用于对服务提供安全访问的系统和方法技术方案

本发明专利技术公开了一种用于向发起终端（102）提供与由终止终端（104）经由通信网络提供的服务有关的认证访问的系统和方法。在一个方面，全局服务器（201）包括通信模块，其接收和处理来自发起终端的密钥交换发起消息（501）以与终止终端建立加密通信信道。通信模块响应所接收的密钥交换发起消息，针对所接收的密钥交换发起消息执行加密通信建立处理。该加密通信建立处理包括认证发起终端（503）；以及在发起终端被成功认证的情况下（504），将与所接收的密钥交换发起消息相对应的密钥生成数据发送到终止终端（505）。密钥生成数据基于与发起终端相关联的数据来识别。本发明专利技术可应用于IKE/Ipsec?VPN连接。

【技术实现步骤摘要】
【国外来华专利技术】用于对服务提供安全访问的系统和方法
本专利技术公开了一种用于对服务器上的服务提供授权用户访问的系统和方法。
技术介绍
虚拟私有网络（VPN）是控制访问以允许客户端连接的通信环境。VPN创建计算机通信私有范围和/或经由不安全通信网络（诸如互联网）提供私有网络的安全扩展。互联网协议安全性（IPsec）、第2层隧道协议（L2TP）和安全套接字层（SSL）是用于在通信网络（诸如互联网）上建立VPN的加密协议以确保安全访问VPN中给授权用户的数据和服务的实例。SSL是应用层协议，且将公开密钥和对称密钥加密的组合用于使数据包安全。SSL保护在通信主机之间发送的数据，但不保护通信主机的身份。L2TP是用于建立VPN的隧道协议。L2TP本身不提供任何加密或保密，且L2TP通常结合IPsec协议来使用以提供加密和保密。IPsec协议族为互联网协议（IP）层上的流量提供安全性服务。如本领域众所周知，互联网协议（IP）数据包未内建安全性机制。IPsec被设计为能实现在IP网络上使用IP数据包的安全私有通信。IPsec协议族能实现保密性、源认证和数据完整性。IPsec使用认证标头（AH）协议和封装安全性有效本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2010.06.17 US 12/791,7491.一种用于经由通信网络向客户终端提供对由私有网络提供的服务的认证访问的服务器，所述私有网络包括被配置为向所述客户终端提供所述服务的至少一个终止终端，所述服务器包括通信模块，所述通信模块用于代表所述私有网络接收和处理来自所述客户终端的密钥交换发起消息以便于所述客户终端与所述私有网络之间的加密通信信道的建立，所述通信模块被配置为响应于对所述密钥交换发起消息的接收，执行加密通信建立处理，所述加密通信建立处理包括：认证所述客户终端；代表所述私有网络建立所述客户终端与所述服务器之间的安全性关联；以及在所述客户终端被成功认证的情况下并在所述客户终端与所述服务器之间的所述安全性关联的建立之后，将与所建立的安全性关联相对应的密钥生成数据发送到所述终止终端，所述密钥生成数据基于与所述客户终端相关联的数据来识别且由所述终止终端用于经由所述加密通信信道与所述客户终端通信。2.根据权利要求1所述的服务器，其中，所述认证基于从所述客户终端接收到的另一消息来执行，所述另一消息包括认证参数。3.根据权利要求1或2所述的服务器，其中，所述终止终端基于指定了给定客户终端与给定私有网络之间的关系的数据来获得。4.根据权利要求1或2所述的服务器，其中，所述密钥生成数据基于包括在所接收的密钥交换发起消息中的数据来获得。5.根据权利要求1或2所述的服务器，其中，所述密钥生成数据基于包括在所接收的密钥交换发起消息和另一消息中的数据来获得，所述另一消息包括密钥生成数据产生参数。6.根据权利要求1或2所述的服务器，其中，所述服务器被配置为经由安全通信信道将所述密钥生成数据传送到所述终止终端。7.根据权利要求1或2所述的服务器，其中，所述服务器被配置为基于至少一个预定条件来选择性允许执行所述加密通信建立处理，在满足所述预定条件的情况下执行所述加密通信建立处理。8.根据权利要求7所述的服务器，其中，所述预定条件包括验证是否已针对恶意软件的存在性而扫描所述客户终端，在所述客户终端上已发生过所述扫描的情况下满足所述预定条件。9.根据权利要求7所述的服务器，其中，所述预定条件包括验证是否允许所述客户终端建立所述加密通信信道。10.根据权利要求1所述的服务器，其中，在所述客户终端与所述终止终端之间已建立所述加密通信信道的情况下，且响应在所述服务器处从所述客户终端接收加密数据包，所述服务器被配置为经由安全通信信道将所接收的加密数据包发送到所述终止终端。11.根据权利要求10所述的服务器，其中，所述服务器被配置为基于至少一个预定通信条件来选择性执行所述所接收的加密数据包向所述终止终端的发送，在满足所述预定通信条件的情况下，执行所述所接收的加密数据包的所述发送。12.根据权利要求11所述的服务器，其中，所述预定通信条件包括验证所述所接收的加密数据包的完整性。13.根据权利要求1所述的服务器，其中，在所述客户终端与所述终止终端之间已建立所述加密通信信道的情况下，且响应从所述客户终端接收加密数据包，所述服务器被配置为使用与所述所接收的加密数据包的通信协议不同的通信协议来产生第二加密数据包，并将所述第二加密数据包发送到所述终止终端。14.根据权利要求1所述的服务器，其中，在所述客户终端与所述终止终端之间已建立所述加密通信信道的情况下，且响应从所述终止终端接收加密数据包，所述服务器被配置为经由所述加密通信信道将所述所接收的加密数据包发送到所述客户终端。15.根据权利要求1所述的服务器，其中，在所述客户终端与所述终止终端之间已建立所述加密通信信道的情况下，且响应从所述终止终端接收加密数据包，所述服务器被配置为使用与所述所接收的加密数据包的通信协议不同的通信协议来产生另一加密数据包，并将所述另一加密数据包发送到所述客户终端。16.根据权利要求1或2所述的服务器，其中，响应接收所述密钥交换发起消息，所述服务器被配置为使用与所述所接收的密钥交换发起消息的通信协议不同的通信协议来产生第二密钥交换发起消息，并将所述第二密钥交换发起消息发送到所述终止终端。17.根据权利要求10-15中的任一项所述的服务器，其中，所述服务器被配置为基于源自归属代理的数据来认证所述客户终端，所述归属代理可访问所述通信网络，且被配置为保持与所述客户终端有关的数据。18.根据权利要求17所述的服务器，其中，在所述客户终端改变与所述通信网络的当前接入点的情况下，所述服务器基于源自所述归属代理的所述数据来确定所述客户终端的改变后的接入点。19.根据权利要求17所述的服务器，其中，在所述所接收的加密数据包向所述客户终端的传递失败的情况下，所述服务器被配置为响应预定事件，将所述所接收的加密数据包重新发送到所述客户终端。20.根据权利要求19所述的服务器，其中，所...

【专利技术属性】
技术研发人员：尼克·翁，尼蒂什·约翰，朱利安·孙，
申请(专利权)人：良好科技公司，
类型：
国别省市：