【技术实现步骤摘要】
本公开涉及对计算机化网络中的主机(host)的访问。更特定方面涉及监测与主机的通信以及针对访问和通信使用认证器。
技术介绍
1、计算机化网络系统通常包括各种计算装置和使得能够在这些装置之间传送数据的其它设备。物理计算装置常常被称作主机。主机也可以是虚拟计算装置或容器,诸如物理计算装置内的linuxtm容器或等同物。各个主机可以包括或者与一个或更多个用户账户、进程和/或文件关联。
2、用户可借助于被配置用于在计算机化网络系统中通信的用户装置来访问主机。要访问的主机有时被称为目标主机。由于各种原因用户可能希望访问计算机化网络中的主机。例如,主机可提供各式各样的服务并且/或者存储用户可能希望使用的文件或其它内容。可配置用于访问计算机化网络系统中的主机和其它实体的各种配置。这些的非限制性示例包括基于web的访问、基于安全协议(例如,安全外壳协议;ssh)的访问、文件传送访问、远程过程调用访问和/或软件升级访问。这种访问可以被例如终端用户、通过自动化和/或被系统管理员使用。
3、数据通信、对主机的访问、用户装置和主机它本身可能易受到未授权方的攻击。因此安全考虑事项是重要的。例如,诸如企业、政府或市政组织或非盈利组织的组织以及个人用户通常希望控制他们的计算机系统及存储在其中的数据如何可被访问和使用。
4、已经建议了用于增强数据安全的各种解决方案。这些中的一些基于密钥的使用。密钥可被例如用于在装置之间传送的数据的加密和/或存储的数据的加密。除密码学之外,密钥也被用于认证和授权功能、数字签名等。公钥和私密密钥
5、密钥和证书在计算机网络系统中被广泛用于增强安全。这种广泛的使用可导致问题。例如,大量的证书可以用在任何组织和/或计算机化系统中。这些中的一些可在没有任何人意识到的情况下/在没有被考虑的情况下用在系统中。特定问题可以是因尚未设定期满或者仅在很长一段时间之后期满的证书而导致的。另外,证书可能已被颁发给其访问权限已期满的用户,例如前雇员或分包商。只要证书存在并且尚未被撤回,它就可被用于访问主机。此外,一旦响应于对主机的访问请求建立了连接,它就可以在很长一段时间内甚至可以无期限地保持打开。
6、可以对系统进行扫描以清除任何旧的和/或未使用的和/或以其它方式怀疑的证书和/或密钥以及旧的打开的连接。但是,扫描可花费相当长的一段时间并且/或者也可以遗漏不应该在使用中的内容。
7、管理证书、其它认证器和安全特征及旧连接在许多物理实体可以给用户提供对主机的访问的虚拟化环境和云计算中可以变得更成问题。例如,可以为通过云中的不同物理实体或主机在不同会话中访问服务的用户提供服务,从而导致在许多位置中使用证书和/或密钥。此外,不同类型的主机可能需要对于访问使用不同的认证器。用户可能不知道这个,例如他/她是否正在尝试访问传统(legacy)或云类型主机。这对于管理密钥和证书的使用以及一般而言对主机的访问来说可构成相当大的挑战。
8、注意,以上讨论的问题不限于任何特定通信协议和数据处理设备,而是可以在使用诸如证书的认证器用于增强数据安全的任何计算机化系统中发生。
9、本专利技术的实施方式目的旨在解决以上问题中的一个或更多个。
技术实现思路
1、根据一个方面提供了一种用于在主机与能够访问所述主机的装置之间的计算机化网络中提供安全功能的中间装置,该中间装置包括:接口设备,该接口设备被配置用于主机和请求访问所述主机的装置通信,使得所述中间装置在所述主机与所述装置之间提供中间节点;以及控制设备,该控制设备连接到所述接口设备并且包括至少一个处理器和存储指令的存储器,所述指令当被执行时,使该控制设备处理来自装置的对主机的访问请求,从安全装置获得在所请求的访问中使用的至少一个认证器,并且监测使用所述至少一个认证器的通信。
2、根据另一方面提供了一种用于由在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置来提供安全功能的方法,该方法包括:在所述中间装置处从装置接收对主机的访问请求;由所述中间装置获得在所请求的对所述主机的访问中使用的至少一个认证器;以及由所述中间装置监测使用所述至少一个认证器的通信。
3、根据又一方面提供了一种包括程序代码的非暂时性计算机可读介质,所述程序代码用于使处理器执行在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置处实现的安全方法的指令,由所述中间装置执行的所述安全方法包括:从装置接收对主机的访问请求;获得在所请求的对所述主机的访问中使用的至少一个认证器;以及监测使用所述至少一个认证器的通信。
4、根据一更特定形式所述认证器可以包括证书。所述控制设备可被配置为从证书机构(ca)请求所述证书。
5、中间装置的控制设备可以包括认证组件,该认证组件被配置为在向所述安全装置发送对认证器的请求之前,针对对主机的访问请求进行认证。
6、中间装置可以还被配置为:对来自所述装置的所述访问请求进行接收和认证,其中所述访问请求包含在所述访问请求的所述认证中使用的至少一个第二认证器;在所述访问请求已基于所述至少一个第二认证器被认证之后,从所述安全装置请求并接收所述至少一个认证器;以及基于来自所述安全装置的所述至少一个认证器来处理所述装置与所述主机之间的通信。
7、可以基于针对所述至少一个认证器的使用的至少一个条件来监测通信。可以独立于所述安全装置来设定针对所述至少一个认证器的使用的至少一个条件。所述控制设备可以被配置为从所述安全装置接收针对所述至少一个认证器的使用的至少一个条件的信息。
8、所述条件可包括认证器的有效期。可将所述有效期设定为比用于从所述装置接收到的所述访问请求的认证的第二认证器的有效期短。
9、可监测所述认证器的有效期的期满,该有效期比以下项中的至少一个短:从所述安全装置接收到的所述认证器的有效期、用于从所述装置接收到的所述访问请求的认证的第二认证器的有效期、与所述主机关联地定义的最大会话长度以及与所述装置关联地定义的最大会话长度。
<本文档来自技高网...【技术保护点】
1.一种用于混合计算机网络环境的设备,所述混合计算机网络环境包括第一类型的主机和第二类型的主机,所述设备包括至少一个处理器和存储器,所述存储器存储有指令,所述指令在被执行时使所述设备适于接收对主机的访问请求,并获得用于访问所述主机的认证器,其中,所述第一类型的主机包括传统主机,所述第二类型的主机包括云主机,并且所述设备被配置为响应于对主机的访问请求,
2.根据权利要求1所述的设备,所述设备还被配置为:根据所确定的所述主机的类型选择性地向所述安全装置请求认证器。
3.根据权利要求1或2所述的设备,所述设备还被配置为:根据所确定的所述主机的类型来确定是否使用从所述安全装置接收的至少一个认证器。
4.根据权利要求1所述的设备,所述设备还被配置为:向所述证书机构CA请求所述证书,所述CA在所述设备外部。
5.根据权利要求1所述的设备,所述设备还包括认证组件,所述认证组件被配置为在确定所述主机的类型之前针对对所述主机的所述访问请求进行认证。
6.根据权利要求1所述的设备,所述设备包括至少一个接口,所述至少一个接口使得能与所述安全装
7.根据权利要求6所述的设备,所述设备包括:
8.一种用于混合计算机网络环境的方法,所述混合计算机网络环境包括第一类型的主机和第二类型的主机,所述方法由设备执行,并且所述方法包括以下步骤:
9.根据权利要求8所述的方法,所述方法包括以下步骤:根据所确定的所述主机的类型,选择性地向所述安全装置请求认证器。
10.根据权利要求8或9所述的方法,所述方法包括以下步骤:
11.根据权利要求8或9所述的方法,所述方法包括以下步骤:
12.根据权利要求8或9所述的方法,所述方法包括以下步骤:向所述证书机构CA请求所述证书,所述CA在所述设备外部。
13.根据权利要求12所述的方法,所述方法包括以下步骤:在向所述证书机构请求所述证书之前,验证对所述主机的所述访问请求。
14.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质包括程序代码,所述程序代码当在处理器设备上运行时执行根据权利要求8至13中任一项所述的方法。
...【技术特征摘要】
1.一种用于混合计算机网络环境的设备,所述混合计算机网络环境包括第一类型的主机和第二类型的主机,所述设备包括至少一个处理器和存储器,所述存储器存储有指令,所述指令在被执行时使所述设备适于接收对主机的访问请求,并获得用于访问所述主机的认证器,其中,所述第一类型的主机包括传统主机,所述第二类型的主机包括云主机,并且所述设备被配置为响应于对主机的访问请求,
2.根据权利要求1所述的设备,所述设备还被配置为:根据所确定的所述主机的类型选择性地向所述安全装置请求认证器。
3.根据权利要求1或2所述的设备,所述设备还被配置为:根据所确定的所述主机的类型来确定是否使用从所述安全装置接收的至少一个认证器。
4.根据权利要求1所述的设备,所述设备还被配置为:向所述证书机构ca请求所述证书,所述ca在所述设备外部。
5.根据权利要求1所述的设备,所述设备还包括认证组件,所述认证组件被配置为在确定所述主机的类型之前针对对所述主机的所述访问请求进行认证。
6.根据权利要求1所述的设备,所述设备包括至少一个接口,所述至少一个接口使得能与所述安全装置、主机以及请求...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。