The intermediate network device receives a request for a secure communication session between the endpoint server and the endpoint client through the network device. The security session between the endpoint server and the endpoint client is divided into the first session and the second session. The first session is between the endpoint server and the network device. The second session is between the network device and the endpoint client. The network device receives the first session ticket from the endpoint server. Determine the session status of the proxy client in the first session (including the first session ticket). The network device also determines the session state of the proxy server in the second session. The session state of the proxy client (including the first session ticket) and the session state of the proxy server are encapsulated as part of the second session ticket.
【技术实现步骤摘要】
【国外来华专利技术】利用SSL会话票证扩展的可扩缩中间网络设备
本公开涉及通过中间网络设备的安全通信会话。
技术介绍
传输层安全(TLS)协议包括会话票证(sessionticket)扩展,其允许两台计算机之间的安全通信会话在有限的时间内基于预先知道的状态使用简短握手恢复。会话票证扩展将对应用服务器会话状态的缓存卸载到应用客户端。中间网络设备可以被包括在TLS/安全套接层(SSL)连接的路径中以提供额外服务,诸如防火墙、入侵检测/预防和/或负载平衡。为了参与端点客户端和端点服务器之间使用TLS安全协议的会话,中间设备通常会自行插入并创建两个单独的SSL/TLS会话。中间设备在应用客户端和中间设备处的代理服务器之间创建一个TLS会话。中间设备处的代理客户端发起与应用服务器的第二TLS会话。互联网工程任务组(IETF)征求意见(RFC)5077描述了TLS协议上的TLS会话票证扩展规范。RFC5077描述了在“更改密码规范消息”之前,应用服务器向应用客户端发送新的会话票证。该票证对应用客户端是不透明的,并且被用于使用简短握手建立与应用服务器的相同会话的SSL/TLS连接。附图说明图1是示出根据示例实施例的端点服务器和端点客户端之间的中间网络设备的系统框图。图2是根据示例实施例的中间网络设备的简化框图。图3是示出根据示例实施例的通过中间网络设备发起安全TLS会话的步骤的梯形图。图4是示出根据示例实施例的中间网络设备封装会话状态和端点票证的系统框图。图5是示出根据示例实施例的中间网络设备通过会话票证扩展恢复TLS会话的系统框图。图6是示出根据示例实施例中间网络设备的在代理票证中封装会 ...
【技术保护点】
一种方法,包括:在中间网络设备处接收针对通过所述中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求;将所述第一计算设备和所述第二计算设备之间的所述安全通信会话划分为在所述第一计算设备和所述中间网络设备之间的第一会话以及在所述中间网络设备和所述第二计算设备之间的第二会话;在所述中间网络设备处接收来自所述第一计算设备的第一会话票证;确定所述第一会话中的代理客户端的会话状态,所述代理客户端的会话状态包括所述第一会话票证;确定所述第二会话中的代理服务器的会话状态;以及封装所述代理客户端的会话状态和所述代理服务器的会话状态作为第二会话票证的一部分。
【技术特征摘要】
【国外来华专利技术】2015.04.24 US 14/695,4271.一种方法,包括:在中间网络设备处接收针对通过所述中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求;将所述第一计算设备和所述第二计算设备之间的所述安全通信会话划分为在所述第一计算设备和所述中间网络设备之间的第一会话以及在所述中间网络设备和所述第二计算设备之间的第二会话;在所述中间网络设备处接收来自所述第一计算设备的第一会话票证;确定所述第一会话中的代理客户端的会话状态,所述代理客户端的会话状态包括所述第一会话票证;确定所述第二会话中的代理服务器的会话状态;以及封装所述代理客户端的会话状态和所述代理服务器的会话状态作为第二会话票证的一部分。2.根据权利要求1所述的方法,还包括响应所述第一计算设备来初始化所述第一会话。3.根据权利要求1所述的方法,还包括作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分,发送所述第二会话票证到所述第二计算设备。4.根据权利要求3所述的方法,还包括通过以下步骤恢复所述第二会话:从所述第二计算设备接收所述第二会话票证;以及响应所述第二计算设备来恢复所述第二会话。5.根据权利要求4所述的方法,还包括通过以下步骤恢复所述第一会话:从所述第二会话票证撷取所述代理客户端的会话状态、所述代理服务器的会话状态和所述第一会话票证;复制所述代理客户端的会话状态;从所述代理客户端的会话状态撷取所述第一会话票证;复制所述代理服务器的会话状态;以及将所述第一会话票证发送到所述第一计算设备。6.根据权利要求5所述的方法,还包括解密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。7.根据权利要求1所述的方法,还包括加密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。8.一种装置,包括:网络接口单元,其被配置为通过网络发送和接收通信;和处理器,其被配置为:经由所述网络接口单元接收针对所述第一计算设备和所述第二计算设备之间的安全通信会话的请求;将所述第一计算设备和所述第二计算设备之间的安全通信会话划分为在所述第一计算设备和所述代理客户端模块之间的第一会话以及在所述代理服务器模块和所述第二计算设备之间的第二会话;经由所述网络接口单元接收来自所述第一计算机的第一会话票证;确定所述代理客户端模块的会话状态,所述代理客户端模块的会话状态包括所述第一会话票证;确定针对所述第二会话的所述代理服务器模块的会话状态;以及封装所述代理客户端模块的会话状态和所述代理服务器模块的会话状态作为第二会话票证的一部分。9.根据权利要求8所述的装置,其中所述处理器还被配置为响应所述第一计算设备来初始化所述第一会话。10.根据权利要求8所述的装置,其中所述处理器还被配置为经由所述网络接口单元发送所述第二会话票证到所述第二计算设备,作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分。11.根据权利要求10所述的装置,其中所述处理器还被配置为通过以下方式恢复所述第...
【专利技术属性】
技术研发人员:吕承宁,埃坦·本努恩,梅帕利·贾雅迪瓦·库马尔,尼基尔·拉温德拉·拉吉古鲁,莎基拉·约书亚,理查德·林,艾利莎·凯尔迪奥,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。