CN112385192B - 用于创建安全连接的系统和方法 - Google Patents
用于创建安全连接的系统和方法 Download PDFInfo
- Publication number
- CN112385192B CN112385192B CN201880095428.5A CN201880095428A CN112385192B CN 112385192 B CN112385192 B CN 112385192B CN 201880095428 A CN201880095428 A CN 201880095428A CN 112385192 B CN112385192 B CN 112385192B
- Authority
- CN
- China
- Prior art keywords
- client
- processing unit
- service
- network connection
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统,所述系统包括管理处理单元,所述管理处理单元被适配用于:从客户端处理单元接收服务标识符和多个客户端凭证;从所述服务标识符和所述多个客户端凭证推导出多个服务器端网络连接值和多个客户端网络连接值;向所述客户端处理单元发送待由所述客户端处理单元在建立直接网络连接时使用的所述多个客户端网络连接值;以及向服务提供商处理单元发送待由所述服务提供商处理单元在建立所述直接网络连接时使用的所述多个服务器端网络连接值。因此可以消除所述服务提供商处理单元监听公共端口的需要。
Description
背景技术
本发明在其一些实施例中涉及一种用于提供计算机化服务的系统,并且更具体地但不排他地涉及一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统。
存在需要在客户端与经由数字通信网络连接的计算机化服务的提供商之间提供安全信道的系统,例如金融系统和医疗信息系统。如在此使用的,术语“安全信道”是指传输数据的一种方式,这种方式可抵抗偷听和篡改。在客户端与计算机化服务的提供商之间建立安全信道的一种可能方法是使用安全的点到点网络协议。安全的点到点网络协议的一些示例为因特网协议安全(IPSec)、超文本传输协议安全(HTTPS)和安全外壳(SSH)。另一种可能的方法是创建虚拟专用网络(VPN),以便在客户端与计算机化服务的提供商之间进行网络通信。有些方法需要在客户端与计算机化服务的提供商之间交换一个或多个加密密钥。使用加密密钥交换的某些系统使用因特网密钥交换(IKE)协议。
发明内容
本发明的目的是提供一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统和方法。
上述和其它目的通过独立权利要求的特征来实现。进一步的实施形式在从属权利要求、具体说明和附图中显而易见。
根据本发明的第一方面,一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统包括管理处理单元,所述管理处理单元被适配用于:从客户端处理单元接收服务标识符和多个客户端凭证;从所述服务标识符和所述多个客户端凭证推导出多个服务器端网络连接值和多个客户端网络连接值;向所述客户端处理单元发送待由所述客户端处理单元在建立直接网络连接时使用的所述多个客户端网络连接值;以及向服务提供商处理单元发送待由所述服务提供商处理单元在建立所述直接网络连接时使用的所述多个服务器端网络连接值。使用管理处理单元可以消除服务提供商处理单元监听公共端口的必要性。
根据本发明的第二方面,一种用于在客户端与计算机化服务的提供商之间创建安全连接的方法包括:从客户端处理单元接收服务标识符和多个客户端凭证;从所述服务标识符和所述多个客户端凭证推导出多个服务器端网络连接值和多个客户端网络连接值;向所述客户端处理单元发送待由所述客户端在建立直接网络连接时使用的所述多个客户端网络连接值;以及向服务提供商处理单元发送待由所述服务提供商处理单元在建立所述直接网络连接时使用的所述多个服务器端网络连接值。
根据本发明的第三方面,一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统包括客户端处理单元,所述客户端处理单元被适配用于:向管理处理单元发送服务标识符和多个客户端凭证;从所述管理处理单元接收多个客户端网络连接值;以及使用所述多个客户端网络连接值建立与服务提供商处理单元的直接网络连接,其目的是从所述服务提供商处理单元接收所述计算机化服务。
参考各方面,在在本发明的可能实现方式中,所述多个客户端网络连接值选自包括以下各项的一组网络连接值:网络地址值、网络端口号值、服务类型标识符值、算法标识符、共享密值、私有密值、公共密值和描述优选协议的提示值。所述多个服务器端网络连接值选自所述一组网络连接值。可选地,所述多个客户端网络连接值包括所述服务提供商处理单元的网络地址值和所述服务提供商处理单元的网络端口号值,并且所述多个服务器端网络连接值包括所述客户端的网络地址值。可选地,所述服务类型标识符值标识选自由以下各项组成的组中的服务:安全外壳(SSH)、超文本传输协议安全(HTTPS)、因特网协议安全(IPSec)、传输层安全(TLS)和安全套接字层安全(SSL)。向所述客户端处理单元发送所述服务提供商处理单元的网络地址和端口号可以消除所述服务提供商处理单元监听公共端口的必要性,并且向所述服务提供商处理单元发送所述客户端处理单元的网络地址可以有助于所述服务提供商处理单元在所述客户端处理单元尝试与所述服务提供商处理单元建立连接时认证所述客户端处理单元。可选地,所述多个服务器端网络连接值包括所述多个客户端凭证中的部分或全部。所述多个客户端凭证中的部分或全部可以有助于所述服务提供商处理单元认证所述客户端并因此减小未经授权访问所述服务提供商的风险。
参考各方面,在本发明的可能实现方式中,所述管理处理单元进一步被适配用于:指示所述服务提供商处理单元执行一个服务软件对象或多个服务软件对象,其目的是向所述客户端处理单元提供所述计算机化服务。可选地,所述一个服务软件对象或所述多个服务软件对象包括由所述服务提供商处理单元执行的计算实例,其目的是向所述客户端处理单元提供所述计算机化服务。当所述服务提供商处理单元在所述管理处理单元指示之前不执行所述计算机化服务时,可以减少未经授权访问所述计算机化服务的风险,因为所述计算机化服务可用的时间比无论需求如何持续执行的时间要短。
参考各方面,在本发明的可能实现方式中,所述管理处理单元进一步被适配用于配置至少一个网络设备,以将一个数字消息或多个数字消息从所述客户端处理单元引导至所述服务提供商处理单元。只有当所述客户端处理单元需要所述计算机化服务时才配置所述至少一个网络设备可以降低未经授权访问所述计算机化服务的风险,因为在客户端提出需求之前不允许访问。
参考各方面,在本发明的可能实现方式中,所述系统进一步包括认证处理单元,所述认证处理单元被适配用于执行基于哈希的消息认证码(HMAC)一次性密码(HOTP)服务器。所述客户端处理单元使用所述客户端值中的部分或全部来生成用于在所述直接网络连接中使用的一次性密码令牌,并且所述服务提供商处理单元与所述HOTP服务器通信以认证所述一次性密码令牌。可选地,所述认证处理单元为所述管理处理单元或所述服务提供商处理单元。使用一次性密码可以有助于支持需要一次性密码的计算机化服务。
参考各方面,在本发明的可能实现方式中,所述客户端凭证包括国际电信联盟的标准化部门X.509证书(X.509证书),所述证书包括增强型密钥使用字段,并且所述增强型密钥使用字段的值为所述服务标识符。使用X.509证书的增强型密钥使用字段可以通过使用支持X.509的现有部件而减少系统的安装成本和操作成本。
参考各方面,在本发明的可能实现方式中,所述管理处理单元执行至少一个认证、授权和计费(AAA)软件对象和至少一个因特网密钥交换(IKE)软件对象,其中,所述客户端处理单元使用多个远程认证拨号用户服务(RADIUS)数据属性与所述至少一个IKE软件对象和所述至少一个AAA软件对象进行通信,所述RADIUS数据属性包括过滤器Id属性、登录IP-Host属性,登录TCP端口属性和登录服务属性,并且所述至少一个AAA软件对象使用所述多个RADIUS数据属性与所述至少一个IKE软件对象进行通信。从所述至少一个IKE软件对象发送至所述客户端处理单元的所述登录IP-Host属性的值为所述服务提供商处理单元的网络地址值;从所述至少一个IKE软件对象发送至所述客户端处理单元的登录TCP端口属性的值为所述服务提供商处理单元的网络端口号值;从所述至少一个IKE软件对象发送至所述客户端处理单元的所述登录服务属性的值为服务类型标识符值;以及从所述至少一个AAA软件对象发送至所述至少一个IKE软件对象或所述客户端处理单元的所述过滤器Id属性的值为用于创建一次性密码的共享密值。使用某些RADIUS属性可有助于通过使用现有的RADIUS支持组件而降低实施和操作的成本。
参考各方面,在本发明的可能实现方式中,所述客户端处理单元使用因特网密钥交换(IKE)协议向所述管理处理单元发送所述服务标识符和所述多个客户端凭证。可选地,所述客户端处理单元使用选自由以下各项组成的一组安全协议的协议建立所述直接网络连接:安全外壳(SSH)、超文本传输协议安全(HTTPS)和因特网协议安全(IPSec)。
在研究下文附图和详细描述之后,本发明的其它系统、方法、特征和优点对于本领域技术人员来说是或变得显而易见的。希望所有这些其它系统、方法、特征和优点包含在本说明书中,在本发明的范围内,并且受所附权利要求的保护。
除非另有定义,否则本文所用的所有技术和科学术语都具有与本发明普通技术人员公知的含义相同的含义。尽管与在此描述的方法和材料相似或等同的可以在本发明的实施例的实践或测试中使用,但下文将描述示例性方法和/或材料。在冲突的情况下,包括定义在内的专利说明书将受到控制。此外,材料方法和示例仅是说明性的,并不意图是必须限制性的。
附图说明
此处仅作为示例,结合附图描述了本发明的一些实施例。现在具体结合附图,需要强调的是所示的项目作为示例,为了说明性地讨论本发明的实施例。这样,根据附图说明,如何实践本发明实施例对本领域技术人员而言是显而易见的。
在附图中:
图1是根据本发明的一些实施例的示例性系统的示意性框图;
图2是根据本发明的一些实施例的可选操作流程的时序图;
图3是根据本发明的一些实施例的用于推导出多个客户端和服务器端网络连接值的可选操作流程的时序图;
图4是根据本发明的一些实施例的使用一次性密码的可选操作流程的时序图;
图5是根据本发明的一些实施例的建立SSH连接的可选操作流程的时序图;并且
图6是根据本发明的一些实施例的建立IPSec连接的可选操作流程的时序图。
具体实施方式
本发明在其一些实施例中涉及一种用于提供计算机化服务的系统,并且更具体地但不排他地涉及一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统。
在一些提供计算机化服务的系统中,客户端使用数字通信网络与计算机化服务的提供商通信。数字通信网络可以是局域网(LAN),例如以太网网络,或诸如无线保真(WiFi)网络等无线网络。数字通信网络可以是广域网(WAN),例如因特网。数字通信网络可以包括LAN和WAN。计算机化服务的提供商可以是一个或多个硬件处理器,其被适配用于执行一个或多个软件对象以提供计算机化服务。
为了简明起见,术语“服务器”从今以后用于指计算机化服务的提供商,并且术语“网络”用于指数字通信网络。
在某些系统中,为了向客户端提供计算机化服务,客户端向服务器发送服务请求。在某些这类系统中,服务器必须持续监听某已知的网络端口,以获取来自客户端的服务请求。在一些系统中,服务器位于受控的接入网(专用网络)内,使得其它计算机只能经由一个或多个网络设备来访问服务器,所述一个或多个网络设备被配置用于过滤进出专用网络的网络流量。网络设备的示例是路由器、交换机、和防火墙。网络设备可以是专用设备。网络设备可以是被配置用于实现诸如路由、交换或防火墙等联网服务,以及其他计算机化服务的设备,例如计算机。
此后,术语“网关”是指被配置用于过滤进出专用网络的网络流量的一个或多个网络设备。
为了使服务器从客户端接收服务请求,在这样的系统中,网关被配置为允许将服务请求传递到专用网络内部的服务器。当客户端与服务器之间使用安全网络协议进行通信时,网关可以被配置为仅使用安全网络协议在客户端和服务器之间传递网络流量。允许来自任何客户端的服务请求被传递到服务器可能会使服务器受到来自已知网络端口的恶意攻击。将网关配置为仅允许来自一组已知客户端的流量需要预先了解哪些客户端可能需要计算机化服务,或者当新客户端需要计算机化服务时,手动对网关进行临时配置。此外,当不止一个服务器位于一个专用网络上时,需要为网关配置每客户端、每计算机化服务的访问规则。除了网关已经被配置用于传递的一个或多个安全协议之外,当引入新的安全协议时,可能需要对网关进行额外的配置。某些系统创建VPN供客户端对专用网络进行网络访问;然而,使用VPN可能会将整个专用网络暴露给客户端,这可能不是必要或可取的,因为这种暴露可能会暴露专用网络的拓扑结构,并且另外或代替性地使连接到专用网络的其他计算机受到来自客户端的恶意攻击。此外,当客户端与服务器之间使用安全的点到点网络协议进行通信时,VPN解决方案需要双重加密——一个用于客户端与服务器之间的安全信道,且另一个用于VPN。这需要一个以上的加密密钥交换。
本发明在其一些实施例中,提出使用中介服务进行单个加密密钥交换,以允许使用多个安全的点到点网络协议中的一个来访问专用网络上的计算机化服务。根据本发明的一些实施例,不存在先验可访问的服务网络端口,并且当中介服务接收到来自客户端的服务请求时,服务器根据客户端身份和安全凭证公开安全连接接口(端点)。可选地,本发明提出仅在客户端需要服务实例时动态地配置服务实例。可选地,本发明提出动态地配置一个或多个网络设备(网关)以建立客户端与服务器之间的安全信道。
动态地配置安全的点到点网络协议可以消除网关的预配置,降低未被授权实体访问服务器的能力。动态地配置服务实例可以进一步降低未被授权实体访问服务器的能力,因为在服务器中服务实例端点存在的时间段缩短。另外,避免使用VPN可以防止未被授权实体访问除服务器之外的连接到专用网络的设其他备。此外,避免使用VPN可以有助于降低操作成本,因为可能很昂贵的VPN专业技术不是必需的。
本发明的一些实施例当在客户端与中介服务之间以及在客户端与服务器之间交互信息时,使用一个或多个可扩展认证协议(Extensible Authentication Protocol,EAP)方法。可选地,所述IKE协议用于在客户端与中介服务之间以及在客户端与服务器之间交换信息,可选地使用一个或多个基于EAP的协议,例如使用EAP因特网密钥交换版本2(EAP-IKEv2)。可选地,交换的信息包括客户端凭证。客户端凭证的示例为客户端身份、优选的点到点网络协议标识符、安全证书、以及使用服务的许可。将IKE协议与一个或多个基于EAP的协议一起使用可以有助于使用现有的网络设备和网络软件解决方案,这些现有的网络设备和网络软件解决方案已经被适配成用于支持基于IKE和EAP的协议,并且因此,与实施需要特别适配的网络设备和网络软件方案的方案相比,实施本发明时可以有助于更低的实施成本。
在详细解释本发明的至少一个实施例之前,应当理解,本发明并不一定在其应用中限制在以下描述中阐述的和/或附图和/或示例中说明的部件的构造和布置和/或方法的细节。本发明能够有其它实施例,或者能够以各种方式实践或实施。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质(或介质),其上具有计算机可读程序指令,用于使处理器执行本发明的各方面。
计算机可读存储介质可以是能够保留和存储指令以供指令执行设备使用的有形设备。所述计算机可读存储介质可以是例如,但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储装置、半导体存储设备或上述任意适当的组合。
在此描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者经由网络(例如因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。
计算机可读程序指令可以完全在用户的计算机上执行,部分在用户的计算机上执行,作为独立的软件包执行,部分在用户的计算机上执行,以及部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络连接到用户的计算机,所述网络包括局域网(LAN)或广域网(WAN),或者可以连接到外部计算机(例如,使用因特网服务提供商通过因特网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令,以用于个性化电子电路的,以便执行本发明的各方面。
在此参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图来描述本发明的各方面。将理解,流程图和/或框图的每个框,以及流程图和/或框图中的框的组合可以通过计算机可读程序指令实现。
图中的流程图和框图阐述了根据本发明各个实施例的系统、方法以及计算机程序产品的可能实现方式的结构、功能以及操作。就此而言,流程图或框图中的每个框可以表示模块、区段或指令的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。在一些替代实现方式中,框中提到的功能可以不按附图中提到的顺序发生。例如,事实上,连续示出的两个框可以几乎同时执行,或者有时候,框可以按照相反的顺序执行,这取决于所涉及的功能。也应注意的是,框图和/或流程图中的每个框以及框图和/或流程图中的框组合可以由基于专用硬件的系统执行,该系统执行特定的功能或动作,或者执行专用硬件和计算机指令的组合。
现在参考图1,其示出了根据本发明的一些实施例的示例性系统100的示意性框图。在这些实施例中,系统100包括管理处理单元101,其目的是在客户端处理单元104与服务提供商处理单元106之间提供安全信道,以便通过服务提供商处理单元106向客户端处理单元104提供至少一个计算机化服务。处理单元可以是任何种类的可编程或非可编程电路,其被配置用于执行本文中描述的操作。处理单元可以包括硬件以及软件。例如,处理单元可以包括一个或多个处理器和瞬时或非瞬时存储器,所述瞬时或非瞬时存储器承载程序,所述程序在所述程序由所述一个或多个处理器执行时使所述处理单元执行相应操作。可选地,客户端处理单元(客户端)104经由至少一个数字通信网络连接到管理处理单元(管理方)101。客户端104经由至少一个其他数字通信网络可选地连接到服务提供商处理单元(服务提供商)106。可选地,服务提供商106连接到专用网络并且客户端104经由至少一个网络设备110连接到服务提供商106,所述网络设备110可选地被配置用于控制对所述专用网络的访问。网络设备的示例为路由器、交换机、家庭网关和防火墙。可选地,系统100包括认证处理单元114,其目的是当与服务提供商106建立安全连接时,执行基于哈希的消息认证码(HMAC)一次性密码(HOTP)服务器,用于认证客户端104。可选地,认证处理单元114是管理方101。可选地,认证处理单元114是服务提供商106。
为了在客户端104与服务提供商106之间创建安全连接,在本发明的一些实施例中,系统100实现以下可选方法。
现在还参考图2,示出了根据本发明的一些实施例的可选操作流程200的时序图。在这样的实施例中,在201中,客户端104向管理方101发送服务标识符和多个客户端凭证,所述服务标识符标识客户端104请求的计算机化服务。计算机化服务的示例为SSH、HTTPS、IPSec、传输层安全(TLS)和安全套接字层(SSL)。可选地,所述多个客户端凭证包括国际电信联盟标准化部门X.509证书(X.509certificate),用于证明客户端104对公钥的所有权。可选地,X.509证书包括增强型密钥使用字段。可选地,其中,所述增强型密钥使用字段的值为所述服务标识符。
在201中,从客户端104接收服务标识符和多个客户端凭证之后,在210中管理方101可选地从服务标识符和所述多个客户端凭证中推导出多个服务器端网络连接值和多个客户端网络连接值。网络连接值的示例为:网络地址值、网络端口号值、服务类型标识符值、算法标识符、共享密值、公共密值和描述优选协议的提示值。网络地址值可以标识服务提供商106或客户端104。网络端口号值可以标识计算机化服务的端点或者被服务提供商106用来认证来自客户端104的请求。服务类型标识符可以标识允许服务提供商106提供给客户端104的计算机化服务。算法标识符可以标识在客户端104与服务提供商106之间的安全连接中使用的加密算法。公共密值可以由代表服务提供商106的管理方或客户端104生成并发送至相应的另一方。当可能有不只一个计算机化服务时,客户端104和/或服务提供商106可以使用提示值。例如,客户端网络连接值可以包括以下各项中的一项或多项:服务提供商106的网络地址值,以及服务提供商106的网络端口值,所述网络端口值标识服务提供商106向客户端104提供的计算机化服务的端点。服务器端网络连接值可以包括客户端104的网络地址值。可选地,所述多个服务器端网络连接值包括所述多个客户端凭证中的部分或全部。例如,当所述多个客户端凭证包括X.509证书时,所述多个服务器端网络连接值可选地包括X.509证书。可选地,所述多个服务器端网络连接值可选地包括另一X.509证书,用于证明客户端104对另一公钥(例如由管理方101生成的公钥)的所有权。
现在还参考图3,是根据本发明的一些实施例的用于推导所述多个客户端和服务器端网络连接值的可选操作流程300的时序图。在这种实施例中,客户端104使用IKE协议将所述服务标识符和所述多个客户端凭证发送至管理方101。可选地,管理方101执行至少一个IKE软件对象(IKE服务)121,用于与客户端104进行通信。在301中,客户端104可选地使用IKE阶段1协议与IKE服务121建立安全连接。可选地,管理方101执行至少一个认证、授权和计费软件对象(AAA扩展服务)122,以生成多个客户端网络连接值和多个服务器端网络连接值。在210中,推导出多个客户端网络连接值和多个服务器端网络连接值的可选操作流程包括在311中IKE服务121打开与AAA扩展服务122的安全信道、在312中IKE服务121使用在201中从客户端104接收的多个客户端凭证中的共享密值与AAA扩展服务122协商一个或多个安全密钥。可选地,IKE服务121将在201中从客户端104接收的服务标识符和多个客户端凭证发送到AAA扩展服务122。可选地,AAA扩展服务122在313中生成多个客户端网络连接值和多个服务器端网络连接值,可选地使用在201中从客户端接收的服务标识符和多个客户端凭证。可选地,管理方101执行一个或多个连接控制器软件对象(连接控制器)123,其目的是在客户端104与服务提供商106之间提供安全连接。在管理方101执行连接控制器123的实施例中,AAA扩展服务122可选地在314中向连接控制器123发送所生成的多个客户端网络连接值和多个服务器端网络连接值。
可选地,客户端104当与IKE服务121通信以及可选地与AAA扩展服务122通信时使用多个远程认证拨号用户服务(Remote Authentication Dial-In User Service,简称RADIUS)数据属性,并且AAA扩展服务122当与IKE服务121通信时使用多个RADIUS数据属性。在本发明的一个可能实施例中,从IKE服务121发送至客户端104的RADIUS登录IP-Host属性的值为服务提供商106的网络地址值,从IKE服务121发送至客户端104的RADIUS登录TCP端口属性的值为服务提供商106的网络端口号值,从IKE服务121发送至客户端104的RADIUS登录服务属性的值为服务类型标识符值,并且从AAA扩展服务122发送至IKE服务121或客户端104的RADIUS过滤器Id属性的值为用于创建一次性密码的共享密值。
现在再次参考图2,在240中,管理方101可选地向客户端104发送多个客户端网络连接值,并且在241中,管理方101可选地向服务提供商106发送多个服务器端网络连接值。在270中,管理方101可选地将网络设备110配置为例如通过配置端口转发规则而将多个数字消息的数字消息从客户端104指引到服务提供商106。可选地,管理方101指示服务提供商106执行一个或多个服务软件对象,其目的是向客户端104提供计算机化服务。可选地,所述一个或多个服务软件对象包括由服务提供商106执行的计算实例,其目的是向客户端104提供计算机化服务。计算实例的示例为虚拟机和操作系统级虚拟化软件对象,也称为容器或虚拟化容器,以与其它软件程序隔离的方式运行一个或多个软件程序或应用程序。服务软件对象的一些示例为SSH服务、IPSec服务和HTTPS服务。
在280中,客户端104可选地使用在240中从管理方101接收的多个客户端网络连接值建立与服务提供商106的直接安全网络连接,其目的是从服务器提供商106接收计算机化服务。服务提供商106可选地当与客户端104建立直接安全网络连接时使用多个服务器端网络连接值。可选地,客户端104使用安全的点到点网络协议(例如SSH、HTTPS或IPSec)建立与服务提供商106的直接安全网络连接。
一些计算机化服务使用一次性密码。现在还参考图4,示出了根据本发明的一些实施例的使用一次性密码的可选操作流程400的时序图。在这些实施例中,授权处理单元114执行一个或多个实现HOTP服务器的HOTP服务器软件对象。可选地,210进一步包括在401中生成一次性密码令牌,可选地使用来自在201中从客户端104接收的、由AAA扩展服务122发送至授权处理单元114的所述多个客户端凭证中的共享密值。可选地,在241中发送至服务器提供商106的多个服务器端网络连接值包括授权处理单元114的网络地址值。
一些可以使用一次性密码的安全协议包括SSH和IPSec。现在还参考图5,示出了根据本发明的一些实施例的用于建立SSH连接的可选操作流程500的时序图。在240中,在接收到的多个客户端网络连接值之后,在410中,客户端104可选地发起与服务提供商106的SSH连接。在这些实施例中,客户端104可以执行一个或多个SSH客户端软件对象,并且服务提供商可以执行一个或多个SSH服务器软件对象。在420中,客户端104可选地在420中生成一次性密码令牌,并且可选地在421中向服务提供商106发送一次性密码令牌。在422中,服务提供商106可选地向认证处理单元114发送一次性密码令牌,以认证连接到由服务提供商106提供的SSH服务的客户端104是与301和210中连接的客户端相同。
现在还参考图6,示出了根据本发明的一些实施例的用于建立IPSec连接的可选操作流程600的时序图。在这些实施例中,客户端104可选地执行一个或多个IPSec客户端软件对象,并且服务提供商106可选地执行一个或多个IPSec服务器客户端对象。
在240中,在接收到多个客户端网络连接值之后,在601中,客户端104例如使用IKE阶段2协议可选地发起与服务提供商106的IPSec连接。可选地,客户端104将生成的一次性密码令牌发送至服务提供商106。同样在此流程中,在422中,服务提供商106可选地向认证处理单元114发送一次性密码令牌,以认证连接到由服务提供商106提供的IPSec服务的客户端104与301和210中连接的客户端相同。在用认证处理单元114对客户端104进行认证之后,服务提供商106可选地在605中与客户端104建立IPSec连接,例如VPN连接。
对本发明各个实施例的描述只是为了说明的目的,而这些描述并不旨在穷举或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下,本领域技术人员可以清楚理解许多修改和变化。相比于市场上可找到的技术,选择此处使用的术语可最好地解释本实施例的原理、实际应用或技术进步,或使本领域其他技术人员理解此处公开的实施例。
预计在从本申请到期的专利的有效期内,将开发出许多相关的计算机化服务,并且术语“计算机化服务”的范围意在先验地包括所有此类新技术。
本文所使用的术语“约”是指±10%。
术语“包括”、“包含”、“具有”以及其变化形式表示“包含但不限于”。这个术语包括了术语“由……组成”以及“本质上由……组成”。
短语“主要由…组成”意指组成物或方法可以包含额外成分和/或步骤,但前提是所述额外成分和/或步骤不会实质上改变所要求的组成物或方法的基本和新颖特性。
除非上下文中另有明确说明,此处使用的单数形式“一个”和“所述”包括复数含义。例如,术语“化合物”或“至少一个化合物”可以包含多个化合物,包含其混合物。
此处使用的词“示例性的”表示“作为一个例子、示例或说明”。任何“示例性的”实施例并不一定理解为优先于或优越于其他实施例,和/或并不排除其他实施例特点的结合。
此处使用的词语“可选地”表示“在一些实施例中提供且在其他实施例中没有提供”。本发明的任意特定的实施例可以包含多个“可选的”特征,除非这些特征相互矛盾。
在整个本申请案中,本发明的各种实施例可以范围格式呈现。应理解,范围格式的描述仅为了方便和简洁起见,并且不应该被解释为对本发明范围的固定限制。因此,对范围的描述应被认为是已经具体地公开所有可能的子范围以及所述范围内的个别数值。例如,对诸如从1至6的范围的描述应被视为已具体公开了诸如从1至3、从1至4、从1至5、从2至4、从2至6、从3至6等子范围,以及该范围内的单个数字,例如1、2、3、4、5和6。无论范围的宽度如何,这都适用。
当此处指出一个数字范围时,表示包含了在指出的这个范围内的任意所列举的数字(分数或整数)。短语“在第一个所指示的数和第二个所指示的数范围内”以及“从第一个所指示的数到第二个所指示的数范围内”和在这里互换使用,表示包括第一个和第二个所指示的数以及二者之间所有的分数和整数。
应了解,为简洁起见在单独实施例的上下文中描述的本发明的某些特征还可以组合提供于单个实施例中。相反地,为简洁起见在单个实施例的上下文中描述的本发明的各个特征也可以单独地或以任何合适的子组合或作为本发明的任何合适的其它实施例提供。在各个实施例的上下文中描述的某些特征未视为那些实施例的基本特征,除非没有这些元素所述实施例无效。
此处,本说明书中提及的所有出版物、专利和专利说明书都通过引用本说明书结合在本说明书中,同样,每个单独的出版物、专利或专利说明书也具体且单独地结合在此。此外,对本申请的任何参考的引用或识别不可当做是允许这样的参考在现有技术中优先于本发明。就使用节标题而言,不应该将节标题理解成必要的限定。
Claims (16)
1.一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统,所述系统包括:
管理处理单元,所述管理处理单元被适配用于:
从客户端处理单元接收服务标识符和多个客户端凭证;
从所述服务标识符和所述多个客户端凭证推导出多个服务器端网络连接值和多个客户端网络连接值;
向所述客户端处理单元发送待由所述客户端处理单元在建立直接网络连接时使用的所述多个客户端网络连接值;以及
向服务提供商处理单元发送待由所述服务提供商处理单元在建立所述直接网络连接时使用的所述多个服务器端网络连接值,其中,所述服务端网络连接值和所述客户端网络连接值包括以下值中的一个或多个:网络地址值、网络端口号值、服务类型标识符值、算法标识符、共享密值、公共密值和描述优选协议的提示值。
2.根据权利要求1所述的系统,其中,所述管理处理单元进一步被适配用于:
指示所述服务提供商处理单元执行一个服务软件对象或多个服务软件对象,其目的是向所述客户端处理单元提供所述计算机化服务。
3.根据前述权利要求1或权利要求2所述的系统,其中,所述多个客户端网络连接值包括所述服务提供商处理单元的网络地址值和所述服务提供商处理单元的网络端口号值;并且
其中,所述多个服务器端网络连接值包括所述客户端的网络地址值。
4.根据前述权利要求1或权利要求2所述的系统,其中,所述多个服务器端网络连接值包括所述多个客户端凭证中的部分或全部。
5.根据前述权利要求1或权利要求2所述的系统,其中,所述管理处理单元进一步被适配用于配置至少一个网络设备,以将一个数字消息或多个数字消息从所述客户端处理单元引导至所述服务提供商处理单元。
6.根据前述权利要求1或权利要求2所述的系统,进一步包括:认证处理单元,所述认证处理单元被适配用于执行基于哈希的消息认证码(HMAC)一次性密码(HOTP)服务器;
其中,所述客户端处理单元使用所述客户端值中的部分或全部来生成用于在所述直接网络连接中使用的一次性密码令牌;并且
其中,所述服务提供商处理单元与所述HOTP服务器通信以认证所述一次性密码令牌。
7.根据权利要求6所述的系统,其中,所述认证处理单元为所述管理处理单元或所述服务提供商处理单元。
8.根据权利要求1所述的系统,其中,所述服务类型标识符值标识选自由以下各项组成的组中的服务:安全外壳(SSH)、超文本传输协议安全(HTTPS)、因特网协议安全(IPSec)、传输层安全(TLS)和安全套接字层安全(SSL)。
9.根据前述权利要求1、2、7、8中任一项所述的系统,其中,所述客户端凭证包括国际电信联盟的标准化部门X.509证书(X.509证书),所述证书包括增强型密钥使用字段;并且
其中,所述增强型密钥使用字段的值为所述服务标识符。
10.根据前述权利要求1、2、7、8中任一项所述的系统,其中,所述管理处理单元执行至少一个认证、授权和计费(AAA)软件对象和至少一个因特网密钥交换(IKE)软件对象;
其中,所述客户端处理单元使用多个远程认证拨号用户服务(RADIUS)数据属性与所述至少一个IKE软件对象和所述至少一个AAA软件对象进行通信,所述RADIUS数据属性包括过滤器Id属性、登录IP-Host属性,登录TCP端口属性和登录服务属性;
其中,所述至少一个AAA软件对象使用所述多个RADIUS数据属性与所述至少一个IKE软件对象进行通信;
其中,从所述至少一个IKE软件对象发送至所述客户端处理单元的登录IP-Host属性的值为所述服务提供商处理单元的网络地址值;
其中,从所述至少一个IKE软件对象发送至所述客户端处理单元的登录TCP端口属性的值为所述服务提供商处理单元的网络端口号值;
其中,从所述至少一个IKE软件对象发送至所述客户端处理单元的登录服务属性的值为服务类型标识符值;并且
其中,从所述至少一个AAA软件对象发送至所述至少一个IKE软件对象或所述客户端处理单元的过滤器Id属性的值为用于创建一次性密码的共享密值。
11.根据权利要求2所述的系统,其中,所述一个服务软件对象或所述多个服务软件对象包括由所述服务提供商处理单元执行的计算实例,其目的是向所述客户端处理单元提供所述计算机化服务。
12.一种用于在客户端与计算机化服务的提供商之间创建安全连接的系统,所述系统包括:
客户端处理单元,所述客户端处理单元被适配用于:
向管理处理单元发送服务标识符和多个客户端凭证;
从所述管理处理单元接收多个客户端网络连接值;以及
使用所述多个客户端网络连接值建立与服务提供商处理单元的直接网络连接,其目的是从所述服务提供商处理单元接收所述计算机化服务,其中,所述客户端网络连接值包括以下值中的一个或多个:网络地址值、网络端口号值、服务类型标识符值、算法标识符、共享密值、公共密值和描述优选协议的提示值。
13.根据权利要求12所述的系统,其中,所述客户端处理单元使用因特网密钥交换(IKE)协议向所述管理处理单元发送所述服务标识符和所述多个客户端凭证。
14.根据权利要求12和13中任一项所述的系统,其中,所述客户端处理单元使用选自由以下各项组成的一组安全协议的协议建立所述直接网络连接:安全外壳(SSH)、超文本传输协议安全(HTTPS)和因特网协议安全(IPSec)。
15.一种用于在客户端与计算机化服务的提供商之间创建安全连接的方法,所述方法包括:
从客户端处理单元接收服务标识符和多个客户端凭证;
从所述服务标识符和所述多个客户端凭证推导出多个服务器端网络连接值和多个客户端网络连接值;
向所述客户端处理单元发送待由所述客户端在建立直接网络连接时使用的所述多个客户端网络连接值;以及
向服务提供商处理单元发送待由所述服务提供商处理单元在建立所述直接网络连接时使用的所述多个服务器端网络连接值,其中,所述服务端网络连接值和所述客户端网络连接值包括以下值中的一个或多个:网络地址值、网络端口号值、服务类型标识符值、算法标识符、共享密值、公共密值和描述优选协议的提示值。
16.一种计算机可读存储介质,包括程序代码,当所述程序代码由计算机执行时,所述计算机执行如权利要求15所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2018/068518 WO2020011332A1 (en) | 2018-07-09 | 2018-07-09 | System and method for creating a secure connection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112385192A CN112385192A (zh) | 2021-02-19 |
| CN112385192B true CN112385192B (zh) | 2022-04-22 |
Family
ID=62904452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880095428.5A Active CN112385192B (zh) | 2018-07-09 | 2018-07-09 | 用于创建安全连接的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112385192B (zh) |
| WO (1) | WO2020011332A1 (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102012989A (zh) * | 2010-12-07 | 2011-04-13 | 江苏风云网络服务有限公司 | 软件即服务中基于门限与密钥的授权方法 |
| CN107431701A (zh) * | 2015-03-06 | 2017-12-01 | 高通股份有限公司 | 使用现有凭证的到蜂窝网络的受赞助连通性 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8214884B2 (en) * | 2003-06-27 | 2012-07-03 | Attachmate Corporation | Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys |
| US7613919B2 (en) * | 2004-10-12 | 2009-11-03 | Bagley Brian B | Single-use password authentication |
-
2018
- 2018-07-09 WO PCT/EP2018/068518 patent/WO2020011332A1/en active Application Filing
- 2018-07-09 CN CN201880095428.5A patent/CN112385192B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102012989A (zh) * | 2010-12-07 | 2011-04-13 | 江苏风云网络服务有限公司 | 软件即服务中基于门限与密钥的授权方法 |
| CN107431701A (zh) * | 2015-03-06 | 2017-12-01 | 高通股份有限公司 | 使用现有凭证的到蜂窝网络的受赞助连通性 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112385192A (zh) | 2021-02-19 |
| WO2020011332A1 (en) | 2020-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11870809B2 (en) | Systems and methods for reducing the number of open ports on a host computer | |
| US20210036997A1 (en) | Secure key management protocol for distributed network encryption | |
| US8201233B2 (en) | Secure extended authentication bypass | |
| US10298581B2 (en) | Zero-touch IoT device provisioning | |
| US20190052626A1 (en) | Generation and distribution of secure or cryptographic material | |
| US9596077B2 (en) | Community of interest-based secured communications over IPsec | |
| JP4829554B2 (ja) | 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法 | |
| US7636938B2 (en) | Controlling network access | |
| US20080022392A1 (en) | Resolution of attribute overlap on authentication, authorization, and accounting servers | |
| US11621945B2 (en) | Method and system for secure communications | |
| EP3871382A1 (en) | System and method of verifying network communication paths between applications and services | |
| US11425098B2 (en) | Streamlined authentication and authorization for virtual private network tunnel establishment | |
| US20080127327A1 (en) | Deploying group VPNS and security groups over an end-to-end enterprise network | |
| CN108809907B (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
| US9059962B2 (en) | Secure access to applications behind firewall | |
| CN110830351B (zh) | 基于SaaS服务模式的租户管理及服务提供方法、装置 | |
| Gunleifsen et al. | Dynamic setup of IPsec VPNs in service function chaining | |
| EP3288235B1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
| CN112385192B (zh) | 用于创建安全连接的系统和方法 | |
| US11888898B2 (en) | Network configuration security using encrypted transport | |
| Hauser et al. | P4sec: Automated Deployment of 802.1 X, IPsec, and MACsec Network Protection in P4-Based SDN | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| Sahare et al. | A survey paper: Data security in local networks using distributed firewalls | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| Singh | Study and analysis of security issues using vpns Virtual private networks in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220217 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |