【技术实现步骤摘要】
安全套接字层代理的自适应控制
[0001]本公开的实施例涉及计算机网络安全,并且更具体地涉及用于在计算机网络上安全地传输数据的密码协议。
技术介绍
[0002]密码协议(诸如,安全套接字层(SSL)协议、传输层安全(TLS)协议等)可以被用于在计算机网络上安全地传输数据。密码协议可以是为所传输的数据提供加密技术的应用级协议。例如,TLS/SSL可以利用证书和私钥-公钥交换对(exchange pair)来实现对数据在客户端设备与服务器设备之间的安全传输。
技术实现思路
[0003]在一些实现中,一种方法包括:由网络设备对从源设备接收到的记录进行解密,以形成已解密的记录,其中记录与在源设备与目的地设备之间的已加密的会话相关联;由网络设备与保护已加密的会话相关联地处理已解密的记录;由网络设备对已解密的记录进行加密,以生成已加密的记录有效负载;由网络设备基于已加密的记录有效负载被生成,在重传映射中存储记录条目,其中记录条目包括:被用于对记录进行解密的解密密钥、和被用于对已解密的记录进行加密的加密密钥;由网络设备向目的地设备传输一个或多个第一传输控制协议(TCP)分组中的已加密的记录有效负载;由网络设备接收重新传输的数据;由网络设备基于记录条目来确定重新传输的数据与记录相关联;由网络设备使用解密密钥对重新传输的数据进行解密,以重新生成已解密的记录;由网络设备使用加密密钥对重新生成的已解密的记录进行重新加密,以重新生成已加密的记录有效负载;以及由网络设备并且向目的地设备传输一个或多个第二TCP分组中的重新生成的 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由网络设备对从源设备接收到的记录进行解密,以形成已解密的记录,其中所述记录与在所述源设备与目的地设备之间的已加密的会话相关联;由所述网络设备与保护所述已加密的会话相关联地处理所述已解密的记录;由所述网络设备对所述已解密的记录进行加密,以生成已加密的记录有效负载;由所述网络设备基于所述已加密的记录有效负载被生成,在重传映射中存储记录条目,其中所述记录条目包括:被用于对所述记录进行解密的解密密钥、和被用于对所述已解密的记录进行加密的加密密钥;由所述网络设备向所述目的地设备传输一个或多个第一传输控制协议(TCP)分组中的所述已加密的记录有效负载;由所述网络设备接收重新传输的数据;由所述网络设备基于所述记录条目来确定所述重新传输的数据与所述记录相关联;由所述网络设备使用所述解密密钥对所述重新传输的数据进行解密,以重新生成所述已解密的记录;由所述网络设备使用所述加密密钥对重新生成的所述已解密的记录进行重新加密,以重新生成所述已加密的记录有效负载;以及由所述网络设备向所述目的地设备传输一个或多个第二TCP分组中的重新生成的所述已加密的记录有效负载。2.根据权利要求1所述的方法,其中所述已加密的记录有效负载的长度与所接收到的所述记录的记录有效负载的长度不同,并且其中在与所述记录相关联的TCP报头中的TCP序列和确认号被调整,以说明所述已加密的记录有效负载的所述长度,其与所接收到的所述记录的所述记录有效负载的所述长度不同。3.根据权利要求1所述的方法,其中所述解密密钥和所述加密密钥与传输层安全协议相关联。4.根据权利要求1所述的方法,其中所述源设备是客户端设备,并且所述目的地设备是应用平台的服务器设备,其中所述已加密的会话是在所述客户端设备与所述应用平台之间的应用会话,并且其中所述记录是所述应用会话的应用数据、或者与所述已加密的会话相关的控制数据。5.根据权利要求1所述的方法,还包括:在对所述记录进行解密之前:接收与所述记录的序列范围相关联的TCP数据分段集合;以及基于在所述TCP数据分段集合中所标识的所述序列范围的序列标识符,确定所述记录已经被接收,其中所述记录基于确定所述记录已经被接收而被解密。6.根据权利要求5所述的方法,还包括:接收与所述已加密的记录有效负载相关联的一个或多个确认;确定所述一个或多个确认与所述已加密的记录有效负载的整个部分相对应;
基于与从所述源设备接收到的所述记录相关联的所述序列范围的所述序列标识符,调整在所述一个或多个确认中所标识的一个或多个序列号;以及基于调整所述一个或多个序列号,将所述一个或多个确认传输至所述源设备。7.根据权利要求5所述的方法,其中所述重新传输的数据基于在与所述重新传输的数据相关联的TCP报头中的传输控制协议(TCP)序列号而被确定为与所述记录相关联。8.根据权利要求1所述的方法,其中所述网络设备基于以下中的一项或多项来将第一会话从TCP报头重调模式转换为TCP端点模式或者使第二会话维持处于所述TCP端点模式:已发布的接收方窗口小于所述记录的大小,发送方拥塞窗口小于所述记录的所述大小,或者在接收到所述记录的整个部分之前发生超时;并且其中所述网络设备基于以下中的一项或多项来将所述第一会话和所述第二会话转换为所述TCP报头重调模式:所述已发布的接收方窗口大于所述记录的大小,所述发送方拥塞窗口大于所述记录的所述大小,或者接收到指示已经接收到所述记录的所述整个部分的一个或多个确认。9.根据权利要求1所述的方法,其中所述网络设备基于以下操作来将会话从TCP报头重调模式转换为TCP端点模式:基于接收到重复的TCP确认而确定包含已重新加密的所述记录的TCP分组的丢失,并且其中所述网络设备将所述会话转换为所述TCP端点模式,以参与TCP拥塞避免和防止与所述源设备相关联的重传超时的发生,所述方法还包括:向所述源设备传输重复的第一确认,以指示所述记录的第一分段被丢失;基于接收到对所述第一分段的重传来向所述源设备传输重复的第二确认,以指示所述记录的第二分段被丢失;确定所述记录的整个部分已经由所述源设备重新传输;以及基于所述记录的所述整个部分已经被重新传输,从所述TCP端点模式转换为所述TCP报头重调模式。10.一种网络设备,包括:一个或多个存储器;以及一个或多个处理器,用以:接收在源设备与目的地设备之间的已加密的会话的记录;在重传映射中存储记录条目,所述记录条目与以下相关联:与所述已加密的会话相关联地处理所述记录、并且传输与所述记录相关联的已加密的记录有效负载,其中所述记录条目包括:将被用于对要检查的所述记录进行解密的解密密钥、和将被用于对已解密的所述记录进行加密以生成所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。