[发明专利]通过非安全网络的设备供应和域加入仿真

说明书

背景

企业计算机通常通过称为“域”(例如在微软网络中)或非微软网络中的 类似名称(例如Novell^TM目录、黄页等)的社区机制来标识和管理。域中的成 员资格在许多企业安装中被认为是强制的，以便标识特定机器并集中管理机器 内容(例如策略、软件、和配置)。

例如，对于诸如膝上型计算机等便携式计算机，成为域的成员通常需要经 由诸如用户名和口令等认证凭证的授权。在某些处理之后，该计算机变为加入 域的。凭证可以手动地提供或经由例如智能卡来提供，这些凭证认证设法将机 器加入域的用户。

移动设备在该领域提出挑战，因为例如移动电话不具有执行域加入操作的 技术设施。考虑到移动设备很少(如果有)在企业网络上使用，供应商为这些 设备提供解决方案进展很慢。因此，智能卡解决方案是麻烦的，而如果认证不 是端对端的，则诸如用户名/口令等用户凭证可能被泄漏。

域控制器被认为是企业网络中的安全核心并且期望它在防火墙和其他隔 离机制之后受到很好的保护。许多移动设备缺乏必须的软件组件来成功地加入 企业域，尤其是由于这些设备通常是远程的(或在企业内联网的范围之外)并 且不能直接访问企业的域控制器。挑战是多层面的，并且包括弥合从移动电话 到网络的软件差距以及从企业网络之外通过非安全无线公共接口(空中(即 OTA))安全地执行加入操作。

概述

以下呈现了简化概述以提供对本文中所描述的新颖实施例的基本理解。该 概述并不是详尽的概览，并且它并非旨在标识关键/重要元素或描绘其范围。其 唯一目的是以简化的形式给出一些概念，作为稍后给出的更加详细的描述的序 言。

所公开的体系结构包括便于移动客户机的域加入操作的登记代理。该代理 是可以从客户机在其中操作的公共域(例如因特网)通过空中(OTA)访问的， 并代表移动客户机填充软件和连接性中的差距以便将客户机加入私有域。新颖 性部分地在于以下事实：因特网暴露的服务没有固有的特权，并且泄漏这些服 务对私有域而言表示了显著降低的风险。该体系结构引入代理作为中间服务以 便于加入操作，并且一旦完成，则不再需要代理来维持客户机和私有域之间的 连接。

在第一实现中，通过代理进行的域加入是仅仅使用由移动设备的用户提供 给代理的用户名和口令来完成的。代理代表移动客户机在私有域建立帐户。私 有域和代理具有信任关系；然而，代理降低了私有域对安全风险的暴露。

在更加稳健和安全的第二实现中，采用一次性口令(OTP)。登记代理允 许移动客户机通过代理的域加入操作。该加入操作是在最小的安全暴露的情况 下完成的。该加入操作基于移动设备的机器身份而非基于用户凭证(例如用户 名和口令)，并且因此不是泄漏用户身份信息(例如身份盗用)的潜在风险。 登记代理仅需将新机器帐户添加入企业(或公司)目录的许可；代理未被授权 添加用户帐户或取得现有帐户的所有权。登记代理基于实际的机器帐户凭证而 非采用诸如委托等常规技术来获取经签署的证书。登记过程采用移动设备和登 记服务器之间的私有根信任，而非要求或依赖于公共信任技术。最终，客户机 在私有域公司目录(例如微软公司的Active Directory(活动目录))中被授予 机器身份，并接收允许自认证为与该帐户相关联的域成员的经签署的公共证书 (例如X.509，用于公钥基础结构的标准)。

为实现上述和相关目的，在本文中结合以下描述和附图描述了某些说明性 方面。然而，这些方面仅指示其中可采用本文中所公开的原理的各种方式中的 少数几种，并且旨在包括所有这些方面及其等效方案。结合附图阅读以下详细 描述，则其它优点和新颖特征将变得显而易见。

附图简述

图1示出了用于将设备加入域的计算机实现的域成员资格管理系统。

图2示出了用于管理对于域的域成员资格的替换系统。

图3示出了至少出于引导和认证目的而持久存储在域数据存储中的信息。

图4示出了管理域成员资格的方法。

图5示出了将数据持久存储到数据存储中以支持建立信任关系和认证的方 法。

图6示出了设备准备认证信息以认证代理服务器的方法。

图7示出了通过认证代理来登记设备的方法。

图8示出了向代理认证客户机的方法。

图9示出了在设备和代理认证之后获取证书的方法。

图10示出了获取证书以用于域登记的方法。