CN115296847B - 流量控制方法、装置、计算机设备和存储介质 - Google Patents

流量控制方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN115296847B
CN115296847B CN202210788214.4A CN202210788214A CN115296847B CN 115296847 B CN115296847 B CN 115296847B CN 202210788214 A CN202210788214 A CN 202210788214A CN 115296847 B CN115296847 B CN 115296847B
Authority
CN
China
Prior art keywords
flow control
client
session ticket
connection
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210788214.4A
Other languages
English (en)
Other versions
CN115296847A (zh
Inventor
韩华伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Tuya Information Technology Co Ltd
Original Assignee
Hangzhou Tuya Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Tuya Information Technology Co Ltd filed Critical Hangzhou Tuya Information Technology Co Ltd
Priority to CN202210788214.4A priority Critical patent/CN115296847B/zh
Publication of CN115296847A publication Critical patent/CN115296847A/zh
Application granted granted Critical
Publication of CN115296847B publication Critical patent/CN115296847B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种流量控制方法、装置、计算机设备和存储介质,其中,该方法包括:获取客户端发送的连接请求,根据连接请求对所述客户端进行身份验证;通过会话票证将流控令牌数发送给通过身份验证的客户端,以与客户端建立连接;在每次与客户端建立连接时,若客户端发送的连接请求中具有会话票证,则基于会话票证中的流控令牌数对客户端进行流量控制。通过本申请,能够在建立连接的过程中,基于会话票证进行流量控制,无需额外的分布式存储***,解决了通过额外的分布式存储***进行流量控制,存储成本和复杂度过高的问题。

Description

流量控制方法、装置、计算机设备和存储介质
技术领域
本申请涉及网络通信技术领域,特别是涉及一种流量控制方法、装置、计算机设备和存储介质。
背景技术
在物联网场景下,存在不同处理速率的终端设备和不同类型的通信网络,传输的数据大多对时延和带宽具有一定要求。为了保障物联网中各通信设备之间进行有效的数据传输,使得各链路上的数据流量符合要求,物联网云端服务器平台通常会对设备连接频率做限制,也就是流量控制。
目前在进行流量控制时,首先需要建立服务端与客户端的传输层连接和双向的身份认证,然后通过额外的分布式存储***统计客户端对服务端的连接次数,这样提高了进行流量控制的存储成本的同时,也增加了分布式统计计数的复杂度,因此存在使用分布式存储***进行流量控制时,存储成本和复杂度过高的问题。
针对相关技术中通过额外的分布式存储***进行流量控制,存储成本和复杂度过高的问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种流量控制方法、装置、计算机设备和存储介质,以解决相关技术中通过额外的分布式存储***进行流量控制,存储成本和复杂度过高的问题。
第一个方面,在本实施例中提供了一种流量控制方法,包括:
获取客户端发送的连接请求,根据所述连接请求对所述客户端进行身份验证;
通过会话票证将流控令牌数发送给通过所述身份验证的客户端,以与客户端建立连接;
在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制。
在其中的一些实施例中,所述获取客户端发送的连接请求,并基于所述连接请求对所述客户端进行身份验证,包括:
提取所述连接请求中客户端的身份标识,在业务集群中查询得到相应的客户端密钥;
对查询到所述身份标识的客户端,基于HMAC算法和所述客户端密钥进行身份验证。
在其中的一些实施例中,所述对查询到所述身份标识的客户端,基于所述客户端密钥和HMAC算法进行所述身份验证,包括:
根据所述客户端密钥和加密套件,基于HMAC算法计算得到第一认证码;
将所述加密套件传输给客户端,获取客户端返回的第二认证码,通过比较所述第一认证码和所述第二认证码进行身份认证;
若所述第一认证码与所述第二认证码相同,则身份认证通过,保存所述身份标识;
若所述第一认证码与所述第二认证码不相同,则身份认证不通过,终止建立连接请求。
在其中的一些实施例中,所述通过会话票证将流控令牌数发送给通过身份验证的客户端,以与客户端建立连接,包括:
基于连接建立过程中得到的会话密钥,将所述会话票证加密传输给通过身份验证的客户端;
所述会话票证中包括通过身份验证的客户端的身份标识以及相应的所述流控令牌数。
在其中的一些实施例中,所述在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制,包括:
在每次与客户端建立连接时,检查所述连接请求中是否包含会话票证;
若包含会话票证,则基于所述流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制;
若不包含会话票证,则重新与客户端进行身份验证,以建立连接。
在其中的一些实施例中,所述基于所述流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制,包括:
当所述流控令牌数不为0,且流控令牌和会话票证都在有效时间内,则与客户端建立连接,并重新生成会话票证并发送给客户端;
当所述流控令牌数为0,则终止相应客户端的建立连接请求;
当所述流控令牌过期,则更新所述流控令牌的有效时间,并重新生成会话票证并发送给客户端;
当所述会话票证过期,则重新与客户端进行身份验证,并生成会话票证发送给客户端。
第二个方面,在本实施例中提供了一种流量控制装置,包括:第一验证模块、第一连接模块以及第一流控模块;
所述第一验证模块,用于获取客户端发送的连接请求,根据所述连接请求对所述客户端进行身份验证;
所述第一连接模块,用于通过会话票证将流控令牌数发送给通过所述身份验证的客户端,以与客户端建立连接;
所述第一流控模块,用于在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制。
第三个方面,在本实施例中提供了另一种流量控制方法,包括:
将连接请求发送给服务端;所述连接请求中包括相应的身份标识,以在服务端进行身份验证;
接收并保存服务端传输的会话票证和所述会话票证中包含的流控令牌数,并与服务端建立连接;
在每次与服务端建立连接时,通过连接请求将所述会话票证发送给服务端,并基于所述会话票证中的流控令牌数进行流量控制。
在其中的一些实施例中,所述将连接请求发送给服务端;所述连接请求中包括相应的身份标识,以在服务端进行身份验证,包括:
将包括身份标识的连接请求发送给服务端;
获取服务端查询所述身份标识后返回的加密套件,根据所述加密套件和本地密钥,基于HMAC算法计算得到第二认证码,并传输给服务端进行身份验证。
第四个方面,在本实施例中提供了另一种流量控制装置,包括:第二验证模块、第二连接模块以及第二流控模块;
所述第二验证模块,用于将连接请求发送给服务端;所述连接请求中包括相应的身份标识,以在服务端进行身份验证;
所述第二连接模块,用于接收并保存服务端传输的会话票证和所述会话票证中包含的流控令牌数,并与服务端建立连接;
所述第二流控模块,用于在每次与服务端建立连接时,通过建立连接请求将所述会话票证发送给服务端,并基于所述会话票证中的流控令牌数进行流量控制。
第五个方面,在本实施例中提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一和第三个方面所述的流量控制方法。
第六个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一和第三个方面所述的流量控制方法。
与相关技术相比,在本实施例中提供的一种流量控制方法、装置、计算机设备和存储介质,通过获取客户端发送的连接请求,根据所述连接请求对所述客户端进行身份验证;通过会话票证将流控令牌数发送给通过所述身份验证的客户端,以与客户端建立连接;在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制,解决了通过额外的分布式存储***进行流量控制,存储成本和复杂度过高的问题,实现了在建立连接的过程中,基于会话票证进行流量控制,无需额外的分布式存储***的效果。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为一个实施例中流量控制方法的终端的硬件结构框图;
图2是现有技术中流量控制方法的示意图;
图3为一个实施例中流量控制方法的流程图;
图4为一个实施例中服务端对客户端进行身份认证和传输会话票证过程的示意图;
图5为一个实施例中流量放行时,客户端和服务端之间传输过程的示意图;
图6为一个实施例中触发流控时,客户端和服务端之间传输过程的示意图;
图7为一个实施例中流控令牌过期时,客户端和服务端之间传输过程的示意图;
图8为一个实施例中会话票证过期时,客户端和服务端之间传输过程的示意图;
图9为一个实施例中另一种流量控制方法的流程图;
图10为一个优选实施例中流量控制方法的流程图;
图11为一个实施例中流量控制装置的结构框图;
图12为一个实施例中另一种流量控制装置的结构框图。
图中:102、处理器;104、存储器;106、传输设备;108、输入输出设备;10、第一验证模块;11、第一连接模块;12、第一流控模块;20、第二验证模块;21、第二连接模块;22、第二流控模块。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和***、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,其中终端可以是客户端和/或服务端,图1是本实施例的流量控制方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的流量控制方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在物联网场景下,存在不同处理速率的终端设备和不同类型的通信网络,传输的数据大多对时延和带宽具有一定要求。为了保障物联网中各通信设备之间进行有效的数据传输,使得各链路上的数据流量符合要求,物联网云端服务器平台通常会对设备连接频率做限制,也就是流量控制。
对设备进行流量控制的前提条件是身份认证,确保设备身份的真实性。首先需要建立服务端与客户端的传输层连接和双向的身份认证,然后通过额外的分布式存储***统计客户端对服务端的连接次数。
图2是现有技术中流量控制方法的示意图,如图2所示,需先建立TLS安全连接,由业务载荷(payload)中携带客户端身份标识和密钥信息传输给服务端,服务端接收到payload后解析出身份标识和密钥信息进行身份验证,再基于身份标识和累计连接次数进行流量控制。通常的TLS(安全传输层协议)单向认证流程仅认证服务端,无法完成对设备端的认证,而完善的TLS双向认证流程需要在设备端预置证书,证书的管理、维护以及传输代价较高。即使完成了TLS双向认证,如果业务服务器无法获取到TLS层信息,依然无法识别业务payload信息中设备身份的真实性,需要做进一步校验。并且,额外的分布式存储***提高了存储成本的同时,也增加了分布式统计计数的复杂度。
为了解决以上问题,在以下实施例中提供了一种流量控制方法,无需依赖额外的分布式存储***实现流量控制,并且能够在TLS协议中实现更快速的服务端与客户端的双向身份认证。
在本实施例中提供了一种流量控制方法,图3是本实施例方法的流程图,如图3所示,该方法包括以下步骤:
步骤S310,获取客户端发送的连接请求,根据连接请求对客户端进行身份验证。
具体地,在TLS握手协议中,客户端发送的连接请求中包括生成的瞬时随机数、身份标识以及客户端支持的加密套件集合。在服务端中,获取客户端发送的连接请求,通过TLS握手协议与客户端的连接的同时,根据身份标识对客户端进行身份验证。其中具体基于HMAC算法生成认证码,在TLS连接建立的前期过程中尽早对客户端进行身份验证,以避免与无效客户端的连接建立,降低连接成本。
步骤S320,通过会话票证将流控令牌数发送给通过身份验证的客户端,以与客户端建立连接。
具体地,对通过身份验证的客户端,将客户端的身份标识存入TLS的上下文(context),继续进行TLS连接的建立。
在TLS连接中,服务端通过发送new_session_ticket消息来派发会话票证(session_ticket),具体通过服务端配置的密钥加密,再使用客户端和服务端在握手协议中协商得到的会话密钥(session_key)加密后在加密通道中传输到客户端。在本步骤中,在会话票证中加入对应客户端的身份标识和发给该客户端的流控令牌数(tokens),客户端收到会话票证后,保存在本地安全存储中。其中,流控令牌数表示服务端设置的在一定时间段内该客户端最多的连接次数。
步骤S330,在每次与客户端建立连接时,若客户端发送的连接请求中具有会话票证,则基于会话票证中的流控令牌数对客户端进行流量控制。
具体地,在后续每次建立连接时,客户端发送给服务端的连接请求中携带其本地存储的会话票证。服务端收到连接请求后,检查如果有会话票证,则解密恢复会话票证,基于流控令牌数对客户端进行流量控制,具体结合流控令牌数和令牌有效期、会话票证有效期判断当前客户端能否与服务端完成连接,以实现流量控制。
通过上述步骤,在客户端和服务端连接建立的过程中,将包括流控令牌数的会话票证传输给客户端进行保存,再在后续每次建立连接时,根据客户端传输的会话票证中的流控令牌数进行流量控制,从而无需使用额外的分布式存储***对连接次数进行计数。
进一步地,现有的流量控制方法在进行双向身份认证时,由于TLS单向认证流程仅认证服务端,无法完成对设备端的认证,而TLS双向认证代价较高,因此服务端还需要单独对客户端额外进行一次身份验证,并且,高昂的TLS连接已经建立后,如果此时验证客户端身份失败,那么还会造成连接成本浪费的问题。上述步骤在客户端和服务端连接建立的前期过程中尽早对客户端进行身份验证,尽早识别出非法身份的设备连接(或攻击)流量加以阻挡,从而减少TLS建立连接成本和到达业务服务端的流量成本,以避免与无效客户端的连接建立,降低连接成本。
在其中的一些实施例中,图4为本实施例中服务端对客户端进行身份认证和传输会话票证过程的示意图,如图4所示,服务端对客户端进行身份认证的过程包括以下步骤:
提取连接请求中客户端的身份标识,在业务集群中查询得到相应的客户端密钥;对查询到身份标识的客户端,基于HMAC算法和客户端密钥进行身份验证。
具体地,服务端收到连接请求(client_hello)后,提取出客户端的身份标识,首先在业务集群中查询该身份标识是否存在,如果存在,则获取对应的客户端密钥,并且在服务端也生成一个服务端瞬时随机数。根据连接请求中客户端支持的加密套件集合,与服务端支持的加密套件集合,协商得到本次连接将要使用的加密套件。其中,业务集群是业务服务器集群,存储着服务端支持的客户端的身份标识和相应的客户端密钥。
进一步地,根据客户端密钥和加密套件,基于HMAC算法计算得到第一认证码;
将加密套件传输给客户端,获取客户端返回的第二认证码,通过比较第一认证码和第二认证码进行身份认证;
若第一认证码与第二认证码相同,则身份认证通过,保存身份标识;
若第一认证码与第二认证码不相同,则身份认证不通过,终止建立连接请求。
具体地,如图4所示,在服务端根据客户端密钥和协商得到的加密套件,对客户端的身份标识、客户端瞬时随机数以及服务端瞬时随机数进行HMAC计算,得到服务端的第一认证码。服务端再通过向客户端发送hello_verify_request消息,传输服务端瞬时随机数和协商得到的加密套件。
客户端接收到hello_verify_request消息后,提取出服务端瞬时随机数和加密套件,由于物联网设备通常将身份标识和设备密钥烧录在设备固件(ROM)中,即一设备、一身份、一密钥,利用本地的客户端密钥同样对客户端的身份标识、客户端瞬时随机数以及服务端瞬时随机数进行HMAC计算,得到客户端的第二认证码。然后通过向服务端发送client_hello_2消息,传输身份标识、第二认证码以及加密套件。
服务端收到client_hello_2消息后,通过比较第一认证码和第二认证码进行身份认证,若第一认证码与第二认证码相同,则身份认证通过,将客户端的身份标识存入TLS的上下文(context),继续进行TLS握手过程。若第一认证码与第二认证码不相同,则身份认证不通过,服务端向客户端发送Alert消息,终止连接建立流程。
通过本实施例中,能够在客户端和服务端连接建立的前期过程中,通过HMAC算法计算认证码,尽早对客户端进行身份验证,尽早识别出非法身份的设备连接(或攻击)流量加以阻挡,从而减少TLS建立连接成本和到达业务服务端的流量成本。服务器端无需再关注设备身份认证等安全域的问题,避免连接建立后,才发现设备或客户端身份认证失败的情况,也即避免与无效客户端的连接建立,从而降低连接成本。
在其中的一些实施例中,如图4所示,服务端与客户端传输会话票证的过程包括:
基于连接建立过程中得到的会话密钥,将会话票证加密传输给通过身份验证的客户端;会话票证中包括通过身份验证的客户端的身份标识以及相应的流控令牌数。
具体地,在客户端发送client_finished之后,服务端向客户端发送server_finished消息之前,首先通过发送new_session_ticket消息来派发会话票证(session_ticket),具体通过服务端配置的密钥加密,再使用客户端和服务端在握手协议中协商得到的会话密钥(session_key)加密后在加密通道中传输到客户端。在本实施例中,在会话票证中加入身份标识和发给该客户端的流控令牌数tokens,以及令牌过期时间戳token_expired_time,和会话票证过期时间戳ticket_expired_time。其中,由于流控令牌数包含在会话票证中,因此设置token_expired_time<=ticket_expired_time,以保证合理的令牌和会话票证有效期。
TLS握手成功后,客户端在接收到加密传输的会话票证后,保存在本地安全存储中。服务端取出TLS上下文中的身份标识,并添加到业务集群的payload中,在后续连接中再收到payload,说明已经对该身份标识进行过身份认证,并且在流控限制的连接次数范围内,因此无需再对该身份标识进行身份认证和连接次数限制。
通过本实施例中,基于TLS握手过程,将认证后的客户端身份标识和会话票证(session_ticket)将流控策略信息(流控令牌数、令牌过期时间戳以及会话票证过期时间戳)加密后发送至客户端保存,能够避免在服务端使用分布式存储***,减少存储成本,并且在TLS握手过程中完成客户端连接的流量控制,无需在TLS连接建立后,再对连接次数进行统计,能够减少分布式计数的复杂度。
在其中的一些实施例中,在每次与客户端建立连接时,若客户端发送的连接请求中具有会话票证,则基于会话票证中的流控令牌数对客户端进行流量控制,包括以下步骤:
在每次与客户端建立连接时,检查连接请求中是否包含会话票证;
若包含会话票证,则基于流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制;
若不包含会话票证,则重新与客户端进行身份验证,以建立连接。
具体地,在后续每次建立连接时,如果客户端本地存储有会话票证,则在客户端发送给服务端的第一个client_hello(连接请求)消息中携带会话票证。
服务端接收到client_hello消息后,检查其中是否包含会话票证。如果包含会话票证,则基于TLS建立过程中得到的会话密钥,解析恢复会话票证,得到身份标识、流控令牌数、令牌过期时间戳以及会话票证过期时间戳。如果不包含会话票证,则说明该客户端未进行过身份验证和流控控制,则重新与该客户端进行身份验证,以建立连接。
进一步地,在包含会话票证时,基于流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制,具体包括以下四种情况:
(1)当流控令牌数不为0,且流控令牌和会话票证都在有效时间内,则与客户端建立连接,并重新生成会话票证并发送给客户端。
图5是本实施例中流量放行时,客户端和服务端之间传输过程的示意图,如图5所示,在服务端对客户端发送的client_hello(连接请求)解析得到会话票证,如果流控令牌数不为0,并且当前时间小于令牌过期时间戳且小于会话票证过期时间戳,则说明流控令牌和会话票证都在有效时间内,本次TLS握手成功,其中,当前时间定义为接收到会话票证的服务端时间。再将流控令牌数减去1(tokens=tokens-1),说明本次连接消耗一个流控令牌数,并根据流控令牌数重新生成会话票证,通过new_session_ticket消息发送给客户端。
(2)当流控令牌数为0,则终止相应客户端的建立连接请求。
图6是本实施例中触发流控时,客户端和服务端之间传输过程的示意图,如图6所示,如果tokens等于0,表示流控令牌用完,服务端向客户端发送Alert消息终止连接请求。
(3)当流控令牌过期,则更新流控令牌的有效时间,并重新生成会话票证并发送给客户端。
图7是本实施例中流控令牌过期时,客户端和服务端之间传输过程的示意图,如图7所示,如果当前时间大于等于令牌过期时间戳,表示流量控制的时间窗口过期,重新生成令牌过期时间戳,其中令牌过期时间戳等于当前时间加流控时间窗口,流控时间窗口表示在一定时间窗口内,对客户端连接次数进行限制,以实现流量控制,其中token_expired_time=now+time_window。重置流控令牌数tokens,再重新生成会话票证session_ticket,通过new_session_ticket消息将会话票证发送给客户端。
(4)当会话票证过期,则重新与客户端进行身份验证,并生成会话票证发送给客户端。
图8是本实施例中会话票证过期时,客户端和服务端之间传输过程的示意图,如图8所示,如果当前时间now大于等于会话票证过期时间戳ticket_expired_time,表示会话票证session_ticket过期,则重新完成握手过程建立连接,并派发新的会话票证给客户端。
通过本实施例中提供的四种进行流量控制的情况,能够在客户端的传输中包含会话票证时,基于会话票证中的流控令牌数、会话票证过期时间戳以及令牌过期时间戳实现多种情况的流量控制,对相应的客户端进行流量放行或终止连接。
在本实施例中还提供了一种流量控制方法。图9是本实施例的另一种流量控制方法的流程图,如图9所示,该方法包括以下步骤:
步骤S910,将连接请求发送给服务端;连接请求中包括相应的身份标识,以在服务端进行身份验证。
具体地,在TLS握手协议中,客户端发送的连接请求中包括生成的瞬时随机数、身份标识以及客户端支持的加密套件集合,服务端通过TLS握手协议与客户端的连接的同时,根据身份标识基于HMAC算法对客户端进行身份验证。
步骤S920,接收并保存服务端传输的会话票证和会话票证中包含的流控令牌数,并与服务端建立连接。
具体地,对通过身份验证的客户端,服务端通过发送new_session_ticket消息来派发会话票证(session_ticket),具体通过服务端配置的密钥加密,再使用客户端和服务端在握手协议中协商得到的会话密钥(session_key)加密后在加密通道中传输到客户端。客户端收到会话票证后,保存在本地安全存储中,并在后续每次与服务端建立连接时,将会话票证传输给服务端。
步骤S930,在每次与服务端建立连接时,通过连接请求将会话票证发送给服务端,并基于会话票证中的流控令牌数进行流量控制。
具体地,在后续每次建立连接时,客户端发送给服务端的连接请求中携带其本地存储的会话票证。服务端收到连接请求后,检查如果有会话票证,则解密恢复会话票证,基于流控令牌数对客户端进行流量控制,具体结合流控令牌数和令牌有效期、会话票证有效期判断当前客户端能否与服务端完成连接,以实现流量控制。
通过上述步骤,在客户端和服务端连接建立的过程中,将包括流控令牌数的会话票证传输给客户端进行保存,再在后续每次建立连接时,根据客户端传输的会话票证中的流控令牌数进行流量控制,从而无需使用额外的分布式存储***对连接次数进行计数。进一步地,在客户端和服务端连接建立的前期过程中尽早对客户端进行身份验证,尽早识别出非法身份的设备连接(或攻击)流量加以阻挡,从而减少TLS建立连接成本和到达业务服务端的流量成本,以避免与无效客户端的连接建立,降低连接成本。
在其中的一些实施例中,上述将连接请求发送给服务端;连接请求中包括相应的身份标识,以在服务端进行身份验证,包括:
将包括身份标识的连接请求发送给服务端;获取服务端查询身份标识后返回的加密套件,根据加密套件和本地密钥,基于HMAC算法计算得到第二认证码,并传输给服务端进行身份验证。
具体地,根据以上实施例中,服务端在接收连接请求并校验身份标识后,进一步生成第一验证码,再通过向客户端发送hello_verify_request消息,传输服务端瞬时随机数和协商得到的加密套件。
客户端接收到hello_verify_request消息后,提取出服务端瞬时随机数和加密套件,由于物联网设备通常将身份标识和设备密钥烧录在设备固件(ROM)中,即一设备、一身份、一密钥,利用本地的客户端密钥同样对客户端的身份标识、客户端瞬时随机数以及服务端瞬时随机数进行HMAC计算,得到客户端的第二认证码。然后通过向服务端发送client_hello_2消息,传输身份标识、第二认证码以及加密套件。
通过本实施例中,能够在客户端和服务端连接建立的前期过程中,通过HMAC算法计算认证码,尽早对客户端进行身份验证,尽早识别出非法身份的设备连接(或攻击)流量加以阻挡,从而减少TLS建立连接成本和到达业务服务端的流量成本。
下面通过优选实施例对本实施例进行描述和说明。
图10是本优选实施例的流量控制方法的流程图,如图10所示,该方法包括以下步骤:
步骤S101,客户端向服务端发送连接请求,其中包括身份标识、客户端瞬时随机数以及客户端支持的加密套件集合。
步骤S102,服务端在业务集群中查询该身份标识,得到相应的客户端密钥,再结合协商得到的加密套件,基于HMAC算法计算得到服务端验证码。
步骤S103,客户端接收到服务端传输的服务端瞬时随机数和加密套件后,结合本地的客户端密钥,基于HMAC算法计算得到客户端验证码,并发送给服务端。
步骤S104,服务端通过比较服务端验证码和客户端认证码进行身份认证,对通过验证的客户端,保存身份标识,对验证失败的客户端,终止连接。
步骤S105,服务端将给该客户端设置的流控令牌数、令牌过期时间戳以及会话票证过期时间戳,通过会话票证加密后传输给客户端。
步骤S106,客户端接收并保存会话票证,在后续每次连接时,通过连接请求发送会话票证。
步骤S107,服务端根据会话票证中的流控令牌数、令牌过期时间戳以及会话票证过期时间戳,结合当前时间,对令牌和会话票证的有效时间进行判断,对请求连接的客户端进行流量控制。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中还提供了一种流量控制装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图11是本实施例的流量控制装置的结构框图,如图11所示,该装置包括:第一验证模块10、第一连接模块11以及第一流控模块12;
第一验证模块10,用于获取客户端发送的连接请求,根据连接请求对客户端进行身份验证。
第一连接模块11,用于通过会话票证将流控令牌数发送给通过身份验证的客户端,以与客户端建立连接。
第一流控模块12,用于在每次与客户端建立连接时,若客户端发送的连接请求中具有会话票证,则基于会话票证中的流控令牌数对客户端进行流量控制。
通过上述步骤,在客户端和服务端连接建立的过程中,将包括流控令牌数的会话票证传输给客户端进行保存,再在后续每次建立连接时,根据客户端传输的会话票证中的流控令牌数进行流量控制,从而无需使用额外的分布式存储***对连接次数进行计数。
进一步地,现有的流量控制方法在进行双向身份认证时,由于TLS单向认证流程仅认证服务端,无法完成对设备端的认证,而TLS双向认证代价较高,因此服务端还需要单独对客户端额外进行一次身份验证,并且,高昂的TLS连接已经建立后,如果此时验证客户端身份失败,那么还会造成连接成本浪费的问题。上述步骤在客户端和服务端连接建立的前期过程中尽早对客户端进行身份验证,尽早识别出非法身份的设备连接(或攻击)流量加以阻挡,从而减少TLS建立连接成本和到达业务服务端的流量成本,以避免与无效客户端的连接建立,降低连接成本。
在本实施例中还提供了另一种流量控制装置,如图12所示,该装置包括:第二验证模块20、第二连接模块21以及第二流控模块22;
第二验证模块20,用于将连接请求发送给服务端;连接请求中包括相应的身份标识,以在服务端进行身份验证。
第二连接模块21,用于接收并保存服务端传输的会话票证和会话票证中包含的流控令牌数,并与服务端建立连接。
第二流控模块22,用于在每次与服务端建立连接时,通过建立连接请求将会话票证发送给服务端,并基于会话票证中的流控令牌数进行流量控制。
通过上述步骤,在客户端和服务端连接建立的过程中,将包括流控令牌数的会话票证传输给客户端进行保存,再在后续每次建立连接时,根据客户端传输的会话票证中的流控令牌数进行流量控制,从而无需使用额外的分布式存储***对连接次数进行计数。进一步地,在客户端和服务端连接建立的前期过程中尽早对客户端进行身份验证,尽早识别出非法身份的设备连接(或攻击)流量加以阻挡,从而减少TLS建立连接成本和到达业务服务端的流量成本,以避免与无效客户端的连接建立,降低连接成本。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种计算机设备,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述计算机设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的流量控制方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种流量控制方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (11)

1.一种流量控制方法,其特征在于,包括:
获取客户端发送的连接请求,根据所述连接请求对所述客户端进行身份验证;
通过会话票证将流控令牌数发送给通过所述身份验证的客户端,以与客户端建立连接;
在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制;其中,具体是基于所述流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制,具体包括以下步骤:
当所述流控令牌数不为0,且流控令牌和会话票证都在有效时间内,则与客户端建立连接,并将流控令牌数减去1后,重新生成会话票证并发送给客户端;
当所述流控令牌数为0,则终止相应客户端的建立连接请求;
当所述流控令牌过期,则更新所述流控令牌的有效时间,并重新生成会话票证并发送给客户端;
当所述会话票证过期,则重新与客户端进行身份验证,并生成会话票证发送给客户端。
2.根据权利要求1所述的流量控制方法,其特征在于,所述获取客户端发送的连接请求,并基于所述连接请求对所述客户端进行身份验证,包括:
提取所述连接请求中客户端的身份标识,在业务集群中查询得到相应的客户端密钥;
对查询到所述身份标识的客户端,基于HMAC算法和所述客户端密钥进行身份验证。
3.根据权利要求2所述的流量控制方法,其特征在于,所述对查询到所述身份标识的客户端,基于所述客户端密钥和HMAC算法进行所述身份验证,包括:
根据所述客户端密钥和加密套件,基于HMAC算法计算得到第一认证码;
将所述加密套件传输给客户端,获取客户端返回的第二认证码,通过比较所述第一认证码和所述第二认证码进行身份认证;
若所述第一认证码与所述第二认证码相同,则身份认证通过,保存所述身份标识;
若所述第一认证码与所述第二认证码不相同,则身份认证不通过,终止建立连接请求。
4.根据权利要求1所述的流量控制方法,其特征在于,所述通过会话票证将流控令牌数发送给通过身份验证的客户端,以与客户端建立连接,包括:
基于连接建立过程中得到的会话密钥,将所述会话票证加密传输给通过身份验证的客户端;
所述会话票证中包括通过身份验证的客户端的身份标识以及相应的所述流控令牌数。
5.根据权利要求1所述的流量控制方法,其特征在于,所述在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制,包括:
在每次与客户端建立连接时,检查所述连接请求中是否包含会话票证;
若包含会话票证,则基于所述流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制;
若不包含会话票证,则重新与客户端进行身份验证,以建立连接。
6.一种流量控制装置,其特征在于,包括:第一验证模块、第一连接模块以及第一流控模块;
所述第一验证模块,用于获取客户端发送的连接请求,根据所述连接请求对所述客户端进行身份验证;
所述第一连接模块,用于通过会话票证将流控令牌数发送给通过所述身份验证的客户端,以与客户端建立连接;
所述第一流控模块,用于在每次与客户端建立连接时,若客户端发送的所述连接请求中具有所述会话票证,则基于所述会话票证中的流控令牌数对客户端进行流量控制;其中,具体是基于所述流控令牌数、流控令牌的有效时间以及会话票证的有效时间进行流量控制,具体包括以下步骤:
当所述流控令牌数不为0,且流控令牌和会话票证都在有效时间内,则与客户端建立连接,并将流控令牌数减去1后,重新生成会话票证并发送给客户端;
当所述流控令牌数为0,则终止相应客户端的建立连接请求;
当所述流控令牌过期,则更新所述流控令牌的有效时间,并重新生成会话票证并发送给客户端;
当所述会话票证过期,则重新与客户端进行身份验证,并生成会话票证发送给客户端。
7.一种流量控制方法,其特征在于,包括:
将连接请求发送给服务端;所述连接请求中包括相应的身份标识,以在服务端进行身份验证;
接收并保存服务端传输的会话票证和所述会话票证中包含的流控令牌数,并与服务端建立连接;其中,所述会话票证的获得步骤如下:
当所述流控令牌数不为0,且流控令牌和会话票证都在有效时间内,则与服务端建立连接,接收服务端将流控令牌数减去1后,重新生成的会话票证;
当所述流控令牌过期,则接收服务端更新所述流控令牌的有效时间后,重新生成的会话票证;
当所述会话票证过期,则接收服务端重新进行身份验证后,生成的会话票证;
在每次与服务端建立连接时,通过连接请求将所述会话票证发送给服务端,并基于所述会话票证中的流控令牌数进行流量控制。
8.根据权利要求7所述的流量控制方法,其特征在于,所述将连接请求发送给服务端;所述连接请求中包括相应的身份标识,以在服务端进行身份验证,包括:
将包括身份标识的连接请求发送给服务端;
获取服务端查询所述身份标识后返回的加密套件,根据所述加密套件和本地密钥,基于HMAC算法计算得到第二认证码,并传输给服务端进行身份验证。
9.一种流量控制装置,其特征在于,包括:第二验证模块、第二连接模块以及第二流控模块;
所述第二验证模块,用于将连接请求发送给服务端;所述连接请求中包括相应的身份标识,以在服务端进行身份验证;
所述第二连接模块,用于接收并保存服务端传输的会话票证和所述会话票证中包含的流控令牌数,并与服务端建立连接;其中,所述会话票证的获得步骤如下:
当所述流控令牌数不为0,且流控令牌和会话票证都在有效时间内,则与服务端建立连接,接收服务端将流控令牌数减去1后,重新生成的会话票证;
当所述流控令牌过期,则接收服务端更新所述流控令牌的有效时间后,重新生成的会话票证;
当所述会话票证过期,则接收服务端重新进行身份验证后,生成的会话票证;
所述第二流控模块,用于在每次与服务端建立连接时,通过建立连接请求将所述会话票证发送给服务端,并基于所述会话票证中的流控令牌数进行流量控制。
10.一种计算机设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至5或7至8中任一项所述的流量控制方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5或7至8中任一项所述的流量控制方法的步骤。
CN202210788214.4A 2022-07-06 2022-07-06 流量控制方法、装置、计算机设备和存储介质 Active CN115296847B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210788214.4A CN115296847B (zh) 2022-07-06 2022-07-06 流量控制方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210788214.4A CN115296847B (zh) 2022-07-06 2022-07-06 流量控制方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN115296847A CN115296847A (zh) 2022-11-04
CN115296847B true CN115296847B (zh) 2024-02-13

Family

ID=83821381

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210788214.4A Active CN115296847B (zh) 2022-07-06 2022-07-06 流量控制方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115296847B (zh)

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741447A (zh) * 2004-08-23 2006-03-01 威达电股份有限公司 网络安全管理的方法与***
CN101159675A (zh) * 2007-11-06 2008-04-09 中兴通讯股份有限公司 在ip多媒体子***中实现提高用户服务质量的方法
CN101197670A (zh) * 2006-12-08 2008-06-11 中兴通讯股份有限公司 用于为通过终端接入的用户提供鉴权的鉴权装置
CN202206418U (zh) * 2010-03-19 2012-04-25 F5网络公司 流量管理设备、***和处理器
CN104067595A (zh) * 2012-01-26 2014-09-24 迈克菲公司 用于在网络环境中的传输层安全会话票证的创新管理的***和方法
CN106657125A (zh) * 2017-01-03 2017-05-10 上海金融云服务集团安全技术有限公司 一种适用于在线身份认证的流控机制
CN108064436A (zh) * 2017-11-21 2018-05-22 深圳市汇顶科技股份有限公司 生物识别信息传输建立方法、装置、***及存储介质
CN108377186A (zh) * 2018-03-19 2018-08-07 北京工业大学 一种基于tcm的ssl协议
CN110224816A (zh) * 2019-05-15 2019-09-10 如般量子科技有限公司 基于密钥卡和序列号的抗量子计算应用***以及近距离节能通信方法和计算机设备
CN110417888A (zh) * 2019-07-30 2019-11-05 中国工商银行股份有限公司 流量控制方法、流量控制装置和电子设备
CN110622482A (zh) * 2017-06-01 2019-12-27 国际商业机器公司 Tls检查中的无高速缓存会话票证支持
CN110933078A (zh) * 2019-11-29 2020-03-27 交通银行股份有限公司 一种h5未登录用户会话跟踪方法
CN112104673A (zh) * 2020-11-12 2020-12-18 中博信息技术研究院有限公司 一种多媒体资源web访问权限认证方法
CN112149105A (zh) * 2020-10-21 2020-12-29 腾讯科技(深圳)有限公司 数据处理***、方法、相关设备及存储介质
CN113438071A (zh) * 2021-05-28 2021-09-24 荣耀终端有限公司 安全通信的方法及设备
CN113810330A (zh) * 2020-06-11 2021-12-17 华为技术有限公司 发送验证信息的方法、装置及存储介质
CN113923797A (zh) * 2021-09-26 2022-01-11 深圳市广和通无线通信软件有限公司 会话建立方法、装置、客户端设备和计算机存储介质
CN114567600A (zh) * 2022-01-27 2022-05-31 深圳市潮流网络技术有限公司 流量管理方法及相关设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10581948B2 (en) * 2017-12-07 2020-03-03 Akamai Technologies, Inc. Client side cache visibility with TLS session tickets

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741447A (zh) * 2004-08-23 2006-03-01 威达电股份有限公司 网络安全管理的方法与***
CN101197670A (zh) * 2006-12-08 2008-06-11 中兴通讯股份有限公司 用于为通过终端接入的用户提供鉴权的鉴权装置
CN101159675A (zh) * 2007-11-06 2008-04-09 中兴通讯股份有限公司 在ip多媒体子***中实现提高用户服务质量的方法
CN202206418U (zh) * 2010-03-19 2012-04-25 F5网络公司 流量管理设备、***和处理器
CN104067595A (zh) * 2012-01-26 2014-09-24 迈克菲公司 用于在网络环境中的传输层安全会话票证的创新管理的***和方法
CN106657125A (zh) * 2017-01-03 2017-05-10 上海金融云服务集团安全技术有限公司 一种适用于在线身份认证的流控机制
CN110622482A (zh) * 2017-06-01 2019-12-27 国际商业机器公司 Tls检查中的无高速缓存会话票证支持
CN108064436A (zh) * 2017-11-21 2018-05-22 深圳市汇顶科技股份有限公司 生物识别信息传输建立方法、装置、***及存储介质
CN108377186A (zh) * 2018-03-19 2018-08-07 北京工业大学 一种基于tcm的ssl协议
CN110224816A (zh) * 2019-05-15 2019-09-10 如般量子科技有限公司 基于密钥卡和序列号的抗量子计算应用***以及近距离节能通信方法和计算机设备
CN110417888A (zh) * 2019-07-30 2019-11-05 中国工商银行股份有限公司 流量控制方法、流量控制装置和电子设备
CN110933078A (zh) * 2019-11-29 2020-03-27 交通银行股份有限公司 一种h5未登录用户会话跟踪方法
CN113810330A (zh) * 2020-06-11 2021-12-17 华为技术有限公司 发送验证信息的方法、装置及存储介质
CN112149105A (zh) * 2020-10-21 2020-12-29 腾讯科技(深圳)有限公司 数据处理***、方法、相关设备及存储介质
CN112104673A (zh) * 2020-11-12 2020-12-18 中博信息技术研究院有限公司 一种多媒体资源web访问权限认证方法
CN113438071A (zh) * 2021-05-28 2021-09-24 荣耀终端有限公司 安全通信的方法及设备
CN113923797A (zh) * 2021-09-26 2022-01-11 深圳市广和通无线通信软件有限公司 会话建立方法、装置、客户端设备和计算机存储介质
CN114567600A (zh) * 2022-01-27 2022-05-31 深圳市潮流网络技术有限公司 流量管理方法及相关设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
iTLS: Lightweight Transport-Layer Security Protocol for IoT With Minimal Latency and Perfect Forward Secrecy;Pengkun Li等;IEEE Internet of Things Journal;全文 *
基于缓存的分布式统一身份认证优化机制研究;杨冬菊;冯凯;;计算机科学(第03期);全文 *
建立INTERNET上的安全环境;唐晓东;齐治昌;;计算机科学(第01期);全文 *

Also Published As

Publication number Publication date
CN115296847A (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN111835752B (zh) 基于设备身份标识的轻量级认证方法及网关
CN107277061B (zh) 基于iot设备的端云安全通信方法
CN110380852B (zh) 双向认证方法及通信***
CN110474875B (zh) 基于服务化架构的发现方法及装置
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
CN101156352B (zh) 基于移动网络端到端通信的认证方法、***及认证中心
CN110290525A (zh) 一种车辆数字钥匙的分享方法及***、移动终端
JP2017126987A (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
US10462671B2 (en) Methods and arrangements for authenticating a communication device
KR20050064119A (ko) 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법
CN109068321B (zh) 协商会话密钥的方法、***、移动终端及智能家居设备
CN109714360B (zh) 一种智能网关及网关通信处理方法
US11070537B2 (en) Stateless method for securing and authenticating a telecommunication
CN113852483B (zh) 网络切片连接管理方法、终端及计算机可读存储介质
CN108259486B (zh) 基于证书的端到端密钥交换方法
CN115296847B (zh) 流量控制方法、装置、计算机设备和存储介质
CN111510302A (zh) 一种提高安全通信协议中证书验证效率的方法和***
CN103986716A (zh) Ssl连接的建立方法以及基于ssl连接的通信方法及装置
CN110896683A (zh) 数据保护方法、装置以及***
EP4292245A1 (en) Method and device to provide a security level for communication
CA3204892A1 (en) Orchestrated quantum key distribution
CN115190450B (zh) 基于v2x证书建立tls通道的车联网通信方法和***
CN117395652B (zh) 无线网络两端通信的双向身份认证方法及***
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети
CN111212424B (zh) 一种从eps到5gs互操作时鉴权ue的方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant