用于执行站点到站点通信的网关设备和方法技术

本发明专利技术提供了一种网关设备，所述网关设备用于：通过安全通信链路接收来自源主机并寻址目标主机的第一数据包；当在所述第一数据包中检测到加密负载时，将第一报头合并到所述第一数据包，其中所述第一报头包括使用另一网关设备的认证数据加密的第一密钥；以及通过通信信道将与所述第一报头合并的所述第一数据包转发到所述另一网关设备。本发明专利技术还提供了另一种网关设备，所述网关设备用于：通过通信信道从另一网关设备接收与第一报头合并的第一数据包，其中，所述第一数据包来自源主机并寻址目标主机，所述第一报头包括使用所述网关设备的认证数据加密的第一密钥。认证数据加密的第一密钥。认证数据加密的第一密钥。

【技术实现步骤摘要】
【国外来华专利技术】用于执行站点到站点通信的网关设备和方法


[0001]本专利技术大体上涉及网络通信领域，尤其涉及网关设备以及在网络中的网关设备等之间传输数据包的方法。本专利技术基于使用最小加密的认证传输数据包等解决双重加密问题。

技术介绍

[0002]传统地，当使用加密隧道技术(例如虚拟虚拟专用网络(Virtual Private Network，VPN)、复用传输层安全(Multiplexed Transport Layer Security，mTLS)等)时，安全应用程序等会对通过信道(建立在现有网络基础设施中的两个网关设备之间)传输的数据包进行双重加密。但是，这种双重加密过程计算量大而且耗费资源，导致中央处理器(Central Processing Unit，CPU)的成本很高。
[0003]例如，在传统通信系统中，第一网络中的第一主机(例如，网络站点A中的主机A)可以通过例如两个传统网关设备向第二网络中的第二主机(例如，站点B中的主机B)发送数据包，所述传统网关设备可以使用VPN、mTLS等加密隧道技术。
[0004]此外，诸如超文本传输协议安全(Hypertext Transfer Protocol Secure，HTTPS)和安全外壳(Secure Shell，SSH)之类的一些应用程序还可以使用加密信道进行通信，例如，加密网络协议可以用于通过网络安全地运行网络服务(例如，该网络可以是安全的或不安全的)。此外，由于传统网关设备使用加密隧道技术(例如VPN、mTLS)，这些技术可提供额外的加密，例如提供安全性(无窃听者)、提供认证(源站点已知)等。然而，在传统的设备和方法中，当两个系统(网关设备和使用加密信道的应用程序的组合)一起使用时，流量被加密两次，导致中央处理器(Central Processing Unit，CPU)的成本很高、安全影响最小等。

技术实现思路

[0005]鉴于上述缺点，本专利技术实施例旨在改进传统系统。本专利技术的目的在于提供一种用于使用最小加密进行认证的网关设备和方法。特别地，会避免双重加密问题。还会相应地降低CPU的成本。所述网关设备和方法不应在现有安全措施之外添加。
[0006]本专利技术的所述目的通过所附独立权利要求中提供的实施例实现。本专利技术实施例的有利实现方式在从属权利要求中进一步定义。
[0007]本专利技术实施例的主要优点可以概括为：
[0008]启用认证的站点到站点通信。
[0009]无需双重加密或冗余加密。
[0010]由于加密负载很小，认证速度相对较快。
[0011]安全通信，例如依赖于应用程序加密(例如HTTPS)。
[0012]协议独立性。
[0013]无需修改应用程序代码(只有网关设备才能看到更改)。
[0014]根据本专利技术的第一方面，提供了一种网关设备，用于：通过安全通信链路接收来自
源主机并寻址目标主机的第一数据包；当在所述第一数据包中检测到加密负载时，将第一报头合并到所述第一数据包，其中所述第一报头包括使用另一网关设备的认证数据加密的第一密钥；以及通过通信信道将与所述第一报头合并的所述第一数据包转发到所述另一网关设备。
[0015]所述源主机和/或所述目标主机可以是计算机、个人计算机(personal computer，PC)、服务器、平板电脑、笔记本电脑、智能手机、游戏站、数码相机等，或者也可以并入前述项中。
[0016]所述网关设备可以是充当两个网络之间的网关的设备。例如，第一网关设备和/或第二网关设备可以是路由器、防火墙、服务器或其它能够传输数据包进出网络的设备，或者也可以并入前述项中。
[0017]例如，在一些实施例中，源主机(即站点A(即第一网络)中的主机A)通过两个网关设备(包括站点A中的第一网关设备和站点B中的第二网关设备)向目标主机(即站点B(即第二网络)中的主机B)发送数据包。此外，网关设备(例如，VPN端点、mTLS网关设备等)检测到负载已经加密。网关设备可以合并(例如，注入)附加报头，并且可以进一步协商数据。
[0018]所述网关设备可以检测所述加密负载，例如通过配置、检测加密数据包(例如TLS、封装安全载荷(Encapsulating Security Payload，ESP))、端口检测等。
[0019]在一些实施例中，可以通过识别注入点等方式合并所述第一报头。之后，将来自识别的注入点的数据包数据向前移动(例如，使用“memmove”)报头长度八位字节。然后，所述第一报头覆盖旧位置。请注意，对于本领域的技术人员来说，这是一种简单直观的实现方式。
[0020]所述网关设备可以包括电路。所述电路可以包括硬件和软件。所述硬件可以包括模拟电路或数字电路，或者同时包括模拟电路和数字电路。在一些实施例中，所述电路包括一个或多个处理器和连接到所述一个或多个处理器的非易失性存储器。所述非易失性存储器可以携带可执行程序代码，其中当所述可执行程序代码由所述一个或多个处理器执行时使得所述设备执行本文描述的操作或方法。
[0021]在第一方面的一种实现形式中，所述网关设备还用于：通过所述通信信道从所述另一网关设备接收与第二报头合并的第二数据包，其中，所述第二数据包寻址所述源主机并包括使用所述网关设备的认证数据加密的第二密钥。
[0022]在第一方面的另一种实现形式中，所述网关设备还用于：在验证所述第二数据包的认证数据后，从所述第二数据包中提取所述第二报头；将所述第二报头存储在所述网关设备上的连接元数据中；以及将所述第二数据包，尤其是其负载，转发到所述源主机。
[0023]特别地，可以将所述第二数据包的所述负载转发到所述源主机。
[0024]在第一方面的另一种实现形式中，所述网关设备还用于：基于所述第一密钥、所述第二密钥和所述另一网关设备的所述认证数据生成令牌。
[0025]特别地，所述第一密钥和/或所述第二密钥可以是随机种子或附加种子。所述第一密钥(例如，所述随机种子)可以具有任何功能(例如，由于可以使用任何内容)。
[0026]在一些实施例中，可以生成并且可以进一步协商所述令牌。
[0027]例如，所述网关设备可以注入所述第一报头(例如，附加报头)。此外，它可以协商所述数据包。例如，它可以加密并发送随机种子。所述网关设备可以接收来自所述另一网关
设备的响应，所述响应可以包括所述附加种子。此外，所述令牌可以同时使用两个种子和时间戳生成。此外，在一般情况步骤中，所述网关设备可以加密并进一步发送所述令牌。此外，所述网关设备可以每隔很短的时间(例如，一小时)重新协商一次。
[0028]所述数据包的协商可以在会话协商期间执行，一般情况可以在会话期间传输数据时执行。
[0029]所述加密可以使用对等体的公钥执行，例如李维斯特
–
萨莫尔
–
阿德曼(Rivest
–
Shamir
–
Adleman，RSA)。
[0030]在本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种网关设备(100)，其特征在于，用于：通过安全通信链路(111)接收来自源主机(110)并寻址目标主机(210)的第一数据包(101)；当在所述第一数据包(101)中检测到加密负载时，将第一报头(102)合并到所述第一数据包(101)，其中所述第一报头(102)包括使用另一网关设备(200)的认证数据加密的第一密钥；以及通过通信信道(112)将与所述第一报头(102)合并的所述第一数据包(101a)转发到所述另一网关设备(200)。2.根据权利要求1所述的网关设备(100)，其特征在于，还用于：通过所述通信信道从所述另一网关设备(200)接收与第二报头合并的第二数据包，其中，所述第二数据包寻址所述源主机(110)并包括使用所述网关设备(100)的认证数据加密的第二密钥。3.根据权利要求2所述的网关设备(100)，其特征在于，还用于：在验证所述第二数据包的认证数据后，从所述第二数据包中提取所述第二报头；将所述第二报头存储在所述网关设备(100)上的连接元数据中；以及将所述第二数据包转发到所述源主机(110)。4.根据权利要求2或3所述的网关设备(100)，其特征在于，还用于：基于所述第一密钥、所述第二密钥和所述另一网关设备(200)的所述认证数据生成令牌。5.根据权利要求4所述的网关设备(100)，其特征在于，还用于：基于所述生成的令牌执行与所述另一网关设备(200)的站点到站点通信。6.根据权利要求5所述的网关设备(100)，其特征在于，还用于：将使用所述另一网关设备(200)的认证数据加密的所述令牌合并到所述第一数据包(101)；以及通过所述通信信道(112)将与所述加密令牌合并的所述第一数据包(101a)转发到所述另一网关设备(200)。7.根据权利要求6所述的网关设备(100)，其特征在于，还用于：通过所述通信信道(112)从所述另一网关设备(200)接收与所述加密令牌合并的所述第二数据包，其中所述第二数据包寻址所述源主机(110)。8.根据权利要求7所述的网关设备(100)，其特征在于，还用于：在验证所述第二数据包的认证数据后，从所述第二数据包中提取所述令牌；将所述令牌存储在所述网关设备(100)的所述连接元数据中；以及将所述第二数据包转发到所述源主机(110)。9.根据权利要求1至8中任一项所述的网关设备(100)，其特征在于：第一密钥和/或第二密钥包括随机种子。10.根据权利要求1至9中任一项所述的网关设备(100)，其特征在于：所述合并的第一报头(102)还包括所述网关设备(100)的证书和/或所述网关设备(100)的认证数据。11.根据权利要求1至10中任一项所述的网关设备(100)，其特征在于：
相应网关设备(100)的所述认证数据包括：所述相应网关设备(100)的公钥，和/或所述相应网关设备(100)的私钥。12.根据权利要求1至11中任一项所述的网关设备(100)，其特征在于：所述网关设备(100)还基于以下一项或多项向所述另一网关设备(200)进行认证：集中管理系统；通过所述通信信道(112)执行的通信；所述网关设备(100)和所述另一网关设备(200)之间的现有通信信道。13.根据权利要求1至12中任一项所述的网关设备(100)，其特征在于：第一报头(102)和/或第二报头和/或令牌...

【专利技术属性】
技术研发人员：伊塔玛，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：