HTTPS请求充实制造技术

本公开提供了一种网元(在中间)以将充实注入SSL连接中，并用于将其取出。该网元有时在本文被称为“中间框”。在分层软件架构的环境中，此解决方案优选地由在SSL连接的两个端点处在SSL层下和在TCP套接字层之上运行的库来实现。优选地，SSL充实被实现为SSL/TLS记录。

HTTPS requests enrichment

The present disclosure provides a network element (in the middle) to fill into the SSL connection and is used to remove it. The network element is sometimes referred to in this article as an intermediate frame\. In a layered software architecture environment, this solution is preferably implemented by the two endpoints in the SSL connection, under the SSL layer, and on the library running on the TCP socket layer. Preferably, the SSL enrichment is implemented as a SSL/TLS record.

【技术实现步骤摘要】
【国外来华专利技术】背景
本申请总体上涉及使用加密协议的安全的基于网络的通信。相关技术的简要描述分布式计算机系统在现有技术中是众所周知的。一个这样的分布式计算机系统是由服务提供商操作和管理的“内容传递网络”(CDN)或“覆盖网络”。服务提供商通常代表使用服务提供商的共享基础设施的第三方(客户)提供内容传递服务。这种类型的分布式系统通常是指通过一个网络或多个网络连同被设计为促进各种服务的软件、系统、协议和技术(诸如内容传递、web应用加速或外包原产地基础设施的其他支持)链接的自主计算机的集合。CDN服务提供商通常通过数字属性(例如网站)提供服务传递，这些数字属性(如网站)在客户门户中提供，然后部署到网络。数字属性通常绑定到允许服务提供商考虑流量并向其客户收费的一个或多个边缘配置。传输层安全(TLS)及其前身安全套接字层(SSL)是提供Internet通信安全性的加密协议。它们使用用于身份验证和密钥交换的非对称加密技术、用于机密性的对称加密、以及消息完整性的消息认证码。TLS/SSL在会话层初始化，然后在表示层工作。具体地，首先会话层具有使用建立密码设置的非对称密码和关于该会话的共享密钥进行的握手。此后，表示层使用对称密码和该会话密钥对通信的其余部分进行加密。在这两个模型中，TLS和SSL代表底层传输层工作，其段承载加密数据。TLS是在RFC5246和RFC6176中定义的IETF标准跟踪协议。HTTP请求充实(enrichment)是Internet服务提供商(ISP)将客户端智能传递给HTTP服务器的有用和低开销技术。通常可以借助能够识别HTTP请求、向它们插入文本并在客户端和服务器之间正确偏移TCP流的序列号的深度包检测(DPI)框来实现。但是，对于HTTPS请求，此功能不能存在，因为中间框无法将任何东西插入SSL流。作为额外的背景，许多移动网络运营商使用透明代理和在线转码或转换设备来在高流量时段内例如基于其网络中的实时状况控制流量。这些方法对运营商非常有用，但由于SSL流的增长，它们变得越来越不相关。简述描述了HTTPS请求充实的方法。在一个实施例中，该方法使用特殊形式的充实记录，并且利用处理充实记录的TCP和SSL/TLS之间的软件层以及SSL/TLS层和应用层可以使用的该层的应用编程接口(API)。本文的技术还提供了充实能力的发现和用于充实的安全通信的密钥协商。上述已经概述了所公开主题的一些更相关的特征。这些特征应被解释为仅仅是说明性的。通过以不同的方式应用所公开的主题或通过修改将要描述的主题可以获得许多其它有益的结果。附图简述为了对本主题及其优点的更彻底理解，现在参考结合附图进行的下面的描述，其中：图1示出可以实践本公开的技术的覆盖网络，例如内容递送网络(CDN)；图2示出覆盖网络的边缘服务器的架构；图3示出用于SSL/TLS记录的标准记录格式；图4示出在客户端和服务器之间的传统的SSL记录交换；图5示出用于本公开的请求充实技术的代表性实现；图6示出可以由图5中的充实层来实现的各种功能；图7示出在一个实施例中如何将SSL请求充实度合并到消息流中；图8示出在另一个实施例中如何将SSL请求充实度合并到消息流中；图9示出用于实现充实层功能的优选软件分层方法；图10示出根据本公开的在移动网络环境中如何使用SSL充实；图11示出如何可以在移动网络环境中使用服务发现协议来讨论服务API以及协商加密密钥；以及图12示出使用SSL记录封装协议插入充实的替代方法。详细描述图1示出了已知的分布式计算机系统，(如下所述)该已知的分布式计算机系统通过本文的技术进行扩展，以提供具有以广播观众的规模将在线HD视频传递到最流行的运行时环境和在固定线路和移动环境中的最新的设备的能力的单个基于HTTP的平台。在已知的系统中，如图1所示，分布式计算机系统100被配置为CDN，并且假设具有在互联网周围分布的一组机器102a-n。通常，大多数机器是位于互联网边缘附近(即位于终端用户接入网络或相邻的终端用户接入网络)的服务器。网络操作指挥中心(NOCC)104管理在系统中的各种机器的操作。诸如网站106的第三方站点将内容(例如，HTML、嵌入页面对象、流媒体、软件下载等)的传递卸载到分布式计算机系统100，特别是卸载到“边缘”服务器。通常，内容提供商通过将给定的内容提供商域或子域进行别名(例如，通过DNSCNAME)来将其内容传递卸载到由服务提供商的权威域名服务管理的域。期望内容的终端用户被引导到分布式计算机系统以更可靠和高效地获得该内容。尽管未详细示出，但是分布式计算机系统还可以包括其他基础设施，诸如分布式数据收集系统108，其收集来自边缘服务器的使用情况和其他数据，集合跨越一个区域或一组区域的该数据并将该数据传到其他后端系统110、112、114和116，以便于监视、记录、警报、计费、管理和其他操作和管理功能。分布式网络代理118监视网络以及服务器负载，并向DNS查询处理机构115提供网络、流量和负载数据，DNS查询处理机构115有权针对由CDN管理的内容域。分布式数据传输机构120可以用于向边缘服务器分发控制信息(例如，用于管理内容、促进负载平衡等的元数据)。如图2所示，给定机器200包括运行支持一个或多个应用程序206a-n的操作系统内核(例如，Linux或变体)204的商用硬件(例如，IntelPentium处理器)202。为了促进内容传递服务，例如，给定的机器通常运行一组应用程序，例如，HTTP代理207(有时称为“全局主机”或“ghost”进程)、名称服务器208、本地监视过程210、分布式数据收集过程212等。对于流媒体，如由所支持的媒体格式要求的，该机器通常包括一个或多个媒体服务器，例如，WindowsMediaServer(WMS)或Flash服务器。CDN边缘服务器被配置为优选地使用分发到使用配置系统的边缘服务器的配置文件来提供一个或多个扩展内容传递特征，优选地基于特定域的、特定客户。给定的配置文件优选地是基于XML的，并且包括一组促进一个或多个高级内容处理特征的内容处理规则和指令。配置文件可以经由数据传输机构传递到CDN边缘服务器。美国专利第7,111,057号示出了用于传递和管理边缘服务器内容控制信息的有用的基础设施，并且这个和其他边缘服务器控制信息可以由CDN服务提供商本身提供，或者(经由外部网等)由操作原始服务器的内容提供者客户提供。CDN可以包括存储子系统，例如，在美国专利第7,472,178号中描述的存储子系统，该专利的公开内容通过引用并入本文。CDN可以操作服务器缓存层级以提供客户内容的中间缓存；在美国专利第7,376,716号中描述了一个这样的缓存层级子系统，该专利的公开内容通过引用并入本文。CDN可以以在美国公布第20040093419号中描述的方式在客户端浏览器、边缘服务器和客户源服务器之间提供安全的内容传递。如本文所述，安全的内容传递一方面在客户端和边缘服务器过程之间执行基于SSL的链接以及另一方面在边缘服务器过程和源服务器过程之间执行基于SSL的链接。这使得SSL保护的网页和/或其组件能够经由边缘服务器传递。作为覆盖层，CDN资源可用于促进在企业数据中心(可能是私有管理)和第本文档来自技高网...

【技术保护点】
一种在位于第一计算实体和第二计算实体之间的中间的计算实体中操作的方法，所述计算实体包括软件栈，所述软件栈包括SSL层和底层套接字层，所述第一计算实体和第二计算实体中的每一个能够操作以在它们之间建立安全套接字层(SSL)或传输层安全(TLS)通信路径，其中，在所述第一计算实体和第二计算实体之间的SSL/TLS数据流期间，一个或多个SSL/TLS记录被生成，所述方法包括：在所述SSL层和所述底层套接字层之间建立代理；并且在不修改现有的SSL层的情况下，将充实信息注入所述SSL/TLS数据流或从所述SSL/TLS数据流移除充实信息，所述充实信息与SSL/TLS记录相关联。

【技术特征摘要】
【国外来华专利技术】2014.09.29 US 62/056,772;2014.10.30 US 62/072,7181.一种在位于第一计算实体和第二计算实体之间的中间的计算实体中操作的方法，所述计算实体包括软件栈，所述软件栈包括SSL层和底层套接字层，所述第一计算实体和第二计算实体中的每一个能够操作以在它们之间建立安全套接字层(SSL)或传输层安全(TLS)通信路径，其中，在所述第一计算实体和第二计算实体之间的SSL/TLS数据流期间，一个或多个SSL/TLS记录被生成，所述方法包括：在所述SSL层和所述底层套接字层之间建立代理；并且在不修改现有的SSL层的情况下，将充实信息注入所述SSL/TLS数据流或从所述SSL/TLS数据流移除充实信息，所述充实信息与SSL/TLS记录相关联。2.如权利要求1所述的方法，其中，所述信息是描述网络或设备状态或特性的充实数据。3.如权利要求1所述的方法，其中，所述SSL/TLS记录具有无效的记录类型值，以将所述SSL/TLS记录指定为与所述充实信息相关联。4.如权利要求1所述的方法，其中，所述SSL/TLS记录具有与其相关联的封装层，所述封装层包括用于将所述SSL/TLS记录指定为与所述充实信息相关联的给定的数据。5.如权利要求1所述的方法，其中，所述SSL/TLS记录包括所述充实信息。6.如权利要求1所述的方法，其中，所述SSL/TLS记录是所述充实信息。7.如权利要求1所述的方法，还包括在所述代理处终止TCP连接。8.如权利要求1所述的方法，其中，所述第一计算实体是移动设备，并且所述第二计算实体是覆盖网络的边缘服务器。9.根据权利要求1所述的方法，其中，注入所述充实信息包括以下有序步骤：拦截在所述SSL层和所述底层套接字层之间的系统调用，且作为响应，调用相应的封装函数；以及通过所述相应的封装函数唤起所述系统调用。10.如权利要求9所述的方法，其中，所述系统调用是写入系统调用。11.如权利要求10所述的方法，其中，所述唤起的步骤将数据发送到所述第一计算实体和第二计算实体中的给定的一个计算实体，写入并输出...

【专利技术属性】
技术研发人员：曼戈什·卡斯贝卡，
申请(专利权)人：阿卡麦科技公司，
类型：发明
国别省市：美国;US