CN108494793B - 网络访问方法、装置及系统 - Google Patents
网络访问方法、装置及系统 Download PDFInfo
- Publication number
- CN108494793B CN108494793B CN201810319116.XA CN201810319116A CN108494793B CN 108494793 B CN108494793 B CN 108494793B CN 201810319116 A CN201810319116 A CN 201810319116A CN 108494793 B CN108494793 B CN 108494793B
- Authority
- CN
- China
- Prior art keywords
- intermediate server
- electronic terminal
- data
- network access
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种网络访问方法、装置及系统。在一个实施例中,所述网络访问方法包括:拦截获取网络访问数据;将拦截的所述网络访问数据进行封装得到封装数据;通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及接收所述中间服务器发送的所述业务服务器对访问请求的应答数据。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种网络访问方法、装置及系统。
背景技术
随着电子设备的普及,电子设备中也安装有越来越多的应用程序,应用程序的使用越来越频繁。但是目前移动设备的接入网络比较复杂,各种免费Wifi的安全性无法保证,导致网络访问有一定的安全隐患。
发明内容
有鉴于此,本发明实施例的目的在于提供一种网络访问方法、装置及系统。
本发明实施例提供的一种网络访问方法,应用于电子终端,所述网络访问方法包括:
拦截获取网络访问数据;
将拦截的所述网络访问数据进行封装得到封装数据;
通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
接收所述中间服务器发送的所述业务服务器对访问请求的应答数据。
本发明实施例还提供一种网络访问装置,应用于电子终端,所述网络访问装置包括:
拦截模块,用于拦截获取网络访问数据;
封装模块,用于将拦截的所述网络访问数据进行封装得到封装数据;
发送模块,用于通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
接收模块,用于接收所述中间服务器发送的所述业务服务器对访问请求的应答数据。
本发明实施例还提供一种网络访问方法,所述网络访问方法包括:
电子终端拦截获取网络访问数据,并将拦截的所述网络访问数据进行封装得到封装数据;
所述电子终端通过加密通信通道将所述封装数据发送给中间服务器;
所述中间服务器解析所述封装数据得到所述网络访问数据;
所述中间服务器根据所述网络访问数据与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
所述中间服务器接收所述业务服务器对访问请求的应答数据,并将所述应答数据发送给所述电子终端。
本发明实施例还提供一种网络访问系统,所述网络访问系统包括:电子终端和中间服务器;
所述电子终端用于拦截获取网络访问数据,并将拦截的所述网络访问数据进行封装得到封装数据;
所述电子终端,还用于通过加密通信通道将所述封装数据发送给中间服务器;
所述中间服务器,用于解析所述封装数据得到所述网络访问数据;
所述中间服务器,还用于根据所述网络访问数据与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
所述中间服务器,还用于接收所述业务服务器对访问请求的应答数据,并将所述应答数据发送给所述电子终端。
与现有技术相比,本发明实施例的网络访问方法、装置及系统,通过拦截网络访问数据,将网络访问数据进行封装,再通过加密通信通道发送给中间服务器,再由中间服务器与业务服务器建立通信连接,从而提高网络访问的安全性。另外,通过中间服务器与所述业务服务器建立通信连接,从而使业务服务器的端口不需要直接暴露在外网中,避免遭受攻击,也提高业务服务器的安全性。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的中间服务器、电子终端及业务服务器进行交互的示意图。
图2为本发明实施例提供的电子终端的方框示意图。
图3为本发明实施例提供的网络访问方法的流程图。
图4为本发明另一实施例提供的网络访问方法的流程图。
图5为本发明实施例提供的网络访问方法的步骤S106的详细流程图。
图6为本发明实施例提供的网络访问装置的功能模块示意图。
图7为本发明再一实施例提供的网络访问方法的流程图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图1所示,是本发明实施例提供的中间服务器、电子终端及业务服务器进行交互的示意图。所述中间服务器200通过网络与一个或多个电子终端100(图中示出两个电子终端100)进行通信连接,以进行数据通信或交互。所述中间服务器200通过网络与一个或多个业务服务器(图中示出两个业务服务器300)进行通信连接,以进行数据通信或交互。所述中间服务器200和业务服务器300可以是网络服务器、数据库服务器等。所述电子终端100可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personaldigital assistant,PDA)等。
如图2所示,是所述电子终端100的方框示意图。所述电子终端100包括异常处理装置110、存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115、显示单元116、射频单元117及通信单元118。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对电子终端100的结构造成限定。例如,电子终端100还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
所述存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115、显示单元116、射频单元117及通信单元118各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述异常处理装置110包括至少一个可以软件或固件(Firmware)的形式存储于所述存储器111中或固化在所述电子终端100的操作系统(Operating System,OS)中的软件功能模块。所述处理器113用于执行存储器中存储的可执行模块,例如所述异常处理装置110包括的软件功能模块或计算机程序。
其中,所述存储器111可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器111用于存储程序,所述处理器113在接收到执行指令后,执行所述程序,本发明实施例任一实施例揭示的过程定义的电子终端100所执行的方法可以应用于处理器113中,或者由处理器113实现。
本实施例中,所述电子终端100中安装安卓(Android)操作系统。所述Android操作系统存储在所述存储器111中。其中操作系统可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动。
所述处理器113可能是一种集成电路芯片,具有信号的处理能力。上述的处理器113可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述外设接口114将各种输入/输入装置耦合至处理器113以及存储器111。在一些实施例中,外设接口114,处理器113以及存储控制器112可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
所述输入输出单元115用于提供给用户输入数据。所述输入输出单元115可以是,但不限于,鼠标和键盘等。
所述显示单元116在所述电子终端100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
所述射频单元117用于接收以及发送无线电波信号(如电磁波),实现无线电波与电信号的相互转换,从而实现所述电子终端100与所述网络或者其他通信设备之间的无线通信。
所述通信单元118用于通过所述网络与所述中间服务器200的通信单元建立连接,从而实现所述中间服务器200与电子终端100之间的通信连接。例如,该通信单元118可以利用所述射频单元117发送的射频信号连接到网络,进而通过网络与中间服务器200的通信单元建立通信连接。
请参阅图3,是本发明实施例提供的应用于图2所示的电子终端的网络访问方法的流程图。下面将对图3所示的具体流程进行详细阐述。
步骤S101,拦截获取网络访问数据。
本实施例中,所述电子终端中安装有应用程序,所述步骤S101包括:根据预设在所述应用程序中的挂钩函数拦截所述应用程序发送的网络访问数据。
本实施例中,通过hook技术在需要进行网络访问进行安全处理的应用程序中插入挂钩函数,以使拦截所述应用程序预发送的网络访问数据。通过在应用程序中插入挂钩函数就可以实现数据的拦截,从而进一步地实现网络的安全访问,此过程中不需要增加开发的工作量,也不需要接触应用程序的源代码就能够实现提高网络访问的安全性。
步骤S102,将拦截的所述网络访问数据进行封装得到封装数据。
步骤S103,通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求。
本实施例中,所述电子终端与所述中间服务器之间可以建立VPN(VirtualPrivate Network,虚拟专用网络)以实现电子终端与所述中间服务器进行加密通信。
进一步地,所述电子终端与所述中间服务器之间的通信协议也可以是其它方式,例如,PDN(Public Data Network,公共数据网)、UDP(User Datagram Protocol,用户数据报协议)等。
在一种实施方式中,所述电子终端通过SSL通道传输所述封装数据给所述中间服务器。
进一步地,所述中间服务器在接收到所述封装数据后,需要对所述封装数据进行解析,以判断所述封装数据所使用的加密密钥是否为所述中间服务器认证的密钥。只有当所述封装数据所使用的加密密钥为所述中间服务器认证的密钥时,所述中间服务器才将所述业务服务器发送访问请求。
步骤S104,接收所述中间服务器发送的所述业务服务器对访问请求的应答数据。
本实施例中,如图4所示,在步骤S103之前,所述方法还包括:
步骤S105,判断是否与所述中间服务器已经建立有所述加密通信通道。
若未建立所述加密通信通道,则执行步骤S106。
步骤S106,建立与所述中间服务器的加密通信通道。
在一种实施方式中,如图5所示,所述步骤S106包括:步骤S1061至步骤S1066。
步骤S1061,建立与所述中间服务器的通信连接,并接收所述中间服务器发送的第一数字证书,所述第一数字证书携带所述中间服务器的公钥。
本实施例中,在建立所述加密通信通道之前,所述中间服务器先向CA(产生和确定数字证书的第三方可信机构)机构申请数字证书。
本实施例中,所述加密通信通道可以是SSL(Secure Sockets Layer安全套接层)通信通道。也可以是TLS(Transport Layer Security,传输层安全)通信通道。
步骤S1062,验证所述第一数字证书是否合法,若合法,将第二数字证书发送给所述中间服务器,以使所述中间服务器进行验证,所述第二数字证书携带所述电子终端的公钥。
本实施例中,可以通过以下几个步骤验证所述第一数字证书是否合法:验证所述第一数字证书是否过期;发行所述第一数字证书的CA机构是否可靠;返回的公钥是否能正确解开返回证书中的数字签名;服务器证书上的域名是否和服务器的实际域名相匹配。
本实施中,所述中间服务器接收到所述第二数字证书后,对第二数字证书进行验证,验证通过之后再执行步骤S1063。
本实施例中,所述电子终端验证所述第一数字证书验证通过和所述中间服务器验证所述第二数字证书后,将继续进行通信,否则,终止通信。
本实施例中,所述电子终端接收所述中间服务器发送的数字证书,在验证通过之后再执行步骤S1063。本实施例中,所述第一数字证书包括电子签证机关的信息、公钥用户信息、公钥、权威机构的潜质和有效期等信息。
在一种实施方式中,所述电子终端中可以预先存储有所述中间服务器的预存公钥,所述电子终端将所述预存公钥与所述第一数字证书中的公钥进行对比,若相同,则再执行步骤S1062。当然,在另一种实施方式中,所述电子终端也可以在步骤S1062之后将所述第一数字证书的公钥与所述预存公钥进行对比,若相同,则再执行步骤S1063。具体地,也就是在所述第一数字证书的公钥与所述预存公钥相同时,才能够成功建立所述电子终端与所述中间服务器之间的加密通信通道。通过增加对所述第一数字证书的公钥的验证,可以提高在建立所述电子终端与所述中间服务器之间的加密通信通道时的安全性,也进一步地提高所述电子终端网络访问的安全。
步骤S1063,接收所述中间服务器发送的使用所述电子终端的公钥加密的加密规则数据。
本实施例中,在步骤S1063之前所述电子终端还可以向所述中间服务器发送该电子终端所支持的多种加密规则。所述中间服务器可以在接收到的多种加密规则中选择一种或多种加密程度高的加密方式。所述加密规则数据中所携带的加密规则为所述多种加密规则中的一种或多种。
步骤S1064,解密所述加密规则数据得到目标加密规则。
本实施例中,所述电子终端在接收到所述加密规则数据后使用该电子终端所有的私钥进行解密。
本实施例中,成功建立所述加密通道后,所述电子终端向所述中间服务器发送的数据均使用所述目标加密规则加密。
步骤S1065,随机生成会话密钥,并使用从所述中间服务器的公钥对所述会话密钥进行加密。
步骤S1066,将加密的所述会话密钥发送给所述中间服务器,以使所述中间服务器使用私钥进行解密得到所述会话密钥,以建立所述加密通信通道。
所述中间服务器接收到所述加密的所述会话密钥进行解密验证,验证成功后,则成功建立所述加密通信通道。
本实施例中,所述中间服务器与所述电子终端的数字证书为同一家CA机构颁布的证书,则验证可通过。
通过建立双向认证的所述加密通信通道可以提高所述电子终端网络访问的安全性。
本发明实施例的网络访问方法,通过拦截网络访问数据,将网络访问数据进行封装,再通过加密通信通道发送给中间服务器,再由中间服务器与业务服务器建立通信连接,从而提高网络访问的安全性。另外,通过中间服务器与所述业务服务器建立通信连接,从而使业务服务器的端口不需要直接暴露在外网中,避免遭受攻击,也提高业务服务器的安全性。
请参阅图6,是本发明实施例提供的图2所示的网络访问装置110的功能模块示意图。本实施例中的网络访问装置110中的各个模块及单元用于执行上述方法实施例中的各个步骤。所述网络访问装置110包括:拦截模块1101、封装模块1102、发送模块1103及接收模块1104。
所述拦截模块1101,用于拦截获取网络访问数据。
所述封装模块1102,用于将拦截的所述网络访问数据进行封装得到封装数据。
所述发送模块1103,用于通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求。
所述接收模块1104,用于接收所述中间服务器发送的所述业务服务器对访问请求的应答数据。
本实施例中,所述网络访问装置110还包括:判断模块1105
所述判断模块1105,用于判断是否与所述中间服务器已经建立有所述加密通信通道。
所述建立模块1106,用于若未建立所述加密通信通道,则建立与所述中间服务器的加密通信通道。
本实施例中,所述建立模块1106包括:证书接收单元、第一验证单元、规则接收单元、规则解密单元、会话生成单元及会话发送单元。
所述证书接收单元,用于建立与所述中间服务器的通信连接,并接收所述中间服务器发送的第一数字证书,所述第一数字证书携带所述中间服务器的公钥。
所述第一验证单元,用于验证所述第一数字证书是否合法,若合法,将第二数字证书发送给所述中间服务器,以使所述中间服务器进行验证,所述第二数字证书携带所述电子终端的公钥。
所述规则接收单元,用于接收所述中间服务器发送的使用所述电子终端的公钥加密的加密规则数据。
所述规则解密单元,用于解密所述加密规则数据得到目标加密规则。
所述会话生成单元,用于随机生成会话密钥,并使用从所述中间服务器的公钥对所述会话密钥进行加密。
所述会话发送单元,用于将加密的所述会话密钥发送给所述中间服务器,以使所述中间服务器使用私钥进行解密得到所述会话密钥,以建立所述加密通信通道。
本实施例中,所述电子终端中安装有应用程序,所述拦截模块1101还用于根据预设在所述应用程序中的挂钩函数拦截所述应用程序发送的网络访问数据。
关于本实施例的其它细节还可以进一步地参考上述方法实施例中的描述,在此不再赘述。
本发明实施例的网络访问装置,通过拦截网络访问数据,将网络访问数据进行封装,再通过加密通信通道发送给中间服务器,再由中间服务器与业务服务器建立通信连接,从而提高网络访问的安全性。另外,通过中间服务器与所述业务服务器建立通信连接,从而使业务服务器的端口不需要直接暴露在外网中,避免遭受攻击,也提高业务服务器的安全性。
本发明实施例还提供另一种网络访问方法,本实施例中的方法与前述方法实施例类似,其不同之处在于,前述实施例基于电子终端单侧进行描述,本实施例中的方法基于多侧进行描述,如图7所示,所述网络访问方法包括以下步骤。
步骤S201,电子终端拦截获取网络访问数据,并将拦截的所述网络访问数据进行封装得到封装数据。
步骤S202,所述电子终端通过加密通信通道将所述封装数据发送给中间服务器。
本实施例中,所述电子终端可以使用其携带的私钥进行加密打包,以使所述封装数据携带所述私钥。
步骤S203,所述中间服务器解析所述封装数据得到所述网络访问数据。
所述中间服务器接收到所述封装数据后进行解析,可以得到需要访问的业务服务器的信息。
步骤S204,所述中间服务器根据所述网络访问数据与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求。
步骤S205,所述中间服务器接收所述业务服务器对访问请求的应答数据,并将所述应答数据发送给所述电子终端。
本实施例中,所述中间服务器接收到所述应答数据后,还将所述应答数据使用公钥进行封装。
进一步地,所述电子终端接收到所述中间服务器发送的应答数据后使用私钥进行解密,以验证所述应答数据的安全性。
具体地,所述应答数据携带有所述中间服务器的数字证书,所述电子终端验证所述数字证书,验证通过后再使用所述应答数据中与网络访问请求对应的内容。
进一步地,本实施例中的方法中的所述电子终端还可以执行前述方法实施例中的其它步骤,具体可以参考前述的方法实施例中的描述,在此不再赘述。
本发明实施例的网络访问方法,通过拦截网络访问数据,将网络访问数据进行封装,再通过加密通信通道发送给中间服务器,再由中间服务器与业务服务器建立通信连接,从而提高网络访问的安全性。另外,通过中间服务器与所述业务服务器建立通信连接,从而使业务服务器的端口不需要直接暴露在外网中,避免遭受攻击,也提高业务服务器的安全性。
本实施例提供一种网络访问系统,所述网络访问系统包括:电子终端和中间服务器。
所述电子终端用于拦截获取网络访问数据,并将拦截的所述网络访问数据进行封装得到封装数据。
所述电子终端,还用于通过加密通信通道将所述封装数据发送给中间服务器。
所述中间服务器,用于解析所述封装数据得到所述网络访问数据。
所述中间服务器,还用于根据所述网络访问数据与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求。
所述中间服务器,还用于接收所述业务服务器对访问请求的应答数据,并将所述应答数据发送给所述电子终端。
进一步地,本实施例中的方法中的所述电子终端的处理器还可以执行前述装置实施例中的各个模块,具体可以参考前述的装置实施例中的描述,在此不再赘述。
关于本实施例的其它细节可以进一步地参考上述方法和装置实施例中的描述,在此不再赘述。
本发明实施例的网络访问系统,通过拦截网络访问数据,将网络访问数据进行封装,再通过加密通信通道发送给中间服务器,再由中间服务器与业务服务器建立通信连接,从而提高网络访问的安全性。另外,通过中间服务器与所述业务服务器建立通信连接,从而使业务服务器的端口不需要直接暴露在外网中,避免遭受攻击,也提高业务服务器的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种网络访问方法,其特征在于,应用于电子终端,所述网络访问方法包括:
拦截获取网络访问数据;
将拦截的所述网络访问数据进行封装得到封装数据;
判断是否与中间服务器已经建立有加密通信通道;
若未建立所述加密通信通道,则建立与所述中间服务器的通信连接,并接收所述中间服务器发送的第一数字证书,所述第一数字证书携带所述中间服务器的公钥;
验证所述第一数字证书是否合法,若合法,将第二数字证书发送给所述中间服务器,以使所述中间服务器进行验证,所述第二数字证书携带所述电子终端的公钥;
向所述中间服务器发送该电子终端所支持的多种加密规则;
接收所述中间服务器发送的使用所述电子终端的公钥加密的加密规则数据,所述加密规则数据中所携带的加密规则为所述多种加密规则中的一种或多种;
解密所述加密规则数据得到目标加密规则;
随机生成会话密钥,并使用从所述中间服务器的公钥对所述会话密钥进行加密;
将加密的所述会话密钥发送给所述中间服务器,以使所述中间服务器使用私钥进行解密得到所述会话密钥,以建立所述加密通信通道;
通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
接收所述中间服务器发送的所述业务服务器对访问请求的应答数据。
2.如权利要求1所述的网络访问方法,其特征在于,所述电子终端中安装有应用程序,所述拦截获取网络访问数据的步骤包括:
根据预设在所述应用程序中的挂钩函数拦截所述应用程序发送的网络访问数据。
3.一种网络访问装置,其特征在于,应用于电子终端,所述网络访问装置包括:
拦截模块,用于拦截获取网络访问数据;
封装模块,用于将拦截的所述网络访问数据进行封装得到封装数据;
发送模块,用于通过加密通信通道将所述封装数据发送给中间服务器,以使所述中间服务器根据所述封装数据建立与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
接收模块,用于接收所述中间服务器发送的所述业务服务器对访问请求的应答数据;
判断模块,用于判断是否与所述中间服务器已经建立有所述加密通信通道;
建立模块,用于若未建立所述加密通信通道,则建立与所述中间服务器的加密通信通道;
其中,所述建立模块包括:
证书接收单元,用于建立与所述中间服务器的通信连接,并接收所述中间服务器发送的第一数字证书,所述第一数字证书携带所述中间服务器的公钥;
第一验证单元,用于验证所述第一数字证书是否合法,若合法,将第二数字证书发送给所述中间服务器,以使所述中间服务器进行验证,所述第二数字证书携带所述电子终端的公钥;
规则发送单元,用于向所述中间服务器发送该电子终端所支持的多种加密规则;
规则接收单元,用于接收所述中间服务器发送的使用所述电子终端的公钥加密的加密规则数据,所述加密规则数据中所携带的加密规则为所述多种加密规则中的一种或多种;
规则解密单元,用于解密所述加密规则数据得到目标加密规则;
会话生成单元,用于随机生成会话密钥,并使用从所述中间服务器的公钥对所述会话密钥进行加密;
会话发送单元,用于将加密的所述会话密钥发送给所述中间服务器,以使所述中间服务器使用私钥进行解密得到所述会话密钥,以建立所述加密通信通道。
4.如权利要求3所述的网络访问装置,其特征在于,所述电子终端中安装有应用程序,所述拦截模块还用于根据预设在所述应用程序中的挂钩函数拦截所述应用程序发送的网络访问数据。
5.一种网络访问方法,其特征在于,所述网络访问方法包括:
电子终端拦截获取网络访问数据,并将拦截的所述网络访问数据进行封装得到封装数据;
所述电子终端判断是否与中间服务器已经建立有加密通信通道;
若未建立所述加密通信通道,所述电子终端则建立与所述中间服务器的通信连接,并接收所述中间服务器发送的第一数字证书,所述第一数字证书携带所述中间服务器的公钥;
所述电子终端验证所述第一数字证书是否合法,若合法,将第二数字证书发送给所述中间服务器,以使所述中间服务器进行验证,所述第二数字证书携带所述电子终端的公钥;
所述电子终端向所述中间服务器发送该电子终端所支持的多种加密规则;
所述电子终端接收所述中间服务器发送的使用所述电子终端的公钥加密的加密规则数据,所述加密规则数据中所携带的加密规则为所述多种加密规则中的一种或多种;
所述电子终端解密所述加密规则数据得到目标加密规则;
所述电子终端随机生成会话密钥,并使用从所述中间服务器的公钥对所述会话密钥进行加密;
所述电子终端将加密的所述会话密钥发送给所述中间服务器,以使所述中间服务器使用私钥进行解密得到所述会话密钥,以建立所述加密通信通道;
所述电子终端通过加密通信通道将所述封装数据发送给中间服务器;
所述中间服务器解析所述封装数据得到所述网络访问数据;
所述中间服务器根据所述网络访问数据与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
所述中间服务器接收所述业务服务器对访问请求的应答数据,并将所述应答数据发送给所述电子终端。
6.一种网络访问系统,其特征在于,所述网络访问系统包括:电子终端和中间服务器;
所述电子终端用于拦截获取网络访问数据,并将拦截的所述网络访问数据进行封装得到封装数据;
所述电子终端,还用于判断是否与所述中间服务器已经建立有加密通信通道;
若未建立所述加密通信通道,所述电子终端,还用于建立与所述中间服务器的通信连接,并接收所述中间服务器发送的第一数字证书,所述第一数字证书携带所述中间服务器的公钥;
所述电子终端,还用于验证所述第一数字证书是否合法,若合法,将第二数字证书发送给所述中间服务器,以使所述中间服务器进行验证,所述第二数字证书携带所述电子终端的公钥;
所述电子终端,还用于向所述中间服务器发送该电子终端所支持的多种加密规则;
所述电子终端,还用于接收所述中间服务器发送的使用所述电子终端的公钥加密的加密规则数据,所述加密规则数据中所携带的加密规则为所述多种加密规则中的一种或多种;
所述电子终端,还用于解密所述加密规则数据得到目标加密规则;
所述电子终端随机生成会话密钥,并使用从所述中间服务器的公钥对所述会话密钥进行加密;
所述电子终端,还用于将加密的所述会话密钥发送给所述中间服务器,以使所述中间服务器使用私钥进行解密得到所述会话密钥,以建立所述加密通信通道;
所述电子终端,还用于通过加密通信通道将所述封装数据发送给中间服务器;
所述中间服务器,用于解析所述封装数据得到所述网络访问数据;
所述中间服务器,还用于根据所述网络访问数据与业务服务器的通信连接,以向所述业务服务器发送电子终端的访问请求;以及
所述中间服务器,还用于接收所述业务服务器对访问请求的应答数据,并将所述应答数据发送给所述电子终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810319116.XA CN108494793B (zh) | 2018-04-11 | 2018-04-11 | 网络访问方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810319116.XA CN108494793B (zh) | 2018-04-11 | 2018-04-11 | 网络访问方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108494793A CN108494793A (zh) | 2018-09-04 |
| CN108494793B true CN108494793B (zh) | 2020-11-03 |
Family
ID=63315701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810319116.XA Active CN108494793B (zh) | 2018-04-11 | 2018-04-11 | 网络访问方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108494793B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309684A (zh) * | 2018-10-30 | 2019-02-05 | 红芯时代(北京)科技有限公司 | 一种业务访问方法、装置、终端、服务器及存储介质 |
| CN111193712A (zh) * | 2019-12-03 | 2020-05-22 | 云深互联(北京)科技有限公司 | 一种基于企业浏览器的代理访问方法和装置 |
| CN112398842B (zh) * | 2020-11-06 | 2023-04-25 | 北京金山云网络技术有限公司 | 访问外网数据的方法、装置、电子设备及网关服务器 |
| CN114143082B (zh) * | 2021-11-30 | 2023-10-13 | 北京天融信网络安全技术有限公司 | 一种加密通信方法、系统及装置 |
| CN116094763A (zh) * | 2022-12-07 | 2023-05-09 | 天翼云科技有限公司 | 一种基于云手机的上网行为管控方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043478A (zh) * | 2007-04-20 | 2007-09-26 | 北京航空航天大学 | 实现消息安全处理的服务网关及方法 |
| CN103023926A (zh) * | 2012-12-28 | 2013-04-03 | 中科正阳信息安全技术有限公司 | 一种基于反向代理的防信息泄漏安全网关系统 |
| WO2016053980A1 (en) * | 2014-09-29 | 2016-04-07 | Akamai Technologies, Inc. | Https request enrichment |
| CN106888184A (zh) * | 2015-12-15 | 2017-06-23 | 北京奇虎科技有限公司 | 移动终端支付类应用程序安全支付方法及装置 |
-
2018
- 2018-04-11 CN CN201810319116.XA patent/CN108494793B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043478A (zh) * | 2007-04-20 | 2007-09-26 | 北京航空航天大学 | 实现消息安全处理的服务网关及方法 |
| CN103023926A (zh) * | 2012-12-28 | 2013-04-03 | 中科正阳信息安全技术有限公司 | 一种基于反向代理的防信息泄漏安全网关系统 |
| WO2016053980A1 (en) * | 2014-09-29 | 2016-04-07 | Akamai Technologies, Inc. | Https request enrichment |
| CN106888184A (zh) * | 2015-12-15 | 2017-06-23 | 北京奇虎科技有限公司 | 移动终端支付类应用程序安全支付方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108494793A (zh) | 2018-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108494793B (zh) | 网络访问方法、装置及系统 | |
| US11451528B2 (en) | Two factor authentication with authentication objects | |
| CN109075976B (zh) | 取决于密钥认证的证书发布 | |
| US20210006416A1 (en) | Platform attestation and registration for servers | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US9231925B1 (en) | Network authentication method for secure electronic transactions | |
| US10116645B1 (en) | Controlling use of encryption keys | |
| US10061915B1 (en) | Posture assessment in a secure execution environment | |
| KR101671351B1 (ko) | 통합 보안 엔진을 사용하는 웹 서비스 제공자를 위한 프라이버시 강화 키 관리 | |
| CN109639427B (zh) | 一种数据发送的方法及设备 | |
| US10484372B1 (en) | Automatic replacement of passwords with secure claims | |
| US10862883B1 (en) | Custom authorization of network connected devices using signed credentials | |
| US11050570B1 (en) | Interface authenticator | |
| CN111708991A (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
| US9882720B1 (en) | Data loss prevention with key usage limit enforcement | |
| CN108200078B (zh) | 签名认证工具的下载安装方法及终端设备 | |
| US11838421B2 (en) | Systems and methods for enhanced mobile device authentication | |
| US20200074122A1 (en) | Cryptographic operation processing method, apparatus, and system, and method for building measurement for trust chain | |
| CN111641630B (zh) | 一种加密传输方法、装置、电子设备和存储介质 | |
| CN109842616B (zh) | 账号绑定方法、装置及服务器 | |
| WO2020186457A1 (zh) | 网络摄像机的认证方法和装置 | |
| CN113709115B (zh) | 认证方法及装置 | |
| US20210320790A1 (en) | Terminal registration system and terminal registration method | |
| CN114629639A (zh) | 基于可信执行环境的密钥管理方法、装置和电子设备 | |
| US20150047001A1 (en) | Application program execution device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |