CN107005400B - 业务处理方法及装置 - Google Patents
业务处理方法及装置 Download PDFInfo
- Publication number
- CN107005400B CN107005400B CN201580065634.8A CN201580065634A CN107005400B CN 107005400 B CN107005400 B CN 107005400B CN 201580065634 A CN201580065634 A CN 201580065634A CN 107005400 B CN107005400 B CN 107005400B
- Authority
- CN
- China
- Prior art keywords
- network server
- connection
- proxy node
- encryption
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种业务处理方法及装置,涉及通信领域,方法包括:代理节点代替网络服务器与UE建立第一加密连接,并与网络服务器建立第二加密连接;代理节点从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥;代理节点接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器,密文由UE使用第二密钥对业务信息进行加密得到,第一密钥与第二密钥对应,第二密钥由UE根据加密上下文生成。本发明解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
Description
技术领域
本发明涉及通信领域,特别涉及一种业务处理方法及装置。
背景技术
安全套接层(英文:security socket layer;简称:SSL)协议及其继任者传输层安全(英文:transport layer security;简称,TLS)协议用于为网络通信提供加密、身份认证及数据完整性等服务,已被广泛地应用于浏览器与网络服务器之间的安全通信。其中,SSL/TLS协议位于传输层的传输控制协议(英文:transmission control protocol;简称:TCP)协议和应用层的超文本传送协议(英文:hypertext transfer protocol;简称:HTTP)之间。
相关技术提供的一种业务处理方法包括:用户设备(英文:user equipment;简称:UE)基于下层使用了SSL/TLS协议的超文本传输安全协议(英文:hyper text transferprotocol over secure socket layer;简称:HTTPS)与网络服务器建立加密连接,并约定第一密钥和第二密钥,用户设备使用第一密钥加密业务信息后发送给网络服务器,网络服务器使用第二密钥解密得到业务信息,根据该业务信息生成业务数据,加密业务数据后发送给用户设备,用户设备使用第一密钥解密得到业务数据。其中,业务信息可以用于请求网络服务器的网页,也可以用于请求网络服务器中的对象。
通常,还可以在用户设备和网络服务器之间设置代理节点,在代理节点存在的场景下,当在用户设备和网络服务器之间建立加密连接时,用户设备和网络服务器之间传输的是加密后得到的密文,由于代理节点不能获取到第一密钥和第二密钥,因此,代理节点无法解密密文,导致代理节点无法为用户设备提供业务优化。
发明内容
为了解决代理节点无法解密密文,导致代理节点无法为用户设备提供业务优化的问题,本发明实施例提供了一种业务处理方法及装置。所述技术方案如下:
第一方面,提供了一种业务处理方法,所述方法包括:
在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接;
所述代理节点从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文,并根据所述加密上下文生成第一密钥;
所述代理节点接收所述UE发送的密文,使用所述第一密钥解密所述密文,对得到的业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器,所述密文由所述UE使用第二密钥对所述业务信息进行加密得到,所述第一密钥与所述第二密钥对应,所述第二密钥由所述UE根据所述加密上下文生成。
在第一方面的第一种可能的实现方式中,所述在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接,包括:
所述代理节点截获所述UE向所述网络服务器发送的传输控制协议TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述代理节点截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述代理节点截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述代理节点截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
在第一方面的第二种可能的实现方式中,所述在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接,包括:
所述代理节点截获所述UE向隧道网关发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述代理节点根据所述隧道网关的IP地址,代替所述隧道网关与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述代理节点截获所述UE通过所述TCP连接向所述隧道网关发送的加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述隧道网关用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
在第一方面的第三种可能的实现方式中,所述在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接,包括:
所述代理节点截获隧道网关向所述网络服务器发送的TCP建立请求,所述TCP建立请求是所述隧道网关与所述UE建立TCP连接后发送的,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,所述隧道网关位于所述UE和所述代理节点之间;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述隧道网关建立TCP连接,并根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接;
所述代理节点截获所述隧道网关通过所述TCP连接向所述网络服务器发送的加密建立请求,所述加密建立请求由所述UE通过所述TCP连接发送给所述隧道网关,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
结合第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式或第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述代理节点从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文,包括:
所述代理节点向密钥服务器发送携带有所述TCP连接的连接标识的获取请求,所述获取请求用于指示所述密钥服务器根据所述连接标识确定所述UE,向所述UE转发所述获取请求,并接收所述UE根据所述连接标识发送的所述加密上下文,将所述加密上下文转发给所述代理节点;所述代理节点接收所述密钥服务器转发的所述加密上下文;或者,
所述代理节点向所述UE发送携带有所述TCP连接的连接标识的获取请求,所述获取请求用于指示所述UE根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;所述代理节点接收所述密钥服务器转发的所述加密上下文;或者,
所述代理节点接收密钥服务器转发的所述加密上下文,所述加密上下文是所述密钥服务器接收所述UE发送的所述加密上下文和所述TCP连接的连接标识,根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
第二方面,提供了一种业务处理方法,所述方法包括:
在与网络服务器建立连接的过程中,用户设备UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接;
所述UE向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,所述加密上下文用于指示所述代理节点根据所述加密上下文生成第一密钥;且所述UE根据所述加密上下文生成第二密钥,所述第二密钥与所述第一密钥对应;
所述UE使用所述第二密钥对业务信息进行加密,将得到的密文发送给所述代理节点,所述密文用于指示所述代理节点使用所述第一密钥解密所述密文,对得到的所述业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器。
在第二方面的第一种可能的实现方式中,所述在与网络服务器建立连接的过程中,UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接,包括:
所述UE向所述网络服务器发送传输控制协议TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述UE通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述UE向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述UE通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
在第二方面的第二种可能的实现方式中,所述在与网络服务器建立连接的过程中,UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接,包括:
所述UE向隧道网关发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述UE根据所述代理节点截获所述TCP建立请求后得到的所述隧道网关的IP地址,与代替所述隧道网关的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述UE通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述加密建立请求用于指示所述隧道网关通过所述TCP连接将所述加密建立请求转发给所述网络服务器,并指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
在第二方面的第三种可能的实现方式中,所述在与网络服务器建立连接的过程中,UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接,包括:
所述UE与隧道网关建立TCP连接,所述隧道网关用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接,所述隧道网关位于所述UE和所述代理节点之间;
所述UE通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求用于指示所述隧道网关向所述网络服务器转发所述加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
结合第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述UE向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,包括:
所述UE接收密钥服务器转发的携带有所述TCP连接的连接标识的获取请求,根据所述连接标识向所述密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点,所述获取请求由所述代理节点发送给所述密钥服务器,且所述密钥服务器根据所述连接标识确定所述UE后发送的;或者,
所述UE接收所述代理节点发送的携带有所述TCP连接的连接标识的获取请求,根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;或者,
所述UE向密钥服务器发送所述加密上下文和所述TCP连接的连接标识,所述加密上下文是所述密钥服务器用于根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
第三方面,提供了一种业务处理装置,用于代理节点中,所述装置包括:
连接建立模块,用于在用户设备UE与网络服务器建立连接的过程中,代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接;
密钥生成模块,用于从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文,并根据所述加密上下文生成第一密钥;
业务处理模块,用于接收所述UE发送的密文,使用所述密钥生成模块生成的所述第一密钥解密所述密文,对得到的业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器,所述密文由所述UE使用第二密钥对所述业务信息进行加密得到,所述第一密钥与所述第二密钥对应,所述第二密钥由所述UE根据所述加密上下文生成。
在第三方面的第一种可能的实现方式中,所述连接建立模块,具体用于:
截获所述UE向所述网络服务器发送的传输控制协议TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
在第三方面的第二种可能的实现方式中,所述连接建立模块,具体用于:
截获所述UE向隧道网关发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
根据所述隧道网关的IP地址,代替所述隧道网关与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
截获所述UE通过所述TCP连接向所述隧道网关发送的加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述隧道网关用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
在第三方面的第三种可能的实现方式中,所述连接建立模块,具体用于:
截获隧道网关向所述网络服务器发送的TCP建立请求,所述TCP建立请求是所述隧道网关与所述UE建立TCP连接后发送的,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,所述隧道网关位于所述UE和所述代理节点之间;
根据所述网络服务器的IP地址,代替所述网络服务器与所述隧道网关建立TCP连接,并根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接;
截获所述隧道网关通过所述TCP连接向所述网络服务器发送的加密建立请求,所述加密建立请求由所述UE通过所述TCP连接发送给所述隧道网关,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
结合第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式或第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述密钥生成模块,具体用于:
向密钥服务器发送携带有所述TCP连接的连接标识的获取请求,所述获取请求用于指示所述密钥服务器根据所述连接标识确定所述UE,向所述UE转发所述获取请求,并接收所述UE根据所述连接标识发送的所述加密上下文,将所述加密上下文转发给所述代理节点;接收所述密钥服务器转发的所述加密上下文;或者,
向所述UE发送携带有所述TCP连接的连接标识的获取请求,所述获取请求用于指示所述UE根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;接收所述密钥服务器转发的所述加密上下文;或者,
接收密钥服务器转发的所述加密上下文,所述加密上下文是所述密钥服务器接收所述UE发送的所述加密上下文和所述TCP连接的连接标识,根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
第四方面,提供了一种业务处理装置,用于用户设备UE中,所述装置包括:
连接建立模块,用于在与网络服务器建立连接的过程中,与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接;
密钥提供模块,用于向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,所述加密上下文用于指示所述代理节点根据所述加密上下文生成第一密钥;且所述UE根据所述加密上下文生成第二密钥,所述第二密钥与所述第一密钥对应;
密文发送模块,用于使用所述密钥提供模块生成的所述第二密钥对业务信息进行加密,将得到的密文发送给所述代理节点,所述密文用于指示所述代理节点使用所述第一密钥解密所述密文,对得到的所述业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器。
在第四方面的第一种可能的实现方式中,所述连接建立模块,具体用于:
向所述网络服务器发送传输控制协议TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
在第四方面的第二种可能的实现方式中,所述连接建立模块,具体用于:
向隧道网关发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
根据所述代理节点截获所述TCP建立请求后得到的所述隧道网关的IP地址,与代替所述隧道网关的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述加密建立请求用于指示所述隧道网关通过所述TCP连接将所述加密建立请求转发给所述网络服务器,并指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
在第四方面的第三种可能的实现方式中,所述连接建立模块,具体用于:
与隧道网关建立TCP连接,所述隧道网关用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接,所述隧道网关位于所述UE和所述代理节点之间;
通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求用于指示所述隧道网关向所述网络服务器转发所述加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
结合第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式或第四方面的第三种可能的实现方式,在第四方面的第四种可能的实现方式中,所述密钥提供模块,具体用于:
接收密钥服务器转发的携带有所述TCP连接的连接标识的获取请求,根据所述连接标识向所述密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点,所述获取请求由所述代理节点发送给所述密钥服务器,且所述密钥服务器根据所述连接标识确定所述UE后发送的;或者,
接收所述代理节点发送的携带有所述TCP连接的连接标识的获取请求,根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;或者,
向密钥服务器发送所述加密上下文和所述TCP连接的连接标识,所述加密上下文是所述密钥服务器根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点,所述对应关系用于指示连接标识与代理节点之间的关系。
第五方面,提供了一种业务处理装置,用于代理节点中,所述装置包括:总线,以及连接到所述总线的处理器、存储器、发射器和接收器。其中,所述存储器用于存储若干个指令,所述指令被配置成由所述处理器执行;
所述处理器,用于在用户设备UE与网络服务器建立连接的过程中,代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接;
所述接收器,用于从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文;
所述处理器,还用于根据所述接收器接收的所述加密上下文生成第一密钥;
所述接收器,还用于接收所述UE发送的密文;
所述处理器,还用于使用所述第一密钥解密所述密文,对得到的业务信息进行处理;
所述发射器,用于通过所述第二加密连接将所述处理器处理后的所述业务信息发送给所述网络服务器,所述密文由所述UE使用第二密钥对所述业务信息进行加密得到,所述第一密钥与所述第二密钥对应,所述第二密钥由所述UE根据所述加密上下文生成。
在第五方面的第一种可能的实现方式中,所述接收器,还用于截获所述UE向所述网络服务器发送的传输控制协议TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求;
所述处理器,还用于根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述接收器,还用于截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求;
所述处理器,还用于根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
在第五方面的第二种可能的实现方式中,所述接收器,还用于截获所述UE向隧道网关发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述处理器,还用于根据所述隧道网关的IP地址,代替所述隧道网关与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述UE通过所述TCP连接向所述隧道网关发送的加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接;
所述发射器,还用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述隧道网关用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
在第五方面的第三种可能的实现方式中,所述接收器,还用于截获隧道网关向所述网络服务器发送的TCP建立请求,所述TCP建立请求是所述隧道网关与所述UE建立TCP连接后发送的,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,所述隧道网关位于所述UE和所述代理节点之间;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述隧道网关建立TCP连接,并根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述隧道网关通过所述TCP连接向所述网络服务器发送的加密建立请求,所述加密建立请求由所述UE通过所述TCP连接发送给所述隧道网关,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接;
所述发射器,还用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
结合第五方面的第一种可能的实现方式或第五方面的第二种可能的实现方式或第五方面的第三种可能的实现方式,在第五方面的第四种可能的实现方式中,所述发射器,还用于向密钥服务器发送携带有所述TCP连接的连接标识的获取请求,所述获取请求用于指示所述密钥服务器根据所述连接标识确定所述UE,向所述UE转发所述获取请求,并接收所述UE根据所述连接标识发送的所述加密上下文,将所述加密上下文转发给所述代理节点;所述接收器,还用于接收所述密钥服务器转发的所述加密上下文;或者,
所述发射器,还用于向所述UE发送携带有所述TCP连接的连接标识的获取请求,所述获取请求用于指示所述UE根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;所述接收器,还用于接收所述密钥服务器转发的所述加密上下文;或者,
所述接收器,还用于接收密钥服务器转发的所述加密上下文,所述加密上下文是所述密钥服务器接收所述UE发送的所述加密上下文和所述TCP连接的连接标识,根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
第六方面,提供了一种业务处理装置,用于用户设备UE中,所述装置包括:总线,以及连接到所述总线的处理器、存储器、发射器和接收器。其中,所述存储器用于存储若干个指令,所述指令被配置成由所述处理器执行;
所述处理器,用于在与网络服务器建立连接的过程中,与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接;
所述发射器,用于向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,所述加密上下文用于指示所述代理节点根据所述加密上下文生成第一密钥;且所述处理器,还用于根据所述加密上下文生成第二密钥,所述第二密钥与所述第一密钥对应;
所述处理器,还用于使用所述第二密钥对业务信息进行加密;
所述发射器,还用于将所述处理器得到的密文发送给所述代理节点,所述密文用于指示所述代理节点使用所述第一密钥解密所述密文,对得到的所述业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器。
在第六方面的第一种可能的实现方式中,所述发射器,还用于向所述网络服务器发送传输控制协议TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述发射器,还用于通过所述TCP连接向所述网络服务器发送加密建立请求;
所述处理器,还用于根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述发射器,还用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述发射器,还用于通过所述TCP连接向所述网络服务器发送加密建立请求;
所述处理器,还用于根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
在第六方面的第二种可能的实现方式中,所述发射器,还用于向隧道网关发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述处理器,还用于根据所述代理节点截获所述TCP建立请求后得到的所述隧道网关的IP地址,与代替所述隧道网关的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述发射器,还用于通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述加密建立请求用于指示所述隧道网关通过所述TCP连接将所述加密建立请求转发给所述网络服务器,并指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
在第六方面的第三种可能的实现方式中,所述处理器,还用于与隧道网关建立TCP连接,所述隧道网关用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接,所述隧道网关位于所述UE和所述代理节点之间;
所述发射器,还用于通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求用于指示所述隧道网关向所述网络服务器转发所述加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
结合第六方面的第一种可能的实现方式或第六方面的第二种可能的实现方式或第六方面的第三种可能的实现方式,在第六方面的第一种可能的实现方式中,所述接收器,用于接收密钥服务器转发的携带有所述TCP连接的连接标识的获取请求,所述发射器,还用于根据所述连接标识向所述密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点,所述获取请求由所述代理节点发送给所述密钥服务器,且所述密钥服务器根据所述连接标识确定所述UE后发送的;或者,
所述接收器,用于接收所述代理节点发送的携带有所述TCP连接的连接标识的获取请求,所述发射器,还用于根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;或者,
所述接收器,用于向密钥服务器发送所述加密上下文和所述TCP连接的连接标识,所述加密上下文是所述密钥服务器根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
本发明实施例提供的技术方案的有益效果是:
通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种业务处理方法的方法流程图;
图2是本发明实施例提供的一种业务处理方法的方法流程图;
图3A是本发明实施例提供的第一种业务处理方法的方法流程图;
图3B是本发明实施例提供的第一种业务处理方法的实施示意图;
图4A是本发明实施例提供的第二种业务处理方法的方法流程图;
图4B是本发明实施例提供的第一种业务处理方法的实施示意图;
图5A是本发明实施例提供的第三种业务处理方法的方法流程图;
图5B是本发明实施例提供的第一种业务处理方法的实施示意图;
图6A是本发明实施例提供的第四种业务处理方法的方法流程图;
图6B是本发明实施例提供的第一种业务处理方法的实施示意图;
图7是本发明实施例提供的一种业务处理装置的结构示意图;
图8是本发明实施例提供的一种业务处理装置的结构示意图;
图9是本发明实施例提供的一种业务处理装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参见图1,其示出了本发明实施例提供的一种业务处理方法的方法流程图。该业务处理方法可以包括:
步骤101,在UE与网络服务器建立连接的过程中,代理节点代替网络服务器与UE建立第一加密连接,并与网络服务器建立第二加密连接。
步骤102,代理节点从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥。
步骤103,代理节点接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器,密文由UE使用第二密钥对业务信息进行加密得到,第一密钥与第二密钥对应,第二密钥由UE根据加密上下文生成。
综上所述,本发明实施例提供的业务处理方法,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参见图2,其示出了本发明实施例提供的一种业务处理方法的方法流程图。该业务处理方法可以包括:
步骤201,在与网络服务器建立连接的过程中,UE与代替网络服务器的代理节点建立第一加密连接,代理节点用于与网络服务器建立第二加密连接。
步骤202,UE向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥;且UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应。
步骤203,UE使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
综上所述,本发明实施例提供的业务处理方法,通过与代替网络服务器的代理节点建立第一加密连接,向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥,使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参见图3A,其示出了本发明实施例提供的又一种业务处理方法的方法流程图。该业务处理方法,可以包括:
步骤301,UE向网络服务器发送传输控制协议(英文:Transmission ControlProtocol;简称:TCP)建立请求,该TCP建立请求包括UE的因特网协议(英文:InternetProtocol;简称:IP)地址和网络服务器的IP地址。
若UE需要访问网络服务器,需要先与网络服务器建立连接,该连接可以是基于超文本传输协议(英文:hyper text transfer protocol;简称:HTTP)的非加密连接,也可以是基于下层使用了SSL协议/TLS协议的超文本传输安全协议(英文:hyper text transferprotocol over secure socket layer;简称:HTTPS)的加密连接,UE再通过该连接访问网络服务器。本实施例以用户代理与网络服务器建立加密连接为例进行说明,由于在建立加密连接之前需要先建立TCP连接,则UE需要先向网络服务器发送TCP建立请求。
其中,TCP建立请求中的信息包括源端IP地址,源端端口,目的端IP地址,目的端端口,源端为UE,目的端为网络服务器。TCP连接的端口包括80端口和443端口,若用户代理需要基于HTTP协议访问网络服务器,则TCP连接的端口为80端口;若用户代理需要基于HTTPS协议访问网络服务器,则TCP连接的端口为443端口。本实施例以用户代理基于HTTPS协议访问网络服务器为例进行说明,此时,TCP连接的端口为443端口。
步骤302,代理节点截获UE向网络服务器发送的TCP建立请求。
步骤303,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接,并根据UE的IP地址,代替UE与网络服务器建立TCP连接。
具体地,在TCP连接的三次握手阶段,代理节点使用网络服务器的IP地址作为代理节点的源端IP地址,UE的IP地址作为目的端IP地址,与UE交互完成三次握手,代替网络服务器与UE建立TCP连接。
代理节点向网络服务器发送TCP建立请求,该TCP建立请求中的源端IP地址为UE的IP地址,目的端IP地址为网络服务器的IP地址。在TCP连接的三次握手阶段,代理节点使用UE的IP地址作为代理节点的源端IP地址,网络服务器的IP地址作为目的端IP地址,与网络服务器交互完成三次握手,代替UE与网络服务器建立TCP连接。
步骤304,UE通过TCP连接向网络服务器发送加密建立请求。
在UE与代理节点之间以及代理节点与网络服务器之间的TCP连接建立完成后,UE、代理节点和网络服务器之间形成通路,此时,UE可以通过TCP连接向网络服务器发送加密建立连接。
步骤305,代理节点截获UE通过TCP连接向网络服务器发送的加密建立请求,根据加密建立请求,代替网络服务器与UE建立第一加密连接,并根据加密建立请求,代替UE与网络服务器建立第二加密连接。
由于基于SSL协议的加密连接和基于TLS协议的加密连接的建立过程类似,下文以基于TLS协议的加密连接为例进行说明。
1),代理节点截获UE向网络服务器发送的TLS协议版本号、加密算法列表和第一随机数,并将TLS协议版本号、加密算法列表和第一随机数转发给网络服务器。
2),若网络服务器支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,向UE发送TLS协议版本号、加密算法、会话标识和第二随机数。
3),代理节点截获网络服务器向UE发送的TLS协议版本号、加密算法、会话标识和第二随机数,并将TLS协议版本号、加密算法、会话标识和第二随机数转发给UE。
4),代理节点截获网络服务器向UE发送的网络服务器的数字证书,并将数字证书转发给UE。
5),代理节点截获网络服务器向UE发送的第一完成消息,并将第一完成消息转发给UE。
6),UE对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向网络服务器发送得到的公钥交换信息。
此时,UE根据第一随机数、第二随机数、预主密钥和加密算法生成第二密钥,本实施例将第一随机数、第二随机数、预主密钥和加密算法称为加密上下文;或,本实施例将预主密钥称为加密上下文。
7),代理节点截获UE向网络服务器发送的公钥交换信息,并将公钥交换信息转发给网络服务器。
8),代理节点截获UE向网络服务器发送的更改密码说明,并将更改密码说明转发给网络服务器,通知网络服务器启动协商好的参数。
9),代理节点截获UE向网络服务器发送的第二完成消息,并将第二完成消息转发给网络服务器。
其中,第二完成消息包括哈希值,以便网络服务器根据哈希值进行验证,该哈希值是UE对发送给网络服务器的所有内容进行哈希运算得到的。
10),代理节点截获网络服务器向UE发送的更改密码说明,并将更改密码说明转发给UE,通知UE启动协商好的参数。
此时,网络服务器使用私钥解密公钥交换信息,得到预主密钥,根据第一随机数、第二随机数、预主密钥和加密算法生成第一密钥。
11),代理节点截获网络服务器向UE发送的第三完成消息,并将第三完成消息转发给UE。
其中,第三完成消息包括哈希值,以便UE根据哈希值进行验证,该哈希值是网络服务器对发送给UE的所有内容进行哈希运算得到的。
步骤306,UE向代理节点提供在第一加密连接的建立过程中生成的加密上下文。
虽然代理节点根据加密建立请求,代替网络服务器与UE建立第一加密连接,并代替UE与网络服务器建立第二加密连接,但是,由于代理节点中没有网络服务器的私钥,因此,代理节点无法解密公钥交换信息,从而无法获取第一密钥。本实施例中,代理节点可以从UE获取加密上下文,并根据加密上下文计算第一密钥。其中,代理节点计算第一密钥的步骤最晚需要在接收到UE发送的密文时执行,密文是UE使用第二密钥对业务信息进行加密后得到的。在一种可能的实现方式中,代理节点在建立加密连接的过程中计算第一密钥,这样,在接收到密文后,代理节点可以直接使用第一密钥对密文进行解密,以提高对业务信息的响应速度。
本实施例中,UE向代理节点提供加密上下文需要通过密钥服务器,密钥服务器用于管理加密上下文,可以是可信且权威的服务器,如运营商服务器等。例如,密钥服务器的域名为KeyServer1.node.epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org。
通常,密钥服务器与代理节点属于同一运营商,且密钥服务器与代理节点可以部署于同一实体,也可以部署于不同的实体,本实施例不作限定。当密钥服务器与代理节点部署于不同的实体时,UE和代理节点需要分别与密钥服务器建立加密连接。其中,UE与密钥服务器之间的交互可以基于SSL/TLS协议、因特网协议安全性(英文:Internet ProtocolSecurity;简称:IPSEC)、非接入层(英文:Non-access stratum;简称:NAS)消息等等。代理节点与密钥服务器之间的交互可以基于SSL/TLS协议、IPSEC等等。其中,UE可以在开机时与密钥服务器建立加密连接,也可以在通信过程中与密钥服务器建立加密连接。
其中,UE在与密钥服务器建立加密连接之前,还需要先发现密钥服务器。本实施例提供了三种UE发现密钥服务器的发现方式,下面分别对这三种发现方式进行介绍。
在第一种发现方式中,在UE中配置多个密钥服务器的IP地址或域名,UE可以根据IP地址或域名轮流与密钥服务器建立加密连接。
在第二种发现方式中,代理节点可以确定为之服务的一个密钥服务器,如距离自身最近的一个密钥服务器,将该密钥服务器的服务器标识发送给UE,UE根据该服务器标识与密钥服务器建立加密连接。
在第三种发现方式中,当代理节点和密钥服务器同时位于PDN网关(英文:PDNGateWay;简称:PGW)中时,由于UE需要接入PGW,由PGW为UE分配IP地址,因此,UE可以直接确定密钥服务器,并与该密钥服务器建立加密连接。
本实施例提供了三种UE向代理节点提供加密上下文的实现方式,下面分别对这三种实现方式进行介绍。
在第一种实现方式中,代理节点向密钥服务器发送携带有TCP连接的连接标识的获取请求,获取请求用于指示密钥服务器根据连接标识确定UE,向UE转发获取请求,UE接收密钥服务器转发的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,密钥服务器用于将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
其中,连接标识用于标识TCP连接。例如,连接标识可以是IP五元组,此时IP五元组包括源端IP地址、源端端口、目的端IP地址、目的端端口和传输协议TCP,密钥服务器可以根据源端IP地址确定UE,并向UE转发获取请求。UE在接收到获取请求后,根据目的端IP地址确定网络服务器,再获取与代替该网络服务器与代理节点所建立的第一加密连接的加密上下文,将该加密上下文发送给密钥服务器。由于代理节点在向密钥服务器发送获取请求时会携带代理节点的IP地址,因此,密钥服务器再根据该IP地址将加密上下文转发给代理节点。
在第二种实现方式中,代理节点向UE发送携带有TCP连接的连接标识的获取请求,UE接收代理节点发送的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
获取请求中还包括代理节点的IP地址,使得UE根据连接标识确定加密上下文后,将代理节点的IP地址和加密上下文发送给密钥服务器,密钥服务器根据代理节点的IP地址确定代理节点,并将加密上下文发送给代理节点。或者,当代理节点部署于PGW且该PGW为UE分配IP地址时,密钥服务器中存储有该PGW与UE之间的对应关系,则在接收到UE发送的加密上下文和UE的IP地址后,密钥服务器根据UE和对应关系确定代理节点,再将加密上下文发送给代理节点。
其中,PGW可以在为UE分配IP地址后,将PGW与UE的对应关系推送给密钥服务器;或者,密钥服务器可以定时向PGW请求PGW与UE的对应关系;或者,PGW可以在接收到加密上下文和UE的IP地址后,向PGW请求PGW与UE的对应关系等等,本实施例不作限定。
在第三种实现方式中,UE向密钥服务器发送加密上下文和TCP连接的连接标识,加密上下文是密钥服务器根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,代理节点接收密钥服务器转发的加密上下文,对应关系用于指示连接标识与代理节点之间的关系。
UE可以在生成加密上下文后,将加密上下文和UE的IP地址推送给密钥服务器,密钥服务器中存储有该PGW与UE之间的对应关系,则在接收到UE发送的加密上下文和UE的IP地址后,密钥服务器根据UE和对应关系确定代理节点,再将加密上下文发送给代理节点。其中,密钥服务器获取PGW与UE的对应关系的过程如第二种实现方式中所述,此处不作赘述。
可选的,UE还可以在满足触发条件后将加密上下文和UE的IP地址推送给密钥服务器。例如,UE在检测到当前接入的是第三代移动通信(英文:third generation;简称:3G)网络,而不是无线保真(英文:Wireless Fidelity;简称:WiFi)网络时,将加密上下文和UE的IP地址推送给密钥服务器。
需要说明的是,当代理节点和密钥服务器部署于同一实体时,代理节点与密钥服务器可以通过内部模块交互;UE与密钥服务器之间传输的数据需要进行加密。当代理节点和密钥服务器部署于不同的实体时,代理节点与密钥服务器之间传输的数据需要进行加密,且UE与密钥服务器之间传输的数据需要进行加密,本实施例不作赘述。
另外,当多个代理节点同时为UE提供服务时,UE只需要与密钥服务器建立加密连接,即可将加密上下文提供给多个代理节点。
步骤307,代理节点根据加密上下文生成第一密钥。
当代理节点获取的加密上下文为预主密钥时,代理节点可以读取在第一加密连接建立过程中缓存的第一随机数、第二随机数和加密算法,根据第一随机数、第二随机数、预主密钥和加密算法生成第一密钥。或者,当代理节点获取的加密上下文包括第一随机数、第二随机数、预主密钥和加密算法时,代理节点直接根据第一随机数、第二随机数、预主密钥和加密算法生成第一密钥。
步骤308,UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应。
其中,步骤308可以在UE与代理节点建立第一加密连接的过程中执行。
步骤309,UE使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点。
步骤310,代理节点接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
本实施例中,代理节点可以选择性地对业务信息进行处理。例如,代理节点对发往网络服务器1的业务信息进行处理,对发往网络服务器2的业务信息不进行处理等等,本实施例不作限定。
可选的,当UE漫游时,密钥服务器和代理节点可以在漫游网络上,也可以在家乡网络上,本实施例不作限定。
可选的,在代理节点通过第二加密连接将业务信息发送给网络服务器后,还可以接收网络服务器通过第二加密连接发送的业务数据,代理节点使用第一密钥对业务数据进行加密,将得到的密文发送给UE,UE使用第二密钥对密文进行解密,得到业务数据。
请参考图3B,为了便于理解,本实施例以密钥服务器为KEY Server、代理节点为TLS Proxy、网络服务器为Server为例,对本实施例的实施过程进行描述。
1、UE与KEY Server建立加密连接,TLS Proxy与KEY Server建立加密连接。
2、UE与TLS Proxy建立TCP连接,TLS Proxy与Server建立TCP连接。
具体地,TLS Proxy截获UE向Server发送的TCP建立请求,根据Server的IP地址,代替Server与UE建立TCP连接,并根据UE的IP地址,代替UE与Server建立TCP连接。
3、TLS Proxy截获UE向Server发送的TLS协议版本号、加密算法列表和第一随机数,并将TLS协议版本号、加密算法列表和第一随机数转发给Server。
4、若Server支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,向UE发送TLS协议版本号、加密算法、会话标识和第二随机数,TLSProxy截获Server向UE发送的TLS协议版本号、加密算法、会话标识和第二随机数,并将TLS协议版本号、加密算法、会话标识和第二随机数转发给UE。
5、Server向UE发送数字证书,TLS Proxy截获该数字证书,并将该数字证书转发给UE。
6、Server向UE发送第一完成消息,TLS Proxy截获该第一完成消息,并将该第一完成消息转发给UE。
7、UE对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向Server发送得到的公钥交换信息,TLS Proxy截获该公钥交换信息,并将该公钥交换信息转发给Server。
8、TLS Proxy向KEY Server发送获取请求,KEY Server向UE转发获取请求,UE接收KEY Server转发的获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,TLS Proxy向UE发送获取请求,UE接收获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,UE向KEY Server发送加密上下文,KEY Server确定TLS Proxy,将加密上下文转发给TLS Proxy。
9、UE向Server发送更改密码说明,TLS Proxy截获该更改密码说明,并将该更改密码说明转发给Server。
10、UE向Server发送第二完成消息,TLS Proxy截获该第二完成消息,并将该第二完成消息转发给Server。
11、Server向UE发送更改密码说明,TLS Proxy截获该更改密码说明,并将该更改密码说明转发给UE,通知UE启动协商好的参数。
12、Server向UE发送第三完成消息,TLS Proxy截获该第三完成消息,并将该第三完成消息转发给UE。
综上所述,本发明实施例提供的业务处理方法,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参见图4A,其示出了本发明实施例提供的又一种业务处理方法的方法流程图。该业务处理方法,可以包括:
步骤401,UE向网络服务器发送TCP建立请求,该TCP建立请求包括UE的IP地址和网络服务器的IP地址。
步骤402,代理节点截获UE向网络服务器发送的TCP建立请求。
步骤401-402的内容与步骤301-302的内容相同,此处不作赘述。
步骤403,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接,并根据代理节点的IP地址与网络服务器建立TCP连接。
其中,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接的过程详见步骤303中的描述,此处不作赘述。
本实施例中,代理节点根据自身的IP地址与网络服务器建立TCP连接,此过程为现有技术,本实施例不作赘述。
步骤404,UE通过TCP连接向网络服务器发送加密建立请求。
在UE与代理节点之间以及代理节点与网络服务器之间的TCP连接建立完成后,UE、代理节点和网络服务器之间形成通路,此时,UE可以通过TCP连接向网络服务器发送加密建立连接。
步骤405,代理节点截获UE通过TCP连接向网络服务器发送的加密建立请求,根据加密建立请求,代替网络服务器与UE建立第一加密连接,并根据代理节点的IP地址与网络服务器建立第二加密连接。
由于基于SSL协议的加密连接和基于TLS协议的加密连接的建立过程类似,下文以基于TLS协议的加密连接为例,对代理节点根据加密建立请求,代替网络服务器与UE建立第一加密连接的过程进行说明。
1),代理节点截获UE向网络服务器发送的TLS协议版本号、加密算法列表和第一随机数。
2),若代理节点支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,向UE发送TLS协议版本号、加密算法、会话标识和第二随机数。
3),代理节点获取网络服务器的数字证书,并将数字证书转发给UE。
4),代理节点向UE发送第一完成消息。
5),UE对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向网络服务器发送得到的公钥交换信息。
此时,UE根据第一随机数、第二随机数、预主密钥和加密算法生成第二密钥,本实施例将第一随机数、第二随机数、预主密钥和加密算法称为加密上下文;或,本实施例将预主密钥称为加密上下文。
6),代理节点截获UE向网络服务器发送的公钥交换信息。
7),代理节点截获UE向网络服务器发送的更改密码说明,通知网络服务器启动协商好的参数。
8),代理节点截获UE向网络服务器发送的第二完成消息。
其中,第二完成消息包括哈希值,以便代理节点根据哈希值进行验证,该哈希值是UE对发送给网络服务器的所有内容进行哈希运算得到的。
9),代理节点向UE发送更改密码说明,通知UE启动协商好的参数。
10),代理节点向UE发送第三完成消息。
其中,第三完成消息包括哈希值,以便UE根据哈希值进行验证,该哈希值是代理节点对发送给UE的所有内容进行哈希运算得到的。
下文以基于TLS协议的加密连接为例,对代理节点根据代理节点的IP地址与网络服务器建立第二加密连接的过程进行说明。
1),代理节点向网络服务器发送的TLS协议版本号、加密算法列表和第一随机数。
2),若网络服务器支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,向代理节点发送TLS协议版本号、加密算法、会话标识和第二随机数。
3),网络服务器向代理节点发送网络服务器的数字证书。
4),网络服务器向代理节点发送第一完成消息。
5),代理节点对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向网络服务器发送得到的公钥交换信息。
此时,代理节点根据第一随机数、第二随机数、预主密钥和加密算法生成第二密钥,本实施例将第一随机数、第二随机数、预主密钥和加密算法称为加密上下文;或,本实施例将预主密钥称为加密上下文。
6),代理节点向网络服务器发送公钥交换信息。
7),代理节点向网络服务器发送更改密码说明,通知网络服务器启动协商好的参数。
8),代理节点向网络服务器发送第二完成消息。
其中,第二完成消息包括哈希值,以便网络服务器根据哈希值进行验证,该哈希值是代理节点对发送给网络服务器的所有内容进行哈希运算得到的。
9),网络服务器向代理节点发送更改密码说明,通知代理节点启动协商好的参数。
10),网络服务器向代理节点发送第三完成消息。
其中,第三完成消息包括哈希值,以便代理节点根据哈希值进行验证,该哈希值是网络服务器对发送给UE的所有内容进行哈希运算得到的。
步骤406,UE向代理节点提供在第一加密连接的建立过程中生成的加密上下文。
本实施例提供了三种UE向代理节点提供加密上下文的实现方式,下面分别对这三种实现方式进行介绍。
在第一种实现方式中,代理节点向密钥服务器发送携带有TCP连接的连接标识的获取请求,获取请求用于指示密钥服务器根据连接标识确定UE,向UE转发获取请求,UE接收密钥服务器转发的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,密钥服务器用于将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
在第二种实现方式中,代理节点向UE发送携带有TCP连接的连接标识的获取请求,UE接收代理节点发送的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
在第三种实现方式中,UE向密钥服务器发送加密上下文和TCP连接的连接标识,加密上下文是密钥服务器根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,代理节点接收密钥服务器转发的加密上下文,对应关系用于指示连接标识与代理节点之间的关系。
步骤407,代理节点根据加密上下文生成第一密钥。
步骤408,UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应。
步骤409,UE使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点。
步骤410,代理节点接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
其中,步骤406-410的内容与步骤306-310的内容相同,此处不作赘述。
请参考图4B,为了便于理解,本实施例以密钥服务器为KEY Server、代理节点为TLS Proxy、网络服务器为Server为例,对本实施例的实施过程进行描述。
1、UE与KEY Server建立加密连接,TLS Proxy与KEY Server建立加密连接。
2、UE与TLS Proxy建立TCP连接,TLS Proxy与Server建立TCP连接。
具体地,TLS Proxy截获UE向Server发送的TCP建立请求,根据Server的IP地址,代替Server与UE建立TCP连接,并根据TLS Proxy的IP地址与Server建立TCP连接。
3、TLS Proxy截获UE向Server发送的TLS协议版本号、加密算法列表和第一随机数。
4、TLS Proxy根据TLS Proxy的IP地址与Server建立TLS连接。
5、若TLS Proxy支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,向UE发送TLS协议版本号、加密算法、会话标识和第二随机数。
6、TLS Proxy向UE发送Server的数字证书。
7、TLS Proxy向UE发送第一完成消息。
8、UE对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向Server发送得到的公钥交换信息,TLS Proxy截获该公钥交换信息。
9、TLS Proxy向KEY Server发送获取请求,KEY Server向UE转发获取请求,UE接收KEY Server转发的获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,TLS Proxy向UE发送获取请求,UE接收获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,UE向KEY Server发送加密上下文,KEY Server确定TLS Proxy,将加密上下文转发给TLS Proxy。
10、UE向Server发送更改密码说明,TLS Proxy截获该更改密码说明。
11、UE向Server发送第二完成消息,TLS Proxy截获该第二完成消息。
12、TLS Proxy向UE发送更改密码说明,通知UE启动协商好的参数。
13、TLS Proxy向UE发送第三完成消息。
综上所述,本发明实施例提供的业务处理方法,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参见图5A,其示出了本发明实施例提供的又一种业务处理方法的方法流程图。该业务处理方法,可以包括:
步骤501,UE向隧道网关发送TCP建立请求,TCP建立请求包括UE的IP地址和隧道网关的IP地址,隧道网关位于代理节点和网络服务器之间。
CONNECT方法请求与隧道网关创建一条到达任意网络服务器和端口的TCP连接,并对UE和网络服务器之间的后续数据进行盲转发。其中,隧道网关可以是HTTP代理。
步骤502,代理节点截获UE向隧道网关发送的TCP建立请求。
步骤503,代理节点根据隧道网关的IP地址,代替隧道网关与UE建立TCP连接,并根据UE的IP地址,代替UE与隧道网关建立TCP连接,触发隧道网关根据隧道网关的IP地址与网络服务器建立TCP连接。
具体地,在TCP连接的三次握手阶段,代理节点使用隧道网关的IP地址作为代理节点的源端IP地址,UE的IP地址作为目的端IP地址,与UE交互完成三次握手,代替隧道网关与UE建立TCP连接。
代理节点向隧道网关发送TCP建立请求,该TCP建立请求中的源端IP地址为UE的IP地址,目的端IP地址为隧道网关的IP地址。在TCP连接的三次握手阶段,代理节点使用UE的IP地址作为代理节点的源端IP地址,隧道网关的IP地址作为目的端IP地址,与隧道网关交互完成三次握手,代替UE与隧道网关建立TCP连接。
另外,隧道网关还需要向网络服务器发送TCP建立请求,此过程为现有技术,本实施例不作赘述。
步骤504,UE通过TCP连接向隧道网关发送加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址。
在UE与代理节点之间、代理节点与隧道网关之间以及隧道网关与网络服务器之间的TCP连接建立完成后,UE、代理节点、隧道网关和网络服务器之间形成通路,此时,UE可以通过TCP连接向网络服务器发送加密建立连接。
步骤505,代理节点截获UE通过TCP连接向隧道网关发送的加密建立请求。
本实施例中,由于UE并不能感知到代理节点的存在,因此,UE认为与隧道网关建立了TCP连接,从而通过TCP连接向隧道网关发送加密建立请求,以便隧道网关将加密建立请求盲转发给网络服务器,此时,代理节点可以截获UE通过TCP连接向隧道网关发送的加密建立请求。
其中,当网络服务器的域名为www.ottserver.com时,connect连接为:CONNECTwww.ottserver.com:443 HTTP1.1。当然,HTTP的协议版本除了可以为1.1,还可以为其它,本实施例不作限定。
步骤506,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接,并通过TCP连接将加密建立请求转发给隧道网关,隧道网关用于通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
其中,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接的过程详见步骤305中的描述,此处不作赘述。
代理节点还需要将加密建立请求转发给隧道网关,隧道网关将该加密建立请求盲转发给网络服务器,网络服务器根据加密建立请求中携带的UE的IP地址,与代替UE的代理节点建立第二加密连接。其中,代理节点代替UE与网络服务器建立第二加密连接的过程详见步骤305中的描述,此处不作赘述。
步骤507,UE向代理节点提供在第一加密连接的建立过程中生成的加密上下文。
本实施例提供了三种UE向代理节点提供加密上下文的实现方式,下面分别对这三种实现方式进行介绍。
在第一种实现方式中,代理节点向密钥服务器发送携带有TCP连接的连接标识的获取请求,获取请求用于指示密钥服务器根据连接标识确定UE,向UE转发获取请求,UE接收密钥服务器转发的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,密钥服务器用于将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
在第二种实现方式中,代理节点向UE发送携带有TCP连接的连接标识的获取请求,UE接收代理节点发送的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
在第三种实现方式中,UE向密钥服务器发送加密上下文和TCP连接的连接标识,加密上下文是密钥服务器根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,代理节点接收密钥服务器转发的加密上下文,对应关系用于指示连接标识与代理节点之间的关系。
步骤508,代理节点根据加密上下文生成第一密钥。
步骤509,UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应。
步骤510,UE使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点。
步骤511,代理节点接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
其中,步骤507-511的内容与步骤306-310的内容相同,此处不作赘述。
请参考图5B,为了便于理解,本实施例以密钥服务器为KEY Server、代理节点为TLS Proxy、隧道网关为HTTP Proxy、网络服务器为Server为例,对本实施例的实施过程进行描述。
1、UE与KEY Server建立加密连接,TLS Proxy与KEY Server建立加密连接。
2、UE与TLS Proxy建立TCP连接,TLS Proxy与HTTP Proxy建立TCP连接,HTTPProxy与Server建立TCP连接。
具体地,TLS Proxy截获UE向HTTP Proxy发送的TCP建立请求,根据HTTP Proxy的IP地址,代替HTTP Proxy与UE建立TCP连接,并根据UE的IP地址,代替UE与HTTP Proxy建立TCP连接,HTTP Proxy再与Server建立TCP连接。
3、TLS Proxy截获UE向HTTP Proxy发送的TLS协议版本号、加密算法列表和第一随机数,并将TLS协议版本号、加密算法列表和第一随机数转发给HTTP Proxy,HTTP Proxy将TLS协议版本号、加密算法列表和第一随机数转发给Server。
4、若Server支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,向HTTP Proxy发送TLS协议版本号、加密算法、会话标识和第二随机数,TLS Proxy截获HTTPProxy向UE发送的TLS协议版本号、加密算法、会话标识和第二随机数,并将TLS协议版本号、加密算法、会话标识和第二随机数转发给UE。
5、Server向HTTP Proxy发送数字证书,TLS Proxy截获HTTP Proxy向UE转发的该数字证书,并将该数字证书转发给UE。
6、Server向HTTP Proxy发送第一完成消息,TLS Proxy截获HTTP Proxy向UE转发的该第一完成消息,并将该第一完成消息转发给UE。
7、UE对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向HTTP Proxy发送得到的公钥交换信息,TLS Proxy截获该公钥交换信息,并将该公钥交换信息转发给HTTPProxy,HTTP Proxy将该公钥交换信息转发给Server。
8、TLS Proxy向KEY Server发送获取请求,KEY Server向UE转发获取请求,UE接收KEY Server转发的获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,TLS Proxy向UE发送获取请求,UE接收获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,UE向KEY Server发送加密上下文,KEY Server确定TLS Proxy,将加密上下文转发给TLS Proxy。
9、UE向HTTP Proxy发送更改密码说明,TLS Proxy截获该更改密码说明,并将该更改密码说明转发给HTTP Proxy,HTTP Proxy将该更改密码说明转发给Server。
10、UE向HTTP Proxy发送第二完成消息,TLS Proxy截获该第二完成消息,并将该第二完成消息转发给HTTP Proxy,HTTP Proxy将该第二完成消息转发给Server。
11、Server向HTTP Proxy发送更改密码说明,TLS Proxy截获HTTP Proxy向UE转发的该更改密码说明,并将该更改密码说明转发给UE,通知UE启动协商好的参数。
12、Server向HTTP Proxy发送第三完成消息,TLS Proxy截获HTTP Proxy向UE转发的该第三完成消息,并将该第三完成消息转发给UE。
综上所述,本发明实施例提供的业务处理方法,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参见图6A,其示出了本发明实施例提供的又一种业务处理方法的方法流程图。该业务处理方法,可以包括:
步骤601,UE与隧道网关建立TCP连接,隧道网关用于向网络服务器发送TCP建立请求,TCP建立请求包括隧道网关的IP地址和网络服务器的IP地址,隧道网关位于UE和代理节点之间。
由于隧道网关位于UE与代理节点之间,因此,UE先与隧道网关建立TCP连接,该TCP连接建立过程为现有技术,此处不作赘述。在UE于隧道网关之间的TCP连接建立完成后,隧道网关需要与网络服务器建立TCP连接,从而保证UE与隧道网关之间以及隧道网关与网络服务器之间形成通路。
步骤602,代理节点截获隧道网关向网络服务器发送的TCP建立请求。
步骤603,代理节点根据网络服务器的IP地址,代替网络服务器与隧道网关建立TCP连接,并根据隧道网关的IP地址,代替隧道网关与网络服务器建立TCP连接。
具体地,在TCP连接的三次握手阶段,代理节点使用网络服务器的IP地址作为代理节点的源端IP地址,隧道网关的IP地址作为目的端IP地址,与隧道网关交互完成三次握手,代替网络服务器与隧道网关建立TCP连接。
代理节点向网络服务器发送TCP建立请求,该TCP建立请求中的源端IP地址为隧道网关的IP地址,目的端IP地址为网络服务器的IP地址。在TCP连接的三次握手阶段,代理节点使用隧道网关的IP地址作为代理节点的源端IP地址,网络服务器的IP地址作为目的端IP地址,与网络服务器交互完成三次握手,代替隧道网关与网络服务器建立TCP连接。
步骤604,UE通过TCP连接向隧道网关发送加密建立请求,加密建立请求用于指示隧道网关向网络服务器转发加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址。
在UE与代理节点之间、代理节点与隧道网关之间以及隧道网关与网络服务器之间的TCP连接建立完成后,UE、代理节点、隧道网关和网络服务器之间形成通路,此时,UE可以通过TCP连接向网络服务器发送加密建立连接。
步骤605,代理节点截获隧道网关通过TCP连接向网络服务器发送的加密建立请求。
步骤606,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接,并通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
其中,代理节点根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接的过程详见步骤305中的描述,此处不作赘述。
代理节点还需要将加密建立请求转发给网络服务器,网络服务器根据加密建立请求中携带的UE的IP地址,与代替UE的代理节点建立第二加密连接。其中,代理节点代替UE与网络服务器建立第二加密连接的过程详见步骤305中的描述,此处不作赘述。
步骤607,UE向代理节点提供在第一加密连接的建立过程中生成的加密上下文。
本实施例提供了三种UE向代理节点提供加密上下文的实现方式,下面分别对这三种实现方式进行介绍。
在第一种实现方式中,代理节点向密钥服务器发送携带有TCP连接的连接标识的获取请求,获取请求用于指示密钥服务器根据连接标识确定UE,向UE转发获取请求,UE接收密钥服务器转发的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,密钥服务器用于将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
在第二种实现方式中,代理节点向UE发送携带有TCP连接的连接标识的获取请求,UE接收代理节点发送的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点,代理节点接收密钥服务器转发的加密上下文。
在第三种实现方式中,UE向密钥服务器发送加密上下文和TCP连接的连接标识,加密上下文是密钥服务器根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,代理节点接收密钥服务器转发的加密上下文,对应关系用于指示连接标识与代理节点之间的关系。
步骤608,代理节点根据加密上下文生成第一密钥。
步骤609,UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应。
步骤610,UE使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点。
步骤611,代理节点接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
其中,步骤607-611的内容与步骤306-310的内容相同,此处不作赘述。
请参考图6B,为了便于理解,本实施例以密钥服务器为KEY Server、代理节点为TLS Proxy、隧道网关为HTTP Proxy、网络服务器为Server为例,对本实施例的实施过程进行描述。
1、UE与KEY Server建立加密连接,TLS Proxy与KEY Server建立加密连接。
2、UE与HTTP Proxy建立TCP连接,HTTP Proxy与TLS Proxy建立TCP连接,TLSProxy与Server建立TCP连接。
具体地,TLS Proxy截获HTTP Proxy向Server发送的TCP建立请求,根据Server的IP地址,代替Server与HTTP Proxy建立TCP连接,并根据HTTPProxy的IP地址,代替HTTPProxy与Server建立TCP连接。
3、UE向HTTP Proxy发送TLS协议版本号、加密算法列表和第一随机数,TLS Proxy截获HTTP Proxy向Server转发的TLS协议版本号、加密算法列表和第一随机数,并将TLS协议版本号、加密算法列表和第一随机数转发给Server。
4、若Server支持该TLS协议版本,则从加密算法列表中选择的一个加密算法,TLSProxy截获Server向HTTP Proxy发送TLS协议版本号、加密算法、会话标识和第二随机数,将TLS协议版本号、加密算法、会话标识和第二随机数转发给HTTP Proxy,HTTP Proxy将TLS协议版本号、加密算法、会话标识和第二随机数转发给UE。
5、TLS Proxy截获Server向HTTP Proxy发送的数字证书,将该数字证书转发给HTTP Proxy,HTTP Proxy将该数字证书转发给UE。
6、TLS Proxy截获Server向HTTP Proxy发送的第一完成消息,TLS Proxy将该第一完成消息转发给HTTP Proxy,HTTP Proxy将该第一完成消息转发给UE。
7、UE对数字证书进行验证,在验证通过后,获取数字证书中的公钥,生成预主密钥,并使用公钥加密预主密钥,向HTTP Proxy发送得到的公钥交换信息,TLS Proxy截获HTTP Proxy向Server转发的该公钥交换信息,并将该公钥交换信息转发给Server。
8、TLS Proxy向KEY Server发送获取请求,KEY Server向UE转发获取请求,UE接收KEY Server转发的获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,TLS Proxy向UE发送获取请求,UE接收获取请求,向KEY Server发送加密上下文,KEY Server将加密上下文转发给TLS Proxy;或者,UE向KEY Server发送加密上下文,KEY Server确定TLS Proxy,将加密上下文转发给TLS Proxy。
9、UE向HTTP Proxy发送更改密码说明,TLS Proxy截获HTTP Proxy向Server转发的该更改密码说明,并将该更改密码说明转发给Server。
10、UE向HTTP Proxy发送第二完成消息,TLS Proxy截获该第二完成消息,并将该第二完成消息转发给HTTP Proxy,HTTP Proxy将该第二完成消息转发给Server。
11、TLS Proxy截获Server向HTTP Proxy发送的更改密码说明,TLS Proxy将该更改密码说明转发给HTTP Proxy,HTTP Proxy将该更改密码说明转发给UE,通知UE启动协商好的参数。
12、TLS Proxy截获Server向HTTP Proxy发送的第三完成消息,TLS Proxy将该第三完成消息转发给HTTP Proxy,HTTP Proxy将该第三完成消息转发给UE。
综上所述,本发明实施例提供的业务处理方法,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参考图7,其示出了本发明实施例提供的一种业务处理装置的结构示意图。业务处理装置应用于代理节点中。该业务处理装置可以包括:
连接建立模块710,用于在UE与网络服务器建立连接的过程中,代替网络服务器与UE建立第一加密连接,并与网络服务器建立第二加密连接;
密钥生成模块720,用于从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥;
业务处理模块730,用于接收UE发送的密文,使用密钥生成模块720生成的第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器,密文由UE使用第二密钥对业务信息进行加密得到,第一密钥与第二密钥对应,第二密钥由UE根据加密上下文生成。
综上所述,本发明实施例提供的业务处理装置,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参考图7,其示出了本发明实施例提供的又一种业务处理装置的结构示意图。业务处理装置应用于代理节点中,该业务处理装置可以包括:
连接建立模块710,用于在UE与网络服务器建立连接的过程中,代替网络服务器与UE建立第一加密连接,并与网络服务器建立第二加密连接;
密钥生成模块720,用于从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥;
业务处理模块730,用于接收UE发送的密文,使用密钥生成模块720生成的第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器,密文由UE使用第二密钥对业务信息进行加密得到,第一密钥与第二密钥对应,第二密钥由UE根据加密上下文生成。
在第一种可能的实现方式中,连接建立模块710,具体用于:
截获UE向网络服务器发送的TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接,并根据UE的IP地址,代替UE与网络服务器建立TCP连接;
截获UE通过TCP连接向网络服务器发送的加密建立请求,根据加密建立请求,代替网络服务器与UE建立第一加密连接,并根据加密建立请求,代替UE与网络服务器建立第二加密连接;或者,
截获UE向网络服务器发送的TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接,并根据代理节点的IP地址与网络服务器建立TCP连接;
截获UE通过TCP连接向网络服务器发送的加密建立请求,根据加密建立请求,代替网络服务器与UE建立第一加密连接,并根据代理节点的IP地址与网络服务器建立第二加密连接。
在第二种可能的实现方式中,连接建立模块710,具体用于:
截获UE向隧道网关发送的TCP建立请求,TCP建立请求包括UE的IP地址和隧道网关的IP地址,隧道网关位于代理节点和网络服务器之间;
根据隧道网关的IP地址,代替隧道网关与UE建立TCP连接,并根据UE的IP地址,代替UE与隧道网关建立TCP连接,触发隧道网关根据隧道网关的IP地址与网络服务器建立TCP连接;
截获UE通过TCP连接向隧道网关发送的加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址;
根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接,并通过TCP连接将加密建立请求转发给隧道网关,隧道网关用于通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
在第三种可能的实现方式中,连接建立模块710,具体用于:
截获隧道网关向网络服务器发送的TCP建立请求,TCP建立请求是隧道网关与UE建立TCP连接后发送的,TCP建立请求包括隧道网关的IP地址和网络服务器的IP地址,隧道网关位于UE和代理节点之间;
根据网络服务器的IP地址,代替网络服务器与隧道网关建立TCP连接,并根据隧道网关的IP地址,代替隧道网关与网络服务器建立TCP连接;
截获隧道网关通过TCP连接向网络服务器发送的加密建立请求,加密建立请求由UE通过TCP连接发送给隧道网关,加密建立请求包括UE的IP地址和网络服务器的IP地址;
根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接,并通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
在第四种可能的实现方式中,密钥生成模块720,具体用于:
向密钥服务器发送携带有TCP连接的连接标识的获取请求,获取请求用于指示密钥服务器根据连接标识确定UE,向UE转发获取请求,并接收UE根据连接标识发送的加密上下文,将加密上下文转发给代理节点;接收密钥服务器转发的加密上下文;或者,
向UE发送携带有TCP连接的连接标识的获取请求,获取请求用于指示UE根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点;接收密钥服务器转发的加密上下文;或者,
接收密钥服务器转发的加密上下文,加密上下文是密钥服务器接收UE发送的加密上下文和TCP连接的连接标识,根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,对应关系用于指示连接标识与代理节点之间的关系。
综上所述,本发明实施例提供的业务处理装置,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参考图8,其示出了本发明实施例提供的一种业务处理装置的结构示意图。业务处理装置应用于UE中。该业务处理装置可以包括:
连接建立模块810,用于在与网络服务器建立连接的过程中,与代替网络服务器的代理节点建立第一加密连接,代理节点用于与网络服务器建立第二加密连接;
密钥提供模块820,用于向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥;且UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应;
密文发送模块830,用于使用密钥提供模块820生成的第二密钥对业务信息进行加密,将得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
综上所述,本发明实施例提供的业务处理装置,通过与代替网络服务器的代理节点建立第一加密连接,向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥,使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参考图8,其示出了本发明实施例提供的又一种业务处理装置的结构示意图。业务处理装置应用于UE中,该业务处理装置可以包括:
连接建立模块810,用于在与网络服务器建立连接的过程中,与代替网络服务器的代理节点建立第一加密连接,代理节点用于与网络服务器建立第二加密连接;
密钥提供模块820,用于向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥;且UE根据加密上下文生成第二密钥,第二密钥与第一密钥对应;
密文发送模块830,用于使用密钥提供模块820生成的第二密钥对业务信息进行加密,将得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
在第一种可能的实现方式中,连接建立模块810,具体用于:
向网络服务器发送TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
根据代理节点截获TCP建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立TCP连接,代理节点用于根据UE的IP地址,代替UE与网络服务器建立TCP连接;
通过TCP连接向网络服务器发送加密建立请求,根据代理节点截获的加密建立请求,与代替网络服务器的代理节点建立第一加密连接,代理节点用于根据加密建立请求,代替UE与网络服务器建立第二加密连接;或者,
向网络服务器发送TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
根据代理节点截获TCP建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立TCP连接,代理节点用于根据代理节点的IP地址与网络服务器建立TCP连接;
通过TCP连接向网络服务器发送加密建立请求,根据代理节点截获的加密建立请求,与代替网络服务器的代理节点建立第一加密连接,代理节点用于根据代理节点的IP地址与网络服务器建立第二加密连接。
在第二种可能的实现方式中,连接建立模块810,具体用于:
向隧道网关发送TCP建立请求,TCP建立请求包括UE的IP地址和隧道网关的IP地址,隧道网关位于代理节点和网络服务器之间;
根据代理节点截获TCP建立请求后得到的隧道网关的IP地址,与代替隧道网关的代理节点建立TCP连接,代理节点用于根据UE的IP地址,代替UE与隧道网关建立TCP连接,触发隧道网关根据隧道网关的IP地址与网络服务器建立TCP连接;
通过TCP连接向隧道网关发送加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址;
根据代理节点截获加密建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立第一加密连接,代理节点用于通过TCP连接将加密建立请求转发给隧道网关,加密建立请求用于指示隧道网关通过TCP连接将加密建立请求转发给网络服务器,并指示网络服务器与代替UE的代理节点建立第二加密连接。
在第三种可能的实现方式中,连接建立模块810,具体用于:
与隧道网关建立TCP连接,隧道网关用于向网络服务器发送TCP建立请求,TCP建立请求包括隧道网关的IP地址和网络服务器的IP地址,根据代理节点截获TCP建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立TCP连接,代理节点用于根据隧道网关的IP地址,代替隧道网关与网络服务器建立TCP连接,隧道网关位于UE和代理节点之间;
通过TCP连接向隧道网关发送加密建立请求,加密建立请求用于指示隧道网关向网络服务器转发加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址;
根据代理节点截获加密建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立第一加密连接,代理节点用于通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
在第四种可能的实现方式中,密钥提供模块820,具体用于:
接收密钥服务器转发的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点,获取请求由代理节点发送给密钥服务器,且密钥服务器根据连接标识确定UE后发送的;或者,
接收代理节点发送的携带有TCP连接的连接标识的获取请求,根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点;或者,
向密钥服务器发送加密上下文和TCP连接的连接标识,加密上下文是密钥服务器根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,对应关系用于指示连接标识与代理节点之间的关系。
综上所述,本发明实施例提供的业务处理装置,通过与代替网络服务器的代理节点建立第一加密连接,向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥,使用第二密钥对业务信息进行加密,将得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
请参考图9,其示出了本发明实施例提供的一种业务处理装置的结构示意图。该业务处理装置,可以包括:总线901,以及连接到总线的处理器902、存储器903、发射器904和接收器905。其中,存储器903用于存储若干个指令,指令被配置成由处理器902执行:
当该业务处理装置应用于代理节点中时:
处理器902,用于在UE与网络服务器建立连接的过程中,代替网络服务器与UE建立第一加密连接,并与网络服务器建立第二加密连接;
接收器905,用于从UE获取在第一加密连接的建立过程中生成的加密上下文;
处理器902,还用于根据接收器905接收的加密上下文生成第一密钥;
接收器905,还用于接收UE发送的密文;
处理器902,还用于使用第一密钥解密密文,对得到的业务信息进行处理;
发射器904,用于通过第二加密连接将处理器902处理后的业务信息发送给网络服务器,密文由UE使用第二密钥对业务信息进行加密得到,第一密钥与第二密钥对应,第二密钥由UE根据加密上下文生成。
在第一种可能的实现方式中,接收器905,还用于截获UE向网络服务器发送的TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接,并根据UE的IP地址,代替UE与网络服务器建立TCP连接;
接收器905,还用于截获UE通过TCP连接向网络服务器发送的加密建立请求;
处理器902,还用于根据加密建立请求,代替网络服务器与UE建立第一加密连接,并根据加密建立请求,代替UE与网络服务器建立第二加密连接;或者,
接收器905,还用于截获UE向网络服务器发送的TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据网络服务器的IP地址,代替网络服务器与UE建立TCP连接,并根据代理节点的IP地址与网络服务器建立TCP连接;
接收器905,还用于截获UE通过TCP连接向网络服务器发送的加密建立请求;
处理器902,还用于根据加密建立请求,代替网络服务器与UE建立第一加密连接,并根据代理节点的IP地址与网络服务器建立第二加密连接。
在第二种可能的实现方式中,接收器905,还用于截获UE向隧道网关发送的TCP建立请求,TCP建立请求包括UE的IP地址和隧道网关的IP地址,隧道网关位于代理节点和网络服务器之间;
处理器902,还用于根据隧道网关的IP地址,代替隧道网关与UE建立TCP连接,并根据UE的IP地址,代替UE与隧道网关建立TCP连接,触发隧道网关根据隧道网关的IP地址与网络服务器建立TCP连接;
接收器905,还用于截获UE通过TCP连接向隧道网关发送的加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接;
发射器904,还用于通过TCP连接将加密建立请求转发给隧道网关,隧道网关用于通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
在第三种可能的实现方式中,接收器905,还用于截获隧道网关向网络服务器发送的TCP建立请求,TCP建立请求是隧道网关与UE建立TCP连接后发送的,TCP建立请求包括隧道网关的IP地址和网络服务器的IP地址,隧道网关位于UE和代理节点之间;
处理器902,还用于根据网络服务器的IP地址,代替网络服务器与隧道网关建立TCP连接,并根据隧道网关的IP地址,代替隧道网关与网络服务器建立TCP连接;
接收器905,还用于截获隧道网关通过TCP连接向网络服务器发送的加密建立请求,加密建立请求由UE通过TCP连接发送给隧道网关,加密建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据网络服务器的IP地址,代替网络服务器与UE建立第一加密连接;
发射器904,还用于通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
在第四种可能的实现方式中,发射器904,还用于向密钥服务器发送携带有TCP连接的连接标识的获取请求,获取请求用于指示密钥服务器根据连接标识确定UE,向UE转发获取请求,并接收UE根据连接标识发送的加密上下文,将加密上下文转发给代理节点;接收器905,还用于接收密钥服务器转发的加密上下文;或者,
发射器904,还用于向UE发送携带有TCP连接的连接标识的获取请求,获取请求用于指示UE根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点;接收器905,还用于接收密钥服务器转发的加密上下文;或者,
接收器905,还用于接收密钥服务器转发的加密上下文,加密上下文是密钥服务器接收UE发送的加密上下文和TCP连接的连接标识,根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,对应关系用于指示连接标识与代理节点之间的关系。
当该业务处理装置应用于UE中时:
处理器902,用于在与网络服务器建立连接的过程中,与代替网络服务器的代理节点建立第一加密连接,代理节点用于与网络服务器建立第二加密连接;
发射器904,用于向代理节点提供在第一加密连接的建立过程中生成的加密上下文,加密上下文用于指示代理节点根据加密上下文生成第一密钥;且处理器902,还用于根据加密上下文生成第二密钥,第二密钥与第一密钥对应;
处理器902,还用于使用第二密钥对业务信息进行加密;
发射器904,还用于将处理器902得到的密文发送给代理节点,密文用于指示代理节点使用第一密钥解密密文,对得到的业务信息进行处理,通过第二加密连接将处理后的业务信息发送给网络服务器。
在第一种可能的实现方式中,发射器904,还用于向网络服务器发送TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据代理节点截获TCP建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立TCP连接,代理节点用于根据UE的IP地址,代替UE与网络服务器建立TCP连接;
发射器904,还用于通过TCP连接向网络服务器发送加密建立请求;
处理器902,还用于根据代理节点截获的加密建立请求,与代替网络服务器的代理节点建立第一加密连接,代理节点用于根据加密建立请求,代替UE与网络服务器建立第二加密连接;或者,
发射器904,还用于向网络服务器发送TCP建立请求,TCP建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据代理节点截获TCP建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立TCP连接,代理节点用于根据代理节点的IP地址与网络服务器建立TCP连接;
发射器904,还用于通过TCP连接向网络服务器发送加密建立请求;
处理器902,还用于根据代理节点截获的加密建立请求,与代替网络服务器的代理节点建立第一加密连接,代理节点用于根据代理节点的IP地址与网络服务器建立第二加密连接。
在第二种可能的实现方式中,发射器904,还用于向隧道网关发送TCP建立请求,TCP建立请求包括UE的IP地址和隧道网关的IP地址,隧道网关位于代理节点和网络服务器之间;
处理器902,还用于根据代理节点截获TCP建立请求后得到的隧道网关的IP地址,与代替隧道网关的代理节点建立TCP连接,代理节点用于根据UE的IP地址,代替UE与隧道网关建立TCP连接,触发隧道网关根据隧道网关的IP地址与网络服务器建立TCP连接;
发射器904,还用于通过TCP连接向隧道网关发送加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据代理节点截获加密建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立第一加密连接,代理节点用于通过TCP连接将加密建立请求转发给隧道网关,加密建立请求用于指示隧道网关用于通过TCP连接将加密建立请求转发给网络服务器,并指示网络服务器与代替UE的代理节点建立第二加密连接。
在第三种可能的实现方式中,处理器902,还用于与隧道网关建立TCP连接,隧道网关用于向网络服务器发送TCP建立请求,TCP建立请求包括隧道网关的IP地址和网络服务器的IP地址,根据代理节点截获TCP建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立TCP连接,代理节点用于根据隧道网关的IP地址,代替隧道网关与网络服务器建立TCP连接,隧道网关位于UE和代理节点之间;
发射器904,还用于通过TCP连接向隧道网关发送加密建立请求,加密建立请求用于指示隧道网关向网络服务器转发加密建立请求,加密建立请求包括UE的IP地址和网络服务器的IP地址;
处理器902,还用于根据代理节点截获加密建立请求后得到的网络服务器的IP地址,与代替网络服务器的代理节点建立第一加密连接,代理节点用于通过TCP连接将加密建立请求转发给网络服务器,加密建立请求用于指示网络服务器与代替UE的代理节点建立第二加密连接。
在第四种可能的实现方式中,接收器905,用于接收密钥服务器转发的携带有TCP连接的连接标识的获取请求,发射器904,还用于根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点,获取请求由代理节点发送给密钥服务器,且密钥服务器根据连接标识确定UE后发送的;或者,
接收器905,用于接收代理节点发送的携带有TCP连接的连接标识的获取请求,发射器904,还用于根据连接标识向密钥服务器发送加密上下文,加密上下文用于指示密钥服务器将加密上下文转发给代理节点;或者,
接收器905,用于向密钥服务器发送加密上下文和TCP连接的连接标识,加密上下文是密钥服务器用于根据对应关系确定连接标识所对应的代理节点后转发给代理节点的,对应关系用于指示连接标识与代理节点之间的关系。
综上所述,本发明实施例提供的业务处理装置,通过代替网络服务器与UE建立第一加密连接,从UE获取在第一加密连接的建立过程中生成的加密上下文,并根据加密上下文生成第一密钥,接收UE发送的密文,使用第一密钥解密密文,对得到的业务信息进行处理,可以获取到UE与网络服务器协商的第一密钥,并使用第一密钥解密UE发送给网络服务器的密文,从而对业务信息进行处理,解决了代理节点无法解密密文,导致代理节点无法为UE提供业务优化的问题,达到了扩大业务优化的使用范围的效果。
需要说明的是:上述实施例提供的业务处理装置在进行业务处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将业务处理装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的业务处理装置与业务处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,可以仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (24)
1.一种业务处理方法,其特征在于,所述方法包括:
在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接;
所述代理节点从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文,并根据所述加密上下文生成第一密钥;
所述代理节点接收所述UE发送的密文,使用所述第一密钥解密所述密文,对得到的业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器,所述密文由所述UE使用第二密钥对所述业务信息进行加密得到,所述第一密钥与所述第二密钥对应,所述第二密钥由所述UE根据所述加密上下文生成;
其中,所述代理节点从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文,包括:
所述代理节点向密钥服务器发送携带有传输控制协议TCP连接的连接标识的获取请求,所述获取请求用于指示所述密钥服务器根据所述连接标识确定所述UE,向所述UE转发所述获取请求,并接收所述UE根据所述连接标识发送的所述加密上下文,将所述加密上下文转发给所述代理节点;所述代理节点接收所述密钥服务器转发的所述加密上下文;或者,
所述代理节点向所述UE发送携带有TCP连接的连接标识的获取请求,所述获取请求用于指示所述UE根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;所述代理节点接收所述密钥服务器转发的所述加密上下文;或者,
所述代理节点接收密钥服务器转发的所述加密上下文,所述加密上下文是所述密钥服务器接收所述UE发送的所述加密上下文和TCP连接的连接标识,根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
2.根据权利要求1所述的方法,其特征在于,所述在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接,包括:
所述代理节点截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述代理节点截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述代理节点截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述代理节点截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
3.根据权利要求1所述的方法,其特征在于,所述在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接,包括:
所述代理节点截获所述UE向隧道网关发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述代理节点根据所述隧道网关的IP地址,代替所述隧道网关与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述代理节点截获所述UE通过所述TCP连接向所述隧道网关发送的加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述隧道网关用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
4.根据权利要求1所述的方法,其特征在于,所述在用户设备UE与网络服务器建立连接的过程中,代理节点代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接,包括:
所述代理节点截获隧道网关向所述网络服务器发送的TCP建立请求,所述TCP建立请求是所述隧道网关与所述UE建立TCP连接后发送的,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,所述隧道网关位于所述UE和所述代理节点之间;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述隧道网关建立TCP连接,并根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接;
所述代理节点截获所述隧道网关通过所述TCP连接向所述网络服务器发送的加密建立请求,所述加密建立请求由所述UE通过所述TCP连接发送给所述隧道网关,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述代理节点根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
5.一种业务处理方法,其特征在于,所述方法包括:
在与网络服务器建立连接的过程中,用户设备UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接;
所述UE向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,所述加密上下文用于指示所述代理节点根据所述加密上下文生成第一密钥;且所述UE根据所述加密上下文生成第二密钥,所述第二密钥与所述第一密钥对应;
所述UE使用所述第二密钥对业务信息进行加密,将得到的密文发送给所述代理节点,所述密文用于指示所述代理节点使用所述第一密钥解密所述密文,对得到的所述业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器;
其中,所述UE向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,包括:
所述UE接收密钥服务器转发的携带有传输控制协议TCP连接的连接标识的获取请求,根据所述连接标识向所述密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点,所述获取请求由所述代理节点发送给所述密钥服务器,且所述密钥服务器根据所述连接标识确定所述UE后发送的;或者,
所述UE接收所述代理节点发送的携带有TCP连接的连接标识的获取请求,根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;或者,
所述UE向密钥服务器发送所述加密上下文和TCP连接的连接标识,所述加密上下文是所述密钥服务器根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
6.根据权利要求5所述的方法,其特征在于,所述在与网络服务器建立连接的过程中,UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接,包括:
所述UE向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述UE通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述UE向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述UE通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
7.根据权利要求5所述的方法,其特征在于,所述在与网络服务器建立连接的过程中,UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接,包括:
所述UE向隧道网关发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述UE根据所述代理节点截获所述TCP建立请求后得到的所述隧道网关的IP地址,与代替所述隧道网关的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述UE通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述加密建立请求用于指示所述隧道网关通过所述TCP连接将所述加密建立请求转发给所述网络服务器,并指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
8.根据权利要求5所述的方法,其特征在于,所述在与网络服务器建立连接的过程中,UE与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接,包括:
所述UE与隧道网关建立TCP连接,所述隧道网关用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接,所述隧道网关位于所述UE和所述代理节点之间;
所述UE通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求用于指示所述隧道网关向所述网络服务器转发所述加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述UE根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
9.一种业务处理装置,用于代理节点中,其特征在于,所述装置包括:
连接建立模块,用于在用户设备UE与网络服务器建立连接的过程中,代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接;
密钥生成模块,用于从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文,并根据所述加密上下文生成第一密钥;
业务处理模块,用于接收所述UE发送的密文,使用所述密钥生成模块生成的所述第一密钥解密所述密文,对得到的业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器,所述密文由所述UE使用第二密钥对所述业务信息进行加密得到,所述第一密钥与所述第二密钥对应,所述第二密钥由所述UE根据所述加密上下文生成;
其中,所述密钥生成模块,具体用于:
向密钥服务器发送携带有传输控制协议TCP连接的连接标识的获取请求,所述获取请求用于指示所述密钥服务器根据所述连接标识确定所述UE,向所述UE转发所述获取请求,并接收所述UE根据所述连接标识发送的所述加密上下文,将所述加密上下文转发给所述代理节点;接收所述密钥服务器转发的所述加密上下文;或者,
向所述UE发送携带有TCP连接的连接标识的获取请求,所述获取请求用于指示所述UE根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;接收所述密钥服务器转发的所述加密上下文;或者,
接收密钥服务器转发的所述加密上下文,所述加密上下文是所述密钥服务器接收所述UE发送的所述加密上下文和TCP连接的连接标识,根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
10.根据权利要求9所述的装置,其特征在于,所述连接建立模块,具体用于:
截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求,根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
11.根据权利要求9所述的装置,其特征在于,所述连接建立模块,具体用于:
截获所述UE向隧道网关发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
根据所述隧道网关的IP地址,代替所述隧道网关与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
截获所述UE通过所述TCP连接向所述隧道网关发送的加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述隧道网关用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
12.根据权利要求9所述的装置,其特征在于,所述连接建立模块,具体用于:
截获隧道网关向所述网络服务器发送的TCP建立请求,所述TCP建立请求是所述隧道网关与所述UE建立TCP连接后发送的,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,所述隧道网关位于所述UE和所述代理节点之间;
根据所述网络服务器的IP地址,代替所述网络服务器与所述隧道网关建立TCP连接,并根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接;
截获所述隧道网关通过所述TCP连接向所述网络服务器发送的加密建立请求,所述加密建立请求由所述UE通过所述TCP连接发送给所述隧道网关,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接,并通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
13.一种业务处理装置,用于用户设备UE中,其特征在于,所述装置包括:
连接建立模块,用于在与网络服务器建立连接的过程中,与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接;
密钥提供模块,用于向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,所述加密上下文用于指示所述代理节点根据所述加密上下文生成第一密钥;且所述UE根据所述加密上下文生成第二密钥,所述第二密钥与所述第一密钥对应;
密文发送模块,用于使用所述密钥提供模块生成的所述第二密钥对业务信息进行加密,将得到的密文发送给所述代理节点,所述密文用于指示所述代理节点使用所述第一密钥解密所述密文,对得到的所述业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器;
其中,所述密钥提供模块,具体用于:
接收密钥服务器转发的携带有传输控制协议TCP连接的连接标识的获取请求,根据所述连接标识向所述密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点,所述获取请求由所述代理节点发送给所述密钥服务器,且所述密钥服务器根据所述连接标识确定所述UE后发送的;或者,
接收所述代理节点发送的携带有TCP连接的连接标识的获取请求,根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;或者,
向密钥服务器发送所述加密上下文和TCP连接的连接标识,所述加密上下文是所述密钥服务器根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
14.根据权利要求13所述的装置,其特征在于,所述连接建立模块,具体用于:
向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
通过所述TCP连接向所述网络服务器发送加密建立请求,根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
15.根据权利要求13所述的装置,其特征在于,所述连接建立模块,具体用于:
向隧道网关发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
根据所述代理节点截获所述TCP建立请求后得到的所述隧道网关的IP地址,与代替所述隧道网关的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述加密建立请求用于指示所述隧道网关通过所述TCP连接将所述加密建立请求转发给所述网络服务器,并指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
16.根据权利要求13所述的装置,其特征在于,所述连接建立模块,具体用于:
与隧道网关建立TCP连接,所述隧道网关用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接,所述隧道网关位于所述UE和所述代理节点之间;
通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求用于指示所述隧道网关向所述网络服务器转发所述加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
17.一种业务处理装置,用于代理节点中,其特征在于,所述装置包括:总线,以及连接到所述总线的处理器、存储器、发射器和接收器, 其中,所述存储器用于存储若干个指令,所述指令被配置成由所述处理器执行;
所述处理器,用于在用户设备UE与网络服务器建立连接的过程中,代替所述网络服务器与所述UE建立第一加密连接,并与所述网络服务器建立第二加密连接;
所述接收器,用于从所述UE获取在所述第一加密连接的建立过程中生成的加密上下文;
所述处理器,还用于根据所述接收器接收的所述加密上下文生成第一密钥;
所述接收器,还用于接收所述UE发送的密文;
所述处理器,还用于使用所述第一密钥解密所述密文,对得到的业务信息进行处理;
所述发射器,用于通过所述第二加密连接将所述处理器处理后的所述业务信息发送给所述网络服务器,所述密文由所述UE使用第二密钥对所述业务信息进行加密得到,所述第一密钥与所述第二密钥对应,所述第二密钥由所述UE根据所述加密上下文生成;
其中,所述发射器,还用于向密钥服务器发送携带有传输控制协议TCP连接的连接标识的获取请求,所述获取请求用于指示所述密钥服务器根据所述连接标识确定所述UE,向所述UE转发所述获取请求,并接收所述UE根据所述连接标识发送的所述加密上下文,将所述加密上下文转发给所述代理节点;所述接收器,还用于接收所述密钥服务器转发的所述加密上下文;或者,
所述发射器,还用于向所述UE发送携带有TCP连接的连接标识的获取请求,所述获取请求用于指示所述UE根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;所述接收器,还用于接收所述密钥服务器转发的所述加密上下文;或者,
所述接收器,还用于接收密钥服务器转发的所述加密上下文,所述加密上下文是所述密钥服务器接收所述UE发送的所述加密上下文和TCP连接的连接标识,根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
18.根据权利要求17所述的装置,其特征在于,
所述接收器,还用于截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求;
所述处理器,还用于根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述接收器,还用于截获所述UE向所述网络服务器发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立TCP连接,并根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述UE通过所述TCP连接向所述网络服务器发送的加密建立请求;
所述处理器,还用于根据所述加密建立请求,代替所述网络服务器与所述UE建立所述第一加密连接,并根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
19.根据权利要求17所述的装置,其特征在于,
所述接收器,还用于截获所述UE向隧道网关发送的TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述处理器,还用于根据所述隧道网关的IP地址,代替所述隧道网关与所述UE建立TCP连接,并根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述UE通过所述TCP连接向所述隧道网关发送的加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接;
所述发射器,还用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述隧道网关用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
20.根据权利要求17所述的装置,其特征在于,
所述接收器,还用于截获隧道网关向所述网络服务器发送的TCP建立请求,所述TCP建立请求是所述隧道网关与所述UE建立TCP连接后发送的,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,所述隧道网关位于所述UE和所述代理节点之间;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述隧道网关建立TCP连接,并根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接;
所述接收器,还用于截获所述隧道网关通过所述TCP连接向所述网络服务器发送的加密建立请求,所述加密建立请求由所述UE通过所述TCP连接发送给所述隧道网关,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述网络服务器的IP地址,代替所述网络服务器与所述UE建立所述第一加密连接;
所述发射器,还用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
21.一种业务处理装置,用于用户设备UE中,其特征在于,所述装置包括:总线,以及连接到所述总线的处理器、存储器、发射器和接收器, 其中,所述存储器用于存储若干个指令,所述指令被配置成由所述处理器执行;
所述处理器,用于在与网络服务器建立连接的过程中,与代替所述网络服务器的代理节点建立第一加密连接,所述代理节点用于与所述网络服务器建立第二加密连接;
所述发射器,用于向所述代理节点提供在所述第一加密连接的建立过程中生成的加密上下文,所述加密上下文用于指示所述代理节点根据所述加密上下文生成第一密钥;且所述处理器,还用于根据所述加密上下文生成第二密钥,所述第二密钥与所述第一密钥对应;
所述处理器,还用于使用所述第二密钥对业务信息进行加密;
所述发射器,还用于将所述处理器得到的密文发送给所述代理节点,所述密文用于指示所述代理节点使用所述第一密钥解密所述密文,对得到的所述业务信息进行处理,通过所述第二加密连接将处理后的所述业务信息发送给所述网络服务器;
其中,所述接收器,用于接收密钥服务器转发的携带有传输控制协议TCP连接的连接标识的获取请求,所述发射器,还用于根据所述连接标识向所述密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点,所述获取请求由所述代理节点发送给所述密钥服务器,且所述密钥服务器根据所述连接标识确定所述UE后发送的;或者,
所述接收器,用于接收所述代理节点发送的携带有TCP连接的连接标识的获取请求,所述发射器,还用于根据所述连接标识向密钥服务器发送所述加密上下文,所述加密上下文用于指示所述密钥服务器将所述加密上下文转发给所述代理节点;或者,
所述接收器,用于向密钥服务器发送所述加密上下文和TCP连接的连接标识,所述加密上下文是所述密钥服务器根据对应关系确定所述连接标识所对应的代理节点后转发给所述代理节点的,所述对应关系用于指示连接标识与代理节点之间的关系。
22.根据权利要求21所述的装置,其特征在于,
所述发射器,还用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的因特网协议IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述网络服务器建立TCP连接;
所述发射器,还用于通过所述TCP连接向所述网络服务器发送加密建立请求;
所述处理器,还用于根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述加密建立请求,代替所述UE与所述网络服务器建立所述第二加密连接;或者,
所述发射器,还用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立TCP连接;
所述发射器,还用于通过所述TCP连接向所述网络服务器发送加密建立请求;
所述处理器,还用于根据所述代理节点截获的所述加密建立请求,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于根据所述代理节点的IP地址与所述网络服务器建立所述第二加密连接。
23.根据权利要求21所述的装置,其特征在于,
所述发射器,还用于向隧道网关发送TCP建立请求,所述TCP建立请求包括所述UE的IP地址和所述隧道网关的IP地址,所述隧道网关位于所述代理节点和所述网络服务器之间;
所述处理器,还用于根据所述代理节点截获所述TCP建立请求后得到的所述隧道网关的IP地址,与代替所述隧道网关的所述代理节点建立TCP连接,所述代理节点用于根据所述UE的IP地址,代替所述UE与所述隧道网关建立TCP连接,触发所述隧道网关根据所述隧道网关的IP地址与所述网络服务器建立TCP连接;
所述发射器,还用于通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述隧道网关,所述加密建立请求用于指示所述隧道网关通过所述TCP连接将所述加密建立请求转发给所述网络服务器,并指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
24.根据权利要求21所述的装置,其特征在于,
所述处理器,还用于与隧道网关建立TCP连接,所述隧道网关用于向所述网络服务器发送TCP建立请求,所述TCP建立请求包括所述隧道网关的IP地址和所述网络服务器的IP地址,根据所述代理节点截获所述TCP建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立TCP连接,所述代理节点用于根据所述隧道网关的IP地址,代替所述隧道网关与所述网络服务器建立TCP连接,所述隧道网关位于所述UE和所述代理节点之间;
所述发射器,还用于通过所述TCP连接向所述隧道网关发送加密建立请求,所述加密建立请求用于指示所述隧道网关向所述网络服务器转发所述加密建立请求,所述加密建立请求包括所述UE的IP地址和所述网络服务器的IP地址;
所述处理器,还用于根据所述代理节点截获所述加密建立请求后得到的所述网络服务器的IP地址,与代替所述网络服务器的所述代理节点建立所述第一加密连接,所述代理节点用于通过所述TCP连接将所述加密建立请求转发给所述网络服务器,所述加密建立请求用于指示所述网络服务器与代替所述UE的所述代理节点建立所述第二加密连接。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/088032 WO2017031691A1 (zh) | 2015-08-25 | 2015-08-25 | 业务处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107005400A CN107005400A (zh) | 2017-08-01 |
| CN107005400B true CN107005400B (zh) | 2020-08-07 |
Family
ID=58099503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580065634.8A Active CN107005400B (zh) | 2015-08-25 | 2015-08-25 | 业务处理方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20180176194A1 (zh) |
| EP (1) | EP3324571B1 (zh) |
| KR (1) | KR102095893B1 (zh) |
| CN (1) | CN107005400B (zh) |
| WO (1) | WO2017031691A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553567B (zh) * | 2022-02-25 | 2024-02-06 | 蚂蚁区块链科技(上海)有限公司 | 多方安全计算中的网络传输方法、***、存储介质及计算设备 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9374344B1 (en) | 2013-03-29 | 2016-06-21 | Secturion Systems, Inc. | Secure end-to-end communication system |
| US9355279B1 (en) | 2013-03-29 | 2016-05-31 | Secturion Systems, Inc. | Multi-tenancy architecture |
| US9317718B1 (en) | 2013-03-29 | 2016-04-19 | Secturion Systems, Inc. | Security device with programmable systolic-matrix cryptographic module and programmable input/output interface |
| US9524399B1 (en) | 2013-04-01 | 2016-12-20 | Secturion Systems, Inc. | Multi-level independent security architecture |
| US11283774B2 (en) | 2015-09-17 | 2022-03-22 | Secturion Systems, Inc. | Cloud storage using encryption gateway with certificate authority identification |
| US9794064B2 (en) * | 2015-09-17 | 2017-10-17 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
| SG11201802541QA (en) * | 2015-09-29 | 2018-04-27 | Soracom Inc | Control apparatus for gateway in mobile communication system |
| US10708236B2 (en) | 2015-10-26 | 2020-07-07 | Secturion Systems, Inc. | Multi-independent level secure (MILS) storage encryption |
| US10812468B2 (en) * | 2017-12-07 | 2020-10-20 | Sonicwall Inc. | Dynamic bypass |
| US10601677B2 (en) * | 2018-07-25 | 2020-03-24 | Inforich Electronics Corp. | Device and method for a dynamic virtual private network and computer readable recording medium |
| KR20200086800A (ko) * | 2019-01-10 | 2020-07-20 | 삼성전자주식회사 | 전자 장치, 전자 장치 제어방법 및 네트워크 시스템 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制***及其控制方法 |
| CN101141244A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 网络加密数据病毒检测和消除***和代理服务器及方法 |
| CN101594283A (zh) * | 2008-05-27 | 2009-12-02 | 阿瓦亚公司 | 基于代理的双向Web服务路由器网关 |
| CN104662551A (zh) * | 2012-10-19 | 2015-05-27 | 英特尔公司 | 在网络环境中对加密的数据的检查 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7562211B2 (en) * | 2005-10-27 | 2009-07-14 | Microsoft Corporation | Inspecting encrypted communications with end-to-end integrity |
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| KR20090098542A (ko) * | 2008-03-14 | 2009-09-17 | 주식회사 엑스큐어넷 | 프록시를 이용한 암호화 데이터 통신시스템 및 암호화데이터 통신방법 |
| US9306737B2 (en) * | 2011-05-18 | 2016-04-05 | Citrix Systems, Inc. | Systems and methods for secure handling of data |
| KR101448866B1 (ko) * | 2013-01-11 | 2014-10-13 | 주식회사 시큐아이 | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 |
-
2015
- 2015-08-25 EP EP15901962.9A patent/EP3324571B1/en active Active
- 2015-08-25 WO PCT/CN2015/088032 patent/WO2017031691A1/zh active Application Filing
- 2015-08-25 KR KR1020187006479A patent/KR102095893B1/ko active IP Right Grant
- 2015-08-25 CN CN201580065634.8A patent/CN107005400B/zh active Active
-
2018
- 2018-02-15 US US15/897,661 patent/US20180176194A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制***及其控制方法 |
| CN101141244A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 网络加密数据病毒检测和消除***和代理服务器及方法 |
| CN101594283A (zh) * | 2008-05-27 | 2009-12-02 | 阿瓦亚公司 | 基于代理的双向Web服务路由器网关 |
| CN104662551A (zh) * | 2012-10-19 | 2015-05-27 | 英特尔公司 | 在网络环境中对加密的数据的检查 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553567B (zh) * | 2022-02-25 | 2024-02-06 | 蚂蚁区块链科技(上海)有限公司 | 多方安全计算中的网络传输方法、***、存储介质及计算设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017031691A1 (zh) | 2017-03-02 |
| CN107005400A (zh) | 2017-08-01 |
| KR20180038496A (ko) | 2018-04-16 |
| US20180176194A1 (en) | 2018-06-21 |
| EP3324571B1 (en) | 2020-08-19 |
| EP3324571A4 (en) | 2018-06-20 |
| EP3324571A1 (en) | 2018-05-23 |
| KR102095893B1 (ko) | 2020-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107005400B (zh) | 业务处理方法及装置 | |
| US10601594B2 (en) | End-to-end service layer authentication | |
| JP6641029B2 (ja) | キー配信および認証方法およびシステム、ならびに装置 | |
| JP2018526869A (ja) | 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ | |
| TWI654866B (zh) | 閘道器、用戶端裝置及用於促進用戶端裝置與應用伺服器間之通信之方法 | |
| KR102094216B1 (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| JP2011508991A (ja) | セキュアな通信のための鍵管理 | |
| WO2017066910A1 (zh) | 控制策略确定方法、装置及*** | |
| JP2012518302A (ja) | 非暗号化ネットワーク動作解決策 | |
| CN110191052B (zh) | 一种跨协议网络传输方法及*** | |
| US11108549B2 (en) | Service processing method and apparatus | |
| EP3366019B1 (en) | Method and apparatus for secure content caching and delivery | |
| KR20090102050A (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| US10826688B2 (en) | Key distribution and receiving method, key management center, first network element, and second network element | |
| WO2014205703A1 (zh) | 一种共享接入的检测方法、设备和终端设备 | |
| US20220159457A1 (en) | Providing ue capability information to an authentication server | |
| KR101594897B1 (ko) | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 | |
| JP5746774B2 (ja) | セキュアな通信のための鍵管理 | |
| CN115811751A (zh) | 一种配置信息的获取、配置方法及终端设备、接入点设备 | |
| WO2024078922A1 (en) | Key management for applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |