CN114726518A - 用于云网络系统的通信方法、装置、系统及存储介质 - Google Patents
用于云网络系统的通信方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN114726518A CN114726518A CN202210344556.7A CN202210344556A CN114726518A CN 114726518 A CN114726518 A CN 114726518A CN 202210344556 A CN202210344556 A CN 202210344556A CN 114726518 A CN114726518 A CN 114726518A
- Authority
- CN
- China
- Prior art keywords
- virtual switch
- encryption
- message
- application instance
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种用于云网络系统的通信方法、装置、系统及存储介质,云网络系统中的虚拟交换机负责为其所在物理机上的应用实例转发数据,转发数据过程中,若对端的加密状态有效,则对数据进行加密形成加密报文后发送给对端,并在报文中携带加密所使用的密钥版本,采用去中心化方式与对端进行密钥版本的协商,该协商过程不再受中心管控节点健康状态的限制。另外,报文接收端将报文中携带的密钥版本与本地使用的密钥版本进行比对,能够及时发现两端加密状态是否一致,并在不一致时及时通告对端,使得两端快速进入非加密通信阶段,确保整个通信过程正常进行,不至于因为密钥版本不一致导致通信中断,提高云网络系统的通信可靠性。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种用于云网络系统的通信方法、装置、系统及存储介质。
背景技术
云网络(Cloud Network)是一个融合了物理网络和虚拟网络的复杂网络,它承载了租户的应用实例以及应用实例之间的连接和通信。在现有云网络中,为了保证应用实例之间通信的安全,通常由中心管控节点采用轮询密钥的方式,定期向应用实例所在物理机下发通信所需的加密密钥,以使物理机能够对应用实例之间的通信内容进行加密,避免信息泄露,提高通信安全性。
然而,在中心管控节点异常或出现故障的情况下,可能会导致不同物理机之间的密钥版本出现不一致的问题,进而导致加密后的通信内容无法正常被解密,出现网络通信异常问题。
发明内容
本申请的多个方面提供一种用于云网络系统的通信方法、装置、系统及存储介质,用以采用去中心化方式进行密钥版本的协商,确保云网络能够正常通信,不再受中心管控节点健康状态的约束。
本申请实施例提供一种云网络系统,包括:物理网络和目标虚拟网络,所述物理网络包括第一物理机和第二物理机,分别承载所述目标虚拟网络中的第一应用实例和第二应用实例;所述第一物理机上还部署有第一虚拟交换机,所述第二物理机上还部署有第二虚拟交换机;所述第一虚拟交换机,用于在所述第一应用实例向所述第二应用实例发送第一数据的过程中,若本地记录的所述第二虚拟交换机的加密状态为有效,对所述第一数据进行加密处理,并将加密得到的第一报文发送给所述第二虚拟交换机,所述第一报文中包括加密使用的第一密钥版本;所述第二虚拟交换机,用于接收所述第一报文,在所述第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录所述第一虚拟交换机的加密状态为无效通告状态,并通知所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
本申请实施例还提供一种用于云网络系统的通信方法,应用于云网络系统中的第一物理机上的第一虚拟交换机,所述第一物理机上还承载有第一应用实例,所述方法包括:在第一应用实例向第二应用实例发送第一数据的过程中,查询本地记录的第二虚拟交换机的加密状态,所述第二应用实例和第二虚拟交换机位于第二物理机上;若本地记录的所述第二虚拟交换机的加密状态为有效,对所述第一数据进行加密处理,以得到第一报文;将所述第一报文发送给所述第二虚拟交换机,所述第一报文中包括加密使用的第一密钥版本,以供所述第二虚拟交换机确定两端加密状态是否一致。
本申请实施例还提供一种用于云网络系统的通信方法,应用于云网络系统中的第二物理机上的第二虚拟交换机,所述第二物理机上还承载有第二应用实例,所述方法包括:接收第一虚拟机交换机发送的第一报文,所述第一报文至少包括加密使用的第一密钥版本,是第一虚拟机交换机在本地记录的所述第二虚拟交换机的加密状态置为有效情况下对第一应用实例发送给第二应用实例的第一数据进行加密处理得到的,所述第一应用实例和第一虚拟交换机位于第一物理机上;在所述第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录所述第一虚拟交换机的加密状态为无效通告状态;以及通知所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
本申请实施例还提供一种物理机,所述物理机上部署有第一应用实例和第一虚拟交换机,所述物理机还包括存储器和处理器,所述存储器中存储有所述第一应用实例和所述第一虚拟交换机对应的计算机程序,所述处理器用于执行所述计算机程序,以用于实现应用于云网络系统中的第一物理机上的第一虚拟交换机的方法中的任一项步骤。
本申请实施例还提供一种物理机,所述物理机上部署有第二应用实例和第二虚拟交换机,所述物理机还包括存储器和处理器,所述存储器中存储有所述第二应用实例和所述第二虚拟交换机对应的计算机程序,所述处理器用于执行所述计算机程序,以用于实现应用于云网络系统中的第一物理机上的第一虚拟交换机的方法中的任一项步骤。
本申请实施例还提供一种存储有计算机程序/指令的计算机可读存储介质,当所述计算机程序/指令被处理器执行时,致使所述处理器实所述方法中的任一项步骤。
在本申请实施例中,云网络系统中的虚拟交换机负责为其所在物理机上的应用实例转发数据,在转发数据过程中,若对端的加密状态有效,则对数据进行加密形成加密报文后发送给对端,并在报文中携带加密所使用的密钥版本,采用去中心化方式与对端进行密钥版本的协商,也就是加密状态的协商,该协商过程不再受中心管控节点健康状态的限制;另外,报文接收端将报文中携带的密钥版本与本地使用的密钥版本进行比对,能够及时发现两端加密状态是否一致,并在不一致的情况下,及时通过向对端进行通告,使得两端快速进入非加密通信阶段,确保整个通信过程能够正常进行,不至于因为密钥版本不一致导致通信中断,提高云网络系统的通信可靠性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1a为本申请实施例提供的一种云网络系统的结构示意图;
图1b为本申请实施例提供的另一中云网络系统的结构示意图;
图1c为本申请实施例提供的云网络系统中应用实例见通信过程的示意图;
图2a为本申请实施例提供的一种云网络系统的通信方法的流程图;
图2b为本申请实施例提供的另一种云网络系统的通信方法的流程图;
图3a为本申请实施例提供的一种通信装置的结构示意图;
图3b为本申请实施例提供的一种物理机的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在云网络系统中,通常包括物理网络(Underlay)和承载于物理网络上的至少一个虚拟网络(Overlay),图1a为云网络系统的结构示意图。在图1a中,以包括1个虚拟网络为例进行图示,但并不限于此。其中,不同的虚拟网络之间相互隔离,在具体实现上,一个虚拟网络可以是一个用户的专有网络(Virtual Private Cloud,VPC)。在物理网络中,通常包括多台物理机(Network Computer,NC),每台物理机上部署有虚拟网络中的一个或多个应用实例,例如虚拟机(Virtual Machine,VM)、ECS实例、容器等。进一步,每台物理机上还部署用于在不同应用实例(例如虚拟机)之间进行数据转发的虚拟交换机(Application VirtualSwitch,AVS);其中,物理机包括有物理网卡,用于与其它物理机进行网络互联,虚拟机包括有虚拟网卡,用于与虚拟交换机进行数据传输。在每个应用实例(例如虚拟机)中,运行有用户的上层应用或微服务,虚拟网卡可以为虚拟机上运行的上层应用或微服务提供数据传输服务,将上层应用或微服务的数据发送至虚拟交换机;基于此,虚拟交换机在接收到数据的情况下,可以基于流表将接收到的数据转发当前所在物理机上的其它虚拟机中的上层应用,或者将接收到的数据转发至当前所在物理机的物理网卡,并由物理机的物理网卡将该数据转发至其他物理机上的应用实例。通过这种方式,可以实现在虚拟网络中相同物理机中不同应用实例之间以及不同物理机上的不同应用实例之间的数据通信。
进一步,在云网络系统中,还包括中心管控节点,用于对整个云网络系统中的物理机、虚拟交换机以及应用实例等进行管控。在本申请实施例中,为了保证数据通信安全,避免信息泄露,需要对数据进行加密处理,且该数据加密处理具体由物理机上的虚拟交换机完成,且各虚拟交换机加密使用的加密密钥可由中心管控节点下发;也就是说,中心管控节点的功能之一就是向云网络系统需要进行通信的任意两个虚拟交换机下发加密密钥。为了进一步提升数据安全的可靠性,中心管控节点可以定期轮询具有通信需求的任意两个虚拟交换机使用的加密密钥,即向需要通信的各物理机上的虚拟交换机定期下发不同版本的加密密钥,两个虚拟交换机定期更换所使用的加密密钥,且只有两个虚拟交换机使用相同的加密密钥才能保证彼此之间能够成功加解密,确保加密通信过程正常执行。
进一步可选地,中心管控节点还可以监测各虚拟交换机是否正确接收到加密秘钥以及虚拟交换机加密使用的密钥版本,并在两个虚拟交换机之间进行密钥版本的同步,其中,在两个虚拟交换机之间进行加密使用的密钥版本的同步也可简称为是两端加密状态的同步过程。如果两个虚拟交换机之间的加密状态一致,表示两个虚拟交换机之间可以采用加密通信,反之,如果两个虚拟交换机之间的加密状态不一致,表示两个虚交换机使用的密钥版本不同,无法成功解密对端发送来的加密报文,导致通信异常。
虽然通过中心管控节点能够协同各虚拟交换机之间的加密状态,协助虚拟交换机之间完成数据通信,但是,在中心管控节点出现异常或者发生故障的情况下,不仅无法按时向各虚拟交换机下发加密密钥,也无法在各虚拟交换机之间同步加密状态,导致云网络的通信异常。为了解决这一技术问题,在本申请一些实施例中,进一步提供了一种去中心化的加密状态同步方案,即在采用轮询密钥的场景中,通信两端的加密状态不再通过中心管控节点进行同步,而是通过通信两端自行协商完成,在一端无法接收加密密钥或者确定对端与本端使用的加密密钥版本不一致的情况下,及时通知对端物理机关闭向本端传输数据的加密功能,并及时关闭本端向对端传输数据的加密功能,以在后续通信过程中采用非加密方式正常通信,解决两端因加密状态不一致而导致的无法正常通信的问题。而且,由于两端进行加密状态协商的过程不再依赖中心管控节点,不再受中心管控节点健康状态的限制,即使中心管控节点出现故障,两端也可以成功进行加密状态协商,并根据加密状态协商结果,或者继续进行加密通信,或者进行非加密通信,确保通信过程的正常执行。下面结合系统和方法实施例,对本申请实施例提供的去中心化的加密状态协商方案在云网络系统中的应用进行详细说明。
图1b为本申请实施例提供的一种能够采用去中心化方式进行加密功能协商的云网络系统的结构示意图,如图1b所示,该云网络系统包括物理网络100和承载于物理网络100上的目标虚拟网络200,物理网络100至少包括第一物理机10和第二物理机20,第一物理机10上承载有目标虚拟网络200中的第一应用实例11,第二物理机20上承载有目标虚拟网络200中的第二应用实例21,第一应用实例11和第二应用实例21之间具有通信需求。另外,第一物理机10上还部署有第一虚拟交换机12,第二物理机20上还部署有第二虚拟交换机22。其中,第一虚拟交换机12可以将第一应用实例11发送给第二应用实例21的数据转发至第二应用实例21;相应地,第二虚拟交换机22可以将第二应用实例21发送给第一应用实例11发送的数据转发至第一应用实例11。需要说明的是,图1b所示的云网络系统的结构仅为示例性说明,在实际应用中,物理网络100中可以包括多台物理机,且每台物理机上所承载的应用实例也不止一个,对于任一对具有通信需求的应用实例之间都可以采用与图1b中相同或相似的方式进行通信,故在本申请实施例中,以第一应用实例11和第二应用实例12之间的通信过程为例进行说明。
在本申请实施例中,如图1b所示,云网络系统还包括中心管控节点30,中心管控节点30负责定期向第一虚拟交换机12和第二虚拟交换机22下发不同版本的密钥信息,以供第一虚拟交换机12和第二虚拟交换机22对第一应用实例11与第二应用实例21通信过程中的数据进行加密处理。对第一虚拟交换机12和第二虚拟交换机22来说,优先使用最新版本的加密密钥对需要转发出的数据进行加密处理。在本申请实施例中,不限定第一虚拟交换机12和第二虚拟交换机22之间所使用的密钥版本的数量,例如可以包括不限于以3个版本、4个版本、5个版本。对中心管控节点而言,可以按照设定的密钥轮询周期,按照版本由低到高的顺序,依次向第一虚拟交换机12和第二虚拟交换机22下发对应版本的加密密钥。例如,以3个版本的加密密钥为例,中心管控节点先向第一虚拟交换机12和第二虚拟交换机22下发第一版本的加密密钥记为V1,第一虚拟交换机12和第二虚拟交换机22使用加密秘钥V1进行加密通信,直至接收到第二版本的加密密钥V2;在密钥轮序周期到达时,中心管控节点继续向第一虚拟交换机12和第二虚拟交换机22下发第二版本的加密密钥V2,之后第一虚拟交换机12和第二虚拟交换机22使用加密秘钥V2进行加密通信,直至接收到第三版本的加密密钥V3;在下一个密钥轮序周期到达时,中心管控节点继续向第一虚拟交换机12和第二虚拟交换机22下发第三版本的加密密钥V3,之后第一虚拟交换机12和第二虚拟交换机22使用加密秘钥V3进行加密通信,直至重新接收到第一版本的加密密钥V1,中心管控节点不断对加密密钥V1-V3进行轮询。
基于上述,第一虚拟交换机12和第二虚拟交换机22可以定期接收不同版本的加密密钥,并且在通信过程的不同阶段可以使用不同的加密密钥进行加密通信,确保通信安全性。另外,在加密通信过程中,通信两端需要保持相同的加密状态,即通信两端需要使用相同版本的加密密钥。为了便于通信两端能够及时了解彼此的加密状态是否同步功能,在第一虚拟交换机12和第二虚拟交换机22本地均记录有本端加密使用的密钥版本以及对端虚拟交换机对应的加密状态;其中,本地记录的对端虚拟交换机的加密状态包括但不限于以下三个状态:有效状态、无效通告状态以及无效状态。
本地记录的对端虚拟交换机的加密状态为有效状态,是指本端虚拟交换机与对端虚拟交换机使用的密钥版本相同,本端虚拟交换机可以与对端虚拟交换机进行加密通信的一种加密状态,与此同时,该加密状态也表示本端虚拟交换机可以正常使用加密功能,利用当前最新版本的加密密钥对发送给对端虚拟交换机的数据进行加密。
本地记录的对端虚拟交换机的加密状态为无效通告状态,是指本端虚拟交换机在确定其与对端虚拟交换机使用的密钥版本不相同,无法与对端虚拟交换机进行加密通信的情况下,需要通知对端虚拟交换机关闭其加密功能的一种加密状态;当然,在无效通告状态下,本端虚拟交换机也将关闭其加密功能,不再对发送给对端虚拟交换机的后续数据进行加密。需要说明的是,对端虚拟交换机关闭其加密功能的方式为:将其本地记录的其对端虚拟交换机(也就是这里的本端虚拟交换机)的加密状态置为无效,从而达到将其加密功能关闭的目的。
本地记录的对端虚拟交换机的加密状态为无效状态,是指在感知到本端虚拟交换机与对端虚拟交换机使用的密钥版本不相同的情况下,通过将对端虚拟交换机的加密状态置为无效,达到将本端虚拟交换机的加密功能关闭的一种加密状态。在本申请各实施例中,本端虚拟交换机是指发送报文的一端,对端虚拟交换机通常是指接收报文的一端,接收报文的一端负责进行加密版本的比对发现两端加密状态是否一致,并在发现两端加密状态不一致的情况通知发送报文的一端将本地记录的接收报文一端的加密状态置为无效,进而达到关闭报文发送一端的加密功能的目的。也就是说,本端虚拟交换机是根据对端虚拟交换机的通知来感知两端加密状态不一致这一信息的。需要说明的是,同一虚拟交换机既可以是发送报文的一端,也可以是接收报文的一端。
在本申请实施例中,不限定第一虚拟交换机12和第二虚拟交换机22在本地记录对端虚拟交换机对应的加密状态的具体方式。在一可选实施例中,可以采用单独的信息表(记为加密状态记录表)记录对端虚拟交换机对应的加密状态,并将对端虚拟交换机与其所在物理机的IP地址和物理机上的应用实例的标识等路由信息进行关联,这样可以根据该路由信息确定报文接收端是否是对端虚拟交换机,并在确定报文接收端是对端虚拟交换机的情况下,从加密状态记录表中获取对端虚拟交换机的加密状态,若该加密状态为有效,则对需要转发给对端虚拟交换机的数据进行加密形成加密报文并发送给对端虚拟交换机;若该加密状态为无效或无效通告状态,则不对需要转发给对端虚拟交换机的数据进行加密,而是直接封装成非加密报文并发送给对端虚拟交换机。
在另一可选实施例中,也可以对虚拟交换机本地的路由表进行拓展,在路由表中增加新的信息字段用来记录对端虚拟交换机的加密状态,这样路由表中的每条路由表项不仅包括对端应用实例的标识、对端应用实例所在对端物理机的IP地址,还可以包括对端虚拟交换机的加密状态,如图1c所示。基于此,这样可以直接查询路由表,根据对应路由表项确定报文接收端是否是对端虚拟交换机,并在确定报文接收端是对端虚拟交换机的情况下,直接从该路由表项中获取对端虚拟交换机的加密状态,若该加密状态为有效,则对需要转发给对端虚拟交换机的数据进行加密形成加密报文并发送给对端虚拟交换机;若该加密状态为无效或无效通告状态,则不对需要转发给对端虚拟交换机的数据进行加密,而是直接封装成非加密报文并发送给对端虚拟交换机。
基于上述,根据通信两端虚拟交换机记录的加密状态,通信两端的虚拟交换机可以确定使用加密方式通信或者使用非加密方式通信,因此,本申请实施例的通信过程可能仅包括加密通信阶段,也可能仅包括非加密通信阶段,还可能同时包括加密通信阶段和非加密通信阶段,具体视通信两端虚拟交换机的加密状态是否始终保持一致或不一致而定。在本实施例中,第一虚拟交换机需要转发给第二虚拟交换机的数据通常是第一应用实例11需要发送给第二应用实例21的数据,即为第一数据;相应地,第二虚拟交换机需要转发给第一虚拟交换机的数据通常是第二应用实例需要发送给第二应用实例的数据,即为第二数据。其中,在第一应用实例向第二应用实例发送第一数据的情况下,第一虚拟交换机12可以接收第一应用实例11发送的第一数据,对该第一数据进行转发处理,在对第一数据进行转发处理过程中,可以查询本地记录的第二虚拟交换机22的加密状态并判断本端记录的第二虚拟交换机22的加密状态是否有效,以确定是否对第一数据进行加密处理。若本地记录的第二虚拟交换机22的加密状态为有效,则对第一数据进行加密处理得到第一报文,并将加密得到的第一报文发送给第二虚拟交换机22,以进入加密通信阶段。并且,在本申请实施例中,第一报文中包括第一虚拟交换机12加密使用的第一密钥版本,以供第二虚拟交换机22根据第一密钥版本与本端加密使用的第二密钥版本确定两端使用的密钥版本是否相同。
对第二虚拟交换机22而言,可以接收第一虚拟交换机12发送的第一报文,在接收第一报文的情况下,可以将第一报文中包含的第一密钥版本与本端加密使用的第二密钥版本进行对比,在确定第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,可以在本地记录第一虚拟交换机12的加密状态为无效通告状态,并通知第一虚拟交换机12将本地记录的第二虚拟交换机22的加密状态置为无效,使得第一虚拟交换机12关闭加密功能不再对后续发送的数据进行加密,以进入非加密通信阶段。进一步可选地,在确定第一密钥版本与本端加密使用的第二密钥版本相同的情况下,第二虚拟交换机22可以保持本地记录的第一虚拟交换机12的加密状态为有效状态,相应地,第一虚拟交换机12也会继续保持本地记录的第二虚拟交换机22的加密状态为有效状态,两端继续与进行加密通信。
在本申请实施例中,不限定第一虚拟交换机12对第一数据进行加密处理采用的加密方式,可选地,可以采用对称加密方式也可以采用非对称加密方式;进一步,针对每种加密方式,本申请实施例不限定具体使用的加密算法的类型,在采用对称加密方式对第一数据进行加密处理的情况下,所采用的加密算法可以为数据加密算法(Data EncryptionAlgorithm,DEA)、三重des算法(DESede)、数据加密标准算法(Data Encryption Standard,DES)、高级加密标准算法(Advanced Encryption Standard,AES)、国际数据加密算法(International Data Encryption Algorithm,IDEA)、基于口令的加密算法(PasswordBased Encryption,PBE)中的任一种。在采用非对称加密方式对第一数据进行加密处理的情况下,所采用的加密算法可以为RSA加密算法、数字签名算法(Digital SignatureAlgorithm,DSA)、椭圆曲线前面算法(Elliptic Curve Signature Algorithm,ECDSA)、信息摘要算法5(Message Digest Algorithm 5,MD5)中的任一种。根据第一数据类型的不同可以采用不同的加密算法,当然,上述算法类型仅为示例性说明,在实际应用中可使用的加密算法的类型包括但不限于上述加密算法,具体可以根据需求确定。需要说明的是,在采用对称加密的情况下,两端的密钥版本不仅需要相同,加解密密钥也要相同;在采用非对称加密的情况下,两端的密钥版本需要相同,而两端使用的加解密密钥需要适配,需要能够对彼此的加密数据进行解密。
进一步,本申请实施例也不限定第一虚拟交换机12将第一数据加密成第一报文的具体方式。可选地,第一数据为第一应用实例11从上层应用接收的以太网帧,第一应用实例11接收到以太网帧的情况下,可通过第一应用实例11的虚拟网卡将以太网帧发送至第一虚拟交换机12;进一步,第一虚拟交换机12可以采用Vxlan技术将接收到的以太网帧做隧道封装,在以太网帧上添加Vxlan报文头,并采用上述实施例中的任一种加密方式对添加Vxlan报文头后的以太网帧进行加密处理,即以太网帧和Vxlan报文头一起作为加密内容被加密,得到第一报文。在一可选实施例中,在与第二虚拟交换机22通信过程中,为了将本端加密使用的密钥版本告知第二虚拟交换机22,第一虚拟交换机12还可以采用封装安全载荷协议(Encapsulating Security Payload,ESP)对添加Vxlan报文头后的以太网帧进行加密处理,得到包含ESP报文头的第一报文,并在ESP报文头中携带第一虚拟交换机12加密使用的第一密钥版本。这样,在第一虚拟交换机12将第一报文发送至第二虚拟交换机22的情况下,第二虚拟交换机22可以从第一报文中的ESP报文头中解析出第一虚拟交换机12加密使用的第一密钥版本,以确定两端加密使用的密钥的版本是否相同。同理,第二虚拟交换机22对第二应用实例发送给第一应用实例的第二数据进行加密的过程与此相同或相似,不做详述。
图1c为本申请实施例提供的第一应用实例11与第二应用实例21通信过程的示意图,如图1c所示,第一应用实例11向第二应用实例21发送第一数据,第一数据被第一虚拟交换机12加密成第一报文,并在第一报文中携带的密钥版本号为V1发送给第二虚拟交换机22,第二虚拟交换机22本地加密使用的密钥版本为V2。基于此,第二虚拟交换机22在从第一报文中识别出第一虚拟交换机12加密使用的密钥版本V1与本端加密使用的密钥版本V2不相同的情况下,则将本地记录的第一虚拟交换机12的加密状态修改为无效通告状态,以标识需要通知第一虚拟交换机12关闭对本端的加密功能。可选地,以在路由表中记录对端虚拟交换机的加密状态为例,第二虚拟交换机22可以根据第一应用实例11的标识和第一物理机10的IP地址,查询本地路由表,得到第一路由表项,并将第一路由表项中的加密状态字段置为表示无效通告状态的第一值,以标识第二虚拟交换机22需要通知第一虚拟交换机12关闭对本端的加密功能。进一步,第二虚拟交换机22还会通知第一虚拟交换机12将本地记录的第二虚拟交换机22的加密状态置为无效,以达到关闭第一虚拟交换机12的加密功能的目的。
在本申请实施例中,并不限定第二虚拟交换机22通知第一虚拟交换机12将本地记录的第二虚拟交换机22的加密状态置为无效的实时方式。如图1c所示,第二虚拟交换机22可以在第二应用实例21向第一应用实例11发送第二数据时,通知第一虚拟交换机12将本地记录的第二虚拟交换机22的加密状态置为无效,通过这种方式关闭第一虚拟交换机12与第二虚拟交换机22之间的加密功能,在后续第一应用实例11与第二应用实例21之间相互发送数据时,第一虚拟交换机12与第二虚拟交换机22都将不再对所发送的数据进行加密处理,以进入非加密通信阶段。
进一步可选地,在第二应用实例21向第一应用实例11发送第二数据时,第二虚拟交换机22因为已经关闭了其加密功能,故可以直接将第二数据封装成非加密的第二报文并在第二报文中携带加密功能关闭指示,以指示第一虚拟交换机12将本地记录的第二虚拟交换机22的加密功能置为无效,之后将包含加密功能关闭指示的第二报文发送给第一虚拟交换机12。
在本申请实施例中,不限定第二数据的类型和具体形式,可选地,第二数据可以为第一报文的响应数据,其与第一数据具有相同的数据结构,也可以为第二应用实例21从上层应用获取的其他以太网帧。进一步,本申请实施例也不限定第二虚拟交换机22将第二数据封装成非加密的第二报文的具体方式,在一可选实施例中,第二虚拟交换机22可以依次采用Vxlan技术和ESP协议对第二数据进一步封装,并利用ESP报文头中的字段携带加密功能关闭指示,用于指示第一虚拟交换机12关闭对第二虚拟交换机22的加密功能,需要说明的是,在该情况下,因为第二虚拟交换机22已经关闭了其加密功能,所以第二报文虽然带有ESP报文头,但并不会对第二数据和Vxlan报文头进行加密处理,这样与加密通信阶段的数据处理过程可以最大程度的兼容,减少对协议的修改。在另一可选实施例中,第二虚拟交换机22在采用Vxlan技术对第二数据封装之后,由于不需要对第二数据和Vxlan报文头进行加密,因此可以跳过ESP协议的处理过程,而是利用Vxlan报文头中的字段携带加密功能关闭指示,用于指示第一虚拟交换机12关闭对第二虚拟交换机22的加密功能。需要说明的是,上述第二报文中也可以携带第二虚拟交换机22本地维护的最新密钥版本,例如可以携带在ESP报文头或Vxlan报文头中。
基于上述,第一虚拟交换机12在接收到第二报文的情况下,根据第二报文中的加密功能关闭,确定第二虚拟交换机22指示关闭加密功能的情况下,将本地记录的第二虚拟交换机22的加密状态置为无效。进一步可选地,在将本地记录的第二虚拟交换机22的加密状态置为无效之前,第一虚拟交换机12还可以判断第二报文中的密钥版本与本端加密使用的密钥版本是否相同,并在确定两者不相同的情况下,确定第二报文为非加密报文,据此进一步确定第二虚拟交换机22已经将其加密功能关闭,于是将本地记录的第二虚拟交换机22的加密状态置为无效。
需要说明的是,在实际应用中,可能存在第二应用实例21无法或无法及时向第一应用实例11发送第二数据的情况。在该情况下,为了保证通信两端能够正常进行通信,第二虚拟交换机22可以生成携带加密功能关闭指示的通告报文,并将通告报文发送给第一虚拟交换机12,以指示第一虚拟交换机12将本地记录的第二虚拟交换机22的加密功能置为无效。其中,本申请实施例中第二应用实例21无法或无法及时向第一应用实例11发送第二数据的情况是指:第二应用实例21本次向第一应用实例11发送第二数据距离上一次向第一应用实例11发送第二数据的时间间隔大于设定的间隔阈值,例如,该时间间隔可以为第二应用实例21上一次向第一应用实例11发送第二数据时所使用版本的密钥有效期加上预计网络传输时长,假设每个版本的密钥有效期为15分钟,网络传输时长最大值为10分钟,则设定的间隔阈值为25分钟,说明网络传输可能存在异常,此种情况可能无法及时指示第一虚拟交换机12将本地记录的第二虚拟交换机22的加密功能置为无效;或者,第一应用实例11与第二应用实例21之间通信方式为单向通信方式,即第二应用实例21不会向第一应用实例11发送数据,此种情况将无法指示第一虚拟交换机12将本地记录的第二虚拟交换机22的加密功能置为无效;或者,第一应用实例11与第二应用实例21之间采用非可靠传输协议,例如两者之间采用用户数据报协议(User Datagram Protocol,UDP),在这种情况下,在第二虚拟交换机22接收到第一报文的情况下,确定第一虚拟交换机12与本端加密使用的密钥版本不一致的情况下,会将第一报文视为错误报文丢弃,导致第二应用实例因为无法接收到第一应用实例的数据而无法及时做出响应,此种情况可能无法及时指示第一虚拟交换机12将本地记录的第二虚拟交换机22的加密功能置为无效。基于上述,无论哪种情况,第二应用实例21均无法及时或无法向第一应用实例11发送第二数据,第二虚拟交换机22可以生成携带加密功能关闭指示的通告报文,并将通告报文发送给第一虚拟交换机12,以指示第一虚拟交换机12将本地记录的第二虚拟交换机22的加密功能置为无效,有利于保证两端及时采用非加密通信方式继续进行后续通信,确保通信过程的正常执行。
需要说明的是,在本实施例中,无论是在加密通信阶段还是在非加密通信阶段,通信两端的虚拟交换机需要持续进行加密状态的协商,尤其是在进入非加密通信阶段之后,依旧需要进行加密状态的协商,以便在两端的加密状态恢复一致之后能够及时进行加密通信,保证通信安全性。关于在非加密通信阶段两端进行加密状态协商的方式可以采用但不限于以下两种:在一可选实施方式中,在数据封装过程中可以依旧执行ESP协议,不执行数据加密操作但是执行添加ESP报文头的操作,从而得到带有ESP报文头的非加密报文,并借助于ESP报文头中的字段继续携带本端最新的密钥版本,以便于供对端继续确定两端加密使用的密钥版本是否相同。或者,在另一可选实施方式中,在采用Vxlan技术对数据封装之后,可以跳过ESP协议的处理过程,而是利用Vxlan报文头中的字段继续携带本端最新的密钥版本,以便于供对端继续确定两端加密使用的密钥版本是否相同。
例如,第二虚拟交换机22可以在第二报文中携带其本地维护的最新密钥版本,以便于第一虚拟交换机12作为报文接收端继续判断其与第二虚拟交换机22的加密状态是否一致或是否恢复一致。基于此,第一虚拟交换机12在接收到第二报文的情况下,可以供第二报文中识别第二虚拟交换机22加密使用的密钥版本并与本地加密使用的密钥版本进行对比,以确定是否修改本地记录的第二虚拟交换机22的加密状态。若经过对比确定两端加密使用的密钥版本不相同,第一虚拟交换机12可以根据第二虚拟交换机22的通知,将本地记录的第二虚拟交换机22的加密状态置为无效,以关闭对第二虚拟交换机22的加密功能,进入非加密通信阶段。如图1c所示,假设第一虚拟交换机12在接收到第二报文时本地加密使用的密钥版本为V1,从第二报文识别出第二虚拟交换机22加密使用的密钥版本为V2,基于此,可以确定两端加密使用的密钥版本不同。进一步,第一虚拟交换机12可以根据第二应用实例21的标识和第二物理机20的IP地址,查询本地路由表,得到第二路由表项,并将第二路由表项中的加密状态字段置为表示无效状态的第二值,以关闭对第二虚拟交换机22的加密功能,在后续第一应用实例11向第二应用实例21发送数据时,第一虚拟交换机12将不再对所发送的数据进行加密处理,以进入非加密通信阶段。
进一步,在进入非加密通信阶段之后,在第一应用实例11向第二应用实例12发送第三数据时,可以将第一数据封装为非加密的第三报文并发送给第二虚拟交换机22;其中,第三报文中包括第一虚拟交换机本地最新的第三密钥版本,以供第二虚拟交换机22继续与本地加密使用的密钥版本进行对比,确定是够需要修改本地记录的第一虚拟交换机12的加密状态。需要说明的是,第一虚拟交换机12加密第一数据使用的第一密钥版本,与第一虚拟交换机12加密第三数据使用的第三密钥版本可能相同也可能不同。关于第一虚拟交换机12对第三数据封装成非加密的第三报文的具体方式可参见前述实施例中第二虚拟交换机22将第二数据封装成非加密的第二报文的说明,在此不再赘述。
进一步,第二虚拟交换机22在接收到第三报文的情况下,可以采用上述第一虚拟交换机12确定第二报文是否为非加密报文相同的方式,确定第三报文为非加密报文,并根据第三报文中第三密钥版本与本地最新的第四密钥版本进行比较,以确定是否修改本地记录的第一虚拟交换机12的加密状态。在确定第三报文中的第三密钥版本与本地最新的第四密钥版本不相同的情况下,将本地记录的第一虚拟交换机12的加密状态从无效通告状态置为无效,以标识第一虚拟交换机12不再对数据进行加密处理;在确定第三密钥版本与本地最新的第四密钥版本相同的情况下,则将本地记录的第一虚拟交换机12的加密状态从无效通告状态置为有效,以标识继续对传输的数据进行加密处理。进一步可选地,在第二虚拟交换机22本地记录的第一虚拟交换机12的加密状态为无效的状态下,第二虚拟交换机22在收到第一虚拟交换机12发送的报文过程中,还会持续比较第三密钥版本与本地最新的第四密钥版本是否相同,并在确定二者版本相同的情况下,将本地记录的第一虚拟交换机12的加密状态从无效状态置为有效,以标识继续对传输的数据进行加密处理。
例如,如图1c中①所示,假设第一虚拟交换机12发送的第三报文中携带的密钥版本为V5,第二虚拟交换机22本地最新的密钥版本为V6,则第二虚拟交换机22可以确定两端加密使用的密钥版本不同,在根据第一应用实例11的标识以及第一物理机10的IP地址查询到第一虚拟交换机12的加密状态为无效通告状态的情况下,可以将该无效通告状态置为无效,则在后续通信过程中,以非加密方式进行通信。又例如,如图1c中②所示,假设第一虚拟交换机12发送的第三报文中携带的密钥版本为V6,第二虚拟交换机22本地最新的密钥版本为V6,则第二虚拟交换机22可以确定两端加密使用的密钥版本相同,在根据第一应用实例11的标识以及第一物理机10的IP地址查询到第一虚拟交换机12的加密状态为无效通告状态的情况下,可以将该无效通告状态置为有效;或者,在根据第一应用实例11的标识以及第一物理机10的IP地址查询到第一虚拟交换机12的加密状态为无效状态的情况下,可以将该无效状态置为有效,则继续进入加密传输阶段,在后续通信过程中,以加密方式进行通信。
根据本申请实施例,在需要通信的两端物理机中的虚拟交换机上存储本端加密使用的密钥版本以及对端虚拟交换机的加密状态,可以在进行通信时,将本端加密使用的密钥版本告知对端虚拟交换机;基于此,对端虚拟交换机在确定两端加密使用的密钥版本不一致的情况下,可以修改本地记录的加密状态,并在向对端再次通信时同步确认结果,以供对端继续确认两端加密使用的密钥版本是否一致,以及是否需要继续修改本地记录的加密状态。通过这种方式,可以利用通信两端协同实现加密处理主状态的同步,无需通过中心管控节点控制,即使在中心管控节点出现故障的情况下,也能保证正常通信,可靠性更高。
基于上述,本申请实施例还提供一种用于云网络系统的通信方法,该方法可应用与上述云网络系统中的第一物理机上的第一虚拟交换机。图2a为本申请实施例提供的通信方法的流程图,如图2a所示,方法包括:
S1a、在第一应用实例向第二应用实例发送第一数据的过程中,查询本地记录的第二虚拟交换机的加密状态,第二应用实例和第二虚拟交换机位于第二物理机上;
S2a、若本地记录的第二虚拟交换机的加密状态为有效,对第一数据进行加密处理,以得到第一报文;
S3a、将第一报文发送给第二虚拟交换机,第一报文中包括加密使用的第一密钥版本,以供第二虚拟交换机确定两端加密状态是否一致。
在一可选实施例中,在据第二虚拟交换机确定两端加密状态不一致的情况下,可以将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
在一可选实施例中,在第二虚拟交换机确定两端加密状态不一致的情况下,将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段时,还可以接收第二虚拟交换机发送的第二报文或通告报文,第二报文或通告报文包括加密功能关闭指示,加密功能关闭指示表示两端加密状态不一致;根据加密功能关闭指示,将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段;其中,第二报文是第二虚拟交换机对第二应用实例发送给第一应用实例的第二数据进行封装得到的非加密报文;通告报文是第二虚拟交换机在第二应用实例无法或无法及时向第一应用实例发送第二数据的情况下生成的。
在一可选实施例中,在将本地记录的第二虚拟交换机的加密状态置为无效时,可以根据第二应用实例的标识和第二物理机的IP地址,查询本地路由表,得到第二路由表项;将第二路由表项中的加密状态字段置为表示无效状态的第二值,第二路由表项中的加密状态字段表示第二虚拟交换机的加密状态。
在一可选实施例中,在非加密通信阶段,在第一应用实例向第二应用实例发送第三数据时,可以将第一数据封装为非加密的第三报文并发送给第二虚拟交换机,第三报文中包括第一虚拟交换机本地最新的第三密钥版本,以供第二虚拟交换机继续确定两端的加密状态是否一致。
在一可选实施例中,还可以定期接收云网络系统中的中心管控节点下发的不同版本的密钥信息;相应地,若本地记录的第二虚拟交换机的加密状态为有效,对第一数据进行加密处理,包括:若本地记录的第二虚拟交换机的加密状态为有效,采用最新版本的加密密钥对第一数据进行加密处理,得到第一报文。
基于上述,本申请实施例还提供一种用于云网络系统的通信方法,该方法可应用与上述云网络系统中的第二物理机上的第二虚拟交换机。图2b为本申请实施例提供的通信方法的流程图,如图2b所示,方法包括:
S1b、接收第一虚拟机交换机发送的第一报文,第一报文至少包括加密使用的第一密钥版本,是第一虚拟机交换机在本地记录的第二虚拟交换机的加密状态置为有效情况下对第一应用实例发送给第二应用实例的第一数据进行加密处理得到的,第一应用实例和第一虚拟交换机位于第一物理机上;
S2b、在第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录第一虚拟交换机的加密状态为无效通告状态;
S3b、通知第一虚拟交换机将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
在一可选实施例中,在本地记录第一虚拟交换机的加密状态为无效通告状态时,可以根据第一应用实例的标识和第一物理机的IP地址,查询本地路由表,得到第一路由表项;并将第一路由表项中的加密状态字段置为表示无效通告状态的第一值,第一路由表项中的加密状态字段表示第一虚拟交换机的加密状态。
在一可选实施例中,在通知第一虚拟交换机将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段时,可以在第二应用实例向第一应用实例发送第二数据时,将第二数据封装成非加密的第二报文并发送给第一虚拟交换机,第二报文包括加密功能关闭指示,以指示第一虚拟交换机将本地记录的第二虚拟交换机的加密功能置为无效;或者在第二应用实例无法或无法及时向第一应用实例发送第二数据的情况下,生成携带加密功能关闭指示的通告报文,并将通告报文发送给第一虚拟交换机,以指示第一虚拟交换机将本地记录的第二虚拟交换机的加密功能置为无效。
在一可选实施例中,在非加密通信阶段,还可以接收第一虚拟交换机发送的第三报文,第三报文中包括第一虚拟交换机本地最新的第三密钥版本;在确定第三报文为非加密报文,且第三密钥版本与本地最新的第四密钥版本不相同的情况下,将本地记录的第一虚拟交换机的加密状态从无效通告状态置为无效。
在一可选实施例中,还可以在第三密钥版本与本地最新的第四密钥版本相同的情况下,将本地记录的第一虚拟交换机的加密状态从无效通告状态置为有效。
需要说明的是,关于上述方法实施例中各步骤执行的具体细节,可参见上述系统实施例中相关内容的说明,在此不再赘述。上述实施例所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤S1a至步骤S3a、步骤S1b至步骤S3b的执行主体可以为设备A;又比如,步骤S1a、步骤S1b的执行主体可以为设备A,步骤S2a和步骤S3a、步骤S2b和步骤S3b的执行主体可以为设备B;等等。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如S1a、S1b等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
图3a为本申请实施例提供的一种通信装置的结构示意图。如图3a所示,该通信装置可应用于云网络系统中的第一物理机上,具体可作为第一物理机上的第一虚拟交换机实现,第一物理机上还承载有第一应用实例。如图3a所示,该通信装置包括:
查询模块301,用于在第一应用实例向第二应用实例发送第一数据的过程中,查询本地记录的第二虚拟交换机的加密状态,所述第二应用实例和第二虚拟交换机位于第二物理机上;
加密模块302,用于若本地记录的所述第二虚拟交换机的加密状态为有效,对所述第一数据进行加密处理,以得到第一报文;
发送模块303,用于将所述第一报文发送给所述第二虚拟交换机,所述第一报文中包括加密使用的第一密钥版本,以供所述第二虚拟交换机确定两端加密状态是否一致。
在一可选实施例中,该装置还包括:加密状态管理模块,用于在所述第二虚拟交换机确定两端加密状态不一致的情况下,将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
进一步可选地,加密状态管理模块具体用于:接收所述第二虚拟交换机发送的第二报文或通告报文,所述第二报文或通告报文包括加密功能关闭指示,所述加密功能关闭指示表示两端加密状态不一致;根据所述加密功能关闭指示,将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。其中,所述第二报文是所述第二虚拟交换机对所述第二应用实例发送给所述第一应用实例的第二数据进行封装得到的非加密报文;所述通告报文是所述第二虚拟交换机在第二应用实例无法或无法及时向所述第一应用实例发送第二数据的情况下生成的。
更进一步,加密状态管理模块在将本地记录的所述第二虚拟交换机的加密状态置为无效时,具体用于:根据所述第二应用实例的标识和所述第二物理机的IP地址,查询本地路由表,得到第二路由表项;将所述第二路由表项中的加密状态字段置为表示无效状态的第二值,所述第二路由表项中的加密状态字段表示所述第二虚拟交换机的加密状态。
在一可选实施例中,发送模块303还用于:在非加密通信阶段,在所述第一应用实例向所述第二应用实例发送第三数据时,将所述第一数据封装为非加密的第三报文并发送给所述第二虚拟交换机,所述第三报文中包括所述第一虚拟交换机本地最新的第三密钥版本,以供所述第二虚拟交换机继续确定两端的加密状态是否一致。
除了上述通信装置之外,本申请实施例还提供另一种通信装置,可应用于云网络系统中的第二物理机上,具体可作为第二物理机上的第二虚拟交换机实现,第二物理机上还承载有第二应用实例。该通信装置包括:接收模块,用于接收第一虚拟机交换机发送的第一报文,所述第一报文至少包括加密使用的第一密钥版本,是第一虚拟机交换机在本地记录的所述第二虚拟交换机的加密状态置为有效情况下对第一应用实例发送给第二应用实例的第一数据进行加密处理得到的,所述第一应用实例和第一虚拟交换机位于第一物理机上;加密状态管理模块,用于在所述第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录所述第一虚拟交换机的加密状态为无效通告状态;发送模块,用于通知所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
在一可选实施例中,加密状态管理模块具体用于根据所述第一应用实例的标识和所述第一物理机的IP地址,查询本地路由表,得到第一路由表项;将所述第一路由表项中的加密状态字段置为表示无效通告状态的第一值,所述第一路由表项中的加密状态字段表示所述第一虚拟交换机的加密状态。
在一可选实施例中,发送模块具体用于:在所述第二应用实例向所述第一应用实例发送第二数据时,将所述第二数据封装成非加密的第二报文并发送给所述第一虚拟交换机,所述第二报文包括加密功能关闭指示,以指示所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密功能置为无效;
或者
在所述第二应用实例无法或无法及时向所述第一应用实例发送第二数据的情况下,生成携带加密功能关闭指示的通告报文,并将所述通告报文发送给所述第一虚拟交换机,以指示所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密功能置为无效。
在一可选实施例中,接收模块还用于:在非加密通信阶段,接收所述第一虚拟交换机发送的第三报文,所述第三报文中包括所述第一虚拟交换机本地最新的第三密钥版本。相应地,加密状态管理模块还用于:在确定所述第三报文为非加密报文,且所述第三密钥版本与本地最新的第四密钥版本不相同的情况下,将本地记录的所述第一虚拟交换机的加密状态从无效通告状态置为无效。
进一步可选地,加密状态管理模块还用于:在所述第三密钥版本与本地最新的第四密钥版本相同的情况下,将本地记录的所述第一虚拟交换机的加密状态从无效通告状态置为有效。
基于上述实施例,本申请实施例还提供一种物理机,该物理机上承载有第一虚拟交换机和第一应用实例,其中,第一应用实例与第二物理机上的第二应用实例具有通信需求,第一虚拟交换机通过第二物理机上的第二虚拟交换机完成第一应用实例与第二应用实例之间的通信。图3b为物理机的结构示意图,如图3b所示,物理机包括:处理器31以及存储有计算机程序的存储器32,存储器32中存储有第一应用实例和第一虚拟交换机对应的计算机程序;其中,处理器31和存储器32可以是一个或多个。
存储器32,主要用于存储计算机程序,这些计算机程序可被处理器31执行,致使处理器31控制物理机实现相应功能、完成相应动作或任务。除了存储计算机程序之外,存储器32还可被配置为存储其它各种数据以支持在物理机上的操作。这些数据的示例包括用于在物理机上操作的任何应用程序或方法的指令。
存储器32,可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
在本申请实施例中,并不限定处理器31的实现形态,例如可以是但不限于CPU、GPU或MCU等。处理器31可以看作是物理机的控制系统,可用于执行存储器32中存储的计算机程序,以控制物理机实现相应功能、完成相应动作或任务。值得说明的是,根据物理机实现形态以及所处于场景的不同,其所需实现的功能、完成的动作或任务会有所不同;相应地,存储器32中存储的计算机程序也会有所不同,而处理器31执行不同计算机程序可控制物理机实现不同的功能、完成不同的动作或任务。
在一些可选实施例中,如图3b所示,物理机还可包括:电源组件34以及通信组件35等其它组件。图3b中仅示意性给出部分组件,并不意味着物理机只包括图3b所示组件,针对不同的应用需求,物理机还可以包括其他组件,例如,在具有显示需求的情况下,如图3b所示,物理机还可以包括显示器33;在具有语音交互需求的情况下,如图3b所示,物理机还可以包括音频组件36,其中,虚线框表示可选组件。关于物理机可包含的组件,具体可视物理机的产品形态而定,在此不做限定。
在本申请实施例中,当处理器31执行存储器中的计算机程序时,以用于在第一应用实例向第二应用实例发送第一数据的过程中,查询本地记录的第二虚拟交换机的加密状态,第二应用实例和第二虚拟交换机位于第二物理机上;若本地记录的第二虚拟交换机的加密状态为有效,对第一数据进行加密处理,以得到第一报文;将第一报文发送给第二虚拟交换机,第一报文中包括加密使用的第一密钥版本,以供第二虚拟交换机确定两端加密状态是否一致。
在一可选实施例中,处理器31还用于:在第二虚拟交换机确定两端加密状态不一致的情况下,将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
在一可选实施例中,在第二虚拟交换机确定两端加密状态不一致的情况下,处理器31在将本地记录的第二虚拟交换机的加密状态置为无效时,用于:接收第二虚拟交换机发送的第二报文或通告报文,第二报文或通告报文包括加密功能关闭指示,加密功能关闭指示表示两端加密状态不一致;根据加密功能关闭指示,将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段;其中,第二报文是第二虚拟交换机对第二应用实例发送给第一应用实例的第二数据进行封装得到的非加密报文;通告报文是第二虚拟交换机在第二应用实例无法或无法及时向第一应用实例发送第二数据的情况下生成的。
在一可选实施例中,处理器31在将本地记录的第二虚拟交换机的加密状态置为无效时,用于:根据第二应用实例的标识和第二物理机的IP地址,查询本地路由表,得到第二路由表项;将第二路由表项中的加密状态字段置为表示无效状态的第二值,第二路由表项中的加密状态字段表示第二虚拟交换机的加密状态。
在一可选实施例中,处理器31还用于:在非加密通信阶段,在第一应用实例向第二应用实例发送第三数据时,将第一数据封装为非加密的第三报文并发送给第二虚拟交换机,第三报文中包括第一虚拟交换机本地最新的第三密钥版本,以供第二虚拟交换机继续确定两端的加密状态是否一致。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由本第一物理机执行的各步骤。
基于上述实施例,本申请实施例还提供一种物理机,该物理机上承载有第二虚拟交换机和第二应用实例;其中,第二应用实例与第一物理机上的第一应用实例具有通信需求,第二虚拟交换机通过第一物理机上的第一虚拟交换机完成第二应用实例与第一应用实例之间的通信。本实施例中的物理机的结构与图3b所示物理机结构相同或相似,具体可参见图3b。
本实施例中的物理机包括处理器以及存储有计算机程序的存储器,存储器中存储有第二应用实例和第二虚拟交换机对应的计算机程序;其中,处理器和存储器可以是一个或多个。在本申请实施例中,当处理器执行存储器中的计算机程序时,以用于接收第一虚拟机交换机发送的第一报文,第一报文至少包括加密使用的第一密钥版本,是第一虚拟机交换机在本地记录的第二虚拟交换机的加密状态置为有效情况下对第一应用实例发送给第二应用实例的第一数据进行加密处理得到的,第一应用实例和第一虚拟交换机位于第一物理机上;在第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录第一虚拟交换机的加密状态为无效通告状态;以及通知第一虚拟交换机将本地记录的第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
在一可选实施例中,处理器在本地记录第一虚拟交换机的加密状态为无效通告状态时,用于:根据第一应用实例的标识和第一物理机的IP地址,查询本地路由表,得到第一路由表项;将第一路由表项中的加密状态字段置为表示无效通告状态的第一值,第一路由表项中的加密状态字段表示第一虚拟交换机的加密状态。
在一可选实施例中,处理器在通知第一虚拟交换机将本地记录的第二虚拟交换机的加密状态置为无效时,用于:在第二应用实例向第一应用实例发送第二数据时,将第二数据封装成非加密的第二报文并发送给第一虚拟交换机,第二报文包括加密功能关闭指示,以指示第一虚拟交换机将本地记录的第二虚拟交换机的加密功能置为无效;或者在第二应用实例无法或无法及时向第一应用实例发送第二数据的情况下,生成携带加密功能关闭指示的通告报文,并将通告报文发送给第一虚拟交换机,以指示第一虚拟交换机将本地记录的第二虚拟交换机的加密功能置为无效。
在一可选实施例中,处理器还用于:在非加密通信阶段,接收第一虚拟交换机发送的第三报文,第三报文中包括第一虚拟交换机本地最新的第三密钥版本;在确定第三报文为非加密报文,且第三密钥版本与本地最新的第四密钥版本不相同的情况下,将本地记录的第一虚拟交换机的加密状态从无效通告状态置为无效。
在一可选实施例中,处理器还用于:在第三密钥版本与本地最新的第四密钥版本相同的情况下,将本地记录的第一虚拟交换机的加密状态从无效通告状态置为有效。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由第二物理机执行的各步骤。
需要说明的是,关于上述物理机实施例中处理器执行各步骤的具体内容,可参见上述系统实施例中对应部分的说明,在此不做赘述。
上述实施例中的通信组件被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G、3G、4G/LTE、5G等移动通信网络,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
上述实施例中的显示器包括屏幕,其屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
上述实施例中的电源组件,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
上述实施例中的音频组件,可被配置为输出和/或输入音频信号。例如,音频组件包括一个麦克风(MIC),当音频组件所在设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中,音频组件还包括一个扬声器,用于输出音频信号。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种云网络系统,其特征在于,包括:物理网络和目标虚拟网络,所述物理网络包括第一物理机和第二物理机,分别承载所述目标虚拟网络中的第一应用实例和第二应用实例;所述第一物理机上还部署有第一虚拟交换机,所述第二物理机上还部署有第二虚拟交换机;
所述第一虚拟交换机,用于在所述第一应用实例向所述第二应用实例发送第一数据的过程中,若本地记录的所述第二虚拟交换机的加密状态为有效,对所述第一数据进行加密处理,并将加密得到的第一报文发送给所述第二虚拟交换机,所述第一报文中包括加密使用的第一密钥版本;
所述第二虚拟交换机,用于接收所述第一报文,在所述第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录所述第一虚拟交换机的加密状态为无效通告状态,并通知所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
2.根据权利要求1所述的系统,其特征在于,还包括:中心管控节点,用于定期向所述第一虚拟交换机和第二虚拟交换机下发不同版本的密钥信息,以供所述第一虚拟交换机和所述第二虚拟交换机对所述第一应用实例与所述第二应用实例通信过程中的数据进行加密处理。
3.一种用于云网络系统的通信方法,其特征在于,应用于云网络系统中的第一物理机上的第一虚拟交换机,所述第一物理机上还承载有第一应用实例,所述方法包括:
在第一应用实例向第二应用实例发送第一数据的过程中,查询本地记录的第二虚拟交换机的加密状态,所述第二应用实例和第二虚拟交换机位于第二物理机上;
若本地记录的所述第二虚拟交换机的加密状态为有效,对所述第一数据进行加密处理,以得到第一报文;
将所述第一报文发送给所述第二虚拟交换机,所述第一报文中包括加密使用的第一密钥版本,以供所述第二虚拟交换机确定两端加密状态是否一致。
4.根据权利要求3所述的方法,其特征在于,还包括:
在所述第二虚拟交换机确定两端加密状态不一致的情况下,将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
5.根据权利要求4所述的方法,其特征在于,在所述第二虚拟交换机确定两端加密状态不一致的情况下,将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段,包括:
接收所述第二虚拟交换机发送的第二报文或通告报文,所述第二报文或通告报文包括加密功能关闭指示,所述加密功能关闭指示表示两端加密状态不一致;
根据所述加密功能关闭指示,将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段;
其中,所述第二报文是所述第二虚拟交换机对所述第二应用实例发送给所述第一应用实例的第二数据进行封装得到的非加密报文;所述通告报文是所述第二虚拟交换机在第二应用实例无法或无法及时向所述第一应用实例发送第二数据的情况下生成的。
6.根据权利要求4或5所述的方法,其特征在于,将本地记录的所述第二虚拟交换机的加密状态置为无效,包括:
根据所述第二应用实例的标识和所述第二物理机的IP地址,查询本地路由表,得到第二路由表项;
将所述第二路由表项中的加密状态字段置为表示无效状态的第二值,所述第二路由表项中的加密状态字段表示所述第二虚拟交换机的加密状态。
7.根据权利要求4或5所述的方法,其特征在于,还包括:
在非加密通信阶段,在所述第一应用实例向所述第二应用实例发送第三数据时,将所述第一数据封装为非加密的第三报文并发送给所述第二虚拟交换机,所述第三报文中包括所述第一虚拟交换机本地最新的第三密钥版本,以供所述第二虚拟交换机继续确定两端的加密状态是否一致。
8.一种用于云网络系统的通信方法,其特征在于,应用于云网络系统中的第二物理机上的第二虚拟交换机,所述第二物理机上还承载有第二应用实例,所述方法包括:
接收第一虚拟机交换机发送的第一报文,所述第一报文至少包括加密使用的第一密钥版本,是第一虚拟机交换机在本地记录的所述第二虚拟交换机的加密状态置为有效情况下对第一应用实例发送给第二应用实例的第一数据进行加密处理得到的,所述第一应用实例和第一虚拟交换机位于第一物理机上;
在所述第一密钥版本与本端加密使用的第二密钥版本不相同的情况下,在本地记录所述第一虚拟交换机的加密状态为无效通告状态;以及
通知所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段。
9.根据权利要求8所述的方法,其特征在于,在本地记录所述第一虚拟交换机的加密状态为无效通告状态,包括:
根据所述第一应用实例的标识和所述第一物理机的IP地址,查询本地路由表,得到第一路由表项;
将所述第一路由表项中的加密状态字段置为表示无效通告状态的第一值,所述第一路由表项中的加密状态字段表示所述第一虚拟交换机的加密状态。
10.根据权利要求8所述的方法,其特征在于,通知所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密状态置为无效,以进入非加密通信阶段,包括:
在所述第二应用实例向所述第一应用实例发送第二数据时,将所述第二数据封装成非加密的第二报文并发送给所述第一虚拟交换机,所述第二报文包括加密功能关闭指示,以指示所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密功能置为无效;或者
在所述第二应用实例无法或无法及时向所述第一应用实例发送第二数据的情况下,生成携带加密功能关闭指示的通告报文,并将所述通告报文发送给所述第一虚拟交换机,以指示所述第一虚拟交换机将本地记录的所述第二虚拟交换机的加密功能置为无效。
11.根据权利要求8-10任一项所述的方法,其特征在于,还包括:
在非加密通信阶段,接收所述第一虚拟交换机发送的第三报文,所述第三报文中包括所述第一虚拟交换机本地最新的第三密钥版本;
在确定所述第三报文为非加密报文,且所述第三密钥版本与本地最新的第四密钥版本不相同的情况下,将本地记录的所述第一虚拟交换机的加密状态从无效通告状态置为无效。
12.一种物理机,其特征在于,所述物理机上部署有第一应用实例和第一虚拟交换机,所述物理机还包括存储器和处理器,所述存储器中存储有所述第一应用实例和所述第一虚拟交换机对应的计算机程序,所述处理器用于执行所述计算机程序,以用于实现权利要求3-7所述方法中的任一项步骤。
13.一种物理机,其特征在于,所述物理机上部署有第二应用实例和第二虚拟交换机,所述物理机还包括存储器和处理器,所述存储器中存储有所述第二应用实例和所述第二虚拟交换机对应的计算机程序,所述处理器用于执行所述计算机程序,以用于实现权利要求8-11所述方法中的任一项步骤。
14.一种存储有计算机程序/指令的计算机可读存储介质,其特征在于,当所述计算机程序/指令被处理器执行时,致使所述处理器实现权利要求3-11所述方法中的任一项步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210344556.7A CN114726518B (zh) | 2022-03-31 | 2022-03-31 | 用于云网络系统的通信方法、装置、系统及存储介质 |
| PCT/CN2023/084742 WO2023185936A1 (zh) | 2022-03-31 | 2023-03-29 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210344556.7A CN114726518B (zh) | 2022-03-31 | 2022-03-31 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114726518A true CN114726518A (zh) | 2022-07-08 |
| CN114726518B CN114726518B (zh) | 2023-05-26 |
Family
ID=82241628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210344556.7A Active CN114726518B (zh) | 2022-03-31 | 2022-03-31 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114726518B (zh) |
| WO (1) | WO2023185936A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023185936A1 (zh) * | 2022-03-31 | 2023-10-05 | 阿里云计算有限公司 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188498A (zh) * | 2007-12-19 | 2008-05-28 | 华为技术有限公司 | 一种通信终端及通信方法 |
| CN101410803A (zh) * | 2006-01-24 | 2009-04-15 | 思杰系统有限公司 | 用于提供对计算环境的访问的方法和系统 |
| CN103237020A (zh) * | 2013-04-07 | 2013-08-07 | 杭州华三通信技术有限公司 | 避免状态机被攻击的方法及服务器、交换机 |
| CN103607449A (zh) * | 2013-11-18 | 2014-02-26 | 中国联合网络通信集团有限公司 | 企业内网物理机访问云存储虚拟机的方法、设备和系统 |
| US20150096011A1 (en) * | 2013-10-01 | 2015-04-02 | Racemi, Inc. | Migration of complex applications within a hybrid cloud environment |
| CN105657688A (zh) * | 2015-11-30 | 2016-06-08 | 东莞酷派软件技术有限公司 | 一种基于虚拟客户识别模块的通信方法及装置 |
| WO2016196683A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| CN107533471A (zh) * | 2015-04-23 | 2018-01-02 | 阿尔卡特朗讯公司 | 通过禁用不必要的功能改进虚拟化应用性能 |
| CN107750441A (zh) * | 2015-01-26 | 2018-03-02 | 卢森堡商创研腾智权信托有限公司 | 安全动态通讯网络及协定 |
| CN107800602A (zh) * | 2016-08-29 | 2018-03-13 | 华为技术有限公司 | 一种报文处理方法、设备及系统 |
| CN112994987A (zh) * | 2021-05-07 | 2021-06-18 | 阿里云计算有限公司 | 云网络、用于云网络的测量系统、方法、设备及存储介质 |
| US20210352608A1 (en) * | 2018-08-31 | 2021-11-11 | Lg Electronics Inc. | Method and device for selecting public land mobile network (plmn) in wireless communication system |
| WO2022000048A1 (en) * | 2020-07-03 | 2022-01-06 | Bankvault Pty Ltd | Method and system for verification of identify of a user |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8584228B1 (en) * | 2009-12-29 | 2013-11-12 | Amazon Technologies, Inc. | Packet authentication and encryption in virtual networks |
| CN109462476B (zh) * | 2018-11-23 | 2021-10-08 | 成都卫士通信息产业股份有限公司 | 密钥协商方法、装置、终端及计算机可读存储介质 |
| CN114726518B (zh) * | 2022-03-31 | 2023-05-26 | 阿里云计算有限公司 | 用于云网络系统的通信方法、装置、系统及存储介质 |
-
2022
- 2022-03-31 CN CN202210344556.7A patent/CN114726518B/zh active Active
-
2023
- 2023-03-29 WO PCT/CN2023/084742 patent/WO2023185936A1/zh unknown
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101410803A (zh) * | 2006-01-24 | 2009-04-15 | 思杰系统有限公司 | 用于提供对计算环境的访问的方法和系统 |
| CN101188498A (zh) * | 2007-12-19 | 2008-05-28 | 华为技术有限公司 | 一种通信终端及通信方法 |
| CN103237020A (zh) * | 2013-04-07 | 2013-08-07 | 杭州华三通信技术有限公司 | 避免状态机被攻击的方法及服务器、交换机 |
| US20150096011A1 (en) * | 2013-10-01 | 2015-04-02 | Racemi, Inc. | Migration of complex applications within a hybrid cloud environment |
| CN103607449A (zh) * | 2013-11-18 | 2014-02-26 | 中国联合网络通信集团有限公司 | 企业内网物理机访问云存储虚拟机的方法、设备和系统 |
| CN107750441A (zh) * | 2015-01-26 | 2018-03-02 | 卢森堡商创研腾智权信托有限公司 | 安全动态通讯网络及协定 |
| CN107533471A (zh) * | 2015-04-23 | 2018-01-02 | 阿尔卡特朗讯公司 | 通过禁用不必要的功能改进虚拟化应用性能 |
| WO2016196683A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| CN105657688A (zh) * | 2015-11-30 | 2016-06-08 | 东莞酷派软件技术有限公司 | 一种基于虚拟客户识别模块的通信方法及装置 |
| CN107800602A (zh) * | 2016-08-29 | 2018-03-13 | 华为技术有限公司 | 一种报文处理方法、设备及系统 |
| US20210352608A1 (en) * | 2018-08-31 | 2021-11-11 | Lg Electronics Inc. | Method and device for selecting public land mobile network (plmn) in wireless communication system |
| WO2022000048A1 (en) * | 2020-07-03 | 2022-01-06 | Bankvault Pty Ltd | Method and system for verification of identify of a user |
| CN112994987A (zh) * | 2021-05-07 | 2021-06-18 | 阿里云计算有限公司 | 云网络、用于云网络的测量系统、方法、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 刘建立: "云计算背景下的网络安全技术实现路径探索", 《电子世界》 * |
| 刘畅等: "智能网卡应用于云网络加速方案研究", 《电信工程技术与标准化》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023185936A1 (zh) * | 2022-03-31 | 2023-10-05 | 阿里云计算有限公司 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023185936A1 (zh) | 2023-10-05 |
| CN114726518B (zh) | 2023-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111510919B (zh) | 网络配置方法、装置、设备和系统 | |
| TWI643508B (zh) | 用於物聯網智能設備的智慧路由系統 | |
| EP3182324B1 (en) | System and method for secure communications between a computer test tool and a cloud-based server | |
| WO2019201154A1 (zh) | 物联网设备之间的通信方法及装置 | |
| JP6693948B2 (ja) | データ同期の方法及び装置 | |
| CN108200094B (zh) | 一种燃气表的安全通信装置、方法和系统 | |
| CN109302501B (zh) | 一种基于区块链技术的工控数据存储方法、装置及系统 | |
| US20210144130A1 (en) | Method for securing communication without management of states | |
| CN114726518B (zh) | 用于云网络系统的通信方法、装置、系统及存储介质 | |
| US20090161873A1 (en) | Method and apparatus for key management in an end-to-end encryption system | |
| CN109660609B (zh) | 一种设备识别方法和装置以及存储介质 | |
| CN113301537A (zh) | 用于建立通信连接的方法、装置、电子设备以及存储介质 | |
| WO2019019282A1 (zh) | 物联网终端数据的按顺序加密方法及装置 | |
| CN107682335A (zh) | 数据传输方法、服务端以及计算机可读存储介质 | |
| CN113312657B (zh) | 一种应用服务器不停机发布方法及应用服务器 | |
| CN112118210B (zh) | 一种认证密钥配置方法、设备、系统及存储介质 | |
| CN107370735A (zh) | 一种物联网中继器数据的分时段加密方法及装置 | |
| CN113709128A (zh) | 一种基于区块链的iros系统通信方法及设备 | |
| CN110928564A (zh) | 安全更新应用的方法、业务服务器、集群及存储介质 | |
| JP2021513712A (ja) | 分散型データストレージのためのシステムおよび方法 | |
| CN112491838B (zh) | 工业互联网安全发送报文的方法和系统 | |
| CN113259949B (zh) | 网络配置系统及方法、电子设备、网络配置系统的组建方法及设备 | |
| US11785448B2 (en) | Method and device for implementing secure communication, and storage medium | |
| EP4109234A1 (en) | Wireless device monitoring method and apparatus | |
| CN114827093A (zh) | 一种通信方法、设备、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |