[发明专利]在节点之间建立安全通信信道以允许节点之间执行的经加密通信的检查

说明书

本申请是PCT国际申请号为PCT/US2011/021627、国际申请日为2011年1月19日、中国国家申请号为201180007466.9、题为“至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查”的申请的分案申请。

技术领域

本公开涉及至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查。

背景技术

在一种传统配置中，企业网可包括与第二网络节点耦合的第一网络节点。第二网络节点可使企业网耦合至包括第三网络节点的外部网。第二网络接口可为企业网提供安全特征，所述安全特征涉及从企业网传至外部网(反之亦然)的分组的检查和/或分析。

在这种传统网络配置中，第一网络节点和第三网络节点可彼此交换经加密的通信。这些通信可基于由第一网络节点和第三网络节点交换的、但不对第二网络节点公开的密钥来执行。这可防止第二网络节点有能力对第一网络节点和第三网络节点之间经加密的通信内容进行有意义的检查和/或分析。不利的是，这可能危及企业网的安全性，或不利地影响企业网(例如通过将诸如病毒等引入到企业网)。

此外，相对大数量的安全连接可能越过第二网络节点。在这种传统配置中，为了执行这种有意义的检查和/或其它分析，第二网络节点将这些连接中的每一个与其相应的密钥和/或其它信息相关联。这可能在这种传统配置中引发显著的连接可扩展性问题，这种问题会显著降低这种传统配置中可处理的连接数量和这种传统配置中这种处理可执行的速度两者。另外，在这种传统配置中，这些安全连接的数量和特征随时间流逝可能不是静态的，事实上，其数量和特征在相对短的时间间隔内可能剧烈地变化。给定这些动态变化的连接，为了能执行这种有意义的检查和/或其它分析，可能要对第二网络节点施加显著数量的连接同步处理开销。

另外，在这种传统配置中，第一节点和第三节点之间的每个相应安全连接可能涉及第二节点和第三节点之间的相应安全连接。对于第二网络节点和第三网络节点之间的每个相应安全连接，第二网络节点可与第三网络节点协商相应的密钥，该密钥可用来建立相应的安全连接。假设在这种传统配置中可能存在相对大量的连接，可能会发生不合需的大量密钥协商以及关联的握手，并且在第二节点和第三节点之间可能对不合需的大量密钥作出协商。另外，这种传统配置中也可能牵涉到对不合需的大量密钥的存储和处理。

附图说明

各实施例的特征和优势将随着下面详细说明的深入和对附图的参照而变得清楚，其中相同的附图标记表示相同的部件，在附图中：

图1示出一系统实施例。

图2示出一实施例中的特征。

图3示出一实施例中的特征。

图4示出一实施例中的特征。

图5示出一实施例中的操作。

尽管下面的详细说明将参照示例性实施例而予以展开，然而其许多替代、修正和变化对本领域内技术人员而言将是清楚的。因此，所要求的主题事项应当广泛地予以审视。

具体实施方式

图1示出一系统实施例100。系统100可包括企业域51，该企业域51可通信地耦合至另一域70。域70可至少部分地位于企业域51之外，并可至少部分地包括和/或利用互联网域。企业网51可包括一个或多个客户机网络节点10，所述一个或多个客户机网络节点10可通信地耦合至一个或多个网关和/或网络设施节点120。一个或多个节点120可通信地耦合至域70和/或耦合至包含在域70中的一个或多个服务器节点30。