专利名称:借助于ipsec和ike第1版认证的一次性密码的制作方法
借助于IPSEC和IKE第1版认证的一次性密码背景对于大多数专用网络,在允许客户机计算机访问网络上的资源之前需要某种形式的认证。在计算机或计算机的用户提供基于一个或多个“因素”的认证信息时,可认证客户机计算机。因素可以是用户拥有的某物,如智能卡,或者是用户知道的某事,如密码,或者是用户的某属性,如指纹或眼睑读取。认证所需的这些因素的数目和性质取决于不正确地授予访问的风险或客户机计算机未被授权访问网络的可能性。认证信息可直接基于这些因素中的一个或多个。在其它情况下,认证信息可从这些因素中的一个或多个中间接地得出。客户机计算机可向网络管理员信任的源提供这些因素中的一个或多个,然后该源可发放证书,将设备标识为有效客户机。证书可单独或结合其它因素来认证客户机计算机。不管信息是如何获得的,它可用作客户机计算机和访问控制机制之间交换的一部分,使得访问控制机制只在客户机可被认证的情况下才授予访问。·可采用各种机制来实施是对客户机授予还是拒绝访问的确定。通常,在认证过程之后,执行授权过程,使用认证信息以及附加参数来确定特定客户机的访问权限。基于客户机的访问权限来限制访问权的特定机制可取决于网络的传输层的实现。一般地,一旦客户机被认证,传输层会将与客户机的访问权项相一致的消息路由至该客户机或者从该客户机路由消息。对于未被认证的设备,即使它物理连接到网络,传输层也不向该设备或从该设备传递消息。一种实施访问判断的机制涉及使用被称为IPsec的协议。如果客户端未经认证,网络传输层将不形成供客户端发送和接收网络通信的IPsec会话。被认为是提供强安全的一种类型的认证是一次性密码。存在多种允许产生一次性密码的技术,例如以周期性间隔产生新密码或产生预先打印的密码列表的连接到时钟的电子设备。不考虑密码产生的形式,它们增强了安全性,这是因为密码仅在有限的时间周期内可以用来获得对网络的访问,这可以由相对短的时间间隔或通过使用密码界定。因此,即使恶意的第三方获得对密码的访问,该第三方也不太可能能够使用密码来访问网络。不幸的是,尽管IPsec广泛用于访问控制,但许多实现不支持一次性密码。形成IPsec会话可能需要使用因特网密钥交换(IKE)协议。广泛使用的第I版因特网密钥交换协议(IKEvl)不支持一次性密码。尽管第2版的因特网密钥交换协议(IKEv2)支持一次性密码,但IKEv2不被广泛使用,对于企业网络的远程访问控制来说尤其如此。概述发明人已经认识到并明白,可以通过使固有地不支持一次性密码的网络访问控制系统适配成仅将对网络的访问限于那些给出有效一次性密码的客户端来对网络安全作出改进。访问系统包括认证服务,一旦从包含一次性密码的客户端接收到认证请求,认证服务就将密码提交给一次性密码服务。一次性密码服务检查密码的有效性,并且如果经过验证,就返回该一次性密码经过验证的指示符。这种指示符可以被返回给客户端,然后,客户端可以连同对证书的请求一起提交指示。证书颁发中心在接收到指示符时将颁发有效证书。然后,客户端可以使用证书来形成连接。
由于证书颁发中心基于客户端提交一次性密码经过验证的指示符来有选择地颁发证书,所以访问被限于具有有效的一次性密码的客户端。以此方式,即使访问控制机制本身不使用支持一次性密码认证的协议,但依赖于有效证书的访问控制机制也对那些具有有效的一次性密码客户端允许访问并对不具有有效的一次性密码的客户端拒绝访问。作为特定的示例,访问控制机制可以使用IPsec安全关联,IPsec安全关联是使用IKEvl实施访问控制判决而形成的。以上是对由所附权利要求定义的本发明的非限定性的概述。附图
简述附图不旨在按比例绘制。在附图中,各个附图中示出的每一完全相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的,不是每一个组件在每张附图中均被标号。在附图中
图I是其中根据本发明的一些实施例可以认证客户端设备的示例性网络环境的略图;图2是根据本发明的一些实施例基于一次性密码获得证书的过程的示意性阐释;以及图3是基于图2的过程中所颁发的证书来获得网络访问的过程的示意性阐释。详细描述使用不支持一次性密码的访问控制的网络可以被适配成使用这样的密码。可以通过提供可以验证一次性密码并颁发客户端的一次性密码已经经过认证的指示的一个或多个服务来实现所述适配。证书颁发中心可以将授予用来获得网络访问的证书条件设定为请求这一证书的客户端已经接收到其一次性密码经过验证的指示。在一些实施例中,这种技术可以在企业网络中用来基于客户端是否具有有效的一次性密码对客户端授予或拒绝访问。以此方式,带有不支持一次性密码认证的远程访问控制系统的企业网络可以被适配成实现基于一次性密码的访问控制政策。在一些实施例中,该技术可以与遗留网络访问控制系统一起使用。作为示例,通过使用IKEvl的IPsec安全关联实施访问控制的系统可以被适配成要求有效的一次性密码用于网络访问。在此描述的技术可以在任何合适的网络环境中采用。在图I中阐释其中可以实践本发明的各实施例的网络环境的示例性的实施例。图I示出计算机系统100的略图,计算机系统可以由常规计算机系统中使用的设备构建。然而,计算机系统100与常规的计算机系统的不同之处在于,在计算机系统100内的设备被编程为要求一次性密码以获得对网络的访问。计算机系统100包括专用网络,在此示为管理网络120,它具有连接到网络的多个资源,如服务器124。客户机设备可连接到网络并访问网络资源。然而,网络是专用的,因为对网络的访问可只限于被授权的客户机设备。在该示例中,管理网络120可以是公司或企业中的网络。或者,管理网络120可以是较大网络的域或其它部分。受管网络120可由提供网络访问准则的个人或实体管理。在此处描述的示例性系统中,访问准则包括可从中标识经授权的客户机设备的一次性密码和其他息。至于可标识经授权的客户机设备的信息,可使用任何合适的信息。在一些实施例中,设备可以被认证是因为设备的用户被授权访问网络且已经将充当该授权的证据的信息输入到客户端中。在那些实施例中,认证信息可以与设备的用户有关,且可以是用户名或其他代码。在其他实施例中,信息可以仅与计算机上的多个用户会话相关联的多个用户中的一个有关。例如,如果计算机支持多个用户会话,那么可只授权用户会话的一个子集访问网络。在这些实施例中,认证信息可以与一个或多个特定用户会话相关。因此,本发明不受向其提供认证的实体的类型的限制。如图I所示,受管网络120包括网络设备,如服务器124和客户机IlOB和110C。此处广域网(WAN) 122示为互连网络设备。在这里,广域网(WAN) 122被示出为互连网络设备。为简化阐释而示出这种配置,但访问受控的网络可以包含多个互连的网络或包含不同的或附加的互连体系结构。同样为简单起见,阐释了少量的网络设备,但托管网络可以包含众多设备。设备可以通过提供访问控制的网关连接到托管网络120。为简单起见,示出了单个访问控制网关116。访问控制网关116可以是无论是现在已知的还是以后开发的无线接入点、硬布线接入点或任何其他类型的接入点的一部分。然而,在所阐释的示例中,访问控制网关116连接到诸如因特网等的公共网络130。这样的到公共网络的连接可以允许远程位·置处的客户端设备访问托管网络120,只要该远程客户端可以遵守由访问控制网关116实施的访问控制政策。在图I的示例中,访问控制网关116包括交换设备118和访问控制服务器112。访问控制服务器112可以通过用户接口 113或以任何其他合适的方式配置。交换设备118表示可包括在网络中的任何多种类型的交换设备。此处,交换设备118示出网络的传输层的组件。交换设备118可以是诸如路由器、开关、集线器、网关或任何其它合适交换设备的设备。在商业实现中,可以存在按需通过网络的路由分组所涉及的多个交换设备,但为简单起见仅示出一个这样的设备。图I的示例示出客户机IlOB和IlOC已经被给予对受管网络120访问。相反,图I示出客户端IlOA寻求通过访问控制网关116连接到托管网络120,且因而被阐释为在托管网络120外。在操作中,当诸如客户端IlOA等的客户端寻求访问托管网络120时,访问控制设备判断是否应给予客户端IlOA对托管网络120的访问权。在所阐释的实施例中,在访问控制服务器112中实现该访问控制设备。然而,应明白,包括其中所访问的网络设备充当访问控制设备的实施例在内的其他实施例是可能的。在其中在访问控制服务器112中做出访问决定的实施例中,访问控制服务器112可以被编程为至少部分地基于客户端是否提供适当的一次性密码来判断授予还是拒绝网络访问。另外,访问控制服务器112可以被配置为将访问权的条件设定为其他要素。例如,访问控制网关112可以认证客户端并验证该客户端报告遵守网络的“健康”政策的硬件配置或软件配置。不考虑所认证的客户端的各方面的数量和类型,除非所有所要求的方面都经过验证,否则访问控制服务器112不指示客户端应被授予网络访问权。访问控制服务器112将网络访问的判决传输到实施机制。实施机制可以被包含在网络120的传输层内,该传输层由交换设备118表不,但可以包含众多不同的或附加的设备。在所阐释的各实施例中,客户端应被授予网络访问权的判断可以通过要求诸如客户端IlOA等的远程客户端寻求访问托管网络120以形成安全关联来实施。
安全关联是本领域中已知的,且可以由一个由安全关联连接的联网设备用来判断源自作为安全关联的一部分的另一设备的网络通信。安全关联也可以被用来允许联网设备确保来自作为安全关联的一部分的另一设备的通信在传输之后不被改变。另外,安全关联可以被用来加密在通过安全关联链接的设备之间的通信。安全关联的这些用途有时被称为真实性、完整性和机密性。在此描述的各实施例中,访问控制网关可以使用安全关联来提供真实性、完整性和机密性。通过网关传输到经授权设备的消息可以由网关加密,以使得如果消息没有经过更改则它们可以仅由作为安全关联的一部分的经授权客户端解密。类似地,在网关处接收到的消息可以仅在它们可以被解密和被认证时被转发到托管网络120。然而,在其他实施例中,安全关联可以仅被用来确保真实性,且如果消息已经经过认证则网关可以传送这些消肩、O不考虑将安全关联用在网关中的具体的方式,可以通过在使得设备和网关共享秘密信息的协议中交换消息来形成安全关联。随后,这种秘密信息可以由客户端或网关在彼此发送信息时应用,以便使用已知的密码函数签署或加密该信息。也拥有对作为安全关联 的一部分的秘密信息的访问权收信者可以解密该信息和/或验证该信息是由共享安全关联的另一设备签署的。在图I的示例中,访问控制服务器112可以在网络130上与寻求网络访问的客户端IlOA交互。作为这些交互的结果,访问控制服务器112和远程客户端IlOA可以形成安全关联。交换设备118可以被配置为不允许来自客户端IlOA的通信直接地到达托管网络120。相反,那些通信可以首先在访问控制服务器112中处理。如果访问控制服务器112判断通信是使用所建立的安全关联发送的,那么那些通信可以被路由到托管网络120。如果通信是经加密的,则访问控制服务器112可以使用安全关联来解密通信,这允许诸如网络服务器124等的其他网络设备访问来自客户端设备IlOA的通信。相反,对于从网络120上的设备发送的通信,仅在已经根据由访问控制服务器112与经认证客户端形成的安全关联编码这样的通信时,交换设备118才允许将这样的通信传送到网络130上。因为网络通信根据安全关联加密,其他设备甚至是可以在公共网络130上访问通信的那些设备都可以不导出它们的内容。以此方式,仅在由诸如客户端IlOA等的远程客户端可以与访问控制服务器112形成有效的安全关联时,消息才可以由那些远程客户端发送给托管网络120上的设备或从这些设备接收。因此,以仅允许经授权客户端形成安全关联的方式形成安全关联。在形成安全关联之前,访问控制服务器112可以接收关于诸如客户端IlOA等的客户端的认证信息。认证信息可以以任何合适的方式获得。认证信息可以完全地或部分地基于通过客户端设备IlOA的用户接口输入到客户端设备IlOA的信息。替代地或另外,认证信息可以完全地或部分地基于在客户端和外部设备之间的交互。在这些场景中,认证信息可以是由外部设备执行的成功认证的证据。这样的证据可以是以证书的形式,访问控制服务器112可以使用该证书来判断是否授予访问。用于展示借助于外部设备的认证的证据的证书是本领域中已知的,且访问控制服务器112可以接受以已知格式的证书,尽管可以使用以展示借助于外部设备的认证的任何合适的格式的信息。在图I中所阐释的实施例中,认证服务器150是外部设备的示例。认证服务器150可以以任何合适的方式认证设备。正如所阐释的,认证服务器150可以维护可以被用来标识设备是否经授权的关于经授权设备的信息的数据存储152。例如,数据存储152可以包含经授权设备和诸如认证服务器可以用来判断设备是否提供有效密码的信息等的安全信息的列表。然而,可以使用任何其他合适的方法,且数据存储152可以包含不同的或附加的类型的信息,包括用于经授权设备的预先存储的密钥或用于认证经授权设备的其他安全信肩、O在所阐释的实施例中,客户端IlOA被示出为在诸如因特网等的公共网络130上访问认证服务器150。在此实施例中,在客户端IlOA和认证服务器150之间的通信可以经过加密,或以另外方式使用公钥/私钥加密来确保安全。然而,任何合适的机制可以用于在客户端IlOA和认证服务器150之间的通信。而且,在所阐释的实施例中,认证服务器150被示出为在网络120外。其他实施例 是可能的,包括使得认证服务器150是在网络120上。在这样的实施例中,交换设备118可以向未经认证的设备提供到认证服务器的受限连接性。不考虑认证服务器150的位置,可以提供用于在认证服务器150和访问控制服务器112之间的通信的机制。在所阐释的实施例中,该机制可以是通过证书。认证服务器150可以一旦成功认证客户端IlOA就向该客户端颁发证书。可以使用由访问控制服务器112可以验证的、认证服务器150持有的安全信息来签署证书。作为示例,证书可以借助于公钥/私钥对的私钥签署或加密。如果访问控制服务器112具有这一密钥对的公钥,则访问控制服务器112可以验证该证书是由认证服务器150颁发。证书可以包含由认证服务器150签署的标识客户端IlOA的信息以确保信息的完整性的,以使得访问控制服务器112可以判断该证书被颁发给客户端110A。因此,出于与客户端IlOA形成安全关联的目的,访问控制服务器112可以依靠证书来判断客户端IlOA经过认证。可以使用本领域中已知的类型的网络组件来自实现图I的计算机系统的组件。然而,认证服务器150可以被适配成仅向给出有效的一次性密码的设备颁发证书。以此方式,尽管访问控制网关116不能识别一次性密码,但对托管网络120的访问仍限于具有有效的一次性密码的客户端。因此,系统100中的访问控制技术可以与已经实现了访问控制网关而没有要求一次性密码的能力的现有网络一起使用。发明人已经认识到并明白,存在多种这样的网络。尤其,多种网络通过要求寻求访问网络的客户端使用带有因特网密钥交换协议第I版(IKEvl)的IPsec协议来与访问控制组件形成安全关联来实施访问判决。使用带有IKEvl的IPsec的访问控制网关在企业网络中普遍存在。因此,在这样的网络中添加认证服务器150或修改现有认证服务器可以使得网络适于实现要求一次性密码的访问控制政策。转到图2,阐释了寻求访问网络的诸如客户端IlOA等的客户端可以获得证书的过程。如图2中所示出的,客户端IlOA可以与认证服务器150通信。在客户端IlOA和认证服务器150之间的通信可以以任何合适的方式传输。在图I的示例中,这些通信在诸如因特网等的公共网络130上传输。然而,使用因特网不是对本发明的限制。在所阐释的实施例中,认证服务器150提供多种服务。那些服务包括认证服务210、一次性密码服务212和证书颁发中心214。这样的服务可以使用本领域中已知的编程技术来实现,以便使得计算机化设备适于在网络上与其他设备交互并将某些功能作为服务来提供。用于这样的通信的协议是已知的,且可以用于在客户端IlOA和认证服务210、一次性密码服务212和证书颁发中心214之间的通信。然而,任何合适的技术可以用来以可以使用的任何合适的格式实现服务。不考虑通信的具体格式,客户端IlOA从认证服务器150获得证书的过程可以从客户端IlOA将通信250发送给认证服务210开始。通信250可以作为例如在公共网络130上传送的一个或多个分组而被发送。不考虑通信250的具体格式,通信250可以将客户端IlOA的凭证从客户端IlOA传送给认证服务210。被包含在通信250内的凭证可以包括任何数量的本领域中已知的类型的凭证。这些凭证可以包括例如关于客户端设备IlOA的用户的信息或关于客户端设备本身的信息。例如,用户信息可以包括用户名和密码或基于用户名和密码的输入而产生的某种信息。除了本领域中已知的凭证之外,通信250可以包括一次性密码。在通信250内的一次性密码可以由附连到客户端IlOA的硬件组件产生。然而,这样的一次性密码可以由用 户输入或以另外方式使其对客户端IlOA可用。尽管图2通过单箭头阐释通信250,但应明白,通信250可以包含从客户端110到认证服务器150的多个传输。另外,可以响应于来自认证服务210的通信而发送这些传输中的一个或多个。作为特定的示例,认证服务210可以传送质询消息,客户端IlOA必须产生作为通信250的一部分的对该质询消息的适当响应。而且,尽管将通信250被称为包含凭证,但应明白,由于在此结合凭证或其他安全信息使用术语包含,它包括通信250实际上包含收信者从中可以验证发信者具有对凭证或其他安全信息的访问权的信息而不要求发送安全信息的可能性。不考虑通信250的格式,作为处理252的一部分,认证服务210可以处理所接收的信息。处理252可以要求认证服务210验证通信250中所包含的凭证对应于被授权访问网络120的客户端。这样的验证可以使用本领域中已知的技术来执行。另外,处理252可以要求有选择地产生到一次性密码服务212的通信254,这取决于凭证是否对应于经授权的客户端。认证服务210可以基于从客户端110接收到的被包含在通信250中的一次性密码形成通信254。一次性密码服务212可以在过程256中处理通信254。在过程256中,一次性密码服务212可以判断通信254是否包含有效的一次性密码。任何合适的技术可以用于处理256以便验证一次性密码,包括本领域中已知的用于验证一次性密码的技术。验证可以包括判断密码对应于有效的密码并且它出现在有效的时间两者。例如,由于密码已经过期或先前已经被使用,密码可以是无效的。然而,被用来验证一次性密码的具体技术不是本发明的关键。正如通信250,通信254被示出为单箭头。然而,应认识到,通信254可以要求在一次性密码服务212和认证服务210之间传送的一个或多个消息。另外,尽管为简单起见图2中未示出,但通信254中的信息可以基于由一次性密码服务212发出的信息而产生。作为特定的示例,一次性密码服务212可以发布由认证服务210提供给客户端IlOA的质询。由客户端IlOA发送的密码信息可以包括由一次性密码服务212发布的、由客户端IlOA用密码编码的质询。因此,尽管通信254被称为包含密码,但该密码可以以经编码格式或以任何其他合适的方式表不。
不考虑一次性密码服务212从客户端IIOA接收一次性密码的格式,一次性密码服务212可以发布指示尝试验证一次性密码的结果的通信258。通信258可以指示一次性密码成功地得到验证,或者可以指示该密码没有成功地得到验证。基于通信258的内容,认证服务210上的处理252可以是有条件的。如果通信258指不一次性密码的成功认证,认证服务210可以颁发cookie260,作为通信262的一部分,cookie 260被传送到客户端110A。在这一示例中,cookie 260指示认证服务210验证客户端250的凭证以及一次性密码服务212验证由客户端IlOA提供的一次性密码两者。然而,应明白,可以分别地指示客户端IlOA的认证和一次性密码的验证。如果那些条件中的任一个没有得到满足,则认证服务210在通信262中不颁发cookie 260。更一般地,除非已经满足对网络访问的所有要求,否则认证服务210不颁发cookie 260。在一些实施例中,如果不提供cookie 260,则可以完全地忽略通信262。然而,在其他实施例中,如果客户端110A不满足对访问的所有要求,则可以提供没有cookie 260的通信262。 Cookie 260可以是以任何合适的形式,包括本领域中已知的格式。例如,cookie260可以包含由认证服务210以这样一种方式来签署或加密的信息,这种方式使得cookie260的收信者可以随后验证cookie 260是由认证服务专门颁发给客户端110A的。不考虑cookie 260的格式,包括cookie 260的通信262允许客户端110A向证书颁发中心214表明它已经成功地给出认证服务210和一次性密码服务212已经验证的凭证,以使得客户端110A可以被视为是有权进行网络访问。因此,客户端110A可以将cookie260合并到通信270中。在此实施例中,通信270被发送给认证服务210。在处理272中,认证服务210在通信274中将该请求以及被包含在通信270内的cookie发送给证书颁发中心214。可以使用本领域中已知的协议来将通信274格式化为对证书颁发中心214的注册请求。在处理276中,证书颁发中心214可以使用本领域中已知的技术处理注册请求274。然而,该处理可以依赖于包含cookie 260的注册请求。如果在处理276中证书颁发中心214判断cookie 260是为客户端110A产生的以及通信270中的原始证书请求是由客户端110A发起的两者,则证书颁发中心214将证书颁发给客户端110A。处理276可以使用本领域中已知的技术来验证该证书请求是由为其请求证书的具体的客户端产生的。已知技术也可以用来验证cookie 260被颁发给客户端110A并由客户端110A转发两者。该验证可以基于在cookie 260内包含的信息结合使用客户端110A可用的秘密信息来编码该信息。客户端110A可用的秘密信息例如可以包括证书颁发中心214持有其相应密钥的密钥。作为特定的示例,秘密信息可以是证书颁发中心214持有其公钥的公钥/私钥对的私钥。然而,任何合适的机制可以供证书颁发中心214用来验证cookie260和证书请求的源。不考虑如何执行这种验证,如果证书颁发中心214验证信息,则证书颁发中心214将颁发在通信278中传输的证书。认证服务210可以在通信280中将证书转发给客户端IlOA0在这种场景中,通信280中的证书不直接地包含由一次性密码服务212颁发的信息。然而,除非客户端110A已经成功地给出一次性密码服务212所接受的有效的一次性密码,否则客户端110A不从证书颁发中心214接收证书。因此,尽管由证书颁发中心214颁发的证书可以是以通常用来形成安全关联的格式,但证书仍然可以是实施要求有效的一次性密码的政策的机制。转到图3,阐释了客户端IlOA可以使用这种证书来获得对网络的访问的过程。图3的过程从客户端IlOA发起与访问控制服务器112的网络交互310以形成安全关联开始。网络交互310可以要求本领域中已知的在网络设备之间用于建立安全关联的通信。在所阐释的实施例中,只要客户端IlOA和访问控制服务器112正确地彼此认证,网络交互310得到IPsec安全关联的形成。在所阐释的实施例中,网络交互310包括其中IKEvl被用来在客户端110和访问控制服务器112之间建立共享秘密阶段的。另外,网络交互310可以包括客户端IlOA将证书312传送给访问控制服务器112。证书312可以是由证书颁发中心214颁发的证书(图2)。如以上结合图2所述的,仅在客户端IlOA向证书颁发中心214表明客户端IlOA成功地将有效的一次性密码提供给一次性密码服务器212时颁发证书312。因此,尽管访问控制服务器112不确切地验证客户端IlOA给出了一次性密码,但除非客户端IlOA给出了有效的一次性密码,否则访问控制服务器112仍然不形成与客户端IlOA的安全关联。因此,尽 管由访问控制服务器112执行的处理314可以是本领域中已知的使用IKEvl来形成安全关联的常规处理,但除非客户端IlOA给出了一次性密码,否则仍然不形成安全关联,由此将对托管网络120的访问仅限制在可以给出有效的一次性密码以及任何其他所要求的凭证的客户端。如果客户端IIOA给出了一次性密码,且因此可以给出有效的证书312,处理314得到IPsec安全关联320的形成。基于安全关联,在网络120的传输层318内的访问实施组件可以允许在客户端IlOA和诸如网络设备124等的网络设备之间的通信。在传输层318内的具体组件对本发明来说不是关键,且任何合适的组件或组件的组合可以用来实施访问控制决定。然而,在一些实施例中,访问控制决定可以由图I的示例中的交换设备118或其他类似组件实施。不考虑实施访问控制判断的具体组件,基于在传输层内的处理324,由客户端IlOA使用IPsec安全关联320发送的网络交互322可以作为与网络设备124的网络交互326而传送到托管网络120。网络设备124可以接收网络交互326并对入站交互执行处理328并产生出站网络交互326。这样的出站网络交互326可以作为在安全关联320内的交互322通过传输层318。然而,如果不形成IPsec安全关联320,则传输层318不将通信从客户端IlOA传送到网络120,且这样的通信不被网络设备124接收。相反,由设备124发送的网络通信即使被定向到客户端IlOA也不被传输层318传送到网络120外。以此方式,除非客户端IlOA形成有效的安全关联320,否则阻止客户端IlOA与网络设备124通信,有效的安全关联320又要求证书,客户端IlOA仅在给出有效的一次性密码时才能获得证书。至此描述了本发明的至少一个实施例的若干方面,可以理解,本领域的技术人员可容易地想到各种更改、修改和改进。作为一个示例,描述其中客户端计算设备获得对托管网络的访问以便访问诸如服务器124等的网络资源的实施例。应明白,“客户端”不需要对任何网络资源执行任何具体功能。客户端可以被认为是寻求与服务交互以形成IPsec安全关联的任何计算设备,而不考虑该服务的本质或在其上实现该服务的设备的具体配置。例如,图2阐释认证服务210、一次性密码服务212和证书颁发中心214被包含在单个设备即认证服务器150内。不存在这些组件被包含在相同的物理设备内的要求,并且这些组件的功能可以在任何数量的合适的设备上分布。进一步,尽管存在访问控制服务器112和认证服务器150,但不存在这些组件在分离的设备上实现的要求。作为又一可能的变型的示例,图2示出通过认证服务210与一次性密码服务212和证书颁发中心214进行通信,这不是本发明的要求。例如,客户端IlOA可以直接地与证书颁发中心214通。而且,尽管描述了认证服务在它认证了客户端IlOA之后发送请求通信256,但这种次序不是关键。例如,认证服务可以在它接收应答通信258之后尝试认证客户端110A。 进一步,图3阐释其中IPsec被用于IPsec隧道模式的实施例。在此实施例中,在客户端IlOA和网关116之间形成IPsec隧道,且然后,网关将流量指引到诸如服务器124等的最终资源。IPsec隧道在网关上结束,从网关开始,可以清洁地发送或经由IPsec发送通信。在替代的实施例中,IPsec可以以IPsec传输模式使用。在此实施例中,可以在客户端IlOA和诸如服务器124等的最终资源之间创建端对端IPsec连接。在这种情况中,访问控制设备可以是最终资源的一部分,而非在诸如服务器112等的分离的访问控制设备中。这样的更改、修改和改进旨在是本发明的一部分,且旨在处于本发明的精神和范围内。从而,上述描述和附图仅用作示例。可以多种方式中的任一种来实现本发明的上述实施例。例如,可使用硬件、软件或其组合来实现各实施例。当使用软件实现时,该软件代码可在无论是在单个计算机中提供的还是在多个计算机之间分布的任何合适的处理器或处理器的集合上执行。该处理器可被实现为集成电路,集成电路组件中具有一个或多个处理器。然而,可使用任何合适形式的电路来实现处理器。此外,应当理解,计算机可以用多种形式中的任一种来具体化,如机架式计算机、台式计算机、膝上型计算机、或平板计算机。此外,计算机可以具体化在通常不被认为是计算机但具有合适的处理能力的设备中,包括个人数字助理(PDA)、智能电话、或任何其他适合的便携式或固定电子设备。同样,计算机可以具有一个或多个输入和输出设备。这些设备主要可被用来呈现用户界面。可被用来提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其他声音生成设备。可用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其他可听格式来接收输入信息。这些计算机可以通过任何合适形式的一个或多个网络来互连,包括作为局域网或广域网,如企业网络或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作,并且可以包括无线网络、有线网络或光纤网络。而且,此处略述的各种方法或过程可被编码为可在采用各种操作系统或平台中任何一种的一个或多个处理器上执行的软件。此外,这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写,而且它们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。就此,本发明可被具体化为编码有一个或多个程序的一个计算机可读介质(或多个计算机可读介质)(例如,计算机存储器、一个或多个软盘、紧致盘(CD)、光盘、数字视频盘(DVD)、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置、或其他非瞬态的有形计算机存储介质),当在一个或多个计算机或其他处理器上执行这些程序时,执行实现本发明的上述各个实施例的方法。这一个或多个计算机可读介质可以是可移植的,使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其他处理器上以便实现本发明上述的各个方面。如此处所使用的,术语“非瞬态计算机可读存储介质”只包含可被认为是产品(即,制品)或机器的计算机可读介质。此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另夕卜,应当理解,根据本实施例的一个方面,当被执行时实现本发明的方法的一个或多个计算·机程序不必驻留在单个计算机或处理器上,而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式,诸如程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以按需在各个实施例中进行组合或分布。而且,数据结构能以任何合适的形式存储在计算机可读介质上。为简化说明,数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而,可以使用任何合适的机制来在数据结构的各字段中的信息之间建立关系,例如通过使用指针、标签、或在数据元素之间建立关系的其他机制。本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安排来使用,从而并不将其应用限于前述描述中所述或附图形中所示的组件的细节和安排。例如,可使用任何方式将一个实施例中描述的各方面与其他实施例中描述的各方面组合。同样,本发明可被具体化为方法,其示例已经提供。作为该方法的一部分所执行的动作可以按任何合适的方式来排序。因此,可以构建各个实施例,其中各动作以与所示的次序所不同的次序执行,不同的次序可包括同时执行某些动作,即使这些动作在各说明性实施例中被示为顺序动作。在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、或者方法的各动作执行的时间顺序,而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。同样,此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。
权利要求
1.一种操作计算设备以建立IPsec会话的方法,所述方法包括 发送第一通信,所述第一通信包含一次性密码; 接收响应于所述第一通信的应答,所述应答包括成功地验证所述一次性密码的指示; 发送第二通信,所述第二通信包含所述指示; 接收响应于所述第二通信的证书,所述证书包括成功地验证所述一次性密码的指示;以及 借助于所述证书建立所述IPsec会话。
2.如权利要求I所述的方法,其特征在于 建立IPsec会话包括建立用于远程访问企业网络的IPsec会话。
3.如权利要求I所述的方法,其特征在于 成功地验证所述一次性密码的所述指示包括所述应答中的cookie。
4.如权利要求I所述的方法,其特征在于 发送所述第二通信包括发送用所述计算设备的私钥加密的参数。
5.如权利要求I所述的方法,其特征在于,进一步包括 在所述第二通信中用所述计算设备的私钥产生一个值。
6.如权利要求I所述的方法,其特征在于 发送所述第一通信包括发送目的地为认证服务的所述第一通信;以及 发送所述第二通信包括发送目的地为所述认证服务的所述第二通信。
7.如权利要求6所述的方法,其特征在于 接收所述应答包括接收包含由一次性密码服务产生的cookie的消息;以及 接收所述证书包括接收由证书颁发中心产生的证书。
8.如权利要求I所述的方法,其特征在于 发送所述第一通信包括发送目的地为认证网关的所述第一通信;以及 发送所述第二通信包括发送目的地为所述认证网关的所述第二通信。
9.一种系统,包括 耦合到网络的至少一个处理器,所述至少一个处理器实现 认证服务; 一次性密码服务; 证书颁发中心; 其中 所述认证服务适于在所述网络上从客户端接收第一通信,所述第一通信包含与所述客户端和一次性密码相关联的凭证, 所述认证服务适于验证与所述客户端相关联的所述凭证并将所述一次性密码传送给所述一次性密码服务; 所述一次性密码服务适于验证所述一次性密码并向所述认证服务返回所述一次性密码的验证的结果的指示; 所述证书颁发中心适于接收所述一次性密码的验证的结果的所述指示并在所述结果指示成功地验证所述一次性密码时颁发以及有选择地颁发证书。
10.如权利要求9所述的系统,其特征在于,所述认证服务、所述一次性密码服务和所述证书颁发中心包括认证网关。
11.如权利要求9所述的系统,其特征在于 与所述客户端相关联的所述凭证包括所述客户端的用户的凭证;以及 所述认证服务适于认证所述用户的所述凭证。
12.如权利要求9所述的系统,其特征在于 所述系统进一步包括企业网络,所述企业网络包括访问控制网关;以及所述访问控制网关适于有选择地形成将对所述企业网络的访问授权给具有由所述证书颁发中心发出的证书的客户端计算机的IPsec会话。
13.如权利要求12所述的系统,其特征在于 所述企业网络不支持基于一次性密码认证的远程访问控制。
14.如权利要求13所述的系统,其特征在于,所述企业网络使用IKEvl访问控制。
15.如权利要求9所述的系统,其特征在于 所述证书颁发中心适于基于所述客户端的认证执行公钥加密;以及在所述客户端使用基于公钥加密的认证成功地认证且所述结果指示成功地验证所述一次性密码时,所述证书颁发中心有选择地颁发所述证书。
全文摘要
一种系统适于尽管网络访问控制使用不支持一次性密码的IKEv1也在IPsec会话上将对网络的访问的条件设定为提供正确的一次性密码的客户端。认证服务从客户端接收包括一次性密码的访问请求,并将该一次性密码提供给检查密码的服务。在成功地验证密码且正确地认证客户端时,一次性密码服务返回cookie。该cookie被传送给客户端计算机,客户端计算机将cookie用作对证书的请求的一部分。如果从经认证的客户端接收到对证书的请求,则证书颁发中心产生证书,证书又可以用来形成用于访问网络的IPsec会话。
文档编号H04L9/32GK102893575SQ201180023577
公开日2013年1月23日 申请日期2011年4月27日 优先权日2010年5月13日
发明者A·埃亚勒, B·伯恩斯坦, A·巴-阿南, N·韦雷德 申请人:微软公司