一种用于保护网络资源的装置和方法。提供用于保护网络资源的装置和方法,特别有关于新客户端设备的自动预备。全局PKI(公钥基础设施)方案以可以全局访问的服务器为根。单独组织的PKI的根也存在于这个服务器或另一个全局可用的资源。为了能够访问组织的网络,一个或更多认证器被部署,它们可以被与接入点或其它网络元件放置在同一处。在客户端设备使能器和认证器用在该全局PKI内签发的证书进行相互认证之后,该CDE被用于为该组织预备新的客户端设备。在该客户端被预备后,它和认证器使用在每组织PKI内签发的证书以允许该客户端访问该网络。
【技术实现步骤摘要】
本专利技术涉及计算机系统和数据安全领域。尤其是,提供用于保护网络资源免于被 未授权访问,同时允许新的客户端设备访问所述网络资源的装置和方法。
技术介绍
有效配置和操作网络计算机系统所需的知识水平可能是相当高的。大组织通常维 持相对多的IT(信息技术)员工以配置新的设备、维护现有设备、协助用户操作他们的设 备、应用安全策略、监控网络安全等。然而,一些组织,特别是那些较小的组织,不能负担足 够多的有经验的全职IT员工来进行同样的工作,而这样的组织内负责IT职责的任何人都 可能对可能出现的种种问题准备不足。例如,使组织的网络资源安全而免于未授权访问是一项关键任务,这种任务可能 容易被以不完善或不有效的方式执行。由于这个问题的复杂度,有效性的缺乏对于该组织 可能不明显,直到网络被破坏。以电子方式存储的数据量异常庞大并且每天增长,并使网络 安全性越发重要。难以使网络资源足够安全的一个原因是允许在没有不合理困难的情况下合法使 用资源的需要与阻止所有非法使用的愿望之间的矛盾。随着被部署的资源的数量和类型的 增加,这个矛盾也随之增大。每种新类型的资源可以被以不同方式配置,从而访问被许可的资源、应用所期望 的安全水平等。使组织的网络资源安全只是许多任务中的一个,而且在没有足够的IT员工 的情况下,这个任务在面对用户对实时帮助的需求的情况下受到冷遇。因此,配置和监控网 络安全必须与比如帮助用户配置其设备以便在该组织内使用等任务竞争。一些组织选择使用自动预备(provision)来准备新的设备以在它们的网络内使 用。然而,如果组织的安全策略不包含该自动预备装置和设施,以及该策略与新设备的安全 设置(security profile)的配置不配合的话,安全漏洞可能与该新设备一起被引入组织。 或者,如果该预备被以随意或者仓促的方式执行的话,安全策略可能无法被正确或完善地 应用。简而言之,新网络设备的安装或配置经常在没有恰当应用合适的安全策略的情况 下被执行,特别是如果该组织没有足够多的全职且训练良好的IT人员的话。
技术实现思路
在本专利技术的一些实施方式中,提供用于保护组织的网络资源的装置和方法,特别有关于该组织内新客户端设备的自动预备。使该资源安全而免于未授权访问同时完全支持 对所有被授权人员的访问,是基于能够实现对试图使用该资源的所有实体进行基于证书的 认证的两个协作的I3KI (公钥基础设施)方案(scheme)的使用。第一个、全局的、PKI方案以全局可用的认证服务器为根(例如,通过因特网可访 问的服务器)。网络设备、被用于验证客户端并准许对组织的网络的访问的认证器、和被用 于预备新客户端设备的客户端设备使能器(⑶E),被签发该全局PKI内的证书。完成此操作 以使网络设备、客户端设备和认证器能够在知道它们将被什么组织使用之前被预备,如果 为了操作原因需要的话。绑定于特定组织(例如,通过序列号、客户端证书)的网络设备、认证器和⑶E的 身分被记录并在该组织的认证器之间共享以帮助限制被授权人员和设备的网络访问。认证 器可以是独立(stand-alone)的网络元件,或可以被与接入点(例如,无线接入点)、交换器 (switch)或其它通信装置设在同一处(co-located)。第二个、每组织(per-organization)的、PKI方案也以认证服务器或具有高可用 性(high availability)的其它资源为根。为每个组织维护一份单独的根CA(证书授权 (Certificate Authority))。组织的认证器被签发组织子根(中间)CA证书,该子根CA证 书允许它们在该组织的πα内向新客户端设备签发客户端证书。这使得即使该根CA暂时 不可用或离线,该认证器也能够签发新证书。为了对特定组织预备新客户端设备,使用在该全局PKI下签发的证书,绑定于该 组织的⑶E与该组织的认证器之一相互认证。在成功认证后,在组织的HiI内该⑶E请求 而该认证器向该客户端设备签发新的组织客户端证书。在客户端设备被预备之后,它使用该组织证书向认证器认证它自己并访问该组织 的网络。在一些实施方式中,该客户端的证书(或其指纹)被添加到在该组织的认证器之间 共享的白名单。这个白名单可以与全局管理服务器(如果它可达并且当它可达时)共享, 或者可以经由局部装置(local means)共享。该组织的认证器和⑶E的身分(例如,证书、证书指纹、其它标识符)也可以作为 白名单被传播。这个白名单可以通过全局管理服务器(如果它可用并且当它可用时)被传 播,或者经由其它局部装置传播。丢失、被盗或者以其它方式不见的元件或设备被从它的白 名单中除去和/或被放入黑名单以阻止它被使用。在一些实施方式中,在新客户端被预备后,该预备认证器的中间CA证书(在该组 织I3KI内)以及预备CDE的客户端证书(在该全局HiI内)在使用后被替换或更新,如果 到该全局根CA的连接可用或者当该连接可用时。例如,可以改变新证书中的计数或其它区 别数据字段。通过定期更新这些证书,修正动作在认证器或CDE被丢失、被盗或被危害的情 况下可以很容易地被应用(即,适当的证书被从白名单中除去并被加入黑名单)。通过在 使用后只要有可能就翻转(roll over)⑶E客户端证书和认证器中间CA证书,在每一个下 所签发的客户端证书的数量被最小化,从而撤销它们或将它们列入黑名单的影响也被最小 化。另外,⑶E的复制也被更快地检测到。本专利技术提供一种保护组织的网络资源的方法,包含维护第一密码基础设施的根证 书;维护与所述组织相关联的第二密码基础设施的根证书;向由所述组织操作的网络内的 每个认证器签发所述第二密码基础设施内的初始中间CA证书;以及在给定认证器向新的客户端计算设备签发所述第二密码基础设施内的客户端证书后,向所述给定认证器签发替 换中间CA证书。优选地,本专利技术所述的方法进一步包含向被配置以预备所述组织网络内的客户端 计算设备的每个客户端设备使能器签发所述第一密码基础设施内的初始客户端证书。优选地,本专利技术所述的方法,进一步包含在给定的客户端设备使能器被操作以预 备客户端计算设备后,向所述给定客户端设备使能器签发所述第一密码基础设施内的替换 客户端证书。优选地,本专利技术所述的方法,进一步包含记录被授权在所述组织网络内工作的认 证器和客户端设备使能器的标识符。优选地,本专利技术所述的方法,进一步包含将所记录的标识符散播到工作在所述组 织网络中的所有认证器。优选地,本专利技术所述的方法,进一步包含记录被授权访问所述组织网络的客户端 计算设备的标识符。优选地,本专利技术所述的方法,进一步包含将所记录的标识符散播到工作在所述组 织网络中的所有认证器。优选地,本专利技术所述的方法,其中所述标识符包含被签发到所述客户端计算设备 的数字证书。优选地,本专利技术所述的方法,其中所述标识符包含被签发到所述客户端计算设备 的数字证书的指纹。优选地,本专利技术所述的方法,其中认证器被配置以在通过客户端设备使能器预备 客户端计算设备之前认证所述客户端设备使能器。优选地,本专利技术所述的方法,其中认证器被进一步配置以在所述预备之后认证所 述客户端计算设备。优选地,本专利技术所述的方法,进一步包含向工作在所述组织网络中的所有认证器 签发所述第一密码基础设施内的服务器本文档来自技高网...
【技术保护点】
一种保护组织的网络资源的方法,包含:维护第一密码基础设施的根证书;维护与所述组织相关联的第二密码基础设施的根证书;向由所述组织操作的网络内的每个认证器签发所述第二密码基础设施内的初始中间CA证书;以及在给定认证器向新的客户端计算设备签发所述第二密码基础设施内的客户端证书后,向所述给定认证器签发替换中间CA证书。
【技术特征摘要】
US 2009-10-12 12/5776841.一种保护组织的网络资源的方法,包含 维护第一密码基础设施的根证书;维护与所述组织相关联的第二密码基础设施的根证书;向由所述组织操作的网络内的每个认证器签发所述第二密码基础设施内的初始中间 CA证书;以及在给定认证器向新的客户端计算设备签发所述第二密码基础设施内的客户端证书后, 向所述给定认证器签发替换中间CA证书。2.根据权利要求1所述的方法,进一步包含向被配置以预备所述组织网络内的客户端计算设备的每个客户端设备使能器签发所 述第一密码基础设施内的初始客户端证书。3.根据权利要求2所述的方法,进一步包含在给定的客户端设备使能器被操作以预备客户端计算设备后,向所述给定客户端设备 使能器签发所述第一密码基础设施内的替换客户端证书。4.根据权利要求2所述的方法,进一步包含记录被授权在所述组织网络内工作的认证器和客户端设...
【专利技术属性】
技术研发人员:TT扩,LJ王,BC杨,SEM巴伯,DK斯梅特斯,JD阿布拉莫维奇,A佩罗,
申请(专利权)人:帕洛阿尔托研究中心公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。