本发明专利技术涉及用于跨越在客户机和服务器之间部署的中间装置分离代理安全套接字层(SSL)通信的系统和方法。该方法包括由服务器侧中间装置与服务器建立SSL会话。客户机侧中间装置可以使用从服务器侧中间装置接收的SSL配置信息与客户机建立第二SSL会话。这两个中间装置可以经由第三SSL会话进行通信。服务器侧中间装置可以使用第一SSL会话的会话密钥对从服务器接收的数据进行解密。服务器侧中间装置可以经由第三SSL会话向客户机侧中间装置传输使用第三SSL会话的会话密钥加密的数据。客户机侧中间装置可以使用第三SSL会话的会话密钥对该加密的数据对进行解密。客户机侧中间装置可以向客户机传输使用第二SSL会话的会话密钥加密的数据。
【技术实现步骤摘要】
【国外来华专利技术】用于经由WAN设备分离代理SSL的系统和方法相关串请本申请要求2010年4月21日提交的、名称为“SYSTEMS ANDMETHODS FOR SPLIT PROXYING OF SSL VIA WAN APPLIANCES” 的美国专利申请 No. 12/764633 的优先权,通过引用将该美国专利申请全部包含于此。
本申请总的涉及数据通信网络。本申请尤其涉及用于经由广域网(wan)设备对 SSL进行分离代理的系统和方法。
技术介绍
可以通过跨越一个或多个网络的一个或多个中间装置对在诸如客户机和服务器的两个网络端点之间的通信进行中转。这些中间装置的示例包括网关、路由器、交换机和其他网络设备。可以通过安全连接,例如SSL会话连接,来提供客户机和服务器之间的端到端通信。客户机和服务器之间的中间装置可便于SSL会话连接的建立,以及例如经由虚拟专用网(VPN)为客户机或服务器提供屏蔽保护。在一些情况下,在两个端点之间的多个中间装置可跨越一个或多个网络提供数据加速和其他服务。每个中间装置还可以充当服务器或客户机的代理,代表该服务器或客户机中转或处理数据。
技术实现思路
本申请涉及用于跨越客户机和服务器之间部署的多个中间装置或广域网(WAN)设备分离代理SSL通信的方法和系统。中间装置可以与服务器建立安全连接,例如SSL连接。 另一个中间装置可以与客户机建立安全连接,例如SSL连接。这两个中间装置可以用这两个中间装置之间的又一个安全连接来桥接该客户机侧和服务器侧的连接。可以使用一个或多个加密密钥来保证这三个连接安全。当从服务器向客户机传输数据时,本系统可以给每个安全连接分配密钥并且隔离每个密钥在所分配的安全连接中的使用,而不是跨越中间装置共享和/或传递加密密钥信息。相应地,使用对应的加密密钥来加密经由每个安全连接发送的数据,并且可以在该安全连接的接收端使用相同的加密密钥来对所述数据进行解密(例如从服务器发送的且由中间装置A接收的数据)。在经由又一个安全连接重新传输之前,可以使用又一个加密密钥来对所接收的数据进行加密并且相应地在接收端使用后一个密钥来对所述数据进行解密(例如,从中间装置A发送的且在又一个中间装置B处接收的数据)。因此,可以使用本文所述的方法和系统经由代理(即中间装置)在两个端点(例如,客户机和/或服务器)之间实现多个安全连接。相应地,每个连接可以是安全的并且是隔离的, 而没有沿该数据传输路径跨越代理不当地暴露对应的加密密钥。在一个方面,本专利技术涉及用于跨越客户机和服务器之间部署的中间装置分离代理安全套接字层(SSL)通信的方法。该方法包括由与服务器通信的第一中间装置与服务器建立第一 SSL会话。与一个或多个客户机通信的第二中间装置可以使用从第一中间装置接收的SSL配置信息与客户机建立第二 SSL会话。第二中间装置和第一中间装置可以经由第三 SSL会话进行通信。第一中间装置可以使用第一 SSL会话的第一会话密钥对从所述服务器接收的加密的数据进行解密。第一中间装置可以经由第三SSL会话向第二中间装置传输使用第三SSL会话的第三会话密钥加密的所述数据。第二中间装置可以使用该第三会话密钥对经由第三SSL会话加密的所述数据进行解密。第二中间装置可以向所述客户机传输使用第二 SSL会话的第二会话密钥加密的所述数据。在一些实施例中,第二中间装置向第一中间装置传输来自客户机的与服务器建立传输层连接的请求。第一中间装置可以修改该请求以指示第二中间装置执行安全套接字层 (SSL)加速。第一中间装置可以向第二中间装置传输识别用于客户机侧SSL代理的SSL配置的消息。第二中间装置可以使用从第一中间装置接收的该SSL配置向客户机传输服务器问候、服务器证书和服务器问候结束消息。第一中间装置可以向第二中间装置传输执行分离SSL代理的请求。在一些实施例中,第二中间装置向第一中间装置传输对加密操作的请求。第一中间装置可以代表第二中间装置执行所请求的加密操作,并且向第二中间装置传送对所述请求的响应。第一中间装置可以使用在第一中间装置上存储的压缩历史对所接收的数据进行压缩。第二中间装置可以使用在第二中间装置上存储的所述压缩历史对所接收的数据进行解压缩。第一中间装置和第二中间装置可以从由第一中间装置和第二中间装置中的每一个维护的预先建立的SSL会话池识别第三SSL会话。 在又一个方面,本专利技术涉及用于跨越客户机和服务器之间部署的中间装置分离代理安全套接字层(SSL)通信的系统。该系统可以包括用于由与服务器通信的第一中间装置与服务器建立第一安全套接字层(SSL)会话的装置。该系统可以包括用于由与一个或多个客户机通信的第二中间装置使用从第一中间装置接收的SSL配置信息与客户机建立第二安全套接字层(SSL)会话的装置。第二中间装置和第一中间装置可以经由第三SSL会话进行通信。该系统可以包括用于由第一中间装置使用第一 SSL会话的第一会话密钥对从所述服务器接收的加密的数据进行解密的装置。该系统可以包括用于由第一中间装置经由第三 SSL会话向第二中间装置传输使用第三SSL会话的第三会话密钥加密的所述数据的装置。 该系统可以包括用于由第二中间装置使用所述第三会话密钥对经由第三SSL会话加密的数据进行解密的装置。在一个实施例中,该系统包括用于由第二中间装置向所述客户机传输使用第二 SSL会话的第二会话密钥加密的所述数据的装置。在一些实施例中,该系统包括用于由第二中间装置向第一中间装置传输来自客户机的、与服务器建立传输层连接的请求的装置。第一中间装置可以修改该请求以指示第二中间装置执行安全套接字层(SSL)加速。该系统可以包括用于由第一中间装置向第二中间装置传输识别用于客户机侧SSL代理的SSL配置的消息的装置。在一个实施例中,该系统包括用于由第二中间装置使用从第一中间装置接收的所述SLL配置向客户机传输服务器问候、服务器证书以及服务器问候结束消息的装置。该系统可以包括用于由第一中间装置向第二中间装置传输执行分离SSL代理的请求的装置。在一些实施例中,该系统包括用于由第二中间装置向第一中间装置传输对加密操作请求的装置。该系统可以包括用于由第一中间装置代表第二中间装置执行所请求的加密操作,并且向第二中间装置传送对所述请求的响应的装置。该系统可以包括用于由第一中5间装置使用在第一中间装置上存储的压缩历史对所接收的数据进行压缩的装置。在一个实施例中,该系统包括用于由第二中间装置使用在第二中间装置上存储的所述压缩历史对所接收的数据进行解压缩的装置。该系统可以包括用于由第一中间装置和第二中间装置从由第一中间装置和第二中间装置中的每一个维护的预先建立的SSL会话池识别第三SSL会话的装置。在附图和下文的描述中详细阐述本专利技术的各种实施例的细节。附图说明通过参考下面结合附图的描述,本专利技术的前述和其它目的、方面、特征和优点,将会更加明显并更易于理解,其中图IA是客户机通过一个或多个网络优化设备访问服务器的网络环境的实施例的框图IB是客户机通过一个或多个网络优化设备连同其他网络设备访问服务器的网络环境的又一个实施例的框图IC是客户机通过单独部署的或者与其他网络设备一起部署的单个网络优化设备访问服务器的网络环境的又一个实施例的框图ID和IE是计算装置的实施例的框图2本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.04.21 US 12/764,6331.一种用于跨越在客户机和服务器之间部署的中间装置分离代理安全套接字层 (SSL)通信的方法,所述方法包括a)由与服务器通信的第一中间装置与服务器建立第一安全套接字层(SSL)会话;b)由与一个或多个客户机通信的第二中间装置使用从所述第一中间装置接收的SSL 配置信息与客户机建立第二安全套接字层(SSL)会话,所述第二中间装置和所述第一中间装置经由第三SSL会话进行通信;c)由所述第一中间装置使用所述第一SSL会话的第一会话密钥对从所述服务器接收的加密的数据进行解密;d)由所述第一中间装置经由所述第三SSL会话向所述第二中间装置传输使用所述第三SSL会话的第三会话密钥加密的所述数据;e)由所述第二中间装置使用所述第三会话密钥对经由所述第三SSL会话加密的所述数据进行解密;以及f)由所述第二中间装置向所述客户机传输使用所述第二SSL会话的第二会话密钥加密的所述数据。2.根据权利要求I所述的方法,其中步骤(a)还包括由所述第二中间装置向所述第一中间装置传输来自所述客户机的与所述服务器建立传输层连接的请求,所述第一中间装置修改所述请求以向所述第二中间装置指示执行安全套接字层(SSL)加速。3.根据权利要求I所述的方法,其中步骤(b)还包括由所述第一中间装置向所述第二中间装置传输识别用于客户机侧SSL代理的SSL配置的消息。4.根据权利要求3所述的方法,其中步骤(b)还包括由所述第二中间装置使用从所述第一中间装置接收的所述SLL配置向所述客户机传输服务器问候、服务器证书以及服务器问候结束消息。5.根据权利要求3所述的方法,其中步骤(b)还包括由所述第一中间装置向所述第二中间装置传输执行分离SSL代理的请求。6.根据权利要求I所述的方法,还包括由所述第二中间装置向所述第一中间装置传输对加密操作的请求。7.根据权利要求6所述的方法,还包括由所述第一中间装置代表所述第二中间装置执行所请求的加密操作,并且向所述第二中间装置传送对所述请求的响应。8.根据权利要求I所述的方法,其中步骤(c)还包括由所述第一中间装置使用在所述第一中间装置上存储的压缩历史对所接收的数据进行压缩。9.根据权利要求I所述的方法,其中步骤(e)还包括由所述第二中间装置使用在所述第二中间装置上存储的所述压缩历史来对所接收的数据进行解压缩。10.根据权利要求I所述的方法,还包括由所述第一中间装置和所述第二中间装置从由所述第一中间装置和所述第二中间装置中的每一个所维护的预先建立的SSL会话池中识别所述第...
【专利技术属性】
技术研发人员:M·奥夫斯安尼科夫,
申请(专利权)人:思杰系统有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。