CN112217769A - 基于隧道的数据解密方法、加密方法、装置、设备和介质 - Google Patents
基于隧道的数据解密方法、加密方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN112217769A CN112217769A CN201910625148.7A CN201910625148A CN112217769A CN 112217769 A CN112217769 A CN 112217769A CN 201910625148 A CN201910625148 A CN 201910625148A CN 112217769 A CN112217769 A CN 112217769A
- Authority
- CN
- China
- Prior art keywords
- decryption
- data
- tunnel
- encryption
- session table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 107
- 230000001133 acceleration Effects 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于隧道的数据解密方法,包括:接收对端设备通过隧道发送的待解密数据;获取隧道关联的解密会话表,其中,解密会话表包括:隧道对应的五元组、隧道对应的安全联盟标识和表征需要解密的解密标识;获取待解密数据的五元组;将待解密数据的五元组作为解密会话表中隧道对应的五元组,从解密会话表中查找出安全联盟标识和解密标识;从安全联盟数据库中查找与安全联盟标识对应的安全联盟;识别解密标识,从安全联盟中确定出用于解密的解密信息;利用解密信息对待解密数据解密。本公开还提供了一种基于隧道的数据加密方法、基于隧道的数据解密装置、基于隧道的数据加密装置、计算机设备和计算机可读存储介质。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种基于隧道的数据解密方法、基于隧道的数据加密方法、基于隧道的数据解密装置、基于隧道的数据加密装置、计算机设备和计算机可读存储介质。
背景技术
虚拟专用网络(Virtual Private Network,简称为VPN)是指在公用网络上建立专用网络,使得企业的各分支机构及远程办公用户能够通过VPN接入企业内部网络并提供通讯的安全性,其实质就是利用加密技术在公网上封装出一个用于数据通讯的隧道。
对于隧道的双端设备而言,在利用隧道通信的过程中需要对通信数据进行加解密,然而,发明人在研究本发明的过程中发现:相关技术中,无论是针对隧道上通信数据的加密方法还是解密方法,均需要多次查询路由表和安全联盟数据库,流程繁琐,处理速度慢。
发明内容
本发明的目的在于提供一种基于隧道的数据解密方法、基于隧道的数据加密方法、基于隧道的数据解密装置、基于隧道的数据加密装置、计算机设备和计算机可读存储介质,能够简化查找流程和提高处理速度。
本发明的一个方面提供了一种基于隧道的数据解密方法,包括:接收对端设备通过隧道发送的待解密数据;获取上述隧道关联的解密会话表,其中,上述解密会话表包括:上述隧道对应的五元组、上述隧道对应的安全联盟标识和表征需要解密的解密标识;获取上述待解密数据的五元组;将上述待解密数据的五元组作为上述解密会话表中上述隧道对应的五元组,从上述解密会话表中查找出上述安全联盟标识和上述解密标识;从上述安全联盟数据库中查找与上述安全联盟标识对应的安全联盟;识别上述解密标识,从上述安全联盟中确定出用于解密的解密信息;利用上述解密信息对上述待解密数据解密。
可选地,在接收对端设备通过隧道发送的待解密数据之前,上述方法还包括:在上述隧道建立完成的情况下,建立上述解密会话表。
可选地,在建立上述解密会话表之后,上述方法还包括:获取上述安全联盟信息中的安全参数索引,将上述解密会话表与上述安全参数索引关联;获取上述隧道关联的解密会话表,包括:获取与上述安全参数索引关联的上述解密会话表。
可选地,利用上述解密信息对上述待解密数据解密,包括:判断是否安装了硬件加速卡;在判定安装了上述硬件加速卡后,在上述硬件加速卡中利用上述解密信息对上述待解密数据解密;在判定没有安装上述硬件加速卡后,判断CPU是否支持解密加速指令;在判定上述CPU支持上述解密加速指令后,在上述CPU中使用上述解密加速指令利用上述解密信息对上述待解密数据解密;在判定上述CPU不支持上述解密加速指令后,直接利用上述解密信息对上述待解密数据解密。
本发明的另一个方面提供了一种基于隧道的数据加密方法,包括:接收对端设备通过内网链路发送的链路数据;判断上述链路数据是否需要经过隧道外发;在判定上述链路数据需要经过上述隧道外发后,判断是否首次接收上述对端设备发送的需要经过上述隧道外发的数据;在判定是首次接收后,建立加密会话表,其中,上述加密会话表包括:上述内网链路对应的五元组、上述隧道对应的安全联盟标识和表征需要加密的加密标识;在判定不是首次接收后,获取上述链路数据的五元组,获取上述加密会话表,将上述链路数据的五元组作为上述加密会话表中上述内网链路对应的五元组,从上述加密会话表中查找出上述安全联盟标识和上述加密标识;从上述安全联盟数据库中查找与上述安全联盟标识对应的安全联盟;识别上述加密标识,从上述安全联盟中确定出用于加密的加密信息;利用上述加密信息对上述链路数据加密。
可选地,在建立加密会话表之后,上述方法还包括:获取上述安全联盟信息中的安全参数索引,将上述加密会话表与上述安全参数索引关联;获取上述加密会话表,包括:获取与上述安全参数索引关联的上述加密会话表。
可选地,利用上述加密信息对上述链路数据加密,包括:判断是否安装了硬件加速卡;在判定安装了上述硬件加速卡后,在上述硬件加速卡中利用上述加密信息对上述链路数据加密;在判定没有安装上述硬件加速卡后,判断CPU是否支持加密加速指令;在判定上述CPU支持上述加密加速指令后,在上述CPU中使用上述加密加速指令利用上述加密信息对上述链路数据加密;在判定上述CPU不支持上述加密加速指令后,直接利用上述加密信息对上述链路数据加密。
本发明的再一个方面提供了一种基于隧道的数据解密装置,包括:第一接收模块,用于接收对端设备通过隧道发送的待解密数据;第一获取模块,用于获取上述隧道关联的解密会话表,其中,上述解密会话表包括:上述隧道对应的五元组、上述隧道对应的安全联盟标识和表征需要解密的解密标识;第二获取模块,用于获取上述待解密数据的五元组;第一查找模块,用于将上述待解密数据的五元组作为上述解密会话表中上述隧道对应的五元组,从上述解密会话表中查找出上述安全联盟标识和上述解密标识;第二查找模块,用于从上述安全联盟数据库中查找与上述安全联盟标识对应的安全联盟;确定模块,用于识别上述解密标识,从上述安全联盟中确定出用于解密的解密信息;解密模块,用于利用上述解密信息对上述待解密数据解密。
本发明的又一个方面提供了一种基于隧道的数据加密装置,其特征在于,包括:第二接收模块,用于接收对端设备通过内网链路发送的链路数据;第一判断模块,用于判断上述链路数据是否需要经过隧道外发;第二判断模块,用于在判定上述链路数据需要经过上述隧道外发后,判断是否首次接收上述对端设备发送的需要经过上述隧道外发的数据;第一处理模块,用于在判定是首次接收后,建立加密会话表,其中,上述加密会话表包括:上述内网链路对应的五元组、上述隧道对应的安全联盟标识和表征需要加密的加密标识;第二处理模块,用于在判定不是首次接收后,获取上述链路数据的五元组,获取上述加密会话表,将上述链路数据的五元组作为上述加密会话表中上述内网链路对应的五元组,从上述加密会话表中查找出上述安全联盟标识和上述加密标识;从上述安全联盟数据库中查找与上述安全联盟标识对应的安全联盟;识别上述加密标识,从上述安全联盟中确定出用于加密的加密信息;利用上述加密信息对上述链路数据加密。
本发明的又一个方面提供了一种计算机设备,该计算机设备包括:存储器、处理器以及存储在上述存储器上并可在上述处理器上运行的计算机程序,上述处理器执行上述计算机程序时实现上述任一实施例所述的基于隧道的数据解密方法和/或基于隧道的数据加密方法。
本发明的又一个方面提供了一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述任一实施例所述的隧道探测方法。
本发明提供了一种基于隧道的数据解密方法,该基于隧道的数据解密方法可以应用于终端设备,该终端设备通过隧道与对端设备进行交互,在对端设备通过隧道发送待解密数据后,终端设备获取待解密数据的五元组,并从预先建立的解密会话表中查找出对应的安全联盟标识和解密标识,然后从安全联盟数据库中查找与安全联盟标识对应的安全联盟,通过识别解密标识得知需要对待解密数据进行解密,然后从安全联盟中确定出用于解密的解密信息,并利用解密信息对待解密数据进行解密。由于仅需要访问一次解密会话表和访问一次安全联盟数据库,并且基于安全联盟标识能够快速在安全联盟数据库中定位出安全联盟,进而能够简化查找流程并提高处理速度。
本发明还提供了一种基于隧道的数据加密方法,该基于隧道的数据加密方法可以应用于终端设备,该终端设备通过内网链路与对端设备进行交互,在对端设备通过内网发送链路数据后,终端设备判断链路数据是否需要经过隧道外发,若需要外发,则先确定对端设备是否首次经过自己通过这条隧道外发数据,若是,则先建立加密数据表;若否,则根据五元组从已经建立的加密数据表查找出对应的安全联盟标识和加密标识,然后从安全联盟数据库中查找与安全联盟标识对应的安全联盟,通过识别加密标识得知需要对链路数据进行加密,然后从安全联盟中确定出用于加密的加密信息,并利用加密信息对链路数据进行加密。由于仅需要访问一次加密会话表和访问一次安全联盟数据库,并且基于安全联盟标识能够快速在安全联盟数据库中定位出安全联盟,进而能够简化查找流程并提高处理速度。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示意性示出了根据本发明实施例的应用场景的示意图;
图2示意性示出了根据本发明实施例的基于隧道的数据解密方法的流程图;
图3示意性示出了根据本发明另一实施例的基于隧道的数据解密方法的流程图;
图4示意性示出了根据本发明实施例的基于隧道的数据加密方法的流程图;
图5示意性示出了根据本发明实施例的加解密方案的示意图;
图6示意性示出了根据本发明实施例的加解密框架的示意图;
图7示意性示出了根据本发明实施例的基于隧道的数据解密装置的框图;
图8示意性示出了根据本发明实施例的基于隧道的数据加密装置的框图;
图9示意性示出了根据本发明实施例的适于实现的基于隧道的数据解密方法和/或基于隧道的数据加密方法的计算机设备的框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
本发明提供了一种基于隧道的数据解密方法,该基于隧道的数据解密方法可以应用于如图1所示的应用场景,具体地:该基于隧道的数据解密方法可以应用于终端设备,该终端设备通过隧道与对端设备进行交互,终端设备和对端设备均可以为网关设备,下面以终端设备为路由器1及对端设备为路由器2为例介绍本实施例的应用场景。对端设备下的PC2想访问终端设备下的PC1,PC2将数据发送至对端设备后,对端设备将数据加密后通过隧道发送至终端设备,此时加密后的数据称为待解密数据,终端设备通过执行本发明提供的基于隧道的数据解密方法对待解密数据解密,进而将解密后的数据发送至PC1,以实现PC2和PC1的交互。其中,终端设备在执行基于隧道的数据解密方法时,可以接收对端设备通过隧道发送待解密数据,获取待解密数据的五元组,并从预先建立的解密会话表中查找出对应的安全联盟标识和解密标识,然后从安全联盟数据库中查找与安全联盟标识对应的安全联盟,通过识别解密标识得知需要对待解密数据进行解密,然后从安全联盟中确定出用于解密的解密信息,并利用解密信息对待解密数据进行解密。由于仅需要访问一次解密会话表和访问一次安全联盟数据库,并且基于安全联盟标识能够快速在安全联盟数据库中定位出安全联盟,进而能够简化查找流程并提高处理速度。具体地,图2示意性示出了根据本发明实施例的基于隧道的数据解密方法的流程图。如图2所示,该基于隧道的数据解密方法可以包括步骤S201~步骤S207,其中:
步骤S201,接收对端设备通过隧道发送的待解密数据。
本实施例中的对端设备和终端设备通过隧道交互,隧道可以为IPSec隧道,对端设备和终端设备均可以为网关设备,如路由器或者防火墙。
步骤S202,获取隧道关联的解密会话表,其中,解密会话表包括:隧道对应的五元组、隧道对应的安全联盟标识和表征需要解密的解密标识。
本实施例中,解密会话表是预先建立的,如,在步骤S201之前,该基于隧道的数据解密方法还可以包括:在隧道建立完成的情况下,建立解密会话表。
在建立隧道时,终端设备和对端设备会协商出安全联盟(Security Association,简称为SA),安全联盟可以存储在安全联盟数据库(Security Association Database,简称为SADB)中,安全联盟可以包括:安全参数索引(Security Parameter Index,简称为SPI)、源IP地址、源端口号、目的IP地址、目的端口号、协议(如认证报头(AuthenticationHeader,简称为AH)、封装安全载荷(Encapsulating Security Payload,简称为ESP)或者两者结合使用)、协议的封装模式(传输模式或者隧道模式)、加密算法、加密密钥、用于加密的哈希消息认证码(Hash-based Message Authentication Code,简称为HMAC)、解密算法、解密密钥和用于解密的HMAC等等。
其中,隧道对应的五元组可以包括:源IP地址为隧道侧的对端设备的IP地址、源端口号为隧道侧的对端设备的端口号、目的IP地址为终端设备的IP地址、目的端口号为终端设备的端口号以及协议为终端设备和对端设备通过隧道交互时使用的协议。安全联盟标识与安全联盟唯一对应,安全联盟标识能够快速准确定位出安全联盟在安全联盟数据库中的位置,如,安全联盟数据库为一个数组,安全联盟标识为安全联盟在这个数组中的位置,即安全联盟标识可以为数组下标。解密标识用于表征本次数据需要进行解密,即通过解密标识可以从安全联盟中提取解密信息。
每条隧道唯一对应一个安全参数索引,且隧道与解密会话表对应,即安全参数索引与解密会话表对应。可选地,在建立解密会话表之后,该基于隧道的数据解密方法还可以包括:获取安全联盟信息中的安全参数索引,将解密会话表与安全参数索引关联。在收到待解密数据后,通过识别待解密数据携带的安全参数索引,可以匹配出对应的解密会话表。即,步骤S202可以包括:获取与安全参数索引关联的解密会话表。
步骤S203,获取待解密数据的五元组。
待解密数据的五元组为:源IP地址为隧道侧的对端设备的IP地址,源端口号为隧道侧的对端设备建立本条隧道的端口号,目的IP地址为终端设备的IP地址,目的端口号为终端设备建立本条隧道的端口号,协议为终端设备与对端设备建立隧道时协商的协议,如AH协议、ESP协议或者两者结合使用。
步骤S204,将待解密数据的五元组作为解密会话表中隧道对应的五元组,从解密会话表中查找出安全联盟标识和解密标识。
将待解密数据的五元组与解密会话表中隧道对应的五元组匹配,匹配成功后,查找出对应得安全联盟标识和解密标识。
步骤S205,从安全联盟数据库中查找与安全联盟标识对应的安全联盟。
即,通过安全联盟标识,从安全联盟数据库中快速定位安全联盟。
步骤S206,识别解密标识,从安全联盟中确定出用于解密的解密信息。
识别从解密会话表中查找出的解密标识,从安全联盟出确定出用于解密的解密信息,其中,解密信息可以包括:解密算法、解密密钥和用于解密的HMAC等。
步骤S207,利用解密信息对待解密数据解密。
比如,利用解密算法、解密密钥和用于解密的HMAC对待解密数据解密。
可选地,步骤S207可以包括:判断是否安装了硬件加速卡;在判定安装了硬件加速卡后,在硬件加速卡中利用解密信息对待解密数据解密;在判定没有安装硬件加速卡后,判断CPU是否支持解密加速指令;在判定CPU支持解密加速指令后,在CPU中使用解密加速指令利用解密信息对待解密数据解密;在判定CPU不支持解密加速指令后,直接利用解密信息对待解密数据解密。
本实施例中,硬件加速卡用于实现硬件加速,硬件加速是指在计算机中通过把计算量非常大的工作分配给专门的硬件来处理以减轻中央处理器的工作量之技术。若终端设备存在硬件加速卡,则可以利用硬件加速卡快速实现解密过程,提高处理速度。若终端设备不存在硬件加速卡,可以判断CPU是否支持解密加速指令,解密加速指令与解密算法匹配,用于加速解密过程,比如,先判定解密算法的类型,再判定CPU是与解密算法对应的解密加速指令,若支持,则CPU中使用解密加速指令解密,若不支持,则直接利用解密信息进行解密。
图3示意性示出了根据本发明另一实施例的基于隧道的数据解密方法的流程图。
如图3所示,在通过隧道接收到待解密数据包后,通过待解密数据包的包头信息获取安全参数索引并获取待解密数据包的五元组,根据安全参数索引确定加密会话表(即图3中的Detunnel Session),然后根据待解密数据包的五元组确定安全联盟标识,判断安全联盟数据库中是否存在与安全联盟标识对应的安全联盟,若存在,则认为安全联盟合法,此时通过解密标识确定安全联盟中的解密信息,进而利用解密信息对待解密数据包进行解密(即图3中的Decode处理),然后将解密后的数据包转发至内网对应的设备,其中,可以使用AH协议或者ESP协议解密;若安全联盟数据库中不存在与安全联盟标识对应的安全联盟,则认为安全联盟不合法,可以丢弃接收的待解密数据包。
本发明提供了一种基于隧道的数据加密方法,该基于隧道的数据加密方法可以应用于如图1所示的应用场景,具体地:该基于隧道的数据加密方法可以应用于终端设备,该终端设备通过内网链路与对端设备进行交互,终端设备可以为网关设备,对端设备可以为网关设备下的用户设备。如图1所示,以终端设备为路由器2、对端设备为PC2及内网链路为内网链路2为例介绍本实施例的应用场景,对端设备想通过终端设备访问路由器1下的PC1,对端设备通过内网链路2将链路数据发送至终端设备后,终端设备通过执行本发明提供的基于隧道的数据加密方法对链路数据加密,进而将加密后的数据通过隧道发送至路由器1,再由路由器1处理后发送至PC1,以实现PC2和PC1的交互。需要说明的是,该基于隧道的数据加密方法还可以应用于另一应用场景,即基于隧道的数据加密方法可以与基于隧道的数据解密方法应用同一执行主体,如均应用于路由器1,则基于隧道的数据加密方法中内网侧的对端设备即为PC1,此时加密会话表的中的信息和解密会话表中的信息可以存储在同一会话表中。
无论是以上哪一应用场景,终端设备在执行基于隧道的数据加密方法时,均可以是接收对端设备通过内网发送链路数据后,终端设备判断链路数据是否需要经过隧道外发,若需要外发,则先确定对端设备是否首次经过自己在这条隧道上外发数据,若是,则先建立加密数据表;若否,则表明已建立对应的加密会话表,可以根据链路数据的五元组从已经建立的加密数据表查找出对应的安全联盟标识和加密标识,然后从安全联盟数据库中查找与安全联盟标识对应的安全联盟,通过识别加密标识得知需要对链路数据进行加密,然后从安全联盟中确定出用于加密的加密信息,并利用加密信息对链路数据进行加密。由于仅需要访问一次加密会话表和访问一次安全联盟数据库,并且基于安全联盟标识能够快速在安全联盟数据库中定位出安全联盟信息,进而能够简化查找流程并提高处理速度。
具体地,图4示意性示出了根据本发明实施例的基于隧道的数据加密方法的流程图。如图4所示,该基于隧道的数据加密方法可以包括步骤S401~步骤S405,其中:
步骤S401,接收对端设备通过内网链路发送的链路数据。
在本实施例中,链路数据可以为通过内网链路发送任何数据。终端设备下可以连接多个对端设备,终端设备和每一个对端设备通过内网链路交互,终端设备为网关设备,如路由器或者防火墙,对端设备为终端设备对应内网下的设备,如台式电脑或者笔记本电脑等。
步骤S402,判断链路数据是否需要经过隧道外发。
每条隧道对应终端设备上一个固定接口,通过判断链路数据是否需要从该固定接口转发即可判断链路数据是否需要经过隧道外发。
步骤S403,在判定链路数据需要经过隧道外发后,判断是否首次接收对端设备发送的需要经过隧道外发的数据。
步骤S404,在判定是首次接收后,建立加密会话表,其中,加密会话表包括:内网链路对应的五元组、隧道对应的安全联盟标识和表征需要加密的加密标识。
由于终端设备可以连接内网侧的多个对端设备,只有当内网侧的对端设备发送的链路数据需要通过隧道外发时,终端设备才会建立属于该对端设备的加密会话表,以免在有些内网侧的对端设备不需要外发数据时,提前建立加密会话表会占用系统资源。因此,在确定链路数据需要外发后,先判断内网侧的对端设备是否首次通过终端设备在该隧道上外发数据,若是,则表明终端设备尚未存在该对端设备的加密会话表,则可以建议一个对应的加密会话表,在对端设备下次通过终端设备在该隧道上外发数据时,只需利用这个加密会话表实现数据加密即可。
需要说明的是,在终端设备和隧道侧的对端设备建立隧道时会协商出安全联盟,安全联盟可以存储在安全联盟数据库中,安全联盟可以包括:安全参数索引、源IP地址、源端口号、目的IP地址、目的端口号、协议(AH协议、ESP协议或者两者结合使用)、协议的封装模式(传输模式或者隧道模式)、加密算法、加密密钥、用于加密的哈希消息认证码、解密算法、解密密钥和用于解密的HMAC等等。
其中,内网链路对应的五元组为:源IP地址为内网侧的对端设备的IP地址,源端口号为内网侧的对端设备与内网链路对应的端口号,目的IP地址为终端设备的IP地址,目的端口号为终端设备与内网链路对应的端口号,协议为终端设备与对端设备之间通过内网链路交互时使用的协议。安全联盟标识与安全联盟唯一对应,安全联盟标识能够快速准确定位出安全联盟在安全联盟数据库中的位置,如,安全联盟数据库为一个数组,安全联盟标识为安全联盟在这个数组中的位置,即安全联盟标识可以为数组下标。加密标识用于表征本次数据需要进行加密,即通过加密标识可以从安全联盟中提取加密信息。
步骤S405,在判定不是首次接收后,获取链路数据的五元组,获取加密会话表,将链路数据的五元组作为加密会话表中内网链路对应的五元组,从加密会话表中查找出安全联盟标识和加密标识;从安全联盟数据库中查找与安全联盟标识对应的安全联盟;识别加密标识,从安全联盟中确定出用于加密的加密信息;利用加密信息对链路数据加密。
其中,链路数据对应的五元组为:源IP地址为内网侧的对端设备的IP地址,源端口号为内网侧的对端设备与内网链路对应的端口号,目的IP地址为终端设备的IP地址,目的端口号为终端设备与内网链路对应的端口号,协议为终端设备与对端设备之间通过内网链路交互时使用的协议。
每条隧道唯一对应一个安全参数索引,且隧道与加密会话表对应,即安全参数索引与加密会话表对应。可选地,在步骤S404之后,该基于隧道的数据加密方法还可以包括:获取安全联盟信息中的安全参数索引,将加密会话表与安全参数索引关联。需要说明的是,在终端设备对应多个对端设备时,这些对端设备对应的加密会话表中的信息均可以存储在一个总的加密会话表中,该总的加密会话表与安全参数索引关联。在判断不是首次接收后,通过识别隧道对应的安全参数索引,可以匹配出对应的加密会话表。可选地,获取加密会话表,可以包括:获取与安全参数索引关联的加密会话表。
本实施例中,通过将链路数据的五元组与加密会话表中内网链路对应的五元组匹配,匹配成功后,查找出对应得安全联盟标识和加密标识,然后通过安全联盟标识,从安全联盟数据库中快速定位安全联盟。进一步,识别从加密会话表中查找出的加密标识,得知需要对链路数据进行加密,因此可以从安全联盟出确定出用于加密的加密信息,其中,加密信息可以包括:加密算法、加密密钥和用于加密的HMAC等,进而利用加密算法、加密密钥和用于加密的HMAC对链路数据加密。
可选地,利用加密信息对链路数据加密,可以包括:判断是否安装了硬件加速卡;在判定安装了硬件加速卡后,在硬件加速卡中利用加密信息对链路数据加密;在判定没有安装硬件加速卡后,判断CPU是否支持加密加速指令;在判定CPU支持加密加速指令后,在CPU中使用加密加速指令利用加密信息对链路数据加密;在判定CPU不支持加密加速指令后,直接利用加密信息对链路数据加密。
本实施例中,硬件加速卡用于实现硬件加速,硬件加速是指在计算机中通过把计算量非常大的工作分配给专门的硬件来处理以减轻中央处理器的工作量之技术。若终端设备存在硬件加速卡,则可以利用硬件加速卡快速实现加密过程,提高处理速度。若终端设备不存在硬件加速卡,可以判断CPU是否支持加密加速指令,加密加速指令与加密算法匹配,用于加速加密过程,比如,先判定加密算法的类型,如加密算法为高级加密标准(AdvancedEncryption Standard,简称为AES),再判定CPU是与加密算法对应的加密加速指令,如判断CPU是否支持AES-NI指令,若支持,则CPU中使用加密加速指令加密,若不支持,则直接利用加密信息进行加密。
图5示意性示出了根据本发明实施例的加解密方案的示意图。
如图5所示,以基于隧道的数据加密方法和基于隧道的数据解密方法应用于同一终端设备为例,终端设备的控制层面通过与隧道侧的对端设备协商,确定出安全联盟,控制层将安全联盟发送至终端设备的数据层面,数据层面的IOCTL(是终端设备驱动程序中对终端设备的I/O通道进行管理的函数)将安全联盟添加到安全联盟数据库中。在终端设备接收到内网侧的对端设备通过内网链路发送的内网数据时(即图5中的外出处理),先判断链路数据是否需要经过隧道外发(如查找策略或者判断路由是否受IPSec保护),若是,则执行加密模块,如ENTunnel,执行ENTunnel的过程参见图4,比如:对于利用加密信息对链路数据加密过程,可以是获取安全联盟中的协议,如是使用AN协议还是使用ESP协议,然后确定是使用传输模式还是隧道模式,再从加解密框架中利用加密信息算出密文,在通过HMAC框架对密文进行哈希,进而实现加密过程。在终端设备接收到隧道侧的对端设备通过隧道发送的待解密数据时(即图5中的接收处理),先查找通过安全参数索引确定解密会话表,然后执行解密模块,如DETunnel,执行DETunnel的过程参见图2,且解密过程与上述加密过程对应,本实施例再次不再数据。
图6示意性示出了根据本发明实施例的加解密框架的示意图。
其中,图6可以为图5中加解密框架的详细示意图,通过图6可以是实现快速加密或者解密过程。以加密算法为例,在实现加密过程时,可以先判断加密算法的类型,如为AES,然后优先判断终端设备是否有硬件加速卡,若有,则利用硬件加速卡实现快速加密,若没有,再判断CPU是否支持AES-NI指令,若支持,在CPU中使用AES-NI指令实现快速加密,若不支持,则利用预设软件算法(即加密信息)实现加密。通过本公开的实施例,屏蔽了算法的具体实现细节,通过内部一系列逻辑即可实现加密或者解密过程,且可以提高加密或解密速度。
本发明的实施例还提供了一种基于隧道的数据解密装置,该装置与上述实施例提供的基于隧道的数据解密方法相对应,相应的技术特征和技术效果在本实施例中不再详述,相关之处可参考上述实施例。具体地,图7示意性示出了根据本发明实施例的基于隧道的数据解密装置的框图。如图7所示,该基于隧道的数据解密装置700可以包括第一接收模块701、第一获取模块702、第二获取模块703、第一查找模块704、第二查找模块705、确定模块706和解密模块707,其中:
第一接收模块701,用于接收对端设备通过隧道发送的待解密数据;
第一获取模块702,用于获取隧道关联的解密会话表,其中,解密会话表包括:隧道对应的五元组、隧道对应的安全联盟标识和表征需要解密的解密标识;
第二获取模块703,用于获取待解密数据的五元组;
第一查找模块704,用于将待解密数据的五元组作为解密会话表中隧道对应的五元组,从解密会话表中查找出安全联盟标识和解密标识;
第二查找模块705,用于从安全联盟数据库中查找与安全联盟标识对应的安全联盟;
确定模块706,用于识别解密标识,从安全联盟中确定出用于解密的解密信息;
解密模块707,用于利用解密信息对待解密数据解密。
可选地,装置还包括:建立模块,用于在接收对端设备通过隧道发送的待解密数据之前,在隧道建立完成的情况下,建立解密会话表。
可选地,该基于隧道的数据解密装置还可以包括:第一关联模块,用于在建立解密会话表之后,获取安全联盟信息中的安全参数索引,将解密会话表与安全参数索引关联;第一获取模块还用于:获取与安全参数索引关联的解密会话表。
可选地,解密模块还用于:判断是否安装了硬件加速卡;在判定安装了硬件加速卡后,在硬件加速卡中利用解密信息对待解密数据解密;在判定没有安装硬件加速卡后,判断CPU是否支持解密加速指令;在判定CPU支持解密加速指令后,在CPU中使用解密加速指令利用解密信息对待解密数据解密;在判定CPU不支持解密加速指令后,直接利用解密信息对待解密数据解密。
本发明的实施例还提供了一种基于隧道的数据加密装置,该装置与上述实施例提供的基于隧道的数据加密方法相对应,相应的技术特征和技术效果在本实施例中不再详述,相关之处可参考上述实施例。具体地,图8示意性示出了根据本发明实施例的基于隧道的数据加密装置的框图。如图8所示,该基于隧道的数据加密装置800可以包括第二接收模块801、第一判断模块802、第二判断模块803、第一处理模块804和第二处理模块805,其中:
第二接收模块801,用于接收对端设备通过内网链路发送的链路数据;
第一判断模块802,用于判断链路数据是否需要经过隧道外发;
第二判断模块803,用于在判定链路数据需要经过隧道外发后,判断是否首次接收对端设备发送的需要经过隧道外发的数据;
第一处理模块804,用于在判定是首次接收后,建立加密会话表,其中,加密会话表包括:内网链路对应的五元组、隧道对应的安全联盟标识和表征需要加密的加密标识;
第二处理模块805,用于在判定不是首次接收后,获取链路数据的五元组,获取加密会话表,将链路数据的五元组作为加密会话表中内网链路对应的五元组,从加密会话表中查找出安全联盟标识和加密标识;从安全联盟数据库中查找与安全联盟标识对应的安全联盟;识别加密标识,从安全联盟中确定出用于加密的加密信息;利用加密信息对链路数据加密。
可选地,该基于隧道的数据加密装置还可以包括:第二关联模块,用于在建立加密会话表之后,获取安全联盟信息中的安全参数索引,将加密会话表与安全参数索引关联;第二处理模块在获取加密会话时还用于:获取与安全参数索引关联的加密会话表。
可选地,第二处理模块在利用加密信息对链路数据加密时还用于:判断是否安装了硬件加速卡;在判定安装了硬件加速卡后,在硬件加速卡中利用加密信息对链路数据加密;在判定没有安装硬件加速卡后,判断CPU是否支持加密加速指令;在判定CPU支持加密加速指令后,在CPU中使用加密加速指令利用加密信息对链路数据加密;在判定CPU不支持加密加速指令后,直接利用加密信息对链路数据加密。
图9示意性示出了根据本发明实施例的适于实现基于隧道的数据解密方法和/或基于隧道的数据加密方法的计算机设备的框图。本实施例中,计算机设备900可以是执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图9所示,本实施例的计算机设备900至少包括但不限于:可通过系统总线相互通信连接的存储器901、处理器902、网络接口903。需要指出的是,图9仅示出了具有组件901-903的计算机设备900,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器903至少包括一种类型的计算机可读存储介质,可读存储介质包括包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器901可以是计算机设备900的内部存储单元,例如该计算机设备900的硬盘或内存。在另一些实施例中,存储器901也可以是计算机设备900的外部存储设备,例如该计算机设备900上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器901还可以既包括计算机设备900的内部存储单元也包括其外部存储设备。在本实施例中,存储器901通常用于存储安装于计算机设备900的操作系统和各类应用软件,例如基于隧道的数据解密方法的程序代码和/或基于隧道的数据加密方法等。此外,存储器901还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器902在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器902通常用于控制计算机设备900的总体操作。例如执行与计算机设备900进行数据交互或者通信相关的控制和处理等的基于隧道的数据解密方法的程序代码和/或基于隧道的数据加密方法的程序代码。
在本实施例中,存储于存储器901中的基于隧道的数据解密方法和/或基于隧道的数据加密方法还可以被分割为一个或者多个程序模块,并由一个或多个处理器(本实施例为处理器902)所执行,以完成本发明。
网络接口903可包括无线网络接口或有线网络接口,该网络接口903通常用于在计算机设备900与其他计算机设备之间建立通信链接。例如,网络接口903用于通过网络将计算机设备900与外部终端相连,在计算机设备900与外部终端之间的建立数据传输通道和通信链接等。网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,简称为GSM)、宽带码分多址(Wideband CodeDivision Multiple Access,简称为WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
本实施例还提供一种计算机可读存储介质,包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等,其上存储有计算机程序,所述计算机程序被处理器执行时实现基于隧道的数据解密方法和/或基于隧道的数据加密方法。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何的硬件和软件结合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种基于隧道的数据解密方法,其特征在于,包括:
接收对端设备通过隧道发送的待解密数据;
获取所述隧道关联的解密会话表,其中,所述解密会话表包括:所述隧道对应的五元组、所述隧道对应的安全联盟标识和表征需要解密的解密标识;
获取所述待解密数据的五元组;
将所述待解密数据的五元组作为所述解密会话表中所述隧道对应的五元组,从所述解密会话表中查找出所述安全联盟标识和所述解密标识;
从所述安全联盟数据库中查找与所述安全联盟标识对应的安全联盟;
识别所述解密标识,从所述安全联盟中确定出用于解密的解密信息;
利用所述解密信息对所述待解密数据解密。
2.根据权利要求1所述的方法,其特征在于,在接收对端设备通过隧道发送的待解密数据之前,所述方法还包括:
在所述隧道建立完成的情况下,建立所述解密会话表。
3.根据权利要求2所述的方法,其特征在于,
在建立所述解密会话表之后,所述方法还包括:获取所述安全联盟信息中的安全参数索引,将所述解密会话表与所述安全参数索引关联;
获取所述隧道关联的解密会话表,包括:获取与所述安全参数索引关联的所述解密会话表。
4.根据权利要求1所述的方法,其特征在于,利用所述解密信息对所述待解密数据解密,包括:
判断是否安装了硬件加速卡;
在判定安装了所述硬件加速卡后,在所述硬件加速卡中利用所述解密信息对所述待解密数据解密;
在判定没有安装所述硬件加速卡后,判断CPU是否支持解密加速指令;
在判定所述CPU支持所述解密加速指令后,在所述CPU中使用所述解密加速指令利用所述解密信息对所述待解密数据解密;
在判定所述CPU不支持所述解密加速指令后,直接利用所述解密信息对所述待解密数据解密。
5.一种基于隧道的数据加密方法,其特征在于,包括:
接收对端设备通过内网链路发送的链路数据;
判断所述链路数据是否需要经过隧道外发;
在判定所述链路数据需要经过所述隧道外发后,判断是否首次接收所述对端设备发送的需要经过所述隧道外发的数据;
在判定是首次接收后,建立加密会话表,其中,所述加密会话表包括:所述内网链路对应的五元组、所述隧道对应的安全联盟标识和表征需要加密的加密标识;
在判定不是首次接收后,获取所述链路数据的五元组,获取所述加密会话表,将所述链路数据的五元组作为所述加密会话表中所述内网链路对应的五元组,从所述加密会话表中查找出所述安全联盟标识和所述加密标识;从所述安全联盟数据库中查找与所述安全联盟标识对应的安全联盟;识别所述加密标识,从所述安全联盟中确定出用于加密的加密信息;利用所述加密信息对所述链路数据加密。
6.根据权利要求5所述的方法,其特征在于,
在建立加密会话表之后,所述方法还包括:获取所述安全联盟信息中的安全参数索引,将所述加密会话表与所述安全参数索引关联;
获取所述加密会话表,包括:获取与所述安全参数索引关联的所述加密会话表。
7.根据权利要求6所述的方法,其特征在于,利用所述加密信息对所述链路数据加密,包括:
判断是否安装了硬件加速卡;
在判定安装了所述硬件加速卡后,在所述硬件加速卡中利用所述加密信息对所述链路数据加密;
在判定没有安装所述硬件加速卡后,判断CPU是否支持加密加速指令;
在判定所述CPU支持所述加密加速指令后,在所述CPU中使用所述加密加速指令利用所述加密信息对所述链路数据加密;
在判定所述CPU不支持所述加密加速指令后,直接利用所述加密信息对所述链路数据加密。
8.一种基于隧道的数据解密装置,其特征在于,包括:
第一接收模块,用于接收对端设备通过隧道发送的待解密数据;
第一获取模块,用于获取所述隧道关联的解密会话表,其中,所述解密会话表包括:所述隧道对应的五元组、所述隧道对应的安全联盟标识和表征需要解密的解密标识;
第二获取模块,用于获取所述待解密数据的五元组;
第一查找模块,用于将所述待解密数据的五元组作为所述解密会话表中所述隧道对应的五元组,从所述解密会话表中查找出所述安全联盟标识和所述解密标识;
第二查找模块,用于从所述安全联盟数据库中查找与所述安全联盟标识对应的安全联盟;
确定模块,用于识别所述解密标识,从所述安全联盟中确定出用于解密的解密信息;
解密模块,用于利用所述解密信息对所述待解密数据解密。
9.一种基于隧道的数据加密装置,其特征在于,包括:
第二接收模块,用于接收对端设备通过内网链路发送的链路数据;
第一判断模块,用于判断所述链路数据是否需要经过隧道外发;
第二判断模块,用于在判定所述链路数据需要经过所述隧道外发后,判断是否首次接收所述对端设备发送的需要经过所述隧道外发的数据;
第一处理模块,用于在判定是首次接收后,建立加密会话表,其中,所述加密会话表包括:所述内网链路对应的五元组、所述隧道对应的安全联盟标识和表征需要加密的加密标识;
第二处理模块,用于在判定不是首次接收后,获取所述链路数据的五元组,获取所述加密会话表,将所述链路数据的五元组作为所述加密会话表中所述内网链路对应的五元组,从所述加密会话表中查找出所述安全联盟标识和所述加密标识;从所述安全联盟数据库中查找与所述安全联盟标识对应的安全联盟;识别所述加密标识,从所述安全联盟中确定出用于加密的加密信息;利用所述加密信息对所述链路数据加密。
10.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法和/或权利要求5至7任一项所述方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法和/或权利要求5至7任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910625148.7A CN112217769B (zh) | 2019-07-11 | 2019-07-11 | 基于隧道的数据解密方法、加密方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910625148.7A CN112217769B (zh) | 2019-07-11 | 2019-07-11 | 基于隧道的数据解密方法、加密方法、装置、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112217769A true CN112217769A (zh) | 2021-01-12 |
| CN112217769B CN112217769B (zh) | 2023-01-24 |
Family
ID=74048152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910625148.7A Active CN112217769B (zh) | 2019-07-11 | 2019-07-11 | 基于隧道的数据解密方法、加密方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112217769B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301735A (zh) * | 2021-12-10 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 管控ipsec隧道数据按需分配的方法、系统、终端及存储介质 |
| CN114301632A (zh) * | 2021-12-02 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529485A (zh) * | 2003-10-20 | 2004-09-15 | 中兴通讯股份有限公司 | Ipsec嵌套策略匹配校验方法 |
| CN101938415A (zh) * | 2010-08-30 | 2011-01-05 | 北京傲天动联技术有限公司 | 网络转发设备的快速转发方法 |
| CN102271061A (zh) * | 2010-06-07 | 2011-12-07 | 杭州华三通信技术有限公司 | 一种确定ip安全虚拟专用网隧道数量的方法和装置 |
| CN103201986A (zh) * | 2011-11-03 | 2013-07-10 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| US20150304427A1 (en) * | 2014-04-22 | 2015-10-22 | Alcatel-Lucent Canada, Inc. | Efficient internet protocol security and network address translation |
| CN105491567A (zh) * | 2014-09-18 | 2016-04-13 | 中兴通讯股份有限公司 | Sip信令解密参数的获取方法及装置 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN106850672A (zh) * | 2017-03-08 | 2017-06-13 | 迈普通信技术股份有限公司 | IPSec隧道的安全联盟查找方法及装置 |
| CN107612684A (zh) * | 2017-10-20 | 2018-01-19 | 中博龙辉(北京)信息技术股份有限公司 | 基于国产化处理器平台专有指令集的数据对称加密方法 |
| CN108322361A (zh) * | 2018-01-24 | 2018-07-24 | 杭州迪普科技股份有限公司 | 一种IPSec VPN隧道内业务流量统计方法及装置 |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN109714292A (zh) * | 2017-10-25 | 2019-05-03 | 华为技术有限公司 | 传输报文的方法与装置 |
-
2019
- 2019-07-11 CN CN201910625148.7A patent/CN112217769B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529485A (zh) * | 2003-10-20 | 2004-09-15 | 中兴通讯股份有限公司 | Ipsec嵌套策略匹配校验方法 |
| CN102271061A (zh) * | 2010-06-07 | 2011-12-07 | 杭州华三通信技术有限公司 | 一种确定ip安全虚拟专用网隧道数量的方法和装置 |
| CN101938415A (zh) * | 2010-08-30 | 2011-01-05 | 北京傲天动联技术有限公司 | 网络转发设备的快速转发方法 |
| CN103201986A (zh) * | 2011-11-03 | 2013-07-10 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| US20150304427A1 (en) * | 2014-04-22 | 2015-10-22 | Alcatel-Lucent Canada, Inc. | Efficient internet protocol security and network address translation |
| CN105491567A (zh) * | 2014-09-18 | 2016-04-13 | 中兴通讯股份有限公司 | Sip信令解密参数的获取方法及装置 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN106850672A (zh) * | 2017-03-08 | 2017-06-13 | 迈普通信技术股份有限公司 | IPSec隧道的安全联盟查找方法及装置 |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN107612684A (zh) * | 2017-10-20 | 2018-01-19 | 中博龙辉(北京)信息技术股份有限公司 | 基于国产化处理器平台专有指令集的数据对称加密方法 |
| CN109714292A (zh) * | 2017-10-25 | 2019-05-03 | 华为技术有限公司 | 传输报文的方法与装置 |
| CN108322361A (zh) * | 2018-01-24 | 2018-07-24 | 杭州迪普科技股份有限公司 | 一种IPSec VPN隧道内业务流量统计方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301632A (zh) * | 2021-12-02 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
| CN114301632B (zh) * | 2021-12-02 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
| CN114301735A (zh) * | 2021-12-10 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 管控ipsec隧道数据按需分配的方法、系统、终端及存储介质 |
| CN114301735B (zh) * | 2021-12-10 | 2023-05-02 | 北京天融信网络安全技术有限公司 | 管控ipsec隧道数据按需分配的方法、系统、终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112217769B (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9100370B2 (en) | Strong SSL proxy authentication with forced SSL renegotiation against a target server | |
| EP2564342B1 (en) | Method and nodes for providing secure access to cloud computing for mobile users | |
| US9608963B2 (en) | Scalable intermediate network device leveraging SSL session ticket extension | |
| EP3633949B1 (en) | Method and system for performing ssl handshake | |
| CN106209838B (zh) | Ssl vpn的ip接入方法及装置 | |
| US20160248734A1 (en) | Multi-Wrapped Virtual Private Network | |
| CN107104929B (zh) | 防御网络攻击的方法、装置和系统 | |
| CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| US20180145950A1 (en) | Connectivity between cloud-hosted systems and on-premises enterprise resources | |
| WO2019129201A1 (en) | Session management for communications between a device and a dtls server | |
| US9473466B2 (en) | System and method for internet protocol security processing | |
| CN103457952A (zh) | 一种基于加密引擎的IPSec处理方法和设备 | |
| CN102970228B (zh) | 一种基于IPsec的报文传输方法和设备 | |
| CN112217769B (zh) | 基于隧道的数据解密方法、加密方法、装置、设备和介质 | |
| CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
| CN114666186A (zh) | Ssl vpn资源访问方法及装置 | |
| CN111262837B (zh) | 一种数据加密方法、数据解密方法、系统、设备和介质 | |
| US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
| WO2015027931A1 (en) | Method and system for realizing cross-domain remote command | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| CN116527405B (zh) | 一种srv6报文加密传输方法、装置及电子设备 | |
| US8670565B2 (en) | Encrypted packet communication system | |
| CN111835613A (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| EP3355546A1 (en) | Device identification encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |