用于经由TLS终止节点的智能内联路径发现的针对HTTPS流量的增强的QOS、引导和策略实施的系统和设备技术方案

技术编号:29993206 阅读:38 留言:0更新日期:2021-09-11 04:33
所描述的实施例提供用于经由TLS终止节点的智能内联路径发现的针对https流量的增强的服务质量、引导和策略实施的系统和设备。该系统可以包括第一网络装置,其具有穿过第一网络装置的安全连接并与第二网络装置通信。第一网络装置和第二网络装置可以在客户机装置和服务器的中间。第一网络装置可以确定第二网络装置终止安全连接。在确定第二网络装置终止安全连接之后,第一网络装置可以从第二网络装置接收安全连接的密钥生成信息。第一网络装置可以使用接收到的密钥生成信息破译目的地为装置或服务器的安全连接的分组,以在第一网络装置处调节安全连接的网络流量。处调节安全连接的网络流量。处调节安全连接的网络流量。

【技术实现步骤摘要】
【国外来华专利技术】用于经由TLS终止节点的智能内联路径发现的针对HTTPS流量的增强的QOS、引导和策略实施的系统和设备
[0001]相关申请的交叉引用
[0002]本申请要求于2018年12月4日提交的名称为“SYSTEM AND APPARATUS FOR ENHANCED QOS,STEERING AND POLICY ENFORCEMENT FOR HTTPS TRAFFIC VIA INTELLIGENT INLINE PATH DISCOVERY OF TLS TERMINATING NODE”的美国专利申请No.16/209,070的优先权和利益,其内容出于所有目的通过引用全部合并于此。


[0003]本申请总地涉及传送网络分组,包括但不限于用于网络调节的终止节点的内联路径发现的系统和方法。

技术介绍

[0004]在典型的计算环境中,客户机(也称为客户机装置)从服务器接收信息、流量、分组等。分组可以在通过网络传输之前由服务器或客户机装置使用各种密码算法进行加密。在一些情况下,可以通过一个或多个网络或其他中间装置在服务器和客户机装置之间传送分组。在一些情况下,可以在服务器和客户机装置之间建立安全连接。

技术实现思路

[0005]提供本概述是为了以简化形式引入概念的选择,概念将在下面的具体实施方式中进一步描述。本概述不旨在识别关键特征或基本特征,也不旨在限制本文所包括的权利要求的范围。
[0006]本公开总地涉及用于经由传输层安全性(TLS)终止节点的智能内联路径发现的针对HTTPS流量的增强的服务质量(QOS)、引导和/或策略实施的系统和设备。一些网络装置(例如,诸如Netscaler装置的中间装置)可以充当另一个装置的代理,因此可以代表另一个装置执行功能或动作。不充当服务器或客户机装置的代理的网络装置(例如,中间装置,包括中间盒、设备、网关等,诸如软件开发的广域网(SDWAN)装置)可能缺乏破译通过传输层安全性(TLS)或其他安全连接传送的网络流量的能力。由于更多基于云的网络应用(包括一些高优先级网络应用)使用安全连接,因此这种网络装置无法检查使用安全连接通过这种网络装置传送的数据。这些网络装置可能无法检查数据,因为它们不参与设置通过它们的安全通道,并且没有正确的密码信息来解密数据等。
[0007]在一些实施例中,数据的检查可能有助于为企业及其分支执行流量和策略调节以及网络管理。在这种流量被加密的情况下,通过加密流量且不充当代理的网络装置可能无法解密和解释流量。这种网络装置可能缺少解密和解释流量所需的密码信息、密钥或秘密。在这些网络装置无法解密网络流量的情况下,这些网络装置无法执行诸如基于策略的网络流量管理的功能。因此,这些网络装置具有或支持有限的服务质量(QoS)。此外,对于采用策略实施和企业管理框架的网络装置,网络装置必须根据企业的每个分支的用户或应用的策
略来拦截和解密流量、检查流量和/或对流量采取行动。通过对流量进行破译,软件开发的广域网(SDWAN或SD

WAN)装置可用于开发中央企业管理框架,并且网络装置可以智能地解密流量并基于例如统一资源定位符(URL)或流量中的其他信息来执行智能应用引导。这样,本文描述的实施例可以通过为网络装置提供理解和解释流量的能力来提供网络装置的增强的QoS,并且为企业、网络或组织的所有分支或数据中心执行关键策略实施。
[0008]本文描述的实施例可以提供对超文本传输协议安全(HTTPS)连接或其他安全连接的无缝拦截/检查。本文描述的实施例可以实现基于URL的应用引导。本文描述的实施例可以提供用于执行防火墙动作和对企业流量做出安全决策的中央框架。本文描述的实施例可以在加密连接上使用基于智能和自适应应用优先级的流量管理来提供增强的QoS。本文描述的实施例可以在服务器侧网络装置和HTTPS终止节点之间提供安全可信区域,从而确保用于将凭证从HTTPS终止节点传递到另一个网络装置的安全网络连接。因为在一些实施方式中,网络装置不是代理,所以网络装置可以实现加密流量分析和管理的期望方面同时最小化计算开销。
[0009]网络装置可以是或包括SDWAN装置,其可以是覆盖广域网(WAN)的透明中间网络装置。SDWAN装置可以执行某些WAN优化功能并提供增值特征。但是,SDWAN装置的某些实施例可能缺乏完全参与会话描述协议(SDP)操作的能力,因为它们无法访问密码信息来破译跨安全连接传送的数据或流量。本文描述的一些实施例可以提供一种提供参与SDP能力的能力的无缝的方法。SDWAN装置可以提供有密钥生成信息,用于破译跨安全连接传送的加密流量。这样的实施例可以向网络装置提供参与SDP操作的能力,从而应用过滤器、基于URL引导网络流量等。
[0010]在一些实施方式中,网络装置可以通过使用服务器证书和私钥解密方法来拦截网络流量而不终止安全连接。但是,这样的实施方式可以限于破译使用Rivest

Shamir

Adleman(RSA)密钥交换的安全连接中的网络流量,并且不建议服务器启用这种安全连接,因为使用RSA密钥交换不支持完美前向保密。可能不允许网络装置使用服务器的证书和私钥破译流量,其中流量跨越使用支持完美前向保密的密钥交换算法(诸如Diffie

Hellman(DH)、Elliptic

Curve DH(ECDH)等)的安全连接。随着现代应用和服务器在网络连接握手中远离RSA密钥交换,网络装置可能无法破译TLS流量。另一种方法是使用与服务器相同的证书和私钥终止网络装置上的安全连接。由于网络装置既充当服务器又充当客户机,因此这种方法在计算上可能是昂贵且具有挑战性的。
[0011]根据本文描述的实施例,例如,网络装置可以破译安全连接流量而无需在网络装置上安装服务器证书和私钥,并且无需在网络装置处终止安全连接。这样的实施例可以在网络装置之外维持安全连接并提供网络装置在SDP中的参与。特别地,网络装置可以拦截、解密和检查流量。网络装置然后可以转发原始加密流量或对流量执行其他流量路由/过滤。
[0012]服务器侧网络上的第二网络装置(例如,Netscaler应用输送控制器(ADC)装置)可以终止安全连接。第二网络装置和客户机装置中间的第一网络装置(例如,SDWAN装置,例如在客户机装置侧或源)可以确定第二网络装置终止安全连接。第一网络装置可以从第二网络装置获得密钥信息,并且可以拦截TLS会话以应用例如URL过滤器和执行基于URL的流量引导。
[0013]第一网络装置可以设置TCP选项以确定安全连接是否被第二网络装置终止。在一
些实施例中,诸如SDWAN装置的第三网络装置(也在位于第一和第二网络装置之间的服务器侧网络上)可以从第一网络装置接收TCP选项并将这些TCP选项传递到第二网络装置。第三网络装置可以等待来自第二网络装置的确认消息。在第二网络装置终止安全连接的情况下,第二网络装置可以用指示第二网络装置终止安全连接的TCP选项来响应TCP选本文档来自技高网
...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种系统,包括:第一网络装置,其具有穿过所述第一网络装置的安全连接,并与第二网络装置通信,所述第一网络装置和所述第二网络装置在至少一个客户机装置和至少一个服务器的中间,以及所述第一网络装置被配置为:确定所述第二网络装置终止所述安全连接;响应于确定所述第二网络装置终止所述安全连接,从所述第二网络装置接收所述安全连接的密钥生成信息;以及使用接收到的密钥生成信息对目的地为所述至少一个客户机装置或所述至少一个服务器的所述安全连接的一个或多个分组进行破译,以在所述第一网络装置处调节所述安全连接的网络流量。2.根据权利要求1所述的系统,其中,所述第一网络装置还被配置为使用所述密钥生成信息生成密码密钥,以对所述安全连接的一个或多个分组进行破译。3.根据权利要求1所述的系统,其中,所述第一网络装置还被配置为响应于检查所破译的一个或多个分组来执行分组过滤或路由中的至少之一。4.根据权利要求1所述的系统,其中,所述第一网络装置还被配置为在传送到所述第二网络装置的分组中设置一个或多个传输控制协议(TCP)选项。5.根据权利要求4所述的系统,其中,在传送到所述第二网络装置的分组中设置的一个或多个TCP选项使所述第二网络装置以指示所述第二网络装置终止所述安全连接的分组进行响应。6.根据权利要求1所述的系统,还包括在所述第一网络装置和所述第二网络装置中间的第三网络装置,所述安全连接通过所述第三网络装置和所述第一网络装置。7.根据权利要求6所述的系统,其中,所述第三网络装置被配置为在所述第三网络装置和所述第二网络装置之间建立安全通道。8.根据权利要求6所述的系统,其中,所述第三网络装置被配置为向所述第二网络装置发送来自所述第一网络装置的握手数据,并且保持除所述握手数据之外的用于经由所述安全连接传输的数据,直到接收到所述密钥生成信息或超时事件发生。9.根据权利要求6所述的系统,其中,所述第三网络装置被配置为从所述第二网络装置请求所述密钥生成信息,并经由所述第三网络装置和所述第二网络装置之间的安全通道接收所述密钥生成信息。10.根据权利要求9所述的系统,其中,所述第三网络装置被配置为将接收到的密钥生成信息发送到所述第一网络装置。11.一种方法,包括:由与第二网络装置通信并具有穿过第一网络装置的安全连接的所述第一网络装置确定所述第二网络装置终止所述安全连接,所述第一网络装置和所述第二网络装置在至少一个客户机装置和至少一个服务器的中间;由所述第一网络装置响应于确定所述第二网络装置终止所述安全连接,从所述第二网络装置接收所述安全连接的密钥生成信息;以及由所述第一网络装置使用接收到的密钥生成信息对目...

【专利技术属性】
技术研发人员:J
申请(专利权)人:思杰系统有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1