用於支持有線和無線客戶端和伺服器端認證的方法的機制的製作方法

2023-05-14 11:08:31

專利名稱：用於支持有線和無線客戶端和伺服器端認證的方法的機制的製作方法
技術領域：
本發明一般地涉及擴展網絡安全性的能力，更具體地說，本發明涉及一種機制，用於支持客戶端證書和伺服器端證書的有線及無線體系結構。
背景技術：
在無線世界中，對安全、可擴展且靈活的網際網路應用和服務的需求正在迅速增長。隨著網際網路應用變得普及起來，對於可處理認證和加密機制以及加速安全性相關的功能的應用設備來說存在著大量的機會。
在無線網際網路世界中，無線傳輸層安全性(WTLS)使用加密和認證功能而提供了通信私密性和完整性。WAP(無線接入協議)論壇的WTLS握手協議允許伺服器通過發送其證書來向客戶端認證它自身，從而在客戶端和伺服器之間建立安全的連接。類似地，如果伺服器請求了客戶端認證，則客戶端可以通過發送其證書(或到它的一個連結)來認證它自身。
在有線網際網路世界中，可以SSL(安全套接口層)的形式來提供安全性。SSL是一種支持客戶端和/或伺服器認證以及通信會話期間的加密的協議。
隨著每一代的網絡變得越來越複雜，對於有線和無線網際網路來說應用都必須是安全的。在當前無線網際網路的技術狀態下，安全性相關的功能可以發生在WAP網關處。然而，這沒有提供端到端的解決方案——由於用戶請求在WAP網關處被截獲，因此用戶可以對網關進行授權，而非伺服器。
對這一問題的一種解決方案(也是對有線網際網路的解決方案)是將安全性相關的功能轉移到這些網絡中的伺服器上，以處理包括加密和認證在內的安全性事務。然而，這使得伺服器用於處理數據以及例如將內容提供給客戶端的處理能力變得更少了。
儘管一些供應商在伺服器之外提供了安全性相關的功能，但是這些解決方案只是提供了部分安全性解決方案。例如，儘管麻薩諸塞州Woburn市的nCipher公司提供了伺服器之外的加密服務，但它不提供認證服務。


在附圖中以例示而非限制性的方式示出了本發明，其中相同的標號指示相似的元件，並且其中圖1示出了根據一個實施例的數據中心內的安全性系統；圖2示出了根據一個實施例的WAP棧；圖3示出了根據一個實施例的系統體系結構；圖4示出了根據一個實施例來運行安全性系統的方法；圖5示出了根據一個實施例的WTLS安全性協議體系結構；圖6示出了根據一個實施例的WTLS握手；圖7示出了根據一個實施例的客戶端問候(hello)消息；圖8示出了根據一個實施例的安全性系統；圖9示出了根據一個實施例的數據中心的體系結構；圖10示出了根據一個實施例的安全性系統；圖11示出了一種方法的流程圖，該方法用於根據本發明的通用實施例來在客戶端和伺服器之間建立握手；圖12是用於根據本發明的通用實施例來在客戶端和伺服器之間建立握手的偽代碼；圖13是根據本發明的通用實施例，用於有線和無線認證的系統體系結構；圖14示出了根據本發明的通用實施例，用於有線和無線認證的另一種系統體系結構；圖15示出了對於有線和無線客戶端，伺服器端證書的工作流程；圖16示出了根據本發明的通用實施例，用於伺服器端證書的方法的流程圖；圖17示出了用於無線客戶端的伺服器端證書的方法的流程圖；
圖18示出了用於有線客戶端的伺服器端證書的方法的流程圖；圖19示出了對於有線和無線客戶端，客戶端證書的工作流程；圖20示出了根據本發明的通用實施例，用於客戶端證書的方法的流程圖；圖21示出了用於無線客戶端的客戶端證書的方法的流程圖；圖22示出了用於有線客戶端的客戶端證書的方法的流程圖；圖23示出了根據本發明的通用實施例的安全性系統；並且圖24示出了安全性系統的示例性配置。
具體實施例方式
本發明的一個方面是這樣一種方法，其對於有線和無線網際網路都將包括加密和認證在內的安全性功能包含到單個網絡設備中，以使得伺服器不再承擔這一功能，也不需要關心不同的安全性標準和認證機制。
所述方法包括從客戶端向伺服器發送一個消息，以建立安全的連接。該消息被與伺服器相關聯的安全性系統所截獲。所述安全性系統執行包括認證客戶端在內的認證功能，並執行用於認證伺服器的支持性功能。如果所述認證功能適當地進行了，則建立一個安全的連接。
如在此所使用的，術語「網際網路」(internet)可包括互連網絡(internetwork)，其定義為一組彼此可能不相似的計算機網絡，這些計算機網絡通過網關而連接在一起，所述網關處理數據傳輸以及從發送網絡協議到接收網絡協議的消息轉換；內聯網(intranet)，這是基於網際網路協議例如TCP/IP，但被設計來用於公司或組織內部的信息管理的私有網絡；或網際網路(Internet)，其定義為使用TCP/IP協議組來彼此通信的全球範圍的網絡和網關的集合。
在下面的描述中，為了進行說明，給出了大量的具體細節以提供對本發明的透徹理解。然而，對本領域內的技術人員來說很清楚沒有這些具體細節中的一些也可以實施本發明。在其他情形下，一些公知的結構和設備示出為框圖的形式。
本發明包括下面將描述的多種操作。本發明的操作可由硬體組件執行，或者可以包含在機器可執行指令中，所述指令可用來使得用所述指令編程的通用或專用處理器或邏輯電路來執行所述操作。或者，所述操作可以由硬體和軟體的組合來執行。
本發明可作為電腦程式產品而提供，所述產品包括其上存儲有指令的機器可讀介質，所述指令可用來對計算機(或其他電子設備)編程，以執行根據本發明的處理。機器可讀介質可包括但不局限於軟盤、光碟、CD-ROM(只讀壓縮光碟存儲器)和磁光碟、ROM(只讀存儲器)、RAM(隨機訪問存儲器)、EPROM(可擦除可編程只讀存儲器)、EEPROM(電磁可擦除可編程只讀存儲器)、磁或光卡、快閃記憶體、或其他類型適於存儲電子指令的媒質/機器可讀介質。
而且，本發明可以作為電腦程式產品而下載，其中所述程序可通過包含在載波或其他傳播介質中的數據信號而經由通信鏈路(例如數據機或網絡連接)，從遠程計算機(例如伺服器)傳輸到發出請求的計算機(例如客戶端)。因此，在此「載波」應被理解為包含機器可讀介質。
引言圖1示出了安全的通信系統100的簡化框圖。如在此所討論的，「系統」(例如用於選擇安全性格式轉換的系統)可以是包含硬體、軟體或硬體及軟體的某種組合以處理數據的裝置。系統100包括網絡接入設備110，網絡接入設備110可通信地經由公共網絡120與數據中心150相耦合，以向數據中心150提供安全性格式指示130和安全數據140。數據中心150包括安全性系統160，安全性系統160具有選擇系統170和轉換系統180，選擇系統170用於基於指示130來選擇安全性轉換，轉換系統180用於對安全數據140執行所選擇的安全性轉換。
網絡接入設備110可以是任何可以操作來與網絡120相連接並在該網絡上傳輸數據的電子設備。例如，接入設備110可包括有線設備(例如個人計算機、工作站)或無線設備(例如膝上型電腦、個人數字助理(PDA)、行動電話、尋呼機、智慧型電話或通信器)。一般地，有線設備使用與無線設備不同的安全性格式或協議，以利用較大的存儲器、處理器和帶寬資源。
公共網絡120可以是任何至少包括網絡接入設備110和數據中心150之外的實體所共享的非私有部分的網絡。與可能在數據中心150內部使用的私有網絡(例如內聯網)相比，公共網絡120相對而言不太可信、不太安全或者容易遭受傳輸期間的安全性破壞(例如第三者插足(man-in-the-middle)攻擊)。根據一個實施例，公共網絡120包括無線網絡、WAP網關和網際網路，並且在網絡接入設備110和數據中心150之間提供端到端安全性。
數據中心150可以是與公共網絡120相連接以通過公共網絡120接收或提供安全數據的任意的一個或多個計算機系統。例如，數據中心150可包括多個內部聯網的計算機系統，這些計算機系統可提供諸如防火牆、伺服器和數據源之類的功能。
網絡接入設備110通過網絡120將安全性協議指示130發送給數據中心150。指示130可具有不同的實施例。根據第一實施例，指示130包括用於請求並定義網絡接入設備110和數據中心150之間的連接的信息。
根據第二實施例，指示130包括一個埠的指示，例如與在被配置來接收特定安全性格式的埠上所接收的該特定安全性格式相關聯的消息。術語「埠」用來表示接受自網絡120的數據和數據中心150的一個組件(例如應用程式、模塊或更高級的協議)之間的邏輯連結關係或接口。所述埠可具有一個相應的分配到所述組件的埠號，並且該埠號可用來將接收自網絡120的數據與所述組件或服務連結起來，或將所述數據定向到所述組件或服務。根據一個實施例，所述埠可包括具有公知埠號的公知埠。例如，所述埠可以是用於HTTP數據的公知埠80，或者所述埠可以是用於SSL數據的公知埠443。接受自網絡120的消息可包括標識所述組件的埠標識符。根據一個實施例，埠可以由一個作業系統指示的軟體過程所實現，該軟體過程對於標識所述埠和組件的埠標識符而在物理接口上監聽接收自網絡120的數據，所述物理接口例如是利用千兆網際網路或RJ45連接而連結到所述網絡的網絡接口卡(NIC)。埠標識符和IP位址一起構成了指定連接端點的套接口。設備110和數據中心150之間的端到端通信可由一個四元組指定，該四元組包括設備110的埠和IP位址，以及數據中心150的埠和IP位址。
根據第三實施例，指示130包括網絡接入設備110所支持、所優選或者既支持又優選的安全性格式的指示。例如，指示130可包括接入設備110所支持或優選的一種安全性特徵，所述特徵在前數據階段(pre-dataphase)安全性協商消息(例如安全性握手期間發送的客戶端問候消息)中被公告。術語「安全性特徵」用於廣泛地表示描述或定義一種安全性格式的特徵、參數或選項，包括但不局限於從包括下述特徵在內的組中所選擇的安全性特徵版本信息、選項信息(例如認證或無認證)、加密算法信息、安全性參數信息、密碼參數信息、受信證書信息以及其他安全性特徵信息。
根據第四實施例，指示130同時包括下述兩種指示，與安全性格式相關聯的埠的指示，以及設備110所支持的安全性特徵的指示。例如，示例性指示130B包括提供給數據中心150的埠190(可包括公知埠443)的安全性特徵131。
根據第五實施例，指示130包括對應於以前的安全性格式或轉換的會話標識。根據第六實施例，指示130包括資料(profile)標識(例如用戶標識和密碼)，所述資料標識使得可根據數據中心150中的資料而訪問安全性格式或安全性轉換。根據第七實施例，指示130包括安全性格式的專用非歧義指示，所述安全性格式例如是SSL版本3.0。根據第八實施例，指示130包括安全性轉換的專用非歧義指示，所述安全性轉換例如是進行從SSL版本3.0到普通數據(plain data)的轉換的邏輯或模塊。還可以實現指示130的許多其他實施例，本領域內可從本發明的公開內容受益的普通技術人員將會認識到指示130應被寬泛地解釋。
如上所述，可考慮不同的指示130，選擇系統170可相應地進行不同的選擇。根據第一實施例，所述選擇基於接收自網絡120的信息來進行。根據第二實施例，所述選擇基於與在網絡接入設備110和數據中心150之間建立連接相關聯的連接信息來進行。根據第三實施例，所述選擇基於埠信息來進行。例如，如果連接信息是在第一預定義的配置埠處接收的，則選擇系統170可選擇第一轉換，如果連接信息是在第二埠處接收的，則選擇第二轉換。根據第四實施例，所述選擇基於表示設備110所支持、所優選或既支持又優選的安全性特徵的安全性特徵信息來進行。例如，選擇系統170可基於在客戶問候消息中公告的所支持和優選的安全性格式來選擇一種轉換。
根據第五實施例，所述選擇可基於埠信息和安全性特徵信息來進行。例如，選擇系統170可基於在其上接收到客戶端問候消息的埠，並基於所述客戶端問候消息中所表明的、客戶端設備110所支持和優選的安全性特徵，從而選擇一種安全性格式轉換。
根據第六實施例，選擇可基於對應於以前的安全性格式或轉換的會話標識來進行。根據第七實施例，選擇可基於資料標識(例如用戶標識和密碼)來進行，所述資料標識使得選擇系統170可根據資料來訪問安全性格式或安全性格式轉換。根據第八實施例，選擇可基於所聲明的安全性格式或安全性格式轉換(例如「SSL V3.0到普通數據」)來進行。可實現許多其他的選擇和選擇系統170，本領域內可從本發明的公開內容受益的普通技術人員將會認識到選擇以及選擇系統170應被寬泛地解釋。
所述轉換是從所接收的安全性格式到另一種格式的轉換。另一種格式可以是未加密的普通數據格式。當數據中心150的內部就足夠安全並且對數據進行不應有或未授權的訪問的風險足夠小時，這一格式可能是有優勢的。這可以避免在150內以後再進行解密，這是一個優點。根據另一個實施例，另一種格式可以是不同的安全性格式。即，安全性系統160可選擇並實現從一種安全性格式到另一種安全性格式的轉換。例如，所述轉換可以是到IP安全性(IPSec)的轉換，這對數據中心150的內聯網內的安全性來說可能是所期望的。
網絡接入設備110將安全數據140通過網絡120發送到數據中心150。數據中心150從網絡120接收安全數據140。轉換系統180對安全數據140進行所選擇的安全性轉換。非限制性地說，根據特定實現所需，安全數據140可以是交易和/或金融數據，而數據中心150可利用所述數據和/或對其進行響應。
根據一個實施例，網絡接入設備110是使用圖2所示的WAP棧200，以與數據中心150通信的無線網絡接入設備。WAP棧200是一種安全的規範，其使得所述無線設備可通過網絡120安全地訪問信息。WAP棧200包括應用層210、會話層220、事務層230、安全性層240、傳輸層250和網絡層260。WAP棧200對於本領域內的普通技術人員來說是公知的，並且在WAP規範的1.2和2.0版中進行了更詳細的描述，該規範可在http//www.wapforum.org處獲得。
安全性層240包括WTLS協議，並可為具有WAP功能的無線設備提供私密性、數據完整性和客戶端/伺服器認證。WTLS協議工作在傳輸層250之上，並向更上層的WAP層210-230提供安全的傳輸服務接口，所述接口保留了下層的傳輸接口，並且還提供用於管理安全連接的方法。WTLS與非無線協議例如安全套接口層(SSL)相關，但涉及相對較低的設備端處理能力和存儲器需求、較低的帶寬以及數據報連接。
傳輸層250可包括不同的基於數據報的傳輸層協議例如UDP/IP和WDP。UDP與IP承載服務一起工作，而WDP與非IP承載服務一起工作。例如，WDP可與短消息服務(SMS)以及類似的無線承載服務一起使用，而UDP可與電路交換數據(CSD)和類似的承載服務一起使用。
圖3示出了本發明一個實施例的系統體系結構300的簡化框圖。系統體系結構300包括無線接入設備305和有線接入設備320，以通過公共網絡325將異構加密的消息發送到數據中心340，數據中心340包括安全性系統345，用以對所接收的異構加密的消息選擇並實現不同的安全性轉換處理。
無線接入設備305(在一個實施例中是具有WAP微型瀏覽器的行動電話)通過無線網絡310和WAP網關315耦合到公共網絡325(在一個實施例中是網際網路)。無線接入設備305使用UDP或WDP傳輸協議來生成並發送WTLS客戶端問候消息到無線網絡310，所述消息包括對應於設備305的安全性能力和優選項的安全性特徵信息。無線網絡310接收所述消息並將之傳遞到WAP網關。WAP網關將傳輸協議媒介從UDP或WDP轉換成TCP，然後使用TCP將該消息傳遞給公共網絡325。
有線接入設備320(根據一個實施例是具有瀏覽器功能的個人計算機)生成並發送含有安全性特徵信息的消息到公共網絡325。該消息可包含用於在SSL握手中啟動安全性格式協商的SSL客戶端問候消息。
公共網絡325在功能上與無線接入設備305、有線接入設備320和數據中心340相連接，以從設備305、320接收消息並將所述消息提供給數據中心340。根據一個實施例，網絡325包括網際網路，並可使用TCP或UDP作為用於傳輸媒介的協議。網絡325將所述消息作為指示330和335而發送或傳送給數據中心340。
數據中心340與公共網絡325相耦合，以接收與設備305和320相關聯的消息。數據中心340包括安全性系統345，根據一個實施例，安全性系統345在功能上位於公共網絡325和伺服器390之間，因而安全性系統345可代表伺服器390執行安全性轉換的選擇和執行。
根據一個實施例，安全性系統345包括用於接收指示和安全數據的網絡接口350、用於基於所述指示而選擇轉換的選擇系統360、用於接收所選擇的轉換並對通過網絡接口350而接收的安全數據實施所選擇的轉換的轉換系統370、以及用於接收轉換後的數據並將轉換後的數據提供給其他數據中心340組件(在一個實施例中例如是伺服器390)的第二網絡接口380。
網絡接口350可包括一個或多個NIC，用於代表數據中心340接收消息和安全數據。根據一個實施例，網絡接口350至少包括用於接收來自無線接入設備305的信息的一個埠354，並至少包括用於接收來自有線接入設備320的信息的一個埠352。例如，網絡接口350可包括第一和第二埠354，以分別從無線接入設備305接收安全的和非安全的數據，並包括第二和第三埠352，以分別從有線接入設備320接收安全的和非安全的數據。
選擇系統360與網絡接口350相耦合，以從網絡接口350接收安全性轉換選擇信息，並基於該信息選擇一種安全性轉換。所述安全性轉換可以是從與所述消息相關聯的一種安全性到另一種格式(例如另一種安全格式或普通數據格式)的轉換。根據第一實施例，選擇系統360基於所接收的埠指示來選擇安全性轉換。例如，選擇系統360可接收已知用於SSL加密數據的預定埠的指示，並選擇至少一種從SSL加密格式到另一種格式的安全性轉換。根據第二實施例，選擇系統360基於所接收的安全性特徵信息來選擇至少一種安全性轉換。例如，選擇系統360可接收表示有線接入設備320所支持的一個安全性特徵或一組安全性特徵的安全性特徵信息，並選擇從所述安全性到另一種格式的轉換。根據第三實施例，選擇系統360同時基於埠信息和安全性特徵信息來選擇轉換。例如，選擇系統360可基於埠信息而選擇至少具有從WTLS格式到另一種格式的一種特定轉換的WTLS轉換系統372，或選擇至少具有從SSL格式到另一種格式的一種特定轉換的SSL轉換系統374，然後選擇系統360可基於安全性特徵信息而選擇所述特定的WTLS或SSL轉換。
選擇系統360可向其他系統300組件提供所選擇的安全性轉換。根據一個實施例，選擇系統360將設備305或320與數據中心340之間的會話的會話標識與所選擇的安全性轉換關聯起來。這可使得隨後以安全格式而接收的數據與所選擇的安全性轉換關聯起來。在一個實施例中，選擇系統360可通過設置(assert)一個安全性轉換選擇信號而將所選擇的轉換通知給轉換系統370。例如，選擇系統360可向轉換系統370、WTLS轉換系統372或SSL轉換系統374作出一個方法調用，傳送所選擇的轉換。
已在設備305、320和安全性系統345之間協商好安全性格式之後，設備305、320可將安全數據發送到安全性系統345。具體地說，無線設備305可以WTLS的預定版本發送數據。無線網絡310可接收安全數據並將它提供給WAP網關315。一般地，WAP網關315將執行從UDP或WDP到TCP的轉換，並將具有TCP格式的數據提供給公共網絡325。
根據一個實施例，WAP網關315被配置成允許所接收的WTLS安全數據不進行安全性格式轉換地通過。這一方法可有利地在無線接入設備305和數據中心340之間提供端到端安全性，並可消除當通過一種易受攻擊的普通數據狀態而將WTLS數據轉換成SSL數據時存在的WAP缺口，所述普通數據狀態容易受到第三者插足攻擊。可考慮其他的實現，包括這樣一種實現，其中WAP網關315被配置成允許所有到數據中心340的無線連接不進行安全性格式轉換地通過。與圖1-3所示的現有技術方法相比，這一方法還提供了較小的延遲，因為可以避免去往和來自系統330的不必要的安全性格式轉換處理和傳輸。
有線接入設備320可以用已與安全性系統345協商好的預定SSL版本來傳輸數據。所述數據可以SSL格式而使用TCP在網際網路325上傳輸。
轉換系統370與選擇系統360相耦合以接收所選擇的安全性轉換，並與網絡接口350相耦合，以從無線設備305和有線設備320接收安全數據。轉換系統370對所接收的安全數據實施所選擇的轉換。轉換系統370可包含包括硬體、軟體或軟體及硬體的某種組合在內的邏輯，以將所接收的安全數據(例如WTLS或SSL加密數據)解密成普通的未加密數據格式，並且如果需要的話還將其重新加密成另一種安全性協議格式。根據一個實施例，所述邏輯可包括對本領域可從本發明的公開內容受益的普通技術人員來說是公知的傳統轉換邏輯。
如上所述，安全性系統345可包括不同的轉換模塊來執行從所接收的安全性格式到另一種格式的轉換。根據一個實施例，轉換系統370包括WTLS轉換系統372和SSL轉換系統374，以分別將WTLS或SSL安全數據轉換成另一種安全性格式。WTLS轉換系統372可包括多個轉換模塊，例如從具有第一安全性特徵的第一WTLS版本到普通數據的第一轉換模塊，從具有第二安全性特徵的第二WTLS版本到普通數據的第二轉換模塊，以及從第一WTLS版本到另一種安全格式例如SSL、IPSec或其他格式的第三轉換模塊。類似地，轉換系統374可具有多個轉換模塊。
轉換系統370將轉換後的數據提供給與伺服器390相耦合的網絡接口380。網絡接口380可包括NIC。一般地，網絡接口380通過普通數據埠例如埠80來向伺服器390提供普通數據，儘管也可以實施其他實施例。
伺服器390接收轉換後的數據。如果轉換後的數據是安全格式，則伺服器390可執行解密。沒有限制性地說，伺服器390可以執行特定實現所期望的任何處理。一般地，所述處理包括通過安全性系統345向設備305、320提供響應數據。根據一個實施例，伺服器390向安全性系統345提供普通數據。
安全性系統345可接收響應數據，並對該數據執行安全性處理。根據一個實施例，安全性系統345根據一個與初始轉換基本相反的過程來處理響應數據。例如，對於到無線設備305的響應數據，安全性系統345可將來自伺服器390的普通數據轉換成WTLS格式，並將安全數據提供給無線設備305。類似地，對於到有線設備320的響應數據，安全性系統345可將來自伺服器390的普通數據轉換成SSL格式，並將安全數據提供給有線設備320。
系統300可提供多個優點。第一個優點是能夠將安全性處理功能從伺服器390轉移到安全性系統345。安全性處理可能是相當程度的處理器和存儲器密集型的處理，並且沒有這種轉移的話可能會消耗伺服器390的資源的很大一部分。轉移還使得伺服器390可處理更多的連接。例如，利用執行安全性轉換的安全性系統345，伺服器390能夠處理的連接數量大約是沒有該系統時可處理的連接數量的5-10倍。
第二個優點是接入設備305、320和伺服器390之間端到端的安全性。第三個優點是接入設備305、320和伺服器390之間的單次安全性轉換。由於較少的計算和較小的延遲，這可以提供更快的數據交換。第四個優點是安全性系統345對於有線和無線安全性協議來說都可以提供單點安全性解決方案。第五個優點在於比起更新伺服器390來說，可以更容易地用最新的安全性標準和轉換來頻繁地更新安全性系統345。
已經用簡化的格式示出了安全性系統345以免模糊本發明。然而，本領域內可從本發明的公開內容受益的普通技術人員將會認識到安全性系統345也可以包含其他組件385。一般地，其他組件385包括作業系統或平臺。其他組件385還可包括特定實現所需的組件，例如用於執行XML轉換、XML解析、基於內容的路由以及其他普通數據功能的組件。其他組件385可包括傳統的專用安全性加速器中所使用的組件，所述加速器例如是IntelNetStructureTM7110 e-Commerce加速器、7115 e-Commerce加速器、7140 Traffic Director、7175 Traffice Director、7180 e-Commerce加速器、7280 XML Director或7210 XML加速器，它們都可從加州聖克拉拉的英特爾公司獲得。
圖4以框圖的形式示出了根據一個實施例來運行安全性系統例如安全性系統160或345的方法400。方法400可實現在包括軟體、硬體或軟體及硬體的某種組合在內的邏輯中。
方法400開始於方框401，然後前進到方框405，在此配置安全性系統。根據一個實施例，這可包括讀取包含系統配置信息的配置文件。例如，沒有限制性地說，安全性系統可訪問例如包含在下表中的配置信息表1

在上表中，「映射ID」為一個連接提供了一個任意的標識符，「連接類型」提供了或者是安全或者是非安全的連接類型，「鍵值ID」提供了用於安全連接的鍵值標識，「伺服器IP」提供了用於和數據中心內的伺服器通信的網際網路協議地址，「網絡埠」提供了用於從公共網絡接收安全或非安全數據的預定義已知埠號，「伺服器埠」提供了用於將普通數據傳送到數據中心中的伺服器的公知預定義埠，「密碼套件」包含了用於安全和非安全連接的安全性強度的指示，而「重定向」提供了一個選項，用於當接入設備不支持所使用的安全性特徵時，將該設備重定向到安全性升級資源處。
不受限地考慮重定向特徵的下述示例性實現。安全性系統確定客戶端是否達到了所述配置中指定的安全性級別。如果客戶端不滿足所指定的安全性級別，則安全性系統可確定是否應發送一個作為統一資源定位符(URL)的重定向頁面，以向客戶端提供一次升級到所指定的安全性級別的機會。如果不發送所述重定向頁面，則可替代性地發送預設錯誤消息。
或者，與使用不同的伺服器不同，可以使用相同的伺服器來在不同的網絡埠上同時提供HTML和無線置標語言(WML)內容訪問，以使得伺服器IP網絡埠組合是唯一的。例如，安全性系統可使用例如包含在下表中的配置信息表2

方法400從方框405前進到方框410，多個過程在所配置的埠上監聽活動或消息。根據一個實施例，所述過程在由IP位址和埠的唯一組合構成的唯一套接口上進行監聽。根據一個實施例，安全性系統派生(spawn)出不同進程或線程來在所述配置文件中標識的埠上進行監聽。例如，一個進程可在埠9208上監聽WTLS相關的消息，一個進程可在埠443上監聽SSL相關的消息，而一個進程可在埠80上監聽非安全數據。
如果在埠9208上接收到安全性特徵信息，則方法400可從方框410前進到方框415。根據一個實施例，安全性特徵信息可包括來自無線接入設備的客戶端問候消息。例如，安全性特徵信息可包括WTLS的現有或將來的版本的客戶端問候消息。
方法400從方框415前進到方框420，協商一種WTLS安全性格式。所述協商可以基於表示無線接入設備優選或可以使用的安全性特徵的安全性特徵信息來進行。所述協商可包括接入設備和數據中心之間的安全性特徵能力和/或優選項的來回交換，以就共同支持的安全性格式達成一致。根據一個實施例，方框420的協商包括WTLS握手協議。可以實現所協商的安全性格式的不同實施例。根據第一實施例，所述安全性格式包括WTLS現有或將來的版本。根據第二實施例，所述安全性格式包括經協商的安全性特徵，例如加密參數、加密算法(例如數據加密標準(DES))或以上二者。
方法400從方框420前進到方框425，選擇從經協商的安全性格式到未加密的普通數據的轉換。到普通數據格式的轉換在所述安全性系統是通過足夠可信的連接或網絡而與數據目的地(例如數據中心伺服器)相耦合的體系結構中是有優勢的，因為伺服器然後可接收普通數據而不執行解密。
根據第一實施例，所述轉換是基於在埠9208上接收的信息而選擇的。例如，所述轉換是基於和方框415相關聯的信息而選擇的。根據第二實施例，所述轉換是基於安全性協商的。例如，所述轉換是基於與方框420相關聯的信息而選擇的。所選擇的安全性轉換可被傳達到其他組件例如轉換系統或轉換模塊。
方法400從方框425前進到方框430，接收安全的加密數據。安全數據可以是通過埠9208接收的，並且具有方框420的經協商的安全性格式。方法400從方框430前進到方框435，將所接收的加密數據轉換成普通數據。這可以通過使用傳統或公知的方法來完成。方框430和435可以使用批處理或連續模式來實現。
如果是在埠443上接收到安全性特徵信息，則方法400可從方框410前進到方框440。例如，安全性特徵信息可以與連接https//www.intel.com相關聯，所述連接向數據中心表明客戶端設備將試圖連接到埠443。根據一個實施例，安全性特徵信息可包括來自有線接入設備的客戶端問候消息。例如，安全性特徵信息可包括SSL的現有或將來的版本的客戶端問候消息。
方法400從方框440前進到方框445，協商一種SSL安全性格式。所述協商可以與為方框420而描述的方式進行，以確定一種基於SSL並可包括SSL加密參數和SSL算法的安全性格式。
方法400從方框445前進到方框450，選擇一種從經協商的安全性格式到未加密的普通數據的轉換。根據第一實施例，所述轉換是基於在埠443上接收到的信息而選擇的。例如，所述轉換可以基於與方框440相關聯的信息而選擇。根據第二實施例，所述轉換基於安全性協商而進行。例如，所述轉換可以基於與方框445相關聯的信息而選擇。
方法400從方框450前進到方框455，在埠443處接收具有所協商的安全性格式的數據。方法400從方框455前進到方框460，將所接收的數據從所述安全格式轉換成普通數據格式。
如果在埠80上接收到普通未加密數據，則方法400可從方框410前進到方框465。
方法400可從方框435、460或465前進到方框470，將普通數據提供給所期望的目的地。根據一個實施例，所述數據被提供給數據中心的伺服器或其他計算機系統。所述伺服器可以由配置信息中的網絡地址來標識。根據一個實施例，所述數據通過公知埠80而被提供給伺服器。方法400可在方框475處終止。
可以實施方法400的其他實施例。根據第一可替換實施例，配置並使用了不同的埠。一般地，用於接收安全性特徵信息和數據的埠將遵從網際網路分配號碼局(IANA)或類似機構的指定。根據一個實施例，WTLS埠可以是從具有9208和9282之間的號碼的埠組中選擇的埠。根據第二可替換實施例，從方框420或445所協商的格式開始的安全性轉換可被選擇為轉換到另一種安全性格式而非普通數據格式。當數據目的地是通過不是足夠安全的鏈路與所述安全性系統相耦合的情況下，這可能是有優勢的。例如，不是在方框470處提供普通數據，而是可將具有WTLS格式的安全數據轉換成SSL格式的安全數據並提供給數據目的地。這種轉換在數據目的地不能解密轉換前的安全性格式時是有優勢的。
圖5示出了根據一個實施例的WTLS安全性體系結構500。體系結構500包括記錄協議550，用於從上部棧層接受要被傳輸的的非安全數據、考慮數據完整性和認證、並將壓縮和加密算法應用到所述數據。體系結構500還包括4個協議客戶端，包括下面討論的握手協議510，用於提供終止安全連接的方法的警報協議520，用於和上部棧層接口的應用協議530，以及使得可在讀、寫和待處理狀態之間進行協調式改變的改變密碼規範協議(change cipher spec protocol)540。
握手協議510表示無線接入設備和數據中心之間的安全性協商的一個實施例。握手協議510使得該設備和數據中心可協商或就安全性方法和參數例如安全性協議、協議版本、加密算法、認證、公鑰技術以及其他安全性特徵達成一致。
圖6示出了根據一個實施例的WTLS握手的方框流程圖。握手600可用來在無線接入設備客戶端610和數據中心伺服器670之間協商安全性格式。根據一個實施例，握手600包括安全性特徵信息。
握手600開始於方框620，由客戶端610向數據中心670提供客戶端問候消息。客戶端問候通常會公告所支持的安全性特徵(例如協議、版本、選項、加密算法以及受信證書)。根據一個實施例，所述客戶端問候至少部分地表明了一種安全性格式。在所述客戶端問候之後，接入設備610接收消息，直到數據中心伺服器670發送一個伺服器問候完成消息。
握手600從方框620前進到方框630，數據中心伺服器670繼續握手600。數據中心伺服器670可提供同意或重新協商安全性格式方法和參數的伺服器問候消息。伺服器670還可以發送伺服器證書消息(如果要使用認證的話)、伺服器密鑰交換消息(用於提供一個公鑰，該公鑰可用來傳送或交換預控制(pre-master)秘密值)、證書請求消息(用於向客戶端請求證書和認證)、以及伺服器問候完成消息(用於表明握手600的問候消息階段完成)。伺服器670然後等待來自客戶端610的響應。
握手600從方框630前進到方框640，接入設備客戶端610繼續握手600。客戶端610可發送客戶端證書消息(如果被請求認證它自身的話)(或者發送一個無證書警報)、客戶端密鑰交換消息(該消息基於在所述客戶端問候和伺服器問候之間選擇的公鑰算法，並包括用所述數據中心的公鑰加密的預控制秘密)、數字籤名的證書驗證消息(用於在客戶端610已發送具有籤名能力的證書的情況下顯式地驗證所述證書)、改變密碼規範消息(用於表明開始使用經協商的安全性參數)、以及完成消息(該消息包括對以前的數據的驗證，所述以前的數據包括在所述新的算法、密鑰和秘密下計算的安全性信息)。
握手600從方框640前進到方框650，數據中心伺服器670繼續握手600。數據中心伺服器670可用密碼規範消息來進行響應，以確認所述會話並通知客戶端610使用經協商的會話參數，並可用完成消息來進行響應，所述完成消息包括對所交換和所計算的信息的驗證。
握手600從方框650前進到方框660，客戶端610和伺服器670可使用已建立和協商的安全連接來交換安全數據。握手600還可包括保留與安全連接有關的信息例如會話標識符，以使得未來的安全數據交換可基於以前協商的安全性方法和參數來進行。
圖7示出了根據一個實施例的客戶端問候消息700。客戶端問候消息700可用於SSL、WTLS或另一種安全性格式。根據一個實施例，在埠上接收的客戶端問候消息700包括安全性格式指示。客戶端問候消息700包括安全性特徵信息，例如客戶端安全性能力信息710、隨機結構信息720、會話標識信息730、所支持的加密選項信息740以及壓縮方法信息750。
客戶端安全性能力信息710可包括協議版本。協議版本可以是客戶端可操作來使用的、所期望使用的、以及既可操作來使用又是所期望使用的版本。例如，信息710可表示SSL版本3.0或另一個協議版本。根據一個實施例，數據中心中的安全性系統可使用客戶端版本信息來協商安全性格式並選擇對應的安全性轉換。
隨機結構信息720可包括客戶端生成的隨機結構。所述隨機結構可包括多個位和多個隨機字節，所述多個位所基於的是根據客戶端內部時鐘的當前時間和日期，而所述多個隨機字節由一個安全性隨機數生成器生成。
會話標識信息730可包括可變長度的會話標識，該標識如果非空的話則標識客戶端和伺服器之間的一個在先會話，所述在先會話包括客戶端希望重新用於當前會話的在先安全性方法和參數。所述會話標識可以來自早先的連接、當前連接、或另一個目前活動的連接。伺服器可定義會話標識的實際內容。如果在先會話不可獲得，或者如果客戶端希望重新協商安全性方法和參數，則會話標識信息730可以為空。根據一個實施例，會話標識包括安全性轉換的指示。例如，會話標識可對應於以前所選擇的安全性轉換，並且接收到該會話標識使得選擇系統可重新選擇所述安全性轉換。
所支持的加密選項信息740可包括客戶端所支持以及根據客戶端的優選項而安排的加密選項和組合的指示。這一信息還可包括來自將要重新使用的在先會話的類似信息。
壓縮方法信息750可包括客戶端所支持的壓縮算法或方法的列表，和客戶端對於每種方法的優選項的指示。如果會話標識信息730表明要重新使用的會話，則壓縮方法信息750可包括該在先會話所使用的壓縮算法。根據一個實施例，信息750表明了對CompressionMethod.null的支持。
圖8示出了一個實施例的選擇系統800。選擇系統800接收指示810。指示810是足以使得選擇系統800可選擇一種安全性格式轉換的指示。所示出的指示810包括安全性格式的指示，並具有埠信息812和安全性特徵信息814。
埠信息812可包括以前在其上接收到數據(例如客戶端問候消息、安全性特徵信息等等)的埠的信息，並且，埠信息812被提供給選擇系統800的協議選擇邏輯820。協議選擇邏輯820可操作來基於埠信息812而在不同安全性協議之間進行選擇。根據所示出的實施例，協議選擇邏輯820可操作來基於埠信息812而在無線協議、有線協議以及普通非安全協議之間進行選擇。不受限地考慮下述原理性協議選擇邏輯820如果埠信息812指示了埠9208，則選擇無線協議；否則，如果埠信息812指示了埠443，則選擇有線協議；否則，如果埠信息812指示了埠80，則選擇普通非安全協議。協議選擇邏輯820設置一種協議選擇830，其指示無線協議(無線選擇)、有線協議(有線選擇)或普通非安全協議(S5)。
選擇系統800還包括安全性特徵選擇邏輯840，其與協議選擇邏輯820相耦合以接收協議選擇830。邏輯840可操作來基於協議選擇830並基於安全性特徵信息814，選擇不同的安全性格式轉換。選擇S5可繞過邏輯840，因為通常不對普通數據進行安全性格式轉換。根據所示出的實施例，邏輯840可操作來選擇4種不同的轉換(即對應於選擇S1、S2、S3或S4的轉換)中的一種，但這不是對其他實施例的限制。
邏輯840包括無線邏輯部分850和有線邏輯部分860，二者都能夠接收安全性特徵信息814。如果協議選擇830指示了無線選擇，則邏輯部分850可操作來選擇一種轉換。不受限地考慮下述原理性邏輯部分850如果安全性特徵信息814指示了至少一種安全性特徵的集合F1，則選擇第一安全性格式轉換；否則，如果安全性特徵信息814指示了至少一種安全性特徵的集合F2，則選擇第二安全性格式轉換；否則發送重定向URL(如果如此配置了的話)。
如果協議選擇830指示了有線選擇，則邏輯部分860可操作來選擇一種轉換。不受限地考慮下述原理性邏輯部分860如果安全性特徵信息814指示了至少一種安全性特徵的集合F3，則選擇第三安全性格式轉換；否則，如果安全性特徵信息814指示了至少一種安全性特徵的集合F4，則選擇第四安全性格式轉換；否則發送重定向URL(如果如此配置了的話)。
邏輯840設置安全性格式轉換選擇870，其表明了對安全數據執行的安全性格式轉換，所述轉換與埠信息812和814一致。選擇870可包括用於無線設備的S1或S2，以及用於有線設備的S3或S4。選擇870可被傳達到轉換系統或模塊。
圖9示出了一個實施例的數據中心900。數據中心900可與公共網絡例如網際網路相耦合以從該公共網絡接收指示和安全數據。數據中心900包括功能上設置在交換機/路由器910和交換機/路由器930之間、並且足夠接近數據中心900的一個或多個伺服器940-960的安全性系統920。安全性系統920從交換機/路由器910接收可能是異構加密的數據，並將經過適當安全性格式轉換的數據提供給交換機/路由器930。交換機/路由器930將轉換後可能具有普通數據格式的數據提供給所述一個或多個伺服器940-960。根據第一實施例，所述一個或多個伺服器940-960包括WML內容伺服器940和HTTP內容伺服器950，WML內容伺服器940可通過地址10.1.1.30來訪問以接收和提供無線數據，HTTP內容伺服器950可通過地址10.1.1.31來訪問以接收和提供有線數據。根據第二實施例，可通過地址10.1.1.32訪問的阿帕奇伺服器960可同時接收和提供無線和有線數據。
圖10示出了根據一個實施例的安全性系統1000。安全性系統1000包括前面板接口1010。前面板接口可提供所期望的信息(例如1011-1018)、數據鏈路(例如1019-1022)和特定實現所需的用戶控制項(例如1023-1024)。具體地說，所述數據鏈路可包括到一個控制臺的鏈路1019，所述控制臺包括顯示設備(例如監視器)、數據輸入設備(例如鍵盤)、光標控制設備(例如滑鼠)以及其他使得用戶可配置並監視系統1000的組件。所述數據鏈路還可包括到公共網絡或公共網絡接口的網絡鏈路1021，以及到經過安全性格式轉換的數據的目的地的伺服器鏈路1022。這些鏈路可包括千兆乙太網或RJ45鏈路。
安全性系統1000還包括與前面板接口1010相耦合以傳送信息的總線或其他通信裝置1050、與總線1050相耦合以處理數據的處理裝置例如處理器1060、與總線1050相耦合以存儲由處理器1060執行的數據和指令的主存儲器1070(例如RAM存儲器)、與總線1050相耦合以存儲用於處理器1060的靜態信息和指令(例如BIOS)的只讀存儲器1080、以及安全性硬體1090。
主存儲器1070可存儲選擇指令1072以及轉換指令1074。指令1072、1074可作為應用程式、模塊、數據結構或其他邏輯而被包含。
根據一個實施例，安全性格式轉換選擇或安全性格式轉換可部分地在硬體中執行。例如，硬體1090可包括用於執行模塊化求冪、偽隨機數生成、偽隨機密鑰生成、DES/3DES加密和解密、以及其他所期望的安全性操作的電路。根據一個實施例，硬體1090包括用於執行這些安全性操作的加密卡、現場可編程門陣列(FPGA)或專用集成電路(ASIC)。
其他實施例本發明並不局限於上述具體實施例，本領域內可從本發明的公開內容受益的普通技術人員將會認識到，還可以實施許多其他實施例。
不同的安全性格式根據第一可替換實施例，本發明可使用前面描述的安全性格式之外的安全性格式。所述安全性格式可以是網際網路工程工作組(IETF)批准的格式，可以是基於傳輸層安全性(TLS)的格式，可以是將來對TLS、SSL或WTLS改進的格式，或者可以是如安全HTTP(S-HTTP)、IP安全性(IPSec)、專有通信技術(Private Communications Technology)等格式。
分布式安全性系統根據第二可替換實施例，在此所討論的安全性系統可以分布在多個計算機系統上。例如，第一計算機系統或設備可具有選擇系統，第二系統或設備可具有WTLS轉換系統，而第三系統或設備可具有SSL轉換系統。
具有安全性系統的伺服器根據第三可替換實施例，安全性系統、選擇系統或轉換系統可被包含到伺服器中。
全球資訊網交換機(Web Switch)根據第四可替換實施例，安全性系統、選擇系統或轉換系統可被包含到具有更多網絡連接能力的全球資訊網交換機中，以增加連接可擴展性。
推送(push)模式根據第五可替換實施例，安全性系統、選擇系統或轉換系統可以在推送模式中使用。例如，數據中心中的伺服器可以向一個安全性系統提供普通數據，該安全性系統包括用於為有線設備選擇到SSL格式的轉換、以及為無線設備選擇到WTLS格式的轉換的安全性格式轉換選擇系統。
認證認證是一個系統驗證與該系統交互的用戶和計算機的有效性的安全性功能和過程。它是可以在加密之外實施的保證方式。可以使用認證信息來認證設備。認證信息可包括數字證書、數字籤名或二者。
在整個說明書中，對源的認證指的是對用戶和/或設備的認證。而且，認證指的是驗證客戶端的身份，驗證有效性指的是一般結合數字證書處理而執行的處理，包括但不局限於驗證CA籤名、驗證證書的有效期、以及確保證書不在證書吊銷列表(CRL)上。
而且，將使用WAP(無線應用協議)標準來提供本發明的無線設備方面的示例。WAP是一個全球標準，用於在行動電話和其他無線終端上提供和傳遞無線信息和電話服務。從安全性角度來說，在此具體地描述了WTLS(無線傳輸層安全性)，它與用來確保有線網際網路的安全性的協議SSL(安全套接口層)作用近似。
數字證書一種用於認證設備的方法是通過使用數字證書。數字證書是一種對從網際網路下載的數據是來自可信的源的保證方式。數字證書通過公共加密技術來確保機密信息、金錢或其他敏感材料的合法的在線傳輸。數字證書由CA(證書機構)發放，並提供該數字證書的發放時間、有效期等信息。
證書在其過期前可能被損壞(compromise)。例如，它可能會落入錯誤的人手中，或者CA可能決定向其發放證書的源已不再值得信任。為了拒絕已知在過期前被損壞了的證書，CA將被拒絕的證書張貼到證書吊銷列表(CRL)上。CRL是在其過期前已被CA吊銷的證書的列表，並且可在公共域上獲得。
數字籤名數字籤名提供了用於認證設備的另一種方法。數字籤名用來同時認證籤名者(即源)的身份以及通過使用公鑰和私鑰而傳輸的信息的完整性。數字籤名的前提是數據的籤名者擁有私鑰，而與該籤名者交換數據的其他人可能擁有該籤名者的公鑰。其他人可以使用公鑰來加密或解密數據，而籤名者可使用私鑰來加密或解密數據。
例如，籤名者可以對數據進行哈希以創建一個消息摘要，然後用該籤名者的私鑰來對該消息摘要進行加密，從而對文檔籤名。然後將加密的消息摘要附加到該文檔上。當接收者接收到加密的消息摘要和文檔時，接收者使用籤名者的公鑰來解密該加密的消息摘要，生成所述消息摘要。然後通過對文檔中的數據進行哈希，並將之與所生成的消息摘要進行比較，從而驗證了該文檔的有效性。如果它們匹配，則文檔的有效性已被驗證。如果它們不匹配，則接收者了解到文檔中的數據已經被損壞，因為它沒有產生出與被發送時相同的消息摘要。
PKI/WPKI基礎設施在本發明所描述的實施例中，參考了具有用於驗證和認證網際網路事務中所涉及的各方的有效性的數字證書、證書機構以及其他註冊機構的PKI(公開密鑰基礎設施)和WPKI(無線公開密鑰基礎設施)。一般地，在PKI/WPKI基礎設施下，當設備請求數字證書(以下稱為「證書」)時，它被一個註冊機構所認可，並轉發給證書機構。證書機構然後可發放證書。一般地，註冊機構和證書機構包含同一實體。然而在一些情形下，它們可能不同。
概覽圖11示出了一種方法的流程圖，用於根據本發明的實施例來建立安全連接。所述方法開始於方框1100，並繼續到方框1102，客戶端發送客戶端問候(Client Hello)消息以請求與伺服器的安全連接。在方框1104，安全性系統代表該伺服器以伺服器問候(Server Hello)消息回應，確認客戶端的請求。安全性系統然後可在方框1106中啟動證書交換過程，確定客戶端是否已請求認證(例如通過請求安全連接來請求認證)。如果客戶端已請求認證，則在方框1108，安全性系統發送認證信息。
如果客戶端未請求認證，則所述方法跳轉到方框1110，在此處伺服器也可以請求認證(例如要求客戶端表明自己的身份)。如果伺服器請求認證，則在方框1112，客戶端發送認證信息到安全性系統，並繼續到方框1114。如果伺服器不請求認證，則所述方法跳轉到方框1114，安全性系統發送伺服器問候完成(Server Hello Done)消息到客戶端，表明握手的問候消息階段完成。當客戶端接收到Server Hello Done消息時，它在方框1116發送完成(Finished)消息到安全性系統，在方框1118，安全性系統用一個Finished消息進行響應。所述方法在方框1120處結束。
現在完成了握手，客戶端和伺服器可向彼此發送加密數據，並且/或者，如果已發送數據，則可使用對於數據加密方法而言合適的解密方法來進行解密。
圖12是示出了上述基本功能的偽代碼。所述偽代碼開始於第1行，在第3行檢測到加密方法。如果數據是用WTLS加密的(第5行)，則在第6行啟動WTLS握手。在第7行，完成WTLS認證，在第8行，解密WTLS數據。
如果數據是以SSL加密的(第9行)，則在第10行啟動SSL握手。在第11行，完成SSL認證，在第12行，解密SSL數據。如果數據未加密(第13行)，則在第14行不對數據做任何操作。
圖13示出了根據本發明的通用實施例，用於有線和無線認證的系統體系結構1300。它可包括無線接入設備1302(例如行動電話或個人數字助理)或有線接入設備1308(例如個人計算機瀏覽器)。在無線接入設備1302的情形下，例如使用UDP(用戶數據報協議)或WDP(無線數據報協議)傳輸協議來通過無線網絡1304發送WTLS數據。無線網絡1304接收消息，並將它傳遞給WAP網關1306，在此處傳輸協議從WDP/UDP轉換成TCP/IP，並且進行編碼和解碼。
另外，在傳統方式下，在WAP網關處將WTLS加密數據轉換成SSL加密數據，並且在WAP網關處認證無線客戶端證書。然而，這不是用於認證的端到端解決方案。然而，在本發明的實施例中不在WAP網關處進行解密。相反地，通過公共網絡1310例如網際網路將WTLS數據發送給數據中心1316。在有線接入設備1308的情形下，直接通過公共網絡1310將SSL數據發送給數據中心1316。
在數據中心1316處，認證數據的發送者(即客戶端)，WTLS/SSL加密數據被解密成普通文本，而該普通文本數據被發送到數據中心中的一個或多個可能的伺服器1314(只示出一個)。數據中心1316可包括與圖3的安全性系統345非常相似的安全性系統1312。
除了圖13的安全性系統與圖3的安全性系統345相比另外還具有認證系統這一點之外，圖13所示的體系結構1300在許多方面都與圖3所示的體系結構300相似。
在另一個實施例中，如圖14所示，系統體系結構1400包括駐留在WAP伺服器1306前面的安全性系統1312，WAP伺服器1306執行WAP網關和全球資訊網伺服器功能。或者，安全性系統1312可駐留在其後跟隨有全球資訊網伺服器(未示出)的WAP網關前面。這一實施例可包括防火牆1402。例如，一些公司可為它們的應用而在它們的數據中心內運行它們自己的網關，因此不需要依賴於移動服務提供商來獲得網關服務。
在這一實施例中，使用例如UDP(用戶數據報協議)或WDP(無線數據報協議)傳輸協議來將WTLS數據從無線接入設備1302發送到無線網絡1304。無線網絡1304接收消息，並將數據路由通過公共網絡1310，然後通過防火牆1402。
一旦在安全性系統1312處接收到數據，安全性系統1312就認證WTLS加密數據，並且如果適用的話就將WTLS加密數據轉換成普通文本。安全性系統1312然後考慮認證和解密。在有線接入設備1308的情形下，通過公共網絡1310將SSL數據發送到數據中心1316，其中安全性系統1312認證SSL加密數據，並且如果適用的話就將SSL加密數據轉換成普通文本。普通文本數據然後可被發送到數據中心中的一個或多個可能的伺服器1314(只示出一個)。
安全性系統1312維護一個CRL，此CRL可根據由CA更新的一個公共可訪問的CRL來以預定義的間隔更新。安全性系統根據所述公共可訪問的CRL來更新它的CRL，並包括一個認證系統，用於通過將從客戶端設備接收的客戶端證書與它的CRL比較來確定所述客戶端證書是否有效。
安全性系統1312還在例如當客戶端請求認證時，請求將伺服器端證書發送到客戶端。安全性系統1312維護著常規證書以發送到有線設備，並維護長期和短期證書以發送到無線設備。有線設備可通過根據該有線設備維護的CRL來檢查伺服器證書，從而認證伺服器的身份。
在無線客戶端的情形下，由於無線設備不具有用來實現吊銷方法例如CRL的本地資源或通信帶寬，因此在一個長期的時間段中一次性地認證伺服器(例如發放一個長期證書)，並且在所述長期時間段的整個過程中向伺服器發放短期證書，這些短期證書可被發放給客戶端。伺服器然後將長期證書和短期證書都發送給客戶端，這兩種證書對於客戶端認證伺服器來說都必須是有效的。
如果CA希望吊銷伺服器，則它只是停止向伺服器進一步發放短期證書。因此，如果短期證書無效，則不再向客戶端提供當前有效的證書，從而客戶端不再認為伺服器是經認證的。這減輕了客戶端維護CRL以與伺服器端證書進行比較這一需要。
伺服器端證書支持伺服器認證使得客戶端可使用伺服器證書來認證伺服器，並且使得只有具有有效伺服器證書的伺服器可與客戶端相連接。伺服器證書由CA(例如加利福尼亞州Mountain View市的VeriSign公司)發放，CA在發放伺服器證書之前檢查伺服器證書申請者是否滿足CA的可信度標準。伺服器證書使得伺服器在伺服器證書的有效性過期之前可與客戶端相連接。在過期之後，伺服器將被封堵。為了續展訪問權，伺服器的可信度需要被CA再次確認。
然而，伺服器證書在其過期之前可能會被損壞。有線設備可維護CRL來驗證伺服器，但對於無線設備是發放短期證書，如前所述。
圖15示出了對於有線和無線客戶端，用於伺服器端證書的工作流程1500。安全性系統1312向證書機構1502請求伺服器證書，證書機構將該請求張貼到證書存儲庫1504，在證書存儲庫1504處維護著證書信息(包括證書號碼以及向誰發放了證書)。
客戶端1302、1308可通過安全性系統1312連接到數據中心1316中的伺服器1312。無線接入設備1302向無線網絡1304發送一個WTLS消息，從而試圖建立與該伺服器的安全連接(這是一個隱式的對認證的請求，有時稱為「認證請求」)。無線網絡1304將該消息發送給WAP網關1306，而有線接入設備1308可直接通過公共網絡1310連接。WAP網關1306然後將加密的客戶端消息通過公共網絡1310發送到安全性系統1312。響應於客戶端的認證請求，安全性系統1312將伺服器證書發送到客戶端1302、1308。客戶端1302、1308然後可認證伺服器證書。
圖16示出了根據本發明的通用實施例，用於伺服器端證書的方法的流程圖。該方法開始於方框1600並繼續到方框1602，安全性系統向CA請求伺服器證書，在方框1604，CA將證書發送到安全性系統。在方框1606，安全性系統將伺服器證書發送到客戶端，例如用於對請求認證的客戶端作出響應。在方框1608，確定伺服器證書是否有效。在方框1610，如果伺服器證書有效，則建立安全連接。否則，在方框1612，客戶端關閉連接。所述方法在方框1614處結束。
安全性系統可以用戶定義的間隔輪詢(poll)證書存儲庫以獲得證書，更新短期和長期證書，和/或更新它的CRL。
·無線客戶端在無線網際網路中，WTLS伺服器證書是向無線設備認證伺服器的身份的證書。當無線設備用戶想要向伺服器發送機密信息時，WAP設備將會請求伺服器的數字證書。該證書包含WAP伺服器的公鑰，並由無線設備用來執行以下操作·認證伺服器的身份；和·使用WTLS協議來加密用於伺服器的信息。
然而，WPKI體系結構涉及了一種不同的實現，因為對WAP設備來說難於持續地更新CRL列表以檢查伺服器端證書的吊銷。在WPKI體系結構中，安全性系統維護短期證書和長期證書。請求間隔可由用戶定義。
圖17示出了根據本發明的實施例，用於無線客戶端的伺服器端證書的方法的流程圖。所述方法開始於方框1700並繼續到方框1702，安全性系統代表伺服器向CA請求伺服器證書(包括短期證書和長期證書的下載件以及更新件)。由於可以根據用戶定義的間隔來請求伺服器證書，因此這一步驟不必每次都進行。
在方框1704，CA將伺服器證書發送到安全性系統。在方框1706，將長期證書和短期證書都發送到客戶端。例如，伺服器證書可響應於客戶端的認證請求而被發送到客戶端。
在方框1708，通過驗證CA籤名以及證書的有效期，從而確定伺服器證書是否有效。如果長期證書和短期證書都仍有效，則在方框1710處建立安全連接。否則，在方框1712處客戶端可關閉連接。所述方法在方框1714處結束。
·有線客戶端類似地，在有線網際網路中，SSL證書是用於向有線設備(即個人計算機)驗證伺服器的身份的證書。
為了拒絕已知在過期前已被損壞的伺服器證書，客戶端查詢在公共域中維護的證書吊銷列表(CRL)，該列表也可被下載到客戶端。一般地，如果在CRL中發現該伺服器證書，則客戶端將關閉連接。
圖18示出了根據本發明的實施例，用於有線客戶端的伺服器端證書的方法的流程圖。所述方法開始於方框1800並繼續到方框1802，安全性系統代表伺服器向CA請求伺服器證書。在方框1804，CA將伺服器證書發送到安全性系統。在方框1806，伺服器證書被發送到客戶端。例如，伺服器證書可響應於客戶端的認證請求而被發送到客戶端。
在方框1808，客戶端確定伺服器證書是否在CRL上，從而驗證伺服器證書。如果伺服器證書不在CRL上，則在方框1810，在客戶端和伺服器之間建立安全連接。否則，在方框1812，客戶端關閉連接。所述方法在方框1814處結束。
客戶端證書支持客戶端認證可使用安裝在用戶的全球資訊網瀏覽器或其他客戶端應用程式中的客戶端證書來認證用戶，並且只允許具有有效客戶端證書的客戶端進入授權域(例如網站上的受限區域)。客戶端證書由證書機構(CA)發放。CA在發放客戶端證書之前檢查客戶端證書請求者是否滿足CA的可信度標準。客戶端證書在其有效性過期之前可用於訪問授權域。在過期後，該用戶將被封堵。為了續展訪問權，用戶的可信度需要被CA再次確認，然後續展該客戶端證書。對客戶端證書何時被發放及續展的檢查有助於確保有效的客戶端證書只被因受信任而可進入授權域的用戶所擁有。
然而，客戶端證書在其過期前可能會被損壞。例如，它可能會落入錯誤的人手中，或者CA可能決定它以前向其發放證書的用戶不再值得信任。如果客戶端證書在其過期前被損壞，則CA可吊銷該證書，這是通過將被吊銷的客戶端證書添加到證書吊銷列表(CRL)上而實現的。CRL由CA維護，但可被下載到伺服器以用於認證客戶端的身份。
為了拒絕已知在過期前已被損壞的客戶端證書，伺服器查詢在公共域中維護但可被下載到伺服器上的證書吊銷列表(CRL)。如果被吊銷的客戶端證書在CRL中，則具有該被吊銷的客戶端證書的客戶端將被拒絕訪問授權域。
在本發明的實施例中，安全性系統1312支持CRL。安全性系統1312從公共域下載CRL。當響應於伺服器的認證請求而接收到客戶端證書時，對照伺服器的CRL來檢查客戶端證書，以確定客戶端證書是否已被吊銷。
在本發明的實施例中，通過客戶端證書進行認證這一功能可由安全性系統代表伺服器來啟用或禁止。例如，可以對於發出股票出價訂單之類的事務啟用認證，但對於提供普通網頁服務之類的事務則禁止該功能。
圖19示出了對於有線和無線客戶端，用於客戶端證書的工作流程1900。無線客戶端1302通過無線網絡1902連接到CA 1502，以申請證書。CA 1502發放證書，並將該證書張貼到證書存儲庫1504。CA 1502然後發送客戶端證書或證書URL到客戶端，客戶端1302可使用WTLS消息和客戶端證書(或到客戶端證書的連結)來嘗試連接到伺服器1314。
安全性系統1312以用戶定義的間隔來更新它的CRL。它解密所述WTLS消息，並通過將它與CRL進行比較以檢查客戶端證書是否有效。如果客戶端證書有效，則建立安全連接。否則，伺服器例如可選擇關閉連接，或允許連接存在但拒絕該客戶端訪問授權域。
對於有線客戶端1308，可通過公共網絡1310(即網際網路)向證書機構1502請求客戶端證書。有線客戶端1308可通過發送SSL消息和客戶端證書來嘗試連接到伺服器1314。如果客戶端證書有效，則建立安全連接。否則，伺服器例如可選擇關閉連接，或允許連接存在但拒絕該客戶端訪問授權域。
圖20示出了根據本發明的通用實施例，用於有線客戶端證書的方法的流程圖。該方法開始於方框2000並繼續到方框2002，客戶端申請有線客戶端證書。在方框2004，證書機構向客戶端發放有線客戶端證書。在方框2006，客戶端可在不使用有線客戶端證書的情形下請求安全連接，並在方框2008，響應於伺服器對客戶端認證的請求而將有線客戶端證書發送到伺服器。
在方框2010，安全性系統代表伺服器驗證有線客戶端證書的有效性。如果它是有效的，則在方框2012建立安全連接。否則，在方框2014不建立安全連接，並且伺服器例如可選擇關閉連接，或允許連接存在但拒絕客戶端訪問授權域。所述方法在方框2016處結束。
·無線客戶端在無線網際網路中，使用WTLS客戶端證書來向伺服器認證無線設備。作為示例，WTLS客戶端證書例如被定義為WAP 1.2的一部分，並具有X.509證書或微型證書的格式。
圖21示出了根據本發明的實施例，用於無線客戶端證書的方法的流程圖。所述方法開始於方框2100並繼續到方框2102，客戶端申請無線客戶端證書。在方框2104A，CA創建指向無線客戶端證書的URL(統一資源定位符)，並將該證書URL發送到客戶端。或者，可在2104B將CA發放的無線客戶端證書發送到客戶端，並存儲在WAP設備中的無線標識模塊(WIM)中。WIM用於執行WTLS和應用級安全性功能，並用於存儲和處理標識和認證用戶所需的信息。
在方框2106，客戶端可嘗試建立安全連接，並且隨後在2108，響應於伺服器的認證請求而發送客戶端證書(或指向證書的連結)。安全性系統在方框2110處解密所述WTLS消息，並將客戶端證書與CRL進行比較以確定客戶端證書是否真實。如果客戶端證書有效，則在方框2112，在客戶端和伺服器之間建立安全連接。否則，在方框2114不建立安全連接，並且伺服器可選擇關閉連接，或允許連接存在但不允許客戶端進入授權域。所述方法在方框2116處結束。
·有線客戶端在有線網際網路中，SSL客戶端證書是用於向伺服器認證有線設備的身份的客戶端證書。圖22示出了根據本發明的實施例，用於有線客戶端證書的方法的流程圖。
所述方法開始於方框2200並繼續到方框2202，客戶端申請有線客戶端證書。在方框2204，CA發放證書並將它發送到客戶端。在方框2206，客戶端嘗試與伺服器建立安全連接，並且隨後在方框2208，響應於伺服器的認證請求而發送有線客戶端證書。
在方框2208，安全性系統解密SSL消息並將客戶端證書與CRL進行比較，以確定客戶端證書是否真實。如果客戶端證書有效，則在方框2212，在客戶端和伺服器之間建立安全連接。否則，在方框2214，不建立安全連接，並且伺服器可選擇關閉連接，或允許連接存在但不允許客戶端進入授權域。所述方法在方框2216處結束。
·數字籤名在發送客戶端證書之外，客戶端還可發送數字籤名。如果客戶端發送數字籤名，則伺服器驗證該籤名。如果數字籤名有效，則建立安全連接。否則，客戶端被拒絕訪問授權域。
例如，對於有線客戶端，可使用可獲得的WAP功能來實現數字籤名。WAP 1.2還定義了一種不是WTLS一部分的基於WPKI的功能。這一功能稱為無線置標語言(WML)腳本籤名文本功能，其允許WAP客戶端對事務進行數字籤名，並可用於需要來自客戶端的非公認籤名的應用。
安全性系統圖23示出了安全性系統的體系結構。安全性系統2300包括應用模塊2302、SSL模塊2304、PKI模塊2308、WTLS模塊2306以及WPKI模塊2310。到安全性系統的輸入包括進入數據2314，其可以是SSL加密數據、WTLS加密數據或普通數據。安全性系統的輸出是普通數據2316，該數據然後可由伺服器處理。
應用模塊2302檢測進入數據2314是SSL加密的、WTLS加密的還是普通文本。它然後代表它後面的伺服器來處理WTLS/SSL握手，並與用於伺服器端認證和客戶端認證的PKI/WPKI模塊進行交互。
如果進入數據2314是SSL加密的並且已經建立認證，則應用模塊調用SSL模塊2304。SSL模塊2304讀取所述數據並將它解密成普通文本2316。當它完成其處理時，它通知應用模塊2302。SSL模塊2304可使用硬體加密卡來用於SSL功能並提供SSL加速。SSL模塊可包括圖3的SSL轉換系統374。在本發明的通用實施例中，SSL模塊2304可以是有線設備解密模塊，其接受使用有線安全性協議加密的數據(即SSL加密的數據)，並將這種數據解密成普通文本。
如果應用模塊2302檢測到WTLS加密數據並且已建立認證，則調用WTLS模塊2306。WTLS模塊2306讀取進入數據2314，並將它解密成普通數據2316。當它完成時，它通知應用模塊2302。WTLS模塊2306可以是純軟體，或者是軟體和硬體的組合。WTLS加密和解密可以通過在硬體中執行處理器密集型功能來加速。WTLS模塊可包括圖3的WTLS轉換模塊372。在本發明的通用實施例中，WTLS模塊2306可以是無線設備解密模塊，其接受使用無線安全性協議加密的數據(即WTLS加密數據)，並將這種數據解密成普通文本。
PKI模塊2308具有通過檢查它的CRL以發現已被CA吊銷的任何客戶端證書，從而驗證數字籤名和/或認證有線客戶端證書的功能。使用對LDAP伺服器的LDAP/FTP/HTTP請求，根據用戶定義的間隔來更新CRL列表。PKI模塊2308還通過從CA下載伺服器端證書並將這些證書發放給客戶端，從而支持伺服器的認證。在本發明的通用實施例中，PKI模塊2308可以是有線設備認證模塊，其接受有線認證信息，並使用所述有線認證信息來認證有線設備。
WPKI模塊2310具有通過檢查它的CRL以發現已被CA吊銷的任何客戶端證書，從而驗證無線數字籤名和/或認證無線客戶端證書的功能。使用對LDAP(輕量級目錄訪問協議)伺服器的LDAP/FTP(文件傳輸協議)/HTTP(超文本傳輸協議)請求，根據用戶定義的間隔來更新CRL列表。在本發明的通用實施例中，WPKI模塊2310可以是無線設備認證模塊，其接受無線認證信息，並使用所述無線認證信息來認證無線設備。
WPKI模塊2310還使用伺服器端證書來支持伺服器的認證。存在兩種由這一模塊處理的伺服器端證書。短期證書可被設置成每24小時後就過期，而長期證書可被設置成一年後過期。根據用戶定義的間隔來更新(即從CA下載)這兩種證書。
其他模塊一旦應用程式從SSL模塊2304或WTLS模塊2306獲得進入數據2314，它就可以調用在網絡設備上提供其他功能的其他模塊2312，例如XML處理模塊、負載平衡模塊或XML轉換模塊。它還可以與諸如基於內容的交換、基於XML的路由以及設備檢測等特徵結合在一起。
配置圖24示出了可以如何配置安全性系統的示例。如下定義多個欄位·「映射ID」欄位為一個連接提供了一個任意的標識符；·「連接類型」欄位提供了連接類型(例如安全的或者非安全的)以及加密類型(即SSL或WTLS)；·「鍵值ID」欄位提供了用於安全連接的鍵值標識；·「伺服器IP」欄位提供了用於和數據中心內的伺服器通信的網際網路協議地址；·「網絡埠」欄位提供了用於從公共網絡接收安全或非安全數據的預定義已知埠號；·「伺服器埠」欄位提供了用於將普通數據傳送到數據中心中的伺服器的公知預定義埠；
·「密碼套件」欄位包含了用於安全和非安全連接的安全性強度的指示；·「重定向」欄位提供了一個選項，用於當接入設備不支持所使用的安全性特徵時，將該設備重定向到安全性升級資源處；·「客戶端認證」欄位確定是否請求了使用數字證書的客戶端認證；·「數字籤名」欄位確定是否請求了使用數字籤名的客戶端認證。
安全性系統的配置可以通過GUI(圖形用戶界面)或CLI(通用語音接口)來完成。例如，客戶端證書和伺服器證書可以通過CLI從安全性供應商處獲得。CRL的刷新時間可以通過CLI設置。CRL列表可以通過HTTP(超文本傳輸協議)、FTP(文件傳輸協議)或LDAP請求而從LDAP伺服器更新。短期伺服器證書還可以根據用戶定義的間隔從CA存儲庫自動更新。重定向參數用於當客戶端不能在客戶端這一側支持所需的安全性功能時，將客戶端重定向到具有與所需功能相關的信息的URL。
結論在前面的說明中，已參考其具體實施例來描述了本發明。然而，很清楚可以對本發明作出各種修改和改變而不偏離本發明更寬的精神和範圍。因此，本說明書和附圖應被理解成說明性而非限制性的。
例如，儘管其中已描述了PKI/WPKI和SSL/WTLS協議，但是本領域內的普通技術人員應當理解到，這些協議只是為了進行說明而被描述，而不應被理解成是對本發明的限制。同樣地可以應用其他協議。
本發明是一同待處理的美國專利申請No.10/000,154的部分繼續，並要求其優先權，該申請名稱為「Selecting a Security Format Conversion forWired and Wireless Devices」，申請日為2001年10月23日。
本專利文獻的公開內容的一部分包含了受版權保護的材料。版權所有者不反對任何人對此專利文獻或專利公開內容如其出現在美國專利商標局專利檔案或記錄中呈現的那樣進行複製，但對其他方面保留所有的版權。下述聲明適用於本說明書及其附圖中的軟體和數據版權2001，英特爾公司，保留所有版權。
權利要求
1.一種方法，包括從客戶端向伺服器發送消息，該消息用於建立安全連接；在與所述伺服器相關聯的安全性系統處截獲所述數據，以執行認證功能；以及如果執行了合適的認證，則建立安全連接。
2.如權利要求1所述的方法，其中所述合適的認證包括如果所述客戶端已請求了認證，則確定所述伺服器是否真實。
3.如權利要求2所述的方法，其中所述合適的認證還包括如果所述伺服器已請求了認證，則確定所述客戶端是否真實。
4.如權利要求1所述的方法，其中所述合適的認證包括驗證數字證書的有效性。
5.如權利要求1所述的方法，還包括如果所述消息是加密的，則解密該消息。
6.如權利要求1所述的方法，其中所述認證功能包括所述伺服器向所述客戶端請求認證；從所述客戶端接收客戶端證書；以及確定所述客戶端是否真實，所述確定發生在代表所述伺服器的所述安全性系統處。
7.如權利要求6所述的方法，其中所述消息包括用於驗證所述客戶端的身份有效性的數字籤名，並且所述執行合適的認證包括驗證所述數字籤名的有效性。
8.一種方法，包括在與伺服器相關聯的設備上接收來自客戶端的客戶端問候消息，所述客戶端問候消息表明了與所述伺服器建立安全連接的請求；響應於所述客戶端問候消息，所述設備代表所述伺服器發送伺服器問候消息，以確認所述客戶端問候消息；如果所述客戶端和所述伺服器中至少之一請求了認證，則交換認證信息；從所述設備向所述客戶端發送伺服器問候完成消息，所述發送是代表所述伺服器完成的；從所述客戶端接收完成消息；以及從所述設備向所述客戶端發送完成消息，所述發送是代表所述伺服器完成的。
9.如權利要求8所述的方法，其中所述交換認證信息包括如果所述客戶端問候消息包括一個向所述伺服器請求認證的請求，則從所述設備代表所述伺服器向所述客戶端發送認證信息；以及如果所述伺服器向所述客戶端請求認證，則從所述客戶端接收認證信息。
10.如權利要求8所述的方法，其中所述從所述設備代表所述伺服器向所述客戶端發送完成消息包括確定所述客戶端是否真實；以及如果所述客戶端已被認證，則在所述客戶端和所述伺服器之間建立安全連接。
11.如權利要求10所述的方法，其中所述認證信息包括客戶端證書，並且所述確定所述客戶端是否真實包括驗證所述客戶端證書的有效性。
12.如權利要求11所述的方法，其中驗證所述客戶端證書的有效性包括確定所述客戶端證書不在證書吊銷列表上。
13.如權利要求11所述的方法，其中所述認證信息還包括數字籤名，並且所述確定所述客戶端是否真實還包括驗證所述數字籤名。
14.如權利要求8所述的方法，還包括如果所述消息是加密的，則解密該消息。
15.一種裝置，包括應用模塊，用於接收進入數據，所述進入數據發送自一個客戶端，並要發送到數據中心內的多個伺服器當中的一個給定伺服器；和將所述數據路由到一個認證模塊，以驗證所述客戶端的身份的有效性；與所述多個伺服器相關聯的有線設備認證模塊，用於如果所述進入數據是使用有線認證信息發送的，則從所述應用模塊接收所述進入數據；和認證所述有線設備；與所述多個伺服器相關聯的無線設備認證模塊，用於如果所述進入數據是使用無線認證信息發送的，則從所述應用模塊接收所述進入數據；和認證所述無線設備；與所述多個伺服器相關聯的有線設備解密模塊，用於如果所述進入數據是使用有線安全性協議加密的，則從所述應用模塊接收所述進入數據；和將所述數據解密成普通文本；以及與所述多個伺服器相關聯的無線設備解密模塊，用於如果所述進入數據是使用無線安全性協議加密的，則從所述應用模塊接收所述進入數據；和將所述數據解密成普通文本。
16.如權利要求15所述的裝置，其中所述有線設備認證模塊和所述無線設備認證模塊還通過下述操作來支持用於認證所述給定伺服器的認證功能向證書機構請求伺服器證書；存儲所述伺服器證書；以及響應於客戶端的認證請求，將所述伺服器證書中的至少一個發送到所述客戶端。
17.如權利要求16所述的裝置，其中所述客戶端是無線客戶端，並且所述發送包括向所述無線客戶端發送長期證書和短期證書。
18.如權利要求16所述的裝置，其中所述向證書機構請求伺服器證書包括以用戶定義的間隔請求所述伺服器證書。
19.一種系統，包括用於和客戶端交換數據的一個或多個伺服器；以及與所述一個或多個伺服器相關聯的安全性系統，用於支持用於認證所述一個或多個伺服器的身份的認證功能；和認證請求與所述一個或多個伺服器建立安全連接的客戶端的身份。
20.如權利要求19所述的系統，其中用於認證所述一個或多個伺服器的身份的所述認證功能包括向證書機構請求伺服器證書；以及響應於客戶端對所述一個或多個伺服器中之一的認證請求，將伺服器證書發送到所述客戶端。
21.如權利要求19所述的系統，其中所述認證請求與所述一個或多個伺服器建立安全連接的客戶端的身份包括更新證書吊銷列表；接收來自一個客戶端的客戶端證書，所述客戶端請求與和所述安全性系統相關聯的所述一個或多個伺服器中的一個給定伺服器建立安全連接；確定所述客戶端證書是否在所述證書吊銷列表上；以及如果所述客戶端證書在所述證書吊銷列表上，則拒絕所述客戶端訪問所述給定伺服器。
22.一種裝置，包括第一裝置，用於接收進入數據，所述進入數據發送自一個客戶端，並要發送到數據中心內的多個伺服器當中的一個給定伺服器；和將所述數據路由到用於通過認證與所述客戶端相關聯的設備來驗證所述客戶端身份的有效性的裝置；第二裝置，用於如果所述進入數據是使用有線認證信息發送的，則從所述第一裝置接收所述進入數據；和認證所述有線設備；第三裝置，用於如果所述進入數據是使用無線認證信息發送的，則從所述第一裝置接收所述進入數據；和認證所述無線設備；第四裝置，用於如果所述進入數據是使用有線安全性協議加密的，則從所述第一裝置接收所述進入數據；和將所述數據解密成普通文本；以及第五裝置，用於如果所述進入數據是使用無線安全性協議加密的，則從所述第一裝置接收所述進入數據；和將所述數據解密成普通文本。
23.如權利要求22所述的裝置，其中所述第二裝置和第三裝置還通過下述操作來支持用於認證所述給定伺服器的認證功能向證書機構請求伺服器證書；存儲所述伺服器證書；以及響應於客戶端的認證請求，將所述伺服器證書中的至少一個發送到所述客戶端。
24.如權利要求23所述的裝置，其中所述客戶端是無線客戶端，並且所述發送包括向所述無線客戶端發送長期證書和短期證書。
25.如權利要求23所述的裝置，其中所述向證書機構請求伺服器證書包括以用戶定義的間隔請求所述伺服器證書。
26.一種其上存儲有表示指令序列的數據的機器可讀介質，所述指令序列當被處理器執行時使得該處理器執行下述步驟從客戶端向伺服器發送消息，該消息用於建立安全連接；在與所述伺服器相關聯的安全性系統處截獲所述數據，以執行認證功能；以及如果執行了合適的認證，則建立安全連接。
27.如權利要求26所述的機器可讀介質，其中所述合適的認證包括如果所述客戶端已請求了認證，則確定所述伺服器是否真實。
28.如權利要求26所述的機器可讀介質，其中所述消息包括用於驗證所述客戶端身份有效性的客戶端證書，並且所述執行合適的認證包括驗證所述客戶端證書的有效性。
29.如權利要求26所述的機器可讀介質，其中所述認證功能包括所述安全性系統代表所述伺服器向所述客戶端請求認證；從所述客戶端接收客戶端證書；以及確定所述客戶端是否真實，所述確定發生在代表所述伺服器的所述安全性系統處。
30.一種裝置，包括至少一個處理器；以及其上編碼有指令的機器可讀介質，所述指令當被所述處理器執行時能夠指示所述處理器執行下述步驟接收從客戶端到伺服器的消息，該消息用於建立安全連接；在與所述伺服器相關聯的安全性系統處截獲所述數據，以執行認證功能；和如果執行了合適的認證，則建立安全連接。
31.如權利要求30所述的裝置，其中所述合適的認證包括如果所述客戶端已請求了認證，則確定所述伺服器是否真實。
32.如權利要求30所述的裝置，其中所述消息包括用於驗證所述客戶端身份有效性的客戶端證書，並且所述執行合適的認證包括驗證所述客戶端證書的有效性。
全文摘要
本發明將認證功能集中在安全性系統中，以使伺服器不再負擔這一功能，並提供用於安全的網際網路交易的端到端解決方案。安全性系統通過向證書機構請求伺服器證書，並將伺服器證書發送到請求認證的客戶端，從而支持用於認證伺服器的認證功能。安全性系統還通過檢查數字籤名、驗證客戶端證書的有效性來認證客戶端，這包括檢查CA籤名、檢查籤名的有效期、維護證書吊銷列表(CRL)、以及將客戶端證書與CRL進行對比檢查。
文檔編號H04L29/08GK1615632SQ03802164
公開日2005年5月11日 申請日期2003年1月10日 優先權日2002年1月12日
發明者科塞施韋奧·阿杜蘇米利 申請人:英特爾公司