專利名稱:動態(tài)網絡中的安全鏈路管理的制作方法
技術領域:
本發(fā)明一般涉及推進動態(tài)網絡和計算環(huán)境中的視頻/音頻和數據鏈路�,更確切地說,涉及建立并管理此類環(huán)境中帶有加密和安全功能的鏈路��。
背景技術:
基于網絡的電子商務的顯著增長導致大量全新應用����,包括空間租賃、操作和管理遠程鏈路和網絡�����。此類應用允許用戶在利用安全鏈路進行商業(yè)交易或跟蹤感興趣的信息時彼此交互���。
用于安全訪問計算資源的安全鏈路或連接通常包括以下三種考慮中的一種或多種考慮—認證�、授權和計費(AAA)�。因此���,術語安全包括為防止無意識的收件人或第三方進行竊聽而認證當事人和/或加密信息的能力����。安全網絡是安全鏈路上的通信構成的����。然而�,可以理解��,可以使用各種各樣的認證和加密級別����,并且均在本發(fā)明的范圍內。缺少認證的明文通信是不安全通信����,盡管在確定通信是否安全時環(huán)境決定需要使用的閾值。
在商業(yè)環(huán)境中�����,重要的是認證用戶�����,然后授權經過認證的用戶訪問資源�����,并在使用此類資源時進行計費���。利用移動計算特別是無線鏈路的“漫游用戶”���,使得AAA任務越來越有前途�。在此類環(huán)境中���,安全協議必須適應無線鏈路和分散操作�。在網絡訪問個人區(qū)域網絡(PAN)�����、局域網(LAN)或廣域網(WAN)時會遇到相當長的等待時間�。然而,與移動計算裝置進行交互時固有的瞬時性質需要低等待時間的連接���,以便向用戶提供可接受的計算體驗���。特別地���,用戶應該能夠在安全鏈路上快速建立連接�,而無需考慮接入點是在內聯網內��,還是在外部動態(tài)建立的鏈路上。新用戶或新雇員應該能夠獲得至少一部分有限特權��,以使用安全網絡�。在實現采用高級網絡訪問控制和加密/認證方案或靈活會議布局的安全鏈路時,上述問題依然存在�����。上述問題向支持無線網絡的網絡服務器系統提出了新挑戰(zhàn)��。
發(fā)明內容
本文描述的發(fā)明能夠解決上述問題��,并且便于創(chuàng)建計算機網絡�����,以建立在更廣范圍的網絡鏈路上建立安全連接的客戶與服務器設備之間的動態(tài)安全鏈路����。特別地,描述了客戶端協議����,以交換用于建立安全連接的信息。此外��,具體體現本發(fā)明的方法和系統建立無線連接計算環(huán)境中的密鑰交換協議。通過審慎選擇的擴展認證協議(EAP)和傳輸層安全(TLS)�����,實現密鑰交換���。
本文闡述了用于建立并管理帶有安全密鑰交換��、認證和授權的安全數據/音頻/視頻連接的方法�。該方法包括在EAP內實現TLS����。本發(fā)明的一種實施方式允許機器建立具有有限特權的安全連接,如果機器的用戶不能提供令人滿意的用戶標識信息的話�。該方法允許靈活管理由不同安全能力和敏感度的機器和網絡鏈路組成的網絡。此外����,如果用戶不能提交用戶標識認證信息,則啟動機器登錄過程���,從而放松與典型登錄過程有關的要求����,并且在適當時提供基礎訪問級�����。
本發(fā)明的一種實施方式允許通過非安全鏈路連接到安全網絡的用戶����,在認證后有限訪問安全網絡。通過非安全鏈路登錄的用戶比通過安全鏈路登錄的相同用戶收到的特權要少��。
在本發(fā)明的一種實施方式中��,機器可以在用戶不登錄的情況下建立安全鏈路��。因此��,關鍵任務服務器能夠在不要求用戶登錄的情況下在網絡上停留����。并且用戶登錄不會使機器的安全訪問中斷。
通過參照附圖閱讀所示實施方式的詳細說明�,將更加了解本發(fā)明的附加特征和優(yōu)點。
附屬權利要求書詳細闡述本發(fā)明的特征�����,通過連同附圖閱讀以下詳細說明書,將更好地理解本發(fā)明����、其目的和優(yōu)點,其中附圖為圖1是一個框圖���,一般表示實現本發(fā)明的典型計算機系統����;圖2表示運行本發(fā)明之實施方式的普通計算環(huán)境���;圖3表示適合安全網絡中的接入點和移動計算裝置之間的無線鏈路的另一種計算環(huán)境���;圖4表示經由遠程代理radius服務器利用帶有認證功能的移動計算裝置進行遠程訪問的計算環(huán)境,其中移動計算裝置信任或者移動計算裝置訪問的安全網絡至少了解遠程代理radius服務器�����;圖5是一個流程圖����,表示信任用戶獲得某臺機器的機器身份的步驟;圖6是一個流程圖,表示缺少證書的機器或用戶在系統管理員的干預下利用信任機器登錄以及利用默認用戶標識進行登錄的步驟�;圖7是一個流程圖,概述利用機器身份訪問安全網絡中的計算資源的步驟��;圖8是一個流程圖���,概述利用默認用戶標識符請求系統管理員允許不滿足認證信息的用戶在不親自拜訪中央設備的情況下就訪問網絡的步驟;圖9是一個流程圖�����,概述遠程移動計算裝置經由代理radius服務器訪問安全網絡的步驟�;以及圖10是一個流程圖,概述請求訪問安全網絡上的資源的遠程用戶的認證步驟�。
具體實施例方式
轉到附圖,其中相同參考號數表示相同部件���,以在適當計算環(huán)境中實現本發(fā)明的方式�,說明本發(fā)明����。盡管在諸如計算環(huán)境執(zhí)行的程序模塊之類的計算機可執(zhí)行指令的上下文中說明本發(fā)明,但并不做此規(guī)定���。通常���,程序模塊包括執(zhí)行特定任務或實現特定抽象數據類型的例程�����、程序���、對象、組件�����、數據結構等�。此外,熟練技術人員可以了解����,可以利用其他計算機系統配置實現本發(fā)明,這些配置包括手持設備�����、多處理器系統����、基于微處理器的消費類電子產品或可編程的消費類電子產品����、網絡PC��、小型機和大型計算機等���。也可以在利用遠程處理設備執(zhí)行任務的分布式計算環(huán)境中,實現本發(fā)明�,其中通過通信網絡連接遠程處理設備。在分布式計算環(huán)境中�����,可以在本地或遠程記憶體存儲設備中存儲程序模塊�。
圖1表示其上能夠實現本發(fā)明的適合計算系統環(huán)境100的示例。計算系統環(huán)境100只是適合計算環(huán)境的一個示例�,并不表示對本發(fā)明之使用范圍或功能性的任何限制。請不要把本計算環(huán)境100解釋為具有與操作環(huán)境100所示的任意組件或其組合有關的從屬性或需求��。
本發(fā)明可以在其他通用或專用計算系統環(huán)境或配置上運行����。適合與本發(fā)明一起使用的公知計算系統、環(huán)境和配置的示例包括但不限于個人計算機、服務器��、手持設備或膝上型設備�����、多處理器系統����、基于微處理器的系統、機頂盒�、可編程的消費類電子產品、網絡PC�、小型機、大型計算機以及包括上述系統或設備的分布式計算環(huán)境�����。
在計算機執(zhí)行的諸如程序模塊之類的計算機可執(zhí)行指令的上下文中說明本發(fā)明���。通常��,程序模塊包括執(zhí)行特定任務或實現特定抽象數據類型的例程���、程序�、對象���、組件�、數據結構等�。也可以在利用遠程處理設備執(zhí)行任務的分布式計算環(huán)境中,實現本發(fā)明����,其中通過通信網絡連接遠程處理設備。在分布式計算環(huán)境中�����,可以在本地或遠程記憶體存儲設備中存儲程序模塊���。
參照圖1,用于實現本發(fā)明的典型系統包括通用計算設備�,如計算機110。計算機110的組件包括但不限于包括處理部件120�����、系統存儲器130和系統總線121��,系統總線121將包括系統存儲器在內的各種系統組件,連接到處理部件120�。系統總線120可以為各種類型的總線結構,包括存儲總線或存儲控制器�����、外圍總線以及使用各種總線體系結構的局域總線����。例如,此類體系結構包括但不限于工業(yè)標準結構(ISA)總線���,微通道結構(MCA)總線����,擴展工業(yè)標準結構(EISA)總線�����,視頻電子標準協會(VESA)局域總線���,以及稱為Mezzanine總線的周邊元件擴展接口(PCI)總線�。
計算機110通常包括多種計算機可讀介質����。計算機可讀介質為計算機110能夠存取的任何可用介質��,包括易失和非易失介質���,可更換和不可更換介質。例如��,計算機可讀介質包括但不限于計算機存儲介質和傳播介質����。計算機存儲介質包括用來存儲諸如計算機可讀指令、數據結構���、程序模塊或其他數據之類的信息的�、采用任何方法或技術實現的易失和非易失��、可更換和不可更換介質��。計算機存儲介質包括但不限于隨機存取存儲器(RAM)���、只讀存儲器(ROM)、EEPROM��、閃存、或其他存儲技術�����、CD-ROM����、數字多功能光盤(DVD)、或其他光盤存儲器��、盒式磁帶��、磁帶機�、磁盤存儲器、或其他磁性存儲設備�、或用于存儲所需信息并且可由計算機110存取的任何其他介質。傳播介質通常以諸如載波或其他傳送機制之類的調制數據信號�,體現計算機可讀指令、數據結構��、程序模塊或其他數據���,并且包括所有信息傳輸介質��。術語“調制數據信號”意指調整或改變其一個或多個特征以便在該信號中編碼信息的信號�。例如,傳播介質包括但不限于有線網絡����,以及諸如聲、RF���、紅外和光學介質之類的無線介質����。
系統存儲器130包括易失和非易失存儲器形式的計算機存儲介質���,如ROM 131和RAM 132��。通常����,在ROM 131中存儲包含基本例程的基本輸入/輸出系統(BIOS)133�����,其中在啟動時���,基本例程幫助在計算機110內的部件之間傳送信息���。RAM 132通常包括數據和程序模塊,處理部件120能夠快速存取或處理RAM 132��。例如�,圖1舉例說明操作系統134、應用程序135���、其他程序模塊136和程序數據137��,但并不限于此�����。通常�����,操作系統134通過一個或多個應用編程接口(API)(未示出)向應用程序135提供服務���。由于操作系統134包括上述服務,所以應用程序135的開發(fā)人員無需再次開發(fā)就能使用上述服務��。技術人員熟知諸如微軟“WINDOWS”之類的操作系統提供的API示例。
計算機110還包括其他可更換/不可更換的�����、易失/非易失計算機存儲介質�。例如,圖1舉例說明硬盤接口140����,用于讀寫不可更換的非易失磁性介質;用于讀寫可更換的���、非易失磁盤152的內部或外部磁盤驅動器151����;以及讀寫諸如CD ROM之類的可更換的����、非易失光盤156的光盤驅動器155?�?梢栽诘湫筒僮鳝h(huán)境中使用的其他可更換/不可更換����、易失/非易失計算機存儲介質包括但不限于盒式磁帶、閃存存儲卡����、DVD、數字錄像帶�����、固態(tài)RAM和固態(tài)ROM����。通過諸如接口140之類的不可更換的存儲接口,把內部或外部硬盤驅動器141連接到系統總線121�,利用諸如接口150之類的可更換存儲接口,把磁盤驅動器151和光盤驅動器155連接到系統總線121����。
圖1所示的上述驅動器及其關聯的計算機存儲介質,為計算機110提供計算機可讀指令�����、數據結構�、程序模塊以及其他數據的存儲器。例如�,在圖1中,硬盤驅動器141存儲操作系統144、應用程序145�、其他程序模塊146和程序數據147。請注意�,上述組件可以與操作系統134、應用程序135����、其他程序模塊136和程序數據137相同,也可以不同���。本文為操作系統144�、應用程序145��、其他程序模塊146和程序數據147指定不同號碼����,以表示它們可以是不同副本。
用戶通過諸如鍵盤162和定點設備161之類的輸入設備���,把命令和信息輸入到計算機110中����,定點設備通常稱為鼠標��、跟蹤球或觸墊。其他輸入設備(未示出)包括麥克風��、操縱桿���、游戲控制器、圓盤式衛(wèi)星電視天線或掃描儀等�。通常,通過與系統總線相連的用戶輸入接口160���,把上述輸入設備連接到處理部件120���,也可以利用諸如并行端口、游戲端口或通用串行總線(USB)之類的其他接口����,進行連接。經由諸如視頻接口190之類的接口�,把監(jiān)視器191或其他類型的顯示設備連接到系統總線121。除監(jiān)視器之外���,計算機還包括諸如揚聲器197和打印機196之類的其他外圍輸出設備���,其中通過輸出外圍接口195連接其他外圍輸出設備�。
計算機110可以在網絡環(huán)境中運行��,其中利用邏輯連接將計算機連接到一臺或幾臺遠程計算機�����,如遠程計算機180����。遠程計算機180可以為個人計算機、服務器�����、路由器�����、網絡PC����、對等設備或其他公共網絡節(jié)點,通常包括相對于計算機110描述的許多或所有組件���,盡管圖1僅僅舉例說明記憶體存儲設備181����。圖1描述的邏輯連接包括局域網(LAN)171,廣域網(WAN)173�����,也可以包括其他網絡�。上述網絡環(huán)境在辦公室、企業(yè)計算機網絡��、內聯網和因特網中很普通��。
當在LAN網絡環(huán)境中使用時�,通過網絡接口或適配器170���,把計算機110連接到LAN 171�。當在WAN網絡環(huán)境中使用時���,計算機110通常包括用于在諸如因特網之類的WAN 173上建立通信鏈路的調制解調器172或其他裝置����。經由用戶輸入接口160或其他適當機制�����,把內置或外置調制解調器172連接到系統總線121。在網絡環(huán)境中�����,可以在遠程記憶體存儲設備中���,存儲相對于計算機110或其某些部分描述的程序模塊���。例如,圖1表示駐留在遠程計算機180之內部或外部存儲設備181上的遠程應用程序185��,但并不限于此���??梢岳斫?���,所示網絡連接只是示范性的,也可以使用用于在計算機之間建立通信鏈路的其他裝置��。
在以下說明中���,將參照一臺或幾臺計算機執(zhí)行的動作和操作的符號表示��,描述本發(fā)明����,除非另有說明。同樣�����,可以理解�����,有時稱為計算機執(zhí)行的動作和操作���,包括表示結構數據的電信號的計算機的處理部件進行的處理。此類處理把數據傳送或保存到計算機的存儲系統中的某個位置����,此類處理以熟練技術人員理解的方式,重新配置或改變計算機的操作�����。保存數據的數據結構為存儲器的物理位置,存儲器的物理位置具有數據格式定義的特定屬性����。然而,正如熟練技術人員理解的那樣�,盡管在上述上下文中描述本發(fā)明,但并不意味著此類限制�����,可以利用硬件實現下文描述的各種動作和操作��。
在認證/加密方案中����,建立網絡訪問或連接需要克服的第一個障礙就是認證使用鏈路的各當事人。通常�,借助信任源發(fā)行的證書完成以上處理。在安全會議中�����,參加安全會議的當事人必須提供其聲稱的身份����。在某些實施方式中�,要求會議節(jié)點提供其身份�����。證書包含提交證書的當事人的信息�,并且包含安全措施,從而能夠檢測所有竄改���,包括提交信息的當事人所做的更改����。
通過考慮非對稱密鑰加密方案��,可以理解基本過程�。在該方案中,加密/解密過程使用兩個密鑰�����,通常稱為公有密鑰和私有密鑰���。安全保存私有密鑰,例如,存儲在計算機存儲器中的安全位置或智能卡上���。自由分發(fā)公有密鑰����。公有密鑰和私有密鑰數學相關�,但并不容易根據一個密鑰計算出另一個密鑰。特別地��,知道公有密鑰并不能在適當時間間隔內算出私有密鑰���。另外��,利用一個密鑰加密的報文�����,只能利用另一個密鑰進行解密�����。
需要認證其身份的用戶請求信任證書授權(CA)發(fā)行有關其身份的證書�����。最好利用CA的公有密鑰對該請求進行編碼���。實現上述目標有許多方法�,例如����,首先利用用戶的私有密鑰對其聲稱的身份進行加密,然后利用CA的公有密鑰對該報文以及潛在新用戶的公有密鑰的副本進行加密����。從而當CA利用它的私有密鑰對該消息進行解密時,確保CA知道利用哪個公有密鑰進行解密���。此外�,報文的成功解密使CA確信能夠利用用戶的公有密鑰��,對利用該用戶的私有密鑰編碼的該用戶發(fā)起的報文進行解密�����。因此�����,CA�,特別是發(fā)行用戶的私有密鑰的CA能夠檢查數據庫以驗證用戶聲稱的身份�。
CA利用它的私有密鑰�,對包括與私有密鑰相對應的公有密鑰在內的用戶的身份信息進行加密��,以形成認證證書����,可能帶有數字簽名��。請求認證用戶身份的當事人利用CA的公有密鑰對證書解密���。因此,證書也可以向請求認證用戶身份的當事人提供用戶的公有密鑰��。
盡管用戶能夠讀取CA認證的信息��,但用戶不可能在不被發(fā)現的情況下改變信息�����,因為用戶并不了解CA的私有密鑰����。此外�����,CA可以附加一個經過加密的單向散列報文�,從而收件人能夠增強整個報文均真實可信的信心���,即使該報文是以較小部分為單位接收的�。選用單向散列函數的原因在于��,在保持相同散列結果時改變報文很難保證進一步證明附屬報文的真實性�。換句話說,由于解密密鑰是公有密鑰�,所以許多人都可以讀取經過加密的報文,但是不可能在不標記更改狀態(tài)的情況下更改報文����。另外,可以在有限使用期限內提供認證證書和有關密鑰����,從而很難進行竄改和逆向工程。
在附錄“IEEE 802.11安全白皮書”���、“IEEE 802.1X支持方案”以及“藍牙安全體系結構版本1.0”的附屬文件中���,詳細描述支持安全客戶服務器通信的密鑰交換、認證和授權請求��,本申請全文引用作為參考����。
圖2表示具有一組動態(tài)鏈路、一組靜態(tài)鏈路和許多設備的典型計算環(huán)境200�。計算環(huán)境200包括與路由器210相連的內聯網205,路由器210又與因特網215相連�。至少一個移動計算裝置220經由動態(tài)鏈路225連接到因特網215。作為選擇�,移動計算裝置220也可以利用鏈路230連接到內聯網205,鏈路230的存在不排除動態(tài)鏈路225�。移動計算裝置220不一定是計算機,可以是任何移動計算設備���,如能夠進行蜂窩通信的設備�����,或能夠訪問聯機內容的音頻/視頻內容提供設備����。計算環(huán)境200中的設備包括工作站235、服務器240和服務器240控制的打印機245���。靜態(tài)鏈路指定義內聯網205的連接�����,而動態(tài)鏈路指故障可能性較高的連接�,如移動計算裝置220與因特網215之間的連接225或移動計算裝置220與內聯網205之間的連接230�����。
確保靜態(tài)鏈路的安全性要比提供安全動態(tài)鏈路更容易�。安全動態(tài)鏈路難以實現的原因在于,動態(tài)鏈路的短暫性以及此類鏈路上的更長等待時間和帶寬限制����。此外,由于諸如計算裝置220之類的便攜計算設備的移動性�,所以需要預防非授權網絡訪問。
依據傳遞的信任關系���,向信任用戶以及有關信任機器擴展安全連接的策略����,無需集中管理所有安全關系,就能實現安全計算環(huán)境�����。明確的信任關系能夠追查泄密��。此外����,明確的信任關系有助于易管理的認證過程��,同時在建立安全連接時保持低等待時間��。
限制訪問信任用戶以及利用軟件或硬件實現的信任機器是非常有利的�����,因為它僅僅允許信任機器訪問網絡而不允許經過認證的用戶訪問網絡���,同時允許信任用戶使用任何機器訪問網絡��。上述策略禁止不合格的認證用戶和機器取得非授權訪問�����。另一方面�����,基于機器的認證允許具有有效證書標準訪問級的機器供具有有效證書的用戶使用��。沒有有效證書的用戶獲得沒有有效證書的機器上有限授權訪問���。上述訪問允許非認證用戶擁有基本訪問級���。此類用戶可以為來賓、新雇員或前雇員以及需要部分訪問安全網絡的人員���。信任用戶可以利用與網絡相連的信任或非信任機器訪問網絡資源�。
向新用戶或密碼錯誤從而不能正確登錄的用戶提供有限訪問�����,會使其計算體驗更順暢�,并使用戶受到的較少脅迫。同樣����,通過允許充分訪問以使新用戶和新雇員直接與系統管理員進行交互�����,能夠在保持集中控制的情況下分散添加和刪除用戶的處理����。分散的意義在于新雇員無需親自到中央位置接受授權�����,以訪問內部計算資源��?�?梢远ㄖ茖Ψ钦J證用戶施加的訪問限制�����,以避免危及網絡資源的安全性�。為此目的����,同一用戶具有不同授權,以便更好地反映與該用戶登錄環(huán)境有關的相對安全風險。例如��,從遠程站點訪問計算資源的用戶�����,比使用建筑物內聯網205內的機器的用戶或使用信任機器的用戶�����,具有更有限的特權�。因此,所公開的方法和系統�����,允許具有移動計算裝置的用戶����,根據移動計算裝置的身份和/或請求訪問的環(huán)境,訪問具有各種訪問級(即��,授權)的計算環(huán)境�����。
圖3表示適合支持無線鏈路的計算環(huán)境300。移動計算裝置305通過具有接入點315的鏈路310����,與計算環(huán)境300聯系在一起。接入點315作為移動計算裝置305的認證機構����,以允許其訪問計算環(huán)境300內的計算資源。接入點315將宣稱的身份和證書����,轉發(fā)到遠程認證撥入用戶服務(“radius”)服務器325,以便認證從移動計算裝置305接收的宣稱身份���。RADIUS服務器325將身份請求和身份證明轉發(fā)到接入點315,以進一步轉發(fā)到移動計算裝置305��,目的是防止radius服務器325與非認證移動計算裝置305之間的直接通信���。
圖4表示試圖從遠程站點訪問內聯網405的移動計算裝置400�。移動計算裝置400與遠程接入點410聯系在一起�,接入點410作為認證機構,并使用代理radius服務器415認證移動計算裝置400���。在成功認證后����,接入點410將指向網絡的數據包,轉發(fā)到VLAN交換機420���。VLAN交換機420參照注冊登記服務器430�,確定是否允許移動計算裝置400遠程訪問與內聯網405相連的VLAN 425��。如果移動計算裝置400已按時注冊�,則正確轉發(fā)指向VLAN 425或指向服務器435的通信,其中經由內聯網405連接服務器435�。如果認證失敗,則阻止數據包傳播到VLAN 425或服務器435����。
根據本發(fā)明,用戶和機器分別具有兩種登錄狀態(tài)具有有效證書的用戶�;沒有有效證書的用戶;具有有效證書的機器以及沒有有效證書的機器�。機器和用戶登錄狀態(tài)共同生成四種可能登錄狀態(tài)。本發(fā)明包括能夠體現一種登錄狀態(tài)優(yōu)先于另一種登錄狀態(tài)的實施方式���。
在本發(fā)明的實施方式中���,如果用戶不能提供經過認證的身份��,則該用戶使用的機器可以提供一個身份�����,以允許基于機器的登錄過程提供有限訪問�。圖5表示允許信任機器利用其機器身份登錄的一組可能步驟�����,請不要把圖5解釋為限制步驟變更��。為此目的���,信任用戶開始建立機器的信任狀態(tài)����。圖5的步驟500表示信任用戶請求該用戶使用的機器的機器身份��。在步驟505中�����,諸如域控制器之類的網絡服務器確定該用戶是否可信�����,并且在步驟510中�����,確定該用戶是否有權發(fā)出請求�����。如果用戶有權發(fā)出請求���,則網絡服務器提供唯一機器標識(步驟515)�。否則����,在步驟520中,網絡服務器拒絕請求����。在步驟525中,網絡服務器請求CA提供證書���,以證實機器身份����,并且在步驟530中,將該證書轉發(fā)到機器��。在步驟535中�����,在該機器上存儲機器標識和證書�����,以便隨后使用���。
在圖6所示的本發(fā)明的實施方式中�,利用可接受的證書或默認的用戶ID���,執(zhí)行機器認證和用戶認證�,以允許系統管理員干預機器或用戶認證��。步驟600包括一個網絡訪問請求�。如果機器證書可用,則控制從步驟605轉到步驟610���,并且機器認證��。盡管在本實施方式中�,用戶不能在同一機器上進行認證��,也不應解釋為對本發(fā)明之范圍的限制��。步驟610對于在不要求用戶登錄的情況下就啟動網絡上的服務器非常有用����。此外,位于特許位置的某些機器甚至不提供用戶界面���。如果機器不能認證�����,則控制轉移到步驟615����。另一方面��,如果機器沒有證書,則控制從步驟605轉到步驟620��。步驟620包括該機器利用默認用戶標識符開始機器認證��,其結果是步驟625成功��,步驟630失敗�����?����?刂茝牟襟E620�、625和630轉到步驟635。步驟635包括開始用戶登錄的命令���。如果用戶證書可用���,則控制轉到步驟645,步驟645表示用戶認證成功和過程結束����。另一方面����,如果用戶證書不能接受���,則用戶認證失敗(步驟650),并且過程結束����。在步驟640中,如果用戶證書不可用���,則通過成功使用默認用戶標識符��,使控制轉到步驟655����。如果使用默認用戶標識符的認證失敗���,則控制轉到步驟660���,并最終結束認證過程。
與環(huán)境兼容的擴展認證協議(EAP)中的典型實施方式包括EAP啟動信息。當然�,在其他環(huán)境中,也可以采用其他啟動信息��,目的是減少最初處理使用的信息總數�。
圖7表示在信任機器上進行的認證過程的實施方式。在步驟700中���,用戶發(fā)出啟動信息�����,表示對訪問計算環(huán)境感興趣���。無線接入點接收啟動信息,以建立無線鏈路�����。把無線接入點配置為既不向基礎有線網絡轉發(fā)數據通信量��,也不向未經認證的連接的其他無線移動計算設備轉發(fā)數據通信量��。充當認證機構的接入點提供有限交互�,以便在建立相配鏈路前認證申請人��。為此�,在步驟705中����,接入點請求申請人的身份,以開始認證過程�,如果啟動信息中缺少此類身份的話�����。作為對上述請求的響應���,在步驟710中���,申請人提供可以認證的身份,如果有的話��。以上判定包括超時期限���。作為選擇�,申請人明確表示不能提供被請求的身份�����。
如果被請求的身份可用,則在步驟715中執(zhí)行標準認證過程���。在標準過程中����,接入點將宣稱身份轉發(fā)到radius服務器�。RADIUS服務器將應答傳送到接入點,接入點又將應答轉發(fā)到移動計算裝置����。移動計算裝置和radius服務器不能直接通信,以確保網絡資源的安全性����。然而,如果沒有提供有效身份�,則信任機器提供機器身份(步驟720)。接入點將信任機器身份轉發(fā)到radius服務器�����,然后由radius服務器向移動計算裝置提供接入點轉發(fā)的應答�����。
在步驟725中,接入點通過請求根據radius服務器提供的應答證明宣稱身份����,應答宣稱身份。在步驟730中��,移動計算裝置向接入點提交證書�����,以證明宣稱的機器身份����。在步驟735中��,如果證書有效�����,則接入點提供與宣稱的��、經過認證的機器身份匹配的有限訪問�����。
圖8表示利用默認用戶身份請求系統管理員干預的方法。在不要求新用戶親自訪問中央設備的情況下認證并登記新用戶時�����,該方法非常有用���。在步驟800中�,發(fā)出啟動信息以請求訪問計算環(huán)境���,然后在步驟805中����,請求宣稱的身份�。在步驟810中,用戶提供默認的用戶標識����,可以為空串。作為對接收的默認用戶標識的響應���,該系統并不拒絕所有用戶訪問����,而是請求系統管理員確定是否允許用戶訪問計算環(huán)境以及授權級別(步驟815)。在步驟820中��,如果系統管理員驗證用戶的身份�,即,認證用戶��,則域控制器允許用戶登錄���。在步驟825中��,域控制器提供證書�,以證明用戶的身份�����。在步驟825中��,對計算資源的后繼訪問利用該證書來證明用戶的身份��,而無需請求系統管理員干預����。
圖9表示為遠程非安全站點中的用戶提供有限訪問的典型方法,遠程非安全站點的定義是需要使用一臺或幾臺身份不明的機器��,或者實際位置在內聯網之外��。在此類環(huán)境中�����,提供不反映特定用戶在安全站點或安全機器上操作時具有的所有特權的有限訪問更有利�����。在步驟900中�����,請求通過代理服務器訪問遠程接入點�����,在步驟905中��,請求宣稱的身份��。在步驟910中,提供身份�,可以是用戶身份或機器身份,在步驟915中����,進行應答,以證明宣稱的身份���。在步驟920中��,申請人通過提供從信任證書機構取得的證書���,證明宣稱的身份。在步驟925中���,RADIUS代理服務器轉發(fā)有關處理�����,并且負責安全策略的radius服務器向用戶提供統一資源定位符(URL)�����,實際為端口地址,以允許訪問計算環(huán)境。通常�����,該URL向用戶提供的網絡資源訪問級低于用戶通過網絡中的接入點獲得的訪問級���。
圖10總結了用于遠程訪問安全計算資源的本發(fā)明的另一種實施方式中的步驟��。在步驟1000中�����,遠程用戶請求訪問安全計算環(huán)境中的資源���。可以在另一網絡中的接入點或通過因特網發(fā)出請求�。在步驟1005中,RADIUS服務器處理該請求����,并提供URL以允許申請人在遠程站點進行認證。正如步驟1010所示�,該連接很可能是安全連接,并且可以使用SSL或其他類似技術來認證申請人����。另外��,認證網頁可以請求并接受信息�����,以便進行計費處理。上述信息包括信用卡號��、時間以及請求的資源種類����。在步驟1015中,確定請求的服務是否可用���。如果服務可用并且認證令人滿意�,則在步驟1020中提供授權�����,以訪問請求的資源�,然后終止該過程。另一方面���,如果請求的資源不可用����,則控制從步驟1015轉到步驟1030�,通知申請人資源或訪問不可用,然后終止(步驟1025)��。
通過將基于機器和用戶的認證與反映不同用戶和鏈路之相對安全風險的各種授權級別結合起來���,上述方法能夠自動管理具有動態(tài)鏈路的網絡中的眾多用戶,其中某些用戶具有移動計算裝置�����。
利用本文所述方法建立的安全鏈路包括加密�����。接入點和移動計算裝置通過交換至少一個密鑰并生成附加密鑰,進行加密���,從而實現通信安全��。密鑰可以是對稱密鑰或非對稱密鑰。加密包括經常變換密鑰�,以提高安全性���。此外��,如果安全鏈路中斷��,然后重新建立與先前使用的接入點相連的新接入點��,則移動計算裝置僅僅提交先前使用的接入點的身份�����,并堅持其身份�。新接入點確認先前認證的移動計算裝置,并且無需重新認證移動計算裝置���,就允許其訪問�����。與超時結合的上述策略��,通過減少由于認證新移動裝置造成的等待時間,提供更好的計算體驗。
由于可以將本發(fā)明的原理應用于許多可能的實施方式��,所以應該理解,參照附圖敘述的實施方式只是說明性的��,而并不能視為對本發(fā)明的限制。例如�����,一般技術人員可以理解���,可以利用硬件實現用軟件表示的實施方式中的組件����,反之亦然���,可以在排列或細節(jié)方面修改所示實施方式而并不背離本發(fā)明的實質�����。因此�����,本文敘述的發(fā)明認為所有此類實施方式均在附屬權利要求書及其等價物的范圍內���。
這里全文引用包含專利、專利申請以及出版物在內的所有文獻作為參考���。
權利要求
1.一種為移動計算裝置提供特權訪問計算資源的方法�,該方法包括以下步驟獲得帶有唯一機器標識符的證書,以便于認證移動計算裝置的身份��;向認證機構提供證書�,以證明機器身份,認證機構控制對計算資源的訪問�����;以及利用從認證機構獲得的授權信息�����,建立到計算資源的訪問��,授權信息與經過認證的移動計算裝置的身份相對應�。
2.權利要求1的方法��,其中移動計算裝置使用至少一條無線鏈路與計算資源通信��。
3.權利要求1的方法�,其中授權信息包括一個密鑰,用于加密從移動計算裝置到輸入端口的通信���。
4.權利要求3的方法�����,其中密鑰為對稱會話密鑰��。
5.權利要求1的方法還包括以下步驟檢測移動計算裝置的用戶不能登錄訪問計算資源����,以及作為響應,執(zhí)行獲取證書的步驟�。
6.權利要求1的方法還包括,確定移動計算裝置沒有證明機器身份的證書���,以及作為響應�,執(zhí)行獲取步驟��。
7.權利要求1的方法還包括以下步驟在移動計算裝置上存儲唯一機器標識符�����,以供隨后使用�����。
8.權利要求1的方法還包括以下步驟在移動計算裝置上存儲證書。
9.權利要求1的方法還包括以下步驟接收唯一機器標識符�����。
10.權利要求1的方法還包括以下步驟利用域控制器從證書機構獲取證書����;以及從域控制器接收證書。
11.權利要求10的方法���,其中域控制器響應來自用戶的用戶請求獲取證書����,用戶利用移動計算裝置訪問計算資源�。
12.一種向用戶提供特權訪問計算資源的方法��,其中限制訪問計算資源���,該方法包括以下步驟請求訪問計算資源���;提供默認的用戶標識符開始登錄,以便有限訪問計算資源;管理員接收默認的用戶標識符�,并且作為響應,提供信息以訪問計算資源����;以及向計算資源發(fā)送數據或從計算資源那里接收數據以完成登錄。
13.權利要求12的方法還包括以下步驟如果成功登錄到與計算資源相對應的域控制器��,則接收訪問計算資源���。
14.權利要求12的方法還包括以下步驟域控制器獲得用于認證用戶的證書����,用戶從域控制器那里接收用于認證用戶的證書�。
15.權利要求12的方法,其中用戶使用至少一條無線鏈路訪問計算資源���。
16.一種向用戶提供的從外部站點安全訪問計算資源的方法���,該方法包括以下步驟發(fā)送需要訪問計算資源的請求;通過遠程接入點�����,向代理認證服務器提供用戶標識符,用戶標識符與宣稱的身份相對應�����;響應應答���,通過遠程接入點���,向代理認證服務器提供證書,以認證宣稱的身份���;以及接收地址����,以便向計算資源發(fā)送數據或從計算資源那里接收數據��,地址與計算資源的有限訪問相對應���。
17.權利要求16的方法,其中用于發(fā)送�、接收數據的地址為統一資源定位符。
18.權利要求17的方法還包括用戶接收密鑰�,以便對到達計算資源的信息進行加密。
19.權利要求18的方法還包括使用密鑰對來自計算資源的信息進行解密。
20.一種在使用無線傳輸的服務器和客戶機之間建立安全鏈路的方法�����,其中客戶機是無線站�����,服務器為認證機構���,客戶機和服務器安全交換密鑰���,以建立安全鏈路,安全鏈路對客戶機和服務器交換的至少一條信息進行加密��,該方法包括以下步驟聲明身份���;通過提供證書證明宣稱的身份���,響應認證請求;以及根據證書中的信息�����,生成初始密鑰,以便對安全鏈路上的信息進行加密��。
21.一種具有計算機可執(zhí)行指令的計算機可讀介質�����,所述指令用于執(zhí)行向機器提供計算資源之特權訪問方法的步驟���,該方法包括以下步驟獲得帶有唯一機器標識符的證書���,以認證移動計算裝置的身份;向認證機構提供證書�����,以證明機器身份���,認證機構控制對計算資源的訪問���;以及利用從認證機構獲得的授權信息,建立對計算資源的訪問��,授權信息與經過認證的移動計算裝置的身份相對應�����。
22.權利要求21的計算機可讀介質��,具有執(zhí)行以下步驟的計算機可執(zhí)行指令如果機器上的用戶不能登錄訪問計算資源�����,則使用機器身份�����。
23.權利要求21的具有計算機可執(zhí)行指令的計算機可讀介質����,其中移動計算裝置使用至少一條無線鏈路與計算資源通信。
24.權利要求21的具有計算機可執(zhí)行指令的計算機可讀介質����,其中授權信息包括一個密鑰,用于加密從移動計算裝置到輸入端口的通信�����。
25.權利要求21的計算機可讀介質����,具有執(zhí)行以下附加步驟的計算機可執(zhí)行指令在移動計算裝置上存儲唯一機器標識符�,以供隨后使用�。
26.權利要求21的計算機可讀介質,具有執(zhí)行以下附加步驟的計算機可執(zhí)行指令在移動計算裝置上存儲證書����。
27.權利要求21的計算機可讀介質,具有執(zhí)行以下附加步驟的計算機可執(zhí)行指令利用域控制器從證書機構獲取證書�����;以及從域控制器接收證書���。
28.權利要求27的具有計算機可執(zhí)行指令的計算機可讀介質����,其中域控制器響應使用計算資源的用戶的用戶請求�����,獲取證書�。
29.一種具有計算機可執(zhí)行指令的計算機可讀介質,所述指令用于執(zhí)行向用戶提供計算資源之特權訪問方法的步驟,其中限制訪問計算資源��,該方法包括以下步驟請求訪問計算資源���;提供默認的用戶標識符開始登錄,以便有限訪問計算資源��;管理員接收默認的用戶標識符�,并且作為響應,提供訪問計算資源的信息��;以及向計算資源發(fā)送數據或從計算資源那里接收數據以完成登錄�。
30.權利要求29的計算機可讀介質,具有執(zhí)行以下步驟的計算機可執(zhí)行指令如果成功登錄到與計算資源相對應的域控制器�����,則訪問計算資源���。
31.權利要求29的計算機可讀介質����,具有執(zhí)行以下步驟的計算機可執(zhí)行指令域控制器獲得用于認證用戶的證書���,用戶從域控制器那里接收用于認證用戶的證書��。
32.權利要求29的具有計算機可執(zhí)行指令的計算機可讀介質�����,其中用戶使用至少一條無線鏈路訪問計算資源�。
33.一種具有計算機可執(zhí)行指令的計算機可讀介質,所述指令用于執(zhí)行向用戶提供從外部站點安全訪問計算資源的方法的步驟��,該方法包括以下步驟發(fā)送需要訪問計算資源的請求���;提供用戶標識符以便開始登錄訪問計算資源����,用戶標識符與宣稱的身份相對應��;響應應答提供證書���,認證宣稱的身份���,以獲得對計算資源的訪問;以及接收地址����,以便向計算資源發(fā)送數據或從計算資源那里接收數據���。
34.權利要求33的具有計算機可執(zhí)行指令的計算機可讀介質,其中用于發(fā)送�����、接收數據的地址為統一資源定位符�。
35.權利要求34的計算機可讀介質����,具有執(zhí)行以下步驟的計算機可執(zhí)行指令接收密鑰,以便對到達計算資源的信息進行加密����。
36.權利要求35的計算機可讀介質,具有執(zhí)行以下步驟的計算機可執(zhí)行指令使用密鑰對來自計算資源的信息進行解密�����。
全文摘要
描述了一種用于建立并管理帶有安全密鑰交換��、認證和授權的安全數據/音頻/視頻鏈路的方法�����。本發(fā)明的一種實施方式能夠利用信任機器的機器標識符建立帶有有限特權的安全鏈路。當機器的用戶沒有適合認證的用戶標識信息���,該方法特別有用�����。此外���,用戶通過提交默認的用戶標識信息,請求系統管理員進行干預����,而不是完全拒絕。分散過程允許新用戶訪問網絡�����,而無需親自訪問中央設備以提交證書���。本發(fā)明的另一種實施方式能夠使遠程用戶連接到具有有限特權的安全網絡���。
文檔編號G06F15/00GK1433537SQ01810304
公開日2003年7月30日 申請日期2001年2月23日 優(yōu)先權日2000年4月24日
發(fā)明者蒂莫西·M·摩爾, 阿郎·阿亞加利, 薩琴·C·西斯, 普拉蒂普·巴爾 申請人:微軟公司