本文描述了用于保護用于在兩個端點之間通信的數據連接的安全性的方法和系統。所述端點中的一個可以是服務器，而所述端點中的另一個可以是想要與所述服務器通信的客戶端。可以基于先前建立的安全連接和/或自簽名或自簽發證書來保護所述數據連接的安全性。在一些變型中，通過使用所述先前建立的安全連接和/或自簽名或自簽發證書，可以在不使用第三方認證服務且不需要第三方CA為所述服務器簽發證書的情況下進行所述服務器與所述客戶端之間的所述安全通信。

交叉引用

本申請要求2017年9月5日提交的標題為“保護用于在兩個端點之間通信的數據連接的安全性”的美國非臨時專利申請序列號15/695793的優先權，所述美國非臨時專利申請特此以引用方式全文并入。

技術領域

本文所描述的各方面通常涉及保護兩個端點之間的數據連接的安全性。本文描述的其它方面通常涉及保護用于虛擬計算環境的數據連接的安全性。

背景技術

數據通信的安全性是現代計算系統中的重要考慮因素。如果數據通信不安全，那么惡意實體可能能夠以惡意方式攔截和使用所包含的數據。保護數據通信安全的一種方式包含數據加密。但是，某些加密方案允許惡意實體確定正在使用的加密密鑰，并對使用所述密鑰加密的任何攔截的數據通信進行解密。例如，如果一個端點將用于加密數據通信的公共加密密鑰傳達給另一端點，那么使用中間人攻擊的惡意實體可以攔截所述公共加密密鑰的發射。此后，惡意實體可以攔截數據通信；替換其公共加密密鑰；操縱未加密的數據(例如，注入某一惡意代碼)；使用公共加密密鑰對操縱的數據進行重新加密；以及將重新加密的數據發送到其目標端點。兩個端點可能都不知道惡意實體執行了此過程。

還有其它更安全的方法來保護數據發射，并且其中一些方法可以防止上述中間人攻擊。例如，兩個端點都信任的受信任的第三方可以用來證明公鑰的真實性。一個常見的受信任的第三方是證書頒發機構(CA)，其簽發用于保護數字通信安全的數字證書。兩個端點都可以依賴于CA來建立數字證書的真實性。在客戶端-服務器模型中，CA向服務器簽發數字證書，且客戶端使用數字證書來保護與服務器的連接的安全性。使用數字證書來保護連接安全的一種常見協議是傳輸層安全性(TLS)協議。

但是，使用數字證書并非沒有缺點。例如，虛擬服務器具有許多特性，與硬件服務器副本相比，這些特性使數字證書的管理更加困難且成本更高。實際上，CA可以簽發證書以在服務器的使用壽命內使用。這對于常規的硬件服務器來說效果很好，所述服務器的使用壽命可能長達數周或數年。但是，虛擬服務器的使用壽命可能長達數小時或更短。因此，對于虛擬服務器，簽發的數字證書的使用窗口要短得多。常規硬件服務器還可以具有本地安全位置，以用于存儲與數字證書結合使用的私鑰。但是，虛擬服務器可能沒有用于存儲其私鑰的本地安全位置。因此，虛擬服務器的整體安全性降低了。在大型服務器環境中，硬件服務器的數量通常可以以約數百為單位進行度量。但是，對于大型虛擬服務器環境，可以有數千個虛擬服務器。因此，需要管理和/或支付的證書的絕對數量要大得多。

發明內容

下文呈現了本文所描述的各方面的簡化概述。此概述并非廣泛綜述，且并不打算標識所需或關鍵要素或劃定權利要求書的范圍。以下概述僅按簡化形式提出一些概念，作為對以下提供的更詳細描述的介紹性序言。

為了克服上述限制，并克服在閱讀和理解本公開后將顯而易見的其它限制，本文描述的各方面旨在保護用于在兩個端點之間通信的數據連接的安全性。本文描述的其它方面通常涉及保護用于虛擬計算環境的數據連接的安全性。在一些方面中，可以通過使用先前建立的安全性機制(包含例如一個或多個安全連接、一個或多個安全信道，或一個或多個安全消息)與客戶端裝置通信來確保服務器與客戶端裝置之間的數據連接的安全性。在某些變型中，這些先前建立的安全連接、信道或消息的完整性可受保護。本文所述的其它方面通常涉及使用自簽名或自簽發證書來保護與服務器的數據連接的安全性。