本發明專利技術涉及用于跨越在客戶機和服務器之間部署的中間裝置分離代理安全套接字層(SSL)通信的系統和方法。該方法包括由服務器側中間裝置與服務器建立SSL會話。客戶機側中間裝置可以使用從服務器側中間裝置接收的SSL配置信息與客戶機建立第二SSL會話。這兩個中間裝置可以經由第三SSL會話進行通信。服務器側中間裝置可以使用第一SSL會話的會話密鑰對從服務器接收的數據進行解密。服務器側中間裝置可以經由第三SSL會話向客戶機側中間裝置傳輸使用第三SSL會話的會話密鑰加密的數據。客戶機側中間裝置可以使用第三SSL會話的會話密鑰對該加密的數據對進行解密。客戶機側中間裝置可以向客戶機傳輸使用第二SSL會話的會話密鑰加密的數據。
【技術實現步驟摘要】
【國外來華專利技術】用于經由WAN設備分離代理SSL的系統和方法相關串請本申請要求2010年4月21日提交的、名稱為“SYSTEMS ANDMETHODS FOR SPLIT PROXYING OF SSL VIA WAN APPLIANCES” 的美國專利申請 No. 12/764633 的優先權,通過引用將該美國專利申請全部包含于此。
本申請總的涉及數據通信網絡。本申請尤其涉及用于經由廣域網(wan)設備對 SSL進行分離代理的系統和方法。
技術介紹
可以通過跨越一個或多個網絡的一個或多個中間裝置對在諸如客戶機和服務器的兩個網絡端點之間的通信進行中轉。這些中間裝置的示例包括網關、路由器、交換機和其他網絡設備。可以通過安全連接,例如SSL會話連接,來提供客戶機和服務器之間的端到端通信。客戶機和服務器之間的中間裝置可便于SSL會話連接的建立,以及例如經由虛擬專用網(VPN)為客戶機或服務器提供屏蔽保護。在一些情況下,在兩個端點之間的多個中間裝置可跨越一個或多個網絡提供數據加速和其他服務。每個中間裝置還可以充當服務器或客戶機的代理,代表該服務器或客戶機中轉或處理數據。
技術實現思路
本申請涉及用于跨越客戶機和服務器之間部署的多個中間裝置或廣域網(WAN)設備分離代理SSL通信的方法和系統。中間裝置可以與服務器建立安全連接,例如SSL連接。 另一個中間裝置可以與客戶機建立安全連接,例如SSL連接。這兩個中間裝置可以用這兩個中間裝置之間的又一個安全連接來橋接該客戶機側和服務器側的連接。可以使用一個或多個加密密鑰來保證這三個連接安全。當從服務器向客戶機傳輸數據時,本系統可以給每個安全連接分配密鑰并且隔離每個密鑰在所分配的安全連接中的使用,而不是跨越中間裝置共享和/或傳遞加密密鑰信息。相應地,使用對應的加密密鑰來加密經由每個安全連接發送的數據,并且可以在該安全連接的接收端使用相同的加密密鑰來對所述數據進行解密(例如從服務器發送的且由中間裝置A接收的數據)。在經由又一個安全連接重新傳輸之前,可以使用又一個加密密鑰來對所接收的數據進行加密并且相應地在接收端使用后一個密鑰來對所述數據進行解密(例如,從中間裝置A發送的且在又一個中間裝置B處接收的數據)。因此,可以使用本文所述的方法和系統經由代理(即中間裝置)在兩個端點(例如,客戶機和/或服務器)之間實現多個安全連接。相應地,每個連接可以是安全的并且是隔離的, 而沒有沿該數據傳輸路徑跨越代理不當地暴露對應的加密密鑰。在一個方面,本專利技術涉及用于跨越客戶機和服務器之間部署的中間裝置分離代理安全套接字層(SSL)通信的方法。該方法包括由與服務器通信的第一中間裝置與服務器建立第一 SSL會話。與一個或多個客戶機通信的第二中間裝置可以使用從第一中間裝置接收的SSL配置信息與客戶機建立第二 SSL會話。第二中間裝置和第一中間裝置可以經由第三 SSL會話進行通信。第一中間裝置可以使用第一 SSL會話的第一會話密鑰對從所述服務器接收的加密的數據進行解密。第一中間裝置可以經由第三SSL會話向第二中間裝置傳輸使用第三SSL會話的第三會話密鑰加密的所述數據。第二中間裝置可以使用該第三會話密鑰對經由第三SSL會話加密的所述數據進行解密。第二中間裝置可以向所述客戶機傳輸使用第二 SSL會話的第二會話密鑰加密的所述數據。在一些實施例中,第二中間裝置向第一中間裝置傳輸來自客戶機的與服務器建立傳輸層連接的請求。第一中間裝置可以修改該請求以指示第二中間裝置執行安全套接字層 (SSL)加速。第一中間裝置可以向第二中間裝置傳輸識別用于客戶機側SSL代理的SSL配置的消息。第二中間裝置可以使用從第一中間裝置接收的該SSL配置向客戶機傳輸服務器問候、服務器證書和服務器問候結束消息。第一中間裝置可以向第二中間裝置傳輸執行分離SSL代理的請求。在一些實施例中,第二中間裝置向第一中間裝置傳輸對加密操作的請求。第一中間裝置可以代表第二中間裝置執行所請求的加密操作,并且向第二中間裝置傳送對所述請求的響應。第一中間裝置可以使用在第一中間裝置上存儲的壓縮歷史對所接收的數據進行壓縮。第二中間裝置可以使用在第二中間裝置上存儲的所述壓縮歷史對所接收的數據進行解壓縮。第一中間裝置和第二中間裝置可以從由第一中間裝置和第二中間裝置中的每一個維護的預先建立的SSL會話池識別第三SSL會話。 在又一個方面,本專利技術涉及用于跨越客戶機和服務器之間部署的中間裝置分離代理安全套接字層(SSL)通信的系統。該系統可以包括用于由與服務器通信的第一中間裝置與服務器建立第一安全套接字層(SSL)會話的裝置。該系統可以包括用于由與一個或多個客戶機通信的第二中間裝置使用從第一中間裝置接收的SSL配置信息與客戶機建立第二安全套接字層(SSL)會話的裝置。第二中間裝置和第一中間裝置可以經由第三SSL會話進行通信。該系統可以包括用于由第一中間裝置使用第一 SSL會話的第一會話密鑰對從所述服務器接收的加密的數據進行解密的裝置。該系統可以包括用于由第一中間裝置經由第三 SSL會話向第二中間裝置傳輸使用第三SSL會話的第三會話密鑰加密的所述數據的裝置。 該系統可以包括用于由第二中間裝置使用所述第三會話密鑰對經由第三SSL會話加密的數據進行解密的裝置。在一個實施例中,該系統包括用于由第二中間裝置向所述客戶機傳輸使用第二 SSL會話的第二會話密鑰加密的所述數據的裝置。在一些實施例中,該系統包括用于由第二中間裝置向第一中間裝置傳輸來自客戶機的、與服務器建立傳輸層連接的請求的裝置。第一中間裝置可以修改該請求以指示第二中間裝置執行安全套接字層(SSL)加速。該系統可以包括用于由第一中間裝置向第二中間裝置傳輸識別用于客戶機側SSL代理的SSL配置的消息的裝置。在一個實施例中,該系統包括用于由第二中間裝置使用從第一中間裝置接收的所述SLL配置向客戶機傳輸服務器問候、服務器證書以及服務器問候結束消息的裝置。該系統可以包括用于由第一中間裝置向第二中間裝置傳輸執行分離SSL代理的請求的裝置。在一些實施例中,該系統包括用于由第二中間裝置向第一中間裝置傳輸對加密操作請求的裝置。該系統可以包括用于由第一中間裝置代表第二中間裝置執行所請求的加密操作,并且向第二中間裝置傳送對所述請求的響應的裝置。該系統可以包括用于由第一中5間裝置使用在第一中間裝置上存儲的壓縮歷史對所接收的數據進行壓縮的裝置。在一個實施例中,該系統包括用于由第二中間裝置使用在第二中間裝置上存儲的所述壓縮歷史對所接收的數據進行解壓縮的裝置。該系統可以包括用于由第一中間裝置和第二中間裝置從由第一中間裝置和第二中間裝置中的每一個維護的預先建立的SSL會話池識別第三SSL會話的裝置。在附圖和下文的描述中詳細闡述本專利技術的各種實施例的細節。附圖說明通過參考下面結合附圖的描述,本專利技術的前述和其它目的、方面、特征和優點,將會更加明顯并更易于理解,其中圖IA是客戶機通過一個或多個網絡優化設備訪問服務器的網絡環境的實施例的框圖IB是客戶機通過一個或多個網絡優化設備連同其他網絡設備訪問服務器的網絡環境的又一個實施例的框圖IC是客戶機通過單獨部署的或者與其他網絡設備一起部署的單個網絡優化設備訪問服務器的網絡環境的又一個實施例的框圖ID和IE是計算裝置的實施例的框圖2本文檔來自技高網...
【技術保護點】
【技術特征摘要】
【國外來華專利技術】2010.04.21 US 12/764,6331.一種用于跨越在客戶機和服務器之間部署的中間裝置分離代理安全套接字層 (SSL)通信的方法,所述方法包括a)由與服務器通信的第一中間裝置與服務器建立第一安全套接字層(SSL)會話;b)由與一個或多個客戶機通信的第二中間裝置使用從所述第一中間裝置接收的SSL 配置信息與客戶機建立第二安全套接字層(SSL)會話,所述第二中間裝置和所述第一中間裝置經由第三SSL會話進行通信;c)由所述第一中間裝置使用所述第一SSL會話的第一會話密鑰對從所述服務器接收的加密的數據進行解密;d)由所述第一中間裝置經由所述第三SSL會話向所述第二中間裝置傳輸使用所述第三SSL會話的第三會話密鑰加密的所述數據;e)由所述第二中間裝置使用所述第三會話密鑰對經由所述第三SSL會話加密的所述數據進行解密;以及f)由所述第二中間裝置向所述客戶機傳輸使用所述第二SSL會話的第二會話密鑰加密的所述數據。2.根據權利要求I所述的方法,其中步驟(a)還包括由所述第二中間裝置向所述第一中間裝置傳輸來自所述客戶機的與所述服務器建立傳輸層連接的請求,所述第一中間裝置修改所述請求以向所述第二中間裝置指示執行安全套接字層(SSL)加速。3.根據權利要求I所述的方法,其中步驟(b)還包括由所述第一中間裝置向所述第二中間裝置傳輸識別用于客戶機側SSL代理的SSL配置的消息。4.根據權利要求3所述的方法,其中步驟(b)還包括由所述第二中間裝置使用從所述第一中間裝置接收的所述SLL配置向所述客戶機傳輸服務器問候、服務器證書以及服務器問候結束消息。5.根據權利要求3所述的方法,其中步驟(b)還包括由所述第一中間裝置向所述第二中間裝置傳輸執行分離SSL代理的請求。6.根據權利要求I所述的方法,還包括由所述第二中間裝置向所述第一中間裝置傳輸對加密操作的請求。7.根據權利要求6所述的方法,還包括由所述第一中間裝置代表所述第二中間裝置執行所請求的加密操作,并且向所述第二中間裝置傳送對所述請求的響應。8.根據權利要求I所述的方法,其中步驟(c)還包括由所述第一中間裝置使用在所述第一中間裝置上存儲的壓縮歷史對所接收的數據進行壓縮。9.根據權利要求I所述的方法,其中步驟(e)還包括由所述第二中間裝置使用在所述第二中間裝置上存儲的所述壓縮歷史來對所接收的數據進行解壓縮。10.根據權利要求I所述的方法,還包括由所述第一中間裝置和所述第二中間裝置從由所述第一中間裝置和所述第二中間裝置中的每一個所維護的預先建立的SSL會話池中識別所述第...
【專利技術屬性】
技術研發人員:M·奧夫斯安尼科夫,
申請(專利權)人:思杰系統有限公司,
類型:
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。