[发明专利]自主私钥恢复

说明书

本文描述的方法允许无状态设备恢复至少一个私钥。特别地，无状态设备可以向目录服务提供服务帐户凭证以建立第一会话，并且使用与无状态设备相关联的信息来获取证书和私钥。无状态设备可以在第一会话结束之前存储其私钥。然后，无状态设备可以向目录服务提供用户帐户凭证以建立第二会话。在第二会话开始之后，无状态设备可以获取私钥。

技术领域

无状态计算通常是指不在其内存储任何唯一的软件配置或状态的计算设备(或无状态设备)。任何必要的配置来自作为其计算资源外部设备。无状态计算在过去几十年中越来越受欢迎。这部分是因为个人计算机(PC)有本地存储，这可能会被破坏，感染病毒或被黑客劫持。此外，无状态设备越来越多地被使用，因为它们减少了停机时间，易于维护和更好的网络安全性。

虚拟机通常是特定计算机系统的无状态仿真。虽然无状态虚拟机可以存储数据，但是当无状态虚拟机会话结束时，所存储的数据不会持久。虚拟机由在作为其资源的物理机器(或主机)上运行的超管理器(hypervisor)创建和执行。在主机上运行的每个虚拟机通常被称为客户机，它可以具有相应的操作系统(或客户操作系统)。

虚拟机还可以访问目录服务(例如，Microsoft的Active Directory)。目录服务是在计算机操作系统的目录中存储，组织和提供对信息的访问的软件系统。由Microsoft为Windows计算机开发的Active Directory提供一个目录服务系统，并且被包括作为WindowsServer OS的一部分，作为设置的流程和服务。例如，Active Directory提供可定制的服务，用于在使用公钥基础设施(public key infrastructure，PKI)的软件安全系统中颁发和管理证书。Active Directory可以创建一个或多个证书管理机构，其可以接收对证书(如数字证书)请求，验证请求中的信息，颁发证书和撤销证书。

然而，无状态虚拟机不能存储证书(和相关密钥)，因为它们没有持久存储器。当大量的虚拟机启动并请求新的证书和私钥时，这会出现诸如网络延迟等问题。此外，当许多虚拟机每次重新启动都需要新的密钥时，检测未经授权的证书请求变得更加困难。

附图说明

下面说明示出本公开的示例性实施例的附图。在图中：

图1是与本公开的实施例一致的示例性网络环境的框图。

图2是与本公开的实施例一致的示例性虚拟环境的框图。

图3是与本公开的实施例一致的包括域控制器的示例性环境的框图。

图4是表示与本公开的实施例一致的提供私钥的示例性方法的流程图。

图5是表示与本公开的实施例一致的存储和检索私钥的示例性方法的流程图。

图6A-6B是与本公开的实施例一致的示例性计算设备的框图。

具体实施方式

下面详细说明根据本公开实现的示例性实施例，其示例在附图中示出。在可能的情况下，在所有附图中将使用相同的附图标记来指代相同或相似的部件。

目录服务，如Active Directory，提供存储证书及其相关密钥的服务。一个这样的服务是凭证漫游(credential roaming)。凭证漫游允许用户使用多台计算机，并且能够使用相同的证书和私钥，而不管他们使用哪台计算机。如果用户使用没有证书和私钥的设备登录到具有用户帐户的域，则凭证漫游可以存储和/或检索该设备的证书和私钥。

仅某些类型的域帐户可以使用凭证漫游。例如，尽管用户帐户和一些管理服务帐户可以使用凭证漫游，但是凭证漫游不能被网络服务帐户使用。