CN202206418U - 流量管理设备、系统和处理器 - Google Patents
流量管理设备、系统和处理器 Download PDFInfo
- Publication number
- CN202206418U CN202206418U CN2011200775469U CN201120077546U CN202206418U CN 202206418 U CN202206418 U CN 202206418U CN 2011200775469 U CN2011200775469 U CN 2011200775469U CN 201120077546 U CN201120077546 U CN 201120077546U CN 202206418 U CN202206418 U CN 202206418U
- Authority
- CN
- China
- Prior art keywords
- server
- encryption
- client
- management apparatus
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 2
- 238000003860 storage Methods 0.000 abstract description 28
- 238000007726 management method Methods 0.000 description 73
- 238000012545 processing Methods 0.000 description 29
- 238000000034 method Methods 0.000 description 28
- 230000008569 process Effects 0.000 description 25
- 230000009471 action Effects 0.000 description 21
- 230000005540 biological transmission Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 230000003321 amplification Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000003199 nucleic acid amplification method Methods 0.000 description 5
- 238000002360 preparation method Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- WVMLRRRARMANTD-FHLIZLRMSA-N ram-316 Chemical compound C1=CCC[C@@]2(O)[C@H]3CC4=CC=C(OC)C(O)=C4[C@]21CCN3C WVMLRRRARMANTD-FHLIZLRMSA-N 0.000 description 1
- GUGNSJAORJLKGP-UHFFFAOYSA-K sodium 8-methoxypyrene-1,3,6-trisulfonate Chemical compound [Na+].[Na+].[Na+].C1=C2C(OC)=CC(S([O-])(=O)=O)=C(C=C3)C2=C2C3=C(S([O-])(=O)=O)C=C(S([O-])(=O)=O)C2=C1 GUGNSJAORJLKGP-UHFFFAOYSA-K 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Abstract
本实用新型涉及流量管理设备、系统和处理器,公开了一种流量管理设备(TMD)、系统和处理器可读存储介质,针对重新建立加密会话的加密连接,使得加密连接终结于第二服务器设备处,其中加密连接一开始被建立在客户端设备和第一服务器设备之间。如上所述,流量管理设备(TMD)被插入在客户端设备和第一服务器设备之间。在一些实施例中,TMD可以请求客户端设备重新协商加密连接。TMD可以将对重新协商请求的响应重定向至第二服务器设备,使得重新协商的加密连接被建立在客户端设备和第二服务器设备之间。以这种方式,单个现有的端到端加密连接可被用来提供来自多于一个的服务器设备的内容。
Description
技术领域
本发明一般涉及网络通信,更具体地但非排他地,涉及管理客户端/服务器端到端加密连接内的重新协商(renegotiation)。
背景技术
企业内越来越多的应用被通过超文本传输协议(HTTP)而提供。这些应用中的许多应用提供在客户端设备和托管(hosted)网站之间的安全通信。这些应用包括企业内部网入口、网页邮件、前台应用、后台应用等。这些应用中的许多应用也可以通过虚拟专用网(VPN)隧道被从分公司访问、或者通过公共互联网被直接访问,等等。这些应用例如可在总公司内的服务器设备上获得。总公司和分公司包括在安全周界后方(例如在防火墙等之后)的受保护的计算设备的网络。
一种提供客户端设备和服务器设备之间的安全通信的传统方法采用网络浏览器和网站来建立加密会话。加密会话可以使用各种安全通信协议来实现,这些安全通信协议包括安全套接层(SSL)协议、传输层安全协议(TSL)协议等。管理这样的加密会话有时是困难的,特别是在服务器设备没有客户端设备所需要的信息、服务器设备故障、或服务器设备不同地需要被不同的服务器设备替换的情况中尤其如此。因此,正是针对这些考虑以及其它考虑,作出本发明。
发明内容
根据本发明一个实施例,提供一种流量管理设备,其被插入在客户端设备和多个服务器设备之间,所述流量管理设备的特征在于包括:收发信机,用于通过网络发送和接收数据;以及处理器,该处理器包括:密钥管理装置,用于获取与在该客户端设备和所述多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;请求发送装置,用于通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;消息截取装置,用于截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中所述第二组握手消息被寻址到该第一服务器设备,并且其中所述第二组握手消息是响应于该重新协商请求被发送的;解密装置,用于使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及重定向装置,用于将解密的第二组握手消息重定向至所述多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
在一个实施例中,所述密钥管理装置还包括:用于接收与所选择的第二服务器设备相关联的私钥的装置;用于使用与所选择的第二服务器设备相关联的私钥来从所述第二组握手消息中提取与该加密会话相关联的保密数据的装置;以及用于部分地基于从所述第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥的装置。
在一个实施例中,所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;并且所述重定向装置还用于将所截取的消息重定向至所选择的第二服务器设备。
在一个实施例中,所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;所述解密装置还用于使用基于该第二会话密钥生成的一个或多个连接密钥来解密所截取的消息内的有效载荷。其中所述流量管理设备还包括用于修改解密的有效载荷的装置;用于使用基于该第二会话密钥生成的一个或多个连接密钥来加密修改后的有效载荷的装置;以及用于将加密的修改后的有效载荷通过该端到端加密连接提供至所选择的第二服务器设备的装置。
在一个实施例中,该流量管理设备还包括用于选择该第二服务器的选择装置,所述选择装置包括:用于使用从该会话密钥生成的一个或多个连接密钥来从所截取的应用协议层消息中提取头的装置;以及用于确定该头中所请求的内容位于该第二服务器设备上的装置。
在一个实施例中,该流量管理设备包括本地地位于所选择的第二服务器设备附近的服务器侧流量管理设备,其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该服务器侧流量管理设备之间使得该端到端加密连接流经该客户端侧流量管理设备,其中该客户端侧流量管理设备包括:用于从该服务器侧流量管理设备接收基于该第二会话密钥生成的一个或多个连接密钥的装置;用于截取从该客户端设备通过该端到端加密连接发送至该第一服务器设备的加密数据的装置;用于利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据的装置;用于修改解密的数据的装置;用于利用基于该第二会话密钥生成的一个或多个连接密钥来重新加密修改后的数据的装置;以及用于向该第一服务器设备发送重新加密的修改后的数据的装置,其中该服务器侧流量管理设备截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
在一个实施例中,当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
根据本发明一个实施例,提供一种通信系统,其特征在于包括:多个服务器设备:以及与所述多个服务器设备通信的流量管理设备,该流量管理设备本地地位于所述多个服务器设备附近,其中该流量管理设备通过网络与客户端设备通信,并且其中该流量管理设备包括:密钥管理装置,用于获取与在该客户端设备和所述多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;请求发送装置,用于通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;消息截取装置,用于截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中所述第二组握手消息被寻址到该第一服务器设备,并且其中所述第二组握手消息是响应于该重新协商请求被发送的;解密装置,用于使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及重定向装置,用于将解密的第二组握手消息重定向至所述多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
在一个实施例中,该系统还包括:用于接收与所选择的第二服务器设备相关联的私钥的装置;用于使用与所选择的第二服务器设备相关联的私钥来从所述第二组握手消息中提取与该加密会话相关联的保密数据的装置;以及用于部分地基于从所述第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥的装置。
在一个实施例中,所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;并且所述重定向装置还用于将所截取的消息重定向至所选择的第二服务器设备。
在一个实施例中,所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;所述解密装置还用于使用基于该第二会话密钥生成的一个或多个连接密钥来解密所截取的消息内的有效载荷。其中,所述系统还包括用于修改解密的有效载荷的装置;用于使用基于该第二会话密钥生成的一个或多个连接密钥来加密修改后的有效载荷的装置;以及用于将加密的修改后的有效载荷通过该端到端加密连接提供至所选择的第二服务器设备的装置。
在一个实施例中,该系统还包括用于选择该第二服务器的选择装置,所述选择装置包括:用于使用基于该会话密钥生成的一个或多个连接密钥来从所截取的应用层协议消息中提取头的装置;以及用于确定该头中所请求的内容位于该第二服务器设备上的装置。
在一个实施例中,该流量管理设备本地地位于所选择的第二服务器设备附近,并且其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该流量管理设备之间,使得该端到端加密连接流经该客户端侧流量管理设备,其中该客户端侧流量管理设备包括:用于从该流量管理设备接收基于该第二会话密钥生成的一个或多个连接密钥的装置;用于截取从该客户端设备通过该端到端加密连接发送给该所选择的第二服务器设备的加密数据的装置;用于利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据的装置;用于扩增解密的数据的装置;用于利用该第二会话密钥重新加密修改后的数据的装置;以及用于向该第一服务器设备发送重新加密的修改后的数据的装置,其中该流量管理设备截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
在一个实施例中,当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
在一个实施例中,所述握手消息至少包括由所述客户端设备生成并利用与该服务器设备相关联的公钥加密的随机数。
在一个实施例中,该流量管理设备还包括:用于从该客户端设备接收内容请求的装置,其中该内容请求被寻址到所选择的第二服务器设备;以及用于在不将该内容请求发送给所选择的第二服务器设备的情况下对该内容请求进行响应的装置。
根据本发明一个实施例,提供一种处理器,其特征在于,所述处理器包括:密钥管理装置,用于获取与在该客户端设备和所述多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;请求发送装置,用于通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;消息截取装置,用于截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中所述第二组握手消息被寻址到该第一服务器设备,并且其中所述第二组握手消息是响应于该重新协商请求被发送的;解密装置,用于使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及重定向装置,用于将解密的第二组握手消息重定向至所述多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
在一个实施例中,所述密钥管理装置还包括:用于接收与所选择的第二服务器设备相关联的私钥的装置;用于使用与所选择的第二服务器设备相关联的私钥来从所述第二组握手消息中提取与该加密会话相关联的保密数据的装置;以及用于部分地基于从所述第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥的装置。
在一个实施例中,该处理器本地地位于所选择的第二服务器设备附近,并且其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该处理器之间使得该端到端加密连接流经该客户端侧流量管理设备,该客户端侧流量管理设备包括:用于从该处理器接收基于该第二会话密钥生成的一个或多个连接密钥的装置;用于截取从该客户端设备通过该端到端加密连接发送给该第一服务器设备的加密数据的装置;用于利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据的装置;用于修改解密的数据的装置;用于利用基于该第二会话密钥生成的一个或多个连接密钥来重新加密修改后的数据的装置;以及用于向该第一服务器设备发送重新加密的修改后的数据的装置,其中该处理器截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
在一个实施例中,当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
根据本发明一个实施例,提供一种流量管理设备,其被插入在客户端设备和多个服务器设备之间,该流量管理设备包括:收发信机,用于通过网络发送和接收数据;以及处理器,该处理器可操作来执行以下动作,这些动作包括:获取与在该客户端设备和该多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中该第二组握手消息被寻址到该第一服务器设备,并且其中该第二组握手消息是响应于该重新协商请求被发送的;使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及将解密的第二组握手消息重定向至该多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
在本发明一个实施例中,获取该会话密钥还包括:接收与所选择的第二服务器设备相关联的私钥;使用与所选择的第二服务器设备相关联的私钥来从该第二组握手消息中提取与该加密会话相关联的保密数据;以及部分地基于从该第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥。
在本发明一个实施例中,这些动作还包括:截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;并且将所截取的消息重定向至所选择的第二服务器设备。
在本发明一个实施例中,这些动作还包括:截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;使用基于该第二会话密钥生成的一个或多个连接密钥来解密所截取的消息内的有效载荷;修改解密的有效载荷;使用基于该第二会话密钥生成的一个或多个连接密钥来加密修改后的有效载荷;以及将加密的修改后的有效载荷通过该端到端加密连接提供至所选择的第二服务器设备。
在本发明一个实施例中,该第二服务器是基于通过以下步骤确定的标准来选择的,这些步骤包括:使用从该会话密钥生成的一个或多个连接密钥来从所截取的应用协议层消息中提取头;以及确定该头中所请求的内容位于该第二服务器设备上。
在本发明一个实施例中,该流量管理设备包括本地地位于所选择的第二服务器设备附近的服务器侧流量管理设备,其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该服务器侧流量管理设备之间使得该端到端加密连接流经该客户端侧流量管理设备,其中该客户端侧流量管理设备执行以下动作,这些动作包括:从该服务器侧流量管理设备接收基于该第二会话密钥生成的一个或多个连接密钥;截取从该客户端设备通过该端到端加密连接发送至该第一服务器设备的加密数据;利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据;修改解密的数据;利用基于该第二会话密钥生成的一个或多个连接密钥来重新加密修改后的数据;以及向该第一服务器设备发送重新加密的修改后的数据,其中该服务器侧流量管理设备截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
在本发明一个实施例中,该流量管理设备使得当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
根据本发明另一实施例,还提供一种系统,包括:多个服务器设备:以及与多个服务器设备通信的流量管理设备,该流量管理设备本地地位于多个服务器设备附近,其中该流量管理设备通过网络与客户端设备通信,并且其中该流量管理设备被配置来执行以下动作,这些动作包括:获取与在该客户端设备和多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中第二组握手消息被寻址到该第一服务器设备,并且其中第二组握手消息是响应于该重新协商请求被发送的;使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及将解密的第二组握手消息重定向至多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
在本发明一个实施例中,这些动作还包括:接收与所选择的第二服务器设备相关联的私钥;使用与所选择的第二服务器设备相关联的私钥来从第二组握手消息中提取与该加密会话相关联的保密数据;以及部分地基于从第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥。
在本发明一个实施例中,获取会话密钥还包括:截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;并且将所截取的消息重定向至所选择的第二服务器设备。
在本发明一个实施例中,这些动作还包括:截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;使用基于该第二会话密钥生成的一个或多个连接密钥来解密所截取的消息内的有效载荷;修改解密的有效载荷;使用基于该第二会话密钥生成的一个或多个连接密钥来加密修改后的有效载荷;以及将加密的修改后的有效载荷通过该端到端加密连接提供至所选择的第二服务器设备。
在本发明一个实施例中,该第二服务器是基于通过以下步骤确定的标准来选择的,这些步骤包括:使用基于该会话密钥生成的一个或多个连接密钥来从所截取的应用层协议消息中提取头;以及确定该头中所请求的内容位于该第二服务器设备上。
在本发明一个实施例中,该流量管理设备本地地位于所选择的第二服务器设备附近,并且其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该流量管理设备之间,使得该端到端加密连接流经该客户端侧流量管理设备,其中该客户端侧流量管理设备执行以下动作,这些动作包括:从该流量管理设备接收基于该第二会话密钥生成的一个或多个连接密钥;截取从该客户端设备通过该端到端加密连接发送给该所选择的第二服务器设备的加密数据;利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据;扩增解密的数据;利用该第二会话密钥重新加密修改后的数据;以及向该第一服务器设备发送重新加密的修改后的数据,其中该流量管理设备截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
在本发明一个实施例中,该系统使得当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
在本发明一个实施例中,握手消息至少包括由客户端设备生成并利用与该服务器设备相关联的公钥加密的随机数。
在本发明一个实施例中,该流量管理设备还执行以下动作,这些动作包括:从该客户端设备接收内容请求,其中该内容请求被寻址到所选择的第二服务器设备;以及在不将该内容请求发送给所选择的第二服务器设备的情况下对该内容请求进行响应。
根据本发明另一实施例,还提供一种存储处理器可读指令的处理可读存储介质,处理器可读指令当被处理器执行时执行以下动作,这些动作包括:获取与在该客户端设备和多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中第二组握手消息被寻址到该第一服务器设备,并且其中第二组握手消息是响应于该重新协商请求被发送的;使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及将解密的第二组握手消息重定向至多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
在本发明一个实施例中,获取该会话密钥还包括:接收与所选择的第二服务器设备相关联的私钥;使用与所选择的第二服务器设备相关联的私钥来从第二组握手消息中提取与该加密会话相关联的保密数据;以及部分地基于从第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥。
在本发明一个实施例中,该处理器本地地位于所选择的第二服务器设备附近,并且其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该处理器之间使得该端到端加密连接流经该客户端侧流量管理设备,该客户端侧流量管理设备执行以下动作,所述动作包括:从该处理器接收基于该第二会话密钥生成的一个或多个连接密钥;截取从该客户端设备通过该端到端加密连接发送给该第一服务器设备的加密数据;利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据;修改解密的数据;利用基于该第二会话密钥生成的一个或多个连接密钥来重新加密修改后的数据;以及向该第一服务器设备发送重新加密的修改后的数据,其中该处理器截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
在本发明一个实施例中,该处理器可读存储介质使得当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
附图说明
参考以下附图来描述非限制性和非穷尽性实施例。在附图中,除非另外指明,否则,相似的标号表示各个示图中相似的部分。
为了更好地理解所描述的实施例,将参考以下供结合附图阅读的具体实施方式,附图中:
图1图示出示出用于实行各个实施例的环境的功能框图;
图2图示出可被包括在实现多个实施例的系统中的网络设备的一个实施例;
图3图示出可被包括在实现多个实施例的系统中的服务器设备的一个实施例;
图4图示出一般地示出用于替换端到端加密连接中的端点的过程的概览的一个实施例的逻辑流程图;
图5图示出一般地示出用于生成与端到端加密会话相关联的会话密钥的过程的一个实施例的逻辑流程图;
图6图示出一般地示出用于用第二服务器设备替换端到端加密连接中的端点的过程的一个实施例的逻辑流程图;
图7图示出一般地示出用于增强通过加密连接在客户端侧TMD和服务器侧TMD之间发送的数据的过程的一个实施例的逻辑流程图;
图8图示出一般可与图4的过程一起使用的信号流程图的一个实施例;以及
图9图示出示出用于利用边界网关协议(BGP)来将流量路由至用于加密会话的客户端侧流量管理设备的环境的功能框图。
具体实施方式
在以下对示例性实施例的详细描述中,参考附图,附图形成此详细描述的一部分并通过图解的方式示出可以用来实行所描述的实施例的示例。提供了充分的细节来使得本领域技术人员能够实行所描述的实施例,并且应当理解,在不偏离本精神和范围的情况下,可以利用其它实施例,并且可以进行其它更改。此外,对“一个实施例”的提及不必涉及同一或单一实施例,尽管其可以如此。因此,以下详细描述不应以限制性意义理解,并且所描述的实施例的范围仅由所附权利要求限定。
贯穿本说明书和权利要求书,除非上下文清楚地另外指明,否则,以下术语采用这里明确关联的含义。除非上下文清楚地另外指明,否则,这里使用的术语“或”是包含性的“or”运算符,并且等于术语“和/或”。除非上下文清楚地另外指明,否则,术语“基于”不是排他性的并且允许是基于未描述的另外的因素的。另外,贯穿本说明书,“一个(a)”、“一个(an)”和“该(the)”的含义包括复数指代。“在……中(in)”的含义包括“在……中(in)”和“在……上(on)”。
这里所使用的应用层是指由ISO-OSI(国际标准化组织-开放式系统互联)架构所定义的7层协议栈的层5到层7。
术语“网络连接”是指使得计算设备能够通过网络与另一计算设备通信的链路和/或软件元件的集合。一个这样的网络连接可以是TCP连接。TCP连接是两个网络节点之间的虚拟连接,并且通常是通过TCP握手协议而建立的。在可从互联网工程任务组(IETF)获得并通过引用被全部结合于此的请求注解(RFC)793中详细描述了TCP协议。“通过(over)”指定路径或链路的网络连接是指采用指定路径或链路来建立和/或维护通信的网络连接。术语“节点”是指通常互连一个或多个设备或甚至网络的网络元件。
在这里使用包括也在权利要求中使用的术语“SSL”是指SSL、TLS、DTLS以及从中导出的所有安全通信协议。SSL协议被记载在Netscape Communications Corp,Secure Socket Layer(SSL)version 3(November 1996)(网景通信公司的安全套接层(SSL)版本3(1996年11月))中,并且TLS协议是从SSL导出的并被记载在可从IETF获得的Dierks,T.,and Allen,C.,“The TLS Protocol Version 1.0,”RFC 2246(January1999)(Dierks,T和Allen,C.“TLS协议版本1.0”,RFC 2246(1996年1月))中。数据报传输层安全(DTLS)协议基于TLS协议,并且被记载在可从IETF获得的Rescorla,E.,and Modadugu,N.,“Datagram TransportLayer Security,”RFC 4347(April 2006)(Rescorla,E.和Modadugu,N.,“数据报传输层安全”,RFC 4347(2006年4月))中。这些文件中的每个文件都通过引用被全部结合于此。SSL连接是被从SSL协议导出的加密信息所保护的网络连接。SSL协议在应用层(诸如OSI层5-7的一层或多层)和传输层(诸如OSI层4)之间操作。SSL协议可以为应用层协议提供安全性,应用层协议例如是超文本传输协议(HTTP)、轻量级目录访问协议(LDAP)、互联网消息访问协议(IMAP)等。例如,通过SSL的HTTP(HTTPS)利用SSL协议来保护HTTP数据。SSL协议可以代表应用层协议来利用TCP/IP传送安全数据。SSL协议也可以采用证书。在一个实施例中,证书是X.509证书,例如可从IETF获得的RFC 2459中记载的那些。
在这里使用也在权利要求书中使用的术语“服务器设备”是指物理服务器设备或在物理服务器设备上执行的虚拟服务器。
SSL会话通过两个端点之间的网络来建立安全连接。一个SSL会话可以与0个或更多个SSL连接相关联。SSL协议使用SSL握手协议来开始SSL会话和/或SSL连接。SSL会话与主密钥相关联,主密钥是SSL握手协议的一个结果。SSL握手协议也包括用于重新协商SSL连接的SSL重新握手协议。重新协商的SSL连接可以与当前SSL会话相关联或与另一SSL会话相关联。
简要而言,SSL支持至少4种内容类型:application_data、alert、handshake和change_cipher_spec。alert、handshake和change_cipher_spec内容类型与用于管理SSL协议的消息相关联。例如,SSL alert是警告内容类型并且用于以信号通知错误状况等。SSL规定其它内容类型,但是这些能力通常不被使用。
SSL握手协议包括一系列消息的交换和处理,这些消息可以是alert、handshake和/或change_cipher_spec内容类型之一。一个或多个SSL握手消息被封装在handshake内容类型的一个或多个网络记录中。SSL握手消息还包括相关联的SSL handshake类型和一个或多个数据字段。
SSL握手协议通常以客户端设备在CLIENT-HELLO消息(例如,具有相关联的“CLIENT-HELLO”的SSL握手类型的SSL握手消息)中向服务器设备发送随机生成的数据等而开始。服务器设备在SERVER-HELLO消息中以随机生成的数据等对CLIENT-HELLO消息进行响应。另外,服务器可以提供服务器证书,客户端可以用服务器证书来认证服务器。另外,服务器可以请求或要求客户端证书,服务器可以用客户端证书来认证客户端。
客户端设备使用在CLIENT-HELLO消息和SERVER-HELLO消息中所交换的随机生成的数据,来为SSL会话生成预备主密码(pre-mastersecret)。在一个实施例中,客户端设备也可以在此预备主密码中包括另一随机数,即通常还没有被通过公共网络无负担地(in the clear)发送的随机数。然后客户端设备在SSL握手消息中将预备主密码发送给服务器设备。在一个实施例中,预备主密码可以是被使用与服务器相关联的(从服务器的SERVER-HELLO消息中获得的)公钥而加密的。通常,包括预备主密码的SSL握手消息是CLIENT-KEY-EXCHANGE握手消息。客户端设备和服务器设备中的每一个分别地执行一系列步骤来使用预备主密码生成主密码。此主密码与SSL会话相关联。然后,分别地,客户端设备和服务器设备中的每一个使用主密码来生成连接密钥,连接密钥可以包括但不限于用来加密和解密通过相关联的SSL连接传送的数据的加密密钥(cipher key)和/或用来认证通过相关联的SSL连接接收的消息的认证密钥。客户端设备和服务器设备随后可以使用它们各自的(一个或多个)连接密钥的实例来生成包含加密的有效载荷的消息并相互发送。
在这里使用也在权利要求书中使用的术语“加密会话”是指两个端点设备之间的0个或更多个加密连接。示例的加密会话连接包括SSL、TLS和DTLS会话。这里使用的术语“加密连接”是指受加密信息保护的任意网络连接,例如SSL、TLS和DTLS连接,但是也可以类似地构想到其它加密连接。加密连接包括用来加密和解密通过加密连接传送的数据的加密密钥以及对底层传输协议接口(例如,TCP接口)的引用。
这里使用的短语“加密会话/连接”是指加密会话和加密连接中的任一者。
这里使用的短语“端到端加密会话/连接”是指两个端点设备之间的会话/连接,其中两个端点设备在建立加密会话/连接时都知道另一端点设备的身份。
这里使用的短语“终结(terminate)加密会话”是指是加密会话的两个端点之一。类似地,短语“终结加密连接”是指是加密连接的两个端点之一。加密会话/连接的端点是加密数据可在其间传送的设备,通常称为客户端设备和服务器设备。客户端设备和服务器设备的示例可以是SSL客户端和SSL服务器。这里使用的短语“加密会话/连接客户端”是指客户端设备,并且短语“加密会话/连接服务器”是指服务器设备。
这里使用的短语“建立加密会话”是指参与加密会话握手协议。短语“建立加密连接”是指基于加密会话的会话密钥(也称为加密会话的主密钥)生成加密会话内的加密连接。在一个实施例中,两个设备建立加密会话/连接,变成此加密会话/连接的端点。另外的设备也可以可选地,要么与端点之一或两个端点协力,要么在不知道一个端点或这两个端点的情况下,参与建立加密会话/连接。加密会话握手协议的一个示例是SSL握手协议。
这里使用的短语“带外”(out-of-band)是指在当前加密会话/连接的外面发送数据,例如通过与在客户端设备和服务器设备之间所建立的端到端加密会话/连接不同的连接来发送数据。
这里使用的短语“保密数据”是指使能两个设备之间的加密会话握手的数据。保密数据例如包括以上提及的在RFC 2264中有记载的主密钥和预备主密码。
这里使用的术语“有效载荷”是指分组中所包括的与分组的分组头不同的数据。
贯穿本公开,当诸如“CLIENT-HELLO”之类的具体消息类型被列出时,可以理解,这些是用来说明消息类型的示例。这些具体的消息仅仅是一个实施例,并且可以类似地构想到用来建立和/或维护加密会话/连接的其它类似的消息。
简要描述了一种用于重新建立加密连接的机制,其使得已经在客户端设备和第一服务器设备处终结的加密连接被终结于该客户端设备和第二服务器设备处。本领域技术人员将了解,诸如SSL会话之类的加密会话,以及加密会话内所包含的任意加密连接,被设计为在会话/连接期间保护每个端点的身份。因此,所公开的使得所建立的加密连接的端点被替换的实施例一直是意想不到的。
如上所述,流量管理设备(TMD)被插入在客户端设备和第一服务器设备之间。在客户端设备和第一服务器设备之间的端到端加密会话/连接的建立期间,插入的TMD访问有关加密会话/连接的保密信息。这样的信息例如包括预备主密码,预备主密码可用来确定用于加密和解密跨越端到端加密会话内的加密连接而传送的数据的连接密钥。通过访问用于端到端加密会话/连接的保密信息,TMD能够读取、截取、扩增、删除、延迟、剪除、压缩、增强、加速、调换或以其他方式修改通过加密连接发送的数据。
在某些实施例中,TMD可以向客户端设备发送重新协商端到端加密连接的请求。重新协商请求例如可以包括SSL HELLO REQUEST消息。从客户端设备的角度看,看起来就像是第一服务器设备已经要求客户端设备重新协商现有的加密连接一样——客户端设备通常不知道TMD开始重新协商。响应于重新协商请求,客户端设备可以通过加密连接发送寻址到第一服务器设备的CLIENT-HELLO消息。在一个实施例中,TMD可以截取CLIENT-HELLO消息,对其解密、并将其重定向(redirect)至第二服务器设备。由客户端设备发送的随后的消息可以被类似地重定向至第二服务器设备。结果,从客户端设备的角度看,原来的加密连接已经利用第二服务器设备被重新建立。从第一服务器设备的角度看,其与客户端设备的加密连接已结束。从TMD的角度看,客户端设备和第一服务器设备之间的现有加密连接已被此客户端设备与第二服务器设备之间的新的加密连接所替换。在一个实施例中,客户端设备不知道其与不同的服务器共用加密连接。另外地或者可替换地,如果一个或多个客户端证书或服务器证书包括在加密会话握手消息中,或与加密会话握手消息包括在一起,则这些证书可被客户端和服务器用来认证彼此的身份,从而保持如果TMD还未被插入在客户端和服务器之间则将存在的信任关系。
在一个实施例中,上述TMD是服务器侧TMD,并且服务器侧TMD可以与客户端侧TMD协力使用来增强或以其他方式修改在一个或多个客户端设备和一个或多个服务器设备之间发送的数据。在一个实施例中,客户端侧TMD可以不被直接地插入在客户端设备和服务器设备之间,这使得难以进行一些最优化。在该实施例中,客户端侧TMD可以利用边界网关协议(BGP)来使得互联网路由器将寻址到此服务器设备的流量路由经过客户端侧TMD。以这种方式,使客户端侧TMD能够变得被插入在客户端设备和服务器设备之间从而增强或以其他方式修改在客户端设备和服务器设备之间被转送的数据。
在一个实施例中,TMD可以通过基于HTTP请求类型、一天中的时间、访问策略信息或其它标准来在多个服务器设备之间切换加密连接的服务器侧端点来代理(proxy)客户端设备与这多个服务器设备之间的一个或多个加密连接。在一个实施例中,TMD可以位于地理上邻近客户端设备的位置,而在另一实施例中,TMD可以位于地理上邻近服务器设备的位置。另外地或可替换地,TMD可以类似地基于HTTP请求类型、一天中的时间、访问策略信息或其它标准来代理服务器设备与多个客户端设备之间的连接。
说明件操作环境
图1示出可以实行所描述的实施例的说明性环境100。并不需要全部组件来实行所描述的实施例,并且在不偏离所描述的实施例的精神或范围的情况下,可以对这些组件的布置和类型进行变化。图1图示出客户端设备102-104、客户端侧流量管理设备(TMD)106、分公司107、网络108、服务器侧流量管理设备110、通过网络108的端到端加密会话(A)、安全隧道(B)、私钥111(1)至111(n)、服务器设备112至114,认证服务器设备115、保密数据116、第三方内容提供商118和总公司120。服务器设备112-114(服务器设备113未被示出)和认证服务器设备115在这里被统称为服务器设备112-115。
一般,客户端设备102-104可以包括几乎任何能够连接到另一计算设备并接收信息的计算设备。客户端设备102-104可以位于分公司107内,但是可替换地,客户端设备102-104可以位于分公司107外面。这样的设备可以包括个人计算机、多处理器系统、基于微型处理器的或可编程消费电子设备、网络设备等。客户端设备102-104也可以包括便携式设备,例如蜂窝电话、智能手机、显示传呼机、射频(RF)设备、红外(IR)设备、个人数字助理(PDA)、手持式计算机、可佩带计算机、平板计算机、组合前述设备中的一个或多个的集成设备等。这样,客户端设备102-104在能力和特征方面范围很广。
客户端设备102-104还可以包括被配置来管理各种动作的一个或多个客户端应用。此外,客户端设备102-104也可以包括被配置来使得端用户能够通过网络108与其它设备和应用交互的网络浏览器应用。
网络108被配置来将诸如客户端设备102-104、TMD 106和110、认证服务器设备112-114、认证服务器设备115和第三方内容提供商118之类的使能网络的设备与其它使能网络的设备相耦接。在一个实施例中,客户端设备102可以通过客户端侧TMD 106、网络108和服务器侧TMD 110来与服务器设备112通信。另外地或可替换地,客户端设备102、客户端侧TMD 106、服务器侧TMD 110和服务器设备112可以全被直接连接到网络108。在一个实施例中,网络108可以使能客户端设备102-104与服务器设备112-115之间的加密会话,诸如端到端加密会话(A)。
网络108被使得能够采用任意形式的计算机可读介质以用于将信息从一个电子设备传送至另一电子设备。在一个实施例中,网络108可以包括互联网,并且可以包括局域网(LAN)、广域网(WAN)、例如通过通用串行总线(USB)端口的直接连接、其它形式的计算机可读介质,或者它们的任意组合。在包括基于不同体系架构和协议的LAN的互连LAN集合上,路由器可以充当LAN之间的链路来使得消息能够从一个LAN发送至另一个LAN。此外,LAN内的通信链路通常包括光纤、双绞线、同轴线缆,而网络之间的通信链路可以利用模拟电话线路、包括T1、T2、T3和T4的完全或部分专用数字线路、综合业务数字网络(ISDN)、数字订户线路(DSL)、包括卫星链路的无线链路或本领域技术人员已知的其它通信链路。
网络108还可以采用多种无线接入技术,包括但不限于用于蜂窝系统、无线-LAN、无线路由器(WR)网格等的第二代(2G)、第三代(3G)、第四代(4G)无线电接入。诸如2G、3G、4G之类的接入技术以及将来的接入网络可以以不同的移动性程度使能对诸如客户端设备102-104等的大面积覆盖。例如,网络108可以通过无线电网络接入使能无线电连接,无线电接入网络例如是全球移动通信系统(GSM)、通用分组无线业务(GPRS)、增强型数据GSM环境(EDGE)、宽带码分多址(WCDMA)等。
此外,远程计算机和其它有关的电子设备可以经由调制解调器和临时电话线路、DSL调制解调器、线缆调制解调器、光纤调制解调器、802.11(Wi-Fi)接收机等被远程地连接到LAN或WAN。实质上,网络108包括可用来在一个网络设备和另一网络设备之间传送信息的任意通信方法。
通过网络108的安全隧道(B)包括用于在网络设备之间传送信息的任意隧道。通常,安全隧道(B)是被加密的。这里使用的“隧道”或“隧道连接”是在开放式系统互联(OSI)网络栈的相同或更低层协议上封装网络分组或帧的网络机制。隧道传送可被用来取得来自一个网络系统的分组或帧并将它们放置(例如,封装)于来自另一网络系统的帧内。隧道传送协议的示例包括但不限于IP隧道传送、层2隧道传送协议(L2TP)、层2转发(L2F)、VPN、IP SECurity(IPSec)、点对点隧道传送协议(PPTP)、GRE、MBone和SSL/TLS。如图所示,安全隧道(B)被创建用于客户端侧TMD 106和服务器侧TMD 110之间通过网络108的安全连接。
以下结合图2更详细地描述可用作客户端侧TMD 106或服务器侧TMD 110的网络设备的一个实施例。然而,简要而言,客户端侧TMD 106和服务器侧TMD 110每一个都包括几乎任何管理网络流量的网络设备。这样的服务例如包括路由器、代理、防火墙、负载平衡器、缓存设备、应用加速器、执行网络地址转换的设备、以及之前的设备的任意组合,等等。这样的设备可以单独以硬件实现或以硬件和软件实现。例如,这样的设备可以包括耦合到一个或多个微处理器的一些专用集成电路(ASIC)。ASIC可以用来提供高速交换光纤,同时微处理器可以执行高层的分组处理。
在一个实施例中,服务器侧TMD 110通常位于总公司120内,并且这样被认为是物理上安全的并且在中央管理员的直接管理之下。相应地,服务器侧TMD 110也可以称为可信(trusted)TMD。服务器侧TMD 110例如可以控制数据分组被递送至诸如服务器设备112-115之类的服务器设备阵列或被从其转发的流程。在一个实施例中,在服务器侧TMD 110和服务器设备112-115之间发送的消息可以是安全信道的一部分,安全信道例如是在客户端设备102-104之一和服务器设备112-115之一之间形成的端到端加密会话(A)。在另一实施例中,服务器侧TMD 110可以代表服务器设备终结加密连接,并且采用另一种类型的加密,例如IPSec,来将分组递送到服务器设备或从其转发分组。可替换地,当服务器侧TMD 110代表服务器设备终结加密连接时,递送分组至服务器设备或从其转发分组可以被无加密地(或“无负担地”)执行。
在一个实施例中,客户端侧TMD 106通常驻留在物理上在中央管理员的控制之外的分公司107中,因此可能遭受物理篡改。相应地,客户端侧TMD 106可以称为不可信TMD。在一个实施例中,客户端侧TMD 106可以将来自源的数据向目的地转发。例如,客户端侧TMD 106可以转发客户端设备102-104之一和服务器设备112-115之一之间的一个或多个加密会话握手消息。可替换地,客户端侧TMD可以驻留在总公司120中。可替换地,客户端侧TMD可以和服务器侧TMD一起被包括在单个设备中,使得单个设备能够基于通过TMD发送数据的设备的类型和位置来提供客户端侧TMD和服务器侧TMD两者的服务。可替换地或另外地,TMD可以充当用于单个连接的客户端侧TMD和服务器侧TMD两者。例如,TMD可以通过将请求路由到在另一公司的服务器侧的TMD而充当客户端侧TMD。然而,服务器侧TMD可以将请求重新路由到在地理上邻近“客户端侧”TMD的服务器设备。在该情况中,“客户端侧”TMD会将客户端设备连接到本地服务器设备。当将客户端设备连接到本地服务器设备时,开始作为“客户端侧”TMD的TMD可以执行“服务器侧”TMD的角色。
如以下更详细地描述的,客户端侧TMD 106通常可以从服务器侧TMD 110接收保密数据116,保密数据116使得其能够对在客户端设备102-104之一和服务器设备112-115之一之间发送的加密连接消息执行不同的附加动作。例如,客户端侧TMD 106可被使得能够读取、截取、扩增、删除、延迟、剪除、压缩、增强、调换或以其他方式修改加密连接消息中的数据。
在一个实施例中,服务器设备私钥111可被集中在总公司120、联邦信息处理标准(FIPS)边界等内。服务器侧TMD 110可被使得能够通过各种机制访问私钥111等。
服务器设备112-115可以包括能够将分组传送至另一网络设备的任意计算设备。每个分组可以传递一条信息。分组可以被发送以用于握手,例如以便建立连接或以便确认数据的接收。分组可以包括诸如请求、响应等的信息。一般,被服务器设备112-115所接收到的分组将被根据TCP/IP格式化,但是它们也可以使用另一协议被格式化,所述协议例如是SCTP、X.25、NetBEUI、IPX/SPX、令牌环、类似的IPv4/6协议等。此外,分组可以采用HTTP、HTTPS等在服务器设备112-115、服务器侧TMD 110和客户端设备102-104之一之间传送。
在一个实施例中,服务器设备112-115被配置来用作网站服务器。然而,服务器设备112-115不限于网络服务器设备,并且也可以操作消息传送服务器、文件传输协议(FTP)服务器、数据库服务器、内容服务器等。另外,服务器设备112-115的每一个可以被配置来执行不同的操作。因此,例如,服务器设备112可被配置为消息传送服务器,而服务器设备114可被配置为数据库服务器。此外,尽管服务器设备112-115可以用作网站以外的设备,但是它们还能够被使得能够接收HTTP通信。
可用作服务器设备112-115的设备包括个人计算机、台式计算机、多处理器系统、基于微型处理器的或可编程的消费电子设备、网络PC、服务器设备等。
如上所述,保密数据116通常包括预备主密码和/或主密码。在一个实施例中,客户端设备和服务器设备可以在它们各自的HELLO消息中交换立即数(nonce)(使用一次的数)以用于在生成会话密钥(也称为主密钥)中使用。另外地或可替换地,保密数据116可以包括被客户端设备生成并被客户端设备使用服务器设备的公钥数字加密的另一立即数(与HELLO消息中所包含的立即数不同)。在一个实施例中,保密数据116被客户端设备、服务器侧TMD 110和服务器设备中的一者或几者用来生成会话密钥。
第三方内容提供商118可以可选地用来提供将被服务器侧TMD 110或客户端侧TMD 106插入到加密连接中的内容,例如广告。然而,第三方内容不限于此,并且可以另外还包括由附属商业合作方、协作的IT部门等提供的内容。
还应当注意,诸如客户端和服务器之类的术语可以是指设备内的功能。这样,几乎任何设备可以被配置来用作客户端、服务器或甚至包括客户端和服务器两者的功能。此外,在采用两个或多个对等方的情况中,它们中的任一个可以被指定为客户端或服务器,并且被配置为遵循本发明的教导。
说明性网络设备环境
图2示出根据本发明一个实施例的网络设备的一个实施例。网络设备200可以包括比所显示的组件多得多或少得多的组件。然而,所示出的组件已经足以公开用于实行本发明的说明性实施例。网络设备200例如可以表示图1的服务器侧TMD 110和/或客户端侧TMD 106。
网络设备200包括处理单元212、视频显示适配器214和大容量存储器,它们全部经由总线222相互通信。大容量存储器一般包括RAM 216、ROM 232以及一个或多个永久大容量存储设备,例如硬盘驱动器228、磁带驱动器、CD-ROM/DVD-ROM驱动器226和/或柔性盘驱动器。大容量存储器存储用于控制网络设备200的操作的操作系统220。网络设备200还包括加密会话管理器252、边界网关协议(BGP)模块256和其它应用258。
如图2中所示,网络设备200还经由网络接口单元210与互联网或一些其它通信网络通信,网络接口单元210被构建用于与包括TCP/IP协议的各种通信协议一起使用。网络接口单元210有时称为收发信机,收发设备或网络接口卡(NIC)。
如上所述的大容量存储器图示出另一种计算机可读介质,即计算机存储介质。计算机存储介质可以包括在用于信息存储的任意方法和技术中实现的易失性的、非易失性的、可移除的和不可移除的介质,所述信息例如是计算机可读指令、数据结构、程序模块或其它数据。计算机存储介质的示例包括RAM、ROM、EEPROM、闪存或其它存储技术、CD-ROM、数字通用盘(DVD)或其它光学存储装置、盒式磁带、磁带、磁盘存储装置或其它磁存储设备,或可用来存储希望的信息并且可被计算设备访问的任意其它物理介质。
大容量存储器还存储程序代码和数据。一个或多个应用258被装载到大容量存储器中并且在操作系统220上运行。应用程序的示例可以包括电子邮件程序、路由选择程序、调度器、日程器、数据库程序、文字处理程序、HTTP程序、流量管理程序、安全程序等。
网络设备200还可以包括虚拟地支持包括TLS、TTLS、EAP、SSL、IPSec等的任意连接的应用。这样的应用可以包括例如加密会话管理器252和BGP协议模块256。
在一个实施例中,加密会话管理器252可以执行加密会话处理,包括管理加密会话握手、管理密钥、证书、认证、授权等。此外,在一个实施例中,加密会话管理器252可以建立加密会话和/或连接,终结加密会话和/或连接,将自己建立为加密会话和/或连接的中间人,等等。此外,在一个实施例中,加密会话管理器252可以为了将加密会话的服务器端点替换为另一服务器端点的目的而开始加密连接重新协商。
另外,网络设备200可以包括支持诸如VPN、PPP、L2TP等的各种隧道传送机制的应用。
网络设备200也可以包括用于与外部设备通信的输入/输出接口224,外部设备例如是图2中未示出的鼠标、键盘、扫描仪或其它输入设备。通用,网络设备200还可以包括另外的大容量存储设施,例如CD-ROM/DVD-ROM驱动器226和硬盘驱动器228。硬盘驱动器228可以被利用来存储应用程序、数据库、证书、公钥或私钥、保密数据等。
在一个实施例中,网络设备200包括至少一个耦接到总线222的专用集成电路(ASIC)芯片(未示出)。ASIC芯片可以包括执行网络设备200的某些动作的逻辑。例如,在一个实施例中,ASIC芯片可以执行用于进入的和/或外出的分组的许多分组处理功能。在一个实施例中,ASIC芯片可以执行此逻辑的至少一部分来使能加密会话管理器252和/或BGP模块256的操作。
在一个实施例中,网络设备200除了包括ASIC芯片以外,或者替代ASIC芯片,还可以包括一个或多个现场可编程门阵列(FPGA)(未示出)。网络设备的许多功能可通过ASIC芯片、FPGA、CPU利用存储器中所存储的指令来执行,或者通过ASIC芯片、FPGA、CPU的任意组合来执行。
在一个实施例中,诸如客户端设备102的一些客户端设备可以不通过LAN或其它直接连接被连接到客户端侧TMD 106。例如,客户端设备102可以不位于具有客户端侧TMD的分公司中。另外地或可替换地,客户端设备102可以是移动设备。当客户端设备未被直接连接到客户端侧TMD时,客户端设备可以建立加密会话或以其他方式发送数据给服务器112-115之一,而客户端侧TMD不截取和处理数据。然而,客户端侧TMD截取并增强这样的通信常常是有益的。
为此目的,在一个实施例中,边界网关协议(BGP)256可以使得从一个或多个客户端设备源发的网络流量能够被路由经过客户端侧TMD106。在一个实施例中,BGP模块256通过向互联网上的路由器广播BGP协议消息来确保该路由选择,该消息指示客户端侧TMD 106知道用于寻址到服务器设备112-115的数据的最佳路由。结果,已经接收到此BGP协议消息的路由器通常会将寻址到服务器设备112-115之一的网络流量路由经过客户端侧TMD 106。结果,未被直接耦接到客户端侧TMD的客户端设备可以将它们的到服务器设备112-115的连接(包括加密会话)路由经过客户端侧TMD 106。以这种方式,客户端侧TMD 106被使得能够执行提高网络效率的各种动作,例如压缩、加速或以其他方式修改数据。
说明性服务器设备环境
图3示出根据本发明一个实施例的服务器设备的一个实施例。服务器设备300可以包括比所示出的组件多得多的组件。然而,所示出的组件足以公开用于实行本发明的说明性实施例。服务器设备300例如可以表示图1的服务器112-115和认证服务器115。
服务器设备300包括处理单元312、视频显示适配器314和大容量存储器,它们全部经由总线322彼此通信。大容量存储器一般包括RAM316、ROM 332以及一个或多个永久大容量存储设备,例如硬盘驱动器328、磁带驱动器、CD-ROM/DVD-ROM驱动器326和/或柔性盘驱动器。大容量存储器存储用于控制服务器设备300的操作的操作系统320。可以采用任意通用操作系统。基本输入/输出(“BIOS”)318也被提供用于控制服务器设备300的低级操作。如图3中所示,服务器设备300可以经由网络接口单元310与互联网或一些其它通信网络通信,网络接口单元310被构建用于与包括TCP/IP协议的各种通信协议一起使用。网络接口单元310有时称为收发信机,收发设备或网络接口卡(NIC)。
如上所述的大容量存储器图示出另一种计算机可读介质,即计算机存储介质。计算机存储介质可以包括在用于信息存储的任意方法和技术中实现的易失性的、非易失性的、可移除的和不可移除的介质,所述信息例如是计算机可读指令、数据结构、程序模块或其它数据。计算机存储介质的示例包括RAM、ROM、EEPROM、闪存或其它存储技术、CD-ROM、数字通用盘(DVD)或其它光学存储装置、盒式磁带、磁带、磁盘存储装置或其它磁存储设备,或可用来存储希望的信息并且可被计算设备访问的任意其它物理介质。
一个或多个应用350可被装载到大容量存储器中并在操作系统320上运行。应用程序的示例可以包括代码转换器、调度表、日程器、数据库程序、文字处理程序、HTTP程序、可定制用户接口程序、IPSec应用、加密程序、安全程序、VPN程序、网络服务器、账户管理等等。应用350可以包括加密会话模块360。加密会话模块360可以建立与其它网络设备的加密会话和/或连接,所述其它网络设备包括以上所讨论的任意网络设备。在一个实施例中,加密会话模块360可以与图1的TMD 110或TMD 106协同工作。另外地或可替换地,加密会话模块360可以独立于任意TMD来与其它网络设备通信。
应用360也可以包括被配置来通过网络向另一计算设备提供包括消息在内的内容的各种网络服务。这些网络服务例如包括网络服务器、消息传送服务器、文件传输协议(FTP)服务器、数据库服务器、内容服务器等。这些网络服务可以使用多种格式中的任一种格式通过网络来提供包括消息在内的内容,所述多种格式包括但不限于WAP、HDML、WML、SMGL、HTML、XML、cHTML、xHTML等。
一般化操作
现在将参考图4-8来描述某些方面的操作。图4-7提供图示出某些方面的逻辑流程图,而图8提供信号流程图。图4图示出一般地示出用于替换端到端加密连接中的端点的过程的一个实施例的逻辑流程图。在一个实施例中,过程400可以被服务器侧TMD 110实现。
在开始框之后,过程400开始于框402,由被插入在客户端设备和第一服务器设备之间的服务器侧TMD开始。在一个实施例中,服务器侧TMD确定与在客户端设备和第一服务器设备之间的端到端加密会话相关联的会话密钥。以下结合图5更详细地描述会话密钥的确定。
在框404处,服务器侧TMD检测用来替换作为与端到端加密会话相关联的端到端连接中的端点的第一服务器设备的标准。在一个实施例中,该检测标准可以包括检测被客户端设备所请求的数据的类型。另外地或可替换地,这些标准可以包括周期性的调度、服务设备的系统升级、管理员的请求等。
在框406处,服务器侧TMD用第二服务器设备替换作为此加密连接中的端点的第一服务器设备。在一个实施例中,服务器侧TMD利用对加密连接的重新协商来将第二服务器设备建立为端点。以下结合图6来更详细地描述用第二服务器设备替换服务器设备。
在框408处,服务器侧TMD可以读取、截取、扩增、删除、延迟、剪除、压缩、增强、加速、调换或以其他方式修改通过加密连接发送的数据。在一个实施例中,服务器侧TMD可以与客户端侧TMD协力工作来进一步增强通过加密连接发送的数据。以下结合图7来更详细地描述对通过加密连接发送的数据的增强。该处理随后终结于返回框。
图5图示出一般地示出用于生成与端到端加密会话相关联的会话密钥的过程的一个实施例的逻辑流程图。在一个实施例中,过程500可以被服务器侧TMD实现。
在开始框之后,过程500在框502处,通过接收与第一服务器设备相关联的私钥而开始。在一个实施例中,第一服务器设备可以包括图1中所图示出的服务器设备112-115之一。在一个实施例中,第一服务器设备的私钥可以由系统管理员提供。另外地或可替换地,私钥可以由本地域控制器、LDAP服务器或第二网络设备自身提供。
在框504处,与加密会话相关联的第一组握手消息被截取。在一个实施例中,加密会话的创建可由客户端设备(例如,客户端设备102-104之一)开始。在一个实施例中,第一组握手消息包括由客户端设备向第一服务器设备发送的“CLIENT-HELLO”消息。在被截取并被存储之后,“CLIENT-HELLO”消息可进而被转发至第一服务器。在一个实施例中,通过存储所截取的诸如“CLIENT-HELLO”消息之类的握手消息,服务器侧TMD被使得能够在对应的加密会话的生命周期期间中的任意时刻执行在此描述的动作。
响应于“CLIENT-HELLO”,第一服务器设备可以发送“SERVER-HELLO”消息,使得客户端设备能够识别第一服务器设备的“SERVERCERTIFICATE”消息、包括第一服务器设备的公钥的“SERVICE KEYEXCHANGE”消息、请求客户端发送其使得服务器设备能够识别此客户端设备的证书的“CERTIFICATE REQUEST”消息,以及“SERVICEHELLO DONE”消息,所有这些消息都被截取并被存储在第一组握手消息中并进而被转发到客户端设备。
响应于“SERVICE HELLO DONE”消息,在一个实施例中,客户端设备可以发送“CLIENT KEY EXCHANGE”消息,其包括被客户端设备生成并利用第一服务器设备的公钥加密的随机数(例如立即数)。在一个实施例中,“CLIENT KEY EXCHANGE”消息可被截取、被存储在第一组握手消息中,并进而被转发至第一服务器设备。另外地或可替换地,第一组握手消息可以包括在建立加密会话的同时在客户端设备和第一服务器设备之间交换的任意另外的消息,例如包含使得服务器设备能够识别客户端设备的客户端设备证书的“CERTIFICATE”消息。在一个实施例中,在完成握手消息的该交换之后,客户端设备和第一服务器设备已建立端到端加密会话。
接下来处理进行到框506,其中保密数据被从所截取的第一组握手消息提取出。在一个实施例中,接收到的第一服务器设备的私钥可被用来通过对“CLIENT KEY EXCHANGE”的有效载荷进行解密来提取保密数据,其包括被客户端设备生成并被利用第一服务器设备的公钥加密的随机数。另外地或可替换地,服务器侧TMD提取“预备主密码”。
接着,处理进行到框508,其中在一个实施例中,解密的随机数被与在客户端设备和第一服务器设备之间交换的一个或多个其它随机数组合使用来生成会话密钥。在一个实施例中,会话密钥可以是“主密钥”。在一个实施例中,会话密钥被与在加密会话握手期间所交换的一个或多个随机数组合来生成连接密钥。连接密钥可被用来加密和解密通过加密连接发送的数据。
在一个实施例中,客户端设备和第一服务器设备还基于所交换的握手消息来独立地计算会话密钥。在一个实施例中,客户端设备和第一服务器设备也独立地计算连接密钥。在一些实施例中,服务器侧TMD可以基于所截取的握手消息中的信息来计算会话密钥。可替换地,不是独立地计算会话密钥,而是服务器侧TMD可以从第一服务器、客户端、另一网络设备或系统管理员中的一者接收会话密钥和/或(一个或多个)连接密钥。
不论连接密钥被如何生成或获得,连接密钥都使得在客户端设备和第一服务器设备之间发送的加密数据能够被解密。在一个实施例中,服务器侧TMD可以使用连接密钥解密数据,并且随后可以扩增、删除、增强或以其他方式修改加密数据。在一个实施例中,服务侧TMD可以使用连接密钥来重新加密修改后的数据,并将将修改后的数据发送给客户端设备和第一服务器设备中的另一个。该过程随后终结于返回框。
图6图示出一般地示出用第二服务器设备替换端到端加密连接中的端点的过程的一个实施例的逻辑流程图。在一个实施例中,过程600可以由服务器侧TMD 110实现。
过程600在开始框之后,在框602处开始,其中在一个实施例中,服务器侧TMD将重新协商请求通过端到端加密连接发送至客户端设备。在一个实施例中,服务器侧TMD响应于提取出被客户端设备或者第一服务器设备所发送的HTTP头而发送重新协商请求消息,并且确定HTTP头包括对位于第二服务器设备上的内容的请求。服务器侧TMD 110可以基于网络流量、网络拓扑、服务器设备的容量、所请求的内容以及大量其它流量分发机制来将对资源的请求定向至特定服务器设备。此外,服务器侧TMD 110可以识别作为同一通信、流(flow)和/或传输流(stream)的一部分的分组,并且可以对这样的分组执行特殊处理,例如将它们定向至相同服务器设备。
在一个实施例中,服务器侧TMD通过产生“SSL HELLOREQUEST”并将其通过端到端加密连接发送至客户端设备来请求或以其他方式开始重新协商。在一个实施例中,服务器侧TMD利用利用加密连接重新协商来用一个或多个第二服务器设备替换第一服务器设备,作为端到端加密连接的端点。如以上所讨论的,在一个实施例中,客户端(或服务器)设备可以不知道不同的服务器(或客户端)设备已经变成端点。以这种方式,服务器侧TMD的功能对于此服务器(或客户端)设备可以是透明的。
接下来处理继续到框604,其中服务器侧TMD截取响应于“SSLHELLO REQUEST”而发送的第二组握手消息。在一个实施例中,第二组握手消息被使用连接密钥加密并被客户端设备通过端到端加密连接而发送。在一个实施例中,第二组握手消息被寻址到第一服务器设备。
接着处理继续到框606,其中服务器侧TMD使用连接密钥解密第二组握手消息。
接着处理继续到框608,其中服务器侧TMD将解密后的第二组握手消息重定向至第二服务器设备,从而使得第二服务器设备能够变成端到端加密连接中的端点。在一个实施例中,通过将第二组握手消息定向至第二服务器设备,被客户端设备通过端到端加密连接做出的请求可以被服务器侧TMD重新分发给多于一个的服务器设备。在一个实施例中,已在服务器侧TMD和第一服务器设备之间建立的现有连接被服务器侧TMD设法终结。可替换地,在服务器侧TMD和第一服务器设备之间的现有连接可以被缓存、汇集或以其他方式维护以备将来使用。
另外地或者可替换地,不是将第二服务器设备建立为端点,而是,服务器侧TMD可以利用加密连接重新协商来使其自身作为加密连接的端点。在此实施例中,服务器侧TMD可以充当加密连接加速器:接收来自客户端设备的加密内容,解密接收到的内容,将解密的内容转发给服务器设备以供处理,并且加密服务器设备的响应。在这样的情形中,TMD可以无负担地与第一服务器设备通信或与第一服务器设备建立另一连接。在另一实施例中,服务器侧TMD本身可以生成加密内容,而不是转发来自另一服务器的内容,例如缓存的数据或生成的数据。在另一实施例中,客户端侧TMD可以类似地利用加密连接重新识别来使其自身作为加密连接的端点,充当加密连接加速器、生成诸如缓存数据之类的内容等。另外地或可替换地,服务器侧TMD可以忽略客户端设备和第一服务器设备之间的后续重新协商,使得服务器侧TMD停止解密和修改通过端到端加密连接发送的内容。服务器侧TMD可以改为将通过重新协商的加密连接所发送的数据路由至第一服务器设备,就像经由任意其它网络连接一样。类似地,在其它实施例中,客户端侧TMD也可以利用加密连接重新协商来忽略后续重新协商,“离开”加密连接。
另外地或可替换地,服务器侧TMD可以终结到客户端设备的加密连接以及到服务器设备的另一加密连接。服务器侧TMD可以将这一对加密连接转换成该客户端与该服务器设备之间的单个端到端加密连接。在一个实施例中,服务器侧TMD可以通过利用在客户端设备和服务器设备之间转发的加密连接重新协商和握手消息来执行这样的转换。在这样的实施例中,TMD随后可以对通过端到端加密连接所发送的数据执行这里所描述的任意操作。
接着处理继续到框610,其中第二服务器设备的私钥被服务器侧TMD接收到。另外地或可替换地,服务器侧TMD可以在发送重新协商请求之前接收第二服务器设备的私钥。在一个实施例中,服务器侧TMD以以上关于接收第一服务器设备的私钥所讨论的任意方式来接收第二服务器设备的私钥。
接着处理继续到框612,其中第二服务器设备的私钥被用来从第二组握手消息中提取保密数据。在一个实施例中,服务器侧TMD以与以上关于框506讨论的从第一组握手消息中提取保密数据相似的方式,从第二组握手消息中提取保密数据。
接着处理继续到框614,其中服务器侧TMD至少基于从第二组握手消息中提取的保密数据来生成第二会话密钥。在一个实施例中,以与以上关于框508所讨论的第一会话密钥的生成的类似方式生成第二会话密钥。在一个实施例中,所生成的第二会话密钥被用来创建第二组连接密钥、定义客户端设备和第二服务器设备之间的加密连接。
接着处理继续到框616,其中通过重新协商的端到端加密会话的端到端加密连接所发送的消息被服务器侧TMD截取和处理。在一个实施例中,所截取的消息被客户端设备发送并被寻址到第一服务器设备,因为客户端设备可以不知道第二网络设备现在是重新协商的端到端加密会话的另一端点。另外地或可替换地,第二服务器设备可以发送被服务器侧TMD截取和处理的消息。在任一情况中,服务器侧TMD可以可选地与客户端侧TMD和/或第三方内容提供商118相协力来执行另外的处理以便扩增、删除、减除、延迟、加速或以其他方式修改所截取的消息。例如,广告或其它内容可以由第三方内容提供商118提供,其随后可被嵌入到在第二服务器设备和客户端设备之间发送的数据中。
接着处理继续到框618,其中,在服务器侧TMD截取被客户端设备发送并被寻址到第一服务器设备的消息的实施例中,服务器侧TMD将所截取的消息重定向至第二服务器设备。该过程随后结束于返回框。
在一个实施例中,图6中所图示的处理使得现有端到端加密连接能够被切换(hand off)到新的服务器设备,同时从客户端设备的角度看,服务器的身份并未改变。在一个实施例中,重新协商发生在现有加密会话隧道内。
图7图示出一般地示出用于增强在客户端侧TMD和服务器侧TMD之间通过加密连接发送的数据的过程的一个实施例的逻辑流程图。在一个实施例中,过程700可以由服务器侧TMD 110实现。
过程700在开始框之后开始于框702,其中服务器侧TMD 110将第二组连接密钥发送至客户端侧TMD 106。在一个实施例中,第二组连接密钥可以通过端到端加密会话被发送。可替换地,第二组连接密钥可以通过单独的加密会话/连接(例如安全隧道(B))被发送。
接着,处理继续到框704,其中在一个实施例中,客户端侧TMD 106截取从客户端设备通过端到端加密连接所发送的加密数据。在一个实施例中,通常当客户端设备不知道第二服务器设备现在是端到端加密连接的端点时,由客户端设备发送的加密数据可以被寻址到第一服务器设备。另外地或可替换地,当客户端设备知道第二服务器设备701现在是端到端加密连接的端点时,由客户端设备发送的加密数据可以被寻址到第二服务器设备701。
接着,处理继续到框706,其中在一个实施例中,客户端侧TMD 106使用接收到的第二组连接密钥来解密所截取的数据。
接着,处理继续到框708,其中在一个实施例中,客户端侧TMD 106处理加密数据。在一个实施例中,加密数据可被扩增、删除、加速或以其他方式修改。
接着,处理继续到框710,其中在一个实施例中,客户端侧TMD使用第二组连接密钥重新加密处理后的数据并且将重新加密后的处理后的数据发送给第二服务器设备701。在该实施例中,处理继续到框712处。
另外地或可替换地,客户端侧TMD 106可以明确地与服务器侧TMD110协力来在客户端设备和第二服务器设备170之间发送数据。在该情况中,客户端侧TMD 106可以使用单独的隧道,例如安全隧道(B),通过网络108将处理后的数据发送至服务器侧TMD 110。在该实施例中,安全隧道(B)可以利用单独的除与端到端加密连接之外的加密连接。换而言之,客户端侧TMD 106可以使用单独一组连接密钥来与服务器侧TMD110通信以便加密处理后的数据,或者完全使用另一种加密。在接收到通过安全隧道(B)发送的数据之后,服务器侧TMD 110通常解密并对解密的数据执行进一步的处理。例如,如果客户端侧TMD 106压缩处理后的数据来减少传输时间,则服务器侧TMD 110通常将解压缩数据,并且可选地执行本公开中所讨论的另外的处理。然后,处理继续到框714。
在一个实施例中,客户端侧TMD 106和服务器侧TMD 110可以利用两个级别的加密——用于在客户端设备和第二服务器设备701之间建立的端到端加密连接的加密,以及另外的被安全隧道(B)使用的加密。该实施例为通过诸如互联网之类的公共网络发送的数据提供两层安全性,增强所发送的数据的安全性。
接着处理继续到框712,其中服务器侧TMD 110截取被客户端侧TMD 106发送的处理后的数据。在一个实施例中,服务器侧TMD 110使用第二组连接密钥来解密所截取的数据。
在一个实施例中,服务器侧TMD 110对所截取和所解密的数据执行进一步的处理。在一个实施例中,服务器侧TMD 110扩增、删除、解压缩或以其他方式修改被截取并被解密的数据。
接着处理继续到框714,其中,服务器侧TMD 110使用第二组连接密钥加密被进一步处理后的数据,并且将重新加密的数据发送给第二服务器设备701。在一个实施例中,不论数据是否被截取、被解密、被修改、被重新加密等,从客户端设备和第二服务器设备701的角度来看,端到端加密连接(例如,图1中示出的安全会话(A)中所包含的连接)是原封不动的。
接着处理继续到框716,其中第二服务器设备701接收、解密和处理被服务器侧TMD 110发送的数据。该过程随后终结于返回框。
图8图示出一般地示出图4至图6的过程的一个实施例的信号流程图。
过程800开始于802,如以上关于框504所讨论的,客户端设备发送“CLIENT HELLO”握手消息。处理继续到框804,其中还是如以上关于框504所讨论的,服务器侧TMD 110截取并转发握手消息。处理继续到806,其中如以上关于框504所讨论的,第一服务器接收“CLIENTHELLO”握手消息等。
处理继续到808和812,其中如以上关于框504所讨论的,其它握手消息在客户端设备和第一服务器设备之间被交换。
处理继续到810,其中如以上关于框508所讨论的,保密数据,例如被客户端设备生成并被客户端设备利用第一服务器设备的公钥加密的随机数,被服务器侧TMD 110使用第一服务器设备的公钥从其他握手消息中提取出。
处理继续到813,其中诸如810中所生成的保密数据之类的保密数据被客户端侧TMD 106接收到。在一个实施例中,此保密数据可被用来生成连接密钥。另外地或可替换地,连接密钥可被客户端侧TMD 106接收到。在一个实施例中,保密数据和连接密钥中的任一者可被服务器侧TMD 110发送给客户端侧TMD 106。一旦客户端侧TMD 106已经接收到或生成了连接密钥,则客户端侧TMD 106被使得能够在加密数据被通过连接而发送时,截取和增强加密数据。
处理继续到814,其中如以上关于框602所讨论的,重新协商请求被服务器侧TMD 110发送给客户端设备。
处理继续到816和820,其中如以上关于框412所讨论的,响应于接收到重新协商请求,客户端设备开始交换第二组握手消息。
处理继续到618,其中如以上关于框604和606所讨论的,服务器侧TMD 110截取、解密第二组握手消息并将其重定向至第二服务器。
处理继续到822,其中如以上关于图7所讨论的,服务器侧TMD 110将第二组连接密钥发送至客户端侧TMD 106。
处理继续到824和826,其中作为所请求的重新协商的结果,一开始在客户端设备和第一服务器设备之间建立的端到端连接已经改变,导致在客户端设备和第二服务器设备之间重新建立加密连接。
用于基于边界网关协议(BGP)广播的路由选择的说明性操作环境
图9示出边界网关协议(BGP)可被用来将来自客户端设备902、904和906的流量定向为经过客户端侧流量管理设备910的说明性环境900。在一个实施例中,客户端设备902、904和906在地理上位于远程区域901中,客户端设备902、904和906通常不通过客户端侧TMD连接到互联网。结果,客户端设备902、904和906将通常分别通过路由器912.、914和916来发送数据,路由器912.、914和916通过网络920与总公司903直接通信。此连接被图示为路由器912和网络920之间的虚线。
然而,常常希望将来自客户端设备902、904和906中的一个或全部的流量定向为经过单个客户端侧流量管理设备,例如客户端侧TMD 910。例如,为远程区域901中的每个分公司提供客户端侧TMD可能是没什么成本效益的,但是为远程区域901中的一些或全部分公司提供单个客户端侧TMD将是有成本效益的。在某些实施例中,客户端侧TMD 910可以被认为是如图9中所示的远程TMD,因为其可能远离总公司903。
在一个实施例中,客户端侧TMD可被配置为使用BGP协议来广播消息。在一个实施例中,客户端侧TMD 910可以广播一BGP协议消息,该消息指示其知道到总公司903的最佳路由。这样,在此BGP消息传播到路由器912.、914和916之后,这些路由器将客户端设备902、904和906的请求路由通过网络908而到达客户端侧TMD 910。一旦被客户端侧TMD910接收到,客户端设备和服务器设备之间的通信可以如以上关于图7所讨论的那样被优化。
将理解,示图以及类似流程图的图解中的步骤的组合可以用计算机程序指令实现。这些程序指令可被提供给处理器以便产生一机器,使得在处理器上执行的指令创建用于实现一个或多个流程框中所指定的动作。计算机程序指令可以被处理器执行来使得一系列操作步骤被处理器执行来产生计算机实现的过程,使得在处理器上执行的指令提供用于实现一个或多个流程框中所指定的动作的步骤。这些程序指令可被存储在计算机可读介质或机器可读介质上,例如计算机可读存储介质。
相应地,图解支持用于执行指定动作的装置的组合、用于执行指定动作的步骤的组合以及用于执行指定动作的程序指令装置。将理解,流程图中的每个框,以及流程图中的框的组合可用模块实现,所述模块例如是执行指定动作或步骤的基于专用硬件的系统,或者专用硬件和计算机指令的组合。
以上说明、示例和数据提供对所述实施例的构成的制造和使用的完整描述。由于在不偏离本发明的精神和范围的情况下可以做出许多实施例,因此这些实施例在所附权利要求以内。
Claims (20)
1.一种流量管理设备,其被插入在客户端设备和多个服务器设备之间,所述流量管理设备的特征在于包括:
收发信机,用于通过网络发送和接收数据;以及
处理器,该处理器包括:
密钥管理装置,用于获取与在该客户端设备和所述多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;
请求发送装置,用于通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;
消息截取装置,用于截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中所述第二组握手消息被寻址到该第一服务器设备,并且其中所述第二组握手消息是响应于该重新协商请求被发送的;
解密装置,用于使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及
重定向装置,用于将解密的第二组握手消息重定向至所述多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
2.根据权利要求1所述的流量管理设备,其特征在于,所述密钥管理装置还包括:
用于接收与所选择的第二服务器设备相关联的私钥的装置;
用于使用与所选择的第二服务器设备相关联的私钥来从所述第二组握手消息中提取与该加密会话相关联的保密数据的装置;以及
用于部分地基于从所述第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥的装置。
3.根据权利要求1所述的流量管理设备,其特征在于:
所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接 发送的消息,其中该消息被寻址到该第一服务器设备;并且
所述重定向装置还用于将所截取的消息重定向至所选择的第二服务器设备。
4.根据权利要求1所述的流量管理设备,其特征在于:
所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;
所述解密装置还用于使用基于该第二会话密钥生成的一个或多个连接密钥来解密所截取的消息内的有效载荷;
其中所述流量管理设备还包括
用于修改解密的有效载荷的装置;
用于使用基于该第二会话密钥生成的一个或多个连接密钥来加密修改后的有效载荷的装置;以及
用于将加密的修改后的有效载荷通过该端到端加密连接提供至所选择的第二服务器设备的装置。
5.根据权利要求1所述的流量管理设备,其特征在于,还包括用于选择该第二服务器的选择装置,所述选择装置包括:
用于使用从该会话密钥生成的一个或多个连接密钥来从所截取的应用协议层消息中提取头的装置;以及
用于确定该头中所请求的内容位于该第二服务器设备上的装置。
6.根据权利要求1所述的流量管理设备,其特征在于,该流量管理设备包括本地地位于所选择的第二服务器设备附近的服务器侧流量管理设备,其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该服务器侧流量管理设备之间使得该端到端加密连接流经该客户端侧流量管理设备,其中该客户端侧流量管理设备包括:
用于从该服务器侧流量管理设备接收基于该第二会话密钥生成的一个或多个连接密钥的装置;
用于截取从该客户端设备通过该端到端加密连接发送至该第一服务器设备的加密数据的装置;
用于利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加 密数据的装置;
用于修改解密的数据的装置;
用于利用基于该第二会话密钥生成的一个或多个连接密钥来重新加密修改后的数据的装置;以及
用于向该第一服务器设备发送重新加密的修改后的数据的装置,
其中该服务器侧流量管理设备截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
7.根据权利要求6所述的流量管理设备,其特征在于,当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
8.一种通信系统,其特征在于包括:
多个服务器设备:以及
与所述多个服务器设备通信的流量管理设备,该流量管理设备本地地位于所述多个服务器设备附近,其中该流量管理设备通过网络与客户端设备通信,并且其中该流量管理设备包括:
密钥管理装置,用于获取与在该客户端设备和所述多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;
请求发送装置,用于通过该端到端加密会话的端到端加密连接向该客户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;
消息截取装置,用于截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中所述第二组握手消息被寻址到该第一服务器设备,并且其中所述第二组握手消息是响应于该重新协商请求被发送的;
解密装置,用于使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及
重定向装置,用于将解密的第二组握手消息重定向至所述多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
9.根据权利要求8所述的系统,其特征在于还包括:
用于接收与所选择的第二服务器设备相关联的私钥的装置;
用于使用与所选择的第二服务器设备相关联的私钥来从所述第二组握手消息中提取与该加密会话相关联的保密数据的装置;以及
用于部分地基于从所述第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥的装置。
10.根据权利要求9所述的系统,其特征在于:
所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;并且
所述重定向装置还用于将所截取的消息重定向至所选择的第二服务器设备。
11.根据权利要求9所述的系统,其特征在于:
所述消息截取装置还用于截取由该客户端设备通过该端到端加密连接发送的消息,其中该消息被寻址到该第一服务器设备;
所述解密装置还用于使用基于该第二会话密钥生成的一个或多个连接密钥来解密所截取的消息内的有效载荷;
其中,所述系统还包括
用于修改解密的有效载荷的装置;
用于使用基于该第二会话密钥生成的一个或多个连接密钥来加密修改后的有效载荷的装置;以及
用于将加密的修改后的有效载荷通过该端到端加密连接提供至所选择的第二服务器设备的装置。
12.根据权利要求8所述的系统,其特征在于,还包括用于选择该第二服务器的选择装置,所述选择装置包括:
用于使用基于该会话密钥生成的一个或多个连接密钥来从所截取的应用层协议消息中提取头的装置;以及
用于确定该头中所请求的内容位于该第二服务器设备上的装置。
13.根据权利要求8所述的系统,其特征在于,该流量管理设备本地地位于所选择的第二服务器设备附近,并且其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该流量管理设备之间,使得该端到端加密连接流经该客户端侧流量管理设备,其中该客户 端侧流量管理设备包括:
用于从该流量管理设备接收基于该第二会话密钥生成的一个或多个连接密钥的装置;
用于截取从该客户端设备通过该端到端加密连接发送给该所选择的第二服务器设备的加密数据的装置;
用于利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据的装置;
用于扩增解密的数据的装置;
用于利用该第二会话密钥重新加密修改后的数据的装置;以及
用于向该第一服务器设备发送重新加密的修改后的数据的装置,
其中该流量管理设备截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
14.根据权利要求13所述的系统,其特征在于,当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
15.根据权利要求8所述的系统,其特征在于,所述解密装置还使用与所述服务器设备相关联的私钥来对所述握手消息进行解密,其中所述握手消息至少包括由所述客户端设备生成并利用与该服务器设备相关联的公钥加密的随机数。
16.根据权利要求8所述的系统,其特征在于,该流量管理设备还包括:
用于从该客户端设备接收内容请求的装置,其中该内容请求被寻址到所选择的第二服务器设备;以及
用于在不将该内容请求发送给所选择的第二服务器设备的情况下对该内容请求进行响应的装置。
17.一种处理器,其特征在于,所述处理器包括:
密钥管理装置,用于获取与在该客户端设备和所述多个服务器设备中的第一服务器设备之间所建立的端到端加密会话相关联的会话密钥;
请求发送装置,用于通过该端到端加密会话的端到端加密连接向该客 户端设备发送重新协商请求,以请求对该端到端加密连接的重新协商;
消息截取装置,用于截取由该客户端设备通过该端到端加密连接所发送的第二组握手消息,其中所述第二组握手消息被寻址到该第一服务器设备,并且其中所述第二组握手消息是响应于该重新协商请求被发送的;
解密装置,用于使用基于该会话密钥生成的一个或多个连接密钥来解密所截取的第二组握手消息;以及
重定向装置,用于将解密的第二组握手消息重定向至所述多个服务器设备中所选择的第二服务器设备,使得所选择的第二服务器设备替换该第一服务器设备而作为该端到端加密连接的端点。
18.根据权利要求17所述的处理器,其特征在于,所述密钥管理装置还包括:
用于接收与所选择的第二服务器设备相关联的私钥的装置;
用于使用与所选择的第二服务器设备相关联的私钥来从所述第二组握手消息中提取与该加密会话相关联的保密数据的装置;以及
用于部分地基于从所述第二组握手消息中提取的保密数据来生成与该加密会话相关联的第二会话密钥的装置。
19.根据权利要求17所述的处理器,其特征在于,该处理器本地地位于所选择的第二服务器设备附近,并且其中客户端侧流量管理设备远离所选择的第二服务器设备并且被插入在该客户端设备和该处理器之间使得该端到端加密连接流经该客户端侧流量管理设备,该客户端侧流量管理设备包括:
用于从该处理器接收基于该第二会话密钥生成的一个或多个连接密钥的装置;
用于截取从该客户端设备通过该端到端加密连接发送给该第一服务器设备的加密数据的装置;
用于利用基于该第二会话密钥生成的一个或多个连接密钥来解密该加密数据的装置;
用于修改解密的数据的装置;
用于利用基于该第二会话密钥生成的一个或多个连接密钥来重新加密 修改后的数据的装置;以及
用于向该第一服务器设备发送重新加密的修改后的数据的装置,其中该处理器截取并解密该修改后的数据,并且将该修改后的数据重定向至所选择的第二服务器设备。
20.根据权利要求17所述的处理器,其特征在于,当该端到端加密会话被建立时,该客户端流量管理设备使用边界网关协议BGP将其自身插入在该客户端设备和该第一服务器设备之间。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US31585710P | 2010-03-19 | 2010-03-19 | |
| US61/315,857 | 2010-03-19 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202206418U true CN202206418U (zh) | 2012-04-25 |
Family
ID=44603286
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110070354.XA Expired - Fee Related CN102195878B (zh) | 2010-03-19 | 2011-03-21 | 经由流中间重新协商的代理ssl切换 |
| CN2011200775469U Expired - Fee Related CN202206418U (zh) | 2010-03-19 | 2011-03-21 | 流量管理设备、系统和处理器 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110070354.XA Expired - Fee Related CN102195878B (zh) | 2010-03-19 | 2011-03-21 | 经由流中间重新协商的代理ssl切换 |
Country Status (6)
| Country | Link |
|---|---|
| US (10) | US8700892B2 (zh) |
| EP (1) | EP2548332A4 (zh) |
| JP (1) | JP5744172B2 (zh) |
| CN (2) | CN102195878B (zh) |
| HK (1) | HK1161787A1 (zh) |
| WO (1) | WO2011116342A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105103522A (zh) * | 2013-03-07 | 2015-11-25 | 谷歌公司 | 穿过客户端侧nat防火墙的基于udp的传输协议的低时延服务器侧重定向 |
| CN108293058A (zh) * | 2015-12-03 | 2018-07-17 | 微软技术许可有限责任公司 | 使用安全信令建立通信事件 |
| CN111052674A (zh) * | 2017-09-08 | 2020-04-21 | 株式会社东芝 | 通信控制系统以及通信控制装置 |
| CN115296847A (zh) * | 2022-07-06 | 2022-11-04 | 杭州涂鸦信息技术有限公司 | 流量控制方法、装置、计算机设备和存储介质 |
Families Citing this family (227)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8166547B2 (en) * | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| US8510560B1 (en) | 2008-08-20 | 2013-08-13 | Marvell International Ltd. | Efficient key establishment for wireless networks |
| US8296555B2 (en) | 2008-09-18 | 2012-10-23 | Marvell World Trade Ltd. | Preloader |
| US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US20120030475A1 (en) * | 2010-08-02 | 2012-02-02 | Ma Felix Kuo-We | Machine-machine authentication method and human-machine authentication method for cloud computing |
| FR2966669B1 (fr) * | 2010-10-21 | 2013-07-05 | Ipanema Technologies | Procede d'optimisation du transfert de flux de donnees securises via un reseau autonomique |
| US9544770B2 (en) * | 2010-12-01 | 2017-01-10 | Microsoft Technology Licensing, Llc | User authentication in a mobile environment |
| US9998545B2 (en) * | 2011-04-02 | 2018-06-12 | Open Invention Network, Llc | System and method for improved handshake protocol |
| US8743885B2 (en) | 2011-05-03 | 2014-06-03 | Cisco Technology, Inc. | Mobile service routing in a network environment |
| US8694782B2 (en) * | 2011-05-04 | 2014-04-08 | Marvell World Trade Ltd. | Wireless authentication using beacon messages |
| EP2716011A1 (en) * | 2011-06-01 | 2014-04-09 | Interdigital Patent Holdings, Inc. | Content delivery network interconnection (cdni) mechanism |
| US9049025B1 (en) * | 2011-06-20 | 2015-06-02 | Cellco Partnership | Method of decrypting encrypted information for unsecure phone |
| CN102868665B (zh) * | 2011-07-05 | 2016-07-27 | 华为软件技术有限公司 | 数据传输的方法及装置 |
| US8914635B2 (en) * | 2011-07-25 | 2014-12-16 | Grey Heron Technologies, Llc | Method and system for establishing secure communications using composite key cryptography |
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
| US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
| US8856910B1 (en) * | 2011-08-31 | 2014-10-07 | Palo Alto Networks, Inc. | Detecting encrypted tunneling traffic |
| US9264432B1 (en) | 2011-09-22 | 2016-02-16 | F5 Networks, Inc. | Automatic proxy device configuration |
| US9294452B1 (en) | 2011-12-09 | 2016-03-22 | Rightquestion, Llc | Authentication translation |
| US11475105B2 (en) | 2011-12-09 | 2022-10-18 | Rightquestion, Llc | Authentication translation |
| PL2792100T3 (pl) * | 2011-12-15 | 2021-03-22 | Intel Corporation | Sposób i urządzenie do bezpiecznej komunikacji w sieci przy użyciu sprzętowego silnika bezpieczeństwa |
| US9497171B2 (en) | 2011-12-15 | 2016-11-15 | Intel Corporation | Method, device, and system for securely sharing media content from a source device |
| US9647835B2 (en) * | 2011-12-16 | 2017-05-09 | Akamai Technologies, Inc. | Terminating SSL connections without locally-accessible private keys |
| US9531691B2 (en) * | 2011-12-16 | 2016-12-27 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating TLS connection proxy |
| WO2013103897A1 (en) * | 2012-01-05 | 2013-07-11 | Adept Cloud, Inc. | System and method for decentralized online data transfer and synchronization |
| US8914629B2 (en) * | 2012-01-30 | 2014-12-16 | The Nielsen Company (Us), Llc | Intercepting encrypted network traffic for internet usage monitoring |
| US8863250B2 (en) | 2012-02-01 | 2014-10-14 | Amazon Technologies, Inc. | Logout from multiple network sites |
| US9167006B1 (en) | 2012-02-21 | 2015-10-20 | F5 Networks, Inc. | Connection bucketing in mirroring asymmetric clustered multiprocessor systems |
| CN104137508B (zh) * | 2012-02-21 | 2017-07-07 | 国际商业机器公司 | 具有网络附接的无状态安全卸载装置的网络节点 |
| US9059853B1 (en) * | 2012-02-22 | 2015-06-16 | Rockwell Collins, Inc. | System and method for preventing a computing device from obtaining unauthorized access to a secure network or trusted computing environment |
| US9537899B2 (en) | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
| US8898314B2 (en) * | 2012-03-21 | 2014-11-25 | Verizon Patent And Licensing Inc. | Direct communication between applications in a cloud computing environment |
| CN104205904B (zh) * | 2012-03-31 | 2019-05-03 | 英特尔公司 | 使用物理接近的安全通信 |
| US9348927B2 (en) | 2012-05-07 | 2016-05-24 | Smart Security Systems Llc | Systems and methods for detecting, identifying and categorizing intermediate nodes |
| JP5295408B1 (ja) * | 2012-05-13 | 2013-09-18 | 淳也 榎本 | セキュア通信方法、被操作装置及び操作プログラム |
| US8843738B2 (en) * | 2012-05-14 | 2014-09-23 | Sierra Wireless, Inc. | TLS abbreviated session identifier protocol |
| US9325676B2 (en) | 2012-05-24 | 2016-04-26 | Ip Ghoster, Inc. | Systems and methods for protecting communications between nodes |
| US10778659B2 (en) | 2012-05-24 | 2020-09-15 | Smart Security Systems Llc | System and method for protecting communications |
| WO2015116768A2 (en) | 2014-01-29 | 2015-08-06 | Sipn, Llc | Systems and methods for protecting communications |
| WO2013188875A1 (en) * | 2012-06-15 | 2013-12-19 | Massachusetts Institute Of Technology | Optimized transport layer security |
| US8862882B2 (en) * | 2012-06-29 | 2014-10-14 | Intel Corporation | Systems and methods for authenticating devices by adding secure features to Wi-Fi tags |
| WO2014040292A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 攻击防范方法和设备 |
| EP3119059B1 (en) | 2012-10-24 | 2019-05-01 | CyberArk Software Ltd. | A system and method for secure proxy-based authentication |
| US9680813B2 (en) * | 2012-10-24 | 2017-06-13 | Cyber-Ark Software Ltd. | User provisioning |
| KR20140052703A (ko) * | 2012-10-25 | 2014-05-07 | 삼성전자주식회사 | 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치 |
| US9219762B2 (en) * | 2012-10-30 | 2015-12-22 | Netiq Corporation | Techniques for desktop migration |
| US9277017B2 (en) | 2012-10-30 | 2016-03-01 | Netiq Corporation | Techniques for device independent session migration |
| CN104871637B (zh) * | 2012-11-07 | 2019-08-23 | 诺基亚技术有限公司 | 代理连接方法和装置 |
| US8856515B2 (en) | 2012-11-08 | 2014-10-07 | Intel Corporation | Implementation of robust and secure content protection in a system-on-a-chip apparatus |
| CN103250382B (zh) | 2012-12-28 | 2017-04-26 | 华为技术有限公司 | 分流方法、设备和系统 |
| US9575768B1 (en) | 2013-01-08 | 2017-02-21 | Marvell International Ltd. | Loading boot code from multiple memories |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US8782774B1 (en) | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9516102B2 (en) * | 2013-03-07 | 2016-12-06 | F5 Networks, Inc. | Server to client reverse persistence |
| US9043593B2 (en) | 2013-03-11 | 2015-05-26 | International Business Machines Corporation | Session attribute propagation through secure database server tiers |
| US9794379B2 (en) | 2013-04-26 | 2017-10-17 | Cisco Technology, Inc. | High-efficiency service chaining with agentless service nodes |
| US9137218B2 (en) * | 2013-05-03 | 2015-09-15 | Akamai Technologies, Inc. | Splicing into an active TLS session without a certificate or private key |
| US9736801B1 (en) | 2013-05-20 | 2017-08-15 | Marvell International Ltd. | Methods and apparatus for synchronizing devices in a wireless data communication system |
| US9521635B1 (en) | 2013-05-21 | 2016-12-13 | Marvell International Ltd. | Methods and apparatus for selecting a device to perform shared functionality in a deterministic and fair manner in a wireless data communication system |
| US9300629B1 (en) * | 2013-05-31 | 2016-03-29 | Palo Alto Networks, Inc. | Password constraint enforcement used in external site authentication |
| CN105659654A (zh) * | 2013-06-11 | 2016-06-08 | 七网络有限责任公司 | 在无线网络中对使用专有和非专有协议之流量的信令优化,提供应用和/或服务器稳定性的系统和方法 |
| US9225704B1 (en) | 2013-06-13 | 2015-12-29 | Amazon Technologies, Inc. | Unified management of third-party accounts |
| US9602540B1 (en) * | 2013-06-13 | 2017-03-21 | Amazon Technologies, Inc. | Enforcing restrictions on third-party accounts |
| US9531704B2 (en) * | 2013-06-25 | 2016-12-27 | Google Inc. | Efficient network layer for IPv6 protocol |
| JP6317817B2 (ja) * | 2013-07-25 | 2018-04-25 | コンヴィーダ ワイヤレス, エルエルシー | エンドツーエンドm2mサービス層セッション |
| US9836306B2 (en) | 2013-07-31 | 2017-12-05 | Marvell World Trade Ltd. | Parallelizing boot operations |
| US9491157B1 (en) | 2013-09-27 | 2016-11-08 | F5 Networks, Inc. | SSL secured NTLM acceleration |
| US9225516B1 (en) * | 2013-10-03 | 2015-12-29 | Whatsapp Inc. | Combined authentication and encryption |
| JPWO2015056601A1 (ja) * | 2013-10-16 | 2017-03-09 | 日本電信電話株式会社 | 鍵装置、鍵クラウドシステム、復号方法、およびプログラム |
| US10440568B2 (en) * | 2013-10-17 | 2019-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication of wireless device entity |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US10069811B2 (en) | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US20150120943A1 (en) * | 2013-10-29 | 2015-04-30 | Homersoft Sp. Zo.O. | Secure mobile access to resources within a private network |
| US10475018B1 (en) | 2013-11-29 | 2019-11-12 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
| CN103618726A (zh) * | 2013-12-04 | 2014-03-05 | 北京中创信测科技股份有限公司 | 一种基于https协议实现移动数据业务识别的方法 |
| US10037514B2 (en) * | 2013-12-19 | 2018-07-31 | Centurylink Intellectual Property Llc | Ubiquitous in-cloud microsite generator for high speed data customer intake and activation |
| US9344337B2 (en) | 2014-03-13 | 2016-05-17 | Cisco Technology, Inc. | Service node originated service chains in a network environment |
| US10116731B2 (en) * | 2014-03-13 | 2018-10-30 | Oncam Global, Inc. | Method and systems for providing data to a remote site |
| US9426176B2 (en) | 2014-03-21 | 2016-08-23 | Cisco Technology, Inc. | Method, system, and logic for in-band exchange of meta-information |
| US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9184911B2 (en) * | 2014-04-08 | 2015-11-10 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9479443B2 (en) | 2014-05-16 | 2016-10-25 | Cisco Technology, Inc. | System and method for transporting information to services in a network environment |
| US9379931B2 (en) | 2014-05-16 | 2016-06-28 | Cisco Technology, Inc. | System and method for transporting information to services in a network environment |
| CN105207972B (zh) * | 2014-06-17 | 2018-03-30 | 腾讯科技(深圳)有限公司 | 信道的数据处理方法和装置 |
| US9712563B2 (en) | 2014-07-07 | 2017-07-18 | Cyber-Ark Software Ltd. | Connection-specific communication management |
| KR101670496B1 (ko) * | 2014-08-27 | 2016-10-28 | 주식회사 파수닷컴 | 데이터 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체, 데이터 관리 방법을 실행하는 사용자 클라이언트 |
| GB2530028B8 (en) | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| CN104301333A (zh) * | 2014-11-05 | 2015-01-21 | 中国科学技术大学 | 非阻塞式握手实现方法及系统 |
| US10417025B2 (en) | 2014-11-18 | 2019-09-17 | Cisco Technology, Inc. | System and method to chain distributed applications in a network environment |
| USRE48131E1 (en) | 2014-12-11 | 2020-07-28 | Cisco Technology, Inc. | Metadata augmentation in a service function chain |
| US9660909B2 (en) | 2014-12-11 | 2017-05-23 | Cisco Technology, Inc. | Network service header metadata for load balancing |
| CN104580190B (zh) * | 2014-12-30 | 2018-09-04 | 北京奇虎科技有限公司 | 安全浏览器的实现方法和安全浏览器装置 |
| DE112015005968T5 (de) * | 2015-01-16 | 2017-10-12 | Autonetworks Technologies, Ltd. | Kommunikationssystem und Vergleichsverfahren |
| US20160241667A1 (en) * | 2015-02-18 | 2016-08-18 | Actmobile Networks, Inc. | Extended http object cache system and method |
| US9871772B1 (en) | 2015-03-17 | 2018-01-16 | The Charles Stark Draper Laboratory, Inc. | Cryptographic system for secure command and control of remotely controlled devices |
| US9614816B2 (en) * | 2015-03-23 | 2017-04-04 | Oracle International Corporation | Dynamic encryption for tunneled real-time communications |
| US10834065B1 (en) * | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
| US9660969B2 (en) | 2015-03-31 | 2017-05-23 | Here Global B.V. | Method and apparatus for providing key management for data encryption for cloud-based big data environments |
| US11032379B2 (en) * | 2015-04-24 | 2021-06-08 | Citrix Systems, Inc. | Secure in-band service detection |
| EP3291483B1 (en) * | 2015-04-30 | 2020-01-01 | Nippon Telegraph and Telephone Corporation | Data transmission and reception method and system |
| US10205598B2 (en) * | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
| US20170026414A1 (en) * | 2015-05-07 | 2017-01-26 | Saguna Networks Ltd. | Methods Circuits Devices Systems and Functionally Associated Computer Executable Code for Managing a Data Access Network |
| US9774572B2 (en) * | 2015-05-11 | 2017-09-26 | Salesforce.Com, Inc. | Obfuscation of references to network resources |
| US9762402B2 (en) | 2015-05-20 | 2017-09-12 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
| US10193867B2 (en) | 2015-05-27 | 2019-01-29 | Ping Identity Corporation | Methods and systems for API proxy based adaptive security |
| US10051001B1 (en) | 2015-07-31 | 2018-08-14 | Palo Alto Networks, Inc. | Efficient and secure user credential store for credentials enforcement using a firewall |
| US9967236B1 (en) | 2015-07-31 | 2018-05-08 | Palo Alto Networks, Inc. | Credentials enforcement using a firewall |
| US9450944B1 (en) * | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US9992238B2 (en) * | 2015-11-11 | 2018-06-05 | International Business Machines Corporation | Proxy based data transfer utilizing direct memory access |
| US10469594B2 (en) * | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
| US10505984B2 (en) * | 2015-12-08 | 2019-12-10 | A10 Networks, Inc. | Exchange of control information between secure socket layer gateways |
| US10305871B2 (en) | 2015-12-09 | 2019-05-28 | Cloudflare, Inc. | Dynamically serving digital certificates based on secure session properties |
| US10187475B2 (en) * | 2015-12-31 | 2019-01-22 | Hughes Network Systems, Llc | Method and system for automatically bypassing network proxies in the presence of interdependent traffic flows |
| US10277562B1 (en) * | 2016-01-12 | 2019-04-30 | Symantec Corporation | Controlling encrypted traffic flows using out-of-path analysis devices |
| GB2546340A (en) * | 2016-01-18 | 2017-07-19 | Isis Innovation | Improving security protocols |
| US11044203B2 (en) | 2016-01-19 | 2021-06-22 | Cisco Technology, Inc. | System and method for hosting mobile packet core and value-added services using a software defined network and service chains |
| US10250637B2 (en) * | 2016-01-29 | 2019-04-02 | Citrix Systems, Inc. | System and method of pre-establishing SSL session connections for faster SSL connection establishment |
| EP3427435A1 (en) | 2016-03-08 | 2019-01-16 | Marvell World Trade Ltd. | Methods and apparatus for secure device authentication |
| KR101847636B1 (ko) * | 2016-03-14 | 2018-04-10 | 주식회사 수산아이앤티 | 암호화 트래픽을 감시하기 위한 방법 및 장치 |
| US10187306B2 (en) | 2016-03-24 | 2019-01-22 | Cisco Technology, Inc. | System and method for improved service chaining |
| CN109074327B (zh) * | 2016-03-29 | 2022-02-15 | 株式会社理光 | 服务提供系统、服务递送系统、服务提供方法和程序 |
| EP3438837A4 (en) | 2016-03-29 | 2019-03-20 | Ricoh Company Ltd. | SERVICE PROVIDING SYSTEM, SERVICE DISTRIBUTION SYSTEM, SERVICE PROVIDING METHOD, AND PROGRAM |
| EP3438860B1 (en) * | 2016-03-29 | 2020-06-03 | Ricoh Company, Ltd. | Service provision system, service exchange system, service provision method, and program |
| US10931793B2 (en) | 2016-04-26 | 2021-02-23 | Cisco Technology, Inc. | System and method for automated rendering of service chaining |
| US10264079B2 (en) | 2016-05-18 | 2019-04-16 | Cisco Technology, Inc. | Fastpath web sessions with HTTP header modification by redirecting clients |
| CN114727424A (zh) | 2016-06-15 | 2022-07-08 | 康维达无线有限责任公司 | 用于新无线电的无许可上行链路传输 |
| GB2551580A (en) * | 2016-06-24 | 2017-12-27 | Sony Corp | Data communications |
| US10116634B2 (en) * | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
| US10250596B2 (en) * | 2016-06-29 | 2019-04-02 | International Business Machines Corporation | Monitoring encrypted communication sessions |
| US10419550B2 (en) | 2016-07-06 | 2019-09-17 | Cisco Technology, Inc. | Automatic service function validation in a virtual network environment |
| EP3482566B1 (en) | 2016-07-08 | 2024-02-28 | InterDigital Madison Patent Holdings, SAS | Systems and methods for region-of-interest tone remapping |
| US10291405B2 (en) * | 2016-07-15 | 2019-05-14 | International Business Machines Corporation | Seamless abort and reinstatement of TLS sessions |
| US10320664B2 (en) | 2016-07-21 | 2019-06-11 | Cisco Technology, Inc. | Cloud overlay for operations administration and management |
| US10218616B2 (en) | 2016-07-21 | 2019-02-26 | Cisco Technology, Inc. | Link selection for communication with a service function cluster |
| US10225270B2 (en) | 2016-08-02 | 2019-03-05 | Cisco Technology, Inc. | Steering of cloned traffic in a service function chain |
| US10218593B2 (en) | 2016-08-23 | 2019-02-26 | Cisco Technology, Inc. | Identifying sources of packet drops in a service function chain environment |
| US10361969B2 (en) | 2016-08-30 | 2019-07-23 | Cisco Technology, Inc. | System and method for managing chained services in a network environment |
| CN106302507A (zh) * | 2016-08-31 | 2017-01-04 | 北京盛世光明软件股份有限公司 | 一种基于ssl网络数据解析技术的方法 |
| CN106453259A (zh) * | 2016-09-13 | 2017-02-22 | 广州善融信息科技有限公司 | 一种基于块链接加密技术的互联网金融安全链路实现方法 |
| US10587580B2 (en) | 2016-10-26 | 2020-03-10 | Ping Identity Corporation | Methods and systems for API deception environment and API traffic control and security |
| WO2018097947A2 (en) | 2016-11-03 | 2018-05-31 | Convida Wireless, Llc | Reference signals and control channels in nr |
| US10382562B2 (en) * | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| US11765406B2 (en) | 2017-02-17 | 2023-09-19 | Interdigital Madison Patent Holdings, Sas | Systems and methods for selective object-of-interest zooming in streaming video |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US10225187B2 (en) | 2017-03-22 | 2019-03-05 | Cisco Technology, Inc. | System and method for providing a bit indexed service chain |
| US10554684B2 (en) * | 2017-03-29 | 2020-02-04 | Juniper Networks, Inc. | Content-based optimization and pre-fetching mechanism for security analysis on a network device |
| US10511629B2 (en) | 2017-04-07 | 2019-12-17 | Fujitsu Limited | Encryption control in optical networks without data loss |
| US10511582B2 (en) * | 2017-04-07 | 2019-12-17 | Fujitsu Limited | Simplified encryption key generation in optical networks |
| US10469459B2 (en) | 2017-04-07 | 2019-11-05 | Fujitsu Limited | Use of optical transport network overhead data for encryption |
| US10884807B2 (en) | 2017-04-12 | 2021-01-05 | Cisco Technology, Inc. | Serverless computing and task scheduling |
| US10257033B2 (en) | 2017-04-12 | 2019-04-09 | Cisco Technology, Inc. | Virtualized network functions and service chaining in serverless computing infrastructure |
| US10333855B2 (en) | 2017-04-19 | 2019-06-25 | Cisco Technology, Inc. | Latency reduction in service function paths |
| US10554689B2 (en) | 2017-04-28 | 2020-02-04 | Cisco Technology, Inc. | Secure communication session resumption in a service function chain |
| US11418364B2 (en) * | 2017-06-07 | 2022-08-16 | Combined Conditional Access Development And Support, Llc | Determining a session key using session data |
| US10735275B2 (en) | 2017-06-16 | 2020-08-04 | Cisco Technology, Inc. | Releasing and retaining resources for use in a NFV environment |
| US10798187B2 (en) | 2017-06-19 | 2020-10-06 | Cisco Technology, Inc. | Secure service chaining |
| US10645183B2 (en) * | 2017-06-26 | 2020-05-05 | Microsoft Technology Licensing, Llc | Redirection of client requests to multiple endpoints |
| US10397271B2 (en) | 2017-07-11 | 2019-08-27 | Cisco Technology, Inc. | Distributed denial of service mitigation for web conferencing |
| US10673698B2 (en) | 2017-07-21 | 2020-06-02 | Cisco Technology, Inc. | Service function chain optimization using live testing |
| US11063856B2 (en) | 2017-08-24 | 2021-07-13 | Cisco Technology, Inc. | Virtual network function monitoring in a network function virtualization deployment |
| US10791065B2 (en) | 2017-09-19 | 2020-09-29 | Cisco Technology, Inc. | Systems and methods for providing container attributes as part of OAM techniques |
| US10666430B2 (en) * | 2017-09-29 | 2020-05-26 | Intel Corporation | System and techniques for encrypting chip-to-chip communication links |
| US10841096B2 (en) * | 2017-10-03 | 2020-11-17 | Salesforce.Com, Inc. | Encrypted self-identification using a proxy server |
| US10699010B2 (en) | 2017-10-13 | 2020-06-30 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
| US11018981B2 (en) | 2017-10-13 | 2021-05-25 | Cisco Technology, Inc. | System and method for replication container performance and policy validation using real time network traffic |
| US10681085B2 (en) | 2017-10-16 | 2020-06-09 | International Business Machines Corporation | Quick transport layer security/secure sockets layer connection for internet of things devices |
| US10541893B2 (en) | 2017-10-25 | 2020-01-21 | Cisco Technology, Inc. | System and method for obtaining micro-service telemetry data |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10652224B2 (en) | 2017-12-05 | 2020-05-12 | International Business Machines Corporation | Stateless session synchronization between secure communication interceptors |
| US10778642B2 (en) * | 2017-12-23 | 2020-09-15 | Mcafee, Llc | Decrypting transport layer security traffic without man-in-the-middle proxy |
| US11082212B2 (en) * | 2017-12-26 | 2021-08-03 | Industrial Technology Research Institute | System and method for communication service verification, and verification server thereof |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11240858B2 (en) * | 2018-04-27 | 2022-02-01 | Nokia Solutions And Networks Oy | Traffic steering for stateless packets over multipath networks |
| US11194930B2 (en) | 2018-04-27 | 2021-12-07 | Datatrendz, Llc | Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network |
| CA3095060A1 (en) * | 2018-05-04 | 2019-11-07 | Citrix Systems, Inc. | Systems and methods for an embedded browser |
| US10666612B2 (en) | 2018-06-06 | 2020-05-26 | Cisco Technology, Inc. | Service chains for inter-cloud traffic |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10887289B2 (en) | 2018-08-21 | 2021-01-05 | Fujitsu Limited | Encryption in optical transport networks using multiple randomly selected keys |
| JP2022503848A (ja) | 2018-09-27 | 2022-01-12 | コンヴィーダ ワイヤレス, エルエルシー | 新無線のアンライセンススペクトルにおけるサブバンドオペレーション |
| US11483295B2 (en) * | 2018-12-05 | 2022-10-25 | Citrix Systems, Inc. | Method for securely negotiating end-to-end cryptographic context using inline messages through multiple proxies in cloud and customer environment |
| US11411924B2 (en) * | 2018-12-20 | 2022-08-09 | Check Point Software Technologies Ltd. | Method for performing TLS/SSL inspection based on verified subject name |
| US11178218B2 (en) * | 2019-01-02 | 2021-11-16 | Citrix Systems, Inc. | Bidirectional communication clusters |
| EP3678348A1 (en) | 2019-01-04 | 2020-07-08 | Ping Identity Corporation | Methods and systems for data traffic based adpative security |
| CN112334902A (zh) * | 2019-01-04 | 2021-02-05 | 百度时代网络技术(北京)有限公司 | 建立主机系统与数据处理加速器之间的安全信息交换信道的方法 |
| US11831622B2 (en) * | 2019-01-22 | 2023-11-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for distributed networking |
| US11245685B2 (en) | 2019-01-23 | 2022-02-08 | Mcafee, Llc | Methods and apparatus to verify encrypted handshakes |
| JP7204534B2 (ja) * | 2019-03-04 | 2023-01-16 | 株式会社東芝 | 通信システム |
| JP7191727B2 (ja) * | 2019-03-04 | 2022-12-19 | 株式会社東芝 | 通信制御装置および通信システム |
| JP7191726B2 (ja) * | 2019-03-04 | 2022-12-19 | 株式会社東芝 | 通信制御装置および通信システム |
| JP7278806B2 (ja) * | 2019-03-04 | 2023-05-22 | 株式会社東芝 | 通信制御装置および通信システム |
| JP7278807B2 (ja) * | 2019-03-04 | 2023-05-22 | 株式会社東芝 | 通信制御装置および通信システム |
| US11019044B2 (en) | 2019-03-08 | 2021-05-25 | Gigamon Inc. | Correlating network flows through a proxy device |
| US11516286B2 (en) * | 2019-03-28 | 2022-11-29 | Comcast Cable Communications, Llc | Managing service capacity |
| US11070566B2 (en) * | 2019-03-29 | 2021-07-20 | Dell Products L.P. | System and method to secure renegotiation of connections between a baseboard management controller and a hosted agent |
| US10693872B1 (en) * | 2019-05-17 | 2020-06-23 | Q5ID, Inc. | Identity verification system |
| CN110166561B (zh) * | 2019-05-24 | 2022-04-15 | 北京旷视科技有限公司 | 可穿戴设备的数据处理方法、装置、系统、设备及介质 |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| EP3767909A1 (de) * | 2019-07-17 | 2021-01-20 | Siemens Mobility GmbH | Verfahren und kommunikationseinheit zur kryptographisch geschützten unidirektionalen datenübertragung von nutzdaten zwischen zwei netzwerken |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US20210075777A1 (en) | 2019-09-06 | 2021-03-11 | Winston Privacy | Method and system for asynchronous side channel cipher renegotiation |
| CN110572418B (zh) * | 2019-10-25 | 2022-08-19 | 国机智骏汽车有限公司 | 车辆身份认证的方法、装置、计算机设备及存储介质 |
| US11283630B2 (en) | 2019-11-05 | 2022-03-22 | International Business Machines Corporation | Server/server certificates exchange flow |
| CN111064791B (zh) * | 2019-12-19 | 2022-08-23 | 中国移动通信集团江苏有限公司 | Jms消息的标识符字段的处理方法、装置、设备和介质 |
| CN111355713B (zh) * | 2020-02-20 | 2022-09-30 | 深信服科技股份有限公司 | 一种代理访问方法、装置、代理网关及可读存储介质 |
| US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
| US11800539B2 (en) | 2020-05-18 | 2023-10-24 | Lynk Global, Inc. | Messaging from an orbital base station to cellular user equipment applications with message processing via a card operating system |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11310256B2 (en) * | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11658820B2 (en) * | 2020-10-05 | 2023-05-23 | Vmware, Inc. | Workflow for enabling data-in-transit in a distributed system |
| CN112511552B (zh) * | 2020-12-08 | 2022-12-09 | 山石网科通信技术股份有限公司 | Ssl代理过程中的信息提示方法和装置 |
| US11539755B1 (en) * | 2021-03-22 | 2022-12-27 | Trend Micro Incorporated | Decryption of encrypted network traffic using an inline network traffic monitor |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| DE102021206755A1 (de) | 2021-06-29 | 2022-12-29 | Siemens Mobility GmbH | Verwalten von Schlüsseln für eine sichere Kommunikation zwischen Kommunikationsteilnehmern über einen getrennten Kommunikationskanal |
| CN113810396A (zh) * | 2021-09-07 | 2021-12-17 | 北京明朝万达科技股份有限公司 | 一种数据管控方法、装置、电子设备及存储介质 |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11941266B2 (en) | 2021-10-20 | 2024-03-26 | Samsung Electronics Co., Ltd. | Resource isolation in computational storage devices |
| CN114124334B (zh) * | 2021-11-16 | 2024-04-23 | 紫光展锐(重庆)科技有限公司 | 一种空口数据包的处理方法、客户端、设备及介质 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN114553939B (zh) * | 2022-04-25 | 2022-07-19 | 北京广通优云科技股份有限公司 | 一种it智能运维系统中基于加密流量的资源稳定切换方法 |
| CN115514583B (zh) * | 2022-11-21 | 2023-03-24 | 北京长亭未来科技有限公司 | 一种流量采集及阻断方法、系统、设备及存储介质 |
Family Cites Families (216)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5412730A (en) | 1989-10-06 | 1995-05-02 | Telequip Corporation | Encrypted data transmission system employing means for randomly altering the encryption keys |
| US5319638A (en) | 1991-09-12 | 1994-06-07 | Bell Communications Research, Inc. | Link-by-link congestion control for packet transmission systems |
| JP2966198B2 (ja) * | 1992-06-04 | 1999-10-25 | 信越化学工業株式会社 | 重合体スケール付着防止剤、重合体スケールの付着を防止する重合器及びそれを使用する重合体製造方法 |
| US5267314A (en) | 1992-11-17 | 1993-11-30 | Leon Stambler | Secure transaction system and method utilized therein |
| US5657390A (en) | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
| US6703757B2 (en) | 1995-09-13 | 2004-03-09 | Delta Electronics Inc. | Motor structure having low profile |
| US6724893B1 (en) | 1996-10-11 | 2004-04-20 | The United States Of America As Represented By The National Security Agency | Method of passing a cryptographic key that allows third party access to the key |
| US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
| US6104716A (en) | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6212636B1 (en) | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6061454A (en) | 1997-06-27 | 2000-05-09 | International Business Machines Corp. | System, method, and computer program for communicating a key recovery block to enable third party monitoring without modification to the intended receiver |
| US7117358B2 (en) | 1997-07-24 | 2006-10-03 | Tumbleweed Communications Corp. | Method and system for filtering communication |
| US6094485A (en) | 1997-09-18 | 2000-07-25 | Netscape Communications Corporation | SSL step-up |
| US5974143A (en) | 1997-09-30 | 1999-10-26 | Intel Corporation | Virus-resistent mechanism for transaction verification to confirming user |
| US6052785A (en) | 1997-11-21 | 2000-04-18 | International Business Machines Corporation | Multiple remote data access security mechanism for multitiered internet computer networks |
| US6134584A (en) | 1997-11-21 | 2000-10-17 | International Business Machines Corporation | Method for accessing and retrieving information from a source maintained by a network server |
| US6084969A (en) | 1997-12-31 | 2000-07-04 | V-One Corporation | Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network |
| US6681327B1 (en) | 1998-04-02 | 2004-01-20 | Intel Corporation | Method and system for managing secure client-server transactions |
| US6175869B1 (en) | 1998-04-08 | 2001-01-16 | Lucent Technologies Inc. | Client-side techniques for web server allocation |
| US6105067A (en) | 1998-06-05 | 2000-08-15 | International Business Machines Corp. | Connection pool management for backend servers using common interface |
| US6223287B1 (en) | 1998-07-24 | 2001-04-24 | International Business Machines Corporation | Method for establishing a secured communication channel over the internet |
| US6546423B1 (en) | 1998-10-22 | 2003-04-08 | At&T Corp. | System and method for network load balancing |
| US6799270B1 (en) | 1998-10-30 | 2004-09-28 | Citrix Systems, Inc. | System and method for secure distribution of digital information to a chain of computer system nodes in a network |
| US6367009B1 (en) | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US7430757B1 (en) | 1999-01-08 | 2008-09-30 | International Business Machines Corporation | Oblivious proxying using a secure coprocessor |
| US7904951B1 (en) | 1999-03-16 | 2011-03-08 | Novell, Inc. | Techniques for securely accelerating external domains locally |
| US7249377B1 (en) | 1999-03-31 | 2007-07-24 | International Business Machines Corporation | Method for client delegation of security to a proxy |
| US6526131B1 (en) | 1999-04-30 | 2003-02-25 | Hewlett-Packard Company | Initiation of communication between network service system and customer-premises equipment |
| US6718388B1 (en) | 1999-05-18 | 2004-04-06 | Jp Morgan Chase Bank | Secured session sequencing proxy system and method therefor |
| TW425821B (en) | 1999-05-31 | 2001-03-11 | Ind Tech Res Inst | Key management method |
| US7146505B1 (en) | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
| US7142676B1 (en) * | 1999-06-08 | 2006-11-28 | Entrust Limited | Method and apparatus for secure communications using third-party key provider |
| US6584567B1 (en) | 1999-06-30 | 2003-06-24 | International Business Machines Corporation | Dynamic connection to multiple origin servers in a transcoding proxy |
| US6374300B2 (en) | 1999-07-15 | 2002-04-16 | F5 Networks, Inc. | Method and system for storing load balancing information with an HTTP cookie |
| US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
| US6751677B1 (en) | 1999-08-24 | 2004-06-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for allowing a secure and transparent communication between a user device and servers of a data access network system via a firewall and a gateway |
| US6772333B1 (en) | 1999-09-01 | 2004-08-03 | Dickens Coal Llc | Atomic session-start operation combining clear-text and encrypted sessions to provide id visibility to middleware such as load-balancers |
| US6732269B1 (en) | 1999-10-01 | 2004-05-04 | International Business Machines Corporation | Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy |
| US6728884B1 (en) | 1999-10-01 | 2004-04-27 | Entrust, Inc. | Integrating heterogeneous authentication and authorization mechanisms into an application access control system |
| US6643701B1 (en) | 1999-11-17 | 2003-11-04 | Sun Microsystems, Inc. | Method and apparatus for providing secure communication with a relay in a network |
| US6704798B1 (en) | 2000-02-08 | 2004-03-09 | Hewlett-Packard Development Company, L.P. | Explicit server control of transcoding representation conversion at a proxy or client location |
| US8291007B2 (en) | 2000-02-22 | 2012-10-16 | Flash Networks Ltd | System and method to accelerate client/server interactions using predictive requests |
| US6918041B1 (en) | 2000-02-23 | 2005-07-12 | Microsoft Corporation | System and method of network communication with client-forced authentication |
| US7343413B2 (en) | 2000-03-21 | 2008-03-11 | F5 Networks, Inc. | Method and system for optimizing a network by independently scaling control segments and data flow |
| US6674717B1 (en) | 2000-03-30 | 2004-01-06 | Network Physics, Inc. | Method for reducing packet loss and increasing internet flow by feedback control |
| US6742044B1 (en) | 2000-05-10 | 2004-05-25 | Cisco Technology, Inc. | Distributed network traffic load balancing technique implemented without gateway router |
| JP3730480B2 (ja) | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
| US20020035681A1 (en) | 2000-07-31 | 2002-03-21 | Guillermo Maturana | Strategy for handling long SSL messages |
| DE10037500A1 (de) | 2000-08-01 | 2002-02-28 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine kryptographisch gesicherte Punkt-zu-Multipunktverbindung |
| US7228350B2 (en) | 2000-08-04 | 2007-06-05 | Avaya Technology Corp. | Intelligent demand driven recognition of URL objects in connection oriented transactions |
| US7137143B2 (en) | 2000-08-07 | 2006-11-14 | Ingrian Systems Inc. | Method and system for caching secure web content |
| US20040015725A1 (en) | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| US7266613B1 (en) | 2000-08-09 | 2007-09-04 | Microsoft Corporation | Fast dynamic measurement of bandwidth in a TCP network environment |
| US7370015B2 (en) | 2000-10-12 | 2008-05-06 | Sap Portals Israel Ltd. | User impersonation by a proxy server |
| US20020069241A1 (en) | 2000-12-06 | 2002-06-06 | Girija Narlikar | Method and apparatus for client-side proxy selection |
| US7254237B1 (en) | 2001-01-12 | 2007-08-07 | Slt Logic, Llc | System and method for establishing a secure connection |
| US7360075B2 (en) | 2001-02-12 | 2008-04-15 | Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
| US7383329B2 (en) | 2001-02-13 | 2008-06-03 | Aventail, Llc | Distributed cache for state transfer operations |
| US20020116732A1 (en) * | 2001-02-13 | 2002-08-22 | Leandro Christmann | Microinjection assembly and methods for microinjecting and reimplanting avian eggs |
| US7370351B1 (en) | 2001-03-22 | 2008-05-06 | Novell, Inc. | Cross domain authentication and security services using proxies for HTTP access |
| US7322040B1 (en) | 2001-03-27 | 2008-01-22 | Microsoft Corporation | Authentication architecture |
| GB2374497B (en) | 2001-04-03 | 2003-03-12 | Ericsson Telefon Ab L M | Facilitating legal interception of IP connections |
| US7017049B2 (en) | 2001-04-12 | 2006-03-21 | International Business Machines Corporation | Method and system providing secure socket layer session sharing between network based servers and a client |
| US7200679B2 (en) | 2001-04-13 | 2007-04-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating distributed proxy configurations |
| US6839761B2 (en) | 2001-04-19 | 2005-01-04 | Microsoft Corporation | Methods and systems for authentication through multiple proxy servers that require different authentication data |
| US6996841B2 (en) | 2001-04-19 | 2006-02-07 | Microsoft Corporation | Negotiating secure connections through a proxy server |
| US6914886B2 (en) | 2001-05-03 | 2005-07-05 | Radware Ltd. | Controlling traffic on links between autonomous systems |
| US7516485B1 (en) | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
| US20020199098A1 (en) | 2001-06-08 | 2002-12-26 | Davis John M. | Non-invasive SSL payload processing for IP packet using streaming SSL parsing |
| US20050198379A1 (en) | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| US7243370B2 (en) | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| US7853781B2 (en) | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
| US7149892B2 (en) | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
| US7073066B1 (en) | 2001-08-28 | 2006-07-04 | 3Com Corporation | Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution |
| JP2003110576A (ja) | 2001-09-26 | 2003-04-11 | Toshiba Corp | 無線ネットワークシステム、無線ネットワークの管理方法、及び、コンピュータで実行可能な無線ネットワークの管理プログラム |
| US7010608B2 (en) | 2001-09-28 | 2006-03-07 | Intel Corporation | System and method for remotely accessing a home server while preserving end-to-end security |
| US7584505B2 (en) | 2001-10-16 | 2009-09-01 | Microsoft Corporation | Inspected secure communication protocol |
| US8020201B2 (en) | 2001-10-23 | 2011-09-13 | Intel Corporation | Selecting a security format conversion for wired and wireless devices |
| US8601566B2 (en) | 2001-10-23 | 2013-12-03 | Intel Corporation | Mechanism supporting wired and wireless methods for client and server side authentication |
| JP3935879B2 (ja) | 2001-11-06 | 2007-06-27 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ供給のためのシステム |
| US7574496B2 (en) | 2001-11-30 | 2009-08-11 | Surgient, Inc. | Virtual server cloud interfacing |
| US7043632B2 (en) | 2001-12-12 | 2006-05-09 | Nortel Networks Limited | End-to-end security in data networks |
| US7093121B2 (en) | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| NO318842B1 (no) | 2002-03-18 | 2005-05-09 | Telenor Asa | Autentisering og tilgangskontroll |
| WO2003079627A2 (en) | 2002-03-20 | 2003-09-25 | Research In Motion Limited | System and method for supporting multiple certificate status providers on a mobile communication device |
| AU2003237094A1 (en) | 2002-04-12 | 2003-10-27 | Karbon Systems, Llc | System and method for secure wireless communications using pki |
| US7082535B1 (en) | 2002-04-17 | 2006-07-25 | Cisco Technology, Inc. | System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol |
| US7240366B2 (en) | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
| US7007163B2 (en) | 2002-05-31 | 2006-02-28 | Broadcom Corporation | Methods and apparatus for accelerating secure session processing |
| US7219120B2 (en) | 2002-07-09 | 2007-05-15 | Savvis Communications Corporation | Systems, methods and protocols for securing data in transit over networks |
| US7516491B1 (en) | 2002-10-17 | 2009-04-07 | Roger Schlafly | License tracking system |
| US7430755B1 (en) | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
| US7343398B1 (en) | 2002-09-04 | 2008-03-11 | Packeteer, Inc. | Methods, apparatuses and systems for transparently intermediating network traffic over connection-based authentication protocols |
| WO2004036360A2 (en) | 2002-10-15 | 2004-04-29 | Ingrian Networks, Inc. | Client-side ssl connection completion through secure proxy server |
| US7318100B2 (en) | 2003-04-14 | 2008-01-08 | Riverbed Technology, Inc. | Cooperative proxy auto-discovery and connection interception |
| US8176186B2 (en) | 2002-10-30 | 2012-05-08 | Riverbed Technology, Inc. | Transaction accelerator for client-server communications systems |
| US8364815B2 (en) | 2005-03-18 | 2013-01-29 | Riverbed Technology, Inc. | Reliability and availability of distributed servers |
| US8233392B2 (en) | 2003-07-29 | 2012-07-31 | Citrix Systems, Inc. | Transaction boundary detection for reduction in timeout penalties |
| US7650416B2 (en) * | 2003-08-12 | 2010-01-19 | Riverbed Technology | Content delivery for client-server protocols with user affinities using connection end-point proxies |
| US7120666B2 (en) | 2002-10-30 | 2006-10-10 | Riverbed Technology, Inc. | Transaction accelerator for client-server communication systems |
| US7630305B2 (en) | 2003-07-29 | 2009-12-08 | Orbital Data Corporation | TCP selective acknowledgements for communicating delivered and missed data packets |
| US8069225B2 (en) | 2003-04-14 | 2011-11-29 | Riverbed Technology, Inc. | Transparent client-server transaction accelerator |
| US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7454785B2 (en) | 2002-12-19 | 2008-11-18 | Avocent Huntsville Corporation | Proxy method and system for secure wireless administration of managed entities |
| US7506368B1 (en) | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| US7430557B1 (en) | 2003-03-19 | 2008-09-30 | Unisys Corporation | System and method for improving database reorganization time |
| US7644275B2 (en) | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
| US7206846B1 (en) | 2003-04-29 | 2007-04-17 | Cisco Technology, Inc. | Method and apparatus for adaptively coupling processing components in a distributed system |
| US7472285B2 (en) * | 2003-06-25 | 2008-12-30 | Intel Corporation | Apparatus and method for memory encryption with reduced decryption latency |
| WO2005001660A2 (en) | 2003-06-25 | 2005-01-06 | Anonymizer, Inc. | Secure network privacy system using proxy server |
| EP1492234A3 (en) | 2003-06-26 | 2006-03-15 | STMicroelectronics Pvt. Ltd | Power on reset circuit |
| US7496755B2 (en) | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
| CN100456739C (zh) | 2003-07-04 | 2009-01-28 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| KR100523357B1 (ko) | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 |
| US7698453B2 (en) | 2003-07-29 | 2010-04-13 | Oribital Data Corporation | Early generation of acknowledgements for flow control |
| US7472413B1 (en) * | 2003-08-11 | 2008-12-30 | F5 Networks, Inc. | Security for WAP servers |
| US7853699B2 (en) | 2005-03-15 | 2010-12-14 | Riverbed Technology, Inc. | Rules-based transaction prefetching using connection end-point proxies |
| US7769994B2 (en) | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| US20060015716A1 (en) | 2003-08-15 | 2006-01-19 | Imcentric, Inc. | Program product for maintaining certificate on client network devices1 |
| US8321512B2 (en) | 2003-08-22 | 2012-11-27 | Geobytes, Inc. | Method and software product for identifying unsolicited emails |
| US7117333B2 (en) * | 2003-08-25 | 2006-10-03 | International Business Machines Corporation | Apparatus, system, and method to estimate memory for recovering data |
| US20050050316A1 (en) | 2003-08-25 | 2005-03-03 | Amir Peles | Passive SSL decryption |
| US20050080428A1 (en) * | 2003-09-03 | 2005-04-14 | White Ralph Richard | Extracapsular surgical procedure for repair of anterior cruciate ligament rupture and surgical referencing instrument therefor |
| US20050086342A1 (en) | 2003-09-19 | 2005-04-21 | Andrew Burt | Techniques for client-transparent TCP migration |
| US7328686B2 (en) * | 2003-09-23 | 2008-02-12 | Ford Global Technologies Llc | System and method to control cylinder activation and deactivation |
| US7590840B2 (en) | 2003-09-26 | 2009-09-15 | Randy Langer | Method and system for authorizing client devices to receive secured data streams |
| US20050203849A1 (en) * | 2003-10-09 | 2005-09-15 | Bruce Benson | Multimedia distribution system and method |
| US7584500B2 (en) | 2003-11-19 | 2009-09-01 | Hughes Network Systems, Llc | Pre-fetching secure content using proxy architecture |
| US7890751B1 (en) | 2003-12-03 | 2011-02-15 | Comtech Ef Data Corp | Method and system for increasing data access in a secure socket layer network environment |
| WO2005060202A1 (en) | 2003-12-10 | 2005-06-30 | International Business Machines Corporation | Method and system for analysing and filtering https traffic in corporate networks |
| US7665126B2 (en) | 2003-12-17 | 2010-02-16 | Microsoft Corporation | Mesh networks with exclusion capability |
| US7523314B2 (en) | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
| US20050160161A1 (en) | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| US8966088B2 (en) | 2004-01-09 | 2015-02-24 | Paypal Israel Ltd. | Detecting relayed communications |
| US20050187979A1 (en) | 2004-02-09 | 2005-08-25 | Microsoft Corporation | System and method for message-level connection management |
| US7293034B2 (en) | 2004-02-23 | 2007-11-06 | Microsoft Coporation | Dynamically customizing a user interface for the aggregation of content |
| US8116776B1 (en) * | 2004-03-23 | 2012-02-14 | Cisco Technology, Inc. | Mobile communication handoff between heterogeneous networks |
| US7380129B2 (en) | 2004-04-22 | 2008-05-27 | International Business Machines Corporation | Method and apparatus for detecting grid intrusions |
| US20060036755A1 (en) | 2004-05-07 | 2006-02-16 | Abdullah Ibrahim S | Meta-protocol |
| US20050265235A1 (en) | 2004-05-27 | 2005-12-01 | International Business Machines Corporation | Method, computer program product, and data processing system for improving transaction-oriented client-server application performance |
| US7506369B2 (en) | 2004-05-27 | 2009-03-17 | Microsoft Corporation | Secure federation of data communications networks |
| JP4339184B2 (ja) * | 2004-06-07 | 2009-10-07 | パナソニック株式会社 | サーバ装置、通信機器、通信システム、通信方法、プログラム及び記録媒体 |
| US8136149B2 (en) | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
| US20050273650A1 (en) | 2004-06-07 | 2005-12-08 | Tsou Henry H | Systems and methods for backing up computer data to disk medium |
| US7543146B1 (en) | 2004-06-18 | 2009-06-02 | Blue Coat Systems, Inc. | Using digital certificates to request client consent prior to decrypting SSL communications |
| US7506164B2 (en) | 2004-08-09 | 2009-03-17 | Research In Motion Limited | Automated key management system and method |
| KR100588211B1 (ko) * | 2004-09-07 | 2006-06-08 | 엘지이노텍 주식회사 | 광디스크 턴테이블 구조 |
| US20060075114A1 (en) | 2004-09-30 | 2006-04-06 | Citrix Systems, Inc. | In-line modification of protocol handshake by protocol aware proxy |
| KR20060062356A (ko) | 2004-12-03 | 2006-06-12 | 엘지노텔 주식회사 | 지지에스엔의 에스에스엘 프록시 처리 장치 및 그 방법 |
| US7742406B1 (en) * | 2004-12-20 | 2010-06-22 | Packeteer, Inc. | Coordinated environment for classification and control of network traffic |
| US7627896B2 (en) | 2004-12-24 | 2009-12-01 | Check Point Software Technologies, Inc. | Security system providing methodology for cooperative enforcement of security policies during SSL sessions |
| US8943310B2 (en) | 2005-01-25 | 2015-01-27 | Cisco Technology, Inc. | System and method for obtaining a digital certificate for an endpoint |
| US7661131B1 (en) | 2005-02-03 | 2010-02-09 | Sun Microsystems, Inc. | Authentication of tunneled connections |
| US7958347B1 (en) | 2005-02-04 | 2011-06-07 | F5 Networks, Inc. | Methods and apparatus for implementing authentication |
| US9118717B2 (en) | 2005-02-18 | 2015-08-25 | Cisco Technology, Inc. | Delayed network protocol proxy for packet inspection in a network |
| US20070180227A1 (en) * | 2005-03-01 | 2007-08-02 | Matsushita Electric Works, Ltd. | Decryption apparatus for use in encrypted communications |
| US8533473B2 (en) | 2005-03-04 | 2013-09-10 | Oracle America, Inc. | Method and apparatus for reducing bandwidth usage in secure transactions |
| US20060248194A1 (en) | 2005-03-18 | 2006-11-02 | Riverbed Technology, Inc. | Connection forwarding |
| US7975140B2 (en) | 2005-04-08 | 2011-07-05 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
| US7725722B2 (en) | 2005-04-15 | 2010-05-25 | Samsung Electronics Co., Ltd. | Apparatus and method for triggering session re-negotiation between access network and access terminal in a high rate packet data system |
| US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
| FI20050491A0 (fi) | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| US8266452B2 (en) | 2005-06-01 | 2012-09-11 | Cisco Technology, Inc. | System and method for communicating confidential messages |
| US8478986B2 (en) | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
| US8613071B2 (en) | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US20090083537A1 (en) | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
| US8438628B2 (en) | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
| US20090119504A1 (en) | 2005-08-10 | 2009-05-07 | Riverbed Technology, Inc. | Intercepting and split-terminating authenticated communication connections |
| US20070074282A1 (en) | 2005-08-19 | 2007-03-29 | Black Jeffrey T | Distributed SSL processing |
| US20070078986A1 (en) | 2005-09-13 | 2007-04-05 | Cisco Technology, Inc. | Techniques for reducing session set-up for real-time communications over a network |
| CN101283539B (zh) | 2005-10-05 | 2012-10-24 | 拜尔斯安全公司 | 网络安全设备 |
| US7725927B2 (en) | 2005-10-28 | 2010-05-25 | Yahoo! Inc. | Low code-footprint security solution |
| JP4670598B2 (ja) | 2005-11-04 | 2011-04-13 | 日本電気株式会社 | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
| US7650389B2 (en) * | 2006-02-01 | 2010-01-19 | Subhashis Mohanty | Wireless system and method for managing logical documents |
| US7904949B2 (en) | 2005-12-19 | 2011-03-08 | Quest Software, Inc. | Apparatus, systems and methods to provide authentication services to a legacy application |
| US8316429B2 (en) | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| US20070192845A1 (en) | 2006-02-07 | 2007-08-16 | Xoom Corporation | System and method for passively detecting a proxy |
| US20070266233A1 (en) | 2006-05-12 | 2007-11-15 | Mahesh Jethanandani | Method and apparatus to minimize latency by avoiding small tcp segments in a ssl offload environment |
| GB0612775D0 (en) | 2006-06-28 | 2006-08-09 | Ibm | An apparatus for securing a communications exchange between computers |
| US8352728B2 (en) | 2006-08-21 | 2013-01-08 | Citrix Systems, Inc. | Systems and methods for bulk encryption and decryption of transmitted data |
| US8095787B2 (en) * | 2006-08-21 | 2012-01-10 | Citrix Systems, Inc. | Systems and methods for optimizing SSL handshake processing |
| US8181227B2 (en) | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
| US20080101445A1 (en) | 2006-08-31 | 2008-05-01 | Stoke,Inc. | DSL wake-up |
| US20080077982A1 (en) | 2006-09-22 | 2008-03-27 | Bea Systems, Inc. | Credential vault encryption |
| JP2008109404A (ja) * | 2006-10-25 | 2008-05-08 | Ricoh Co Ltd | 情報処理装置、通信方法およびプログラム |
| GB0623101D0 (en) | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
| US8214635B2 (en) | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| KR20080048764A (ko) | 2006-11-29 | 2008-06-03 | 삼성전자주식회사 | 권리객체에 대리 서명하는 방법 및 장치와 대리인증서 발급방법 및 장치 |
| US7493383B1 (en) | 2006-12-29 | 2009-02-17 | F5 Networks, Inc. | TCP-over-TCP using multiple TCP streams |
| US7827405B2 (en) | 2007-01-19 | 2010-11-02 | Microsoft Corporation | Mechanism for utilizing kerberos features by an NTLM compliant entity |
| US7647404B2 (en) | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
| US7979555B2 (en) | 2007-02-27 | 2011-07-12 | ExtraHop Networks,Inc. | Capture and resumption of network application sessions |
| US8190875B2 (en) | 2007-03-22 | 2012-05-29 | Cisco Technology, Inc. | Reducing processing load in proxies for secure communications |
| US20100031337A1 (en) | 2007-04-09 | 2010-02-04 | Certeon, Inc. | Methods and systems for distributed security processing |
| US8549157B2 (en) | 2007-04-23 | 2013-10-01 | Mcafee, Inc. | Transparent secure socket layer |
| US8225085B2 (en) | 2007-06-05 | 2012-07-17 | Blue Coat Systems, Inc. | System and method for distributed SSL processing between co-operating nodes |
| US20090073943A1 (en) | 2007-08-17 | 2009-03-19 | Qualcomm Incorporated | Heterogeneous wireless ad hoc network |
| WO2009036391A2 (en) | 2007-09-12 | 2009-03-19 | Proximetry, Inc. | Systems and methods for delivery of wireless data and multimedia content to aircraft |
| CN104113433B (zh) | 2007-09-26 | 2018-04-10 | Nicira股份有限公司 | 管理和保护网络的网络操作系统 |
| US8650389B1 (en) | 2007-09-28 | 2014-02-11 | F5 Networks, Inc. | Secure sockets layer protocol handshake mirroring |
| US8650615B2 (en) | 2007-09-28 | 2014-02-11 | Emc Corporation | Cross domain delegation by a storage virtualization system |
| US9094206B2 (en) | 2007-10-26 | 2015-07-28 | Telcordia Technologies, Inc. | Method and system for secure session establishment using identity-based encryption (VDTLS) |
| US20090113537A1 (en) | 2007-10-30 | 2009-04-30 | James Woo | Proxy authentication server |
| US8190876B2 (en) | 2007-11-19 | 2012-05-29 | Red Hat, Inc. | Renegotiating SSL/TLS connections with client certificates on post requests |
| WO2009081502A1 (ja) * | 2007-12-26 | 2009-07-02 | Fujitsu Limited | 通信端末 |
| US8788805B2 (en) | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
| EP2308212A4 (en) | 2008-07-14 | 2016-06-22 | Riverbed Technology Inc | METHODS AND SYSTEMS FOR SECURE COMMUNICATIONS USING LOCAL CERTIFICATION AUTHORITY |
| US8850553B2 (en) | 2008-09-12 | 2014-09-30 | Microsoft Corporation | Service binding |
| US20100071046A1 (en) | 2008-09-17 | 2010-03-18 | Yahoo! Inc. | Method and System for Enabling Access to a Web Service Provider Through Login Based Badges Embedded in a Third Party Site |
| WO2010054258A1 (en) | 2008-11-06 | 2010-05-14 | Trust Digital | System and method for mediating connections between policy source servers, corporate repositories, and mobile devices |
| US7984160B2 (en) | 2009-03-05 | 2011-07-19 | Riverbed Technology, Inc. | Establishing a split-terminated communication connection through a stateful firewall, with network transparency |
| US8782755B2 (en) * | 2009-03-20 | 2014-07-15 | Citrix Systems, Inc. | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
| US20100242097A1 (en) | 2009-03-20 | 2010-09-23 | Wavemarket, Inc. | System and method for managing application program access to a protected resource residing on a mobile device |
| US9654505B2 (en) | 2009-06-22 | 2017-05-16 | Citrix Systems, Inc. | Systems and methods for encoding the core identifier in the session identifier |
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US9338147B1 (en) | 2015-04-24 | 2016-05-10 | Extrahop Networks, Inc. | Secure communication secret sharing |
-
2010
- 2010-07-29 US US12/846,778 patent/US8700892B2/en active Active
- 2010-07-30 US US12/848,096 patent/US9210131B2/en not_active Expired - Fee Related
- 2010-12-13 US US12/967,006 patent/US9509663B2/en active Active
-
2011
- 2011-03-18 JP JP2013501341A patent/JP5744172B2/ja not_active Expired - Fee Related
- 2011-03-18 US US13/051,963 patent/US9166955B2/en not_active Expired - Fee Related
- 2011-03-18 WO PCT/US2011/029079 patent/WO2011116342A2/en active Application Filing
- 2011-03-18 EP EP11757098.6A patent/EP2548332A4/en not_active Withdrawn
- 2011-03-18 US US13/052,005 patent/US9100370B2/en not_active Expired - Fee Related
- 2011-03-18 US US13/051,994 patent/US9172682B2/en active Active
- 2011-03-21 CN CN201110070354.XA patent/CN102195878B/zh not_active Expired - Fee Related
- 2011-03-21 CN CN2011200775469U patent/CN202206418U/zh not_active Expired - Fee Related
-
2012
- 2012-03-06 HK HK12102232.0A patent/HK1161787A1/zh not_active IP Right Cessation
-
2013
- 2013-02-27 US US13/779,530 patent/US9178706B1/en active Active
-
2015
- 2015-09-11 US US14/851,783 patent/US9667601B2/en active Active
- 2015-09-16 US US14/856,127 patent/US9705852B2/en not_active Expired - Fee Related
-
2016
- 2016-11-18 US US15/356,471 patent/US20170142100A1/en not_active Abandoned
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105103522A (zh) * | 2013-03-07 | 2015-11-25 | 谷歌公司 | 穿过客户端侧nat防火墙的基于udp的传输协议的低时延服务器侧重定向 |
| US10129216B2 (en) | 2013-03-07 | 2018-11-13 | Google Llc | Low latency server-side redirection of UDP-based transport protocols traversing a client-side NAT firewall |
| CN105103522B (zh) * | 2013-03-07 | 2019-09-06 | 谷歌有限责任公司 | 穿过客户端侧nat防火墙的基于udp的传输协议的低时延服务器侧重定向 |
| CN108293058A (zh) * | 2015-12-03 | 2018-07-17 | 微软技术许可有限责任公司 | 使用安全信令建立通信事件 |
| CN108293058B (zh) * | 2015-12-03 | 2021-03-12 | 微软技术许可有限责任公司 | 使用安全信令建立通信事件 |
| CN111052674A (zh) * | 2017-09-08 | 2020-04-21 | 株式会社东芝 | 通信控制系统以及通信控制装置 |
| CN115296847A (zh) * | 2022-07-06 | 2022-11-04 | 杭州涂鸦信息技术有限公司 | 流量控制方法、装置、计算机设备和存储介质 |
| CN115296847B (zh) * | 2022-07-06 | 2024-02-13 | 杭州涂鸦信息技术有限公司 | 流量控制方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| HK1161787A1 (zh) | 2012-08-03 |
| US9210131B2 (en) | 2015-12-08 |
| US9667601B2 (en) | 2017-05-30 |
| EP2548332A2 (en) | 2013-01-23 |
| CN102195878B (zh) | 2015-07-22 |
| US20170142100A1 (en) | 2017-05-18 |
| US20110231653A1 (en) | 2011-09-22 |
| US20110231655A1 (en) | 2011-09-22 |
| US9705852B2 (en) | 2017-07-11 |
| CN102195878A (zh) | 2011-09-21 |
| US20110231649A1 (en) | 2011-09-22 |
| US9172682B2 (en) | 2015-10-27 |
| US8700892B2 (en) | 2014-04-15 |
| JP2013523050A (ja) | 2013-06-13 |
| JP5744172B2 (ja) | 2015-07-01 |
| US20160080328A1 (en) | 2016-03-17 |
| US20110231652A1 (en) | 2011-09-22 |
| WO2011116342A2 (en) | 2011-09-22 |
| US9166955B2 (en) | 2015-10-20 |
| US9509663B2 (en) | 2016-11-29 |
| US20160072811A1 (en) | 2016-03-10 |
| US20110231923A1 (en) | 2011-09-22 |
| US20110231651A1 (en) | 2011-09-22 |
| WO2011116342A3 (en) | 2011-12-22 |
| US9178706B1 (en) | 2015-11-03 |
| US9100370B2 (en) | 2015-08-04 |
| EP2548332A4 (en) | 2015-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| US9742806B1 (en) | Accessing SSL connection data by a third-party | |
| US8443435B1 (en) | VPN resource connectivity in large-scale enterprise networks | |
| US7984157B2 (en) | Persistent and reliable session securely traversing network components using an encapsulating protocol | |
| US8522337B2 (en) | Selecting a security format conversion for wired and wireless devices | |
| US20050210243A1 (en) | System and method for improving client response times using an integrated security and packet optimization framework | |
| CN102316093A (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| US20080271137A1 (en) | Instant communication with tls vpn tunnel management | |
| CN102316092A (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| CN102316094A (zh) | 用于移动设备的具有集成加速的多服务vpn网络客户端 | |
| CN102316153A (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| CN101379755A (zh) | 数字对象标题鉴权 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| Fei et al. | The research and implementation of the VPN gateway based on SSL | |
| CN101326755A (zh) | 数字对象标题以及传输信息 | |
| Deshmukh et al. | Design of IPSec virtual private network for remote access | |
| Zhang et al. | Research on the protocols of VPN | |
| Cisco | Introduction to Cisco IPsec Technology | |
| KR101594897B1 (ko) | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 | |
| JP2001320359A (ja) | 暗号通信システム | |
| Rao et al. | Virtual Private Networks | |
| Huang et al. | SSL Remote Access VPNs (Network Security) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120425 Termination date: 20180321 |