[发明专利]具有替代数字证书的网络安全系统、方法及存储介质

说明书

诸如网络安全设备之类的计算设备接收证书链中的一个或多个数字证书，并生成形成替代证书链的一个或多个替代数字证书。可以使用来自所接收到的证书链的对应数字证书的证书信息来生成替代证书。在一些情况下，所接收到的证书链可以具有受信任的根证书，所述受信任的根证书是所接收到的证书链的信任锚，并且所生成的替代证书链可以具有不同的受信任根证书，所述不同的受信任根证书是所述替代证书链的所述信任锚。所述证书链的加密密钥可用于建立加密保护的通信会话。所述计算设备可以利用所述证书链中包括的加密密钥来监控网络流量以对数据进行加密。可以对所述加密数据进行解密和检查，以确定是否以不正确的方式传输敏感信息。

相关申请的交叉引用

本申请要求2017年2月13日提交的标题为“NETWORK SECURITY WITH SURROGATEDIGITAL CERTIFICATES”的美国专利申请号15/431,496的优先权，其公开内容通过引用整体并入本文。

背景技术

在许多背景下，计算资源和相关数据的安全性非常重要。作为示例，组织通常利用计算设备的网络来向它们的用户提供一组稳健的服务。网络通常跨越多个地理边界，且常常与其他网络连接。例如，组织可使用计算资源的内部网络和由其他组织管理的计算资源两者来支持其操作。例如，该组织的计算机可与其他组织的计算机进行通信以访问数据和/或提供数据，同时使用另一个组织的服务。在许多情况下，组织使用由其他组织管理的硬件来配置并操作远程网络，从而降低基础设施成本并实现其他优点。在具有此类计算资源配置的情况下，确保对它们所持有的资源和数据的访问安全可能具有挑战性，尤其是随着此类配置的大小和复杂性的增长。

现代加密算法提供高水平的数据安全性。然而，一个组织内的用户和实体使用加密操作可能会给该组织监控网络的安全性并确保敏感信息(例如，商业秘密、社会安全号码、信用卡号码、私人医疗信息)不会以不适当的方式传输(无论是无意的还是恶意的)带来挑战。

附图说明

将参考附图来描述各种技术，在附图中：

图1示出了可以实践各种实施方案的环境的说明性示例；

图2示出了替代证书链的说明性示例；

图3示出了握手过程的说明性示例；

图4示出了监控网络流量的网络安全设备的说明性示例；

图5示出了根据各种实施方案的数据包的说明性示例；

图6示出了图示用于建立加密保护的通信会话的过程的图；

图7示出了图示用于生成替代证书链的过程的图；

图8示出了图示用于监控和保护网络上的敏感数据的过程的图；以及

图9说明了可实现各种实施方案的环境。

具体实施方式

本文档描述了用于通过使用替代数字证书来防止未授权的数据导出以及确保信息安全的技术。本文档中描述的系统可用于生成、存储、分发和使用替代数字证书，替代数字证书可由一个或多个网络安全设备用于跟踪网络活动并检测敏感信息是否以不正确的方式传输。敏感信息可以包括组织的商业秘密、私人信息等。不应传输的敏感信息的示例可包括信用卡号码、社会安全号码和帐户密码。网络安全设备可以用于监控、跟踪敏感信息跨网络的传输，且响应于这种传输来执行动作。