CN112995230A - 加密数据处理方法、装置和系统 - Google Patents
加密数据处理方法、装置和系统 Download PDFInfo
- Publication number
- CN112995230A CN112995230A CN202110539909.4A CN202110539909A CN112995230A CN 112995230 A CN112995230 A CN 112995230A CN 202110539909 A CN202110539909 A CN 202110539909A CN 112995230 A CN112995230 A CN 112995230A
- Authority
- CN
- China
- Prior art keywords
- encryption gateway
- server
- session
- data
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种加密数据处理方法、装置和系统,该方法包括:服务端加密网关接收服务端设备发送的第一数据报文;使用第一会话ID替换第一数据报文中的第一源端参数以及第一目的端参数,得到第二数据报文;将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关。该方法可以提升业务并发量和执行速度。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种加密数据处理方法、装置和系统。
背景技术
为了提高用户端设备和服务端设备之间数据通信的安全性,可以在网络中部署加密网关,利用加密网关对用户端设备和服务端设备之间通信的数据的进行加密或解密。
目前,主流的加密网关设备,大多内置专用密码模块实现数据的加解密。例如,通过PCI-E(Peripheral Component Interconnect-Express,一种通用总线规格)密码卡实现数据的加解密。
发明内容
有鉴于此,本申请提供一种加密数据处理方法、装置和系统。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种加密数据处理方法,应用于包括用户端设备、服务端设备以及加密网关的加密数据处理系统,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关和用户端加密网关,所述方法包括:
服务端加密网关接收服务端设备发送的第一数据报文,所述第一数据报文中包括第一源端参数、第一目标的端参数以及明文数据;
所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述服务端加密网关使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述服务端加密网关将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
所述用户端加密网关依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数,使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述用户端加密网关将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
根据本申请实施例的第二方面,提供一种加密数据处理装置,应用于加密数据处理系统中的加密网关,所述加密数据处理系统还包括用户端设备和服务端设备,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关和用户端加密网关,所述装置包括:接收单元、确定单元、替换单元以及发送单元;其中:
在所述加密网关被部署为服务端加密网关的情况下:
所述接收单元,用于接收服务端设备发送的第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述确定单元,用于依据所述第一源端参数、第一目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述替换单元,用于使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述发送单元,用于将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
在所述加密网关被部署为用户端加密网关的情况下:
所述接收单元,用于接收所述服务端加密网关的密码模块通过网口发送的所述第三数据报文;
所述确定单元,用于依据所述第一会话ID,确定对应的所述第一端参数以及所述第一目的端参数;
所述替换单元,用于使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述发送单元,用于将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
根据本申请实施例的第三方面,提供一种加密数据处理系统,包括用户端设备、服务端设备以及加密网关,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关和用户端加密网关,其中:
所述服务端设备,用于向服务端加密网关发送第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述服务端加密网关,用于接收所述服务端设备发送的第一数据报文;
所述服务端加密网关,还用于依据所述第一会话的源端参数以及会话的目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述服务端加密网关,还用于使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述服务端加密网关,还用于将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
所述用户端加密网关,用于依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数,使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述用户端加密网关,还用于将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
本申请实施例的加密数据处理方法,通过为加密网关的密码模块设置网口,加密网关的密码模块对明文数据进行加密得到的密文数据,或,对密文数据进行解密得到的明文数据不需要重新发回给CPU,而是可以通过该网口发往下一节点,实现了数据单向流转,相较于传统方案节省了一次数据搬运过程;此外,数据加解密后得到的数据由密码模块通过网口转发,CPU无需关注数据转发功能,从而,CPU可以有更多资源进行请求处理,进而,可以提升业务并发量和执行速度。再者,通过构建会话ID、会话的源端参数以及会话的目的端参数的绑定关系,服务端加密网关和用户端加密网关之间进行数据交互时,可以使用会话ID替换源端参数以及目的端参数,简化数据报文,减少服务端加密网关与用户端加密网关之间的数据转发量,节省网络资源。
附图说明
图1为本申请一示例性实施例示出的一种加密数据处理方法的流程示意图;
图2为本申请一示例性实施例示出的一种加密网关的结构示意图;
图3A和图3B为本申请一示例性实施例示出的加密数据处理流程的示意图;
图3C为本申请一示例性实施例示出的加密数据处理流程中数据报文格式的示意图;
图4为本申请一示例性实施例示出的一种加密数据处理装置的结构示意图;
图5为本申请一示例性实施例示出的另一种加密数据处理装置的结构示意图;
图6为本申请一示例性实施例示出的一种电子设备的硬件结构示意图;
图7为本申请一示例性实施例示出的一种加密数据处理系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
本申请实施例中,考虑到传统方案中加密网关通过密码模块对数据进行加解密时,若进行数据加密,则加密网关的CPU(Center Process Unit,中央处理单元)需要通过物理接口(如PCI-E接口)将明文数据发给密码模块,再接收密码模块加密完的密文数据;若进行数据解密,加密网关的CPU需要通过物理接口将密文数据发送给密码模块,再接收密码模块解密完的明文数据。
即传统方案中,加密网关利用密码模块对数据进行加解密时,明文数据和密文数据需要分别输入和输出密码模块各一次:对数据解密加密时,需要将明文数据需要输入密码模块,且密码模块需要输出密文数据(输出至CPU);对数据进行解密时,需要将密文数据输入密码模块,密码模块输出明文数据(输出至CPU)。在大流量数据(例如,大于10Gbps)的场景下,数据吞吐可能影响整体性能。
此外,由于CPU与密码模块之间的物理接口性能有限,在高并发的场景下,对海量数据并发请求可能存在极限。
再者,加密网关的CPU在数据加密或解密过程中,需要做两次数据搬运(将数据发送给密码模块,然后接收密码模块处理后的数据),占用较多I/O(Input/output,输入/输出)资源,降低业务能力。
考虑到上述问题,本申请实施例提供的加密数据处理方案中,通过对加密网关的密码模块进行改进,在密码模块上设置物理网口(简称网口),密码模块对明文数据加密得到的密文数据,或,对密文数据进行解密得到的明文数据,均不需要再重新发回给加密网关的CPU,而是可以通过该新增的网口发送给下一节点,实现了数据单向流转,相较于传统方案节省了一次数据搬运过程;此外,数据加解密后得到的数据由密码模块通过网口转发,CPU无需关注数据转发功能,从而,CPU可以有更多资源进行请求处理,进而,可以提升业务并发量和执行速度。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图1,为本申请实施例提供的一种加密数据处理方法的流程示意图,其中,该加密数据处理方法可以应用于包括用户端设备、服务端设备以及加密网关的加密数据处理系统,加密网关的密码模块设置有网口,加密网关包括服务端加密网关和用户端加密网关,如图1所示,该加密数据处理方法可以包括以下步骤:
需要说明的是,在本申请实施例中,服务端加密网关和用户端加密网关并不是对加密网关的类型的限定,其表征的是依据加密网关在实际场景中所处位置确定的角色。
例如,对于一个加密网关,当其被部署于服务端侧,用于为服务端设备进行数据的加解密时,该加密网关可以称为服务端网关;或者,当该加密网关被部署于用户端侧,用于为用户端设备进行数据的加解密时,该加密网关可以称为用户端网关。
示例性的,一个实际场景中,需要分别部署不同的加密网关作为服务端网关和用户端网关。
此外,本申请实施例中各步骤的序号大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
步骤S100、服务端加密网关接收服务端设备发送的第一数据报文,第一数据报文中包括第一源端参数、第一目标的端参数以及明文数据。
步骤S110、服务端加密网关依据第一源端参数以及第一目的端参数,确定对应的第一会话ID;该第一会话ID由服务端设备与用户端设备在握手阶段协商确定。
步骤S120、服务端加密网关使用第一会话ID替换第一数据报文中的第一源端参数以及第一目的端参数,得到第二数据报文。
需要说明的是,第一数据报文并不特指某一固定的数据报文,而是可以指代任一服务端设备发送给任一用户端设备,且需要通过加密网关转发的数据报文。
第一源端参数为第一数据报文的源端设备的参数信息,如IP地址和端口信息,例如,第一数据报文中携带的第一源端参数可以包括服务端设备的IP地址(可以称为第一服务端IP地址)和端口信息(可以称为第一服务端端口信息)。
第一目的端参数为第一数据报文的目的端设备的参数信息,如IP地址和端口信息,例如,第一数据报文中携带的第一目的端参数可以用户端设备的IP地址(可以称为第一用户端IP地址)和端口信息(可以称为第一用户端端口信息)。
本申请实施例中,为了减少服务端加密网关与用户端加密网关之间的数据转发量,节省网络资源,对于任一用户端设备与任一服务端设备之间的会话,服务端加密网关和用户端加密网关可以分别保存会话的会话ID,与会话的源端参数以及会话的目的端参数的绑定关系,例如,会话ID,与服务端IP地址、服务端端口信息、用户端IP地址、用户端端口信息五者的绑定关系。服务端加密网关和用户端加密网关之间进行数据交互时,可以使用会话ID替换数据报文中的源端参数以及目的端参数。
示例性的,上述会话ID,与源端参数以及目的端参数的绑定关系可以手动配置在服务端加密网关和用户端加密网关;或者,可以在会话建立时由服务端加密网关和用户端加密网关生成并保存。
本申请实施例中,服务端加密网关接收到服务端设备发送的数据报文(本文中称为第一数据报文)时,可以依据该第一数据报文中包括的第一源端参数以及第一目的端参数,确定与第一源端参数以及第一目的端参数对应的会话ID(本文中称为第一会话ID),并使用第一会话ID替换第一源端参数以及第一目的端参数,得到信息简化后的第一数据报文(本文中称为第二数据报文)。
示例性的,服务端加密网关可以依据第一源端参数以及第一目的端参数,查询预先保存的会话ID、会话的源端参数以及会话的目的端参数的绑定关系,确定与第一源端参数以及第一目的端参数对应的第一会话ID。
示例性的,服务端加密网关可以剥除第一数据报文中的第一源端参数以及第一目的端参数,并插入第一会话ID,得到第二数据报文。
需要说明的是,服务端加密网关还可以在第二数据报文中携带用户端加密网关IP地址以及用户端加密网关端口信息,其具体实现可以在下文中结合实例进行说明。
步骤S130、服务端加密网关将第二数据报文发送给服务端加密网关的密码模块,由服务端加密网关的密码模块对第二数据报文中的明文数据进行加密,得到第三数据报文,并由服务端加密网关的密码模块通过该密码模块上的网口将第三数据报文发送给用户端加密网关。
本申请实施例中,为了提高数据安全性,服务端加密网关可以将第二数据报文发送给服务端加密网关的密码模块。
服务端加密网关的密码模块接收到第二数据报文时,可以对该第二数据报文中包括的明文数据进行加密,得到携带密文数据的数据报文(本文中称为第三数据报文)。
本申请实施例中,服务端加密网关的密码模块完成数据加密得到第三数据报文时,不需要将第三数据报文重新发回给CPU,而是可以通过密码模块的网口进行转发,从而,实现了数据单向流转,相较于传统方案节省了一次数据搬运过程;此外,数据加解密后得到的数据由密码模块通过网口转发,CPU无需关注数据转发功能,从而,CPU可以有更多资源进行请求处理,进而,可以提升业务并发量和执行速度。
步骤S140、用户端加密网关依据第一会话ID,确定对应的第一源端参数以及第一目的端参数,使用第一源端参数以及第一目的端参数替换第三数据报文中的第一会话ID,得到第四数据报文。
本申请实施例中,用户端加密网关接收到第三数据报文时,可以获取该第三数据报文中携带的第一会话ID,并依据该第一会话ID,确定对应的第一源端参数以及第一目的端参数。
示例性的,用户端加密网关可以依据第一会话ID,查询预先保存的会话ID、会话的源端参数以及会话的目的端参数的绑定关系,确定与第一会话ID对应的第一源端参数以及第一目的端参数。
本申请实施例中,用户端加密网关确定了与第一会话ID对应的第一源端参数以及第一目的端参数时,可以依据该第一源端参数以及第一目的端参数,替换第三数据报文中的第一会话ID,得到信息还原的第三数据报文(本文中称为第四数据报文)。
步骤S150、用户端加密网关将第四数据报文发送给用户端加密网关的密码模块,由用户端加密网关的密码模块对第四数据报文中的密文数据进行解密,得到第一数据报文,并由用户端加密网关的密码模块通过该密码模块的网口将第一数据报文发送给用户端设备。
本申请实施例中,用户端加密网关得到第四数据报文时,可以将第四数据报文发送给用户端加密网关的密码模块。
用户端加密网关的密码模块接收到第四数据报文时,可以对第四数据报文中包括的密文数据进行解密,得到携带明文数据的数据报文(该数据报文即为上述第一数据报文)。
本申请实施例中,用户端加密网关的密码模块完成数据加密得到第一数据报文时,不需要将第一数据报文重新发回给CPU,而是可以通过密码模块的网口进行转发,从而,实现了数据单向流转,相较于传统方案节省了一次数据搬运过程;此外,数据加解密后得到的数据由密码模块通过网口转发,CPU无需关注数据转发功能,从而,CPU可以有更多资源进行请求处理,进而,可以提升业务并发量和执行速度。
可见,在图1所示方法流程中,通过为加密网关的密码模块设置网口,加密网关的密码模块对明文数据进行加密得到的密文数据,或,对密文数据进行解密得到的明文数据不需要重新发回给CPU,而是可以通过该网口发往下一节点,实现了数据单向流转,相较于传统方案节省了一次数据搬运过程;此外,数据加解密后得到的数据由密码模块通过网口转发,CPU无需关注数据转发功能,从而,CPU可以有更多资源进行请求处理,进而,可以提升业务并发量和执行速度。再者,通过构建会话ID、会话的源端参数以及会话的目的端参数的绑定关系,服务端加密网关和用户端加密网关之间进行数据交互时,可以使用会话ID替换源端参数以及目的端参数,简化数据报文,减少服务端加密网关与用户端加密网关之间的数据转发量,节省网络资源。
在一些实施例中,步骤S100中,服务端加密网关接收服务端设备发送的第一数据报文之前,还可以包括:
用户端加密网关接收用户端设备发送的请求服务信息;
用户端加密网关向服务端加密网关发送携带请求服务信息的握手请求;
服务端加密网关依据握手请求与用户端加密网关进行握手处理,以及,服务端加密网关将请求服务信息发送给服务端设备,由服务端设备向服务端加密网关发送与请求服务信息对应的数据。
示例性的,为了加快数据获取的响应速度,提高数据获取效率,用户端加密网关接收到用户端设备发送的请求服务信息时,在与服务端加密网关进行握手处理时,可以将该请求服务信息携带在握手请求中发送给服务端加密网关,由服务端加密网关将该请求服务信息发送给服务端设备,以便服务端设备可以在用户端加密网关与服务端加密网关之间进行握手处理时,提前将该请求服务信息对应的数据发送给服务端加密网关,进而,服务端加密网关与用户端加密网关在握手过程中认证成功时,服务端加密网关不需要再等待 从服务端设备中获取用户端设备请求的数据。
相应地,用户端加密网关接收到用户端设备发送的请求服务信息时,可以向服务端加密网关发送携带该请求服务信息的握手请求。
服务端加密网关接收到该握手请求时,一方面,可以依据该握手请求与用户端加密网关进行握手处理,其具体实现可以参见传统方案中的相关实现;另一方面,服务端加密网关可以将该握手请求中携带的请求服务信息发送给服务端设备。
服务端设备接收到该请求服务信息时,可以将该请求服务信息对应的数据发送给服务端加密网关。
在一个示例中,步骤S100中,服务端加密网关接收服务端设备发送的第一数据报文,可以包括:
服务端加密网关接收服务端设备发送的响应该请求服务信息的第一数据报文,第一数据报文中包括的明文数据为与该请求服务信息对应的数据。
步骤S110中,服务端加密网关依据第一源端参数以及第一目的端参数,确定对应的第一会话ID,可以包括:
当服务端加密网关与用户端加密网关在握手过程中认证成功时,服务端加密网关依据第一源端参数以及第一目的端参数,确定对应的第一会话ID。
示例性的,服务端设备接收到服务端加密网关发送的请求服务信息时,可以依据该请求服务信息确定对应的数据,并将该数据以明文数据的形式封装为第一数据报文,发送给服务端加密网关。
服务端加密网关接收到第一数据报文时,可以依据服务端加密网关与用户端加密网关在握手过程中的认证结果确定是否需要对第一数据报文进行转发。
示例性的,当服务端加密网关与用户端加密网关在握手过程中认证成功时,服务端加密网关可以依据第一源端参数以及第一目的端参数,确定对应的第一会话ID,并按照上述实施例中描述的方式对第一数据报文进行转发。
需要说明的是,在本申请实施例中,当服务端加密网关与用户端加密网关在握手过程中认证失败时,服务端加密网关可以不对第一数据报文进行转发。
在一个示例中,本申请实施例提供的加密数据处理方法还可以包括:
当服务端加密网关与用户端加密网关在握手过程中认证成功时,服务端加密网关与用户端加密网关协商会话ID,并分别保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
示例性的,当服务端加密网关接收到用户端加密网关发送的握手请求时,可以与用户端加密网关进行握手处理,并当在握手过程中认证成功时,服务端加密网关可以与用户端加密网关协商确定会话ID。
示例性的,服务端加密网关可以在认证成功时,随机生成一个会话ID,并将该会话ID同步给用户端加密网关。
服务端加密网关与用户端加密网关协商确定了会话ID时,可以分别保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
示例性的,会话的源端参数可以包括源端设备的IP地址和端口信息;会话的目的端参数可以包括目的端设备的IP地址和端口信息。
举例来说,以用户端设备A(假设IP地址为IP1)通过端口1(假设端口号为A1)发送请求服务信息,且服务端设备B(假设IP地址为IP2)通过端口2(假设端口为B2)响应请求服务信息为例,当服务端加密网关和用户端加密网关在握手过程中认证成功,且服务端加密网关和用户端加密网关协商确定了会话ID(假设为A1B2)时,服务端加密网关和用户端加密网关可以分别保存绑定关系:IP1-A1-IP2-B2-A1B2。
示例性的,服务端加密网关接收到服务端设备发送的数据报文时,可以依据保存的上述绑定关系进行信息替换,以简化数据报文;用户端加密网关接收到数据报文时,可以依据保存的上述绑定关系进行信息替换,以还原数据报文。
需要说明的是,本申请实施例中,服务端加密网关与用户端加密网关在握手过程中除了可以协商确定会话ID之外,还可以协商确定会话密钥,其中,会话密钥的协商确定过程以及会话密钥的应用可以参见传统流程中的相关实现,本申请实施例在此不做赘述。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体应用场景对本申请实施例提供的技术方案进行说明。
请参见图2,为本申请实施例提供的一种加密网关的结构示意图,如图2所示,在传统密码模块的基础上,本申请实施例提供的加密网关针对密码模块进行如下扩展:
1、物理网口(硬件):用于对外转发密码模块处理(加密处理或解密处理)后的数据;
2、网络协议(软件):用于处理网络协议,与对密码模块的数据转发进行协议支持。
在该实施例中,如图3B所示,可以在服务端和用户端分别部署一个加密网关,其中,部署于服务端侧的加密网关称为服务端加密网关,部署于用户端侧的加密网关称为用户端加密网关,该两个加密网关在硬件结构和功能结构上可以相同,但依据其所部署的位置,分别被设置了不同的功能。
在该实施例中,通过在密码模块上扩展出网口用于数据转发,减少数据来回搬运,使整个数据流趋于流水型,能够获得如下有益效果:
1、数据单向进入密码模块,加密或解密运算后,从密码模块的网口转发;
2、数据无需来回搬运,业务逻辑趋于简单,CPU不用处理接受返回数据的问题;
3、CPU资源占用率降低,只需关注业务逻辑,无需处理密码模块的返回数据。
下面结合图3A和图3B对加密数据处理流程进行具体说明。
请参见图3A和图3B,加密数据处理流程可以包括:
一、握手阶段
在该实施例中,握手过程仍由加密网关的CPU负责处理,涉及到密码运算的部分(如非对称密码运算),调用密码模块完成运算。
示例性的,由于此阶段数据量较少,对数据吞吐的需求较低,且每次会话只进行一次,按照传统方案进行处理不会成为系统性能的瓶颈点。
在该实施例中,为加快数据获取的响应速度,在加密网关之间的握手请求中携带用户端设备的请求服务信息。
在握手过程中,服务端加密网关提前转发用户端设备的请求服务到服务端设备。服务端设备可提前进行数据准备,并返回数据至服务端加密网关。
当认证成功时,服务端加密网关可以转发数据到密码模块进行加密处理。
示例性的,服务端加密网关与用户端加密网关在握手阶段认证成功,且协商确定了会话ID和会话密钥时,可以分别保存会话ID、服务端IP地址、服务端端口号、用户端IP地址以及用户端端口号的绑定关系(即上述会话ID、会话的源端参数以及会话的目的端参数的绑定关系),其格式可以如下所示:
| 会话ID | 服务端IP地址 | 服务端端口号 | 用户端IP地址 | 用户端端口号 |
二、数据收发阶段
请参见图3C,以服务端设备向用户端设备发送数据报文为例,其实现流程如下:
1、服务端设备封装应用数据,生成数据报文(以上述第一数据报文为例),该第一数据报文包括服务端IP地址、服务端端口号(该二者为源端参数)、用户端IP地址、用户端端口号(该二者为目的端参数)以及明文数据,其格式可以如下所示:
| 服务端IP | 用户端IP | 服务端端口号 | 用户端端口号 | 明文数据 |
2、服务端加密网关剥除第一数据报文中的服务端IP地址、服务端端口号、用户端IP地址以及用户端端口号,替换为用户端加密网关IP地址和用户端加密网关端口号,并增加会话ID,得到第二数据报文,通过PCI-E接口转发给本地密码模块,其格式可以如下所示:
| 用户端加密网关IP | 用户端加密网关端口号 | 明文数据 | 会话ID |
3、服务端加密网关的密码模块对明文数据进行加密,得到密文数据,添加自身IP地址和端口信息,并基于会话密码计算校验值,封装得到第三数据报文,通过密码模块的网口转发给用户端加密网关,其格式可以如下所示:
| 密码模块IP | 用户端加密网关IP | 密码模块端口号 | 用户端加密网关端口号 | 密文数据 | 会话ID | 校验值 |
4、用户端加密网关接收到第三数据报文时,先验证校验值的正确性,然后,基于会话ID查询IP地址和端口信息,进行替换,得到第四数据报文,转发给本地密码模块,其格式可以如下所示:
| 服务端IP | 用户端IP | 服务端端口号 | 用户端端口号 | 密文数据 |
5、用户端加密网关的密码模块进行数据解密,得到上述第一数据报文,并通过密码模块的网口转发给用户端设备,其格式与上述第一数据报文的格式一致,可以如下所示:
| 服务端IP | 用户端IP | 服务端端口号 | 用户端端口号 | 明文数据 |
6、用户端设备接收到的第一数据报文与服务端设备发出的第一数据报文一致,无需进行额外的转换处理。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置和系统进行描述:
请参见图4,图4是本申请实施例提供的一种加密数据处理装置的结构示意图,其中,该加密数据处理装置可以应用于上述实施例中的加密网关,如图4所示,该加密数据处理装置可以包括:接收单元410、确定单元420、替换单元430以及发送单元440;其中:
在所述加密网关被部署为服务端加密网关的情况下:
所述接收单元410,用于当接收服务端设备发送的第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述确定单元420,用于依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述替换单元430,用于使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述发送单元440,用于将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
在所述加密网关被部署为用户端加密网关的情况下:
所述接收单元410,用于当所述加密网关作为用户端加密网关时,接收所述服务端加密网关的密码模块通过网口发送的所述第三数据报文;
所述确定单元420,用于依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数;
所述替换单元430,用于使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述发送单元440,用于将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
在一些实施例中,在所述加密网关被部署为用户端加密网关的情况下:
所述接收单元410,还用于当接收所述用户端设备发送的请求服务信息;
请参见图5,所述装置还包括:握手处理单元450;其中:
在所述加密网关被部署为用户端加密网关的情况下:
握手处理单元450,用于向所述服务端加密网关发送携带所述请求服务信息的握手请求;
在所述加密网关被部署为服务端加密网关的情况下:
所述接收单元410,还用于接收所述用户端加密网关发送的携带所述请求服务信息的握手请求;
所述握手处理单元450,还用于依据所述握手请求与所述用户端加密网关进行握手处理;
所述发送单元440,还用于将所述请求服务信息发送给所述服务端设备,由所述服务端设备向所述服务端加密网关发送与所述请求服务信息对应的数据。
在一些实施例中,所述接收单元410接收服务端设备发送的第一数据报文,包括:
接收所述服务端设备发送的响应所述请求服务信息的第一数据报文,所述第一数据报文中包括的所述明文数据为与所述请求服务信息对应的数据;
所述确定单元依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID,包括:
当所述加密网关与所述用户端加密网关在握手过程中认证成功时,依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID。
在一些实施例中,在所述加密网关被部署为服务端加密网关的情况下:
所述握手处理单元450,还用于当所述加密网关与所述用户端加密网关在握手过程中认证成功时,与所述用户端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系;
在所述加密网关被部署为用户端加密网关的情况下:
所述握手处理单元450,还用于当所述加密网关与所述服务端加密网关在握手过程中认证成功时,与所述服务端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
请参见图6,为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器601、存储有机器可执行指令的机器可读存储介质602。处理器601与机器可读存储介质602可经由系统总线603通信。并且,通过读取并执行机器可读存储介质602中与加密数据处理控制逻辑对应的机器可执行指令,处理器601可执行上文描述的加密数据处理方法。
本文中提到的机器可读存储介质602可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
在一些实施例中,还提供了一种机器可读存储介质,该机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现上文描述的加密数据处理方法。例如,所述机器可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。
请参见图7,图7是本申请实施例提供的一种加密数据处理系统的结构示意图,如图7所示,该加密数据处理系统可以包括用户端设备710、服务端设备720以及加密网关,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关731和用户端加密网关732,其中:
所述服务端设备720,用于向服务端加密网关发送第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述服务端加密网关731,用于接收所述服务端设备发送的第一数据报文;
所述服务端加密网关731,还用于依据所述第一会话的源端参数以及会话的目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述服务端加密网关731,还用于使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述服务端加密网关731,还用于将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
所述用户端加密网关732,用于依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数,使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述用户端加密网关732,还用于将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备710。
在一些实施例中,所述用户端设备710,用于向所述用户端加密网关发送请求服务信息;
所述用户端加密网关732,还用于加密网关向所述服务端加密网关发送携带所述请求服务信息的握手请求;
所述服务端加密网关731,还用于依据所述握手请求与所述用户端加密网关进行握手处理,以及,将所述请求服务信息发送给所述服务端设备;
所述服务端设备720,还用于向所述服务端加密网关发送与所述请求服务信息对应的数据。
在一些实施例中,所述服务端加密网关731,具体用于接收所述服务端设备发送的响应所述请求服务信息的第一数据报文,所述第一数据报文中包括的所述明文数据为与所述请求服务信息对应的数据;
所述服务端加密网关731,还具体用于当与所述用户端加密网关在握手过程中认证成功时,所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID。
在一些实施例中,所述服务端加密网关731,还用于当与所述用户端加密网关在握手过程中认证成功时,与所述用户端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系;
所述用户端加密网关732,还用于当与所述服务端加密网关在握手过程中认证成功时,与所述服务端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种加密数据处理方法,其特征在于,应用于包括用户端设备、服务端设备以及加密网关的加密数据处理系统,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关和用户端加密网关,所述方法包括:
服务端加密网关接收服务端设备发送的第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述服务端加密网关使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述服务端加密网关将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
所述用户端加密网关依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数,使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述用户端加密网关将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
2.根据权利要求1所述的方法,其特征在于,所述服务端加密网关接收服务端设备发送的第一数据报文之前,还包括:
所述用户端加密网关接收所述用户端设备发送的请求服务信息;
所述用户端加密网关向所述服务端加密网关发送携带所述请求服务信息的握手请求;
所述服务端加密网关依据所述握手请求与所述用户端加密网关进行握手处理,以及,所述服务端加密网关将所述请求服务信息发送给所述服务端设备,由所述服务端设备向所述服务端加密网关发送与所述请求服务信息对应的数据。
3.根据权利要求2所述的方法,其特征在于,所述服务端加密网关接收服务端设备发送的第一数据报文,包括:
所述服务端加密网关接收所述服务端设备发送的响应所述请求服务信息的第一数据报文,所述第一数据报文中包括的所述明文数据为与所述请求服务信息对应的数据;
所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID,包括:
当所述服务端加密网关与所述用户端加密网关在握手过程中认证成功时,所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述服务端加密网关与所述用户端加密网关在握手过程中认证成功时,所述服务端加密网关与所述用户端加密网关协商会话ID,并分别保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
5.一种加密数据处理装置,其特征在于,应用于加密数据处理系统中的加密网关,所述加密数据处理系统还包括用户端设备和服务端设备,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关和用户端加密网关,所述装置包括:接收单元、确定单元、替换单元以及发送单元;其中:
在所述加密网关被部署为服务端加密网关的情况下:
所述接收单元,用于接收服务端设备发送的第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述确定单元,用于依据所述第一源端参数以及所述第一目的端参数,确定第对应的一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述替换单元,用于使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述发送单元,用于将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
在所述加密网关被部署为用户端加密网关的情况下:
所述接收单元,用于接收所述服务端加密网关的密码模块通过网口发送的所述第三数据报文;
所述确定单元,用于依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数;
所述替换单元,用于使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述发送单元,用于将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
6.根据权利要求5所述的装置,其特征在于,
在所述加密网关被部署为用户端加密网关的情况下:
所述接收单元,还用于接收所述用户端设备发送的请求服务信息;
所述装置还包括:握手处理单元;其中:
在所述加密网关被部署为用户端加密网关的情况下:
握手处理单元,用于向所述服务端加密网关发送携带所述请求服务信息的握手请求;
在所述加密网关被部署为服务端加密网关的情况下:
所述接收单元,还用于接收所述用户端加密网关发送的携带所述请求服务信息的握手请求;
所述握手处理单元,还用于依据所述握手请求与所述用户端加密网关进行握手处理;
所述发送单元,还用于将所述请求服务信息发送给所述服务端设备,由所述服务端设备向所述服务端加密网关发送与所述请求服务信息对应的数据。
7.根据权利要求6所述的装置,其特征在于,所述接收单元接收服务端设备发送的第一数据报文,包括:
接收所述服务端设备发送的响应所述请求服务信息的第一数据报文,所述第一数据报文中包括的所述明文数据为与所述请求服务信息对应的数据;
所述确定单元依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID,包括:
当所述加密网关与所述用户端加密网关在握手过程中认证成功时,依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID。
8.根据权利要求6所述的装置,其特征在于,
在所述加密网关被部署为服务端加密网关的情况下:
所述握手处理单元,还用于当所述加密网关与所述用户端加密网关在握手过程中认证成功时,与所述用户端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系;
在所述加密网关被部署为用户端加密网关的情况下:
所述握手处理单元,还用于当所述加密网关与所述服务端加密网关在握手过程中认证成功时,与所述服务端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
9.一种加密数据处理系统,其特征在于,包括用户端设备、服务端设备以及加密网关,所述加密网关的密码模块设置有网口,所述加密网关包括服务端加密网关和用户端加密网关,其中:
所述服务端设备,用于向服务端加密网关发送第一数据报文,所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据;
所述服务端加密网关,用于接收所述服务端设备发送的第一数据报文;
所述服务端加密网关,还用于依据所述第一会话的源端参数以及会话的目的端参数,确定对应的第一会话ID;所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定;
所述服务端加密网关,还用于使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数,得到第二数据报文;
所述服务端加密网关,还用于将所述第二数据报文发送给所述服务端加密网关的密码模块,由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密,得到第三数据报文,并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关;
所述用户端加密网关,用于依据所述第一会话ID,确定对应的所述第一源端参数以及所述第一目的端参数,使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID,得到第四数据报文;
所述用户端加密网关,还用于将所述第四数据报文发送给所述用户端加密网关的密码模块,由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密,得到所述第一数据报文,并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。
10.根据权利要求9所述的系统,其特征在于,
所述用户端设备,用于向所述用户端加密网关发送请求服务信息;
所述用户端加密网关,还用于加密网关向所述服务端加密网关发送携带所述请求服务信息的握手请求;
所述服务端加密网关,还用于依据所述握手请求与所述用户端加密网关进行握手处理,以及,将所述请求服务信息发送给所述服务端设备;
所述服务端设备,还用于向所述服务端加密网关发送与所述请求服务信息对应的数据。
11.根据权利要求10所述的系统,其特征在于,
所述服务端加密网关,具体用于接收所述服务端设备发送的响应所述请求服务信息的第一数据报文,所述第一数据报文中包括的所述明文数据为与所述请求服务信息对应的数据;
所述服务端加密网关,还具体用于当与所述用户端加密网关在握手过程中认证成功时,所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数,确定对应的第一会话ID。
12.根据权利要求10所述的系统,其特征在于,
所述服务端加密网关,还用于当与所述用户端加密网关在握手过程中认证成功时,与所述用户端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系;
所述用户端加密网关,还用于当与所述服务端加密网关在握手过程中认证成功时,与所述服务端加密网关协商会话ID,并保存会话ID、会话的源端参数以及会话的目的端参数的绑定关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110539909.4A CN112995230B (zh) | 2021-05-18 | 2021-05-18 | 加密数据处理方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110539909.4A CN112995230B (zh) | 2021-05-18 | 2021-05-18 | 加密数据处理方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995230A true CN112995230A (zh) | 2021-06-18 |
| CN112995230B CN112995230B (zh) | 2021-08-24 |
Family
ID=76336712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110539909.4A Active CN112995230B (zh) | 2021-05-18 | 2021-05-18 | 加密数据处理方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995230B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005160005A (ja) * | 2003-11-04 | 2005-06-16 | Ntt Communications Kk | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム |
| CN101471936A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 建立ip会话的方法、装置及系统 |
| CN103581118A (zh) * | 2012-07-24 | 2014-02-12 | 中兴通讯股份有限公司 | 一种资源汇聚网关及跨平台授权方法与系统 |
| CN103581001A (zh) * | 2012-07-24 | 2014-02-12 | 深圳市中兴移动通信有限公司 | 一种带云存储的网关系统及用于该系统的数据交互方法 |
| CN205647581U (zh) * | 2016-03-16 | 2016-10-12 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| US20170085412A1 (en) * | 2015-05-19 | 2017-03-23 | Parrable Inc. | Session-based matching of mutable browser identifiers |
| CN106713360A (zh) * | 2017-02-15 | 2017-05-24 | 上海市共进通信技术有限公司 | 基于网关设备实现web加密访问及信息加密存储的方法 |
| CN106714150A (zh) * | 2017-01-19 | 2017-05-24 | 北京疯景科技有限公司 | 对通信连接进行加密的方法及智能终端 |
| CN107306214A (zh) * | 2016-04-18 | 2017-10-31 | 华为技术有限公司 | 终端连接虚拟专用网的方法、系统及相关设备 |
| US20180034643A1 (en) * | 2016-08-01 | 2018-02-01 | A10 Networks, Inc. | SSL Gateway with Integrated Hardware Security Module |
| CN107733635A (zh) * | 2017-11-29 | 2018-02-23 | 四川长虹电器股份有限公司 | 基于网关的数据安全传输方法 |
| CN111343202A (zh) * | 2020-05-18 | 2020-06-26 | 湖南天琛信息科技有限公司 | 一种基于私有云的物联网数据安全存储系统 |
| CN112787974A (zh) * | 2019-11-05 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
-
2021
- 2021-05-18 CN CN202110539909.4A patent/CN112995230B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005160005A (ja) * | 2003-11-04 | 2005-06-16 | Ntt Communications Kk | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム |
| CN101471936A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 建立ip会话的方法、装置及系统 |
| CN103581118A (zh) * | 2012-07-24 | 2014-02-12 | 中兴通讯股份有限公司 | 一种资源汇聚网关及跨平台授权方法与系统 |
| CN103581001A (zh) * | 2012-07-24 | 2014-02-12 | 深圳市中兴移动通信有限公司 | 一种带云存储的网关系统及用于该系统的数据交互方法 |
| US20170085412A1 (en) * | 2015-05-19 | 2017-03-23 | Parrable Inc. | Session-based matching of mutable browser identifiers |
| CN205647581U (zh) * | 2016-03-16 | 2016-10-12 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN107306214A (zh) * | 2016-04-18 | 2017-10-31 | 华为技术有限公司 | 终端连接虚拟专用网的方法、系统及相关设备 |
| US20180034643A1 (en) * | 2016-08-01 | 2018-02-01 | A10 Networks, Inc. | SSL Gateway with Integrated Hardware Security Module |
| CN106714150A (zh) * | 2017-01-19 | 2017-05-24 | 北京疯景科技有限公司 | 对通信连接进行加密的方法及智能终端 |
| CN106713360A (zh) * | 2017-02-15 | 2017-05-24 | 上海市共进通信技术有限公司 | 基于网关设备实现web加密访问及信息加密存储的方法 |
| CN107733635A (zh) * | 2017-11-29 | 2018-02-23 | 四川长虹电器股份有限公司 | 基于网关的数据安全传输方法 |
| CN112787974A (zh) * | 2019-11-05 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
| CN111343202A (zh) * | 2020-05-18 | 2020-06-26 | 湖南天琛信息科技有限公司 | 一种基于私有云的物联网数据安全存储系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995230B (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11522838B2 (en) | Secure end-to-end transport through in intermediary nodes | |
| CN107404461B (zh) | 数据安全传输方法、客户端及服务端方法、装置及系统 | |
| US10069800B2 (en) | Scalable intermediate network device leveraging SSL session ticket extension | |
| CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
| US8068609B2 (en) | Method and system for secured wireless data transmission to and from a remote device | |
| WO2019128753A1 (zh) | 一种低延迟的量子密钥移动服务方法 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN107483383B (zh) | 一种数据处理方法、终端、后台服务器及存储介质 | |
| US20110004759A1 (en) | Mass subscriber management | |
| CN107708112A (zh) | 一种适用于mqtt‑sn协议的加密方法 | |
| EP3197190B1 (en) | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks | |
| EP3633949A1 (en) | Method and system for performing ssl handshake | |
| US20190207776A1 (en) | Session management for communications between a device and a dtls server | |
| US20120226909A1 (en) | Method of Configuring a Node, Related Node and Configuration Server | |
| WO2009101848A1 (ja) | 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 | |
| US10419212B2 (en) | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols | |
| KR102266654B1 (ko) | Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템 | |
| CN115550041A (zh) | 数据的传输方法、装置、计算机设备和存储介质 | |
| CN111884988A (zh) | 数据的安全传输方法 | |
| CN112423277B (zh) | 蓝牙网状网络中的安全证书恢复 | |
| CN112995230B (zh) | 加密数据处理方法、装置和系统 | |
| JP2010219979A (ja) | 中継サーバを有するネットワークシステム、その中継サーバ、プログラム | |
| JP4071774B2 (ja) | 無線ネットワークにおける暗号鍵の配送方法および子機 | |
| JP5932709B2 (ja) | 送信側装置および受信側装置 | |
| US11228589B2 (en) | System and method for efficient and secure communications between devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |