CN112187734B - 一种IPSec组件架构及VPN隧道建立方法 - Google Patents

一种IPSec组件架构及VPN隧道建立方法 Download PDF

Info

Publication number
CN112187734B
CN112187734B CN202010943577.1A CN202010943577A CN112187734B CN 112187734 B CN112187734 B CN 112187734B CN 202010943577 A CN202010943577 A CN 202010943577A CN 112187734 B CN112187734 B CN 112187734B
Authority
CN
China
Prior art keywords
ipsec
tee
vpn tunnel
core component
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010943577.1A
Other languages
English (en)
Other versions
CN112187734A (zh
Inventor
孟丹
贾晓启
侯锐
孟慧石
黄庆佳
付玉霞
孙慧琪
张伟娟
赵崇名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202010943577.1A priority Critical patent/CN112187734B/zh
Publication of CN112187734A publication Critical patent/CN112187734A/zh
Application granted granted Critical
Publication of CN112187734B publication Critical patent/CN112187734B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法。采用本申请中的方案,将包括IPSec核心组件的TEE侧模块组设置在TEE可信执行环境中运行,将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行,同时设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源,因此在VPN隧道建立过程中,其关键数据的处理过程可以避开常规操作系统的其它应用干扰。又因为IPSec协议封装模块及TCP/IP协议栈设置在REE驱动系统中,因此IP协议数据包封装处理流程可置于REE驱动系统处理,实现了在保证VPN隧道安全性的同时具备降低TEE驱动系统复杂度、负载度、提高处理效率以及降低开发成本的技术效果。

Description

一种IPSec组件架构及VPN隧道建立方法
技术领域
本申请涉及网络安全技术,具体地,涉及一种IPSec组件架构及VPN隧道建立方法。
背景技术
现有技术中,TEE驱动系统即可信执行环境,该环境可以保证不被常规操作系统干扰的计算,因此称为“可信”。概括来讲TEE是一个与Rich OS并行运行的独立执行环境,为Rich OS环境提供安全服务。TEE基于ARM TrustZone而实现,可独立于Rich OS和其上的应用来访问硬件和软件安全资源。
REE驱动系统是所有移动设备通用的环境,运行通用的OS(Operating System),例如Android,IOS系统等。
而互联网安全协议(Internet Protocol Security,简称:IPSec),是一种通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。由于其具有高度的安全性和机密性,目前通常被应用于构建VPN数据隧道,实现信息的安全传输。
目前,IPSec的协议组件是在通用操作系统REE中实现的,如手机Android系统,基于IPSec协议的VPN隧道构建的核心组件也均设置在REE的内核中。然而,由于REE操作系统的运行环境比较复杂,例如,通常装载有大量的,包括娱乐、新闻、游戏、视频类的各种应用,由此往往给攻击者带来可趁之机,利用系统漏洞窃取高价值信息。
可见,现有技术中存在着基于IPSec协议的VPN隧道构建过程中,因IPSec核心组件设置在REE操作系统下运行,容易因系统漏洞而造成敏感信息泄露的技术问题。
发明内容
本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法。
根据本申请实施例的第一个方面,提供了一种IPSec组件架构,应用于一电子设备,包括:
REE侧模块组,包括IPSec协议封装模块及TCP/IP协议栈;
TEE侧模块组,在TEE驱动系统中运行,包括IPSec核心组件;
存储单元,所述存储单元分别与所述IPSec协议封装模块、所述IPSec核心组件连接;
其中,所述REE侧模块组在REE驱动系统中运行,所述TEE侧模块组在TEE驱动系统中运行。
可选地,在所述电子设备安装有互联的TEE客户端、可信应用TA时,所述TEE客户端设置在REE驱动系统下运行,且所述可信应用TA设置在TEE驱动系统下运行。
可选地,所述IPSec核心组件包括:
IPSec认证信息库、IKE协商模块、SA数据库、加解密引擎、及IPSec控制模块,且所述IPSec核心组件未包括IPSec协议封装模块及TCP/IP协议栈。
根据本申请实施例的第二个方面,提供了一种VPN隧道建立方法,应用于如第一个方面所述的IPSec组件架构,所述方法包括:
通过所述TEE客户端发出第一指令,所述第一指令用以表征用户的VPN隧道建立需求;
所述IPSec协议封装模块基于所述第一指令封装IPSec/IP协议,获得IP协议封装包,且将所述IP协议封装包发送至所述存储单元;
通过所述TEE客户端发出第二指令,以使所述可信应用TA通知所述IPSec核心组件将建立VPN隧道的数据加载至所述IP协议封装包,获得VPN隧道数据包;
通过运行在TEE驱动系统下的可信外设发送所述VPN隧道数据包,以使所述电子设备在TEE驱动系统下构建VPN隧道。
可选地,所述可信应用TA通知所述IPSec核心组件将建立VPN隧道的数据加载至所述IP协议封装包,包括:
所述可信应用TA发出隧道构建信号;
所述IPSec核心组件中的IPSec控制模块在接收到所述隧道构建信号后,读取所述IPSec核心模块内的隧道认证信息及协商数据;
所述IPSec控制模块将所述隧道认证信息及协商数据加载至所述IP协议封装包,获得所述VPN隧道建立数据包。
可选地,所述IPSec控制模块在接收到所述隧道构建信号后,读取自身存储的隧道认证信息及协商数据,包括:
所述IPSec控制模块从所述IPSec核心组件中的IPSec认证信息库读取所述隧道认证信息;和/或,
所述IPSec控制模块从所述IPSec核心组件中的IKE协商模块读取所述协商数据。
可选地,所述电子设备在TEE驱动系统下构建VPN隧道,包括:
通过所述IPSec核心组件中的SA数据库加载或存储SA协议;和/或,
通过所述IPSec核心组件中的加解密引擎对构建VPN隧道过程中的收发数据进行加密和/或解密。
可选地,在所述通过所述TEE客户端发出第二指令之前,所述方法还包括:
所述TEE客户端发出携带VPN隧道建立需求信息的建立指令,用以使所述可信应用TA基于所述建立指令初始化VPN隧道建立的上下文环境。
根据本申请实施例的第三个方面,提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理装置执行所述计算机程序时实现如第二个方面所述的可信VPN隧道建立方法中的步骤。
根据本申请实施例的第四个方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第二个方面所述的可信VPN隧道建立方法中的步骤。
采用本申请实施例中提供的一种IPSec组件架构及VPN隧道建立方法,将包括IPSec核心组件的TEE侧模块组设置在TEE可信执行环境中运行,将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行,同时设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源,因此在基于IPSec协议的VPN隧道建立过程中,其关键数据的处理过程可以避开常规操作系统的其它应用干扰。又因为IPSec协议封装模块及TCP/IP协议栈设置在REE驱动系统中,因此IP协议数据包封装处理流程可置于REE驱动系统处理,实现了在保证VPN隧道安全性的同时具备降低TEE驱动系统复杂度、负载度,以及降低开发成本的技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为一种IPSec组件架构的结构图;
图2为一种VPN隧道建立方法的流程图。
具体实施方式
在实现本申请的过程中,发明人发现现有技术存在着基于IPSec协议的VPN隧道构建过程中,因IPSec核心组件设置在通用执行环境(REE)下运行,容易因系统漏洞而造成敏感信息泄露的技术问题。
针对上述问题,本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法,将包括IPSec核心组件的TEE侧模块组设置在可信执行环境(TEE)中运行,将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行,并通过设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源,因此在基于IPSec协议的VPN隧道建立过程中,其关键数据的处理过程置于TEE中,避开常规操作系统的其它应用干扰。同时又因为IPSec协议封装模块及TCP/IP协议栈设置置于在REE中处理,实现了在保证VPN隧道终端侧安全性的同时,具备降低TEE系统复杂度、负载度,以及降低开发成本的技术效果。
本申请实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
实施例一
请参考图1,本申请实施例一提供一种IPSec组件架构,应用于一电子设备,包括:
REE侧模块组11,包括IPSec协议封装模块111及TCP/IP协议栈112;
TEE侧模块组12,在TEE中运行,包括IPSec核心组件;
存储单元13,所述存储单元分别与所述IPSec协议封装模块111、所述IPSec核心组件连接;
其中,所述REE侧模块组在REE中运行,所述TEE侧模块组在TEE中运行。
所述IPSec协议封装模块可以是指实现对数据进行IP协议形式封装功能,或对IP协议数据解析功能的设备或软件模块。而进一步具体地,本申请实施例方案中所述IPSec协议封装模块可以不涉及对数据进行IPSec形式的加密、解析功能。
所述IPSec核心组件可以是指实现对IP协议的分组、加密、认证、收发等功能的核心组件集合。例如,所述IPSec核心组件可以包括IPSec认证信息库、IKE协商模块、SA数据库、加解密引擎、及IPSec处理模块等。
所述存储单元可以为具有数据存储功能的任意设备或介质,其可以是独立设置的存储器,也可以是电子设备中某设备集成的模块单元,其数量可以是一个或多个,其类型可以包括只读存储器(英文:Read Only Memory,简称:ROM)、随机存取存储器(英文:RandomAccess Memory,简称:RAM)和磁盘存储器等。
本申请实施例中的REE侧模块组及TEE侧模块组中还可根据需要设置其它相应的功能模块。例如,在REE中运行的用户操作模块等。
在本申请实施例的IPSec组件架构中,IPSec核心组件设置在TEE可信执行环境中运行,由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源,因此在基于IPSec协议的VPN隧道建立过程中,其关键数据的处理过程可以避开常规操作系统的其它应用干扰。同时又因为IPSec协议封装模块及TCP/IP协议栈设置在REE中运行处理,具有在保证VPN隧道终端侧安全性的同时起到降低TEE复杂度、负载度,以及降低开发成本的技术效果。
进一步地,在所述电子设备安装有互联的TEE客户端、可信应用TA时,所述TEE客户端设置在REE系统下运行,且所述可信应用TA设置在TEE系统下运行。
所述IPSec核心组件具体包括:IPSec认证信息库1211、IKE协商模块1212、SA数据库1213、加解密引擎1214、及IPSec控制模块1215,且IPSec协议封装模块及TCP/IP协议栈处置置于REE环境中处理,减轻TEE系统的负载,确保TEE系统的安全、稳定与高效。
实施例二
请参考图2,本申请实施例二提供一种VPN隧道建立方法,应用于如实施例一所述的IPSec组件架构,所述方法包括:
步骤201:通过所述TEE客户端发出第一指令,所述第一指令用以表征用户的VPN隧道建立需求。
在本步骤执行前,用户可以采取多种方式向TEE客户端表达所述VPN隧道建立需求。例如可以直接对TEE客户端进行操作,也可以通过对其它REE系统环境中的应用程序进行操作,然后由其它应用程序将对应生成的信号指令转发到TEE客户端即可。
步骤202:所述IPSec协议封装模块基于所述第一指令封装IPSec/IP协议,获得IP协议封装包,且将所述IP协议封装包发送至所述存储单元。
所述IP协议封装包可以是指采用IP协议格式构造的数据形式,其中并未承载业务数据,也即是空载的IP协议数据。
步骤203:通过所述TEE客户端发出第二指令,以使所述可信应用TA通知所述IPSec核心组件将建立VPN隧道的数据加载至所述IP协议封装包,获得VPN隧道数据包。
所述第二指令可以是SMC指令。
所述建立VPN隧道的数据可以包括隧道认证数据、IKE协商数据、IPSec协商数据,等等,只要是与VPN隧道建立过程中相关的、需要进行IP协议形式加载的参数都可以作为所述建立VPN隧道的数据。
本步骤执行时,可以通过所述可信应用TA向所述IPSec核心组件中具有控制功能的控制模块发送通知,进一步再由所述控制模块从存储单元上读取所述IP协议封装包,并控制IPSec核心组件中的各协作功能组件将所述建立VPN隧道的数据作为业务数据加载到所述IP协议封装包上,获得VPN隧道数据包。
需要提醒的是,生成所述VPN隧道数据包后,需要将其置于TEE系统下的存储介质中。
步骤204:通过运行在TEE驱动系统下的可信外设发送所述VPN隧道数据包,以使所述电子设备在TEE系统下构建VPN隧道。
所述可信外设可以为设置在TEE系统中运行的通信组件。由于所述VPN隧道数据包生成、存储、发送的过程均在TEE中进行,因此可起到进一步保证所述VPN隧道数据包安全性的技术效果。
对端设备在接收到所述VPN隧道数据包后,可以实现直接基于其承载的相关数据而完成VPN隧道的搭建。
进一步地,所述可信应用TA通知所述IPSec核心组件将建立VPN隧道的数据加载至所述IP协议封装包,包括:
所述可信应用TA发出隧道构建信号;
所述IPSec核心组件中的IPSec控制模块在接收到所述隧道构建信号后,读取所述IPSec核心模块内的隧道认证信息及协商数据;
所述IPSec控制模块将所述隧道认证信息及协商数据加载至所述IP协议封装包,获得所述VPN隧道建立数据包。
进一步地,所述IPSec控制模块在接收到所述隧道构建信号后,读取自身存储的隧道认证信息及协商数据,包括:
所述IPSec控制模块从所述IPSec核心组件中的IPSec认证信息库读取所述隧道认证信息;和/或,
所述IPSec控制模块从所述IPSec核心组件中的IKE协商模块读取所述协商数据。
进一步地,所述电子设备在TEE下构建VPN隧道,包括:
通过所述IPSec核心组件中的SA数据库加载或存储SA协议;和/或,
通过所述IPSec核心组件中的加解密引擎对构建VPN隧道过程中的收发数据进行加密和/或解密。
所述加解密引擎可以是指具备对数据进行IPSec形式加密、解析功能的模块组件。
进一步地,在所述通过所述TEE客户端发出第二指令之前,所述方法还包括:
所述TEE客户端发出携带VPN隧道建立需求信息的建立指令,用以使所述可信应用TA基于所述建立指令初始化VPN隧道建立的上下文环境。
同样的,所述VPN隧道建立需求信息也可以为用户通过各类形式的操作输入相应的需求,还可以是系统预设的各类环境条件参数。本领与普通技术人员可以根据需要而自行设置,本申请技术方案不作进一步限定。
前述图1实施例中的可信IPSec模组中的各种变化方式和具体实例同样适用于本实施例的VPN隧道构建方法,通过前述对可信IPSec模组的详细描述,本领域技术人员可以清楚的知道本实施例中VPN隧道构建方法的实施方法,所以为了说明书的简洁,在此不再详述。
本申请实施例还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理装置执行所述计算机程序时实现如实施例二所述的VPN隧道建立方法中的步骤。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如实施例二所述的隧道构建方法中的步骤。
由此可见,本申请实施例中的技术方案将包括IPSec核心组件的TEE侧模块组设置在可信执行环境(TEE)中运行,将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行,并通过设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源,因此在基于IPSec协议的VPN隧道建立过程中,其关键数据的处理过程可以避开常规操作系统的其它应用干扰。同时又因为IPSec协议封装模块及TCP/IP协议栈处理设置在REE中,因此IP协议数据包封装处理流程可置于REE中处理,实现了在保证VPN隧道安全性的同时,减轻TEE系统的负载,提供响应效率以及降低开发成本的技术效果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (7)

1.一种VPN隧道建立方法,应用于一种IPSec组件架构,其特征在于,所述IPSec组件架构包括:
REE侧模块组,包括IPSec协议封装模块及TCP/IP协议栈;
TEE侧模块组,在TEE驱动系统中运行,包括IPSec核心组件;
存储单元,所述存储单元分别与所述IPSec协议封装模块、所述IPSec核心组件连接;
所述REE侧模块组在REE驱动系统中运行,所述TEE侧模块组在TEE驱动系统中运行;当承载可信IPSec模组的电子设备安装有互联的TEE客户端、可信应用TA时,所述TEE客户端设置在REE驱动系统下运行,且所述可信应用TA设置在TEE驱动系统下运行;所述IPSec核心组件还包括:IPSec认证信息库、IKE协商模块、SA数据库、加解密引擎、及IPSec控制模块,且所述IPSec核心组件未包括IPSec协议封装模块及TCP/IP协议栈;
所述VPN隧道建立方法包括:
通过所述TEE客户端发出第一指令,所述第一指令用以表征用户的VPN隧道建立需求;
所述IPSec协议封装模块基于所述第一指令封装IPSec/IP协议,获得IP协议封装包,且将所述IP协议封装包发送至所述存储单元;
通过所述TEE客户端发出第二指令,以使所述可信应用TA通知所述IPSec核心组件将建立VPN隧道的数据加载至所述IP协议封装包,获得VPN隧道数据包;
通过运行在TEE驱动系统下的可信外设发送所述VPN隧道数据包,以使所述电子设备在TEE驱动系统下构建VPN隧道。
2.根据权利要求1所述的方法,其特征在于,所述可信应用TA通知所述IPSec核心组件将建立VPN隧道的数据加载至所述IP协议封装包,包括:
所述可信应用TA发出隧道构建信号;
所述IPSec核心组件中的IPSec控制模块在接收到所述隧道构建信号后,读取所述IPSec核心组件 内的隧道认证信息及协商数据;
所述IPSec控制模块将所述隧道认证信息及协商数据加载至所述IP协议封装包,获得所述VPN隧道建立数据包。
3.如权利要求2所述的方法,其特征在于,所述IPSec控制模块在接收到所述隧道构建信号后,读取自身存储的隧道认证信息及协商数据,包括:
所述IPSec控制模块从所述IPSec核心组件中的IPSec认证信息库读取所述隧道认证信息;和/或,
所述IPSec控制模块从所述IPSec核心组件中的IKE协商模块读取所述协商数据。
4.根据权利要求3所述的方法,其特征在于,所述电子设备在TEE驱动系统下构建VPN隧道,包括:
通过所述IPSec核心组件中的SA数据库加载或存储SA协议;和/或,
通过所述IPSec核心组件中的加解密引擎对构建VPN隧道过程中的收发数据进行加密和/或解密。
5.根据权利要求4所述的方法,其特征在于,在所述通过所述TEE客户端发出第二指令之前,所述方法还包括:
所述TEE客户端发出携带VPN隧道建立需求信息的建立指令,用以使所述可信应用TA基于所述建立指令初始化VPN隧道建立的上下文环境。
6.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器 执行所述计算机程序时实现如权利要求1-5任一权利要求所述的VPN隧道建立方法中的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一权利要求所述的VPN隧道建立方法中的步骤。
CN202010943577.1A 2020-09-09 2020-09-09 一种IPSec组件架构及VPN隧道建立方法 Active CN112187734B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010943577.1A CN112187734B (zh) 2020-09-09 2020-09-09 一种IPSec组件架构及VPN隧道建立方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010943577.1A CN112187734B (zh) 2020-09-09 2020-09-09 一种IPSec组件架构及VPN隧道建立方法

Publications (2)

Publication Number Publication Date
CN112187734A CN112187734A (zh) 2021-01-05
CN112187734B true CN112187734B (zh) 2021-12-14

Family

ID=73920358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010943577.1A Active CN112187734B (zh) 2020-09-09 2020-09-09 一种IPSec组件架构及VPN隧道建立方法

Country Status (1)

Country Link
CN (1) CN112187734B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113849565B (zh) * 2021-09-26 2024-05-14 支付宝(杭州)信息技术有限公司 用于可信上链的方法及终端设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603487A (zh) * 2016-11-04 2017-04-26 中软信息系统工程有限公司 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法
EP3379448A1 (en) * 2017-03-21 2018-09-26 Nxp B.V. Method and system for operating a cache in a trusted execution environment
CN109145628A (zh) * 2018-09-06 2019-01-04 江苏恒宝智能系统技术有限公司 一种基于可信执行环境的数据采集方法及系统
CN111245620A (zh) * 2018-11-29 2020-06-05 北京中金国信科技有限公司 一种在终端中的移动安全应用架构及其构建方法
CN111444528A (zh) * 2020-03-31 2020-07-24 海信视像科技股份有限公司 数据安全保护方法、装置及存储介质
CN111459869A (zh) * 2020-04-14 2020-07-28 中国长城科技集团股份有限公司 一种数据访问的方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104754552B (zh) * 2013-12-25 2018-07-24 中国移动通信集团公司 一种可信执行环境tee初始化方法及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603487A (zh) * 2016-11-04 2017-04-26 中软信息系统工程有限公司 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法
EP3379448A1 (en) * 2017-03-21 2018-09-26 Nxp B.V. Method and system for operating a cache in a trusted execution environment
CN109145628A (zh) * 2018-09-06 2019-01-04 江苏恒宝智能系统技术有限公司 一种基于可信执行环境的数据采集方法及系统
CN111245620A (zh) * 2018-11-29 2020-06-05 北京中金国信科技有限公司 一种在终端中的移动安全应用架构及其构建方法
CN111444528A (zh) * 2020-03-31 2020-07-24 海信视像科技股份有限公司 数据安全保护方法、装置及存储介质
CN111459869A (zh) * 2020-04-14 2020-07-28 中国长城科技集团股份有限公司 一种数据访问的方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN112187734A (zh) 2021-01-05

Similar Documents

Publication Publication Date Title
US9934375B2 (en) Secured execution of a web application
EP3937424B1 (en) Blockchain data processing methods and apparatuses based on cloud computing
US10614212B1 (en) Secure software containers
US9979699B1 (en) System and method of establishing trusted operability between networks in a network functions virtualization environment
US9191388B1 (en) Trusted security zone communication addressing on an electronic device
JP5985756B2 (ja) モバイルコンピューティング機器のためのデータ損失防止
US8769127B2 (en) Cross-domain solution (CDS) collaborate-access-browse (CAB) and assured file transfer (AFT)
CN111683103B (zh) 信息交互方法及装置
WO2017023510A1 (en) Techniques to secure computation data in a computing environment
WO2014074239A2 (en) Method and system for sharing vpn connections between applications
CN109543452A (zh) 数据传输方法、装置、电子设备及计算机可读存储介质
CN112187734B (zh) 一种IPSec组件架构及VPN隧道建立方法
Renganathan et al. Valet attack on privacy: a cybersecurity threat in automotive Bluetooth infotainment systems
Karim et al. Blediff: Scalable and property-agnostic noncompliance checking for ble implementations
CN112580056B (zh) 一种终端设备、数据加密方法、解密方法、及电子设备
CN111209544B (zh) Web应用安全保护方法、装置、电子设备及存储介质
CN116048716A (zh) 一种直接存储访问方法、装置及相关设备
CN113961939B (zh) 嵌入式操作系统安全的防护方法和系统
CN110636491A (zh) 面向服务的可信执行模块及通信方法
CN106648770B (zh) 一种应用程序安装包的生成方法、加载方法及装置
CN112134777B (zh) 一种可信IPSec模组与VPN隧道构建方法
CN114679287A (zh) 数据处理方法、系统、电子设备及存储介质
KR102050797B1 (ko) 미들박스 장치 및 이의 암호화된 패킷 처리 방법
CN116896444B (zh) 文件包管理方法和装置
CN117744117B (zh) 权限设置方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant