專利名稱:將加密https網(wǎng)絡數(shù)據(jù)包映射到其經(jīng)過解密的副本的系統(tǒng)和方法
技術領域:
一般而言��,本發(fā)明涉及計算機網(wǎng)絡技術領域�,具體來說���,涉及高 效地將經(jīng)過加密的HTTPS網(wǎng)絡數(shù)據(jù)包映射到特定URL名稱及其 他經(jīng)過加密的數(shù)據(jù)�,無需在安全的Web服務器外部進行解密的方法 和系統(tǒng)��。
背景技術:
因特網(wǎng)是異構型計算機和子網(wǎng)構成的巨大的網(wǎng)絡��,所有的都在一 起進行通信�,以便進行全局的信息交換。萬維網(wǎng)(WWW)是因特網(wǎng) 上比較流行的信息服務之一��,使用Web瀏覽器軟件以對位于遠程計 算機或內容服務器上的文檔和文件的超文本鏈接進行解密�,以訪問文 本、音頻����、視頻�、圖形�、動畫、靜止圖像等等的形式的多媒體信息����。 用戶越來越需要遠程訪問公共和私用網(wǎng)絡,產(chǎn)生了如何通過諸如因特 網(wǎng)之類的一般的不安全的公共網(wǎng)絡對安全的服務器和網(wǎng)絡上可用的 資源進行安全的訪問�����。
諸如網(wǎng)絡性能監(jiān)視器之類的許多硬件和軟件實用程序和應用程 序����,把依賴網(wǎng)絡數(shù)據(jù)作為它們的輸入的測量方法,作為它們的核心技 術�����。隨著越來越多的電子商務在因特網(wǎng)上打開��,安全網(wǎng)絡傳輸?shù)挠猛?越來越大���。通過Web瀏覽器的加密是通過安全的超文本傳輸協(xié)議 (HTTPS )在因特網(wǎng)上發(fā)送安全的數(shù)據(jù)的單一的最常使用的源��。對于 HTTPS協(xié)議�����,Web瀏覽器使用公鑰/私鑰技術����,該技術如此強有力 地對網(wǎng)絡數(shù)據(jù)進行加密����,以致于只有對應的安全的Web服務器可以 對它進行解密?����?梢栽L問這些經(jīng)過加密的網(wǎng)絡流的硬件或軟件監(jiān)視 器���,實際上不可能理解有關它們的格式的任何東西����,更不用說有關它
們的內容的任何東西��。由于監(jiān)控工具在HTTPS環(huán)境中的此限制,此 網(wǎng)絡的硬件和軟件監(jiān)視器的數(shù)據(jù)的值只能對于使用HTTP (這是 HTTPS的不安全版本)的環(huán)境才能實現(xiàn)�����。此外����,如果在安全的Web 服務器外部進行解密,需要由政府管理的特殊的解密軟件����,這使得銷 售和分發(fā)吸引力減低。這對于客戶來說���,吸引力也減低���,因為需要對 Web服務器安全性證書進行訪問,這是客戶不會允許的���。因此���,使 用對政府規(guī)定、市場和客戶容忍度更好的另一種技術越來越重要��。
因此����,需要一個簡單的優(yōu)化的和一般性的方法和系統(tǒng),該方法和 系統(tǒng)使用安全的網(wǎng)絡服務器來對網(wǎng)絡數(shù)據(jù)的一部分進行解密���,以允許 硬件和軟件網(wǎng)絡監(jiān)視器獲取它們工作所需要的信息�����,以便它們可以返 回相同的數(shù)據(jù)�,好像在HTTP不安全環(huán)境中操作那樣�����,無需使用安 全網(wǎng)絡服務器外部的特殊的解密軟件����。
發(fā)明內容
通過參考多個附圖對本發(fā)明的實施例的下列詳細描述,將更好地 理解本發(fā)明的前面的及其他目的�,特征和優(yōu)點。
本發(fā)明的一個優(yōu)選實施例是在安全計算機網(wǎng)絡Web服務器中 將經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包映射到其經(jīng)過解密的副本的方法�����。該方 法在安全Web服務器上創(chuàng)建插入式模塊,并保存來自捕獲的經(jīng)過加 密的網(wǎng)絡請求數(shù)據(jù)包的至少一個網(wǎng)絡地址和端口號�。插入式模塊從安 全的Web服務器解密模塊獲取網(wǎng)絡請求數(shù)據(jù)包的經(jīng)過解密的副本, 并帶有網(wǎng)絡地址和端口號地返回它��。
本發(fā)明的另 一個優(yōu)選實施例是實現(xiàn)了本發(fā)明的上文所提及的方 法實施例的系統(tǒng)�。
本發(fā)明的再一個優(yōu)選實施例包括可觸摸地實現(xiàn)了可以由計算機 執(zhí)行的指令的程序的計算機可用的介質,以執(zhí)行本發(fā)明的上文所提及 的方法實施例的步驟�。
現(xiàn)在請參看附圖,其中����,類似的附圖標記代表對應的部分 圖1顯示了根據(jù)本發(fā)明的優(yōu)選實施例的能夠進行有效的映射的 硬件和軟件網(wǎng)絡環(huán)境;以及
圖2顯示了根據(jù)本發(fā)明的優(yōu)選實施例的映射的頂級流程圖�����。
具體實施例方式
在下面的對優(yōu)選實施例的描述中�����,將參考附圖��,附圖構成了本發(fā) 明的一部分����,并通過圖解說明����,顯示了其中可以實施本發(fā)明的特定實 施例�����。應該理解�,在不偏離本發(fā)明的范圍的情況下�����,可以利用其他實 施例���,也可以進行結構性的和功能性更改�。
本發(fā)明的主要目標是實現(xiàn)硬件和軟件網(wǎng)絡實用程序和應用程序�����, 以便在安全環(huán)境中操作��,并可以訪問相同的數(shù)據(jù)�����,好像是在超文本傳 輸協(xié)議(HTTP)不安全環(huán)境中操作,并作為Web服務器的正常操 作的一部分���,由安全的Web服務器執(zhí)行網(wǎng)絡數(shù)據(jù)解密����。
本發(fā)明說明了實現(xiàn)了可以由計算機執(zhí)行的指令的程序的系統(tǒng)�、方 法和計算機可用的介質,以執(zhí)行將經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包映射到
安全計算機網(wǎng)絡服務器中的其經(jīng)過解密的副本的方法�。本發(fā)明的監(jiān)視 模塊從安全的Web服務器解密模塊獲取網(wǎng)絡請求數(shù)據(jù)包的經(jīng)過解 密的副本。
優(yōu)選情況下��,經(jīng)過加密的網(wǎng)絡請求是經(jīng)過加密的超文本標記語言 (HTML)請求��,以及其經(jīng)過加密的數(shù)據(jù)��,如統(tǒng)一資源定位符(URL) 名稱��,是訪問網(wǎng)站所需要的���。為了從HTTPS網(wǎng)絡請求數(shù)據(jù)包中獲取 經(jīng)過加密的信息而不必實現(xiàn)特殊的解密技術�����,本發(fā)明利用了 Web服 務器的將經(jīng)過解密的HTTPS網(wǎng)絡數(shù)據(jù)包作為Web服務器插件的 一部分來提供的能力����。如此,本發(fā)明不需要在安全的Web服務器外 部進行解密�。此外,也不需要特殊的解密軟件而是在其正常操作過程 中利用從安全的Web服務器的常規(guī)解密軟件獲取的數(shù)據(jù).如此��,可 以通過已經(jīng)經(jīng)政府批準的��,已經(jīng)在市場上和分發(fā)世界被接受的并且已 經(jīng)由客戶部署的常規(guī)Web服務器軟件來進行解密����。
本發(fā)明的主要方面將完全經(jīng)過加密的HTML請求(由硬件或軟 件監(jiān)視軟件看見)映射到完全經(jīng)過解密的HTML請求(由安全的 Web服務器看見)�����。這是可以實現(xiàn)的�,因為所有市場上使用的安全 Web服務器都提供發(fā)布的技術,以獲取經(jīng)過加密的HTML請求數(shù) 據(jù)包的副本�,并在解密之后,將經(jīng)過解密的請求數(shù)據(jù)包的副本移交到 本發(fā)明的監(jiān)視器��,該監(jiān)視器對數(shù)據(jù)進行規(guī)范化�����,如此,它們看起來像 從不安全的HTTP環(huán)境中獲得的數(shù)據(jù)那樣����。獲取HTML請求數(shù)據(jù) 包的經(jīng)過解密的副本所需的發(fā)布的技術的類型取決于供客戶使用的 供應商的安全Web服務器的類型。
圖1顯示了根據(jù)本發(fā)明的優(yōu)選實施例的能夠進行有效的映射的 硬件和軟件網(wǎng)絡環(huán)境���。該系統(tǒng)使用圖2的流程圖中顯示的映射的算 法�����。在圖1的方框圖中�,位于客戶端站點100的客戶通過網(wǎng)絡300 與服務器站點200 (優(yōu)選情況下���,是安全的)進行交互���。網(wǎng)絡300通 常是使用傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)(因特網(wǎng)上的數(shù)據(jù)包 交換協(xié)議)的因特網(wǎng)?���?蛻舳苏军c100可以是臺式機或膝上型計算 機,個人數(shù)字助理(PDA)�、車載計算機、蜂窩電話等等,它們根據(jù)超 文本傳輸協(xié)議(HTTP)或根據(jù)安全的超文本傳輸協(xié)議(HTTPS)向 因特網(wǎng)服務提供商(ISP)(未顯示)發(fā)送其請求����,如對網(wǎng)站的請求。 ISP與因特網(wǎng)建立鏈接�,然后,因特網(wǎng)將請求傳遞到內容服務器(未 顯示)�,然后,內容服務器又將請求轉發(fā)到內容提供商(未顯示)(通 常通過統(tǒng)一資源定位器(URL)名稱來編址)�。
來自內容服務器的響應被路由回客戶端站點IOO,并通常符合超 文本標記語言(HTML),該語言是用于創(chuàng)建WWW上的文檔的標準 語言���。HTML通過使用在文檔中插入的各種標記命令來指定應該如 何格式化文檔的一部分或整個文檔����,定義Web文檔的結構和布局��。 請求可以被發(fā)送給安全服務器�����,該安全服務器是內容服務器�����,支持主 要安全協(xié)議中的任何一種�,安全協(xié)議對消息進行加密和解密,以保護 它們免受第三方竄改�。安全套接字層(SSL)協(xié)議是這樣的典型的協(xié) 議,該協(xié)議使用公鑰和私鑰和密碼進行加密��;其他方法使用經(jīng)過加密
的數(shù)字證書�。SSL的套接字通常是軟件對象。 曰/
過加密的HTML請求映射到向監(jiān)視軟件提供值的URL的名稱及 其他經(jīng)過加密的數(shù)據(jù)���。每一個HTTPS請求都具有小的非加密的標 頭����,該標頭作為請求的一部分在網(wǎng)絡上流動�����,并且在請求的前面��。這 是諸如路由器和開關之類的網(wǎng)絡設備將請求路由到目標網(wǎng)絡地址所 需要的����。網(wǎng)絡設備不能讀取經(jīng)過加密的數(shù)據(jù),因此�����,此標頭必須是非 加密的。此標頭適合本發(fā)明的優(yōu)點�。當由網(wǎng)絡監(jiān)視軟件捕獲隨機的經(jīng) 過加密的HTML請求時,其原始和目標網(wǎng)絡地址和端口保存在存儲 器中的數(shù)據(jù)結構中�����,以便稍后對經(jīng)過加密的請求進行訪問�����。
圖2的流程圖顯示了示范性映射過程的算法���。在本發(fā)明的優(yōu)選 方面�����,客戶端站點100的用戶使用HTTPS協(xié)議來對其網(wǎng)絡數(shù)據(jù)包 進行加密。這使得它們對于觀察穿過網(wǎng)絡300的數(shù)據(jù)包的技術(如 網(wǎng)絡數(shù)據(jù)包嗅探器)不可讀��,只有具有對應的HTTPS協(xié)議的Web 服務器才能對接收到的網(wǎng)絡數(shù)據(jù)包進行加密��。用戶通過位于客戶端站 點100上Web瀏覽器110 (它對網(wǎng)絡數(shù)據(jù)包進行加密��,并在網(wǎng)絡 300上發(fā)出HTTPS請求)與服務器站點200進行交互。請求遍歷 網(wǎng)絡300��,并到達服務器200����,在那里,本發(fā)明的名為監(jiān)視器210的 監(jiān)控軟件正在運行��。監(jiān)視器210與始終在運行的網(wǎng)絡數(shù)據(jù)包嗅探器 220進行通信�����。如此���,監(jiān)視器210看到網(wǎng)絡數(shù)據(jù)包的經(jīng)過加密的內 容�,但是對它意義不大���。然而�,甚至經(jīng)過加密的網(wǎng)絡數(shù)據(jù)包在標頭中 有一部分未經(jīng)過加密�����,如網(wǎng)絡地址和端口號��,需要保持非加密狀態(tài), 因為它供沒有解密功能的硬件路由器使用���。因此�,監(jiān)視器210可以 成功地讀取經(jīng)過加密的網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡地址和端口號�,但是不能讀 取別的。然而�����,用戶需要能夠讀取嵌入在經(jīng)過加密的網(wǎng)絡數(shù)據(jù)包中的 一些一些數(shù)據(jù)�����,如URL名稱���。因此�����,在圖2的步驟400中����,監(jiān)視 器210在Web服務器205啟動時創(chuàng)建插入式模塊230�����,并向 Web服務器205進行注冊�。
為了在URL名稱及其他經(jīng)過加密的數(shù)據(jù),以及客戶端的網(wǎng)絡
地址和端口號之間進行映射�,在步驟410中,監(jiān)視器210保存來自 起源于客戶端站點100的并從網(wǎng)絡數(shù)據(jù)包嗅探器220接收到的經(jīng) 過加密的網(wǎng)絡請求數(shù)據(jù)包的網(wǎng)絡地址和端口號����。然后,監(jiān)視器210獲 取經(jīng)過加密的網(wǎng)絡數(shù)據(jù)包的副本�,并將經(jīng)過加密的數(shù)據(jù)包放到存儲器 250中的數(shù)據(jù)結構240中。數(shù)據(jù)結構可以是涉及特定根URL的樹 或通過客戶端站點的網(wǎng)絡地址和端口號���。
在Web服務器205中���,通過位于Web服務器205內的 Web服務器常規(guī)解密軟件225,作為Web服務器的正常處理的一 部分�����,對網(wǎng)絡數(shù)據(jù)包進行解密��。插入式模塊230通常簡稱為Web過 濾器(對于Microsoft IIS Web服務器)����,對于Apache的和 Netscape的Web服務器����,是NSAPI����。在步驟420中,插入式模塊 230從經(jīng)過解密的HTML請求中獲取HTTPS網(wǎng)絡數(shù)據(jù)包的副本����。
一旦插入式模塊230從Web服務器常規(guī)解密軟件225獲取 了 HTTPS網(wǎng)絡數(shù)據(jù)包的經(jīng)過解密的副本,就可以從該請求的此副本 中提取諸如URL名稱����、URL引用者和應用特定內容之類的重要數(shù) 據(jù)。然而�,由于只有HTML請求的副本是通過Web過濾器或 NSAPI獲取的,網(wǎng)絡特定的信息不可用��,該信息是與原始的經(jīng)過加 密的請求進行關系匹配所需要的�����。因此�����,必須在安全Web服務器上 調用一些應用程序編程接口 (API),以獲取與該請求的此副本關聯(lián)的 網(wǎng)絡地址和端口號��。對于每一個安全Web服務器供應商���,這些API 是不同的���。如此,插入式模塊230向Web服務器205進行API調 用��,以獲取與網(wǎng)絡數(shù)據(jù)包關聯(lián)的網(wǎng)絡地址和端口號�����。
然后�����,在步驟430中���,插入式模塊230打開插入式模塊230和 監(jiān)視器210之間的網(wǎng)絡通信套接字260�,并通過管道將經(jīng)過解密的 HTTPS網(wǎng)絡數(shù)據(jù)包��、網(wǎng)絡地址和端口號傳遞到監(jiān)視器210。然后�, 監(jiān)視器210進行合并和規(guī)范化?;诰W(wǎng)絡地址和端口號,監(jiān)視器210 首先檢索存儲器中的數(shù)據(jù)結構240,并基于其網(wǎng)絡地址和端口號����,嘗 試查找匹配傳遞的經(jīng)過解密的HTTPS網(wǎng)絡數(shù)據(jù)包的條目。
如果找到了這樣的條目���,網(wǎng)絡數(shù)據(jù)包的存儲的經(jīng)過加密的內容被
從插入式模塊230接收到的經(jīng)過解密的內容替代�。如果不能找到匹 配��,監(jiān)視器210丟棄從插入式模塊230接收到的數(shù)據(jù)�,并繼續(xù)。如 果存在匹配的條目�����,將通常不能涉及URL名稱的捕獲的經(jīng)過加密的 網(wǎng)絡HTTPS請求與URL名稱和其他以前加密的數(shù)據(jù)配對�,這會 將被HTTPS協(xié)議隱藏的數(shù)據(jù)提供回到網(wǎng)絡監(jiān)視器。如此���,監(jiān)視器 210在存儲器中的數(shù)據(jù)結構240中具有在協(xié)議是不安全的HTTP 的情況下所通常具有的所有信息�,如目標資源的(可以是圖像、程序 文件����、HTML頁面����、Java小程序等等)URL名稱。
因此��,此時���,監(jiān)視器210可以從存儲的經(jīng)過解密的網(wǎng)絡數(shù)據(jù)包 中提取URL名稱及其他數(shù)據(jù)��,并可以將它用于網(wǎng)絡事務中的各種數(shù) 據(jù)管理解決方案�����,用于銀行及其他軟件服務����、應用程序和數(shù)據(jù)處理程 序����,包括數(shù)據(jù)挖掘����、模式識別���、數(shù)據(jù)分析��,將HTML轉換為無線應 用協(xié)議(WAP)���、數(shù)據(jù)轉換、監(jiān)視因特網(wǎng)HTTP服務器應用程序的性 能����,以及通過通信網(wǎng)絡在客戶端和服務器站點之間進行的數(shù)據(jù)傳輸。
本發(fā)明可以以硬件�����、固件或軟件或硬件��、固件和軟件的任何組合 來實現(xiàn)���,或以能夠提供所說明的功能的任何其他進程來實現(xiàn)�����。本發(fā)明 的方法和系統(tǒng)可以使用一個服務器計算機系統(tǒng)以集中方式�����,或者以不 同的元件跨多個互連的計算機系統(tǒng)的分布式方式來實現(xiàn)���。適于執(zhí)行這 里所描述的方法的任何類型的計算機系統(tǒng)或其他設備都適于執(zhí)行這 里所描述的功能�。圖1顯示了具有一組計算機程序的通用計算機系 統(tǒng)����,當加載和執(zhí)行它們時�����,以這樣的方式控制計算機系統(tǒng)����,以便它執(zhí) 行本發(fā)明的方法。計算機程序可以嵌入在包括實現(xiàn)這里描述的方法的 所有特點的計算機可用的介質中�����,這種計算機可用的介質在加載到計 算機系統(tǒng)中時,能夠執(zhí)行這些方法����。在圖1的示范性環(huán)境中,服務 器站點200的計算機系統(tǒng)包括一個或多個處理器(未顯示)��,它們 可以連接到一個或多個電子存儲設備(未顯示����,如磁盤驅動器)。
前面的對本發(fā)明的優(yōu)選實施例的描述只是為了說明和描述�。它不 是詳盡的說明或將本發(fā)明限于所說明的準確的形式。根據(jù)上述原理�, 許多修改方案和變化也是可以的。本發(fā)明的范圍不被此詳細描述的限 制�����,而是由所附的權利要求進行限制����。
權利要求
1.一種用于在安全計算機網(wǎng)絡Web服務器中將經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包映射到其經(jīng)過解密的副本的方法,包括(a)在安全Web服務器上創(chuàng)建插入式模塊����,并保存來自捕獲的經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的至少一個網(wǎng)絡地址和端口號��;(b)由所述插入式模塊從所述安全Web服務器解密模塊獲取網(wǎng)絡請求數(shù)據(jù)包的經(jīng)過解密的副本��;以及(c)從所述插入式模塊獲取所述經(jīng)過解密的網(wǎng)絡數(shù)據(jù)包����、網(wǎng)絡地址和端口號�。
2. 根據(jù)權利要求1所述的方法,其中�����,步驟(c)進一步包括 將所述網(wǎng)絡地址和端口號和所述經(jīng)過解密的網(wǎng)絡數(shù)據(jù)包保存在按所 述網(wǎng)絡地址和端口號索引的數(shù)據(jù)結構中的步驟����。
3. 根據(jù)權利要求1所述的方法����,其中,所述網(wǎng)絡是因特網(wǎng)�����, 加密是根據(jù)安全的超文本傳輸協(xié)議(HTTPS)執(zhí)行的��,所述經(jīng)過加密 的網(wǎng)絡請求符合超文本標記語言(HTML).
4. 根據(jù)權利要求1所述的方法,其中����,所述經(jīng)過加密的數(shù)據(jù) 包括統(tǒng)一資源定位符(URL)名稱、應用特定內容或到從包括文本�����、 音頻�����、視頻�����、圖形��、動畫��、靜止圖像����、程序文件、HTML頁面和JAVA 小程序的組中選擇的遠程目標資源的超文本鏈接����。
5. 根據(jù)權利要求1所述的方法��,其中��,所述解密是由Web服 務器常規(guī)解密軟件作為Web服務器的正常的處理的一部分執(zhí)行的��, 所述插入式模塊是從包括Web過濾器和NSAPI的組中選擇的�����,來 自所述捕獲的經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的網(wǎng)絡地址和端口號被不 經(jīng)過加密地傳輸�。
6. 根據(jù)權利要求1所述的方法��,其中����,步驟(b)進一步包括 其中所述插入式模塊在所述安全Web服務器上調用應用程序編程 接口 (API),以獲取與所述經(jīng)過解密的網(wǎng)絡請求數(shù)據(jù)包關聯(lián)的原始的 經(jīng)過加密的請求的網(wǎng)絡地址和端口號的步驟。
7. 根據(jù)權利要求1所述的方法���,其中,步驟(c)進一步包括: 其中所述插入式模塊創(chuàng)建網(wǎng)絡套接字并通過管道傳輸所述經(jīng)過解密 的HTTPS網(wǎng)絡數(shù)據(jù)包����、所述網(wǎng)絡地址和端口號的步驟�。
8. —種用于在安全計算機網(wǎng)絡Web服務器中將經(jīng)過加密的 網(wǎng)絡請求數(shù)據(jù)包映射到其經(jīng)過解密的副本的系統(tǒng)���,包括用于執(zhí)行下列 步驟的裝置(a) 在安全Web服務器上創(chuàng)建插入式模塊����,并保存來自捕獲的 經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的至少一個網(wǎng)絡地址和端口號��;(b) 由所述插入式模塊從所述安全Web服務器解密模塊獲取 網(wǎng)絡請求數(shù)據(jù)包的經(jīng)過解密的副本�;以及(c) 從所述插入式模塊獲取所述經(jīng)過解密的網(wǎng)絡數(shù)據(jù)包、網(wǎng)絡地 址和端口號�����。
9. 根據(jù)權利要求8所述的系統(tǒng)���,其中����,用于執(zhí)行步驟(c)的 裝置進一步包括用于將所述網(wǎng)絡地址和端口號和所述經(jīng)過解密的網(wǎng) 絡數(shù)據(jù)包保存在按所述網(wǎng)絡地址和端口號索引的數(shù)據(jù)結構中的裝置��。
10. 根據(jù)權利要求8所述的系統(tǒng)��,其中����,所述網(wǎng)絡是因特網(wǎng)�, 加密是根據(jù)安全的超文本傳輸協(xié)議(HTTPS)執(zhí)行的�����,所述經(jīng)過加密 的網(wǎng)絡請求符合超文本標記語言(HTML)�����。
11. 根據(jù)權利要求8所述的系統(tǒng)�����,其中�,所述經(jīng)過加密的數(shù)據(jù) 包括統(tǒng)一資源定位符(URL)名稱、應用特定內容或到從包括文本�、 音頻、視頻��、圖形���、動畫、靜止圖像�、程序文件��、HTML頁面和JAVA 小程序的組中選擇的遠程目標資源的超文本鏈接��。
12. 根據(jù)權利要求8所述的系統(tǒng)��,其中��,所述解密是由Web服 務器常規(guī)解密軟件作為Web服務器的正常的處理的一部分執(zhí)行的��, 所述插入式模塊是從包括Web過濾器和NSAPI的組中選擇的�,來 自所述捕獲的經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的網(wǎng)絡地址和端口號被不 經(jīng)過加密地傳輸�。
13. 根據(jù)權利要求8所述的系統(tǒng),其中��,用于執(zhí)行步驟(b)的 裝置進一步包括其中所述插入式模塊在所述安全Web服務器上調用應用程序編程接口 (API),以獲取與所述經(jīng)過解密的網(wǎng)絡請求數(shù)據(jù) 包關聯(lián)的原始的經(jīng)過加密的請求的網(wǎng)絡地址和端口號的裝置��。
14. 根據(jù)權利要求8所述的系統(tǒng)�����,其中����,用于執(zhí)行步驟(c)的 裝置進一步包括其中所述插入式模塊創(chuàng)建網(wǎng)絡套接字并通過管道傳 輸經(jīng)過解密的HTTPS網(wǎng)絡數(shù)據(jù)包、網(wǎng)絡地址和端口號的裝置。
15. —種計算機可用的介質�,有形地包含可由計算機執(zhí)行的指令 的程序,以執(zhí)行在安全計算機網(wǎng)絡Web服務器中將經(jīng)過加密的網(wǎng)絡 請求數(shù)據(jù)包映射到其經(jīng)過解密的副本的方法��,包括(a) 在安全Web服務器上創(chuàng)建插入式模塊����,并保存來自捕獲的 經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的至少一個網(wǎng)絡地址和端口號;(b) 由所述插入式模塊從所述安全Web服務器解密模塊獲取 網(wǎng)絡請求數(shù)據(jù)包的經(jīng)過解密的副本����;以及(c) 從所述插入式模塊獲取所述經(jīng)過解密的網(wǎng)絡數(shù)據(jù)包、網(wǎng)絡地 址和端口號�����。
16. 根據(jù)權利要求15所述的方法�,其中,步驟(c)進一步包括 將所述網(wǎng)絡地址和端口號和所述經(jīng)過解密的網(wǎng)絡數(shù)據(jù)包保存在按所 述網(wǎng)絡地址和端口號索引的數(shù)據(jù)結構中的步驟�。
17. 根據(jù)權利要求15所述的方法,其中�,所述網(wǎng)絡是因特網(wǎng), 加密是根據(jù)安全的超文本傳輸協(xié)議(HTTPS)執(zhí)行的�����,所述經(jīng)過加密 的網(wǎng)絡請求符合超文本標記語言(HTML)。
18. 根據(jù)權利要求15所述的方法��,其中���,所述經(jīng)過加密的數(shù)據(jù) 包括統(tǒng)一資源定位符(URL)名稱、應用特定內容或到從包括文本����、 音頻、視頻�����、圖形�����、動畫��、靜止圖像��、程序文件�、HTML頁面和JAVA 小程序的組中選擇的遠程目標資源的超文本鏈接。
19. 根據(jù)權利要求15所述的方法�����,其中,所述解密是由Web 服務器常規(guī)解密軟件作為Web服務器的正常的處理的一部分執(zhí)行 的����,所述插入式模塊是從由Web過濾器和NSAPI構成的組中選擇 的,來自所述捕獲的經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的網(wǎng)絡地址和端口號 被不經(jīng)過加密地傳輸�。
20. 根據(jù)權利要求15所述的方法,其中�����,步驟(b)進一步包括 其中所述插入式模塊在所述安全Web服務器上調用應用程序編程 接口 (API)���,以獲取與所述經(jīng)過解密的網(wǎng)絡請求數(shù)據(jù)包關聯(lián)的原始的 經(jīng)過加密的請求的網(wǎng)絡地址和端口號的步驟�����。
21. 根據(jù)權利要求15所述的方法���,其中,步驟(c)進一步包括 其中所述插入式模塊創(chuàng)建網(wǎng)絡套接字并通過管道傳輸所述經(jīng)過解密 的HTTPS網(wǎng)絡數(shù)據(jù)包�����、所述網(wǎng)絡地址和端口號的步驟。
全文摘要
在安全計算機網(wǎng)絡Web服務器中將經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包映射到其經(jīng)過解密的副本的基于計算機的系統(tǒng)和方法�����。該方法在安全Web服務器上創(chuàng)建插入式模塊�����,并保存來自捕獲的經(jīng)過加密的網(wǎng)絡請求數(shù)據(jù)包的至少一個網(wǎng)絡地址和端口號����。插入式模塊從安全的Web服務器解密模塊獲取網(wǎng)絡請求數(shù)據(jù)包的經(jīng)過解密的副本�����,并帶有網(wǎng)絡地址和端口號地返回它����。
文檔編號H04L29/06GK101107812SQ200680002778
公開日2008年1月16日 申請日期2006年2月20日 優(yōu)先權日2005年2月28日
發(fā)明者保羅·F.·克萊因, 耶西·N.·佩雷斯 申請人:國際商業(yè)機器公司