在節(jié)點(diǎn)之間建立安全通信信道以允許節(jié)點(diǎn)之間執(zhí)行的經(jīng)加密通信的檢查的制作方法
【專利說明】在節(jié)點(diǎn)之間建立安全通信信道以允許節(jié)點(diǎn)之間執(zhí)行的經(jīng)加密通信的檢查
[0001]本申請是PCT國際申請?zhí)枮镻CT/US2011/021627、國際申請日為2011年I月19日、中國國家申請?zhí)枮?01180007466.9、題為“至少部分地在節(jié)點(diǎn)之間建立安全通信信道以至少部分地允許節(jié)點(diǎn)之間至少部分地執(zhí)行的經(jīng)加密通信的檢查”的申請的分案申請。
技術(shù)領(lǐng)域
[0002]本公開涉及至少部分地在節(jié)點(diǎn)之間建立安全通信信道以至少部分地允許節(jié)點(diǎn)之間至少部分地執(zhí)行的經(jīng)加密通信的檢查。
【背景技術(shù)】
[0003]在一種傳統(tǒng)配置中,企業(yè)網(wǎng)可包括與第二網(wǎng)絡(luò)節(jié)點(diǎn)耦合的第一網(wǎng)絡(luò)節(jié)點(diǎn)。第二網(wǎng)絡(luò)節(jié)點(diǎn)可使企業(yè)網(wǎng)耦合至包括第三網(wǎng)絡(luò)節(jié)點(diǎn)的外部網(wǎng)。第二網(wǎng)絡(luò)接口可為企業(yè)網(wǎng)提供安全特征,所述安全特征涉及從企業(yè)網(wǎng)傳至外部網(wǎng)(反之亦然)的分組的檢查和/或分析。
[0004]在這種傳統(tǒng)網(wǎng)絡(luò)配置中,第一網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)可彼此交換經(jīng)加密的通信。這些通信可基于由第一網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)交換的、但不對第二網(wǎng)絡(luò)節(jié)點(diǎn)公開的密鑰來執(zhí)行。這可防止第二網(wǎng)絡(luò)節(jié)點(diǎn)有能力對第一網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)之間經(jīng)加密的通信內(nèi)容進(jìn)行有意義的檢查和/或分析。不利的是,這可能危及企業(yè)網(wǎng)的安全性,或不利地影響企業(yè)網(wǎng)(例如通過將諸如病毒等引入到企業(yè)網(wǎng))。
[0005]此外,相對大數(shù)量的安全連接可能越過第二網(wǎng)絡(luò)節(jié)點(diǎn)。在這種傳統(tǒng)配置中,為了執(zhí)行這種有意義的檢查和/或其它分析,第二網(wǎng)絡(luò)節(jié)點(diǎn)將這些連接中的每一個與其相應(yīng)的密鑰和/或其它信息相關(guān)聯(lián)。這可能在這種傳統(tǒng)配置中引發(fā)顯著的連接可擴(kuò)展性問題,這種問題會顯著降低這種傳統(tǒng)配置中可處理的連接數(shù)量和這種傳統(tǒng)配置中這種處理可執(zhí)行的速度兩者。另外,在這種傳統(tǒng)配置中,這些安全連接的數(shù)量和特征隨時間流逝可能不是靜態(tài)的,事實(shí)上,其數(shù)量和特征在相對短的時間間隔內(nèi)可能劇烈地變化。給定這些動態(tài)變化的連接,為了能執(zhí)行這種有意義的檢查和/或其它分析,可能要對第二網(wǎng)絡(luò)節(jié)點(diǎn)施加顯著數(shù)量的連接同步處理開銷。
[0006]另外,在這種傳統(tǒng)配置中,第一節(jié)點(diǎn)和第三節(jié)點(diǎn)之間的每個相應(yīng)安全連接可能涉及第二節(jié)點(diǎn)和第三節(jié)點(diǎn)之間的相應(yīng)安全連接。對于第二網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)之間的每個相應(yīng)安全連接,第二網(wǎng)絡(luò)節(jié)點(diǎn)可與第三網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)商相應(yīng)的密鑰,該密鑰可用來建立相應(yīng)的安全連接。假設(shè)在這種傳統(tǒng)配置中可能存在相對大量的連接,可能會發(fā)生不合需的大量密鑰協(xié)商以及關(guān)聯(lián)的握手,并且在第二節(jié)點(diǎn)和第三節(jié)點(diǎn)之間可能對不合需的大量密鑰作出協(xié)商。另外,這種傳統(tǒng)配置中也可能牽涉到對不合需的大量密鑰的存儲和處理。
【附圖說明】
[0007]各實(shí)施例的特征和優(yōu)勢將隨著下面詳細(xì)說明的深入和對附圖的參照而變得清楚,其中相同的附圖標(biāo)記表示相同的部件,在附圖中:
[0008]圖1示出一系統(tǒng)實(shí)施例。
[0009]圖2示出一實(shí)施例中的特征。
[0010]圖3示出一實(shí)施例中的特征。
[0011]圖4示出一實(shí)施例中的特征。
[0012]圖5示出一實(shí)施例中的操作。
[0013]盡管下面的詳細(xì)說明將參照示例性實(shí)施例而予以展開,然而其許多替代、修正和變化對本領(lǐng)域內(nèi)技術(shù)人員而言將是清楚的。因此,所要求的主題事項(xiàng)應(yīng)當(dāng)廣泛地予以審視。
【具體實(shí)施方式】
[0014]圖1示出一系統(tǒng)實(shí)施例100。系統(tǒng)100可包括企業(yè)域51,該企業(yè)域51可通信地耦合至另一域70。域70可至少部分地位于企業(yè)域51之外,并可至少部分地包括和/或利用互聯(lián)網(wǎng)域。企業(yè)網(wǎng)51可包括一個或多個客戶機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)10,所述一個或多個客戶機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)10可通信地耦合至一個或多個網(wǎng)關(guān)和/或網(wǎng)絡(luò)設(shè)施節(jié)點(diǎn)120。一個或多個節(jié)點(diǎn)120可通信地耦合至域70和/或耦合至包含在域70中的一個或多個服務(wù)器節(jié)點(diǎn)30。
[0015]在該實(shí)施例中,“節(jié)點(diǎn)”可意指可通信地耦合在網(wǎng)絡(luò)中或耦合至網(wǎng)絡(luò)的實(shí)體,例如終端站、設(shè)施、海量存儲器、中間站、網(wǎng)絡(luò)接口、客戶機(jī)、服務(wù)器、智能電話、其它通信設(shè)備和/或其一部分。在該實(shí)施例中,“客戶機(jī)”和/或“客戶機(jī)節(jié)點(diǎn)”可互換地使用以意指可能包括(但不是必須包括)終端站的節(jié)點(diǎn)。在該實(shí)施例中,終端站可包括智能電話或其它通信設(shè)備。同樣在該實(shí)施例中,“中間節(jié)點(diǎn)”、“網(wǎng)關(guān)”、“網(wǎng)關(guān)節(jié)點(diǎn)”、“網(wǎng)絡(luò)設(shè)施”和/或“網(wǎng)絡(luò)設(shè)施節(jié)點(diǎn)”可互換地使用以意指可通信地耦合至多個其它節(jié)點(diǎn)并可(但不是必須)提供、促進(jìn)和/或?qū)崿F(xiàn)一個或多個服務(wù)和/或功能的節(jié)點(diǎn),所述一個或多個服務(wù)和/或功能例如是防火墻、交換、轉(zhuǎn)發(fā)、網(wǎng)關(guān)、入侵檢測、負(fù)載平衡和/或路由服務(wù)和/或功能。在該實(shí)施例中,“服務(wù)器”和/或“服務(wù)器節(jié)點(diǎn)”可互換地使用以意指能提供、促進(jìn)和/或?qū)崿F(xiàn)對一個或多個客戶機(jī)的一個或多個服務(wù)和/或功能的節(jié)點(diǎn),所述一個或多個服務(wù)和/或功能例如是數(shù)據(jù)存儲、檢索和/或處理功能。在該實(shí)施例中,“網(wǎng)絡(luò)”可以是或可以包括兩個或更多個節(jié)點(diǎn),這些節(jié)點(diǎn)可通信地耦合在一起。同樣在該實(shí)施例中,如果一個節(jié)點(diǎn)能將一個或多個命令和/或數(shù)據(jù)例如經(jīng)由一個或多個有線和/或無線通信鏈路發(fā)送至另一節(jié)點(diǎn)或接收自另一節(jié)點(diǎn),則一節(jié)點(diǎn)“可通信地耦合”至另一節(jié)點(diǎn)。在該實(shí)施例中,“無線通信鏈路”可意指至少部分地允許至少兩個節(jié)點(diǎn)至少部分地以無線方式通信耦合的任何形態(tài)和/或其一部分。在該實(shí)施例中,“有線通信鏈路”可意指至少部分地允許至少兩個節(jié)點(diǎn)至少部分地經(jīng)由非無線手段至少部分地通信耦合的任何形態(tài)和/或其一部分。同樣在該實(shí)施例中,數(shù)據(jù)可以是或可以包括一個或多個命令,和/或一個或多個命令可以是或可以包含數(shù)據(jù)。
[0016]一個或多個節(jié)點(diǎn)120可包括電路板(CB) 14。CB 14可以是或可以包括系統(tǒng)主板,該系統(tǒng)主板可包括一個或多個主處理器和/或芯片集集成電路12以及計(jì)算機(jī)可讀/寫存儲器21。CB 14可包括一個或多個(未示出的)連接器,所述連接器可允許電路卡(CC) 22電配合和機(jī)械配合于CB 14,以使CB 14中的組件(例如一個或多個集成電路12和/或存儲器21)和CC 22(例如包含在CC 22中的操作電路系統(tǒng)118)可通信地彼此耦合。
[0017]作為不脫離本實(shí)施例的替代或附加,包含在一個或多個集成電路12和/或存儲器21中的一些或所有電路可包含在電路系統(tǒng)118中,和/或電路118中的一些或全部可包含在一個或多個集成電路12和/或存儲器21中。
[0018]在該實(shí)施例中,“電路系統(tǒng)”可單獨(dú)或以組合方式包括例如模擬電路系統(tǒng)、數(shù)字電路系統(tǒng)、硬接線電路系統(tǒng)、可編程電路系統(tǒng)、狀態(tài)機(jī)電路系統(tǒng)和/或包含可由可編程電路系統(tǒng)執(zhí)行的程序指令的存儲器。同樣在該實(shí)施例中,“集成電路”可意指半導(dǎo)體器件和/或微電子器件,例如半導(dǎo)體集成電路芯片。另外,在該實(shí)施例中,術(shù)語“主處理器”、“處理器”、“處理器核”、“核”和/或“控制器”可互換地使用以意指能夠至少部分地執(zhí)行一個或多個算法和/或邏輯操作的電路系統(tǒng)。同樣在該實(shí)施例中,“芯片集”可包括能至少部分地將一個或多個處理器、存儲器和/或其它電系統(tǒng)路可通信地耦合的電路系統(tǒng)。
[0019]節(jié)點(diǎn)10、120和/或30中的每一個可包括各自未示出的用戶接口系統(tǒng),所述用戶接口系統(tǒng)可包括例如鍵盤、定點(diǎn)設(shè)備和顯示系統(tǒng),這些用戶接口系統(tǒng)可允許人類用戶將命令輸入至每個相應(yīng)的節(jié)點(diǎn)和/或系統(tǒng)100以及監(jiān)視這些節(jié)點(diǎn)和/或系統(tǒng)100的操作。操作電路118可通信地耦合至一個或多個客戶機(jī)10和/或一個或多個服務(wù)器30。
[0020]電路118可包括一個或多個集成電路15。一個或多個集成電路15可包括一個或多個處理器核124和/或密碼化電路系統(tǒng)126。在該實(shí)施例中,電路118、一個或多個集成電路15、一個或多個核124和/或電路126能至少部分地執(zhí)行如同由電路系統(tǒng)118執(zhí)行的那些本文所述的密碼化和/或關(guān)聯(lián)的操作。
[0021]一個或多個機(jī)器可讀程序指令可存儲在計(jì)算機(jī)可讀/寫存儲器21中。在一個或多個節(jié)點(diǎn)120操作時,這些指令可由一個或多個集成電路12、電路系