利用SSL会话票证扩展的可扩缩中间网络设备制造技术

中间网络设备接收针对通过该网络设备在端点服务器和端点客户端之间进行安全通信会话的请求。端点服务器和端点客户端之间的安全会话被分为第一会话和第二会话。第一会话在端点服务器和网络设备之间。第二会话在网络设备和端点客户端之间。网络设备从端点服务器接收第一会话票证。确定在第一会话中代理客户端的会话状态(包括第一会话票证)。网络设备还确定在第二会话中代理服务器的会话状态。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。

A scalable intermediate network device using SSL session ticket extension

The intermediate network device receives a request for a secure communication session between the endpoint server and the endpoint client through the network device. The security session between the endpoint server and the endpoint client is divided into the first session and the second session. The first session is between the endpoint server and the network device. The second session is between the network device and the endpoint client. The network device receives the first session ticket from the endpoint server. Determine the session status of the proxy client in the first session (including the first session ticket). The network device also determines the session state of the proxy server in the second session. The session state of the proxy client (including the first session ticket) and the session state of the proxy server are encapsulated as part of the second session ticket.

【技术实现步骤摘要】
【国外来华专利技术】利用SSL会话票证扩展的可扩缩中间网络设备
本公开涉及通过中间网络设备的安全通信会话。
技术介绍
传输层安全(TLS)协议包括会话票证(sessionticket)扩展，其允许两台计算机之间的安全通信会话在有限的时间内基于预先知道的状态使用简短握手恢复。会话票证扩展将对应用服务器会话状态的缓存卸载到应用客户端。中间网络设备可以被包括在TLS/安全套接层(SSL)连接的路径中以提供额外服务，诸如防火墙、入侵检测/预防和/或负载平衡。为了参与端点客户端和端点服务器之间使用TLS安全协议的会话，中间设备通常会自行插入并创建两个单独的SSL/TLS会话。中间设备在应用客户端和中间设备处的代理服务器之间创建一个TLS会话。中间设备处的代理客户端发起与应用服务器的第二TLS会话。互联网工程任务组(IETF)征求意见(RFC)5077描述了TLS协议上的TLS会话票证扩展规范。RFC5077描述了在“更改密码规范消息”之前，应用服务器向应用客户端发送新的会话票证。该票证对应用客户端是不透明的，并且被用于使用简短握手建立与应用服务器的相同会话的SSL/TLS连接。附图说明图1是示出根据示例实施例的端点服务器和端点客户端之间的中间网络设备的系统框图。图2是根据示例实施例的中间网络设备的简化框图。图3是示出根据示例实施例的通过中间网络设备发起安全TLS会话的步骤的梯形图。图4是示出根据示例实施例的中间网络设备封装会话状态和端点票证的系统框图。图5是示出根据示例实施例的中间网络设备通过会话票证扩展恢复TLS会话的系统框图。图6是示出根据示例实施例中间网络设备的在代理票证中封装会话标识符以支持传统会话恢复的系统框图。图7是示出根据示例实施例的中间网络设备封装会话状态和会话票证的操作的流程图。具体实施方式概述本文提出了一种计算机实现的方法，其涉及接收针对通过中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求。第一计算设备和第二计算设备之间的安全通信会话被划分为第一会话和第二会话。第一会话在第一计算设备和中间网络设备之间。第二会话在中间网络设备和第二计算设备之间。中间网络设备从第一计算设备接收第一会话票证。在第一会话中代理客户端的会话状态(包括第一会话票证)被确定。在第二会话中代理服务器的会话状态也被确定。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。示例实施例TLS协议会话票证扩展对中间网络设备提供任意额外服务的安全性和可扩缩性带来了挑战。为了支持会话恢复，每个中间网络设备通常存储代理服务器和代理客户端的会话状态以及应用票证。由于单个网络设备可以是用于多个TLS会话的中间设备，所以网络设备存储每个TLS会话的会话状态和票证，限制了网络服务的可扩缩性。本文呈现的技术提供了中间网络设备，用于将与端点服务器的TLS会话的会话票证封装作为针对与端点客户端的TLS会话生成的代理会话票证的一部分。以这种方式，端点客户端能够缓存两个TLS会话的会话票证，并且中间网络设备不需要为其协调的每个TLS会话存储会话票证。中间物还将代理客户端的会话状态和代理服务器的会话状态封装在端点客户端存储的代理会话票证中。现在参考图1，其示出了使用中间网络设备促进端点客户端和端点服务器之间的TLS会话的网络系统100的简化框图。系统100包括多个端点客户端设备110、112、114和116，中间网络设备120和端点服务器130和135。为了支持TLS协议，中间网络设备120使用代理客户端140来参与与端点服务器130和135进行的安全TLS会话。中间网络设备120还使用代理服务器150来参与与端点客户端110、112、114和116进行的安全TLS会话。在一个示例中，端点客户端设备110、112、114和116以及端点服务器130和135可以采取各种形式，包括台式计算机、膝上型计算机、服务器、移动/蜂窝电话、平板计算机、因特网电话等。中间网络设备120可以是例如连接计算设备(例如客户端110、112、114和116以及服务器130和135)的各种类型的网络(例如，因特网、内联网、局域网(LAN)、广域网(WAN)、有线网络、无线网络等的任意组合)中的交换机或路由器。参考图2，其示出了中间网络元件120的简化框图。网络元件120包括用于处理与处理通信分组有关的指令的处理器210、和用于存储各种数据和软件指令(例如，票证封装逻辑230，通信分组等)的存储器220、以及其他可能的组件。网络元件120还包括用于处理流经网络元件120的通信分组的网络处理器专用集成电路(ASIC)240。网络处理器ASIC240处理到端口250、251、252、253、254和来自端口250、251、252、253、254的通信分组。虽然在该示例中仅示出六个端口，但是网络元件120中可以包括任意数量的端口。存储器220可以包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质设备、光学存储介质设备、闪存设备、电存储设备、光存储设备或其他物理/有形(例如，非暂态的)存储设备。处理器210是例如执行用于实现本文所述的处理的指令的微处理器或微控制器。因此，通常，存储器220可以包括编码有包括计算机可执行指令的软件的一个或多个有形(非暂态)计算机可读存储介质(例如，存储器设备)，并且当软件被(处理器210)执行时可操作地执行本文所述的操作。现在参考图3，其示出了根据示例实施例的中间网络设备120将TLS会话划分为两个TLS会话的梯形图。客户端110通过向网络设备120发送具有空会话票证扩展的客户问候(Cline-Hello，CH)消息310以发起TLS会话来启动握手。网络设备120将CH消息310转发到服务器130。服务器130使用在消息320中包括空会话票证扩展的服务器问候(Server-Hello,SH)进行响应，网络设备120将其转发到客户端110。服务器130还将其实际的服务器证书330(例如，由公共证书颁发机构颁发的证书)发送到网络设备120。由于网络设备120可能需要修改该TLS会话中的分组的内容，所以网络设备发起第二TLS会话并且将代理服务器证书335发送到客户端110而不是将实际的服务器证书330发送到客户端110。然后，服务器130发送服务器问候完成(Server-HelloDone)消息340，网络设备120将其转发到客户端110。在另一示例中，网络设备120可以生成新的服务器问候完成消息以发送给客户端110。客户端110发送客户端密钥交换(CKE)消息350、更改密码规范(CCS)消息352和包括消息认证码(MAC-a)的完成消息354。网络设备120转发CKE消息350和CCS消息352，并且生成包括单独的消息认证码(MAC-b)的完成消息356。在另一示例中，网络设备120可以生成不同于客户端110的CKE消息350的新CKE消息，并将新CKE消息发送到服务器130。服务器130发送新的会话票证360以使得在服务器130和网络设备120中的代理客户端之间的TLS会话能够进行将来会话恢复。网络设备120将会话票证360以及代理客户端的会话状态和代理服务器的会话状态封装在代理会话本文档来自技高网...

【技术保护点】
一种方法，包括：在中间网络设备处接收针对通过所述中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求；将所述第一计算设备和所述第二计算设备之间的所述安全通信会话划分为在所述第一计算设备和所述中间网络设备之间的第一会话以及在所述中间网络设备和所述第二计算设备之间的第二会话；在所述中间网络设备处接收来自所述第一计算设备的第一会话票证；确定所述第一会话中的代理客户端的会话状态，所述代理客户端的会话状态包括所述第一会话票证；确定所述第二会话中的代理服务器的会话状态；以及封装所述代理客户端的会话状态和所述代理服务器的会话状态作为第二会话票证的一部分。

【技术特征摘要】
【国外来华专利技术】2015.04.24 US 14/695,4271.一种方法，包括：在中间网络设备处接收针对通过所述中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求；将所述第一计算设备和所述第二计算设备之间的所述安全通信会话划分为在所述第一计算设备和所述中间网络设备之间的第一会话以及在所述中间网络设备和所述第二计算设备之间的第二会话；在所述中间网络设备处接收来自所述第一计算设备的第一会话票证；确定所述第一会话中的代理客户端的会话状态，所述代理客户端的会话状态包括所述第一会话票证；确定所述第二会话中的代理服务器的会话状态；以及封装所述代理客户端的会话状态和所述代理服务器的会话状态作为第二会话票证的一部分。2.根据权利要求1所述的方法，还包括响应所述第一计算设备来初始化所述第一会话。3.根据权利要求1所述的方法，还包括作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分，发送所述第二会话票证到所述第二计算设备。4.根据权利要求3所述的方法，还包括通过以下步骤恢复所述第二会话：从所述第二计算设备接收所述第二会话票证；以及响应所述第二计算设备来恢复所述第二会话。5.根据权利要求4所述的方法，还包括通过以下步骤恢复所述第一会话：从所述第二会话票证撷取所述代理客户端的会话状态、所述代理服务器的会话状态和所述第一会话票证；复制所述代理客户端的会话状态；从所述代理客户端的会话状态撷取所述第一会话票证；复制所述代理服务器的会话状态；以及将所述第一会话票证发送到所述第一计算设备。6.根据权利要求5所述的方法，还包括解密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。7.根据权利要求1所述的方法，还包括加密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。8.一种装置，包括：网络接口单元，其被配置为通过网络发送和接收通信；和处理器，其被配置为：经由所述网络接口单元接收针对所述第一计算设备和所述第二计算设备之间的安全通信会话的请求；将所述第一计算设备和所述第二计算设备之间的安全通信会话划分为在所述第一计算设备和所述代理客户端模块之间的第一会话以及在所述代理服务器模块和所述第二计算设备之间的第二会话；经由所述网络接口单元接收来自所述第一计算机的第一会话票证；确定所述代理客户端模块的会话状态，所述代理客户端模块的会话状态包括所述第一会话票证；确定针对所述第二会话的所述代理服务器模块的会话状态；以及封装所述代理客户端模块的会话状态和所述代理服务器模块的会话状态作为第二会话票证的一部分。9.根据权利要求8所述的装置，其中所述处理器还被配置为响应所述第一计算设备来初始化所述第一会话。10.根据权利要求8所述的装置，其中所述处理器还被配置为经由所述网络接口单元发送所述第二会话票证到所述第二计算设备，作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分。11.根据权利要求10所述的装置，其中所述处理器还被配置为通过以下方式恢复所述第...

【专利技术属性】
技术研发人员：吕承宁，埃坦·本努恩，梅帕利·贾雅迪瓦·库马尔，尼基尔·拉温德拉·拉吉古鲁，莎基拉·约书亚，理查德·林，艾利莎·凯尔迪奥，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US