许多安全的隧道要求诸如L2TP和PPTP等需要特殊处理、授权或安全
证书的协议。这通常使它们不能用在企业或机构网络和外面的、公共的网
络之间。安全套接字隧道协议(SSTP)在内核和用户模式中添加驱动程序,
以便通过常见的HTTPS端口来路由诸如PPP等标准协议业务。在网络中断
的情况下,交换会话cookie允许快速重新连接底层的HTTPS连接而不影响
更高层的应用程序。
【技术实现步骤摘要】
【国外来华专利技术】通过HTTPS连接的安全隧道 背景计算机之间的通信造成了关于数据业务安全,在某些情况下甚至关于 端点计算机本身的漏洞点。多种技术可用于解决网络安全。存在用于保护单个逻辑连接上的应用程序到应用程序通信的技术,如通常用于web浏览 器到web服务器超文本HTTP业务的安全套接字层(SSL)。存在通过保 护网络连接本身而非两应用程序之间的业务来保护端点之间的所有数据业 务的其它技术。其示例是若干形式的虚拟专用网络,如点对点隧道协议 (PPTP)和第二层隧道协议(L2TP) /网际协议安全(IPSec)。虚拟专用 网络在一端加密并在另一端解密来保护端点之间的所有业务免遭窃听和中 间人攻击。然而,这些安全协议通常要求诸如IPSec证书等特殊设置,或使用往 往被企业级防火墙阻塞的不标准的端口。隧道业务可在阻塞通用路由封装 (GRE阻塞)的因特网服务提供商(ISP)处被阻塞。而隧道协议的另一不 方便之处是使用具有本地分配的IP地址的网络地址转换(NAT)。另外,即使创建了安全信道,或例程超时或网络问题引起的较低级连 接中的中断也可以打断较高级应用程序连接。从这种服务中断中恢复通常 要求在重新连接网络后的应用程序到应用程序恢复。概述被设计为对NAT和现有网络安全措施友好的隧道协议使用通过超文 本传输协议安全(HTTPS)连接的安全隧道协议。与正常的HTTPS连接形 成对比,被指定为安全套接字隧道协议即SSTP的安全隧道协议以例如点对 点协议(PPP)等标准协议的方式来支持计算机和相关联的服务器之间的所 有网络业务。HTTPS实际上被所有防火墙和ISP接纳,并与NAT兼容。以 下描述的SSTP协议使用若干技术来向应用程序呈现全面的、标准的连接协 议,以便在无需修改或知晓底层连接的情况下使用。SSTP甚至用内核和用户模式之间的若干跨越来维护其它常见协议的性能特性。SSTP的另一方面 支持在客户机和服务器之间的cookie交换,从而在连接丢失的情况下允许 快速重新连接。该快速重新连接能力允许在应用程序知道任何中断之前重 新建立连接。附图简述附图说明图1是适用于实现本专利技术的计算机的简化的和代表性框图2是经由SSTP连接来连接的两个计算机的简化的和代表性框图3是支持SSTP连接的功能块的简化的和代表性框图;以及图4是支持SSTP连接的一实施例的功能块的简化的和代表性框图。详细描述尽管下文阐明了众多不同实施例的详细描述,但是应当理解,该描述 的法律范围由本专利技术所附的权利要求书的言辞来限定。该详细描述应被解 释为仅是示例性的,且不描述每一可能的实施例,因为描述每一可能的实 施例即使不是不可能的也是不切实际的。可使用现有技术或在本申请提交 日之后开发的技术来实现众多替换实施例,而这仍落入权利要求书的范围 之内。还应该理解,在本专利中,除非使用句子如此处所用,术语'_'特此被定义为意指……或者类似句子来明确地定义一个术语,否则不管 是明确地还是含蓄地,都没有限制该术语意义超出其平常或普通意义的意 图,并且,这一术语不应该被解释为被限制在基于本专利的任何部分中(除 了权利要求书的语言之外)所做的任何陈述的范围中。就本专利所附的权 利要求书中所述的任何术语在本专利中以与单数意义相一致的方式来引用 而言,这是为简明起见而如此做的,仅仅是为了不使读者感到混淆,且这 类权利要求术语并不旨在隐含地或以其它方式限于该单数意义。最后,除 非一权利要求要素是通过叙述单词装置和功能而没有叙述任何结构来 定义的,否则任何权利要求要素的范围并不旨在基于35 U.S.C. §12第6段 的应用来解释。许多专利技术性功能和许多专利技术性原理最佳地使用或利用软件程序或指令 以及诸如专用IC等集成电路(IC)来实现。期望本领域的普通技术人员虽 然可能要进行大量的工作和由例如可用时间、现有技术以及经济问题促动 的许多设计选择,但是当受到此处所公开的概念和原理的指引时仍能够容 易地以最小的实验来生成这些软件指令和程序以及IC。因此,为了简明以 及最小化使根据本专利技术的原理和概念晦涩的任何风险,对这些软件和ic(如 果有的话)的进一步讨论将限于对于较佳实施例的原理和概念所必需的那 些讨论。图1示出可以主存本专利技术各实施例的一个或多个的计算机110形式的 计算设备,且被详细讨论以提供后续讨论的上下文。计算机110的组件可包括但不限于,处理单元120、系统存储器130 以及将包括系统存储器的各类系统组件耦合至处理单元120的系统总线 121。系统总线121可以是几种类型的总线结构中的任何一种,包括存储器 总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的 局部总线。计算机110通常包括各种计算机可读介质。计算机可读介质可以是能 由计算机110访问的任何可用介质,而且包含易失性、非易失性介质以及 可移动和不可移动介质。作为示例而非局限,计算机可读介质可以包括计 算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可 读指令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现 的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但 不限于,RAM、 ROM、 EEPROM、闪存或其它存储器技术、CD-ROM、数 字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁 性存储设备、或能用于存储所需信息且可以由计算机iio访问的任何其它 介质。上述中任一组合也应包括在计算机可读介质的范围之内。系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介 质,如只读存储器(ROM) 131和随机存取存储器(RAM) 132。基本输入 /输出系统133 (BIOS)包括如在启动时帮助在计算机110内的元件之间传 输信息的基本例程,它通常储存在ROM131中。RAM 132通常包含处理单元120可以立即访问和/或目前正在其上操作的数据和/或程序模块。作为示例,而非限制,图1示出了操作系统134、应用程序135、其它程序模块136 和程序数据137。计算机110也可以包括其它可移动/不可移动、易失性/非易失性计算机 存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取 或向其写入的硬盘驱动器140,从可移动、非易失性磁盘152中读取或向其 写入的磁盘驱动器151,以及从诸如CD ROM或其它光学介质等可移动、 非易失性光盘156中读取或向其写入的光盘驱动器155。可以在示例性操作 环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括 但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固 态ROM等等。硬盘驱动器141通常由不可移动存储器接口,诸如接口 140 连接至系统总线121,磁盘驱动器151和光盘驱动器155通常由可移动存储 器接口,诸如接口 150连接至系统总线121。上文讨论并在图1中示出的驱动器及其关联的计算机存储介质为计算 机系统110提供了计算机可读指令、数据结构、程序模块和其它数据的存 储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序 145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统 134、应用程序135、其它程序模块136和本文档来自技高网...
【技术保护点】
一种支持本地和远程实体之间的安全通信的方法,包括: 在所述本地和远程实体之间建立会话; 使用HTTPS端口在所述会话上建立加密通信层; 使用所述HTTPS端口在所述本地和远程实体之间发送控制数据; 使用所述HTTP端 口在所述会话上创建标准协议管道; 使用所述PPP协议管道通过所述HTTPS端口流传输经加密的数据传输。
【技术特征摘要】
【国外来华专利技术】2006.9.26 IN 2123/DEL/2006;2006.11.21 US 11/561,941.一种支持本地和远程实体之间的安全通信的方法,包括在所述本地和远程实体之间建立会话;使用HTTPS端口在所述会话上建立加密通信层;使用所述HTTPS端口在所述本地和远程实体之间发送控制数据;使用所述HTTP端口在所述会话上创建标准协议管道;使用所述PPP协议管道通过所述HTTPS端口流传输经加密的数据传输。2. 如权利要求1所述的方法,其特征在于,所述会话是TCP会话。3. 如权利要求1所述的方法,其特征在于,所述加密通信层遵循安全 套接字层和传输层安全中的一个。4. 如权利要求1所述的方法,其特征在于,所述标准协议管道是点对 点协议(PPP)连接。5. 如权利要求4所述的方法,其特征在于,所述PPP协议是在远程访 问连接管理器服务中管理的。6. 如权利要求1所述的方法,其特征在于,还包括使用密钥来加密数 据传输,所述密钥是在使用HTTPS端口在所述会话上建立所述加密通信层 时协商的。7. 如权利要求1所述的方法,其特征在于,在所述本地和远程实体之 间发送控制数据包括共享表示所述客户机和服务器之间的会话连接数据的 cookie 08. 如权利要求6所述的方法,其特征在于,还包括在所述会话断开后 请求重新建立所述会话时,在所述本地和远程实体之间发送所述cookie。9. 如权利要求1所述的方法,其特征在于,在所述本地和远程实体之 间发送控制数据包括支持用于管理以下之一的安全套接字隧道协议(SSTP):呼叫建立、以隧道传送任意协议、在传输中发生中断时的重新 连接服务、和缓冲区管理。10. 如权利要求9所述的方法,其特征在于,支持所述SSTP协议包 括支持控制分组和数据分组共同的且包括控制/数据位和长度字段的SSTP头部,其中任一分组的净荷都小于4095字节。11. 如权利要求9所述的方法,其特征在于,支持SSTP控制分组包 括支持控制消息,所述控制消息包括连接请求、包括链路cookie的连接确 认、连接否认、呼叫己连接、快速重新连接请求、快速重新连接确认、回 送请求、回送响应、断开连...
【专利技术属性】
技术研发人员:V·贾殷,M·阿皮亚,K·C·瓦尼亚拉詹,S·贾殷,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。