在节点之间建立安全通信信道以允许节点之间执行的经加密通信的检查

摘要

一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间至少部分地建立安全通信信道的电路。该信道可包括在第一域和第二域内的第一域会话和第二域会话。电路可产生第一域会话密钥和第二域会话密钥，这些域会话密钥至少部分地分别对第一域会话和第二域会话进行加密。第一域会话密钥可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集而产生。第二域会话密钥可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集而产生。

说明书

本申请是PCT国际申请号为PCT/US2011/021627、国际申请日为2011年1月19日、中国国家申请号为201180007466.9、题为“至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查”的申请的分案申请。

技术领域

本公开涉及至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查。

背景技术

在一种传统配置中，企业网可包括与第二网络节点耦合的第一网络节点。第二网络节点可使企业网耦合至包括第三网络节点的外部网。第二网络接口可为企业网提供安全特征，所述安全特征涉及从企业网传至外部网(反之亦然)的分组的检查和/或分析。

在这种传统网络配置中，第一网络节点和第三网络节点可彼此交换经加密的通信。这些通信可基于由第一网络节点和第三网络节点交换的、但不对第二网络节点公开的密钥来执行。这可防止第二网络节点有能力对第一网络节点和第三网络节点之间经加密的通信内容进行有意义的检查和/或分析。不利的是，这可能危及企业网的安全性，或不利地影响企业网(例如通过将诸如病毒等引入到企业网)。

此外，相对大数量的安全连接可能越过第二网络节点。在这种传统配置中，为了执行这种有意义的检查和/或其它分析，第二网络节点将这些连接中的每一个与其相应的密钥和/或其它信息相关联。这可能在这种传统配置中引发显著的连接可扩展性问题，这种问题会显著降低这种传统配置中可处理的连接数量和 这种传统配置中这种处理可执行的速度两者。另外，在这种传统配置中，这些安全连接的数量和特征随时间流逝可能不是静态的，事实上，其数量和特征在相对短的时间间隔内可能剧烈地变化。给定这些动态变化的连接，为了能执行这种有意义的检查和/或其它分析，可能要对第二网络节点施加显著数量的连接同步处理开销。

另外，在这种传统配置中，第一节点和第三节点之间的每个相应安全连接可能涉及第二节点和第三节点之间的相应安全连接。对于第二网络节点和第三网络节点之间的每个相应安全连接，第二网络节点可与第三网络节点协商相应的密钥，该密钥可用来建立相应的安全连接。假设在这种传统配置中可能存在相对大量的连接，可能会发生不合需的大量密钥协商以及关联的握手，并且在第二节点和第三节点之间可能对不合需的大量密钥作出协商。另外，这种传统配置中也可能牵涉到对不合需的大量密钥的存储和处理。

附图说明

各实施例的特征和优势将随着下面详细说明的深入和对附图的参照而变得清楚，其中相同的附图标记表示相同的部件，在附图中：

图1示出一系统实施例。

图2示出一实施例中的特征。

图3示出一实施例中的特征。

图4示出一实施例中的特征。

图5示出一实施例中的操作。

尽管下面的详细说明将参照示例性实施例而予以展开，然而其许多替代、修正和变化对本领域内技术人员而言将是清楚的。因此，所要求的主题事项应当广泛地予以审视。

具体实施方式

图1示出一系统实施例100。系统100可包括企业域51，该企业域51可通信地耦合至另一域70。域70可至少部分地位于企业域51之外，并可至少部分地包括和/或利用互联网域。企业网51可包括一个或多个客户机网络节点10， 所述一个或多个客户机网络节点10可通信地耦合至一个或多个网关和/或网络设施节点120。一个或多个节点120可通信地耦合至域70和/或耦合至包含在域70中的一个或多个服务器节点30。

在该实施例中，“节点”可意指可通信地耦合在网络中或耦合至网络的实体，例如终端站、设施、海量存储器、中间站、网络接口、客户机、服务器、智能电话、其它通信设备和/或其一部分。在该实施例中，“客户机”和/或“客户机节点”可互换地使用以意指可能包括(但不是必须包括)终端站的节点。在该实施例中，终端站可包括智能电话或其它通信设备。同样在该实施例中，“中间节点”、“网关”、“网关节点”、“网络设施”和/或“网络设施节点”可互换地使用以意指可通信地耦合至多个其它节点并可(但不是必须)提供、促进和/或实现一个或多个服务和/或功能的节点，所述一个或多个服务和/或功能例如是防火墙、交换、转发、网关、入侵检测、负载平衡和/或路由服务和/或功能。在该实施例中，“服务器”和/或“服务器节点”可互换地使用以意指能提供、促进和/或实现对一个或多个客户机的一个或多个服务和/或功能的节点，所述一个或多个服务和/或功能例如是数据存储、检索和/或处理功能。在该实施例中，“网络”可以是或可以包括两个或更多个节点，这些节点可通信地耦合在一起。同样在该实施例中，如果一个节点能将一个或多个命令和/或数据例如经由一个或多个有线和/或无线通信链路发送至另一节点或接收自另一节点，则一节点“可通信地耦合”至另一节点。在该实施例中，“无线通信链路”可意指至少部分地允许至少两个节点至少部分地以无线方式通信耦合的任何形态和/或其一部分。在该实施例中，“有线通信链路”可意指至少部分地允许至少两个节点至少部分地经由非无线手段至少部分地通信耦合的任何形态和/或其一部分。同样在该实施例中，数据可以是或可以包括一个或多个命令，和/或一个或多个命令可以是或可以包含数据。

一个或多个节点120可包括电路板(CB)14。CB 14可以是或可以包括系统主板，该系统主板可包括一个或多个主处理器和/或芯片集集成电路12以及计算机可读/写存储器21。CB 14可包括一个或多个(未示出的)连接器，所述连接器可允许电路卡(CC)22电配合和机械配合于CB 14，以使CB 14中的组件(例如一个或多个集成电路12和/或存储器21)和CC 22(例如包含在CC 22中的操 作电路系统118)可通信地彼此耦合。

作为不脱离本实施例的替代或附加，包含在一个或多个集成电路12和/或存储器21中的一些或所有电路可包含在电路系统118中，和/或电路118中的一些或全部可包含在一个或多个集成电路12和/或存储器21中。

在该实施例中，“电路系统”可单独或以组合方式包括例如模拟电路系统、数字电路系统、硬接线电路系统、可编程电路系统、状态机电路系统和/或包含可由可编程电路系统执行的程序指令的存储器。同样在该实施例中，“集成电路”可意指半导体器件和/或微电子器件，例如半导体集成电路芯片。另外，在该实施例中，术语“主处理器”、“处理器”、“处理器核”、“核”和/或“控制器”可互换地使用以意指能够至少部分地执行一个或多个算法和/或逻辑操作的电路系统。同样在该实施例中，“芯片集”可包括能至少部分地将一个或多个处理器、存储器和/或其它电系统路可通信地耦合的电路系统。

节点10、120和/或30中的每一个可包括各自未示出的用户接口系统，所述用户接口系统可包括例如键盘、定点设备和显示系统，这些用户接口系统可允许人类用户将命令输入至每个相应的节点和/或系统100以及监视这些节点和/或系统100的操作。操作电路118可通信地耦合至一个或多个客户机10和/或一个或多个服务器30。

电路118可包括一个或多个集成电路15。一个或多个集成电路15可包括一个或多个处理器核124和/或密码化电路系统126。在该实施例中，电路118、一个或多个集成电路15、一个或多个核124和/或电路126能至少部分地执行如同由电路系统118执行的那些本文所述的密码化和/或关联的操作。

一个或多个机器可读程序指令可存储在计算机可读/写存储器21中。在一个或多个节点120操作时，这些指令可由一个或多个集成电路12、电路系统118、一个或多个集成电路15、一个或多个处理器核124和/或电路系统126访问和执行。当如此执行时，这些一个或多个指令可致使一个或多个集成电路12、电路系统118、一个或多个集成电路15、一个或多个处理器核124和/或电路系统126执行本文描述的操作，就像这些操作是由一个或多个集成电路12、电路系统118、一个或多个集成电路15、一个或多个处理器核124和/或电路系统126执行的那样。存储器21可包括下面类型的存储器中的一个或多个：半导体 固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存取存储器、闪存、磁盘存储器、光盘存储器和/或其它或稍晚研发出的计算机可读和/或写存储器。

在该实施例中，“域”可包括一个或多个节点以及(未示出的)域当局。在该实施例中，“域当局”可包括能够至少部分地提供、执行和/或促进全部或部分地涉及和/或关联于授权、识别和/或安全的一个或多个功能、特征、协议和/或操作的一个或多个实体。例如，域51和/或70可各自包括一个或多个相应的(未示出的)域当局，这些域当局可通信地耦合至一个或多个节点10、120和/或30。作为替代或选择，系统100中的一个或多个域当局的一些或全部的功能和/或操作可至少部分地由一个或多个节点120和/或30来实现。

电路118可根据一个或多个通信协议与一个或多个客户机10和/或一个或多个服务器30交换数据和/或命令。例如，在该实施例中，这些一个或多个协议可与例如以太网协议、传输控制协议/互联网协议(TCP/IP)协议、IP的安全性架构(IPsec)和/或传输层安全性(TLS)协议相兼容。

在系统100中可利用的以太网协议可遵循或兼容于2000年10月20日出版的电气和电子工程师协会(IEEE)标准802.3，2000版中描述的协议。在系统100中可利用的TCP/IP协议可遵循或兼容于1981年9月出版的互联网工程任务组(IETF)请求注解(RFC)791、793中描述的协议。在系统100中可利用的IPsec协议可遵循或兼容于2005年12月出版的IETF RFC 4301。在系统100中可利用的TLS协议可遵循或兼容于2006年4月出版的在IETF 4346中记载的协议“传输层安全性(TLS)协议1.1版”。当然，许多不同的、附加的和/或其它的协议(例如安全相关和/或实现的协议)可用于这种数据和/或命令交换而不脱离本实施例，包括例如前述和/或其它版本的日后研发版本。

参见图5，系统100可至少部分地执行操作500。例如，在系统100操作时，电路系统118可与一个或多个客户机10和/或一个或多个服务器30交换数据和/或命令，由此可经由电路系统118和/或一个或多个未示出的非中间节点至少部分地在一个或多个客户机10与一个或多个服务器30之间至少部分地建立一个或多个安全通信信道54(见操作502)。在该实施例中，一个或多个信道54可包括域51中的一个或多个会话90和域70中的一个或多个会话92。一个 或多个会话90可以是或包括域51中的一个或多个安全会话，所述安全会话可以在一个或多个客户机10和一个或多个节点120(即一个或多个节点120中的电路系统118)之间或至少部分地使两者通信耦合。一个或多个会话92可以是或包括域70中的一个或多个安全会话，所述安全会话可以在电路系统118和一个或多个服务器30之间并至少部分地使两者通信耦合。如下面讨论的那样，一个或多个会话90与一个或多个会话92如此操作以当联系在一起时提供一个或多个信道54。

在该实施例中，术语“会话”和“信道”可互换地使用，并可包括在至少两个实体之间或之中交换数据和/或命令。另外在该实施例中，“安全会话”可包括其中至少部分地对数据和/或命令的至少一部分进行加密的会话。在该实施例中，“加密”和/或“进行加密”可包括一个或多个操作，这些操作至少部分地包括、便于和/或导致从明文中产生密文。另外在该实施例中，“解密”和/或“进行解密”可包括一个或多个操作，这些操作至少部分地包括、便于和/或导致从密文中产生明文。此外，在该实施例中，“明文”可包括至少部分地被加密和/或已经历和/或当前正在经历加密和/或解密的数据。在该实施例中，“密钥”可包括可用于加密和/或解密的一个或多个码元和/或值。

例如，在该实施例中，一个或多个客户机10可将意图发起在一个或多个客户机10和一个或多个服务器30之间建立一个或多个安全信道54的一个或多个分组发送至电路系统118。至少部分地作为这一个或多个分组的响应，电路系统118可与一个或多个客户机10交换数据和/或命令，所述数据和/或命令可导致一个或多个会话90的建立。同时，在该实施例中，电路系统118可与一个或多个服务器30交换数据和/或命令，该数据和/或命令可导致一个或多个会话92的建立。

作为在电路系统118和一个或多个客户机10之间的数据和/或命令交换的一部分，电路系统118可以安全方式(例如作为TLS控制信道握手、涉及TCP和/或IP选项的带外技术和/或IPsec互联网密钥交换的一部分)将一个或多个会话密钥(SK)80发送至一个或多个客户机节点10。在将一个或多个密钥80发送至一个或多个客户机10之前，一个或多个节点120可至少部分地基于一个或多个密码化操作(例如包含一个或多个单向散列函数)至少部分地产生一个或多 个密钥80，所述密码化操作至少部分地涉及将一个或多个域密钥(DK)76和一个或多个数据集(DS)78作为输入操作数。由此，可至少部分地在域51中的一个或多个节点120和一个或多个客户机10之间至少部分地产生一个或多个密钥80作为协商的结果。

可通过域51中一个或多个未示出的域当局将一个或多个密钥76分配给域51。这些一个或多个域当局可至少部分地产生一个或多个密钥76并将这些密钥分配给一个或多个节点120。然而，这一个或多个域当局和一个或多个节点120可对一个或多个客户机节点10和其它实体(例如域51之内和之外的实体)秘密地保持这一个或多个密钥76。可通过电路系统118从来自一个或多个客户机10发送至一个或多个节点120的一个或多个分组204(见图2)中至少部分地提取(或以其它方式获得)一个或多个数据集78。一个或多个数据集78可至少部分地关联于一个或多个会话90。例如，一个或多个数据集78可包括能至少部分地识别一个或多个会话90的一个或多个值202。这一个或多个值202可以是或至少部分地包括一个或多个客户机10和/或一个或多个节点120的一个或多个相应的唯一标识符的相应联系。替代地(至少部分)或附加地，一个或多个值202可至少部分地包括一个或多个服务器30的一个或多个相应的标识符。这些唯一标识符可以是或包括，例如一个或多个相应地址、IPsec安全性参数指标和/或其它值(例如会话上下文信息)。

在该实施例中，域51中的一个或多个未示出的域当局可产生一个或多个密钥76，由此使(1)一个或多个密钥76可唯一地关联于域51；和(2)一个或多个密钥76基本上是无法从一个或多个密钥80获得的(例如从实际密码化立场来看)。在一个实施例中，一个或多个密钥76可以是或包括一个或多个就密码而言强健的随机数。

使用一个或多个密钥80，每个相应的客户机10可至少部分地对其经由一个或多个会话90发送至一个或多个节点120的相应话务进行加密，并至少部分地对其经由一个或多个会话90从一个或多个节点120接收的相应话务进行解密。在该实施例中，对一个或多个节点120的这种话务可包含一个或多个分组(例如在一个或多个分组204中)，其中一个或多个值202和/或数据集78作为明文发送。可选择一个或多个值202和/或一个或多个数据集78，从而当以 前述方式与一个或多个密码化操作中的一个或多个密钥76结合使用以产生一个或多个密钥80时，使这一个或多个密钥80中的每一个可以是或包含用来在一个或多个网关120和一个或多个客户机10之间提供相应的独立安全会话的相应独立会话密钥。

作为在电路系统118和一个或多个服务器30之间的数据和/或命令交换的一部分，电路系统118可以安全方式(例如作为TLS控制信道握手、涉及TCP和/或IP选项的带外技术和/或IPsec互联网密钥交换的一部分)将一个或多个会话密钥82发送至一个或多个服务器30。在将一个或多个密钥82发送至一个或多个服务器30之前，一个或多个节点120可至少部分地基于一个或多个密码化操作(例如包含一个或多个单向散列函数)至少部分地产生一个或多个密钥82，所述密码化操作至少部分地涉及将一个或多个域密钥72和一个或多个数据集78作为输入操作数。由此，可至少部分地在域51中的一个或多个节点120和域70中的一个或多个服务器30之间至少部分地产生一个或多个密钥82作为协商的结果。

可通过域70中未示出的一个或多个域当局将一个或多个密钥72分配给域70。这一个或多个域当局可至少部分地产生一个或多个密钥72并将它们分配给一个或多个节点120。然而，这一个或多个域当局和一个或多个节点120可对一个或多个服务器节点30和其它实体(例如域70之内和之外的其它实体)秘密地保持这一个或多个密钥72。可通过电路系统118从来自一个或多个服务器30发送至一个或多个节点120的一个或多个分组208(见图2)中至少部分地提取(或以其它方式获得)一个或多个数据集74。一个或多个数据集74可至少部分地关联于一个或多个会话92。例如，一个或多个数据集74可包括能至少部分地识别一个或多个会话92的一个或多个值206。这一个或多个值206可以是或至少部分地包括一个或多个服务器30和/或一个或多个节点120的一个或多个相应的唯一标识符的相应联系。替代地(至少部分)或附加地，一个或多个值206可至少部分地包括一个或多个客户机10的一个或多个相应的标识符。这些唯一标识符可以是或包括，例如一个或多个相应地址、IPsec安全性参数指标和/或其它值(例如会话上下文信息)。

因此，在该实施例中，依赖于例如操作的域，一个或多个值206和/或一 个或多个数据集74可以至少部分地分别类似于一个或多个值202和/或一个或多个数据集78。作为替代而不脱离该实施例的范围，依赖于例如操作的域，一个或多个值206和/或一个或多个数据集74可以至少部分地分别不同于一个或多个值202和/或一个或多个数据集78。

在该实施例中，域70中的一个或多个未示出的域当局可产生一个或多个密钥72，由此使(1)一个或多个密钥72可唯一地关联于域70；和(2)一个或多个密钥72基本上是无法从一个或多个密钥82获得的(例如从实际密码化立场来看)。在一个实施例中，一个或多个密钥72可以是或包括一个或多个就密码而言强健的随机数。

使用一个或多个密钥82，每个相应服务器30可至少部分地对其经由一个或多个会话92发送至一个或多个节点120的相应话务进行加密，并至少部分地对其经由一个或多个会话92从一个或多个节点120接收的相应话务进行解密。在该实施例中，对于一个或多个节点120的这种话务可包含一个或多个分组(例如包含在一个或多个分组208中)，其中一个或多个值206和/或数据集74作为明文发送。可选择一个或多个值206和/或一个或多个数据集74，从而当以前述方式与一个或多个密码化操作中的一个或多个密钥72结合使用以产生一个或多个密钥82时，使这一个或多个密钥82中的每一个是或包含用来在一个或多个网关120和一个或多个服务器30之间提供相应的独立安全会话的相应独立会话密钥。在该实施例中，一个或多个域密钥76可以至少部分地不同于一个或多个域密钥72。

如图2所示，在该实施例中，在域51中，一个或多个客户机10可包括多个客户机220A……220N，并且一个或多个会话90可包含在客户机220A……220N和一个或多个网关节点120之间的多个安全会话230A……230N。会话230A-230N可分别将客户机220A……220N通信地耦合至一个或多个节点120。如前面阐述的那样，这些安全会话230A……230N中的每一个可至少部分地基于一个或多个会话密钥80中相应的一个密钥而产生。

现在转向图3，一个或多个会话92可包括单个安全会话302，该安全会话302可使一个或多个网关120可通信地耦合至一个或多个服务器。在这种配置中，会话302可至少部分地封装会话230A……230N(见图2)。在该实施例中， 封装可包括至少部分地将第一实体纳入到第二实体的至少一部分中，和/或将第一实体的信息的至少一部分纳入到至少一部分第二实体中，例如将一个或多个分组封装到一个或多个帧中。

例如，网络话务304可经由会话230A……230N从客户机220A……220N被发送至一个或多个网关120中的电路系统118。在经由会话230A……230N被发送至电路系统118时，可至少部分地基于一个或多个会话密钥80对话务304进行加密。然而，在话务304中，一个或多个数据集78和/或一个或多个值202可作为明文发送。电路系统118可至少部分地从话务304中提取一个或多个数据集78和/或一个或多个值202。至少部分地基于如此提取的一个或多个数据集78和/或一个或多个值202以及一个或多个域密钥76，电路系统118可对每个会话230A……230N动态地重构(例如以逐个分组为基础)相应的一个或多个会话密钥80，这些会话密钥80用来至少部分地对话务304进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥80来至少部分地对话务304进行解密。电路系统118至少部分地检查至少部分如此解密的话务304。这种检查可涉及例如图案匹配、签名、校验和、有效性校验和/或其它分析技术来检测和/或正确地寻址话务304中未经授权和/或不想要的数据和/或指令的存在。

电路系统118可至少部分地基于一个或多个会话密钥82来至少部分地对未加密的话务304进行加密，并经由单个会话302将加密的话务发送至一个或多个服务器30。在这之前，电路系统118可至少部分地基于一个或多个值206和/或一个或多个数据集74以及一个或多个域密钥72动态地重构(以与之前结合一个或多个密钥80描述的相同的方式)一个或多个会话密钥82。

一个或多个服务器30可经由会话302将话务306发送至一个或多个网关120中的电路系统118。当经由单个会话302发送至电路系统118时，话务306可至少部分地基于一个或多个会话密钥82予以加密。然而，在话务306中，一个或多个数据集74和/或一个或多个值206可作为明文传输。电路系统118可从话务306中提取一个或多个数据集74和/或一个或多个值206。至少部分地基于如此提取的一个或多个数据集74和/或一个或多个值206以及一个或多个域密钥72，电路系统118可动态地重构一个或多个会话密钥82，所述会话 密钥82至少部分地用来对话务306进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥82来至少部分地对话务306进行解密。电路系统118可至少部分地检查至少部分地如此解密的话务306。这种检查可涉及例如图案匹配、签名、校验和、有效性校验和/或其它分析技术来检测和/或正确地寻址话务306中未经授权和/或不想要的数据和/或指令的存在。

电路系统118可至少部分地基于一个或多个会话密钥80来至少部分地对未加密的话务306进行加密，并可经由会话230A……230N将加密的话务发送至客户机220A……220N。在这之前，电路系统118可至少部分地基于一个或多个值202和/或一个或多个数据集78以及一个或多个域密钥76动态地重构一个或多个会话密钥80。

替代地，一个或多个会话92可包括域70中的多个安全会话402A……402N(见图4)，这些安全会话402A……402N可通信地耦合一个或多个网关120和一个或多个服务器30。安全会话402A……402N可分别对应于安全会话230A……230N。在该实施例中，一个或多个数据集78可包括与会话230A……230N关联的相应数据集404A……404N。例如，一个或多个相应会话密钥80可至少部分地分别基于数据集404A……404N和一个或多个域密钥76而产生，可至少部分地基于这一个或多个相应会话密钥80而对会话230A……230N进行加密。电路系统118可从分别经由会话2320A……230N从客户机220A……220N发送至电路系统118的话务304中至少部分地提取数据集404A……404N(见图5中的操作504)。至少部分地基于如此提取的数据集404A……404N以及一个或多个域密钥76，电路系统118可针对会话230A……230N中的每一个动态地重构(例如以逐个分组为基础)相应的一个或多个会话密钥80，所述会话密钥80用来至少部分地对经由相应的会话230A……230N发送的话务304进行加密。电路系统118可至少部分地基于如此动态重构的一个或多个会话密钥80至少部分地对该话务304进行解密(见图5中的操作506)。电路系统118可至少部分地以前面描述的方式检查至少部分如此解密的话务。

电路系统118可至少部分地基于一个或多个会话密钥82至少部分地对未加密的话务304进行加密，并可经由会话402A……402N将加密的话务406发送至一个或多个服务器30(见图5中的操作508)。在这之前，电路系统118可 至少部分地基于一个或多个值206和/或一个或多个数据集74以及一个或多个域密钥72动态地重构(以与之前描述相同的方式)一个或多个会话密钥82。

替代地，一个或多个域密钥76可至少部分地类似于一个或多个密钥72。此外作为替代或附加，一个或多个网关120可经由一次或多次安全握手和/或协商操作将一个或多个密钥76和/或一个或多个密钥72提供给一个或多个服务器30。这允许一个或多个服务器30能够以前面结合电路系统118描述的方式动态地重构一个或多个会话密钥82和/或执行解密和/或加密操作。

较为有利地，在该实施例中，不管包含在一个或多个会话90中的各个会话的数量如何，电路系统118可执行与一个或多个服务器30的单密钥协商交易(例如导致单会话密钥82和/或单域密钥72的交换和/或协商)，所述单密钥协商交易允许建立一个或多个会话92中的全部会话(例如至少部分地基于单会话密钥82和/或单域密钥72)。结果，在该实施例中，只有单次握手操作可包含在这个交易中。较为有利地，在该实施例中，这可显著地减少电路118和一个或多个服务器30之间牵涉到建立一个或多个会话92的密钥协商的次数、协商的密钥的个数以及握手次数。更有利地，这可显著减少在本实施例中使用的密钥存储的量。

在该实施例中，密钥80和/或82的产生可(至少部分地)总体根据例如(1)2007年3月30日提交且2008年10月28日公布的Durham等人的美国专利申请S/N 11/731,562、美国专利申请公布No.US 2008/0244268和/或(2)2009年3月2日提交的美国专利申请S/N 12/396,125中披露的原理来实现。当然，可使用许多其它、附加和/或替代技术以至少部分地产生一个或多个密钥80和/或一个或多个密钥82。

因此，一个实施例可包括至少部分地在第一域内的客户机和第二域内的服务器之间建立一安全通信信道的电路系统。该信道可包括处于第一域和第二域中的第一和第二域会话。该电路系统可产生第一和第二域会话密钥，该域会话密钥可至少部分地分别对第一和第二域会话进行加密。可基于被分配给第一域的第一域密钥和与第一域会话关联的第一数据集产生第一域会话密钥。可基于被分配给第二域的第二域密钥和与第二域会话关联的第二数据集产生第二域会话密钥。

在该实施例中，电路系统118能至少部分地基于至少部分地从一个或多个分组204和/或208提取的一个或多个数据集78和/或74而动态地产生一个或多个会话密钥80和/或82。较为有利地，这使电路系统118能够避免(1)必须在存储器中保持至少部分地基于这些会话密钥产生的会话和会话密钥本身之间的永久性关联，和/或(2)永久地存储大量的传输层和密码化状态信息，并对相应会话作出缓冲。较为有利地，这在本实施例中可显著地提高连接可扩展性和处理速度。

同样在该实施例中，由于能至少部分地以前述方式动态地产生一个或多个密钥80、82，电路系统118能动态地分别对发送至和/或来自电路系统118的话务进行解密和/或加密。较为有利地，这允许电路系统118和/或一个或多个节点120能对在一个或多个客户机10和一个或多个服务器30之间(例如经由一个或多个安全信道54)的加密通信的内容进行有意义的检查和/或分析。较为有利地，这可防止危及企业域51和/或系统100的安全性，并可改善企业域51和/或系统100的性能(例如通过防止病毒侵入域51和/或系统100和或从中除去病毒)。

因此，较为有利地，本实施例的特征可减少安全性、通信和/或密码化处理所花费的处理带宽量，同时又提高了这种处理执行的速度。另外较为有利地，本实施例的特征允许这种处理通过专门的传输层和/或密码化卸荷和/或加速硬件变得更容易实现。