RU2297037C2 - Управление защищенной линией связи в динамических сетях - Google Patents

Управление защищенной линией связи в динамических сетях Download PDF

Info

Publication number
RU2297037C2
RU2297037C2 RU2002131451/09A RU2002131451A RU2297037C2 RU 2297037 C2 RU2297037 C2 RU 2297037C2 RU 2002131451/09 A RU2002131451/09 A RU 2002131451/09A RU 2002131451 A RU2002131451 A RU 2002131451A RU 2297037 C2 RU2297037 C2 RU 2297037C2
Authority
RU
Russia
Prior art keywords
user
computer
computing resource
access
certificate
Prior art date
Application number
RU2002131451/09A
Other languages
English (en)
Other versions
RU2002131451A (ru
Inventor
Тимоти М. МУР (US)
Тимоти М. МУР
Арун АЙЯГАРИ (US)
Арун АЙЯГАРИ
Сачин К. ШЕТХ (US)
Сачин К. ШЕТХ
Прадип БАХЛ (US)
Прадип БАХЛ
Original Assignee
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн
Publication of RU2002131451A publication Critical patent/RU2002131451A/ru
Application granted granted Critical
Publication of RU2297037C2 publication Critical patent/RU2297037C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)
  • Computer And Data Communications (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

Изобретение относится к усовершенствованию линий передачи аудио/видеосигналов и данных в динамических сетях и вычислительных средах и, в частности, к установлению линий связи со средствами шифрования и защиты и управлению ими в таких средах. Изобретение обеспечивает упрощенное установление динамических защищенных линий связи между компьютером-клиентом и серверным устройством. Описан способ установления защищенных линий связи для передачи данных и управления ими посредством обмена защитными ключами, аутентификации и авторизации. Способ предусматривает установление защищенной линии связи с ограниченными привилегиями с использованием идентификатора мобильного вычислительного блока. Это особенно выгодно, если пользователь мобильного блока не имеет информации, идентифицирующей пользователя, подходящей для аутентификации. Кроме того, преимущество представления пользователем принятой по умолчанию информации, идентифицирующей пользователя, состоит в том, что оно инициирует вмешательство системного администратора вместо отказа по пустой строке. Эта децентрализованная процедура позволяет новым пользователям осуществлять доступ к сети без необходимости физического присутствия в центральном учреждении для предъявления своих мандатов. 6 н. и 28 з.п. ф-лы, 10 ил.

Description

Область техники
Данное изобретение относится, в целом, к усовершенствованию линий передачи аудио/видеосигналов и данных в динамических сетях и вычислительных средах и, в частности, относится к установлению линий связи со средствами шифрования и защиты и управлению ими в таких средах.
Предшествующий уровень техники
Феноменальный рост сетевой электронной торговли привел к возникновению многочисленных приложений, в том числе хостинга (услуг по размещению информации), проводки и управления удаленными линиями связи и сетями. Эти приложения позволяют пользователям взаимодействовать друг с другом в ходе деловых операций или отслеживания полезной информации с использованием защищенных линий связи.
На защищенных линиях связи или соединениях для обеспечения защищенного доступа к вычислительным ресурсам обычно используют одну или более из трех операций: аутентификации, авторизации и экаунтинга (ведение отчетности) (ААА). Таким образом, понятие защиты включает в себя способность аутентифицировать сторону и/или шифровать передачи во избежание подслушивания непредусмотренными получателями или третьими лицами. Защищенная сеть образована передачами по защищенным линиям связи. Однако следует понимать, что существует несколько доступных уровней аутентификации и шифрования, охватываемых объемом изобретения. Простая передача текста без аутентификации является незащищенной передачей, хотя, принимая решение о защищенности передачи, следует использовать порог, определяемый ситуацией.
Применительно к торговым операциям, важно аутентифицировать пользователя, затем авторизовать доступ аутентифицированного пользователя к ресурсам и создавать учетные записи по использованию этих ресурсов. С появлением «пользовательского роуминга», ставшего возможным благодаря развитию мобильных вычислительных систем и, в частности, беспроводных линий связи, задача ААА приобретает особое значение. В этой связи для обеспечения беспроводных линий связи и децентрализованных операций необходимы протоколы защиты. При осуществлении сетевого доступа к персональной вычислительной сети (ПВС), локальной вычислительной сети (ЛВС) или глобальной сети (ГС) можно столкнуться со значительной задержкой. Однако с учетом кратковременного характера взаимодействий с мобильными вычислительными блоками для обеспечения приемлемых условий работы в сети необходимы соединения с малой задержкой пакета. В частности, пользователи должны иметь возможность быстро устанавливать соединения по защищенным линиям связи, независимо от того, находится ли точка доступа в интранете или на внешней, динамически устанавливаемой линии связи. Новые пользователи или новые работники должны иметь возможность получать, по меньшей мере, ограниченные привилегии в использовании защищенной сети. Многие проблемы, в том числе вышеописанные, остаются при реализации защитных линий связи, на которых применяются усовершенствованные схемы управления сетевым доступом и шифрования/аутентификации или гибкие топологии конференции. Таковы новые проблемы в области сетевых серверных систем, поддерживающих беспроводную сеть.
Сущность изобретения
Настоящее изобретение призвано решить эти проблемы и облегчить создание компьютерной сети для установления динамических защищенных линий связи между компьютером-клиентом и серверным устройством в ходе установления защищенных соединений по более широкому диапазону сетевых линий связи. В частности, описаны протоколы для компьютеров-клиентов, обеспечивающие обмен информацией для установления защищенного соединения. Кроме того, способы и системы, согласно настоящему изобретению, предусматривают протокол обмена ключами в вычислительной среде с беспроводным соединением. Обмен ключами осуществляется путем надлежащего выбора протокола расширяемой аутентификации (ПРА) и защиты транспортного уровня (ЗТУ).
Рассмотрим способ формирования защищенных каналов передачи данных/аудио/видеосигналов и управления ими посредством обмена защитными ключами, аутентификации и авторизации. Способ предусматривает реализацию ЗТУ в ПРА. Вариант осуществления изобретения предусматривает, что машина устанавливает защищенные соединения с ограниченными привилегиями, если пользователь машины не предоставляет достаточной информации, идентифицирующей пользователя. Этот способ позволяет гибко управлять сетью, содержащей машины и сетевые линии связи с различными защитными возможностями и восприимчивостью. Кроме того, в случае, когда пользователь не в состоянии предоставить аутентификационную информацию, идентифицирующую пользователя, начинается процесс регистрации машины, что позволяет снизить требования, предъявляемые к обычному процессу регистрации, и обеспечить базовый уровень доступа, когда это необходимо.
Вариант осуществления изобретения предусматривает, что пользователь, подключенный к защищенной сети по незащищенной линии связи, пройдя аутентификацию, получает только ограниченный доступ к защищенной сети. Пользователь, зарегистрированный через незащищенную линию связи, получает более ограниченный набор привилегий, чем если бы он зарегистрировался через защищенную линию связи.
Согласно варианту осуществления изобретения, машина устанавливает защищенную линию связи без регистрации пользователя. Следовательно, в сети также могут находиться специализированные серверы, на которых пользователю не обязательно регистрироваться. И пользовательская регистрация не нарушает защищенный доступ машины.
Дополнительные признаки и преимущества изобретения явствуют из нижеследующего подробного описания иллюстративных вариантов осуществления, приведенного со ссылками на прилагаемые чертежи.
Краткое описание чертежей
Хотя признаки настоящего изобретения подробно изложены в прилагаемой формуле изобретения, чтобы лучше разобраться в изобретении, понять его задачи и преимущества, следует обратиться к нижеследующему подробному описанию, приведенному в сочетании с прилагаемыми чертежами, где:
фиг.1 - обобщенная блок-схема иллюстративной компьютерной системы, к которой относится настоящее изобретение;
фиг.2 - схема обычной вычислительной среды, в которой применен вариант осуществления изобретения;
фиг.3 - схема другой вычислительной среды, в которой применяется беспроводная линия связи между точкой доступа в защищенной сети и мобильным вычислительным блоком;
фиг.4 - схема вычислительной среды, поддерживающей удаленный доступ мобильного вычислительного блока к защищенной сети, причем аутентификацию мобильного вычислительного блока осуществляет удаленный прокси-сервер RADIUS, находящийся в отношениях доверительности с защищенной сетью или, по меньшей мере, известный ей;
фиг.5 - логическая блок-схема этапов способа получения доверенным пользователем идентификатора машины;
фиг.6 - логическая блок-схема этапов способа регистрации доверенной машины, причем для инициирования регистрации используется принятый по умолчанию идентификатор пользователя, с участием системного администратора, когда машина или пользователь не имеет надлежащего мандата;
фиг.7 - логическая блок-схема этапов способа получения доступа к вычислительным ресурсам защищенной сети с использованием идентификатора машины;
фиг.8 - логическая блок-схема этапов способа доступа к сети со стороны пользователя, неспособного предоставить достаточную информацию для аутентификации, с использованием принятого по умолчанию идентификатора пользователя, позволяющего запрашивать доступ у системного администратора без необходимости физического посещения центрального учреждения;
фиг.9 - логическая блок-схема этапов способа получения удаленным мобильным вычислительным блоком доступа к защищенной сети через прокси-сервер RADIUS и
фиг.10 - логическая блок-схема этапов способа аутентификации удаленного пользователя, запрашивающего доступ к ресурсам защищенной сети.
Подробное описание изобретения
Чертежи, на которых подобные элементы обозначены подобными позициями, иллюстрируют изобретение, реализуемое в подходящей вычислительной среде. Хотя это и не требуется, изобретение будет описано, в целом, применительно к выполняемым компьютером командам, например программным модулям, выполняемым в вычислительной среде. В целом, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.п., выполняющие отдельные задачи или реализующие отдельные абстрактные типы данных. Кроме того, специалистам в данной области очевидно, что изобретение можно применять к другим конфигурациям компьютерной системы, в том числе к переносным устройствам, многопроцессорным системам, бытовой электронике на основе процессора или с возможностью программирования, сетевым ПК, мини-компьютерам, универсальным компьютерам и т.п. Изобретение также осуществимо в распределенных вычислительных средах, где задачи выполняются удаленными обрабатывающими устройствами, связанными друг с другом через сеть связи. В распределенной вычислительной среде программные модули могут храниться как в локальных, так и удаленных запоминающих устройствах.
На фиг.1 показан пример среды 100 вычислительной системы, пригодной для реализации изобретения. Среда 100 вычислительной системы является всего лишь примером подходящей вычислительной среды и не налагает никаких ограничений на объем применения или принцип изобретения. Кроме того, вычислительную среду 100 не следует рассматривать как находящуюся в зависимости или подчиняющуюся требованиям, предъявляемым к одному или нескольким компонентам, указанным в иллюстративной операционной среде 100.
Изобретение применимо ко многим другим средам или конфигурациям вычислительных систем общего и специального назначения. Примеры общеизвестных вычислительных систем, сред и конфигураций, к которым можно применять изобретение, включают в себя, помимо прочего, персональные компьютеры, компьютеры-серверы, переносные или портативные устройства, многопроцессорные системы, системы на основе микропроцессора, приставки, программируемые бытовые электроприборы, сетевые ПК, мини-компьютеры, универсальные компьютеры и распределенные вычислительные среды, содержащие любые из вышеперечисленных систем или устройств.
Изобретение можно описать, в целом, применительно к командам, выполняемым на компьютере, например программным модулям, выполняемым на компьютере. В целом, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.п., выполняющие отдельные задачи или реализующие отдельные абстрактные типы данных. Изобретение также осуществимо в распределенных вычислительных средах, где задачи выполняются удаленными обрабатывающими устройствами, связанными друг с другом через сеть связи. В распределенной вычислительной среде программные модули могут храниться как на локальных, так и на удаленных компьютерных носителях для хранения информации, включающих в себя запоминающие устройства.
Согласно фиг.1, иллюстративная система для реализации изобретения содержит вычислительное устройство общего назначения в виде компьютера 110. Компоненты компьютера 110 могут включать в себя, помимо прочего, обрабатывающий модуль 120, системную память 130 и системную шину 121, посредством которой различные компоненты системы, включая системную память, подключаются к обрабатывающему модулю 120. Системная шина 121 может относиться к разным типам шинных структур, включающих в себя шину памяти или контроллер памяти, периферийную шину и локальную шину, с применением любой из разнообразных шинных архитектур. Такие архитектуры содержат, например, помимо прочих, шину ISA (промышленной стандартной архитектуры), шину МСА (микроканальной архитектуры), шину EISA (расширенной ISA), локальную шину VESA (Ассоциации производителей средств видеоэлектроники) и шину PCI (интерфейса периферийных устройств), также именуемую шиной второго уровня.
Компьютер 110 обычно содержит разнообразные считываемые компьютером носители. В качестве считываемых компьютером носителей могут выступать любые известные носители, доступ к которым осуществляется посредством компьютера 110, в том числе энергозависимые и энергонезависимые носители, сменные и стационарные носители. Считываемые компьютером носители могут включать в себя, например, помимо прочего, компьютерные носители для хранения данных и среды передачи данных. Компьютерные носители для хранения данных включают в себя энергозависимые и энергонезависимые, сменные и стационарные носители, реализованные посредством любого метода или технологии хранения информации, например считываемых компьютером команд, структур данных, программных модулей или иных данных. Компьютерные носители для хранения данных включают в себя, помимо прочего, оперативное запоминающее устройство (ОЗУ), постоянное запоминающее устройство (ПЗУ), ЭППЗУ (электронно-перепрограммируемое ПЗУ), флэш-память и другие запоминающие устройства, CD-ROM, цифровой универсальный диск (DVD) или иной оптический дисковый носитель данных, магнитные кассеты, магнитную ленту, магнитный дисковый носитель данных или иные магнитные запоминающие устройства или любой иной носитель, который можно использовать для хранения полезной информации и доступ к которому можно осуществлять посредством компьютера 110. Среды для передачи данных обычно реализуют считываемые компьютером команды, структуры данных, программные модули или иные данные в виде сигнала, модулируемого данными, например, несущей волны или иного транспортного механизма и содержат любую среду передачи информации. Термин «сигнал, модулируемый данными» означает сигнал, одну или несколько характеристик которого можно задавать или изменять таким образом, чтобы кодировать в нем информацию. Носители для передачи данных могут, например, без ограничения включать в себя проводные сети и беспроводные среды, например акустические, РЧ (радиочастотные), инфракрасные и другие оптические среды. Понятие считываемой компьютером среды охватывает любые комбинации вышеперечисленных носителей.
Системная память 130 включает в себя компьютерные носители для хранения данных в виде энергозависимой и энергонезависимой памяти, например ПЗУ 131 и ОЗУ 132. Базовая система ввода/вывода (BIOS) 133, содержащая базовые процедуры, обеспечивающие передачу информации между элементами компьютера 110, например, при запуске, обычно хранится в ПЗУ 131. В ОЗУ 132 обычно хранятся данные и программные модули, к которым обрабатывающий модуль 120 должен быстро обращаться или которые он обрабатывает в данный момент. На фиг.1 показаны, без ограничения общности, операционная система 134, прикладные программы 135, другие программные модули 136 и данные 137, используемые программами (программные данные). Для обслуживания прикладных программ 135 операционная система 134 нередко использует один или несколько ПИП (программных интерфейсов приложения) (не показаны). Поскольку такие услуги предусмотрены в операционной системе 134, разработчикам прикладных программ 135 нет нужды повторно разрабатывать программный код для реализации этих услуг. Примеры ПИП, обеспечиваемых операционными системами, например, системой WINDOWS фирмы Microsoft, известны из уровня техники.
Компьютер 110 может также содержать другие сменные/стационарные, энергозависимые/энергонезависимые компьютерные носители для хранения данных. Например, на фиг.1 изображены интерфейс 140 жесткого диска, который осуществляет считывание/запись данных из/в стационарного/ый энергонезависимого/ый магнитного/ый носителя/ь, привод 151 магнитного диска, который может быть внутренним или внешним и который осуществляет чтение/запись из/в сменного/ый энергонезависимого/ый магнитного/ый диска 152, и привод 155 оптического диска, который осуществляет чтение/запись из/в сменного/ый энергонезависимого/ый оптического/ий диска 156, например CD-ROM. В иллюстративной операционной среде можно также использовать другие сменные/стационарные, энергозависимые/энергонезависимые компьютерные носители для хранения данных, например, помимо прочих, кассеты с магнитной лентой, карты флэш-памяти, DVD, ленту для цифровой видеозаписи, ОЗУ на кристаллах и ПЗУ на кристаллах. Жесткий диск 141, который может быть внутренним или внешним, обычно подключается к системной шине 121 через стационарный интерфейс запоминающего устройства, например интерфейс 140, а привод 151 магнитного диска и привод 155 оптического диска обычно подключаются к системной шине 121 через сменный интерфейс запоминающего устройства, например интерфейс 150.
Вышеупомянутые и изображенные на фиг.1 приводы и соответствующие компьютерные носители для хранения данных обеспечивают хранение считываемых компьютером команд, структур данных, программных модулей и других данных для компьютера 110. Например, согласно фиг.1, на жестком диске 141 хранится операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147. Заметим, что эти компоненты могут быть идентичны операционной системе 134, прикладным программам 135, другим программным модулям 136 и программным данным 137 или отличны от них. Операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147 обозначены другими позициями, поскольку они могут представлять собой другие копии. Пользователь может вводить команды и информацию в компьютер 110 через устройства ввода, например клавиатуру 162 и указательное устройство 161, в качестве которого может выступать мышь, шаровой манипулятор или сенсорная панель. Другие устройства ввода (не показаны) могут включать в себя микрофон, джойстик, игровую панель, спутниковую тарелку и сканнер. Эти и другие устройства ввода обычно подключаются к обрабатывающему модулю 120 через интерфейс 160 пользовательского ввода, подключенный к системной шине, но могут подключаться посредством других интерфейсов и шинных структур, например параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 191 или другое устройство отображения также подключено к системной шине 121 посредством интерфейса, например видеоинтерфейса 190. Помимо монитора компьютеры могут также содержать другие периферийные устройства вывода, например громкоговорители 197 или принтер 196, которые могут подключаться через интерфейс 195 периферийных устройств вывода.
Компьютер 110 может работать в сетевой среде, используя логические линии связи с одним или несколькими удаленными компьютерами, например удаленным компьютером 180. Удаленный компьютер 180 может представлять собой персональный компьютер, сервер, маршрутизатор, сетевой ПК, одноранговое устройство или другой общий узел сети и обычно содержит многие или все элементы, описанные выше применительно к компьютеру 110, хотя на фиг.1 изображено только запоминающее устройство 181. Логические линии связи, обозначенные на фиг.1, включают в себя локальную вычислительную сеть (ЛВС) 171 и глобальную сеть (ГС) 173, а также, возможно, и другие сети. Такие сетевые среды широко используются в учреждениях, шоу-бизнесе, интранетах и в Интернете.
При использовании сетевой среды ЛВС компьютер 110 подключается к ЛВС 171 посредством сетевого интерфейса или адаптера 170. При использовании сетевой среды ГС компьютер 110 обычно содержит модем 172 или другое средство установления связи через ГС 173, например Интернет. Модем 172, который может быть внутренним или внешним, может подключаться к системной шине 121 через интерфейс 160 пользовательского ввода или посредством другого подходящего механизма. В сетевой среде программные модули, указанные применительно к компьютеру 110, или их фрагменты могут храниться в удаленном запоминающем устройстве. Согласно фиг.1, но не в обязательном порядке, удаленные прикладные программы 185 хранятся в запоминающем устройстве 181, которое может быть внутренним или внешним по отношению к удаленному компьютеру 180. Следует понимать, что помимо сетевых линий связи, показанных в качестве примера, можно использовать другие средства установления линии связи между компьютерами.
В нижеследующем описании изобретение будет описано со ссылкой на действия и символические представления операций, осуществляемых одним или несколькими компьютерами, если не указано обратное. Поэтому очевидно, что такие действия или операции, которые иногда называют выполняемыми на компьютере, включают в себя манипуляцию обрабатывающим модулем компьютера электрическими сигналами, представляющими данные в структурированном виде. Эта манипуляция сводится к преобразованию данных или поддержке их в ячейках системы памяти компьютера, каковые данные переконфигурируют или иным образом изменяют работу компьютера, насколько это известно специалистам в данной области. Структуры данных, в которых поддерживаются данные, представляют собой физические ячейки памяти, конкретные свойства которых определяются форматом данных. Однако такой подход к описанию изобретения не является ограничительным, поскольку специалистам в данной области очевидна возможность аппаратной реализации описанных здесь разнообразных действий и операций.
В схеме аутентификации/шифрования для обеспечения сетевого доступа или связности прежде всего надлежит аутентифицировать одну или несколько сторон, пользующихся линией связи. Для этого обычно используют сертификат, выдаваемый доверенным источником. Применительно к защищенной конференции, стороне, запрашивающей подключение к защищенной конференции, нужно подтвердить свою заявленную идентичность. В некоторых вариантах осуществления для подтверждения идентичности может потребоваться конференсный узел. Сертификат содержит информацию о стороне, представляющей сертификат, и включает в себя защитные средства, позволяющие обнаруживать любые изменения, в том числе внесенные стороной, представляющей информацию.
Чтобы понять основную процедуру, рассмотрим схему шифрования асимметричным ключом. Согласно этой схеме, в процедуре шифрования/дешифрования используют два ключа, которые, для удобства, называют открытым ключом и личным ключом. Личный ключ держат в секрете, например хранят в защищенной ячейке памяти компьютера или на интеллектуальной карте. Открытый ключ доступен всем. Открытый и личный ключи математически связаны, но вычислить один из другого непросто. В частности, зная открытый ключ, невозможно вычислить личный ключ в течение обозримого промежутка времени. Кроме того, сообщение, зашифрованное с помощью одного из ключей, можно расшифровать только с помощью другого ключа.
Пользователь, нуждающийся в аутентификации своей идентичности, запрашивает у доверенной службы сертификации (СС) сертификат о своей идентичности. Этот запрос предпочтительно кодировать открытым ключом СС. Этой цели можно достичь разными путями, например сначала зашифровать заявляемую идентичность личным ключом пользователя, а затем зашифровать сообщение совместно с копией открытого ключа потенциального нового пользователя с помощью открытого ключа СС. Таким образом, СС будет знать, какой открытый ключ использовать для дальнейшего дешифрования после того, как расшифрует сообщение своим собственным личным ключом. Кроме того, успешное дешифрование сообщения гарантирует для СС то, что сообщение отправлено пользователем, поскольку для того, чтобы его можно было расшифровать открытым ключом пользователя, оно должно было быть закодировано личным ключом пользователя. Таким образом, СС, в частности, та, что выдала личный ключ пользователя, может проверить заявленную идентичность, сверившись с базой данных.
Затем СС шифрует информацию об идентичности пользователя, включающую в себя открытый ключ, соответствующий личному ключу, с помощью своего собственного личного ключа, чтобы сформировать сертификат аутентификации, возможно, с электронной подписью. Сторона, желающая аутентифицировать идентичность пользователя, дешифрует сертификат с помощью открытого ключа СС. Таким образом, преимущество сертификата состоит в том, что он также предоставляет стороне, желающей аутентифицировать идентичность пользователя, открытый ключ пользователя.
Хотя пользователь может считывать информацию, сертифицированную СС, пользователь не может изменять информацию так, чтобы это не было обнаружено, поскольку пользователь не знает личного ключа СС. Кроме того, СС может присоединить зашифрованную односторонне хешированную версию сообщения, чтобы получатель мог далее быть уверен в том, что все сообщение является аутентичным, даже если оно получено малыми частями. Функцию одностороннего хеширования часто применяют потому, что изменить сообщение и при этом сохранить тот же результат хеширования весьма непросто, чтобы потом можно было подтвердить аутентичность присоединенного сообщения. Иными словами, зашифрованные сообщения могут читать многие, поскольку ключ декодирования является открытым ключом, но их нельзя изменять, не изменив состояния, снабженного признаком. Кроме того, такой сертификат аутентификации и соответствующие ключи можно снабжать конечным временем действия во избежание преступных действий и инженерного анализа.
Дополнительные подробности, касающиеся обмена ключами, аутентификации и запросов авторизации, для обеспечения защищенной связи между клиентом и сервером, описаны в прилагаемых документах в приложении, озаглавленном "IEEE 802.11 Security White Paper", "IEEE 802.IX Supported Scenarios" и "Bluetooth Security Architecture Version 1.0", полностью включенных в данную заявку.
На фиг.2 показана иллюстративная вычислительная среда 200, содержащая совокупность динамических линий связи, совокупность статических линий связи и совокупность устройств. Вычислительная среда 200 включает в себя интранет 205, подключенный к маршрутизатору 210, который, в свою очередь, подключен к сети Интернет 215. По меньшей мере, один мобильный вычислительный блок 220 подключен к Интернет 215 посредством динамической линии связи 225. Альтернативно, мобильный вычислительный блок 215 может подключаться к интранет 205 посредством линии связи 230, наличие которой не исключает возможность существования динамической линии связи 225. Мобильный вычислительный блок 220 не обязательно является компьютером, но может представлять собой любое мобильное вычислительное устройство, например устройство мобильной связи или устройство, обеспечивающее аудио/видеоинформацию путем доступа к информации в онлайновом (оперативном) режиме и т.п. Совокупность устройств в вычислительной среде 200 включает в себя рабочую станцию 235, сервер 240 и принтер 245, управляемый сервером 240. Под статическими линиями связи понимают связи, образующие интранет 205, а под динамическими линиями связи понимают связи, для которых характерна высокая вероятность сбоя, например линия связи 225 или линия связи 230 между мобильным вычислительным блоком 220 и Интернет 215 или интранет 205 соответственно.
Гарантировать защищенность статической линии связи проще, чем обеспечить защищенную динамическую линию связи. Защиту динамических линий связи труднее реализовать в силу кратковременного характера динамической линии связи и более строгих ограничений на задержку и ширину полосы, действующих на таких линиях связи. Кроме того, в силу мобильного характера портативных вычислительных устройств, например вычислительного блока 220, необходима защита от несанкционированного сетевого доступа.
Стратегия расширения защищенных линий связи на доверенных пользователей и доверенные машины, связанные транзитивными отношениями доверительности, позволяет реализовать защищенную вычислительную среду без необходимости в централизованном управлении всеми отношениями защиты. Явные отношения доверительности позволяют отслеживать нарушения защиты. Кроме того, явные отношения доверительности упрощают управляемые процедуры аутентификации, в то же время сохраняя низкий уровень задержки при установлении защищенных соединений.
Ограничение доступа к доверенным пользователям и доверенным машинам, которые можно реализовать программно или аппаратно, имеет то преимущество, что позволяет только доверенным машинам осуществлять доступ к сети без доступа к сети аутентифицированных пользователей и в то же время позволяет доверенным пользователям осуществлять доступ к сети с любой машины. Эта стратегия предотвращает несанкционированный доступ со стороны пользователей и машин без приемлемой аутентификации. С другой стороны, возможность машинной аутентификации обеспечивает машину действительными стандартными уровнями мандата доступа для пользователя с действительным мандатом. Пользователь без действительного (достоверного) мандата получает ограниченный санкционированный доступ на машине без действительного мандата. Такой доступ обеспечивает неаутентифицированным пользователям базовый уровень доступа. Такими пользователями могут быть посетители, новые или бывшие работники и т.п., нуждающиеся в некотором доступе к защищенной сети. Доверенные пользователи могут осуществлять доступ к сетевым ресурсам через доверенные или недоверенные машины, подключенные к сети.
Предоставление ограниченной формы доступа новым пользователям или пользователям, введшим неправильный пароль или иначе неудачно зарегистрировавшимся, облегчает их адаптацию к вычислительной среде. Аналогично, обеспечение достаточного доступа, позволяющего новым пользователям и работникам непосредственно взаимодействовать с системным администратором, децентрализует процесс добавления и удаления пользователей, в то же время сохраняя централизованное управление.
Децентрализацию нужно понимать в том смысле, что новому работнику не приходится физически идти в центральное учреждение для получения авторизации ограниченного доступа к вычислительным ресурсам. Ограничения доступа, налагаемые на неаутентифицированных пользователей, регулируют так, чтобы избежать нарушения защиты сетевых ресурсов. Для этого один и тот же пользователь может иметь разные уровни авторизации, позволяющие лучше отражать относительные степени угрозы безопасности, связанные с обстоятельствами регистрации пользователя. Например, пользователь, осуществляющий доступ к вычислительным ресурсам с удаленного устройства, может иметь более ограниченные привилегии, чем пользователь, работающий на машине в здании, где развернут интранет 205, или пользователь доверенной машины. Таким образом, раскрытые способ и система позволяют пользователям с помощью мобильных вычислительных блоков осуществлять доступ к вычислительной среде с различными уровнями доступа, т.е. авторизацию, в зависимости от идентичности мобильного вычислительного блока и/или обстоятельств, при которых запрашивается доступ.
На фиг.3 показана вычислительная среда 300, способная поддерживать беспроводные линии связи. Мобильный вычислительный блок 305 по линии связи 310 может связываться с вычислительной средой 300, имеющей точку доступа 315. Точка доступа 315 выступает в качестве средства аутентификации для мобильного вычислительного блока 305, предоставляя ему доступ к вычислительным ресурсам вычислительной среды 300. Из точки доступа 315 идентификаторы и сертификаты, предоставленные мобильным вычислительным блоком 305, поступают на сервер 325 "службы аутентификации удаленных пользователей по коммутируемым линиям связи" (RADIUS), который осуществляет аутентификацию предоставленных идентификаторов. Запросы на идентификацию и подтверждение идентичности сервер 325 RADIUS пересылает на мобильный вычислительный блок 305 через точку доступа 315, во избежание любого непосредственного обмена между сервером 325 RADIUS и неаутентифицированным мобильным вычислительным блоком 305.
На фиг.4 показан мобильный вычислительный блок 400, который, будучи удаленным, пытается осуществить доступ к сети интранет 405. Мобильный вычислительный блок 400 связывается с точкой удаленного доступа 410, которая играет роль средства аутентификации, и использует прокси-сервер 415 RADUIS для аутентификации мобильного вычислительного блока 400. В случае успешной аутентификации точка доступа 410 направляет пакеты, адресованные в сеть, на коммутатор 420 ВЛВС (виртуальной ЛВС). Коммутатор 420 ВЛВС консультируется с сервером 430 регистрации, чтобы определить, разрешен ли мобильному вычислительному блоку 400 удаленный доступ к ВЛВС 425, подключенной к интранет 405. В случае успешной регистрации мобильного вычислительного блока 400 передачи, адресованные ВЛВС 425 или серверу 435, подключенному через интранет 504, надлежащим образом пересылаются. В случае неудачной аутентификации дальнейшее прохождение пакетов на ВЛВС 425 или сервер 435 блокируется.
Согласно изобретению, существуют два возможных состояния регистрации для пользователя и машины соответственно: пользователь с действительным (достоверным) мандатом; пользователь без действительного мандата; машина с действительным мандатом и машина без действительного мандата. Состояния регистрации машины и пользователя совместно порождают четыре возможных состояния регистрации. Изобретение включает в себя варианты осуществления, выражающие предпочтение одному из возможных состояний регистрации перед другими возможными состояниями регистрации.
Согласно варианту изобретения, в случае невозможности аутентифицировать идентичность пользователя машина, на которой работает пользователь, может предоставить идентификатор, позволяющий осуществить машинную процедуру регистрации для обеспечения ограниченного доступа. На фиг.5, которую не следует рассматривать как единственно возможный вариант способа, показана возможная последовательность этапов, осуществляя которые, доверенная машина может зарегистрироваться на основании своего машинного идентификатора. Для этого доверенный пользователь первоначально устанавливает статус доверительности машины. Согласно фиг.5, на этапе 500 доверенный пользователь запрашивает идентификатор машины, на которой работает пользователь. Сетевой сервер, например контроллер домена, определяет, является ли пользователь доверенным, на этапе 505, и уполномоченным, на этапе 510, делать такой запрос. Если пользователь уполномочен делать запрос, то сетевой сервер предоставляет уникальный идентификатор машины (этап 515). В противном случае на этапе 520 сетевой сервер отказывает в выполнении запроса. На этапе 525 сетевой сервер запрашивает СС предоставить сертификат, подтверждающий идентичность машины, и на этапе 530 направляет сертификат на машину. На этапе 535 идентификатор машины и сертификат предпочтительно сохраняют на машине для последующего использования.
Согласно варианту осуществления, проиллюстрированному на фиг.6, аутентификация машины и аутентификация пользователя осуществляются либо с использованием подходящего мандата или с использованием принятого по умолчанию ИД пользователя, что позволяет системному администратору вмешиваться в процесс аутентификации машины или пользователя. На этапе 600 делают запрос на доступ к сети. При наличии мандата машины переходят от этапа 605 к этапу 610 аутентификации машины. Хотя в данном варианте осуществления пользователя нельзя аутентифицировать на той же машине, этот факт не следует рассматривать как ограничение объема изобретения. Этап 610 особенно полезен для запуска серверов в сети без необходимости одновременной регистрации пользователя. Более того, некоторые машины в привилегированных местоположениях могут даже не обеспечивать пользовательский интерфейс. Этап 615 соответствует случаю неудачной аутентификации машины. С другой стороны, если машина не имеет мандата, то от этапа 605 переходят к этапу 620. На этапе 620 машина использует принятый по умолчанию идентификатор пользователя, чтобы инициировать аутентификацию машины, которая завершается либо успешно на этапе 625, либо неудачно на этапе 630. По завершении этапов 620, 625 и 630 переходят к этапу 635. На этапе 635 выполняются команды, инициирующие регистрацию пользователя. При наличии мандата пользователя переходят к этапу 645, который соответствует успешной аутентификации пользователя, после чего процедура завершается. С другой стороны, если мандат пользователя неприемлем, то на этапе 650 фиксируют неудачную аутентификацию пользователя, и на этом процедура прекращается. В случае выявления отсутствия мандата пользователя на этапе 640 переходят к этапу 655 успешного использования принятого по умолчанию идентификатора пользователя. Если не удается аутентифицировать пользователя посредством принятого по умолчанию идентификатора пользователя, переходят к этапу 660 и, соответственно, завершают процедуру.
Иллюстративный вариант осуществления среды, совместимой с протоколом расширяемой аутентификации (ПРА), предусматривает использование начального сообщения ПРА. Конечно, в других средах можно использовать другие начальные сообщения, например, для уменьшения суммарного количества сообщений, применяемых для проведения начальных транзакций.
На фиг.7 проиллюстрирован вариант осуществления процедуры аутентификации в отношении доверенной машины. На этапе 700 пользователь выдает начальное сообщение, выражающее запрос доступа к вычислительной среде. Точка беспроводного доступа принимает начальное сообщение для установления беспроводной линии связи. Реализация точки беспроводного доступа не позволяет ей пересылать трафик данных, поступающий из соединения, не прошедшего аутентификацию, ни в нижележащую проводную сеть, ни на другое беспроводное мобильное вычислительное устройство. Точка доступа, выступая в роли средства аутентификации, обеспечивает ограниченное взаимодействие для аутентификации запрашивающей стороны до установления подходящей линии связи. Для этого на этапе 705 точка доступа запрашивает идентификацию запрашивающей стороны, чтобы инициировать процедуру аутентификации в случае недостатка информации для идентификации, например, в начальном сообщении. В ответ на такой запрос на этапе 710 запрашивающая сторона предоставляет идентифицирующую информацию, достаточную для аутентификации, если таковая доступна. При таком определении применяется период перерыва. Альтернативно, запрашивающая сторона явно указывает неспособность предоставить запрашиваемую идентифицирующую информацию.
При доступности запрашиваемой идентифицирующей информации на этапе 715 осуществляется стандартная процедура аутентификации. В стандартной процедуре точка доступа направляет заявленную идентичность на сервер RADIUS. Сервер RADIUS передает запрос на точку доступа, которая, в свою очередь, пересылает его на мобильный вычислительный блок. Мобильный вычислительный блок и сервер RADIUS не могут непосредственно связываться друг с другом, что гарантирует защиту сетевых ресурсов. Однако в случае отсутствия достаточной идентифицирующей информации доверенная машина предоставляет идентификатор машины на этапе 720. Точка доступа направляет идентификатор доверенной машины на сервер RADIUS, который, в свою очередь, обеспечивает запрос, пересылаемый точкой доступа на мобильный вычислительный блок.
На этапе 725 точка доступа запрашивает заявленную идентичность, запрашивая подтверждение заявленной идентичности в соответствии с запросом, поступившим от сервера RADIUS. На этапе 730 мобильный вычислительный блок предоставляет точке доступа сертификат, подтверждающий заявленную идентичность машины. На этапе 735 точка доступа предоставляет ограниченный доступ, соответствующий заявленной и аутентифицированной идентичности машины, если сертификат действителен.
На фиг.8 проиллюстрирован способ использования принятого по умолчанию идентификатора пользователя для обеспечения вмешательства системного администратора. Этот способ выгодно применять при аутентификации и регистрации новых пользователей без необходимости их физического присутствия в центральном учреждении. После выдачи начального сообщения на этапе 800 для запрашивания доступа к вычислительной среде на этапе 805 запрашивают идентификацию. На этапе 810 пользователь предоставляет принятый по умолчанию идентификатор пользователя, который может быть пустой строкой. Получив принятый по умолчанию идентификатор пользователя, система не отказывает пользователю в доступе, а вместо этого вызывает системного администратора, который решает, предоставить ли пользователю доступ к вычислительной среде, и определяет уровень авторизации на этапе 815. Если системный администратор подтверждает идентичность пользователя, т.е. аутентифицирует пользователя, то контроллер домена позволяет пользователю зарегистрироваться на этапе 830. Затем контроллер домена получает сертификат для предоставления идентификатора пользователя на этапе 835. На этапе 840 сертификат сохраняют для подтверждения идентичности пользователя при последующих попытках доступа к вычислительным ресурсам без необходимости обращаться к системному администратору.
На фиг.9 представлен иллюстративный способ предоставления пользователю ограниченного доступа с удаленного и незащищенного устройства, причем способ сводится к запросу на использование одной или нескольких машин, идентичность которых неизвестна или которые физически расположены вне сети интранет. В таком сценарии предпочтительно обеспечивать ограниченный доступ, который не отражает все привилегии, которые мог бы иметь конкретный пользователь, работая на защищенном узле или защищенной машине. На этапе 900 направляют запрос доступа точке удаленного доступа через прокси-сервер, после чего на этапе 905 запрашивают заявленную идентичность обычным образом. Получив на этапе 910 идентификатор, который может быть идентификатором пользователя или машины, запрашивают на этапе 915 подтверждение заявленной идентичности. На этапе 920 запрашивающая сторона подтверждает заявленную идентичность, предоставляя сертификат, выданный доверенной службой сертификации. Прокси-сервер RADIUS проводит соответствующие транзакции, и сервер RADIUS, снабженный функцией проверки защиты, предоставляет пользователю унифицированный указатель ресурса (URL), фактически адрес порта, обеспечивая доступ к вычислительным ресурсам на этапе 925. Этот URL обычно обеспечивает пользователя более низкой степенью доступа к сетевым ресурсам по сравнению с той, которую бы он получил через точку доступа в сети.
На фиг.10 приведены этапы другого варианта осуществления изобретения для удаленного доступа к защищенному вычислительному ресурсу. На этапе 1000 удаленный пользователь запрашивает доступ к ресурсу защищенной вычислительной среды. Этот запрос можно делать в точке доступа другой сети и через Интернет. Сервер RADIUS обрабатывает запрос и предоставляет URL на этапе 1005, чтобы обеспечить аутентификацию запрашивающей стороны на удаленном вычислительном устройстве. Это соединение, вероятно, является защищенным соединением, что указано на этапе 1010, и может использовать SSL (уровень защищенных гнезд) и другие подобные технологии для аутентификации запрашивающей стороны. Кроме того, веб-страница, используемая для аутентификации, может также запрашивать и получать информацию для целей экаунтинга. Такая информация включает в себя номера кредитных карт, время и характер запрашиваемых ресурсов и т.п. На этапе 1015 определяют наличие или отсутствие запрашиваемых услуг. При наличии услуг и успешной аутентификации на этапе 1020 предоставляется авторизация для доступа к запрашиваемым ресурсам, после чего процедура заканчивается. С другой стороны, при отсутствии запрашиваемых ресурсов переходят от этапа 1015 к этапу 1030, чтобы сообщить запрашивающей стороне об отсутствии ресурса или доступа, после чего процедура заканчивается на этапе 1025.
Вышеописанные способы обеспечивают автоматическое администрирование совокупностью пользователей, некоторые из которых имеют мобильные вычислительные блоки, в сети, имеющей динамические линии связи, за счет машинной или пользовательской аутентификации, объединенной с различными уровнями авторизации, отражающими относительную угрозу безопасности для различных пользователей и линий связи.
Защищенная линия связи, установленная описанными здесь способами, включает в себя шифрование. Шифрование обеспечивается обменом, по меньшей мере, одним ключом и генерацией дополнительных ключей точкой доступа и мобильным вычислительным блоком, для создания защищенной связи. Эти ключи могут быть симметричными или асимметричными. Каждое шифрование предусматривает частые смены ключа для повышения уровня защиты. Кроме того, в случае нарушения защищенной линии связи с последующим ее восстановлением в новой точке доступа, подключенной к ранее использованной точке доступа, мобильный вычислительный блок всего лишь представляет идентичность ранее использованной точки доступа и заявляет свою идентичность. Новая точка доступа подтверждает предыдущую аутентификацию мобильного вычислительного блока и разрешает доступ, не требуя повторной аутентификации мобильного вычислительного блока. Эта стратегия в сочетании с перерывом обеспечивает лучшие условия работы в сети благодаря уменьшению задержки за счет времени, необходимого для аутентификации нового мобильного блока.
Ввиду большого количества возможных вариантов осуществления, к которым применимы принципы этого изобретения, следует понимать, что вариант осуществления, описанный здесь со ссылками на чертежи, носит исключительно иллюстративный характер и не должен рассматриваться как ограничение объема изобретения. Например, специалистам в данной области очевидно, что элементы проиллюстрированного варианта осуществления, показанные в виде программного обеспечения, можно реализовать в виде аппаратного обеспечения и наоборот или что проиллюстрированный вариант осуществления можно модифицировать в отношении структуры и деталей, не выходя за рамки сущности изобретения. Поэтому описанное здесь изобретение охватывает все подобные варианты осуществления и соответствует объему нижеприведенной формулы изобретения и ее эквивалентов.
Все приведенные здесь ссылки, в том числе на патенты, патентные заявки и публикации, включены в настоящее описание изобретения во всей полноте посредством ссылки.

Claims (34)

1. Способ предоставления мобильному вычислительному блоку привилегированного доступа к вычислительному ресурсу, способ содержит этапы, на которых обнаруживают неудачную попытку пользователя мобильного вычислительного блока зарегистрироваться для доступа к вычислительному ресурсу и затем получают сертификат с уникальным идентификатором мобильного вычислительного блока для облегчения аутентификации идентичности упомянутого блока, предоставляют сертификат блоку аутентификации для подтверждения идентичности мобильного вычислительного блока, причем блок аутентификации управляет доступом к вычислительному ресурсу, и устанавливают ограниченный доступ к вычислительному ресурсу с использованием информации авторизации, полученной от блока аутентификации, причем информация авторизации соответствует аутентифицированной идентичности мобильного вычислительного блока.
2. Способ по п.1, отличающийся тем, что мобильный вычислительный блок связывается с вычислительным ресурсом с использованием, по меньшей мере, одной беспроводной линии связи.
3. Способ по п.1, отличающийся тем, что информация авторизации включает в себя ключ для шифрования передач с мобильного вычислительного блока на входной порт.
4. Способ по п.3, отличающийся тем, что ключ является симметричным сеансовым ключом.
5. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором определяют, что мобильный вычислительный блок не имеет сертификата, подтверждающего идентичность машины, и в ответ выполняют этап получения сертификата.
6. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором сохраняют уникальный идентификатор машины на мобильном вычислительном блоке для последующего использования.
7. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором сохраняют сертификат на мобильном вычислительном блоке.
8. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором принимают уникальный идентификатор машины.
9. Способ по п.1, отличающийся тем, что дополнительно содержит этапы, на которых контроллер домена получает сертификат от службы сертификации и принимают сертификат от контроллера домена.
10. Способ по п.9, отличающийся тем, что контроллер домена получает сертификат в ответ на пользовательский запрос, поступивший от пользователя, причем пользователь использует мобильный вычислительный блок для доступа к вычислительному ресурсу.
11. Способ предоставления пользователю привилегированного доступа к вычислительному ресурсу, причем доступ к вычислительному ресурсу является ограниченным, способ содержит этапы, на которых запрашивают доступ к вычислительному ресурсу, предоставляют принятый по умолчанию идентификатор пользователя, чтобы инициировать процесс регистрации для получения ограниченного доступа к вычислительному ресурсу, принимают посредством администратора принятый по умолчанию идентификатор пользователя, подтверждают посредством администратора идентичность пользователя и в ответ предоставляют информацию для получения доступа к вычислительному ресурсу, и передают и принимают данные на вычислительный ресурс и от него для завершения процесса регистрации.
12. Способ по п.11, отличающийся тем, что дополнительно содержит этап, на котором получают доступ к вычислительному ресурсу, при условии успешной регистрации на контроллере домена, причем контроллер домена соответствует вычислительному ресурсу.
13. Способ по п.11, отличающийся тем, что дополнительно содержит этапы, на которых контроллер домена получает сертификат для аутентификации пользователя, и пользователь принимает от контроллера домена сертификат для аутентификации пользователя.
14. Способ по п.11, отличающийся тем, что пользователь осуществляет доступ к вычислительному ресурсу с использованием, по меньшей мере, одной беспроводной линии связи.
15. Способ предоставления пользователю защищенного доступа к вычислительному ресурсу с внешнего устройства, способ содержит этапы, на которых посылают запрос доступа к вычислительному ресурсу, предоставляют идентификатор пользователя аутентифицирующему прокси-серверу через точку удаленного доступа, причем идентификатор пользователя соответствует заявленной идентичности, в ответ на запрос предоставляют аутентифицирующему прокси-серверу через точку удаленного доступа сертификат для аутентификации заявленной идентичности и принимают от аутентифицирующего прокси-сервера адрес для передачи и приема данных на вычислительный ресурс и от него, причем адрес соответствует ограниченному доступу к вычислительному ресурсу.
16. Способ по п.15, отличающийся тем, что адрес для передачи и приема данных представляет собой унифицированный указатель ресурса.
17. Способ по п.16, отличающийся тем, что пользователь дополнительно принимает ключ для шифрования передач на вычислительный ресурс.
18. Способ по п.17, отличающийся тем, что дополнительно используют ключ для дешифрования передач от вычислительного ресурса.
19. Считываемый компьютером носитель, содержащий выполняемые компьютером команды для осуществления этапов способа предоставления привилегированного доступа от мобильного вычислительного блока к вычислительному ресурсу, причем способ содержит этапы, на которых обнаруживают неудачную попытку пользователя мобильного вычислительного блока зарегистрироваться для доступа к вычислительному ресурсу и затем получают сертификат с уникальным идентификатором мобильного вычислительного блока для облегчения аутентификации идентичности мобильного вычислительного блока,
предоставляют сертификат блоку аутентификации для подтверждения идентичности мобильного вычислительного блока, причем блок аутентификации управляет доступом к вычислительному ресурсу, и устанавливают доступ к вычислительному ресурсу с использованием информации авторизации, полученной от блока аутентификации, причем информация авторизации соответствует аутентифицированной идентичности мобильного вычислительного блока.
20. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды для осуществления этапа использования идентификатора машины в случае, когда пользователю машины не удается зарегистрироваться для доступа к вычислительному ресурсу.
21. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды, отличающийся тем, что мобильный вычислительный блок связывается с вычислительным ресурсом с использованием, по меньшей мере, одной беспроводной линии связи.
22. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды, отличающийся тем, что информация авторизации включает в себя ключ для шифрования передач с мобильного вычислительного блока на входной порт.
23. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды для осуществления дополнительного этапа сохранения уникального идентификатора машины на мобильном вычислительном блоке для последующего использования.
24. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды, для осуществления дополнительного этапа сохранения сертификата на мобильном вычислительном блоке.
25. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды для осуществления дополнительных этапов получения контроллером домена сертификата от службы сертификации и приема сертификата от контроллера домена.
26. Считываемый компьютером носитель по п.25, содержащий выполняемые компьютером команды, отличающийся тем, что контроллер домена получает сертификат в ответ на пользовательский запрос, поступивший от пользователя, на использование вычислительного ресурса.
27. Считываемый компьютером носитель, содержащий выполняемые компьютером команды, для осуществления этапов способа предоставления пользователю привилегированного доступа к вычислительному ресурсу, при этом доступ к вычислительному ресурсу является ограниченным, причем способ содержит этапы, на которых запрашивают доступ к вычислительному ресурсу, предоставляют принятый по умолчанию идентификатор пользователя, чтобы инициировать процесс регистрации для получения ограниченного доступа к вычислительному ресурсу принимают посредством администратора принятый по умолчанию идентификатор пользователя, и в ответ предоставляют информацию для получения доступа к вычислительному ресурсу и передают и принимают данные на вычислительный ресурс и от него для завершения процесса регистрации.
28. Считываемый компьютером носитель по п.27, содержащий выполняемые компьютером команды, для осуществления этапа получения доступа к вычислительному ресурсу, при условии успешной регистрации на контроллере домена, причем контроллер домена соответствует вычислительному ресурсу.
29. Считываемый компьютером носитель по п.27, содержащий выполняемые компьютером команды, для осуществления этапов получения контроллером домена сертификата для аутентификации пользователя и приема пользователем сертификата для аутентификации пользователя от контроллера домена.
30. Считываемый компьютером носитель по п.27, содержащий выполняемые компьютером команды, отличающийся тем, что пользователь осуществляет доступ к вычислительному ресурсу с использованием, по меньшей мере, одной беспроводной линии связи.
31. Считываемый компьютером носитель, содержащий выполняемые компьютером команды для осуществления этапов способа предоставления пользователю защищенного доступа к вычислительному ресурсу с внешнего устройства, причем способ содержит этапы, на которых посылают запрос доступа к вычислительному ресурсу, предоставляют идентификатор пользователя, причем идентификатор пользователя соответствует заявленной идентичности, чтобы инициировать регистрацию для доступа к вычислительному ресурсу, предоставляют в ответ на запрос сертификат для аутентификации заявленной идентичности для получения доступа к вычислительному ресурсу и
принимают от аутентифицирующего прокси-сервера адрес для передачи и приема данных на вычислительный ресурс и от него.
32. Считываемый компьютером носитель по п.31, содержащий выполняемые компьютером команды, отличающийся тем, что адрес для передачи и приема данных представляет собой унифицированный указатель ресурса.
33. Считываемый компьютером носитель по п.32, содержащий выполняемые компьютером команды, для осуществления этапа приема ключа для шифрования передач на вычислительный ресурс.
34. Считываемый компьютером носитель по п.33, содержащий выполняемые компьютером команды, для осуществления этапа использования ключа для дешифрования передач от вычислительного ресурса.
RU2002131451/09A 2000-04-24 2001-02-23 Управление защищенной линией связи в динамических сетях RU2297037C2 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US55794500A 2000-04-24 2000-04-24
US09/557,945 2000-04-24
US09/694,514 2000-10-23
US09/694,514 US7257836B1 (en) 2000-04-24 2000-10-23 Security link management in dynamic networks

Publications (2)

Publication Number Publication Date
RU2002131451A RU2002131451A (ru) 2004-03-10
RU2297037C2 true RU2297037C2 (ru) 2007-04-10

Family

ID=27071571

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2002131451/09A RU2297037C2 (ru) 2000-04-24 2001-02-23 Управление защищенной линией связи в динамических сетях

Country Status (14)

Country Link
US (1) US7257836B1 (ru)
EP (4) EP1277099A2 (ru)
JP (2) JP4917233B2 (ru)
CN (1) CN100580610C (ru)
AT (1) ATE400015T1 (ru)
AU (2) AU2001243262A1 (ru)
BR (1) BR0110332A (ru)
CA (1) CA2407482C (ru)
DE (1) DE60134678D1 (ru)
ES (1) ES2308087T3 (ru)
HK (2) HK1052996A1 (ru)
MX (1) MXPA02010499A (ru)
RU (1) RU2297037C2 (ru)
WO (2) WO2001082037A2 (ru)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2443063C2 (ru) * 2007-04-26 2012-02-20 Квэлкомм Инкорпорейтед Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях
RU2445695C2 (ru) * 2007-11-16 2012-03-20 Чайна Ивнкомм Ко., Лтд. Система управления доступом в надежную сеть на основе трехэлементной равноправной идентификации
RU2459248C2 (ru) * 2007-10-12 2012-08-20 Анэкт А.С. Способ установления защищенной электронной связи между различными электронными устройствами, в особенности между электронными устройствами поставщиков электронных услуг и электронными устройствами потребителей электронной услуги
RU2459380C2 (ru) * 2008-08-15 2012-08-20 Нтт Досомо, Инк. Способ мобильной связи, базовая станция радиосвязи и мобильная станция
RU2461990C2 (ru) * 2008-06-27 2012-09-20 Нтт Досомо, Инк. Способ мобильной связи и мобильная станция
RU2536362C2 (ru) * 2008-10-06 2014-12-20 Конинклейке Филипс Электроникс Н.В. Способ работы сети, устройство управления системой, сеть и компьютерная программа для такого управления
US8948395B2 (en) 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0993739A1 (en) * 1997-05-21 2000-04-19 E.S.P. Communications, Inc. System, method and apparatus for "caller only" initiated two-way wireless communication with caller generated billing
US20020026584A1 (en) * 2000-06-05 2002-02-28 Janez Skubic Method for signing documents using a PC and a personal terminal device
US7218739B2 (en) 2001-03-09 2007-05-15 Microsoft Corporation Multiple user authentication for online console-based gaming
FR2826536B1 (fr) * 2001-06-20 2004-01-23 Gemplus Card Int Procede de communication radiofrequence securisee
FI114953B (fi) * 2001-09-28 2005-01-31 Nokia Corp Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite
US7203835B2 (en) * 2001-11-13 2007-04-10 Microsoft Corporation Architecture for manufacturing authenticatable gaming systems
US7730321B2 (en) * 2003-05-09 2010-06-01 Emc Corporation System and method for authentication of users and communications received from computer systems
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7272714B2 (en) 2002-05-31 2007-09-18 International Business Machines Corporation Method, apparatus, and program for automated trust zone partitioning
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
CN1781099B (zh) * 2003-03-14 2011-11-09 汤姆森特许公司 在公共热点中的客户终端的自动配置
US7454615B2 (en) * 2003-05-08 2008-11-18 At&T Intellectual Property I, L.P. Centralized authentication system
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7457953B2 (en) * 2003-12-18 2008-11-25 Intel Corporation Method and apparatus to provide secure communication
US7549048B2 (en) 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US20060068757A1 (en) * 2004-09-30 2006-03-30 Sukumar Thirunarayanan Method, apparatus and system for maintaining a persistent wireless network connection
CN1801705B (zh) * 2005-01-07 2011-01-05 华为技术有限公司 一种预认证方法
US7598855B2 (en) 2005-02-01 2009-10-06 Location Based Technologies, Inc. Apparatus and method for locating individuals and objects using tracking devices
US7640430B2 (en) * 2005-04-04 2009-12-29 Cisco Technology, Inc. System and method for achieving machine authentication without maintaining additional credentials
US7958368B2 (en) 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US8578159B2 (en) 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US8200191B1 (en) * 2007-02-08 2012-06-12 Clearwire IP Holdings Treatment of devices that fail authentication
US8307411B2 (en) 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
US8201231B2 (en) 2007-02-21 2012-06-12 Microsoft Corporation Authenticated credential-based multi-tenant access to a service
US8774827B2 (en) 2007-04-05 2014-07-08 Location Based Technologies, Inc. Apparatus and method for generating position fix of a tracking device in accordance with a subscriber service usage profile to conserve tracking device power
US8224355B2 (en) 2007-11-06 2012-07-17 Location Based Technologies Inc. System and method for improved communication bandwidth utilization when monitoring location information
US8497774B2 (en) 2007-04-05 2013-07-30 Location Based Technologies Inc. Apparatus and method for adjusting refresh rate of location coordinates of a tracking device
US9111189B2 (en) 2007-10-31 2015-08-18 Location Based Technologies, Inc. Apparatus and method for manufacturing an electronic package
US8102256B2 (en) 2008-01-06 2012-01-24 Location Based Technologies Inc. Apparatus and method for determining location and tracking coordinates of a tracking device
US8244468B2 (en) 2007-11-06 2012-08-14 Location Based Technology Inc. System and method for creating and managing a personalized web interface for monitoring location information on individuals and objects using tracking devices
US8654974B2 (en) 2007-10-18 2014-02-18 Location Based Technologies, Inc. Apparatus and method to provide secure communication over an insecure communication channel for location information using tracking devices
US9112863B2 (en) * 2009-12-14 2015-08-18 International Business Machines Corporation Method, program product and server for controlling a resource access to an electronic resource stored within a protected data environment
CN102196436B (zh) * 2010-03-11 2014-12-17 华为技术有限公司 安全认证方法、装置及系统
US9443078B2 (en) * 2010-04-20 2016-09-13 International Business Machines Corporation Secure access to a virtual machine
US8462955B2 (en) * 2010-06-03 2013-06-11 Microsoft Corporation Key protectors based on online keys
US8910259B2 (en) * 2010-08-14 2014-12-09 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US8886773B2 (en) 2010-08-14 2014-11-11 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
JP5618881B2 (ja) * 2011-03-25 2014-11-05 三菱電機株式会社 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
CN102395006B (zh) * 2011-10-24 2013-09-11 南京大学 一种基于视频流的外网安全审查系统
US9363267B2 (en) * 2014-09-25 2016-06-07 Ebay, Inc. Transaction verification through enhanced authentication
US10108849B2 (en) * 2016-10-14 2018-10-23 Bank Of America Corporation Biometric facial recognition for accessing device and authorizing event processing
CN106790702B (zh) * 2017-02-24 2020-05-05 腾讯科技(深圳)有限公司 一种基于物理场景的资源特权分发方法和管理端以及系统
EP3407559A1 (en) * 2017-05-26 2018-11-28 Authentic Vision GmbH System and method to manage privileges based on the authentication of an uncloneable security device
US11886605B2 (en) * 2019-09-30 2024-01-30 Red Hat, Inc. Differentiated file permissions for container users

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5371794A (en) * 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
US5999711A (en) 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US5787177A (en) * 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
JP3006504B2 (ja) * 1996-08-27 2000-02-07 日本電気株式会社 無線ネットワークにおける無線端末の認証方法および無線ネットワーク
US5991877A (en) * 1997-04-03 1999-11-23 Lockheed Martin Corporation Object-oriented trusted application framework
US6049877A (en) 1997-07-16 2000-04-11 International Business Machines Corporation Systems, methods and computer program products for authorizing common gateway interface application requests
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
JPH11261731A (ja) 1998-03-13 1999-09-24 Nec Corp 移動通信システム、移動通信システムにおける接続方法及びこれが書き込まれた記憶媒体
US6308273B1 (en) 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
WO1999066384A2 (en) 1998-06-17 1999-12-23 Sun Microsystems, Inc. Method and apparatus for authenticated secure access to computer networks
US6643774B1 (en) * 1999-04-08 2003-11-04 International Business Machines Corporation Authentication method to enable servers using public key authentication to obtain user-delegated tickets
US6571221B1 (en) * 1999-11-03 2003-05-27 Wayport, Inc. Network communication service with an improved subscriber model using digital certificates

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8948395B2 (en) 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
RU2443063C2 (ru) * 2007-04-26 2012-02-20 Квэлкомм Инкорпорейтед Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях
US10085148B2 (en) 2007-04-26 2018-09-25 Qualcomm Incorporate Method and apparatus for new key derivation upon handoff in wireless networks
US10091648B2 (en) 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
US10412583B2 (en) 2007-04-26 2019-09-10 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
RU2459248C2 (ru) * 2007-10-12 2012-08-20 Анэкт А.С. Способ установления защищенной электронной связи между различными электронными устройствами, в особенности между электронными устройствами поставщиков электронных услуг и электронными устройствами потребителей электронной услуги
RU2445695C2 (ru) * 2007-11-16 2012-03-20 Чайна Ивнкомм Ко., Лтд. Система управления доступом в надежную сеть на основе трехэлементной равноправной идентификации
US8336083B2 (en) 2007-11-16 2012-12-18 China Iwncomm Co., Ltd. Trusted network access control system based ternary equal identification
RU2461990C2 (ru) * 2008-06-27 2012-09-20 Нтт Досомо, Инк. Способ мобильной связи и мобильная станция
RU2459380C2 (ru) * 2008-08-15 2012-08-20 Нтт Досомо, Инк. Способ мобильной связи, базовая станция радиосвязи и мобильная станция
RU2536362C2 (ru) * 2008-10-06 2014-12-20 Конинклейке Филипс Электроникс Н.В. Способ работы сети, устройство управления системой, сеть и компьютерная программа для такого управления

Also Published As

Publication number Publication date
AU2001255191A1 (en) 2001-11-07
EP1959368A3 (en) 2012-06-27
WO2001082037A2 (en) 2001-11-01
JP4917233B2 (ja) 2012-04-18
EP1498801A1 (en) 2005-01-19
ES2308087T3 (es) 2008-12-01
CN1433537A (zh) 2003-07-30
CA2407482A1 (en) 2001-11-01
BR0110332A (pt) 2004-12-21
EP1498800B1 (en) 2008-07-02
JP2012100294A (ja) 2012-05-24
JP5243593B2 (ja) 2013-07-24
CN100580610C (zh) 2010-01-13
HK1052996A1 (zh) 2003-10-03
WO2001082038A2 (en) 2001-11-01
US7257836B1 (en) 2007-08-14
EP1277099A2 (en) 2003-01-22
DE60134678D1 (de) 2008-08-14
MXPA02010499A (es) 2003-09-22
HK1055822A1 (en) 2004-01-21
WO2001082037A3 (en) 2002-08-08
EP1498800A1 (en) 2005-01-19
RU2002131451A (ru) 2004-03-10
WO2001082038A3 (en) 2002-08-01
JP2003532185A (ja) 2003-10-28
CA2407482C (en) 2010-10-26
AU2001243262A1 (en) 2001-11-07
EP1959368A2 (en) 2008-08-20
EP1959368B1 (en) 2018-05-23
ATE400015T1 (de) 2008-07-15

Similar Documents

Publication Publication Date Title
RU2297037C2 (ru) Управление защищенной линией связи в динамических сетях
KR101459802B1 (ko) 암호화 증명의 재검증에 기반을 둔 인증 위임
US8607045B2 (en) Tokencode exchanges for peripheral authentication
EP1927211B1 (en) Authentication method and apparatus utilizing proof-of-authentication module
KR101130415B1 (ko) 비밀 데이터의 노출 없이 통신 네트워크를 통해 패스워드 보호된 비밀 데이터를 복구하는 방법 및 시스템
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US7533265B2 (en) Establishment of security context
US7757275B2 (en) One time password integration with Kerberos
US8621216B2 (en) Method, system and device for synchronizing between server and mobile device
US6895501B1 (en) Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure
US7669229B2 (en) Network protecting authentication proxy
US20090113537A1 (en) Proxy authentication server
US20040143730A1 (en) Universal secure messaging for remote security tokens
KR20040045486A (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
KR20100029098A (ko) 비보안 네트워크들을 통한 장치 프로비저닝 및 도메인 조인 에뮬레이션
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
JP4807944B2 (ja) 秘密認証データの知識を必要としないチャレンジ−ベースの認証
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
JP2009104509A (ja) 端末認証システム、端末認証方法
KR100243657B1 (ko) 정보 검색 시스템에서의 보안 유지 방법
JP2000261428A (ja) 分散処理システムにおける認証装置

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20150526

MM4A The patent is invalid due to non-payment of fees

Effective date: 20190224