CN104813607B - 用于专用网络的基于电子集合的两级访问控制方法和装置 - Google Patents

用于专用网络的基于电子集合的两级访问控制方法和装置 Download PDF

Info

Publication number
CN104813607B
CN104813607B CN201380061688.8A CN201380061688A CN104813607B CN 104813607 B CN104813607 B CN 104813607B CN 201380061688 A CN201380061688 A CN 201380061688A CN 104813607 B CN104813607 B CN 104813607B
Authority
CN
China
Prior art keywords
client application
certification
group
private network
licensing process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201380061688.8A
Other languages
English (en)
Other versions
CN104813607A (zh
Inventor
保罗·富勒顿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104813607A publication Critical patent/CN104813607A/zh
Application granted granted Critical
Publication of CN104813607B publication Critical patent/CN104813607B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

一种提供对专用网络资源的访问的方法包括接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程。从所述客户端应用接收到一个访问所述专用网络资源的请求。所述客户端应用被允许尝试执行第二组认证和授权过程,所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程。执行所述第二组认证和授权过程,并且至少部分基于确定所述客户端应用已通过所述第一和第二组认证和授权过程,所述客户端应用被允许访问所述专用网络资源。

Description

用于专用网络的基于电子集合的两级访问控制方法和装置
相关申请案交叉申请
本发明要求2012年12月28日递交的发明名称为“用于专用网络的基于电子集合的两级访问控制(Electronic Rendezvous-Based Two Stage Access Control for PrivateNetworks)”的第13/729823号美国专利申请案的在先申请优先权,该在先申请的内容以全文引用的方式并入本文本中。
技术领域
本发明涉及通信网络,以及在具体实施例中,涉及用于专用网络的基于电子集合的两级访问控制。
背景技术
专用网络通常包含计算机和使用私有地址空间以通信方式彼此耦合的其它设备的集合。例如,专用网络中的每个设备可具有私有地址空间内的私有地址,并且这些设备可使用私有地址共享专用网络内的信息和资源。然而,当专用网络内的设备需要与公共网络上的设备(例如,不在专用网络内的设备)进行通信时,专用网络内的设备通常将使用路由器。路由器使用网络地址转换(NAT)模块在专用网络和公共网络之间转发数据包,NAT模块在私有地址空间中的地址和公共地址空间中的地址之间进行转换。
路由器可包含防火墙,防火墙基于一组预定的规则限制专用网络和公共网络之间的通信。例如,路由器可使用防火墙确定数据包的来源和/或目的地,并可阻止来自或去往特定来源和/或目的地的数据包。因此,防火墙可通过控制专用网络内的设备和公共网络上的设备之间的通信来增强专用网络的安全性。然而,防火墙可能很容易被绕过或“入侵”(hacked),这会导致专用网络的安全性受影响。
发明内容
在一项实施例中,本发明包含一种提供对专用网络资源的访问的方法,所述方法包括接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程。从所述客户端应用接收到一个访问所述专用网络资源的请求。所述客户端应用被允许尝试执行第二组认证和授权过程,所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程。随后执行所述第二组认证和授权过程,并且所述客户端应用被允许访问所述专用网络资源,所述访问所述专用网络资源至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程。
在另一项实施例中,本发明包含一种提供对专用网络资源的访问的装置,所述装置包括接口和处理器。所述接口用于接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程。所述处理器用于执行第二组认证和授权过程并至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源。
在又一项实施例中,本发明包含一种提供对专用网络资源的访问的装置,所述装置包括处理器。所述处理器用于从客户端应用接收访问所述专用网络资源的请求,以及从所述客户端应用接收认证和授权信息。所述处理器用于使用来自所述客户端应用的所述认证和授权信息来执行一组认证和授权过程,并且所述处理器用于发送消息到所述专用网络,所述消息指示所述客户端应用已通过所述一组认证和授权过程。
结合附图和权利要求书,可从以下的详细描述中更清楚地理解这些和其它特征。
附图说明
为了更完整地理解本发明,现在参考以下结合附图和详细描述进行的简要描述,其中相同参考标号表示相同部分。
图1是客户端应用的实施例的示意图,该客户端应用使用电子集合服务访问专用网络的资源。
图2是使用电子集合服务访问专用网络资源的方法的实施例的流程图。
图3是从客户端应用角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。
图4是从集合服务角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。
图5是从与专用网络相关联的防火墙和专用网络资源自身的角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。
图6是从专用网络资源用户角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。
图7是可用于实施基于电子集合的访问控制方法的系统的示意图。
图8是通用计算机系统的实施例的示意图。
具体实施方式
最初应理解,尽管下文提供一个或多个实施例的说明性实施方案,但可使用任意数目的当前已知或现有的技术来实施所公开的系统和/或方法。本发明决不应限于下文所说明的所述说明性实施方案、图式和技术,包含本文所说明并描述的示范性设计和实施方案,而是可以在所附权利要求书的范围以及其均等物的完整范围内修改。虽然已经论述了传统技术的某些方面以帮助理解本发明,但是申请人没有办法否认这些技术方面,并且预计本发明可包含一个或多个本文所述的传统技术方面。
本文公开了为专用网络使用基于电子集合的两级访问控制的系统和方法。在一项实施例中,使用两级认证和授权过程控制对专用网络资源的访问。在第一级中,使用独立的集合服务来对正尝试访问专用网络资源的客户端应用进行认证和授权。如果集合服务成功对客户端应用进行了认证和授权,那么集合服务告知专用网络该客户端应用已通过第一组认证和授权过程。基于该信息,专用网络允许该客户端应用进入第二级,在第二级中,该客户端应用可尝试通过由专用网络实施的第二组认证和授权过程进行认证和授权。如果专用网络成功对客户端应用进行了认证和授权,那么该客户端应用被允许访问专用网络的资源。因此,在被允许访问专用网络的资源之前,客户端应用必须成功完成两级过程。
此外,在至少某些实施例中,专用网络不能从集合服务中发现,并且集合服务不能从专用网络中发现。相反,客户端应用必须独立连接到专用网络和集合服务。因此,可通过执行两种认证和授权过程以及通过要求尝试访问专用网络资源的客户端应用了解如何独立连接到集合服务和专用网络来增强专用网络的安全性。此外,实施例可包含额外的特征,例如但不限于使用有限的时间范围来完成认证和授权过程、集合服务和专用网络使用动态地址、以及使用提供多个专用网络的访问控制的集合服务。这些和其它特征和优势在下文中描述并在附图中示出。
图1是使用集合服务130访问专用网络120的资源110的客户端应用100的示意图。资源110可包含专用网络120内的任何资源、应用和服务。例如,资源110可包含照相机或打印机等设备、多媒体或文字处理文件等文件、或电子邮件或数据库应用等应用。类似地,客户端应用100可包含可能需要访问专用网络120的资源110的任何资源、应用或服务。
客户端应用100通过公共网络150以通信方式耦合到集合服务130,公共网络150可包含任何公共网络,例如但不限于因特网。此外,客户端应用100通过防火墙140以通信方式耦合到资源110。防火墙140可选地包含路由器,并且能够控制并路由专用网络120和公共网络150之间的通信。
在实施例中,客户端应用100使用两级过程访问资源110。在第一级中,客户端应用100通过公共网络150发送请求105到集合服务130。请求105指示客户端应用100想要访问资源110。基于请求105,提示集合服务130执行第一组认证和授权过程。认证过程可选地包含验证客户端应用100的身份或客户端应用100的用户的身份,授权过程可选地包含验证客户端应用100或客户端应用100的用户被授权访问资源110。
如果集合服务130确定客户端应用没有通过认证或授权过程,那么集合服务130不执行进一步动作。然而,如果集合服务130确定客户端应用100通过了认证和授权过程,那么集合服务130发送消息135到防火墙140。消息135指示客户端应用100已通过认证和授权过程。消息135还可包含时间指示,例如时间戳,该时间指示表明客户端应用100何时通过集合服务认证和授权过程。
接着,客户端应用100开始两级过程的第二级。防火墙140基于消息135使客户端应用100开始第二组认证和授权过程。客户端应用100发送请求145到防火墙140。请求145指示客户端应用100想要访问资源110。基于防火墙140接收指示,该指示表明客户端应用100已通过集合服务130执行的第一组认证和授权过程,防火墙140通过使请求145穿过资源110的防火墙创建入口点。随后,资源110开始执行第二组认证和授权过程。同样地,认证过程可选地包含验证客户端应用100的身份或客户端应用100的用户的身份,授权过程可选地包含验证客户端应用100或客户端应用100的用户被授权访问资源110。此外,防火墙140可仅允许客户端100在有限的时间范围内执行第二组认证和授权过程。例如,防火墙140可设立一个有限的时间范围,在该时间范围内,可基于在消息135中发送的时间戳对客户端应用100进行认证和授权。
在另一项实施例中,第二组认证和授权过程可由防火墙140执行,而不是由资源110执行第二组认证和授权过程。在这种情况下,防火墙140可以类似地设立一个有限的时间范围,在该时间范围内可对客户端应用100进行认证和授权。
如果客户端应用100通过了第二组认证和授权过程,那么客户端应用100被允许访问资源110。对资源110的访问也可具有有限的时间范围,这样在超过该有限的时间范围后,客户端应用100接着需要重复两级过程以重建对资源110的访问。
图2是使用电子集合服务访问专用网络资源的方法的流程图。在方框202,客户端应用连接到集合服务。在方框204,集合服务执行第一组认证和授权过程。如果客户端应用没有通过认证或授权过程,那么该方法终止于方框206,并且不允许客户端应用访问资源。然而,在方框206处,如果客户端应用通过了认证和授权过程,那么该方法继续方框208。
在方框208处,集合服务告知专用网络的防火墙客户端应用通过了第一组认证和授权过程。集合服务还可包含时间指示(例如,时间戳),该时间指示表明何时通过了过程。
在方框210处,专用网络防火墙使客户端应用开始第二组认证和授权过程。例如,专用网络防火墙可在防火墙中创建入口点,该入口点使客户端应用开始执行专用网络资源的第二组认证和授权过程。专用网络防火墙可仅允许客户端应用基于在方框208可选地发送的时间指示在有限的时间范围内开始第二组认证和授权过程。此外,入口点可使用动态地址(例如,动态互联网协议(IP)地址),这样每次尝试访问专用网络资源时都使用不同的地址。
在方框212处,客户端应用连接到专用网络资源,在方框214处,专用网络资源尝试执行第二组认证和授权过程。如果认证或授权过程失败,或者如果认证和/或授权过程没有在可选的有限时间范围内执行,那么该方法终止于方框216,并且不允许客户端应用访问资源。然而,如果客户端应用通过了第二组认证和授权过程(并且可选地在可选的有限时间范围内通过),那么该方法继续方框218。
在方框218处,允许客户端应用访问专用网络资源,在方框220处,客户端应用通过在方框210创建的防火墙的入口点访问专用网络资源。入口点可仅在有限的时间范围内开放,这样在该有限的时间范围后入口点会关闭,且客户端接着需要重复两级过程以重建对专用网络资源的访问。此外,专用网络可实施可配置的活动超时特征。例如,可配置专用网络使得当有服务穿过入口点时入口点一直开放,并且当穿过入口点的服务在一定时间内空闲时入口点关闭。
图3是从客户端应用角度来看的使用电子集合服务访问专用网络资源的方法的流程图。在方框302处,客户端应用创建了到集合服务的正确连接。例如,集合服务可与统一资源定位符(URL)相关联,且客户端应用连接到该URL。
在方框304处,集合服务对客户端应用进行认证和授权。客户端应用可选地发送信息到集合服务以完成认证和授权。例如,客户端应用可发送用户名、密码、证书或可用于由集合服务执行认证和授权的任何其它信息。
在方框306处,客户端应用创建了到专用网络的正确连接。例如,专用网络的防火墙可与URL相关联,且客户端应用连接到该URL。
在方框308处,专用网络对客户端应用进行认证和授权(例如,专用网络资源或专用网络的防火墙对客户端应用进行认证和授权)。客户端应用可选地发送信息(例如,用户名、密码、证书等等)到专用网络以完成认证和授权过程。
在方框310处,假设通过了集合服务和专用网络认证和授权过程,则客户端应用访问专用网络的资源。如果客户端应用没有通过认证或授权过程,那么该方法终止于那个步骤,并且不允许客户端应用访问资源。
图4是从集合服务角度来看的使用电子集合服务访问专用网络资源的方法的流程图。在方框402处,集合服务接收指示,该指示表明特定客户端应用或客户端应用的用户被授权访问特定专用网络资源。该指示可从专用网络资源接收并可包含用于特定客户端应用或用户的认证和授权信息。该指示还可包含专用网络的认证信息,使得仅集合服务的规定客户被允许建立映射。此外,该指示还可以可选地包含确定专用网络资源的位置或与专用网络资源相关联的防火墙或路由器的位置的信息。确定位置的信息可以是直接信息(例如,URL等),或者该信息可以是使集合服务推导专用网络资源的位置的间接信息(例如,共享秘密(shared secret)或随机种子(random seed))。或者,指示可确定除专用网络之外不同的位置,在该位置上集合服务可发送通知表明客户端应用已通过一组认证和授权过程。然而,在又一项实施例中,集合服务可能不需要知道任何位置信息,事实上,集合服务可仅响应专用网络发起的已认证的连接。在这种情况下,专用网络发起的连接可以是动态的或瞬态的以进一步增强安全性。
在方框404处,集合服务存储在方框402处接收的信息。在实施例中,集合服务可以可选地为专用网络内的多个不同资源提供集合服务,和/或为多个不同专用网络提供集合服务。因此,集合服务可将信息存储到数据库或包含有关多个不同资源和/或专用网络的信息的其它存储介质。此外,集合服务可使用不透明映射系统存储信息,这样如果有关任何不同资源和/或专用网络的信息被泄密,那么该信息将不会向未授权用户提供连接任何不同资源和/或专用网络所需的信息。例如,集合服务可通过任意服务标识符标记来确定服务或专用网络,而不是通过URI来确定服务或专用网络。
在方框406处,集合服务从客户端应用接收访问专用网络资源的请求。该请求可包含确定专用网络资源的信息和/或确定客户端应用的信息。例如,该请求可确定客户端应用的IP地址。集合服务可以可选地基于请求中包含的信息应用过滤器。例如,集合服务可限制对具有来自某些地理区域的IP地址的客户端应用进行认证和授权。如果应用了任何可选过滤器并且客户端应用未通过标准,那么方法终止于方框406,并且不允许客户端应用访问专用网络资源。然而,假设没有应用可选过滤器或者客户端应用通过了过滤器的标准,那么方法继续方框408。
在方框408处,集合服务提示客户端应用提供认证和/或授权信息(例如,用户名、密码、证书等等),并且集合服务从客户端应用接收该信息。可通过安全连接/信道发送信息以防止对信息的未授权拦截。此外,集合服务可选地实施有限的时间范围,客户端应用可在该有限时间范围内提供信息。如果客户端应用没有提供信息或没有在可选的有限时间范围内提供信息,则不允许客户端应用访问专用网络资源。如果集合服务没有接收信息(并且可选地在有限的时间范围内),那么方法继续方框410。
在方框410,集合服务基于在方框408处从客户端应用接收的信息以及基于在方框402处从专用网络资源接收的信息对客户端应用进行认证和/或授权。例如,集合服务可对客户端应用进行认证,然后将客户端应用的身份与专用网络资源的授权用户的列表进行比较。如果客户端应用未认证或授权,则不允许客户端应用访问专用网络资源。如果集合服务确定客户端应用是可信的并被授权访问专用网络资源,那么方法继续方框412。
在方框412,基于确定客户端应用已被认证并授权访问专用网络资源,集合服务发送消息到专用网络,指示客户端应用已通过集合服务认证和授权过程。该消息可选地发送到与专用网络资源相关联的防火墙。该消息可包含客户端应用的标识信息(例如,IP地址)、何时通过了集合服务认证和授权过程的时间指示(例如,时间戳)以及客户端正尝试访问的专用资源的指示。客户端正尝试访问的专用资源的指示可以在消息中明确地列出,或者可以在消息中隐式地列出(例如,消息可以基于消息发送到的位置或通过发送响应的信道隐式地指示专用网络资源)。此外,集合服务可发送信息到除专用网络之外的不同位置(例如,在方框402处指定的不同位置)或者可响应专用网络发起的连接,而不是发送信息到专用网络。
在方框414,可选地重复图4中示出的流程。例如,集合服务可重复过程以针对不同的专用网络资源对同一客户端进行认证和授权,或者集合服务可重复流程以针对相同的专用网络资源或不同的专用网络资源对不同的客户端应用进行认证和授权。此外,根据与专用网络资源相关联的防火墙的配置,可能需要定期对同一客户端应用进行再授权和/或再认证以继续访问同一专用网络资源。在这种情况下,可选地重复图4中所示的流程以针对同一专用网络资源对同一客户端应用进行再授权和/或再认证。
图5是从与专用网络相关联的防火墙和专用网络资源自身的角度来看的使用电子集合服务访问专用网络资源的方法的流程图。应注意,尽管一些步骤可指示为由防火墙或专用网络资源执行,但是这些步骤不限于任何特定的配置。根据专用网络部件的配置和能力,图5中所示的任何步骤可由防火墙、专用网络资源或某一部件执行。
在方框502处,防火墙接收指示,该指示表明客户端应用或客户端应用的用户被授权访问特定专用网络资源,并且防火墙存储该信息。该指示可从专用网络资源接收并可包含用于特定客户端应用或用户的认证和授权信息。该指示可选地存储到包含多个专用网络资源的信息的存储器(例如,缓存、易失性存储器、非易失性存储器等等)。此外,防火墙可配置为具有有关集合服务的信息和有关专用网络资源的信息。例如,可配置防火墙使得防火墙具有使其对集合服务进行认证的信息和用于确定客户端应用正尝试访问的专用网络资源的信息。专用网络资源信息可以显式地确定专用网络资源或者隐式地确定专用网络资源(例如,该信息可以基于任意标识符隐式地确定专用网络资源,这样如果信息被泄密时则不能发现专用网络资源)。
在方框504处,防火墙从集合服务接收信息,该信息指示集合服务已对客户端应用进行认证和授权。该信息可选地确定客户端应用和/或客户端应用的用户,确定专用网络资源,并包含与客户端应用何时通过了集合服务认证和授权相关的时间的指示(例如,时间戳)。基于在方框504处接收的信息,防火墙开放入口点(例如,动态入口点),该入口点使得对客户端应用进行第二组认证和授权过程。
在方框506处,防火墙从客户端应用接收访问专用网络资源的请求。该请求可包含确定专用网络资源的信息和/或确定客户端应用的信息。值得一提的是,客户端应用不从集合服务接收任何确定防火墙的信息。因此,在方框506处,当防火墙接收到来自客户端应用的请求时,客户端应用必须已从来源而非集合服务独立获得有关防火墙的信息(例如,防火墙的地址)。这确保了客户端应用不仅必须通过两种认证和授权过程,而且必须了解如何独立地连接到集合服务和防火墙。
在方框508处,基于在方框504处接收表明客户端应用已通过第一组认证和授权过程的指示以及基于在方框506处接收来自客户端应用的请求,防火墙使客户端应用与专用网络资源连接以执行第二组认证和授权过程。如果防火墙没有接收到指示客户端应用已通过集合服务认证和授权的信息,那么方法终止于方框508,并且不允许客户端应用访问专用网络资源。此外,在集合服务对客户端应用进行认证和授权之后,防火墙还可基于已过的时间阻止客户端应用与专用网络资源连接(例如,在集合服务对客户端应用进行了认证和授权的一段时间之后,防火墙可使用在方框504接收的时间戳来关闭入口点)。因此,如果已过的时间超过了预定的允许时间范围,那么方法终止于方框508,并且不允许客户端应用访问专用网络资源。然而,假设客户端应用已正确连接到防火墙,防火墙已从集合服务接收到表明客户端应用已通过集合服务的认证和授权过程的指示,并且客户端应用请求可选地在预定的时间范围内接收,则方法继续方框510。
在方框510处,专用网络资源提示客户端应用提供认证和/或授权信息(例如,用户名、密码、证书等等),并且专用网络资源从客户端应用接收该信息。专用网络资源可选地实施有限的时间范围,客户端应用可在该有限时间范围内提供信息。如果客户端应用没有提供信息或没有在可选的有限时间范围内提供信息,则不允许客户端应用访问专用网络资源。如果专用网络资源接收到信息(并且可选地在有限的时间范围内接收),那么方法继续方框512。
在方框512处,专用网络资源基于在方框502和510处接收的信息对客户端应用进行认证和授权。例如,专用网络资源可对客户端应用进行认证,然后将客户端应用的身份与专用网络资源的授权用户的列表进行比较。如果客户端应用未认证或授权,则不允许客户端应用访问专用网络资源。如果专用网络资源确定客户端应用是可信的并被授权访问专用网络资源,那么方法继续方框514。
在方框514处,允许客户端应用访问专用网络资源。专用网络资源可限制有限时间的访问,这样如果客户端应用想要在超过有限的时间之后继续访问专用网络资源,那么客户端应用需要重复两级过程。此外,专用网络资源可分配通过防火墙的动态入口点,这样每次专用网络资源被访问时不使用通过防火墙的同一入口点。例如,每次专用网络资源被访问时,防火墙可分配通过防火墙的新入口点。
图6是从专用网络资源用户角度来看的使用电子集合服务访问专用网络资源的方法的流程图。在方框602处,专用网络用户(例如,使用专用网络资源的人或系统)向专用网络资源、防火墙和集合服务提供认证和/或授权信息。该信息可选地指示哪些客户端应用或客户端应用用户被授权访问专用网络资源,以及需要来自客户端应用或客户端应用用户的哪些信息对客户端应用或客户端应用用户进行认证。
在方框604处,专用网络用户创建一种用于向客户端应用提供连接到集合服务和防火墙所需的信息的方法。如前所述,连接集合服务所需的信息不能从防火墙中发现,并且连接防火墙所需的信息不能从集合服务中发现。因此,必须独立于集合服务和防火墙认证和授权过程向客户端应用提供集合服务和防火墙的连接信息。在一项实施例中,向客户端应用、集合服务和/或防火墙提供共享的随机种子。客户端应用、集合服务和/或防火墙使用共享的随机种子连同匹配算法来同步系统,这样每个系统可独立地建立相同的连接路径。在另一项实施例中,连接信息被加密并发送到客户端应用、集合服务和/或防火墙,并且可选地、单独地向客户端应用、集合服务和/或防火墙提供解密信息所需的加密密钥。然而,本发明的实施例不限于任何特定方法,并且实施例可包含向客户端应用提供连接到集合服务和防火墙所需的信息的任何方法。
图7是可用于实施基于两级电子集合的访问控制方法的系统700的示意图。然而,本发明的实施例不限于任何特定系统或配置,并且可以在与图7中所示的特定示例不同的系统中实施。
系统700包含专用网络720、客户端设备740和云服务提供商760。客户端设备740和云服务提供商760可选地直接连接到公共网络780,专用网络720通过互联网服务提供商790可选地间接连接到公共网络780。因此,客户端设备740和云服务提供商760可直接通过公共网络780发送和接收信息,专用网络720可通过互联网服务提供商790间接通过公共网络780发送和接收信息。
专用网络720包含N个资源722,其中N包含任何数字(例如,0、1、2、3等等)。每个资源722可包含任何资源、应用或服务。例如,资源的一些示例包含但不限于照相机或打印机等设备、多媒体或文字处理文件等文件、以及电子邮件或数据库应用等应用。
资源722连接到多合一设备724。在实施例中,多合一设备724在一个设备中提供无线接入点(WAP)功能、路由器功能和防火墙功能。或者,多合一设备724可以在单独的部件中实施。多合一设备724的路由功能可包含NAT模块。NAT模块在专用网络720内的资源722使用的私有地址和互联网服务提供商790通过调制解调器726提供的一个或多个公共地址之间进行转换。例如,如果在多合一设备724处接收到预期用于一个资源722的通信,那么NAT模块用于将公共网络地址转换为专用网络地址,接着用于将通信转发给正确的资源722。在实施例中,NAT模块能够动态地改变与专用网络资源相关联的公共地址,从而使用不同的公共地址多次访问专用网络资源。
云服务提供商760包含客户账户部件762、集合服务部件764和其它服务部件766。客户账户部件762可选地包含数据库或存储多个客户的账户信息的其它存储介质。例如,每个客户可具有使用集合服务部件764的多个资源。客户账户部件762可包含多个客户提供的所有资源的认证和/或授权信息。此外,客户账户部件762可使用不透明映射系统存储信息,这样如果有关任何客户和/或资源的信息被泄密,那么该信息将不会向未授权用户提供连接任何客户的专用网络和/或资源所需的信息。例如,客户账户部件762可通过任意标识符标记来确定客户和资源,而不是通过URI来确定客户和资源。
集合服务部件764提供了提供上文所述的并在附图中示出的集合服务的功能。例如,集合服务部件764可用于实施图4中所示的方法以向客户端设备740的应用742提供对其中一个专用网络资源722的访问。
其它服务部件766表示除了集合服务,云服务提供商760可以可选地提供任何其它服务的事实。例如,其它服务部件766可用于提供软件作为服务、存储器作为服务、桌面虚拟化等等。因此,云服务提供商760可以使用集合服务部件764提供集合服务,并且还可以使用其它服务部件766提供任何其它服务。如上所述,图7中所示的特定实施例仅用于说明性目的,实施例不限于任何特定网络或网络配置。
如上文所述以及附图所示,本发明的实施例包含为专用网络使用基于电子集合的两级访问控制的系统和方法。在一项实施例中,使用两级认证和授权过程控制对专用网络资源的访问。在第一级中,使用独立的集合服务来对正尝试访问专用网络资源的客户端应用进行认证和授权。如果集合服务成功对客户端应用进行了认证和授权,那么集合服务告知专用网络该客户端应用已通过第一组认证和授权过程。基于该信息,专用网络允许该客户端应用进入第二级,在第二级中,该客户端应用通过由专用网络实施的第二组认证和授权过程进行认证和授权。如果专用网络成功对客户端应用进行了认证和授权,那么该客户端应用被允许访问专用网络的资源。因此,在被允许建立对专用网络资源的访问之前,客户端应用必须成功完成两级过程。
在至少某些实施例中,专用网络不能从集合服务中发现,并且集合服务不能从专用网络中发现。相反,客户端应用必须独立连接到专用网络和集合服务。因此,可通过执行两种认证和授权过程以及通过要求尝试获得访问权限的客户端应用了解如何独立连接到集合服务和专用网络来增强专用网络的安全性。因此,尝试获得未经授权的访问的客户端应用(例如,“黑客”)不仅必须攻击集合服务,还必须了解专用应用或资源的位置。此外,实施例可包含额外的特征,例如但不限于使用有限的时间范围来完成认证和授权过程、使用集合服务和专用网络的动态地址、以及使用集合服务以提供多个专用网络的访问控制。
上述方法和/或部件可在任何通用网络部件上实施,例如计算机或网络部件,其具有足够的处理能力、存储资源和网络吞吐能力来处理其上的必要工作负荷。图8示出了一种通用网络部件或计算机系统800的示意图,其适用于实施本文所揭示方法或部件的一项或多项实施例。通用网络部件或计算机系统800包含处理器802(可称为中央处理器或CPU),处理器802与包含以下项的存储设备通信:辅助存储器804,只读存储器(ROM)806,随机存取存储器(RAM)808,输入/输出(I/O)设备810,以及网络连接设备812。虽然处理器802作为单个处理器说明,但其并非受限于此,而是可以包括多个处理器。处理器802可以实施为一个或多个CPU芯片、核(例如多核处理器)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和/或数字信号处理器(DSP),并且/或者可以是一个或多个ASIC的一部分。处理器802可以用于实施本文本中所述的任何方案。处理器802可以使用硬件、软件或这两者来实施。
辅助存储器804通常包括一个或多个磁盘驱动器或磁带驱动器,用于数据的非易失性存储,而且如果RAM808的容量不足以存储所有工作数据,所述辅助存储器则用作溢流数据存储装置。辅助存储器804可以用于存储程序,当选择执行这些程序时,所述程序将加载到RAM808中。ROM806用于存储在程序执行期间读取的指令以及可能读取的数据。ROM806为非易失性存储设备,其存储容量相对于辅助存储器804的较大存储容量而言通常较小。RAM808用于存储易失性数据,还可能用于存储指令。对ROM806和RAM808二者的存取通常比对辅助存储器804的存取快。
本发明公开至少一项实施例,且所属领域的普通技术人员对所述实施例和/或所述实施例的特征作出的变化、组合和/或修改均在本发明公开的范围内。因组合、合并和/或省略所述实施例的特征而得到的替代性实施例也在本发明的范围内。应当理解的是,本发明已明确阐明了数值范围或限制,此类明确的范围或限制应包括涵盖在上述范围或限制(如从大约1至大约10的范围包括2、3、4等;大于0.10的范围包括0.11、0.12、0.13等)内的类似数量级的迭代范围或限制。例如,每当公开具有下限Rl和上限Ru的数值范围时,具体是公开落入所述范围内的任何数字。具体而言,特别公开所述范围内的以下数字:R=Rl+k*(Ru-Rl),其中k是从1%到100%以1%增量递增的变量,即,k是1%、2%、3%、4%、5%……70%、71%、72%……95%、96%、97%、98%、99%或100%。此外,还特此公开了,上文定义的两个R值所定义的任何数值范围。除非另行说明,术语“大约”表示其后数值的±10%的范围。相对于权利要求的某一要素,术语“可选择的”使用表示该要素可以是需要的,或者也可以是不需要的,二者均在所述权利要求的范围内。使用如“包括”、“包含”和“具有”等较广术语应被理解为提供对如“由……组成”、“基本上由……组成”以及“大体上由……组成”等较窄术语的支持。因此,保护范围不受上文所述的限制,而是由所附权利要求书定义,所述范围包含所附权利要求书的标的物的所有等效物。每项和每条权利要求作为进一步公开的内容并入说明书中,且权利要求书是本发明的实施例。所述揭示内容中的参考的论述并不是承认其为现有技术,尤其是具有在本申请案的在先申请优先权日期之后的公开日期的任何参考。本发明中所引用的所有专利、专利申请案和公开案的揭示内容特此以引用的方式并入本文本中,其提供补充本发明的示例性、程序性或其他细节。
虽然本发明多个具体实施例,但应当理解,所公开的系统和方法也可通过其它多种具体形式体现,而不会脱离本发明的精神或范围。本发明的实例应被视为说明性而非限制性的,且本发明并不限于本文本所给出的细节。例如,各种元件或部件可以在另一系统中组合或合并,或者某些特征可以省略或不实施。
此外,在不脱离本发明的范围的情况下,各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其它系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其它项也可以采用电方式、机械方式或其它方式通过某一接口、设备或中间部件间接地耦合或通信。其它变更、替换、更替示例对本领域技术人员而言是显而易见的,均不脱离此处公开的精神和范围。

Claims (12)

1.一种提供对专用网络资源的访问的方法,其特征在于,包括:
防火墙接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程,所述客户端应用通过所述防火墙以通信方式耦合到所述专用网络资源;
所述防火墙从所述客户端应用接收访问所述专用网络资源的请求;
所述防火墙开放入口点,该入口点使得对所述客户端应用进行第二组认证和授权过程,所述第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程;以及
所述防火墙至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源;
其中,所述客户端连接所述电子集合服务所需的信息不能从防火墙中发现,并且连接防火墙所需的信息不能从所述电子集合服务中发现。
2.根据权利要求1所述的方法,其特征在于,使能所述客户端应用访问所述专用网络资源包括至少部分基于确定所述客户端应用已在预定的时间范围内通过所述第一组认证和授权过程以及所述第二组认证和授权过程来使能所述客户端应用访问所述专用网络资源。
3.根据权利要求1所述的方法,其特征在于,使能所述客户端应用访问所述专用网络资源包括使能所述客户端应用在有限的时间内访问所述专用网络资源。
4.根据权利要求1所述的方法,其特征在于,使能所述客户端应用访问所述专用网络资源包括在与所述专用网络相关联的防火墙中创建动态入口点。
5.根据权利要求4所述的方法,其特征在于,创建动态入口点包括在网络地址转换模块中改变与所述专用网络资源相关联的公共地址。
6.根据权利要求1所述的方法,其特征在于,所述第一组认证和授权过程包括所述电子集合服务对所述客户端应用进行认证和授权,以及所述第二组认证和授权过程包括所述专用网络对所述客户端应用进行认证和授权。
7.一种提供对专用网络资源的访问的防火墙装置,其特征在于,包括:
接口,用于接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程,所述客户端应用通过所述防火墙装置以通信方式耦合到所述专用网络资源;以及
处理器,用于从所述客户端应用接收访问所述专用网络资源的请求,开放入口点,该入口点使得对所述客户端应用进行第二组认证和授权过程,所述第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程,并至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源,其中,所述客户端连接所述电子集合服务所需的信息不能从防火墙装置中发现,并且连接防火墙装置所需的信息不能从所述电子集合服务中发现。
8.根据权利要求7所述的装置,其特征在于,进一步包括存储介质,用于存储所述专用网络资源和其它专用网络资源的认证和授权信息。
9.根据权利要求7所述的装置,其特征在于,进一步包括防火墙,用于至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程动态地开放入口点,以使能所述客户端应用访问所述专用网络资源的。
10.根据权利要求9所述的装置,其特征在于,所述防火墙包括网络地址转换模块,用于改变与所述专用网络资源相关联的公共地址。
11.根据权利要求9所述的装置,其特征在于,所述防火墙用于在有限的时间内动态地开放所述入口点。
12.根据权利要求7所述的装置,其特征在于,所述处理器用于至少部分基于确定所述客户端应用已在预定的时间范围内通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源。
CN201380061688.8A 2012-12-28 2013-12-27 用于专用网络的基于电子集合的两级访问控制方法和装置 Active CN104813607B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/729,823 US8925045B2 (en) 2012-12-28 2012-12-28 Electronic rendezvous-based two stage access control for private networks
US13/729,823 2012-12-28
PCT/CN2013/090749 WO2014101841A1 (en) 2012-12-28 2013-12-27 Electronic rendezvous-based two stage access control for private networks

Publications (2)

Publication Number Publication Date
CN104813607A CN104813607A (zh) 2015-07-29
CN104813607B true CN104813607B (zh) 2018-10-19

Family

ID=51018959

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380061688.8A Active CN104813607B (zh) 2012-12-28 2013-12-27 用于专用网络的基于电子集合的两级访问控制方法和装置

Country Status (4)

Country Link
US (1) US8925045B2 (zh)
EP (1) EP2920912B1 (zh)
CN (1) CN104813607B (zh)
WO (1) WO2014101841A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2514550A (en) * 2013-05-28 2014-12-03 Ibm System and method for providing access to a resource for a computer from within a restricted network and storage medium storing same
FR3061385A1 (fr) * 2016-12-22 2018-06-29 Orange Dispositif d'acces securise
US10587575B2 (en) * 2017-05-26 2020-03-10 Microsoft Technology Licensing, Llc Subsystem firewalls
US11075999B2 (en) * 2018-08-28 2021-07-27 Citrix Systems, Inc. Accessing resources in a remote access or cloud-based network environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1527530A (zh) * 2003-03-05 2004-09-08 富士施乐株式会社 网络连接系统
WO2008067113A2 (en) * 2006-11-02 2008-06-05 Cisco Technology, Inc. Detecting stolen authentication cookie attacks

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2365256A (en) * 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
US7240214B2 (en) * 2002-10-25 2007-07-03 Yahoo!, Inc. Centrally controllable instant messaging system
KR100602629B1 (ko) * 2003-04-29 2006-07-20 삼성전자주식회사 사설 무선 고속 데이터 시스템 및 이를 이용한 데이터서비스 방법
CN1961557B (zh) * 2004-05-31 2011-03-30 意大利电信股份公司 通信网络中的安全连接方法和系统
US7333492B2 (en) * 2004-08-31 2008-02-19 Innomedia Pte Ltd Firewall proxy system and method
GB2475236A (en) * 2009-11-09 2011-05-18 Skype Ltd Authentication arrangement for a packet-based communication system covering public and private networks
JP2012019455A (ja) 2010-07-09 2012-01-26 Panasonic Corp Vpn装置、vpnネットワーキング方法、vpnプログラム、及び記憶媒体
TW201206129A (en) * 2010-07-20 2012-02-01 Gemtek Technology Co Ltd Virtual private network system and network device thereof
CN102143136B (zh) 2010-08-20 2013-12-04 华为技术有限公司 接入业务批发网络的方法、设备、服务器和系统
US8832818B2 (en) * 2011-02-28 2014-09-09 Rackspace Us, Inc. Automated hybrid connections between multiple environments in a data center

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1527530A (zh) * 2003-03-05 2004-09-08 富士施乐株式会社 网络连接系统
WO2008067113A2 (en) * 2006-11-02 2008-06-05 Cisco Technology, Inc. Detecting stolen authentication cookie attacks

Also Published As

Publication number Publication date
EP2920912B1 (en) 2018-03-14
EP2920912A1 (en) 2015-09-23
EP2920912A4 (en) 2015-12-30
CN104813607A (zh) 2015-07-29
US8925045B2 (en) 2014-12-30
WO2014101841A1 (en) 2014-07-03
US20140189800A1 (en) 2014-07-03

Similar Documents

Publication Publication Date Title
CN103563294B (zh) 用于云计算平台安全性的认证和授权方法
CN105027493B (zh) 安全移动应用连接总线
CN102597981B (zh) 模块化装置认证框架
AU2007267836B2 (en) Policy driven, credential delegation for single sign on and secure access to network resources
CN105103488B (zh) 借助相关联的数据的策略施行
EP1280317B1 (en) Multi-domain authorisation and authentication
CN104980477B (zh) 云存储环境下的数据访问控制方法和系统
US20090254968A1 (en) Method, system, and computer program product for virtual world access control management
CN105610845B (zh) 一种基于云服务的数据路由方法、装置及系统
EP2544117A1 (en) Method and system for sharing or storing personal data without loss of privacy
US8977857B1 (en) System and method for granting access to protected information on a remote server
EP1205058A2 (en) Access management system and method
CN103188248A (zh) 基于单点登录的身份认证系统及方法
CN102685086A (zh) 一种文件访问方法和系统
US20140282994A1 (en) Method for calling up a client program
CN106302606B (zh) 一种跨应用访问方法及装置
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
CN107872455A (zh) 一种跨域单点登录系统及其方法
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
CN109728903A (zh) 一种使用属性密码的区块链弱中心密码授权方法
CN101321064A (zh) 一种基于数字证书技术的信息系统的访问控制方法及装置
CN104813607B (zh) 用于专用网络的基于电子集合的两级访问控制方法和装置
CN102916965A (zh) 一种云服务接口的安全认证机制及其认证系统
EP3909221A1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
Shajina et al. A novel dual authentication protocol (DAP) for multi-owners in cloud computing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant