用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的系統(tǒng)��、方法和裝置的制造方法
【專利說明】
【背景技術(shù)】
[0001]網(wǎng)絡(luò)安全服務(wù)經(jīng)常檢查針對潛在的安全風(fēng)險的在線通信會話�����。例如��,層7安全服務(wù)可以提供在服務(wù)器與客戶端之間建立的TCP會話上執(zhí)行安全檢查的傳統(tǒng)的傳輸控制協(xié)議(TCP)代理��。在該示例中,安全檢查可以涉及重新裝配����、緩沖和/或修改在TCP會話期間服務(wù)器與客戶端之間傳送的流。
[0002]不幸的是���,該類型的安全檢查可能導(dǎo)致相當(dāng)大量資源的消耗。例如�,傳統(tǒng)的TCP代理可以涉及服務(wù)器和/或客戶端仿真器保存分組、定時器和/或確認(rèn)���,以及執(zhí)行重傳以便促進(jìn)這一類型的安全檢查�。然而��,傳統(tǒng)的TCP代理可能未考慮TCP會話實(shí)際上是否需要這樣的廣泛的安全檢查�。
[0003]因此,本公開內(nèi)容標(biāo)識并且解決了對用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的改進(jìn)的系統(tǒng)���、方法和裝置的需要��。
【發(fā)明內(nèi)容】
[0004]如下面將更詳細(xì)地描述���,本公開內(nèi)容總體上涉及用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的系統(tǒng)、方法以及裝置。在一個示例中�����,用于完成這樣的任務(wù)的計算機(jī)實(shí)現(xiàn)的方法可以包括(1)檢測在多個計算設(shè)備之間建立的在線通信會話�����,(2)標(biāo)識在多個計算設(shè)備之間建立的在線通信會話中涉及的至少一個應(yīng)用程序�����,(3)至少部分地基于在線通信會話中涉及的應(yīng)用程序�����,確定用于檢查在線通信會話的安全代理的安全模式��,以及繼而(4)根據(jù)所確定的安全模式來配置安全代理以檢查在線通信會話�����。
[0005]類似地�����,用于實(shí)現(xiàn)上面所描述的方法的系統(tǒng)可以包括:⑴檢測模塊,其被存儲在存儲器中�,該檢測模塊檢測在多個計算設(shè)備之間建立的在線通信會話,(2)標(biāo)識模塊�����,其被存儲在存儲器中��,該標(biāo)識模塊標(biāo)識在多個計算設(shè)備之間建立的在線通信會話中所涉及的至少一個應(yīng)用程序�,(3)確定模塊,其被存儲在存儲器中�����,該確定模塊至少部分地基于在線通信會話中涉及的應(yīng)用程序���,確定用于檢查在線通信會話的安全代理的安全模式,(4)配置模塊��,其被存儲在存儲器中��,該配置模塊根據(jù)所確定的安全模式來配置安全代理以檢查在線通信會話��,以及(5)至少一個處理器�,該處理器執(zhí)行檢測模塊�����、標(biāo)識模塊�、確定模塊以及配置模塊�。
[0006]備選地或者附加地,用于實(shí)現(xiàn)上面所描述的方法的裝置可以包括:(1)服務(wù)器����,其促進(jìn)在多個計算設(shè)備之間建立的在線通信會話以及(2)安全代理,其指導(dǎo)服務(wù)器:(A)標(biāo)識在多個計算設(shè)備之間建立的在線通信會話中涉及的至少一個應(yīng)用程序�,(B)至少部分地基于在線通信會話中涉及的應(yīng)用程序,確定滿足應(yīng)用程序的需要的安全模式��,以及繼而(C)根據(jù)所確定的安全模式�����,檢查在線通信會話����。
[0007]根據(jù)本文所描述的一般原理,來自任何上面所提到的實(shí)施例的特征可以彼此結(jié)合而被使用����。在結(jié)合附圖和權(quán)利要求閱讀下面詳細(xì)的描述時�����,這些和其他實(shí)施例����、特征以及優(yōu)點(diǎn)將被更為充分地理解�。
【附圖說明】
[0008]附圖圖示了多個示例性實(shí)施例,并且是說明書的一部分�����。這些附圖結(jié)合下面描述�����,論證并解釋了本公開內(nèi)容的各種原理��。
[0009]圖1是用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的示例性裝置的框圖�。
[0010]圖2是用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的示例性裝置的框圖��。
[0011]圖3是用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的示例性方法的流程圖�����。
[0012]圖4是描述了示例性安全模式的圖示。
[0013]圖5是描述了示例性安全模式的圖示�。
[0014]圖6是能夠?qū)崿F(xiàn)本文所描述和/或所圖示的一個或多個實(shí)施例、和/或用于結(jié)合本文所描述和/或所圖示實(shí)施例中的一個或多個實(shí)施例的示例性計算系統(tǒng)的框圖���。
[0015]在整個的附圖中�,相同的附圖標(biāo)記和描述指示類似的但未必相同的元件�。雖然通過附圖中的示例已經(jīng)示出了具體的實(shí)施例,并且將在本文中進(jìn)行詳細(xì)地描述��,但是本文所描述的示例性實(shí)施例允許各種修改和替換形式�����。然而�,本文所描述的示例性實(shí)施例不旨在限于所公開的特定形式。相反�����,本公開內(nèi)容覆蓋落入所附權(quán)利要求的范圍內(nèi)的所有的修改���、等同以及替換����。
【具體實(shí)施方式】
[0016]本公開內(nèi)容描述了用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的各種系統(tǒng)、方法以及裝置��。如本文所使用的術(shù)語“多態(tài)安全代理”通常是指任何類型或者形式的安全代理��,該安全代理的安全模式至少部分地基于在線通信會話的某些特性和/或?qū)傩员贿x擇和/或被改變����。在一個示例中,在服務(wù)器與客戶端之間的在線通信會話的壽命期間���,多態(tài)安全代理可以一次或者多次選擇和/或改變安全模式�。換句話說��,在在線通信會話的整個壽命中�,多態(tài)安全代理可以繼續(xù)確定和/或重新配置最有效的安全模式。
[0017]如下面將更詳細(xì)地解釋�����,本公開內(nèi)容的實(shí)施例可以標(biāo)識和/或監(jiān)視在服務(wù)器與客戶端之間建立的TCP會話所涉及的應(yīng)用程序��。本公開內(nèi)容的實(shí)施例還可以至少部分地基于應(yīng)用程序的被監(jiān)視的行為來確定用于TCP會話的最有效的安全模式�。換句話說��,這些實(shí)施例可以選擇在滿足所標(biāo)識的應(yīng)用程序的需要時引起最低水平的資源消耗的安全模式。
[0018]本公開內(nèi)容的實(shí)施例然后可以根據(jù)用于TCP會話的最有效的安全模式來配置安全代理以檢查TCP會話�。通過以這樣的方式配置安全代理以檢查TCP會話,這些實(shí)施例可以導(dǎo)致時間量和/或與檢查有關(guān)所消耗的網(wǎng)絡(luò)資源量的減少���。例如�����,這些實(shí)施例可以使得安全代理能夠在TCP會話上執(zhí)行安全檢查�,以使得服務(wù)器和/或客戶端仿真器既無需保存某些分組�、定時器和/或確認(rèn),也不需要執(zhí)行某些重傳以促進(jìn)安全檢查���。
[0019]參考圖1和圖2�,下面將提供用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的示例性系統(tǒng)的詳細(xì)描述���。結(jié)合圖3還將提供對應(yīng)的計算機(jī)實(shí)現(xiàn)的方法的詳細(xì)描述���。此外,結(jié)合圖4和圖5將提供示例性安全模式的詳細(xì)描述��。最后,結(jié)合圖6將提供用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的示例性裝置的詳細(xì)描述����。
[0020]圖1是用于經(jīng)由多態(tài)安全代理來檢查在線通信會話的示例性系統(tǒng)100的框圖。如該圖中所圖示的�����,示例性系統(tǒng)100可以包括用于執(zhí)行一個或多個任務(wù)的一個或多個模塊102��。例如����,以及如下面將更詳細(xì)地解釋的那樣,示例性系統(tǒng)100可以包括檢測在多個計算設(shè)備之間建立的在線通信會話的檢測模塊104��。示例性系統(tǒng)100還可以包括標(biāo)識在多個計算設(shè)備之間建立的在線通信會話所涉及的至少一個應(yīng)用程序的標(biāo)識模塊106���。
[0021]此外��,以及如下面將更詳細(xì)地描述的那樣�,示例性系統(tǒng)100可以包括確定用于安全代理的安全模式的確定模塊108�����,該安全代理至少部分地基于在線通信會話所涉及的應(yīng)用程序來檢查在線通信會話����。示例性系統(tǒng)100進(jìn)一步可以包括根據(jù)所確定的安全模式來配置安全代理以檢查在線通信會話的配置模塊110。盡管圖示為單獨(dú)的元件�,圖1中模塊102中的一個或多個模塊可以表示單個模塊或者應(yīng)用程序的部分。
[0022]在某些實(shí)施例中�����,圖1中的模塊102中的一個或多個模塊可以表示當(dāng)由計算設(shè)備執(zhí)行時使得計算設(shè)備執(zhí)行一個或多個任務(wù)的一個或多個軟件應(yīng)用程序或者程序���。例如�����,以及如下面將更詳細(xì)地描述的那樣����,模塊102中的一個或多個模塊可以表示被存儲在一個或多個計算設(shè)備上并且被配置為在一個或多個計算設(shè)備上運(yùn)行的軟件模塊���,諸如圖2中所圖示的設(shè)備(例如����,網(wǎng)絡(luò)設(shè)備206和/或計算設(shè)備202(1)-(N))和/或圖6中的裝置600。
[0023]如圖1中所圖示的那樣����,示例性系統(tǒng)100還可以包括一個或多個安全代理,諸如安全代理120��。如本文所使用的術(shù)語“安全代理”通常是指促進(jìn)計算設(shè)備之間的通信流的傳輸和/或在通信流上執(zhí)行安全檢查的任何類型或者形式的接口�����、代理和/或模塊�。在一個示例中,安全代理120可以表示和/或包括促進(jìn)在物理服務(wù)器與物理客戶端之間建立的TCP會話的TCP代理���。附加地或者備選地�,安全代理120可以在通信流上執(zhí)行安全檢查���,該通信流在該TCP會話期間���,在物理服務(wù)器與物理客戶端之間被傳送。
[0024]在一個示例中�,安全代理120可以包括服務(wù)器仿真器和/或客戶端仿真器。在該示例中�����,物理客戶端可以經(jīng)由被包括在安全代理120中的服務(wù)器仿真器與物理服務(wù)器進(jìn)行通信。附加地或者備選地�����,物理服務(wù)器可以經(jīng)由被包括在安全代理120中的客戶端仿真器與物理客戶端進(jìn)行通信���。
[0025]如圖1中所圖示的,示例性系統(tǒng)100還可以包括一個或多個安全模式�,諸如安全模式122。如本文所使用的術(shù)語“安全模式”通常是指控制在在線通信會話上執(zhí)行的安全檢查的任何類型或者形式的模式���、行為和/或個性���。在一個示例中,安全模式122可以定義在TCP會話上執(zhí)行的安全檢查期間所施加的侵襲性和/或徹底性的水平�。
[0026]安全模式122的示例包括但不限于:⑴通過模式,其使得安全代理能夠在不緩沖通信流或者修改通信流的內(nèi)容的情況下傳送通信流���,(2)緩沖模式����,其使得安全代理能夠在不修改通信流的內(nèi)容的情況下緩沖用于安全檢查的通信流,(3)重寫模式����,其使得安全代理能夠臨時地修改通信流的內(nèi)容,(4)完全代理模式���,其使得安全代理能夠基本上連續(xù)地修改通信流的內(nèi)容��,上述的一個或者多個的組合或者任何其他合適的安全模式����。
[0027]圖1中的示例性系統(tǒng)100可以以各種方式來實(shí)施�。例如,示例性系統(tǒng)100的全部或者一部分可以表示圖2中的示例性系統(tǒng)200的一部分��。如圖2中所示出的���,系統(tǒng)200可以包括經(jīng)由網(wǎng)絡(luò)204與一個或多個計算設(shè)備202(1)-(N)通信的網(wǎng)絡(luò)設(shè)備206���。雖然在圖2中圖示為從網(wǎng)絡(luò)204獨(dú)立,但是網(wǎng)絡(luò)設(shè)備206和/或計算設(shè)備202 (1) - (N)中的一個或多個計算設(shè)備可以表示網(wǎng)絡(luò)204的部分��。
[0028]在一個實(shí)施例中���,網(wǎng)絡(luò)設(shè)備206可以被編程為具有模塊102中的一個或多個模塊�����。在該實(shí)施例中��,網(wǎng)絡(luò)設(shè)備206可以包括安全代理120�����。網(wǎng)絡(luò)設(shè)備206可以能夠根據(jù)安全模式122(1)-(N)中的一個或多個安全模式來配置安全代理120��。