[发明专利]计算机网络系统中的认证方法、数据处理设备

说明书

提供了计算机网络系统中的认证方法、数据处理设备。公开了用于基于由远程安全机构为客户端主机发布的安全凭证而在计算机网络系统中进行认证的方法和设备。响应于检测到客户端主机无法从远程安全机构获得用于访问目标主机的安全凭证，客户端主机可以从应急安全凭证储存器获得应急安全凭证。具有错误状态指示的应急安全凭证可以从客户端主机发送到目标主机以用于认证。

技术领域

本公开涉及计算机网络系统中的认证，更具体地涉及客户端主机到目标主机的认证是基于由安全凭证机构发布的安全凭证的设置。

背景技术

计算机网络系统使得诸如用户设备、服务器、机器类型装置以及其他数据处理设备的计算装置能够传送数据。物理数据处理装置经常被称为主机。主机还可以设置在虚拟化环境中，例如包括虚拟机(VM)或容器。容器的较特定示例是Linux^TM容器或等同物。

客户端主机可能由于各种原因而需要经由计算机网络系统访问目标主机。对计算机网络系统中的主机的访问可以以各种方式来配置。访问系统的非限制性示例包括基于网络(web)的访问、基于安全协议(例如，安全外壳协议；SSH)的访问、文件传输访问、远程过程调用访问和/或软件升级访问。不管访问方法如何，安全都可能变成关注点，并且已经提出用于提高数据安全的各种解决方案。根据客户端主机的解决方案，在访问客户端主机与目标主机之间执行认证过程。认证可以基于由安全凭证机构(通常为由信任方操作的安全服务器设备)发布的安全凭证。这种安全凭证的示例包括由证书机构(CA)服务器发布的安全证书。

所发布的安全凭证可以被配置为仅具有有限的寿命。寿命可以较短，例如，仅长至足以使得认证过程能够运行其周期。寿命还可以是有限的，使得安全凭证仅可以使用一次，或者仅用于有限数量的访问。安全凭证的使用还可以以其他方式来限制。由此，客户端主机可能需要每当它想要访问目标主机时或较频繁地从安全凭证机构请求新的安全凭证。

如果客户端主机在对于访问将需要安全凭证时无法从安全凭证机构获得安全凭证，则会发生有问题的情况。例如，错误状况会防止客户端主机获得所需凭证。常见的错误状况包括链接错误和服务器故障，但存在凭证传送结构无法适当工作的许多其他原因。这在需要自动化访问的应用中特别成问题。这种场景的示例包括物联网(IoT)应用以及其他机器到机器类型通信。

注意，上面讨论的问题不限于任何特定通信协议和数据处理设备，而是可能发生在凭证发布机构的安全凭证用于认证访问方的任何计算化系统中。

发明内容

根据第一方面，提供了一种用于基于由远程安全机构为客户端主机发布的安全凭证而在计算机网络系统中进行认证的方法，方法包括以下步骤：检测客户端主机无法从远程安全机构获得用于访问目标主机的安全凭证；响应于所述检测，由客户端主机从应急安全凭证储存器获得应急安全凭证；以及从客户端主机向目标主机发送具有错误状态指示的应急安全凭证。

根据更具体的方面，从远程安全机构接收包括错误状态指示的应急安全凭证，并且将所接收的应急安全凭证存储在客户端主机处或由主机存储到外部储存器。

在从安全机构接收应急安全凭证时，客户端主机可以将所接收的应急安全凭证存储在储存器中，以响应于检测到客户端主机无法从远程安全机构获得安全凭证而随后使用。在启动从安全机构获得用于访问目标主机的安全凭证的过程时，可以确定无法从远程安全机构获得安全凭证。响应于该检测，从储存器取得所存储的应急安全凭证，以发送给目标主机。

根据另一个方面，提供了一种用于基于由安全机构为客户端主机发布的安全凭证对到计算机网络中的目标主机的访问进行认证的方法，方法包括以下步骤：

在目标主机处从客户端主机接收与访问请求关联的应急安全凭证；检测与所接收的应急凭证关联的错误指示，该错误指示表明客户端主机无法从远程安全机构获得用于访问目标主机的安全凭证；以及响应于所述检测，与基于应急安全凭证处理访问请求关联地执行至少一个附加安全操作。