提供了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的認(rèn)證方法、數(shù)據(jù)處理設(shè)備。公開(kāi)了用于基于由遠(yuǎn)程安全機(jī)構(gòu)為客戶(hù)端主機(jī)發(fā)布的安全憑證而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行認(rèn)證的方法和設(shè)備。響應(yīng)于檢測(cè)到客戶(hù)端主機(jī)無(wú)法從遠(yuǎn)程安全機(jī)構(gòu)獲得用于訪(fǎng)問(wèn)目標(biāo)主機(jī)的安全憑證，客戶(hù)端主機(jī)可以從應(yīng)急安全憑證儲(chǔ)存器獲得應(yīng)急安全憑證。具有錯(cuò)誤狀態(tài)指示的應(yīng)急安全憑證可以從客戶(hù)端主機(jī)發(fā)送到目標(biāo)主機(jī)以用于認(rèn)證。

技術(shù)領(lǐng)域

本公開(kāi)涉及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的認(rèn)證，更具體地涉及客戶(hù)端主機(jī)到目標(biāo)主機(jī)的認(rèn)證是基于由安全憑證機(jī)構(gòu)發(fā)布的安全憑證的設(shè)置。

背景技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使得諸如用戶(hù)設(shè)備、服務(wù)器、機(jī)器類(lèi)型裝置以及其他數(shù)據(jù)處理設(shè)備的計(jì)算裝置能夠傳送數(shù)據(jù)。物理數(shù)據(jù)處理裝置經(jīng)常被稱(chēng)為主機(jī)。主機(jī)還可以設(shè)置在虛擬化環(huán)境中，例如包括虛擬機(jī)(VM)或容器。容器的較特定示例是Linux^TM容器或等同物。

客戶(hù)端主機(jī)可能由于各種原因而需要經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)訪(fǎng)問(wèn)目標(biāo)主機(jī)。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的主機(jī)的訪(fǎng)問(wèn)可以以各種方式來(lái)配置。訪(fǎng)問(wèn)系統(tǒng)的非限制性示例包括基于網(wǎng)絡(luò)(web)的訪(fǎng)問(wèn)、基于安全協(xié)議(例如，安全外殼協(xié)議；SSH)的訪(fǎng)問(wèn)、文件傳輸訪(fǎng)問(wèn)、遠(yuǎn)程過(guò)程調(diào)用訪(fǎng)問(wèn)和/或軟件升級(jí)訪(fǎng)問(wèn)。不管訪(fǎng)問(wèn)方法如何，安全都可能變成關(guān)注點(diǎn)，并且已經(jīng)提出用于提高數(shù)據(jù)安全的各種解決方案。根據(jù)客戶(hù)端主機(jī)的解決方案，在訪(fǎng)問(wèn)客戶(hù)端主機(jī)與目標(biāo)主機(jī)之間執(zhí)行認(rèn)證過(guò)程。認(rèn)證可以基于由安全憑證機(jī)構(gòu)(通常為由信任方操作的安全服務(wù)器設(shè)備)發(fā)布的安全憑證。這種安全憑證的示例包括由證書(shū)機(jī)構(gòu)(CA)服務(wù)器發(fā)布的安全證書(shū)。

所發(fā)布的安全憑證可以被配置為僅具有有限的壽命。壽命可以較短，例如，僅長(zhǎng)至足以使得認(rèn)證過(guò)程能夠運(yùn)行其周期。壽命還可以是有限的，使得安全憑證僅可以使用一次，或者僅用于有限數(shù)量的訪(fǎng)問(wèn)。安全憑證的使用還可以以其他方式來(lái)限制。由此，客戶(hù)端主機(jī)可能需要每當(dāng)它想要訪(fǎng)問(wèn)目標(biāo)主機(jī)時(shí)或較頻繁地從安全憑證機(jī)構(gòu)請(qǐng)求新的安全憑證。

如果客戶(hù)端主機(jī)在對(duì)于訪(fǎng)問(wèn)將需要安全憑證時(shí)無(wú)法從安全憑證機(jī)構(gòu)獲得安全憑證，則會(huì)發(fā)生有問(wèn)題的情況。例如，錯(cuò)誤狀況會(huì)防止客戶(hù)端主機(jī)獲得所需憑證。常見(jiàn)的錯(cuò)誤狀況包括鏈接錯(cuò)誤和服務(wù)器故障，但存在憑證傳送結(jié)構(gòu)無(wú)法適當(dāng)工作的許多其他原因。這在需要自動(dòng)化訪(fǎng)問(wèn)的應(yīng)用中特別成問(wèn)題。這種場(chǎng)景的示例包括物聯(lián)網(wǎng)(IoT)應(yīng)用以及其他機(jī)器到機(jī)器類(lèi)型通信。

注意，上面討論的問(wèn)題不限于任何特定通信協(xié)議和數(shù)據(jù)處理設(shè)備，而是可能發(fā)生在憑證發(fā)布機(jī)構(gòu)的安全憑證用于認(rèn)證訪(fǎng)問(wèn)方的任何計(jì)算化系統(tǒng)中。

發(fā)明內(nèi)容

根據(jù)第一方面，提供了一種用于基于由遠(yuǎn)程安全機(jī)構(gòu)為客戶(hù)端主機(jī)發(fā)布的安全憑證而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行認(rèn)證的方法，方法包括以下步驟：檢測(cè)客戶(hù)端主機(jī)無(wú)法從遠(yuǎn)程安全機(jī)構(gòu)獲得用于訪(fǎng)問(wèn)目標(biāo)主機(jī)的安全憑證；響應(yīng)于所述檢測(cè)，由客戶(hù)端主機(jī)從應(yīng)急安全憑證儲(chǔ)存器獲得應(yīng)急安全憑證；以及從客戶(hù)端主機(jī)向目標(biāo)主機(jī)發(fā)送具有錯(cuò)誤狀態(tài)指示的應(yīng)急安全憑證。

根據(jù)更具體的方面，從遠(yuǎn)程安全機(jī)構(gòu)接收包括錯(cuò)誤狀態(tài)指示的應(yīng)急安全憑證，并且將所接收的應(yīng)急安全憑證存儲(chǔ)在客戶(hù)端主機(jī)處或由主機(jī)存儲(chǔ)到外部?jī)?chǔ)存器。

在從安全機(jī)構(gòu)接收應(yīng)急安全憑證時(shí)，客戶(hù)端主機(jī)可以將所接收的應(yīng)急安全憑證存儲(chǔ)在儲(chǔ)存器中，以響應(yīng)于檢測(cè)到客戶(hù)端主機(jī)無(wú)法從遠(yuǎn)程安全機(jī)構(gòu)獲得安全憑證而隨后使用。在啟動(dòng)從安全機(jī)構(gòu)獲得用于訪(fǎng)問(wèn)目標(biāo)主機(jī)的安全憑證的過(guò)程時(shí)，可以確定無(wú)法從遠(yuǎn)程安全機(jī)構(gòu)獲得安全憑證。響應(yīng)于該檢測(cè)，從儲(chǔ)存器取得所存儲(chǔ)的應(yīng)急安全憑證，以發(fā)送給目標(biāo)主機(jī)。

根據(jù)另一個(gè)方面，提供了一種用于基于由安全機(jī)構(gòu)為客戶(hù)端主機(jī)發(fā)布的安全憑證對(duì)到計(jì)算機(jī)網(wǎng)絡(luò)中的目標(biāo)主機(jī)的訪(fǎng)問(wèn)進(jìn)行認(rèn)證的方法，方法包括以下步驟：

在目標(biāo)主機(jī)處從客戶(hù)端主機(jī)接收與訪(fǎng)問(wèn)請(qǐng)求關(guān)聯(lián)的應(yīng)急安全憑證；檢測(cè)與所接收的應(yīng)急憑證關(guān)聯(lián)的錯(cuò)誤指示，該錯(cuò)誤指示表明客戶(hù)端主機(jī)無(wú)法從遠(yuǎn)程安全機(jī)構(gòu)獲得用于訪(fǎng)問(wèn)目標(biāo)主機(jī)的安全憑證；以及響應(yīng)于所述檢測(cè)，與基于應(yīng)急安全憑證處理訪(fǎng)問(wèn)請(qǐng)求關(guān)聯(lián)地執(zhí)行至少一個(gè)附加安全操作。