CN105245516B - 一种数据传输方法及终端设备 - Google Patents
一种数据传输方法及终端设备 Download PDFInfo
- Publication number
- CN105245516B CN105245516B CN201510640510.XA CN201510640510A CN105245516B CN 105245516 B CN105245516 B CN 105245516B CN 201510640510 A CN201510640510 A CN 201510640510A CN 105245516 B CN105245516 B CN 105245516B
- Authority
- CN
- China
- Prior art keywords
- terminal device
- sent
- data
- exit passageway
- destination server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种数据传输方法及终端设备,为了解决使用https通道传输数据的方法无法保证数据传输的安全性的问题,本发明的方法首先检测终端设备的所在机构是否属于保密机构,若检测出所述终端设备属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收待发送数据,如果支持,就利用终端设备侧的代理装置建立预设安全通道传输待发送数据,由于预设安全通道的安全级别高于所述https通道,因此可以提高数据传输的安全。
Description
技术领域
本发明涉及互联网通信技术领域,尤其涉及一种数据传输方法及终端设备。
背景技术
目前,随着计算机技术及网络通信应用的日益广泛以及不同领域的业务种类的日益丰富,用户可以享受到网络通信带来的各种便利。例如,用户可以通过网络通信获取全球各地发生的时事、趣闻等。另外,用户也可以将自己周围的事物、见闻等分享给其他人。
利用网络通信会涉及到数据传输。目前数据传输的安全性俨然已经成为互联网安全技术中越来越重要的部分。如何提高网络中传输数据的安全(尤其是某些安全机构传输的数据)成为了越来越受关注的热点话题。
目前普遍采用的是https通道实现数据的安全传输,但是这种传输方式无法保证数据传输的安全。例如,用户在和银行服务器进行金融交易时,会经由浏览器、购物软件等平台发送金融交易数据(如银行卡号、密码等)给银行服务器。但是这类金融交易数据有可能在中途便被第三方拦截窃取,导致金融交易数据泄露,给用户带来损失。
因此,对于目前的是https通道的传输方式,即便接收到需要安全传输数据的要求,依然只能利用https通道传输数据,无法保证数据传输的安全性。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的数据传输方法及终端设备。
本发明的一个方面,提供了一种数据传输方法,所述方法包括:
检测终端设备的所在机构是否属于保密机构;
若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
优选的,在所述检测终端设备的所在机构是否属于保密机构之前,所述方法还包括:
利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
优选的,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;
若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
优选的,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的所在机构的安全级别是否属于所述预设安全级别;
若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
优选的,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;
若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
优选的,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
优选的,所述判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,具体包括:
提取所述待发送数据中关于目标服务器的特征信息;
基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
优选的,所述基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据,具体包括:
判断所述目标服务器的特征信息是否存在第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;
若所述目标服务器的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
优选的,所述目标服务器的特征信息包括:IP地址和/或接收端口。
优选的,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
优选的,所述将所述待发送数据发送给代理装置,具体为:
将所述待发送数据使用密钥加密之后发送给所述代理装置。
优选的,在所述判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,所述方法还包括:
若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
优选的,在将所述待发送数据发送给代理装置之后,所述方法还包括:
接收所述代理装置利用所述预设安全通道转发过来的其他数据。
优选的,所述代理装置内置于浏览器中。
本发明的另一个方面,提供了一种终端设备,包括:
检测模块,用于检测终端设备的所在机构是否属于保密机构;
判断模块,用于若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
第一发送模块,用于若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
优选的,所述终端设备还包括:
查找模块,用于在检测终端设备的所在机构是否属于保密机构之前,利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
获得模块,用于基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
优选的,所述检测模块具体用于检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
优选的,所述检测模块具体用于检测所述终端设备的所在机构的安全级别是否属于所述预设安全级别;若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
优选的,所述检测模块具体用于检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
优选的,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
优选的,所述判断模块具体包括:
提取模块,用于提取所述待发送数据中关于目标服务器的特征信息;
判断子模块,用于基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
优选的,所述判断子模块用于判断所述目标服务器的特征信息是否存在第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;若所述目标服务器的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
优选的,所述目标服务器的特征信息包括:IP地址和/或接收端口。
优选的,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
优选的,所述第一发送模块用于将所述待发送数据使用密钥加密之后发送给所述代理装置。
优选的,所述终端设备还包括:
第二发送模块,用于在判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
优选的,所述终端设备还包括:
接收模块,用于在将所述待发送数据发送给代理装置之后,接收所述代理装置利用所述预设安全通道转发过来的其他数据。
优选的,所述代理装置内置于浏览器中。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
本发明提供了一种数据传输方法及终端设备,为了解决使用https通道传输数据的方法无法保证数据传输的安全性的问题,本发明的方法首先检测终端设备的所在机构是否属于保密机构,若检测出所述终端设备属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收待发送数据,如果支持,就利用终端设备侧的代理装置建立预设安全通道传输待发送数据,由于预设安全通道的安全级别高于所述https通道,因此可以提高数据传输的安全。
进一步的,如果待发送数据对应的目标服务器不支持建立预设安全通道接收待发送数据,本发明还可以https通道来传输待发送数据。由此可见,本发明不但可以提高数据传输的安全,还可以兼容两种传输方式传输数据。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种数据传输方法对应的系统架构图;
图2示出了根据本发明一个实施例的一种数据传输方法的实施过程图;
图3示出了根据本发明一个实施例的一种终端设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
作为一种可选的实施例,本发明提供了一种数据传输方法,用以解决现有的https通道传输数据的方式无法保证数据传输安全的问题。应当注意的是,本发明涉及的方法可以但不仅限于应用于浏览器中,即:本发明不但可以使用浏览器传输待发送数据(例如网页数据),而除了应用于浏览器之外,还可以应用在其他应用程序中,如:购物软件(例如淘宝软件)、即时通讯软件(微信、QQ、飞信等等软件)等等,通过其他应用程序来传输待发送数据。下面以在浏览器侧使用该方法为例进行说明,其他侧(购物软件、即时通讯软件等等)的实施方式和浏览器侧的实施方式类似,因此不再赘述。
下面请参看图1,是本发明提供的一种数据传输方法对应的系统架构图。
在系统架构图中,涉及的设备包括:终端设备、代理装置和目标服务器。其中,本发明的终端设备具体可以是手机、电脑、PAD等等电子设备。对于该终端设备具体是何种电子设备,本实施例不做具体限定。终端设备是待发送数据的最初发送地。终端设备的使用者即为终端用户。代理装置主要用于和目标服务器建立预设安全通道,然后利用预设安全通道转发终端设备侧的待发送数据给目标服务器;目标服务器是待发送数据的最终到达地,用来响应待发送数据。目标服务器可以是任意服务器,例如银行服务器、金融交易机构(股票交易所)提供的服务器、保密机构(例如飞行设计院)提供的服务器等等。
具体来说,终端设备侧上安装有支持IE内核的单核浏览器(例如IE浏览器)或者同时支持两种内核(如IE内核和chrome内核)的双核浏览器。由于IE内核的封闭性,使得安装有IE内核的浏览器(包括单核浏览器和双核浏览器)只能支持建立单种通道传输数据。例如只能建立超文本传输协议安全https通道传输数据,而这种数据传输方式又容易使待发送数据在传输过程中被拦截窃取。
为了解决这一问题,本发明在终端设备侧设置了代理装置。具体来说,本发明可以在浏览器内部设置代理装置,使其成为浏览器的组成部分。或者代理装置可作为独立的个体存在于终端设备侧。而对于其他应用程序来说,代理装置内置于其他应用程序内部,成为其他应用程序的组成部分。或者代理装置作为独立的个体存在于终端设备侧。
当代理装置设置于浏览器内部时,由于IE内核的封闭性,会在浏览器新增一网络库作为代理装置的网络库,不用修改浏览器原有的网络库,以尽量减小对浏览器原有的改动。
当代理装置设置于浏览器内部时,若判定出需要和目标服务器之间建立预设安全通道(例如国密通道)传输数据,并且目标服务器支持预设安全通道之后,则会自动用新连接替换原有的连接(https通道),即自动和目标服务器之间建立预设安全通道来替换原有的https通道,使得浏览器可以从https通道无缝连接到预设安全通道。
代理装置在浏览器已经支持https通道传输的基础上,用来和目标服务器建立比现有的https通道更加安全的预设安全通道。为浏览器提供另外的安全通道传输数据,以提高待发送数据的传输的安全性。具体来说,由于代理装置设置于终端设备侧(不管代理装置是设置在浏览器内部还是终端设备内部,都属于设置在终端设备侧),因此浏览器和代理装置之间的数据传输属于内部传输。而代理装置和目标服务器之间的传输,是通过建立的预设安全通道来进行待发送数据的传输。由于预设安全通道的安全级别高于所述https通道,因此,使用预设安全通道传输待发送数据,能够提高传输待发送数据的安全性。
进一步的,由于利用了代理装置来建立更加安全的传输通道传输待发送数据,因此并不影响原有的https通道的使用,使得浏览器在提高待发送数据传输安全的同时,还兼容了两种通道传输数据。
另外,本发明的浏览器在同一时间并不仅限于单一通道的使用,例如,浏览器在支持利用预设安全通道传输待发送数据的同时,还可以利用https通道传输(发送或接收)其他数据。举例来说,例如浏览器正在访问某保密机构的服务器,并且在利用预设安全通道传送保密文档到该保密机构服务器中。而同时在另一网页上,浏览器可以接收其他服务器发过来的首页数据(例如某某商城的网页首页数据)。
下面请参看图2,是本发明提供的数据传输方法的实施过程图。
S1,检测终端设备的所在机构是否属于保密机构。
保密机构,具体是国家机要部门、金融机构、军工厂商、研究所等等需要保证数据传输安全的机构。若终端设备的所在机构属于这类机构,则终端设备的传输的数据(包括待发送数据和接收数据)则必须要保证数据传输安全,以免被第三方中途拦截窃取导致数据泄露。
作为一种可能的实现方式,在检测终端设备的所在机构是否属于保密机构之前,需要先获得终端设备的IP地址。然后利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息。然后基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。具体来说,每个终端设备都具有IP地址,可供调用查看。在获得终端设备的IP地址的过程中,浏览器可以直接从本地调取,也可以从网络上搜索获得。而在获得终端设备的IP地址之后,可以通过IP地址和终端设备的所在机构的对应关系,获得终端设备的所在机构的登记信息(例如登记的组织机构名称、组织机构电话等等),进而根据登记信息获得终端设备的所在机构(例如登记机构、组织机构电话等等)。
作为一种可能的实现方式,在检测终端设备的所在机构是否属于保密机构时,可以检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
举例来说,所有的终端设备的IP地址都可以按照安全级别划分,例如将终端设备的IP地址的安全级别划分为5级,具体如下:1级(表示安全级别最低),2级,3级,4级,5级(表示安全级别最高)。将安全级别阈值设为3级,若检测到本发明实施例中的终端设备的IP地址为5级,则会进一步检测其是否高于安全级别阈值(3级)。若高于安全级别阈值(3级),则表示终端设备的所在机构属于所述保密机构。
在实际应用中,终端设备的IP地址的安全级别可以根据终端设备所在机构登记的信息、终端设备所处位置、终端设备设备型号等等多方原因综合确定。而预设安全阈值也可以根据终端设备的以上信息综合判定获得。另外应当注意的是,此处举例仅用于说明和解释本发明,而不作为本发明的限制举例,本发明也可以使用其他方式进行举例,例如利用字符、符号、字母、文字等等表示级别,此也应当处于本发明的保护范围之内。
作为一种可能的实现方式,在检测终端设备的所在机构是否属于保密机构时,可以在获得了终端设备的所在机构之后,直接检测所述终端设备的所在机构的安全级别是否属于所述预设安全级别;若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。和上述举例类似,本发明将所有的终端设备的所在机构的安全级别划分为5级,将预设安全级别定为3级及以上。若本发明的终端设备的所在机构的安全级别为4级,那么就表示终端设备的所在机构的安全级别属于所述预设安全级别。
作为一种可能的实现方式,在检测终端设备的所在机构是否属于保密机构时,还可以检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
具体来说,第一白名单上记载的是到目前为止获得(主动全网搜索或者被动接收服务器发送)的所有保密机构的信息,例如保密机构的名称、IP地址等等。因此,在获得终端设备的所在机构之后,可以直接检测所述终端设备的所在机构的信息(例如名称或者是IP地址)是否存在于记载有所述保密机构的第一白名单中。若存在则表示终端设备的所在机构属于所述保密机构。
另外,第一白名单可以有表格、列表、数据库等等多种表现形式。关于第一白名单的更新,本发明实施例也提供了多种更新方式。例如,可以实时对第一白名单进行搜索更新,以便使第一白名单上的保密机构保持最新版本供终端设备侧使用。当然,也可以定时对其进行搜索更新,以便节约网络资源,例如每隔24小时便对第一白名单进行一次更新。另外,还可以在接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。例如:不在第一白名单上的其他保密机构的设备发送记录请求给终端设备,请求终端设备将其自身的信息记录在第一白名单上,并且发送自身的信息给终端设备,那么终端设备在接收到这一记录请求之后,则会将其更新到第一白名单中。或者,终端设备接收到不在第一白名单上且属于保密机构的信息之后,就能够直接将其更新到第一白名单中。
而对于所述待发送数据来说,本发明对于待发送数据的数据类型不做限制。其可以是任意类型的数据或者数据组合。例如文档、文件、视频、音频、图像等等数据。另外,待发送数据可以是存储在浏览器本地随时等待调用的数据,例如浏览器本地存储的文档等等。也可以是终端设备的浏览器从互联网中收集获得数据,例如浏览器访问国外网站下载的图片等等。
S2,若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据。
对于预设安全通道的定义是:所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,例如国密通道。
另外,所述预设安全通道的安全级别高于超文本传输协议https通道。例如国密通道的安全性会高于https通道的安全性。国密通道,实际上是基于国密算法(SM2-SM4)建立的数据传输通道,满足SSL(Secure Sockets Layer,安全套接层)数据安全协议。国密算法是国家密码管理局推行发布的一套公钥密码算法,基于这类算法建立的数据传输通道的安全性会比https通道的安全性高。
具体来说,由于预设安全通道的安全性要比https通道的安全性高,因此在获得待发送数据之后,可以事先判断该待发送数据是否需要使用预设安全通道(例如国密通道)传输。如果待发送数据需要使用预设安全通道传输,则进一步判定待发送数据对应的目标服务器(即:待发送数据的最终到达地)是否支持建立预设安全通道接收所述待发送数据。如果目标服务器支持建立预设安全通道接收所述待发送数据时,可优先使用预设安全通道传输数据,以提高数据传输的安全性。如果不支持建立预设安全通道接收所述待发送数据,则选用https通道传输该待发送数据。
在具体的实施过程中,在判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据时,会先提取所述待发送数据中关于目标服务器的特征信息;然后基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
待发送数据除了包含一项或者几项数据组合(例如文档和图像的组合)之外,还包括终端设备的源地址(例如源IP地址)、源端口;目标服务器(待发送数据最终到达地)的接收地址(例如建设银行的IP地址)、接收端口;等等。
由此可知,本发明的目标服务器的特征信息包括但不限于是:IP地址和/或接收端口。终端设备侧在获得了待发送数据之后,可以从待发送数据中提取出关于目标服务器的特征信息,例如:IP地址和/或接收端口。
因此,在提取到目标服务器的特征信息之后,可以利用‘判断所述目标服务器的特征信息是否存在第二白名单中’来判定对应的目标服务器是否支持建立预设安全通道接收所述待发送数据。
具体来说,第二白名单上记载的是到目前为止获得(主动全网搜索或者被动接收服务器发送)的支持所述预设安全通道的服务器的特征信息。也就是说,第二白名单上除了记载有待发送数据对应的目标服务器之外,还记载了支持所述预设安全通道的其他目标服务器的特征信息。
第二白名单可以有表格、列表、数据库等等多种表现形式。下面请参看表1,是本发明以表格的形式列举的第二白名单上记载的部分目标服务器的特征信息。
服务器 | IP地址 | 接收端口 |
服务器A1 | 118.115.168.212 | 137 |
服务器A2 | 118.115.168.211 | 130 |
表1
应当注意的是,除了表格以外,第二白名单上还可以有其他表现形式,这些表现形式也应当属于本发明的保护范围之内。
一般来说,第二白名单存储在终端设备侧。关于第二白名单的更新,本发明实施例也提供了多种更新方式,具体请参看下面的介绍。
终端设备可以对第二白名单实时更新。每当发现不在第二白名单上且支持所述预设安全通道的其他服务器(既支持所述预设安全通道又没有在第二白名单上的服务器),都可以立即将其对应的特征信息更新到第二白名单中,以保证第二白名单一直保持最新版本供终端设备侧使用。
而为了节约网络资源,终端设备还可以定时对第二白名单进行更新。例如每隔24小时便对第二白名单进行一次更新。
另外,还可以在获得不在第二白名单上且支持所述预设安全通道的其他服务器的特征信息时,将所述其他服务器的特征信息加入所述第二白名单进行更新。例如:不在第二白名单上且支持预设安全通道的银行服务器告知终端设备其能够支持预设安全通道这一消息,并且发送自身的特征信息给终端设备,那么终端设备在接收到这一消息之后,则会将银行服务器的特征信息更新到第二白名单中。或者,终端设备接收到不在第二白名单上且支持预设安全通道的银行服务器的特征信息之后,就能够直接将该银行服务器的特征信息更新到第二白名单中。
而在判断所述目标服务器的特征信息是否存在第二白名单时,若所述目标服务器的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收所述待发送数据。
由于目标服务器的特征信息包括但不限于是:IP地址和/或接收端口。因此在具体的判断过程中有以下几种方式:
第一种方式:判断目标服务器的IP地址是否存在第二白名单中,若所述目标服务器的IP地址存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收所述待发送数据。例如目标服务器A1的IP地址为118.115.168.212。将其和第二白名单上的存储的IP地址进行对比,如果第二白名单上存储有118.115.168.212。那么就表示目标服务器A1的IP地址存在于第二白名单上,因此目标服务器支持建立预设安全通道接收所述待发送数据。
第二种方式:判断目标服务器的端口是否存在第二白名单中,若所述目标服务器的端口存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收所述待发送数据。例如目标服务器A1端口为137。将其和第二白名单上的存储的端口进行对比,如果第二白名单上存储有137。那么就表示目标服务器A1的端口存在于第二白名单上,因此目标服务器支持建立预设安全通道接收所述待发送数据。
第三种方式:判断目标服务器的IP地址和端口是否都存在于第二白名单中。如果目标服务器的IP地址和端口都存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收所述待发送数据。
以上是基于所述目标服务器的特征信息判断对应的目标服务器是否支持建立预设安全通道接收所述待发送数据的具体实施过程。
S3,若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
作为一种可能的实现方式,在浏览器侧将待发送数据发送给内部的代理装置时,可以将待发送数据使用密钥加密之后发送给所述代理装置。使用的加密密钥包括但不限于是字符、数字、字母等等任一项或者几项组合。
对于代理装置来说,其可以存在于浏览器内部,作为浏览器的组成部分,另外,代理装置也可以作为独立的个体存在于终端设备内部。代理装置接收到待发送数据之后,会使用对应的解密密钥进行解密。
代理装置侧默认接收到的待发送数据都需要使用预设安全通道发送。因此,在接收到待发送数据之后,会建立预设安全通道,然后利用所述预设安全通道将待发送数据转发给所述目标服务器。
在实际应用中,代理装置能够完成以下功能(以国密通道为例):
(1)自动识别及操作国密USBKEY,支持多USBKEY,多证书选择。
(2)验证及显示国密证书链。
(3)管理国密白名单。
(4)协议嗅探等机制确定目标服务器是否为国密服务器,协议嗅探采用在基本TCP连接上增加一次握手的方式实现。
(5)SM2/SM3/SM4算法实现。
(6)国密SSL双向/双向连接建立。
(7)国密/商密SSL自主选择。
因此,在建立预设安全通道时(以国密通道为例),会经历以下几个阶段:握手请求阶段、代理装置验证阶段,目标服务器验证阶段。
在握手请求阶段,代理装置先和目标服务器相互发送访问请求进行握手。握手完毕后,代理装置向目标服务器发送SM2证书、自身的密钥交换消息以及握手完成消息;目标服务器收到代理装置发送的握手完成消息后,发送自身的密钥交换消息给代理装置。然后双方更换密码套件消息和结束消息;双方均收到对方的结束消息并通过验证后,表示通道建立完成。双方可以使用约定的安全参数进行数据安全传输。
当预设安全通道建立之后,代理装置则会利用所述预设安全通道转发所述待发送数据。在转发时会以约定的安全参数(例如约定密钥)对待发送数据进行处理后传输。
目标服务器侧收到该待发送数据之后,则会使用约定的安全参数(例如约定密钥)处理,然后得到待发送数据进行相应的后续处理。
以上便是代理装置转发待发送数据的过程。而对于终端设备来说,还可以接收所述代理装置利用所述预设安全通道转发过来的其他数据。
在另一种可能的实现方式中,在所述基于所述目标服务器的特征信息判断所述目标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持建立预设安全通道接收所述待发送数据,使用所述htttps通道将所述待发送数据直接发送给所述目标服务器。
为了进一步提高数据传输的安全,而在使用所述htttps通道发送所述待发送数据时,还可以对待发送数据事先进行加密,然后发送加密后的数据给所述目标服务器。即:若所述目标服务器不支持建立所述预设安全通道接收待发送数据,对所述待发送数据加密之后利用所述https通道发送给所述目标服务器。
以上是本发明公开的数据传输方法,首先检测终端设备的所在机构是否属于保密机构,若检测出所述终端设备属于所述保密机构,然后基于所述目标服务器的特征信息判断所述目标服务器是否支持建立预设安全通道接收所述待发送数据。若支持则利用代理装置建立所述预设安全通道转发待发送数据给所述目标服务器。由于浏览器发送给代理装置的待发送数据属于内部传输,而在外部传输时(即代理装置建立预设安全通道传输待发送数据给目标服务器),所述预设安全通道的安全级别高于https通道,因此,本发明在能够提高数据传输的安全性。
进一步的,若所述目标服务器不支持建立预设安全通道接收所述待发送数据,本发明还可以使用所述htttps通道将所述待发送数据直接发送给所述目标服务器。因此,本发明可以兼容两种传输方式将待发送数据发送给所述目标服务器。
而基于同一发明构思,下面的实施例提供一种终端设备。
下面请参看图3,在本发明的另一种实施例,提供了一种终端设备,包括:
检测模块301,用于检测终端设备的所在机构是否属于保密机构;
判断模块302,用于若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
第一发送模块303,用于若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
作为一种可选的实施例,所述终端设备还包括:
查找模块,用于在检测终端设备的所在机构是否属于保密机构之前,利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
获得模块,用于基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
作为一种可选的实施例,所述检测模块301具体用于检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
作为一种可选的实施例,所述检测模块301具体用于检测所述终端设备的所在机构的安全级别是否属于所述预设安全级别;若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
作为一种可选的实施例,所述检测模块301具体用于检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
作为一种可选的实施例,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
作为一种可选的实施例,所述判断模块302具体包括:
提取模块,用于提取所述待发送数据中关于目标服务器的特征信息;
判断子模块,用于基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
作为一种可选的实施例,所述判断子模块用于判断所述目标服务器的特征信息是否存在第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;若所述目标服务器的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
作为一种可选的实施例,所述目标服务器的特征信息包括:IP地址和/或接收端口。
作为一种可选的实施例,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
作为一种可选的实施例,所述第一发送模块303用于将所述待发送数据使用密钥加密之后发送给所述代理装置。
作为一种可选的实施例,所述终端设备还包括:
第二发送模块,用于在判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
作为一种可选的实施例,所述终端设备还包括:
接收模块,用于在将所述待发送数据发送给代理装置之后,接收所述代理装置利用所述预设安全通道转发过来的其他数据。
由于本实施例所介绍的电子设备为实施本申请实施例中基于数据传输方法所采用的装置,故而基于本申请实施例中所介绍的数据传输的方法,本领域所属技术人员能够了解本实施例的电子设备的具体实施方式以及其各种变化形式,所以在此对于该电子设备如何实现本申请实施例中的基于数据传输的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中基于数据传输的方法所采用的装置,都属于本申请所欲保护的范围。
通过本发明的一个或者多个实施例,本发明具有以下有益效果或者优点:
本发明提供了一种数据传输方法及终端设备,为了解决现有https通道传输数据无法保证数据传输的安全性的问题,本发明首先检测终端设备的所在机构是否属于保密机构,若检测出所述终端设备属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收待发送数据,如果支持,就利用浏览器内置的代理装置建立预设安全通道传输待发送数据,由于预设安全通道的安全级别高于所述https通道,因此可以提高数据传输的安全。
进一步的,若所述目标服务器不支持建立预设安全通道接收所述待发送数据,本发明还可以使用所述htttps通道将所述待发送数据直接发送给所述目标服务器。由此可见,本发明不但可以提高数据传输的安全性,还能够同时兼容两种传输方式传输数据。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了,A1、一种数据传输方法,其特征在于,所述方法包括:
检测终端设备的所在机构是否属于保密机构;
若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
A2、如A1所述的方法,其特征在于,
在所述检测终端设备的所在机构是否属于保密机构之前,所述方法还包括:
利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
A3、如A1所述的方法,其特征在于,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;
若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
A4、如A1所述的方法,其特征在于,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的所在机构的安全级别是否属于所述预设安全级别;
若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
A5、如A1所述的方法,其特征在于,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;
若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
A6、如A5所述的方法,其特征在于,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
A7、如A1所述的方法,其特征在于,所述判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,具体包括:
提取所述待发送数据中关于目标服务器的特征信息;
基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
A8、如A7所述的方法,其特征在于,所述基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据,具体包括:
判断所述目标服务器的特征信息是否存在第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;
若所述目标服务器的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
A9、如A1或A7所述的方法,其特征在于,所述目标服务器的特征信息包括:IP地址和/或接收端口。
A10、如A8所述的方法,其特征在于,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
A11、如A1所述的方法,其特征在于,所述将所述待发送数据发送给代理装置,具体为:
将所述待发送数据使用密钥加密之后发送给所述代理装置。
A12、如A1所述的方法,其特征在于,在所述判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,所述方法还包括:
若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
A13、如A1所述的方法,其特征在于,在将所述待发送数据发送给代理装置之后,所述方法还包括:
接收所述代理装置利用所述预设安全通道转发过来的其他数据。
A14、如A1所述的方法,其特征在于,所述代理装置内置于浏览器中。
B15、一种终端设备,其特征在于,包括:
检测模块,用于检测终端设备的所在机构是否属于保密机构;
判断模块,用于若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
第一发送模块,用于若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
B16、如B15所述的终端设备,其特征在于,所述终端设备还包括:
查找模块,用于在检测终端设备的所在机构是否属于保密机构之前,利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
获得模块,用于基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
B17、如B15所述的终端设备,其特征在于,所述检测模块具体用于检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
B18、如B15所述的终端设备,其特征在于,所述检测模块具体用于检测所述终端设备的所在机构的安全级别是否属于所述预设安全级别;若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
B19、如B15所述的终端设备,其特征在于,所述检测模块具体用于检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
B20、如B19所述的终端设备,其特征在于,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
B21、如B15所述的终端设备,其特征在于,所述判断模块具体包括:
提取模块,用于提取所述待发送数据中关于目标服务器的特征信息;
判断子模块,用于基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
B22、如B21所述的终端设备,其特征在于,所述判断子模块用于判断所述目标服务器的特征信息是否存在第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;若所述目标服务器的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
B23、如B15或B21所述的终端设备,其特征在于,所述目标服务器的特征信息包括:IP地址和/或接收端口。
B24、如B22所述的终端设备,其特征在于,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
B25、如B15所述的终端设备,其特征在于,所述第一发送模块用于将所述待发送数据使用密钥加密之后发送给所述代理装置。
B26、如B15所述的终端设备,其特征在于,所述终端设备还包括:
第二发送模块,用于在判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
B27、如B15所述的终端设备,其特征在于,所述终端设备还包括:
接收模块,用于在将所述待发送数据发送给代理装置之后,接收所述代理装置利用所述预设安全通道转发过来的其他数据。
B28、如B15所述的终端设备,其特征在于,所述代理装置内置于浏览器中。
Claims (28)
1.一种数据传输方法,其特征在于,所述方法包括:
检测终端设备的所在机构是否属于保密机构;
若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器;其中,所述代理装置用于在所述终端设备已经支持https通道传输的基础上,用来和所述目标服务器建立比所述https通道更加安全的所述预设安全通道,为所述终端设备提供另外的安全通道传输数据,其中,在支持利用所述预设安全通道传输所述待发送数据的同时,还可以利用所述https通道传输其他数据。
2.如权利要求1所述的方法,其特征在于,
在所述检测终端设备的所在机构是否属于保密机构之前,所述方法还包括:
利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
3.如权利要求1所述的方法,其特征在于,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;
若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
4.如权利要求1所述的方法,其特征在于,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的所在机构的安全级别是否属于预设安全级别;
若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
5.如权利要求1所述的方法,其特征在于,所述检测终端设备的所在机构是否属于保密机构,具体包括:
检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;
若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
6.如权利要求5所述的方法,其特征在于,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
7.如权利要求1所述的方法,其特征在于,所述判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,具体包括:
提取所述待发送数据中关于目标服务器的特征信息;
基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
8.如权利要求7所述的方法,其特征在于,所述基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据,具体包括:
判断所述目标服务器的特征信息是否存在于第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;
若所述目标服务器的特征信息存在于所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
9.如权利要求1或7所述的方法,其特征在于,所述目标服务器的特征信息包括:IP地址和/或接收端口。
10.如权利要求8所述的方法,其特征在于,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
11.如权利要求1所述的方法,其特征在于,所述将所述待发送数据发送给代理装置,具体为:
将所述待发送数据使用密钥加密之后发送给所述代理装置。
12.如权利要求1所述的方法,其特征在于,在所述判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,所述方法还包括:
若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
13.如权利要求1所述的方法,其特征在于,在将所述待发送数据发送给代理装置之后,所述方法还包括:
接收所述代理装置利用所述预设安全通道转发过来的其他数据。
14.如权利要求1所述的方法,其特征在于,所述代理装置内置于浏览器中。
15.一种终端设备,其特征在于,包括:
检测模块,用于检测终端设备的所在机构是否属于保密机构;
判断模块,用于若检测出所述终端设备的所在机构属于所述保密机构,则判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
第一发送模块,用于若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器;其中,所述代理装置用于在所述终端设备已经支持https通道传输的基础上,用来和所述目标服务器建立比所述https通道更加安全的所述预设安全通道,为所述终端设备提供另外的安全通道传输数据,其中,在支持利用所述预设安全通道传输所述待发送数据的同时,还可以利用所述https通道传输其他数据。
16.如权利要求15所述的终端设备,其特征在于,所述终端设备还包括:
查找模块,用于在检测终端设备的所在机构是否属于保密机构之前,利用所述终端设备的IP地址查找所述终端设备的所在机构的登记信息;
获得模块,用于基于所述终端设备的所在机构的登记信息获得所述终端设备的所在机构。
17.如权利要求15所述的终端设备,其特征在于,所述检测模块具体用于检测所述终端设备的IP地址的安全级别是否高于安全级别阈值;若所述终端设备的IP地址的安全级别高于所述安全级别阈值,则表明所述终端设备的所在机构属于所述保密机构。
18.如权利要求15所述的终端设备,其特征在于,所述检测模块具体用于检测所述终端设备的所在机构的安全级别是否属于预设安全级别;若所述终端设备的所在机构的安全级别属于所述预设安全级别,则表明所述终端设备的所在机构属于所述保密机构。
19.如权利要求15所述的终端设备,其特征在于,所述检测模块具体用于检测所述终端设备的所在机构是否存在于记载有所述保密机构的第一白名单中;若所述终端设备的所在机构存在于所述第一白名单中,则表明所述终端设备的所在机构属于所述保密机构。
20.如权利要求19所述的终端设备,其特征在于,所述第一白名单的更新包括以下步骤:
定时对所述第一白名单进行更新;或
接收到不在所述第一白名单上的其他保密机构发送的记录请求时,根据所述记录请求将所述其他保密机构的信息更新到所述第一白名单上。
21.如权利要求15所述的终端设备,其特征在于,所述判断模块具体包括:
提取模块,用于提取所述待发送数据中关于目标服务器的特征信息;
判断子模块,用于基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通道接收所述待发送数据。
22.如权利要求21所述的终端设备,其特征在于,所述判断子模块用于判断所述目标服务器的特征信息是否存在于第二白名单中,所述第二白名单中记载了支持所述预设安全通道的服务器的特征信息;若所述目标服务器的特征信息存在于所述第二白名单中,则表示所述目标服务器支持建立所述预设安全通道接收所述待发送数据。
23.如权利要求15或21所述的终端设备,其特征在于,所述目标服务器的特征信息包括:IP地址和/或接收端口。
24.如权利要求22所述的终端设备,其特征在于,所述第二白名单的更新包括下面的步骤:
定时对所述第二白名单进行更新;或
当获得不在所述第二白名单上并且支持所述预设安全通道的其他服务器的更新请求时,将所述其他服务器的特征信息加入所述第二白名单进行更新。
25.如权利要求15所述的终端设备,其特征在于,所述第一发送模块用于将所述待发送数据使用密钥加密之后发送给所述代理装置。
26.如权利要求15所述的终端设备,其特征在于,所述终端设备还包括:
第二发送模块,用于在判断待发送数据对应的目标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持建立所述预设安全通道接收所述待发送数据,则利用所述https通道将所述待发送数据发送给所述目标服务器。
27.如权利要求15所述的终端设备,其特征在于,所述终端设备还包括:
接收模块,用于在将所述待发送数据发送给代理装置之后,接收所述代理装置利用所述预设安全通道转发过来的其他数据。
28.如权利要求15所述的终端设备,其特征在于,所述代理装置内置于浏览器中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510640510.XA CN105245516B (zh) | 2015-09-30 | 2015-09-30 | 一种数据传输方法及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510640510.XA CN105245516B (zh) | 2015-09-30 | 2015-09-30 | 一种数据传输方法及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105245516A CN105245516A (zh) | 2016-01-13 |
CN105245516B true CN105245516B (zh) | 2019-03-05 |
Family
ID=55043016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510640510.XA Active CN105245516B (zh) | 2015-09-30 | 2015-09-30 | 一种数据传输方法及终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105245516B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109617790B (zh) * | 2019-01-02 | 2021-11-30 | 北京北信源软件股份有限公司 | 一种支持消息传输通道分级的即时通信方法和即时通信系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685165A (zh) * | 2011-03-16 | 2012-09-19 | 中兴通讯股份有限公司 | 基于代理网关对访问请求进行控制的方法及装置 |
CN103188074A (zh) * | 2011-12-28 | 2013-07-03 | 上海格尔软件股份有限公司 | 一种增强浏览器ssl算法强度的代理方法 |
CN104137511A (zh) * | 2012-02-29 | 2014-11-05 | 微软公司 | 安全协议的动态选择 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8112791B2 (en) * | 2007-11-14 | 2012-02-07 | Kiester W Scott | Secure launching of browser from privileged process |
-
2015
- 2015-09-30 CN CN201510640510.XA patent/CN105245516B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685165A (zh) * | 2011-03-16 | 2012-09-19 | 中兴通讯股份有限公司 | 基于代理网关对访问请求进行控制的方法及装置 |
CN103188074A (zh) * | 2011-12-28 | 2013-07-03 | 上海格尔软件股份有限公司 | 一种增强浏览器ssl算法强度的代理方法 |
CN104137511A (zh) * | 2012-02-29 | 2014-11-05 | 微软公司 | 安全协议的动态选择 |
Also Published As
Publication number | Publication date |
---|---|
CN105245516A (zh) | 2016-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105282153B (zh) | 一种实现数据传输的方法及终端设备 | |
US10084780B2 (en) | Network-based authentication and security services | |
US8151336B2 (en) | Devices and methods for secure internet transactions | |
US11978053B2 (en) | Systems and methods for estimating authenticity of local network of device initiating remote transaction | |
KR102003272B1 (ko) | 블록체인 기반 스캠 메일 방지 메일게이트웨이용 프로그램, 단말용 프로그램, 블록체인 서비스용 서버 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 및 그 시스템 | |
CN108496382A (zh) | 用于个人身份认证的安全信息传输系统和方法 | |
CN103501331B (zh) | 数据传输方法、设备及系统 | |
CN104378379B (zh) | 一种数字内容加密传输方法、设备和系统 | |
US11943256B2 (en) | Link detection method and apparatus, electronic device, and storage medium | |
CN105208029B (zh) | 一种数据处理方法及终端设备 | |
US9723103B2 (en) | Communication method of administration node, requesting node, and normal node for deleting invalid content using content revocation list in content centric network | |
CN108989040B (zh) | 一种基于区块链的信息处理方法和装置 | |
CN101652967A (zh) | 用于减少电子消息的增殖的方法和系统 | |
US20170169234A1 (en) | System and method for removing internet attack surface from internet connected devices | |
US20220070165A1 (en) | Identification and authentication of a user using identity-linked device information for facilitation of near-field events | |
RU2622401C2 (ru) | Система и способ обеспечения и эксплуатации защищенной сети связи | |
CN105141705B (zh) | 一种安全传输数据的方法及终端设备 | |
CN105306455B (zh) | 一种处理数据的方法及终端设备 | |
CN105245516B (zh) | 一种数据传输方法及终端设备 | |
CN103501334B (zh) | 数据传输方法、设备及网络系统 | |
CN105306454A (zh) | 一种传输数据的方法及终端设备 | |
CN105160529B (zh) | 一种安全支付或购物的方法及终端设备 | |
CN106790697A (zh) | 安全存储实现方法及装置 | |
CN105208027B (zh) | 一种进行语音通话的方法及终端设备 | |
CN105245515B (zh) | 一种数据安全传输方法及终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220714 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
TR01 | Transfer of patent right |