CN101292233B - 安全通信协议的拆分式终止 - Google Patents

安全通信协议的拆分式终止 Download PDF

Info

Publication number
CN101292233B
CN101292233B CN2006800371433A CN200680037143A CN101292233B CN 101292233 B CN101292233 B CN 101292233B CN 2006800371433 A CN2006800371433 A CN 2006800371433A CN 200680037143 A CN200680037143 A CN 200680037143A CN 101292233 B CN101292233 B CN 101292233B
Authority
CN
China
Prior art keywords
client
issued transaction
server
transaction accelerator
side issued
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006800371433A
Other languages
English (en)
Other versions
CN101292233A (zh
Inventor
M·S·戴尔
C·拉森
S·莫如古
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NBT Technology Inc
Original Assignee
NBT Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NBT Technology Inc filed Critical NBT Technology Inc
Publication of CN101292233A publication Critical patent/CN101292233A/zh
Application granted granted Critical
Publication of CN101292233B publication Critical patent/CN101292233B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

事务处理加速器可被配置成终止安全连接。服务器方加速器截取来自客户端并定向至服务器的安全连接请求。服务器方事务处理加速器代替服务器对安全连接请求作出响应,由此在客户端与服务器方事务处理加速器之间建立安全连接。或者,服务器方加速器监视客户端与服务器之间安全连接的建立。在该安全连接已经建立之后,服务器方加速器将安全性信息转发给客户端方加速器,以使得客户端方加速器承担对该安全连接的控制。由于该布置,客户端方加速器能够与服务器方加速器相合作地加密和解密该安全连接上的数据并对其加速。在又一实施例中,加速器之间经加速的话务经由另一安全连接被跨网络地携带。

Description

安全通信协议的拆分式终止
相关申请的交叉引用
本申请要求提交于2005年8月10日的题为“Split Termination for SecureCommunication Protocols(用于安全通信协议的拆分式终止)”的美国临时专利申请No.60/707,804号的优先权并出于所有目的通过引用包括该临时申请。本申请与提交于2002年10月30日的题为“Transaction Accelerator forClient-Server Communication Systems(用于客户机-服务器通信系统的事务处理加速器)”的美国专利申请No.10/285,315号(以下称为“McCanne I”)、提交于2003年8月12日的题为“Transparent Client-Server Transaction Accelerator(透明客户机-服务器事务处理加速器)”的美国专利申请No.10/640,405号(以下称为“McCanne III”)、提交于2003年8月12日的题为“Cooperaive ProxyAuto-Discovery and Connection Interception(合作式代理自动发现和连接截取)”的美国专利申请No.10/640,562号(以下称为“McCanne IV”)、提交于2003年8月12日的题为“Content Delivery for Client-Server Protocols with UserAffinities using Connection End-Point Proxies(使用连接端点协议且具有用户亲和力的客户端-服务器协议的内容递送)”的美国专利申请No.10/640,459号(以下称为“McCanne V”)、提交于2005年3月18日的题为“Improved Reliabilityand Availability of Distributed Files Servers(分布式文件服务器的改善的可靠性和可用性)”的美国专利申请No.60/663,174号(以下称为“Burman”)、以及提交于2005年3月18日的题为“Connection Forwarding(连接转发)”的美国临时专利申请No.60/663,366号(以下称为“Ly”)、提交于2005年3月15日的题为“Rules-Based Transaction Prefecthing Using Connection End-PointProxies(使用连接端点代理的基于规则的事务处理预取”的美国临时专利申请No.60/662,452号相关并出于所有目的通过引用包括这些申请。
发明背景
本申请涉及数据网络领域,尤其涉及用于改善数据网络上的安全通信的性能的系统和方法。为了在不可信网络上建立安全通信,一种常见方法是使用同时使用公共密钥加密技术和对称密钥加密技术两者的协议。通常,公共密钥加密比对称密钥加密具有更好的安全特性但是在计算上也更昂贵。因此,这两种类型的加密通过使用公共密钥技术在两个实体之间协商一对称密码来组合。该对称密钥密码被用于实体之间的批量数据传送。安全套接层(SSL)和传输层安全性(TLS)是具有这种形式的安全通信协议的广泛使用的示例,如在使用IKE的基于RSA的机制协商安全性关联时的IPSec。
安全通信协议经常为每个受保护的连接增添计算成本。对于向客户端计算机提供许多同时安全连接的服务器计算机,安全通信协议所强加的额外的计算开销可能是相当大的。为了减小提供大量安全连接的计算机的安全通信协议的计算开销,有各种专门终止安全连接的设备。一般而言,这些安全连接终止设备对于客户端系统表现为提供安全连接的服务器。安全连接终止设备管理连接的加密及其它安全性相关方面,由此减轻向客户端系统提供服务的服务器系统的由安全连接所强加的额外开销。
这些安全连接终止设备以和支持安全通信协议的服务器几乎相同的方法配置,包括例如私有密钥、公共密钥、以及安全性证书。从安全性的角度来看,安全连接终止设备与服务器是等同的且必须等同地受到保护。如果安全连接终止设备的安全性例如由于丢失服务器私有密钥而受到危害,则攻击者将能够建立将被安全通信协议客户端系统所信任的伪造服务器。
诸如在McCanne I中所述的事务处理加速器可提供广域网(WAN)上的操作的性能改善,但这只有当传送的数据或者为可理解的(即,事务处理加速器可解释该协议的至少部分)或者是重复的(即,相同数据以相同格式穿过网络)时才如此。安全通信协议的使用阻碍了事务处理加速,因为加密(通过设计)呈递了不可理解和不重复的加密数据。
类似观察适用于本地高速缓存:即使安全通信协议请求询问本地高速缓存的对象,也不可能分辨客户端与服务器之间进行的网络话务。一些高速缓存系统已经包括了通过加载相关联的服务器系统的服务器密钥和证书来本地终止安全通信协议的能力。然而,这些设备中的许多都不包括对密钥和证书的受保护存储,而是依赖于隐藏式保全。由于所涉及的风险和在多个边缘位置处密钥管理的成本和复杂度,这些高速缓存系统几乎不被用来终止大型数据中心之外的安全连接。相反在接近服务器的反向代理配置中,这些安全通信协议高速缓存已经更多地被用作安全通信协议终止的变体。
因此需要一种用以与安全通信协议终止一起提供事务处理加速或高速缓存的事务处理加速器或网络高速缓存系统。还需要一种用以在不要求向边缘设备布署和维护服务器私有密钥的情况下支持安全通信协议终止的事务处理加速器或网络高速缓存系统。
发明内容
事务处理加速器可被配置成终止安全连接。在一实施例中,连接在一个或多个服务器系统与广域网之间的服务器方事务处理加速器被配置成终止安全连接,而客户端方事务处理加速器则不是,以预防与管理服务器私有密钥相关联的问题。
采用这种事务处理加速器的布置,客户端可发起与服务器方事务处理加速器——相对于客户端表现为服务器——的连接。客户端方事务处理加速器可看到安全通信协议交互经过(以跟踪进度)但不能阅读已被任何一端所加密的任何内容。
在协商安全连接建立的公共密钥部分之后,服务器方事务处理加速器的实施例与客户端方事务处理加速器协作以协商该安全连接建立的对称密钥部分。客户端方事务处理加速器使用该对称密钥在客户端与服务器之间进行安全批量数据传送。由于该布置,客户端方事务处理加速器能够与服务器方事务处理加速器相合作地解密安全话务并对其加速,即使客户端方事务处理加速器不知道服务器私有密钥。在又一实施例中,经加速的话务仍在安全连接上被跨网络地携带。
附图说明
本发明将参照以下附图进行描述,其中:
图1示出了使用适于与本发明的实施例一起使用的事务处理加速器的系统;
图2A-2C示出了帮助客户端与服务器之间的通信的现有技术事务处理加速器的实际和表观的交互;
图3A-3C示出了根据本发明的实施例的帮助客户端与服务器之间的通信的事务处理加速器的实际和表观的交互;
图4示出了根据本发明的实施例的使用SSL的客户端方加速器的状态图;以及
图5示出了根据本发明的实施例的使用SSL的服务器方加速器的状态图。
具体实施方式
图1示出了使用适于与本发明的实施例一起使用的事务处理加速器的系统100。客户端110经过事务处理加速器120和140跨广域网(WAN)130与服务器150通信。事务处理加速器120和140可以是相同设备或可专用于它们在网络中所在的位置。为了讨论的目的,根据在系统100中的角色和位置,事务处理加速器120和140被具体称为客户端方和服务器方事务处理加速器。该术语仅被用来明晰它们在系统100中的角色和位置,而并不暗示任何实现或封装上的必要差异。具体而言,“客户端”和“服务器”可表示由TCP连接的方向所确定的角色,其中客户端发起连接而服务器对该连接请求进行响应。在这种连接角色意义上的客户端和服务器可以对应或者可以不对应于术语客户端和服务器的其它常见使用。
客户端110可以通过各种链路、局域网(LAN)、或可包括路由器、交换机、防火墙、或其它网络设备的其它通信技术连接到客户端方加速器120和WAN 130。通过可以但无需对应于客户端方上所用的技术和配置的其它各种通信技术,服务器150可类似地连接到服务器方加速器140和WAN 130。WAN130可包括通过路由器、网关、防火墙、或其它网络设备互连的各种网络和因特网的集合。WAN 130的部分或全部可包括虚拟私域网。此外,客户端和服务器与加速器的关联可以基于网络连接的底层物理配置或基于诸如带宽或等待延迟等网络特性。例如,一组加速器中的一个可以基于其间的网络带宽或等待延迟与特定客户端或服务器相关联。
如McCanne I和McCanne III中所述,事务处理加速器120和140加速客户端110与服务器150之间的通信。如McCanne I和McCanne III中所述,工作中的事务处理加速器120和140可以被考虑为同时具有外信道和内信道两者。外信道包括分别介于客户端方事务处理加速器120与客户端110之间以及介于服务器方事务处理加速器140与服务器150之间的连接112和142。内信道包括事务处理加速器120与140之间经由WAN 130的连接。在一些应用中,客户端方事务处理加速器120和服务器方事务处理加速器140通过诸如虚拟私域网所采用的安全或加密连接来通信。
事务处理加速器120和140布置外信道连接和网络话务以使得客户端110与服务器150之间的交互与在不存在事务处理加速器120和140的情况下将发生的交互相同或基本相似。外信道的这种特性有时被称为透明性。内信道的存在和特性通常被对客户端110和服务器150隐藏。由于客户端110或服务器150通常不知道内信道,所以可在该内信道上使用各种优化和安全机制来改善客户端110与服务器150之间的通信的质量、性能、和可靠性而不会影响客户端110或服务器150,并且在任意时间点使用的具体优化机制可根据需要而改变。
客户端110与服务器150之间的至少部分网络话务通过或被转移到加速器120和140。加速器120接收自客户端110的网络话务被通过如在交叉引用的申请中所述的各种手段中的任意一种进行优化以便穿过包括WAN 130的内信道。加速器140接收到的经优化的网络话务然后被解优化以便等同于原始发送自客户端110的网络话务或者是其可接受的替代。经过解优化的网络话务然后被发送到服务器150。同样,加速器140接收自服务器150的网络话务被优化以穿过WAN 130。加速器120接收到的经优化的网络话务然后被逆优化以等同于原始发送自服务器150的网络话务或者是其可接受的替代。经过逆优化的网络话务然后被发送到客户端110。
在系统100中,事务处理加速器120和140是径内(in-path)连接的,从而使得客户端110与服务器150之间的所有网络话务都通过这些加速器。在系统100的其它布置中,事务处理加速器120和140是径外(out-of-path)连接的。在径外连接布置中,客户端110与服务器150之间的所有网络话务通过路由器、交换机、或其它联网设备。路由器、交换机、或其它联网设备被配置成将客户端110与服务器150之间网络话务的部分或全部转移到事务处理加速器120或140之一。网络话务向事务处理加速器的转移可以用诸如Web高速缓存通信协议(WCCP)等重定向或高速缓存协议来促进。
图2A-2C示出了帮助客户端与服务器之间的通信的现有技术事务处理加速器的实际和表观交互。图2A示出了从客户端210到服务器240的单个逻辑连接的示例要素及其连接。在图2A中,客户端210a具有到客户端方加速器220的网络连接271。客户端方加速器220具有到服务器方加速器230的网络连接272。服务器方加速器230具有到服务器240a的网络连接273。如图2A中所示,在一些实现中,客户端方加速器220是通过网络连接与一个或多个客户端连接的硬件设备。在其它实现中,客户端方加速器220可以实现为与客户端210a集成在一起的软件和/或硬件。在这些实现中,网络连接272可被省略。
图2B示出了可用以匹配从客户端和服务器来看的表观连接。在图2b中,客户端210b具有到“服务器”250的网络连接274。即,客户端210b就像其具有到服务器240b的连接(图2c中的逻辑上的连接276)一样,但客户端210b实际上具有到扮作“服务器”250的客户端方加速器220的连接274。类似地,服务器240b具有到“客户端”260的网络连接:服务器240b就像其具有到客户端210b的连接(同样为图2c中逻辑上的连接276),但服务器240b实际上具有到扮作“客户端”260的服务器方加速器230的连接275。
图2C显示客户端210c的逻辑连接经由得自图2A的网络连接的网络连接276与服务器240c通信。
如上所讨论的,客户端和服务器可能希望通过安全通信协议来通信以保护敏感信息。即使事务处理加速器之间的内连接是安全的,但该连接对于客户端和服务器通常是不可见的。此外,客户端与服务器之间的通信在经过外连接时应该仍是安全的。因此,客户端和服务器将经常试图在彼此之间直接建立安全连接。然而,安全通信协议的使用阻碍了事务处理加速,因为加密(通过设计)呈递了不可理解且不重复的经加密的数据。
本发明的一个实施例允许客户端与服务器彼此之间直接建立安全连接同时仍然能够事务处理加速。该实施例确保客户端与服务器之间的通信在经过内部和外连接两者时都是安全的。
图3A-3C示出了根据本发明的实施例的帮助客户端与服务器之间的通信的事务处理加速器的实际和表观交互。在图3A中,客户端310a经由到客户端方加速器320a的网络连接371与服务器340a通信。类似地,服务器340a经由到服务器方加速器330a的网络连接373与服务器340a通信。
客户端方加速器320a和服务器方加速器330a通过可以基于SSL、IPSec、或许多其它安全通信机制中的任意一种的安全信道372通信。安全信道372可以是为客户端310a与服务器340a之间的通信专门建立的,或者可以是为多个客户端与服务器之间通过加速器320a和330a的数个不同通信所共享的。同样地,安全信道372的终止可以与到客户端或服务器的特定连接的发起或终止相关或不相关。安全信道372可以周期性地或根据网络、连接、或网络话务特性所确定的来重新发起、重设密钥、或重新协商其安全参数。提示重新发起、重设密钥、或重新协商的功能本质上可以是确定性的、随机的、或伪随机的。
客户端和服务器可试图建立直接安全连接。图3B示出了要实现的逻辑效果:客户端310b通过安全连接378与服务器340b通信。安全连接378可用来发起客户端310b与服务器340b之间的通信。或者,客户端310b和服务器340b可在建立安全连接378之前,通过诸如不安全的TCP连接等不安全的网络连接来不安全地交换信息。
然而建立了安全连接378,为了事务处理加速器能够加速WAN上的SSL网络话务,事务处理加速器必须能够在每方解密网络话务。在以下讨论的实施例中,诸如加密密钥和数字证书等安全性信息被提供给事务处理加速器以允许事务处理加速器对安全连接378实行完全电子欺骗和终止。因此,客户端和服务器所建立的安全连接378可被用于到事务处理加速器的外连接的全部或部分。
图3C示出了根据本发明的实施例的安全连接的发起和操作。服务器方事务处理加速器330c接收来自服务器340c或管理系统301的诸如加密密钥和数字证书等安全性信息302。安全性信息302足以让事务处理加速器330c担任服务器340c以及任选地其它服务器的身份。在实施例中,服务器340c可直接向服务器方事务处理加速器330c提供全部或部分安全性信息302,或者另一计算机系统可向服务器方事务处理加速器330c提供服务器340c的安全性信息302。
客户端310c经由客户端方事务处理加速器320c向服务器340c发送安全连接请求304a。客户端方事务处理加速器320c截取安全连接请求304a并进而将该安全连接请求304b转发给服务器方事务处理加速器330c。在一实施例中,客户端方事务处理加速器320c对于该转发起到网桥设备的作用,以使得请求304b与304a相类似或等同。
由于服务器方事务处理加速器330c具有足以担任服务器340c的身份的安全性信息,所以服务器方事务处理加速器330c将用安全连接响应306a对安全连接请求304b作出响应。客户端方事务处理加速器320c将截取该安全连接响应306a并将安全连接响应306b转发给客户端310c,由此在客户端310c与服务器方事务处理加速器330c之间建立安全连接312a。经由该安全连接312a发送的任何信息对于包括客户端方事务处理加速器320c在内的任何居间组件都是不可理解的。在一实施例中,客户端方事务处理加速器320c对于该转发起到网桥设备的作用,以使得请求306b与306a相类似或等同。
在一实施例中,服务器方事务处理加速器330c还将任选地与服务器340c交换消息304c和306c以在服务器方事务处理加速器330c与服务器340c之间建立第二安全连接313。该任选的第二安全连接313将服务器方事务处理加速器330c与服务器340c之间经由外连接335的通信加密。如果连接服务器方事务处理加速器330c和服务器340c的网络被考虑为是安全的,则该任选的第二安全连接313可以被省略。在又一实施例中,如果服务器方事务处理加速器330c与服务器340c之间的通信被加密,则可以采用一些形式的连接重用以便确保无需服务器发起或终止每个传入的客户端连接的安全连接313。
在一些实施例中,安全连接312a的安全性协议——例如SSL可要求类似于在客户端310c与服务器方事务处理加速器330c之间交换的消息304和306的一系列消息以建立安全连接。对于诸如SSL等一些安全性协议,消息304和306使用公共密钥加密技术来建立安全连接312a。公共密钥加密技术被用来在客户端310c与服务器方事务处理加速器330c之间共享对称密钥。一旦安全连接312a工作,则该对称密钥将被安全连接312的两侧用来加密和解密信息。
在安全连接312a的发起和对称密钥的交换期间,该对称密钥以及消息304和306中任何其它经加密的信息对于客户端方事务处理加速器320c是不可读的。如以下具体讨论的,该对称密钥和其它安全连接信息将被提供给客户端方事务处理加速器320c,以允许事务处理加速器320c和330c能够优化内连接325上的安全网络话务。
在一实施例中,客户端方事务处理加速器320c选择对称密钥密码组并将其传送给服务器方事务处理加速器330c,由后者再将该密码组使用在消息306中以建立与客户端310c的安全连接312a。客户端方事务处理加速器320c保存该密码组以供以后使用。在另一实施例中,服务器方事务处理加速器330c选择该对称密钥密码组并将该密码组使用在消息306中以建立与客户端310c的安全连接312a。该密码组经由安全连接316被从服务器方事务处理加速器330c传送到客户端方事务处理加速器320c。例如,安全连接316可以是任意多个先前建立的用于服务器方事务处理加速器330c与客户端方事务处理加速器320c之间的命令和控制数据或者用于与一个或多个客户端和/或服务器相关联的优化网络话务的安全连接中的一个。在一些实施例中,如果公共密钥信息是客户端方事务处理加速器330c所已知的,则服务器方事务处理加速器330c可以将整个对称密钥协商传给客户端方事务处理加速器320c。
在客户端310c与服务器方事务处理加速器330c之间的安全连接312a建立之后,服务器方事务处理加速器330c的一实施例将该安全连接信息308转发给客户端方事务处理加速器320c。安全连接信息308允许客户端方事务处理加速器320c代替服务器方事务处理加速器330c接管该安全连接312a。因此,客户端310与服务器方事务处理加速器330c之间的安全连接312a被变换成客户端方310c与服务器方事务处理加速器330c之间的安全连接312b。
安全连接信息308可包括诸如对称密钥或用以解密来自客户端310c的安全连接网络话务并通过所建立的该安全连接恰当地作出响应所必需的其它类型的加密信息的信息。在一实施例中,如果客户端方事务处理加速器320c已经具有足以解密和加密该安全连接上的网络话务的信息,则无需安全连接信息308。
在客户端方事务处理加速器320c已经接收到安全连接信息308之后,客户端310c与服务器340c之间经由安全连接312b传送的网络话务可以被事务处理加速器320c和330c所截取、分析、和优化。客户端310c通过新建立的安全连接312b向服务器340c发送网络话务314a。由于安全连接312b终止于客户端方事务处理加速器320c处,所以客户端方事务处理加速器320c截取、解密、并处理网络话务314a以形成网络话务314b。网络话务314b可被优化以在内连接325上传送。
客户端方事务处理加速器320c与服务器方事务处理加速器330c传送网络话务314b。在一实施例中,网络话务314b是经由安全连接316来传送的。如以上所讨论的,安全连接316可能先前已被建立用于携带事务处理加速器320c与330c之间的优化网络话务、或者可能先前已被建立用于携带事务处理加速器320c与330c之间的控制消息和加密信息。用于携带优化网络话务的安全连接也可响应于客户端/服务器连接发起而动态地创建。
在一实施例中,加速器320c和330c可终止多个客户端和/或服务器之间的安全连接。在这些应用中,加速器320c和330c可以多种方法来共享安全连接312b、313、和316。在一个示例中,客户端方和服务器方加速器320c和330c可为每个客户端和服务器维护单独的外信道安全连接312c。在另一实施例中,客户端方和服务器方加速器320c和330c可利用外信道安全连接来携带和与客户端和/或服务器的多个连接相关联的数据。
客户端方和服务器方加速器320c和330c的实施例可为每对客户端-服务器通信利用单独的内信道安全连接。或者,客户端方和服务器方加速器320c和330c的实施例可利用内信道安全连接316来携带与多个客户端和/或服务器相关联的数据。在该实施例中,内信道安全连接316可频繁更新以维护安全性。例如,内信道安全连接316可以在一指定时间段之后或在携带指定数目的客户端-服务器外信道连接的数据之后更新。在又一实施例中,加速器320c和330c维护可用内信道安全连接池,其中每个连接用于携带与一对或多对客户端方外信道安全连接相关联的数据。
服务器方事务处理加速器330c接收优化的网络话务314b并将其变换为经逆优化的网络话务314c。经逆优化的网络话务314c可以等同于原始发送自客户端310c的网络话务314a或者是其可以接受的替代。服务器方事务处理加速器330c与服务器340c传送该经逆优化的网络话务314c。在一实施例中,网络话务314c是经由安全连接313被携带到服务器340c的。在另一实施例中,网络话务314c是经由不安全连接被携带到服务器340c的。
返回网络话务(从服务器340c到客户端310c)采取相类似但相逆的路径。服务器方事务处理加速器330c接收来自服务器340c的网络话务。该网络话务被优化并经由安全连接316跨内连接325地被发送到客户端方事务处理加速器320c。客户端方事务处理加速器320c将接收到的网络话务逆优化并在经由安全连接312b将其发送给客户端310c之前对该经逆优化的网络话务应用适当的加密。
在一实施例中,如果客户端310c试图重新协商安全连接312b,安全连接312b将终止且如上所述地重新建立。在另一实施例中,如果客户端310c试图重新协商安全连接312b,则安全连接312b将被转换回安全连接312a的形式并且服务器方事务处理加速器330c将执行重新协商的服务器方。在该实施例中,成功的重新协商将再次导致服务器方加速器330c向客户端方加速器320c发送安全通信信息308,使得安全连接312a被转换回安全连接312b的形式。
在一实施例中,如果服务器方事务处理加速器330c不能终止与客户端310c的安全连接,例如,由于其没有相关密钥和/或证书,则该网络话务被传到诸如服务器340c等恰当的服务器。与该安全连接相关联的后续网络话务也被事务处理加速器320c和330c所全部复制。在另一实施例中,指示安全连接不能被终止的该“负面”信息被传到客户端方事务处理加速器320c从而使得诸如要求相同密钥的后续类似网络连接自动地旁路事务处理加速器320c和330c。该负面信息高速缓存可被来自服务器方事务处理加速器的其密钥配置已经改变的信号所部分或全部地无效,从而使得事务处理加速器不继续旁路它们可以终止的连接。
在一实施例中,安全连接316的安全性协议、密码组、和/或安全性算法与安全连接312b所用的不同。该能力允许事务处理加速器320c和330c终止来自仅支持弱密码组但实际使用更强形式的加密跨内信道325和广域网携带网络话务的较早的或具有安全性缺陷的客户端310c的安全连接。
在另一实施例中,服务器方事务处理加速器330c不终止安全连接312,而代之以将安全连接请求304传给服务器340c。在该实施例中,服务器方事务处理加速器320c仍需要服务器私有密钥以便能够阅读经服务器加密的信息,但无需呈现数字证书以担任服务器304c的身份。相反,服务器方事务处理加速器330c监视该安全通信协议交互并向客户端方事务处理加速器通知所协商的对称密钥。该模式对于加速现有安全通信协议卸载基础设施是有用的,并且对于加速虚拟私域网(VPN)的安全通信协议可能是有用的。在该实施例中,服务器方事务处理加速器将用与客户端所用的相同的对称密钥加密的经重构的数据呈现给服务器,因为服务器相信它是终止安全连接的唯一实体。然而,客户端方与服务器方事务处理加速器之间的通信还可使用相同密钥或完全不同的密钥和/或加密技术来保护优化数据的传送。
在一实施例中,事务处理加速器320c和330c采用自签署的证书。在该实施例中,自签署的证书和过程被用来建立诸如安全连接316等安全连接。在该实施例中,事务处理加速器之间的关联不是在各对设备之间自发建立的,而是由系统管理员针对客户端方和服务器方事务处理加速器显式配置的。
在该实施例中,事务处理加速器或中央管理控制台可向管理员呈现可呈现自签署的证书及名称、IP地址和/或其它标识信息的设备的列表,管理员可选择单独地接受或拒绝每个设备。默认地,除非管理员指定否则不创建关联。
当试图在没有其它线索情况下认证身份时,诸如当一任意web浏览器联系一任意web服务器时,一般需要常被用来签署证书的外部可信证书权威机构。在一实施例中,不依赖于外部可信证书权威机构的自签署的证书可在具有诸如管理员对组织上下文的知识等帮助认证事务处理加速器的身份的其它线索时使用。管理员的选择由非计算性组织上下文来通知,诸如“我们正试图使一些设备在线?该设备的IP地址是?现在对呈现新证书的设备存在任何合法理由吗?”
一般而言,在组织的边缘的设备相比于在核心处(诸如在数据中心)的设备受到的防护较差且更容易受到攻击。考虑对这样的边缘设备进行攻击所得到的结果是值得的。攻击者可得到对应于事务处理加速器的证书(不论是自签署还是外部签署)的私有密钥,由此通过获取对其用于与其它事务处理加速器通信的安全信道的访问来破坏该事务处理加速器。在该事务处理加速器被破坏的时间段内,这样的攻击者就能够像已经具有对所有服务器私有密钥的访问一样实施相同的攻击。然而,服务器私有密钥本身是决不会为攻击者所得到的,即使在发生了这样的破坏时。通过重新获取对事务处理加速器的控制并对其重设密钥,终结了攻击的可能性。对单个受到危害的事务处理加速器重设密钥相比于对广泛使用的服务器重设密钥其破坏性要小得多,并且当考虑多个这种广泛使用的服务器时该优势增大。
上述安全连接终止方案具有若干优点,包括:
·在客户端方事务处理加速器处不需要服务器密钥或证书;仅有针对每个安全连接而改变的短期对称密钥。
·对客户端方事务处理加速器/服务器方事务处理加速器网络话务的保护可以通过自签署的证书和过程来完成。
·客户端方事务处理加速器所执行的加密是相对廉价的对称加密而非更昂贵的公共密钥加密。
·结构上类似于所有事务处理在逻辑上都应被发送到服务器的其它类型的事务处理加速器功能。
图4示出了根据本发明的实施例的使用SSL安全连接协议的客户端方加速器的状态图400。对于本领域的技术人员显而易见的是,对于具有类似公共密钥/对称密钥拆分的不同协议可以同样地构造一相类似的状态图。对于本领域的技术人员将显而易见的是,该图是出于方便理解的目的而布置的,可以对状态和转换进行许多细小的重新布置而不会显著更改客户端方事务处理加速器如何工作的本质。相应地,该图应被理解为示出了工作的一般性原理。在该图中,以下缩写被用于各种消息交互:
·“RfC”为“接收自客户端”
·“RfTA”为“接收自(服务器方)事务处理加速器”
·“StC”为“发送给客户端”
·“StTA”为“发送给(服务器方)事务处理加速器”另外,缩写“H/S”被用于“握手”。
当初始网络连接配置被建立(401)时,进入初始状态(Initial)405。初始状态405之外的第一路线是在服务器方事务处理加速器判定该连接应被旁路(即,不是由事务处理加速器来终止)。消息416使系统进入旁路(Bypass)状态430。旁路状态430具有较简单的行为,其中接收自服务器方事务处理加速器的任何消息433作为消息434被发送到客户端以及接收自客户端的任何消息431立即作为消息432被发送给服务器方事务处理加速器。为了与该图中的其余部分相一致,指示出了客户端消息(Client Msg)状态435和服务器消息(Server Msg)状态440,但在实施例中,这些状态将是非常无足轻重的、零成本的、或者实现中不存在的。
起始自初始状态405的其它状态转换与SSL握手相关。在一实施例中,客户端方事务处理加速器不参与握手,因为安全连接握手的终止发生在服务器方事务处理加速器处。相应地,与初始状态405相关的动作主要是监视握手网络话务旁路。一旦接收到来自客户端的握手消息406,系统就进入客户端握手(Client Handshake)状态410,然后将同一握手消息407发送给服务器方事务处理加速器并返回初始状态405。同样地,一旦接收到来自服务器方事务处理加速器的握手消息408,系统就进入服务器握手(Server Handshake)状态415,然后将同一握手消息409发送给客户端并返回初始状态405。
在一实施例中,一旦接收到来自服务器方事务处理加速器的关机(Shutdown)消息——发生在服务器已经拒绝了连接时,客户端方事务处理加速器还可退出初始状态405。一旦接收到消息417,系统移到关闭(Closed)状态470。
当发送来自服务器的最后一个握手消息411时,系统从服务器握手状态415转换到缓冲(Buffering)状态420。在一实施例中,该最后一个握手消息是作为使用的协议的静态属性而可标识的,然而替换性实施例也是可能的,其中该最后一个握手消息是由所交换的消息的计数、设置成指示握手的结束的一个或多个位、或者诸如发生或达到一完全不同协议的指定状态的外部事件等外部触发因素来标识的。
一旦进入缓冲状态420,客户端方事务处理加速器就保存经由安全连接接收到的任何客户端消息直至接收到来自服务器方事务处理加速器的密码组信息。在等待密码组时,接收到的每个客户端消息412被简单地保存(413)以供后续解密和加速。一旦接收到密码组或足以终止安全连接414的其它信息,客户端方事务处理加速器就移到活动(Active)状态445。
在已经接收到了密码组信息的活动状态445中,客户端方事务处理加速器能够解密接收自客户端的消息并将发送给客户端的消息加密。相应地,接收自客户端的每个消息446通过移到解密(Decrypt)状态450来处理,由后者解密该消息446并将经优化的消息447发送给服务器方事务处理加速器。接收自服务器方事务处理加速器的每个经优化的消息448通过加密状态455来逆优化并处理,由后者将经加密的消息449经由安全连接发送给客户端。如上所讨论的,客户端方和服务器方事务处理加速器优化网络话务以便在内连接上传送。
与活动状态445相关联的其它状态与关闭安全连接或重新协商该安全连接相关。如果客户端关闭到客户端方事务处理加速器的连接,则客户端方事务处理加速器注意到该关闭并向服务器方事务处理加速器发送“客户端关闭”消息451并移到客户端关闭(Client Closed)状态460。在该状态下,客户端方事务处理加速器在加密_CC(Encrypt_CC)状态465下将经由服务器方事务处理加速器来自服务器的任何剩余数据461加密、将经加密的消息462发送给客户端、并返回客户端关闭状态460。
在一实施例中,如果关闭连接的潜在原因已知是已经破坏了该连接的突发故障,则不执行该加密,相反由于无法将其发送给客户端而放弃接收到的数据。
同样地,如果服务器关闭了到服务器方事务处理加速器的连接,则客户端方连接加速器接收到来自服务器方事务处理加速器的“服务器关闭”消息并移到服务器关闭(Server Closed)状态475。在该状态475中,客户端方事务处理加速器在解密_SC(Decrypt_SC)状态480下对接收自客户端的任何剩余数据463进行解密和优化、将经优化的消息464发送给服务器方事务处理加速器、并返回服务器关闭状态475。
在一实施例中,如果关闭连接的潜在原因已知是已经破坏了该连接的突发故障,则不执行该解密,相反由于无法将其发送给服务器而放弃接收到的数据。
客户端方事务处理加速器从客户端关闭状态460或服务器关闭状态475转换到关闭状态470。一旦接收到来自服务器方事务处理加速器的“服务器关闭”消息453就发生从客户端关闭状态460的该转换。相应地,一旦注意到客户端关闭且向服务器方事务处理加速器发送“客户端关闭”消息454就发生从服务器关闭状态475的该转换。
转到安全连接的重新协商,如果接收自客户端的消息是安全连接请求或请求新的安全连接的其它类型的“你好(Hello)”消息,则客户端方事务处理加速器开始一新的安全连接协商。客户端方事务处理加速器向服务器方加速器发送“会话转储(Session Dump)”消息481,以信令指示该连接的终止应移回到服务器方加速器。
在重新协商期间可能发生的错误类似于在初始协商期间可能发生的错误,对于本领域的技术人员显而易见的是,这些错误可以用与已经解释的相类似的状态和转换来处理。在一些实施例中,重新协商重用已被呈现可用于初始连接建立和协商的状态和转换是可能的且合乎需要的。在其它实施例中,重新协商使得连接被旁路(移到旁路状态430或具有类似行为的不同状态)或者连接被破坏(强制地移到其中连接正关闭或被关闭的状态之一)是优选的。
图5示出了根据本发明的实施例的使用SSL安全连接协议的服务器方加速器的状态图500。对于本领域的技术人员将显而易见的是,对于具有类似公共密钥/对称密钥拆分的不同协议可以同样地构造一相类似的状态图。对于本领域的技术人员将显而易见的是,该图是出于方便理解的目的而布置的,可以对状态和转换进行许多细小的重新布置而不会显著更改服务器方事务处理加速器如何工作的本质。相应地,该图应被理解为示出了工作的一般性原理。在该图中,以下缩写被用于各种消息交互:
·“RfS”为“接收自服务器”
·“RfTA”为“接收自(客户端方)事务处理加速器”
·“StS”为“发送给服务器”
·“StTA”为“发送给(客户端方)事务处理加速器”当建立(501)了初始网络连接配置时进入初始状态505。当发生提示服务器方事务处理加速器判定该连接应被旁路(而非终止)的数个条件之一时,服务器方事务处理加速器可退出初始状态505。一个条件是要联系的服务器是该服务器方事务处理加速器没有其相关密钥或证书的一个服务器,因此该服务器方事务处理加速器不能终止该服务器的连接。另一条件是客户端正尝试使用不被该服务器方事务处理加速器所支持的协议或版本,即使在客户端使用一不同的协议或版本的情况下该服务器方事务处理加速器将能够终止到该服务器的连接。在任一条件下,服务器方事务处理加速器都将向客户端方事务处理加速器发送“旁路(Bypass)”消息506并且系统移到旁路状态535。
旁路状态535具有较简单的行为,其中接收自服务器的任何消息538都作为消息539被转发给客户端方事务处理加速器,以及接收自客户端方事务处理加速器的任何消息536都作为消息537被转发给服务器。为了与该图中的其余部分相一致,指示出了客户端消息状态540和服务器消息状态545,但在实施例中,这些状态将是非常无足轻重的、零成本的、或者实现中不存在的。
从初始状态505的另一退出发生在客户端发送安全连接请求消息508以发起安全连接且服务器方事务处理加速器具有终止该安全连接的必要信息时。服务器方事务处理加速器移到服务器连接(Server Connection)状态510。服务器连接状态510的潜在原理是仅在服务器接受服务器方事务处理加速器的相应连接请求时接受客户端的连接请求。
在服务器连接状态510中,服务器方事务处理加速器尝试连接到服务器。在一实施例中,与服务器的相关安全连接握手消息是在该状态510中处理的。不论与服务器的安全连接的发起成功与否,服务器方事务处理加速器都转换出服务器连接状态510。
一旦不能发起与服务器的安全连接,511,服务器方事务处理加速器拒绝未决的客户端请求并移到拒绝客户端(Refuse Client)状态515。从该状态515,服务器方事务处理加速器向客户端方事务处理加速器发送关机消息516以指示服务器已经拒绝了该安全连接且移到关闭状态585。
相反,如果发起与服务器的安全连接的尝试成功,则服务器方事务处理加速器经由转换512移到接受客户端(Accept Client)状态520以完成与客户端的安全连接。在一实施例中,就和服务器连接状态510处理与服务器的若干握手消息交换一样,接受客户端状态520可处理与客户端的若干握手消息交换以发起安全连接。
该示例状态图500显示与适用于一些安全连接协议的实施例相对应地,状态510结束以及服务器连接建立都是在事务处理加速器转换到状态520之前。然而,其它实施例也可交织服务器握手和客户端握手。例如,服务器方事务处理加速器可以在服务器方事务处理加速器与服务器之间的相应安全连接建立之前接受来自客户端的安全连接请求,并随后在服务器拒绝与服务器方事务处理加速器的安全连接的情况下稍后终止与客户端的安全连接。
当服务器方事务处理加速器仍然处于接受客户端状态520中时,积极的服务器可能在客户端连接建立之前立即开始发送数据。在一实施例中,如缓冲状态523所指示地,接收自服务器的任何此类数据都被缓冲以供在客户端连接已被建立时进行后续处理。通过指示接收到来自服务器的任意信息的转换524进入缓冲状态523。通过指示保存接收到的信息的转换526退出缓冲状态523(回到接受客户端状态520)。
如果与客户端的安全连接发起过程失败,则转换521服务器方事务处理加速器移到断开服务器(Disconnect Server)状态525以优雅地断开其与服务器已建立的连接。从断开服务器状态525,服务器方事务处理加速器向客户端方事务处理加速器发送关机消息517并移到关闭状态585。
在一实施例中,服务器方事务处理加速器可在两个条件下从服务器连接状态510转换到旁路状态535。服务器可从服务器方事务处理加速器要求客户端认证513。服务器方事务处理加速器具有该服务器的密钥和证书,但是没有任何客户端的类似密钥和证书,所以对客户端认证的需求要求向服务器呈现实际客户端的凭证,进而将由服务器导致对事务处理加速器不透明的会话的协商。同时,服务器可指示514它将重用该客户端的现有会话。如果重用的连接取决于服务器方事务处理加速器所未知的信息,则服务器方事务处理加速器再次选择旁路该连接。
对于本领域的技术人员将显而易见的是,转换513的旁路情形在能够接受在服务器方事务处理加速器处存储特定客户端的密钥和证书的特殊情形中可以容易地避免。然而,同样将显而易见的是,这种在服务器方事务处理加速器处对客户端密钥和证书的存储实际上破坏了其密钥和证书被存储的客户端的客户端认证的完整性。对客户端密钥和证书的存储在特定场合下可能是有价值的,但是作为一般性方法它将意味着客户端认证步骤无意义。因此,相同效果的更有效率的实现将简单地丢弃对客户端认证的需求。
在服务器方事务处理加速器已经成功地发起了与客户端的安全连接且建立了到服务器的连接的情形中,服务器方事务处理加速器向客户端方事务处理加速器发送包括相关密码组信息的会话上下文(Session Context)消息522,以允许客户端方事务处理加速器加密和解密去往/来自客户端的信息。服务器方事务处理加速器然后移到活动状态550。
在活动状态550中,客户端和服务器安全连接都已建立。客户端方事务处理加速器已经成为客户端的安全连接的终止点,以执行对去往/来自客户端的数据的批量加密/解密。当服务器方事务处理加速器处于活动状态550中时,通过移到逆优化、加密、和将经加密的消息547发送给服务器的加密状态555,对接收自客户端方事务处理加速器的每个经优化的消息546进行处理。通过移到解密、优化、和将经优化的消息549发送给客户端方事务处理加速器的解密状态560,对服务器方事务处理加速器接收自服务器的每个消息458进行处理。如果在进入活动状态550之前已使用缓冲状态523对数据进行了缓冲,则在处理接收自服务器的任何其它消息之前,通过使用解密状态560并发送给客户端方事务处理加速器,被缓冲的数据被发送给客户端。
与活动状态550相关联的其它状态与关闭或重新协商安全连接相关。如果客户端关闭到客户端方事务处理加速器的连接,则客户端方事务处理加速器注意到该关闭并向服务器方事务处理加速器发送“客户端关闭”消息551,再由服务器方事务处理加速器向服务器发送“关闭”消息并移到客户端关闭状态565。在该状态下,服务器方事务处理加速器在解密_CC状态575解密接收自服务器的任何剩余数据561、将经解密的数据562发送给客户端方事务处理加速器、并返回客户端关闭状态565。在一实施例中,如果关闭连接的潜在原因被已知是已经破坏了该连接的突发故障,则不执行该解密,相反由于无法将其发送给客户端方事务处理加速器而放弃接收到的数据。
同样地,如果服务器关闭到服务器方事务处理加速器的连接,则服务器方事务处理加速器注意到该关闭并向客户端方连接加速器发送“服务器关闭”消息552并移到服务器关闭状态570。在该状态中,服务器方事务处理加速器在加密_SC状态580中将接收自客户端方事务处理加速器(563)的任何剩余数据563加密、将经加密的数据564发送给服务器、并返回服务器关闭状态570。在一实施例中,如果关闭连接的潜在原因已知是已经破坏了该连接的突发故障,则不执行该加密,相反由于无法将其发送给服务器而放弃接收到的数据。
从客户端关闭状态565或服务器关闭状态570,服务器方事务处理加速器可转换到关闭状态585。从客户端关闭状态565,服务器方事务处理加速器注意到服务器的关闭并向客户端方事务处理加速器发送“服务器关闭”消息553。相应地,从服务器关闭状态570,服务器方事务处理加速器接收到来自客户端方事务处理加速器的“客户端关闭”消息并将“关闭”消息554发送给服务器。
转到安全连接的重新协商,如果客户端方事务处理加速器向服务器方事务处理加速器发送“会话转储”消息581,则该消息581信令指示该安全连接的终止应移回到服务器方。服务器方事务处理加速器移到复位会话(ResetSession)状态590。在服务器方事务处理加速器转换到客户端重新协商(ClientRenegotiation)状态595之前,可在客户端与服务器方事务处理加速器之间交换各种安全连接请求和响应消息586。在重新协商之前,服务器方事务处理加速器将基于该系统的策略、配置、容量、至少一个相关密钥的可用性、和/或连接的长度来确定其是否可重新协商该安全连接。
在服务器方事务处理加速器向客户端方事务处理加速器发送“会话转储”消息587之后,该安全连接的终止移回客户端方事务处理加速器且服务器方事务处理加速器重新进入活动状态550。
在重新协商期间可能发生的错误类似于在初始协商期间可能发生的错误,对于本领域的技术人员显而易见的是,这些错误可以用与已经解释的相类似的状态和转换来处理。在一些实施例中,重新协商重用已被呈现可用于初始连接建立和协商的状态和转换是可能的且合乎需要的。在其它实施例中,重新协商使得连接被旁路(移到旁路状态535或具有类似行为的不同状态)或者连接被破坏(强制地移到其中连接正关闭或被关闭的状态之一)是优选的。
因此,该说明书和附图应以说明性而非限制性意义来理解。然而显然的是,可对其作出各种变形和改动而不会背离如在权利要求中所阐述的本发明的宽泛的精神实质和范围。

Claims (20)

1.一种发起客户端和服务器之间的安全连接的方法,所述方法包括:
截取来自客户端的请求至所述服务器的安全连接的安全连接请求,所述截取使用与所述客户端不同的客户端方事务处理加速器;
将所述连接请求转发至与所述服务器不同的服务器方事务处理加速器;
对所述安全连接请求作出响应以及截取并向所述客户端转发所述安全连接响应,因此建立所述客户端和所述服务器方事务处理加速器之间的安全连接,或所述服务器方事务处理加速器监视所述客户端和所述服务器之间的安全连接的建立,其中所述安全连接与使得能够经由所述安全连接对数据进行安全传送的至少一个安全连接信息相关联同时具有对经由所述安全连接发送的数据的访问;以及
由所述服务器方事务处理加速器将所述安全连接信息转发至所述客户端方事务处理加速器且所述客户端方事务处理加速器代替所述服务器方事务处理加速器接管所述安全连接。
2.如权利要求1所述的方法,其特征在于,所述安全连接请求使用所述客户端与所述服务器之间先前建立的连接发起安全连接。
3.如权利要求1所述的方法,其特征在于,所述截取来自客户端的安全连接请求包括:
接收由所述客户端和所述服务器之间的网络设备先前截取到的安全连接请求,其中所述安全连接被重定向到所述服务器方事务处理加速器。
4.如权利要求3所述的方法,其特征在于,所述接收安全连接请求包括:
经由高速缓存协议接收所述安全连接请求。
5.如权利要求1所述的方法,其特征在于,所述客户端和所述服务器之间发送的所有网络话务通过所述客户端方事务处理加速器和所述服务器方事务处理加速器。
6.如权利要求1所述的方法,其特征在于,根据所述安全连接的建立确定所述安全连接的所述安全连接信息。
7.如权利要求1所述的方法,其特征在于,所述监视安全连接的建立是通过由所述服务器方事务处理加速器接收与所述服务器相关联的安全性信息来促进的。
8.如权利要求1所述的方法,其特征在于,建立所述客户端和所述服务器之间的安全连接包括:
发起所述服务器方事务处理加速器与服务器之间的第一安全连接;以及
发起所述服务器方事务处理加速器与所述客户端之间的第二安全连接。
9.如权利要求8所述的方法,其特征在于,所述第一安全连接的发起是在所述第二安全连接发起之前完成的。
10.如权利要求8所述的方法,其特征在于,所述第二安全连接是在所述第一安全连接的发起完成之前发起的。
11.如权利要求1所述的方法,其特征在于,所述安全连接信息包括将被用于为所述安全连接加密数据的密码。
12.如权利要求1所述的方法,其特征在于,接收所述安全连接信息的所述客户端方事务处理加速器在网络上比所述服务器方事务处理加速器更靠近所述客户端。
13.如权利要求12所述的方法,其特征在于,所述客户端方事务处理加速器和所述服务器方事务处理加速器在所述网络上与所述客户端的接近度是由网络特性决定的。
14.如权利要求13所述的方法,其特征在于,所述网络特性包括所述网络的从所述客户端方事务处理加速器和所述服务器方事务处理加速器到所述客户端的网络等待延迟。
15.如权利要求13所述的方法,其特征在于,所述网络特性包括所述网络的从所述客户端方事务处理加速器和所述服务器方事务处理加速器到所述客户端的网络带宽。
16.如权利要求13所述的方法,其特征在于,所述客户端方事务处理加速器与所述客户端被包括局域网的第一网络分隔开,并且其中所述服务器方事务处理加速器与所述客户端被包括广域网的第二网络分隔开。
17.如权利要求13所述的方法,其特征在于,所述客户端方事务处理加速器与包括所述客户端的计算机系统集成在一起。
18.如权利要求1所述的方法,其特征在于,还包括:
所述服务器方事务处理加速器截取从服务器定向至所述客户端的数据;
将所述数据中的至少一部分与一指示符相关联地传送给所述客户端方事务处理加速器;
其中接收所述指示符使得所述客户端方事务处理加速器进一步经由所述安全连接向所述客户端传送所述数据的所述部分。
19.如权利要求1所述的方法,其特征在于,还包括:
接收来自所述客户端方事务处理加速器的第一数据,其中所述第一数据对应于由所述客户端方事务处理加速器先前经由所述安全连接从所述客户端接收到的第二数据;以及
将第三数据传送给所述服务器,其中所述第三数据对应于所述第一数据。
20.如权利要求1所述的方法,其特征在于,所述将安全连接信息转发至所述客户端方事务处理加速器包括:
所述服务器方事务处理加速器发起与所述客户端方事务处理加速器的附加安全连接;以及
所述服务器方事务处理加速器经由所述附加安全连接传送所述安全连接信息。
CN2006800371433A 2005-08-10 2006-07-26 安全通信协议的拆分式终止 Expired - Fee Related CN101292233B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US70780405P 2005-08-10 2005-08-10
US60/707,804 2005-08-10
US11/489,414 US8613071B2 (en) 2005-08-10 2006-07-18 Split termination for secure communication protocols
US11/489,414 2006-07-18
PCT/US2006/029158 WO2007021483A2 (en) 2005-08-10 2006-07-26 Split termination for secure communication protocols

Publications (2)

Publication Number Publication Date
CN101292233A CN101292233A (zh) 2008-10-22
CN101292233B true CN101292233B (zh) 2013-08-14

Family

ID=37743911

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800371433A Expired - Fee Related CN101292233B (zh) 2005-08-10 2006-07-26 安全通信协议的拆分式终止

Country Status (7)

Country Link
US (1) US8613071B2 (zh)
EP (1) EP1904931A4 (zh)
JP (2) JP5048672B2 (zh)
CN (1) CN101292233B (zh)
AU (1) AU2006280301A1 (zh)
IL (1) IL189388A (zh)
WO (1) WO2007021483A2 (zh)

Families Citing this family (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8473620B2 (en) * 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
US7197661B1 (en) 2003-12-05 2007-03-27 F5 Networks, Inc. System and method for dynamic mirroring of a network connection
US9912663B2 (en) * 2005-01-31 2018-03-06 Unisys Corporation Enabling secure network mobile device communications
US9794225B2 (en) * 2005-01-31 2017-10-17 Unisys Corporation Secure network communications in a mobile device over IPsec
US8438628B2 (en) * 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US20090119504A1 (en) * 2005-08-10 2009-05-07 Riverbed Technology, Inc. Intercepting and split-terminating authenticated communication connections
US8095774B1 (en) 2007-07-05 2012-01-10 Silver Peak Systems, Inc. Pre-fetching data into a memory
US8392684B2 (en) 2005-08-12 2013-03-05 Silver Peak Systems, Inc. Data encryption in a network memory architecture for providing data based on local accessibility
US8171238B1 (en) 2007-07-05 2012-05-01 Silver Peak Systems, Inc. Identification of data stored in memory
US20070074282A1 (en) * 2005-08-19 2007-03-29 Black Jeffrey T Distributed SSL processing
US8811431B2 (en) 2008-11-20 2014-08-19 Silver Peak Systems, Inc. Systems and methods for compressing packet data
US8489562B1 (en) 2007-11-30 2013-07-16 Silver Peak Systems, Inc. Deferred data storage
US8929402B1 (en) 2005-09-29 2015-01-06 Silver Peak Systems, Inc. Systems and methods for compressing packet data by predicting subsequent data
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US8755381B2 (en) 2006-08-02 2014-06-17 Silver Peak Systems, Inc. Data matching using flow based packet data storage
US8885632B2 (en) 2006-08-02 2014-11-11 Silver Peak Systems, Inc. Communications scheduler
US20080059788A1 (en) * 2006-08-30 2008-03-06 Joseph John Tardo Secure electronic communications pathway
US20100031337A1 (en) * 2007-04-09 2010-02-04 Certeon, Inc. Methods and systems for distributed security processing
US8782414B2 (en) * 2007-05-07 2014-07-15 Microsoft Corporation Mutually authenticated secure channel
WO2008138008A1 (en) * 2007-05-08 2008-11-13 Riverbed Technology, Inc A hybrid segment-oriented file server and wan accelerator
US8225085B2 (en) * 2007-06-05 2012-07-17 Blue Coat Systems, Inc. System and method for distributed SSL processing between co-operating nodes
US8966053B2 (en) * 2007-07-12 2015-02-24 Viasat, Inc. Methods and systems for performing a prefetch abort operation for network acceleration
US8650389B1 (en) 2007-09-28 2014-02-11 F5 Networks, Inc. Secure sockets layer protocol handshake mirroring
US9654328B2 (en) 2007-10-15 2017-05-16 Viasat, Inc. Methods and systems for implementing a cache model in a prefetching system
US9460229B2 (en) * 2007-10-15 2016-10-04 Viasat, Inc. Methods and systems for implementing a cache model in a prefetching system
US20090150254A1 (en) 2007-11-30 2009-06-11 Mark Dickelman Systems, devices and methods for computer automated assistance for disparate networks and internet interfaces
US8307115B1 (en) 2007-11-30 2012-11-06 Silver Peak Systems, Inc. Network memory mirroring
US20090193147A1 (en) * 2008-01-30 2009-07-30 Viasat, Inc. Methods and Systems for the Use of Effective Latency to Make Dynamic Routing Decisions for Optimizing Network Applications
US20090300208A1 (en) * 2008-06-02 2009-12-03 Viasat, Inc. Methods and systems for acceleration of mesh network configurations
US10805840B2 (en) 2008-07-03 2020-10-13 Silver Peak Systems, Inc. Data transmission via a virtual wide area network overlay
US8743683B1 (en) 2008-07-03 2014-06-03 Silver Peak Systems, Inc. Quality of service using multiple flows
US9717021B2 (en) 2008-07-03 2017-07-25 Silver Peak Systems, Inc. Virtual network overlay
US10164861B2 (en) 2015-12-28 2018-12-25 Silver Peak Systems, Inc. Dynamic monitoring and visualization for network health characteristics
EP2308212A4 (en) * 2008-07-14 2016-06-22 Riverbed Technology Inc METHODS AND SYSTEMS FOR SECURE COMMUNICATIONS USING LOCAL CERTIFICATION AUTHORITY
US8566580B2 (en) * 2008-07-23 2013-10-22 Finjan, Inc. Splitting an SSL connection between gateways
US8850553B2 (en) * 2008-09-12 2014-09-30 Microsoft Corporation Service binding
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
US8180902B1 (en) 2009-03-05 2012-05-15 Riverbed Technology, Inc. Establishing network connections between transparent network devices
US7984160B2 (en) * 2009-03-05 2011-07-19 Riverbed Technology, Inc. Establishing a split-terminated communication connection through a stateful firewall, with network transparency
US8181060B1 (en) 2009-03-05 2012-05-15 Riverbad Technology, Inc. Preventing data corruption with transparent network connections
US8892745B2 (en) * 2009-03-30 2014-11-18 Cisco Technology, Inc. Redirection of a request for information
US9015487B2 (en) * 2009-03-31 2015-04-21 Qualcomm Incorporated Apparatus and method for virtual pairing using an existing wireless connection key
DE102009059893A1 (de) * 2009-12-21 2011-06-22 Siemens Aktiengesellschaft, 80333 Vorrichtung und Verfahren zum Absichern eines Aushandelns von mindestens einem kryptographischen Schlüssel zwischen Geräten
CN101827020B (zh) * 2010-03-03 2013-01-30 深圳市深信服电子科技有限公司 一种对已经建立的长连接不断开进行加速的方法及系统
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
CN102223353A (zh) 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
US8543805B2 (en) * 2010-04-21 2013-09-24 Citrix Systems, Inc. Systems and methods for split proxying of SSL via WAN appliances
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8868744B2 (en) * 2010-11-24 2014-10-21 International Business Machines Corporation Transactional messaging support in connected messaging networks
US8843750B1 (en) * 2011-01-28 2014-09-23 Symantec Corporation Monitoring content transmitted through secured communication channels
US8856910B1 (en) * 2011-08-31 2014-10-07 Palo Alto Networks, Inc. Detecting encrypted tunneling traffic
US9130991B2 (en) 2011-10-14 2015-09-08 Silver Peak Systems, Inc. Processing data packets in performance enhancing proxy (PEP) environment
US9626224B2 (en) 2011-11-03 2017-04-18 Silver Peak Systems, Inc. Optimizing available computing resources within a virtual environment
CN103179565B (zh) * 2011-12-23 2016-01-13 中国银联股份有限公司 基于瘦终端模式的安全性信息交互系统及方法
CN103209086B (zh) * 2012-01-16 2015-11-18 深圳市腾讯计算机系统有限公司 穿透中转机实现服务器维护的方法、系统及中转机
WO2013166696A1 (zh) * 2012-05-11 2013-11-14 华为技术有限公司 数据传输方法、系统及装置
US9344405B1 (en) 2012-06-15 2016-05-17 Massachusetts Institute Of Technology Optimized transport layer security
KR20140052703A (ko) * 2012-10-25 2014-05-07 삼성전자주식회사 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치
US9319476B2 (en) * 2013-05-28 2016-04-19 Verizon Patent And Licensing Inc. Resilient TCP splicing for proxy services
US9313189B2 (en) * 2013-07-11 2016-04-12 Sap Se Automatic management of secure connections
US9294284B1 (en) 2013-09-06 2016-03-22 Symantec Corporation Systems and methods for validating application signatures
US9450764B1 (en) * 2013-09-12 2016-09-20 Symantec Corporation Systems and methods for validating self-signed certificates
CN104144049B (zh) * 2014-03-11 2016-02-17 腾讯科技(深圳)有限公司 一种加密通信方法、系统和装置
US9680824B1 (en) * 2014-05-07 2017-06-13 Skyport Systems, Inc. Method and system for authentication by intermediaries
US20150372863A1 (en) * 2014-06-18 2015-12-24 Genband Us Llc Hierarchical resale system for telecommunication products
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US9948496B1 (en) 2014-07-30 2018-04-17 Silver Peak Systems, Inc. Determining a transit appliance for data traffic to a software service
US9875344B1 (en) 2014-09-05 2018-01-23 Silver Peak Systems, Inc. Dynamic monitoring and authorization of an optimization device
US9118582B1 (en) 2014-12-10 2015-08-25 Iboss, Inc. Network traffic management using port number redirection
US9961056B2 (en) * 2015-01-07 2018-05-01 Cyph, Inc. Method of deniable encrypted communications
US9847980B2 (en) * 2015-06-17 2017-12-19 Microsoft Technology Licensing, Llc Protecting communications with hardware accelerators for increased workflow security
US20170171045A1 (en) * 2015-12-11 2017-06-15 Riverbed Technology, Inc. Optimizing network traffic by transparently intercepting a transport layer connection after connection establishment
US10432484B2 (en) 2016-06-13 2019-10-01 Silver Peak Systems, Inc. Aggregating select network traffic statistics
JP6750349B2 (ja) * 2016-07-05 2020-09-02 富士通株式会社 情報処理システム、情報処理装置、情報処理プログラム及び情報処理方法
US9967056B1 (en) 2016-08-19 2018-05-08 Silver Peak Systems, Inc. Forward packet recovery with constrained overhead
US10361997B2 (en) 2016-12-29 2019-07-23 Riverbed Technology, Inc. Auto discovery between proxies in an IPv6 network
US11044202B2 (en) 2017-02-06 2021-06-22 Silver Peak Systems, Inc. Multi-level learning for predicting and classifying traffic flows from first packet data
US10892978B2 (en) 2017-02-06 2021-01-12 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows from first packet data
US10771394B2 (en) 2017-02-06 2020-09-08 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows on a first packet from DNS data
US10257082B2 (en) 2017-02-06 2019-04-09 Silver Peak Systems, Inc. Multi-level learning for classifying traffic flows
GB201710168D0 (en) * 2017-06-26 2017-08-09 Microsoft Technology Licensing Llc Introducing middleboxes into secure communications between a client and a sever
US11212210B2 (en) 2017-09-21 2021-12-28 Silver Peak Systems, Inc. Selective route exporting using source type
US10560326B2 (en) * 2017-09-22 2020-02-11 Webroot Inc. State-based entity behavior analysis
US10637721B2 (en) 2018-03-12 2020-04-28 Silver Peak Systems, Inc. Detecting path break conditions while minimizing network overhead
WO2020140267A1 (en) * 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. A data processing accelerator having a local time unit to generate timestamps
WO2020140261A1 (en) 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and system for protecting data processed by data processing accelerators
CN112334902A (zh) * 2019-01-04 2021-02-05 百度时代网络技术(北京)有限公司 建立主机系统与数据处理加速器之间的安全信息交换信道的方法
WO2020140269A1 (en) 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and system for managing memory of data processing accelerators
CN112262547B (zh) 2019-01-04 2023-11-21 百度时代网络技术(北京)有限公司 具有安全单元以提供根信任服务的数据处理加速器
EP3794771A4 (en) * 2019-01-04 2022-01-05 Baidu.com Times Technology (Beijing) Co., Ltd. PROCESS AND SYSTEM FOR DISTRIBUTION AND EXCHANGE OF KEYS FOR DATA PROCESSING ACCELERATORS
WO2020140260A1 (en) 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and system to derive a session key to secure an information exchange channel between a host system and a data processing accelerator
US11328075B2 (en) 2019-01-04 2022-05-10 Baidu Usa Llc Method and system for providing secure communications between a host system and a data processing accelerator
EP3794477B1 (en) 2019-01-04 2023-05-10 Baidu.com Times Technology (Beijing) Co., Ltd. Method and system for validating kernel objects to be executed by a data processing accelerator of a host system
CN112262545B (zh) 2019-01-04 2023-09-15 百度时代网络技术(北京)有限公司 主机系统与数据处理加速器之间的证明协议
US11347870B2 (en) * 2019-03-29 2022-05-31 Intel Corporation Technologies for securely providing remote accelerators hosted on the edge to client compute devices
US11368298B2 (en) 2019-05-16 2022-06-21 Cisco Technology, Inc. Decentralized internet protocol security key negotiation
US20210075777A1 (en) 2019-09-06 2021-03-11 Winston Privacy Method and system for asynchronous side channel cipher renegotiation
CN111818590B (zh) * 2020-07-31 2022-08-30 隆胜(海南)科技有限公司 一种无线网络路径优化方法及设备

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6212636B1 (en) * 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US6094485A (en) * 1997-09-18 2000-07-25 Netscape Communications Corporation SSL step-up
US6681327B1 (en) * 1998-04-02 2004-01-20 Intel Corporation Method and system for managing secure client-server transactions
US6175869B1 (en) * 1998-04-08 2001-01-16 Lucent Technologies Inc. Client-side techniques for web server allocation
US6105067A (en) * 1998-06-05 2000-08-15 International Business Machines Corp. Connection pool management for backend servers using common interface
US6799270B1 (en) * 1998-10-30 2004-09-28 Citrix Systems, Inc. System and method for secure distribution of digital information to a chain of computer system nodes in a network
US7904951B1 (en) * 1999-03-16 2011-03-08 Novell, Inc. Techniques for securely accelerating external domains locally
US6526131B1 (en) * 1999-04-30 2003-02-25 Hewlett-Packard Company Initiation of communication between network service system and customer-premises equipment
TW425821B (en) * 1999-05-31 2001-03-11 Ind Tech Res Inst Key management method
US6584567B1 (en) 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
US6643701B1 (en) * 1999-11-17 2003-11-04 Sun Microsystems, Inc. Method and apparatus for providing secure communication with a relay in a network
US6704798B1 (en) * 2000-02-08 2004-03-09 Hewlett-Packard Development Company, L.P. Explicit server control of transcoding representation conversion at a proxy or client location
JP3730480B2 (ja) 2000-05-23 2006-01-05 株式会社東芝 ゲートウェイ装置
US20020035681A1 (en) * 2000-07-31 2002-03-21 Guillermo Maturana Strategy for handling long SSL messages
US7137143B2 (en) * 2000-08-07 2006-11-14 Ingrian Systems Inc. Method and system for caching secure web content
US7254237B1 (en) * 2001-01-12 2007-08-07 Slt Logic, Llc System and method for establishing a secure connection
US7370351B1 (en) * 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
GB2374497B (en) * 2001-04-03 2003-03-12 Ericsson Telefon Ab L M Facilitating legal interception of IP connections
US6996841B2 (en) * 2001-04-19 2006-02-07 Microsoft Corporation Negotiating secure connections through a proxy server
US6914886B2 (en) * 2001-05-03 2005-07-05 Radware Ltd. Controlling traffic on links between autonomous systems
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
US7149892B2 (en) * 2001-07-06 2006-12-12 Juniper Networks, Inc. Secure sockets layer proxy architecture
US7853781B2 (en) * 2001-07-06 2010-12-14 Juniper Networks, Inc. Load balancing secure sockets layer accelerator
WO2003021443A1 (en) * 2001-08-31 2003-03-13 Adaptec, Inc. Systems and methods for implementing host-based security in a computer network
US7010608B2 (en) * 2001-09-28 2006-03-07 Intel Corporation System and method for remotely accessing a home server while preserving end-to-end security
US7584505B2 (en) 2001-10-16 2009-09-01 Microsoft Corporation Inspected secure communication protocol
US8601566B2 (en) 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication
US8020201B2 (en) * 2001-10-23 2011-09-13 Intel Corporation Selecting a security format conversion for wired and wireless devices
CN100401669C (zh) * 2001-11-06 2008-07-09 国际商业机器公司 用于数据供应、交易和电子投票的方法和系统
NO318842B1 (no) * 2002-03-18 2005-05-09 Telenor Asa Autentisering og tilgangskontroll
WO2003079627A2 (en) * 2002-03-20 2003-09-25 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device
WO2003088571A1 (en) * 2002-04-12 2003-10-23 Karbon Systems, Llc System and method for secure wireless communications using pki
US7082535B1 (en) * 2002-04-17 2006-07-25 Cisco Technology, Inc. System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol
US7007163B2 (en) * 2002-05-31 2006-02-28 Broadcom Corporation Methods and apparatus for accelerating secure session processing
US7219120B2 (en) * 2002-07-09 2007-05-15 Savvis Communications Corporation Systems, methods and protocols for securing data in transit over networks
US7318100B2 (en) * 2003-04-14 2008-01-08 Riverbed Technology, Inc. Cooperative proxy auto-discovery and connection interception
US7120666B2 (en) * 2002-10-30 2006-10-10 Riverbed Technology, Inc. Transaction accelerator for client-server communication systems
US7574738B2 (en) * 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
WO2005001660A2 (en) 2003-06-25 2005-01-06 Anonymizer, Inc. Secure network privacy system using proxy server
US20050001660A1 (en) * 2003-06-26 2005-01-06 Amit Roy Power-on reset circuit
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
DE602004010519T2 (de) * 2003-07-04 2008-11-13 Nippon Telegraph And Telephone Corp. Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
US20050081029A1 (en) * 2003-08-15 2005-04-14 Imcentric, Inc. Remote management of client installed digital certificates
US7584500B2 (en) * 2003-11-19 2009-09-01 Hughes Network Systems, Llc Pre-fetching secure content using proxy architecture
WO2005060202A1 (en) 2003-12-10 2005-06-30 International Business Machines Corporation Method and system for analysing and filtering https traffic in corporate networks
US7665126B2 (en) * 2003-12-17 2010-02-16 Microsoft Corporation Mesh networks with exclusion capability
US7523314B2 (en) * 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
US7380129B2 (en) * 2004-04-22 2008-05-27 International Business Machines Corporation Method and apparatus for detecting grid intrusions
US7506369B2 (en) * 2004-05-27 2009-03-17 Microsoft Corporation Secure federation of data communications networks
US7543146B1 (en) * 2004-06-18 2009-06-02 Blue Coat Systems, Inc. Using digital certificates to request client consent prior to decrypting SSL communications
JP4143575B2 (ja) * 2004-07-07 2008-09-03 シャープ株式会社 撮像モジュール
US7506164B2 (en) * 2004-08-09 2009-03-17 Research In Motion Limited Automated key management system and method
US7627896B2 (en) * 2004-12-24 2009-12-01 Check Point Software Technologies, Inc. Security system providing methodology for cooperative enforcement of security policies during SSL sessions
US7661131B1 (en) * 2005-02-03 2010-02-09 Sun Microsystems, Inc. Authentication of tunneled connections
US9118717B2 (en) * 2005-02-18 2015-08-25 Cisco Technology, Inc. Delayed network protocol proxy for packet inspection in a network
US8533473B2 (en) * 2005-03-04 2013-09-10 Oracle America, Inc. Method and apparatus for reducing bandwidth usage in secure transactions
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US20070074282A1 (en) * 2005-08-19 2007-03-29 Black Jeffrey T Distributed SSL processing
EP1932272B1 (en) * 2005-10-05 2013-12-11 Byres Security Inc. Network security appliance
US8788805B2 (en) * 2008-02-29 2014-07-22 Cisco Technology, Inc. Application-level service access to encrypted data streams

Also Published As

Publication number Publication date
IL189388A0 (en) 2008-06-05
US20070038853A1 (en) 2007-02-15
JP2012186818A (ja) 2012-09-27
WO2007021483A2 (en) 2007-02-22
EP1904931A4 (en) 2011-07-13
EP1904931A2 (en) 2008-04-02
WO2007021483A3 (en) 2007-09-07
IL189388A (en) 2013-05-30
US8613071B2 (en) 2013-12-17
AU2006280301A1 (en) 2007-02-22
JP5048672B2 (ja) 2012-10-17
JP2009505493A (ja) 2009-02-05
CN101292233A (zh) 2008-10-22

Similar Documents

Publication Publication Date Title
CN101292233B (zh) 安全通信协议的拆分式终止
US8533457B2 (en) Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US6092200A (en) Method and apparatus for providing a virtual private network
KR20060120035A (ko) 신뢰성 높고 지속적인 통신 세션들을 통한 클라이언트 자동재연결
CN101651539A (zh) 更新及分配加密密钥
CN1234662A (zh) 密码点火处理方法及其装置
Jose et al. Implementation of data security in cloud computing
US20100031337A1 (en) Methods and systems for distributed security processing
EP1384370B1 (en) Method and system for authenticating a personal security device vis-a-vis at least one remote computer system
CN108173652A (zh) 基于量子密钥分发的IPSec VPN密码机
US20020021804A1 (en) System and method for data encryption
CN101076792A (zh) 用于光纤信道公共传输的机密性保护的方法和装置
Clark et al. On the Security of Recent Protocols.
WO2009018510A1 (en) Systems and methods for implementing a mutating internet protocol security
CN1627682A (zh) 网络传输中建立连接时动态密码的创建方法
Elgohary et al. Design of an enhancement for SSL/TLS protocols
CN100376092C (zh) 防火墙与入侵检测系统联动的方法
US6975729B1 (en) Method and apparatus for facilitating use of a pre-shared secret key with identity hiding
CN115189928B (zh) 一种密码服务虚拟机动态安全迁移方法及系统
Cisco Introduction to IPSec
JP4752063B2 (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
CN113708933A (zh) 支持国家商用密码算法的IPSec实现方法
US20080059788A1 (en) Secure electronic communications pathway
Thuc et al. A Sofware Solution for Defending Against Man-in-the-Middle Attacks on Wlan
JP7433620B1 (ja) 通信方法、通信装置及びコンピュータプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130814

Termination date: 20160726