專利名稱:用于對(duì)服務(wù)提供安全訪問(wèn)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明公開(kāi)了一種用于對(duì)服務(wù)器上的服務(wù)提供授權(quán)用戶訪問(wèn)的系統(tǒng)和方法����。
背景技術(shù):
虛擬私有網(wǎng)絡(luò)(VPN)是控制訪問(wèn)以允許客戶端連接的通信環(huán)境。VPN創(chuàng)建計(jì)算機(jī)通信私有范圍和/或經(jīng)由不安全通信網(wǎng)絡(luò)(諸如互聯(lián)網(wǎng))提供私有網(wǎng)絡(luò)的安全擴(kuò)展���?����;ヂ?lián)網(wǎng)協(xié)議安全性(IPsec)�、第2層隧道協(xié)議(L2TP)和安全套接字層(SSL)是用于在通信網(wǎng)絡(luò)(諸如互聯(lián)網(wǎng))上建立VPN的加密協(xié)議以確保安全訪問(wèn)VPN中給授權(quán)用戶的數(shù)據(jù)和服務(wù)的實(shí)例。 SSL是應(yīng)用層協(xié)議�����,且將公開(kāi)密鑰和對(duì)稱密鑰加密的組合用于使數(shù)據(jù)包安全��。SSL保護(hù)在通信主機(jī)之間發(fā)送的數(shù)據(jù)���,但不保護(hù)通信主機(jī)的身份。L2TP是用于建立VPN的隧道協(xié)議�����。L2TP本身不提供任何加密或保密���,且L2TP通常結(jié)合IPsec協(xié)議來(lái)使用以提供加密和保密���。IPsec協(xié)議族為互聯(lián)網(wǎng)協(xié)議(IP)層上的流量提供安全性服務(wù)。如本領(lǐng)域眾所周知���,互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)包未內(nèi)建安全性機(jī)制����。IPsec被設(shè)計(jì)為能實(shí)現(xiàn)在IP網(wǎng)絡(luò)上使用IP數(shù)據(jù)包的安全私有通信。IPsec協(xié)議族能實(shí)現(xiàn)保密性��、源認(rèn)證和數(shù)據(jù)完整性��。IPsec使用認(rèn)證標(biāo)頭(AH)協(xié)議和封裝安全性有效載荷(ESP)協(xié)議來(lái)提供流量安全性�����。AH和ESP協(xié)議在題為“用于封裝安全性有效載荷(ESP)和認(rèn)證標(biāo)頭(AH)的加密算法實(shí)現(xiàn)要求(CryptographicAlgorithm Implementation Requirements for Encapsulating Security Payload(ESP)and Authentication Header (AH))”的RFC4835中被描述�,將其內(nèi)容結(jié)合于此供參考。IPsec提供兩個(gè)操作模式以跨通信網(wǎng)絡(luò)交換數(shù)據(jù)����,即隧道模式和傳輸模式。傳輸模式僅保護(hù)IP數(shù)據(jù)包的數(shù)據(jù)�����,而隧道模式保護(hù)包括IP標(biāo)頭的整個(gè)IP數(shù)據(jù)包����。因此,除IP數(shù)據(jù)包的數(shù)據(jù)之外���,隧道模式提供主機(jī)的身份保護(hù)���。IPsec協(xié)議以及傳輸模式和隧道模式在題為“用于互聯(lián)網(wǎng)協(xié)議的安全架構(gòu)(Security Architecture for the Internet Protocol)”的RFC4301中被描述��,將其內(nèi)容結(jié)合于此供參考����。ESP協(xié)議和AH協(xié)議的安全性特征僅可在通信主機(jī)之間有現(xiàn)有安全性關(guān)聯(lián)(SA)時(shí)使用����。SA為一組算法(諸如安全散列算法I (SHAl))和參數(shù)(諸如安全性密鑰)��,所述安全性密鑰被用于加密和認(rèn)證在一個(gè)方向上的給定IP數(shù)據(jù)包流��。因此����,對(duì)于雙向通信,IP數(shù)據(jù)包流由一對(duì)SA確保安全�����。SA是在兩個(gè)實(shí)體之間描述實(shí)體如何使用安全性服務(wù)來(lái)進(jìn)行安全通信的關(guān)系�。在無(wú)限制情況下,在形成SA的通信方之間的協(xié)定包括: 加密算法���; 認(rèn)證算法�����;.IPsec操作模式,即,隧道模式或傳輸模式��;以及 會(huì)話密鑰和會(huì)話密鑰的有效期����。IPsec使用安全性參數(shù)索引(SPI )���、安全性關(guān)聯(lián)數(shù)據(jù)庫(kù)(SADB)索引以及在數(shù)據(jù)包標(biāo)頭中的目標(biāo)地址來(lái)唯一識(shí)別對(duì)于給定出站IP數(shù)據(jù)包的安全性關(guān)聯(lián)����。對(duì)于入站數(shù)據(jù)包執(zhí)行類似程序���,其中�,IPsec從安全性關(guān)聯(lián)數(shù)據(jù)庫(kù)采集解密和驗(yàn)證密鑰�。如上所討論,若通信主機(jī)之間有現(xiàn)有SA���,則IP數(shù)據(jù)包僅可由IPsec確保安全和保護(hù)����。SA可手動(dòng)創(chuàng)建,例如由系統(tǒng)管理員創(chuàng)建�,或者SA可自動(dòng)創(chuàng)建。IPsec將互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議用于動(dòng)態(tài)建立和配置在通信主機(jī)之間的SA�。IKE使用迪菲-赫爾曼(Diffie-Hellman)密鑰交換來(lái)設(shè)置共享會(huì)話秘密,從共享會(huì)話秘密推導(dǎo)出加密密鑰����。此外,IKE使用公開(kāi)密鑰技術(shù)或預(yù)共享密鑰以能使通信主機(jī)相互手動(dòng)認(rèn)證�。IKE分兩個(gè)階段操作,即第I階段和第2階段�����。第I階段通過(guò)使用迪菲-赫爾曼密鑰交換算法來(lái)建立安全認(rèn)證通信信道��,以產(chǎn)生共享密鑰來(lái)加密通信主機(jī)之間的其他IKE通信�。第I階段協(xié)商產(chǎn)生單個(gè)雙向互聯(lián)網(wǎng)安全性關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP) SA���。第I階段可在主模式(其保護(hù)通信主機(jī)的身份)或積極模式(其不保護(hù)通信主機(jī)的身份)下操作����。在第2階段期間,通信主機(jī)使用在第I階段建立的安全信道來(lái)協(xié)商代表其他服務(wù)(如IPsec)的SA���。在設(shè)置中��,諸如在通信主機(jī)正在建立用于IPsec通信的SA的情況下�,第2階段執(zhí)行至少兩次以創(chuàng)建兩個(gè)單向SA�����,一個(gè)入站和一個(gè)出站��。應(yīng)當(dāng)理解�,根據(jù)通信主機(jī)之間的通信約定,第2階段可執(zhí)行多于兩次���。IKE協(xié)議的第I階段和第2階段在題為“互聯(lián)網(wǎng)密鑰交換(IKE) (The InternetKey Exchange (IKE))”的RFC2409����、題為“用于互聯(lián)網(wǎng)密鑰交換的算法第I版本(IKEvl)(Algorithms for Internet Key Exchange version I (IKEvl))�,,的 RFC4109�����、題為“互聯(lián)網(wǎng)密鑰交換(IKEv2)協(xié)議(Inernet Key Exchange (IKEv2) Protocol)” 的 RFC4306 和題為“使用具有互聯(lián)網(wǎng)密鑰交換第2版本(IKEv2)協(xié)議的加密有效載荷的認(rèn)證加密算法(UsingAuthenticated Encryption Algorithms with the Encrypted Payload of the InternetKey Exchange version2 (IKEv2)Protocol)”的RFC5282中被描述,將其內(nèi)容結(jié)合于此供參考�。若兩個(gè)通信主機(jī)正在使用基于IPsec VPN的實(shí)施的標(biāo)準(zhǔn)或者在兩個(gè)通信端上二者均在使用相同IPsec協(xié)議族的專有實(shí)施,則上述IPsec架構(gòu)高效工作。然而,一些廠商的IPsec實(shí)施是專有的����,該IPsec實(shí)施往往不兼容其他廠商的IPsec實(shí)施。因此��,用戶被限制使用兼容專有IPsec軟件客戶端與使用相同IPsec的專有實(shí)施的網(wǎng)絡(luò)建立VPN連接��。在設(shè)置中����,諸如在客戶端正在從限制平臺(tái)(諸如iPhone )建立VPN連接的情況下,用戶安裝專有軟件的能力也被限制���。因此,根據(jù)該設(shè)置�,用戶可能與利用IPsec協(xié)議的專有實(shí)施的網(wǎng)絡(luò)無(wú)法建立VPN連接。此外�����,限制平臺(tái)(如iPhone )也可限制用戶使用IPsec協(xié)議族的某些特征的能力,例如��,限制平臺(tái)可能僅允許傳輸模式下的VPN連接���。因此�,根據(jù)該設(shè)置�,通信網(wǎng)絡(luò)和用戶的身份被暴露。
發(fā)明內(nèi)容
根據(jù)本公開(kāi)的一個(gè)方面�,提供了一種根據(jù)所附權(quán)利要求所述的全局服務(wù)器、方法和通信系統(tǒng)���。本文所述實(shí)施方式涉及提供對(duì)由終止終端提供到授權(quán)發(fā)起終端的服務(wù)的安全訪問(wèn)��。在一種實(shí)施方式中���,提供了一種用于向發(fā)起終端提供對(duì)由終止終端經(jīng)由通信網(wǎng)絡(luò)提供的服務(wù)的認(rèn)證訪問(wèn)的服務(wù)器,該服務(wù)器能夠針對(duì)由所述終止終端提供的服務(wù)來(lái)識(shí)別和認(rèn)證發(fā)起終端��,基于所述發(fā)起終端通過(guò)服務(wù)器的成功認(rèn)證��,對(duì)服務(wù)的所述訪問(wèn)經(jīng)由服務(wù)器被提供給發(fā)起終端�����。因此,在本文描述的實(shí)施方式中�����,通過(guò)與由終止終端提供的服務(wù)有關(guān)的服務(wù)器識(shí)別和認(rèn)證發(fā)起終端�����。因此��,服務(wù)器用作終止終端的存在點(diǎn)���,且僅允許認(rèn)證終端訪問(wèn)終止終端的服務(wù)�。在一些實(shí)施方式中�,終止終端是私有網(wǎng)絡(luò),且服務(wù)器用作私有網(wǎng)絡(luò)的存在點(diǎn)��。實(shí)際上��,服務(wù)器用作代理實(shí)體�����,該代理實(shí)體認(rèn)證與由私有網(wǎng)絡(luò)提供的服務(wù)有關(guān)的發(fā)起終端�。在一種實(shí)施方式中,服務(wù)器包括通信模塊�����,其用于接收和處理來(lái)自發(fā)起終端的密鑰交換發(fā)起消息以與終止終端建立加密通信信道����,該通信模塊響應(yīng)所接收的密鑰交換發(fā)起消息,由此針對(duì)所接收的密鑰交換發(fā)起消息執(zhí)行加密通信建立處理����,該加密通信建立處理包括:1.認(rèn)證發(fā)起終端;以及i1.在發(fā)起終端被成功認(rèn)證的情況下����,將與所接收的密鑰交換發(fā)起消息相對(duì)應(yīng)的密鑰生成數(shù)據(jù)發(fā)送到終止終端,所述密鑰生成數(shù)據(jù)基于與發(fā)起終端相關(guān)聯(lián)的數(shù)據(jù)來(lái)識(shí)別����。因此,根據(jù)一種實(shí)施方式��,服務(wù)器響應(yīng)接收密鑰交換發(fā)起消息��,認(rèn)證與所接收的密鑰交換發(fā)起消息相關(guān)聯(lián)的發(fā)起終端���,以及將與所接收的密鑰交換發(fā)起消息相對(duì)應(yīng)的密鑰生成數(shù)據(jù)(keying data)發(fā)送到終止終端�����。密鑰生成數(shù)據(jù)能使發(fā)起終端和終止終端建立加密通信信道��。因此���,該實(shí)施方式能基于發(fā)起終端通過(guò)服務(wù)器的成功認(rèn)證來(lái)使給定發(fā)起終端與給定終止終端建立加密通信信道�。實(shí)際上��,用作終止終端的存在點(diǎn)的服務(wù)器能實(shí)現(xiàn)發(fā)起終端與終止終端之間的加密通信信道的建立�。以此方式,服務(wù)器擴(kuò)展了代理協(xié)商方的靈活性��,以易于在認(rèn)證發(fā)起終端與終止終端之間建立加密通信信道��。因此�����,在給定發(fā)起終端與給定終止終端的通信協(xié)議能力之間不匹配的情況下��,服務(wù)器可易于建立加密通信信道。在另一實(shí)施方式中����,服務(wù)器被配置為基于預(yù)定條件來(lái)選擇性執(zhí)行加密通信信道建立處理���。加密通信信道建立處理的選擇性執(zhí)行擴(kuò)展了基于超越認(rèn)證的標(biāo)準(zhǔn)而丟棄來(lái)自發(fā)起終端的請(qǐng)求的能力���。例如,服務(wù)器可被配置為拒絕來(lái)自發(fā)起終端的基于已對(duì)于惡意軟件存在性而掃描給定發(fā)起終端的確定來(lái)請(qǐng)求與給定終止終端建立加密通信信道的請(qǐng)求�����。在另一設(shè)置中��,服務(wù)器被配置為在加密通信信道上中繼在給定發(fā)起終端與給定終止終端之間的數(shù)據(jù)包���,所述加密通信信道已基于給定發(fā)起終端通過(guò)服務(wù)器的成功認(rèn)證來(lái)建立��。因此�,該設(shè)置能使服務(wù)器用作給定加密通信信道上的加密數(shù)據(jù)包中繼節(jié)點(diǎn)���,通過(guò)服務(wù)器易于建立所述加密通信信道���。加密數(shù)據(jù)包可基于預(yù)定通信條件來(lái)選擇性發(fā)送或轉(zhuǎn)發(fā)到終止終端�。所接收的加密數(shù)據(jù)包的該選擇性轉(zhuǎn)發(fā)擴(kuò)展了對(duì)通過(guò)服務(wù)器建立的加密通信信道的基于策略的管理的靈活性�。在另一實(shí)施方式中,諸如在服務(wù)器還被配置為使用與所接收的加密數(shù)據(jù)包的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生第二加密數(shù)據(jù)包的情況下��,服務(wù)器將所產(chǎn)生的第二加密數(shù)據(jù)包發(fā)送到相應(yīng)的發(fā)起終端或相應(yīng)的終止終端����。以此方式,服務(wù)器移除在給定發(fā)起終端和給定終止終端的通信協(xié)議中的任何不一致性�����。這種不一致性的實(shí)例在給定發(fā)起終端上基于行業(yè)標(biāo)準(zhǔn)的客戶端被用于建立具有基于非標(biāo)準(zhǔn)的安全連接建立處理的專有實(shí)施的安全連接的情況下可見(jiàn)��。應(yīng)當(dāng)理解����,在沒(méi)有服務(wù)器調(diào)解的情況下,該情況下的給定發(fā)起終端與給定終止終端無(wú)法建立安全連接����。在另一設(shè)置中,服務(wù)器被配置為基于源自歸屬代理的數(shù)據(jù)來(lái)認(rèn)證發(fā)起終端�,所述歸屬代理可訪問(wèn)通信網(wǎng)絡(luò)�����,且被設(shè)置為保持與發(fā)起終端有關(guān)的數(shù)據(jù)�。這擴(kuò)展了從除了給定發(fā)起終端之外的實(shí)體獲取與給定發(fā)起終端的認(rèn)證有關(guān)的數(shù)據(jù)的靈活性����。在另一實(shí)施方式中��,服務(wù)器被設(shè)置為重新發(fā)送所接收的加密數(shù)據(jù)包����,所接收的加密數(shù)據(jù)包向給定發(fā)起終端的發(fā)送已失敗。響應(yīng)預(yù)定事件���,諸如預(yù)定時(shí)間量的經(jīng)過(guò)��,由服務(wù)器執(zhí)行重新發(fā)送����。這減少了所接收的加密數(shù)據(jù)包向給定發(fā)起終端的失敗發(fā)送的數(shù)量�。應(yīng)當(dāng)理解,由給定發(fā)起終端經(jīng)歷的暫時(shí)失去連接也會(huì)導(dǎo)致給定加密數(shù)據(jù)包的發(fā)送失敗�。此外,以此方式,增加所接收的加密數(shù)據(jù)包的失敗發(fā)送數(shù)量的暫時(shí)性問(wèn)題被減少�。根據(jù)本發(fā)明的其他方面,服務(wù)器被實(shí)施為單個(gè)計(jì)算裝置或者被實(shí)施為包括一群計(jì)算裝置的分布式系統(tǒng)��。服務(wù)器被配置為單個(gè)裝置或者一群裝置�����,以執(zhí)行與前述功能相對(duì)應(yīng)的方法��,且實(shí)際上����,所述一個(gè)或多個(gè)裝置配置有能執(zhí)行相應(yīng)步驟的計(jì)算機(jī)代碼。根據(jù)參照附圖做出的僅以實(shí)例方式給出的以下描述�����,其他特征和優(yōu)點(diǎn)將變得顯而易見(jiàn)����。
圖1是網(wǎng)絡(luò)環(huán)境的示意圖;圖2是另一網(wǎng)絡(luò)環(huán)境的示意圖��;圖3是示出圖2的全局服務(wù)器的組件的框圖��;圖4是示出通過(guò)通信網(wǎng)絡(luò)建立的加密通信信道的框圖;圖5是由圖2所示組件執(zhí)行的處理的示意性流程圖�;圖6是示出當(dāng)根據(jù)互聯(lián)網(wǎng)密鑰交換(IKE)第I版本(Vl)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖;圖7是示出當(dāng)根據(jù)基于IKEvl預(yù)共享秘密的客戶端認(rèn)證來(lái)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖���;圖8是示出當(dāng)根據(jù)基于IKEvl公開(kāi)密鑰簽名的客戶端認(rèn)證來(lái)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖���;圖9是示出當(dāng)根據(jù)基于IKEvl公開(kāi)密鑰加密的客戶端認(rèn)證來(lái)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖;圖10是示出當(dāng)根據(jù)基于IKEvl修訂版公開(kāi)密鑰加密的客戶端認(rèn)證來(lái)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖���;圖11是示出當(dāng)根據(jù)IKEvl積極模式來(lái)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖����;圖12是示出當(dāng)根據(jù)IKEv2來(lái)操作時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖����;圖13是示出當(dāng)在IKE中認(rèn)證用戶時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖��;圖14是示出當(dāng)在IKEvl中建立另一安全性關(guān)聯(lián)(SA)時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖��;圖15是示出當(dāng)在IKEv2中建立另一 SA時(shí)由圖2所示組件執(zhí)行的步驟的時(shí)序圖��;圖16是示出加密信道建立過(guò)程的概覽的流程圖�����;以及圖17是示例性全局服務(wù)器的功能框圖。
具體實(shí)施例方式本文所述實(shí)施方式涉及基于由位于私有網(wǎng)絡(luò)外部的實(shí)體執(zhí)行的認(rèn)證和通信密鑰協(xié)商在發(fā)起終端與私有網(wǎng)絡(luò)之間的虛擬私有網(wǎng)絡(luò)(VPN)的建立�。更具體地,實(shí)施方式涉及調(diào)解在客戶端與服務(wù)器端之間的VPN會(huì)話建立��,使得發(fā)起終端或客戶端在調(diào)解全局服務(wù)器實(shí)體處被認(rèn)證以用于安全訪問(wèn)由終止終端���、私有網(wǎng)絡(luò)或服務(wù)器提供的服務(wù)���。下文中詳細(xì)描述VPN會(huì)話建立中涉及的處理,但首先參照?qǐng)D1描述網(wǎng)絡(luò)環(huán)境概覽���,圖1示出了說(shuō)明常規(guī)通信網(wǎng)絡(luò)101的框圖��,通過(guò)常規(guī)通信網(wǎng)絡(luò)101在發(fā)起終端102或遠(yuǎn)程訪問(wèn)客戶端與私有網(wǎng)絡(luò)105之間建立安全VPN連接����。此外����,提供了對(duì)如何使用常規(guī)技術(shù)建立安全性關(guān)聯(lián)(SA)的描述。通信網(wǎng)絡(luò)101被配置為能實(shí)現(xiàn)訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間的數(shù)據(jù)包通信�����。訪問(wèn)客戶端102是能使用由終止終端提供的安全服務(wù)的遠(yuǎn)程裝置。在無(wú)限制情況下����,訪問(wèn)客戶端102可包括遠(yuǎn)程臺(tái)式計(jì)算機(jī)、智能手機(jī)(諸如iPhone )����、計(jì)算機(jī)網(wǎng)絡(luò)和膝上型計(jì)算機(jī)。某些VPN連接類型(諸如互聯(lián)網(wǎng)協(xié)議安全性(IPsec))需要訪問(wèn)客戶端102使用專門(mén)被配置為與給定私有網(wǎng)絡(luò)105建立VPN連接的客戶端軟件來(lái)訪問(wèn)私有網(wǎng)絡(luò)105的服務(wù)��,而其他連接類型(諸如超文本傳輸協(xié)議安全(HTTPS))不需要專門(mén)配置的客戶端軟件���。在設(shè)置中�,諸如在訪問(wèn)客戶端105包括計(jì)算機(jī)網(wǎng)絡(luò)的情況下���,到私有網(wǎng)絡(luò)105的單個(gè)VPN連接能使計(jì)算機(jī)網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)訪問(wèn)私有網(wǎng)絡(luò)105的服務(wù)。VPN連接可通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)中的任何計(jì)算機(jī)或?qū)iT(mén)被分配與私有網(wǎng)絡(luò)建立VPN連接的任務(wù)的計(jì)算機(jī)(諸如網(wǎng)關(guān))來(lái)建立�����。私有網(wǎng)絡(luò)105包括防火墻106���,以基于預(yù)定網(wǎng)絡(luò)策略選擇性允許流量進(jìn)入私有網(wǎng)絡(luò)105����。私有網(wǎng)絡(luò)105也包括網(wǎng)關(guān)103,網(wǎng)關(guān)103被設(shè)置為處理來(lái)自遠(yuǎn)程訪問(wèn)客戶端102的所有入站VPN數(shù)據(jù)包�。網(wǎng)關(guān)103是私有網(wǎng)絡(luò)105到遠(yuǎn)程訪問(wèn)客戶端102的存在點(diǎn),并處理來(lái)自遠(yuǎn)程訪問(wèn)客戶端的入站數(shù)據(jù)包���,包括VPN連接發(fā)起請(qǐng)求和密鑰交換消息�����。此外��,私有網(wǎng)絡(luò)105包括服務(wù)器104��,該服務(wù)器104被設(shè)置為將數(shù)據(jù)或服務(wù)提供給遠(yuǎn)程訪問(wèn)客戶端�。防火墻106����、服務(wù)器104和網(wǎng)關(guān)103的操作可通過(guò)單獨(dú)網(wǎng)絡(luò)實(shí)體來(lái)執(zhí)行或者被組合為單個(gè)網(wǎng)絡(luò)實(shí)體。VPN連接發(fā)起請(qǐng)求可從私有網(wǎng)絡(luò)105端或遠(yuǎn)程訪問(wèn)客戶端102端發(fā)送��。如根據(jù)常規(guī)系統(tǒng)�,當(dāng)從遠(yuǎn)程訪問(wèn)客戶端102發(fā)送VPN連接請(qǐng)求時(shí)�,遠(yuǎn)程訪問(wèn)客戶端102開(kāi)始發(fā)起VPN連接建立或加密通信建立處理�����。請(qǐng)求被路由到私有網(wǎng)絡(luò)的存在點(diǎn)�����,諸如網(wǎng)關(guān)103�,私有網(wǎng)絡(luò)隨后處理入站的VPN連接建立請(qǐng)求。在一種設(shè)置中�,諸如在入站的VPN連接建立請(qǐng)求是IPsec連接建立請(qǐng)求的情況下,網(wǎng)關(guān)103確定遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間是否有現(xiàn)有SA���。如上所述���,IPsec將互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議用于在通信主機(jī)之間動(dòng)態(tài)建立和配置SA。在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間沒(méi)有現(xiàn)有SA的情況下��,私有網(wǎng)絡(luò)105的存在點(diǎn)(諸如網(wǎng)關(guān)103)和遠(yuǎn)程訪問(wèn)客戶端102發(fā)起IKE通信交換���,以在通信主機(jī)、遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立SA����。在由遠(yuǎn)程訪問(wèn)客戶端102發(fā)起IKE通信交換且通信主機(jī)使用IKEvl來(lái)設(shè)置發(fā)起SA的設(shè)置中���,遠(yuǎn)程訪問(wèn)客戶端102將密鑰交換發(fā)起消息發(fā)送到私有網(wǎng)絡(luò)105。密鑰交換發(fā)起消息包括標(biāo)頭和用于與私有網(wǎng)絡(luò)105建立SA的建議����。私有網(wǎng)絡(luò)105的存在點(diǎn)(諸如網(wǎng)關(guān)103)通過(guò)發(fā)送指示屬性選擇的消息來(lái)響應(yīng)密鑰交換發(fā)起消息,SA應(yīng)基于屬性選擇來(lái)建立�����。密鑰交換發(fā)起消息和密鑰交換發(fā)起響應(yīng)中的標(biāo)頭包括發(fā)起方cookie (cookie-1)和響應(yīng)方cookie (cookie-R)����。發(fā)起方cookie和響應(yīng)方cookie通常被稱為互聯(lián)網(wǎng)安全性關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)防堵塞cookie。遠(yuǎn)程訪問(wèn)客戶端102隨后利用發(fā)起方密鑰(KEi)和隨機(jī)數(shù)(Noncei)的公開(kāi)值來(lái)響應(yīng)���。響應(yīng)接收KEi和Noncei,網(wǎng)關(guān)103利用響應(yīng)方密鑰(KE,)和另一隨機(jī)數(shù)(Nonce,)的公開(kāi)值來(lái)響應(yīng)��。通信主機(jī)隨后計(jì)算一組密鑰(SKEYID�����、SKEYID_a, SKEHD_d和SKEHD_e)�,所述密鑰被用于確保通信主機(jī)之間的任何進(jìn)一步通信安全。密鑰SKEHD_a被用于認(rèn)證IKE第2階段消息�,SKEYID_d被用于推導(dǎo)出在IKE第I階段和第2階段中的其他密鑰,以及SKEHD_e被用于加密在IKE第I階段中的任何進(jìn)一步消息以及所有IKE第2階段消息��。共享密鑰SKEYID被用于確定SKEHD_a��、SKEYID_d和SKEHD_e�。密鑰SKEHD的計(jì)算取決于認(rèn)證協(xié)議。在無(wú)限制情況下��,認(rèn)證協(xié)議可以是預(yù)共享密鑰����、公開(kāi)密鑰簽名、公開(kāi)密鑰加密或修訂的公開(kāi)密鑰加密����。在認(rèn)證協(xié)議是預(yù)共享密鑰協(xié)議的設(shè)置中,由計(jì)算主機(jī)���、網(wǎng)關(guān)103和遠(yuǎn)程訪問(wèn)客戶端102計(jì)算的密鑰���、密鑰生成數(shù)據(jù)或密鑰生成資料為:SKEYID=prf (預(yù)共享-密鑰 I Noncei I Noncer)SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中��,函數(shù)prf為偽隨機(jī)函數(shù),以及KEiKEr為共享秘密�。響應(yīng)共享密鑰的產(chǎn)生,遠(yuǎn)程訪問(wèn)客戶端102發(fā)送其利用密鑰SKEHD_e加密的識(shí)別和認(rèn)證數(shù)據(jù)�。在成功認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102之后,網(wǎng)關(guān)103發(fā)送利用密鑰SKEHD_e加密的私有網(wǎng)絡(luò)105的識(shí)別和認(rèn)證數(shù)據(jù)��。私有網(wǎng)絡(luò)105的成功認(rèn)證標(biāo)志著第I階段交換結(jié)束�����,且通信主機(jī)隨后可開(kāi)始第2階段交換以設(shè)置單向IPsec SA�。第2階段或快速模式消息交換可由通信主機(jī)中的任一個(gè)發(fā)起。在第2階段消息交換由遠(yuǎn)程訪問(wèn)客戶端102發(fā)起的情況下�,遠(yuǎn)程訪問(wèn)客戶端102發(fā)送第一消息,該第一消息包括標(biāo)頭�、第一散列(Hash1XSA建議、發(fā)起方隨機(jī)數(shù)(Nonce2i)����、發(fā)起方密鑰(KE2i)和識(shí)別數(shù)據(jù)(IDui, IDur)0第一消息中的識(shí)別數(shù)據(jù)和發(fā)起方密鑰是可選的;識(shí)別數(shù)據(jù)在快速模式下由發(fā)起方用于指示快速模式協(xié)商是代表通信端的代理協(xié)商���,IDui0在識(shí)別數(shù)據(jù)和發(fā)起方密鑰包括在第一消息中的情況下���,隨后響應(yīng)主機(jī)必須發(fā)送相應(yīng)的響應(yīng)方值(即IDuiUDur和KE2J以繼續(xù)協(xié)商�����。發(fā)起主機(jī)使用在第I階段消息交換期間產(chǎn)生的秘密共享密鑰SKEYID_e來(lái)加密除標(biāo)頭之外的消息的全部?jī)?nèi)容�。作為私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)的網(wǎng)關(guān)103通過(guò)將第二消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102來(lái)響應(yīng)�,第二消息包括第二標(biāo)頭、第二散列(Hash2)����、SA選擇、響應(yīng)方隨機(jī)數(shù)(NonCe&)���、響應(yīng)方密鑰(KE&)和識(shí)別數(shù)據(jù)(IDu1����、IDur)0如上所討論���,除第二標(biāo)頭之外�����,消息內(nèi)容利用秘密共享密鑰SKEHD_e來(lái)加密�����。響應(yīng)接收第二消息�,遠(yuǎn)程訪問(wèn)客戶端102發(fā)送第三消息���,該第三消息包括第三標(biāo)頭和利用秘密共享密鑰SKEHD_e加密的第三散列(Hash3),其標(biāo)志著第2階段交換結(jié)束�����。通信主機(jī)如下產(chǎn)生第一散列�����、第二散列和第三散列:
Hash1=Prf (SKEYID_a��,消息-1D I SA I Nonce2i I [KE2i] I [IDui I IDur])Hash2=prf (SKEYID_a�,消息-1D I Nonce2i I SA I Nonce2r I [KE2J I [IDui IIDurDHash3=prf (SKEYID_a,消息-1D I Nonce2i I Nonce2r)若識(shí)別數(shù)據(jù)和密鑰數(shù)據(jù)存在于第一消息和第二消息中�����,則識(shí)別數(shù)據(jù)([IDui IIDur])和密鑰數(shù)據(jù)(KE21����、KE2r)僅用在散列計(jì)算中����。第一散列�、第二散列和第三散列由通信主機(jī)用于認(rèn)證相應(yīng)的第一消息、第二消息和第三消息��。在設(shè)置中����,諸如在通信主機(jī)參與第I階段和第2階段消息交換以建立安全I(xiàn)PsecVPN通信信道的情況下,通信主機(jī)為單向SA中的每一個(gè)計(jì)算通信密鑰或KEYMAT����。KEYMAT如下計(jì)算:KEYMAT=prf (SKEYID_d, [KE2iKE2J I 協(xié)議 I SPI I Nonce2i I Nonce2r)其中,KE2iKE2,為共享秘密�����。若在第2階段消息交換期間發(fā)送密鑰�,則所述密鑰KE2i和KE2,被用在散列計(jì)算中。KEYMAT中的協(xié)議是由響應(yīng)通信主機(jī)從由發(fā)起通信主機(jī)提供的建議列表選擇的安全性協(xié)議��。SPI是安全性參數(shù)索引�����。由于每個(gè)發(fā)起方和響應(yīng)方選擇其自己的有關(guān)安全性協(xié)議的SPI,所以SPI使給定KEYMAT成為單向����。安裝于用戶終端上的VPN客戶端軟件易于在用戶終端和給定私有網(wǎng)絡(luò)之間建立VPN連接。一些平臺(tái)(諸如Windows 和iPhone )具有內(nèi)置未配置VPN客戶端軟件����,該客戶端軟件可利用給定私有網(wǎng)絡(luò)的配置屬性來(lái)配置��。如果可用����,用戶也可獲取關(guān)于給定平臺(tái)的第三方未配置VPN客戶端,并利用給定私有網(wǎng)絡(luò)的連接屬性來(lái)配置第三方未配置VPN客戶端�。給定私有網(wǎng)絡(luò)也可將VPN客戶端提供給利用給定私有網(wǎng)絡(luò)的配置屬性預(yù)先配置的用戶。然而���,一些平臺(tái)(諸如iPhone )不允許用戶安裝第三方未配置VPN客戶端或預(yù)配置VPN客戶端���,因此使用戶除了使用內(nèi)置VPN客戶端之外別無(wú)選擇。VPN實(shí)施需要根據(jù)給定私有網(wǎng)絡(luò)的配置屬性來(lái)專門(mén)配置的給定VPN客戶端軟件��,從而能與給定私有網(wǎng)絡(luò)建立VPN連接�。轉(zhuǎn)到圖2��,除上述常規(guī)組件之外�����,當(dāng)根據(jù)本發(fā)明實(shí)施方式配置時(shí)���,通信網(wǎng)絡(luò)101包括服務(wù)器,下文中稱為全局服務(wù)器201�����,該全局服務(wù)器201用作私有網(wǎng)絡(luò)105到遠(yuǎn)程訪問(wèn)客戶端102的存在點(diǎn)�����。全局服務(wù)器201代表私有網(wǎng)絡(luò)105參與與遠(yuǎn)程訪問(wèn)客戶端102的IKE第I階段消息交換���,且認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102��。在遠(yuǎn)程訪問(wèn)客戶端102被成功認(rèn)證的情況下����,全局服務(wù)器201將請(qǐng)求傳送到私有網(wǎng)絡(luò)105,私有網(wǎng)絡(luò)105隨后確定與遠(yuǎn)程訪問(wèn)客戶端105的安全通信的參數(shù)���。實(shí)際上�,全局服務(wù)器201代表私有網(wǎng)絡(luò)105認(rèn)證入站通信請(qǐng)求�,以及私有網(wǎng)絡(luò)105確定用于每一個(gè)認(rèn)證請(qǐng)求的安全通信的參數(shù)。因此��,全局服務(wù)器201易于在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立安全通信信道或加密通信路徑��。在設(shè)置中����,諸如在用戶可獲取預(yù)配置VPN客戶端的情況下,用戶可將客戶端軟件安裝于它們的遠(yuǎn)程訪問(wèn)客戶端102上���,以能經(jīng)由全局服務(wù)器201與私有網(wǎng)絡(luò)105通信。也可單獨(dú)使VPN客戶端軟件和一組配置屬性對(duì)用戶可用����。在無(wú)限制情況下,可在便攜式數(shù)據(jù)攜帶介質(zhì)(諸如光盤(pán))上經(jīng)由互聯(lián)網(wǎng)以及經(jīng)由專門(mén)的應(yīng)用程序商店(諸如Apple Appstore)為用戶提供可用的預(yù)配置VPN客戶端軟件��、未配置VPN客戶端軟件和用于VPN客戶端軟件的配置設(shè)定����。
在經(jīng)由私有網(wǎng)絡(luò)105內(nèi)的配置服務(wù)器202為用戶提供可用的配置設(shè)定的設(shè)置中���,用戶使用無(wú)客戶端VPN通信會(huì)話(諸如HTTPS (SSL/TLS上的HTTP))來(lái)獲取配置設(shè)定?���?芍苯舆M(jìn)行遠(yuǎn)程訪問(wèn)客戶端102與配置服務(wù)器202之間的通信會(huì)話,而無(wú)需通過(guò)全局服務(wù)器201����。在替代性設(shè)置中,諸如在用戶不知道配置服務(wù)器202的位置的情況下�����,用戶可經(jīng)由全局服務(wù)器201與配置服務(wù)器202建立VPN通信會(huì)話��。全局服務(wù)器201在該設(shè)置中用作流量重定向器���,且不涉及通信密鑰的建立����。遠(yuǎn)程訪問(wèn)客戶端102可被配置為將VPN連接建立請(qǐng)求發(fā)送到全局服務(wù)器201或私有網(wǎng)絡(luò)105����。在設(shè)置中�����,諸如在遠(yuǎn)程訪問(wèn)客戶端102被配置為與私有網(wǎng)絡(luò)105直接通信的情況下�����,路由裝置被配置為將VPN連接建立請(qǐng)求從遠(yuǎn)程訪問(wèn)客戶端102路由到全局服務(wù)器201���。盡管IPsec協(xié)議族提供廣泛的特征范圍,但許多廠商已開(kāi)發(fā)了他們自己的IPsec協(xié)議族的專有實(shí)施���。專有實(shí)施能使廠商提供高度定制的解決方案以及擴(kuò)展IPsec協(xié)議族的方式���,例如,IPsec協(xié)議族限制由相同實(shí)體執(zhí)行的認(rèn)證和IKE第2階段操作�。這在某些設(shè)置中可能不期望�����,諸如在未在私有網(wǎng)絡(luò)105中的網(wǎng)關(guān)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102和單獨(dú)裝置的情況下��,即,私有網(wǎng)絡(luò)105內(nèi)的數(shù)據(jù)服務(wù)器104與遠(yuǎn)程訪問(wèn)客戶端102建立VPN數(shù)據(jù)通信會(huì)話��。此外����,專有平臺(tái)之間的互操作性的缺乏帶來(lái)了嚴(yán)重問(wèn)題,例如���,訪問(wèn)客戶端102必須安裝一系列專有軟件客戶端以與一系列私有網(wǎng)絡(luò)通信���。此外,限制平臺(tái)(諸如iPhone )限制軟件客戶端在平臺(tái)上的安裝���。因此�����,限制平臺(tái)和專有服務(wù)器軟件的組合導(dǎo)致給定訪問(wèn)客戶端102無(wú)法與私有網(wǎng)絡(luò)105通信�����。全局服務(wù)器201被配置為克服VPN網(wǎng)絡(luò)的這些互操作性問(wèn)題�����。具體地�,全局服務(wù)器201被設(shè)置為授權(quán)給定遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105建立安全VPN通信會(huì)話,且隨后易于在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立安全VPN通信會(huì)話��。如上所討論���,可通過(guò)用作代表通信實(shí)體的代理實(shí)體來(lái)進(jìn)行IKE協(xié)議的第2階段消息交換�。然而�����,在IKE協(xié)議的第I階段消息交換期間沒(méi)有這種規(guī)定可用于通信主機(jī)�����。本文所述實(shí)施方式在第I階段消息交換期間提供代理協(xié)商實(shí)體�����。轉(zhuǎn)到圖3��,更詳細(xì)地描述了全局服務(wù)器201的設(shè)置��。全局服務(wù)器201包括以下的組合:包括標(biāo)準(zhǔn)操作系統(tǒng)組件的處理組件�、存儲(chǔ)器、處理器����、輸入/輸出接口和永久存儲(chǔ)器。此外�����,全局服務(wù)器201包括常規(guī)VPN設(shè)置組件����,諸如隧道代理組件,所述VPN設(shè)置組件將VPN設(shè)置處理能力提供給全局服務(wù)器201����。隧道代理組件響應(yīng)接收VPN連接發(fā)起消息,代理一組屬性����,VPN通信會(huì)話基于該屬性來(lái)建立。以此方式�����,隧道代理組件有助于在通信主機(jī)102�����、105之間建立動(dòng)態(tài)連接協(xié)定。在無(wú)限制情況下�,通信主機(jī)102、105之間的協(xié)定包括VPN通信會(huì)話類型(諸如IPsec)和協(xié)議轉(zhuǎn)換協(xié)定(諸如IPv4協(xié)議數(shù)據(jù)包中隧穿(tunnel)的IPv6協(xié)議數(shù)據(jù)包)����。除IPsec協(xié)議族之外,隧道代理組件也被設(shè)置為使用隧道建立協(xié)議(TSP)或隧道信息控制(TIC)協(xié)議來(lái)通信�����。此外����,全局服務(wù)器201包括VPN處理軟件組件301,該VPN處理軟件組件301被設(shè)置為在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立初始SA�����。在設(shè)置中��,諸如在通信主機(jī)102���、105將在初始SA建立期間建立的共享密鑰用于任何進(jìn)一步通信的情況下��,通信主機(jī)102���、105使用初始SA密鑰來(lái)加密待傳送數(shù)據(jù),并經(jīng)由全局服務(wù)器201將它們發(fā)送到接收通信主機(jī)����。在該設(shè)置中,在通信主機(jī)102����、105之間傳送的安全數(shù)據(jù)可通過(guò)全局服務(wù)器201來(lái)訪問(wèn),且若全局服務(wù)器201陷入危險(xiǎn)�����,則數(shù)據(jù)有危險(xiǎn)�����。在替代性設(shè)置中�,諸如在通信主機(jī)102、105在初始SA建立之后計(jì)算用于加密數(shù)據(jù)的其他密鑰的情況下����,通信主機(jī)102���、105之間的通信無(wú)法訪問(wèn)全局服務(wù)器201。在該設(shè)置中�,全局服務(wù)器201僅將任何通信中繼到相應(yīng)的接收方。VPN軟件處理組件301為發(fā)起終端(在本實(shí)施方式中為遠(yuǎn)程訪問(wèn)客戶端102)提供對(duì)由終止終端或網(wǎng)關(guān)103經(jīng)由通信網(wǎng)絡(luò)101提供的服務(wù)的認(rèn)證訪問(wèn)���。全局服務(wù)器201能針對(duì)由終止終端或私有網(wǎng)絡(luò)105提供的服務(wù)來(lái)識(shí)別和認(rèn)證發(fā)起終端�����,終止終端屬于私有網(wǎng)絡(luò)105����。在發(fā)起終端102被全局服務(wù)器201成功認(rèn)證的情況下�����,為發(fā)起終端102提供對(duì)由終止終端105提供的服務(wù)的訪問(wèn)��。VPN軟件處理組件301包括通信模塊�����,其用于接收和處理從發(fā)起終端102接收到的密鑰交換發(fā)起消息。密鑰交換發(fā)起消息由發(fā)起終端102發(fā)送���,以與終止終端建立加密通信信道�����。響應(yīng)接收密鑰交換發(fā)起消息,通信模塊針對(duì)所接收的密鑰交換發(fā)起消息執(zhí)行加密通信建立處理�。加密通信建立處理包括認(rèn)證發(fā)起終端102。在發(fā)起終端102被成功認(rèn)證的情況下�����,VPN軟件處理組件301將與所接收的密鑰交換發(fā)起消息相對(duì)應(yīng)的密鑰生成數(shù)據(jù)發(fā)送到終止終端����。密鑰生成數(shù)據(jù)、密鑰數(shù)據(jù)或密鑰生成資料由VPN軟件處理組件301基于與發(fā)起終端相關(guān)聯(lián)的數(shù)據(jù)來(lái)識(shí)別��。圖4示出了在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立安全VPN連接的設(shè)置�。可以看出����,發(fā)送到私有網(wǎng)絡(luò)105的任何通信消息均由防火墻106篩選,且若通信消息滿足一組預(yù)定條件,則防火墻106將通信發(fā)送到私有網(wǎng)絡(luò)105�。在在遠(yuǎn)程訪問(wèn)客戶端102與全局服務(wù)器201之間已成功協(xié)商初始SA的情況下,私有網(wǎng)絡(luò)105使用初始SA來(lái)與遠(yuǎn)程訪問(wèn)客戶端102協(xié)商其他SA����。在初始SA協(xié)商期間,全局服務(wù)器201用作私有網(wǎng)絡(luò)105到遠(yuǎn)程訪問(wèn)客戶端102的存在點(diǎn)����。實(shí)際上,全局服務(wù)器201用作用于私有網(wǎng)絡(luò)105的第I階段IKE消息交換的代理協(xié)商方���。圖5示出了由在處理加密通信信道發(fā)起請(qǐng)求或密鑰交換發(fā)起請(qǐng)求中涉及的實(shí)體執(zhí)行的處理�����。當(dāng)發(fā)起終端(在本實(shí)施方式中為遠(yuǎn)程訪問(wèn)客戶端102)發(fā)送加密通信信道發(fā)起請(qǐng)求(步驟501)時(shí)�����,加密通信信道建立處理開(kāi)始���。本領(lǐng)域技術(shù)人員應(yīng)理解,加密通信信道發(fā)起請(qǐng)求可由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)或全局服務(wù)器201�。加密通信信道發(fā)起請(qǐng)求的目的地由遠(yuǎn)程訪問(wèn)客戶端102基于遠(yuǎn)程訪問(wèn)客戶端102上的連接模塊的配置設(shè)定來(lái)確定,所述連接模塊參與建立對(duì)由私有網(wǎng)絡(luò)105提供的服務(wù)的安全訪問(wèn)。在加密通信信道發(fā)起請(qǐng)求被發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)的設(shè)置中�,消息重定向意味著諸如由通信網(wǎng)絡(luò)101使用路由器來(lái)將加密通信信道發(fā)起請(qǐng)求重定向到全局服務(wù)器201。響應(yīng)接收加密通信信道發(fā)起請(qǐng)求�����,VPN處理軟件組件301發(fā)起加密通信建立處理以能夠認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102 (步驟502)��。在加密通信信道發(fā)起請(qǐng)求包括與遠(yuǎn)程訪問(wèn)客戶端102有關(guān)的認(rèn)證數(shù)據(jù)的設(shè)置中��,VPN處理軟件組件301使用所述認(rèn)證數(shù)據(jù)來(lái)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102����。在另一設(shè)置中��,諸如在加密通信信道發(fā)起請(qǐng)求不包括與遠(yuǎn)程訪問(wèn)客戶端102有關(guān)的認(rèn)證數(shù)據(jù)的情況下���,VPN處理軟件組件301發(fā)起與遠(yuǎn)程訪問(wèn)客戶端102的消息交換��,以獲取與遠(yuǎn)程訪問(wèn)客戶端102有關(guān)的認(rèn)證數(shù)據(jù)��。在VPN處理軟件組件301能夠獲取與遠(yuǎn)程訪問(wèn)客戶端102有關(guān)的認(rèn)證數(shù)據(jù)的情況下��,在步驟503處VPN處理軟件組件301驗(yàn)證所述認(rèn)證數(shù)據(jù)�,以認(rèn)證與加密通信信道發(fā)起請(qǐng)求相關(guān)聯(lián)的遠(yuǎn)程訪問(wèn)客戶端102。在認(rèn)證未成功的情況下��,在步驟504處VPN處理軟件組件301拒絕加密的通信信道發(fā)起請(qǐng)求�。VPN處理軟件組件301也可產(chǎn)生說(shuō)明拒絕加密的通信信道發(fā)起請(qǐng)求的原因的錯(cuò)誤或信息消息,并將所產(chǎn)生的錯(cuò)誤或信息消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102���。VPN處理軟件組件301可維護(hù)與入站加密通信信道發(fā)起請(qǐng)求中的每一個(gè)的處理結(jié)果有關(guān)的日志:VPN處理軟件組件301添加有關(guān)與拒絕的加密通信信道發(fā)起消息相關(guān)聯(lián)的遠(yuǎn)程訪問(wèn)客戶端102的信息���。VPN處理軟件組件301被設(shè)置為通過(guò)監(jiān)測(cè)識(shí)別給定遠(yuǎn)程訪問(wèn)客戶端102的先前加密通信信道發(fā)起請(qǐng)求的日志信息來(lái)產(chǎn)生遠(yuǎn)程訪問(wèn)客戶端102的黑名單。這隨后能使VPN處理軟件組件301基于識(shí)別先前拒絕的加密通信信道發(fā)起請(qǐng)求的日志信息來(lái)拒絕來(lái)自給定遠(yuǎn)程訪問(wèn)客戶端102的入站加密通信信道發(fā)起請(qǐng)求�����。在另一設(shè)置中��,諸如在VPN處理軟件組件301被設(shè)置為產(chǎn)生密鑰生成數(shù)據(jù)以認(rèn)證給定遠(yuǎn)程訪問(wèn)客戶端102的情況下��,VPN處理軟件組件301基于加密通信信道發(fā)起請(qǐng)求以及形成在VPN處理軟件組件301與遠(yuǎn)程訪問(wèn)客戶端102之間的消息交換的一部分的任何其他消息來(lái)產(chǎn)生密鑰生成數(shù)據(jù)�����。在步驟504處��,在VPN處理軟件組件301能成功認(rèn)證與給定加密通信信道發(fā)起消息相關(guān)聯(lián)的給定遠(yuǎn)程訪問(wèn)客戶端102的情況下����,VPN處理軟件組件301將所產(chǎn)生的密鑰生成數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)��,諸如網(wǎng)關(guān)103���。在VPN處理軟件組件301不產(chǎn)生與加密通信信道發(fā)起請(qǐng)求消息有關(guān)的密鑰生成數(shù)據(jù)的設(shè)置中,VPN軟件處理組件301基于未加密的認(rèn)證信息來(lái)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102�。在認(rèn)證信息被加密的情況下,VPN軟件處理組件301將遠(yuǎn)程訪問(wèn)客戶端的加密認(rèn)證數(shù)據(jù)發(fā)送到負(fù)責(zé)產(chǎn)生與在全局服務(wù)器201處接收到的加密通信信道發(fā)起請(qǐng)求有關(guān)的密鑰生成數(shù)據(jù)的實(shí)體(未示出)����。所述實(shí)體也可認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102?�?商娲?,VPN軟件處理組件301連同密鑰生成實(shí)體一起認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102�。在步驟504處,在VPN軟件處理組件301成功認(rèn)證遠(yuǎn)程訪問(wèn)客戶端的情況下�����,VPN軟件處理組件301被配置為易于在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立安全通信信道�����。在全局服務(wù)器201被設(shè)置為協(xié)商代表私有網(wǎng)絡(luò)105的密鑰生成數(shù)據(jù)的設(shè)置中,遠(yuǎn)程訪問(wèn)客戶端102和私有網(wǎng)絡(luò)105可使用由全局服務(wù)器201協(xié)商的密鑰生成數(shù)據(jù)來(lái)相互直接通信�,以在沒(méi)有全局服務(wù)器201的任何參與的情況下確保發(fā)送的通信消息安全。在另一設(shè)置中�����,諸如在全局服務(wù)器201用作代理協(xié)商方和中繼節(jié)點(diǎn)的情況下���,在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間經(jīng)由全局服務(wù)器201建立安全通信信道��。在步驟507處由私有網(wǎng)絡(luò)105經(jīng)由建立的安全通信信道發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102的通信消息被發(fā)送到全局服務(wù)器���,該全局服務(wù)器隨后將通信消息進(jìn)一步中繼到遠(yuǎn)程訪問(wèn)客戶端102。在步驟507處加密的通信消息利用由VPN軟件處理組件301提供的密鑰生成數(shù)據(jù)來(lái)加密�����。響應(yīng)接收加密通信消息��,在步驟509處��,遠(yuǎn)程訪問(wèn)客戶端102為加密通信信道計(jì)算密鑰生成數(shù)據(jù)�。本領(lǐng)域技術(shù)人員應(yīng)理解,在接收通信消息之前�,遠(yuǎn)程訪問(wèn)客戶端102可產(chǎn)生密鑰生成數(shù)據(jù)�。在步驟509之后����,在私有網(wǎng)絡(luò)105與遠(yuǎn)程訪問(wèn)客戶端102之間交換的另一通信消息利用密鑰生成數(shù)據(jù)來(lái)加密,從而在私有網(wǎng)絡(luò)105與遠(yuǎn)程訪問(wèn)客戶端102之間建立一條或多條加密通信信道��,其中�,密鑰生成數(shù)據(jù)用作對(duì)于所建立的加密通信信道的共享密鑰。本領(lǐng)域技術(shù)人員應(yīng)理解���,密鑰生成數(shù)據(jù)也可被用于確保遠(yuǎn)程訪問(wèn)客戶端102與全局服務(wù)器201之間以及全局服務(wù)器201與私有網(wǎng)絡(luò)105之間的通信安全����。本領(lǐng)域技術(shù)人員也應(yīng)理解�����,私有網(wǎng)絡(luò)105和遠(yuǎn)程訪問(wèn)客戶端102可協(xié)商用于確保在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間傳送的通信數(shù)據(jù)安全的其他密鑰���。在私有網(wǎng)絡(luò)105與遠(yuǎn)程訪問(wèn)客戶端102之間交換以協(xié)商任何這種其他密鑰的另一通信消息利用密鑰生成數(shù)據(jù)來(lái)加密。由于其他密鑰在通信主機(jī)(即����,遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105)之間直接協(xié)商��,且全局服務(wù)器201僅用作中繼節(jié)點(diǎn)����,所以所述其他密鑰無(wú)法訪問(wèn)全局服務(wù)器201����。因此,利用另一密鑰確保安全的另一通信消息由全局服務(wù)器201中繼����,而無(wú)需對(duì)另一通信消息的內(nèi)容的任何訪問(wèn)。因此����,在全局服務(wù)器201陷入危險(xiǎn)的情況下,利用另一密鑰確保安全的任何通信消息的內(nèi)容不會(huì)陷入危險(xiǎn)��。轉(zhuǎn)到圖6�,描述了根據(jù)IKE第I版本的密鑰生成數(shù)據(jù)的協(xié)商。根據(jù)IKE第I階段���,密鑰生成數(shù)據(jù)被協(xié)商為初始SA協(xié)商的建立的一部分�����。第I階段IKE第I版本消息交換以從遠(yuǎn)程訪問(wèn)客戶端102到私有網(wǎng)絡(luò)105的存在點(diǎn)的第一消息作為開(kāi)始��。由于全局服務(wù)器201用作私有網(wǎng)絡(luò)105的存在點(diǎn)�,所以第一消息被路由到全局服務(wù)器201。在步驟6.1處���,包括標(biāo)頭以及用于形成初始SA的建議列表的第一消息由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送到全局服務(wù)器201���。響應(yīng)接收第一消息,VPN軟件處理組件301將第二消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102�,第二消息包括標(biāo)頭以及來(lái)自由遠(yuǎn)程訪問(wèn)客戶端102在第一消息中建議的SA建議列表的選擇。遠(yuǎn)程訪問(wèn)客戶端102隨后產(chǎn)生發(fā)起方密鑰(KEi)和發(fā)起方隨機(jī)數(shù)(Noncei)t5在步驟6.3處����,遠(yuǎn)程訪問(wèn)客戶端102將包括標(biāo)頭、發(fā)起方密鑰和發(fā)起方隨機(jī)數(shù)的消息發(fā)送到全局服務(wù)器201��。響應(yīng)接收發(fā)起方密鑰和發(fā)起方隨機(jī)數(shù)�,全局服務(wù)器201產(chǎn)生響應(yīng)方密鑰(KEJ和響應(yīng)方隨機(jī)數(shù)(Nonce,)。應(yīng)當(dāng)理解�����,僅發(fā)起方密鑰(KEi)和響應(yīng)方密鑰(KE,)的公開(kāi)值在通信主機(jī)(即�,遠(yuǎn)程訪問(wèn)客戶端102與全局服務(wù)器201)之間被交換。在步驟6.4處���,全局服務(wù)器發(fā)送包括標(biāo)頭��、響應(yīng)方密鑰和響應(yīng)方隨機(jī)數(shù)的消息�。本領(lǐng)域技術(shù)人員應(yīng)理解��,全局服務(wù)器201可在步驟6.2與步驟6.4之間的任何階段產(chǎn)生響應(yīng)方密鑰和響應(yīng)方隨機(jī)數(shù)�����。在遠(yuǎn)程訪問(wèn)客戶端102與全局服務(wù)器201之間成功交換密鑰和隨機(jī)數(shù)的情況下����,全局服務(wù)器201和遠(yuǎn)程訪問(wèn)客戶端102產(chǎn)生用于確保進(jìn)一步通信安全的一組密鑰生成資料、密鑰數(shù)據(jù)或密鑰生成數(shù)據(jù)�。用于產(chǎn)生密鑰數(shù)據(jù)的計(jì)算算法取決于由遠(yuǎn)程訪問(wèn)客戶端102和全局服務(wù)器201為了相互認(rèn)證的目的而協(xié)定的認(rèn)證算法。密鑰數(shù)據(jù)包括一組三個(gè)共享密鑰����。第一密鑰(SKEHD_a)被用于認(rèn)證在密鑰交換協(xié)議的第2階段期間交換的消息。第二密鑰(SKEnD_d)被用于推導(dǎo)第I階段消息交換中的其他密鑰以及在第2階段消息交換期間產(chǎn)生的一組密鑰��。第三密鑰(SKEHD_e)被用于加密在第I階段消息交換期間的任何其他消息以及在第2階段消息交換期間發(fā)送的消息。在認(rèn)證協(xié)議是預(yù)共享密鑰協(xié)議的設(shè)置中����,密鑰數(shù)據(jù)如下產(chǎn)生:SKEYID=prf (預(yù)共享-密鑰 I Noncei I Noncer)
SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中,KEiKE,為共享秘密��。本領(lǐng)域眾所周知�����,由遠(yuǎn)程訪問(wèn)客戶端102和全局服務(wù)器201兩者基于發(fā)起方密鑰(KEi)和響應(yīng)方密鑰(KEJ的至少公開(kāi)值以及發(fā)起方密鑰(KEi)或響應(yīng)方密鑰(KEJ的它們相應(yīng)的私有值來(lái)獨(dú)立推導(dǎo)出共享秘密��。在成功產(chǎn)生密鑰之后���,在步驟6.6處��,遠(yuǎn)程訪問(wèn)客戶端102將包括其利用密鑰SKEYID_e加密的身份(IDi)和認(rèn)證數(shù)據(jù)(Authi)的消息發(fā)送到全局服務(wù)器201����。所述消息還包括未加密標(biāo)頭��。響應(yīng)接收消息����,全局服務(wù)器201基于認(rèn)證數(shù)據(jù)來(lái)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102 (步驟 6.7)���。在成功驗(yàn)證客戶端的情況下,全局服務(wù)器201利用密鑰SKEHD_e來(lái)加密私有網(wǎng)絡(luò)105的身份(ID,)和認(rèn)證數(shù)據(jù)(Authr)�,并將加密身份數(shù)據(jù)和加密認(rèn)證數(shù)據(jù)發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102 (步驟6.8)��。遠(yuǎn)程訪問(wèn)客戶端102隨后通過(guò)驗(yàn)證加密認(rèn)證數(shù)據(jù)來(lái)認(rèn)證私有網(wǎng)絡(luò)105�。私有網(wǎng)絡(luò)105的成功認(rèn)證標(biāo)志著第I階段消息交換結(jié)束。全局服務(wù)器201隨后將密鑰數(shù)據(jù)發(fā)送到與私有網(wǎng)絡(luò)105相關(guān)聯(lián)的VPN處理實(shí)體(步驟6.9)�。在私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)是網(wǎng)關(guān)103的設(shè)置中,全局服務(wù)器201將密鑰數(shù)據(jù)發(fā)送到網(wǎng)關(guān)103�����。本領(lǐng)域技術(shù)人員應(yīng)理解�����,私有網(wǎng)絡(luò)中的任何實(shí)體(包括網(wǎng)關(guān)103����、服務(wù)器104或配置服務(wù)器202)可用作私有網(wǎng)絡(luò)的實(shí)際存在點(diǎn)。除密鑰生成數(shù)據(jù)之外���,全局服務(wù)器201也可發(fā)送識(shí)別遠(yuǎn)程訪問(wèn)客戶端102的網(wǎng)絡(luò)地址(例如�����,客戶端源IP地址和客戶端目的地IP地址)的數(shù)據(jù)以及識(shí)別所選SA建議的數(shù)據(jù)�����。在第I階段消息交換期間產(chǎn)生的密鑰數(shù)據(jù)能使私有網(wǎng)絡(luò)105與遠(yuǎn)程訪問(wèn)客戶端
102協(xié)商其他SA�。因此,全局服務(wù)器201用作用于私有網(wǎng)絡(luò)105的代理存在點(diǎn)��,且全局服務(wù)器201代表私有網(wǎng)絡(luò)105協(xié)商初始SA�。實(shí)際上,代理實(shí)體代表另一實(shí)體協(xié)商密鑰交換協(xié)議���。由于私有網(wǎng)絡(luò)105僅從遠(yuǎn)程訪問(wèn)客戶端102接收訪問(wèn)請(qǐng)求����,遠(yuǎn)程訪問(wèn)客戶端102已由全局服務(wù)器201成功認(rèn)證�����,所以私有網(wǎng)絡(luò)105的資源不花費(fèi)在處理虛假和無(wú)效訪問(wèn)請(qǐng)求上��。因此�,私有網(wǎng)絡(luò)105的處理資源(將不會(huì)花費(fèi)在處理虛假和無(wú)效訪問(wèn)請(qǐng)求上)被保存��。此外�,全局服務(wù)器201通過(guò)將私有網(wǎng)絡(luò)105的身份和位置僅揭示給真正的遠(yuǎn)程訪問(wèn)客戶端102來(lái)保護(hù)私有網(wǎng)絡(luò)105的位置詳細(xì)信息���。轉(zhuǎn)到圖7���,更詳細(xì)地描述了根據(jù)基于預(yù)共享秘密的認(rèn)證的SA協(xié)商�,所述認(rèn)證是IKEvl中的客戶端認(rèn)證模式之一。在步驟7.1和7.2處����,消息執(zhí)行SA參數(shù)協(xié)商。遠(yuǎn)程訪問(wèn)客戶端102通過(guò)將用于建立SA的建議列表發(fā)送到全局服務(wù)器201的VPN軟件處理組件301來(lái)發(fā)起消息交換�����。VPN軟件處理組件301將來(lái)自建議列表的選擇傳送到遠(yuǎn)程訪問(wèn)客戶端102�����。在VPN軟件處理組件301不支持由遠(yuǎn)程訪問(wèn)客戶端102提出的任何建議的情況下��,VPN軟件處理組件301拒絕整個(gè)建議列表�����,并將錯(cuò)誤消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102 (未示出)。在認(rèn)證模式是預(yù)共享密鑰的設(shè)置中�����,VPN軟件處理組件301從建議列表中選擇包括基于預(yù)共享密鑰的認(rèn)證的建議�。在步驟7.3和步驟7.4處,遠(yuǎn)程訪問(wèn)客戶端102與全局服務(wù)器201隨后交換發(fā)起方密鑰(KEiX發(fā)起方隨機(jī)數(shù)(NonceiX響應(yīng)方密鑰(KEJ和響應(yīng)方隨機(jī)數(shù)(Nonce,)�����。響應(yīng)接收響應(yīng)方密鑰(KE,)和響應(yīng)方隨機(jī)數(shù)(Nonce,)���,遠(yuǎn)程訪問(wèn)客戶端102產(chǎn)生用于確保其他通信消息安全的密鑰數(shù)據(jù)����。
如上所討論�����,根據(jù)IKEvl中的預(yù)共享秘密認(rèn)證模式的密鑰數(shù)據(jù)如下產(chǎn)生:SKEYID=prf (預(yù)共享-密鑰 I Noncei I Noncer)SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中�����,KEiKEr為共享秘密。在基于預(yù)共享秘密的認(rèn)證中���,通信主機(jī)102���、105基于發(fā)起方散列(Hashi)和響應(yīng)方散列(Hash,)來(lái)相互認(rèn)證,發(fā)起方散列(Hashi)和響應(yīng)方散列(Hash,)計(jì)算如下:Hashi=Prf (SKEYID, KEi I KEr I cookie-1 I cookie-R I SA I IDi)Hashr=prf (SKEYID, KEr I KEi I cookie-R I cookiel I SA I IDr)其中�,KEi和KE,是發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值。用于計(jì)算發(fā)起方散列和響應(yīng)方散列的SA是在步驟7.1處由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送的SA有效載荷��。響應(yīng)成功推導(dǎo)出密鑰數(shù)據(jù)和發(fā)起方散列�,在步驟7.6處����,遠(yuǎn)程訪問(wèn)客戶端102發(fā)送包括未加密標(biāo)頭以及利用密鑰SKEHD_e加密的發(fā)起方ID和發(fā)起方散列的消息。響應(yīng)接收加密的發(fā)起方ID和加密的發(fā)起方散列�,VPN軟件處理組件301計(jì)算密鑰數(shù)據(jù)。本領(lǐng)域技術(shù)人員應(yīng)理解�����,VPN軟件處理組件301可在步驟7.4與步驟7.7之間的任何階段產(chǎn)生密鑰數(shù)據(jù)���。VPN軟件處理組件301通過(guò)計(jì)算發(fā)起方散列本身且比較所產(chǎn)生的發(fā)起方散列與所接收的發(fā)起方散列來(lái)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102�����。在所計(jì)算的發(fā)起方散列與所接收的發(fā)起方散列不相等的情況下�,遠(yuǎn)程訪問(wèn)客戶端102被確定為認(rèn)證已失敗。VPN軟件處理組件301隨后拒絕對(duì)加密通信信道的請(qǐng)求�����,并將錯(cuò)誤消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102��。在認(rèn)證成功����,即所計(jì)算的發(fā)起方散列等于所接收的發(fā)起方散列的情況下,VPN軟件處理組件301計(jì)算響應(yīng)方散列(Hashr)��,并將響應(yīng)方散列(Hash�。連同私有網(wǎng)絡(luò)105的身份詳細(xì)信息(1 ) 一起發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102 (步驟7.8)。在VPN軟件處理組件301不知道私有網(wǎng)絡(luò)105的身份詳細(xì)信息的情況下���,VPN軟件處理組件301從私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(諸如服務(wù)器104或網(wǎng)關(guān)103)獲取私有網(wǎng)絡(luò)105的身份詳細(xì)信息(ID,)��。響應(yīng)身份詳細(xì)信息(ID,)和響應(yīng)方散列(Hash,)向遠(yuǎn)程訪問(wèn)客戶端102的成功發(fā)送����,VPN軟件處理組件301將密鑰數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(步驟7.9)。遠(yuǎn)程訪問(wèn)客戶端102在接收響應(yīng)方散列之后認(rèn)證私有網(wǎng)絡(luò)105���,并在認(rèn)證成功的情況下�����,在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立加密通信會(huì)話��。除密鑰數(shù)據(jù)之外����,VPN軟件處理組件301還可將發(fā)起方密鑰���、響應(yīng)方密鑰����、發(fā)起方cookie��、響應(yīng)方cookie��、發(fā)起方ID�����、客戶端源IP地址�、客戶端目的地IP地址、識(shí)別所選SA建議和SA有效載荷的數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)���,諸如服務(wù)器104或網(wǎng)關(guān)103����。
圖8描述了根據(jù)IKEvl中基于數(shù)字簽名的認(rèn)證的SA建立�����,且因此與圖6和圖7中的實(shí)施方式的不同之處在于�,本實(shí)施方式描述認(rèn)證客戶端的另一替代性模式。與基于預(yù)共享秘密的認(rèn)證一樣�,SA建立處理以在步驟8.1和步驟8.2處執(zhí)行SA參數(shù)協(xié)商作為開(kāi)始。除了形成初始SA參數(shù)協(xié)商的一部分的其他參數(shù)之外��,遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301協(xié)定使用用于相互認(rèn)證的數(shù)字簽名和用于計(jì)算數(shù)字簽名的算法�。在建立SA參數(shù)之后,在步驟8.3和步驟8.4處���,遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301交換發(fā)起方密鑰(KEi)���、發(fā)起方隨機(jī)數(shù)(Noncei)���、響應(yīng)方密鑰(KEr)和響應(yīng)方隨機(jī)數(shù)(Noncer)。響應(yīng)接收響應(yīng)方密鑰(KEJ和響應(yīng)方隨機(jī)數(shù)(Nonce,)���,遠(yuǎn)程訪問(wèn)客戶端102產(chǎn)生用于確保其他通信消息安全的密鑰數(shù)據(jù)���。根據(jù)IKEvl中數(shù)字簽名認(rèn)證模式的密鑰數(shù)據(jù)如下產(chǎn)生:SKEYID=prf (Noncei I Noncer, KEiKEr)SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中,KEiKEr為共享秘密����。與預(yù)共享秘密認(rèn)證模式一樣,遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301也產(chǎn)生發(fā)起方散列(Hashi)和響應(yīng)方散列(Hash,)�����。所述散列計(jì)算如下:Hashi=Prf (SKEYID, KEi I KEr I cookie-1 I cookie-R I SA I IDi)Hashr=prf (SKEYID, KEr I KEi I cookie-R I cookiel I SA I IDr)其中�,KEi和KEr為發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值。遠(yuǎn)程訪問(wèn)客戶端102隨后基于在初始SA參數(shù)協(xié)商期間協(xié)定的數(shù)字簽名算法來(lái)產(chǎn)生發(fā)起方數(shù)字簽名(SigiX發(fā)起方數(shù)字簽名在發(fā)起方散列上計(jì)算�����。遠(yuǎn)程訪問(wèn)客戶端102利用密鑰SKEHD_e來(lái)加密數(shù)字簽名�、發(fā)起方ID和發(fā)起方證書(shū),并將這些加密值連同未加密標(biāo)頭一起發(fā)送到VPN軟件處理組件301�。發(fā)起方證書(shū)是遠(yuǎn)程訪問(wèn)客戶端102的公開(kāi)密鑰證書(shū),且由VPN軟件處理組件301用于驗(yàn)證發(fā)起方簽名����。發(fā)送證書(shū)是可選的,且在步驟8.6處證書(shū)未包括在消息中的情況下�����,VPN軟件處理組件301從證書(shū)保留實(shí)體獲取發(fā)起方證書(shū)��。響應(yīng)接收在步驟8.6處發(fā)送的消息���,VPN軟件處理組件301計(jì)算密鑰數(shù)據(jù)并認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102�����?��;跀?shù)字簽名來(lái)執(zhí)行認(rèn)證。在遠(yuǎn)程訪問(wèn)客戶端102成功認(rèn)證的情況下��,VPN軟件處理組件301計(jì)算響應(yīng)方散列(Hash�。和響應(yīng)方簽名(SigJ����。VPN軟件處理組件301還利用密鑰SKEHD_e來(lái)加密響應(yīng)方簽名(SigJ���、響應(yīng)方證書(shū)(CertJ和私有網(wǎng)絡(luò)ID(ID,)���,并將加密數(shù)據(jù)發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102(步驟8.8),遠(yuǎn)程訪問(wèn)客戶端102隨后基于響應(yīng)方簽名來(lái)認(rèn)證私有網(wǎng)絡(luò)105���。VPN軟件處理組件301隨后將密鑰數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)的實(shí)際存在點(diǎn)����,諸如網(wǎng)關(guān)
103(步驟 8.9)����。圖9描述了根據(jù)IKEvl中基于公開(kāi)密鑰加密的認(rèn)證的SA建立,并提供了客戶端認(rèn)證的另一模式�����。與基于預(yù)共享秘密的認(rèn)證一樣��,SA建立處理以在步驟9.1和步驟9.2處執(zhí)行SA參數(shù)協(xié)商作為開(kāi)始���。如根據(jù)圖9中的實(shí)例�,除形成初始SA參數(shù)協(xié)商的一部分的其他參數(shù)之外����,遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301協(xié)定使用用于相互認(rèn)證的公開(kāi)密鑰加密。一旦遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301協(xié)定了基于公開(kāi)密鑰加密的認(rèn)證���,遠(yuǎn)程訪問(wèn)客戶端102即從證書(shū)保留實(shí)體獲取包括私有網(wǎng)絡(luò)105的公開(kāi)密鑰的公開(kāi)密鑰證書(shū)����。在獲取私有網(wǎng)絡(luò)105的公開(kāi)密鑰證書(shū)之后����,遠(yuǎn)程訪問(wèn)客戶端102利用私有網(wǎng)絡(luò)105的公開(kāi)密鑰(PKk)來(lái)加密發(fā)起方隨機(jī)數(shù)(Noncei)和發(fā)起方身份(IDi)15加密數(shù)據(jù)連同未加密標(biāo)頭、未加密發(fā)起方密鑰(KEi)和第一散列(Hash1) —起被發(fā)送到VPN軟件處理組件301��。第一散列是包括私有網(wǎng)絡(luò)105的公開(kāi)密鑰的私有網(wǎng)絡(luò)105的公開(kāi)密鑰證書(shū)的散列��。第一散列是可選的�����,且被用于將公開(kāi)密鑰被用于加密發(fā)起方隨機(jī)數(shù)和發(fā)起方ID的情況告知響應(yīng)方�����。由于發(fā)起方隨機(jī)數(shù)和發(fā)起方ID利用私有網(wǎng)絡(luò)105的公開(kāi)密鑰來(lái)加密,所以發(fā)起方隨機(jī)數(shù)和發(fā)起方ID僅可利用私有網(wǎng)絡(luò)105的私有密鑰來(lái)解密�����。在全局服務(wù)器201訪問(wèn)私有網(wǎng)絡(luò)105的私有密鑰的設(shè)置中�,VPN軟件處理組件301解密發(fā)起方ID和發(fā)起方隨機(jī)數(shù)。在另一設(shè)置中�����,諸如在全局服務(wù)器201不訪問(wèn)私有網(wǎng)絡(luò)105的私有密鑰的情況下��,在步驟9.4處��,VPN軟件處理組件301將第一散列��、加密發(fā)起方隨機(jī)數(shù)和加密發(fā)起方ID發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)����,諸如網(wǎng)關(guān)103。網(wǎng)關(guān)隨后解密加密的發(fā)起方隨機(jī)數(shù)和加密的發(fā)起方ID�����。在另一設(shè)置中,諸如在網(wǎng)關(guān)103被設(shè)置為將解密的發(fā)起方隨機(jī)數(shù)和解密的發(fā)起方ID以未加密形式發(fā)送到VPN軟件處理組件301的情況下�,在步驟9.5處,網(wǎng)關(guān)將解密的發(fā)起方隨機(jī)數(shù)和解密的發(fā)起方ID發(fā)送到VPN軟件處理組件301��。在另一設(shè)置中�,諸如在網(wǎng)關(guān)103被設(shè)置為將解密的發(fā)起方隨機(jī)數(shù)和解密的發(fā)起方ID以加密形式發(fā)送到VPN軟件處理組件301的情況下���,網(wǎng)關(guān)103利用秘密共享密鑰來(lái)加密解密的發(fā)起方隨機(jī)數(shù)和解密的發(fā)起方ID����,并在步驟9.5處將重新加密的發(fā)起方ID和重新加密的發(fā)起方隨機(jī)數(shù)發(fā)送到VPN軟件處理組件301���。響應(yīng)接收重新加密的發(fā)起方ID和重新加密的發(fā)起方隨機(jī)數(shù)�����,VPN軟件處理組件301利用秘密共享密鑰來(lái)解密重新加密的發(fā)起方ID和重新加密的發(fā)起方隨機(jī)數(shù)����。一旦VPN軟件處理組件301訪問(wèn)解密的發(fā)起方ID��,VPN軟件處理組件301即基于發(fā)起方ID從證書(shū)保留實(shí)體獲取包括遠(yuǎn)程訪問(wèn)客戶端102的公開(kāi)密鑰的公開(kāi)密鑰證書(shū)�。一旦VPN軟件處理組件301獲取了遠(yuǎn)程訪問(wèn)客戶端102的公開(kāi)密鑰���,VPN軟件處理組件301即利用遠(yuǎn)程訪問(wèn)客戶端102的公開(kāi)密鑰來(lái)加密私有網(wǎng)絡(luò)ID (IDr)和響應(yīng)方隨機(jī)數(shù)(NonceJ。在VPN軟件處理組件301不訪問(wèn)私有網(wǎng)絡(luò)ID的情況下��,VPN軟件處理組件301從私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(諸如網(wǎng)關(guān)103)獲取私有網(wǎng)絡(luò)ID���。在步驟9.6處��,VPN軟件處理組件301將加密數(shù)據(jù)連同未加密標(biāo)頭和未加密響應(yīng)方密鑰(KEJ —起發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102���。在步驟9.6處響應(yīng)接收消息,遠(yuǎn)程訪問(wèn)客戶端102解密響應(yīng)方ID和響應(yīng)方隨機(jī)數(shù)����。遠(yuǎn)程訪問(wèn)客戶端102隨后可如下計(jì)算密鑰數(shù)據(jù):SKEYID=prf (hash (Noncei I Noncer), cookie-1 I cookie-R)SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中,KEiKEr為共享秘密�。在SKEYID計(jì)算中的散列函數(shù)是在初始SA參數(shù)協(xié)商期間協(xié)定的散列算法。與預(yù)共享秘密認(rèn)證模式一樣�,遠(yuǎn)程訪問(wèn)客戶端102也如下產(chǎn)生發(fā)起方散列(Hashi)和響應(yīng)方散列(Hash1J:Hashi=Prf (SKEYID, KEi I KEr I cookie-1 I cookie-R I SA I IDi)Hashr=prf (SKEYID, KEr I KEi I cookie-R I cookie -1 I SA I IDr)其中,KEi和KEr為發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值��。響應(yīng)發(fā)起方散列的成功產(chǎn)生���,在步驟9.8處���,遠(yuǎn)程訪問(wèn)客戶端102將發(fā)起方散列和標(biāo)頭發(fā)送到VPN軟件處理組件301����。響應(yīng)接收發(fā)起方散列����,VPN軟件處理組件301產(chǎn)生密鑰數(shù)據(jù)和響應(yīng)方散列(Hash,)��。應(yīng)理解���,VPN軟件處理組件301可在步驟9.6與步驟9.9之間的任何階段產(chǎn)生密鑰數(shù)據(jù)��,且在步驟9.7處��,VPN軟件處理組件301以與遠(yuǎn)程訪問(wèn)客戶端102相同的方式推導(dǎo)出密鑰數(shù)據(jù)����。VPN軟件處理組件301隨后產(chǎn)生發(fā)起方散列以認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102�����。在認(rèn)證成功的情況下���,VPN軟件處理組件301產(chǎn)生響應(yīng)方散列���,并將響應(yīng)方散列發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102(步驟9.10)�����,響應(yīng)方散列隨后由遠(yuǎn)程訪問(wèn)客戶端102用于認(rèn)證私有網(wǎng)絡(luò)105��。VPN軟件處理組件301也將密鑰數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)�,諸如網(wǎng)關(guān)103 (步驟 9.11)��。圖10描述了根據(jù)IKEvl中基于修訂版公開(kāi)密鑰加密的認(rèn)證的SA建立���,并作為客戶端認(rèn)證的另一模式���。與基于公開(kāi)密鑰加密的認(rèn)證方法一樣,SA建立處理以在步驟10.1和步驟10.2處執(zhí)行SA參數(shù)協(xié)商作為開(kāi)始��。除形成初始SA參數(shù)協(xié)商的一部分的其他參數(shù)之外���,遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301協(xié)定將修訂版公開(kāi)密鑰加密用于相互認(rèn)證�。一旦遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301協(xié)定了基于修訂版公開(kāi)密鑰加密的認(rèn)證,遠(yuǎn)程訪問(wèn)客戶端102即從證書(shū)保留實(shí)體獲取包括私有網(wǎng)絡(luò)105的公開(kāi)密鑰的公開(kāi)密鑰證書(shū)��。在獲取私有網(wǎng)絡(luò)105的公開(kāi)密鑰證書(shū)之后�,遠(yuǎn)程訪問(wèn)客戶端102利用私有網(wǎng)絡(luò)105的公開(kāi)密鑰(PKk)來(lái)加密發(fā)起方隨機(jī)數(shù)(Noncei)t5隨后,遠(yuǎn)程訪問(wèn)客戶端102如下計(jì)算發(fā)起方對(duì)稱密鑰:gXj=prf (Noncei, cookie-1)遠(yuǎn)程訪問(wèn)客戶端102隨后利用發(fā)起方對(duì)稱密鑰來(lái)加密發(fā)起方密鑰(KEi)����、發(fā)起方ID (IDi)和包括發(fā)起方公開(kāi)密鑰的發(fā)起方公開(kāi)密鑰證書(shū)(Certi)15遠(yuǎn)程訪問(wèn)客戶端102隨后將未加密標(biāo)頭連同對(duì)稱密鑰加密的數(shù)據(jù)和公開(kāi)密鑰加密的發(fā)起方隨機(jī)數(shù)一起發(fā)送到VPN軟件處理組件301。在全局服務(wù)器201訪問(wèn)私有網(wǎng)絡(luò)105的私有密鑰的設(shè)置中���,VPN軟件處理組件301解密發(fā)起方隨機(jī)數(shù)����。在另一設(shè)置中����,諸如在全局服務(wù)器201不訪問(wèn)私有網(wǎng)絡(luò)105的私有密鑰的情況下��,在步驟10.4處���,VPN軟件處理組件301將第一散列和加密的發(fā)起方隨機(jī)數(shù)發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)����,諸如網(wǎng)關(guān)103。所述網(wǎng)關(guān)隨后解密加密的發(fā)起方隨機(jī)數(shù)����。在另一設(shè)置中,諸如在網(wǎng)關(guān)103被設(shè)置為將解密的發(fā)起方隨機(jī)數(shù)以未加密形式發(fā)送到VPN軟件處理組件301的情況下���,在步驟10.5處��,網(wǎng)關(guān)將解密的發(fā)起方隨機(jī)數(shù)發(fā)送到VPN軟件處理組件301�����。在另一設(shè)置中����,諸如在網(wǎng)關(guān)103被設(shè)置為將解密的發(fā)起方隨機(jī)數(shù)以加密形式發(fā)送到VPN軟件處理組件301的情況下�,網(wǎng)關(guān)103利用秘密共享密鑰來(lái)加密解密的發(fā)起方隨機(jī)數(shù),并隨后在步驟10.5處���,將重新加密的發(fā)起方隨機(jī)數(shù)發(fā)送到VPN軟件處理組件301����。響應(yīng)接收重新加密的發(fā)起方隨機(jī)數(shù)���,VPN軟件處理組件301利用秘密共享密鑰來(lái)解密重新加密的發(fā)起方隨機(jī)數(shù)���。一旦VPN軟件處理組件301訪問(wèn)解密的發(fā)起方隨機(jī)數(shù)��,VPN軟件處理組件301即使用與由遠(yuǎn)程訪問(wèn)客戶端102使用的相同的計(jì)算過(guò)程來(lái)推導(dǎo)出發(fā)起方對(duì)稱密鑰���。在推導(dǎo)出發(fā)起方對(duì)稱密鑰之后,VPN軟件處理組件301解密加密的發(fā)起方密鑰��、加密的發(fā)起方ID和加密的發(fā)起方公開(kāi)密鑰證書(shū)�。VPN軟件處理組件301隨后基于響應(yīng)方隨機(jī)數(shù)(Nonce,)來(lái)如下推導(dǎo)出響應(yīng)方對(duì)稱密鑰(gxr):gxr=prf (Noncer, cookie-R)VPN軟件處理組件301隨后利用響應(yīng)方對(duì)稱密鑰來(lái)加密私有網(wǎng)絡(luò)ID (IDr)和響應(yīng)方密鑰(KEr),且利用遠(yuǎn)程訪問(wèn)客戶端105的公開(kāi)密鑰來(lái)加密響應(yīng)方隨機(jī)數(shù)�。在VPN軟件處理組件301不訪問(wèn)私有網(wǎng)絡(luò)ID的情況下,VPN軟件處理組件301從私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(諸如網(wǎng)關(guān)103)獲取私有網(wǎng)絡(luò)ID�。在步驟10.6處,VPN軟件處理組件301隨后將加密數(shù)據(jù)和未加密標(biāo)頭發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102���。響應(yīng)接收加密數(shù)據(jù),遠(yuǎn)程訪問(wèn)客戶端102使用其私有密鑰來(lái)解密響應(yīng)方隨機(jī)數(shù)�。一旦解密了響應(yīng)方隨機(jī)數(shù),遠(yuǎn)程訪問(wèn)客戶端102使用與由VPN軟件處理組件301使用的相同的計(jì)算過(guò)程來(lái)推導(dǎo)出響應(yīng)方對(duì)稱密鑰�����。在推導(dǎo)出響應(yīng)方對(duì)稱密鑰之后,遠(yuǎn)程訪問(wèn)客戶端解密響應(yīng)方ID和響應(yīng)方密鑰����。遠(yuǎn)程訪問(wèn)客戶端102隨后如下計(jì)算密鑰數(shù)據(jù):SKEYID=prf (hash (Noncei I Noncer), cookie-1 I cookie-R)SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中,KEiKEr為共享秘密�。SKEYID計(jì)算中的散列函數(shù)是在初始SA參數(shù)協(xié)商期間協(xié)定的散列算法。與預(yù)共享秘密認(rèn)證模式一樣���,遠(yuǎn)程訪問(wèn)客戶端102也如下產(chǎn)生發(fā)起方散列(Hashi)和響應(yīng)方散列(Hash1J:Hashi=Prf (SKEYID, KEi I KEr I cookie-1 I cookie-R I SA I IDi)Hashr=prf (SKEYID, KEr I KEi I cookie-R I cookie -1 I SA I IDr)其中�,KEi和KE,為發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值��。響應(yīng)發(fā)起方散列的成功產(chǎn)生�,在步驟10.8處,遠(yuǎn)程訪問(wèn)客戶端102將發(fā)起方散列和標(biāo)頭發(fā)送到VPN軟件處理組件301�����。響應(yīng)接收發(fā)起方散列���,VPN軟件處理組件301產(chǎn)生密鑰數(shù)據(jù)�����、發(fā)起方散列(Hashi)和響應(yīng)方散列(Hash,)��。應(yīng)理解�,VPN軟件處理組件301可在步驟10.6與步驟10.9之間的任何階段產(chǎn)生密鑰數(shù)據(jù)、發(fā)起方散列和響應(yīng)方散列���,且在步驟10.7處��,VPN軟件處理組件301以與遠(yuǎn)程訪問(wèn)客戶端102相同的方式推導(dǎo)出密鑰數(shù)據(jù)���。VPN軟件處理組件301使用發(fā)起方散列來(lái)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102。在認(rèn)證成功的情況下��,VPN軟件處理組件301將密鑰數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(諸如網(wǎng)關(guān)103)�。VPN軟件處理組件301也將所產(chǎn)生的響應(yīng)方散列(Hash。發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102�����,響應(yīng)方散列(Hash�����。隨后由遠(yuǎn)程訪問(wèn)客戶端102用于認(rèn)證私有網(wǎng)絡(luò)105��。圖11描述了根據(jù)積極模式IKEvl消息交換的初始SA建立�,且因此與先前實(shí)施方式的不同之處在于,本實(shí)施方式比先前實(shí)施方式需要更少被交換的消息來(lái)建立SA�����。消息交換以遠(yuǎn)程訪問(wèn)客戶端102發(fā)送第一消息作為開(kāi)始(步驟11.1)����,第一消息包括用于在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間形成初始SA的建議列表。除SA建議之外�����,第一消息包括發(fā)起方密鑰(KEJ�、發(fā)起方隨機(jī)數(shù)(NonceiX發(fā)起方ID (IDi)和標(biāo)頭。本領(lǐng)域技術(shù)人員應(yīng)理解�,第一消息的內(nèi)容可利用私有網(wǎng)絡(luò)公開(kāi)密鑰或響應(yīng)方對(duì)稱密鑰來(lái)加密。由于全局服務(wù)器201用作私有網(wǎng)絡(luò)105的存在點(diǎn)���,所以第一消息由VPN軟件處理組件301來(lái)接收�。響應(yīng)接收所述消息�����,VPN軟件處理組件301推導(dǎo)出響應(yīng)方隨機(jī)數(shù)(Nonce,)和響應(yīng)方密鑰(KEJ��,并計(jì)算密鑰數(shù)據(jù)(步驟11.2)。如上所討論���,密鑰數(shù)據(jù)的計(jì)算取決于在遠(yuǎn)程訪問(wèn)客戶端102與VPN軟件處理組件301之間協(xié)定的認(rèn)證方法�����。在認(rèn)證協(xié)議是預(yù)共享密鑰協(xié)議的設(shè)置中����,密鑰數(shù)據(jù)如下產(chǎn)生:SKEYID=prf (預(yù)共享-密鑰 I Noncei I Noncer)SKEYID_d=prf (SKEYID, KEiKEr I cookie-1 I cookie-R I 0)SKEYID_a=prf (SKEYID, SKEYID_d I KEiKEr I cookie-1 I cookie-R I I)SKEYID_e=prf (SKEYID, SKEYID_a I KEiKEr I cookie-1 I cookie-R I 2)其中��,KEiKEr為共享秘密����。VPN軟件處理組件301隨后推導(dǎo)出響應(yīng)方認(rèn)證數(shù)據(jù)。如上所討論�����,認(rèn)證數(shù)據(jù)取決于所協(xié)定的認(rèn)證機(jī)制���。例如��,若所協(xié)定的認(rèn)證機(jī)制是預(yù)共享秘密��,則認(rèn)證數(shù)據(jù)如下推導(dǎo):Hashi=Prf (SKEYID, KEi I KEr I cookie-1 I cookie-R I SA I IDi)Hashr=prf (SKEYID, KEr I KEi I cookie-R I cookie-1 I SA I IDr)其中���,Hashi是發(fā)起方認(rèn)證數(shù)據(jù),Hashr是響應(yīng)方認(rèn)證數(shù)據(jù)�,以及KEi和KEr是發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值。響應(yīng)成功推導(dǎo)出響應(yīng)方認(rèn)證數(shù)據(jù)���,VPN軟件處理組件301發(fā)送第二消息��,該第二消息包括從由遠(yuǎn)程訪問(wèn)客戶端102提供的建議列表��、響應(yīng)方密鑰�����、響應(yīng)方隨機(jī)數(shù)�����、私有網(wǎng)絡(luò)105的ID和響應(yīng)方認(rèn)證數(shù)據(jù)中選出的SA建議(步驟11.3)���。在VPN軟件處理組件301不訪問(wèn)私有網(wǎng)絡(luò)ID的情況下,VPN軟件處理組件301從私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(諸如網(wǎng)關(guān)103)獲取私有網(wǎng)絡(luò)ID。響應(yīng)接收第二消息�,遠(yuǎn)程訪問(wèn)客戶端102使用與由VPN軟件處理組件301使用的相同過(guò)程來(lái)推導(dǎo)出密鑰數(shù)據(jù)、發(fā)起方認(rèn)證數(shù)據(jù)和響應(yīng)方認(rèn)證數(shù)據(jù)(步驟11.4)�。遠(yuǎn)程訪問(wèn)客戶端102隨后認(rèn)證私有網(wǎng)絡(luò)105,且響應(yīng)成功認(rèn)證�����,將發(fā)起方認(rèn)證數(shù)據(jù)(Authi)發(fā)送到VPN軟件處理組件301 (步驟11.5)����。響應(yīng)接收發(fā)起方認(rèn)證數(shù)據(jù),VPN軟件處理組件301認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102 (步驟
11.6)�,且響應(yīng)成功認(rèn)證,將密鑰數(shù)據(jù)發(fā)送到私有網(wǎng)絡(luò)105 (步驟11.7)��。轉(zhuǎn)到圖12���,詳細(xì)描述了根據(jù)IKE第2版本的初始SA建立���。遠(yuǎn)程訪問(wèn)客戶端102通過(guò)發(fā)送IKE_SA_INIT消息來(lái)發(fā)起消息交換(步驟12.1), IKE_SA_INIT消息包括標(biāo)頭、用于形成初始SA的建議列表��、發(fā)起方密鑰(KEi)和發(fā)起方隨機(jī)數(shù)(Noncei)t5遠(yuǎn)程訪問(wèn)客戶端102將IKE_SA_INIT消息發(fā)送到私有網(wǎng)絡(luò)105的存在點(diǎn)����。由于全局服務(wù)器201正用作私有網(wǎng)絡(luò)105的存在點(diǎn)�,所以IKE_SA_INIT消息由VPN軟件處理組件301來(lái)接收和處理����。響應(yīng)接收IKE_SA_INIT消息,VPN軟件處理組件301準(zhǔn)備消息IKE_SA_INIT_RESP����。IKE_SA_INIT_RESP消息包括標(biāo)頭���、從由遠(yuǎn)程訪問(wèn)客戶端102提供的建議列表選出的SA建議���、響應(yīng)方密鑰、響應(yīng)方隨機(jī)數(shù)和證書(shū)請(qǐng)求(步驟12.2)�。IKE_SA_INIT_RESP中的證書(shū)請(qǐng)求是可選的。隨后���,遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301如下推導(dǎo)出共享密鑰種子(SKEYSEED):SKEYSEED=prf (Noncei I Noncer, gir)其中�,#為來(lái)自密鑰交換(KEi和KE,)的共享秘密���,且被表示為必要時(shí)按照大端(big endian)順序填充零以使其符合模數(shù)(modulus,系數(shù))長(zhǎng)度的八位字節(jié)的字符串����。遠(yuǎn)程訪問(wèn)客戶端102和VPN軟件處理組件301隨后如下計(jì)算七個(gè)其他秘密(步驟
12.3和步驟12.5)或密鑰數(shù)據(jù):{SK_d I SK_ai I SK_ar I SK_ei I SK_er I SK_pi I SK_pr}=prf+ (SKEYSEED,Noncei I Noncer I SAProposal I SAChoice)從函數(shù)prf+ 的產(chǎn)生的位順序采用量 SK_d、SK_a1�����、SK_ar�、SK_e1、SK_er��、SK_pi 和SK_pr�。密鑰SK_d被用于推導(dǎo)出用于在該初始SA下建立的其他子SA的新密鑰。密鑰SK_ai和SK_ar被用作用于認(rèn)證后續(xù)交換的分量消息的完整性保護(hù)算法的密鑰�。密鑰SK_ei和SK_er被用于加密和解密任何其他消息。當(dāng)產(chǎn)生認(rèn)證數(shù)據(jù)時(shí)��,使用密鑰SK_pi和SK_pr�����。流量流的兩個(gè)方向使用不同密鑰:用于保護(hù)來(lái)自遠(yuǎn)程訪問(wèn)客戶端102的消息的密鑰為SK_ai和SK_ei��,以及用于保護(hù)來(lái)自私有網(wǎng)絡(luò)105的消息的密鑰為SK_ar和SK_er��。響應(yīng)成功產(chǎn)生密鑰數(shù)據(jù)�����,遠(yuǎn)程訪問(wèn)客戶端102利用密鑰SK_ei來(lái)加密數(shù)據(jù),該數(shù)據(jù)包括遠(yuǎn)程訪問(wèn)客戶端ID�、遠(yuǎn)程訪問(wèn)客戶端證書(shū)、對(duì)私有網(wǎng)絡(luò)證書(shū)的請(qǐng)求�����、遠(yuǎn)程網(wǎng)絡(luò)客戶端認(rèn)證數(shù)據(jù)���、用于形成子SA或另一 SA的建議列表以及一組流量選擇符。若在步驟12.2處�,在消息IKE_SA_INIT_RESP中請(qǐng)求證書(shū),則遠(yuǎn)程訪問(wèn)客戶端證書(shū)包括在消息IKE_SA_INIT_RESP中�。消息IKE_SA_INIT_RESP中的證書(shū)請(qǐng)求是可選的。本領(lǐng)域技術(shù)人員應(yīng)理解�,認(rèn)證數(shù)據(jù)基于在遠(yuǎn)程訪問(wèn)客戶端102與VPN軟件處理組件301之間協(xié)定為所選SA建議的一部分的特定認(rèn)證算法。用于形成子SA的建議列表與基于該消息交換而推導(dǎo)出的另一 SA有關(guān)���,且該組流量選擇符為建議的子SA定義流量策略���。遠(yuǎn)程訪問(wèn)客戶端102隨后將包括未加密標(biāo)頭和加密數(shù)據(jù)的IKE_AUTH消息發(fā)送到VPN軟件處理組件301 (步驟12.4)。響應(yīng)接收IKE_AUTH消息����,VPN軟件處理組件301解密認(rèn)證數(shù)據(jù)�,并驗(yàn)證認(rèn)證數(shù)據(jù)��。在認(rèn)證數(shù)據(jù)未被成功驗(yàn)證的情況下����,VPN軟件處理組件301拒絕對(duì)在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間建立SA的請(qǐng)求。在遠(yuǎn)程訪問(wèn)客戶端102的認(rèn)證數(shù)據(jù)被成功驗(yàn)證的情況下���,VPN軟件處理組件301將包括密鑰數(shù)據(jù)���、遠(yuǎn)程訪問(wèn)客戶端ID、用于形成子SA (SA.2)的建議和一組流量選擇符(TSpTSr)的消息發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)(步驟12.6和步驟12.8)��。在私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)是網(wǎng)關(guān)103的設(shè)置中�,網(wǎng)關(guān)103響應(yīng)從VPN軟件處理組件301接收消息,基于建議和一組流量選擇符來(lái)推導(dǎo)出用于子SA的密鑰生成資料��。用于子SA的密鑰生成資料如下推導(dǎo):KEYMAT=prf+ (SK_d, Noncei I Noncer)網(wǎng)關(guān)103也基于遠(yuǎn)程訪問(wèn)客戶端102與VPN軟件處理組件301之間協(xié)定的認(rèn)證算法來(lái)推導(dǎo)出與私有網(wǎng)絡(luò)105有關(guān)的認(rèn)證數(shù)據(jù)���。網(wǎng)關(guān)103隨后利用密鑰SK_er來(lái)加密私有網(wǎng)絡(luò)ID�����、私有網(wǎng)絡(luò)證書(shū)��、私有網(wǎng)絡(luò)認(rèn)證數(shù)據(jù)���、從與子SA (SAr2)有關(guān)的建議列表選出的建議以及一組子SA流量選擇符(TSp TSr),并在消息IKE_AUTH_RESP中將加密數(shù)據(jù)發(fā)送到VPN軟件處理組件301 (步驟12.9)����。
響應(yīng)接收IKE_AUTH_RESP消息�����,VPN軟件處理組件301將消息轉(zhuǎn)發(fā)到遠(yuǎn)程訪問(wèn)客戶端102�����,遠(yuǎn)程訪問(wèn)客戶端102隨后基于包括的認(rèn)證數(shù)據(jù)來(lái)認(rèn)證私有網(wǎng)絡(luò)105��,并推導(dǎo)出子SA (步驟 12.10)�����。在私有網(wǎng)絡(luò)105被遠(yuǎn)程訪問(wèn)客戶端102成功認(rèn)證的情況下��,私有網(wǎng)絡(luò)105和遠(yuǎn)程訪問(wèn)客戶端105經(jīng)由代理協(xié)商方(即全局服務(wù)器201)已成功建立初始SA和子SA���。通信主機(jī)(S卩���,遠(yuǎn)程訪問(wèn)客戶端102和私有網(wǎng)絡(luò)105)的成功認(rèn)證以及與初始SA有關(guān)的密鑰數(shù)據(jù)的產(chǎn)生標(biāo)志著在IKE第I版本和第2版本兩者中的IKE消息交換的第I階段結(jié)束。除成功認(rèn)證和密鑰數(shù)據(jù)的產(chǎn)生之外��,IKE v2也產(chǎn)生子SA����。然而,應(yīng)當(dāng)理解����,遠(yuǎn)程訪問(wèn)客戶端102的認(rèn)證不包括認(rèn)證用戶,當(dāng)發(fā)起對(duì)安全連接的請(qǐng)求時(shí)����,用戶處于遠(yuǎn)程訪問(wèn)客戶端102的控制之下。用戶認(rèn)證可由私有網(wǎng)絡(luò)105內(nèi)的任何實(shí)體(諸如服務(wù)器104或網(wǎng)關(guān)104)或外部信任實(shí)體(諸如全局服務(wù)器201)來(lái)進(jìn)行���。用戶認(rèn)證可使用合適的認(rèn)證協(xié)議來(lái)執(zhí)行�����,諸如IKE內(nèi)的擴(kuò)展認(rèn)證(XAUTH)�����。XAUTH機(jī)制在題為“IKE內(nèi)的擴(kuò)展認(rèn)證(XAUTH) (Extended Authentication within IKE (XAUTH))”的 IETF 互聯(lián)網(wǎng)草案中被描述�����,將其內(nèi)容結(jié)合于此供參考�����。在全局服務(wù)器201負(fù)責(zé)認(rèn)證處于遠(yuǎn)程訪問(wèn)客戶端102的控制下的用戶的設(shè)置中��,VPN軟件處理組件301響應(yīng)成功認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102��,請(qǐng)求用戶認(rèn)證憑據(jù)��,諸如用戶名和口令����。對(duì)用戶認(rèn)證的請(qǐng)求可捎帶有包括私有網(wǎng)絡(luò)105的認(rèn)證數(shù)據(jù)的消息����,諸如在步驟
6.8、步驟7.8�、步驟8.8����、步驟9.10��、步驟10.10�����、步驟11.3和步驟12.10處的消息���,或者對(duì)用戶認(rèn)證憑據(jù)的請(qǐng)求可由VPN軟件處理組件301在私有網(wǎng)絡(luò)105認(rèn)證數(shù)據(jù)的發(fā)送之后的任何階段發(fā)送�。響應(yīng)接收對(duì)認(rèn)證憑據(jù)的請(qǐng)求����,遠(yuǎn)程訪問(wèn)客戶端102獲取用戶認(rèn)證憑據(jù),并將所獲取的用戶憑據(jù)發(fā)送到VPN軟件處理組件301�。VPN軟件處理組件301驗(yàn)證所接收的用戶認(rèn)證憑據(jù),并將認(rèn)證結(jié)果發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102����,遠(yuǎn)程訪問(wèn)客戶端102可發(fā)送確認(rèn)認(rèn)證結(jié)果的另一消息。在用戶被成功認(rèn)證的情況下��,VPN軟件處理組件301允許來(lái)自遠(yuǎn)程訪問(wèn)客戶端102的用戶的對(duì)安全連接的請(qǐng)求,并將包括認(rèn)證結(jié)果的消息發(fā)送到私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)���。由于這些消息在初始SA建立之后被交換����,所以這些消息通過(guò)來(lái)自與初始SA有關(guān)的密鑰數(shù)據(jù)的密鑰SKEYDI_E����、SK_er或SK_ei中的一個(gè)來(lái)加密。在另一設(shè)置中����,網(wǎng)關(guān)103負(fù)責(zé)認(rèn)證處于遠(yuǎn)程訪問(wèn)客戶端102的控制下的用戶。這現(xiàn)將參照?qǐng)D13來(lái)描述:網(wǎng)關(guān)103響應(yīng)從VPN軟件處理組件301接收密鑰數(shù)據(jù)�,在步驟13.1處發(fā)送對(duì)用戶認(rèn)證憑據(jù)的請(qǐng)求。用于認(rèn)證用戶的消息交換通過(guò)來(lái)自與初始SA有關(guān)的密鑰數(shù)據(jù)的密鑰SKEYDI_e�、SK_er或SK_ei中的一個(gè)來(lái)加密。該請(qǐng)求在VPN軟件處理組件301處接收��,VPN軟件處理組件301還將請(qǐng)求發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102���。遠(yuǎn)程訪問(wèn)客戶端102從用戶獲取用戶認(rèn)證憑據(jù)�����,并在步驟13.3處將所獲取的用戶憑據(jù)發(fā)送到VPN軟件處理組件301��。在步驟13.4處�����,VPN軟件處理組件301將加密認(rèn)證憑據(jù)中繼到網(wǎng)關(guān)103����。網(wǎng)關(guān)103隨后驗(yàn)證處于遠(yuǎn)程訪問(wèn)客戶端102的控制下的用戶的認(rèn)證憑據(jù)��,且若成功驗(yàn)證�,則網(wǎng)關(guān)103允許由遠(yuǎn)程訪問(wèn)客戶端102的用戶的安全連接請(qǐng)求。在步驟13.5處�����,網(wǎng)關(guān)103隨后經(jīng)由VPN軟件處理組件301將包括認(rèn)證結(jié)果的消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102��。在步驟13.7處���,遠(yuǎn)程訪問(wèn)客戶端102確認(rèn)認(rèn)證結(jié)果��。在遠(yuǎn)程訪問(wèn)客戶端102的用戶以及遠(yuǎn)程訪問(wèn)客戶端102被成功認(rèn)證的情況下�����,通信主機(jī)102�、105隨后發(fā)起消息交換以建立其他SA。應(yīng)當(dāng)理解����,根據(jù)IKE第2版本,另一 SA或子SA被建立為初始SA消息交換的一部分�。然而,如上述所討論��,IPSEC安全連接需要建立至少兩個(gè)其他SA���。因此����,根據(jù)IKE第I版本和第2版本��,通信主機(jī)102����、105協(xié)商至少一個(gè)其他SA。為在具有動(dòng)態(tài)IP地址的遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間實(shí)施IPSecVPN,網(wǎng)關(guān)103上的IPSec策略將必須被動(dòng)態(tài)管理���。這是因?yàn)?��,每?dāng)給定遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105建立安全連接時(shí),給定遠(yuǎn)程訪問(wèn)客戶端102的IP地址將改變�。然而,IPSec策略的動(dòng)態(tài)管理可通過(guò)向給定的所認(rèn)證的遠(yuǎn)程訪問(wèn)客戶端102提供根據(jù)私有網(wǎng)絡(luò)105的連接設(shè)定來(lái)避免���。例如�����,根據(jù)私有網(wǎng)絡(luò)105的內(nèi)部IP地址范圍�����,具有IP地址“192.168.0.25”的給定遠(yuǎn)程訪問(wèn)客戶端被提供新IP地址“150.0.0.2”��。由于私有網(wǎng)絡(luò)105的策略管理實(shí)體(諸如防火墻106)已知內(nèi)部IP地址范圍����,所以在具有未在私有網(wǎng)絡(luò)105的內(nèi)部IP地址范圍內(nèi)的IP地址的給定遠(yuǎn)程訪問(wèn)客戶端102的成功認(rèn)證之后�����,私有網(wǎng)絡(luò)的策略管理實(shí)體將不必動(dòng)態(tài)改變。該連接設(shè)定的分配可在初始SA建立之后的任何階段執(zhí)行����。在題為“ ISAKMP配置方法”的IETF互聯(lián)網(wǎng)草案中描述的已知的模式配置消息交換可被用于根據(jù)私有網(wǎng)絡(luò)105來(lái)推動(dòng)連接設(shè)定;該消息交換可被用于為遠(yuǎn)程訪問(wèn)客戶端102提供設(shè)定��,諸如私有網(wǎng)絡(luò)105的內(nèi)部IP地址范圍(上文所述)以及私有網(wǎng)絡(luò)DNS服務(wù)器的IP地址����。圖14示出了用于根據(jù)IKE第I版本的另一 SA建立的消息交換。與第I階段IKE第I版本一樣�,用于建立另一 SA的消息交換、第2階段消息交換或快速模式消息交換可由通信主機(jī)102�、105中的任一個(gè)發(fā)起。在由遠(yuǎn)程訪問(wèn)客戶端102發(fā)起用于建立另一 SA的消息交換的設(shè)置中�����,遠(yuǎn)程訪問(wèn)客戶端102準(zhǔn)備第一消息,該第一消息包括用于建立另一 SA的建議列表以及發(fā)起方隨機(jī)數(shù)(Nonce2i)0若期望完全正向保密(PFS)�,則第2階段消息交換提供迪菲-赫爾曼密鑰交換的選擇,如第I階段中����。在期望PFS的情況下,第一消息還包括發(fā)起方密鑰(KE2iX第2階段消息交換可由代表通信主機(jī)的代理協(xié)商方(諸如全局服務(wù)器201)來(lái)執(zhí)行�。在第2階段消息交換由代理協(xié)商方執(zhí)行的情況下����,第一消息還包括遠(yuǎn)程訪問(wèn)客戶端102的身份(IDui)和/或相應(yīng)的通信主機(jī)的身份(IDm)�����。遠(yuǎn)程訪問(wèn)客戶端隨后利用來(lái)自相應(yīng)初始SA的密鑰數(shù)據(jù)的密鑰SKEHD_e來(lái)加密SA建議列表����、發(fā)起方隨機(jī)數(shù)�����、發(fā)起方密鑰(如果包括)和遠(yuǎn)程訪問(wèn)客戶端ID (如果包括)��。第一消息還包括第一散列����,第一散列如下產(chǎn)生:Hash1=PrfXSKEYID_a,消息-1D I SAProposal I Nonce2i I [KE2i I IDui I IDur])其中,括弧“[]”中的參數(shù)是可選的���,且若它們已包括在第一消息中�����,則僅包括在產(chǎn)生中����,以及KE2i包括發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值。遠(yuǎn)程訪問(wèn)客戶端102還將標(biāo)頭附加到第一消息���,并經(jīng)由VPN軟件處理組件301將第一消息發(fā)送到私有網(wǎng)絡(luò)105��。在網(wǎng)關(guān)103是私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)的設(shè)置中�����,在步驟14.2處���,VPN軟件處理組件301將第一消息路由到網(wǎng)關(guān)103。響應(yīng)接收第一消息�����,網(wǎng)關(guān)103解密第一消息的內(nèi)容�����,并使用第一散列來(lái)認(rèn)證第一消息。在消息被成功認(rèn)證的情況下�,網(wǎng)關(guān)103利用來(lái)自相應(yīng)的初始SA的密鑰數(shù)據(jù)的密鑰SKEHD_e來(lái)加密從第一消息中的SA建議列表選出的SA建議(SAChoice)、響應(yīng)方隨機(jī)數(shù)(Nonce2i)�、響應(yīng)方密鑰(KE2,)(如果發(fā)起方密鑰包括在第一消息中)以及遠(yuǎn)程訪問(wèn)客戶端102的ID (IDui)和私有網(wǎng)絡(luò)105的ID (IDur)(如果ID數(shù)據(jù)包括在第一消息中)。網(wǎng)關(guān)103將第二散列和加密數(shù)據(jù)添加到第二消息����,第二散列(Hash2)如下產(chǎn)生:Hash2=prf( SKEYID_a,消息-1D I Nonce2i I SAChoice I Nonce2r I [KE2i I IDui IIDurD其中�,KE2i包括發(fā)起方密鑰和響應(yīng)方密鑰的公開(kāi)值。網(wǎng)關(guān)103還將標(biāo)頭添加到第二消息�,并在步驟14.3處經(jīng)由VPN軟件處理組件301將第二消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102。響應(yīng)接收第二消息��,遠(yuǎn)程訪問(wèn)客戶端102解密第二消息的加密數(shù)據(jù)��,并使用第二散列來(lái)認(rèn)證第二消息��。在第二消息被成功認(rèn)證的情況下��,遠(yuǎn)程訪問(wèn)客戶端102如下產(chǎn)生第三散列(Hash3):Hash3=Prf (SKEYID_a, 0 I 消息-1D I Nonce2i I Nonce2r)遠(yuǎn)程訪問(wèn)客戶端102將第三散列添加到第三消息�����,并在步驟14.5處經(jīng)由VPN軟件處理組件301將第三消息發(fā)送到網(wǎng)關(guān)103�����。在上述消息交換成功的情況下�����,通信主機(jī)102���、105 (即�����,遠(yuǎn)程訪問(wèn)客戶端102和網(wǎng)關(guān)103)產(chǎn)生用于確保在協(xié)商的另一 SA下發(fā)送的通信安全的密鑰�����。用于該產(chǎn)生的SA的密鑰為: KEYMAT=prf (SKEYID_d, [KE2iKE2J I 協(xié)議 I SPI I Nonce2i I Nonce2r)其中�,SPI為安全性參數(shù)索引�����,以及KE2iKE^為共享秘密����。在密鑰KE2i和KE&在第2階段消息交換期間未被交換的情況下,來(lái)自第I階段消息交換的發(fā)起方密鑰(KEi)和響應(yīng)方密鑰(KEJ被用于產(chǎn)生密鑰KEYMAT。一旦已產(chǎn)生KEYMAT����,即認(rèn)為建立了另一 SA。圖15示出了用于根據(jù)IKE第2版本建立子SA的消息交換����。用于建立另一子SA的消息交換或第2階段消息交換可由通信主機(jī)102、105中的任一個(gè)發(fā)起����。在由遠(yuǎn)程訪問(wèn)客戶端102發(fā)起第2階段消息交換的設(shè)置中,遠(yuǎn)程訪問(wèn)客戶端102利用來(lái)自相應(yīng)的初始SA的密鑰數(shù)據(jù)的密鑰SK_ei來(lái)加密數(shù)據(jù)�,該數(shù)據(jù)包括用于建立另一 SA的建議列表、用于形成另一新SA的指示(N)�、發(fā)起方隨機(jī)數(shù)(Nonce2i)和用于要?jiǎng)?chuàng)建的另一SA的一組流量選擇符(TS1、TSr)o在步驟12.4和步驟12.8處����,在基于通信主機(jī)102����、105之間協(xié)定的算法來(lái)創(chuàng)建另一 SA的情況下,用于形成另一新SA的指示以及一組流量選擇符不包括在加密數(shù)據(jù)中���。在期望PFS的情況下����,加密數(shù)據(jù)還包括發(fā)起方密鑰(KE2i)。遠(yuǎn)程訪問(wèn)客戶端102隨后產(chǎn)生包括標(biāo)頭和加密數(shù)據(jù)的第一消息��,并在步驟15.1處將第一消息發(fā)送到VPN軟件處理組件301�����。在私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)是網(wǎng)關(guān)103的設(shè)置中�����,在步驟15.2處����,VPN軟件處理組件301將第一消息發(fā)送到網(wǎng)關(guān)103。響應(yīng)接收第一消息�,網(wǎng)關(guān)103解密加密的數(shù)據(jù),并通過(guò)驗(yàn)證對(duì)另一新SA的請(qǐng)求是否已包括在消息中來(lái)確定該請(qǐng)求是否與另一新SA的建立有關(guān)����。在第一消息與建立另一新SA的請(qǐng)求無(wú)關(guān)的情況下,網(wǎng)關(guān)103利用來(lái)自與初始SA有關(guān)的密鑰數(shù)據(jù)的密鑰SK_er來(lái)加密數(shù)據(jù)�����,該數(shù)據(jù)包括響應(yīng)方隨機(jī)數(shù)(NonCe&)、響應(yīng)方密鑰(KE&)(如果發(fā)起方密鑰包括在第一消息中)和從SA建議列表選出的SA建議(SAChoice)��。在第一消息與建立另一新SA的請(qǐng)求有關(guān)的情況下�,由網(wǎng)關(guān)103產(chǎn)生的加密數(shù)據(jù)還包括一組流量選擇符(TS1、TSr )���。
網(wǎng)關(guān)103隨后產(chǎn)生包括所產(chǎn)生的加密數(shù)據(jù)和標(biāo)頭的第二消息�����,并經(jīng)由VPN軟件處理組件301將第二消息發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102�����。在遠(yuǎn)程訪問(wèn)客戶端102處第二消息的成功接收標(biāo)志著第2階段消息交換的結(jié)束���。通信主機(jī)102、105隨后計(jì)算用于確保在創(chuàng)建的另一 SA下發(fā)送的數(shù)據(jù)安全的密鑰���。在不期望PFS的情況下,用于創(chuàng)建的另一 SA的密鑰如下產(chǎn)生:KEYMAT=prf (SK_d I Nonce2i I Nonce2r)在期望PFS的情況下�,用于創(chuàng)建的另一 SA的密鑰如下產(chǎn)生:KEYMAT=prf+ (SK_d, KE2iKE2r, Nonce2i I Nonce2r)其中����,KE2iKE&為共享秘密�����。轉(zhuǎn)到圖16�����,描述了向授權(quán)用戶提供對(duì)由私有網(wǎng)絡(luò)105內(nèi)的實(shí)體提供的服務(wù)的安全訪問(wèn)的處理的概覽����。如上所討論,VPN軟件處理組件301認(rèn)證入站請(qǐng)求以從遠(yuǎn)程訪問(wèn)客戶端102建立加密通信信道�,且在遠(yuǎn)程訪問(wèn)客戶端102被成功認(rèn)證的情況下,VPN軟件處理組件301將控制交付給私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)���,從而易于認(rèn)證訪問(wèn)由私有網(wǎng)絡(luò)105提供的服務(wù)�����。在步驟1601處���,全局服務(wù)器201接收對(duì)通過(guò)建立初始SA的方式建立加密通信信道���、初始SA或安全連接的請(qǐng)求。初始SA將由VPN軟件處理組件301和遠(yuǎn)程訪問(wèn)客戶端102使用圖6至圖12中描述的處理來(lái)建立�。響應(yīng)接收請(qǐng)求,VPN軟件處理組件301基于指定遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間的關(guān)系的數(shù)據(jù)來(lái)確定入站請(qǐng)求對(duì)應(yīng)于私有網(wǎng)絡(luò)105����,即私有網(wǎng)絡(luò)105為終止終端。指定遠(yuǎn)程訪問(wèn)客戶端102和私有網(wǎng)絡(luò)105之間的關(guān)系的數(shù)據(jù)由全局服務(wù)器201存儲(chǔ)于數(shù)據(jù)庫(kù)DBl或內(nèi)部存儲(chǔ)器中�。指定關(guān)系的數(shù)據(jù)另外識(shí)別私有網(wǎng)絡(luò)的實(shí)際存在點(diǎn),諸如網(wǎng)關(guān)103和服務(wù)器104�。在至少一些實(shí)施方式中,全局服務(wù)器201還包括策略管理器302����。策略管理器302被設(shè)置為例如基于某些預(yù)定條件來(lái)選擇性執(zhí)行加密通信建立處理。預(yù)定條件通過(guò)基于除認(rèn)證參數(shù)之外的標(biāo)準(zhǔn)而選擇性允許入站安全連接請(qǐng)求來(lái)擴(kuò)展全局服務(wù)器201的能力���。一種該預(yù)定條件取決于是否已針對(duì)惡意軟件的存在性而掃描給定遠(yuǎn)程訪問(wèn)客戶端102�。在尚未針對(duì)惡意軟件的存在性而掃描給定遠(yuǎn)程訪問(wèn)客戶端102的情況下����,拒絕源自給定遠(yuǎn)程訪問(wèn)客戶端102的請(qǐng)求。策略管理器302還可確保惡意軟件掃描結(jié)果與私有網(wǎng)絡(luò)105的策略兼容����。在結(jié)果不兼容的情況下,VPN軟件處理組件301被設(shè)置為拒絕建立初始SA的入站請(qǐng)求�。如上所討論,VPN軟件處理組件301維護(hù)對(duì)來(lái)自給定遠(yuǎn)程訪問(wèn)客戶端102的安全連接請(qǐng)求結(jié)果的記錄�。策略管理器302使用識(shí)別與給定遠(yuǎn)程訪問(wèn)客戶端102有關(guān)的結(jié)果的數(shù)據(jù)來(lái)驗(yàn)證基于識(shí)別源自給定遠(yuǎn)程訪問(wèn)客戶端102的先前對(duì)安全連接的請(qǐng)求結(jié)果的數(shù)據(jù)是否應(yīng)允許對(duì)另一安全連接的請(qǐng)求。例如���,私有網(wǎng)絡(luò)105可利用少于的三次建立安全連接的先前失敗嘗試來(lái)限制訪問(wèn)遠(yuǎn)程訪問(wèn)客戶端102�。在遠(yuǎn)程訪問(wèn)客戶端102是便攜式裝置(諸如移動(dòng)電話或膝上型計(jì)算機(jī))的情況下�,策略也可包括驗(yàn)證便攜式裝置是否不在識(shí)別丟失或被盜便攜式終端的列表上。應(yīng)當(dāng)理解����,除認(rèn)證遠(yuǎn)程訪問(wèn)客戶端102之外,策略管理器302擴(kuò)展了與給定安全連接請(qǐng)求相關(guān)聯(lián)的給定遠(yuǎn)程訪問(wèn)客戶端102的授權(quán)�����。與入站安全連接請(qǐng)求的監(jiān)督有關(guān)的策略可被調(diào)整為給定終止終端(諸如私有網(wǎng)絡(luò)105)的策略�����。在遠(yuǎn)程訪問(wèn)客戶端102滿足私有網(wǎng)絡(luò)105的策略且在步驟1602處被成功認(rèn)證的情況下�����,VPN軟件處理組件301通過(guò)與遠(yuǎn)程訪問(wèn)客戶端102建立初始SA且產(chǎn)生密鑰數(shù)據(jù)或密鑰生成數(shù)據(jù)來(lái)允許入站請(qǐng)求,密鑰數(shù)據(jù)或密鑰生成數(shù)據(jù)包括與所接收的安全連接請(qǐng)求有關(guān)的一組密鑰���。如上所討論���,VPN軟件處理組件301基于認(rèn)證參數(shù)(諸如根據(jù)圖6實(shí)例的Authi)來(lái)認(rèn)證與入站的對(duì)安全連接的請(qǐng)求相關(guān)聯(lián)的遠(yuǎn)程訪問(wèn)客戶端102。從以上討論應(yīng)當(dāng)理解���,用于認(rèn)證給定遠(yuǎn)程訪問(wèn)客戶端102的認(rèn)證參數(shù)可包括在安全連接的入站請(qǐng)求中�����,即密鑰交換發(fā)起消息�,或者可在由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送的另一密鑰交換消息中被發(fā)送到VPN軟件處理組件301���。從與圖6有關(guān)的討論也應(yīng)當(dāng)理解���,密鑰數(shù)據(jù)可由VPN軟件處理組件301基于包括在對(duì)加密通信信道的請(qǐng)求發(fā)起消息或由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送到VPN軟件處理組件301的另一消息中的數(shù)據(jù)來(lái)產(chǎn)生。響應(yīng)成功產(chǎn)生與加密通信信道的入站請(qǐng)求有關(guān)的密鑰數(shù)據(jù)��,VPN軟件處理組件301被設(shè)置為將所產(chǎn)生的與給定的對(duì)加密通信信道的入站請(qǐng)求相關(guān)聯(lián)的密鑰數(shù)據(jù)傳遞到被識(shí)別為與加密通信信道的入站請(qǐng)求相關(guān)聯(lián)的終止終端。在加密通信信道的入站請(qǐng)求被識(shí)別為與私有網(wǎng)絡(luò)105相關(guān)聯(lián)的設(shè)置中���,VPN軟件處理組件301識(shí)別與私有網(wǎng)絡(luò)105相關(guān)聯(lián)的實(shí)際存在點(diǎn)�,諸如網(wǎng)關(guān)103或服務(wù)器104���。在另一設(shè)置中,諸如在網(wǎng)關(guān)103被識(shí)別為與私有網(wǎng)絡(luò)105相關(guān)聯(lián)的實(shí)際存在點(diǎn)的情況下��,VPN軟件處理組件301將與所允許的加密通信信道的入站請(qǐng)求有關(guān)的密鑰數(shù)據(jù)發(fā)送到網(wǎng)關(guān)103�。響應(yīng)接收密鑰數(shù)據(jù),網(wǎng)關(guān)103利用來(lái)自所接收的密鑰數(shù)據(jù)的密鑰來(lái)加密發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102的任何數(shù)據(jù)包���。應(yīng)當(dāng)理解�,由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送到網(wǎng)關(guān)103的任何數(shù)據(jù)包基于來(lái)自密鑰數(shù)據(jù)的密鑰來(lái)加密���,且網(wǎng)關(guān)103使用來(lái)自所接收的密鑰數(shù)據(jù)的密鑰來(lái)解密從遠(yuǎn)程訪問(wèn)客戶端102接收的加密數(shù)據(jù)包的內(nèi)容�����。在另一設(shè)置中��,諸如在網(wǎng)關(guān)103和遠(yuǎn)程訪問(wèn)客戶端102需要協(xié)商的其他SA的情況下��,網(wǎng)關(guān)103響應(yīng)接收密鑰數(shù)據(jù)����,參與與遠(yuǎn)程訪問(wèn)客戶端102的消息交換以建立用于保護(hù)在私有網(wǎng)絡(luò)105與遠(yuǎn)程訪問(wèn)客戶端102之間傳送的數(shù)據(jù)的其他SA。網(wǎng)關(guān)103基于由VPN軟件處理組件301提供的密鑰數(shù)據(jù)來(lái)確保作為用于建立其他SA的消息交換的一部分而被發(fā)送到遠(yuǎn)程訪問(wèn)客戶端102的消息安全���。從與圖6至圖12有關(guān)的段落應(yīng)當(dāng)理解��,遠(yuǎn)程訪問(wèn)客戶端102在初始SA建立期間已產(chǎn)生密鑰數(shù)據(jù)�����,且也基于該密鑰數(shù)據(jù)來(lái)確保發(fā)送到網(wǎng)關(guān)103的消息安全�����。由于經(jīng)由全局服務(wù)器201在私有網(wǎng)絡(luò)105與遠(yuǎn)程訪問(wèn)客戶端102之間建立了初始SA���,所以基于與初始SA有關(guān)的密鑰數(shù)據(jù)來(lái)確保安全的通信消息也可訪問(wèn)全局服務(wù)器201。因此����,協(xié)商其他SA的好處在于,全局服務(wù)器201不訪問(wèn)為確保在該另一 SA下傳送的數(shù)據(jù)安全而開(kāi)發(fā)的通信密鑰���。此外�,安全連接協(xié)議(諸如IPsec)需要至少兩個(gè)單向SA來(lái)通信,因此在這種協(xié)議下對(duì)于傳遞數(shù)據(jù)需要另一 SA建立�。在遠(yuǎn)程訪問(wèn)客戶端102與私有網(wǎng)絡(luò)105之間已建立安全連接的情況下,在安全連接上由遠(yuǎn)程訪問(wèn)客戶端102發(fā)送到私有網(wǎng)絡(luò)105的消息首先在VPN軟件處理組件301處接收��,VPN軟件處理組件301隨后將消息發(fā)送到所識(shí)別的私有網(wǎng)絡(luò)105的實(shí)際存在點(diǎn)���。VPN軟件處理組件301也負(fù)責(zé)將源自私有網(wǎng)絡(luò)105的另一消息路由到相應(yīng)的遠(yuǎn)程訪問(wèn)客戶端102�����。因此,VPN軟件處理組件301接收在安全連接上發(fā)送的消息���,并基于識(shí)別在給定加密通信信道與給定發(fā)起終端和給定終止終端之間的關(guān)系的數(shù)據(jù)來(lái)路由所接收的加密數(shù)據(jù)包�����。VPN軟件處理組件301可將識(shí)別給定加密通信信道與給定發(fā)起終端和給定終止終端之間的關(guān)系的數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)或內(nèi)部存儲(chǔ)器中�??商娲兀琕PN軟件處理組件301可從上述ISAKMP抗堵塞cookie獲得識(shí)別給定加密通信信道與給定發(fā)起終端和給定終止終端之間的關(guān)系的數(shù)據(jù)���。如上所討論��,可從IKE消息的標(biāo)頭獲得ISAKMP抗堵塞cookie����。在另一實(shí)施方式中,策略管理器302被設(shè)置為基于某些預(yù)定通信條件來(lái)選擇性執(zhí)行所接收的加密數(shù)據(jù)包的發(fā)送�。例如,若所接收的加密數(shù)據(jù)包滿足預(yù)定通信條件��,則在所建立的安全連接上接收到的加密數(shù)據(jù)包被發(fā)送到相應(yīng)的私有網(wǎng)絡(luò)105���。在一種設(shè)置中����,通信條件取決于所接收的加密數(shù)據(jù)包的完整性����。策略管理器302可驗(yàn)證加密數(shù)據(jù)包的未加密標(biāo)頭的完整性,以驗(yàn)證給定的所接收的加密數(shù)據(jù)包是否滿足基于通信條件來(lái)確定的完整性要求�����。通信條件對(duì)于終止終端是特定的��,且被存儲(chǔ)于全局服務(wù)器201的數(shù)據(jù)庫(kù)DBl中或內(nèi)部存儲(chǔ)器中。若所接收的加密數(shù)據(jù)包滿足通信條件����,則VPN軟件處理組件301將加密數(shù)據(jù)包發(fā)送到相應(yīng)的私有網(wǎng)絡(luò)。然而�����,若不滿足通信條件����,則所接收的加密數(shù)據(jù)包被丟棄。在至少一些實(shí)施方式中�����,全局服務(wù)器201還包括中間件組件303����。中間件組件303被設(shè)置為根據(jù)所識(shí)別的終止終端(諸如私有網(wǎng)絡(luò)105)的通信協(xié)議來(lái)轉(zhuǎn)換所接收的加密數(shù)據(jù)包的協(xié)議��。在所接收的加密數(shù)據(jù)包被確定為基于與相關(guān)聯(lián)的私有網(wǎng)絡(luò)105的通信協(xié)議不同的協(xié)議的情況下�,中間件組件303被設(shè)置為使用第二通信協(xié)議來(lái)產(chǎn)生第二加密數(shù)據(jù)包,使得第二通信協(xié)議與所接收的加密數(shù)據(jù)包的第一通信協(xié)議不同���。中間件組件303隨后將第二加密數(shù)據(jù)包發(fā)送到所識(shí)別的終止終端����,諸如私有網(wǎng)絡(luò)105。若所接收的加密數(shù)據(jù)包的另一通信協(xié)議與遠(yuǎn)程訪問(wèn)客戶端102的通信協(xié)議不同�,則中間件組件303還被設(shè)置為響應(yīng)從私有網(wǎng)絡(luò)105接收加密數(shù)據(jù)包,根據(jù)遠(yuǎn)程訪問(wèn)客戶端102的通信協(xié)議來(lái)產(chǎn)生另一加密數(shù)據(jù)包�����。若密鑰交換消息的通信協(xié)議不同于與所接收的密鑰交換消息相關(guān)聯(lián)的所識(shí)別的終止終端的另一通信協(xié)議�����,則中間件組件303也被設(shè)置為產(chǎn)生另一密鑰交換消息��。中間件組件303也被設(shè)置為去除在給定數(shù)據(jù)包中與相應(yīng)通信主機(jī)不兼容的任何實(shí)施特定參數(shù)�。例如,若廠商在網(wǎng)關(guān)103中實(shí)施與遠(yuǎn)程訪問(wèn)客戶端102的客戶端軟件不兼容的廠商特定IKE消息����,則中間件組件303去除任何這種不一致字段,以確保由通信主機(jī)接收到的數(shù)據(jù)包與在通信主機(jī)終端處的安全連接的特定實(shí)施兼容�����。如上所述,VPN軟件處理組件301將加密數(shù)據(jù)包路由到相應(yīng)的通信主機(jī)��,如由識(shí)別通信主機(jī)102�����、105之間的關(guān)系的數(shù)據(jù)來(lái)識(shí)別�。在VPN軟件處理組件301無(wú)法將數(shù)據(jù)包傳遞到相應(yīng)的通信主機(jī)或終止終端的情況下,VPN軟件處理組件301響應(yīng)預(yù)定事件����,可嘗試重新發(fā)送加密數(shù)據(jù)包。在預(yù)定事件與來(lái)自給定的相應(yīng)通信主機(jī)的指示有關(guān)的設(shè)置中����,所述指示表明給定的相應(yīng)通信主機(jī)能夠接收所接收的加密數(shù)據(jù)包。響應(yīng)暫時(shí)連接問(wèn)題�,諸如在移動(dòng)裝置上由給定的相應(yīng)通信主機(jī)經(jīng)歷的暫時(shí)接收丟失�,可產(chǎn)生該指示。預(yù)定事件也可與經(jīng)過(guò)指定時(shí)間段有關(guān)�。當(dāng)遠(yuǎn)程訪問(wèn)客戶端102是被配置為根據(jù)下一代無(wú)線通信來(lái)通信的移動(dòng)通信裝置時(shí),遠(yuǎn)程訪問(wèn)客戶端102與當(dāng)前接入點(diǎn)相關(guān)聯(lián)��,使得當(dāng)前接入點(diǎn)將遠(yuǎn)程訪問(wèn)客戶端102的當(dāng)前關(guān)聯(lián)點(diǎn)識(shí)別為通信網(wǎng)絡(luò)101����。這種遠(yuǎn)程訪問(wèn)客戶端102與歸屬代理相關(guān)聯(lián)�,歸屬代理可經(jīng)由通信網(wǎng)絡(luò)101訪問(wèn)且被設(shè)置為保持與遠(yuǎn)程訪問(wèn)客戶端102有關(guān)的數(shù)據(jù)���。在該設(shè)置中�����,VPN軟件處理組件301響應(yīng)從遠(yuǎn)程訪問(wèn)客戶端102接收加密通信信道請(qǐng)求�,基于源自歸屬代理的數(shù)據(jù)來(lái)認(rèn)證遠(yuǎn)程訪問(wèn)客戶端��。本領(lǐng)域眾所周知��,由于當(dāng)在安全連接上通信時(shí)給定移動(dòng)通信裝置可改變當(dāng)前接入點(diǎn)的事實(shí)���,這導(dǎo)致數(shù)據(jù)包無(wú)法傳遞�,直至改變的接入點(diǎn)被傳送到相應(yīng)節(jié)點(diǎn)�����,所以移動(dòng)通信裝置容易在安全連接上產(chǎn)生連接性問(wèn)題�。在該情況下,VPN軟件處理組件301可基于源自歸屬代理的數(shù)據(jù)來(lái)識(shí)別與移動(dòng)通信裝置相關(guān)聯(lián)的當(dāng)前接入點(diǎn)���。因此��,在給定移動(dòng)通信裝置改變接入點(diǎn)的情況下��,VPN軟件處理組件301基于源自歸屬代理的數(shù)據(jù)來(lái)確定改變的接入點(diǎn)��。在遠(yuǎn)程訪問(wèn)客戶端102是移動(dòng)通信裝置且給定加密數(shù)據(jù)包向遠(yuǎn)程訪問(wèn)客戶端102的傳遞已失敗的情況下��,VPN軟件處理組件301基于在歸屬代理處的可用性來(lái)嘗試重新發(fā)送給定加密數(shù)據(jù)包����,數(shù)據(jù)識(shí)別與遠(yuǎn)程訪問(wèn)客戶端102相關(guān)聯(lián)的新接入點(diǎn)。本文所述功能(例如�����,關(guān)于一個(gè)或多個(gè)附圖)在一些方面可對(duì)應(yīng)于在所附權(quán)利要求中類似指定的“用于…裝置”功能����。參照?qǐng)D17,全局服務(wù)器201被表示為一系列相互關(guān)聯(lián)的功能模塊��。圖17是示例性全局服務(wù)器201的功能框圖��。如圖所示��,全局服務(wù)器201可包括處理模塊1705����、存儲(chǔ)模塊1710、接收模塊1715����、發(fā)送模塊1720和驗(yàn)證模塊1725。處理模塊1705在一些方面可至少對(duì)應(yīng)于例如處理器和/或VPN處理軟件���,如本文所討論���。存儲(chǔ)模塊1710在一些方面可至少對(duì)應(yīng)于例如存儲(chǔ)器,如本文所討論�。產(chǎn)生的接收模塊1715在一些方面可至少對(duì)應(yīng)于例如處理器、接收器����、收發(fā)器和/或VPN處理軟件,如本文所討論����。發(fā)送模塊1720在一些方面可至少對(duì)應(yīng)于例如處理器、發(fā)送器、收發(fā)器和/或VPN處理軟件�,如本文所討論。驗(yàn)證模塊1725在一些方面可至少對(duì)應(yīng)于例如處理器和/或VPN處理軟件�。圖17的模塊的功能可以與本文教導(dǎo)相一致的各種方式來(lái)實(shí)施。在一些方面����,這些模塊的功能可被實(shí)施為一個(gè)或多個(gè)電氣組件。在一些方面����,這些模塊的功能可被實(shí)施為包括一個(gè)或多個(gè)處理器組件的處理系統(tǒng)。在一些方面�,這些模塊的功能可使用例如一個(gè)或多個(gè)集成電路(例如ASIC)中的至少一部分來(lái)實(shí)施。如本文所討論�,集成電路可包括處理器、軟件��、其他相關(guān)組件或它們的某個(gè)組合���。這`些模塊的功能也可以如本文教導(dǎo)的某個(gè)其他方式來(lái)實(shí)施�。上文所述的前述實(shí)例性實(shí)施方式可以許多方式來(lái)實(shí)施���,諸如用于由處理器執(zhí)行的程序指令���、邏輯電路��、專用集成電路、固件等��。例如����,實(shí)施方式可被實(shí)施為一個(gè)或多個(gè)軟件或固件應(yīng)用程序、計(jì)算機(jī)實(shí)施的方法��、存儲(chǔ)于計(jì)算機(jī)可用介質(zhì)上用于在一個(gè)或多個(gè)處理器(例如����,CPU、微控制器)或無(wú)線基站中的其他計(jì)算裝置上執(zhí)行的程序產(chǎn)品�����。上述實(shí)施方式應(yīng)被理解為本發(fā)明的說(shuō)明性實(shí)例���?����?稍O(shè)想本發(fā)明的其他實(shí)施方式�����。例如�����,當(dāng)本發(fā)明的實(shí)施方式已在單個(gè)網(wǎng)絡(luò)實(shí)體上實(shí)施時(shí)��,應(yīng)當(dāng)理解����,本發(fā)明的實(shí)施方式可在通過(guò)通信網(wǎng)絡(luò)互連的多個(gè)網(wǎng)絡(luò)實(shí)體上實(shí)施。也應(yīng)當(dāng)理解���,網(wǎng)絡(luò)實(shí)體的各種組件和裝置可常駐于一群?jiǎn)为?dú)實(shí)體上���,使得該群?jiǎn)为?dú)實(shí)體對(duì)于外部實(shí)體表現(xiàn)為單個(gè)實(shí)體。應(yīng)當(dāng)理解�,當(dāng)本發(fā)明的實(shí)施方式已基于密鑰交換協(xié)議來(lái)實(shí)施時(shí),本發(fā)明的實(shí)施方式可在任何加密通信信道設(shè)置處理上實(shí)施�,其中,發(fā)起終端的認(rèn)證可由代理協(xié)商方執(zhí)行�。應(yīng)當(dāng)理解�����,與任何一種實(shí)施方式相關(guān)來(lái)描述的任何特征可單獨(dú)或結(jié)合所述的其他特征來(lái)使用����,且也可結(jié)合任何其他實(shí)施方式中的一個(gè)或多個(gè)特征或者任何其他實(shí)施方式的任何組合來(lái)使用���。此外,在不脫離在所附權(quán)利要求中限定的本發(fā)明的范圍的情況下�,也可采 用上文未描述的等同物和變形例。
權(quán)利要求
1.一種用于向發(fā)起終端提供對(duì)由終止終端經(jīng)由通信網(wǎng)絡(luò)提供的服務(wù)的認(rèn)證訪問(wèn)的服務(wù)器�����,所述服務(wù)器包括通信模塊��,所述通信模塊用于接收和處理來(lái)自所述發(fā)起終端的密鑰交換發(fā)起消息以建立與所述終止終端的加密通信信道��,所述通信模塊響應(yīng)所接收的密鑰交換發(fā)起消息�,由此針對(duì)所述所接收的密鑰交換發(fā)起消息執(zhí)行加密通信建立處理,所述加密通信建立處理包括: ·1.認(rèn)證所述發(fā)起終端�����;以及 .在所述發(fā)起終端被成功認(rèn)證的情況下,將與所述所接收的密鑰交換發(fā)起消息相對(duì)應(yīng)的密鑰生成數(shù)據(jù)發(fā)送到所述終止終端�����,所述密鑰生成數(shù)據(jù)基于與所述發(fā)起終端相關(guān)聯(lián)的數(shù)據(jù)來(lái)識(shí)別�����。
2.根據(jù)權(quán)利要求1所述的服務(wù)器�,其中,所述認(rèn)證基于從所述發(fā)起終端接收到的另一消息來(lái)執(zhí)行���,所述另一消息包括認(rèn)證參數(shù)��。
3.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器��,其中����,所述終止終端基于指定了給定發(fā)起終端與給定終止終端之間的關(guān)系的數(shù)據(jù)來(lái)獲得����。
4.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器,其中���,所述密鑰生成數(shù)據(jù)基于包括在所述所接收的密鑰交換發(fā)起消息中的數(shù)據(jù)來(lái)獲得�。
5.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的服務(wù)器,其中�,所述密鑰生成數(shù)據(jù)基于包括在所述所接收的密鑰交換發(fā)起消息和另一消息中的數(shù)據(jù)來(lái)獲得,所述另一消息包括密鑰生成數(shù)據(jù)產(chǎn)生參數(shù)�����。
6.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器�����,其中���,所述服務(wù)器被配置為經(jīng)由安全通信信道將所述密鑰生成數(shù)據(jù)傳送到所述終止終端。
7.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器�,其中,所述服務(wù)器被配置為基于至少一個(gè)預(yù)定條件來(lái)選擇性執(zhí)行所述加密通信建立處理���,在滿足所述預(yù)定條件的情況下執(zhí)行所述加密通信建立處理���。
8.根據(jù)權(quán)利要求7所述的服務(wù)器,其中����,所述預(yù)定條件包括驗(yàn)證是否已針對(duì)惡意軟件的存在性而掃描所述發(fā)起終端����,在所述發(fā)起終端上已發(fā)生過(guò)所述掃描的情況下滿足所述預(yù)定條件�����。
9.根據(jù)權(quán)利要求7或8所述的服務(wù)器��,其中��,所述預(yù)定條件包括驗(yàn)證是否允許所述發(fā)起終端建立所述加密通信信道�。
10.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器,其中�,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下,且響應(yīng)在所述服務(wù)器處從所述發(fā)起終端接收加密數(shù)據(jù)包�,所述服務(wù)器被配置為經(jīng)由安全通信信道將所接收的加密數(shù)據(jù)包發(fā)送到所述終止終端。
11.根據(jù)權(quán)利要求10所述的服務(wù)器�,其中,所述服務(wù)器被配置為基于至少一個(gè)預(yù)定通信條件來(lái)選擇性執(zhí)行所述所接收的加密數(shù)據(jù)包向所述終止終端的發(fā)送����,在滿足所述預(yù)定通信條件的情況下,執(zhí)行所述所接收的加密數(shù)據(jù)包的所述發(fā)送�。
12.根據(jù)權(quán)利要求11所述的服務(wù)器��,其中���,所述預(yù)定通信條件包括驗(yàn)證所述所接收的加密數(shù)據(jù)包的完整性。
13.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器����,其中,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下�,且響應(yīng)從所述發(fā)起終端接收加密數(shù)據(jù)包,所述服務(wù)器被配置為使用與所述所接收的加密數(shù)據(jù)包的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生第二加密數(shù)據(jù)包�,并將所述第二加密數(shù)據(jù)包發(fā)送到所述終止終端。
14.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器���,其中,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下�����,且響應(yīng)從所述終止終端接收加密數(shù)據(jù)包�,所述服務(wù)器被配置為經(jīng)由所述加密通信信道將所述所接收的加密數(shù)據(jù)包發(fā)送到所述發(fā)起終端。
15.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器�����,其中,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下����,且響應(yīng)從所述終止終端接收加密數(shù)據(jù)包,所述服務(wù)器被配置為使用與所述所接收的加密數(shù)據(jù)包的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生另一加密數(shù)據(jù)包���,并將所述第二加密數(shù)據(jù)包發(fā)送到所述發(fā)起終端��。
16.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器����,其中����,響應(yīng)接收所述密鑰交換發(fā)起消息,所述服務(wù)器被配置為使用與所述所接收的密鑰交換發(fā)起消息的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生第二密鑰交換發(fā)起消息����,并將所述第二密鑰交換發(fā)起消息發(fā)送到所述終止終端。
17.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的服務(wù)器�,其中,所述服務(wù)器被配置為基于源自歸屬代理的數(shù)據(jù)來(lái)認(rèn)證所述發(fā)起終端�,所述歸屬代理可訪問(wèn)所述通信網(wǎng)絡(luò),且被配置為保持與所述發(fā)起終端有關(guān)的數(shù)據(jù)。
18.根據(jù)權(quán)利要求17所述的服務(wù)器����,其中,在所述發(fā)起終端改變與所述通信網(wǎng)絡(luò)的當(dāng)前接入點(diǎn)的情況下�����,所述服務(wù)器基于源自所述歸屬代理的所述數(shù)據(jù)來(lái)確定所述發(fā)起終端的改變后的接入點(diǎn)�����。
19.根據(jù)權(quán)利要求14所述的服務(wù)器�����,其中��,在所述所接收的加密數(shù)據(jù)包向所述發(fā)起終端的傳遞失敗的情況下�����,所述服務(wù)器被配置為響應(yīng)預(yù)定事件��,將所述所接收的加密數(shù)據(jù)包重新發(fā)送到所述發(fā)起終端�����。
20.根據(jù)權(quán)利要求19所述的服務(wù)器���,其中�����,所述預(yù)定事件包括來(lái)自所述發(fā)起終端的指示�����,所述指示表明所述發(fā)起終端能夠接收所述加密數(shù)據(jù)包�。
21.根據(jù)權(quán)利要求18和19所述的服務(wù)器�����,其中����,所述預(yù)定事件包括在所述歸屬代理處的更新數(shù)據(jù),所述數(shù)據(jù)識(shí)別與所述發(fā)起終端相關(guān)聯(lián)的新接入點(diǎn)�。
22.根據(jù)權(quán)利要求19至21中任一項(xiàng)所述的服務(wù)器,其中�,所述預(yù)定事件包括經(jīng)過(guò)指定的時(shí)間段����。
23.一種用于在通信網(wǎng)絡(luò)中的發(fā)起終端與終止終端之間建立加密通信信道的方法���,所述方法包括由所述通信網(wǎng)絡(luò)中的服務(wù)器執(zhí)行處理���,所述處理包括: 1.從所述發(fā)起終端接收包括認(rèn)證參數(shù)的密鑰交換消息; i1.驗(yàn)證所述認(rèn)證參數(shù)���;以及 ii1.響應(yīng)所述認(rèn)證參數(shù)的驗(yàn)證��,將與密鑰交換發(fā)起消息相對(duì)應(yīng)的密鑰生成數(shù)據(jù)發(fā)送到所述終止終端�����,所述密鑰生成數(shù)據(jù)由所述終止終端用于加密發(fā)送到所述發(fā)起終端的另一數(shù)據(jù)包����。
24.根據(jù)權(quán)利要求23所述的方法�����,其中�,所述密鑰交換消息是密鑰交換發(fā)起消息。
25.根據(jù)權(quán)利要求23或24所述的方法�,包括基于指定了給定發(fā)起終端與給定終止終端之間的關(guān)系的數(shù)據(jù)來(lái)獲得所述終止終端。
26.根據(jù)權(quán)利要求23至25中任一項(xiàng)所述的方法���,包括基于源自所述密鑰交換消息的數(shù)據(jù)來(lái)獲得所述密鑰生成數(shù)據(jù)�����。
27.根據(jù)權(quán)利要求24所述的方法���,包括基于源自所述密鑰交換發(fā)起消息的數(shù)據(jù)來(lái)獲得所述密鑰生成數(shù)據(jù)。
28.根據(jù)權(quán)利要求23至27中任一項(xiàng)所述的方法�,包括經(jīng)由安全通信信道將所述密鑰生成數(shù)據(jù)發(fā)送到所述終止終端。
29.根據(jù)權(quán)利要求23至28中任一項(xiàng)所述的方法��,包括基于至少一個(gè)預(yù)定條件來(lái)選擇性執(zhí)行用于建立加密通信信道的方法�,在滿足所述預(yù)定條件的情況下,執(zhí)行加密通信建立方法��。
30.根據(jù)權(quán)利要求29所述的方法�����,所述預(yù)定條件包括驗(yàn)證是否已針對(duì)惡意軟件的存在性而掃描所述發(fā)起終端��,在所述發(fā)起終端上已發(fā)生過(guò)所述掃描的情況下滿足所述預(yù)定條件。
31.根據(jù)權(quán)利要求29或30所述的方法�����,所述預(yù)定條件包括驗(yàn)證是否允許所述發(fā)起終端建立所述加密通信信道����。
32.根據(jù)權(quán)利要求23至31中任一項(xiàng)所述的方法,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下���,且響應(yīng)在所述服務(wù)器處從所述發(fā)起終端接收加密數(shù)據(jù)包����,所述方法包括經(jīng)由安全通信信道將所接收的加密數(shù)據(jù)包發(fā)送到所述終止終端��。
33.根據(jù)權(quán)利要求32所述的方法�,包括基于至少一個(gè)預(yù)定通信條件來(lái)選擇性執(zhí)行所述所接收的加密數(shù)據(jù)包向所述終止終端的發(fā)送,在滿足所述預(yù)定通信條件的情況下�,執(zhí)行所述所接收的加密數(shù)據(jù)包的所述發(fā)送。
34.根據(jù)權(quán)利要求33所述的方法�����,所述預(yù)定通信條件包括驗(yàn)證所述所接收的加密數(shù)據(jù)包的完整性�。
35.根據(jù)權(quán)利要求23至34中任一項(xiàng)所述的方法�,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信 信道的情況下�,且響應(yīng)在所述服務(wù)器處從所述終止終端接收加密數(shù)據(jù)包,所述方法包括使用與所述所接收的加密數(shù)據(jù)包的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生第二加密數(shù)據(jù)包�����,并將所述第二加密數(shù)據(jù)包發(fā)送到所述終止終端����。
36.根據(jù)權(quán)利要求23至35中任一項(xiàng)所述的方法��,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下��,且響應(yīng)在所述服務(wù)器處從所述終止終端接收加密數(shù)據(jù)包�����,所述方法包括經(jīng)由所述加密通信信道將所述所接收的加密數(shù)據(jù)包發(fā)送到所述發(fā)起終端��。
37.根據(jù)權(quán)利要求23至36中任一項(xiàng)所述的方法�,在所述發(fā)起終端與所述終止終端之間已建立所述加密通信信道的情況下,且響應(yīng)在所述服務(wù)器處從所述終止終端接收加密數(shù)據(jù)包���,所述方法包括使用與所述所接收的加密數(shù)據(jù)包的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生另一加密數(shù)據(jù)包�,并將所述第二加密數(shù)據(jù)包發(fā)送到所述發(fā)起終端。
38.根據(jù)權(quán)利要求23至37中任一項(xiàng)所述的方法�����,響應(yīng)在所述服務(wù)器處接收所述密鑰交換消息�,所述方法包括使用與所接收的密鑰交換消息的通信協(xié)議不同的通信協(xié)議來(lái)產(chǎn)生第二密鑰交換消息,并將所述第二密鑰交換消息發(fā)送到所述終止終端���。
39.根據(jù)權(quán)利要求23至38中任一項(xiàng)所述的方法�,包括基于源自歸屬代理的數(shù)據(jù)來(lái)認(rèn)證所述發(fā)起終端��,所述歸屬代理可訪問(wèn)所述通信網(wǎng)絡(luò)��,且被配置為保持與所述發(fā)起終端有關(guān)的數(shù)據(jù)����。
40.根據(jù)權(quán)利要求39所述的方法,在所述發(fā)起終端改變與所述通信網(wǎng)絡(luò)的當(dāng)前接入點(diǎn)的情況下���,所述方法包括基于源自所述歸屬代理的所述數(shù)據(jù)來(lái)確定所述發(fā)起終端的改變后的接入點(diǎn)����。
41.根據(jù)權(quán)利要求36所述的方法,在所述所接收的加密數(shù)據(jù)包向所述發(fā)起終端的傳遞失敗的情況下���,所述方法包括響應(yīng)預(yù)定事件����,將所述所接收的加密數(shù)據(jù)包重新發(fā)送到所述發(fā)起終端�����。
42.根據(jù)權(quán)利要求41所述的方法��,所述預(yù)定事件包括來(lái)自所述發(fā)起終端的指示��,所述指示表明所述發(fā)起終端能夠接收所述加密數(shù)據(jù)包�。
43.根據(jù)權(quán)利要求40和41所述的方法���,所述預(yù)定事件包括在所述歸屬代理處的更新數(shù)據(jù)�,所述數(shù)據(jù)識(shí)別與所述發(fā)起終端相關(guān)聯(lián)的新接入點(diǎn)�。
44.根據(jù)權(quán)利要求41至43中任一項(xiàng)所述的方法,所述預(yù)定事件包括經(jīng)過(guò)指定的時(shí)間段�。
45.一種計(jì)算機(jī)程序或一套計(jì)算機(jī)程序,包括一組指令�,所述指令被配置為使計(jì)算機(jī)或一套計(jì)算機(jī)執(zhí)行根據(jù)權(quán)利要求23所 述的方法。
全文摘要
本發(fā)明公開(kāi)了一種用于向發(fā)起終端(102)提供與由終止終端(104)經(jīng)由通信網(wǎng)絡(luò)提供的服務(wù)有關(guān)的認(rèn)證訪問(wèn)的系統(tǒng)和方法��。在一個(gè)方面,全局服務(wù)器(201)包括通信模塊�,其接收和處理來(lái)自發(fā)起終端的密鑰交換發(fā)起消息(501)以與終止終端建立加密通信信道。通信模塊響應(yīng)所接收的密鑰交換發(fā)起消息��,針對(duì)所接收的密鑰交換發(fā)起消息執(zhí)行加密通信建立處理�����。該加密通信建立處理包括認(rèn)證發(fā)起終端(503)����;以及在發(fā)起終端被成功認(rèn)證的情況下(504),將與所接收的密鑰交換發(fā)起消息相對(duì)應(yīng)的密鑰生成數(shù)據(jù)發(fā)送到終止終端(505)���。密鑰生成數(shù)據(jù)基于與發(fā)起終端相關(guān)聯(lián)的數(shù)據(jù)來(lái)識(shí)別�。本發(fā)明可應(yīng)用于IKE/Ipsec VPN連接�����。
文檔編號(hào)H04L29/06GK103155512SQ201180038108
公開(kāi)日2013年6月12日 申請(qǐng)日期2011年6月17日 優(yōu)先權(quán)日2010年6月1日
發(fā)明者尼克·翁, 尼蒂什·約翰, 朱利安·孫 申請(qǐng)人:良好科技公司