CN112751817B - 通信方法和边缘设备 - Google Patents
通信方法和边缘设备 Download PDFInfo
- Publication number
- CN112751817B CN112751817B CN201911062969.0A CN201911062969A CN112751817B CN 112751817 B CN112751817 B CN 112751817B CN 201911062969 A CN201911062969 A CN 201911062969A CN 112751817 B CN112751817 B CN 112751817B
- Authority
- CN
- China
- Prior art keywords
- unit
- client
- server
- edge
- edge function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种通信方法和边缘设备,该方法包括:当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。本发明实施例提供的方法和边缘设备,解决了现有技术中的边缘计算中端到端加密通信的安全性得不到保证的问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种通信方法和边缘设备。
背景技术
随着大数据与物联网技术的深入发展和广泛应用,接入网络的用户设备数量激增,终端产生的数据呈几何式增长趋势。对分散的计算资源进行数据过滤和处理,将是物联网应用新的重要发展方向。传统的云计算网络架构可以提供资源集中式远程服务,但当数据服务量急剧加大时,无法满足异构、低时延、密集化的网络接入和服务需求。因此,如何有效地利用分散的计算资源,在网络边缘端执行数据处理任务将成为物联网发展的关键挑战。边缘计算正是为满足这种计算需求而被提出,其有效降低了云数据中心的网络带宽和计算负载,边缘计算模型受到学术界和产业界的广泛关注。
图1为现有技术中的边缘计算的网络架构图。如图1所示,边缘计算是在客户端和后端服务器之间的边缘设备上构建的服务和应用,它将客户端和后端服务器的部分功能迁移过来,并提供有限的分布式计算、存储和网络服务。边缘计算作为物联网和云计算的媒介,能够解决物联网和云计算结合引起的终端节点请求时延、云服务器存储和计算负担过重、网络传输带宽压力过大等问题。边缘计算将云计算的服务资源扩展到了网络的边缘,解决了云计算移动性差、地理信息感知弱、时延高等问题。然而,边缘计算兴起的同时也给边缘计算网络中的用户、边缘节点、云服务器的安全防护带来了新的挑战。
在传统的客户端-服务器体系结构中使用边缘计算对传统的端到端加密提出了挑战。传统上,Web服务是在端到端加密通道上提供的,但边缘计算无法在不首先对其进行解密的情况下访问和处理端到端加密流量,这违反了端到端安全性。由于边缘计算的性能限制和安全风险,为云计算开发的解决方案不适用于边缘计算。例如,对于端到端加密机制的高性能开销,由于高性能开销,将丧失边缘计算低时延优势。此外,由于边缘节点具有托管多个不相关的终端用户的能力,因此受损的终端可能会对其他用户及其关联的后端服务器构成风险。目前,尚无确定的技术方案用于解决边缘计算中端到端加密通信的安全性问题。
因此,如何解决边缘计算中端到端加密通信的安全性问题,仍然是本领域技术人员亟待解决的问题。
发明内容
本发明实施例提供一种通信方法和边缘设备,用以解决现有的边缘计算中端到端加密通信的安全性问题。
第一方面,本发明实施例提供一种通信方法,包括:
当接收到客户端到服务器端的加密通信请求时,
采用SPX协议与所述服务器端之间建立安全信道;
所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;
握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
优选地,当接收到访问请求时,边缘功能的不可信单元将所述访问请求传递给边缘功能的可信单元;
所述边缘功能的可信单元对所述访问请求进行解密,解密成功后,所述边缘功能的可信单元命令所述边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容;
所述边缘功能的不可信单元向所述客户端返回所述内容;
其中,所述边缘功能为边缘设备代理的服务器端的功能,所述边缘功能的不可信单元为处理与边缘功能相关的网络交互和存储的单元,所述边缘功能的可信单元为处理从所述客户端或所述服务器端发来的请求的单元。
优选地,所述通过SPX协议监视所述客户端与所述服务器端之间的握手过程,具体包括:
采用SPX协议将所述加密通信请求中继到服务器端;
接收所述服务器端通过所述安全通道返回的会话密钥,其中,所述会话密钥用于所述客户端到服务器端加密通信的加解密;
将所述会话密钥发送到客户端。
优选地,所述边缘功能的可信单元对所述访问请求进行解密,具体包括:
所述边缘功能的可信单元采用预先存储的会话密钥对所述访问请求进行解密;
若解密不成功,所述边缘功能的可信单元通过远程认证接口向所述服务器端请求所述访问请求对应的会话密钥,保存所述访问请求对应的会话密钥并对所述访问请求进行解密。
优选地,上述任一所述的通信方法,还包括:
若接收控制台发送的部署指令,记载程序代码并运行;其中,所述部署指令包括实现边缘功能的所述程序代码;
接收所述控制台发送的边缘功能完整性验证请求,返回运行所述程序代码得到的特征值;
接收所述控制台返回的边缘功能完整性验证结果,若验证结果为不通过,则卸载所述程序代码。
第二方面,本发明实施例提供一种边缘设备,包括:
信道建立单元,用于当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;
监视单元,用于在所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;
第一中继单元,用于在握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
优选地,所述边缘设备,还包括:
边缘功能的不可信单元,用于当接收到访问请求时,将所述访问请求传递给边缘功能的可信单元;
边缘功能的可信单元,用于对所述访问请求进行解密,解密成功后,命令所述边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容;
所述边缘功能的不可信单元,还用于向所述客户端返回所述内容;
其中,所述边缘功能为边缘设备代理的服务器端的功能,所述边缘功能的不可信单元为处理与边缘功能相关的网络交互和存储的单元,所述边缘功能的可信单元为处理从所述客户端或所述服务器端发来的请求的单元。
优选地,所述监视单元,具体包括:
第二中继单元,用于采用SPX协议将所述加密通信请求中继到服务器端;
接收单元,用于接收所述服务器端通过所述安全通道返回的会话密钥,其中,所述会话密钥用于所述客户端到服务器端加密通信的加解密;
发送单元,用于将所述会话密钥发送到客户端。
优选地,所述边缘功能的可信单元,具体包括:
解密单元,用于采用预先存储的会话密钥对所述访问请求进行解密;
获取密钥单元,用于若解密不成功,所述边缘功能的可信单元通过远程认证接口向所述服务器端请求所述访问请求对应的会话密钥;
所述解密单元,还用于保存所述访问请求对应的会话密钥并对所述访问请求进行解密。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所提供的通信方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的通信方法的步骤。
本发明实施例提供的一种通信方法和边缘设备,当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信,允许边缘功能发起与客户端之间的通信而不违反端到端的加密协议。因此,本发明实施例提供的通信方法和边缘设备,解决了现有技术中的边缘计算中端到端加密通信的安全性问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的边缘计算的网络架构图;
图2为本发明实施例提供的通信方法的流程示意图;
图3为本发明实施例提供的边缘设备的结构示意图;
图4为本发明实施例提供的SPX协议网络架构图;
图5为本发明实施例提供的另一边缘设备的结构示意图;
图6为本发明实施例提供的边缘功能部署的结构示意图;
图7为本发明实施例提供的又一边缘设备的结构示意图;
图8为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的边缘计算技术中,在客户端到服务器体系结构中使用边缘计算对传统的端到端加密通信提出了安全性问题的挑战。对此,本发明实施例提供了一种通信方法。图2为本发明实施例提供的通信方法的流程示意图,如图2所示,该方法的执行主体为边缘设备,该方法包括:
步骤210,当接收到客户端到服务器端的加密通信请求时,采用SPX(序列分组交换)协议与所述服务器端之间建立安全信道。
具体地,客户端通过通用安全协议将客户端到服务器端的加密通信请求发送到边缘设备,再通过SPX协议将客户端到服务器端的加密通信请求中继到服务器端;边缘设备与服务器端之间通过SPX协议建立的安全信道是与边缘设备的操作系统无关的安全信道,确保通信安全性。
步骤220,所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程。
具体地,边缘设备和服务器端之间的安全信道建立成功之后,通过边缘设备与服务器端之间的SPX协议可以监视客户端与服务器端之间的整个握手过程并提取与客户端通信所需的相关信息。
步骤230,握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
具体地,握手成功后,边缘设备将边缘设备与服务器端之间的与操作系统无关的安全信道中继到客户端,从而允许客户端和边缘设备之间的安全通信具有与客户端和服务器端之间通信相同的安全属性。
本发明实施例提供的方法,当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信,允许边缘功能发起与客户端之间的通信而不违反端到端的加密协议。因此,本发明实施例提供的通信方法,解决了现有技术中的边缘计算中端到端加密通信的安全性问题。
基于上述实施例,该方法中,还包括:
当接收到访问请求时,边缘功能的不可信单元将所述访问请求传递给边缘功能的可信单元;
所述边缘功能的可信单元对所述访问请求进行解密,解密成功后,所述边缘功能的可信单元命令所述边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容;
所述边缘功能的不可信单元向所述客户端返回所述内容;
其中,所述边缘功能为边缘设备代理的服务器端的功能,所述边缘功能的不可信单元为处理与边缘功能相关的网络交互和存储的单元,所述边缘功能的可信单元为处理从所述客户端或所述服务器端发来的请求的单元。
具体地,图3为本发明实施例提供的边缘设备的结构示意图。如图3所示,边缘设备的边缘功能包括可信单元和不可信单元。边缘功能为网络管理设备或者服务器端往边缘设备上加载的服务器端的功能,这样大部分重复的数据访问请求可以由边缘设备代理完成,只有少部分边缘设备无法代理的功能需要服务器端亲自完成。因为边缘功能中的可信单元的加解密开销非常大,所以将边缘功能中与加解密不相关的一部分功能采用不可信单元实现以减小可信部分的性能开销。故采用边缘功能的可信单元处理从客户端或服务器端发来的请求,而采用边缘功能的不可信单元处理与边缘功能相关的网络交互和存储的单元。
当接收到访问请求时,边缘功能的不可信单元作为处理网络交互的单元,它负责接收上述访问请求,但是对于访问请求的处理要交给负责处理客户端或者服务器端的请求的边缘功能的可信单元完成。边缘功能的可信单元对所述访问请求进行解密处理,解密成功后,边缘功能的可信单元命令边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容,因为是边缘功能的不可信单元负责理与边缘功能相关的存储。最后,边缘功能的不可信单元将访问请求对应的内容返回给客户端。
本发明实施例提供的方法,通过将边缘设备中的边缘功能分为可信单元和不可信单元,采用边缘功能的可信单元处理从客户端或服务器端发来的请求,而采用边缘功能的不可信单元处理与边缘功能相关的网络交互和存储的单元,实现了边缘功能的可信单元的性能开销的降低,保证了访问请求中数据的高速提取和存储。
基于上述任一实施例,该方法中,所述通过SPX协议监视所述客户端与所述服务器端之间的握手过程,具体包括:
采用SPX协议将所述加密通信请求中继到服务器端;
接收所述服务器端通过所述安全通道返回的会话密钥,其中,所述会话密钥用于所述客户端到服务器端加密通信的加解密;
将所述会话密钥发送到客户端。
具体地,图4为本发明实施例提供的SPX协议网络架构图。如图4所示,客户端和边缘设备之间使用通用安全协议,边缘设备和服务器端之间采用SPX协议。
当边缘设备接收到客户端发送的客户端到服务器端的加密通信请求时,通过SPX协议将所述加密通信请求中继到服务器端,服务器端接收到边缘设备发来的客户端的加密通信请求,进行解析,并根据解析出来的会话密钥进行会话协商,确定好服务器端的会话密钥,并通过安全信道将服务器端的会话密钥返回给边缘设备,最后边缘设备将服务器端的会话密钥发送到客户端以完成客户端和服务器端之间的握手。
基于上述任一实施例,该方法中,所述边缘功能的可信单元对所述访问请求进行解密,具体包括:
所述边缘功能的可信单元采用预先存储的会话密钥对所述访问请求进行解密;
若解密不成功,所述边缘功能的可信单元通过远程认证接口向所述服务器端请求所述访问请求对应的会话密钥,保存所述访问请求对应的会话密钥并对所述访问请求进行解密。
具体地,图5为本发明实施例提供的另一边缘设备的结构示意图。如图5所示,边缘设备中的边缘功能分为可信单元和不可信单元。
其中,可信单元中的会话加解密模块对访问请求进行会话解密时,会采用预先存储的会话密钥对所述访问请求进行解密,如果解密不成功,则边缘功能的可信单元通过远程认证接口向所述服务器端请求所述访问请求对应的会话密钥。通常是客户端与服务器端之间的会话密钥没有及时更新给边缘设备,所以当边缘设备代理服务器端的访问功能时,会出现预存的会话密钥对访问请求无法解密的情况,此时就需要边缘设备向服务器端发起会话密钥更新的请求,请服务器端将最新的会话密钥传过来,以便边缘设备对访问请求进行会话解密,同时边缘设备保存最新的会话密钥。图5中还展示了边缘功能的可信单元负责会话加解密和文件加解密,边缘功能的不可信单元的接口部分与边缘设备的存储单元通信,同时也与外界客户端、服务器端作为代理通信。
基于上述任一实施例,该方法中,还包括:
若接收控制台发送的部署指令,记载程序代码并运行;其中,所述部署指令包括实现边缘功能的所述程序代码;
接收所述控制台发送的边缘功能完整性验证请求,返回运行所述程序代码得到的特征值;
接收所述控制台返回的边缘功能完整性验证结果,若验证结果为不通过,则卸载所述程序代码。
具体地,图6为本发明实施例提供的边缘功能部署的结构示意图。如图6所示,控制台为服务器端或者网络中的管理设备,其上有部署边缘设备的指令。控制台向边缘设备的部署器下发包括实现边缘功能的程序代码和数据到边缘设备的部署器,部署器再将程序代码记载到边缘设备的处理器上进行运行。然后,控制台与边缘设备之间进行远程证明来验证部署的边缘功能的完整性,通过边缘设备接收控制台发送的检测边缘功能完整性的验证请求,边缘设备向控制台返回运行程序代码得到的特征值,控制台接收到运行程序代码得到的特征值后与预先存储的特征值进行比较,判断边缘功能的完整性。如果判断结果为不通过,则控制台下发不通过的边缘功能完整性验证结果,命令边缘设备卸载所述程序代码。边缘设备卸载掉程序代码后,等待下一次的控制台的部署指令,重新加载边缘功能的程序代码。
基于上述任一实施例,本发明实施例提供一种边缘设备。图7为本发明实施例提供的又一边缘设备的结构示意图,如图7所示,所述边缘设备包括信道建立单元710、监视单元720和第一中继单元730,其中,
信道建立单元,用于当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;
监视单元,用于在所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;
第一中继单元,用于在握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
本发明实施例提供的边缘设备,通过当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信,允许边缘功能发起与客户端之间的通信而不违反端到端的加密协议。因此,本发明实施例提供的边缘设备,解决了现有技术中的边缘计算中端到端加密通信的安全性问题。
基于上述任一实施例,所述边缘设备中,还包括:
边缘功能的不可信单元,用于当接收到访问请求时,将所述访问请求传递给边缘功能的可信单元;
边缘功能的可信单元,用于对所述访问请求进行解密,解密成功后,命令所述边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容;
所述边缘功能的不可信单元,还用于向所述客户端返回所述内容;
其中,所述边缘功能为边缘设备代理的服务器端的功能,所述边缘功能的不可信单元为处理与边缘功能相关的网络交互和存储的单元,所述边缘功能的可信单元为处理从所述客户端或所述服务器端发来的请求的单元。
本发明实施例提供的边缘设备,通过将边缘设备中的边缘功能分为可信单元和不可信单元,采用边缘功能的可信单元处理从客户端或服务器端发来的请求,而采用边缘功能的不可信单元处理与边缘功能相关的网络交互和存储的单元,实现了边缘功能的可信单元的性能开销的降低,保证了访问请求中数据的高速提取和存储。
基于上述任一实施例,所述边缘设备中,所述监视单元,具体包括:
第二中继单元,用于采用SPX协议将所述加密通信请求中继到服务器端;
接收单元,用于接收所述服务器端通过所述安全通道返回的会话密钥,其中,所述会话密钥用于所述客户端到服务器端加密通信的加解密;
发送单元,用于将所述会话密钥发送到客户端。
基于上述任一实施例,所述边缘设备中,所述边缘功能的可信单元,具体包括:
解密单元,用于采用预先存储的会话密钥对所述访问请求进行解密;
获取密钥单元,用于若解密不成功,所述边缘功能的可信单元通过远程认证接口向所述服务器端请求所述访问请求对应的会话密钥;
所述解密单元,还用于保存所述访问请求对应的会话密钥并对所述访问请求进行解密。
图8为本发明实施例提供的电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)801、通信接口(Communications Interface)802、存储器(memory)803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信。处理器801可以调用存储在存储器803上并可在处理器801上运行的计算机程序,以执行上述各实施例提供的通信方法,例如包括:当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
此外,上述的存储器803中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的通信方法,例如包括:当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种通信方法,其特征在于,包括:
当接收到客户端到服务器端的加密通信请求时,
采用SPX协议与所述服务器端之间建立安全信道;
所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;
握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
2.根据权利要求1所述的通信方法,其特征在于,包括:
当接收到访问请求时,边缘功能的不可信单元将所述访问请求传递给边缘功能的可信单元;
所述边缘功能的可信单元对所述访问请求进行解密,解密成功后,所述边缘功能的可信单元命令所述边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容;
所述边缘功能的不可信单元向所述客户端返回所述内容;
其中,所述边缘功能为边缘设备代理的服务器端的功能,所述边缘功能的不可信单元为处理与边缘功能相关的网络交互和存储的单元,所述边缘功能的可信单元为处理从所述客户端或所述服务器端发来的请求的单元。
3.根据权利要求1所述的通信方法,其特征在于,所述通过SPX协议监视所述客户端与所述服务器端之间的握手过程,具体包括:
采用SPX协议将所述加密通信请求中继到服务器端;
接收所述服务器端通过所述安全信道 返回的会话密钥,其中,所述会话密钥用于所述客户端到服务器端加密通信的加解密;
将所述会话密钥发送到客户端。
4.根据权利要求2所述的通信方法,其特征在于,所述边缘功能的可信单元对所述访问请求进行解密,具体包括:
所述边缘功能的可信单元采用预先存储的会话密钥对所述访问请求进行解密;
若解密不成功,所述边缘功能的可信单元通过远程认证接口向所述服务器端请求所述访问请求对应的会话密钥,保存所述访问请求对应的会话密钥并对所述访问请求进行解密。
5.根据权利要求1至4中任一项所述的通信方法,其特征在于,还包括:
若接收控制台发送的部署指令,记载程序代码并运行;其中,所述部署指令包括实现边缘功能的所述程序代码;
接收所述控制台发送的边缘功能完整性验证请求,返回运行所述程序代码得到的特征值;
接收所述控制台返回的边缘功能完整性验证结果,若验证结果为不通过,则卸载所述程序代码。
6.一种边缘设备,其特征在于,包括:
信道建立单元,用于当接收到客户端到服务器端的加密通信请求时,采用SPX协议与所述服务器端之间建立安全信道;
监视单元,用于在所述安全信道建立成功后,通过SPX协议监视所述客户端与所述服务器端之间的握手过程;
第一中继单元,用于在握手成功后,将所述安全信道中继到所述客户端,实现所述客户端到所述服务器端之间的加密通信。
7.根据权利要求6所述的边缘设备,其特征在于,还包括:
边缘功能的不可信单元,用于当接收到访问请求时,将所述访问请求传递给边缘功能的可信单元;
边缘功能的可信单元,用于对所述访问请求进行解密,解密成功后,命令所述边缘功能的不可信单元访问文件系统中对应于所述访问请求的内容;
所述边缘功能的不可信单元,还用于向所述客户端返回所述内容;
其中,所述边缘功能为边缘设备代理的服务器端的功能,所述边缘功能的不可信单元为处理与边缘功能相关的网络交互和存储的单元,所述边缘功能的可信单元为处理从所述客户端或所述服务器端发来的请求的单元。
8.根据权利要求6所述的边缘设备,其特征在于,所述监视单元,具体包括:
第二中继单元,用于采用SPX协议将所述加密通信请求中继到服务器端;
接收单元,用于接收所述服务器端通过所述安全信道 返回的会话密钥,其中,所述会话密钥用于所述客户端到服务器端加密通信的加解密;
发送单元,用于将所述会话密钥发送到客户端。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5中任一项所述的通信方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5中任一项所述的通信方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911062969.0A CN112751817B (zh) | 2019-10-31 | 2019-10-31 | 通信方法和边缘设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911062969.0A CN112751817B (zh) | 2019-10-31 | 2019-10-31 | 通信方法和边缘设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112751817A CN112751817A (zh) | 2021-05-04 |
| CN112751817B true CN112751817B (zh) | 2022-08-09 |
Family
ID=75644982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911062969.0A Active CN112751817B (zh) | 2019-10-31 | 2019-10-31 | 通信方法和边缘设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112751817B (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100512281C (zh) * | 2004-06-18 | 2009-07-08 | 华为技术有限公司 | 网间互联协议网络安全保障方法及系统 |
| US8782393B1 (en) * | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| WO2012159059A1 (en) * | 2011-05-18 | 2012-11-22 | Citrix Systems, Inc. | Systems and methods for secure handling of data |
| US10225278B1 (en) * | 2017-09-18 | 2019-03-05 | Syniverse Technologies, Llc | Method of assessing real-time security of sequenced packet exchange (SPX) network connection |
| CN108551464B (zh) * | 2018-03-08 | 2020-12-22 | 网宿科技股份有限公司 | 一种混合云的连接建立、数据传输方法、装置和系统 |
-
2019
- 2019-10-31 CN CN201911062969.0A patent/CN112751817B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112751817A (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11140162B2 (en) | Response method and system in virtual network computing authentication, and proxy server | |
| CN110944330B (zh) | Mec平台部署方法及装置 | |
| US9584515B2 (en) | Enterprise system authentication and authorization via gateway | |
| CN109905350B (zh) | 一种数据传输方法及系统 | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| CN104243419B (zh) | 基于安全外壳协议的数据处理方法、装置及系统 | |
| CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
| CN106790285B (zh) | 一种会话重用方法及装置 | |
| CN115086306B (zh) | 一种数据传输方法、装置、电子设备和存储介质 | |
| CN109101811B (zh) | 一种基于SSH隧道的可控Oracle会话的运维与审计方法 | |
| CN106909826A (zh) | 口令代填装置及系统 | |
| CN105577657B (zh) | 一种ssl/tls算法套件的扩展方法 | |
| Miller et al. | The 5g key-establishment stack: In-depth formal verification and experimentation | |
| CN112751817B (zh) | 通信方法和边缘设备 | |
| CN105828330A (zh) | 一种接入方法及装置 | |
| KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
| CN114500478A (zh) | 软件分发方法、装置和电子设备 | |
| US20120216033A1 (en) | Communication system, printing device, and sa establishment method | |
| JP2021140821A (ja) | 画面制御装置及び画面制御方法 | |
| CN111193776A (zh) | 云桌面环境下客户端自动登录方法、装置、设备和介质 | |
| KR102557051B1 (ko) | 사물 인터넷 개방형 플랫폼에서의 디바이스 인증 방법 및 장치 | |
| KR102428410B1 (ko) | 악의적 프레임 삽입 방법 및 그 장치 | |
| CN112953937B (zh) | 一种电力可信计算平台通信端到端安全通信系统 | |
| CN112738069B (zh) | 一种基于有状态和无状态认证机制的融合方法、系统及服务器 | |
| CN114553602B (zh) | 一种软硬生命老化控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |