專利名稱:安全套接字層協(xié)議報(bào)文轉(zhuǎn)發(fā)方法���、裝置���、系統(tǒng)及交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及報(bào)文轉(zhuǎn)發(fā)領(lǐng)域�,尤其涉及一種安全套接字層協(xié)議報(bào)文轉(zhuǎn)發(fā)方 法���、裝置���、系統(tǒng)及交換機(jī)。
背景技術(shù):
在網(wǎng)絡(luò)技術(shù)中���,報(bào)文是在網(wǎng)絡(luò)間的節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)的�����,例如�,安全套接字
層協(xié)議(SSL)虛擬專用網(wǎng)(VPN)作為一種新興的VPN技術(shù)���,與傳統(tǒng)的安 全I(xiàn)P傳輸協(xié)議(IPSec) VPN技術(shù)相比有著很多的優(yōu)勢(shì)l)SSLVPN的移 動(dòng)用戶使用標(biāo)準(zhǔn)的瀏覽器���,無需安裝客戶端程序,即可通過SSLVPN隧道接 入內(nèi)部網(wǎng)絡(luò)�;而IPSec VPN的移動(dòng)用戶需要安裝專門的IPSec客戶端軟件。2) SSL VPN用戶不受上網(wǎng)方式限制��,SSLVPN隧道可以穿透防火墻(Firewall); 而IPSec客戶端需要支持"網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)穿透"功能才能穿透Firewall, 而且需要Firewall打開用戶數(shù)據(jù)報(bào)協(xié)議(UDP) 500端口。 3) SSL VPN只需 要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備�,客戶端免維護(hù),降低了部署和支持費(fèi)用�����,而IPSec VPN需要管理通訊的每個(gè)節(jié)點(diǎn)�����,網(wǎng)管專業(yè)性較強(qiáng)��。4) SSL VPN更容易提供 細(xì)粒度訪問控制����,可以對(duì)用戶的權(quán)限��、資源���、服務(wù)����、文件進(jìn)行更加細(xì)致的控 制��,與第三方認(rèn)證系統(tǒng)(如遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)(radius)、活動(dòng)目錄(AD) 等)結(jié)合更加便捷�,而IPSec VPN主要基于IP五元組(源/目的IP、源/目的 端口�����、協(xié)議號(hào))對(duì)用戶進(jìn)行訪問控制��。
在實(shí)現(xiàn)本發(fā)明過程中�,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題隨著 網(wǎng)絡(luò)技術(shù)更新的加快,報(bào)文在網(wǎng)絡(luò)間轉(zhuǎn)發(fā)經(jīng)過越來越多的中間節(jié)點(diǎn)�����,而該報(bào) 文在每一個(gè)節(jié)點(diǎn)之間傳輸都需要進(jìn)行一次加解密操作�����。例如SSL VPN和IPSecVPN相比�����,SSLVPN在網(wǎng)對(duì)網(wǎng)的連接中有著先天不足���,特別是對(duì)于大型組網(wǎng) (例如星型拓?fù)浣M網(wǎng)��、層次拓?fù)浣M網(wǎng)等)���,即多級(jí)站點(diǎn)-交換機(jī)-站點(diǎn) (Site2Switch2Site)的實(shí)現(xiàn)中��,報(bào)文在每一個(gè)站點(diǎn)(Site)之間傳輸都需要進(jìn) 行一次SSL的加解密操作���。可見�,由于報(bào)文傳輸時(shí)是在網(wǎng)絡(luò)的多層節(jié)點(diǎn)間進(jìn) 行的,這些頻繁的加密和解密操作會(huì)嚴(yán)重影響網(wǎng)絡(luò)的性能�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種報(bào)文轉(zhuǎn)發(fā)方法����、裝置及系統(tǒng)���,減少了報(bào)文傳輸時(shí) 的加密和解密操作次數(shù)��,提高了網(wǎng)絡(luò)的性能�。
一方面��,本發(fā)明實(shí)施例提供了一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)方法, 所述方法包括接收用戶發(fā)送的資源請(qǐng)求報(bào)文�����,所述資源請(qǐng)求報(bào)文為安全套 接字層協(xié)議SSL報(bào)文��,采用SSL進(jìn)行加密��;
如果資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源����,則在資源請(qǐng)求報(bào)文中增加透 傳信息,所述透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié) 點(diǎn)�,不用在每一個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行一次SSL 的加解密操作,直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳 輸����;
將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
另一方面���,本發(fā)明實(shí)施例提供了一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)裝
置�����,所述裝置包括報(bào)文接收單元��,用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文��,所
述資源請(qǐng)求報(bào)文為安全套接字層協(xié)議SSL報(bào)文���,采用SSL進(jìn)行加密���;
信息增加單元,用于確定資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源的資源請(qǐng) 求報(bào)文�����,則在請(qǐng)求資源是外地資源的資源請(qǐng)求報(bào)文中增加透傳信息�����,所述透 傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié)點(diǎn)����,不用在每一 個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行一次SSL的加解密操作, 直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸�;
6信息透傳單元���,用于將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)��。 又一方面�,本發(fā)明實(shí)施例提供了一種交換機(jī),所述交換機(jī)包括報(bào)文接
收單元�,用于接收發(fā)送端發(fā)送的資源請(qǐng)求報(bào)文,所述資源請(qǐng)求報(bào)文為安全套
接字層協(xié)議SSL報(bào)文����,采用SSL進(jìn)行加密;
報(bào)文轉(zhuǎn)發(fā)單元�����,用于確定資源請(qǐng)求報(bào)文中包含透傳信息����,并將包含透傳
信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā);所述透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)
文的中間的各個(gè)交換機(jī)���,不用在每一個(gè)交換機(jī)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求
報(bào)文進(jìn)行一次SSL的加解密操作����,直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資 源請(qǐng)求報(bào)文進(jìn)行傳輸�����。
再一方面,本發(fā)明實(shí)施例提供了一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)系
統(tǒng)�,所述系統(tǒng)包括源站點(diǎn),用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文�����,所述資源
請(qǐng)求報(bào)文為安全套接字層協(xié)議SSL報(bào)文���,采用SSL進(jìn)行加密����;如果資源請(qǐng)求
報(bào)文請(qǐng)求的資源是外地資源�����,則在資源請(qǐng)求報(bào)文中增加透傳信息����,并將包含 透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā),所述透傳信息用于告知傳輸所述資源請(qǐng) 求報(bào)文的中間的各個(gè)交換節(jié)點(diǎn)��,不用在每一個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述
資源請(qǐng)求報(bào)文進(jìn)行一次SSL的加解密操作���,直接利用傳輸控制協(xié)議TCP協(xié)議 對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸���;
交換節(jié)點(diǎn),用于接收源站點(diǎn)發(fā)送的資源請(qǐng)求報(bào)文�,確定資源請(qǐng)求報(bào)文中 包含透傳信息,并將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)���;
目的站點(diǎn)����,用于接收交換機(jī)發(fā)送的資源請(qǐng)求報(bào)文���,并反饋請(qǐng)求的資源���。 上述技術(shù)方案具有如下有益效果因?yàn)樵谡?qǐng)求資源為外地資源的資源請(qǐng) 求報(bào)文中增加透傳信息,采用報(bào)文透傳的技術(shù)手段�����,只需要在源站點(diǎn)和目的 站點(diǎn)進(jìn)行一次加解密的操作�����,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換 節(jié)點(diǎn)都對(duì)報(bào)文進(jìn)行加解密操作,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸�����,減少了 報(bào)文傳輸時(shí)的加密和解密操作次數(shù)�,提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度,提高 了網(wǎng)絡(luò)的性能��。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地���,下面 描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講�, 在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。 圖1是本發(fā)明實(shí)施例一種SSL報(bào)文轉(zhuǎn)發(fā)方法流程圖�����; 圖2是本發(fā)明實(shí)施例一種SSL報(bào)文轉(zhuǎn)發(fā)裝置方框結(jié)構(gòu)圖; 圖3是本發(fā)明實(shí)施例另一種SSL報(bào)文轉(zhuǎn)發(fā)裝置方框結(jié)構(gòu)圖4是本發(fā)明實(shí)施例一種交換機(jī)方框結(jié)構(gòu)圖5是本發(fā)明實(shí)施例另一種交換機(jī)方框結(jié)構(gòu)圖6是本發(fā)明實(shí)施例一種SSL報(bào)文轉(zhuǎn)發(fā)系統(tǒng)結(jié)構(gòu)示意圖7為本發(fā)明實(shí)施例VPN站點(diǎn)間采用網(wǎng)狀拓?fù)浣M網(wǎng)示意圖8為本發(fā)明實(shí)施例VPN站點(diǎn)間采用星型拓?fù)浣M網(wǎng)示意圖9為本發(fā)明實(shí)施例VPN站點(diǎn)間釆用層次拓?fù)浣M網(wǎng)示意圖�����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚�、完整地描述��,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而 不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做 出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�����。
實(shí)施例一
如圖1所示����,是本發(fā)明實(shí)施例一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)方法
流程圖���,所述方法包括
步驟IOI,接收用戶發(fā)送的資源請(qǐng)求報(bào)文���。
所述資源請(qǐng)求報(bào)文為虛擬專用網(wǎng)的安全套接字層協(xié)議SSL報(bào)文����。在接收
用戶發(fā)送的資源請(qǐng)求報(bào)文之前�����,還可以包括在源站點(diǎn)與目的站點(diǎn)之間進(jìn)行會(huì)話密鑰共享���。進(jìn)行會(huì)話密鑰共享具體可以包括由一交換節(jié)點(diǎn)動(dòng)態(tài)生成一密 鑰�,生成的密鑰可以通過源/目的站點(diǎn)與交換節(jié)點(diǎn)��,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn) 之間的安全套接字層協(xié)議通道將生成的密鑰同步到所有的站點(diǎn)和交換節(jié)點(diǎn) 上�。通過上述會(huì)話密鑰共享,在下面的資源請(qǐng)求報(bào)文透傳時(shí)�����,只需要在源站 點(diǎn)和目的站點(diǎn)之間進(jìn)行一次加密和解密操作,增加該資源請(qǐng)求報(bào)文傳輸時(shí)的 安全性���。
需要說明的是����,動(dòng)態(tài)生成密鑰的交換機(jī)為預(yù)先選定的交換節(jié)點(diǎn)���。 步驟102,如果資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源�����,則在資源請(qǐng)求報(bào)文 中增加透傳信息�����。
如果資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源�,則在資源請(qǐng)求報(bào)文頭中增加 透傳信息。增加透傳信息的方式可以包括增加透傳標(biāo)簽����、增加透傳標(biāo)識(shí)信號(hào) 或者在報(bào)文的頭部增加資源ID號(hào)等方式。在這里需要說明的是�,外地資源為 另一個(gè)網(wǎng)域內(nèi)站點(diǎn)的資源�,即與發(fā)起資源請(qǐng)求報(bào)文的用戶不在同一個(gè)網(wǎng)域內(nèi) 的站點(diǎn)的資源����。
在這里透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié)
點(diǎn),不用在每一個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行一次SSL 的加解密操作�����,而是直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)
行傳輸���。在對(duì)請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文增加透傳信息后�,還可以 將路由信息增加到包文中�����,路由信息用于指示報(bào)文轉(zhuǎn)發(fā)的路徑等信息���。
步驟103��,將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)���。 可以利用路由信息中的轉(zhuǎn)發(fā)路徑等相關(guān)信息,將包含透傳信息的資源請(qǐng) 求報(bào)文透傳到接收端。報(bào)文在源/目的站點(diǎn)與交換節(jié)點(diǎn)之間����,和/或交換節(jié)點(diǎn)與 交換節(jié)點(diǎn)之間傳輸時(shí),中間的每個(gè)交換節(jié)點(diǎn)接收到資源請(qǐng)求報(bào)文時(shí)��,從中檢 測(cè)到透傳信息����,直接采用傳輸控制協(xié)議連接將包含透傳信息的資源請(qǐng)求報(bào)文 進(jìn)行轉(zhuǎn)發(fā),而不再對(duì)資源請(qǐng)求報(bào)文信息進(jìn)行加解密操作����。
在這里需要說明的是,交換節(jié)點(diǎn)在一個(gè)實(shí)施例中可以為具有相關(guān)功能的交換機(jī)���,在另一個(gè)實(shí)施例中也可以為具有類似功能的其它交換設(shè)備。
上述本發(fā)明實(shí)施例方法因?yàn)樵谡?qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文中增 加透傳信息���,采用報(bào)文透傳的技術(shù)手段��,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一 次加解密的操作����,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào) 文進(jìn)行加解密操作,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸����,減少了報(bào)文傳輸時(shí) 的加密和解密操作次數(shù),提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度�,提高了網(wǎng)絡(luò)的性 能。另外�,通過會(huì)話密鑰共享增加了資源請(qǐng)求報(bào)文傳輸時(shí)的安全性。 實(shí)施例二
如圖2所示�,是本發(fā)明實(shí)施例一種SSL報(bào)文轉(zhuǎn)發(fā)裝置方框結(jié)構(gòu)圖,所述 裝置20包括
報(bào)文接收單元201�����,用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文����; 該資源請(qǐng)求報(bào)文為虛擬專用網(wǎng)的安全套接字層協(xié)議SSL報(bào)文。 信息增加單元202����,用于確定資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源,在該 請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文中增加透傳信息��;
如果資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源����,則在資源請(qǐng)求報(bào)文頭中增加 透傳信息����。增加透傳信息的方式可以包括增加透傳標(biāo)簽���、增加透傳標(biāo)識(shí)信號(hào) 或者在報(bào)文的頭部增加資源ID號(hào)等方式��。在這里需要說明的是����,外地資源為 另一個(gè)網(wǎng)域內(nèi)站點(diǎn)的資源����,即與發(fā)起資源請(qǐng)求報(bào)文的用戶不在同一個(gè)網(wǎng)域內(nèi) 的站點(diǎn)的資源。
在這里透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié) 點(diǎn)���,不用在每一個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行一次SSL 的加解密操作,而是直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn) 行傳輸��。
信息透傳單元203�,用于將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)。 在這里��,由于資源請(qǐng)求報(bào)文中增加了透傳信息,信息透傳單元203直接 利用TCP協(xié)議對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����。該資源請(qǐng)求報(bào)文由于加入了透傳信息����,在各個(gè)節(jié)點(diǎn)中傳輸時(shí),就不用在每一個(gè)節(jié)點(diǎn)之間傳輸都需要進(jìn)行一次SSL的加解 密操作���,而是直接利用傳輸控制協(xié)議進(jìn)行數(shù)據(jù)的傳輸�。
在這里需要說明的是���,外地資源為另一個(gè)網(wǎng)域內(nèi)站點(diǎn)的資源�,即與發(fā)起 資源請(qǐng)求報(bào)文的用戶不在同一個(gè)網(wǎng)域內(nèi)的站點(diǎn)的資源��。
可選的��,信息增加單元202�����,還用于在資源請(qǐng)求報(bào)文頭中增加路由信息����, 路由信息用于指示報(bào)文轉(zhuǎn)發(fā)的路徑等信息���;這樣信息透傳單元203,就可以利 用路由信息將包括透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)��。
在這里SSL報(bào)文轉(zhuǎn)發(fā)裝置20可以為站點(diǎn)設(shè)備或者實(shí)現(xiàn)上述功能的其他裝置��。
在這里需要說明的是�,交換節(jié)點(diǎn)在一個(gè)實(shí)施例中可以為具有相關(guān)功能的 交換機(jī),在另一個(gè)實(shí)施例中也可以為具有類似功能的其它交換設(shè)備�。
上述本發(fā)明實(shí)施例裝置在請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文中增加透 傳信息,釆用報(bào)文透傳的技術(shù)手段�����,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一次加 解密的操作�����,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào)文進(jìn) 行加解密操作���,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸,減少了報(bào)文傳輸時(shí)的加 密和解密操作次數(shù)����,提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度�����,提高了網(wǎng)絡(luò)的性能�。
如圖3所示�����,是本發(fā)明實(shí)施例另一種SSL報(bào)文轉(zhuǎn)發(fā)裝置方框結(jié)構(gòu)圖��,所 述裝置30包括報(bào)文接收單元201����,用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文;信 息增加單元202��,用于如果資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源�,則在資源請(qǐng) 求報(bào)文中增加透傳信息;信息透傳單元203�,用于將包含透傳信息的資源請(qǐng)求 報(bào)文進(jìn)行轉(zhuǎn)發(fā)。在這里需要說明的是����,外地資源為另一個(gè)網(wǎng)域內(nèi)站點(diǎn)的資源�����, 即與發(fā)起資源請(qǐng)求報(bào)文的用戶不在同一個(gè)網(wǎng)域內(nèi)的站點(diǎn)的資源���。
該裝置30不但包括圖2中報(bào)文轉(zhuǎn)發(fā)裝置20的報(bào)文接收單元201、信息增 加單元202和信息透傳單元203�����,還可以包括密鑰共享單元204�����,用于在接收 用戶發(fā)送的資源請(qǐng)求報(bào)文之前�,在源站點(diǎn)與目的站點(diǎn)之間進(jìn)行會(huì)話密鑰共享。 通過上述會(huì)話密鑰共享����,可以在資源請(qǐng)求報(bào)文透傳時(shí),只需要在源站點(diǎn)和目的站點(diǎn)之間進(jìn)行加密和解密操作�����,增加該資源請(qǐng)求報(bào)文傳輸時(shí)的安全性���,同 時(shí)大大減少了報(bào)文傳輸時(shí)加解密操作的次數(shù)�。
優(yōu)選的�,報(bào)文接收單元201,具體用于接收的用戶發(fā)送的資源請(qǐng)求報(bào)文可
以包括虛擬專用網(wǎng)的安全套接字層協(xié)議報(bào)文�����。密鑰共享單元204�����,具體可以用
于將由一預(yù)先選定的交換節(jié)點(diǎn)動(dòng)態(tài)生成的一密鑰��,通過源/目的站點(diǎn)與交換節(jié) 點(diǎn)�����,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn)之間的安全套接字層協(xié)議通道將生成的密鑰同
步到所有的站點(diǎn)和交換節(jié)點(diǎn)上����。信息透傳單元203,具體可以用于在源/目的 站點(diǎn)與交換節(jié)點(diǎn)之間���,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn)之間采用傳輸控制協(xié)議連接 將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)�。
在這里需要說明的是,交換節(jié)點(diǎn)在一個(gè)實(shí)施例中可以為具有相關(guān)功能的 交換機(jī)���,在另一個(gè)實(shí)施例中也可以為具有類似功能的其它交換設(shè)備����。
上述本發(fā)明實(shí)施例裝置在請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文中增加透 傳信息��,采用報(bào)文透傳的技術(shù)手段�����,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一次加 解密的操作�����,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào)文講 行加解密操作����,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸,減少了報(bào)文傳輸時(shí)的加 密和解密操作次數(shù)����,提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度,提高了網(wǎng)絡(luò)的性能。 另外���,通過會(huì)話密鑰共享增加了資源請(qǐng)求報(bào)文傳輸時(shí)的安全性�。
實(shí)施例三
與上述實(shí)施例中報(bào)文轉(zhuǎn)發(fā)裝置相對(duì)應(yīng)的����,如圖4所示�,是本發(fā)明實(shí)施例
一種交換機(jī)方框結(jié)構(gòu)圖,所述交換機(jī)40包括
報(bào)文接收單元401��,用于接收發(fā)送端發(fā)送的資源請(qǐng)求報(bào)文�; 該資源請(qǐng)求報(bào)文為虛擬專用網(wǎng)的安全套接字層協(xié)議SSL報(bào)文。 報(bào)文轉(zhuǎn)發(fā)單元402����,用于確定資源請(qǐng)求報(bào)文中包含透傳信息,并將包含透
傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����。
透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換機(jī)���,不用在
每一個(gè)交換機(jī)之間傳輸時(shí)都對(duì)該資源請(qǐng)求報(bào)文進(jìn)行一次SSL的加解密操作���,而是直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸��,這樣就 大大減少了報(bào)文轉(zhuǎn)發(fā)時(shí)的加解密操作的次數(shù)��。
上述本發(fā)明實(shí)施例中�,交換機(jī)通過確認(rèn)接收到的資源請(qǐng)求報(bào)文中的透傳 信息��,采用透傳的技術(shù)手段���,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一次加解密的 操作�����,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào)文進(jìn)行加解 密操作���,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸,減少了報(bào)文傳輸時(shí)的加密和解 密操作次數(shù)�,提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度,提高了網(wǎng)絡(luò)的性能���。
可選的��,如圖5所示��,是本發(fā)明實(shí)施例另一種交換機(jī)方框結(jié)構(gòu)圖�,該交 換機(jī)50不但包括圖4中的報(bào)文接收單元401、報(bào)文轉(zhuǎn)發(fā)單元402��,還可以包 括密鑰單元403��,用于動(dòng)態(tài)生成一密鑰���,該生成的密鑰通過源/目的站點(diǎn)與交 換機(jī)��,和/或交換機(jī)與交換機(jī)之間的安全套接字層協(xié)議通道將生成的密鑰同步 到所有的站點(diǎn)上。
上述本發(fā)明實(shí)施例的交換機(jī)通過確認(rèn)接收到的資源請(qǐng)求報(bào)文中的透傳信 息�����,采用透傳的技術(shù)手段��,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一次加解密的操 作�,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào)文進(jìn)行加解密 操作,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸��,減少了報(bào)文傳輸時(shí)的加密和解密 操作次數(shù)��,提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度����,提高了網(wǎng)絡(luò)的性能����。同時(shí)��,通 過該交換機(jī)的會(huì)話密鑰共享���,只需要在源站點(diǎn)和目的站點(diǎn)之間進(jìn)行加密和解 密操作�����,增加了資源請(qǐng)求報(bào)文傳輸時(shí)的安全性����。
實(shí)施例四
如圖6所示�����,是本發(fā)明實(shí)施例一種SSL報(bào)文轉(zhuǎn)發(fā)系統(tǒng)結(jié)構(gòu)示意圖���,所述 系統(tǒng)包括
源站點(diǎn)61����,用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文,如果資源請(qǐng)求報(bào)文請(qǐng)求 的資源是外地資源�����,則在資源請(qǐng)求報(bào)文中增加透傳信息�����,并將包含透傳信息 的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)�;在這里,資源請(qǐng)求報(bào)文為虛擬專用網(wǎng)的安全套接 字層協(xié)議SSL報(bào)文��。在這里需要說明的是���,外地資源為另一個(gè)網(wǎng)域內(nèi)站點(diǎn)的資源,即與發(fā)起
資源請(qǐng)求報(bào)文的用戶不在同一個(gè)網(wǎng)域內(nèi)的站點(diǎn)的資源���。
交換節(jié)點(diǎn)62����,用于接收所述源站點(diǎn)61發(fā)送的資源請(qǐng)求報(bào)文��,還用于確定
資源請(qǐng)求報(bào)文中包含透傳信息����,并將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����,
可以轉(zhuǎn)發(fā)到交換機(jī)/目的站點(diǎn)����;
目的站點(diǎn)63��,用于接收交換機(jī)62發(fā)送的資源請(qǐng)求報(bào)文����,并反饋請(qǐng)求的資源。
交換機(jī)節(jié)點(diǎn)62��,還可以用于動(dòng)態(tài)生成一密鑰���,生成的密鑰通過源/目的站 點(diǎn)與交換節(jié)點(diǎn)���,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn)之間的安全套接字層協(xié)議通道將所 述生成的密鑰同步到所有的站點(diǎn)和交換節(jié)點(diǎn)上。
在這里需要說明的是���,交換節(jié)點(diǎn)在一個(gè)實(shí)施例中可以為具有相關(guān)功能的 交換機(jī)���,在另一個(gè)實(shí)施例中也可以為具有類似功能的其它交換設(shè)備����。
上述本發(fā)明實(shí)施例的系統(tǒng)在請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文中增加 透傳信息���,采用報(bào)文透傳的技術(shù)手段���,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一次 加解密的操作,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào)文 進(jìn)行加解密操作����,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸,減少了報(bào)文傳輸時(shí)的 加密和解密操作次數(shù)�,提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度,提高了網(wǎng)絡(luò)的性能��。 另外�����,通過會(huì)話密鑰共享增加了資源請(qǐng)求報(bào)文傳輸時(shí)的安全性����。
實(shí)施例五
本發(fā)明實(shí)施例主要介紹采用透傳技術(shù)的SSL VPN在站點(diǎn)-站點(diǎn)(Site2Site) 的快速轉(zhuǎn)發(fā)功能,從而解決SSL VPN的Site2Site的應(yīng)用��。與此同時(shí)���,采用SSL VPN實(shí)現(xiàn)Site2Site的功能相對(duì)IPSec VPN更易實(shí)現(xiàn)Site間設(shè)備的認(rèn)證��。
如圖7所示�,為本發(fā)明實(shí)施例VPN站點(diǎn)間采用網(wǎng)狀拓?fù)浣M網(wǎng)示意圖����。在 VPN的Site2Site組網(wǎng)中,如果采用網(wǎng)狀拓?fù)?,即各個(gè)Site之間(站點(diǎn)A、站 點(diǎn)B���、站點(diǎn)C�、站點(diǎn)D)都是鄰居關(guān)系而且是對(duì)等的��。假設(shè)Site的個(gè)數(shù)N非 常大時(shí)����, 一個(gè)Site的狀態(tài)改變,其他N-1個(gè)Site的鄰居關(guān)系表都會(huì)刷新���,這樣設(shè)備表的維護(hù)成本非常高����。所以本發(fā)明實(shí)施例提供一種星形拓?fù)浣M網(wǎng)示意 圖,如圖8所示��。
如圖8所示�,為本發(fā)明實(shí)施例VPN站點(diǎn)間采用星型拓?fù)浣M網(wǎng)示意圖。當(dāng)
Site非常多的時(shí)候�����, 一般會(huì)采用一個(gè)中間節(jié)點(diǎn)����,即交換節(jié)點(diǎn)(Switch),組網(wǎng) 方式也會(huì)變成星型拓?fù)?���。這種組網(wǎng),采用一個(gè)Switch節(jié)點(diǎn)管理所有Site節(jié)點(diǎn)�����, 同時(shí)發(fā)布其它Site的資源���。但是當(dāng)站點(diǎn)是異地分布����,而且數(shù)量非常大時(shí)�����,采 用星形拓?fù)渚碗y易滿足管理所有節(jié)點(diǎn)的需求���,所以本發(fā)明實(shí)施例提供一種層 次拓?fù)浣M網(wǎng)示意圖��。
如圖9所示���,為本發(fā)明實(shí)施例VPN站點(diǎn)間采用層次拓?fù)浣M網(wǎng)示意圖。Site 異地分布���,而且數(shù)量非常大����,采用層次拓?fù)?��。即多個(gè)Switch,每個(gè)Switch負(fù) 責(zé)管理與其相鄰的Site�����,向外發(fā)布所管轄Site的資源��,同時(shí)通過資源同步獲得 其他Switch發(fā)布過來的資源��。
從圖9我們可以看出��,當(dāng)站點(diǎn)A的用戶訪問站點(diǎn)D的資源時(shí)需要經(jīng)過到 計(jì)算機(jī)瀏覽器-> 站點(diǎn)A�����,站點(diǎn)A ->交換節(jié)點(diǎn)A���,交換節(jié)點(diǎn)A ->交換節(jié) 點(diǎn)B��,交換節(jié)點(diǎn)B-->交換節(jié)點(diǎn)D���,交換節(jié)點(diǎn)D->站點(diǎn)D五次加解密操作。 如此頻繁的加解密���,而且加解密都是通過套接字(Socket)層�����,這樣VPN網(wǎng) 絡(luò)性能損耗非常大�。
為此本發(fā)明實(shí)施例在圖所示的層次拓?fù)涞幕A(chǔ)上����,提供一種實(shí)現(xiàn)SSL VPN的快速轉(zhuǎn)發(fā)的方法
1) SSL報(bào)文頭擴(kuò)充
在接入層901,收到用戶發(fā)送的資源請(qǐng)求報(bào)文����,如果發(fā)現(xiàn)請(qǐng)求的資源非本 地資源,即為外地資源�����,則通過在資源請(qǐng)求報(bào)文中設(shè)立透傳標(biāo)簽或者設(shè)立透 傳標(biāo)識(shí)信號(hào)或者增加資源ID號(hào)等方式來增加透傳信息����,并增加相應(yīng)的路由信 息。
在這里透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié) 點(diǎn)���,不用在每一個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行一次SSL的加解密操作��,而是直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn) 行傳輸�。在對(duì)請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文增加透傳信息后,還可以 將路由信息增加到包文中��,路由信息用于指示報(bào)文轉(zhuǎn)發(fā)的路徑等信息�����。
2) SSL報(bào)文透傳
SSL報(bào)文在站點(diǎn)<->交換節(jié)點(diǎn)�,交換節(jié)點(diǎn)<->交換節(jié)點(diǎn)之間根據(jù)增加的透 傳信息,不再進(jìn)行頻繁的加解密操作��,而是直接進(jìn)行傳輸控制協(xié)議的傳遞����, 根據(jù)相應(yīng)的路由信息,將增加透傳信息的資源請(qǐng)求報(bào)文發(fā)送到接收端���。
3) 會(huì)話密鑰共享
由于SSL報(bào)文在站點(diǎn)〈—>交換節(jié)點(diǎn)�����,交換節(jié)點(diǎn)<—>交換節(jié)點(diǎn)是透傳的�����,沒 有進(jìn)行加解密操作���,即加密和解密不是在SSL的對(duì)等體(Peers)間進(jìn)行�,中 間可能會(huì)間隔了好幾個(gè)設(shè)備�,因此要實(shí)現(xiàn)一端的加密在另外一端能解密,可 以在源站點(diǎn)和目的站點(diǎn)之間通過密鑰共享實(shí)現(xiàn)�����。
4) 密鑰管理體系
密鑰共享可能會(huì)導(dǎo)致會(huì)話不安全��,所以必須建立一套密鑰管理體制����,密 鑰管理體制在一個(gè)實(shí)施例中可以為公開密鑰系統(tǒng)(PKI系統(tǒng))�����,在另一個(gè)實(shí)施 例中也可以為具有類似PKI系統(tǒng)功能的其它系統(tǒng)�;可以理解的是,密鑰管理 體制在一個(gè)實(shí)施例中還可以用一個(gè)指定Switch動(dòng)態(tài)生成一個(gè)密鑰(Key), 通過設(shè)備間的SSL通道(該通道是進(jìn)行密鑰傳遞或者其他管理信息的同步) 將該Key同步到所有的站點(diǎn)上����,此方法具體實(shí)現(xiàn)方案前面實(shí)施例中已經(jīng)詳細(xì) 闡述,在此不再贅述��。
考慮到由于IPSec VPN的Site間設(shè)備認(rèn)證配置非常復(fù)雜,而SSL VPN的 Site間設(shè)備采用SSL協(xié)議本身的證書認(rèn)證(通過可信第三方發(fā)布的證書進(jìn)行 交互雙方認(rèn)證)�。在實(shí)現(xiàn)SSLVPNSite2Site的解決方案中,如圖9所示�,可 以在接入層901內(nèi)(用戶與站點(diǎn)之間)、接入層901與匯聚層902間(源/目 的站點(diǎn)與交換節(jié)點(diǎn)之間)使用SSLVPN透傳報(bào)文�,而在匯聚層902內(nèi)(交換 節(jié)點(diǎn)與交換節(jié)點(diǎn)之間)可以采用SSL VPN透傳報(bào)文,也可以采用IPSec VPN透傳報(bào)文���。
在這里需要說明的是�,交換節(jié)點(diǎn)在一個(gè)實(shí)施例中可以為具有相關(guān)功能的 交換機(jī)�����,在另一個(gè)實(shí)施例中也可以為具有類似功能的其它交換設(shè)備�����。
上述本發(fā)明實(shí)施例在請(qǐng)求資源為外地資源的資源請(qǐng)求報(bào)文中增加透傳信 息���,采用報(bào)文透傳的技術(shù)手段�,只需要在源站點(diǎn)和目的站點(diǎn)進(jìn)行一次加解密 的操作�,而不用在傳輸資源請(qǐng)求報(bào)文的中間每一個(gè)交換節(jié)點(diǎn)都對(duì)報(bào)文進(jìn)行加 解密操作,直接利用TCP協(xié)議對(duì)報(bào)文進(jìn)行傳輸�����,減少了報(bào)文傳輸時(shí)的加密和 解密操作次數(shù),提高了資源請(qǐng)求報(bào)文轉(zhuǎn)發(fā)的速度���,提高了網(wǎng)絡(luò)的性能��。另外�, 通過會(huì)話密鑰共享增加了資源請(qǐng)求報(bào)文傳輸時(shí)的安全性��。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟 是可以通過程序來指令相關(guān)硬件來完成�����,所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可 讀取存儲(chǔ)介質(zhì)中�����,該程序在執(zhí)行時(shí)��,包括上述全部或部分步驟���,所述的存儲(chǔ)
介質(zhì),如ROM/RAM��、磁盤、光盤等���。
以上所述的具體實(shí)施方式
��,對(duì)本發(fā)明的目的����、技術(shù)方案和有益效果進(jìn)行 了進(jìn)一步詳細(xì)說明��,所應(yīng)理解的是�,以上所述僅為本發(fā)明的具體實(shí)施方式
而 己,并不用于限定本發(fā)明的保護(hù)范圍�����,凡在本發(fā)明的精神和原則之內(nèi)���,所做 的任何修改��、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1�����、一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)方法��,其特征在于�����,所述方法包括接收用戶發(fā)送的資源請(qǐng)求報(bào)文�,所述資源請(qǐng)求報(bào)文為安全套接字層協(xié)議SSL報(bào)文;如果所述資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源�,則在所述資源請(qǐng)求報(bào)文中增加透傳信息,所述透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié)點(diǎn)��,直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸����;將包含所述透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)��。
2��、 如權(quán)利要求1所述方法�,其特征在于�����,所述如果所述資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源�,則在所述資源請(qǐng)求報(bào)文中增加透傳信息���,還包括在所述資源請(qǐng)求報(bào)文中增加路由信息����;利用所述路由信息將包含所述透傳信息的 資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)����。
3、 如權(quán)利要求1所述方法����,其特征在于,所述接收用戶發(fā)送的資源請(qǐng)求報(bào)文之前�,還包括將由預(yù)先選定的交換節(jié)點(diǎn)動(dòng)態(tài)生成的密鑰,通過源/目的站點(diǎn)與交換節(jié)點(diǎn)��,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn)之間的SSL通道將所述生成的密鑰同步到所有的站 點(diǎn)和交換節(jié)點(diǎn)上����。
4����、 一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)裝置����,其特征在于,所述裝置包括報(bào)文接收單元��,用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文�,所述資源請(qǐng)求報(bào)文 為安全套接字層協(xié)議SSL報(bào)文,采用SSL進(jìn)行加密���;信息增加單元�����,用于確定所述資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源的資 源請(qǐng)求報(bào)文��,在所述請(qǐng)求資源是外地資源的資源請(qǐng)求報(bào)文中增加透傳信息����, 所述透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié)點(diǎn)�����,直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸���;信息透傳單元���,用于將包含所述透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
5�、 如權(quán)利要求4所述裝置,其特征在于�����,所述信息增加單元�,還用于在所述請(qǐng)求的資源是外地資源的資源請(qǐng)求報(bào) 文中增加路由信息;所述信息透傳單元�,還用于利用所述路由信息將包含所述透傳信息的資 源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
6����、 如權(quán)利要求4所述裝置,其特征在于���,所述裝置還包括密鑰共享單元��,用于將由預(yù)先選定的交換節(jié)點(diǎn)動(dòng)態(tài)生成 的密鑰��,通過源/目的站點(diǎn)與交換節(jié)點(diǎn)����,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn)之間的SSL 通道將所述生成的密鑰同步到所有的站點(diǎn)和交換節(jié)點(diǎn)上。
7��、 一種交換機(jī)���,其特征在于���,所述交換機(jī)包括-報(bào)文接收單元,用于接收發(fā)送端發(fā)送的資源請(qǐng)求報(bào)文��,所述資源請(qǐng)求報(bào) 文為安全套接字層協(xié)議SSL報(bào)文�,采用SSL進(jìn)行加密;報(bào)文轉(zhuǎn)發(fā)單元��,用于確定所述資源請(qǐng)求報(bào)文中包含透傳信息���,并將包含 所述透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)����;所述透傳信息用于告知傳輸所述資 源請(qǐng)求報(bào)文的中間的各個(gè)交換機(jī)��,直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資 源請(qǐng)求報(bào)文進(jìn)行傳輸���。
8���、 如權(quán)利要求7所述交換機(jī),其特征在于����,所述交換機(jī)還包括密鑰單元,用于動(dòng)態(tài)生成密鑰���,所述密鑰通過源/目的 站點(diǎn)與交換機(jī)���,和/或交換機(jī)與交換機(jī)之間的安全套接字層協(xié)議通道將所述生 成的密鑰同步到所有的站點(diǎn)和交換機(jī)上。
9���、 一種安全套接字層協(xié)議SSL報(bào)文轉(zhuǎn)發(fā)系統(tǒng)���,其特征在于,所述系統(tǒng)包括源站點(diǎn)�����,用于接收用戶發(fā)送的資源請(qǐng)求報(bào)文,所述資源請(qǐng)求報(bào)文為安全 套接字層協(xié)議SSL報(bào)文����,采用SSL進(jìn)行加密;如果所述資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源�,則在所述資源請(qǐng)求報(bào)文中增加透傳信息,并將包含所述透 傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)�,所述透傳信息用于告知傳輸所述資源請(qǐng)求 報(bào)文的中間的各個(gè)交換節(jié)點(diǎn),直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸�;交換節(jié)點(diǎn),用于接收所述源站點(diǎn)發(fā)送的所述資源請(qǐng)求報(bào)文��,確定所述資 源請(qǐng)求報(bào)文中包含所述透傳信息��,并將包含所述透傳信息的資源請(qǐng)求報(bào)文進(jìn) 行轉(zhuǎn)發(fā)�;目的站點(diǎn),用于接收所述交換機(jī)發(fā)送的所述資源請(qǐng)求報(bào)文����,并反饋請(qǐng)求 的所述資源。
10���、如權(quán)利要求9所述系統(tǒng)��,其特征在于�,所述交換節(jié)點(diǎn),還用于動(dòng)態(tài) 生成密鑰�,所述密鑰通過源/目的站點(diǎn)與交換節(jié)點(diǎn)�,和/或交換節(jié)點(diǎn)與交換節(jié)點(diǎn) 之間的安全套接字層協(xié)議通道將所述生成的密鑰同步到所有的站點(diǎn)和交換節(jié) 點(diǎn)上。
全文摘要
本發(fā)明提供一種安全套接字層協(xié)議報(bào)文轉(zhuǎn)發(fā)方法���、裝置及系統(tǒng)��,所述方法包括接收用戶發(fā)送的資源請(qǐng)求報(bào)文����,所述資源請(qǐng)求報(bào)文為安全套接字層協(xié)議SSL報(bào)文�,采用SSL進(jìn)行加密;如果資源請(qǐng)求報(bào)文請(qǐng)求的資源是外地資源���,則在資源請(qǐng)求報(bào)文中增加透傳信息���,所述透傳信息用于告知傳輸所述資源請(qǐng)求報(bào)文的中間的各個(gè)交換節(jié)點(diǎn),不用在每一個(gè)交換節(jié)點(diǎn)之間傳輸時(shí)都對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行一次SSL的加解密操作�,直接利用傳輸控制協(xié)議TCP協(xié)議對(duì)所述資源請(qǐng)求報(bào)文進(jìn)行傳輸;將包含透傳信息的資源請(qǐng)求報(bào)文進(jìn)行轉(zhuǎn)發(fā)����。本發(fā)明因?yàn)椴捎脠?bào)文透傳的技術(shù)手段���,所以減少了報(bào)文傳輸時(shí)的加密和解密操作,提高了網(wǎng)絡(luò)的性能��。
文檔編號(hào)H04L12/56GK101515896SQ200910128650
公開日2009年8月26日 申請(qǐng)日期2009年3月20日 優(yōu)先權(quán)日2009年3月20日
發(fā)明者李濱江, 胡振興, 實(shí) 陳 申請(qǐng)人:成都市華為賽門鐵克科技有限公司