专利名称:安全套接字层协议报文转发方法、装置、系统及交换机的制作方法
技术领域:
本发明涉及报文转发领域,尤其涉及一种安全套接字层协议报文转发方 法、装置、系统及交换机。
背景技术:
在网络技术中,报文是在网络间的节点进行转发的,例如,安全套接字
层协议(SSL)虚拟专用网(VPN)作为一种新兴的VPN技术,与传统的安 全IP传输协议(IPSec) VPN技术相比有着很多的优势l)SSLVPN的移 动用户使用标准的浏览器,无需安装客户端程序,即可通过SSLVPN隧道接 入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。2) SSL VPN用户不受上网方式限制,SSLVPN隧道可以穿透防火墙(Firewall); 而IPSec客户端需要支持"网络地址转换(NAT)穿透"功能才能穿透Firewall, 而且需要Firewall打开用户数据报协议(UDP) 500端口。 3) SSL VPN只需 要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用,而IPSec VPN需要管理通讯的每个节点,网管专业性较强。4) SSL VPN更容易提供 细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控 制,与第三方认证系统(如远程用户拨号认证系统(radius)、活动目录(AD) 等)结合更加便捷,而IPSec VPN主要基于IP五元组(源/目的IP、源/目的 端口、协议号)对用户进行访问控制。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题随着 网络技术更新的加快,报文在网络间转发经过越来越多的中间节点,而该报 文在每一个节点之间传输都需要进行一次加解密操作。例如SSL VPN和IPSecVPN相比,SSLVPN在网对网的连接中有着先天不足,特别是对于大型组网 (例如星型拓扑组网、层次拓扑组网等),即多级站点-交换机-站点 (Site2Switch2Site)的实现中,报文在每一个站点(Site)之间传输都需要进 行一次SSL的加解密操作。可见,由于报文传输时是在网络的多层节点间进 行的,这些频繁的加密和解密操作会严重影响网络的性能。
发明内容
本发明实施例提供一种报文转发方法、装置及系统,减少了报文传输时 的加密和解密操作次数,提高了网络的性能。
一方面,本发明实施例提供了一种安全套接字层协议SSL报文转发方法, 所述方法包括接收用户发送的资源请求报文,所述资源请求报文为安全套 接字层协议SSL报文,采用SSL进行加密;
如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透 传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节 点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL 的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传 输;
将包含透传信息的资源请求报文进行转发。
另一方面,本发明实施例提供了一种安全套接字层协议SSL报文转发装
置,所述装置包括报文接收单元,用于接收用户发送的资源请求报文,所
述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;
信息增加单元,用于确定资源请求报文请求的资源是外地资源的资源请 求报文,则在请求资源是外地资源的资源请求报文中增加透传信息,所述透 传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一 个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作, 直接利用传输控制协议TCP协议对所述资源请求报文进行传输;
6信息透传单元,用于将包含透传信息的资源请求报文进行转发。 又一方面,本发明实施例提供了一种交换机,所述交换机包括报文接
收单元,用于接收发送端发送的资源请求报文,所述资源请求报文为安全套
接字层协议SSL报文,采用SSL进行加密;
报文转发单元,用于确定资源请求报文中包含透传信息,并将包含透传
信息的资源请求报文进行转发;所述透传信息用于告知传输所述资源请求报
文的中间的各个交换机,不用在每一个交换机之间传输时都对所述资源请求
报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资 源请求报文进行传输。
再一方面,本发明实施例提供了一种安全套接字层协议SSL报文转发系
统,所述系统包括源站点,用于接收用户发送的资源请求报文,所述资源
请求报文为安全套接字层协议SSL报文,采用SSL进行加密;如果资源请求
报文请求的资源是外地资源,则在资源请求报文中增加透传信息,并将包含 透传信息的资源请求报文进行转发,所述透传信息用于告知传输所述资源请 求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述
资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议 对所述资源请求报文进行传输;
交换节点,用于接收源站点发送的资源请求报文,确定资源请求报文中 包含透传信息,并将包含透传信息的资源请求报文进行转发;
目的站点,用于接收交换机发送的资源请求报文,并反馈请求的资源。 上述技术方案具有如下有益效果因为在请求资源为外地资源的资源请 求报文中增加透传信息,采用报文透传的技术手段,只需要在源站点和目的 站点进行一次加解密的操作,而不用在传输资源请求报文的中间每一个交换 节点都对报文进行加解密操作,直接利用TCP协议对报文进行传输,减少了 报文传输时的加密和解密操作次数,提高了资源请求报文转发的速度,提高 了网络的性能。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1是本发明实施例一种SSL报文转发方法流程图; 图2是本发明实施例一种SSL报文转发装置方框结构图; 图3是本发明实施例另一种SSL报文转发装置方框结构图4是本发明实施例一种交换机方框结构图5是本发明实施例另一种交换机方框结构图6是本发明实施例一种SSL报文转发系统结构示意图7为本发明实施例VPN站点间采用网状拓扑组网示意图8为本发明实施例VPN站点间采用星型拓扑组网示意图9为本发明实施例VPN站点间釆用层次拓扑组网示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,是本发明实施例一种安全套接字层协议SSL报文转发方法
流程图,所述方法包括
步骤IOI,接收用户发送的资源请求报文。
所述资源请求报文为虚拟专用网的安全套接字层协议SSL报文。在接收
用户发送的资源请求报文之前,还可以包括在源站点与目的站点之间进行会话密钥共享。进行会话密钥共享具体可以包括由一交换节点动态生成一密 钥,生成的密钥可以通过源/目的站点与交换节点,和/或交换节点与交换节点 之间的安全套接字层协议通道将生成的密钥同步到所有的站点和交换节点 上。通过上述会话密钥共享,在下面的资源请求报文透传时,只需要在源站 点和目的站点之间进行一次加密和解密操作,增加该资源请求报文传输时的 安全性。
需要说明的是,动态生成密钥的交换机为预先选定的交换节点。 步骤102,如果资源请求报文请求的资源是外地资源,则在资源请求报文 中增加透传信息。
如果资源请求报文请求的资源是外地资源,则在资源请求报文头中增加 透传信息。增加透传信息的方式可以包括增加透传标签、增加透传标识信号 或者在报文的头部增加资源ID号等方式。在这里需要说明的是,外地资源为 另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内 的站点的资源。
在这里透传信息用于告知传输所述资源请求报文的中间的各个交换节
点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL 的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进
行传输。在对请求资源为外地资源的资源请求报文增加透传信息后,还可以 将路由信息增加到包文中,路由信息用于指示报文转发的路径等信息。
步骤103,将包含透传信息的资源请求报文进行转发。 可以利用路由信息中的转发路径等相关信息,将包含透传信息的资源请 求报文透传到接收端。报文在源/目的站点与交换节点之间,和/或交换节点与 交换节点之间传输时,中间的每个交换节点接收到资源请求报文时,从中检 测到透传信息,直接采用传输控制协议连接将包含透传信息的资源请求报文 进行转发,而不再对资源请求报文信息进行加解密操作。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例方法因为在请求资源为外地资源的资源请求报文中增 加透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一 次加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报 文进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时 的加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性 能。另外,通过会话密钥共享增加了资源请求报文传输时的安全性。 实施例二
如图2所示,是本发明实施例一种SSL报文转发装置方框结构图,所述 装置20包括
报文接收单元201,用于接收用户发送的资源请求报文; 该资源请求报文为虚拟专用网的安全套接字层协议SSL报文。 信息增加单元202,用于确定资源请求报文请求的资源是外地资源,在该 请求资源为外地资源的资源请求报文中增加透传信息;
如果资源请求报文请求的资源是外地资源,则在资源请求报文头中增加 透传信息。增加透传信息的方式可以包括增加透传标签、增加透传标识信号 或者在报文的头部增加资源ID号等方式。在这里需要说明的是,外地资源为 另一个网域内站点的资源,即与发起资源请求报文的用户不在同一个网域内 的站点的资源。
在这里透传信息用于告知传输所述资源请求报文的中间的各个交换节 点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL 的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进 行传输。
信息透传单元203,用于将包含透传信息的资源请求报文进行转发。 在这里,由于资源请求报文中增加了透传信息,信息透传单元203直接 利用TCP协议对报文进行转发。该资源请求报文由于加入了透传信息,在各个节点中传输时,就不用在每一个节点之间传输都需要进行一次SSL的加解 密操作,而是直接利用传输控制协议进行数据的传输。
在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起 资源请求报文的用户不在同一个网域内的站点的资源。
可选的,信息增加单元202,还用于在资源请求报文头中增加路由信息, 路由信息用于指示报文转发的路径等信息;这样信息透传单元203,就可以利 用路由信息将包括透传信息的资源请求报文进行转发。
在这里SSL报文转发装置20可以为站点设备或者实现上述功能的其他装置。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的 交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例装置在请求资源为外地资源的资源请求报文中增加透 传信息,釆用报文透传的技术手段,只需要在源站点和目的站点进行一次加 解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进 行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加 密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。
如图3所示,是本发明实施例另一种SSL报文转发装置方框结构图,所 述装置30包括报文接收单元201,用于接收用户发送的资源请求报文;信 息增加单元202,用于如果资源请求报文请求的资源是外地资源,则在资源请 求报文中增加透传信息;信息透传单元203,用于将包含透传信息的资源请求 报文进行转发。在这里需要说明的是,外地资源为另一个网域内站点的资源, 即与发起资源请求报文的用户不在同一个网域内的站点的资源。
该装置30不但包括图2中报文转发装置20的报文接收单元201、信息增 加单元202和信息透传单元203,还可以包括密钥共享单元204,用于在接收 用户发送的资源请求报文之前,在源站点与目的站点之间进行会话密钥共享。 通过上述会话密钥共享,可以在资源请求报文透传时,只需要在源站点和目的站点之间进行加密和解密操作,增加该资源请求报文传输时的安全性,同 时大大减少了报文传输时加解密操作的次数。
优选的,报文接收单元201,具体用于接收的用户发送的资源请求报文可
以包括虚拟专用网的安全套接字层协议报文。密钥共享单元204,具体可以用
于将由一预先选定的交换节点动态生成的一密钥,通过源/目的站点与交换节 点,和/或交换节点与交换节点之间的安全套接字层协议通道将生成的密钥同
步到所有的站点和交换节点上。信息透传单元203,具体可以用于在源/目的 站点与交换节点之间,和/或交换节点与交换节点之间采用传输控制协议连接 将包含透传信息的资源请求报文进行转发。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的 交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例装置在请求资源为外地资源的资源请求报文中增加透 传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加 解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文讲 行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加 密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。 另外,通过会话密钥共享增加了资源请求报文传输时的安全性。
实施例三
与上述实施例中报文转发装置相对应的,如图4所示,是本发明实施例
一种交换机方框结构图,所述交换机40包括
报文接收单元401,用于接收发送端发送的资源请求报文; 该资源请求报文为虚拟专用网的安全套接字层协议SSL报文。 报文转发单元402,用于确定资源请求报文中包含透传信息,并将包含透
传信息的资源请求报文进行转发。
透传信息用于告知传输所述资源请求报文的中间的各个交换机,不用在
每一个交换机之间传输时都对该资源请求报文进行一次SSL的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进行传输,这样就 大大减少了报文转发时的加解密操作的次数。
上述本发明实施例中,交换机通过确认接收到的资源请求报文中的透传 信息,采用透传的技术手段,只需要在源站点和目的站点进行一次加解密的 操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解 密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解 密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。
可选的,如图5所示,是本发明实施例另一种交换机方框结构图,该交 换机50不但包括图4中的报文接收单元401、报文转发单元402,还可以包 括密钥单元403,用于动态生成一密钥,该生成的密钥通过源/目的站点与交 换机,和/或交换机与交换机之间的安全套接字层协议通道将生成的密钥同步 到所有的站点上。
上述本发明实施例的交换机通过确认接收到的资源请求报文中的透传信 息,采用透传的技术手段,只需要在源站点和目的站点进行一次加解密的操 作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加解密 操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和解密 操作次数,提高了资源请求报文转发的速度,提高了网络的性能。同时,通 过该交换机的会话密钥共享,只需要在源站点和目的站点之间进行加密和解 密操作,增加了资源请求报文传输时的安全性。
实施例四
如图6所示,是本发明实施例一种SSL报文转发系统结构示意图,所述 系统包括
源站点61,用于接收用户发送的资源请求报文,如果资源请求报文请求 的资源是外地资源,则在资源请求报文中增加透传信息,并将包含透传信息 的资源请求报文进行转发;在这里,资源请求报文为虚拟专用网的安全套接 字层协议SSL报文。在这里需要说明的是,外地资源为另一个网域内站点的资源,即与发起
资源请求报文的用户不在同一个网域内的站点的资源。
交换节点62,用于接收所述源站点61发送的资源请求报文,还用于确定
资源请求报文中包含透传信息,并将包含透传信息的资源请求报文进行转发,
可以转发到交换机/目的站点;
目的站点63,用于接收交换机62发送的资源请求报文,并反馈请求的资源。
交换机节点62,还可以用于动态生成一密钥,生成的密钥通过源/目的站 点与交换节点,和/或交换节点与交换节点之间的安全套接字层协议通道将所 述生成的密钥同步到所有的站点和交换节点上。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的 交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例的系统在请求资源为外地资源的资源请求报文中增加 透传信息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次 加解密的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文 进行加解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的 加密和解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。 另外,通过会话密钥共享增加了资源请求报文传输时的安全性。
实施例五
本发明实施例主要介绍采用透传技术的SSL VPN在站点-站点(Site2Site) 的快速转发功能,从而解决SSL VPN的Site2Site的应用。与此同时,采用SSL VPN实现Site2Site的功能相对IPSec VPN更易实现Site间设备的认证。
如图7所示,为本发明实施例VPN站点间采用网状拓扑组网示意图。在 VPN的Site2Site组网中,如果采用网状拓扑,即各个Site之间(站点A、站 点B、站点C、站点D)都是邻居关系而且是对等的。假设Site的个数N非 常大时, 一个Site的状态改变,其他N-1个Site的邻居关系表都会刷新,这样设备表的维护成本非常高。所以本发明实施例提供一种星形拓扑组网示意 图,如图8所示。
如图8所示,为本发明实施例VPN站点间采用星型拓扑组网示意图。当
Site非常多的时候, 一般会采用一个中间节点,即交换节点(Switch),组网 方式也会变成星型拓扑。这种组网,采用一个Switch节点管理所有Site节点, 同时发布其它Site的资源。但是当站点是异地分布,而且数量非常大时,采 用星形拓扑就难易满足管理所有节点的需求,所以本发明实施例提供一种层 次拓扑组网示意图。
如图9所示,为本发明实施例VPN站点间采用层次拓扑组网示意图。Site 异地分布,而且数量非常大,采用层次拓扑。即多个Switch,每个Switch负 责管理与其相邻的Site,向外发布所管辖Site的资源,同时通过资源同步获得 其他Switch发布过来的资源。
从图9我们可以看出,当站点A的用户访问站点D的资源时需要经过到 计算机浏览器-> 站点A,站点A ->交换节点A,交换节点A ->交换节 点B,交换节点B-->交换节点D,交换节点D->站点D五次加解密操作。 如此频繁的加解密,而且加解密都是通过套接字(Socket)层,这样VPN网 络性能损耗非常大。
为此本发明实施例在图所示的层次拓扑的基础上,提供一种实现SSL VPN的快速转发的方法
1) SSL报文头扩充
在接入层901,收到用户发送的资源请求报文,如果发现请求的资源非本 地资源,即为外地资源,则通过在资源请求报文中设立透传标签或者设立透 传标识信号或者增加资源ID号等方式来增加透传信息,并增加相应的路由信 息。
在这里透传信息用于告知传输所述资源请求报文的中间的各个交换节 点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,而是直接利用传输控制协议TCP协议对所述资源请求报文进 行传输。在对请求资源为外地资源的资源请求报文增加透传信息后,还可以 将路由信息增加到包文中,路由信息用于指示报文转发的路径等信息。
2) SSL报文透传
SSL报文在站点<->交换节点,交换节点<->交换节点之间根据增加的透 传信息,不再进行频繁的加解密操作,而是直接进行传输控制协议的传递, 根据相应的路由信息,将增加透传信息的资源请求报文发送到接收端。
3) 会话密钥共享
由于SSL报文在站点〈—>交换节点,交换节点<—>交换节点是透传的,没 有进行加解密操作,即加密和解密不是在SSL的对等体(Peers)间进行,中 间可能会间隔了好几个设备,因此要实现一端的加密在另外一端能解密,可 以在源站点和目的站点之间通过密钥共享实现。
4) 密钥管理体系
密钥共享可能会导致会话不安全,所以必须建立一套密钥管理体制,密 钥管理体制在一个实施例中可以为公开密钥系统(PKI系统),在另一个实施 例中也可以为具有类似PKI系统功能的其它系统;可以理解的是,密钥管理 体制在一个实施例中还可以用一个指定Switch动态生成一个密钥(Key), 通过设备间的SSL通道(该通道是进行密钥传递或者其他管理信息的同步) 将该Key同步到所有的站点上,此方法具体实现方案前面实施例中已经详细 阐述,在此不再赘述。
考虑到由于IPSec VPN的Site间设备认证配置非常复杂,而SSL VPN的 Site间设备采用SSL协议本身的证书认证(通过可信第三方发布的证书进行 交互双方认证)。在实现SSLVPNSite2Site的解决方案中,如图9所示,可 以在接入层901内(用户与站点之间)、接入层901与汇聚层902间(源/目 的站点与交换节点之间)使用SSLVPN透传报文,而在汇聚层902内(交换 节点与交换节点之间)可以采用SSL VPN透传报文,也可以采用IPSec VPN透传报文。
在这里需要说明的是,交换节点在一个实施例中可以为具有相关功能的 交换机,在另一个实施例中也可以为具有类似功能的其它交换设备。
上述本发明实施例在请求资源为外地资源的资源请求报文中增加透传信 息,采用报文透传的技术手段,只需要在源站点和目的站点进行一次加解密 的操作,而不用在传输资源请求报文的中间每一个交换节点都对报文进行加 解密操作,直接利用TCP协议对报文进行传输,减少了报文传输时的加密和 解密操作次数,提高了资源请求报文转发的速度,提高了网络的性能。另外, 通过会话密钥共享增加了资源请求报文传输时的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关硬件来完成,所述的程序可以存储于一计算机可 读取存储介质中,该程序在执行时,包括上述全部或部分步骤,所述的存储
介质,如ROM/RAM、磁盘、光盘等。
以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行 了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而 己,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做 的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1、一种安全套接字层协议SSL报文转发方法,其特征在于,所述方法包括接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文;如果所述资源请求报文请求的资源是外地资源,则在所述资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;将包含所述透传信息的资源请求报文进行转发。
2、 如权利要求1所述方法,其特征在于,所述如果所述资源请求报文请求的资源是外地资源,则在所述资源请求报文中增加透传信息,还包括在所述资源请求报文中增加路由信息;利用所述路由信息将包含所述透传信息的 资源请求报文进行转发。
3、 如权利要求1所述方法,其特征在于,所述接收用户发送的资源请求报文之前,还包括将由预先选定的交换节点动态生成的密钥,通过源/目的站点与交换节点,和/或交换节点与交换节点之间的SSL通道将所述生成的密钥同步到所有的站 点和交换节点上。
4、 一种安全套接字层协议SSL报文转发装置,其特征在于,所述装置包括报文接收单元,用于接收用户发送的资源请求报文,所述资源请求报文 为安全套接字层协议SSL报文,采用SSL进行加密;信息增加单元,用于确定所述资源请求报文请求的资源是外地资源的资 源请求报文,在所述请求资源是外地资源的资源请求报文中增加透传信息, 所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;信息透传单元,用于将包含所述透传信息的资源请求报文进行转发。
5、 如权利要求4所述装置,其特征在于,所述信息增加单元,还用于在所述请求的资源是外地资源的资源请求报 文中增加路由信息;所述信息透传单元,还用于利用所述路由信息将包含所述透传信息的资 源请求报文进行转发。
6、 如权利要求4所述装置,其特征在于,所述装置还包括密钥共享单元,用于将由预先选定的交换节点动态生成 的密钥,通过源/目的站点与交换节点,和/或交换节点与交换节点之间的SSL 通道将所述生成的密钥同步到所有的站点和交换节点上。
7、 一种交换机,其特征在于,所述交换机包括-报文接收单元,用于接收发送端发送的资源请求报文,所述资源请求报 文为安全套接字层协议SSL报文,采用SSL进行加密;报文转发单元,用于确定所述资源请求报文中包含透传信息,并将包含 所述透传信息的资源请求报文进行转发;所述透传信息用于告知传输所述资 源请求报文的中间的各个交换机,直接利用传输控制协议TCP协议对所述资 源请求报文进行传输。
8、 如权利要求7所述交换机,其特征在于,所述交换机还包括密钥单元,用于动态生成密钥,所述密钥通过源/目的 站点与交换机,和/或交换机与交换机之间的安全套接字层协议通道将所述生 成的密钥同步到所有的站点和交换机上。
9、 一种安全套接字层协议SSL报文转发系统,其特征在于,所述系统包括源站点,用于接收用户发送的资源请求报文,所述资源请求报文为安全 套接字层协议SSL报文,采用SSL进行加密;如果所述资源请求报文请求的资源是外地资源,则在所述资源请求报文中增加透传信息,并将包含所述透 传信息的资源请求报文进行转发,所述透传信息用于告知传输所述资源请求 报文的中间的各个交换节点,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;交换节点,用于接收所述源站点发送的所述资源请求报文,确定所述资 源请求报文中包含所述透传信息,并将包含所述透传信息的资源请求报文进 行转发;目的站点,用于接收所述交换机发送的所述资源请求报文,并反馈请求 的所述资源。
10、如权利要求9所述系统,其特征在于,所述交换节点,还用于动态 生成密钥,所述密钥通过源/目的站点与交换节点,和/或交换节点与交换节点 之间的安全套接字层协议通道将所述生成的密钥同步到所有的站点和交换节 点上。
全文摘要
本发明提供一种安全套接字层协议报文转发方法、装置及系统,所述方法包括接收用户发送的资源请求报文,所述资源请求报文为安全套接字层协议SSL报文,采用SSL进行加密;如果资源请求报文请求的资源是外地资源,则在资源请求报文中增加透传信息,所述透传信息用于告知传输所述资源请求报文的中间的各个交换节点,不用在每一个交换节点之间传输时都对所述资源请求报文进行一次SSL的加解密操作,直接利用传输控制协议TCP协议对所述资源请求报文进行传输;将包含透传信息的资源请求报文进行转发。本发明因为采用报文透传的技术手段,所以减少了报文传输时的加密和解密操作,提高了网络的性能。
文档编号H04L12/56GK101515896SQ200910128650
公开日2009年8月26日 申请日期2009年3月20日 优先权日2009年3月20日
发明者李滨江, 胡振兴, 实 陈 申请人:成都市华为赛门铁克科技有限公司