[发明专利]用于在不用局部可访问的私有密钥的情况下终止SSL连接的方法、装置和系统

摘要

一种互联网基础设施传递平台(例如，由服务提供者操作)提供RSA代理“服务”作为SSL协议的增强，其将加密的预主秘密(ePMS)的解密卸载到外部服务器。利用此服务，代替“局部地”解密ePMS，SSL服务器代理向RSA代理服务器组件(转发)ePMS并且在响应中接收解密的预主秘密。以这样的方式，解密密钥不需要与SSL服务器关联地存储。

主权项

一种在第一机器上执行的装置，包括：处理器；计算机存储器，保存被适配为由处理器运行的程序代码，所述程序代码被配置为代理服务器的客户端组件，所述代理服务器还具有与所述客户端组件不同并且在远离第一机器的第二机器上执行的服务器组件，包括：用于至少部分地通过验证证书链具有匹配给定证书权限的根节点来建立到代理服务器的服务器组件的安全连接的代码；用于从客户端接收安全握手请求的代码；用于响应于接收到安全握手请求，确定与该安全握手请求相关联的密钥交换是否能够至少部分地通过使用与代理服务器的服务器组件相关联地保持的私有密钥处理，该私有密钥不能被代理服务器的客户端组件访问；用于响应于基于学习表中的信息确定与该安全握手请求相关联的密钥交换能够至少部分地通过使用与代理服务器的服务器组件相关联地保持的私有密钥处理，经由该安全连接将第一信息转发到代理服务器的远程服务器组件的代码，所述第一信息被适配为利用在与代理服务器的远程服务器组件相关联地保持的所述私有密钥被处理；以及用于经由该安全连接从代理服务器的服务器组件接收响应的代码，所述响应包括第二信息，所述第二信息已被在代理服务器组件处通过生成所述第一信息的哈希、使用所述哈希作为高速缓存的索引、基于所述哈希确定所述第一信息是否已经存在于所述高速缓存中、当所述第一信息没有已经存在于所述高速缓存中时将所述第一信息存储在所述高速缓存中、以及将在代理服务器的服务器组件处保持的私有密钥应用于所述第一信息而生成，所述第二信息被适配为在第一机器处使用以进一步便于在所述安全握手请求的处理期间的密钥交换。