访问计算机网络中的主机制造技术

访问计算机网络中的主机。安全功能由在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置来提供。所述中间装置接收针对主机的访问请求，并且获得在所请求的对所述主机的访问中使用的至少一个认证器。所述中间装置然后监测使用所述至少一个认证器的通信。

【技术实现步骤摘要】
访问计算机网络中的主机
本公开涉及对计算机化网络中的主机(host)的访问。更特定方面涉及监测与主机的通信以及针对访问和通信使用认证器。
技术介绍
计算机化网络系统通常包括各种计算装置和使得能够在这些装置之间传送数据的其它设备。物理计算装置常常被称作主机。主机也可以是虚拟计算装置或容器，诸如物理计算装置内的LinuxTM容器或等同物。各个主机可以包括或者与一个或更多个用户账户、进程和/或文件关联。用户可借助于被配置用于在计算机化网络系统中通信的用户装置来访问主机。要访问的主机有时被称为目标主机。由于各种原因用户可能希望访问计算机化网络中的主机。例如，主机可提供各式各样的服务并且/或者存储用户可能希望使用的文件或其它内容。可配置用于访问计算机化网络系统中的主机和其它实体的各种配置。这些的非限制性示例包括基于web的访问、基于安全协议(例如，安全外壳协议；SSH)的访问、文件传送访问、远程过程调用访问和/或软件升级访问。这种访问可以被例如终端用户、通过自动化和/或被系统管理员使用。数据通信、对主机的访问、用户装置和主机它本身可能易受到未授权方的攻击。因此安全考虑事项是重要的。例如，诸如企业、政府或市政组织或非盈利组织的组织以及个人用户通常希望控制他们的计算机系统及存储在其中的数据如何可被访问和使用。已经建议了用于增强数据安全的各种解决方案。这些中的一些基于密钥的使用。密钥可被例如用于在装置之间传送的数据的加密和/或存储的数据的加密。除密码学之外，密钥也被用于认证和授权功能、数字签名等。公钥和私密密钥被使用。在公钥密码学或非对称密码学中，公钥和私钥的对被使用。公钥可以被广泛传播，然而私钥仅为所有者知道。这实现认证(公钥用于验证已配对的私钥的持有者发送了消息)和加密(仅已配对的私钥的持有者可对用公钥加密的消息进行解密)。另一安全功能基于用于对密钥进行验证或者签名的证书的使用。公钥证书可用于证明公钥的所有权。公钥证书是电子文档，也被称为数字证书或身份证书，其包括关于密钥的信息、关于密钥的所有者的身份的信息以及已验证了证书的内容正确的实体的数字签名。原理是如果签名是有效的，并且检查证书的人信任签名者，则该密钥可用于与其所有者安全地进行通信。证书被考虑以在防止攻击者冒充安全网站或其它服务器时提供良好的防御。证书由证书机构(CA)颁发。CA可以是可信方或组织，例如，负责为客户颁发证书的公司。在信任方案的网络中，签名者可以是检查证书的人可能知道并信任的密钥的所有者(自签名的证书)或其它用户(“签注”)。密钥和证书在计算机网络系统中被广泛用于增强安全。这种广泛的使用可导致问题。例如，大量的证书可以用在任何组织和/或计算机化系统中。这些中的一些可在没有任何人意识到的情况下/在没有被考虑的情况下用在系统中。特定问题可以是因尚未设定期满或者仅在很长一段时间之后期满的证书而导致的。另外，证书可能已被颁发给其访问权限已期满的用户，例如前雇员或分包商。只要证书存在并且尚未被撤回，它就可被用于访问主机。此外，一旦响应于对主机的访问请求建立了连接，它就可以在很长一段时间内甚至可以无期限地保持打开。可以对系统进行扫描以清除任何旧的和/或未使用的和/或以其它方式怀疑的证书和/或密钥以及旧的打开的连接。但是，扫描可花费相当长的一段时间并且/或者也可以遗漏不应该在使用中的内容。管理证书、其它认证器和安全特征及旧连接在许多物理实体可以给用户提供对主机的访问的虚拟化环境和云计算中可以变得更成问题。例如，可以为通过云中的不同物理实体或主机在不同会话中访问服务的用户提供服务，从而导致在许多位置中使用证书和/或密钥。此外，不同类型的主机可能需要对于访问使用不同的认证器。用户可能不知道这个，例如他/她是否正在尝试访问传统(legacy)或云类型主机。这对于管理密钥和证书的使用以及一般而言对主机的访问来说可构成相当大的挑战。注意，以上讨论的问题不限于任何特定通信协议和数据处理设备，而是可以在使用诸如证书的认证器用于增强数据安全的任何计算机化系统中发生。本专利技术的实施方式目的旨在解决以上问题中的一个或更多个。
技术实现思路
根据一个方面提供了一种用于在主机与能够访问所述主机的装置之间的计算机化网络中提供安全功能的中间装置，该中间装置包括：接口设备，该接口设备被配置用于主机和请求访问所述主机的装置通信，使得所述中间装置在所述主机与所述装置之间提供中间节点；以及控制设备，该控制设备连接到所述接口设备并且包括至少一个处理器和存储指令的存储器，所述指令当被执行时，使该控制设备处理来自装置的对主机的访问请求，从安全装置获得在所请求的访问中使用的至少一个认证器，并且监测使用所述至少一个认证器的通信。根据另一方面提供了一种用于由在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置来提供安全功能的方法，该方法包括：在所述中间装置处从装置接收对主机的访问请求；由所述中间装置获得在所请求的对所述主机的访问中使用的至少一个认证器；以及由所述中间装置监测使用所述至少一个认证器的通信。根据又一方面提供了一种包括程序代码的非暂时性计算机可读介质，所述程序代码用于使处理器执行在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置处实现的安全方法的指令，由所述中间装置执行的所述安全方法包括：从装置接收对主机的访问请求；获得在所请求的对所述主机的访问中使用的至少一个认证器；以及监测使用所述至少一个认证器的通信。根据一更特定形式所述认证器可以包括证书。所述控制设备可被配置为从证书机构(CA)请求所述证书。中间装置的控制设备可以包括认证组件，该认证组件被配置为在向所述安全装置发送对认证器的请求之前，针对对主机的访问请求进行认证。中间装置可以还被配置为：对来自所述装置的所述访问请求进行接收和认证，其中所述访问请求包含在所述访问请求的所述认证中使用的至少一个第二认证器；在所述访问请求已基于所述至少一个第二认证器被认证之后，从所述安全装置请求并接收所述至少一个认证器；以及基于来自所述安全装置的所述至少一个认证器来处理所述装置与所述主机之间的通信。可以基于针对所述至少一个认证器的使用的至少一个条件来监测通信。可以独立于所述安全装置来设定针对所述至少一个认证器的使用的至少一个条件。所述控制设备可以被配置为从所述安全装置接收针对所述至少一个认证器的使用的至少一个条件的信息。所述条件可包括认证器的有效期。可将所述有效期设定为比用于从所述装置接收到的所述访问请求的认证的第二认证器的有效期短。可监测所述认证器的有效期的期满，该有效期比以下项中的至少一个短：从所述安全装置接收到的所述认证器的有效期、用于从所述装置接收到的所述访问请求的认证的第二认证器的有效期、与所述主机关联地定义的最大会话长度以及与所述装置关联地定义的最大会话长度。控制设备也可以被配置为监测以下项中的至少一个：所述至少一个认证器的使用、所述至少一个认证器的用户、所述装置的行为、与所述主机关联的事件、与基于所述至少一个认证器建立的一个或更多个通信会话关联的事件以及所述至少一个认证器如何和/或何时被使用。控制设备可以还被配置为基于所述监测采取控制动作。所述控制设备可被配置为以下项中的至少一个：为所述装置请求新认证器，触发警报，防本文档来自技高网...

【技术保护点】
一种用于在主机与能够访问所述主机的装置之间的计算机化网络中提供安全功能的中间装置，该中间装置包括：接口设备，该接口设备被配置为与主机和请求访问所述主机的装置通信，使得所述中间装置在所述主机与所述装置之间提供中间节点，以及控制设备，该控制设备连接到所述接口设备，并且包括至少一个处理器和存储指令的存储器，所述指令当被执行时，使该控制设备：处理来自装置的对主机的访问请求，从安全装置获得在所请求的访问中使用的至少一个认证器，并且监测使用所述至少一个认证器的通信。

【技术特征摘要】
2016.11.28 US 15/361,6901.一种用于在主机与能够访问所述主机的装置之间的计算机化网络中提供安全功能的中间装置，该中间装置包括：接口设备，该接口设备被配置为与主机和请求访问所述主机的装置通信，使得所述中间装置在所述主机与所述装置之间提供中间节点，以及控制设备，该控制设备连接到所述接口设备，并且包括至少一个处理器和存储指令的存储器，所述指令当被执行时，使该控制设备：处理来自装置的对主机的访问请求，从安全装置获得在所请求的访问中使用的至少一个认证器，并且监测使用所述至少一个认证器的通信。2.根据权利要求1所述的中间装置，其中所述认证器包括证书。3.根据权利要求2所述的中间装置，其中所述控制设备被配置为从证书机构CA请求所述证书。4.根据权利要求1所述的中间装置，所述控制设备包括认证组件，该认证组件被配置为在向所述安全装置发送对认证器的请求之前，对针对所述主机的所述访问请求进行认证。5.根据权利要求1所述的中间装置，该中间装置还被配置为：对来自所述装置的所述访问请求进行接收和认证，其中所述访问请求包含在所述访问请求的所述认证中使用的至少一个第二认证器；在所述访问请求已基于所述至少一个第二认证器被认证之后，从所述安全装置请求并接收所述至少一个认证器；以及基于来自所述安全装置的所述至少一个认证器来处理所述装置与所述主机之间的通信。6.根据权利要求1所述的中间装置，其中所述控制设备被配置为基于针对所述至少一个认证器的使用的至少一个条件来监测所述通信。7.根据权利要求6所述的中间装置，其中所述控制设备被配置为独立于所述安全装置来设定针对所述至少一个认证器的使用的至少一个条件。8.根据权利要求6所述的中间装置，其中所述控制设备被配置为从所述安全装置接收针对所述至少一个认证器的使用的至少一个条件的信息。9.根据权利要求6所述的中间装置，其中所述条件包括认证器的有效期。10.根据权利要求9所述的中间装置，其中所述有效期比用于从所述装置接收的所述访问请求的认证的第二认证器的有效期短。11.根据权利要求9所述的中间装置，其中所述控制设备被配置为监测所述认证器的有效期的期满，所述认证器的有效期比以下项中的至少一个短：从所述安全装置接收的认证器的有效期，用于从所述装置接收的所述访问请求的认证的第二认证器的有效期，与所述主机关联地定义的最大会话长度，以及与所述装置关联地定义的最大会话长度。12.根据权利要求1所述的中间装置，其中所述控制设备被配置为监测以下项中的至少一个：所述至少一个认证器的使用，所述至少一个认证器的用户，所述装置的行为，与所述主机关联的事件，与基于所述至少一个认证器建立的一个或更多个通信会话关联的事件，以及所述至少一个认证器如何和/或何时被使用。13.根据权利要求1所述的中间装置，其中所述控制设备还被配置为基于所述监测采取控制动作。14.根据权利要求11所述的中间装置，其中所述控制装置还被配置为以下项中的至少一个：为所述装置请求新认证器，触发警报，防止通过所述装置访问所述主机，防止通过所述装置访问至少一个其它主机，限制通过所述装置访问所述主机或至少一个其它主机，...

【专利技术属性】
技术研发人员：M·罗西，
申请(专利权)人：SSH通信安全公司，
类型：发明
国别省市：芬兰,FI