专利名称:利用继承的安全属性来管理安全网络中的代理请求的系统和方法
技术领域:
本发明涉及计算机安全,更具体地说,涉及利用继承的鉴权和授权属性来管理安全网络中的代理请求的系统和方法。
背景技术:
代理服务一般驻留在一个服务器内,该服务器位于客户机应用,例如web浏览器和另一服务器,例如内容服务器之间。代理服务可被配置成代表其它服务器,管理与客户机应用的通信。代理服务可起客户机应用的服务器的作用,和起其它服务器的客户机的作用。代理服务通常被用于帮助客户机应用接入企业内部网中的服务器。
代理服务(有时称为应用代理)通常分为两类类属代理服务和应用感知代理服务。就类属代理,例如SOCKetS(SOCKS)代理等来说,因特网上希望与企业内部网上的服务器通信的客户机应用通常必须打开与代理服务的连接,并通过代理专用协议着手指示实际服务器的位置。类属代理代表客户机应用打开连接,此时,常规应用协议会起动。之后,类属代理实质上一般起简单的中继机构的作用。
应用感知代理服务包括能够认识它们支持的应用协议的代理服务器。应用感知代理服务包括FTP、Telnet、HTTP等。
一般,应用感知代理服务通过鉴权客户机应用,确保客户机应用被授权接入服务器,并允许接入服务器,控制对服务器上的所需应用的接入。在许多应用感知代理服务,例如HTTP代理服务中,接入控制判定以底层TCP连接的性质为基础,在所述底层TCP连接上,代理服务接收接入请求。
但是在许多情况下,为了保护客户机应用和服务器之间的通信,还需要安全性。通常通过利用安全隧道,能够实现通信的保护。可利用各种机制,包括HTTPS/SSL、TLS等,实现安全隧道。通过利用充当中间物的独立应用,在客户机和代理应用之间转发通信,能够产生这种安全隧道。
不幸的是,安全隧道的使用会阻碍对代理服务采用的底层TCP连接的性质的接入。这会使得难以可靠地保护到服务器的通信,和客户机的对服务器的代理接入。另外,由于不能表述客户机和代理服务采用的应用协议中的安全性质,代理服务对安全隧道的安全性质知之甚少(即使有的话)。这使关于通信和对服务器的代理接入的保护方案进一步复杂。于是,本行业中需要一种管理安全网络内的代理请求的改进方法和系统。从而,正是关于这些及其它考虑因素,做出了本发明。
参考附图,说明了本发明的非限制性和非排他性实施例。附图中,除非另有说明,否则相同的附图标记代表各个图中的相同部分。
结合附图,参考下面的本发明的详细说明,可更好地理解本发明,其中图1图解说明本发明可在其中工作的环境的一个实施例;图2图解说明可在安全代理系统100内工作的、用于管理安全网络上的代理请求的功能组件的一个实施例的方框图;图3图解说明可被用于实现本发明的接入服务器的一个实施例的方框图;图4图解说明可被用于实现本发明的客户机设备的一个实施例的方框图;图5是图解说明根据本发明的一个实施例,利用继承的安全属性,管理安全网络内的代理请求的过程的流程图。
具体实施例方式
下面将参考附图更充分地说明本发明,附图构成详细说明的一部分,并且举例说明了可实践本发明的具体例证实施例。但是,本发明可用许多不同的形式具体体现,不应被理解成局限于这里陈述的实施例;相反,提供这些实施例,以致本公开将更透彻和完整,并且将向本领域的技术人员完整地通报本发明的范围。除了其它之外,本发明可被具体体现成方法和设备。因此,本发明可采用全硬件实施例,全软件实施例或者组合软件和硬件的实施例的形式。于是,下面的详细说明不要被理解为对本发明的限制。
术语“包含”、“包括”、“含有”、“具有”和“其特征在于”指的是开放式的或者包含的过渡结构,并不排除另外的、未列举的部件或方法步骤。例如,包括A和B部件的组合也可理解为A、B和C部件的组合。
“a”、“an”和“the”的含义包括复数引用。“在...中”的含义包括“在...中”和“在...上”。另外,除非另作说明或者与这里的公开不一致,否则对单数的引用包括对复数的引用。
术语“或者”是“或”运算符,包括术语“和/或”,除非上下文明确地另有说明。
这里使用的短语“在一个实施例中”不一定指的是相同的实施例,尽管可能是相同的实施例。
术语“根据”不是排他的,规定基于未描述的其它因素,除非上下文明确地另有说明。
术语“分组”包括IP(网际协议)分组。术语“流”包括通过网络的分组的流动。术语“连接”指的是通常共用公共来源和目的地的分组的流动。
简单地说,本发明的目的在于一种利用继承的安全属性,管理安全网络上的代理请求的系统、设备和方法。使代理通信,例如HTTP代理通信穿过安全隧道,以致代理请求继承安全隧道的安全属性。安全属性可被用于实现对服务器的代理接入,从而把安全隧道的安全性质扩展到穿过它的代理连接。安全隧道服务接收来自客户机的代理请求,并修改该代理请求,以包括至少一个安全属性。随后代理服务可采用所述至少一个安全属性批准对服务器的接入。在一个实施例中,安全隧道是HTTPS建立的隧道。安全属性可包括与客户机相关的IP地址,与安全隧道相关的安全性质,公共密钥证书,配置成实现对内容服务器的客户机接入的接入控制数据,与客户机相关的安全凭证,会话标识符等。在一个实施例中,安全属性是代理服务可用于确定一个另外的安全属性的标识符。如果根据继承的安全属性,客户机被授权,那么可建立到所请求服务器的连接。
例证的工作环境图1图解说明系统可在其中工作的环境的一个实施例。但是,实践本发明可能并不需要所有这些组件,在不脱离本发明的精神或范围的情况下,可在组件的排列和类型方面做出各种变化。
如图1中所示,安全代理系统100包括客户机102,广域网(WAN)局域网(LAN)104,接入服务器106和内容服务器108。WAN/LAN 104与客户机102和接入服务器106通信。接入服务器106与内容服务器108通信。
客户机106可以是能够通过网络,例如WAN/LAN 104往来于另一网络设备,例如接入服务器106,发送和接收分组的任意网络设备。一组这样的设备可包括一般利用有线通信媒介连接的设备,例如个人计算机,多处理器系统,基于微处理器的或可编程的消费电子产品,网络PC等。一组这样的设备还可包括一般利用无线通信媒介连接的设备,例如蜂窝电话机,智能电话机、寻呼机、对讲机,射频(RF)设备,红外(IR)设备,CB,组合一个或多个前述设备的集成设备等。另一方面,客户机102可以是能够利用有线或无线通信媒介连接的任意设备,例如PDA,POCKET PC,可佩带的计算机,和被装备成通过有线和/或无线通信媒介通信的任意其它设备。下面结合图4更详细地说明客户机102的一个
WAN/LAN 104能够采用任意形式的计算机可读媒介把信息从一个电子设备传送给另一电子设备。另外,除了局域网(LAN),广域网(WAN),直接连接,例如通过通用串行总线(USB)端口,其它形式的计算机可读媒介和它们的任意组合之外,WAN/LAN 104还可包括因特网。在一组互连的LAN(包括基于不同的体系结构和协议的那些LAN)上,路由器充当LAN之间的链路,使消息能够从一个LAN发送给另一LAN。另外,LAN内的通信链路一般包括双绞线或同轴电缆,而网络之间的通信链路可利用模拟电流线,完全专用或部分专用数字线路(包括T1、T2、T3和T4),综合业务数字网(ISDN),数字用户线(DSL),包括卫星链路的无线链路,或者其它通信链路。此外,远程计算机和其它相关电子设备可通过调制解调器和临时电话链路,远程地与LAN或WAN连接。
这样,会认识到因特网本身可由大量这样的互连网络,计算机和路由器构成。一般来说,术语“因特网”指的是使用传输控制协议/网际协议(“TCP/IP”)协议组相互通信的网络、网关、路由器和计算机的全球集合。因特网的中心是发送数据和消息的主节点或主计算机,包括成千上万的商业、政府、教育和其它计算机系统之间的高速数据通信线路的主干线。本发明的一个实施例可在因特网内实践,而不会脱离本发明的精神或范围。
用于在如上所述的通信链路中传送信息的媒介举例说明一种计算机可读媒介,即通信媒介。一般来说,计算机可读媒介包括可被计算设备接入的任意媒介。计算机可读媒介可包括计算机存储媒介,通信媒介,或者它们的任意组合。
通信媒介一般把计算机可读指令,数据结构,程序模块,或者其它数据包含在调制数据信号,例如载波或其它传送机构中,并且包括任意信息传递媒介。术语“调制数据信号”包括按照以便对信号中的信息编码的方式,设置或改变其一个或多个特征的信号。例如,通信媒介包括有线媒介,例如双绞线,同轴电缆,光纤,波导管和其它有线媒介,以及无线媒介,例如声,RF,红外和其它无线媒介。
接入服务器106可包括能够管理客户机102和内容服务器108之间的分组流的任意计算设备。分组流中的每个分组可传送一条信息。可发送分组用于握手,即,建立连接或者确认数据的接收。分组可包括诸如请求、响应之类的信息。例如,分组可包括对接入服务器108的请求。分组还可包括在接入服务器108和客户机102之间建立安全通信的请求。这样,采用各种安全技术,包括(但不限于)在安全套接字层(SSL),第二层隧道协议(L2TP),传输层安全性(TLS),隧道TLS(TTLS),IPSec,安全HTTP(HTTPS),可扩展的鉴权协议(EAP)等中采用的那些安全技术,可对在客户机102和接入服务器108之间传递的分组加密。
通常,在客户机102和接入服务器106之间接收的分组将按照TCP/IP被格式化,但是也可利用另一种传输协议,例如用户数据报协议(UDP),因特网控制消息协议(ICMP),NETbeui,IPX/SPX,权标环等格式化这些分组。在一个实施例中,分组是HTTP格式化分组。
在一个实施例中,接入服务器106被配置成保护内容服务器108免于未经授权的接入。这样,接入服务器106可包括各种分组过滤程序,代理应用和筛选应用,以确定分组是否被批准。这样,接入服务器106可被配置成起网关、防火墙、反向代理服务器、代理服务器、安全桥等的作用。在一个实施例中,接入服务器106可起HTTP/SSL-VPN网关的作用。下面结合图3更详细地说明了接入服务器106的一个实施例。
虽然图1中,接入服务器106被图解表示成单个设备,不过本发明并不局限于此。管理客户机102和内容服务器108之间的接入和通信的接入服务器106的组件可安排成多个网络设备上,而不会脱离本发明的范围。例如,在一个实施例中,管理用于客户机102和内容服务器108之间的通信的安全隧道的组件可部署在一个网络设备中,而管理对内容服务器108的接入控制的代理服务可部署在另一网络设备中。
内容服务器108可包括配置成向客户机,例如客户机102提供内容的任意计算设备。内容服务器108可被配置成起网站,文件系统,文件传输协议(FTP)服务器,网络新闻传输协议(NNTP)服务器,数据库服务器,应用服务器等的作用。可用作内容服务器108的设备包括(但不限于)个人计算机,桌上计算机,多处理器系统,基于微处理器的或者可编程的消费电子产品,网络PC,服务器等。
图2图解说明可在安全代理系统100内工作的,用于管理安全网络上的代理请求的功能组件的一个实施例的方框图。但是,实践本发明可能并不需要所有这些组件,在不脱离本发明的精神或范围的情况下,可在组件的排列和类型方面做出各种变化。
如图2中所示,功能组件200包括客户机服务202,安全隧道204,接入服务206和内容服务208。客户机服务202包括代理客户机210和安全隧道客户机212。接入服务206包括接入控制服务214和代理服务216。
安全隧道客户机212与代理客户机210和安全隧道204通信。接入控制服务214与安全隧道204和代理服务216通信。代理服务216再与内容服务208通信。
客户机服务202可以驻留在图1的客户机102中,而接入服务206可驻留在图1的接入服务器106内。
代理客户机210事实上可包括配置成能够实现关于代理连接的请求,以及保持与另一应用的代理连接的任意服务或者一组服务。在一个实施例中,另一应用驻留在另一设备,例如图1的接入服务器106上。代理客户机210可采用各种机构来请求和保持代理连接,包括(但不限于)web浏览器,HTTP代理客户机,端口转发应用,端口转发小程序,支持Java的代理客户机等。
安全隧道客户机212事实上包括配置成使客户机,例如图1的客户机102能够与接入控制服务214建立安全隧道的任意服务。安全隧道客户机212可包括web浏览器内能够建立安全隧道的组件。安全隧道客户机212还可包括诸如SSL组件,TLS组件,加密/解密组件,可扩展鉴权协议(EAP)组件,IPSec组件,安全的超文本传输协议(HTTPS)组件,802.11安全组件,SSH组件之类的组件。
安全隧道客户机212还可包括配置成保存用于产生和维持安全隧道的安全属性的仓库、数据库、文本文件等。这样的安全属性可包括(但不限于)证书,包括X.509证书和类似的公共/专用密钥证书,加密密钥等。还可在安全事务的各方之间增加、共享或以类似方式处理安全属性。
安全隧道204事实上包括能够通过网络,实现客户机和服务器,例如图1的客户机102和接入服务器106之间的安全通信的任意机构。安全隧道204能够在另一种协议格式内,实现一种协议格式的分组的传输。安全隧道204可采用封装、加密等来确保通信是安全的。安全隧道204可采用各种机构来保护通信,包括(但不限于)SSL、TLS、EAP、IPSec、HTTPS、无线等效保密(WEP)、Wi-Fi受保护接入(WPA)、无线链路层安全(WLLS)等。
接入控制服务214事实上包括使服务器,例如图1的接入服务器106能够建立和维持与客户机的安全隧道204的任意服务或者一组服务。接入控制服务214可包括基本上与安全隧道客户机212类似,配置成起服务器作用的组件。这样,接入控制服务214可包括SSL组件,TLS组件,加密/解密组件,EAP组件,IPSec组件,HTTPS组件,802.11安全组件,SSH组件等。
接入控制服务214还可包括配置成保存可用于产生和维持安全隧道的安全属性,包括安全控制许可(例如授权)的仓库、数据库、文本文件等。这样的安全属性包括(但不限于)与接入服务206相关联的证书,包括X.509证书和类似的公共/专用密钥证书,随机产生的数据,加密密钥等。
接入控制服务214还被配置成通过安全隧道接收代理请求。通过把安全属性包含到代理请求中,接入控制服务214可修改代理请求。接入控制服务214可组合首标和代理请求,这里首标包括安全属性。接入控制服务214可选择加密首标,首标和代理请求,等等。
通过修改代理请求以包括安全属性,本发明能够实现整个范围的接入控制选项,而不需要修改传送给客户机的内容。由于适用于代理客户机的内容多种多样,这种多样性致使修改内容的方法成为天生不完善,并且可能使人不满意的解决方案。
安全属性可与安全隧道204的性质相关联。安全属性还可与客户机,例如图1的客户机102的安全性质相关联。这样的安全性质可包括接入控制数据,IP地址,数字证书等。安全属性还可包括与客户机相关的标识符,使代理服务216能够确定与该客户机相关的其它安全属性。
接入控制服务214被配置成建立与代理服务216的连接,并把修改后的代理请求转发给代理服务216。在一个实施例中,接入控制服务214和代理服务216之间的连接包括安全连接。利用各种机制,包括(但不限于)产生另一安全隧道,封闭接入控制服务214和代理服务216之间的通信,对通信加密等,可建立这种安全连接。
接入控制服务214还可被配置成把关于已知代理服务,例如代理服务216的代理请求和其它请求,其它通信,例如安全隧道客户机212和接入控制服务214之间的控制信息等等区分开。
代理服务216事实上包括使得能够代表内容服务208,管理与客户机应用的通信的任意服务。代理服务216还被配置成从接入控制服务214接收修改后的代理请求。
代理服务216可采用安全属性取回与请求客户机应用,安全隧道,接入控制权限等相关的另外的安全属性。另外的安全属性可驻留在仓库、数据库、文本文件等中。安全属性仓库(未示出)可由代理服务216,接入控制服务214保持,由代理服务216和接入控制服务214共同保持,甚至由另一服务(未示出)保持。
代理服务216可采用首标内的安全属性来确定是否批准代理请求,完成代理请求,报以出错消息等。
代理服务216还可被配置成区分通过安全隧道“转发”到达的连接,和通过非安全隧道,网络等到达的另一连接。
图3图解说明了可被用于实现本发明的接入服务器的一个实施例的方框图。接入设备300可包括比图示那些组件多得多的组件。但是,所示组件足以公开用于实践本发明的一个例证实施例。
接入设备300包括处理单元312,视频显示适配器314和大容量存储器,它们都通过总线322相互通信。大容量存储器一般包括RAM 316,ROM 332,以及一个或多个永久大容量存储设备,例如硬盘驱动器328、磁带驱动器、光盘驱动器和/或软盘驱动器。大容量存储器保存控制接入设备300的操作的操作系统320。可采用通用操作系统。另外还提供基本输入/输出系统(“BIOS”)318,以便控制接入设备300的低级操作。
如图3中所示,接入设备300还能够通过网络接口单元310,与因特网,或者其它一些通信网络,例如图1中的WAN/LAN 104通信,网络接口单元310被构造成供包括TCP/IP协议在内的各种通信协议使用。网络接口单元有时被称为收发器或者收发装置。
如上所述的大容量存储器举例说明一种计算机可读媒介,即计算机存储媒介。计算机存储媒介可包括按照任意方法或技术实现的,用于存储信息,例如计算机可读指令,数据结构,程序模块或其它数据的易失性,非易失性,可拆卸的和不可拆卸的媒介。计算机存储媒介的例子包括RAM、ROM、EEPROM、快速存储器或其它存储器技术、CD-ROM、数字通用光盘(DVD)或者其它光学存储器、盒式磁带、磁带、磁盘存储器、或者其它磁性存储装置、或者可被用于保存信息的任意其它媒介。
在一个实施例中,大容量存储器保存用于实现操作系统320的程序代码和数据。大容量存储器还可保存用于实现接入设备300的功能的其它程序代码和数据。一个或多个应用350等可被载入大容量存储器中,并在操作系统320上运行。结合图2所述的接入控制214和代理服务216是可在操作系统320上运行的其它应用的例子。
接入设备300还可包括用于与外部装置,例如鼠标、键盘、扫描仪或者图3中未示出的其它输入装置通信的输入/输出接口324。同样地,接入设备300还可包括另外的大容量存储设备, 例如CD-ROM/DVD-ROM驱动器326和硬盘驱动器328。除了其它内容之外,接入设备300还利用硬盘驱动器328保存应用,数据库等。
图4图解说明了可被用于实现本发明的客户机设备的一个实施例的方框图。客户机设备400可包括比图示那些组件多得多的组件。但是,所示组件足以公开用于实践本发明的一个例证实施例。
如图4中所示,客户机设备400可包括许多和接入服务器300中的组件基本类似的组件。但是,本发明并不局限于此,客户机设备400可包括多于或少于接入服务器300的组件。
但是,如图4中所示,客户机设备400包括处理单元412、视频显示适配器414和大容量存储器,它们都通过总线422相互通信。大容量存储器一般包括RAM 416,ROM 432,以及一个或多个永久大容量存储设备,例如硬盘驱动器428、磁带驱动器、光盘驱动器和/或软盘驱动器。大容量存储器保存控制客户机设备400的操作的操作系统420。实际上可采用任意通用操作系统。另外还提供基本输入/输出系统(“BIOS”)418,控制客户机设备400的低级操作。
在一个实施例中,大容量存储器保存用于实现操作系统420的程序代码和数据。大容量存储器还可保存用于实现客户机设备400的功能的其它程序代码和数据。一个或多个应用450等,包括结合图2所述的代理客户机210和安全隧道客户机212可被载入大容量存储器中,并在操作系统420上运行。
客户机设备400还能够通过网络接口单元410,与因特网,或者其它一些通信网络,例如图1中的WAN/LAN 104通信。客户机设备400还可包括用于与外部装置,例如鼠标、键盘、扫描仪或者图4中未示出的其它输入装置通信的输入/输出接口424。同样地,客户机设备400还可包括另外的大容量存储设备,例如CD-ROM/DVD-ROM驱动器426和硬盘驱动器428。除了其它内容之外,客户机设备400还利用硬盘驱动器428保存应用,数据库等。
管理安全网络内的代理的例证方法图5是图解说明根据本发明的一个实施例,利用继承的安全属性,管理安全网络内的代理请求的过程的流程图。在一个实施例中,在图3的接入服务器300内实现过程500。
在开始方框之后,在方框502开始过程500,在方框502,建立与客户机的安全隧道。在一个实施例中,客户机可带外鉴权,从而直接与接入服务建立会话,并确定至少一个安全属性。在另一实施例中,在客户机和接入服务之间建立安全隧道。接入服务可包括(但不限于)网关应用,过滤应用,SSL服务器应用等。在本发明的一个实施例中,可利用安全隧道客户机等建立安全隧道。安全隧道客户机可采用任意各种机制来建立安全隧道,包括(但不限于)采用HTTPS请求,SSL机制,TLS机制,TTLS机制,PEAP机制,IPSec机制等。建立安全隧道会导致客户机向接入服务发送安全属性,包括(但不限于)加密密钥、凭证、证书、密码设置、随机产生的数据、IP地址等。接入服务可采用安全属性鉴权客户机,并建立安全隧道。当建立了安全隧道时,处理进行到方框504。
在方框504,通过安全隧道接收代理请求。在一个实施例中,客户机向接入服务发送代理请求。客户机可采用任意各种机制来发送代理请求。例如,客户机可通过端口转发小程序,或者安全隧道会话语境内的类似代理客户机,启动操作。在一个实施例中,代理客户机是HTTP代理客户机。客户机可选择并配置web浏览器,或者类似的应用,以便采用端口转发小程序等作为其代理客户机。随后通过web浏览器等,客户机可利用URL、NAT分配地址等,发出代理请求。web浏览器随后可采用代理客户机通过安全隧道,把代理请求转发给接入服务。
处理前进到方框506,在方框506,启动与代理服务的连接。通过打开与代理服务的连接,接入服务器可启动该连接。在一个实施例中,代理服务可与安全端口等连接,以便建立该连接。在另一实施例中,代理服务可利用回送地址,例如127.0.0.1等连接,从而建立该连接。
过程500进行到方框508,在方框508,通过安全隧道从代理客户机收到的代理请求被修改,以便包括安全属性。在一个实施例中,安全属性可包括可被代理服务用于查寻另一安全属性的标识符。所述另一安全属性可由接入服务代表代理服务保持。根据关于客户机、安全隧道等的已知信息,包括(但不限于)口令信息、TCP/IP地址信息、加密密钥、公共/专用密钥证书、客户机接入权限等,所述另一安全属性也可由代理服务保持。
用于修改代理请求的安全属性还可包括(但不限于)与安全隧道相关的安全性质,公共密钥证书,与客户机相关的安全凭证,会话标识符,密码设置,随机产生的数据,加密口令等。事实上,安全属性还可包括与安全隧道相关的任意安全属性。
安全属性可被用于修改分组首标,封装首标等。随后可把首标与代理请求结合起来,产生修改后的代理请求。
处理进行到方框510,在方框510,修改后的代理请求被转发给代理服务。代理服务可采用修改后的代理请求,包括首标内的安全属性,确定是否批准代理请求,或者报以恰当的出错消息等。总之,当方框510结束时,过程500返回调用过程,以执行其它动作。在一个实施例中,所述其它动作包括(但不限于)代理服务处理请求并报以所需的内容,提供出错消息等。
显然上述流程图中的每个方框,以及上述流程图中的方框的组合可用计算机程序指令实现。这些程序指令可被提供给处理器,以产生一台机器,从而在处理器上执行的指令产生用于实现在流程图方框中规定的动作的装置。计算机程序指令可由处理器执行,使处理器执行一系列的操作步骤,从而产生计算机可实现的过程,以致在处理器上执行的指令提供用于实现在流程图方框中规定的动作的步骤。
虽然关于在客户机设备和服务器之间传送的分组说明了本发明,但是本发明并不局限于此。例如,事实上,分组可在任意资源之间传送,包括(但不限于)多个客户机、多个服务器和任意其它设备,而不会脱离本发明的范围。
因此,流程图的方框支持实现规定动作的装置的组合,实现规定动作的步骤的组合,以及实现规定动作的程序指令装置。另外要明白流程图的每个方框,以及流程图中的方框的组合可由实现规定动作或步骤的基于专用硬件的系统,或者专用硬件和计算机指令的组合实现。
上述说明、例子和数据提供本发明的组成物的制造和使用的完整描述。由于在不脱离本发明的精神和范围的情况下,可做出本发明的许多实施例,因此本发明的范围由下面附加的权利要求限定。
权利要求
1.一种管理网络中的通信的网络设备,包括通过网络发送和接收通信的收发器;与收发器耦接、被配置成执行多个动作的处理器,这些动作包括通过安全隧道从客户机接收代理请求;修改所述代理请求以便包括安全属性;和将所述修改后的代理请求转发给代理服务,其中所述安全属性能够实现穿过安全隧道的代理连接。
2.按照权利要求1所述的网络设备,其中修改代理请求还包含将安全性首标包括在所述代理请求中。
3.按照权利要求1所述的网络设备,其中所述安全属性还包括与客户机相关的IP地址、与安全隧道相关的安全性质、公共密钥证书、与客户机相关的安全凭证、配置成使客户机能够接入内容服务器的接入控制数据、会话标识符以及与安全隧道相关的标识符中的至少之一。
4.按照权利要求1所述的网络设备,其中所述代理请求是HTTP代理请求。
5.按照权利要求1所述的网络设备,其中所述安全隧道还包括SSL隧道、TLS隧道、安全HTTP(HTTPS)、隧道TLS(TTLS)以及EAP安全隧道中的至少之一。
6.按照权利要求1所述的网络设备,还包括接收HTTPS通信,从而实现安全隧道。
7.一种管理网络中的通信的设备,包括通过所述网络发送和接收通信的收发器;与所述收发器耦接、被配置成执行多个动作的处理器,这些动作包括建立所述设备和客户机之间的安全隧道;通过所述安全隧道从所述客户机接收代理请求;修改所述代理请求以便包括安全属性;和将所述修改后的代理请求转发给代理服务,其中所述安全属性能够实现穿过安全隧道的代理连接。
8.按照权利要求7所述的设备,其中建立安全隧道还包括接收HTTPS通信。
9.按照权利要求7所述的设备,其中所述设备至少起防火墙、网关和代理服务器之一的作用。
10.一种管理网络中的通信的方法,包括通过安全隧道从客户机接收代理请求;修改所述代理请求以便包括安全属性;和将所述修改后的代理请求转发给代理服务,其中所述安全属性能够实现穿过安全隧道的代理连接。
11.按照权利要求10所述的方法,其中修改代理请求还包括使安全性首标与所述代理请求相关联。
12.按照权利要求10所述的方法,其中所述安全属性还包括与客户机相关的IP地址、与安全隧道相关的安全性质、公共密钥证书、配置成使客户机能够接入内容服务器的接入控制数据、与客户机相关的安全凭证、会话标识符以及标识符中的至少之一。
13.按照权利要求10所述的方法,其中所述代理请求是HTTP代理请求。
14.按照权利要求10所述的方法,其中所述安全隧道还包括SSL隧道、TLS隧道、安全HTTP(HTTPS)、隧道TLS(TTLS)、IPSec隧道以及EAP安全隧道中的至少之一。
15.按照权利要求10所述的方法,还包括接收HTTPS通信,以便能够建立安全隧道。
16.按照权利要求10所述的方法,还包括启动与安全隧道客户机的连接;和将所述代理请求发送给所述安全隧道客户机,其中所述安全隧道客户机被配置成通过安全隧道转发代理请求。
17.按照权利要求10所述的方法,其中修改代理请求还包括采用接入控制服务来修改所述代理请求。
18.一种管理网络中的通信的系统,包括被配置成执行多个动作的客户机,这些动作包括确定安全隧道;和通过所述确定的安全隧道发送代理请求;和与客户机耦接、被配置成执行多个动作的服务器,这些动作包括通过所述安全隧道从所述客户机接收代理请求;修改所述代理请求,以便包括安全属性;和将所述修改后的代理请求转发给代理服务,其中所述安全属性能够实现穿过安全隧道的代理连接。
19.按照权利要求18所述的系统,其中所述客户机还包括被配置成产生代理请求的代理客户机;和与所述代理客户机耦接、被配置成建立与服务器的安全隧道的安全隧道客户机。
20.按照权利要求19所述的系统,其中所述代理客户机还包括端口转发客户机应用。
21.按照权利要求18所述的系统,其中修改代理请求还包含将安全性首标包括在所述代理请求中。
22.按照权利要求18所述的系统,其中所述安全属性还包括与客户机相关的IP地址、与安全隧道相关的安全性质、公共密钥证书、被配置成使客户机能够接入内容服务器的接入控制数据、与客户机相关的安全凭证、会话标识符以及与安全隧道相关的标识符中的至少之一。
23.按照权利要求18所述的系统,其中所述代理请求是HTTP代理请求。
24.按照权利要求18所述的系统,其中所述安全隧道还包括用于保护所述网络中的通信的装置。
25.按照权利要求18所述的系统,其中所述安全隧道还包括SSL隧道、TLS隧道、安全HTTP(HTTPS)、隧道TLS(TTLS)、IPSec隧道和EAP安全隧道中的至少之一。
26.按照权利要求18所述的系统,其中确定安全隧道还包括产生HTTPS消息,以便能够实现安全隧道。
27.一种管理网络中的通信的设备,包括通过所述网络发送和接收通信的收发器;与所述收发器耦接、被配置成通过安全隧道,接收来自客户机的代理请求的处理器;修改所述代理请求以便包括安全属性的装置;和将所述修改后的代理请求转发给代理服务的装置,其中所述安全属性能够实现穿过安全隧道的代理连接。
28.按照权利要求27所述的设备,其中所述安全隧道还包括保护网络中的通信的装置。
全文摘要
本发明公开的方法、设备和系统的目的在于利用继承的安全属性,管理安全网络内的代理请求。使诸如HTTP代理通信之类的代理通信穿过安全隧道,以致代理请求继承安全隧道的安全属性。安全属性可被用于实现对服务器的代理接入,从而将安全隧道的安全性质扩展到穿过它的代理连接。安全隧道服务接收来自客户机的代理请求,并修改该代理请求以便包括安全属性。在一个实施例中,安全属性是使代理服务可用于确定另一安全属性的标识符。安全服务能够采用该安全属性来确定客户机是否被准许接入服务器。
文档编号G06F15/173GK1645813SQ20041010483
公开日2005年7月27日 申请日期2004年12月29日 优先权日2003年12月29日
发明者杰瑞米·柏瑞特, 克瑞格·R·沃特金斯, 亚当·凯恩 申请人:诺基亚公司