加密隧道的部分分组加密制造技术

减少对使用加密隧道传输的分组进行双重加密的技术和机制。本文所述的技术包括确定分组的部分已被加密，识别分组的未被加密的部分，以及在通过加密隧道传输之前选择性地加密分组的未被加密的部分。以这种方式，将使用加密隧道的加密协议来加密分组的未被加密的潜在私用或敏感数据(例如，分组报头中的信息)，但分组的已被加密的数据(例如，有效载荷)可以避免不必要的双重加密。通过减少(或消除)双重加密的分组的数据量，可以减少计算设备对加密隧道的加密流量所花费的时间，并减少所消耗的计算资源。计算资源。计算资源。

【技术实现步骤摘要】
【国外来华专利技术】加密隧道的部分分组加密
[0001]相关申请的交叉引用
[0002]本申请要求于2020年8月25日提交的第17/002,170号美国专利申请的优先权，其全部内容通过引用并入本文。


[0003]本公开总体上涉及对分组进行加密以通过诸如虚拟私用网(VPN)网络之类的加密隧道进行传输。更具体而言，这些技术涉及可选地对通过加密隧道传输的分组进行加密。

技术介绍

[0004]出于各种原因，计算设备的用户常常期望跨网络传输各种类型的信息。例如，计算设备的用户使用网络来浏览网站、访问在线服务或应用程序、远程访问VPN等。虽然执行这些类型的活动肯定是所期望的，但用于传输信息的许多网络都是公共网络，例如互联网。这些公共网络常常是不安全的环境，在这些环境中，用户数据通信的隐私可能受到损害。
[0005]为了保护计算设备的用户跨网络传输数据的机密性和隐私，通常对正在传输的数据进行加密，以混淆数据，防止潜在的恶意实体获得数据。例如，VPN使用称为“隧道(tunneling)”的过程，在公共网络(例如，互联网)上扩展私用网络。隧道的过程涉及：在本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：通过网络在第一设备和第二设备之间创建加密隧道，以通过所述网络传送加密数据；在所述第一设备处，确定通过所述网络将分组在所述加密隧道中发送到所述第二设备；在所述第一设备处，确定所述分组的第一部分被加密；在所述第一设备处，确定所述分组的第二部分未被加密；在所述第一设备处，使用与所述加密隧道相关联的加密协议对所述分组的第二部分进行加密；以及使用所述加密隧道，通过所述网络将所述分组从所述第一设备发送到所述第二设备。2.根据权利要求1所述的方法，还包括以下操作中的至少一项：确定避免对所述分组的被加密的第一部分进行加密；或者避免对所述分组的被加密的第一部分进行加密。3.根据权利要求1或2所述的方法，其中：确定所述分组的第一部分被加密包括确定所述分组的有效载荷被加密；并且在所述第一设备处确定所述分组的第二部分未被加密包括识别所述分组的未被加密的报头。4.根据权利要求1至3中任一项所述的方法，还包括：确定所述分组的协议类型；根据所述协议类型识别被加密的分组的第一预定义部分；以及根据所述协议类型识别未被加密的分组的第二预定义部分，其中，所述第一部分至少部分地基于所述第一预定义部分确定，并且所述第二部分至少部分地基于所述第二预定义部分确定。5.根据权利要求1至4中任一项所述的方法，其中，确定所述分组的第一部分被加密包括从所述分组的报头中识别指示符，所述指示符指示所述分组的被加密的第一部分的大小。6.根据权利要求1至5中任一项所述的方法，还包括：根据覆盖协议将所述分组封装在覆盖分组中；以及用所述分组的第二部分的大小的指示来填充所述覆盖分组的覆盖报头的字段，其中，发送所述分组包括将所述覆盖分组发送到所述第二设备。7.根据权利要求1至6中任一项所述的方法，还包括：识别所述分组的第二部分中的第一字节数；识别块大小的第二字节数，所述加密协议以所述块大小加密数据；以及确定所述块大小的倍数对应于第三字节数，所述第三字节数大于或等于所述第一字节数；其中，对所述分组的第二部分进行加密包括对所述分组的第三字节数的字节进行加密。8.根据权利要求1至7中任一项所述的方法，其中：所述分组的第一部分使用以下项中的至少一项进行加密：安全套接层(SSL)协议；
传输层安全(TLS)协议；数据报传输层安全(DTLS)协议；超文本传输安全协议(HTTPS)；或者安全外壳协议(SSH)；并且所述加密协议包括以下项中的至少一项：互联网协议安全(IPsec)协议；WireGuard；OpenVPN协议；传输层安全(TSL)协议；或者安全套接层(SSL)协议。9.一种第一设备，包括：一个或多个处理器；以及一个或多个非暂时性计算机可读介质，存储计算机可执行指令，所述计算机可执行指令在由所述一个或多个处理器执行时，使所述一个或多个处理器执行包括以下各项的操作：通过网络创建与第二设备的加密隧道，以通过所述网络传送加密数据；确定通过所述网络在所述加密隧道中将分组发送到所述第二设备；确定所述分组的第一部分被加密；确定所述分组的第二部分未被加密；使用与所述加密隧道相关联的加密协议对所述分组的第二部分进行加密；以及使用所述加密隧道，通过所述网络将所述分组发送到所述第二设备。10.根据权利要求9所述的第一设备，所述操作还包括以下项中的至少一项：确定避免对所述分组的被加密的第一部分进行加密；或者避免对所述分组的被加密的第一部分进行加密。11.根据权利要求9或10所述的第一设备，其中：确定所述分组的第一部分被加密包括确定所述分组的有效载荷被加密；并且在所述第一设备处确定所述分组的第二部分未被加密包括识别所述分组的未被加密的报头。12.根据权利要求9至11中任一项所述的第一设备，所述操作还包括：确定所述分组的协议类型；根...

【专利技术属性】
技术研发人员：凯尔，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：