[发明专利]保护VPN通信的方法和系统

说明书

用于利用访问令牌来针对访问资源服务器认证客户端设备的方法和系统包括生成针对设备与资源服务器之间的通信会话的会话密钥，从会话密钥得到随机数，以及向身份平台发送请求以认证设备访问资源服务器，其中请求包括随机数。在确认认证后，该方法和系统可以包括从身份平台接收访问令牌，该访问令牌包括确认设备的认证的信息，以及向资源服务器发送访问令牌以支持对资源服务器的访问，其中该访问令牌包括随机数。

技术领域

本公开总体涉及安全地连接到虚拟专用网络(VPN)，并且更具体地，涉及使用基于令牌的认证来保护VPN隧道的方法和系统。

背景技术

VPN通常被用于使用户能够跨共享或公共网络将数据从其设备传输到专用网络，就像其设备直接连接到专用网络一样。这可以使在VPN上运行的应用受益于专用网络的安全和管理。为了确保安全和正确的身份验证，VPN服务器通常执行身份验证功能以授权用户访问VPN服务器。这可能需要VPN服务器在认证功能上花费大量存储器和处理器资源。有时，除了是授权用户之外，其他条件被满足才能访问VPN服务器。这些条件中的一些可能与设备状态有关。为了确保这些条件被满足，VPN服务器可以查询设备以验证设备的一个或多个状态。然而，查询各种设备以验证其设备状态的过程可能要求相当大的带宽和处理器资源。

因此，需要认证VPN用户和/或保护VPN隧道的改进方法和系统。

发明内容

为了解决这些问题和更多问题，在一个总体方面，本文描述了具有处理器和与处理器通信的存储器的设备，其中存储器存储可执行指令，当该可执行指令由处理器执行时，使设备执行多个功能。这些功能可以包括生成用于设备与资源服务器之间的通信会话的会话密钥，从会话密钥得到随机数，向身份平台发送请求以认证设备来访问资源服务器，该请求包括随机数，在确认认证后，从身份平台接收访问令牌，该访问令牌包括确认设备的认证的信息，以及向资源服务器发送访问令牌以支持对资源服务器的访问，其中访问令牌包括随机数。

在另一总体方面，本申请描述了一种用于生成用于提供对资源服务器的访问的访问令牌的方法。该方法可以包括从设备接收向该设备提供访问令牌的请求，该访问令牌用于访问资源服务器，该请求包括从针对该设备与资源服务器之间的通信会话生成的会话密钥得到的随机数，确定该设备是否被授权访问资源服务器，响应于确定该设备被授权访问资源服务器，生成访问令牌，将随机数包括在访问令牌中；以及向该设备发送访问令牌。

在其他总体方面，本申请描述了一种非瞬态计算机可读介质，其上有存储的指令，该指令在被执行时，使可编程设备生成用于可编程设备与资源服务器之间的通信会话的会话密钥，从会话密钥得到随机数，向身份平台发送请求以针对访问资源服务器认证可编程设备，该请求包括随机数，在确认认证后，从身份平台接收访问令牌，该访问令牌包括确认可编程设备的认证的信息，以及向资源服务器发送访问令牌以支持对资源服务器的访问，其中访问令牌包括随机数。

本发明内容被提供是为了以简化的形式介绍以下在详细描述中进一步描述的概念的选择。本发明内容不旨在标识所要求保护的主题的关键特征或基本特征，也不旨在用于限制所要求保护主题的范围。此外，所要求保护的主题不限于解决本公开的任何部分中指出的任何或所有缺点的实现。

附图说明

附图描绘了根据本教导的一个或多个实现，仅作为示例而非限制。在附图中，相同的参考标号指相同或相似的元件。此外，应当理解，附图不一定按比例绘制。

图1描绘了可以在其上实现本公开的各方面的示例系统。

图2A至图2B描绘了用于提供访问令牌以认证客户端设备的数据流的简化示例布置。

图3是描绘用于请求和接收访问令牌以向资源服务器认证客户端设备的示例方法的流程图。

图4是描述用于生成用于认证客户端设备以访问资源服务器的访问令牌的示例方法的流程图。