CN113950802A - 用于执行站点到站点通信的网关设备和方法 - Google Patents
用于执行站点到站点通信的网关设备和方法 Download PDFInfo
- Publication number
- CN113950802A CN113950802A CN201980097126.6A CN201980097126A CN113950802A CN 113950802 A CN113950802 A CN 113950802A CN 201980097126 A CN201980097126 A CN 201980097126A CN 113950802 A CN113950802 A CN 113950802A
- Authority
- CN
- China
- Prior art keywords
- gateway device
- data packet
- header
- data
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网关设备,所述网关设备用于:通过安全通信链路接收来自源主机并寻址目标主机的第一数据包;当在所述第一数据包中检测到加密负载时,将第一报头合并到所述第一数据包,其中所述第一报头包括使用另一网关设备的认证数据加密的第一密钥;以及通过通信信道将与所述第一报头合并的所述第一数据包转发到所述另一网关设备。本发明还提供了另一种网关设备,所述网关设备用于:通过通信信道从另一网关设备接收与第一报头合并的第一数据包,其中,所述第一数据包来自源主机并寻址目标主机,所述第一报头包括使用所述网关设备的认证数据加密的第一密钥。
Description
技术领域
本发明大体上涉及网络通信领域,尤其涉及网关设备以及在网络中的网关设备等之间传输数据包的方法。本发明基于使用最小加密的认证传输数据包等解决双重加密问题。
背景技术
传统地,当使用加密隧道技术(例如虚拟虚拟专用网络(Virtual PrivateNetwork,VPN)、复用传输层安全(Multiplexed Transport Layer Security,mTLS)等)时,安全应用程序等会对通过信道(建立在现有网络基础设施中的两个网关设备之间)传输的数据包进行双重加密。但是,这种双重加密过程计算量大而且耗费资源,导致中央处理器(Central Processing Unit,CPU)的成本很高。
例如,在传统通信系统中,第一网络中的第一主机(例如,网络站点A中的主机A)可以通过例如两个传统网关设备向第二网络中的第二主机(例如,站点B中的主机B)发送数据包,所述传统网关设备可以使用VPN、mTLS等加密隧道技术。
此外,诸如超文本传输协议安全(Hypertext Transfer Protocol Secure,HTTPS)和安全外壳(Secure Shell,SSH)之类的一些应用程序还可以使用加密信道进行通信,例如,加密网络协议可以用于通过网络安全地运行网络服务(例如,该网络可以是安全的或不安全的)。此外,由于传统网关设备使用加密隧道技术(例如VPN、mTLS),这些技术可提供额外的加密,例如提供安全性(无窃听者)、提供认证(源站点已知)等。然而,在传统的设备和方法中,当两个系统(网关设备和使用加密信道的应用程序的组合)一起使用时,流量被加密两次,导致中央处理器(Central Processing Unit,CPU)的成本很高、安全影响最小等。
发明内容
鉴于上述缺点,本发明实施例旨在改进传统系统。本发明的目的在于提供一种用于使用最小加密进行认证的网关设备和方法。特别地,会避免双重加密问题。还会相应地降低CPU的成本。所述网关设备和方法不应在现有安全措施之外添加。
本发明的所述目的通过所附独立权利要求中提供的实施例实现。本发明实施例的有利实现方式在从属权利要求中进一步定义。
本发明实施例的主要优点可以概括为:
启用认证的站点到站点通信。
无需双重加密或冗余加密。
由于加密负载很小,认证速度相对较快。
安全通信,例如依赖于应用程序加密(例如HTTPS)。
协议独立性。
无需修改应用程序代码(只有网关设备才能看到更改)。
根据本发明的第一方面,提供了一种网关设备,用于:通过安全通信链路接收来自源主机并寻址目标主机的第一数据包;当在所述第一数据包中检测到加密负载时,将第一报头合并到所述第一数据包,其中所述第一报头包括使用另一网关设备的认证数据加密的第一密钥;以及通过通信信道将与所述第一报头合并的所述第一数据包转发到所述另一网关设备。
所述源主机和/或所述目标主机可以是计算机、个人计算机(personal computer,PC)、服务器、平板电脑、笔记本电脑、智能手机、游戏站、数码相机等,或者也可以并入前述项中。
所述网关设备可以是充当两个网络之间的网关的设备。例如,第一网关设备和/或第二网关设备可以是路由器、防火墙、服务器或其它能够传输数据包进出网络的设备,或者也可以并入前述项中。
例如,在一些实施例中,源主机(即站点A(即第一网络)中的主机A)通过两个网关设备(包括站点A中的第一网关设备和站点B中的第二网关设备)向目标主机(即站点B(即第二网络)中的主机B)发送数据包。此外,网关设备(例如,VPN端点、mTLS网关设备等)检测到负载已经加密。网关设备可以合并(例如,注入)附加报头,并且可以进一步协商数据。
所述网关设备可以检测所述加密负载,例如通过配置、检测加密数据包(例如TLS、封装安全载荷(Encapsulating Security Payload,ESP))、端口检测等。
在一些实施例中,可以通过识别注入点等方式合并所述第一报头。之后,将来自识别的注入点的数据包数据向前移动(例如,使用“memmove”)报头长度八位字节。然后,所述第一报头覆盖旧位置。请注意,对于本领域的技术人员来说,这是一种简单直观的实现方式。
所述网关设备可以包括电路。所述电路可以包括硬件和软件。所述硬件可以包括模拟电路或数字电路,或者同时包括模拟电路和数字电路。在一些实施例中,所述电路包括一个或多个处理器和连接到所述一个或多个处理器的非易失性存储器。所述非易失性存储器可以携带可执行程序代码,其中当所述可执行程序代码由所述一个或多个处理器执行时使得所述设备执行本文描述的操作或方法。
在第一方面的一种实现形式中,所述网关设备还用于:通过所述通信信道从所述另一网关设备接收与第二报头合并的第二数据包,其中,所述第二数据包寻址所述源主机并包括使用所述网关设备的认证数据加密的第二密钥。
在第一方面的另一种实现形式中,所述网关设备还用于:在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述第二报头;将所述第二报头存储在所述网关设备上的连接元数据中;以及将所述第二数据包,尤其是其负载,转发到所述源主机。
特别地,可以将所述第二数据包的所述负载转发到所述源主机。
在第一方面的另一种实现形式中,所述网关设备还用于:基于所述第一密钥、所述第二密钥和所述另一网关设备的所述认证数据生成令牌。
特别地,所述第一密钥和/或所述第二密钥可以是随机种子或附加种子。所述第一密钥(例如,所述随机种子)可以具有任何功能(例如,由于可以使用任何内容)。
在一些实施例中,可以生成并且可以进一步协商所述令牌。
例如,所述网关设备可以注入所述第一报头(例如,附加报头)。此外,它可以协商所述数据包。例如,它可以加密并发送随机种子。所述网关设备可以接收来自所述另一网关设备的响应,所述响应可以包括所述附加种子。此外,所述令牌可以同时使用两个种子和时间戳生成。此外,在一般情况步骤中,所述网关设备可以加密并进一步发送所述令牌。此外,所述网关设备可以每隔很短的时间(例如,一小时)重新协商一次。
所述数据包的协商可以在会话协商期间执行,一般情况可以在会话期间传输数据时执行。
所述加密可以使用对等体的公钥执行,例如李维斯特–萨莫尔–阿德曼(Rivest–Shamir–Adleman,RSA)。
在第一方面的另一种实现形式中,所述网关设备还用于:基于所述生成的令牌执行与所述另一网关设备的站点到站点通信。
在第一方面的另一种实现形式中,所述网关设备还用于:将使用所述另一网关设备的认证数据加密的所述令牌合并到所述第一数据包;以及通过所述通信信道将与所述加密令牌合并的所述第一数据包转发到所述另一网关设备。
在第一方面的另一种实现形式中,所述网关设备还用于:通过所述通信信道从所述另一网关设备接收与所述加密令牌合并的所述第二数据包,其中所述第二数据包寻址所述源主机。
在第一方面的另一种实现形式中,所述网关设备还用于:在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述令牌;将所述令牌存储在所述网关设备的所述连接元数据中;以及将所述第二数据包转发到所述源主机。
特别地,可以将所述第二数据包的所述负载转发到所述源主机。
在第一方面的另一种实现形式中,第一密钥和/或第二密钥包括随机种子。
在第一方面的另一种实现形式中,所述合并的第一报头还包括所述网关设备的证书和/或所述网关设备的认证数据。
在第一方面的另一种实现形式中,相应网关设备的所述认证数据包括:
所述相应网关设备的公钥;和/或
所述相应网关设备的私钥。
在第一方面的另一种实现形式中,所述网关设备还基于以下一项或多项向所述另一网关设备进行认证:
集中管理系统;
通过所述通信信道执行的通信;
所述网关设备和所述另一网关设备之间的现有通信信道。
在第一方面的另一种实现形式中,第一报头和/或第二报头和/或令牌具有基于传输层安全(Transport Layer Security,TLS)记录确定的结构。
在第一方面的另一种实现形式中,所述第一报头和/或所述第二报头和/或所述令牌合并到以下一项或多项中:
TLS负载;
单个TLS记录类型的TLS负载;
多个TLS记录类型的TLS负载;
所述第一数据包和/或所述第二数据包的结尾。
根据本发明的第二方面,提供了一种网关设备,用于:通过通信信道从另一网关设备接收与第一报头合并的第一数据包,其中,所述第一数据包来自源主机并寻址目标主机,所述第一报头包括使用所述网关设备的认证数据加密的第一密钥;在验证所述第一数据包的认证数据后,从所述第一数据包中提取所述第一报头;将所述第一报头存储在所述网关设备上的连接元数据中;以及将所述第一数据包,尤其是其负载,转发到所述目标主机。
所述网关设备可以是充当两个网络之间的网关的设备。例如,所述第一网关设备和/或所述第二网关设备可以是路由器、防火墙、服务器或其它能够传输数据包进出网络的设备,或者也可以并入前述项中。
所述网关设备可以包括电路。所述电路可以包括硬件和软件。所述硬件可以包括模拟电路或数字电路,或者同时包括模拟电路和数字电路。在一些实施例中,所述电路包括一个或多个处理器和连接到所述一个或多个处理器的非易失性存储器。所述非易失性存储器可以携带可执行程序代码,其中当所述可执行程序代码由所述一个或多个处理器执行时使得所述设备执行本文描述的操作或方法。
在第二方面的一种实现形式中,所述网关设备还用于:通过安全通信链路接收来自所述目标主机并寻址所述源主机的第二数据包;当在所述第二数据包中检测到加密负载时,将第二报头合并到所述第二数据包,其中所述第二报头包括使用所述另一网关设备的认证数据加密的第二密钥;以及通过所述通信信道将与所述第二报头合并的所述第二数据包转发到所述另一网关设备。
根据本发明的第三方面,提供了一种网关设备的方法,所述方法包括:通过安全通信链路接收来自源主机并寻址目标主机的第一数据包;当在所述第一数据包中检测到加密负载时,将第一报头合并到所述第一数据包,其中所述第一报头包括使用另一网关设备的认证数据加密的第一密钥;以及通过通信信道将与所述第一报头合并的所述第一数据包转发到所述另一网关设备。
在第三方面的一种实现形式中,所述方法还包括:通过所述通信信道从所述另一网关设备接收与第二报头合并的第二数据包,其中,所述第二数据包寻址所述源主机并包括使用所述网关设备的认证数据加密的第二密钥。
在第三方面的另一种实现形式中,所述方法还包括:在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述第二报头;将所述第二报头存储在所述网关设备上的连接元数据中;以及将所述第二数据包转发到所述源主机。
在第三方面的另一种实现形式中,所述方法还包括:基于所述第一密钥、所述第二密钥和所述另一网关设备的所述认证数据生成令牌。
在第三方面的另一种实现形式中,所述方法还包括:基于所述生成的令牌执行与所述另一网关设备的站点到站点通信。
在第三方面的另一种实现形式中,所述方法还包括:将使用所述另一网关设备的认证数据加密的所述令牌合并到所述第一数据包;以及通过所述通信信道将与所述加密令牌合并的所述第一数据包转发到所述另一网关设备。
在第三方面的另一种实现形式中,所述方法还包括:通过所述通信信道从所述另一网关设备接收与所述加密令牌合并的所述第二数据包,其中所述第二数据包寻址所述源主机。
在第三方面的另一种实现形式中,所述方法还包括:在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述令牌;将所述令牌存储在所述网关设备的所述连接元数据中;以及将所述第二数据包转发到所述源主机。
在第三方面的另一种实现形式中,第一密钥和/或第二密钥包括随机种子。
在第三方面的另一种实现形式中,所述合并的第一报头还包括所述网关设备的证书和/或所述网关设备的认证数据。
在第三方面的另一种实现形式中,相应网关设备的所述认证数据包括:
所述相应网关设备的公钥;和/或
所述相应网关设备的私钥。
在第三方面的另一种实现形式中,所述网关设备还基于以下一项或多项向所述另一网关设备进行认证:
集中管理系统;
通过所述通信信道执行的通信;
所述网关设备和所述另一网关设备之间的现有通信信道。
在第三方面的另一种实现形式中,第一报头和/或第二报头和/或令牌具有基于传输层安全(Transport Layer Security,TLS)记录确定的结构。
在第三方面的另一种实现形式中,所述第一报头和/或所述第二报头和/或所述令牌合并到以下一项或多项中:
TLS负载;
单个TLS记录类型的TLS负载;
多个TLS记录类型的TLS负载;
所述第一数据包和/或所述第二数据包的结尾。
根据本发明的第四方面,提供了一种网关设备的方法,所述方法包括:通过通信信道从另一网关设备接收与第一报头合并的第一数据包,其中,所述第一数据包来自源主机并寻址目标主机,所述第一报头包括使用所述网关设备的认证数据加密的第一密钥;在验证所述第一数据包的认证数据后,从所述第一数据包中提取所述第一报头;将所述第一报头存储在所述网关设备上的连接元数据中;以及将所述第一数据包,尤其是其负载,转发到所述目标主机。
特别地,可以将所述第一数据包的所述负载转发到所述目标主机。
在第四方面的一种实现形式中,所述方法还包括:通过安全通信链路接收来自所述目标主机并寻址所述源主机的第二数据包;当在所述第二数据包中检测到加密负载时,将第二报头合并到所述第二数据包,其中所述第二报头包括使用所述另一网关设备的认证数据加密的第二密钥;以及通过所述通信信道将与所述第二报头合并的所述第二数据包转发到所述另一网关设备。
根据本发明的第五方面,提供了一种计算机程序产品,包括计算机程序代码,当所述计算机程序代码由处理器执行时,执行根据第三方面和/或第四方面和/或第三方面的一种实现形式和/或第四方面的一种实现形式所述的方法。
根据本发明的第六方面,提供了一种非瞬时性计算机可读记录介质,所述非瞬时性计算机可读记录介质存储计算机程序产品,当所述计算机程序产品由处理器执行时,执行根据第三方面和/或第四方面和/或第三方面的一种实现形式和/或第四方面的一种实现形式所述的方法。
需要说明的是,本申请所描述的所有设备、元件、单元和装置可在软件或硬件元件或它们的任意组合中实现。本申请中描述的各种实体执行的所有步骤和所描述的将由各种实体执行的功能旨在表明各个实体适于或用于执行各自的步骤和功能。虽然在以下具体实施例的描述中,由外部实体执行的特定功能或步骤没有在执行特定步骤或功能的该实体的具体元件的描述中反映,但是技术人员应该清楚的是这些方法和功能可以在各自的硬件或软件元件或其任意组合中实现。
附图说明
结合所附附图,下面具体实施例的描述将阐述上述本发明的各方面及其实现形式,其中:
图1为根据本发明实施例的网关设备的示意图;
图2为根据本发明实施例的另一网关设备的示意图;
图3为图1中的网关设备与图2中的网关设备通信的示意图;
图4为用于将第一报头合并到数据包并在两个网关设备之间协商数据包的方法的示意图;
图5为用于在两个网关设备之间执行站点到站点通信的方法的示意图;
图6为用于在两个网关设备相互预认证时在它们之间进行数据传输的方法的示意图;
图7为在TLS负载中将第一报头合并到第一数据包的示意图;
图8为将第一报头作为TLS应用程序数据上的携载合并到第一数据包的示意图;
图9为根据本发明实施例的网关设备的方法的流程图;
图10为根据本发明实施例的网关设备的另一方法的流程图。
具体实施方式
现结合附图描述各个示例性实施例。尽管该描述提供了可能实现形式的详细示例,但需要说明的是,这些详细信息旨在提供示例,绝不意在限制本申请的范围。
此外,实施例/示例可以参考其它实施例/示例。例如,任何描述,包括但不限于一个实施例/示例中提到的术语、元件、过程、解释和/或技术优点,都适用于其它实施例/示例。
图1为根据本发明实施例的网关设备100的示意图。
所述网关设备100用于:通过安全通信链路111接收来自源主机110并寻址目标主机210的第一数据包101。
所述网关设备100还用于:当在所述第一数据包101中检测到加密负载时,将第一报头102合并到所述第一数据包101,其中所述第一报头102包括使用另一网关设备200的认证数据加密的第一密钥。
所述网关设备100还用于:通过通信信道112将与所述第一报头102合并的所述第一数据包101a转发到所述另一网关设备200。
所述网关设备基于例如路由器、防火墙、服务器或任何其它能够传输数据包进出网络的设备。所述源主机和/或所述目标主机可以是计算机、PC、服务器、平板电脑、笔记本电脑、智能手机、游戏站、数码相机等。
例如,当在VPN之上使用加密信道时,所述网关设备可以用于在无需进行负载操作的情况下添加提供网关认证的数据。与整个数据包相比,添加的数据可能很小(几十个字节)并且可能更容易操作。
合并后的第一报头(即添加的数据)可以在例如无需进行负载操作的情况下证明认证。与整个数据包相比,所述第一报头的大小更小(几十个字节)。
所述网关设备可以包括电路(图1中未示出)。所述电路可以包括硬件和软件。所述硬件可以包括模拟电路或数字电路,或者同时包括模拟电路和数字电路。在一些实施例中,所述电路包括一个或多个处理器和连接到所述一个或多个处理器的非易失性存储器。所述非易失性存储器可以携带可执行程序代码,其中当所述可执行程序代码由所述一个或多个处理器执行时使得所述设备执行本文描述的操作或方法。
现参考图2,图2为根据本发明实施例的另一网关设备200的示意图。
所述网关设备200用于:通过通信信道112从另一网关设备100接收与第一报头102合并的第一数据包101a,其中,所述第一数据包101来自源主机110并寻址目标主机210,所述第一报头102包括使用所述网关设备200的认证数据加密的第一密钥。
所述网关设备200用于:在验证所述第一数据包101a的认证数据后,从所述第一数据包101a中提取所述第一报头102;将所述第一报头102存储在所述网关设备200上的连接元数据中;以及将所述第一数据包101,尤其是其负载,转发到所述目标主机210。
所述网关设备基于例如路由器、防火墙、服务器或任何其它能够传输数据包进出网络的设备。所述源主机和/或所述目标主机可以是计算机、PC、服务器、平板电脑、笔记本电脑、智能手机、游戏站、数码相机等。
所述网关设备可以包括电路(图2中未示出)。所述电路可以包括硬件和软件。所述硬件可以包括模拟电路或数字电路,或者同时包括模拟电路和数字电路。在一些实施例中,所述电路包括一个或多个处理器和连接到所述一个或多个处理器的非易失性存储器。所述非易失性存储器可以携带可执行程序代码,其中当所述可执行程序代码由所述一个或多个处理器执行时使得所述设备执行本文描述的操作或方法。
现参考图3,图3为所述网关设备100与所述网关设备200通信的示意图。
在图3中,所述网关设备100示例性地示出为网关A,所述源主机110示出为主机A。此外,所述网关设备200示例性地示出为网关B,所述目标主机210示出为主机B。
所述网关设备100和所述源主机110位于第一网络中。此外,所述网关设备200和所述目标主机210位于第二网络中。
所述网关设备100可以向所述网关设备200进行认证,并且还可以基于所述生成的令牌执行站点到站点通信,向所述数据包添加报头等。
现参考图4,图4为用于将第一报头合并到数据包并在两个网关设备之间协商数据包的方法的示意图。
所述方法400可以(例如完全或部分)由所述网关设备100和/或所述网关设备200执行。
在不限制本发明的情况下,在图4的描述中,假设所述网关设备100执行所述方法400的一些步骤。此外,所述网关设备200、所述源主机110和所述目标主机210执行其它一些步骤。
在图4的实施例中,所述网关设备100示例性地示出为网关A,所述源主机110示出为主机A。此外,所述网关设备200示例性地示出为网关B,所述目标主机210示出为主机B。
在步骤401中,所述源主机110(图4中的主机A)开始安全通信。例如,所述源主机110可以向所述网关设备100发送所述第一数据包101。所述第一数据包101来自所述源主机110并寻址所述目标主机210。此外,所述网关设备100可以通过所述安全通信链路111接收所述第一数据包101。
例如,如果网关设备进行了预认证(例如,使用集中控制器),则可以避免第一步骤。
在步骤402中,所述网关设备100向所述第一数据包添加数据,包括所述另一网关设备200的所述认证数据。例如,所述网关设备100在所述第一数据包101中检测加密负载。此外,所述网关设备100将所述第一报头102合并到所述第一数据包101,所述第一报头102包括使用所述网关设备200的认证数据加密的所述第一密钥。
在步骤403中,所述网关设备100转发包含附加数据的所述第一数据包(即,所述网关设备100转发包括所述第一报头102的所述第一数据包101a)。
在步骤404中,所述网关设备200验证并删除认证数据。例如,它可以丢弃客户端。
在步骤405中,所述网关设备200开始安全通信并将所述第一数据包101(原始数据包)转发到所述目标主机210。
在步骤406中,所述目标主机210继续安全通信。例如,它可以发送所述第二数据包。
在步骤407中,所述网关设备200向所述第二数据包添加数据,所述数据包括认证数据和/或令牌协商数据。
在步骤408中,所述网关设备200继续与所述网关设备100进行安全通信。
在步骤409中,所述网关设备100验证其认证数据、存储令牌协商数据并将数据包恢复到其原始状态。
此外,从此时开始,两个网关设备均已认证。
在步骤410中,所述网关设备100继续安全通信,例如,所述网关设备100将所述第二数据包(来自主机B的原始数据包)转发到所述源主机110。
例如,所述网关设备100可以在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述第二报头。此外,所述网关设备100还可以将所述第二报头存储在所述网关设备100上的连接元数据中,并将所述第二数据包,尤其是其负载,转发到所述源主机110。
在步骤411中,所述源主机110继续与所述网关设备100进行安全通信。例如,它可以向所述网关设备100发送所述第一数据包101。
在步骤412中,所述网关设备100向所述数据包添加数据,所述数据包括认令牌协商。
在步骤413中,所述网关设备100继续与所述另一网关设备200进行安全通信。
此外,从此时开始,所述令牌已协商。
在步骤414中,所述网关设备200删除添加的数据。
在步骤415中,所述网关设备200继续与所述目标主机210进行所述安全通信。
在步骤416中,所述目标主机210继续与所述另一网关设备200进行所述安全通信。
在步骤417中,所述网关设备200添加计算得到的令牌,所述令牌已加密使得只有所述网关设备100(图4中的网关A)能够解密(例如,通过使用公钥/私钥)。
在步骤418中,所述网关设备200继续与所述网关设备100进行安全通信。
在步骤419中,所述网关设备100验证并删除所述令牌。
在步骤420中,所述网关设备100继续与所述源主机110进行所述安全通信。
现参考图5,图5为用于在两个网关设备之间执行站点到站点通信的方法500的示意图。
所述方法500可以(例如完全或部分)由所述网关设备100和/或所述网关设备200执行。
在不限制本发明的情况下,在图5的描述中,假设所述网关设备100执行所述方法500的一些步骤。此外,所述网关设备200、所述源主机110和所述目标主机210执行其它一些步骤。
在图5的实施例中,所述网关设备100示例性地示出为网关A,所述源主机110示出为主机A。此外,所述网关设备200示例性地示出为网关B,所述目标主机210示出为主机B。
在步骤501中,所述源主机110(图5中的主机A)开始安全通信。例如,所述源主机110可以向所述网关设备100发送所述第一数据包101。所述第一数据包101来自所述源主机110并寻址所述目标主机210。此外,所述网关设备100可以通过所述安全通信链路111接收所述第一数据包101。
在步骤502中,所述网关设备100向所述第一数据包101注入所述第一报头102。例如,所述网关设备100在所述第一数据包101中检测加密负载。此外,所述网关设备100将所述第一报头102合并到所述第一数据包101,所述第一报头102包括使用所述网关设备200的公钥(例如,网关B的公钥)加密的所述随机种子。
在步骤503中,所述网关设备100开始与所述网关设备200进行安全通信。
在步骤504中,所述网关设备200删除所述注入的报头102。例如,所述网关设备200将所述注入的报头数据存储在所述连接元数据中。
在步骤505中,所述网关设备200开始与所述目标主机210的安全通信,例如,它将所述第一数据包101(原始数据包)转发到所述目标主机210。
在步骤506中,所述目标主机210继续安全通信。例如,它可以发送所述第二数据包。
在步骤507中,所述网关设备200向从所述目标主机210接收的所述第二数据包注入报头。所述注入的报头包括使用所述网关设备100的公钥(即网关A的公钥)加密的不同随机种子。
此外,从此时开始,两个网关设备100和200都可以计算令牌。
在步骤508中,所述网关设备200继续与所述网关设备100进行安全通信。
在步骤509中,所述网关设备100删除并存储所述注入的数据。
在步骤510中,所述网关设备100继续安全通信,例如,所述网关设备100将所述第二数据包(来自主机B的原始数据包)转发到所述源主机110。
在步骤511中,所述源主机110继续与所述网关设备100进行安全通信。
在步骤512中,所述网关设备100向从所述源主机110接收的所述数据包注入报头。例如,所述注入的报头包括使用所述另一网关设备200的公钥(即网关B的公钥)加密的计算令牌。
在步骤513中,所述网关设备100继续与所述另一网关设备200进行安全通信。
在步骤514中,所述网关设备200验证所述令牌并删除所述注入的报头。
在步骤515中,所述网关设备200继续与所述目标主机210进行所述安全通信。
现参考图6,图6为用于在两个网关设备100和200相互预认证时在它们之间进行数据传输的方法的示意图。
所述方法600可以(例如完全或部分)由所述网关设备100和/或所述网关设备200执行。
在不限制本发明的情况下,在图6的描述中,假设所述网关设备100执行所述方法600的一些步骤。此外,所述网关设备200、所述源主机110和所述目标主机210执行其它一些步骤。
在图6的实施例中,所述网关设备100示例性地示出为网关A,所述源主机110示出为主机A。此外,所述网关设备200示例性地示出为网关B,所述目标主机210示出为主机B。
所述网关设备100和200已经相互认证,例如,基于以下至少一项:
使用集中管理系统;
从之前的通信;
从现有隧道。
图6中的方法600与图4中的方法400和/或图5中的方法500类似。但是,还会发送认证数据(例如证书)。此外,还会传输公钥(例如,RSA、Diffie-Hellman等)。
认证本身可以由第三方可信机构执行,在这种情况下,只需要交换公钥。此外,还可以在所述两个网关设备100和200之间发送质询,以验证每个网关设备是否具有其宣称的匹配私钥。
在步骤601中,所述源主机110(图6中的主机A)开始安全通信。例如,所述源主机110可以向所述网关设备100发送所述第一数据包101。所述第一数据包101来自所述源主机110并寻址所述目标主机210。此外,所述网关设备100可以通过所述安全通信链路111接收所述第一数据包101。
在步骤602中,所述网关设备100向所述第一数据包101注入所述第一报头102。例如,所述网关设备100在所述第一数据包101中检测加密负载。此外,所述网关设备100将所述第一报头102合并到所述第一数据包101,所述第一报头102包括所述网关设备100的证书和公钥(例如,网关A的证书和/或网关A的公钥)。
在步骤603中,所述网关设备100将包含附加数据的所述第一数据包转发到所述网关设备200。
在步骤604中,所述网关设备200删除所述注入的报头102。例如,所述网关设备200将所述注入的报头数据存储在所述连接元数据中。
在步骤605中,所述网关设备200开始与所述目标主机210的安全通信,例如,它将所述第一数据包101(原始数据包)转发到所述目标主机210。
在步骤606中,所述目标主机210继续安全通信。例如,它可以发送所述第二数据包。
在步骤607中,所述网关设备200向所述第二数据包添加数据,所述数据包括所述网关设备200的证书和公钥(例如,网关B的证书和/或网关B的公钥)以及使用所述网关设备100的公钥(即网关A的公钥)加密的随机种子。
在步骤608中,所述网关设备200继续与所述网关设备100进行安全通信。
在步骤609中,所述网关设备100更新所述存储的数据并删除所述注入的报头。
在步骤610中,所述网关设备100继续安全通信,例如,所述网关设备100将所述第二数据包(来自主机B的原始数据包)转发到所述源主机110。
在步骤611中,所述源主机110继续与所述网关设备100进行安全通信。
在步骤612中,所述网关设备100向从所述源主机110接收的所述数据包注入报头数据。例如,所述注入的报头包括使用所述另一网关设备200的公钥(即网关B的公钥)加密的随机种子。
在步骤613中,所述网关设备100继续与所述另一网关设备200进行安全通信。
此外,从此时开始,两个网关(即所述网关设备100和所述网关设备200)都可以计算令牌。
在步骤614中,所述网关设备200计算令牌并删除注入的报头。
在步骤615中,所述网关设备200继续与所述目标主机210进行所述安全通信。
在步骤616中,所述目标主机210继续与所述另一网关设备200进行所述安全通信。
在步骤617中,所述网关设备200注入包括计算得到的令牌的报头,其中所述令牌使用所述网关设备100的公钥(网关A的公钥)加密。
在步骤618中,所述网关设备200继续与所述网关设备100进行安全通信。
在步骤619中,所述网关设备100验证所述令牌并删除所述注入的报头。
在步骤620中,所述网关设备100继续与所述源主机110进行所述安全通信。
现参考图7,图7为在TLS负载700中将所述第一报头102合并到所述第一数据包101的示意图。
所述网关设备100和/或所述网关设备200可以将所述第一报头102合并到所述第一数据包101。
在不限制本发明的情况下,在图7中,假设所述网关设备100向所述第一数据包101添加包含必要数据的新报头,并且只需要一个插入的第一报头102。但是,所述第一报头102的位置有两种选择。所述第一报头102可以在参考102a指示的第一位置处和/或参考102b指示的第二位置处合并。所述第一报头的结构可以类似于TLS记录。
TLS记录可以携带证书、公钥、协商数据和下一报头数据。
所述第一数据包101包括L2(例如MAC)702、L3(例如IPv4或IPv6)703、L4(例如TCP或UDP)704和L5-7(应用程序数据)705。
所述第一报头102可以在参考102a指示的所述第一位置处合并,即使用L3之上的最小加密数据进行认证,或者在参考102b指示的所述第二位置处合并,即使用L4之上的最小加密进行认证。
例如,在图7中,将具有新类型的TLS记录添加到TLS负载。此外,在本实施例中仅支持TLS隧道和基于TLS的通信。新的TLS记录可以包括网关证书、令牌协商和加密令牌等。可选地,对于每种数据类型,它可以是单个TLS记录类型或多个TLS记录类型。此外,新的TLS记录还可以添加到数据包的结尾,这可以提高性能(无填充)。
现参考图8,图8为将所述第一报头102作为TLS应用程序数据800上的携载合并到所述第一数据包101的示意图。
在不限制本发明的情况下,在图8中,假设所述网关设备100向所述第一数据包101合并第一报头102。
例如,所述网关设备100可以修改TLS应用数据,将附加数据(即所述第一报头102)附加(或预置)到TLS记录800,TLS记录800包括原始应用程序数据801。所述第一报头102的数据大小也可以编码(例如,在预置的情况下),或者可以记录为TLS记录和L4(UDP/TCP)记录所记录的大小之间的差值等。
在TLS记录的示例中,所述第一报头102作为携载数据添加在所述第一数据包101的结尾。
图9示出了根据本发明实施例的网关设备的方法900。所述方法900可以由所述网关设备100执行,如上所述。
所述方法900包括步骤901,该步骤用于通过安全通信链路111接收来自源主机110并寻址目标主机210的第一数据包101。
所述方法900还包括步骤902,该步骤用于当在所述第一数据包101中检测到加密负载时,将第一报头102合并到所述第一数据包101,其中所述第一报头102包括使用另一网关设备200的认证数据加密的第一密钥。
所述方法900还包括步骤903,该步骤用于通过通信信道112将与所述第一报头102合并的所述第一数据包101a转发到所述另一网关设备200。
图10出了根据本发明实施例的网关设备的方法1000。所述方法1000可以由所述网关设备200执行,如上所述。
所述方法1000包括步骤1001,该步骤用于通过通信信道112从另一网关设备100接收与第一报头102合并的第一数据包101a,其中,所述第一数据包101来自源主机110并寻址目标主机210,所述第一报头102包括使用所述网关设备200的认证数据加密的第一密钥。
所述方法1000还包括步骤1002,该步骤用于在验证所述第一数据包101a的认证数据后,从所述第一数据包101a中提取(1002)所述第一报头102。
所述方法1000还包括步骤1003,该步骤用于将所述第一报头102存储在所述网关设备200上的连接元数据中。
所述方法1000还包括步骤1004,该步骤用于将所述第一数据包101,尤其是其负载,转发到所述目标主机210。
已经结合作为实例的不同实施例以及实施方案描述了本发明。但本领域技术人员通过实践所请发明,研究附图、本公开以及独立权项,能够理解并获得其他变体。在权利要求以及描述中,术语包括摂不排除其它元件或步骤,且一个摂并不排除复数可能。单个元件或其它单元可满足权利要求书中所叙述的若干实体或项目的功能。在仅凭某些措施被记载在相互不同的从属权利要求书中这个单纯的事实并不意味着这些措施的结合不能在有利的实现方式中使用。
Claims (20)
1.一种网关设备(100),其特征在于,用于:
通过安全通信链路(111)接收来自源主机(110)并寻址目标主机(210)的第一数据包(101);
当在所述第一数据包(101)中检测到加密负载时,将第一报头(102)合并到所述第一数据包(101),其中所述第一报头(102)包括使用另一网关设备(200)的认证数据加密的第一密钥;以及
通过通信信道(112)将与所述第一报头(102)合并的所述第一数据包(101a)转发到所述另一网关设备(200)。
2.根据权利要求1所述的网关设备(100),其特征在于,还用于:
通过所述通信信道从所述另一网关设备(200)接收与第二报头合并的第二数据包,其中,所述第二数据包寻址所述源主机(110)并包括使用所述网关设备(100)的认证数据加密的第二密钥。
3.根据权利要求2所述的网关设备(100),其特征在于,还用于:
在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述第二报头;
将所述第二报头存储在所述网关设备(100)上的连接元数据中;以及
将所述第二数据包转发到所述源主机(110)。
4.根据权利要求2或3所述的网关设备(100),其特征在于,还用于:
基于所述第一密钥、所述第二密钥和所述另一网关设备(200)的所述认证数据生成令牌。
5.根据权利要求4所述的网关设备(100),其特征在于,还用于:
基于所述生成的令牌执行与所述另一网关设备(200)的站点到站点通信。
6.根据权利要求5所述的网关设备(100),其特征在于,还用于:
将使用所述另一网关设备(200)的认证数据加密的所述令牌合并到所述第一数据包(101);以及
通过所述通信信道(112)将与所述加密令牌合并的所述第一数据包(101a)转发到所述另一网关设备(200)。
7.根据权利要求6所述的网关设备(100),其特征在于,还用于:
通过所述通信信道(112)从所述另一网关设备(200)接收与所述加密令牌合并的所述第二数据包,其中所述第二数据包寻址所述源主机(110)。
8.根据权利要求7所述的网关设备(100),其特征在于,还用于:
在验证所述第二数据包的认证数据后,从所述第二数据包中提取所述令牌;
将所述令牌存储在所述网关设备(100)的所述连接元数据中;以及
将所述第二数据包转发到所述源主机(110)。
9.根据权利要求1至8中任一项所述的网关设备(100),其特征在于:
第一密钥和/或第二密钥包括随机种子。
10.根据权利要求1至9中任一项所述的网关设备(100),其特征在于:
所述合并的第一报头(102)还包括所述网关设备(100)的证书和/或所述网关设备(100)的认证数据。
11.根据权利要求1至10中任一项所述的网关设备(100),其特征在于:
相应网关设备(100)的所述认证数据包括:
所述相应网关设备(100)的公钥,和/或
所述相应网关设备(100)的私钥。
12.根据权利要求1至11中任一项所述的网关设备(100),其特征在于:
所述网关设备(100)还基于以下一项或多项向所述另一网关设备(200)进行认证:
集中管理系统;
通过所述通信信道(112)执行的通信;
所述网关设备(100)和所述另一网关设备(200)之间的现有通信信道。
13.根据权利要求1至12中任一项所述的网关设备(100),其特征在于:
第一报头(102)和/或第二报头和/或令牌具有基于传输层安全(Transport LayerSecurity,TLS)记录确定的结构。
14.根据权利要求13所述的网关设备(100),其特征在于:
所述第一报头(102)和/或所述第二报头和/或所述令牌合并到以下一项或多项中:
TLS负载;
单个TLS记录类型的TLS负载;
多个TLS记录类型的TLS负载;
所述第一数据包和/或所述第二数据包的结尾。
15.一种用于网关设备(100)的方法(900),其特征在于,所述方法(900)包括:
通过安全通信链路(111)接收(901)来自源主机(110)并寻址目标主机(210)的第一数据包(101);
当在所述第一数据包(101)中检测到加密负载时,将第一报头(102)合并(902)到所述第一数据包(101),其中所述第一报头(102)包括使用另一网关设备(200)的认证数据加密的第一密钥;以及
通过通信信道(112)将与所述第一报头(102)合并的所述第一数据包(101a)转发(903)到所述另一网关设备(200)。
16.一种网关设备(200),其特征在于,用于:
通过通信信道(112)从另一网关设备(100)接收与第一报头(102)合并的第一数据包(101a),其中,所述第一数据包(101)来自源主机(110)并寻址目标主机(210),所述第一报头(102)包括使用所述网关设备(200)的认证数据加密的第一密钥;
在验证所述第一数据包(101a)的认证数据后,从所述第一数据包(101a)中提取所述第一报头(102);
将所述第一报头(102)存储在所述网关设备(200)上的连接元数据中;以及
将所述第一数据包(101),尤其是其负载,转发到所述目标主机(210)。
17.根据权利要求16所述的网关设备(200),其特征在于,还用于:
通过安全通信链路(211)接收来自所述目标主机(210)并寻址所述源主机(110)的第二数据包;
当在所述第二数据包中检测到加密负载时,将第二报头合并到所述第二数据包,其中所述第二报头包括使用所述另一网关设备(100)的认证数据加密的第二密钥;以及
通过所述通信信道(112)将与所述第二报头合并的所述第二数据包转发到所述另一网关设备(100)。
18.一种用于网关设备(200)的方法(1000),其特征在于,所述方法(1000)包括:
通过通信信道(112)从另一网关设备(100)接收(1001)与第一报头(102)合并的第一数据包(101a),其中,所述第一数据包(101)来自源主机(110)并寻址目标主机(210),所述第一报头(102)包括使用所述网关设备(200)的认证数据加密的第一密钥;
在验证所述第一数据包(101a)的认证数据后,从所述第一数据包(101a)中提取(1002)所述第一报头(102);
将所述第一报头(102)存储(1003)在所述网关设备(200)上的连接元数据中;以及
将所述第一数据包(101),尤其是其负载,转发(1004)到所述目标主机(210)。
19.一种计算机程序产品,其特征在于,包括计算机程序代码,当所述计算机程序代码由处理器执行时,执行根据权利要求15和/或18所述的方法。
20.一种非瞬时性计算机可读记录介质,其特征在于,存储计算机程序产品,当所述计算机程序产品由处理器执行时,执行根据权利要求15和/或18所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2019/072450 WO2021032304A1 (en) | 2019-08-22 | 2019-08-22 | Gateway devices and methods for performing a site-to-site communication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113950802A true CN113950802A (zh) | 2022-01-18 |
| CN113950802B CN113950802B (zh) | 2023-09-01 |
Family
ID=67742424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980097126.6A Active CN113950802B (zh) | 2019-08-22 | 2019-08-22 | 用于执行站点到站点通信的网关设备和方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113950802B (zh) |
| WO (1) | WO2021032304A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230131877A1 (en) * | 2021-10-26 | 2023-04-27 | Juniper Networks, Inc. | Inline security key exchange |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030031320A1 (en) * | 2001-08-09 | 2003-02-13 | Fan Roderic C. | Wireless device to network server encryption |
| US20040123139A1 (en) * | 2002-12-18 | 2004-06-24 | At&T Corp. | System having filtering/monitoring of secure connections |
| CN1633068A (zh) * | 2004-12-31 | 2005-06-29 | 北京中星微电子有限公司 | 一种点到点通信中的媒体流传输方法 |
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| CN101662465A (zh) * | 2009-08-26 | 2010-03-03 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102045333A (zh) * | 2010-06-29 | 2011-05-04 | 北京飞天诚信科技有限公司 | 一种安全报文过程密钥的生成方法 |
| US20170034129A1 (en) * | 2015-07-31 | 2017-02-02 | Nicira, Inc. | Distributed tunneling for vpn |
| CN106534179A (zh) * | 2016-12-08 | 2017-03-22 | 用友网络科技股份有限公司 | 安全通信方法及装置和安全通信系统 |
| US20170085372A1 (en) * | 2015-09-17 | 2017-03-23 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
| CN107040536A (zh) * | 2017-04-10 | 2017-08-11 | 北京德威特继保自动化科技股份有限公司 | 数据加密方法、装置和系统 |
| CN107409125A (zh) * | 2015-02-24 | 2017-11-28 | 高通股份有限公司 | 用于服务‑用户平面方法的使用网络令牌的高效策略实施 |
| CN108476207A (zh) * | 2015-11-16 | 2018-08-31 | 万事达卡国际股份有限公司 | 用于认证网络消息的系统和方法 |
| CN108989318A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
| CN109194484A (zh) * | 2018-08-14 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于共享密钥的令牌跨域传输方法 |
-
2019
- 2019-08-22 CN CN201980097126.6A patent/CN113950802B/zh active Active
- 2019-08-22 WO PCT/EP2019/072450 patent/WO2021032304A1/en active Application Filing
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030031320A1 (en) * | 2001-08-09 | 2003-02-13 | Fan Roderic C. | Wireless device to network server encryption |
| US20040123139A1 (en) * | 2002-12-18 | 2004-06-24 | At&T Corp. | System having filtering/monitoring of secure connections |
| CN1633068A (zh) * | 2004-12-31 | 2005-06-29 | 北京中星微电子有限公司 | 一种点到点通信中的媒体流传输方法 |
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| CN101662465A (zh) * | 2009-08-26 | 2010-03-03 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102045333A (zh) * | 2010-06-29 | 2011-05-04 | 北京飞天诚信科技有限公司 | 一种安全报文过程密钥的生成方法 |
| CN107409125A (zh) * | 2015-02-24 | 2017-11-28 | 高通股份有限公司 | 用于服务‑用户平面方法的使用网络令牌的高效策略实施 |
| US20170034129A1 (en) * | 2015-07-31 | 2017-02-02 | Nicira, Inc. | Distributed tunneling for vpn |
| US20170085372A1 (en) * | 2015-09-17 | 2017-03-23 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
| CN108476207A (zh) * | 2015-11-16 | 2018-08-31 | 万事达卡国际股份有限公司 | 用于认证网络消息的系统和方法 |
| CN106534179A (zh) * | 2016-12-08 | 2017-03-22 | 用友网络科技股份有限公司 | 安全通信方法及装置和安全通信系统 |
| CN107040536A (zh) * | 2017-04-10 | 2017-08-11 | 北京德威特继保自动化科技股份有限公司 | 数据加密方法、装置和系统 |
| CN108989318A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
| CN109194484A (zh) * | 2018-08-14 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于共享密钥的令牌跨域传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113950802B (zh) | 2023-09-01 |
| WO2021032304A1 (en) | 2021-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| US8788805B2 (en) | Application-level service access to encrypted data streams | |
| US8984268B2 (en) | Encrypted record transmission | |
| US7584505B2 (en) | Inspected secure communication protocol | |
| EP2561663B1 (en) | Server and method for providing secured access to services | |
| US9319220B2 (en) | Method and apparatus for secure network enclaves | |
| EP1635502B1 (en) | Session control server and communication system | |
| CN107104977B (zh) | 一种基于sctp协议的区块链数据安全传输方法 | |
| JP5334104B2 (ja) | 全交換セッションセキュリティ | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| US10721061B2 (en) | Method for establishing a secure communication session in a communications system | |
| US10659228B2 (en) | Method for establishing a secure communication session in a communications system | |
| US20050160269A1 (en) | Common security key generation apparatus | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
| CN108040071B (zh) | 一种VoIP音视频加密密钥动态切换方法 | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 | |
| CN114928503A (zh) | 一种安全通道的实现方法及数据传输方法 | |
| CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 | |
| CN114039812A (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| Zhou et al. | Tunnel Extensible Authentication Protocol (TEAP) Version 1 | |
| Badra et al. | Flexible and fast security solution for wireless LAN | |
| Rose et al. | Network Working Group T. Pauly Internet-Draft Apple Inc. Intended status: Informational C. Perkins Expires: January 1, 2019 University of Glasgow | |
| Petersson | Analysis of Methods for Chained Connections with Mutual Authentication Using TLS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220301 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Huawei headquarters office building, Bantian, Longgang District, Shenzhen City, Guangdong Province Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |