[发明专利]保护VPN通信的方法和系统

权利要求书

1.一种设备，包括：

处理器；以及

与所述处理器通信的存储器，所述存储器存储可执行指令，所述可执行指令在由所述处理器执行时，使所述设备执行以下功能：

生成用于所述设备与资源服务器之间的通信会话的会话密钥；

从所述会话密钥得到随机数；

向身份平台发送请求以针对访问所述资源服务器认证所述设备，所述请求包括所述随机数；

在确认认证后，从所述身份平台接收访问令牌，所述访问令牌包括确认所述设备的认证的信息；以及

向所述资源服务器发送所述访问令牌以支持对所述资源服务器的访问，

其中所述访问令牌包括所述随机数。

2.根据权利要求1所述的设备，其中所述资源服务器是虚拟专用网络(VPN)。

3.根据权利要求1所述的设备，其中所述访问令牌包括标识所述设备的信息。

4.根据权利要求1所述的设备，其中所述访问令牌包括确认所述设备是经授权的设备的信息。

5.根据权利要求1所述的设备，其中所述访问令牌包括确认所述设备遵从所述资源服务器的一个或多个条件访问策略的信息。

6.根据权利要求1所述的设备，其中所述可执行指令在由所述处理器执行时，还使所述设备执行以下功能：

向所述资源服务器发送所述会话密钥的第一部分；

从所述资源服务器接收所述会话密钥的第二部分；

从所述会话密钥的所述第一部分和所述第二部分生成所述会话密钥；以及

向所述身份平台发送所述随机数。

7.根据权利要求1所述的设备，其中所述随机数是通过生成所述会话密钥的散列而从所述会话密钥得到的。

8.一种用于生成用于提供对资源服务器的访问的访问令牌的方法，所述方法包括：

从设备接收向所述设备提供访问令牌的请求，所述访问令牌用于访问所述资源服务器，所述请求包括从针对所述设备与所述资源服务器之间的通信会话生成的会话密钥得到的随机数；

确定所述设备是否被授权访问所述资源服务器；

响应于确定所述设备被授权访问所述资源服务器，生成所述访问令牌；

将所述随机数包括在所述访问令牌中；以及

向所述设备发送所述访问令牌。

9.根据权利要求8所述的方法，还包括：

确定所述资源服务器是否要求对一个或多个条件访问策略的遵从性；

在确定所述资源服务器要求对所述一个或多个条件访问策略的遵从性时，验证所述设备遵从所述一个或多个条件访问策略，以及

将提供所述设备遵从所述一个或多个条件访问策略的确认的信息包括在所述访问令牌中。

10.根据权利要求9所述的方法，其中验证所述设备遵从所述一个或多个条件访问策略包括：

向所述设备或针对所述设备的设备管理提供方中的至少一者发送提供与所述一个或多个条件访问策略相关的一个或多个设备状态的请求；

接收所述一个或多个设备状态；以及

将所述一个或多个设备状态与所述一个或多个条件访问策略相比较，以验证所述一个或多个设备状态是否遵从所述一个或多个条件访问策略。

11.根据权利要求8所述的方法，其中所述访问令牌包括标识所述设备的信息。

12.根据权利要求8所述的方法，其中所述访问令牌包括确认所述设备是经授权的设备的信息。

13.根据权利要求8所述的方法，还包括：

在从设备接收到所述请求后，确定针对所述设备的有效访问令牌是否可用；以及

响应于确定针对所述设备的所述有效访问令牌可用，向所述设备发送所述有效访问令牌。