專利名稱:用于提供證書的系統(tǒng)和方法
用于提供證書的系統(tǒng)和方法
背景技術(shù):
數(shù)據(jù)中心管理員為自動(dòng)化而努力,包括在系統(tǒng)供應(yīng)期間,因?yàn)樵谑褂弥屑词箾]有數(shù)千個(gè)、也有數(shù)百個(gè)機(jī)器。一些機(jī)器是物理的,例如刀片,而其他的被使用VMWare、虛擬服務(wù)器等虛擬化。機(jī)器的絕對(duì)數(shù)目阻止機(jī)器到系統(tǒng)中的單獨(dú)安裝。代替地,在要安裝的機(jī)器上將標(biāo)準(zhǔn)化模板實(shí)例化,通常是預(yù)先加載了應(yīng)用程序的模板。然而,模板的使用產(chǎn)生安全問題,因?yàn)獒槍?duì)一個(gè)機(jī)器成功的任何攻擊對(duì)使用模板的每個(gè)機(jī)器都將成功。另外,一旦任何機(jī)器被危及,則整個(gè)系統(tǒng)處于危險(xiǎn)中。
為了更全面地理解本公開,現(xiàn)在對(duì)附圖和詳細(xì)描述進(jìn)行參考,其中,相同的附圖標(biāo)記表示相同部分:
圖1A — IC圖示出根據(jù)至少一些說(shuō)明性實(shí)施例的提供證書系統(tǒng);以及 圖2圖示出根據(jù)至少一些說(shuō)明性實(shí)施例的提供證書的方法。注釋和命名法
特定術(shù)語(yǔ)遍及以下權(quán)利要求和描述被用來(lái)參考特定部件。如本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到的,不同實(shí)體可以用不同的名稱來(lái)指代部件。本文檔并不意圖對(duì)在名稱而不是功能方面不同的部件之間進(jìn)行區(qū)分。在以下討論中和權(quán)利要求中,以開放方式來(lái)使用術(shù)語(yǔ)“包括”和“包含”,并且因此應(yīng)在所有實(shí)例中將其解釋為意指“包括但不限于”。并且,術(shù)語(yǔ)“耦合”意圖意指光學(xué)、無(wú)線、間接電氣或直接電氣連接。因此,如果第一設(shè)備耦合到第二設(shè)備,則連接可以是通過經(jīng)由其他設(shè)備和連接的間接電氣連接、通過直接光學(xué)連接等。另外,術(shù)語(yǔ)“系統(tǒng)”指的是兩個(gè)或更多硬件部件的集合,并且可以用來(lái)指代電子設(shè)備。
具體實(shí)施例方式以下討論針對(duì)本發(fā)明的各種實(shí)施例。雖然這些實(shí)施例中的一個(gè)或多個(gè)可能是優(yōu)選的,但除非另外說(shuō)明,不應(yīng)將公開的實(shí)施例解釋為或以其他方式用作限制本公開的范圍,包括權(quán)利要求。另外,本領(lǐng)域的技術(shù)人員將理解的是以下描述具有廣泛的應(yīng)用,并且任何實(shí)施例的討論僅僅意圖是該實(shí)施例的示例性的,并且并不意圖暗示本公開的范圍(包括權(quán)利要求)局限于該實(shí)施例。公開了提供證書的說(shuō)明性系統(tǒng)、設(shè)備和方法,使得可以出于供應(yīng)目的在操作系統(tǒng)(“OS”)模板中包括操作管理代理(“代理”)軟件。提供證書是網(wǎng)絡(luò)上的軟件、硬件或固件的認(rèn)證或授權(quán)。模板是被用作用于軟件或固件的高效安裝的圖案的圖像或數(shù)據(jù)集??梢酝ㄟ^管理代理來(lái)使操作管理服務(wù)器(“服務(wù)器”)與代理相關(guān)聯(lián)。公開的提供證書系統(tǒng)和方法允許客戶立即將新安裝的代理置于服務(wù)器的管理之下,即使當(dāng)新代理啟動(dòng)或聯(lián)機(jī)時(shí)未指定關(guān)聯(lián)服務(wù)器。如果代理軟件是OS模板的一部分,則可以注意到只有已授權(quán)服務(wù)器能夠控制代理??刂拼淼娜魏稳丝刂葡到y(tǒng);因此,不安全代理是開放的安全漏洞。然而,服務(wù)器/代理關(guān)聯(lián)過程的全自動(dòng)化由于大量的機(jī)器而有幫助。用本文公開的提供證書系統(tǒng)和方法,可以解決此安全性/可用性挑戰(zhàn)?,F(xiàn)有管理基礎(chǔ)設(shè)施和新代理兩者完全受到針對(duì)未授權(quán)訪問的保護(hù)。操作管理基礎(chǔ)設(shè)施包括服務(wù)器和一組分布式代理。服務(wù)器是負(fù)責(zé)諸如網(wǎng)絡(luò)中的數(shù)據(jù)收集和聚合的任務(wù)的軟件和計(jì)算機(jī)硬件。在外包方案中,不同的公司可能使用一個(gè)服務(wù)器來(lái)收集和聚合他們的數(shù)據(jù),即使使用防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換器(“NAT”)、超文本傳輸協(xié)議(“HTTP”)代理等。另外,可以使用服務(wù)器,即使通信信道局限于僅出站連接。代理是監(jiān)視網(wǎng)絡(luò)并將這樣的監(jiān)視報(bào)告給服務(wù)器的軟件和計(jì)算機(jī)硬件。為了具有對(duì)例如日志文件的數(shù)據(jù)的全訪問,代理用例如根或系統(tǒng)的高級(jí)特權(quán)采取行動(dòng)。人類操作員使用連接到網(wǎng)絡(luò)的圖形用戶界面(“GUI”)來(lái)觀看被管理環(huán)境。圖1A圖示出提供證書的系統(tǒng)100,其包括存儲(chǔ)軟件108的計(jì)算機(jī)可讀介質(zhì)106,該軟件108在被一個(gè)或多個(gè)處理器102執(zhí)行時(shí)促使處理器102執(zhí)行在本公開中描述的任何動(dòng)作??梢詫④浖植荚谙到y(tǒng)100上的硬件和處理器之間。系統(tǒng)100還包括在顯示器104上顯示的⑶I 110。在至少一個(gè)實(shí)施例中,由軟件108來(lái)實(shí)現(xiàn)⑶I 110。處理器102、計(jì)算機(jī)可讀介質(zhì)106以及顯示器104可以是本地的,即在同一機(jī)器上,或者是分布式的,即以任何組合在不同的機(jī)器上。在至少一個(gè)實(shí)施例中,不存在⑶I 110、顯示器104或其他人類輸入設(shè)備。圖1B和IC圖示出分布式配置的一個(gè)實(shí)施例中的系統(tǒng)100。具體地,處理器102通過網(wǎng)絡(luò)114耦合到計(jì)算機(jī)可讀介質(zhì)106。在至少一個(gè)實(shí)施例中,網(wǎng)絡(luò)114是因特網(wǎng)。顯示器104是計(jì)算機(jī)監(jiān)視器,并且在至少一個(gè)實(shí)施例中,用戶可以經(jīng)由鍵盤112和計(jì)算機(jī)鼠標(biāo)或其他類型的定點(diǎn)設(shè)備(未示出)來(lái)操縱GUI。系統(tǒng)100包括操作管理代理118。所描述的代理118除其代理任務(wù)之外還可以執(zhí)行許多其他任務(wù),但為了便于討論,將根據(jù)其代理任務(wù)來(lái)對(duì)計(jì)算機(jī)本身進(jìn)行命名。系統(tǒng)100還包括被耦合到代理118的操作管理服務(wù)器116。在至少一個(gè)實(shí)施例中,耦合是通過網(wǎng)絡(luò)114,使代理118和服務(wù)器116成為網(wǎng)絡(luò)114的部件。所描述的服務(wù)器116除其服務(wù)任務(wù)之外還可以執(zhí)行許多其他任務(wù),但為了便于討論,將根據(jù)其服務(wù)任務(wù)來(lái)對(duì)計(jì)算機(jī)本身進(jìn)行命名。系統(tǒng)可以包括所述的任何數(shù)目的部件,例如,系統(tǒng)100可以包括多個(gè)代理118和服務(wù)器116,每個(gè)服務(wù)器116與一組代理118相關(guān)聯(lián)。由于將模板用于安裝,所以代理118接收非唯一證書198。非唯一證書198包括非唯一標(biāo)識(shí)符196和非唯一證明(certificate) 194。在至少一個(gè)實(shí)施例中,非唯一證書196還包括非唯一公/私密鑰對(duì)192或非唯一訪問控制列表(“ACL”)190。可以在不同網(wǎng)絡(luò)部件中或由不同網(wǎng)絡(luò)部件同時(shí)地使用非唯一項(xiàng)目,例如,非唯一標(biāo)識(shí)符可以被不同的代理118同時(shí)地使用。標(biāo)識(shí)符的示例是d498f286-aa97-4a31-b5c3-806e384fcf6e。由例如1024位密鑰簽署的證明允許使用具有加密的安全套接層(“SSL”)協(xié)議以用于通信。在至少一個(gè)實(shí)施例中,服務(wù)器116發(fā)起加密通信信道的建立。例如,服務(wù)器116由于代理181啟動(dòng)、代理到網(wǎng)絡(luò)114的進(jìn)入等而發(fā)起建立。加密通信信道的建立包括服務(wù)器116與代理118之間的認(rèn)證和授權(quán)。可以通過每個(gè)服務(wù)器116的證明安全地對(duì)其進(jìn)行認(rèn)證,并且可以經(jīng)由同一密鑰來(lái)訪問每個(gè)代理118。同樣地,每個(gè)服務(wù)器116可以存儲(chǔ)私密鑰以用于對(duì)服務(wù)器116被關(guān)聯(lián)的代理118的初始訪問。在至少一個(gè)實(shí)施例中,服務(wù)器116存儲(chǔ)私密鑰,而代理118存儲(chǔ)公密鑰。在至少一個(gè)實(shí)施例中,非唯一證書198僅針對(duì)握手交互是可信任的。經(jīng)由服務(wù)器標(biāo)識(shí)符在代理118上對(duì)服務(wù)器116進(jìn)行授權(quán)。因此,非唯一私密鑰提供認(rèn)證和授權(quán)。雖然在至少一個(gè)實(shí)施例中服務(wù)器116發(fā)起通信,但是在另一實(shí)施例中,代理118發(fā)起通信。同樣地,將服務(wù)器標(biāo)識(shí)符與ACL相比較,其是模板的一部分,代理118被從該模板實(shí)例化。這樣的比較可以基于查找表、散列算法等。只有呈現(xiàn)承載與ACL兼容的服務(wù)器標(biāo)識(shí)符的證明的服務(wù)器116被授權(quán)。作為代理118的潛在管理員的所有服務(wù)器116都提供有這樣的證明。同樣地,存在用于通信建立、認(rèn)證和授權(quán)的兩個(gè)步驟。關(guān)聯(lián)服務(wù)器116基于加密通信信道的建立向代理118頒發(fā)唯一證書188。唯一證書188包括唯一標(biāo)識(shí)符186和唯一證明184。在至少一個(gè)實(shí)施例中,唯一證書包括唯一公/私密鑰對(duì)182。唯一項(xiàng)目?jī)H在網(wǎng)絡(luò)114中被使用一次,例如唯一標(biāo)識(shí)符186只能被一個(gè)代理118使用。在至少一個(gè)實(shí)施例中,由服務(wù)器116來(lái)簽署唯一證明184。服務(wù)器116和/或代理118基于唯一證書188的頒發(fā)自動(dòng)地(即在沒有人工輸入的情況下)用基于唯一證書188的第二加密通信信道來(lái)替換加密通信信道。在至少一個(gè)實(shí)施例中,終止第一加密通信信道并建立第二加密通信信道。在至少一個(gè)實(shí)施例中,系統(tǒng)100包括被耦合到代理118或多個(gè)代理118的多個(gè)服務(wù)器116。服務(wù)器116中的每個(gè)包括與非唯一證書198兼容的證書。例如,每個(gè)服務(wù)器116包括可用來(lái)與新安裝代理118通信的私密鑰。在至少一個(gè)實(shí)施例中,如果系統(tǒng)100包括多個(gè)代理,則在操作管理軟件的安裝期間為每個(gè)代理頒發(fā)非唯一證書198。圖2圖示出在202處開始且在212處結(jié)束的提供證書的方法。在204處,向操作管理代理118頒發(fā)非唯一證書198。在至少一個(gè)實(shí)施例中,在操作管理軟件到代理118上的安裝期間頒發(fā)非唯一證書198。在至少一個(gè)實(shí)施例中,在代理的安裝期間經(jīng)由模板頒發(fā)非唯一證書198。在206處,在操作管理服務(wù)器116與代理118之間建立加密通信信道。該信道是基于非唯一證書198,在至少一個(gè)實(shí)施例中,其僅針對(duì)握手交互是可信任的。例如,使用代理118的私密鑰對(duì)通信信道進(jìn)行加密,并且用代理118的公密鑰對(duì)來(lái)自代理118的消息進(jìn)行加密。兩個(gè)密鑰形成公/私密鑰對(duì),并且用于該對(duì)的每個(gè)密鑰的加密算法是數(shù)學(xué)相關(guān)的。在至少一個(gè)實(shí)施例中,服務(wù)器116發(fā)起加密通信信道的建立。在208處,基于通信信道的建立,自動(dòng)地向代理頒發(fā)頒發(fā)唯一證書188,即,不要求人工輸入。在至少一個(gè)實(shí)施例中,唯一證書188包括由服務(wù)器116簽署的唯一證明和唯一標(biāo)識(shí)符。在210處,基于非唯一證書198的頒發(fā)用基于唯一證書188的第二加密通信信道自動(dòng)地替換加密通信信道。握手交互206 - 210、即在服務(wù)器116與代理118之間建立通信可以有很多在服務(wù)器116上運(yùn)行的其他任務(wù)。例如,可以將代理118添加到服務(wù)器為116的名稱服務(wù)。服務(wù)器116還可以進(jìn)行其他配置:將代理添加到特定群組,將代理118告知其他方,對(duì)網(wǎng)絡(luò)的監(jiān)視配置進(jìn)行微調(diào),或者由于代理118的添加而對(duì)其他代理118進(jìn)行開始和結(jié)束監(jiān)視。如果由多個(gè)服務(wù)器116來(lái)管理代理118,則在兩個(gè)或更多服務(wù)器116之間建立信任,使得其環(huán)境能夠相互通信。其他條件和條件組合對(duì)于本領(lǐng)域的技術(shù)人員而言將變得顯而易見,包括上述條件的組合,并且所有這樣的條件和組合都在本公開的范圍內(nèi)。另外,可以在本文所述任何動(dòng)作成功完成時(shí),在本文所述動(dòng)作不成功時(shí),以及在發(fā)生錯(cuò)誤時(shí)觸發(fā)音頻或視覺警報(bào)。以上公開意圖說(shuō)明本發(fā)明的原理和各種實(shí)施例。一旦完全認(rèn)識(shí)到以上公開,許多變更和修改對(duì)于本領(lǐng)域的技術(shù)人員而言將是顯而易見的。意圖在于將以下權(quán)利要求解釋為涵蓋所有變更和修改。
權(quán)利要求
1.一種方法,包括: 向操作管理代理(“代理”)頒發(fā)非唯一證書; 基于所述非唯一證書在操作管理服務(wù)器(“服務(wù)器”)與所述代理之間建立第一加密通Ih Ih 退; 基于建立所述第一加密通信信道自動(dòng)地向所述代理頒發(fā)唯一證書; 基于所述唯一證書的頒發(fā)自動(dòng)地用基于所述唯一證書的第二加密通信信道來(lái)替換所述第一加密通信信道。
2.根據(jù)權(quán)利要求1所述的方法,其中,所述非唯一證書包括非唯一標(biāo)識(shí)符和非唯一證明,并且所述非唯一證書包括由所述服務(wù)器簽署的唯一標(biāo)識(shí)符和唯一證明。
3.根據(jù)權(quán)利要求1所述的方法,其中,所述非唯一證書是在操作管理軟件到所述代理上的安裝期間頒發(fā)的。
4.根據(jù)權(quán)利要求1所述的方法,其中,所述非唯一證書僅針對(duì)握手交互是可信任的。
5.根據(jù)權(quán)利要求1所述的方法,其中,建立所述第一加密通信信道包括所述服務(wù)器與所述代理之間的認(rèn)證和授權(quán)。
6.根據(jù)權(quán)利要求5所述的方法,其中,認(rèn)證是基于公/私密鑰對(duì)。
7.根據(jù)權(quán)利要求5所述的方法,其中,授權(quán)是基于訪問控制列表。
8.一種系統(tǒng),包括: 操作管理代理(“代理”),其接收非唯一證書; 操作管理服務(wù)器(“服務(wù)器”),其被耦合到所述代理; 所述服務(wù)器基于所述非唯一證書發(fā)起所述服務(wù)器與所述代理之間的第一加密通信信道的建立; 所述服務(wù)器基于所述建立自動(dòng)地向所述代理頒發(fā)證書; 所述服務(wù)器和代理基于所述唯一證書的頒發(fā)自動(dòng)地用基于所述唯一證書的第二加密通信信道來(lái)替換所述第一加密通信信道。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),還包括被耦合到所述代理的多個(gè)操作管理服務(wù)器(“服務(wù)器”),其每個(gè)包括與所述非唯一證書兼容的證書。
10.根據(jù)權(quán)利要求8所述的系統(tǒng),還包括每個(gè)在操作管理軟件的安裝期間被頒發(fā)所述非唯一證書的多個(gè)操作管理代理(“代理”)。
11.根據(jù)權(quán)利要求8所述的系統(tǒng),其中,所述服務(wù)器由于所述代理的啟動(dòng)而發(fā)起所述第一加密通信信道的建立。
12.根據(jù)權(quán)利要求8所述的系統(tǒng),其中,所述非唯一證書僅針對(duì)握手交互是可信任的。
13.—種設(shè)備,包括: 操作管理服務(wù)器(“服務(wù)器”); 所述服務(wù)器基于非唯一證書來(lái)發(fā)起第一加密通信信道的建立; 所述服務(wù)器基于所述第一加密通信信道的建立自動(dòng)地頒發(fā)唯一證書; 所述服務(wù)器和代理基于所述唯一證書的頒發(fā)自動(dòng)地用基于所述唯一證書的第二加密通信信道來(lái)替換所述第一加密通信信道。
14.根據(jù)權(quán)利要求13所述的設(shè)備,其中,所述服務(wù)器包括訪問控制列表可接受的證明。
15.根據(jù)權(quán)利要求13所述的設(shè)備,其中,所述服務(wù)器包括作為公/私密鑰對(duì)的一部分的公密鑰。`
全文摘要
一種方法包括向操作管理代理(“代理”)頒發(fā)非唯一證書。該方法還包括基于非唯一證書在操作管理服務(wù)器(“服務(wù)器”)與代理之間建立第一加密通信信道。該方法還包括基于該建立自動(dòng)地向代理頒發(fā)唯一證書。該方法還包括基于唯一證書的頒發(fā)自動(dòng)地用基于唯一證書的第二加密通信信道來(lái)替換第一加密通信信道。
文檔編號(hào)H04L9/30GK103119890SQ201080069327
公開日2013年5月22日 申請(qǐng)日期2010年7月30日 優(yōu)先權(quán)日2010年7月30日
發(fā)明者M.P.維爾納, M.雷克, H-P.施莫林格 申請(qǐng)人:惠普發(fā)展公司,有限責(zé)任合伙企業(yè)