CN107637044A - 安全带内服务检测 - Google Patents
安全带内服务检测 Download PDFInfo
- Publication number
- CN107637044A CN107637044A CN201580079169.3A CN201580079169A CN107637044A CN 107637044 A CN107637044 A CN 107637044A CN 201580079169 A CN201580079169 A CN 201580079169A CN 107637044 A CN107637044 A CN 107637044A
- Authority
- CN
- China
- Prior art keywords
- service
- certificate
- client device
- data
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title description 4
- 238000000034 method Methods 0.000 claims abstract description 33
- 230000009471 action Effects 0.000 claims abstract description 13
- 238000003860 storage Methods 0.000 claims description 22
- 238000004891 communication Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 7
- 101000896740 Solanum tuberosum Cysteine protease inhibitor 9 Proteins 0.000 description 6
- 238000012550 audit Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文所述方法在客户端设备尝试连接到装置之外的服务时,允许该装置接收来自该客户端设备的消息。例如,客户端设备可连接到私密网络上的服务,然而,如果该客户端设备不在私密网络上,则其可能遇到诸如网关的装置。该装置被配置成向客户端设备返回指示其是装置的消息,并且客户端设备向该装置返回证书,该证书允许客户端指示连接的第一目的和连接的第二目的。在本文所述的方法中,第二目的被该装置用来执行与向该服务提供允许第一目的的证书相关的动作,其可以包括创建该服务和该客户端设备之间的安全连接的信息。
Description
背景技术
在许多情况下电子客户端设备需要安全连接到远程设备。例如,许多公司允许他们的雇员从办公室或在家访问各种安全服务。
在办公室的情况下,用户能够在工作时从计算机访问内联网服务。通常,当客户端设备试图联络私密网络上的服务比如内联网时(例如在工作时),客户端设备通常必须认证该服务,反之亦然。例如,客户端设备可能需要使用传输层安全(transport layersecurity,TLS)协议来认证运行服务的设备,以确保其正在与正确设备安全通信。在办公室的情况下,用户能够在不需要经由网关和/或防火墙通过或认证自身的情况下访问服务。
当雇员希望从家里的笔记本电脑连接到工作场所的内联网时,会出现复杂情况,因为客户端设备会不经意地联络网关和/或防火墙,而不是期望的设备。例如,客户端设备可能首先需要确定其是否正在与掌管安全服务的机器连接,或其是否正在访问网关,然后被重定向到掌管安全服务的机器。另外,客户端设备可能需要确定远程设备是否正在运行正确类型的服务。此外,客户端设备会具有仅允许特定类型连接的安全策略,这会由于网关而防止客户端设备联络服务。在一些情况下,通信启动处理可能需要在客户端设备处被重新启动。
附图说明
现在将参照附图,附图示出了本公开的示例实施方式。在附图中:
图1是与本公开实施方式一致的示例网络环境的框图。
图2A-2B是与本公开的实施方式一致的示例客户端设备和服务的图。
图3是与本公开实施方式一致的、数据可借由其行进的示例路由的图。
图4是与本公开实施方式一致的用于接收访问装置处的服务的请求的示例方法的流程图。
图5是示出与本公开实施方式一致的用于发送证书以用于一个或更多个授权目的的示例方法的流程图。
图6A-6B是与本公开实施方式一致的示例计算设备的框图。
具体实施方式
现在详细参照根据本公开实现的示例实施方式,实施方式的例子在附图中示出。只要可能,在附图中使用相同的附图标记来指代相同或相似的部件。
本文描述的实施方式提供了使用安全协议的带内(in-band)服务检测。这些实施方式允许客户端设备与服务安全通信。例如,根据至少一些所述实施方式,需要来自远程服务器的服务的客户端设备可被配置成具有允许客户端设备检查其连接到的服务器的证书的策略。基于该检查,客户端设备可以改变其行为或安全模型,以完成客户端设备和远程服务器之间的连接。在此,术语服务可以包括但不限于:机器上、设备上或多租户环境(例如云或混合云)上运行的服务,机器或设备自身,服务器,服务供应方,域名服务器,应用,程序,对客户端设备提供数据的设备等。
在各种实施方式中,发送到服务用于启动通信的相同数据(例如用于完成TLS握手的数据,也称为启动数据、hello消息或握手消息)可到达网关设备,不过被传递到设备且到达设备而无需客户端设备再次向网关发送启动数据,从而节省了时间、带宽和其他资源(特别是当许多客户端设备与各种服务通信时)。
此外,在本文所述的一些实施方式中,客户端设备可能试图联络位于禁止区域内的服务,或通过禁止区域发送数据。在一些情况下,客户端设备可能联络能够确定该客户端设备可能向禁止位置发送数据或通过禁止位置发送数据的网关。在这种情况下,网关可以阻止数据或重定向数据,使得数据不会进入禁止区域。
图1是与本公开实施方式一致的示例网络环境100的框图。尽管示例网络环境100涉及虚拟网络环境,然而应理解网络环境100总的来说可以是使用数据包来通信的任何类型的网络。网络环境100可以包括一个或更多个客户端设备102、公共网络107、装置103(其可以包括各种中间体功能,比如广域网(WAN)优化器108和/或网关109)、私密网络110、数据中心120和分局140。
在各种实施方式中,一个或更多个客户端设备102是可以通过各种手段从数据中心120获取远程服务的设备。客户端设备102可以与数据中心120直接通信(例如客户端设备102E),或通过公共网络107(例如客户端设备102A-D)或私密网络110(例如客户端设备102F)与其间接通信。尽管客户端设备102被描绘为计算机(例如客户端设备102A、102E和102F)、膝上型计算机(例如客户端设备102B)、平板电脑(例如客户端设备102C)和移动智能电话(例如客户端设备102D),然而应理解客户端设备102可以是能够向数据中心120发送信号且从其接收信号的任何类型设备,比如可穿戴计算机。
如上所述,装置130可以执行各种功能。在一些实施方式中,装置130可以是CitrixTM NetScaler盒。装置130可以是用作网关的设备,或至少包括网关的功能。在一些实施方式中,装置130可以包括在数据中心120中。在各种实施方式中,装置130可以包括WAN优化器108,WAN优化器108可以执行各种功能,包括但不限于:负荷平衡,确定安全协议,认证设备,存储认证信息比如证书,支持虚拟机实例的创建,数据中心120可以执行的其他功能等。
网关109可以是独立设备,或包括在装置130中。在各种实施方式中,网关109可以是作为在公共网络107与WAN优化器108之间接口的物理设备(例如装置130,数据中心120等)的一部分的物理设备或软件,WAN优化器108可以执行如上所述的各种功能(例如负荷平衡,监管通信量,执行至少部分安全协议等)。网关109例如可以是服务器、路由器、主机或代理服务器。在一些实施方式中,网关109可以包括防火墙分离网关109或从公共网络107(例如因特网)耦接到防火墙分离网关109。网关109能够将从客户端设备102接收的信号修改成WAN优化器108和/或数据中心120能够理解的信号,反之亦然。
WAN优化器108还可以是独立设备,或包括在装置130中。在一些实施例中,WAN优化器108可以是虚拟的。装置可以布置在各种位置。例如,WAN优化器108可以位于服务器/数据中心和网关(例如网关109)之间,位于经由私密网络(例如WAN优化器108’)连接到设备的位置处,和/或位于公共网络中,云(混合云或其他)或其他多租户环境中。在一些实施方式中,网关109和WAN优化器108的功能可以位于单个装置中。在任何情况下,一个或更多个WAN优化器可以独自工作或结合一个或更多个其他WAN优化器、网关或装置一起工作。
此外,尽管图1示出了具有WAN优化器108的装置130,然而应理解装置130可不具有WAN优化器或WAN优化功能。另外,应理解WAN优化器108可被负荷平衡器或某些其他类型的适当中间体(比如RFC 3234中提到的中间体)替换。
数据中心120是中央存储器,可以是物理的或虚拟的,用于存储、管理和传播与特定公共或私密实体有关的数据和信息。数据中心120可用来容纳计算机系统和关联组件,比如一个或更多个物理服务器、虚拟服务器和存储系统。数据中心120可另外包括一个或更多个服务器(比如服务器122)和后端系统150。在一些实施方式中,数据中心120可包括网关109、WAN优化器108或二者的组合。
服务器122是可由任何电子可寻址格式表示的实体,且可作为单个实体存在或作为服务器群组的成员存在。服务器122可以是物理服务器或虚拟服务器。在一些实施方式中,服务器12可以包括硬件层、操作系统以及创建或者管理一个或更多个虚拟机的系统管理程序。服务器122向端点提供一个或更多个服务。这些服务包括向一个或更多个端点(例如客户端设备102A-F或分局140)提供一个或更多个应用(例如服务128)。例如,应用128可以包括基于WindowsTM的应用和计算资源。
在一些实施方式中,服务包括提供一个或更多个虚拟桌面126,该虚拟桌面126可以提供一个或更多个服务128。虚拟桌面126可以包括:所掌管的共享桌面,其允许多个用户访问单个共享的远程桌面服务(Remote Desktop Service)桌面;虚拟桌面基础架构桌面,其允许每个用户具有其自身的虚拟机、流式盘图像、本地虚拟机、各应用(例如提供一个或更多个服务128)或其组合。
后端系统150是计算机联网硬件、装置、服务器群组或服务器堆中的服务器的单个或多个实例,且与服务器122直接或间接接口。例如,在一些情况下后端系统150可以包括MicrosoftTM活动目录(Active Directory)155,其可以提供多个网络服务,包括轻量目录访问协议(lightweight directory access protocol,LDAP)目录服务、基于Kerberos的认证、基于域名系统(DNS)的命名和其他网络信息,以及若干服务器中目录更新的同步。后端系统150还可以另外包括Oracle后端服务器、SQL服务器后端、和/或动态主机配置协议(dynamic host configuration protocol,DHCP)。后端系统150可以向数据中心120提供数据、服务或其组合,数据中心120又可以将该信息经由各种形式提供给客户端设备102或分局140。
分局140是作为具有数据中心120的WAN的一部分的局域网的一部分。分局140可以另外包括WAN优化器108’和远程后端142。分局140可以与装置130通信,或在一些实施方式中可以包括装置。在一些实施方式中,WAN优化器108’可位于分局140和私密网络110之间。如上所述,WAN优化器108’可以与WAN优化器108等一起工作。远程后端142可以以与数据中心120的后端系统150相似的方式被设置。客户端设备102F可布置在分局140本地或可远离分局140布置。
WAN优化器108和108’可照原样部署,或在任何类型和形式的计算设备上执行。包括能够在本文所述任何类型和形式的网络上通信的任何计算机或联网设备。
图2A示出了与本公开的实施方式一致的、包括示例客户端设备102和服务128的环境200。如上所述,服务128可以包括程序、应用、内联网或可以在一个或更多个电子设备上执行的其他软件,所述电子设备包括但不限于:服务器、云、服务器群集等。电子设备之间的连接,包括客户端设备102和服务128之间的连接,可至少部分地使用TLS协议来进行。
根据本文所述的各种实施方式,环境200示出了用户连接到私密网络的情况(例如,客户端设备102E连接到数据中心120,或客户端设备102F经由私密网络110连接到数据中心120,在图1中均示出)。例如,用户可以物理上位于其工作场所,并使用统一资源定位符(URL)比如mydesktop.citrix.com访问其公司网络。如果用户回到家并试图连接到私密网络(或例如混合云环境),其可能结束在公司防火墙处。例如,当试图访问URL:mydesktop.citrix.com时,客户端设备可能会访问与该URL关联的网站比如citrix.com。本文描述的实施方式解决了这样的情况:客户端设备可连接到安全服务,然而不是在不首先穿过某些类型的网关和/或防火墙的情况下连接到服务128。在本文所述的实施方式中,通过使用TLS握手提供的带内信息,数据可在不可信的因特网上传播,在装置处认证,且安全地连接到期望服务。
图2B示出了包括示例客户端设备102、服务128和装置130的环境250(例如,客户端设备102A-D试图经由装置130的网关109连接到数据中心120,如图1所示)。装置130可以是计算机网络中的设备(例如应用交付控制器),且可执行通常任务比如网站执行的那些任务从而从网站服务器去除负荷。装置可执行许多任务,包括负荷平衡、认证等。装置可以是应用交付网络的一部分,且有时布置在防火墙或路由器与服务128之间的边界网络中(也称为非军事化区)。在本文描述的实施方式中,应用130可以包括或被称为网关、前端情报供应方等。此外,在一些实施方式中,装置130可以是NetScaler Box或NetScaler Gateway。
在各种实施方式中,即使装置130不是服务128,且装置130也不被客户端设备102信任,应用130也可以从试图联络服务128的客户端设备102接收信息。在本文所述的各种实施方式中,从客户端设备102发送的证书(可用来使用TLS认证客户端设备102)可标记有特定标签。在各种实施方式中,该标签允许装置130确定客户端设备可被信任,且可被装置130用来确定在哪里发送它从客户端设备102接收的数据。至少部分基于装置130从客户端设备102接收的证书中包括的信息,从装置130发送到服务128的数据也使用TLS加密。从而,服务128可被客户端设备102联络,而不管数据是直接从客户端设备102发送的还是通过装置130发送的。
在各种实施方式中,客户端设备102至少部分地基于来自装置130的、可包括其自身证书中的信息的应答hello消息,确定在哪里发送所接收的数据。在各种实施方式中,客户端设备102进行的连接可以包括“第一目的”,“第二目的”和/或另外的“目的”。注意,术语第一、第二等可与术语主要、次要等互换使用。此外,术语目的可具有不同的内涵,包括但不限于:功能、部分、意图、任务、目的、目标、部件、结果、使用、用途等。不管如何指代这种类型的数据,该数据都可提供与TLS有关的信息(比如密钥)、目的地、相关联有效载荷中的某类型数据等。在各种实施方式中,一个或更多个设备提供的证书可用来确定其是否满足一个或更多个目的。因而,可以说证书通过指示证书所属的设备是防护墙、网关、服务等来授权目的。例如,客户端设备102可检查装置130的证书来确定满足了第二目的(比如认证装置130)。
为了说明示例情况,在一些实施方式中,客户端设备102发送到服务128的数据被递送到装置130,且该数据包括完成两个目的的证书。客户端设备102可具有网络连接的主要目的(例如安全连接到mydesktop.citrrix.com)、次要目的(例如通过公司防火墙通信)以及在一些例子中还有第三目的(例如与审计系统交互)。可以检查证书以确定他们是否满足一个或更多个目的。因此,可以说证书例如通过声称表示提供证书的设备是防火墙、网关等的信息来授权目的。注意,数据可被发送至装置130,因为例如客户端设备102是从雇员的家庭网络发送数据。尽管客户端设备102为了连接的主要目的而初始可能不信任装置130,但是客户端设备102可以基于称为证书锁定的处理来确定是否将其加密信息发送至装置130,其中客户端设备具有装置列表。可从私密网络(比如在客户端设备102连接到公司的网络时)、手动地(比如通过USB存储设备、盘或其他非联网设备)、从浏览器或其他被信任源将装置列表提供至客户端。如果在装置列表中识别出装置130,则客户端设备102可信任装置130并将加密信息发送至装置130。这样,在各实施方式中,尽管装置130起初可能不被信任,但是客户端设备102可以确定其打算与装置130通信,因为装置列表显示装置130是个特定的装置。
在装置130接收了数据之后,装置130可以使用与连接的次要目的相关联的信息来确定在哪里发送所接收的数据。例如,装置130可以包括使用次要目的信息来确定在哪里(或在哪里不)发送数据的信息(例如以表的形式或其他数据结构的形式)。从那里,装置130能够向服务128发送包括客户端设备102发送的证书和第一目的信息的信息。然后服务128可以使用第一目的来使用TLS认证客户端设备102,且确保其正在与适当的设备通信。因此,从客户端设备102经过TLS到装置130、然后又经过TLS到服务128发送数据的过程被称为在TLS上隧穿TLS,因为发生了多个使用TLS的握手,如在Request For Comments(RFC,请求注解)5246中所述。
参考上述情况,可以使用主要目的来将客户端设备102连接到mydesktop.citrix.com,且如果遇到了装置130,则装置130可使用次要目的来确定数据是否可以流过装置130和/或用于发送该数据的路由。
另外,应理解客户端可具有多于两个的网络连接目的,且可检查证书来查看是否满足了这些目的。例如,客户端可具有连接到服务(例如mydesktop.citrix.com,WanScaler等),通过防火墙,与审计系统、其他类型的安全等交互操作的目的,使得数据和主要目的到达服务128。
在各种实施方式中,目的的数目可由管理员或客户端设备来限定。此外,管理员可具有在各种服务上安装适当数字证书的能力。在一些实施方式中,在做出安全决策方面不能进行用户交互(在客户端设备102处,或在服务128和/或装置130处)。
在各种实施方式中,假定客户端设备、服务和本文所述的其他设备使用标准公钥基础架构X.509(PKIX),如RFC5280中所述,且可以实施组合使用两个或更多个验证的证书链以用于单个目的的另外机制。一般,与安全连接策略相对应地,仅向PKIX算法提供一组输入。在本文所述的实施方式中,该一组输入被称为连接的第一目的,或主要目的。在本文所述的各种实施方式中,如果主要目的没通过PKIX证书验证,然而与第二目的对应的替换组PKIX输入中的一个会正确验证(比如在装置130处),则允许第二目的(或更多)。进行连接的客户端设备应用(或仅“应用”)可以知道目的。因此,应用可以无需知道其发送的数据没有被服务128接收且必须重新尝试发送数据。相反,如果主要目的没有被接受,则可以使用次要目的作为PKIX输入,以允许数据通过装置130且到达服务128,其中主要目的PKIX输入可用于认证。
在一些实施方式中,不同的应用可以选择不同的方式来配置第一目的安全连接策略和第二目的安全连接策略。一些选项可以包括但不限于:证书锁定、通用名称匹配、证书使用目的、发行策略以及信任锚。证书锁定指的是预期接收的证书被指定的协议。通用名称匹配指的是证书上的X500主题名称被指定的协议。证书使用目的指的是在证书上出现特定扩展键使用对象标识符(Extended Key Usage Object Identifier,EKU OID)的协议。发行策略指的是指定在发行一个或更多个证书时执行了什么验证的协议。最后,信任锚指的是指定发行证书的证书机构的协议。
在一些实施方式中,进行连接的应用可只与主要目的相关联。例如,集成不识别次要目的的传统产品会是有问题的。然而,在本文所述的实施方式中,服务128可以向装置130提供要添加到证书的数据,作为可以包括网关代理增强应用证书扩展的次要目的。即使DNS名不是客户端设备102的应用试图连接到的服务,该次要目的也可以是有效的。可允许该连接通过装置130来进行,然而仅用于次要目的的安全环境,在该例子中安全环境是向装置130的认证,其可以是被信任的。该安全性可以确保次要目的不适用于进行主要目的连接(例如连接到服务128自身),然而客户端设备102安全策略可确定其可以使用装置130来进行超文本传输协议(HTTP)连接以进行可满足主要目的的TLS-TLS(TLS-over-TLS)连接。因此,在不进行任何额外协议修改的情况下,试图连接到mydesktop.citrix.com的笔记本电脑在公司防火墙外时可以通过装置130自动检测和使用适当的安全模型。
在本文所述的一些实施方式中,可共享证书认证责任。举例来说,在客户端设备102位于特定位置(或连接到特定网络)时可与包含数据(例如医学数据)的服务器通信的情况下,客户端设备102可确定其可以如何用证书认证服务128。然而,在一些实施方式中,客户端设备102可能不包含关于其他安全策略的信息。例如,其可能由于位于医学部门而不能与服务通信。在这种情况下,客户端设备102可与装置130通信,使得装置130识别出客户端设备102位于不同位置(或在不同网络上),且装置130可允许客户端设备102与服务128(其可以在不同的部门、位置和/或不同的网络上)通信,即使客户端设备102(以及可能服务128)不知道(例如不包含指示如下的信息)他们在给定的各种安全协议下不能彼此通信。这样,客户端设备102可指示存在其不具有的信息,且当其与装置130通信时,其可信任装置130代表客户端设备102做出决定。
在各种实施方式中,基础架构服务器可用来在向证书验证应用总体安全协议时辅助客户端设备和服务。在这样的场景下,可结合次要基础架构覆盖网关系统来做出TLS通信路由安全决定。在该情况下总是能保证主要目的安全,然而其他系统可协作以施加另外的限制、审计和/或其他安全策略。注意,尽管典型的TLS连接是计算机到计算机,但是在有大量的会改变位置的服务器和笔记本时这会变得难以管理。本文所述实施方式设想了更高层结构(例如“在美国的计算机”,“在法国的计算机”等),其基本上镜像了在云/虚拟化环境中(例如不是在没有防火墙/网关的公司环境上)将笔记本电脑保持“在内联网上”和“在家”的经历。这通过覆盖网关且促使客户端确定是否满足了特定目的来执行(例如在图4的步骤440)。
例如,在混合云环境中,客户端设备可访问用于存储机密数据比如医学记录的远程系统。该实施方式可被配置成使得当客户端设备102和服务128位于领地(例如同一网络,不需要装置130)时,其可自由通信。如果要外包一个服务,则在装置130处会有如下连接,该连接保持受信任的次要目的“具体化证书验证”系统。
在一个例子中,服务可以是审计服务器,从而当客户端设备102试图进行连接时,装置130可以包含针对审计服务器的次要目的,并且客户端设备可对审计服务器进行认证且使用审计服务器作为审计系统。在这样的情况下,装置130不需要包含指示正在进行什么类型通信的信息,且次要目的可被发送回客户端设备102,使得服务128可验证连接是安全的。
在一些实施方式中,装置130能够确定客户端设备102可向禁止位置发送数据或通过禁止位置发送数据。在这样的情况下,装置可重定向数据或通知客户端传输不被允许,从而数据不进入被禁止区域。例如,图3示出了包括可用来传播数据的示例路由的环境300。环境300包括四个位置中的服务,然而可以有另外位置或更少的位置。此外,这些位置可以是物理的或虚拟的。例如,位置可以是国家,或可以是网络。环境300包括安全位置350、360和380以及禁止位置370。安全位置还可以被称作非禁止位置、允许位置、接受位置等。每个安全位置可包括一个或更多个服务310、320、330和340。
在本文所述的各种实施方式中,可禁止数据进入或退出一个或更多个位置。例如,与医学或法律文件相关联的数据可由于公司策略、国际法律等被禁止进入禁止位置370。在任何情况下,在一些实施方式中,数据可能需要从一个点传播到另一个点,例如,从安全位置350传播到安全位置360。在一些实施方式中,位于安全位置350的装置可至少部分地基于客户端设备提供的证书来确定打算发送到安全位置360中的服务的数据不能通过禁止位置370(以及执行与次要目的相关联的动作,如上所述)。因而,代替通过禁止位置370中的机器将数据发送到安全位置360中的服务,安全位置350中的装置可决定其将改为经由安全位置380中的机器将数据发送到安全位置360,使得数据从不进入禁止位置370。
如上所述,连接的目的可用来确定是否装置可将数据发送至特定位置或通过特定位置发送数据。例如,证书可具有与连接的主要目的(向服务提供信息)相关联、以及与次要目的(可以是指示包括在载荷中的数据的类型)相关联的信息(例如一个或更多个授权目的的声明)。载荷可以是提供给装置或服务的任何类型的数据。例如,载荷(例如某类型数据)可以包括但不限于:与医学记录相关联的数据、与法律文件相关联的数据、财务信息、银行业务信息、源代码、产品说明书、与隐私信息比如策略和协议相关联的数据,与公司部门相关的数据(比如人力资源、法律、销售、市场营销、密码、社会呈现等)等。
在一些实施方式中,装置130可被配置成记录与连接相关联的日期和/或时间(例如用于遵守法规、保持记录等)。此外,装置130可阻止混合云连接,其中被访问的远程云的安全属性不适于连接。在一些实施方式中,该信息可用于警告管理员或其他用户,并指示基础架构需要被移动到安全位置。在一些实施方式中,该警告可基于在装置处接收的信息的类型,或是否在装置处接收了特定量的某类型信息。
图4是示出与本公开的实施方式一致的、用于接收访问装置处服务的请求的示例方法400的流程图。参考图4,将容易理解所示出的程序可被改变以删除一些步骤或另外包括额外的步骤,如以下所述。而且,可以以与方法400中所示不同的顺序执行步骤,和/或并行地执行步骤。尽管表示方法400的流程图提供了装置(例如装置130)执行的示例步骤,然而应理解可涉及到一个或更多个其他设备(例如客户端设备102和/或服务128)。
在初始启动步骤410之后,在步骤420处,装置(也称为服务器)接收来自发起TLS握手的客户端设备的握手消息。响应于该握手消息,装置可在步骤430将其涉及自身的握手消息(例如来自装置的包括用于识别装置的信息的消息)发送至客户端设备。该识别信息可以包括可用来认证装置和/或可用来在存储于客户端设备上的装置列表中识别装置(例如经由申请中的证书)的证书或其他信息。在步骤440,判断装置的证书是否适于连接的目的。第一目的和第二目的可以表示在装置发送给客户端的证书中。如上所述,在各种实施方式中,第一目的可以包括打算由服务接收的信息。第一目的可以包括在客户端设备不知道其将遇到装置时客户端设备通常发送给服务的加密数据。如上所述,第二目的可以包括关于客户端设备尝试发送给服务的数据的信息(例如,比如银行业务或医学信息这样类型的信息)。第二目的还可以包括关于客户端设备尝试发送给信息的服务、设备或位置的信息。在一些实施方式中,第二目的可以表示为新网关代理增强应用OID证书扩展。
如果装置的证书不适于任何目的,则方法400结束。
如果装置的证书适于连接的主要目的,则方法400进行到步骤470,其中在客户端与服务器之间协商安全设置,其满足连接的主要目的(例如访问服务)。该安全设置可基于如客户端设备所指示的连接的主要目的。然而,如果装置的证书不适于连接的主要目的,但是其可适于次要目的,则方法400进行到步骤450。在步骤450,客户端判断是否满足了安全要求(例如针对连接的主要目的)。在满足了安全要求后,方法进行到步骤460,其中消息可被发送至服务器。例如,这可以是协商,比如提供用户名和密码,或包括指示服务适于一个或更多个次要目的的消息的信息。在消息被发送至服务器之后,方法400可进行到步骤470,其中可协商与满足初始主要目的的服务器之间的安全设置,使得例如客户端可在其遇到装置之前与打算通信的服务通信。然后方法400可在步骤480结束。
应理解除非本文中另外说明,发送或提供数据可用来表示向另一设备直接传送数据(比如数据包或证书)或数据对另一设备的直接可用性,或向另一设备间接传送数据或数据对另一设备的间接可用性。例如,如果客户端设备向服务传送或提供数据,则(1)客户端设备可将该数据直接传送或提供给该服务,或(2)客户端设备可将该数据发送或提供给一个或更多个中间设备,使得该数据在被发送或提供给所述一个或更多个设备之后由该服务接收。
图5是示出与本公开实施方式一致的、用于发送具有一个或更多目的的证书的示例方法500的流程图。参考图5,容易理解所示程序可被改变以删除一些步骤或另外包括额外的步骤,如以下所述。此外,可修改步骤,与方法500所示不同的顺序执行步骤,和/或并行执行步骤。
在初始启动步骤510之后,客户端设备可将握手消息发送给装置以在步骤520发起TLS握手。在步骤530,从设备接收对应的握手消息。该握手消息可涉及该设备(例如识别设备)。尽管该消息被称作握手消息,但是应理解其指的是两个设备之间发送的信息以完成TLS握手,且有时被称作hello消息。该信息可以包括指示客户端设备已联络的(例如从其发送/接收信息)是客户端设备期望联络的服务或装置(例如某类型的网关)的信息。
在步骤540,判断客户端设备接收的握手消息是否是从该服务接收的(例如执行客户端设备打算联络的服务的服务器),或所接收的握手消息是否是从不期望的设备比如装置接收的。
如果判断出客户端设备接收的握手消息来自客户端设备打算联络的服务,则客户端设备可在步骤550向该服务发送授权第一目的的证书。例如,如果在用户工作网络上连接的客户端设备试图联络工作内联网上的服务,并且在发送握手消息以尝试连接响应的服务(而不是网关)之后,客户端设备可发送与第一目的相关联的证书。例如,客户端设备可发送包括第一目的和第二目的的证书,然而在一些实施方式中构思了客户端设备可发送仅包括第一目的的证书,因为第一目的是请求与服务通信。尽管方法500中未示出,发送第一目的可以是TLS握手的一部分,然后方法可在步骤560结束。
如果在步骤540判断出客户端设备接收的握手消息不是来自客户端打算联络的服务,则方法500进行到步骤570,其中判断接收的握手消息是否是从允许列表上的装置接收的(例如,允许列表可指定证书锁定,从而客户端设备可确定装置130是否被信任和/或被允许接收数据)。如果接收的握手消息来自不被信任和/或允许的设备,则在步骤590不进行连接,且方法500在步骤560结束。如果判断出接收的握手消息来自被允许和/或被信任的装置,则客户端设备可在步骤580将与第一目的和第二目的相关联的证书发送至装置。如上所述,作为一个例子,第二目的可用来辅助装置判断在哪里发送从客户端设备接收的数据。尽管对于示例方法500,数据可通过装置继续行进到服务,但是在向装置发送与第一目的和第二目的相关联(或包括第一目的和第二目的)的证书之后,方法在步骤560结束。
应理解,代替上述方法、系统和手段,或除其之外,或与其相结合,可实施意图执行相似功能的其他实施方式。例如,在一些实施方式中,可以使用手动配置的虚拟私密网络系统。虚拟私密网络可具有可被配置和/或可更新且可用来确定各种服务的位置的路由表。在一些实施方式中,更新虚拟私密网络路由表可使得不再需要装置。
另一方式可涉及:客户端设备在尝试连接到服务之前,首先连接到中央认证和/或重定向系统。在这样的例子中,可使用应用层协议来确定服务的位置。例如,应用可将具有服务的位置的XML文件提供给客户端设备。另外,可配置软件限定的网络,允许用户通过更低层功能的抽象化来管理网络服务。
软件限定的网络如果在专用联网硬件上执行或在少量支持虚拟机环境中则可良好地工作。
本文所述的实施方式可用于HTTP 2.0(也称为HTTP/2),其是HTTP的更新版本,修改了如何构建数据以及如何在客户端和服务器之间传输数据,该版本伴随有其他进行服务识别的方式。如果网络服务器使用标准的未加密http://协议来连接,则HTTP/2允许网络服务器将指示在服务器可用http://的消息发送给客户端。对用户未知的浏览器可使用https重新连接到设备且加密连接。这可防止各种形式的被动监测。利用本文所述的实施方式,http://头部允许HTTPS之外的多个不同的协议,且可适当地重定向网络浏览器。应理解本文所述的实施方式可与所有协议(例如不仅HTTPS)工作,如这些实施方式在TLS层工作那样。另外,本文所述的实施方式不需要将连接重定向到另一位置的步骤。另外,本文所述的实施方式可基于位置和/或内容类型,而HTTP协议旨在于在可能时更新安全性。
如图6A-6B所示,每个计算设备600(例如客户端设备102或装置130)包括中央处理单元(CPU)621和主存储器622。CPU 621可以是应答和处理从主存储器622发出的指令的任何逻辑电路。CPU621可以是能够执行存储在存储器(例如主存储器622)或缓存(例如缓存640)中的特定指令组的单个或多个微处理器、现场可编程门阵列(FPGA)或数字信号处理器(DSP)。存储器可包括有形和/或非临时性计算机可读介质,比如软盘、硬盘、闪存驱动、CD-ROM(紧凑型盘只读存储器)、MO(磁光)驱动、DVD-ROM(数字多功能盘只读存储器)、DVD-RAM(数字多功能盘随机存取存储器)、固态盘(SSD)、闪存、RAM、缓存、寄存器或半导体存储器。主存储器622可以是能够存储数据并允许任何存储位置被CPU 621访问的一个或更多个存储芯片。主存储器622可以是任何类型的随机存取存储器(RAM),或能够如本文所述操作的任何其他可用存储芯片。在图6A所示的示例实施方式中,CPU 621经由系统总线650与主存储器622通信。计算设备600还可以包括通过I/O控制器623连接的可视显示设备624和输入/输出(I/O)设备630(例如键盘、鼠标或指向设备),二者都通过系统总线650通信。另外,I/O设备630还可以提供用于计算设备600的存储和/或安装介质。
图6B描绘了CPU 621通过存储器端口603与主存储器622直接通信的示例计算设备00的实施方式。CPU 621可以经由第二总线,有时也称为后端总线,与缓存640通信。在一些其他实施方式中,CPU 621可以经由系统总线650与缓存640通信。缓存640一般具有比主存储器622更快的响应时间。在一些实施方式中,CPU 621可以经由I/O端口与I/O设备630直接通信。在另外的实施方式中,I/O设备630可以是系统总线650与外部通信总线之间的桥670,外部通信总线比如USB总线、苹果桌面总线(Apple Desktop Bus)、RS-232串行连接、SCSI总线、火线(Fire Wire)总线、火线800总线、以太网总线、AppleTalk总线、千兆以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、串行plus总线、SCI/LAMP总线、光纤通道总线或串行连接小型计算机系统接口总线。
如图6A所示,计算设备600可以支持任何适当的安装设备616,比如用于容纳诸如3.5英寸、5.25英寸盘或ZIP盘这样的软盘的软盘驱动,CD-ROM驱动,CD-R/RW驱动,DVD-ROM驱动,各种形式的带驱动,USB设备,硬驱动,或适于安装软件和程序比如任何客户端代理620或其一部分的任何其他设备。计算设备600还可以包括存储设备628,比如一个或更多个硬盘驱动或独立盘的冗余阵列,用于存储操作系统和其他关联软件,且用于存储应用软件程序比如与客户端代理620相关的任何程序。可选地,任何安装设备616也可用作存储设备628。
另外,计算设备600可以包括通过各种连接与LAN、WAN、MAN或因特网接口的网络接口618,所述各种连接包括但不限于标准电话线、LAN或WAN链路(例如802.11,T1,T3,56kb,X.25),宽带连接(例如ISDN,帧中继,ATM),无线连接,或以上任何或全部的某些组合。网络接口618可以包括嵌入式网络适配器、网络接口卡、PCMCIA网络卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适于将计算设备600与能够通信和执行本文所述操作的任何类型网络接口的任何其他设备。
在以上说明中,参考可根据实现方式而变化的大量具体细节描述了实施方式。可对所述实施方式进行特定的变化和修改。在考虑说明书和本文所述发明的实践后,其他实施方式对本领域技术人员是明显的。期望的是,说明和示例仅被视为示例性,本发明的真实范围和精神由所附权利要求指示。还期望附图中所示步骤的顺序仅是为了示例目的,且不旨在于被限制到任何特定的步骤顺序。这样,本领域技术人员可理解,在实施同一方法时可以以不同的顺序执行步骤。
Claims (21)
1.一种装置,包括:
存储器,其存储一组指令;以及
一个或更多个处理器,其被配置成执行所述一组指令以使得所述装置:
从客户端设备获取第一握手消息,其中所述第一握手消息打算用于一服务;
向所述客户端设备提供第二握手消息,其中所述第二握手消息包括涉及所述装置的第一证书;
基于所述装置被授权辅助提供所述客户端设备与所述服务之间的安全连接,从所述客户端设备获取具有第一目的和第二目的的第二证书;以及
基于所述第二目的,确定与向所述服务提供具有所述第一目的的所述第二证书相关联的动作。
2.根据权利要求1所述的装置,其中所述第二目的包括在所述第二证书的扩展中。
3.根据权利要求1或2所述的装置,其中所述动作包括确定所述服务的位置以发送所述第二证书。
4.根据权利要求1-3中的任何一项所述的装置,其中所述第二证书的所述第一目的被用来在所述服务处认证所述客户端设备。
5.根据权利要求1-4中的任何一项所述的装置,其中所述第二目的指示包括在载荷中的数据的类型。
6.根据权利要求5所述的装置,其中所述动作包括确定所述载荷的目的地,并且其中至少部分地由包括在所述载荷中的所述数据的类型来确定所述载荷的目的地。
7.根据权利要求1-5中的任何一项所述的装置,其中所述动作包括拒绝将所述第二证书提供给所述服务。
8.一种传输数据的方法,所述方法由一个或更多个处理器执行并且包括:
从客户端设备获取第一握手消息,其中所述第一握手消息打算用于一服务;
向所述客户端设备提供第二握手消息,其中所述第二握手消息包括涉及所述装置的第一证书;
基于所述装置被授权辅助提供所述客户端设备与所述服务之间的安全连接,从所述客户端设备获取具有第一目的和第二目的的证书;以及
基于所述第二目的,确定与向所述服务提供具有所述第一目的的所述第二证书相关联的动作。
9.根据权利要求8所述的方法,其中所述第二目的包括在所述第二证书的扩展中。
10.根据权利要求8或9所述的方法,其中所述动作包括确定所述服务的位置以发送所述第二证书。
11.根据权利要求8-10中的任何一项所述的方法,其中所述第二证书的所述第一目的被用来在所述服务处认证所述客户端设备。
12.根据权利要求8-11中的任何一项所述的方法,其中所述第二目的指示包括在载荷中的数据的类型。
13.根据权利要求12所述的方法,其中所述动作包括确定所述载荷的目的地,并且其中至少部分地基于包括在所述载荷中的所述数据的类型来确定所述载荷的目的地。
14.根据权利要求12或13所述的方法,其中从由下列构成的组中选择所述数据的类型:
与医学记录相关联的数据、与法律文件相关联的数据、与源代码相关联的数据、财务信息、银行业务信息、与人力资源相关联的数据、与私密信息相关联的数据。
15.一种非临时性计算机可读存储介质,其存储一组指令,该组指令可由装置的至少一个处理器执行,以使所述装置执行一种用于传输数据的方法,该方法包括:
从客户端设备获取第一握手消息,其中所述第一握手消息打算用于一服务;
向所述客户端设备提供第二握手消息,其中所述第二握手消息包括涉及所述装置的第一证书;
基于所述客户端设备根据所述第一证书做出的确定,基于所述装置被授权辅助提供所述客户端设备与所述服务之间的安全连接,从所述客户端设备获取具有第一目的和第二目的的第二证书;以及
基于所述第二目的,确定与向所述服务提供具有所述第一目的的所述第二证书相关联的动作。
16.根据权利要求15所述的非临时性计算机可读存储介质,其中所述第二目的包括在所述第二证书的扩展中。
17.根据权利要求15或16所述的非临时性计算机可读存储介质,其中所述动作包括确定所述服务的位置以发送所述第二证书。
18.根据权利要求15-17中的任一项所述的非临时性计算机可读存储介质,其中所述第二证书的所述第一目的被用来在所述服务处认证所述客户端设备。
19.根据权利要求15-18中的任一项所述的非临时性计算机可读存储介质,其中所述第二目的指示包括在载荷中的数据的类型。
20.根据权利要求15-19中的任何一项所述的非临时性计算机可读存储介质,其中所述动作包括确定载荷的目的地,并且其中至少部分地基于包括在所述载荷中的所述数据的类型来确定所述载荷的目的地。
21.一种客户端设备,包括:
存储器,其存储一组指令;以及
一个或更多个处理器,其被配置成执行该组指令以使所述装置:
提供打算用于一服务的握手消息;
获取第一证书;
确定所述第一证书是否是由所述服务之外的装置提供的;
如果所述第一证书是由所述服务提供的,则向所述服务提供具有第一目的的第二证书;以及
如果所述第一证书是由所述装置提供的,则向所述装置提供具有第一目的和第二目的的第三证书,其中所述第二目的被配置成使所述装置执行与向所述服务提供具有所述第一目的的所述第三证书相关联的动作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/695,980 | 2015-04-24 | ||
| US14/695,980 US11032379B2 (en) | 2015-04-24 | 2015-04-24 | Secure in-band service detection |
| PCT/US2015/029315 WO2016171735A1 (en) | 2015-04-24 | 2015-05-05 | Secure in-band service detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107637044A true CN107637044A (zh) | 2018-01-26 |
| CN107637044B CN107637044B (zh) | 2021-06-11 |
Family
ID=53191830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580079169.3A Expired - Fee Related CN107637044B (zh) | 2015-04-24 | 2015-05-05 | 安全带内服务检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11032379B2 (zh) |
| EP (1) | EP3286889B1 (zh) |
| CN (1) | CN107637044B (zh) |
| WO (1) | WO2016171735A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786781A (zh) * | 2020-06-29 | 2020-10-16 | 友谊时光科技股份有限公司 | 一种ssl证书监控方法、系统、装置、设备及存储介质 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11032379B2 (en) * | 2015-04-24 | 2021-06-08 | Citrix Systems, Inc. | Secure in-band service detection |
| US10516653B2 (en) | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
| US10320572B2 (en) * | 2016-08-04 | 2019-06-11 | Microsoft Technology Licensing, Llc | Scope-based certificate deployment |
| EP3293937A1 (en) * | 2016-09-12 | 2018-03-14 | Vectra Networks, Inc. | Method and system for detecting malicious payloads |
| US10587582B2 (en) * | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
| EP4155996A1 (en) * | 2018-04-30 | 2023-03-29 | Google LLC | Enclave interactions |
| EP3776323A1 (en) | 2018-04-30 | 2021-02-17 | Google LLC | Secure collaboration between processors and processing accelerators in enclaves |
| CN112005230B (zh) | 2018-04-30 | 2024-05-03 | 谷歌有限责任公司 | 通过统一的安全区接口管理安全区创建 |
| US11601402B1 (en) * | 2018-05-03 | 2023-03-07 | Cyber Ip Holdings, Llc | Secure communications to multiple devices and multiple parties using physical and virtual key storage |
| US11528150B1 (en) * | 2019-11-13 | 2022-12-13 | Wells Fargo Bank, N.A. | Real-time certificate pinning list (RTCPL) |
| US11689522B2 (en) * | 2020-07-03 | 2023-06-27 | Vmware, Inc. | Method and apparatus for secure hybrid cloud connectivity |
| CN116132072B (zh) * | 2023-04-19 | 2023-06-30 | 湖南工商大学 | 一种网络信息的安全认证方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1930850A (zh) * | 2004-05-20 | 2007-03-14 | 国际商业机器公司 | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 |
| CN101026456A (zh) * | 2006-01-17 | 2007-08-29 | 佳能株式会社 | 信息处理设备和控制方法 |
| CN101257387A (zh) * | 2008-03-13 | 2008-09-03 | 华耀环宇科技(北京)有限公司 | 一种x509数字证书快速解析和验证方法 |
| CN102047262A (zh) * | 2008-05-27 | 2011-05-04 | 微软公司 | 用于分布式安全内容管理系统的认证 |
| CN102346669A (zh) * | 2011-09-21 | 2012-02-08 | 重庆邮电大学 | 一种基于元数据的移动终端安全中间件系统及方法 |
| CN102571629A (zh) * | 2010-12-23 | 2012-07-11 | 微软公司 | 电子邮件信任服务 |
| CN103155513A (zh) * | 2010-09-27 | 2013-06-12 | 诺基亚公司 | 加速认证的方法和装置 |
| US8549157B2 (en) * | 2007-04-23 | 2013-10-01 | Mcafee, Inc. | Transparent secure socket layer |
| US8584214B2 (en) * | 2008-09-18 | 2013-11-12 | Motorola Mobility Llc | Secure server certificate trust list update for client devices |
| US20140095865A1 (en) * | 2012-09-28 | 2014-04-03 | Blue Coat Systems, Inc. | Exchange of digital certificates in a client-proxy-server network configuration |
| CN104221394A (zh) * | 2012-01-03 | 2014-12-17 | 通用仪表公司 | 用于基于hdcp密钥的版本来确定源装置服务层的机构 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5185786A (en) * | 1990-11-13 | 1993-02-09 | Dialogic Corporation | Automatic call center overflow retrieval system |
| US7430755B1 (en) * | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
| US7630371B2 (en) | 2005-09-22 | 2009-12-08 | Compressus, Inc. | Autonomous routing of network messages within a healthcare communication network |
| US7808975B2 (en) * | 2005-12-05 | 2010-10-05 | International Business Machines Corporation | System and method for history driven optimization of web services communication |
| US8095787B2 (en) * | 2006-08-21 | 2012-01-10 | Citrix Systems, Inc. | Systems and methods for optimizing SSL handshake processing |
| US8230214B2 (en) * | 2006-08-21 | 2012-07-24 | Citrix Systems, Inc. | Systems and methods for optimizing SSL handshake processing |
| CN101330369B (zh) * | 2007-06-21 | 2014-07-09 | 华为技术有限公司 | 发送、接收方法及装置、通道保护方法及系统 |
| US8769291B2 (en) * | 2007-07-23 | 2014-07-01 | Red Hat, Inc. | Certificate generation for a network appliance |
| US8671202B2 (en) * | 2007-12-20 | 2014-03-11 | Ooma, Inc. | Mechanisms for role negotiation in the establishment of secure communication channels in peer-to-peer environments |
| US7945774B2 (en) * | 2008-04-07 | 2011-05-17 | Safemashups Inc. | Efficient security for mashups |
| US9203831B2 (en) * | 2009-11-25 | 2015-12-01 | Red Hat, Inc. | SSL client authentication |
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US9237172B2 (en) * | 2010-05-25 | 2016-01-12 | Qualcomm Incorporated | Application notification and service selection using in-band signals |
| US9198034B2 (en) * | 2013-06-28 | 2015-11-24 | Symbol Technologies, Llc | Validating presence of a communication device using a wireless local area network |
| US9935977B1 (en) * | 2013-12-09 | 2018-04-03 | Amazon Technologies, Inc. | Content delivery employing multiple security levels |
| US11032379B2 (en) * | 2015-04-24 | 2021-06-08 | Citrix Systems, Inc. | Secure in-band service detection |
| US10616207B2 (en) * | 2017-10-12 | 2020-04-07 | Dell Products, L.P. | Context and device state driven authorization for devices |
| US10581948B2 (en) * | 2017-12-07 | 2020-03-03 | Akamai Technologies, Inc. | Client side cache visibility with TLS session tickets |
| US20190327220A1 (en) * | 2018-04-23 | 2019-10-24 | Slack Technologies, Inc. | Method, apparatus, and computer program product for secure direct remote server communication of encrypted group-based communication data with security controls |
-
2015
- 2015-04-24 US US14/695,980 patent/US11032379B2/en active Active
- 2015-05-05 CN CN201580079169.3A patent/CN107637044B/zh not_active Expired - Fee Related
- 2015-05-05 WO PCT/US2015/029315 patent/WO2016171735A1/en active Application Filing
- 2015-05-05 EP EP15723799.1A patent/EP3286889B1/en active Active
-
2021
- 2021-04-30 US US17/245,857 patent/US11750709B2/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1930850A (zh) * | 2004-05-20 | 2007-03-14 | 国际商业机器公司 | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 |
| CN101026456A (zh) * | 2006-01-17 | 2007-08-29 | 佳能株式会社 | 信息处理设备和控制方法 |
| US8549157B2 (en) * | 2007-04-23 | 2013-10-01 | Mcafee, Inc. | Transparent secure socket layer |
| CN101257387A (zh) * | 2008-03-13 | 2008-09-03 | 华耀环宇科技(北京)有限公司 | 一种x509数字证书快速解析和验证方法 |
| CN102047262A (zh) * | 2008-05-27 | 2011-05-04 | 微软公司 | 用于分布式安全内容管理系统的认证 |
| US8584214B2 (en) * | 2008-09-18 | 2013-11-12 | Motorola Mobility Llc | Secure server certificate trust list update for client devices |
| CN103155513A (zh) * | 2010-09-27 | 2013-06-12 | 诺基亚公司 | 加速认证的方法和装置 |
| CN102571629A (zh) * | 2010-12-23 | 2012-07-11 | 微软公司 | 电子邮件信任服务 |
| CN102346669A (zh) * | 2011-09-21 | 2012-02-08 | 重庆邮电大学 | 一种基于元数据的移动终端安全中间件系统及方法 |
| CN104221394A (zh) * | 2012-01-03 | 2014-12-17 | 通用仪表公司 | 用于基于hdcp密钥的版本来确定源装置服务层的机构 |
| US20140095865A1 (en) * | 2012-09-28 | 2014-04-03 | Blue Coat Systems, Inc. | Exchange of digital certificates in a client-proxy-server network configuration |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786781A (zh) * | 2020-06-29 | 2020-10-16 | 友谊时光科技股份有限公司 | 一种ssl证书监控方法、系统、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3286889A1 (en) | 2018-02-28 |
| WO2016171735A1 (en) | 2016-10-27 |
| US20160316025A1 (en) | 2016-10-27 |
| US20210329078A1 (en) | 2021-10-21 |
| CN107637044B (zh) | 2021-06-11 |
| US11032379B2 (en) | 2021-06-08 |
| US11750709B2 (en) | 2023-09-05 |
| EP3286889B1 (en) | 2021-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107637044A (zh) | 安全带内服务检测 | |
| US20230216851A1 (en) | Hybrid authentication systems and methods | |
| US10554622B2 (en) | Secure application delivery system with dial out and associated method | |
| US8887296B2 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
| US8843636B1 (en) | Managing digital certificates for WAN optimization over content delivery networks | |
| US8146134B2 (en) | Scalable firewall policy management platform | |
| US9148414B1 (en) | Credential management in a multi-tenant environment | |
| US20150200928A1 (en) | Techniques for secure access management in virtual environments | |
| CN109074274A (zh) | 虚拟浏览器集成 | |
| US10511584B1 (en) | Multi-tenant secure bastion | |
| CN105247531A (zh) | 提供受管浏览器 | |
| US10051005B2 (en) | Systems and methods for utilizing uni-directional inter-host communication in an air gap environment | |
| CN105247526A (zh) | 提供企业应用商店 | |
| US9485234B1 (en) | Virtualized endpoints in a multi-tenant environment | |
| US20190372785A1 (en) | Secure Trust Based Distribution of Digital Certificates | |
| Chioreanu et al. | Implementing and securing a hybrid cloud for a healthcare information system | |
| Sharad et al. | Research Paper on Active Directory | |
| García et al. | Web-based service for remote execution: NGI network design application | |
| García et al. | WeBaSeRex: next generation Internet network design using Web based remote execution environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210611 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |