-
Die
Erfindung bezieht sich auf das Gebiet des sicheren Zugangs zu einem
Kommunikationsnetz, und insbesondere auf das Gebiet des sicheren
Zugriffs auf einen entfernten Server oder eine andere Vorrichtung über ein öffentlich
zugängliches
Kommunikationsnetz.
-
Digitale
Zertifikate sind wohlbekannt. Beschreibungen digitaler Zertifikate
und ihrer Verwendung sind von vielen Quellen erhältlich, einschließlich <http://www.webopedia.com/TERM/d/digital_certificate.html> und <http://wp.netscape.com/SECURITY/techbriefs/servercerts/index.html> (einschließlich verwandter
verknüpfter
Seiten). Kurz, ein digitales Zertifikat von einer Zertifizierungsbehörde (CA,
Certification Authority) enthält
in verschlüsselter
Form einen öffentlichen
Verschlüsselungsschlüssel und
andere Identifizierungsinformationen über den Zertifikathalter. Das
Zertifikat wird an Mitteilungen vom Zertifikathalter angehängt und
kann nur (zumindest ohne erheblichen Aufwand) unter Verwendung eines öffentlichen
Schlüssels
von der Zertifizierungsbehörde
entschlüsselt
werden. Wenn empfangen und entschlüsselt (unter Verwendung des öffentlichen Schlüssels der
CA), kann der öffentliche
Schlüssel
des Zertifikatshalters verwendet werden, um eine SSL-Verbindung
(SSL = Secure Socked Layer, sichere Sockelschicht) mit dem Zertifikathalter
für einen
sicheren Datenaustausch zu erzeugen. Digitale Zertifikate können z.
B. verwendet werden für
die Authentisierung von Individuen, von bestimmten Benutzergeräten, von
Servern und von zahlreichen anderen Vorrichtungen.
-
Es
bleibt jedoch ein Bedarf an skalierbaren Systemen und Verfahren
zum Erlangen eines sicheren Zugangs zu Unternehmens-Intranetzen
und anderen Betriebsmitteln über
das Internet und andere öffentlich
zugängliche
Netze bestehen. Der Bedarf ist insbesondere akut im Fall mobiler
Vorrichtungen, wie z. B. Mobiltelephonen, persönlichen digitalen Assistenten
(PDA), mobilen Endgeräten
und anderen Vorrichtungen, die auf das Internet zugreifen können. Die
Einfachheit der Verwendung ist häufig
in solchen Vorrichtungen kritisch, da zahlreiche Vorrichtungen in
Gebrauch sein können.
Außerdem
weisen solche Vorrichtungen typischerweise beschränkte Fähigkeiten
im Vergleich zu Personalcomputern (PCs) oder tragbaren Computern
auf.
-
Es
wurde festgestellt, dass dann, wenn keine Benutzeraktion erforderlich
ist, um eine SSL oder eine andere sichere Sitzung einzuleiten, ein
Benutzer häufig
wenig Gedanken an ein digitales Zertifikat verschwendet. Zum Beispiel
sollte ein Endbenutzer überprüfen, dass
ein digitales Zertifikat für
einen Server gültig
ist und/oder von der juristischen Person gehalten wird, mit der
der Benutzer zu kommunizieren wünscht.
Eine gewöhnliche
Möglichkeit
zum Erlangen einer Überprüfung durch
den Benutzer ist das Zeigen des Namens des Zertifikathalters und
des Fragens des Benutzers, das Zertifikat zu akzeptieren, oder nicht.
Viele Benutzer akzeptieren immer ohne eine wirkliche Betrachtung.
Dementsprechend verbleibt ein Bedarf an sichereren Verfahren und
Systemen zum Einleiten einer sicheren Kommunikation.
-
US 6.141.751 beschreibt
ein Verfahren, mit dem ein Benutzer über ein Netz identifiziert
werden kann. Eine Zeichenkette wird einem Benutzer bereitgestellt,
der die Kette unter Verwendung einer Konversionsregel konvertiert
und die konvertierte Kette als Identifikation zur Verfügung stellt.
-
WO
02/073377 A2 beschreibt ein Verfahren, das ermöglicht, eine Benutzerautorisierung
zu bestimmen durch Erzeugen einmaliger kryptographischer Schlüssel und
eindeutiger kryptographischer Algorithmen parallel an einem Autorisierungszentrum
und an einem entfernten Endgerät
unter Verwendung eines gemeinsamen Graphiksymbolsatz-Erzeugungsalgorithmus,
der dem Autorisierungszentrum und dem Benutzer bekannt ist.
-
Gemäß der Erfindung
wird ein Verfahren zum Durchführen
sicherer Datenübertragungen
(Kommunikation) gemäß Anspruch
1 der beigefügten
Ansprüche
geschaffen.
-
Gemäß der Erfindung
wird ferner eine Vorrichtung zur sicheren Datenübertragung mit einem Server über ein öffentlich
zugängliches
Netz gemäß Anspruch
12 der beigefügten
Ansprüche
geschaffen.
-
Gemäß der Erfindung
wird ferner ein maschinenlesbares Medium gemäß An spruch 13 der beigefügten Ansprüche und
ein Verfahren zum Durchführen
sicherer Datenübertragungen
gemäß Anspruch
14 der beigefügten
Ansprüche
geschaffen.
-
Andere
und weitere Aspekte der vorliegenden Erfindung werden im Verlauf
der folgenden Beschreibung und unter Bezugnahme auf die beigefügten Zeichnungen
offensichtlich.
-
Der
vorangehende Überblick über die
Erfindung, sowie die folgende genaue Beschreibung der bevorzugten
Ausführungsformen
werden besser verstanden, wenn sie in Verbindung mit den beigefügten Zeichnungen
gelesen werden, die beispielhaft enthalten sind und keineswegs bezüglich der
beanspruchten Erfindung einschränken
sollen.
-
1 ist
ein Blockdiagramm, das eine beispielhafte Netzumgebung zeigt, in
der eine mobile Vorrichtung entfernt auf gespeicherte Daten zugreifen
kann, gemäß verschiedenen
Ausführungsformen
der vorliegenden Erfindung.
-
2 ist
ein Blockdiagramm, das ein beispielhaftes System gemäß wenigstens
einer Ausführungsform
der Erfindung zeigt.
-
3 ist
ein Blockdiagramm, das eine beispielhafte mobile Vorrichtung gemäß wenigstens
einer Ausführungsform
der vorliegenden Erfindung zeigt.
-
4 ist
ein Blockdiagramm, das das Speichern von Daten in Verbindung mit
Automatik-Inhaltaktualisierung-Client-Software gemäß wenigstens
einer Ausführungsform
der Erfindung zeigt.
-
5 ist
ein Blockdiagramm eines Servers und anderer Netzkomponenten gemäß wenigstens
einer Ausführungsform
der Erfindung.
-
6 ist
ein Blockdiagramm eines Unternehmensnetzes gemäß wenigstens einer Ausführungsform der
Erfindung.
-
7 ist
ein Flussdiagramm, das Schritte der ACU-Nachrichtenhandhabung gemäß wenigstens
einer Ausführungsform
der Erfindung zeigt.
-
8-35 sind
Beispiele von Benutzerschnittstellenanzeigen in einer mobilen Vorrichtung
gemäß wenigstens
einer Ausführungsform
der Erfindung.
-
GENAUE BESCHREIBUNG
DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
In
der folgenden Beschreibung verschiedener erläuternder Ausführungsformen
wird auf die beigefügten
Zeichnungen Bezug genommen, die einen Teil derselben bilden, und
in denen beispielhaft verschiedene Ausführungsformen gezeigt sind,
in denen die Erfindung verwirklicht werden kann. Es ist klar, dass
andere Ausführungsformen
verwendet werden können
und strukturelle und funktionale Modifikationen vorgenommen werden
können,
ohne vom Umfang der vorliegenden Erfindung abzuweichen.
-
In
den Zeichnungen, in denen ähnliche
Bezugszeichen ähnliche
Teile bezeichnen, zeigt 1 ein Blockdiagramm mehrerer
virtueller privater Netze (VPN), die über ein Basispaketdatennetz 14 hinweg
verteilt sind. In wenigstens einer Ausführungsform ist das Paketdatennetz 14 das
Internet. Wie gezeigt ist, ist das VPN-A über Tunnel (durch lange Striche
gezeigt), die sichere Datenübertragungen
zwischen den Vorrichtungen A1, A2 und A3 repräsentieren, verbunden. In ähnlicher
Weise ist das VPN-B mittels sicherer Tunnel (durch kurze Striche
gezeigt) zwischen den Vorrichtungen B1, B2 und B3 verbunden. Die
VPN-Netze A und B sind in einem Unternehmen oder einer Organisation
mit mehreren Standorten angeordnet. Die VPN-Architektur, die in 1 gezeigt
ist, erlaubt einem Angestellten oder Mitglied des Unternehmens oder
der Organisation (oder einer anderen autorisierten Person) auf das
lokale Netz (LAN) des Unternehmens oder der Organisation zuzugreifen,
nach Verbindung mit dem VPN des Unternehmens oder der Organisation
mittels sicherer Tunnel über
das Internet oder ein anderes Basispaketdatennetz. In wenigstens
einer Ausführungsform
wird die Verbindung durch eine Tunneltechnik gesichert, wie z. B.
SSL (Secure Socked Layer = sichere Sockelschicht). Die Erfindung
ist jedoch nicht auf irgendeine bestimmte Technik zur Sicherung
der Verbindung beschränkt. Eine
mobile Vorrichtung (Gerät) 10 kann über ein
mobiles Netz 12 mit dem Internet 14 kommunizieren,
und anschließend
mit den verschiedenen Vorrichtungen B1–B3. Die Vorrichtungen B1–B3 können Teil
des gleichen Intranets sein, oder können über mehrere Intranets oder
andere lokale Netze (LANs) oder Weitverkehrsnetze (WANs) verteilt
sein.
-
2 ist
ein Blockdiagramm, das ein mobiles Virtuellprivatnetz-VPN-Client-System gemäß einer
Ausführungsform
der Erfindung zeigt. Ein Beispiel einer mobilen Vorrichtung, in
der ein Client des Systems implementiert sein kann, ist eine Serie
60TM oder SYMBIAN OSTM (d.
h. das Betriebssystem SYMBIAN OSTM, erhältlich von
Symbian Ltd., London, U.K.), eine freigegebene mobile Vorrichtung
mit darauf installierter VPN-Client-Software. Beispiele für solche
Vorrichtungen umfassen die Telephone Nokia 7650TM und
3650TM, und 9210-CommunicatorTM (erhältlich von
Nokia Corp, Espoo, Finnland). Mobile Vorrichtungen 10 kommunizieren über ein
drahtloses Netz 12 und das Internet 14 mit einem
VPN-Zugangsschutzsystem 18 und einem VPN-Netzübergang
(VPN-Gateway) 24.
Mobile Vorrichtungen 10 und Computer 11 können eine
VPN-Tunnelverbindung 19 einrichten,
wenn das Zugangsschutzsystem 18 die Verbindung zum Intranet 36 erlaubt.
-
Die
mobile VPN-Client-Software (VPN-Client) wird zuerst in der mobilen
Vorrichtung 10 für
die Kommunikation mit dem Sicherheitsdienstmanager-(SSM)-Server 20 installiert.
Der VPN-Client ist in 3 als die installierte Anwendung 72 in
der mobilen Vorrichtung 10 gezeigt, und wird im Folgenden
genauer erläutert.
Der Benutzer kann den VPN-Client unter Verwendung eines gewöhnlichen
Web-Browsers über eine
Infrarotverbindung, BLUETOOTH-Verbindung oder WLAN-Verbindung über Rundfunk
oder Mehrpunktverbindung (z. B. DVB-T oder dessen Modifikationen), über E-Mail
oder über
CD-ROM oder andere entnehmbare Medien herunterladen. Der VPN-Client
wird z. B. als eine SIS-Datei eines Betriebssystems SYMBIAN OSTM zur einfachen Installation in der mobilen
Vorrichtung 10 geliefert.
-
Der
SSM-Server 20 weist über
einen Web-Server 90 (in 5 gezeigt)
eine Schnittstelle zum Filtern von Anfragen auf, die von entfernten
Quellen, wie z. B. der mobilen Vorrichtung 10, empfangen
werden. Nur authentisierten Benutzern ist erlaubt, auf den SSM-Server 20 zuzugreifen.
Die Benutzerauthentisierung beruht auf Benutzername/Passwort-Kombinationen,
die ein entfernter Vorrichtungsbenutzer in ein HTML-Formular eingibt,
das von der externen Benutzerschnittstelle (UI) des Web-Servers 90 bereitgestellt
wird. Eine erfolgreiche Authentisierung veranlasst den SSM-Server 20,
eine Sitzung für
den authentisierten Benutzer zu erzeugen. Die Sitzung wird anschließend zwischen
den nachfolgenden Seitenanforderungen identifiziert durch Codieren
einer Sitzungs-ID in die URLs für
die im Web-Server 90 gespeicherten Seiten. Insbesondere
enthält jede
Verknüpfung
auf nachfolgende Web-Seiten einen Sitzungs-ID-Parameter, den der
SSM-Server 20 verwendet, um die Seitenanforderungen zu
bestätigen.
Servlets und JSP-Seiten auf dem Web-Server 90 erzeugen
die URLs in den Web-Seiten.
Der Benutzer kann sich vom SSM-Server 20 abmelden unter
Verwendung einer Verknüpfung
in einer Weg-Seite, die vom Web-Server 90 bereitgestellt
wird. Da die Benutzer nicht immer daran denken, sich abzumelden,
weisen jedoch die Benutzersitzungen einen kurzen Zeitüberschreitungswert auf.
In einer Ausführungsform
sind alle Seiten des Web-Servers 90 nur über SSL-Verbindungen zugänglich. Benutzernamen,
Passwörter
und Sitzungs-IDs werden somit über
verschlüsselte
Verbindungen übertragen.
-
Beispielhafte VPN-Client-Installation
in der Benutzerschnittstelle eines Mobiltelephons
-
Alle
Anfragen von der mobilen Vorrichtung 10, einschließlich Anfragen
von einem Benutzer-Browser, werden über das Hypertext-Übertragungsprotokoll
(HTTP, hyper text transfer protocol) an den SSM-Server 20 gesendet.
In wenigstens einer Ausführungsform
laufen HTTP-Verbindungen 19 von den mobilen Vorrichtungen 10 im
Internet 14 über
einen VPN-Netzübergang 24 und/oder
einen Zugangsschutzsystem/Proxy-Server 18, wobei der SSM-Server 20 nicht
direkt mit dem Internet 14 verbunden ist.
-
Die
mobile Vorrichtung 10, die einen Anzeigebildschirm, eine
Tastatur und/oder andere Eingabe- und Ausgabevorrichtungen enthält, bietet
verschiedene Schnittstellen für
einen Benutzer während
der Installation eines VPN-Clients. Nach dem Herunterladen zeigt
die Anzeigevorrichtung an, dass eine SIS-Datei vorhanden ist, die
den VPN-Client enthält
(8). Beim Öffnen
dieser Datei wird der Benutzer aufgefordert, die Software zu installieren,
indem er "Ja" auswählt (9),
wodurch der Installationsprozess startet. Das Auswählen von "Nein" bricht die Installation
ab. Bei der Auswahl von Ja werden dem Benutzer mehrere Auswahlmöglichkeiten in
einem Optionsmenü bereitgestellt: "Installieren", "Zertifikat ansehen" oder "Einzelheiten über das
installierte Produkt" (10).
Nach Auswahl von "Installieren" wird der Benutzer
aufgefordert, alle aktiven Anwendungen zu schließen, die auf der Vorrichtung
laufen (11). Dies dient der Sicherheit,
so dass keine anderen Anwendungen die Installation stören. Nach
dem Schließen
irgendwelcher anderer Anwendungen beginnt die eigentliche Installation.
Wenn die Installation abgeschlossen ist, fordert der Installationsprozess
den Benutzer auf, die Vorrichtung auszuschalten und wieder einzuschalten
(12). Dies stellt sicher, dass alle Niedrig-Ebene-Komponenten
richtig installiert werden, wenn die Vorrichtung wieder eingeschaltet
wird. Nach der Installation erscheint ein Mobil-VPN-Client-Symbol
auf einem Anwendungsmenü (13).
Die Benutzer können
den Client irgendwohin im Anwendungsmenü oder in irgendeinem Ordner
verschieben.
-
Der
Installationsprozess verwendet einen Automatik-Inhaltsaktualisierung-(ACU)-Dienst. Der ACU-Dienst
enthält
ein Protokoll zwischen der mobilen Vorrichtung 10 und dem
SSM-Server 20, das der Vorrichtung 10 erlaubt,
ihren lokalen Inhaltsspeicher mit dem Inhalt des SSM-Servers 20 synchronisiert
zu halten. In einer Ausführungsform
ist die ACU-Dienst-Client-Software (ACU-Client) Teil des mobilen
VPN-Clients, und wird vor dem Installieren anderer Komponenten des
VPN-Clients installiert. Die ACU-Client-Einrichtungsphase umfasst
zwei Protokolltransaktionen. Die erste Transaktion wird verwendet,
um ein ACU-Client-Konfigurationspaket
zum mobilen Client herunterzuladen, während die zweite Transaktion
verwendet wird, um ein ACU-Client-Zertifikat einzutragen. Das Client-Zertifikat
wird in nachfolgenden ACU-Datenübertragungen
verwendet, um ACU-Anfragen zu signieren und Antworten auf Anfragen
zu authentisieren.
-
Der
SSM-Server 20 enthält
eine Datenbank 98 (5), die
ihrerseits zusätzliche
Datenbanken umfasst. Eine Konfigurationsdatenbank erlaubt Clients,
Client-Konfigurationspakete
vom SSM-Server 20 zu holen. Die Zertifikateintragungsdatenbank
erlaubt Clients, Zertifikate mit dem SSM-Server 20 einzutragen.
Eine Inhaltsmetadatendatenbank erlaubt Clients, Metadaten über den
in einer Inhaltsdatenbank gespeicherten Inhalt zu holen. Die Inhaltsdatenbank
erlaubt Clients, aktuellen Inhalt vom SSM-Server 20 zu
holen. Alle Datenbanken enthalten einen bestimmten Typ von Daten,
die ein Client holen kann. Während
die Konfigurationsdatenbank nur Client-Konfigurationspakete enthält, kann
jedoch die Inhaltsdatenbank irgendeine Art von Daten enthalten.
Der Inhalt in der Datenbank ist ferner einer oder mehreren Eigenschaften
zugeordnet; diese Eigenschaften sind in Suchfiltern von ACU-Anfragen
enthalten, um die gewünschten
Daten zu fin den. Zum Beispiel unterstützt die Zertifikateintragungsdatenbank
Eigenschaften, wie z. B. Zertifikatanfragen, die unter Verwendung
von PKCS#10 (oder anderer Zertifikatanfragesyntax) vorbereitet worden
sind, und Entitätsnamen;
die Inhaltsdatenbank unterstützt
Eigenschaften wie z. B. Inhalt-ID und Typ.
-
Unterschiedliche
Ebenen der Sicherheitsautorisierung von ankommenden ACU-Anfragenachrichten sind
für den
Zugang zu unterschiedlichen Datenbanken erforderlich. In wenigstens
einer Ausführungsform
gibt es drei Ebenen der Sicherheit: Req1 (niedrigste), Req2 (mittlere)
und Req3 (höchste).
Die Konfigurationsdatenbank akzeptiert alle Sicherheitsebenen (Req1,
Req2 und Req3), während
die Inhaltsdatenbank die höchste Sicherheitsebene
(Req3) erfordert. Die folgende Tabelle 1 fasst Sicherheitsebenenanforderungen,
Inhaltseigenschaften und Inhaltstypen von Datenbanken des SSM-Servers 20 in
einer Ausführungsform
zusammen. Zum Beispiel speichert die Zertifikateintragungsdatenbank
X.509v3-Zertifikate
und gibt diese zurück
(z. B. "application/pkix-cert"). Wie im Stand der
Technik bekannt ist, bezieht sch X.509 auf den von der Internationalen Telekommunikationsunion
empfohlenen Standard für
digitale Zertifikate. Suchfilter in einer Anfrage, die auf die Zertifikateintragungsdatenbank
zielt, können
drei Eigenschaften enthalten, einen Entitätsnamen, einen Anforderungstyp
und eine PKCS#10-Zertifikatanfrage. Die Zertifikateintragungsdatenbank
erfordert, dass Anfragen die Sicherheitsebene Req2 oder Req3 aufweisen.
-
-
Bei
Empfang eines ersten Antwortpakets vom SSM-Server 20 richtet
die mobile Vorrichtung 10 eine Vertrauensbeziehung zum
dem SSM-Server 20 ein. Genauer, bestätigt die mobile Vorrichtung 10 ein
zurückgegebenes
SSM-Server-Zertifikat
und speichert dieses. Das gespeicherte SSM-Server-Zertifikat wird
anschließend
verwendet, um automatisch nachfolgende ACU-Antworten vom gleichen
Server zu bestätigen.
-
Die
mobile Vorrichtung 10 und der Server 20 schließen die
ACU- und VPN-Client-Einrichtphase
ab, bevor andere Operationen gestartet werden (z. B. Aktualisieren
des Inhalts von anderen Anwendungen auf der Vorrichtung 10 unter
Verwendung eines VPN für
sichere Datenübertragung
durch eine weitere Anwendung und dergleichen). Zieldatenbanken,
die während
der Client-Einrichtung verwendet werden, können variieren. Beispiel-Zieldatenbanken
und Nachrichtensicherheitsebenen, die in der ACU-Client-Einrichtungsphase
verwendet werden, sind jedoch in Tabelle 2 und in 7 beschrieben.
-
-
Die
Nachricht 1 wird vom ACU-Client verwendet, um ein ACU-Client-Konfigurationspaket
von einem ACU-Server (z. B. SSM-Server 20) zu holen. Dieser
Server verwendet die Nachricht 2, um ein ACU-Client-Konfigurationspaket
an den ACU-Client zurückzugeben.
Der ACU-Client verwendet die Nachricht 3, um ein ACU-Client-Zertifikat
mit dem ACU-Server einzutragen. Dieser Server verwendet die Nachricht
4, um ein ACU-Client-Zertifikat an den ACU-Client zurückzugeben.
Während
der nachfolgenden Operationsphase sendet der ACU-Client eine Nachricht,
um Inhaltsmetadaten oder aktuellen Inhalt von einem ACU-Server zu holen, oder
um ein Zertifikat mit einem (in 7 oder Tabelle
2 nicht gezeigten) ACU-Server einzutragen. Dies kann das Holen einer
VPN-Richtlinie vom SSM-Server 20 einschließen. In
Reaktion hierauf gibt der Server Inhaltsmetadaten, aktuellen Inhalt
oder ein Zertifikat an den ACU-Client zurück. Dies kann das Zurückgeben
einer VPN-Richtlinie an den ACU-Client einschließen.
-
Wenn
ein SSM-Server- oder Client-Zertifikat abläuft oder anderweitig ungültig wird,
leitet die mobile Vorrichtung 10 eine neue Client-Einrichtungsphase
ein und führt
die geeigneten Initialisierungsschritte durch. Wenn die mobile Vorrichtung 10 einen
Authentisierung-Erfolgreich-Status empfängt, jedoch eine Anzeige empfängt, dass
das mobile Client-Zertifikat bald abläuft, kann die mobile Vorrichtung 10 ein
neues Client-Zertifikat unter Verwendung des bald ablaufenden Zertifikats
für die
Authentisierung der Anforderung eintragen. Sobald das neue Zertifikat
empfangen worden ist, ersetzt es das alte.
-
Nachrichten
von der mobilen Vorrichtung 10 an den SSM-Serwer 20 weisen
einen Abschnitt auf, der die Sitzungs-ID (z. B. eine Zahl) und die
Nachrichten-ID (z. B. ebenfalls eine Zahl), den SSM-Server 20 und Client-Adressen
definiert. Der Clientadressenabschnitt kann optional auch Authentisierungsinformationen
enthalten. Ein Körperabschnitt
der Nachricht identifiziert die Version des ACU-Protokolls (z. B. "SyncML/1.0"), das in dieser Nachricht verwendet
wird und dessen Verwendung im Antwortpaket erwartet wird. Der Körperabschnitt
enthält
ferner eine Anfrage, die Eigenschaften des Inhalts enthält, dem
der Client vom Server zu erhalten wünscht. Zum Beispiel kann eine
Anfrage den absoluten URI des SSM-Servers 20 enthalten
(z. B. "http://<acu-server-name>/acu"). In einer Ausführungsform
ist der Anfragewert der Gleiche wie der Zieleinheit-Betriebsmittelidentifizierer
(URI), der auf der HTTP-Ebene verwendet wird. Die Nachricht von
der mobilen Vorrichtung 10 enthält ferner einen absoluten URI
oder eine internationale Mobilstationsausrüstungsidentität-(IMEI)-Einheitsbetriebsmittelnummer
(URN), die die mobile Vorrichtung 10 eindeutig identifiziert
(z. B. "http://<cient-name>.<port>" oder "IMEI:493005100592800"). Das Einschließen der
Client-Authentisierung und der Identitätsinformationen hängt von
der Sicherheitsebene der Anforderungsnachricht ab. Die Nachricht von
der mobilen Vorrichtung 10 kann ferner anzeigen, ob die
Nachricht die letzte Nachricht eines Pakets ist. In wenigstens einer
Ausführungsform
ist ein ACU-Paket
immer in einer einzelnen Nachricht enthalten, wobei eine "letztes Element"-Beschreibung somit
in allen ACU-Nachrichten von der Vorrichtung 10 vorhanden
wäre.
-
In
einer Ausführungsform
enthält
der Körper
einer ACU-Antwortnachricht vom SSM-Server 20 einen Identifizierer
der Version (z. B. "1.0") der XML (extensible
markup language = erweiterbare Auszeichnungssprache), die z. B.
dem ACU-Protokoll
verwendet wird; ein Statusinformationselement, das verwendet wird,
um die ein bestimmtes Element sendende Anwendung über das
Ergebnis der Verarbeitung dieses Elements durch den SSM-Server 20 oder
einen anderen Empfänger
zu informieren (z. B. einen Fehlercode, der angibt, warum die Datenübertragung
nicht erfolgreich war); eine Version des ACU-Protokolls (z. B. "SyncML/1.0"); die Eigenschaften
des Inhalts, den der Client vom Server in der entsprechenden Anforderung
zu erhalten wünscht;
und Informationen über
Status/Ergebnisse-Elementpaare für
zusätzliche
Suchelemente (falls vorhanden) im entsprechenden Anforderungspaket.
Ergebniselemente sind nur dann vorhanden, wenn die entsprechenden
Anfragen einen bestimmten Inhalt zurückgeben. Die ID des Inhaltselements,
die in wenigstens einer Ausführungsform
die Gleiche ist wie der ID-Elementwert in den entsprechenden ACU-Metadaten,
kann als Wert der ContentID-Inhaltseigenschaft in ACU-Suchfiltern
für die
Inhaltsdatenbank verwendet werden.
-
Verschiedene
Anwendungsprogramme, die auf der mobilen Vorrichtung 10 laufen,
können
den auf der mobilen Vorrichtung installierten ACU-Client verwenden.
Wenn eine Anwendung eine Inhalts-ID in einer Inhaltsaktualisierungsanforderung
spezifiziert, ruft der ACU-Agent 74 (3)
einen Internetprotokollsicherheit-(IPSec)-Manager 60 auf, um
die Identität
des Servers zu erhalten, mit dem der Aktualisierungsprozess durchzuführen ist,
und fordert den Benutzer der Vorrichtung auf, das VPN-Client-Passwort
bereitzustellen. Wenn der ACU-Client 74 die Server-Identität (im vorliegenden
Beispiel der SSM-Server 20) hat, fährt der ACU-Agent 74 mit
dem Aktualisierungsprozess fort durch Abfragen der Anwendung nach
einer Liste der gewünschten
Inhaltstypen. Der ACU-Agent 74 fragt ferner die Anwendung
nach Metadaten (z. B. IDs, Typen und Zeitstempel) für den gewünschten
Inhalt. Nachdem der Datenaustausch mit dem identifizierten Server
(hier SSM-Server 20) geeignet initialisiert worden ist,
erzeugt der ACU-Agent 74 eine
ACU-Anforderungsnachricht an den SSM-Server 20. Diese Nachricht
holt Metadaten bezüglich
des Inhalts, die der SSM-Server 20 der Client-Anwendung, die eine
Aktualisierung anfordert, und/oder den Benutzer der Anwendung zugewiesen
hat. Die ACU-Anforderung enthält
einen Suchfilter, der alle Inhaltstypen auflistet, die die Client-Anwendung
zu aktualisieren wünscht.
Der ACU-Agent 74 vergleicht anschließend die vom SSM-Server 20 zurückgegebe nen Metadaten
mit den Metadaten in der eine Aktualisierung anfordernden Anwendung.
Wenn Unterschiede auftreten, setzt der ACU-Agent 74 einen
Serverinhaltsaktualisierungs-Konfigurationsparameter (z. B. "ForceUpdates") im ACU-Datenspeicher 66 (3).
Der ACU-Agent 74 holt anschließend alle neuen und veränderten Inhalt
(falls vorhanden) vom SSM-Server 20. 7 ist
eine beispielhafte Ansicht eines Flussdiagramms, das beschreibt,
wie ACU-Nachrichten gemäß einer
Ausführungsform
der vorliegenden Erfindung behandelt werden.
-
VPN-Richtlinieninstallations-UI
eines Mobiltelephons
-
Eine
oder mehrere VPN-Richtlinien sind ein Inhaltstyp, der durch eine
mobile Vorrichtung 10 vom SSM-Server 20 erhalten
wird. Eine VPN-Richtlinie enthält
alle Informationen, die von einer mobilen Vorrichtung mit einem
VPN-Client (z. B. "mVPNClient") benötigt werden,
wie z. B. der mobilen Vorrichtung 10, um sichere Verbindungen
zum SSM-Server 20 einzurichten, um somit in wenigstens
einer Ausführungsform
auf E-Mail 32, Datenbanken 34 und andere Einrichtungen
im Unternehmens-Intranet (2) zuzugreifen.
In einer Ausführungsform
enthält
die Richtlinie Endbenutzeridentitätsdaten, wie z. B. Zertifikate
und private Schlüssel.
Eine VPN-Richtlinie ohne Zertifikate, private Schlüssel und
andere benutzerspezifische Daten wird als "Profil" bezeichnet. Mehrere Endbenutzer können das
gleiche Profil erhalten, und anschließend individualisierte Richtlinien
erzeugen. In einer Ausführungsform
werden VPN-Richtlinien und Profile im SSM-Server 20 gemanagt und
verwaltet, welcher seinerseits eine Richtlinienmanageranwendung 26,
eine Datenbank 98 und eine Zertifizierungsbehörde 28 enthält oder
damit in Verbindung steht.
-
Eine
einzelne VPN-Richtlinie kann mehrere Benutzerzertifikate erfordern.
Zum Beispiel kann eine Richtlinie, die von der Richtlinienmanageranwendung 26 erzeugt
und zur Datenbank 98 des SSM-Servers 20 übertragen
worden ist, mehrere VPN-Netzübergangsdefinitionen
enthalten, wobei jede Definition eine Zertifikatauthentisierung
verwendet, jedoch auf einer anderen Zertifikatautorität beruht.
Folglich kann eine einzige Richtlinie mehrere Zertifikateintragungsprozesse
erfordern, bevor sie für
die Aktivierung bereit wird. Obwohl eine Richtlinie mehrere zugeordnete
Benutzerzertifikate aufweisen kann, gibt es in wenigstens einer
Ausführungsform
ein einzelnes Öffentlich/Privat-Schlüsselpaar
einer gegebenen Größe für eine Richtlinie.
Mit anderen Worten, alle Zertifikate, die einer einzelnen Richtlinie
zugeordnet sind und die gleiche Schlüsselgröße verwenden, beziehen sich
auf das gleiche Öffentlich/Privat-Schlüsselpaar.
-
In
einer Ausführungsform,
wie in 3 gezeigt ist, sind Dateien, die eine VPN-Richtlinie bilden,
im IPSec-Richtlinienspeicher 40 enthalten und umfassen
eine Richtlinieninformationsdatei 46 (die allgemeine Informationen über die
Richtlinie enthält),
eine Richtliniendatei 50 (die IPSec- und Internet-Schlüsselaustausch- oder IKE-Regeln
enthält),
eine oder mehrere Zertifikatdateien 48 und eine oder mehrere
Privatschlüsseldateien 52.
In wenigstens einer Ausführungsform
speichert der IPSec-Richtlinienspeicher 40 Öffentlich/Privat-Schlüsselpaare 42,
Zertifikate 48 und Zertifikatanforderungen und Zuordnungen 44 (im
Folgenden beschrieben) für
irgendeine Anwendung, nicht nur den VPN-Client. Der IPSec-Richtlinienspeicher 40 ist
modifizierbar, um neue Inhaltseigenschaften zu unterstützen, die
vom ACU-Agenten 74 benötigt
werden können.
-
Anwendungen 72,
die auf der mobilen Vorrichtung 10 laufen, greifen auf
den ACU-Client über
den ACU-Agenten 74 zu. In einer Ausführungsform greift der VPN-Client
auf den ACU-Agenten 74 über
den IPSec-Manager 60 zu.
-
In
verschiedenen Phasen während
der Inhaltsaktualisierung und des Zertifikateintragungsprozesses kommuniziert
der ACU-Agent 74 mit der Client-Anwendung (z. B. dem VPN-Client), der
die Aktualisierung, die Eintragung oder einen anderen Prozess eingeleitet
hat.
-
Der
ACU-Datenspeicher 66 enthält Informationen über die
Client-Anwendungen, die den ACU-Client verwenden, wie z. B. VPN-Client-Informationen 68.
Der ACU-Datenspeicher 66 enthält ferner
Informationen 70 über
Server, mit denen der ACU-Agent 74 auf Geheiß der Client-Anwendungen
kommuniziert, wie z. B. den SSM-Server 20. Der aktuelle
Inhalt und die Inhaltsmetadaten, die von den Servern geholt werden,
werden von den jeweiligen Client-Anwendungen gespeichert, die die
Aktualisierung oder einen anderen ACU-Dienst angefordert haben.
Im Fall des VPN-Clients werden der Inhalt und Inhaltsmetadaten im
IPSec-Richtlinienspeicher 40 gespeichert.
Wie ebenfalls in 3 gezeigt ist, enthält die mobile
Vorrichtung 10 eine Schnittstelle zu einem mobilen Netz,
wie z. B. einen Senderempfänger 64,
eine CPU 76, sowie Telephon- und Kalenderanwendungen. Obwohl
nicht gezeigt, würde
die mobile Vorrichtung 10 ferner eine oder mehrere Benutzereingabevorrichtungen
(z. B. eine Tastatur), Ausgabevorrichtungen (z. B. eine Anzeigevorrichtung)
und andere bekannte Komponenten enthalten.
-
4 ist
ein Blockdiagramm, das einen Speicher im ACU-Datenspeicher 66 zeigt.
Der ACUService-Datensatz 78 enthält Informationen ("IE") über eine
oder mehrere ACU-Dienstinstanzen. Der ClientApp-Datensatz 80 enthält Informationen über die
Anwendungen, die eine bestimmte ACU-Dienstinstanz verwenden. Mehr
als eine Anwendung kann eine bestimmte ACU-Dienstinstanz verwenden.
Der ServerAccount-Datensatz (Serverkontodatensatz) 82 enthält Informationen über die
Serverkonten (z. B. für
den SSM-Server 20), die von einer bestimmten Client-Anwendung
verwendet werden. Die Informationen im ServerAccount-Datensatz 82 werden
aus einer Benutzereingabe vom Server (z. B. SSM-Server 20)
in einem Client-Konfigurationspaket und/oder als Ergebnis eines
Client-Initialisierungsprozesses
erhalten. Eine bestimmte Anwendung kann mehr als einen ServerAccount-Datensatz
aufweisen. Öffentlich/Privat-Schlüsselpaare
sind in der KeyPair-Datei 84 gespeichert. Die unterschiedlichen
Datensätze
und Dateien können
in Abhängigkeit von
der Client-Anwendung miteinander kommunizieren. Das Feld IAPRef
im ServerAccount-Datensatz 82 bezieht sich auf einen Internetzugangspunkt-(IAP)-Konfigurationseintrag
in der Vorrichtung 10. Dieses Feld spezifiziert den Zugangspunkt,
der zu verwenden ist, wenn mit einem im ServerAccount-Datensatz
spezifizierten Server (z. B. dem SSM-Server 20) kommuniziert
wird. Andere verfügbare
IAPs für
andere Verwendungen sind anderswo in der Vorrichtung konfiguriert.
-
In
einer Ausführungsform
kommuniziert der ACU-Agent 74 und jede den ACU-Client verwendende
Anwendung während
der Inhaltsaktualisierung- und Zertifikateintragungsprozesse mit
dem IPSec-Manager 60. Der IPSec-Manager 60 ist
in einer Ausführungsform
ein Teil der Betriebssystem-Software auf der mobilen Vorrichtung 10 (wie
z. B. des Betriebssystems SYMBIAN OSTM).
Der IPSec-Manager 60 managt
den IPSec-Richtlinienspeicher 40, der die darin gespeicherten
Zertifikate und privaten Schlüssel
enthält.
Der IPSec-Manager 60 führt
ferner Verschlüsselungs-
und Entschlüsselungsoperationen
mit dem im Richtlinienspeicher 42 gespeicherten privaten
Schlüsseln
durch. In einer Ausführungsform
sind die privaten Schlüssel
in verschlüsselter Form
installiert und gespeichert, wobei der IPSec-Manager 60 den
Richtlinienimport und die zum Entschlüsseln und Verschlüsseln der
privaten Schlüssel
benötigten
VPN-Client-Passwörter
managt. Die VPN-Client-Software implementiert über den IPSec-Manager 60 und/oder
andere Betriebssystemkomponenten Dialoge zum Anfordern von VPN-Client- und Richtlinieninstallationspasswörtern vom
Benutzer.
-
Der
IPSec-Manager 60 unterstützt ferner die Erzeugung und
Speicherung von Öffentlich/Privat-Schlüsselpaaren,
die Speicherung von Zertifikaten und die Erzeugung und Speicherung
von Zertifikatanforderungen für
die VPN-Client-Software
und für
andere Anwendungen. Der IPSec-Manager 60 nimmt die Funktionalität an, die
erforderlich ist, um Richtlinienaktualisierungs- und Zertifikateintragungsprozesse
zu unterstützen.
Wenn der Benutzer einen Richtlinienaktualisierungsprozess mit einem
Befehl an den IPSec-Manager 60 startet, fragt der IPSec-Manager 60 (über eine
Benutzerschnittstelle) nach dem VPN-Client-Passwort.
-
In
einer Ausführungsform
unterstützt
der VPN-Client zwei Haupttypen von VPN-Authentisierung: Zertifikatauthentisierung
und Altauthentisierung. Die Zertifikatauthentisierung beruht auf
Benutzer-Öffentlichschlüssel-Infrastruktur-(PKI)-Daten
(z. B. einem Öffentlich/Privat-Schlüsselpaar
und entsprechendem Zertifikat), während die Altauthentisierung
auf Benutzernamen und Passwörtern/Passcodes
beruht.
-
Der
Zertifikateintragungsprozess ist in zwei Formen verfügbar: automatisiert
und manuell. Der Benutzer leitet einen automatisierten Zertifikateintragungsprozess
ein durch Aktivieren einer Richtlinie, die eine Zertifikatseintragung
erfordert. Eine Richtlinie erfordert eine Zertifikatseintragung,
wenn sie eine PKI-Richtlinie ist und ihr alle Benutzer-PKI-Informationen
fehlen, oder wenn die Benutzer-PKI-Informationen unvollständig oder abgelaufen
sind. Der Benutzer leitet einen manuellen Zertifikateintragungsprozess
ein durch Auswählen
einer Richtlinie, die eine Zertifikatseintragung erfordert, im VPN-Client
UI und anschließendes
Auswählen
eines spezifischen Befehls aus dem Client-Menü.
-
In
einer Ausführungsform
werden Profile unter Verwendung einer VPN-Richtlinienmanageranwendung 26 erzeugt,
die die VPN-Struktur (z. B. Netztopologie) zu Netzübergängen und
zu Clients beschreiben. In einer Ausführungsform führt der
VPN-Netzübergang 24 endgültige Prüfungen der
Zugangsrechte durch, wobei eine Client-Version einer Richtlinie
nur Informationen enthält,
die erforderlich sind, um sichere Verbindungen zu den richtigen
Netzübergängen einzurichten.
-
In
einigen Ausführungsformen
enthält
die Richtlinienmanageranwendung 26 Benutzer-Privatschlüssel und
Zertifikate mit einer Richtlinie. Wenn ein VPN-Profil die Verwendung
von Zertifikaten und privaten Schlüsseln definiert, diese jedoch
nicht enthält,
erzeugt ein VPN-Client ein Öffentlich/Privat-Schlüsselpaar
und eine entsprechende Zertifikatanforderung, und sendet dann die
Anforderung zur Eintragung an eine Zertifizierungsbehörde (CA) 28.
Wenn die Eintragung erfolgreich ist, sendet der CA 28 ein
Zertifikat zurück
und der VPN-Client ist für
sichere Verbindungen bereit.
-
Um
einen Zertifikatseinführungsprozess
zu erleichtern, arbeitet eine Ausführungsform des SSM-Servers 20 als
ein Zertifikateintragungs-Netzübergang.
In diesem Fall senden die VPN-Clients Eintragungsanforderungen an
den SSM-Server 20 statt
an den CA 28, wobei nur der SSM-Server 20 mit
dem CA 28 kommuniziert. Der SSM-Server 20 führt anschließend die
notwendige Authentisierung und die Autorisierung durch, um die Zertifikateintragung
vollständig
zu automatisieren. Der SSM-Server 20 authentisiert Benutzer
mit einer Benutzerdatenbank 98 oder einen Fernauthentisierungs-Einwahl-Benutzerdienst-(RADIUS)-Server 30.
Der Letztere ermöglicht
die Nutzung von Passwort-Token, wie z. B. SECURID (erhältlich von
RSA Security Inc. aus Bedford, Massachusetts).
-
In
bestimmten Ausführungsformen
arbeitet der SSM-Server 20 als interne VPN-Zertifizierungsbehörde. In
einem solchen Fall braucht nicht die Notwendigkeit bestehen, einen
CA einer dritten Partei zu verwenden, um VPN-Zertifikate zu zeichnen,
was zu signifikanten Kosteneinsparungen in PKI-basierten VPN-Entwicklungen führen kann.
-
VPN-Richtlinien
und Profile können
sich ändern,
nachdem sie anfangs ausgegeben worden sind. Clients können eine
Richtlinie vom SSM-Server 20 auf verschiedene Weise aktualisieren.
In einer Ausführungsform
prüft der
VPN-Client unter Verwendung des ACU-Clients automatisch auf aktualisierte
Richtlinien bei Verbindung mit dem SSM-Server 20. Bei Auffinden
von aktualisierten Richtlinien importiert der VPN-Client (unter Verwendung
des ACU-Clients) automatisch ir gendwelche Änderungen. Das ACU-Protokoll
beruht auf SyncML in einer Ausführungsform
und kooperiert mit der VPN-Clientsoftware auf Basis des Betriebssystems
SYMBIANTM. Eine automatische Aktualisierung
minimiert die Notwendigkeit für
E-Mlail-Benachrichtigungen und Herunterladevorgänge auf Browser-Basis.
-
Während des
Richtlinienaktualisierungsprozesses, und unabhängig davon, ob eine Richtlinienaktivierung
erfolgreich ist oder nicht, setzt der IPSec-Manager 60 einen
Parameter, der spezifiziert, ob eine Richtlinienaktualisierung begonnen
hat. Die Einstellung wird in einer Initialisierungsdatei des IPSec-Managers 60 gespeichert
(in 3 nicht gezeigt). Als Nächstes leitet der IPSec-Manager 60 den
Richtlinienaktualisierungsprozess für die aktivierte Richtlinie
ein durch Aufrufen eines entsprechenden ACU-Agentenverfahrens und Weiterleiten
verschiedener Parameter an dieses. Diese Parameter umfassen die
Richtlinien-ID (als Inhalts-ID) und
die ID einer IPSec-ACU-Ergänzung
(ACU plug-in) (z. B. UID3 der IPSec-ACU-Ergänzung-DLL). Ein ACU-Agent 74 lädt anschließend die
spezifizierte Ergänzung
und verwendet die (in 3 nicht gezeigte) Ergänzung (plug-in)
als Schnittstelle zwischen dem ACU-Agenten 74 und dem IPSec-Manager 60,
um die ID des Servers (in dem Beispiel des SSM-Servers 20)
zu erhalten, mit dem der Aktualisierungsprozess durchgeführt werden
soll, woraufhin die Ergänzung
den Aufruf vom ACU-Agenten 74 implementiert durch Aufrufen
des IPSec-Managers 60.
Wenn die Ergänzung
keine Server-ID an den ACU-Agenten 74 zurückgibt, ändert der
Aktualisierungsprozess. Der Prozess wird ferner beendet, wenn der
Client-Anwendungsdatensatz im ACU-Datenspeicher 66 nicht
einen zugehörigen
Server-Kontodatensatz mit der spezifizierten Server-ID aufweist. Wenn
die Ergänzung
eine gültige
Server-ID zum ACU-Agenten 74 zurückgibt, wird der Richtlinienaktualisierungsprozess
fortgesetzt.
-
Bevorratung in der Mobil-Client-UI
-
Ein
Benutzer kann die Bevorratung einer mobilen Vorrichtung 10 über eine
UI einleiten (z. B. Bewegen eines Auswahlkastens über ein
Symbol und Drücken
einer Auswahltaste, wie in 14 gezeigt
ist). In einer Ausführungsform
werden keine Daten angezeigt, wenn auf der Vorrichtung keine Richtlinien
installiert sind (15). In dieser Ausführungsform
listet ein Optionsmenü in
einer UI der mobilen Vorrichtung 10 verschiedene Funktionen
auf, die ein Benutzer ausführen kann,
wobei ein Zurück-Befehl
einen Benutzer zu einem Hauptanwendungsmenü zurückbringt.
-
Um
eine erste Richtlinie zu erhalten, verbindet ein Benutzer sich mit
dem SSM-Server 20.
Aus dem Optionsmenü wählt der
Benutzer anschließend "Aktualisiere vom
Server" (16)
aus, um einen Richtlinienempfang zu starten. Die mobile Vorrichtung 10 verbindet
sich mit dem SSM-Server 20, wobei die Verbindung durch
ein VPN-Client-Passwort geschützt
ist. Wenn dies das erste Mal ist, dass die Vorrichtung verwendet
wird, muss ein Benutzer möglicherweise
ein VPN-Client-Passwort
erzeugen. Während
der Passworteingabe wird jedes Zeichen für einen Augenblick gezeigt,
bevor es zu einem Sternchen wechselt (17). Das
Drücken
von "OK" nach Eingabe der
Zeichen akzeptiert das Passwort und fährt mit dem Prozess fort. Die
Auswahl von "Abbrechen" bringt einen Benutzer
zum Client-Hauptbildschirm zurück.
Im nächsten
Bevorratungsschritt gibt der Benutzer den URL oder die IP-Adresse
des SSM-Servers 20 ein (18). In
einer Ausführungsform wird
die Server-Adresse dem Benutzer mittels eines Unternehmenssicherheits-
oder Netzwerkmanagers geliefert. Nach der Eingabe von "OK" wird die Adresse
akzeptiert und der Prozess fortgesetzt. Wie vorher bringt "Abbrechen" den Benutzer zum
VPN-Client-Hauptbildschirm zurück.
Als Nächstes
wählt der
Benutzer einen Internetzugangspunkt (IAP) für die Verbindung mit dem Internet
(oder mit einem spezifischen Einwählnetz) aus (19).
In einer Ausführungsform
zeigt das Betriebssystem einen Dialog an, wenn es erfasst, dass
eine Anwendung Internetzugang anfordert. "Auswählen" akzeptiert einen
Internetzugangspunkt, während "Abbrechen" den Benutzer zum
VPN-Client-Hauptbildschirm
zurückbringt.
Als Nächstes
verbindet sich die mobile Vorrichtung 10 mit dem SSM-Server 20.
In einer Ausführungsform
informiert ein "G" in einem Kasten
in der oberen linken Ecke der Anzeige den Benutzer darüber, dass
der GPRS-Zugang in einem mobilen Netz aktiv ist (20).
Wenn "Abbrechen" ausgewählt wird,
endet der Prozess.
-
Wenn
ein Zertifikat für
den SSM-Server 20 und Konfigurationsinformationen für den VPN-Client
nicht vorhanden sind (oder ungültig
sind), holt der Client-Initialisierungsprozess
ein Client-Konfigurationspaket vom SSM-Server 20 (20).
Ohne ein bestehendes SSM-Server-Zertifikat im ACU-Datenspeicher 66 kann
der ACU-Agent 74 nicht automatisch der Antwort und dem
Server, der diese sendet, vertrauen. Um Vertrauen aufzubauen, fordert
der ACU-Agent 74 den Benutzer auf, einen Server-Identitätscode einzugeben.
In einer Ausführungsform
fordert die Software auf der mobilen Vorrichtung 10 den
Benutzer auf, Zahlen für
einen 16-Byte-Identifikationscode oder "Fingerabdruck" eines ankommenden Zertifikats einzugeben
und zeigt die restlichen Zahlen für den Benutzer an, um sie mit
dem vollständigen
Fingerabdruck zu vergleichen. Zum Beispiel kann der Fingerabdruckcode
eine Form wie "12qwe34rtyqwe1234" aufweisen. Wenn
der Server überprüft wird,
wird dem Benutzer ein unvollständiger
Code oder eine Kette angezeigt, z. B. "12qwexxrtyqwexx34", wobei "x" ein
fehlendes Zeichen anzeigt. Um den Server zu überprüfen, muss der Benutzer dann "34" bei den beiden ersten
x und "12" bei den beiden letzten
zwei x eingeben. Die mobile Vorrichtung 10 berechnet einen Fingerabdruck
des während
der Verbindung empfangenen Zertifikats und konvertiert diesen in
eine lesbare Kette; die Vorrichtung entfernt anschließend (z.
B. durch Ändern
nach "x", "_" und dergleichen) ein oder mehrere zufällig ausgewählte Zeichen
aus der Kette und zeigt die modifizierte Kette dem Benutzer an.
Die zufällige Zeichenauswahl
kann auf die Fähigkeiten
einer mobilen Vorrichtung zugeschnitten sein. Zum Beispiel werden in
einem Mobiltelephon mit einer kleinen Tastatur nur Ziffernzeichen
zufällig
entfernt. Die Vorrichtungsfähigkeiten
können
z. B. durch den IMEI-Code für
die Vorrichtung bestimmt werden. Die Anzahl der fehlenden Zeichen in
der Kette kann ebenfalls variieren. Die Positionen der zufällig entfernten
Zeichen innerhalb des Fingerabdrucks sind verschieden für unterschiedliche
Zugangsversuche. Der ACU-Agent 74 vergleicht die vom Benutzer
eingegebenen Ziffern oder Zeichen mit den aus den 16 Bytes des empfangenen
SSM-Server-Zertifikatfingerabdrucks entfernten Zeichen. Wenn der
Code mit dem Fingerabdruck übereinstimmt,
d. h. die vom Benutzer eingegebenen Zeichen stimmen mit den aus
dem Server-Fingerabdruck
entfernten Zeichen überein,
nimmt der ACU-Agent 74 an, dass dem SSM-Server 20 vertraut
werden kann, und speichert das Server-Zertifikat in der Zertifikatdatei 48 im
IPSec-Richtlinienspeicher 40 durch Aufrufen des IPSec-Managers 60.
Die Verbindung zum SSM-Server 60 darf anschließend fortgesetzt
werden.
-
Ein
weiteres Beispiel für
die vorangehende Prozedur ist in 21 gezeigt.
Der SSM-Server 20 erzeugt einen Hash-Wert des Server-Zertifikats
und sendet diesen Hash-Wert an die mobile Vorrichtung 10 als
Fingerabdruck. Im Beispiel der 21 ist
der Fingerabdruck der 16-Byte-Hexadezimalwert 11:AF:93:B4:C8:B8:BA:CE:81:64:00:DB:9F:D5:91:59.
Vor der Richtlinienbevorra tung stellt der Netzadministrator den
Benutzer der mobilen Vorrichtung 10 den Fingerabdruck in
einer sicheren Weise zur Verfügung,
z. B. durch Postversendung einer Karte mit dem darauf aufgedruckten
Fingerabdruck. Die mobile Vorrichtung 10 berechnet den
Fingerabdruck (d. h. den Hash-Wert des Zertifikats) und zeigt den
Fingerabdruck mit vier zufällig
ausgewählten
und durch Leerzeichen ("_") ersetzten Zeichen
an. Der Benutzer geht anschließend
die vier fehlenden Zeichen ein. Der Benutzer wird somit daran gehindert,
dass das Zertifikat ohne wirkliche Überprüfung desselben zu akzeptieren.
-
Unter
Verwendung der vorangehenden Prozedur überprüft ein Benutzer das Zertifikat
eines Servers, um sicherzustellen, dass der Benutzer mit einem legitimierten
Server verbunden ist, und nicht mit einem fremden Server (wie z.
B. einem Server, der vortäuscht,
der gewünschte
Server zu sein). Diese Überprüfung wird bewerkstelligt
durch Vergleichen des im Voraus veröffentlichten Fingerabdrucks
auf dem Zertifikat mit dem Fingerabdruck, der aus dem vom Server
empfangenen Zertifikat berechnet worden ist.
-
Wie
angegeben wird der Fingerabdruckcode für den SSM-Server 20 offline
(vor der Bevorratung) dem Benutzer in verschiedenen Ausführungsformen
bereitgestellt. Der Serveradministrator veröffentlicht den Zertifikatfingerabdruck
in einer bestimmten Weise, die durch Angreifer nicht verändert werden
kann (z. B. einen Unternehmensnachrichtenbrief, eine persönliche Lieferung,
eine reguläre
Post und dergleichen). Die Client-Software des Benutzers berechnet
den Fingerabdruck und zeigt diesen anschließend dem Benutzer an, wobei
zufällige
Zeichen durch Leerzeichen (oder andere Zeichen) ersetzt sind, und
fordert den Benutzer auf, die fehlenden Zeichen einzugeben. Um hierzu
fähig zu
sein, muss der Benutzer den gezeigten unvollständigen Fingerabdruck mit dem
veröffentlichten
Fingerabdruck vergleichen. Wenn er die gültigen Zeichen eingeben kann, dann
hat er auch überprüft, dass
der Fingerabdruck der Richtige ist (ansonsten würde er nicht die fehlenden Zeichen
kennen).
-
In
wenigstens einer Ausführungsform
fordert der VPN-Client im Wesentlichen gleichzeitig (und ohne Benutzerinteraktion)
ein Zertifikat vom SSM-Server immer dann an, wenn er die mobile
Vorrichtung 10 mit einem Unternehmensnetz verbindet (wie
z. B. dem Intranet der 2). Mit anderen Worten, die
VPN-Client-Software
fügt den
obenbeschriebenen Zertifikatüberprüfungsprozess
jedem Ser verzugangsversuch hinzu.
-
Eine
Ausführungsform
der Erfindung erlaubt den Benutzern, eine Verbindung zu einer gesicherten Vorrichtung
zu bestätigen,
wenn ein Hochgeschwindigkeits-Internetdienst
von zu Hause, von Hotels, Flughäfen,
Cafes, und dergleichen erlangt wird. Zum Beispiel kann ein Benutzer
Reisen und wünschen,
die mobile Vorrichtung 10 mit einem Hochgeschwindigkeits-Internetzugangspunkt
an einem besuchten Ort zu verbinden. Ein Fingerabdruck eines Zertifikats
für einen
solchen Zugangspunkt wird über
vertrauenswürdige
Medien jedem geliefert, der den Zugangspunkt zu verwenden wünscht. In
einem Hotel kann der Fingerabdruck durch einen Rezeptionsmitarbeiter
zur Verfügung
gestellt werden. Der Fingerabdruck kann auch einem Benutzer mittels
Post zugestellt werden. Der Fingerabdruck kann in einer vertrauenswürdigen Umgebung,
die nicht einfach verändert
werden kann, wie z. B. einer verschlossenen oder schwer zugänglichen
Anschlagtafel, öffentlich
angezeigt werden. Ähnlich
der oben umrissenen Prozedur kann die mobile Vorrichtung 10 anschließend als
Teil der Verbindung mit dem Hochgeschwindigkeitszugangspunkt den
Benutzer auffordern, die Zeichen des Fingerabdrucks einzugeben.
-
In
bestimmten Ausführungsformen,
wie vorher angegeben worden ist, wird der Fingerabdruck eines Zertifikats
aus dem Zertifikat selbst berechnet, wie z. B. durch eine Hash-Funktion.
-
Nachdem
der Benutzer der Vorrichtung 10 das Zertifikat des SSM-Servers 20 überprüft hat,
fordert der SSM-Server 20 den Benutzer auf, zu bestätigen, dass
der Benutzer derjenige ist, der er zu sein beansprucht, und dass
ein Konto für
ihn eingerichtet worden ist. Der Benutzer wird aufgefordert, einen
Benutzernamen und ein Passwort für
den Zugang zum SSM-Server 20 einzugeben (22).
In einigen Ausführungsformen
können Token
oder einmalige Passwörter
verwendet werden. Nachdem der SSM-Server 20 und die Vorrichtung 10 einander
authentisiert haben, speichert die Vorrichtung 10 das Zertifikat
des SSM-Servers 20 und empfängt Informationen über verfügbaren Inhalt
(23). Der ACU-Agent 74 speichert eine
Referenz auf ein empfangenes Zertifikat im Server-Kontodatensatz 82 (4)
des ACU-Datenspeichers 66 (3) zusammen
mit anderen Client-Konfigurationsinformationen, die vom SSM-Server 20 empfangen
worden sind. Der Benutzer erhält eine
Liste verfügbaren
Inhalts (24), die (in diesem Beispiel)
eine neue VPN-Richtlinie ("generic*") enthält, von
der VPN-Richtlinienmanageranwendung 26,
sowie ein ACU-Zertifikat ("ACUcert"). Das ACU-Zertifikat
ist ein Vorrichtungszertifikat für
den Benutzer, das verwendet wird, um die Vorrichtung 10 für den SSM-Server 20 zu
authentisieren. Die Vorrichtung 10 lädt den Inhalt herunter (25).
Wenn das Herunterladen des Inhalts abgeschlossen ist, zeigt die
Vorrichtung 10 die verfügbaren
VPN-Richtlinien an (26; es sind keine Zertifikate
gezeigt). Der Benutzer kann nun die neue Richtlinie (neuen Richtlinien)
verwenden durch Verbinden mit einem VPN-Netzübergang.
-
Zu
diesem Zeitpunkt hat die Vorrichtung 10 eine Richtlinie
empfangen, die eine Zertifikatseintragung erfordert. Mit anderen
Worten, die Richtlinie weist noch kein angefügtes Zertifikat auf, das für die Authentisierung
verwendet werden kann. Wenn ein Client-Zertifikat nicht vorhanden
ist oder ungültig
ist, fährt
der Client-Initialisierungsprozess
mit einer Client-Zertifikateintragung fort.
-
Der
VPN-Client der Vorrichtung 10 prüft zuerst, ob die VPN-Richtlinie
eine Zertifikatauthentisierungsrichtlinie ist, und ob das Zertifikat
an der Richtlinie angehängt
ist. Wenn die Richtlinie kein gültiges
Zertifikat enthält,
wird der Benutzer gefragt, ob er ein Zertifikat einzutragen wünscht (27).
Bei Auswählen
von "Ja" wird dem Benutzer
eine UI präsentiert,
die die Erzeugung einer Zertifikatanforderung anzeigt (28).
Diese beginnt mit der Erzeugung eines Öffentlich/Privat-Schlüsselpaares
für die
Client-Anwendung, sofern nicht ein Schlüsselpaar der benötigten Länge bereits
erzeugt worden ist. In einer Ausführungsform verwenden alle Server-Konten,
die der ACU-Agent 74 für
eine Client-Anwendung erzeugt, den gleichen Satz von Schlüsselpaaren.
Der Satz enthält
ein einzelnes Schlüsselpaar
von jeder verschiedenen Schlüssellänge, die
von den Servern benötigt
werden. Die Schlüsselpaare
werden durch Aufrufe an den IPSec-Manager 60 erzeugt. Die Länge der
erzeugten Schlüssel
wird durch einen Parameter bestimmt, der in der vom SSM-Server 20 geholten
Client-Konfigurationsinformation
enthalten ist und im entsprechenden ServerAccount-Datensatz 82 im
ACU-Datenspeicher 66 gespeichert ist.
-
Als
Nächstes
kann der ACU-Agent 74 Altauthentisierungsinformationen
(Benutzername und Passwort) von dem (nicht gezeigten) Benutzer anfordern.
Die Altauthentisierungsinformationen werden verwendet, um die zum
SSM-Server 20 gesendete Zertifikatseintragungsanforderung
zu authentisieren. Außerdem
kann der spezifizierte Benutzername mit den in einem Client-Konfigurationspaket
enthaltenen Benutzeridentitätsinformationen
kombiniert werden, oder mit einer Nachrichtentransaktion, die zum
Herunterladen eines ACU-Client-Konfigurationspaketes
(z. B. des ACU-Client-Zertifikats, das in der nachfolgenden ACU-Kommunikation verwendet
wird) zum ACU-Client verwendet, um die Benutzeridentität zu erzeugen,
die im Client-Zertifikat zu verwenden ist.
-
Sobald
der Benutzername angefordert ist, das Schlüsselpaar bereit ist und der
zurückgegebene Schlüsselpaaridentifizierer
im geeigneten ServerAccount-Datensatz 82 im
ACU-Datenspeicher 66 gespeichert ist, erhält der ACU-Agent 74 eine
Mail mit gesteigerter Privatsphäre
(PEM), die mittels PKCS#10-Zertifikatanforderung
codiert ist, für
das erzeugte Schlüsselpaar
und liefert die Benutzeridentität
durch Aufrufen des IPSec-Managers 60. Im Fall eines Client-Zertifikats wird
das Fordere-Passwort-Attribut in der Zertifikatanforderung leer
gelassen. Der IPSec-Manager 60 prüft anschließend, ob die angeforderte Zertifikatanfrage
bereits im IPSec-Richtlinienspeicher 40 existiert (z. B.
zwischengespeichert ist). Wenn die Anfrage nicht existiert, erzeugt der
IPSec-Manager 60 diese unter Verwendung eines (in 3 nicht
gezeigten) PKCS#10-Moduls.
-
Nach
der Erzeugung der Zertifikatanforderung speichert der IPSec-Manager 60 (zwischenspeichert) die
Anforderung an den IPSec-Richtlinienspeicher 40. Der Anforderungszwischenspeicher
wird verwendet, um die erneute Erzeugung von Zertifikatanforderungen
zu vermeiden, deren Eintragung ein oder mehrmals mit einem anhängigen Status
abgeschlossen ist. Der ACU-Agent 74 konstruiert anschließend eine
ACU-Anforderungsnachricht, die die PKCS#10-Anforderung enthält. Die
Vorrichtung 10 sendet anschließend die Nachricht zum SSM-Server 20,
für die
Zertifikatseintragung. Der Benutzer wird aufgefordert, einen Internetzugangspunkt (29)
auszuwählen.
Der ACU-Agent 74 speichert anschließend den zurückgegebenen
Eintragungsstatus (Erfolg, Fehlschlag, anhängig) im entsprechenden ServerAccount-Datensatz 82 im
ACU-Datenspeicher 66. 30 zeigt
eine UI, die den Empfang eines Zertifikats durch die Vorrichtung 10 anzeigt.
Wenn die Zertifikatseintragung erfolgreich ist, speichert der ACU-Agent 74 das
zurückgegebene
Client-Zertifikat im IPSec-Richtlinienspeicher 40 durch
Aufrufen des IPSec-Managers 60. Der ACU-Agent 74 speichert
ferner eine Referenz auf das gespeicherte Zertifikat im entsprechenden
ServerAccount-Datensatz 82 im ACU-Datenspeicher 66.
Wenn der SSM-Server 20 einen Zertifikateintragungsrückgabecode
zurückgibt,
der einen Erfolg oder einen Fehlschlag (d. h. keine anhängige Anfrage)
anzeigt, löscht
der ACU-Agent 74 die entsprechende Zertifikatanforderung
aus dem IPSec-Manager 60.
-
Der
automatisierte Zertifikateintragungsprozess wird eingeleitet, wenn
ein Benutzer eine Richtlinie über
die IPSec-UI aktiviert. Die Richtlinienaktivierungsanfrage fließt von der
IPSec-UI zu der IPSec-Anwendungsprogrammierungsschnittstelle (API)
und weiter zum IPSec-Manager 60. Wenn der IPSec-Manager 60 feststellt,
dass die aktivierte Richtlinie eine Zertifikatseintragung erfordert,
gibt er einen entsprechenden Rückgabecode
an die IPSec-API aus, ohne die Richtlinie zu aktivieren. Bei Empfang
eines Rückgabecodes,
der die Notwendigkeit einer Zertifikatseintragung anzeigt, stoppt
die IPSec-API den Richtlinienaktivierungsprozess und gibt den Rückgabecode
an die IPSec-UI zurück.
Bei Empfang eines Rückgabecodes,
der die Notwendigkeit einer Zertifikatseintragung anzeigt, gibt
die IPSec-UI zuerst einen Bestätigungsdialog
aus, der dem Benutzer erlaubt, den nachfolgenden Eintragungsprozess
zu akzeptieren oder zurückzuweisen.
Wenn der Benutzer die Eintragung akzeptiert, fährt die IPSec-UI fort durch Öffnen eines
Fortschrittsdialogs, der so lange gezeigt wird, wie der Eintragungsprozess
andauert. Der Fortschrittsdialog erlaubt dem Benutzer auch, den
andauernden Eintragungsprozess zu stoppen. In einer Ausführungsform
wird bei Einleiten des Richtlinienaktivierungsprozesses (vor den
obigen Bestätigungs-
und Fortschrittsdialogen) das VPN-Client-Passwort angefordert und während des
Zertifikatseintragungsprozesses nicht erneut angefordert.
-
Der
Benutzer kann zu anderen Anwendungen wechseln, während der Zertifikateintragungsprozess andauert.
Der Fortschrittsdialog ist nur in der IPSec-UI sichtbar, jedoch
erscheinen Dialoge, die eine Benutzerinteraktion während des
Aktualisierungsprozesses erfordern, oben auf den anderen Anwendungen,
auf die der Benutzer zugreift.
-
Nachdem
der Benutzer die Eintragung in der IPSec-UI erneut akzeptiert, fährt der
Eintragungsprozess durch Aufruf des ACU-Agenten 74 fort,
um eine automatisierte Zertifikatseintragung für die spezifizierte Richtlinie
durchzuführen.
Der Aufruf enthält
als Parameter die ID einer Ergänzung,
die im Eintragungsprozess zu verwenden ist (z. B. eine IPSec-ACU-Ergänzung, oder
eine Schnittstelle zum IPSec-Manager 60 für den ACU-Agenten 74)
und die ID der Richtlinie, für
die die Zertifikatseintragung durchzuführen ist. Aus dem Blickwinkel
des ACU-Agenten 74 ist die Richtlinien-ID ein client-spezifischer
Parameter, z. B. kann ein Benutzer der Vorrichtung 10 zu
vielen Gruppen (im Folgenden diskutiert) gehören, jedoch hat der Benutzer
eine Richtlinien-ID. Als Nächstes
ruft der ACU-Agent 74 die IPSec-ACU-Ergänzung auf, um eine Liste von
Eintragungs-Servern für
die Richtlinie zurückzugeben.
Die IPSec-ACU-Ergänzung
implementiert den Aufruf durch Aufrufen des IPSec-Managers 60.
Eine Server-Adresse in der zurückgegebenen
Liste zeigt den Server (z. B. den Server 20) an, wo die
eine oder die mehreren Zertifikatanfragen hinzusenden sind. Eine
einzelne VPN-Richtlinie kann jedoch auf mehrere Zertifikate Bezug
nehmen, wobei jedes Zertifikat mit einem anderen Server eingetragen werden
kann.
-
Als
Nächstes
nimmt im Eintragungsprozess der ACU-Agent 74 die zurückgegebenen
Serveradressen einzeln und prüft,
ob eine Datenübertragung
mit dem entsprechenden Server geeignet initialisiert ist. Falls nicht,
fordert der ACU-Agent 74 den Benutzer auf, den für den Datenaustausch
mit dem Server zu verwendenden IAP auszuwählen (z. B. 29).
Anschließend
führt der
ACU-Agent 74 einen Client-Initialisierungsprozess für den Server
durch. Sobald die Kommunikation mit dem Server geeignet initialisiert
ist, ruft der ACU-Agent 74 die Ergänzung auf, um die Zertifikatanforderungen
für die
spezifizierte Richtlinie-Server-Kombination zurückzugeben. Die dem Server (z.
B. dem SSM-Server 20) zugeordnete ACU-Identität ist ebenfalls im Aufruf enthalten.
-
Wenn
der IPSec-Manager 60 eine Anfrage zum Erzeugen und Zurückgeben
von Zertifikatanforderungen für
ein bestimmte Richtlinie empfängt,
behandelt er die Anforderung. Jede Zertifikatanforderung in der
Liste, die vom IPSec-Manager 60 an den ACU-Agenten 74 zurückgegeben
wird, enthält
eine PEM-codierte PKCS#10-Zertifikatanforderung und einen Anforderungsidentifizierer.
Die Anforderungsidentifizierer werden von Client-Anwendungen definiert
und zu den Anwendungen (über
die entsprechenden ACU-Schnittstellen) in Eintragungsantworten zurückgeleitet.
Im Fall des VPN-Clients ist der Anforderungsidentifizierer eine
Kombination einer Subjektidentität
und einer Schlüsselpaarinformation,
die der VPN-Client verwenden kann, um die Richtlinie und den Host
zu finden, dem eine bestimmte Eintragungsantwort zugeordnet ist.
Der ACU-Agent 74 erzeugt anschließend eine ACU-Anforderungsnachricht,
die alle Zertifikatsanforderungen umfasst, die an den gewissen Server
gerichtet sind, und sendet die Anforderungsnachricht.
-
Wenn
eine Antwort vom Server empfangen wird, analysiert der ACU-Agent 74 die
Antwort und leitet die zurückgegebenen
Zertifikateintragungsantworten einzeln an die IPSec-ACU-Ergänzung weiter.
Die Ergänzung
leitet die Antworten an den IPSec-Manager 60 weiter.
-
Eine
Eintragungsantwort umfasst eine Richtlinien-ID, eine Zertifikatanforderungs-ID und einen Statuscode,
und kann ein Zertifikat enthalten. Das Zertifikat ist nur dann vorhanden,
wenn der Statuscode eine erfolgreiche Eintragung anzeigt. Ein Zertifikat
fehlt, wenn der Statuscode einen Fehlschlag anzeigt, oder anzeigt, dass
eine Eintragungsanforderung anhängig
ist.
-
Wenn
der IPSec-Manager 60 eine Eintragungsantwort empfängt, speichert
er das Zertifikat (falls zurückgegeben)
im IPSec-Richtlinienspeicher 40 und speichert den Eintragungsstatus
im entsprechenden Eintragungsinformationsfeld in der VPN-Richtliniendatei 46.
Das entsprechende Eintragungsinformationsfeld wird entsprechend
dem zurückgegebenen
Zertifikatsanfragenidentifizierer gefunden.
-
Wenn
der Eintragungsstatuscode einen Erfolg oder einen Fehlschlag anzeigt,
jedoch keine anhängige Anforderung,
löscht
der IPSec-Manager 60 die zwischengespeicherte Zertifikatanforderung
aus dem IPSec-Richtlinienspeicher 40.
-
Wenn
der ACU-Agent 74 alle von der IPSec-ACU-Ergänzung zurückgegebenen
Zertifikatsanforderungen für
eine bestimmte Richtlinie verarbeitet hat und die zurückgegebenen
Zertifikate an die Ergänzung
zurückgegeben
hat, gibt er einen Erfolg/Fehler-Code an die IPSec-API zurück, die
den Zertifikateintragungsprozess eingeleitet hat. Die IPSec-API
gibt anschließend
den Code an die IPSec-UI zurück.
-
Wenn
die IPSec-UI einen Fehlerrückgabecode
als Antwort auf einen Zertifikateintragungsaufruf empfängt, zeigt
sie einen Dialog an, der den Benutzer unterrichtet, dass die Eintragung
fehlgeschlagen ist und dass die Richtlinie nicht aktiviert werden
kann. Wenn die IPSec-UI einen Erfolgsrückgabecode empfängt, zeigt
sie einen Dialog an, der den Benutzer unterrichtet, dass die Eintragung
erfolgreich war und die Richtlinie nun aktiviert werden kann. In
diesem Dialog kann der Benutzer die Richtlinie aktiviert lassen
oder die Aktivierung aufheben. Wenn die Aktivierung fortbesteht,
wird das VPN-Client-Passwort nicht erneut angefordert, da es erhalten
wurde, bevor der Eintragungsprozess gestartet wurde.
-
Aktivieren
einer Richtlinie
-
Nachdem
eine Richtlinie heruntergeladen worden ist, muss der Benutzer diese
aktivieren. In wenigstens einer Ausführungsform aktiviert ein Benutzer
eine Richtlinie durch Auswählen
der Richtlinie (31) und anschließendes Wählen von "Aktivieren" in einem Optionsmenü (32).
Die Richtlinienaktivierung ist durch das VPN-Client-Passwort geschützt (33).
Für eine
Zertifikatsrichtlinie entriegelt dieses Passwort ferner die Privatschlüsselfunktionen.
Der Benutzer wählt
den Internetzugangspunkt (IAP) aus, den er bevorzugt, um sich mit
dem Unternehmensnetz zu verbinden (34). Sobald
der Benutzer den IAP ausgewählt
hat, leitet die Vorrichtung eine Verbindung zu einem VPN-Netzübergang
ein, indem sie dem Benutzer anzeigt, dass eine GPRS-Verbindung für die "vordefinierte generische" Richtlinie aktiv
ist; ein farbiger Punkt 110 zeigt an, dass die Einleitung
im Gange ist (35). Bei erfolgreicher Einrichtung
einer Verbindung ist der VPN-Tunnel für die Verwendung durch irgendeine
Anwendung bereit, wobei die Benutzerschnittstelle meldet, dass die "vordefinierte generische" Richtlinie aktiv
ist, indem sie die Farbe des Punktes 110 z. B. nach Grün ändert. Der
Benutzer kann anschließend
sicher auf seine Daten im Intranet zugreifen durch Auswählen einer
geeigneten Anwendung. Der Benutzer kann die VPN-Tunnelverbindung
deaktivieren durch Zurückkehren
zur Richtlinienanwendung und Auswählen von "Deaktivieren" aus dem Optionsmenü.
-
In
mehreren Ausführungsformen
enthält
ein SSM-Server verschiedene Komponenten und eine Managementstation.
Diese Komponenten können
zu einer einzelnen Plattform kombiniert sein, oder auf mehrere Plattformen
verteilt sein. In 5 ist der SSM-Server 20 innerhalb
eines gestrichelten Kastens mit einem Eintragungs-Netzübergang
(EGW) 22, einem Web-Server 90, einer Datenbank 98 und
einer internen CA28 gezeigt, um anzuzeigen, dass diese Komponenten
in wenigstens einigen Ausführungsformen
auf einer einzelnen Vorrichtung angesiedelt sind. In anderen Ausführungsformen
sind einige oder alle dieser Komponen ten auf separaten Vorrichtungen
angesiedelt. In weiteren anderen Ausführungsformen können andere
Komponenten (einschließlich
z. B. eines E-Mail-Netzübergangs 32,
eines RADIUS-Servers 30 oder einer VPN-Richtlinienmanageranwendung 26)
auf der gleichen Vorrichtung wie der SSM-Server 20 angesiedelt sein.
-
Die
Datenbank 98 ist eine eingebettete relationale Datenbank,
die Informationen über
die Benutzer, Benutzergruppen, Client-Richtlinien, andere Dateien
und deren Eigenschaften speichert. Der ACU-Client greift auf die
SSM-Inhaltsobjekte in der Datenbank 98 mit logischen Identifizierern
zu wie z. B. Acu_config_db<name>, und führt eine
Zertifikatseintragung unter Verwendung logischer Identifizierer
durch, wie z. B. Acu_cert_db<name>, wobei diese Identifizierer
vom SSM-Server 20 erkannt und interpretiert werden. Die
Endbenutzer des SSM-Servers 20 authentisieren sich selbst,
bevor sie Zugang zur Information oder Funktionalität des SSM-Servers 20 erhalten.
Die Authentisierung beruht auf der Verwendung von Authentisierern
(Authentisierungsdienstleistern). Eine Benutzeridentität in der
Datenbank 98 ist ein Typ einer USERFQDN (Benutzer + vollständig qualifizierter
Domänenname,
z. B. userid@domain). Weitere Informationen von den Benutzern können den
Familiennamen, den Vornamen, den Anmeldenamen, ein Passwort, eine
E-Mail-Adresse, eine Mobiltelephonnummer oder eine IMEI, einen Authentisierungs-Server,
Benutzergruppen, Selbstbevorratungsregeln und Abgleichregeln enthalten.
-
Der
SSM-Server 20 bestimmt, wo ein Benutzer identifiziert wird.
Es gibt wenigstens drei unterschiedliche Typen von Authentisierern.
Der Erste ist ein SSM-Authentisierer,
bei dem die Benutzer-ID/Passwort-Kombinationen mit einer Datenbank 98 abgeglichen
werden. Nur eine Instanz dieses Authentisierertyps kann zu einem
Zeitpunkt existieren. Der zweite Typ von Authentisierer ist ein
RADIUS-Authentisierer,
bei dem Benutzer-ID/Passwort-Kombinationen mit einem RADI-US-Server 30 abgeglichen
werden. Die Passwörter
können entweder
normale Passwörter
oder einmalige Passwörter
sein, die mit Token-Karten (wie z. B. SecurID) erzeugt werden. Mehrere
Instanzen dieses Authentisierertyps können zu einem Zeitpunkt existieren.
-
Der
dritte Typ von Authentisierer ist ein Zertifikatauthentisierer,
bei dem der Benutzer ein gültiges
Zertifikat und eine Signatur präsentieren
muss. Die Zertifikat gültigkeit
erfordert, dass sie durch einen vertrauenswürdigen CA signiert ist, und
dass sie nicht abgelaufen oder zurückgezogen worden ist. Wenn
die Signatur mit dem Zertifikat gezeichnet wurde, wird der Benutzer
als authentisiert betrachtet. Die E-Mail-Adresse in dem Subjekt-Alternativname-Erweiterungsfeld
von rfc822Name wird verwendet, um den Benutzer auf eine SSM-Benutzer-ID
abzubilden. Im Zertifikatanforderungsfeld ist eine Identität des Zertifikatssubjekts
in das Subjekt-Alternativname-Erweiterungsfeld des ACU-Client-Zertifikats
als ein rfc822Name eingetragen (d. h. eine E-Mail-Adresse in der
Form "localpart@domain"). Die E-Mail-Adresse
ist aus einer Benutzername-ID konstruiert, die vom Benutzer abgefragt
worden sind, und dem vollständig
qualifizierten Domänennamen,
der im FQDN-Element spezifiziert ist, wobei der Wert als Domänenabschnitt
in einer E-Mail-Adresse verwendet wird, die im Subjekt-Alternativname-Erweiterungsfeld
des ACU-Client-Zertifikats gespeichert ist. Der gewöhnliche Name
des Subjekt-DN ist der gleiche wie der lokale lokale des rfc822Name.
Wenn ein Subjekt-DN-Suffix in einem Benutzerzertifikat vorhanden
ist, das für
den Zugriff auf einen VPN-Netzübergang
verwendet wird, überschreibt
es einen entsprechenden Eintragungsdienstkonfigurationswert. Ein
Kennzeichen gibt an, ob ein Benutzerzertifikat, das für den Zugriff
auf einen VPN-Netzübergang
verwendet wird, die Benutzeridentität als einen rfc822Name im Subjekt-Alternativname-Erweiterungsfeld
des Zertifikats enthalten sollte. Mögliche Werte sind 0 = nein
und 1 = ja. Wenn dieser Wert vorhanden ist, überschreibt er ebenfalls den
entsprechenden Eintragungsdienstkonfigurationswert. Der vollständig qualifizierte
Domänenname
(FQDN), der in dem Wert rtc822Name zu verwenden ist, wenn die Benutzeridentität enthalten
ist, ist ein rfc822Name im Subjekt-Alternativnamen-Erweiterungsfeld
des Zertifikats. Wenn dieser Wert vorhanden ist, überschreibt
er ebenfalls den entsprechenden Eintragungsdienstkonfigurationswert.
Die erwartete Länge
des privaten Schlüssels,
dessen entsprechender öffentlicher
Schlüssel
in dem Benutzerzertifikat enthalten ist, das mit diesem VPN-Netzübergang
verwendet wird, kann ebenfalls bereitgestellt werden. Wenn dieser
Wert vorhanden ist, überschreibt
er ebenfalls den entsprechenden Eintragungsdienstkonfigurationswert.
-
Jeder
Authentisierer besitzt einen Namen und eine variierende Anzahl von
Attributen, die vom Typ des Authentisierers abhängen. In wenigstens einer Ausführungsform
unterstützen
alle Authentisiererimplementierungen eine gemeinsame Java-Schnittstelle,
die Authentisiererschnittstelle.
-
Die
Zuordnung der Authentisierungsanforderungen zu Authentisierern beruht
auf den gelieferten Zeugnissen (Benutzer-ID/Passwort oder ein Zertifikat/Signatur),
einer Abbildung der Authentisierer auf Benutzer, und einen Satz
von Selbstbevorratungsregeln. Wenn der Benutzer, der die Authentisierungsanforderung stellt,
einen Datensatz in der SSM-Datenbank besitzt, wird der in diesem
Datensatz spezifizierte Authentisierer verwendet, um den Benutzer
zu authentisieren. Wenn der Datensatz keinen Authentisierer spezifiziert,
schlägt die
Authentisierung fehl.
-
Wenn
der Benutzer, der die Authentisierungsanforderung stellt, keinen
Datensatz in der SSM-Datenbank besitzt, wird die Authentisierung
entsprechend einem Satz von Selbstbevorratungsregeln durchgeführt. In
einer Ausführungsform
bildet eine Selbstbevorratungsregel gemeinsam drei Informationsstücke ab:
eine Domänen-ID,
einen Authentisierer und eine Benutzergruppe. Eine Domänen-ID wird
aus dem Benutzernamen extrahiert, der in der Authentisierungsanforderung
enthalten ist, und wird mit den für die Selbstbevorratungsregeln
definierten Domänen-IDs
verglichen. Wenn eine passende Regel gefunden wird, wird der in
der gefundenen Regel spezifizierte Authentisierer verwendet, um
den Benutzer zu authentisieren. Wenn keine passende Regel gefunden
wird, schlägt
die Authentisierung fehl.
-
SSM-Komponenten,
die auf andere Komponenten ohne eine Endbenutzerentität zugreifen
(z. B. ein PKI-Server, der eine CRL (Zertifikatrückziehungsliste) vom SSM-Server 20 anfordert),
muss ebenfalls authentisiert sein. Dies beruht auf einem geteilten
Geheimnis, das vom Systemadministrator beim Installieren der Komponenten
mitgeteilt wurde.
-
Wenn
ein Endbenutzer erfolgreich mit einer Selbstbevorratungsregel authentifiziert
ist (z. B. wenn kein Benutzerdatensatz in der Datenbank 98 vorhanden
ist), wird automatisch ein neuer Benutzerdatensatz in der Datenbank 98 erzeugt.
Der neue Benutzerdatensatz wird automatisch einer Benutzergruppe
zugeordnet, die als Vorgabegruppe in der Selbstbevorratungsregel
spezifiziert ist, die zum Authentisieren des Benutzers verwendet
wurde. Außerdem
wird der neue Benutzerdatensatz dem Authentisierer zugeordnet, der
zum Authentisieren des Benutzers verwendet wurde.
-
Eine
Vorgabebenutzergruppe kann eine beliebige Anzahl von Inhaltseinträgen aufweisen,
die ihr zugeordnet sind, wobei der Inhalt somit automatisch den
Benutzern zugeordnet werden kann. Die Benutzer können anschließend Inhalt
vom SSM-Server 20 selbst dann erhalten, wenn der Administrator
keine Benutzerinformationen für
den SSM-Server 20 erzeugt oder importiert hat.
-
Sobald
ein Benutzer mit dem SSM-Server 20 verbunden ist, kann
er (entweder ein Client-Benutzer oder ein Administrator) den SSM-Server 20 gemäß den in
der Datenbank 98 definierten Freigaben nutzen. Die Freigabeinformationen
sind ebenfalls in der Datenbank 98 für Benutzer gespeichert, die
gegenüber
einem externen Authentisierungs-Server authentisiert worden sind.
In wenigstens einer Ausführungsform
sind Nutzungsfreigaben im SSM als Rollen definiert. Eine Rolle ist
eine Definition der Objekte, auf die die Benutzer zugreifen dürfen, und
der Maßnahmen,
die sie durchführen
können,
wenn sie sich in dieser Rolle befinden. In einer Ausführungsform
unterstützt
der SSM-Server 20 vier unterschiedliche Typen von Benutzergruppen:
Systemmanager, Benutzermanager, Inhaltsmanager und Client-Benutzer.
Jeder dieser Gruppentypen besitzt eine zugeordnete Rolle, die von
allen aktuellen Gruppen dieses Typs sowie von allen Benutzern, die
zu diesen Gruppen gehören,
vererbt werden. Ein Benutzer, der zu mehreren Benutzergruppen mit
unterschiedlichen Rollen gehört,
vererbt die am wenigstens eingeschränkte Rolle. In einer Ausführungsform
sind die Vorgabebenutzergruppentypen und deren Rollen in der Konfiguration
des SSM-Servers oder der ACU-Konfiguration definiert,
und können über die
graphische Benutzerschnittstelle (GUI) oder die Befehlszeilenschnittstelle
(CLI) des Managers des SSM-Servers 20 nicht verändert werden.
Durch Ändern
der Konfiguration des SSM-Servers 20 können jedoch die den Vorgabegruppentypen
zugeordneten Rollen geändert
werden.
-
Komponenten,
die auf Funktionen des SSM-Servers 20 über das Netz ohne eine Benutzeridentität zugreifen,
besitzen eine spezielle Komponentenrolle, die verwendet wird, um
zu definieren, was diese Komponenten tun können. Außerdem gibt es eine spezielle
interne Rolle, die intern vom SSM-Server 20 verwendet wird,
wobei diese Rolle auf alle Objekte zugreifen kann und alle Operationen
ausführen
kann. Obwohl VPN-Client-Software-Installationspakete und VPN-Richtlinien/Profile
Typen von Inhalt sind, die vom SSM gehandhabt werden, ist der SSM
nicht auf diese Inhaltstypen beschränkt.
-
Der
Inhalt, den der SSM-Server 20 liefert, wird nicht unbedingt
innerhalb des SSM-Servers 20 selbst erzeugt. Vielmehr kann
Inhalt in externen Systemen erzeugt und als Dateien in den SSM-Server 20 importiert werden.
Innerhalb des SSM-Servers 20 werden die Dateien in Inhaltseinträge mit einem
bestimmten Mehrzweck-Internet-Mail-Erweiterungstyp (MIME-Typ) konvertiert.
Die Importoperation kann von einer CLI des SSM-Servers 20 gestartet
werden. In einigen Ausführungsformen
müssen
die zu importierenden Dateien lokal durch normale Dateisystemoperationen
zugänglich
sein.
-
Der
SSM-Server 20 integriert die Richtlinienmanageranwendung
(PMA) 26, indem er erlaubt, die Richtlinien und Profile,
die von der PMA 26 erzeugt und gepflegt werden, zum SSM-Server 20 zu
exportieren. Diese Operation wird von innerhalb der PMA 26 eingeleitet.
Die PMA 26 kommuniziert mit dem SSM-Server 20 über z. B. eine JAVA-Schnittstelle,
die für
diesen Zweck ausgelegt ist.
-
SSM-Administratoren
können
Benutzer- und Benutzergruppeninformationen von externen Systemen in
den SSM-Server 20 importieren. Zusätzlich zu einfachen Benutzer-
und Benutzergruppeninformationen können auch Benutzer-zu-Gruppe- und Gruppe-zu-Gruppe-Abbildungsinformationen
in den SSM-Server 20 importiert werden. Zum Beispiel können Administratoren
Benutzer und Benutzergruppen erzeugen, Benutzer und Benutzergruppen
suchen, Benutzer und Benutzergruppenattribute modifizieren, Benutzer
und Benutzergruppen verschieben und löschen, Benutzer Benutzergruppen
und Inhaltseinträgen
zuordnen, und Benutzergruppen anderen Benutzergruppen zuordnen (um
z. B. eine Gruppenhierarchie zu bilden).
-
6 zeigt
verschiedene Benutzergruppen innerhalb eines Unternehmens. Die Benutzergruppen können eine
Hierarchie bilden, in der eine einzelne Gruppe 112, 114, 116 oder 118 eine
Stammgruppe 110 besitzen kann. Die Gruppenhierarchie bildet
auch eine logische Vererbungshierarchie. Tochtergruppen 112, 114, 116, 118 erben
bestimmte Eigenschaften von ihrer Stammgruppe 110. Zum
Beispiel werden die einer Gruppe 110 zugeordneten Inhaltseinträge indirekt
auch deren Tochtergruppen 112, 114, 116, 118 zugeordnet.
Am Ende der Vererbungshierarchie stehen Benutzer, die Eigenschaften
von den Gruppen erben, denen sie angehören.
-
Die
Gruppe 110 in 6 ist einer einzelnen Richtlinie
und einem einzelnen Benutzer zugeordnet. Aufgrund des Vererbungsmechanismus
(Verkaufsabteilung erbt von Büro
London, welches vom Unternehmenshauptquartier erbt) weist die Gruppe
der Benutzer 116 jedoch andere zugeordnete Richtlinien
auf als die Gruppen 114 und 118. Paul Boss weist
eine zugeordnete Richtlinie auf, die Unternehmenshauptquartierrichtlinie, durch
die Unternehmenshauptquartier-Gruppe 110. Mary Scary befindet
sich im Büro
London und besitzt zwei zugeordnete Richtlinien, nämlich Unternehmenshauptquartier 110 und
London 112. Tim Tooth arbeitet im Verkaufsbüro London
und besitzt drei zugeordnete Richtlinien: Unternehmenshauptquartier 110,
London 112 und Verkaufsabteilung 116.
-
Wenn
ein Inhaltseintrag einer Benutzergruppe 110 zugeordnet
wird, wird der Eintrag indirekt auch allen Benutzern und Gruppen
zugeordnet, die der Gruppe oder irgendeiner ihrer Tochtergruppen
angehören. Diese
indirekte Zuordnung wird zur Laufzeit durch die Anwendungslogik
erzwungen, die die Gruppenhierarchie von unten nach oben durchläuft. Wenn
ein Inhaltseintrag gelöscht
wird, werden auch alle seine Zuordnungen zu Benutzern und Benutzergruppen
gelöscht.
-
Zertifikate
des EGW 22 (2, 5) für die ACU-Authentisierung
werden von der internen SSM-Zertifizierungsbehörde (CA) 28 ausgegeben.
EGW 22 kann ebenfalls Zertifikate für die VPN-Authentisierung von der
internen CA 28 ausgeben. Alternativ (oder zusätzlich)
kann EGW 22 mit externen CAs kommunizieren, die als eine
Registrierungsbehörde
(RA) für
externe CAs und als Kontrollpunkt für Client-Zertifikateintragungsanforderungen
arbeiten, und kann Eintragungsanforderungen an einen geeigneten
CA unter Verwendung von SCEP (einfaches Zertifikateintragungsprotokoll)
oder CRS (Zertifikatanforderungssyntax) weiterleiten. In einigen
Ausführungsformen
stellt EGW 22 eine Eintragungsprotokollkonvertierung zur
Verfügung.
-
In
verschiedenen Ausführungsformen
arbeitet der Web-Server 90 als eine externe Schnittstelle
zum SSM-Server 20. Eine mobile Vorrichtung 10 sendet
eine Zertifikateintragungsanforderung zum Web-Server 90, der
diese zum EGW 22 weiterleitet. Die mobile Vorrichtung 10 verbindet
sich ferner mit dem Web-Server 90 für automatische Inhaltsaktualisierungen
von der SSM-Datenbank 98. Eine VPN-Richtlinienmanageranwendung 26 exportiert
Client-Richtlinien (oder Profile) zum Web-Server 90, der
diese in der SSM-Datenbank 98 speichert. Wie oben angegeben
ist, kann das SSM-System eine Anzahl von Server- und Client-Komponenten umfassen.
-
Der
SSM-Server 20 verwendet das Protokoll des Fernauthentisierungs-Einwahl-Benutzerdienstes (RADIUS,
RFC2138), um mit externen Authentisierungs-Servern zu kommunizieren. Dieses Protokoll
wird über
das Benutzerdatagrammprotokoll (UDP) transportiert.
-
In
einigen Ausführungsformen
ist der SSM-Server 20 die zentrale Komponente im SSM-System,
und die einzige Komponente, die auf die interne Datenbank oder auf
externe Authentisierungs-Server zugreift.
-
EGW 22 stellt
SSM-Öffentlichschlüssel-Infrastrukturdienste
zur Verfügung:
Zertifikat-EGW (Eintragungsnetzübergang) 22 und
Zertifikate für
von der internen SSM-Zertifizierungsbehörde 28 ausgegebenen ACU-Authentisierung.
Zertifikate für
die VPN-Authentisierung können
von der internen SSM-CA 28 und/oder externen CAs kommen.
In einigen Ausführungsformen
können
nur Klassen des SSM-Servers 20 direkt auf EGW 22 zugreifen,
wobei andere Komponenten (z. B. Managementanwendungen, Web-Servlets)
auf EGW 22 nur über
die Managementschnittstellen des SSM-Servers 20 zugreifen.
-
Das
EGW 22 verwendet den SSM-Server 20, um seine beständigen Daten
z. B. Zertifikate, CRLs und dergleichen) zu speichern, sowie um
Zertifikateintragungsanforderungen zu authentisieren und zu autorisieren.
Der EGW-Server 22 kommuniziert mit dem SSM-Server 20.
-
Der
SSM-Server 20 weist eine GUI und/oder eine CLI auf, um
eine Management- und
Administratorschnittstelle für
SSM-Server-Managerfunktionen bereitzustellen.
-
Der
SSM-Server 20 bietet zwei Schnittstellen, die zum Importieren
von Richtlinien, Profilen und anderem zu verteilenden Inhalt verwendet
werden. Eine generische HTTP-basierte Inhaltaktualisierungs-API
kann von irgendeiner externen Softwarekomponente verwendet werden.
Das HTTP-Servlet importiert den Inhalt in die Datenbank 98.
Der Web-Server 90 implementiert die SSM- Endbenutzerfunktionalität. Der Web-Server 90 lässt ferner
Servlets laufen, die die XML-Verarbeitung der ACU-Anforderungen
handhaben, HTTP-Anforderungen
an EGW-Server 22 (über
den SSM-Server 20) weiterleiten, und die HTTP-basierte
Importschnittstelle bereitstellen.
-
Der
Web-Server 90 ist ein HTTP(S)-Empfänger für den SSM-Server 20.
In wenigstens einer Ausführungsform
ist dies die einzige Komponente im System, die nach Anforderungen
lauscht, die vom externen Netz kommen.
-
Komponenten
des SSM-Servers 20 verwenden mehrere Netzwerkschnittstellen
und Protokolle, um miteinander oder mit externen Systemen zu kommunizieren.
Der EGW-Server 22 und der SSM-Server 20 können unter
Verwendung irgendeines geeigneten Protokolls kommunizieren. In einer
Ausführungsform
wird ein Anfrage/Antwort-Protokoll über zwei TCP/IP-Verbindungen
(eine für
jede Richtung) verwendet. Das markenlängenwert-basierte Protokoll
ist verschlüsselt,
wobei beide Parteien durch die Tatsache authentisiert sind, dass
sie den geheimen Schlüssel
kennen, der aus dem während
der Installation abgefragten gemeinsamen Geheimnis abgeleitet wird.
-
Der
SSM-Server 20 verwendet z. B. das einfache Mail-Übertragungsprotokol
(simple mail transfer protocol, SMTP) über TCP/IP, um E-Mail-Meldungen
an Endbenutzer zu versenden. Ein E-Mail-Netzübergang wird verwendet, um
E-Mail-Nachrichten
weiterzuleiten.
-
Wie
angegeben und in wenigstens einer Ausführungsform der Fall ist, kommen
alle Anforderungen von einem VPN-Client einer mobilen Vorrichtung 10 sowie
von einer Endbenutzer-Browser über
HTTP zum Web-Server 90. Diese Anforderungen enthalten einen
Benutzer-Web-Browser, der HTTPS-Anforderungen zum Web-Server 90 sendet,
woraufhin der Web-Server 90 HTML-Seiten und/oder heruntergeladene
Dateien bereitstellt. Diese Verbindungen sind mit SSL verschlüsselt; der
SSM-Server 20 wird auf der Grundlage seines Zertifikats
authentisiert, während
die mobile Vorrichtung mit einem Benutzernamen/Passwort authentisiert wird.
Der Web-Server 90 empfängt
ferner Zertifikateintragungsanforderungen vom VPN-Client der mobilen Vorrichtung 10 über HTTP.
Die Anforderungen sind verschlüsselt
und signiert, wobei eine einfache HTTP-Verbindung verwendet werden
kann. Der Web-Server 90 empfängt ferner Automatik- Inhaltaktualisierungs-Anforderungen
(ACU-Anforderungen) vom VPN-Client der mobilen Vorrichtung 10.
Diese Anforderungen sind verschlüsselt
und signiert; der SSM-Server 20 wird auf der Grundlage
seines Zertifikats authentisiert, während die mobile Vorrichtung 10 mit
einem Benutzernamen/Passwort oder einem zu diesem Zweck ausgegebenen
Zertifikat authentisiert wird.
-
HTTP-Verbindungen
von den Clients in das öffentliche
Internet 14 (z. B. Vorrichtung 11) laufen über ein
Zugangsschutzsystem 18 und/oder einen Proxy/Netzübergang 24.
Eine Anwendung auf der Vorrichtung 11 kann Richtlinien
vom SSM-Server 20 unter Verwendung einer HTTP-Verbindung,
die mit SSL verschlüsselt
ist (HTTPS), importieren und aktualisieren. Der SSM-Server 20 wird
auf der Grundlage des Zertifikats authentisiert, während die
Vorrichtung 11 mit einem Benutzernamen/Passwort authentisiert
wird, und wobei der Benutzer zur Inhaltsmanagergruppe gehört, wenn
z. B. die Richtlinienmanageranwendung 26 Richtlinien in
Richtung zum SSM-Server 20 schiebt. Sobald ein Benutzer
mit dem SSM-Server 20 verbunden ist (Benutzer 11 oder Administrator),
kann er den SSM-Server 20 entsprechend den im SSM definierten
Freigaben nutzen. In einer Ausführungsform
ist die Freigabeinformation in der Datenbank 98 gespeichert,
selbst für
Benutzer, die gegenüber
einem externen Authentisierungs-Server authentisiert werden.
-
Der
VPN-Netzübergang 24 verwendet
HTTP, um Zertifikatrückzugslisten
(CRLs) vom EGW 22 (über den
Web-Server 90 und den SSM-Server 20) anzufordern.
CLRs sind signierte Einheiten, die über eine einfache HTTP-Verbindung
ohne Verschlüsselung
transportiert werden können.
-
Das
EGW 22 kann mit externen Zertifizierungsbehörden verbinden,
um Zertifikatanforderungen über HTTP
weiterzuleiten.
-
Der
SSM-Server 20 ist nicht auf die Verwendung als VPN-Richtlinienverteilungswerkzeug
beschränkt. Der
SSM-Server 20 unterstützt
die skalierbare Verwendung von PKI und die sichere Verteilung irgendeines
Inhalts an authentisierte und autorisierte Endbenutzer. Eine skalierbare
PKI-Datenerzeugung
kann an VPN-Clients delegiert werden. In einem solchen Fall empfängt ein
Benutzer eine generische Richtlinie (d. h. ein Profil) ohne PKI-Daten, wobei der
Benutzer-VPN-Client die PKI-Daten erzeugt, bevor die Richtli nie
verwendet wird. Genauer erzeugt der Client ein öffentlich/Privat-Schlüsselpaar
und eine entsprechende Zertifikateintragungsanforderung, und sendet
die Anforderung an eine Zertifizierungsbehörde (CA). Die CA erzeugt anschließend das
Zertifikat und gibt dieses zurück.
-
Die
vielen Merkmale und Vorteile der vorliegenden Erfindung werden anhand
der genauen Beschreibung deutlich, weshalb die beigefügten Ansprüche alle
solchen Merkmale und Vorteile der Erfindung, die in den Erfindungsgedanken
und Umfang der Erfindung fallen, abdecken sollen. Zahlreiche Modifikationen
und Variationen sind für
Fachleute offensichtlich, wobei die Erfindung nicht auf die genaue
Konstruktion und die Operation beschränkt ist, die hier dargestellt
und beschrieben sind. Alle geeignete Modifikationen und Äquivalente,
die wahrgenommen werden können,
fallen in den Umfang der Ansprüche.
Die vorangehende Beschreibung soll eher beispielhaft als einschränkend sein.
Als ein Beispiel wurde die Erfindung jedoch mit Bezug auf einen
SSM-Server beschrieben, jedoch können
die Vorrichtungen, Systeme und Verfahren gemäß der Erfindung mehrere SSM-Server 20 enthalten
(und/oder eine Kommunikation mit diesen enthalten). Die Erfindung umschließt ferner
Server und Vorrichtungen (und/oder enthält eine Kommunikation mit diesen),
denen alle Merkmale fehlen, die mit Bezug auf den SSM-Server 20 beschrieben
worden sind und/oder die zusätzliche Merkmale
enthalten. Als ein weiteres Beispiel kann ein zurückgegebenes
Zertifikat auf der Grundlage eines Hash-Wertes geprüft werden,
der über
eine gesamte ACU-Nachricht
berechnet wird (mit Ausnahme des Signaturelements in der ACU-Nachricht), was zu
einer ersten Antwort von einer entfernten Vorrichtung führt, wobei
der Hash-Wert mit einem privaten Schlüssel signiert ist, der von
der entfernten Vorrichtung gehalten wird, und wobei das entsprechende
Zertifikat in der ersten Antwort enthalten ist und vom Empfänger verwendet
wird, um die Signatur zu überprüfen und
den Sender zu identifizieren und zu authentisieren. Diese und andere
Modifikationen fallen in den Umfang der Erfindung, wie in den beigefügten Ansprüchen definiert
ist.