使用服務(wù)名稱識別的傳輸層安全流量控制的制作方法
【專利摘要】流量控制技術(shù)被提供以用于在代理設(shè)備處攔截用于第一設(shè)備和第二設(shè)備之間的安全通信的握手過程中的初始消息�����。從該初始消息提取與該第二設(shè)備相關(guān)聯(lián)的識別信息?�;谠撟R別信息,向第一設(shè)備和第二設(shè)備之間的通信應(yīng)用策略�����。
【專利說明】使用服務(wù)名稱識別的傳輸層安全流量控制
【技術(shù)領(lǐng)域】
[0001]本公開一般涉及計算機(jī)網(wǎng)絡(luò),更具體地��,涉及在兩個網(wǎng)絡(luò)節(jié)點之間的通信��。
【背景技術(shù)】
[0002]通常�,現(xiàn)代網(wǎng)絡(luò)與諸如防火墻之類的代理設(shè)備一起被設(shè)置以對流經(jīng)網(wǎng)絡(luò)邊界的流量應(yīng)用策略決策����。為了應(yīng)用這些策略決策���,防火墻可檢查網(wǎng)絡(luò)流量,通過僅查看分組報頭進(jìn)行淺度檢查����,或通過查看底層分組數(shù)據(jù)執(zhí)行深度分組檢查���。對于不安全的網(wǎng)絡(luò)傳輸���,防火墻可能立即查看全部的網(wǎng)絡(luò)分組,從而在允許消息的任何部分通過防火墻之前�,防火墻能夠?qū)W(wǎng)絡(luò)流量應(yīng)用策略決策。
[0003]隨著更多的網(wǎng)絡(luò)流量被安全地發(fā)送(例如����,使用加密技術(shù))��,在未首先解密消息之前,防火墻不再可能查看全部的網(wǎng)絡(luò)流量�。此外,在某些加密協(xié)議中�����,在未解密消息的情況下防火墻甚至不能確定諸如所期望的消息的統(tǒng)一資源定位符(URL)之類的基本信息。為了完成解密處理��,在任何策略決策被應(yīng)用于流量之前,防火墻通常將需要允許例如某些消息或有限數(shù)量的分組通過該防火墻��。在防火墻處解密網(wǎng)絡(luò)流量需要防火墻執(zhí)行資源密集型操作����。此外,由于網(wǎng)絡(luò)被用于傳送諸如金融交易之類的敏感交易的流量���,因而限制防火墻解密某些敏感流量的規(guī)則和法規(guī)被實施����。
【專利附圖】
【附圖說明】
[0004]圖1示出了其中代理設(shè)備被配置用于使用服務(wù)名稱識別信息的傳輸層安全(TLS)流量控制的示例計算機(jī)網(wǎng)絡(luò)���;
[0005]圖2是示出了在代理設(shè)備處執(zhí)行的用于跨網(wǎng)絡(luò)對第一設(shè)備和第二設(shè)備之間的通信應(yīng)用策略的示例過程的流程圖�����;
[0006]圖3是示出了通過代理設(shè)備在客戶端與服務(wù)器之間的示例消息交換的梯形圖��,其中通信會話被建立以便使該代理設(shè)備不對消息數(shù)據(jù)進(jìn)行解密;
[0007]圖4是示出了通過代理設(shè)備在客戶端與服務(wù)器之間的示例消息交換的梯形圖,其中通信會話被建立以便使該代理設(shè)備對消息數(shù)據(jù)進(jìn)行解密�����;
[0008]圖5是示出了通過代理設(shè)備在客戶端與服務(wù)器之間的示例消息交換的梯形圖,其中通信會話被該代理設(shè)備拒絕;
[0009]圖6示出了為了應(yīng)用策略,代理設(shè)備用于提取服務(wù)器名稱識別信息的示例初始消息;
[0010]圖7示出了包含在初始消息中的示例服務(wù)器名稱指示擴(kuò)展���,為了應(yīng)用策略��,代理設(shè)備分析該服務(wù)器名稱指示擴(kuò)展�����;
[0011]圖8是被配置用于通過使用服務(wù)器名稱識別信息執(zhí)行TLS流量控制的代理設(shè)備的框圖的示例。
【具體實施方式】
[0012]MM
[0013]根據(jù)本文所描述的技術(shù)���,在代理設(shè)備處攔截用于第一設(shè)備和第二設(shè)備間的安全通信的握手過程��。從該握手過程的初始消息提取與第二設(shè)備相關(guān)聯(lián)的識別信息����?�;谠撟R別信息�,向第一設(shè)備和第二設(shè)備之間的通信應(yīng)用策略��。
[0014]具體實施例
[0015]首先參考圖1。圖1是示例計算機(jī)網(wǎng)絡(luò)100的框圖。網(wǎng)絡(luò)100包括客戶端節(jié)點110a-C����、代理設(shè)備120以及服務(wù)器130�。為了簡單起見���,參考數(shù)字110被用于泛指任何一個客戶端llOa-c����。鏈路140a_d使網(wǎng)絡(luò)設(shè)備互相連接。為了簡單起見,將這里的每一個客戶端節(jié)點稱為“客戶端”,并且代理設(shè)備120在此被稱為“代理”�����?�?蛻舳丝刹捎貌煌男问?��。例如,客戶端IlOa-C可以是互聯(lián)網(wǎng)協(xié)議(IP)電話���、筆記本電腦�����、平板電腦、臺式計算機(jī)��、智能手機(jī)�、服務(wù)器計算機(jī)等等�。例如��,客戶端IlOa-C可配備能夠通過互聯(lián)網(wǎng)訪問網(wǎng)絡(luò)內(nèi)容的網(wǎng)絡(luò)瀏覽器。代理設(shè)備120可以是常駐于網(wǎng)絡(luò)邊界或商業(yè)企業(yè)的局域網(wǎng)邊緣的防火墻設(shè)備��。服務(wù)器130可以是托管用于諸如互聯(lián)網(wǎng)銀行、其他網(wǎng)絡(luò)服務(wù)應(yīng)用或其他網(wǎng)絡(luò)內(nèi)容之類的應(yīng)用程序的網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)器。在客戶端IlOa-C和代理設(shè)備120之間的鏈路140a-c可以是體現(xiàn)為銅線�、光纖、無線信道和其他現(xiàn)在已知的或后續(xù)將被開發(fā)的鏈路(以及它們的任意組合)的網(wǎng)絡(luò)通信鏈路��。云140d意圖表示互聯(lián)網(wǎng)�����,其自身可涉及有線鏈路和無線鏈路的結(jié)合,通過該互聯(lián)網(wǎng)���,通信在客戶端llOa-c和服務(wù)器130之間發(fā)生�。
[0016]通過使用諸如傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)�、用戶數(shù)據(jù)報協(xié)議(UDP)����、異步傳輸模式(ATM)協(xié)議�、幀中繼協(xié)議�����、互聯(lián)網(wǎng)分組交換(IPX)協(xié)議以及其他現(xiàn)在已知的或者后續(xù)將被開發(fā)的協(xié)議之類的通信協(xié)議,可在網(wǎng)絡(luò)設(shè)備之間發(fā)送流量150���。
[0017]如圖1所表明的����,例如��,基于服務(wù)器名稱的流量控制的示例能夠在代理120處被實施以便對客戶端llOa-c和服務(wù)器130之間的流量應(yīng)用策略決策����。在代理120處實施的策略決策可由代理120的所有者或管理員進(jìn)行配置。例如����,管理員可確定應(yīng)被應(yīng)用于由代理120攔截的流量的策略列表��。因此�����,通過軟件或硬件模塊示例代理120可確定何時以及怎樣實施策略決策�����。
[0018]基于服務(wù)器名稱的流量控制實施方式的示例可包括在代理120處攔截包括用于客戶端110和服務(wù)器130之間的安全通信的握手過程的或與該握手過程相關(guān)聯(lián)的流量150�。從握手過程的初始消息中提取與服務(wù)器130相關(guān)聯(lián)的識別信息��?����;谠撟R別信息�,向客戶端110和服務(wù)器130之間的通信應(yīng)用策略�����。
[0019]圖2示出了根據(jù)本文的一個或多個示例實施例�����,代理120用于對流量150應(yīng)用策略決策的過程200的流程圖�����。過程200開始于步驟210并進(jìn)行至步驟220�,在步驟220中,在代理設(shè)備120處攔截第一設(shè)備(例如,客戶端)和第二設(shè)備(例如���,服務(wù)器)之間的握手過程的初始消息�����。握手過程的示例可包括消息交換,其中在信道上的正常通信開始之前該信息交換動態(tài)設(shè)置在兩個實體之間所建立的通信信道的參數(shù)��。握手過程被用來建立用于第一設(shè)備和第二設(shè)備之間的安全(例如�,被加密的)通信會話的安全參數(shù)�����。
[0020]在攔截握手過程的初始消息之后,過程進(jìn)行至步驟230�,其中代理設(shè)備120從與服務(wù)器130相關(guān)聯(lián)的初始消息提取識別信息�����。根據(jù)示例實施例,該識別信息可采用不同的形式�����。在一個示例中����,握手過程的初始消息包括傳輸層安全(TLS)握手過程的"ClientHello^ “客戶你好”)消息�����。根據(jù)此示例,代理設(shè)備120可從ClientHello消息中提取服務(wù)器名稱指示(SNI)擴(kuò)展��。如下文所詳細(xì)討論的,SNI通常不被用于安全目的或應(yīng)用策略決策�,而是被用于被虛擬地托管于單一服務(wù)器的多個域名服務(wù)器(DNS)主機(jī)名稱間的區(qū)分����。
[0021]基于步驟230中所提取的識別信息�,在步驟240中代理設(shè)備120對通信應(yīng)用策略���。根據(jù)不同的示例�����,策略決策的應(yīng)用基礎(chǔ)能夠采用多種形式���。根據(jù)一個示例�,識別信息可通過名稱識別服務(wù)器130,并且基于該服務(wù)器130的名稱可應(yīng)用策略決策�����。例如�����,識別信息可以與服務(wù)器的“黑名單”數(shù)據(jù)庫相比較�,到服務(wù)器的“黑名單”數(shù)據(jù)庫的連接應(yīng)該被阻止�。因此,代理設(shè)備120將阻止在客戶端設(shè)備(例如,客戶端設(shè)備IlOa)和服務(wù)器130之間的所有進(jìn)一步的通信���。
[0022]根據(jù)其他示例����,識別信息可以表明用于客戶端和服務(wù)器之間的通信會話的流量的應(yīng)用類型。例如�,識別信息可表明被用于銀行或其他金融服務(wù)操作的數(shù)據(jù)。應(yīng)用的其他示例可包括網(wǎng)絡(luò)語音電話(VoIP)應(yīng)用���、流視頻、社交網(wǎng)絡(luò)�����、照片共享和本領(lǐng)域普通技術(shù)人員所知的其他應(yīng)用�����。
[0023]在又一形式中�,策略的應(yīng)用可能基于服務(wù)器130的聲譽(yù)�����。與服務(wù)器相關(guān)聯(lián)的聲譽(yù)信息是隨著時間從客戶端和服務(wù)器之間的通信會話積累的����。例如�����,識別信息可表明客戶端試圖連接的特定的服務(wù)器具有例如托管間諜程序或惡意軟件的聲譽(yù)�����。因此�,代理120可應(yīng)用與對具有良性聲譽(yù)的服務(wù)器130應(yīng)用的策略決策不同的策略決策�����。
[0024]根據(jù)另一個示例���,策略決策的應(yīng)用可基于服務(wù)器130的類別或服務(wù)器130所服務(wù)的內(nèi)容�����。類別的示例可包括教育�����、娛樂�、金融數(shù)據(jù)和服務(wù)�����、賭博�、游戲、政府����、非法或有問題的材料、新聞和媒體以及其他本領(lǐng)域普通技術(shù)人員所知的類別�。服務(wù)器的一些類別可能很輕易地被允許���,而其他類別可能被管制或拒絕���。
[0025]策略決策本身能夠采用多種形式�����。例如��,策略決策能夠?qū)е略谌魏蜗⒈话l(fā)送至服務(wù)器130之前并且必然在來自服務(wù)器130的任何內(nèi)容到達(dá)客戶端之前在代理設(shè)備120處中止握手過程。在另一示例中�,策略決策的應(yīng)用能夠?qū)е驴蛻舳?10和服務(wù)器130之間的未來的流量通過代理設(shè)備120而不在代理設(shè)備120處進(jìn)行任何解密和/或重加密���。在又一示例中,策略決策的應(yīng)用導(dǎo)致未來的通信在代理設(shè)備120處被解密���,其后在代理設(shè)備120處被重加密以用于在客戶端110和服務(wù)器130之間傳輸���。
[0026]過程200結(jié)束于步驟250����。
[0027]現(xiàn)在參考圖3-7以對上述示例進(jìn)行更加詳細(xì)的描述�����。圖3示出了策略決策的應(yīng)用導(dǎo)致客戶端110和服務(wù)器130之間的后續(xù)安全通信通過代理設(shè)備120而未經(jīng)代理設(shè)備120處的解密的示例。初始消息(例如,ClientHello消息335)從客戶端110被發(fā)送以初始化客戶端110和服務(wù)器130之間的握手過程����,從而例如根據(jù)TLS協(xié)議與服務(wù)器建立安全通信會話�。ClientHello消息335被代理設(shè)備120攔截�。代理設(shè)備120從ClientHello消息335提取服務(wù)器識別信息���。
[0028]基于服務(wù)器識別信息,代理設(shè)備120對數(shù)據(jù)庫340進(jìn)行查詢�。數(shù)據(jù)庫340可以是代理設(shè)備120的一部分或在代理設(shè)備120外部��。如圖3所描述的�����,數(shù)據(jù)庫340可包括多個數(shù)據(jù)庫�,諸如主機(jī)類別數(shù)據(jù)庫341a�、聲譽(yù)數(shù)據(jù)庫341b和應(yīng)用數(shù)據(jù)庫341c。
[0029]將提取自初始消息的服務(wù)器識別信息與存儲在數(shù)據(jù)庫340中的信息相比較。通過響應(yīng)消息360b返回比較結(jié)果?��;诒容^的結(jié)果�,代理設(shè)備120對客戶端110和服務(wù)器130之間的任何進(jìn)一步通信應(yīng)用策略決策365�����。
[0030]盡管一些示例中策略的應(yīng)用是基于與單一數(shù)據(jù)庫的比較��,然而其他示例可基于與兩個或更多個數(shù)據(jù)庫的比較的結(jié)合來應(yīng)用策略����。例如��,盡管與聲譽(yù)數(shù)據(jù)庫341b的比較可確定通信會話是否應(yīng)被允許�,然而應(yīng)用數(shù)據(jù)庫341c可被用于確定客戶端110和服務(wù)器130之間的后續(xù)通信是否應(yīng)在代理120處解密���。還有一種情況是與多于一個數(shù)據(jù)庫的比較結(jié)果被均衡以確定要應(yīng)用的適當(dāng)策略���。例如�����,代理設(shè)備可被禁止解密金融服務(wù)通信���。因此,即使聲譽(yù)或類別比較能表明通信會話應(yīng)在代理120處解密����,金融服務(wù)數(shù)據(jù)不能被代理120解密的法律要求也將導(dǎo)致通信繼續(xù)下去而不經(jīng)代理120解密。
[0031]如圖3所描述的����,比較結(jié)果是應(yīng)在客戶端110和服務(wù)器130之間建立通信會話(連接)。因此��,代理120向服務(wù)器130轉(zhuǎn)發(fā)ClientHello消息335��?�?蛻舳?10和服務(wù)器130通過消息350完成握手過程�����。如圖3中所示,通過消息370繞過代理120將數(shù)據(jù)發(fā)送至服務(wù)器�����,并且通過消息380繞過代理120將數(shù)據(jù)發(fā)送至客戶端�����。
[0032]現(xiàn)在參考圖4�����。除了策略的應(yīng)用導(dǎo)致通信370被代理120解密、重加密并發(fā)送至服務(wù)器130之外�,圖4中所描述的示例與圖3中的示例相類似。同樣地,來自服務(wù)器130的通信380被代理120解密�、重加密并發(fā)送至客戶端110。由于由代理120所執(zhí)行的加密和解密,握手過程可能以不同于圖3所描述的示例過程的方式進(jìn)行����。具體地����,如圖4所示,如果服務(wù)器識別信息和存儲在數(shù)據(jù)庫340中的信息之間的比較結(jié)果表明連接應(yīng)被建立����,則代理120將發(fā)送代理ClientHello消息336a以在代理120和服務(wù)器130之間初始化握手過程。當(dāng)代理/服務(wù)器握手過程被完成時,通過消息351代理120完成代理/客戶端握手過程��。隨著所有握手過程的完成�,通過在代理120處進(jìn)行解密和重加密能夠?qū)崿F(xiàn)客戶端110和服務(wù)器130之間的通信�����。
[0033]現(xiàn)在轉(zhuǎn)向圖5����,圖5示出了策略的應(yīng)用導(dǎo)致拒絕/阻止客戶端110和服務(wù)器130之間的通信的示例����。因此�,ClientHello消息335不會前往服務(wù)器130,并且從代理120向客戶端110發(fā)送連接拒絕消息337。
[0034]對于圖3和圖4中所描述的導(dǎo)致客戶端110和服務(wù)器130之間的連接的示例����,可在設(shè)備間的任何通信之前應(yīng)用策略決策��。因此��,策略能夠在不破壞握手過程或后續(xù)數(shù)據(jù)交換的情況下被實施。此外�����,在客戶端I1和服務(wù)器130之間的任何通信之前應(yīng)用策略可防止任何惡意或有害通信作為握手過程的一部分被發(fā)送�。
[0035]現(xiàn)在參考圖6和圖7。圖6描述了初始消息的示例�����。具體地����,圖6所描述的是根據(jù)TLS協(xié)議的ClientHello消息600����。被包括在TLS ClientHello消息600內(nèi)的是指示客戶端所支持的最高的TLS協(xié)議的協(xié)議版本指示610���、用來創(chuàng)建用于意圖被發(fā)送的數(shù)據(jù)的加密/解密的“主密鑰”的隨機(jī)數(shù)620���、如果消息試圖執(zhí)行恢復(fù)的握手則很有幫助的會話ID 630、密碼套件指示640�、壓縮方法指示650以及SNI擴(kuò)展660��。
[0036]在握手過程期間��,SNI擴(kuò)展660被添加至TLS協(xié)議以向服務(wù)器指示客戶端試圖連接的主機(jī)名稱。具體地�����,它出現(xiàn)在ClientHello消息600中以幫助基于名稱的虛擬托管�����?����;诿Q的虛擬托管允許在相同IP地址上的單一服務(wù)器上托管多個DNS主機(jī)名稱����。在不安全的HTTP請求中,服務(wù)器能夠從HTTP報頭讀取虛擬主機(jī)��。在加密TLS請求中�����,服務(wù)器不能讀取HTTP報頭直到握手過程被完成之后��。為了向客戶端呈現(xiàn)適當(dāng)?shù)淖C書,服務(wù)器在握手過程完成前了解客戶端試圖到達(dá)哪一個主機(jī)名稱是很有幫助的�����。
[0037]圖7示出了 SNI擴(kuò)展700的示例�����。SNI擴(kuò)展包括ServerNameList (服務(wù)器名稱列表)710����。ServerNameList 710由多個條目組成,例如,作為示例的四個條目710a_d。每個條目包括主機(jī)名稱730a-d和名稱類型740a-d���。例如����,示例實施例能夠列出多個主機(jī)名稱730a-d,所有的主機(jī)名稱730a-d可以是DNS名稱類型。當(dāng)然�,除了 DNS之外的名稱類型也能夠與SNI擴(kuò)展700 —起使用。
[0038]回去參考圖3�,在涉及TLS ClientHello消息600和TLS SNI擴(kuò)展700的使用的示例中��,代理120在服務(wù)器130接收ClientHello消息600之前從ClientHello消息600提取SNI擴(kuò)展700�����。代理120將包含在ClientHello消息600的SNI擴(kuò)展700中的主機(jī)名稱730a-d和/或名稱類型740a-d中的一個或多個與存儲在數(shù)據(jù)庫340中的信息相比較��。通過響應(yīng)消息360b返回比較結(jié)果�����?����;诒容^結(jié)果�,代理設(shè)備120向客戶端110和服務(wù)器130之間的任何進(jìn)一步通信應(yīng)用策略決策��。如上面所討論的,圖3的示例中的策略決策導(dǎo)致TLS握手過程的完成���,從而�����,出于其向服務(wù)器130指示客戶端110試圖連接的主機(jī)的預(yù)期目的�����,服務(wù)器130仍將能夠讀取SNI擴(kuò)展700����。
[0039]圖8描述了被配置以執(zhí)行本文所述的流量控制技術(shù)的代理設(shè)備的示例框圖。代理設(shè)備120包括網(wǎng)絡(luò)接口 810����、處理器820�、總線830以及存儲器840。存儲器840包括用于操作系統(tǒng)841�、防火墻服務(wù)842和客戶端/服務(wù)器代理服務(wù)843的軟件指令�����。存儲器840還包括數(shù)據(jù)庫340���,但是如上面所討論的�,數(shù)據(jù)庫340還可保持在代理設(shè)備120的外部。
[0040]存儲器840可包括只讀存儲器(ROM)��、隨機(jī)存取存儲器(RAM)�����、磁盤存儲介質(zhì)設(shè)備�、光存儲介質(zhì)設(shè)備�、閃速存儲設(shè)備、電氣��、光學(xué)或其他物理/有形(例如����,永久的)存儲器存儲設(shè)備�����。例如,處理器820是為代理設(shè)備邏輯執(zhí)行指令的微處理器或微控制器����。因此�����,一般而言����,存儲器840可包括使用包括計算機(jī)可執(zhí)行指令的軟件編碼的一個或多個有形(永久的)計算機(jī)可讀存儲介質(zhì)(例如,存儲設(shè)備),并且當(dāng)軟件���,特別是防火墻服務(wù)軟件842被(處理器820)執(zhí)行時��,可用于執(zhí)行本文所述的關(guān)于圖2-5的操作。
[0041]本文所描述的流量控制技術(shù)具有多個優(yōu)點�。例如�����,通過攔截握手過程的初始消息�,重要的網(wǎng)絡(luò)資源能夠被保存�����。如圖5所描述的���,在消息335前往服務(wù)器130之前做出阻止客戶端110和服務(wù)器130之間的連接的決定��。因此�,所需的用于完成握手過程的網(wǎng)絡(luò)和計算資源能夠被保存����。具體地��,用來創(chuàng)建和存儲用于加密通信的“主密鑰”的資源發(fā)送和接收ServerHello (服務(wù)器你好),確定并檢索安全證書以及交換能夠被保存的安全密鑰���。此外�����,所需的用來解密和重加密數(shù)據(jù)的計算資源能夠被保存��。
[0042]此外���,由于在客戶端和服務(wù)器之間的通信會話能夠先于客戶端110和服務(wù)器130之間的任何實質(zhì)性通信而被拒絕���,因而資源能夠被保存,否則將需要該資源以終止所建立的連接��。
[0043]總之����,提供了方法、裝置和計算機(jī)可讀有形存儲介質(zhì)以執(zhí)行本文所描述的流量控制技術(shù)。以裝置的形式��,提供了包括處理器、至少一個被配置成通過網(wǎng)絡(luò)發(fā)送和接收消息的網(wǎng)絡(luò)接口單元以及存儲器的裝置���。處理器被配置成攔截用于第一設(shè)備和第二設(shè)備之間的安全通信會話握手過程的初始消息�,從該初始消息提取與第二設(shè)備相關(guān)聯(lián)的識別信息���,并基于該識別信息向第一設(shè)備和第二設(shè)備之間的通信應(yīng)用策略�����。
[0044]以計算機(jī)可讀有形存儲介質(zhì)的形式���,被編碼在計算機(jī)可讀有形介質(zhì)上的指令當(dāng)被處理器執(zhí)行時導(dǎo)致處理器在代理設(shè)備處攔截用于第一設(shè)備和第二設(shè)備之間的安全通信會話的握手過程的初始消息。該指令還導(dǎo)致處理器從該初始消息提取與第二設(shè)備相關(guān)聯(lián)的識別信息��,并基于該識別信息向第一設(shè)備和第二設(shè)備之間的通信應(yīng)用策略�����。
[0045]以上詳細(xì)說明僅意圖作為示例���。
【權(quán)利要求】
1.一種跨網(wǎng)絡(luò)建立連接的方法,包括: 在代理設(shè)備處攔截用于第一設(shè)備和第二設(shè)備之間的安全通信會話的握手過程的初始消息; 從所述初始消息提取與所述第二設(shè)備相關(guān)聯(lián)的識別信息���;并且 基于所述識別信息�����,向所述第一設(shè)備和所述第二設(shè)備之間的通信應(yīng)用策略�����。
2.根據(jù)權(quán)利要求1所述的方法,其中所述初始消息包括傳輸層安全(TLS)握手過程的客戶你好ClientHello消息�����。
3.根據(jù)權(quán)利要求2所述的方法,其中提取所述識別信息包括提取所述ClientHello消息中的服務(wù)器名稱指示擴(kuò)展,其中所述服務(wù)器名稱指示擴(kuò)展表明所述第二設(shè)備的主機(jī)名稱�。
4.根據(jù)權(quán)利要求3所述的方法,其中應(yīng)用包括將所述識別信息與所存儲的其通信被阻止的設(shè)備的信息相比較�����,并且當(dāng)所述識別信息與所述所存儲的信息相匹配時�����,阻止所述第一設(shè)備和所述第二設(shè)備之間的所述安全通信會話����。
5.根據(jù)權(quán)利要求3所述的方法,其中應(yīng)用包括將所述識別信息與所存儲的允許其流量被攔截和解密的設(shè)備的主機(jī)名稱的信息相比較�����,并且還包括當(dāng)所述識別信息和所述所存儲的信息相匹配時����,在所述代理設(shè)備處解密所述第一設(shè)備和所述第二設(shè)備之間的通信����。
6.根據(jù)權(quán)利要求3所述的方法��,其中應(yīng)用包括將所述識別信息與所存儲的表示主機(jī)類別的信息相比較�,并且基于從所述所存儲的信息確定的所述識別信息的類別�����,應(yīng)用策略以允許訪問所述第二設(shè)備和/或解密所述第一設(shè)備和所述第二設(shè)備之間的通信。
7.根據(jù)權(quán)利要求3所述的方法�,其中應(yīng)用包括將所述識別信息與所存儲的表示主機(jī)的聲譽(yù)的信息相比較,并且基于從所述所存儲的信息為所述識別信息確定的聲譽(yù)�,應(yīng)用策略以允許訪問所述第二設(shè)備和/或解密所述第一設(shè)備和所述第二設(shè)備之間的通信。
8.根據(jù)權(quán)利要求3所述的方法�����,其中應(yīng)用包括將所述識別信息與所存儲的表示與主機(jī)相關(guān)聯(lián)的應(yīng)用類型的信息相比較����,并且基于從所存儲的信息為識別信息確定的應(yīng)用類型,應(yīng)用策略以允許訪問所述第二設(shè)備和/或解密所述第一設(shè)備和所述第二設(shè)備之間的通信�。
9.根據(jù)權(quán)利要求1所述的方法,其中應(yīng)用包括確定是否允許所述第一設(shè)備和所述第二設(shè)備之間的通信��。
10.根據(jù)權(quán)利要求1所述的方法���,其中應(yīng)用包括在所述代理設(shè)備向所述第二設(shè)備轉(zhuǎn)發(fā)所述初始消息之前應(yīng)用所述策略�。
11.根據(jù)權(quán)利要求1所述的方法���,其中應(yīng)用包括允許所述第一設(shè)備和所述第二設(shè)備之間的通信而不由所述代理設(shè)備解密消息�。
12.根據(jù)權(quán)利要求1所述的方法,其中應(yīng)用包括將所述識別信息與所存儲的信息相比較��,并且基于所述比較�����,應(yīng)用策略以允許訪問所述第二設(shè)備和/或解密所述第一設(shè)備和所述第二設(shè)備之間的通信���,其中所述所存儲的信息表示允許其流量被攔截和解密的設(shè)備的主機(jī)名稱���、主機(jī)的類別、主機(jī)的聲譽(yù)和/或與主機(jī)相關(guān)聯(lián)的應(yīng)用類型��。
13.一種裝置���,包括: 至少一個網(wǎng)絡(luò)接口單元����,該網(wǎng)絡(luò)接口單元被配置成通過網(wǎng)絡(luò)發(fā)送和接收消息����; 存儲器����; 處理器�����,該處理器被耦合至所述存儲器和所述至少一個網(wǎng)絡(luò)接口����,其中所述處理器被配置成: 攔截用于第一設(shè)備和第二設(shè)備之間的安全通信會話的握手過程的初始消息; 從所述初始消息提取與所述第二設(shè)備相關(guān)聯(lián)的識別信息����;以及 基于所述識別信息����,向所述第一設(shè)備和所述第二設(shè)備之間的通信應(yīng)用策略。
14.根據(jù)權(quán)利要求13所述的裝置��,其中所述初始消息包括傳輸層安全(TLS)握手過程的客戶你好ClientHello消息����,其中所述處理器被配置成提取所述ClientHello消息中的服務(wù)器名稱指示擴(kuò)展���,其中所述服務(wù)器名稱指示擴(kuò)展表明所述第二設(shè)備的主機(jī)名稱���。
15.根據(jù)權(quán)利要求14所述的裝置,其中所述存儲器還被配置成存儲其通信被阻止的設(shè)備的信息�,并且其中所述處理器還被配置成當(dāng)所述識別信息與所述所存儲的信息相匹配時阻止所述第一設(shè)備和所述第二設(shè)備之間的所述安全通信會話����。
16.根據(jù)權(quán)利要求14所述的裝置,其中所述處理器被配置成將所述識別信息與所存儲的表示允許其流量被攔截和解密的設(shè)備的主機(jī)名稱��、主機(jī)的類別�、主機(jī)的聲譽(yù)和/或與主機(jī)相關(guān)聯(lián)的應(yīng)用類型的信息相比較��,并且基于所述比較���,應(yīng)用策略以允許訪問所述第二設(shè)備和/或解密所述第一設(shè)備和所述第二設(shè)備之間的通信。
17.—種通過指令編碼的計算機(jī)可讀有形存儲介質(zhì)���,當(dāng)指令被處理器執(zhí)行時����,導(dǎo)致所述處理器: 在代理設(shè)備處攔截用于第一設(shè)備和第二設(shè)備之間的安全通信會話的握手過程的初始消息; 從所述初始消息提取與所述第二設(shè)備相關(guān)聯(lián)的識別信息���;以及 基于所述識別信息�,向所述第一設(shè)備和所述第二設(shè)備之間的通信應(yīng)用策略����。
18.根據(jù)權(quán)利要求17所述的計算機(jī)可讀有形存儲介質(zhì)���,其中所述初始消息包括傳輸層安全(TLS)握手過程的客戶你好ClientHello消息,并且其中導(dǎo)致所述處理器進(jìn)行提取的所述指令包括導(dǎo)致所述處理器提取所述ClientHello消息中的服務(wù)器名稱指示擴(kuò)展的指令����,其中所述服務(wù)器名稱指示擴(kuò)展表明所述第二設(shè)備的主機(jī)名稱����。
19.根據(jù)權(quán)利要求18所述的計算機(jī)可讀有形存儲介質(zhì)����,其中導(dǎo)致所述處理器進(jìn)行應(yīng)用的所述指令包括導(dǎo)致所述處理器當(dāng)所述識別信息與所存儲的其通信被阻止的設(shè)備的信息相匹配時阻止所述第一設(shè)備和所述第二設(shè)備之間的所述安全通信會話的指令��。
20.根據(jù)權(quán)利要求18所述的計算機(jī)可讀有形存儲介質(zhì)�����,其中導(dǎo)致所述處理器進(jìn)行應(yīng)用的所述指令包括導(dǎo)致所述處理器將所述識別信息與所存儲的信息相比較�����,并且基于所述識別信息與所存儲的表示允許其流量被攔截和解密的設(shè)備的主機(jī)名稱、主機(jī)的類別�����、主機(jī)的聲譽(yù)和/或與主機(jī)相關(guān)聯(lián)的應(yīng)用類型的信息的比較�,應(yīng)用策略以允許訪問所述第二設(shè)備和/或解密所述第一設(shè)備和所述第二設(shè)備之間的通信的指令����。
【文檔編號】H04L9/00GK104322001SQ201380023694
【公開日】2015年1月28日 申請日期:2013年5月15日 優(yōu)先權(quán)日:2012年5月17日
【發(fā)明者】建新·王, 哈瑞·尚克爾, 特雷沃爾·海格蘭德, 尼蘭劍·考杜艾爾, 達(dá)里爾·奧德尼爾特 申請人:思科技術(shù)公司