[发明专利]用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质

说明书

本公开的实施例涉及安全套接字层代理的自适应控制。一种网络设备可以对从源设备接收的且与已加密的会话相关联的记录进行解密。网络设备可以处理已解密的记录。网络设备可以对记录进行加密以生成已加密的有效负载。网络设备可以在重传映射中存储条目，条目包括用于对记录进行解密的解密密钥和用于对记录进行加密的加密密钥。网络设备向目的地设备传输第一TCP分组中的已加密的有效负载。网络设备可以接收重新传输的数据，并且可以基于记录条目来确定重新传输的数据与记录相关联。网络设备可以使用解密密钥对重新传输的数据进行解密，并且可以使用加密密钥对已解密的记录进行重新加密。网络设备向目的地设备传输第二TCP分组中的已加密的有效负载。

技术领域

本公开的实施例涉及计算机网络安全，并且更具体地涉及用于在计算机网络上安全地传输数据的密码协议。

背景技术

密码协议(诸如，安全套接字层(SSL)协议、传输层安全(TLS)协议等)可以被用于在计算机网络上安全地传输数据。密码协议可以是为所传输的数据提供加密技术的应用级协议。例如，TLS/SSL可以利用证书和私钥-公钥交换对(exchange pair)来实现对数据在客户端设备与服务器设备之间的安全传输。

发明内容

在一些实现中，一种方法包括：由网络设备对从源设备接收到的记录进行解密，以形成已解密的记录，其中记录与在源设备与目的地设备之间的已加密的会话相关联；由网络设备与保护已加密的会话相关联地处理已解密的记录；由网络设备对已解密的记录进行加密，以生成已加密的记录有效负载；由网络设备基于已加密的记录有效负载被生成，在重传映射中存储记录条目，其中记录条目包括：被用于对记录进行解密的解密密钥、和被用于对已解密的记录进行加密的加密密钥；由网络设备向目的地设备传输一个或多个第一传输控制协议(TCP)分组中的已加密的记录有效负载；由网络设备接收重新传输的数据；由网络设备基于记录条目来确定重新传输的数据与记录相关联；由网络设备使用解密密钥对重新传输的数据进行解密，以重新生成已解密的记录；由网络设备使用加密密钥对重新生成的已解密的记录进行重新加密，以重新生成已加密的记录有效负载；以及由网络设备并且向目的地设备传输一个或多个第二TCP分组中的重新生成的已加密的记录有效负载。

在一些实现中，一种网络设备包括：一个或多个存储器；以及一个或多个处理器，用以：接收在源设备与目的地设备之间的已加密的会话的记录；在重传映射中存储记录条目，该记录条目与以下相关联：与已加密的会话相关联地处理记录、并且传输与记录相关联的已加密的记录有效负载，其中记录条目包括：将被用于对要检查的记录进行解密的解密密钥、和将被用于对已解密的记录进行加密以生成已加密的记录有效负载的加密密钥；向目的地设备传输一个或多个第一传输控制协议(TCP)分组中的已加密的记录有效负载；接收重新传输的数据；基于记录条目来确定重新传输的数据与记录相关联；使用解密密钥对重新传输的数据进行解密，以重新生成已解密的记录；使用加密密钥对重新生成的已解密的记录进行重新加密，以重新生成已加密的记录有效负载；以及向目的地设备传输一个或多个第二TCP分组中的重新生成的已加密的记录有效负载。

在一些实现中，一种存储指令集的非瞬态计算机可读介质，指令集包括：一个或多个指令，该一个或多个指令在由网络设备的一个或多个处理器执行时使网络设备：接收与记录相关联的重新传输的数据，该记录先前与使用传输层安全协议的已加密的会话相关联地使用解密密钥和加密密钥而被处理；访问重传映射，以标识与先前被处理的记录相关联的记录条目；基于记录条目来确定重新传输的数据与记录相关联；使用解密密钥对重新传输的数据进行解密，以重新生成在记录于先前被处理时所生成的已解密的记录；使用加密密钥对重新生成的已解密的记录进行重新加密，以重新生成先前在记录于先前被处理时所生成的已加密的记录有效负载；以及向目的地设备传输一个或多个传输控制协议(TCP)分组中的重新生成的已加密的记录有效负载。

附图说明

图1A至图1B是本文描述的示例实现的示意图。

图2是可以实现本文描述的系统和/或方法的示例环境的示意图。