專利名稱:利用繼承的安全屬性來(lái)管理安全網(wǎng)絡(luò)中的代理請(qǐng)求的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全��,更具體地說(shuō)����,涉及利用繼承的鑒權(quán)和授權(quán)屬性來(lái)管理安全網(wǎng)絡(luò)中的代理請(qǐng)求的系統(tǒng)和方法。
背景技術(shù):
代理服務(wù)一般駐留在一個(gè)服務(wù)器內(nèi)����,該服務(wù)器位于客戶機(jī)應(yīng)用���,例如web瀏覽器和另一服務(wù)器�����,例如內(nèi)容服務(wù)器之間�。代理服務(wù)可被配置成代表其它服務(wù)器�����,管理與客戶機(jī)應(yīng)用的通信���。代理服務(wù)可起客戶機(jī)應(yīng)用的服務(wù)器的作用�,和起其它服務(wù)器的客戶機(jī)的作用。代理服務(wù)通常被用于幫助客戶機(jī)應(yīng)用接入企業(yè)內(nèi)部網(wǎng)中的服務(wù)器�����。
代理服務(wù)(有時(shí)稱為應(yīng)用代理)通常分為兩類類屬代理服務(wù)和應(yīng)用感知代理服務(wù)��。就類屬代理��,例如SOCKetS(SOCKS)代理等來(lái)說(shuō)�,因特網(wǎng)上希望與企業(yè)內(nèi)部網(wǎng)上的服務(wù)器通信的客戶機(jī)應(yīng)用通常必須打開(kāi)與代理服務(wù)的連接,并通過(guò)代理專用協(xié)議著手指示實(shí)際服務(wù)器的位置����。類屬代理代表客戶機(jī)應(yīng)用打開(kāi)連接,此時(shí)�����,常規(guī)應(yīng)用協(xié)議會(huì)起動(dòng)�����。之后�,類屬代理實(shí)質(zhì)上一般起簡(jiǎn)單的中繼機(jī)構(gòu)的作用��。
應(yīng)用感知代理服務(wù)包括能夠認(rèn)識(shí)它們支持的應(yīng)用協(xié)議的代理服務(wù)器�����。應(yīng)用感知代理服務(wù)包括FTP��、Telnet����、HTTP等�。
一般,應(yīng)用感知代理服務(wù)通過(guò)鑒權(quán)客戶機(jī)應(yīng)用�����,確??蛻魴C(jī)應(yīng)用被授權(quán)接入服務(wù)器����,并允許接入服務(wù)器,控制對(duì)服務(wù)器上的所需應(yīng)用的接入�。在許多應(yīng)用感知代理服務(wù),例如HTTP代理服務(wù)中��,接入控制判定以底層TCP連接的性質(zhì)為基礎(chǔ),在所述底層TCP連接上�,代理服務(wù)接收接入請(qǐng)求。
但是在許多情況下�,為了保護(hù)客戶機(jī)應(yīng)用和服務(wù)器之間的通信,還需要安全性���。通常通過(guò)利用安全隧道�����,能夠?qū)崿F(xiàn)通信的保護(hù)��?�?衫酶鞣N機(jī)制�����,包括HTTPS/SSL�����、TLS等��,實(shí)現(xiàn)安全隧道�。通過(guò)利用充當(dāng)中間物的獨(dú)立應(yīng)用,在客戶機(jī)和代理應(yīng)用之間轉(zhuǎn)發(fā)通信��,能夠產(chǎn)生這種安全隧道��。
不幸的是�����,安全隧道的使用會(huì)阻礙對(duì)代理服務(wù)采用的底層TCP連接的性質(zhì)的接入�����。這會(huì)使得難以可靠地保護(hù)到服務(wù)器的通信�,和客戶機(jī)的對(duì)服務(wù)器的代理接入。另外���,由于不能表述客戶機(jī)和代理服務(wù)采用的應(yīng)用協(xié)議中的安全性質(zhì)�,代理服務(wù)對(duì)安全隧道的安全性質(zhì)知之甚少(即使有的話)����。這使關(guān)于通信和對(duì)服務(wù)器的代理接入的保護(hù)方案進(jìn)一步復(fù)雜�����。于是,本行業(yè)中需要一種管理安全網(wǎng)絡(luò)內(nèi)的代理請(qǐng)求的改進(jìn)方法和系統(tǒng)���。從而��,正是關(guān)于這些及其它考慮因素��,做出了本發(fā)明��。
參考附圖�,說(shuō)明了本發(fā)明的非限制性和非排他性實(shí)施例����。附圖中,除非另有說(shuō)明�����,否則相同的附圖標(biāo)記代表各個(gè)圖中的相同部分���。
結(jié)合附圖����,參考下面的本發(fā)明的詳細(xì)說(shuō)明,可更好地理解本發(fā)明��,其中圖1圖解說(shuō)明本發(fā)明可在其中工作的環(huán)境的一個(gè)實(shí)施例���;圖2圖解說(shuō)明可在安全代理系統(tǒng)100內(nèi)工作的�����、用于管理安全網(wǎng)絡(luò)上的代理請(qǐng)求的功能組件的一個(gè)實(shí)施例的方框圖��;圖3圖解說(shuō)明可被用于實(shí)現(xiàn)本發(fā)明的接入服務(wù)器的一個(gè)實(shí)施例的方框圖���;圖4圖解說(shuō)明可被用于實(shí)現(xiàn)本發(fā)明的客戶機(jī)設(shè)備的一個(gè)實(shí)施例的方框圖;圖5是圖解說(shuō)明根據(jù)本發(fā)明的一個(gè)實(shí)施例����,利用繼承的安全屬性,管理安全網(wǎng)絡(luò)內(nèi)的代理請(qǐng)求的過(guò)程的流程圖����。
具體實(shí)施例方式
下面將參考附圖更充分地說(shuō)明本發(fā)明,附圖構(gòu)成詳細(xì)說(shuō)明的一部分�,并且舉例說(shuō)明了可實(shí)踐本發(fā)明的具體例證實(shí)施例。但是����,本發(fā)明可用許多不同的形式具體體現(xiàn),不應(yīng)被理解成局限于這里陳述的實(shí)施例����;相反,提供這些實(shí)施例���,以致本公開(kāi)將更透徹和完整���,并且將向本領(lǐng)域的技術(shù)人員完整地通報(bào)本發(fā)明的范圍。除了其它之外��,本發(fā)明可被具體體現(xiàn)成方法和設(shè)備�����。因此���,本發(fā)明可采用全硬件實(shí)施例��,全軟件實(shí)施例或者組合軟件和硬件的實(shí)施例的形式�。于是�,下面的詳細(xì)說(shuō)明不要被理解為對(duì)本發(fā)明的限制�����。
術(shù)語(yǔ)“包含”���、“包括”、“含有”���、“具有”和“其特征在于”指的是開(kāi)放式的或者包含的過(guò)渡結(jié)構(gòu)���,并不排除另外的��、未列舉的部件或方法步驟。例如����,包括A和B部件的組合也可理解為A、B和C部件的組合。
“a”��、“an”和“the”的含義包括復(fù)數(shù)引用�����?����!霸?..中”的含義包括“在...中”和“在...上”�。另外���,除非另作說(shuō)明或者與這里的公開(kāi)不一致����,否則對(duì)單數(shù)的引用包括對(duì)復(fù)數(shù)的引用�。
術(shù)語(yǔ)“或者”是“或”運(yùn)算符,包括術(shù)語(yǔ)“和/或”,除非上下文明確地另有說(shuō)明�。
這里使用的短語(yǔ)“在一個(gè)實(shí)施例中”不一定指的是相同的實(shí)施例,盡管可能是相同的實(shí)施例�。
術(shù)語(yǔ)“根據(jù)”不是排他的,規(guī)定基于未描述的其它因素�����,除非上下文明確地另有說(shuō)明���。
術(shù)語(yǔ)“分組”包括IP(網(wǎng)際協(xié)議)分組�。術(shù)語(yǔ)“流”包括通過(guò)網(wǎng)絡(luò)的分組的流動(dòng)����。術(shù)語(yǔ)“連接”指的是通常共用公共來(lái)源和目的地的分組的流動(dòng)�����。
簡(jiǎn)單地說(shuō)�����,本發(fā)明的目的在于一種利用繼承的安全屬性�,管理安全網(wǎng)絡(luò)上的代理請(qǐng)求的系統(tǒng)、設(shè)備和方法。使代理通信,例如HTTP代理通信穿過(guò)安全隧道,以致代理請(qǐng)求繼承安全隧道的安全屬性�����。安全屬性可被用于實(shí)現(xiàn)對(duì)服務(wù)器的代理接入��,從而把安全隧道的安全性質(zhì)擴(kuò)展到穿過(guò)它的代理連接�����。安全隧道服務(wù)接收來(lái)自客戶機(jī)的代理請(qǐng)求,并修改該代理請(qǐng)求�,以包括至少一個(gè)安全屬性。隨后代理服務(wù)可采用所述至少一個(gè)安全屬性批準(zhǔn)對(duì)服務(wù)器的接入����。在一個(gè)實(shí)施例中,安全隧道是HTTPS建立的隧道�。安全屬性可包括與客戶機(jī)相關(guān)的IP地址,與安全隧道相關(guān)的安全性質(zhì)���,公共密鑰證書(shū)�,配置成實(shí)現(xiàn)對(duì)內(nèi)容服務(wù)器的客戶機(jī)接入的接入控制數(shù)據(jù)�,與客戶機(jī)相關(guān)的安全憑證,會(huì)話標(biāo)識(shí)符等����。在一個(gè)實(shí)施例中,安全屬性是代理服務(wù)可用于確定一個(gè)另外的安全屬性的標(biāo)識(shí)符�����。如果根據(jù)繼承的安全屬性�,客戶機(jī)被授權(quán),那么可建立到所請(qǐng)求服務(wù)器的連接�。
例證的工作環(huán)境圖1圖解說(shuō)明系統(tǒng)可在其中工作的環(huán)境的一個(gè)實(shí)施例�。但是���,實(shí)踐本發(fā)明可能并不需要所有這些組件�����,在不脫離本發(fā)明的精神或范圍的情況下���,可在組件的排列和類型方面做出各種變化。
如圖1中所示��,安全代理系統(tǒng)100包括客戶機(jī)102����,廣域網(wǎng)(WAN)局域網(wǎng)(LAN)104,接入服務(wù)器106和內(nèi)容服務(wù)器108���。WAN/LAN 104與客戶機(jī)102和接入服務(wù)器106通信�����。接入服務(wù)器106與內(nèi)容服務(wù)器108通信。
客戶機(jī)106可以是能夠通過(guò)網(wǎng)絡(luò)��,例如WAN/LAN 104往來(lái)于另一網(wǎng)絡(luò)設(shè)備,例如接入服務(wù)器106���,發(fā)送和接收分組的任意網(wǎng)絡(luò)設(shè)備��。一組這樣的設(shè)備可包括一般利用有線通信媒介連接的設(shè)備����,例如個(gè)人計(jì)算機(jī)����,多處理器系統(tǒng),基于微處理器的或可編程的消費(fèi)電子產(chǎn)品��,網(wǎng)絡(luò)PC等����。一組這樣的設(shè)備還可包括一般利用無(wú)線通信媒介連接的設(shè)備,例如蜂窩電話機(jī)��,智能電話機(jī)�、尋呼機(jī)、對(duì)講機(jī)����,射頻(RF)設(shè)備���,紅外(IR)設(shè)備,CB�,組合一個(gè)或多個(gè)前述設(shè)備的集成設(shè)備等。另一方面���,客戶機(jī)102可以是能夠利用有線或無(wú)線通信媒介連接的任意設(shè)備���,例如PDA,POCKET PC��,可佩帶的計(jì)算機(jī)�,和被裝備成通過(guò)有線和/或無(wú)線通信媒介通信的任意其它設(shè)備。下面結(jié)合圖4更詳細(xì)地說(shuō)明客戶機(jī)102的一個(gè)
WAN/LAN 104能夠采用任意形式的計(jì)算機(jī)可讀媒介把信息從一個(gè)電子設(shè)備傳送給另一電子設(shè)備��。另外����,除了局域網(wǎng)(LAN),廣域網(wǎng)(WAN)���,直接連接��,例如通過(guò)通用串行總線(USB)端口����,其它形式的計(jì)算機(jī)可讀媒介和它們的任意組合之外�����,WAN/LAN 104還可包括因特網(wǎng)����。在一組互連的LAN(包括基于不同的體系結(jié)構(gòu)和協(xié)議的那些LAN)上,路由器充當(dāng)LAN之間的鏈路�����,使消息能夠從一個(gè)LAN發(fā)送給另一LAN���。另外�,LAN內(nèi)的通信鏈路一般包括雙絞線或同軸電纜�,而網(wǎng)絡(luò)之間的通信鏈路可利用模擬電流線,完全專用或部分專用數(shù)字線路(包括T1��、T2����、T3和T4)�����,綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)��,數(shù)字用戶線(DSL)�,包括衛(wèi)星鏈路的無(wú)線鏈路���,或者其它通信鏈路�����。此外�,遠(yuǎn)程計(jì)算機(jī)和其它相關(guān)電子設(shè)備可通過(guò)調(diào)制解調(diào)器和臨時(shí)電話鏈路�����,遠(yuǎn)程地與LAN或WAN連接���。
這樣��,會(huì)認(rèn)識(shí)到因特網(wǎng)本身可由大量這樣的互連網(wǎng)絡(luò)��,計(jì)算機(jī)和路由器構(gòu)成�。一般來(lái)說(shuō),術(shù)語(yǔ)“因特網(wǎng)”指的是使用傳輸控制協(xié)議/網(wǎng)際協(xié)議(“TCP/IP”)協(xié)議組相互通信的網(wǎng)絡(luò)����、網(wǎng)關(guān)、路由器和計(jì)算機(jī)的全球集合�。因特網(wǎng)的中心是發(fā)送數(shù)據(jù)和消息的主節(jié)點(diǎn)或主計(jì)算機(jī)�����,包括成千上萬(wàn)的商業(yè)��、政府���、教育和其它計(jì)算機(jī)系統(tǒng)之間的高速數(shù)據(jù)通信線路的主干線����。本發(fā)明的一個(gè)實(shí)施例可在因特網(wǎng)內(nèi)實(shí)踐���,而不會(huì)脫離本發(fā)明的精神或范圍���。
用于在如上所述的通信鏈路中傳送信息的媒介舉例說(shuō)明一種計(jì)算機(jī)可讀媒介,即通信媒介。一般來(lái)說(shuō)��,計(jì)算機(jī)可讀媒介包括可被計(jì)算設(shè)備接入的任意媒介�����。計(jì)算機(jī)可讀媒介可包括計(jì)算機(jī)存儲(chǔ)媒介�����,通信媒介���,或者它們的任意組合����。
通信媒介一般把計(jì)算機(jī)可讀指令����,數(shù)據(jù)結(jié)構(gòu),程序模塊���,或者其它數(shù)據(jù)包含在調(diào)制數(shù)據(jù)信號(hào)�����,例如載波或其它傳送機(jī)構(gòu)中��,并且包括任意信息傳遞媒介�。術(shù)語(yǔ)“調(diào)制數(shù)據(jù)信號(hào)”包括按照以便對(duì)信號(hào)中的信息編碼的方式,設(shè)置或改變其一個(gè)或多個(gè)特征的信號(hào)��。例如�,通信媒介包括有線媒介,例如雙絞線���,同軸電纜,光纖����,波導(dǎo)管和其它有線媒介,以及無(wú)線媒介����,例如聲,RF���,紅外和其它無(wú)線媒介����。
接入服務(wù)器106可包括能夠管理客戶機(jī)102和內(nèi)容服務(wù)器108之間的分組流的任意計(jì)算設(shè)備。分組流中的每個(gè)分組可傳送一條信息����。可發(fā)送分組用于握手��,即����,建立連接或者確認(rèn)數(shù)據(jù)的接收。分組可包括諸如請(qǐng)求�、響應(yīng)之類的信息。例如����,分組可包括對(duì)接入服務(wù)器108的請(qǐng)求。分組還可包括在接入服務(wù)器108和客戶機(jī)102之間建立安全通信的請(qǐng)求���。這樣�,采用各種安全技術(shù)�,包括(但不限于)在安全套接字層(SSL),第二層隧道協(xié)議(L2TP)�����,傳輸層安全性(TLS),隧道TLS(TTLS)���,IPSec����,安全HTTP(HTTPS)�����,可擴(kuò)展的鑒權(quán)協(xié)議(EAP)等中采用的那些安全技術(shù)��,可對(duì)在客戶機(jī)102和接入服務(wù)器108之間傳遞的分組加密�。
通常,在客戶機(jī)102和接入服務(wù)器106之間接收的分組將按照TCP/IP被格式化�����,但是也可利用另一種傳輸協(xié)議����,例如用戶數(shù)據(jù)報(bào)協(xié)議(UDP)��,因特網(wǎng)控制消息協(xié)議(ICMP)���,NETbeui�,IPX/SPX,權(quán)標(biāo)環(huán)等格式化這些分組�����。在一個(gè)實(shí)施例中���,分組是HTTP格式化分組�����。
在一個(gè)實(shí)施例中����,接入服務(wù)器106被配置成保護(hù)內(nèi)容服務(wù)器108免于未經(jīng)授權(quán)的接入�。這樣,接入服務(wù)器106可包括各種分組過(guò)濾程序��,代理應(yīng)用和篩選應(yīng)用�����,以確定分組是否被批準(zhǔn)��。這樣,接入服務(wù)器106可被配置成起網(wǎng)關(guān)���、防火墻��、反向代理服務(wù)器���、代理服務(wù)器、安全橋等的作用�。在一個(gè)實(shí)施例中,接入服務(wù)器106可起HTTP/SSL-VPN網(wǎng)關(guān)的作用��。下面結(jié)合圖3更詳細(xì)地說(shuō)明了接入服務(wù)器106的一個(gè)實(shí)施例�。
雖然圖1中,接入服務(wù)器106被圖解表示成單個(gè)設(shè)備��,不過(guò)本發(fā)明并不局限于此���。管理客戶機(jī)102和內(nèi)容服務(wù)器108之間的接入和通信的接入服務(wù)器106的組件可安排成多個(gè)網(wǎng)絡(luò)設(shè)備上,而不會(huì)脫離本發(fā)明的范圍�����。例如��,在一個(gè)實(shí)施例中,管理用于客戶機(jī)102和內(nèi)容服務(wù)器108之間的通信的安全隧道的組件可部署在一個(gè)網(wǎng)絡(luò)設(shè)備中����,而管理對(duì)內(nèi)容服務(wù)器108的接入控制的代理服務(wù)可部署在另一網(wǎng)絡(luò)設(shè)備中。
內(nèi)容服務(wù)器108可包括配置成向客戶機(jī)���,例如客戶機(jī)102提供內(nèi)容的任意計(jì)算設(shè)備�����。內(nèi)容服務(wù)器108可被配置成起網(wǎng)站�,文件系統(tǒng)���,文件傳輸協(xié)議(FTP)服務(wù)器�,網(wǎng)絡(luò)新聞傳輸協(xié)議(NNTP)服務(wù)器�,數(shù)據(jù)庫(kù)服務(wù)器,應(yīng)用服務(wù)器等的作用�����?���?捎米鲀?nèi)容服務(wù)器108的設(shè)備包括(但不限于)個(gè)人計(jì)算機(jī)�����,桌上計(jì)算機(jī)���,多處理器系統(tǒng),基于微處理器的或者可編程的消費(fèi)電子產(chǎn)品�,網(wǎng)絡(luò)PC,服務(wù)器等�。
圖2圖解說(shuō)明可在安全代理系統(tǒng)100內(nèi)工作的,用于管理安全網(wǎng)絡(luò)上的代理請(qǐng)求的功能組件的一個(gè)實(shí)施例的方框圖����。但是,實(shí)踐本發(fā)明可能并不需要所有這些組件���,在不脫離本發(fā)明的精神或范圍的情況下�,可在組件的排列和類型方面做出各種變化�。
如圖2中所示,功能組件200包括客戶機(jī)服務(wù)202�,安全隧道204,接入服務(wù)206和內(nèi)容服務(wù)208�����?���?蛻魴C(jī)服務(wù)202包括代理客戶機(jī)210和安全隧道客戶機(jī)212。接入服務(wù)206包括接入控制服務(wù)214和代理服務(wù)216����。
安全隧道客戶機(jī)212與代理客戶機(jī)210和安全隧道204通信。接入控制服務(wù)214與安全隧道204和代理服務(wù)216通信�。代理服務(wù)216再與內(nèi)容服務(wù)208通信。
客戶機(jī)服務(wù)202可以駐留在圖1的客戶機(jī)102中�,而接入服務(wù)206可駐留在圖1的接入服務(wù)器106內(nèi)。
代理客戶機(jī)210事實(shí)上可包括配置成能夠?qū)崿F(xiàn)關(guān)于代理連接的請(qǐng)求����,以及保持與另一應(yīng)用的代理連接的任意服務(wù)或者一組服務(wù)。在一個(gè)實(shí)施例中��,另一應(yīng)用駐留在另一設(shè)備�����,例如圖1的接入服務(wù)器106上����。代理客戶機(jī)210可采用各種機(jī)構(gòu)來(lái)請(qǐng)求和保持代理連接��,包括(但不限于)web瀏覽器���,HTTP代理客戶機(jī),端口轉(zhuǎn)發(fā)應(yīng)用�,端口轉(zhuǎn)發(fā)小程序,支持Java的代理客戶機(jī)等��。
安全隧道客戶機(jī)212事實(shí)上包括配置成使客戶機(jī)�,例如圖1的客戶機(jī)102能夠與接入控制服務(wù)214建立安全隧道的任意服務(wù)。安全隧道客戶機(jī)212可包括web瀏覽器內(nèi)能夠建立安全隧道的組件�����。安全隧道客戶機(jī)212還可包括諸如SSL組件���,TLS組件�����,加密/解密組件����,可擴(kuò)展鑒權(quán)協(xié)議(EAP)組件,IPSec組件���,安全的超文本傳輸協(xié)議(HTTPS)組件,802.11安全組件���,SSH組件之類的組件��。
安全隧道客戶機(jī)212還可包括配置成保存用于產(chǎn)生和維持安全隧道的安全屬性的倉(cāng)庫(kù)��、數(shù)據(jù)庫(kù)����、文本文件等�。這樣的安全屬性可包括(但不限于)證書(shū),包括X.509證書(shū)和類似的公共/專用密鑰證書(shū)�����,加密密鑰等�。還可在安全事務(wù)的各方之間增加、共享或以類似方式處理安全屬性���。
安全隧道204事實(shí)上包括能夠通過(guò)網(wǎng)絡(luò)��,實(shí)現(xiàn)客戶機(jī)和服務(wù)器���,例如圖1的客戶機(jī)102和接入服務(wù)器106之間的安全通信的任意機(jī)構(gòu)���。安全隧道204能夠在另一種協(xié)議格式內(nèi),實(shí)現(xiàn)一種協(xié)議格式的分組的傳輸�。安全隧道204可采用封裝、加密等來(lái)確保通信是安全的���。安全隧道204可采用各種機(jī)構(gòu)來(lái)保護(hù)通信�,包括(但不限于)SSL����、TLS、EAP��、IPSec�����、HTTPS�����、無(wú)線等效保密(WEP)、Wi-Fi受保護(hù)接入(WPA)����、無(wú)線鏈路層安全(WLLS)等。
接入控制服務(wù)214事實(shí)上包括使服務(wù)器����,例如圖1的接入服務(wù)器106能夠建立和維持與客戶機(jī)的安全隧道204的任意服務(wù)或者一組服務(wù)���。接入控制服務(wù)214可包括基本上與安全隧道客戶機(jī)212類似�����,配置成起服務(wù)器作用的組件�����。這樣��,接入控制服務(wù)214可包括SSL組件�,TLS組件�,加密/解密組件,EAP組件���,IPSec組件����,HTTPS組件,802.11安全組件����,SSH組件等。
接入控制服務(wù)214還可包括配置成保存可用于產(chǎn)生和維持安全隧道的安全屬性��,包括安全控制許可(例如授權(quán))的倉(cāng)庫(kù)����、數(shù)據(jù)庫(kù)、文本文件等����。這樣的安全屬性包括(但不限于)與接入服務(wù)206相關(guān)聯(lián)的證書(shū),包括X.509證書(shū)和類似的公共/專用密鑰證書(shū)���,隨機(jī)產(chǎn)生的數(shù)據(jù)����,加密密鑰等���。
接入控制服務(wù)214還被配置成通過(guò)安全隧道接收代理請(qǐng)求��。通過(guò)把安全屬性包含到代理請(qǐng)求中��,接入控制服務(wù)214可修改代理請(qǐng)求����。接入控制服務(wù)214可組合首標(biāo)和代理請(qǐng)求,這里首標(biāo)包括安全屬性����。接入控制服務(wù)214可選擇加密首標(biāo)�,首標(biāo)和代理請(qǐng)求,等等�。
通過(guò)修改代理請(qǐng)求以包括安全屬性,本發(fā)明能夠?qū)崿F(xiàn)整個(gè)范圍的接入控制選項(xiàng)�����,而不需要修改傳送給客戶機(jī)的內(nèi)容�。由于適用于代理客戶機(jī)的內(nèi)容多種多樣,這種多樣性致使修改內(nèi)容的方法成為天生不完善���,并且可能使人不滿意的解決方案�����。
安全屬性可與安全隧道204的性質(zhì)相關(guān)聯(lián)�����。安全屬性還可與客戶機(jī)���,例如圖1的客戶機(jī)102的安全性質(zhì)相關(guān)聯(lián)���。這樣的安全性質(zhì)可包括接入控制數(shù)據(jù),IP地址�,數(shù)字證書(shū)等。安全屬性還可包括與客戶機(jī)相關(guān)的標(biāo)識(shí)符����,使代理服務(wù)216能夠確定與該客戶機(jī)相關(guān)的其它安全屬性。
接入控制服務(wù)214被配置成建立與代理服務(wù)216的連接�,并把修改后的代理請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)216。在一個(gè)實(shí)施例中��,接入控制服務(wù)214和代理服務(wù)216之間的連接包括安全連接�����。利用各種機(jī)制,包括(但不限于)產(chǎn)生另一安全隧道����,封閉接入控制服務(wù)214和代理服務(wù)216之間的通信,對(duì)通信加密等���,可建立這種安全連接�����。
接入控制服務(wù)214還可被配置成把關(guān)于已知代理服務(wù)�����,例如代理服務(wù)216的代理請(qǐng)求和其它請(qǐng)求,其它通信����,例如安全隧道客戶機(jī)212和接入控制服務(wù)214之間的控制信息等等區(qū)分開(kāi)。
代理服務(wù)216事實(shí)上包括使得能夠代表內(nèi)容服務(wù)208�,管理與客戶機(jī)應(yīng)用的通信的任意服務(wù)。代理服務(wù)216還被配置成從接入控制服務(wù)214接收修改后的代理請(qǐng)求�����。
代理服務(wù)216可采用安全屬性取回與請(qǐng)求客戶機(jī)應(yīng)用,安全隧道��,接入控制權(quán)限等相關(guān)的另外的安全屬性��。另外的安全屬性可駐留在倉(cāng)庫(kù)�、數(shù)據(jù)庫(kù)、文本文件等中��。安全屬性倉(cāng)庫(kù)(未示出)可由代理服務(wù)216�����,接入控制服務(wù)214保持����,由代理服務(wù)216和接入控制服務(wù)214共同保持,甚至由另一服務(wù)(未示出)保持�。
代理服務(wù)216可采用首標(biāo)內(nèi)的安全屬性來(lái)確定是否批準(zhǔn)代理請(qǐng)求,完成代理請(qǐng)求�����,報(bào)以出錯(cuò)消息等���。
代理服務(wù)216還可被配置成區(qū)分通過(guò)安全隧道“轉(zhuǎn)發(fā)”到達(dá)的連接�����,和通過(guò)非安全隧道�����,網(wǎng)絡(luò)等到達(dá)的另一連接�。
圖3圖解說(shuō)明了可被用于實(shí)現(xiàn)本發(fā)明的接入服務(wù)器的一個(gè)實(shí)施例的方框圖。接入設(shè)備300可包括比圖示那些組件多得多的組件�。但是,所示組件足以公開(kāi)用于實(shí)踐本發(fā)明的一個(gè)例證實(shí)施例���。
接入設(shè)備300包括處理單元312����,視頻顯示適配器314和大容量存儲(chǔ)器����,它們都通過(guò)總線322相互通信�����。大容量存儲(chǔ)器一般包括RAM 316,ROM 332���,以及一個(gè)或多個(gè)永久大容量存儲(chǔ)設(shè)備�����,例如硬盤(pán)驅(qū)動(dòng)器328��、磁帶驅(qū)動(dòng)器���、光盤(pán)驅(qū)動(dòng)器和/或軟盤(pán)驅(qū)動(dòng)器。大容量存儲(chǔ)器保存控制接入設(shè)備300的操作的操作系統(tǒng)320����。可采用通用操作系統(tǒng)��。另外還提供基本輸入/輸出系統(tǒng)(“BIOS”)318���,以便控制接入設(shè)備300的低級(jí)操作���。
如圖3中所示,接入設(shè)備300還能夠通過(guò)網(wǎng)絡(luò)接口單元310�����,與因特網(wǎng),或者其它一些通信網(wǎng)絡(luò)���,例如圖1中的WAN/LAN 104通信���,網(wǎng)絡(luò)接口單元310被構(gòu)造成供包括TCP/IP協(xié)議在內(nèi)的各種通信協(xié)議使用。網(wǎng)絡(luò)接口單元有時(shí)被稱為收發(fā)器或者收發(fā)裝置���。
如上所述的大容量存儲(chǔ)器舉例說(shuō)明一種計(jì)算機(jī)可讀媒介�����,即計(jì)算機(jī)存儲(chǔ)媒介�。計(jì)算機(jī)存儲(chǔ)媒介可包括按照任意方法或技術(shù)實(shí)現(xiàn)的�����,用于存儲(chǔ)信息�����,例如計(jì)算機(jī)可讀指令�����,數(shù)據(jù)結(jié)構(gòu)�����,程序模塊或其它數(shù)據(jù)的易失性����,非易失性,可拆卸的和不可拆卸的媒介��。計(jì)算機(jī)存儲(chǔ)媒介的例子包括RAM���、ROM��、EEPROM���、快速存儲(chǔ)器或其它存儲(chǔ)器技術(shù)、CD-ROM�、數(shù)字通用光盤(pán)(DVD)或者其它光學(xué)存儲(chǔ)器、盒式磁帶��、磁帶��、磁盤(pán)存儲(chǔ)器、或者其它磁性存儲(chǔ)裝置�����、或者可被用于保存信息的任意其它媒介��。
在一個(gè)實(shí)施例中��,大容量存儲(chǔ)器保存用于實(shí)現(xiàn)操作系統(tǒng)320的程序代碼和數(shù)據(jù)�。大容量存儲(chǔ)器還可保存用于實(shí)現(xiàn)接入設(shè)備300的功能的其它程序代碼和數(shù)據(jù)。一個(gè)或多個(gè)應(yīng)用350等可被載入大容量存儲(chǔ)器中�,并在操作系統(tǒng)320上運(yùn)行。結(jié)合圖2所述的接入控制214和代理服務(wù)216是可在操作系統(tǒng)320上運(yùn)行的其它應(yīng)用的例子��。
接入設(shè)備300還可包括用于與外部裝置�����,例如鼠標(biāo)����、鍵盤(pán)、掃描儀或者圖3中未示出的其它輸入裝置通信的輸入/輸出接口324���。同樣地�����,接入設(shè)備300還可包括另外的大容量存儲(chǔ)設(shè)備���, 例如CD-ROM/DVD-ROM驅(qū)動(dòng)器326和硬盤(pán)驅(qū)動(dòng)器328。除了其它內(nèi)容之外���,接入設(shè)備300還利用硬盤(pán)驅(qū)動(dòng)器328保存應(yīng)用�����,數(shù)據(jù)庫(kù)等�����。
圖4圖解說(shuō)明了可被用于實(shí)現(xiàn)本發(fā)明的客戶機(jī)設(shè)備的一個(gè)實(shí)施例的方框圖�����?��?蛻魴C(jī)設(shè)備400可包括比圖示那些組件多得多的組件。但是�����,所示組件足以公開(kāi)用于實(shí)踐本發(fā)明的一個(gè)例證實(shí)施例。
如圖4中所示�����,客戶機(jī)設(shè)備400可包括許多和接入服務(wù)器300中的組件基本類似的組件��。但是��,本發(fā)明并不局限于此�����,客戶機(jī)設(shè)備400可包括多于或少于接入服務(wù)器300的組件����。
但是,如圖4中所示�,客戶機(jī)設(shè)備400包括處理單元412、視頻顯示適配器414和大容量存儲(chǔ)器��,它們都通過(guò)總線422相互通信�。大容量存儲(chǔ)器一般包括RAM 416,ROM 432,以及一個(gè)或多個(gè)永久大容量存儲(chǔ)設(shè)備�����,例如硬盤(pán)驅(qū)動(dòng)器428��、磁帶驅(qū)動(dòng)器�、光盤(pán)驅(qū)動(dòng)器和/或軟盤(pán)驅(qū)動(dòng)器。大容量存儲(chǔ)器保存控制客戶機(jī)設(shè)備400的操作的操作系統(tǒng)420���。實(shí)際上可采用任意通用操作系統(tǒng)。另外還提供基本輸入/輸出系統(tǒng)(“BIOS”)418���,控制客戶機(jī)設(shè)備400的低級(jí)操作�����。
在一個(gè)實(shí)施例中�����,大容量存儲(chǔ)器保存用于實(shí)現(xiàn)操作系統(tǒng)420的程序代碼和數(shù)據(jù)�。大容量存儲(chǔ)器還可保存用于實(shí)現(xiàn)客戶機(jī)設(shè)備400的功能的其它程序代碼和數(shù)據(jù)���。一個(gè)或多個(gè)應(yīng)用450等����,包括結(jié)合圖2所述的代理客戶機(jī)210和安全隧道客戶機(jī)212可被載入大容量存儲(chǔ)器中,并在操作系統(tǒng)420上運(yùn)行�����。
客戶機(jī)設(shè)備400還能夠通過(guò)網(wǎng)絡(luò)接口單元410��,與因特網(wǎng)��,或者其它一些通信網(wǎng)絡(luò)��,例如圖1中的WAN/LAN 104通信���?��?蛻魴C(jī)設(shè)備400還可包括用于與外部裝置,例如鼠標(biāo)�����、鍵盤(pán)�、掃描儀或者圖4中未示出的其它輸入裝置通信的輸入/輸出接口424。同樣地,客戶機(jī)設(shè)備400還可包括另外的大容量存儲(chǔ)設(shè)備��,例如CD-ROM/DVD-ROM驅(qū)動(dòng)器426和硬盤(pán)驅(qū)動(dòng)器428���。除了其它內(nèi)容之外����,客戶機(jī)設(shè)備400還利用硬盤(pán)驅(qū)動(dòng)器428保存應(yīng)用�����,數(shù)據(jù)庫(kù)等�。
管理安全網(wǎng)絡(luò)內(nèi)的代理的例證方法圖5是圖解說(shuō)明根據(jù)本發(fā)明的一個(gè)實(shí)施例����,利用繼承的安全屬性,管理安全網(wǎng)絡(luò)內(nèi)的代理請(qǐng)求的過(guò)程的流程圖���。在一個(gè)實(shí)施例中�,在圖3的接入服務(wù)器300內(nèi)實(shí)現(xiàn)過(guò)程500��。
在開(kāi)始方框之后��,在方框502開(kāi)始過(guò)程500,在方框502��,建立與客戶機(jī)的安全隧道�。在一個(gè)實(shí)施例中,客戶機(jī)可帶外鑒權(quán)�����,從而直接與接入服務(wù)建立會(huì)話���,并確定至少一個(gè)安全屬性����。在另一實(shí)施例中�����,在客戶機(jī)和接入服務(wù)之間建立安全隧道���。接入服務(wù)可包括(但不限于)網(wǎng)關(guān)應(yīng)用�,過(guò)濾應(yīng)用��,SSL服務(wù)器應(yīng)用等�。在本發(fā)明的一個(gè)實(shí)施例中���,可利用安全隧道客戶機(jī)等建立安全隧道。安全隧道客戶機(jī)可采用任意各種機(jī)制來(lái)建立安全隧道��,包括(但不限于)采用HTTPS請(qǐng)求�,SSL機(jī)制,TLS機(jī)制��,TTLS機(jī)制�����,PEAP機(jī)制�,IPSec機(jī)制等。建立安全隧道會(huì)導(dǎo)致客戶機(jī)向接入服務(wù)發(fā)送安全屬性�����,包括(但不限于)加密密鑰��、憑證�、證書(shū)��、密碼設(shè)置����、隨機(jī)產(chǎn)生的數(shù)據(jù)�����、IP地址等��。接入服務(wù)可采用安全屬性鑒權(quán)客戶機(jī)��,并建立安全隧道�����。當(dāng)建立了安全隧道時(shí)��,處理進(jìn)行到方框504����。
在方框504�,通過(guò)安全隧道接收代理請(qǐng)求。在一個(gè)實(shí)施例中���,客戶機(jī)向接入服務(wù)發(fā)送代理請(qǐng)求����。客戶機(jī)可采用任意各種機(jī)制來(lái)發(fā)送代理請(qǐng)求�。例如,客戶機(jī)可通過(guò)端口轉(zhuǎn)發(fā)小程序���,或者安全隧道會(huì)話語(yǔ)境內(nèi)的類似代理客戶機(jī)�,啟動(dòng)操作�。在一個(gè)實(shí)施例中,代理客戶機(jī)是HTTP代理客戶機(jī)�����?��?蛻魴C(jī)可選擇并配置web瀏覽器�����,或者類似的應(yīng)用���,以便采用端口轉(zhuǎn)發(fā)小程序等作為其代理客戶機(jī)。隨后通過(guò)web瀏覽器等���,客戶機(jī)可利用URL�����、NAT分配地址等�����,發(fā)出代理請(qǐng)求��。web瀏覽器隨后可采用代理客戶機(jī)通過(guò)安全隧道��,把代理請(qǐng)求轉(zhuǎn)發(fā)給接入服務(wù)�����。
處理前進(jìn)到方框506����,在方框506�����,啟動(dòng)與代理服務(wù)的連接����。通過(guò)打開(kāi)與代理服務(wù)的連接����,接入服務(wù)器可啟動(dòng)該連接�。在一個(gè)實(shí)施例中,代理服務(wù)可與安全端口等連接����,以便建立該連接。在另一實(shí)施例中���,代理服務(wù)可利用回送地址�����,例如127.0.0.1等連接�,從而建立該連接�����。
過(guò)程500進(jìn)行到方框508���,在方框508���,通過(guò)安全隧道從代理客戶機(jī)收到的代理請(qǐng)求被修改��,以便包括安全屬性。在一個(gè)實(shí)施例中�,安全屬性可包括可被代理服務(wù)用于查尋另一安全屬性的標(biāo)識(shí)符。所述另一安全屬性可由接入服務(wù)代表代理服務(wù)保持����。根據(jù)關(guān)于客戶機(jī)、安全隧道等的已知信息����,包括(但不限于)口令信息、TCP/IP地址信息�、加密密鑰、公共/專用密鑰證書(shū)�、客戶機(jī)接入權(quán)限等,所述另一安全屬性也可由代理服務(wù)保持�。
用于修改代理請(qǐng)求的安全屬性還可包括(但不限于)與安全隧道相關(guān)的安全性質(zhì),公共密鑰證書(shū)�����,與客戶機(jī)相關(guān)的安全憑證�,會(huì)話標(biāo)識(shí)符,密碼設(shè)置,隨機(jī)產(chǎn)生的數(shù)據(jù)�,加密口令等。事實(shí)上��,安全屬性還可包括與安全隧道相關(guān)的任意安全屬性�����。
安全屬性可被用于修改分組首標(biāo)����,封裝首標(biāo)等。隨后可把首標(biāo)與代理請(qǐng)求結(jié)合起來(lái)����,產(chǎn)生修改后的代理請(qǐng)求。
處理進(jìn)行到方框510����,在方框510,修改后的代理請(qǐng)求被轉(zhuǎn)發(fā)給代理服務(wù)�。代理服務(wù)可采用修改后的代理請(qǐng)求,包括首標(biāo)內(nèi)的安全屬性���,確定是否批準(zhǔn)代理請(qǐng)求����,或者報(bào)以恰當(dāng)?shù)某鲥e(cuò)消息等���?�?傊?dāng)方框510結(jié)束時(shí)���,過(guò)程500返回調(diào)用過(guò)程��,以執(zhí)行其它動(dòng)作����。在一個(gè)實(shí)施例中�����,所述其它動(dòng)作包括(但不限于)代理服務(wù)處理請(qǐng)求并報(bào)以所需的內(nèi)容����,提供出錯(cuò)消息等。
顯然上述流程圖中的每個(gè)方框����,以及上述流程圖中的方框的組合可用計(jì)算機(jī)程序指令實(shí)現(xiàn)�。這些程序指令可被提供給處理器�,以產(chǎn)生一臺(tái)機(jī)器,從而在處理器上執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖方框中規(guī)定的動(dòng)作的裝置���。計(jì)算機(jī)程序指令可由處理器執(zhí)行�,使處理器執(zhí)行一系列的操作步驟�����,從而產(chǎn)生計(jì)算機(jī)可實(shí)現(xiàn)的過(guò)程�,以致在處理器上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖方框中規(guī)定的動(dòng)作的步驟。
雖然關(guān)于在客戶機(jī)設(shè)備和服務(wù)器之間傳送的分組說(shuō)明了本發(fā)明����,但是本發(fā)明并不局限于此。例如���,事實(shí)上�����,分組可在任意資源之間傳送���,包括(但不限于)多個(gè)客戶機(jī)�����、多個(gè)服務(wù)器和任意其它設(shè)備����,而不會(huì)脫離本發(fā)明的范圍�����。
因此����,流程圖的方框支持實(shí)現(xiàn)規(guī)定動(dòng)作的裝置的組合���,實(shí)現(xiàn)規(guī)定動(dòng)作的步驟的組合�����,以及實(shí)現(xiàn)規(guī)定動(dòng)作的程序指令裝置�。另外要明白流程圖的每個(gè)方框��,以及流程圖中的方框的組合可由實(shí)現(xiàn)規(guī)定動(dòng)作或步驟的基于專用硬件的系統(tǒng),或者專用硬件和計(jì)算機(jī)指令的組合實(shí)現(xiàn)�����。
上述說(shuō)明���、例子和數(shù)據(jù)提供本發(fā)明的組成物的制造和使用的完整描述���。由于在不脫離本發(fā)明的精神和范圍的情況下,可做出本發(fā)明的許多實(shí)施例����,因此本發(fā)明的范圍由下面附加的權(quán)利要求限定。
權(quán)利要求
1.一種管理網(wǎng)絡(luò)中的通信的網(wǎng)絡(luò)設(shè)備��,包括通過(guò)網(wǎng)絡(luò)發(fā)送和接收通信的收發(fā)器�����;與收發(fā)器耦接�����、被配置成執(zhí)行多個(gè)動(dòng)作的處理器���,這些動(dòng)作包括通過(guò)安全隧道從客戶機(jī)接收代理請(qǐng)求���;修改所述代理請(qǐng)求以便包括安全屬性����;和將所述修改后的代理請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)�����,其中所述安全屬性能夠?qū)崿F(xiàn)穿過(guò)安全隧道的代理連接�。
2.按照權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其中修改代理請(qǐng)求還包含將安全性首標(biāo)包括在所述代理請(qǐng)求中���。
3.按照權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其中所述安全屬性還包括與客戶機(jī)相關(guān)的IP地址��、與安全隧道相關(guān)的安全性質(zhì)�����、公共密鑰證書(shū)��、與客戶機(jī)相關(guān)的安全憑證��、配置成使客戶機(jī)能夠接入內(nèi)容服務(wù)器的接入控制數(shù)據(jù)、會(huì)話標(biāo)識(shí)符以及與安全隧道相關(guān)的標(biāo)識(shí)符中的至少之一��。
4.按照權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備���,其中所述代理請(qǐng)求是HTTP代理請(qǐng)求���。
5.按照權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其中所述安全隧道還包括SSL隧道����、TLS隧道、安全HTTP(HTTPS)�����、隧道TLS(TTLS)以及EAP安全隧道中的至少之一���。
6.按照權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備��,還包括接收HTTPS通信����,從而實(shí)現(xiàn)安全隧道����。
7.一種管理網(wǎng)絡(luò)中的通信的設(shè)備�,包括通過(guò)所述網(wǎng)絡(luò)發(fā)送和接收通信的收發(fā)器���;與所述收發(fā)器耦接�、被配置成執(zhí)行多個(gè)動(dòng)作的處理器�����,這些動(dòng)作包括建立所述設(shè)備和客戶機(jī)之間的安全隧道����;通過(guò)所述安全隧道從所述客戶機(jī)接收代理請(qǐng)求;修改所述代理請(qǐng)求以便包括安全屬性���;和將所述修改后的代理請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)�,其中所述安全屬性能夠?qū)崿F(xiàn)穿過(guò)安全隧道的代理連接�。
8.按照權(quán)利要求7所述的設(shè)備����,其中建立安全隧道還包括接收HTTPS通信。
9.按照權(quán)利要求7所述的設(shè)備�����,其中所述設(shè)備至少起防火墻、網(wǎng)關(guān)和代理服務(wù)器之一的作用�。
10.一種管理網(wǎng)絡(luò)中的通信的方法,包括通過(guò)安全隧道從客戶機(jī)接收代理請(qǐng)求���;修改所述代理請(qǐng)求以便包括安全屬性�;和將所述修改后的代理請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)��,其中所述安全屬性能夠?qū)崿F(xiàn)穿過(guò)安全隧道的代理連接�。
11.按照權(quán)利要求10所述的方法,其中修改代理請(qǐng)求還包括使安全性首標(biāo)與所述代理請(qǐng)求相關(guān)聯(lián)���。
12.按照權(quán)利要求10所述的方法�,其中所述安全屬性還包括與客戶機(jī)相關(guān)的IP地址����、與安全隧道相關(guān)的安全性質(zhì)、公共密鑰證書(shū)�、配置成使客戶機(jī)能夠接入內(nèi)容服務(wù)器的接入控制數(shù)據(jù)、與客戶機(jī)相關(guān)的安全憑證����、會(huì)話標(biāo)識(shí)符以及標(biāo)識(shí)符中的至少之一����。
13.按照權(quán)利要求10所述的方法���,其中所述代理請(qǐng)求是HTTP代理請(qǐng)求����。
14.按照權(quán)利要求10所述的方法����,其中所述安全隧道還包括SSL隧道、TLS隧道��、安全HTTP(HTTPS)�、隧道TLS(TTLS)、IPSec隧道以及EAP安全隧道中的至少之一��。
15.按照權(quán)利要求10所述的方法���,還包括接收HTTPS通信��,以便能夠建立安全隧道。
16.按照權(quán)利要求10所述的方法,還包括啟動(dòng)與安全隧道客戶機(jī)的連接�����;和將所述代理請(qǐng)求發(fā)送給所述安全隧道客戶機(jī)���,其中所述安全隧道客戶機(jī)被配置成通過(guò)安全隧道轉(zhuǎn)發(fā)代理請(qǐng)求�����。
17.按照權(quán)利要求10所述的方法���,其中修改代理請(qǐng)求還包括采用接入控制服務(wù)來(lái)修改所述代理請(qǐng)求。
18.一種管理網(wǎng)絡(luò)中的通信的系統(tǒng)�,包括被配置成執(zhí)行多個(gè)動(dòng)作的客戶機(jī),這些動(dòng)作包括確定安全隧道�����;和通過(guò)所述確定的安全隧道發(fā)送代理請(qǐng)求��;和與客戶機(jī)耦接�、被配置成執(zhí)行多個(gè)動(dòng)作的服務(wù)器,這些動(dòng)作包括通過(guò)所述安全隧道從所述客戶機(jī)接收代理請(qǐng)求��;修改所述代理請(qǐng)求,以便包括安全屬性���;和將所述修改后的代理請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)��,其中所述安全屬性能夠?qū)崿F(xiàn)穿過(guò)安全隧道的代理連接���。
19.按照權(quán)利要求18所述的系統(tǒng),其中所述客戶機(jī)還包括被配置成產(chǎn)生代理請(qǐng)求的代理客戶機(jī)�;和與所述代理客戶機(jī)耦接、被配置成建立與服務(wù)器的安全隧道的安全隧道客戶機(jī)���。
20.按照權(quán)利要求19所述的系統(tǒng)�����,其中所述代理客戶機(jī)還包括端口轉(zhuǎn)發(fā)客戶機(jī)應(yīng)用����。
21.按照權(quán)利要求18所述的系統(tǒng)����,其中修改代理請(qǐng)求還包含將安全性首標(biāo)包括在所述代理請(qǐng)求中。
22.按照權(quán)利要求18所述的系統(tǒng)�,其中所述安全屬性還包括與客戶機(jī)相關(guān)的IP地址��、與安全隧道相關(guān)的安全性質(zhì)�、公共密鑰證書(shū)���、被配置成使客戶機(jī)能夠接入內(nèi)容服務(wù)器的接入控制數(shù)據(jù)、與客戶機(jī)相關(guān)的安全憑證����、會(huì)話標(biāo)識(shí)符以及與安全隧道相關(guān)的標(biāo)識(shí)符中的至少之一。
23.按照權(quán)利要求18所述的系統(tǒng)�,其中所述代理請(qǐng)求是HTTP代理請(qǐng)求。
24.按照權(quán)利要求18所述的系統(tǒng)��,其中所述安全隧道還包括用于保護(hù)所述網(wǎng)絡(luò)中的通信的裝置��。
25.按照權(quán)利要求18所述的系統(tǒng)��,其中所述安全隧道還包括SSL隧道�����、TLS隧道�、安全HTTP(HTTPS)、隧道TLS(TTLS)�����、IPSec隧道和EAP安全隧道中的至少之一。
26.按照權(quán)利要求18所述的系統(tǒng)���,其中確定安全隧道還包括產(chǎn)生HTTPS消息����,以便能夠?qū)崿F(xiàn)安全隧道��。
27.一種管理網(wǎng)絡(luò)中的通信的設(shè)備����,包括通過(guò)所述網(wǎng)絡(luò)發(fā)送和接收通信的收發(fā)器;與所述收發(fā)器耦接��、被配置成通過(guò)安全隧道�����,接收來(lái)自客戶機(jī)的代理請(qǐng)求的處理器���;修改所述代理請(qǐng)求以便包括安全屬性的裝置���;和將所述修改后的代理請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)的裝置���,其中所述安全屬性能夠?qū)崿F(xiàn)穿過(guò)安全隧道的代理連接。
28.按照權(quán)利要求27所述的設(shè)備���,其中所述安全隧道還包括保護(hù)網(wǎng)絡(luò)中的通信的裝置��。
全文摘要
本發(fā)明公開(kāi)的方法、設(shè)備和系統(tǒng)的目的在于利用繼承的安全屬性�����,管理安全網(wǎng)絡(luò)內(nèi)的代理請(qǐng)求����。使諸如HTTP代理通信之類的代理通信穿過(guò)安全隧道,以致代理請(qǐng)求繼承安全隧道的安全屬性��。安全屬性可被用于實(shí)現(xiàn)對(duì)服務(wù)器的代理接入�,從而將安全隧道的安全性質(zhì)擴(kuò)展到穿過(guò)它的代理連接。安全隧道服務(wù)接收來(lái)自客戶機(jī)的代理請(qǐng)求���,并修改該代理請(qǐng)求以便包括安全屬性�����。在一個(gè)實(shí)施例中���,安全屬性是使代理服務(wù)可用于確定另一安全屬性的標(biāo)識(shí)符�。安全服務(wù)能夠采用該安全屬性來(lái)確定客戶機(jī)是否被準(zhǔn)許接入服務(wù)器����。
文檔編號(hào)G06F15/173GK1645813SQ20041010483
公開(kāi)日2005年7月27日 申請(qǐng)日期2004年12月29日 優(yōu)先權(quán)日2003年12月29日
發(fā)明者杰瑞米·柏瑞特, 克瑞格·R·沃特金斯, 亞當(dāng)·凱恩 申請(qǐng)人:諾基亞公司