專利名稱：用于認(rèn)證通信請(qǐng)求的系統(tǒng)和方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信安全，并更具體地涉及用于允許服務(wù)器認(rèn)證客戶端而不用首先允許這些設(shè)備之間的直接通信的方法和系統(tǒng)。
背景技術(shù)：
隨著諸如因特網(wǎng)的公共訪問通信網(wǎng)絡(luò)的迅速擴(kuò)散，數(shù)據(jù)的安全性和完整性成為遍及社會(huì)的關(guān)注問題。與此關(guān)注問題相關(guān)的是，在面對(duì)惡意的未授權(quán)訪問的嘗試(即黑客)以及摧毀數(shù)據(jù)和計(jì)算資源的嘗試(即病毒和蠕蟲)時(shí)，服務(wù)器資源的可用性和對(duì)于提供潛在敏感信息的可用性和訪問的需要。這些計(jì)算機(jī)黑客以及病毒和蠕蟲持續(xù)地探測(cè)和分析網(wǎng)絡(luò)、服務(wù)器和其他計(jì)算資源中的可以被利用的弱點(diǎn)。
存在用于保護(hù)數(shù)據(jù)和對(duì)計(jì)算資源的未授權(quán)訪問的許多方案，其范圍從一般的口令保護(hù)到更復(fù)雜的防火墻安排。如在因特網(wǎng)通信中典型地出現(xiàn)的，當(dāng)客戶端計(jì)算機(jī)尋求訪問web服務(wù)器時(shí)，形式為網(wǎng)際協(xié)議(“IP”)包的請(qǐng)求被路由通過一系列網(wǎng)絡(luò)。諸如傳輸控制協(xié)議(“TCP”)層的IP層使用被分配到每個(gè)消息的邏輯端口號(hào)，以便接收設(shè)備可以確定正被請(qǐng)求/提供的服務(wù)的類型。因此，這些邏輯端口是用于定義服務(wù)的引用號(hào)。邏輯端口號(hào)是連續(xù)的無符號(hào)整數(shù)值，其范圍最大到值65535。某些邏輯端口已被分配，某些被保留，而許多未分配的邏輯端口可以被應(yīng)用程序所使用。例如，超文本傳輸協(xié)議(“HTTP”)使用端口80來提供web瀏覽服務(wù)。
為了允許使用諸如互聯(lián)網(wǎng)web瀏覽的服務(wù)，諸如端口80的支持端口典型地不被防火墻阻擋，以使相應(yīng)數(shù)據(jù)(例如對(duì)信息的請(qǐng)求)可以被web服務(wù)器所接收。一旦數(shù)據(jù)已通過防火墻，則web服務(wù)器典型地盲目接受該數(shù)據(jù)，處理該數(shù)據(jù)，并把結(jié)果發(fā)送回始發(fā)客戶端計(jì)算機(jī)。上述方式甚至可以是這樣的情況，其中web服務(wù)器接收請(qǐng)求并通過請(qǐng)求口令和/或ID來答復(fù)。
這些安排使服務(wù)器對(duì)于上述攻擊很脆弱。這些安排還由于要求管理者在攻擊已做出之后不斷地更新防火墻規(guī)則集，而不利地要求大量的管理。因此，想要有一種系統(tǒng)和方法，其允許客戶端計(jì)算機(jī)經(jīng)由防火墻與服務(wù)器通信，其中防火墻不需要使某些端口被默認(rèn)允許，即防火墻阻擋所有進(jìn)入的通信流而不管端口號(hào)。

發(fā)明內(nèi)容
本發(fā)明解決了現(xiàn)有技術(shù)關(guān)于認(rèn)證的缺點(diǎn)，并提供了一種用于向服務(wù)器認(rèn)證客戶端計(jì)算機(jī)的新穎和非顯而易見的方法、系統(tǒng)和裝置。在此方面，使用了多層認(rèn)證技術(shù)來防止病毒/蠕蟲和黑客掃描端口。該多層技術(shù)通過在防火墻中記錄通信請(qǐng)求并通知服務(wù)器客戶端通信請(qǐng)求正待決，而有利地防止了客戶端計(jì)算機(jī)和服務(wù)器之間的初始直接通信(例如通信會(huì)話)。
根據(jù)一個(gè)方面，本發(fā)明提供了一種用于認(rèn)證從客戶端計(jì)算設(shè)備發(fā)送的通信請(qǐng)求的系統(tǒng)，其中防火墻與服務(wù)器進(jìn)行數(shù)據(jù)通信。所述防火墻具有處理單元和存儲(chǔ)單元。所述處理單元操作以執(zhí)行下述功能，所述功能包括初始阻擋所述通信請(qǐng)求，以及創(chuàng)建對(duì)應(yīng)于所述通信請(qǐng)求的第一記錄事件。所述存儲(chǔ)單元存儲(chǔ)所述通信請(qǐng)求和記錄事件。所述服務(wù)器與所述防火墻進(jìn)行數(shù)據(jù)通信。所述服務(wù)器具有處理單元，所述處理單元操作以執(zhí)行下述功能，所述功能包括接收由所述防火墻創(chuàng)建的所述第一記錄事件的通知，認(rèn)證對(duì)應(yīng)于所述第一記錄事件的通信請(qǐng)求，以及如果所述通信請(qǐng)求被認(rèn)證則啟用所述防火墻中的端口。
根據(jù)另一個(gè)方面，本發(fā)明提供了一種用于認(rèn)證從客戶端計(jì)算設(shè)備發(fā)送的通信請(qǐng)求的方法，其中初始阻擋所述通信請(qǐng)求，以防止其被傳送到服務(wù)器。創(chuàng)建對(duì)應(yīng)于所述通信請(qǐng)求的第一記錄事件。在防火墻中存儲(chǔ)所述通信請(qǐng)求和記錄事件。向服務(wù)器通知所述第一記錄事件。認(rèn)證對(duì)應(yīng)于所述第一記錄事件的通信請(qǐng)求。如果所述通信請(qǐng)求被認(rèn)證，則啟用所述防火墻中的端口。
根據(jù)再一個(gè)方面，提供了一種機(jī)器可讀存儲(chǔ)設(shè)備，在其上存儲(chǔ)有計(jì)算機(jī)程序，該計(jì)算機(jī)程序用于認(rèn)證從客戶端計(jì)算設(shè)備發(fā)送的通信請(qǐng)求。所述計(jì)算機(jī)程序包括一組指令，當(dāng)所述指令被機(jī)器執(zhí)行時(shí)使得該機(jī)器執(zhí)行一種方法，其中初始阻擋所述通信請(qǐng)求，以防止其被傳送到服務(wù)器。創(chuàng)建對(duì)應(yīng)于所述通信請(qǐng)求的第一記錄事件。在防火墻中存儲(chǔ)所述通信請(qǐng)求和記錄事件。向服務(wù)器通知所述第一記錄事件。認(rèn)證對(duì)應(yīng)于所述第一記錄事件的通信請(qǐng)求。如果所述通信請(qǐng)求被認(rèn)證，則啟用所述防火墻中的端口。
本發(fā)明的另外的方面將部分地在以下的描述中被陳述，并且部分地通過這種描述變得明顯，或可通過實(shí)踐本發(fā)明而領(lǐng)會(huì)。借助于在所附權(quán)利要求中特別指出的元素及組合，將實(shí)現(xiàn)和達(dá)到本發(fā)明的這些方面。應(yīng)當(dāng)了解，前述一般描述和以下詳細(xì)描述二者僅為示例性的和說明性的，而不會(huì)限制如所要求的本發(fā)明。


被并入和組成本說明書的一部分的

了本發(fā)明的實(shí)施例，并連同描述一起用來解釋本發(fā)明的原理。這里所說明的實(shí)施例是當(dāng)前優(yōu)選的，不過需要了解，本發(fā)明并不限于所示的精確安排和裝置，在附圖中圖1是根據(jù)本發(fā)明原理而構(gòu)建的示例性系統(tǒng)的圖；圖2是本發(fā)明的整體過程的流程圖；圖3是圖2的客戶端內(nèi)容請(qǐng)求準(zhǔn)備和傳輸過程(步驟S200)的流程圖；以及圖4是圖2的認(rèn)證客戶端計(jì)算機(jī)通信請(qǐng)求的過程(步驟S204)的流程圖。
具體實(shí)施例方式
本發(fā)明有利地提供了一種方法、系統(tǒng)和裝置，用于以允許服務(wù)器使用多層認(rèn)證和數(shù)據(jù)交換技術(shù)來認(rèn)證客戶端計(jì)算機(jī)的方式而允許服務(wù)器(例如web服務(wù)器)和客戶端計(jì)算機(jī)(例如運(yùn)行web瀏覽器軟件的計(jì)算機(jī))之間的通信。此技術(shù)不要求防火墻響應(yīng)請(qǐng)求，并且不初始允許客戶端計(jì)算機(jī)直接與服務(wù)器通信。如這里所使用的，對(duì)客戶端計(jì)算機(jī)的認(rèn)證的提及意在包括對(duì)實(shí)際的客戶端計(jì)算機(jī)和/或計(jì)算機(jī)的用戶的認(rèn)證。
現(xiàn)在參照附圖，其中相同的標(biāo)號(hào)指相同的單元。在圖1中示出了根據(jù)本發(fā)明原理所構(gòu)建的并被一般地標(biāo)明為“100”的系統(tǒng)。系統(tǒng)100包括通過網(wǎng)絡(luò)106和防火墻108連接于服務(wù)器104的客戶端計(jì)算機(jī)102。網(wǎng)絡(luò)106可以是能夠在客戶端計(jì)算機(jī)102和防火墻108之間傳送數(shù)據(jù)的任何計(jì)算機(jī)網(wǎng)絡(luò)。如這里所使用的，術(shù)語“數(shù)據(jù)”包括所有形式的數(shù)字通信，包括但不局限于字母數(shù)字信息、音頻、視頻以及其他任何形式的經(jīng)編碼或加密的信息。另外，盡管在圖1中防火墻108和服務(wù)器104被示出為分開的單元，并在這里被分別描述，但應(yīng)了解，防火墻108和服務(wù)器104可以被實(shí)現(xiàn)為單個(gè)物理單元，其具有由一個(gè)或多個(gè)物理機(jī)架中的一個(gè)或多個(gè)處理單元和相關(guān)聯(lián)的計(jì)算硬件所執(zhí)行的、每個(gè)設(shè)備的功能。
客戶端計(jì)算機(jī)102可以是能夠請(qǐng)求來自服務(wù)器的信息(例如可由web瀏覽軟件提供的信息)的任何計(jì)算設(shè)備。例如，客戶端計(jì)算機(jī)102可以是臺(tái)式或膝上型計(jì)算機(jī)、個(gè)人數(shù)字助理(“PDA”)等等?？蛻舳擞?jì)算機(jī)102包括本領(lǐng)域所公知的并為實(shí)現(xiàn)這里所述的本發(fā)明的功能所可能需要的硬件部件。例如，客戶端計(jì)算機(jī)102可以包括由操作系統(tǒng)和/或一個(gè)或多個(gè)應(yīng)用軟件程序所控制的存儲(chǔ)單元(例如易失性或非易失性存儲(chǔ)器)、中央處理單元、輸入和輸出設(shè)備、網(wǎng)絡(luò)接口硬件、顯示單元等等。
類似地，服務(wù)器104一般地包括以上關(guān)于計(jì)算機(jī)102所描述的相同類型的硬件部件。服務(wù)器104被安排為基于客戶端102所發(fā)起的請(qǐng)求向客戶端102提供信息。例如，服務(wù)器104可以是web服務(wù)器。服務(wù)器104的硬件單元可以被安排為提供這里所述的關(guān)于認(rèn)證對(duì)信息的請(qǐng)求(即，客戶端102發(fā)起的內(nèi)容請(qǐng)求)的功能。
防火墻108一般地包括以上關(guān)于客戶端計(jì)算機(jī)102所描述的包括存儲(chǔ)單元和處理單元的硬件，并包括實(shí)現(xiàn)這里所述的功能所需的程序性軟件。應(yīng)注意，認(rèn)為本領(lǐng)域普通技術(shù)人員可以使用已知計(jì)算軟件語言寫出程序性軟件，以實(shí)現(xiàn)可由客戶端計(jì)算機(jī)102、服務(wù)器102和/或防火墻108執(zhí)行的這里所述的本發(fā)明的功能。由客戶端計(jì)算機(jī)102、服務(wù)器102和/或防火墻108執(zhí)行認(rèn)證過程110。
參照?qǐng)D2描述了本發(fā)明的整個(gè)過程，即認(rèn)證過程110。首先，客戶端計(jì)算機(jī)102準(zhǔn)備對(duì)內(nèi)容的請(qǐng)求并將其發(fā)送到服務(wù)器104(步驟S200)。所述請(qǐng)求的預(yù)定目的地被定址為客戶端計(jì)算機(jī)102所相信的地址，例如服務(wù)器104的TCP/IP地址。防火墻108操作以初始阻擋由客戶端計(jì)算機(jī)102發(fā)送的通信請(qǐng)求，并在其存儲(chǔ)單元中記錄所述請(qǐng)求以及體現(xiàn)所述請(qǐng)求的數(shù)據(jù)和/或包(步驟S202)。向服務(wù)器104通知在防火墻108中已制作了用于通信的記錄條目，并且服務(wù)器104評(píng)估所述請(qǐng)求(步驟204)以確定客戶端是否應(yīng)該被認(rèn)證(步驟S206)。如果客戶端被認(rèn)證，則接受所述通信請(qǐng)求，而且服務(wù)器104指示防火墻108啟用防火墻中的一個(gè)或多個(gè)端口，以允許客戶端102和服務(wù)器104之間的通信(步驟S208)。
例如，客戶端102可以從服務(wù)器104請(qǐng)求web內(nèi)容。如果該通信請(qǐng)求被認(rèn)證，則服務(wù)器104可指示防火墻108啟用TCP/IP端口80，以允許客戶端102使用此公知的http端口與服務(wù)器104通信，因?yàn)榇硕丝谕ǔ１挥糜赥CP/IP web通信。
如上所述，關(guān)于步驟S204，服務(wù)器104接收防火墻108已記錄來自客戶端102的對(duì)于內(nèi)容的通信請(qǐng)求的通知?？紤]此通知可以用任意種方式被接收。例如，服務(wù)器104可以監(jiān)視防火墻108中的記錄，以確定何時(shí)已制作了用于通信請(qǐng)求的條目。作為另一示例，防火墻108可以主動(dòng)地通知服務(wù)器104創(chuàng)建了通信請(qǐng)求記錄條目。換句話說，可以將對(duì)通信請(qǐng)求記錄條目的通知推向服務(wù)器104或可以將其從防火墻108中拉出。用于推和拉數(shù)據(jù)和用于監(jiān)視計(jì)算機(jī)記錄條目的技術(shù)是已知的，并且在這里不予描述。
參照?qǐng)D3描述了步驟S200的客戶端內(nèi)容請(qǐng)求準(zhǔn)備和傳輸過程的詳細(xì)示例。本發(fā)明的多層認(rèn)證技術(shù)的第一層是對(duì)對(duì)應(yīng)于請(qǐng)求客戶端計(jì)算機(jī)102的地址的散列的匹配。因而，客戶端計(jì)算機(jī)102將其IP和MAC地址進(jìn)行散列(步驟S300)?？梢允褂妙A(yù)先確定的散列協(xié)議或動(dòng)態(tài)改變的協(xié)議來執(zhí)行所述散列，例如由SECUREID系統(tǒng)進(jìn)行的散列。還考慮也可將使用全球定位系統(tǒng)(“GPS”)增強(qiáng)的計(jì)算機(jī)的位置坐標(biāo)包括為散列算法中的因子，從而使該系統(tǒng)增加一特定于位置的安全性的附加層。
因此，由客戶端102所傳輸和在防火墻108的存儲(chǔ)單元中所存儲(chǔ)的通信請(qǐng)求包括已散列的地址(和可選的GPS位置坐標(biāo))以及明文的(即未經(jīng)散列的)這些相同地址和坐標(biāo)。所述通信請(qǐng)求以預(yù)定順序被傳輸?shù)筋A(yù)先定義的端口或一系列端口(步驟S302)。如上所述，關(guān)于圖2中的步驟S202。有狀態(tài)的防火墻108截取目地的為服務(wù)器104的請(qǐng)求。
通過在防火墻108處阻擋所有通信請(qǐng)求，本發(fā)明阻擋所有黑客和病毒/蠕蟲到達(dá)服務(wù)器104。起初，服務(wù)器104所具有的、來自客戶端102的通信請(qǐng)求的唯一知識(shí)是關(guān)于記錄條目的通知。
參照?qǐng)D4詳細(xì)解釋了圖2的對(duì)通信請(qǐng)求的認(rèn)證(步驟S204)。起初，服務(wù)器104檢測(cè)到防火墻108中的記錄已被更新(步驟S400)。以上描述了用于通知服務(wù)器104防火墻記錄更新的方法。服務(wù)器104獲得存儲(chǔ)于防火墻108中的通信請(qǐng)求以及記錄數(shù)據(jù)，并使用由客戶端計(jì)算機(jī)102所使用的相同散列算法將所述通信請(qǐng)求中的明文的IP和MAC地址進(jìn)行散列(步驟S402)。服務(wù)器104將經(jīng)它散列的地址與由客戶端計(jì)算機(jī)102創(chuàng)建的并包括在所述通信請(qǐng)求中的已散列的地址(以及可選的GPS位置信息)進(jìn)行比較，以確定兩個(gè)散列是否匹配(步驟S404)。如果兩個(gè)散列不匹配，則認(rèn)證失敗(步驟S406)，并且服務(wù)器104不會(huì)接受所述通信請(qǐng)求。匹配的散列是客戶端計(jì)算機(jī)102未被“欺騙”(spoof)的強(qiáng)烈指示，即，所述通信請(qǐng)求確實(shí)是由客戶端計(jì)算機(jī)102而非冒名頂替者發(fā)起的。
如果兩個(gè)散列匹配，則多層認(rèn)證過程的第一層被認(rèn)為成功，并且服務(wù)器104將單播請(qǐng)求發(fā)送給客戶端計(jì)算機(jī)102，請(qǐng)求服務(wù)器的公開加密密鑰(步驟S408)。該公鑰可以是對(duì)應(yīng)于每個(gè)IP端口或每個(gè)服務(wù)的。公鑰典型地在安裝相應(yīng)通信軟件和/或應(yīng)用和/或操作系統(tǒng)之時(shí)被分發(fā)到客戶端計(jì)算機(jī)102。一旦接收了請(qǐng)求，客戶端計(jì)算機(jī)102就將公鑰傳輸?shù)椒?wù)器104。
不過，如對(duì)于上述初始通信請(qǐng)求一樣，由于沒有打開任何端口以允許從客戶端計(jì)算機(jī)102到服務(wù)器104的直接通信，包含了公鑰的包被防火墻108所阻擋。防火墻108記錄接收到公鑰，并在其存儲(chǔ)單元中存儲(chǔ)此記錄條目以及相應(yīng)公鑰。如對(duì)于初始通信請(qǐng)求一樣，向服務(wù)器104通知該記錄條目。服務(wù)器104從防火墻108獲得公鑰，并測(cè)試該公鑰(步驟S410)。可以由服務(wù)器104例如通過用該公鑰加密測(cè)試數(shù)據(jù)并接著嘗試用其私鑰解密同一數(shù)據(jù)來測(cè)試該公鑰。如果解密成功，則客戶端(通信請(qǐng)求)被認(rèn)證(步驟S414)。如果解密不成功，則認(rèn)證失敗(步驟S406)。
本發(fā)明可以用硬件、軟件或硬件和軟件的組合來實(shí)現(xiàn)。本發(fā)明的方法和系統(tǒng)的實(shí)現(xiàn)能夠在一個(gè)計(jì)算機(jī)系統(tǒng)中以集中的方式實(shí)現(xiàn)，或者以分布的方式(其中不同的元件跨若干互連計(jì)算機(jī)系統(tǒng)分布)實(shí)現(xiàn)。適于執(zhí)行這里所描述的方法的任何種類的計(jì)算機(jī)系統(tǒng)或其他裝置都適合于執(zhí)行這里所述的功能。
硬件和軟件的典型組合可以是具有計(jì)算機(jī)程序的通用計(jì)算機(jī)系統(tǒng)，所述計(jì)算機(jī)程序在被加載和執(zhí)行時(shí)控制該計(jì)算機(jī)系統(tǒng)，使得該計(jì)算機(jī)系統(tǒng)執(zhí)行這里所描述的方法。本發(fā)明還可以被嵌入到計(jì)算機(jī)程序產(chǎn)品中，該計(jì)算機(jī)程序產(chǎn)品包括使這里所述的方法能夠?qū)崿F(xiàn)的所有特征，并且在其被加載到計(jì)算機(jī)系統(tǒng)中時(shí)能夠執(zhí)行這些方法。
本文中的計(jì)算機(jī)程序或應(yīng)用指的是在任何語言、代碼或符號(hào)形式下的一組指令的任何表達(dá)，所述一組指令旨在使具有信息處理能力的系統(tǒng)直接地或在經(jīng)過下述操作中的任何一個(gè)或兩者之后執(zhí)行特定功能，所述操作包括a)轉(zhuǎn)換到另一語言、代碼或符號(hào)；b)以不同的物質(zhì)形式再現(xiàn)。顯著地，本發(fā)明可以體現(xiàn)于其他特定形式中，而不會(huì)背離本發(fā)明的精神和基本屬性，并且因此，應(yīng)該參照以下權(quán)利要求而不是前述說明書來指明本發(fā)明的范圍。
權(quán)利要求
1.一種用于認(rèn)證從客戶端計(jì)算設(shè)備發(fā)送的通信請(qǐng)求的系統(tǒng)，該系統(tǒng)包括防火墻，該防火墻包括；操作以執(zhí)行下述功能的處理單元，所述功能包括初始阻擋所述通信請(qǐng)求；創(chuàng)建對(duì)應(yīng)于所述通信請(qǐng)求的第一記錄事件；以及存儲(chǔ)單元，該存儲(chǔ)單元存儲(chǔ)所述通信請(qǐng)求和記錄事件；以及與所述防火墻進(jìn)行數(shù)據(jù)通信的服務(wù)器，該服務(wù)器具有處理單元，該處理單元操作以執(zhí)行下述功能，所述功能包括接收由所述防火墻創(chuàng)建的關(guān)于所述第一記錄事件的通知；認(rèn)證對(duì)應(yīng)于所述第一記錄事件的所述通信請(qǐng)求；以及如果所述通信請(qǐng)求被認(rèn)證，則啟用所述防火墻中的端口。
2.如權(quán)利要求1所述的系統(tǒng)，其中所述通信請(qǐng)求包括對(duì)應(yīng)于所述客戶端的多個(gè)地址以及對(duì)應(yīng)于所述客戶端的多個(gè)地址的散列。
3.如權(quán)利要求2所述的系統(tǒng)，其中所述服務(wù)器中央處理單元通過執(zhí)行下述功能來認(rèn)證所述通信請(qǐng)求，所述功能包括對(duì)對(duì)應(yīng)于所述客戶端的所述多個(gè)地址進(jìn)行散列；將由所述服務(wù)器進(jìn)行散列的所述多個(gè)地址與所述通信請(qǐng)求中所述已散列的多個(gè)地址進(jìn)行匹配。
4.如權(quán)利要求3所述的系統(tǒng)，其中，如果所述由服務(wù)器進(jìn)行散列的多個(gè)地址匹配所述通信請(qǐng)求中已散列的多個(gè)地址，則所述服務(wù)器中央處理單元通過向客戶端傳送對(duì)于對(duì)應(yīng)于所述服務(wù)器的公鑰的請(qǐng)求來進(jìn)一步認(rèn)證所述通信請(qǐng)求。
5.如權(quán)利要求4所述的系統(tǒng)，其中所述防火墻從所述客戶端接收對(duì)應(yīng)于所述服務(wù)器的公鑰，以及其中所述防火墻中央處理單元?jiǎng)?chuàng)建對(duì)應(yīng)于所述公鑰的第二記錄事件，并將所述第二記錄事件和所述公鑰存儲(chǔ)于所述防火墻存儲(chǔ)裝置中，以及其中服務(wù)器的中央處理單元通過進(jìn)一步執(zhí)行下述功能來認(rèn)證所述通信請(qǐng)求，所述功能包括接收關(guān)于由所述防火墻創(chuàng)建的所述第二記錄事件的通知；從所述防火墻獲得所述公鑰；以及測(cè)試所述公鑰。
6.如權(quán)利要求5所述的系統(tǒng)，其中對(duì)應(yīng)于客戶端的所述多個(gè)地址包括網(wǎng)際協(xié)議地址和媒體訪問控制層地址。
7.一種用于認(rèn)證從客戶端計(jì)算設(shè)備發(fā)送的通信請(qǐng)求的方法，該方法包括初始阻擋所述通信請(qǐng)求被發(fā)送到服務(wù)器；創(chuàng)建對(duì)應(yīng)于所述通信請(qǐng)求的第一記錄事件；在防火墻中存儲(chǔ)所述通信請(qǐng)求和記錄事件；向服務(wù)器通知所述第一記錄事件；認(rèn)證對(duì)應(yīng)于所述第一記錄事件的通信請(qǐng)求；以及如果所述通信請(qǐng)求被認(rèn)證，則啟用所述防火墻中的端口。
8.如權(quán)利要求7所述的方法，其中所述通信請(qǐng)求包括對(duì)應(yīng)于所述客戶端的多個(gè)地址以及對(duì)應(yīng)于所述客戶端的所述多個(gè)地址的第一散列。
9.如權(quán)利要求8所述的方法，其中認(rèn)證所述通信請(qǐng)求的步驟包括執(zhí)行對(duì)應(yīng)于所述客戶端的所述多個(gè)地址的第二散列；將所述多個(gè)地址的第二散列與所述通信請(qǐng)求中已散列的多個(gè)地址進(jìn)行匹配。
10.如權(quán)利要求9所述的方法，其中認(rèn)證所述通信請(qǐng)求的步驟進(jìn)一步包括如果所述已進(jìn)行第二散列的多個(gè)地址匹配所述通信請(qǐng)求中已散列的多個(gè)地址，則向所述客戶端傳送對(duì)于對(duì)應(yīng)于所述服務(wù)器的公鑰的請(qǐng)求。
11.如權(quán)利要求10所述的方法，其中認(rèn)證所述通信請(qǐng)求的步驟進(jìn)一步包括接收來自于所述客戶端的公鑰，所述公鑰對(duì)應(yīng)于所述服務(wù)器；創(chuàng)建對(duì)應(yīng)于所接收公鑰的第二記錄事件；存儲(chǔ)所述第二記錄事件和所接收的公鑰；向服務(wù)器通知所述第二記錄事件；以及測(cè)試所接收的公鑰。
12.如權(quán)利要求11所述的方法，其中對(duì)應(yīng)于所述客戶端的所述多個(gè)地址包括網(wǎng)際協(xié)議地址和媒體訪問控制層地址。
13.如權(quán)利要求10所述的方法，其中所述第一散列和第二散列進(jìn)一步包括對(duì)應(yīng)于所述客戶端的位置坐標(biāo)。
14.一種機(jī)器可讀存儲(chǔ)設(shè)備，在其上存儲(chǔ)有計(jì)算機(jī)程序，該計(jì)算機(jī)程序用于實(shí)現(xiàn)前述方法權(quán)利要求的任何一個(gè)方法。
全文摘要
一種用于認(rèn)證從客戶端計(jì)算設(shè)備發(fā)送的通信請(qǐng)求的方法、系統(tǒng)和裝置。所述通信請(qǐng)求初始被防火墻阻擋，以阻止被傳送到服務(wù)器。創(chuàng)建對(duì)應(yīng)于所述通信請(qǐng)求的第一記錄事件。將所述通信請(qǐng)求和記錄事件存儲(chǔ)于防火墻中。向服務(wù)器通知所述第一記錄事件。認(rèn)證對(duì)應(yīng)于所述第一記錄事件的通信請(qǐng)求。如果所述通信請(qǐng)求被認(rèn)證，則啟用所述防火墻中的端口。
文檔編號(hào)H04L9/00GK1809067SQ200610001468
公開日2006年7月26日 申請(qǐng)日期2006年1月17日 優(yōu)先權(quán)日2005年1月21日
發(fā)明者J·B·詹寧斯, K·凱克希 申請(qǐng)人:國際商業(yè)機(jī)器公司