[发明专利]安全通信协议的拆分式终止

说明书

相关申请的交叉引用

本申请要求提交于2005年8月10日的题为“Split Termination for Secure Communication Protocols(用于安全通信协议的拆分式终止)”的美国临时专 利申请No.60/707,804号的优先权并出于所有目的通过引用包括该临时申请。 本申请与提交于2002年10月30日的题为“Transaction Accelerator for Client-Server Communication Systems(用于客户机-服务器通信系统的事务处理 加速器)”的美国专利申请No.10/285,315号(以下称为“McCanne I”)、提 交于2003年8月12日的题为“Transparent Client-Server Transaction Accelerator (透明客户机-服务器事务处理加速器)”的美国专利申请No.10/640,405号(以 下称为“McCanne III”)、提交于2003年8月12日的题为“Cooperaive Proxy Auto-Discovery and Connection Interception(合作式代理自动发现和连接截取)” 的美国专利申请No.10/640,562号(以下称为“McCanne IV”)、提交于2003 年8月12日的题为“Content Delivery for Client-Server Protocols with User Affinities using Connection End-Point Proxies(使用连接端点协议且具有用户亲 和力的客户端-服务器协议的内容递送)”的美国专利申请No.10/640,459号(以 下称为“McCanne V”)、提交于2005年3月18日的题为“Improved Reliability and Availability of Distributed Files Servers(分布式文件服务器的改善的可靠性 和可用性)”的美国专利申请No.60/663,174号(以下称为“Burman”)、以 及提交于2005年3月18日的题为“Connection Forwarding(连接转发)”的 美国临时专利申请No.60/663,366号(以下称为“Ly”)、提交于2005年3月 15日的题为“Rules-Based Transaction Prefecthing Using Connection End-Point Proxies(使用连接端点代理的基于规则的事务处理预取”的美国临时专利申请 No.60/662,452号相关并出于所有目的通过引用包括这些申请。

发明背景

本申请涉及数据网络领域，尤其涉及用于改善数据网络上的安全通信的性 能的系统和方法。为了在不可信网络上建立安全通信，一种常见方法是使用同 时使用公共密钥加密技术和对称密钥加密技术两者的协议。通常，公共密钥加 密比对称密钥加密具有更好的安全特性但是在计算上也更昂贵。因此，这两种 类型的加密通过使用公共密钥技术在两个实体之间协商一对称密码来组合。该 对称密钥密码被用于实体之间的批量数据传送。安全套接层(SSL)和传输层 安全性(TLS)是具有这种形式的安全通信协议的广泛使用的示例，如在使用 IKE的基于RSA的机制协商安全性关联时的IPSec。

安全通信协议经常为每个受保护的连接增添计算成本。对于向客户端计算 机提供许多同时安全连接的服务器计算机，安全通信协议所强加的额外的计算 开销可能是相当大的。为了减小提供大量安全连接的计算机的安全通信协议的 计算开销，有各种专门终止安全连接的设备。一般而言，这些安全连接终止设 备对于客户端系统表现为提供安全连接的服务器。安全连接终止设备管理连接 的加密及其它安全性相关方面，由此减轻向客户端系统提供服务的服务器系统 的由安全连接所强加的额外开销。

这些安全连接终止设备以和支持安全通信协议的服务器几乎相同的方法 配置，包括例如私有密钥、公共密钥、以及安全性证书。从安全性的角度来看， 安全连接终止设备与服务器是等同的且必须等同地受到保护。如果安全连接终 止设备的安全性例如由于丢失服务器私有密钥而受到危害，则攻击者将能够建 立将被安全通信协议客户端系统所信任的伪造服务器。