经代理安全会话的粒度卸载制造技术

本公开的各实施例总体上涉及经代理安全会话的粒度卸载。具体地，一种设备可以接收与安全会话相关联的加密流量。设备可以基于加密流量确定与将被应用于与安全会话相关联的加密流量的卸载服务相关联的信息。与卸载服务相关联的信息可以指示加密流量被允许旁路一个或多个安全性服务的检查。设备可以选择性地允许与安全会话相关联的加密流量基于与卸载服务相关联的信息来旁路一个或多个安全性服务的检查。

Granularity uninstall of proxy safe session

The embodiments of the disclosure generally involve granularity offloading by proxy security sessions. Specifically, a device can receive encrypted traffic associated with a secure session. The device can determine information associated with the unload service that will be applied to the encrypted traffic associated with the secure session based on the encrypted traffic. The information associated with the uninstall service can indicate that the encrypted traffic is allowed to bypass the check of one or more security services. Devices can selectively allow encryption traffic associated with secure sessions to bypass the check of one or more security services based on information associated with the uninstall service.

【技术实现步骤摘要】
经代理安全会话的粒度卸载
本公开的各实施例总体上涉及计算机网络，具体地涉及经代理安全会话的粒度卸载。
技术介绍
传输层安全性(TLS)及其前身安全套接字层(SSL)(某些时候均被称为SSL)是提供网络上安全通信的密码协议。例如，TLS可以为与应用(诸如，web浏览应用、电子邮件应用、即时消息应用、IP语音(VoIP)应用等)相关联的流量提供隐私和数据完整性。
技术实现思路
根据某些可能的实现方式，一种设备可以包括一个或多个处理器用于：接收与安全会话相关联的加密流量；基于加密流量，确定与将被应用于与安全会话相关联的加密流量的卸载服务相关联的信息，其中与卸载服务相关联的信息可以指示加密流量被允许旁路一个或多个安全性服务的检查；以及选择性地允许与安全会话相关联的加密流量基于与卸载服务相关联的信息来旁路一个或多个安全性服务的检查。在一个实施例中，其中一个或多个处理器可以进一步用于：确定与将被应用于与安全会话相关联的加密流量的一个或多个安全性服务相关联的服务信息，服务信息标识一个或多个安全性服务需要访问对应于加密流量的解密流量的方式，以便应用一个或多个安全性服务；并且其中一个或多个处理器在确定与卸载服务相关联的信息时用于：基于与一个或多个安全性服务相关联的服务信息，确定与卸载服务相关联的信息。在另一实施例中，其中服务信息可以包括标识以下至少一项的信息：将被一个或多个安全性服务检查的数据的类型；将被一个或多个安全性服务检查的加密流量的方向；期间一个或多个安全性服务用于检查加密流量的时间段；将被一个或多个安全性服务检查的数据量；或者触发一个或多个安全性服务检查加密流量的特定事件。在另一实施例中，其中一个或多个处理器可以进一步用于：标识加密流量的方向；并且其中一个或多个处理器在选择性地允许加密流量旁路一个或多个安全性服务的检查时用于：基于加密流量的方向，选择性地允许加密流量旁路一个或多个安全性服务的检查。在另一实施例中，其中一个或多个处理器可以进一步用于：标识加密流量中包括的消息的类型；并且其中一个或多个处理器在选择性地允许加密流量旁路一个或多个安全性服务的检查时用于：基于加密流量中包括的消息的类型，选择性地允许加密流量旁路一个或多个安全性服务的检查。在另一实施例中，其中一个或多个处理器可以进一步用于：确定与安全会话相关联的阈值是否已经被满足；并且其中一个或多个处理器在选择性地允许加密流量旁路一个或多个安全性服务的检查时用于：基于与安全会话相关联的阈值是否已经被满足，选择性地允许加密流量旁路一个或多个安全性服务的检查。在另一实施例中，其中阈值包括标识以下至少一项的信息：将被一个或多个安全性服务检查的、与安全会话相关联的数据量；或者期间与安全会话相关联的加密流量将被检查的时间段。根据某些可能的实现方式，一种非瞬态计算机可读介质可以存储指令，该指令在被一个或多个处理器执行时，使得一个或多个处理器用于：接收与安全会话相关联的加密流量；基于加密流量，标识将被应用于与安全会话相关联的加密流量的卸载服务，其中卸载服务可以指示加密流量是否被允许被转发而不被一个或多个安全性服务检查；以及基于卸载服务，选择性地转发加密流量而不被一个或多个安全性服务检查。在一个实施例中，其中一个或多个指令在被一个或多个处理器执行时，可以进一步使得一个或多个处理器用于：确定与一个或多个安全性服务相关联的服务信息，服务信息可以标识以下至少一项：将被一个或多个安全性服务检查的数据的类型；将被一个或多个安全性服务检查的加密流量的方向；期间一个或多个安全性服务用于检查加密流量的时间段；将被一个或多个安全性服务检查的数据量；或者触发一个或多个安全性服务检查加密流量的特定事件；并且其中使得一个或多个处理器标识卸载服务的一个或多个指令可以使得一个或多个处理器用于：基于与一个或多个安全性服务相关联的服务信息，标识卸载服务。在另一实施例中，其中一个或多个指令在被一个或多个处理器执行时，可以进一步使得一个或多个处理器用于：标识加密流量的方向；并且其中使得一个或多个处理器选择性地转发加密流量而不被一个或多个安全性服务检查的一个或多个指令用于：基于加密流量的方向，选择性地转发加密流量而不被一个或多个安全性服务检查。在另一实施例中，其中一个或多个指令在被一个或多个处理器执行时，可以进一步使得一个或多个处理器用于：标识加密流量中包括的消息的类型；并且其中使得一个或多个处理器选择性地转发加密流量而不被一个或多个安全性服务检查的一个或多个指令用于：基于加密流量中包括的消息的类型，选择性地转发加密流量而不被一个或多个安全性服务检查。在另一实施例中，其中一个或多个指令在被一个或多个处理器执行时，可以进一步使得一个或多个处理器用于：确定与安全会话相关联的数据阈值是否已经被满足，数据阈值标识将被一个或多个安全性服务检查的、与安全会话相关联的数据量；并且其中使得一个或多个处理器选择性地转发加密流量而不被一个或多个安全性服务检查的一个或多个指令用于：基于与安全会话相关联的数据阈值是否已经被满足，选择性地转发加密流量而不被一个或多个安全性服务检查。在另一实施例中，其中一个或多个指令在被一个或多个处理器执行时，可以进一步使得一个或多个处理器用于：确定与安全会话相关联的时间阈值是否已经被满足，时间阈值标识期间与安全会话相关联的加密流量将被一个或多个安全性服务检查的时间段；并且其中使得一个或多个处理器选择性地转发加密流量而不被一个或多个安全性服务检查的一个或多个指令用于：基于与安全会话相关联的时间阈值是否已经被满足，选择性地转发加密流量而不被一个或多个安全性服务检查。在另一实施例中，其中卸载服务指示没有安全性服务用于检查加密流量，并且其中使得一个或多个处理器选择性地转发加密流量而不被一个或多个安全性服务检查的一个或多个指令用于：将加密流量卸载处理或转发到代理设备的硬件部件。根据某些可能的实现方式，一种方法可以包括：由设备确定与将被应用于与安全会话相关联的加密流量的一个或多个安全性服务相关联的服务信息，其中服务信息可以标识一个或多个安全性服务需要访问加密流量的方式，以便应用一个或多个安全性服务；由设备基于服务信息来标识将被应用于加密流量的卸载服务，其中卸载服务可以指示加密流量被允许旁路一个或多个安全性服务的检查；由设备接收与安全会话相关联的加密流量；以及由设备基于卸载服务以及加密流量中包括的信息，选择性地允许加密流量旁路一个或多个安全性服务的检查。在一个实施例中，其中服务信息可以包括标识以下至少一项的信息：将被一个或多个安全性服务检查的数据的类型；将被一个或多个安全性服务检查的加密流量的方向；期间一个或多个安全性服务用于检查加密流量的时间段；将被一个或多个安全性服务检查的数据量；或者触发一个或多个安全性服务检查加密流量的特定事件。在另一实施例中，可以进一步包括：标识加密流量的方向；并且其中选择性地允许加密流量旁路一个或多个安全性服务的检查包括：基于加密流量的方向，选择性地允许加密流量旁路一个或多个安全性服务的检查。在另一实施例中，可以进一步包括：标识加密流量中包括的消息的类型；并且其中选择性地允许加密流量旁路一个或多个安全性服务的检查包括：基于加密流量中包括的消息的类型，选择性地允许加密流量旁路一本文档来自技高网...

【技术保护点】
1.一种设备，包括：用于接收与安全会话相关联的加密流量的装置；用于基于所述加密流量，确定与将被应用于与所述安全会话相关联的所述加密流量的卸载服务相关联的信息的装置，与所述卸载服务相关联的所述信息指示所述加密流量是否被允许旁路一个或多个安全性服务的检查；以及用于选择性地允许与所述安全会话相关联的所述加密流量基于与所述卸载服务相关联的所述信息来旁路所述一个或多个安全性服务的检查的装置。

【技术特征摘要】
2017.02.10 US 15/429,7341.一种设备，包括：用于接收与安全会话相关联的加密流量的装置；用于基于所述加密流量，确定与将被应用于与所述安全会话相关联的所述加密流量的卸载服务相关联的信息的装置，与所述卸载服务相关联的所述信息指示所述加密流量是否被允许旁路一个或多个安全性服务的检查；以及用于选择性地允许与所述安全会话相关联的所述加密流量基于与所述卸载服务相关联的所述信息来旁路所述一个或多个安全性服务的检查的装置。2.根据权利要求1所述的设备，进一步包括：用于确定与将被应用于与所述安全会话相关联的所述加密流量的所述一个或多个安全性服务相关联的服务信息的装置，所述服务信息标识所述一个或多个安全性服务需要访问对应于所述加密流量的解密流量的方式，以便应用所述一个或多个安全性服务；并且其中所述用于确定与所述卸载服务相关联的所述信息的装置包括：用于基于与所述一个或多个安全性服务相关联的所述服务信息，确定与所述卸载服务相关联的所述信息的装置。3.根据权利要求2所述的设备，其中所述服务信息包括标识以下至少一项的信息：将被所述一个或多个安全性服务检查的数据的类型；将被所述一个或多个安全性服务检查的加密流量的方向；期间所述一个或多个安全性服务用于检查所述加密流量的时间段；将被所述一个或多个安全性服务检查的数据量；或者触发所述一个或多个安全性服务检查所述加密流量的特定事件。4.根据权利要求1所述的设备，进一步包括：用于标识所述加密流量的方向的装置；并且其中所述用于选择性地允许所述加密流量旁路所述一个或多个安全性服务的检查的装置包括：用于基于所述加密流量的所述方向，选择性地允许所述加密流量旁路所述一个或多个安全性服务的检查的装置。5.根据权利要求1所述的设备，进一步包括：用于标识所述加密流量中包括的消息的类型的装置；并且其中所述用于选择性地允许所述加密流量旁路所述一个或多个安全性服务的检查的装置包括：用于基于所述加密流量中包括的所述消息的所述类型，选择性地允许所述加密流量旁路所述一个或多个安全性服务的检查的装置。6.根据权利要求1所述的设备，进一步包括：用于确定与所述安全会话相关联的阈值是否已经被满足的装置；并且其中所述用于选择性地允许所述加密流量旁路所述一个或多个安全性服务的检查的装置包括：用于基于与所述安全会话相关联的所述阈值是否已经被满足，选择性地允许所述加密流量旁路所述一个或多个安全性服务的检查的装置。7.根据权利要求6所述的设备，其中所述阈值包括标识以下至少一项的信息：将被所述一个或多个安全性服务检查的、与所述安全会话相关联的数据量；或者期间与所述安全会话相关联的加密流量将被检查的时间段。8.一种存储指令的非瞬态计算机可读介质，所述指令包括：一个或多个指令，在被一个或多个处理器执行时，使得所述一个或多个处理器用于：接收与安全会话相关联的加密流量；基于所述加密流量，标识将被应用于与所述安全会话相关联的所述加密流量的卸载服务，所述卸载服务指示所述加密流量是否被允许被转发而不被一个或多个安全性服务检查；以及基于所述卸载服务，选择性地转发所述加密流量而不被所述一个或多个安全性服务检查。9.根据权利要求8所述的非瞬态计算机可读介质，其中所述一个或多个指令在被所述一个或多个处理器执行时，进一步使得所述一个或多个处理器用于：确定与所述一个或多个安全性服务相关联的服务信息，所述服务信息标识以下至少一项：将被所述一个或多个安全性服务检查的数据的类型；将被所述一个或多个安全性服务检查的加密流量的方向；期间所述一个或多个安全性服务用于检查所述加密流量的时间段；将被所述一个或多个安全性服务检查的数据量；或者触发所述一个或多个安全性服务检查所述加密流量的特定事件；并且其中使得所述一个或多个处理器标识所述卸载服务的所述一个或多个指令使得所述一个或多个处理器用于：基于与所述一个或多个安全性服务相关联的所述服务信息，标识所述卸载服务。10.根据权利要求8所述的非瞬态计算机可读介质，其中所述一个或多个指令在被所述一个或多个处理器执行时，进一步使得所述一个或多个处理器用于：标识所述加密流量的方向；并且其中使得所述一个或多个处理器选择性地转发所述加密流量而不被所述一个或多个安全性服务检查的所述一个...

【专利技术属性】
技术研发人员：K·S·雷迪，R·查尤贝，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国,US