【技术实现步骤摘要】
【国外来华专利技术】具有替代数字证书的网络安全相关申请的交叉引用本申请要求2017年2月13日提交的标题为“NETWORKSECURITYWITHSURROGATEDIGITALCERTIFICATES”的美国专利申请号15/431,496的优先权,其公开内容通过引用整体并入本文。
技术介绍
在许多背景下,计算资源和相关数据的安全性非常重要。作为示例,组织通常利用计算设备的网络来向它们的用户提供一组稳健的服务。网络通常跨越多个地理边界,且常常与其他网络连接。例如,组织可使用计算资源的内部网络和由其他组织管理的计算资源两者来支持其操作。例如,该组织的计算机可与其他组织的计算机进行通信以访问数据和/或提供数据,同时使用另一个组织的服务。在许多情况下,组织使用由其他组织管理的硬件来配置并操作远程网络,从而降低基础设施成本并实现其他优点。在具有此类计算资源配置的情况下,确保对它们所持有的资源和数据的访问安全可能具有挑战性,尤其是随着此类配置的大小和复杂性的增长。现代加密算法提供高水平的数据安全性。然而,一个组织内的用户和实体使用加密操作可能会给该组织监控网络的安全性并确保敏感信息(例如,商业秘密、社会安全号码、信用卡号码、私人医疗信息)不会以不适当的方式传输(无论是无意的还是恶意的)带来挑战。附图说明将参考附图来描述各种技术,在附图中:图1示出了可以实践各种实施方案的环境的说明性示例;图2示出了替代证书链的说明性示例;图3示出了握手过程的说明性示例;图4示出了监控网络流量的网络安全设备的说明性示例;图5示出了根据各种实施方案的数据包的说明性示例;图6示出了图示用于建立加密保护的通信会话的过 ...
【技术保护点】
1.一种系统,其包括:包括处理器的计算机系统;以及包含可执行指令的存储器,作为由所述处理器执行的结果,所述可执行指令使所述系统:接收从服务器传输到客户端的证书链,所述证书链包括:包括中间授权机构公钥和主体信息的中间证书,其中所述中间证书的有效性是能至少部分地基于所述中间证书与受信任根证书之间的第一信任链加密地验证的;以及包括终端实体公钥的终端实体证书,其中所述终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的;通过以下方式生成替代证书链:获得替代中间证书,所述替代中间证书包括替代中间授权机构公钥和与所述中间证书的所述主体信息相关联的主体信息,其中所述替代中间证书的有效性是能至少部分地基于所述替代中间证书与受信任的替代根证书之间的第二信任链加密地验证的;以及获得替代终端实体证书,所述替代终端实体证书包括替代终端实体公钥和与所述终端实体证书的所述主体信息相关联的主体信息,其中使用对应于所述替代中间授权机构公钥的替代中间授权机构私钥来对所述终端实体证书进行数字签名;以及将所述替代证书链作为所述接收到的证书链的替换物传输到所述客户端。
【技术特征摘要】
【国外来华专利技术】2017.02.13 US 15/431,4961.一种系统,其包括:包括处理器的计算机系统;以及包含可执行指令的存储器,作为由所述处理器执行的结果,所述可执行指令使所述系统:接收从服务器传输到客户端的证书链,所述证书链包括:包括中间授权机构公钥和主体信息的中间证书,其中所述中间证书的有效性是能至少部分地基于所述中间证书与受信任根证书之间的第一信任链加密地验证的;以及包括终端实体公钥的终端实体证书,其中所述终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的;通过以下方式生成替代证书链:获得替代中间证书,所述替代中间证书包括替代中间授权机构公钥和与所述中间证书的所述主体信息相关联的主体信息,其中所述替代中间证书的有效性是能至少部分地基于所述替代中间证书与受信任的替代根证书之间的第二信任链加密地验证的;以及获得替代终端实体证书,所述替代终端实体证书包括替代终端实体公钥和与所述终端实体证书的所述主体信息相关联的主体信息,其中使用对应于所述替代中间授权机构公钥的替代中间授权机构私钥来对所述终端实体证书进行数字签名;以及将所述替代证书链作为所述接收到的证书链的替换物传输到所述客户端。2.如权利要求1所述的系统,其中:所述计算机系统至少使用所述终端实体证书和所述证书链来与所述服务器建立第一加密保护的通信会话;以及所述计算机系统至少使用所述替代证书链和对应于所述替代终端实体公钥的替代终端实体私钥来与所述客户端建立第二加密保护的通信会话。3.如权利要求2所述的系统,其中所述存储器包含可执行指令,作为由所述处理器执行的结果,所述可执行指令还使所述系统:通过所述第二加密保护的通信会话,接收加密的消息;解密所述加密的消息;至少部分地基于所述解密的消息来检测指出所述服务器不应该接收所述解密的消息的条件的满足;修改所述解密的消息,使得所述条件不再被满足;使用所述终端实体公钥来加密所述修改的消息;以及通过所述第二加密保护的通信会话来传输所述加密的修改的消息。4.如权利要求1所述的系统,其中所述证书链和所述替代证书链具有相同的长度。5.一种计算机实现的方法,其包括:获得中间授权机构证书,所述中间授权机构证书包括中间授权机构公钥;生成替代终端实体证书,所述替代终端实体证书包括:替代终端实体公钥;与终端实体证书相关联的主体信息;与所述终端实体证书相关联的发布者信息;并且其中所述替代终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的;以及至少使所述替代终端实体证书可用于替换所述终端实体证书。6.如权利要求5所述的计算机实现的方法,其中所述中间授权机构证书的有效性能通过包括第一受信任根授权机构的信任链来加密地验证,所述第一受信任根授权机构不同于能用于确定所述终端实体证书的有效性的第二受信任根授权机构。7.如权利要求5所述的计算机实现的方法,其中所述终端实体证书的大小和所述替代终端实体证书的大小相等。8.如权利要求5所述的计算机实现的方法,其中:所述终端实体证书通过第一数据包获得,所述第一数据包包括协议类型和数据包大小;以及通过第二数据包,使所述替代终端实体证书可用,所述第二数据包包括相同的协议类型和相同的数据包大小。9.如权...
【专利技术属性】
技术研发人员:彼得·扎卡里·鲍恩,
申请(专利权)人:亚马逊技术有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。