УПРАВЛЕНИЕ ЗАЩИЩЕННОЙ ЛИНИЕЙ СВЯЗИ В ДИНАМИЧЕСКИХ СЕТЯХ Российский патент 2007 года по МПК G06F21/20 

Описание патента на изобретение RU2297037C2

Область техники

Данное изобретение относится, в целом, к усовершенствованию линий передачи аудио/видеосигналов и данных в динамических сетях и вычислительных средах и, в частности, относится к установлению линий связи со средствами шифрования и защиты и управлению ими в таких средах.

Предшествующий уровень техники

Феноменальный рост сетевой электронной торговли привел к возникновению многочисленных приложений, в том числе хостинга (услуг по размещению информации), проводки и управления удаленными линиями связи и сетями. Эти приложения позволяют пользователям взаимодействовать друг с другом в ходе деловых операций или отслеживания полезной информации с использованием защищенных линий связи.

На защищенных линиях связи или соединениях для обеспечения защищенного доступа к вычислительным ресурсам обычно используют одну или более из трех операций: аутентификации, авторизации и экаунтинга (ведение отчетности) (ААА). Таким образом, понятие защиты включает в себя способность аутентифицировать сторону и/или шифровать передачи во избежание подслушивания непредусмотренными получателями или третьими лицами. Защищенная сеть образована передачами по защищенным линиям связи. Однако следует понимать, что существует несколько доступных уровней аутентификации и шифрования, охватываемых объемом изобретения. Простая передача текста без аутентификации является незащищенной передачей, хотя, принимая решение о защищенности передачи, следует использовать порог, определяемый ситуацией.

Применительно к торговым операциям, важно аутентифицировать пользователя, затем авторизовать доступ аутентифицированного пользователя к ресурсам и создавать учетные записи по использованию этих ресурсов. С появлением «пользовательского роуминга», ставшего возможным благодаря развитию мобильных вычислительных систем и, в частности, беспроводных линий связи, задача ААА приобретает особое значение. В этой связи для обеспечения беспроводных линий связи и децентрализованных операций необходимы протоколы защиты. При осуществлении сетевого доступа к персональной вычислительной сети (ПВС), локальной вычислительной сети (ЛВС) или глобальной сети (ГС) можно столкнуться со значительной задержкой. Однако с учетом кратковременного характера взаимодействий с мобильными вычислительными блоками для обеспечения приемлемых условий работы в сети необходимы соединения с малой задержкой пакета. В частности, пользователи должны иметь возможность быстро устанавливать соединения по защищенным линиям связи, независимо от того, находится ли точка доступа в интранете или на внешней, динамически устанавливаемой линии связи. Новые пользователи или новые работники должны иметь возможность получать, по меньшей мере, ограниченные привилегии в использовании защищенной сети. Многие проблемы, в том числе вышеописанные, остаются при реализации защитных линий связи, на которых применяются усовершенствованные схемы управления сетевым доступом и шифрования/аутентификации или гибкие топологии конференции. Таковы новые проблемы в области сетевых серверных систем, поддерживающих беспроводную сеть.

Сущность изобретения

Настоящее изобретение призвано решить эти проблемы и облегчить создание компьютерной сети для установления динамических защищенных линий связи между компьютером-клиентом и серверным устройством в ходе установления защищенных соединений по более широкому диапазону сетевых линий связи. В частности, описаны протоколы для компьютеров-клиентов, обеспечивающие обмен информацией для установления защищенного соединения. Кроме того, способы и системы, согласно настоящему изобретению, предусматривают протокол обмена ключами в вычислительной среде с беспроводным соединением. Обмен ключами осуществляется путем надлежащего выбора протокола расширяемой аутентификации (ПРА) и защиты транспортного уровня (ЗТУ).

Рассмотрим способ формирования защищенных каналов передачи данных/аудио/видеосигналов и управления ими посредством обмена защитными ключами, аутентификации и авторизации. Способ предусматривает реализацию ЗТУ в ПРА. Вариант осуществления изобретения предусматривает, что машина устанавливает защищенные соединения с ограниченными привилегиями, если пользователь машины не предоставляет достаточной информации, идентифицирующей пользователя. Этот способ позволяет гибко управлять сетью, содержащей машины и сетевые линии связи с различными защитными возможностями и восприимчивостью. Кроме того, в случае, когда пользователь не в состоянии предоставить аутентификационную информацию, идентифицирующую пользователя, начинается процесс регистрации машины, что позволяет снизить требования, предъявляемые к обычному процессу регистрации, и обеспечить базовый уровень доступа, когда это необходимо.

Вариант осуществления изобретения предусматривает, что пользователь, подключенный к защищенной сети по незащищенной линии связи, пройдя аутентификацию, получает только ограниченный доступ к защищенной сети. Пользователь, зарегистрированный через незащищенную линию связи, получает более ограниченный набор привилегий, чем если бы он зарегистрировался через защищенную линию связи.

Согласно варианту осуществления изобретения, машина устанавливает защищенную линию связи без регистрации пользователя. Следовательно, в сети также могут находиться специализированные серверы, на которых пользователю не обязательно регистрироваться. И пользовательская регистрация не нарушает защищенный доступ машины.

Дополнительные признаки и преимущества изобретения явствуют из нижеследующего подробного описания иллюстративных вариантов осуществления, приведенного со ссылками на прилагаемые чертежи.

Краткое описание чертежей

Хотя признаки настоящего изобретения подробно изложены в прилагаемой формуле изобретения, чтобы лучше разобраться в изобретении, понять его задачи и преимущества, следует обратиться к нижеследующему подробному описанию, приведенному в сочетании с прилагаемыми чертежами, где:

фиг.1 - обобщенная блок-схема иллюстративной компьютерной системы, к которой относится настоящее изобретение;

фиг.2 - схема обычной вычислительной среды, в которой применен вариант осуществления изобретения;

фиг.3 - схема другой вычислительной среды, в которой применяется беспроводная линия связи между точкой доступа в защищенной сети и мобильным вычислительным блоком;

фиг.4 - схема вычислительной среды, поддерживающей удаленный доступ мобильного вычислительного блока к защищенной сети, причем аутентификацию мобильного вычислительного блока осуществляет удаленный прокси-сервер RADIUS, находящийся в отношениях доверительности с защищенной сетью или, по меньшей мере, известный ей;

фиг.5 - логическая блок-схема этапов способа получения доверенным пользователем идентификатора машины;

фиг.6 - логическая блок-схема этапов способа регистрации доверенной машины, причем для инициирования регистрации используется принятый по умолчанию идентификатор пользователя, с участием системного администратора, когда машина или пользователь не имеет надлежащего мандата;

фиг.7 - логическая блок-схема этапов способа получения доступа к вычислительным ресурсам защищенной сети с использованием идентификатора машины;

фиг.8 - логическая блок-схема этапов способа доступа к сети со стороны пользователя, неспособного предоставить достаточную информацию для аутентификации, с использованием принятого по умолчанию идентификатора пользователя, позволяющего запрашивать доступ у системного администратора без необходимости физического посещения центрального учреждения;

фиг.9 - логическая блок-схема этапов способа получения удаленным мобильным вычислительным блоком доступа к защищенной сети через прокси-сервер RADIUS и

фиг.10 - логическая блок-схема этапов способа аутентификации удаленного пользователя, запрашивающего доступ к ресурсам защищенной сети.

Подробное описание изобретения

Чертежи, на которых подобные элементы обозначены подобными позициями, иллюстрируют изобретение, реализуемое в подходящей вычислительной среде. Хотя это и не требуется, изобретение будет описано, в целом, применительно к выполняемым компьютером командам, например программным модулям, выполняемым в вычислительной среде. В целом, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.п., выполняющие отдельные задачи или реализующие отдельные абстрактные типы данных. Кроме того, специалистам в данной области очевидно, что изобретение можно применять к другим конфигурациям компьютерной системы, в том числе к переносным устройствам, многопроцессорным системам, бытовой электронике на основе процессора или с возможностью программирования, сетевым ПК, мини-компьютерам, универсальным компьютерам и т.п. Изобретение также осуществимо в распределенных вычислительных средах, где задачи выполняются удаленными обрабатывающими устройствами, связанными друг с другом через сеть связи. В распределенной вычислительной среде программные модули могут храниться как в локальных, так и удаленных запоминающих устройствах.

На фиг.1 показан пример среды 100 вычислительной системы, пригодной для реализации изобретения. Среда 100 вычислительной системы является всего лишь примером подходящей вычислительной среды и не налагает никаких ограничений на объем применения или принцип изобретения. Кроме того, вычислительную среду 100 не следует рассматривать как находящуюся в зависимости или подчиняющуюся требованиям, предъявляемым к одному или нескольким компонентам, указанным в иллюстративной операционной среде 100.

Изобретение применимо ко многим другим средам или конфигурациям вычислительных систем общего и специального назначения. Примеры общеизвестных вычислительных систем, сред и конфигураций, к которым можно применять изобретение, включают в себя, помимо прочего, персональные компьютеры, компьютеры-серверы, переносные или портативные устройства, многопроцессорные системы, системы на основе микропроцессора, приставки, программируемые бытовые электроприборы, сетевые ПК, мини-компьютеры, универсальные компьютеры и распределенные вычислительные среды, содержащие любые из вышеперечисленных систем или устройств.

Изобретение можно описать, в целом, применительно к командам, выполняемым на компьютере, например программным модулям, выполняемым на компьютере. В целом, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.п., выполняющие отдельные задачи или реализующие отдельные абстрактные типы данных. Изобретение также осуществимо в распределенных вычислительных средах, где задачи выполняются удаленными обрабатывающими устройствами, связанными друг с другом через сеть связи. В распределенной вычислительной среде программные модули могут храниться как на локальных, так и на удаленных компьютерных носителях для хранения информации, включающих в себя запоминающие устройства.

Согласно фиг.1, иллюстративная система для реализации изобретения содержит вычислительное устройство общего назначения в виде компьютера 110. Компоненты компьютера 110 могут включать в себя, помимо прочего, обрабатывающий модуль 120, системную память 130 и системную шину 121, посредством которой различные компоненты системы, включая системную память, подключаются к обрабатывающему модулю 120. Системная шина 121 может относиться к разным типам шинных структур, включающих в себя шину памяти или контроллер памяти, периферийную шину и локальную шину, с применением любой из разнообразных шинных архитектур. Такие архитектуры содержат, например, помимо прочих, шину ISA (промышленной стандартной архитектуры), шину МСА (микроканальной архитектуры), шину EISA (расширенной ISA), локальную шину VESA (Ассоциации производителей средств видеоэлектроники) и шину PCI (интерфейса периферийных устройств), также именуемую шиной второго уровня.

Компьютер 110 обычно содержит разнообразные считываемые компьютером носители. В качестве считываемых компьютером носителей могут выступать любые известные носители, доступ к которым осуществляется посредством компьютера 110, в том числе энергозависимые и энергонезависимые носители, сменные и стационарные носители. Считываемые компьютером носители могут включать в себя, например, помимо прочего, компьютерные носители для хранения данных и среды передачи данных. Компьютерные носители для хранения данных включают в себя энергозависимые и энергонезависимые, сменные и стационарные носители, реализованные посредством любого метода или технологии хранения информации, например считываемых компьютером команд, структур данных, программных модулей или иных данных. Компьютерные носители для хранения данных включают в себя, помимо прочего, оперативное запоминающее устройство (ОЗУ), постоянное запоминающее устройство (ПЗУ), ЭППЗУ (электронно-перепрограммируемое ПЗУ), флэш-память и другие запоминающие устройства, CD-ROM, цифровой универсальный диск (DVD) или иной оптический дисковый носитель данных, магнитные кассеты, магнитную ленту, магнитный дисковый носитель данных или иные магнитные запоминающие устройства или любой иной носитель, который можно использовать для хранения полезной информации и доступ к которому можно осуществлять посредством компьютера 110. Среды для передачи данных обычно реализуют считываемые компьютером команды, структуры данных, программные модули или иные данные в виде сигнала, модулируемого данными, например, несущей волны или иного транспортного механизма и содержат любую среду передачи информации. Термин «сигнал, модулируемый данными» означает сигнал, одну или несколько характеристик которого можно задавать или изменять таким образом, чтобы кодировать в нем информацию. Носители для передачи данных могут, например, без ограничения включать в себя проводные сети и беспроводные среды, например акустические, РЧ (радиочастотные), инфракрасные и другие оптические среды. Понятие считываемой компьютером среды охватывает любые комбинации вышеперечисленных носителей.

Системная память 130 включает в себя компьютерные носители для хранения данных в виде энергозависимой и энергонезависимой памяти, например ПЗУ 131 и ОЗУ 132. Базовая система ввода/вывода (BIOS) 133, содержащая базовые процедуры, обеспечивающие передачу информации между элементами компьютера 110, например, при запуске, обычно хранится в ПЗУ 131. В ОЗУ 132 обычно хранятся данные и программные модули, к которым обрабатывающий модуль 120 должен быстро обращаться или которые он обрабатывает в данный момент. На фиг.1 показаны, без ограничения общности, операционная система 134, прикладные программы 135, другие программные модули 136 и данные 137, используемые программами (программные данные). Для обслуживания прикладных программ 135 операционная система 134 нередко использует один или несколько ПИП (программных интерфейсов приложения) (не показаны). Поскольку такие услуги предусмотрены в операционной системе 134, разработчикам прикладных программ 135 нет нужды повторно разрабатывать программный код для реализации этих услуг. Примеры ПИП, обеспечиваемых операционными системами, например, системой WINDOWS фирмы Microsoft, известны из уровня техники.

Компьютер 110 может также содержать другие сменные/стационарные, энергозависимые/энергонезависимые компьютерные носители для хранения данных. Например, на фиг.1 изображены интерфейс 140 жесткого диска, который осуществляет считывание/запись данных из/в стационарного/ый энергонезависимого/ый магнитного/ый носителя/ь, привод 151 магнитного диска, который может быть внутренним или внешним и который осуществляет чтение/запись из/в сменного/ый энергонезависимого/ый магнитного/ый диска 152, и привод 155 оптического диска, который осуществляет чтение/запись из/в сменного/ый энергонезависимого/ый оптического/ий диска 156, например CD-ROM. В иллюстративной операционной среде можно также использовать другие сменные/стационарные, энергозависимые/энергонезависимые компьютерные носители для хранения данных, например, помимо прочих, кассеты с магнитной лентой, карты флэш-памяти, DVD, ленту для цифровой видеозаписи, ОЗУ на кристаллах и ПЗУ на кристаллах. Жесткий диск 141, который может быть внутренним или внешним, обычно подключается к системной шине 121 через стационарный интерфейс запоминающего устройства, например интерфейс 140, а привод 151 магнитного диска и привод 155 оптического диска обычно подключаются к системной шине 121 через сменный интерфейс запоминающего устройства, например интерфейс 150.

Вышеупомянутые и изображенные на фиг.1 приводы и соответствующие компьютерные носители для хранения данных обеспечивают хранение считываемых компьютером команд, структур данных, программных модулей и других данных для компьютера 110. Например, согласно фиг.1, на жестком диске 141 хранится операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147. Заметим, что эти компоненты могут быть идентичны операционной системе 134, прикладным программам 135, другим программным модулям 136 и программным данным 137 или отличны от них. Операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147 обозначены другими позициями, поскольку они могут представлять собой другие копии. Пользователь может вводить команды и информацию в компьютер 110 через устройства ввода, например клавиатуру 162 и указательное устройство 161, в качестве которого может выступать мышь, шаровой манипулятор или сенсорная панель. Другие устройства ввода (не показаны) могут включать в себя микрофон, джойстик, игровую панель, спутниковую тарелку и сканнер. Эти и другие устройства ввода обычно подключаются к обрабатывающему модулю 120 через интерфейс 160 пользовательского ввода, подключенный к системной шине, но могут подключаться посредством других интерфейсов и шинных структур, например параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 191 или другое устройство отображения также подключено к системной шине 121 посредством интерфейса, например видеоинтерфейса 190. Помимо монитора компьютеры могут также содержать другие периферийные устройства вывода, например громкоговорители 197 или принтер 196, которые могут подключаться через интерфейс 195 периферийных устройств вывода.

Компьютер 110 может работать в сетевой среде, используя логические линии связи с одним или несколькими удаленными компьютерами, например удаленным компьютером 180. Удаленный компьютер 180 может представлять собой персональный компьютер, сервер, маршрутизатор, сетевой ПК, одноранговое устройство или другой общий узел сети и обычно содержит многие или все элементы, описанные выше применительно к компьютеру 110, хотя на фиг.1 изображено только запоминающее устройство 181. Логические линии связи, обозначенные на фиг.1, включают в себя локальную вычислительную сеть (ЛВС) 171 и глобальную сеть (ГС) 173, а также, возможно, и другие сети. Такие сетевые среды широко используются в учреждениях, шоу-бизнесе, интранетах и в Интернете.

При использовании сетевой среды ЛВС компьютер 110 подключается к ЛВС 171 посредством сетевого интерфейса или адаптера 170. При использовании сетевой среды ГС компьютер 110 обычно содержит модем 172 или другое средство установления связи через ГС 173, например Интернет. Модем 172, который может быть внутренним или внешним, может подключаться к системной шине 121 через интерфейс 160 пользовательского ввода или посредством другого подходящего механизма. В сетевой среде программные модули, указанные применительно к компьютеру 110, или их фрагменты могут храниться в удаленном запоминающем устройстве. Согласно фиг.1, но не в обязательном порядке, удаленные прикладные программы 185 хранятся в запоминающем устройстве 181, которое может быть внутренним или внешним по отношению к удаленному компьютеру 180. Следует понимать, что помимо сетевых линий связи, показанных в качестве примера, можно использовать другие средства установления линии связи между компьютерами.

В нижеследующем описании изобретение будет описано со ссылкой на действия и символические представления операций, осуществляемых одним или несколькими компьютерами, если не указано обратное. Поэтому очевидно, что такие действия или операции, которые иногда называют выполняемыми на компьютере, включают в себя манипуляцию обрабатывающим модулем компьютера электрическими сигналами, представляющими данные в структурированном виде. Эта манипуляция сводится к преобразованию данных или поддержке их в ячейках системы памяти компьютера, каковые данные переконфигурируют или иным образом изменяют работу компьютера, насколько это известно специалистам в данной области. Структуры данных, в которых поддерживаются данные, представляют собой физические ячейки памяти, конкретные свойства которых определяются форматом данных. Однако такой подход к описанию изобретения не является ограничительным, поскольку специалистам в данной области очевидна возможность аппаратной реализации описанных здесь разнообразных действий и операций.

В схеме аутентификации/шифрования для обеспечения сетевого доступа или связности прежде всего надлежит аутентифицировать одну или несколько сторон, пользующихся линией связи. Для этого обычно используют сертификат, выдаваемый доверенным источником. Применительно к защищенной конференции, стороне, запрашивающей подключение к защищенной конференции, нужно подтвердить свою заявленную идентичность. В некоторых вариантах осуществления для подтверждения идентичности может потребоваться конференсный узел. Сертификат содержит информацию о стороне, представляющей сертификат, и включает в себя защитные средства, позволяющие обнаруживать любые изменения, в том числе внесенные стороной, представляющей информацию.

Чтобы понять основную процедуру, рассмотрим схему шифрования асимметричным ключом. Согласно этой схеме, в процедуре шифрования/дешифрования используют два ключа, которые, для удобства, называют открытым ключом и личным ключом. Личный ключ держат в секрете, например хранят в защищенной ячейке памяти компьютера или на интеллектуальной карте. Открытый ключ доступен всем. Открытый и личный ключи математически связаны, но вычислить один из другого непросто. В частности, зная открытый ключ, невозможно вычислить личный ключ в течение обозримого промежутка времени. Кроме того, сообщение, зашифрованное с помощью одного из ключей, можно расшифровать только с помощью другого ключа.

Пользователь, нуждающийся в аутентификации своей идентичности, запрашивает у доверенной службы сертификации (СС) сертификат о своей идентичности. Этот запрос предпочтительно кодировать открытым ключом СС. Этой цели можно достичь разными путями, например сначала зашифровать заявляемую идентичность личным ключом пользователя, а затем зашифровать сообщение совместно с копией открытого ключа потенциального нового пользователя с помощью открытого ключа СС. Таким образом, СС будет знать, какой открытый ключ использовать для дальнейшего дешифрования после того, как расшифрует сообщение своим собственным личным ключом. Кроме того, успешное дешифрование сообщения гарантирует для СС то, что сообщение отправлено пользователем, поскольку для того, чтобы его можно было расшифровать открытым ключом пользователя, оно должно было быть закодировано личным ключом пользователя. Таким образом, СС, в частности, та, что выдала личный ключ пользователя, может проверить заявленную идентичность, сверившись с базой данных.

Затем СС шифрует информацию об идентичности пользователя, включающую в себя открытый ключ, соответствующий личному ключу, с помощью своего собственного личного ключа, чтобы сформировать сертификат аутентификации, возможно, с электронной подписью. Сторона, желающая аутентифицировать идентичность пользователя, дешифрует сертификат с помощью открытого ключа СС. Таким образом, преимущество сертификата состоит в том, что он также предоставляет стороне, желающей аутентифицировать идентичность пользователя, открытый ключ пользователя.

Хотя пользователь может считывать информацию, сертифицированную СС, пользователь не может изменять информацию так, чтобы это не было обнаружено, поскольку пользователь не знает личного ключа СС. Кроме того, СС может присоединить зашифрованную односторонне хешированную версию сообщения, чтобы получатель мог далее быть уверен в том, что все сообщение является аутентичным, даже если оно получено малыми частями. Функцию одностороннего хеширования часто применяют потому, что изменить сообщение и при этом сохранить тот же результат хеширования весьма непросто, чтобы потом можно было подтвердить аутентичность присоединенного сообщения. Иными словами, зашифрованные сообщения могут читать многие, поскольку ключ декодирования является открытым ключом, но их нельзя изменять, не изменив состояния, снабженного признаком. Кроме того, такой сертификат аутентификации и соответствующие ключи можно снабжать конечным временем действия во избежание преступных действий и инженерного анализа.

Дополнительные подробности, касающиеся обмена ключами, аутентификации и запросов авторизации, для обеспечения защищенной связи между клиентом и сервером, описаны в прилагаемых документах в приложении, озаглавленном "IEEE 802.11 Security White Paper", "IEEE 802.IX Supported Scenarios" и "Bluetooth Security Architecture Version 1.0", полностью включенных в данную заявку.

На фиг.2 показана иллюстративная вычислительная среда 200, содержащая совокупность динамических линий связи, совокупность статических линий связи и совокупность устройств. Вычислительная среда 200 включает в себя интранет 205, подключенный к маршрутизатору 210, который, в свою очередь, подключен к сети Интернет 215. По меньшей мере, один мобильный вычислительный блок 220 подключен к Интернет 215 посредством динамической линии связи 225. Альтернативно, мобильный вычислительный блок 215 может подключаться к интранет 205 посредством линии связи 230, наличие которой не исключает возможность существования динамической линии связи 225. Мобильный вычислительный блок 220 не обязательно является компьютером, но может представлять собой любое мобильное вычислительное устройство, например устройство мобильной связи или устройство, обеспечивающее аудио/видеоинформацию путем доступа к информации в онлайновом (оперативном) режиме и т.п. Совокупность устройств в вычислительной среде 200 включает в себя рабочую станцию 235, сервер 240 и принтер 245, управляемый сервером 240. Под статическими линиями связи понимают связи, образующие интранет 205, а под динамическими линиями связи понимают связи, для которых характерна высокая вероятность сбоя, например линия связи 225 или линия связи 230 между мобильным вычислительным блоком 220 и Интернет 215 или интранет 205 соответственно.

Гарантировать защищенность статической линии связи проще, чем обеспечить защищенную динамическую линию связи. Защиту динамических линий связи труднее реализовать в силу кратковременного характера динамической линии связи и более строгих ограничений на задержку и ширину полосы, действующих на таких линиях связи. Кроме того, в силу мобильного характера портативных вычислительных устройств, например вычислительного блока 220, необходима защита от несанкционированного сетевого доступа.

Стратегия расширения защищенных линий связи на доверенных пользователей и доверенные машины, связанные транзитивными отношениями доверительности, позволяет реализовать защищенную вычислительную среду без необходимости в централизованном управлении всеми отношениями защиты. Явные отношения доверительности позволяют отслеживать нарушения защиты. Кроме того, явные отношения доверительности упрощают управляемые процедуры аутентификации, в то же время сохраняя низкий уровень задержки при установлении защищенных соединений.

Ограничение доступа к доверенным пользователям и доверенным машинам, которые можно реализовать программно или аппаратно, имеет то преимущество, что позволяет только доверенным машинам осуществлять доступ к сети без доступа к сети аутентифицированных пользователей и в то же время позволяет доверенным пользователям осуществлять доступ к сети с любой машины. Эта стратегия предотвращает несанкционированный доступ со стороны пользователей и машин без приемлемой аутентификации. С другой стороны, возможность машинной аутентификации обеспечивает машину действительными стандартными уровнями мандата доступа для пользователя с действительным мандатом. Пользователь без действительного (достоверного) мандата получает ограниченный санкционированный доступ на машине без действительного мандата. Такой доступ обеспечивает неаутентифицированным пользователям базовый уровень доступа. Такими пользователями могут быть посетители, новые или бывшие работники и т.п., нуждающиеся в некотором доступе к защищенной сети. Доверенные пользователи могут осуществлять доступ к сетевым ресурсам через доверенные или недоверенные машины, подключенные к сети.

Предоставление ограниченной формы доступа новым пользователям или пользователям, введшим неправильный пароль или иначе неудачно зарегистрировавшимся, облегчает их адаптацию к вычислительной среде. Аналогично, обеспечение достаточного доступа, позволяющего новым пользователям и работникам непосредственно взаимодействовать с системным администратором, децентрализует процесс добавления и удаления пользователей, в то же время сохраняя централизованное управление.

Децентрализацию нужно понимать в том смысле, что новому работнику не приходится физически идти в центральное учреждение для получения авторизации ограниченного доступа к вычислительным ресурсам. Ограничения доступа, налагаемые на неаутентифицированных пользователей, регулируют так, чтобы избежать нарушения защиты сетевых ресурсов. Для этого один и тот же пользователь может иметь разные уровни авторизации, позволяющие лучше отражать относительные степени угрозы безопасности, связанные с обстоятельствами регистрации пользователя. Например, пользователь, осуществляющий доступ к вычислительным ресурсам с удаленного устройства, может иметь более ограниченные привилегии, чем пользователь, работающий на машине в здании, где развернут интранет 205, или пользователь доверенной машины. Таким образом, раскрытые способ и система позволяют пользователям с помощью мобильных вычислительных блоков осуществлять доступ к вычислительной среде с различными уровнями доступа, т.е. авторизацию, в зависимости от идентичности мобильного вычислительного блока и/или обстоятельств, при которых запрашивается доступ.

На фиг.3 показана вычислительная среда 300, способная поддерживать беспроводные линии связи. Мобильный вычислительный блок 305 по линии связи 310 может связываться с вычислительной средой 300, имеющей точку доступа 315. Точка доступа 315 выступает в качестве средства аутентификации для мобильного вычислительного блока 305, предоставляя ему доступ к вычислительным ресурсам вычислительной среды 300. Из точки доступа 315 идентификаторы и сертификаты, предоставленные мобильным вычислительным блоком 305, поступают на сервер 325 "службы аутентификации удаленных пользователей по коммутируемым линиям связи" (RADIUS), который осуществляет аутентификацию предоставленных идентификаторов. Запросы на идентификацию и подтверждение идентичности сервер 325 RADIUS пересылает на мобильный вычислительный блок 305 через точку доступа 315, во избежание любого непосредственного обмена между сервером 325 RADIUS и неаутентифицированным мобильным вычислительным блоком 305.

На фиг.4 показан мобильный вычислительный блок 400, который, будучи удаленным, пытается осуществить доступ к сети интранет 405. Мобильный вычислительный блок 400 связывается с точкой удаленного доступа 410, которая играет роль средства аутентификации, и использует прокси-сервер 415 RADUIS для аутентификации мобильного вычислительного блока 400. В случае успешной аутентификации точка доступа 410 направляет пакеты, адресованные в сеть, на коммутатор 420 ВЛВС (виртуальной ЛВС). Коммутатор 420 ВЛВС консультируется с сервером 430 регистрации, чтобы определить, разрешен ли мобильному вычислительному блоку 400 удаленный доступ к ВЛВС 425, подключенной к интранет 405. В случае успешной регистрации мобильного вычислительного блока 400 передачи, адресованные ВЛВС 425 или серверу 435, подключенному через интранет 504, надлежащим образом пересылаются. В случае неудачной аутентификации дальнейшее прохождение пакетов на ВЛВС 425 или сервер 435 блокируется.

Согласно изобретению, существуют два возможных состояния регистрации для пользователя и машины соответственно: пользователь с действительным (достоверным) мандатом; пользователь без действительного мандата; машина с действительным мандатом и машина без действительного мандата. Состояния регистрации машины и пользователя совместно порождают четыре возможных состояния регистрации. Изобретение включает в себя варианты осуществления, выражающие предпочтение одному из возможных состояний регистрации перед другими возможными состояниями регистрации.

Согласно варианту изобретения, в случае невозможности аутентифицировать идентичность пользователя машина, на которой работает пользователь, может предоставить идентификатор, позволяющий осуществить машинную процедуру регистрации для обеспечения ограниченного доступа. На фиг.5, которую не следует рассматривать как единственно возможный вариант способа, показана возможная последовательность этапов, осуществляя которые, доверенная машина может зарегистрироваться на основании своего машинного идентификатора. Для этого доверенный пользователь первоначально устанавливает статус доверительности машины. Согласно фиг.5, на этапе 500 доверенный пользователь запрашивает идентификатор машины, на которой работает пользователь. Сетевой сервер, например контроллер домена, определяет, является ли пользователь доверенным, на этапе 505, и уполномоченным, на этапе 510, делать такой запрос. Если пользователь уполномочен делать запрос, то сетевой сервер предоставляет уникальный идентификатор машины (этап 515). В противном случае на этапе 520 сетевой сервер отказывает в выполнении запроса. На этапе 525 сетевой сервер запрашивает СС предоставить сертификат, подтверждающий идентичность машины, и на этапе 530 направляет сертификат на машину. На этапе 535 идентификатор машины и сертификат предпочтительно сохраняют на машине для последующего использования.

Согласно варианту осуществления, проиллюстрированному на фиг.6, аутентификация машины и аутентификация пользователя осуществляются либо с использованием подходящего мандата или с использованием принятого по умолчанию ИД пользователя, что позволяет системному администратору вмешиваться в процесс аутентификации машины или пользователя. На этапе 600 делают запрос на доступ к сети. При наличии мандата машины переходят от этапа 605 к этапу 610 аутентификации машины. Хотя в данном варианте осуществления пользователя нельзя аутентифицировать на той же машине, этот факт не следует рассматривать как ограничение объема изобретения. Этап 610 особенно полезен для запуска серверов в сети без необходимости одновременной регистрации пользователя. Более того, некоторые машины в привилегированных местоположениях могут даже не обеспечивать пользовательский интерфейс. Этап 615 соответствует случаю неудачной аутентификации машины. С другой стороны, если машина не имеет мандата, то от этапа 605 переходят к этапу 620. На этапе 620 машина использует принятый по умолчанию идентификатор пользователя, чтобы инициировать аутентификацию машины, которая завершается либо успешно на этапе 625, либо неудачно на этапе 630. По завершении этапов 620, 625 и 630 переходят к этапу 635. На этапе 635 выполняются команды, инициирующие регистрацию пользователя. При наличии мандата пользователя переходят к этапу 645, который соответствует успешной аутентификации пользователя, после чего процедура завершается. С другой стороны, если мандат пользователя неприемлем, то на этапе 650 фиксируют неудачную аутентификацию пользователя, и на этом процедура прекращается. В случае выявления отсутствия мандата пользователя на этапе 640 переходят к этапу 655 успешного использования принятого по умолчанию идентификатора пользователя. Если не удается аутентифицировать пользователя посредством принятого по умолчанию идентификатора пользователя, переходят к этапу 660 и, соответственно, завершают процедуру.

Иллюстративный вариант осуществления среды, совместимой с протоколом расширяемой аутентификации (ПРА), предусматривает использование начального сообщения ПРА. Конечно, в других средах можно использовать другие начальные сообщения, например, для уменьшения суммарного количества сообщений, применяемых для проведения начальных транзакций.

На фиг.7 проиллюстрирован вариант осуществления процедуры аутентификации в отношении доверенной машины. На этапе 700 пользователь выдает начальное сообщение, выражающее запрос доступа к вычислительной среде. Точка беспроводного доступа принимает начальное сообщение для установления беспроводной линии связи. Реализация точки беспроводного доступа не позволяет ей пересылать трафик данных, поступающий из соединения, не прошедшего аутентификацию, ни в нижележащую проводную сеть, ни на другое беспроводное мобильное вычислительное устройство. Точка доступа, выступая в роли средства аутентификации, обеспечивает ограниченное взаимодействие для аутентификации запрашивающей стороны до установления подходящей линии связи. Для этого на этапе 705 точка доступа запрашивает идентификацию запрашивающей стороны, чтобы инициировать процедуру аутентификации в случае недостатка информации для идентификации, например, в начальном сообщении. В ответ на такой запрос на этапе 710 запрашивающая сторона предоставляет идентифицирующую информацию, достаточную для аутентификации, если таковая доступна. При таком определении применяется период перерыва. Альтернативно, запрашивающая сторона явно указывает неспособность предоставить запрашиваемую идентифицирующую информацию.

При доступности запрашиваемой идентифицирующей информации на этапе 715 осуществляется стандартная процедура аутентификации. В стандартной процедуре точка доступа направляет заявленную идентичность на сервер RADIUS. Сервер RADIUS передает запрос на точку доступа, которая, в свою очередь, пересылает его на мобильный вычислительный блок. Мобильный вычислительный блок и сервер RADIUS не могут непосредственно связываться друг с другом, что гарантирует защиту сетевых ресурсов. Однако в случае отсутствия достаточной идентифицирующей информации доверенная машина предоставляет идентификатор машины на этапе 720. Точка доступа направляет идентификатор доверенной машины на сервер RADIUS, который, в свою очередь, обеспечивает запрос, пересылаемый точкой доступа на мобильный вычислительный блок.

На этапе 725 точка доступа запрашивает заявленную идентичность, запрашивая подтверждение заявленной идентичности в соответствии с запросом, поступившим от сервера RADIUS. На этапе 730 мобильный вычислительный блок предоставляет точке доступа сертификат, подтверждающий заявленную идентичность машины. На этапе 735 точка доступа предоставляет ограниченный доступ, соответствующий заявленной и аутентифицированной идентичности машины, если сертификат действителен.

На фиг.8 проиллюстрирован способ использования принятого по умолчанию идентификатора пользователя для обеспечения вмешательства системного администратора. Этот способ выгодно применять при аутентификации и регистрации новых пользователей без необходимости их физического присутствия в центральном учреждении. После выдачи начального сообщения на этапе 800 для запрашивания доступа к вычислительной среде на этапе 805 запрашивают идентификацию. На этапе 810 пользователь предоставляет принятый по умолчанию идентификатор пользователя, который может быть пустой строкой. Получив принятый по умолчанию идентификатор пользователя, система не отказывает пользователю в доступе, а вместо этого вызывает системного администратора, который решает, предоставить ли пользователю доступ к вычислительной среде, и определяет уровень авторизации на этапе 815. Если системный администратор подтверждает идентичность пользователя, т.е. аутентифицирует пользователя, то контроллер домена позволяет пользователю зарегистрироваться на этапе 830. Затем контроллер домена получает сертификат для предоставления идентификатора пользователя на этапе 835. На этапе 840 сертификат сохраняют для подтверждения идентичности пользователя при последующих попытках доступа к вычислительным ресурсам без необходимости обращаться к системному администратору.

На фиг.9 представлен иллюстративный способ предоставления пользователю ограниченного доступа с удаленного и незащищенного устройства, причем способ сводится к запросу на использование одной или нескольких машин, идентичность которых неизвестна или которые физически расположены вне сети интранет. В таком сценарии предпочтительно обеспечивать ограниченный доступ, который не отражает все привилегии, которые мог бы иметь конкретный пользователь, работая на защищенном узле или защищенной машине. На этапе 900 направляют запрос доступа точке удаленного доступа через прокси-сервер, после чего на этапе 905 запрашивают заявленную идентичность обычным образом. Получив на этапе 910 идентификатор, который может быть идентификатором пользователя или машины, запрашивают на этапе 915 подтверждение заявленной идентичности. На этапе 920 запрашивающая сторона подтверждает заявленную идентичность, предоставляя сертификат, выданный доверенной службой сертификации. Прокси-сервер RADIUS проводит соответствующие транзакции, и сервер RADIUS, снабженный функцией проверки защиты, предоставляет пользователю унифицированный указатель ресурса (URL), фактически адрес порта, обеспечивая доступ к вычислительным ресурсам на этапе 925. Этот URL обычно обеспечивает пользователя более низкой степенью доступа к сетевым ресурсам по сравнению с той, которую бы он получил через точку доступа в сети.

На фиг.10 приведены этапы другого варианта осуществления изобретения для удаленного доступа к защищенному вычислительному ресурсу. На этапе 1000 удаленный пользователь запрашивает доступ к ресурсу защищенной вычислительной среды. Этот запрос можно делать в точке доступа другой сети и через Интернет. Сервер RADIUS обрабатывает запрос и предоставляет URL на этапе 1005, чтобы обеспечить аутентификацию запрашивающей стороны на удаленном вычислительном устройстве. Это соединение, вероятно, является защищенным соединением, что указано на этапе 1010, и может использовать SSL (уровень защищенных гнезд) и другие подобные технологии для аутентификации запрашивающей стороны. Кроме того, веб-страница, используемая для аутентификации, может также запрашивать и получать информацию для целей экаунтинга. Такая информация включает в себя номера кредитных карт, время и характер запрашиваемых ресурсов и т.п. На этапе 1015 определяют наличие или отсутствие запрашиваемых услуг. При наличии услуг и успешной аутентификации на этапе 1020 предоставляется авторизация для доступа к запрашиваемым ресурсам, после чего процедура заканчивается. С другой стороны, при отсутствии запрашиваемых ресурсов переходят от этапа 1015 к этапу 1030, чтобы сообщить запрашивающей стороне об отсутствии ресурса или доступа, после чего процедура заканчивается на этапе 1025.

Вышеописанные способы обеспечивают автоматическое администрирование совокупностью пользователей, некоторые из которых имеют мобильные вычислительные блоки, в сети, имеющей динамические линии связи, за счет машинной или пользовательской аутентификации, объединенной с различными уровнями авторизации, отражающими относительную угрозу безопасности для различных пользователей и линий связи.

Защищенная линия связи, установленная описанными здесь способами, включает в себя шифрование. Шифрование обеспечивается обменом, по меньшей мере, одним ключом и генерацией дополнительных ключей точкой доступа и мобильным вычислительным блоком, для создания защищенной связи. Эти ключи могут быть симметричными или асимметричными. Каждое шифрование предусматривает частые смены ключа для повышения уровня защиты. Кроме того, в случае нарушения защищенной линии связи с последующим ее восстановлением в новой точке доступа, подключенной к ранее использованной точке доступа, мобильный вычислительный блок всего лишь представляет идентичность ранее использованной точки доступа и заявляет свою идентичность. Новая точка доступа подтверждает предыдущую аутентификацию мобильного вычислительного блока и разрешает доступ, не требуя повторной аутентификации мобильного вычислительного блока. Эта стратегия в сочетании с перерывом обеспечивает лучшие условия работы в сети благодаря уменьшению задержки за счет времени, необходимого для аутентификации нового мобильного блока.

Ввиду большого количества возможных вариантов осуществления, к которым применимы принципы этого изобретения, следует понимать, что вариант осуществления, описанный здесь со ссылками на чертежи, носит исключительно иллюстративный характер и не должен рассматриваться как ограничение объема изобретения. Например, специалистам в данной области очевидно, что элементы проиллюстрированного варианта осуществления, показанные в виде программного обеспечения, можно реализовать в виде аппаратного обеспечения и наоборот или что проиллюстрированный вариант осуществления можно модифицировать в отношении структуры и деталей, не выходя за рамки сущности изобретения. Поэтому описанное здесь изобретение охватывает все подобные варианты осуществления и соответствует объему нижеприведенной формулы изобретения и ее эквивалентов.

Все приведенные здесь ссылки, в том числе на патенты, патентные заявки и публикации, включены в настоящее описание изобретения во всей полноте посредством ссылки.

Похожие патенты RU2297037C2

название год авторы номер документа
КОНТЕКСТ УСТОЙЧИВОЙ АВТОРИЗАЦИИ НА ОСНОВЕ ВНЕШНЕЙ АУТЕНТИФИКАЦИИ 2008
  • Мауэрс Дэвид Р.
  • Дубровкин Дэниэл
  • Лейбэн Рой
  • Шмидт Дональд И.
  • Висванатан Рэм
  • Брезак Джон И.
  • Уорд Ричард Б.
RU2390838C2
КОНТЕКСТ УСТОЙЧИВОЙ АВТОРИЗАЦИИ НА ОСНОВЕ ВНЕШНЕЙ АУТЕНТИФИКАЦИИ 2003
  • Мауэрс Дэвид Р.
  • Дубровкин Дэниэл
  • Лейбэн Рой
  • Шмидт Дональд И.
  • Висванатан Рэм
  • Брезак Джон И.
  • Уорд Ричард Б.
RU2337399C2
УПРАВЛЯЕМОЕ ПОЛИТИКАМИ ДЕЛЕГИРОВАНИЕ УЧЕТНЫХ ДАННЫХ ДЛЯ ЕДИНОЙ РЕГИСТРАЦИИ В СЕТИ И ЗАЩИЩЕННОГО ДОСТУПА К СЕТЕВЫМ РЕСУРСАМ 2007
  • Медвинский Геннадий
  • Илак Кристиан
  • Хагиу Костин
  • Парсонз Джон Э.
  • Фатхалла Мохамед Эмад Эль Дин
  • Лич Пол Дж.
  • Камель Тарек Бухаа Эль-Дин Махмуд
RU2439692C2
ОДНОРАНГОВАЯ АУТЕНТИФИКАЦИЯ И АВТОРИЗАЦИЯ 2005
  • Гупта Рохит
  • Манион Тодд Р.
  • Рао Рави Т.
  • Сингхал Сандип К.
RU2390945C2
РЕГИСТРАЦИЯ/СУБРЕГИСТРАЦИЯ СЕРВЕРА УПРАВЛЕНИЯ ЦИФРОВЫМИ ПРАВАМИ (УЦП) В АРХИТЕКТУРЕ УЦП 2004
  • Костал Грегори
  • Борн Стив
  • Кришнасвами Винай
RU2348073C2
СПОСОБ АВТОРИЗАЦИИ ОПЕРАЦИИ, ПРЕДНАЗНАЧЕННОЙ ДЛЯ ВЫПОЛНЕНИЯ НА ЗАДАННОМ ВЫЧИСЛИТЕЛЬНОМ УСТРОЙСТВЕ 2014
  • Стерн Аллон Дж.
RU2675902C2
УСТРОЙСТВО МОБИЛЬНОЙ СВЯЗИ И СПОСОБ РАБОТЫ С НИМ 2014
  • Стерн Аллон Дж.
  • Хейли Джон
RU2673969C2
ПУБЛИКАЦИЯ ЦИФРОВОГО СОДЕРЖАНИЯ В ОПРЕДЕЛЕННОМ ПРОСТРАНСТВЕ, ТАКОМ, КАК ОРГАНИЗАЦИЯ, В СООТВЕТСТВИИ С СИСТЕМОЙ ЦИФРОВОГО УПРАВЛЕНИЯ ПРАВАМИ (ЦУП) 2004
  • Нарин Аттила
  • Венкатеш Чандрамоули
  • Бирум Фрэнк Д.
  • Демелло Марко А.
  • Ваксман Питер Дэвид
  • Малик Прашант
  • Малавиараччи Рушми У.
  • Борн Стив
  • Кришнасвами Винай
  • Розенфельд Евгений Юджин
RU2344469C2
УСТРОЙСТВО МОБИЛЬНОЙ СВЯЗИ И СПОСОБ РАБОТЫ С НИМ 2014
  • Стерн Аллон Дж.
RU2672712C2
ПОВЫШЕНИЕ УРОВНЯ АВТОМАТИЗАЦИИ ПРИ ИНИЦИАЛИЗАЦИИ КОМПЬЮТЕРНОЙ СИСТЕМЫ ДЛЯ ДОСТУПА К СЕТИ 2003
  • Крантц Антон В.
  • Мур Тимоти М.
  • Абрахам Дален М.
  • Гудэй Шей
  • Бахл Прадип
  • Абоба Бернард Д.
RU2342700C2

Иллюстрации к изобретению RU 2 297 037 C2

Реферат патента 2007 года УПРАВЛЕНИЕ ЗАЩИЩЕННОЙ ЛИНИЕЙ СВЯЗИ В ДИНАМИЧЕСКИХ СЕТЯХ

Изобретение относится к усовершенствованию линий передачи аудио/видеосигналов и данных в динамических сетях и вычислительных средах и, в частности, к установлению линий связи со средствами шифрования и защиты и управлению ими в таких средах. Изобретение обеспечивает упрощенное установление динамических защищенных линий связи между компьютером-клиентом и серверным устройством. Описан способ установления защищенных линий связи для передачи данных и управления ими посредством обмена защитными ключами, аутентификации и авторизации. Способ предусматривает установление защищенной линии связи с ограниченными привилегиями с использованием идентификатора мобильного вычислительного блока. Это особенно выгодно, если пользователь мобильного блока не имеет информации, идентифицирующей пользователя, подходящей для аутентификации. Кроме того, преимущество представления пользователем принятой по умолчанию информации, идентифицирующей пользователя, состоит в том, что оно инициирует вмешательство системного администратора вместо отказа по пустой строке. Эта децентрализованная процедура позволяет новым пользователям осуществлять доступ к сети без необходимости физического присутствия в центральном учреждении для предъявления своих мандатов. 6 н. и 28 з.п. ф-лы, 10 ил.

Формула изобретения RU 2 297 037 C2

1. Способ предоставления мобильному вычислительному блоку привилегированного доступа к вычислительному ресурсу, способ содержит этапы, на которых обнаруживают неудачную попытку пользователя мобильного вычислительного блока зарегистрироваться для доступа к вычислительному ресурсу и затем получают сертификат с уникальным идентификатором мобильного вычислительного блока для облегчения аутентификации идентичности упомянутого блока, предоставляют сертификат блоку аутентификации для подтверждения идентичности мобильного вычислительного блока, причем блок аутентификации управляет доступом к вычислительному ресурсу, и устанавливают ограниченный доступ к вычислительному ресурсу с использованием информации авторизации, полученной от блока аутентификации, причем информация авторизации соответствует аутентифицированной идентичности мобильного вычислительного блока.2. Способ по п.1, отличающийся тем, что мобильный вычислительный блок связывается с вычислительным ресурсом с использованием, по меньшей мере, одной беспроводной линии связи.3. Способ по п.1, отличающийся тем, что информация авторизации включает в себя ключ для шифрования передач с мобильного вычислительного блока на входной порт.4. Способ по п.3, отличающийся тем, что ключ является симметричным сеансовым ключом.5. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором определяют, что мобильный вычислительный блок не имеет сертификата, подтверждающего идентичность машины, и в ответ выполняют этап получения сертификата.6. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором сохраняют уникальный идентификатор машины на мобильном вычислительном блоке для последующего использования.7. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором сохраняют сертификат на мобильном вычислительном блоке.8. Способ по п.1, отличающийся тем, что дополнительно содержит этап, на котором принимают уникальный идентификатор машины.9. Способ по п.1, отличающийся тем, что дополнительно содержит этапы, на которых контроллер домена получает сертификат от службы сертификации и принимают сертификат от контроллера домена.10. Способ по п.9, отличающийся тем, что контроллер домена получает сертификат в ответ на пользовательский запрос, поступивший от пользователя, причем пользователь использует мобильный вычислительный блок для доступа к вычислительному ресурсу.11. Способ предоставления пользователю привилегированного доступа к вычислительному ресурсу, причем доступ к вычислительному ресурсу является ограниченным, способ содержит этапы, на которых запрашивают доступ к вычислительному ресурсу, предоставляют принятый по умолчанию идентификатор пользователя, чтобы инициировать процесс регистрации для получения ограниченного доступа к вычислительному ресурсу, принимают посредством администратора принятый по умолчанию идентификатор пользователя, подтверждают посредством администратора идентичность пользователя и в ответ предоставляют информацию для получения доступа к вычислительному ресурсу, и передают и принимают данные на вычислительный ресурс и от него для завершения процесса регистрации.12. Способ по п.11, отличающийся тем, что дополнительно содержит этап, на котором получают доступ к вычислительному ресурсу, при условии успешной регистрации на контроллере домена, причем контроллер домена соответствует вычислительному ресурсу.13. Способ по п.11, отличающийся тем, что дополнительно содержит этапы, на которых контроллер домена получает сертификат для аутентификации пользователя, и пользователь принимает от контроллера домена сертификат для аутентификации пользователя.14. Способ по п.11, отличающийся тем, что пользователь осуществляет доступ к вычислительному ресурсу с использованием, по меньшей мере, одной беспроводной линии связи.15. Способ предоставления пользователю защищенного доступа к вычислительному ресурсу с внешнего устройства, способ содержит этапы, на которых посылают запрос доступа к вычислительному ресурсу, предоставляют идентификатор пользователя аутентифицирующему прокси-серверу через точку удаленного доступа, причем идентификатор пользователя соответствует заявленной идентичности, в ответ на запрос предоставляют аутентифицирующему прокси-серверу через точку удаленного доступа сертификат для аутентификации заявленной идентичности и принимают от аутентифицирующего прокси-сервера адрес для передачи и приема данных на вычислительный ресурс и от него, причем адрес соответствует ограниченному доступу к вычислительному ресурсу.16. Способ по п.15, отличающийся тем, что адрес для передачи и приема данных представляет собой унифицированный указатель ресурса.17. Способ по п.16, отличающийся тем, что пользователь дополнительно принимает ключ для шифрования передач на вычислительный ресурс.18. Способ по п.17, отличающийся тем, что дополнительно используют ключ для дешифрования передач от вычислительного ресурса.19. Считываемый компьютером носитель, содержащий выполняемые компьютером команды для осуществления этапов способа предоставления привилегированного доступа от мобильного вычислительного блока к вычислительному ресурсу, причем способ содержит этапы, на которых обнаруживают неудачную попытку пользователя мобильного вычислительного блока зарегистрироваться для доступа к вычислительному ресурсу и затем получают сертификат с уникальным идентификатором мобильного вычислительного блока для облегчения аутентификации идентичности мобильного вычислительного блока,

предоставляют сертификат блоку аутентификации для подтверждения идентичности мобильного вычислительного блока, причем блок аутентификации управляет доступом к вычислительному ресурсу, и устанавливают доступ к вычислительному ресурсу с использованием информации авторизации, полученной от блока аутентификации, причем информация авторизации соответствует аутентифицированной идентичности мобильного вычислительного блока.

20. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды для осуществления этапа использования идентификатора машины в случае, когда пользователю машины не удается зарегистрироваться для доступа к вычислительному ресурсу.21. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды, отличающийся тем, что мобильный вычислительный блок связывается с вычислительным ресурсом с использованием, по меньшей мере, одной беспроводной линии связи.22. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды, отличающийся тем, что информация авторизации включает в себя ключ для шифрования передач с мобильного вычислительного блока на входной порт.23. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды для осуществления дополнительного этапа сохранения уникального идентификатора машины на мобильном вычислительном блоке для последующего использования.24. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды, для осуществления дополнительного этапа сохранения сертификата на мобильном вычислительном блоке.25. Считываемый компьютером носитель по п.19, содержащий выполняемые компьютером команды для осуществления дополнительных этапов получения контроллером домена сертификата от службы сертификации и приема сертификата от контроллера домена.26. Считываемый компьютером носитель по п.25, содержащий выполняемые компьютером команды, отличающийся тем, что контроллер домена получает сертификат в ответ на пользовательский запрос, поступивший от пользователя, на использование вычислительного ресурса.27. Считываемый компьютером носитель, содержащий выполняемые компьютером команды, для осуществления этапов способа предоставления пользователю привилегированного доступа к вычислительному ресурсу, при этом доступ к вычислительному ресурсу является ограниченным, причем способ содержит этапы, на которых запрашивают доступ к вычислительному ресурсу, предоставляют принятый по умолчанию идентификатор пользователя, чтобы инициировать процесс регистрации для получения ограниченного доступа к вычислительному ресурсу принимают посредством администратора принятый по умолчанию идентификатор пользователя, и в ответ предоставляют информацию для получения доступа к вычислительному ресурсу и передают и принимают данные на вычислительный ресурс и от него для завершения процесса регистрации.28. Считываемый компьютером носитель по п.27, содержащий выполняемые компьютером команды, для осуществления этапа получения доступа к вычислительному ресурсу, при условии успешной регистрации на контроллере домена, причем контроллер домена соответствует вычислительному ресурсу.29. Считываемый компьютером носитель по п.27, содержащий выполняемые компьютером команды, для осуществления этапов получения контроллером домена сертификата для аутентификации пользователя и приема пользователем сертификата для аутентификации пользователя от контроллера домена.30. Считываемый компьютером носитель по п.27, содержащий выполняемые компьютером команды, отличающийся тем, что пользователь осуществляет доступ к вычислительному ресурсу с использованием, по меньшей мере, одной беспроводной линии связи.31. Считываемый компьютером носитель, содержащий выполняемые компьютером команды для осуществления этапов способа предоставления пользователю защищенного доступа к вычислительному ресурсу с внешнего устройства, причем способ содержит этапы, на которых посылают запрос доступа к вычислительному ресурсу, предоставляют идентификатор пользователя, причем идентификатор пользователя соответствует заявленной идентичности, чтобы инициировать регистрацию для доступа к вычислительному ресурсу, предоставляют в ответ на запрос сертификат для аутентификации заявленной идентичности для получения доступа к вычислительному ресурсу и

принимают от аутентифицирующего прокси-сервера адрес для передачи и приема данных на вычислительный ресурс и от него.

32. Считываемый компьютером носитель по п.31, содержащий выполняемые компьютером команды, отличающийся тем, что адрес для передачи и приема данных представляет собой унифицированный указатель ресурса.33. Считываемый компьютером носитель по п.32, содержащий выполняемые компьютером команды, для осуществления этапа приема ключа для шифрования передач на вычислительный ресурс.34. Считываемый компьютером носитель по п.33, содержащий выполняемые компьютером команды, для осуществления этапа использования ключа для дешифрования передач от вычислительного ресурса.

Документы, цитированные в отчете о поиске Патент 2007 года RU2297037C2

US 5999711 А, 07.12.1999
ВЕДУЩЕЕ УСТРОЙСТВО ДАННЫХ, ВЕДОМОЕ УСТРОЙСТВО ДАННЫХ, СПОСОБ УПРАВЛЕНИЯ ДОСТУПОМ К ШИНЕ ПЕРЕДАЧИ ДАННЫХ, СПОСОБ ПОЛУЧЕНИЯ ДОСТУПА К ШИНЕ ДАННЫХ 1991
  • Грегори П. Вильсон[Us]
  • Брайан А.Потрац[Us]
  • Томас Дж.Волзак[Us]
  • Джеффри Л.Маллинз[Us]
  • Марк Е.Прилл[Us]
RU2105422C1
ПИРИДИНИЛКАРБАМАТЫ В КАЧЕСТВЕ ИНГИБИТОРОВ ГОРМОН-ЧУВСТВИТЕЛЬНОЙ ЛИПАЗЫ 2004
  • Корнелис Де Йонг Йоханнес
  • Якобсен Поул
  • Эбдруп Сёрен
RU2337908C2
Прибор, замыкающий сигнальную цепь при повышении температуры 1918
  • Давыдов Р.И.
SU99A1
US 6049877 А, 11.04.2000.

RU 2 297 037 C2

Авторы

Мур Тимоти М.

Айягари Арун

Шетх Сачин К.

Бахл Прадип

Даты

2007-04-10Публикация

2001-02-23Подача