CN117081840A - 安全套接层通信方法、装置、专用数据处理器及介质 - Google Patents
安全套接层通信方法、装置、专用数据处理器及介质 Download PDFInfo
- Publication number
- CN117081840A CN117081840A CN202311213433.0A CN202311213433A CN117081840A CN 117081840 A CN117081840 A CN 117081840A CN 202311213433 A CN202311213433 A CN 202311213433A CN 117081840 A CN117081840 A CN 117081840A
- Authority
- CN
- China
- Prior art keywords
- connection information
- connection
- message
- socket layer
- secure socket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 139
- 238000000034 method Methods 0.000 title claims abstract description 78
- 239000000463 material Substances 0.000 claims abstract description 97
- 238000012545 processing Methods 0.000 claims abstract description 58
- 230000004044 response Effects 0.000 claims abstract description 5
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 5
- 230000008878 coupling Effects 0.000 claims 2
- 238000010168 coupling process Methods 0.000 claims 2
- 238000005859 coupling reaction Methods 0.000 claims 2
- 230000008569 process Effects 0.000 description 32
- 238000004422 calculation algorithm Methods 0.000 description 24
- 238000007906 compression Methods 0.000 description 13
- 230000011218 segmentation Effects 0.000 description 13
- 230000006835 compression Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 238000005538 encapsulation Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种安全套接层通信方法、装置、专用数据处理器及介质。该安全套接层通信方法包括:通过专用数据处理器代替第二设备与第一设备进行安全套接层握手,并将安全套接层握手期间获得的与第一设备的第一连接信息、与第二设备的第二连接信息、和加密材料对应存储到连接信息表;响应于第一设备与第二设备之间的报文通信请求,利用连接信息表中的第一连接信息、第二连接信息、和加密材料,在第一设备与第二设备之间进行报文通信。本公开实施例减少了终端设备进行SSL通信的处理负荷,提高了SSL通信效率。
Description
技术领域
本申请涉及数据传输领域,尤其涉及一种安全套接层通信方法、装置、专用数据处理器及介质。
背景技术
为了保护敏感数据的传输安全,互联网上越来越多地对数据采用安全套接层(SSL)通信。SSL是在浏览器和服务器之间构造安全通道进行数据传输的协议。由于在HTTPS应用中,完成TCP握手协议后还要完成SSL握手,因此,HTTPS比HTTP耗时更多。在握手之后,必须使用额外的处理能力来对输出的数据进行加密和解密,因此,服务器处理负荷增大,SSL延迟较大。
现有技术中,出现了将SSL加解密转移到智能网卡或加速卡执行的技术。但是,SSL握手仍然需要服务器执行。智能网卡或加速卡加解密需要的参数仍然要通过客户端和服务器之间的通道多次传递,上下文也需要多次切换,SSL通信效率仍然不高。
发明内容
有鉴于此,本申请实施例提供一种安全套接层通信方法、装置、专用数据处理器及介质,它能够减少终端设备进行SSL通信的处理负荷,提高SSL通信效率。
根据本申请实施例的第一方面,提供了一种安全套接层通信方法,用于与第二设备耦接的专用数据处理器,所述第二设备与第一设备通过所述专用数据处理器进行安全套接层通信,所述安全套接层通信方法包括:
通过所述专用数据处理器代替所述第二设备与所述第一设备进行安全套接层握手,并将所述安全套接层握手期间建立的与所述第一设备的第一连接的第一连接信息、与所述第二设备的第二连接的第二连接信息、和所述第一连接使用的加密材料对应存储到连接信息表;
响应于所述第一设备与所述第二设备之间的报文通信请求,利用所述连接信息表中的所述第一连接信息、所述第二连接信息、和所述加密材料,在所述第一设备与所述第二设备之间进行报文通信。
根据本申请实施例的第二方面,提供了一种安全套接层通信装置,用于与第二设备耦接的专用数据处理器,所述第二设备与第一设备通过所述专用数据处理器进行安全套接层通信,所述安全套接层通信装置包括:
握手单元,用于通过所述专用数据处理器代替所述第二设备与所述第一设备进行安全套接层握手,并将所述安全套接层握手期间建立的与所述第一设备的第一连接的第一连接信息、与所述第二设备的第二连接的第二连接信息、和所述第一连接使用的加密材料对应存储到连接信息表,所述第一连接是安全套接层连接;
报文通信单元,用于响应于所述第一设备与所述第二设备之间的报文通信请求,利用所述连接信息表中的所述第一连接信息、所述第二连接信息、和所述加密材料,在所述第一设备与所述第二设备之间进行报文通信。
根据本申请实施例的第三方面,提供了一种专用数据处理器,包括:存储器和处理器,其中,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器执行时,实现如上所述的安全套接层通信方法。
根据本申请实施例的第四方面,提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序代码,当所述计算机程序代码被处理器运行时,使处理器执行如上所述的安全套接层通信方法。
根据本申请的实施例,设置与作为通信设备的第二设备耦接的专用数据处理器。当第二设备与第一设备进行SSL通信时,不但在数据层面的对数据进行SSL加解密方面的工作由第二设备转移到专用数据处理器,在控制层面的与第一设备进行SSL握手的工作也由第二设备转移到专用数据处理器。在专用数据处理器中设置连接信息表,存储握手期间获得的与第一设备的第一连接的第一连接信息、与第二设备的第二连接的第二连接信息、和第一连接使用的加密材料。当实际进行报文通信时,利用连接信息表中存储的上述信息可以完成SSL加解密、和SSL报文封装。SSL握手和加解密都在专用数据处理器进行,整个过程无需专用数据处理器与第二设备频繁交互。这样,减轻了作为终端设备的第二设备进行SSL通信的处理负担。由于第二设备不处理SSL通信的握手和加解密,其有更多算力用于其它业务,提高了SSL通信效率。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为实施本公开实施例的安全套接层通信方法的系统构架图;
图2为根据本公开一个实施例的字符串过滤方法的流程图;
图3是SSL报文组装的一个示意图;
图4为图2的步骤210的一个详细流程图;
图5为图2的步骤220的一个详细流程图;
图6是图2的字符串过滤方法的实施细节图;
图7是步骤210中的连接信息表的一个示意图;
图8是根据本公开一个实施例的字符串过滤装置的框图;
图9是实施图2所示的安全套接层通信方法的专用数据处理器结构图。
具体实施方式
为了使本领域的人员更好地理解本申请实施例中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请实施例保护的范围。
为了保护敏感数据的传输安全,互联网上越来越多地对数据采用安全套接层(SSL)通信。SSL协议位于TCP/IP协议和应用层协议之间,是保证互联网上传输数据的安全性的协议,使得客户端和服务器之间的通信不被攻击者获取。
由于在HTTPS应用中,完成TCP握手协议后还要完成SSL握手,因此,HTTPS比HTTP耗时更多。在握手之后,必须使用额外的处理能力来对输出的数据进行加密和解密,因此,服务器处理负荷增大,SSL延迟较大。
因此,需要一种能够减少终端设备进行SSL通信的处理负荷、提高SSL通信效率的技术。
图1为实施本公开实施例的SSL通信方法的系统构架图。该系统构架包括第一设备、第二设备和专用数据处理器。专用数据处理器与第二设备耦接,用于第二设备与第一设备的SSL通信。
第一设备是要建立SSL通信的设备。它可以是客户端,也可以是服务器。具体地,它可以体现为桌面计算机、膝上型计算机、手机、PDA、专用终端,也可以体现为若干终端组成的集群,另外,它还可以是一台终端上划分出来的一部分,如虚拟机。
第二设备是指响应于第一设备的SSL通信请求,与第一设备建立SSL通信的设备。它可以是客户端,也可以是服务器。一般来说,当第一设备是客户端时,第二设备是服务器;当第一设备是服务器时,第二设备是客户端。具体地,它也可以体现为桌面计算机、膝上型计算机、手机、PDA、专用终端,也可以体现为若干终端组成的集群,另外,它还可以是一台终端上划分出来的一部分,如虚拟机。
SSL通信是指采用SSL协议的通信。SSL协议是互联网上用来鉴别网站和网页浏览者身份、以及在浏览器使用者及网页服务器之间进行加密通信的全球化标准协议。
专用数据处理器(DPU)是以数据为中心构造的专用处理器,采用软件定义技术路线支撑基础设施层资源虚拟化,支持存储、安全、服务质量管理等基础设施层服务。由于SSL通信中完成TCP握手协议后还要完成SSL握手,且实际通信时对传输数据还要进行SSL加解密,SSL握手和SSL加解密给第二设备造成了巨大负担。这里的DPU就是用来代替第二设备承担SSL握手和SSL加解密,从而将第二设备从繁重的SSL协议处理工作中解脱出来的设备。
第一设备和DPU之间通过网口进行SSL通信。由于DPU代替第二设备进行SSL握手和SSL加解密,将第二设备从SSL协议处理工作中解脱出来,因此,DPU与第二设备之间通过TCP通道进行TCP连接。
DPU包括SOC、连接信息表、处理引擎和加解密模块。SOC包括SSL协商进程和用户态协议栈。
SOC即片上系统,是一个专用目标的集成电路产品,包括完整系统并具有嵌入软件的全部内容。它包含集成处理器、存储器、基带、各种互联总线等,其典型代表为手机芯片。SSL协商进程是本公开实施例代替第二设备与第一设备进行SSL握手的核心部分。用户态协议栈是第二设备所支持的基础协议的集合。有了用户态协议栈的支持,SSL协商进程才能代替第二设备与第一设备进行SSL握手。
连接信息表是在SSL协商进程与第一设备SSL握手后,记录SSL握手中获得的各种连接信息的数据库。这些连接信息对于在第一设备与第二设备之间实际进行SSL数据传输时的SSL协议处理是必要的。处理引擎就是在第一设备与第二设备之间实际进行SSL数据传输时进行SSL协议处理的单元。加解密模块是在进行SSL协议处理时完成相关SSL加解密工作的模块。
如图1所示,SSL协商进程负责第一设备和第二设备进行SSL通信时的握手,处理引擎负责第一设备与第二设备之间实际进行SSL数据传输时的SSL协议处理。因此,DPU已经完全代替了第二设备承担SSL握手、和实际传输中的SSL协议处理工作,将第二设备从繁重的SSL握手和协议处理中解脱出来。
如图2所示,根据本公开的一个实施例,提供了一种安全套接层通信方法200。该方法由专用数据处理器执行,代替第二设备与第一设备进行安全套接层通信。该安全套接层通信方法包括:
步骤210、通过专用数据处理器代替第二设备与第一设备进行安全套接层握手,并将安全套接层握手期间建立的与第一设备的第一连接的第一连接信息、与第二设备的第二连接的第二连接信息、和第一连接使用的加密材料对应存储到连接信息表;
步骤220、响应于第一设备与第二设备之间的报文通信请求,利用连接信息表中的第一连接信息、第二连接信息、和加密材料,在第一设备与第二设备之间进行报文通信。
步骤210的安全套接层握手是指,在进行安全套接层通信之前,对安全套接层通信用到的相关参数进行协商的过程。相关参数例如第一连接信息、第二连接信息、和加密材料等。
由于DPU已完全代替第二设备与第一设备进行了SSL通信,因此,DPU与第一设备的第一连接是SSL连接,第一连接信息就是关于该SSL连接的信息。DPU与第二设备的第二连接是TCP连接,第二连接信息就是关于该TCP连接的信息。
如图3所示,将应用数据组装成SSL报文的过程包括:将应用数据分段,将分成的段进行压缩,对压缩后的段添加MAC(媒体访问控制)头,对添加了MAC头的压缩段进行加密,对加密结果添加SSL头。第一连接信息就是在将数据组装成SSL报文的过程中用到的各种参数、以及将数据组装成TCP报文的过程中用到的各种参数(SSL建立在TCP的基础之上)。将数据组装成SSL报文的过程中用到的各种参数例如上述分段过程中用到的分段规则、上述压缩过程中用到的压缩算法、上述添加SSL头过程中添加的SSL头。将数据组装成TCP报文的过程中用到的各种参数包括序号、确认序号、数据偏移、标志位等等。序号是指在发送报文时给报文添加的序号。确认序号是指在接收报文时给报文分配的序号。数据偏移是指TCP报文的第一个字节与报文中数据的第一个字节相差的字节数。标志位有6个,包括URG(紧急比特)、ACK(确认比特)、PSH(推送比特)、RST(复位比特)、SYN(同步比特)、FIN(终止比特)。利用第一连接信息,就能够将数据组装成SSL报文放到第一连接上传输,或者将第一连接上传输的SSL报文卸载后拆解成数据。
加密材料是指上述组装SSL报文的加密过程中用到的加密参数,如加密算法、加密密钥等。
第二连接信息是指将数据组装成第二连接用到的TCP报文的过程中需要的参数。它包括如上所述的序号、确认序号、数据偏移、标志位等等。
在安全套接层握手期间获得了第一连接信息、第二连接信息、和加密材料,这些信息对于实际SSL报文传输中的SSL协议处理都是必要的,因此,把它们存储到连接信息表。
然后,在步骤220中,如果从第一设备或第二设备接收到了报文通信请求,利用连接信息表中存储的第一连接信息、第二连接信息、和加密材料,在第一设备与第二设备之间进行报文通信。第一连接信息用于该报文通信中第一连接的SSL报文组装和拆卸,第二连接用于该报文通信中第二连接的TCP报文组装和拆卸。加密材料用于SSL加解密相关工作。
步骤210-220的优点是,在专用数据处理器中设置连接信息表,存储握手期间获得的与第一设备的第一连接的第一连接信息、与第二设备的第二连接的第二连接信息、和第一连接使用的加密材料。当实际进行报文通信时,利用连接信息表中存储的上述信息可以完成SSL加解密、和SSL报文封装。SSL握手、和实际数据传输时的协议处理都在专用数据处理器进行,整个过程无需专用数据处理器与第二设备频繁交互。这样,减轻了作为终端设备的第二设备进行SSL通信的处理负担。由于第二设备不处理SSL通信的握手和实际数据传输时的协议处理,其有更多算力用于其它业务,提高了SSL通信效率。
下面对步骤210的实现过程进行详细描述。
如图4所示,在一个实施例中,步骤210包括:
步骤2101、响应于第一设备的安全套接层握手请求,通过专用数据处理器与第一设备进行安全套接层握手;
步骤2102、与第一设备建立第一连接,与第二设备建立第二连接;
步骤2103、将安全套接层握手期间获取的第一连接信息、第二连接信息、和加密材料对应存储到连接信息表。
步骤2101中的安全套接层握手请求是指第一设备发送的、用于协商与第二设备建立安全套接层通信需要的各种参数的请求。它是第一设备向第二设备发送的。由于DPU设置在第二设备的前端,因此拦截了该请求,并代替第二设备与第一设备进行安全套接层握手。与第一设备进行安全套接层握手的目的在于,协商在进行安全套接层数据通信时实际需要的各种参数(第一连接信息、第二连接信息、加密材料等),使得实际的安全套接层数据通信能够顺利进行。
接着,在步骤2102中,DPU可以与第一设备建立第一连接,其中,第一连接是SSL连接。DPU可以与第二设备建立第二连接,其中,第二连接是TCP连接。由于在步骤2101中,已经获得了第一连接信息、第二连接信息和加密材料,因此在步骤2303中,可以将获得的这些信息存储到连接信息表。
步骤2101-2103的有益效果是,通过专用数据处理器代替第二设备与第一设备进行安全套接层握手,并建立实际的与第一设备的第一连接、和与第二设备的第二连接,这样获得的第一连接信息和第二连接信息是可靠的(否则就无法建立第一连接和第二连接),从而提高了连接信息表存储的信息的可靠性,进而提高了本公开实施例建立SSL通信的可靠性。
下面参考图6,描述上述步骤2101的详细过程。图6示出了专用数据处理器的各个部件、第一设备和第二设备在执行本公开实施例的安全套接层通信方法时的详细交互流程图。
如图6所示,在一个实施例中,步骤2101包括:
接收第一设备的安全套接层握手请求(步骤301);
向第一设备发送第一请求,以获取第一设备的第一连接能力和第一加密能力(步骤302、303);
基于第一设备的第一连接能力、以及专用数据处理器的第二连接能力的比较,确定第一连接信息,基于第一设备的第一加密能力、以及专用数据处理器的第二加密能力的比较,确定加密材料(步骤304),并将第一连接信息和加密材料发送到第一设备(步骤305);
向第二设备发送第二请求(步骤306),以获取第二设备的第三连接能力(步骤307);
基于第二设备的第三连接能力、以及专用数据处理器的第二连接能力的比较,确定第二连接信息(步骤308),并将第二连接信息发送到第二设备(步骤309)。
具体地,在步骤301中,第一设备向第二设备发送安全套接层握手请求,被第二设备前面的专用数据处理器的SSL协商进程拦截。
在步骤302中,SSL协商进程向第一设备发送第一请求。第一请求是用于获取第一设备的第一连接能力、和第一加密能力的请求。第一连接能力是指第一设备在SSL通信时支持的分段规则、压缩算法、SSL头信息、序号、确认序号、数据偏移、标志位等。上述分段规则、压缩算法、SSL头信息等等可以称作连接能力项。第一加密能力是指第一设备在SSL通信时支持的加密算法、加密密钥等。上述加密算法、加密密钥可以称作加密能力项。
在步骤303中,第一设备向SSL协商进程发送第一设备的第一连接能力和第一加密能力。
在步骤304中,SSL协商进程基于第一设备的第一连接能力、以及专用数据处理器的第二连接能力的比较,确定第一连接信息,并基于第一设备的第一加密能力、以及专用数据处理器的第二加密能力的比较,确定加密材料。
在专用数据处理器中存储着专用数据处理器自身的第二连接能力和第二加密能力。第二连接能力是指专用数据处理器在SSL通信时支持的分段规则、压缩算法、SSL头信息等。第二加密能力是指专用数据处理器在SSL通信时支持的加密算法、加密密钥等。
在一个实施例中,基于第一连接能力和第二连接能力的比较确定第一连接信息的方法可以是,对于同一连接能力项,取第一连接能力的该连接能力项的值与第二连接能力的该连接能力项的值的交集,并将交集中的任一值作为第一连接信息中的一个连接信息项的值。
例如,第一连接能力包括:分段规则C1、C2:压缩算法D1、D2、D3;SSL头信息F1、F2、F3等。第二连接能力包括:分段规则C1、C3:压缩算法D2、D3;SSL头信息F2、F3、F4等。
分段规则C1、C2和分段规则C1、C3的交集是分段规则C1,因此,分段规则C1作为第一连接信息中的一个连接信息项的值。压缩算法D1、D2、D3和压缩算法D2、D3的交集是压缩算法D2、D3,因此,随机选择其中的压缩算法D2作为第一连接信息中的一个连接信息项的值。SSL头信息F1、F2、F3和SSL头信息F2、F3、F4的交集是SSL头信息F2、F3,因此,随机选择其中的SSL头信息F2作为第一连接信息中的一个连接信息项的值。因此,第一连接信息包括:分段规则C1;压缩算法D2;SSL头信息F2。
在一个实施例中,基于第一设备的第一加密能力、以及专用数据处理器的第二加密能力的比较,确定加密材料的方法可以是,对于同一加密能力项,取第一加密能力的该加密能力项的值与第二加密能力的该加密能力项的值的交集,并将交集中的任一值加入加密材料。
例如,第一加密能力包括:加密算法G1、G2;加密密钥H1、H2、H3。第二加密能力包括:加密算法G2、G3;加密密钥H2、H3、H4。
加密算法G1、G2和加密算法G2、G3的交集是加密算法G2,因此,将加密算法G2加入加密材料。加密密钥H1、H2、H3和加密密钥H2、H3、H4的交集是加密密钥H2、H3,因此,将加密密钥H2、H3加入加密材料。因此,加密材料包括:加密算法G2;加密密钥H2、H3。
采用上述交集的方法确定第一连接信息和加密材料,简单易行,处理开销小。
在步骤305中,SSL协商进程将第一连接信息和加密材料发送到第一设备,以便第一设备在实际进行SSL通信时,按照第一连接信息组装SSL消息,按照加密材料进行SSL加密。
接着,在步骤306中,SSL协商进程向第二设备发送第二请求。第二请求是用于获取第二设备的第三连接能力的请求。第三连接能力是指第二设备在TCP通信时支持的序号、确认序号、数据偏移、标志位等。
在步骤307中,第二设备向SSL协商进程应答第二设备的第三连接能力。
在步骤308中,SSL协商进程根据第三处理能力、以及专用数据处理器的第二连接能力的比较,确定第二连接信息。具体地,可以对于同一连接能力项,取第三连接能力的该连接能力项的值与第二连接能力的该连接能力项的值的交集,并将交集中的任一值作为第二连接信息中的一个连接信息项的值。这一部分与步骤304中基于第一连接能力和第二连接能力的比较确定第一连接信息类似,为节约篇幅,故不赘述。
在步骤390中,SSL协商进程将第二连接信息发送到第二设备,以便第二设备在实际与SSL协商进程进行TCP通信时,按照第二连接信息组装TCP消息。
步骤310-390的优点是,在握手的过程中,根据第一设备的第一连接能力和专用数据处理器的第二连接能力的比较,确定第一连接信息,基于第一设备的第一加密能力和专用数据处理器的第二加密能力的比较,确定加密材料,根据第二设备的第三连接能力和专用数据处理器的第二连接能力的比较,确定第二连接信息,这样协商的第一连接信息、加密材料、第二连接信息比较全面反映了第一设备、专用数据处理器、和第二设备的共性,有利于提高SSL通信的可靠性。
另外,在一个实施例中,在步骤301中,第一设备向SSL协商进程发送安全套接层握手请求时,该安全套接层握手请求含有第一设备的地址、第一设备的端口号。由于专用数据处理器中保存着自身的地址、和各个端口号。专用数据处理器从各个端口号中指定一个,作为专用数据服务器用于第一连接的端口号。在步骤2102中建立第一连接时,SSL协商进程将第一设备的地址作为第一源地址,第一设备的端口号作为第一源端口号,专用数据处理器的地址作为第一宿(目的地)地址,专用数据处理器的端口号作为第一宿端口号,从而建立第一连接。第一源地址、第一源端口号、第一宿地址、第一宿端口号统称为第一源宿对信息。由于源地址、源端口号、协议号、宿地址、和宿端口号称为五元组,因此,第一源宿对信息也可以加上第一设备与专用数据处理器之间的协议号,组成第一五元组信息。
由于专用数据处理器与第二设备是固定搭配的关系,因此,专用数据处理器中除了存储有自身的地址、和各个端口号,还存储有第二设备的地址、和第二设备用于第二连接的端口号。专用数据处理器在自身的各个端口号中指定一个端口号用于第二连接。在步骤2102中建立第二连接时,SSL协商进程将专用数据处理器的地址作为第二源地址,将专用数据处理器指定用于第二连接的端口号作为第二源端口号,将第二设备的地址作为第二宿地址,将第二设备用于第二连接的端口号作为第二宿端口号,从而建立第二连接。第二源地址、第二源端口号、第二宿地址、第二宿端口号统称为第二源宿对信息。第二源宿对信息也可以加上第二设备与专用数据处理器之间的协议号,组成第二五元组信息。
在一个实施例中,在步骤2103中,不仅将第一连接信息、加密材料和第二连接信息对应存储到连接信息表,还将第一源宿对信息(或者第一五元组信息)、第二源宿对信息(或者第二五元组信息)与上面的三项内容对应存储。也就是说,将第一连接的第一源宿对信息、第一连接信息、和加密材料、以及第二连接的第二源宿对信息和第二连接信息对应存储到连接信息表。
图7示出了连接信息表的一个例子。在连接信息表中,第一源宿对信息(源地址:A;源端口号:A1;宿地址:B;宿端口号:B1)、第一连接信息(分段规则C1;压缩算法D1;SSL头信息F1;序号I1、确认序号J1、数据偏移K1、标志位M1等)、加密材料(加密算法G1;加密密钥H1)、第二源宿对信息(源地址:B;源端口号:B1;宿地址:C;宿端口号:C1)、第二连接信息(序号I2、确认序号J2、数据偏移K2、标志位M2等)对应存储。
这样存储的好处在于,连接信息表可能存储着专用数据处理器与多个第一设备之间进行SSL通信时用到的第一连接信息和加密材料,也可能存储着与多个第二设备进行TCP通信时用到的第二连接信息。仅存储第一连接信息、第二连接信息和加密材料,不足以区分与不同第一设备和不同第二设备通信时的不同情况。将第一源宿对信息、第一连接信息、加密材料、第二源宿对信息和第二连接信息对应存储,使得与不同第一设备和不同第二设备通信时的连接关系得到充分的记录,提高实际SSL通信时的SSL协议处理的准确性。
接着,对步骤220结合图5进行详细描述。
如图5所示,在一个实施例中,步骤220包括:
步骤2201、如果报文通信请求是对来自第一设备的第一加密报文的接收请求,利用加密材料解密第一加密报文,得到第一报文,并利用第二连接信息将第一报文发送到第二设备;
步骤2202、如果报文通信请求是对第二设备的第二报文的发送请求,利用加密材料加密第二报文,得到第二加密报文,并利用第一连接信息将第二加密报文发送到第一设备。
报文通信请求是指第一设备和第二设备之间进行实际SSL报文通信的请求。它可以来自于第一设备,也可以来自于第二设备。在步骤2201中,当报文通信请求来自于第一设备时,它是对第一设备的第一加密报文的接收请求。第一加密报文已经被第一设备用加密材料加密。由于连接信息表中存储有加密材料,因此专用数据处理器可以用加密材料解密第一加密报文,得到第一报文。由于连接信息表中存储有第二连接信息,专用数据处理器可以利用第二连接信息将第一报文进行TCP组装,将组装后的第一报文发送到第二设备。
在步骤2201中,当报文通信请求来自于第一设备时,它是对第一设备的第一加密报文的接收请求。第一加密报文已经被第一设备用加密材料加密。由于连接信息表中存储有加密材料,因此专用数据处理器可以用加密材料解密第一加密报文,得到第一报文。由于连接信息表中存储有第二连接信息,专用数据处理器可以利用第二连接信息将第一报文进行TCP组装,将组装后的第一报文发送到第二设备。
在步骤2202中,当报文通信请求来自于第二设备时,它是对第二设备的第二报文的发送请求。由于连接信息表中存储有加密材料,因此专用数据处理器可以用加密材料加密第二报文,得到第二加密报文。由于连接信息表中存储有第一连接信息,专用数据处理器可以利用第一连接信息对第二加密报文进行SSL组装,将SSL组装后的第二加密报文发送到第一设备。
步骤2201-2202的优点是,无论是对于加密报文的接收请求,还是对于报文的发送请求,都能利用连接信息表中存储的第一连接信息、加密材料和第二连接信息,进行分别的处理。它提高了SSL协议处理对于不同方向的SSL传输的适应能力。
下面结合图6,详细描述步骤2201的详细过程。
如图6所示,在一个实施例中,步骤2201包括:
如果报文通信请求是对来自第一设备的第一加密报文的接收请求(步骤310),从接收请求中获取第一源宿对信息(步骤311),通过处理引擎从连接信息表中获取与第一源宿对信息对应的加密材料(步骤312),通过加解密模块利用加密材料解密第一加密报文,得到第一报文(步骤313-316);
从连接信息表中,通过处理引擎获取与第一源宿对信息对应的第二源宿对信息和第二连接信息(步骤317),并利用第二源宿对信息和第二连接信息将第一报文发送到第二设备(步骤318-319)。
具体地说,在步骤310中,第一设备向第二设备发送第一加密报文的接收请求,被第二设备前面的专用数据处理器的处理引擎拦截。第一加密报文是第一设备用步骤305中返回的加密材料加密的。该接收请求具有第一源宿对信息。
在步骤311中,处理引擎从接收请求中获取第一源宿对信息。
在步骤312中,由于在连接信息表中,第一源宿对信息、第一连接信息、加密材料、第二源宿对信息和第二连接信息是对应存储的,因此处理引擎可以从连接信息表中获取与第一源宿对信息对应的加密材料。
在步骤313中,连接信息表向处理引擎返回加密材料。
在步骤314中,处理引擎向加解密模块发送第一加密报文和加密材料。
在步骤315中,加解密模块利用加密材料解密第一加密报文,得到第一报文。
在步骤316中,加解密模块向处理引擎返回第一报文。
在步骤317中,处理引擎从连接信息表中,获取与第一源宿对信息对应的第二源宿对信息和第二连接信息。
在步骤318中,连接信息表向处理引擎返回第二源宿对信息和第二连接信息。
在步骤319中,处理引擎利用第二连接信息将第一报文组装成TCP格式的报文,将TCP格式的报文按照第二源宿对信息中的宿地址和宿端口号发送到第二设备。
步骤310-319的有益效果在于,它充分利用了连接信息表中第一源宿对信息、第一连接信息、加密材料、第二源宿对信息和第二连接信息的对应关系,根据第一源宿对信息找到对应的加密材料加密,并找到与第一源宿对信息对应的第二源宿对信息和第二连接信息进行TCP报文组装和发送,实现了流水线式的加密、封装和发送,提高了报文通信请求是第一加密报文的接收请求时的SSL通信效率。
下面结合图6描述步骤2202的具体实现过程。
如图6所示,在一个实施例中,步骤2202包括:
如果报文通信请求是对第二设备的第二报文的发送请求(步骤320),从发送请求中获取第二源宿对信息(步骤321),通过处理引擎从连接信息表中获取与第二源宿对信息对应的第一源宿对信息、第一连接信息、和加密材料(步骤322);
通过加解密模块利用加密材料加密第二报文,得到第二加密报文(步骤323-326),并利用第一源宿对信息和第一连接信息将第二加密报文发送到第一设备(步骤327)。
具体地说,在步骤320中,第二设备向第一设备发送第二报文的发送请求,被第二设备前面的专用数据处理器的处理引擎拦截。该发送请求具有第二源宿对信息。
在步骤321中,处理引擎从发送请求中获取第二源宿对信息。
在步骤322中,处理引擎从连接信息表中获取与第二源宿对信息对应的第一源宿对信息、第一连接信息、和加密材料。
在步骤323中,连接信息表向处理引擎返回第一源宿对信息、第一连接信息、和加密材料。
在步骤324中,处理引擎向加解密模块发送第二报文和加密材料。
在步骤325中,加解密模块利用加密材料加密第二报文,得到第二加密报文。
在步骤326中,加解密模块向处理引擎返回第二加密报文。
在步骤327中,处理引擎利用第一连接信息对第二加密报文进行SSL报文组装,并将SSL组装后的报文按照第一源宿对信息中的源地址和源端口号进行发送。
步骤320-327的有益效果在于,它充分利用了连接信息表中第一源宿对信息、第一连接信息、加密材料、第二源宿对信息和第二连接信息的对应关系,根据第二源宿对信息找到对应的第一源宿对信息、第一连接信息、和加密材料,利用加密材料进行加密,利用第一源宿对信息和第一连接信息进行SSL报文组装和发送,实现了流水线式的加密、封装和发送,提高了报文通信请求是第二报文的发送请求时的SSL通信效率。
根据本申请实施例中的再一方面,参照图8,示出了本实施例中提供的一种安全套接层通信装置400,用于与第二设备耦接的专用数据处理器,第二设备与第一设备通过专用数据处理器进行安全套接层通信,安全套接层通信装置400包括:
握手单元410,用于通过专用数据处理器代替第二设备与第一设备进行安全套接层握手,并将安全套接层握手期间建立的与第一设备的第一连接的第一连接信息、与第二设备的第二连接的第二连接信息、和第一连接使用的加密材料对应存储到连接信息表;
报文通信单元420,用于响应于第一设备与第二设备之间的报文通信请求,利用连接信息表中的第一连接信息、第二连接信息、和加密材料,在第一设备与第二设备之间进行报文通信。
可选地,报文通信单元420具体用于:
如果报文通信请求是对来自第一设备的第一加密报文的接收请求,利用加密材料解密第一加密报文,得到第一报文,并利用第二连接信息将第一报文发送到第二设备;
如果报文通信请求是对第二设备的第二报文的发送请求,利用加密材料加密第二报文,得到第二加密报文,并利用第一连接信息将第二加密报文发送到第一设备。
可选地,握手单元410具体用于:将第一连接的第一源宿对信息、第一连接信息、和加密材料、以及第二连接的第二源宿对信息和第二连接信息对应存储到连接信息表。
可选地,报文通信单元420具体用于:
如果报文通信请求是对来自第一设备的第一加密报文的接收请求,从接收请求中获取第一源宿对信息,通过处理引擎从连接信息表中获取与第一源宿对信息对应的加密材料,通过加解密模块利用加密材料解密第一加密报文,得到第一报文;
从连接信息表中,通过处理引擎获取与第一源宿对信息对应的第二源宿对信息和第二连接信息,并利用第二源宿对信息和第二连接信息将第一报文发送到第二设备。
可选地,报文通信单元420具体用于:
如果报文通信请求是对第二设备的第二报文的发送请求,从发送请求中获取第二源宿对信息,通过处理引擎从连接信息表中获取与第二源宿对信息对应的第一源宿对信息、第一连接信息、和加密材料;
通过加解密模块利用加密材料加密第二报文,得到第二加密报文,并利用第一源宿对信息和第一连接信息将第二加密报文发送到第一设备。
可选地,握手单元410具体用于:
响应于第一设备的安全套接层握手请求,通过专用数据处理器与第一设备进行安全套接层握手;
与第一设备建立第一连接,与第二设备建立第二连接;
将安全套接层握手期间获取的第一连接信息、第二连接信息、和加密材料对应存储到连接信息表。
可选地,握手单元410具体用于:
接收第一设备的安全套接层握手请求;
向第一设备发送第一请求,以获取第一设备的第一连接能力和第一加密能力;
基于第一设备的第一连接能力、以及专用数据处理器的第二连接能力的比较,确定第一连接信息,基于第一设备的第一加密能力、以及专用数据处理器的第二加密能力的比较,确定加密材料,并将第一连接信息和加密信息发送到第一设备;
向第二设备发送第二请求,以获取第二设备的第三连接能力;
基于第二设备的第三连接能力、以及专用数据处理器的第二连接能力的比较,确定第二连接信息,并将第二连接信息发送到第二设备。
本实施例的安全套接层通信装置400用于实现前述多个方法实施例中相应的安全套接层通信方法,并具有相应的方法实施例的有益效果,在此不再赘述。此外,本实施例的安全套接层通信装置400中的各个单元的功能实现均可参照前述方法实施例中的相应部分的描述,在此亦不再赘述。
下面参照图9来描述根据本公开的实施方式的专用数据处理器500。图9显示的专用数据处理器500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
图9所示的专用数据处理器500可以包括但不限于:至少一个处理单元510、至少一个存储单元520、连接不同系统组件(包括存储单元520和处理单元510)的总线530。存储单元520存储有程序代码,程序代码可以被处理单元510执行,使得处理单元510执行本说明书上述示例性方法的描述部分中描述的根据本发明各种示例性实施方式的步骤。
存储单元520可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)5201和/或高速缓存存储单元5202,还可以进一步包括只读存储单元(ROM)5203。
存储单元520还可以包括具有一组(至少一个)程序模块8205的程序/实用工具5204,这样的程序模块5205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线530可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
专用数据处理器500也可以与一个或多个外部设备600(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与专用数据处理器500交互的设备通信,和/或与使得该专用数据处理器500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口550进行。并且,专用数据处理器500还可以通过网络适配器560与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器560通过总线530与专用数据处理器500的其它模块通信。应当明白,尽管图中未示出,专用数据处理器500可以使用其它硬件和/或软件模块实现,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机程序介质,其上存储有计算机可读指令,当计算机可读指令被计算机的处理器执行时,使计算机执行上述方法实施例部分描述的方法。
根据本公开的一个实施例,还提供了一种用于实现上述方法实施例中的方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (10)
1.一种安全套接层通信方法,其特征在于,用于与第二设备耦接的专用数据处理器,所述第二设备与第一设备通过所述专用数据处理器进行安全套接层通信,所述安全套接层通信方法包括:
通过所述专用数据处理器代替所述第二设备与所述第一设备进行安全套接层握手,并将所述安全套接层握手期间建立的与所述第一设备的第一连接的第一连接信息、与所述第二设备的第二连接的第二连接信息、和所述第一连接使用的加密材料对应存储到连接信息表;
响应于所述第一设备与所述第二设备之间的报文通信请求,利用所述连接信息表中的所述第一连接信息、所述第二连接信息、和所述加密材料,在所述第一设备与所述第二设备之间进行报文通信。
2.根据权利要求1所述的安全套接层通信方法,其特征在于,所述响应于所述第一设备与所述第二设备之间的报文通信请求,利用所述连接信息表中的所述第一连接信息、所述第二连接信息、和所述加密材料,在所述第一设备与所述第二设备之间进行报文通信,包括:
如果所述报文通信请求是对来自所述第一设备的第一加密报文的接收请求,利用所述加密材料解密所述第一加密报文,得到第一报文,并利用所述第二连接信息将所述第一报文发送到所述第二设备;
如果所述报文通信请求是对所述第二设备的第二报文的发送请求,利用所述加密材料加密所述第二报文,得到第二加密报文,并利用所述第一连接信息将所述第二加密报文发送到所述第一设备。
3.根据权利要求2所述的安全套接层通信方法,其特征在于,所述将所述安全套接层握手期间建立的与所述第一设备的第一连接的第一连接信息、与所述第二设备的第二连接的第二连接信息、和所述第一连接使用的加密材料对应存储到连接信息表,包括:
将所述第一连接的第一源宿对信息、所述第一连接信息、和所述加密材料、以及所述第二连接的第二源宿对信息和所述第二连接信息对应存储到所述连接信息表。
4.根据权利要求3所述的安全套接层通信方法,其特征在于,所述如果所述报文通信请求是对来自所述第一设备的第一加密报文的接收请求,利用所述加密材料解密所述第一加密报文,得到第一报文,并利用所述第二连接信息将所述第一报文发送到所述第二设备,包括:
如果所述报文通信请求是对来自所述第一设备的第一加密报文的接收请求,从所述接收请求中获取所述第一源宿对信息,通过处理引擎从所述连接信息表中获取与所述第一源宿对信息对应的所述加密材料,通过加解密模块利用所述加密材料解密所述第一加密报文,得到第一报文;
从所述连接信息表中,通过所述处理引擎获取与所述第一源宿对信息对应的所述第二源宿对信息和所述第二连接信息,并利用所述第二源宿对信息和所述第二连接信息将所述第一报文发送到所述第二设备。
5.根据权利要求3所述的安全套接层通信方法,其特征在于,所述如果所述报文通信请求是对所述第二设备的第二报文的发送请求,利用所述加密材料加密所述第二报文,得到第二加密报文,并利用所述第一连接信息将所述第二加密报文发送到所述第一设备,包括:
如果所述报文通信请求是对所述第二设备的第二报文的发送请求,从所述发送请求中获取所述第二源宿对信息,通过处理引擎从所述连接信息表中获取与所述第二源宿对信息对应的所述第一源宿对信息、所述第一连接信息、和所述加密材料;
通过加解密模块利用所述加密材料加密所述第二报文,得到第二加密报文,并利用所述第一源宿对信息和所述第一连接信息将所述第二加密报文发送到所述第一设备。
6.根据权利要求1所述的安全套接层通信方法,其特征在于,所述通过所述专用数据处理器代替所述第二设备与所述第一设备进行安全套接层握手,并将所述安全套接层握手期间建立的与所述第一设备的第一连接的第一连接信息、与所述第二设备的第二连接的第二连接信息、和所述第一连接使用的加密材料对应存储到连接信息表,包括:
响应于所述第一设备的安全套接层握手请求,通过所述专用数据处理器与所述第一设备进行所述安全套接层握手;
与所述第一设备建立所述第一连接,与所述第二设备建立所述第二连接;
将所述安全套接层握手期间获取的所述第一连接信息、所述第二连接信息、和所述加密材料对应存储到连接信息表。
7.根据权利要求6所述的安全套接层通信方法,其特征在于,所述响应于所述第一设备的安全套接层握手请求,通过所述专用数据处理器与所述第一设备进行所述安全套接层握手,包括:
接收所述第一设备的所述安全套接层握手请求;
向所述第一设备发送第一请求,以获取所述第一设备的所述第一连接能力和所述第一加密能力;
基于所述第一设备的所述第一连接能力、以及所述专用数据处理器的第二连接能力的比较,确定所述第一连接信息,基于所述第一设备的所述第一加密能力、以及所述专用数据处理器的第二加密能力的比较,确定所述加密材料,并将所述第一连接信息和所述加密信息发送到所述第一设备;
向所述第二设备发送第二请求,以获取所述第二设备的所述第三连接能力;
基于所述第二设备的所述第三连接能力、以及所述专用数据处理器的第二连接能力的比较,确定所述第二连接信息,并将所述第二连接信息发送到所述第二设备。
8.一种安全套接层通信装置,其特征在于,用于与第二设备耦接的专用数据处理器,所述第二设备与第一设备通过所述专用数据处理器进行安全套接层通信,所述安全套接层通信装置包括:
握手单元,用于通过所述专用数据处理器代替所述第二设备与所述第一设备进行安全套接层握手,并将所述安全套接层握手期间建立的与所述第一设备的第一连接的第一连接信息、与所述第二设备的第二连接的第二连接信息、和所述第一连接使用的加密材料对应存储到连接信息表;
报文通信单元,用于响应于所述第一设备与所述第二设备之间的报文通信请求,利用所述连接信息表中的所述第一连接信息、所述第二连接信息、和所述加密材料,在所述第一设备与所述第二设备之间进行报文通信。
9.一种专用数据处理器,其特征在于,包括:
存储器和处理器,其中,所述存储器中存储有计算机程序,当所述计算机程序被所述处理器执行时,实现如权利要求1至9中任一项所述的安全套接层通信方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序代码,当所述计算机程序代码被处理器运行时,使处理器执行如权利要求1至7中任一项所述的安全套接层通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311213433.0A CN117081840A (zh) | 2023-09-19 | 2023-09-19 | 安全套接层通信方法、装置、专用数据处理器及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311213433.0A CN117081840A (zh) | 2023-09-19 | 2023-09-19 | 安全套接层通信方法、装置、专用数据处理器及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117081840A true CN117081840A (zh) | 2023-11-17 |
Family
ID=88706167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311213433.0A Pending CN117081840A (zh) | 2023-09-19 | 2023-09-19 | 安全套接层通信方法、装置、专用数据处理器及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117081840A (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003079634A1 (en) * | 2002-03-14 | 2003-09-25 | Livedevices Limited | Secure internet communication for small embedded devices |
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| US20130347064A1 (en) * | 2012-06-15 | 2013-12-26 | Visa International Services Association | Method and apparatus for secure application execution |
| US8782393B1 (en) * | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| CN109067803A (zh) * | 2018-10-10 | 2018-12-21 | 深信服科技股份有限公司 | 一种ssl/tls加解密通信方法、装置及设备 |
| WO2019045424A1 (ko) * | 2017-08-29 | 2019-03-07 | 주식회사 수산아이앤티 | 보안을 위한 보안 소켓 계층 복호화 방법 |
| CN111182004A (zh) * | 2020-03-10 | 2020-05-19 | 核芯互联(北京)科技有限公司 | Ssl握手方法、装置及设备 |
| CN112055032A (zh) * | 2020-09-21 | 2020-12-08 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN113014613A (zh) * | 2019-12-20 | 2021-06-22 | 北京华耀科技有限公司 | 一种基于tls1.3协议实现ssl卸载会话复用的数据传输系统及方法 |
| US20230100935A1 (en) * | 2022-10-17 | 2023-03-30 | Intel Corporation | Microservice deployments using accelerators |
| CN116743372A (zh) * | 2023-07-20 | 2023-09-12 | 上海循态量子科技有限公司 | 基于ssl协议的量子安全协议实现方法及系统 |
-
2023
- 2023-09-19 CN CN202311213433.0A patent/CN117081840A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| WO2003079634A1 (en) * | 2002-03-14 | 2003-09-25 | Livedevices Limited | Secure internet communication for small embedded devices |
| US8782393B1 (en) * | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| US20130347064A1 (en) * | 2012-06-15 | 2013-12-26 | Visa International Services Association | Method and apparatus for secure application execution |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| WO2019045424A1 (ko) * | 2017-08-29 | 2019-03-07 | 주식회사 수산아이앤티 | 보안을 위한 보안 소켓 계층 복호화 방법 |
| CN109067803A (zh) * | 2018-10-10 | 2018-12-21 | 深信服科技股份有限公司 | 一种ssl/tls加解密通信方法、装置及设备 |
| CN113014613A (zh) * | 2019-12-20 | 2021-06-22 | 北京华耀科技有限公司 | 一种基于tls1.3协议实现ssl卸载会话复用的数据传输系统及方法 |
| CN111182004A (zh) * | 2020-03-10 | 2020-05-19 | 核芯互联(北京)科技有限公司 | Ssl握手方法、装置及设备 |
| CN112055032A (zh) * | 2020-09-21 | 2020-12-08 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| US20230100935A1 (en) * | 2022-10-17 | 2023-03-30 | Intel Corporation | Microservice deployments using accelerators |
| CN116743372A (zh) * | 2023-07-20 | 2023-09-12 | 上海循态量子科技有限公司 | 基于ssl协议的量子安全协议实现方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 贺卫红, 曹毅, 赵陕豫: "安全套接层(SSL)及其在网络安全管理中的应用", 福建电脑, no. 07, 25 July 2003 (2003-07-25) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7913261B2 (en) | Application-specific information-processing method, system, and apparatus | |
| CN111628976B (zh) | 一种报文处理方法、装置、设备及介质 | |
| US20050210243A1 (en) | System and method for improving client response times using an integrated security and packet optimization framework | |
| CN109818910B (zh) | 一种数据传输方法、装置和介质 | |
| CN111756751B (zh) | 报文传输方法、装置及电子设备 | |
| US9602476B2 (en) | Method of selectively applying data encryption function | |
| CN114828140B (zh) | 业务流量报文转发方法及装置、存储介质及电子设备 | |
| CN113691589A (zh) | 报文传输方法、装置及系统 | |
| CN113810397B (zh) | 协议数据的处理方法及装置 | |
| CN111131245A (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| WO2024060630A1 (zh) | 数据传输管理的方法、数据处理的方法和装置 | |
| WO2023061158A1 (zh) | 加解密方法、装置及计算机可读存储介质 | |
| CN115801236A (zh) | 一种加密代理方法、加密代理模块、代理设备及存储介质 | |
| CN117081840A (zh) | 安全套接层通信方法、装置、专用数据处理器及介质 | |
| CN114676451B (zh) | 电子文档签章方法、装置、存储介质及电子设备 | |
| US8555293B2 (en) | Method and apparatus for communication between application programs | |
| CN113037760A (zh) | 报文发送方法和装置 | |
| CN115134806B (zh) | IPSec安全加固传输方法、CPE和网络传输系统 | |
| CN111770099B (zh) | 数据传输的方法和装置、电子设备、计算机可读介质 | |
| CN106060158B (zh) | 一种判断目标设备的状态的方法和装置 | |
| CN117675354A (zh) | 一种安全通信方法、系统、电子设备及计算机存储介质 | |
| US11936635B2 (en) | Method, electronic device, and program product implemented at an edge switch for data encryption | |
| CN115529180B (zh) | IPSec加解密卸载方法 | |
| CN117596076B (zh) | 会话数据传输方法、系统、装置、设备和存储介质 | |
| CN116032545B (zh) | 一种ssl或tls流量多级过滤方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |