專利名稱:通過公共無線網(wǎng)絡安全地接入專用網(wǎng)絡的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明一般地涉及計算機網(wǎng)絡,更具體地說���,涉及一種通過公共或第三方無線網(wǎng)絡安全地接入企業(yè)專用網(wǎng)絡的方法和系統(tǒng)�。
背景技術:
通信網(wǎng)絡可以是專用網(wǎng)絡或公共網(wǎng)絡�����。在專用網(wǎng)絡中�����,多個計算機之間的通信在安全環(huán)境中進行��,此環(huán)境可以阻止網(wǎng)絡外部在未經(jīng)適當認證的情況下接入網(wǎng)絡��。這些網(wǎng)絡被認為是“受信”網(wǎng)絡�,因為通信信號可以在專用網(wǎng)絡中從一個計算機安全地傳輸?shù)搅硪粋€計算機而不會暴露給外部環(huán)境����。另一方面����,諸如因特網(wǎng)之類的公共網(wǎng)絡并不安全����,因為這些網(wǎng)絡上的通信不是秘密的并且容易被其他計算機截獲。此外�����,公共網(wǎng)絡無法保證發(fā)送的數(shù)據(jù)分組傳遞成功�。公共網(wǎng)絡允許分組任意地進入和離開網(wǎng)絡,并在傳輸分組時對其進行分析����。為了使在公共網(wǎng)絡上發(fā)送的數(shù)據(jù)是私密的,當兩個計算機使用公共網(wǎng)絡相互通信時��,通常在公共網(wǎng)絡之上建立虛擬專用網(wǎng)絡(VPN)�����。在虛擬專用網(wǎng)絡中�����,從一個計算機發(fā)送到另一個計算機的數(shù)據(jù)由安全網(wǎng)關進行加密并以加密的形式通過公共網(wǎng)絡傳輸?shù)脚c接收計算機相連的第二安全網(wǎng)關。 所述第二網(wǎng)關在將數(shù)據(jù)轉(zhuǎn)發(fā)到接收計算機之前對數(shù)據(jù)進行解密���。這種在另一網(wǎng)絡上建立的專用通道稱為網(wǎng)絡隧道�����。為了建立虛擬專用網(wǎng)絡����,用戶首先建立到VPN服務器的路徑并經(jīng)歷AAA過程(認證����、授權和計費)以便進行認證和授權以創(chuàng)建到服務器的安全隧道。一旦用戶被授權��,便可使用諸如IPsec之類的VPN協(xié)議在公共網(wǎng)絡上建立用戶和VPN服務器之間的安全網(wǎng)絡隧道����。此過程要求VPN客戶機在用戶側(cè)���,VPN服務器和其他VPN硬件在隧道的另一側(cè)�����,以及需要適當?shù)挠脩襞渲?。如今的專用網(wǎng)絡通常包括諸如WiMAX之類的無線網(wǎng)絡以提供移動接入。此外����,為了在較大的地理區(qū)域內(nèi)提供移動接入,除了自有的無線網(wǎng)絡外�,私有企業(yè)還經(jīng)常依賴于第三方無線基礎設施。在這種情況下�����,用戶的設備需要同時經(jīng)過第三方網(wǎng)關和企業(yè)認證服務器的認證才能接入企業(yè)網(wǎng)絡��。第三方網(wǎng)關一般將請求用戶證書并將這些證書安全地返回第三方網(wǎng)關�����。一旦用戶被認證和授權�����,用戶便可與第三方無線網(wǎng)關進行通信�����。但是,用戶仍需要用戶設備和企業(yè)VPN服務器之間的安全連接�����,以便通過公共網(wǎng)絡接入企業(yè)的專用網(wǎng)絡���。因此�����,在包括第三方無線運營商網(wǎng)絡的環(huán)境中���,用戶必須同時經(jīng)過公共網(wǎng)關和企業(yè)認證服務器的認證和授權才能接入企業(yè)專用網(wǎng)絡。因此��,仍需要一種改進的系統(tǒng)和方法以便在沒有上述缺點的情況下通過公共或第三方無線網(wǎng)絡與專用網(wǎng)絡安全地通信�����。
發(fā)明內(nèi)容
本發(fā)明涉及一種用于通過公共或第三方運營商無線網(wǎng)絡安全地接入企業(yè)專用網(wǎng)絡的計算機網(wǎng)絡系統(tǒng)���、方法和計算機程序產(chǎn)品��。所述網(wǎng)絡系統(tǒng)包括公共網(wǎng)關���,所述公共網(wǎng)關用于在客戶機設備經(jīng)過所述公共網(wǎng)絡的認證服務器的認證時建立所述客戶機設備和所述網(wǎng)關之間的第一網(wǎng)絡隧道。此認證服務器然后充當使用所述第一隧道向所述專用網(wǎng)絡的認證服務器認證所述客戶機設備的代理�。一旦向所述專用網(wǎng)絡的認證服務器成功認證所述客戶機,便在所述客戶機設備和所述專用網(wǎng)絡之間建立第二網(wǎng)絡隧道以允許安全的客戶機接入�。 在本發(fā)明的示例性實施例中,使用諸如可擴展認證協(xié)議-傳輸層安全(EAP-TLS) 之類的質(zhì)詢_響應認證協(xié)議建立所述網(wǎng)絡隧道�。所述認證包括在客戶機和服務器之間交換客戶機用戶的安全證書和公共-私有加密密鑰對。所述公共網(wǎng)關加密與通過專用認證服務器認證所述客戶機設備關聯(lián)的數(shù)據(jù)分組并將其不加改變地轉(zhuǎn)發(fā)到所述專用認證服務器�。本發(fā)明的示例性實施例中的公共無線網(wǎng)絡是WiMAX無線網(wǎng)絡。在本發(fā)明的另一個實施例中��,描述了一種用于使客戶機設備通過公共無線網(wǎng)絡安全地接入專用網(wǎng)絡的方法��。所述方法包括建立到與所述專用網(wǎng)絡耦合的所述公共無線網(wǎng)絡的網(wǎng)關的第一隧道���;使用所述第一隧道通過所述專用網(wǎng)絡的認證服務器對所述客戶機設備進行認證��,其中所述認證服務器與所述專用網(wǎng)絡的網(wǎng)關相連��;一旦認證成功�����,便在所述客戶機和所述專用網(wǎng)關之間建立第二隧道以允許安全地接入所述專用網(wǎng)絡�����。在本發(fā)明的又一實施例中��,描述了一種用于使客戶機設備通過公共無線網(wǎng)絡安全地接入專用網(wǎng)絡的計算機程序產(chǎn)品����。所述產(chǎn)品包括計算機可用存儲介質(zhì),所述存儲介質(zhì)中具有可讀程序代碼�。所述程序代碼建立到與所述專用網(wǎng)絡耦合的所述公共無線網(wǎng)絡的網(wǎng)關的第一隧道,使用所述第一隧道通過所述專用網(wǎng)絡的認證服務器對所述客戶機設備進行認證���,以及在所述客戶機設備和所述專用網(wǎng)絡的網(wǎng)關之間建立第二隧道以允許所述客戶機安全地接入所述專用網(wǎng)絡�����。下面在具體實施方式
部分中參考附圖描述了本發(fā)明優(yōu)選實施例的結(jié)構和操作的細節(jié)�,在所述附圖中���,相同的標號表示相同的部件����。發(fā)明內(nèi)容旨在確定所要求保護的主題的關鍵特征����,但是并非旨在用于限制所要求保護的主題的范圍。
圖1是示出在兩個網(wǎng)絡之間通過因特網(wǎng)建立的典型安全網(wǎng)絡隧道的方塊圖���;圖2是示出通過安全網(wǎng)絡隧道傳輸?shù)姆庋b后的數(shù)據(jù)分組的一個實例的方塊圖�����;圖3是示出允許客戶機設備使用VPN服務器和安全防火墻通過公共無線網(wǎng)絡接入專用網(wǎng)絡的網(wǎng)絡配置的方塊圖��;圖4是示出根據(jù)本發(fā)明的各方面的允許客戶機設備通過公共無線網(wǎng)絡接入專用網(wǎng)絡的示例性網(wǎng)絡布置的方塊圖�,其中由公共認證服務器代理客戶機認證�;圖5示出根據(jù)本發(fā)明的示例性實施例的在客戶機設備、無線公共網(wǎng)絡的網(wǎng)關和認證服務器�、以及專用網(wǎng)絡的網(wǎng)關和認證服務器之間的交互,以便提供到專用網(wǎng)絡的安全客戶機接入�;圖6是根據(jù)本發(fā)明的各方面的對客戶機設備進行認證以及通過公共無線網(wǎng)絡建立到專用網(wǎng)絡的安全網(wǎng)絡隧道的示例性過程的流程圖;圖7是根據(jù)本發(fā)明的各方面的由公共無線網(wǎng)絡的網(wǎng)關和認證服務器對客戶機設備進行認證以建立第一安全網(wǎng)絡隧道的示例性過程的流程圖8是根據(jù)本發(fā)明的各方面的由專用網(wǎng)絡的網(wǎng)關和認證服務器對客戶機設備進行認證以建立第二安全網(wǎng)絡隧道的示例性過程的流程圖����。
具體實施例方式
如本領域的技術人員將理解的,本發(fā)明的各方面可以體現(xiàn)為方法、系統(tǒng)或計算機程序產(chǎn)品�����。相應地�����,本發(fā)明的各方面可以采取完全硬件實施例�����、完全軟件實施例(包括固件�、駐留軟件、微代碼等)或組合了在此全部統(tǒng)稱為“電路”����、“模塊”或“系統(tǒng)”的硬件和軟件方面的實施例的形式。此外���,本發(fā)明的各方面可以采取體現(xiàn)在一個或多個計算機可讀介質(zhì)(其中包含計算機可讀程序代碼)中的計算機程序產(chǎn)品的形式�??梢允褂靡粋€或多個計算機可讀介質(zhì)的任意組合。所述計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或計算機可讀存儲介質(zhì)���。計算機可讀存儲介質(zhì)可以例如是(但不限于) 電�����、磁���、光、電磁�����、紅外線或半導體系統(tǒng)�、裝置或設備,或是它們的任何適當組合����。計算機可讀存儲介質(zhì)的更具體的實例(非窮舉列表)將包括以下項具有一條或多條線的電連接、便攜式計算機盤��、硬盤����、隨機存取存儲器(RAM)、只讀存儲器(ROM)��、可擦寫可編程只讀存儲器 (EPR0M或閃存)、光纖��、便攜式光盤-只讀存儲器(CD-ROM)�����、光存儲設備�����、磁存儲設備或它們的任何適當組合�����。在本文的上下文中����,計算機可讀存儲介質(zhì)可以是任何能夠包含或存儲由指令執(zhí)行系統(tǒng)、裝置或設備使用或與所述指令執(zhí)行系統(tǒng)���、裝置或設備結(jié)合的程序的有形介質(zhì)�����。計算機可讀信號介質(zhì)可以包括例如在基帶中或作為載波的一部分傳播的帶有計算機可讀程序代碼的數(shù)據(jù)信號��。這樣一種傳播信號可以采取任何適當?shù)男问?����,包?但不限于)電磁�、光或其任何適當?shù)慕M合。計算機可讀信號介質(zhì)可以是不同于計算機可讀存儲介質(zhì)的�、可以傳送、傳播或傳輸供指令執(zhí)行系統(tǒng)���、裝置或設備使用的或與指令執(zhí)行系統(tǒng)、裝置或設備相聯(lián)系的程序的任何一種計算機可讀介質(zhì)����。包含在計算機可讀介質(zhì)中的程序代碼可以采用任何適當?shù)慕橘|(zhì)傳輸,包括(但不限于)無線�����、有線�����、光纜�����、射頻等、或它們的任何適當組合����。用于執(zhí)行本發(fā)明的各方面的操作的計算機程序代碼可以以一種或多種程序設計語言的任何組合來編寫,所述程序設計語言包括面向?qū)ο蟮某绦蛟O計語言�����,如Java����、 SmalltalKC++之類,還包括常規(guī)的過程式程序設計語言�����,如” C”程序設計語言或類似的程序設計語言����。程序代碼可以完全地在用戶的計算上執(zhí)行、部分地在用戶的計算機上執(zhí)行����、作為一個獨立的軟件包執(zhí)行�、部分在用戶的計算機上部分在遠程計算機上執(zhí)行���、或者完全在遠程計算機或服務器上執(zhí)行����。在后一種情形中���,遠程計算機可以通過任何種類的網(wǎng)絡_包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)-連接到用戶的計算機����,或者�����,可以(例如利用因特網(wǎng)服務提供商來通過因特網(wǎng))連接到外部計算機�����。下面參考根據(jù)本發(fā)明的實施例的方法��、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖和/或方塊圖對本發(fā)明的各方面進行了描述���。將理解����,所述流程圖和/或方塊圖的每個方塊以及所述流程圖和/或方塊圖中的方塊的組合可以由計算機程序指令實現(xiàn)�。這些計算機程序指令可以被提供給通用計算機、專用計算機或其他可編程數(shù)據(jù)處理裝置的處理器以產(chǎn)生機器����,以便通過所述計算機或其他可編程數(shù)據(jù)處理裝置的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)一個或多個流程圖和/或方塊圖方塊中指定的功能/操作的裝置。
這些計算機程序指令也可以被存儲在可引導計算機或其他可編程數(shù)據(jù)處理裝置或其他設備以特定方式工作的計算機可讀介質(zhì)中�,以便存儲在所述計算機可讀介質(zhì)中的指令產(chǎn)生一件包括實現(xiàn)在所述一個或多個流程圖和/或方塊圖方塊中指定的功能/操作的指令的制品。 所述計算機程序指令還可被加載到計算機���、其他可編程數(shù)據(jù)處理裝置或其他設備上���,以導致在所述計算機、其他可編程裝置或其他設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的過程���,從而在所述計算機或其他可編程裝置上執(zhí)行的指令提供用于實現(xiàn)在一個或多個流程圖和/或方塊圖方塊中指定的功能/操作的過程�����。下面描述的附圖中的流程圖和方塊圖示出了根據(jù)本發(fā)明的各實施例的系統(tǒng)����、方法和計算機程序產(chǎn)品的可能實施方式的架構、功能和操作��。在此方面��,所述流程圖或方塊圖中的每個方塊都可以表示模塊�、段或代碼部分,它們包括用于實現(xiàn)指定的邏輯功能(多個)的一個或多個可執(zhí)行指令����。還應指出,在某些備選實施方式中�,在方塊中說明的功能可以不按圖中說明的順序發(fā)生。例如����,示為連續(xù)的兩個方塊可以實際上基本同時地執(zhí)行,或者某些時候��,取決于所涉及的功能�,可以以相反的順序執(zhí)行所述方塊�。還將指出,所述方塊圖和/或流程圖的每個方塊以及所述方塊圖和/或流程圖中的方塊的組合可以由執(zhí)行指定功能或操作的基于專用硬件的系統(tǒng)或?qū)S糜布陀嬎銠C指令的組合來實現(xiàn)����。本發(fā)明涉及對企業(yè)專用網(wǎng)絡的安全和遠程客戶機接入�,其中由公共或第三方無線網(wǎng)絡代理專用網(wǎng)絡的客戶機認證�����。更具體地說����,由公共認證服務器通過在所述公共或第三方無線網(wǎng)絡上建立的安全網(wǎng)絡隧道執(zhí)行專用網(wǎng)絡的客戶機認證。盡管本發(fā)明的示例性實施例并不限于公共或第三無線網(wǎng)絡�����,但是它們利用許多無線網(wǎng)絡(具體而言�,為WiMAX網(wǎng)絡) 中使用的架構對客戶機進行認證。認證����、授權和計費(AAA)過程以及到企業(yè)專用網(wǎng)關的安全隧道的管理都由公共網(wǎng)絡中的公共認證服務器和網(wǎng)關代理。在不需要VPN服務器��、VPN客戶機或VPN硬件的情況下完成安全遠程無線接入��。這節(jié)省了企業(yè)的設備和支持費用并為用戶提供了無縫連通性���。企業(yè)無線網(wǎng)絡與公共網(wǎng)絡之間的漫游自動發(fā)生而無需任何用戶介入(例如啟動VPN客戶機)�����。除了減少基礎設施之外�����,企業(yè)還節(jié)省了維護和管理VPN服務器的相關費用?,F(xiàn)在參考圖1,其中示出了在公共因特網(wǎng)114上建立的典型虛擬專用網(wǎng)絡100��。虛擬專用網(wǎng)絡100包括受信網(wǎng)絡110和119之間的安全網(wǎng)絡隧道115�����。受信網(wǎng)絡110包括多個通過網(wǎng)絡112相互連接的計算機111����。受信網(wǎng)絡119包括多個通過網(wǎng)絡118相互連接的計算機117。網(wǎng)絡112和118通常是諸如以太網(wǎng)網(wǎng)絡之類的局域網(wǎng)(LAN)并分別通過安全網(wǎng)關113和116與公共因特網(wǎng)相連�����。兩個網(wǎng)絡110和119之間的網(wǎng)絡隧道115建立在基礎因特網(wǎng)114之上����。隧道115 上傳輸?shù)臄?shù)據(jù)對于因特網(wǎng)114而言是不可見的并且經(jīng)過封裝與因特網(wǎng)114的業(yè)務隔離。隧道115內(nèi)的業(yè)務對于因特網(wǎng)114而言似乎只是要經(jīng)過的另一業(yè)務流����。此外,兩個網(wǎng)絡110和 119之間承載有效負載的數(shù)據(jù)分組與附加分組標識和安全信息一起封裝在因特網(wǎng)協(xié)議的分組內(nèi)���。圖2示出了在諸如隧道115之類的基于IPsec的VPN通道上發(fā)送的數(shù)據(jù)分組的一個實例��。數(shù)據(jù)分組210可源自主機111或117并去往網(wǎng)絡中的其他計算機�����。數(shù)據(jù)分組210 包括IP標頭211和數(shù)據(jù)字段212��。IP標頭211 —般包含數(shù)據(jù)類型���、分組號、傳輸?shù)姆纸M總數(shù)以及發(fā)送方和接收方的IP地址��。為了使IP標頭211和數(shù)據(jù)字段212的內(nèi)容對發(fā)送方和接收方而言是保密的�����,當在因特網(wǎng)上發(fā)送時,這些字段包括在更大的數(shù)據(jù)分組213內(nèi)�。數(shù) 據(jù)分組213包括新的IP標頭214和封裝安全有效負載(ESP)標頭215。新的 IP標頭214和ESP標頭215被稱為外部IP標頭(216)�。原始IP標頭217和數(shù)據(jù)字段218 被稱為數(shù)據(jù)分組213的內(nèi)部IP標頭(219)。為了額外的安全保護����,內(nèi)部IP標頭219和原始數(shù)據(jù)字段212 —般在傳輸之前被發(fā)送節(jié)點進行加密,然后被接收節(jié)點進行解密���。圖3示出了用于允許移動用戶和客戶機設備使用VPN服務器通過運營商無線網(wǎng)絡和因特網(wǎng)接入專用網(wǎng)絡的網(wǎng)絡配置的一個實例�。諸如運營商網(wǎng)絡314之類的無線網(wǎng)絡通過空中傳輸數(shù)據(jù)��。所傳輸?shù)臄?shù)據(jù)可以由處于射頻(RF)信號范圍內(nèi)的任何人接收���?�?蛻魴C設備310可以是帶有集成802. Ix無線電設備并支持數(shù)據(jù)加密和客戶機認證的便攜計算機或通信設備���。客戶機設備310通過無線電天線311與運營商或公共無線網(wǎng)絡314的網(wǎng)關312 通信�。運營商或公共無線網(wǎng)絡314可以為WiMAX無線網(wǎng)絡。當客戶機設備310首次連接到網(wǎng)關312時��,通常需要公共網(wǎng)絡314的認證(AAA)服務器313對客戶機設備310進行認證和授權。為了防止未經(jīng)授權的用戶訪問通過公共或運營商網(wǎng)絡314傳輸?shù)臄?shù)據(jù)�����,多數(shù)無線技術(包括WiMAX)都對用戶進行認證并采用安全隧道在最終用戶設備與專用網(wǎng)絡之間交換數(shù)據(jù)���。隧道的終點為無線網(wǎng)絡的接入點或與所有接入點通信的諸如網(wǎng)關312之類的通用網(wǎng)關。WiMAX和其他無線網(wǎng)絡一般使用諸如可擴展認證協(xié)議(EAP)之類的質(zhì)詢-響應協(xié)議認證用戶�����。無線網(wǎng)關312請求最終用戶證書并將這些證書安全地返回到無線網(wǎng)關312���,無線網(wǎng)關312檢驗用戶是否有權使用公共無線網(wǎng)絡314���。一種認證用戶的方法是將客戶機證書轉(zhuǎn)發(fā)給認證服務器313,例如���,RADIUS服務器或DIAMETER服務器�。一旦用戶經(jīng)過認證并獲得授權�,便建立從用戶設備310到無線網(wǎng)絡314或網(wǎng)關312的安全隧道以允許在公共無線網(wǎng)絡314上安全地交換數(shù)據(jù)。如果無線網(wǎng)絡314位于企業(yè)內(nèi)部�����,則客戶機設備310可以開始接入企業(yè)的專用網(wǎng)絡316。但是通常并非如此���,因為無線網(wǎng)絡314通常由第三方運營商運營以提供對因特網(wǎng) 315的接入��。企業(yè)的專用網(wǎng)絡316也與因特網(wǎng)315相連以允許更廣泛的遠程接入覆蓋���。因此,企業(yè)一般具有可從因特網(wǎng)315接入的VPN服務器317���,并且用戶的客戶機設備310需要經(jīng)過VPN服務器317的認證和授權才能接入企業(yè)網(wǎng)絡316��。如果客戶機設備310經(jīng)過認證和授權��,則建立另一安全隧道��,這次的隧道是從最終用戶的客戶機設備310到企業(yè)的VPN服務器317��。圖3中還示出了位于企業(yè)場所內(nèi)通過園區(qū)(on-campus)無線網(wǎng)絡接入企業(yè)專用網(wǎng)絡316的用戶客戶機設備320���。所述園區(qū)無線網(wǎng)絡包括無線電天線319,客戶機設備320通過此天線與無線網(wǎng)關321相連���。無線網(wǎng)關321與企業(yè)認證服務器322和企業(yè)專用網(wǎng)絡316 相連�����。企業(yè)認證服務器322在客戶機設備320首次接入企業(yè)的園區(qū)無線網(wǎng)絡時處理客戶機設備320的認證和授權�����。圖3中的網(wǎng)絡配置展示了 WiMAX的功能之一���,即通過宏觀網(wǎng)絡(例如,網(wǎng)絡314)提供運營商無線服務和通過微微蜂窩網(wǎng)絡提供專用園區(qū)/室內(nèi)連通性����。圖4示出了根據(jù)本發(fā)明的示例性實施例的允許客戶機通過諸如WiMAX之類的運營商或公共無線網(wǎng)絡接入企業(yè)專用網(wǎng)絡的網(wǎng)絡配置?���?蛻魴C設備410通過無線電天線411與運營商或公共無線網(wǎng)絡414的網(wǎng)關412通信。當客戶機設備410首次連接到公共網(wǎng)關412時�����,公共網(wǎng)絡414的認證服務器413將對客戶機設備410進行認證和授權��。一旦在客戶機設備410和公共網(wǎng)關412之間建立了網(wǎng)絡隧道,公共認證服務器413 便充當允許對客戶機設備410進行認證和授權以便接入企業(yè)專用網(wǎng)絡416的代理����。下面將參考圖5-8詳細描述代理的客戶機認證。作為一個實例�����,示出了可通過因特網(wǎng)415和專用內(nèi)部網(wǎng)416的網(wǎng)關417從公共或運營商無線網(wǎng)絡414接入企業(yè)專用內(nèi)部網(wǎng)416��。通過因特網(wǎng)415接入專用網(wǎng)絡416時進一步借助防火墻423和424防止未經(jīng)授權的客戶機��。圖4還示出了位于企業(yè)場所內(nèi)通過園區(qū)無線網(wǎng)絡接入企業(yè)專用網(wǎng)絡416的最終用戶客戶機設備420���。所述園區(qū)無線網(wǎng)絡包括無線電天線419��,客戶機設備420通過此天線與無線網(wǎng)關421相連����。無線網(wǎng)關421又與企業(yè)認證(AAA)服務器422和企業(yè)專用網(wǎng)絡416相連�。企業(yè)認證服務器422處理客戶機設備420的認證和授權,如下面參考圖5-7所述?,F(xiàn)在參考圖5,其中示出了根據(jù)本發(fā)明的示例性實施例的客戶機接入專用網(wǎng)絡的過程,其中由公共無線網(wǎng)絡的認證服務器和網(wǎng)關代理客戶機認證��??蛻魴C設備510通過公共網(wǎng)絡514的無線網(wǎng)關512接入公共無線網(wǎng)絡514??蛻魴C510經(jīng)過公共網(wǎng)絡認證(AAA) 服務器513的認證之后通過無線電鏈路511與網(wǎng)關512相連。通常��,無線網(wǎng)關512會從客戶機設備510請求最終用戶證書���。網(wǎng)關512然后通過返回的證書檢驗用戶是否有權使用公共無線網(wǎng)絡514��。一種檢驗用戶的方法是將客戶機證書轉(zhuǎn)發(fā)到認證(AAA)服務器513。一旦用戶經(jīng)過認證服務器513的認證和授權�����,便會建立從用戶設備510到無線網(wǎng)關512的第一網(wǎng)絡隧道525��。圖5還示出了通過因特網(wǎng)515和專用網(wǎng)絡網(wǎng)關517與公共網(wǎng)絡514相連的企業(yè)專用網(wǎng)絡516�。備選地,專用網(wǎng)絡516可以通過諸如租用電話線路或光纖鏈路之類的其他類型的通信信道與公共網(wǎng)絡514相連�����。一旦建立了第一網(wǎng)絡隧道525,認證服務器513便會代理請求與企業(yè)專用網(wǎng)絡516 關聯(lián)的認證服務器522就接入專用網(wǎng)絡516對客戶機設備510進行認證��。在本發(fā)明的示例性實施例中�����,使用諸如下面所述的可擴展認證協(xié)議(EAP)之類的質(zhì)詢-響應協(xié)議對客戶機設備510進行認證��?���?蛻魴C設備510經(jīng)過認證服務器522的認證和授權之后,將在客戶機設備510和專用網(wǎng)絡網(wǎng)關517之間建立第二網(wǎng)絡隧道526以允許客戶機510安全地接入專用網(wǎng)絡516���。將參考圖6-7詳細地描述認證服務器522對客戶機設備510的認證和第二網(wǎng)絡隧道526的建立��。EAP 認證在本發(fā)明的示例性實施例中���,到無線網(wǎng)絡的客戶機認證基于可擴展認證協(xié)議 (EAP)的實現(xiàn)。EAP是經(jīng)常用于無線網(wǎng)絡和點對點連接的認證框架�。盡管EAP框架不限于無線網(wǎng)絡并可用于有線局域網(wǎng)認證,但是它在無線環(huán)境中更加常用�����。EAP框架提供基于端口的認證,其涉及請求方(客戶機)�����、認證方和認證服務器之間的通信�。請求方通常為諸如膝上型計算機之類的客戶機設備上的軟件;認證方是有線或無線接入點�;認證服務器通常是運行支持EAP實現(xiàn)的軟件的主機。認證方用作受保護網(wǎng)絡的安全衛(wèi)士�����。請求方(客戶機設備)只有在其身份經(jīng)過驗證并獲得授權之后才能通過認證方接入網(wǎng)絡的受保護側(cè)�。在認證中,請求方向認證方提供諸如用戶名/密碼或數(shù)字證書之類的證書�,并且認證方將所述證書轉(zhuǎn)發(fā)到認證服務器進行檢驗。如果所述證書在認證服務器的數(shù)據(jù)庫中被檢驗為有效��,則允許請求方(客戶機設備)訪問位于網(wǎng)絡受保護側(cè)的資源�。典型的認證過程包括以下階段���。-初始化檢測到新的客戶機(請求方)時���,啟用認證方的端口并將該端口設為 “未授權”狀態(tài)。-啟動為了啟動認證,認證方定期將EAP請求身份幀發(fā)送到指定地址�����。請求方偵聽此地址并在接收到EAP請求身份幀時使用包含請求方標識符的EAP響應身份幀進行響應����。認證方然后封裝該身份響應并將其轉(zhuǎn)發(fā)到認證服務器。請求方還可以通過將EAPOL-啟動幀發(fā)送到認證方來啟動或重新開始認證���。-協(xié)商認證服務器將回復發(fā)送到認證方�,所述回復包含指定它希望請求方執(zhí)行的EAP方法的EAP請求�����。認證方將EAP請求封裝在EAPOL幀中并將其發(fā)送到請求方��。請求方可以使用它希望執(zhí)行的其他EAP方法做出響應����,也可以開始所請求的EAP方法。-認證如果認證服務器和請求方就EAP方法達成一致���,則在請求方和認證服務器之間發(fā)送EAP請求和響應(通過認證方轉(zhuǎn)換)��,直到認證服務器響應以EAP成功消息或EAP 失敗消息���。如果認證成功����,認證方將端口設為“已授權”狀態(tài)并允許正常的業(yè)務�。在本發(fā)明的示例性實施例中,使用EAP-傳輸層安全(EAP-TLS)協(xié)議認證無線客戶機設備��。EAP-TLS為與認證服務器的安全通信提供了強安全性���,在認證中使用客戶機側(cè)證書����,并且多數(shù)客戶機操作系統(tǒng)均支持EAP-TLS����。在EAP-TLS認證期間,網(wǎng)絡客戶機初始地通過驗證服務器的TLS簽名來檢驗認證服務器的身份�?����?蛻魴C和服務器然后導出對稱密鑰以保護下一階段的EAP認證,在下一階段的EAP認證中�,由服務器驗證客戶機的身份。認證服務器將EAP-Request/Identity分組發(fā)送到客戶機���,并且客戶機使用包含客戶機用戶ID的EAP-Response/Identity分組響應認證方���。一旦接收到客戶機的身份,EAP服務器就響應以EAP-TLS/start分組�����。然后以客戶機發(fā)送ΕΑΡ-Response分組開始EAP-TLS會話�����。EAP服務器然后響應以包括 handshake> TLS certificate����、server_key_exchange 禾口 certificate—request ;^ 的ΕΑΡ-Request分組��。此信息封裝在ΕΑΡ-Request分組中���。證書消息包含用于密鑰交換公鑰(例如RSA或Diffie-Hellman密鑰交換公鑰)或簽名公鑰(例如RSA或數(shù)字簽名標準簽名公鑰)的公鑰證書鏈�。當服務器希望對等方通過公鑰對自身進行認證時,將包括certificate—request 消息���。如果對等方支持EAP-TLS并被配置為使用該協(xié)議�����,則會使用ΕΑΡ-Type = EAP-TLS的 ΕΑΡ-Response分組對ΕΑΡ-Request做出響應����。對等方響應包含對等方簽名公鑰的證書和對等方對EAP服務器的簽名后的認證響應�����。接收到此分組后��,EAP服務器將檢驗對等方的證書和數(shù)字簽名(如果接收到請求)�。如果對等方的認證不成功,則EAP服務器將發(fā)送具有ΕΑΡ-Type = EAP-TLS的 ΕΑΡ-Request分組���,其封裝了包含適當TLS警告消息的TLS記錄�����。如果對等方認證成功���,則 EAP服務器響應以具有ΕΑΡ-Type = EAP-TLS的ΕΑΡ-Request分組,其包括完成的握手消息���。 對等方然后通過發(fā)送具有ΕΑΡ-Type = EAP-TLS的ΕΑΡ-Response分組(不包含任何數(shù)據(jù)) 來檢驗完成的消息����。EAP服務器響應以ΕΑΡ-Success消息以結(jié)束認證過程�����。
權利要求
1.一種用于使客戶機設備通過公共無線網(wǎng)絡安全地接入專用網(wǎng)絡的網(wǎng)絡系統(tǒng)��,包括 公共網(wǎng)關���,其與所述公共網(wǎng)絡耦合并具有到所述客戶機設備的第一網(wǎng)絡隧道���;專用認證服務器,其與所述專用網(wǎng)絡耦合以便對所述客戶機設備進行認證�����,由所述公共網(wǎng)絡的認證服務器通過所述第一隧道代理客戶機認證�;以及專用網(wǎng)關�����,其與所述專用網(wǎng)絡和所述專用認證服務器耦合并具有到所述客戶機設備的第二網(wǎng)絡隧道����。
2.如權利要求1中所述的系統(tǒng)�,其中使用質(zhì)詢-響應認證協(xié)議建立所述第一和第二隧道。
3.如權利要求1中所述的系統(tǒng)��,其中使用可擴展認證協(xié)議EAP建立所述第一和第二隧道����。
4.如權利要求3中所述的系統(tǒng),其中所述可擴展認證協(xié)議是可擴展認證協(xié)議-傳輸層安全EAP-TLS協(xié)議�。
5.如權利要求1中所述的系統(tǒng),其中根據(jù)與所述客戶機設備關聯(lián)的用戶安全證書建立所述第一和第二隧道�。
6.如權利要求1中所述的系統(tǒng),其中加密與通過所述專用認證服務器認證所述客戶機設備所關聯(lián)的數(shù)據(jù)分組���。
7.如權利要求6中所述的系統(tǒng)��,其中所述公共網(wǎng)關將加密后的數(shù)據(jù)分組不加改變地轉(zhuǎn)發(fā)到所述專用認證服務器�����。
8.如權利要求1中所述的系統(tǒng)�����,其中通過所述專用認證服務器認證所述客戶機設備包括交換公鑰_私鑰對��。
9.如權利要求1中所述的系統(tǒng)�,其中所述公共網(wǎng)絡是WiMAX無線網(wǎng)絡��。
10.如權利要求1中所述的系統(tǒng)���,其中所述第一和第二隧道是IPsec隧道����。
11.如權利要求1中所述的系統(tǒng)��,其中所述第一和第二隧道允許在所述客戶機設備和所述專用網(wǎng)絡之間安全地交換數(shù)據(jù)����。
12.一種用于使客戶機設備通過公共無線網(wǎng)絡安全地接入專用網(wǎng)絡的計算機實現(xiàn)的方法,包括建立到與所述專用網(wǎng)絡耦合的所述公共無線網(wǎng)絡的網(wǎng)關的第一隧道�; 使用所述第一隧道通過所述專用網(wǎng)絡的認證服務器對所述客戶機設備進行認證,所述認證服務器與所述專用網(wǎng)絡的網(wǎng)關相連;以及在所述客戶機設備和所述專用網(wǎng)絡的網(wǎng)關之間建立第二隧道�����。
13.如權利要求12中所述的方法��,其中使用質(zhì)詢-響應認證協(xié)議建立所述第一和第二隧道�����。
14.如權利要求12中所述的方法�,其中使用可擴展認證協(xié)議EAP建立所述第一和第二隧道。
15.如權利要求14中所述的方法�,其中所述可擴展認證協(xié)議是可擴展認證協(xié)議-傳輸層安全EAP-TLS協(xié)議。
16.如權利要求12中所述的方法����,其中根據(jù)與所述客戶機設備關聯(lián)的用戶安全證書建立所述第一和第二隧道。
17.如權利要求12中所述的方法����,其中加密與通過所述專用認證服務器認證所述客戶機設備所關聯(lián)的數(shù)據(jù)分組。
18.如權利要求17中所述的方法��,其中所述公共網(wǎng)絡網(wǎng)關將加密后的數(shù)據(jù)分組不加改變地轉(zhuǎn)發(fā)到所述專用認證服務器���。
19.如權利要求12中所述的方法�����,其中通過所述專用認證服務器認證所述客戶機設備包括交換公鑰-私鑰對���。
20.如權利要求12中所述的方法����,其中所述公共網(wǎng)絡是WiMAX無線網(wǎng)絡��。
21.如權利要求12中所述的方法�����,其中所述第一和第二隧道是IPsec隧道����。
22.如權利要求12中所述的方法����,其中所述第一和第二隧道允許在所述客戶機設備和所述專用網(wǎng)絡之間安全地交換數(shù)據(jù)。
全文摘要
本發(fā)明涉及一種通過公共無線網(wǎng)絡安全地接入專用網(wǎng)絡的方法和系統(tǒng)���。所述系統(tǒng)在所述客戶機設備和所述公共無線網(wǎng)絡的網(wǎng)關之間建立第一隧道��,然后使用所述第一隧道通過所述專用網(wǎng)絡的認證服務器對所述客戶機設備進行認證�。由所述公共網(wǎng)絡的認證服務器代理所述認證。一旦認證成功���,就在所述客戶機設備和所述專用網(wǎng)絡的網(wǎng)關之間建立第二隧道��,以便由所述客戶機設備安全地接入所述專用網(wǎng)絡��。
文檔編號H04L29/06GK102215487SQ20111007866
公開日2011年10月12日 申請日期2011年3月30日 優(yōu)先權日2010年4月9日
發(fā)明者A·P·維斯基達, M·塞格雷 申請人:國際商業(yè)機器公司