[发明专利]利用准备用于安全协议传输的预处理数据改进安全服务器性能

说明书

本发明涉及计算机系统，特别地，本发明涉及一种方法、系统和计算机程序产品，使用一个安全协议(如加密套接字协议层，或“SSL”，或一个类似的保密协议，如事务处理层保密协议，或“TLS”)对将要传输的数据进行预处理数据来改善网络环境(例如互联网)中的一个安全服务器的性能。

加密套接字协议层，或“SSL”，是一个由网景通讯公司和美国RSA实验室数据保密公司开发的连网协议，能够在一个非安全环境中进行安全的网络通讯。特别是，SSL是被设计为用于互联网环境中，它运行在TCP/IP(传输控制协议/互联网协议)之上的一个协议层。因而应用程序代码驻留在一个网络协议堆栈中的SSL之上。当一个应用程序(如浏览器)产生将被送到一个网络中的同级层的数据之后，数据被传到SSL层，其中对数据运行不同的保密程序，然后SSL层把被转换的数据传递到TCP层。在连接的接收侧，TCP层接收到输入的数据后，将其向上传递到SSL层，其中运行程序将数据恢复到其原始形式，然后恢复后的数据被传递给接收应用程序。最新版本的SSL在1996年11月18日出版的“SSL协议，3.0版本”中有详细的描述，可以在http：//home.netscape.com/eng/ss13/draft302.txt的环球网(“Web”)中得到(在下文中，表示为“SSL标准”)。

作为互联网基础的协议(如TCP/IP)不是被设计用来提供安全数据传输的。互联网的设计初衷是用于学术和科学通讯，设想网络用户将以一个非对抗性的、相互协作的方式工作。随着互联网开始扩展为公共网络，这些社团以外的使用相对受到了限制，大多数新用户都是在大公司里。这些公司拥有数据处理设备，利用不同的保密程序来保护他们的用户数据，如防火墙，不需要建立互联网本身的保密性。然而在过去的几年中，互联网的使用急剧扩大。现在数百万人在定期地使用互联网和环球网。(在下文中，如果不特别区分，术语“互联网”和“环球网”被当作相同的概念。)这些用户执行不同的任务，从交换电子邮件到查询信息和处理商务交易。这些用户可以从家中，从他们的蜂窝电话中，或从一些其它的环境中来访问互联网，其中不是全部都有安全措施的。为了支持作为一个可行的商务场所的互联网的发展，通常被称为“电子商务”或简称为“e-commerce”，必须要开发易于存取和低廉的保密措施。SSL是一个流行的解决措施，常同利用超文本传输协议(“HTTP”)来发送和接收数据的应用程序一起使用。HTTP是最常用于访问互联网中被称为环球网的端口的协议。当HTTP与SSL一起使用来提供安全通讯时，被合称为“HTTPS”。非商业的互联网业务也可从SSL提供的保密性中获益。SSL已被建议同除HTTP以外的其它协议一同使用，如简单邮件传输协议(“SMTP”)和网络新闻传输协议(“NNTP”)。

SSL被设计用来提供几种不同的但互补的保密类型。第一种类型是信息隐私。隐私是指保护信息内容不能被除发送者和预定的接收者以外的其他人读取。隐私是通过使用密码术来对信息进加密和解密来提供的。SSL使用了非对称的密码术，也被称为是公开密钥加密术。如果有正确的私人密钥和与信息创建者的公开密钥相关的解密算法，信息接收者才可以解密一个加密的信息。第二种类型，SSL为正在传输的信息提供数据完整性。数据完整性是指信息接收者检测信息内容在其被创建后是否受到更改的能力(因而反应出信息的不可靠)。一个信息创建者通过一个可产生“信息摘要”或“信息证实代码”的算法来传递信息。换句话说，因为这种类型的算法被认为是“散列算法”，所以算法的输出通常被称作是一个信息的“散列”。该摘要或散列与信息一起被发送。当信息被接收时，接收者也通过一个算法对其进行处理，产生另外一个摘要。如果这一由接收者处理得出的摘要与随信息一同发出的摘要不相匹配，那么可以认为在信息被创建后其内容在某一方面受到了改动。SSL提供的第三种保密类型的特征被称为是鉴定。通过互联网的通讯是作为电子信号序列而产生的，通讯者彼此之间不可见，不能直观地确定在与谁通讯。鉴定是一项技术，帮助确保当事者的身份—无论当事者是一个用户还是一个应用程序。例如，一个用户正在用信用卡通过互联网购买商品，对他来讲，有一点是很重要的，那就是确信正在连接的另一端等待他的信用卡信息的应用程序真正是他所相信的与其交易的卖方，而不是一个等待窃取其信用卡信息的冒名顶替者。