[发明专利]用于专用网络的基于电子集合的两级访问控制方法和装置

说明书

一种提供对专用网络资源的访问的方法包括接收来自电子集合服务的指示，所述指示表明客户端应用已通过第一组认证和授权过程。从所述客户端应用接收到一个访问所述专用网络资源的请求。所述客户端应用被允许尝试执行第二组认证和授权过程，所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示，所述指示表明所述客户端应用已通过所述第一组认证和授权过程。执行所述第二组认证和授权过程，并且至少部分基于确定所述客户端应用已通过所述第一和第二组认证和授权过程，所述客户端应用被允许访问所述专用网络资源。

相关申请案交叉申请

本发明要求2012年12月28日递交的发明名称为“用于专用网络的基于电子集合的两级访问控制(Electronic Rendezvous-Based Two Stage Access Control for PrivateNetworks)”的第13/729823号美国专利申请案的在先申请优先权，该在先申请的内容以全文引用的方式并入本文本中。

技术领域

本发明涉及通信网络，以及在具体实施例中，涉及用于专用网络的基于电子集合的两级访问控制。

背景技术

专用网络通常包含计算机和使用私有地址空间以通信方式彼此耦合的其它设备的集合。例如，专用网络中的每个设备可具有私有地址空间内的私有地址，并且这些设备可使用私有地址共享专用网络内的信息和资源。然而，当专用网络内的设备需要与公共网络上的设备(例如，不在专用网络内的设备)进行通信时，专用网络内的设备通常将使用路由器。路由器使用网络地址转换(NAT)模块在专用网络和公共网络之间转发数据包，NAT模块在私有地址空间中的地址和公共地址空间中的地址之间进行转换。

路由器可包含防火墙，防火墙基于一组预定的规则限制专用网络和公共网络之间的通信。例如，路由器可使用防火墙确定数据包的来源和/或目的地，并可阻止来自或去往特定来源和/或目的地的数据包。因此，防火墙可通过控制专用网络内的设备和公共网络上的设备之间的通信来增强专用网络的安全性。然而，防火墙可能很容易被绕过或“入侵”(hacked)，这会导致专用网络的安全性受影响。

发明内容

在一项实施例中，本发明包含一种提供对专用网络资源的访问的方法，所述方法包括接收来自电子集合服务的指示，所述指示表明客户端应用已通过第一组认证和授权过程。从所述客户端应用接收到一个访问所述专用网络资源的请求。所述客户端应用被允许尝试执行第二组认证和授权过程，所述执行第二组认证和授权过程至少部分基于接收来自所述电子集合服务的所述指示，所述指示表明所述客户端应用已通过所述第一组认证和授权过程。随后执行所述第二组认证和授权过程，并且所述客户端应用被允许访问所述专用网络资源，所述访问所述专用网络资源至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程。

在另一项实施例中，本发明包含一种提供对专用网络资源的访问的装置，所述装置包括接口和处理器。所述接口用于接收来自电子集合服务的指示，所述指示表明客户端应用已通过第一组认证和授权过程。所述处理器用于执行第二组认证和授权过程并至少部分基于确定所述客户端应用已通过所述第一组认证和授权过程以及所述第二组认证和授权过程使能所述客户端应用访问所述专用网络资源。

在又一项实施例中，本发明包含一种提供对专用网络资源的访问的装置，所述装置包括处理器。所述处理器用于从客户端应用接收访问所述专用网络资源的请求，以及从所述客户端应用接收认证和授权信息。所述处理器用于使用来自所述客户端应用的所述认证和授权信息来执行一组认证和授权过程，并且所述处理器用于发送消息到所述专用网络，所述消息指示所述客户端应用已通过所述一组认证和授权过程。

结合附图和权利要求书，可从以下的详细描述中更清楚地理解这些和其它特征。

附图说明

为了更完整地理解本发明，现在参考以下结合附图和详细描述进行的简要描述，其中相同参考标号表示相同部分。