additional data that can be obtained and employed in security models in order to provide security to services over the service lifecycle. The architecture automatically propagates security classifications throughout the lifecycle of the service, which can include initial deployment, expansion, moving servers, monitoring, and reporting, for example, and further include classification propagation from the workload (computer), classification propagation in the model, classification propagation according to the lineage of the storage location (e.g., virtual hard drive), status propagation in the model and classification based on data stored in the machine.

摘要翻译： 提供可在安全模型中获取和使用的附加数据的架构，以便在服务生命周期中为服务提供安全性。 该架构在服务的整个生命周期中自动传播安全性分类，其可以包括初始部署，扩展，移动服务器，监视和报告，并且还包括来自工作负载（计算机）的分类传播，模型中的分类传播， 根据存储位置（例如，虚拟硬盘驱动器）的沿袭分类传播，模型中的状态传播和基于存储在机器中的数据的分类。

公开(公告)号：US08296178B2

公开(公告)日：2012-10-23

申请号：US12192113

申请日：2008-08-14

申请人： Efim Hudis ,  Yigal Edery ,  Oleg Ananiev ,  John Wohlfert ,  Nir Nice

发明人： Efim Hudis ,  Yigal Edery ,  Oleg Ananiev ,  John Wohlfert ,  Nir Nice

IPC分类号： G05B19/418

CPC分类号： G06F21/56 ,  G06F17/30867 ,  G06F21/55 ,  G06F21/629 ,  G06F2221/2115 ,  G06F2221/2141 ,  G06F2221/2149 ,  G06F2221/2151 ,  G06Q30/0204 ,  G06Q30/0215 ,  H04L63/0281 ,  H04L63/14 ,  H04L63/20

摘要： Secure content management is enabled as a cloud-based service through which security protection and policy enforcement may be implemented for both on-premise network users and roaming users. The global SCM service integrates the security functionalities—such as anti-virus, spyware, and phishing protection, firewall, intrusion detection, centralized management, and the like—that are typically provided by enterprise network SCM appliance hardware or servers into a cloud-based service that users reach via Internet-based points-of-presence (“POPs”). The POPs are configured with forward proxy servers, and in some implementations, caching and network acceleration components, and coupled to hubs which provide configuration management and identity management services such as active directory services.

摘要翻译： 启用安全内容管理作为基于云的服务，通过该服务可以为内部部署的网络用户和漫游用户实施安全保护和策略强制。 全球SCM服务将通常由企业网络SCM设备硬件或服务器提供的安全功能（如防病毒，间谍软件和网络钓鱼保护，防火墙，入侵检测，集中管理等）集成到基于云的 用户通过基于互联网的在线点（POPs）达成的服务。 POPs配置有转发代理服务器，在某些实现中，缓存和网络加速组件，并耦合到提供配置管理和身份管理服务（如主动目录服务）的集线器。

公开(公告)号：US20090178131A1

公开(公告)日：2009-07-09

申请号：US12164078

申请日：2008-06-29

申请人： Efim Hudis ,  Yigal Edery ,  Oleg Ananiev ,  Nir Nice ,  John F. Wohlfert

发明人： Efim Hudis ,  Yigal Edery ,  Oleg Ananiev ,  Nir Nice ,  John F. Wohlfert

IPC分类号： G06F21/00

CPC分类号： G06F21/56 ,  G06F16/9535 ,  G06F21/55 ,  G06F21/629 ,  G06F2221/2115 ,  G06F2221/2141 ,  G06F2221/2149 ,  G06F2221/2151 ,  G06Q30/0204 ,  G06Q30/0215 ,  H04L63/0281 ,  H04L63/14 ,  H04L63/20

摘要： Secure content management is enabled as a cloud-based service through which security protection and policy enforcement may be implemented for both on-premise network users and roaming users. The global SCM service integrates the security functionalities—such as anti-virus, spyware and phishing protection, firewall, intrusion detection, centralized management, and the like—that are typically provided by enterprise network SCM appliance hardware or servers into a cloud-based service that users reach via Internet-based points-of-presence (“POPs”). The POPs are configured with forward proxy servers, and in some implementations, caching and network acceleration components, and coupled to hubs which provide configuration management and identity management services such as active directory services.

摘要翻译： 启用安全内容管理作为基于云的服务，通过该服务可以为内部部署的网络用户和漫游用户实施安全保护和策略强制。 全球SCM服务将通常由企业网络SCM设备硬件或服务器提供的安全功能（如防病毒，间谍软件和网络钓鱼保护，防火墙，入侵检测，集中管理等）集成到基于云的服务中 用户通过基于互联网的在线点（“POPs”）进行访问。 POP被配置有转发代理服务器，并且在一些实现中，缓存和网络加速组件，并且耦合到提供诸如主动目录服务的配置管理和身份管理服务的集线器。