CN108293049B - 在不受控制的网络中对设备的唯一识别及与其进行安全通信 - Google Patents
在不受控制的网络中对设备的唯一识别及与其进行安全通信 Download PDFInfo
- Publication number
- CN108293049B CN108293049B CN201680069105.XA CN201680069105A CN108293049B CN 108293049 B CN108293049 B CN 108293049B CN 201680069105 A CN201680069105 A CN 201680069105A CN 108293049 B CN108293049 B CN 108293049B
- Authority
- CN
- China
- Prior art keywords
- service
- hosted service
- network
- new
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
- H04L9/007—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种利用由服务提供商提供的基于云的访问服务的服务消费者与不能被服务提供商控制的网络相关联。企业连接器在这个不受控制的网络中得到支持,优选作为基于设备的解决方案。根据本公开,企业配置设备,然后将其部署在不受控制的网络中。为此,设备需要在其被接受为“连接器”之前进行多阶段批准协议,并因此启用与服务提供商的安全通信。多个阶段包括“第一次联系”(返回至服务)阶段、正在审批阶段、重新生成身份资料阶段以及最终批准和配置阶段。除非设备通过这些阶段,否则该设备不被允许作为连接器与服务进行交互。作为附加的方面,该服务提供各种保护,以解决其中实体伪装为批准的设备的情况。
Description
背景
技术领域
本申请大体上涉及企业网络环境中的访问控制。
相关技术的简要描述
向外部合作伙伴、承包商和其他第三方交付应用是一个非常复杂的过程。对于信息技术(IT)和安全团队来说,保护内部应用并使其可供互联网上的用户使用可能需要几周或几个月的时间。为了让外部用户进入受保护的网络,通常企业必须打洞穿过其网络边界,然后配置并运行一个或更多个安全设备,以防止不期望的信息和数据通过。最低限度,建立这样的解决方案是一项复杂的容易出错的任务,其通常需要跨多个IT和安全团队进行协调。即便如此,来自互联网攻击、用户设备上的恶意软件和被盗凭证的攻击风险也构成了持续的威胁。
为了解决这个问题,已知的是提供安全访问即服务,其消除了对于企业在其网络边界中打洞的需要。相反,允许的用户通过服务提供商云访问企业应用,这停止并确保远离网络边界的用户访问。一种这样的解决方案是Akamai Technologies公司的产品SohaCloud。采用这种方法,不存在进入企业应用的直接的路径;相反,服务提供商会从企业网络或云内创建安全的、相互认证的基于TLS的连接,然后使用该连接将企业应用带给外部用户。基于云的解决方案会停止云中的所有用户连接,在安全代理上终止它们,同时应用强大的认证和安全控制。该方法也是可扩展的,使得企业可以包括他们自身的安全控制,以用于加强对高敏感应用的保护。这种类型的解决方案在美国专利号9,491,145中被描述,该专利的公开内容通过引用被并入。
这种类型的服务还可能需要在不受服务提供商控制的网络中存在一个或更多个设备,以共同为穿过服务网络以及不受控制的网络的业务提供一个或更多个特征和功能。这些设备需要能够安全地与家中的服务通信,并且该服务需要能够唯一地识别和认证连接到来自不信任网络的服务的这些设备。
本公开的技术解决了这种需求。
简要概述
由服务提供商提供的基于云的访问服务与不受控制的网络相关联。不受控制的网络是其中服务提供商无法保护或应用策略的网络,但是通常服务提供商的客户可以控制该网络。根据本公开,期望的是在该不受控制的网络中支持企业连接器(或类似类型的装置),优选地作为基于设备的解决方案。在这种情况下,“设备”通常是基于软件的虚拟机(VM)。根据本公开,企业的代表(或拥有或控制不受控制网络的某个实体)配置一个或更多个设备,然后将这些设备部署在不受控制的网络中。为此,设备需要在其被接受为“连接器”之前进行多阶段批准协议,并因此启用与服务提供商的安全通信。多个阶段包括“第一次联系”(返回至服务)阶段、正在审批阶段、重新生成身份资料阶段以及最终批准和配置阶段。除非设备通过这些阶段,否则该设备不被允许作为连接器与服务进行交互。作为附加的方面,该服务提供各种保护,以解决其中实体伪装为批准的设备的情况。
上述已经概述了所公开主题的一些更相关的特征。这些特征应被解释为仅仅是说明性的。通过以不同的方式应用所公开的主题或通过如将要描述的修改主题可以获得许多其它有益的结果。
附图简述
为了更全面理解本文的主题及其优点,现在结合附图参考下面的描述,其中:
图1是代表性企业网络操作环境,其中可以实现本发明的技术;
图2描绘了用于经由企业网络操作环境中的服务提供商提供无客户端的、专用远程访问的技术;
图3描绘了包括其中连接器设备期望根据本公开进行配置和配给的(通过服务提供商)不受控制的网络的操作环境;
图4描绘了用于配置设备以与根据本公开的基于云的托管服务进行互操作的处理流程;以及
图5描绘了其中可以在一个非限制性实施例中实现本公开的各方面的覆盖网络(例如,CDN)。
详细描述
图1描绘了代表性操作环境,其中可以实践本公开的技术。在这种环境中,企业数据中心100经由公开路由的互联网102可访问,通常是经由不提供多因素认证(MFA)的虚拟私人网络(VPN)104可访问。在该示例场景中,第三方用户106期望访问位于企业内联网110内的一个或更多个企业应用108。通过允许第三方用户106自由地访问整个企业网络110和所有应用108,诸如所描绘的现有的基于虚拟私人网络(VPN)的解决方案可以显著提高安全风险。事实上,(通过其他的授权的第三方的)网络上的横向移动可能会增加数据泄露的可能性。作为背景,企业应用访问为员工提供了对防火墙后部署的企业应用的安全访问。此外,应用正在变得现代化,正在转向云,并且经常被雇员和第三方(承包商、合作伙伴、供应商和特许经营商)端点访问,这些端点不受企业控制或管理。由于这种环境,许多当前的远程访问解决方案通常难以配给、维护和管理,并且他们通常缺乏简单的单点登录(SSO)和多因素认证(MFA)来提高安全性和用户体验。
这个问题已经通过经由服务提供商提供无客户端的专用远程访问来解决,诸如图2中所描绘的。例如,该解决方案可以作为服务提供商的托管服务来提供。代表性的商业解决方案是马萨诸塞州剑桥的Akamai Technologies公司的Soha Cloud。在该方法中,托管服务提供商在公开路由的互联网202上提供了覆盖网络200。覆盖网络包括边缘服务器204,并且企业数据中心206支持企业连接器208,该企业连接器208可以部署在物理企业数据中心中或作为虚拟机(VM)或虚拟私有云(VPC)中的容器来部署。企业连接器208向服务提供商提供安全拨出。以这种方式,并且如所描绘的,在该方法中,第三方212或远程工作者210被提供对诸如应用214的特定应用、但不是对企业网络216上的其他内容的授权的安全访问。特别地,这种方法在私有企业应用和基础设施与互联网之间创造了空隙,从而使攻击面最小化,并使企业基础设施以其他方式对公众不可见。通常,终端用户通常经由服务提供商边缘网络利用HTML5兼容的网络浏览器访问应用。
企业连接器208与企业的身份存储器218集成。优选地,连接器208通过TLS与覆盖网络中的其他元件相互认证。这意味着不需要进行本地企业连接器管理,并且优选地除了标准HTTPS端口外,企业不存在使企业连接器能够在需要时拨出到托管边缘网络的入站开放式隧道或端口。同时,用户在TLS上通过浏览器(如果需要,使用MFA)与托管网络和支持SSO的企业身份存储器进行认证。一旦经过安全认证,则服务提供商只需通过托管网络将两个TLS会话拼接在一起,以便仅为企业网络上的授权应用提供用户访问权限,而优选地不为其他内容提供访问权限。以这种方式,在企业数据中心中的防火墙后托管的企业应用214现在可以由远程工作人员和第三方210和212(具有SSO和MFA的支持)通过简单的网络浏览器或移动应用来访问,而不暴露整个企业网络并减轻网络上所有其他应用之间的自由的横向移动。此外,优选地,所有业务都穿越覆盖网络,以提高互联网上应用的可靠性和性能。
以上述为背景,现在描述本公开的技术。在该实施例中,假设企业300(或者更一般地,服务消费者或客户)已经与其关联了网络302,该网络相对于服务提供商是不可控制的。换句话说,本文使用的不受控制的网络是其中服务提供商不能保护或者应用策略的网络,但是通常地(即,在大多数使用情况下)不受控制的网络可由服务提供商客户控制。因此,例如,不受控制的网络可以是经由DHCP配置的客户网络,或者不受控制的网络可以由客户对其具有直接或间接的充分控制的一系列静态IP地址来定义。根据本公开,期望的是在该不受控制的网络中支持企业连接器304(或一些类似类型的功能),优选地作为基于设备的解决方案。在这种情况下,“设备”通常是基于软件的虚拟机(VM),但这不是限制,因为这个概念还可以包括在物理(通用)硬件中执行的软件。该设备是服务消费者网络的一部分,然而诸如图2所示进行配置。
根据本公开,企业的代表(或拥有或控制不受控制的网络302的某个实体)配置一个或更多个设备304,然后这些设备自行部署在由服务消费者/客户拥有的不受控制的网络302中。根据本公开的另一方面,设备需要在其被接受为“连接器”之前进行多阶段批准协议,并因此启用与服务提供商的安全通信。图4是这些多个阶段的简化处理流程。多个阶段包括“第一次联系”(返回至服务)阶段400、正在审批阶段402、重新生成身份资料阶段404以及最终批准和配置阶段406。以下描述了这些阶段中的每一个。除非设备通过这些阶段,否则该设备不被允许作为连接器与服务进行交互。
托管服务本身的具体细节在美国专利第9,491,145号中进行描述,其公开内容通过引用并入。
在与服务的第一次联系之前,通过遵循以下操作步骤为每台设备分配一个身份(在创建时)。首先,合理长度的通用唯一标识符(UUID)被生成并被分配给设备。UUID长度可以至少为128位,但这不是限制。在变型实施例中,分配给给定实体的一组设备可以初始地用UUID进行编程,该UUID对实体是唯一的但是在该一组设备之间共享;在这种情况下并作为批准过程的一部分,该一组中的每个设备都会被分配其自己的UUID。然后,生成新的密码密钥对。优选地,密钥对是包括公钥和其相关联的私钥的不对称密钥对。使用密钥对,证书签名请求(CSR)被生成并被提交给服务所信任的公钥基础设施(PKI)。CSR优选地还包含设备的UUID,这因此用于将不对称公钥绑定到CSR中设备的UUID。作为响应,从服务的受信任的PKI提供商接收证书(例如,X509证书)。优选地,证书包含来自受信任的PKI的、确认设备属于该服务的数字签名以及设备的UUID。设备的UUID优选地位于证书的通用名称中,因此该通用名称用于给设备提供与密码唯一的密钥对本身结合的唯一身份。之后,返回的证书被嵌入到设备中。为了完成创建初始加密身份的过程,UUID被添加到对于配置设备的服务消费者/客户的有效生成的设备的列表,并且该列表被提供给托管服务提供商。如所述,该服务消费者也是拥有或控制其中设备最终将驻留的不受控制的网络的实体。
以这种方式创建的证书有时在本文中被称为用于设备的出厂证书。如将看到的那样,设备随后使用该证书作为加密证书,以在该设备首次连接回服务时向该服务进行自我认证。这是所谓的“第一次联系”阶段,如下所述。这个连接通常是相互认证的TLS连接,但是可以使用其他形式的安全链接。优选地,该出厂证书仅在设备处于未配给状态并且还未被专用远程访问服务进行配置和批准时由设备使用以用于认证。
以下为包括出厂证书的设备提供了优选配给情形。优选地,配给过程包括现在描述的几个阶段。
阶段1
当设备打开或以其他方式通电时,它会检查它是否处于已批准状态并处于已配置状态。如果没有,则设备优选地使用其出厂证书来拨回至远程访问服务。此时的服务优选地通过验证其出厂证书(由受信任的PKI签发的)来验证该设备的身份。如果验证了出厂证书,则从其证书中提取设备的UUID。然后将此UUID与期望在不信任的网络中部署的设备的列表进行匹配,该列表已由服务消费者(或某个其他的可信任实体,如PKI提供商)提供给服务提供商。在一些实施例中,不信任的网络可以由多个不同的不信任的网络组成,每个网络都具有其自己的唯一标识符,诸如IP地址范围。只有在找到匹配的情况下(即,设备具有包含有效UUID的有效证书)设备才被允许连接到服务。
阶段2
一旦未经批准的设备建立了回到服务的连接(例如,在服务执行的管理平面中创建会话),则在协议的第二阶段中,设备会通过某个外部源进行额外的批准过程。在一些实施例中,该批准过程可以手动驱动,或者其可以自动化或以编程方式实现。在一个实施例中,该批准可以基于可配置的接受策略,例如由拥有不受控制的网络的实体的代表确定。一旦批准过程完成,则将生成新的公钥/私钥对和新的UUID。基于新项目的新CSR被生成并被发送到受信任的PKI以获取包含新UUID的新证书。在受信任的PKI作出响应后,新的UUID被添加到对于该服务的被批准设备的列表中。
阶段3
一旦设备在阶段2中获得批准,它就会生成新的证书签名请求(CSR),并通过预先存在的安全会话(通常是TLS)从受信任的PKI获取新证书。此时,优选地,设备终止(使用出厂证书建立的)安全连接,并且该设备使用其新签发的证书建立到服务的新连接。接下来,设备使用其新证书向服务进行认证。该服务通过验证此证书、提取嵌入的UUID并验证此UUID是否出现在对于生成此设备的特定服务消费者/客户的被批准设备的列表中而进行响应。对此效果的指示再次提供给设备。
阶段4
从这一点开始,设备被认为已被批准和配置(或以其他方式“注册”了企业访问服务),并且期望的是仅使用这个新证书来建立与该服务的所有通信。上述过程确保每个设备被明确批准并被签发一个全新的证书(其私钥永远不会离开设备)。一旦获得批准,设备优选地被阻止使用其工厂证书,并且使用其出厂证书对服务的所有连接尝试都将被阻止并记录下来。通过这种方式,来自不受控制和不信任的网络的设备可以唯一地被识别,并通过需要对设备的可信任路径的服务进行认证。
防止与伪装相关的问题
当设备联系服务时,优选地由服务根据以下因素执行多个检查:服务维护的关于设备的状态信息(即,批准协议的四个阶段中的哪一个是设备应该处于的(即,第一次联系、正在审批、重新生成身份资料,或批准和配置)、由设备呈现的身份信息(诸如UUID和证书)、从输入连接导出的网络信息,例如源IP地址和端口、历史网络数据等)以及由服务提供商维护的网络信息(例如,到期望输入的设备业务的网络范围)。
如果未知实体试图伪装成真实设备,那么以下支持就位以防范这种未经授权的使用。
第一种情况是,受到核准但未受控制的设备尚未经过注册过程,并且未知实体能够复制该设备。在这种情况下,服务优选地只允许实体从属于使用该服务生成设备的特定服务消费者的不受控制的网络范围进行连接。在其中未知实体存在于合法网络范围内的情况下,该服务会检测到来自服务消费者的不受控制的网络范围内的呈现相同UUID和证书的一个或更多个设备。此时,该服务会阻止具有相同UUID的设备在批准协议中继续进行。该服务还优选地警告服务消费者的代表。此时,服务消费者可以采取校正动作,诸如手动批准未知实体作为有效副本,或阻止具有相同UUID的设备的所有实例连接到服务。这个校正过程可能是手动驱动的,或者是自动的。在另一个实施例中,该批准可以基于可配置的接受策略(例如,如由拥有不受控制的网络的实体的代表所确定的)。在有效副本的情况下,具有相同UUID的设备可以被允许继续进行下一阶段,并且被标记为副本的设备优选地生成新UUID并且从受信任的PKI基于该UUID经由服务获得新证书,然后重新进入阶段1。标记为副本的设备的UUID将被添加到对于所涉及的服务消费者的有效生成设备的列表,使得这些设备可以进行到阶段1。
第二种情况是,受到核准、不受控制的设备已经进行注册过程,并且未知实体能够在注册过程之前进行对设备的完美复制。在这种情况下,服务所采取的操作与之前的情况相似。具体而言,该服务优选地阻止来自未经批准的网络范围的任何输入连接。当其从服务消费者的不受控制的网络范围内进行连接时检测未知实体,并呈现相同UUID作为被批准设备。此时,服务会阻止未知实体在批准协议中继续进行,而不会对注册设备产生任何负面影响。该服务还会在此时警告服务消费者的代表,他们可以采取以下几种校正动作之一:手动批准未知实体作为有效副本、终止来自未知实体的网络连接并将其源IP地址报告给服务消费,或者阻止具有该UUID的设备的所有实例连接到服务,并终止现有设备。在一些实施例中,该校正动作过程可以手动驱动,或者其可自动进行或处于编程控制下。在其他实施例中,该批准可以基于可配置的接受策略(如由拥有不受控制的网络的实体的代表所确定的)。在有效副本的情况下,被标记为副本的设备生成新UUID并且从受信任的PKI基于该UUID经由服务获得新证书,然后重新进入阶段1。标记为副本的设备的UUID将被添加到对于所涉及的服务消费者的有效生成设备的列表,使得这些设备可以进行到阶段1。
在又一种情况下,受到核准、不受控制的设备已经进行注册过程,并且未知实体在注册过程之后进行对设备的完美复制。再一次,服务所采取的动作与在以上的第二种情况中相似。具体而言,该服务阻止来自未经批准的网络范围的任何输入连接。当其从服务消费者的不受控制的网络范围内进行连接时检测未知实体,并呈现相同UUID作为被批准设备。此时,服务会阻止未知实体使任何业务经过服务,而不会对注册设备产生任何负面影响。该服务还会在此时警告服务消费者的代表,他们可以采取以下几种校正动作之一:手动批准未知实体作为有效副本,终止来自未知实体的网络连接,以及向服务消费者报告其源IP地址,或者阻止具有该UUID的设备的所有实例连接到服务并终止现有设备。在一些实施例中,该校正动作过程可以手动驱动,或者其可自动进行或处于编程控制下。在其他实施例中,该批准可以基于可配置的接受策略(如由拥有不受控制的网络的实体的代表所确定的)。在有效副本的情况下,被标记为副本的设备生成新UUID并且从受信任的PKI基于该UUID经由服务获得新证书,然后重新进入阶段1。标记为副本的设备的UUID将被添加到对于所涉及的服务消费者的有效生成设备的列表,使得这些设备可以进行到阶段1。
托管服务可以与诸如内容分发网络(CDN)的服务提供商相关联地被提供。然而,这不是限制,因为本文中的技术可以与任何基于云的服务一起使用。图5中示出了这种类型的已知方法,诸如由马萨诸塞州剑桥市的Akamai Technologies公司所提供的。如所描绘的,分布式计算机系统500被配置为CDN,并且假设具有在互联网周围分布的一组机器502。通常,大多数机器是位于互联网边缘附近(即,位于终端用户接入网络处或邻近终端用户接入网络)的服务器。网络操作指挥中心(NOCC)504管理在系统中的各种机器的操作。诸如源服务器506的第三方站点将内容(例如,HTML、嵌入页面对象、媒体、软件下载等)的分发卸载到分布式计算机系统500,并且特别是卸载到“边缘”服务器502。通常情况下,内容提供商通过别名使用(aliasing)(例如,通过DNS CNAME)给定的内容提供商的域或子域来将他们的内容分发卸载到由服务提供商的权威域名服务所管理的域。期望内容的终端用户被引导到分布式计算机系统以更可靠和高效地获得该内容。分布式计算机系统还可以包括其他基础设施,诸如数据采集系统508,其收集来自边缘服务器的使用情况和其他数据,集合跨越一个区域或一组区域的数据并将该数据传到其他后端系统510、512、514和516,以便于监视、记录、警报、计费、管理和其他操作和管理功能。代理518监视网络以及服务器负载,并向DNS查询处理机构115提供网络、流量和负载数据,DNS查询处理机构115被授权针对由CDN管理的内容域。分段520可以用于向边缘服务器502分发控制信息(例如,用于管理内容、促进负载平衡等的元数据)。
CDN边缘服务器被配置为,优选地使用利用配置系统分发到边缘服务器的配置文件,优选地在特定于域、特定于客户的基础上,来提供一个或更多个扩展的内容分发特征。给定的配置文件优选地是基于XML的,并且包括促进一个或更多个高级内容处理特征的一组内容处理规则和指令。配置文件可以经由数据传输机构传递到CDN边缘服务器。美国专利第7,111,057号示出了用于传递和管理边缘服务器内容控制信息的有用的基础设施,并且这个和其他边缘服务器控制信息可以由CDN服务提供商本身提供,或者(经由外联网等)由操作源服务器的内容提供商客户提供。
CDN可以包括存储子系统,诸如美国专利第7,472,178号中所描述的,其公开内容通过引用并入本文。
CDN可以操作服务器缓存层级以提供客户内容的中间缓存;在美国专利第7,376,716号中描述了一个这样的缓存层级子系统,该专利的公开内容通过引用并入本文。
CDN可以提供各种技术和技巧来加速在一侧的边缘服务器与另一侧的客户源服务器之间的流量流动。这些技术为许多不同类型的交互(例如,动态内容的传递、边缘服务器与后端源基础设施的交互等)提供加速。代表性的示例包括但不限于美国专利第8,194,438号(覆盖路径选择优化)和美国专利第8,477,837号(内容预取)中描述的技术。也可以实现其他IP、TCP、UDP或应用层优化,以促使这种加速。这些技术在本文有时被称为“覆盖网络优化”。
CDN可以以在美国公布第20040093419号中描述的方式在客户端浏览器、边缘服务器和客户源服务器之间提供安全的内容分发。如本文所述,安全的内容分发一方面在客户端和边缘服务器过程之间执行基于SSL的链接以及另一方面在边缘服务器过程和源服务器过程之间执行基于SSL的链接。这使得SSL保护的网页和/或其部件能够经由边缘服务器传递。
作为覆盖层,CDN资源可用于促进在企业数据中心(其可能是私有管理的)和第三方软件即服务(SaaS)提供商之间的广域网(WAN)加速服务。
在典型的操作中,内容提供商识别其期望由CDN服务的内容提供商域或子域。CDN服务提供商(例如,经由规范名称或CNAME)将内容提供商域与边缘网络(CDN)主机名相关联,并且CDN提供商然后将该边缘网络主机名提供给内容提供商。当在内容提供商的域名服务器处收到对内容提供商域或子域的DNS查询时,这些服务器通过返回边缘网络主机名来进行响应。边缘网络主机名指向CDN,然后通过CDN名称服务解析该边缘网络主机名。为此,CDN名称服务返回一个或更多个IP地址。然后,进行请求的客户端浏览器向与IP地址相关联的边缘服务器进行内容请求(例如,经由HTTP或HTTPS)。请求包括含原始内容提供商域或子域的主机头部。在接收到具有主机头部的请求时,边缘服务器检查其配置文件以确定所请求的内容域或子域是否实际上正由CDN处理。如果是这样,边缘服务器如其配置中所指定的应用其关于该域或子域的内容处理规则和指令。这些内容处理规则和指令可能位于基于XML的“元数据”配置文件中。
优选地,每个上述过程在计算机软件中被实现为在一个或更多个处理器中可执行的一组程序指令,作为专用机器。
在其上提供本文中的主题的代表性机器可以是运行Linux或Linux变型操作系统的基于Intel Pentium的计算机以及执行所述功能的一个或更多个应用。上述过程中的一个或更多个被实现为计算机程序,即作为一组计算机指令,用于执行所描述的功能。
虽然上面描述了由本发明的某些实施例执行的操作的特定顺序,但是应当理解,这种顺序是示例性的,而可选实施例可以以不同的顺序执行操作,组合某些操作,重叠某些操作等。本说明书中对给定实施例的参考指示所描述的实施例可包括特定特征、结构或特性,但是每个实施例可以不必包括该特定特征、结构或特性。
虽然已经在方法或过程的上下文中描述了所公开的主题,但主题还涉及用于执行本文操作的装置。该装置可以是出于需要的目的而被特定地构造的特定机器,或者其可以包括由存储在计算机中的计算机程序以其他方式选择性地激活或重新配置的通用计算机。这样的计算机程序可以被存储在计算机可读存储介质中,诸如但不限于,包括光盘、CD-ROM以及磁光盘的任何类型的盘、只读存储器(ROM)、随机存取寄存器(RAM)、磁性或光学卡或者适于存储电子指令且均耦合至计算机系统总线的任意类型的介质。功能可以建立在服务器代码中,并且其可以作为该代码的附件被执行。实现本文中的技术的机器包括处理器、保存指令的计算机存储器,该指令由处理器执行以执行上述方法。
虽然已经分别描述了系统的给定部件,但是普通技术人员将认识到,一些功能可以在给定的指令、程序序列、代码部分等中组合或共享。
优选地,功能在应用层解决方案中实现,然而这不是限制,因为所识别的功能的部分可以内置到操作系统等中。
功能可以利用任何应用层协议或者具有类似操作特性的任何其他协议来实现。
对于可以实现连接的客户端侧或服务器侧的计算实体的类型没有限制。任何计算实体(系统、机器、设备、程序、过程、实用程序等)可以充当客户端或服务器。
虽然已经分别描述了系统的给定部件,但是普通技术人员将认识到,一些功能可以在给定的指令、程序序列、代码部分等中组合或共享。本文中所描述的任何应用或功能可通过将钩子函数(hooks)提供到另一应用中、通过促进机制作为插件(plug-in)的使用、通过链路到机制等作为本机代码来实现。
更一般地,本文描述的技术使用一起促进或提供上面描述的功能的一组一个或更多个计算相关实体(系统、机器、过程、程序、库、功能等)来提供。在典型的实现中,在其上执行软件的代表性机器包括提供给定系统或子系统的功能的商用硬件、操作系统、应用运行时环境以及一组应用或过程和相关联的数据。如所描述的,功能可以在独立的机器中或跨一组分布式的机器实现。
平台功能可以定位在同一地点,或者各个部分/部件可以作为不同的功能在一个或多个位置(通过分布式网络)分开并运行。
可以全部或部分利用的可用服务模型包括:软件即服务(SaaS)(提供商在云基础设施上运行的应用);平台即服务(PaaS)(客户将可能使用提供商工具创建的应用部署到云基础架构上);基础设施即服务(IaaS)(客户提供其自己的处理、存储、网络和其他计算资源并且可以部署并运行操作系统和应用)。云平台可以包括定位于同一地点的硬件和软件资源、或在物理上、逻辑上、虚拟地和/或地理上不同的资源。用于与平台服务进行通信的通信网络可以是基于分组的、基于非分组的、以及安全的或不安全的,或其某种组合。代表性云平台包括通常经由管理程序管理VLAN连接到物理数据中心网络的主机(例如,服务器或类似物理机器计算设备)。该环境通常还包括负载平衡器、网络数据交换机(例如柜顶交换机)、防火墙等。环境中的物理服务器各自适于使用虚拟化技术(诸如,VMWare)动态地提供一个或更多个虚拟机(VM)。多个VM可以放置在单个主机上,并共享主机的CPU、存储器和其他资源。通常,云由“云运营商”或“运营商”维护。
Claims (19)
1.一种在不信任的网络中部署设备以与提供安全企业访问的基于云的托管服务进行互操作的方法,其中所述设备具有分配的初始加密身份,所述方法包括按顺序执行的如下步骤:
利用处于未配给且未批准状态的位于所述不信任的网络内的所述设备,接收包括加密身份的证书;
在由所述基于云的托管服务验证所述加密身份与期望被部署在所述不信任的网络中的一个或更多个设备的列表相关联时,向所述设备返回所述设备被批准连接到所述托管服务的指示;
利用处于批准状态的所述设备,由所述基于云的托管服务接收包括新加密身份的新证书;
在由所述基于云的托管服务验证所述新加密身份与期望被部署在所述不信任的网络中的一个或更多个设备的列表相关联时,向所述设备提供所述设备被配置为使用所述托管服务的指示;
其中,在配置所述设备使用所述托管服务之后,除了经由所述新证书之外,阻止所述设备对所述托管服务的访问;
其中,所述证书和所述新证书由受信任的公钥基础设施签发。
2.根据权利要求1所述的方法,其中,在接收到所述设备被批准连接到所述托管服务的指示之后并且在所述设备处执行附加批准协议之后,所述新加密身份由所述设备获得。
3.根据权利要求1所述的方法,其中,所述加密身份是第一通用唯一标识符,并且其中所述新加密身份是与所述第一通用唯一标识符不同的第二通用唯一标识符。
4.根据权利要求1所述的方法,其中,通过第一加密安全通信链路从所述设备接收所述证书。
5.根据权利要求4所述的方法,其中,通过与所述第一加密安全通信链路不同的第二加密安全通信链路,从所述设备接收新证书。
6.根据权利要求1所述的方法,其中,所述初始加密身份由所述公钥基础设施通过将第一通用唯一标识符绑定到公钥生成,所述公钥具有相关联的私钥。
7.根据权利要求1所述的方法,其中,所述初始加密身份包括来自所述公钥基础设施的数字签名,所述数字签名确认所述设备被允许访问所述托管服务。
8.根据权利要求1所述的方法,还包括维护关于所述设备的信息。
9.根据权利要求8所述的方法,还包括使用所述信息管理所述设备与所述托管服务的连接性。
10.根据权利要求8所述的方法,其中,所述信息包括定义所述设备的配给状态的状态信息、标识所述设备的身份信息、与所述不信任的网络相关联的网络信息。
11.根据权利要求1所述的方法,还包括:
检测试图利用包括通用唯一标识符的证书访问所述托管服务的实体是否是被批准设备;以及
相对于尝试访问所述托管服务的所述实体采取给定行动。
12.根据权利要求11所述的方法,其中,所述给定行动是以下各项之一:批准所述实体作为所述设备的副本,终止与所述实体相关联的连接,以及阻止呈现所述通用唯一标识符的任何实体的所有实例。
13.根据权利要求1所述的方法,其中,所述托管服务与内容分发网络相关联。
14.根据权利要求1所述的方法,其中,所述设备是虚拟机。
15.根据权利要求2所述的方法,其中,所述附加批准协议以手动执行或者以自动或编程方式执行。
16.根据权利要求1所述的方法,其中,所述新加密身份具有仅对所述设备本地可用的相关联的私钥。
17.根据权利要求1所述的方法,还包括从所述托管服务建立到所述设备的相互认证的安全传输层连接。
18.根据权利要求1所述的方法,其中,所述公钥基础设施与所述托管服务相关联。
19.一种在不信任的网络中部署设备以与提供安全企业访问的基于云的托管服务进行互操作的方法,其中所述设备具有分配的初始加密身份,所述方法包括如下步骤:
利用处于未配给且未批准状态的所述设备,接收包括加密身份的证书;
在验证所述加密身份与期望被部署在所述不信任的网络中的一个或更多个设备的列表相关联时,向所述设备返回所述设备被批准连接到所述托管服务的指示;
利用处于批准状态的所述设备,接收包括新加密身份的新证书;
在验证所述新加密身份与期望被部署在所述不信任的网络中的一个或更多个设备的列表相关联时,向所述设备提供所述设备被配置为使用所述托管服务的指示;
其中,在配置所述设备使用所述托管服务之后,除了经由所述新证书之外,阻止所述设备对所述托管服务的访问;以及
除了通过预定的互联网协议(IP)地址范围以外,限制通过呈现所述新证书的所述设备对所述托管服务的访问。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562260035P | 2015-11-25 | 2015-11-25 | |
US62/260,035 | 2015-11-25 | ||
PCT/US2016/063561 WO2017091709A1 (en) | 2015-11-25 | 2016-11-23 | Uniquely identifying and securely communicating with an appliance in an uncontrolled network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108293049A CN108293049A (zh) | 2018-07-17 |
CN108293049B true CN108293049B (zh) | 2022-03-18 |
Family
ID=62819306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680069105.XA Active CN108293049B (zh) | 2015-11-25 | 2016-11-23 | 在不受控制的网络中对设备的唯一识别及与其进行安全通信 |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP3381171B1 (zh) |
CN (1) | CN108293049B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3722951A1 (en) * | 2019-04-08 | 2020-10-14 | Schneider Electric Industries SAS | Service deployment in a cluster of i/o devices |
US11075803B1 (en) * | 2020-06-02 | 2021-07-27 | Cisco Technology, Inc. | Staging configuration changes with deployment freeze options |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277181A (zh) * | 2008-05-04 | 2008-10-01 | 福州大学 | 一种流媒体数字权限管理的动态多层加密方法 |
CN103139267A (zh) * | 2011-12-01 | 2013-06-05 | 上海博腾信息科技有限公司 | 云计算管理系统 |
CN104935583A (zh) * | 2015-05-29 | 2015-09-23 | 四川长虹电器股份有限公司 | 一种云端服务平台、信息处理方法及数据处理系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE60313445T2 (de) * | 2003-06-26 | 2008-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang |
US8566911B2 (en) * | 2010-10-06 | 2013-10-22 | Blackberry Limited | Method of obtaining authorization for accessing a service |
US8910295B2 (en) * | 2010-11-30 | 2014-12-09 | Comcast Cable Communications, Llc | Secure content access authorization |
US9027087B2 (en) * | 2013-03-14 | 2015-05-05 | Rackspace Us, Inc. | Method and system for identity-based authentication of virtual machines |
-
2016
- 2016-11-23 CN CN201680069105.XA patent/CN108293049B/zh active Active
- 2016-11-23 EP EP16869258.0A patent/EP3381171B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277181A (zh) * | 2008-05-04 | 2008-10-01 | 福州大学 | 一种流媒体数字权限管理的动态多层加密方法 |
CN103139267A (zh) * | 2011-12-01 | 2013-06-05 | 上海博腾信息科技有限公司 | 云计算管理系统 |
CN104935583A (zh) * | 2015-05-29 | 2015-09-23 | 四川长虹电器股份有限公司 | 一种云端服务平台、信息处理方法及数据处理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108293049A (zh) | 2018-07-17 |
EP3381171A1 (en) | 2018-10-03 |
EP3381171A4 (en) | 2019-05-15 |
EP3381171B1 (en) | 2021-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11588648B2 (en) | Uniquely identifying and securely communicating with an appliance in an uncontrolled network | |
US10931452B2 (en) | Providing single sign-on (SSO) in disjoint networks with non-overlapping authentication protocols | |
JP6957764B2 (ja) | 高速スマートカードログオン | |
US10826905B2 (en) | Secure access to on-premises web services from multi-tenant cloud services | |
US9531753B2 (en) | Protected application stack and method and system of utilizing | |
US11818279B2 (en) | Certificate authority (CA) security model in an overlay network supporting a branch appliance | |
US8831011B1 (en) | Point to multi-point connections | |
US11444925B1 (en) | Secure access to a corporate application in an SSH session using a transparent SSH proxy | |
US11888871B2 (en) | Man-in-the-middle (MITM) checkpoint in a cloud database service environment | |
JP2022533891A (ja) | レガシー仮想配信アプライアンスとともに使用するための接続リーシングシステムおよび関連方法 | |
JP2022533520A (ja) | 接続リース交換および相互信頼プロトコルを提供するコンピューティングシステムおよび関連の方法 | |
CN108293049B (zh) | 在不受控制的网络中对设备的唯一识别及与其进行安全通信 | |
EP3501156B1 (en) | Providing single sign-on (sso) in disjoint networks with non-overlapping authentication protocols | |
US20220021532A1 (en) | Tracking Tainted Connection Agents | |
US11757839B2 (en) | Virtual private network application platform | |
Rajendran | Security analysis of a software defined wide area network solution | |
Moreno Martín | Security in cloud computing | |
Puente | Proxy Bypassing with a SSL VPN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |