CN107534665A - 利用ssl会话票证扩展的可扩缩中间网络设备 - Google Patents
利用ssl会话票证扩展的可扩缩中间网络设备 Download PDFInfo
- Publication number
- CN107534665A CN107534665A CN201680023310.2A CN201680023310A CN107534665A CN 107534665 A CN107534665 A CN 107534665A CN 201680023310 A CN201680023310 A CN 201680023310A CN 107534665 A CN107534665 A CN 107534665A
- Authority
- CN
- China
- Prior art keywords
- session
- ticket
- computing device
- status
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer And Data Communications (AREA)
Abstract
中间网络设备接收针对通过该网络设备在端点服务器和端点客户端之间进行安全通信会话的请求。端点服务器和端点客户端之间的安全会话被分为第一会话和第二会话。第一会话在端点服务器和网络设备之间。第二会话在网络设备和端点客户端之间。网络设备从端点服务器接收第一会话票证。确定在第一会话中代理客户端的会话状态(包括第一会话票证)。网络设备还确定在第二会话中代理服务器的会话状态。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。
Description
技术领域
本公开涉及通过中间网络设备的安全通信会话。
背景技术
传输层安全(TLS)协议包括会话票证(session ticket)扩展,其允许两台计算机之间的安全通信会话在有限的时间内基于预先知道的状态使用简短握手恢复。会话票证扩展将对应用服务器会话状态的缓存卸载到应用客户端。中间网络设备可以被包括在TLS/安全套接层(SSL)连接的路径中以提供额外服务,诸如防火墙、入侵检测/预防和/或负载平衡。
为了参与端点客户端和端点服务器之间使用TLS安全协议的会话,中间设备通常会自行插入并创建两个单独的SSL/TLS会话。中间设备在应用客户端和中间设备处的代理服务器之间创建一个TLS会话。中间设备处的代理客户端发起与应用服务器的第二TLS会话。
互联网工程任务组(IETF)征求意见(RFC)5077描述了TLS协议上的TLS会话票证扩展规范。RFC 5077描述了在“更改密码规范消息”之前,应用服务器向应用客户端发送新的会话票证。该票证对应用客户端是不透明的,并且被用于使用简短握手建立与应用服务器的相同会话的SSL/TLS连接。
附图说明
图1是示出根据示例实施例的端点服务器和端点客户端之间的中间网络设备的系统框图。
图2是根据示例实施例的中间网络设备的简化框图。
图3是示出根据示例实施例的通过中间网络设备发起安全TLS会话的步骤的梯形图。
图4是示出根据示例实施例的中间网络设备封装会话状态和端点票证的系统框图。
图5是示出根据示例实施例的中间网络设备通过会话票证扩展恢复TLS会话的系统框图。
图6是示出根据示例实施例中间网络设备的在代理票证中封装会话标识符以支持传统会话恢复的系统框图。
图7是示出根据示例实施例的中间网络设备封装会话状态和会话票证的操作的流程图。
具体实施方式
概述
本文提出了一种计算机实现的方法,其涉及接收针对通过中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求。第一计算设备和第二计算设备之间的安全通信会话被划分为第一会话和第二会话。第一会话在第一计算设备和中间网络设备之间。第二会话在中间网络设备和第二计算设备之间。中间网络设备从第一计算设备接收第一会话票证。在第一会话中代理客户端的会话状态(包括第一会话票证)被确定。在第二会话中代理服务器的会话状态也被确定。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。
示例实施例
TLS协议会话票证扩展对中间网络设备提供任意额外服务的安全性和可扩缩性带来了挑战。为了支持会话恢复,每个中间网络设备通常存储代理服务器和代理客户端的会话状态以及应用票证。由于单个网络设备可以是用于多个TLS会话的中间设备,所以网络设备存储每个TLS会话的会话状态和票证,限制了网络服务的可扩缩性。
本文呈现的技术提供了中间网络设备,用于将与端点服务器的TLS会话的会话票证封装作为针对与端点客户端的TLS会话生成的代理会话票证的一部分。以这种方式,端点客户端能够缓存两个TLS会话的会话票证,并且中间网络设备不需要为其协调的每个TLS会话存储会话票证。中间物还将代理客户端的会话状态和代理服务器的会话状态封装在端点客户端存储的代理会话票证中。
现在参考图1,其示出了使用中间网络设备促进端点客户端和端点服务器之间的TLS会话的网络系统100的简化框图。系统100包括多个端点客户端设备110、112、114和116,中间网络设备120和端点服务器130和135。为了支持TLS协议,中间网络设备120使用代理客户端140来参与与端点服务器130和135进行的安全TLS会话。中间网络设备120还使用代理服务器150来参与与端点客户端110、112、114和116进行的安全TLS会话。
在一个示例中,端点客户端设备110、112、114和116以及端点服务器130和135可以采取各种形式,包括台式计算机、膝上型计算机、服务器、移动/蜂窝电话、平板计算机、因特网电话等。中间网络设备120可以是例如连接计算设备(例如客户端110、112、114和116以及服务器130和135)的各种类型的网络(例如,因特网、内联网、局域网(LAN)、广域网(WAN)、有线网络、无线网络等的任意组合)中的交换机或路由器。
参考图2,其示出了中间网络元件120的简化框图。网络元件120包括用于处理与处理通信分组有关的指令的处理器210、和用于存储各种数据和软件指令(例如,票证封装逻辑230,通信分组等)的存储器220、以及其他可能的组件。网络元件120还包括用于处理流经网络元件120的通信分组的网络处理器专用集成电路(ASIC)240。网络处理器ASIC 240处理到端口250、251、252、253、254和来自端口250、251、252、253、254的通信分组。虽然在该示例中仅示出六个端口,但是网络元件120中可以包括任意数量的端口。
存储器220可以包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质设备、光学存储介质设备、闪存设备、电存储设备、光存储设备或其他物理/有形(例如,非暂态的)存储设备。处理器210是例如执行用于实现本文所述的处理的指令的微处理器或微控制器。因此,通常,存储器220可以包括编码有包括计算机可执行指令的软件的一个或多个有形(非暂态)计算机可读存储介质(例如,存储器设备),并且当软件被(处理器210)执行时可操作地执行本文所述的操作。
现在参考图3,其示出了根据示例实施例的中间网络设备120将TLS会话划分为两个TLS会话的梯形图。客户端110通过向网络设备120发送具有空会话票证扩展的客户问候(Cline-Hello,CH)消息310以发起TLS会话来启动握手。网络设备120将CH消息310转发到服务器130。服务器130使用在消息320中包括空会话票证扩展的服务器问候(Server-Hello,SH)进行响应,网络设备120将其转发到客户端110。服务器130还将其实际的服务器证书330(例如,由公共证书颁发机构颁发的证书)发送到网络设备120。由于网络设备120可能需要修改该TLS会话中的分组的内容,所以网络设备发起第二TLS会话并且将代理服务器证书335发送到客户端110而不是将实际的服务器证书330发送到客户端110。然后,服务器130发送服务器问候完成(Server-Hello Done)消息340,网络设备120将其转发到客户端110。在另一示例中,网络设备120可以生成新的服务器问候完成消息以发送给客户端110。
客户端110发送客户端密钥交换(CKE)消息350、更改密码规范(CCS)消息352和包括消息认证码(MAC-a)的完成消息354。网络设备120转发CKE消息350和CCS消息352,并且生成包括单独的消息认证码(MAC-b)的完成消息356。在另一示例中,网络设备120可以生成不同于客户端110的CKE消息350的新CKE消息,并将新CKE消息发送到服务器130。
服务器130发送新的会话票证360以使得在服务器130和网络设备120中的代理客户端之间的TLS会话能够进行将来会话恢复。网络设备120将会话票证360以及代理客户端的会话状态和代理服务器的会话状态封装在代理会话票证365中。网络设备将代理会话票证365发送到客户端设备110。客户端设备110根据会话票证扩展协议缓存代理会话票证365(包括被封装的会话票证360)。由于代理会话票证对端点客户端110是不透明的,所以端点设备110仍不知道原始会话票证360也与代理会话票证365一起被存储。
服务器130通过回复CCS消息370和包括消息认证码(MAC-m)的完成消息380来完成握手。网络设备120转发CCS消息370并生成其自己的包括消息认证码(MAC-n)的完成消息385。握手完成后,TLS通信会话的数据阶段现在能够开始。
在该示例中,网络设备120已经发起了两个安全通信信道。一个安全信道是客户端110和网络设备120之间的TLS会话。第二安全信道在网络设备120和服务器130之间。
在一个示例中,原始会话票证360、代理客户端的会话状态和代理服务器的会话状态的组合在被封装在代理会话票证365中之前被加密。其加密密钥可以专用于网络设备120并且不必与端点客户端110或端点服务器130共享。替代地,当该组合被封装到代理会话票证365中时,会话状态或会话票证360中的一个或多个可以不被加密。
现在参考图4,简化框图示出了根据一个示例的中间网络设备120封装端点服务器的会话票证。中间网络设备120包括与端点服务器130通信的代理客户端410和与端点客户端110通信的代理服务器420。作为启动TLS会话的TLS会话握手的一部分,端点服务器130发送端点会话票证430。如果会话被中断或关闭并重新启动,则该端点票证430将被端点服务器130识别以恢复TLS会话。
代理客户端410接收端点票证430,并将端点票证430和代理客户端410的TLS会话状态作为消息440发送到代理服务器420。代理服务器420将其自身的TLS会话状态与代理客户端410的会话状态和端点票证430合并成单个blob(二进制大对象)输入。代理服务器420可以对blob输入进行加密,并将经加密的blob封装到代理会话票证450中。代理服务器420然后将代理会话票证450发送到端点客户端110,并且端点客户端110根据TLS会话票证扩展协议将代理会话票证450存储到本地缓存中。
在一个示例中,RFC 5077中描述的会话票证结构用于在中间网络设备120处封装代理会话状态和端点会话票证。代理服务器420可以使用在代理会话票证450结构内的“加密_状态”字段以包括端点会话票证、代理客户端会话状态和代理服务器会话状态的加密的blob输入。
在另一示例中,多个中间网络设备可以在端点客户端110和端点服务器130之间的路径中。需要插入到安全通信会话中的每个中间设备将以类似于如上所述的网络设备120的方式进入会话。也就是说,第二中间网络设备可以接收代理会话票证450,并将其封装成第三会话票证。第三会话票证将包括代理会话票450和原始端点会话票430以及每个中间网络设备中的代理服务器和代理客户端的会话状态。以这种方式,相继的中间网络设备能继续将其接收到的会话票证封装成用于下一个中间设备或端点客户端的新会话票证。
现在参考图5,简化框图示出了使用端点客户端设备存储的代理会话票证恢复TLS会话。为了恢复暂停或中断的TLS会话,端点客户端110发送具有在TLS会话的设置处所存储的代理会话票证的客户端问候(Client Hello)消息510。代理服务器420接收客户端问候消息510并且恢复/撷取被封装在代理会话票证中的代理服务器会话状态、代理客户端状态和端点会话票证。代理服务器420使用恢复的代理服务器会话状态信息来建立与端点客户端110的恢复TLS会话。
代理客户端会话状态和端点会话票证作为消息520被发送到代理客户端410。代理客户端410使用接收的代理客户端会话状态来设置其会话状态。代理客户端410然后生成包括端点会话票证的客户端问候消息530,并将客户端问候消息530发送到端点服务器130以恢复TLS会话。端点服务器130解密并验证端点会话票证,并恢复端点服务器130和代理客户端410之间的TLS会话。
在一个示例中,代理服务器420可以接收客户端问候消息510中的代理会话票证,代理服务器420不能解密该会话票证。在这种情况下,例如,如果中间网络设备120不是原始会话的路径,则网络设备120还将把其自身从该会话的路径中移除。
在另一个示例中,代理服务器420可以接收客户端问候消息510中的代理会话票证,代理服务器420能够成功地解密但是端点服务器130不能解密或识别封装的会话票证。在这种情况下,或者如果端点服务器130不再支持会话恢复,则端点服务器130将用服务器问候(Server Hello)消息进行响应,该服务器问候消息指示全握手(Full handshake)对于建立新的TLS会话是必需的。当全握手的服务器问候消息到达网络设备120时,代理客户端410将从恢复的会话中丢弃会话状态,并继续进行全握手。
在另一示例中,当用简短握手恢复先前的会话时,端点服务器130可以包括或可以不包括另一会话票证。在端点服务器130包括新的会话票证的情况下,网络设备120将以与其处理原始会话票证相同的方式处理新的会话票证,即,网络设备120将新的会话票证、代理客户端会话状态和代理服务器会话状态封装成新的代理会话票证。
现在参考图6,简化框图示出了中间网络设备120协调与支持不同SSL/TLS恢复协议的端点的会话恢复。在该示例中,端点客户端支持具有会话票证的会话恢复,但是端点服务器610不支持会话票证。端点服务器610基本上仅支持使用会话ID的会话恢复。为了发起安全通信会话,端点客户端110发送包括空会话票证扩展的客户端问候消息620,该消息620指示支持会话票证恢复。替代地,可以发送客户端问候消息以尝试通过在客户端问候消息中包括非空会话票证扩展来恢复会话。网络设备接收消息620并将其转发到端点服务器610。
由于端点服务器610不支持使用会话票证的会话恢复,服务器610忽略客户端问候消息620的会话票证扩展中的任何会话票证。服务器610用包括会话ID但不包括会话票证扩展的服务器问候消息630进行响应。网络设备120中的代理服务器420创建包括空会话票证的服务器问候消息640,并将其发送到端点客户端110。
网络设备120中的代理客户端410接收消息630,并在消息650中将会话ID和代理客户端410的会话状态传递给代理服务器420。代理服务器420将会话ID、代理客户端410的会话状态和代理服务器420的会话状态的组合封装成代理会话票证660。代理服务器420将代理会话票证660发送到端点客户端110,以使能端点客户端110恢复与代理服务器420的会话。端点客户端110将代理会话票证660存储在本地缓存中。
端点服务器610发送CCS消息670和完成消息675以完成与代理客户端410的会话握手。代理服务器420通过发送CCS消息680和完成消息685来完成与端点客户端110的会话握手。在一个示例中,CCS消息680是标记会话握手结束和安全/加密会话的开始的一字节消息。替代地,SSL扩展,诸如下一代协议协商(NPN)和/或应用层协议协商(ALPN),除了包括典型的一字节的CCS消息之外,可以包括CCS消息中的应用协议握手的一部分作为数据负载。影响数据负载的SSL扩展可以被确定作为扩展支持的客户端问候/服务器问候能力协商的一部分。如果端点客户端110想要恢复安全会话,则它将在会话票证扩展中发送具有代理会话票证660的客户端问候消息。代理服务器420从代理会话票证660中恢复/撷取代理服务器会话状态、代理客户端会话状态和会话ID。代理服务器会话状态用于设置代理服务器420并恢复与端点客户端设备110的TLS会话。代理客户端会话状态用于设置代理客户端410,代理客户端410发送具有恢复的会话ID的客户端问候消息到端点服务器610。端点服务器610使用适当会话ID恢复会话,并且两个TLS会话被恢复。
现在参考图7,流程图示出了过程700,其中中间网络设备插入到安全TLS会话中,使得端点客户端设备存储恢复TLS会话所需的会话票证。在步骤705中,网络设备接收针对第一计算设备(例如,端点服务器130)和第二计算设备(例如,端点客户端110)之间的安全通信会话的请求(例如,客户端问候消息)。为了插入到安全通信会话中,在步骤710中,网络设备将安全通信会话划分为第一会话和第二会话。第一会话是第一计算设备和网络设备中的代理客户端之间的安全通信会话。第二会话是网络设备中的代理服务器与第二计算设备之间的安全通信会话。在步骤720中,网络设备从第一计算设备接收第一会话票证。第一会话票证使能通过简短握手恢复安全通信会话。
在步骤730中,网络设备确定代理客户端的会话状态(包括第一会话票证)。在步骤740中,网络设备确定代理服务器的会话状态。在步骤750中,网络设备将包括第一会话票证的代理客户端的会话状态和代理服务器的会话状态封装成将使能端点客户端恢复与代理服务器的第二会话的第二会话票证。
总之,中间网络设备将自身插入到全握手和会话恢复握手流中。SSL/TLS握手路径中的中间网络设备能够利用端点客户端的会话票证缓存能力。网络设备将端点服务器会话票证和代理会话状态信息封装在被发送到端点客户端的代理会话票证中。这消除了需要中间网络设备存储端点服务器票证、代理会话状态或它们之间的绑定的任何需要。这增加了网络设备的可扩缩性和性能,而不影响功能性、可操作性或安全性。
在一个示例中,本文呈现的技术提供了一种计算机实现的方法,包括在中间网络设备处接收针对通过中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求。第一计算设备和第二计算设备之间的安全通信会话在中间网络设备处被划分为第一会话和第二会话。第一会话在第一计算设备和中间网络设备之间。第二会话在中间网络设备和第二计算设备之间。中间网络设备从第一计算设备接收第一会话票证。第一会话中的代理客户端的会话状态(包括第一会话票证)被确定。第二会话中的代理服务器的会话状态也被确定。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。
在另一示例中,本文呈现的技术提供了具有网络接口单元和处理器的装置。网络接口单元被配置为通过网络发送和接收通信。处理器被配置为经由网络接口接收针对通过中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求。处理器被配置为将第一计算设备和第二计算设备之间的安全通信会话划分为第一会话和第二会话。第一会话在第一计算设备和代理客户端模块之间。第二会话在代理服务器模块和第二计算设备之间。处理器被配置为经由网络接口单元从第一计算设备接收第一会话票证。处理器被配置为确定代理客户端模块的会话状态(包括第一会话票证)。处理器还被配置为确定代理服务器模块的会话状态。处理器被配置为将代理客户端模块的会话状态和代理服务器模块的会话状态封装作为第二会话票证的一部分。
在又一示例中,本文呈现的技术提供了一种或多种编码有计算机可执行指令的非暂态计算机可读存储介质,该计算机可执行指令被配置为使得处理器使能利用来自第一计算设备的第一会话票证作为与第二计算设备的安全通信会话的一部分来进行会话恢复。指令还使得处理器将第一计算设备和第二计算设备之间的安全通信会话划分成第一会话和第二会话。第一会话在第一计算设备和代理客户端模块之间。第二会话在代理服务器模块和第二计算设备之间。指令还使得处理器从第一计算设备接收第一会话票证。指令使得处理器确定代理客户端模块的会话状态(包括第一会话票证)。指令还使得处理器确定代理服务器模块的会话状态。指令还使得处理器将代理客户端模块的会话状态和代理服务器模块的会话状态封装作为第二会话票证的一部分。
以上描述意欲仅通过示例的方式。在不脱离本文所描述的概念的范围并且在权利要求书的范围和等同物的范围内的情况下,可以进行各种修改和结构变化。
Claims (20)
1.一种方法,包括:
在中间网络设备处接收针对通过所述中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求;
将所述第一计算设备和所述第二计算设备之间的所述安全通信会话划分为在所述第一计算设备和所述中间网络设备之间的第一会话以及在所述中间网络设备和所述第二计算设备之间的第二会话;
在所述中间网络设备处接收来自所述第一计算设备的第一会话票证;
确定所述第一会话中的代理客户端的会话状态,所述代理客户端的会话状态包括所述第一会话票证;
确定所述第二会话中的代理服务器的会话状态;以及
封装所述代理客户端的会话状态和所述代理服务器的会话状态作为第二会话票证的一部分。
2.根据权利要求1所述的方法,还包括响应所述第一计算设备来初始化所述第一会话。
3.根据权利要求1所述的方法,还包括作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分,发送所述第二会话票证到所述第二计算设备。
4.根据权利要求3所述的方法,还包括通过以下步骤恢复所述第二会话:
从所述第二计算设备接收所述第二会话票证;以及
响应所述第二计算设备来恢复所述第二会话。
5.根据权利要求4所述的方法,还包括通过以下步骤恢复所述第一会话:
从所述第二会话票证撷取所述代理客户端的会话状态、所述代理服务器的会话状态和所述第一会话票证;
复制所述代理客户端的会话状态;
从所述代理客户端的会话状态撷取所述第一会话票证;
复制所述代理服务器的会话状态;以及
将所述第一会话票证发送到所述第一计算设备。
6.根据权利要求5所述的方法,还包括解密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。
7.根据权利要求1所述的方法,还包括加密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。
8.一种装置,包括:
网络接口单元,其被配置为通过网络发送和接收通信;和
处理器,其被配置为:
经由所述网络接口单元接收针对所述第一计算设备和所述第二计算设备之间的安全通信会话的请求;
将所述第一计算设备和所述第二计算设备之间的安全通信会话划分为在所述第一计算设备和所述代理客户端模块之间的第一会话以及在所述代理服务器模块和所述第二计算设备之间的第二会话;
经由所述网络接口单元接收来自所述第一计算机的第一会话票证;
确定所述代理客户端模块的会话状态,所述代理客户端模块的会话状态包括所述第一会话票证;
确定针对所述第二会话的所述代理服务器模块的会话状态;以及
封装所述代理客户端模块的会话状态和所述代理服务器模块的会话状态作为第二会话票证的一部分。
9.根据权利要求8所述的装置,其中所述处理器还被配置为响应所述第一计算设备来初始化所述第一会话。
10.根据权利要求8所述的装置,其中所述处理器还被配置为经由所述网络接口单元发送所述第二会话票证到所述第二计算设备,作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分。
11.根据权利要求10所述的装置,其中所述处理器还被配置为通过以下方式恢复所述第二会话:
从所述第二计算设备接收所述第二会话票证;以及
响应所述第二计算设备来恢复所述第二会话。
12.根据权利要求11所述的装置,其中所述处理器还被配置为通过以下方式恢复所述第一会话:
从所述第二会话票证撷取所述代理客户端的会话状态、所述代理服务器的会话状态和所述第一会话票证;
复制所述代理客户端的会话状态;
从所述代理客户端的会话状态撷取所述第一会话票证;
复制所述代理服务器的会话状态;以及
将所述第一会话票证发送到所述第一计算设备。
13.根据权利要求12所述的装置,其中所述处理器还被配置为解密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。
14.根据权利要求8所述的装置,其中所述处理器还被配置为加密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。
15.一种或多种编码有计算机可执行指令的非暂态计算机可读存储介质,所述计算机可执行指令被配置为使得处理器:
接收针对第一计算设备和第二计算设备之间的安全通信会话的请求;
将所述第一计算设备和所述第二计算设备之间的所述安全通信会话划分为在所述第一计算设备和代理客户端模块之间的第一会话以及在代理服务器模块和所述第二计算设备之间的第二会话;
从所述第一计算设备接收第一会话票证;
确定所述代理客户端模块的会话状态,所述代理客户端模块的会话状态包括所述第一会话票证;
确定针对所述第二会话的所述代理服务器模块的会话状态;以及
封装所述代理客户端的会话状态和所述代理服务器的会话状态作为第二会话票证的一部分。
16.根据权利要求15所述的计算机可读存储介质,还包括如下计算机可执行指令,该计算机可执行指令被配置为使得所述处理器:经由所述网络接口单元将所述第二会话票证发送到所述第二计算设备,作为所述中间网络设备和所述第二计算设备之间的所述第二会话的一部分。
17.根据权利要求16所述的计算机可读存储介质,还包括如下计算机可执行指令,该计算机可执行指令被配置为使得所述处理器通过以下方式来恢复所述第二会话:
从所述第二计算设备接收所述第二会话票证;以及
响应所述第二计算设备来恢复所述第二会话。
18.根据权利要求17所述的计算机可读存储介质,还包括如下计算机可执行指令,该计算机可执行指令被配置为使得所述处理器通过以下方式恢复所述第一会话:
从所述第二会话票证撷取所述代理客户端的会话状态、所述代理服务器的会话状态和所述第一会话票证;
复制所述代理客户端的会话状态;
从所述代理客户端的会话状态撷取所述第一会话票证;
复制所述代理服务器的会话状态;以及
将所述第一会话票证发送到所述第一计算设备。
19.根据权利要求18所述的计算机可读存储介质,还包括如下计算机可执行指令,该计算机可执行指令被配置为使得所述处理器:解密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。
20.根据权利要求15所述的计算机可读存储介质,还包括如下计算机可执行指令,该计算机可执行指令被配置为使得所述处理器:加密所述代理客户端的会话状态、所述代理服务器的会话状态或所述第一会话票证中的至少一个。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/695,427 US9608963B2 (en) | 2015-04-24 | 2015-04-24 | Scalable intermediate network device leveraging SSL session ticket extension |
| US14/695,427 | 2015-04-24 | ||
| PCT/US2016/028083 WO2016172035A1 (en) | 2015-04-24 | 2016-04-18 | Scalable intermediate network device leveraging ssl session ticket extension |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107534665A true CN107534665A (zh) | 2018-01-02 |
| CN107534665B CN107534665B (zh) | 2020-10-16 |
Family
ID=55910379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680023310.2A Active CN107534665B (zh) | 2015-04-24 | 2016-04-18 | 利用ssl会话票证扩展的可扩缩中间网络设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9608963B2 (zh) |
| EP (1) | EP3286896B1 (zh) |
| CN (1) | CN107534665B (zh) |
| WO (1) | WO2016172035A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108141462A (zh) * | 2015-08-18 | 2018-06-08 | 诺基亚通信公司 | 数据库查询的方法和系统 |
| CN110213272A (zh) * | 2019-06-03 | 2019-09-06 | 重庆紫光华山智安科技有限公司 | 数据传输方法及装置 |
| CN110225135A (zh) * | 2019-06-24 | 2019-09-10 | 北京字节跳动网络技术有限公司 | 服务器的连接方法、装置、电子设备及存储介质 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10230696B2 (en) * | 2015-06-09 | 2019-03-12 | Intel Corporation | System, apparatus and method for managing lifecycle of secure publish-subscribe system |
| WO2017131564A1 (en) * | 2016-01-27 | 2017-08-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for setting up a secure connection between lwm2m devices |
| US10250596B2 (en) | 2016-06-29 | 2019-04-02 | International Business Machines Corporation | Monitoring encrypted communication sessions |
| US10545940B2 (en) * | 2017-02-22 | 2020-01-28 | Red Hat, Inc. | Supporting secure layer extensions for communication protocols |
| US10542041B2 (en) * | 2017-06-01 | 2020-01-21 | International Business Machines Corporation | Cacheless session ticket support in TLS inspection |
| CN109246172A (zh) * | 2017-07-11 | 2019-01-18 | 华为技术有限公司 | 一种恢复会话的方法、装置及计算机存储介质 |
| US10581948B2 (en) | 2017-12-07 | 2020-03-03 | Akamai Technologies, Inc. | Client side cache visibility with TLS session tickets |
| US11019034B2 (en) | 2018-11-16 | 2021-05-25 | Akamai Technologies, Inc. | Systems and methods for proxying encrypted traffic to protect origin servers from internet threats |
| US11836256B2 (en) * | 2019-01-24 | 2023-12-05 | International Business Machines Corporation | Testing adversarial robustness of systems with limited access |
| US11657162B2 (en) * | 2019-03-22 | 2023-05-23 | Intel Corporation | Adversarial training of neural networks using information about activation path differentials |
| US11297040B2 (en) * | 2019-05-01 | 2022-04-05 | Akamai Technologies, Inc. | Intermediary handling of identity services to guard against client side attack vectors |
| US11727265B2 (en) * | 2019-06-27 | 2023-08-15 | Intel Corporation | Methods and apparatus to provide machine programmed creative support to a user |
| US11611588B2 (en) * | 2020-07-10 | 2023-03-21 | Kyndryl, Inc. | Deep learning network intrusion detection |
| US11824841B2 (en) * | 2020-08-18 | 2023-11-21 | T-Mobile Usa, Inc. | Secure transport session resumption for constrained devices |
| US12047363B2 (en) | 2021-05-19 | 2024-07-23 | Microsoft Technology Licensing, Llc | Maintaining and recovering secure cloud connections |
| US12074915B1 (en) * | 2021-11-26 | 2024-08-27 | Amazon Technologies, Inc. | Connection management device and common API |
| US20220191003A1 (en) * | 2021-12-10 | 2022-06-16 | Tamas Mihaly Varhegyi | Complete Tree Structure Encryption Software |
| US20240073247A1 (en) * | 2022-08-30 | 2024-02-29 | Juniper Networks, Inc. | Stateless transport layer security proxy session resumption |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7206932B1 (en) * | 2003-02-14 | 2007-04-17 | Crystalvoice Communications | Firewall-tolerant voice-over-internet-protocol (VoIP) emulating SSL or HTTP sessions embedding voice data in cookies |
| CN101030945A (zh) * | 2007-04-06 | 2007-09-05 | 中兴通讯股份有限公司 | PPPoE防止私设服务器和假冒服务器攻击的方法 |
| CN101420413A (zh) * | 2007-10-25 | 2009-04-29 | 华为技术有限公司 | 会话密钥协商方法、网络系统、认证服务器及网络设备 |
| WO2009060899A1 (ja) * | 2007-11-07 | 2009-05-14 | Nippon Telegraph And Telephone Corporation | 共通鍵設定方法、中継装置、及びプログラム |
| CN102968310A (zh) * | 2012-12-05 | 2013-03-13 | 武汉烽火普天信息技术有限公司 | 一种一体化高性能应用软件架构及构建方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020035681A1 (en) * | 2000-07-31 | 2002-03-21 | Guillermo Maturana | Strategy for handling long SSL messages |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| WO2007072237A1 (en) * | 2005-12-21 | 2007-06-28 | Nokia Corporation | Key derivation method, system and devices for ims based application |
| US20070192845A1 (en) * | 2006-02-07 | 2007-08-16 | Xoom Corporation | System and method for passively detecting a proxy |
| US7707415B2 (en) * | 2006-09-07 | 2010-04-27 | Motorola, Inc. | Tunneling security association messages through a mesh network |
| KR20100102026A (ko) * | 2009-03-10 | 2010-09-20 | 주식회사 케이티 | 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말 |
| IN2014CN00663A (zh) * | 2011-07-25 | 2015-04-03 | Koninkl Philips Nv | |
| US10469533B2 (en) * | 2012-01-24 | 2019-11-05 | Ssh Communications Security Oyj | Controlling and auditing SFTP file transfers |
| US9124629B1 (en) | 2013-02-11 | 2015-09-01 | Amazon Technologies, Inc. | Using secure connections to identify systems |
| US9591084B1 (en) * | 2013-11-14 | 2017-03-07 | Avi Networks | Network devices using TLS tickets for session persistence |
-
2015
- 2015-04-24 US US14/695,427 patent/US9608963B2/en active Active
-
2016
- 2016-04-18 WO PCT/US2016/028083 patent/WO2016172035A1/en active Application Filing
- 2016-04-18 EP EP16720260.5A patent/EP3286896B1/en active Active
- 2016-04-18 CN CN201680023310.2A patent/CN107534665B/zh active Active
-
2017
- 2017-02-14 US US15/432,548 patent/US10069800B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7206932B1 (en) * | 2003-02-14 | 2007-04-17 | Crystalvoice Communications | Firewall-tolerant voice-over-internet-protocol (VoIP) emulating SSL or HTTP sessions embedding voice data in cookies |
| CN101030945A (zh) * | 2007-04-06 | 2007-09-05 | 中兴通讯股份有限公司 | PPPoE防止私设服务器和假冒服务器攻击的方法 |
| CN101420413A (zh) * | 2007-10-25 | 2009-04-29 | 华为技术有限公司 | 会话密钥协商方法、网络系统、认证服务器及网络设备 |
| WO2009060899A1 (ja) * | 2007-11-07 | 2009-05-14 | Nippon Telegraph And Telephone Corporation | 共通鍵設定方法、中継装置、及びプログラム |
| EP2207302A1 (en) * | 2007-11-07 | 2010-07-14 | Nippon Telegraph and Telephone Corporation | Common key setting method, relay device, and program |
| CN102968310A (zh) * | 2012-12-05 | 2013-03-13 | 武汉烽火普天信息技术有限公司 | 一种一体化高性能应用软件架构及构建方法 |
Non-Patent Citations (1)
| Title |
|---|
| SALOWEY: "《Transport Layer Security Session Resumption without Server-Side State》", 《IETF》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108141462A (zh) * | 2015-08-18 | 2018-06-08 | 诺基亚通信公司 | 数据库查询的方法和系统 |
| CN108141462B (zh) * | 2015-08-18 | 2020-11-13 | 诺基亚通信公司 | 数据库查询的方法和系统 |
| CN110213272A (zh) * | 2019-06-03 | 2019-09-06 | 重庆紫光华山智安科技有限公司 | 数据传输方法及装置 |
| CN110225135A (zh) * | 2019-06-24 | 2019-09-10 | 北京字节跳动网络技术有限公司 | 服务器的连接方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160315913A1 (en) | 2016-10-27 |
| WO2016172035A1 (en) | 2016-10-27 |
| CN107534665B (zh) | 2020-10-16 |
| US10069800B2 (en) | 2018-09-04 |
| US9608963B2 (en) | 2017-03-28 |
| US20170155625A1 (en) | 2017-06-01 |
| EP3286896A1 (en) | 2018-02-28 |
| EP3286896B1 (en) | 2021-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534665A (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| Garcia-Morchon et al. | Securing the IP-based internet of things with HIP and DTLS | |
| Urien | Blockchain IoT (BIoT): A new direction for solving Internet of Things security and trust issues | |
| US12028378B2 (en) | Secure communication session resumption in a service function chain preliminary class | |
| WO2019114703A1 (zh) | 一种安全通信的方法、装置和系统 | |
| CN105763318B (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| CN104967590B (zh) | 一种传输通信消息的方法、装置和系统 | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| CN107800675A (zh) | 一种数据传输方法、终端以及服务器 | |
| US11831763B2 (en) | Methods, systems, and computer readable media for utilizing predetermined encryption keys in a test simulation environment | |
| Srikanth et al. | An efficient Key Agreement and Authentication Scheme (KAAS) with enhanced security control for IIoT systems | |
| CN110190964A (zh) | 身份认证方法及电子设备 | |
| CN111083091A (zh) | 一种隧道的创建方法、装置及存储介质 | |
| CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 | |
| US20180183584A1 (en) | IKE Negotiation Control Method, Device and System | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
| CN107104919A (zh) | 防火墙设备、流控制传输协议sctp报文的处理方法 | |
| CN114499854B (zh) | 基于无线传感器网络的身份认证方法、系统及电子设备 | |
| CN112787803A (zh) | 一种安全通信的方法和设备 | |
| Fischer et al. | Security for building automation with hardware-based node authentication | |
| CN110191139A (zh) | 一种鉴权方法和系统、终端接入网络的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |