CN107113304A - 加密数据交换上的中介委派 - Google Patents
加密数据交换上的中介委派 Download PDFInfo
- Publication number
- CN107113304A CN107113304A CN201580070156.XA CN201580070156A CN107113304A CN 107113304 A CN107113304 A CN 107113304A CN 201580070156 A CN201580070156 A CN 201580070156A CN 107113304 A CN107113304 A CN 107113304A
- Authority
- CN
- China
- Prior art keywords
- data
- intermediary
- stream
- processing method
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明涉及一种数据处理方法、设备和程序。所述方法在中介模块(MI)内被实施。数据在通过通信网络连接的客户端模块(MC)与服务器模块(MS)之间传送。所述方法包括:接收步骤(20),从客户端模块和服务器模块之一接收中介请求(RIM),所述中介请求(RIM)识别与客户端模块(MC)和服务器模块(MS)之间交换的加密数据的流相关的要执行的中介操作;处理步骤(30),根据所述中介操作进行与所述加密数据相关的处理。
Description
技术领域
本技术涉及通信安全,并且尤其涉及确保通常在因特网类型的网状网络上传送的、客户端设备与服务器设备之间所交换的数据的机密性的方法。在这种网络上,一定数量的参与者介入。因此,访问供应商是为用户提供访问其网络的手段的实体。用户是访问供应商的客户。该用户可能希望使用访问供应商的网络用于访问一个或多个服务或者内容。因此,这种服务或者内容由服务供应商或者内容供应商(典型地以客户端-服务器关系的形式)通过访问供应商的网络而交付。
背景技术
新近出现的政府部门和大型企业大量收集和利用私有数据的情况,提出了需要保护个人信息的问题。
为了重新建立用户的信任,IETF(因特网工程任务组)以及内容和服务供应商希望推广对因特网流量的加密。这种加密可应用于所有传送服务,不管其涉及具有TLS(安全传送层)的TCP(传送控制协议)协议,还是涉及特别是在WebRTC(网页实时通信)中,具有DTLS(数据包传送层安全)的UDP(用户数据报协议)协议。这种加密技术还可由内容和服务供应商(例如 和之类)应用于系统地使用HTTPS(超文本传送协议安全)的Web流量。
因此,借助HTTPS、TLS或者DTLS协议的对流量的加密被推广。因此,据估计,几乎一半的流量已经被加密。
从用户的角度来看,这种加密原则上具有优点。这种加密事实上允许保证传送的数据的一定程度的机密性,并允许重新建立对服务供应商失去的信任。
相反,这种加密挑战一些原理,特别是访问供应商的运行原理。因此,基于HTTP协议的传统结构(特别是在其版本1.1中,参见RFC7230文献的第2章节),自然地整合第三方代理服务器(中介),特别是为了提供高速缓存功能(见草案“draft-ietf-httpbis-http2”的版本14)。这种功能例如对于加速用户经常访问的内容的加载是有用的。使用TLS、DTLS或者HTTPS协议,本质上保护来自第三方入侵的连接,并且因此不能由第三方特别是由访问供应商的代理对内容进行高速缓存。这导致使针对用户的性能降级并增大国际链路的负载。
另外,这些代理服务器还用于执行其他动作,如分析分组、测量(measure)内容的读者、实现对客户进行结算或者认证所需的测量,所有这些操作都会由于使用TLS、DTLS或者HTTPS协议而受到危害。特别是,这些代理服务器用于充实内容。这是通过充实来自客户端的请求或者充实来自服务器的响应而实现的。以与用于实现高速缓存相同的方式,传送的加密(由TLS、DTLS、HTTPS、甚至TCP扩展)不允许访问供应商的代理修改这些请求或者这些响应的内容,因为信息是被加密的并且因此不能由代理访问。同样,这导致使针对用户的性能降级:这些信息的增加实际上不论对客户端侧和还是对(内容供应商或者服务供应商的)服务器侧都很有用,例如,用于认证用户,调整传送的内容、可用服务类型等等。例如,这种充实允许根据可用带宽来调整内容的格式。
这些问题由使用HTTP协议的新版本而增大。实际上,HTTP协议的版本2(也称为HTTP2)现在由内容供应商或者服务供应商开始实施。借助该HTTP协议的新版本,内容供应商或者服务供应商部署其自己的HTTP2代理,终端通过TLS协议与所述HTTP2代理连接。
使用HTTP2协议,不同领域的连接在用TLS加密的单一TCP连接中被多路传送。因此,不再可以区分服务(用于计数功能,或者用于针对每个服务提供适应的服务质量所需的流控制),或者不再可以在流中插入信令信息元素(传送元数据所需的或者网络所需的)。此外,也不再可以将这些信息提供给其他合作者。因此,HTTP2协议尤其影响到运营商的代理,特别是基于数据截取和负责实现(例如,“深度分组检查”(“Deep Packet Inspection”),DPI类型的)分组的深度检查的运营商的代理,以及一旦内容供应商或者服务供应商使用客户端与服务器之间的加密(例如,利用TLS协议)部署其自己的代理就借助HTTP1.1协议运行的运营商的代理。
因此,存在提供一种解决方案的需要,所述解决方案能够完全确保服务供应商与用户之间传送的数据的机密性,同时允许访问供应商实现其网络良好运行所需的操作。
发明内容
所提出的技术至少部分地解决了广泛应用数据加密引起的问题。实际上,所提出的技术涉及一种数据处理方法,所述数据处理方法在通过通信网络连接的客户端模块与服务器模块之间的中介模块内被实施。根据该技术,这种方法包括:
-接收步骤,从客户端模块和服务器模块之一接收中介请求,所述中介请求识别与客户端模块和服务器模块之间交换的加密数据的流相关的要执行的中介操作;
-处理步骤,根据所述中介操作进行与所述加密数据相关的处理。
因此,从操作角度来看,所提出的技术允许客户端-服务器关系中的针对以安全的方式交换的数据的中介操作,同时保证中介不能访问这些数据的内容,全部操作在管理由客户端模块和服务器模块构成的客户端-服务器架构的服务供应商的控制下(通常是被称为“OTT”或“Over-The-Top”的参与者)。这允许对所交换的这些数据流进行合作管理,使得既满足客户端-服务器架构的提供者,又满足管理由该架构使用的通信网络的运营商。另外,该技术对在客户端-服务器架构中所使用的设备影响有限。实际上,要针对客户端模块和(提供内容或者服务的)服务器模块这两者进行的修改较少,主要的修改在于改变加密的对象,其不再是作为整体的客户端-服务器的连接,而是可以针对流或者针对对象进行加密。
根据具体特征,中介请求以具有第一部分和第二部分的所述流的数据帧的形式被实现,在所述第一部分中运输加密数据,所述第二部分能由中介模块读取,在所述第二部分中插入有识别待执行的中介操作的字段。因此,委派指令可在可用于运输机密内容的帧内被运输,这允许在基本上不修改现有设备也不修改现有的通信标准的情况下实现委派技术。
根据具体特征,所述方法在接收中介请求之前,包括接收消息的接收步骤,所述消息识别插入有识别待执行的中介操作的字段的流的数据帧。因此,简单地通知中介模块加密数据流中存在委派指令。
根据具体特征,所述方法借助数据的传送协议而被实施,所述传送协议除了定义传送加密数据的数据流之外,还定义能由中介模块读取的、传送消息的控制流。因此,重新利用这种传送协议的固有特征,以便向中介模块通知加密数据的流的“渗透性”(permeability),即因为该流除了运输加密数据之外还运输针对中介模块的委派指令。根据具体特征,该传送协议是HTTP版本2协议,这允许使用该特定协议的特性,服务或者内容供应商越来越多地利用该特定协议来实现所提出的技术。
根据具体特征,中介请求的接收继由中介模块向客户端模块或服务器模块发送请求中介委派的消息之后进行。因此,中介委派可以由中介(通常是管理中介模块位于其中的通信网络的运营商)发起,同时保持在管理客户端-服务器架构的服务供应商的控制下。
根据具体特征,待执行的中介操作是充实数据流,所述数据处理方法还包括获得至少一个中介数据的获得步骤,以及,处理步骤包括在加密数据流中向客户端模块或服务器模块MS之一传送所述中介数据。这允许运营商向服务供应商提供其将不能在完全加密的连接中提供的关于加密数据流的附加信息。
根据具体特征,待执行的中介操作是存储与加密数据相关联的内容,以及处理步骤包括存储由所述中介请求识别的内容。这使允许运营商向服务供应商提供将服务运营商提出的内容中的一些进行高速缓存的服务,所述内容中的一些例如是具有最多读者的内容,以便加速内容的分发,并且因此提高用户体验的质量,该服务将不能在完全加密的连接中提出。
根据具体特征,待执行的中介操作是读取在加密数据流中传送的数据,以及处理步骤包括由中介模块在运输加密数据的流的帧内提取伴随加密数据的可读数据,以及将所述可读数据传送到网络设备,所述网络设备在网络专用的处理中使用所述可读数据。这允许运营商将加密数据用于其自己的需求,例如,用于进行测量读者或者进行结算的计算,利用完全加密的连接这将是难以执行的。
根据具体特征,待执行的中介操作是修改在加密数据流中传送的数据,以及处理步骤包括由中介模块在运输加密数据的流的帧内修改伴随加密数据的可读数据。特别是,这允许运营商与服务供应商合作地将借助客户端-服务器架构交换的安全化的内容补充完整(complete),例如用于流控制的操作,利用完全加密的连接这将是不可能执行的。
根据另一方面,所提出的技术还涉及一种数据处理的中介模块,能够在通过通信网络连接的客户端模块与服务器模块之间使用。这种模块包括:
-接收部件,从客户端模块和服务器模块之一接收中介请求,所述中介请求识别与客户端模块和服务器模块之间交换的加密数据的流相关的要执行的中介操作;
-处理部件,根据所述中介操作进行与所述加密数据的流相关联的处理。
根据另一方面,所提出的技术还涉及一种模块,被称为源模块,包括与通信网络进行通信的通信部件,用于经由位于通信网络中的中介模块向称为目的地模块的另一个模块传送加密数据。这种模块还包括处理部件,所述处理部件能够生成中介请求,所述中介请求识别与和所述目的地模块交换的加密数据的流相关的要执行的中介操作,所述通信部件被配置用于向中介模块传送所述中介请求。
根据具体特征,处理部件还能够生成消息,所述消息识别插入有识别待执行的中介操作的字段的流的数据帧,通信部件还被配置用于向中介模块传送所述消息。
根据优选的实现方式,根据本发明的方法的不同步骤由一个或多个计算机软件或者程序执行,包括软件指令,所述软件指令由根据本发明的中继模块的数据处理器执行,并被设计用于控制本方法的不同步骤的执行。
因此,本发明还涉及能够由计算机或者数据处理器执行的程序,该程序包括用于控制如上述的方法的步骤执行的指令。该程序可使用任何编程语言,并且可以是源代码、目标代码或者源代码与目标代码之间的中间代码(诸如以部分编译的形式)的形式,或者任何其他合适的形式。
本发明还涉及能由数据处理器读取的、并且包括如上述的程序的指令的信息介质。信息介质可以是能够存储程序的任何实体或者设备。例如,介质可包括诸如ROM之类的存储器,例如CD ROM或者微电子电路ROM(USB盘、SSD),亦或者磁记录装置,例如软盘或者硬盘。此外,信息介质可以是能传送诸如电或光信号之类的介质,所述信号可经由电缆或者光缆、通过无线电或者用其他手段被发送。根据本发明的程序尤其可在因特网类型的网络上下载。可替换地,信息介质可以是集成电路,在所述集成电路中编入有所述程序,所述电路适于执行或者被用于执行所涉及的方法。
根据实施例,本发明借助软件和/或硬件组件执行。在这方面,术语“模块”在本文中可对应于软件组件、或硬件组件、或一组硬件组件和软件组件。软件组件对应于一个或多个计算机程序、程序的一个或多个子程序,或者以更一般的方式,对应于能够实施根据针对所涉及的模块在下文描述的功能或一组功能的任何程序元件或软件元件。这种软件组件由物理实体(传感器、终端、服务器、网关、路由器等等)的数据处理器执行,并且能够访问该物理实体的硬件资源(存储器、记录介质、通信总线、输入输出电子板、用户接口等等)。
同样,硬件组件对应于能够实施根据针对所涉及的模块在下文描述的功能或一组功能的全部硬件中的任何元件。其可以涉及可编程硬件组件或者集成有用于执行软件的处理器的组件,例如集成电路、智能卡、存储器卡、用于执行固件的电子板等等。上述系统的每个组件自然地执行其自己的软件模块。
上述不同的实施方式可彼此结合以实施本发明。
附图说明
阅读下面以示意性且非限制性的简单例子及附图给出的优选实施方式的说明,本发明的其他特征和优点将变得更清楚,附图中:
-图1表示根据本发明的方法的一般原理;
-图2示出根据本发明的实施方式的中介模块的硬件架构的示意图;
-图3示出根据本发明的实施方式的客户端模块的硬件架构的示意图;
-图4以简单的方式示出根据本发明的实施方式的服务器模块的硬件架构。
具体实施方式
5.1.本发明的一般原理
如上所述,本发明的一般原理在于允许,从客户端模块和服务器模块来看,所交换的内容(对象或数据流)保持加密,而同时,从这些客户端和服务器设备之间的中介模块来看,中介数据(例如保持通信网络的运行条件所需的数据,或者实施某些服务所需的数据)相对于加密的内容是可访问且能够被使用的。换句话说,这些中介数据是允许中介模块履行其中介功能的数据,所述功能可以是修改内容、将内容进行高速缓存、插入附加数据等等的功能。
为了获得该结果,加密不是直接通过对客户端模块与服务供应商的服务器模块之间的整个连接进行加密(如其可以是利用https协议的情况)而实现的。根据本发明,加密可以按独立的方式在对象和/或数据流上实现。根据本发明,多路传送的多个流和对象中的至少一个流或对象可由中介模块(例如代理服务器模块)使用用于允许中介操作。其可以涉及称为控制流的流。其可以涉及诸如报头的字段之类的对象。根据所使用的通信协议,控制流可以是独立于数据流、与数据流并行传送、或者整合到数据流中(即控制流被“嵌入”在数据流中)、还或者上述方案的组合的流。
特别参考图1示出根据本发明的原理的方法。
从中介模块MI(其例如可以是称为代理服务器的服务器)的角度来看,该方法包括:
-接收(步骤20)中介请求RIM,所述中介请求RMI识别与客户端模块MC和服务器模块MS之间交换的加密数据的流相关的要执行的中介操作。该请求根据情况可以来自客户端模块MC或者服务器模块MS。
-根据中介请求RIM中识别的该中介操作,进行与该加密数据的流相关联的处理(步骤30)。
因此,与例如在TLS层级处在客户端模块MC与服务器模块MS之间的整个连接上实现加密的现有技术不同,所提出的本解决方案包括对客户端模块与服务器模块之间交换的所有数据或部分数据进行加密,同时,允许中介模块接收使所述中介模块能够相对于这些加密数据进行介入而无需知道其内容的请求。
“加密数据”这里被理解为已经由称为发送器的客户端模块MC或服务器模块MS之一全部或部分加密的简单的单独的数据或对象(例如图像或文件),并且所述加密数据可由这些模块中称为目的地模块的另一个模块例如借助在这两个设备上可用的加密和解密密钥进行解密。在这种情况下,中介模块如果没有这种解密密钥,则所述中介模块不能解密这些数据。因此,可使用“JavaScript对象符号和加密”或JOSE(Javascript Object Signingand Encryption)技术。
“中介操作”这里被理解为与或多或少部分加密的流中发送的加密数据有关的中介动作,中介操作的实施被发送器模块MC或MS委派给中介模块MI。还称作“中介委派”。
中介动作与目的端模块MI必须与这些加密数据相关地执行的一个或多个特定数据处理相关联。在某些情况下,处理明确地对应于待执行的中介操作(例如,当所述操作是简单读取伴随加密数据的可读数据时),在其他情况下,处理包括允许实现相关联的中介操作的一个或多个连续步骤(例如,当所述操作是充实操作时,如下面的例子中将看到的事实:获得用于该充实的中介数据、然后将所述中介数据传送到MC或MS模块之一)。
中介请求RIM尤其可以按设备MC和MS之间交换的流的数据帧的形式执行,在数据帧中插入有识别待执行的中介操作的字段(称为中介委派字段)。为了识别该操作,所述字段可包括中介动作标识符(“充实”、“读数”、“存储”等等)以及用于该动作的参数(动作方向、动作应用的特定值等等)。因此,这种数据帧可包括加密部分(例如,该数据帧的全部或部分“有效载荷”部分)和非加密部分(例如,该数据帧的部分或全部报头,甚至该数据帧的部分有效载荷部分),在所述加密部分中插入有在设备MC和MS之间交换的加密数据,在所述非加密部分中插入有识别中介操作的该字段,随后,所述字段可由中介模块MI提取以便该中介模块MI确定待执行的中介操作。
为了允许接收插入有这种中介字段的流的数据帧形式的这种中介请求RIM,有利地可由中介模块MI进行消息DEL的预先接收(步骤10)。有利地,该消息DEL由与发送中介请求RIM的模块相同的模块发送,并且用于通知中介模块MI所述中介模块MI将在流的加密数据帧中,例如在该流的继该消息DEL之后的第一数据帧的特定部分(例如其非加密的报头)中接收委派指令,所述委派指令涉及待执行的操作。如此被警告,中介模块MI能够通过监视经过其的加密数据流来容易地检索这些委派指令。
根据中介操作的与加密数据流相关联的处理(步骤30)可以是下列处理之一:
-向客户端模块MC传送(步骤31)中介数据(这里由DIM表示);这例如对应于由中介模块MI充实从服务器模块MS向客户端模块MC传送的数据流的充实操作,如增加广告或者增加到推荐内容的链接;
-向服务器模块MS传送(步骤32)中介数据DIM;这例如对应于由中介模块MI代表服务器模块MS实施认证,或者还对应于利用关于通信网络状态的数据来充实被传送到服务器模块MS的数据流的操作;
-在中介模块MI具有访问权的高速缓冲存储器(因为所述高速缓冲存储器被整合到该设备MI中,或者因为所述高速缓冲存储器被整合到与该设备MI连接的设备中)内存储(步骤33)由中介请求RIM识别的内容;这例如可以随着所述内容从服务器模块MS向客户端模块MC逐渐传送、或者由中介模块MI从远程内容服务器直接下载内容、或者通过访问该内容的另一个版本而实施;
-在设备MI具有访问权的高速缓冲存储器内存储(34)中介请求RIM或者该请求的响应中包含的中介数据;这例如可允许实现统计、遵循法定约束或提供多设备用户体验;
-由中介模块MI从运输加密数据和可读(即非加密)数据的流的帧内提取可读数据,这对应于读取在加密数据流中传送的数据的读取操作,提取出的数据可由中介模块MI用于对客户端模块MI的用户的结算或者内容的读者的测量。这些可读数据尤其可以是与内容的数据相关联的元数据,所述内容的数据是被加密的;
-由中介模块在运输加密数据和可读(即非加密)数据的流的帧内修改可读数据(例如与加密数据相关联的元数据),这对应于修改在加密数据流中传送的数据的修改操作,所述修改操作例如在对流的控制的背景下是有用的或者用于更新诸如上下文信息之类的信息。
如上所述,中介操作可以是使用中介数据DIM的充实操作。在图中的这种情况下,本方法还包括由中介模块MI获得该中介数据DIM(步骤25)。该中介数据DIM可以直接在中介模块MI内获得(在所述中介模块MI在现阶段已经具有该中介数据DIM的情况下),或者从外部资源RE获得,所述外部资源RE可以是中介设备MI与之连接的通信网络的其他服务器或实体,例如存储关于客户的数据的服务器,亦或者存储关于通信网络的状态的数据(诸如关于节点的拥塞的数据、可用带宽的数据等等)的服务器。
为了允许客户端和/或服务器模块向中介模块委派中介操作,同时执行加密数据的交换,与设备MS或MC之间交换的内容相反,中介请求RIM以非加密、并且因而可由中介模块MI解释的方式被传送。特别是,该中介请求RIM可以按流的数据帧的形式来实现,具有第一部分(帧的“有效载荷”的部分或全部)和第二部分(报头的部分或全部,甚至还有该帧的“有效载荷”的部分),在所述第一部分中运输加密数据,所述第二部分能由中介模块MI读取,所述第二部分中插入有识别待执行的中介操作的字段。
由于流的这种数据帧被用作中介请求RIM,因此本方法有利地在接收(步骤20)中介请求RIM之前,包括接收(步骤10)消息DEL的接收步骤,所述消息DEL识别其中插入有识别待执行的中介操作的字段的流的数据帧。
特别是,这里可使用数据传送协议,所述数据传送协议除了定义在其内传送加密数据(因而中介请求RIM)的数据流之外,还定义能由中介模块读取的、在其内可传送该消息DEL的控制流。HTTP版本2传送协议尤其是这种情况,HTTP版本2传送协议设有支持非加密的“CONTROL”(控制)帧的传送的信令流(“stream#0(流#0)”),以及存在支持可包含加密数据和非加密数据的“DATA”(数据)帧的传送的其他流。
5.2.本发明的实施方式的说明
在下面所述的实施方式中,HTTP版本2协议被考虑用于经由中介模块MI的客户端模块MC与服务器模块MS之间的连接。HTTP2连接尤其包括信令流(称为“流0”)以及在该连接用于数据交换时被逐渐创建的一个或多个数据流(称为“流1”、“流3”等等),这些流是多路传送的,即所述流在HTTP2连接内被一致地传送和/或接收。但是,还可以考虑其他传送协议,诸如QUIC、SCTP、UDP、RTP、TCP之类。
在这些实施方式中,中介委派是借助此处表示为“SPOC”(security andpermeability of objects and connections,对象与连接的安全性和渗透性)的HTTP2协议的扩展来实施的。
在HTTP2协议中,如目前所定义的那样,帧或者是控制帧类型或者是数据帧类型。这些帧的范围是可变的:端到端或者是逐跳的(节点到节点)。所提出的本方法允许通过在HTTP2连接中插入关于操纵委派的指令(重定向、读取、充实、修改等等),来实现使对象和连接的渗透性。
中介指令由客户端模块的“用户终端(user agent)”或者服务器模块传送。所述中介指令允许由中介模块确定数据处理的操作模式(“读、写、添加、重定向、高速缓存”)和操纵委派。委派指令及从其产生的SPOC值在数据帧中传送。但是,为使不同的角色(客户端、服务器、代理)注意到委派指令和SPOC值的存在,使用控制帧的专用字段,这里是所有HTTP2帧(尤其是HEADER类型的帧)共同的报头中的长8比特的字段“Flags(标志)”中的一个比特。
5.2.1处理中介数据以便充实创建加密数据流的请求
在该第一实施方式中,中介模块MI是用于向由安装在客户端模块MC上的客户端应用向服务器模块MS传送的信息添加信息的代理。更具体地,在该第一实施方式中,客户端模块MC请求服务器模块MS向所述客户端模块MC传送多媒体流。
在该第一实施方式中,借助客户端模块MC与服务器模块MS之间的加密数据流,在HTTP2连接中进行交换。客户端应用(即安装在设备MC上的用户终端)向代理(即中介模块MI)传送中介请求,所述中介请求识别对应于利用中介数据充实该流的中介操作,所述中介数据这里对应于客户端模块MC的用户帐户的标识符“userID”、一个B2B发起者(sponser)的标识符“partnerID”、或者这两个标识符。这种中介请求可以采取其中插入有以下“SPOC”字段的流的数据帧的形式,所述“SPOC”字段包含一些委派信息,特别是待执行的中介操作(“充实”)和数据帧的传送方向(“请求”):spoc_b2b:{
,operation:{action:‘enrich’,direction:‘request’}
,information:{auth:’53R569767’,wholesale:[“userID”,“partnerId”]}
}
在接收到该中介请求并提取前述“SPOC”字段之后,代理被通知其应当在将该帧传送到服务器模块MS之前,通过将所请求的中介数据(userID和partnerID)插入到所接收的数据帧中来充实所述数据流。这种插入可通过在该数据帧中通过以下中介数据字段替代前述“SPOC”字段来实现:
{information:{wholesale:{userID:‘43Z54G5’,partnerId:‘FGF40’}}}
随后,服务器模块MS接收该数据帧并从该帧提取用户和/或发起者的标识符,服务器模块MS随后可将其用于处理并提供合约规定的流服务。
在该第一实施方式中,代理连接到客户信息系统并通过这种手段例如从客户端模块MC的IP地址获得关于用户的信息,诸如用户的标识符UserID之类。
这里,继设备MC在与数据流不同的控制流上预先发送允许代理识别中介请求的控制帧之后,设备MC以包含SPOC字段的数据帧的形式发送中介请求。这里,顺序如下:
1)安装在客户端模块上的应用执行请求‘http1.1GET example.com/auth’;
2)然后,HTTP2栈在流0(即控制流)中传送“HEADERS”类型的HTTP2控制帧,用于创建数据流,例如流23(在例子中值是任意选择的)。在“HEADERS”类型的帧中,客户端应用已经插入向代理指示流23是“可渗透”的SPOC标志,即在该流23中由客户端模块传送的第一数据帧对应于指示待执行的操作的中介请求;
3)客户端模块在该流23中传送第一“DATA”类型的HTTP2帧,该数据帧包含上述委派信息;
4)代理接收在流0上的“HEADERS”帧,并且将其重定向至服务器模块,同时因此确定流23是可渗透的;
5)在接收到在流23中包含前述“SPOC”字段的第一“DATA”帧之后,代理用前述中介数据替换该“SPOC”字段以充实该流23;
6)服务器模块MS接收“HEADERS”帧并检测SPOC标志。服务器模块MS由此推断应当等待流23上的第一DATA帧,以便在其中发现待利用的中介数据;
7)然后,服务器模块MS接收包含经充实的SPOC消息的第一DATA帧。服务器模块MS从所述第一DATA帧中提取允许确定相关的用户和合约的标识符“userID”和“partnerID”,这允许服务器模块MS向安装在客户端模块MC上的客户端应用提供由合约规定的流服务。
类似地,响应于来自客户端模块的请求,服务器模块MS可授权代理“充实”其在流23中传送的数据帧。在这种情况下,是服务器模块MS以DATA类型帧的形式向代理传送中介请求,在所述中介请求的报头中插入有“SPOC”标志,所述“SPOC”标志使代理能获悉委派信息的存在,并且报头中还插入有“SPOC”委派字段,加密完整性检验不考虑所述“SPOC”委派字段,“SPOC”委派字段例如以下面的格式:
spoc_b2b:{
,operation:{action:‘enrich’,direction:‘response’}
,where:{stream:23,frameType:‘DATA’,index:2,number:4}
}
代理从其连接的信息系统或者从另一个源获得待插入的信息(接收的广告、阅读或播放列表……)。当代理接收来自服务器模块的DATA类型的帧时,代理检测“SPOC”标志,并从流23中提取前述“SPOC”字段。然后,代理设置确定数量的数据帧(例如4个)用于传送针对客户端模块MC的信息(例如阅读列表)。
5.2.2.代理插入网络性能信息的处理
在该第二实施例中,客户端模块(这里是终端)与服务器模块(这里是Akamai内容服务器)之间的数据流的内容被加密,并且在HTTP2连接中以数据流的形式被传送。这里,是服务器模块通过以明文的方式向代理传送中介请求来发起处理,以使代理将性能信息(服务质量、延迟)插入到随后在客户端模块与服务器模块之间创建的流中,而代理无需知道加密内容的性质和类型。
代理和服务器模块以HTTP2相连接,所交换的数据被进行了端到端的加密,客户端模块和服务器模块检测这些交换的可能的非完整性。但是,“HEADERS”类型的控制帧的内容未被加密。
代理与通信网络经营商的固定或移动接入网络的监视系统接口连接。
服务器模块向代理传送表示待执行的中介操作的中介请求,所述中介请求对应于信息插入委派,以使得对于由客户端模块MC发送的针对内容(例如电视频道)的每个新请求,代理向服务器模块传送接入网络的传输延迟(按照毫秒)。插入到实现该中介请求的数据帧中的“SPOC”字段可采取以下格式:
spoc_qoe:{
scope:{path:’akamai.com/tf1/replay/*’,method:’get’,scheme:‘http’}
,operation:{action:‘enrich’,direction:‘request’}
,information:{type:‘qos’,delay:‘ms’,bandwidth:‘kbytes’,area:‘backha
ul’}
}
插入委派涉及将来的针对一组URL的请求。
代理接收该插入委派请求,并可从数据帧中提取出SPOC字段,以便该字段不被传送到用户终端(因为否则这可能在该用户终端处产生错误)。对于由与代理连接的用户终端执行的向‘akamai.com/tf1/replay/*’的所有请求,代理存储和激活该插入委派。
然后,当客户端模块的用户终端请求访问’akamai.com/tf1/replay/*’时,其HTTP2栈传送“HEADERS”帧用于创建数据帧的流#45(任意选择的值)。在接收到针对属于前述所有标识的URL的“HEADERS”帧时(代理检查“HEADERS”字段),其为该帧创建流#45的情况,代理向所述“HEADERS”帧增加SPOC标志并向服务器模块传送如此修改的“HEADERS”帧。然后,代理询问监视系统并获得针对该特定的用户终端的接入网络的性能。代理将“SPOC”字段插入到流#45的数据帧中,该“SPOC”字段包含关于该用户终端的接入网络的性能的信息,“SPOC”字段例如按照以下格式:
{type:‘qos’,delay:20,bandwidth:1000})
服务器模块接收具有SPOC标志的HTTP2HEADERS帧。服务器模块在等待性能信息的同时识别对于所请求的内容的可用的编码级。然后,服务器模块接收包含SPOC消息(并且因而包含网络性能)的DATA帧,这允许服务器模块利用适应于所指示的性能的编码级来提供所期望的内容。
可以考虑两种实现方式:
实现方式1:
在该第一实现方式中,代理具有用于解压和分析所有接收到的HEADERS的手段。如由HTTP2规范规定的,代理将HEADERS表保持更新。因此,代理知道所交换的报头字段。
服务器模块在流#0上在具有“SPOC”标志的“HEADERS”帧中,向代理发送插入委派。然后,代理激活所述委派:代理向“HEADERS”帧添加“SPOC”标志并将该帧传送到服务器模块。代理询问网络的监视系统并将“DATA”类型的HTTP2帧插入到流#45中,所述“DATA”类型的HTTP2帧具有SPOC标志且包含关于该用户终端的接入网络的性能的信息(例如信息:{type:‘qos’,delay:20,bandwidth:1000}),该插入是在由服务器模块在流#45中发送的第一“DATA”类型帧的SPOC委派字段中进行的。
实现方式2:
在该另一实现方式中,代理不具有用于解压和分析所有HEADERS的手段。因此,代理不知道所交换的报头的字段。
在这种情况下,服务器模块接收创建流45并例如请求访问资源(“akamai.com/tf1/replay/lost/season5/episode34”)的HEADERS HTTP2帧。然后,服务器模块在流45的第一DATA类型消息(处理器模块负责在所述第一DATA类型消息中插入SPOC标志)中传送SPOC委派字段。SPOC字段可采取以下格式:
spoc_qos:{
,operation:{action:‘enrich’,direction:‘response’}
,information:{type:‘qos’,delay:‘ms’,bandwidth:‘kbytes’,area:‘backha
ul’}
}
在等待QoS信息到达的同时,服务器模块准备其处理。
代理从流45的DATA帧接收并提取来自服务器的SPOC委派字段。代理询问网络的监视系统,并将DATA类型HTTP2帧插入到去向服务器的流45中,所述DATA类型HTTP2帧具有SPOC标志并包含关于该用户终端的接入网络的性能的信息(例如信息:{type:‘qos’,delay:20,bandwidth:1000})。
服务器模块接收这些中介信息,并利用适应于所指示的性能的编码级来提供流#45的DATA帧中的内容。代理向客户端模块转发这些DATA帧。
5.2.3.对内容进行高速缓存的处理
在该第三实施方式中,客户端模块(例如终端)与服务器模块之间的数据流的内容被加密,并在HTTP2连接中以单独的流的形式被传送。
这里,是代理通过向服务器模块发送请求对内容进行高速缓存的中介委派的消息来发起过程。如果服务器模块同意该请求,则服务器模块以明文的方式向代理返回中介请求,以使得代理存储所述内容(如将在下文中看到的,来自FTP服务器模块或者传送中的内容),代理无需知道高速缓存的内容的性质或类型(代理只知道该内容的URL具有大量读者,并且因而能够受益于在代理处进行的高速缓存)。
可以考虑两种实现方式:
实现方式1:
客户端设备和服务器设备之间交换的数据流被单独加密。HEADERS消息的内容不被加密。代理设置有其具有访问权的高速缓冲存储器。代理作为后台任务测量每个URL的读者并在此基础上确定是否适于存储URL(例如http://akamai.com/lost/episode34)的内容,例如当针对该URL的请求数量超过受欢迎度的阈值时。
客户端模块在请求创建新的流#56(任意选择的值)的“HEARDES”帧中请求该URL。代理按以下SPOC字段的形式,在该帧中插入中介委派请求,用于对该内容进行高速缓存:
spoc_caching:{
operation:{action:‘caching’,direction:‘response’}
}
服务器模块接收具有SPOC标志的创建流#56的HEADERS HTTP2控制帧。服务器模块识别所请求的内容。然后,服务器模块在流#56上接收包含上述SPOC字段的DATA帧,所述DATA帧请求服务器模块委派在代理处“进行高速缓存”的操作。
如果服务器模块接受该请求,则服务器模块在流#56的第一DATA类型帧中向代理传送SPOC字段,所述SPOC字段详细描述内容的摄取和交付方式(大小、加密……),如以下所指示的:
spoc_caching:{
ingestion:{
mode:‘out-of-band’;
location:{path:‘srv3.akamai.com/JHSDFSDF35SDF’,scheme:‘ftp’}
}
}
代理从流56中提取该SPOC字段。代理对该SPOC字段进行解释,然后代理根据所指示的FTP形式的地址(在这种情况下,服务器srv3.akamai.com/JHSDFSDF35SDF)下载内容,并将所述内容存储在高速缓冲存储器中。
因此,代理可在其接收针对URL http://akamai.com/lost/episode34的新请求时直接传送内容,所述服务器模块无需重新提供该内容,并且代理无需知道该内容的性质(其仅知道URL)。从另一个服务器(这里是FTP服务器)的下载对于内容存储不是可迁的、或者从服务器模块MS传送内容很复杂的内容而言是简单的解决方案。
实现方式2:
其涉及实现方式1的变型,其中,服务器模块在流#56中提供内容,并且其中随着服务器模块向客户端模块传送内容,代理逐渐存储该内容。
在这种情况下,服务器模块在流#56的第一DATA类型帧中向代理传送SPOC字段,所述SPOC字段详细描述内容的格式及其摄取和交付方式(大小、加密……),如下面所指示的:
spoc_caching:{
ingestion:{
mode:‘in-band’;
,format:‘object’
,encryption:‘JOSE’
}
}
随着流进行上传对于可直接被高速缓存的内容而言是简单的解决方案。
上述两个SPOC字段不包含描述内容的交付方式的信息。但是,在某些情况下,服务器模块必须提供所述信息,例如,在出于选择,服务器模块提供以不同方式编码的内容(例如出于商业和合约原因,服务器模块向代理提供SD版本,而服务器模块向终端客户端模块交付HD版本)的情况下,亦或者在代理对于捕获所使用的交付方式的细节而言过于简单的情况下。例如,这涉及请求“清单(manifest)文件”的DASH方式的交付,代理甚至不了解所述清单文件。在这种情况下,加入以下字段:
delivery:{
,addon:{path:‘srv3.akamai.com/lost.txt’}
}
5.3.其他实施例和优点
参考图2,描述根据本发明的实施方式、当中介模块MI在称为中介设备的设备(诸如代理服务器之类)内时的中介模块MI。
这种中介设备包括存储器21,所述存储器21例如由缓冲存储器和例如配有微处理器的处理单元22构成。
因此,中介模块MI可以采取实施如前述的处理方法的计算机程序23的形式。初始化时,计算机程序23的代码的指令在由处理单元22执行前例如被加载到设备的存储器中。处理单元22作为输入接收表示中介请求RIM的至少一个数据。随后,处理单元22根据计算机程序23的指令实施处理方法的步骤,用于执行根据该中介请求RIM的内容以及特别是包含在该请求中的识别待执行的操作的字段而被调整的处理。
为此,实现模块MI的设备除了存储器21之外,还包括通信部件(未示出),诸如通信网络的接口之类,所述通信部件能够与客户端模块MC和服务器模块MS在流上接收和传送数据。
模块MI还可包括从借助通信网络与中介设备连接的设备获得中介数据DIM的获得部件。这些部件可以采取在设备内实现的特定处理器的形式,处理器是安全处理器或者冗余处理器。根据具体实施方式,该设备实施负责处理数据的具体应用。
现在参考图3,描述根据本发明的实施方式的客户端模块MC,在所述实施方式中该模块MC在称为客户端设备的设备(诸如终端之类的设备)内实现。尤其是,所述实施方式可以涉及安装在移动终端上的客户端应用的情况。
这种客户端设备尤其具有存储器41,所述存储器41例如由缓冲存储器和例如配有微处理器的处理单元42构成。
因此,客户端模块MC可以采取计算机程序43的形式,所述计算机程序43为针对中介模块MI的中介请求RIM以及使之在加密数据流内能够被识别的消息DEL做准备。初始化时,计算机程序43的代码的指令在随后由处理单元42执行前例如被加载到客户端设备的存储器中。
为了准备消息DEL,处理单元42在以服务器模块MS为目的地的非加密的控制流的帧内插入标志以及数据流的标识符,所述标志允许在以该服务器模块MS为目的地的加密的该数据流中识别出中介请求RIM的存在。为了准备中介请求RIM,处理单元42在运输以服务器模块MS为目的地的加密数据的数据帧的非加密部分中插入识别中介操作的字段。
客户端设备还包括通信模块(未示出),诸如通信接口之类,所述通信模块允许在通信网上经由中介模块MI与服务器模块MS交换数据。该通信模块接收由处理单元42准备的消息DEL和中介请求RIM,以将其传送向中介模块MI。
现在参考图4,描述根据本发明的实施方式的服务器模块MS,在所述实施方式中,该模块MS在称为服务器设备的设备(诸如提供内容或者服务的服务器之类)内实现。尤其是,所述实施方式可以涉及安装在服务供应商的设备上的服务器应用的情况。
这种服务器设备尤其包括存储器51,所述存储器51例如由缓冲存储器和例如配有微处理器的处理单元52构成。因此,服务器模块MS可以采取计算机程序53的形式,所述计算机程序53为针对中介模块MI的中介请求RIM以及使中介请求RIM在加密数据流内能够被识别的消息DEL做准备。初始化时,计算机程序53的代码的指令在随后由处理单元52执行前例如被加载到客户端设备的存储器中。
为了准备消息DEL,处理单元52在以客户端模块MC为目的地的非加密的控制流的帧内插入标志以及数据流的标识符,所述标志允许在以该客户端模块MC为目的地的加密的该数据流中识别出中介请求RIM的存在。为了准备中介请求RIM,处理单元52在运输以客户端模块MC为目的地的加密数据的数据帧的非加密部分中插入识别中介操作的字段。
服务器设备还包括通信模块(未示出),诸如通信接口之类,所述通信模块允许在通信网络上经由中介模块MI与客户端模块MC交换数据。该通信模块接收由处理单元52准备的消息DEL和中介请求RIM,以将其传送向中介模块MI。
当然,本发明不局限于以上所述和所示的实施例,根据这些实施例可预见其他实施方式及其他实施形式,而不超出本发明的范围。
因此,上面已经以不同设备的形式描述了客户端模块、中介模块和服务器模块。但是,这些模块中的一些模块可以安装在相同的设备上。当客户端模块是安装在(例如移动)终端上的因特网浏览器,以及中介模块是安装在该相同终端上的该浏览器的插件或者添加件(add-on)时,尤其如此。当客户端模块是安装在(例如移动)终端上的客户端应用,以及中介模块是安装在该相同的终端上的该应用的“SDK”时,也是如此。
Claims (14)
1.一种数据处理方法,所述数据处理方法在通过通信网络连接的客户端模块(MC)与服务器模块(MS)之间的中介模块(MI)内被实施,其特征在于,所述数据处理方法包括:
-接收步骤(20),从客户端模块和服务器模块之一接收中介请求(RIM),所述中介请求(RIM)识别与客户端模块(MC)和服务器模块(MS)之间交换的加密数据的流相关的要执行的中介操作;
-处理步骤(30),根据所述中介操作进行与所述加密数据相关的处理。
2.根据权利要求1所述的数据处理方法,其特征在于,中介请求(RIM)以具有第一部分和第二部分的所述流的数据帧的形式被实现,在所述第一部分中运输加密数据,所述第二部分能由中介模块读取,在所述第二部分中插入有识别待执行的中介操作的字段。
3.根据权利要求2所述的数据处理方法,其特征在于,所述数据处理方法在接收(20)中介请求之前,包括接收消息(DEL)的接收步骤(10),所述消息(DEL)识别插入有识别待执行的中介操作的字段的流的数据帧。
4.根据权利要求3所述的数据处理方法,其特征在于,所述数据处理方法借助数据的传送协议而被实施,所述传送协议除了定义传送加密数据的数据流之外,还定义能由中介模块读取的、传送消息(DEL)的控制流。
5.根据权利要求4所述的数据处理方法,其特征在于,传送协议是HTTP版本2协议。
6.根据权利要求1至5中之一所述的数据处理方法,其特征在于,中介请求的接收(20)继由中介模块向客户端模块或服务器模块传送请求中介委派的消息之后进行。
7.根据权利要求1至6中之一所述的数据处理方法,其中,待执行的中介操作是充实数据流,所述数据处理方法的特征在于,所述数据处理方法还包括获得至少一个中介数据(DIM)的获得步骤(25),以及,处理步骤(30)包括在加密数据流中向客户端模块或服务器模块(MC,MSMC)MS之一传送(31,32)所述中介数据。
8.根据权利要求1至6中之一所述的数据处理方法,其中,待执行的中介操作是存储与加密数据相关联的内容,所述数据处理方法的特征还在于,处理步骤(30)包括存储(33)由所述中介请求(RIM)识别的内容。
9.根据权利要求1至6中之一所述的数据处理方法,其中,待执行的中介操作是读取在加密数据流中传送的数据,所述数据处理方法的特征还在于,处理步骤(30)包括由中介模块在运输加密数据的流的帧内提取伴随加密数据的可读数据,以及将所述可读数据传送到网络设备,所述网络设备在网络专用的处理中使用所述可读数据。
10.根据权利要求1至6中之一所述的数据处理方法,其中,待执行的中介操作是修改在加密数据流中传送的数据,所述数据处理方法的特征还在于,处理步骤(30)包括由中介模块在运输加密数据的流的帧内修改伴随加密数据的可读数据。
11.一种数据处理的中介模块(MI),能够在通过通信网络连接的客户端模块(MC)与服务器模块(MS)之间使用,其特征在于,所述中介模块(MI)包括:
-接收部件,从客户端模块和服务器模块(MC,MS)之一接收中介请求(RIM),所述中介请求(RIM)识别与客户端模块(MC)和服务器模块(MS)之间交换的加密数据的流相关的要执行的中介操作;
-处理部件(22),根据所述中介操作进行与所述加密数据的流相关联的处理。
12.一种模块(MC,MS),被称为源模块,包括与通信网络进行通信的通信部件,用于经由位于通信网络中的中介模块(MI)向称为目的地模块的另一个模块(MS,MC)传送加密数据,其特征在于,所述模块还包括处理部件(41,51),所述处理部件能够生成中介请求(RIM),所述中介请求识别与和所述目的地模块交换的加密数据的流相关的要执行的中介操作,所述通信部件被配置用于向中介模块(MI)传送(20,20’)所述中介请求。
13.根据权利要求12所述的模块(MC,MS),其特征在于,处理部件(41,51)还能够生成消息(DEL),所述消息(DEL)识别插入有识别待执行的中介操作的字段的流的数据帧,通信部件还被配置用于向中介模块(MI)传送(10,10’)所述消息(DEL)。
14.一种计算机程序产品,所述计算机程序产品能从通信网络下载,和/或存储在由计算机和/或处理器可读的介质中,其特征在于,所述计算机程序产品包括当所述计算机程序产品在计算机和/或处理器上执行时用于执行权利要求1所述的数据处理方法的程序代码指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1460827A FR3028373A1 (fr) | 2014-11-07 | 2014-11-07 | Delegation d'intermediation sur un echange de donnees chiffrees. |
| FR1460827 | 2014-11-07 | ||
| PCT/FR2015/052910 WO2016071607A1 (fr) | 2014-11-07 | 2015-10-28 | Délégation d'intermédiation sur un échange de données chiffrées |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107113304A true CN107113304A (zh) | 2017-08-29 |
| CN107113304B CN107113304B (zh) | 2020-06-09 |
Family
ID=52824320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580070156.XA Active CN107113304B (zh) | 2014-11-07 | 2015-10-28 | 用于加密数据交换上的中介委派的方法和模块 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10924463B2 (zh) |
| EP (1) | EP3216189B1 (zh) |
| CN (1) | CN107113304B (zh) |
| FR (1) | FR3028373A1 (zh) |
| WO (1) | WO2016071607A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110622449A (zh) * | 2017-11-06 | 2019-12-27 | 网络编码代码有限责任公司 | 用于生成、发送和接收网络编码(nc)快速udp互联网连接(quic)分组的系统和技术 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018145729A1 (en) * | 2017-02-07 | 2018-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Transport layer monitoring and performance assessment for ott services |
| CN112087467A (zh) * | 2020-09-18 | 2020-12-15 | 杭州弗兰科信息安全科技有限公司 | 一种基于web系统的信息加密传输方法及系统 |
| EP4338396A2 (en) * | 2021-06-14 | 2024-03-20 | Huawei Technologies Co., Ltd. | Supporting multiple border gateway protocol (bgp) sessions using multiple quic streams |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060090074A1 (en) * | 2004-10-22 | 2006-04-27 | Kazumine Matoba | Encryption communication system |
| CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制系统及其控制方法 |
| US20070245414A1 (en) * | 2006-04-14 | 2007-10-18 | Microsoft Corporation | Proxy Authentication and Indirect Certificate Chaining |
| US20090193126A1 (en) * | 2008-01-26 | 2009-07-30 | Puneet Agarwal | Systems and methods for configuration driven rewrite of ssl vpn clientless sessions |
| CN101874383A (zh) * | 2007-04-20 | 2010-10-27 | 泰克莱克公司 | 用于在通信网络中提供服务交互和中介的系统、方法和计算机程序产品 |
| CN102890621A (zh) * | 2011-07-22 | 2013-01-23 | 弗森-艾奥公司 | 确定固态存储介质配置参数的装置、系统和方法 |
| US20130215864A1 (en) * | 2010-11-29 | 2013-08-22 | Nec Europe Ltd. | Method and base station for supporting a connection between a communication device and a destination device in a target network |
| CN103442024A (zh) * | 2013-06-21 | 2013-12-11 | 中国科学院深圳先进技术研究院 | 一种智能移动终端与云端虚拟移动终端同步的系统和方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7437550B2 (en) * | 1999-12-02 | 2008-10-14 | Ponoi Corp. | System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data |
| US8667183B1 (en) * | 2011-03-20 | 2014-03-04 | Israel L'Heureux | Server-side HTTP translator |
| US9015269B2 (en) * | 2012-06-19 | 2015-04-21 | Canon Kabushiki Kaisha | Methods and systems for notifying a server with cache information and for serving resources based on it |
| KR20140052703A (ko) * | 2012-10-25 | 2014-05-07 | 삼성전자주식회사 | 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치 |
| US9369532B2 (en) * | 2013-03-01 | 2016-06-14 | Qualcomm Incorporated | Method and apparatus for providing contextual context to a user device |
| US9584425B2 (en) * | 2013-08-20 | 2017-02-28 | Brocade Communications Systems, Inc. | Bandwidth optimization using coalesced DUP ACKs |
| US9553899B2 (en) * | 2013-08-30 | 2017-01-24 | Comcast Cable Communications, Llc | Single pass load balancing and session persistence in packet networks |
| US9992263B2 (en) * | 2014-10-10 | 2018-06-05 | Pulse Secure, Llc | Predictive prioritized server push of resources |
-
2014
- 2014-11-07 FR FR1460827A patent/FR3028373A1/fr not_active Withdrawn
-
2015
- 2015-10-28 CN CN201580070156.XA patent/CN107113304B/zh active Active
- 2015-10-28 US US15/525,187 patent/US10924463B2/en active Active
- 2015-10-28 WO PCT/FR2015/052910 patent/WO2016071607A1/fr active Application Filing
- 2015-10-28 EP EP15798518.5A patent/EP3216189B1/fr active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060090074A1 (en) * | 2004-10-22 | 2006-04-27 | Kazumine Matoba | Encryption communication system |
| CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制系统及其控制方法 |
| US20070245414A1 (en) * | 2006-04-14 | 2007-10-18 | Microsoft Corporation | Proxy Authentication and Indirect Certificate Chaining |
| CN101874383A (zh) * | 2007-04-20 | 2010-10-27 | 泰克莱克公司 | 用于在通信网络中提供服务交互和中介的系统、方法和计算机程序产品 |
| US20090193126A1 (en) * | 2008-01-26 | 2009-07-30 | Puneet Agarwal | Systems and methods for configuration driven rewrite of ssl vpn clientless sessions |
| US20130215864A1 (en) * | 2010-11-29 | 2013-08-22 | Nec Europe Ltd. | Method and base station for supporting a connection between a communication device and a destination device in a target network |
| CN102890621A (zh) * | 2011-07-22 | 2013-01-23 | 弗森-艾奥公司 | 确定固态存储介质配置参数的装置、系统和方法 |
| CN103442024A (zh) * | 2013-06-21 | 2013-12-11 | 中国科学院深圳先进技术研究院 | 一种智能移动终端与云端虚拟移动终端同步的系统和方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110622449A (zh) * | 2017-11-06 | 2019-12-27 | 网络编码代码有限责任公司 | 用于生成、发送和接收网络编码(nc)快速udp互联网连接(quic)分组的系统和技术 |
| CN110622449B (zh) * | 2017-11-06 | 2023-04-28 | 网络编码代码有限责任公司 | 用于处理网络编码分组的系统和技术 |
Also Published As
| Publication number | Publication date |
|---|---|
| FR3028373A1 (fr) | 2016-05-13 |
| EP3216189A1 (fr) | 2017-09-13 |
| US10924463B2 (en) | 2021-02-16 |
| US20180288017A1 (en) | 2018-10-04 |
| WO2016071607A1 (fr) | 2016-05-12 |
| EP3216189B1 (fr) | 2020-12-02 |
| CN107113304B (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11848961B2 (en) | HTTPS request enrichment | |
| US11252071B2 (en) | Sandbox environment for testing integration between a content provider origin and a content delivery network | |
| CN101300806B (zh) | 用于处理安全传输的系统和方法 | |
| CN101322108A (zh) | 代理终端、服务器装置、代理终端的通信路径设定方法以及服务器装置的通信路径设定方法 | |
| JP4047303B2 (ja) | 提供装置、提供プログラム、及び、提供方法 | |
| US20070124477A1 (en) | Load Balancing System | |
| CN102546562A (zh) | 在web中传输数据时进行加解密的方法及系统 | |
| CN107113304A (zh) | 加密数据交换上的中介委派 | |
| US11671413B2 (en) | Caching content securely within an edge environment, with pre-positioning | |
| CN113169937A (zh) | 用户数据业务处理 | |
| US20150263859A1 (en) | Method and system for accommodating communications channels using different secure communications protocols | |
| US20230370435A1 (en) | Methods, systems, and computer readable media for processing quic communications in a network | |
| CN106031097A (zh) | 业务处理方法及装置 | |
| JP4700473B2 (ja) | データ通信方法 | |
| US20170244680A1 (en) | Caching content securely within an edge environment | |
| CN106355101B (zh) | 一种面向简易存储服务的透明文件加解密系统及其方法 | |
| CN112470438B (zh) | 用于发现中间功能和选择两个通信装置之间的路径的方法 | |
| KR101919762B1 (ko) | 암호화 트래픽의 복호화를 위한 암호화 트래픽 관리장치 및 그 방법 | |
| Tankovic et al. | Performance Analysis of ETSI GS QKD 014 Protocol in 5G/6G Networks | |
| Nainar et al. | Capturing Secured Application Traffic for Analysis | |
| Weistrand et al. | Security-performance tradeoffs in HTTPS implementations of browsers | |
| CN116723238A (zh) | 一种基于中间人代理的api加密流量采集与标注方法 | |
| CN116055475A (zh) | 一种旁路监听https的检测方法及装置 | |
| CN117879932A (zh) | 加密流量检测方法及装置、存储介质、终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |