CN111355695A - 一种安全代理方法和装置 - Google Patents
一种安全代理方法和装置 Download PDFInfo
- Publication number
- CN111355695A CN111355695A CN201811584572.3A CN201811584572A CN111355695A CN 111355695 A CN111355695 A CN 111355695A CN 201811584572 A CN201811584572 A CN 201811584572A CN 111355695 A CN111355695 A CN 111355695A
- Authority
- CN
- China
- Prior art keywords
- terminal
- data
- platform
- identification information
- udp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全代理方法和装置,用以解决现有技术中UDP数据不能安全可靠传输的问题。方法包括:安全代理平台基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。安全代理平台实现了对UDP流量的安全代理。
Description
技术领域
本发明涉及流量安全技术领域,特别涉及一种安全代理方法和装置。
背景技术
在传统网络的应用中,用户数据报协议(User Datagram Protocol,UDP)一直占据着大量市场,在游戏、视频传输等对传输速度要求较高的领域一直保持着巨大优势。并且随着物联网应用井喷式的发展,由于物联网设备中大多数设备均使用UDP作为通信协议,UDP将会越来越多的得到重用。
UDP有无连接、不需要维持收发包次序及不需要维护滑动窗口等优点,使用UDP传输数据,过程简单,传输时延更低。由于UDP是面向无连接的协议,且不对传输的报文段进行加密,不能保证通信双方的身份认证。在安全越来越被重视的今天,如何实现UDP数据的安全可靠的传输,是被重视的问题。
发明内容
本发明实施例公开了一种安全代理方法和装置,用以解决现有技术中UDP数据包不能安全可靠传输的问题。
为达到上述目的,本发明实施例公开了一种安全代理方法,所述方法包括:
安全代理平台基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;
接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;
对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;
确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
进一步地,安全代理平台确定所述第一终端对应的第一中继客户端,包括:
安全代理平台根据预先保存的每个终端的标识信息对应的中继客户端,确定是否存在有所述第一终端的第二标识信息对应的中继客户端;
如果是,则将当前存在的第二标识信息对应的中继客户端,确定为所述第一终端对应的第一中继客户端;
如果否,则根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端;
其中,一个终端的标识信息对应一个中继客户端。
进一步地,如果第一终端采用与安全代理平台协商出的预共享密钥PSK对第一终端待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据;
安全代理平台对密文数据进行解密,包括:
安全代理平台根据第一终端的第二标识信息,从云端数据库中获取与第一终端协商出的PSK,采用所述PSK对密文数据进行解密。
进一步地,在根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端之后,在通过所述第一中继客户端将所述业务数据发送给所述第一标识信息的业务平台之前,还包括:
确定是否存在针对其它终端创建的中继客户端;
如果是,则识别管理已创建的中继客户端的REACTOR,将第一中继客户端注册到所述REACTOR上。
进一步地,安全代理平台在基于UDP与第一终端建立socks5的认证连接之后,在接收第一终端发送的第一数据包之前,还包括:
安全代理平台与第一终端建立DTLS握手连接。
进一步地,安全代理平台与第一终端建立DTLS握手连接,包括:
安全代理平台识别在基于UDP与第一终端建立流量安全代理认证连接时采用的第一端口,根据所述第一端口与第一终端建立数据包传输层安全性协议DTLS握手连接。
进一步地,第一数据包包括:DTLS包头部分和数据部分,其中,数据部分包括密文数据,数据部分采用socks5协议中UDP数据包的封装格式进行封装。
本发明实施例公开了一种安全代理装置,所述装置包括:
安全认证模块,用于基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;
数据交互模块,用于接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
本发明实施例公开了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-7任一项所述方法的步骤。
本发明实施例公开了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1-7任一项所述方法的步骤。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全代理系统示意图;
图2为本发明实施例提供的一种安全代理过程示意图;
图3为本发明实施例提供的一种安全代理过程示意图;
图4为本发明实施例提供的一种安全代理装置结构示意图;
图5为本发明实施例提供的一种电子设备;
图6为本发明实施例提供的一种电子设备。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,在终端在与业务平台进行UDP数据交互时,可以通过安全代理平台对UDP数据进行代理,也就是终端通过安全代理平台,基于UDP向业务平台发送业务数据。
安全代理平台属于物联网安全平台(Security Enabled Platform,SEP),SEP主要是针对物联网设备提供设备注册、密钥协商、派生密钥协商、token生成及校验、安全通道、漏洞扫描、威胁分析等功能,其中,安全通道功能即是对UDP流量的安全代理。为了方便描述,本申请中仅以终端代表物联网设备,实际上物联网设备包括但不限于终端,理论上所有的物联网设备均适用于本申请的技术方案。
如图1所示的安全代理系统示意图,在安全代理系统中,具体包括物联网设备11,安全代理平台12,业务平台13。如图1所示,物联网设备可以是Client1和Client2,业务平台可以是ThiedServer-1和ThiedServer-2。物联网设备11与安全代理平台12建立安全通道,物理网设备11对待发送给业务平台13的业务数据以及业务平台的地址进行加密,得到密文数据,将加密后的密文数据通过安全通道发送给安全代理平台12。物联网设备在对明文数据进行加密时,可以采用自身的安全模组或SDK安全组件进行加密保护。
安全代理平台12对密文数据进行解密,由中继客户端(Relay Client)将解密后的业务数据转发到对应的业务平台。这样就保护了物联网设备发出的UDP数据不被截获篡改,即实现了对应UDP流量的安全代理。
需要注意的是,这里的业务平台理论上可以是任何能够收发UDP数据的平台,例如中国移动物联网公司的OneNet平台。
需要说明的是:本申请提案中安全代理平台属于物联网安全平台中的一部分,而物联网安全平台分为物联网设备的设备注册、密钥协商、派生密钥协商、token生成、安全通道、威胁分析、漏洞检测等一系列的功能,安全代理平台仅是针对安全通道部分功能,故在本申请中,可假定安全通道之前的其他各个过程均已正常完成。
图2为本发明实施例提供的一种安全代理的过程示意图,该过程包括以下步骤:
S201:安全代理平台基于UDP与第一终端建立流量安全代理认证连接。
本发明实施例提供的安全代理方法应用于安全代理平台。
终端要想通过安全代理平台对UDP流量进行安全代理,也就是通过安全代理平台基于UDP转发业务数据,终端需要先与安全代理平台建立安全通道,在建立安全通道后,终端通过安全通道将UDP数据发送给安全代理平台,由安全代理平台将业务数据转发给业务平台。
终端在与安全代理平台建立安全通道时,可以是终端与安全代理平台之间建立流量安全代理认证连接。终端与安全代理平台建立流量安全代理认证连接时,可以是基于UDP进行建立的。本申请中的安全代理方法适用与任一终端,也就是第一终端为任一终端。
安全代理平台与第一终端建立流量安全代理认证连接,可以是安全代理平台与第一终端建立socks认证连接,具体的建立socks5认证连接,安全代理平台与第一终端建立socks5认证连接的过程可参见图3中的步骤1-4。
第一终端基于UDP与安全代理平台建立流量安全代理认证连接,第一终端可以对待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据,第一终端生成包含该密文数据的第一数据包,并基于UDP将第一数据包发送给安全代理平台。
S202:接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的。
S203:对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息。
安全代理平台在接收到第一终端发送的第一数据包后,可以对第一数据包中的密文数据进行解密,在第一终端为合法的终端的前提下,由于第一终端是对待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据,则安全代理平台在解密后得到的明文数据为第一终端待发送给业务平台的业务数据,以及业务平台的标识信息,将解密得到的业务平台的标识信息称为第一标识信息。
S204:确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
安全代理平台在解析出业务数据,以及业务平台的第一标识信息后,可以确定第一终端对应的中继客户端,安全代理平台通过第一中继客户端将业务数据发送给第一标识信息的业务平台。中继客户端在将业务数据发送给业务平台时,可以是基于UDP发送的,也就是中继客户端向业务平台发送携带业务数据的UDP数据包。
以第一终端为执行主体,提出了一种安全代理方法,所述方法包括:
第一终端基于UDP与安全代理平台建立流量安全代理认证连接;
对待发送给业务平台的业务数据和业务平台的第一标识信息进行加密,得到密文数据;
生成携带有所述密文数据的第一数据包,并基于UDP将所述第一数据包发送给安全代理平台,使安全代理平台对所述密文数据解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
由于在本发明实施例中,第一终端将业务数据加密后,基于UDP将密文数据发送给安全代理平台,由安全代理平台解密后,基于UDP将业务数据转发给业务平台,安全代理平台实现了对UDP流量的安全代理。
在一种可能实施的方式中,安全代理平台确定所述第一终端对应的第一中继客户端,包括:
安全代理平台根据预先保存的每个终端的标识信息对应的中继客户端,确定是否存在有所述第一终端的第二标识信息对应的中继客户端;
如果是,则将当前存在的第二标识信息对应的中继客户端,确定为所述第一终端对应的第一中继客户端;
如果否,则根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端;
其中,一个终端的标识信息对应一个中继客户端。
在本发明实施例中,安全代理平台可以针对每个终端创建用于转发该终端的业务数据的中继客户端。安全代理平台在针对某个终端创建了对应的中继客户端后,可以针对该中继客户端保存终端的标识信息,一个终端的标识信息对应的一个中继客户端,可以理解为中继客户端与终端一一对应。
将第一终端的标识信息称为第二标识信息。安全代理平台在确定第一终端的对应的第一中继客户端时,可以是先根据预先保存的每个终端的标识信息对应的中继客户端,确定是否存在第一终端的第二标识信息对应的中继客户端。如果存在第二标识信息对应的中继客户端,则可以将该第二标识信息对应的中继客户端确定为第一终端对应的第一中继客户端。如果当前不存在第一终端的第二标识信息对应的中继客户端,安全代理平台可以创建该第一终端对应的第一中继客户端。在创建第一终端对应的第一中继客户端时,可以是根据第一终端的第二标识信息进行创建的,具体的创建过程属于现有技术,在本发明实施例中不进行赘述。
中继客户端在将业务数据转发给业务平台时,可以携带终端的标识信息,业务平台将回复给终端的数据发送给业务平台时,也可以携带终端的标识信息,这样即使多个终端对应的一个中继客户端,中继客户端也可以将业务平台回复的信息发送给正确的终端。
一般情况下,中继客户端在将业务数据转发给业务平台时,不携带终端的标识信息,业务平台不知道是哪个终端发送的业务数据,仅知道是哪个业务平台发送的业务数据,业务平台在将回复给终端的数据发送给业务平台时,也不携带终端的标识信息。如果多个终端对应的一个中继客户端,则中继客户端在接收到业务平台回复给终端的数据时,不知道要将这些数据发送给哪个终端。
基于一个终端对应的一个中继客户端,也就是一个终端的标识信息对应一个中继客户端,对于业务平台开发者来说,在获得了安全保护的同时,他们完全无需改动已有代码和流程,因为流量的加密和解密是由我们终端的安全模组或SDK安全组件和安全代理平台之间完成的。这样即可方便快捷的实现终端与业务平台多对多(N:N)的安全数据传输。
在一种可能实施的方式中,第一终端与安全代理平台在建立流量安全代理认证连接之前,一般会协商出用于对数据进行加密的预共享密钥(pre-sharedkey,PSK),第一终端在对待发送给业务平台的业务数据和业务平台的第一标识信息进行加密,得到密文数据时,可以是第一终端采用与安全代理平台协商出的预共享密钥PSK对第一终端待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据。第一终端在与安全代理平台协商出PSK密钥后,可以将协商出的PSK保存在第一终端本地,也可以保存在云端数据库中,如果保存在云端数据库中,可以是保存PSK与第一终端的第二标识信息的对应关系,则第一终端在获取PSK密钥进行加密时,可以识别本地保存的PSK,也可以是根据第一终端第二标识信息,从云端数据库中获取与安全代理平台协商出的PSK。
对应的,安全代理平台对密文数据进行解密时,可以是安全代理平台采用与终端协商出的PSK对密文数据进行解密。
PSK可以保存在安全代理平台本地,也可以保存在云端数据库中,如果保存在云端数据库中,可以是保存PSK与第一终端的第二标识信息的对应关系,则安全代理平台可以根据第一终端的第二标识信息,从云端数据库中获取与第一终端协商出的PSK,采用所述PSK对密文数据进行解密。
云端数据库的类型可以是非关系型数据库,非关系型数据库具有读写速度快并发量大等优点,PSK存储到数据库可以进一步提高安全代理平台的安全性。
在一种可能实施的方式中,中继客户端在创建后,还可以将该中继客户端注册到REACTOR上,以便REACTOR对中继客户端进行管理。安全代理平台在根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端之后,在通过所述第一中继客户端将所述业务数据发送给所述第一标识信息的业务平台之前,还可以确定是否存在针对其它终端创建的中继客户端;如果是,则识别管理已创建的中继客户端的REACTOR,将第一中继客户端注册到所述REACTOR上。
中继客户端的创建使用netty技术,将所有中继客户端均注册到同一个REACTOR(此为netty技术中术语)上,这样即使大量的终端需要中继客户端转发数据包,对平台侧的性能消耗也在较低的程度,可以极大提升安全代理平台的并发性能。
在一种可能实施的方式中,第一终端在基于UDP与安全代理平台建立流量安全代理认证连接之后,在向安全代理平台发送携带密文数据的第一数据包之前,第一终端可以与安全代理平台建立数据包传输层安全性协议(Datagram Transport Layer Security,DTLS)握手连接。
对应的,安全代理平台在基于UDP与第一终端建立socks5的认证连接之后,在接收第一终端发送的第一数据包之前,还包括:
安全代理平台与第一终端建立DTLS握手连接。
安全代理平台与第一终端建立DTLS握手连接的具体过程可参见图3中的步骤5-7。
通常,DTLS握手连接过程与流量安全代理认证连接过程是两个不同的过程,会占用安全代理平台的两个端口。
为了提高安全代理平台的性能,第一终端与安全代理平台建立DTLS握手连接时,可以占用安全代理平台的第一个端口。可以是第一终端识别在基于UDP与安全代理平台建立流量安全代理认证连接时,安全代理平台采用的第一端口,根据所述第一端口与安全代理平台建立DTLS握手连接。
对应的,安全代理平台与第一终端建立DTLS握手连接时,可以是安全代理平台识别在基于UDP与第一终端建立流量安全代理认证连接时采用的第一端口,根据所述第一端口与第一终端建立DTLS握手连接。
平台侧只开启一个端口服务众多终端设备的设计,不仅提高了平台侧的性能,而且一个端口的服务也更便于做集群化部署,增大了本申请提案的实用性。
由于本申请提案将socks5和DTLS创新的设计为一套适合UDP流量的安全代理协议,所以不仅做到了安全可靠的代理UDP流量,而且由于将socks5和DTLS做到了一个整体,这样安全代理平台只需开启一个端口即可服务大量终端设备,并且可以使用同一套线程池,线程模型得到大幅度优化,对于安全代理平台的性能是一种极大的提升。
在本申请提案中,socks5连接完成后,并不会立马创建中继客户端转发第一终端的消息,而是会等到DTLS握手完成后第一次收到第一终端发送的加密数据时才会判断有无第一终端对应的中继客户端,如果没有,才会创建第一终端对应的中继客户端,使第一终端对应的中继客户端转发第一终端待发送给业务平台的业务数据。这样做避免了DTLS握手不成功,依然创建中继客户端的问题,减小了平台侧不必要的开销,进一步提高了平台侧性能。
在一种可能实施的方式中,第一终端向安全代理平台发送的第一数据包可以包括:DTLS包头部分和数据部分,其中,数据部分包括密文数据,数据部分采用socks5协议中UDP数据包的封装格式进行封装。
终端发送被加密的数据到安全代理平台,该数据包有特定的格式以适应本申请提出UDP流量安全代理的要求,数据包的格式如下:
其中,加密的DATA是按照标准的socks5协议中的UDP数据格式封装,格式如下:
RSV | FRAG | ATYP | DST.ADDR | DST.PORT | DATA |
2 | 1 | 1 | Variable | 2 | Variable |
其中,RSV为保留字段Reserved,其长度为2,该保留字段为全0,X'0000',其中,X代表16进制。
FRAG为分片指示(Current fragment number)是否数据报分段重组标志为0表示该数据报文是独立的不需要重新组合,其他的表示特定的序列号,以利于UDP报文整合。
ATYP为地址类型(address type of following address);
IPV4address:X'01';
DOMAINNAME:X'03';
IPV6address:X'04';
DST.ADDR为平台地址(desired destination address);
DST.PORT为业务平台UDP端口(desired destination port);
DATA为终端发送给业务平台的真实数据(realy data)。
如图3所示的安全代理过程示意图:其中步骤1-4,为第一终端与安全代理平台基于UDP建立socks5认证连接的过程:
步骤1:第一终端向安全代理平台发送socks5认证方法请求包。
具体的,第一终端基于UDP向安全代理平台发送第二数据包,所述第二数据包中携带有第一终端支持的至少一种socks5认证方法。
Socks5标准协议中规定的认证方法包括:无需身份认证NO AUTHENTICATIONREQUIRED、GSSAPI、用户/密码型
USERNAME/PASSWORD、为私有方法保留的IANA ASSIGNED、RESERVED FOR PRIVATEMETHODS、不可接受的方法NO ACCEPTABLE METHODS。
第一终端基于UDP向安全代理平台发送第二数据包可以理解为第一终端向安全代理平台发送UDP数据包,可以称为第二UDP数据包,该第二UDP数据包中包括第一终端支持的上述描述的socks5认证方法中的至少一种socks5认证方法。
本申请中的基于UDP发送的数据包,可以理解为发送的数据包为UDP数据包。
步骤2:安全代理平台向第一终端返回选定的socks5认证方法。
具体的,安全代理平台在第一终端发送的至少一种socks5认证方法中选择安全代理平台支持的目标socks5认证方法;并将所述socks5目标认证方法携带在第三数据包中发送给第一终端,以及保存第一终端的状态为已完成socks5认证方法选择。
安全代理平台接收第一终端基于UDP发送的第二数据包,并解析出第二数据包中携带的第一终端支持的至少一种socks5认证方法。安全代理平台可以在第二数据包中携带的至少一种socks5认证方法中选择出安全代理平台支持的socks5认证方法,将安全代理平台选择出的socks5认证方法称为目标socks5认证方法。
在本申请中,安全代理平台一般可以选择以下认证方法:无需身份认证NOAUTHENTICATION REQUIRED、GSSAPI、用户/密码型USERNAME/PASSWORD、不可接受的方法NOACCEPTABLE METHODS。
安全代理平台在选择了目标socks5认证方法后,可以生成携带该目标socks5认证方法的第三数据包,并将该第三数据包发送给第一终端,也就是告知第一终端,安全代理平台选择的socks5认证方法。
安全代理平台还可以记录第一终端的状态,终端的状态可以是已完成socks5认证方法选择,未完成socks5认证方法选择。安全代理平台在选择出了目标socks5认证方法后,可以记录第一终端的状态为已完成socks5认证方法选择,其中已完成或未完成可以理解为安全代理平台是否已完成或未完成。安全代理平台在记录终端的状态时,可以是针对终端的标识信息进行记录的,终端的标识信息可以为终端的IP地址。
安全代理平台可以针对选择的目标socks5认证方法做相应处理,例如,选择的目标socks5认证方法为用户/密码型USERNAME/PASSWORD,第一终端可以向安全代理平台发送用户名和密码,安全代理平台接收第一终端发送的用户名和密码。安全代理平台中针对每个终端保存有用户名和密码,安全代理平台在接收到第一终端发送的用户名和密码后,可以将其与预先保存的该第一终端的用户名和密码进行匹配,若匹配成功,则可以保存第一终端的状态为已完成socks认证连接。
较优的,安全代理平台选择的目标socks5认证方法可以为无需身份认证NOAUTHENTICATION REQUIRED,安全代理平台在将选择的无需身份认证NO AUTHENTICATIONREQUIRED的认证方法发送给第一终端时,就可以保存第一终端的状态为已完成socks认证连接。
安全代理平台只有完成SOKCS5方法选择后才能进行socks5连接命令。
步骤3:第一终端向安全代理平台发送socks5连接请求包。
具体的,第一终端基于UDP向安全代理平台发送第四数据包,所述第四数据包中携带有第一终端支持的socks5连接方法。
第一终端在接收到安全代理平台发送的目标socks5认证方法后,可以向安全代理平台发送第一终端支持的socks5连接方法。
当然也可以第一终端在未接收到安全代理平台发送的目标socks5认证方法时,安全代理平台发送第一终端支持的socks5连接方法。
socks5连接方法包括:连接CONNECT、绑定BIND、UDP关联UDP ASSOCIATE,其中,UDP关联UDP ASSOCIATE请求是用于在对UDP服务做代理时的选择,在本申请中,第一终端可以携带socks5连接方法可以是UDP关联UDP ASSOCIATE。
步骤4:安全代理平台向第一终端返回socks5连接确认包。
具体的,安全代理平台判断该第一终端的状态是否为已完成socks5认证方法选择;
如果是,则根据第四数据包中携带的socks5连接方法,建立与第一终端的socks5连接,并基于UDP向第一终端发送已建立socks5连接的第五数据包;
如果否,则保存该第四数据包,并按照预设的时间间隔确定第一终端的状态是否为已完成socks5认证方法选择,直至判断结果为是时,则根据第四数据包中携带的socks5连接方法,建立与第一终端的socks5连接,并基于UDP向第一终端发送已建立socks5连接的第五数据包。
安全代理平台在接收到第一终端发送的socks5连接方法后,可以根据预先保存的每个终端的状态,确定第一终端的状态是否为已完成socks5认证方法选择,如果第一终端的状态为已完成socks5认证方法选择。安全代理平台可以根据第四数据包中携带的socks5连接方法,建立与第一终端的socks5连接。并基于UDP向第一终端发送已建立socks5连接的第五数据包。
安全代理平台根据第一终端的地址判断是否完成了socks5认证方法选择,如若完成了认证方法选择,则对收到的第四数据包进行解析处理,提取用于建立连接的信息,与第一终端建立socks5连接,连接完成后回复第一终端socks5连接完成,否则将该第四数据包存储起来,等到socks5认证方法选择完成后再回复终端socks5连接完成。将第四数据包存储起来的操作不属于socks5标准协议的内容,这样做是为了应对UDP数据包乱序到达的情况,存储乱序包的操作是为了即使不被期待的包提前收到也会得到正确的处理。
在第一终端与安全代理平台进行socks5认证连接的过程中,可以对于每个UDP数据包都有重传机制,安全代理平台在初始化时可以启动一个定时器,每次发送UDP数据包后开启计时,如果超过一定时间后仍没收到回复的消息,则对当前已发送的UDP数据包进行重发,安全代理平台还可以设置重发次数,当到达重发次数后,仍没有收到回复消息,可以认为暂时无法与第一终端进行socks5的认证连接过程。
定时重发的方式可以最大限度的保证数据的准确可靠。第一终端特可以启动定时器,进行数据包的重传。
参见步骤5-7,为第一终端与安全代理平台建立DTLS握手连接的过程:
步骤5:第一终端向安全代理平台发送DTLS握手包。
具体的可以是第一终端向安全代理平台发送不带cookie的hello请求。
需要说明的是,第一终端发送DTLS握手包的目的端口依然是之前socks5认证连接的目标端口,这样保证了平台侧只需开启一个端口的需求。
该DTLS握手包中携带第一终端生成的随机数。
步骤6:安全代理平台回复带cookie的握手请求。
安全代理平台根据第一终端发送的随机数,生成cookie,并向第一终端发送携带cookie的握手请求。
步骤7:DTLS握手连接完成。
第一终端在接收到安全代理平台回复的携带cookie的握手请求后,第一终端再次向安全代理平台发送携带所述cookie的hello请求。开始正式的握手过程。
这样处理的作用是为了预防安全代理平台受到资源消耗攻击和放大攻击等威胁,进一步保障了安全代理平台的安全。DTLS数据包也受到重发机制的保护,保障了DTLS数据包的准确可靠。
步骤8:第一终端向安全代理平台发送携带业务数据和业务平台的地址信息的加密数据包。
步骤9:安全代理平台解密数据包,给第一终端对应的中继客户端。
步骤10:安全代理平台通过第一终端对应的中继客户端将该业务数据转发给业务平台。
步骤11、业务平台回复数据给中继客户端。
步骤10和步骤11为基于UDP进行数据传输的。
步骤12、安全代理平台根据接收回复数据的中继客户端,确定出终端的地址。
步骤13:将回复的数据包经过DTLS加密后,发送给对应的终端。
安全代理平台对数据包的收发以及中继客户端对数据包的收发均使用netty的NIO,使数据包的收发不再阻塞,也极大的减小了数据包收发的时延。
因为安全代理平台资源是有限的,所以如果终端长期不活动,也没有主动关闭连接,则安全代理平台可能认为终端已经断线(如掉电、重启),而关闭本次连接。本申请提案中可以使用Keepalives(双方定时收发HELLO和ACK)机制进行定时保活。
虽然本申请提案现在是应用在物联网安全平台中,但是本申请提案设计的UDP流量安全代理平台是可以应用于一切UDP通信的情况,所以对于其他需要安全代理UDP流量的地方也完全满足要求。
基于与上述的安全代理方法的同一发明构思,图4为本发明实施例提供的一种安全代理装置结构图,该安全代理装置可以是安全代理平台,该装置包括:
安全认证模块41,用于基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;
数据交互模块42,用于接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
进一步地,所述数据交互模块42,具体用于根据预先保存的每个终端的标识信息对应的中继客户端,确定是否存在有所述第一终端的第二标识信息对应的中继客户端;
如果是,则将当前存在的第二标识信息对应的中继客户端,确定为所述第一终端对应的第一中继客户端;
如果否,则根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端;
其中,一个终端的标识信息对应一个中继客户端。
进一步地,如果第一终端采用与安全代理平台协商出的预共享密钥PSK对第一终端待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据;
所述数据交互模块42,具体用于根据第一终端的第二标识信息,从云端数据库中获取与第一终端协商出的PSK,采用所述PSK对密文数据进行解密。
进一步地,所述数据交互模块42,具体用于在根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端之后,在通过所述第一中继客户端将所述业务数据发送给所述第一标识信息的业务平台之前,确定是否存在针对其它终端创建的中继客户端;
如果是,则识别管理已创建的中继客户端的REACTOR,将第一中继客户端注册到所述REACTOR上。
进一步地,所述安全认证模块41,用于在基于UDP与第一终端建立socks5的认证连接之后,与第一终端建立DTLS握手连接。
进一步地,所述安全认证模块41,具体用于安全代理平台识别在基于UDP与第一终端建立流量安全代理认证连接时采用的第一端口,根据所述第一端口与第一终端建立数据包传输层安全性协议DTLS握手连接。
基于与上述的安全代理方法的同一发明构思,本发明实施例提供的一种安全代理装置结构图,该安全代理装置可以是第一终端,该装置包括:
安全认证模块,用于基于UDP与安全代理平台建立流量安全代理认证连接;
数据交互模块,用于对待发送给业务平台的业务数据和业务平台的第一标识信息进行加密,得到密文数据;生成携带有所述密文数据的第一数据包,并基于UDP将所述第一数据包发送给安全代理平台,使安全代理平台对所述密文数据解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
基于与上述的安全代理方法的同一发明构思,图5为本发明实施例提供的一种电子设备,该电子设备包括:处理器51、存储器52和收发机53;
在图5中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器51代表的一个或多个处理器51和存储器52代表的存储器52的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。处理器51负责管理总线架构和通常的处理,存储器52可以存储处理器51在执行操作时所使用的数据。收发机53可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
可选的,处理器51可以是CPU(中央处埋器)、ASIC(Application SpecificIntegrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)。
所述处理器51,用于读取所述存储器52中的程序,执行下列过程:
基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;
控制收发机53接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;
并对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;
确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
所述处理器51,具体用于根据预先保存的每个终端的标识信息对应的中继客户端,确定是否存在有所述第一终端的第二标识信息对应的中继客户端;
如果是,则将当前存在的第二标识信息对应的中继客户端,确定为所述第一终端对应的第一中继客户端;
如果否,则根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端;
其中,一个终端的标识信息对应一个中继客户端。
进一步地,如果第一终端采用与安全代理平台协商出的预共享密钥PSK对第一终端待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据;
所述处理器51,具体用于根据第一终端的第二标识信息,从云端数据库中获取与第一终端协商出的PSK,采用所述PSK对密文数据进行解密。
所述处理器51,具体用于,在根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端之后,在通过所述第一中继客户端将所述业务数据发送给所述第一标识信息的业务平台之前,确定是否存在针对其它终端创建的中继客户端;
如果是,则识别管理已创建的中继客户端的REACTOR,将第一中继客户端注册到所述REACTOR上。
所述处理器51,具体用于在基于UDP与第一终端建立socks5的认证连接之后,在接收第一终端发送的第一数据包之前,与第一终端建立DTLS握手连接。
所述处理器51,具体用于识别在基于UDP与第一终端建立流量安全代理认证连接时采用的第一端口,根据所述第一端口与第一终端建立数据包传输层安全性协议DTLS握手连接。
或者,
所述处理器51,用于读取所述存储器52中的程序,执行下列过程:基于UDP与安全代理平台建立流量安全代理认证连接;
并对待发送给业务平台的业务数据和业务平台的第一标识信息进行加密,得到密文数据;生成携带有所述密文数据的第一数据包,并控制收发机53基于UDP将所述第一数据包发送给安全代理平台,使安全代理平台对所述密文数据解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
基于与上述请求处理方法的同一发明构思,如图6所示,本发明实施例提供了一种电子设备,包括:处理器61、通信接口62、存储器63和通信总线64,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述安全代理方法中任一项所述方法的步骤。
上述各实施例中的电子设备提到的通信总线可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(ExtendedIndustry Standard Architecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口,用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
基于与上述请求处理方法的同一发明构思,本发明实施例提供了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述安全代理方法中任一项所述方法的步骤。
上述实施例中的计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD)等。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者一个操作与另一个实体或者另一个操作区分开来,而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全应用实施例、或结合应用和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种安全代理方法,其特征在于,所述方法包括:
安全代理平台基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;
接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;
对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;
确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
2.如权利要求1所述的方法,其特征在于,安全代理平台确定所述第一终端对应的第一中继客户端,包括:
安全代理平台根据预先保存的每个终端的标识信息对应的中继客户端,确定是否存在有所述第一终端的第二标识信息对应的中继客户端;
如果是,则将当前存在的第二标识信息对应的中继客户端,确定为所述第一终端对应的第一中继客户端;
如果否,则根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端;
其中,一个终端的标识信息对应一个中继客户端。
3.如权利要求2所述的方法,其特征在于,如果第一终端采用与安全代理平台协商出的预共享密钥PSK对第一终端待发送给业务平台的业务数据和业务平台的标识信息进行加密,得到密文数据;
安全代理平台对密文数据进行解密,包括:
安全代理平台根据第一终端的第二标识信息,从云端数据库中获取与第一终端协商出的PSK,采用所述PSK对密文数据进行解密。
4.如权利要求2所述的方法,其特征在于,在根据所述第一终端的第二标识信息,创建所述第一终端对应的第一中继客户端之后,在通过所述第一中继客户端将所述业务数据发送给所述第一标识信息的业务平台之前,还包括:
确定是否存在针对其它终端创建的中继客户端;
如果是,则识别管理已创建的中继客户端的REACTOR,将第一中继客户端注册到所述REACTOR上。
5.如权利要求2所述的方法,其特征在于,安全代理平台在基于UDP与第一终端建立socks5的认证连接之后,在接收第一终端发送的第一数据包之前,还包括:
安全代理平台与第一终端建立DTLS握手连接。
6.如权利要求5所述的方法,其特征在于,安全代理平台与第一终端建立DTLS握手连接,包括:
安全代理平台识别在基于UDP与第一终端建立流量安全代理认证连接时采用的第一端口,根据所述第一端口与第一终端建立数据包传输层安全性协议DTLS握手连接。
7.如权利要求6所述的方法,其特征在于,第一数据包包括:DTLS包头部分和数据部分,其中,数据部分包括密文数据,数据部分采用socks5协议中UDP数据包的封装格式进行封装。
8.一种安全代理装置,其特征在于,所述装置包括:
安全认证模块,用于基于用户数据报协议UDP与第一终端建立流量安全代理认证连接;
数据交互模块,用于接收第一终端基于UDP发送的第一数据包,所述第一数据包中携带有密文数据,所述密文数据为第一终端对待发送给业务平台的业务数据和业务平台的标识信息加密得到的;对所述密文数据进行解密,得到第一终端待发送给业务平台的业务数据,以及业务平台的第一标识信息;确定所述第一终端对应的第一中继客户端,并通过所述第一中继客户端基于UDP将所述业务数据发送给所述第一标识信息的业务平台。
9.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-7任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1-7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811584572.3A CN111355695B (zh) | 2018-12-24 | 2018-12-24 | 一种安全代理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811584572.3A CN111355695B (zh) | 2018-12-24 | 2018-12-24 | 一种安全代理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111355695A true CN111355695A (zh) | 2020-06-30 |
CN111355695B CN111355695B (zh) | 2022-07-01 |
Family
ID=71196859
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811584572.3A Active CN111355695B (zh) | 2018-12-24 | 2018-12-24 | 一种安全代理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111355695B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364729A (zh) * | 2021-04-07 | 2021-09-07 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
CN113438230A (zh) * | 2021-06-23 | 2021-09-24 | 中移(杭州)信息技术有限公司 | 协议协商方法、装置、代理服务器及存储介质 |
CN113973123A (zh) * | 2021-10-27 | 2022-01-25 | 广东卓维网络有限公司 | 一种多接入方式加密物联网通信方法和系统 |
CN114363028A (zh) * | 2021-12-27 | 2022-04-15 | 北京世纪互联宽带数据中心有限公司 | 一种连接建立的方法、客户端、服务端、设备及存储介质 |
CN114500041A (zh) * | 2022-01-25 | 2022-05-13 | 上海中通吉网络技术有限公司 | 一种软件定义边界的实现方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002065650A2 (en) * | 2001-02-13 | 2002-08-22 | Aventail Corporation | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
CN1558584A (zh) * | 2004-02-01 | 2004-12-29 | 中兴通讯股份有限公司 | 一种安全代理方法 |
CN1571330A (zh) * | 2004-04-30 | 2005-01-26 | 中国科学院软件研究所 | 应用协议数据安全交换的方法 |
JP2008028869A (ja) * | 2006-07-24 | 2008-02-07 | Nomura Research Institute Ltd | 通信代理システムおよび通信代理装置 |
CN106302391A (zh) * | 2016-07-27 | 2017-01-04 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
CN106535180A (zh) * | 2016-11-30 | 2017-03-22 | 广州宇雷信息技术有限公司 | 一种移动终端安全上网的方法及设备 |
CN106713320A (zh) * | 2016-12-23 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 终端数据传输的方法和装置 |
EP3242444A1 (en) * | 2015-01-14 | 2017-11-08 | Huawei Technologies Co. Ltd. | Service processing method and device |
CN107612931A (zh) * | 2017-10-20 | 2018-01-19 | 苏州科达科技股份有限公司 | 多点会话方法及多点会话系统 |
-
2018
- 2018-12-24 CN CN201811584572.3A patent/CN111355695B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002065650A2 (en) * | 2001-02-13 | 2002-08-22 | Aventail Corporation | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols |
CN1558584A (zh) * | 2004-02-01 | 2004-12-29 | 中兴通讯股份有限公司 | 一种安全代理方法 |
CN1571330A (zh) * | 2004-04-30 | 2005-01-26 | 中国科学院软件研究所 | 应用协议数据安全交换的方法 |
JP2008028869A (ja) * | 2006-07-24 | 2008-02-07 | Nomura Research Institute Ltd | 通信代理システムおよび通信代理装置 |
EP3242444A1 (en) * | 2015-01-14 | 2017-11-08 | Huawei Technologies Co. Ltd. | Service processing method and device |
CN106302391A (zh) * | 2016-07-27 | 2017-01-04 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
CN106535180A (zh) * | 2016-11-30 | 2017-03-22 | 广州宇雷信息技术有限公司 | 一种移动终端安全上网的方法及设备 |
CN106713320A (zh) * | 2016-12-23 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 终端数据传输的方法和装置 |
CN107612931A (zh) * | 2017-10-20 | 2018-01-19 | 苏州科达科技股份有限公司 | 多点会话方法及多点会话系统 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364729A (zh) * | 2021-04-07 | 2021-09-07 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
CN113364729B (zh) * | 2021-04-07 | 2023-11-21 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
CN113438230A (zh) * | 2021-06-23 | 2021-09-24 | 中移(杭州)信息技术有限公司 | 协议协商方法、装置、代理服务器及存储介质 |
CN113973123A (zh) * | 2021-10-27 | 2022-01-25 | 广东卓维网络有限公司 | 一种多接入方式加密物联网通信方法和系统 |
CN113973123B (zh) * | 2021-10-27 | 2023-08-29 | 广东卓维网络有限公司 | 一种多接入方式加密物联网通信方法和系统 |
CN114363028A (zh) * | 2021-12-27 | 2022-04-15 | 北京世纪互联宽带数据中心有限公司 | 一种连接建立的方法、客户端、服务端、设备及存储介质 |
CN114363028B (zh) * | 2021-12-27 | 2024-03-22 | 北京世纪互联宽带数据中心有限公司 | 一种连接建立的方法、客户端、服务端、设备及存储介质 |
CN114500041A (zh) * | 2022-01-25 | 2022-05-13 | 上海中通吉网络技术有限公司 | 一种软件定义边界的实现方法 |
CN114500041B (zh) * | 2022-01-25 | 2024-04-30 | 上海中通吉网络技术有限公司 | 一种软件定义边界的实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111355695B (zh) | 2022-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111355695B (zh) | 一种安全代理方法和装置 | |
US10547594B2 (en) | Systems and methods for implementing data communication with security tokens | |
CN107534665B (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
US8788805B2 (en) | Application-level service access to encrypted data streams | |
US9509663B2 (en) | Secure distribution of session credentials from client-side to server-side traffic management devices | |
US20050246346A1 (en) | Secured authentication in a dynamic IP environment | |
CN110719248B (zh) | 用户数据报协议报文的转发方法及装置 | |
CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
EP3522473A1 (en) | Data transmission method, apparatus and system | |
US20140095862A1 (en) | Security association detection for internet protocol security | |
JP2018528679A (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
US9882897B2 (en) | Method and system for transmitting and receiving data, method and device for processing message | |
EP3905623A1 (en) | Data transmission method and apparatus, related device, and storage medium | |
US9185130B2 (en) | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method | |
CN109040059B (zh) | 受保护的tcp通信方法、通信装置及存储介质 | |
WO2023241176A1 (zh) | 通信方法、装置、设备、存储介质及程序产品 | |
US9047449B2 (en) | Method and system for entity authentication in resource-limited network | |
CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
Bittau et al. | TCP-ENO: Encryption negotiation option | |
CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |