CN104322001B - 使用服务名称识别的传输层安全流量控制 - Google Patents
使用服务名称识别的传输层安全流量控制 Download PDFInfo
- Publication number
- CN104322001B CN104322001B CN201380023694.4A CN201380023694A CN104322001B CN 104322001 B CN104322001 B CN 104322001B CN 201380023694 A CN201380023694 A CN 201380023694A CN 104322001 B CN104322001 B CN 104322001B
- Authority
- CN
- China
- Prior art keywords
- equipment
- identification information
- application
- information
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
流量控制技术被提供以用于在代理设备处拦截用于第一设备和第二设备之间的安全通信的握手过程中的初始消息。从该初始消息提取与该第二设备相关联的识别信息。基于该识别信息,向第一设备和第二设备之间的通信应用策略。
Description
技术领域
本公开一般涉及计算机网络,更具体地,涉及在两个网络节点之间的通信。
背景技术
通常,现代网络与诸如防火墙之类的代理设备一起被设置以对流经网络边界的流量应用策略决策。为了应用这些策略决策,防火墙可检查网络流量,通过仅查看分组报头进行浅度检查,或通过查看底层分组数据执行深度分组检查。对于不安全的网络传输,防火墙可能立即查看全部的网络分组,从而在允许消息的任何部分通过防火墙之前,防火墙能够对网络流量应用策略决策。
随着更多的网络流量被安全地发送(例如,使用加密技术),在未首先解密消息之前,防火墙不再可能查看全部的网络流量。此外,在某些加密协议中,在未解密消息的情况下防火墙甚至不能确定诸如所期望的消息的统一资源定位符(URL)之类的基本信息。为了完成解密处理,在任何策略决策被应用于流量之前,防火墙通常将需要允许例如某些消息或有限数量的分组通过该防火墙。在防火墙处解密网络流量需要防火墙执行资源密集型操作。此外,由于网络被用于传送诸如金融交易之类的敏感交易的流量,因而限制防火墙解密某些敏感流量的规则和法规被实施。
附图说明
图1示出了其中代理设备被配置用于使用服务名称识别信息的传输层安全(TLS)流量控制的示例计算机网络;
图2是示出了在代理设备处执行的用于跨网络对第一设备和第二设备之间的通信应用策略的示例过程的流程图;
图3是示出了通过代理设备在客户端与服务器之间的示例消息交换的梯形图,其中通信会话被建立以便使该代理设备不对消息数据进行解密;
图4是示出了通过代理设备在客户端与服务器之间的示例消息交换的梯形图,其中通信会话被建立以便使该代理设备对消息数据进行解密;
图5是示出了通过代理设备在客户端与服务器之间的示例消息交换的梯形图,其中通信会话被该代理设备拒绝;
图6示出了为了应用策略,代理设备用于提取服务器名称识别信息的示例初始消息;
图7示出了包含在初始消息中的示例服务器名称指示扩展,为了应用策略,代理设备分析该服务器名称指示扩展;
图8是被配置用于通过使用服务器名称识别信息执行TLS流量控制的代理设备的框图的示例。
具体实施方式
概述
根据本文所描述的技术,在代理设备处拦截用于第一设备和第二设备间的安全通信的握手过程。从该握手过程的初始消息提取与第二设备相关联的识别信息。基于该识别信息,向第一设备和第二设备之间的通信应用策略。
具体实施例
首先参考图1。图1是示例计算机网络100的框图。网络100包括客户端节点110a-c、代理设备120以及服务器130。为了简单起见,参考数字110被用于泛指任何一个客户端110a-c。链路140a-d使网络设备互相连接。为了简单起见,将这里的每一个客户端节点称为“客户端”,并且代理设备120在此被称为“代理”。客户端可采用不同的形式。例如,客户端110a-c可以是互联网协议(IP)电话、笔记本电脑、平板电脑、台式计算机、智能手机、服务器计算机等等。例如,客户端110a-c可配备能够通过互联网访问网络内容的网络浏览器。代理设备120可以是常驻于网络边界或商业企业的局域网边缘的防火墙设备。服务器130可以是托管用于诸如互联网银行、其他网络服务应用或其他网络内容之类的应用程序的网络服务的网络服务器。在客户端110a-c和代理设备120之间的链路140a-c可以是体现为铜线、光纤、无线信道和其他现在已知的或后续将被开发的链路(以及它们的任意组合)的网络通信链路。云140d意图表示互联网,其自身可涉及有线链路和无线链路的结合,通过该互联网,通信在客户端110a-c和服务器130之间发生。
通过使用诸如传输控制协议/互联网协议(TCP/IP)、用户数据报协议(UDP)、异步传输模式(ATM)协议、帧中继协议、互联网分组交换(IPX)协议以及其他现在已知的或者后续将被开发的协议之类的通信协议,可在网络设备之间发送流量150。
如图1所表明的,例如,基于服务器名称的流量控制的示例能够在代理120处被实施以便对客户端110a-c和服务器130之间的流量应用策略决策。在代理120处实施的策略决策可由代理120的所有者或管理员进行配置。例如,管理员可确定应被应用于由代理120拦截的流量的策略列表。因此,通过软件或硬件模块示例代理120可确定何时以及怎样实施策略决策。
基于服务器名称的流量控制实施方式的示例可包括在代理120处拦截包括用于客户端110和服务器130之间的安全通信的握手过程的或与该握手过程相关联的流量150。从握手过程的初始消息中提取与服务器130相关联的识别信息。基于该识别信息,向客户端110和服务器130之间的通信应用策略。
图2示出了根据本文的一个或多个示例实施例,代理120用于对流量150应用策略决策的过程200的流程图。过程200开始于步骤210并进行至步骤220,在步骤220中,在代理设备120处拦截第一设备(例如,客户端)和第二设备(例如,服务器)之间的握手过程的初始消息。握手过程的示例可包括消息交换,其中在信道上的正常通信开始之前该信息交换动态设置在两个实体之间所建立的通信信道的参数。握手过程被用来建立用于第一设备和第二设备之间的安全(例如,被加密的)通信会话的安全参数。
在拦截握手过程的初始消息之后,过程进行至步骤230,其中代理设备120从与服务器130相关联的初始消息提取识别信息。根据示例实施例,该识别信息可采用不同的形式。在一个示例中,握手过程的初始消息包括传输层安全(TLS)握手过程的“ClientHello”(“客户你好”)消息。根据此示例,代理设备120可从ClientHello消息中提取服务器名称指示(SNI)扩展。如下文所详细讨论的,SNI通常不被用于安全目的或应用策略决策,而是被用于被虚拟地托管于单一服务器的多个域名服务器(DNS)主机名称间的区分。
基于步骤230中所提取的识别信息,在步骤240中代理设备120对通信应用策略。根据不同的示例,策略决策的应用基础能够采用多种形式。根据一个示例,识别信息可通过名称识别服务器130,并且基于该服务器130的名称可应用策略决策。例如,识别信息可以与服务器的“黑名单”数据库相比较,到服务器的“黑名单”数据库的连接应该被阻止。因此,代理设备120将阻止在客户端设备(例如,客户端设备110a)和服务器130之间的所有进一步的通信。
根据其他示例,识别信息可以表明用于客户端和服务器之间的通信会话的流量的应用类型。例如,识别信息可表明被用于银行或其他金融服务操作的数据。应用的其他示例可包括网络语音电话(VoIP)应用、流视频、社交网络、照片共享和本领域普通技术人员所知的其他应用。
在又一形式中,策略的应用可能基于服务器130的声誉。与服务器相关联的声誉信息是随着时间从客户端和服务器之间的通信会话积累的。例如,识别信息可表明客户端试图连接的特定的服务器具有例如托管间谍程序或恶意软件的声誉。因此,代理120可应用与对具有良性声誉的服务器130应用的策略决策不同的策略决策。
根据另一个示例,策略决策的应用可基于服务器130的类别或服务器130所服务的内容。类别的示例可包括教育、娱乐、金融数据和服务、赌博、游戏、政府、非法或有问题的材料、新闻和媒体以及其他本领域普通技术人员所知的类别。服务器的一些类别可能很轻易地被允许,而其他类别可能被管制或拒绝。
策略决策本身能够采用多种形式。例如,策略决策能够导致在任何消息被发送至服务器130之前并且必然在来自服务器130的任何内容到达客户端之前在代理设备120处中止握手过程。在另一示例中,策略决策的应用能够导致客户端110和服务器130之间的未来的流量通过代理设备120而不在代理设备120处进行任何解密和/或重加密。在又一示例中,策略决策的应用导致未来的通信在代理设备120处被解密,其后在代理设备120处被重加密以用于在客户端110和服务器130之间传输。
过程200结束于步骤250。
现在参考图3-7以对上述示例进行更加详细的描述。图3示出了策略决策的应用导致客户端110和服务器130之间的后续安全通信通过代理设备120而未经代理设备120处的解密的示例。初始消息(例如,ClientHello消息335)从客户端110被发送以初始化客户端110和服务器130之间的握手过程,从而例如根据TLS协议与服务器建立安全通信会话。ClientHello消息335被代理设备120拦截。代理设备120从ClientHello消息335提取服务器识别信息。
基于服务器识别信息,代理设备120对数据库340进行查询。数据库340可以是代理设备120的一部分或在代理设备120外部。如图3所描述的,数据库340可包括多个数据库,诸如主机类别数据库341a、声誉数据库341b和应用数据库341c。
将提取自初始消息的服务器识别信息与存储在数据库340中的信息相比较。通过响应消息360b返回比较结果。基于比较的结果,代理设备120对客户端110和服务器130之间的任何进一步通信应用策略决策365。
尽管一些示例中策略的应用是基于与单一数据库的比较,然而其他示例可基于与两个或更多个数据库的比较的结合来应用策略。例如,尽管与声誉数据库341b的比较可确定通信会话是否应被允许,然而应用数据库341c可被用于确定客户端110和服务器130之间的后续通信是否应在代理120处解密。还有一种情况是与多于一个数据库的比较结果被均衡以确定要应用的适当策略。例如,代理设备可被禁止解密金融服务通信。因此,即使声誉或类别比较能表明通信会话应在代理120处解密,金融服务数据不能被代理120解密的法律要求也将导致通信继续下去而不经代理120解密。
如图3所描述的,比较结果是应在客户端110和服务器130之间建立通信会话(连接)。因此,代理120向服务器130转发ClientHello消息335。客户端110和服务器130通过消息350a和350b完成握手过程。如图3中所示,通过消息370绕过代理120将数据发送至服务器,并且通过消息380绕过代理120将数据发送至客户端。
现在参考图4。除了策略的应用导致通信370被代理120解密、重加密并发送至服务器130之外,图4中所描述的示例与图3中的示例相类似。同样地,来自服务器130的通信380被代理120解密、重加密并发送至客户端110。由于由代理120所执行的加密和解密,握手过程可能以不同于图3所描述的示例过程的方式进行。具体地,如图4所示,如果服务器识别信息和存储在数据库340中的信息之间的比较结果表明连接应被建立,则代理120将发送代理ClientHello消息336a以在代理120和服务器130之间初始化握手过程。当代理/服务器握手过程被完成时,通过消息351代理120完成代理/客户端握手过程。随着所有握手过程的完成,通过在代理120处进行解密和重加密能够实现客户端110和服务器130之间的通信。
现在转向图5,图5示出了策略的应用导致拒绝/阻止客户端110和服务器130之间的通信的示例。因此,ClientHello消息335不会前往服务器130,并且从代理120向客户端110发送连接拒绝消息337。
对于图3和图4中所描述的导致客户端110和服务器130之间的连接的示例,可在设备间的任何通信之前应用策略决策。因此,策略能够在不破坏握手过程或后续数据交换的情况下被实施。此外,在客户端110和服务器130之间的任何通信之前应用策略可防止任何恶意或有害通信作为握手过程的一部分被发送。
现在参考图6和图7。图6描述了初始消息的示例。具体地,图6所描述的是根据TLS协议的ClientHello消息600。被包括在TLS ClientHello消息600内的是指示客户端所支持的最高的TLS协议的协议版本指示610、用来创建用于意图被发送的数据的加密/解密的“主密钥”的随机数620、如果消息试图执行恢复的握手则很有帮助的会话ID 630、密码套件指示640、压缩方法指示650以及SNI扩展660。
在握手过程期间,SNI扩展660被添加至TLS协议以向服务器指示客户端试图连接的主机名称。具体地,它出现在ClientHello消息600中以帮助基于名称的虚拟托管。基于名称的虚拟托管允许在相同IP地址上的单一服务器上托管多个DNS主机名称。在不安全的HTTP请求中,服务器能够从HTTP报头读取虚拟主机。在加密TLS请求中,服务器不能读取HTTP报头直到握手过程被完成之后。为了向客户端呈现适当的证书,服务器在握手过程完成前了解客户端试图到达哪一个主机名称是很有帮助的。
图7示出了SNI扩展700的示例。SNI扩展包括ServerNameList(服务器名称列表)710。ServerNameList 710由多个条目组成,例如,作为示例的四个条目720a-d。每个条目包括主机名称730a-d和名称类型740a-d。例如,示例实施例能够列出多个主机名称730a-d,所有的主机名称730a-d可以是DNS名称类型。当然,除了DNS之外的名称类型也能够与SNI扩展700一起使用。
回去参考图3,在涉及TLS ClientHello消息600和TLS SNI扩展700的使用的示例中,代理120在服务器130接收ClientHello消息600之前从ClientHello消息600提取SNI扩展700。代理120将包含在ClientHello消息600的SNI扩展700中的主机名称730a-d和/或名称类型740a-d中的一个或多个与存储在数据库340中的信息相比较。通过响应消息360b返回比较结果。基于比较结果,代理设备120向客户端110和服务器130之间的任何进一步通信应用策略决策。如上面所讨论的,图3的示例中的策略决策导致TLS握手过程的完成,从而,出于其向服务器130指示客户端110试图连接的主机的预期目的,服务器130仍将能够读取SNI扩展700。
图8描述了被配置以执行本文所述的流量控制技术的代理设备的示例框图。代理设备120包括网络接口810、处理器820、总线830以及存储器840。存储器840包括用于操作系统841、防火墙服务842和客户端/服务器代理服务843的软件指令。存储器840还包括数据库340,但是如上面所讨论的,数据库340还可保持在代理设备120的外部。
存储器840可包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质设备、光存储介质设备、闪速存储设备、电气、光学或其他物理/有形(例如,永久的)存储器存储设备。例如,处理器820是为代理设备逻辑执行指令的微处理器或微控制器。因此,一般而言,存储器840可包括使用包括计算机可执行指令的软件编码的一个或多个有形(永久的)计算机可读存储介质(例如,存储设备),并且当软件,特别是防火墙服务软件842被(处理器820)执行时,可用于执行本文所述的关于图2-5的操作。
本文所描述的流量控制技术具有多个优点。例如,通过拦截握手过程的初始消息,重要的网络资源能够被保存。如图5所描述的,在消息335前往服务器130之前做出阻止客户端110和服务器130之间的连接的决定。因此,所需的用于完成握手过程的网络和计算资源能够被保存。具体地,用来创建和存储用于加密通信的“主密钥”的资源发送和接收ServerHello(服务器你好),确定并检索安全证书以及交换能够被保存的安全密钥。此外,所需的用来解密和重加密数据的计算资源能够被保存。
此外,由于在客户端和服务器之间的通信会话能够先于客户端110和服务器130之间的任何实质性通信而被拒绝,因而资源能够被保存,否则将需要该资源以终止所建立的连接。
总之,提供了方法、装置和计算机可读有形存储介质以执行本文所描述的流量控制技术。以装置的形式,提供了包括处理器、至少一个被配置成通过网络发送和接收消息的网络接口单元以及存储器的装置。处理器被配置成拦截用于第一设备和第二设备之间的安全通信会话握手过程的初始消息,从该初始消息提取与第二设备相关联的识别信息,并基于该识别信息向第一设备和第二设备之间的通信应用策略。
以计算机可读有形存储介质的形式,被编码在计算机可读有形介质上的指令当被处理器执行时导致处理器在代理设备处拦截用于第一设备和第二设备之间的安全通信会话的握手过程的初始消息。该指令还导致处理器从该初始消息提取与第二设备相关联的识别信息,并基于该识别信息向第一设备和第二设备之间的通信应用策略。
以上详细说明仅意图作为示例。
Claims (13)
1.一种跨网络建立连接的方法,包括:
在代理设备处拦截用于第一设备和第二设备之间的安全通信会话的握手过程的初始消息,其中所述初始消息是包括与所述第二设备相关联的识别信息的传输层安全(TLS)握手过程的客户你好ClientHello消息,其中所述识别信息包括含有主机名称、主机的类别、主机的声誉和应用类型的多个参数,并且其中每个参数具有分配的权重;
从所述初始消息提取与所述第二设备相关联的所述识别信息;
将所述多个参数与多个数据库进行比较以生成比较结果;
基于所述参数的分配的权重来均衡所述比较结果以确定策略;并且
基于所述识别信息,向所述第一设备和所述第二设备之间的通信应用所述策略,其中提取所述识别信息包括提取所述初始消息中的服务器名称指示扩展而不解密所述初始消息,并且
其中所述服务器名称指示扩展表明所述第二设备的主机名称。
2.根据权利要求1所述的方法,其中应用包括将所述识别信息与所存储的其通信被阻止的设备的信息相比较,并且当所述识别信息与所述所存储的信息相匹配时,阻止所述第一设备和所述第二设备之间的所述安全通信会话。
3.根据权利要求1所述的方法,其中应用包括将所述识别信息与所存储的允许其流量被拦截和解密的设备的主机名称的信息相比较,并且还包括当所述识别信息和所述所存储的信息相匹配时,在所述代理设备处解密所述第一设备和所述第二设备之间的通信。
4.根据权利要求1所述的方法,其中应用包括将所述识别信息与所存储的表示主机类别的信息相比较,并且基于从所述所存储的信息确定的所述识别信息的类别,应用策略以允许访问所述第二设备和/或解密所述第一设备和所述第二设备之间的通信。
5.根据权利要求1所述的方法,其中应用包括将所述识别信息与所存储的表示主机的声誉的信息相比较,并且基于从所述所存储的信息为所述识别信息确定的声誉,应用策略以允许访问所述第二设备和/或解密所述第一设备和所述第二设备之间的通信。
6.根据权利要求1所述的方法,其中应用包括将所述识别信息与所存储的表示与主机相关联的应用类型的信息相比较,并且基于从所存储的信息为识别信息确定的应用类型,应用策略以允许访问所述第二设备和/或解密所述第一设备和所述第二设备之间的通信。
7.根据权利要求1所述的方法,其中应用包括确定是否允许所述第一设备和所述第二设备之间的通信。
8.根据权利要求1所述的方法,其中应用包括在所述代理设备向所述第二设备转发所述初始消息之前应用所述策略。
9.根据权利要求1所述的方法,其中应用包括允许所述第一设备和所述第二设备之间的通信而不由所述代理设备解密消息。
10.根据权利要求1所述的方法,其中应用包括将所述识别信息与所存储的信息相比较,并且基于所述比较,应用策略以允许访问所述第二设备和/或解密所述第一设备和所述第二设备之间的通信,其中所述所存储的信息表示允许其流量被拦截和解密的设备的主机名称、主机的类别、主机的声誉和/或与主机相关联的应用类型。
11.一种跨网络建立连接的装置,包括:
至少一个网络接口单元,该网络接口单元被配置成通过网络发送和接收消息;
存储器;
处理器,该处理器被耦合至所述存储器和所述至少一个网络接口,其中所述处理器被配置成:
拦截用于第一设备和第二设备之间的安全通信会话的握手过程的初始消息,其中所述初始消息是包括与所述第二设备相关联的识别信息的传输层安全(TLS)握手过程的客户你好ClientHello消息,其中所述识别信息包括含有主机名称、主机的类别、主机的声誉和应用类型的多个参数,并且其中每个参数具有分配的权重;
从所述初始消息提取与所述第二设备相关联的所述识别信息;
将所述多个参数与多个数据库进行比较以生成比较结果;
基于所述参数的分配的权重来均衡所述比较结果以确定策略;并且
基于所述识别信息,向所述第一设备和所述第二设备之间的通信应用所述策略,其中所述处理器被配置为提取所述初始消息中的服务器名称指示扩展而不解密所述初始消息,并且其中所述服务器名称指示扩展表明所述第二设备的主机名称。
12.根据权利要求11所述的装置,其中所述存储器还被配置成存储其通信被阻止的设备的信息,并且其中所述处理器还被配置成当所述识别信息与所存储的信息相匹配时阻止所述第一设备和所述第二设备之间的所述安全通信会话。
13.根据权利要求11所述的装置,其中所述处理器被配置成将所述识别信息与所存储的表示允许其流量被拦截和解密的设备的主机名称、主机的类别、主机的声誉和/或与主机相关联的应用类型的信息相比较,并且基于所述比较,应用策略以允许访问所述第二设备和/或解密所述第一设备和所述第二设备之间的通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/473,835 | 2012-05-17 | ||
| US13/473,835 US9237168B2 (en) | 2012-05-17 | 2012-05-17 | Transport layer security traffic control using service name identification |
| PCT/US2013/041097 WO2013173429A1 (en) | 2012-05-17 | 2013-05-15 | Transport layer security traffic control using service name identification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104322001A CN104322001A (zh) | 2015-01-28 |
| CN104322001B true CN104322001B (zh) | 2018-06-26 |
Family
ID=49582423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380023694.4A Active CN104322001B (zh) | 2012-05-17 | 2013-05-15 | 使用服务名称识别的传输层安全流量控制 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9237168B2 (zh) |
| EP (1) | EP2850770B1 (zh) |
| CN (1) | CN104322001B (zh) |
| WO (1) | WO2013173429A1 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9137210B1 (en) * | 2012-02-21 | 2015-09-15 | Amazon Technologies, Inc. | Remote browsing session management |
| US9100366B2 (en) * | 2012-09-13 | 2015-08-04 | Cisco Technology, Inc. | Early policy evaluation of multiphase attributes in high-performance firewalls |
| US9154520B1 (en) * | 2012-11-27 | 2015-10-06 | Symantec Corporation | Systems and methods for notifying users of endpoint devices about blocked downloads |
| WO2015080661A1 (en) * | 2013-11-28 | 2015-06-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangements for intermediary node discovery during handshake |
| US9628512B2 (en) * | 2014-03-11 | 2017-04-18 | Vectra Networks, Inc. | Malicious relay detection on networks |
| WO2016007333A1 (en) * | 2014-07-09 | 2016-01-14 | Seven Networks, Inc. | Secure handling of secure socket layer ("ssl") traffic |
| US9521060B2 (en) * | 2014-07-27 | 2016-12-13 | Vasona Networks Inc. | Identifying services provided over secured connections using DNS caching |
| CN104967590B (zh) * | 2014-09-18 | 2017-10-27 | 腾讯科技(深圳)有限公司 | 一种传输通信消息的方法、装置和系统 |
| WO2016053980A1 (en) * | 2014-09-29 | 2016-04-07 | Akamai Technologies, Inc. | Https request enrichment |
| US10171532B2 (en) * | 2014-09-30 | 2019-01-01 | Citrix Systems, Inc. | Methods and systems for detection and classification of multimedia content in secured transactions |
| US9774631B2 (en) * | 2014-10-29 | 2017-09-26 | International Business Machines Corporation | TLS connection abandoning |
| US9930013B2 (en) | 2014-11-14 | 2018-03-27 | Cisco Technology, Inc. | Control of out-of-band multipath connections |
| EP3228059B1 (en) * | 2014-12-04 | 2018-05-23 | Telefonaktiebolaget LM Ericsson (publ) | Secure connections establishment |
| US9756106B2 (en) * | 2015-02-13 | 2017-09-05 | Citrix Systems, Inc. | Methods and systems for estimating quality of experience (QoE) parameters of secured transactions |
| CN106464603B (zh) * | 2015-05-07 | 2020-07-10 | 深圳市环讯通科技有限公司 | 一种传输请求的方法及客户端 |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US10187475B2 (en) * | 2015-12-31 | 2019-01-22 | Hughes Network Systems, Llc | Method and system for automatically bypassing network proxies in the presence of interdependent traffic flows |
| US20170223054A1 (en) * | 2016-02-02 | 2017-08-03 | Cisco Technology, Inc. | Methods and Apparatus for Verifying Transport Layer Security Server by Proxy |
| CN107135190B (zh) * | 2016-02-29 | 2021-01-15 | 阿里巴巴集团控股有限公司 | 基于传输层安全连接的数据流量归属识别方法及装置 |
| US20170272470A1 (en) * | 2016-03-16 | 2017-09-21 | Affirmed Networks, Inc. | Systems and methods for intelligent transport layer security |
| US10264079B2 (en) | 2016-05-18 | 2019-04-16 | Cisco Technology, Inc. | Fastpath web sessions with HTTP header modification by redirecting clients |
| US10326730B2 (en) | 2016-06-27 | 2019-06-18 | Cisco Technology, Inc. | Verification of server name in a proxy device for connection requests made using domain names |
| WO2018018640A1 (zh) * | 2016-07-29 | 2018-02-01 | 华为技术有限公司 | 信息交互方法、装置及系统 |
| CN107707508A (zh) * | 2016-08-09 | 2018-02-16 | 中兴通讯股份有限公司 | 应用业务识别方法和装置 |
| US10320842B1 (en) * | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
| US20190068556A1 (en) * | 2017-08-31 | 2019-02-28 | Check Point Software Technologies Ltd. | Method to avoid inspection bypass due to dns poisoning or http host header spoofing |
| CN109802924B (zh) | 2017-11-17 | 2022-05-17 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| US10834131B2 (en) * | 2017-11-28 | 2020-11-10 | Forcepoint Llc | Proactive transport layer security identity verification |
| US10812468B2 (en) * | 2017-12-07 | 2020-10-20 | Sonicwall Inc. | Dynamic bypass |
| US10911409B2 (en) | 2018-05-21 | 2021-02-02 | Cisco Technology, Inc. | Engagement and disengagement of transport layer security proxy services with encrypted handshaking |
| CN109543470A (zh) * | 2018-11-01 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种存储设备安全访问方法及系统 |
| US11356423B2 (en) * | 2020-01-14 | 2022-06-07 | Cisco Technology, Inc. | Managing encrypted server-name-indication (ESNI) at proxy devices |
| US10924456B1 (en) | 2020-07-14 | 2021-02-16 | Centripetal Networks, Inc. | Methods and systems for efficient encrypted SNI filtering for cybersecurity applications |
| US11595352B2 (en) * | 2020-12-21 | 2023-02-28 | Microsoft Technology Licensing, Llc | Performing transport layer security (TLS) termination using categories of web categorization |
| US20230198938A1 (en) * | 2021-12-18 | 2023-06-22 | Microsoft Technology Licensing, Llc | Using entity name mapping for routing network traffic having encrypted server name identification (sni) headers |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1986400A1 (en) * | 2007-04-23 | 2008-10-29 | Secure Computing Corporation | Transparent secure socket layer |
| CN101877710A (zh) * | 2010-07-13 | 2010-11-03 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法、预分类器和代理网关 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7032031B2 (en) * | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
| US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| US7203837B2 (en) * | 2001-04-12 | 2007-04-10 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| US7650416B2 (en) * | 2003-08-12 | 2010-01-19 | Riverbed Technology | Content delivery for client-server protocols with user affinities using connection end-point proxies |
| US7571463B1 (en) * | 2003-01-24 | 2009-08-04 | Nortel Networks Limited | Method an apparatus for providing a scalable and secure network without point to point associations |
| US9338026B2 (en) | 2003-09-22 | 2016-05-10 | Axway Inc. | Delay technique in e-mail filtering system |
| US8161547B1 (en) * | 2004-03-22 | 2012-04-17 | Cisco Technology, Inc. | Monitoring traffic to provide enhanced network security |
| US20080028443A1 (en) * | 2004-10-29 | 2008-01-31 | The Go Daddy Group, Inc. | Domain name related reputation and secure certificates |
| US8595814B2 (en) | 2005-12-13 | 2013-11-26 | Google Inc. | TLS encryption in a managed e-mail service environment |
| US8316429B2 (en) * | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| WO2008017011A2 (en) * | 2006-08-03 | 2008-02-07 | Citrix Systems, Inc. | Systems and methods for application-based interception and authorization of ssl/vpn traffic |
| CN101617239A (zh) * | 2006-11-13 | 2009-12-30 | B-显著有限公司 | 选择性会话拦截方法 |
| US8214635B2 (en) | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| US8117335B2 (en) * | 2007-01-30 | 2012-02-14 | Oracle International Corporation | Service or application driven processing of network traffic using a smart router |
| US8806572B2 (en) | 2009-05-30 | 2014-08-12 | Cisco Technology, Inc. | Authentication via monitoring |
| US8190879B2 (en) * | 2009-12-17 | 2012-05-29 | Cisco Technology, Inc. | Graceful conversion of a security to a non-security transparent proxy |
| US8543805B2 (en) * | 2010-04-21 | 2013-09-24 | Citrix Systems, Inc. | Systems and methods for split proxying of SSL via WAN appliances |
| US8707420B2 (en) | 2010-05-21 | 2014-04-22 | Microsoft Corporation | Trusted e-mail communication in a multi-tenant environment |
| US8638795B2 (en) * | 2010-08-12 | 2014-01-28 | Citrix Systems, Inc. | Systems and methods for quality of service of encrypted network traffic |
| US20120084423A1 (en) | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| US9015469B2 (en) * | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US8738902B2 (en) * | 2012-01-27 | 2014-05-27 | Microsoft Corporation | Implicit SSL certificate management without server name indication (SNI) |
-
2012
- 2012-05-17 US US13/473,835 patent/US9237168B2/en active Active
-
2013
- 2013-05-15 EP EP13790915.6A patent/EP2850770B1/en active Active
- 2013-05-15 WO PCT/US2013/041097 patent/WO2013173429A1/en active Application Filing
- 2013-05-15 CN CN201380023694.4A patent/CN104322001B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1986400A1 (en) * | 2007-04-23 | 2008-10-29 | Secure Computing Corporation | Transparent secure socket layer |
| CN101877710A (zh) * | 2010-07-13 | 2010-11-03 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法、预分类器和代理网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2850770B1 (en) | 2019-12-18 |
| EP2850770A1 (en) | 2015-03-25 |
| US9237168B2 (en) | 2016-01-12 |
| US20130312054A1 (en) | 2013-11-21 |
| CN104322001A (zh) | 2015-01-28 |
| EP2850770A4 (en) | 2016-01-13 |
| WO2013173429A1 (en) | 2013-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104322001B (zh) | 使用服务名称识别的传输层安全流量控制 | |
| CN106471783B (zh) | 经由网关的企业系统认证和授权 | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| Ertaul et al. | Security Challenges in Cloud Computing. | |
| CN104662551B (zh) | 在网络环境中对加密的数据的检查 | |
| US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
| TWI467982B (zh) | 用於組合存取控制系統和流量管理系統的系統和方法 | |
| US10270792B1 (en) | Methods for detecting malicious smart bots to improve network security and devices thereof | |
| US11146588B2 (en) | Context-based adaptive encryption | |
| US20120180120A1 (en) | System for data leak prevention from networks using context sensitive firewall | |
| EP3272059B1 (en) | Apparatus and method for using certificate data to route data | |
| US20230171285A1 (en) | Edge network-based account protection service | |
| CN109040069B (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
| CN109600226A (zh) | 基于随机数隐式协商的tls协议会话密钥还原方法 | |
| US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| CN110099031A (zh) | 一种服务调用方法、装置及微服务平台 | |
| US20240146728A1 (en) | Access control method, access control system, and related device | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| Patni et al. | Man-in-the-middle attack in HTTP/2 | |
| US11689517B2 (en) | Method for distributed application segmentation through authorization | |
| CN114448706A (zh) | 一种单包授权方法、装置、电子设备及存储介质 | |
| US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
| US20180324211A1 (en) | System and method for prevening denial of service attacks | |
| Benzidane et al. | Secured architecture for inter-VM traffic in a Cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |