一种提供对专用网络资源的访问的方法包括接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程。从所述客户端应用接收到一个访问所述专用网络资源的请求。所述客户端应用被允许尝试执行第二组认证和授权过程,所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程。执行所述第二组认证和授权过程,并且至少部分基于确定所述客户端应用已通过所述第一和第二组认证和授权过程,所述客户端应用被允许访问所述专用网络资源。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】用于专用网络的基于电子集合的两级访问控制相关申请案交叉申请本专利技术要求2012年12月28日递交的专利技术名称为“用于专用网络的基于电子集合的两级访问控制(Electronic Rendezvous-Based Two Stage Access Control forPrivate Networks) ”的第13/729823号美国专利申请案的在先申请优先权,该在先申请的内容以全文引用的方式并入本文本中。
本专利技术涉及通信网络,以及在具体实施例中,涉及用于专用网络的基于电子集合的两级访问控制。
技术介绍
专用网络通常包含计算机和使用私有地址空间以通信方式彼此耦合的其它设备的集合。例如,专用网络中的每个设备可具有私有地址空间内的私有地址,并且这些设备可使用私有地址共享专用网络内的信息和资源。然而,当专用网络内的设备需要与公共网络上的设备(例如,不在专用网络内的设备)进行通信时,专用网络内的设备通常将使用路由器。路由器使用网络地址转换(NAT)模块在专用网络和公共网络之间转发数据包,NAT模块在私有地址空间中的地址和公共地址空间中的地址之间进行转换。路由器可包含防火墙,防火墙基于一组预定的规则限制专用网络和公共网络之间的通信。例如,路由器可使用防火墙确定数据包的来源和/或目的地,并可阻止来自或去往特定来源和/或目的地的数据包。因此,防火墙可通过控制专用网络内的设备和公共网络上的设备之间的通信来增强专用网络的安全性。然而,防火墙可能很容易被绕过或“入侵”(hacked),这会导致专用网络的安全性受影响。
技术实现思路
在一项实施例中,本专利技术包含一种提供对专用网络资源的访问的方法,所述方法包括接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程。从所述客户端应用接收到一个访问所述专用网络资源的请求。所述客户端应用被允许尝试执行第二组认证和授权过程,所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程。随后执行所述第二组认证和授权过程,并且所述客户端应用被允许访问所述专用网络资源,所述访问所述专用网络资源至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程。在另一项实施例中,本专利技术包含一种提供对专用网络资源的访问的装置,所述装置包括接口和处理器。所述接口用于接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程。所述处理器用于执行第二组认证和授权过程并至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源。在又一项实施例中,本专利技术包含一种提供对专用网络资源的访问的装置,所述装置包括处理器。所述处理器用于从客户端应用接收访问所述专用网络资源的请求,以及从所述客户端应用接收认证和授权信息。所述处理器用于使用来自所述客户端应用的所述认证和授权信息来执行一组认证和授权过程,并且所述处理器用于发送消息到所述专用网络,所述消息指示所述客户端应用已通过所述一组认证和授权过程。结合附图和权利要求书,可从以下的详细描述中更清楚地理解这些和其它特征。【附图说明】为了更完整地理解本专利技术,现在参考以下结合附图和详细描述进行的简要描述,其中相同参考标号表不相同部分。图1是客户端应用的实施例的示意图,该客户端应用使用电子集合服务访问专用网络的资源。图2是使用电子集合服务访问专用网络资源的方法的实施例的流程图。图3是从客户端应用角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。图4是从集合服务角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。图5是从与专用网络相关联的防火墙和专用网络资源自身的角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。图6是从专用网络资源用户角度来看的使用电子集合服务访问专用网络资源的方法的实施例的流程图。图7是可用于实施基于电子集合的访问控制方法的系统的示意图。图8是通用计算机系统的实施例的示意图。【具体实施方式】最初应理解,尽管下文提供一个或多个实施例的说明性实施方案,但可使用任意数目的当前已知或现有的技术来实施所公开的系统和/或方法。本专利技术决不应限于下文所说明的所述说明性实施方案、图式和技术,包含本文所说明并描述的示范性设计和实施方案,而是可以在所附权利要求书的范围以及其均等物的完整范围内修改。虽然已经论述了传统技术的某些方面以帮助理解本专利技术,但是申请人没有办法否认这些技术方面,并且预计本专利技术可包含一个或多个本文所述的传统技术方面。本文公开了为专用网络使用基于电子集合的两级访问控制的系统和方法。在一项实施例中,使用两级认证和授权过程控制对专用网络资源的访问。在第一级中,使用独立的集合服务来对正尝试访问专用网络资源的客户端应用进行认证和授权。如果集合服务成功对客户端应用进行了认证和授权,那么集合服务告知专用网络该客户端应用已通过第一组认证和授权过程。基于该信息,专用网络允许该客户端应用进入第二级,在第二级中,该客户端应用可尝试通过由专用网络实施的第二组认证和授权过程进行认证和授权。如果专用网络成功对客户端应用进行了认证和授权,那么该客户端应用被允许访问专用网络的资源。因此,在被允许访问专用网络的资源之前,客户端应用必须成功完成两级过程。此外,在至少某些实施例中,专用网络不能从集合服务中发现,并且集合服务不能从专用网络中发现。相反,客户端应用必须独立连接到专用网络和集合服务。因此,可通过执行两种认证和授权过程以及通过要求尝试访问专用网络资源的客户端应用了解如何独立连接到集合服务和专用网络来增强专用网络的安全性。此外,实施例可包含额外的特征,例如但不限于使用有限的时间范围来完成认证和授权过程、集合服务和专用网络使用动态地址、以及使用提供多个专用网络的访问控制的集合服务。这些和其它特征和优势在下文中描述并在附图中示出。图1是使用集合服务130访问专用网络120的资源110的客户端应用100的示意图。资源110可包含专用网络120内的任何资源、应用和服务。例如,资源110可包含照相机或打印机等设备、多媒体或文字处理文件等文件、或电子邮件或数据库应用等应用。类似地,客户端应用100可包含可能需要访问专用网络120的资源110的任何资源、应用或服务。客户端应用100通过公共网络150以通信方式耦合到集合服务130,公共网络150可包含任何公共网络,例如但不限于因特网。此外,客户端应用100通过防火墙140以通信方式耦合到资源110。防火墙140可选地包含路由器,并且能够控制并路由专用网络120和公共网络150之间的通信。在实施例中,客户端应用100使用两级过程访问资源110。在第一级中,客户端应用100通过公共网络150发送请求105到集合服务130。请求105指示客户端应用100想要访问资源110。基于请求105,提示集合服务130执行第一组认证和授权过程。认证过程可选地包含验证客户端应用100的身份或客户端应用100的用户的身份,授权过程可选地包含验证客户端应用100或客户端应用100的用户被授权访问资源110。如果集合服本文档来自技高网...
【技术保护点】
一种提供对专用网络资源的访问的方法,其特征在于,包括:接收来自电子集合服务的指示,所述指示表明客户端应用已通过第一组认证和授权过程;从所述客户端应用接收访问所述专用网络资源的请求;允许所述客户端应用尝试执行第二组认证和授权过程,所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示,所述指示表明所述客户端应用已通过所述第一组认证和授权过程;执行所述第二组认证和授权过程;以及至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:保罗·富勒顿,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。