[发明专利]用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统

权利要求书

1.一种用于在第一设备与第二设备之间安全地传送数据分组的通信系统(100)，所述通信系统(100)包括

- 第一网络(120)，其是基于第一传输协议的，

- 第一设备(124, 136)，其被配置成经由第一网络(120)与其它设备进行通信，所述第一设备(124, 136)被配置成在第一传输协议之上应用第一传输安全协议，

- 第二网络(108)，其是基于第二传输协议的，

- 第二设备(102)，其被配置成经由第二网络(108)与其它设备进行通信，所述第二设备(102)被配置成在第二传输协议之上应用第二传输安全协议，

- 中间设备(110)，其被配置成经由第一网络(120)与第一设备(124, 136)进行通信并且被配置成经由第二网络(108)与第二设备(102)进行通信，以及被配置成将依据第一传输安全协议被生成的经由第一网络(120)接收到的数据分组修改成用于依据第二传输安全协议经由第二网络(108)传送的数据分组，并且反之亦然，

其中

- 第一传输协议或第二传输协议是基于数据报的网络协议并且第一传输协议或第二传输协议中的另一个协议是面向可靠连接的传输协议，

- 第一设备(124, 136)被配置成重建从中间设备(110)接收到的第一数据分组的头部使得所述头部对应于第二分组的头部，所述第二分组被第二设备(102)传送到中间设备(110)并且被中间设备(110)修改为第一数据分组，

- 第一设备(124)被配置成在经重建的所述第一数据分组的头部的基础上来验证接收到的数据分组的安全验证字段，所述验证字段由第二设备依据第二传输安全协议来生成。

2.根据权利要求1所述的通信系统(100)，其中第一传输安全协议和第二传输安全协议用握手协议发起安全通信会话，并且所述接收到的数据分组是所述握手协议的数据分组。

3.根据权利要求1所述的通信系统(100)，其中所述接收到的数据分组包括消息认证码(MAC)作为用于对所述接收到的数据分组的真实性进行认证的安全验证字段。

4.根据权利要求1所述的通信系统(100)，其中第一设备 (124, 136)被配置成首先依据第一传输安全协议来验证所述安全验证码，并且如果这个验证是不成功的，则所述第一数据分组的头部被重建并且所述安全验证字段依据第二传输安全协议在所述重建的第一数据分组的头部的基础上被验证。

5.一种用于在第一设备(124, 136)与第二设备(102)之间安全地传送数据分组的通信系统(100)，所述通信系统(100)包括

- 第一网络(120)，其是基于第一传输协议的，

- 第一设备(124, 136)，其被配置成经由第一网络(120)与其它设备进行通信，所述第一设备(124, 136)被配置成在第一传输协议之上应用第一传输安全协议，

- 第二网络(108)，其是基于第二传输协议的，

- 第二设备(102)，其被配置成经由第二网络(108)与其它设备进行通信，所述第二设备(102)被配置成在第二传输协议之上应用第二传输安全协议，

- 中间设备(110)，其被配置成经由第一网络(120)与第一设备(124, 136)进行通信并且被配置成经由第二网络(108)与第二设备(102)进行通信，以及被配置成将依据第一传输安全协议被生成的经由第一网络(120)接收到的数据分组修改成用于依据第二传输安全协议经由第二网络(108)传送的数据分组，并且反之亦然，

其中

- 第一传输协议或第二传输协议是基于数据报的网络协议并且第一传输协议或第二传输协议中的另一个协议是面向可靠连接的传输协议，

- 第一设备(124, 136)被配置成重建从中间设备(110)接收到的第一数据分组的头部使得所述头部对应于第二分组的头部，所述第二分组被第二设备(102)传送到中间设备(110)并且被中间设备(110)修改为第一数据分组，

- 第一设备(136)被配置成为要被发送的第三数据分组生成安全验证字段，所述安全验证字段在经重建的所述第一数据分组的头部的基础上被生成并且依据第二传输安全协议被生成。

6.根据权利要求5所述的通信系统(100)，其中第一传输安全协议和第二传输安全协议用握手协议发起安全通信会话，并且要被发送的第三数据分组是所述握手协议的数据分组。