提供了一種認證和訪問資源的方法。客戶端設備可以將請求發送到代理設備以訪問例如企業資源的資源。代理設備可以對與資源相關的一個或多個服務器進行認證。在認證期間，代理設備可以接收對由客戶端設備控制的簽名的請求。作為響應，代理設備可以向客戶端設備發送對所述簽名的請求。請求還可以包括識別在認證會話期間交換(將被交換的)的認證信息的數據結構的環境信息。如果客戶端設備驗證了環境信息，則客戶端設備可以發送請求的簽名。

相關案例的交叉引用

本申請要求于2013年5月3日提交的申請號為13/886,845的美國申請的優先權。

領域

本文描述的方面總體上涉及提供客戶端設備使用代理設備來安全訪問資源的方法。

背景

傳統上，連接到公共網絡的客戶端設備使用虛擬專用網絡(VPN)連接到專用網絡。在VPN中，簡單充當透明管道的代理設備可以在客戶端設備和專用網絡之間提供必要的連接。常規VPN存在各種問題。首先，很多信任置于客戶端設備上，因為客戶端設備可以直接訪問專用網絡上的資源。第二，必須針對資源和/或專用網絡的通信協議來配置客戶端設備。第三，代理設備不能控制或監控客戶端設備的活動。

概述

以下的內容呈現了本文描述的各個方面的簡化概述。該概述并非廣泛的綜述，并且并非旨在確定關鍵或重要元素或描繪權利要求的范圍。以下的概述僅僅以簡化形式呈現一些概念作為對以下提供的更詳細的描述的介紹性的前奏。

為了克服以上描述的現有技術中的限制并且克服當閱讀和理解本說明書時將明顯的其它限制，本文描述的方面針對被配置為執行一種方法的系統、裝置和/或計算機可讀介質，所述方法包括：在代理設備處從客戶端設備接收對資源的請求，將對資源的請求從代理設備發送到資源管理設備。代理設備和資源管理設備之間的認證會話可以被發起。代理設備可以產生請客戶端設備提供簽名的請求，其中請客戶端設備提供簽名的請求可以包括識別以下項中的至少一項的數據結構的環境信息：(1)在代理設備和資源管理設備之間先前交換的認證信息和(2)將由代理設備發送到資源管理設備的認證信息。代理設備可以接收來自客戶端設備的簽名(例如，如果客戶端設備已經驗證了環境信息)。簽名可以被從在客戶端設備的智能卡提供。代理設備可以將簽名發送到資源管理設備。

在一些實施例中，方法還可以包括在發起認證會話之后，在代理設備處從客戶端設備接收可用于客戶端設備的安全證書的列表。認證會話的安全證書可以被選擇。此外，請客戶端設備提供簽名的請求可以包括選擇的安全證書的標識。

方法還可以包括在發送簽名到資源管理設備之后，在代理設備接收對應于簽名的會話密鑰。代理設備可以使用會話密鑰以從資源管理設備獲得請求的資源。代理設備可以將請求的資源發送到客戶端設備。

在一些方面，認證會話可以包括SSL認證，并且識別數據結構的環境信息可以包括在認證會話期間在代理設備和資源管理設備之間先前交換的SSL認證消息。在其它方面，認證會話可以包括Kerberos認證，并且識別數據結構的環境信息可以包括識別Kerberos數據結構的信息。例如，Kerberos數據結構可以包括抽象語法符號1。附加地或可選地，識別數據結構的環境信息可以包括以下項中的至少一個：用于Kerberos認證的Kerberos域、與客戶端設備相關的Kerberos主要名稱、用于認證會話的密鑰分配中心的標識符、請求的標簽的有效周期和已經在認證會話期間設置的Kerberos標記。

在一些實施例中，環境信息可以識別與認證會話相關的時間戳。附加地或可選地，環境信息可以識別認證會話的協議類型。在一些方面，代理設備包括處理器和存儲計算機可執行指令的存儲器，當計算機可執行指令被處理器執行時可以引起代理設備執行先前描述的方法步驟。