[发明专利]针对跨网络周边防火墙的设备使能零接触引导

权利要求书

1.一种用于网络安全的方法，包括：

通过从网络设备向云服务器发送传输协议消息体中的第一传输层安全TLS记录来建立所述网络设备与所述云服务器之间的应用层传输层安全ATLS连接，所述ATLS连接经过至少一个TLS代理设备；

经由所述ATLS连接从所述云服务器接收认证机构的标识符；

建立与跟所述标识符相关联的所述认证机构的连接，并进而从所述认证机构接收用于访问应用服务的证书，该应用服务不同于所述云服务器和所述认证机构；以及

使用从所述认证机构接收到的所述证书来连接到所述应用服务，

其中，所述网络设备与所述云服务器之间的所述ATLS连接在使用第二TLS记录的基于TLS的超文本传输协议HTTP上被使用所述第一TLS记录实例化为ATLS，并且其中，所述第一TLS记录和所述第二TLS记录使用不同的TLS堆栈。

2.根据权利要求1所述的方法，还包括：由所述网络设备向所述云服务器发送所述网络设备的唯一标识符。

3.根据权利要求2所述的方法，其中，所述唯一标识符包括所述网络设备的初始安全设备标识符IDevID或制造商安装的证书MIC。

4.根据权利要求1至3中任一项所述的方法，其中，所接收到的证书包括所述网络设备的本地有效设备标识符LDevID或本地有效证书LSC。

5.根据权利要求4所述的方法，还包括：使用所述LDevID或LSC来建立与本地域应用服务的连接。

6.根据权利要求1至3中任一项所述的方法，其中，所述网络设备与所述云服务器之间的所述ATLS连接被实例化为基于传输控制协议TCP的超文本传输协议HTTP上的ATLS。

7.根据权利要求1至3中任一项所述的方法，还包括：通过从所述网络设备向所述云服务器发送超文本传输协议HTTP消息体中的传输层安全TLS记录来建立所述网络设备与另一云服务器之间的另一应用层传输层安全ATLS连接，所述另一应用层传输层安全ATLS连接经过至少一个TLS代理设备；以及

经由所述另一应用层传输层安全ATLS连接从所述另一云服务器接收另一认证机构的另一标识符。

8.根据权利要求1至3中任一项所述的方法，其中，所述至少一个TLS代理设备包括TLS终止负载平衡器。

9.根据权利要求1至3中任一项所述的方法，其中，所述至少一个传输层安全TLS代理设备包括TLS拦截中间盒。

10.一种用于网络安全的设备，包括：

接口单元，被配置为使能网络通信；

存储器；以及

一个或多个处理器，耦合到所述接口单元和所述存储器，并被配置为进行以下操作：

通过从所述设备向云服务器发送传输协议消息体中的第一传输层安全TLS记录来建立所述设备与所述云服务器之间的应用层传输层安全ATLS连接，所述ATLS连接经过至少一个TLS代理设备；

经由所述ATLS连接从所述云服务器接收认证机构的标识符；

建立与跟所述标识符相关联的所述认证机构的连接，进而从所述认证机构接收用于访问应用服务的证书，该应用服务不同于所述云服务器和所述认证机构；以及

使用从所述认证机构接收到的所述证书来连接到所述应用服务，其中，所述设备与所述云服务器之间的所述ATLS连接在使用第二TLS记录的基于TLS的超文本传输协议HTTP上被使用所述第一TLS记录实例化为ATLS，并且其中，所述第一TLS记录和所述第二TLS记录使用不同的TLS堆栈。

11.根据权利要求10所述的设备，其中，所述一个或多个处理器还被配置为由所述设备向所述云服务器发送所述设备的唯一标识符。

12.根据权利要求11所述的设备，其中，所述唯一标识符包括所述设备的初始安全设备标识符IDevID或制造商安装的证书MIC。