CN102263826B - 一种传输层建立连接的方法和装置 - Google Patents
一种传输层建立连接的方法和装置 Download PDFInfo
- Publication number
- CN102263826B CN102263826B CN2011102299758A CN201110229975A CN102263826B CN 102263826 B CN102263826 B CN 102263826B CN 2011102299758 A CN2011102299758 A CN 2011102299758A CN 201110229975 A CN201110229975 A CN 201110229975A CN 102263826 B CN102263826 B CN 102263826B
- Authority
- CN
- China
- Prior art keywords
- terminal
- tcp
- tls
- information table
- address information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种传输层连接建立方法和装置,其中方法的实现包括:通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中,若是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若否,则拒绝与所述终端建立TCP连接。不需要终端进行注册协商就能够兼容不具备注册协商能力的终端;在建立TCP连接前进行终端鉴权处理防止不必要的TLS连接的建立减少***资源消耗,同时可以防止服务器受到攻击。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种传输层连接建立方法和装置。
背景技术
在当前的下一代网络(Next Generation Network,NGN)、互联网协议(Internet Protocol,IP)多媒体子***(IP Multimedia Subsystem,IMS)、基于IP网络承载的专用交换机(IP Private Branch Exchange,IPPBX)、统一通信等各类通信***中,各***间的通信都已经互联网协议(Internet Protocol,IP)化。由于呼叫信令、媒体承载在IP通道上,很容易通过抓包获取信令媒体信息,因而导致泄密。这在安全性要求高的行业,如:金融、政府、军队等是不允许的。因此,IP通信***就采用了传输层安全(Transport LayerSecurity,TLS)协议进行信令加密。TLS协议是一种在两台设备之间提供安全通道的协议,它具有保护传输数据以及识别通信设备的功能。
TLS协议是安全套接层(Secure socket layer,SSL)协议的升级版本,主要区别是所支持的加密算法不同。一般在不明确区分的情况下,业界普遍将SSL和TLS协议统称为SSL协议。SSL协议建立在传输控制协议(TransmissionControl Protocol,TCP)之上并且与上层协议无关,因此各种应用层协议能通过SSL协议进行透明传输。TLS协议是1999年推出的对SSL的改进版本。
互联网草案3329(Request For Comments 3329,RFC3329)制定了终端注册协商TLS流程如下:
用户设备(User Equipment,UE)先通过传输控制协议(TransmissionControl Protocol,TCP)与服务器建立连接,然后发注册(register)消息给服务器。Register消息中携带了信令加密方式,如:TLS协议,服务器通过register消息认证UE是否允许TLS协议加密,如果不允许,则拒绝;如果允许,则通过401响应告知终端采用TLS协议的加密方式。终端向服务器发起TLS协商,TLS建立后,再次发起register消息给服务器,包括该register消息,随后的消息都进行了TLS加密。
由于该方案需要UE支持注册协商流程。而现有大部分IP UE都不具备注册协商能力,因而该方案应用难度较大,基于此提出了如下方案:
UE先向会话初始协议服务器(SIP Server)发起TCP连接请求,随后发起TLS连接请求,SIP Server接受终端的TLS连接请求。UE发送携带UE信息的注册消息给SIP Server,SIP Server根据注册消息判断用户是否为授权UE,若否,则主动拆除TLS连接。
上述方案简化了UE与服务器间注册协商TLS的处理,终端在建立TCP连接后,不协商,直接向SIP Server发起TLS连接请求,然后发送注册消息进行用户注册。SIP Server需要通过用户注册消息来判断该用户是否有权限,如果没有权限则断开TLS连接。从TLS的原理来看,TLS的建立涉及到密钥生成、证书认证,数据加解密等过程,这会消耗大量***资源;上述方案在执行TLS拆除前,已经消耗了大量的***资源。若大量终端不断发起TLS连接,SIP Server将不断地执行先建立TLS连接,后判断用户权限,没有授权再拆除TLS连接的流程;由此,SIP Server***资源将被大量消耗,无法正常处理业务,即相当于受到了拒绝服务攻击(Deny of Service)。
发明内容
本发明实施例提供了一种传输层连接建立方法和装置,在兼容不具备注册协商能力的终端的前提下减少***资源消耗,同时可以防止服务器受到攻击。
本发明一方面提供了一种传输层建立连接的方法,包括:
通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中,若是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若否,则拒绝与所述终端建立TCP连接。
可选地,所述确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中之前还包括:
确定所述IP地址信息表是否完整,若完整,则执行:确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;
若不完整,则执行:建立与所述终端的TCP连接,并接收所述终端发起的TLS连接请求以及注册信息,根据注册信息判断所述终端是否为授权终端;若是,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若否,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
可选地,所述确定发起TCP连接请求的终端的IP地址不在TLS功能授权用户的终端的IP地址信息表中之后,以及拒绝与所述终端建立TCP连接之前还包括:
确定所述IP地址信息表是否完整,若完整,则执行:拒绝与所述终端建立TCP连接;
若不完整,则执行:建立与所述终端的TCP连接,并接收所述终端发起的TLS连接请求以及注册信息,根据注册信息判断所述终端是否为授权终端;若是,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若否,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
可选地,确定所述IP地址信息表是否完整包括:确定所述IP地址信息表中的IP地址项是否等于预置的授权用户数。
进一步地,在确定所述IP地址信息表是否完整之前还包括:
接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
可选地,所述预置的与TLS对应的传输控制协议TCP监听端口包括:
预置的专用于TLS的TCP监听端口。
本发明另一方面还提供了一种传输层建立连接的装置,包括:
监听单元,用于通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
第一授权确定单元,用于确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;
连接控制单元,用于若第一授权确定单元确定结果为是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若第一授权确定单元确定结果为否,则拒绝与所述终端建立TCP连接。
进一步地,所述装置还包括:
第一完整性确定单元,用于确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中之前,确定所述IP地址信息表是否完整;
所述连接控制单元,具体用于若IP地址信息表完整,则执行:确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;还用于若IP地址信息表不完整,则执行:建立与所述终端的TCP连接,接收来自终端的注册信息,根据终端发送的注册信息根据注册信息判断所述终端是否为授权终端;若是授权终端,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若不是授权终端,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
进一步地,所述装置还包括:
第二完整性确定单元,用于在确定发起TCP连接请求的终端的IP地址不在TLS功能授权用户的终端的IP地址信息表中之后,在拒绝与所述终端建立TCP连接之前,确定所述IP地址信息表是否完整;
所述连接控制单元,具体用于若IP地址信息表完整,则执行:则执行:拒绝与所述终端建立TCP连接;还用于若IP地址信息表不完整,则执行:建立与所述终端的TCP连接,接收来自终端的注册信息,根据终端发送的注册信息根据注册信息判断所述终端是否为授权终端;若是授权终端,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若不是授权终端,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
可选地,所述第一完整性确定单元或第二完整性确定单元包括:
完整性确定子单元,用于确定所述IP地址信息表中的IP地址项是否等于预置的授权用户数。
进一步地,所述装置还包括:
授权数确定单元,用于接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
可选地,所述监听单元,具体用于在预置的专用于TLS的TCP监听端口上进行TCP连接监听;监听来自终端的TCP连接请求。
从以上技术方案可以看出,本发明实施例具有以下优点:不需要终端进行注册协商就能够兼容不具备注册协商能力的终端;在建立TCP连接前进行终端鉴权处理防止不必要的TLS连接的建立减少***资源消耗,同时可以防止服务器受到攻击。
附图说明
图1为本发明实施例方法流程示意图;
图2为本发明实施例方法流程示意图;
图3为本发明实施例方法流程示意图;
图4为本发明实施例方法流程示意图;
图5为本发明实施例方法流程示意图;
图6为本发明实施例装置结构示意图;
图7为本发明实施例装置结构示意图;
图8为本发明实施例装置结构示意图;
图9为本发明实施例装置结构示意图;
图10为本发明实施例装置结构示意图。
具体实施方式
本发明实施例提供了一种传输层建立连接的方法,如图1所示,包括:
101:通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求。
具体的,在执行本步骤之前,需要启动传输层连接TLS的功能,在预置的与TLS对应的传输控制协议TCP监听端口上进行TCP连接监听。其中,预置的与TLS对应的传输控制协议TCP监听端口包括:预置的专用于TLS的TCP监听端口。更具体地,这个端口可以采用5061号端口;当然采用其它端口也是可以的,具体的端口号本发明实施例不予限定。
102:确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;若是,则建立与上述终端的TCP连接,并与上述终端建立TLS连接;若否,则拒绝与上述终端建立TCP连接。
需要说明的是,可能预置的IP地址信息表并不完整,即:IP地址信息表中的IP地址少于TLS功能授权用户数,那么通过这个不完整的IP地址信息表直接判断终端是否属于授权用户,会造成授权用户被误判的情况,因此本发明实施例提供解决方案如下:
方案一:在监听到来自终端的TCP连接请求之后,确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中之前图1对应的方案还包括:
确定上述IP地址信息表是否完整,若完整,则执行:确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;
若上述IP地址信息表不完整,则执行:建立与上述终端的TCP连接,并接收上述终端发起的TLS连接请求以及注册信息,根据注册信息判断上述终端是否为授权终端;若是,则与上述终端建立TLS连接,并将上述终端的IP信息存储到上述IP地址信息表中;若否,则拆除上述终端的TCP连接,并拒绝与上述终端建立TLS连接。具体的,拒绝与终端建立TLS连接可以是向终端发送拒绝TLS连接的响应,也可以是通过折除终端的TCP连接以拒绝与终端建立TLS连接。
方案二:在确定发起TCP连接请求的终端的IP地址不在TLS功能授权用户的终端的IP地址信息表中之后,在拒绝与上述终端建立TCP连接之前还包括:
确定上述IP地址信息表是否完整,若上述IP地址信息表完整,则执行:拒绝与上述终端建立TCP连接;
若上述IP地址信息表不完整,则执行:建立与上述终端的TCP连接,并接收上述终端发起的TLS连接请求以及注册信息,根据注册信息判断上述终端是否为授权终端;若是,则与上述终端建立TLS连接,并将上述终端的IP信息存储到上述IP地址信息表中;若否,则拆除上述终端的TCP连接,并拒绝与上述终端建立TLS连接。
在以上实施例中,确定上述IP地址信息表是否完整包括:
确定上述IP地址信息表中的IP地址项是否等于预置的授权用户数。授权用户数可以由手工输入;也可以通过许可证的形式定义,对此本发明实施例不予限定。当然可以理解的是,IP地址项应该是不会大于授权用户数的,如果IP地址项等于授权用户数那么IP地址信息表是完整的,如果IP地址项小于授权用户数那么IP地址信息表是不完整的。另外IP地址信息表可以存储在执行确定终端是否为授权用户的终端的服务器中,也可以由其他设备发送给上述服务器。
图1所示的本发明实施例方案,不需要终端进行注册协商能够兼容不具备注册协商能力的终端;在建立TCP连接前进行终端鉴权处理防止不必要的TLS连接的建立减少***资源消耗,同时可以防止服务器受到攻击。后续实施例中提出了IP地址信息表完整和不完整时候的处理方案,对图1所示的方案进行了补充,可以不用手工输入TLS功能授权用户的终端的IP地址,由服务器学习得到IP地址,减少手工输入提高效率。
以下实施例分别就预置的IP信息表完整和不完整的场景进行说明,其中网络一侧的服务器以SIP Sever为例进行说明。
一、预置的IP地址信息表完整的场景下
在本应用场景下,***预先开启TLS对应的监听端口,该端口承载在TLS上,比如5061。服务器若通过该端口收到终端发送的TCP连接请求,可认为是终端随后将要发起TLS连接请求。此时服务器可以根据在服务器中预先保存的IP地址信息表来鉴权,上述IP地址信息表中存储了TLS功能授权用户的终端的IP地址,通过这些TLS功能授权用户的终端的IP地址可以判断出发起TCP连接请求的终端是否为TLS功能的授权用户的终端,从而确定是否建立与该终端间的TCP连接。如果在IP地址信息表中包含发起TCP连接请求的终端的IP地址,就确定可以建立与该终端的TCP连接以及随后的TLS连接;否则,就确定未授权,拒绝建立与该终端的TCP连接。***中的IP地址信息表,即:包含TLS功能授权用户的终端的IP地址的信息表,可以通过业务发放平台在服务器配置得到,这个配置的过程可以是人工输入授权用户终端的IP地址然后发送给SIP Sever;另外,IP地址信息表也可以是通过后续的学习方案得到。
在本应用的场景下,为了能通过IP来判断终端的权限,终端的IP地址需要固定。终端的IP地址固定分配时本方案可行性高,若终端的IP地址是通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)由SIP Sever自动获取的,则终端的IP地址有可能会变化。因此,在终端的IP通过DHCP获取场景中,需要进行配置,使终端的MAC与IP地址绑定,防止老化后,IP地址的变化。这样就能够固定终端的IP地址。上述老化是指:DHCP分配给设备的IP地址会有一段有效时间,过有效时间后该IP地址有可能会分配给其他终端使用。
终端与SIP Sever的信息交互流程如图2所示,包括:
在交互流程执行前,SIP Sever中保存了IP地址信息表,IP地址信息表中存储了授权用户的终端的IP地址。其中保存的IP地址信息表通过配置得到的,另外在还可以同时配置与TLS对应的TCP监听端口(port),该TCP监听端口的端口号也可以不用配置,直接使用预置的专用于TLS的TCP监听端口。
201:SIP Sever启动TLS功能,并在配置的TCP监听端口上进行TCP连接监听。
202:终端发起了TCP连接请求。
203:SIP Sever通过TCP监听端口收到上述TCP连接请求后,根据发起TCP连接请求的终端的IP地址,查询IP地址信息表。
204:如果IP地址信息表中不包含发起TCP连接请求的终端的IP地址,则确定发起TCP连接请求的终端属于未授权用户的终端,则拒绝与终端建立TCP连接。至此本流程结束。
205:如果IP地址信息表中包含发起TCP连接请求的终端的IP地址,则确定发起TCP连接请求的终端是授权用户的终端,SIP Server建立与终端间的TCP连接,向终端发送响应TCP连接的消息,进入206。
206:SIP Sever接收到来自终端的TLS连接请求;
207:建立与该终端间的TLS连接,并向终端发送TLS连接响应的消息。
208:终端后续的信令承载在TLS上。
基于以上流程,在SIP Sever一侧的处理逻辑如图3所示,包括:
301:流程开始,启动TCP监听端口,该TCP监听端口由TLS承载,接收终端发起的TCP连接请求;
302:若接收到TCP连接请求,进入303;
303:查询IP地址信息表;
304:判断IP地址信息表中是否含发起TCP连接请求的终端的IP地址;若是,进入305,若否,进入306;
305:建立与上述终端间的TCP连接以及TLS连接。
306:拒绝建立与终端间的TCP连接。
本发明实施例方案,不需要终端进行注册协商,因此能够兼容不具备注册协商能力的终端发起TCP连接请求并建立TLS连接;在建立TCP连接前进行终端鉴权处理防止不必要的TLS连接的建立减少***资源消耗,同时可以防止服务器受到攻击。
二、预置的IP地址信息表的IP信息不完整的场景下。
在本应用场景下,***中的TLS功能授权用户的终端的IP地址信息表,通过SIP Sever学习得到。本应用场景下,SIP Sever在进行初始化时配置了授权TLS功能的用户数为N个,但IP地址信息表为空。SIP Sever无法根据该表信息准确判断是否建立与终端间的TCP连接以及TLS连接,因此,SIP Sever在初始化时,SIP Sever监听TCP连接请求,在接收到来自终端的TCP连接请求后,可以先接建立与该终端间的TCP连接,然后接收该终端随后发送的TLS连接请求和注册消息,SIP Sever根据注册消息中的用户信息进行权限判断,如果终端为授权终端则建立与该终端间的TLS连接,并将该终端的IP地址记入到IP地址信息表中;否则拆除TCP连接并拒绝建立TLS连接。当IP地址信息表中记录的终端IP地址的数量达到授权TLS功能用户数N时,使用预置IP地址信息表完整的场景下的方案进行处理。在SIP Sever一侧的处理逻辑如图4所示:
401:流程开始,启动TCP监听端口,该TCP监听端口由TLS承载,接收终端发起的TCP连接请求;
402:若接收到TCP连接请求,进入403;
403:判断IP地址信息表是否完整,即:IP地址信息表中的IP地址数量是否等于TLS功能授权用户的数量;若是则进入404,若否,则进入408;
本步骤也可以放在405和407之间。
404:查询IP地址信息表;
405:判断TLS功能授权用户的终端的IP地址信息表中是否包含发起TCP连接请求的终端的IP地址;若是,进入406,若否,进入407;
406:建立与上述终端间的TCP连接以及TLS连接;然后结束本流程。
407:拒绝建立与上述终端间的TCP连接;然后结束本流程。
408:建立与上述终端间的TCP连接,接收上述终端随后发起的TLS连接请求以及注册信息,进入409;
409:SIP Sever根据上述注册信息判断终端是否为授权用户的终端,若是,进入410,若否,进入411;
410:将上述终端的IP地址记录到IP地址信息表中。由于SIP Sever确定了该终端为授权用户的终端,则可以建立与该终端间的TLS连接。可以理解的是通过本流程,如果授权用户的终端都执行一次本流程以后,IP地址信息表就完整了。
411:拆除与该终端的TCP连接,并拒绝与上述终端建立TLS连接。
若上述403放在405和407之间,403判断结果为是执行407,判断结果为否执行408~411。
终端与SIP Sever的信息交互流程如图5所示,包括:
501:终端向SIP Sever发送TCP连接请求;
502:SIP Sever向终端发送TCP连接响应的消息,并建立与终端间的TCP连接;
503:终端向SIP Sever发送TLS连接请求以及注册消息;该注册消息可以采用注册信令信息来发送,并且该注册信令信息携带了用户信息;
504:SIP Sever根据注册消息中携带的用户信息判断终端是否是授权用户的终端。
505:如果504中判断结果为是,则将该终端的IP地址记录到IP地址信息表中,由于SIP Sever确定了该终端为授权用户的终端,则可以建立与该终端间的TLS连接,否则拆除TCP连接,并拒绝与该终端建立TLS连接。需要说明的是,上述501~505是一个学习过程,等授权用户都执行一次注册后,在SIP Sever中将记录全所有授权用户的终端的IP地址,后续可以根据学到的IP地址执行IP地址信息表完整场景下的方案。
本发明实施例还提供了一种传输层建立连接的装置,如图6所示,包括:
监听单元601,用于通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
第一授权确定单元602,用于确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;
连接控制单元603,用于若第一授权确定单元602确定结果为是,则建立与上述终端的TCP连接,并与上述终端建立TLS连接;若第一授权确定单元602确定结果为否,则拒绝与上述终端建立TCP连接。
进一步地,如图7所示,上述装置还包括:
第一完整性确定单元701,用于监听到来自终端的TCP连接请求之后,确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中之前,确定上述IP地址信息表是否完整;
上述连接控制单元603,具体用于若IP地址信息表完整,则执行:确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;还用于若IP地址信息表不完整,则执行:建立与上述终端的TCP连接,接收来自终端的注册信息,根据终端发送的注册信息根据注册信息判断所述终端是否为授权终端;若是授权终端,则与上述终端建立TLS连接,并将上述终端的IP信息存储到上述IP地址信息表中;若不是授权终端,则拆除上述终端的TCP连接,并拒绝与上述终端建立TLS连接。
进一步地,如图8所示,上述装置还包括:
第二完整性确定单元801,用于在确定发起TCP连接请求的终端的IP地址不在TLS功能授权用户的终端的IP地址信息表中之后,在拒绝与上述终端建立TCP连接之前,确定上述IP地址信息表是否完整;
上述连接控制单元603,具体用于若IP地址信息表完整,则执行:则执行:拒绝与上述终端建立TCP连接;还用于若IP地址信息表不完整,则执行:建立与上述终端的TCP连接,接收来自终端的注册信息,根据终端发送的注册信息根据注册信息判断所述终端是否为授权终端;若是授权终端,则与上述终端建立TLS连接,并将上述终端的IP信息存储到上述IP地址信息表中;若不是授权终端,则拆除上述终端的TCP连接,并拒绝与上述终端建立TLS连接。
可选地,如图9所示,上述第一完整性确定单元701或第二完整性确定单元801包括:
完整性确定子单元901,用于确定上述IP地址信息表中的IP地址项是否等于预置的授权用户数。
进一步地,如图10所示,上述装置还包括:
授权数确定单元1001,用于接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
可选地,上述监听单元601,具体用于启动传输层连接TLS的功能后,在预置的专用于TLS的TCP监听端口上进行TCP连接监听;监听来自终端的TCP连接请求。
本发明实施例方案,不需要终端进行注册协商能够兼容不具备注册协商能力的终端;在建立TCP连接前进行终端鉴权处理防止不必要的TLS连接的建立减少***资源消耗,同时可以防止服务器受到攻击。
以上实施例中,传输层建立连接的装置或SIP服务器或服务器可以为计算机等硬件设备,而执行上述功能的方法可以为计算机的处理器,上述的功能模块也可以为运行为计算机的处理器中的模块。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,上述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种传输层连接建立方法和装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种传输层建立连接的方法,其特征在于,包括:
通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
确定TLS功能授权用户的终端的IP地址信息表是否完整,若完整,确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中,若是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若否,则拒绝与所述终端建立TCP连接;
若不完整,则执行:建立与所述终端的TCP连接,并接收所述终端发起的TLS连接请求以及注册信息,根据注册信息判断所述终端是否为授权终端;若是,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若否,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
2.根据权利要求1所述方法,其特征在于,确定所述IP地址信息表是否完整包括:
确定所述IP地址信息表中的IP地址项是否等于预置的授权用户数。
3.根据权利要求2所述方法,其特征在于,在确定所述IP地址信息表是否完整之前还包括:
接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
4.根据权利要求1或2所述方法,其特征在于,所述预置的与TLS对应的传输控制协议TCP监听端口包括:
预置的专用于TLS的TCP监听端口。
5.一种传输层建立连接的方法,其特征在于,包括:
通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中,若是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若否,则确定所述IP地址信息表是否完整,若完整,则执行:拒绝与所述终端建立TCP连接;
若不完整,则执行:建立与所述终端的TCP连接,并接收所述终端发起的TLS连接请求以及注册信息,根据注册信息判断所述终端是否为授权终端;若是,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若否,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
6.根据权利要求5所述方法,其特征在于,确定所述IP地址信息表是否完整包括:
确定所述IP地址信息表中的IP地址项是否等于预置的授权用户数。
7.根据权利要求6所述方法,其特征在于,在确定所述IP地址信息表是否完整之前还包括:
接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
8.根据权利要求5或6所述方法,其特征在于,所述预置的与TLS对应的传输控制协议TCP监听端口包括:
预置的专用于TLS的TCP监听端口。
9.一种传输层建立连接的装置,其特征在于,包括:
监听单元,用于通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
第一授权确定单元,用于确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;
连接控制单元,用于若第一授权确定单元确定结果为是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若第一授权确定单元确定结果为否,则拒绝与所述终端建立TCP连接;
所述装置还包括:
第一完整性确定单元,用于确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中之前,确定所述IP地址信息表是否完整;
所述连接控制单元,具体用于若IP地址信息表完整,则执行:确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;还用于若IP地址信息表不完整,则执行:建立与所述终端的TCP连接,接收来自终端的注册信息,根据注册信息判断所述终端是否为授权终端;若是授权终端,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若不是授权终端,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
10.根据权利要求9所述装置,其特征在于,所述第一完整性确定单元包括:
完整性确定子单元,用于确定所述IP地址信息表中的IP地址项是否等于预置的授权用户数。
11.根据权利要求10所述装置,其特征在于,还包括:
授权数确定单元,用于接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
12.根据权利要求9或10所述装置,其特征在于,
所述监听单元,具体用于在预置的专用于TLS的TCP监听端口上进行TCP连接监听;监听来自终端的TCP连接请求。
13.一种传输层建立连接的装置,其特征在于,包括:
监听单元,用于通过预置的与传输层安全TLS对应的传输控制协议TCP监听端口监听来自终端的TCP连接请求;
第一授权确定单元,用于确定发起TCP连接请求的终端的IP地址是否在TLS功能授权用户的终端的IP地址信息表中;
连接控制单元,用于若第一授权确定单元确定结果为是,则建立与所述终端的TCP连接,并与所述终端建立TLS连接;若第一授权确定单元确定结果为否,则拒绝与所述终端建立TCP连接;
所述装置还包括:
第二完整性确定单元,用于在确定发起TCP连接请求的终端的IP地址不在TLS功能授权用户的终端的IP地址信息表中之后,在拒绝与所述终端建立TCP连接之前,确定所述IP地址信息表是否完整;
所述连接控制单元,具体用于若IP地址信息表完整,则执行:拒绝与所述终端建立TCP连接;还用于若IP地址信息表不完整,则执行:建立与所述终端的TCP连接,接收来自终端的注册信息,根据注册信息判断所述终端是否为授权终端;若是授权终端,则与所述终端建立TLS连接,并将所述终端的IP信息存储到所述IP地址信息表中;若不是授权终端,则拆除所述终端的TCP连接,并拒绝与所述终端建立TLS连接。
14.根据权利要求13所述装置,其特征在于,所述第二完整性确定单元包括:
完整性确定子单元,用于确定所述IP地址信息表中的IP地址项是否等于预置的授权用户数。
15.根据权利要求14所述装置,其特征在于,还包括:
授权数确定单元,用于接收用户设置的授权用户数;或者,获取许可证中的授权用户数。
16.根据权利要求14或15所述装置,其特征在于,
所述监听单元,具体用于在预置的专用于TLS的TCP监听端口上进行TCP连接监听;监听来自终端的TCP连接请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102299758A CN102263826B (zh) | 2011-08-11 | 2011-08-11 | 一种传输层建立连接的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102299758A CN102263826B (zh) | 2011-08-11 | 2011-08-11 | 一种传输层建立连接的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102263826A CN102263826A (zh) | 2011-11-30 |
| CN102263826B true CN102263826B (zh) | 2013-12-04 |
Family
ID=45010274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102299758A Expired - Fee Related CN102263826B (zh) | 2011-08-11 | 2011-08-11 | 一种传输层建立连接的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102263826B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916485A (zh) * | 2012-12-31 | 2014-07-09 | 北京新媒传信科技有限公司 | Nat穿越方法以及服务器 |
| CN104484794A (zh) * | 2014-12-15 | 2015-04-01 | 上海合合信息科技发展有限公司 | 自助式办公设备和运行方法,及其控制装置和方法 |
| CN108462670A (zh) * | 2017-02-17 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 用于tcp连接的鉴权方法、装置以及电子设备 |
| CN109391650B (zh) * | 2017-08-04 | 2020-09-29 | 华为技术有限公司 | 一种建立会话的方法及装置 |
| CN109802928B (zh) * | 2017-11-17 | 2021-09-17 | 中兴通讯股份有限公司 | 一种ssl/tls代理方法、装置、设备及存储介质 |
| CN111464387B (zh) * | 2020-03-31 | 2022-02-25 | 南方电网科学研究院有限责任公司 | 一种检测终端ssl/tls配置安全性的方法、装置、***和设备 |
| CN111628976B (zh) * | 2020-05-15 | 2022-06-07 | 绿盟科技集团股份有限公司 | 一种报文处理方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330504A (zh) * | 2007-06-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种基于共享密钥的sip网络中传输层安全的实现方法 |
| CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188002A1 (en) * | 2003-09-02 | 2005-08-25 | Guanghong Yang | Apparatus, method, and computer program product for building virtual networks |
-
2011
- 2011-08-11 CN CN2011102299758A patent/CN102263826B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330504A (zh) * | 2007-06-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种基于共享密钥的sip网络中传输层安全的实现方法 |
| CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102263826A (zh) | 2011-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102263826B (zh) | 一种传输层建立连接的方法和装置 | |
| US9130935B2 (en) | System and method for providing access credentials | |
| US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
| US8301876B2 (en) | Techniques for secure network communication | |
| US20090100259A1 (en) | Management network security framework and its information processing method | |
| EP1811744A1 (en) | Method, system and centre for authenticating in End-to-End communications based on a mobile network | |
| US20150281958A1 (en) | Method and Apparatus for Securing a Connection in a Communications Network | |
| WO2015024419A1 (zh) | 一种内容共享方法、装置和*** | |
| JPWO2005101217A1 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
| CN101018233B (zh) | 会话的控制方法及控制装置 | |
| CN112235235A (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN104052775A (zh) | 一种云平台服务的权限管理方法、装置和*** | |
| WO2014176997A1 (zh) | 数据收发方法及***、消息的处理方法及装置 | |
| CN105530266A (zh) | 一种许可证书管理方法、装置及*** | |
| CN109104475A (zh) | 连接恢复方法、装置及*** | |
| CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入*** | |
| WO2017005163A1 (zh) | 基于无线通信的安全认证装置 | |
| KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| CN112671708B (zh) | 认证方法及***、portal服务器、安全策略服务器 | |
| CN105471896A (zh) | 基于ssl的代理方法、装置及*** | |
| CN106936608B (zh) | 一种建立ssh连接的方法、相关设备及*** | |
| WO2017206185A1 (zh) | 验证应用程序合法性的方法、装置及*** | |
| WO2009018778A1 (fr) | Procédé, dispositif et système pour dispositif sans carte accédant à un réseau personnel | |
| WO2008006309A1 (fr) | Procédé appareil de détermination du type de service d'une demande de clé |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: HANGZHOU HUAWEI COMMUNICATION TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO LTD Effective date: 20120228 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 310052 HANGZHOU, ZHEJIANG PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20120228 Address after: 310052, Hangzhou, Zhejiang province Binjiang District Long River Street, 301 shore road, 1, three floor Applicant after: Hangzhou Huawei Enterprise Communication Technology Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: Huawei Technologies Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131204 Termination date: 20170811 |