[发明专利]用于改善安全套接字层（SSL）通信安全性的系统和方法

说明书

本公开涉及一种用于改善SSL通信安全性的系统。该系统可包括在一个或多个服务器、一个或多个客户机、多个代理和web服务之间中间装置。服务器可以被配置为接收SSL连接并发布SSL证书。该装置可以包括与服务器中相应一个服务器相关联的虚拟服务器，以使得相应服务器的SSL证书通过该装置进行传输。该装置可以为一个或多个服务器生成服务指纹。每个服务指纹可以包括与虚拟服务器的SSL证书相对应的信息、用于相应虚拟服务器的虚拟IP地址的一个或多个DNS别名、服务于SSL证书的一个或多个端口号以及由该装置服务的IP地址。该装置还可以将服务指纹传输到web服务。

相关申请的交叉引用

本申请要求在2015年5月8日提交的、名称为“SYSTEMS AND METHODS FORIMPROVING SECURITY OF SECURE SOCKET LAYER (SSL)COMMUNICATIONS”的美国临时专利申请No.62/158876的权益和优先权，通过引用将该美国申请全部包含于此，以用于所有目的。

技术领域

本申请总的涉及计算机网络。本申请尤其涉及用于改善安全套接字层 (SSL)通信安全性的系统和方法。

背景技术

计算装置通常使用被称为安全套接字层(SSL)的技术来发送和接收加密的信息。但是，这项技术可能容易受到第三方的攻击。

发明内容

安全套接字层(SSL)是被设计为提供计算机网络上的通信安全的协议。当客户机装置尝试与服务器建立SSL连接时，服务器向客户机装置发出SSL 证书。通常，SSL证书包括诸如拥有该服务器的组织的域名、公司名和地址之类的信息。SSL证书是由认证授权机构颁发给组织的，应由认证授权机构采取措施确认申请证书的组织的身份。因此，接收SSL证书旨在向客户机装置提供一定程度的保证，即保证客户机请求连接的服务器由可信组织拥有。

由于SSL证书由认证授权机构颁发，所以SSL证书的安全性仅取决于认证授权机构本身。例如，在某些情况下，认证授权机构可能故意向错误的一方发出有效的证书。在其他情况下，认证授权机构可能会被欺骗，使得向冒充可信组织的恶意方发出有效证书。因此，仅由客户机装置接收有效的 SSL证书不能保证客户机请求连接的服务器实际上由可信组织拥有。

而且，SSL通信也可能受被其他类型的攻击的损害。例如，在中间人 (MITM)攻击中，第三方拦截从客户机装置发送到服务器的通信，并拦截从服务器发送到客户机装置的通信。第三方针对客户机装置冒充服务器，并针对服务器冒充客户机装置，从而在客户机或服务器中任何一个不知晓的情况下访问通过该连接发送的所有信息。

因此，作为SSL通信基础的证书信任模型可能是不可靠的。本公开提供用于改善SSL通信的安全性的方法和系统。例如，可以通过下面的方式改善 SSL安全性：验证发出SSL证书的服务器使用预期的SSL证书进行响应，指示该证书尚未被伪造，并验证到服务器的连接解析至预期的互联网协议 (IP)地址，指示私钥尚未被盗用。在一些实现中，还可以采取额外的保护措施。例如，可以分析SSL证书以确定该证书是否符合最新的计算机安全最佳实践。也可以对其他网络功能(例如边界网关协议(BGP))进行分析以提供额外的安全措施。

在本公开的一些实现中，在多个客户机和多个服务器中间的装置可以与 web服务器通信。对于具有配置的SSL证书的每个虚拟服务器，该装置可以将一个或多个服务指纹传送给web服务。服务指纹可以包括用于虚拟服务器的虚拟IP地址的域名服务(DNS)别名、服务于SSL证书的一个或多个端口号，由该装置服务的IP地址和正在提供的证书。在一些实现中，服务指纹不包括与SSL证书对应的私钥。