专利名称:及时的信任建立和传播的制作方法
技术领域:
本披露总体上涉及在跨域计算机系统之间的通信,并且更具体地涉及在一个在线服务系统中的跨多个域的组件之间传播域级别信任关系。
背景技术:
在大型在线服务系统(例如在线备份系统、在线报告系统等)中的组件之实施安全通信的过程中,在不同域中或者在不同服务器的安全权限下以其他方式运行的组件之间需要建立信任。通常使用X. 509证书来实现在线服务系统中的安全通信层,这必须由证书授权(CA)签名。信任CA允许一个组件信任由该CA签名的各种证书,以及通过延伸而信任具有这种签名证书的其他组件。当参与通信的每个组件信任对每个其他组件的证书进行签名的CA时,会产生安全通信。大型在线服务系统的一个例子是由赛门铁克公司公开的Veritas网络备份(NetBackup)。网络备份是企业级异质备份和还原系统,这提供了跨较多个操作系统的跨平台备份功能每个网络备份域配置有一个管理媒体服务器(包括备份媒体)和客户端两者的中央主服务器。网络备份当前通过使用称为根代理(RB)的单个、顶级CA(例如公共密钥基础设施(PKI)系统)在组件之间推荐建立并传播信任关系。在RB下,每个主服务器具有其自身的CA,称为认证代理(AB),其证书由RB签名。AB然后对在主服务器的域内的每个组件进行签名。这允许发生跨域通信,这会发生在单个客户端与多个主服务器交互的时候。该设置的一个共同问题是其要求大量的前端规划以便安全通信适当地工作。当安全基础设施从应用(例如备份)基础设施断开时很难做这样的规划。对于安全基础设施没有额外的前端规划,RB典型地沿着每个主服务器安装。若系统架构从一开始不是为安全通信而设计的话,在主服务器上运行的现有的RB需要转换为在另一个主服务器RB下的AB。这然后要求客户访问在第一主服务器的域中的每个系统以重新建立由新AB (在AB的新RB下)证书签名的X. 509证书。对于执行跨域通信的组件的另一个可能性是在每个其他的RB中建立信任。这再次要求访问每个系统进而参与这种跨域通信。遗憾地是,用于支持跨域通信的上述两种方法在实践中很少使用。这是因为它们要求大量的前端规划,客户在当它们工作的主域是服务(例如服务器)的主域时很难部署,是不安全的。这种问题干扰在如网络备份的单个在线服务系统内的适当安全特征的部署。在当试图使多个多域产品彼此通信时,这种问题会放大,从而妨碍产品整合。解决这些问题是令人期望的。
发明内容
及时的信任传播系统传播域级别信任关系,以便有利于在如网络备份的在线服务系统中的跨多个域的组件之间的安全通信。信任关系建立在域级别上,并且它们试图跨域通信时传播这些域的组件上。例如,在试图跨域通信的过程中,在第一域中的第一组件试图验证在第二域中的第二组件的证书。其中验证证书的试图指示在第一组件与第二域之间不存在信任关系(例如第一组件与第二域的公共密钥基础设施不具有已建立的信任关系),第一组件确定是否在第一域和第二域之间存在域级别信任关系。为此,第一组件可以确定第一域的公共密钥基础设施与第二域的公共密钥基础设施系统是否具有已建立的信任关系。为做此决定,第一组件可以从第一域的公共密钥基础设施中拖拉所有的信任关系,并确定与第二域的已建立信任关系是否在它们之中。至于其是否特别地与第二域具有信任关系,第一组件还可以通过询问第一域的公共密钥基础设施系统做此决定。在另一情况中,第一组件将第一域和第二域之间的信任状态传播到其自身,例如,通过将所拖拉的第一域的公共密钥基础设施的信任关系延伸到其自身。第一组件还可以通过从与第二域具有信任关系的第一域的公共密钥基础设施系统中接收指示并延伸与第二域的信任关系来执行这种传播。响应于所传播的信任状态第一组件确定是否验证第二组件的证书。换言之,当第一组件将与第二域的信任关系延伸到自身时,其验证在第二域中的第二组件的证书。另一方面,当第一组件不检测在第一域和第二域之间的信任关系时,其不验证在第二域中的第二组件的证书。这些域可以是在单个在线服务系统中或跨多个在线服务系统。 在本概述中以及在以下的详细说明中说明的这些特征及优点并不是包揽无遗的,并且具体地讲,通过参看本发明的附图、说明书、以及权利要求书,很多额外的特征和优点对相关领域的普通技术人员将变得清楚。另外,应该注意到本说明书中所使用的语言的选择主要是为了易读性和指导性的目的,并且也许不是被选用为描绘或限制本发明的主题,对于确定这种发明主题必须求助于权利要求书。
图I是根据一些实施方案的一种示例网络架构的框图,其中可以实施一种及时的信任传播系统。图2是根据一些实施方案的一种适合于实施及时的信任传播系统的计算机系统的框图。图3是根据一些实施方案的一种及时的信任传播系统的操作的框图。这些图示仅为展示的目的描绘了多个实施方案。本领域的普通技术人员将容易地从以下说明中认识至IJ,可以使用在此所展示的这些结构以及方法的替代实施方案而不背离在此说明的原理。
具体实施例方式图I是一个框图,示出了其中可以实施一种及时的信任传播系统101的示例性网络架构100。所示出的网络架构100包括多个客户端103AU03B、及103N,以及多个服务器105A和105N。在图I中,及时的信任传播系统101如图所示分布在服务器105A和客户端103A之间。应理解这仅是示例,在多种实施方案中该系统101的多种功能可以在客户端103、服务器105上实例化或者可以分布在多个客户端103和/或服务器105之间。可以使用如在图2中所示和下文描述的计算机系统210实施客户端103和服务器105。客户端103和服务器105例如通过如下文结合附图2描述的网络接口 248或调制解调器247通信性地连接到网络107是上。客户端103能够使用例如网络浏览器或其他的客户端软件(未示出)访问服务器105上的应用程序和/或数据。尽管图I作为一个例子示出了三个客户端和两个服务器,在实践中可以部署更多(或更少)的客户端103和/或服务器105。在一个实施方案中,网络107是以内部网的形式或者在如公司的企业内的其他网络架构。在另一个实施方案中,网络107是以互联网的形式。
图2是适合于实施及时的信任传播系统101的一个计算机系统210的框图。可以用这种计算机系统210的形式实施客户端103和服务器105两者。〈如在图2中所示,计算机系统210的一个组件是一条总线212。总线212通信性地连接到计算机系统210的其他组件上,如至少一个处理器214、系统存储器217 (例如随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器)、输入/输出(I/O)控制器218,通信性地连接到外部音频装置如扬声器系统220的音频输出接口 222上,通信性地连接到外部视频输出装置如显示屏224的显示适配器226、一个或多个接口如串行端口 230、通用串行总线(USB)插口 230、并行端口(未示出)上,通信性地连接到键盘232的键盘控制器233上,通信性地连接到至少一个硬盘244 (或其他形式)的存储接口 234、配置为接收软盘238的软盘驱动237、配置为连接光纤通道(FC)网络290的主机总线适配器(HBA)接口卡235A、配置为连接到SCSI总线239的HBA接口卡235B、配置为接收光盘242的光盘驱动240、例如通过USB插口 228连接到总线212的鼠标246 (或其他的指点装置)、例如通过串行端口 230连接到总线212的调制解调器247、及直接连接到总线212的网络接口 248上。<0}其他的组件(未示出)可以类似的方式连接(例如,文件扫描仪、数码相机、打印机等)。相反,如图2中所示的组件不需要出现。组件能够以与图2所示的不同的方式相互连接。总线212允许在处理器214和系统存储器217之间的数据通信,这如上所述可以包括ROM和/或闪存存储器以及RAM。RAM总体上是加载操作系统和应用程序的主存储器。ROM和/或闪存存储器可以包括(除其他的代码以外)控制特定基本硬件操作的基本输入输出(BIOS)系统。应用程序可以存储在本地计算机可读媒质上(例如硬盘244、光盘242)并加载到系统存储器217中并由处理器214执行。应用程序还可以例如通过网络接口 248或调制解调器247从远程位置(即远程定位的计算机系统210)加载到系统存储器217中。在图2中,及时的信任传播系统101如图所示驻存在系统存储器217中。以下将结合图3更详细描述及时的信任传播系统101的工作。存储接口 234连接到一个或多个硬盘244 (和/或其他的标准存储媒质)上。一个或多个硬盘244可以是计算机系统210的一部分,或可以是物理分离的并通过其他的接口系统访问。网络接口 248和/或调制解调器247可以直接或间接通信性地连接到如互联网的网络107上。这种连接可以是有线或无线的。图3示出了驻存在计算机系统210的系统存储器217中的一个及时的信任传播系统。如上所述,及时的信任传播系统101的功能可以驻存在客户端103、服务器105、或可以分布在多个计算机系统210之间,包括在基于云的计算环境内,其中及时的信任传播系统101的功能被提供为网络107上的一种服务。应理解尽管及时的信任传播系统101如图3所示作为一组模块,所示的及时的信任传播系统101代表功能的结合,如所希望的这可以作为单个或其他多个的模块实例化。应理解及时的信任传播系统101的这些模块可以在计算机系统210的系统存储器217 (例如RAM、ROM、闪存存储器)内实例化,以便当计算机系统210的处理器214处理一个模块时,计算机系统210执行相关的功能。如本文中使用,术语“计算机系统”、“计算机”、“客户端”、“客户端计算机”、“服务器”、“服务器计算机”及“计算装置”意味着配置和/或编程为执行所描述的功能的一个或多个计算机。此外,实施及时的信任传播系统101的功能的程序代码可以存储在计算机可读存储媒质上。任何形式的计算机可读媒质可在此背景下使用,例如磁性或光学存储媒质。如在此所使用的,术语“计算机可读存储媒质”不意味着电气信号与下层物体媒质分离。如在图3中所示,及时的信任传播系统101支持在跨多个域305的在线服务系统303(例如网络备份)的背景中的信任建立。不是使跨域305的单个组件301与每个其他的域305的PKI系统307建立信任关系311,相反,在主服务器301级别上建立多种跨域信任 关系311。也就是说,主服务器309在彼此中建立信任关系311,并且因此隐含地在PKI系统307之间建立信任。应理解作为在本文中使用的术语,主服务器309简单地意味着部署在一个层级中的一个级别上的在线服务系统303中的服务器105,以便管理在线服务系统303的一个给定域305下的组件301。尽管在线服务系统303可以与一个单个域305以及一个单个主服务器309 —起部署,本文感兴趣的是跨域通信并且因此是在线服务系统303与多个域305以及多个主服务器309 —起部署。应理解进一步地如在本文使用,组件301简单地意味着在线服务系统303中的主服务器309的权限下的计算机系统210 (例如媒体服务器、客户端)。在本文所描述的方法中,如上所述的在传统的安全跨域通信方案中的RB与AB之间的区别消失,在本文中涉及的对证书313进行签名的所有组件简称为PKI系统307。应理解在本文中使用的PKI系统307简单地意味着对证书313进行签名的计算机系统210。如在图3中所不,一个信任建立模块315驻存在每个主服务器309上。信任建立模块315可以使用传统的信任建立功能以在主服务器309之间建立信任关系311。例如,在线服务系统303的给定域305的管理员(未示出)可以操作信任建立模块315 (例如通过传统的用户接口),以在主服务器309之间建立信任关系311。应理解典型地仅这样的管理员被授予建立或更新主服务器的信任关系311的能力。因此可以在一个中央管理点对信任关系311进行管理。给定的主服务器信任关系311例如存储在与主服务器309相关的PKI系统307上。当在多个主服务器309 (例如在多域305在线服务系统303中的所有主服务器309)之间建立信任关系311时,信任自动隐含地延伸到主服务器309的PKI系统307上。然而,在这些主服务器309下的域305的组件301不会自动地知道这些信任关系311已经建立。因此,令人希望的是将在主服务器309之间建立的信任关系311向下传播到在主服务器309的权限下运行的组件301,以实现它们在跨域305的安全通信。为实现在跨域305的组件301之间的安全通信,信任关系311从对组件301的证书313进行签名的PKI系统307传播。这种传播被实施为一个拖拉操作,这在从不同的域305的两个组件301第一次通信时发生。总之,当两个组件301期望使用安全连接进行通信时,建立通信会话的第一步是使得组件301交换证书313以证明它们的身份。在每个组件301上的证书验证模块319试图通过识别该证书313的签名者来验证另一个的证书313,并确定是否信任该签名者。通常,如果该签名者不被信任,则终止通信意图,而且通信会话的建立失败。然而,如在图3中所示,在该环境中,若另一个组件的证书的签名者不被信任(即第一组件与对第二组件的证书313进行签名的PKI系统307没有建立的信任关系311),则在第一组件301上的信任关系传播模块317将一个请求发送到其自己的PKI系统307用于其PKI系统的信任关系311。信任关系传播模块317将从组件的PKI系统307接收的信任关系311添加到该组件的信任关系311中。因为组件301信任其自己的PKI系统307,通过延伸,它能够信任其PKI系统307信任的所有各方,因此其PKI系统的信任关系311可以添加到其自身。若这些拖拉的信任关系311包括与另一个组件的证书313的签名者之间的信任关系311,则第一组件301的证书验证模块319可以验证该证书313。在一些实施方案中,响应于未能验证证书313,不是拖拉PKI系统307的所有信任关系311,相反,信任关系传播模块317简单地发送一个询问到PKI系统307问是否其信任另一个组件的证书313的签名者,若是,则将信任关系311延伸到其组件301。另一种方式,若第一组件的PKI系统307信任对另一个组件的证书311进行签名的PKI系统307,则第一组件可以验证另一个组件的证书313。 响应于未能验证另一个组件的证书313,在试图建立安全通信会话的组件301中的任意一个或两个上的信任关系传播模块317可以从它们各自的PKI系统307中拖拉信任关系313。当客户端103和服务器105两者都执行证书313验证时,并已经信任PKI系统307时,这会发生在通信的客户端103和/或服务器105侧中的任意一个或两个上。若每个组件301能够验证另一个组件的证书313,则可以建立通信会话,并且组件301可以参与跨域通信。若一个组件301不能验证另一个组件的证书313,则终止通信意图,并且通信会话的建立失败。注意该“及时的”信任传播使得在跨域305通信的组件301之间的建立信任,而没有任何手动的用户介入。在主服务器309之间建立信任关系311是一种及物地建立跨域305信任关系311的用户友好方法。其效果基本上等同于将使另一个域305与其通信的意图告知一个域305。也就是说,通过在第一域305中的第一主服务器309与第二域305中的第二主服务器309建立信任关系311,域管理员主要说“这里是您应该了解的另一个域305”。主服务器309的信任关系311可以被认为是主服务器的域305的信任关系311。通过允许信任关系311从主服务器309向下传播到在它们权限下的组件301,在跨域305的组件301之间建立了信任关系311,而无需对所有组件301执行大量的信任关系311更新。若需要的话,信任关系311可以由组件301简单地拖拉,用于实际的跨域通信。此外,随着使用及时的信任传播系统101,在部署之前不再需要规划在线服务系统303的安全基础设施。同样,当部署架构随时间改变时(如添加新的域305),没有必要手动更新基础设施以支持跨域通信。此外,对于传统的安全跨域通信,因为必须手动地更新每个组件301以反映信任关系311中的改变,每个组件301必须在更新的时刻运行。否则,必须集中地维护更新状态信息,并且随后将其转出到在下游的或者以其他方式在更新时不可用的组件301。通过使用及时的信任传播系统101,另一方面,没有特别的组件301需要在特定的时间运行,也无需集中地维护更新信息,因为信任关系311按需要传播到组件301用于实际的跨域通信。应理解及时的信任传播系统101可以如上所述使用在任何在线服务系统303的环境中,如不限于网络备份。及时的信任传播系统101还可以如上所述应用在多个在线服务系统303的环境中(例如备份系统和报告系统),以有利于多个在线服务系统303的跨域305的通信。
如熟悉本领域技术的人们将会理解的,本发明能够以多种其他具体的形式来实施而不背离其精神或本质性特征。同样,这些部分、模块、代理器、管理器、部件、功能、过程、动作、层、特征、属性、方法以及其他方面的特定的命名以及划分不是强制性的或有重要意义的,并且实施本发明或其特征的机理可以具有不同的名称、划分和/或形式。上述说明为了解释参考具体的实施方案描述。然而,上述解释性的探讨并不意味着是彻底的或局限于公开的明确形式。根据上述教导的许多修改和变化是可能的。选择和描述该实施方案是为了最佳地解释相关的原理及其实际应用,从使其他本领域技术人员能够最佳地使用各种实施方案,进行或不进行适合于预期特定使用的各种修改
权利要求
1.一种用于在至少ー个在线服务系统中在跨多个域的组件之间传播信任关系的计算机实施的方法,该方法包括以下步骤 通过ー个在线服务系统中的ー个第一域中的第一计算机系统来试图验证一个在线服务系统的ー个第二域中的第二计算机系统的ー个证书; 通过该第一计算机系统来确定在该第一域的第一计算机系统与该第二域中之间不存在イM任关系; 响应于确定了在该第一域中的第一计算机系统与该第二域之间不存在信任关系,通过该第一计算机系统来确定是否在在第一域与该第二域之间存在ー种信任关系; 通过该第一计算机系统将该第一域与该第二域之间的ー种信任状态传播到在该第一域中的第一计算机系统上;并且 通过该第一计算机系统来确定是否响应于所传播的信任状态而验证该第二计算机系统的证书。
2.如权利要求I所述的方法,其中通过该第一计算机系统来确定在该第一域的计算机系统与与第二域之间不存在信任关系进一歩包括 通过该第一计算机系统来确定在该第一域中的第一计算机系统与该第二域的ー个公共密钥基础设施系统之间不存在信任关系。
3.如权利要求I所述的方法,其中通过该第一计算机系统来确定是否在该第一域与该第二域之间存在信任关系进一歩包括 通过该第一计算机系统来确定是否在该第一域的公共密钥基础设施系统与该第二域的公共密钥基础设施系统之间存在ー种信任关系。
4.如权利要求I所述的方法,其中通过该第一计算机系统来确定是否在第一域和第二域之间存在信任关系进一歩包括 通过该第一计算机系统来接收该第一域的公共密钥基础设施系统的多种信任关系;井且 确定是否与该第二域的ー种信任关系是在该第一域的公共密钥基础设施系统的这些被接收的信任关系之中。
5.如权利要求I所述的方法,其中通过该第一计算机系统来确定是否在该第一域与该第二域之间存在信任关系进一歩包括 通过该第一计算机系统来询问该第一域的公共密钥基础设施系统是否与该第二域具有ー种信任关系。
6.如权利要求I所述的方法,其中通过该第一计算机系统将该第一域与该第二域之间的这种信任状态传播到该第一域中的第一计算机系统上进一歩包括 通过该第一计算机系统来接收该第一域的公共密钥基础设施的多种信任关系;并且 通过该第一计算机系统将该第一域的公共密钥基础设施系统的这些被接收到信任关系延伸到该第一域中的第一计算机系统上。
7.如权利要求I所述的方法,其中通过该第一计算机系统将该第一域与该第二域之间的这种信任状态传播到该第一域中的第一计算机系统上进一歩包括 通过该第一计算机系统从该第一域的ー个公共密钥基础设施系统上接收该第一域的公共密钥基础设施系统与该第二域具有ー种信任关系的指示;并且通过该第一计算机系统将该第一域的公共密钥基础设施系统与该第二域的这种信任关系延伸到该第一域中的计算机系统上。
8.如权利要求I所述的方法,其中通过该第一计算机系统来确定是否响应于所传播的信任状态来验证该第二计算机系统的证书进一歩包括 响应于将该第一域的公共密钥基础设施系统与该第二域的ー种信任关系延伸到该第一域中的第一计算机系统上,通过在该第一域中的第一计算机来验证在该第二域中的第二计算机系统的证书。
9.如权利要求I所述的方法,其中通过该第一计算机系统来确定是否响应于所传播的信任状态而验证该第二计算机系统的证书进一歩包括 响应于未检测该第一域的ー个公共密钥基础设施系统与该第二域的ー种信任关系,不通过在该第一域中的第一计算机系统验证在该第二域中的第二计算机系统的证书。
10.如权利要求I所述的方法,其中 该第一域是在ー个第一在线服务系统中,该第二域在ー个第二在线服务系统中。
11.至少ー个存储计算机程序产品的计算机可读存储媒质,该计算机程序产品用于在至少ー个在线服务系统中的跨多个域的组件之间传播多种信任关系,该计算机程序产品包括 用于通过一个在线服务系统的ー个第一域中的一个计算机系统试图验证ー个在线服务系统的ー个第二域中的ー个第二计算机系统的证书的程序代码; 用于通过该第一计算机系统确定在该第一域中的计算机系统与该第二域之间不存在信任关系的程序代码; 响应于确定了在该第一域中的第一计算机系统与该第二域之间不存在信任关系,用于通过该第一计算机系统确定是否在该第一域与该第二域之间存在信任关系的程序代码; 用于通过该第一计算机系统将该第一域与该第二域之间的ー种信任状态传播到该第一域的第一计算机系统上的程序代码;以及 用于通过该第一计算机系统确定是否响应于所传播的信任状态验证该第二计算机系统的证书的程序代码。
12.如权利要求11所述的计算机程序产品,其中用于通过该第一计算机系统确定在该第一域的第一计算机系统与该第二域之间不存在信任关系的程序代码进一歩包括 用于通过该第一计算机系统确定在该第一域的第一计算机系统与该第二域的ー个公共密钥基础设施系统之间不存在信任关系的程序代码。
13.如权利要求11所述的计算机程序产品,其中用于通过第一计算机系统确定是否在该第一域与该第二域之间存在ー种信任关系的程序代码进一歩包括 用于通过该第一计算机系统确定是否在该第一域的公共密钥基础设施系统与该第二域的公共密钥基础设施系统之间存在ー种信任关系的程序代码。
14.如权利要求11所述的计算机程序产品,其中用于通过第一计算机系统确定是否在该第一域与该第二域之间存在ー种信任关系的程序代码进一歩包括 用于通过该第一计算机系统接收该第一域的公共密钥基础设施系统的多种信任关系的程序代码;以及 用于确定是否与该第二域的ー种信任关系是在该第一域的公共密钥基础设施系统的这些被接收的信任关系之中。
15.一种用于在至少ー个在线服务系统的跨多个域的组件之间传播信任关系的计算机系统,该计算机系统包括 用于通过一个在线服务系统的ー个第一域中的ー个第一计算机系统试图验证ー个在线服务系统的ー个第二域的ー个第二计算机系统的证书的装置; 用于通过该第一计算机系统确定在该第一域的第一计算机系统与该第二域之间不存在信任关系的装置; 响应于确定了在该第一域中的第一计算机系统与该第二域之间不存在信任关系,用于通过第一计算机系统确定是否在该第一域与该第二域之间存在ー种信任关系的装置; 用于通过该第一计算机系统将该第一域与该第二域之间的ー种信任状态传播到该第一域的第一计算机系统的装置; 用于通过该第一计算机系统确定是否响应于所传播的信任状态验证该第二计算机系统的证书的装置。
全文摘要
一个在线服务系统中的信任关系是建立在域级别上,并且当它们试图跨域通信时传播到这些域的组件上。在试图进行跨域通信时,在第一域中的一个第一组件试图验证在第二域中的一个第二组件的证书。在对证书进行验证的尝试表明在该第一组件与该第二域之间不存在一种信任关系的情况下,该第一组件确定在这两个域之间的是否存在一种域级别信任关系。这个第一组件将在第一和第二域之间的这种信任状态传播给自己。若在第一域和第二域之间存在一种现有的信任关系,该第一组件对此做出响应而验证该第二组件的证书。第二组件执行相同的过程以完成连接。
文档编号H04L9/32GK102625985SQ201080040293
公开日2012年8月1日 申请日期2010年9月15日 优先权日2009年9月15日
发明者A·克里斯坦森, G·哈纳, J·阿南德, S·维达帕里, W·勃朗宁 申请人:赛门铁克公司