CN105981009B - 加密内容的缓存 - Google Patents
加密内容的缓存 Download PDFInfo
- Publication number
- CN105981009B CN105981009B CN201480075502.9A CN201480075502A CN105981009B CN 105981009 B CN105981009 B CN 105981009B CN 201480075502 A CN201480075502 A CN 201480075502A CN 105981009 B CN105981009 B CN 105981009B
- Authority
- CN
- China
- Prior art keywords
- digital content
- encrypted
- identifier
- client
- encrypted digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims abstract description 26
- 230000001737 promoting effect Effects 0.000 claims 1
- 238000004590 computer program Methods 0.000 description 12
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000009738 saturating Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/40—Specific encoding of data in memory or cache
- G06F2212/402—Encrypted data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/60—Details of cache memory
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及透明代理及在透明代理缓存和提供加密数据内容的方法。在本发明的第一方面,提供了一种在通信网络中在透明代理(12)提供请求的加密数据内容的方法。方法包括从客户端(10)接收指示在代理的请求的加密数据内容的加密标识符,从接收的加密标识符识别加密数据内容,确定客户端是否被授权访问加密数据内容,并且如果是,则将请求的加密数据内容提供到客户端。
Description
技术领域
本发明涉及透明代理及在透明代理缓存和提供加密数据内容的方法,并且还涉及计算机程序和计算机程序产品。
背景技术
透明因特网缓存(TIC)是用于改进web浏览性能和资源利用的既定技术。在TIC中,数据内容能够存储在对最终用户透明的透明代理服务器,诸如例如超文本传送协议(HTTP)高速缓存。这通过截接HTTP业务,并且创建一般通过指向数据内容的经常访问统一资源定位符(URL)识别的经常请求的内容的本地高速缓存来进行。受欢迎的数据内容由此从原来提供内容的web服务器传送到透明代理服务器。
例如,在客户端的用户浏览报纸的网站并请求特定网页,并且例如通过从代理高速缓存获取网页而被引导到提供特定网页形式的请求的资源的HTTP代理,或者HTTP代理转到对于请求的资源的报纸的web服务器,接收资源,并且最后提供资源给客户端。代理的目的是通过它能够提供的更快和更佳的响应,增强用户的体验。此外,通过缓存经常请求的内容,使web服务器免于响应请求。代理对用户是透明的,因为用户不知道(或关心)他/她在与代理而不是与服务器进行通信。因此,透明代理服务器通常布置在客户端/用户与web服务器(客户端想与其进行通信)之间的通信路径中,以便降低对用户请求的响应时间。
US 2004/015725公开了用于客户端侧内容处理的设备和方法,如过滤和缓存使用传输层安全性(TLS)或安全套接层(SSL)协议发送的安全内容。装备充当在客户端侧的受控中间人以终止、缓存、交换和修改安全客户端侧内容。
通过因特网的数据业务的加密在过去若干年期间已经极剧增多。在基于SPDY协议的HTTP 2.0中,使用传输层安全性(TLS)密码学协议对URL进行加密。遗留的问题是,由于透明代理服务器不能识别内容,因此,URL的加密使数据的缓存变得困难。
发明内容
本发明的目的是解决或至少减轻技术领域中的此问题,并且提供改进的透明代理和在透明代理的提供加密数据内容给客户端的方法。
在本发明的第一方面,此目的通过提供一种在通信网络中在透明代理提供请求的加密数据内容的方法而得以实现。方法包括从客户端接收指示在代理处的请求的加密数据内容的加密标识符,从接收的加密标识符识别加密数据内容,确定客户端是否被授权访问加密数据内容,并且如果是,则将请求的加密数据内容提供给客户端。
根据本发明的第一方面,此目的还通过在通信网络中的透明代理而得以实现。代理包括处理器和存储器,所述存储器包含可由处理器执行的指令,由此代理操作成从客户端接收指示在代理处提供的请求的加密数据内容的加密标识符,从接收的加密标识符识别加密数据内容,以及确定客户端是否被授权访问加密数据内容。此外,代理操作成将请求的加密数据内容提供给客户端。
有利的是,由诸如例如指向数据内容的加密URL的加密标识符指定的加密数据内容用于在透明代理提供安全性。因此,在透明代理解释加密标识符(但未解密,由此保持机密性),以便代理知道客户端对哪个特定加密数据内容进行请求;大量的加密数据内容一般存储在代理。此外,为增强安全性,透明代理确定客户端是否被授权访问加密数据内容。如下述内容中将讨论的,这能够以各种不同方式进行。例如,用于对指定加密数据内容的标识符进行加密的加密密钥必须与用于将数据内容加密的密钥相同。如果是,则由透明代理提供加密数据内容给客户端。在本上下文中,应注意的是,透明代理不能将加密数据内容解密以提供采用直读文本形式的数据内容。
在本发明的第二方面,本发明的目的还通过一种在通信网络中在透明代理缓存请求的加密数据内容的方法而得以实现。方法包括从客户端接收指示要在代理处提供的请求的加密数据内容的加密标识符,确定是否应在代理缓存请求的加密数据内容,以及将对加密数据内容的请求发送到提供加密数据内容的服务器。之后,将请求的加密数据内容与接收的加密标识符关联,并且在代理缓存所述请求的加密数据内容。
另外,根据本发明的第二方面,目的通过在通信网络中的透明代理而得以实现。代理包括处理器和存储器,所述存储器包含可由处理器执行的指令,由此代理操作成从客户端接收指示要在代理处提供的请求的加密数据内容的加密标识符,确定是否应在代理缓存请求的加密数据内容,以及将对加密数据内容的请求发送到提供加密数据内容的服务器。此外,代理操作成将请求的加密数据内容与接收的加密标识符关联,并且在代理缓存请求的加密数据内容。
有利的是,由诸如例如指向数据内容的加密URL的加密标识符指定的加密数据内容用于在透明代理提供安全性。因此,在透明代理解释加密标识符(但未解密,由此保持机密性),以便代理知道客户端对哪个特定加密数据内容进行请求;大量的加密数据内容一般存储在代理。此外,如果请求的加密数据内容未在代理存储,则代理确定实际上是否应存储它。如果是,则透明代理从服务器获取由加密标识符指定的请求的加密数据内容,由此加密数据内容由代理从服务器接收,并且与加密标识符(例如,加密URL)关联,并且缓存加密数据内容,使得它随后能够提供给请求的客户端。同样地,透明代理对采用直读文本形式的数据内容没有访问权,而只对加密版本有访问权,由此提供适当程度的机密性。
因此,数据内容的群组被视为“允许缓存”,例如,由一个和相同内容提供商提供的数据内容群组,或由一个和相同的内容服务器提供的数据内容群组。因此,在本发明的一实施例中,属于相同群组的所有标识符(例如,URL)和对应数据内容能够采用同一加密密钥进行加密,由此在仍减轻透明代理从指定加密内容的加密标识符识别加密数据内容的负担的同时,提供安全性。可使用熟知的深度分组检查(DPI)方法或HTTP协议信息来解释加密标识符以便在实际上未将加密标识符解密的情况下识别对应加密数据内容。
在本发明的另外的实施例中,如果对加密数据内容的请求的数量超过请求阈值,则在透明代理确定应在代理缓存请求的加密数据内容。因此,许多请求的加密数据内容有利地在透明代理缓存。此实施例将还有利地允许透明代理检测到多次请求了相同URL(即使已加密),并且通过该信息(相同加密的URL),理解应缓存由该URL指定的加密数据内容。应注意的是,数据内容不必需是静态的,而是实际上经常是动态的,诸如由报纸web服务器提供的新闻信息。同样地,代理不知道直读文本URL或直读文本数据内容,但仍能够缓存加密数据内容并且将它与其加密标识符关联。
如从上述内容能够推断的一样,本发明允许在例如HTTP 2.0中透明缓存加密URL和对应指定的加密数据内容。由于代理不知道实际直读文本URL地址,也不知道对应加密数据内容,因此,缓存更安全。仅客户端能够验证其访问特定加密数据内容的权利(例如,借助于例如通过显示密钥标识符证明它们实际上具有对加密密钥的访问权)。内容提供商因此能够以简单、直接但安全的方式有利地控制客户端对加密数据内容的访问。
在本发明的另外的有利实施例中,如果在某个时间段内未对加密数据内容进行请求,则从代理的高速缓存清空它。内容提供商由此能够更改加密密钥以改进安全性,并且通过“旧”加密密钥加密的数据内容由于不再被请求而将因此从高速缓存被移除;即使将为新加密数据内容选择的URL与用于通过旧密钥加密的以前存储的数据内容的URL相同,借助于通过新密钥对URL进行加密而创建的标识符将不同。
通常,除非在本文中以其它方式明确定义,否则,在权利要求中使用的所有术语要根据在技术领域中其普通含意理解。除非以其它方式明确说明,否则,对“一/一个/该元素、设备、组件、部件、步骤等”的所有引用要以开放方式理解为指元素、设备、组件、部件、步骤等的至少一个实例。除非明确说明,否则,本文中公开的任何方法的步骤不必按公开的确切顺序执行。
附图说明
现在将通过示例的方式,参照附图描述本发明,其中:
图1示出通信网络,其中可实现本发明;
图2a示出根据本发明的一实施例的透明代理;
图2b示出根据本发明的一实施例,在图2a的透明代理的方法的流程图;
图3a示出根据本发明的另外的实施例的透明代理;
图3b示出根据本发明的另外的实施例,在图3a的透明代理的方法的流程图;
图4a示出根据本发明的另一实施例的代理;以及
图4b示出根据本发明仍有的另一实施例的代理。
具体实施方式
现在,将参照显示本发明的某些实施例的附图,在下文更全面地描述本发明。然而,本发明可以以许多不同的形式体现,并且不应视为限于本文所述的实施例;相反,这些实施例通过示例的方式提供,使得此公开将全面和完整,并且将本发明的范围全面传达给本领域的技术人员。类似的标号指整个描述中类似的元件。
图1示出通信网络,其中可实现本发明,所述通信网络包括客户端10、web服务器11和代表web服务器11提供资源的透明代理12。Web服务器在下述内容中将称为“服务器”。客户端10是一般以用户设备(UE)形式体现的网络节点,所述用户设备诸如移动电话、个人数字助理(PDA)、智能电话、平板、膝上型计算机、媒体播放器等。
例如,在客户端10的用户浏览报纸的网站并请求特定网页,并且被引导到代理12,其中,例如通过从代理高速缓存获取网页而提供特定网页形式的请求的资源,或者代理12为了请求的资源而转到服务器11,接收资源,并且最后提供资源给客户端10。代理的目的是通过它能够提供的更快和更佳的响应,增强用户的体验。代理对用户是透明的,其在于用户不知道(或关心)他/她是在与代理12而不是与服务器11进行通信。
代理的示例是缓存代理,它通过从服务器11取回因为由相同客户端或甚至其它客户端提出的以前请求而保存的内容,加快了客户端的服务请求。因此,缓存代理有利地存储经常请求的资源的本地副本,从而在提高性能的同时允许降低客户端带宽使用(一般情况下,大量客户端经缓存代理来路由选择,诸如例如在更大型企业中的所有用户)。
图2a和2b分别示出根据本发明的一实施例的透明代理12和根据本发明的一实施例在通信网络中在透明代理的方法的流程图。图2a和2b示出本发明的方面的一实施例,其中,由客户端10请求的数据内容尚未在透明代理12缓存。在代理12的方法一般由以一个或更多个微处理器形式体现的处理单元15执行,微处理器布置成执行下载到诸如随机存取存储器(RAM)、闪速存储器或硬盘驱动器的与微处理器关联的适合存储介质16的计算机程序17。处理单元15布置成在包括计算机可执行指令的适当计算机程序17下载到存储介质16并且由处理器15执行时,至少部分执行根据本发明的实施例的方法。存储介质16也可以是包括计算机程序17的计算机程序产品。备选,可借助于诸如数字多功能光盘(DVD)或记忆棒的适合的计算机程序产品,将计算机程序17转移到存储介质16。作为另外的备选,计算机程序17可通过网络下载到存储介质16。处理单元15可备选以专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑装置(CPLD)、数字信号处理器(DSP)等形式体现。
因此,参照图2a和2b,在客户端10的用户例如通过使用在客户端10的浏览器访问由web服务器11托管的主页,请求数据内容。由于要求通信安全,因此,在提交HTTP请求前,通过使用与在web服务器11用于对请求的数据内容进行加密的加密密钥共同的加密密钥,在客户端10对HTTP请求的至少部分进行加密。在步骤S101,透明代理12接收对数据内容的请求,这包括指定请求的数据内容的加密标识符。在示例中,加密标识符是寻址请求的数据内容的加密URL。代理12使用例如DPI解释加密URL,以便能够寻址web服务器11(或如将描述的,从本地高速缓存获取请求的加密数据内容)。因此,由于机密性要求,代理12不能将加密URL解密,但使用DPI或任何其它适当方案寻址请求的目的地,即,web服务器11。在接收请求时。在步骤S102中,代理12确定是否应缓存请求的内容,一般是由于数据内容经常被请求。如果对于此特定请求的数据内容,情况是如此(并且假设请求的数据内容尚未在代理缓存),则在步骤S103中,代理12根据在以前由客户端10发送到代理12的请求中包括的加密URL,将对加密数据内容的请求发送到提供加密数据内容的web服务器11。应注意的是,web服务器11能够将加密URL及存储的加密数据内容解密。在步骤S104中,代理接收请求的加密数据内容,并且将加密数据内容与以前接收的加密URL关联,以及在缓存16中存储加密数据内容。也可能在代理12对加密URL执行散列(hash)操作以产生识别请求的内容的标识符。随后,在步骤S105中,可由代理12将加密数据内容提供到客户端10。
图3a和3b分别示出根据本发明的另外的实施例的透明代理12和根据本发明的一实施例在通信网络中在透明代理的方法的流程图。如参照图2a和2b描述的,图3a和3b示出本发明的方面的一实施例,其中,由客户端10请求的数据内容已经在透明代理12缓存。如上详细描述的,在代理12的方法一般由以一个或更多个微处理器形式体现的处理单元15执行,微处理器布置成执行下载到与微处理器关联的适合存储介质16的计算机程序17。
因此,参照图3a和3b,在客户端10的用户例如通过使用在客户端10的浏览器访问由web服务器11托管的主页,请求数据内容。由于要求通信安全,因此,在提交HTTP请求前,通过使用与最初在web服务器11用于对请求的数据内容进行加密的加密密钥共同的加密密钥,在客户端10对HTTP请求的至少部分进行加密。在步骤S201,透明代理12接收对数据内容的请求,这包括指定请求的数据内容的加密标识符。在示例中,加密标识符是寻址请求的数据内容的加密URL。还可能在代理12对加密URL执行散列操作以产生识别请求的内容的标识符。在步骤S202中,代理12使用例如DPI解释加密URL,以便能够从所述本地高速缓存16获取请求的加密数据内容。因此,由于机密性要求,代理12不能将加密URL解密,但使用DPI或任何其它适当方案寻址请求的目的地,即,存储请求的加密数据内容的高速缓存16中的特定地址。在步骤S203中,确定客户端10是否实际上被授权访问请求的加密数据内容。如下述内容中将讨论的,这能够以各种不同方式进行。例如,用于对指定加密数据内容的标识符进行加密的加密密钥必须与用于将数据内容加密的密钥相同。这可借助在请求中包括的数字密钥标识符来指示。如果客户端10被授权,则在步骤S204中,由代理12将加密数据内容提供给客户端10。
在传统缓存系统中,可能指定用于不同数据内容的数据共享类。目前以下类是可能的:
a.公共共享内容,例如在与数字权利管理(DRM)有关的应用中使用,其中中间体应不能修改数据内容,
b.私有内容,以及
c.私有和共享,对最终用户的群组关联。
本发明通过取决于选择的数据共享类而使用不同加密方案,良好地适合用于处理这些不同数据共享类:
a.“公共共享内容”分配有用于特定数据内容的相同加密密钥,即,相同加密密钥用于访问相同URL的所有客户端。这可在较大的群组中使用,诸如包括几百或几千个人的组织。
b.“私有内容”每客户端和URL具有单独的加密密钥,即,仅单个用户能够访问位于特定URL的数据内容。
c.“私有和共享”每客户端群组和URL具有唯一加密密钥,即,有限数量的用户能够访问位于特定URL的数据内容。这一般是比在“公共共享内容”下的群组更小的群组,诸如大型组织内的小组。
如前面提及的,相同加密密钥一般用于对标识符(即,URL)和通过标识符寻址的数据内容进行加密。
应注意的是,代理12能够与其中之一由服务器11体现的不同web服务器或域关联。代理12区分不同域的方式是使用所谓的完全限定域名(FQDN)。域名可与加密密钥关联以便代理12识别不同域。
在本发明的另外的实施例中,为确定客户端是否被授权访问加密数据内容,使用了客户端的国际移动订户身份(IMSI)。因此,在确定客户端是否被授权接收请求的加密数据内容时,代理比较IMSI和由web服务器提供的以前注册的IMSI列表,以指示哪些客户端应得到有关在代理缓存的加密数据内容的信任。然而,应注意的是,其它唯一客户端标识符也能够使用,诸如媒体访问控制(MAC)地址、网络接入标识符(NAI)地址(例如,“yourname@mydomain”)或客户端装置序列号或由客户端添加到请求的任何其它适当未加密参数。
图4a显示根据本发明的第一方面的一实施例的透明代理12。代理12包括适用于从客户端接收指示在代理处的请求的加密数据内容的加密标识符的接收部件21和适用于从接收的加密标识符识别加密数据内容的识别部件22。接收部件21可包括用于接收和提供信息给客户端和/或用于接收和提供信息给诸如服务器的其它装置的通信接口。此外,代理12包括适用于确定客户端是否被授权访问加密数据内容的确定部件23。另外,代理12包括适用于将请求的加密数据内容提供到客户端的提供部件24。提供部件24可包括用于提供信息给客户端和/或用于提供信息到其它装置的通信接口,或者与接收部件21共享通信接口。提供部件24可还包括用于缓存数据的本地存储装置。接收部件21、识别部件22、确定部件23和提供部件24可(类似于结合图2a给出的描述)由以一个或更多个微处理器形式体现的处理器实现,微处理器布置成执行下载到诸如RAM、闪速存储器或硬盘驱动器的与微处理器关联的适合的存储介质的计算机程序。接收部件21和提供部件24可包括一个或更多个传送器和/或接收器和/或收发器,包括模拟和数字组件及用于无线电通信的适合数量的天线。
图4b显示根据本发明的第二方面的一实施例的透明代理12。代理12包括适用于从客户端接收指示要在代理处提供的请求的加密数据内容的加密标识符的接收部件31和适用于确定是否应在代理缓存请求的加密数据内容的确定部件32。接收部件31可包括用于接收和提供信息给客户端和/或用于接收和提供信息给诸如服务器的其它装置的通信接口。
此外,代理12包括适用于将加密数据内容的请求发送到提供加密数据内容的服务器的发送部件33和适用于将请求的加密数据内容与接收的加密标识符关联的关联部件34。发送部件33可包括用于提供信息给服务器和/或用于提供信息给其它装置的通信接口,或者与接收部件21共享通信接口。代理12也包括适用于在代理缓存从服务器接收的请求的加密数据内容的缓存部件35。缓存部件35可还包括用于缓存数据的本地存储装置。接收部件31、确定部件32、发送部件33、关联部件34和缓存部件35可(类似于结合图2a给出的描述)由以一个或更多个微处理器形式体现的处理器实现,微处理器布置成执行下载到诸如RAM、闪速存储器或硬盘驱动器的与微处理器关联的适合存储介质的计算机程序。接收部件31和发送部件33可包括一个或更多个传送器和/或接收器和/或收发器,包括模拟和数字组件及用于无线电通信的适合数量的天线。
本发明在上面主要参照几个实施例进行描述。然而,如由本领域技术人员将容易理解的,除了上面公开实施例,其它实施例在如随附专利权利要求定义的本发明的范围内同样是可能的。
Claims (20)
1.一种在通信网络中在透明代理提供请求的加密数据内容的方法,包括:
从客户端接收(S201)指示在所述代理处的所述请求的加密数据内容的加密标识符;所述方法特征在于包括:
通过在没有将接收的加密标识符解密的情况下解释所述接收的加密标识符,从所述接收的加密标识符识别(S202)所述加密数据内容;
确定(S203)所述客户端是否被授权访问所述加密数据内容;并且如果是,则
将所述请求的加密数据内容提供(S204)给所述客户端,
其中确定所述客户端是否被授权访问所述加密数据内容的步骤包括:
验证从所述客户端接收的客户端标识符匹配从提供所述请求的加密数据内容到所述代理的服务器(11)接收的客户端标识符。
2.如权利要求1所述的方法,其中采用同一加密密钥对所述标识符和所述数据内容进行加密。
3.如权利要求2所述的方法,其中确定所述客户端是否被授权访问所述加密数据内容的步骤包括:
验证所述客户端具有用于对所述标识符和所述数据内容进行加密的所述加密密钥的访问权。
4.如权利要求1-3中的任一项所述的方法,还包括以下步骤:
对加密标识符执行散列操作,其中从散列的加密标识符识别所述加密数据内容。
5.如权利要求1-3中的任一项所述的方法,所述加密标识符是加密通用资源定位符URL。
6.如权利要求1-3中的任一项所述的方法,其中请求所述加密数据内容的所有客户端使用同一加密密钥对指示所述加密数据内容的所述标识符进行加密。
7.如权利要求1-3中的任一项所述的方法,其中请求所述加密数据内容的客户端的群组使用同一加密密钥对指示所述加密数据内容的所述标识符进行加密。
8.如权利要求1-3中的任一项所述的方法,其中请求所述加密数据内容的每个客户端使用单独加密密钥对指示所述加密数据内容的所述标识符进行加密。
9.如权利要求1所述的方法,所述客户端标识符是以下中的一个或多个:国际移动订户身份IMSI、媒体访问控制MAC地址、网络接入标识符NAI地址或客户端装置序列号。
10.一种在通信网络中在透明代理缓存请求的加密数据内容的方法,包括:
从客户端接收(S101)指示要在所述代理处提供的所述请求的加密数据内容的加密标识符;所述方法特征在于包括:
通过在没有将接收的加密标识符解密的情况下解释所述接收的加密标识符以寻址提供所述请求的加密数据内容的服务器,根据所述接收的加密标识符确定(S102)是否应在所述代理缓存所述请求的加密数据内容;
将对所述加密数据内容的请求发送(S103)到提供所述加密数据内容的所述服务器;
将所述请求的加密数据内容与所述接收的加密标识符关联(S104);以及
在所述代理缓存(S105)所述请求的加密数据内容,
其中所述方法还包括:通过验证从所述客户端接收的客户端标识符匹配从提供所述请求的加密数据内容到所述代理的服务器接收的客户端标识符,确定所述客户端是否被授权访问所述加密数据内容。
11.如权利要求10所述的方法,其中如果对所述加密数据内容的请求的数量超过请求阈值,则确定应在所述代理缓存所述请求的加密数据内容。
12.如权利要求10或11所述的方法,其中采用同一加密密钥对加密数据内容的所选群组和识别相应加密数据内容的加密标识符的对应群组进行加密。
13.如权利要求10-11中的任一项所述的方法,还包括:
如果所述加密数据内容在预先确定的时间段内尚未被请求,则将其从所述代理移除。
14.一种在通信网络中的透明代理(12),包括:处理器(15)和存储器(16),所述存储器包含由所述处理器可执行的指令,由此所述代理操作成:
从客户端(10)接收指示要在所述代理处提供的请求的加密数据内容的加密标识符;所述代理(12)特征在于操作成:
通过在没有将接收的加密标识符解密的情况下解释所述接收的加密标识符,从所述接收的加密标识符识别所述加密数据内容;
确定所述客户端是否被授权访问所述加密数据内容;并且如果是,则
将所述请求的加密数据内容提供给所述客户端,
其中所述代理还操作成:通过验证从所述客户端接收的客户端标识符匹配从提供所述请求的加密数据内容到所述代理的服务器(11)接收的客户端标识符,确定所述客户端(10)是否被授权访问所述加密数据内容。
15.如权利要求14所述的透明代理(12),其中采用同一加密密钥对所述标识符和所述数据内容进行加密。
16.如权利要求15所述的透明代理(12),其中所述代理操作成:通过验证所述客户端具有用于对所述标识符和所述数据内容进行加密的所述加密密钥的访问权,确定所述客户端(10)是否被授权访问所述加密数据内容。
17.一种在通信网络中的透明代理(12),包括:处理器(15)和存储器(16),所述存储器包含由所述处理器可执行的指令,由此所述代理操作成:
从客户端(10)接收指示要在所述代理处提供的请求的加密数据内容的加密标识符;所述代理(12)特征在于操作成:
通过在没有将接收的加密标识符解密的情况下解释所述接收的加密标识符以寻址提供所述请求的加密数据内容的服务器(11),根据所述接收的加密标识符确定是否应在所述代理缓存所述请求的加密数据内容;
将对所述加密数据内容的请求发送到提供所述加密数据内容的所述服务器;
将所述请求的加密数据内容与所述接收的加密标识符关联;以及
在所述代理缓存所述请求的加密数据内容,
其中所述代理还操作成:通过验证从所述客户端接收的客户端标识符匹配从提供所述请求的加密数据内容到所述代理的服务器接收的客户端标识符,确定所述客户端(10)是否被授权访问所述加密数据内容。
18.如权利要求17所述的透明代理(12),其中所述代理操作成:确定如果对所述加密数据内容的请求的数量超过请求阈值,则应在所述代理缓存所述请求的加密数据内容。
19.如权利要求17-18中的任一项所述的透明代理(12),所述代理还操作成:
如果所述加密数据内容在预先确定的时间段内尚未被请求,则将其从所述代理移除。
20.一种包括计算机可执行指令的计算机可读介质,当所述计算机可执行指令在装置(12)中包括的处理器(15)上执行时,所述计算机可执行指令用于促使所述装置执行如权利要求1-13中的任一项中所述的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2014/050184 WO2015122813A1 (en) | 2014-02-14 | 2014-02-14 | Caching of encrypted content |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105981009A CN105981009A (zh) | 2016-09-28 |
| CN105981009B true CN105981009B (zh) | 2019-12-03 |
Family
ID=50190711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480075502.9A Active CN105981009B (zh) | 2014-02-14 | 2014-02-14 | 加密内容的缓存 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10084605B2 (zh) |
| EP (1) | EP3105689A1 (zh) |
| CN (1) | CN105981009B (zh) |
| RU (1) | RU2661757C2 (zh) |
| WO (1) | WO2015122813A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9648125B2 (en) * | 2013-10-04 | 2017-05-09 | Akamai Technologies, Inc. | Systems and methods for caching content with notification-based invalidation |
| US9641640B2 (en) * | 2013-10-04 | 2017-05-02 | Akamai Technologies, Inc. | Systems and methods for controlling cacheability and privacy of objects |
| GB2526818B (en) * | 2014-06-03 | 2021-01-13 | Arm Ip Ltd | Methods of accessing and providing access to a remote resource from a data processing device |
| US9710675B2 (en) * | 2015-03-26 | 2017-07-18 | Intel Corporation | Providing enhanced replay protection for a memory |
| US10122718B2 (en) | 2015-08-21 | 2018-11-06 | Arm Ip Limited | Data access and ownership management |
| US11222162B2 (en) * | 2017-09-29 | 2022-01-11 | Dropbox, Inc. | Managing content item collections |
| CN108786115B (zh) * | 2018-05-03 | 2021-06-01 | 南京赛宁信息技术有限公司 | 基于透明代理生成CTF动态Flag的方法及系统 |
| CN110830535B (zh) * | 2018-08-10 | 2021-03-02 | 网宿科技股份有限公司 | 一种超热文件的处理方法、负载均衡设备及下载服务器 |
| US10979228B1 (en) | 2019-10-10 | 2021-04-13 | Oasis Medical, Inc. | Secure digital information infrastructure |
| US10652022B1 (en) | 2019-10-10 | 2020-05-12 | Oasis Medical, Inc. | Secure digital information infrastructure |
| EP3817273A1 (en) * | 2019-10-31 | 2021-05-05 | Siemens Aktiengesellschaft | Performance improvement of a cryptographic module of an integrated circuit |
| US20230139992A1 (en) * | 2021-10-29 | 2023-05-04 | Arris Enterprises Llc | Methods, systems, and devices for analyzing network performance |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005503A (zh) * | 2006-01-16 | 2007-07-25 | 国际商业机器公司 | 用于侦听客户端和服务之间的通信的方法和数据处理系统 |
| CN101523379A (zh) * | 2006-08-18 | 2009-09-02 | 阿卡麦科技公司 | 分布式网络中的数据收集方法 |
| CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| US7076544B2 (en) * | 2002-04-08 | 2006-07-11 | Microsoft Corporation | Caching techniques for streaming media |
| US20060005237A1 (en) * | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
| US7937753B2 (en) * | 2005-03-25 | 2011-05-03 | Microsoft Corporation | Method and apparatus for distributed information management |
| CN101593196B (zh) * | 2008-05-30 | 2013-09-25 | 日电(中国)有限公司 | 用于快速密文检索的方法、装置和系统 |
| WO2011103561A2 (en) * | 2010-02-22 | 2011-08-25 | Lockify, Inc. | Encryption system using web browsers and untrusted web servers |
| US8863227B2 (en) * | 2011-01-05 | 2014-10-14 | Futurewei Technologies, Inc. | Method and apparatus to create and manage a differentiated security framework for content oriented networks |
| US9747592B2 (en) | 2011-08-16 | 2017-08-29 | Verizon Digital Media Services Inc. | End-to-end content delivery network incorporating independently operated transparent caches and proxy caches |
| US8874908B2 (en) * | 2012-11-07 | 2014-10-28 | Wolfgang Raudaschl | Process for storing data on a central server |
-
2014
- 2014-02-14 US US14/344,560 patent/US10084605B2/en active Active
- 2014-02-14 WO PCT/SE2014/050184 patent/WO2015122813A1/en active Application Filing
- 2014-02-14 CN CN201480075502.9A patent/CN105981009B/zh active Active
- 2014-02-14 RU RU2016136668A patent/RU2661757C2/ru active
- 2014-02-14 EP EP14707484.3A patent/EP3105689A1/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005503A (zh) * | 2006-01-16 | 2007-07-25 | 国际商业机器公司 | 用于侦听客户端和服务之间的通信的方法和数据处理系统 |
| CN101523379A (zh) * | 2006-08-18 | 2009-09-02 | 阿卡麦科技公司 | 分布式网络中的数据收集方法 |
| CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2016136668A3 (zh) | 2018-03-19 |
| CN105981009A (zh) | 2016-09-28 |
| RU2016136668A (ru) | 2018-03-19 |
| RU2661757C2 (ru) | 2018-07-19 |
| US10084605B2 (en) | 2018-09-25 |
| EP3105689A1 (en) | 2016-12-21 |
| US20160248587A1 (en) | 2016-08-25 |
| WO2015122813A1 (en) | 2015-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105981009B (zh) | 加密内容的缓存 | |
| US9344426B2 (en) | Accessing enterprise resources while providing denial-of-service attack protection | |
| US11665082B2 (en) | Sandbox environment for testing integration between a content provider origin and a content delivery network | |
| US10904227B2 (en) | Web form protection | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| US12034709B1 (en) | Centralized secure distribution of messages and device updates | |
| Singanamalla et al. | Oblivious dns over https (odoh): A practical privacy enhancement to dns | |
| Polyzos et al. | Building a reliable internet of things using information-centric networking | |
| CN108011888A (zh) | 一种实现证书重构的方法、装置及存储介质、程序产品 | |
| US20160006747A1 (en) | System and method for parallel secure content bootstrapping in content-centric networks | |
| Houmansadr et al. | Sweet: Serving the web by exploiting email tunnels | |
| CN106031097A (zh) | 业务处理方法及装置 | |
| CN111049789B (zh) | 域名访问的方法和装置 | |
| CN106453399B (zh) | 一种面向用户隐私保护的域名解析服务方法和系统 | |
| CN105516161A (zh) | 安全获取http请求的方法及系统 | |
| US10855723B2 (en) | Enforcing a secure transport protocol with dynamically updated stored data | |
| Varshney et al. | A metapolicy framework for enhancing domain expressiveness on the Internet | |
| CN112470438A (zh) | 用于发现中间功能和选择两个通信装置之间的路径的方法 | |
| Levy et al. | Stickler: Defending against malicious CDNs in an unmodified browser | |
| CN110022247B (zh) | 一种app数据加密传输的测试方法 | |
| CN109274765B (zh) | 一种数据传输方法、设备及系统 | |
| Maheswaran et al. | Pasic: A Novel Approach for Page-Wise Web Application Security | |
| CN117527750A (zh) | 域名解析方法、装置、电子设备和计算机可读介质 | |
| CN117424707A (zh) | 一种免密认证装置、方法、设备和存储介质 | |
| CN108684034A (zh) | 数据传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |