技術領域

本公開總體上涉及網絡安全領域，并且更具體地涉及在網絡環境中檢查加密數據。

背景技術

在當今社會中網絡安全領域已變得越發重要。互聯網使得全世界的不同計算機網絡能夠互連。然而，互聯網已為惡意操作者呈現了許多機會來利用這些網絡。某些類型的惡意軟件(例如，bot病毒)可以被配置為一旦該軟件感染了主機計算機，則可以從遠程操作者接收命令。該軟件可以被指示以執行任意數量的惡意行為，例如從主機計算機發送垃圾郵件或惡意郵件、從與主機計算機相關聯的公司或個人盜取敏感信息、傳播給其它主機計算機、和/或協助分布式拒絕服務攻擊。另外，惡意操作者可以將訪問賣給或另外給出到其它惡意操作者，從而使對該主機計算機的了利用升級。因此，有效地保護和維護穩定的計算機和系統的能力繼續為組件制造商、系統設計者、以及網絡運營商呈現重大挑戰。

企業環境采用許多網絡管理工具，包括防火墻、網絡入侵檢測/防護(NIDS/NIPS)系統、流量整形器(traffic?shaper)、以及其它系統。多個這些系統依靠對網絡業務的檢查，以便提供各種各樣的服務(包括對惡意軟件傳播的檢測/防護)來確保公司的知識產權不被泄露到明確定義的企業邊界之外，以及一般審計和網絡管理功能。還可以使用諸如安全套接層(SSL)/傳輸層安全(TLS)的協議來加密網絡業務。

附圖說明

為了提供對本公開和特征以及其優點的更完整的理解，對以下說明并結合附圖進行了參照，其中相似附圖標記表示相似部件，在其中：

圖1為根據實施例的在其中防火墻可以截獲網絡流的網絡環境的簡化框圖；

圖2為根據實施例的網絡環境200的示例示出；

圖3為根據實施例的具有SSL/TLS握手通信的網絡環境的示出；

圖4為根據有利的實施例的針對SSL/TLS的網絡環境400的框圖；

圖5為根據示例性實施例的作為代理的安全模塊的示出；

圖6為根據實施例的數據圖的示出；

圖7為根據實施例的示出了使用共享庫提取共享密鑰的過程的簡化流程圖；

圖8為根據實施例的示出了從存儲空間提取共享密鑰的過程的簡化流程圖；

圖9為根據實施例的示出了分析加密的網絡流的過程的簡化流程圖；

圖10還示出了根據實施例的耦合到處理器的存儲器；以及

圖11示出了根據實施例的被布置為點對點(PtP)配置的計算系統。

具體實施方式

示例實施例

轉到圖1，圖1為根據實施例的在其中防火墻可以截獲網絡流的網絡環境的簡化框圖。在圖1中示出的實施例中，網絡環境100可以包括互聯網102、客戶端104、防火墻106、策略服務器108、郵件服務器110、以及網絡服務器112。一般地，客戶端104可以是網絡連接中的任何類型的終端節點，包括但不限于臺式計算機、服務器、膝上型計算機、移動設備、移動電話、或能夠接收或與另一節點(例如，郵件服務器110或網絡服務器112)建立連接的任何其它類型的設備。防火墻106可以通過阻止未授權訪問而允許授權通信來控制客戶端104與附接到互聯網102或另一網絡的其它節點之間的通信。在一些實例中，防火墻106可以耦合到入侵防護系統、網絡訪問控制設備、網絡網關、郵件網關、移動設備、或互聯網102與客戶端104之間任意其它類型的網關，或者防火墻106可以與之集成。另外，在路由拓撲中防火墻106的位置與用戶客戶端104接近是任意的。

策略服務器108可以耦合到防火墻106或與防火墻106集成，并且可以用于管理(manage)客戶端104并且掌管(administer)和分發網絡策略。因此，在該示例實施例中，如果由在防火墻106中實現的并由策略服務器108管理的策略所允許，則客戶端104可以通過建立經由防火墻106的連接而與附接到互聯網102的服務器(例如，郵件服務器110或網絡服務器112)進行通信。

圖1中的每個元件可以通過簡單接口或通過任意其它適合的連接(有線或無線)相互耦合，這提供了可行的通路以用于網絡通信。另外，基于特定的配置需求，這些元件中的任意一個或多個可以進行組合或從架構中移除。網絡環境100可以包括能夠進行傳輸控制協議/互聯網絡協議(TCP/IP)通信以在網絡中發送或接收分組的配置。網絡環境100還可以結合用戶數據報協議/IP(UDP/IP)或合適的并基于特定需求的任何其它適合的協議而運行。