CN106464603B - 一种传输请求的方法及客户端 - Google Patents
一种传输请求的方法及客户端 Download PDFInfo
- Publication number
- CN106464603B CN106464603B CN201580033110.0A CN201580033110A CN106464603B CN 106464603 B CN106464603 B CN 106464603B CN 201580033110 A CN201580033110 A CN 201580033110A CN 106464603 B CN106464603 B CN 106464603B
- Authority
- CN
- China
- Prior art keywords
- proxy entity
- client
- preset indication
- establishment request
- connection establishment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种传输请求的方法及客户端:客户端根据待访问的资源的属性或者第一用户指示确定预设指示;客户端发送携带预设指示的TLS连接建立请求;其中,预设指示用于指示接收到TLS连接建立请求的代理实体处理目标消息,目标消息为通过基于TLS连接建立请求建立的TLS连接所传输的消息,由于客户端是根据待访问的资源的属性或者第一用户指示来确定预设指示的,不是根据待访问的资源是用https URL标识还是使用http URL标识来确定预设指示,客户端也可以准确确定出预设指示,这样,代理实体就能准确对目标消息进行解密,进而对解密后的目标消息进行处理,提高业务质量。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种传输请求的方法及客户端。
背景技术
HTTP(Hypertext Transfer Protocol,超文本传输协议)是Internet上目前使用最广泛的无状态的应用层协议,基于传输层的TCP(Transmission Control Protocol,传输控制协议)进行通信。采用HTTP协议工作的示意图如图1A所示。
SSL(Security Socket Layer,安全套接层)协议最初的设计目的是保护网络信息传输的安全性,该协议位于传输层之上应用层之下。SSL协议最早由Netscape公司于1994年11月提出并率先实现(SSLv2)的,之后经过多次修改,最终被采纳,并制定为TLS(TransportLayer Security,传输层安全)协议,其中,TLS协议在TCP/IP(Internet Protocol,网络互连协议)协议栈中的位置,以及TLS协议的基本构成模块如图1B所示,从图1B中可以看出,TLS协议包括TLS Record Protocol(TLS记录协议)、TLS Handshaking Protocol(TLS握手协议)、TLS Change Cipher Spec Protocol(TLS安全算法更改协议)以及TLS AlterProtocol(TLS警告协议)这几部分,进一步,还可以看出TLS协议处于HTTP协议和TCP协议之间。SSL协议及其继任者TLS协议作为为网络通信提供加密、身份认证及数据完整性保证的一种安全协议,已被广泛地应用客户端与服务器之间的安全通信。采用TLS协议通信过程分为两个阶段:
第一阶段是:握手协商过程,客户端在与服务器双方利用握手协议协商和交换相关协议版本、压缩方法、加密算法和会话密钥等信息,同时还可以验证服务器的身份。
第二阶段是:数据传输过程,服务器和客户端使用已经协商好的会话密钥和算法对数据进行处理;数据传输完后服务器和客户端会以可认证的方式断开会话连接,在数据传输过程中,会采用加密方式对传输的数据进行加密,目前常用的加密方式有:对称加密算法,非对称加密算法,其中,非对称加密算法中又包括数字证书这种加密方式。
HTTP消息中的URL(Uniform Resource Locator,统一资源定位符)可以分为httpURL(例如:http://www.example.com)和https URL(例如:https://www.example.com),对于使用http URL所标识的资源是不需要使用TLS进行安全保护的;而对于使用https URL所标识的资源需要使用TLS进行安全保护。由于所访问的资源使用TLS进行安全保护,可以实现客户端和服务器之间端到端的安全保障,因此,导致一个普遍使用TLS进行安全保护的趋势,即http URL所标识的资源和https URL所标识的资源均使用TLS进行安全保护。
现有技术中,客户端仅根据待访问的资源是否使用http URL所标识确定预设指示,然后,将预设指示发送至代理实体,代理实体根据预设指示来确定对后续的消息进行解密处理,还是进行转发处理。而现在越来越多原本可以使用https URL所标识的资源用httpURL进行标识,这样,目前传输请求的方式存在业务质量较低的缺陷。
综上所述,目前传输请求的方法存在业务质量较低的缺陷。
发明内容
本发明实施例提供一种传输请求的方法及客户端,用以解决现有技术中存在的业务质量较低的缺陷。
第一方面,提供一种传输请求的方法,包括:
客户端根据待访问的资源的属性或者第一用户指示确定预设指示;
所述客户端发送携带所述预设指示的传输层安全TLS连接建立请求;
其中,所述预设指示用于指示接收到所述TLS连接建立请求的代理实体处理目标消息,所述目标消息为通过基于所述TLS连接建立请求建立的TLS连接所传输的消息。
结合第一方面,在第一种可能的实现方式中,所述待访问的资源的属性包括:所述待访问的资源的类型、所述待访问的资源的域名中的至少一个。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述客户端根据待访问的资源的属性或者第一用户指示确定预设指示之前,还包括:
所述客户端确定所述待访问的资源的属性,或者,所述客户端接收所述第一用户指示;
所述客户端确定所述待访问的资源的属性,包括:
所述客户端根据统一资源定位符URL和/或超级文本标记语言HTML文件确定所述待访问的资源的属性。
结合第一方面,或者第一方面的第一至第二种可能的实现方式,在第三种可能的实现方式中,所述预设指示包括第一预设指示、第二预设指示中的至少一个;
所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
结合第一方面,或者第一方面的第一至第三种可能的实现方式,在第四种可能的实现方式中,所述预设指示为第一预设指示,所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述客户端发送携带所述预设指示的TLS连接建立请求之后,还包括:
所述客户端接收所述代理实体发送的所述代理实体的数字证书;
所述客户端根据所述数字证书验证所述代理实体的可信性;
所述客户端确定所述代理实体可信时向所述代理实体发送继续建立所述TLS连接的消息。
结合第一方面的第四种可能的实现方式,在第五种可能的实现方式中,所述客户端根据所述数字证书确定所述代理实体可信,包括:
所述客户端确定所述数字证书成功通过证书链的检测,并确定所述客户端存储有所述数字证书时,确定所述代理实体可信;或者
所述客户端根据第二用户指示确定所述代理实体可信。
结合第一方面,或者第一方面的第一至第五种可能的实现方式,在第六种可能的实现方式中,所述方法还包括:
所述客户端发送未携带所述预设指示的TLS连接建立请求;
所述客户端接收所述代理实体发送的所述代理实体的数字证书;
所述客户端向所述代理实体返回继续建立所述TLS连接的消息;或者,所述客户端向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
结合第一方面,或者第一方面的第一至第五种可能的实现方式,在第七种可能的实现方式中,所述预设指示为第三预设指示,所述第三预设指示用于指示所述代理实体询问所述客户端所述代理实体是否处理接收到的目标消息;
所述客户端发送携带所述预设指示的TLS连接建立请求之后,还包括:
所述客户端接收所述代理实体发送的所述代理实体的数字证书;
所述客户端向所述代理实体返回继续建立所述TLS连接的消息;或者,所述客户端向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
结合第一方面的第四至第七种可能的实现方式,在第八种可能的实现方式中,所述数字证书为在X.509格式的数字证书中增加第一信息和第二信息中至少一个的数字证书,所述第一信息为验证所述代理实体可信后所述代理实体所执行的操作的信息,所述第二信息为所述代理实体对解密后的目标消息所执行的操作的信息。
第二方面,提供一种客户端,包括:
处理器,用于根据待访问的资源的属性或者第一用户指示确定预设指示;
发射器,用于发送携带所述预设指示的传输层安全TLS连接建立请求;
其中,所述预设指示用于指示接收到所述TLS连接建立请求的代理实体处理目标消息,所述目标消息为通过基于所述TLS连接建立请求建立的TLS连接所传输的消息。
结合第二方面,在第一种可能的实现方式中,所述待访问的资源的属性包括:所述待访问的资源的类型、所述待访问的资源的域名中的至少一个。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器还用于,确定所述待访问的资源的属性;
所述客户端还包括接收器,用于接收所述第一用户指示;
所述处理器确定所述待访问的资源的属性时,具体为:
根据统一资源定位符URL和/或超级文本标记语言HTML文件确定所述待访问的资源的属性。
结合第二方面,或者第二方面的第一至第二种可能的实现方式,在第三种可能的实现方式中,所述预设指示包括第一预设指示、第二预设指示中的至少一个;
所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
结合第二方面,或者第二方面的第一至第三种可能的实现方式,在第四种可能的实现方式中,所述预设指示为第一预设指示,所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述客户端还包括接收器,用于接收所述代理实体发送的所述代理实体的数字证书;
所述处理器还用于,根据所述数字证书验证所述代理实体的可信性;
所述发射器还用于,在所述处理器确定所述代理实体可信时向所述代理实体发送继续建立所述TLS连接的消息。
结合第二方面的第四种可能的实现方式,在第五种可能的实现方式中,所述处理器根据所述数字证书确定所述代理实体可信时,具体为:
确定所述数字证书成功通过证书链的检测,并确定所述客户端存储有所述数字证书时,确定所述代理实体可信;或者
根据第二用户指示确定所述代理实体可信。
结合第二方面,或者第二方面的第一至第五种可能的实现方式,在第六种可能的实现方式中,所述发射器还用于,发送未携带所述预设指示的TLS连接建立请求;
所述客户端还包括接收器,用于接收所述代理实体发送的所述代理实体的数字证书;
所述发射器还用于,向所述代理实体返回继续建立所述TLS连接的消息;或者,向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
结合第二方面,或者第二方面的第一至第五种可能的实现方式,在第七种可能的实现方式中,所述预设指示为第三预设指示,所述第三预设指示用于指示所述代理实体询问所述客户端所述代理实体是否处理接收到的目标消息;
所述客户端还包括接收器,用于接收所述代理实体发送的所述代理实体的数字证书;
所述发射器还用于,向所述代理实体返回继续建立所述TLS连接的消息;或者,向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
结合第二方面的第四至第七种可能的实现方式,在第八种可能的实现方式中,所述数字证书为在X.509格式的数字证书中增加第一信息和第二信息中至少一个的数字证书,所述第一信息为验证所述代理实体可信后所述代理实体所执行的操作的信息,所述第二信息为所述代理实体对解密后的目标消息所执行的操作的信息。
本发明实施例提供一种传输请求的方法:客户端根据待访问的资源的属性或者第一用户指示确定预设指示;客户端发送携带预设指示的TLS连接建立请求;其中,预设指示用于指示接收到TLS连接建立请求的代理实体处理目标消息,目标消息为通过基于TLS连接建立请求建立的TLS连接所传输的消息,由于客户端是根据待访问的资源的属性或者第一用户指示来确定预设指示的,不是根据待访问的资源是用https URL标识还是使用httpURL标识来确定预设指示,即使原本使用https URL所标识的资源也使用https URL标识,客户端也可以准确确定出预设指示,这样,代理实体根据接收到的TLS连接建立请求就能准确对目标消息进行解密,进而对解密后的目标消息进行处理,提高业务质量。
附图说明
图1A为现有技术中采用HTTP协议工作的示意图;
图1B为现有技术中TLS协议的示意图;
图2为本发明实施例中传输请求的架构示意图;
图3A为本发明实施例中传输请求的一种流程图;
图3B为本发明实施例中代理实体的数字证书的示意图;
图4A为本发明实施例中传输请求的一种实施例;
图4B为本发明实施例中传输请求的另一种实施例;
图5为本发明实施例中客户端的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下,对本申请中的所涉及的系统进行说明,以便于本领域技术人员理解。
本发明中所涉及的通信系统主要是通信核心网部分。此处的核心网可以为如图2所示的移动网络的核心网,图2所示的核心网指的是除客户端、E-UTRAN(EvolvedUniversal Terrestrial Radio Access Network,演进的通用陆地无线网络)和IP(Internet Protocol,互联网协议)数据网之外的设备组成的网络架构,主要包括:MME(Mobility Management Entity,移动性管理实体)、HSS(Home Subscriber Server,归属用户服务器)、Serving Gateway(服务网关),PDN(Packet Data Network,分组数据)Gateway(网关),及PCRF(Policy and Charging Rules Function,策略和计费规则功能)实体,此处需要说明的是,E-UTRAN指的是接入网;当然,核心网也可以是固定网络的核心网,其中固定网络指的是传统的IP网络,由于IP网络为本领域技术人员比较熟知的技术,在此不再进行详述。
本发明所涉及到的实体包括客户端、PDN(Packet Data Network,分组数据网)Gateway(网关)以及服务网关,其中,代理实体可以位于PDN Gateway 中,当然,也可以是一个单独的网络设备。
本发明实施例中所提及的代理实体,可选的,可以为具有截获TLS连接建立请求,并根据TLS连接建立请求携带的预设指示对基于TLS连接所传输的目标消息解密或者直接转发的功能,需要说明的是,代理实体仅仅是具有上述功能的设备的名称,当然也可以称为TLS连接处理设备,或者也可以是其他名称,只要具有上述功能即可,在此不做具体限定,下面以具有上述功能的设备的名称为代理实体为例进行说明。
“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
下面结合说明书附图对本发明优选的实施方式进行详细说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面结合附图对本发明实施例进行详细说明。
参阅图3A所示,本发明实施例中,传输请求的一种流程如下:
步骤300:客户端根据待访问的资源的属性或者第一用户指示确定预设指示;
步骤310:客户端发送携带预设指示的TLS连接建立请求;
其中,第一预设指示用于指示接收到TLS连接建立请求的代理实体处理目标消息,目标消息为通过基于TLS连接建立请求建立的TLS连接所传输的消息。
本发明实施例中所提及的客户端可以指用户设备,也可以指终端,当然,也可以指其他形式的设备,在此不做具体限定。
本发明实施例中,可选的,待访问的资源的属性包括待访问的资源的类型、待访问的资源的域名中的至少一种。
例如,待访问的资源为需要端到端加密的资源,如,银行网站的资源、登录类型的资源;或者,待访问的资源为mpeg(动态图像专家组)类型的资源。
其中,可选的,客户端可以通过URL来判断待访问的资源的类型,也可以通过HTML(HyperText Markup Language,超级文本标记语言)文件判断待访问的资源的类型,在通过HTML文件判断待访问的资源的类型时,可以根据HTML文件中内容的上下文信息来判断待访问的资源的类型。
本发明实施例中,可选的,预设指示可以包括第一预设指示、第二预设指示中的至少一个;
其中,可选的,第一预设指示可以用于指示接收到TLS连接建立请求的代理实体解密目标消息;
第二预设指示可以用于指示接收到TLS连接建立请求的代理实体转发目标消息。
例如,对于待访问的是login(登录)类型的资源,或者bank(银行)类型的资源,TLS连接建立请求中携带第一预设指示;对于待访问的是mpeg(动态图像专家组)类型的资源,TLS连接建立请求中携带第二预设指示。
也就是说,本发明实施例中,客户端可以在TLS连接建立请求中携带第一预设指示,告诉代理实体解密目标消息,当然,TLS连接建立请求中也可以不携带第一预设指示,而是携带第二预设指示,指示代理实体不解密目标消息,而是直接转发目标消息。
当预设指示包括第一预设指示时,进一步的,为了提高安全性,客户端发送携带预设指示的TLS连接建立请求之后,还包括如下操作:
客户端接收代理实体发送的代理实体的数字证书;
客户端根据数字证书验证代理实体的可信性;
客户端确定代理实体可信时向代理实体发送继续建立TLS连接的消息。
本发明实施例中,客户端根据数字证书确定代理实体可信的方式有多种,可选的,可以采用如下方式:
客户端确定数字证书成功通过证书链的检测,并确定客户端存储有数字证书时,确定代理实体可信;或者
如果客户端中没有存储数字证书时,客户端可以根据第二用户指示确定代理实体可信。
本发明实施例中,客户端对代理实体的数字证书的验证流程与现有技术中的对普通的SSL证书的验证流程是不同的,主要区别为,本发明实施例中,不对代理实体的数字证书进行域名信息的验证,即不使用所访问资源的域名信息与数字证书中的Common Name字段进行是否相同的比较。
上述讲述的是TLS连接建立请求中携带第一预设指示或者第二预设指示,在实际应用中,TLS连接建立请求中可以既不携带第一预设指示,也不携带第二预设指示,此时,代理实体要向客户端发送代理实体的数字证书,询问客户端代理实体接收到目标消息时,是要解密目标消息,还是要转发目标消息,因此,本发明实施例中,方法还包括:
客户端发送未携带预设指示的TLS连接建立请求;
客户端接收代理实体发送的代理实体的数字证书;
客户端向代理实体返回继续建立TLS连接的消息;或者,客户端向代理实体返回携带第二预设指示的TLS连接建立请求,第二预设指示用于指示接收到TLS连接建立请求的代理实体转发目标消息。
上述讲述的是代理实体向客户端发送代理实体的数字证书,询问客户端是解密目标消息还是转发目标消息,在应用中,代理实体也可以是自行决定是解密目标消息,还是转发目标消息,或者是直接按照解密进行处理,在此不再进行一一详述。
需要说明的是,即使代理实体自行决定是否解密目标消息,但是,最终是否解密成功的决定权还是在客户端。
上述讲述的是,当TLS连接建立请求中未携带预设指示的时候,代理实体要询问客户端解密目标消息,还是转发目标消息,当然,在实际应用中,也可以是当TLS连接建立请求中携带预设指示,而预设指示是第三预设指示的时候,第三预设指示用于指示代理实体询问客户端代理实体是否处理接收到的目标消息,代理实体也要询问客户端是解密目标消息,还是转发目标消息,具体实现过程如下:
预设指示为第三预设指示,第三预设指示用于指示代理实体询问客户端代理实体是否处理接收到的目标消息;
客户端发送携带预设指示的TLS连接建立请求之后,还包括:
客户端接收代理实体发送的代理实体的数字证书;
客户端向代理实体返回继续建立TLS连接的消息;或者,客户端向代理实体返回携带第二预设指示的TLS连接建立请求,第二预设指示用于指示接收到TLS连接建立请求的代理实体转发目标消息。
本发明实施例中,数字证书有多种形式,可选的,可以在X.509格式的数字证书中增加第一信息和第二信息中至少一个的数字证书;第一信息为验证代理实体可信后代理实体所执行的操作的信息,第二信息为代理实体对解密后的目标消息所执行的操作的信息。
图3B为本发明一个实施例中代理实体的数字证书的示意图。如图3B中所示,数字证书中增加了密钥用途(KeyUsage)这个字段,这个字段用于表示客户端根据数据证书验证代理实体可信时,代理实体要解密目标消息;
如图3B中所示的数字证书中还增加了功能(Functions)这个字段,这个字段用于表示代理实体对解密后的目标消息要执行什么操作。
本发明实施例中,由于客户端是根据待访问的资源的属性或者第一用户指示来确定预设指示的,不是根据待访问的资源是用https URL标识还是使用http URL标识来确定预设指示,根据待访问的资源的属性或者第一用户指示确定出预设指示的准确度高,这样,代理实体就能准确对目标消息进行解密,进而对解密后的目标消息进行处理,提高业务质量。
为了更好地理解本发明实施例,以下给出具体应用场景,针对传输请求的过程,进行举例描述,参阅图4A和图4B所示,给出了客户端发送TLS连接建立请求,代理实体根据接收到的TLS连接建立请求执行相应过程的流程图:
在图4A中,步骤400:客户端接收用户发送的第一用户指示,并根据第一用户指示确定第一预设指示;
步骤410:客户端将第一预设指示携带在TLS连接建立请求中,并发送该TLS连接建立请求;
步骤420:代理实体接收到TLS连接建立请求后,将代理实体的数字证书发送至客户端;
步骤430:客户端根据代理实体的数字证书判断代理实体是否可信,若是,执行步骤440,否则,执行步骤470;
步骤440:客户端向代理实体发送继续建立TLS连接的消息;
步骤450:代理实体在完成TLS连接的建立后,对目标消息进行解密;
步骤460:代理实体将解密后的目标消息发送至服务器;
步骤470:客户端向代理实体发送携带第二预设指示的TLS连接建立请求;
步骤480:代理实体不对目标消息进行解密处理,将目标消息直接转发至服务器。
图4A所示的实施例中,为了提高传输的目标消息的安全性,代理实体接收到携带第一预设指示的TLS连接建立请求后,要将代理实体的数字证书发送至客户端,客户端根据数字证书验证代理实体的可信性,客户端确定代理实体可信时,代理实体继续建立TLS连接,并解密目标消息,当然,代理实体也可以不发送代理实体的数字证书,直接建立TLS连接,并解密目标消息。
也就是说,步骤400、步骤410、步骤450和步骤460是必选的步骤,步骤420、步骤430、步骤440、步骤470和步骤480是可选的步骤。
上述讲述的是客户端根据用户的第一用户指示确定第一预设指示的过程,当然,客户端也可以根据第一用户指示确定出第二预设指示,以下对客户端根据用户的第一用户指示确定第二预设指示的过程进行描述,如图4B所示:
步骤4000:客户端接收用户发送的第一用户指示,并根据第一用户指示确定第二预设指示;
步骤4100:客户端将第二预设指示携带在TLS连接建立请求中,并发送TLS连接建立请求;
步骤4200:代理实体接收到携带第二预设指示TLS连接建立请求后,不解密目标消息,直接转发目标消息至服务器。
参阅图5所示,提出一种客户端,该客户端包括处理器50、发射器51,其中:
处理器50,用于根据待访问的资源的属性或者第一用户指示确定预设指示;
发射器51,用于发送携带预设指示的传输层安全TLS连接建立请求;
其中,预设指示用于指示接收到TLS连接建立请求的代理实体处理目标消息,目标消息为通过基于TLS连接建立请求建立的TLS连接所传输的消息。
本发明实施例中,可选的,待访问的资源的属性包括:待访问的资源的类型、待访问的资源的域名中的至少一个。
本发明实施例中,进一步的,处理器50还用于,确定待访问的资源的属性;
进一步的,客户端还包括接收器52,用于接收第一用户指示;
可选的,处理器50确定待访问的资源的属性时,具体为:
根据URL和/或HTML文件确定待访问的资源的属性。
本发明实施例中,可选的,预设指示包括第一预设指示、第二预设指示中的至少一个;
第一预设指示用于指示接收到TLS连接建立请求的代理实体解密目标消息;
第二预设指示用于指示接收到TLS连接建立请求的代理实体转发目标消息。
本发明实施例中,可选的,预设指示为第一预设指示,第一预设指示用于指示接收到TLS连接建立请求的代理实体解密目标消息;
进一步的,客户端还包括接收器52,用于接收代理实体发送的代理实体的数字证书;
进一步的,处理器50还用于,根据数字证书验证代理实体的可信性;
进一步的,发射器51还用于,在处理器50确定代理实体可信时向代理实体发送继续建立TLS连接的消息。
本发明实施例中,可选的,处理器50根据数字证书确定代理实体可信时,具体为:
确定数字证书成功通过证书链的检测,并确定客户端存储有数字证书时,确定代理实体可信;或者
根据第二用户指示确定代理实体可信。
进一步的,发射器51还用于,发送未携带预设指示的TLS连接建立请求;
客户端还包括接收器52,用于接收代理实体发送的代理实体的数字证书;
发射器51还用于,向代理实体返回继续建立TLS连接的消息;或者,向代理实体返回携带第二预设指示的TLS连接建立请求,第二预设指示用于指示接收到TLS连接建立请求的代理实体转发目标消息。
本发明实施例中,可选的,预设指示为第三预设指示,第三预设指示用于指示代理实体询问客户端代理实体是否处理接收到的目标消息;
进一步的,客户端还包括接收器52,用于接收代理实体发送的代理实体的数字证书;
进一步的,发射器51还用于,向代理实体返回继续建立TLS连接的消息;或者,向代理实体返回携带第二预设指示的TLS连接建立请求,第二预设指示用于指示接收到TLS连接建立请求的代理实体转发目标消息。
本发明实施例中,可选的,数字证书为在X.509格式的数字证书中增加第一信息和第二信息中至少一个的数字证书,第一信息为验证代理实体可信后代理实体所执行的操作的信息,第二信息为代理实体对解密后的目标消息所执行的操作的信息。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器50以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器50执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种传输请求的方法,其特征在于,包括:
客户端根据统一资源定位符URL和/或超级文本标记语言HTML文件确定待访问的资源的属性;
所述客户端根据待访问的资源的属性确定预设指示;
所述客户端发送携带所述预设指示的传输层安全TLS连接建立请求;
其中,所述待访问的资源的属性包括:所述待访问的资源的类型、所述待访问的资源的域名中的至少一个,所述预设指示用于指示接收到所述TLS连接建立请求的代理实体处理目标消息,所述目标消息为通过基于所述TLS连接建立请求建立的TLS连接所传输的消息。
2.如权利要求1所述的方法,其特征在于,所述预设指示包括第一预设指示、第二预设指示中的至少一个;
所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
3.如权利要求2所述的方法,其特征在于,所述预设指示为第一预设指示,所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述客户端发送携带所述预设指示的TLS连接建立请求之后,还包括:
所述客户端接收所述代理实体发送的所述代理实体的数字证书;
所述客户端根据所述数字证书验证所述代理实体的可信性;
所述客户端确定所述代理实体可信时向所述代理实体发送继续建立所述TLS连接的消息。
4.如权利要求3所述的方法,其特征在于,所述客户端根据所述数字证书确定所述代理实体可信,包括:
所述客户端确定所述数字证书成功通过证书链的检测,并确定所述客户端存储有所述数字证书时,确定所述代理实体可信;或者
所述客户端根据第二用户指示确定所述代理实体可信。
5.如权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
所述客户端发送未携带所述预设指示的TLS连接建立请求;
所述客户端接收所述代理实体发送的所述代理实体的数字证书;
所述客户端向所述代理实体返回继续建立所述TLS连接的消息;或者,所述客户端向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
6.如权利要求1-4任一项所述的方法,其特征在于,所述预设指示为第三预设指示,所述第三预设指示用于指示所述代理实体询问所述客户端所述代理实体是否处理接收到的目标消息;
所述客户端发送携带所述预设指示的TLS连接建立请求之后,还包括:
所述客户端接收所述代理实体发送的所述代理实体的数字证书;
所述客户端向所述代理实体返回继续建立所述TLS连接的消息;或者,所述客户端向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
7.如权利要求3所述的方法,其特征在于,所述数字证书为在X.509格式的数字证书中增加第一信息和第二信息中至少一个的数字证书,所述第一信息为验证所述代理实体可信后所述代理实体所执行的操作的信息,所述第二信息为所述代理实体对解密后的目标消息所执行的操作的信息。
8.一种客户端,其特征在于,包括:
处理器,用于根据统一资源定位符URL和/或超级文本标记语言HTML文件确定待访问的资源的属性,并根据所述待访问的资源的属性确定预设指示;
发射器,用于发送携带所述预设指示的传输层安全TLS连接建立请求;
其中,所述待访问的资源的属性包括:所述待访问的资源的类型、所述待访问的资源的域名中的至少一个,所述预设指示用于指示接收到所述TLS连接建立请求的代理实体处理目标消息,所述目标消息为通过基于所述TLS连接建立请求建立的TLS连接所传输的消息。
9.如权利要求8所述的客户端,其特征在于,所述预设指示包括第一预设指示、第二预设指示中的至少一个;
所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
10.如权利要求8所述的客户端,其特征在于,所述预设指示为第一预设指示,所述第一预设指示用于指示接收到所述TLS连接建立请求的代理实体解密所述目标消息;
所述客户端还包括接收器,用于接收所述代理实体发送的所述代理实体的数字证书;
所述处理器还用于,根据所述数字证书验证所述代理实体的可信性;
所述发射器还用于,在所述处理器确定所述代理实体可信时向所述代理实体发送继续建立所述TLS连接的消息。
11.如权利要求10所述的客户端,其特征在于,所述处理器根据所述数字证书确定所述代理实体可信时,具体为:
确定所述数字证书成功通过证书链的检测,并确定所述客户端存储有所述数字证书时,确定所述代理实体可信;或者
根据第二用户指示确定所述代理实体可信。
12.如权利要求8-11任一项所述的客户端,其特征在于,所述发射器还用于,发送未携带所述预设指示的TLS连接建立请求;
所述客户端还包括接收器,用于接收所述代理实体发送的所述代理实体的数字证书;
所述发射器还用于,向所述代理实体返回继续建立所述TLS连接的消息;或者,向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
13.如权利要求8-11任一项所述的客户端,其特征在于,所述预设指示为第三预设指示,所述第三预设指示用于指示所述代理实体询问所述客户端所述代理实体是否处理接收到的目标消息;
所述客户端还包括接收器,用于接收所述代理实体发送的所述代理实体的数字证书;
所述发射器还用于,向所述代理实体返回继续建立所述TLS连接的消息;或者,向所述代理实体返回携带第二预设指示的TLS连接建立请求,所述第二预设指示用于指示接收到所述TLS连接建立请求的代理实体转发所述目标消息。
14.如权利要求10所述的客户端,其特征在于,所述数字证书为在X.509格式的数字证书中增加第一信息和第二信息中至少一个的数字证书,所述第一信息为验证所述代理实体可信后所述代理实体所执行的操作的信息,所述第二信息为所述代理实体对解密后的目标消息所执行的操作的信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/078467 WO2016176858A1 (zh) | 2015-05-07 | 2015-05-07 | 一种传输请求的方法及客户端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106464603A CN106464603A (zh) | 2017-02-22 |
| CN106464603B true CN106464603B (zh) | 2020-07-10 |
Family
ID=57217881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580033110.0A Active CN106464603B (zh) | 2015-05-07 | 2015-05-07 | 一种传输请求的方法及客户端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106464603B (zh) |
| WO (1) | WO2016176858A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413060B (zh) * | 2018-10-19 | 2021-10-19 | 深信服科技股份有限公司 | 报文处理方法、装置、设备及存储介质 |
| CN116419224A (zh) * | 2022-01-05 | 2023-07-11 | 华为技术有限公司 | 集成可信度量的通信方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885771A (zh) * | 2005-06-23 | 2006-12-27 | 国际商业机器公司 | 用于建立安全通信会话的方法与装置 |
| CN102932350A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种tls扫描的方法和装置 |
| CN104322001A (zh) * | 2012-05-17 | 2015-01-28 | 思科技术公司 | 使用服务名称识别的传输层安全流量控制 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7320073B2 (en) * | 2003-04-07 | 2008-01-15 | Aol Llc | Secure method for roaming keys and certificates |
| CN102685165B (zh) * | 2011-03-16 | 2015-01-28 | 中兴通讯股份有限公司 | 基于代理网关对访问请求进行控制的方法及装置 |
| US9866475B2 (en) * | 2012-06-15 | 2018-01-09 | Citrix Systems, Inc. | Systems and methods for forwarding traffic in a cluster network |
-
2015
- 2015-05-07 WO PCT/CN2015/078467 patent/WO2016176858A1/zh active Application Filing
- 2015-05-07 CN CN201580033110.0A patent/CN106464603B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885771A (zh) * | 2005-06-23 | 2006-12-27 | 国际商业机器公司 | 用于建立安全通信会话的方法与装置 |
| CN104322001A (zh) * | 2012-05-17 | 2015-01-28 | 思科技术公司 | 使用服务名称识别的传输层安全流量控制 |
| CN102932350A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种tls扫描的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016176858A1 (zh) | 2016-11-10 |
| CN106464603A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220407948A1 (en) | Load Balancing and Session Persistence in Packet Networks | |
| US20230091356A1 (en) | Efficient policy enforcement using network tokens for services - user-plane approach | |
| US20190268764A1 (en) | Data transmission method, apparatus, and system | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| EP2909988B1 (en) | Unidirectional deep packet inspection | |
| TW201644236A (zh) | 使用用於服務c平面方法的網路符記的高效策略實施 | |
| WO2017066910A1 (zh) | 控制策略确定方法、装置及系统 | |
| WO2016150169A1 (zh) | 一种安全通信方法、网关、网络侧服务器及系统 | |
| WO2012026855A1 (en) | Methods and arrangements for secure communication over an ip network | |
| CN108234450B (zh) | 一种身份认证的方法、终端注册的方法、服务器及终端 | |
| US20190068762A1 (en) | Packet Parsing Method and Device | |
| WO2019076000A1 (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| US20170127280A1 (en) | Secure handling of secure socket layer ("ssl") traffic | |
| CN113472792B (zh) | 一种长连接网络通信加密方法及系统 | |
| CN106464603B (zh) | 一种传输请求的方法及客户端 | |
| CN108494764B (zh) | 一种身份认证方法及装置 | |
| WO2016109404A1 (en) | System and method of authenticating a live video stream | |
| CN115277060A (zh) | 基于https协议的url过滤方法及安全设备、存储介质 | |
| CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
| CN111245601B (zh) | 一种通讯协商方法及装置 | |
| CN112470438B (zh) | 用于发现中间功能和选择两个通信装置之间的路径的方法 | |
| CN108809632B (zh) | 一种量子安全套接层装置及系统 | |
| KR101730404B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
| CN113206837B (zh) | 信息传输方法、装置、电子设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200511 Address after: 362124 floor 203, Xingtian bus terminal, Xingtian village, Luoyang Town, Taishang investment district, Quanzhou City, Fujian Province Applicant after: Quantai Taiwanese Investment Zone Tiantai Industrial Design Co.,Ltd. Address before: 518000 Baoan District Xin'an street, Shenzhen, Guangdong, No. 625, No. 625, Nuo platinum Plaza, Applicant before: SHENZHEN SHANGGE INTELLECTUAL PROPERTY SERVICE Co.,Ltd. Effective date of registration: 20200511 Address after: 518000 Baoan District Xin'an street, Shenzhen, Guangdong, No. 625, No. 625, Nuo platinum Plaza, Applicant after: SHENZHEN SHANGGE INTELLECTUAL PROPERTY SERVICE Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200619 Address after: 518000 1907 Banli building, building 13, huabanli, No. 200, Huaqing Avenue, Qinghu community, Longhua street, Longhua District, Shenzhen City, Guangdong Province Applicant after: Shenzhen huanxun Technology Co.,Ltd. Address before: 362124 floor 203, Xingtian bus terminal, Xingtian village, Luoyang Town, Taishang investment district, Quanzhou City, Fujian Province Applicant before: Quantai Taiwanese Investment Zone Tiantai Industrial Design Co.,Ltd. |
|
| TA01 | Transfer of patent application right |