用于安全地设置客户机设备的方法和系统

摘要

所公开的是一种用于通过在动态配置过程中认证客户机来安全地设置客户机的机制。本发明将安全和动态配置组合成统一的方案，而非依赖于配置后认证方案。尝试访问网络的任何客户机设备可向与该网络相关联的配置服务器请求配置信息，但是服务器在客户机成功地将其自身认证为经授权可接收该网络的配置信息的设备之前不遵从该请求。配置服务器可向客户机提供允许客户机继续认证过程但拒绝客户机对网络的完全访问的临时配置信息。在成功认证之后，服务器可向客户机给予新的非临时配置信息，或者可将已给出的信息的状态从临时改为给予更完全访问的状态。

说明书

技术领域

本发明一般涉及计算机通信，尤其涉及远程地设置客户机设备。

背景技术

过去，一旦计算机被配置成用于其自己的环境，该配置很少或从不改变。然而，在当今的动态计算环境中，计算机可能需要经常改变其配置。例如，当移动计算机从一个无线网络移至另一无线网络时，它可能将其网络地址改为与该新的网络兼容的地址。同样，当计算机临时加入一特别联网组时，管理和安全策略可能要求计算机将其配置改为对该特别组更可接受的配置。在第三个示例中，某些计算机在每次通过因特网服务供应商(ISP)接入因特网时改变其配置，至少改变其网络地址。

开发了协议以支持动态配置的各方面。作为一个示例，DHCP，即动态主机配置协议向请求计算机提供了IP(网际协议)地址以及其它网络配置信息。DHCP使用了一种客户机—服务器模型，其中需要IP地址的客户机计算机向DHCP服务器请求IP地址。在某些情况下，由ISP提供的DHCP服务器控制IP地址的池。在接收到客户机的请求之后，DHCP服务器执行三种地址分配模式中的一种。在“自动分配”模式中，DHCP服务器从其池中选择一未使用的IP地址，并永久地将其分配给请求客户机。在“手动分配”模式中，网络管理员选择地址。对于动态配置更有意思的是，在“动态分配”模式中，DHCP服务器将当前未使用的IP地址分配给客户机，但是这一动态地址仅对DHCP服务器所设置的一有限的时间段有效，或者仅在客户机明确地放弃对该地址的使用之前有效。无论使用的分配模式是什么，DHCP服务器都通过向客户机通知分配给它的IP地址以及在动态分配的情况下通知分配的时间段来响应客户机的请求。如果DHCP服务器不能提供IP地址(可能由于其池中的所有地址当前都在使用中)，则DHCP服务器向客户机通知这一事实，且客户机必须等待直到稍后能够访问网络。

在任何动态计算系统中，应当将配置的简易性与安全问题相平衡。许多机构建立了一种动态网络来执行该机构的内部(即，私有)工作，且如果允许非授权的计算机动态地配置其本身并加入网络，则该机构可能受到损害。虽然它们有用，但包括DHCP的动态配置协议一般在安全领域是脆弱的。通过严重地依赖于配置后过程(诸如基于加密密钥的认证机制)来保护其网络，某些配置服务器不经意地允许欺诈的客户机。尽管配置后方案通常如同声称的那样工作以限制欺诈客户机的访问和可能的危害，然而欺诈客户机甚至在被迫服从配置后保护方案并假定它们会失败之前也可完成某些危害。

发明内容

鉴于以上原因，本发明提供了一种通过在动态配置过程中认证客户机来安全地设置客户机的机制。本发明将安全和动态配置组合成统一的方案，而非依赖于配置后认证方案。

尝试访问网络的任一客户机设备可向与该网络相关联的配置服务器请求配置信息，但是服务器在客户机成功地将其自身认证为经授权可接收网络的配置信息的设备之前不会遵从该请求。在一个实施例中，配置服务器可向客户机提供临时配置信息，例如临时网络地址，该临时配置信息允许客户机继续认证过程，但是拒绝客户机对网络的完全访问。在成功的认证之后，服务器可给予客户机新的、非临时的配置信息，或者可将已给出的信息的状态从临时改为给予更完全访问的状态。

在一个实施例中，本发明使用了现有的动态配置协议，诸如DHCP，而无需改变该协议。在认证过程中使用的消息被输入现有的配置消息中，例如被输入DHCP消息的选项字段中。

在另一实施例中，本发明将现有的安全协议用于动态配置环境。例如，可不加修改地使用可扩展认证协议(EAP)作为为用于本发明的许多安全任务的认证框架。

组合先前两段的实施例，可将EAP消息输入DHCP消息的选项字段中。当客户机请求配置信息时，它在其DHCP消息中包括一EAP能力选项。继续EAP，直到客户机向DHCP服务器认证其自身(并且在某些情形中，服务器向客户机认证其自身)。在这一点上，DHCP服务器可通过提供所请求的配置信息来响应该初始请求。

作为安全的动态设置机制的一部分，配置服务器可应用为它所服务的网络设立的策略。例如，所提供的配置信息可在持续时间或范围上有限制。

附图说明

尽管所附权利要求书以细节陈述了本发明的特征，然而当结合附图阅读以下详细描述时，可以最好地理解本发明及其目的和优点，附图中：

图1是示出尝试加入由安全配置服务器“保护”的网络的客户机设备的框图；

图2是概括地示出支持本发明的一个示例性计算设备的示意图；

图3a到3c共同是示出客户机和安全配置服务器之间的示例性交换的逻辑流程图；

图4a和4b共同是示出DHCP和EAP消息如何可用于实现安全配置方案的通信流图；以及

图5是被输入DHCP消息的选项字段的EAP消息的数据结构图。

具体实施方式

转向附图，本发明被示出为在一合适的计算环境中实现，附图中，相同的标号指相同的元素。以下描述基于本发明的实施例，并且不应当被认为是对于此处未明确描述的替换实施例而限制本发明。

在以下描述中，围绕本发明的环境是参考由一个或多个计算设备执行的动作和操作的符号表示来描述的，除非另外指明。由此，可以理解，这类动作和操作，有时称为计算机执行的，包括计算设备的处理单元对以结构化形式表示数据的电信号的操纵。这一操纵转换了数据或在计算设备的存储器系统中的位置上维护它，从而以本领域的技术人员都理解的方式重配置或改变了设备的操作。维护数据的数据结构是存储器的物理位置，具有数据的格式所定义的具体特性。然而，尽管在上述的上下文环境中描述本发明，它并不意味着限制，如本领域的技术人员所理解的，后文所描述的动作和操作的各方面也可以用硬件实现。

图1对于呈现本发明的各方面的综述是有用的。之后是参考其它附图的更详细描述。图1中示出了受保护的网络100。此处，“受保护”仅意味着网络100对非授权用户关闭。安全性是由一组配置参数来实施的：已经在网络100中的设备102具有正确的配置参数，且因此可以自由地彼此通信。如配置客户机106等外来者没有该组正确的配置参数，因此不能与这些设备102通信。由于配置客户机106希望加入网络100，因此它寻求通过“保护”网络100的安全配置服务器104的准许进入。作为网络100的网关，任何外部设备可自由地与安全配置服务器104通信。

在接收到配置客户机106加入网络100的请求之后，但是在向配置客户机106提供一组正确的配置参数之前，安全配置服务器104迫使配置客户机106认证其自身，即，证明它是经授权可加入网络100的设备。授权最初是如何设立的已超出了本发明的范围，但是众多方法在本领域中是公知的。

配置客户机106接着向安全配置服务器104证明其身份。这一认证过程的详细示例随图3a到3c、4a、4b和5示出。在某些网络中，安全配置服务器也向请求配置客户机证明其身份。这一双向或相互认证通过防止欺诈设备假扮网络的安全配置服务器来增强网络的安全性。

如果认证过程成功完成，则安全配置服务器104知道配置客户机106经授权可加入网络100。安全配置服务器104然后向配置客户机106提供一组适当的配置参数，且配置客户机106使用这些参数来加入网络100，并自由地与已在网络100中的其它设备102通信。

最终，配置客户机106离开网络100。这可以是任凭配置客户机106处理的，或者提供给它的该组配置参数可能过期。在任何情况下，这些配置参数不再有效，并且只要配置客户机106希望重新加入网络100，它就重复上述过程。

图1的情形被故意地简化，以集中于本发明的相关方面。图1的安全配置服务器104在某些网络中可以实际上是与单独的安全服务器一起工作的配置服务器。安全配置服务器104(无论如何描述)也可能实际上不驻留在网络100中：位于网络100中的中继代理可将配置和认证消息传输到位于远程的安全配置服务器。中继代理消除了在每一安全网络分段上具有安全配置服务器的需要。

图1的配置客户机106和安全服务器104可以是任何体系结构。图2是概括地示出支持本发明的一个示例性计算机系统的框图。图2的计算机系统仅为合适的环境的一个示例，并非对本发明的使用范围或功能提出任何局限。也不应将客户机106或安全配置服务器104解释为对图2中所示的任一组件或其组合具有任何依赖或需求。本发明可以使用众多其它通用或专用计算环境或配置来操作。适合使用本发明的众所周知的计算系统、环境和配置的示例包括但不限于，个人计算机、服务器计算机、手持式或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费者电子设备、网络PC、小型机、大型机、包括任一上述系统或设备的分布式计算环境等等。在其最基本的配置中，客户机106和安全配置服务器104通常包括至少一个处理单元200和存储器202。存储器202可以是易失性(如RAM)、非易失性(如ROM、闪存等)或两者的某一组合。这一最基本配置在图2中由虚线204示出。客户机106和安全配置服务器104可具有另外的特征或功能。例如，它们可包括附加的存储(可移动和/或不可移动)，包括但不限于磁盘、光盘和磁带。这类附加存储在图2中由可移动存储206和不可移动存储208示出。计算机存储介质可包括以用于储存如计算机可读指令、数据结构、程序模块或其它数据等信息的任一方法和技术实现的易失性和非易失性、可移动和不可移动介质。存储器202、可移动存储206和不可移动存储208都是计算机存储介质的示例。计算机存储介质包括但不限于，RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)、其它光存储、盒式磁带、磁带、磁盘存储或其它磁存储设备、以及可以用来储存期望的信息并可由客户机106或安全配置服务器104访问的任一其它介质。任一这类计算机存储介质可以是客户机106或安全配置服务器104的一部分。客户机106和安全配置服务器104也可包含允许它们与其它设备，包括网络100上的设备进行通信的通信信道210。通信信道210是通信介质的示例。通信介质通常可以具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据，并包括任一信息传送介质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限，通信介质包括光学介质、有线介质，如有线网络或直接连线连接，以及无线介质，如声学、RF、红外和其它无线介质。本发明使用的术语“计算机可读介质”包括存储介质和通信介质两者。客户机106和安全配置服务器104也可具有输入设备212，诸如触敏显示屏、硬件键盘、鼠标、语音输入设备等。输出设备214包括设备本身，诸如触敏显示屏、扬声器和打印机，以及用于驱动这些设备的呈现模块(通常被称为“适配器”)。所有这些设备在本领域中是公知的，并且无需在此详细讨论。客户机106和安全配置服务器104的每一个都具有电源216。

深入图1的综述，图3a到3c提供了依照本发明的示例性安全配置方案的细节。为说明起见，这些附图的逻辑流程图包括可能无法在给定实施例中应用的选项和变体。具体地，附图中的步骤表示逻辑任务，并且不必要与个别消息一对一地对应。特定实施例的更具体细节，包括消息交换和消息格式参考图4a、4b和5来讨论。

图3a的逻辑在步骤300开始，其中配置客户机106向安全配置服务器104请求对网络100上的使用有效的一组配置参数。安全配置服务器104并非直接遵从该请求，而是在步骤302要求配置客户机106认证其自身。在某些实施例中(尤其见图4a的步骤400)，配置客户机106不等待安全配置服务器104请求认证；相反，配置客户机106与其初始配置请求同时开始认证。

存在某些网络配置，其中配置客户机106需要使用一组有效的配置参数来继续与安全配置服务器104通信。这是有点类似Catch-22：为安全原因，安全配置服务器104在配置客户机106将其自身认证为经授权可接收有效配置信息之前不希望向客户机106提供这类信息，但是在客户机106具有一组有效参数以前，认证过程可能无法继续。对于本发明的某些实施例，步骤304和306提出了一种离开这一两难困境的方法。在步骤304，安全配置服务器104向配置客户机106提供一组有效的配置参数，使得客户机106可继续认证过程。然而，所提供的配置信息尽管是有效的，却是“临时的”，并且仅在认证期间有用。例如，配置信息可包括一IP地址，它将该地址的用户标记为未完全认证。在步骤306，配置客户机106接收该临时配置信息，并在认证过程的剩余部分中使用它。在某些情况下，临时配置信息防止配置客户机106与网络100中除安全配置服务器104以外的任何设备交谈：配置客户机106被称为是“隔离的”。

在步骤308，配置客户机106和安全配置服务器104继续通过认证过程。许多这样的认证过程在本领域中是公知的，且其任一个可在此处使用。在某些实施例中，在配置客户机106和安全配置服务器104之间协商要使用的特定的认证过程。如上文关于图1所述的，认证过程可以是相互认证，其中配置客户机106和安全配置服务器104彼此向对方认证其自身。

如果认证过程失败，则当然配置客户机106被拒绝访问网络100。如果配置客户机106在步骤306接收到临时配置信息，则由于该信息可具有的有限用途，网络100仍是安全的。如果认证过程成功，则在图3b的步骤310，安全配置服务器104在网络100中的适当地方应用策略(如果有的话)，以决定如何提供所请求的配置信息。例如，这些策略可限制配置信息的持续时间或使用范围(例如，该信息仅对一小时的“租期”有效)。

如果可能，则在步骤312，安全配置服务器104向配置客户机106提供所请求的配置信息，并在步骤310提供关于由策略设置的对使用的任何限制的信息。当然，如果网络100耗尽了满足该请求所需的资源(例如，所有可分配的IP地址都已在使用中)，则即使认证过程成功，配置过程也失败。在某些实施例中，在继续认证过程之前检查资源可用性，且安全配置服务器104可在该基础上拒绝配置请求，而非在步骤302中开始认证过程。然而，这不是较佳的，因为它向尚未被认证并且可能能够使用机密信息危害网络100的配置客户机106提供了机密信息(网络100资源不足)。

步骤314表明，如果在步骤304向配置客户机106提供了临时配置信息，则在某些实施例中，安全配置服务器104可选择仅将该信息的状态改为非临时，而非发送一组新的配置参数。任一情况下的效果都是相同的。

随着认证的完成以及手边拥有了非临时配置信息，配置客户机106现在是网络100上的设备，且在图3c的步骤316，能够与其它设备102(服从施加在所提供的配置信息上的任何策略限制)进行通信。这持续到步骤318，其中配置客户机106选择放弃所提供的配置信息，或者信息的租期过期。在后一情况下，安全配置服务器104将所提供的配置信息标记为无效。在任一情况下，客户机106退出网络100，并且如果它希望继续通信，则重复安全配置过程(步骤320)。

伴随图3a到3c的讨论被保持在较高的级别上，以示出本发明的应用的广度(然而，该广度最终是由所附权利要求书的范围而非本说明书中的任何说明来定义的)。为进一步讨论，图4a和4b提出了本发明的一个特定实施例。

尽管一般而言，任一方可发起安全配置过程，然而在图4a的步骤400，配置客户机106通过向安全配置服务器104发送DHCP Discover(发现)消息来发起该过程。该DHCP消息包含客户机106对配置信息的请求。被输入DHCP Discover消息的选项字段中的是配置客户机106准备好使用EAP来认证其自身的通知。这两种协议，即DHCP和EAP在本领域中都是公知的，因此其细节无需在此讨论。它们分别在因特网工程任务组的因特网标准草案2131和3748中定义，这些草案通过引用整体结合于此。

由于安全配置服务器104不向未认证的客户机提供配置信息，因此它在步骤402用在其选项字段内包含请求配置客户机106的身份的EAP消息的DHCP Offer(提供)消息来响应。配置客户机在步骤404通过发送包含其身份的EAP消息来响应。该EAP消息也包含在DHCP消息的选项字段内。

EAP允许配置客户机106和安全配置服务器104协商并使用多种认证机制中的任一种。在步骤406和408，两方通过EAP以及它们所选择的认证机制的细节继续。在某些实施例中，EAP不许要为本发明的目的而以任何方式来改变，并且因此，本领域中已知的EAP的细节也适用于此。在步骤406和408，如在图4a先前的步骤中，EAP消息被输入DHCP消息的选项字段。

如果认证过程继续到成功的结束，则安全配置服务器104接受配置客户机106的真实性，并且在图4b的步骤410，发送输入DHCP ACK消息的选项字段中的EAP Success(成功)消息。该DHCP消息也包括所请求的配置信息。

当配置客户机106用网络100完成工作之后，它通过在步骤412发送DHCPRelease(释放)消息来放弃该配置信息。

图5是DHCP消息500的示例性数据结构，在其选项字段502中包含EAP消息504。EAP消息的中心是其数据字段506。通过将公知的配置协议DHCP与公知的认证框架协议EAP组合，本发明的实施例向配置过程提供了安全性，而无需对任一协议的任何改变。

鉴于可应用本发明的原理的许多可能的实施例，应当认识到，此处相对于附图所描述的实施例仅意味着说明性的，并不应当被理解为限制本发明的范围。本领域的技术人员将认识到，诸如配置和认证协议等某些实现细节是由具体情况来确定的。尽管本发明的实施例是按照软件模块或组件来描述的，然而某些过程也可由硬件组件来等效地执行。因此，此处所描述的本发明预期所有这些实施例都落入所附权利要求书及其等效技术方案的范围之内。