专利名称:用于支持有线和无线客户端和服务器端认证的方法的机制的制作方法
技术领域:
本发明一般地涉及扩展网络安全性的能力,更具体地说,本发明涉及一种机制,用 于支持客户端证书和服务器端证书的有线及无线体系结构。
背景技术:
在无线世界中,对安全、可扩展且灵活的互联网应用和服务的需求正在迅速增长。 随着互联网应用变得普及起来,对于可处理认证和加密机制以及加速安全性相关的功能的 应用设备来说存在着大量的机会。在无线互联网世界中,无线传输层安全性(WTLS)使用加密和认证功能而提供了 通信私密性和完整性。WAP(无线接入协议)论坛的WTLS握手协议允许服务器通过发送其 证书来向客户端认证它自身,从而在客户端和服务器之间建立安全的连接。类似地,如果服 务器请求了客户端认证,则客户端可以通过发送其证书(或到它的一个链接)来认证它自 身。在有线互联网世界中,可以SSL(安全套接口层)的形式来提供安全性。SSL是一 种支持客户端和/或服务器认证以及通信会话期间的加密的协议。随着每一代的网络变得越来越复杂,对于有线和无线互联网来说应用都必须是安 全的。在当前无线互联网的技术状态下,安全性相关的功能可以发生在WAP网关处。然而, 这没有提供端到端的解决方案——由于用户请求在WAP网关处被截获,因此用户可以对网 关进行授权,而非服务器。对这一问题的一种解决方案(也是对有线互联网的解决方案)是将安全性相关的 功能转移到这些网络中的服务器上,以处理包括加密和认证在内的安全性事务。然而,这使 得服务器用于处理数据以及例如将内容提供给客户端的处理能力变得更少了。尽管一些供应商在服务器之外提供了安全性相关的功能,但是这些解决方案只是 提供了部分安全性解决方案。例如,尽管马萨诸塞州Woburn市的nCipher公司提供了服务 器之外的加密服务,但它不提供认证服务。
在附图中以例示而非限制性的方式示出了本发明,其中相同的标号指示相似的元 件,并且其中图1示出了根据一个实施例的数据中心内的安全性系统;图2示出了根据一个实施例的WAP栈;图3示出了根据一个实施例的系统体系结构;图4示出了根据一个实施例来运行安全性系统的方法;
图5示出了根据一个实施例的WTLS安全性协议体系结构;图6示出了根据一个实施例的WTLS握手;图7示出了根据一个实施例的客户端问候(hello)消息;图8示出了根据一个实施例的安全性系统;图9示出了根据一个实施例的数据中心的体系结构;图10示出了根据一个实施例的安全性系统;图11示出了一种方法的流程图,该方法用于根据本发明的通用实施例来在客户 端和服务器之间建立握手;图12是用于根据本发明的通用实施例来在客户端和服务器之间建立握手的伪代 码;图13是根据本发明的通用实施例,用于有线和无线认证的系统体系结构;图14示出了根据本发明的通用实施例,用于有线和无线认证的另一种系统体系 结构;图15示出了对于有线和无线客户端,服务器端证书的工作流程;图16示出了根据本发明的通用实施例,用于服务器端证书的方法的流程图;图17示出了用于无线客户端的服务器端证书的方法的流程图;图18示出了用于有线客户端的服务器端证书的方法的流程图;图19示出了对于有线和无线客户端,客户端证书的工作流程;图20示出了根据本发明的通用实施例,用于客户端证书的方法的流程图;图21示出了用于无线客户端的客户端证书的方法的流程图;图22示出了用于有线客户端的客户端证书的方法的流程图;图23示出了根据本发明的通用实施例的安全性系统;并且图M示出了安全性系统的示例性配置。
具体实施例方式本发明的一个方面是这样一种方法,其对于有线和无线互联网都将包括加密和认 证在内的安全性功能包含到单个网络设备中,以使得服务器不再承担这一功能,也不需要 关心不同的安全性标准和认证机制。所述方法包括从客户端向服务器发送一个消息,以建立安全的连接。该消息被与 服务器相关联的安全性系统所截获。所述安全性系统执行包括认证客户端在内的认证功 能,并执行用于认证服务器的支持性功能。如果所述认证功能适当地进行了,则建立一个安 全的连接。如在此所使用的,术语“互联网”(internet)可包括互连网络(internetwork), 其定义为一组彼此可能不相似的计算机网络,这些计算机网络通过网关而连接在一 起,所述网关处理数据传输以及从发送网络协议到接收网络协议的消息转换;内联网 (intranet),这是基于因特网协议例如TCP/IP,但被设计来用于公司或组织内部的信息管 理的私有网络;或因特网anternet),其定义为使用TCP/IP协议组来彼此通信的全球范围 的网络和网关的集合。在下面的描述中,为了进行说明,给出了大量的具体细节以提供对本发明的透彻理解。然而,对本领域内的技术人员来说很清楚没有这些具体细节中的一些也可以实施本 发明。在其他情形下,一些公知的结构和设备示出为框图的形式。本发明包括下面将描述的多种操作。本发明的操作可由硬件组件执行,或者可以 包含在机器可执行指令中,所述指令可用来使得用所述指令编程的通用或专用处理器或逻 辑电路来执行所述操作。或者,所述操作可以由硬件和软件的组合来执行。本发明可作为计算机程序产品而提供,所述产品包括其上存储有指令的机器可读 介质,所述指令可用来对计算机(或其他电子设备)编程,以执行根据本发明的处理。机器 可读介质可包括但不局限于软盘、光盘、CD-ROM(只读压缩光盘存储器)和磁光盘、R0M(只 读存储器)、RAM(随机访问存储器)、EPROM(可擦除可编程只读存储器)、EEPROM(电磁可 擦除可编程只读存储器)、磁或光卡、闪存、或其他类型适于存储电子指令的媒质/机器可 读介质。而且,本发明可以作为计算机程序产品而下载,其中所述程序可通过包含在载波 或其他传播介质中的数据信号而经由通信链路(例如调制解调器或网络连接),从远程计 算机(例如服务器)传输到发出请求的计算机(例如客户端)。因此,在此“载波”应被理 解为包含机器可读介质。1U图1示出了安全的通信系统100的简化框图。如在此所讨论的,“系统”(例如用 于选择安全性格式转换的系统)可以是包含硬件、软件或硬件及软件的某种组合以处理数 据的装置。系统100包括网络接入设备110,网络接入设备110可通信地经由公共网络120 与数据中心150相耦合,以向数据中心150提供安全性格式指示130和安全数据140。数据 中心150包括安全性系统160,安全性系统160具有选择系统170和转换系统180,选择系 统170用于基于指示130来选择安全性转换,转换系统180用于对安全数据140执行所选 择的安全性转换。网络接入设备110可以是任何可以操作来与网络120相连接并在该网络上传输数 据的电子设备。例如,接入设备110可包括有线设备(例如个人计算机、工作站)或无线设 备(例如膝上型电脑、个人数字助理(PDA)、移动电话、寻呼机、智能电话或通信器)。一般 地,有线设备使用与无线设备不同的安全性格式或协议,以利用较大的存储器、处理器和带 宽资源。公共网络120可以是任何至少包括网络接入设备110和数据中心150之外的实体 所共享的非私有部分的网络。与可能在数据中心150内部使用的私有网络(例如内联网) 相比,公共网络120相对而言不太可信、不太安全或者容易遭受传输期间的安全性破坏(例 如第三者插足(man-in-the-middle)攻击)。根据一个实施例,公共网络120包括无线网 络、WAP网关和因特网,并且在网络接入设备110和数据中心150之间提供端到端安全性。数据中心150可以是与公共网络120相连接以通过公共网络120接收或提供安全 数据的任意的一个或多个计算机系统。例如,数据中心150可包括多个内部联网的计算机 系统,这些计算机系统可提供诸如防火墙、服务器和数据源之类的功能。网络接入设备110通过网络120将安全性协议指示130发送给数据中心150。指 示130可具有不同的实施例。根据第一实施例,指示130包括用于请求并定义网络接入设 备110和数据中心150之间的连接的信息。
根据第二实施例,指示130包括一个端口的指示,例如与在被配置来接收特定安 全性格式的端口上所接收的该特定安全性格式相关联的消息。术语“端口”用来表示接受 自网络120的数据和数据中心150的一个组件(例如应用程序、模块或更高级的协议)之 间的逻辑链接关系或接口。所述端口可具有一个相应的分配到所述组件的端口号,并且该 端口号可用来将接收自网络120的数据与所述组件或服务链接起来,或将所述数据定向到 所述组件或服务。根据一个实施例,所述端口可包括具有公知端口号的公知端口。例如,所 述端口可以是用于HTTP数据的公知端口 80,或者所述端口可以是用于SSL数据的公知端口 443。接受自网络120的消息可包括标识所述组件的端口标识符。根据一个实施例,端口可 以由一个操作系统指示的软件过程所实现,该软件过程对于标识所述端口和组件的端口标 识符而在物理接口上监听接收自网络120的数据,所述物理接口例如是利用千兆因特网或 RJ45连接而链接到所述网络的网络接口卡(NIC)。端口标识符和IP地址一起构成了指定 连接端点的套接口。设备110和数据中心150之间的端到端通信可由一个四元组指定,该 四元组包括设备110的端口和IP地址,以及数据中心150的端口和IP地址。根据第三实施例,指示130包括网络接入设备110所支持、所优选或者既支持又优 选的安全性格式的指示。例如,指示130可包括接入设备110所支持或优选的一种安全性 特征,所述特征在前数据阶段(pre-data phase)安全性协商消息(例如安全性握手期间发 送的客户端问候消息)中被公告。术语“安全性特征”用于广泛地表示描述或定义一种安 全性格式的特征、参数或选项,包括但不局限于从包括下述特征在内的组中所选择的安全 性特征版本信息、选项信息(例如认证或无认证)、加密算法信息、安全性参数信息、密码 参数信息、受信证书信息以及其他安全性特征信息。、根据第四实施例,指示130同时包括下述两种指示,与安全性格式相关联的端口 的指示,以及设备110所支持的安全性特征的指示。例如,示例性指示130B包括提供给数 据中心150的端口 190(可包括公知端口 443)的安全性特征131。根据第五实施例,指示130包括对应于以前的安全性格式或转换的会话标识。根 据第六实施例,指示130包括资料(profile)标识(例如用户标识和密码),所述资料标识 使得可根据数据中心150中的资料而访问安全性格式或安全性转换。根据第七实施例,指 示130包括安全性格式的专用非歧义指示,所述安全性格式例如是SSL版本3. 0。根据第八 实施例,指示130包括安全性转换的专用非歧义指示,所述安全性转换例如是进行从SSL版 本3.0到普通数据(plain data)的转换的逻辑或模块。还可以实现指示130的许多其他 实施例,本领域内可从本发明的公开内容受益的普通技术人员将会认识到指示130应被宽 泛地解释。如上所述,可考虑不同的指示130,选择系统170可相应地进行不同的选择。根据 第一实施例,所述选择基于接收自网络120的信息来进行。根据第二实施例,所述选择基于 与在网络接入设备110和数据中心150之间建立连接相关联的连接信息来进行。根据第三 实施例,所述选择基于端口信息来进行。例如,如果连接信息是在第一预定义的配置端口处 接收的,则选择系统170可选择第一转换,如果连接信息是在第二端口处接收的,则选择第 二转换。根据第四实施例,所述选择基于表示设备110所支持、所优选或既支持又优选的安 全性特征的安全性特征信息来进行。例如,选择系统170可基于在客户问候消息中公告的 所支持和优选的安全性格式来选择一种转换。
根据第五实施例,所述选择可基于端口信息和安全性特征信息来进行。例如,选择 系统170可基于在其上接收到客户端问候消息的端口,并基于所述客户端问候消息中所表 明的、客户端设备110所支持和优选的安全性特征,从而选择一种安全性格式转换。根据第六实施例,选择可基于对应于以前的安全性格式或转换的会话标识来进 行。根据第七实施例,选择可基于资料标识(例如用户标识和密码)来进行,所述资料标识 使得选择系统170可根据资料来访问安全性格式或安全性格式转换。根据第八实施例,选 择可基于所声明的安全性格式或安全性格式转换(例如“SSL V3.0到普通数据”)来进行。 可实现许多其他的选择和选择系统170,本领域内可从本发明的公开内容受益的普通技术 人员将会认识到选择以及选择系统170应被宽泛地解释。所述转换是从所接收的安全性格式到另一种格式的转换。另一种格式可以是未加 密的普通数据格式。当数据中心150的内部就足够安全并且对数据进行不应有或未授权的 访问的风险足够小时,这一格式可能是有优势的。这可以避免在150内以后再进行解密,这 是一个优点。根据另一个实施例,另一种格式可以是不同的安全性格式。即,安全性系统160 可选择并实现从一种安全性格式到另一种安全性格式的转换。例如,所述转换可以是到IP 安全性(IPkc)的转换,这对数据中心150的内联网内的安全性来说可能是所期望的。网络接入设备110将安全数据140通过网络120发送到数据中心150。数据中心 150从网络120接收安全数据140。转换系统180对安全数据140进行所选择的安全性转 换。非限制性地说,根据特定实现所需,安全数据140可以是交易和/或金融数据,而数据 中心150可利用所述数据和/或对其进行响应。根据一个实施例,网络接入设备110是使用图2所示的WAP栈200,以与数据中心 150通信的无线网络接入设备。WAP栈200是一种安全的规范,其使得所述无线设备可通过 网络120安全地访问信息。WAP栈200包括应用层210、会话层220、事务层230、安全性层 对0、传输层250和网络层沈0。WAP栈200对于本领域内的普通技术人员来说是公知的,并 且在WAP规范的1. 2和2. 0版中进行了更详细的描述,该规范可在http://WWW. wapforum. org处获得。安全性层240包括WTLS协议,并可为具有WAP功能的无线设备提供私密性、数据 完整性和客户端/服务器认证。WTLS协议工作在传输层250之上,并向更上层的WAP层 210-230提供安全的传输服务接口,所述接口保留了下层的传输接口,并且还提供用于管理 安全连接的方法。WTLS与非无线协议例如安全套接口层(SSL)相关,但涉及相对较低的设 备端处理能力和存储器需求、较低的带宽以及数据报连接。传输层250可包括不同的基于数据报的传输层协议例如UDP/IP和WDP。UDP与IP 承载服务一起工作,而WDP与非IP承载服务一起工作。例如,WDP可与短消息服务(SMS)以 及类似的无线承载服务一起使用,而UDP可与电路交换数据(CSD)和类似的承载服务一起使用。图3示出了本发明一个实施例的系统体系结构300的简化框图。系统体系结构 300包括无线接入设备305和有线接入设备320,以通过公共网络325将异构加密的消息发 送到数据中心340,数据中心340包括安全性系统345,用以对所接收的异构加密的消息选 择并实现不同的安全性转换处理。无线接入设备305 (在一个实施例中是具有WAP微型浏览器的移动电话)通过无线网络310和WAP网关315耦合到公共网络325 (在一个实施例中是因特网)。无线接入设 备305使用UDP或WDP传输协议来生成并发送WTLS客户端问候消息到无线网络310,所述 消息包括对应于设备305的安全性能力和优选项的安全性特征信息。无线网络310接收所 述消息并将之传递到WAP网关。WAP网关将传输协议媒介从UDP或WDP转换成TCP,然后使 用TCP将该消息传递给公共网络325。有线接入设备320(根据一个实施例是具有浏览器功能的个人计算机)生成并发 送含有安全性特征信息的消息到公共网络325。该消息可包含用于在SSL握手中启动安全 性格式协商的SSL客户端问候消息。公共网络325在功能上与无线接入设备305、有线接入设备320和数据中心340相 连接,以从设备305、320接收消息并将所述消息提供给数据中心340。根据一个实施例,网 络325包括因特网,并可使用TCP或UDP作为用于传输媒介的协议。网络325将所述消息 作为指示330和335而发送或传送给数据中心340。数据中心340与公共网络325相耦合,以接收与设备305和320相关联的消息。数 据中心340包括安全性系统345,根据一个实施例,安全性系统345在功能上位于公共网络 325和服务器390之间,因而安全性系统345可代表服务器390执行安全性转换的选择和执 行。根据一个实施例,安全性系统345包括用于接收指示和安全数据的网络接口 350、 用于基于所述指示而选择转换的选择系统360、用于接收所选择的转换并对通过网络接口 350而接收的安全数据实施所选择的转换的转换系统370、以及用于接收转换后的数据并 将转换后的数据提供给其他数据中心340组件(在一个实施例中例如是服务器390)的第 二网络接口 380。网络接口 350可包括一个或多个NIC,用于代表数据中心340接收消息和安全数 据。根据一个实施例,网络接口 350至少包括用于接收来自无线接入设备305的信息的一 个端口 354,并至少包括用于接收来自有线接入设备320的信息的一个端口 352。例如,网 络接口 350可包括第一和第二端口 354,以分别从无线接入设备305接收安全的和非安全 的数据,并包括第二和第三端口 352,以分别从有线接入设备320接收安全的和非安全的数 据。选择系统360与网络接口 350相耦合,以从网络接口 350接收安全性转换选择信 息,并基于该信息选择一种安全性转换。所述安全性转换可以是从与所述消息相关联的一 种安全性到另一种格式(例如另一种安全格式或普通数据格式)的转换。根据第一实施 例,选择系统360基于所接收的端口指示来选择安全性转换。例如,选择系统360可接收已 知用于SSL加密数据的预定端口的指示,并选择至少一种从SSL加密格式到另一种格式的 安全性转换。根据第二实施例,选择系统360基于所接收的安全性特征信息来选择至少一 种安全性转换。例如,选择系统360可接收表示有线接入设备320所支持的一个安全性特 征或一组安全性特征的安全性特征信息,并选择从所述安全性到另一种格式的转换。根据 第三实施例,选择系统360同时基于端口信息和安全性特征信息来选择转换。例如,选择系 统360可基于端口信息而选择至少具有从WTLS格式到另一种格式的一种特定转换的WTLS 转换系统372,或选择至少具有从SSL格式到另一种格式的一种特定转换的SSL转换系统 374,然后选择系统360可基于安全性特征信息而选择所述特定的WTLS或SSL转换。
选择系统360可向其他系统300组件提供所选择的安全性转换。根据一个实施例, 选择系统360将设备305或320与数据中心340之间的会话的会话标识与所选择的安全性 转换关联起来。这可使得随后以安全格式而接收的数据与所选择的安全性转换关联起来。 在一个实施例中,选择系统360可通过设置(assert) —个安全性转换选择信号而将所选择 的转换通知给转换系统370。例如,选择系统360可向转换系统370、WTLS转换系统372或 SSL转换系统374作出一个方法调用,传送所选择的转换。已在设备305、320和安全性系统345之间协商好安全性格式之后,设备305、320 可将安全数据发送到安全性系统345。具体地说,无线设备305可以WTLS的预定版本发送 数据。无线网络310可接收安全数据并将它提供给WAP网关315。一般地,WAP网关315将 执行从UDP或WDP到TCP的转换,并将具有TCP格式的数据提供给公共网络325。根据一个实施例,WAP网关315被配置成允许所接收的WTLS安全数据不进行安全 性格式转换地通过。这一方法可有利地在无线接入设备305和数据中心340之间提供端到 端安全性,并可消除当通过一种易受攻击的普通数据状态而将WTLS数据转换成SSL数据时 存在的WAP缺口,所述普通数据状态容易受到第三者插足攻击。可考虑其他的实现,包括这 样一种实现,其中WAP网关315被配置成允许所有到数据中心340的无线连接不进行安全 性格式转换地通过。与图1-3所示的现有技术方法相比,这一方法还提供了较小的延迟,因 为可以避免去往和来自系统330的不必要的安全性格式转换处理和传输。有线接入设备320可以用已与安全性系统345协商好的预定SSL版本来传输数 据。所述数据可以SSL格式而使用TCP在因特网325上传输。转换系统370与选择系统360相耦合以接收所选择的安全性转换,并与网络接口 350相耦合,以从无线设备305和有线设备320接收安全数据。转换系统370对所接收的安 全数据实施所选择的转换。转换系统370可包含包括硬件、软件或软件及硬件的某种组合 在内的逻辑,以将所接收的安全数据(例如WTLS或SSL加密数据)解密成普通的未加密数 据格式,并且如果需要的话还将其重新加密成另一种安全性协议格式。根据一个实施例,所 述逻辑可包括对本领域可从本发明的公开内容受益的普通技术人员来说是公知的传统转 换逻辑。如上所述,安全性系统345可包括不同的转换模块来执行从所接收的安全性格式 到另一种格式的转换。根据一个实施例,转换系统370包括WTLS转换系统372和SSL转 换系统374,以分别将WTLS或SSL安全数据转换成另一种安全性格式。WTLS转换系统372 可包括多个转换模块,例如从具有第一安全性特征的第一 WTLS版本到普通数据的第一转 换模块,从具有第二安全性特征的第二 WTLS版本到普通数据的第二转换模块,以及从第一 WTLS版本到另一种安全格式例如SSL、IPSec或其他格式的第三转换模块。类似地,转换系 统374可具有多个转换模块。转换系统370将转换后的数据提供给与服务器390相耦合的网络接口 380。网络 接口 380可包括NIC。一般地,网络接口 380通过普通数据端口例如端口 80来向服务器390 提供普通数据,尽管也可以实施其他实施例。服务器390接收转换后的数据。如果转换后的数据是安全格式,则服务器390可 执行解密。没有限制性地说,服务器390可以执行特定实现所期望的任何处理。一般地,所 述处理包括通过安全性系统345向设备305、320提供响应数据。根据一个实施例,服务器390向安全性系统345提供普通数据。安全性系统345可接收响应数据,并对该数据执行安全性处理。根据一个实施例, 安全性系统345根据一个与初始转换基本相反的过程来处理响应数据。例如,对于到无线 设备305的响应数据,安全性系统345可将来自服务器390的普通数据转换成WTLS格式, 并将安全数据提供给无线设备305。类似地,对于到有线设备320的响应数据,安全性系统 345可将来自服务器390的普通数据转换成SSL格式,并将安全数据提供给有线设备320。系统300可提供多个优点。第一个优点是能够将安全性处理功能从服务器390转 移到安全性系统345。安全性处理可能是相当程度的处理器和存储器密集型的处理,并且没 有这种转移的话可能会消耗服务器390的资源的很大一部分。转移还使得服务器390可处 理更多的连接。例如,利用执行安全性转换的安全性系统345,服务器390能够处理的连接 数量大约是没有该系统时可处理的连接数量的5-10倍。第二个优点是接入设备305、320和服务器390之间端到端的安全性。第三个优点 是接入设备305、320和服务器390之间的单次安全性转换。由于较少的计算和较小的延迟, 这可以提供更快的数据交换。第四个优点是安全性系统345对于有线和无线安全性协议来 说都可以提供单点安全性解决方案。第五个优点在于比起更新服务器390来说,可以更容 易地用最新的安全性标准和转换来频繁地更新安全性系统345。已经用简化的格式示出了安全性系统345以免模糊本发明。然而,本领域内可 从本发明的公开内容受益的普通技术人员将会认识到安全性系统345也可以包含其他组 件385。一般地,其他组件385包括操作系统或平台。其他组件385还可包括特定实现所 需的组件,例如用于执行XML转换、XML解析、基于内容的路由以及其他普通数据功能的组 件。其他组件385可包括传统的专用安全性加速器中所使用的组件,所述加速器例如是 Intel NetStructure 7110 e-Commerce 加速器、7115 e-Commerce 加速器、7140Traffic Director、7175 Traffice Director、7180 e-Commerce 加速器、7280 XMLDirector 或 7210 XML加速器,它们都可从加州圣克拉拉的英特尔公司获得。图4以框图的形式示出了根据一个实施例来运行安全性系统例如安全性系统160 或345的方法400。方法400可实现在包括软件、硬件或软件及硬件的某种组合在内的逻辑中。方法400开始于方框401,然后前进到方框405,在此配置安全性系统。根据一个 实施例,这可包括读取包含系统配置信息的配置文件。例如,没有限制性地说,安全性系统 可访问例如包含在下表中的配置信息表 权利要求
1.一种方法,包括从客户端向服务器发送消息,该消息用于建立安全连接;在与所述服务器相关联的安全性系统处截获所述数据,以执行认证功能;以及如果执行了合适的认证,则建立安全连接。
2.如权利要求1所述的方法,其中所述合适的认证包括如果所述客户端已请求了认 证,则确定所述服务器是否真实。
3.如权利要求2所述的方法,其中所述合适的认证还包括如果所述服务器已请求了 认证,则确定所述客户端是否真实。
4.如权利要求1所述的方法,其中所述合适的认证包括验证数字证书的有效性。
5.一种方法,包括在与服务器相关联的设备上接收来自客户端的客户端问候消息,所述客户端问候消息 表明了与所述服务器建立安全连接的请求;响应于所述客户端问候消息,所述设备代表所述服务器发送服务器问候消息,以确认 所述客户端问候消息;如果所述客户端和所述服务器中至少之一请求了认证,则交换认证信息; 从所述设备向所述客户端发送服务器问候完成消息,所述发送是代表所述服务器完成的;从所述客户端接收完成消息;以及从所述设备向所述客户端发送完成消息,所述发送是代表所述服务器完成的。
6.一种装置,包括 应用模块,用于接收进入数据,所述进入数据发送自一个客户端,并要发送到数据中心内的多个服务 器当中的一个给定服务器;和将所述数据路由到一个认证模块,以验证所述客户端的身份的有效性; 与所述多个服务器相关联的有线设备认证模块,用于如果所述进入数据是使用有线认证信息发送的,则从所述应用模块接收所述进入数 据;和认证所述有线设备;与所述多个服务器相关联的无线设备认证模块,用于如果所述进入数据是使用无线认证信息发送的,则从所述应用模块接收所述进入数 据;和认证所述无线设备;与所述多个服务器相关联的有线设备解密模块,用于如果所述进入数据是使用有线安全性协议加密的,则从所述应用模块接收所述进入数 据;和将所述数据解密成普通文本;以及与所述多个服务器相关联的无线设备解密模块,用于如果所述进入数据是使用无线安全性协议加密的,则从所述应用模块接收所述进入数 据;和将所述数据解密成普通文本。
7.一种系统,包括用于和客户端交换数据的一个或多个服务器;以及 与所述一个或多个服务器相关联的安全性系统,用于 支持用于认证所述一个或多个服务器的身份的认证功能;和 认证请求与所述一个或多个服务器建立安全连接的客户端的身份。
8.一种装置,包括 第一装置,用于接收进入数据,所述进入数据发送自一个客户端,并要发送到数据中心内的多个服务 器当中的一个给定服务器;和将所述数据路由到用于通过认证与所述客户端相关联的设备来验证所述客户端身份 的有效性的装置;第二装置,用于如果所述进入数据是使用有线认证信息发送的,则从所述第一装置接收所述进入数 据;和认证所述有线设备;第三装置,用于如果所述进入数据是使用无线认证信息发送的,则从所述第一装置接收所述进入数 据;和认证所述无线设备; 第四装置,用于如果所述进入数据是使用有线安全性协议加密的,则从所述第一装置接收所述进入数 据;和将所述数据解密成普通文本;以及 第五装置,用于如果所述进入数据是使用无线安全性协议加密的,则从所述第一装置接收所述进入数 据;和将所述数据解密成普通文本。
9.一种其上存储有表示指令序列的数据的机器可读介质,所述指令序列当被处理器执 行时使得该处理器执行下述步骤从客户端向服务器发送消息,该消息用于建立安全连接;在与所述服务器相关联的安全性系统处截获所述数据,以执行认证功能;以及如果执行了合适的认证,则建立安全连接。
10.一种装置,包括 至少一个处理器;以及其上编码有指令的机器可读介质,所述指令当被所述处理器执行时能够指示所述处理 器执行下述步骤接收从客户端到服务器的消息,该消息用于建立安全连接;在与所述服务器相关联的安全性系统处截获所述数据,以执行认证功能;和如果执行了合适的认证,则建立安全连接。
全文摘要
本发明将认证功能集中在安全性系统中,以使服务器不再负担这一功能,并提供用于安全的互联网交易的端到端解决方案。安全性系统通过向证书机构请求服务器证书,并将服务器证书发送到请求认证的客户端,从而支持用于认证服务器的认证功能。安全性系统还通过检查数字签名、验证客户端证书的有效性来认证客户端,这包括检查CA签名、检查签名的有效期、维护证书吊销列表(CRL)、以及将客户端证书与CRL进行对比检查。
文档编号H04L29/08GK102143160SQ20111000993
公开日2011年8月3日 申请日期2003年1月10日 优先权日2002年1月12日
发明者科塞施韦奥·阿杜苏米利 申请人:英特尔公司