[发明专利]在网络环境中对加密的数据的检查

说明书

技术领域

本公开总体上涉及网络安全领域，并且更具体地涉及在网络环境中检查加密数据。

背景技术

在当今社会中网络安全领域已变得越发重要。互联网使得全世界的不同计算机网络能够互连。然而，互联网已为恶意操作者呈现了许多机会来利用这些网络。某些类型的恶意软件(例如，bot病毒)可以被配置为一旦该软件感染了主机计算机，则可以从远程操作者接收命令。该软件可以被指示以执行任意数量的恶意行为，例如从主机计算机发送垃圾邮件或恶意邮件、从与主机计算机相关联的公司或个人盗取敏感信息、传播给其它主机计算机、和/或协助分布式拒绝服务攻击。另外，恶意操作者可以将访问卖给或另外给出到其它恶意操作者，从而使对该主机计算机的了利用升级。因此，有效地保护和维护稳定的计算机和系统的能力继续为组件制造商、系统设计者、以及网络运营商呈现重大挑战。

企业环境采用许多网络管理工具，包括防火墙、网络入侵检测/防护(NIDS/NIPS)系统、流量整形器(traffic shaper)、以及其它系统。多个这些系统依靠对网络业务的检查，以便提供各种各样的服务(包括对恶意软件传播的检测/防护)来确保公司的知识产权不被泄露到明确定义的企业边界之外，以及一般审计和网络管理功能。还可以使用诸如安全套接层(SSL)/传输层安全(TLS)的协议来加密网络业务。

附图说明

为了提供对本公开和特征以及其优点的更完整的理解，对以下说明并结合附图进行了参照，其中相似附图标记表示相似部件，在其中：

图1为根据实施例的在其中防火墙可以截获网络流的网络环境的简化框图；

图2为根据实施例的网络环境200的示例示出；

图3为根据实施例的具有SSL/TLS握手通信的网络环境的示出；

图4为根据有利的实施例的针对SSL/TLS的网络环境400的框图；

图5为根据示例性实施例的作为代理的安全模块的示出；

图6为根据实施例的数据图的示出；

图7为根据实施例的示出了使用共享库提取共享密钥的过程的简化流程图；

图8为根据实施例的示出了从存储空间提取共享密钥的过程的简化流程图；

图9为根据实施例的示出了分析加密的网络流的过程的简化流程图；

图10还示出了根据实施例的耦合到处理器的存储器；以及

图11示出了根据实施例的被布置为点对点(PtP)配置的计算系统。

具体实施方式

示例实施例

转到图1，图1为根据实施例的在其中防火墙可以截获网络流的网络环境的简化框图。在图1中示出的实施例中，网络环境100可以包括互联网102、客户端104、防火墙106、策略服务器108、邮件服务器110、以及网络服务器112。一般地，客户端104可以是网络连接中的任何类型的终端节点，包括但不限于台式计算机、服务器、膝上型计算机、移动设备、移动电话、或能够接收或与另一节点(例如，邮件服务器110或网络服务器112)建立连接的任何其它类型的设备。防火墙106可以通过阻止未授权访问而允许授权通信来控制客户端104与附接到互联网102或另一网络的其它节点之间的通信。在一些实例中，防火墙106可以耦合到入侵防护系统、网络访问控制设备、网络网关、邮件网关、移动设备、或互联网102与客户端104之间任意其它类型的网关，或者防火墙106可以与之集成。另外，在路由拓扑中防火墙106的位置与用户客户端104接近是任意的。

策略服务器108可以耦合到防火墙106或与防火墙106集成，并且可以用于管理(manage)客户端104并且掌管(administer)和分发网络策略。因此，在该示例实施例中，如果由在防火墙106中实现的并由策略服务器108管理的策略所允许，则客户端104可以通过建立经由防火墙106的连接而与附接到互联网102的服务器(例如，邮件服务器110或网络服务器112)进行通信。

图1中的每个元件可以通过简单接口或通过任意其它适合的连接(有线或无线)相互耦合，这提供了可行的通路以用于网络通信。另外，基于特定的配置需求，这些元件中的任意一个或多个可以进行组合或从架构中移除。网络环境100可以包括能够进行传输控制协议/互联网络协议(TCP/IP)通信以在网络中发送或接收分组的配置。网络环境100还可以结合用户数据报协议/IP(UDP/IP)或合适的并基于特定需求的任何其它适合的协议而运行。