DE602004004325T2 - Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten - Google Patents

Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten Download PDF

Info

Publication number
DE602004004325T2
DE602004004325T2 DE602004004325T DE602004004325T DE602004004325T2 DE 602004004325 T2 DE602004004325 T2 DE 602004004325T2 DE 602004004325 T DE602004004325 T DE 602004004325T DE 602004004325 T DE602004004325 T DE 602004004325T DE 602004004325 T2 DE602004004325 T2 DE 602004004325T2
Authority
DE
Germany
Prior art keywords
server
user
certificate
acu
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004004325T
Other languages
English (en)
Other versions
DE602004004325D1 (de
Inventor
Jari Karjala
Jari Palojarvi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Inc
Original Assignee
Nokia Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Inc filed Critical Nokia Inc
Publication of DE602004004325D1 publication Critical patent/DE602004004325D1/de
Application granted granted Critical
Publication of DE602004004325T2 publication Critical patent/DE602004004325T2/de
Anticipated expiration legal-status Critical
Active legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

  • Die Erfindung bezieht sich auf das Gebiet des sicheren Zugangs zu einem Kommunikationsnetz, und insbesondere auf das Gebiet des sicheren Zugriffs auf einen entfernten Server oder eine andere Vorrichtung über ein öffentlich zugängliches Kommunikationsnetz.
  • Digitale Zertifikate sind wohlbekannt. Beschreibungen digitaler Zertifikate und ihrer Verwendung sind von vielen Quellen erhältlich, einschließlich <http://www.webopedia.com/TERM/d/digital_certificate.html> und <http://wp.netscape.com/SECURITY/techbriefs/servercerts/index.html> (einschließlich verwandter verknüpfter Seiten). Kurz, ein digitales Zertifikat von einer Zertifizierungsbehörde (CA, Certification Authority) enthält in verschlüsselter Form einen öffentlichen Verschlüsselungsschlüssel und andere Identifizierungsinformationen über den Zertifikathalter. Das Zertifikat wird an Mitteilungen vom Zertifikathalter angehängt und kann nur (zumindest ohne erheblichen Aufwand) unter Verwendung eines öffentlichen Schlüssels von der Zertifizierungsbehörde entschlüsselt werden. Wenn empfangen und entschlüsselt (unter Verwendung des öffentlichen Schlüssels der CA), kann der öffentliche Schlüssel des Zertifikatshalters verwendet werden, um eine SSL-Verbindung (SSL = Secure Socked Layer, sichere Sockelschicht) mit dem Zertifikathalter für einen sicheren Datenaustausch zu erzeugen. Digitale Zertifikate können z. B. verwendet werden für die Authentisierung von Individuen, von bestimmten Benutzergeräten, von Servern und von zahlreichen anderen Vorrichtungen.
  • Es bleibt jedoch ein Bedarf an skalierbaren Systemen und Verfahren zum Erlangen eines sicheren Zugangs zu Unternehmens-Intranetzen und anderen Betriebsmitteln über das Internet und andere öffentlich zugängliche Netze bestehen. Der Bedarf ist insbesondere akut im Fall mobiler Vorrichtungen, wie z. B. Mobiltelephonen, persönlichen digitalen Assistenten (PDA), mobilen Endgeräten und anderen Vorrichtungen, die auf das Internet zugreifen können. Die Einfachheit der Verwendung ist häufig in solchen Vorrichtungen kritisch, da zahlreiche Vorrichtungen in Gebrauch sein können. Außerdem weisen solche Vorrichtungen typischerweise beschränkte Fähigkeiten im Vergleich zu Personalcomputern (PCs) oder tragbaren Computern auf.
  • Es wurde festgestellt, dass dann, wenn keine Benutzeraktion erforderlich ist, um eine SSL oder eine andere sichere Sitzung einzuleiten, ein Benutzer häufig wenig Gedanken an ein digitales Zertifikat verschwendet. Zum Beispiel sollte ein Endbenutzer überprüfen, dass ein digitales Zertifikat für einen Server gültig ist und/oder von der juristischen Person gehalten wird, mit der der Benutzer zu kommunizieren wünscht. Eine gewöhnliche Möglichkeit zum Erlangen einer Überprüfung durch den Benutzer ist das Zeigen des Namens des Zertifikathalters und des Fragens des Benutzers, das Zertifikat zu akzeptieren, oder nicht. Viele Benutzer akzeptieren immer ohne eine wirkliche Betrachtung. Dementsprechend verbleibt ein Bedarf an sichereren Verfahren und Systemen zum Einleiten einer sicheren Kommunikation.
  • US 6.141.751 beschreibt ein Verfahren, mit dem ein Benutzer über ein Netz identifiziert werden kann. Eine Zeichenkette wird einem Benutzer bereitgestellt, der die Kette unter Verwendung einer Konversionsregel konvertiert und die konvertierte Kette als Identifikation zur Verfügung stellt.
  • WO 02/073377 A2 beschreibt ein Verfahren, das ermöglicht, eine Benutzerautorisierung zu bestimmen durch Erzeugen einmaliger kryptographischer Schlüssel und eindeutiger kryptographischer Algorithmen parallel an einem Autorisierungszentrum und an einem entfernten Endgerät unter Verwendung eines gemeinsamen Graphiksymbolsatz-Erzeugungsalgorithmus, der dem Autorisierungszentrum und dem Benutzer bekannt ist.
  • Gemäß der Erfindung wird ein Verfahren zum Durchführen sicherer Datenübertragungen (Kommunikation) gemäß Anspruch 1 der beigefügten Ansprüche geschaffen.
  • Gemäß der Erfindung wird ferner eine Vorrichtung zur sicheren Datenübertragung mit einem Server über ein öffentlich zugängliches Netz gemäß Anspruch 12 der beigefügten Ansprüche geschaffen.
  • Gemäß der Erfindung wird ferner ein maschinenlesbares Medium gemäß An spruch 13 der beigefügten Ansprüche und ein Verfahren zum Durchführen sicherer Datenübertragungen gemäß Anspruch 14 der beigefügten Ansprüche geschaffen.
  • Andere und weitere Aspekte der vorliegenden Erfindung werden im Verlauf der folgenden Beschreibung und unter Bezugnahme auf die beigefügten Zeichnungen offensichtlich.
  • Der vorangehende Überblick über die Erfindung, sowie die folgende genaue Beschreibung der bevorzugten Ausführungsformen werden besser verstanden, wenn sie in Verbindung mit den beigefügten Zeichnungen gelesen werden, die beispielhaft enthalten sind und keineswegs bezüglich der beanspruchten Erfindung einschränken sollen.
  • 1 ist ein Blockdiagramm, das eine beispielhafte Netzumgebung zeigt, in der eine mobile Vorrichtung entfernt auf gespeicherte Daten zugreifen kann, gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung.
  • 2 ist ein Blockdiagramm, das ein beispielhaftes System gemäß wenigstens einer Ausführungsform der Erfindung zeigt.
  • 3 ist ein Blockdiagramm, das eine beispielhafte mobile Vorrichtung gemäß wenigstens einer Ausführungsform der vorliegenden Erfindung zeigt.
  • 4 ist ein Blockdiagramm, das das Speichern von Daten in Verbindung mit Automatik-Inhaltaktualisierung-Client-Software gemäß wenigstens einer Ausführungsform der Erfindung zeigt.
  • 5 ist ein Blockdiagramm eines Servers und anderer Netzkomponenten gemäß wenigstens einer Ausführungsform der Erfindung.
  • 6 ist ein Blockdiagramm eines Unternehmensnetzes gemäß wenigstens einer Ausführungsform der Erfindung.
  • 7 ist ein Flussdiagramm, das Schritte der ACU-Nachrichtenhandhabung gemäß wenigstens einer Ausführungsform der Erfindung zeigt.
  • 8-35 sind Beispiele von Benutzerschnittstellenanzeigen in einer mobilen Vorrichtung gemäß wenigstens einer Ausführungsform der Erfindung.
  • GENAUE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • In der folgenden Beschreibung verschiedener erläuternder Ausführungsformen wird auf die beigefügten Zeichnungen Bezug genommen, die einen Teil derselben bilden, und in denen beispielhaft verschiedene Ausführungsformen gezeigt sind, in denen die Erfindung verwirklicht werden kann. Es ist klar, dass andere Ausführungsformen verwendet werden können und strukturelle und funktionale Modifikationen vorgenommen werden können, ohne vom Umfang der vorliegenden Erfindung abzuweichen.
  • In den Zeichnungen, in denen ähnliche Bezugszeichen ähnliche Teile bezeichnen, zeigt 1 ein Blockdiagramm mehrerer virtueller privater Netze (VPN), die über ein Basispaketdatennetz 14 hinweg verteilt sind. In wenigstens einer Ausführungsform ist das Paketdatennetz 14 das Internet. Wie gezeigt ist, ist das VPN-A über Tunnel (durch lange Striche gezeigt), die sichere Datenübertragungen zwischen den Vorrichtungen A1, A2 und A3 repräsentieren, verbunden. In ähnlicher Weise ist das VPN-B mittels sicherer Tunnel (durch kurze Striche gezeigt) zwischen den Vorrichtungen B1, B2 und B3 verbunden. Die VPN-Netze A und B sind in einem Unternehmen oder einer Organisation mit mehreren Standorten angeordnet. Die VPN-Architektur, die in 1 gezeigt ist, erlaubt einem Angestellten oder Mitglied des Unternehmens oder der Organisation (oder einer anderen autorisierten Person) auf das lokale Netz (LAN) des Unternehmens oder der Organisation zuzugreifen, nach Verbindung mit dem VPN des Unternehmens oder der Organisation mittels sicherer Tunnel über das Internet oder ein anderes Basispaketdatennetz. In wenigstens einer Ausführungsform wird die Verbindung durch eine Tunneltechnik gesichert, wie z. B. SSL (Secure Socked Layer = sichere Sockelschicht). Die Erfindung ist jedoch nicht auf irgendeine bestimmte Technik zur Sicherung der Verbindung beschränkt. Eine mobile Vorrichtung (Gerät) 10 kann über ein mobiles Netz 12 mit dem Internet 14 kommunizieren, und anschließend mit den verschiedenen Vorrichtungen B1–B3. Die Vorrichtungen B1–B3 können Teil des gleichen Intranets sein, oder können über mehrere Intranets oder andere lokale Netze (LANs) oder Weitverkehrsnetze (WANs) verteilt sein.
  • 2 ist ein Blockdiagramm, das ein mobiles Virtuellprivatnetz-VPN-Client-System gemäß einer Ausführungsform der Erfindung zeigt. Ein Beispiel einer mobilen Vorrichtung, in der ein Client des Systems implementiert sein kann, ist eine Serie 60TM oder SYMBIAN OSTM (d. h. das Betriebssystem SYMBIAN OSTM, erhältlich von Symbian Ltd., London, U.K.), eine freigegebene mobile Vorrichtung mit darauf installierter VPN-Client-Software. Beispiele für solche Vorrichtungen umfassen die Telephone Nokia 7650TM und 3650TM, und 9210-CommunicatorTM (erhältlich von Nokia Corp, Espoo, Finnland). Mobile Vorrichtungen 10 kommunizieren über ein drahtloses Netz 12 und das Internet 14 mit einem VPN-Zugangsschutzsystem 18 und einem VPN-Netzübergang (VPN-Gateway) 24. Mobile Vorrichtungen 10 und Computer 11 können eine VPN-Tunnelverbindung 19 einrichten, wenn das Zugangsschutzsystem 18 die Verbindung zum Intranet 36 erlaubt.
  • Die mobile VPN-Client-Software (VPN-Client) wird zuerst in der mobilen Vorrichtung 10 für die Kommunikation mit dem Sicherheitsdienstmanager-(SSM)-Server 20 installiert. Der VPN-Client ist in 3 als die installierte Anwendung 72 in der mobilen Vorrichtung 10 gezeigt, und wird im Folgenden genauer erläutert. Der Benutzer kann den VPN-Client unter Verwendung eines gewöhnlichen Web-Browsers über eine Infrarotverbindung, BLUETOOTH-Verbindung oder WLAN-Verbindung über Rundfunk oder Mehrpunktverbindung (z. B. DVB-T oder dessen Modifikationen), über E-Mail oder über CD-ROM oder andere entnehmbare Medien herunterladen. Der VPN-Client wird z. B. als eine SIS-Datei eines Betriebssystems SYMBIAN OSTM zur einfachen Installation in der mobilen Vorrichtung 10 geliefert.
  • Der SSM-Server 20 weist über einen Web-Server 90 (in 5 gezeigt) eine Schnittstelle zum Filtern von Anfragen auf, die von entfernten Quellen, wie z. B. der mobilen Vorrichtung 10, empfangen werden. Nur authentisierten Benutzern ist erlaubt, auf den SSM-Server 20 zuzugreifen. Die Benutzerauthentisierung beruht auf Benutzername/Passwort-Kombinationen, die ein entfernter Vorrichtungsbenutzer in ein HTML-Formular eingibt, das von der externen Benutzerschnittstelle (UI) des Web-Servers 90 bereitgestellt wird. Eine erfolgreiche Authentisierung veranlasst den SSM-Server 20, eine Sitzung für den authentisierten Benutzer zu erzeugen. Die Sitzung wird anschließend zwischen den nachfolgenden Seitenanforderungen identifiziert durch Codieren einer Sitzungs-ID in die URLs für die im Web-Server 90 gespeicherten Seiten. Insbesondere enthält jede Verknüpfung auf nachfolgende Web-Seiten einen Sitzungs-ID-Parameter, den der SSM-Server 20 verwendet, um die Seitenanforderungen zu bestätigen. Servlets und JSP-Seiten auf dem Web-Server 90 erzeugen die URLs in den Web-Seiten. Der Benutzer kann sich vom SSM-Server 20 abmelden unter Verwendung einer Verknüpfung in einer Weg-Seite, die vom Web-Server 90 bereitgestellt wird. Da die Benutzer nicht immer daran denken, sich abzumelden, weisen jedoch die Benutzersitzungen einen kurzen Zeitüberschreitungswert auf. In einer Ausführungsform sind alle Seiten des Web-Servers 90 nur über SSL-Verbindungen zugänglich. Benutzernamen, Passwörter und Sitzungs-IDs werden somit über verschlüsselte Verbindungen übertragen.
  • Beispielhafte VPN-Client-Installation in der Benutzerschnittstelle eines Mobiltelephons
  • Alle Anfragen von der mobilen Vorrichtung 10, einschließlich Anfragen von einem Benutzer-Browser, werden über das Hypertext-Übertragungsprotokoll (HTTP, hyper text transfer protocol) an den SSM-Server 20 gesendet. In wenigstens einer Ausführungsform laufen HTTP-Verbindungen 19 von den mobilen Vorrichtungen 10 im Internet 14 über einen VPN-Netzübergang 24 und/oder einen Zugangsschutzsystem/Proxy-Server 18, wobei der SSM-Server 20 nicht direkt mit dem Internet 14 verbunden ist.
  • Die mobile Vorrichtung 10, die einen Anzeigebildschirm, eine Tastatur und/oder andere Eingabe- und Ausgabevorrichtungen enthält, bietet verschiedene Schnittstellen für einen Benutzer während der Installation eines VPN-Clients. Nach dem Herunterladen zeigt die Anzeigevorrichtung an, dass eine SIS-Datei vorhanden ist, die den VPN-Client enthält (8). Beim Öffnen dieser Datei wird der Benutzer aufgefordert, die Software zu installieren, indem er "Ja" auswählt (9), wodurch der Installationsprozess startet. Das Auswählen von "Nein" bricht die Installation ab. Bei der Auswahl von Ja werden dem Benutzer mehrere Auswahlmöglichkeiten in einem Optionsmenü bereitgestellt: "Installieren", "Zertifikat ansehen" oder "Einzelheiten über das installierte Produkt" (10). Nach Auswahl von "Installieren" wird der Benutzer aufgefordert, alle aktiven Anwendungen zu schließen, die auf der Vorrichtung laufen (11). Dies dient der Sicherheit, so dass keine anderen Anwendungen die Installation stören. Nach dem Schließen irgendwelcher anderer Anwendungen beginnt die eigentliche Installation. Wenn die Installation abgeschlossen ist, fordert der Installationsprozess den Benutzer auf, die Vorrichtung auszuschalten und wieder einzuschalten (12). Dies stellt sicher, dass alle Niedrig-Ebene-Komponenten richtig installiert werden, wenn die Vorrichtung wieder eingeschaltet wird. Nach der Installation erscheint ein Mobil-VPN-Client-Symbol auf einem Anwendungsmenü (13). Die Benutzer können den Client irgendwohin im Anwendungsmenü oder in irgendeinem Ordner verschieben.
  • Der Installationsprozess verwendet einen Automatik-Inhaltsaktualisierung-(ACU)-Dienst. Der ACU-Dienst enthält ein Protokoll zwischen der mobilen Vorrichtung 10 und dem SSM-Server 20, das der Vorrichtung 10 erlaubt, ihren lokalen Inhaltsspeicher mit dem Inhalt des SSM-Servers 20 synchronisiert zu halten. In einer Ausführungsform ist die ACU-Dienst-Client-Software (ACU-Client) Teil des mobilen VPN-Clients, und wird vor dem Installieren anderer Komponenten des VPN-Clients installiert. Die ACU-Client-Einrichtungsphase umfasst zwei Protokolltransaktionen. Die erste Transaktion wird verwendet, um ein ACU-Client-Konfigurationspaket zum mobilen Client herunterzuladen, während die zweite Transaktion verwendet wird, um ein ACU-Client-Zertifikat einzutragen. Das Client-Zertifikat wird in nachfolgenden ACU-Datenübertragungen verwendet, um ACU-Anfragen zu signieren und Antworten auf Anfragen zu authentisieren.
  • Der SSM-Server 20 enthält eine Datenbank 98 (5), die ihrerseits zusätzliche Datenbanken umfasst. Eine Konfigurationsdatenbank erlaubt Clients, Client-Konfigurationspakete vom SSM-Server 20 zu holen. Die Zertifikateintragungsdatenbank erlaubt Clients, Zertifikate mit dem SSM-Server 20 einzutragen. Eine Inhaltsmetadatendatenbank erlaubt Clients, Metadaten über den in einer Inhaltsdatenbank gespeicherten Inhalt zu holen. Die Inhaltsdatenbank erlaubt Clients, aktuellen Inhalt vom SSM-Server 20 zu holen. Alle Datenbanken enthalten einen bestimmten Typ von Daten, die ein Client holen kann. Während die Konfigurationsdatenbank nur Client-Konfigurationspakete enthält, kann jedoch die Inhaltsdatenbank irgendeine Art von Daten enthalten. Der Inhalt in der Datenbank ist ferner einer oder mehreren Eigenschaften zugeordnet; diese Eigenschaften sind in Suchfiltern von ACU-Anfragen enthalten, um die gewünschten Daten zu fin den. Zum Beispiel unterstützt die Zertifikateintragungsdatenbank Eigenschaften, wie z. B. Zertifikatanfragen, die unter Verwendung von PKCS#10 (oder anderer Zertifikatanfragesyntax) vorbereitet worden sind, und Entitätsnamen; die Inhaltsdatenbank unterstützt Eigenschaften wie z. B. Inhalt-ID und Typ.
  • Unterschiedliche Ebenen der Sicherheitsautorisierung von ankommenden ACU-Anfragenachrichten sind für den Zugang zu unterschiedlichen Datenbanken erforderlich. In wenigstens einer Ausführungsform gibt es drei Ebenen der Sicherheit: Req1 (niedrigste), Req2 (mittlere) und Req3 (höchste). Die Konfigurationsdatenbank akzeptiert alle Sicherheitsebenen (Req1, Req2 und Req3), während die Inhaltsdatenbank die höchste Sicherheitsebene (Req3) erfordert. Die folgende Tabelle 1 fasst Sicherheitsebenenanforderungen, Inhaltseigenschaften und Inhaltstypen von Datenbanken des SSM-Servers 20 in einer Ausführungsform zusammen. Zum Beispiel speichert die Zertifikateintragungsdatenbank X.509v3-Zertifikate und gibt diese zurück (z. B. "application/pkix-cert"). Wie im Stand der Technik bekannt ist, bezieht sch X.509 auf den von der Internationalen Telekommunikationsunion empfohlenen Standard für digitale Zertifikate. Suchfilter in einer Anfrage, die auf die Zertifikateintragungsdatenbank zielt, können drei Eigenschaften enthalten, einen Entitätsnamen, einen Anforderungstyp und eine PKCS#10-Zertifikatanfrage. Die Zertifikateintragungsdatenbank erfordert, dass Anfragen die Sicherheitsebene Req2 oder Req3 aufweisen.
  • Tabelle 1
    Figure 00090001
  • Bei Empfang eines ersten Antwortpakets vom SSM-Server 20 richtet die mobile Vorrichtung 10 eine Vertrauensbeziehung zum dem SSM-Server 20 ein. Genauer, bestätigt die mobile Vorrichtung 10 ein zurückgegebenes SSM-Server-Zertifikat und speichert dieses. Das gespeicherte SSM-Server-Zertifikat wird anschließend verwendet, um automatisch nachfolgende ACU-Antworten vom gleichen Server zu bestätigen.
  • Die mobile Vorrichtung 10 und der Server 20 schließen die ACU- und VPN-Client-Einrichtphase ab, bevor andere Operationen gestartet werden (z. B. Aktualisieren des Inhalts von anderen Anwendungen auf der Vorrichtung 10 unter Verwendung eines VPN für sichere Datenübertragung durch eine weitere Anwendung und dergleichen). Zieldatenbanken, die während der Client-Einrichtung verwendet werden, können variieren. Beispiel-Zieldatenbanken und Nachrichtensicherheitsebenen, die in der ACU-Client-Einrichtungsphase verwendet werden, sind jedoch in Tabelle 2 und in 7 beschrieben.
  • Tabelle 2
    Figure 00100001
  • Die Nachricht 1 wird vom ACU-Client verwendet, um ein ACU-Client-Konfigurationspaket von einem ACU-Server (z. B. SSM-Server 20) zu holen. Dieser Server verwendet die Nachricht 2, um ein ACU-Client-Konfigurationspaket an den ACU-Client zurückzugeben. Der ACU-Client verwendet die Nachricht 3, um ein ACU-Client-Zertifikat mit dem ACU-Server einzutragen. Dieser Server verwendet die Nachricht 4, um ein ACU-Client-Zertifikat an den ACU-Client zurückzugeben. Während der nachfolgenden Operationsphase sendet der ACU-Client eine Nachricht, um Inhaltsmetadaten oder aktuellen Inhalt von einem ACU-Server zu holen, oder um ein Zertifikat mit einem (in 7 oder Tabelle 2 nicht gezeigten) ACU-Server einzutragen. Dies kann das Holen einer VPN-Richtlinie vom SSM-Server 20 einschließen. In Reaktion hierauf gibt der Server Inhaltsmetadaten, aktuellen Inhalt oder ein Zertifikat an den ACU-Client zurück. Dies kann das Zurückgeben einer VPN-Richtlinie an den ACU-Client einschließen.
  • Wenn ein SSM-Server- oder Client-Zertifikat abläuft oder anderweitig ungültig wird, leitet die mobile Vorrichtung 10 eine neue Client-Einrichtungsphase ein und führt die geeigneten Initialisierungsschritte durch. Wenn die mobile Vorrichtung 10 einen Authentisierung-Erfolgreich-Status empfängt, jedoch eine Anzeige empfängt, dass das mobile Client-Zertifikat bald abläuft, kann die mobile Vorrichtung 10 ein neues Client-Zertifikat unter Verwendung des bald ablaufenden Zertifikats für die Authentisierung der Anforderung eintragen. Sobald das neue Zertifikat empfangen worden ist, ersetzt es das alte.
  • Nachrichten von der mobilen Vorrichtung 10 an den SSM-Serwer 20 weisen einen Abschnitt auf, der die Sitzungs-ID (z. B. eine Zahl) und die Nachrichten-ID (z. B. ebenfalls eine Zahl), den SSM-Server 20 und Client-Adressen definiert. Der Clientadressenabschnitt kann optional auch Authentisierungsinformationen enthalten. Ein Körperabschnitt der Nachricht identifiziert die Version des ACU-Protokolls (z. B. "SyncML/1.0"), das in dieser Nachricht verwendet wird und dessen Verwendung im Antwortpaket erwartet wird. Der Körperabschnitt enthält ferner eine Anfrage, die Eigenschaften des Inhalts enthält, dem der Client vom Server zu erhalten wünscht. Zum Beispiel kann eine Anfrage den absoluten URI des SSM-Servers 20 enthalten (z. B. "http://<acu-server-name>/acu"). In einer Ausführungsform ist der Anfragewert der Gleiche wie der Zieleinheit-Betriebsmittelidentifizierer (URI), der auf der HTTP-Ebene verwendet wird. Die Nachricht von der mobilen Vorrichtung 10 enthält ferner einen absoluten URI oder eine internationale Mobilstationsausrüstungsidentität-(IMEI)-Einheitsbetriebsmittelnummer (URN), die die mobile Vorrichtung 10 eindeutig identifiziert (z. B. "http://<cient-name>.<port>" oder "IMEI:493005100592800"). Das Einschließen der Client-Authentisierung und der Identitätsinformationen hängt von der Sicherheitsebene der Anforderungsnachricht ab. Die Nachricht von der mobilen Vorrichtung 10 kann ferner anzeigen, ob die Nachricht die letzte Nachricht eines Pakets ist. In wenigstens einer Ausführungsform ist ein ACU-Paket immer in einer einzelnen Nachricht enthalten, wobei eine "letztes Element"-Beschreibung somit in allen ACU-Nachrichten von der Vorrichtung 10 vorhanden wäre.
  • In einer Ausführungsform enthält der Körper einer ACU-Antwortnachricht vom SSM-Server 20 einen Identifizierer der Version (z. B. "1.0") der XML (extensible markup language = erweiterbare Auszeichnungssprache), die z. B. dem ACU-Protokoll verwendet wird; ein Statusinformationselement, das verwendet wird, um die ein bestimmtes Element sendende Anwendung über das Ergebnis der Verarbeitung dieses Elements durch den SSM-Server 20 oder einen anderen Empfänger zu informieren (z. B. einen Fehlercode, der angibt, warum die Datenübertragung nicht erfolgreich war); eine Version des ACU-Protokolls (z. B. "SyncML/1.0"); die Eigenschaften des Inhalts, den der Client vom Server in der entsprechenden Anforderung zu erhalten wünscht; und Informationen über Status/Ergebnisse-Elementpaare für zusätzliche Suchelemente (falls vorhanden) im entsprechenden Anforderungspaket. Ergebniselemente sind nur dann vorhanden, wenn die entsprechenden Anfragen einen bestimmten Inhalt zurückgeben. Die ID des Inhaltselements, die in wenigstens einer Ausführungsform die Gleiche ist wie der ID-Elementwert in den entsprechenden ACU-Metadaten, kann als Wert der ContentID-Inhaltseigenschaft in ACU-Suchfiltern für die Inhaltsdatenbank verwendet werden.
  • Verschiedene Anwendungsprogramme, die auf der mobilen Vorrichtung 10 laufen, können den auf der mobilen Vorrichtung installierten ACU-Client verwenden. Wenn eine Anwendung eine Inhalts-ID in einer Inhaltsaktualisierungsanforderung spezifiziert, ruft der ACU-Agent 74 (3) einen Internetprotokollsicherheit-(IPSec)-Manager 60 auf, um die Identität des Servers zu erhalten, mit dem der Aktualisierungsprozess durchzuführen ist, und fordert den Benutzer der Vorrichtung auf, das VPN-Client-Passwort bereitzustellen. Wenn der ACU-Client 74 die Server-Identität (im vorliegenden Beispiel der SSM-Server 20) hat, fährt der ACU-Agent 74 mit dem Aktualisierungsprozess fort durch Abfragen der Anwendung nach einer Liste der gewünschten Inhaltstypen. Der ACU-Agent 74 fragt ferner die Anwendung nach Metadaten (z. B. IDs, Typen und Zeitstempel) für den gewünschten Inhalt. Nachdem der Datenaustausch mit dem identifizierten Server (hier SSM-Server 20) geeignet initialisiert worden ist, erzeugt der ACU-Agent 74 eine ACU-Anforderungsnachricht an den SSM-Server 20. Diese Nachricht holt Metadaten bezüglich des Inhalts, die der SSM-Server 20 der Client-Anwendung, die eine Aktualisierung anfordert, und/oder den Benutzer der Anwendung zugewiesen hat. Die ACU-Anforderung enthält einen Suchfilter, der alle Inhaltstypen auflistet, die die Client-Anwendung zu aktualisieren wünscht. Der ACU-Agent 74 vergleicht anschließend die vom SSM-Server 20 zurückgegebe nen Metadaten mit den Metadaten in der eine Aktualisierung anfordernden Anwendung. Wenn Unterschiede auftreten, setzt der ACU-Agent 74 einen Serverinhaltsaktualisierungs-Konfigurationsparameter (z. B. "ForceUpdates") im ACU-Datenspeicher 66 (3). Der ACU-Agent 74 holt anschließend alle neuen und veränderten Inhalt (falls vorhanden) vom SSM-Server 20. 7 ist eine beispielhafte Ansicht eines Flussdiagramms, das beschreibt, wie ACU-Nachrichten gemäß einer Ausführungsform der vorliegenden Erfindung behandelt werden.
  • VPN-Richtlinieninstallations-UI eines Mobiltelephons
  • Eine oder mehrere VPN-Richtlinien sind ein Inhaltstyp, der durch eine mobile Vorrichtung 10 vom SSM-Server 20 erhalten wird. Eine VPN-Richtlinie enthält alle Informationen, die von einer mobilen Vorrichtung mit einem VPN-Client (z. B. "mVPNClient") benötigt werden, wie z. B. der mobilen Vorrichtung 10, um sichere Verbindungen zum SSM-Server 20 einzurichten, um somit in wenigstens einer Ausführungsform auf E-Mail 32, Datenbanken 34 und andere Einrichtungen im Unternehmens-Intranet (2) zuzugreifen. In einer Ausführungsform enthält die Richtlinie Endbenutzeridentitätsdaten, wie z. B. Zertifikate und private Schlüssel. Eine VPN-Richtlinie ohne Zertifikate, private Schlüssel und andere benutzerspezifische Daten wird als "Profil" bezeichnet. Mehrere Endbenutzer können das gleiche Profil erhalten, und anschließend individualisierte Richtlinien erzeugen. In einer Ausführungsform werden VPN-Richtlinien und Profile im SSM-Server 20 gemanagt und verwaltet, welcher seinerseits eine Richtlinienmanageranwendung 26, eine Datenbank 98 und eine Zertifizierungsbehörde 28 enthält oder damit in Verbindung steht.
  • Eine einzelne VPN-Richtlinie kann mehrere Benutzerzertifikate erfordern. Zum Beispiel kann eine Richtlinie, die von der Richtlinienmanageranwendung 26 erzeugt und zur Datenbank 98 des SSM-Servers 20 übertragen worden ist, mehrere VPN-Netzübergangsdefinitionen enthalten, wobei jede Definition eine Zertifikatauthentisierung verwendet, jedoch auf einer anderen Zertifikatautorität beruht. Folglich kann eine einzige Richtlinie mehrere Zertifikateintragungsprozesse erfordern, bevor sie für die Aktivierung bereit wird. Obwohl eine Richtlinie mehrere zugeordnete Benutzerzertifikate aufweisen kann, gibt es in wenigstens einer Ausführungsform ein einzelnes Öffentlich/Privat-Schlüsselpaar einer gegebenen Größe für eine Richtlinie. Mit anderen Worten, alle Zertifikate, die einer einzelnen Richtlinie zugeordnet sind und die gleiche Schlüsselgröße verwenden, beziehen sich auf das gleiche Öffentlich/Privat-Schlüsselpaar.
  • In einer Ausführungsform, wie in 3 gezeigt ist, sind Dateien, die eine VPN-Richtlinie bilden, im IPSec-Richtlinienspeicher 40 enthalten und umfassen eine Richtlinieninformationsdatei 46 (die allgemeine Informationen über die Richtlinie enthält), eine Richtliniendatei 50 (die IPSec- und Internet-Schlüsselaustausch- oder IKE-Regeln enthält), eine oder mehrere Zertifikatdateien 48 und eine oder mehrere Privatschlüsseldateien 52. In wenigstens einer Ausführungsform speichert der IPSec-Richtlinienspeicher 40 Öffentlich/Privat-Schlüsselpaare 42, Zertifikate 48 und Zertifikatanforderungen und Zuordnungen 44 (im Folgenden beschrieben) für irgendeine Anwendung, nicht nur den VPN-Client. Der IPSec-Richtlinienspeicher 40 ist modifizierbar, um neue Inhaltseigenschaften zu unterstützen, die vom ACU-Agenten 74 benötigt werden können.
  • Anwendungen 72, die auf der mobilen Vorrichtung 10 laufen, greifen auf den ACU-Client über den ACU-Agenten 74 zu. In einer Ausführungsform greift der VPN-Client auf den ACU-Agenten 74 über den IPSec-Manager 60 zu.
  • In verschiedenen Phasen während der Inhaltsaktualisierung und des Zertifikateintragungsprozesses kommuniziert der ACU-Agent 74 mit der Client-Anwendung (z. B. dem VPN-Client), der die Aktualisierung, die Eintragung oder einen anderen Prozess eingeleitet hat.
  • Der ACU-Datenspeicher 66 enthält Informationen über die Client-Anwendungen, die den ACU-Client verwenden, wie z. B. VPN-Client-Informationen 68. Der ACU-Datenspeicher 66 enthält ferner Informationen 70 über Server, mit denen der ACU-Agent 74 auf Geheiß der Client-Anwendungen kommuniziert, wie z. B. den SSM-Server 20. Der aktuelle Inhalt und die Inhaltsmetadaten, die von den Servern geholt werden, werden von den jeweiligen Client-Anwendungen gespeichert, die die Aktualisierung oder einen anderen ACU-Dienst angefordert haben. Im Fall des VPN-Clients werden der Inhalt und Inhaltsmetadaten im IPSec-Richtlinienspeicher 40 gespeichert. Wie ebenfalls in 3 gezeigt ist, enthält die mobile Vorrichtung 10 eine Schnittstelle zu einem mobilen Netz, wie z. B. einen Senderempfänger 64, eine CPU 76, sowie Telephon- und Kalenderanwendungen. Obwohl nicht gezeigt, würde die mobile Vorrichtung 10 ferner eine oder mehrere Benutzereingabevorrichtungen (z. B. eine Tastatur), Ausgabevorrichtungen (z. B. eine Anzeigevorrichtung) und andere bekannte Komponenten enthalten.
  • 4 ist ein Blockdiagramm, das einen Speicher im ACU-Datenspeicher 66 zeigt. Der ACUService-Datensatz 78 enthält Informationen ("IE") über eine oder mehrere ACU-Dienstinstanzen. Der ClientApp-Datensatz 80 enthält Informationen über die Anwendungen, die eine bestimmte ACU-Dienstinstanz verwenden. Mehr als eine Anwendung kann eine bestimmte ACU-Dienstinstanz verwenden. Der ServerAccount-Datensatz (Serverkontodatensatz) 82 enthält Informationen über die Serverkonten (z. B. für den SSM-Server 20), die von einer bestimmten Client-Anwendung verwendet werden. Die Informationen im ServerAccount-Datensatz 82 werden aus einer Benutzereingabe vom Server (z. B. SSM-Server 20) in einem Client-Konfigurationspaket und/oder als Ergebnis eines Client-Initialisierungsprozesses erhalten. Eine bestimmte Anwendung kann mehr als einen ServerAccount-Datensatz aufweisen. Öffentlich/Privat-Schlüsselpaare sind in der KeyPair-Datei 84 gespeichert. Die unterschiedlichen Datensätze und Dateien können in Abhängigkeit von der Client-Anwendung miteinander kommunizieren. Das Feld IAPRef im ServerAccount-Datensatz 82 bezieht sich auf einen Internetzugangspunkt-(IAP)-Konfigurationseintrag in der Vorrichtung 10. Dieses Feld spezifiziert den Zugangspunkt, der zu verwenden ist, wenn mit einem im ServerAccount-Datensatz spezifizierten Server (z. B. dem SSM-Server 20) kommuniziert wird. Andere verfügbare IAPs für andere Verwendungen sind anderswo in der Vorrichtung konfiguriert.
  • In einer Ausführungsform kommuniziert der ACU-Agent 74 und jede den ACU-Client verwendende Anwendung während der Inhaltsaktualisierung- und Zertifikateintragungsprozesse mit dem IPSec-Manager 60. Der IPSec-Manager 60 ist in einer Ausführungsform ein Teil der Betriebssystem-Software auf der mobilen Vorrichtung 10 (wie z. B. des Betriebssystems SYMBIAN OSTM). Der IPSec-Manager 60 managt den IPSec-Richtlinienspeicher 40, der die darin gespeicherten Zertifikate und privaten Schlüssel enthält. Der IPSec-Manager 60 führt ferner Verschlüsselungs- und Entschlüsselungsoperationen mit dem im Richtlinienspeicher 42 gespeicherten privaten Schlüsseln durch. In einer Ausführungsform sind die privaten Schlüssel in verschlüsselter Form installiert und gespeichert, wobei der IPSec-Manager 60 den Richtlinienimport und die zum Entschlüsseln und Verschlüsseln der privaten Schlüssel benötigten VPN-Client-Passwörter managt. Die VPN-Client-Software implementiert über den IPSec-Manager 60 und/oder andere Betriebssystemkomponenten Dialoge zum Anfordern von VPN-Client- und Richtlinieninstallationspasswörtern vom Benutzer.
  • Der IPSec-Manager 60 unterstützt ferner die Erzeugung und Speicherung von Öffentlich/Privat-Schlüsselpaaren, die Speicherung von Zertifikaten und die Erzeugung und Speicherung von Zertifikatanforderungen für die VPN-Client-Software und für andere Anwendungen. Der IPSec-Manager 60 nimmt die Funktionalität an, die erforderlich ist, um Richtlinienaktualisierungs- und Zertifikateintragungsprozesse zu unterstützen. Wenn der Benutzer einen Richtlinienaktualisierungsprozess mit einem Befehl an den IPSec-Manager 60 startet, fragt der IPSec-Manager 60 (über eine Benutzerschnittstelle) nach dem VPN-Client-Passwort.
  • In einer Ausführungsform unterstützt der VPN-Client zwei Haupttypen von VPN-Authentisierung: Zertifikatauthentisierung und Altauthentisierung. Die Zertifikatauthentisierung beruht auf Benutzer-Öffentlichschlüssel-Infrastruktur-(PKI)-Daten (z. B. einem Öffentlich/Privat-Schlüsselpaar und entsprechendem Zertifikat), während die Altauthentisierung auf Benutzernamen und Passwörtern/Passcodes beruht.
  • Der Zertifikateintragungsprozess ist in zwei Formen verfügbar: automatisiert und manuell. Der Benutzer leitet einen automatisierten Zertifikateintragungsprozess ein durch Aktivieren einer Richtlinie, die eine Zertifikatseintragung erfordert. Eine Richtlinie erfordert eine Zertifikatseintragung, wenn sie eine PKI-Richtlinie ist und ihr alle Benutzer-PKI-Informationen fehlen, oder wenn die Benutzer-PKI-Informationen unvollständig oder abgelaufen sind. Der Benutzer leitet einen manuellen Zertifikateintragungsprozess ein durch Auswählen einer Richtlinie, die eine Zertifikatseintragung erfordert, im VPN-Client UI und anschließendes Auswählen eines spezifischen Befehls aus dem Client-Menü.
  • In einer Ausführungsform werden Profile unter Verwendung einer VPN-Richtlinienmanageranwendung 26 erzeugt, die die VPN-Struktur (z. B. Netztopologie) zu Netzübergängen und zu Clients beschreiben. In einer Ausführungsform führt der VPN-Netzübergang 24 endgültige Prüfungen der Zugangsrechte durch, wobei eine Client-Version einer Richtlinie nur Informationen enthält, die erforderlich sind, um sichere Verbindungen zu den richtigen Netzübergängen einzurichten.
  • In einigen Ausführungsformen enthält die Richtlinienmanageranwendung 26 Benutzer-Privatschlüssel und Zertifikate mit einer Richtlinie. Wenn ein VPN-Profil die Verwendung von Zertifikaten und privaten Schlüsseln definiert, diese jedoch nicht enthält, erzeugt ein VPN-Client ein Öffentlich/Privat-Schlüsselpaar und eine entsprechende Zertifikatanforderung, und sendet dann die Anforderung zur Eintragung an eine Zertifizierungsbehörde (CA) 28. Wenn die Eintragung erfolgreich ist, sendet der CA 28 ein Zertifikat zurück und der VPN-Client ist für sichere Verbindungen bereit.
  • Um einen Zertifikatseinführungsprozess zu erleichtern, arbeitet eine Ausführungsform des SSM-Servers 20 als ein Zertifikateintragungs-Netzübergang. In diesem Fall senden die VPN-Clients Eintragungsanforderungen an den SSM-Server 20 statt an den CA 28, wobei nur der SSM-Server 20 mit dem CA 28 kommuniziert. Der SSM-Server 20 führt anschließend die notwendige Authentisierung und die Autorisierung durch, um die Zertifikateintragung vollständig zu automatisieren. Der SSM-Server 20 authentisiert Benutzer mit einer Benutzerdatenbank 98 oder einen Fernauthentisierungs-Einwahl-Benutzerdienst-(RADIUS)-Server 30. Der Letztere ermöglicht die Nutzung von Passwort-Token, wie z. B. SECURID (erhältlich von RSA Security Inc. aus Bedford, Massachusetts).
  • In bestimmten Ausführungsformen arbeitet der SSM-Server 20 als interne VPN-Zertifizierungsbehörde. In einem solchen Fall braucht nicht die Notwendigkeit bestehen, einen CA einer dritten Partei zu verwenden, um VPN-Zertifikate zu zeichnen, was zu signifikanten Kosteneinsparungen in PKI-basierten VPN-Entwicklungen führen kann.
  • VPN-Richtlinien und Profile können sich ändern, nachdem sie anfangs ausgegeben worden sind. Clients können eine Richtlinie vom SSM-Server 20 auf verschiedene Weise aktualisieren. In einer Ausführungsform prüft der VPN-Client unter Verwendung des ACU-Clients automatisch auf aktualisierte Richtlinien bei Verbindung mit dem SSM-Server 20. Bei Auffinden von aktualisierten Richtlinien importiert der VPN-Client (unter Verwendung des ACU-Clients) automatisch ir gendwelche Änderungen. Das ACU-Protokoll beruht auf SyncML in einer Ausführungsform und kooperiert mit der VPN-Clientsoftware auf Basis des Betriebssystems SYMBIANTM. Eine automatische Aktualisierung minimiert die Notwendigkeit für E-Mlail-Benachrichtigungen und Herunterladevorgänge auf Browser-Basis.
  • Während des Richtlinienaktualisierungsprozesses, und unabhängig davon, ob eine Richtlinienaktivierung erfolgreich ist oder nicht, setzt der IPSec-Manager 60 einen Parameter, der spezifiziert, ob eine Richtlinienaktualisierung begonnen hat. Die Einstellung wird in einer Initialisierungsdatei des IPSec-Managers 60 gespeichert (in 3 nicht gezeigt). Als Nächstes leitet der IPSec-Manager 60 den Richtlinienaktualisierungsprozess für die aktivierte Richtlinie ein durch Aufrufen eines entsprechenden ACU-Agentenverfahrens und Weiterleiten verschiedener Parameter an dieses. Diese Parameter umfassen die Richtlinien-ID (als Inhalts-ID) und die ID einer IPSec-ACU-Ergänzung (ACU plug-in) (z. B. UID3 der IPSec-ACU-Ergänzung-DLL). Ein ACU-Agent 74 lädt anschließend die spezifizierte Ergänzung und verwendet die (in 3 nicht gezeigte) Ergänzung (plug-in) als Schnittstelle zwischen dem ACU-Agenten 74 und dem IPSec-Manager 60, um die ID des Servers (in dem Beispiel des SSM-Servers 20) zu erhalten, mit dem der Aktualisierungsprozess durchgeführt werden soll, woraufhin die Ergänzung den Aufruf vom ACU-Agenten 74 implementiert durch Aufrufen des IPSec-Managers 60. Wenn die Ergänzung keine Server-ID an den ACU-Agenten 74 zurückgibt, ändert der Aktualisierungsprozess. Der Prozess wird ferner beendet, wenn der Client-Anwendungsdatensatz im ACU-Datenspeicher 66 nicht einen zugehörigen Server-Kontodatensatz mit der spezifizierten Server-ID aufweist. Wenn die Ergänzung eine gültige Server-ID zum ACU-Agenten 74 zurückgibt, wird der Richtlinienaktualisierungsprozess fortgesetzt.
  • Bevorratung in der Mobil-Client-UI
  • Ein Benutzer kann die Bevorratung einer mobilen Vorrichtung 10 über eine UI einleiten (z. B. Bewegen eines Auswahlkastens über ein Symbol und Drücken einer Auswahltaste, wie in 14 gezeigt ist). In einer Ausführungsform werden keine Daten angezeigt, wenn auf der Vorrichtung keine Richtlinien installiert sind (15). In dieser Ausführungsform listet ein Optionsmenü in einer UI der mobilen Vorrichtung 10 verschiedene Funktionen auf, die ein Benutzer ausführen kann, wobei ein Zurück-Befehl einen Benutzer zu einem Hauptanwendungsmenü zurückbringt.
  • Um eine erste Richtlinie zu erhalten, verbindet ein Benutzer sich mit dem SSM-Server 20. Aus dem Optionsmenü wählt der Benutzer anschließend "Aktualisiere vom Server" (16) aus, um einen Richtlinienempfang zu starten. Die mobile Vorrichtung 10 verbindet sich mit dem SSM-Server 20, wobei die Verbindung durch ein VPN-Client-Passwort geschützt ist. Wenn dies das erste Mal ist, dass die Vorrichtung verwendet wird, muss ein Benutzer möglicherweise ein VPN-Client-Passwort erzeugen. Während der Passworteingabe wird jedes Zeichen für einen Augenblick gezeigt, bevor es zu einem Sternchen wechselt (17). Das Drücken von "OK" nach Eingabe der Zeichen akzeptiert das Passwort und fährt mit dem Prozess fort. Die Auswahl von "Abbrechen" bringt einen Benutzer zum Client-Hauptbildschirm zurück. Im nächsten Bevorratungsschritt gibt der Benutzer den URL oder die IP-Adresse des SSM-Servers 20 ein (18). In einer Ausführungsform wird die Server-Adresse dem Benutzer mittels eines Unternehmenssicherheits- oder Netzwerkmanagers geliefert. Nach der Eingabe von "OK" wird die Adresse akzeptiert und der Prozess fortgesetzt. Wie vorher bringt "Abbrechen" den Benutzer zum VPN-Client-Hauptbildschirm zurück. Als Nächstes wählt der Benutzer einen Internetzugangspunkt (IAP) für die Verbindung mit dem Internet (oder mit einem spezifischen Einwählnetz) aus (19). In einer Ausführungsform zeigt das Betriebssystem einen Dialog an, wenn es erfasst, dass eine Anwendung Internetzugang anfordert. "Auswählen" akzeptiert einen Internetzugangspunkt, während "Abbrechen" den Benutzer zum VPN-Client-Hauptbildschirm zurückbringt. Als Nächstes verbindet sich die mobile Vorrichtung 10 mit dem SSM-Server 20. In einer Ausführungsform informiert ein "G" in einem Kasten in der oberen linken Ecke der Anzeige den Benutzer darüber, dass der GPRS-Zugang in einem mobilen Netz aktiv ist (20). Wenn "Abbrechen" ausgewählt wird, endet der Prozess.
  • Wenn ein Zertifikat für den SSM-Server 20 und Konfigurationsinformationen für den VPN-Client nicht vorhanden sind (oder ungültig sind), holt der Client-Initialisierungsprozess ein Client-Konfigurationspaket vom SSM-Server 20 (20). Ohne ein bestehendes SSM-Server-Zertifikat im ACU-Datenspeicher 66 kann der ACU-Agent 74 nicht automatisch der Antwort und dem Server, der diese sendet, vertrauen. Um Vertrauen aufzubauen, fordert der ACU-Agent 74 den Benutzer auf, einen Server-Identitätscode einzugeben. In einer Ausführungsform fordert die Software auf der mobilen Vorrichtung 10 den Benutzer auf, Zahlen für einen 16-Byte-Identifikationscode oder "Fingerabdruck" eines ankommenden Zertifikats einzugeben und zeigt die restlichen Zahlen für den Benutzer an, um sie mit dem vollständigen Fingerabdruck zu vergleichen. Zum Beispiel kann der Fingerabdruckcode eine Form wie "12qwe34rtyqwe1234" aufweisen. Wenn der Server überprüft wird, wird dem Benutzer ein unvollständiger Code oder eine Kette angezeigt, z. B. "12qwexxrtyqwexx34", wobei "x" ein fehlendes Zeichen anzeigt. Um den Server zu überprüfen, muss der Benutzer dann "34" bei den beiden ersten x und "12" bei den beiden letzten zwei x eingeben. Die mobile Vorrichtung 10 berechnet einen Fingerabdruck des während der Verbindung empfangenen Zertifikats und konvertiert diesen in eine lesbare Kette; die Vorrichtung entfernt anschließend (z. B. durch Ändern nach "x", "_" und dergleichen) ein oder mehrere zufällig ausgewählte Zeichen aus der Kette und zeigt die modifizierte Kette dem Benutzer an. Die zufällige Zeichenauswahl kann auf die Fähigkeiten einer mobilen Vorrichtung zugeschnitten sein. Zum Beispiel werden in einem Mobiltelephon mit einer kleinen Tastatur nur Ziffernzeichen zufällig entfernt. Die Vorrichtungsfähigkeiten können z. B. durch den IMEI-Code für die Vorrichtung bestimmt werden. Die Anzahl der fehlenden Zeichen in der Kette kann ebenfalls variieren. Die Positionen der zufällig entfernten Zeichen innerhalb des Fingerabdrucks sind verschieden für unterschiedliche Zugangsversuche. Der ACU-Agent 74 vergleicht die vom Benutzer eingegebenen Ziffern oder Zeichen mit den aus den 16 Bytes des empfangenen SSM-Server-Zertifikatfingerabdrucks entfernten Zeichen. Wenn der Code mit dem Fingerabdruck übereinstimmt, d. h. die vom Benutzer eingegebenen Zeichen stimmen mit den aus dem Server-Fingerabdruck entfernten Zeichen überein, nimmt der ACU-Agent 74 an, dass dem SSM-Server 20 vertraut werden kann, und speichert das Server-Zertifikat in der Zertifikatdatei 48 im IPSec-Richtlinienspeicher 40 durch Aufrufen des IPSec-Managers 60. Die Verbindung zum SSM-Server 60 darf anschließend fortgesetzt werden.
  • Ein weiteres Beispiel für die vorangehende Prozedur ist in 21 gezeigt. Der SSM-Server 20 erzeugt einen Hash-Wert des Server-Zertifikats und sendet diesen Hash-Wert an die mobile Vorrichtung 10 als Fingerabdruck. Im Beispiel der 21 ist der Fingerabdruck der 16-Byte-Hexadezimalwert 11:AF:93:B4:C8:B8:BA:CE:81:64:00:DB:9F:D5:91:59. Vor der Richtlinienbevorra tung stellt der Netzadministrator den Benutzer der mobilen Vorrichtung 10 den Fingerabdruck in einer sicheren Weise zur Verfügung, z. B. durch Postversendung einer Karte mit dem darauf aufgedruckten Fingerabdruck. Die mobile Vorrichtung 10 berechnet den Fingerabdruck (d. h. den Hash-Wert des Zertifikats) und zeigt den Fingerabdruck mit vier zufällig ausgewählten und durch Leerzeichen ("_") ersetzten Zeichen an. Der Benutzer geht anschließend die vier fehlenden Zeichen ein. Der Benutzer wird somit daran gehindert, dass das Zertifikat ohne wirkliche Überprüfung desselben zu akzeptieren.
  • Unter Verwendung der vorangehenden Prozedur überprüft ein Benutzer das Zertifikat eines Servers, um sicherzustellen, dass der Benutzer mit einem legitimierten Server verbunden ist, und nicht mit einem fremden Server (wie z. B. einem Server, der vortäuscht, der gewünschte Server zu sein). Diese Überprüfung wird bewerkstelligt durch Vergleichen des im Voraus veröffentlichten Fingerabdrucks auf dem Zertifikat mit dem Fingerabdruck, der aus dem vom Server empfangenen Zertifikat berechnet worden ist.
  • Wie angegeben wird der Fingerabdruckcode für den SSM-Server 20 offline (vor der Bevorratung) dem Benutzer in verschiedenen Ausführungsformen bereitgestellt. Der Serveradministrator veröffentlicht den Zertifikatfingerabdruck in einer bestimmten Weise, die durch Angreifer nicht verändert werden kann (z. B. einen Unternehmensnachrichtenbrief, eine persönliche Lieferung, eine reguläre Post und dergleichen). Die Client-Software des Benutzers berechnet den Fingerabdruck und zeigt diesen anschließend dem Benutzer an, wobei zufällige Zeichen durch Leerzeichen (oder andere Zeichen) ersetzt sind, und fordert den Benutzer auf, die fehlenden Zeichen einzugeben. Um hierzu fähig zu sein, muss der Benutzer den gezeigten unvollständigen Fingerabdruck mit dem veröffentlichten Fingerabdruck vergleichen. Wenn er die gültigen Zeichen eingeben kann, dann hat er auch überprüft, dass der Fingerabdruck der Richtige ist (ansonsten würde er nicht die fehlenden Zeichen kennen).
  • In wenigstens einer Ausführungsform fordert der VPN-Client im Wesentlichen gleichzeitig (und ohne Benutzerinteraktion) ein Zertifikat vom SSM-Server immer dann an, wenn er die mobile Vorrichtung 10 mit einem Unternehmensnetz verbindet (wie z. B. dem Intranet der 2). Mit anderen Worten, die VPN-Client-Software fügt den obenbeschriebenen Zertifikatüberprüfungsprozess jedem Ser verzugangsversuch hinzu.
  • Eine Ausführungsform der Erfindung erlaubt den Benutzern, eine Verbindung zu einer gesicherten Vorrichtung zu bestätigen, wenn ein Hochgeschwindigkeits-Internetdienst von zu Hause, von Hotels, Flughäfen, Cafes, und dergleichen erlangt wird. Zum Beispiel kann ein Benutzer Reisen und wünschen, die mobile Vorrichtung 10 mit einem Hochgeschwindigkeits-Internetzugangspunkt an einem besuchten Ort zu verbinden. Ein Fingerabdruck eines Zertifikats für einen solchen Zugangspunkt wird über vertrauenswürdige Medien jedem geliefert, der den Zugangspunkt zu verwenden wünscht. In einem Hotel kann der Fingerabdruck durch einen Rezeptionsmitarbeiter zur Verfügung gestellt werden. Der Fingerabdruck kann auch einem Benutzer mittels Post zugestellt werden. Der Fingerabdruck kann in einer vertrauenswürdigen Umgebung, die nicht einfach verändert werden kann, wie z. B. einer verschlossenen oder schwer zugänglichen Anschlagtafel, öffentlich angezeigt werden. Ähnlich der oben umrissenen Prozedur kann die mobile Vorrichtung 10 anschließend als Teil der Verbindung mit dem Hochgeschwindigkeitszugangspunkt den Benutzer auffordern, die Zeichen des Fingerabdrucks einzugeben.
  • In bestimmten Ausführungsformen, wie vorher angegeben worden ist, wird der Fingerabdruck eines Zertifikats aus dem Zertifikat selbst berechnet, wie z. B. durch eine Hash-Funktion.
  • Nachdem der Benutzer der Vorrichtung 10 das Zertifikat des SSM-Servers 20 überprüft hat, fordert der SSM-Server 20 den Benutzer auf, zu bestätigen, dass der Benutzer derjenige ist, der er zu sein beansprucht, und dass ein Konto für ihn eingerichtet worden ist. Der Benutzer wird aufgefordert, einen Benutzernamen und ein Passwort für den Zugang zum SSM-Server 20 einzugeben (22). In einigen Ausführungsformen können Token oder einmalige Passwörter verwendet werden. Nachdem der SSM-Server 20 und die Vorrichtung 10 einander authentisiert haben, speichert die Vorrichtung 10 das Zertifikat des SSM-Servers 20 und empfängt Informationen über verfügbaren Inhalt (23). Der ACU-Agent 74 speichert eine Referenz auf ein empfangenes Zertifikat im Server-Kontodatensatz 82 (4) des ACU-Datenspeichers 66 (3) zusammen mit anderen Client-Konfigurationsinformationen, die vom SSM-Server 20 empfangen worden sind. Der Benutzer erhält eine Liste verfügbaren Inhalts (24), die (in diesem Beispiel) eine neue VPN-Richtlinie ("generic*") enthält, von der VPN-Richtlinienmanageranwendung 26, sowie ein ACU-Zertifikat ("ACUcert"). Das ACU-Zertifikat ist ein Vorrichtungszertifikat für den Benutzer, das verwendet wird, um die Vorrichtung 10 für den SSM-Server 20 zu authentisieren. Die Vorrichtung 10 lädt den Inhalt herunter (25). Wenn das Herunterladen des Inhalts abgeschlossen ist, zeigt die Vorrichtung 10 die verfügbaren VPN-Richtlinien an (26; es sind keine Zertifikate gezeigt). Der Benutzer kann nun die neue Richtlinie (neuen Richtlinien) verwenden durch Verbinden mit einem VPN-Netzübergang.
  • Zu diesem Zeitpunkt hat die Vorrichtung 10 eine Richtlinie empfangen, die eine Zertifikatseintragung erfordert. Mit anderen Worten, die Richtlinie weist noch kein angefügtes Zertifikat auf, das für die Authentisierung verwendet werden kann. Wenn ein Client-Zertifikat nicht vorhanden ist oder ungültig ist, fährt der Client-Initialisierungsprozess mit einer Client-Zertifikateintragung fort.
  • Der VPN-Client der Vorrichtung 10 prüft zuerst, ob die VPN-Richtlinie eine Zertifikatauthentisierungsrichtlinie ist, und ob das Zertifikat an der Richtlinie angehängt ist. Wenn die Richtlinie kein gültiges Zertifikat enthält, wird der Benutzer gefragt, ob er ein Zertifikat einzutragen wünscht (27). Bei Auswählen von "Ja" wird dem Benutzer eine UI präsentiert, die die Erzeugung einer Zertifikatanforderung anzeigt (28). Diese beginnt mit der Erzeugung eines Öffentlich/Privat-Schlüsselpaares für die Client-Anwendung, sofern nicht ein Schlüsselpaar der benötigten Länge bereits erzeugt worden ist. In einer Ausführungsform verwenden alle Server-Konten, die der ACU-Agent 74 für eine Client-Anwendung erzeugt, den gleichen Satz von Schlüsselpaaren. Der Satz enthält ein einzelnes Schlüsselpaar von jeder verschiedenen Schlüssellänge, die von den Servern benötigt werden. Die Schlüsselpaare werden durch Aufrufe an den IPSec-Manager 60 erzeugt. Die Länge der erzeugten Schlüssel wird durch einen Parameter bestimmt, der in der vom SSM-Server 20 geholten Client-Konfigurationsinformation enthalten ist und im entsprechenden ServerAccount-Datensatz 82 im ACU-Datenspeicher 66 gespeichert ist.
  • Als Nächstes kann der ACU-Agent 74 Altauthentisierungsinformationen (Benutzername und Passwort) von dem (nicht gezeigten) Benutzer anfordern. Die Altauthentisierungsinformationen werden verwendet, um die zum SSM-Server 20 gesendete Zertifikatseintragungsanforderung zu authentisieren. Außerdem kann der spezifizierte Benutzername mit den in einem Client-Konfigurationspaket enthaltenen Benutzeridentitätsinformationen kombiniert werden, oder mit einer Nachrichtentransaktion, die zum Herunterladen eines ACU-Client-Konfigurationspaketes (z. B. des ACU-Client-Zertifikats, das in der nachfolgenden ACU-Kommunikation verwendet wird) zum ACU-Client verwendet, um die Benutzeridentität zu erzeugen, die im Client-Zertifikat zu verwenden ist.
  • Sobald der Benutzername angefordert ist, das Schlüsselpaar bereit ist und der zurückgegebene Schlüsselpaaridentifizierer im geeigneten ServerAccount-Datensatz 82 im ACU-Datenspeicher 66 gespeichert ist, erhält der ACU-Agent 74 eine Mail mit gesteigerter Privatsphäre (PEM), die mittels PKCS#10-Zertifikatanforderung codiert ist, für das erzeugte Schlüsselpaar und liefert die Benutzeridentität durch Aufrufen des IPSec-Managers 60. Im Fall eines Client-Zertifikats wird das Fordere-Passwort-Attribut in der Zertifikatanforderung leer gelassen. Der IPSec-Manager 60 prüft anschließend, ob die angeforderte Zertifikatanfrage bereits im IPSec-Richtlinienspeicher 40 existiert (z. B. zwischengespeichert ist). Wenn die Anfrage nicht existiert, erzeugt der IPSec-Manager 60 diese unter Verwendung eines (in 3 nicht gezeigten) PKCS#10-Moduls.
  • Nach der Erzeugung der Zertifikatanforderung speichert der IPSec-Manager 60 (zwischenspeichert) die Anforderung an den IPSec-Richtlinienspeicher 40. Der Anforderungszwischenspeicher wird verwendet, um die erneute Erzeugung von Zertifikatanforderungen zu vermeiden, deren Eintragung ein oder mehrmals mit einem anhängigen Status abgeschlossen ist. Der ACU-Agent 74 konstruiert anschließend eine ACU-Anforderungsnachricht, die die PKCS#10-Anforderung enthält. Die Vorrichtung 10 sendet anschließend die Nachricht zum SSM-Server 20, für die Zertifikatseintragung. Der Benutzer wird aufgefordert, einen Internetzugangspunkt (29) auszuwählen. Der ACU-Agent 74 speichert anschließend den zurückgegebenen Eintragungsstatus (Erfolg, Fehlschlag, anhängig) im entsprechenden ServerAccount-Datensatz 82 im ACU-Datenspeicher 66. 30 zeigt eine UI, die den Empfang eines Zertifikats durch die Vorrichtung 10 anzeigt. Wenn die Zertifikatseintragung erfolgreich ist, speichert der ACU-Agent 74 das zurückgegebene Client-Zertifikat im IPSec-Richtlinienspeicher 40 durch Aufrufen des IPSec-Managers 60. Der ACU-Agent 74 speichert ferner eine Referenz auf das gespeicherte Zertifikat im entsprechenden ServerAccount-Datensatz 82 im ACU-Datenspeicher 66. Wenn der SSM-Server 20 einen Zertifikateintragungsrückgabecode zurückgibt, der einen Erfolg oder einen Fehlschlag (d. h. keine anhängige Anfrage) anzeigt, löscht der ACU-Agent 74 die entsprechende Zertifikatanforderung aus dem IPSec-Manager 60.
  • Der automatisierte Zertifikateintragungsprozess wird eingeleitet, wenn ein Benutzer eine Richtlinie über die IPSec-UI aktiviert. Die Richtlinienaktivierungsanfrage fließt von der IPSec-UI zu der IPSec-Anwendungsprogrammierungsschnittstelle (API) und weiter zum IPSec-Manager 60. Wenn der IPSec-Manager 60 feststellt, dass die aktivierte Richtlinie eine Zertifikatseintragung erfordert, gibt er einen entsprechenden Rückgabecode an die IPSec-API aus, ohne die Richtlinie zu aktivieren. Bei Empfang eines Rückgabecodes, der die Notwendigkeit einer Zertifikatseintragung anzeigt, stoppt die IPSec-API den Richtlinienaktivierungsprozess und gibt den Rückgabecode an die IPSec-UI zurück. Bei Empfang eines Rückgabecodes, der die Notwendigkeit einer Zertifikatseintragung anzeigt, gibt die IPSec-UI zuerst einen Bestätigungsdialog aus, der dem Benutzer erlaubt, den nachfolgenden Eintragungsprozess zu akzeptieren oder zurückzuweisen. Wenn der Benutzer die Eintragung akzeptiert, fährt die IPSec-UI fort durch Öffnen eines Fortschrittsdialogs, der so lange gezeigt wird, wie der Eintragungsprozess andauert. Der Fortschrittsdialog erlaubt dem Benutzer auch, den andauernden Eintragungsprozess zu stoppen. In einer Ausführungsform wird bei Einleiten des Richtlinienaktivierungsprozesses (vor den obigen Bestätigungs- und Fortschrittsdialogen) das VPN-Client-Passwort angefordert und während des Zertifikatseintragungsprozesses nicht erneut angefordert.
  • Der Benutzer kann zu anderen Anwendungen wechseln, während der Zertifikateintragungsprozess andauert. Der Fortschrittsdialog ist nur in der IPSec-UI sichtbar, jedoch erscheinen Dialoge, die eine Benutzerinteraktion während des Aktualisierungsprozesses erfordern, oben auf den anderen Anwendungen, auf die der Benutzer zugreift.
  • Nachdem der Benutzer die Eintragung in der IPSec-UI erneut akzeptiert, fährt der Eintragungsprozess durch Aufruf des ACU-Agenten 74 fort, um eine automatisierte Zertifikatseintragung für die spezifizierte Richtlinie durchzuführen. Der Aufruf enthält als Parameter die ID einer Ergänzung, die im Eintragungsprozess zu verwenden ist (z. B. eine IPSec-ACU-Ergänzung, oder eine Schnittstelle zum IPSec-Manager 60 für den ACU-Agenten 74) und die ID der Richtlinie, für die die Zertifikatseintragung durchzuführen ist. Aus dem Blickwinkel des ACU-Agenten 74 ist die Richtlinien-ID ein client-spezifischer Parameter, z. B. kann ein Benutzer der Vorrichtung 10 zu vielen Gruppen (im Folgenden diskutiert) gehören, jedoch hat der Benutzer eine Richtlinien-ID. Als Nächstes ruft der ACU-Agent 74 die IPSec-ACU-Ergänzung auf, um eine Liste von Eintragungs-Servern für die Richtlinie zurückzugeben. Die IPSec-ACU-Ergänzung implementiert den Aufruf durch Aufrufen des IPSec-Managers 60. Eine Server-Adresse in der zurückgegebenen Liste zeigt den Server (z. B. den Server 20) an, wo die eine oder die mehreren Zertifikatanfragen hinzusenden sind. Eine einzelne VPN-Richtlinie kann jedoch auf mehrere Zertifikate Bezug nehmen, wobei jedes Zertifikat mit einem anderen Server eingetragen werden kann.
  • Als Nächstes nimmt im Eintragungsprozess der ACU-Agent 74 die zurückgegebenen Serveradressen einzeln und prüft, ob eine Datenübertragung mit dem entsprechenden Server geeignet initialisiert ist. Falls nicht, fordert der ACU-Agent 74 den Benutzer auf, den für den Datenaustausch mit dem Server zu verwendenden IAP auszuwählen (z. B. 29). Anschließend führt der ACU-Agent 74 einen Client-Initialisierungsprozess für den Server durch. Sobald die Kommunikation mit dem Server geeignet initialisiert ist, ruft der ACU-Agent 74 die Ergänzung auf, um die Zertifikatanforderungen für die spezifizierte Richtlinie-Server-Kombination zurückzugeben. Die dem Server (z. B. dem SSM-Server 20) zugeordnete ACU-Identität ist ebenfalls im Aufruf enthalten.
  • Wenn der IPSec-Manager 60 eine Anfrage zum Erzeugen und Zurückgeben von Zertifikatanforderungen für ein bestimmte Richtlinie empfängt, behandelt er die Anforderung. Jede Zertifikatanforderung in der Liste, die vom IPSec-Manager 60 an den ACU-Agenten 74 zurückgegeben wird, enthält eine PEM-codierte PKCS#10-Zertifikatanforderung und einen Anforderungsidentifizierer. Die Anforderungsidentifizierer werden von Client-Anwendungen definiert und zu den Anwendungen (über die entsprechenden ACU-Schnittstellen) in Eintragungsantworten zurückgeleitet. Im Fall des VPN-Clients ist der Anforderungsidentifizierer eine Kombination einer Subjektidentität und einer Schlüsselpaarinformation, die der VPN-Client verwenden kann, um die Richtlinie und den Host zu finden, dem eine bestimmte Eintragungsantwort zugeordnet ist. Der ACU-Agent 74 erzeugt anschließend eine ACU-Anforderungsnachricht, die alle Zertifikatsanforderungen umfasst, die an den gewissen Server gerichtet sind, und sendet die Anforderungsnachricht.
  • Wenn eine Antwort vom Server empfangen wird, analysiert der ACU-Agent 74 die Antwort und leitet die zurückgegebenen Zertifikateintragungsantworten einzeln an die IPSec-ACU-Ergänzung weiter. Die Ergänzung leitet die Antworten an den IPSec-Manager 60 weiter.
  • Eine Eintragungsantwort umfasst eine Richtlinien-ID, eine Zertifikatanforderungs-ID und einen Statuscode, und kann ein Zertifikat enthalten. Das Zertifikat ist nur dann vorhanden, wenn der Statuscode eine erfolgreiche Eintragung anzeigt. Ein Zertifikat fehlt, wenn der Statuscode einen Fehlschlag anzeigt, oder anzeigt, dass eine Eintragungsanforderung anhängig ist.
  • Wenn der IPSec-Manager 60 eine Eintragungsantwort empfängt, speichert er das Zertifikat (falls zurückgegeben) im IPSec-Richtlinienspeicher 40 und speichert den Eintragungsstatus im entsprechenden Eintragungsinformationsfeld in der VPN-Richtliniendatei 46. Das entsprechende Eintragungsinformationsfeld wird entsprechend dem zurückgegebenen Zertifikatsanfragenidentifizierer gefunden.
  • Wenn der Eintragungsstatuscode einen Erfolg oder einen Fehlschlag anzeigt, jedoch keine anhängige Anforderung, löscht der IPSec-Manager 60 die zwischengespeicherte Zertifikatanforderung aus dem IPSec-Richtlinienspeicher 40.
  • Wenn der ACU-Agent 74 alle von der IPSec-ACU-Ergänzung zurückgegebenen Zertifikatsanforderungen für eine bestimmte Richtlinie verarbeitet hat und die zurückgegebenen Zertifikate an die Ergänzung zurückgegeben hat, gibt er einen Erfolg/Fehler-Code an die IPSec-API zurück, die den Zertifikateintragungsprozess eingeleitet hat. Die IPSec-API gibt anschließend den Code an die IPSec-UI zurück.
  • Wenn die IPSec-UI einen Fehlerrückgabecode als Antwort auf einen Zertifikateintragungsaufruf empfängt, zeigt sie einen Dialog an, der den Benutzer unterrichtet, dass die Eintragung fehlgeschlagen ist und dass die Richtlinie nicht aktiviert werden kann. Wenn die IPSec-UI einen Erfolgsrückgabecode empfängt, zeigt sie einen Dialog an, der den Benutzer unterrichtet, dass die Eintragung erfolgreich war und die Richtlinie nun aktiviert werden kann. In diesem Dialog kann der Benutzer die Richtlinie aktiviert lassen oder die Aktivierung aufheben. Wenn die Aktivierung fortbesteht, wird das VPN-Client-Passwort nicht erneut angefordert, da es erhalten wurde, bevor der Eintragungsprozess gestartet wurde.
  • Aktivieren einer Richtlinie
  • Nachdem eine Richtlinie heruntergeladen worden ist, muss der Benutzer diese aktivieren. In wenigstens einer Ausführungsform aktiviert ein Benutzer eine Richtlinie durch Auswählen der Richtlinie (31) und anschließendes Wählen von "Aktivieren" in einem Optionsmenü (32). Die Richtlinienaktivierung ist durch das VPN-Client-Passwort geschützt (33). Für eine Zertifikatsrichtlinie entriegelt dieses Passwort ferner die Privatschlüsselfunktionen. Der Benutzer wählt den Internetzugangspunkt (IAP) aus, den er bevorzugt, um sich mit dem Unternehmensnetz zu verbinden (34). Sobald der Benutzer den IAP ausgewählt hat, leitet die Vorrichtung eine Verbindung zu einem VPN-Netzübergang ein, indem sie dem Benutzer anzeigt, dass eine GPRS-Verbindung für die "vordefinierte generische" Richtlinie aktiv ist; ein farbiger Punkt 110 zeigt an, dass die Einleitung im Gange ist (35). Bei erfolgreicher Einrichtung einer Verbindung ist der VPN-Tunnel für die Verwendung durch irgendeine Anwendung bereit, wobei die Benutzerschnittstelle meldet, dass die "vordefinierte generische" Richtlinie aktiv ist, indem sie die Farbe des Punktes 110 z. B. nach Grün ändert. Der Benutzer kann anschließend sicher auf seine Daten im Intranet zugreifen durch Auswählen einer geeigneten Anwendung. Der Benutzer kann die VPN-Tunnelverbindung deaktivieren durch Zurückkehren zur Richtlinienanwendung und Auswählen von "Deaktivieren" aus dem Optionsmenü.
  • In mehreren Ausführungsformen enthält ein SSM-Server verschiedene Komponenten und eine Managementstation. Diese Komponenten können zu einer einzelnen Plattform kombiniert sein, oder auf mehrere Plattformen verteilt sein. In 5 ist der SSM-Server 20 innerhalb eines gestrichelten Kastens mit einem Eintragungs-Netzübergang (EGW) 22, einem Web-Server 90, einer Datenbank 98 und einer internen CA28 gezeigt, um anzuzeigen, dass diese Komponenten in wenigstens einigen Ausführungsformen auf einer einzelnen Vorrichtung angesiedelt sind. In anderen Ausführungsformen sind einige oder alle dieser Komponen ten auf separaten Vorrichtungen angesiedelt. In weiteren anderen Ausführungsformen können andere Komponenten (einschließlich z. B. eines E-Mail-Netzübergangs 32, eines RADIUS-Servers 30 oder einer VPN-Richtlinienmanageranwendung 26) auf der gleichen Vorrichtung wie der SSM-Server 20 angesiedelt sein.
  • Die Datenbank 98 ist eine eingebettete relationale Datenbank, die Informationen über die Benutzer, Benutzergruppen, Client-Richtlinien, andere Dateien und deren Eigenschaften speichert. Der ACU-Client greift auf die SSM-Inhaltsobjekte in der Datenbank 98 mit logischen Identifizierern zu wie z. B. Acu_config_db<name>, und führt eine Zertifikatseintragung unter Verwendung logischer Identifizierer durch, wie z. B. Acu_cert_db<name>, wobei diese Identifizierer vom SSM-Server 20 erkannt und interpretiert werden. Die Endbenutzer des SSM-Servers 20 authentisieren sich selbst, bevor sie Zugang zur Information oder Funktionalität des SSM-Servers 20 erhalten. Die Authentisierung beruht auf der Verwendung von Authentisierern (Authentisierungsdienstleistern). Eine Benutzeridentität in der Datenbank 98 ist ein Typ einer USERFQDN (Benutzer + vollständig qualifizierter Domänenname, z. B. userid@domain). Weitere Informationen von den Benutzern können den Familiennamen, den Vornamen, den Anmeldenamen, ein Passwort, eine E-Mail-Adresse, eine Mobiltelephonnummer oder eine IMEI, einen Authentisierungs-Server, Benutzergruppen, Selbstbevorratungsregeln und Abgleichregeln enthalten.
  • Der SSM-Server 20 bestimmt, wo ein Benutzer identifiziert wird. Es gibt wenigstens drei unterschiedliche Typen von Authentisierern. Der Erste ist ein SSM-Authentisierer, bei dem die Benutzer-ID/Passwort-Kombinationen mit einer Datenbank 98 abgeglichen werden. Nur eine Instanz dieses Authentisierertyps kann zu einem Zeitpunkt existieren. Der zweite Typ von Authentisierer ist ein RADIUS-Authentisierer, bei dem Benutzer-ID/Passwort-Kombinationen mit einem RADI-US-Server 30 abgeglichen werden. Die Passwörter können entweder normale Passwörter oder einmalige Passwörter sein, die mit Token-Karten (wie z. B. SecurID) erzeugt werden. Mehrere Instanzen dieses Authentisierertyps können zu einem Zeitpunkt existieren.
  • Der dritte Typ von Authentisierer ist ein Zertifikatauthentisierer, bei dem der Benutzer ein gültiges Zertifikat und eine Signatur präsentieren muss. Die Zertifikat gültigkeit erfordert, dass sie durch einen vertrauenswürdigen CA signiert ist, und dass sie nicht abgelaufen oder zurückgezogen worden ist. Wenn die Signatur mit dem Zertifikat gezeichnet wurde, wird der Benutzer als authentisiert betrachtet. Die E-Mail-Adresse in dem Subjekt-Alternativname-Erweiterungsfeld von rfc822Name wird verwendet, um den Benutzer auf eine SSM-Benutzer-ID abzubilden. Im Zertifikatanforderungsfeld ist eine Identität des Zertifikatssubjekts in das Subjekt-Alternativname-Erweiterungsfeld des ACU-Client-Zertifikats als ein rfc822Name eingetragen (d. h. eine E-Mail-Adresse in der Form "localpart@domain"). Die E-Mail-Adresse ist aus einer Benutzername-ID konstruiert, die vom Benutzer abgefragt worden sind, und dem vollständig qualifizierten Domänennamen, der im FQDN-Element spezifiziert ist, wobei der Wert als Domänenabschnitt in einer E-Mail-Adresse verwendet wird, die im Subjekt-Alternativname-Erweiterungsfeld des ACU-Client-Zertifikats gespeichert ist. Der gewöhnliche Name des Subjekt-DN ist der gleiche wie der lokale lokale des rfc822Name. Wenn ein Subjekt-DN-Suffix in einem Benutzerzertifikat vorhanden ist, das für den Zugriff auf einen VPN-Netzübergang verwendet wird, überschreibt es einen entsprechenden Eintragungsdienstkonfigurationswert. Ein Kennzeichen gibt an, ob ein Benutzerzertifikat, das für den Zugriff auf einen VPN-Netzübergang verwendet wird, die Benutzeridentität als einen rfc822Name im Subjekt-Alternativname-Erweiterungsfeld des Zertifikats enthalten sollte. Mögliche Werte sind 0 = nein und 1 = ja. Wenn dieser Wert vorhanden ist, überschreibt er ebenfalls den entsprechenden Eintragungsdienstkonfigurationswert. Der vollständig qualifizierte Domänenname (FQDN), der in dem Wert rtc822Name zu verwenden ist, wenn die Benutzeridentität enthalten ist, ist ein rfc822Name im Subjekt-Alternativnamen-Erweiterungsfeld des Zertifikats. Wenn dieser Wert vorhanden ist, überschreibt er ebenfalls den entsprechenden Eintragungsdienstkonfigurationswert. Die erwartete Länge des privaten Schlüssels, dessen entsprechender öffentlicher Schlüssel in dem Benutzerzertifikat enthalten ist, das mit diesem VPN-Netzübergang verwendet wird, kann ebenfalls bereitgestellt werden. Wenn dieser Wert vorhanden ist, überschreibt er ebenfalls den entsprechenden Eintragungsdienstkonfigurationswert.
  • Jeder Authentisierer besitzt einen Namen und eine variierende Anzahl von Attributen, die vom Typ des Authentisierers abhängen. In wenigstens einer Ausführungsform unterstützen alle Authentisiererimplementierungen eine gemeinsame Java-Schnittstelle, die Authentisiererschnittstelle.
  • Die Zuordnung der Authentisierungsanforderungen zu Authentisierern beruht auf den gelieferten Zeugnissen (Benutzer-ID/Passwort oder ein Zertifikat/Signatur), einer Abbildung der Authentisierer auf Benutzer, und einen Satz von Selbstbevorratungsregeln. Wenn der Benutzer, der die Authentisierungsanforderung stellt, einen Datensatz in der SSM-Datenbank besitzt, wird der in diesem Datensatz spezifizierte Authentisierer verwendet, um den Benutzer zu authentisieren. Wenn der Datensatz keinen Authentisierer spezifiziert, schlägt die Authentisierung fehl.
  • Wenn der Benutzer, der die Authentisierungsanforderung stellt, keinen Datensatz in der SSM-Datenbank besitzt, wird die Authentisierung entsprechend einem Satz von Selbstbevorratungsregeln durchgeführt. In einer Ausführungsform bildet eine Selbstbevorratungsregel gemeinsam drei Informationsstücke ab: eine Domänen-ID, einen Authentisierer und eine Benutzergruppe. Eine Domänen-ID wird aus dem Benutzernamen extrahiert, der in der Authentisierungsanforderung enthalten ist, und wird mit den für die Selbstbevorratungsregeln definierten Domänen-IDs verglichen. Wenn eine passende Regel gefunden wird, wird der in der gefundenen Regel spezifizierte Authentisierer verwendet, um den Benutzer zu authentisieren. Wenn keine passende Regel gefunden wird, schlägt die Authentisierung fehl.
  • SSM-Komponenten, die auf andere Komponenten ohne eine Endbenutzerentität zugreifen (z. B. ein PKI-Server, der eine CRL (Zertifikatrückziehungsliste) vom SSM-Server 20 anfordert), muss ebenfalls authentisiert sein. Dies beruht auf einem geteilten Geheimnis, das vom Systemadministrator beim Installieren der Komponenten mitgeteilt wurde.
  • Wenn ein Endbenutzer erfolgreich mit einer Selbstbevorratungsregel authentifiziert ist (z. B. wenn kein Benutzerdatensatz in der Datenbank 98 vorhanden ist), wird automatisch ein neuer Benutzerdatensatz in der Datenbank 98 erzeugt. Der neue Benutzerdatensatz wird automatisch einer Benutzergruppe zugeordnet, die als Vorgabegruppe in der Selbstbevorratungsregel spezifiziert ist, die zum Authentisieren des Benutzers verwendet wurde. Außerdem wird der neue Benutzerdatensatz dem Authentisierer zugeordnet, der zum Authentisieren des Benutzers verwendet wurde.
  • Eine Vorgabebenutzergruppe kann eine beliebige Anzahl von Inhaltseinträgen aufweisen, die ihr zugeordnet sind, wobei der Inhalt somit automatisch den Benutzern zugeordnet werden kann. Die Benutzer können anschließend Inhalt vom SSM-Server 20 selbst dann erhalten, wenn der Administrator keine Benutzerinformationen für den SSM-Server 20 erzeugt oder importiert hat.
  • Sobald ein Benutzer mit dem SSM-Server 20 verbunden ist, kann er (entweder ein Client-Benutzer oder ein Administrator) den SSM-Server 20 gemäß den in der Datenbank 98 definierten Freigaben nutzen. Die Freigabeinformationen sind ebenfalls in der Datenbank 98 für Benutzer gespeichert, die gegenüber einem externen Authentisierungs-Server authentisiert worden sind. In wenigstens einer Ausführungsform sind Nutzungsfreigaben im SSM als Rollen definiert. Eine Rolle ist eine Definition der Objekte, auf die die Benutzer zugreifen dürfen, und der Maßnahmen, die sie durchführen können, wenn sie sich in dieser Rolle befinden. In einer Ausführungsform unterstützt der SSM-Server 20 vier unterschiedliche Typen von Benutzergruppen: Systemmanager, Benutzermanager, Inhaltsmanager und Client-Benutzer. Jeder dieser Gruppentypen besitzt eine zugeordnete Rolle, die von allen aktuellen Gruppen dieses Typs sowie von allen Benutzern, die zu diesen Gruppen gehören, vererbt werden. Ein Benutzer, der zu mehreren Benutzergruppen mit unterschiedlichen Rollen gehört, vererbt die am wenigstens eingeschränkte Rolle. In einer Ausführungsform sind die Vorgabebenutzergruppentypen und deren Rollen in der Konfiguration des SSM-Servers oder der ACU-Konfiguration definiert, und können über die graphische Benutzerschnittstelle (GUI) oder die Befehlszeilenschnittstelle (CLI) des Managers des SSM-Servers 20 nicht verändert werden. Durch Ändern der Konfiguration des SSM-Servers 20 können jedoch die den Vorgabegruppentypen zugeordneten Rollen geändert werden.
  • Komponenten, die auf Funktionen des SSM-Servers 20 über das Netz ohne eine Benutzeridentität zugreifen, besitzen eine spezielle Komponentenrolle, die verwendet wird, um zu definieren, was diese Komponenten tun können. Außerdem gibt es eine spezielle interne Rolle, die intern vom SSM-Server 20 verwendet wird, wobei diese Rolle auf alle Objekte zugreifen kann und alle Operationen ausführen kann. Obwohl VPN-Client-Software-Installationspakete und VPN-Richtlinien/Profile Typen von Inhalt sind, die vom SSM gehandhabt werden, ist der SSM nicht auf diese Inhaltstypen beschränkt.
  • Der Inhalt, den der SSM-Server 20 liefert, wird nicht unbedingt innerhalb des SSM-Servers 20 selbst erzeugt. Vielmehr kann Inhalt in externen Systemen erzeugt und als Dateien in den SSM-Server 20 importiert werden. Innerhalb des SSM-Servers 20 werden die Dateien in Inhaltseinträge mit einem bestimmten Mehrzweck-Internet-Mail-Erweiterungstyp (MIME-Typ) konvertiert. Die Importoperation kann von einer CLI des SSM-Servers 20 gestartet werden. In einigen Ausführungsformen müssen die zu importierenden Dateien lokal durch normale Dateisystemoperationen zugänglich sein.
  • Der SSM-Server 20 integriert die Richtlinienmanageranwendung (PMA) 26, indem er erlaubt, die Richtlinien und Profile, die von der PMA 26 erzeugt und gepflegt werden, zum SSM-Server 20 zu exportieren. Diese Operation wird von innerhalb der PMA 26 eingeleitet. Die PMA 26 kommuniziert mit dem SSM-Server 20 über z. B. eine JAVA-Schnittstelle, die für diesen Zweck ausgelegt ist.
  • SSM-Administratoren können Benutzer- und Benutzergruppeninformationen von externen Systemen in den SSM-Server 20 importieren. Zusätzlich zu einfachen Benutzer- und Benutzergruppeninformationen können auch Benutzer-zu-Gruppe- und Gruppe-zu-Gruppe-Abbildungsinformationen in den SSM-Server 20 importiert werden. Zum Beispiel können Administratoren Benutzer und Benutzergruppen erzeugen, Benutzer und Benutzergruppen suchen, Benutzer und Benutzergruppenattribute modifizieren, Benutzer und Benutzergruppen verschieben und löschen, Benutzer Benutzergruppen und Inhaltseinträgen zuordnen, und Benutzergruppen anderen Benutzergruppen zuordnen (um z. B. eine Gruppenhierarchie zu bilden).
  • 6 zeigt verschiedene Benutzergruppen innerhalb eines Unternehmens. Die Benutzergruppen können eine Hierarchie bilden, in der eine einzelne Gruppe 112, 114, 116 oder 118 eine Stammgruppe 110 besitzen kann. Die Gruppenhierarchie bildet auch eine logische Vererbungshierarchie. Tochtergruppen 112, 114, 116, 118 erben bestimmte Eigenschaften von ihrer Stammgruppe 110. Zum Beispiel werden die einer Gruppe 110 zugeordneten Inhaltseinträge indirekt auch deren Tochtergruppen 112, 114, 116, 118 zugeordnet. Am Ende der Vererbungshierarchie stehen Benutzer, die Eigenschaften von den Gruppen erben, denen sie angehören.
  • Die Gruppe 110 in 6 ist einer einzelnen Richtlinie und einem einzelnen Benutzer zugeordnet. Aufgrund des Vererbungsmechanismus (Verkaufsabteilung erbt von Büro London, welches vom Unternehmenshauptquartier erbt) weist die Gruppe der Benutzer 116 jedoch andere zugeordnete Richtlinien auf als die Gruppen 114 und 118. Paul Boss weist eine zugeordnete Richtlinie auf, die Unternehmenshauptquartierrichtlinie, durch die Unternehmenshauptquartier-Gruppe 110. Mary Scary befindet sich im Büro London und besitzt zwei zugeordnete Richtlinien, nämlich Unternehmenshauptquartier 110 und London 112. Tim Tooth arbeitet im Verkaufsbüro London und besitzt drei zugeordnete Richtlinien: Unternehmenshauptquartier 110, London 112 und Verkaufsabteilung 116.
  • Wenn ein Inhaltseintrag einer Benutzergruppe 110 zugeordnet wird, wird der Eintrag indirekt auch allen Benutzern und Gruppen zugeordnet, die der Gruppe oder irgendeiner ihrer Tochtergruppen angehören. Diese indirekte Zuordnung wird zur Laufzeit durch die Anwendungslogik erzwungen, die die Gruppenhierarchie von unten nach oben durchläuft. Wenn ein Inhaltseintrag gelöscht wird, werden auch alle seine Zuordnungen zu Benutzern und Benutzergruppen gelöscht.
  • Zertifikate des EGW 22 (2, 5) für die ACU-Authentisierung werden von der internen SSM-Zertifizierungsbehörde (CA) 28 ausgegeben. EGW 22 kann ebenfalls Zertifikate für die VPN-Authentisierung von der internen CA 28 ausgeben. Alternativ (oder zusätzlich) kann EGW 22 mit externen CAs kommunizieren, die als eine Registrierungsbehörde (RA) für externe CAs und als Kontrollpunkt für Client-Zertifikateintragungsanforderungen arbeiten, und kann Eintragungsanforderungen an einen geeigneten CA unter Verwendung von SCEP (einfaches Zertifikateintragungsprotokoll) oder CRS (Zertifikatanforderungssyntax) weiterleiten. In einigen Ausführungsformen stellt EGW 22 eine Eintragungsprotokollkonvertierung zur Verfügung.
  • In verschiedenen Ausführungsformen arbeitet der Web-Server 90 als eine externe Schnittstelle zum SSM-Server 20. Eine mobile Vorrichtung 10 sendet eine Zertifikateintragungsanforderung zum Web-Server 90, der diese zum EGW 22 weiterleitet. Die mobile Vorrichtung 10 verbindet sich ferner mit dem Web-Server 90 für automatische Inhaltsaktualisierungen von der SSM-Datenbank 98. Eine VPN-Richtlinienmanageranwendung 26 exportiert Client-Richtlinien (oder Profile) zum Web-Server 90, der diese in der SSM-Datenbank 98 speichert. Wie oben angegeben ist, kann das SSM-System eine Anzahl von Server- und Client-Komponenten umfassen.
  • Der SSM-Server 20 verwendet das Protokoll des Fernauthentisierungs-Einwahl-Benutzerdienstes (RADIUS, RFC2138), um mit externen Authentisierungs-Servern zu kommunizieren. Dieses Protokoll wird über das Benutzerdatagrammprotokoll (UDP) transportiert.
  • In einigen Ausführungsformen ist der SSM-Server 20 die zentrale Komponente im SSM-System, und die einzige Komponente, die auf die interne Datenbank oder auf externe Authentisierungs-Server zugreift.
  • EGW 22 stellt SSM-Öffentlichschlüssel-Infrastrukturdienste zur Verfügung: Zertifikat-EGW (Eintragungsnetzübergang) 22 und Zertifikate für von der internen SSM-Zertifizierungsbehörde 28 ausgegebenen ACU-Authentisierung. Zertifikate für die VPN-Authentisierung können von der internen SSM-CA 28 und/oder externen CAs kommen. In einigen Ausführungsformen können nur Klassen des SSM-Servers 20 direkt auf EGW 22 zugreifen, wobei andere Komponenten (z. B. Managementanwendungen, Web-Servlets) auf EGW 22 nur über die Managementschnittstellen des SSM-Servers 20 zugreifen.
  • Das EGW 22 verwendet den SSM-Server 20, um seine beständigen Daten z. B. Zertifikate, CRLs und dergleichen) zu speichern, sowie um Zertifikateintragungsanforderungen zu authentisieren und zu autorisieren. Der EGW-Server 22 kommuniziert mit dem SSM-Server 20.
  • Der SSM-Server 20 weist eine GUI und/oder eine CLI auf, um eine Management- und Administratorschnittstelle für SSM-Server-Managerfunktionen bereitzustellen.
  • Der SSM-Server 20 bietet zwei Schnittstellen, die zum Importieren von Richtlinien, Profilen und anderem zu verteilenden Inhalt verwendet werden. Eine generische HTTP-basierte Inhaltaktualisierungs-API kann von irgendeiner externen Softwarekomponente verwendet werden. Das HTTP-Servlet importiert den Inhalt in die Datenbank 98. Der Web-Server 90 implementiert die SSM- Endbenutzerfunktionalität. Der Web-Server 90 lässt ferner Servlets laufen, die die XML-Verarbeitung der ACU-Anforderungen handhaben, HTTP-Anforderungen an EGW-Server 22 (über den SSM-Server 20) weiterleiten, und die HTTP-basierte Importschnittstelle bereitstellen.
  • Der Web-Server 90 ist ein HTTP(S)-Empfänger für den SSM-Server 20. In wenigstens einer Ausführungsform ist dies die einzige Komponente im System, die nach Anforderungen lauscht, die vom externen Netz kommen.
  • Komponenten des SSM-Servers 20 verwenden mehrere Netzwerkschnittstellen und Protokolle, um miteinander oder mit externen Systemen zu kommunizieren. Der EGW-Server 22 und der SSM-Server 20 können unter Verwendung irgendeines geeigneten Protokolls kommunizieren. In einer Ausführungsform wird ein Anfrage/Antwort-Protokoll über zwei TCP/IP-Verbindungen (eine für jede Richtung) verwendet. Das markenlängenwert-basierte Protokoll ist verschlüsselt, wobei beide Parteien durch die Tatsache authentisiert sind, dass sie den geheimen Schlüssel kennen, der aus dem während der Installation abgefragten gemeinsamen Geheimnis abgeleitet wird.
  • Der SSM-Server 20 verwendet z. B. das einfache Mail-Übertragungsprotokol (simple mail transfer protocol, SMTP) über TCP/IP, um E-Mail-Meldungen an Endbenutzer zu versenden. Ein E-Mail-Netzübergang wird verwendet, um E-Mail-Nachrichten weiterzuleiten.
  • Wie angegeben und in wenigstens einer Ausführungsform der Fall ist, kommen alle Anforderungen von einem VPN-Client einer mobilen Vorrichtung 10 sowie von einer Endbenutzer-Browser über HTTP zum Web-Server 90. Diese Anforderungen enthalten einen Benutzer-Web-Browser, der HTTPS-Anforderungen zum Web-Server 90 sendet, woraufhin der Web-Server 90 HTML-Seiten und/oder heruntergeladene Dateien bereitstellt. Diese Verbindungen sind mit SSL verschlüsselt; der SSM-Server 20 wird auf der Grundlage seines Zertifikats authentisiert, während die mobile Vorrichtung mit einem Benutzernamen/Passwort authentisiert wird. Der Web-Server 90 empfängt ferner Zertifikateintragungsanforderungen vom VPN-Client der mobilen Vorrichtung 10 über HTTP. Die Anforderungen sind verschlüsselt und signiert, wobei eine einfache HTTP-Verbindung verwendet werden kann. Der Web-Server 90 empfängt ferner Automatik- Inhaltaktualisierungs-Anforderungen (ACU-Anforderungen) vom VPN-Client der mobilen Vorrichtung 10. Diese Anforderungen sind verschlüsselt und signiert; der SSM-Server 20 wird auf der Grundlage seines Zertifikats authentisiert, während die mobile Vorrichtung 10 mit einem Benutzernamen/Passwort oder einem zu diesem Zweck ausgegebenen Zertifikat authentisiert wird.
  • HTTP-Verbindungen von den Clients in das öffentliche Internet 14 (z. B. Vorrichtung 11) laufen über ein Zugangsschutzsystem 18 und/oder einen Proxy/Netzübergang 24. Eine Anwendung auf der Vorrichtung 11 kann Richtlinien vom SSM-Server 20 unter Verwendung einer HTTP-Verbindung, die mit SSL verschlüsselt ist (HTTPS), importieren und aktualisieren. Der SSM-Server 20 wird auf der Grundlage des Zertifikats authentisiert, während die Vorrichtung 11 mit einem Benutzernamen/Passwort authentisiert wird, und wobei der Benutzer zur Inhaltsmanagergruppe gehört, wenn z. B. die Richtlinienmanageranwendung 26 Richtlinien in Richtung zum SSM-Server 20 schiebt. Sobald ein Benutzer mit dem SSM-Server 20 verbunden ist (Benutzer 11 oder Administrator), kann er den SSM-Server 20 entsprechend den im SSM definierten Freigaben nutzen. In einer Ausführungsform ist die Freigabeinformation in der Datenbank 98 gespeichert, selbst für Benutzer, die gegenüber einem externen Authentisierungs-Server authentisiert werden.
  • Der VPN-Netzübergang 24 verwendet HTTP, um Zertifikatrückzugslisten (CRLs) vom EGW 22 (über den Web-Server 90 und den SSM-Server 20) anzufordern. CLRs sind signierte Einheiten, die über eine einfache HTTP-Verbindung ohne Verschlüsselung transportiert werden können.
  • Das EGW 22 kann mit externen Zertifizierungsbehörden verbinden, um Zertifikatanforderungen über HTTP weiterzuleiten.
  • Der SSM-Server 20 ist nicht auf die Verwendung als VPN-Richtlinienverteilungswerkzeug beschränkt. Der SSM-Server 20 unterstützt die skalierbare Verwendung von PKI und die sichere Verteilung irgendeines Inhalts an authentisierte und autorisierte Endbenutzer. Eine skalierbare PKI-Datenerzeugung kann an VPN-Clients delegiert werden. In einem solchen Fall empfängt ein Benutzer eine generische Richtlinie (d. h. ein Profil) ohne PKI-Daten, wobei der Benutzer-VPN-Client die PKI-Daten erzeugt, bevor die Richtli nie verwendet wird. Genauer erzeugt der Client ein öffentlich/Privat-Schlüsselpaar und eine entsprechende Zertifikateintragungsanforderung, und sendet die Anforderung an eine Zertifizierungsbehörde (CA). Die CA erzeugt anschließend das Zertifikat und gibt dieses zurück.
  • Die vielen Merkmale und Vorteile der vorliegenden Erfindung werden anhand der genauen Beschreibung deutlich, weshalb die beigefügten Ansprüche alle solchen Merkmale und Vorteile der Erfindung, die in den Erfindungsgedanken und Umfang der Erfindung fallen, abdecken sollen. Zahlreiche Modifikationen und Variationen sind für Fachleute offensichtlich, wobei die Erfindung nicht auf die genaue Konstruktion und die Operation beschränkt ist, die hier dargestellt und beschrieben sind. Alle geeignete Modifikationen und Äquivalente, die wahrgenommen werden können, fallen in den Umfang der Ansprüche. Die vorangehende Beschreibung soll eher beispielhaft als einschränkend sein. Als ein Beispiel wurde die Erfindung jedoch mit Bezug auf einen SSM-Server beschrieben, jedoch können die Vorrichtungen, Systeme und Verfahren gemäß der Erfindung mehrere SSM-Server 20 enthalten (und/oder eine Kommunikation mit diesen enthalten). Die Erfindung umschließt ferner Server und Vorrichtungen (und/oder enthält eine Kommunikation mit diesen), denen alle Merkmale fehlen, die mit Bezug auf den SSM-Server 20 beschrieben worden sind und/oder die zusätzliche Merkmale enthalten. Als ein weiteres Beispiel kann ein zurückgegebenes Zertifikat auf der Grundlage eines Hash-Wertes geprüft werden, der über eine gesamte ACU-Nachricht berechnet wird (mit Ausnahme des Signaturelements in der ACU-Nachricht), was zu einer ersten Antwort von einer entfernten Vorrichtung führt, wobei der Hash-Wert mit einem privaten Schlüssel signiert ist, der von der entfernten Vorrichtung gehalten wird, und wobei das entsprechende Zertifikat in der ersten Antwort enthalten ist und vom Empfänger verwendet wird, um die Signatur zu überprüfen und den Sender zu identifizieren und zu authentisieren. Diese und andere Modifikationen fallen in den Umfang der Erfindung, wie in den beigefügten Ansprüchen definiert ist.

Claims (14)

  1. Verfahren zum Durchführen sicherer Kommunikationen, mit: (a) Verbinden eines Benutzergeräts (10) über ein öffentlich zugängliches Netz (12) mit einem Server (20), (b) Empfangen eines digitalen Zertifikats; (c) Berechnen einer Identifizierung des empfangenen digitalen Zertifikats und Umwandeln der Identifizierung in eine Zeichenfolge; (d) Modifizieren der Zeichenfolge durch Entfernen von zumindest einem zufällig ausgewählten Zeichen aus der Zeichenfolge; (e) Anzeigen der modifizierten Zeichenfolge für einen Benutzer an dem Benutzergerät (10); (f) Empfangen einer dem zumindest einen entfernten Zeichen entsprechenden Eingabe an dem Benutzergerät (10) und von einem zuvor über ein vertrauenswürdiges Medium mit der Identifizierung versorgten Benutzer; (g) Fortführen der Verbindung zu dem Server (20) nur dann, wenn die Benutzereingabe mit dem zumindest einem entfernten Zeichen übereinstimmt.
  2. Das Verfahren nach Anspruch 1, des Weiteren umfassend zufälliges Auswählen mehrerer Zeichen zur Entfernung.
  3. Das Verfahren nach Anspruch 1 oder 2, wobei das zumindest eine entfernte Zeichen durch ein die Ersetzung anzeigendes Zeichen ersetzt wird.
  4. Das Verfahren nach Anspruch 1 oder 2, wobei die modifizierte Folge mit die entfernten Zeichen ersetzenden Zwischenräumen angezeigt wird.
  5. Das Verfahren nach einem vorhergehenden Anspruch, wobei das Benutzergerät (10) ein Mobiltelefon ist und das zumindest eine entfernte Zeichen eine einstellige Zahl ist:
  6. Das Verfahren nach einem vorhergehenden Anspruch, wobei Empfangen des digitalen Zertifikats ein Empfangen des digitalen Zertifikats von einer Zertifizierungsbehörde (28) umfasst.
  7. Das Verfahren nach einem vorhergehenden Anspruch, wobei die Position des zumindest einen aus der Folge entfernten Zeichens während eines nachfolgenden Verbindungsversuchs verschieden ist.
  8. Das Verfahren nach einem vorhergehenden Anspruch, wobei das zumindest eine entfernte Zeichen basierend auf den Fähigkeiten des Benutzergerätes (10) entfernt wird.
  9. Das Verfahren nach einem vorhergehenden Anspruch, wobei Empfangen einer dem zumindest einen entfernten Zeichen entsprechenden Eingabe umfasst Empfangen einer Eingabe von einem Benutzer, dem die Identifizierung zuvor über die Post oder einem Firmen-Newsletter bereitgestellt wurde.
  10. Das Verfahren nach Anspruch 1, wobei in dem Schritt (d) nur einstellige Zeichen entfernt werden.
  11. Das Verfahren nach einem vorhergehenden Anspruch, des Weiteren umfassend: Wiederholen der Schritte (a) bis (g) bei jedem Versuch, das Gerät (1O) mit dem Server (20) zu verbinden.
  12. Benutzergerät (10) für sichere Kommunikation mit einem Server (20) über ein öffentlich zugängliches Netz (12), mit: einer Schnittstelle zu dem öffentlich zugänglichen Netz; und einem Prozessor ausgestaltet zum Durchführen von Schritten umfassend: empfangen eines digitalen Zertifikats über die Schnittstelle von einem abgesetzt angeordneten Server, Berechnen einer Identifizierung des empfangenen digitalen Zertifikats und Umwandeln der Identifizierung in eine Zeichenfolge, Modifizieren der Zeichenfolge durch Entfernen von zumindest einem zufällig ausgewählten Zeichen aus der Zeichenfolge, Anzeigen der modifizierten Zeichenfolge für einen Benutzer an dem Benutzergerät (10), Empfangen einer dem zumindest einen entfernten Zeichen entsprechenden Eingabe an dem Benutzergerät (10) und von einem Benutzer des Geräts, der zuvor mit der Identifizierung über ein vertrauenswürdiges Medium versorgt wurde, und Fortführen der Verbindung zu dem Server (20) nur dann, wenn die Benutzereingabe mit dem zumindest einen Zeichen übereinstimmt.
  13. Maschinenlesbares Medium zum Speichern eines Computerprogramms mit maschinenausführbaren Funktionen zum Durchführen von Schritten umfassend: (a) Verbinden eines Benutzergeräts (10) über ein öffentlich zugängliches Netz (12) mit einem Server (20); (b) Empfangen eines digitalen Zertifikats; (c) Berechnen einer Identifizierung des empfangenen digitalen Zertifikats und Umwandeln der Identifizierung in eine Zeichenfolge; (d) Modifizieren der Zeichenfolge durch Entfernen von zumindest einem zufällig ausgewählten Zeichen aus der Zeichenfolge; (e) Anzeigen der modifizierten Zeichenfolge für einen Benutzer an dem Benutzergerät (10); (f) Empfangen einer dem zumindest einen entfernten Zeichen entsprechenden Eingabe an dem Benutzergerät (10) und von einem zuvor über ein vertrauenswürdiges Medium mit der Identifizierung versorgten Benutzer; (g) Fortführen der Verbindung zu dem Server (20) nur dann, wenn die Benutzereingabe mit dem zumindest einen entfernten Zeichen übereinstimmt.
  14. Verfahren zum Durchführen sicherer Kommunikationen mit: (a) Verbinden eines Benutzergeräts (10) mit einem Server (20) über ein öffentlich zugängliches Netz (12) (b) Empfangen eines digitalen Zertifikats; (c) Empfangen einer modifizierten Identifizierung, wobei die Identifizierung zuvor außerhalb des Benutzergeräts aus dem digitalen Zertifikat berechnet wurde und außerhalb des Benutzergeräts (10) durch Entfernen von zumindest einem zufällig ausgewählten Zeichen modifiziert wurde; (e) Anzeigen der modifizierten Identifizierung für einen Benutzer an dem Benutzergerät (10); (f) Empfangen einer dem zumindest einen entfernten Zeichen entsprechender Eingabe an dem Benutzergerät (10) und von einem zuvor mit der Identifizierung über ein vertrauenswürdiges Medium versorgten Benutzer; und (g) Fortführen der Verbindung zu dem Server (20) nur dann, wenn die Benutzereingabe mit dem zumindest einen entfernten Zeichen übereinstimmt.
DE602004004325T 2003-06-30 2004-05-26 Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten Active DE602004004325T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US608818 2003-06-30
US10/608,818 US7444508B2 (en) 2003-06-30 2003-06-30 Method of implementing secure access

Publications (2)

Publication Number Publication Date
DE602004004325D1 DE602004004325D1 (de) 2007-03-08
DE602004004325T2 true DE602004004325T2 (de) 2007-11-08

Family

ID=33435362

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004004325T Active DE602004004325T2 (de) 2003-06-30 2004-05-26 Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten

Country Status (6)

Country Link
US (1) US7444508B2 (de)
EP (1) EP1494428B1 (de)
KR (1) KR20050005763A (de)
AT (1) ATE352163T1 (de)
DE (1) DE602004004325T2 (de)
ES (1) ES2281760T3 (de)

Families Citing this family (129)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050033829A1 (en) * 2003-08-04 2005-02-10 Nokia Corporation System and method for wireless multicast downloading
US20050038879A1 (en) * 2003-08-14 2005-02-17 International Business Machines Corporation System and method for discovery of remote device driver functionality and interface
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US20060089121A1 (en) * 2004-10-27 2006-04-27 Hani Elgebaly Method and apparatus for automatic connecting of virtual private network clients to a network
JP4654006B2 (ja) * 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US20060230279A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
US20070031009A1 (en) * 2005-04-15 2007-02-08 Julius Mwale Method and system for string-based biometric authentication
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location
US7873994B1 (en) * 2005-06-27 2011-01-18 Juniper Networks, Inc. Management of session timeouts in an SSL VPN gateway
US8316226B1 (en) * 2005-09-14 2012-11-20 Juniper Networks, Inc. Adaptive transition between layer three and layer four network tunnels
US8443197B2 (en) * 2005-09-30 2013-05-14 The Invention Science Fund I, Llc Voice-capable system and method for authentication using prior entity user interaction
JP4829697B2 (ja) * 2006-06-20 2011-12-07 キヤノン株式会社 情報処理装置、情報処理方法、コンピュータプログラム及び記録媒体
KR100810368B1 (ko) * 2006-07-10 2008-03-07 주식회사 한글과 컴퓨터 그룹 내 문서에 대한 유출 방지 및 접근 제어 시스템
KR101366277B1 (ko) * 2006-09-07 2014-02-20 엘지전자 주식회사 도메인에서 ro 이동을 위한 멤버쉽 확인 방법 및 장치
US8104084B2 (en) * 2006-11-07 2012-01-24 Ricoh Company, Ltd. Authorizing a user to a device
EP1927930A1 (de) * 2006-11-30 2008-06-04 Sap Ag Verfahren und System zur Zugangssteuerung unter Verwendung von Ressourcenfiltern
EP1933522B1 (de) 2006-12-11 2013-10-23 Sap Ag Verfahren und System zur Authentifizierung
US8412192B2 (en) * 2007-01-08 2013-04-02 Research In Motion Limited Apparatus, and associated method, for providing an instance identifier to a network database node of a mobile network
WO2008099402A2 (en) * 2007-02-16 2008-08-21 Forescout Technologies A method and system for dynamic security using authentication server
US8150425B1 (en) * 2007-03-16 2012-04-03 At&T Mobility Ii Llc Systems and methods for merchandising new offers to mobile telephone users based on changes to the mobile telephone's components
US7974614B1 (en) 2007-03-16 2011-07-05 At&T Mobility Ii Llc Systems and methods for merchandising content to a second mobile telephone based on the content of a first mobile telephone
US8239548B2 (en) * 2007-07-17 2012-08-07 Adobe Systems Incorporated Endpoint discriminator in network transport protocol startup packets
US8799648B1 (en) * 2007-08-15 2014-08-05 Meru Networks Wireless network controller certification authority
US7954145B2 (en) * 2007-09-27 2011-05-31 Novell, Inc. Dynamically configuring a client for virtual private network (VPN) access
CA2703546A1 (en) 2007-10-25 2009-04-30 Trilliant Networks, Inc. Gas meter having ultra-sensitive magnetic material retrofitted onto meter dial and method for performing meter retrofit
EP2257884A4 (de) * 2007-11-25 2011-04-20 Trilliant Networks Inc System und verfahren zum senden und empfangen von informationen über ein nachbarschaftsbereichsnetz
US8171364B2 (en) 2007-11-25 2012-05-01 Trilliant Networks, Inc. System and method for power outage and restoration notification in an advanced metering infrastructure network
US8332055B2 (en) 2007-11-25 2012-12-11 Trilliant Networks, Inc. Energy use control system and method
CA2705021A1 (en) * 2007-11-25 2009-05-28 Trilliant Networks, Inc. Proxy use within a mesh network
US8359580B2 (en) 2007-12-26 2013-01-22 Visa U.S.A. Inc. System and method for tracking testing of software modification projects
US20090169008A1 (en) * 2007-12-26 2009-07-02 Gonzales Jesus Orlando Ii System and method for tracking testing of software modification projects from a wireless mobile device
US8171147B1 (en) 2008-02-20 2012-05-01 Adobe Systems Incorporated System, method, and/or apparatus for establishing peer-to-peer communication
US20090234953A1 (en) * 2008-03-11 2009-09-17 Palm, Inc. Apparatus and methods for integration of third party virtual private network solutions
US8272039B2 (en) * 2008-05-02 2012-09-18 International Business Machines Corporation Pass-through hijack avoidance technique for cascaded authentication
US8312147B2 (en) * 2008-05-13 2012-11-13 Adobe Systems Incorporated Many-to-one mapping of host identities
JP2009278223A (ja) * 2008-05-13 2009-11-26 Panasonic Corp 電子証明システム及び秘匿通信システム
US8341401B1 (en) 2008-05-13 2012-12-25 Adobe Systems Incorporated Interoperable cryptographic peer and server identities
US8793757B2 (en) * 2008-05-27 2014-07-29 Open Invention Network, Llc User-directed privacy control in a user-centric identity management system
US20090307140A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
DK2144460T3 (en) * 2008-07-10 2016-02-08 Teliasonera Ab A method, system, packet data gateway, and computer program for providing connection to the supply of data
KR101297519B1 (ko) * 2008-08-08 2013-08-16 삼성전자주식회사 Dcd 서비스에서 사용자 콘텐트 제출 방법 및 시스템
US20100064048A1 (en) * 2008-09-05 2010-03-11 Hoggan Stuart A Firmware/software validation
CN102197632A (zh) * 2008-10-29 2011-09-21 杜比实验室特许公司 网络互联域和密钥系统
US8826006B2 (en) * 2008-10-31 2014-09-02 Motorola Solutions, Inc. Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate
US8423761B2 (en) * 2008-10-31 2013-04-16 Motorola Solutions, Inc. Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate
US20100125897A1 (en) * 2008-11-20 2010-05-20 Rahul Jain Methods and apparatus for establishing a dynamic virtual private network connection
JP5270694B2 (ja) * 2008-11-28 2013-08-21 インターナショナル・ビジネス・マシーンズ・コーポレーション 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
US20100138907A1 (en) * 2008-12-01 2010-06-03 Garret Grajek Method and system for generating digital certificates and certificate signing requests
US8880894B2 (en) * 2008-12-30 2014-11-04 Motorola Mobility Llc Public key infrastructure-based first inserted subscriber identity module subsidy lock
DE102009009310A1 (de) 2009-02-17 2009-10-01 Daimler Ag Kommunikation und Identifizierung zwischen einem Kraftfahrzeugbenutzergerät mit Head Unit und davon entfernt gelegener Vorrichtung
US9432356B1 (en) 2009-05-05 2016-08-30 Amazon Technologies, Inc. Host identity bootstrapping
FR2946209A1 (fr) * 2009-06-02 2010-12-03 Alcatel Lucent Procede de protection d'un reseau de telecommunication et routeur securise mettant en oeuvre un tel procede.
US20100325424A1 (en) * 2009-06-19 2010-12-23 Etchegoyen Craig S System and Method for Secured Communications
US8495359B2 (en) * 2009-06-22 2013-07-23 NetAuthority System and method for securing an electronic communication
US8510806B2 (en) * 2009-10-22 2013-08-13 Sap Ag System and method of controlling access to information in a virtual computing environment
US8280966B2 (en) * 2009-10-22 2012-10-02 Sap Ag System and method of controlling access to information in a virtual computing environment
EP2524471B1 (de) * 2010-01-12 2015-03-11 Visa International Service Association Zeitunabhängige validierung von überprüfungs-tokens
JP5552870B2 (ja) * 2010-04-01 2014-07-16 ソニー株式会社 メモリ装置、ホスト装置、およびメモリシステム
US8473734B2 (en) 2010-06-30 2013-06-25 Juniper Networks, Inc. Multi-service VPN network client for mobile device having dynamic failover
US8474035B2 (en) * 2010-06-30 2013-06-25 Juniper Networks, Inc. VPN network client for mobile device having dynamically constructed display for native access to web mail
US8127350B2 (en) * 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
US8458787B2 (en) * 2010-06-30 2013-06-04 Juniper Networks, Inc. VPN network client for mobile device having dynamically translated user home page
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8549617B2 (en) * 2010-06-30 2013-10-01 Juniper Networks, Inc. Multi-service VPN network client for mobile device having integrated acceleration
US8464336B2 (en) 2010-06-30 2013-06-11 Juniper Networks, Inc. VPN network client for mobile device having fast reconnect
DE102010033231B4 (de) * 2010-08-03 2013-08-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur manipulationssicheren Bereitstellung eines Schlüssel-Zertifikates
DE102010033232A1 (de) 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Bereitstellen eines Einmalpasswortes
WO2012027634A1 (en) 2010-08-27 2012-03-01 Trilliant Networkd, Inc. System and method for interference free operation of co-located tranceivers
KR101587003B1 (ko) * 2010-09-07 2016-01-20 삼성전자주식회사 무선 통신 시스템에서 와이 파이 연결 확인을 위한 장치 및 방법
US8832428B2 (en) 2010-11-15 2014-09-09 Trilliant Holdings Inc. System and method for securely communicating across multiple networks using a single radio
US8443435B1 (en) 2010-12-02 2013-05-14 Juniper Networks, Inc. VPN resource connectivity in large-scale enterprise networks
US8650620B2 (en) * 2010-12-20 2014-02-11 At&T Intellectual Property I, L.P. Methods and apparatus to control privileges of mobile device applications
US9032204B2 (en) * 2011-01-07 2015-05-12 Mastercard International Incorporated Methods and systems for providing a signed digital certificate in real time
US9083534B2 (en) 2011-01-07 2015-07-14 Mastercard International Incorporated Method and system for propagating a client identity
WO2012097204A1 (en) 2011-01-14 2012-07-19 Trilliant Holdings, Inc. Process, device and system for volt/var optimization
WO2012103072A2 (en) 2011-01-25 2012-08-02 Trilliant Holdings, Inc. Aggregated real-time power outages/restoration reporting (rtpor) in a secure mesh network
EP3429163B1 (de) 2011-02-10 2020-08-19 Trilliant Holdings, Inc. Vorrichtung und verfahren zur ermöglichung sicherer kommunikationen über ein zellnetzwerk
WO2012122310A1 (en) 2011-03-08 2012-09-13 Trilliant Networks, Inc. System and method for managing load distribution across a power grid
DE102011015711A1 (de) * 2011-03-31 2012-10-04 Giesecke & Devrient Gmbh Aktualisierung einer Datenträgerapplikation
US8625803B1 (en) * 2011-05-31 2014-01-07 Google Inc. Updating shared keys
EP2716094A4 (de) 2011-06-03 2014-12-03 Blackberry Ltd System und verfahren zum zugreifen auf private netzwerke
US8800007B1 (en) 2011-06-24 2014-08-05 Juniper Networks, Inc. VPN session migration across clients
US9015469B2 (en) * 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
US8898459B2 (en) 2011-08-31 2014-11-25 At&T Intellectual Property I, L.P. Policy configuration for mobile device applications
US8918841B2 (en) 2011-08-31 2014-12-23 At&T Intellectual Property I, L.P. Hardware interface access control for mobile applications
US8862767B2 (en) 2011-09-02 2014-10-14 Ebay Inc. Secure elements broker (SEB) for application communication channel selector optimization
US9001787B1 (en) 2011-09-20 2015-04-07 Trilliant Networks Inc. System and method for implementing handover of a hybrid communications module
EP2587715B1 (de) 2011-09-20 2017-01-04 BlackBerry Limited Unterstützte Zertifikatsregistrierung
US8842840B2 (en) 2011-11-03 2014-09-23 Arvind Gidwani Demand based encryption and key generation and distribution systems and methods
EP2600274B1 (de) * 2011-12-02 2019-04-24 BlackBerry Limited Verfahren zum Senden eines selbssignierten Zertifikats aus einer Kommunikationsvorrichtung
US8949954B2 (en) 2011-12-08 2015-02-03 Uniloc Luxembourg, S.A. Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account
AU2012100460B4 (en) 2012-01-04 2012-11-08 Uniloc Usa, Inc. Method and system implementing zone-restricted behavior of a computing device
AU2012100462B4 (en) 2012-02-06 2012-11-08 Uniloc Usa, Inc. Near field authentication through communication of enclosed content sound waves
US9083703B2 (en) * 2012-03-29 2015-07-14 Lockheed Martin Corporation Mobile enterprise smartcard authentication
CA2838356A1 (en) * 2012-12-31 2014-06-30 Aastra Technologies Limited Remote vpn provisioning of an endpoint
US9432336B2 (en) 2013-02-13 2016-08-30 Blackberry Limited Secure electronic device application connection to an application server
AU2013100355B4 (en) 2013-02-28 2013-10-31 Netauthority, Inc Device-specific content delivery
US8782774B1 (en) 2013-03-07 2014-07-15 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9608962B1 (en) 2013-07-09 2017-03-28 Pulse Secure, Llc Application-aware connection for network access client
WO2015018436A1 (en) * 2013-08-06 2015-02-12 Nec Europe Ltd. Method for operating a network and a network
US10348721B2 (en) 2013-10-30 2019-07-09 Hewlett Packard Enterprise Development Lp User authentication
US9736126B2 (en) * 2014-12-04 2017-08-15 International Business Machines Corporation Authenticating mobile applications using policy files
WO2016137517A1 (en) * 2015-02-27 2016-09-01 Hewlett Packard Enterprise Development Lp Manufacturer-signed digital certificate for identifying a client system
CN107079008B (zh) * 2015-03-27 2020-02-21 华为技术有限公司 用户认证方法、装置及系统
KR101642223B1 (ko) * 2015-05-12 2016-07-22 주식회사 수산아이앤티 사설 인증서의 설치를 유도하는 방법
FI20155763A (fi) * 2015-10-26 2017-04-27 Online Solutions Oy Menetelmä ja järjestelmä sertifikaatin aitouden varmistamiseksi ssl-protokollaa käyttäen salatussa internet-yhteydessä verkkosivuun
US10149166B2 (en) 2016-01-14 2018-12-04 Blackberry Limited Verifying a certificate
KR101729887B1 (ko) * 2016-01-25 2017-04-25 엔에이치엔엔터테인먼트 주식회사 롱폴링 처리 방법 및 시스템
US10079796B2 (en) 2016-02-05 2018-09-18 Vaultcast, Inc. Method and system for secure private multi-party electronic communication
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US10270603B2 (en) * 2016-03-17 2019-04-23 Blackberry Limited Processing certificate validation warnings
US9990222B2 (en) 2016-03-18 2018-06-05 Airwatch Llc Enforcing compliance rules against hypervisor and virtual machine using host management component
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US10749857B2 (en) 2016-09-26 2020-08-18 Expanse, Inc. Network mapping using a fingerprint
KR101779327B1 (ko) 2016-11-22 2017-10-10 한국인터넷진흥원 룰 기반 핑거프린트 생성 방법 및 그 장치
US10831838B2 (en) 2017-03-20 2020-11-10 Expanse, Inc. Triggered scanning based on network available data change
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
US10708139B2 (en) * 2017-08-01 2020-07-07 Servicenow, Inc. Automatic grouping of similar applications and devices on a network map
US11556364B2 (en) * 2018-09-20 2023-01-17 Cable Television Laboratories, Inc. Method and apparatus for enabling public key infrastructure in the generic cloud environment and the network function
US11139985B2 (en) * 2018-12-04 2021-10-05 Journey.ai Receiving information through a zero-knowledge data management network
US11451520B2 (en) * 2019-12-05 2022-09-20 Jonathan Cobb Private network and application provisioning system
US10903990B1 (en) 2020-03-11 2021-01-26 Cloudflare, Inc. Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint
US11546176B2 (en) * 2020-08-26 2023-01-03 Rockwell Collins, Inc. System and method for authentication and cryptographic ignition of remote devices
CN114513314B (zh) * 2022-04-20 2022-07-15 北京亿赛通科技发展有限责任公司 一种数字证书检测方法、装置、电子设备及存储介质
US20240048382A1 (en) * 2022-08-03 2024-02-08 1080 Network, Llc Systems, methods, and computing platforms for executing credential-less network-based communication exchanges
CN115834529B (zh) * 2022-11-23 2023-08-08 浪潮智慧科技有限公司 一种边缘设备远程监测方法及系统
CN116996236B (zh) * 2023-09-27 2023-12-12 北京安华金和科技有限公司 一种数据库操作认证处理方法和装置

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU4785096A (en) 1995-04-27 1996-11-18 Ornella Lo Piano Method and security system for ensuring the security of a de vice
JPH10307799A (ja) 1997-02-28 1998-11-17 Media Konekuto:Kk コンピュータ通信網における身元確認方法及び身元確認装置
US6233618B1 (en) 1998-03-31 2001-05-15 Content Advisor, Inc. Access control of networked data
JP2001036423A (ja) 1999-05-20 2001-02-09 Yamaha Corp 番組再生システム及び番組再生方法
US6772331B1 (en) * 1999-05-21 2004-08-03 International Business Machines Corporation Method and apparatus for exclusively pairing wireless devices
US6853988B1 (en) 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
US6802000B1 (en) * 1999-10-28 2004-10-05 Xerox Corporation System for authenticating access to online content referenced in hardcopy documents
US7506034B2 (en) * 2000-03-03 2009-03-17 Intel Corporation Methods and apparatus for off loading content servers through direct file transfer from a storage center to an end-user
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US7028333B2 (en) 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
US20020124090A1 (en) 2000-08-18 2002-09-05 Poier Skye M. Method and apparatus for data communication between a plurality of parties
US7103915B2 (en) 2000-11-13 2006-09-05 Digital Doors, Inc. Data security system and method
US7061874B2 (en) 2001-01-26 2006-06-13 Broadcom Corporation Method, system and computer program product for classifying packet flows with a bit mask
HU0101106D0 (en) 2001-03-14 2001-05-28 Tozai Trading Corp Id alsorithm
FI20010596A0 (fi) 2001-03-22 2001-03-22 Ssh Comm Security Oyj Turvallisuusjärjestelmä tietoliikenneverkkoa varten
MXPA04000611A (es) 2001-07-18 2005-02-17 Wireless Generation Inc Sistema y metodo para la evaluacion en la observacion de tiempo real.
US7197550B2 (en) 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network
US20030126085A1 (en) 2001-12-27 2003-07-03 Slamdunk Networks, Inc. Dynamic authentication of electronic messages using a reference to a certificate
US20030140257A1 (en) 2002-01-22 2003-07-24 Petr Peterka Encryption, authentication, and key management for multimedia content pre-encryption
EP1475721B1 (de) * 2002-02-13 2013-04-03 Passlogy Co., Ltd. Benutzerauthentisierungsverfahren und benutzerauthentisierungssystem
US7522906B2 (en) 2002-08-09 2009-04-21 Wavelink Corporation Mobile unit configuration management for WLANs

Also Published As

Publication number Publication date
EP1494428B1 (de) 2007-01-17
EP1494428A1 (de) 2005-01-05
DE602004004325D1 (de) 2007-03-08
US7444508B2 (en) 2008-10-28
KR20050005763A (ko) 2005-01-14
ATE352163T1 (de) 2007-02-15
US20040268142A1 (en) 2004-12-30
ES2281760T3 (es) 2007-10-01

Similar Documents

Publication Publication Date Title
DE602004004325T2 (de) Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
EP1494429B1 (de) Verfahren zur Durchführung sicherer Betriebskommunikation
DE69830726T2 (de) Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system
DE60319791T2 (de) Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk
DE602005000029T2 (de) Mehrere Authentifizierungskanäle, mit jeweils mehreren Authentifizierungmodi
AU2003212723B2 (en) Single sign-on secure service access
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60315914T2 (de) Ad hoc Sicherheitszugriff auf Dokumente und Dienste
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
US20030226036A1 (en) Method and apparatus for single sign-on authentication
DE60221113T3 (de) Verfahren und system für die fernaktivierung und -verwaltung von personal security devices
DE10392208T5 (de) Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung
US20070118875A1 (en) Short-lived certificate authority service
DE112019001320T5 (de) Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung
DE102009041805A1 (de) SIP-Signalisierung ohne ständige Neu-Authentifizierung
EP3909221B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
EP3908946B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE102017211267A1 (de) Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem
Hayes Policy-based authentication and authorization: secure access to the network infrastructure
EP2919145B1 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE60103910T2 (de) Vorrichtung und verfahren für infrastruktur mit öffentlichen schlüsseln
EP3958527A1 (de) Authentisierung eines kommunikationspartners an einem gerät
EP1244270B1 (de) Verfahren zur Bereitstellung eines authentischen elektronischen Zertifikats

Legal Events

Date Code Title Description
8364 No opposition during term of opposition