[发明专利]用于在不用局部可访问的私有密钥的情况下终止SSL连接的方法、装置和系统

权利要求书

1.一种在第一机器上执行的装置，包括：

处理器；

计算机存储器，保存被适配为由处理器运行的程序代码，所述程序代码被配置为代理服务器的客户端组件，所述代理服务器还具有与所述客户端组件不同并且在远离第一机器的第二机器上执行的服务器组件，包括：

用于至少部分地通过验证证书链具有匹配给定证书权限的根节点来建立到代理服务器的服务器组件的安全连接的代码；

用于从客户端接收安全握手请求的代码；

用于响应于接收到安全握手请求，确定与该安全握手请求相关联的密钥交换是否能够至少部分地通过使用与代理服务器的服务器组件相关联地保持的私有密钥处理，该私有密钥不能被代理服务器的客户端组件访问；

用于响应于基于学习表中的信息确定与该安全握手请求相关联的密钥交换能够至少部分地通过使用与代理服务器的服务器组件相关联地保持的私有密钥处理，经由该安全连接将第一信息转发到代理服务器的远程服务器组件的代码，所述第一信息被适配为利用在与代理服务器的远程服务器组件相关联地保持的所述私有密钥被处理；以及

用于经由该安全连接从代理服务器的服务器组件接收响应的代码，所述响应包括第二信息，所述第二信息已被在代理服务器组件处通过生成所述第一信息的哈希、使用所述哈希作为高速缓存的索引、基于所述哈希确定所述第一信息是否已经存在于所述高速缓存中、当所述第一信息没有已经存在于所述高速缓存中时将所述第一信息存储在所述高速缓存中、以及将在代理服务器的服务器组件处保持的私有密钥应用于所述第一信息而生成，所述第二信息被适配为在第一机器处使用以进一步便于在所述安全握手请求的处理期间的密钥交换。

2.如权利要求1所述的装置，其中第一信息是加密的预主秘密，并且第二信息是解密的预主秘密，并且其中所述程序代码还包括用于使用解密的预主秘密生成所述主秘密的代码。

3.如权利要求2所述的装置，还包括用于将主秘密返回到客户端的代码。

4.如权利要求1所述的装置，其中利用不对称Rivest-Shamir-Adelman(RSA)来建立预主秘密。

5.如权利要求1所述的装置，其中安全连接是相互验证的连接。

6.如权利要求1所述的装置，其中所述安全握手请求是安全套接层(SSL)握手请求和传输层安全(TLS)握手请求中的一个。

7.一种安全通信的方法，包括：

在第一机器上执行的代理服务器的客户端组件与在第二机器上执行的代理服务器的服务器组件之间建立安全连接，所述第二机器与第一机器远程地安置，所述安全连接是至少部分地通过所述代理服务器的客户端组件和服务器组件的每一个验证证书链具有匹配给定证书权限的根节点而建立的；

由在第一机器上执行的代理服务器的客户端组件接收安全握手请求；

在接收到安全握手请求时，由代理服务器的客户端组件基于学习表中的信息确定与该安全握手请求相关联的密钥交换是否能够至少部分地通过使用远程地且与代理服务器的服务器组件相关联地保持的私有密钥处理；

基于确定该安全握手请求能够至少部分地通过使用远程地保持的私有密钥处理，通过该安全连接将第一信息代理到该代理服务器的服务器组件；

通过安全连接从该代理服务器的服务器组件接收响应，所述响应包括第二信息，所述第二信息已被在代理服务器的服务器组件处通过生成所述第一信息的哈希、使用所述哈希作为高速缓存的索引、基于所述哈希确定所述第一信息是否已经存在于所述高速缓存中、当所述第一信息没有已经存在于所述高速缓存中时将所述第一信息存储在所述高速缓存中、以及将在代理服务器的服务器组件处保持的私有密钥应用于第一信息而生成，所述第二信息被适配为在第一机器处使用以进一步便于在所述安全握手请求的处理期间的密钥交换；以及

利用第二信息来便于密钥交换。

8.如权利要求7所述的方法，其中安全连接是相互验证的连接。

9.如权利要求7所述的方法，其中所述安全握手请求是安全套接层(SSL)握手请求和传输层安全(TLS)握手请求中的一个。

10.如权利要求7所述的方法，其中所述第一信息是加密的预主秘密，并且第二信息是所述预主秘密。