[发明专利]利用SSL会话票证扩展的可扩缩中间网络设备

说明书

中间网络设备接收针对通过该网络设备在端点服务器和端点客户端之间进行安全通信会话的请求。端点服务器和端点客户端之间的安全会话被分为第一会话和第二会话。第一会话在端点服务器和网络设备之间。第二会话在网络设备和端点客户端之间。网络设备从端点服务器接收第一会话票证。确定在第一会话中代理客户端的会话状态(包括第一会话票证)。网络设备还确定在第二会话中代理服务器的会话状态。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。

技术领域

本公开涉及通过中间网络设备的安全通信会话。

背景技术

传输层安全(TLS)协议包括会话票证(session ticket)扩展，其允许两台计算机之间的安全通信会话在有限的时间内基于预先知道的状态使用简短握手恢复。会话票证扩展将对应用服务器会话状态的缓存卸载到应用客户端。中间网络设备可以被包括在TLS/安全套接层(SSL)连接的路径中以提供额外服务，诸如防火墙、入侵检测/预防和/或负载平衡。

为了参与端点客户端和端点服务器之间使用TLS安全协议的会话，中间设备通常会自行插入并创建两个单独的SSL/TLS会话。中间设备在应用客户端和中间设备处的代理服务器之间创建一个TLS会话。中间设备处的代理客户端发起与应用服务器的第二TLS会话。

互联网工程任务组(IETF)征求意见(RFC)5077描述了TLS协议上的TLS会话票证扩展规范。RFC 5077描述了在“更改密码规范消息”之前，应用服务器向应用客户端发送新的会话票证。该票证对应用客户端是不透明的，并且被用于使用简短握手建立与应用服务器的相同会话的SSL/TLS连接。

附图说明

图1是示出根据示例实施例的端点服务器和端点客户端之间的中间网络设备的系统框图。

图2是根据示例实施例的中间网络设备的简化框图。

图3是示出根据示例实施例的通过中间网络设备发起安全TLS会话的步骤的梯形图。

图4是示出根据示例实施例的中间网络设备封装会话状态和端点票证的系统框图。

图5是示出根据示例实施例的中间网络设备通过会话票证扩展恢复TLS会话的系统框图。

图6是示出根据示例实施例中间网络设备的在代理票证中封装会话标识符以支持传统会话恢复的系统框图。

图7是示出根据示例实施例的中间网络设备封装会话状态和会话票证的操作的流程图。

具体实施方式

概述

本文提出了一种计算机实现的方法，其涉及接收针对通过中间网络设备在第一计算设备和第二计算设备之间进行安全通信会话的请求。第一计算设备和第二计算设备之间的安全通信会话被划分为第一会话和第二会话。第一会话在第一计算设备和中间网络设备之间。第二会话在中间网络设备和第二计算设备之间。中间网络设备从第一计算设备接收第一会话票证。在第一会话中代理客户端的会话状态(包括第一会话票证)被确定。在第二会话中代理服务器的会话状态也被确定。代理客户端的会话状态(包括第一会话票证)和代理服务器的会话状态的组合被封装作为第二会话票证的一部分。

示例实施例

TLS协议会话票证扩展对中间网络设备提供任意额外服务的安全性和可扩缩性带来了挑战。为了支持会话恢复，每个中间网络设备通常存储代理服务器和代理客户端的会话状态以及应用票证。由于单个网络设备可以是用于多个TLS会话的中间设备，所以网络设备存储每个TLS会话的会话状态和票证，限制了网络服务的可扩缩性。