CN111164568A - 经由受信代理共享安全连接上下文 - Google Patents
经由受信代理共享安全连接上下文 Download PDFInfo
- Publication number
- CN111164568A CN111164568A CN201780094434.4A CN201780094434A CN111164568A CN 111164568 A CN111164568 A CN 111164568A CN 201780094434 A CN201780094434 A CN 201780094434A CN 111164568 A CN111164568 A CN 111164568A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- machine instance
- node
- certificate
- computer program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
各种通信系统可以受益于信息的安全共享。例如,各种无线通信系统可以受益于经由受信代理共享安全连接上下文。一种方法可以包括由虚拟机实例生成私钥。该方法还可以包括由虚拟机实例生成证书签名请求。证书签名请求可以包括虚拟机实例的通用唯一标识符。该方法还可以包括向证书签名机构发送该证书签名请求。
Description
背景技术
各种通信系统可以受益于信息的安全共享。例如,各种无线通信系统可以受益于经由受信代理对安全连接上下文的共享。
技术领域
X.509证书是用于加密、签名和认证传输、文件及其他数据的高安全性凭证。X.509证书启用安全的SSL/TLS通道,并且对SSL/TLS服务器(有时候还有客户端)进行认证。
在电信中使用的硬件(其中跨网络的安全连接是主要功能)通常包含唯一电子ID(EID)、私钥和公共证书(X.509),在工厂处制造时它们被闪存(flashed)在硬件中。这些私钥和公共证书可以是自签名的(第三方),或由根证书颁发机构(CA)签名。
虚拟机和虚拟存储装置不是在工厂中被制造,而是在主机云硬件上被动态创建的。这些虚拟机没有唯一的硬件标识符(ID)。在虚拟机中不可能具有出厂安装的(闪存的)私钥和/或证书。由于s/w可以被复制,因此嵌入的私钥和/或证书可以被复制,因此不能被用于唯一地标识虚拟机。
图1示出了多节点系统。如图1中所示,节点-1是由供应方-1制造的受信云主机硬件。作为主机硬件制造的一部分,节点-1被闪镀有由供应方-1CA(V1-CA)签名的私钥V1 PK1和公共证书V1-PC1。该硬件运行管理程序,该管理程序实例化虚拟机,即节点-2。
节点-2是被实例化并且在节点-1上运行的虚拟机(VM)。VM内部运行的应用由供应方-2提供。供应方-2通常不同于供应方-1。应用需要与节点3建立安全连接,该节点3是服务器。为了建立安全连接,应用需要访问供应方-3根CA(V3-CA)和由V3-CA签名的公共证书。服务器(节点-3)仅允许经由供应方-3(V3-CA)签名和发放的公共证书与对等方/客户端的安全连接。由于在虚拟机节点-2中运行的应用没有唯一的EID,因此供应方-3无法为节点-2发放V3-CA签名的公共证书。
节点-3(服务器)是由供应方-3操作的安全服务器,其为例如节点-4a、节点-4b等安全客户端提供服务。这种服务器的示例是市民宽带无线电服务(CBRS)频谱接入系统(SAS)。请参考CBRS/WINNF文档以获得SAS的更多详细信息。供应方-3为由其根CA(V3-CA)签名的安全客户端发放私钥和公共证书,例如V3-PK4a/V3-PC4a、V3-PK4b/V3-PC4b等。
节点-4a包括硬件和软件(s/w)应用,诸如市民宽带服务设备(CBSD)+演进型节点B(eNB)。节点-4a硬件由供应方-2制造。在节点-4a上运行的安全签名软件还由供应方-2提供。作为工厂制造过程的一部分,节点-4a硬件被闪存有终端实体(EE)私钥(V2-PK4a)、EE公共证书(V2-PC4a),证书主题字段中的公共名称(CN)指定节点-4a的唯一EID。另外,供应方-1根CA(V1-CA)被预加载到节点-4a的受信机构(TA)数据库中。此外,作为制造过程的一部分,节点-4a被加载有由供应方-3发放的第二EE证书/密钥对私钥(V3-PK4a)、公共证书(V3-PC4a)和根CA(V3-CA)。节点-4a s/w可以使用V3-PK4a、V3-PC4a和V3-CA来与服务器节点-3建立安全连接。
节点-4b包括硬件和s/w应用,例如CBSD+eNB。节点-4b硬件由供应方-2制造。在节点-4b上运行的安全签名软件也由供应方-2提供。作为工厂制造过程的一部分,节点-4b硬件被闪存有终端实体(EE)私钥(V2-PK4b)、EE公共证书(V2-PC4b),CN指定节点-4b的唯一EID。另外,供应方-1根CA(V1-CA)被预加载到节点-4b的TA数据库中。此外,作为制造过程的一部分,节点-4b被加载有由供应方-3发放的第二EE证书/密钥对私钥(V3-PK4b)、公共证书(V3-PC4b)和根CA(V3-CA)。节点-4b s/w可以使用V3-PK4b、V3-PC4b和V3-CA与服务器节点-3建立安全连接。
发明内容
根据某些实施例,一种方法可以包括由虚拟机实例生成私钥。该方法还可以包括由虚拟机实例生成证书签名请求。证书签名请求可以包括虚拟机实例的通用唯一标识符。该方法还可以包括向证书签名机构发送证书签名请求。
在某些实施例中,一种方法可以包括向远程托管的虚拟机实例相互认证节点。该方法还可以包括向服务器认证节点。该方法还可以包括生成用于虚拟机实例的会话密钥。该方法可以附加地包括向服务器提供会话密钥。
根据某些实施例,一种装置可以包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码可以被配置为与至少一个处理器一起使装置至少由虚拟机实例生成私钥。至少一个存储器和计算机程序代码还可以被配置为与至少一个处理器一起使装置至少由虚拟机实例生成证书签名请求。证书签名请求可以包括虚拟机实例的通用唯一标识符。至少一个存储器和计算机程序代码还可以被配置为与至少一个处理器一起使装置至少向证书签名机构发送证书签名请求。
在某些实施例中,一种装置可以包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码可以被配置为与至少一个处理器一起使装置至少向远程托管的虚拟机实例相互认证节点。至少一个存储器和计算机程序代码还可被配置为与至少一个处理器一起使装置至少向服务器认证节点。至少一个存储器和计算机程序代码还可以被配置为与至少一个处理器一起使装置至少生成用于虚拟机实例的会话密钥。至少一个存储器和计算机程序代码可以附加地被配置为与至少一个处理器一起使装置至少向服务器提供会话密钥。
在某些实施例中,计算机程序产品可以编码用于执行过程的指令,该过程可以包括上述方法中的任何方法。
根据某些实施例,非瞬态计算机可读介质可以被编码有指令,该指令在硬件中被执行时执行过程。该过程可以包括上述方法中的任何方法。
根据某些实施例,一种装置可以包括用于由虚拟机实例生成私钥的部件。该装置还可以包括用于由虚拟机实例生成证书签名请求的部件。证书签名请求可以包括虚拟机实例的通用唯一标识符。该装置还可以包括用于向证书签名机构发送证书签名请求的部件。
在某些实施例中,一种装置可以包括用于向远程托管的虚拟机实例相互认证节点的部件。该装置还可以包括用于向服务器认证节点的部件。该装置还可以包括用于生成用于虚拟机实例的会话密钥的部件。该装置可以附加地包括用于向服务器提供会话密钥的部件。
附图说明
为了正确理解本发明,应当参考附图,在附图中:
图1示出了多节点系统。
图2示出了根据某些实施例的多节点系统。
图3示出了根据某些实施例的方法。
图4示出了根据某些实施例的另外的方法。
图5示出了根据某些实施例的系统。
图6示出了根据某些实施例的存储器。
具体实施方式
某些实施例涉及基于第三方证书的安全通信,其中安全连接的一个端点驻留在云上运行的虚拟机上。更具体地,某些实施例涉及由无线创新论坛(WINNF)指定的公民频带无线电服务(CBRS)。CBRS系统可以使用基于传输层安全性(TLS)和第三方证书的安全连接。
在图1所示的示例中,出于以下五个原因,来自供应方-2的软件应用可能需要与服务器节点-3建立安全连接,但可能无法实现。首先,供应方-1和供应方-3是两个不同的供应方,并且通常供应方不会彼此相互信任。因此,V3-PK*和V3-PC*无法被闪镀到节点-1硬件中。
其次,节点-2是在软件中执行的动态实例化虚拟机(VM)映像,并且传统上无法与唯一端点标识符(EID)绑定在一起。因此,节点-2传统上无法被预加载或安全地闪镀有V3-PK*/V3-PC*。
第三,由于缺乏唯一的EID并且缺少基于硬件的安全闪镀过程,因此供应方-3将不为节点-2VM实例发放V3-PK*/V3-PC*。
第四,由于上述第二个和第三个问题,节点-2无法使用V3-PK*和V3-PC*。第五,由于第四个问题,节点-3将无法与节点-2建立信任。因此,节点-2无法与节点-3建立安全连接。
相反,某些实施例允许在虚拟机节点2内运行的应用与服务器节点3之间建立安全连接。此外,某些实施例可以解决上述连接问题。
图2示出了根据某些实施例的多节点系统。如图2中所示,节点-1h/w可以被闪镀有由供应方-1CA(V1-CA)签名/发放的供应方-1私钥V1-PK1、公共证书V1-PC1。
此外,来自供应方-2的节点-2软件映像可以被预加载有供应方-2根证书(V2-CA)和供应方-1根CA(V1-CA)。在节点-2的实例化/协调期间,主机/管理程序节点-1可以将其公共证书V1-PC1传递给节点-2。
作为引导过程的一部分的节点2可以针对V1 CA验证V1-PC1。这样,节点-2可以与节点-1建立相互信任。在成功完成此验证后,节点-2可以生成私钥(VM-PK节点-2)和证书签名请求(CSR),其公共名称(CN)=VM实例的UUID。
节点-2可以安全地将CSR发送到虚拟机管理程序/云服务(例如,云中的元数据服务器),以发放经签名的证书。节点1可以利用V1-CA签名CSR并且发放证书(VM-PC节点-2),以及将已发放的证书发送回节点-2。
现在,节点2可以包含由节点1CA(V1-CA)签名/发放的私钥(VM-PK节点2)、证书(VM-PC节点2)。节点-2的信任CA数据库也可以包含V1-CA和V2-CA。
节点-2和节点-4a可以通过分别使用证书-密钥对(VM-PC节点2/VM-PK节点2)和(V3-PK4a/V3-PC4a)来相互认证以建立安全连接。该安全连接可以由对等节点节点-2或节点-4a发起。
接下来,节点-4a可以使用EE证书-密钥对(V3-PC4a/V3-PK4a)来与节点-3建立安全连接。一旦在节点-4a和节点-3之间建立了安全连接,节点-4a就可以代表节点-2创建随机的时限单向会话密钥(SK节点2),并且向节点-3发送该密钥。与此密钥一起,节点-4a还可以发送与节点-2有关的附加信息,诸如节点-2的通用唯一标识符(UUID),节点-2的互联网协议(IP)地址以及节点-2的公共证书(VM-PC节点2)。
一旦节点-3接收到该会话密钥和关于节点-2的信息,节点-3就可以创建随机的时限单向会话密钥(SK节点3-2),以供节点-2使用。节点-3可以将会话密钥安全地传递到节点-4a。节点-4a可以使用先前建立的安全连接来将SK节点3-2向下代理到节点-2。
此时,对等节点-3和节点-2都可以包含时限单向会话密钥,它们可以使用时限单向会话密钥来安全地相互通信和信任。由于这些会话密钥SK节点2和SK节点3-2是时限临时密钥,因此它们可以使用上述过程被周期性刷新。
图3示出了根据某些实施例的方法。如图3中所示,一种方法可以包括在310由虚拟机实例生成私钥。虚拟机实例可以对应于图2中的节点2。
如图3中所示,该方法还可以包括在320由虚拟机实例生成证书签名请求。该证书签名请求可以包括虚拟机实例的通用唯一标识符。
该方法还可以包括在330,向证书签名机构发送证书签名请求。该证书签名机构可能先前被认证到虚拟机实例。例如,该方法还可以包括在305,由虚拟机实例基于硬件主机的公共证书来认证虚拟机实例的硬件主机。硬件主机可以是用以提供上面讨论的经签名的证书的证书签名机构。此外,该硬件主机可以对应于图2中的节点1。
如图3中所示,该方法还可以包括在340,在虚拟机实例处从证书签名机构接收经签名的证书。该方法可以附加地包括在350,使用签名的证书来在虚拟机实例与远程节点之间建立安全连接。远程节点可以是例如图2中的节点4a或节点4b。然而,可以类似地使用任何其他远程节点。
如图3中所示,该方法还包括在360,经由安全连接从远程节点接收用于与服务器通信的会话密钥。该方法还可以包括在370,基于会话密钥与服务器安全地通信。服务器可以是例如图2中所示的节点3。此外,在以上讨论的所有其示例实施例和选项中,图3的方法可以与图2的多节点系统结合使用。
图4示出了根据某些实施例的方法。在上面讨论的所有其示例实施例和选项中,图4的方法可与图3的方法以及图2的多节点系统一起使用。
如图4中所示,一种方法可以包括在410,向远程托管虚拟机实例相互认证节点,这可以对应于图3中在350建立安全连接的过程的一部分。例如,节点可以是图2中的节点4a或节点4b。远程托管的虚拟机实例可以是例如图2中的节点2。
如图4中所示,该方法还可以包括在420向服务器认证节点。该方法还可以包括在430,生成用于虚拟机实例的会话密钥。该方法可以附加地包括在440,向服务器提供会话密钥。该方法还可以包括在445,与会话密钥一起发送关于虚拟机实例的附加信息。附加信息可以包括虚拟机实例的通用唯一标识符、虚拟机实例的互联网协议地址以及虚拟机实例的公共证书。该方法还可以包括在450向虚拟机实例发送会话密钥。这可以是图3中在360接收到的相同会话密钥。
图5示出了根据本发明某些实施例的系统。在一个实施例中,系统可以包括多个设备,诸如,例如至少一个主机510、至少一个远程节点520和至少一个服务器530。主机510可以对应于图2中的节点1并且可以托管一个或多个虚拟机实例,诸如图2中的节点2。远程节点520可以是与主机510分离的物理设备,但可以通过互联网连接、无线连接或一些其他通信介质被连接到主机510。远程节点520可以对应于图2中的节点4a或节点4b。服务器530可以对应于图2中的节点3。
如图5中所示,示出的设备中的每个设备可以包括至少一个处理器,分别被指示为514、524和534。至少一个存储器可以在每个设备中被提供,分别被指示为515、525和535。存储器可以包括计算机程序指令或包含其中的计算机代码。处理器514、524和534以及存储器515、525和535或其子集可以被配置为提供与图3或图4的各个框相对应的部件。处理器514、524和534可以被耦合或直接连接到存储器515、525和535。
如图5中所示,收发器516、526和536可以被提供,并且每个设备还可以包括分别示出为517、527和537的天线。例如,这些设备的其他配置可以被提供。例如,服务器530可以被配置为除了无线通信之外还用于有线通信,并且在这种情况下,天线537可以示出任何形式的通信硬件,而无需传统天线。
收发器516、526和536可以各自独立地是传输器、接收器或传输器和接收器两者,或被配置为用于传输和接收二者的单元或设备。
处理器514、524和534可以由任何计算或数据处理设备实施,诸如中央处理单元(CPU)、专用集成电路(ASIC)或类似设备。处理器可以被实现为例如单个控制器,或作为另一示例,被实现为多个控制器或处理器。在某些实施例中,作为另外的示例,处理器可以被实现为单核CPU或多核CPU。在多核CPU的情况下,各种步骤可以例如彼此并行地由不同的核执行。如上所述,在某些实施例中,处理器可以各自被耦合到ROM和RAM。
存储器515、525和535可以独立地是任何合适的存储设备,诸如非瞬态计算机可读介质。可以使用硬盘驱动器(HDD)、随机存取存储器(RAM)、闪存或其他合适的存储器。在某些实施例中,存储器515、525和535可以包括RAM和只读存储器(ROM)。存储器可以被组合在单个集成电路上作为处理器,或可以与一个或多个处理器分离。此外,在存储器中所存储的并且可以由处理器处理的计算机程序指令可以是任何适当形式的计算机程序代码,例如,以任何适当编程语言编写的编译或解释的计算机程序。
图6示出了根据某些实施例的存储器。图6的存储器可以是预记录盘610,在预记录盘610上记录有计算机程序指令620。盘610可以是例如数字通用盘(DVD)、光盘(CD)或任何其他期望的存储介质。计算机程序指令可以包括任何形式的指令,诸如编译代码、机器代码或解释代码。
参照图5,可以利用特定设备的处理器来配置存储器和计算机程序指令,以使硬件装置(诸如主机510、远程节点520和服务器530)执行本文所述的任何过程(例如,参见图3或图4)。因此,在某些实施例中,非瞬态计算机可读介质可以被编码有计算机指令,该计算机指令当在硬件中被执行时执行过程,诸如本文所述的过程中的一个过程。图6提供了可以编码有计算机指令的非瞬态计算机可读介质的示例。至少一个主机510、至少一个远程节点520和至少一个服务器530可以各自是可以保存代码并且执行代码的装置。备选地,本发明的某些实施例可以完全在硬件中被执行。
此外,尽管图5示出了包括主机510、远程节点和服务器的系统,但是本发明的实施例可以适用于其他配置以及涉及附加元件的配置。例如,可能存在未示出的其他网络元件,如图2中所示。
某些实施例可以提供各种益处和/或优点。例如,某些实施例允许在两个节点(例如,节点-3和节点-4a)之间与另一受信节点(例如,节点-2)共享已经建立的信任。各种实施例也是灵活的。例如,代替以上讨论中的节点-4a、节点-4b或网络中的任何其他此类节点可以被用于在节点-2和节点-3之间建立信任和安全连接。
此外,eNodeB可以提供为例如云Flexi Zone控制器(cFZC)和flexi区域访问点(FZ-AP)或诺基亚机身可扩展基站。cFZC可以类似于上述系统中的节点2,并且FZ-AP可以类似于节点-4a和节点-4b。可以存在连接到一个cFZC的数百个FZ-AP。cFZC可以充当域代理,并且FZ-AP将充当CBSD。本发明支持在cFZC(节点-2)和CBSD(节点-4a、节点-4b)上运行的基于云的域代理的实现。没有本发明,云FZC无法安全地连接到SAS服务器。
某些实施例可以允许在第三方主机云基础设施上的VM内运行的公民宽带无线电服务(CBRS)设备(CBSD)或CBRS域代理接入频谱接入系统(SAS)服务器。传统上,在VM内运行的CBSD或CBRS域代理无法安全地连接到SAS服务器。
此外,可能存在在第三方云上运行的VM内的应用安全地连接到安全服务器的情形,其中安全服务器必须利用其序列号唯一地标识应用。该情形也可以通过本发明的某些实施例被实现。
本领域普通技术人员将容易理解,如以上所讨论的本发明可以利用不同顺序的步骤和/或利用与所公开的配置不同的配置的硬件元件来实践。因此,尽管已经基于这些优选实施例描述了本发明,但是对于本领域技术人员而言清楚的是,在保留在本发明的精神和范围内的同时,某些修改、变型和备选构造将是显而易见的。
缩略词列表
CBRS 公民宽带无线电服务
CBSD 公民宽带无线电服务设备
SAS 频谱接入系统
cFZC 云FlexiZone控制器。
Claims (22)
1.一种方法,包括:
由虚拟机实例生成私钥;
由所述虚拟机实例生成证书签名请求,其中所述证书签名请求包括所述虚拟机实例的通用唯一标识符;以及
向证书签名机构发送所述证书签名请求。
2.根据权利要求1所述的方法,还包括:
在所述虚拟机实例处从所述证书签名机构接收经签名的证书。
3.根据权利要求2所述的方法,还包括:
使用所述经签名的证书来在所述虚拟机实例与远程节点之间建立安全连接。
4.根据权利要求3所述的方法,还包括:
经由所述安全连接从所述远程节点接收用于与服务器通信的会话密钥。
5.根据权利要求4所述的方法,还包括:
基于所述会话密钥来与所述服务器安全地通信。
6.根据权利要求1至5中任一项所述的方法,还包括:
由所述虚拟机实例基于所述虚拟机实例的硬件主机的公共证书来认证所述硬件主机。
7.根据权利要求6所述的方法,其中所述硬件主机包括用以提供所述经签名的证书的所述证书签名机构。
8.一种方法,包括:
向远程托管的虚拟机实例相互认证节点;
向服务器认证所述节点;
生成用于所述虚拟机实例的会话密钥;以及
向所述服务器提供所述会话密钥。
9.根据权利要求8所述的方法,还包括:
与所述会话密钥一起发送关于所述虚拟机实例的附加信息。
10.根据权利要求9所述的方法,其中所述附加信息包括所述虚拟机实例的通用唯一标识符、所述虚拟机实例的互联网协议地址以及所述虚拟机实例的公共证书。
11.一种装置,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码,
其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
由虚拟机实例生成私钥;
由所述虚拟机实例生成证书签名请求,其中所述证书签名请求包括所述虚拟机实例的通用唯一标识符;以及
向证书签名机构发送所述证书签名请求。
12.根据权利要求11所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少在所述虚拟机实例处从所述证书签名机构接收经签名的证书。
13.根据权利要求12所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少使用所述经签名的证书来在所述虚拟机实例与远程节点之间建立安全连接。
14.根据权利要求13所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少经由所述安全连接从所述远程节点接收用于与服务器通信的会话密钥。
15.根据权利要求14所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少基于所述会话密钥来与所述服务器安全地通信。
16.根据权利要求11至15中任一项所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少由所述虚拟机实例基于所述虚拟机实例的硬件主机的公共证书来认证所述硬件主机。
17.根据权利要求16所述的装置,其中所述硬件主机包括用以提供所述经签名的证书的所述证书签名机构。
18.一种装置,包括:
至少一个处理器;以及
至少一个存储器,所述至少一个存储器包括计算机程序代码,
其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少:
向远程托管的虚拟机实例相互认证节点;
向服务器认证所述节点;
生成用于所述虚拟机实例的会话密钥;以及
向所述服务器提供所述会话密钥。
19.根据权利要求18所述的装置,其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少与所述会话一起发送关于所述虚拟机实例的附加信息。
20.根据权利要求19所述的装置,其中所述附加信息包括所述虚拟机实例的通用唯一标识符、所述虚拟机实例的互联网协议地址以及所述虚拟机实例的公共证书。
21.一种计算机程序产品,所述计算机程序产品编码用于执行过程的指令,所述过程包括根据权利要求1至10中任一项所述的方法。
22.一种非瞬态计算机可读介质,所述非瞬态计算机可读介质被编码有指令,所述指令当在硬件中被执行时执行过程,所述过程包括根据权利要求1至10中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2017/040279 WO2019005103A1 (en) | 2017-06-30 | 2017-06-30 | SECURE CONNECTION CONTEXT SHARING THROUGH A TRUSTED AUTHORITY |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111164568A true CN111164568A (zh) | 2020-05-15 |
Family
ID=64742590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780094434.4A Withdrawn CN111164568A (zh) | 2017-06-30 | 2017-06-30 | 经由受信代理共享安全连接上下文 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200136835A1 (zh) |
| EP (1) | EP3646163A4 (zh) |
| CN (1) | CN111164568A (zh) |
| WO (1) | WO2019005103A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220271946A1 (en) * | 2021-02-19 | 2022-08-25 | At&T Intellectual Property I, L.P. | Over-the-Air CBRS Certificate Installation |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9392077B2 (en) * | 2012-10-12 | 2016-07-12 | Citrix Systems, Inc. | Coordinating a computing activity across applications and devices having multiple operation modes in an orchestration framework for connected devices |
| US10063380B2 (en) * | 2013-01-22 | 2018-08-28 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
| US9306935B2 (en) * | 2014-02-25 | 2016-04-05 | Amazon Technologies, Inc. | Provisioning digital certificates in a network environment |
| GB2530685A (en) * | 2014-04-23 | 2016-03-30 | Intralinks Inc | Systems and methods of secure data exchange |
| US10122692B2 (en) * | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
-
2017
- 2017-06-30 US US16/626,439 patent/US20200136835A1/en not_active Abandoned
- 2017-06-30 EP EP17915552.8A patent/EP3646163A4/en not_active Withdrawn
- 2017-06-30 CN CN201780094434.4A patent/CN111164568A/zh not_active Withdrawn
- 2017-06-30 WO PCT/US2017/040279 patent/WO2019005103A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP3646163A4 (en) | 2020-12-02 |
| EP3646163A1 (en) | 2020-05-06 |
| WO2019005103A1 (en) | 2019-01-03 |
| US20200136835A1 (en) | 2020-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7227919B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| CN110944330B (zh) | Mec平台部署方法及装置 | |
| JP6311196B2 (ja) | 証明書取得方法およびデバイス | |
| US20210176075A1 (en) | Cryptographic communication system and cryptographic communication method based on blockchain | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| WO2019041809A1 (zh) | 基于服务化架构的注册方法及装置 | |
| WO2018177905A1 (en) | Hybrid key exchange | |
| EP3886475A1 (en) | Enhanced hop by hop security | |
| US10411886B1 (en) | Authenticating secure channel establishment messages based on shared-secret | |
| US20190058594A1 (en) | Secure inter-service communications in a cloud computing system | |
| EP3119056B1 (en) | Machine to machine virtual private network | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| US20090185685A1 (en) | Trust session management in host-based authentication | |
| EP3220604B1 (en) | Methods for client certificate delegation and devices thereof | |
| CN110771087B (zh) | 私钥更新 | |
| CN112565236A (zh) | 信息鉴权方法、装置、计算机设备及存储介质 | |
| CN111164568A (zh) | 经由受信代理共享安全连接上下文 | |
| US11831622B2 (en) | Security for distributed networking | |
| US11139982B2 (en) | Communication-efficient device delegation | |
| US20230171241A1 (en) | Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service | |
| EP3193488B1 (en) | Verifying a certificate | |
| US11228609B1 (en) | Methods for managing HTTP requests using extended SYN cookie and devices thereof | |
| KR101730403B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
| CN114239010B (zh) | 一种多节点分布式认证方法、系统、电子设备及介质 | |
| US11283630B2 (en) | Server/server certificates exchange flow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200515 |
|
| WW01 | Invention patent application withdrawn after publication |