CN106101056B - 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法 - Google Patents

一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法 Download PDF

Info

Publication number
CN106101056B
CN106101056B CN201610318667.5A CN201610318667A CN106101056B CN 106101056 B CN106101056 B CN 106101056B CN 201610318667 A CN201610318667 A CN 201610318667A CN 106101056 B CN106101056 B CN 106101056B
Authority
CN
China
Prior art keywords
state
byte
close
protocol
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610318667.5A
Other languages
English (en)
Other versions
CN106101056A (zh
Inventor
郭经宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yuweng Information Technology Co.,Ltd.
Original Assignee
SHANDONG YUWENG INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANDONG YUWENG INFORMATION TECHNOLOGY Co Ltd filed Critical SHANDONG YUWENG INFORMATION TECHNOLOGY Co Ltd
Priority to CN201610318667.5A priority Critical patent/CN106101056B/zh
Publication of CN106101056A publication Critical patent/CN106101056A/zh
Application granted granted Critical
Publication of CN106101056B publication Critical patent/CN106101056B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机信息安全通信领域,具体说是一种让IE浏览器基于国密SSL协议实现安全通信的方法。让IE浏览器基于国密SSL协议实现安全通信的方法,用户端需要运行一个国密协议的代理软件,IE浏览器与用户端国密代理软件进行标准的SSL协议通信,国密代理软件将IE浏览器发过来的数据包解密后重新封装成符合国密SSL协议的数据包转发给后台国密SSL VPN,国密SSL VPN将数据解密发给应用服务器完成数据传输。本发明将原本无法在IE浏览器中使用的国密SSL协议间接使用起来,一方面可以保证IE浏览器像使用普通IE浏览器方式一样去使用,另一方面又可以选择安全度更高的国密SSL协议,让数据传输更安全。

Description

一种代理软件软件架构中数据处理方法及让IE浏览器基于国 密SSL协议通信的方法
技术领域
本发明涉及计算机信息安全通信领域,具体说是一种软件架构及让IE浏览器基于国密SSL协议通信的方法,使用该方法访问国密SSL VPN设备后台的应用服务。
背景技术
当前IE浏览器只能使用标准的SSL协议与后台标准SSL VPN通信,为实现客户端访问的安全性,国家密码管理局制定了国密SSL协议,从而造成IE浏览器无法使用现有协议进行安全通信。
发明内容
为了解决现有技术的不足,本发明提供了一种代理软件软件架构中数据处理方法及让IE浏览器基于国密SSL协议通信的方法。
本发明是通过如下技术方案实现的:
一种代理软件软件架构中数据处理方法,其特征是:包括三层步骤:
第一层协议,记录层协议格式:
1字节协议类型+2字节版本号+2字节数据长度+数据内容
其中数据内容就是第二层的数据包;
第二层协议
一、警告协议格式
1字节警告等级+1字节警告描述;
二、握手协议格式
1字节握手类型+3字节握手消息数据长度+握手消息数据,其中握手消息数据内容就是第三层各种握手消息的数据包,serverhellodown和finished消息比较特别,不符合协议格式,附在上一个消息包的后面,以0E 00 00 00四字节表示结束,在代码解析数据包时要对serverhellodown和finished消息进行判断;
第三层协议
client hello
2字节协议版本+32字节随机数+1字节会话OID长度+会话OID内容+2字节算法套件长度+算法套件内容+1字节压缩算法长度+压缩算法内容。
一种让IE浏览器基于国密SSL协议通信的方法,其特征采用如下步骤:
一、用户端需要运行应用上述数据处理方法的代理软件,为分别将上述软件在以下文中统称为国密代理软件,
二、IE浏览器与用户端国密代理软件进行标准的SSL协议通信。
三、国密代理软件将IE浏览器发过来的数据包解密后重新封装成符合国密SSL协议的数据包转发给后台国密SSL VPN。
四、国密SSL VPN将数据解密发给应用服务器完成数据传输。
具体使用时,IE浏览器使用本地IP(127.0.0.1)与本地国密代理软件完成标准SSL协议握手过程,并建立安全隧道。国密代理软件将IE浏览器通过安全隧道发送过来的数据进行解密;国密代理软件与后台国密SSL VPN设备按照国密SSL协议完成握手过程,并建立安全隧道;代理软件将IE浏览器发送过来的数据按照国密协议标准重新封装数据包,并通过安全隧道发送给国密SSL VPN设备。国密SSL VPN设备将数据转发给应用服务器,完成数据发送过程;应用服务器通过国密SSL VPN设备将返回数据通过安全隧道发送给代理软件,代理软件再以标准的SSL协议将数据转发给本地IE浏览器,IE浏览器完成页面显示。
本发明的有意效果:将原本无法在IE浏览器中使用的国密SSL协议间接使用起来,一方面可以保证IE浏览器像使用普通IE浏览器方式一样去使用,另一方面又可以选择安全度更高的国密SSL协议,让数据传输更安全,再者就是使用者感觉不出来对自己操作和以往有太多差别,方便了国密SSL协议的使用推广。
附图说明
下面结合附图对本发明作进一步的说明:
图1软件架构图
图2客户端与服务器端数据交互关系图
图3SSL协议握手过程图
具体实施方式
1、附图为本发明的一种具体实施例。该数据处理方法如图1所示包括三层步骤:
第一层协议,记录层协议格式:
1字节协议类型+2字节版本号+2字节数据长度+数据内容
其中数据内容就是第二层的数据包;
第二层协议
一、警告协议格式
1字节警告等级+1字节警告描述;
三、握手协议格式
1字节握手类型+3字节握手消息数据长度+握手消息数据,其中握手消息数据内容就是第三层各种握手消息的数据包,serverhellodown和finished消息比较特别,不符合协议格式,附在上一个消息包的后面,以0E 00 00 00四字节表示结束,在代码解析数据包时要对serverhellodown和finished消息进行判断;
第三层协议
client hello
2字节协议版本+32字节随机数+1字节会话OID长度+会话OID内容+2字节算法套件长度+算法套件内容+1字节压缩算法长度+压缩算法内容。
注意:当OID长度为0时,会话OID内容省略
举例:
Client Hello Package Hex Data:
分解:
protocol version:
01 01
Random:Data:
Session ID Length:
00
Session ID:
cipherSuites:Data Len:
00 10
cipherSuites:
e0 01 e0 02 e0 09 e0 0a e0 11 e0 12 e0 19 e0 1a
compressionMethods:Data Len:
01
compressionMethods:
00
2、server hello
2字节协议版本号+32字节随机数+1字节会话OID长度+会话OID内容+算法套接字(2字节)+压缩算法(1字节)
例如:
Server Hello Package Hex Data:
分解:
protocol version:
01 01
Random:Data
Session ID Length:
00
Session ID:
cipherSuite:Data
e0 11
compressionMethod:Data
00
3、server certificate
数据总长度(3字节)+签名证书长度(3字节)+签名证书数据+加密证书长度(3字节)+加密证书数据
举例:
数据总长度(1145)
00 04 79
签名证书长度(570)
00 02 3a
签名证书数据
加密证书长度(569)
00 02 39
加密证书数据
4、server key exchange
当算法套件为ECDHE-SM4-SM3时:
sm2_sm3_init_z IDA:
ENTLA(2字节)+ID(默认值16字节)+SM2参数a(32字节)+SM2参数b(32字节)+SM2参数gx(32字节)+SM2参数gy(32字节)+server sign public key(64字节)
举例:
ENTLA:(参考SM2数字签名部分5.5章节,两个字节组成,表示ID的BIT长度)
00 80
id:
a:
b:
0e 93
gx:
gy:
server public key(服务端签名公钥):
sm2_sm3_init_z Z Value是对IDA的SM3杂凑值:
ECDHE orig(具体格式见例子)
数据包在签名之前对数据包进行SM3杂凑运算,参与做杂凑运算的数据和顺序为:
Z+client Random+server Random+ECDHE orig
Server key exchange包格式:
ECDHE orig+签名值长度(2字节)+签名值
其中签名值计算过程:
1)首先对Z+client Random+server Random+ECDHE orig做SM3杂凑运算
2)对杂凑结果做SM2签名运算
3)对签名值做DER编码
举例:
server key exchange ECDHE orig:
03算法参数
00长度为0
长度(两个字节)
00 41
编码类型
04
服务端临时公钥
签名值长度(两个字节)
00 47
DER编码的SM2算法签名值SQUENCE:={r:INTEGER;s:INTEGER}
当算法套件为ECC-SM4-SM3时:
签名过程与ECDHE一样,在封装exchange包的时候不在包含服务端临时公钥,仅含有签名值的内容。
此算法套件的server key exchange ECC orig:服务端加密证书
签名原文数据组装方式为:
Z+client Random+server Random+ECDHE orig,其中ECDHE orig为服务端加密证书(证书长度(3个字节)+加密证书内容)
其中签名值计算过程:
1)首先对Z+client Random+server Random+ECDHE orig做SM3杂凑运算
2)对杂凑结果做SM2签名运算
3)对签名值做DER编码
举例:
长度(两个字节)
00 48
签名值的DER编码
5、Certificate request
证书类型长度(1字节)+证书类型+服务端信任CA的证书DN列表长度(2字节)+服务端CA证书1DN长度(2字节)+服务端CA证书1+服务端CA证书2DN长度(2字节)+服务端CA证书2+......
举例:
证书类型长度
02
证书类型
01 02(此处与规范不太一致,个人理解是要求客户端发送签名证书(01)和加密证书(02))
DN列表长度
00 00
6、Client Key Exchange
当算法套件为ECDHE-SM4-SM3时:
03 00算法参数
00 41数据长度
04公钥编码方式
密钥协商时的临时公钥,该公钥是密钥协商函数的对方临时公钥
当算法套件为ECC-SM4-SM3时:
00 9c数据长度
后面的数据是用服务端加密密钥对预主密钥加密后的密文的DER编码,其密文DER编码结构为:SEQUENCE:={
X:INTEGER;
Y:INTEGER;
M:OCTSTRING;
C:OCTSTRING
}Cipher,需要用服务端私钥加密获得预主密钥。
该让IE浏览器基于国密SSL协议通信的方法,具体通信过程如下。
IE浏览器与本地代理通信:IE浏览器通过本地127.0.0.1地址,将数据发送给代理服务器,代理服务器使用的标准SSL协议可以使用OPENSSL开源代码库封装完成,IE浏览器自身已经实现了标准SSL协议,IE浏览器访问的网址中的原有服务器地址使用127.0.0.1代替,让数据能够直接发送给本地代理服务器。
代理服务器按照国密SSL协议标准完后国密协议,并与国密SSL VPN设备通信,代理服务器将接收到得数据直接通过网络发送给对端的SSL VPN设备。SSL VPN设备负责完成WEB服务器访问。

Claims (2)

1.一种代理软件软件架构中数据处理方法,其特征是:包括三层步骤:
第一层协议,记录层协议格式:
1字节协议类型+2字节版本号+2字节数据长度+数据内容
其中数据内容就是第二层的数据包;
第二层协议
一、警告协议格式
1字节警告等级+1字节警告描述;
二、握手协议格式
1字节握手类型+3字节握手消息数据长度+握手消息数据,其中握手消息数据内容就是第三层各种握手消息的数据包,serverhellodown和finished消息比较特别,不符合协议格式,附在上一个消息包的后面,以0E 00 00 00四字节表示结束,在代码解析数据包时要对serverhellodown和finished消息进行判断;
第三层协议
client hello
2字节协议版本+32字节随机数+1字节会话OID长度+会话OID内容+2字节算法套件长度+算法套件内容+1字节压缩算法长度+压缩算法内容。
2.一种让IE浏览器基于国密SSL协议通信的方法,其特征采用如下步骤:
一、用户端需要运行应用上述权利要求1所述的数据处理方法的代理软件;
二、IE浏览器与用户端国密代理软件进行标准的SSL协议通信;
三、国密代理软件将IE浏览器发过来的数据包解密后重新封装成符合国密SSL协议的数据包转发给后台国密SSL VPN;
四、国密SSL VPN将数据解密发给应用服务器完成数据传输。
CN201610318667.5A 2016-05-12 2016-05-12 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法 Active CN106101056B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610318667.5A CN106101056B (zh) 2016-05-12 2016-05-12 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610318667.5A CN106101056B (zh) 2016-05-12 2016-05-12 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法

Publications (2)

Publication Number Publication Date
CN106101056A CN106101056A (zh) 2016-11-09
CN106101056B true CN106101056B (zh) 2018-10-26

Family

ID=57229920

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610318667.5A Active CN106101056B (zh) 2016-05-12 2016-05-12 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法

Country Status (1)

Country Link
CN (1) CN106101056B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107294986B (zh) * 2017-06-30 2018-05-08 北京海泰方圆科技股份有限公司 一种访问https网站的方法、装置及系统
CN109818910B (zh) * 2017-11-21 2022-07-01 中移(杭州)信息技术有限公司 一种数据传输方法、装置和介质
CN116846689B (zh) * 2023-09-01 2023-12-26 建信金融科技有限责任公司 金融业务数据传输方法、装置、计算机设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101562518A (zh) * 2008-04-15 2009-10-21 上海海加网络科技有限公司 一种ssl安全协处理器芯片的设计及其在系统中的应用
CN103747001A (zh) * 2014-01-14 2014-04-23 中电长城(长沙)信息技术有限公司 基于安全算法的音频接入式移动支付终端及通信方法
CN104394179A (zh) * 2014-12-18 2015-03-04 山东中创软件工程股份有限公司 支持国密算法的安全套接层协议扩展方法
CN104394164A (zh) * 2014-12-06 2015-03-04 金琥 基于会话和协议识别https端口数据的方法
CN104539429A (zh) * 2014-12-30 2015-04-22 飞天诚信科技股份有限公司 一种定位国密证书的方法和装置及系统
CN105530090A (zh) * 2015-12-31 2016-04-27 中国建设银行股份有限公司 密钥协商的方法及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8886937B2 (en) * 2011-03-11 2014-11-11 Resource Interactive, Llc PCI DSS compliant proxy service

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101562518A (zh) * 2008-04-15 2009-10-21 上海海加网络科技有限公司 一种ssl安全协处理器芯片的设计及其在系统中的应用
CN103747001A (zh) * 2014-01-14 2014-04-23 中电长城(长沙)信息技术有限公司 基于安全算法的音频接入式移动支付终端及通信方法
CN104394164A (zh) * 2014-12-06 2015-03-04 金琥 基于会话和协议识别https端口数据的方法
CN104394179A (zh) * 2014-12-18 2015-03-04 山东中创软件工程股份有限公司 支持国密算法的安全套接层协议扩展方法
CN104539429A (zh) * 2014-12-30 2015-04-22 飞天诚信科技股份有限公司 一种定位国密证书的方法和装置及系统
CN105530090A (zh) * 2015-12-31 2016-04-27 中国建设银行股份有限公司 密钥协商的方法及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
国密SSL安全通信协议的研究与实现;吴永强;《中国优秀硕士学位论文全文数据库 信息科技辑》;20160315;全文 *

Also Published As

Publication number Publication date
CN106101056A (zh) 2016-11-09

Similar Documents

Publication Publication Date Title
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
US6965992B1 (en) Method and system for network security capable of doing stronger encryption with authorized devices
CN110995414B (zh) 基于国密算法在tls1_3协议中建立通道的方法
Alshamsi et al. A technical comparison of IPSec and SSL
US9742806B1 (en) Accessing SSL connection data by a third-party
CN107395368B (zh) 无介质环境中的数字签名方法及解封装方法与解密方法
CN107040446B (zh) 一种vpn隧道协议实现方法
WO2012088889A1 (zh) 基于浏览器的数据通讯方法、设备和数据交互系统
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
WO2021068777A1 (en) Methods and systems for internet key exchange re-authentication optimization
CN106101056B (zh) 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法
CN111756529A (zh) 一种量子会话密钥分发方法及系统
CN113572766A (zh) 电力数据传输方法和系统
CN116886288A (zh) 一种量子会话密钥分发方法及装置
CN113572607A (zh) 一种采用非平衡sm2密钥交换算法的安全通信方法
CN112929166A (zh) 一种基于Modbus-TCP协议的主站、从站及数据传输系统
CN115834026A (zh) 一种基于工业协议的安全加密方法
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
US20130283363A1 (en) Secure data transfer over an arbitrary public or private transport
CN114363086B (zh) 基于流密码的工业互联网数据加密传输方法
CN108989486A (zh) 一种通信方法及通信系统
CN113746861A (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
AU2010245117A1 (en) Method and apparatus for secure packet transmission
CN116471345B (zh) 一种数据通信方法、装置、设备及介质
CN117201200B (zh) 基于协议栈的数据安全传输方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Guo Jingyu

Inventor before: Song Zhihua

Inventor before: Guo Gang

Inventor before: Fang Baolong

CB03 Change of inventor or designer information
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 264200 No. 12-1, Chuhe North Road, chucun Town, gaoqu District, Weihai City, Shandong Province

Patentee after: Yuweng Information Technology Co.,Ltd.

Address before: 264209 No. 12, Chuhe North Road, gaoqu District, Weihai City, Shandong Province

Patentee before: SHANDONG FISHERMAN INFORMATION TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address