[发明专利]针对跨网络周边防火墙的设备使能零接触引导

说明书

一种方法包括通过从网络设备向云服务器发送传输协议(例如，HTTP)消息体中的TLS记录来在网络设备和云服务器之间建立应用层传输层安全(ATLS)连接，该ATLS连接经过至少一个传输层安全(TLS)代理设备；经由ATLS连接从云服务器接收认证机构的标识符；建立与跟该标识符相关联的认证机构的连接并进而从认证机构接收用于访问不同于云服务器和认证机构的应用服务的证书；以及使用从认证机构接收到的证书来连接到应用服务。

相关申请交叉引用

本申请要求于2017年11月10日提交的美国临时申请No.62/584,168的权益，其通过引用整体并入本文。

技术领域

本公开涉及网络安全。

背景技术

在安全网络上以安全的方式配设和引导(bootstrap)设备可能是困难、耗时、昂贵和/或复杂的过程。存在许多不同类型的设备，例如协作端点(例如，视频端点和因特网协议(IP)电话)，以及依赖于云服务来简化引导和持续管理的更通用的物联网(IoT)设备。当这些设备引导时，它们不信任本地网络；替代地，它们尝试通过传输安全协议(例如，传输层安全(TLS)协议)直接与公知的云服务建立安全连接。

不幸的是，安全网络可能部署了TLS拦截代理防火墙。当设备尝试联系本地域以外的可信云服务时，这些代理防火墙将自己插入作为所谓的中间人(MITM)。由于设备可能不信任TLS拦截代理，因此设备可能被阻止建立到云服务的安全连接，因此无法成功引导。

此外，拦截代理不仅可能被广泛地部署，而且可能不频繁地更新。它们的存在、以及在它们存在的情况下建立安全连接的能力对于一大类设备来说是持续的问题。

附图说明

图1描绘了根据示例实施例的应用层传输层安全(ATLS)的网络部署。

图2是描绘根据示例实施例的由本文所提出的解决方案利用的传输层安全(TLS)软件堆栈接口的图。

图3示出了根据示例实施例应用(客户端或服务器)如何能够与ATLS会话直接交互以提取原始TLS记录。

图4是示出根据示例实施例的由本文所提出的技术利用的ATLS流的示例的图。

图5是描绘根据示例实施例的由本文所提出的技术采用的ATLS用例的示例的图。

图6描绘了根据示例实施例的可以由网络设备结合给定本地域中的引导执行的一系列操作。

图7示出了根据示例实施例的被配置为参与本文所提出的技术的客户端设备的框图。

图8是根据示例实施例的被配置为参与本文所提出的技术的其他实体(诸如云服务器)的框图。

具体实施方式

概述

本文提出的技术使设备能够即使在存在拦截代理的情况下也建立到因特网上的云服务的安全连接，并能够利用该云服务来执行针对本地域的零接触安全引导。该技术导致一旦设备通电就“零接触”引导，即使设备被部署在拦截到因特网的所有流量的安全网络上也是如此。

在独立权利要求中陈述了本发明的方面，在从属权利要求中陈述了优选特征。一方面的特征可以单独地或与其他方面结合地应用于每个方面。