CN105656875A - 基于mptcp的主流连接建立方法及装置 - Google Patents
基于mptcp的主流连接建立方法及装置 Download PDFInfo
- Publication number
- CN105656875A CN105656875A CN201510689271.7A CN201510689271A CN105656875A CN 105656875 A CN105656875 A CN 105656875A CN 201510689271 A CN201510689271 A CN 201510689271A CN 105656875 A CN105656875 A CN 105656875A
- Authority
- CN
- China
- Prior art keywords
- authentication
- parameters
- sending end
- session key
- receiving end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0053—Allocation of signaling, i.e. of overhead other than pilot signals
- H04L5/0055—Physical resource allocation for ACK/NACK
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种基于MPTCP的主流连接建立方法及装置,接收端接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求,根据身份认证信息,验证发送端合法之后,为发送端分配并保存身份标识信息以及第一认证参数;接收发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;查找保存的与SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用第一认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文,并在接收到发送端的确认ACK报文之后,建立与发送端的主流连接。本发明实施例避免了接收端负载过重的问题,提高了接收端的性能。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种基于MPTCP(MultiPathTransmissionControlProtocol,多路径传输控制协议)的主流连接建立方法及装置。
背景技术
MPTCP(MultiPathTransmissionControlProtocol,多路径传输控制协议)是一种利用多条路径实现并发传输的传输层协议,可以提高端到端的吞吐率,增加网络利用率。
基于MPTCP的连接包括主流连接(MasterFlow)以及子流连接(SubFlow),主流连接是指双方建立的第一条连接,第一条连接之后建立的连接均为子流连接。
现有技术中,基于MPTCP的连接与传统的基于TCP(TransmissionControlProtocol,传输控制协议)的连接相似,需要经过三次握手完成,也即在建立主流连接时,发送端首先发送SYN(Synchronous,同步)报文,接收端回复SYN+ACK(Synchronous+Acknowledgement,同步确认)报文,SYN报文以及SYN+ACK报文中均包括MP_CAPABLE(多路径能力)标志的,以表明双方支持MPTCP;之后发送端回复ACK(Acknowledgement,确认)报文,接收端与发送端即可以建立主流连接。
但是,发明人在研究中发现,采用现有技术的连接方式,任何一个支持MPTCP的发送端,都可以连接到同一个接收端,这样就会导致接收端的负载过重,影响接收端性能。
发明内容
本发明实施例提供一种基于MPTCP(MultiPathTransmissionControlProtocol,多路径传输控制协议)的主流连接建立方法及装置,用以解决现有技术中任意支持MPTCP的发送端都可以连接到接收端,导致接收端负载过重,影响接收端性能的问题。
本发明实施例提供一种基于多路径传输控制协议MPTCP的主流连接建立方法,包括:
接收端接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求;
所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数;
所述接收端接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;其中,所述第一会话密钥为所述发送端采用加密算法利用所述第一认证参数进行加密得到的;
所述接收端查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥;
所述接收端在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文,并在接收到所述发送端的确认ACK报文之后,建立与所述发送端的主流连接。
本发明实施例提供一种基于MPTCP的主流连接建立方法,包括:
发送端基于应用层安全连接向接收端发送携带身份认证信息的认证请求;
所述发送端接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数;
所述发送端采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文;
所述发送端接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接;其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
本发明实施例提供一种MPTCP的主流连接建立装置,包括:
请求接收模块,用于接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求;
身份验证模块,用于根据所述身份认证信息,验证所述发送端是否合法;
参数分配模块,用于根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数;
报文接收模块,用于接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;其中,所述第一会话密钥为所述发送端采用加密算法利用所述第一认证参数进行加密得到的;
第一加密模块,用于查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥;
连接建立模块,用于在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文,并在接收到所述发送端的确认ACK报文之后,建立与所述发送端的主流连接。
本发明实施例提供一种MPTCP的主流连接建立装置,包括:
请求发送模块,用于基于应用层安全连接向接收端发送携带身份认证信息的认证请求;
参数接收模块,用于接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数;
报文发送模块,用于加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文;
报文回复模块,用于接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接;其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
在本发明实施例中,接收端对发送端首先进行验证,在验证发送端为合法设备之后,为发送端分配并保存身份标识信息以及第一认证参数;发送端采用加密算法利用第一认证参数进行加密得到第一会话密钥,并携带在SYN报文中;该SYN报文还携带所述身份标识信息;接收端根据SYN报文中的身份标识信息,可以查找保存的第一认证参数,并采用相同的加密算法得到第二会话密钥,如果第一会话密钥与第二会话密钥匹配,表明发送端合法,因此可以继续三次握手过程,实现主流连接的建立。本发明实施例中,通过接收端对发送端进行认证,只允许合法的发送端与接收端建立连接,实现了对发送端的控制,不会导致接收端负载过重,提高接收端性能,且通过对发送端进行认证,提高了主流连接的安全性,避免恶意设备攻击而占有较多资源,进一步的提高了接收端性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于MPTCP(MultiPathTransmissionControlProtocol,多路径传输控制协议)的主流连接建立方法一个实施例的流程图;
图2为本发明基于MPTCP的主流连接建立方法又一个实施例的流程图;
图3为本发明基于MPTCP的主流连接建立方法又一个实施例的信令流程图;
图4为本发明基于MPTCP的主流连接建立装置一个实施例的结构示意图;
图5为本发明基于MPTCP的主流连接建立装置又一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的技术方案可以适用于能够建立基于MPTCP(MultiPathTransmissionControlProtocol,多路径传输控制协议)连接的任意应用场景中,比如随着电子技术的发展许多设备通常具有多个网络接口,例如笔记本电脑可以配置有以太网接口、WiFi(WIreless-Fidelity,无线保真)接口、蓝牙接口等;移动终端配置有2G接口、3G接口、4G接口,WiFi接口、蓝牙接口和红外接口等。而基于MPTCP,即可以充分利用多个网络接口,建立多条连接,在一条连接故障或者资源不足时,可以利用其它的连接进行数据传输。
本发明实施例中,发送端和接收端分别是指建立主流连接的各自一方,发送端是指请求建立主流连接的一方。在一个实际应用中,发送端可以是指客户端,接收端可以是指服务器端。该服务器端可以是指与客户端对应的真实服务器,也可以是在真实服务器不支持MPTCP的情况下,采用的代理服务器。
正如背景技术中所述,采用现有技术的主流连接建立方式,任意支持MPTCP的发送端均可以连接至同一接收端,这就会导致接收端的负载过重,影响接收端的性能,而且,恶意设备也会连接至接收端,导致占用接收端资源,使得正常的请求无法处理,影响接收端性能。
因此,发明人经过一系列的研究,为了解决接收端负载过重的问题,提出了本发明实施例的技术方案,首先在MPTCP连接建立之前,基于应用层安全连接,由接收端对任一个发送端进行验证,在验证发送端为合法设备之后,为发送端分配并保存身份标识信息以及第一认证参数;发送端采用加密算法利用第一认证参数进行加密得到第一会话密钥;发送端向接收端发送SYN(Synchronous,同步)报文,以请求建立主流连接,该SYN报文即携带该第一会话密钥以及所述身份标识信息;接收端根据SYN报文中的身份标识信息,可以查找保存的第一认证参数,并采用相同的加密算法得到第二会话密钥,如果第一会话密钥与第二会话密钥匹配,表明认证成功,发送端为合法设备,因此可以继续三次握手过程,实现主流连接的建立。由此可知,本发明实施例中,对发送端进行了认证,只允许合法的发送端与接收端建立主流连接,实现了对发送端的控制,因此可以避免接收端负载过重,提高了接收端性能,且通过对发送端进行认证,提高了主流连接的安全性,避免恶意设备攻击,保证了正常请求的处理,进一步的提高了接收端性能。
下面结合附图对本发明实施例的技术方案进行详细描述。
图1为本发明实施例的一种基于MPTCP的主流连接建立方法一个实施例的流程图,该方法可以包括以下几个步骤:
101:接收端接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求。
MPTCP是网络传输层协议,应用层安全连接是指基于安全的网络应用层协议建立的连接,在建立传输层的MPTCP连接之前,可以基于安全的网络应用层协议建立的连接发送认证请求。
应用层安全连接可以为HTTPS(HyperTextTransferProtocooverSecureSocketLayer,以安全为目标的超文本传输协议)连接,HTTPS是网络应用层协议,MPTCP是网络传输层协议,HTTPS是以安全为目标的HTTP(HyperTextTransferProtoco,超文本传输协议)的安全版,即HTTP下加入SSL(SecureSocketsLayer,安全套接层)。通过HTTPS连接传输的认证请求,不会被攻击者截取。
身份认证信息是用于对发送端进行认证,可以包括发送端的设备地址,设备标识号、用户名等。设备地址可以是指MAC地址等,设备标识号以及用户名可以是根据用户设置确定等。
接收端可以预先保存允许与其建立连接的不同发送端的身份认证信息。允许与其建立连接的发送端也即是合法的发送端。
102:接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数。
接收端验证所述发送端是否合法,可以根据从预先保存的不同身份认证信息中,查找是否存在所述发送端的身份认证信息时,如果是,则表明发送端为允许接入的设备,为合法的发送端,否则即为非法的发送端。
当然,还可以采用其他方式验证,比如接收端可以对身份认证信息进行识别,判断其是否满足接入条件,如果是,则发送端合法,否则即为非法。
身份标识信息具有唯一性,用于标识不同的发送端。
第一认证参数可以是接收端为该身份标识的发送端分配的,为了进一步提高连接的安全性,不同发送端分配的第一认证参数也不同。
该第一认证参数可以是任意的数字、字符、字符串等,也可以是接收端生成的密钥参数(key)。
103:接收端接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文。
其中,所述第一会话密钥(sessionkey)为所述发送端采用加密算法利用所述第一认证参数进行加密得到的。
接收端基于所述应用层安全连接,将身份标识信息以及第一认证参数发送至发送端,发送端即采用加密算法利用所述第一认证参数进行加密得到第一会话密钥。
为了进一步提高主流连接安全性,该加密算法可以选择不可逆加密算法,从而可以避免恶意设备通过截取SYN报文而解码得到该第一认证参数,进而发起的恶意连接。
该加密算法可以选择MD5(Message-DigestAlgorithm5,消息摘要算法第5版),或者SHA1(SecureHashAlgorithm,安全哈希算法)等。
发送端将第一会话密钥以及身份标识信息写入SYN报文,发送至接收端,请求建立主流连接。
104:接收端查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥。
105:在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK(Synchronous+Acknowledgement,同步确认)报文,并在接收到所述发送端的确认ACK(Acknowledgement,确认)报文之后,建立与所述发送端的主流连接。
接收端接收到SYN报文之后,回复SYN+ACK报文之前,需要先对发送端进行认证,验证其是否合法。具体的,可以从保存的为不同合法的发送端分配的身份标识信息以及第一认证参数中,查找与SYN报文中的身份标识信息对应的第一认证参数,进而利用该第一认证参数采用同一加密算法得到第二会话密钥。
如果第一会话密钥与第二会话密钥匹配,由于只有利用同一第一认证参数生成的两个会话密钥才会匹配,因此可以表明发送端合法,认证成功,否则即不合法,认证失败。
认证成功即可以完成三次握手过程,实现主流连接的建立。
认证失败即结束流程,取消本次主流连接。
第一会话密钥与第二会话密钥匹配,具体可以是指第一会话密钥与第二会话密钥相同。
本实施例中,接收端为合法的发送端分配并保存身份标识信息以及第一认证参数;发送端利用第一认证参数进行加密得到第一会话密钥之后,向接收端发送SYN报文,携带该第一会话密钥以及身份标识信息,接收端利用SYN报文中身份标识信息对应第一认证参数加密得到第二会话密钥,如果第一会话密钥与第二会话密钥匹配,表明发送端以及接收端是利用同一第一认证参数进行的加密,发送端为接收端的合法设备,因此可以继续三次握手过程,建立主流连接。通过对发送端进行认证,提高主流连接的安全性,避免了恶意连接的建立,同时实现了接收端对发送端的控制,只允许合法的发送端与接收端建立主流连接,因此避免了接收端负载过重的问题。
其中,发送端以及接收端建立主流连接之后,即可以继续建立子流连接,子流连接的过程可以采用现有的方式实现。现有的方式中,在建立子流连接时,仍是采用三次握手,双方交互过程中会在SYN报文携带第一随机参数(rand),SYN+ACK报文中携带第二随机参数以及利用第一随机参数加密得到的第一加密参数(HMAC),ACK报文中携带利用第二随机参数加密得到的第二加密参数(HAMC);发送端会利用第一随机参数与第一加密参数对接收端进行认证,接收端利用第二随机参数以及第二加密参数对发送端进行认证。以保证子流连接的安全性。
当然,作为另一种可能的实现方式,由于本发明实施例保证了主流连接的安全性,由于主流连接安全,也保证了基于主流连接建立的子流连接的安全性。因此子流连接的建立即可以采用传统的TCP连接建立方式,通过三次握手即可以建立子流连接。SYN报文、SYN+ACK报文以及ACK报文无需携带用于认证的参数。从而可以减少子流连接的复杂度。
为了进一步提高安全性,第一会话密钥具体可以是发送端利用第一认证参数以及发送端生成的第二认证参数采用加密算法生成的。
该第二认证参数可以是发送端生成的随机数,可以是数字、字符、字符串等。此时在SYN报文中还需要携带该第二认证参数,从而接收端具体利用解析出的身份标识信息对应的第一认证参数以及解析出的第二认证参数,加密得到第二会话密钥。
因此,作为又一个实施例,步骤104中查找保存的与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法至利用所述第一认证参数加密得到第二会话密钥可以具体是:
查找保存的与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数以及所述第二认证参数加密得到第二会话密钥。
另外,作为又一个实施例,为了灵活实现对主流连接方式的控制,可以通过设置Socket(套接字)控制是否启动认证功能;
在启动认证功能时,发送端以及接收端可以按照上述实施例所述的技术方案进行主流连接的建立,此时,如果接收端接收到传统的TCP连接请求或者按照现有方式发送的主流连接请求,则可以直接拒绝。
如果没有启动认证功能,发送端按照现有方式发送SYN报文,以发起主流连接请求,接收端也即按照现有方式对主流连接请求进行处理。
因此本发明实施例中,步骤103接收端接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步报文之后,所述方法还包括:
判断所述接收端是否启动认证功能;
在所述接收端已启动认证功能时,再执行步骤104查找与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法至利用所述第一认证参数加密得到第二会话密钥的步骤。
而发送端采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文之前,可以首先判断所述发送端是否启动认证功能;
在所述发送端已启动认证功能,再执行所述采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文的步骤。
图2为本发明实施例的一种基于MPTCP的主流连接建立方法又一个实施例的流程图,本实施例从发送端角度对技术方案进行描述,该方法可以包括以下几个步骤:
201:发送端基于应用层安全连接向接收端发送携带身份认证信息的认证请求。
202:发送端接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数。
203:发送端采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文。
204:发送端接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接。
其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
另外,为了进一步提高安全性,发送端可以生成第二认证参数,步骤203采用加密算法利用所述第一认证参数加密得到第一会话密钥可以具体是:
采用加密算法利用所述第一认证参数以及生成的第二认证参数加密得到第一会话密钥。
该第二认证参数可以是发送端生成的随机数,可以是数字、字符、字符串等。此时在SYN报文中还需要携带该第二认证参数,从而接收端具体利用解析出的身份标识信息对应的第一认证参数以及解析出的第二认证参数,加密得到第二会话密钥。
由于基于MPTCP的主流连接建立时,三次握手过程中交互的SYN报文,以及SYN+ACK报文包括MP_CAPABLEoption(MP_CAPABLE选项)字段,用以表明双方支持MPTCP。
而SYN报文中的MP_CAPABLE选项中包括optionSender’skey字段,本发明实施例中,第一会话密钥即写入该optionSender’skey字段中。
为了携带身份标识信息,本发明实施例中,还可以在SYN报文的MP_CAPABLE选项中添加optionReceiver’skey字段,以写入身份标识信息。接收端可以根据不同字段解析获得不同内容。
因此,作为又一个实施例,所述采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文可以包括:
采用加密算法利用所述第一认证参数以及生成的第二认证参数加密得到第一会话密钥;
将所述第一会话密钥写入SYN报文的MP_CAPABLE选项中的optionSender’skey字段;
在所述SYN报文的MP_CAPABLE选项中,添加optionReceiver’skey字段,并将所述身份标识信息以及所述第一随机参数写入MP_CAPABLE选项中的optionReceiver’skey字段;
向所述接收端发送所述SYN报文。
通过本发明实施例,在建立主流连接时,对发送端进行认证,使得只有合法的发送端能够与接收端建立主流连接,从而提高了主流连接的安全性,可以避免恶意攻击,且方便接收端进行控制,接收端可以预先保存允许建立主流连接的发送端,也即合法的发送端的身份认证信息,使得只有合法的发送端可以与接收端建立主流连接,从而可以保证接收端的负载不至于过重。
本发明实施例中,发送端和接收端分别是指建立主流连接的各自一方,在一个实际应用中,发送端可以是指客户端,例如手机中的不同应用程序;而接收端即可以是指应用程序对应的应用服务器。
由于有些应用服务器可能不支持MPTCP,因此客户端以及应用服务器之间可以通过支持MPTCP的代理服务器进行连接,代理服务器分别与客户端以及应用服务器连接,实现数据的传输。因此该接收端还可以是指代理服务器。
下面以客户端以及服务器为例,该服务器可以是客户端对应的真实服务器,或者代理服务器,对本发明实施例的技术方案进行描述,如图3,示出了本发明实施例基于MPTCP的主流连接建立方法又一个实施例的信令图,该方法可以包括以下几个步骤:
301:客户端基于HTTPS连接向服务器发送认证请求,其中,该认证请求携带客户端的身份认证信息。
本实施例以HTTPS连接为例进行说明,HTTPS连接为应用层安全连接,因此可以避免认证请求被恶意截获,保证传输安全性,进而可以保证MPTCP连接的安全性。
302:服务器查找预先保存的不同身份认证信息中,存在所述客户端的身份认证信息时,验证所述客户端合法。
如果不合法,则结束本次流程,并可以对该客户端进行标记,以便于当接收到客户端通过SYN报文发起的主流连接请求,即拒绝该客户端的主流连接请求。
303:服务器为所述客户端分配并保存身份标识信息(uid)以及第一认证参数(key)。
304:客户端采用加密算法利用所述key以及生成的第二认证参数(rand)加密得到第一会话密钥(sessionkey)。
305:向服务器发送携带第一sessionkey以及uid和rand的SYN报文;
其中,客户端具体的是将第一sessionkey写入SYN报文的MP_CAPABLE选项中的optionSender’skey字段。
在SYN报文的MP_CAPABLE选项中,添加optionReceiver’skey字段,并将uid以及rand写入MP_CAPABLE选项中的optionReceiver’skey字段。
306:服务器查找保存的与所述SYN报文携带的uid对应的key,并采用所述加密算法利用所述key以及SYN报文中的rand加密得到第二sessionkey。
307:服务器通过比较确定第一sessionkey以及第二sessionkey相同时,向客户端回复SYN+ACK报文。
309:客户端接收到SYN+ACK报文之后,向服务器回复ACK报文。
从而服务器与客户端即可以建立主流连接。
通过本实施例,保证了主流连接的安全性,避免了恶意连接,占用服务器的资源,保证了服务器负载不会过重,且对客户端进行认证,只允许合法的客户端与服务器建立主流连接,实现了客户端的控制,进一步保证了服务器负载,不会影响服务器性能。
图4为本发明实施例提供的一种MPTCP的主流连接建立装置一个实施例的结构示意图,该装置具体应用接收端,该装置可以包括:
请求接收模块401,用于接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求。
身份认证信息是用于对发送端进行认证,可以包括发送端的设备地址,设备标识号、用户名等。设备地址可以是指MAC地址等,设备标识号以及用户名可以是根据用户设置确定等。
身份验证模块402,用于根据所述身份认证信息,验证所述发送端是否合法。
参数分配模块403,用于根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数。
身份标识信息具有唯一性,用于标识不同的发送端。
第一认证参数可以是接收端为该身份标识的发送端分配的,为了进一步提高连接的安全性,不同发送端分配的第一认证参数也不同。
该第一认证参数可以是任意的数字、字符、字符串等,也可以是接收端生成的密钥参数(key)。
报文接收模块404,用于接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;其中,所述第一会话密钥为所述发送端采用加密算法利用所述第一认证参数进行加密得到的。
第一加密模块405,用于查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥。
连接建立模块406,用于在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文,并在接收到所述发送端的确认ACK报文之后,建立与所述发送端的主流连接。
为了进一步提高连接安全性,该加密算法选择不可逆加密算法,MD5算法,从而可以避免恶意设备通过截取SYN报文而解码得到该第一认证参数,进而发起恶意连接。
本实施例中,通过为合法的发送端分配并保存身份标识信息以及第一认证参数;发送端利用第一认证参数进行加密得到第一会话密钥之后,发送SYN报文,携带该第一会话密钥以及身份标识信息;从而利用SYN报文中身份标识信息对应第一认证参数加密得到第二会话密钥,如果第一会话密钥与第二会话密钥匹配,表明发送端为合法设备,因此可以继续三次握手过程,建立主流连接。通过对发送端进行认证,提高主流连接的安全性,避免了恶意连接的建立,同时实现了对发送端的控制,只允许合法的发送端与接收端建立主流连接,因此避免了负载过重的问题,提高处理性能。
其中,接收端可以预先保存允许接入的不同客户端,也即合法客户端的身份认证信息,因此所述身份验证模块可以具体用于:
查找预先保存的不同身份认证信息中,是否存在所述发送端的身份认证信息时,如果是,验证所述发送端合法。
为了进一步提高安全性,第一会话密钥具体可以是发送端利用第一认证参数以及发送端生成的第二认证参数采用加密算法生成的,所述SYN报文还携带所述第二认证参数;
因此,作为又一个实施例,所述查找模块可以具体用于:
查找保存的与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数以及所述第二认证参数加密得到第二会话密钥。
另外,作为又一个实施例,为了灵活实现对主流连接方式的控制,可以通过Socket控制是否启动认证功能。因此作为又一个实施例,该装置还可以包括:
第一判断模块,用于判断是否启动认证功能,如果是,触发所述第一加密模块。
因此,第一加密模块具体是在启动认证功能时,查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥。
如果没有启动认证功能,发送端按照现有方式发起主流连接,接收端也即按照现有方式对主流连接请求进行处理。
通过上述描述可知,图4所示的基于MPTCP的主流连接建立装置在实际应用中可以应用到接收端中,该接收端可以是任意的电子设备或者服务器等,该装置可以集成到接收端的处理器中,作为处理器的一个功能,或者作为独立的模块与处理器连接。因此,作为一种可能的实现方式,本发明实施例还提供一种接收端,该接收端至少包括处理器以及分别与处理器连接的存储器、发送器、接收器;
所述存储器用于存储一组执行指令;
所述处理器,用于调度所述存储器的执行指令,执行如下操作:
触发所述接收器接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求;
根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数;
触发所述接收器接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;其中,所述第一会话密钥为所述发送端采用加密算法利用所述第一认证参数进行加密得到的;
查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥;
触发所述发送器在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文;
在所述接收器接收到所述发送端的确认ACK报文之后,建立与所述发送端的主流连接。
图5为本发明实施例提供的一种基于MPTCP的主流连接建立装置又一个实施例结构示意图,该装置具体应用发送端中,该装置可以包括:
请求发送模块501,用于基于应用层安全连接向接收端发送携带身份认证信息的认证请求。
参数接收模块502,用于接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数。
报文发送模块503,用于采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文。
报文回复模块504,用于接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接;其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
另外,为了进一步提高安全性,发送端可以生成第二认证参数,因此,作为又一个实施例,报文发送模块用加密算法利用所述第一认证参数加密得到第一会话密钥具体可以是采用加密算法利用所述第一认证参数以及生成的第二认证参数加密得到第一会话密钥。
由于基于MPTCP的主流连接建立时,三次握手过程中交互的SYN报文,以及SYN+ACK报文包括MP_CAPABLE(多路径能力)选项字段,用以表明双方支持MPTCP。
而SYN报文中的MP_CAPABLE选项中包括optionSender’skey(选项发送密钥)字段,本发明实施例中,第一会话密钥即写入该optionSender’skey字段中。
为了携带身份标识信息,本发明实施例中,还可以在SYN报文的MP_CAPABLE选项中添加optionReceiver’skey(选择接收密钥)字段,以写入身份标识信息。接收端可以根据不同字段解析获得不同内容。
因此,作为又一个实施例,该报文发送模块可以包括:
加密单元,用于采用加密算法利用所述第一认证参数以及生成的第二认证参数加密得到第一会话密钥;
第一写入单元,用于将所述第一会话密钥写入SYN报文的MP_CAPABLE选项中的optionSender’skey字段;
第二写入单元,用于在所述SYN报文的MP_CAPABLE选项中,添加optionReceiver’skey字段,并将所述身份标识信息以及所述第一随机参数写入MP_CAPABLE选项中的optionReceiver’skey字段;
发送单元,用于向所述接收端发送所述SYN报文。
通过本发明实施例,提高了主流连接的安全性,可以避免恶意攻击占用接收端较多资源,且方便接收端进行控制,可以避免接收端负载过重的问题,从而不会影响接收端的性能。
通过上述描述可知,图5所示的基于MPTCP的主流连接建立装置在实际应用中可以应用到发送端中,该发送端可以是任意的电子设备,该装置可以集成到发送端的处理器中,作为处理器的一个功能,或者作为独立的模块与处理器连接。因此,作为一种可能的实现方式,本发明实施例还提供一种发送端,该发送端至少包括处理器以及分别与处理器连接的存储器、发送器、接收器;
所述存储器用于存储一组执行指令;
所述处理器,用于调度所述存储器的执行指令,执行如下操作:
触发所述发送器基于应用层安全连接向接收端发送携带身份认证信息的认证请求;
触发所述接收器接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数;
采用加密算法利用所述第一认证参数加密得到第一会话密钥;
触发所述发送器向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文;
触发所述发送器在所述接收器接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接。
其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
另外,本申请实施例还提供了一种基于MPTCP的主流连接建立系统,可以包括上述实施例中的发送端以及接收端。也即发送端配置有图4所示的基于MPTCP的主流连接建立装置,接收端配置有图5所示的基于MPTCP的主流连接建立装置。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种基于多路径传输控制协议MPTCP的主流连接建立方法,其特征在于,包括:
接收端接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求;
所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数;
所述接收端接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;其中,所述第一会话密钥为所述发送端采用加密算法利用所述第一认证参数进行加密得到的;
所述接收端查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥;
所述接收端在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文,并在接收到所述发送端的确认ACK报文之后,建立与所述发送端的主流连接。
2.根据权利要求1所述的方法,其特征在于,所述第一会话密钥具体为所述发送端采用加密算法利用所述第一认证参数以及所述发送端生成的第二认证参数进行加密得到;所述SYN报文还携带所述第二认证参数;
所述查找保存的与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法至利用所述第一认证参数加密得到第二会话密钥包括:
查找保存的与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数以及所述第二认证参数加密得到第二会话密钥。
3.根据权利要求1所述的方法,其特征在于,所述接收端根据所述身份认证信息,验证所述发送端合法包括:
所述接收端查找预先保存的不同身份认证信息中,存在所述发送端的身份认证信息时,验证所述发送端合法。
4.根据权利要求1所述的方法,其特征在于,所述接收端接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步报文之后,所述方法还包括:
判断所述接收端是否启动认证功能;
在所述接收端已启动认证功能时,再执行所述查找与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法至利用所述第一认证参数加密得到第二会话密钥的步骤。
5.一种基于MPTCP的主流连接建立方法,其特征在于,包括:
发送端基于应用层安全连接向接收端发送携带身份认证信息的认证请求;
所述发送端接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数;
所述发送端采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文;
所述发送端接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接;其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
6.根据权利要求4所述的方法,其特征在于,所述采用加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文包括:
采用加密算法利用所述第一认证参数以及生成的第二认证参数加密得到第一会话密钥;
将所述第一会话密钥写入SYN报文的MP_CAPABLE选项中的optionSender’skey字段;
在所述SYN报文的MP_CAPABLE选项中,添加optionReceiver’skey字段,并将所述身份标识信息以及所述第一随机参数写入MP_CAPABLE选项中的optionReceiver’skey字段;
向所述接收端发送所述SYN报文。
7.一种MPTCP的主流连接建立装置,其特征在于,包括:
请求接收模块,用于接收发送端基于应用层安全连接发送的携带身份认证信息的认证请求;
身份验证模块,用于根据所述身份认证信息,验证所述发送端是否合法;
参数分配模块,用于根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配并保存身份标识信息以及第一认证参数;
报文接收模块,用于接收所述发送端发送的携带所述身份标识信息以及第一会话密钥的同步SYN报文;其中,所述第一会话密钥为所述发送端采用加密算法利用所述第一认证参数进行加密得到的;
第一加密模块,用于查找保存的与所述SYN报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数加密得到第二会话密钥;
连接建立模块,用于在所述第一会话密钥与所述第二会话密钥匹配时,向发送端回复同步确认SYN+ACK报文,并在接收到所述发送端的确认ACK报文之后,建立与所述发送端的主流连接。
8.根据权利要求7所述的装置,其特征在于,所述第一会话密钥具体为所述发送端采用加密算法利用所述第一认证参数以及所述发送端生成的第二认证参数进行加密得到;所述SYN报文还携带所述第二认证参数;
所述查找模块具体用于:
查找保存的与所述同步报文携带的身份标识信息对应的第一认证参数,并采用所述加密算法利用所述第一认证参数以及所述第二认证参数加密得到第二会话密钥。
9.根据权利要求7所述的装置,其特征在于,所述身份验证模块具体用于:
接收端查找预先保存的不同身份认证信息中,是否存在所述发送端的身份认证信息时,如果是,验证所述发送端合法。
10.根据权利要求7所述的装置,其特征在于,还包括:
第一判断模块,用于判断所述接收端是否启动认证功能,如果是,触发所述第一加密模块。
11.一种基于MPTCP的主流连接建立装置,其特征在于,包括:
请求发送模块,用于基于应用层安全连接向接收端发送携带身份认证信息的认证请求;
参数接收模块,用于接收所述接收端根据所述身份认证信息,验证所述发送端合法之后,为所述发送端分配的身份标识信息以及第一认证参数;
报文发送模块,用于加密算法利用所述第一认证参数加密得到第一会话密钥,并向所述接收端发送携带所述第一会话密钥以及所述身份标识信息的SYN报文;
报文回复模块,用于接收到所述接收端发送的同步确认SYN+ACK报文时,向所述接收端回复确认ACK报文,以建立与所述接收端的主流连接;其中,所述SYN+ACK报文为所述接收端根据所述SYN报文中的所述身份标识信息,查找对应保存的第一认证参数;采用所述加密算法利用所述第二认证参数加密得到第二会话密钥;在所述第一会话密钥与所述第二会话密钥匹配之后发送的。
12.根据权利要求11所述的装置,其特征在于,所述报文发送模块包括:
加密单元,用于采用加密算法利用所述第一认证参数以及生成的第二认证参数加密得到第一会话密钥;
第一写入单元,用于将所述第一会话密钥写入SYN报文的MP_CAPABLE选项中的optionSender’skey字段;
第二写入单元,用于在所述SYN报文的MP_CAPABLE选项中,添加optionReceiver’skey字段,并将所述身份标识信息以及所述第一随机参数写入MP_CAPABLE选项中的optionReceiver’skey字段;
发送单元,用于向所述接收端发送所述SYN报文。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510689271.7A CN105656875A (zh) | 2015-10-21 | 2015-10-21 | 基于mptcp的主流连接建立方法及装置 |
US14/969,544 US20170118022A1 (en) | 2015-10-21 | 2015-12-15 | Mainstream connection establishment method and device based on multipath transmission control protocol (mptcp) |
EP16753810.7A EP3182673A1 (en) | 2015-10-21 | 2016-05-19 | Main stream connection establishment method and device based on mptcp |
PCT/CN2016/082626 WO2017067160A1 (zh) | 2015-10-21 | 2016-05-19 | 基于mptcp的主流连接建立方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510689271.7A CN105656875A (zh) | 2015-10-21 | 2015-10-21 | 基于mptcp的主流连接建立方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105656875A true CN105656875A (zh) | 2016-06-08 |
Family
ID=56482129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510689271.7A Pending CN105656875A (zh) | 2015-10-21 | 2015-10-21 | 基于mptcp的主流连接建立方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20170118022A1 (zh) |
EP (1) | EP3182673A1 (zh) |
CN (1) | CN105656875A (zh) |
WO (1) | WO2017067160A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106714150A (zh) * | 2017-01-19 | 2017-05-24 | 北京疯景科技有限公司 | 对通信连接进行加密的方法及智能终端 |
CN108881008A (zh) * | 2017-05-12 | 2018-11-23 | 华为技术有限公司 | 一种数据传输的方法、装置和系统 |
CN111372329A (zh) * | 2018-12-25 | 2020-07-03 | 华为技术有限公司 | 一种连接建立方法及终端设备 |
CN112020112A (zh) * | 2020-07-27 | 2020-12-01 | 北京邮电大学 | Sdn架构下基于mptcp的异构网络切换方法和系统 |
CN112615854A (zh) * | 2020-12-17 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 终端准入控制方法、装置、准入服务器及存储介质 |
CN113992734A (zh) * | 2021-11-19 | 2022-01-28 | 中国电信股份有限公司 | 会话连接方法及装置、设备 |
CN114070878A (zh) * | 2022-01-13 | 2022-02-18 | 阿里云计算有限公司 | 网络连接处理方法及装置 |
CN115150376A (zh) * | 2022-07-01 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种重定向方法、装置、电子设备和计算机可读存储介质 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101975684B1 (ko) | 2014-07-21 | 2019-05-07 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 링크 제어 노드, 링크 제어 방법 및 통신 시스템 |
US10979355B2 (en) | 2018-04-02 | 2021-04-13 | Apple Inc. | Multipath transmission control protocol proxy use in a cellular network |
CN113014483B (zh) * | 2019-12-19 | 2023-04-18 | 华为技术有限公司 | 一种多路径传输的方法及设备 |
CN116743413B (zh) * | 2022-10-26 | 2024-04-12 | 荣耀终端有限公司 | 一种物联网设备认证方法及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1773991A (zh) * | 2005-11-17 | 2006-05-17 | 上海汉邦京泰数码技术有限公司 | 信息安全管理多级分布式传输控制方法 |
CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
CN103546528A (zh) * | 2013-02-05 | 2014-01-29 | Tcl集团股份有限公司 | 分布式消息推送方法及系统 |
CN103825733A (zh) * | 2014-02-28 | 2014-05-28 | 华为技术有限公司 | 基于组合公钥密码体制的通信方法、装置及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7974279B2 (en) * | 2009-01-29 | 2011-07-05 | Nokia Corporation | Multipath data communication |
EP2854357A1 (en) * | 2013-09-30 | 2015-04-01 | Thomson Licensing | Method for connecting a first host and a second host within at least one communication network through a relay module, corresponding relay module |
CN103546475A (zh) * | 2013-10-29 | 2014-01-29 | 冯丽娟 | 网络通信主体确认方法及系统 |
CN103905463B (zh) * | 2014-04-21 | 2017-02-15 | 北京邮电大学 | 一种适用于多路径传输的连接管理与控制方法 |
-
2015
- 2015-10-21 CN CN201510689271.7A patent/CN105656875A/zh active Pending
- 2015-12-15 US US14/969,544 patent/US20170118022A1/en not_active Abandoned
-
2016
- 2016-05-19 WO PCT/CN2016/082626 patent/WO2017067160A1/zh active Application Filing
- 2016-05-19 EP EP16753810.7A patent/EP3182673A1/en not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
CN1773991A (zh) * | 2005-11-17 | 2006-05-17 | 上海汉邦京泰数码技术有限公司 | 信息安全管理多级分布式传输控制方法 |
CN103546528A (zh) * | 2013-02-05 | 2014-01-29 | Tcl集团股份有限公司 | 分布式消息推送方法及系统 |
CN103825733A (zh) * | 2014-02-28 | 2014-05-28 | 华为技术有限公司 | 基于组合公钥密码体制的通信方法、装置及系统 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106714150A (zh) * | 2017-01-19 | 2017-05-24 | 北京疯景科技有限公司 | 对通信连接进行加密的方法及智能终端 |
CN108881008A (zh) * | 2017-05-12 | 2018-11-23 | 华为技术有限公司 | 一种数据传输的方法、装置和系统 |
CN108881008B (zh) * | 2017-05-12 | 2021-06-08 | 华为技术有限公司 | 一种数据传输的方法、装置和系统 |
CN111372329A (zh) * | 2018-12-25 | 2020-07-03 | 华为技术有限公司 | 一种连接建立方法及终端设备 |
CN111372329B (zh) * | 2018-12-25 | 2022-08-19 | 华为技术有限公司 | 一种连接建立方法及终端设备 |
US11997736B2 (en) | 2018-12-25 | 2024-05-28 | Huawei Technologies Co., Ltd. | Connection establishment method and terminal device |
CN112020112A (zh) * | 2020-07-27 | 2020-12-01 | 北京邮电大学 | Sdn架构下基于mptcp的异构网络切换方法和系统 |
CN112615854A (zh) * | 2020-12-17 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 终端准入控制方法、装置、准入服务器及存储介质 |
CN113992734A (zh) * | 2021-11-19 | 2022-01-28 | 中国电信股份有限公司 | 会话连接方法及装置、设备 |
CN114070878A (zh) * | 2022-01-13 | 2022-02-18 | 阿里云计算有限公司 | 网络连接处理方法及装置 |
CN114070878B (zh) * | 2022-01-13 | 2022-06-24 | 阿里云计算有限公司 | 网络连接处理方法及装置 |
CN115150376A (zh) * | 2022-07-01 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种重定向方法、装置、电子设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US20170118022A1 (en) | 2017-04-27 |
EP3182673A4 (en) | 2017-06-21 |
EP3182673A1 (en) | 2017-06-21 |
WO2017067160A1 (zh) | 2017-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105656875A (zh) | 基于mptcp的主流连接建立方法及装置 | |
EP3641266B1 (en) | Data processing method and apparatus, terminal, and access point computer | |
CN102833253B (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
US8295488B2 (en) | Exchange of key material | |
CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
CN113099443B (zh) | 设备认证方法、装置、设备和系统 | |
CN107800675B (zh) | 一种数据传输方法、终端以及服务器 | |
CN109413201B (zh) | Ssl通信方法、装置及存储介质 | |
CN108401011A (zh) | 内容分发网络中握手请求的加速方法、设备及边缘节点 | |
CN104811444A (zh) | 一种安全的云端控制方法及系统 | |
CN106790090A (zh) | 基于ssl的通信方法、装置及系统 | |
CN108243176B (zh) | 数据传输方法和装置 | |
CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
CN114584306B (zh) | 一种数据处理方法和相关装置 | |
CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
US20140237627A1 (en) | Protecting data in a mobile environment | |
CN111031540B (zh) | 一种无线网络连接方法及计算机存储介质 | |
CN105141629A (zh) | 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法 | |
CN100499453C (zh) | 一种客户端认证的方法 | |
CN116471586A (zh) | 一种数据处理方法、装置以及可读存储介质 | |
GB2488753A (en) | Encrypted communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20181120 Address after: 511458 9, Nansha District Beach Road, Guangzhou, Guangdong, 9 Applicant after: Hengda Faraday future intelligent vehicle (Guangdong) Co., Ltd. Address before: 100089, 10 floor, Guan Hu International Building, 105 Yao Yuan Road, Chaoyang District, Beijing. Applicant before: Smart car technology (Beijing) Co., Ltd. |
|
TA01 | Transfer of patent application right | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160608 |
|
RJ01 | Rejection of invention patent application after publication |