至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的...的制作方法

专利名称：至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的 ...的制作方法
技术领域：
本公开涉及至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查。
背景技术：
在一种传统配置中，企业网可包括与第二网络节点耦合的第一网络节点。第二网络节点可使企业网耦合至包括第三网络节点的外部网。第二网络接ロ可为企业网提供安全特征，所述安全特征涉及从企业网传至外部网(反之亦然)的分组的检查和/或分析。在这种传统网络配置中，第一网络节点和第三网络节点可彼此交換经加密的通信。这些通信可基于由第一网络节点和第三网络节点交換的、但不对第二网络节点公开的 密钥来执行。这可防止第二网络节点有能カ对第一网络节点和第三网络节点之间经加密的通信内容进行有意义的检查和/或分析。不利的是，这可能危及企业网的安全性，或不利地影响企业网(例如通过将诸如病毒等引入到企业网)。此外，相对大数量的安全连接可能越过第二网络节点。在这种传统配置中，为了执行这种有意义的检查和/或其它分析，第二网络节点将这些连接中的每ー个与其相应的密钥和/或其它信息相关联。这可能在这种传统配置中引发显著的连接可扩展性问题，这种问题会显著降低这种传统配置中可处理的连接数量和这种传统配置中这种处理可执行的速度两者。另外，在这种传统配置中，这些安全连接的数量和特征随时间流逝可能不是静态的，事实上，其数量和特征在相对短的时间间隔内可能剧烈地变化。给定这些动态变化的连接，为了能执行这种有意义的检查和/或其它分析，可能要对第二网络节点施加显著数量的连接同步处理开销。另外，在这种传统配置中，第一节点和第三节点之间的每个相应安全连接可能涉及第ニ节点和第三节点之间的相应安全连接。对于第二网络节点和第三网络节点之间的每个相应安全连接，第二网络节点可与第三网络节点协商相应的密钥，该密钥可用来建立相应的安全连接。假设在这种传统配置中可能存在相对大量的连接，可能会发生不合需的大量密钥协商以及关联的握手，并且在第二节点和第三节点之间可能对不合需的大量密钥作出协商。另外，这种传统配置中也可能牵涉到对不合需的大量密钥的存储和处理。


各实施例的特征和优势将随着下面详细说明的深入和对附图的參照而变得清楚，其中相同的附图标记表示相同的部件，在附图中图I示出一系统实施例。图2示出一实施例中的特征。图3示出一实施例中的特征。图4示出一实施例中的特征。
图5示出一实施例中的操作。尽管下面的详细说明将參照示例性实施例而予以展开，然而其许多替代、修正和变化对本领域内技术人员而言将是清楚的。因此，所要求的主题事项应当广泛地予以审视。
具体实施例方式图I示出一系统实施例100。系统100可包括企业域51，该企业域51可通信地耦合至另ー域70。域70可至少部分地位于企业 域51之外，并可至少部分地包括和/或利用互联网域。企业网51可包括一个或多个客户机网络节点10，所述ー个或多个客户机网络节点10可通信地耦合至一个或多个网关和/或网络设施节点120。一个或多个节点120可通信地耦合至域70和/或耦合至包含在域70中的一个或多个服务器节点30。在该实施例中，“节点”可意指可通信地耦合在网络中或耦合至网络的实体，例如终端站、设施、海量存储器、中间站、网络接ロ、客户机、服务器、智能电话、其它通信设备和/或其一部分。在该实施例中，“客户机”和/或“客户机节点”可互換地使用以意指可能包括(但不是必须包括)終端站的节点。在该实施例中，终端站可包括智能电话或其它通信设备。同样在该实施例中，“中间节点”、“网夫”、“网关节点”、“网络设施”和/或“网络设施节点”可互換地使用以意指可通信地耦合至多个其它节点并可(但不是必须)提供、促进和/或实现ー个或多个服务和/或功能的节点，所述ー个或多个服务和/或功能例如是防火墙、交換、转发、网关、入侵检测、负载平衡和/或路由服务和/或功能。在该实施例中，“服务器”和/或“服务器节点”可互換地使用以意指能提供、促进和/或实现对ー个或多个客户机的一个或多个服务和/或功能的节点，所述ー个或多个服务和/或功能例如是数据存储、检索和/或处理功能。在该实施例中，“网络”可以是或可以包括两个或更多个节点，这些节点可通信地耦合在一起。同样在该实施例中，如果ー个节点能将ー个或多个命令和/或数据例如经由ー个或多个有线和/或无线通信链路发送至另ー节点或接收自另ー节点，则ー节点“可通信地耦合”至另ー节点。在该实施例中，“无线通信链路”可意指至少部分地允许至少两个节点至少部分地以无线方式通信耦合的任何形态和/或其一部分。在该实施例中，“有线通信链路”可意指至少部分地允许至少两个节点至少部分地经由非无线手段至少部分地通信耦合的任何形态和/或其一部分。同样在该实施例中，数据可以是或可以包括ー个或多个命令，和/或ー个或多个命令可以是或可以包含数据。一个或多个节点120可包括电路板(CB) 14。CB 14可以是或可以包括系统主板，该系统主板可包括一个或多个主处理器和/或芯片集集成电路12以及计算机可读/写存储器21。CB 14可包括ー个或多个(未示出的)连接器，所述连接器可允许电路卡(CC) 22电配合和机械配合于CB 14，以使CB 14中的组件(例如ー个或多个集成电路12和/或存储器21)和CC 22 (例如包含在CC 22中的操作电路系统118)可通信地彼此耦合。作为不脱离本实施例的替代或附加，包含在ー个或多个集成电路12和/或存储器21中的ー些或所有电路可包含在电路系统118中，和/或电路118中的ー些或全部可包含在ー个或多个集成电路12和/或存储器21中。在该实施例中，“电路系统”可単独或以组合方式包括例如模拟电路系统、数字电路系统、硬接线电路系统、可编程电路系统、状态机电路系统和/或包含可由可编程电路系统执行的程序指令的存储器。同样在该实施例中，“集成电路”可意指半导体器件和/或微电子器件，例如半导体集成电路芯片。另外，在该实施例中，术语“主处理器”、“处理器”、“处理器核”、“核”和/或“控制器”可互換地使用以意指能够至少部分地执行ー个或多个算法和/或逻辑操作的电路系统。同样在该实施例中，“芯片集”可包括能至少部分地将ー个或多个处理器、存储器和/或其它电系统路可通信地耦合的电路系统。节点10、120和/或30中的每ー个可包括各自未示出的用户接ロ系统，所述用户接ロ系统可包括例如键盘、定点设备和显示系统，这些用户接ロ系统可允许人类用户将命令输入至每个相应的节点和/或系统100以及监视这些节点和/或系统100的操作。操作电路118可通信地耦合至一个或多个客户机10和/或一个或多个服务器30。电路118可包括ー个或多个集成电路15。ー个或多个集成电路15可包括ー个或多个处理器核124和/或密码化电路系统126。在该实施例中，电路118、ー个或多个集成电路15、ー个或多个核124和/或电路126能至少部分地执行如同由电路系统118执行的那些本文所述的密码化和/或关联的操作。 一个或多个机器可读程序指令可存储在计算机可读/写存储器21中。在ー个或多个节点120操作时，这些指令可由ー个或多个集成电路12、电路系统118、ー个或多个集成电路15、一个或多个处理器核124和/或电路系统126访问和执行。当如此执行时，这些ー个或多个指令可致使ー个或多个集成电路12、电路系统118、ー个或多个集成电路15、一个或多个处理器核124和/或电路系统126执行本文描述的操作，就像这些操作是由ー个或多个集成电路12、电路系统118、ー个或多个集成电路15、一个或多个处理器核124和/或电路系统126执行的那样。存储器21可包括下面类型的存储器中的ー个或多个半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存取存储器、闪存、磁盘存储器、光盘存储器和/或其它或稍晚研发出的计算机可读和/或写存储器。在该实施例中，“域”可包括ー个或多个节点以及(未示出的)域当局。在该实施例中，“域当局”可包括能够至少部分地提供、执行和/或促进全部或部分地涉及和/或关联于授权、识别和/或安全的ー个或多个功能、特征、协议和/或操作的ー个或多个实体。例如，域51和/或70可各自包括一个或多个相应的(未示出的)域当局，这些域当局可通信地耦合至一个或多个节点10、120和/或30。作为替代或选择，系统100中的ー个或多个域当局的ー些或全部的功能和/或操作可至少部分地由一个或多个节点120和/或30来实现。电路118可根据ー个或多个通信协议与一个或多个客户机10和/或ー个或多个服务器30交换数据和/或命令。例如，在该实施例中，这些ー个或多个协议可与例如以太网协议、传输控制协议/互联网协议(TCP/IP)协议、IP的安全性架构(IPsec)和/或传输层安全性(TLS)协议相兼容。在系统100中可利用的以太网协议可遵循或兼容于2000年10月20日出版的电气和电子工程师协会(IEEE)标准802. 3，2000版中描述的协议。在系统100中可利用的TCP/IP协议可遵循或兼容于1981年9月出版的互联网工程任务组(IETF)请求注解(RFC) 791、793中描述的协议。在系统100中可利用的IPsec协议可遵循或兼容于2005年12月出版的IETF RFC 4301。在系统100中可利用的TLS协议可遵循或兼容于2006年4月出版的在IETF 4346中记载的协议“传输层安全性(TLS)协议I. I版”。当然，许多不同的、附加的和/或其它的协议(例如安全相关和/或实现的协议)可用于这种数据和/或命令交换而不脱离本实施例，包括例如前述和/或其它版本的日后研发版本。參见图5，系统100可至少部分地执行操作500。例如，在系统100操作时，电路系统118可与一个或多个客户机10和/或一个或多个服务器30交换数据和/或命令，由此可经由电路系统118和/或一个或多个未示出的非中间节点至少部分地在一个或多个客户机10与一个或多个服务器30之间至少部分地建立ー个或多个安全通信信道54 (见操作502)。在该实施例中，一个或多个信道54可包括域51中的一个或多个会话90和域70中的一个或多个会话92。一个或多个会话90可以是或包括域51中的ー个或多个安全会话，所述安全会话可以在一个或多个客户机10和一个或多个节点120 (即ー个或多个节点120中的电路系统118)之间或至少部分地使两者通信耦合。一个或多个会话92可以是或包括域70中的ー个或多个安全会话，所述安全会话可以在电路系统118和一个或多个服务器30之间并至少部分地使两者通信耦合。如下面讨论的那样，一个或多个会话90与ー个或多个会话92如此操作以当联系在一起时提供一个或多个信道54。在该实施例中，术语“会话”和“信道”可互換地使用，并可包括在至少两个实体之间或之中交换数据和/或命令。另外在该实施例中，“安全会话”可包括其中至少部分地对数据和/或命令的至少一部分进行加密的会话。在该实施例中，“加密”和/或“进行加密”可包括ー个或多个操作，这些操作至少部分地包括、便于和/或导致从明文中产生密文。另外在该实施例中，“解密”和/或“进行解密”可包括ー个或多个操作，这些操作至少部分地包括、便于和/或导致从密文中产生明文。此外，在该实施例中，“明文”可包括至少部分地被加密和/或已经历和/或当前正在经历加密和/或解密的数据。在该实施例中，“密钥”可包括可用于加密和/或解密的ー个或多个码元和/或值。例如，在该实施例中，一个或多个客户机10可将意图发起在一个或多个客户机10和一个或多个服务器30之间建立ー个或多个安全信道54的一个或多个分组发送至电路系统118。至少部分地作为这ー个或多个分组的响应，电路系统118可与一个或多个客户机 10交换数据和/或命令，所述数据和/或命令可导致ー个或多个会话90的建立。同时，在该实施例中，电路系统118可与一个或多个服务器30交换数据和/或命令，该数据和/或命令可导致ー个或多个会话92的建立。作为在电路系统118和一个或多个客户机10之间的数据和/或命令交换的一部分，电路系统118可以安全方式(例如作为TLS控制信道握手、涉及TCP和/或IP选项的带外技术和/或IPsec互联网密钥交换的一部分)将ー个或多个会话密钥(SK)SO发送至一个或多个客户机节点10。在将ー个或多个密钥80发送至一个或多个客户机10之前，一个或多个节点120可至少部分地基于ー个或多个密码化操作(例如包含一个或多个单向散列函数)至少部分地产生ー个或多个密钥80，所述密码化操作至少部分地涉及将一个或多个域密钥(DK) 76和一个或多个数据集(DS) 78作为输入操作数。由此，可至少部分地在域51中的一个或多个节点120和一个或多个客户机10之间至少部分地产生ー个或多个密钥80作为协商的結果。可通过域51中一个或多个未示出的域当局将ー个或多个密钥76分配给域51。这些ー个或多个域当局可至少部分地产生ー个或多个密钥76并将这些密钥分配给ー个或多个节点120。然而，这ー个或多个域当局和一个或多个节点120可对ー个或多个客户机节点10和其它实体(例如域51之内和之外的实体)秘密地保持这ー个或多个密钥76。可通过电路系统118从来自一个或多个客户机10发送至一个或多个节点120的一个或多个分组204 (见图2)中至少部分地提取(或以其它方式获得)一个或多个数据集78。ー个或多个数据集78可至少部分地关联于一个或多个会话90。例如，一个或多个数据集78可包括能至少部分地识别ー个或多个会话90的ー个或多个值202。这ー个或多个值202可以是或至少部分地包括一个或多个客户机10和/或一个或多个节点120的一个或多个相应的唯一标识符的相应联系。替代地(至少部分)或附加地，ー个或多个值202可至少部分地包括一个或多个服务器30的ー个或多个相应的标识符。这些唯一标识符可以是或包括，例如一个或多个相应地址、IPsec安全性參数指标和/或其它值(例如会话上下文信息)。在该实施例中，域51中的一个或多个未示出的域当局可产生ー个或多个密钥76，由此使(I) 一个或多个密钥76可唯一地关联于域51 ;和(2) —个或多个密钥76基本上是无法从一个或多个密钥80获得的(例如从实际密码化立场来看)。在一个实施例中，ー个或多个密钥76可以是或包括一个或多个就密码而言強健的随机数。使用一个或多个密钥80，每个相应的客户机10可至少部分地对其经由一个或多个会话90发送至一个或多个节点120的相应话务进行加密，并至少部分地对其经由ー个或多个会话90从ー个或多个节点120接收的相应话务进行解密。在该实施例中，对ー个或多个节点120的这种话务可包含一个或多个分组(例如在一个或多个分组204中)，其中ー个或多个值202和/或数据集78作为明文发送。可选择ー个或多个值202和/或一个或多个数据集78，从而当以前述方式与一个或多个密码化操作中的一个或多个密钥76结合使用以产生一个或多个密钥80时，使这ー个或多个密钥80中的每ー个可以是或包含用来在一个或多个网关120和一个或多个客户机10之间提供相应的独立安全会话的相应独立会话密钥。作为在电路系统118和一个或多个服务器30之间的数据和/或命令交换的一部分，电路系统118可以安全方式(例如作为TLS控制信道握手、涉及TCP和/或IP选项的带外技术和/或IPsec互联网密钥交换的一部分)将ー个或多个会话密钥82发送至ー个或多个服务器30。在将ー个或多个密钥82发送至一个或多个服务器30之前，ー个或多个节点120可至少部分地基于ー个或多个密码化操作(例如包含一个或多个单向散列函数)至少部分地产生ー个或多个密钥82，所述密码化操作至少部分地涉及将ー个或多个域密钥72和一个或多个数据集78作为输入操作数。由此，可至少部分地在域51中的ー个或多个节点120和域70中的一个或多个服务器30之间至少部分地产生ー个或多个密钥82作为协商的結果。可通过域70中未示出的ー个或多个域当局将ー个或多个密钥72分配给域70。这ー个或多个域当局可至少部分地产生ー个或多个密钥72并将它们分配给ー个或多个节点120。然而，这ー个或多个域当局和一个或多个节点120可对ー个或多个服务器节点30和 其它实体(例如域70之内和之外的其它实体)秘密地保持这ー个或多个密钥72。可通过电路系统118从来自一个或多个服务器30发送至一个或多个节点120的一个或多个分组208 (见图2)中至少部分地提取(或以其它方式获得)一个或多个数据集74。ー个或多个数据集74可至少部分地关联于一个或多个会话92。例如，一个或多个数据集74可包括能至少部分地识别ー个或多个会话92的ー个或多个值206。这ー个或多个值206可以是或至少部分地包括一个或多个服务器30和/或一个或多个节点120的一个或多个相应的唯一标识符的相应联系。替代地(至少部分)或附加地，一个或多个值206可至少部分地包括一个或多个客户机10的一个或多个相应的标识符。这些唯一标识符可以是或包括，例如一个或多个相应地址、IPsec安全性参数指标和/或其它值(例如会话上下文信息)。因此，在该实施例中，依赖于例如操作的域，一个或多个值206和/或一个或多个数据集74可以至少部分地分别类似于一个或多个值202和/或一个或多个数据集78。作为替代而不脱离该实施例的范围，依赖于例如操作的域，一个或多个值206和/或一个或多个数据集74可以至少部分地分别不同于一个或多个值202和/或一个或多个数据集78。在该实施例中，域70中的一个或多个未示出的域当局可产生一个或多个密钥72，由此使(I) 一个或多个密钥72可唯一地关联于域70 ;和(2) —个或多个密钥72基本上是无法从一个或多个密钥82获得的(例如从实际密码化立场来看)。在一个实施例中，一个 或多个密钥72可以是或包括一个或多个就密码而言强健的随机数。使用一个或多个密钥82，每个相应服务器30可至少部分地对其经由一个或多个会话92发送至一个或多个节点120的相应话务进行加密，并至少部分地对其经由一个或多个会话92从一个或多个节点120接收的相应话务进行解密。在该实施例中，对于一个或多个节点120的这种话务可包含一个或多个分组(例如包含在一个或多个分组208中)，其中一个或多个值206和/或数据集74作为明文发送。可选择一个或多个值206和/或一个或多个数据集74，从而当以前述方式与一个或多个密码化操作中的一个或多个密钥72结合使用以产生一个或多个密钥82时，使这一个或多个密钥82中的每一个是或包含用来在一个或多个网关120和一个或多个服务器30之间提供相应的独立安全会话的相应独立会话密钥。在该实施例中，一个或多个域密钥76可以至少部分地不同于一个或多个域密钥72。如图2所示，在该实施例中，在域51中，一个或多个客户机10可包括多个客户机
220A......220N，并且一个或多个会话90可包含在客户机220A......220N和一个或多个网关
节点120之间的多个安全会话230A……230N。会话230A-230N可分别将客户机220A……220N通信地耦合至一个或多个节点120。如前面阐述的那样，这些安全会话230A……230N中的每一个可至少部分地基于一个或多个会话密钥80中相应的一个密钥而产生。现在转向图3，一个或多个会话92可包括单个安全会话302，该安全会话302可使一个或多个网关120可通信地耦合至一个或多个服务器。在这种配置中，会话302可至少部分地封装会话230A……230N(见图2)。在该实施例中，封装可包括至少部分地将第一实体纳入到第二实体的至少一部分中，和/或将第一实体的信息的至少一部分纳入到至少一部分第二实体中，例如将一个或多个分组封装到一个或多个帧中。例如，网络话务304可经由会话230A……230N从客户机220A……220N被发送至一个或多个网关120中的电路系统118。在经由会话230A……230N被发送至电路系统118时，可至少部分地基于一个或多个会话密钥80对话务304进行加密。然而，在话务304中，一个或多个数据集78和/或一个或多个值202可作为明文发送。电路系统118可至少部分地从话务304中提取一个或多个数据集78和/或一个或多个值202。至少部分地基于如此提取的一个或多个数据集78和/或一个或多个值202以及一个或多个域密钥76，电路系统118可对每个会话230A……230N动态地重构(例如以逐个分组为基础)相应的一个或多个会话密钥80，这些会话密钥80用来至少部分地对话务304进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥80来至少部分地对话务304进行解密。电路系统118至少部分地检查至少部分如此解密的话务304。这种检查可涉及例如图案匹配、签名、校验和、有效性校验和/或其它分析技术来检测和/或正确地寻址话务304中未经授权和/或不想要的数据和/或指令的存在。电路系统118可至少部分地基于一个或多个会话密钥82来至少部分地对未加密的话务304进行加密，并经由单个会话302将加密的话务发送至一个或多个服务器30。在这之前，电路系统118可至少部分地基于一个或多个值206和/或一个或多个数据集74以及一个或多个域密钥72动态地重构(以与之 前结合一个或多个密钥80描述的相同的方式)一个或多个会话密钥82。一个或多个服务器30可经由会话302将话务306发送至一个或多个网关120中的电路系统118。当经由单个会话302发送至电路系统118时，话务306可至少部分地基于一个或多个会话密钥82予以加密。然而，在话务306中，一个或多个数据集74和/或一个或多个值206可作为明文传输。电路系统118可从话务306中提取一个或多个数据集74和/或一个或多个值206。至少部分地基于如此提取的一个或多个数据集74和/或一个或多个值206以及一个或多个域密钥72,电路系统118可动态地重构一个或多个会话密钥82，所述会话密钥82至少部分地用来对话务306进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥82来至少部分地对话务306进行解密。电路系统118可至少部分地检查至少部分地如此解密的话务306。这种检查可涉及例如图案匹配、签名、校验和、有效性校验和/或其它分析技术来检测和/或正确地寻址话务306中未经授权和/或不想要的数据和/或指令的存在。电路系统118可至少部分地基于一个或多个会话密钥80来至少部分地对未加密的话务306进行加密，并可经由会话230A……230N将加密的话务发送至客户机220A……220N。在这之前，电路系统118可至少部分地基于一个或多个值202和/或一个或多个数据集78以及一个或多个域密钥76动态地重构一个或多个会话密钥80。替代地，一个或多个会话92可包括域70中的多个安全会话402A……402N(见图4)，这些安全会话402A……402N可通信地耦合一个或多个网关120和一个或多个服务器30。安全会话402A……402N可分别对应于安全会话230A……230N。在该实施例中，一个或多个数据集78可包括与会话230A……230N关联的相应数据集404A……404N。例如，一个或多个相应会话密钥80可至少部分地分别基于数据集404A……404N和一个或多个域密钥76而产生，可至少部分地基于这一个或多个相应会话密钥80而对会话230A……230N进行加密。电路系统118可从分别经由会话2320A……230N从客户机220A……220N发送至电路系统118的话务304中至少部分地提取数据集404A……404N(见图5中的操作504)。至少部分地基于如此提取的数据集404A……404N以及一个或多个域密钥76，电路系统118可针对会话230A……230N中的每一个动态地重构(例如以逐个分组为基础)相应的一个或多个会话密钥80，所述会话密钥80用来至少部分地对经由相应的会话230A……230N发送的话务304进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥80至少部分地对该话务304进行解密(见图5中的操作506)。电路系统118可至少部分地以前面描述的方式检查至少部分如此解密的话务。电路系统118可至少部分地基于一个或多个会话密钥82至少部分地对未加密的话务304进行加密，并可经由会话402A……402N将加密的话务406发送至一个或多个服务器30 (见图5中的操作508)。在这之前，电路系统118可至少部分地基于一个或多个值206和/或一个或多个数据集74以及一个或多个域密钥72动态地重构(以与之前描述相同的方式)一个或多个会话密钥82。替代地，一个或多个域密钥76可至少部分地类似于一个或多个密钥72。此外作为替代或附加，一个或多个网关120可经由一次或多次安全握手和/或协商操作将一个或多个密钥76和/或一个或多个密钥72提供给一个或多个服务器30。这允许一个或多个服务器30能够以前面结合电路系统118描述的方式动态地重构一个或多个会话密钥82和/或执行解密和/或加密操作。较为有利地,在该实施例中，不管包含在一个或多个会话90中的各个会话的数量如何，电路系统118可执行与一个或多个服务器30的单密钥协商交易(例如导致单会话密钥82和/或单域密钥72的交换和/或协商)，所述单密钥协商交易允许建立一个或多个会话92中的全部会话(例如至少部分地基于单会话密钥82和/或单域密钥72)。结果，在该 实施例中，只有单次握手操作可包含在这个交易中。较为有利地，在该实施例中，这可显著地减少电路118和一个或多个服务器30之间牵涉到建立一个或多个会话92的密钥协商的次数、协商的密钥的个数以及握手次数。更有利地，这可显著减少在本实施例中使用的密钥存储的量。在该实施例中，密钥80和/或82的产生可(至少部分地)总体根据例如(1)2007年3月30日提交且2008年10月28日公布的Durham等人的美国专利申请S/N 11/731，562、美国专利申请公布No. US 2008/0244268和/或(2) 2009年3月2日提交的美国专利申请S/N 12/396，125中披露的原理来实现。当然，可使用许多其它、附加和/或替代技术以至少部分地产生一个或多个密钥80和/或一个或多个密钥82。因此，一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间建立一安全通信信道的电路系统。该信道可包括处于第一域和第二域中的第一和第二域会话。该电路系统可产生第一和第二域会话密钥，该域会话密钥可至少部分地分别对第一和第二域会话进行加密。可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集产生第一域会话密钥。可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集产生第二域会话密钥。在该实施例中，电路系统118能至少部分地基于至少部分地从一个或多个分组204和/或208提取的一个或多个数据集78和/或74而动态地产生一个或多个会话密钥80和/或82。较为有利地，这使电路系统118能够避免(I)必须在存储器中保持至少部分地基于这些会话密钥产生的会话和会话密钥本身之间的永久性关联，和/或(2)永久地存储大量的传输层和密码化状态信息，并对相应会话作出缓冲。较为有利地，这在本实施例中可显著地提高连接可扩展性和处理速度。同样在该实施例中，由于能至少部分地以前述方式动态地产生一个或多个密钥80,82,电路系统118能动态地分别对发送至和/或来自电路系统118的话务进行解密和/或加密。较为有利地，这允许电路系统118和/或一个或多个节点120能对在一个或多个客户机10和一个或多个服务器30之间(例如经由一个或多个安全信道54)的加密通信的内容进行有意义的检查和/或分析。较为有利地，这可防止危及企业域51和/或系统100的安全性，并可改善企业域51和/或系统100的性能(例如通过防止病毒侵入域51和/或系统100和或从中除去病毒)。因此，较为有利地，本实施例的特征可减少安全性、通信和/或密码化处理所花费的处理带宽量，同时又提高了这种处理执行的速度。另外较为有利地，本实施例的特征允许这种处理通过专门的传输层和/或密码化卸荷和/或加 速硬件变得更容易实现。
权利要求
1.ー种装置，包括 至少部分地在第一域中的至少ー个客户机和第二域中的至少ー个服务器之间至少部分地建立至少ー个安全通信信道的电路系统，所述至少一个信道包括在所述第一域中的至少ー个第一域会话和在所述第二域中的至少ー个第二域会话，所述电路系统至少部分地产生至少ー个第一域会话密钥和至少ー个第二域会话密钥，所述至少ー个第一域会话密钥和所述至少ー个第二域会话密钥至少部分地分别对所述至少ー个第一域会话和所述至少一个第二域会话进行加密，所述至少ー个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与所述至少ー个第一域会话关联的至少ー个第一数据集而产生，所述至少ー个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少ー个第二域会话关联的至少ー个第二数据集而产生。
2.如权利要求I所述的装置，其特征在于 所述第一域至少部分地不同于所述第二域； 被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥； 所述至少ー个第一数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第一域会话并至少部分地从经由所述至少ー个第一域会话通信的ー个或多个分组可获得；以及 所述至少ー个第二数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第二域会话并至少部分地从经由所述至少ー个第二域会话通信的ー个或多个其它分组可获得。
3.如权利要求I所述的装置，其特征在于 所述至少一个客户机包括在所述第一域内的多个客户机； 所述至少ー个第一域会话包括在至少ー个网关和所述多个客户机之间的第一域内的第一多个会话； 所述至少ー个第二域会话处于所述至少一个网关和所述至少一个服务器之间； 所述第一域包括企业域；以及 所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。
4.如权利要求3所述的装置，其特征在于 所述至少ー个第二域会话包括至少部分地封装所述第一多个会话的单个会话； 所述电路至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务；以及 所述电路至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。
5.如权利要求3所述的装置，其特征在于 所述至少ー个第二域会话包括在所述第二域内的第二多个会话； 所述至少ー个第一数据集包括与所述第一多个会话关联的相应数据集； 所述电路至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集； 所述电路至少部分地基于所述相应的数据集至少部分地对所述第一话务进行解密；以及 所述电路至少部分地基于所述相应的数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。
6.如权利要求I所述的装置，其特征在干 所述电路至少部分地包括在下面的ー个或多个中 耦合至电路板的电路卡； 网络设施；以及 ー个或多个集成电路，所述集成电路包括一个或多个处理器和电路系统以执行ー个或多个密码化操作。
7.—种至少部分地由电路系统执行的方法，所述方法包括 通过所述电路系统至少部分地在第一域中的至少ー个客户机和第二域中的至少ー个 服务器之间至少部分地建立至少ー个安全通信信道，所述至少一个信道包括在所述第一域中的至少ー个第一域会话和在所述第二域中的至少ー个第二域会话，所述电路系统至少部分地产生至少ー个第一域会话密钥和至少ー个第二域会话密钥，所述至少ー个第一域会话密钥和所述至少ー个第二域会话密钥至少部分地分别对所述至少ー个第一域会话和所述至少ー个第二域会话进行加密，所述至少ー个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与至少ー个第一域会话关联的至少ー个第一数据集而产生，所述至少ー个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少ー个第二域会话关联的至少ー个第二数据集而产生。
8.如权利要求7所述的方法，其特征在于 所述第一域至少部分地不同于所述第二域； 被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥； 所述至少ー个第一数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第一域会话并至少部分地从经由所述至少ー个第一域会话通信的ー个或多个分组可获得；以及 所述至少ー个第二数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第二域会话并至少部分地从经由所述至少ー个第二域会话通信的ー个或多个其它分组可获得。
9.如权利要求7所述的方法，其特征在于 所述至少一个客户机包括在所述第一域内的多个客户机； 所述至少ー个第一域会话包括在至少ー个网关和所述多个客户机之间的第一域内的第一多个会话； 所述至少ー个第二域会话处于所述至少一个网关和所述至少一个服务器之间； 所述第一域包括企业域；以及 所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。
10.如权利要求9所述的方法，其特征在于 所述至少ー个第二域会话包括至少部分地封装所述第一多个会话的单个会话； 所述电路系统至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务；以及 所述电路系统至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。
11.如权利要求9所述的方法，其特征在干所述至少ー个第二域会话包括在所述第二域内的第二多个会话； 所述至少ー个第一数据集包括与所述第一多个会话关联的相应数据集； 通过所述电路系统至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集； 通过所述电路系统至少部分地基于相应数据集至少部分地对所述第一话务进行解密；以及 通过所述电路系统至少部分地基于相应数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。
12.如权利要求7所述的方法，其特征在于 所述电路系统至少部分地包括在下面的ー个或多个中 耦合至电路板的电路卡； 网络设施；以及 ー个或多个集成电路，所述集成电路包括一个或多个处理器和电路系统以执行ー个或多个密码化操作。
13.存储ー个或多个指令的计算机可读存储器，当通过机器执行所述指令时导致下列操作的执行，包括 通过电路系统至少部分地在第一域中的至少ー个客户机和第二域中的至少ー个服务器之间至少部分地建立至少ー个安全通信信道，所述至少一个信道包括在所述第一域中的至少ー个第一域会话和在所述第二域中的至少ー个第二域会话，所述电路系统至少部分地产生至少ー个第一域会话密钥和至少ー个第二域会话密钥，所述至少ー个第一域会话密钥和所述至少ー个第二域会话密钥至少部分地分别对所述至少ー个第一域会话和所述至少ー个第二域会话进行加密，所述至少ー个第一域会话密钥至少部分地基于被分配给所述第一域的第一域密钥和至少部分地与至少ー个第一域会话关联的至少ー个第一数据集而产生，所述至少ー个第二域会话密钥至少部分地基于被分配给所述第二域的第二域密钥和至少部分地与至少ー个第二域会话关联的至少ー个第二数据集而产生。
14.如权利要求13所述的存储器，其特征在干 所述第一域至少部分地不同于所述第二域； 被分配给所述第一域的所述第一域密钥至少部分地不同于所述第二域密钥； 所述至少ー个第一数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第一域会话并至少部分地从经由所述至少ー个第一域会话通信的ー个或多个分组可获得；以及 所述至少ー个第二数据集包括ー个或多个值，所述ー个或多个值至少部分地识别所述至少ー个第二域会话并至少部分地从经由所述至少ー个第二域会话通信的ー个或多个其它分组可获得。
15.如权利要求13所述的存储器，其特征在于 所述至少一个客户机包括在所述第一域内的多个客户机； 所述至少ー个第一域会话包括在至少ー个网关和多个客户机之间的第一域内的第一多个会话； 所述至少ー个第二域会话处于所述至少一个网关和所述至少一个服务器之间；所述第一域包括企业域；以及 所述第二域密钥至少部分地在所述企业域和所述至少一个服务器之间予以协商。
16.如权利要求15所述的存储器，其特征在干 所述至少ー个第二域会话包括至少部分地封装所述第一多个会话的单个会话； 所述电路系统至少部分地解密和至少部分地检查经由所述第一多个会话通信的第一话务；以及 所述电路系统至少部分地解密和至少部分地检查经由所述单个会话通信的第二话务。
17.如权利要求15所述的存储器，其特征在干 所述至少ー个第二域会话包括在所述第二域内的第二多个会话； 所述至少ー个第一数据集包括与所述第一多个会话关联的相应数据集； 通过所述电路系统至少部分地从经由所述第一多个会话通信的第一话务中提取所述相应的数据集； 通过所述电路系统至少部分地基于所述相应的数据集至少部分地对所述第一话务进行解密；以及 通过所述电路系统至少部分地基于所述相应的数据集至少部分地对经由所述第二多个会话通信的第二话务进行加密。
18.如权利要求13所述的存储器，其特征在干 所述电路系统至少部分地包括在下面的ー个或多个中 耦合至电路板的电路卡； 网络设施；以及 ー个或多个集成电路，所述集成电路包括一个或多个处理器和电路系统以执行ー个或多个密码化操作。
19.如权利要求I所述的装置，其特征在于 所述至少ー个第一域会话包括多个会话；以及 所述电路系统执行与所述至少一个服务器的单密钥协商交易以对所述单密钥进行协商，所述协商涉及建立至少ー个第二域会话，所述交易包括所述电路系统和所述至少ー个服务器之间的单次握手。
全文摘要
一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间至少部分地建立安全通信信道的电路。该信道可包括在第一域和第二域内的第一域会话和第二域会话。电路可产生第一域会话密钥和第二域会话密钥，这些域会话密钥至少部分地分别对第一域会话和第二域会话进行加密。第一域会话密钥可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集而产生。第二域会话密钥可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集而产生。
文档编号H04L9/14GK102725995SQ201180007466
公开日2012年10月10日 申请日期2011年1月19日 优先权日2010年1月28日
发明者K·S·格雷瓦尔, M·朗 申请人:英特尔公司