安全套接字层代理的自适应控制制造技术

本公开的实施例涉及安全套接字层代理的自适应控制。一种网络设备可以对从源设备接收的且与已加密的会话相关联的记录进行解密。网络设备可以处理已解密的记录。网络设备可以对记录进行加密以生成已加密的有效负载。网络设备可以在重传映射中存储条目，条目包括用于对记录进行解密的解密密钥和用于对记录进行加密的加密密钥。网络设备向目的地设备传输第一TCP分组中的已加密的有效负载。网络设备可以接收重新传输的数据，并且可以基于记录条目来确定重新传输的数据与记录相关联。网络设备可以使用解密密钥对重新传输的数据进行解密，并且可以使用加密密钥对已解密的记录进行重新加密。网络设备向目的地设备传输第二TCP分组中的已加密的有效负载。中的已加密的有效负载。中的已加密的有效负载。

【技术实现步骤摘要】
安全套接字层代理的自适应控制


[0001]本公开的实施例涉及计算机网络安全，并且更具体地涉及用于在计算机网络上安全地传输数据的密码协议。

技术介绍

[0002]密码协议(诸如，安全套接字层(SSL)协议、传输层安全(TLS)协议等)可以被用于在计算机网络上安全地传输数据。密码协议可以是为所传输的数据提供加密技术的应用级协议。例如，TLS/SSL可以利用证书和私钥-公钥交换对(exchange pair)来实现对数据在客户端设备与服务器设备之间的安全传输。

技术实现思路

[0003]在一些实现中，一种方法包括：由网络设备对从源设备接收到的记录进行解密，以形成已解密的记录，其中记录与在源设备与目的地设备之间的已加密的会话相关联；由网络设备与保护已加密的会话相关联地处理已解密的记录；由网络设备对已解密的记录进行加密，以生成已加密的记录有效负载；由网络设备基于已加密的记录有效负载被生成，在重传映射中存储记录条目，其中记录条目包括：被用于对记录进行解密的解密密钥、和被用于对已解密的记录进行加密的加密密钥；由网络设备向目的地设备传输一个或多个第一传输控制协议(TCP)分组中的已加密的记录有效负载；由网络设备接收重新传输的数据；由网络设备基于记录条目来确定重新传输的数据与记录相关联；由网络设备使用解密密钥对重新传输的数据进行解密，以重新生成已解密的记录；由网络设备使用加密密钥对重新生成的已解密的记录进行重新加密，以重新生成已加密的记录有效负载；以及由网络设备并且向目的地设备传输一个或多个第二TCP分组中的重新生成的已加密的记录有效负载。
[0004]在一些实现中，一种网络设备包括：一个或多个存储器；以及一个或多个处理器，用以：接收在源设备与目的地设备之间的已加密的会话的记录；在重传映射中存储记录条目，该记录条目与以下相关联：与已加密的会话相关联地处理记录、并且传输与记录相关联的已加密的记录有效负载，其中记录条目包括：将被用于对要检查的记录进行解密的解密密钥、和将被用于对已解密的记录进行加密以生成已加密的记录有效负载的加密密钥；向目的地设备传输一个或多个第一传输控制协议(TCP)分组中的已加密的记录有效负载；接收重新传输的数据；基于记录条目来确定重新传输的数据与记录相关联；使用解密密钥对重新传输的数据进行解密，以重新生成已解密的记录；使用加密密钥对重新生成的已解密的记录进行重新加密，以重新生成已加密的记录有效负载；以及向目的地设备传输一个或多个第二TCP分组中的重新生成的已加密的记录有效负载。
[0005]在一些实现中，一种存储指令集的非瞬态计算机可读介质，指令集包括：一个或多个指令，该一个或多个指令在由网络设备的一个或多个处理器执行时使网络设备：接收与记录相关联的重新传输的数据，该记录先前与使用传输层安全协议的已加密的会话相关联地使用解密密钥和加密密钥而被处理；访问重传映射，以标识与先前被处理的记录相关联
的记录条目；基于记录条目来确定重新传输的数据与记录相关联；使用解密密钥对重新传输的数据进行解密，以重新生成在记录于先前被处理时所生成的已解密的记录；使用加密密钥对重新生成的已解密的记录进行重新加密，以重新生成先前在记录于先前被处理时所生成的已加密的记录有效负载；以及向目的地设备传输一个或多个传输控制协议(TCP)分组中的重新生成的已加密的记录有效负载。
附图说明
[0006]图1A至图1B是本文描述的示例实现的示意图。
[0007]图2是可以实现本文描述的系统和/或方法的示例环境的示意图。
[0008]图3和图4是图2所示一个或多个设备的示例组件的示意图。
[0009]图5是与安全套接字层代理的自适应控制相关的示例过程的流程图。
具体实施方式
[0010]以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或者相似的元件。
[0011]在一些情况下，网络设备需要检查TLS/SSL业务以实施安全策略。例如，网络设备可能需要检查经由通信会话在客户端设备与服务器设备之间传输的TLS/SSL业务。网络设备可能不能检查已加密的TLS/SSL业务(或者某些握手(handshake)模式，诸如，具有前向保密性的Diffie Hellman密钥交换、TLS 1.3握手等)，因为网络设备不知道被利用来对TLS/SSL业务进行加密的密码密钥。
[0012]为了检查TLS/SSL业务，网络设备可以充当中间人，并且将客户端设备与服务器设备之间的连接分为两部分：客户端到网络设备以及网络设备到服务器设备。网络设备可以执行两次TLS握手，与客户端设备的第一次握手和与服务器设备的第二次握手。针对这些握手生成的参数和密码密钥可能不同。在执行两次TLS握手之后，网络设备拥有对针对该通信会话的客户端业务以及服务器业务进行加密和解密所需的密码密钥。
[0013]作为示例，客户端设备可以向服务器设备传输TLS/SSL业务。网络设备可以接收TLS/SSL业务，并且可以使用被用于执行第一次握手的密码密钥来对TLS/SSL业务进行解密。网络设备可以对已解密的TLS/SSL业务执行安全功能。网络设备可以使用被用于执行第二次握手的密码密钥来对TLS/SSL业务进行重新加密。因此，网络设备充当客户端设备与服务器设备之间的SSL代理。虽然已解密的TLS/SSL业务可能与由客户端设备或者服务器设备加密的TLS/SSL业务相同，但是由于网络设备可以使用不同的密码密钥来对TLS/SSL业务进行重新加密，因此，已加密的有效负载可以与由网络设备接收到的已加密的有效负载不同。因此，网络设备可能会需要确保接收设备(例如，客户端设备或者服务器设备)接收到正确的数据。
[0014]为了确保接收设备接收到正确的数据，网络设备充当用于客户端设备和服务器设备的传输控制协议(TCP)端点，并且执行完整的TCP功能性，包括存储用于重新传输的已重新加密的有效负载等。因此，网络设备充当客户端设备与服务器设备之间的TCP代理。在一些情况下，可以具有网络设备在TLS握手之外可以不作为TCP端点进行执行的自适应模式。网络设备可以充当对TLS记录边界进行工作的轻量级TCP报头读写器(read-writer)。
[0015]当充当TCP端点时，网络设备可以从客户端设备接收一个或多个TCP分段。该一个或多个TCP分段可以包括已加密的TLS/SSL记录。充当TCP端点的网络设备可以基于接收到一个或多个TCP分段来向将客户端设备传输确认。网络设备可以对已加密的TLS/SSL记录进行解密，处理(例如，执行安全功能)已解密的TLS/SSL记录，以及对处理过的TLS/SSL记录进行重新加密。网络设备可以经由一个或多个TCP数据分段来将重新加密的TLS/SSL记录传输至服务器设备。
[0016]在一些情况下，网络设备可能未从服务器设备接收到以下确认：该确认指示服务器设备接收到了包括已重新加密的TLS/SSL记录的一个或多个TCP数据分段。在这些情况下，可能发生TCP超时，该TCP超时指示网络设备将将已重新加密的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由网络设备对从源设备接收到的记录进行解密，以形成已解密的记录，其中所述记录与在所述源设备与目的地设备之间的已加密的会话相关联；由所述网络设备与保护所述已加密的会话相关联地处理所述已解密的记录；由所述网络设备对所述已解密的记录进行加密，以生成已加密的记录有效负载；由所述网络设备基于所述已加密的记录有效负载被生成，在重传映射中存储记录条目，其中所述记录条目包括：被用于对所述记录进行解密的解密密钥、和被用于对所述已解密的记录进行加密的加密密钥；由所述网络设备向所述目的地设备传输一个或多个第一传输控制协议(TCP)分组中的所述已加密的记录有效负载；由所述网络设备接收重新传输的数据；由所述网络设备基于所述记录条目来确定所述重新传输的数据与所述记录相关联；由所述网络设备使用所述解密密钥对所述重新传输的数据进行解密，以重新生成所述已解密的记录；由所述网络设备使用所述加密密钥对重新生成的所述已解密的记录进行重新加密，以重新生成所述已加密的记录有效负载；以及由所述网络设备向所述目的地设备传输一个或多个第二TCP分组中的重新生成的所述已加密的记录有效负载。2.根据权利要求1所述的方法，其中所述已加密的记录有效负载的长度与所接收到的所述记录的记录有效负载的长度不同，并且其中在与所述记录相关联的TCP报头中的TCP序列和确认号被调整，以说明所述已加密的记录有效负载的所述长度，其与所接收到的所述记录的所述记录有效负载的所述长度不同。3.根据权利要求1所述的方法，其中所述解密密钥和所述加密密钥与传输层安全协议相关联。4.根据权利要求1所述的方法，其中所述源设备是客户端设备，并且所述目的地设备是应用平台的服务器设备，其中所述已加密的会话是在所述客户端设备与所述应用平台之间的应用会话，并且其中所述记录是所述应用会话的应用数据、或者与所述已加密的会话相关的控制数据。5.根据权利要求1所述的方法，还包括：在对所述记录进行解密之前：接收与所述记录的序列范围相关联的TCP数据分段集合；以及基于在所述TCP数据分段集合中所标识的所述序列范围的序列标识符，确定所述记录已经被接收，其中所述记录基于确定所述记录已经被接收而被解密。6.根据权利要求5所述的方法，还包括：接收与所述已加密的记录有效负载相关联的一个或多个确认；确定所述一个或多个确认与所述已加密的记录有效负载的整个部分相对应；
基于与从所述源设备接收到的所述记录相关联的所述序列范围的所述序列标识符，调整在所述一个或多个确认中所标识的一个或多个序列号；以及基于调整所述一个或多个序列号，将所述一个或多个确认传输至所述源设备。7.根据权利要求5所述的方法，其中所述重新传输的数据基于在与所述重新传输的数据相关联的TCP报头中的传输控制协议(TCP)序列号而被确定为与所述记录相关联。8.根据权利要求1所述的方法，其中所述网络设备基于以下中的一项或多项来将第一会话从TCP报头重调模式转换为TCP端点模式或者使第二会话维持处于所述TCP端点模式：已发布的接收方窗口小于所述记录的大小，发送方拥塞窗口小于所述记录的所述大小，或者在接收到所述记录的整个部分之前发生超时；并且其中所述网络设备基于以下中的一项或多项来将所述第一会话和所述第二会话转换为所述TCP报头重调模式：所述已发布的接收方窗口大于所述记录的大小，所述发送方拥塞窗口大于所述记录的所述大小，或者接收到指示已经接收到所述记录的所述整个部分的一个或多个确认。9.根据权利要求1所述的方法，其中所述网络设备基于以下操作来将会话从TCP报头重调模式转换为TCP端点模式：基于接收到重复的TCP确认而确定包含已重新加密的所述记录的TCP分组的丢失，并且其中所述网络设备将所述会话转换为所述TCP端点模式，以参与TCP拥塞避免和防止与所述源设备相关联的重传超时的发生，所述方法还包括：向所述源设备传输重复的第一确认，以指示所述记录的第一分段被丢失；基于接收到对所述第一分段的重传来向所述源设备传输重复的第二确认，以指示所述记录的第二分段被丢失；确定所述记录的整个部分已经由所述源设备重新传输；以及基于所述记录的所述整个部分已经被重新传输，从所述TCP端点模式转换为所述TCP报头重调模式。10.一种网络设备，包括：一个或多个存储器；以及一个或多个处理器，用以：接收在源设备与目的地设备之间的已加密的会话的记录；在重传映射中存储记录条目，所述记录条目与以下相关联：与所述已加密的会话相关联地处理所述记录、并且传输与所述记录相关联的已加密的记录有效负载，其中所述记录条目包括：将被用于对要检查的所述记录进行解密的解密密钥、和将被用于对已解密的所述记录进行加密以生成所述...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：