[发明专利]分配安全区域访问凭证的方法和装置

说明书

本公开涉及一种分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法和装置。该方法包括：在第一认证服务器处获取该第一安全区域中的第一计算设备的设备指纹；对设备指纹进行第一验证，从而得到第一验证结果，其中对设备指纹进行第一验证包括在第一验证的第一进程启动时，生成第一进程的第一验证进程指纹；在第一验证结果为通过的情况下，通过用所述网络的第二安全区域中的第二认证服务器的公钥对设备指纹、第一验证进程指纹和第一验证结果的组合进行加密来生成所述第一安全区域访问凭证；以及将第一安全区域访问凭证分配给第一计算设备。本公开还涉及一种分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法和装置。

技术领域

本公开涉及跨网络的安全区域进行登录的技术，更具体地涉及与跨网络的安全区域进行登录有关的用于分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法和装置，以及分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法和装置。

背景技术

在传统的网络(例如，各种局域网)中，为了安全管理的需要，经常会对网络进行安全区域的划分。通常，将具有相同安全等级和/或相同安全需求的计算机划入同一安全区域内，并在各安全区域的边界处通过区域边界设备(例如，堡垒机、跳板机、专门的管理平台或WEB服务器)来进行访问控制。例如，出于商业秘密的考虑，各企业的企业网络(诸如，企业内网)往往会按照安全等级被划分成多个不同的安全区域。例如，在简单划分的情况下，企业网络可被划分为办公网和运维网两个安全区域，又如在复杂划分的情况下，企业网络还可按照部门的职能被划分多个安全区域。在这些情况下，任何两个不同的安全区域之间均仅通过处于相应的两个安全区域之间的边界处的区域边界设备来实现连通，因此当用户(例如，企业员工)需要利用其处于网络(例如，企业网络)的第一安全区域的第一计算设备登录到处于具有更高安全等级的第二安全区域的第二计算设备进行作业时，通常需要先登录到区域边界设备，并且在认证通过之后才能经由该跳板机之类的设备登录到处于该第二安全区域的计算设备来进行期望作业。

发明内容

针对以上技术问题以及其他潜在的技术问题，本公开的实施例提供了分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法和装置，以及分配用于访问网络的第二安全区域的第二安全区域访问凭证的方法和装置，以使得在跨安全区域进行登录的过程中，不需要利用密码或密钥来进行维护，而且不会增加网络被攻击的风险。

具体而言，本公开的第一方面提供了一种分配用于访问网络的第一安全区域的第一安全区域访问凭证的方法，所述方法包括：在所述第一安全区域中的第一认证服务器处获取所述第一安全区域中的第一计算设备的设备指纹；对所述设备指纹进行第一验证，从而得到第一验证结果，其中对所述设备指纹进行第一验证包括在所述第一验证的第一进程启动时，生成所述第一进程的第一验证进程指纹；在所述第一验证结果为通过的情况下，通过用所述网络的第二安全区域中的第二认证服务器的公钥对所述设备指纹、所述第一验证进程指纹和所述第一验证结果的组合进行加密来生成所述第一安全区域访问凭证；以及将所述第一安全区域访问凭证分配给所述第一计算设备。

本公开的第二方面提供了一种用于分配用于访问网络的第一安全区域的第一安全区域访问凭证的装置，包括：处理器；存储器，所述存储器耦合至所述处理器并且存储有指令，当所述指令执行时使得所述处理器执行以下操作：获取所述第一安全区域中的第一计算设备的设备指纹；对所述设备指纹进行第一验证，从而得到第一验证结果，其中对所述设备指纹进行第一验证包括在所述第一验证的第一进程启动时，生成所述第一进程的第一验证进程指纹；在所述第一验证结果为通过的情况下，通过用所述网络的第二安全区域中的第二认证服务器的公钥对所述设备指纹、所述第一验证进程指纹和所述第一验证结果的组合进行加密来生成所述第一安全区域访问凭证；以及将所述第一安全区域访问凭证分配给所述第一计算设备。