亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

至少部分地在節(jié)點之間建立安全通信信道以至少部分地允許節(jié)點之間至少部分地執(zhí)行的...的制作方法

文檔序號:7847880閱讀:142來源:國知局
專利名稱:至少部分地在節(jié)點之間建立安全通信信道以至少部分地允許節(jié)點之間至少部分地執(zhí)行的 ...的制作方法
技術(shù)領(lǐng)域
本公開涉及至少部分地在節(jié)點之間建立安全通信信道以至少部分地允許節(jié)點之間至少部分地執(zhí)行的經(jīng)加密通信的檢查。
背景技術(shù)
在一種傳統(tǒng)配置中,企業(yè)網(wǎng)可包括與第二網(wǎng)絡(luò)節(jié)點耦合的第一網(wǎng)絡(luò)節(jié)點。第二網(wǎng)絡(luò)節(jié)點可使企業(yè)網(wǎng)耦合至包括第三網(wǎng)絡(luò)節(jié)點的外部網(wǎng)。第二網(wǎng)絡(luò)接ロ可為企業(yè)網(wǎng)提供安全特征,所述安全特征涉及從企業(yè)網(wǎng)傳至外部網(wǎng)(反之亦然)的分組的檢查和/或分析。在這種傳統(tǒng)網(wǎng)絡(luò)配置中,第一網(wǎng)絡(luò)節(jié)點和第三網(wǎng)絡(luò)節(jié)點可彼此交換經(jīng)加密的通信。這些通信可基于由第一網(wǎng)絡(luò)節(jié)點和第三網(wǎng)絡(luò)節(jié)點交換的、但不對第二網(wǎng)絡(luò)節(jié)點公開的 密鑰來執(zhí)行。這可防止第二網(wǎng)絡(luò)節(jié)點有能カ對第一網(wǎng)絡(luò)節(jié)點和第三網(wǎng)絡(luò)節(jié)點之間經(jīng)加密的通信內(nèi)容進行有意義的檢查和/或分析。不利的是,這可能危及企業(yè)網(wǎng)的安全性,或不利地影響企業(yè)網(wǎng)(例如通過將諸如病毒等引入到企業(yè)網(wǎng))。此外,相對大數(shù)量的安全連接可能越過第二網(wǎng)絡(luò)節(jié)點。在這種傳統(tǒng)配置中,為了執(zhí)行這種有意義的檢查和/或其它分析,第二網(wǎng)絡(luò)節(jié)點將這些連接中的每ー個與其相應(yīng)的密鑰和/或其它信息相關(guān)聯(lián)。這可能在這種傳統(tǒng)配置中引發(fā)顯著的連接可擴展性問題,這種問題會顯著降低這種傳統(tǒng)配置中可處理的連接數(shù)量和這種傳統(tǒng)配置中這種處理可執(zhí)行的速度兩者。另外,在這種傳統(tǒng)配置中,這些安全連接的數(shù)量和特征隨時間流逝可能不是靜態(tài)的,事實上,其數(shù)量和特征在相對短的時間間隔內(nèi)可能劇烈地變化。給定這些動態(tài)變化的連接,為了能執(zhí)行這種有意義的檢查和/或其它分析,可能要對第二網(wǎng)絡(luò)節(jié)點施加顯著數(shù)量的連接同步處理開銷。另外,在這種傳統(tǒng)配置中,第一節(jié)點和第三節(jié)點之間的每個相應(yīng)安全連接可能涉及第ニ節(jié)點和第三節(jié)點之間的相應(yīng)安全連接。對于第二網(wǎng)絡(luò)節(jié)點和第三網(wǎng)絡(luò)節(jié)點之間的每個相應(yīng)安全連接,第二網(wǎng)絡(luò)節(jié)點可與第三網(wǎng)絡(luò)節(jié)點協(xié)商相應(yīng)的密鑰,該密鑰可用來建立相應(yīng)的安全連接。假設(shè)在這種傳統(tǒng)配置中可能存在相對大量的連接,可能會發(fā)生不合需的大量密鑰協(xié)商以及關(guān)聯(lián)的握手,并且在第二節(jié)點和第三節(jié)點之間可能對不合需的大量密鑰作出協(xié)商。另外,這種傳統(tǒng)配置中也可能牽涉到對不合需的大量密鑰的存儲和處理。


各實施例的特征和優(yōu)勢將隨著下面詳細說明的深入和對附圖的參照而變得清楚,其中相同的附圖標記表示相同的部件,在附圖中圖I示出一系統(tǒng)實施例。圖2示出一實施例中的特征。圖3示出一實施例中的特征。圖4示出一實施例中的特征。
圖5示出一實施例中的操作。盡管下面的詳細說明將參照示例性實施例而予以展開,然而其許多替代、修正和變化對本領(lǐng)域內(nèi)技術(shù)人員而言將是清楚的。因此,所要求的主題事項應(yīng)當廣泛地予以審視。
具體實施例方式圖I示出一系統(tǒng)實施例100。系統(tǒng)100可包括企業(yè)域51,該企業(yè)域51可通信地耦合至另ー域70。域70可至少部分地位于企業(yè) 域51之外,并可至少部分地包括和/或利用互聯(lián)網(wǎng)域。企業(yè)網(wǎng)51可包括一個或多個客戶機網(wǎng)絡(luò)節(jié)點10,所述ー個或多個客戶機網(wǎng)絡(luò)節(jié)點10可通信地耦合至一個或多個網(wǎng)關(guān)和/或網(wǎng)絡(luò)設(shè)施節(jié)點120。一個或多個節(jié)點120可通信地耦合至域70和/或耦合至包含在域70中的一個或多個服務(wù)器節(jié)點30。在該實施例中,“節(jié)點”可意指可通信地耦合在網(wǎng)絡(luò)中或耦合至網(wǎng)絡(luò)的實體,例如終端站、設(shè)施、海量存儲器、中間站、網(wǎng)絡(luò)接ロ、客戶機、服務(wù)器、智能電話、其它通信設(shè)備和/或其一部分。在該實施例中,“客戶機”和/或“客戶機節(jié)點”可互換地使用以意指可能包括(但不是必須包括)終端站的節(jié)點。在該實施例中,終端站可包括智能電話或其它通信設(shè)備。同樣在該實施例中,“中間節(jié)點”、“網(wǎng)夫”、“網(wǎng)關(guān)節(jié)點”、“網(wǎng)絡(luò)設(shè)施”和/或“網(wǎng)絡(luò)設(shè)施節(jié)點”可互換地使用以意指可通信地耦合至多個其它節(jié)點并可(但不是必須)提供、促進和/或?qū)崿F(xiàn)ー個或多個服務(wù)和/或功能的節(jié)點,所述ー個或多個服務(wù)和/或功能例如是防火墻、交換、轉(zhuǎn)發(fā)、網(wǎng)關(guān)、入侵檢測、負載平衡和/或路由服務(wù)和/或功能。在該實施例中,“服務(wù)器”和/或“服務(wù)器節(jié)點”可互換地使用以意指能提供、促進和/或?qū)崿F(xiàn)對ー個或多個客戶機的一個或多個服務(wù)和/或功能的節(jié)點,所述ー個或多個服務(wù)和/或功能例如是數(shù)據(jù)存儲、檢索和/或處理功能。在該實施例中,“網(wǎng)絡(luò)”可以是或可以包括兩個或更多個節(jié)點,這些節(jié)點可通信地耦合在一起。同樣在該實施例中,如果ー個節(jié)點能將ー個或多個命令和/或數(shù)據(jù)例如經(jīng)由ー個或多個有線和/或無線通信鏈路發(fā)送至另ー節(jié)點或接收自另ー節(jié)點,則ー節(jié)點“可通信地耦合”至另ー節(jié)點。在該實施例中,“無線通信鏈路”可意指至少部分地允許至少兩個節(jié)點至少部分地以無線方式通信耦合的任何形態(tài)和/或其一部分。在該實施例中,“有線通信鏈路”可意指至少部分地允許至少兩個節(jié)點至少部分地經(jīng)由非無線手段至少部分地通信耦合的任何形態(tài)和/或其一部分。同樣在該實施例中,數(shù)據(jù)可以是或可以包括ー個或多個命令,和/或ー個或多個命令可以是或可以包含數(shù)據(jù)。一個或多個節(jié)點120可包括電路板(CB) 14。CB 14可以是或可以包括系統(tǒng)主板,該系統(tǒng)主板可包括一個或多個主處理器和/或芯片集集成電路12以及計算機可讀/寫存儲器21。CB 14可包括ー個或多個(未示出的)連接器,所述連接器可允許電路卡(CC) 22電配合和機械配合于CB 14,以使CB 14中的組件(例如ー個或多個集成電路12和/或存儲器21)和CC 22 (例如包含在CC 22中的操作電路系統(tǒng)118)可通信地彼此耦合。作為不脫離本實施例的替代或附加,包含在ー個或多個集成電路12和/或存儲器21中的ー些或所有電路可包含在電路系統(tǒng)118中,和/或電路118中的ー些或全部可包含在ー個或多個集成電路12和/或存儲器21中。在該實施例中,“電路系統(tǒng)”可単獨或以組合方式包括例如模擬電路系統(tǒng)、數(shù)字電路系統(tǒng)、硬接線電路系統(tǒng)、可編程電路系統(tǒng)、狀態(tài)機電路系統(tǒng)和/或包含可由可編程電路系統(tǒng)執(zhí)行的程序指令的存儲器。同樣在該實施例中,“集成電路”可意指半導(dǎo)體器件和/或微電子器件,例如半導(dǎo)體集成電路芯片。另外,在該實施例中,術(shù)語“主處理器”、“處理器”、“處理器核”、“核”和/或“控制器”可互換地使用以意指能夠至少部分地執(zhí)行ー個或多個算法和/或邏輯操作的電路系統(tǒng)。同樣在該實施例中,“芯片集”可包括能至少部分地將ー個或多個處理器、存儲器和/或其它電系統(tǒng)路可通信地耦合的電路系統(tǒng)。節(jié)點10、120和/或30中的每ー個可包括各自未示出的用戶接ロ系統(tǒng),所述用戶接ロ系統(tǒng)可包括例如鍵盤、定點設(shè)備和顯示系統(tǒng),這些用戶接ロ系統(tǒng)可允許人類用戶將命令輸入至每個相應(yīng)的節(jié)點和/或系統(tǒng)100以及監(jiān)視這些節(jié)點和/或系統(tǒng)100的操作。操作電路118可通信地耦合至一個或多個客戶機10和/或一個或多個服務(wù)器30。電路118可包括ー個或多個集成電路15。ー個或多個集成電路15可包括ー個或多個處理器核124和/或密碼化電路系統(tǒng)126。在該實施例中,電路118、ー個或多個集成電路15、ー個或多個核124和/或電路126能至少部分地執(zhí)行如同由電路系統(tǒng)118執(zhí)行的那些本文所述的密碼化和/或關(guān)聯(lián)的操作。 一個或多個機器可讀程序指令可存儲在計算機可讀/寫存儲器21中。在ー個或多個節(jié)點120操作時,這些指令可由ー個或多個集成電路12、電路系統(tǒng)118、ー個或多個集成電路15、一個或多個處理器核124和/或電路系統(tǒng)126訪問和執(zhí)行。當如此執(zhí)行時,這些ー個或多個指令可致使ー個或多個集成電路12、電路系統(tǒng)118、ー個或多個集成電路15、一個或多個處理器核124和/或電路系統(tǒng)126執(zhí)行本文描述的操作,就像這些操作是由ー個或多個集成電路12、電路系統(tǒng)118、ー個或多個集成電路15、一個或多個處理器核124和/或電路系統(tǒng)126執(zhí)行的那樣。存儲器21可包括下面類型的存儲器中的ー個或多個半導(dǎo)體固件存儲器、可編程存儲器、非易失性存儲器、只讀存儲器、電可編程存儲器、隨機存取存儲器、閃存、磁盤存儲器、光盤存儲器和/或其它或稍晚研發(fā)出的計算機可讀和/或?qū)懘鎯ζ鳌T谠搶嵤├?,“域”可包括ー個或多個節(jié)點以及(未示出的)域當局。在該實施例中,“域當局”可包括能夠至少部分地提供、執(zhí)行和/或促進全部或部分地涉及和/或關(guān)聯(lián)于授權(quán)、識別和/或安全的ー個或多個功能、特征、協(xié)議和/或操作的ー個或多個實體。例如,域51和/或70可各自包括一個或多個相應(yīng)的(未示出的)域當局,這些域當局可通信地耦合至一個或多個節(jié)點10、120和/或30。作為替代或選擇,系統(tǒng)100中的ー個或多個域當局的ー些或全部的功能和/或操作可至少部分地由一個或多個節(jié)點120和/或30來實現(xiàn)。電路118可根據(jù)ー個或多個通信協(xié)議與一個或多個客戶機10和/或ー個或多個服務(wù)器30交換數(shù)據(jù)和/或命令。例如,在該實施例中,這些ー個或多個協(xié)議可與例如以太網(wǎng)協(xié)議、傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)協(xié)議、IP的安全性架構(gòu)(IPsec)和/或傳輸層安全性(TLS)協(xié)議相兼容。在系統(tǒng)100中可利用的以太網(wǎng)協(xié)議可遵循或兼容于2000年10月20日出版的電氣和電子工程師協(xié)會(IEEE)標準802. 3,2000版中描述的協(xié)議。在系統(tǒng)100中可利用的TCP/IP協(xié)議可遵循或兼容于1981年9月出版的互聯(lián)網(wǎng)工程任務(wù)組(IETF)請求注解(RFC) 791、793中描述的協(xié)議。在系統(tǒng)100中可利用的IPsec協(xié)議可遵循或兼容于2005年12月出版的IETF RFC 4301。在系統(tǒng)100中可利用的TLS協(xié)議可遵循或兼容于2006年4月出版的在IETF 4346中記載的協(xié)議“傳輸層安全性(TLS)協(xié)議I. I版”。當然,許多不同的、附加的和/或其它的協(xié)議(例如安全相關(guān)和/或?qū)崿F(xiàn)的協(xié)議)可用于這種數(shù)據(jù)和/或命令交換而不脫離本實施例,包括例如前述和/或其它版本的日后研發(fā)版本。參見圖5,系統(tǒng)100可至少部分地執(zhí)行操作500。例如,在系統(tǒng)100操作時,電路系統(tǒng)118可與一個或多個客戶機10和/或一個或多個服務(wù)器30交換數(shù)據(jù)和/或命令,由此可經(jīng)由電路系統(tǒng)118和/或一個或多個未示出的非中間節(jié)點至少部分地在一個或多個客戶機10與一個或多個服務(wù)器30之間至少部分地建立ー個或多個安全通信信道54 (見操作502)。在該實施例中,一個或多個信道54可包括域51中的一個或多個會話90和域70中的一個或多個會話92。一個或多個會話90可以是或包括域51中的ー個或多個安全會話,所述安全會話可以在一個或多個客戶機10和一個或多個節(jié)點120 (即ー個或多個節(jié)點120中的電路系統(tǒng)118)之間或至少部分地使兩者通信耦合。一個或多個會話92可以是或包括域70中的ー個或多個安全會話,所述安全會話可以在電路系統(tǒng)118和一個或多個服務(wù)器30之間并至少部分地使兩者通信耦合。如下面討論的那樣,一個或多個會話90與ー個或多個會話92如此操作以當聯(lián)系在一起時提供一個或多個信道54。在該實施例中,術(shù)語“會話”和“信道”可互換地使用,并可包括在至少兩個實體之間或之中交換數(shù)據(jù)和/或命令。另外在該實施例中,“安全會話”可包括其中至少部分地對數(shù)據(jù)和/或命令的至少一部分進行加密的會話。在該實施例中,“加密”和/或“進行加密”可包括ー個或多個操作,這些操作至少部分地包括、便于和/或?qū)е聫拿魑闹挟a(chǎn)生密文。另外在該實施例中,“解密”和/或“進行解密”可包括ー個或多個操作,這些操作至少部分地包括、便于和/或?qū)е聫拿芪闹挟a(chǎn)生明文。此外,在該實施例中,“明文”可包括至少部分地被加密和/或已經(jīng)歷和/或當前正在經(jīng)歷加密和/或解密的數(shù)據(jù)。在該實施例中,“密鑰”可包括可用于加密和/或解密的ー個或多個碼元和/或值。例如,在該實施例中,一個或多個客戶機10可將意圖發(fā)起在一個或多個客戶機10和一個或多個服務(wù)器30之間建立ー個或多個安全信道54的一個或多個分組發(fā)送至電路系統(tǒng)118。至少部分地作為這ー個或多個分組的響應(yīng),電路系統(tǒng)118可與一個或多個客戶機 10交換數(shù)據(jù)和/或命令,所述數(shù)據(jù)和/或命令可導(dǎo)致ー個或多個會話90的建立。同時,在該實施例中,電路系統(tǒng)118可與一個或多個服務(wù)器30交換數(shù)據(jù)和/或命令,該數(shù)據(jù)和/或命令可導(dǎo)致ー個或多個會話92的建立。作為在電路系統(tǒng)118和一個或多個客戶機10之間的數(shù)據(jù)和/或命令交換的一部分,電路系統(tǒng)118可以安全方式(例如作為TLS控制信道握手、涉及TCP和/或IP選項的帶外技術(shù)和/或IPsec互聯(lián)網(wǎng)密鑰交換的一部分)將ー個或多個會話密鑰(SK)SO發(fā)送至一個或多個客戶機節(jié)點10。在將ー個或多個密鑰80發(fā)送至一個或多個客戶機10之前,一個或多個節(jié)點120可至少部分地基于ー個或多個密碼化操作(例如包含一個或多個單向散列函數(shù))至少部分地產(chǎn)生ー個或多個密鑰80,所述密碼化操作至少部分地涉及將一個或多個域密鑰(DK) 76和一個或多個數(shù)據(jù)集(DS) 78作為輸入操作數(shù)。由此,可至少部分地在域51中的一個或多個節(jié)點120和一個或多個客戶機10之間至少部分地產(chǎn)生ー個或多個密鑰80作為協(xié)商的結(jié)果??赏ㄟ^域51中一個或多個未示出的域當局將ー個或多個密鑰76分配給域51。這些ー個或多個域當局可至少部分地產(chǎn)生ー個或多個密鑰76并將這些密鑰分配給ー個或多個節(jié)點120。然而,這ー個或多個域當局和一個或多個節(jié)點120可對ー個或多個客戶機節(jié)點10和其它實體(例如域51之內(nèi)和之外的實體)秘密地保持這ー個或多個密鑰76??赏ㄟ^電路系統(tǒng)118從來自一個或多個客戶機10發(fā)送至一個或多個節(jié)點120的一個或多個分組204 (見圖2)中至少部分地提取(或以其它方式獲得)一個或多個數(shù)據(jù)集78。ー個或多個數(shù)據(jù)集78可至少部分地關(guān)聯(lián)于一個或多個會話90。例如,一個或多個數(shù)據(jù)集78可包括能至少部分地識別ー個或多個會話90的ー個或多個值202。這ー個或多個值202可以是或至少部分地包括一個或多個客戶機10和/或一個或多個節(jié)點120的一個或多個相應(yīng)的唯一標識符的相應(yīng)聯(lián)系。替代地(至少部分)或附加地,ー個或多個值202可至少部分地包括一個或多個服務(wù)器30的ー個或多個相應(yīng)的標識符。這些唯一標識符可以是或包括,例如一個或多個相應(yīng)地址、IPsec安全性參數(shù)指標和/或其它值(例如會話上下文信息)。在該實施例中,域51中的一個或多個未示出的域當局可產(chǎn)生ー個或多個密鑰76,由此使(I) 一個或多個密鑰76可唯一地關(guān)聯(lián)于域51 ;和(2) —個或多個密鑰76基本上是無法從一個或多個密鑰80獲得的(例如從實際密碼化立場來看)。在一個實施例中,ー個或多個密鑰76可以是或包括一個或多個就密碼而言強健的隨機數(shù)。使用一個或多個密鑰80,每個相應(yīng)的客戶機10可至少部分地對其經(jīng)由一個或多個會話90發(fā)送至一個或多個節(jié)點120的相應(yīng)話務(wù)進行加密,并至少部分地對其經(jīng)由ー個或多個會話90從ー個或多個節(jié)點120接收的相應(yīng)話務(wù)進行解密。在該實施例中,對ー個或多個節(jié)點120的這種話務(wù)可包含一個或多個分組(例如在一個或多個分組204中),其中ー個或多個值202和/或數(shù)據(jù)集78作為明文發(fā)送??蛇x擇ー個或多個值202和/或一個或多個數(shù)據(jù)集78,從而當以前述方式與一個或多個密碼化操作中的一個或多個密鑰76結(jié)合使用以產(chǎn)生一個或多個密鑰80時,使這ー個或多個密鑰80中的每ー個可以是或包含用來在一個或多個網(wǎng)關(guān)120和一個或多個客戶機10之間提供相應(yīng)的獨立安全會話的相應(yīng)獨立會話密鑰。作為在電路系統(tǒng)118和一個或多個服務(wù)器30之間的數(shù)據(jù)和/或命令交換的一部分,電路系統(tǒng)118可以安全方式(例如作為TLS控制信道握手、涉及TCP和/或IP選項的帶外技術(shù)和/或IPsec互聯(lián)網(wǎng)密鑰交換的一部分)將ー個或多個會話密鑰82發(fā)送至ー個或多個服務(wù)器30。在將ー個或多個密鑰82發(fā)送至一個或多個服務(wù)器30之前,ー個或多個節(jié)點120可至少部分地基于ー個或多個密碼化操作(例如包含一個或多個單向散列函數(shù))至少部分地產(chǎn)生ー個或多個密鑰82,所述密碼化操作至少部分地涉及將ー個或多個域密鑰72和一個或多個數(shù)據(jù)集78作為輸入操作數(shù)。由此,可至少部分地在域51中的ー個或多個節(jié)點120和域70中的一個或多個服務(wù)器30之間至少部分地產(chǎn)生ー個或多個密鑰82作為協(xié)商的結(jié)果??赏ㄟ^域70中未示出的ー個或多個域當局將ー個或多個密鑰72分配給域70。這ー個或多個域當局可至少部分地產(chǎn)生ー個或多個密鑰72并將它們分配給ー個或多個節(jié)點120。然而,這ー個或多個域當局和一個或多個節(jié)點120可對ー個或多個服務(wù)器節(jié)點30和 其它實體(例如域70之內(nèi)和之外的其它實體)秘密地保持這ー個或多個密鑰72??赏ㄟ^電路系統(tǒng)118從來自一個或多個服務(wù)器30發(fā)送至一個或多個節(jié)點120的一個或多個分組208 (見圖2)中至少部分地提取(或以其它方式獲得)一個或多個數(shù)據(jù)集74。ー個或多個數(shù)據(jù)集74可至少部分地關(guān)聯(lián)于一個或多個會話92。例如,一個或多個數(shù)據(jù)集74可包括能至少部分地識別ー個或多個會話92的ー個或多個值206。這ー個或多個值206可以是或至少部分地包括一個或多個服務(wù)器30和/或一個或多個節(jié)點120的一個或多個相應(yīng)的唯一標識符的相應(yīng)聯(lián)系。替代地(至少部分)或附加地,一個或多個值206可至少部分地包括一個或多個客戶機10的一個或多個相應(yīng)的標識符。這些唯一標識符可以是或包括,例如一個或多個相應(yīng)地址、IPsec安全性參數(shù)指標和/或其它值(例如會話上下文信息)。因此,在該實施例中,依賴于例如操作的域,一個或多個值206和/或一個或多個數(shù)據(jù)集74可以至少部分地分別類似于一個或多個值202和/或一個或多個數(shù)據(jù)集78。作為替代而不脫離該實施例的范圍,依賴于例如操作的域,一個或多個值206和/或一個或多個數(shù)據(jù)集74可以至少部分地分別不同于一個或多個值202和/或一個或多個數(shù)據(jù)集78。在該實施例中,域70中的一個或多個未示出的域當局可產(chǎn)生一個或多個密鑰72,由此使(I) 一個或多個密鑰72可唯一地關(guān)聯(lián)于域70 ;和(2) —個或多個密鑰72基本上是無法從一個或多個密鑰82獲得的(例如從實際密碼化立場來看)。在一個實施例中,一個 或多個密鑰72可以是或包括一個或多個就密碼而言強健的隨機數(shù)。使用一個或多個密鑰82,每個相應(yīng)服務(wù)器30可至少部分地對其經(jīng)由一個或多個會話92發(fā)送至一個或多個節(jié)點120的相應(yīng)話務(wù)進行加密,并至少部分地對其經(jīng)由一個或多個會話92從一個或多個節(jié)點120接收的相應(yīng)話務(wù)進行解密。在該實施例中,對于一個或多個節(jié)點120的這種話務(wù)可包含一個或多個分組(例如包含在一個或多個分組208中),其中一個或多個值206和/或數(shù)據(jù)集74作為明文發(fā)送??蛇x擇一個或多個值206和/或一個或多個數(shù)據(jù)集74,從而當以前述方式與一個或多個密碼化操作中的一個或多個密鑰72結(jié)合使用以產(chǎn)生一個或多個密鑰82時,使這一個或多個密鑰82中的每一個是或包含用來在一個或多個網(wǎng)關(guān)120和一個或多個服務(wù)器30之間提供相應(yīng)的獨立安全會話的相應(yīng)獨立會話密鑰。在該實施例中,一個或多個域密鑰76可以至少部分地不同于一個或多個域密鑰72。如圖2所示,在該實施例中,在域51中,一個或多個客戶機10可包括多個客戶機
220A......220N,并且一個或多個會話90可包含在客戶機220A......220N和一個或多個網(wǎng)關(guān)
節(jié)點120之間的多個安全會話230A……230N。會話230A-230N可分別將客戶機220A……220N通信地耦合至一個或多個節(jié)點120。如前面闡述的那樣,這些安全會話230A……230N中的每一個可至少部分地基于一個或多個會話密鑰80中相應(yīng)的一個密鑰而產(chǎn)生?,F(xiàn)在轉(zhuǎn)向圖3,一個或多個會話92可包括單個安全會話302,該安全會話302可使一個或多個網(wǎng)關(guān)120可通信地耦合至一個或多個服務(wù)器。在這種配置中,會話302可至少部分地封裝會話230A……230N(見圖2)。在該實施例中,封裝可包括至少部分地將第一實體納入到第二實體的至少一部分中,和/或?qū)⒌谝粚嶓w的信息的至少一部分納入到至少一部分第二實體中,例如將一個或多個分組封裝到一個或多個幀中。例如,網(wǎng)絡(luò)話務(wù)304可經(jīng)由會話230A……230N從客戶機220A……220N被發(fā)送至一個或多個網(wǎng)關(guān)120中的電路系統(tǒng)118。在經(jīng)由會話230A……230N被發(fā)送至電路系統(tǒng)118時,可至少部分地基于一個或多個會話密鑰80對話務(wù)304進行加密。然而,在話務(wù)304中,一個或多個數(shù)據(jù)集78和/或一個或多個值202可作為明文發(fā)送。電路系統(tǒng)118可至少部分地從話務(wù)304中提取一個或多個數(shù)據(jù)集78和/或一個或多個值202。至少部分地基于如此提取的一個或多個數(shù)據(jù)集78和/或一個或多個值202以及一個或多個域密鑰76,電路系統(tǒng)118可對每個會話230A……230N動態(tài)地重構(gòu)(例如以逐個分組為基礎(chǔ))相應(yīng)的一個或多個會話密鑰80,這些會話密鑰80用來至少部分地對話務(wù)304進行加密。電路系統(tǒng)118可至少部分地基于如此動態(tài)重構(gòu)的一個或多個會話密鑰80來至少部分地對話務(wù)304進行解密。電路系統(tǒng)118至少部分地檢查至少部分如此解密的話務(wù)304。這種檢查可涉及例如圖案匹配、簽名、校驗和、有效性校驗和/或其它分析技術(shù)來檢測和/或正確地尋址話務(wù)304中未經(jīng)授權(quán)和/或不想要的數(shù)據(jù)和/或指令的存在。電路系統(tǒng)118可至少部分地基于一個或多個會話密鑰82來至少部分地對未加密的話務(wù)304進行加密,并經(jīng)由單個會話302將加密的話務(wù)發(fā)送至一個或多個服務(wù)器30。在這之前,電路系統(tǒng)118可至少部分地基于一個或多個值206和/或一個或多個數(shù)據(jù)集74以及一個或多個域密鑰72動態(tài)地重構(gòu)(以與之 前結(jié)合一個或多個密鑰80描述的相同的方式)一個或多個會話密鑰82。一個或多個服務(wù)器30可經(jīng)由會話302將話務(wù)306發(fā)送至一個或多個網(wǎng)關(guān)120中的電路系統(tǒng)118。當經(jīng)由單個會話302發(fā)送至電路系統(tǒng)118時,話務(wù)306可至少部分地基于一個或多個會話密鑰82予以加密。然而,在話務(wù)306中,一個或多個數(shù)據(jù)集74和/或一個或多個值206可作為明文傳輸。電路系統(tǒng)118可從話務(wù)306中提取一個或多個數(shù)據(jù)集74和/或一個或多個值206。至少部分地基于如此提取的一個或多個數(shù)據(jù)集74和/或一個或多個值206以及一個或多個域密鑰72,電路系統(tǒng)118可動態(tài)地重構(gòu)一個或多個會話密鑰82,所述會話密鑰82至少部分地用來對話務(wù)306進行加密。電路系統(tǒng)118可至少部分地基于如此動態(tài)重構(gòu)的一個或多個會話密鑰82來至少部分地對話務(wù)306進行解密。電路系統(tǒng)118可至少部分地檢查至少部分地如此解密的話務(wù)306。這種檢查可涉及例如圖案匹配、簽名、校驗和、有效性校驗和/或其它分析技術(shù)來檢測和/或正確地尋址話務(wù)306中未經(jīng)授權(quán)和/或不想要的數(shù)據(jù)和/或指令的存在。電路系統(tǒng)118可至少部分地基于一個或多個會話密鑰80來至少部分地對未加密的話務(wù)306進行加密,并可經(jīng)由會話230A……230N將加密的話務(wù)發(fā)送至客戶機220A……220N。在這之前,電路系統(tǒng)118可至少部分地基于一個或多個值202和/或一個或多個數(shù)據(jù)集78以及一個或多個域密鑰76動態(tài)地重構(gòu)一個或多個會話密鑰80。替代地,一個或多個會話92可包括域70中的多個安全會話402A……402N(見圖4),這些安全會話402A……402N可通信地耦合一個或多個網(wǎng)關(guān)120和一個或多個服務(wù)器30。安全會話402A……402N可分別對應(yīng)于安全會話230A……230N。在該實施例中,一個或多個數(shù)據(jù)集78可包括與會話230A……230N關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集404A……404N。例如,一個或多個相應(yīng)會話密鑰80可至少部分地分別基于數(shù)據(jù)集404A……404N和一個或多個域密鑰76而產(chǎn)生,可至少部分地基于這一個或多個相應(yīng)會話密鑰80而對會話230A……230N進行加密。電路系統(tǒng)118可從分別經(jīng)由會話2320A……230N從客戶機220A……220N發(fā)送至電路系統(tǒng)118的話務(wù)304中至少部分地提取數(shù)據(jù)集404A……404N(見圖5中的操作504)。至少部分地基于如此提取的數(shù)據(jù)集404A……404N以及一個或多個域密鑰76,電路系統(tǒng)118可針對會話230A……230N中的每一個動態(tài)地重構(gòu)(例如以逐個分組為基礎(chǔ))相應(yīng)的一個或多個會話密鑰80,所述會話密鑰80用來至少部分地對經(jīng)由相應(yīng)的會話230A……230N發(fā)送的話務(wù)304進行加密。電路系統(tǒng)118可至少部分地基于如此動態(tài)重構(gòu)的一個或多個會話密鑰80至少部分地對該話務(wù)304進行解密(見圖5中的操作506)。電路系統(tǒng)118可至少部分地以前面描述的方式檢查至少部分如此解密的話務(wù)。電路系統(tǒng)118可至少部分地基于一個或多個會話密鑰82至少部分地對未加密的話務(wù)304進行加密,并可經(jīng)由會話402A……402N將加密的話務(wù)406發(fā)送至一個或多個服務(wù)器30 (見圖5中的操作508)。在這之前,電路系統(tǒng)118可至少部分地基于一個或多個值206和/或一個或多個數(shù)據(jù)集74以及一個或多個域密鑰72動態(tài)地重構(gòu)(以與之前描述相同的方式)一個或多個會話密鑰82。替代地,一個或多個域密鑰76可至少部分地類似于一個或多個密鑰72。此外作為替代或附加,一個或多個網(wǎng)關(guān)120可經(jīng)由一次或多次安全握手和/或協(xié)商操作將一個或多個密鑰76和/或一個或多個密鑰72提供給一個或多個服務(wù)器30。這允許一個或多個服務(wù)器30能夠以前面結(jié)合電路系統(tǒng)118描述的方式動態(tài)地重構(gòu)一個或多個會話密鑰82和/或執(zhí)行解密和/或加密操作。較為有利地,在該實施例中,不管包含在一個或多個會話90中的各個會話的數(shù)量如何,電路系統(tǒng)118可執(zhí)行與一個或多個服務(wù)器30的單密鑰協(xié)商交易(例如導(dǎo)致單會話密鑰82和/或單域密鑰72的交換和/或協(xié)商),所述單密鑰協(xié)商交易允許建立一個或多個會話92中的全部會話(例如至少部分地基于單會話密鑰82和/或單域密鑰72)。結(jié)果,在該 實施例中,只有單次握手操作可包含在這個交易中。較為有利地,在該實施例中,這可顯著地減少電路118和一個或多個服務(wù)器30之間牽涉到建立一個或多個會話92的密鑰協(xié)商的次數(shù)、協(xié)商的密鑰的個數(shù)以及握手次數(shù)。更有利地,這可顯著減少在本實施例中使用的密鑰存儲的量。在該實施例中,密鑰80和/或82的產(chǎn)生可(至少部分地)總體根據(jù)例如(1)2007年3月30日提交且2008年10月28日公布的Durham等人的美國專利申請S/N 11/731,562、美國專利申請公布No. US 2008/0244268和/或(2) 2009年3月2日提交的美國專利申請S/N 12/396,125中披露的原理來實現(xiàn)。當然,可使用許多其它、附加和/或替代技術(shù)以至少部分地產(chǎn)生一個或多個密鑰80和/或一個或多個密鑰82。因此,一個實施例可包括至少部分地在第一域內(nèi)的客戶機和第二域內(nèi)的服務(wù)器之間建立一安全通信信道的電路系統(tǒng)。該信道可包括處于第一域和第二域中的第一和第二域會話。該電路系統(tǒng)可產(chǎn)生第一和第二域會話密鑰,該域會話密鑰可至少部分地分別對第一和第二域會話進行加密??苫诒环峙浣o第一域的第一域密鑰和與第一域會話關(guān)聯(lián)的第一數(shù)據(jù)集產(chǎn)生第一域會話密鑰??苫诒环峙浣o第二域的第二域密鑰和與第二域會話關(guān)聯(lián)的第二數(shù)據(jù)集產(chǎn)生第二域會話密鑰。在該實施例中,電路系統(tǒng)118能至少部分地基于至少部分地從一個或多個分組204和/或208提取的一個或多個數(shù)據(jù)集78和/或74而動態(tài)地產(chǎn)生一個或多個會話密鑰80和/或82。較為有利地,這使電路系統(tǒng)118能夠避免(I)必須在存儲器中保持至少部分地基于這些會話密鑰產(chǎn)生的會話和會話密鑰本身之間的永久性關(guān)聯(lián),和/或(2)永久地存儲大量的傳輸層和密碼化狀態(tài)信息,并對相應(yīng)會話作出緩沖。較為有利地,這在本實施例中可顯著地提高連接可擴展性和處理速度。同樣在該實施例中,由于能至少部分地以前述方式動態(tài)地產(chǎn)生一個或多個密鑰80,82,電路系統(tǒng)118能動態(tài)地分別對發(fā)送至和/或來自電路系統(tǒng)118的話務(wù)進行解密和/或加密。較為有利地,這允許電路系統(tǒng)118和/或一個或多個節(jié)點120能對在一個或多個客戶機10和一個或多個服務(wù)器30之間(例如經(jīng)由一個或多個安全信道54)的加密通信的內(nèi)容進行有意義的檢查和/或分析。較為有利地,這可防止危及企業(yè)域51和/或系統(tǒng)100的安全性,并可改善企業(yè)域51和/或系統(tǒng)100的性能(例如通過防止病毒侵入域51和/或系統(tǒng)100和或從中除去病毒)。因此,較為有利地,本實施例的特征可減少安全性、通信和/或密碼化處理所花費的處理帶寬量,同時又提高了這種處理執(zhí)行的速度。另外較為有利地,本實施例的特征允許這種處理通過專門的傳輸層和/或密碼化卸荷和/或加 速硬件變得更容易實現(xiàn)。
權(quán)利要求
1.ー種裝置,包括 至少部分地在第一域中的至少ー個客戶機和第二域中的至少ー個服務(wù)器之間至少部分地建立至少ー個安全通信信道的電路系統(tǒng),所述至少一個信道包括在所述第一域中的至少ー個第一域會話和在所述第二域中的至少ー個第二域會話,所述電路系統(tǒng)至少部分地產(chǎn)生至少ー個第一域會話密鑰和至少ー個第二域會話密鑰,所述至少ー個第一域會話密鑰和所述至少ー個第二域會話密鑰至少部分地分別對所述至少ー個第一域會話和所述至少一個第二域會話進行加密,所述至少ー個第一域會話密鑰至少部分地基于被分配給所述第一域的第一域密鑰和至少部分地與所述至少ー個第一域會話關(guān)聯(lián)的至少ー個第一數(shù)據(jù)集而產(chǎn)生,所述至少ー個第二域會話密鑰至少部分地基于被分配給所述第二域的第二域密鑰和至少部分地與至少ー個第二域會話關(guān)聯(lián)的至少ー個第二數(shù)據(jù)集而產(chǎn)生。
2.如權(quán)利要求I所述的裝置,其特征在于 所述第一域至少部分地不同于所述第二域; 被分配給所述第一域的所述第一域密鑰至少部分地不同于所述第二域密鑰; 所述至少ー個第一數(shù)據(jù)集包括ー個或多個值,所述ー個或多個值至少部分地識別所述至少ー個第一域會話并至少部分地從經(jīng)由所述至少ー個第一域會話通信的ー個或多個分組可獲得;以及 所述至少ー個第二數(shù)據(jù)集包括ー個或多個值,所述ー個或多個值至少部分地識別所述至少ー個第二域會話并至少部分地從經(jīng)由所述至少ー個第二域會話通信的ー個或多個其它分組可獲得。
3.如權(quán)利要求I所述的裝置,其特征在于 所述至少一個客戶機包括在所述第一域內(nèi)的多個客戶機; 所述至少ー個第一域會話包括在至少ー個網(wǎng)關(guān)和所述多個客戶機之間的第一域內(nèi)的第一多個會話; 所述至少ー個第二域會話處于所述至少一個網(wǎng)關(guān)和所述至少一個服務(wù)器之間; 所述第一域包括企業(yè)域;以及 所述第二域密鑰至少部分地在所述企業(yè)域和所述至少一個服務(wù)器之間予以協(xié)商。
4.如權(quán)利要求3所述的裝置,其特征在于 所述至少ー個第二域會話包括至少部分地封裝所述第一多個會話的單個會話; 所述電路至少部分地解密和至少部分地檢查經(jīng)由所述第一多個會話通信的第一話務(wù);以及 所述電路至少部分地解密和至少部分地檢查經(jīng)由所述單個會話通信的第二話務(wù)。
5.如權(quán)利要求3所述的裝置,其特征在于 所述至少ー個第二域會話包括在所述第二域內(nèi)的第二多個會話; 所述至少ー個第一數(shù)據(jù)集包括與所述第一多個會話關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集; 所述電路至少部分地從經(jīng)由所述第一多個會話通信的第一話務(wù)中提取所述相應(yīng)的數(shù)據(jù)集; 所述電路至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對所述第一話務(wù)進行解密;以及 所述電路至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對經(jīng)由所述第二多個會話通信的第二話務(wù)進行加密。
6.如權(quán)利要求I所述的裝置,其特征在干 所述電路至少部分地包括在下面的ー個或多個中 耦合至電路板的電路卡; 網(wǎng)絡(luò)設(shè)施;以及 ー個或多個集成電路,所述集成電路包括一個或多個處理器和電路系統(tǒng)以執(zhí)行ー個或多個密碼化操作。
7.—種至少部分地由電路系統(tǒng)執(zhí)行的方法,所述方法包括 通過所述電路系統(tǒng)至少部分地在第一域中的至少ー個客戶機和第二域中的至少ー個 服務(wù)器之間至少部分地建立至少ー個安全通信信道,所述至少一個信道包括在所述第一域中的至少ー個第一域會話和在所述第二域中的至少ー個第二域會話,所述電路系統(tǒng)至少部分地產(chǎn)生至少ー個第一域會話密鑰和至少ー個第二域會話密鑰,所述至少ー個第一域會話密鑰和所述至少ー個第二域會話密鑰至少部分地分別對所述至少ー個第一域會話和所述至少ー個第二域會話進行加密,所述至少ー個第一域會話密鑰至少部分地基于被分配給所述第一域的第一域密鑰和至少部分地與至少ー個第一域會話關(guān)聯(lián)的至少ー個第一數(shù)據(jù)集而產(chǎn)生,所述至少ー個第二域會話密鑰至少部分地基于被分配給所述第二域的第二域密鑰和至少部分地與至少ー個第二域會話關(guān)聯(lián)的至少ー個第二數(shù)據(jù)集而產(chǎn)生。
8.如權(quán)利要求7所述的方法,其特征在于 所述第一域至少部分地不同于所述第二域; 被分配給所述第一域的所述第一域密鑰至少部分地不同于所述第二域密鑰; 所述至少ー個第一數(shù)據(jù)集包括ー個或多個值,所述ー個或多個值至少部分地識別所述至少ー個第一域會話并至少部分地從經(jīng)由所述至少ー個第一域會話通信的ー個或多個分組可獲得;以及 所述至少ー個第二數(shù)據(jù)集包括ー個或多個值,所述ー個或多個值至少部分地識別所述至少ー個第二域會話并至少部分地從經(jīng)由所述至少ー個第二域會話通信的ー個或多個其它分組可獲得。
9.如權(quán)利要求7所述的方法,其特征在于 所述至少一個客戶機包括在所述第一域內(nèi)的多個客戶機; 所述至少ー個第一域會話包括在至少ー個網(wǎng)關(guān)和所述多個客戶機之間的第一域內(nèi)的第一多個會話; 所述至少ー個第二域會話處于所述至少一個網(wǎng)關(guān)和所述至少一個服務(wù)器之間; 所述第一域包括企業(yè)域;以及 所述第二域密鑰至少部分地在所述企業(yè)域和所述至少一個服務(wù)器之間予以協(xié)商。
10.如權(quán)利要求9所述的方法,其特征在于 所述至少ー個第二域會話包括至少部分地封裝所述第一多個會話的單個會話; 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述第一多個會話通信的第一話務(wù);以及 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述單個會話通信的第二話務(wù)。
11.如權(quán)利要求9所述的方法,其特征在干所述至少ー個第二域會話包括在所述第二域內(nèi)的第二多個會話; 所述至少ー個第一數(shù)據(jù)集包括與所述第一多個會話關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集; 通過所述電路系統(tǒng)至少部分地從經(jīng)由所述第一多個會話通信的第一話務(wù)中提取所述相應(yīng)的數(shù)據(jù)集; 通過所述電路系統(tǒng)至少部分地基于相應(yīng)數(shù)據(jù)集至少部分地對所述第一話務(wù)進行解密;以及 通過所述電路系統(tǒng)至少部分地基于相應(yīng)數(shù)據(jù)集至少部分地對經(jīng)由所述第二多個會話通信的第二話務(wù)進行加密。
12.如權(quán)利要求7所述的方法,其特征在于 所述電路系統(tǒng)至少部分地包括在下面的ー個或多個中 耦合至電路板的電路卡; 網(wǎng)絡(luò)設(shè)施;以及 ー個或多個集成電路,所述集成電路包括一個或多個處理器和電路系統(tǒng)以執(zhí)行ー個或多個密碼化操作。
13.存儲ー個或多個指令的計算機可讀存儲器,當通過機器執(zhí)行所述指令時導(dǎo)致下列操作的執(zhí)行,包括 通過電路系統(tǒng)至少部分地在第一域中的至少ー個客戶機和第二域中的至少ー個服務(wù)器之間至少部分地建立至少ー個安全通信信道,所述至少一個信道包括在所述第一域中的至少ー個第一域會話和在所述第二域中的至少ー個第二域會話,所述電路系統(tǒng)至少部分地產(chǎn)生至少ー個第一域會話密鑰和至少ー個第二域會話密鑰,所述至少ー個第一域會話密鑰和所述至少ー個第二域會話密鑰至少部分地分別對所述至少ー個第一域會話和所述至少ー個第二域會話進行加密,所述至少ー個第一域會話密鑰至少部分地基于被分配給所述第一域的第一域密鑰和至少部分地與至少ー個第一域會話關(guān)聯(lián)的至少ー個第一數(shù)據(jù)集而產(chǎn)生,所述至少ー個第二域會話密鑰至少部分地基于被分配給所述第二域的第二域密鑰和至少部分地與至少ー個第二域會話關(guān)聯(lián)的至少ー個第二數(shù)據(jù)集而產(chǎn)生。
14.如權(quán)利要求13所述的存儲器,其特征在干 所述第一域至少部分地不同于所述第二域; 被分配給所述第一域的所述第一域密鑰至少部分地不同于所述第二域密鑰; 所述至少ー個第一數(shù)據(jù)集包括ー個或多個值,所述ー個或多個值至少部分地識別所述至少ー個第一域會話并至少部分地從經(jīng)由所述至少ー個第一域會話通信的ー個或多個分組可獲得;以及 所述至少ー個第二數(shù)據(jù)集包括ー個或多個值,所述ー個或多個值至少部分地識別所述至少ー個第二域會話并至少部分地從經(jīng)由所述至少ー個第二域會話通信的ー個或多個其它分組可獲得。
15.如權(quán)利要求13所述的存儲器,其特征在于 所述至少一個客戶機包括在所述第一域內(nèi)的多個客戶機; 所述至少ー個第一域會話包括在至少ー個網(wǎng)關(guān)和多個客戶機之間的第一域內(nèi)的第一多個會話; 所述至少ー個第二域會話處于所述至少一個網(wǎng)關(guān)和所述至少一個服務(wù)器之間;所述第一域包括企業(yè)域;以及 所述第二域密鑰至少部分地在所述企業(yè)域和所述至少一個服務(wù)器之間予以協(xié)商。
16.如權(quán)利要求15所述的存儲器,其特征在干 所述至少ー個第二域會話包括至少部分地封裝所述第一多個會話的單個會話; 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述第一多個會話通信的第一話務(wù);以及 所述電路系統(tǒng)至少部分地解密和至少部分地檢查經(jīng)由所述單個會話通信的第二話務(wù)。
17.如權(quán)利要求15所述的存儲器,其特征在干 所述至少ー個第二域會話包括在所述第二域內(nèi)的第二多個會話; 所述至少ー個第一數(shù)據(jù)集包括與所述第一多個會話關(guān)聯(lián)的相應(yīng)數(shù)據(jù)集; 通過所述電路系統(tǒng)至少部分地從經(jīng)由所述第一多個會話通信的第一話務(wù)中提取所述相應(yīng)的數(shù)據(jù)集; 通過所述電路系統(tǒng)至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對所述第一話務(wù)進行解密;以及 通過所述電路系統(tǒng)至少部分地基于所述相應(yīng)的數(shù)據(jù)集至少部分地對經(jīng)由所述第二多個會話通信的第二話務(wù)進行加密。
18.如權(quán)利要求13所述的存儲器,其特征在干 所述電路系統(tǒng)至少部分地包括在下面的ー個或多個中 耦合至電路板的電路卡; 網(wǎng)絡(luò)設(shè)施;以及 ー個或多個集成電路,所述集成電路包括一個或多個處理器和電路系統(tǒng)以執(zhí)行ー個或多個密碼化操作。
19.如權(quán)利要求I所述的裝置,其特征在于 所述至少ー個第一域會話包括多個會話;以及 所述電路系統(tǒng)執(zhí)行與所述至少一個服務(wù)器的單密鑰協(xié)商交易以對所述單密鑰進行協(xié)商,所述協(xié)商涉及建立至少ー個第二域會話,所述交易包括所述電路系統(tǒng)和所述至少ー個服務(wù)器之間的單次握手。
全文摘要
一個實施例可包括至少部分地在第一域內(nèi)的客戶機和第二域內(nèi)的服務(wù)器之間至少部分地建立安全通信信道的電路。該信道可包括在第一域和第二域內(nèi)的第一域會話和第二域會話。電路可產(chǎn)生第一域會話密鑰和第二域會話密鑰,這些域會話密鑰至少部分地分別對第一域會話和第二域會話進行加密。第一域會話密鑰可基于被分配給第一域的第一域密鑰和與第一域會話關(guān)聯(lián)的第一數(shù)據(jù)集而產(chǎn)生。第二域會話密鑰可基于被分配給第二域的第二域密鑰和與第二域會話關(guān)聯(lián)的第二數(shù)據(jù)集而產(chǎn)生。
文檔編號H04L9/14GK102725995SQ201180007466
公開日2012年10月10日 申請日期2011年1月19日 優(yōu)先權(quán)日2010年1月28日
發(fā)明者K·S·格雷瓦爾, M·朗 申請人:英特爾公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1