專利名稱:至少部分地在節(jié)點(diǎn)之間建立安全通信信道以至少部分地允許節(jié)點(diǎn)之間至少部分地執(zhí)行的 ...的制作方法
技術(shù)領(lǐng)域:
本公開涉及至少部分地在節(jié)點(diǎn)之間建立安全通信信道以至少部分地允許節(jié)點(diǎn)之間至少部分地執(zhí)行的經(jīng)加密通信的檢查。
背景技術(shù):
在一種傳統(tǒng)配置中�,企業(yè)網(wǎng)可包括與第二網(wǎng)絡(luò)節(jié)點(diǎn)耦合的第一網(wǎng)絡(luò)節(jié)點(diǎn)。第二網(wǎng)絡(luò)節(jié)點(diǎn)可使企業(yè)網(wǎng)耦合至包括第三網(wǎng)絡(luò)節(jié)點(diǎn)的外部網(wǎng)����。第二網(wǎng)絡(luò)接ロ可為企業(yè)網(wǎng)提供安全特征,所述安全特征涉及從企業(yè)網(wǎng)傳至外部網(wǎng)(反之亦然)的分組的檢查和/或分析�。在這種傳統(tǒng)網(wǎng)絡(luò)配置中,第一網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)可彼此交換經(jīng)加密的通信��。這些通信可基于由第一網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)交換的��、但不對(duì)第二網(wǎng)絡(luò)節(jié)點(diǎn)公開的 密鑰來(lái)執(zhí)行��。這可防止第二網(wǎng)絡(luò)節(jié)點(diǎn)有能カ對(duì)第一網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)之間經(jīng)加密的通信內(nèi)容進(jìn)行有意義的檢查和/或分析�����。不利的是��,這可能危及企業(yè)網(wǎng)的安全性��,或不利地影響企業(yè)網(wǎng)(例如通過(guò)將諸如病毒等引入到企業(yè)網(wǎng))��。此外����,相對(duì)大數(shù)量的安全連接可能越過(guò)第二網(wǎng)絡(luò)節(jié)點(diǎn)。在這種傳統(tǒng)配置中����,為了執(zhí)行這種有意義的檢查和/或其它分析,第二網(wǎng)絡(luò)節(jié)點(diǎn)將這些連接中的每ー個(gè)與其相應(yīng)的密鑰和/或其它信息相關(guān)聯(lián)�����。這可能在這種傳統(tǒng)配置中引發(fā)顯著的連接可擴(kuò)展性問(wèn)題�����,這種問(wèn)題會(huì)顯著降低這種傳統(tǒng)配置中可處理的連接數(shù)量和這種傳統(tǒng)配置中這種處理可執(zhí)行的速度兩者。另外���,在這種傳統(tǒng)配置中���,這些安全連接的數(shù)量和特征隨時(shí)間流逝可能不是靜態(tài)的,事實(shí)上�,其數(shù)量和特征在相對(duì)短的時(shí)間間隔內(nèi)可能劇烈地變化。給定這些動(dòng)態(tài)變化的連接�����,為了能執(zhí)行這種有意義的檢查和/或其它分析�����,可能要對(duì)第二網(wǎng)絡(luò)節(jié)點(diǎn)施加顯著數(shù)量的連接同步處理開銷�。另外,在這種傳統(tǒng)配置中�,第一節(jié)點(diǎn)和第三節(jié)點(diǎn)之間的每個(gè)相應(yīng)安全連接可能涉及第ニ節(jié)點(diǎn)和第三節(jié)點(diǎn)之間的相應(yīng)安全連接。對(duì)于第二網(wǎng)絡(luò)節(jié)點(diǎn)和第三網(wǎng)絡(luò)節(jié)點(diǎn)之間的每個(gè)相應(yīng)安全連接���,第二網(wǎng)絡(luò)節(jié)點(diǎn)可與第三網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)商相應(yīng)的密鑰����,該密鑰可用來(lái)建立相應(yīng)的安全連接�。假設(shè)在這種傳統(tǒng)配置中可能存在相對(duì)大量的連接,可能會(huì)發(fā)生不合需的大量密鑰協(xié)商以及關(guān)聯(lián)的握手�����,并且在第二節(jié)點(diǎn)和第三節(jié)點(diǎn)之間可能對(duì)不合需的大量密鑰作出協(xié)商���。另外����,這種傳統(tǒng)配置中也可能牽涉到對(duì)不合需的大量密鑰的存儲(chǔ)和處理���。
各實(shí)施例的特征和優(yōu)勢(shì)將隨著下面詳細(xì)說(shuō)明的深入和對(duì)附圖的參照而變得清楚�����,其中相同的附圖標(biāo)記表示相同的部件�,在附圖中圖I示出一系統(tǒng)實(shí)施例�。圖2示出一實(shí)施例中的特征。圖3示出一實(shí)施例中的特征���。圖4示出一實(shí)施例中的特征��。
圖5示出一實(shí)施例中的操作�。盡管下面的詳細(xì)說(shuō)明將參照示例性實(shí)施例而予以展開,然而其許多替代�����、修正和變化對(duì)本領(lǐng)域內(nèi)技術(shù)人員而言將是清楚的��。因此�����,所要求的主題事項(xiàng)應(yīng)當(dāng)廣泛地予以審視�。
具體實(shí)施例方式圖I示出一系統(tǒng)實(shí)施例100。系統(tǒng)100可包括企業(yè)域51�����,該企業(yè)域51可通信地耦合至另ー域70�����。域70可至少部分地位于企業(yè) 域51之外,并可至少部分地包括和/或利用互聯(lián)網(wǎng)域���。企業(yè)網(wǎng)51可包括一個(gè)或多個(gè)客戶機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)10�����,所述ー個(gè)或多個(gè)客戶機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)10可通信地耦合至一個(gè)或多個(gè)網(wǎng)關(guān)和/或網(wǎng)絡(luò)設(shè)施節(jié)點(diǎn)120。一個(gè)或多個(gè)節(jié)點(diǎn)120可通信地耦合至域70和/或耦合至包含在域70中的一個(gè)或多個(gè)服務(wù)器節(jié)點(diǎn)30��。在該實(shí)施例中�����,“節(jié)點(diǎn)”可意指可通信地耦合在網(wǎng)絡(luò)中或耦合至網(wǎng)絡(luò)的實(shí)體����,例如終端站、設(shè)施��、海量存儲(chǔ)器�����、中間站�����、網(wǎng)絡(luò)接ロ、客戶機(jī)�、服務(wù)器、智能電話���、其它通信設(shè)備和/或其一部分�����。在該實(shí)施例中�����,“客戶機(jī)”和/或“客戶機(jī)節(jié)點(diǎn)”可互換地使用以意指可能包括(但不是必須包括)終端站的節(jié)點(diǎn)���。在該實(shí)施例中,終端站可包括智能電話或其它通信設(shè)備���。同樣在該實(shí)施例中���,“中間節(jié)點(diǎn)”、“網(wǎng)夫”�、“網(wǎng)關(guān)節(jié)點(diǎn)”、“網(wǎng)絡(luò)設(shè)施”和/或“網(wǎng)絡(luò)設(shè)施節(jié)點(diǎn)”可互換地使用以意指可通信地耦合至多個(gè)其它節(jié)點(diǎn)并可(但不是必須)提供、促進(jìn)和/或?qū)崿F(xiàn)ー個(gè)或多個(gè)服務(wù)和/或功能的節(jié)點(diǎn)�,所述ー個(gè)或多個(gè)服務(wù)和/或功能例如是防火墻、交換��、轉(zhuǎn)發(fā)����、網(wǎng)關(guān)、入侵檢測(cè)���、負(fù)載平衡和/或路由服務(wù)和/或功能���。在該實(shí)施例中�,“服務(wù)器”和/或“服務(wù)器節(jié)點(diǎn)”可互換地使用以意指能提供、促進(jìn)和/或?qū)崿F(xiàn)對(duì)ー個(gè)或多個(gè)客戶機(jī)的一個(gè)或多個(gè)服務(wù)和/或功能的節(jié)點(diǎn)�,所述ー個(gè)或多個(gè)服務(wù)和/或功能例如是數(shù)據(jù)存儲(chǔ)、檢索和/或處理功能��。在該實(shí)施例中���,“網(wǎng)絡(luò)”可以是或可以包括兩個(gè)或更多個(gè)節(jié)點(diǎn)�����,這些節(jié)點(diǎn)可通信地耦合在一起�����。同樣在該實(shí)施例中�,如果ー個(gè)節(jié)點(diǎn)能將ー個(gè)或多個(gè)命令和/或數(shù)據(jù)例如經(jīng)由ー個(gè)或多個(gè)有線和/或無(wú)線通信鏈路發(fā)送至另ー節(jié)點(diǎn)或接收自另ー節(jié)點(diǎn),則ー節(jié)點(diǎn)“可通信地耦合”至另ー節(jié)點(diǎn)���。在該實(shí)施例中����,“無(wú)線通信鏈路”可意指至少部分地允許至少兩個(gè)節(jié)點(diǎn)至少部分地以無(wú)線方式通信耦合的任何形態(tài)和/或其一部分�。在該實(shí)施例中,“有線通信鏈路”可意指至少部分地允許至少兩個(gè)節(jié)點(diǎn)至少部分地經(jīng)由非無(wú)線手段至少部分地通信耦合的任何形態(tài)和/或其一部分��。同樣在該實(shí)施例中��,數(shù)據(jù)可以是或可以包括ー個(gè)或多個(gè)命令��,和/或ー個(gè)或多個(gè)命令可以是或可以包含數(shù)據(jù)�。一個(gè)或多個(gè)節(jié)點(diǎn)120可包括電路板(CB) 14。CB 14可以是或可以包括系統(tǒng)主板���,該系統(tǒng)主板可包括一個(gè)或多個(gè)主處理器和/或芯片集集成電路12以及計(jì)算機(jī)可讀/寫存儲(chǔ)器21�����。CB 14可包括ー個(gè)或多個(gè)(未示出的)連接器���,所述連接器可允許電路卡(CC) 22電配合和機(jī)械配合于CB 14����,以使CB 14中的組件(例如ー個(gè)或多個(gè)集成電路12和/或存儲(chǔ)器21)和CC 22 (例如包含在CC 22中的操作電路系統(tǒng)118)可通信地彼此耦合�。作為不脫離本實(shí)施例的替代或附加,包含在ー個(gè)或多個(gè)集成電路12和/或存儲(chǔ)器21中的ー些或所有電路可包含在電路系統(tǒng)118中���,和/或電路118中的ー些或全部可包含在ー個(gè)或多個(gè)集成電路12和/或存儲(chǔ)器21中����。在該實(shí)施例中����,“電路系統(tǒng)”可単獨(dú)或以組合方式包括例如模擬電路系統(tǒng)����、數(shù)字電路系統(tǒng)、硬接線電路系統(tǒng)���、可編程電路系統(tǒng)��、狀態(tài)機(jī)電路系統(tǒng)和/或包含可由可編程電路系統(tǒng)執(zhí)行的程序指令的存儲(chǔ)器�����。同樣在該實(shí)施例中�,“集成電路”可意指半導(dǎo)體器件和/或微電子器件,例如半導(dǎo)體集成電路芯片����。另外,在該實(shí)施例中��,術(shù)語(yǔ)“主處理器”��、“處理器”���、“處理器核”��、“核”和/或“控制器”可互換地使用以意指能夠至少部分地執(zhí)行ー個(gè)或多個(gè)算法和/或邏輯操作的電路系統(tǒng)���。同樣在該實(shí)施例中,“芯片集”可包括能至少部分地將ー個(gè)或多個(gè)處理器���、存儲(chǔ)器和/或其它電系統(tǒng)路可通信地耦合的電路系統(tǒng)���。節(jié)點(diǎn)10�、120和/或30中的每ー個(gè)可包括各自未示出的用戶接ロ系統(tǒng)�,所述用戶接ロ系統(tǒng)可包括例如鍵盤、定點(diǎn)設(shè)備和顯示系統(tǒng)�����,這些用戶接ロ系統(tǒng)可允許人類用戶將命令輸入至每個(gè)相應(yīng)的節(jié)點(diǎn)和/或系統(tǒng)100以及監(jiān)視這些節(jié)點(diǎn)和/或系統(tǒng)100的操作��。操作電路118可通信地耦合至一個(gè)或多個(gè)客戶機(jī)10和/或一個(gè)或多個(gè)服務(wù)器30���。電路118可包括ー個(gè)或多個(gè)集成電路15�。ー個(gè)或多個(gè)集成電路15可包括ー個(gè)或多個(gè)處理器核124和/或密碼化電路系統(tǒng)126���。在該實(shí)施例中�����,電路118、ー個(gè)或多個(gè)集成電路15���、ー個(gè)或多個(gè)核124和/或電路126能至少部分地執(zhí)行如同由電路系統(tǒng)118執(zhí)行的那些本文所述的密碼化和/或關(guān)聯(lián)的操作���。 一個(gè)或多個(gè)機(jī)器可讀程序指令可存儲(chǔ)在計(jì)算機(jī)可讀/寫存儲(chǔ)器21中�����。在ー個(gè)或多個(gè)節(jié)點(diǎn)120操作時(shí)���,這些指令可由ー個(gè)或多個(gè)集成電路12、電路系統(tǒng)118����、ー個(gè)或多個(gè)集成電路15、一個(gè)或多個(gè)處理器核124和/或電路系統(tǒng)126訪問(wèn)和執(zhí)行�。當(dāng)如此執(zhí)行時(shí),這些ー個(gè)或多個(gè)指令可致使ー個(gè)或多個(gè)集成電路12��、電路系統(tǒng)118�����、ー個(gè)或多個(gè)集成電路15�、一個(gè)或多個(gè)處理器核124和/或電路系統(tǒng)126執(zhí)行本文描述的操作,就像這些操作是由ー個(gè)或多個(gè)集成電路12��、電路系統(tǒng)118、ー個(gè)或多個(gè)集成電路15�����、一個(gè)或多個(gè)處理器核124和/或電路系統(tǒng)126執(zhí)行的那樣�����。存儲(chǔ)器21可包括下面類型的存儲(chǔ)器中的ー個(gè)或多個(gè)半導(dǎo)體固件存儲(chǔ)器��、可編程存儲(chǔ)器����、非易失性存儲(chǔ)器、只讀存儲(chǔ)器�、電可編程存儲(chǔ)器、隨機(jī)存取存儲(chǔ)器���、閃存�、磁盤存儲(chǔ)器��、光盤存儲(chǔ)器和/或其它或稍晚研發(fā)出的計(jì)算機(jī)可讀和/或?qū)懘鎯?chǔ)器��。在該實(shí)施例中�,“域”可包括ー個(gè)或多個(gè)節(jié)點(diǎn)以及(未示出的)域當(dāng)局。在該實(shí)施例中�,“域當(dāng)局”可包括能夠至少部分地提供、執(zhí)行和/或促進(jìn)全部或部分地涉及和/或關(guān)聯(lián)于授權(quán)����、識(shí)別和/或安全的ー個(gè)或多個(gè)功能、特征����、協(xié)議和/或操作的ー個(gè)或多個(gè)實(shí)體。例如����,域51和/或70可各自包括一個(gè)或多個(gè)相應(yīng)的(未示出的)域當(dāng)局,這些域當(dāng)局可通信地耦合至一個(gè)或多個(gè)節(jié)點(diǎn)10��、120和/或30���。作為替代或選擇�,系統(tǒng)100中的ー個(gè)或多個(gè)域當(dāng)局的ー些或全部的功能和/或操作可至少部分地由一個(gè)或多個(gè)節(jié)點(diǎn)120和/或30來(lái)實(shí)現(xiàn)���。電路118可根據(jù)ー個(gè)或多個(gè)通信協(xié)議與一個(gè)或多個(gè)客戶機(jī)10和/或ー個(gè)或多個(gè)服務(wù)器30交換數(shù)據(jù)和/或命令�����。例如�����,在該實(shí)施例中�,這些ー個(gè)或多個(gè)協(xié)議可與例如以太網(wǎng)協(xié)議、傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)協(xié)議�、IP的安全性架構(gòu)(IPsec)和/或傳輸層安全性(TLS)協(xié)議相兼容。在系統(tǒng)100中可利用的以太網(wǎng)協(xié)議可遵循或兼容于2000年10月20日出版的電氣和電子工程師協(xié)會(huì)(IEEE)標(biāo)準(zhǔn)802. 3���,2000版中描述的協(xié)議��。在系統(tǒng)100中可利用的TCP/IP協(xié)議可遵循或兼容于1981年9月出版的互聯(lián)網(wǎng)工程任務(wù)組(IETF)請(qǐng)求注解(RFC) 791�、793中描述的協(xié)議�。在系統(tǒng)100中可利用的IPsec協(xié)議可遵循或兼容于2005年12月出版的IETF RFC 4301。在系統(tǒng)100中可利用的TLS協(xié)議可遵循或兼容于2006年4月出版的在IETF 4346中記載的協(xié)議“傳輸層安全性(TLS)協(xié)議I. I版”�。當(dāng)然,許多不同的���、附加的和/或其它的協(xié)議(例如安全相關(guān)和/或?qū)崿F(xiàn)的協(xié)議)可用于這種數(shù)據(jù)和/或命令交換而不脫離本實(shí)施例����,包括例如前述和/或其它版本的日后研發(fā)版本。參見(jiàn)圖5����,系統(tǒng)100可至少部分地執(zhí)行操作500�。例如,在系統(tǒng)100操作時(shí)���,電路系統(tǒng)118可與一個(gè)或多個(gè)客戶機(jī)10和/或一個(gè)或多個(gè)服務(wù)器30交換數(shù)據(jù)和/或命令���,由此可經(jīng)由電路系統(tǒng)118和/或一個(gè)或多個(gè)未示出的非中間節(jié)點(diǎn)至少部分地在一個(gè)或多個(gè)客戶機(jī)10與一個(gè)或多個(gè)服務(wù)器30之間至少部分地建立ー個(gè)或多個(gè)安全通信信道54 (見(jiàn)操作502)。在該實(shí)施例中����,一個(gè)或多個(gè)信道54可包括域51中的一個(gè)或多個(gè)會(huì)話90和域70中的一個(gè)或多個(gè)會(huì)話92。一個(gè)或多個(gè)會(huì)話90可以是或包括域51中的ー個(gè)或多個(gè)安全會(huì)話��,所述安全會(huì)話可以在一個(gè)或多個(gè)客戶機(jī)10和一個(gè)或多個(gè)節(jié)點(diǎn)120 (即ー個(gè)或多個(gè)節(jié)點(diǎn)120中的電路系統(tǒng)118)之間或至少部分地使兩者通信耦合�。一個(gè)或多個(gè)會(huì)話92可以是或包括域70中的ー個(gè)或多個(gè)安全會(huì)話,所述安全會(huì)話可以在電路系統(tǒng)118和一個(gè)或多個(gè)服務(wù)器30之間并至少部分地使兩者通信耦合�。如下面討論的那樣,一個(gè)或多個(gè)會(huì)話90與ー個(gè)或多個(gè)會(huì)話92如此操作以當(dāng)聯(lián)系在一起時(shí)提供一個(gè)或多個(gè)信道54�����。在該實(shí)施例中,術(shù)語(yǔ)“會(huì)話”和“信道”可互換地使用��,并可包括在至少兩個(gè)實(shí)體之間或之中交換數(shù)據(jù)和/或命令�����。另外在該實(shí)施例中���,“安全會(huì)話”可包括其中至少部分地對(duì)數(shù)據(jù)和/或命令的至少一部分進(jìn)行加密的會(huì)話����。在該實(shí)施例中��,“加密”和/或“進(jìn)行加密”可包括ー個(gè)或多個(gè)操作�,這些操作至少部分地包括、便于和/或?qū)е聫拿魑闹挟a(chǎn)生密文��。另外在該實(shí)施例中��,“解密”和/或“進(jìn)行解密”可包括ー個(gè)或多個(gè)操作�,這些操作至少部分地包括、便于和/或?qū)е聫拿芪闹挟a(chǎn)生明文���。此外����,在該實(shí)施例中,“明文”可包括至少部分地被加密和/或已經(jīng)歷和/或當(dāng)前正在經(jīng)歷加密和/或解密的數(shù)據(jù)�����。在該實(shí)施例中�����,“密鑰”可包括可用于加密和/或解密的ー個(gè)或多個(gè)碼元和/或值�����。例如��,在該實(shí)施例中��,一個(gè)或多個(gè)客戶機(jī)10可將意圖發(fā)起在一個(gè)或多個(gè)客戶機(jī)10和一個(gè)或多個(gè)服務(wù)器30之間建立ー個(gè)或多個(gè)安全信道54的一個(gè)或多個(gè)分組發(fā)送至電路系統(tǒng)118��。至少部分地作為這ー個(gè)或多個(gè)分組的響應(yīng)�����,電路系統(tǒng)118可與一個(gè)或多個(gè)客戶機(jī) 10交換數(shù)據(jù)和/或命令����,所述數(shù)據(jù)和/或命令可導(dǎo)致ー個(gè)或多個(gè)會(huì)話90的建立。同時(shí)��,在該實(shí)施例中����,電路系統(tǒng)118可與一個(gè)或多個(gè)服務(wù)器30交換數(shù)據(jù)和/或命令,該數(shù)據(jù)和/或命令可導(dǎo)致ー個(gè)或多個(gè)會(huì)話92的建立�。作為在電路系統(tǒng)118和一個(gè)或多個(gè)客戶機(jī)10之間的數(shù)據(jù)和/或命令交換的一部分,電路系統(tǒng)118可以安全方式(例如作為TLS控制信道握手���、涉及TCP和/或IP選項(xiàng)的帶外技術(shù)和/或IPsec互聯(lián)網(wǎng)密鑰交換的一部分)將ー個(gè)或多個(gè)會(huì)話密鑰(SK)SO發(fā)送至一個(gè)或多個(gè)客戶機(jī)節(jié)點(diǎn)10���。在將ー個(gè)或多個(gè)密鑰80發(fā)送至一個(gè)或多個(gè)客戶機(jī)10之前,一個(gè)或多個(gè)節(jié)點(diǎn)120可至少部分地基于ー個(gè)或多個(gè)密碼化操作(例如包含一個(gè)或多個(gè)單向散列函數(shù))至少部分地產(chǎn)生ー個(gè)或多個(gè)密鑰80�����,所述密碼化操作至少部分地涉及將一個(gè)或多個(gè)域密鑰(DK) 76和一個(gè)或多個(gè)數(shù)據(jù)集(DS) 78作為輸入操作數(shù)����。由此,可至少部分地在域51中的一個(gè)或多個(gè)節(jié)點(diǎn)120和一個(gè)或多個(gè)客戶機(jī)10之間至少部分地產(chǎn)生ー個(gè)或多個(gè)密鑰80作為協(xié)商的結(jié)果�����。可通過(guò)域51中一個(gè)或多個(gè)未示出的域當(dāng)局將ー個(gè)或多個(gè)密鑰76分配給域51���。這些ー個(gè)或多個(gè)域當(dāng)局可至少部分地產(chǎn)生ー個(gè)或多個(gè)密鑰76并將這些密鑰分配給ー個(gè)或多個(gè)節(jié)點(diǎn)120����。然而�����,這ー個(gè)或多個(gè)域當(dāng)局和一個(gè)或多個(gè)節(jié)點(diǎn)120可對(duì)ー個(gè)或多個(gè)客戶機(jī)節(jié)點(diǎn)10和其它實(shí)體(例如域51之內(nèi)和之外的實(shí)體)秘密地保持這ー個(gè)或多個(gè)密鑰76�?����?赏ㄟ^(guò)電路系統(tǒng)118從來(lái)自一個(gè)或多個(gè)客戶機(jī)10發(fā)送至一個(gè)或多個(gè)節(jié)點(diǎn)120的一個(gè)或多個(gè)分組204 (見(jiàn)圖2)中至少部分地提取(或以其它方式獲得)一個(gè)或多個(gè)數(shù)據(jù)集78���。ー個(gè)或多個(gè)數(shù)據(jù)集78可至少部分地關(guān)聯(lián)于一個(gè)或多個(gè)會(huì)話90�。例如��,一個(gè)或多個(gè)數(shù)據(jù)集78可包括能至少部分地識(shí)別ー個(gè)或多個(gè)會(huì)話90的ー個(gè)或多個(gè)值202��。這ー個(gè)或多個(gè)值202可以是或至少部分地包括一個(gè)或多個(gè)客戶機(jī)10和/或一個(gè)或多個(gè)節(jié)點(diǎn)120的一個(gè)或多個(gè)相應(yīng)的唯一標(biāo)識(shí)符的相應(yīng)聯(lián)系。替代地(至少部分)或附加地�,ー個(gè)或多個(gè)值202可至少部分地包括一個(gè)或多個(gè)服務(wù)器30的ー個(gè)或多個(gè)相應(yīng)的標(biāo)識(shí)符。這些唯一標(biāo)識(shí)符可以是或包括��,例如一個(gè)或多個(gè)相應(yīng)地址�、IPsec安全性參數(shù)指標(biāo)和/或其它值(例如會(huì)話上下文信息)。在該實(shí)施例中��,域51中的一個(gè)或多個(gè)未示出的域當(dāng)局可產(chǎn)生ー個(gè)或多個(gè)密鑰76����,由此使(I) 一個(gè)或多個(gè)密鑰76可唯一地關(guān)聯(lián)于域51 ;和(2) —個(gè)或多個(gè)密鑰76基本上是無(wú)法從一個(gè)或多個(gè)密鑰80獲得的(例如從實(shí)際密碼化立場(chǎng)來(lái)看)。在一個(gè)實(shí)施例中����,ー個(gè)或多個(gè)密鑰76可以是或包括一個(gè)或多個(gè)就密碼而言強(qiáng)健的隨機(jī)數(shù)。使用一個(gè)或多個(gè)密鑰80�,每個(gè)相應(yīng)的客戶機(jī)10可至少部分地對(duì)其經(jīng)由一個(gè)或多個(gè)會(huì)話90發(fā)送至一個(gè)或多個(gè)節(jié)點(diǎn)120的相應(yīng)話務(wù)進(jìn)行加密,并至少部分地對(duì)其經(jīng)由ー個(gè)或多個(gè)會(huì)話90從ー個(gè)或多個(gè)節(jié)點(diǎn)120接收的相應(yīng)話務(wù)進(jìn)行解密��。在該實(shí)施例中���,對(duì)ー個(gè)或多個(gè)節(jié)點(diǎn)120的這種話務(wù)可包含一個(gè)或多個(gè)分組(例如在一個(gè)或多個(gè)分組204中)�����,其中ー個(gè)或多個(gè)值202和/或數(shù)據(jù)集78作為明文發(fā)送���?�?蛇x擇ー個(gè)或多個(gè)值202和/或一個(gè)或多個(gè)數(shù)據(jù)集78����,從而當(dāng)以前述方式與一個(gè)或多個(gè)密碼化操作中的一個(gè)或多個(gè)密鑰76結(jié)合使用以產(chǎn)生一個(gè)或多個(gè)密鑰80時(shí)��,使這ー個(gè)或多個(gè)密鑰80中的每ー個(gè)可以是或包含用來(lái)在一個(gè)或多個(gè)網(wǎng)關(guān)120和一個(gè)或多個(gè)客戶機(jī)10之間提供相應(yīng)的獨(dú)立安全會(huì)話的相應(yīng)獨(dú)立會(huì)話密鑰�����。作為在電路系統(tǒng)118和一個(gè)或多個(gè)服務(wù)器30之間的數(shù)據(jù)和/或命令交換的一部分�����,電路系統(tǒng)118可以安全方式(例如作為TLS控制信道握手�、涉及TCP和/或IP選項(xiàng)的帶外技術(shù)和/或IPsec互聯(lián)網(wǎng)密鑰交換的一部分)將ー個(gè)或多個(gè)會(huì)話密鑰82發(fā)送至ー個(gè)或多個(gè)服務(wù)器30��。在將ー個(gè)或多個(gè)密鑰82發(fā)送至一個(gè)或多個(gè)服務(wù)器30之前�����,ー個(gè)或多個(gè)節(jié)點(diǎn)120可至少部分地基于ー個(gè)或多個(gè)密碼化操作(例如包含一個(gè)或多個(gè)單向散列函數(shù))至少部分地產(chǎn)生ー個(gè)或多個(gè)密鑰82,所述密碼化操作至少部分地涉及將ー個(gè)或多個(gè)域密鑰72和一個(gè)或多個(gè)數(shù)據(jù)集78作為輸入操作數(shù)�����。由此��,可至少部分地在域51中的ー個(gè)或多個(gè)節(jié)點(diǎn)120和域70中的一個(gè)或多個(gè)服務(wù)器30之間至少部分地產(chǎn)生ー個(gè)或多個(gè)密鑰82作為協(xié)商的結(jié)果����。可通過(guò)域70中未示出的ー個(gè)或多個(gè)域當(dāng)局將ー個(gè)或多個(gè)密鑰72分配給域70���。這ー個(gè)或多個(gè)域當(dāng)局可至少部分地產(chǎn)生ー個(gè)或多個(gè)密鑰72并將它們分配給ー個(gè)或多個(gè)節(jié)點(diǎn)120�����。然而�,這ー個(gè)或多個(gè)域當(dāng)局和一個(gè)或多個(gè)節(jié)點(diǎn)120可對(duì)ー個(gè)或多個(gè)服務(wù)器節(jié)點(diǎn)30和 其它實(shí)體(例如域70之內(nèi)和之外的其它實(shí)體)秘密地保持這ー個(gè)或多個(gè)密鑰72�����??赏ㄟ^(guò)電路系統(tǒng)118從來(lái)自一個(gè)或多個(gè)服務(wù)器30發(fā)送至一個(gè)或多個(gè)節(jié)點(diǎn)120的一個(gè)或多個(gè)分組208 (見(jiàn)圖2)中至少部分地提取(或以其它方式獲得)一個(gè)或多個(gè)數(shù)據(jù)集74。ー個(gè)或多個(gè)數(shù)據(jù)集74可至少部分地關(guān)聯(lián)于一個(gè)或多個(gè)會(huì)話92。例如�,一個(gè)或多個(gè)數(shù)據(jù)集74可包括能至少部分地識(shí)別ー個(gè)或多個(gè)會(huì)話92的ー個(gè)或多個(gè)值206。這ー個(gè)或多個(gè)值206可以是或至少部分地包括一個(gè)或多個(gè)服務(wù)器30和/或一個(gè)或多個(gè)節(jié)點(diǎn)120的一個(gè)或多個(gè)相應(yīng)的唯一標(biāo)識(shí)符的相應(yīng)聯(lián)系��。替代地(至少部分)或附加地���,一個(gè)或多個(gè)值206可至少部分地包括一個(gè)或多個(gè)客戶機(jī)10的一個(gè)或多個(gè)相應(yīng)的標(biāo)識(shí)符��。這些唯一標(biāo)識(shí)符可以是或包括��,例如一個(gè)或多個(gè)相應(yīng)地址���、IPsec安全性參數(shù)指標(biāo)和/或其它值(例如會(huì)話上下文信息)。因此����,在該實(shí)施例中,依賴于例如操作的域���,一個(gè)或多個(gè)值206和/或一個(gè)或多個(gè)數(shù)據(jù)集74可以至少部分地分別類似于一個(gè)或多個(gè)值202和/或一個(gè)或多個(gè)數(shù)據(jù)集78�。作為替代而不脫離該實(shí)施例的范圍��,依賴于例如操作的域��,一個(gè)或多個(gè)值206和/或一個(gè)或多個(gè)數(shù)據(jù)集74可以至少部分地分別不同于一個(gè)或多個(gè)值202和/或一個(gè)或多個(gè)數(shù)據(jù)集78�����。在該實(shí)施例中��,域70中的一個(gè)或多個(gè)未示出的域當(dāng)局可產(chǎn)生一個(gè)或多個(gè)密鑰72���,由此使(I) 一個(gè)或多個(gè)密鑰72可唯一地關(guān)聯(lián)于域70 ;和(2) —個(gè)或多個(gè)密鑰72基本上是無(wú)法從一個(gè)或多個(gè)密鑰82獲得的(例如從實(shí)際密碼化立場(chǎng)來(lái)看)�。在一個(gè)實(shí)施例中�����,一個(gè) 或多個(gè)密鑰72可以是或包括一個(gè)或多個(gè)就密碼而言強(qiáng)健的隨機(jī)數(shù)�。使用一個(gè)或多個(gè)密鑰82,每個(gè)相應(yīng)服務(wù)器30可至少部分地對(duì)其經(jīng)由一個(gè)或多個(gè)會(huì)話92發(fā)送至一個(gè)或多個(gè)節(jié)點(diǎn)120的相應(yīng)話務(wù)進(jìn)行加密����,并至少部分地對(duì)其經(jīng)由一個(gè)或多個(gè)會(huì)話92從一個(gè)或多個(gè)節(jié)點(diǎn)120接收的相應(yīng)話務(wù)進(jìn)行解密。在該實(shí)施例中�,對(duì)于一個(gè)或多個(gè)節(jié)點(diǎn)120的這種話務(wù)可包含一個(gè)或多個(gè)分組(例如包含在一個(gè)或多個(gè)分組208中),其中一個(gè)或多個(gè)值206和/或數(shù)據(jù)集74作為明文發(fā)送�����。可選擇一個(gè)或多個(gè)值206和/或一個(gè)或多個(gè)數(shù)據(jù)集74�,從而當(dāng)以前述方式與一個(gè)或多個(gè)密碼化操作中的一個(gè)或多個(gè)密鑰72結(jié)合使用以產(chǎn)生一個(gè)或多個(gè)密鑰82時(shí),使這一個(gè)或多個(gè)密鑰82中的每一個(gè)是或包含用來(lái)在一個(gè)或多個(gè)網(wǎng)關(guān)120和一個(gè)或多個(gè)服務(wù)器30之間提供相應(yīng)的獨(dú)立安全會(huì)話的相應(yīng)獨(dú)立會(huì)話密鑰����。在該實(shí)施例中,一個(gè)或多個(gè)域密鑰76可以至少部分地不同于一個(gè)或多個(gè)域密鑰72���。如圖2所示���,在該實(shí)施例中,在域51中��,一個(gè)或多個(gè)客戶機(jī)10可包括多個(gè)客戶機(jī)
220A......220N��,并且一個(gè)或多個(gè)會(huì)話90可包含在客戶機(jī)220A......220N和一個(gè)或多個(gè)網(wǎng)關(guān)
節(jié)點(diǎn)120之間的多個(gè)安全會(huì)話230A……230N��。會(huì)話230A-230N可分別將客戶機(jī)220A……220N通信地耦合至一個(gè)或多個(gè)節(jié)點(diǎn)120���。如前面闡述的那樣����,這些安全會(huì)話230A……230N中的每一個(gè)可至少部分地基于一個(gè)或多個(gè)會(huì)話密鑰80中相應(yīng)的一個(gè)密鑰而產(chǎn)生?�,F(xiàn)在轉(zhuǎn)向圖3,一個(gè)或多個(gè)會(huì)話92可包括單個(gè)安全會(huì)話302�,該安全會(huì)話302可使一個(gè)或多個(gè)網(wǎng)關(guān)120可通信地耦合至一個(gè)或多個(gè)服務(wù)器��。在這種配置中�����,會(huì)話302可至少部分地封裝會(huì)話230A……230N(見(jiàn)圖2)����。在該實(shí)施例中,封裝可包括至少部分地將第一實(shí)體納入到第二實(shí)體的至少一部分中�,和/或?qū)⒌谝粚?shí)體的信息的至少一部分納入到至少一部分第二實(shí)體中,例如將一個(gè)或多個(gè)分組封裝到一個(gè)或多個(gè)幀中���。例如��,網(wǎng)絡(luò)話務(wù)304可經(jīng)由會(huì)話230A……230N從客戶機(jī)220A……220N被發(fā)送至一個(gè)或多個(gè)網(wǎng)關(guān)120中的電路系統(tǒng)118����。在經(jīng)由會(huì)話230A……230N被發(fā)送至電路系統(tǒng)118時(shí)�����,可至少部分地基于一個(gè)或多個(gè)會(huì)話密鑰80對(duì)話務(wù)304進(jìn)行加密。然而�,在話務(wù)304中,一個(gè)或多個(gè)數(shù)據(jù)集78和/或一個(gè)或多個(gè)值202可作為明文發(fā)送�����。電路系統(tǒng)118可至少部分地從話務(wù)304中提取一個(gè)或多個(gè)數(shù)據(jù)集78和/或一個(gè)或多個(gè)值202��。至少部分地基于如此提取的一個(gè)或多個(gè)數(shù)據(jù)集78和/或一個(gè)或多個(gè)值202以及一個(gè)或多個(gè)域密鑰76�����,電路系統(tǒng)118可對(duì)每個(gè)會(huì)話230A……230N動(dòng)態(tài)地重構(gòu)(例如以逐個(gè)分組為基礎(chǔ))相應(yīng)的一個(gè)或多個(gè)會(huì)話密鑰80����,這些會(huì)話密鑰80用來(lái)至少部分地對(duì)話務(wù)304進(jìn)行加密。電路系統(tǒng)118可至少部分地基于如此動(dòng)態(tài)重構(gòu)的一個(gè)或多個(gè)會(huì)話密鑰80來(lái)至少部分地對(duì)話務(wù)304進(jìn)行解密�。電路系統(tǒng)118至少部分地檢查至少部分如此解密的話務(wù)304。這種檢查可涉及例如圖案匹配��、簽名�、校驗(yàn)和、有效性校驗(yàn)和/或其它分析技術(shù)來(lái)檢測(cè)和/或正確地尋址話務(wù)304中未經(jīng)授權(quán)和/或不想要的數(shù)據(jù)和/或指令的存在����。電路系統(tǒng)118可至少部分地基于一個(gè)或多個(gè)會(huì)話密鑰82來(lái)至少部分地對(duì)未加密的話務(wù)304進(jìn)行加密�,并經(jīng)由單個(gè)會(huì)話302將加密的話務(wù)發(fā)送至一個(gè)或多個(gè)服務(wù)器30����。在這之前,電路系統(tǒng)118可至少部分地基于一個(gè)或多個(gè)值206和/或一個(gè)或多個(gè)數(shù)據(jù)集74以及一個(gè)或多個(gè)域密鑰72動(dòng)態(tài)地重構(gòu)(以與之 前結(jié)合一個(gè)或多個(gè)密鑰80描述的相同的方式)一個(gè)或多個(gè)會(huì)話密鑰82�。一個(gè)或多個(gè)服務(wù)器30可經(jīng)由會(huì)話302將話務(wù)306發(fā)送至一個(gè)或多個(gè)網(wǎng)關(guān)120中的電路系統(tǒng)118�。當(dāng)經(jīng)由單個(gè)會(huì)話302發(fā)送至電路系統(tǒng)118時(shí),話務(wù)306可至少部分地基于一個(gè)或多個(gè)會(huì)話密鑰82予以加密�����。然而�,在話務(wù)306中,一個(gè)或多個(gè)數(shù)據(jù)集74和/或一個(gè)或多個(gè)值206可作為明文傳輸���。電路系統(tǒng)118可從話務(wù)306中提取一個(gè)或多個(gè)數(shù)據(jù)集74和/或一個(gè)或多個(gè)值206���。至少部分地基于如此提取的一個(gè)或多個(gè)數(shù)據(jù)集74和/或一個(gè)或多個(gè)值206以及一個(gè)或多個(gè)域密鑰72,電路系統(tǒng)118可動(dòng)態(tài)地重構(gòu)一個(gè)或多個(gè)會(huì)話密鑰82,所述會(huì)話密鑰82至少部分地用來(lái)對(duì)話務(wù)306進(jìn)行加密�����。電路系統(tǒng)118可至少部分地基于如此動(dòng)態(tài)重構(gòu)的一個(gè)或多個(gè)會(huì)話密鑰82來(lái)至少部分地對(duì)話務(wù)306進(jìn)行解密����。電路系統(tǒng)118可至少部分地檢查至少部分地如此解密的話務(wù)306�����。這種檢查可涉及例如圖案匹配�����、簽名�����、校驗(yàn)和�����、有效性校驗(yàn)和/或其它分析技術(shù)來(lái)檢測(cè)和/或正確地尋址話務(wù)306中未經(jīng)授權(quán)和/或不想要的數(shù)據(jù)和/或指令的存在����。電路系統(tǒng)118可至少部分地基于一個(gè)或多個(gè)會(huì)話密鑰80來(lái)至少部分地對(duì)未加密的話務(wù)306進(jìn)行加密����,并可經(jīng)由會(huì)話230A……230N將加密的話務(wù)發(fā)送至客戶機(jī)220A……220N。在這之前,電路系統(tǒng)118可至少部分地基于一個(gè)或多個(gè)值202和/或一個(gè)或多個(gè)數(shù)據(jù)集78以及一個(gè)或多個(gè)域密鑰76動(dòng)態(tài)地重構(gòu)一個(gè)或多個(gè)會(huì)話密鑰80�。替代地,一個(gè)或多個(gè)會(huì)話92可包括域70中的多個(gè)安全會(huì)話402A……402N(見(jiàn)圖4)�����,這些安全會(huì)話402A……402N可通信地耦合一個(gè)或多個(gè)網(wǎng)關(guān)120和一個(gè)或多個(gè)服務(wù)器30��。安全會(huì)話402A……402N可分別對(duì)應(yīng)于安全會(huì)話230A……230N���。在該實(shí)施例中,一個(gè)或多個(gè)數(shù)據(jù)集78可包括與會(huì)話230A……230N關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集404A……404N��。例如�����,一個(gè)或多個(gè)相應(yīng)會(huì)話密鑰80可至少部分地分別基于數(shù)據(jù)集404A……404N和一個(gè)或多個(gè)域密鑰76而產(chǎn)生����,可至少部分地基于這一個(gè)或多個(gè)相應(yīng)會(huì)話密鑰80而對(duì)會(huì)話230A……230N進(jìn)行加密。電路系統(tǒng)118可從分別經(jīng)由會(huì)話2320A……230N從客戶機(jī)220A……220N發(fā)送至電路系統(tǒng)118的話務(wù)304中至少部分地提取數(shù)據(jù)集404A……404N(見(jiàn)圖5中的操作504)��。至少部分地基于如此提取的數(shù)據(jù)集404A……404N以及一個(gè)或多個(gè)域密鑰76����,電路系統(tǒng)118可針對(duì)會(huì)話230A……230N中的每一個(gè)動(dòng)態(tài)地重構(gòu)(例如以逐個(gè)分組為基礎(chǔ))相應(yīng)的一個(gè)或多個(gè)會(huì)話密鑰80���,所述會(huì)話密鑰80用來(lái)至少部分地對(duì)經(jīng)由相應(yīng)的會(huì)話230A……230N發(fā)送的話務(wù)304進(jìn)行加密。電路系統(tǒng)118可至少部分地基于如此動(dòng)態(tài)重構(gòu)的一個(gè)或多個(gè)會(huì)話密鑰80至少部分地對(duì)該話務(wù)304進(jìn)行解密(見(jiàn)圖5中的操作506)�����。電路系統(tǒng)118可至少部分地以前面描述的方式檢查至少部分如此解密的話務(wù)���。電路系統(tǒng)118可至少部分地基于一個(gè)或多個(gè)會(huì)話密鑰82至少部分地對(duì)未加密的話務(wù)304進(jìn)行加密���,并可經(jīng)由會(huì)話402A……402N將加密的話務(wù)406發(fā)送至一個(gè)或多個(gè)服務(wù)器30 (見(jiàn)圖5中的操作508)。在這之前��,電路系統(tǒng)118可至少部分地基于一個(gè)或多個(gè)值206和/或一個(gè)或多個(gè)數(shù)據(jù)集74以及一個(gè)或多個(gè)域密鑰72動(dòng)態(tài)地重構(gòu)(以與之前描述相同的方式)一個(gè)或多個(gè)會(huì)話密鑰82�。替代地,一個(gè)或多個(gè)域密鑰76可至少部分地類似于一個(gè)或多個(gè)密鑰72�。此外作為替代或附加,一個(gè)或多個(gè)網(wǎng)關(guān)120可經(jīng)由一次或多次安全握手和/或協(xié)商操作將一個(gè)或多個(gè)密鑰76和/或一個(gè)或多個(gè)密鑰72提供給一個(gè)或多個(gè)服務(wù)器30��。這允許一個(gè)或多個(gè)服務(wù)器30能夠以前面結(jié)合電路系統(tǒng)118描述的方式動(dòng)態(tài)地重構(gòu)一個(gè)或多個(gè)會(huì)話密鑰82和/或執(zhí)行解密和/或加密操作�。較為有利地,在該實(shí)施例中,不管包含在一個(gè)或多個(gè)會(huì)話90中的各個(gè)會(huì)話的數(shù)量如何���,電路系統(tǒng)118可執(zhí)行與一個(gè)或多個(gè)服務(wù)器30的單密鑰協(xié)商交易(例如導(dǎo)致單會(huì)話密鑰82和/或單域密鑰72的交換和/或協(xié)商)��,所述單密鑰協(xié)商交易允許建立一個(gè)或多個(gè)會(huì)話92中的全部會(huì)話(例如至少部分地基于單會(huì)話密鑰82和/或單域密鑰72)��。結(jié)果�,在該 實(shí)施例中,只有單次握手操作可包含在這個(gè)交易中���。較為有利地����,在該實(shí)施例中�����,這可顯著地減少電路118和一個(gè)或多個(gè)服務(wù)器30之間牽涉到建立一個(gè)或多個(gè)會(huì)話92的密鑰協(xié)商的次數(shù)���、協(xié)商的密鑰的個(gè)數(shù)以及握手次數(shù)。更有利地����,這可顯著減少在本實(shí)施例中使用的密鑰存儲(chǔ)的量。在該實(shí)施例中�,密鑰80和/或82的產(chǎn)生可(至少部分地)總體根據(jù)例如(1)2007年3月30日提交且2008年10月28日公布的Durham等人的美國(guó)專利申請(qǐng)S/N 11/731,562、美國(guó)專利申請(qǐng)公布No. US 2008/0244268和/或(2) 2009年3月2日提交的美國(guó)專利申請(qǐng)S/N 12/396�,125中披露的原理來(lái)實(shí)現(xiàn)。當(dāng)然�,可使用許多其它、附加和/或替代技術(shù)以至少部分地產(chǎn)生一個(gè)或多個(gè)密鑰80和/或一個(gè)或多個(gè)密鑰82�。因此,一個(gè)實(shí)施例可包括至少部分地在第一域內(nèi)的客戶機(jī)和第二域內(nèi)的服務(wù)器之間建立一安全通信信道的電路系統(tǒng)����。該信道可包括處于第一域和第二域中的第一和第二域會(huì)話。該電路系統(tǒng)可產(chǎn)生第一和第二域會(huì)話密鑰�����,該域會(huì)話密鑰可至少部分地分別對(duì)第一和第二域會(huì)話進(jìn)行加密�����?��?苫诒环峙浣o第一域的第一域密鑰和與第一域會(huì)話關(guān)聯(lián)的第一數(shù)據(jù)集產(chǎn)生第一域會(huì)話密鑰�??苫诒环峙浣o第二域的第二域密鑰和與第二域會(huì)話關(guān)聯(lián)的第二數(shù)據(jù)集產(chǎn)生第二域會(huì)話密鑰。在該實(shí)施例中�����,電路系統(tǒng)118能至少部分地基于至少部分地從一個(gè)或多個(gè)分組204和/或208提取的一個(gè)或多個(gè)數(shù)據(jù)集78和/或74而動(dòng)態(tài)地產(chǎn)生一個(gè)或多個(gè)會(huì)話密鑰80和/或82。較為有利地�,這使電路系統(tǒng)118能夠避免(I)必須在存儲(chǔ)器中保持至少部分地基于這些會(huì)話密鑰產(chǎn)生的會(huì)話和會(huì)話密鑰本身之間的永久性關(guān)聯(lián),和/或(2)永久地存儲(chǔ)大量的傳輸層和密碼化狀態(tài)信息��,并對(duì)相應(yīng)會(huì)話作出緩沖�����。較為有利地��,這在本實(shí)施例中可顯著地提高連接可擴(kuò)展性和處理速度��。同樣在該實(shí)施例中�����,由于能至少部分地以前述方式動(dòng)態(tài)地產(chǎn)生一個(gè)或多個(gè)密鑰80,82,電路系統(tǒng)118能動(dòng)態(tài)地分別對(duì)發(fā)送至和/或來(lái)自電路系統(tǒng)118的話務(wù)進(jìn)行解密和/或加密��。較為有利地�,這允許電路系統(tǒng)118和/或一個(gè)或多個(gè)節(jié)點(diǎn)120能對(duì)在一個(gè)或多個(gè)客戶機(jī)10和一個(gè)或多個(gè)服務(wù)器30之間(例如經(jīng)由一個(gè)或多個(gè)安全信道54)的加密通信的內(nèi)容進(jìn)行有意義的檢查和/或分析�����。較為有利地,這可防止危及企業(yè)域51和/或系統(tǒng)100的安全性�,并可改善企業(yè)域51和/或系統(tǒng)100的性能(例如通過(guò)防止病毒侵入域51和/或系統(tǒng)100和或從中除去病毒)。因此��,較為有利地�����,本實(shí)施例的特征可減少安全性��、通信和/或密碼化處理所花費(fèi)的處理帶寬量�,同時(shí)又提高了這種處理執(zhí)行的速度。另外較為有利地�,本實(shí)施例的特征允許這種處理通過(guò)專門的傳輸層和/或密碼化卸荷和/或加 速硬件變得更容易實(shí)現(xiàn)。
權(quán)利要求
1.ー種裝置��,包括 至少部分地在第一域中的至少ー個(gè)客戶機(jī)和第二域中的至少ー個(gè)服務(wù)器之間至少部分地建立至少ー個(gè)安全通信信道的電路系統(tǒng)����,所述至少一個(gè)信道包括在所述第一域中的至少ー個(gè)第一域會(huì)話和在所述第二域中的至少ー個(gè)第二域會(huì)話,所述電路系統(tǒng)至少部分地產(chǎn)生至少ー個(gè)第一域會(huì)話密鑰和至少ー個(gè)第二域會(huì)話密鑰�,所述至少ー個(gè)第一域會(huì)話密鑰和所述至少ー個(gè)第二域會(huì)話密鑰至少部分地分別對(duì)所述至少ー個(gè)第一域會(huì)話和所述至少一個(gè)第二域會(huì)話進(jìn)行加密,所述至少ー個(gè)第一域會(huì)話密鑰至少部分地基于被分配給所述第一域的第一域密鑰和至少部分地與所述至少ー個(gè)第一域會(huì)話關(guān)聯(lián)的至少ー個(gè)第一數(shù)據(jù)集而產(chǎn)生�����,所述至少ー個(gè)第二域會(huì)話密鑰至少部分地基于被分配給所述第二域的第二域密鑰和至少部分地與至少ー個(gè)第二域會(huì)話關(guān)聯(lián)的至少ー個(gè)第二數(shù)據(jù)集而產(chǎn)生。
2.如權(quán)利要求I所述的裝置����,其特征在于 所述第一域至少部分地不同于所述第二域; 被分配給所述第一域的所述第一域密鑰至少部分地不同于所述第二域密鑰��; 所述至少ー個(gè)第一數(shù)據(jù)集包括ー個(gè)或多個(gè)值���,所述ー個(gè)或多個(gè)值至少部分地識(shí)別所述至少ー個(gè)第一域會(huì)話并至少部分地從經(jīng)由所述至少ー個(gè)第一域會(huì)話通信的ー個(gè)或多個(gè)分組可獲得�����;以及 所述至少ー個(gè)第二數(shù)據(jù)集包括ー個(gè)或多個(gè)值���,所述ー個(gè)或多個(gè)值至少部分地識(shí)別所述至少ー個(gè)第二域會(huì)話并至少部分地從經(jīng)由所述至少ー個(gè)第二域會(huì)話通信的ー個(gè)或多個(gè)其它分組可獲得。
3.如權(quán)利要求I所述的裝置��,其特征在于 所述至少一個(gè)客戶機(jī)包括在所述第一域內(nèi)的多個(gè)客戶機(jī)�����; 所述至少ー個(gè)第一域會(huì)話包括在至少ー個(gè)網(wǎng)關(guān)和所述多個(gè)客戶機(jī)之間的第一域內(nèi)的第一多個(gè)會(huì)話; 所述至少ー個(gè)第二域會(huì)話處于所述至少一個(gè)網(wǎng)關(guān)和所述至少一個(gè)服務(wù)器之間����; 所述第一域包括企業(yè)域�����;以及 所述第二域密鑰至少部分地在所述企業(yè)域和所述至少一個(gè)服務(wù)器之間予以協(xié)商�。
4.如權(quán)利要求3所述的裝置���,其特征在于 所述至少ー個(gè)第二域會(huì)話包括至少部分地封裝所述第一多個(gè)會(huì)話的單個(gè)會(huì)話��; 所述電路至少部分地解密和至少部分地檢查經(jīng)由所述第一多個(gè)會(huì)話通信的第一話務(wù)�;以及 所述電路至少部分地解密和至少部分地檢查經(jīng)由所述單個(gè)會(huì)話通信的第二話務(wù)����。
5.如權(quán)利要求3所述的裝置,其特征在于 所述至少ー個(gè)第二域會(huì)話包括在所述第二域內(nèi)的第二多個(gè)會(huì)話��; 所述至少ー個(gè)第一數(shù)據(jù)集包括與所述第一多個(gè)會(huì)話關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集�; 所述電路至少部分地從經(jīng)由所述第一多個(gè)會(huì)話通信的第一話務(wù)中提取所述相應(yīng)的數(shù)據(jù)集; 所述電路至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對(duì)所述第一話務(wù)進(jìn)行解密�;以及 所述電路至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對(duì)經(jīng)由所述第二多個(gè)會(huì)話通信的第二話務(wù)進(jìn)行加密。
6.如權(quán)利要求I所述的裝置�����,其特征在干 所述電路至少部分地包括在下面的ー個(gè)或多個(gè)中 耦合至電路板的電路卡; 網(wǎng)絡(luò)設(shè)施�;以及 ー個(gè)或多個(gè)集成電路,所述集成電路包括一個(gè)或多個(gè)處理器和電路系統(tǒng)以執(zhí)行ー個(gè)或多個(gè)密碼化操作����。
7.—種至少部分地由電路系統(tǒng)執(zhí)行的方法,所述方法包括 通過(guò)所述電路系統(tǒng)至少部分地在第一域中的至少ー個(gè)客戶機(jī)和第二域中的至少ー個(gè) 服務(wù)器之間至少部分地建立至少ー個(gè)安全通信信道���,所述至少一個(gè)信道包括在所述第一域中的至少ー個(gè)第一域會(huì)話和在所述第二域中的至少ー個(gè)第二域會(huì)話�,所述電路系統(tǒng)至少部分地產(chǎn)生至少ー個(gè)第一域會(huì)話密鑰和至少ー個(gè)第二域會(huì)話密鑰�����,所述至少ー個(gè)第一域會(huì)話密鑰和所述至少ー個(gè)第二域會(huì)話密鑰至少部分地分別對(duì)所述至少ー個(gè)第一域會(huì)話和所述至少ー個(gè)第二域會(huì)話進(jìn)行加密���,所述至少ー個(gè)第一域會(huì)話密鑰至少部分地基于被分配給所述第一域的第一域密鑰和至少部分地與至少ー個(gè)第一域會(huì)話關(guān)聯(lián)的至少ー個(gè)第一數(shù)據(jù)集而產(chǎn)生��,所述至少ー個(gè)第二域會(huì)話密鑰至少部分地基于被分配給所述第二域的第二域密鑰和至少部分地與至少ー個(gè)第二域會(huì)話關(guān)聯(lián)的至少ー個(gè)第二數(shù)據(jù)集而產(chǎn)生��。
8.如權(quán)利要求7所述的方法�����,其特征在于 所述第一域至少部分地不同于所述第二域����; 被分配給所述第一域的所述第一域密鑰至少部分地不同于所述第二域密鑰���; 所述至少ー個(gè)第一數(shù)據(jù)集包括ー個(gè)或多個(gè)值�����,所述ー個(gè)或多個(gè)值至少部分地識(shí)別所述至少ー個(gè)第一域會(huì)話并至少部分地從經(jīng)由所述至少ー個(gè)第一域會(huì)話通信的ー個(gè)或多個(gè)分組可獲得��;以及 所述至少ー個(gè)第二數(shù)據(jù)集包括ー個(gè)或多個(gè)值���,所述ー個(gè)或多個(gè)值至少部分地識(shí)別所述至少ー個(gè)第二域會(huì)話并至少部分地從經(jīng)由所述至少ー個(gè)第二域會(huì)話通信的ー個(gè)或多個(gè)其它分組可獲得。
9.如權(quán)利要求7所述的方法�����,其特征在于 所述至少一個(gè)客戶機(jī)包括在所述第一域內(nèi)的多個(gè)客戶機(jī)����; 所述至少ー個(gè)第一域會(huì)話包括在至少ー個(gè)網(wǎng)關(guān)和所述多個(gè)客戶機(jī)之間的第一域內(nèi)的第一多個(gè)會(huì)話; 所述至少ー個(gè)第二域會(huì)話處于所述至少一個(gè)網(wǎng)關(guān)和所述至少一個(gè)服務(wù)器之間����; 所述第一域包括企業(yè)域���;以及 所述第二域密鑰至少部分地在所述企業(yè)域和所述至少一個(gè)服務(wù)器之間予以協(xié)商。
10.如權(quán)利要求9所述的方法�,其特征在于 所述至少ー個(gè)第二域會(huì)話包括至少部分地封裝所述第一多個(gè)會(huì)話的單個(gè)會(huì)話; 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述第一多個(gè)會(huì)話通信的第一話務(wù)����;以及 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述單個(gè)會(huì)話通信的第二話務(wù)。
11.如權(quán)利要求9所述的方法��,其特征在干所述至少ー個(gè)第二域會(huì)話包括在所述第二域內(nèi)的第二多個(gè)會(huì)話���; 所述至少ー個(gè)第一數(shù)據(jù)集包括與所述第一多個(gè)會(huì)話關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集�����; 通過(guò)所述電路系統(tǒng)至少部分地從經(jīng)由所述第一多個(gè)會(huì)話通信的第一話務(wù)中提取所述相應(yīng)的數(shù)據(jù)集����; 通過(guò)所述電路系統(tǒng)至少部分地基于相應(yīng)數(shù)據(jù)集至少部分地對(duì)所述第一話務(wù)進(jìn)行解密�����;以及 通過(guò)所述電路系統(tǒng)至少部分地基于相應(yīng)數(shù)據(jù)集至少部分地對(duì)經(jīng)由所述第二多個(gè)會(huì)話通信的第二話務(wù)進(jìn)行加密。
12.如權(quán)利要求7所述的方法�����,其特征在于 所述電路系統(tǒng)至少部分地包括在下面的ー個(gè)或多個(gè)中 耦合至電路板的電路卡��; 網(wǎng)絡(luò)設(shè)施����;以及 ー個(gè)或多個(gè)集成電路�����,所述集成電路包括一個(gè)或多個(gè)處理器和電路系統(tǒng)以執(zhí)行ー個(gè)或多個(gè)密碼化操作���。
13.存儲(chǔ)ー個(gè)或多個(gè)指令的計(jì)算機(jī)可讀存儲(chǔ)器�,當(dāng)通過(guò)機(jī)器執(zhí)行所述指令時(shí)導(dǎo)致下列操作的執(zhí)行����,包括 通過(guò)電路系統(tǒng)至少部分地在第一域中的至少ー個(gè)客戶機(jī)和第二域中的至少ー個(gè)服務(wù)器之間至少部分地建立至少ー個(gè)安全通信信道,所述至少一個(gè)信道包括在所述第一域中的至少ー個(gè)第一域會(huì)話和在所述第二域中的至少ー個(gè)第二域會(huì)話���,所述電路系統(tǒng)至少部分地產(chǎn)生至少ー個(gè)第一域會(huì)話密鑰和至少ー個(gè)第二域會(huì)話密鑰�����,所述至少ー個(gè)第一域會(huì)話密鑰和所述至少ー個(gè)第二域會(huì)話密鑰至少部分地分別對(duì)所述至少ー個(gè)第一域會(huì)話和所述至少ー個(gè)第二域會(huì)話進(jìn)行加密���,所述至少ー個(gè)第一域會(huì)話密鑰至少部分地基于被分配給所述第一域的第一域密鑰和至少部分地與至少ー個(gè)第一域會(huì)話關(guān)聯(lián)的至少ー個(gè)第一數(shù)據(jù)集而產(chǎn)生�����,所述至少ー個(gè)第二域會(huì)話密鑰至少部分地基于被分配給所述第二域的第二域密鑰和至少部分地與至少ー個(gè)第二域會(huì)話關(guān)聯(lián)的至少ー個(gè)第二數(shù)據(jù)集而產(chǎn)生����。
14.如權(quán)利要求13所述的存儲(chǔ)器����,其特征在干 所述第一域至少部分地不同于所述第二域; 被分配給所述第一域的所述第一域密鑰至少部分地不同于所述第二域密鑰�; 所述至少ー個(gè)第一數(shù)據(jù)集包括ー個(gè)或多個(gè)值,所述ー個(gè)或多個(gè)值至少部分地識(shí)別所述至少ー個(gè)第一域會(huì)話并至少部分地從經(jīng)由所述至少ー個(gè)第一域會(huì)話通信的ー個(gè)或多個(gè)分組可獲得���;以及 所述至少ー個(gè)第二數(shù)據(jù)集包括ー個(gè)或多個(gè)值����,所述ー個(gè)或多個(gè)值至少部分地識(shí)別所述至少ー個(gè)第二域會(huì)話并至少部分地從經(jīng)由所述至少ー個(gè)第二域會(huì)話通信的ー個(gè)或多個(gè)其它分組可獲得�。
15.如權(quán)利要求13所述的存儲(chǔ)器����,其特征在于 所述至少一個(gè)客戶機(jī)包括在所述第一域內(nèi)的多個(gè)客戶機(jī)�����; 所述至少ー個(gè)第一域會(huì)話包括在至少ー個(gè)網(wǎng)關(guān)和多個(gè)客戶機(jī)之間的第一域內(nèi)的第一多個(gè)會(huì)話����; 所述至少ー個(gè)第二域會(huì)話處于所述至少一個(gè)網(wǎng)關(guān)和所述至少一個(gè)服務(wù)器之間;所述第一域包括企業(yè)域�����;以及 所述第二域密鑰至少部分地在所述企業(yè)域和所述至少一個(gè)服務(wù)器之間予以協(xié)商�����。
16.如權(quán)利要求15所述的存儲(chǔ)器��,其特征在干 所述至少ー個(gè)第二域會(huì)話包括至少部分地封裝所述第一多個(gè)會(huì)話的單個(gè)會(huì)話����; 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述第一多個(gè)會(huì)話通信的第一話務(wù)���;以及 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述單個(gè)會(huì)話通信的第二話務(wù)�����。
17.如權(quán)利要求15所述的存儲(chǔ)器�����,其特征在干 所述至少ー個(gè)第二域會(huì)話包括在所述第二域內(nèi)的第二多個(gè)會(huì)話�����; 所述至少ー個(gè)第一數(shù)據(jù)集包括與所述第一多個(gè)會(huì)話關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集��; 通過(guò)所述電路系統(tǒng)至少部分地從經(jīng)由所述第一多個(gè)會(huì)話通信的第一話務(wù)中提取所述相應(yīng)的數(shù)據(jù)集���; 通過(guò)所述電路系統(tǒng)至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對(duì)所述第一話務(wù)進(jìn)行解密��;以及 通過(guò)所述電路系統(tǒng)至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對(duì)經(jīng)由所述第二多個(gè)會(huì)話通信的第二話務(wù)進(jìn)行加密��。
18.如權(quán)利要求13所述的存儲(chǔ)器�����,其特征在干 所述電路系統(tǒng)至少部分地包括在下面的ー個(gè)或多個(gè)中 耦合至電路板的電路卡�; 網(wǎng)絡(luò)設(shè)施;以及 ー個(gè)或多個(gè)集成電路�����,所述集成電路包括一個(gè)或多個(gè)處理器和電路系統(tǒng)以執(zhí)行ー個(gè)或多個(gè)密碼化操作�����。
19.如權(quán)利要求I所述的裝置���,其特征在于 所述至少ー個(gè)第一域會(huì)話包括多個(gè)會(huì)話�;以及 所述電路系統(tǒng)執(zhí)行與所述至少一個(gè)服務(wù)器的單密鑰協(xié)商交易以對(duì)所述單密鑰進(jìn)行協(xié)商�,所述協(xié)商涉及建立至少ー個(gè)第二域會(huì)話,所述交易包括所述電路系統(tǒng)和所述至少ー個(gè)服務(wù)器之間的單次握手�。
全文摘要
一個(gè)實(shí)施例可包括至少部分地在第一域內(nèi)的客戶機(jī)和第二域內(nèi)的服務(wù)器之間至少部分地建立安全通信信道的電路���。該信道可包括在第一域和第二域內(nèi)的第一域會(huì)話和第二域會(huì)話��。電路可產(chǎn)生第一域會(huì)話密鑰和第二域會(huì)話密鑰����,這些域會(huì)話密鑰至少部分地分別對(duì)第一域會(huì)話和第二域會(huì)話進(jìn)行加密�。第一域會(huì)話密鑰可基于被分配給第一域的第一域密鑰和與第一域會(huì)話關(guān)聯(lián)的第一數(shù)據(jù)集而產(chǎn)生���。第二域會(huì)話密鑰可基于被分配給第二域的第二域密鑰和與第二域會(huì)話關(guān)聯(lián)的第二數(shù)據(jù)集而產(chǎn)生。
文檔編號(hào)H04L9/14GK102725995SQ201180007466
公開日2012年10月10日 申請(qǐng)日期2011年1月19日 優(yōu)先權(quán)日2010年1月28日
發(fā)明者K·S·格雷瓦爾, M·朗 申請(qǐng)人:英特爾公司