具有替代数字证书的网络安全制造技术

诸如网络安全设备之类的计算设备接收证书链中的一个或多个数字证书，并生成形成替代证书链的一个或多个替代数字证书。可以使用来自所接收到的证书链的对应数字证书的证书信息来生成替代证书。在一些情况下，所接收到的证书链可以具有受信任的根证书，所述受信任的根证书是所接收到的证书链的信任锚，并且所生成的替代证书链可以具有不同的受信任根证书，所述不同的受信任根证书是所述替代证书链的所述信任锚。所述证书链的加密密钥可用于建立加密保护的通信会话。所述计算设备可以利用所述证书链中包括的加密密钥来监控网络流量以对数据进行加密。可以对所述加密数据进行解密和检查，以确定是否以不正确的方式传输敏感信息。

【技术实现步骤摘要】
【国外来华专利技术】具有替代数字证书的网络安全相关申请的交叉引用本申请要求2017年2月13日提交的标题为“NETWORKSECURITYWITHSURROGATEDIGITALCERTIFICATES”的美国专利申请号15/431,496的优先权，其公开内容通过引用整体并入本文。
技术介绍
在许多背景下，计算资源和相关数据的安全性非常重要。作为示例，组织通常利用计算设备的网络来向它们的用户提供一组稳健的服务。网络通常跨越多个地理边界，且常常与其他网络连接。例如，组织可使用计算资源的内部网络和由其他组织管理的计算资源两者来支持其操作。例如，该组织的计算机可与其他组织的计算机进行通信以访问数据和/或提供数据，同时使用另一个组织的服务。在许多情况下，组织使用由其他组织管理的硬件来配置并操作远程网络，从而降低基础设施成本并实现其他优点。在具有此类计算资源配置的情况下，确保对它们所持有的资源和数据的访问安全可能具有挑战性，尤其是随着此类配置的大小和复杂性的增长。现代加密算法提供高水平的数据安全性。然而，一个组织内的用户和实体使用加密操作可能会给该组织监控网络的安全性并确保敏感信息(例如，商业秘密、社会安全号码、信用卡号码、私人医疗信息)不会以不适当的方式传输(无论是无意的还是恶意的)带来挑战。附图说明将参考附图来描述各种技术，在附图中：图1示出了可以实践各种实施方案的环境的说明性示例；图2示出了替代证书链的说明性示例；图3示出了握手过程的说明性示例；图4示出了监控网络流量的网络安全设备的说明性示例；图5示出了根据各种实施方案的数据包的说明性示例；图6示出了图示用于建立加密保护的通信会话的过程的图；图7示出了图示用于生成替代证书链的过程的图；图8示出了图示用于监控和保护网络上的敏感数据的过程的图；以及图9说明了可实现各种实施方案的环境。具体实施方式本文档描述了用于通过使用替代数字证书来防止未授权的数据导出以及确保信息安全的技术。本文档中描述的系统可用于生成、存储、分发和使用替代数字证书，替代数字证书可由一个或多个网络安全设备用于跟踪网络活动并检测敏感信息是否以不正确的方式传输。敏感信息可以包括组织的商业秘密、私人信息等。不应传输的敏感信息的示例可包括信用卡号码、社会安全号码和帐户密码。网络安全设备可以用于监控、跟踪敏感信息跨网络的传输，且响应于这种传输来执行动作。网络安全设备可以是位于组织的网络(例如，内联网)的边界处并且检查跨网络边界接收和/或传输的数据的计算机设备或模块。组织内部网络内的客户端计算机系统可以通过一个或多个网络安全设备来路由内部网络外部的网络流量网络流量。例如，位于组织内联网内的客户端计算机系统可以尝试与网络外部的服务器(例如，外部计算机系统)进行通信。来自客户端的数据可以被发送到网络安全设备，并且网络安全设备可以检查数据以确保敏感信息没有被传输到内联网外部，并且将数据转发到服务器。组织的内部网络可以具有用于路由出站流量的多个网络安全设备，并且这些设备可以被配置为彼此进行通信和/或利用共享计算资源。网络安全设备可用于生成替代证书和替代证书链。网络安全设备可以访问硬件安全模块(HSM)和/或证书高速缓存，作为生成一个或多个替代证书的一部分。替代证书链可以包括两个或更多个数字证书，其形成从终端实体证书(例如，替代服务器证书)到受信任的根授权机构(例如，替代根授权机构证书)的信任链。替代根授权机构证书可以由替代根授权机构(例如公司根授权机构)进行数字签名。组织的系统管理员可以调配客户端计算机系统和/或客户端计算机系统上的软件，以便信任替代根授权机构证书。例如，可以给客户端计算机设备的web浏览器调配包括替代根授权机构证书的受信任根证书的列表。因此，可以形成并验证从替代服务器证书到替代根授权机构证书的有效的信任链。替代证书链的一个或多个证书可以部分地从另一个证书链导出。替代证书可以具有与来自其他证书链的证书相同的各种字段信息，例如主体名称、发布者名称、到期、密钥大小、密钥类型等。客户端计算机系统和网络安全设备可以经由第一加密保护的通信会话(例如传输层安全性(TLS)会话)进行通信。作为建立第一加密保护通信会话的握手过程的一部分，客户端计算机系统可以接收替代证书链并使用包括在替代服务器证书中的主体公钥来建立加密保护的通信会话。网络安全设备和服务器可以经由第二加密保护的通信会话进行通信，使得网络安全设备接收证书链并使用包括在服务器证书中的主体公钥来建立第二加密保护的通信会话。网络安全设备可用于跟踪网络流量。网络安全设备可以接收由客户端计算机系统发送的以服务器作为预期接收者的加密数据，并且可以访问替代私钥，该替代私钥是替代服务器证书中公钥的对应私钥，公钥用于对数据进行加密。网络安全设备可以获得未加密的数据并确定数据是否包含敏感信息。例如，数据可以包括社会安全号码(例如，顾客的社会安全号码)并且可以被认为是敏感信息。在检测到数据中存在正在传输的敏感信息时，可以修改数据以便混淆或移除敏感信息。可以使用公钥对修改的数据进行加密，以传输到服务器，使用服务器证书来获得用于加密修改的数据的公钥。证书和替代证书可以封装在各种类型的数据包中，作为跨一个或多个网络传输的一部分。网络安全设备可以接收包括数据包报头的第一数据包，数据包报头包括各种字段，其中一些字段可以指出数据包的大小和/或数据有效载荷(例如，因特网报头长度(IHL)、总长度和/或因特网协议版本4(IPv4)数据包的校验和字段)和包括证书链的至少一部分的有效载荷。网络安全设备可以通过克隆所接收到的数据包(例如，使用存储器复制操作)并且用与接收到的证书或证书链大小相同的替代证书或替代证书链来替换有效载荷(例如，IPv4数据包的IP数据部分)来生成导出数据包。以这种方式，导出数据包的报头信息可以具有与接收到的数据包相同的数据报头信息。在一些情况下，替代证书链的大小可以小于所接收到的证书，并且导出的数据包可以包括填充结构，使得所接收到的数据包和所导出的数据包的有效载荷(例如，数据部分)具有相同的大小。数据包可以根据各种协议，例如因特网协议版本4(IPv4)、因特网协议版本6(IPv6)和超文本传输协议(HTTP)。更一般地，具有报头数据和/或元数据的第一数据包可以由数据联网设备结合证书和/或证书链的传输接收。具有相同报头和/或元数据的第二数据包可以由数据联网设备结合至少部分地从证书链导出的替代证书或替代证书链传输。在前面和后面的描述中，描述了各种技术。出于解释的目的，将阐述特定的配置和细节，以便提供对实施所述技术的可能方式的透彻理解。然而，还明显的是，下面所描述的技术可以在不具有特定细节的情况下以不同配置来实践。此外，可以省略或简化众所周知的特征，以避免模糊所描述的技术。图1是可以实践本公开的各种实施方案的环境100的说明性示例。在实施方案中，客户端计算机系统102和服务器104可以使用网络安全设备106进行通信(例如，经由网络)。网络安全设备106可以用作例如在客户端102与网络安全设备106之间以及在服务器104与网络安全设备106之间建立一个或多个加密保护的通信会话的一部分。客户端计算机系统102可以是使用硬件、软件或两者的组合实现的计算机系统。客户端计算机系统102可以本文档来自技高网...

【技术保护点】
1.一种系统，其包括：包括处理器的计算机系统；以及包含可执行指令的存储器，作为由所述处理器执行的结果，所述可执行指令使所述系统：接收从服务器传输到客户端的证书链，所述证书链包括：包括中间授权机构公钥和主体信息的中间证书，其中所述中间证书的有效性是能至少部分地基于所述中间证书与受信任根证书之间的第一信任链加密地验证的；以及包括终端实体公钥的终端实体证书，其中所述终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的；通过以下方式生成替代证书链：获得替代中间证书，所述替代中间证书包括替代中间授权机构公钥和与所述中间证书的所述主体信息相关联的主体信息，其中所述替代中间证书的有效性是能至少部分地基于所述替代中间证书与受信任的替代根证书之间的第二信任链加密地验证的；以及获得替代终端实体证书，所述替代终端实体证书包括替代终端实体公钥和与所述终端实体证书的所述主体信息相关联的主体信息，其中使用对应于所述替代中间授权机构公钥的替代中间授权机构私钥来对所述终端实体证书进行数字签名；以及将所述替代证书链作为所述接收到的证书链的替换物传输到所述客户端。

【技术特征摘要】
【国外来华专利技术】2017.02.13 US 15/431,4961.一种系统，其包括：包括处理器的计算机系统；以及包含可执行指令的存储器，作为由所述处理器执行的结果，所述可执行指令使所述系统：接收从服务器传输到客户端的证书链，所述证书链包括：包括中间授权机构公钥和主体信息的中间证书，其中所述中间证书的有效性是能至少部分地基于所述中间证书与受信任根证书之间的第一信任链加密地验证的；以及包括终端实体公钥的终端实体证书，其中所述终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的；通过以下方式生成替代证书链：获得替代中间证书，所述替代中间证书包括替代中间授权机构公钥和与所述中间证书的所述主体信息相关联的主体信息，其中所述替代中间证书的有效性是能至少部分地基于所述替代中间证书与受信任的替代根证书之间的第二信任链加密地验证的；以及获得替代终端实体证书，所述替代终端实体证书包括替代终端实体公钥和与所述终端实体证书的所述主体信息相关联的主体信息，其中使用对应于所述替代中间授权机构公钥的替代中间授权机构私钥来对所述终端实体证书进行数字签名；以及将所述替代证书链作为所述接收到的证书链的替换物传输到所述客户端。2.如权利要求1所述的系统，其中：所述计算机系统至少使用所述终端实体证书和所述证书链来与所述服务器建立第一加密保护的通信会话；以及所述计算机系统至少使用所述替代证书链和对应于所述替代终端实体公钥的替代终端实体私钥来与所述客户端建立第二加密保护的通信会话。3.如权利要求2所述的系统，其中所述存储器包含可执行指令，作为由所述处理器执行的结果，所述可执行指令还使所述系统：通过所述第二加密保护的通信会话，接收加密的消息；解密所述加密的消息；至少部分地基于所述解密的消息来检测指出所述服务器不应该接收所述解密的消息的条件的满足；修改所述解密的消息，使得所述条件不再被满足；使用所述终端实体公钥来加密所述修改的消息；以及通过所述第二加密保护的通信会话来传输所述加密的修改的消息。4.如权利要求1所述的系统，其中所述证书链和所述替代证书链具有相同的长度。5.一种计算机实现的方法，其包括：获得中间授权机构证书，所述中间授权机构证书包括中间授权机构公钥；生成替代终端实体证书，所述替代终端实体证书包括：替代终端实体公钥；与终端实体证书相关联的主体信息；与所述终端实体证书相关联的发布者信息；并且其中所述替代终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的；以及至少使所述替代终端实体证书可用于替换所述终端实体证书。6.如权利要求5所述的计算机实现的方法，其中所述中间授权机构证书的有效性能通过包括第一受信任根授权机构的信任链来加密地验证，所述第一受信任根授权机构不同于能用于确定所述终端实体证书的有效性的第二受信任根授权机构。7.如权利要求5所述的计算机实现的方法，其中所述终端实体证书的大小和所述替代终端实体证书的大小相等。8.如权利要求5所述的计算机实现的方法，其中：所述终端实体证书通过第一数据包获得，所述第一数据包包括协议类型和数据包大小；以及通过第二数据包，使所述替代终端实体证书可用，所述第二数据包包括相同的协议类型和相同的数据包大小。9.如权...

【专利技术属性】
技术研发人员：彼得·扎卡里·鲍恩，
申请(专利权)人：亚马逊技术有限公司，
类型：发明
国别省市：美国,US