至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查制造技术

一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间至少部分地建立安全通信信道的电路。该信道可包括在第一域和第二域内的第一域会话和第二域会话。电路可产生第一域会话密钥和第二域会话密钥，这些域会话密钥至少部分地分别对第一域会话和第二域会话进行加密。第一域会话密钥可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集而产生。第二域会话密钥可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集而产生。

【技术实现步骤摘要】
【国外来华专利技术】
本公开涉及至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查。
技术介绍
在一种传统配置中，企业网可包括与第二网络节点耦合的第一网络节点。第二网络节点可使企业网耦合至包括第三网络节点的外部网。第二网络接ロ可为企业网提供安全特征，所述安全特征涉及从企业网传至外部网(反之亦然)的分组的检查和/或分析。在这种传统网络配置中，第一网络节点和第三网络节点可彼此交換经加密的通信。这些通信可基于由第一网络节点和第三网络节点交換的、但不对第二网络节点公开的 密钥来执行。这可防止第二网络节点有能カ对第一网络节点和第三网络节点之间经加密的通信内容进行有意义的检查和/或分析。不利的是，这可能危及企业网的安全性，或不利地影响企业网(例如通过将诸如病毒等引入到企业网)。此外，相对大数量的安全连接可能越过第二网络节点。在这种传统配置中，为了执行这种有意义的检查和/或其它分析，第二网络节点将这些连接中的每ー个与其相应的密钥和/或其它信息相关联。这可能在这种传统配置中引发显著的连接可扩展性问题，这种问题会显著降低这种传统配置中可处理的连接数量和这种传统配置中这种处理可执行的速度两者。另外，在这种传统配置中，这些安全连接的数量和特征随时间流逝可能不是静态的，事实上，其数量和特征在相对短的时间间隔内可能剧烈地变化。给定这些动态变化的连接，为了能执行这种有意义的检查和/或其它分析，可能要对第二网络节点施加显著数量的连接同步处理开销。另外，在这种传统配置中，第一节点和第三节点之间的每个相应安全连接可能涉及第ニ节点和第三节点之间的相应安全连接。对于第二网络节点和第三网络节点之间的每个相应安全连接，第二网络节点可与第三网络节点协商相应的密钥，该密钥可用来建立相应的安全连接。假设在这种传统配置中可能存在相对大量的连接，可能会发生不合需的大量密钥协商以及关联的握手，并且在第二节点和第三节点之间可能对不合需的大量密钥作出协商。另外，这种传统配置中也可能牵涉到对不合需的大量密钥的存储和处理。附图说明各实施例的特征和优势将随着下面详细说明的深入和对附图的參照而变得清楚，其中相同的附图标记表示相同的部件，在附图中图I示出一系统实施例。图2示出一实施例中的特征。图3示出一实施例中的特征。图4示出一实施例中的特征。图5示出一实施例中的操作。尽管下面的详细说明将參照示例性实施例而予以展开，然而其许多替代、修正和变化对本领域内技术人员而言将是清楚的。因此，所要求的主题事项应当广泛地予以审视。具体实施例方式图I示出一系统实施例100。系统100可包括企业域51，该企业域51可通信地耦合至另ー域70。域70可至少部分地位于企业 域51之外，并可至少部分地包括和/或利用互联网域。企业网51可包括一个或多个客户机网络节点10，所述ー个或多个客户机网络节点10可通信地耦合至一个或多个网关和/或网络设施节点120。一个或多个节点120可通信地耦合至域70和/或耦合至包含在域70中的一个或多个服务器节点30。在该实施例中，“节点”可意指可通信地耦合在网络中或耦合至网络的实体，例如终端站、设施、海量存储器、中间站、网络接ロ、客户机、服务器、智能电话、其它通信设备和/或其一部分。在该实施例中，“客户机”和/或“客户机节点”可互換地使用以意指可能包括(但不是必须包括)終端站的节点。在该实施例中，终端站可包括智能电话或其它通信设备。同样在该实施例中，“中间节点”、“网夫”、“网关节点”、“网络设施”和/或“网络设施节点”可互換地使用以意指可通信地耦合至多个其它节点并可(但不是必须)提供、促进和/或实现ー个或多个服务和/或功能的节点，所述ー个或多个服务和/或功能例如是防火墙、交換、转发、网关、入侵检测、负载平衡和/或路由服务和/或功能。在该实施例中，“服务器”和/或“服务器节点”可互換地使用以意指能提供、促进和/或实现对ー个或多个客户机的一个或多个服务和/或功能的节点，所述ー个或多个服务和/或功能例如是数据存储、检索和/或处理功能。在该实施例中，“网络”可以是或可以包括两个或更多个节点，这些节点可通信地耦合在一起。同样在该实施例中，如果ー个节点能将ー个或多个命令和/或数据例如经由ー个或多个有线和/或无线通信链路发送至另ー节点或接收自另ー节点，则ー节点“可通信地耦合”至另ー节点。在该实施例中，“无线通信链路”可意指至少部分地允许至少两个节点至少部分地以无线方式通信耦合的任何形态和/或其一部分。在该实施例中，“有线通信链路”可意指至少部分地允许至少两个节点至少部分地经由非无线手段至少部分地通信耦合的任何形态和/或其一部分。同样在该实施例中，数据可以是或可以包括ー个或多个命令，和/或ー个或多个命令可以是或可以包含数据。一个或多个节点120可包括电路板(CB) 14。CB 14可以是或可以包括系统主板，该系统主板可包括一个或多个主处理器和/或芯片集集成电路12以及计算机可读/写存储器21。CB 14可包括ー个或多个(未示出的)连接器，所述连接器可允许电路卡(CC) 22电配合和机械配合于CB 14，以使CB 14中的组件(例如ー个或多个集成电路12和/或存储器21)和CC 22 (例如包含在CC 22中的操作电路系统118)可通信地彼此耦合。作为不脱离本实施例的替代或附加，包含在ー个或多个集成电路12和/或存储器21中的ー些或所有电路可包含在电路系统118中，和/或电路118中的ー些或全部可包含在ー个或多个集成电路12和/或存储器21中。在该实施例中，“电路系统”可単独或以组合方式包括例如模拟电路系统、数字电路系统、硬接线电路系统、可编程电路系统、状态机电路系统和/或包含可由可编程电路系统执行的程序指令的存储器。同样在该实施例中，“集成电路”可意指半导体器件和/或微电子器件，例如半导体集成电路芯片。另外，在该实施例中，术语“主处理器”、“处理器”、“处理器核”、“核”和/或“控制器”可互換地使用以意指能够至少部分地执行ー个或多个算法和/或逻辑操作的电路系统。同样在该实施例中，“芯片集”可包括能至少部分地将ー个或多个处理器、存储器和/或其它电系统路可通信地耦合的电路系统。节点10、120和/或30中的每ー个可包括各自未示出的用户接ロ系统，所述用户接ロ系统可包括例如键盘、定点设备和显示系统，这些用户接ロ系统可允许人类用户将命令输入至每个相应的节点和/或系统100以及监视这些节点和/或系统100的操作。操作电路118可通信地耦合至一个或多个客户机10和/或一个或多个服务器30。电路118可包括ー个或多个集成电路15。ー个或多个集成电路15可包括ー个或多个处理器核124和/或密码化电路系统126。在该实施例中，电路118、ー个或多个集成电路15、ー个或多个核124和/或电路126能至少部分地执行如同由电路系统118执行的那些本文所述的密码化和/或关联的操作。 一个或多个机器可读程序指令可存储在计算机可读/写存储器21中。在ー个或多个节点120操作时，这些指令可由ー个或多个集成电路12、电路系统118、ー个或多个集成电路15、一个或多个处理器核124和/或电路系统126访问和执行。当如此执行时，这些ー个或多个指令可致使ー个或多个集成电路12、本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2010.01.28 US 12/695,8531.ー种装置，包括 至少部分地在第一域中的至少ー个客户机和第二域中的至少ー个服务器之间至少部分地建立至少ー个安全通信信道的电路系统，所述至少一个信道包括在所述第一域中的至少ー个第一域会话和在所述第二域中的至少ー个第二域会话，所述电路系统至少部分地产生至少ー个第一域会话密钥和至少ー个第二域会话密钥，所述至少ー个第一域会话密钥和所述至少ー个第二域会话密钥至少部分地分别对所述至少ー个第一域会话和所述至少一个第二域会话进行加密，所述至少ー个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与所述至少ー个第一域会话关联的至少ー个第一数据集而产生，所述至少ー个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少ー个第二域会话关联的至少ー个第二数据集而产生。2.如权利要求I所述的装置，其特征在于 所述第一域至少部分地不同于所述第二域； 被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥； 所述至少ー个第一数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第一域会话并至少部分地从经由所述至少ー个第一域会话通信的ー个或多个分组可获得；以及 所述至少ー个第二数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第二域会话并至少部分地从经由所述至少ー个第二域会话通信的ー个或多个其它分组可获得。3.如权利要求I所述的装置，其特征在于 所述至少一个客户机包括在所述第一域内的多个客户机； 所述至少ー个第一域会话包括在至少ー个网关和所述多个客户机之间的第一域内的第一多个会话； 所述至少ー个第二域会话处于所述至少一个网关和所述至少一个服务器之间； 所述第一域包括企业域；以及 所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。4.如权利要求3所述的装置，其特征在于 所述至少ー个第二域会话包括至少部分地封装所述第一多个会话的单个会话； 所述电路至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务；以及 所述电路至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。5.如权利要求3所述的装置，其特征在于 所述至少ー个第二域会话包括在所述第二域内的第二多个会话； 所述至少ー个第一数据集包括与所述第一多个会话关联的相应数据集； 所述电路至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集； 所述电路至少部分地基于所述相应的数据集至少部分地对所述第一话务进行解密；以及 所述电路至少部分地基于所述相应的数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。6.如权利要求I所述的装置，其特征在干 所述电路至少部分地包括在下面的ー个或多个中 耦合至电路板的电路卡； 网络设施；以及 ー个或多个集成电路，所述集成电路包括一个或多个处理器和电路系统以执行ー个或多个密码化操作。7.—种至少部分地由电路系统执行的方法，所述方法包括 通过所述电路系统至少部分地在第一域中的至少ー个客户机和第二域中的至少ー个 服务器之间至少部分地建立至少ー个安全通信信道，所述至少一个信道包括在所述第一域中的至少ー个第一域会话和在所述第二域中的至少ー个第二域会话，所述电路系统至少部分地产生至少ー个第一域会话密钥和至少ー个第二域会话密钥，所述至少ー个第一域会话密钥和所述至少ー个第二域会话密钥至少部分地分别对所述至少ー个第一域会话和所述至少ー个第二域会话进行加密，所述至少ー个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与至少ー个第一域会话关联的至少ー个第一数据集而产生，所述至少ー个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少ー个第二域会话关联的至少ー个第二数据集而产生。8.如权利要求7所述的方法，其特征在于 所述第一域至少部分地不同于所述第二域； 被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥； 所述至少ー个第一数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第一域会话并至少部分地从经由所述至少ー个第一域会话通信的ー个或多个分组可获得；以及 所述至少ー个第二数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第二域会话并至少部分地从经由所述至少ー个第二域会话通信的ー个或多个其它分组可获得。9.如权利要求7所述的方法，其特征在于 所述至少一个客户机包括在所述第一域内的多个客户机； 所述至少ー个第一域会话包括在至少ー个网关和所述多个客户机之间的第一域内的第一多个会话...

【专利技术属性】
技术研发人员：M·朗，K·S·格雷瓦尔，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：