CN101542965A - 基于密码证据的重新验证的认证委托 - Google Patents

Abstract

在实体链内委托认证的方法依赖于网关设备和用户之间的TLS握手的至少一部分的记录，其中用户需要访问所需服务器。该方法随后依赖于对TLS握手的所记录的部分的密码证据的重新验证，该密码证据被转发给(1)需要访问的服务器，在这种情况下，该服务器重新验证所记录的部分来确认认证，或(2)第三方实体，在这种情况下，该第三方实体确认认证并向网关服务器提供凭证，网关随后使用这些凭证来作为用户向服务器认证。

Description

基于密码证据的重新验证的认证委托

背景

组织可能具有一起向用户提供某一服务的实体链。对诸如数据、网页、功能软件操作等资源的访问需要被限于一组已知且授权的用户。已经开发了各种访问控制方案来防止未经授权的用户和恶意攻击者获得对计算机资源的访问，包括用来认证正尝试访问web资源的用户的身份的机制。具体地，由于身份盗窃攻击(例如网络钓鱼(phishing)、网址嫁接(pharming))的增加，双因素认证正变得流行。

双因素认证(T-FA)是要求两种不同的方式来建立身份和特权的任何认证协议。双因素认证的常见实现使用“你知道的某些事情”(例如口令或个人标识号)作为一个因素，并使用“你拥有的某些东西”(例如，信用卡或硬件令牌)或“你是的某些东西”(例如指纹或视网膜模式)作为另一因素。例如，智能卡是用于提供双因素认证的方法中的一种。智能卡是硬件令牌的示例，并通常包含能够执行各种安全操作的微处理器，这些安全操作如对所提供的数据执行密码功能。智能卡通常持有可被用于要求基于证书的认证的协议的一个或多个国际电信联盟(ITU-T)X.509证书(及其相关联的私钥)。SSL(安全套接字层)、TLS(传输层安全)和Kerberos(具有PKINIT，其是“用于Kerberos中的初始认证的公钥密码(Public KeyCryptography for Initial Authentication in Kerberos)”的简称)都是此类协议的示例。

智能卡不是为使用证书而必需的。许多设备(例如计算机、移动电话)都能够存储和使用证书(及其相关联的私钥)。例如，Windows Mobile 5.0可以使用证书来向Exchange 2003 SP2服务器认证，以同步电子邮件和日历信息(经由在SSL或TLS上运行的Exchange ActiveSync协议)。

在组织的网络的实体链上防止身份盗窃攻击是很重要的，该网络包括例如网络边缘的、提供对位于该组织的内部网络(内联网)上的web服务器的基于web的访问的网关设备。

认证委托被广义地定义为其中客户机向服务器委托认证的情况，或更具体地，允许可以访问资源(或服务器)的第三方认证服务(或网关)代表用户(通过本质上扮演用户)认证的情况。所访问的服务器将其授权决定基于用户的身份而非基于认证服务的帐户。

提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所要求保护的主题的范围，也不旨在被看作将所要求保护的主题只限于可以解决上述问题或缺点的任何或全部的那些实现。

概述

基于重新验证或密码证据的认证委托利用在用户期望访问实体链中的特定服务器时对网关设备和该用户之间的TLS握手的至少一部分的记录。密码证据是通过将TLS握手的所记录的部分转发给(1)所需服务器，在这种情况下，该服务器重新验证所记录的部分来确认认证，或(2)第三方实体，在这种情况下，该第三方实体通过重新验证所记录的部分并向网关提供用户凭证来确认认证，网关进而使用这些凭证来作为用户向服务器认证，来提供的。在每一情况下，服务器和第三方实体使用TLS握手的所记录的部分来做出是否向用户授予访问的决定，而不涉及在用户和网关设备之间的认证中。

在各说明性示例中，密码证据包括时间戳来通过确保TLS握手是及时的(即“新鲜的”)以提供附加安全措施。另外，在确认有效的TLS握手之后，第三方实体可被安排成发行临时(即，有时限的)用户凭证来使网关能够代表用户例如使用具有PKINIT的Kerberos向所需服务器认证。

提供本概述以便以简化的形式介绍一些概念。这些概念将在详细描述一节中进一步描述。除本概述中所述的以外的元素或步骤是可能的，且没有元素或步骤是必需的。本概述并不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用来协助确定所要求保护的主题的范围。所要求保护的主题不限于解决在本公开的任意部分中提及的任何或所有缺点的实现。

附图简述

图1是用于基于TLS握手消息的重新验证的认证委托的说明性体系结构的简化功能框图；

图2是示出利用图1的示例性体系结构的认证过程的各个步骤的说明性流程图；

图3是用于认证委托的说明性体系结构的简化功能框图，在该认证委托中用户凭证是由接收TSL握手的至少一部分的记录的第三方实体提供的；

图4示出Kerberos(版本5)协议中的客户机和密钥分发中心之间的说明性消息交换；以及

图5是示出利用图3的示例性体系结构的认证过程的各个步骤的说明性流程图；

图6是示出典型的TLS握手阶段期间客户机和服务器之间的消息交换的示意消息流程图。

详细描述

本发明的基于重新验证或密码证据的认证委托的说明性上下文是其中客户机/用户通过网关访问一个或多个服务提供者的上下文。然而，要强调的是，该上下文仅仅是说明性的，因为其它上下文和环境也可能是合适的。例如，在web服务器需要作为用户向后端应用程序或数据库认证时，或另选地在其中存在实体链并且该链中的实体之间需要认证的任何设置中，可以使用本发明的认证委托。

在该访问上下文中，网关设备提供对web服务器的访问，其中用户提交到达网关并最终到达内部web服务器的请求。然而，网关和web服务器两者通常都要求某种形式的认证，以决定连接的用户是否被允许访问所需资源。

如果网关被配置成使用基于表单的认证(FBA)，则其将要求用户在登录表单中输入用户名和口令。用户随后提交该表单，并且网关接收用户的用户名和口令。网关随后可以使用这些凭证来代表用户向内部web服务器认证。这是非常简单和可能的，因为网关接收口令并可以在其需要时使用。然而，对于某些认证方案，这是不可能的。例如，如果用户向使用不提供口令的认证方案的网关认证，则网关不具有其可以重用来代表用户向内部web服务器认证的任何凭证。

已经提出了一些对该问题的解决方案。例如，一个解决方案涉及“可信第三方”。在此，预先配置可信第三方“信任”网关来代表所有用户向定义的一组web服务器(或一般而言，服务)认证。该技术可被实现为允许网关(或前端服务器)代表客户机请求用于其它服务器的权证的协议。可信第三方随后愿意代表任何用户向网关提供服务权证，以使网关随后可以扮演任何用户。

可信第三方还可被配置成在特定条件下提供服务权证。例如，在Kerberos协议中，客户机经由服务权证向网关认证，并且Kerberos约束的委托提供一种可将可信第三方(密钥分发中心)配置成施加这一条件的方法。在这种情况下，网关必须提供所声称的用户确实向网关认证了(经由服务权证)的证据，这对提高系统的总体安全很重要。例如，要求这种证据的优点是在用户没有首先适当地向遭到损害的网关认证的情况下，该网关将不能够代表该用户得到对服务器的访问。

尽管这些提议提供无需口令来解决认证的方式，但在某些情况下，实现不涉及密钥分发中心(KDC)或其它可信第三方实体的认证委托模型是合乎需要的。在这种模型中，网关将在不与KDC的进行任何通信的情况下代表用户向内部web服务器认证。存在多种提供该类功能的解决方案。例如，一些产品可以安装/配置在网关和任何数量的内部web服务器上，以便一旦用户向网关认证，网关就返回内部web服务器所信任的令牌(在某些情况下是HTTP(超文本传输协议)cookie)。至于其它提议，该模型的一个问题是网关是完全可信实体，从而降低系统的总体安全性。

本发明的布置提供基于密码证据的重新验证的认证委托。网关(或前端服务器)提供对web服务器(后端服务器)的访问。客户机/用户使用具有客户机认证的TLS握手来向网关认证。TLS握手的记录，或TLS握手中至少足以证明用户向网关认证了的部分的记录，随后被提供给web服务器(其重新验证握手的有效性)或第三方实体(其在验证记录时向网关提供用户凭证，网关随后向web服务器认证)。

现转向相同的参考标号指示相同的元素的附图，图1示出其中利用本发明的认证委托的示例性网络体系结构。客户机/用户计算机系统10在操作上耦合到网关20(还被称为认证服务器)，从而允许客户机/用户10与web服务器30(还被称为网络服务器)网络之间的通信。网关20包含包括认证用户所必需的信息的数据库/目录(未示出)(另选地，网关可以通过网络与外部用户数据库/目录进行通信)。响应于登录，用户/客户机10首先经由具有客户机认证的TLS握手向网关20认证，如参考标号35所示。注意，客户机认证在此是有意地提出的，因为客户机认证在TLS握手协议中是可任选的。

TLS协议提供因特网上的通信私密性，并允许客户机/服务器应用程序以被设计成防止窃听、篡改和消息伪造的方式来通信。TLS握手协议允许服务器和客户机彼此认证，并在应用协议发送或接收其首字节数据之前协商加密算法和密码密钥。

TLS的一个优点是其是应用协议独立的。高级协议因而可以透明地在TLS协议上成层。TLS握手协议可概括如下：用户/客户机发送客户机问候消息，服务器(在图1中是网关20)必须用服务器问候消息对该客户机问候消息进行响应，否则将发生致命错误且连接将失败。客户机问候和服务器问候被用来在客户机和服务器之间建立安全增强能力。

图6是示出典型的TLS握手阶段期间客户机和服务器之间的消息交换的示意消息流程图。TLS协议在RFC 2246中的TLS协议1.0版本中有详细描述，其公开通过引用结合于此。客户机/用户以客户机/服务器关系与网关设备通信。

更具体地，如图6所示，实际密钥交换使用达4个消息：服务器证书、服务器密钥交换、客户机证书和客户机密钥交换。新密钥交换方法可以通过指定这些消息的格式并定义消息的使用以允许客户机和服务器就共享秘密达成一致来创建。在问候消息之后，服务器将发送其证书，如果其要被认证的话。另外，如果需要，可以发送服务器密钥交换消息(例如，如果其服务器没有证书或如果其证书只用于签署)。

如果服务器被认证，则其可以向客户机请求证书，如果这对所选密码套件而言是适当的话。服务器随后将发送服务器问候完成消息，指示握手的问候消息阶段完成。服务器随后将等待客户机响应。如果服务器已发送证书请求消息，则客户机必须发送证书消息。客户机密钥交换消息被发送，且该消息的内容将取决于客户机问候和服务器问候之间所选的公钥算法。如果客户机已发送具有签署能力的证书，则发送数字地签署的证书验证消息来显式地验证该证书。

返回到图1，在该说明性示例中，网关20创建作为握手的一部分所交换的数据的记录(在图1中作为具有参考标号45的THR示出)。更具体地，该记录包括至少相当于证书验证消息的数据，该证书验证消息包括TLS握手的所有先前消息上的签名，并证明用户/客户机10确实拥有与该证书匹配的私钥。

TLS握手记录，即THR随后作为用户/客户机10向网关20认证了的认证证据(即“证明”)而被直接提供给内部web服务器30。

内部web服务器30没有涉及在客户机/用户10与网关20之间的认证中，而是仅仅向其提供了客户机/用户10与网关20之间的认证的认证证据(即THR)，其随后作出关于是否提供对所需资源的访问的决定。

注意，所提议的方案只可在TLS握手包括证书验证消息的情况下使用。在以下条件的任一个为真时都不使用该消息：

1)TLS握手不包括客户机认证。

2)客户机和网关决定继续先前的TLS会话或复制现有会话(取代协商新安全参数)。在这种情况下，TLS握手不包含证书验证消息(参见RFC 2246中的30-31页)。

3)客户机证书具有签署能力(即，除包含固定Diffie-Hellman参数的证书之外的所有证书)。例如，密码套件CDH_ECDSA和ECDH_RSA(参见RFC 4492)支持客户机认证但不利用证书验证消息。

图2是在客户机/用户在图1所示的示例性体系结构中寻求访问web服务器时执行的认证过程的说明性流程图。该过程在客户机/用户期望web服务器资源时开始，并访问网关20(步骤200)。如果客户机/用户未登录到web服务器，则客户机/用户必须在web服务器允许访问之前被认证。

客户机/用户随后请求所需web服务器资源(步骤210)。为认证客户机/用户，网关20和客户机/用户10随后用以上详细描述的方式执行具有客户机认证的TLS握手(步骤220)(本领域技术人员将理解在客户机/用户请求所需资源之前或在客户机/用户请求资源之后，网关20可以立即认证客户机/用户10)。生成TLS握手的至少一部分的记录并将其提供给所请求的web服务器(步骤230)。

在接收到THR时，web服务器30验证客户机/用户已向网关认证(通过确认THR中的证书验证消息中的客户机/用户的签名，且在一些实施例中，还确认THR中的时间戳(在以下讨论))(步骤240)。假定客户机/用户被授权访问web服务器，如果验证了THR，则授予对所请求的web服务器的访问(步骤250)，并且如果THR未被验证，则拒绝访问(步骤260)。

如果攻击者能够获得THR并尝试重新使用其来扮演客户机/用户，则预想了若干技术和机制来防止或至少减轻这种“重放攻击”。首先，假定服务器和/或客户机/用户将时间相关数据(例如时间戳)嵌入在其握手消息中，则服务提供者(例如内部web服务器)可以检查所接收到的THR来确认其是“新鲜的”。该解决方案通常将要求网关20和web服务器30(或用户/客户机10和web服务器30)具有同步的时钟，但本领域技术人员将理解存在许多可能的解决方法。

另选地，网关20可以向服务提供者(web服务器30)询问现时值，并将该现时值嵌入在其作为TLS握手的一部分发送给用户/客户机10的各消息中的一个中。服务提供者随后可以检查所接收到的THR来确保它包括其先前生成的并传递给网关20的现时值。

注意，在这两种可能性的每一个中，网关20(或用户/客户机10)都将一些数据嵌入在TLS握手消息中(同样，握手协议本质上是协商数据传输会话的安全参数的一系列排序的消息)。这种数据嵌入通常将按以下方式中的一种来完成：

(1)服务器将时间戳或现时值放入服务器问候消息中，作为该消息的随机字段的一部分(握手协议的这一方面的细节可以在RFC 2246的7.4.1.3节中找到)；

(2)服务器将时间戳或现时值放入服务器问候扩展中(细节可在RFC3546的2.2节中找到)；

(3)客户机/用户将时间戳放入客户机问候消息中，作为该消息的随机字段的一部分(握手协议的这一方面的细节可以在RFC 2246的7.4.1.2节中找到)；

(4)客户机/用户将时间戳放入客户机问候扩展中(细节可在RFC 3546的2.1节中找到)；

最后，除上述每一替换之外，服务提供者(web服务器30)可以记住其接收到的所有THR以确保相同的THR不使用超过一次。该记忆还可以经由某一共享存储或通信机制来在服务提供者之间共享。

在另一说明性实现中，可以使用“双”TLS握手来进一步防止攻击者损害网关或客户机和网关之间的通信信道。在这种情况下，客户机/用户10和网关20执行没有客户机认证的第一TLS握手。在第一TLS握手成功完成后，客户机/用户10和网关20执行具有客户机认证的第二TLS握手。稍后被用作证据(THR)的第二握手用客户机/用户10和网关20从第一握手导出的会话密钥加密以用于传输。该THR因此被保护，因为其不是未加密地(即以明文)发送的，并且即使攻击者能够损害网关20，它也将难以获得THR。

至此所讨论的并在图1中示出的实施例包括用户/客户机10、网关20和服务提供者(web服务器30)。图3所示的并在以下详细讨论的替换实施例利用第三方实体40。在这种情况下，服务提供者(web服务器30)“信任”第三方实体40来提供用户的真实身份。这种第三方实体40可以是Kerberos KDC(如在S4U2Self+S4U2Proxy中)或证书授权机构(CA)。注意，虽然第三方实体40在图3中示为分开的实体，但在某些配置中，第三方实体(KDC或CA)可以驻留在与网关20相同的机器上。

在进一步具体地讨论图3所示的实施例之前，将讨论Kerberos协议，其涉及使用被称为KDC可信第三方来在客户机和服务之间协商共享会话密钥并在它们之间提供相互认证。

Kerberos的基石是权证(Ticket)和认证码(Authenticator)。权证将对称密钥(权证会话密钥——只有一个密钥，在两个端点之间共享)封装在预期用于特定服务的信封(公共消息)中。权证的内容使用在服务主体和发行KDC之间共享的对称密钥来加密。权证的经加密的部分包含客户机主体名，以及其它项目。认证码是可被示为最近使用相关联的权证中的权证会话密钥生成的记录。权证会话密钥为请求了该权证的客户机所知。认证码的内容使用相关联的权证会话密钥加密。认证码的经加密的部分包含时间戳和客户机主体名，以及其它项目。

如图4所示，Kerberos(版本5)协议包括客户机405和KDC 410之间的以及客户机405和应用服务器415之间的以下消息交换：

认证服务(AS)交换

客户机从Kerberos认证服务器(AS)获得“初始”权证，通常是权证授予权证(TGT)。AS-REQ消息420和AS-REP 425消息分别是客户机和AS之间的请求和回复消息。

权证授予服务(TGS)交换

客户机随后使用TGT来向Kerberos权证授予服务器(TGS)认证并请求特定服务的服务权证。TGS-REQ消息430和TGS-REP 435消息分别是客户机和TGS之间的请求和回复消息。

客户机/服务器认证协议(AP)交换

客户机随后用包括证明客户机拥有权证会话密钥的服务权证和认证码的AP-REQ消息440来作出请求。服务器可以任选地用AP-REP消息445来回复。AP交换通常协商会话专用对称密钥。

通常，AS和TGS被集成在也被称为KDC的单个设备中。

在AS交换中，KDC回复包含使用在客户机和KDC之间共享的密钥(AS回复密钥)加密的权证会话密钥以及其它项目。AS回复密钥通常是从用于人类用户的客户机的口令中导出的。因此，对于人类用户，Kerberos协议的攻击抵抗力不比其口令的抵抗力强大。

流行使用X.509证书(参见因特网协会(“ISOC”)所管理的“评定要求文件”文档系列下的RFC 3280)形式的非对称密码来方便数据起源认证和理想的保密性。已建立的公钥基础结构(PKI)提供可被用来建立认证和安全通信的密钥管理和密钥分发机制。向Kerberos添加公钥密码向公钥协议提供良好的一致性，排除人类用户管理强壮口令的负担，并允许Kerberos化(Kerberized)的应用程序利用现有密钥服务和身份管理。

Kerberos TGT所提供的优点是客户机只将其长期秘密暴露一次。TGT及其相关联的会话密钥随后可被用于任何后续服务权证请求。一个结果是所有进一步认证是与执行初始认证的方法相独立的。因此，初始认证提供将公钥密码集成到Kerberos认证中的方便的地点。另外，出于性能考虑，在初始交换之后使用对称密码是优选的。

RFC 4556描述客户机和KDC可用来使用公钥和私钥对以在AS交换中彼此认证并协商只有客户机和KDC知道的、加密KDC所发送的AS-REP的AS回复密钥的方法和数据格式。

返回到图3，在完成TLS握手(其也参考图1讨论了，可以是“双”握手)之后，网关20向第三方实体40提供THR 45。如在图1的情况下，同样，“可信实体”(在该情况下是第三方实体40)作出决定而不涉及在客户机/用户10和网关20之间的认证中。相反，可信实体依赖于THR来确定其是否将向网关提供用户凭证。

更具体地，在交换有效的TLS握手(即THR)时，第三方实体40向网关20返回如参考标号55所示的一种形式的用户凭证(UC)。网关20又使用该UC来向web服务器30认证，如参考标号65所示。在KDC的情况下，用户凭证将是以用户10名义的Kerberos服务权证，即TGT。在CA的情况下，用户凭证将是以用户名义的证书(通常具有短的生存期)。

图5是示出在客户机/用户在包括第三方实体的系统中寻求访问web服务器时所执行的认证过程的各步骤的说明性流程图。在该系统中，该过程在客户机/用户10访问网关20(步骤500)时开始。客户机/用户10随后请求所需web服务器30资源(步骤510)。如果客户机/用户10未登录到web服务器，则客户机/用户10必须在web服务器30允许访问之前被认证。

客户机/用户10和网关20随后按以上详细描述的方式来执行具有客户机认证的TLS握手(步骤520)。生成TLS握手的至少一部分的记录(THR)并将其提供给第三方实体(“可信实体”)40(步骤530)。

在接收到THR之后，第三方实体40验证用户已向网关认证(通过确认THR中的证书验证消息)(步骤540)。如果THR被验证为有效且新鲜的(步骤550)，则向网关20提供用户凭证(例如在证书授权机构情况下的临时证书或KDC情况下的Kerberos服务权证)(步骤560)。网关20随后使用该用户凭证来作为实际客户机/用户向web服务器30认证(步骤570)。然而如果THR不能被验证为有效且新鲜的(在步骤550处)，则不向网关20提供用户凭证并拒绝访问(步骤555)。

假定客户机/用户被授权访问web服务器，如果web服务器30认证了用户凭证(例如客户机证书)，则向客户机/用户授予对所请求的web服务器的访问(步骤580)，并且如果客户机证书不能被验证，则通常拒绝访问(步骤590)。

提供给网关20的用户凭证包括服务权证(在基于KDC的部署中)或临时证书(在基于CA的部署中)。基于KDC的部署非常类似于上述Kerberos约束的委托(S4U2Self+S4U2Proxy)，所以其将不进一步讨论。相反，将讨论基于CA(基于证书授权机构)的部署。

在基于CA的部署中，一个或多个CA被用来在被提供了有效且“新鲜”的THR时发行客户机证书。在该场景中，服务提供者(web服务器30)必须被配置成信任CA(这通常意味着CA自身的证书必须安装在服务提供者的操作系统的某一特定位置)来提供用户的真实身份。

一旦被给予用户名义的客户机证书(以及相关联的私钥)，则网关20随后使用这些凭证来作为实际用户向服务提供者30认证。为使用该证书和私钥来向服务提供者(例如web服务器30)认证，网关20和服务提供者必须使用支持客户机证书的认证协议。支持客户机证书的两种公知认证协议是：TLS(或SSL)-如以上详细描述的，TLS(或SSL)握手可以包括客户机认证(基于证书)；或Kerberos(具有PKINIT)-标题为“用于Kerberos中的初始认证的公钥密码”的PKINIT机制(RFC 4556)是对Kerberos协议的协议扩展的机制，该扩展允许启用Kerberos的客户机经由公钥密码(即，经由证书和相关联的私钥)获得TGT。更具体地，这些扩展通过在预认证数据字段中使用非对称密钥签名和/或加密算法，提供用于将公钥密码集成到初始认证交换中的方法。

假定客户机/用户被授权访问web服务器，一旦凭证(客户机证书)被web服务器30认证，则向客户机/用户授予对所请求的web服务器的访问。当然，如果客户机证书不能被验证(或者如果web服务器未被配置成信任CA)，则拒绝用户对web服务器的访问。

如在图1的实施例中一样，可以在图3的实施例中实现“双”TLS握手，以更多地防止攻击者损害网关20。

尽管使用结构特征和/或方法动作专用的语言描述了此处的主题，但也可以理解，权利要求书中定义的主题不必限于上述的具体特征或动作。相反，上述具体特征和动作是作为实现权利要求的示例形式公开的。

例如，贯穿本文，引用包括通过网关访问服务提供者的客户机/用户的实体链。然而，这只是一个可能的场景，并只是出于方便而在全文中使用。其它可能的场景包括需要作为用户向后端应用程序或数据库认证的web服务器。本发明的新颖方面适用于要求链中的实体之间的认证的任何实体链。链中可以有任何数量的实体，其中每一实体必须作为原始客户机向链中的下一实体认证。

还可以理解，当一个元素被指示为响应于另一个元素时，这些元素可直接或间接耦合。此处所述的连接在实践中可以是逻辑或物理的，以实现元素之间的耦合或通信接口。连接可被实现为软件进程之间的进程间通信，或联网计算机之间的机器间通信等。

在本文中使用的词语“示例性”和“说明性”意味着用作示例、实例或说明。此处被描述为“示例性”或“说明性”的任何实现或其各方面不必被解释为对于其它实现或其方面是优选的或有优势的。

如可以理解的，可设计除上述具体实施例之外的实施例而不背离所附权利要求书的精神和范围，本文主题的范围旨在由所附权利要求书限定。

Claims (20)

1.一种通过网关访问服务提供者的客户机/用户之间的认证委托的方法，所述方法包括以下步骤：

在所述客户机/用户和所述网关之间执行具有客户机认证的TLS握手(220)；

记录所述TLS握手的消息的至少足够的部分(230)来证明所述客户机/用户向所述网关认证了；以及

向所述服务提供者提供所述记录(230)。

2.如权利要求1所述的方法，其特征在于，所述服务提供者不涉及在所述客户机/用户和所述网关之间的认证中。

3.如权利要求1所述的方法，其特征在于，所述提供步骤直接从所述网关向所述服务提供者提供所述记录。

4.如权利要求1所述的方法，其特征在于，所述记录步骤记录所述TLS握手中的相当于并包括证书验证消息的所有消息。

5.如权利要求1所述的方法，其特征在于，还包括将时间相关数据嵌入在所述TLS握手中的消息中的步骤。

6.如权利要求5所述的方法，其特征在于，所述客户机/用户嵌入所述时间相关数据。

7.如权利要求5所述的方法，其特征在于，所述网关嵌入所述时间相关数据。

8.如权利要求1所述的方法，其特征在于，还包括将所述服务提供者提供的现时值嵌入在作为TLS握手的一部分从所述网关到所述客户机/用户的消息中。

9.如权利要求1所述的方法，其特征在于，所述服务提供者维护所有接收到的记录的记忆并确认相同的记录不被使用超过一次。

10.如权利要求1所述的方法，其特征在于，所述执行TLS握手的步骤还包括：

执行不具有客户机认证的第一握手；以及

在所述执行第一握手成功完成之后，执行具有客户机认证的第二握手。

11.如权利要求10所述的方法，其特征在于，所述客户机/用户和网关之间的所述第二握手由从所述第一握手导出的会话密钥来加密。

12.如权利要求11所述的方法，其特征在于，提供给所述服务提供者的所述记录是未加密的。

13.一种使用认证委托来授予对最终服务器上的服务的访问的方法，所述方法包括：

在所述最终服务器处接收获得对用户所请求的服务的访问的请求(200)；

在所述最终服务器处接收在所述用户和所述网关/中间服务器之间执行的、具有客户机认证的TLS握手的至少一部分的记录(230)；以及

利用TLS握手的所述部分来重新验证所述TLS握手并确认所述用户的身份(240)。

14.一种通过网关访问服务提供者的客户机/用户之间的认证委托的方法，其中所述网关执行所述方法，包括：

在所述客户机/用户和所述网关之间执行具有客户机认证的TLS握手(520)；

记录所述TLS握手的消息的至少足够的部分(530)来证明所述客户机/用户向所述网关认证了；

向所述第三方实体提供所述记录(530)；

在所述第三方实体确认所述记录的有效性(550)之后，从所述第三方实体(560)接收用户凭证；以及

用所述用户凭证向所述服务提供者认证所述用户(570)。

15.如权利要求14所述的方法，其特征在于，所述第三方实体是证书授权机构。

16.如权利要求15所述的方法，其特征在于，接收用户凭证的步骤包括接收临时证书和相关联的私钥。

17.如权利要求15所述的方法，其特征在于，向所述服务提供者认证所述用户是使用具有PKINIT的Kerberos来执行的。

18.如权利要求14所述的方法，其特征在于，所述第三方实体是KDC并且其中所述接收用户凭证的步骤包括从KDC接收Kerberos服务权证。

19.如权利要求14所述的方法，其特征在于，所述第三方实体与所述网关一起驻留在单个设备中。

20.如权利要求14所述的方法，其特征在于，所述执行TLS握手的步骤还包括：

执行不具有客户机认证的第一握手；以及

在所述执行第一握手成功完成之后，执行具有客户机认证的第二握手。

Images