针对跨网络周边防火墙的设备使能零接触引导制造技术

一种方法包括通过从网络设备向云服务器发送传输协议(例如，HTTP)消息体中的TLS记录来在网络设备和云服务器之间建立应用层传输层安全(ATLS)连接，该ATLS连接经过至少一个传输层安全(TLS)代理设备；经由ATLS连接从云服务器接收认证机构的标识符；建立与跟该标识符相关联的认证机构的连接并进而从认证机构接收用于访问不同于云服务器和认证机构的应用服务的证书；以及使用从认证机构接收到的证书来连接到应用服务。

Enable zero touch guidance for devices across network perimeter firewalls

【技术实现步骤摘要】
【国外来华专利技术】针对跨网络周边防火墙的设备使能零接触引导相关申请交叉引用本申请要求于2017年11月10日提交的美国临时申请No.62/584,168的权益，其通过引用整体并入本文。
本公开涉及网络安全。
技术介绍
在安全网络上以安全的方式配设和引导(bootstrap)设备可能是困难、耗时、昂贵和/或复杂的过程。存在许多不同类型的设备，例如协作端点(例如，视频端点和因特网协议(IP)电话)，以及依赖于云服务来简化引导和持续管理的更通用的物联网(IoT)设备。当这些设备引导时，它们不信任本地网络；替代地，它们尝试通过传输安全协议(例如，传输层安全(TLS)协议)直接与公知的云服务建立安全连接。不幸的是，安全网络可能部署了TLS拦截代理防火墙。当设备尝试联系本地域以外的可信云服务时，这些代理防火墙将自己插入作为所谓的中间人(MITM)。由于设备可能不信任TLS拦截代理，因此设备可能被阻止建立到云服务的安全连接，因此无法成功引导。此外，拦截代理不仅可能被广泛地部署，而且可能不频繁地更新。它们的存在、以及在它们存在的情况下建立安全连接本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n通过从网络设备向云服务器发送传输协议消息体中的传输层安全(TLS)记录来建立所述网络设备与所述云服务器之间的应用层传输层安全(ATLS)连接，所述ATLS连接经过至少一个TLS代理设备；/n经由所述ATLS连接从所述云服务器接收认证机构的标识符；/n建立与跟所述标识符相关联的所述认证机构的连接，并进而从所述认证机构接收用于访问应用服务的证书，该应用服务不同于所述云服务器和所述认证机构；以及/n使用从所述认证机构接收到的所述证书来连接到所述应用服务。/n

【技术特征摘要】
【国外来华专利技术】20171110 US 62/584,168;20180405 US 15/946,0031.一种方法，包括：
通过从网络设备向云服务器发送传输协议消息体中的传输层安全(TLS)记录来建立所述网络设备与所述云服务器之间的应用层传输层安全(ATLS)连接，所述ATLS连接经过至少一个TLS代理设备；
经由所述ATLS连接从所述云服务器接收认证机构的标识符；
建立与跟所述标识符相关联的所述认证机构的连接，并进而从所述认证机构接收用于访问应用服务的证书，该应用服务不同于所述云服务器和所述认证机构；以及
使用从所述认证机构接收到的所述证书来连接到所述应用服务。


2.根据权利要求1所述的方法，还包括：由所述网络设备向所述云服务器发送所述网络设备的唯一标识符。


3.根据权利要求2所述的方法，其中，所述唯一标识符包括所述网络设备的初始安全设备标识符(IDevID)或制造商安装的证书(MIC)。


4.根据权利要求1至3中任一项所述的方法，其中，所述证书包括所述网络设备的本地有效设备标识符(LDevID)或本地有效证书(LSC)。


5.根据权利要求4所述的方法，还包括：使用所述LDevID或LSC来建立与本地域应用服务的连接。


6.根据权利要求1至5中任一项所述的方法，其中，所述网络设备与所述云服务器之间的所述ATLS连接被实例化为基于传输控制协议(TCP)的超文本传输协议(HTTP)上的ATLS。


7.根据权利要求1至5中任一项所述的方法，其中，所述网络设备与所述云服务器之间的所述ATLS连接被实例化为基于TLS的HTTP上的ATLS。


8.根据权利要求1至7中任一项所述的方法，还包括：通过从所述网络设备向所述云服务器发送超文本传输协议(HTTP)消息体中的传输层安全(TLS)记录来建立所述网络设备与另一云服务器之间的另一应用层传输层安全(ATLS)连接，所述另一ATLS连接经过至少一个TLS代理设备；以及
经由所述另一ATLS连接从所述另一云服务器接收另一认证机构的另一标识符。


9.根据权利要求1至8中任一项所述的方法，其中，所述至少一个TLS代理设备包括TLS终止负载平衡器。


10.根据权利要求1至9中任一项所述的方法，其中，所述至少一个传输层安全(TLS)代理设备包括TLS拦截中间盒。


11.一种设备，包括：
接口单元，被配置为使能网络通信；
存储器；以及
一个或多个处理器，耦合到所述接口单元和所述存储器，并被配置为进行以下操作：
通过从所述设备向云服务器发送传输协议消息体中的传输层安全(TLS)记录来建立所述设备与所述云服务器之间的应用层传输层安全(ATLS)连接，所述ATLS连接经过至少一个TLS代理设备；
经由所述ATLS连接从所述云服务器接收认证机构的标识符；
建立与跟所述标识符相关联的所述认证机构的连接，进而从所述认证机构接收用于访问应用服务的证书，该应用服务不同于所述云服务器和所述认证机构；以及
使用从所述认...

【专利技术属性】
技术研发人员：欧文·布伦丹·弗里尔，马克斯·普林蒂肯，卡伦·詹宁斯，理查德·李·巴恩斯二世，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US