经代理安全会话的粒度卸载制造技术

本公开的各实施例总体上涉及经代理安全会话的粒度卸载。具体地，一种设备可以接收与安全会话相关联的加密流量。设备可以基于加密流量确定与将被应用于与安全会话相关联的加密流量的卸载服务相关联的信息。与卸载服务相关联的信息可以指示加密流量被允许旁路一个或多个安全性服务的检查。设备可以选择性地允许与安全会话相关联的加密流量基于与卸载服务相关联的信息来旁路一个或多个安全性服务的检查。的检查。的检查。

【技术实现步骤摘要】
经代理安全会话的粒度卸载
[0001]本申请是申请日为2017年4月28日、优先权日为2017年2月 10日、申请号为201710292396.5、专利技术名称为“用于经代理的安全会 话的粒度卸载的方法、设备和介质”的专利申请的分案申请。


[0002]本公开的各实施例总体上涉及计算机网络，具体地涉及经代理安 全会话的粒度卸载。

技术介绍

[0003]传输层安全性(TLS)及其前身安全套接字层(SSL)(某些时 候均被称为SSL)是提供网络上安全通信的密码协议。例如，TLS可 以为与应用(诸如，web浏览应用、电子邮件应用、即时消息应用、 IP语音(VoIP)应用等)相关联的流量提供隐私和数据完整性。

技术实现思路

[0004]根据某些可能的实现方式，一种设备可以包括一个或多个处理器 用于：接收与安全会话相关联的加密流量；基于加密流量，确定与将 被应用于与安全会话相关联的加密流量的卸载服务相关联的信息，其 中与卸载服务相关联的信息可以指示加密流量被允许旁路一个或多 个安全性服务的检查；以及选择性地允许与安全会话相关联的加密流 量基于与卸载服务相关联的信息来旁路一个或多个安全性服务的检 查。
[0005]在一个实施例中，其中一个或多个处理器可以进一步用于：确定 与将被应用于与安全会话相关联的加密流量的一个或多个安全性服 务相关联的服务信息，服务信息标识一个或多个安全性服务需要访问 对应于加密流量的解密流量的方式，以便应用一个或多个安全性服 务；并且其中一个或多个处理器在确定与卸载服务相关联的信息时用 于：基于与一个或多个安全性服务相关联的服务信息，确定与卸载服 务相关联的信息。
[0006]在另一实施例中，其中服务信息可以包括标识以下至少一项的信 息：将被一个或多个安全性服务检查的数据的类型；将被一个或多个 安全性服务检查的加密流量的方向；期间一个或多个安全性服务用于 检查加密流量的时间段；将被一个或多个安全性服务检查的数据量； 或者触发一个或多个安全性服务检查加密流量的特定事件。
[0007]在另一实施例中，其中一个或多个处理器可以进一步用于：标识 加密流量的方向；并且其中一个或多个处理器在选择性地允许加密流 量旁路一个或多个安全性服务的检查时用于：基于加密流量的方向， 选择性地允许加密流量旁路一个或多个安全性服务的检查。
[0008]在另一实施例中，其中一个或多个处理器可以进一步用于：标识 加密流量中包括的消息的类型；并且其中一个或多个处理器在选择性 地允许加密流量旁路一个或多个安全性服务的检查时用于：基于加密 流量中包括的消息的类型，选择性地允许加密流量旁路一个或多个安 全性服务的检查。
[0009]在另一实施例中，其中一个或多个处理器可以进一步用于：确定 与安全会话相关联的阈值是否已经被满足；并且其中一个或多个处理 器在选择性地允许加密流量旁路一个或多个安全性服务的检查时用 于：基于与安全会话相关联的阈值是否已经被满足，选择性地允许加 密流量旁路一个或多个安全性服务的检查。
[0010]在另一实施例中，其中阈值包括标识以下至少一项的信息：将被 一个或多个安全性服务检查的、与安全会话相关联的数据量；或者期 间与安全会话相关联的加密流量将被检查的时间段。
[0011]根据某些可能的实现方式，一种非瞬态计算机可读介质可以存储 指令，该指令在被一个或多个处理器执行时，使得一个或多个处理器 用于：接收与安全会话相关联的加密流量；基于加密流量，标识将被 应用于与安全会话相关联的加密流量的卸载服务，其中卸载服务可以 指示加密流量是否被允许被转发而不被一个或多个安全性服务检查； 以及基于卸载服务，选择性地转发加密流量而不被一个或多个安全性 服务检查。
[0012]在一个实施例中，其中一个或多个指令在被一个或多个处理器执 行时，可以进一步使得一个或多个处理器用于：确定与一个或多个安 全性服务相关联的服务信息，服务信息可以标识以下至少一项：将被 一个或多个安全性服务检查的数据的类型；将被一个或多个安全性服 务检查的加密流量的方向；期间一个或多个安全性服务用于检查加密 流量的时间段；将被一个或多个安全性服务检查的数据量；或者触发 一个或多个安全性服务检查加密流量的特定事件；并且其中使得一个 或多个处理器标识卸载服务的一个或多个指令可以使得一个或多个 处理器用于：基于与一个或多个安全性服务相关联的服务信息，标识 卸载服务。
[0013]在另一实施例中，其中一个或多个指令在被一个或多个处理器执 行时，可以进一步使得一个或多个处理器用于：标识加密流量的方向； 并且其中使得一个或多个处理器选择性地转发加密流量而不被一个 或多个安全性服务检查的一个或多个指令用于：基于加密流量的方 向，选择性地转发加密流量而不被一个或多个安全性服务检查。
[0014]在另一实施例中，其中一个或多个指令在被一个或多个处理器执 行时，可以进一步使得一个或多个处理器用于：标识加密流量中包括 的消息的类型；并且其中使得一个或多个处理器选择性地转发加密流 量而不被一个或多个安全性服务检查的一个或多个指令用于：基于加 密流量中包括的消息的类型，选择性地转发加密流量而不被一个或多 个安全性服务检查。
[0015]在另一实施例中，其中一个或多个指令在被一个或多个处理器执 行时，可以进一步使得一个或多个处理器用于：确定与安全会话相关 联的数据阈值是否已经被满足，数据阈值标识将被一个或多个安全性 服务检查的、与安全会话相关联的数据量；并且其中使得一个或多个 处理器选择性地转发加密流量而不被一个或多个安全性服务检查的 一个或多个指令用于：基于与安全会话相关联的数据阈值是否已经被 满足，选择性地转发加密流量而不被一个或多个安全性服务检查。
[0016]在另一实施例中，其中一个或多个指令在被一个或多个处理器执 行时，可以进一步使得一个或多个处理器用于：确定与安全会话相关 联的时间阈值是否已经被满足，时间阈值标识期间与安全会话相关联 的加密流量将被一个或多个安全性服务检查的时间段；并且其中使得 一个或多个处理器选择性地转发加密流量而不被一个或多个安全性 服务
检查的一个或多个指令用于：基于与安全会话相关联的时间阈值 是否已经被满足，选择性地转发加密流量而不被一个或多个安全性服 务检查。
[0017]在另一实施例中，其中卸载服务指示没有安全性服务用于检查加 密流量，并且其中使得一个或多个处理器选择性地转发加密流量而不 被一个或多个安全性服务检查的一个或多个指令用于：将加密流量卸 载处理或转发到代理设备的硬件部件。
[0018]根据某些可能的实现方式，一种方法可以包括：由设备确定与将 被应用于与安全会话相关联的加密流量的一个或多个安全性服务相 关联的服务信息，其中服务信息可以标识一个或多个安全性服务需要 访问加密流量的方式，以便应用一个或多个安全性服务；由设备基于 服务信息来标识将被应用于加密流量的卸载服务，其中卸载服务可以 指示加密流量被允许旁路一个或多个安全性服务的检查；由设备接收 本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由设备确定一个或多个安全性服务中没有安全性服务将检查会话的所有流量；由所述设备并且基于确定没有安全性服务将检查所述会话的所有流量，确定所述一个或多个安全性服务将检查客户端到服务器(C2S)方向上的流量；由所述设备并且基于确定所述安全性服务将检查所述C2S方向上的流量，确定卸载服务包括检查以所述C2S方向流动的流量；由所述设备基于确定所述卸载服务包括检查以所述C2S方向流动的所述流量，标识所述卸载服务；以及由所述设备基于标识所述卸载服务来应用所述卸载服务。2.根据权利要求1所述的方法，其中所述会话是安全会话，并且其中以所述C2S方向流动的所述流量包括加密流量。3.根据权利要求1所述的方法，进一步包括：基于确定没有安全性服务将检查所述会话的所有流量，确定所述一个或多个安全性服务中没有安全性服务将检查服务器到客户端(S2C)方向上的流量,其中，确定所述卸载服务包括检查以所述C2S方向流动的所述流量包括：基于确定所述安全性服务将检查所述C2S方向上的流量并且基于确定所述一个或多个安全性服务中没有安全性服务将检查所述S2C方向上的所述流量，确定所述卸载服务包括检查以所述C2S方向流动的所述流量。4.根据权利要求1所述的方法，其中所述卸载服务在所述会话的建立期间被标识。5.根据权利要求1所述的方法，其中所述卸载服务在所述会话的建立之后被标识。6.根据权利要求1所述的方法，其中所述卸载服务基于由客户端设备或者服务器设备提供的请求被标识。7.根据权利要求1所述的方法，其中所述卸载服务基于对所述一个或多个安全性服务的改变被标识。8.根据权利要求1所述的方法，进一步包括：在标识所述卸载服务之后，存储与所述卸载服务相关联的信息。9.根据权利要求8所述的方法，其中与所述卸载服务相关联的所述信息包括以下中的一项或多项：描述加密流量可以旁路由所述设备进行的解密和重新加密的方式的信息，标识所述会话的信息，标识客户端设备或者服务器设备中的至少一个设备的信息，或者标识如下加密流量的阈值量：所述加密流量将在所述C2S方向或者所述S2C方向中的一个或多个方向上被检查。10.一种系统，包括：一个或多个存储器；以及一个或多个处理器，通信地耦合到所述一个或多个存储器，所述一个或多个处理器被配置为：确定一个或多个安全性服务中没有安全性服务将检查会话的所有流量；
基于确定没有安全性服务将检查所述会话的所有流量，确定所述一个或多个安全性服务将检查客户端到服务器(C2S)方向上的流量；基于确定所述安全性服务将检查所述C2S方向上的流量，确定卸载服务包括检查以所述C2S方向流动的流量；基于确定所述卸载服务包括检查以所述C2S方向流动的所述流量，标识所述卸载服务；以及基于标识所述卸载服务来应用所述卸载服务。11.根据权利要求10所述的系统，其中所述一个或多个处理器进一步被配置为：基于确定没有...

【专利技术属性】
技术研发人员：K，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：