CN101515896A - 安全套接字层协议报文转发方法、装置、***及交换机 - Google Patents
安全套接字层协议报文转发方法、装置、***及交换机 Download PDFInfo
- Publication number
- CN101515896A CN101515896A CNA2009101286503A CN200910128650A CN101515896A CN 101515896 A CN101515896 A CN 101515896A CN A2009101286503 A CNA2009101286503 A CN A2009101286503A CN 200910128650 A CN200910128650 A CN 200910128650A CN 101515896 A CN101515896 A CN 101515896A
- Authority
- CN
- China
- Prior art keywords
- request message
- resource request
- message
- resource
- transparent transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims abstract description 175
- 238000005516 engineering process Methods 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 16
- 230000006855 networking Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 238000005314 correlation function Methods 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种安全套接字层协议报文转发方法、装置及***,所述方法包括:接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;将包含透传信息的资源请求报文进行转发。本发明因为采用报文透传的技术手段,所以减少了报文传输时的加密和解密操作,提高了网络的性能。
Description
技术领域
本发明涉及报文转发领域,尤其涉及一种安全套接字层协议报文转发方法、装置、***及交换机。
背景技术
在网络技术中,报文是在网络间的节点进行转发的,例如,安全套接字层协议(SSL)虚拟专用网(VPN)作为一种新兴的VPN技术,与传统的安全IP传输协议(IPSec)VPN技术相比有着很多的优势:1)SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。2)SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透防火墙(Firewall);而IPSec客户端需要支持“网络地址转换(NAT)穿透”功能才能穿透Firewall,而且需要Firewall打开用户数据报协议(UDP)500端口。3)SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用,而IPSecVPN需要管理通讯的每个节点,网管专业性较强。4)SSL VPN更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证***(如:远程用户拨号认证***(radius)、活动目录(AD)等)结合更加便捷,而IPSec VPN主要基于IP五元组(源/目的IP、源/目的端口、协议号)对用户进行访问控制。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:随着网络技术更新的加快,报文在网络间转发经过越来越多的中间节点,而该报文在每一个节点之间传输都需要进行一次加解密操作。例如SSL VPN和IPSecVPN相比,SSL VPN在网对网的连接中有着先天不足,特别是对于大型组网(例如星型拓扑组网、层次拓扑组网等),即多级站点-交换机-站点(Site2Switch2Site)的实现中,报文在每一个站点(Site)之间传输都需要进行一次SSL的加解密操作。可见,由于报文传输时是在网络的多层节点间进行的,这些频繁的加密和解密操作会严重影响网络的性能。
发明内容
本发明实施例提供一种报文转发方法、装置及***,减少了报文传输时的加密和解密操作次数,提高了网络的性能。
一方面,本发明实施例提供了一种安全套接字层协议SSL报文转发方法,所述方法包括:接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;
如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
将包含透传信息的资源请求报文进行转发。
另一方面,本发明实施例提供了一种安全套接字层协议SSL报文转发装置,所述装置包括:报文接收单元,用于接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;
信息增加单元,用于确定资源请求报文请求的资源是外地资源的资源请求报文,则在请求资源是外地资源的资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
信息透传单元,用于将包含透传信息的资源请求报文进行转发。
又一方面,本发明实施例提供了一种交换机,所述交换机包括:报文接收单元,用于接收发送端发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;
报文转发单元,用于确定资源请求报文中包含透传信息,并将包含透传信息的资源请求报文进行转发;所述透传信息用于告知传输所述资源请求报文的中间的各个交换机,不用在每一个交换机之间传输时都对所述资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传输。
再一方面,本发明实施例提供了一种安全套接字层协议SSL报文转发***,所述***包括:源站点,用于接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息,并将包含透传信息的资源请求报文进行转发,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
交换节点,用于接收源站点发送的资源请求报文,确定资源请求报文中包含透传信息,并将包含透传信息的资源请求报文进行转发;
目的站点,用于接收交换机发送的资源请求报文,并反馈请求的资源。
上述技术方案具有如下有益效果:因为在请求资源为外地资源的资源请求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一种SSL报文转发方法流程图;
图2是本发明实施例一种SSL报文转发装置方框结构图;
图3是本发明实施例另一种SSL报文转发装置方框结构图;
图4是本发明实施例一种交换机方框结构图;
图5是本发明实施例另一种交换机方框结构图;
图6是本发明实施例一种SSL报文转发***结构示意图;
图7为本发明实施例VPN站点间采用网状拓扑组网示意图;
图8为本发明实施例VPN站点间采用星型拓扑组网示意图;
图9为本发明实施例VPN站点间采用层次拓扑组网示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
如图1所示,是本发明实施例一种安全套接字层协议SSL报文转发方法流程图,所述方法包括:
步骤101,接收用户发送的资源请求报文。
所述资源请求报文为虚拟专用网的安全套接字层协议SSL报文。在接收用户发送的资源请求报文之前,还可以包括在源站点与目的站点之间进行会话密钥共享。进行会话密钥共享具体可以包括:由一交换节点动态生成一密钥,生成的密钥可以通过源/目的站点与交换节点,和/或交换节点与交换节点之间的安全套接字层协议通道将生成的密钥同步到所有的站点和交换节点上。通过上述会话密钥共享,在下面的资源请求报文透传时,只需要在源站点和目的站点之间进行一次加密和解密操作,增加该资源请求报文传输时的安全性。
需要说明的是,动态生成密钥的交换机为预先选定的交换节点。
步骤102,如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息。
如果资源请求报文请求的资源是外地资源,则在资源请求报文头中增加透传信息。增加透传信息的方式可以包括增加透传标签、增加透传标识信号或者在报文的头部增加资源ID号等方式。在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内的站点的资源。
在这里透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进行传输。在对请求资源为外地资源的资源请求报文增加透传信息后,还可以将路由信息增加到包文中,路由信息用于指示报文转发的路径等信息。
步骤103,将包含透传信息的资源请求报文进行转发。
可以利用路由信息中的转发路径等相关信息,将包含透传信息的资源请求报文透传到接收端。报文在源/目的站点与交换节点之间,和/或交换节点与交换节点之间传输时,中间的每个交换节点接收到资源请求报文时,从中检测到透传信息,直接采用传输控制协议连接将包含透传信息的资源请求报文进行转发,而不再对资源请求报文信息进行加解密操作。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例方法因为在请求资源为外地资源的资源请求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。另外,通过会话密钥共享增加了资源请求报文传输时的安全性。
实施例二:
如图2所示,是本发明实施例一种SSL报文转发装置方框结构图,所述装置20包括:
报文接收单元201,用于接收用户发送的资源请求报文;
该资源请求报文为虚拟专用网的安全套接字层协议SSL报文。
信息增加单元202,用于确定资源请求报文请求的资源是外地资源,在该请求资源为外地资源的资源请求报文中增加透传信息;
如果资源请求报文请求的资源是外地资源,则在资源请求报文头中增加透传信息。增加透传信息的方式可以包括增加透传标签、增加透传标识信号或者在报文的头部增加资源ID号等方式。在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内的站点的资源。
在这里透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进行传输。
信息透传单元203,用于将包含透传信息的资源请求报文进行转发。
在这里,由于资源请求报文中增加了透传信息,信息透传单元203直接利用TCP协议对报文进行转发。该资源请求报文由于加入了透传信息,在各个节点中传输时,就不用在每一个节点之间传输都需要进行一次SSL的加解密操作,而是直接利用传输控制协议进行数据的传输。
在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内的站点的资源。
可选的,信息增加单元202,还用于在资源请求报文头中增加路由信息,路由信息用于指示报文转发的路径等信息;这样信息透传单元203,就可以利用路由信息将包括透传信息的资源请求报文进行转发。
在这里SSL报文转发装置20可以为站点设备或者实现上述功能的其他装置。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例装置在请求资源为外地资源的资源请求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。
如图3所示,是本发明实施例另一种SSL报文转发装置方框结构图,所述装置30包括:报文接收单元201,用于接收用户发送的资源请求报文;信息增加单元202,用于如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息;信息透传单元203,用于将包含透传信息的资源请求报文进行转发。在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内的站点的资源。
该装置30不但包括图2中报文转发装置20的报文接收单元201、信息增加单元202和信息透传单元203,还可以包括密钥共享单元204,用于在接收用户发送的资源请求报文之前,在源站点与目的站点之间进行会话密钥共享。通过上述会话密钥共享,可以在资源请求报文透传时,只需要在源站点和目的站点之间进行加密和解密操作,增加该资源请求报文传输时的安全性,同时大大减少了报文传输时加解密操作的次数。
优选的,报文接收单元201,具体用于接收的用户发送的资源请求报文可以包括虚拟专用网的安全套接字层协议报文。密钥共享单元204,具体可以用于将由一预先选定的交换节点动态生成的一密钥,通过源/目的站点与交换节点,和/或交换节点与交换节点之间的安全套接字层协议通道将生成的密钥同步到所有的站点和交换节点上。信息透传单元203,具体可以用于在源/目的站点与交换节点之间,和/或交换节点与交换节点之间采用传输控制协议连接将包含透传信息的资源请求报文进行转发。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例装置在请求资源为外地资源的资源请求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。另外,通过会话密钥共享增加了资源请求报文传输时的安全性。
实施例三:
与上述实施例中报文转发装置相对应的,如图4所示,是本发明实施例一种交换机方框结构图,所述交换机40包括:
报文接收单元401,用于接收发送端发送的资源请求报文;
该资源请求报文为虚拟专用网的安全套接字层协议SSL报文。
报文转发单元402,用于确定资源请求报文中包含透传信息,并将包含透传信息的资源请求报文进行转发。
透传信息用于告知传输所述资源请求报文的中间的各个交换机,不用在每一个交换机之间传输时都对该资源请求报文进行一次SSL的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进行传输,这样就大大减少了报文转发时的加解密操作的次数。
上述本发明实施例中,交换机通过确认接收到的资源请求报文中的透传信息,采用透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。
可选的,如图5所示,是本发明实施例另一种交换机方框结构图,该交换机50不但包括图4中的报文接收单元401、报文转发单元402,还可以包括密钥单元403,用于动态生成一密钥,该生成的密钥通过源/目的站点与交换机,和/或交换机与交换机之间的安全套接字层协议通道将生成的密钥同步到所有的站点上。
上述本发明实施例的交换机通过确认接收到的资源请求报文中的透传信息,采用透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。同时,通过该交换机的会话密钥共享,只需要在源站点和目的站点之间进行加密和解密操作,增加了资源请求报文传输时的安全性。
实施例四:
如图6所示,是本发明实施例一种SSL报文转发***结构示意图,所述***包括:
源站点61,用于接收用户发送的资源请求报文,如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息,并将包含透传信息的资源请求报文进行转发;在这里,资源请求报文为虚拟专用网的安全套接字层协议SSL报文。
在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内的站点的资源。
交换节点62,用于接收所述源站点61发送的资源请求报文,还用于确定资源请求报文中包含透传信息,并将包含透传信息的资源请求报文进行转发,可以转发到交换机/目的站点;
目的站点63,用于接收交换机62发送的资源请求报文,并反馈请求的资源。
交换机节点62,还可以用于动态生成一密钥,生成的密钥通过源/目的站点与交换节点,和/或交换节点与交换节点之间的安全套接字层协议通道将所述生成的密钥同步到所有的站点和交换节点上。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例的***在请求资源为外地资源的资源请求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。另外,通过会话密钥共享增加了资源请求报文传输时的安全性。
实施例五:
本发明实施例主要介绍采用透传技术的SSL VPN在站点-站点(Site2Site)的快速转发功能,从而解决SSL VPN的Site2Site的应用。与此同时,采用SSLVPN实现Site2Site的功能相对IPSec VPN更易实现Site间设备的认证。
如图7所示,为本发明实施例VPN站点间采用网状拓扑组网示意图。在VPN的Site2Site组网中,如果采用网状拓扑,即各个Site之间(站点A、站点B、站点C、站点D)都是邻居关系而且是对等的。假设Site的个数N非常大时,一个Site的状态改变,其他N-1个Site的邻居关系表都会刷新,这样设备表的维护成本非常高。所以本发明实施例提供一种星形拓扑组网示意图,如图8所示。
如图8所示,为本发明实施例VPN站点间采用星型拓扑组网示意图。当Site非常多的时候,一般会采用一个中间节点,即交换节点(Switch),组网方式也会变成星型拓扑。这种组网,采用一个Switch节点管理所有Site节点,同时发布其它Site的资源。但是当站点是异地分布,而且数量非常大时,采用星形拓扑就难易满足管理所有节点的需求,所以本发明实施例提供一种层次拓扑组网示意图。
如图9所示,为本发明实施例VPN站点间采用层次拓扑组网示意图。Site异地分布,而且数量非常大,采用层次拓扑。即多个Switch,每个Switch负责管理与其相邻的Site,向外发布所管辖Site的资源,同时通过资源同步获得其他Switch发布过来的资源。
从图9我们可以看出,当站点A的用户访问站点D的资源时需要经过到计算机浏览器-->站点A,站点A-->交换节点A,交换节点A-->交换节点B,交换节点B-->交换节点D,交换节点D-->站点D五次加解密操作。如此频繁的加解密,而且加解密都是通过套接字(Socket)层,这样VPN网络性能损耗非常大。
为此本发明实施例在图所示的层次拓扑的基础上,提供一种实现SSLVPN的快速转发的方法:
1)SSL报文头扩充
在接入层901,收到用户发送的资源请求报文,如果发现请求的资源非本地资源,即为外地资源,则通过在资源请求报文中设立透传标签或者设立透传标识信号或者增加资源ID号等方式来增加透传信息,并增加相应的路由信息。
在这里透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进行传输。在对请求资源为外地资源的资源请求报文增加透传信息后,还可以将路由信息增加到包文中,路由信息用于指示报文转发的路径等信息。
2)SSL报文透传
SSL报文在站点<-->交换节点,交换节点<-->交换节点之间根据增加的透传信息,不再进行频繁的加解密操作,而是直接进行传输控制协议的传递,根据相应的路由信息,将增加透传信息的资源请求报文发送到接收端。
3)会话密钥共享
由于SSL报文在站点<-->交换节点,交换节点<-->交换节点是透传的,没有进行加解密操作,即加密和解密不是在SSL的对等体(Peers)间进行,中间可能会间隔了好几个设备,因此要实现一端的加密在另外一端能解密,可以在源站点和目的站点之间通过密钥共享实现。
4)密钥管理体系
密钥共享可能会导致会话不安全,所以必须建立一套密钥管理体制,密钥管理体制在一个实施例中可以为公开密钥***(PKI***),在另一个实施例中也可以为具有类似PKI***功能的其它***;可以理解的是,密钥管理体制在一个实施例中还可以用一个指定Switch动态生成一个密钥(Key),通过设备间的SSL通道(该通道是进行密钥传递或者其他管理信息的同步)将该Key同步到所有的站点上,此方法具体实现方案前面实施例中已经详细阐述,在此不再赘述。
考虑到由于IPSec VPN的Site间设备认证配置非常复杂,而SSL VPN的Site间设备采用SSL协议本身的证书认证(通过可信第三方发布的证书进行交互双方认证)。在实现SSL VPN Site2Site的解决方案中,如图9所示,可以在接入层901内(用户与站点之间)、接入层901与汇聚层902间(源/目的站点与交换节点之间)使用SSL VPN透传报文,而在汇聚层902内(交换节点与交换节点之间)可以采用SSL VPN透传报文,也可以采用IPSec VPN透传报文。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例在请求资源为外地资源的资源请求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。另外,通过会话密钥共享增加了资源请求报文传输时的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括上述全部或部分步骤,所述的存储介质,如:ROM/RAM、磁盘、光盘等。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1、一种安全套接字层协议SSL报文转发方法,其特征在于,所述方法包括:
接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文;
如果所述资源请求报文请求的资源是外地资源,则在所述资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
将包含所述透传信息的资源请求报文进行转发。
2、如权利要求1所述方法,其特征在于,所述如果所述资源请求报文请求的资源是外地资源,则在所述资源请求报文中增加透传信息,还包括在所述资源请求报文中增加路由信息;利用所述路由信息将包含所述透传信息的资源请求报文进行转发。
3、如权利要求1所述方法,其特征在于,所述接收用户发送的资源请求报文之前,还包括:
将由预先选定的交换节点动态生成的密钥,通过源/目的站点与交换节点,和/或交换节点与交换节点之间的SSL通道将所述生成的密钥同步到所有的站点和交换节点上。
4、一种安全套接字层协议SSL报文转发装置,其特征在于,所述装置包括:
报文接收单元,用于接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;
信息增加单元,用于确定所述资源请求报文请求的资源是外地资源的资源请求报文,在所述请求资源是外地资源的资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
信息透传单元,用于将包含所述透传信息的资源请求报文进行转发。
5、如权利要求4所述装置,其特征在于,
所述信息增加单元,还用于在所述请求的资源是外地资源的资源请求报文中增加路由信息;
所述信息透传单元,还用于利用所述路由信息将包含所述透传信息的资源请求报文进行转发。
6、如权利要求4所述装置,其特征在于,
所述装置还包括密钥共享单元,用于将由预先选定的交换节点动态生成的密钥,通过源/目的站点与交换节点,和/或交换节点与交换节点之间的SSL通道将所述生成的密钥同步到所有的站点和交换节点上。
7、一种交换机,其特征在于,所述交换机包括:
报文接收单元,用于接收发送端发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;
报文转发单元,用于确定所述资源请求报文中包含透传信息,并将包含所述透传信息的资源请求报文进行转发;所述透传信息用于告知传输所述资源请求报文的中间的各个交换机,直接利用传输控制协议TCP协议对所述资源请求报文进行传输。
8、如权利要求7所述交换机,其特征在于,
所述交换机还包括密钥单元,用于动态生成密钥,所述密钥通过源/目的站点与交换机,和/或交换机与交换机之间的安全套接字层协议通道将所述生成的密钥同步到所有的站点和交换机上。
9、一种安全套接字层协议SSL报文转发***,其特征在于,所述***包括:
源站点,用于接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;如果所述资源请求报文请求的资源是外地资源,则在所述资源请求报文中增加透传信息,并将包含所述透传信息的资源请求报文进行转发,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
交换节点,用于接收所述源站点发送的所述资源请求报文,确定所述资源请求报文中包含所述透传信息,并将包含所述透传信息的资源请求报文进行转发;
目的站点,用于接收所述交换机发送的所述资源请求报文,并反馈请求的所述资源。
10、如权利要求9所述***,其特征在于,所述交换节点,还用于动态生成密钥,所述密钥通过源/目的站点与交换节点,和/或交换节点与交换节点之间的安全套接字层协议通道将所述生成的密钥同步到所有的站点和交换节点上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101286503A CN101515896B (zh) | 2009-03-20 | 2009-03-20 | 安全套接字层协议报文转发方法、装置、***及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101286503A CN101515896B (zh) | 2009-03-20 | 2009-03-20 | 安全套接字层协议报文转发方法、装置、***及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101515896A true CN101515896A (zh) | 2009-08-26 |
| CN101515896B CN101515896B (zh) | 2011-01-19 |
Family
ID=41040195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101286503A Expired - Fee Related CN101515896B (zh) | 2009-03-20 | 2009-03-20 | 安全套接字层协议报文转发方法、装置、***及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101515896B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413176A (zh) * | 2011-11-11 | 2012-04-11 | 华为技术有限公司 | 连接转换方法和设备 |
| CN102811225A (zh) * | 2012-08-22 | 2012-12-05 | 神州数码网络(北京)有限公司 | 一种ssl中间代理访问web资源的方法及交换机 |
| CN103858389A (zh) * | 2013-05-31 | 2014-06-11 | 华为技术有限公司 | 一种传输会话的方法、客户端及Push服务器 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
| WO2017210852A1 (zh) * | 2016-06-07 | 2017-12-14 | 华为技术有限公司 | 业务处理方法及装置 |
| CN109981574A (zh) * | 2019-02-21 | 2019-07-05 | 深圳优仕康通信有限公司 | 一种组网加密方法、网络中继设备及计算机可读存储介质 |
| CN110519282A (zh) * | 2019-08-30 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN111628976A (zh) * | 2020-05-15 | 2020-09-04 | 绿盟科技集团股份有限公司 | 一种报文处理方法、装置、设备及介质 |
| CN111756751A (zh) * | 2020-06-28 | 2020-10-09 | 杭州迪普科技股份有限公司 | 报文传输方法、装置及电子设备 |
| CN112615867A (zh) * | 2020-12-22 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 数据包检测方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642265A (zh) * | 2004-01-13 | 2005-07-20 | 北京中视联数字***有限公司 | 一种数字电视网络***的通讯方法 |
| CN100479383C (zh) * | 2006-05-17 | 2009-04-15 | 华为技术有限公司 | 一种宽带接入网远端节点的管理方法和*** |
-
2009
- 2009-03-20 CN CN2009101286503A patent/CN101515896B/zh not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413176B (zh) * | 2011-11-11 | 2014-01-01 | 华为技术有限公司 | 连接转换方法和设备 |
| CN102413176A (zh) * | 2011-11-11 | 2012-04-11 | 华为技术有限公司 | 连接转换方法和设备 |
| CN102811225A (zh) * | 2012-08-22 | 2012-12-05 | 神州数码网络(北京)有限公司 | 一种ssl中间代理访问web资源的方法及交换机 |
| CN102811225B (zh) * | 2012-08-22 | 2016-08-17 | 神州数码网络(北京)有限公司 | 一种ssl中间代理访问web资源的方法及交换机 |
| CN103858389B (zh) * | 2013-05-31 | 2016-11-02 | 华为技术有限公司 | 一种传输会话的方法、客户端及Push服务器 |
| CN103858389A (zh) * | 2013-05-31 | 2014-06-11 | 华为技术有限公司 | 一种传输会话的方法、客户端及Push服务器 |
| CN104935593B (zh) * | 2015-06-16 | 2018-11-27 | 新华三技术有限公司 | 数据报文的传输方法及装置 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
| WO2017210852A1 (zh) * | 2016-06-07 | 2017-12-14 | 华为技术有限公司 | 业务处理方法及装置 |
| US11108549B2 (en) | 2016-06-07 | 2021-08-31 | Huawei Technologies Co., Ltd. | Service processing method and apparatus |
| CN109981574A (zh) * | 2019-02-21 | 2019-07-05 | 深圳优仕康通信有限公司 | 一种组网加密方法、网络中继设备及计算机可读存储介质 |
| CN109981574B (zh) * | 2019-02-21 | 2023-02-28 | 深圳优仕康通信有限公司 | 一种组网加密方法、网络中继设备及计算机可读存储介质 |
| CN110519282A (zh) * | 2019-08-30 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
| CN111628976A (zh) * | 2020-05-15 | 2020-09-04 | 绿盟科技集团股份有限公司 | 一种报文处理方法、装置、设备及介质 |
| CN111628976B (zh) * | 2020-05-15 | 2022-06-07 | 绿盟科技集团股份有限公司 | 一种报文处理方法、装置、设备及介质 |
| CN111756751A (zh) * | 2020-06-28 | 2020-10-09 | 杭州迪普科技股份有限公司 | 报文传输方法、装置及电子设备 |
| CN111756751B (zh) * | 2020-06-28 | 2022-10-21 | 杭州迪普科技股份有限公司 | 报文传输方法、装置及电子设备 |
| CN112615867A (zh) * | 2020-12-22 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 数据包检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101515896B (zh) | 2011-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101515896B (zh) | 安全套接字层协议报文转发方法、装置、***及交换机 | |
| Tysowski et al. | The engineering of a scalable multi-site communications system utilizing quantum key distribution (QKD) | |
| CN101753302B (zh) | 一种保证sip通信安全的方法和*** | |
| CN106209897B (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| US8582468B2 (en) | System and method for providing packet proxy services across virtual private networks | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| Lazar et al. | Yodel: strong metadata security for voice calls | |
| KR20180028542A (ko) | 종단간 m2m 서비스 계층 세션 | |
| CN101277248A (zh) | 一种网络数据分发方法及*** | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| WO2017075134A1 (en) | Key management for privacy-ensured conferencing | |
| Rossberg et al. | A survey on automatic configuration of virtual private networks | |
| CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及*** | |
| Liyanage et al. | A scalable and secure VPLS architecture for provider provisioned networks | |
| Festijo et al. | Software-defined security controller-based group management and end-to-end security management | |
| CN111901315A (zh) | 一种vpn用户接入方法及*** | |
| JP2007067631A (ja) | Vpnサーバホスティングシステム、およびvpn構築方法 | |
| CN102905199A (zh) | 一种组播业务实现方法及其设备 | |
| CN111934925A (zh) | 基于ip/mpls公共网络的二层以太网电路仿真业务*** | |
| CN102857918A (zh) | 一种车载通信*** | |
| CN102742247A (zh) | 一种数据分路传输方法及装置、*** | |
| US12052266B2 (en) | Secure streaming media based on updating hypercontent in a secure peer-to-peer data network | |
| US8832311B1 (en) | Diverter | |
| CN112235318B (zh) | 实现量子安全加密的城域网*** | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220916 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110119 |