CN115242415A - 边缘交换机处实现的数据加密方法、电子设备和程序产品 - Google Patents
边缘交换机处实现的数据加密方法、电子设备和程序产品 Download PDFInfo
- Publication number
- CN115242415A CN115242415A CN202110442980.0A CN202110442980A CN115242415A CN 115242415 A CN115242415 A CN 115242415A CN 202110442980 A CN202110442980 A CN 202110442980A CN 115242415 A CN115242415 A CN 115242415A
- Authority
- CN
- China
- Prior art keywords
- data packet
- encryption
- encrypted
- edge switch
- source device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000004590 computer program Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 description 29
- 238000010586 diagram Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 12
- 238000004422 calculation algorithm Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/041—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 using an encryption or decryption engine integrated in transmitted data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例提供了边缘交换机处实现的数据加密方法、电子设备和程序产品。例如,本公开提供了一种在边缘交换机处实现的数据加密方法。该方法可以包括从源设备接收用于加密操作或解密操作的加密解密信息。此外,该方法可以包括基于加密解密信息中的加密信息对从源设备接收的数据包进行加密,以生成加密数据包。该方法可以进一步包括将加密数据包发送至数据包所指示的目标设备。本公开的实施例能够在保证加密性能的同时降低物联网设备、云、服务器的计算负载,并且还能降低由于加密解密操作产生的时延。
Description
技术领域
本公开的实施例涉及物联网领域,并且更具体地,涉及在边缘交 换机处实现的数据加密方法、电子设备和计算机程序产品。
背景技术
随着物联网技术的发展,越来越多的物联网设备得到了广泛的应 用。一些物联网设备,诸如空调、智能锁、交通信号灯、网络摄像头 等,可以通过与之通信连接的边缘交换机与云或服务器进行通信。为 了保证通信的安全性,从物联网设备发出的数据通常需要被加密,并 且物联网设备接收到的数据通常需要被解密。优良的加密解密算法通 常需要消耗客观的算力,这对于布置在边缘的通常仅配置有基本计算 功能的物联网设备来说并不友好。此外,由于云或服务器上的计算资 源的限制,加密解密算法有时对于云或服务器侧也是一种负担。
发明内容
本公开的实施例提供了在边缘交换机处实现数据加密的方案。
在本公开的第一方面中,提供了一种在边缘交换机处实现的数据 加密方法。该方法可以包括从源设备接收用于加密操作或解密操作的 加密解密信息。此外,该方法可以包括基于加密解密信息中的加密信 息对从源设备接收的数据包进行加密,以生成加密数据包。该方法可 以进一步包括将加密数据包发送至数据包所指示的目标设备。
在本公开的第二方面中,提供了一种电子设备,包括处理器;以 及与处理器耦合的存储器,存储器具有存储于其中的指令,指令在被 处理器执行时使电子设备执行动作,动作可以包括:在边缘交换机处 从源设备接收用于加密操作或解密操作的加密解密信息;基于加密解 密信息中的加密信息对从源设备接收的数据包进行加密,以生成加密 数据包;以及将加密数据包发送至数据包所指示的目标设备。
在本公开的第三方面中,提供了一种计算机程序产品,计算机程 序产品被有形地存储在计算机可读介质上并且包括机器可执行指令, 机器可执行指令在被执行时使机器执行根据第一方面的方法的任意 步骤。
提供发明内容部分是为了简化的形式来介绍对概念的选择,它们 在下文的具体实施方式中将被进一步描述。发明内容部分无意标识本 公开的关键特征或主要特征,也无意限制本公开的范围。
附图说明
通过结合附图对本公开示例性实施例进行更详细的描述,本公开 的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开 示例性实施例中,相同或相似的参考标号通常代表相同或相似的部 件。在附图中:
图1示出了根据本公开的实施例的示例环境的示意图;
图2示出了根据本公开的实施例的在边缘交换机处实现的数据加 密的过程的流程图;
图3示出了根据本公开的实施例的利用边缘交换机内布置的可编 程电路部件对数据包进行加密的过程的流程图;
图4示出了根据本公开的实施例的在边缘交换机处实现的数据解 密的过程的流程图;
图5示出了根据本公开的实施例的在边缘交换机处实现的数据加 密的过程的高级别管道图;以及
图6示出了可以用来实施本公开的实施例的示例设备的框图。
具体实施方式
下面将参考附图中示出的若干示例实施例来描述本公开的原理。
在本文中使用的术语“包括”及其变形表示开放性包括,即“包括但 不限于”。除非特别申明,术语“或”表示“和/或”。术语“基于”表示“至 少部分地基于”。术语“一个示例实施例”和“一个实施例”表示“一组示 例实施例”。术语“另一实施例”表示“一组另外的实施例”。术语“第一”、 “第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
如上所讨论的,在进行数据传输时,为了保证通信安全,通常在 数据的发射侧和接收侧分别进行数据的加密和解密。目前存在多种数 据加密算法。高级加密标准(AES)算法作为对称密钥加密中最流行 的算法之一通常会用于数据的加密和解密。然而,诸如AES的高级 加密算法的加密和解密计算过程均相对复杂。
在发射侧的物联网设备中,嵌入式的中央处理器(CPU)通常不 具备强大的计算能力,并且在进行加密或解密运算时会产生可观的等 待时间,因此,传统的在物联网设备中进行数据加密以及解密的过程 限制了数据的高效传输。此外,在接收侧的云或服务器中,由于云和 服务器的计算资源有限,上述加密机制有时会成为一种计算负担。因 此,传统的在云或服务器中进行数据加密以及解密的过程同样限制了 数据的高效传输。
为了至少部分地解决上述缺点,本公开的实施例提供了一种在边 缘交换机处实现数据加密和/或解密的方案。该方案能够将诸如AES 加密和解密算法的计算操作从物联网设备转移至边缘交换机。相应 地,该方案还能够将诸如AES加密和解密算法的计算操作从云或服 务器转移至相应的交换机。由此,可以利用边缘交换机的算力来实现 数据的加密和解密操作。
图1示出了根据本公开实施例的示例环境100的示意图,在该示例 环境100中,根据本公开实施例的设备和/或过程可以被实施。如图1所 示,示例环境100可以包括物联网设备110。物联网设备110通常是具 有有限计算能力并用于执行特定功能的边缘计算节点。作为示例,物联 网设备110可以是空调、智能锁、交通信号灯、网络摄像头等。
为了传输数据,物联网设备110通常与边缘交换机120通信连接。 边缘交换机120通常被布置在作为边缘计算节点的物联网设备110的 附近,从而为相应的物联网设备提供数据交换服务。为了承担物联网 设备110的数据加密和解密操作的计算任务,布置在边缘交换机120 中的计算设备130可以基于从物联网设备110处接收的用于加密操作 或解密操作的加密解密信息对从物联网设备110处接收的数据包进行 加密。
应理解,计算设备130可以是布置在边缘交换机120中或者与边 缘交换机120通信连接的任何具有计算能力的设备。作为非限制性示 例,计算设备可以是任意类型的固定计算设备、移动计算设备或便携 式计算设备,包括但不限于台式计算机、膝上型计算机、笔记本计算 机、上网本计算机、平板计算机、智能手机等。计算设备的全部组件 或一部分组件可以分布在云端。计算设备还可以采用云-边缘的架构。
此外,边缘交换机120还可以包含存储装置(未示出)。存储装 置包括用于存储数据的寄存器。此外,存储装置还可以是(多个)存 储盘。存储盘可以是各种类型的具有存储功能的设备,包括但不限于, 硬盘(HDD)、固态盘(SSD)、可移除盘、任何其他磁性存储设备和 任何其他光学存储设备、或它们的任何组合。作为示例,待加密的数 据包可以被划分为多个数据块,并且计算设备130可以对这些数据块 依次进行加密操作。每当对一个数据块进行了加密操作之后,经加密 的数据块可以被存储在存储装置中。并且,当该数据包的所有数据块 均被加密之后,可以将存储在存储装置中的所有数据块组合成经加密 的数据包。
当对来自物联网设备110的数据包进行加密之后,计算设备130 可以将经加密的数据包发送至云(网络)140,并且经由云140,经加 密的数据包可以被发送至交换机150。交换机150与边缘交换机120 类似,其可以对数据包进行解密,并将解密的数据包发送至与之对应 的服务器160。由此,实现了从物联网设备110到服务器160的数据 通信,且该通信的数据加密和解密操作的过程均是在相应交换机处完 成的。上述数据传输过程是可逆的。
应当理解,仅出于示例性的目的来描述示例环境100中的架构和 功能,而不暗示对本公开的范围的任何限制。本公开的实施例还可以 被应用到具有不同的结构和/或功能的其他环境中。
下文将结合图2至图4详细描述根据本公开实施例的过程。为了 便于理解,在下文描述中提及的具体数据均是示例性的,并不用于限 定本公开的保护范围。可以理解,以下描述的实施例还可以包括未示 出的附加动作和/或可以省略所示出的动作,本公开的范围在此方面不 受限制。
图2示出了根据本公开的实施例的在边缘交换机处实现的数据加密 的过程200的流程图。在某些实施例中,过程200可以在图1中的计算 设备130。现参照图1描述根据本公开实施例的用于故障分析的过程 200。为了便于理解,在下文描述中提及的具体实例均是示例性的,并不 用于限定本公开的保护范围。
如图2所示,在202,计算设备130可以从源设备接收用于加密 操作或解密操作的加密解密信息。作为示例,源设备可以是如图1所 示的物联网设备110。
在某些实施例中,为了确定边缘交换机120中的计算设备130是 否具有加密或加密功能,物联网设备110可以向边缘交换机120发送 加密服务请求消息。当计算设备130确定从物联网设备110接收到了 加密服务请求消息后,计算设备130可以向物联网设备110发送加密 服务响应消息,以便告知物联网设备110该边缘交换机120能够提供 加密服务。以此方式,可以避免物联网设备110直接将加密解密信息 和数据包发送至不具备加密解密功能的边缘交换机。
接下来,在204,计算设备130可以基于接收到的加密解密信息 中的加密信息对从源设备接收的数据包进行加密,以生成加密数据 包。在某些实施例中,为了降低计算设备130的运算量,执行诸如 AES算法的加密运算可以通过查表的方式确定加密结果。因此,计算 设备可以从加密解密信息中的加密信息中获取用于加密运算的查找 表或其他数据结构,并且基于该查找表对数据包执行加密运算。由此, 可以极大的降低加密运算的复杂度,从而节约了边缘交换机120的计 算资源。
在某些实施例中,为了进一步节约边缘交换机120中的诸如CPU 的计算设备130的计算资源,计算设备130还可以利用边缘交换机120 中布置的可编程电路部件来完成数据包的加密操作。图3示出了根据 本公开的实施例的利用边缘交换机内布置的可编程电路部件对数据 包进行加密的过程300的流程图。在某些实施例中,过程300可以在 图1中的计算设备130上执行。现参照图1描述根据本公开实施例的 利用边缘交换机内布置的可编程电路部件对数据包进行加密的过程 300。为了便于理解,在下文描述中提及的具体实例均是示例性的, 并不用于限定本公开的保护范围。
如图3所示,在302,计算设备130可以将从物联网设备110处 接收到的数据包划分为多个数据块。作为示例,计算设备130可以将 数据包分成八个数据块,并且每个数据块具有特定的次序和编号。
在304,计算设备130可以利用布置在边缘交换机120内部的可 编程电路部件对这些数据块中的每个数据块进行加密,以确定经加密 的相应数据块。作为示例,可编程电路部件可以是可编程交换机芯片。
在306,计算设备130可以对经加密的相应数据块进行组合,以 生成加密数据包。在某些实施例中,待加密的数据包可以被划分为多 个数据块,并且计算设备130可以对这些数据块依次进行加密操作。 每当对一个数据块进行了加密操作之后,经加密的数据块可以被存储 在边缘交换机120内布置的寄存器中。并且,当该数据包的所有数据 块均被加密之后,可以将存储在寄存器中的所有数据块组合成经加密 的数据包。以此方式,可以按照流水线的方式逐个加密每个数据块, 从而使诸如可编程交换机芯片的可编程电路部件能够完成数据包的 加密任务。
作为示例,当可编程交换机芯片接收到入口数据包时,第一个数 据块将在入口会话中进行加密或解密处理。加密或解密结果可以被存 储在寄存器中。之后,可编程交换机芯片会弹出出口会话中的第一个 数据块,然后重新分发其他数据包。例如,在入口会话中,第二各数 据块可以由相同的逻辑处理。当处理完所有数据块后,存储在寄存器 中的结果将被推回空数据包,从而合成了经加密的数据包。
之后,回到图2,在206,计算设备130可以将加密的数据包发 送至数据包所指示的目标设备。作为示例,目标设备可以是图1中的 服务器160。应理解,加密解密信息中既可以包含用于进行AES算法 加密的加密信息(诸如密钥),也可以包含服务器的位置信息(诸如IP地址)。
在某些实施例中,与上述加密过程对称地,计算设备130还可以 对从诸如服务器160的目标设备侧接收到的经加密的数据进行解密。 图4示出了根据本公开的实施例的在边缘交换机处实现的数据解密的 过程400的流程图。在某些实施例中,过程400可以在图1中的计算 设备130上执行。现参照图1描述根据本公开实施例的在边缘交换机 处实现的数据解密的过程400。为了便于理解,在下文描述中提及的 具体实例均是示例性的,并不用于限定本公开的保护范围。
如图4所示,在402,计算设备130可以从诸如服务器160的目 标设备接收另一加密数据包。应理解,基于加密解密***的对称布置, 该另一加密数据包可以是经过交换机150加密的数据包,并且该数据 包经由云(网络)140传递至边缘交换机120。
在404,计算设备130可以基于加密解密信息中的解密信息对该 另一加密数据包进行解密,以生成解密数据包。之后,在406,计算 设备130可以向诸如物联网设备110的源设备发送解密数据包。
为了更为清晰地展示本公开的主要思路,图5示出了根据本公开 的实施例的在边缘交换机处实现的数据加密的过程500的高级别管道 图。
如图5所示,当物联网设备510需要向云530上传数据包时,为 了确定边缘交换机520是否具有加密或加密功能,物联网设备510可 以先向布置在其附近的边缘交换机520发送加密解密服务请求501。 当边缘交换机520接收到来自物联网设备510的加密解密服务请求消 息后,边缘交换机520可以向物联网设备510发送加密解密服务响应 消息502,以便告知物联网设备510:该边缘交换机520能够提供加 密解密服务。以此方式,可以避免物联网设备510直接将加密解密信 息和数据包发送至不具备加密解密功能的边缘交换机。
当确定了边缘交换机520具有对数据包进行加密解密的功能之 后,物联网设备510可以进一步向边缘交换机520发送加密解密信息 503。应理解,加密解密信息503中可以包含用于加密解密计算的查 找表、用于进行加密操作或解密操作的密钥以及作为目标设备的云 530的IP地址等信息。边缘交换机520可以存储加密解密信息503或 者基于加密解密信息503进行加密解密操作的初始化。之后,物联网 设备510可以将要发送的未加密的数据包504发送至边缘交换机520。
在接收到数据包后,边缘交换机520可以创建基于加密解密信息 中的加密信息对数据包进行加密的事件(或任务)505。作为示例, 边缘交换机520可以利用其内部的可编程交换机芯片执行加密操作。 为了减少计算量,可以通过上述用于加密解密计算的查找表来执行加 密操作。为了使可编程交换机芯片能够处理较大的数据包,可以将数 据包划分为多个数据块并对依次对每个数据块执行加密操作。之后, 边缘交换机520可以将经加密的数据包506传送至云530。
通过上述各实施例,本公开的在边缘交换机处执行加密解密的方 案可以在保证加密性能的同时降低物联网设备、云、服务器的计算负 载,并且还能降低由于加密解密操作产生的时延。本公开的加密解密 架构可以在物联网设备与服务器之间建立一个承担加密解密任务且 可信任的中转,且该中转是已经存在于通信***中的边缘交换机。此 外,通过使用可编程边缘交换机,可以将AES加密和解密的计算从 物联网设备转移到可编程边缘交换机,从而可以是物联网设备获得更 好的性能、更高的吞吐量和更低的安全数据传输延迟。
图6示出了可以用来实现本公开的实施例的示例电子设备600的示 意性框图。例如,电子设备600可被用于实现图1中所示的计算设备130。 如图所示,电子设备600包括中央处理单元(CPU)601,其可以根据存 储在只读存储器(ROM)602中的计算机程序指令或者从存储单元608 加载到随机访问存储器(RAM)603中的计算机程序指令,来执行各种 适当的动作和处理。在RAM 603中,还可存储设备600操作所需的各种 程序和数据。CPU 601、ROM602以及RAM 603通过总线604彼此相连。 输入/输出(I/O)接口605也连接至总线604。
设备600中的多个部件连接至I/O接口605,包括:输入单元606, 例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器 等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网 卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/ 数据。
处理单元601执行上文所描述的各个方法和处理,例如过程200、 300和400。例如,在一些实施例中,上文所描述的各个方法和处理 可以被实现为计算机软件程序或计算机程序产品,其被有形地包含于 机器可读介质,例如存储单元608。在一些实施例中,计算机程序的 部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安 装到设备600上。当计算机程序加载到RAM 603并由CPU 601执行 时,可以执行上文描述的任何过程中的一个或多个步骤。备选地,在 其他实施例中,CPU 601可以通过其他任何适当的方式(例如,借助 于固件)而被配置为执行诸如过程200、300和400的过程。
本公开可以是方法、装置、***和/或计算机程序产品。计算机程 序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各 个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使 用的指令的有形设备。计算机可读存储介质例如可以是――但不限于 ――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体 存储设备、任意的非暂时性存储设备或者上述的任意合适的组合。计 算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计 算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可 擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器 (SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘 (DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打 孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的 计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其 他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如, 通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质 下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广 域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜 传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计 算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络 接口从网络接收计算机可读程序指令,并转发该计算机可读程序指 令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集 架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、 状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码 或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似 的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、 部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用 户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务 器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种 类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机, 或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因 特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态 信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵 列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机 可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(***)和计算机程序 产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图 和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以 由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或 其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这 些指令在通过计算机或其它可编程数据处理装置的处理单元执行时, 产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作 的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介 质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特 定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品, 其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作 的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处 理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或 其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使 得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实 现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的***、 方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点 上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的 一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现 规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所 标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连 续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序 执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的 每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的 功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与 计算机指令的组合来实现。
以上已经描述了本公开的各实施方式,上述说明是示例性的,并 非穷尽性的,并且也不限于所披露的各实施方式。在不偏离所说明的 各实施方式的范围和精神的情况下,对于本技术领域的普通技术人员 来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在 最好地解释各实施方式的原理、实际应用或对市场中的技术的改进, 或者使本技术领域的其他普通技术人员能理解本文披露的各实施方 式。
Claims (15)
1.一种在边缘交换机处实现的数据加密方法,包括:
从所述源设备接收用于加密操作或解密操作的加密解密信息;
基于所述加密解密信息中的加密信息对从所述源设备接收的数据包进行加密,以生成加密数据包;以及
将所述加密数据包发送至所述数据包所指示的目标设备。
2.根据权利要求1所述的方法,其中对所述数据包进行加密包括:
从所述加密信息中获取用于加密运算的查找表;以及
基于所述查找表对所述数据包执行加密运算。
3.根据权利要求1所述的方法,其中对所述数据包进行加密包括:
利用所述边缘交换机中的可编程电路部件对所述数据包进行加密。
4.根据权利要求3所述的方法,其中利用所述可编程电路部件对所述数据包进行加密包括:
将所述数据包划分为多个数据块;
利用所述可编程电路部件对所述多个数据块中的每个数据块进行加密,以确定经加密的相应数据块;以及
对经加密的所述相应数据块进行组合,以生成所述加密数据包。
5.根据权利要求1所述的方法,还包括:
响应于从所述源设备接收到加密服务请求消息,向所述源设备发送加密服务响应消息,以告知所述源设备所述边缘交换机能够提供加密服务。
6.根据权利要求1所述的方法,还包括:
从所述目标设备接收另一加密数据包;
基于所述加密解密信息中的解密信息对所述另一加密数据包进行解密,以生成解密数据包;以及
向所述源设备发送所述解密数据包。
7.根据权利要求1所述的方法,其中所述源设备是物联网设备,所述目标设备是服务器,并且所述边缘交换机被设置在所述物联网设备附近。
8.一种电子设备,包括:
处理器;以及
与所述处理器耦合的存储器,所述存储器具有存储于其中的指令,所述指令在被处理器执行时使所述电子设备执行动作,所述动作包括:
在边缘交换机处从所述源设备接收用于加密操作或解密操作的加密解密信息;
基于所述加密解密信息中的加密信息对从所述源设备接收的数据包进行加密,以生成加密数据包;以及
将所述加密数据包发送至所述数据包所指示的目标设备。
9.根据权利要求8所述的设备,其中对所述数据包进行加密包括:
从所述加密信息中获取用于加密运算的查找表;以及
基于所述查找表对所述数据包执行加密运算。
10.根据权利要求8所述的设备,其中对所述数据包进行加密包括:
利用所述边缘交换机中的可编程电路部件对所述数据包进行加密。
11.根据权利要求10所述的设备,其中利用所述可编程电路部件对所述数据包进行加密包括:
将所述数据包划分为多个数据块;
利用所述可编程电路部件对所述多个数据块中的每个数据块进行加密,以确定经加密的相应数据块;以及
对经加密的所述相应数据块进行组合,以生成所述加密数据包。
12.根据权利要求8所述的设备,其中所述动作还包括:
响应于从所述源设备接收到加密服务请求消息,向所述源设备发送加密服务响应消息,以告知所述源设备所述边缘交换机能够提供加密服务。
13.根据权利要求8所述的设备,其中所述动作还包括:
从所述目标设备接收另一加密数据包;
基于所述加密解密信息中的解密信息对所述另一加密数据包进行解密,以生成解密数据包;以及
向所述源设备发送所述解密数据包。
14.根据权利要求8所述的设备,其中所述源设备是物联网设备,所述目标设备是服务器,并且所述边缘交换机被设置在所述物联网设备附近。
15.一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括机器可执行指令,所述机器可执行指令在被执行时使机器执行根据权利要求1至7中的任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110442980.0A CN115242415A (zh) | 2021-04-23 | 2021-04-23 | 边缘交换机处实现的数据加密方法、电子设备和程序产品 |
| US17/321,720 US11936635B2 (en) | 2021-04-23 | 2021-05-17 | Method, electronic device, and program product implemented at an edge switch for data encryption |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110442980.0A CN115242415A (zh) | 2021-04-23 | 2021-04-23 | 边缘交换机处实现的数据加密方法、电子设备和程序产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115242415A true CN115242415A (zh) | 2022-10-25 |
Family
ID=83666472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110442980.0A Pending CN115242415A (zh) | 2021-04-23 | 2021-04-23 | 边缘交换机处实现的数据加密方法、电子设备和程序产品 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11936635B2 (zh) |
| CN (1) | CN115242415A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101554009A (zh) * | 2005-10-31 | 2009-10-07 | 思科技术公司 | 用于在网络设备端口处执行静止数据加密的方法和装置 |
| CN104202187A (zh) * | 2014-08-28 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
| CN106980794A (zh) * | 2017-04-01 | 2017-07-25 | 北京元心科技有限公司 | 基于TrustZone的文件加解密方法、装置及终端设备 |
| CN107332660A (zh) * | 2017-06-28 | 2017-11-07 | 深圳市对接平台科技发展有限公司 | 一种新型移动数据加密安全*** |
| CN109510826A (zh) * | 2018-11-16 | 2019-03-22 | 中国人民解放军战略支援部队信息工程大学 | 基于可更新加密的安全可靠云存储方法及装置 |
| CN110710153A (zh) * | 2017-06-14 | 2020-01-17 | 萨思学会有限公司 | 分布式数据集加密和解密 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2366163A (en) * | 2000-08-14 | 2002-02-27 | Global Knowledge Network Ltd | Inter-network connection through intermediary server |
| KR100667283B1 (ko) * | 2005-02-01 | 2007-01-12 | 삼성전자주식회사 | 애드혹 망 및 인프라스트럭처 망을 연결하는 게이트웨이,상기 게이트웨이를 이용하는 서비스제공자 등록방법, 및탐색방법. |
| US9197600B2 (en) * | 2011-09-29 | 2015-11-24 | Israel L'Heureux | Smart router |
| US9185088B1 (en) * | 2013-02-19 | 2015-11-10 | Amazon Technologies, Inc. | Secure and efficient communication through an intermediary |
| US10756964B2 (en) * | 2015-05-29 | 2020-08-25 | Espressif Systems (Shanghai) Co., Ltd. | Internet of things configuration method and system for secure low-power-consumption proxy device |
| CN104968037B (zh) * | 2015-05-29 | 2018-07-06 | 乐鑫信息科技(上海)有限公司 | 基于代理设备的低功耗物联网实现方法 |
| US10412064B2 (en) * | 2016-01-11 | 2019-09-10 | Centurylink Intellectual Property Llc | System and method for implementing secure communications for internet of things (IOT) devices |
| US10097517B2 (en) * | 2016-09-01 | 2018-10-09 | Cybersight, Inc. | Secure tunnels for the internet of things |
| US10520110B2 (en) * | 2016-10-10 | 2019-12-31 | Citrix Systems, Inc. | Systems and methods for executing cryptographic operations across different types of processing hardware |
| EP3883209B1 (en) * | 2017-03-08 | 2023-06-28 | Hitachi Energy Switzerland AG | Method and devices for preserving relative timing and ordering of data packets in a network |
| US10346614B1 (en) * | 2019-03-01 | 2019-07-09 | Hajoon Ko | Security system and method for internet of things |
| US11228434B2 (en) * | 2019-03-20 | 2022-01-18 | Zettaset, Inc. | Data-at-rest encryption and key management in unreliably connected environments |
| US20210067956A1 (en) * | 2019-08-30 | 2021-03-04 | U-Blox Ag | Methods and apparatus for end-to-end secure communications |
| CN113206815B (zh) * | 2020-01-31 | 2024-02-20 | 伊姆西Ip控股有限责任公司 | 用于加解密的方法、可编程交换机和计算机可读存储介质 |
| US11369006B2 (en) * | 2020-06-19 | 2022-06-21 | Urbit Group LLC | IoT gateway device, system, and computer program product |
| US11323264B2 (en) * | 2020-07-30 | 2022-05-03 | International Business Machines Corporation | Validating tracked portions of received sensor data using computer cryptographic processing |
-
2021
- 2021-04-23 CN CN202110442980.0A patent/CN115242415A/zh active Pending
- 2021-05-17 US US17/321,720 patent/US11936635B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101554009A (zh) * | 2005-10-31 | 2009-10-07 | 思科技术公司 | 用于在网络设备端口处执行静止数据加密的方法和装置 |
| CN104202187A (zh) * | 2014-08-28 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
| CN106980794A (zh) * | 2017-04-01 | 2017-07-25 | 北京元心科技有限公司 | 基于TrustZone的文件加解密方法、装置及终端设备 |
| CN110710153A (zh) * | 2017-06-14 | 2020-01-17 | 萨思学会有限公司 | 分布式数据集加密和解密 |
| CN107332660A (zh) * | 2017-06-28 | 2017-11-07 | 深圳市对接平台科技发展有限公司 | 一种新型移动数据加密安全*** |
| CN109510826A (zh) * | 2018-11-16 | 2019-03-22 | 中国人民解放军战略支援部队信息工程大学 | 基于可更新加密的安全可靠云存储方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11936635B2 (en) | 2024-03-19 |
| US20220345450A1 (en) | 2022-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11784801B2 (en) | Key management method and related device | |
| US9838434B2 (en) | Creating and managing a network security tag | |
| CN106713320B (zh) | 终端数据传输的方法和装置 | |
| EP3751781B1 (en) | Overhead reduction for link protection | |
| Liu et al. | Secure Video Streaming with Lightweight Cipher PRESENT in an SDN Testbed. | |
| CN113206815B (zh) | 用于加解密的方法、可编程交换机和计算机可读存储介质 | |
| CN115989662A (zh) | 加密隧道的部分分组加密 | |
| US11005659B2 (en) | Protocol independent forwarding of traffic for content inspection service | |
| CN115242415A (zh) | 边缘交换机处实现的数据加密方法、电子设备和程序产品 | |
| US12015702B2 (en) | Key sharing for media frames using blockchain | |
| CN113961931A (zh) | adb工具使用方法、装置和电子设备 | |
| CN110390516B (zh) | 用于数据处理的方法、装置和计算机存储介质 | |
| US11997189B2 (en) | Encrypted communication using counter mode encryption and secret keys | |
| US11539679B1 (en) | Systems and methods for providing a quantum-proof key exchange | |
| CN116738472B (zh) | 应用于任务数据交互的任务数据加密方法、装置与设备 | |
| US9112908B2 (en) | System and method for managing TLS connections among separate applications within a network of computing systems | |
| US20240185107A1 (en) | Target application profile for quantum computing | |
| WO2023124530A1 (zh) | 一种数据加密***及相关产品 | |
| US11201856B2 (en) | Message security | |
| US10708246B1 (en) | Extending cryptographic-key lifespan in network encryption protocols | |
| CN115883112A (zh) | 网络安全实时控制方法、***、电子设备、介质及程序 | |
| KR20160063902A (ko) | 암호 통신 방법 및 장치 | |
| CN116980151A (zh) | 用于地址加密的方法、电子设备和计算机程序产品 | |
| CN116501288A (zh) | 边缘交换机处实现的数据处理方法、电子设备和程序产品 | |
| WO2024137108A1 (en) | Methods for migrating private hardware security keys and devices thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |