CN116827692A - 安全通信方法和安全通信系统 - Google Patents
安全通信方法和安全通信系统 Download PDFInfo
- Publication number
- CN116827692A CN116827692A CN202311094251.6A CN202311094251A CN116827692A CN 116827692 A CN116827692 A CN 116827692A CN 202311094251 A CN202311094251 A CN 202311094251A CN 116827692 A CN116827692 A CN 116827692A
- Authority
- CN
- China
- Prior art keywords
- message
- channel layer
- application
- virtual service
- channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000006854 communication Effects 0.000 title claims abstract description 47
- 238000004891 communication Methods 0.000 title claims abstract description 45
- 238000012545 processing Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种安全通信方法和安全通信系统,应用于第一设备和第二设备,其中,第一设备包含有第一应用和第一通道层,第二设备包含有第二应用和第二通道层;该方法包括:第一应用将用于访问第二应用的报文发送至第一通道层;第一通道层通过第一密码套件,对报文进行加密处理;第一通道层将加密后的报文发送至第二通道层;第二通道层通过第一密码套件,对加密后的报文进行解密处理,并将解密后的报文发送至第二应用。采用本发明,通道层可以对从上层的应用接收来的报文通过第一密码套件进行加密处理,可以保证设备间传输的报文的加密方式是符合新规的,且无需改变应用间原有的对报文加密解密的方式。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种安全通信方法和安全通信系统。
背景技术
目前来说,很多操作系统都是基于Linux系统进行开发的,其中包括大量的IDC(Internet Data Center,是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系)产品,如带宽管理、流量分析、负载均衡、入侵检测、系统漏洞诊断等等。不同设备间因需要工作协调和管理,不可避免地在操作系统上运行了众多的应用,这些应用可以包括自研应用、操作系统自带应用和第三方应用等。
以Linux系统自带sshd应用和自研用于配置同步的syconfigd应用间的通信过程为例来说,sshd应用通过OpenSSL确保设备间的通信安全问题,然而如果新规要求某些设备特别是安全设备间必须使用特定的密码套件进行安全通信,那么就需要修改sshd应用,而修改sshd应用并非一种好的解决方式。
诸如上述情况,如果新规涉及的类似的应用数量较多,如果对每个应用都进行修改,那么工作量庞大。此外,由于存在较多的第三方应用是由开源社区维护的,新规只影响特定行业,开源社区不一定能快速跟进。
发明内容
本发明实施例提供一种安全通信方法和安全通信系统,用以实现保证设备间传输的报文的加密方式是符合新规的,且无需改变应用间原有的对报文加密解密的方式。
第一方面,本发明实施例提供一种安全通信方法,应用于第一设备和第二设备,其中,所述第一设备包含有第一应用和第一通道层,所述第二设备包含有第二应用和第二通道层;
所述方法包括:
所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层;
所述第一通道层通过第一密码套件,对所述报文进行加密处理;
所述第一通道层将加密后的报文发送至所述第二通道层;
所述第二通道层通过所述第一密码套件,对所述加密后的报文进行解密处理,并将解密后的报文发送至所述第二应用。
可选地,所述报文用于请求建立所述第一设备和所述第二设备之间的连接,所述第一通道层中配置有第一虚拟服务,所述第二通道层中配置有第二虚拟服务和后台服务;
所述方法还包括:
响应于所述报文的请求,所述第一应用和所述第一虚拟服务建立第一连接;
所述第一虚拟服务和所述第二虚拟服务建立第二连接;
所述第二虚拟服务和所述后台服务建立第三连接。
可选地,所述第一通道层中配置有与所述第一虚拟服务连接的出向通道,所述第二通道层中配置有与所述第二虚拟服务连接的入向通道;
所述第一虚拟服务和所述第二虚拟服务建立第二连接,包括:
所述第一虚拟服务通过所述出向通道、所述第二虚拟服务通过所述入向通道,建立所述第一虚拟服务与所述第二虚拟服务间的第二连接。
可选地,所述方法还包括:
获取所述报文的属性信息;
根据所述属性信息,在多个预先配置的虚拟服务中确定用于处理所述报文的所述第一虚拟服务;
根据所述第一虚拟服务,为所述报文匹配相应的所述出向通道,以通过所述出向通道发送所述报文。
可选地,在所述第一设备和所述第二设备之间的连接成功建立之前,所述属性信息包括所述报文的目的网际互连协议IP地址、目的端口号以及通信协议类型;
在所述第一设备和所述第二设备之间的连接成功建立之后,所述属性信息包括所述报文的源IP地址、源端口号、目的IP地址、目的端口号以及通信协议类型。
可选地,所述第一虚拟服务和所述第二虚拟服务建立第二连接,包括:
所述第一虚拟服务通过透明模式和所述第二虚拟服务建立第二连接;
所述第二虚拟服务和所述后台服务建立第三连接,包括:
所述第二虚拟服务通过所述透明模式和所述后台服务建立第三连接。
可选地,在所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层之前,所述方法还包括:
所述第一应用通过第二密码套件对所述报文进行加密处理,其中,所述第二密码套件与所述第一密码套件采用的加密解密算法不同;
在所述第二通道层将解密后的报文发送至所述第二应用之后,所述方法还包括:
所述第二应用通过所述第二密码套件对所述解密后的报文进行二次解密处理。
可选地,所述第一密码套件为国密密码套件。
可选地,所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层,包括:
所述第一应用调用与所述第一通道层绑定的虚拟接口,以通过所述虚拟接口将用于访问所述第二应用的报文发送至所述第一通道层。
第二方面,本发明实施例提供一种安全通信系统,所述系统包括第一设备和第二设备,所述第一设备包含有第一应用和第一通道层,所述第二设备包含有第二应用和第二通道层;其中:
所述第一设备,用于通过所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层;所述第一通道层通过第一密码套件,对所述报文进行加密处理;所述第一通道层将加密后的报文发送至所述第二通道层;
所述第二设备,用于通过所述第二通道层采用所述第一密码套件,对所述加密后的报文进行解密处理,并将解密后的报文发送至所述第二应用。
可选地,所述报文用于请求建立所述第一设备和所述第二设备之间的连接,所述第一通道层中配置有第一虚拟服务,所述第二通道层中配置有第二虚拟服务和后台服务;
所述第一设备,还用于响应于所述报文的请求,所述第一应用和所述第一虚拟服务建立第一连接;所述第一虚拟服务和所述第二虚拟服务建立第二连接;
所述第二设备,还用于所述第二虚拟服务和所述后台服务建立第三连接。
可选地,所述第一通道层中配置有与所述第一虚拟服务连接的出向通道,所述第二通道层中配置有与所述第二虚拟服务连接的入向通道;
所述第一设备,用于所述第一虚拟服务通过所述出向通道、所述第二虚拟服务通过所述入向通道,建立所述第一虚拟服务与所述第二虚拟服务间的第二连接。
可选地,所述第一设备,用于:
获取所述报文的属性信息;
根据所述属性信息,在多个预先配置的虚拟服务中确定用于处理所述报文的所述第一虚拟服务;
根据所述第一虚拟服务,为所述报文匹配相应的所述出向通道,以通过所述出向通道发送所述报文。
可选地,在所述第一设备和所述第二设备之间的连接成功建立之前,所述属性信息包括所述报文的目的网际互连协议IP地址、目的端口号以及通信协议类型;
在所述第一设备和所述第二设备之间的连接成功建立之后,所述属性信息包括所述报文的源IP地址、源端口号、目的IP地址、目的端口号以及通信协议类型。
可选地,所述第一设备,用于所述第一虚拟服务通过透明模式和所述第二虚拟服务建立第二连接;
所述第二设备,用于所述第二虚拟服务通过所述透明模式和所述后台服务建立第三连接。
可选地,所述第一设备,用于所述第一应用通过第二密码套件对所述报文进行加密处理,其中,所述第二密码套件与所述第一密码套件采用的加密解密算法不同;
所述第二设备,用于所述第二应用通过所述第二密码套件对所述解密后的报文进行二次解密处理。
可选地,所述第一密码套件为国密密码套件。
可选地,所述第一设备,用于:
所述第一应用调用与所述第一通道层绑定的虚拟接口,以通过所述虚拟接口将用于访问所述第二应用的报文发送至所述第一通道层。
采用本发明,可以给设备增加通道层,并在通道层中配置第一密码套件,该第一密码套件可以是符合新规的密码套件。这样,通道层可以对从上层的应用接收来的报文通过第一密码套件进行加密处理,或者通道层可以对从外部设备接收来的报文通过第一密码套件进行解密处理,可以保证设备间传输的报文的加密方式是符合新规的,且无需改变应用间原有的对报文加密解密的方式。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全通信方法的流程示意图;
图2为本发明实施例提供的另一种安全通信方法的流程示意图;
图3为本发明实施例提供的一种系统架构的结构示意图;
图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
本发明实施例提供一种安全通信方法,该方法可以应用于第一设备和第二设备。其中,第一设备和第二设备中可以运行有操作系统,如Linux系统。在操作系统中可以安装有多种应用,这些应用可以包括自研应用、操作系统自带应用和第三方应用等。其中,应用例如可以是http应用、syconfigd应用、sshd应用等等。
对于设备来说,按照由上到下的次序可以设置有应用层、操作系统层、网络接口层等。在本发明实施例中,在操作系统层和网络接口层的中间插入通道层,即按照由上到下的次序变为应用层、操作系统层、通道层、网络接口层等。其中,通道层的具体功能会在下文中详细介绍,在此暂不展示叙述。本发明实施例中的第一设备包含有第一应用和第一通道层,第二设备包含有第二应用和第二通道层。
需要说明的是,由于在本发明实施例中需要插入通道层,因此可以对原有的操作系统层和网络接口层进行解耦,同时创建通道层对应的虚拟接口,通过虚拟接口和操作系统层进行报文交互,以此实现了在原有的操作系统层和网络接口层之间插入通道层。
下面将具体介绍本发明实施例提供的安全通信方法。图1为本发明实施例提供的一种安全通信方法的流程图,如图1所示,该方法包括如下步骤:
101、第一应用将用于访问第二应用的报文发送至第一通道层。
102、第一通道层通过第一密码套件,对报文进行加密处理。
103、第一通道层将加密后的报文发送至第二通道层。
104、第二通道层通过第一密码套件,对加密后的报文进行解密处理,并将解密后的报文发送至第二应用。
假设第一设备将要访问第二设备中的业务,具体来说,第一设备中的第一应用需要与第二设备中的第二应用进行报文交互。在此过程中,由第一应用生成用于访问第二应用的报文,第一应用将报文发送至第一通道层。实际应用中,第一应用可以将报文发送至操作系统层,再由操作系统层将报文发送至第一通道层。
可选地,第一应用将用于访问第二应用的报文发送至第一通道层的过程可以实现为:第一应用调用与第一通道层绑定的虚拟接口,以通过虚拟接口将用于访问第二应用的报文发送至第一通道层。
可以理解的是,如前文所述,在本发明实施例中将操作系统层与网络接口层进行了解耦,同时创建了通道层对应的虚拟接口,可以将该虚拟接口暴露给操作系统层。这样,操作系统层在接收到第一应用发送的报文之后,可以调用该虚拟接口,通过这样的方式操作系统层可以将报文发送至第一通道层。
在第一通道层中配置有第一密码套件,可以通过第一密码套件对报文进行加密处理。其中,在某些可选实施例中,第一密码套件可以是国密密码套件。
在对报文加密之后,第一通道层可以将加密后的报文发送至第二设备的第二通道层。在第二通道层中也配置有上述第一密码套件,这样第二通道层可以通过该第一密码套件对接收到的报文进行解密处理,并将解密后的报文通过操作系统层上传给第二应用。
值得注意的是,上述第一应用发送至第一通道层的报文可以是明文,或者也可以是经过第一应用加密过的报文。当第一应用发送至第一通道层的报文是经过第一应用加密过的报文时,如图2所示,本发明实施例提供的安全通信方法也可以实现为:
201、第一应用通过第二密码套件对报文进行加密处理,其中,第二密码套件与第一密码套件采用的加密解密算法不同。
202、第一应用将用于访问第二应用的报文发送至第一通道层。
203、第一通道层通过第一密码套件,对报文进行加密处理。
204、第一通道层将加密后的报文发送至第二通道层。
205、第二通道层通过第一密码套件,对加密后的报文进行解密处理,并将解密后的报文发送至第二应用。
206、第二应用通过第二密码套件对解密后的报文进行二次解密处理。
实际应用中,第一应用可以生成用于访问第二应用的报文,通过第二密码套件对报文进行加密处理。第一应用可以通过操作系统层将以第二密码套件加密的报文发送至第一通道层,在第一通道层中可以通过第一密码套件再次对报文进行加密处理。这样,从第一设备发送出去的报文为采用第一密码套件加密处理过的报文,如果将第一密码套件设置为符合新规的密码套件,则第一应用和第二应用间仍可采用其原有的密码套件进行加密处理,无需改变第一应用和第二应用通信过程中使用的密码套件。
以第一设备中的sshd应用A和第二设备中的sshd应用B通信为例来说,sshd应用A通过OpenSSL对报文进行一次加密处理,然后sshd应用A将通过OpenSSL加密后的报文发送至第一通道层。第一通道层继续采用国密密码套件对OpenSSL加密后的报文进行二次加密处理,接着通过网络接口层将经过国密密码套件加密处理的报文发送至第二设备。
在第二设备中,由第二通道层通过国密密码套件对接收到的报文进行解密处理,然后将解密后的报文发送至sshd应用B。对于sshd应用B来说,其接收到的报文仍有一层加密,在sshd应用B中,可以通过与sshd应用A采用的相同的OpenSSL对报文进行解密处理,最终sshd应用B能够获得明文,并基于获得的明文响应sshd应用A的访问。
采用本发明,在不改变第一设备和第二设备中的两个应用间原有的对报文的加密方式的情况下,通过在设备中增加通道层,通过通道层对报文采用符合新规的第一密码套件进行加密处理,使得可以在保证符合新规的前提下,不改变第一设备和第二设备中的两个应用进行安全通信。
可以理解的是,在第一应用实际访问第二应用之前,需要建立第一设备和第二设备之间的连接。相应地,上述报文可以用于请求建立第一设备和第二设备之间的连接。第一通道层中可以配置有第一虚拟服务,第二通道层中可以配置有第二虚拟服务和后台服务。在某些可选实施例中,第一通道层可以配置有第一虚拟服务和第一后台服务,第二通道层中可以配置有第二虚拟服务和第二后台服务。
其中,虚拟服务可以解释为内部网络上的真实服务器在代理服务器上的映射,为后台服务提供统一的接入。此外,本发明实施例中的虚拟服务还可以用于通过第一密码套件对报文进行加密解密处理。本发明实施例中的后台服务为实际提供服务的载体。
可选地,第一设备和第二设备的连接过程可以实现为:响应于报文的请求,第一应用和第一虚拟服务建立第一连接;第一虚拟服务和第二虚拟服务建立第二连接;第二虚拟服务和第二后台服务建立第三连接。
值得注意的是,可以在通道层中配置通道进行报文交互。通道具有方向,可以将虚拟服务面向外部设备的通道定义为入向通道,将虚拟服务面向本地上层的应用的通道定义为出向通道。对于通道层来说,可以每当产生应用间的访问的需求时相应配置新的通道,因此在通道层中可以配置有具有不同方向的多个通道。无论通道的方向如何,对于每个通道来说,每个通道对应着一组反向代理,每组反向代理包括一个虚拟服务和一个后台服务。也就是说,每个通道都有两个端口,一个端口连接着对应的虚拟服务,一个端口连接着对应的后台服务。而对于任一虚拟服务或者任一后台服务来说,在一个方向上只有唯一的通道与其连接。
在某些可选实施例中,第一通道层中可以配置有与第一虚拟服务连接的出向通道,第二通道层中可以配置有与第二虚拟服务连接的入向通道。相应地,第一设备和第二设备的连接过程可以实现为:第一应用和第一虚拟服务建立第一连接;第一虚拟服务通过出向通道、第二虚拟服务通过入向通道,建立第一虚拟服务与第二虚拟服务间的第二连接;第二虚拟服务和第二后台服务建立第三连接。
在某些可选实施例中,第一设备和第二设备的连接过程也可以实现为:第一应用和第一虚拟服务建立第一连接;第一虚拟服务通过出向通道、第二虚拟服务通过入向通道,通过透明模式建立第一虚拟服务与第二虚拟服务间的第二连接;第二虚拟服务通过透明模式和第二后台服务建立第三连接。
在上述过程中,以透明模式建立有关连接可以不改变第一应用的客户端的IP地址。通过上述过程,可以实现第一设备和第二设备间的连接的建立,并实现远端业务本地监听,即本地的应用访问远端的业务时只需访问本地的通道层监听的远端的业务(虚拟服务)即可。在建立起第一设备和第二设备间的连接之后,可以进行实际的业务访问。
下面以实际的示例说明第一设备和第二设备间的连接过程。
假设第一设备的IP地址为1.1.1.1,第一设备作为客户端用于主动请求配置出向通道,第一虚拟服务的IP地址和端口号为2.2.2.2 :22。第二设备的IP地址为2.2.2.2,监听端口为22,第二设备作为服务器用于服务监听的入向通道的配置是:第二虚拟服务的IP地址和端口号为2.2.2.2 :422,第二后台服务的IP地址和端口号为2.2.2.2 :22。
(1)第一设备的客户端和出向通道连接的第一虚拟服务(2.2.2.2 :22)建立第一连接:1.1.1.1:12345 <-> 2.2.2.2:22。
(2)第一虚拟服务使用透明模式主动和第二设备中的入向通道连接的第二虚拟服务(2.2.2.2 :422)建立第二连接:1.1.1.1:23879<->2.2.2.2:422。
(3)第二虚拟服务接受第一虚拟服务的连接请求,并建立第二连接:1.1.1.1:23879<->2.2.2.2:422。
(4)第二虚拟服务使用透明模式和第二后台服务建立第三连接:1.1.1.1:42343<-> 2.2.2.2:22。
最终实现了第一设备的客户端和第二设备的服务器间的通信:1.1.1.1:12345<->2.2.2.2:22。
上述介绍了第二设备实现入向通道用于服务监听的过程,当然如果进行调换,也可以让第一设备实现入向通道用于服务监听。第一设备实现用于服务监听的入向通道的过程与上述过程类似,可以参见上述过程实施第一设备实现用于服务监听的入向通道的过程,在此不再进行赘述。
前文介绍到在通道层中响应于访问需求会配置相应的通道,因此在通道层中存在多个通道。当通道层通过对应的虚拟接口接收到操作系统转发的报文时,需要识别报文并为报文匹配合适的通道。在某些可选实施例中,该过程具体可以实现为:获取报文的属性信息;根据属性信息,在多个预先配置的虚拟服务中确定用于处理报文的第一虚拟服务;根据第一虚拟服务,为报文匹配相应的出向通道,以通过出向通道发送报文。
其中,可选地,上述属性信息根据不同情况所包含的内容可以不同:在第一设备和第二设备之间的连接成功建立之前,属性信息包括报文的目的IP地址、目的端口号以及通信协议类型;在第一设备和第二设备之间的连接成功建立之后,属性信息包括报文的源IP地址、源端口号、目的IP地址、目的端口号以及通信协议类型。
实际应用中,通道层可以从报文中读取属性信息,属性信息中包括了IP地址、端口号以及通信协议类型等信息,而第一虚拟服务对应有IP地址、端口号以及通信协议类型等信息,因此可以根据报文的属性信息为报文匹配相应的第一虚拟服务。由于虚拟服务和特定方向的通道的关系是一一对应的,因此可以确定第一虚拟服务对应的出向通道,该确定出的出向通道即为与报文相匹配的通道。
另外,根据报文类型的不同,为报文匹配通道的过程可以实现为:
(1)对于采用TCP通信协议的SYN和SYN_ACK报文来说,如果报文来自上层的应用,表示该上层的应用主动发起了连接请求(SYN和SYN_ACK报文用于请求建立连接),在这样的情况下,可以根据报文的属性信息或者说三元组匹配出向通道的虚拟服务。如果报文来自外部设备,则可以根据报文的三元组匹配入向通道的虚拟服务。如果无法匹配到通道,则说明报文不属于通道流量,此时直接进行透传即可。
(2)对于非SYN和SYN_ACK报文的其他报文来说,可以根据报文的属性信息或者说五元组匹配通道。如果能成功匹配到通道,则表示报文属于通道流量,否则报文不属于通道流量。如果报文不属于通道流量,则直接进行透传即可。
下面提供一种用于实现本发明实施例提供的安全通信方法的系统架构,如图3所示,是一种用于实现安全通信方法的系统架构,具体示出了第一设备和第二设备各自的系统架构。该系统架构可以由应用层、操作系统层、通道层以及网络接口层构成。其中,通道层可以配置有虚拟服务和后台服务,通道层还可以配置有用于连接虚拟服务、后台服务的入向通道、出向通道。在虚拟服务和后台服务中还可以配置有国密密码套件,用于对通道层发送或者接收的报文进行加密或者解密处理。属于通道流量的报文会经过通道进行传输,不属于通道流量的报文会直接被通道层透传。
采用本发明,可以给设备增加通道层,并在通道层中配置第一密码套件,该第一密码套件可以是符合新规的密码套件。这样,通道层可以对从上层的应用接收来的报文通过第一密码套件进行加密处理,或者通道层可以对从外部设备接收来的报文通过第一密码套件进行解密处理,可以保证设备间传输的报文的加密方式是符合新规的,且无需改变应用间原有的对报文加密解密的方式。
本发明另一实施例提供一种安全通信系统,所述系统包括第一设备和第二设备,所述第一设备包含有第一应用和第一通道层,所述第二设备包含有第二应用和第二通道层;其中:
所述第一设备,用于通过所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层;所述第一通道层通过第一密码套件,对所述报文进行加密处理;所述第一通道层将加密后的报文发送至所述第二通道层;
所述第二设备,用于通过所述第二通道层采用所述第一密码套件,对所述加密后的报文进行解密处理,并将解密后的报文发送至所述第二应用。
可选地,所述报文用于请求建立所述第一设备和所述第二设备之间的连接,所述第一通道层中配置有第一虚拟服务,所述第二通道层中配置有第二虚拟服务和后台服务;
所述第一设备,还用于响应于所述报文的请求,所述第一应用和所述第一虚拟服务建立第一连接;所述第一虚拟服务和所述第二虚拟服务建立第二连接;
所述第二设备,还用于所述第二虚拟服务和所述后台服务建立第三连接。
可选地,所述第一通道层中配置有与所述第一虚拟服务连接的出向通道,所述第二通道层中配置有与所述第二虚拟服务连接的入向通道;
所述第一设备,用于所述第一虚拟服务通过所述出向通道、所述第二虚拟服务通过所述入向通道,建立所述第一虚拟服务与所述第二虚拟服务间的第二连接。
可选地,所述第一设备,用于:
获取所述报文的属性信息;
根据所述属性信息,在多个预先配置的虚拟服务中确定用于处理所述报文的所述第一虚拟服务;
根据所述第一虚拟服务,为所述报文匹配相应的所述出向通道,以通过所述出向通道发送所述报文。
可选地,在所述第一设备和所述第二设备之间的连接成功建立之前,所述属性信息包括所述报文的目的网际互连协议IP地址、目的端口号以及通信协议类型;
在所述第一设备和所述第二设备之间的连接成功建立之后,所述属性信息包括所述报文的源IP地址、源端口号、目的IP地址、目的端口号以及通信协议类型。
可选地,所述第一设备,用于所述第一虚拟服务通过透明模式和所述第二虚拟服务建立第二连接;
所述第二设备,用于所述第二虚拟服务通过所述透明模式和所述后台服务建立第三连接。
可选地,所述第一设备,用于所述第一应用通过第二密码套件对所述报文进行加密处理,其中,所述第二密码套件与所述第一密码套件采用的加密解密算法不同;
所述第二设备,用于所述第二应用通过所述第二密码套件对所述解密后的报文进行二次解密处理。
可选地,所述第一密码套件为国密密码套件。
可选地,所述第一设备,用于:
所述第一应用调用与所述第一通道层绑定的虚拟接口,以通过所述虚拟接口将用于访问所述第二应用的报文发送至所述第一通道层。
在一个可能的设计中,如图4所示,上述第一设备或者第二设备可以是一电子设备,该电子设备可以包括:处理器91、存储器92。其中,所述存储器92上存储有可执行代码,当所述可执行代码被所述处理器91执行时,使所述处理器91至少可以实现如前述图1至图3所示实施例中提供的安全通信方法。
可选地,该电子设备中还可以包括通信接口93,用于与其他设备进行通信。
另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器至少可以实现如前述图1至图3所示实施例中提供的安全通信方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例提供的安全通信方法可以由某种程序/软件来执行,该程序/软件可以由网络侧提供,前述实施例中提及的电子设备可以将该程序/软件下载到本地的非易失性存储介质中,并在其需要执行前述安全通信方法时,通过CPU将该程序/软件读取到内存中,进而由CPU执行该程序/软件以实现前述实施例中所提供的安全通信方法,执行过程可以参见前述图1至图3中的示意。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种安全通信方法,其特征在于,应用于第一设备和第二设备,其中,所述第一设备包含有第一应用和第一通道层,所述第二设备包含有第二应用和第二通道层;
所述方法包括:
所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层;
所述第一通道层通过第一密码套件,对所述报文进行加密处理;
所述第一通道层将加密后的报文发送至所述第二通道层;
所述第二通道层通过所述第一密码套件,对所述加密后的报文进行解密处理,并将解密后的报文发送至所述第二应用。
2.根据权利要求1所述的方法,其特征在于,所述报文用于请求建立所述第一设备和所述第二设备之间的连接,所述第一通道层中配置有第一虚拟服务,所述第二通道层中配置有第二虚拟服务和后台服务;
所述方法还包括:
响应于所述报文的请求,所述第一应用和所述第一虚拟服务建立第一连接;
所述第一虚拟服务和所述第二虚拟服务建立第二连接;
所述第二虚拟服务和所述后台服务建立第三连接。
3.根据权利要求2所述的方法,其特征在于,所述第一通道层中配置有与所述第一虚拟服务连接的出向通道,所述第二通道层中配置有与所述第二虚拟服务连接的入向通道;
所述第一虚拟服务和所述第二虚拟服务建立第二连接,包括:
所述第一虚拟服务通过所述出向通道、所述第二虚拟服务通过所述入向通道,建立所述第一虚拟服务与所述第二虚拟服务间的第二连接。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
获取所述报文的属性信息;
根据所述属性信息,在多个预先配置的虚拟服务中确定用于处理所述报文的所述第一虚拟服务;
根据所述第一虚拟服务,为所述报文匹配相应的所述出向通道,以通过所述出向通道发送所述报文。
5.根据权利要求4所述的方法,其特征在于,在所述第一设备和所述第二设备之间的连接成功建立之前,所述属性信息包括所述报文的目的网际互连协议IP地址、目的端口号以及通信协议类型;
在所述第一设备和所述第二设备之间的连接成功建立之后,所述属性信息包括所述报文的源IP地址、源端口号、目的IP地址、目的端口号以及通信协议类型。
6.根据权利要求2所述的方法,其特征在于,所述第一虚拟服务和所述第二虚拟服务建立第二连接,包括:
所述第一虚拟服务通过透明模式和所述第二虚拟服务建立第二连接;
所述第二虚拟服务和所述后台服务建立第三连接,包括:
所述第二虚拟服务通过所述透明模式和所述后台服务建立第三连接。
7.根据权利要求1所述的方法,其特征在于,在所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层之前,所述方法还包括:
所述第一应用通过第二密码套件对所述报文进行加密处理,其中,所述第二密码套件与所述第一密码套件采用的加密解密算法不同;
在所述第二通道层将解密后的报文发送至所述第二应用之后,所述方法还包括:
所述第二应用通过所述第二密码套件对所述解密后的报文进行二次解密处理。
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述第一密码套件为国密密码套件。
9.根据权利要求1-7中任一项所述的方法,其特征在于,所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层,包括:
所述第一应用调用与所述第一通道层绑定的虚拟接口,以通过所述虚拟接口将用于访问所述第二应用的报文发送至所述第一通道层。
10.一种安全通信系统,其特征在于,所述系统包括第一设备和第二设备,所述第一设备包含有第一应用和第一通道层,所述第二设备包含有第二应用和第二通道层;其中:
所述第一设备,用于通过所述第一应用将用于访问所述第二应用的报文发送至所述第一通道层;所述第一通道层通过第一密码套件,对所述报文进行加密处理;所述第一通道层将加密后的报文发送至所述第二通道层;
所述第二设备,用于通过所述第二通道层采用所述第一密码套件,对所述加密后的报文进行解密处理,并将解密后的报文发送至所述第二应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311094251.6A CN116827692B (zh) | 2023-08-28 | 2023-08-28 | 安全通信方法和安全通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311094251.6A CN116827692B (zh) | 2023-08-28 | 2023-08-28 | 安全通信方法和安全通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116827692A true CN116827692A (zh) | 2023-09-29 |
| CN116827692B CN116827692B (zh) | 2023-11-21 |
Family
ID=88118788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311094251.6A Active CN116827692B (zh) | 2023-08-28 | 2023-08-28 | 安全通信方法和安全通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116827692B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7502922B1 (en) * | 2000-03-01 | 2009-03-10 | Novell, Inc. | Computer network having a security layer interface independent of the application transport mechanism |
| CN101562527A (zh) * | 2008-04-18 | 2009-10-21 | 成都市华为赛门铁克科技有限公司 | 一种密码套件的配置方法和装置 |
| EP2512097A1 (en) * | 2011-04-14 | 2012-10-17 | Unisys Corporation | File-based application programming interface providing ssh-secured communication |
| CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| US20160026807A1 (en) * | 2014-07-28 | 2016-01-28 | Infosec Global Inc. | System and method for cryptographic suite management |
| CN109347809A (zh) * | 2018-09-25 | 2019-02-15 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
| CN113572741A (zh) * | 2021-06-30 | 2021-10-29 | 深圳市证通云计算有限公司 | 一种基于国密sm2-sm3-sm4算法实现数据的安全传输的方法 |
| CN113839968A (zh) * | 2021-11-29 | 2021-12-24 | 军事科学院系统工程研究院网络信息研究所 | 一种基于通道划分的安全平面隔离方法方法和系统 |
-
2023
- 2023-08-28 CN CN202311094251.6A patent/CN116827692B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7502922B1 (en) * | 2000-03-01 | 2009-03-10 | Novell, Inc. | Computer network having a security layer interface independent of the application transport mechanism |
| CN101562527A (zh) * | 2008-04-18 | 2009-10-21 | 成都市华为赛门铁克科技有限公司 | 一种密码套件的配置方法和装置 |
| EP2512097A1 (en) * | 2011-04-14 | 2012-10-17 | Unisys Corporation | File-based application programming interface providing ssh-secured communication |
| CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| US20160026807A1 (en) * | 2014-07-28 | 2016-01-28 | Infosec Global Inc. | System and method for cryptographic suite management |
| CN109347809A (zh) * | 2018-09-25 | 2019-02-15 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
| CN113572741A (zh) * | 2021-06-30 | 2021-10-29 | 深圳市证通云计算有限公司 | 一种基于国密sm2-sm3-sm4算法实现数据的安全传输的方法 |
| CN113839968A (zh) * | 2021-11-29 | 2021-12-24 | 军事科学院系统工程研究院网络信息研究所 | 一种基于通道划分的安全平面隔离方法方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116827692B (zh) | 2023-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10931715B2 (en) | HTTPS request enrichment | |
| US9749292B2 (en) | Selectively performing man in the middle decryption | |
| US11601456B2 (en) | Transparent inspection of traffic encrypted with perfect forward secrecy (PFS) | |
| US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
| US8104082B2 (en) | Virtual security interface | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| CN1358386A (zh) | 对代码转换代理主机中的多个源服务器的动态连接 | |
| US20210050996A1 (en) | Method and system for disclosing at least one cryptographic key | |
| JP2023514736A (ja) | 安全な通信のための方法及びシステム | |
| CN114338844B (zh) | 一种客户端服务器之间的跨协议通信方法及装置 | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| US20050066159A1 (en) | Remote IPSec security association management | |
| US10158610B2 (en) | Secure application communication system | |
| CN116827692B (zh) | 安全通信方法和安全通信系统 | |
| CN112995120A (zh) | 一种数据监测方法及装置 | |
| CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
| CN110995730A (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
| CN116418602B (zh) | 一种基于可信硬件的元数据保护匿名通信方法及系统 | |
| US20230291828A1 (en) | Real time switching from unsecured to secured signaling channel | |
| CN110995564B (zh) | 一种报文传输方法、装置及安全网络系统 | |
| CN115941178A (zh) | 一种支持加密模式的opc ua反向代理服务器的实现方法 | |
| CN116996245A (zh) | 基于数据传输的验证方法、装置、设备、介质及产品 | |
| CN117499919A (zh) | 5g网络安全增强防护系统 | |
| CN117978447A (zh) | 一种基于物理隔离跨网跨域传输的系统及方法 | |
| CN115550322A (zh) | 基于网络安全协议的用户注册方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |