CN107135233A - 信息的安全传输方法和装置、服务器和存储介质 - Google Patents
信息的安全传输方法和装置、服务器和存储介质 Download PDFInfo
- Publication number
- CN107135233A CN107135233A CN201710507562.9A CN201710507562A CN107135233A CN 107135233 A CN107135233 A CN 107135233A CN 201710507562 A CN201710507562 A CN 201710507562A CN 107135233 A CN107135233 A CN 107135233A
- Authority
- CN
- China
- Prior art keywords
- ssl
- client
- targeted website
- digital certificate
- security verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本发明实施例公开了一种信息的安全传输方法和装置、服务器和存储介质。所述方法包括:接收到客户端发送的第一连接请求,基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接;根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证;根据安全性验证结果,执行相应的转发处理策略。本发明实施例的技术方案实现了简便、快速地对SSL通信隧道传输的加密数据进行安全性检测。
Description
技术领域
本发明实施例涉及网络信息安全技术领域,尤其涉及一种信息的安全传输方法和装置、服务器和存储介质。
背景技术
目前,随着网络基础设施与应用系统的建设与发展,人们的工作生活越来越离不开网络:网上银行、网上报税、网上购物以及网上报名等等。这些网络应用改变了人们的工作、生活方式,足不出户即可完成很多工作。但网络带来便利的同时,由于系统、软件、协议自身存在的缺陷,一些别有用心的人会利用黑客技术攻击这些系统,以获取用户信用卡信息、企业机密信息或其他敏感信息,从中获得经济利益。
SSL(Security Socket Layer,安全套接层)是使用公钥和私钥组合的非对称密钥技术的安全网络通讯协议,主要用于提高应用程序之间数据的安全系数,保证任何安装了安全套接字的客户端和服务器间事务安全的通讯,涉及所有TCP/IP(TransmissionControl Protocol/Internet Protocol,传输控制协议/网间协议)应用程序。
但在现有技术中,客户端与服务器之间的SSL加密连接是直接连接的,客户端和服务器之间传输的数据始终都是加密的,没有明文出现,所以对这种加密数据难以进行安全检查和内容过滤,这就导致了客户端容易受到通过SSL通信隧道进行的网络攻击和安全威胁。
发明内容
有鉴于此,本发明实施例提供了一种信息的安全传输方法和装置、服务器和存储介质,以解决现有技术中难以对通过SSL通信隧道所传输的加密数据进行安全检测的技术缺陷。
在第一方面,本发明实施例提供了一种信息的安全传输方法,包括:
接收到客户端发送的第一连接请求,所述第一连接请求用于连接安全套接层SSL证书加密的目标网站;
基于第一数字证书与所述客户端建立第一SSL连接,以及,基于第二数字证书与所述目标网站建立第二SSL连接;
根据与所述第一SSL连接对应的SSL通信密钥对所述客户端发送至所述目标网站的操作请求进行安全性验证,和/或,根据与所述第二SSL连接对应的SSL通信密钥对所述目标网站反馈的操作响应数据进行安全性验证;
根据安全性验证结果,执行相应的转发处理策略。
在第二方面,本发明实施例提供了一种信息的安全传输装置,包括:
SSL连接模块,用于接收到客户端发送的第一连接请求,所述第一连接请求用于连接安全套接层SSL证书加密的目标网站;
SSL连接建立模块,用于基于第一数字证书与所述客户端建立第一SSL连接,以及,基于第二数字证书与所述目标网站建立第二SSL连接;
安全性验证模块,用于根据与所述第一SSL连接对应的SSL通信密钥对所述客户端发送至所述目标网站的操作请求进行安全性验证,和/或,根据与所述第二SSL连接对应的SSL通信密钥对所述目标网站反馈的操作响应数据进行安全性验证;
转发模块,用于根据安全性验证结果,执行相应的转发处理策略。
在第三方面,本发明实施例提供了一种服务器,所述服务器包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例所述的信息的安全传输方法。
在第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例所述的信息的安全传输方法。
本发明实施例提供了一种信息的安全传输方法和装置、服务器和存储介质,通过先接收到客户端发送的第一连接请求,然后基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接,再根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证,最后根据安全性验证结果,执行相应的转发处理策略,解决了现有技术中难以对通过SSL通信隧道所传输的加密数据进行安全检测的技术缺陷,实现了简便、快速地对SSL通信隧道传输的加密数据进行安全性检测,从而可以减少甚至消除通过SSL通信隧道进行的网络攻击和安全威胁。
附图说明
图1是本发明实施例一提供的一种信息的安全传输方法的流程图;
图2是本发明实施例二提供的一种信息的安全传输方法的流程图;
图3是本发明实施例三提供的一种信息的安全传输方法的流程图;
图4是本发明实施例四提供的一种信息的安全传输装置的结构图;
图5是本发明实施例五中的一种服务器的结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1为本发明实施例一提供的一种信息的安全传输方法的流程图,本实施例的方法可以由信息的安全传输装置来执行,该装置可通过硬件和/或软件的方式实现,并一般可集成于代理服务器中。本实施例的方法具体包括:
110、接收到客户端发送的第一连接请求。
在本实施例中,第一连接请求具体是指用于连接安全套接层SSL证书加密的目标网站的连接请求。一般来说理财网站以及银行网站等网站都使用SSL协议进行加密,因此,客户端在访问此类使用SSL协议的网站时,需要首先发送连接请求至使用SSL协议的网站的服务器,与该服务器直接进行SSL握手,待SSL握手成功之后,客户端才能与使用SSL协议的网站的服务器进行正常的数据传输。由于客户端与使用SSL协议的网站的服务器进行数据传输时,所有传输的数据都是加密数据,因此无法直接对传输数据进行安全性检测,所以客户端和使用SSL协议的网站的服务器都可能受到攻击。
因此,在本实施例中,在客户端与SSL证书加密的目标网站之间增加一个代理服务器,客户端在与SSL证书加密的目标网站连接时,第一连接请求实际上不是直接发送至目标网站的服务器,而是发送到该代理服务器,即本实施例的执行主体,并由该代理服务器对客户端和SSL证书加密的目标网站所发送的加密数据进行解密、安全检测,加密以及转发等操作,但是,对于客户端来说,客户端认为第一连接请求仍然是直接发送给目标网站的服务器,因此,上述代理服务器若想以“目标网站的服务器”的身份与客户端进行通讯,必须要让客户端以为该代理服务器就是目标网站的服务器,达到此目的的做法为该代理服务器必须使用CA(Certificate Authority,证书授权)机构给目标网站颁发的数字证书与客户端进行通讯,且该CA机构必须是客户端信任的CA机构。
120、基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接。
在本实施例中,在接收到客户端发送的第一连接请求之后,首先判断是否存储有与目标网站对应的数字证书,即第一数字证书,若存储有第一数字证书则直接使用第一数字证书与客户端进行SSL握手,若没有存储第一数字证书则先生成第一数字证书,再使用新生成的第一数字证书与客户端进行SSL握手。其中,第一数字证书具体是指由客户端信任的CA机构给目标网站颁发的数字证书,具体而言,本实施例的执行主体具体可以是上述客户端信任的CA机构的服务器,还可以是客户端信任的CA机构授权的,可使用该CA机构的CA根证书生成并颁发数字证书的服务器,可以直接生成目标网站的数字证书。
在本实施例中,与客户端建立第一SSL连接具体是指使用第一数字证书与客户端进行SSL握手。与目标网站建立第二SSL连接具体是指向目标网站发送连接请求,并根据第二数字证书与目标网站进行SSL握手,其中,第二数字证书具体是指CA机构给目标网站的服务器颁发的数字证书,该CA机构应该是本实施例的执行主体,即上述代理服务器信任的CA机构。
进一步地,在本实施例中,与客户端建立第一SSL连接后所确定的加密算法和密钥以及与目标网站建立第二SSL连接所确定的加密算法和密钥,这两套加密算法和密钥之间是没有任何关联的,是相互独立的。
130、根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证。
在本实施例中,在与客户端成功建立第一SSL连接之后,会对客户端向目标网站发送的操作请求进行安全性验证,其中,操作请求所使用的加密算法和SSL通信密钥是第一SSL连接对应的加密算法和SSL通信密钥,由于,已知第一SSL连接对应的加密算法和SSL通信密钥,因此,可以对操作请求进行正确解密,并对解密后的数据进行安全性验证。其中,安全性验证具体可以是对解密数据进行恶意检测,钓鱼欺诈网站监测以及广告流量等。
同样的,在本实施例中,在与目标网站成功建立第二SSL连接之后,会对目标网站向客户端发送的响应数据进行安全性验证,其中,响应数据所使用的加密算法和SSL通信密钥是第二SSL连接对应的加密算法和SSL通信密钥,由于,已知第二SSL连接对应的加密算法和SSL通信密钥,因此,可以对响应数据进行正确解密,并对解密后的数据进行安全性验证。其中,安全性验证具体可以是对解密数据进行恶意检测,钓鱼欺诈网站监测以及广告流量等。
140、根据安全性验证结果,执行相应的转发处理策略。
在本实施例中,会根据130中的安全性验证结果执行相应的转发处理策略。
具体而言,当操作请求或响应数据通过安全性验证时,将操作请求的解密数据使用第二SSL连接对应的加密算法和SSL通信密钥进行加密,并将加密后的数据发送至目标网站,或将响应数据的解密数据使用第一SSL连接对应的加密算法和SSL通信密钥进行加密,并将加密后的数据发送至客户端。
当操作请求没有通过安全性验证时,可以丢弃该操作请求,也可以告知客户端操作请求不安全等,本实施例对此不进行限制。
当响应数据没有通过安全性验证时,可以丢弃该响应数据,也可以回复客户端空响应等,本实施例对此不进行限制。
本发明实施例一提供了一种信息的安全传输方法,通过先接收到客户端发送的第一连接请求,然后基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接,再根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证,最后根据安全性验证结果,执行相应的转发处理策略,解决了现有技术中难以对通过SSL通信隧道所传输的加密数据进行安全检测的技术缺陷,实现了简便、快速地对SSL通信隧道传输的加密数据进行安全性检测,从而可以减少甚至消除通过SSL通信隧道进行的网络攻击和安全威胁。
实施例二
图2是本发明实施例二提供的一种信息的安全传输方法的流程图。本实施例以上述实施例为基础进行优化,在本实施例中,将基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接,具体化为:获取第一数字证书;使用第一数字证书与客户端进行SSL握手,以建立与客户端之间的第一SSL连接;基于第一连接请求,构造第二连接请求发送至目标网站,基于第二数字证书与目标网站进行SSL握手,以建立与目标网站之间的第二SSL连接。
进一步地,将获取第一数字证书,具体化为:如果本地存储有第一数字证书,则从本地获取第一数字证书;如果本地未存储有第一数字证书,则基于CA根证书生成第一数字证书。
相应的,本实施例的方法具体包括:
210、接收到客户端发送的第一连接请求。
在本实施例中,客户端发送的连接SSL证书加密的目标网站的第一连接请求会直接发送至本实施例的执行主体,本实施例的执行主体为代理服务器,而不会直接发送至目标网站的服务器,但是,客户端仍然认为连接请求是直接发送至目标网站的服务器。
220、判断本地是否存储有第一数字证书,若有,则执行步骤230,若没有,则执行步骤240。
在本实施例中,第一数字证书是与目标网站对应的SSL代理证书,具体是指CA根证书给目标网站颁发的数字证书,但是该数字证书不会发送给目标网站,而是存储在设定存储区域中,第一数字证书具体是用于与客户端建立SSL连接的,让客户端认为与其建立连接的是目标网站的服务器。
进一步地,在本实施中,上述CA根证书一定是客户端信任的CA根证书,只有这样,才可以使用第一数字证书与客户端成功地建立SSL连接。
230、从本地获取第一数字证书。
在本实施例中,若存储有第一数字证书,则可以从本地获取该证书进行后续使用。
240、基于CA根证书生成第一数字证书。
本领域技术人员可以理解的是,若要成功地建立SSL连接,服务器必须拥有客户端信任的CA机构颁发的数字证书,因此,在本实施例中,当没有存储第一数字证书时,需要基于CA根证书生成第一数字证书,以用来与客户端建立SSL连接。
250、使用第一数字证书与客户端进行SSL握手,以建立与客户端之间的第一SSL连接。
在本实施例中,使用第一数字证书与客户端进行SSL握手的过程属于现有技术,在此不再进行详细阐述。
260、基于第一连接请求,构造第二连接请求发送至目标网站,基于第二数字证书与目标网站进行SSL握手,以建立与目标网站之间的第二SSL连接。
在本实施例中,在与客户端建立SSL连接之后,根据第一连接请求中的具体内容,构造与目标网站的连接请求,即第二连接请求,第二连接请求的内容与第一连接请求的内容一致。
在本实施例中,第二数字证书具体是指CA机构颁发给目标网站的服务器的数字证书,由于需要与目标网站成功地建立SSL连接,因此,应保证颁发第二数字证书的CA机构为自身信任的CA机构。
在本实施例中,基于第二数字证书与目标网站进行SSL握手,以建立与目标网站之间的第二SSL连接的过程属于现有技术,在此不再进行详细阐述。
270、根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证。
280、根据安全性验证结果,执行相应的转发处理策略。
本发明实施例二提供了一种信息的安全传输方法,具体化了第一SSL连接和第二SSL连接的建立过程,以保证可以成功地建立第一SSL连接和第二SSL连接,进一步具体化了第一数字证书的获取方法,以确保可以成功地与客户端建立第一SSL连接。利用该方法可以更好地建立第一SSL连接和第二SSL连接,以实现简便、快速地对SSL通信隧道传输的加密数据进行安全性检测,从而减少甚至消除通过SSL通信隧道进行的网络攻击和安全威胁。
实施例三
图3是本发明实施例三提供的一种信息的安全传输方法的流程图。本实施例以上述实施例为基础进行优化,在本实施例中,将根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,具体化为:根据与客户端进行SSL握手后获取的第一SSL通信密钥对客户端发送的操作请求进行解密,得到第一明文数据;按照第一安全检测规则,对第一明文数据进行安全性验证。
相应地,将根据安全性验证结果,执行相应的转发处理策略,具体化为:若验证第一明文数据安全,则将操作请求发送至目标网站;若验证第一明文数据不安全,则丢弃操作请求或者告知客户端操作请求不安全。
进一步地,将根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证,具体化为:获取目标网站反馈的操作响应数据;根据与目标网站进行SSL握手后获取的第二SSL通信密钥对操作响应数据进行解密,得到与操作响应数据对应的第二明文数据;按照第二安全检测规则,对第二明文数据进行安全性验证。
相应地,将根据安全性验证结果,执行相应的转发处理策略,具体化为:若验证第二明文数据安全,则将操作响应数据发送至客户端;若验证第二明文数据不安全,则向客户端发送安全响应数据或丢弃操作响应数据。
相应的,本实施例的方法具体包括:
310、接收到客户端发送的第一连接请求。
320、基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接。
330、根据与客户端进行SSL握手后获取的第一SSL通信密钥对客户端发送的操作请求进行解密,得到第一明文数据。
本领域技术人员可以理解的是,在客户端与服务器进行SSL握手的过程中,双方通过协商生成之后双方进行数据通讯所使用的数据加密算法和密钥,并且不同组的SSL握手所确定的加密算法和密钥之间是完全不相关的,是相互独立的,因此,在本实施例中,320中所建立的第一SSL连接和第二SSL连接所确定的两组加密算法和密钥之间是相互独立的,是不相关的,也是就是说,在与客户端和目标网站之间进行数据通讯时所使用的加密算法和密钥是不同的。
因此,在本实施例中,在接收到客户端发送的操作请求之后,对该操作请求进行解密需使用与第一SSL连接对应的第一SSL通信密钥,解密后得到第一明文数据。
340、按照第一安全检测规则,对第一明文数据进行安全性验证。
在本实施例中,第一安全检测规则具体可以是域名安全检测规则,也可以是URL(Uniform Resource Locator,统一资源定位符)安全检测规则,本实施例对此不进行限制。其中,域名安全检测规则具体可以是将第一明文数据中的域名与广告域名库等不安全域名库中的域名进行比对,若与不安全域名库中的域名一致,则认为第一明文数据不安全。同样的,URL安全检测规则具体可以是将第一明文数据中URL与恶意URL库和钓鱼欺诈URL库中的URL进行比对,若与恶意URL库或钓鱼欺诈URL库中的URL一致,则认为第一明文数据不安全。
350、如果验证第一明文数据不安全,则丢弃操作请求或者告知客户端操作请求不安全并结束本次信息传输;如果验证第一明文数据安全,则将操作请求发送至目标网站,继续执行360。
在本实施例中,如果验证第一明文数据不安全,则丢弃操作请求或者告知客户端操作请求不安全并结束本次信息传输,也就是说,不会向目标网站发送任何数据。
在本实施例中,如果验证第一明文数据安全,则会使用第二SSL连接对应的第二通信密钥对第一明文数据进行加密,将加密后的数据发送至目标网站。
360、根据目与目标网站进行SSL握手后获取的第二SSL通信密钥对操作响应数据进行解密,得到与操作响应数据对应的第二明文数据。
在本实施例中,由于已与目标网站建立了第二SSL连接,因此目标网站发送的响应数据进行解密,应该使用第二SSL连接对应的第二SSL通信密钥进行解密,得到第二明文数据。
370、按照第二安全检测规则,对第二明文数据进行安全性验证。
在本实施例中,第二安全规则具体可以是恶意执行代码检测规则、也可以是攻击流量检测规则,还可以是钓鱼欺诈网站检测规则等,本实施例对此不进行限制。其中,恶意执行代码检测规则具体可以是将第二明文数据与存储的恶意执行代码进行比对,若一致,则认为第二明文数据不安全。攻击流量检测规则具体可以是判断第二明文数据是否是带宽攻击或应用攻击等流量攻击,若是,则认为第二明文数据不安全。钓鱼欺诈网站检测规则具体可以是将第二明文数据与钓鱼欺诈网站模板进行比对,若一致,则认为第二明文数据不安全。
380、如果验证第二明文数据安全,则将操作响应数据发送至客户端;如果验证第二明文数据不安全,则向客户端发送安全响应数据或丢弃操作响应数据。
在本实施例中,如果验证第二明文数据安全,则会使用第一SSL连接对应的第一通信密钥对第二明文数据进行加密,将加密后的数据发送至客户端。
在本实施例中,如果验证第二明文数据不安全,则向客户端发送安全响应数据或丢弃操作响应数据。
本发明实施例三提供了一种信息的安全传输方法,具体化了操作数据和响应数据的安全性验证方法,保证了操作数据和响应数据安全性验证的准确度,同时,还具体化了与安全性验证结果相应的转发处理策略,保证了客户端和目标网站接收数据的安全性。利用该方法可以更大程度地保护客户的财产安全和隐私问题,极大地提升客户的体使用验,同时,可以减少甚至消除对SSL认证网站的服务器的攻击。
实施例四
图4是本发明实施例四提供的一种信息的安全传输装置。如图4所示,所述装置包括:SSL连接模块401、SSL连接建立模块402、安全性验证模块403以及转发模块404,其中:
SSL连接模块401,用于接收到客户端发送的第一连接请求,所述第一连接请求用于连接安全套接层SSL证书加密的目标网站;
SSL连接建立模块402,用于基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接;
安全性验证模块403,用于根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证;
转发模块404,用于根据安全性验证结果,执行相应的转发处理策略。
本发明实施例四提供了一种信息的安全传输装置,通过先接收到客户端发送的第一连接请求,然后基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接,再根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证,最后根据安全性验证结果,执行相应的转发处理策略,解决了现有技术中难以对通过SSL通信隧道所传输的加密数据进行安全检测的技术缺陷,实现了简便、快速地对SSL通信隧道传输的加密数据进行安全性检测,从而可以减少甚至消除通过SSL通信隧道进行的网络攻击和安全威胁。
在上述各实施例的基础上,SSL连接建立模块可以包括:
代理证书获取单元,用于获取第一数字证书,其中,第一数字证书是与目标网站对应的SSL代理证书;
第一SSL连接建立单元,用于使用第一数字证书与客户端进行SSL握手,以建立与客户端之间的第一SSL连接;
第二SSL连接建立单元,用于基于第一连接请求,构造第二连接请求发送至目标网站,基于第二数字证书与目标网站进行SSL握手,以建立与目标网站之间的第二SSL连接。
在上述各实施例的基础上,代理证书获取单元可以包括:
连接请求接收子单元,用于接收客户端发送的连接SSL证书加密的目标网站的第一连接请求;
第一数字证书获取子单元,用于如果本地存储有第一数字证书,则从本地获取第一数字证书;
第一数字证书生成子单元,用于如果本地未存储有第一数字证书,则基于CA根证书生成第一数字证书,其中,客户端信任CA根证书。
在上述各实施例的基础上,安全性验证模块可以包括:
第一明文获取单元,用于根据与客户端进行SSL握手后获取的第一SSL通信密钥对客户端发送的操作请求进行解密,得到第一明文数据;
第一安全性验证单元,用于按照第一安全检测规则,对第一明文数据进行安全性验证;
相应地,转发模块可以包括:
操作数据发送单元,用于若验证第一明文数据安全,则将操作请求发送至目标网站;
操作请求丢弃单元,用于若验证第一明文数据不安全,则丢弃操作请求或者告知客户端操作请求不安全。
在上述各实施例的基础上,第一安全检测规则可以包括:
域名安全检测规则,和/或URL安全检测规则。
在上述各实施例的基础上,安全性验证模块还可以包括:
响应数据获取单元,用于获取目标网站反馈的操作响应数据;
第二明文数据获取单元,用于根据与目标网站进行SSL握手后获取的第二SSL通信密钥对操作响应数据进行解密,得到与操作响应数据对应的第二明文数据;
第二安全性验证单元,用于按照第二安全检测规则,对第二明文数据进行安全性验证;
相应地,转发模块可以包括:
响应数据发送单元,用于若验证第二明文数据安全,则将操作响应数据发送至客户端;
响应数据丢弃单元,用于若验证第二明文数据不安全,则向客户端发送安全响应数据或丢弃操作响应数据。
在上述各实施例的基础上,第二安全检测规则可以包括下述至少一项:
恶意执行代码检测规则、攻击流量检测规则以及钓鱼欺诈网站检测规则。
本发明实施例所提供的信息的安全传输装置可用于执行本发明任意实施例提供的信息的安全传输方法,具备相应的功能模块,实现相同的有益效果。
实施例五
图5为本发明实施例5提供的一种服务器的结构示意图。图5示出了适于用来实现本发明实施方式的示例性服务器12的框图。图5显示的服务器12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,服务器12以通用计算设备的形式表现。服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该服务器12交互的设备通信,和/或与使得该服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与服务器12的其它模块通信。应当明白,尽管图中未示出,可以结合服务器12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元16通过运行存储在系统存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的信息的安全传输方法,所述信息的安全传输方法包括:
接收到客户端发送的第一连接请求,第一连接请求用于连接安全套接层SSL证书加密的目标网站;
基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接;
根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证;
根据安全性验证结果,执行相应的转发处理策略。
实施例六
本发明实施例六还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现本发明实施例所述的信息的安全传输方法,所述信息的安全传输方法包括:
接收到客户端发送的第一连接请求,第一连接请求用于连接安全套接层SSL证书加密的目标网站;
基于第一数字证书与客户端建立第一SSL连接,以及,基于第二数字证书与目标网站建立第二SSL连接;
根据与第一SSL连接对应的SSL通信密钥对客户端发送至目标网站的操作请求进行安全性验证,和/或,根据与第二SSL连接对应的SSL通信密钥对目标网站反馈的操作响应数据进行安全性验证;
根据安全性验证结果,执行相应的转发处理策略。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种信息的安全传输方法,其特征在于,包括:
接收到客户端发送的第一连接请求,所述第一连接请求用于连接安全套接层SSL证书加密的目标网站;
基于第一数字证书与所述客户端建立第一SSL连接,以及,基于第二数字证书与所述目标网站建立第二SSL连接;
根据与所述第一SSL连接对应的SSL通信密钥对所述客户端发送至所述目标网站的操作请求进行安全性验证,和/或,根据与所述第二SSL连接对应的SSL通信密钥对所述目标网站反馈的操作响应数据进行安全性验证;
根据安全性验证结果,执行相应的转发处理策略。
2.根据权利要求1所述的方法,其特征在于,所述基于第一数字证书与所述客户端建立第一SSL连接,以及,基于第二数字证书与所述目标网站建立第二SSL连接,包括:
获取第一数字证书,其中,所述第一数字证书是与所述目标网站对应的SSL代理证书;
使用所述第一数字证书与所述客户端进行SSL握手,以建立与所述客户端之间的第一SSL连接;
基于所述第一连接请求,构造第二连接请求发送至所述目标网站,基于第二数字证书与所述目标网站进行SSL握手,以建立与所述目标网站之间的第二SSL连接。
3.根据权利要求2所述的方法,其特征在于,所述获取第一数字证书,包括:
如果本地存储有第一数字证书,则从本地获取所述第一数字证书;
如果本地未存储有第一数字证书,则基于CA根证书生成所述第一数字证书,其中,所述客户端信任所述CA根证书。
4.根据权利要求1所述的方法,其特征在于,所述根据与所述第一SSL连接对应的SSL通信密钥对所述客户端发送至所述目标网站的操作请求进行安全性验证,包括:
根据与所述客户端进行SSL握手后获取的第一SSL通信密钥对所述客户端发送的操作请求进行解密,得到第一明文数据;
按照第一安全检测规则,对所述第一明文数据进行安全性验证;
所述根据安全性验证结果,执行相应的转发处理策略,包括:
若验证所述第一明文数据安全,则将所述操作请求发送至所述目标网站;
若验证所述第一明文数据不安全,则丢弃所述操作请求或者告知所述客户端所述操作请求不安全。
5.根据权利要求4所述的方法,其特征在于,所述第一安全检测规则包括:
域名安全检测规则,和/或URL安全检测规则。
6.根据权利要求1所述的方法,其特征在于,所述根据与所述第二SSL连接对应的SSL通信密钥对所述目标网站反馈的操作响应数据进行安全性验证,包括:
获取所述目标网站反馈的操作响应数据;
根据与所述目标网站进行SSL握手后获取的第二SSL通信密钥对所述操作响应数据进行解密,得到与所述操作响应数据对应的第二明文数据;
按照第二安全检测规则,对所述第二明文数据进行安全性验证;
所述根据安全性验证结果,执行相应的转发处理策略,包括:
若验证所述第二明文数据安全,则将所述操作响应数据发送至所述客户端;
若验证所述第二明文数据不安全,则向所述客户端发送安全响应数据或丢弃所述操作响应数据。
7.根据权利要求6所述的方法,其特征在于,所述第二安全检测规则包括下述至少一项:
恶意执行代码检测规则、攻击流量检测规则以及钓鱼欺诈网站检测规则。
8.一种信息的安全传输装置,其特征在于,包括:
SSL连接模块,用于接收到客户端发送的第一连接请求,所述第一连接请求用于连接安全套接层SSL证书加密的目标网站;
SSL连接建立模块,用于基于第一数字证书与所述客户端建立第一SSL连接,以及,基于第二数字证书与所述目标网站建立第二SSL连接;
安全性验证模块,用于根据与所述第一SSL连接对应的SSL通信密钥对所述客户端发送至所述目标网站的操作请求进行安全性验证,和/或,根据与所述第二SSL连接对应的SSL通信密钥对所述目标网站反馈的操作响应数据进行安全性验证;
转发模块,用于根据安全性验证结果,执行相应的转发处理策略。
9.一种服务器,其特征在于,所述服务器包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的信息的安全传输方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的信息的安全传输方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710507562.9A CN107135233A (zh) | 2017-06-28 | 2017-06-28 | 信息的安全传输方法和装置、服务器和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710507562.9A CN107135233A (zh) | 2017-06-28 | 2017-06-28 | 信息的安全传输方法和装置、服务器和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107135233A true CN107135233A (zh) | 2017-09-05 |
Family
ID=59735989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710507562.9A Pending CN107135233A (zh) | 2017-06-28 | 2017-06-28 | 信息的安全传输方法和装置、服务器和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107135233A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108011888A (zh) * | 2017-12-15 | 2018-05-08 | 东软集团股份有限公司 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
| CN109257365A (zh) * | 2018-10-12 | 2019-01-22 | 深信服科技股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN109413201A (zh) * | 2018-11-27 | 2019-03-01 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN111541682A (zh) * | 2020-04-17 | 2020-08-14 | 北京天融信网络安全技术有限公司 | 一种数据安全检测方法、装置、存储介质和电子设备 |
| CN111800402A (zh) * | 2020-06-28 | 2020-10-20 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN113343155A (zh) * | 2021-06-29 | 2021-09-03 | 北京天空卫士网络安全技术有限公司 | 一种请求处理方法及装置 |
| CN113364795A (zh) * | 2021-06-18 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
| CN113438256A (zh) * | 2021-08-26 | 2021-09-24 | 北京天空卫士网络安全技术有限公司 | 一种基于双层ssl的数据传输方法、系统和代理服务器 |
| CN114244630A (zh) * | 2022-02-15 | 2022-03-25 | 北京指掌易科技有限公司 | 一种通信方法、装置、设备以及存储介质 |
| CN117081840A (zh) * | 2023-09-19 | 2023-11-17 | 中科驭数(北京)科技有限公司 | 安全套接层通信方法、装置、专用数据处理器及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN101141244A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 网络加密数据病毒检测和消除系统和代理服务器及方法 |
| CN103763356A (zh) * | 2014-01-08 | 2014-04-30 | 深圳大学 | 一种安全套接层连接的建立方法、装置及系统 |
| CN106302391A (zh) * | 2016-07-27 | 2017-01-04 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
| CN106790090A (zh) * | 2016-12-23 | 2017-05-31 | 北京奇虎科技有限公司 | 基于ssl的通信方法、装置及系统 |
-
2017
- 2017-06-28 CN CN201710507562.9A patent/CN107135233A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN101141244A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 网络加密数据病毒检测和消除系统和代理服务器及方法 |
| CN103763356A (zh) * | 2014-01-08 | 2014-04-30 | 深圳大学 | 一种安全套接层连接的建立方法、装置及系统 |
| CN106302391A (zh) * | 2016-07-27 | 2017-01-04 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
| CN106790090A (zh) * | 2016-12-23 | 2017-05-31 | 北京奇虎科技有限公司 | 基于ssl的通信方法、装置及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108011888A (zh) * | 2017-12-15 | 2018-05-08 | 东软集团股份有限公司 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
| CN109257365A (zh) * | 2018-10-12 | 2019-01-22 | 深信服科技股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN109257365B (zh) * | 2018-10-12 | 2021-08-13 | 深信服科技股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN109413201B (zh) * | 2018-11-27 | 2021-06-29 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN109413201A (zh) * | 2018-11-27 | 2019-03-01 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN111541682A (zh) * | 2020-04-17 | 2020-08-14 | 北京天融信网络安全技术有限公司 | 一种数据安全检测方法、装置、存储介质和电子设备 |
| CN111800402A (zh) * | 2020-06-28 | 2020-10-20 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN111800402B (zh) * | 2020-06-28 | 2022-08-09 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN113364795A (zh) * | 2021-06-18 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
| CN113364795B (zh) * | 2021-06-18 | 2023-03-24 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
| CN113343155A (zh) * | 2021-06-29 | 2021-09-03 | 北京天空卫士网络安全技术有限公司 | 一种请求处理方法及装置 |
| CN113438256A (zh) * | 2021-08-26 | 2021-09-24 | 北京天空卫士网络安全技术有限公司 | 一种基于双层ssl的数据传输方法、系统和代理服务器 |
| CN113438256B (zh) * | 2021-08-26 | 2022-02-25 | 北京天空卫士网络安全技术有限公司 | 一种基于双层ssl的数据传输方法、系统和代理服务器 |
| CN114244630A (zh) * | 2022-02-15 | 2022-03-25 | 北京指掌易科技有限公司 | 一种通信方法、装置、设备以及存储介质 |
| CN117081840A (zh) * | 2023-09-19 | 2023-11-17 | 中科驭数(北京)科技有限公司 | 安全套接层通信方法、装置、专用数据处理器及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135233A (zh) | 信息的安全传输方法和装置、服务器和存储介质 | |
| US10382434B2 (en) | Actively federated mobile authentication | |
| US9191394B2 (en) | Protecting user credentials from a computing device | |
| JP6296060B2 (ja) | e文書に署名するための追加的な確認を備えたアナログデジタル(AD)署名を使用する方法 | |
| EP2332089B1 (en) | Authorization of server operations | |
| US20140282840A1 (en) | Managing data handling policies | |
| CN105072125B (zh) | 一种http通信系统及方法 | |
| CN1608362A (zh) | 认证方法 | |
| CN1930847A (zh) | 用于提供事务级安全的方法和装置 | |
| US10990692B2 (en) | Managing data handling policies | |
| CN102811225B (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
| CN107196932A (zh) | 一种基于虚拟化的文档集中管控系统 | |
| CN112308236A (zh) | 用于处理用户请求的方法、装置、电子设备及存储介质 | |
| JP2004220120A (ja) | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 | |
| CN101533504A (zh) | 电子医务系统及其装置 | |
| CN108959908A (zh) | 一种与接入sdk的移动平台进行认证的方法、计算机设备及存储介质 | |
| CN110474884B (zh) | 以太坊网络系统及通信方法、设备及计算机可读存储介质 | |
| CN104104686B (zh) | 一种基于移动互联网的网络数据包解析取证方法 | |
| US20170237716A1 (en) | System and method for interlocking intrusion information | |
| JPH11161321A (ja) | プラント監視装置 | |
| KR102211033B1 (ko) | 전자인증절차의 대행 서비스 시스템 | |
| Phumkaew et al. | Android forensic and security assessment for hospital and stock-and-trade applications in thailand | |
| JP2009122921A (ja) | 認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム | |
| CN109684818A (zh) | 一种防止机主登录密码泄露的跨终端式的服务器登录方法 | |
| CN101453335A (zh) | 用户信息安全输入方法、以及客户端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170905 |
|
| RJ01 | Rejection of invention patent application after publication |