機器對機器虛擬私有網絡的製作方法
2023-05-10 09:01:16 1
本發明涉及用於建立用於機器對機器設備的虛擬私有網絡的方法和系統。
背景技術:
許多機器對機器(M2M)用戶要求在分布式M2M設備和其公司場所(premise)(通常存在被稱作VPN集中器的伺服器的地方)之間建立IPSec、SSL或者其他虛擬私有網絡(VPN)。設立VPN涉及既向所有相關的M2M設備又向VPN伺服器分配預共享密鑰或證書的複雜的(並且經常人工的)過程。由於缺少用以分配密鑰的端對端安全連接,向M2M設備遠程地發送預共享密鑰是困難的。
最廣泛使用的解決方案是共享秘密的人工分配。對於具有多於兩個對等設備的部署,這通常是組密鑰,或者有時是可以從組密鑰和設備標識符導出的單獨的設備密鑰。這些解決方案是麻煩的並且具有安全限制。
來自微軟公司的一個解決方案涉及自動地將設備登記(enroll)到PKI中並給設備發布設備證書,使得它們然後可以隨後連接到VPN中。然而,這具有限制。該系統要求建立企業PKI(認證機構(CA)層級)並且要求企業併入微軟活動目錄中(以支持自動化的證書登記)。設備通常需要在構建時(例如,通過域管理員)加入到域並且該加入操作需要在公司場所內被執行。對於不具有微軟作業系統的設備的支持可能是有問題的。
然而,該系統不適於M2M設備,因為這樣的設備通常不具有任何形式的活動目錄支持和/或在遠離企業的場所的場中被激活。企業為了該目的建立PKI所要求的成本和開銷也是相當可觀的。
因此,要求克服這些問題的方法和系統。
技術實現要素:
在一個或多個M2M設備和VPN伺服器之間設立虛擬私有網絡(VPN)。通過代理(broker)或其他實體在M2M設備上供應VPN的細節或憑證。代理通過網絡應用編程接口(API)與VPN伺服器交互。VPN伺服器向代理髮布API請求。API請求包括將在M2M設備上供應的VPN伺服器的憑證。代理向VPN發布包括哪些M2M設備已經被供應的指示的API響應。因此,可以發起VPN。進一步的API請求和響應可以被用來通知VPN伺服器已經被供應或者應該不再被包括的(即,對VPN不可用的)新的M2M設備。代理可以可選地給M2M設備提供VPN伺服器的憑證(例如,密鑰),使得可以向設備認證伺服器(或者M2M設備可以提前接收VPN伺服器憑證)。代理可以可選地給VPN伺服器提供M2M設備的憑證(例如,密鑰),使得可以向伺服器認證設備(或者VPN伺服器可以提前接收M2M設備憑證)。憑證(密鑰)可以由VPN伺服器和/或由每個M2M設備或由代理(即,M2M設備具有有限的功能)生成。代理可以優選地使用通用自舉架構(GBA)與M2M設備安全地通信。
根據第一方面,提供了一種用於提供安全的機器對機器M2M通信的系統,包括:
設備管理DM伺服器,其被配置成獲得一個或多個M2M設備的憑證並且給一個或多個M2M設備供應虛擬私有網絡VPN的憑證;
應用編程接口API;以及
VPN伺服器,包括:
第一通信接口,其被配置成利用API傳送API請求和API響應;
第二通信接口,其被配置成為一個或多個M2M設備提供VPN;以及
邏輯,其被配置成:
發布API請求,其中請求包括VPN的憑證,
從DM伺服器接收API響應,所述API響應包括對被供應VPN的憑證的一個或多個M2M設備的指示,以及
通過一個或多個M2M設備和VPN伺服器之間的第二接口發起VPN。
因此,對於通常是無人管的且具有受限硬體的M2M設備而言,可以較有效和安全地設立和管理VPN。
優選地,DM伺服器可以是網絡應用功能NAF。NAF可以例如使用通用自舉架構(GBA)安全地通信。這進一步增強了安全。
有利地,API響應可以包括一個或多個被供應的M2M設備的憑證。更進一步地,憑證可以包括如下中的任何一個或多個:M2M設備標識符、IMEI、MAC地址、IMSI、MSISDN、用於每個M2M設備的設備密鑰、用於每個設備的設備證書。可以使用任何其他憑證。因此,可以使用M2M憑證來發起VPN。
可選地,請求可以包括從由如下構成的組選擇的一個或多個請求參數:VPN伺服器標識符、VPN組密鑰、證書機構(CA)公共密鑰、CA證書、VPN伺服器公共密鑰、VPN伺服器證書和VPN伺服器證書請求。這些參數可以由DM伺服器傳遞並被最終傳遞給M2M設備,使得它們可以被用來設立VPN。其他參數也可以被發送或代替這些參數。M2M設備可以發起VPN或者VPN伺服器(或集中器)可以設立VPN。
可選地,API請求可以進一步包括VPN伺服器的憑證。還可以給M2M設備供應VPN伺服器的憑證。
根據第二方面,提供了一種用於提供安全的機器對機器M2M通信的設備管理DM伺服器,包括:
第一通信接口;
第二通信接口;以及
邏輯,其被配置成:
通過第一通信接口從虛擬私有網絡VPN伺服器接收應用編程接口API請求,其中API請求包括VPN的憑證並且可選地包括VPN伺服器的憑證,
通過第二通信接口給一個或多個M2M設備供應VPN的憑證並且可選地供應VPN伺服器的憑證,以及
響應於API請求而提供一個或多個M2M設備的憑證,所述一個或多個M2M設備被成功地供應VPN的憑證並且可選地供應VPN伺服器的憑證。DM伺服器或代理可以在VPN伺服器和M2M設備之間動作。
有利地,供應VPN伺服器的憑證可以使用通用自舉架構(GBA)。這進一步提高了安全。
可選地,邏輯可以被進一步配置成通過API接收CA公共密鑰、CA證書、VPN伺服器公共密鑰、VPN伺服器證書和/或針對VPN伺服器證書的請求以及給一個或多個M2M設備中的每個供應公共密鑰或證書以允許M2M設備認證VPN伺服器。這可能對尚未被安全地供應(一個或多個)適當的公共密鑰和/或(一個或多個)適當的證書的M2M設備尤其有用。
可選地,邏輯可以被進一步配置成針對每個M2M設備生成加密私有和公共密鑰對並且給一個或多個M2M設備中的每個供應所生成的加密密鑰對的私有密鑰。這可能對不能生成它們自己的密鑰的M2M設備尤其有用。
根據第三方面,提供了一種虛擬私有網絡VPN伺服器,包括:
通信接口;以及
邏輯,被存儲的指令或處理器,其被配置成:
通過應用編程接口API向設備管理器DM伺服器請求一個或多個機器對機器M2M設備的憑證,其中請求包括VPN的憑證並且可選地包括VPN伺服器的憑證,
接收對請求的響應,其中響應包括被成功地供應VPN的憑證的一個或多個M2M設備的憑證,以及
通過通信接口使得VPN能夠用於一個或多個機器對機器M2M設備。
根據第四方面,提供了一種機器對機器M2M設備,包括:
第一通信接口;
第二通信接口;以及
邏輯,被存儲的指令或處理器,其被配置成:
通過第一通信接口由設備管理DM伺服器供應虛擬私有網絡VPN憑證,以及
使得能夠使用VPN憑證通過第二通信接口設立與VPN伺服器的VPN。
可選地,邏輯可以被進一步配置成通過第一通信接口接收CA公共密鑰、CA證書、VPN伺服器公共密鑰或VPN伺服器證書,並且使用(一個或多個)這樣的憑證通過第二通信接口來認證VPN伺服器。
可選地,邏輯可以被進一步配置成生成密鑰對並且被配置成給DM伺服器提供所生成的密鑰對的公共密鑰,供VPN伺服器用來建立與M2M設備的VPN。因此當發起VPN時,VPN伺服器可以認證和/或驗證M2M設備。
優選地,邏輯可以被進一步配置成使得M2M設備能夠被供應VPN伺服器的憑證。
根據第五方面,提供了一種用於使用虛擬私有網絡VPN伺服器和設備管理器DM伺服器提供安全的機器對機器M2M通信的方法,方法包括如下步驟:
VPN伺服器向DM伺服器發布應用編程接口API請求,其中請求包括VPN的憑證;
DM伺服器給一個或多個M2M設備供應VPN的憑證;
DM伺服器給VPN伺服器提供對被成功地供應的一個或多個M2M設備的指示,作為API響應;
使用所提供的憑證在VPN伺服器和一個或多個M2M設備之間設立VPN。
優選地,可以使用通用自舉架構GBA由DM伺服器給一個或多個M2M設備供應VPN的憑證。
可選地,方法可以進一步包括如下步驟:
DM伺服器獲得用於設立VPN的一個或多個M2M設備的憑證,其中到VPN伺服器的API響應包括一個或多個M2M設備的憑證。對給M2M設備成功地供應VPN伺服器的憑證的確認可以以被成功地供應的每個M2M設備的憑證的形式出現。
優選地,可以使用通用自舉架構GBA由DM伺服器向一個或多個M2M設備供應VPN伺服器的憑證。
可選地,VPN伺服器的API請求可以進一步包括一個或多個進一步VPN伺服器的標識符,方法進一步包括DM伺服器給一個或多個進一步VPN伺服器提供一個或多個M2M設備的憑證的步驟。換言之,替代的或附加的VPN伺服器可以被包括並且M2M設備可以被供應,使得它們也可以連接到這樣的伺服器。例如,這可以幫助冗餘和負載均衡。
可選地,方法可以進一步包括DM伺服器給VPN伺服器提供用以標識被成功地供應的一個或多個M2M設備的不同集合的信息作為進一步API請求和響應的步驟。換言之,可以更新M2M設備的集合。這可以是M2M設備的完整集合或者增量(增加或移除設備)。VPN伺服器然後可以拒絕為不再在集合中的M2M設備(即使它們先前被供應)發起VPN或者允許新添加的設備。
可選地,VPN伺服器API請求可以包括VPN伺服器的標識符和M2M設備的一個或多個標識符。
可選地,API響應可以包括用於被成功地供應VPN憑證的每個M2M設備的加密密鑰。
可選地,方法可以進一步包括使用通用自舉架構GBA在DM伺服器和設備之間共享每個M2M設備的加密密鑰的步驟。
可選地,加密密鑰可以是如下中的任一個:
Ks_NAF,
從Ks_NAF導出的加密密鑰,或者
使用現有的Ks_NAF保護的向或從每個M2M設備發送的加密密鑰。
可選地,API響應可以包括與M2M設備中的每個相關聯的設備證書。
可選地,方法可以進一步包括使用通用自舉架構GBA在DM伺服器和設備之間共享或建立每個M2M設備的設備證書的步驟。
可選地,API請求可以包括VPN的組密鑰並且API響應包括對被成功地供應VPN組密鑰的每個M2M設備的指示。
可選地,方法可以進一步包括使用通用自舉架構GBA在DM伺服器和每個設備之間共享VPN的組密鑰的步驟。
優選地,可以使用Ks_NAF來保護組密鑰。
可選地,API請求可以包括VPN伺服器的加密密鑰,並且API響應可以包括對被成功地供應VPN伺服器密鑰的每個M2M設備的指示。
可選地,API請求可以包括VPN伺服器的伺服器證書並且API響應包括對被成功地供應VPN伺服器證書的每個M2M設備的指示。
可選地,方法可以進一步包括使用通用自舉架構GBA在DM伺服器和設備之間共享VPN伺服器的伺服器證書的步驟。
可選地,伺服器證書可以被自籤名。這減小了PKI開銷。可以通過DM伺服器和M2M設備之間的安全鏈路將VPN伺服器的經自籤名的證書發送到每個M2M設備。可以使用Ks_NAF或從Ks_NAF導出的密鑰來完整性保護VPN伺服器證書。
有利地,每個M2M設備可以生成密鑰對和經自籤名的證書。方法可以進一步包括優選地通過M2M設備和DM伺服器之間的安全鏈路向DM伺服器發送(經自籤名的)設備證書(例如,可以使用Ks_NAF或從Ks_NAF導出的密鑰來完整性保護它)的步驟。
可選地,DM伺服器可以生成代表M2M設備的密鑰對和經自籤名的證書。在該情況下,優選地通過DM伺服器和M2M設備之間的安全鏈路向M2M設備發送私有密鑰和經自籤名的證書(例如,使用Ks_NAF或從Ks_NAF導出的密鑰來加密和完整性保護它)。
優選地,API請求可以進一步包括VPN伺服器的憑證,方法可以進一步包括DM伺服器給一個或多個M2M設備供應VPN伺服器的憑證。
可選地,VPN伺服器API請求可以包括VPN證書請求。
可選地,API響應可以包括如下中的任何一個或多個:證書機構(CA)證書、由CA發布的VPN伺服器證書、對被成功地供應CA下的證書的一個或多個M2M設備的指示。
上文描述方法可以被實現為包括用以操作計算機的程序指令的電腦程式。電腦程式可以被存儲在計算機可讀介質上。
根據第六方面,提供一種應用編程接口API,其被配置成:
從虛擬私有網絡VPN伺服器向設備管理器DM伺服器發布請求,其中請求包括用於在VPN伺服器和一個或多個M2M設備之間設立VPN的憑證,以及
從DM伺服器向VPN伺服器發送響應,其中響應包括對被供應VPN憑證的一個或多個M2M設備的指示。
可選地,API請求可以進一步包括VPN伺服器的憑證。
可選地,API響應可以進一步包括被供應VPN憑證的一個或多個M2M設備的憑證。
計算機系統可以包括諸如中央處理單元(CPU)之類的處理器。處理器可以執行以軟體程序的形式的邏輯。邏輯可以採取被存儲的指令或被配置成執行特定指令的處理器的形式。計算機系統可以包括存儲器,其包括易失性和非易失性存儲介質。可以包括計算機可讀介質以存儲邏輯或程序指令。可以使用網絡(例如無線網絡和有線網絡)連接系統的不同部分。計算機系統可以包括一個或多個接口。例如,計算機系統可以包含諸如UNIX、Windows(RTW)或者Linux之類的適當的作業系統。
應該注意,上文描述的任何特徵可以與本發明的任何特定方面或實施例一起使用。例如,M2M設備、VPN伺服器和/或DM伺服器中的任何或全部的任何特徵或方面可以以任何組合一起使用以及利用與任何所描述的方法特徵和步驟來操作。
附圖說明
可以以多種方式來實施本發明,並且現在將僅通過示例的方式和參考附圖來描述實施例,在所述附圖中:
圖1示出了用於在M2M設備和VPN伺服器之間建立虛擬私有網絡VPN的系統的示意圖;
圖2示出了用於在M2M設備和VPN伺服器之間建立VPN的方法的流程圖;以及
圖3示出了用於在M2M設備和VPN伺服器之間建立VPN的進一步系統的示意圖。
應該注意,為了簡單而圖示了圖並且不一定按比例繪製圖。相同的特徵被提供相同的參考數字。
具體實施方式
圖1示出了用於在(可以包括任何數量的)一個或多個機器對機器(M2M)設備40和一個或多個VPN伺服器20之間建立虛擬私有網絡(VPN)15的系統10的示意圖。設備管理器(DM)伺服器30(或者不止一個)充當M2M設備40和VPN伺服器20之間的代理。VPN伺服器20使用應用編程接口(API)50與DM伺服器30通信。VPN伺服器20上的通信接口22和DM伺服器30上的通信接口32分別發送和接收API請求和響應。
DM伺服器30具有用於與M2M設備40通信的進一步通信接口34。每個M2M設備40具有兩個通信接口42、44。接口42被用來與DM伺服器30通信。接口44被用來設立與VPN伺服器20的VPN。
DM伺服器30給M2M設備40供應由VPN伺服器20請求的VPN憑證(例如,密鑰),使得可以在它們之間建立VPN 15。每個M2M設備40將這些憑證存儲在儲存器或存儲器46內。例如,這可以在訂戶身份模塊(SIM)卡(UICC)或者其他安全執行環境或其他存儲器內。每個M2M設備40還具有用於執行邏輯和其他功能的處理器48。這可以在SIM卡(UICC)內部或外部。類似地,VPN伺服器20具有處理器26和資料庫28。來自DM伺服器30的API響應包括已經被成功地供應VPN憑證的M2M設備40的身份的數據或其他指示。例如,M2M設備40的身份可以被存儲在VPN伺服器20內的資料庫28中。
在該實施例(以及其他可能的布置)中,通用自舉架構(GBA)(參見http://www.3gpp.org/DynaReport/33220.htm)提供DM伺服器30和每個M2M設備40之間的安全通信。因此,DM伺服器30可以是網絡應用功能(NAF)。這樣,可以在每個M2M設備40上安全地供應VPN憑證,而不必提前供應它們,其可能是技術上和管理上困難和昂貴的。更進一步地,通過更新資料庫28中的數據,然後可以管理對每個特定的M2M設備40的VPN 15可用性。例如,單獨的M2M設備40可以被添加或從資料庫移除,並且這因此繼而可以被用來允許或拒絕針對每個設備40或設備的組使用VPN 15。
圖2示出了用於操作關於圖1描述的系統10的方法100的流程圖。該方法100開始於VPN伺服器20通過API 50向DM伺服器30發布API請求。該請求包括VPN伺服器20的憑證(例如,用於設立VPN的一個或多個密鑰)。請求還可以包含將被供應VPN伺服器20憑證的M2M設備40的列表。DM伺服器30然後在步驟120處給每個M2M設備40供應VPN伺服器20憑證。DM伺服器30然後在步驟130處通過API 50提供API響應。在該實施例中,API響應包括對已經被成功地供應VPN伺服器的憑證的M2M設備40的指示。VPN伺服器20和/或M2M設備40可以使用被供應的憑證在步驟140處建立VPN 50。如關於圖1描述的那樣,可以按要求和在被要求時在步驟150處使用進一步的API響應來更新在VPN伺服器20的資料庫28中包含的M2M設備40的列表。
當供應每個M2M設備40時,DM伺服器30可以從每個M2M設備40接收它自己的憑證,所述憑證例如可以以加密密鑰的形式。替代地,例如,針對該實施例中的簡單M2M設備,DM伺服器30將針對每個M2M設備40生成密鑰。在該實施例中,M2M設備40憑證(或者用以標識M2M設備40的其他數據)被作為API響應的部分返回到VPN伺服器20。
圖3示出了用於向M2M設備40提供VPN的進一步系統200的示意圖。在圖3中相同或者類似的項目具有與先前使用參考數字相同的參考數字。另外,包含資料庫220中的存儲的(或者生成的)加密證書的證書機構(CA)210被包括在該系統200中。該CA 210允許憑證在常見的信任點下被籤名,供用在期望這樣的信任點的VPN內。這些可以是單獨的M2M設備40或VPN伺服器20的憑證。儘管在圖中未示出,但是不止一個DM伺服器30和/或VPN伺服器20可以與任何數量的M2M設備40一起使用。
3GPP GBA允許在M2M設備和DM伺服器和/或任何其他網絡應用功能(NAF)之間遠程地建立共享秘密。這基於在設備中的SIM卡和HLR或HSS之間共享的秘密K或Ki。參考圖1到3描述的網絡構架使得在VPN伺服器20和DM伺服器30(例如,NAF)之間運行的API 50然後能夠使用GBA協議來管理用於VPN伺服器20和將在VPN伺服器20處認證(authenticate)的相關的M2M設備40之間的VPN 15的密鑰的建立。
該特徵的優勢是減輕了通過不被保障的接口向網絡設備發送預共享密鑰或者人工地分配密鑰的需要。進一步地,減小了建立供與VPN一起使用的PKI的企業成本和複雜度。
如上文描述的那樣,(在使用扮演GBA內的NAF的角色的DM伺服器30的具體示例中)DM伺服器30充當其中將建立VPN連接的VPN伺服器20和M2M設備40的集合之間的「代理」。特別地,「代理」和VPN伺服器20通過第一接口交換數據,數據將然後被用來建立VPN伺服器20和一個或多個M2M設備40之間的VPN連接。代理(通過安全通信)給一個或多個M2M設備40供應用以建立所述VPN連接的憑證。代理和VPN伺服器20之間的通信的交換包括VPN伺服器20的細節和伺服器希望連接到的一個或多個M2M設備40的細節。這還可以(並且可選地)包括被供應給M2M設備40而使得它們能夠連接到VPN伺服器20的密鑰或者安全證書。通信還可以向VPN伺服器20報告已經被成功地供應的M2M設備40的身份(或者其他標識數據)並且可以包括將由每個這樣的被供應的M2M設備40使用的密鑰或者證書。
API 50可以是在VPN伺服器20(例如,在企業場所處的VPN集中器)和扮演通用自舉架構內的NAF的角色的設備之間運行的網絡API。API 50將針對將在VPN伺服器20和經標識的M2M設備40的列表之間設立的VPN 15來請求憑證(例如M2M設備序列號的列表,諸如IMEI、MAC地址或者可能是用於目標設備內的SIM卡的IMSI或MSISDN的列表)。
作為請求的部分,VPN伺服器20將提供它希望被安裝到各種M2M設備40以便它們能夠識別和認證VPN伺服器20的憑證。作為響應的部分,VPN伺服器20可以接收將允許它繼而安全地識別和認證預期的M2M設備40的憑證。API 50可以具有覆蓋共享秘密密鑰(組密鑰或者用於每個目標設備的單獨密鑰)和公共密鑰憑證兩者的子情況。
可以做出對系統的進一步增強。特別地,這些涉及在API請求和響應中提供的信息的類型和向M2M設備40(以及在某些情況下向VPN伺服器20)提供的憑證的類型。
1.請求參數。API請求可以包括:VPN伺服器ID、M2M設備ID的列表。
響應參數:被成功地供應的(M2M設備、共享密鑰)對的列表、每設備的一個唯一的密鑰。
可以使用GBA。在該情況下,每設備的密鑰是Ks_NAF或者從Ks_NAF導出,或者被使用現有的Ks_NAF保護地發送到每個M2M設備40。
2.請求參數。API請求可以包括:VPN伺服器ID、M2M設備ID的列表、VPN組密鑰。
響應參數:被成功地供應組密鑰的M2M設備的列表。
DM管理器30(例如,接收請求的NAF)建立與每個目標設備的Ks_NAF(或者已經具有一個)。這然後被用來保護向目標M2M設備40的組密鑰的分配。該場景特別適於相當小的部署(例如,SME)。
3.請求參數。API請求可以包括:VPN伺服器ID、M2M設備ID的列表、VPN伺服器證書。
響應參數:(M2M設備、設備證書)對的列表、被供應的每個設備的一個設備證書。
公共密鑰證書可以被自籤名以節省PKI成本和開銷,或者原始公共密鑰可以在VPN軟體支持它們時被代替證書使用。接收請求的DM伺服器30或者NAF建立與每個目標設備的Ks_NAF(或者已經具有一個)。這然後被用來保護向目標設備的VPN伺服器證書的分配和保護從(具有設備上生成的每個密鑰對的)相同設備的經自籤名的證書的取回。作為進一步變體,用於每個設備的私有密鑰可以由DM伺服器30(NAF)生成並且被使用Ks_NAF保護地分配。這可以應用在設備具有非常受限的硬體並且本身不能生成密鑰對的情況下。
4.請求參數:VPN伺服器ID、M2M設備ID的列表、VPN證書請求。
響應參數:CA證書、如由CA發布的VPN伺服器證書、已經被供應CA下的證書的M2M設備ID的列表。
過程流程類似於變體3,但是代替經自籤名的證書,每個設備創建經自籤名的證書請求並且然後使這由認證機構(CA)密鑰重新籤名。CA可以是預先存在的或者可以針對每個VPN設立「特別的(ad hoc)」CA並且CA密鑰然後被扔掉。這將節省PKI成本和開銷。
進一步變體包括調用指定被提供用於加入VPN的憑證的其他VPN伺服器的列表的伺服器。這將允許比多對一VPN(許多設備連接到一個VPN伺服器20或者集中器)的情況更多的靈活性。
可以在每個情況下通過再次調用API 50但利用經修改的設備列表來實現對VPN的改變(添加或移除設備)。這可以在DM伺服器30給VPN伺服器20提供經修改的列表(用於存儲在資料庫28中)或者VPN伺服器20給DM伺服器30提供新的VPN伺服器憑證以僅在M2M設備40的新集合上供應(即,舊的憑證可以被撤銷或者不再運行)的情況下起作用。替代地,可以支持「增量(delta)」API(「改變VPN」)以(在任一方向上)節省帶寬。
假定可以容易地調用API並且可以容易地(按需要)向每個設備重新建立新Ks_NAF,則VPN可以在例如每年至少一次的相當規律的基礎上被徹底地更新密鑰(re-key)(包括改變CA密鑰,如果存在一個的話)。這減小了與證書到期或撤銷相關聯的許多典型的PKI開銷。
DM伺服器30或者NAF可以由網絡提供者、專業安全公司或者VPN裝備的提供者或者在某些情況下由企業本身來主控。主控的這些形式將允許信任模型,由此網絡提供者從未看到或者能夠訪問VPN密鑰或憑證中的任何(如果這是消費者所期望的話)。
這些特徵進一步避免了通過不被保障的接口發送預共享密鑰或人工地分配密鑰的任何必要性。
所提出的過程避免了建立供與VPN一起使用的PKI的許多企業成本和複雜度,並且還使PKI免於對活動目錄集成的依賴(並且因此具有跨設備OS的較廣泛的適用性)。
如由本領域技術人員將領會的那樣,可以改變上文的實施例的細節而不脫離如由所附權利要求書限定的本發明的範圍。
對上文的實施例的特徵的許多組合、修改或變更對本領域技術人員而言將是容易地顯而易見的並意圖形成本發明的部分。涉及一個實施例或示例的被具體描述的任何特徵可以通過做出的適當的改變而被用在任何其他實施例中。