CN106302391B - 一种加密数据传输方法和代理服务器 - Google Patents
一种加密数据传输方法和代理服务器 Download PDFInfo
- Publication number
- CN106302391B CN106302391B CN201610600391.XA CN201610600391A CN106302391B CN 106302391 B CN106302391 B CN 106302391B CN 201610600391 A CN201610600391 A CN 201610600391A CN 106302391 B CN106302391 B CN 106302391B
- Authority
- CN
- China
- Prior art keywords
- server
- terminal
- proxy server
- ciphertext
- attorment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种加密数据传输方法和代理服务器,用于接收、业务处理和传输,使用安全套接字层上的超文本传输协议HTTPS进行通信的终端和服务器之间的通信数据。本发明实施例方法包括:代理服务器分别与所述终端和所述服务器建立安全传输层协议TLS连接;所述代理服务器接收第一端通过所述TLS连接发送的第一密文;所述代理服务器解密所述第一密文,得到明文;所述代理服务器对所述明文进行业务处理;所述代理服务器加密业务处理后的所述明文,得到第二密文;所述代理服务器向所述第二端发送所述第二密文。代理服务器在接收到第一密文时无需发送给第三方解密,可以直接解密并对得到的明文进行业务处理,因此业务处理过程不会造成延时,较为便捷。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种加密数据传输方法和代理服务器。
背景技术
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。然而,由于HTTPS在数据安全发明保密效果显著,运营商和一些可信的第三方应用无法获取其中的信息和数据,也无法对信息和数据进行业务处理。
为此,有人提出了一种实现透明代理的方案。具体地,通过代理服务器事先与服务端建立TLS连接,当接收到客户端的密文时,将该密文发送给服务端,由服务端解密得到明文,并把明文返回给代理服务器,以使得代理服务器可以对该明文进行业务处理。
然而,当代理服务器接收到用户的数据时,由于无法直接打开数据,而是需要传送给服务器,通过服务器解密,并回传给代理服务器,因此代理服务器获得明文数据以及进行业务处理的过程会有一定的延时,显得冗长。
发明内容
本发明实施例提供了一种加密数据传输方法和代理服务器,用于接收、业务处理和传输,使用安全套接字层上的超文本传输协议HTTPS进行通信的终端和服务器之间的通信数据。
有鉴于此,本发明实施例第一方面提供了一种加密数据传输方法,用于使用HTTPS进行通信的终端和服务器,包括:代理服务器分别与该终端和该服务器建立TLS连接;该代理服务器接收第一端通过该TLS连接发送的第一密文,该第一端为该终端或该服务器;该代理服务器解密该第一密文,得到明文;该代理服务器对该明文进行业务处理;该代理服务器加密业务处理后的该明文,得到第二密文;该代理服务器向该第二端发送该第二密文,该第二端为该服务器或该终端。
代理服务器在接收到第一密文时无需发送给第三方解密,可以直接解密并对得到的明文进行业务处理,因此业务处理过程不会造成延时,较为便捷。
结合第一方面,第一方面的第一种实施方式,包括:该代理服务器接收该终端发送的客户问候消息,该客户问候消息包含该终端的参数信息;该代理服务器根据该终端的参数信息与该服务器建立第一TLS连接;该代理服务器使用该第一TLS连接获取代理证书;该代理服务器使用该代理证书向该终端发送响应消息,以使得与该终端完成建立第二TLS连接。
在一些可行的实施例中,终端和服务器可以通过RSA公钥加密算法建立TLS连接。具体的,RSA基于三个随机数生成会话密钥,前两个随机数以明文的形式在握手消息中交换,第三个随机数由终端使用服务器的公钥加密后发送,拥有私钥的服务器才能解开,进而生成会话密钥。在会话密钥生成后,双方把密钥和自己发送过的所有握手消息内容计算HASH摘要,通过Finish消息发给对方。对方校验摘要正确后,才开始基于会话密钥做加密通讯。需要说明的是,为了验证终端接收的公钥是否为服务器的公钥,需要获取服务器的证书,通过证书验证服务器的公钥,从而完成生产会话密钥。
结合第一方面的第一种实施方式,第一方面的第二种实施方式,包括:该代理服务器接收该服务器发送的该代理证书,该代理证书由该服务器使用证书工具根据该服务器的证书生成。
在一些可行的实施例中,代理服务器可以从CA证书工具从获取,也可以获取服务器的证书,并将服务器中的证书中的CA一栏,从vertisign改为proxycert,即可作为自身的代理证书。在一些可行的实施例中,代理服务器可以利用运营商从著名根证书机构申请获得的运营商证书,使用工具,通过输入关键信息,包括CN、Algorithm ID算法标识、Validity有效期、Subject使用者等信息为服务器签发证书。
结合第一方面的第一种实施方式,第一方面的第三种实施方式,包括:该代理服务器获取该服务器的证书;该代理服务器从该服务器的证书中提取生成代理证书的必要信息;该代理服务器使用CA工具根据该生成代理证书的必要信息生成该代理证书。
在一些可行的实施例中,代理服务可以器获取服务器的证书后,从服务器的证书中提取生成证书的必要信息,使用CA工具根据生成证书的必要信息生成该代理证书,或者将该生成证书的必要信息发送到CA证书服务器,以获取CA证书服务器亲自签发的证书。
结合第一方面的第一种实施方式、第二种实施方式、第三种实施方式,第一方面的第四种实施方式,包括:该代理服务器判断是否需要对该终端进行代理。
在一些可行的实施例中,优选的,当终端发起与服务器的TLS连接的三次握手时,代理服务器可以主动获取终端的端口信息、L34层信息,从而判断终端是否需要代理。需要说明的是,HTTPS一般使用443端口,因此在一些可行的实施例中,若代理服务器发现终端使用443端口发送的消息,则可以判定该终端和服务器的通信需要代理。
结合第一方面的第一种实施方式、第二种实施方式,第一方面的第五种实施方式,包括:该代理服务器判断自身是否有能力代理该终端。
在一些可行的实施例中,代理服务器还可以判断自身是否有能力代理终端和该服务器,若确定有能力代理,则可以完成与终端和服务器的TLS连接。需要说明的是,对于判断自身是否有能力代理该终端和服务器,可以在TLS连接的过程中获取相关信息,通过该相关信息判断,也可以预先判断,此处不做限定。
本发明实施例第二方面提供了一种代理服务器,用于HTTPS进行通信的终端和服务器,该代理服务器包括:连接模块,用于分别与该终端和该服务器建立TLS连接;接收模块,用于接收到第一端通过该连接模块连接的该TLS连接发送的第一密文,该第一端为该终端或该服务器;解密模块,用于解密该第一密文,得到明文;业务模块,用于对该解密模块解密得到的该明文进行业务处理;加密模块,用于加密该业务模块进行业务处理后的该明文,得到第二密文;发送模块,用于向该第二端发送该加密模块加密得到的该第二密文,该第二端为该服务器或该终端。
结合第二方面,第二方面的第一种实施方式,包括:接收子模块,用于接收该终端发送的客户问候消息,该客户问候消息包含该终端的参数信息;第一连接子模块,用于根据该接收子模块接收的该终端的参数信息与该服务器建立第一TLS连接;获取子模块,用于使用该第一TLS连接获取代理证书;第二连接子模块,用于使用该代理证书向该终端发送响应消息,以使得与该终端完成建立第二TLS连接。
结合第二方面的第一种实施方式,第二方面的第二种实施方式,包括:接收单元,用于接收该服务器发送的该代理证书,该代理证书由该服务器使用证书工具根据该服务器的证书生成。
结合第二方面的第一种实施方式,第二方面的第三种实施方式,包括:获取单元,用于获取该服务器的证书;提取单元,用于从该服务器的证书中提取生成代理证书的必要信息;生成单元,用于使用CA工具根据该生成代理证书的必要信息生成该代理证书。
结合第二方面的第一种实施方式、第二种实施方式、第三种实施方式,第二方面的第四种实施方式,包括:第一判断模块,用于判断是否需要对该终端进行代理。
结合第二方面的第一种实施方式、第二种实施方式,第二方面的第五种实施方式,包括:第二判断模块,用于判断自身是否有能力代理该终端。
本发明实施例第三方面提供了一种代理服务器,包括:收发器、存储器、处理器以及总线;该收发器、该存储器以及该处理器通过该总线连接;该收发器用于分别与该终端和该服务器建立TLS连接,接收第一端通过该TLS连接发送的第一密文,该第一端为该终端或该服务器,向该第二端发送该第二密文,该第二端为该服务器或该终端;该存储器用于存储程序、该收发器收发的该第一密文、该明文、该第二密文;该处理器用于执行该程序、解密该第一密文,得到明文、对该明文进行业务处理、加密经过该处理器业务处理后的该明文,得到第二密文以及分别与该终端和该服务器建立该TLS连接过程中的信息处理。
从以上技术方案可以看出,本发明实施例具有以下优点:
由于分别与该终端和该服务器建立安全传输层协议TLS连接,当接收第一端通过该TLS连接发送的第一密文时,可以解密该第一密文,得到可以用于进行业务处理的明文,当业务处理完毕时,可以加密该明文,得到第二密文,并向第二端发送该第二密文,第一端和第二端分别是终端和服务器,因此代理服务器在接收到第一密文时无需发送给第三方解密,可以直接解密并对得到的明文进行业务处理,因此业务处理过程不会造成延时,较为便捷。
附图说明
图1为本发明实施例中一种数据传输系统的架构示意图;
图2为本发明实施例中一种加密数据传输方法一个实施例的流程示意图;
图3为本发明实施例中一种加密数据传输方法中TLS连接方法的流程示意图;
图4为本发明实施例中一种代理服务器一个实施例的流程示意图;
图5为本发明实施例中一种代理服务器的另一个实施例的流程示意图;
图6为本发明实施例中一种代理服务器的另一个实施例的流程示意图;
图7为本发明实施例中一种代理服务器的另一个实施例的流程示意图;
图8为本发明实施例中一种代理服务器的另一个实施例的流程示意图;
图9为本发明实施例中一种代理服务器的另一个实施例的流程示意图;
图10为本发明实施例中一种代理服务器的另一个实施例的流程示意图。
具体实施方式
本发明实施例提供了一种加密数据传输方法和代理服务器,用于接收、业务处理和传输,使用安全套接字层上的超文本传输协议HTTPS进行通信的终端和服务器之间的通信数据。
为了使本技术领域的人员更好地理解本发明实施例方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,是一种数据传输系统的示意图,该数据传输系统包括多个终端、多个服务器和代理服务器。
本发明实施例涉及的终端,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(RAN Radio Access Network)与一个或多个核心网进行通信,无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(PCS,Personal Communication Service)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(WLL,Wireless Local Loop)站、个人数字助理(PDA,Personal Digital Assistant)等设备。无线终端也可以称为系统、订户单元(SubscriberUnit)、订户站(Subscriber Station),移动站(Mobile Station)、移动台(Mobile)、远程站(Remote Station)、接入点(Access Point)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、终端设备、用户代理(User Agent)、用户设备(User Device)、或用户装备(User Equipment),此处不作限定。需要说明的是,终端的内部结构可以包括:射频(Radio Frequency,RF)电路、存储器、输入单元、显示单元、传感器、音频电路、无线保真(wireless fidelity,WiFi)模块、处理器、以及电源等部件。本领域技术人员可以理解,以上所述的终端的结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
在本发明实施例中,服务器可以为内容提供商,提供网络内容服务,包括文字、图像、音频和视频等各种媒体内容。进一步的,可以为互联网内容提供商,即向广大用户综合提供互联网信息业务和增值业务的运营商,其提供的网络内容服务,包括搜索引擎、虚拟社区、电子邮箱、新闻娱乐等。
服务器还可以为服务提供商,是移动互联网服务内容、应用服务的直接提供者,常指电信增值业务提供商,负责根据用户的要求开发和提供适合手机用户使用的服务。在一些可行的实施例中,可以利用短信、彩信、WAP等方式,通过电讯网络运营商提供的增值接口,向用户提供信息服务,然后由运营商在用户的手机费和宽带费中扣除相关服务费,最后运营商和服务提供商再按照比例分成。手机终端上的服务提供商的服务包括纯文本短信,它是最简单的服务提供商的业务。还包括用户可以获得各种个性化多媒体内容的彩信。除此以外,游戏、彩铃、交友社区、广告等等都是增值业务。
该服务器还可以其他为用户提供网络服务的实体,此处不作限定。
在本发明实施例中,该服务器的内部结构可以包括一个或一个以上中央处理器(central processing units,CPU)(例如,一个或一个以上处理器)和存储器,一个或一个以上存储应用程序或数据的存储介质(例如一个或一个以上海量存储设备)。其中,存储器和存储介质可以是短暂存储或持久存储。存储在存储介质的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器可以设置为与存储介质通信,在服务器上执行存储介质中的一系列指令操作。
在本发明实施例中,代理服务器可以为作为管道的网关、防火墙设备、内容分发网络等设备,此处不作限定。优选的,可以为网关GPRS支持节点(英文:Gateway GPRS SupportNode,缩写:GGSN)或者公用数据网网关(英文:PDN GateWay,缩写:PGW),内部结构可以与服务器类似,此处不再赘述,在此基础上,该代理服务器有一个业务处理模块,用于对接收的数据进行业务处理。
当服务器和终端都使用HTTP进行数据传输时,代理服务器可以直接获取明文状态的数据,即可对该数据进行业务处理,也可以直接透传该数据。然而,当服务器和终端使用HTTPS作为数据传输协议时,传输的数据时加密了的,此时代理服务器由于没有会话密钥,无法直接获取明文状态的数据,只能获取密文状态下的数据。在本发明实施例中,针对服务器和终端使用HTTPS进行数据传输的情况,代理服务器可以通过与服务器和终端进行TLS连接,以使得拥有与双方通信的会话密钥,使得可以对获取的密文进行解密并进行业务处理,还可以将业务处理后的明文进行加密,并在另一端发送出去。
为便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图2,本发明实施例中一种加密数据传输方法一个实施例包括:
201、该代理服务器分别与该终端和该服务器建立TLS连接。
在本发明实施例中,终端通过代理服务器连接服务器,然而如上所述,在HTTPS作为传输协议下,终端和服务器的通信的数据是加密的,终端和服务器之间有会话密钥。
在一些可行的实施例中,终端和服务器可以通过RSA公钥加密算法建立TLS连接。具体的,RSA基于三个随机数生成会话密钥,前两个随机数以明文的形式在握手消息中交换,第三个随机数由终端使用服务器的公钥加密后发送,拥有私钥的服务器才能解开,进而生成会话密钥。在会话密钥生成后,双方把密钥和自己发送过的所有握手消息内容计算HASH摘要,通过Finish消息发给对方。对方校验摘要正确后,才开始基于会话密钥做加密通讯。需要说明的是,为了验证终端接收的公钥是否为服务器的公钥,需要获取服务器的证书,通过证书验证服务器的公钥,从而完成生产会话密钥。
当终端和服务器使用HTTPS作为传输协议时,代理服务器直接透传密文。当代理服务器确定需要对终端或者服务器的数据进行业务处理或者需要监听时,会与双方建立TLS连接。在一些可行的实施例中,可以由终端向代理服务器发送代理请求,也可以由服务器向代理服务器发送代理请求,也可以有代理服务器自发代理,此处不作限定。
在一些可行的实施例中,优选的,当终端发起与服务器的TLS连接的三次握手时,代理服务器可以主动获取终端的端口信息、L34层信息,从而判断终端是否需要代理。需要说明的是,HTTPS一般使用443端口,因此在一些可行的实施例中,若代理服务器发现终端使用443端口发送的消息,则可以判定该终端和服务器的通信需要代理。
在一些可行的实施例中,代理服务器还可以判断自身是否有能力代理终端和该服务器,若确定有能力代理,则可以完成与终端和服务器的TLS连接。需要说明的是,对于判断自身是否有能力代理该终端和服务器,可以在TLS连接的过程中获取相关信息,通过该相关信息判断,也可以预先判断,此处不做限定。
在本发明实施例中,当终端发起对服务器的TLS三次握手时,可以直接透传三次握手,以使得终端与服务器建立TLS连接,然后获取终端的客户问候消息,根据该客户问候消息与双方建立TLS连接。
202、该代理服务器接收第一端通过该TLS连接发送的第一密文,该第一端为该终端或该服务器。
在本发明实施例中,当代理服务器与服务器和终端建立TLS连接之后,可以接收服务器和终端中的任意一端的数据,所称第一端即可以为服务器和终端中的任意一端。需要说明的是,接收的第一端的数据为密文,由于代理服务器与双方都建立了TLS连接,则代理服务器拥有该第一端的会话密钥,即可对该密文进行相应的处理。
203、该代理服务器解密该第一密文,得到明文。
在一些可行的实施例中,当代理服务器接收到第一密文时,可以通过事先建立的TLS连接中确定的会话密钥对第一密文进行解密,从而完全打开该数据,得到明文。
204、该代理服务器对该明文进行业务处理。
在本发明实施例中,当通过解密得到明文后,可以对该明文进行相应的业务处理。在一些可行的实施例中,该业务处理的类型包括服务质量控制、网站过滤和计费等,此处不作限定。
需要说明的是,服务质量控制指的是一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要服务质量控制,比如网络应用,或电子邮件设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,服务质量控制能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
在一些可行的实施例中,需要对终端使用网络进行一定的控制和过滤,如需要控制未成年对淫秽色情等不法网络的浏览。还可以对终端使用的流量进行计算,以计算费用。
205、该代理服务器加密业务处理后的该明文,得到第二密文。
当业务处理完毕后,可以将明文通过预置的代理服务器和第二段之间的加密方法进行加密,得到第二密文。需要说明的是,一般来说,第一密文和第二密文是不同的,尽管两个密文表示的内容是一样的,但是其表现的字符是不同的,取决于代理服务器与两端之间的预置的加密和解密方法,若得到的与两端的加密方法一致,则得到第一密文和第二密文是相同的。但是由于一般来说,两者的加密方法不会互相参考也没有什么关系,因此一般来说,第一密文和第二密文是不相同的。
206、该代理服务器向该第二端发送该第二密文,该第二端为该服务器或该终端。
在本发明实施例中,当代理服务器加密明文得到第二密文后,可以将第二密文发送给第二端,第二端为服务器和终端中的一端。需要说明的是,当代理服务器与两端的会话结束后,可以作废会话密钥,待下次再建立TLS连接,会有新的会话密钥。
以上描述了代理服务器和两端的连接和连接后的使用,以下对于具体的连接进行说明,请参阅图3,为本发明实施例中一种加密数据传输方法中TLS连接方法:
301、该代理服务器接收该终端发送的客户问候消息,该客户问候消息包含该终端的参数信息,该客户问候消息用于该终端与该代理服务器建立TLS连接。
在本发明实施例中,当终端需要接入网络时,终端发起TCP建链报文,从而发起与服务器之间的三次握手。由于三次握手为公知常识,此处不做赘述。此处代理服务器可以读取该TCP建链报文,从而判断是否需要对此进行代理,如需要进行代理,则监听并直接透传三次握手消息。当终端与服务器建立了连接后,代理服务器可以向终端获取相应的消息,具体的,终端可以向代理服务器发送客户问候消息,该客户问候消息包含该终端的参数信息,该参数信息被代理服务器用户判断自身是否有能力代理该终端。
302、该代理服务器根据该终端的参数信息与该服务器建立第一TLS连接。
当该代理服务器接收该终端发送的客户问候消息后,并且确定自身有能力代理时,可以根据终端的参数信息重构客户问候消息,该新的客户问候消息还可以包含代理服务器的参数消息,并将该新的客户问候消息发送至服务器,以图与服务器建立第一TLS连接。
当向服务器发送新的客户问候消后,服务器会对该客户问候消息进行响应,向代理服务器发送响应消息,以此开启三次握手,并在过程中交换密钥,以使得生成会话密钥。需要说明的是,当接收服务器的响应时,可以从响应的消息中获取服务器的参数信息、公钥和证书,根据该参数信息判断自身是否有能力代理,若确定有能力进行代理,则继续完成第一TLS连接。根据该证书确定收到的公钥是正确的,以此建立与服务器的第一TLS连接。
303、该代理服务器使用该第一TLS连接获取代理证书。
在本发明实施例中,当与该服务器建立第一TLS连接之后,可以与终端建立第二TLS连接,然而在本发明实施例中,需要先获取代理证书。
在一些可行的实施例中,代理服务器可以从CA证书工具从获取,也可以获取服务器的证书,并将服务器中的证书中的CA一栏,从vertisign改为proxy cert,即可作为自身的代理证书。在一些可行的实施例中,代理服务器可以利用运营商从著名根证书机构申请获得的运营商证书,使用工具,通过输入关键信息,包括CN、Algorithm ID算法标识、Validity有效期、Subject使用者等信息为服务器签发证书。
在一些可行的实施例中,代理服务可以器获取服务器的证书后,从服务器的证书中提取生成证书的必要信息,使用CA工具根据生成证书的必要信息生成该代理证书,或者将该生成证书的必要信息发送到CA证书服务器,以获取CA证书服务器亲自签发的证书。
304、该代理服务器根据该代理证书向该终端发送响应消息,以使得与该终端完成建立第二TLS连接。
在一些可行的实施例中,当代理服务器接收到代理证书之后,可以向终端发送对客户问候消息的响应消息,完成与终端的第二TLS连接。
上面对本发明实施例中一种加密数据传输方法进行描述,下面对本发明实施例中的代理服务器进行描述。
请参考图4,本发明实施例还提供一种代理服务器400,该代理服务器400包括:
连接模块401,用于分别与该终端和该服务器建立安全传输层协议TLS连接。
接收模块402,用于接收到第一端通过该连接模块连接的该TLS连接发送的第一密文,该第一端为该终端或该服务器。
解密模块403,用于解密该第一密文,得到明文。
业务模块404,用于对该解密模块解密得到的该明文进行业务处理。
加密模块405,用于加密该业务模块进行业务处理后的该明文,得到第二密文。
发送模块406,用于向该第二端发送该加密模块加密得到的该第二密文,该第二端为该服务器或该终端。
请参考图5,在一些实施例中,该连接模块401包括:
接收子模块4011,用于接收该终端发送的客户问候消息,该客户问候消息包含该终端的参数信息,该客户问候消息用于该终端与该代理服务器建立TLS连接;
第一连接子模块4012,用于根据该接收子模块接收的该终端的参数信息与该服务器建立第一TLS连接;
获取子模块4013,用于使用该第一TLS连接获取代理证书;
第二连接子模块4014,用于根据该代理证书向该终端发送响应消息,以使得与该终端完成建立第二TLS连接。
请参考图6,在一些实施例中,该获取子模块4013包括:
接收单元40131,用于接收该服务器发送的该代理证书,该代理证书由该服务器使用证书工具根据该服务器的证书生成。
请参考图7,在一些实施例中,该获取子模块4013包括:
获取单元40132,用于获取该服务器的证书;
提取单元40133,用于从该服务器的证书中提取生成证书的必要信息;
生成单元40134,用于使用CA工具根据该生成证书的必要信息生成该代理证书。
请参考图8,在一些实施例中,该代理服务器400包括:
第一判断模块407,用于判断是否需要对该终端进行代理。
请参考图9,在一些实施例中,该代理服务器400包括:
第二判断模块408,用于判断自身是否有能力代理该终端。
上面从模块化功能实体的角度对本发明实施例中的认证设备进行描述,下面从硬件处理的角度对本发明实施例中的认证设备进行描述,请参阅图10,本发明实施例提供了一种代理服务器500,包括:
请参考图10,在一些实施例中,该代理服务器500包括:
收发器501、存储器502、处理器503以及总线504。
该收发器501、该存储器502以及该处理器503通过该总线504连接。
该收发器501用于分别与该终端和该服务器建立TLS连接,接收第一端通过该TLS连接发送的第一密文,该第一端为该终端或该服务器,向该第二端发送该第二密文,该第二端为该服务器或该终端。
进一步的,收发器401包括ZigBee、Wi-Fi、LTE(Long Term Evolution,长期演进)、RFID(Radio Frequency Identification,射频识别技术)、NFC(Near FieldCommunication,近场通信)、红外、UWB(Ultra Wideband,超宽带)的一种或多种组合,此处不作限定;也可以包括EIA-RS-232C标准下的通信接口,即数据终端设备(英文:DataTerminal Equipment,缩写:DTE)和数据通信设备(英文:Data Circuit-terminatingEquipment,缩写:DCE)之间串行二进制数据交换接口技术标准的通信接口,也可以包括RS-485协议下的通信接口,此处不作限定。
该存储器502用于存储程序、该收发器收发的该第一密文、该明文、该第二密文。
存储器402可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器402也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器403还可以包括上述种类的存储器的任意组合,此处不作限定。
可选地,存储器402还可以用于存储程序指令,处理器403可以调用该存储器402中存储的程序指令,执行图2所示实施例中的一个或多个步骤,或其中可选的实施方式,使得该认证设备400实现上述方法的功能。
该处理器503用于执行该程序、解密该第一密文,得到明文、对该明文进行业务处理、加密经过该处理器业务处理后的该明文,得到第二密文以及分别与该终端和该服务器建立该TLS连接过程中的信息处理。
处理器403可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
处理器403还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其任意组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,该认证设备400可以是图1~9中任一该的认证设备,可以执行图2中的认证设备所执行的各个步骤。
本发明实施例中,由于在服务器中设置了对不同终端的IP地址和MAC地址的访问控制策略,因此不需要对逐个IP地址在逐个网关设备上进行配置,即不需要静态配置,而是可以通过服务器返回的对该终端的网络访问策略判断如何对该终端执行访问控制,从而做到动态的访问控制,而且配置过程十分简单,从而简化了运营和维护。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种加密数据传输方法,其特征在于,用于使用安全套接字层上的超文本传输协议HTTPS进行通信的终端和服务器,所述方法包括:
代理服务器分别与所述终端和所述服务器建立安全传输层协议TLS连接;
所述代理服务器接收第一端通过所述TLS连接发送的第一密文,所述第一端为所述终端或所述服务器;
所述代理服务器解密所述第一密文,得到明文;
所述代理服务器对所述明文进行业务处理;
所述代理服务器加密业务处理后的所述明文,得到第二密文;
所述代理服务器向第二端发送所述第二密文,所述第二端为所述服务器或所述终端;
所述分别与终端和服务器建立TLS连接包括:
所述代理服务器接收所述终端发送的客户问候消息,所述客户问候消息包含所述终端的参数信息;
所述代理服务器根据所述终端的参数信息与所述服务器建立第一TLS连接;
所述代理服务器使用所述第一TLS连接获取代理证书;
所述代理服务器使用所述代理证书向所述终端发送响应消息,以使得与所述终端完成建立第二TLS连接。
2.根据权利要求1所述方法,其特征在于,所述获取代理证书包括:
所述代理服务器接收所述服务器发送的所述代理证书,所述代理证书由所述服务器使用证书工具根据所述服务器的证书生成。
3.根据权利要求1所述方法,其特征在于,所述获取代理证书包括:
所述代理服务器获取所述服务器的证书;
所述代理服务器从所述服务器的证书中提取生成代理证书的必要信息;
所述代理服务器使用CA工具根据所述生成代理证书的必要信息生成所述代理证书。
4.根据权利要求1至3中任一项所述方法,其特征在于,还包括:
所述代理服务器判断是否需要对所述终端进行代理。
5.根据权利要求1至3中任一项所述方法,其特征在于,还包括:
所述代理服务器判断自身是否有能力代理所述终端。
6.根据权利要求1所述方法,其特征在于,所述业务处理包括服务质量控制、网站过滤和计费。
7.一种代理服务器,其特征在于,用于使用HTTPS进行通信的终端和服务器,所述代理服务器包括:
连接模块,用于分别与所述终端和所述服务器建立TLS连接;
接收模块,用于接收到第一端通过所述连接模块连接的所述TLS连接发送的第一密文,所述第一端为所述终端或所述服务器;
解密模块,用于解密所述第一密文,得到明文;
业务模块,用于对所述解密模块解密得到的所述明文进行业务处理;
加密模块,用于加密所述业务模块进行业务处理后的所述明文,得到第二密文;
发送模块,用于向第二端发送所述加密模块加密得到的所述第二密文,所述第二端为所述服务器或所述终端;
所述连接模块包括:
接收子模块,用于接收所述终端发送的客户问候消息,所述客户问候消息包含所述终端的参数信息;
第一连接子模块,用于根据所述接收子模块接收的所述终端的参数信息与所述服务器建立第一TLS连接;
获取子模块,用于使用所述第一TLS连接获取代理证书;
第二连接子模块,用于使用所述代理证书向所述终端发送响应消息,以使得与所述终端完成建立第二TLS连接。
8.根据权利要求7所述代理服务器,其特征在于,所述获取子模块包括:
接收单元,用于接收所述服务器发送的所述代理证书,所述代理证书由所述服务器使用证书工具根据所述服务器的证书生成。
9.根据权利要求7所述代理服务器,其特征在于,所述获取子模块包括:
获取单元,用于获取所述服务器的证书;
提取单元,用于从所述服务器的证书中提取生成代理证书的必要信息;
生成单元,用于使用CA工具根据所述生成代理证书的必要信息生成所述代理证书。
10.根据权利要求7至9中任一项所述代理服务器,其特征在于,还包括:
第一判断模块,用于判断是否需要对所述终端进行代理。
11.根据权利要求7至9中任一项所述代理服务器,其特征在于,还包括:
第二判断模块,用于判断自身是否有能力代理所述终端。
12.一种代理服务器,其特征在于,包括:
收发器、存储器、处理器以及总线;
所述收发器、所述存储器以及所述处理器通过所述总线连接;
所述收发器用于分别与终端和服务器建立TLS连接,接收第一端通过所述TLS连接发送的第一密文,所述第一端为所述终端或所述服务器,向第二端发送第二密文,所述第二端为所述服务器或所述终端;
所述存储器用于存储程序、所述收发器收发的所述第一密文、明文、所述第二密文;
所述处理器用于执行所述程序、解密所述第一密文,得到明文、对所述明文进行业务处理、加密经过所述处理器业务处理后的所述明文,得到第二密文以及分别与所述终端和所述服务器建立所述TLS连接过程中的信息处理;
所述处理器还用于执行:
接收所述终端发送的客户问候消息,所述客户问候消息包含所述终端的参数信息;
根据所述终端的参数信息与所述服务器建立第一TLS连接;
使用所述第一TLS连接获取代理证书;
使用所述代理证书向所述终端发送响应消息,以使得与所述终端完成建立第二TLS连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610600391.XA CN106302391B (zh) | 2016-07-27 | 2016-07-27 | 一种加密数据传输方法和代理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610600391.XA CN106302391B (zh) | 2016-07-27 | 2016-07-27 | 一种加密数据传输方法和代理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106302391A CN106302391A (zh) | 2017-01-04 |
| CN106302391B true CN106302391B (zh) | 2019-09-13 |
Family
ID=57662399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610600391.XA Active CN106302391B (zh) | 2016-07-27 | 2016-07-27 | 一种加密数据传输方法和代理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302391B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| US10284526B2 (en) * | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| CN109995739B (zh) * | 2018-01-02 | 2021-06-15 | 中国移动通信有限公司研究院 | 一种信息传输方法、客户端、服务器及存储介质 |
| CN109413060B (zh) * | 2018-10-19 | 2021-10-19 | 深信服科技股份有限公司 | 报文处理方法、装置、设备及存储介质 |
| CN111355695B (zh) * | 2018-12-24 | 2022-07-01 | 中移(杭州)信息技术有限公司 | 一种安全代理方法和装置 |
| CN110445614B (zh) * | 2019-07-05 | 2021-05-25 | 创新先进技术有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| US11095460B2 (en) | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
| CN112770104B (zh) * | 2019-11-05 | 2022-11-15 | 中盈优创资讯科技有限公司 | 用于qoe测试的网络视频源的提取系统及方法 |
| CN110944001A (zh) * | 2019-12-06 | 2020-03-31 | 浙江军盾信息科技有限公司 | 一种服务器安全防护方法、装置及其相关设备 |
| CN111429288A (zh) * | 2020-03-04 | 2020-07-17 | 平安医疗健康管理股份有限公司 | 用户画像的构建方法及装置、计算机设备、存储介质 |
| CN111628976B (zh) * | 2020-05-15 | 2022-06-07 | 绿盟科技集团股份有限公司 | 一种报文处理方法、装置、设备及介质 |
| CN113407880A (zh) * | 2021-05-06 | 2021-09-17 | 中南大学 | 一种适用于加密http/2网页的访问行为识别方法 |
| CN113364795B (zh) * | 2021-06-18 | 2023-03-24 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
| CN113765899A (zh) * | 2021-08-20 | 2021-12-07 | 济南浪潮数据技术有限公司 | 一种节点代理的证书更换方法、系统及装置 |
| CN115242486B (zh) * | 2022-07-19 | 2024-04-19 | 阿里巴巴(中国)有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN115189969B (zh) * | 2022-09-09 | 2023-01-03 | 北京安盟信息技术股份有限公司 | 一种网络加密通信方法、装置、介质及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN101383820A (zh) * | 2008-07-07 | 2009-03-11 | 上海安融信息系统有限公司 | 一种监控ssl连接与数据的设计与实现方法 |
| CN102932350A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种tls扫描的方法和装置 |
| CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9961103B2 (en) * | 2014-10-28 | 2018-05-01 | International Business Machines Corporation | Intercepting, decrypting and inspecting traffic over an encrypted channel |
-
2016
- 2016-07-27 CN CN201610600391.XA patent/CN106302391B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN101383820A (zh) * | 2008-07-07 | 2009-03-11 | 上海安融信息系统有限公司 | 一种监控ssl连接与数据的设计与实现方法 |
| CN102932350A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种tls扫描的方法和装置 |
| CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106302391A (zh) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106302391B (zh) | 一种加密数据传输方法和代理服务器 | |
| CN105337740B (zh) | 一种身份验证方法、客户端、中继设备及服务器 | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| JP6668407B2 (ja) | 移動通信システムに用いられる端末認証方法及び装置 | |
| TWI576718B (zh) | 用於提供安全網路存取之方法、裝置、系統及非暫時性電腦可讀儲存媒體 | |
| CN100583883C (zh) | 提供用于对数据数字签名、认证或加密的签名密钥的方法和移动终端 | |
| EP1976322A1 (en) | An authentication method | |
| CN109756447A (zh) | 一种安全认证方法及相关设备 | |
| US10769615B2 (en) | Device and method in wireless communication system and wireless communication system | |
| CN105763318B (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN106031120B (zh) | 密钥管理 | |
| CN108243176A (zh) | 数据传输方法和装置 | |
| CN105764051B (zh) | 认证方法、认证装置、移动设备及服务器 | |
| CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| EP3570487A1 (en) | Private key generation method, device and system | |
| CN104735037B (zh) | 一种网络认证方法、装置及系统 | |
| CN106576238A (zh) | 用于在设备之间建立私有通信的方法和装置 | |
| WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
| CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
| CN105471896B (zh) | 基于ssl的代理方法、装置及系统 | |
| KR102209289B1 (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
| WO2020151010A1 (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
| EP1658701B1 (en) | Method, system and mobile terminal for establishing a vpn connection | |
| CN110213346A (zh) | 加密信息的传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |