用于在不用局部可访问的私有密钥的情况下终止SSL连接的方法、装置和系统制造方法及图纸

一种互联网基础设施传递平台(例如，由服务提供者操作)提供RSA代理“服务”作为SSL协议的增强，其将加密的预主秘密(ePMS)的解密卸载到外部服务器。利用此服务，代替“局部地”解密ePMS，SSL服务器代理向RSA代理服务器组件(转发)ePMS并且在响应中接收解密的预主秘密。以这样的方式，解密密钥不需要与SSL服务器关联地存储。

【技术实现步骤摘要】
【国外来华专利技术】在不用局部可访问的私有密钥的情况下终止SSL连接本申请基于并要求2011年12月16日提出的序列号N0.61/554，571的优先权。
本申请一般涉及利用诸如SSL之类的加密协议的基于网络安全的通信。
技术介绍
分布式计算机系统在现有技术中是公知的。一个这样的分布式计算机系统是由服务提供者操作并管理的“内容传递网络”或“CDN”。服务提供者通常代表使用服务提供者的基础设施的第三方(用户)提供内容传递服务。此类型的分布式系统通常是指由网络或多个网络与软件、系统、协议和技术一起链接的独立计算机的集合，所述技术被设计以便于各种服务，诸如内容传递、网络应用加速、或外包源站点基础设施的其它支持。CDN服务提供者通常经由数字属性(诸如网站)提供服务传递，其被在用户门户中提供并且然后被布置到网络。数字属性通常被绑定到允许服务提供者负责业务并给它的用户开帐单的一个或多个边缘配置。 安全套接层(SSL)是用于通过诸如互联网之类的网络进行安全通信的公知的加密协议。诸如SSL之类的加密协议通常基于公共密钥加密录系统，诸如RSA(Rivest，Shamir和Adelman)加密算法。对于传统的基于RSA的SSL会话，连接的两方达成用于生成用于会话的其余部分的参数的“预主秘密”(PMS)的协议。通常，两方使用RSA非对称加密以建立预主秘密而不用明文交换实际值。在操作中，SSL客户端生成预主秘密并且利用SSL服务器的公开可用的RSA密钥加密它。这生成加密的预先主秘密(ePMS)，其然后被提供到SSL服务器。SSL服务器具有私有解密密钥，其用于解密加密的预主秘密。在这一点上，客户端和服务器都具有原始的预主秘密并且可以使用它以生成用于实际加密和安全数据交换的对称密钥。 解密加密的预先主秘密是在SSL连接中需要私有密钥的仅有的时机。此解密出现在所谓的SSL终点处。在许多实例中，SSL终点是不安全的，并且因此那里的密钥的储存和使用呈现重大的安全风险。
技术实现思路
互联网基础设施传递平台(例如，由服务提供者操作的)提供RSA代理“服务”作为SSL协议的增强，其将加密的预主秘密(ePMS)的解密卸载给外部服务器。利用此服务，代替“局部地”解密ePMS，SSL服务器向RSA代理服务器组件代理(转发)ePMS并且在响应中接收解密的预主秘密。以这样的方式，解密密钥不需要与SSL服务器关联地存储。 在一个系统实施例中，第一网络可访问位置中的至少一个机器包括RSA代理服务器软件程序，并且第二网络可访问位置中的至少一个机器包括RSA代理客户端软件程序。RSA代理服务器软件程序与RSA代理客户端软件程序每个都包括用于建立并且维护其间的安全(例如，相互验证的SSL)连接的代码。RSA代理客户端软件通常与SSL服务器组件(诸如OpenSSL)联合运行。但是，根据此公开，SSL解密密钥不可被RSA代理客户端软件访问。相反地，加密的预主秘密的解密被卸载到RSA代理服务器软件程序。在操作中，RSA代理客户端软件程序通过相互验证的SSL连接接收并且向RSA代理服务器软件程序转发与从终端用户客户端程序(例如，SSL启动的网络浏览器、本地移动应用，等)接收(在RSA代理客户端处)的新的SSL握手请求相关联的加密的预主秘密。RSA代理服务器软件程序利用在RSA代理服务器软件程序处维持并且否则RSA代理客户端软件程序不可访问的解密密钥来解密加密的预主秘密。RSA代理服务器软件程序然后通过相互验证的SSL连接将解密的预先主秘密返回到RSA代理客户端软件程序。终端终用户客户端程序和SSL服务器组件二者都然后拥有预主秘密(并且可以使用它生成用于加密它们之间的连接的对称密钥)。 虽然不意指限制，但是第一网络可访问位置是与实体相关联的数据中心，并且第二网络可访问位置是远离第一网络可访问位置的物理位置。在两个位置之间，数据中心(在其处RSA代理服务器组件运行)是更安全的。 上文已经概述了本专利技术的更多相关特征中的一些。这些特征应当被解释为仅仅说明性的。可以通过以不同的方式应用公开的专利技术或通过修改将描述的专利技术获得许多其它有益结果。 【附图说明】 为了更完全地理解本专利技术和它的优点，现在结合附图参考以下描述，其中: 图1是示出了配置为内容传递网络(CDN)的公知的分布式计算机系统的方框图； 图2是代表性的⑶N边缘机器配置； 图3示出了在一个实施例中可以实践本主题公开的代表性防火墙后网络配置；以及 图4示出了此公开的RSA代理技术。 【具体实施方式】 图1示出了公知的分布式计算机系统，其(如同下面描述的)是由这里所述技术扩展以提供单个基于HTTP的平台，能够将广播观众规模的在线HD视频传递到最流行的运行时环境和固定线路和移动环境中的最新设备。 在公知的系统中，诸如图1所示，分布式计算机系统100被配置为CDN并且被认为具有102a-n个绕着互联网分布的机器集合。通常，大部分机器是接近互联网，即，在或相邻终端用户接入网络的边缘设置的服务器。网络操作命令中心(NOCC) 104管理系统中各个机器的操作。诸如网站106之类的第三方站点将传递内容(例如，HTML、嵌入式页对象、流媒体、软件下载、等等)卸载到分布式计算机系统100，并且具体地到“边缘”服务器。通常，内容提供者通过将给定内容提供者域或子域化名(例如，由DNS CNAME)到由服务提供者的权威性域名服务管理的域来卸载他们的内容传递。期望内容的终端用户被引导到分布式计算机系统以更可靠并且高效地获得那些内容。尽管未详细地示出，但是分布式计算机系统也可以包括其它基础设施，诸如分布式数据收集系统108，其收集来自于边缘服务器的使用和其它数据，跨区域或区域集合聚集数据，并且将数据传递到其它后端系统110、112、114和116以便于监控、记录、提醒、计费、管理和其它操作和管理功能。分布式网络代理118监控网络以及服务器负荷并提供网络、业务和负荷数据到DNS查询处理机制115，其对于由⑶N管理的内容域是权威性的。分布式数据传输机制120可以用来将控制信息(例如，管理内容、便于负荷均衡的元数据，等等)分布到边缘服务器。 如图2所示，给定机器200包括运行支持一个或多个应用206a_n的操作系统内核(诸如Linux或变体)204的商品硬件(例如，Intel奔腾处理器)202。为了便于内容传递服务，例如，给定机器通常运行应用的集合，诸如HTTP代理207 (有时被称为“全球主机”或“克隆(ghost) ”进程)、名称服务器208、本地监控进程210、分布式数据收集进程212，等等。对于流媒体，机器通常包括一个或多个媒体服务器，诸如Windows媒体服务器(WMS)或Flash服务器，根据支持的媒体格式。 CDN边缘服务器被配置为提供一个或多个扩展的内容传递特征，优选地基于域特定、用户特定，优选地利用使用配置系统分布给边缘服务器的配置文件。给定配置文件优选是基于XML的并且包括便于一个或多个高级内容处理特征的内容处理规则和指令的集合。配置文件可以经由数据传输机制被传递到⑶N边缘服务器。美国专利N0.7，111，057示出了用于传递并管理边缘服务器内容控制信息的有用基础设施，并且这些和本文档来自技高网...

【技术保护点】
一种装置，包括：处理器；计算机存储器，保存被适配为由处理器运行的程序代码，所述程序代码被配置为代理服务器的客户端组件，包括：用于建立到代理服务器的远程服务器组件的安全连接的代码；用于经由该安全连接从客户端接收与新的SSL握手请求相关联的加密的预主秘密并且将其转发到代理服务器的远程服务器组件的代码，所述加密的预主秘密被适配为利用在代理服务器的远程服务器组件处保持并且否则客户端组件不可访问的解密密钥被解密；以及用于经由该安全连接从代理服务器的远程服务器组件接收解密的预主秘密的代码，所述预主秘密已被在代理服务器的远程服务器组件处保持的解密密钥解密。

【技术特征摘要】
【国外来华专利技术】2011.12.16 US 61/576,378;2012.12.14 US 13/714,6561.一种装置，包括: 处理器； 计算机存储器，保存被适配为由处理器运行的程序代码，所述程序代码被配置为代理服务器的客户端组件，包括: 用于建立到代理服务器的远程服务器组件的安全连接的代码； 用于经由该安全连接从客户端接收与新的SSL握手请求相关联的加密的预主秘密并且将其转发到代理服务器的远程服务器组件的代码，所述加密的预主秘密被适配为利用在代理服务器的远程服务器组件处保持并且否则客户端组件不可访问的解密密钥被解密；以及 用于经由该安全连接从代理服务器的远程服务器组件接收解密的预主秘密的代码，所述预主秘密已被在代理服务器的远程服务器组件处保持的解密密钥解密。2.如权利要求1所述的装置，还包括用于使用解密的预主秘密生成主秘密的代码。3.如权利要求2所述的装置，还包括用于将主秘密返回到客户端以用于客户端与该装置之间的安全通信的代码。4.如权利要求1所述的装置，其中利用不对称RSA加密来建立预主秘密。5.一种安全通信的方法，包括 : 接收包括加密的秘密数据值的握手请求，所述秘密数据值已被在客户端处生成； 通过安全连接将加密的秘密数据值代理到计算实体，在该计算实体处解密密钥可以应用于加密的秘密数据值以恢复秘密数据值； 通过安全连接从该计算实体接收秘密数据值；以及 利用秘密数据值生成用于加密回到客户端的连接的密钥。6.一种系统,包括: 在第一网络可访问位置中的至少一个机器，其包括在硬件上运行的RSA代理服务器软件程序； 在第二网络可访问位置中的至少一个机器，其包括在硬件上运行的RSA代理客户端软件程序； 所述RSA代理服务器软件程序和RSA代理客户端软件程序每个都包括用于建立并维护在其间的安全连接的代码； 所述RSA代理客户端软件程序被适配为通过安全连接从客户端接收与新的SSL握手请求相关联的加密的预主秘密并将其转发到RSA代理服务器软件程序； 所述RSA代理服务器软件程序被适配为接收从RSA代理客户端软件程序转发的加密的预主秘密并且利用在RSA代理服务器软件程序处保持并且否则RSA代理客户端软件程序不可访问的解密密钥来解密加密的预主秘密； 所述RSA代理服务器软...

【专利技术属性】
技术研发人员：C·E·盖罗，J·N·莎皮罗，D·J·布尔达，
申请(专利权)人：阿卡麦科技公司，
类型：发明
国别省市：美国;US