CN109257365B - 一种信息处理方法、装置、设备和存储介质 - Google Patents

一种信息处理方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN109257365B
CN109257365B CN201811191572.7A CN201811191572A CN109257365B CN 109257365 B CN109257365 B CN 109257365B CN 201811191572 A CN201811191572 A CN 201811191572A CN 109257365 B CN109257365 B CN 109257365B
Authority
CN
China
Prior art keywords
digital certificate
server
certificate
client
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811191572.7A
Other languages
English (en)
Other versions
CN109257365A (zh
Inventor
宋亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201811191572.7A priority Critical patent/CN109257365B/zh
Publication of CN109257365A publication Critical patent/CN109257365A/zh
Application granted granted Critical
Publication of CN109257365B publication Critical patent/CN109257365B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种信息处理方法,所述方法包括:接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。本发明实施例同时还公开了一种信息处理装置、设备和存储介质。

Description

一种信息处理方法、装置、设备和存储介质
技术领域
本发明涉及通信领域,尤其涉及一种信息处理方法、装置、设备和存储介质。
背景技术
安全套接字层超文本传输协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)是以安全为目标的超文本传输协议(HyperText TransferProtocol,HTTP),即在HTTP中加入了安全套接层(Secure Sockets Layer,SSL),采用SSL进行加密。在HTTPS代理的相关技术实现过程中,HTTPS代理系统通常包括客户端、防火墙和为客户端提供服务的服务器,在通信过程中,客户端侧将防火墙作为服务器进行通信,服务器侧将防火墙作为客户端进行通信。
但是,在HTTPS代理的相关技术中,防火墙与客户端之间采用HTTPS基于SSL进行身份认证时,容易出现客户端不信任服务器而产生警告的情况,需要管理人员手动点击继续访问才能建立客户端与服务器之间的连接,会出现客户端所需访问的页面显示不全的情况;进而,无法对HTTPS数据的监测和管控,并且整个操作过程比较复杂。
发明内容
有鉴于此,本发明实施例期望提供一种信息处理方法、装置、设备和存储介质,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
为达到上述目的,本发明的技术方案是这样实现的:
一种信息处理方法,所述方法包括:
接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;
接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;
基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
可选的,所述基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端,包括:
从所述第一数字证书中获取所述第一数字证书的标识信息;
若所述第二服务器存储有与所述第一数字证书的标识信息对应的所述第二数字证书,获取所述第二数字证书并发送所述第二数字证书至所述客户端。
可选的,所述方法还包括:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成所述第二数字证书;
基于所述第一数字证书的标识信息存储所述第二数字证书,并发送所述第二数字证书至所述客户端。
可选的,所述若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成所述第二数字证书,包括:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的所述第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书。
可选的,所述若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件,包括:
若所述第二服务器未存储有所述第二数字证书,采用密钥算法生成密钥对;其中,所述密钥对包括第一私钥和第一公钥;
基于预设的证书请求文件格式,生成第一证书请求文件模板;
获取所述第一数字证书中的第一特征信息,并添加所述第一特征信息和所述第一公钥至所述第一数字证书模板中,得到第二证书请求文件模板;其中,所述第一特征信息用于表征所述第一数字证书的主体信息的属性信息;
获取所述第一数字证书中的摘要算法,并基于所述摘要算法采用所述第一私钥对所述第二证书请求文件模板进行签名处理,得到所述证书请求文件。
可选的,所述基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书,包括:
基于预设的第二数字证书格式,生成第一证书模板;
获取所述第一数字证书中的第二特征信息、所述第三数字证书的主体信息和所述证书请求文件中的第一公钥,并添加至所述第一证书模板中得到第二证书模板;其中,所述第二特征信息是所述第一数字证书的识别信息;
获取所述第三数字证书中的第二私钥,并采用所述第二私钥对所述第二证书模板进行签名处理,得到所述第二数字证书。
一种信息处理方法,所述方法包括:
确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,所述第一握手请求中携带有所述第一服务器的服务器标识;
接收所述第二服务器发送的第二数字证书;其中,所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的;
若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接;其中,所述第三数字证书与所述第一服务器对应。
可选的,所述确定与第一服务器通信时,发送第一握手请求至第二服务器之前,包括:
从所述第二服务器中获取与所述第一服务器对应的第三数字证书;
存储所述第三数字证书。
可选的,所述存储所述第三数字证书之后,包括:
获取所述第三数字证书的主体信息;
更新所述第三数字证书的主体信息至客户端的信任列表。
可选的,所述若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接,包括:
获取所述第二数字证书的主体信息;
获取所述第一服务器对应的第三数字证书;
若所述第二数字证书的主体信息在所述信任列表中,且所述第二数字证书与所述第三数字证书内容匹配,确定所述第二数字证书是所述客户端的受信任证书,建立与所述第二服务器的所述SSL连接。
一种信息处理装置,所述信息处理装置包括:第一接收单元,第二接收单元和处理单元;其中:
所述第一接收单元,用于接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;
所述第二接收单元,用于接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;
所述处理单元,用于基于所述第一数字证书获取第二数字证书,并发送第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
一种信息处理装置,所述信息处理装置包括:发送单元,第三接收单元和第一建立单元;其中:
所述发送单元,用于确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,所述第一握手请求中携带有第一服务器的服务器标识;
所述第三接收单元,用于接收所述第二服务器发送的第二数字证书;其中,所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的;
所述第一建立单元,用于若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接;其中,所述第三数字证书与所述第一服务器对应。
一种第二服务器,所述第二服务器包括:第一处理器、第一存储器及第一通信总线;其中:
所述第一通信总线用于实现所述第一处理器和所述第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的信息处理程序,以实现以下步骤:
接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;
接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;
基于所述第一数字证书获取第二数字证书,并发送第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
一种客户端,所述客户端包括:第二处理器、第二存储器及第二通信总线;其中:
所述第二通信总线用于实现所述第二处理器和所述第二存储器之间的连接通信;
所述第二处理器用于执行所述第二存储器中存储的信息处理程序,以实现以下步骤:
确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,所述第一握手请求中携带有第一服务器的服务器标识;
接收所述第二服务器发送的第二数字证书;其中,所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的;
若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接;其中,所述第三数字证书与所述第一服务器对应。
一种计算机可读存储介质,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现如上述任一项所述的信息处理方法的步骤。
本发明的实施例所提供的信息处理方法、装置、设备和存储介质,客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,第二服务器接收第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,客户端接收第二服务器发送的第二数字证书,并在第二数字证书与预先存储的第三数字证书匹配时,客户端建立与第二服务器的SSL连接。这样,第二服务器接收到客户端发送的第一握手请求后,第二服务器主动从第一服务器中获取第一服务器的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,使客户端基于第二数字证书对第一服务器进行认证,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
附图说明
图1为本发明实施例提供的一种通信系统结构示意图;
图2为本发明实施例提供的一种信息处理方法的流程示意图;
图3为本发明实施例提供的又一种信息处理方法的流程示意图;
图4为本发明实施例提供的再一种信息处理方法的流程示意图;
图5为本发明实施例提供的另一种信息处理方法的流程示意图;
图6为本发明另一实施例提供的一种信息处理方法的流程示意图;
图7为本发明实施例提供的一种信息处理装置的结构示意图;
图8为本发明实施例提供的另一种信息处理装置的结构示意图;
图9为本发明实施例提供的又一种信息处理装置的结构示意图;
图10为本发明实施例提供的再一种信息处理装置的结构示意图;
图11为本发明实施例提供的一种第二服务器的结构示意图;
图12为本发明实施例提供的一种客户端的结构示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明提供的所有实施例中,客户端、第一服务器和第二服务器之间的通信系统结构示意图可以如图1所示,客户端A通过第二服务器C与第一服务器B进行通信。其中,客户端A与第二服务器C之间的通信以及第二服务器C与第一服务器B之间的通信,可以基于HTTPS技术来实现,第二服务器C可以是进行数据代理的下一代防火墙(Next-GenerationFireWall,NGFW),对应的第一服务器B是给客户端提供相关服务的服务器。
本发明的实施例提供一种信息处理方法,参照图2所示,该方法包括以下步骤:
步骤101、接收客户端发送的用于建立安全套接层SSL连接的第一握手请求。
其中,第一握手请求中携带有第一服务器的服务器标识。
在本发明实施例中,步骤101“接收客户端发送的用于建立安全套接层SSL连接的第一握手请求”可以是第二服务器来实现的。客户端可以是用于为用户提供本地服务的程序,例如是可以浏览访问互联网网页的浏览器、收寄电子邮件的电子邮件应用程序、即时通讯应用程序等,对应的需要服务器来提供相应的服务器,在本发明中,为客户端提供相应服务的服务器为第一服务器。第二服务器为数据代理服务器,是实现对客户端所访问的数据进行安全监测或对数据进行审计的服务器,例如可以是防火墙,具体产品例如为深信服的AF。第一握手请求是客户端与第二服务器之间建立基于传输控制协议(TransmissionControl Protocol,TCP)连接,即HTTP连接后,客户端请求建立SSL连接时,向第二服务器发送的建立SSL连接的请求。
步骤102、接收与服务器标识对应的第一服务器发送的第一数字证书。
在本发明实施例中,步骤102“接收与服务器标识对应的第一服务器发送的第一数字证书”可以由第二服务器来实现。第一数字证书是第一服务器对应的证书授权中心(Certificate Authority,CA)为第一服务器生成的数字证书。第二服务器接收到客户端发送的第一握手请求后,可以基于第一握手请求中携带的服务器标识确定客户端需要访问的服务器为第二服务器。这样,第二服务器与第一服务器建立通信连接,包括建立TCP连接以及SSL连接,在第二服务器与第一服务器建立TCP连接后,第二服务器向第一服务器发送用于请求建立SSL连接的握手请求后,第一服务器接收到该握手请求后,第一服务器将自身的数字证书发送给第二服务器。
步骤103、基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端。
其中,第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
在本发明实施例中,步骤103“基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端”可以由第二服务器来实现。第二数字证书是基于第一数字证书生成得到的。若在历史使用过程中,已经基于第一数字证书生成过第二数字证书,则可以基于第一数字证书的相关信息直接从第二服务器的存储单元中获取第二数字证书并发送给客户端,若在历史使用过程中,未使用第一数字证书生成过第二数字证书,则可以根据第一数字证书的相关信息生成第二数字证书并发送给客户端。
本发明的实施例所提供的信息处理方法,接收客户端发送的用于建立SSL连接的第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,然后基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端。这样,第二服务器接收到客户端发送的第一握手请求后,从第一服务器中获取第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书给客户端,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种信息处理方法,参照图3所示,该方法包括以下步骤:
步骤201、确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器。
其中,第一握手请求中携带有第一服务器的服务器标识。
在本发明实施例中,步骤201“确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器”可以由客户端来实现。客户端确定需与第一服务器通信可以是通过用户对客户端进行相关操作,想通过客户端访问某一网页来查看或获得对应的数据内容来实现的。需说明的是,客户端确定需与第一服务器通信后,由于客户端是通过第二服务器与第一服务器实现通信的,所以客户端首先会与第二服务器建立TCP连接,然后为了建立SSL连接,才发送第一握手请求至第二服务器。
步骤202、接收第二服务器发送的第二数字证书。
其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。
在本发明实施例中,步骤202“接收第二服务器发送的第二数字证书”可以由客户端来实现。
步骤203、若第二数字证书与预先存储的第三数字证书匹配,建立与第二服务器的SSL连接。
其中,第三数字证书与第一服务器对应。
在本发明实施例中,步骤203“若第二数字证书与预先存储的第三数字证书匹配,建立与第二服务器的SSL连接”可以由客户端来实现。预先存储的第三数字证书可以是第一服务器的根证书,是第二服务器的开发商预先开发生成的,是客户端从第二服务器中下载得到的。客户端从第二服务器中下载时可以通过管理人员根据配置策略在客户端中配置用户常访问的网站网址,客户端根据配置策略自动从第二服务器中下载配置的网站网址对应的根证书并进行安装,或者用户可以根据客户端系统控制客户端从第二服务器中下载对应的根证书,并控制客户端进行安装,这样实现预先存储第三数字证书。
本发明的实施例所提供的信息处理方法,客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,并接收第二服务器发送的第二数字证书,若第二数字证书与预先存储的第三数字证书匹配,则客户端建立与第二服务器的SSL连接。这样,客户端发送第一握手请求至第二服务器后,接收当第二服务器发送的与第二服务器对应的第二数字证书,在第二数字证书与预先存储的与第二服务器对应的第三数字证书匹配时,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种信息处理方法,参照图4所示,该方法包括以下步骤:
步骤301、客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器。
其中,第一握手请求中携带有第一服务器的服务器标识。
在本发明实施例中,以客户端是浏览器,第一服务器是为浏览器访问的网页D所提供服务的服务器,第二服务器是AF为例进行说明,用户在客户端中输入网页D的网址,此时客户端可以确定需与为网页D提供服务的第一服务器通信,由于客户端是通过第二服务器与第一服务器通信的,所以客户端将第二服务器作为第一服务器通信,此时,客户端发送建立SSL连接的第一握手请求至第二服务器AF。其中,第一握手请求可以是“ssl clienthello”数据包。
步骤302、第二服务器接收客户端发送的用于建立安全套接层SSL连接的第一握手请求。
其中,第一握手请求中携带有第一服务器的服务器标识。
步骤303、第二服务器接收与服务器标识对应的第一服务器发送的第一数字证书。
在本发明实施例中,AF接收到用于建立SSL连接的第一握手请求后,与第一服务器建立通信连接,并发送用于请求与第一服务器建立SSL连接的第二握手请求,第一服务器接收到第二握手请求后,将第一服务器的数字证书即第一数字证书发送给AF。
步骤304、第二服务器基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端。
其中,第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
在本发明实施例中,第二数字证书是第二服务器基于第一服务器的第一数字证书进行伪造得到的。
步骤305、客户端接收第二服务器发送的第二数字证书。
其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。
步骤306、若第二数字证书与预先存储的第三数字证书匹配,客户端建立与第二服务器的SSL连接。
其中,第三数字证书与第一服务器对应。
在本发明实施例中,第三数字证书为AF开发商提供的与第一服务器对应的根证书,开发商的开发设计人员预先在AF中生成并存储根证书。第二数字证书与预先存储的第三数字证书匹配是指第二数字证书的内容与第三数字证书内容相同,例如第二证书的颁发者信息与第三数字证书的颁发者信息相同、第二证书的主体信息与第三数字证书的主体信息相同(即第二证书的持有者信息与第三数字证书的持有者信息相同)、和/或第二数字证书的有效期在第三数字证书的生效期内等。
需要说明的是,本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述,此处不再赘述。
本发明的实施例所提供的信息处理方法,客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,第二服务器接收第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,客户端接收第二服务器发送的第二数字证书,并在第二数字证书与预先存储的第三数字证书匹配时,客户端建立与第二服务器的SSL连接。这样,第二服务器接收到客户端发送的第一握手请求后,第二服务器从第一服务器中获取第一服务器的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,是客户端基于第二数字证书对第一服务器进行认证,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种信息处理方法,参照图5所示,该方法包括以下步骤:
步骤401、客户端从第二服务器中获取与第一服务器对应的第三数字证书。
在本发明实施例中,客户端从第二服务器中获取第三数字证书时,可以是根据客户端的管理员预先设置的配置策略实现的,配置策略可以是管理员预先将一些需要进行数据代理的网站网址进行存储,一旦用户浏览这些网站网址时,客户端可以自动从AF中获取AF中存储的与网站网址对应的根证书;也可以是客户端基于用户的输入操作来实现的,例如用户通过客户端访问某一个网站网址时,根据生成的提示信息选择安装该网站网址对应的根证书来实现的。
客户端在访问第一服务器对应的网页时,从AF中获取预先存储的与第一服务器对应的根证书。
步骤402、客户端存储第三数字证书。
在本发明实施例中,客户端可以将获得的根证书存储在客户端的本地存储单元中。
其中,需说明的是,步骤401-402与步骤403-412可以是客户端需与第一服务器的一次通信过程中实现的,步骤401-402也可以是在步骤403-412之前的某一次通信时实现的。例如步骤401-402与步骤403-412是客户端首次需与第一服务器的通信时实现的;还可以是步骤401-402是客户端首次需与第一服务器通信时实现的,而步骤403-412是客户端第n次需与第一服务器的通信时实现的步骤,其中,n是大于1的正整数。
步骤403、客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器。
其中,第一握手请求中携带有第一服务器的服务器标识。
步骤404、第二服务器接收客户端发送的用于建立安全套接层SSL连接的第一握手请求。
其中,第一握手请求中携带有第一服务器的服务器标识。
步骤405、第二服务器建立与服务器标识对应的第一服务器的通信连接。
在本发明实施例中,第二服务器建立与服务器标识对应的第一服务器的通信连接包括第二服务器首先与第一服务器建立TCP连接,然后发送用于请求与第一服务器建立SSL连接的第二握手请求至第一服务器。
步骤406、第二服务器接收与服务器标识对应的第一服务器发送的第一数字证书。
步骤407、第二服务器从第一数字证书中获取第一数字证书的标识信息。
在本发明实施例中,第一数字证书的标识信息可以是唯一标识该第一数字证书的信息,例如可以是第一数字证书的主体信息,即第一数字证书的持有者信息。
其中,第二服务器执行步骤407后,可以选择执行步骤408或者步骤409-410;若第二服务器中存储有与第一数字证书的标识信息对应的第二数字证书,选择执行步骤408,若第二服务器未存储有第二数字证书,选择执行步骤409-410;
步骤408、若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书,第二服务器获取第二数字证书并发送第二数字证书至客户端。
在本发明实施例中,第二服务器可以将第一数字证书的主体信息变成循环冗余(Cyclic Redundancy Check,CRC)值,然后采用哈希(Hash)查找算法从存储数字证书的存储单元中查找客户端中是否已存储有该与第一数字证书的标识信息对应的第二数字证书,其中,第二服务器存储数字证书时可以采用哈希列表的形式进行存储。
步骤409、若第二服务器未存储有第二数字证书,第二服务器基于第一数字证书生成第二数字证书。
步骤410、第二服务器基于第一数字证书的标识信息存储第二数字证书,并发送第二数字证书至客户端。
在本发明实施例中,第二服务器采用第一数字证书的标识信息为索引项,将第二数字证书存储在第二服务器的存储单元中,例如是存储在哈希列表中的。
步骤411、客户端接收第二服务器发送的第二数字证书。
其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。
步骤412、若第二数字证书与预先存储的第三数字证书匹配,客户端建立与第二服务器的SSL连接。
其中,第三数字证书与第一服务器对应。
需要说明的是,本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述,此处不再赘述。
本发明的实施例所提供的信息处理方法,客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,第二服务器接收第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,客户端接收第二服务器发送的第二数字证书,并在第二数字证书与预先存储的第三数字证书匹配时,客户端建立与第二服务器的SSL连接。这样,第二服务器接收到客户端发送的第一握手请求后,第二服务器从第一服务器中获取第一服务器的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,是客户端基于第二数字证书对第一服务器进行认证,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种信息处理方法,参照图6所示,该方法包括以下步骤:
步骤501、客户端从第二服务器中获取与第一服务器对应的第三数字证书。
步骤502、客户端存储第三数字证书。
步骤503、客户端获取第三数字证书的主体信息。
在本发明实施例中,第三数字证书的主体信息可以是用于唯一标识第三数字证书的信息,例如第三数字证书的主体信息可以是第一服务器的CA中心生成的,发送给某一客户端时在第三数字证书中记载的该客户端的相关信息,也就是说是第三数字证书的持有者信息,而对应的第一服务器信息是颁发者信息。
步骤504、客户端更新第三数字证书的主体信息至客户端的信任列表。
步骤505、客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器。
其中,第一握手请求中携带有第一服务器的服务器标识。
步骤506、第二服务器接收客户端发送的用于建立安全套接层SSL连接的第一握手请求。
其中,第一握手请求中携带有第一服务器的服务器标识。
步骤507、第二服务器建立与服务器标识对应的第一服务器的访问连接。
在本发明实施例中,第二服务器建立与服务器标识对应的第一服务器的访问连接为TCP连接。
步骤508、若建立了与第一服务器的访问连接,第二服务器发送第二握手请求至第一服务器。
其中,第二握手请求用于请求与第一服务器建立SSL连接。
步骤509、第二服务器接收与服务器标识对应的第一服务器发送的第一数字证书。
步骤510、第二服务器从第一数字证书中获取第一数字证书的标识信息。
其中,第二服务器执行步骤510后,可以选择执行步骤511或者步骤512-515;若第二服务器中存储有与第一数字证书的标识信息对应的第二数字证书选择执行步骤511,若第二服务器中未存储有第二数字证书选择执行步骤512-515;
步骤511、若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书,第二服务器获取第二数字证书并发送第二数字证书至客户端。
步骤512、若第二服务器未存储有第二数字证书,第二服务器基于第一数字证书生成证书请求文件。
在本发明实施例中,第二数字证书与第一数字证书的标识信息对应。
其中,在本发明其他实施例中,步骤512可以由以下步骤来实现:
步骤A、若第二服务器未存储有第二数字证书,第二服务器采用密钥算法生成密钥对。
其中,密钥对包括第一私钥和第一公钥。
步骤B、第二服务器基于预设的证书请求文件格式,生成第一证书请求文件模板。
在本发明实施例中,第一证书请求文件模板为证书请求文件中的相关内容没有填写的空证书请求文件。
步骤C、第二服务器获取第一数字证书中的第一特征信息,并添加第一特征信息和第一公钥至第一数字证书模板中,得到第二证书请求文件模板。
其中,第一特征信息用于表征第一数字证书的主体信息的属性信息。
在本发明实施例中,第一数字证书中的第一特征信息,即第一数字证书的主体信息的属性信息可以是第一数字证书的申请单位所在地信息,包括国家、省份和域名等信息。第二服务器将国家、省份和域名等信息填充至第一数字证书模板对应的国家、省份和域名等信息的填充位置处,并将步骤A中生成的第一公钥也填充至第一数字证书模板的公钥填充位置处,这样得到第二证书请求文件模板。
步骤D、第二服务器获取第一数字证书中的摘要算法,并基于摘要算法采用第一私钥对第二证书请求文件模板进行签名处理,得到证书请求文件。
步骤513、第二服务器获取预先存储的第三数字证书。
步骤514、第二服务器基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书。
在本发明实施例中,步骤514的具体实现过程是将第三数字证书、证书请求文件和第一数字证书终端的相关内容填充至数字证书的模板中,从而得到第二数字证书的。
其中,在本发明其他实施例中,步骤514可以由以下步骤来实现:
步骤M、第二服务器基于预设的第二数字证书格式,生成第一证书模板。
在本发明实施例中,预设的第二数字证书格式可以是指符合ITU-T X.509国际标准的通用证书格式,简称为x509。
步骤N、第二服务器获取第一数字证书中的第二特征信息、第三数字证书的主体信息和证书请求文件中的第一公钥,并添加至第一证书模板中得到第二证书模板。
其中,第二特征信息是第一数字证书的识别信息。
在本发明实施例中,第一数字证书中的第二特征信息可以是第一数字证书的版本号、证书序列号、有效时间和扩展项等信息。
步骤P、第二服务器获取第三数字证书中的第二私钥,并采用第二私钥对第二证书模板进行签名处理,得到第二数字证书。
步骤515、第二服务器基于第一数字证书的标识信息存储第二数字证书,并发送第二数字证书至客户端。
步骤516、客户端接收第二服务器发送的第二数字证书。
其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。
步骤517、客户端获取第二数字证书的主体信息。
步骤518、客户端获取第一服务器对应的第三数字证书。
步骤519、若第二数字证书的主体信息在信任列表中,且第二数字证书与第三数字证书内容匹配,客户端确定第二数字证书是客户端的受信任证书,建立与第二服务器的SSL连接。
在本发明实施例中,若第二数字证书的主体信息不在信任列表中,或者若第二数字证书的主体信息在信任列表中,但第二数字证书与第三数字证书内容不匹配,客户端均可以确定对第二数字证书不信任。第二数字证书与第三数字证书内容匹配例如可以是指第二数字证书的颁发者字段与第三数字证书的颁发者字段相同,且第二数字证书的有效期在第三数字证书的有效期内,即第二数字证书的内容与第三数字证书中的内容均匹配,才认为第二数字证书与第三数字证书匹配,否则只要有一个不匹配则认为第二数字证书与第三数字证书不匹配。
需要说明的是,本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述,此处不再赘述。
本发明的实施例所提供的信息处理方法,客户端确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,第二服务器接收第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,客户端接收第二服务器发送的第二数字证书,并在第二数字证书与预先存储的第三数字证书匹配时,客户端建立与第二服务器的SSL连接。这样,第二服务器接收到客户端发送的第一握手请求后,第二服务器从第一服务器中获取第一服务器的第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书至客户端,是客户端基于第二数字证书对第一服务器进行认证,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明实施例提供一种信息处理装置6,该信息处理装置应用于图2-6对应的实施例中,参照图7所示,该信息处理装置包括:第一接收单元61、第二接收单元62和处理单元63,其中:
第一接收单元61,用于接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,第一握手请求中携带有第一服务器的服务器标识;
第二接收单元62,用于接收与服务器标识对应的第一服务器发送的第一数字证书;
处理单元63,用于基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端;其中,第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
在本发明其他实施例中,处理单元63包括第一获取模块和第一处理模块,其中:
第一获取模块,用于从第一数字证书中获取第一数字证书的标识信息;
第一处理模块,用于若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书,获取第二数字证书并发送第二数字证书至客户端。
在本发明其他实施例中,处理单元63还包括生成模块和第二处理模块,其中:
生成模块,用于若第二服务器未存储有第二数字证书,基于第一数字证书生成第二数字证书;
第二处理模块,用于基于第一数字证书的标识信息存储第二数字证书,并发送第二数字证书至客户端。
在本发明其他实施例中,生成模块具体用于实现以下步骤:
若第二服务器未存储有第二数字证书,基于第一数字证书生成证书请求文件;
获取预先存储的第三数字证书;
基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书。
在本发明其他实施例中,生成模块具体实现“若第二服务器未存储有第二数字证书,基于第一数字证书生成证书请求文件”步骤时,还可以采用以下步骤来实现:
若第二服务器未存储有第二数字证书,采用密钥算法生成密钥对;其中,密钥对包括第一私钥和第一公钥;
基于预设的证书请求文件格式,生成第一证书请求文件模板;
获取第一数字证书中的第一特征信息,并添加第一特征信息和第一公钥至第一数字证书模板中,得到第二证书请求文件模板;其中,第一特征信息用于表征第一数字证书的主体信息的属性信息;
获取第一数字证书中的摘要算法,并基于摘要算法采用第一私钥对第二证书请求文件模板进行签名处理,得到证书请求文件。
在本发明其他实施例中,生成模块具体实现“基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书”步骤时,还可以采用以下步骤来实现:
基于预设的第二数字证书格式,生成第一证书模板;
获取第一数字证书中的第二特征信息、第三数字证书的主体信息和证书请求文件中的第一公钥,并添加至第一证书模板中得到第二证书模板;其中,第二特征信息是第一数字证书的识别信息;
获取第三数字证书中的第二私钥,并采用第二私钥对第二证书模板进行签名处理,得到第二数字证书。
在本发明其他实施例中,参照图8所示,第一接收单元61之前还包括:第二建立单元64;其中:
第二建立单元64,用于建立与服务器标识对应的第一服务器的通信连接。
在本发明其他实时例中,第二建立单元64包括:建立模块和发送模块;其中:
建立模块,用于建立与服务器标识对应的第一服务器的访问连接;
发送模块,用于若建立了与第一服务器的访问连接,发送第二握手请求至第一服务器;其中,第二握手请求用于请求与第一服务器建立SSL连接。
需说明的是,本实施例中单元或模块所实现的步骤之间的交互过程,可以参照图2-6对应的实施例及上述实施例提供的信息处理方法中的交互过程,此处不再赘述。
本发明的实施例所提供的信息处理装置,接收客户端发送的用于建立SSL连接的第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,然后基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端。这样,第二服务器接收到客户端发送的第一握手请求后,从第一服务器中获取第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书给客户端,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明实施例提供一种信息处理装置7,该信息处理装置应用于图3-6对应的实施例中,参照图9所示,该信息处理装置包括:发送单元71、第三接收单元72和第一建立单元73,其中:
发送单元71,用于确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,第一握手请求中携带有第一服务器的服务器标识;
第三接收单元72,用于接收第二服务器发送的第二数字证书;其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的;
第一建立单元73,用于若第二数字证书与预先存储的第三数字证书匹配,建立与第二服务器的SSL连接;其中,第三数字证书与第一服务器对应。
在本发明其他实施例中,参照图10所示,发送单元71之前还包括:第一获取单元74和存储单元75,其中:
第一获取单元74,用于从第二服务器中获取与第一服务器对应的第三数字证书;
存储单元75,用于存储第三数字证书。
在本发明其他实施例中,参照图10所示,存储单元75之后还包括:第二获取单元76和更新单元77;其中:
第二获取单元76,用于获取第三数字证书的主体信息;
更新单元77,用于更新第三数字证书的主体信息至客户端的信任列表。
在本发明其他实施例中,第一建立单元73包括:第二获取模块和第三处理模块;其中:
第二获取模块,用于获取第二数字证书的主体信息;
第二获取模块,还用于获取第一服务器对应的第三数字证书;
第三处理模块,用于若第二数字证书的主体信息在信任列表中,且第二数字证书与第三数字证书内容匹配,确定第二数字证书是客户端的受信任证书,建立与第二服务器的SSL连接。
需说明的是,本实施例中单元或模块所实现的步骤之间的交互过程,可以参照图3-6对应的实施例及上述实施例提供的信息处理方法中的交互过程,此处不再赘述。
本发明的实施例所提供的信息处理装置,确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,并接收第二服务器发送的第二数字证书,若第二数字证书与预先存储的第三数字证书匹配,则客户端建立与第二服务器的SSL连接。这样,客户端发送第一握手请求至第二服务器后,接收当第二服务器发送的与第二服务器对应的第二数字证书,在第二数字证书与预先存储的与第二服务器对应的第三数字证书匹配时,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种第二服务器8,该第二服务器可以应用于图2-6对应的实施例中,参照图11所示,该第二服务器可以包括:第一处理器81、第一存储器82及第一通信总线83,其中:
第一通信总线83用于实现第一处理器81和第一存储器82之间的连接通信;
第一处理器81用于执行第一存储器82中存储的信息处理程序,以实现以下步骤:
接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,第一握手请求中携带有第一服务器的服务器标识;
接收与服务器标识对应的第一服务器发送的第一数字证书;
基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端;其中,第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
在本发明其他实施例中,第一处理器81还用于执行信息处理程序,以实现以下步骤:
从第一数字证书中获取第一数字证书的标识信息;
若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书,获取第二数字证书并发送第二数字证书至客户端。
在本发明其他实施例中,第一处理器81还用于执行信息处理程序,以实现以下步骤:
若第二服务器未存储有第二数字证书,基于第一数字证书生成第二数字证书;
基于第一数字证书的标识信息存储第二数字证书,并发送第二数字证书至客户端。
在本发明其他实施例中,第一处理器81还用于执行信息处理程序,以实现以下步骤:
若第二服务器未存储有第二数字证书,基于第一数字证书生成证书请求文件;
获取预先存储的第三数字证书;
基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书。
在本发明其他实施例中,第一处理器81还用于执行信息处理程序,以实现以下步骤:
若第二服务器未存储有第二数字证书,采用密钥算法生成密钥对;其中,密钥对包括第一私钥和第一公钥;
基于预设的证书请求文件格式,生成第一证书请求文件模板;
获取第一数字证书中的第一特征信息,并添加第一特征信息和第一公钥至第一数字证书模板中,得到第二证书请求文件模板;其中,第一特征信息用于表征第一数字证书的主体信息的属性信息;
获取第一数字证书中的摘要算法,并基于摘要算法采用第一私钥对第二证书请求文件模板进行签名处理,得到证书请求文件。
在本发明其他实施例中,第一处理器81还用于执行信息处理程序,以实现以下步骤:
基于预设的第二数字证书格式,生成第一证书模板;
获取第一数字证书中的第二特征信息、第三数字证书的主体信息和证书请求文件中的第一公钥,并添加至第一证书模板中得到第二证书模板;其中,第二特征信息是第一数字证书的识别信息;
获取第三数字证书中的第二私钥,并采用第二私钥对第二证书模板进行签名处理,得到第二数字证书。
在本发明其他实施例中,接收与服务器标识对应的第一服务器发送的第一数字证书之前,第一处理器81还用于执行信息处理程序,以实现以下步骤:
建立与服务器标识对应的第一服务器的通信连接。
在本发明其他实施例中,第一处理器81还用于执行信息处理程序,以实现以下步骤:
建立与服务器标识对应的第一服务器的访问连接;
若建立了与第一服务器的访问连接,发送第二握手请求至第一服务器;其中,第二握手请求用于请求与第一服务器建立SSL连接。
需说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图2-6对应的实施例及上述实施例提供的信息处理方法中的交互过程,此处不再赘述。
本发明的实施例所提供的第二服务器,接收客户端发送的用于建立SSL连接的第一握手请求后,接收与服务器标识对应的第一服务器发送的第一数字证书,然后基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端。这样,第二服务器接收到客户端发送的第一握手请求后,从第一服务器中获取第一数字证书,并基于第一数字证书获取第二数字证书,然后发送第二数字证书给客户端,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种客户端9,该客户端可以应用于图3-6对应的实施例中,参照图12所示,该客户端可以包括:第二处理器91、第二存储器92及第二通信总线93,其中:
第二通信总线93用于实现第二处理器91和第二存储器92之间的连接通信;
第二处理器91用于执行第二存储器92中存储的信息处理程序,以实现以下步骤:
确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,第一握手请求中携带有第一服务器的服务器标识;
接收第二服务器发送的第二数字证书;其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的;
若第二数字证书与预先存储的第三数字证书匹配,建立与第二服务器的SSL连接;其中,第三数字证书与第一服务器对应。
在本发明其他实施例中,确定与第一服务器通信时,发送第一握手请求至第二服务器之前,第二处理器91还用于执行信息处理程序,以实现以下步骤:
从第二服务器中获取与第一服务器对应的第三数字证书;
存储第三数字证书。
在本发明其他实施例中,存储第三数字证书之后,第二处理器91还用于执行信息处理程序,以实现以下步骤:
获取第三数字证书的主体信息;
更新第三数字证书的主体信息至客户端的信任列表。
在本发明其他实施例中,第二处理器91还用于执行信息处理程序,以实现以下步骤:
获取第二数字证书的主体信息;
获取第一服务器对应的第三数字证书;
若第二数字证书的主体信息在信任列表中,且第二数字证书与第三数字证书内容匹配,确定第二数字证书是客户端的受信任证书,建立与第二服务器的SSL连接。
本发明的实施例所提供的客户端,确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器,并接收第二服务器发送的第二数字证书,若第二数字证书与预先存储的第三数字证书匹配,则客户端建立与第二服务器的SSL连接。这样,客户端发送第一握手请求至第二服务器后,接收当第二服务器发送的与第二服务器对应的第二数字证书,在第二数字证书与预先存储的与第二服务器对应的第三数字证书匹配时,无需管理人员对客户端进行操作,控制客户端被动获取第一服务器的数字证书,解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题,实现了防火墙与客户端基于SSL进行身份认证时无需管理人员进行相关操作,降低了操作过程的复杂度,保证了HTTPS代理过程中对数据的监测和管控,并提高了防火墙和客户端的智能化程度。
基于前述实施例,本发明的实施例提供一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个信息处理程序,一个或者多个信息处理程序可被一个或者多个处理器执行,以实现以下步骤:
接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,第一握手请求中携带有第一服务器的服务器标识;
接收与服务器标识对应的第一服务器发送的第一数字证书;
基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端;其中,第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接。
在本发明其他实施例中,基于第一数字证书获取第二数字证书,并发送第二数字证书至客户端的步骤,包括:
从第一数字证书中获取第一数字证书的标识信息;
若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书,获取第二数字证书并发送第二数字证书至客户端。
在本发明其他实施例中,还包括以下步骤:
若第二服务器未存储有第二数字证书,基于第一数字证书生成第二数字证书;
基于第一数字证书的标识信息存储第二数字证书,并发送第二数字证书至客户端。
在本发明其他实施例中,若第二服务器未存储有第二数字证书,基于第一数字证书生成第二数字证书的步骤,包括:
若第二服务器未存储有第二数字证书,基于第一数字证书生成证书请求文件;
获取预先存储的第三数字证书;
基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书。
在本发明其他实施例中,若第二服务器未存储有第二数字证书,基于第一数字证书生成证书请求文件的步骤,包括:
若第二服务器未存储有第二数字证书,采用密钥算法生成密钥对;其中,密钥对包括第一私钥和第一公钥;
基于预设的证书请求文件格式,生成第一证书请求文件模板;
获取第一数字证书中的第一特征信息,并添加第一特征信息和第一公钥至第一数字证书模板中,得到第二证书请求文件模板;其中,第一特征信息用于表征第一数字证书的主体信息的属性信息;
获取第一数字证书中的摘要算法,并基于摘要算法采用第一私钥对第二证书请求文件模板进行签名处理,得到证书请求文件。
在本发明其他实施例中,基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书的步骤,包括:
基于预设的第二数字证书格式,生成第一证书模板;
获取第一数字证书中的第二特征信息、第三数字证书的主体信息和证书请求文件中的第一公钥,并添加至第一证书模板中得到第二证书模板;其中,第二特征信息是第一数字证书的识别信息;
获取第三数字证书中的第二私钥,并采用第二私钥对第二证书模板进行签名处理,得到第二数字证书。
在本发明其他实施例中,接收与服务器标识对应的第一服务器发送的第一数字证书之前,还包括以下步骤:
建立与服务器标识对应的第一服务器的通信连接。
在本发明其他实施例中,建立与服务器标识对应的第一服务器的通信连接的步骤,包括:
建立与服务器标识对应的第一服务器的访问连接;
若建立了与第一服务器的访问连接,发送第二握手请求至第一服务器;其中,第二握手请求用于请求与第一服务器建立SSL连接。
需说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图2-6对应的实施例及上述实施例提供的信息处理方法中的交互过程,此处不再赘述。
基于前述实施例,本发明的实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个信息处理程序,一个或者多个信息处理程序可被一个或者多个处理器执行,以实现以下步骤:
确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,第一握手请求中携带有第一服务器的服务器标识;
接收第二服务器发送的第二数字证书;其中,第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的;
若第二数字证书与预先存储的第三数字证书匹配,建立与第二服务器的SSL连接;其中,第三数字证书与第一服务器对应。
在本发明其他实施例中,确定与第一服务器通信时,发送第一握手请求至第二服务器之前,还包括以下步骤:
从第二服务器中获取与第一服务器对应的第三数字证书;
存储第三数字证书。
在本发明其他实施例中,存储第三数字证书之后,还包括以下步骤:
获取第三数字证书的主体信息;
更新第三数字证书的主体信息至客户端的信任列表。
在本发明其他实施例中,若第二数字证书与预先存储的第三数字证书匹配,建立与第二服务器的SSL连接的步骤,包括:
获取第二数字证书的主体信息;
获取第一服务器对应的第三数字证书;
若第二数字证书的主体信息在信任列表中,且第二数字证书与第三数字证书内容匹配,确定第二数字证书是客户端的受信任证书,建立与第二服务器的SSL连接。
需说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图3-6对应的实施例及上述实施例提供的信息处理方法中的交互过程,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所描述的方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (14)

1.一种信息处理方法,其特征在于,所述方法包括:
接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;
接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;
基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接;
其中,所述基于所述第一数字证书获取第二数字证书,包括:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的所述第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端,包括:
从所述第一数字证书中获取所述第一数字证书的标识信息;
若所述第二服务器存储有与所述第一数字证书的标识信息对应的所述第二数字证书,获取所述第二数字证书并发送所述第二数字证书至所述客户端。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书的标识信息存储所述第二数字证书。
4.根据权利要求1所述的方法,其特征在于,所述若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件,包括:
若所述第二服务器未存储有所述第二数字证书,采用密钥算法生成密钥对;其中,所述密钥对包括第一私钥和第一公钥;
基于预设的证书请求文件格式,生成第一证书请求文件模板;
获取所述第一数字证书中的第一特征信息,并添加所述第一特征信息和所述第一公钥至所述第一数字证书模板中,得到第二证书请求文件模板;其中,所述第一特征信息用于表征所述第一数字证书的主体信息的属性信息;
获取所述第一数字证书中的摘要算法,并基于所述摘要算法采用所述第一私钥对所述第二证书请求文件模板进行签名处理,得到所述证书请求文件。
5.根据权利要求1所述的方法,其特征在于,所述基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书,包括:
基于预设的第二数字证书格式,生成第一证书模板;
获取所述第一数字证书中的第二特征信息、所述第三数字证书的主体信息和所述证书请求文件中的第一公钥,并添加至所述第一证书模板中得到第二证书模板;其中,所述第二特征信息是所述第一数字证书的识别信息;
获取所述第三数字证书中的第二私钥,并采用所述第二私钥对所述第二证书模板进行签名处理,得到所述第二数字证书。
6.一种信息处理方法,其特征在于,所述方法包括:
确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,所述第一握手请求中携带有所述第一服务器的服务器标识;
接收所述第二服务器发送的第二数字证书;其中,所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的;
所述第二服务器用于:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书;
若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接;其中,所述第三数字证书与所述第一服务器对应。
7.根据权利要求6所述的方法,其特征在于,所述确定与第一服务器通信时,发送第一握手请求至第二服务器之前,包括:
从所述第二服务器中获取与所述第一服务器对应的第三数字证书;
存储所述第三数字证书。
8.根据权利要求7所述的方法,其特征在于,所述存储所述第三数字证书之后,包括:
获取所述第三数字证书的主体信息;
更新所述第三数字证书的主体信息至客户端的信任列表。
9.根据权利要求8所述的方法,其特征在于,所述若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接,包括:
获取所述第二数字证书的主体信息;
获取所述第一服务器对应的第三数字证书;
若所述第二数字证书的主体信息在所述信任列表中,且所述第二数字证书与所述第三数字证书内容匹配,确定所述第二数字证书是所述客户端的受信任证书,建立与所述第二服务器的所述SSL连接。
10.一种信息处理装置,其特征在于,所述信息处理装置包括:第一接收单元,第二接收单元和处理单元;其中:
所述第一接收单元,用于接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;
所述第二接收单元,用于接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;
所述处理单元,用于基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接;
其中,所述处理单元,用于基于所述第一数字证书获取第二数字证书,包括:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的所述第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书。
11.一种信息处理装置,其特征在于,所述信息处理装置包括:发送单元,第三接收单元和第一建立单元;其中:
所述发送单元,用于确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,所述第一握手请求中携带有第一服务器的服务器标识;
所述第三接收单元,用于接收所述第二服务器发送的第二数字证书;其中,所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的;
所述第二服务器用于:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书;
所述第一建立单元,用于若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接;其中,所述第三数字证书与所述第一服务器对应。
12.一种第二服务器,其特征在于,所述第二服务器包括:第一处理器、第一存储器及第一通信总线;其中:
所述第一通信总线用于实现所述第一处理器和所述第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的信息处理程序,以实现以下步骤:
接收客户端发送的用于建立安全套接层SSL连接的第一握手请求;其中,所述第一握手请求中携带有第一服务器的服务器标识;
接收与所述服务器标识对应的所述第一服务器发送的第一数字证书;
基于所述第一数字证书获取第二数字证书,并发送所述第二数字证书至所述客户端;其中,所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时,建立与第二服务器的SSL连接;
其中,所述基于所述第一数字证书获取第二数字证书,包括:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的所述第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书。
13.一种客户端,其特征在于,所述客户端包括:第二处理器、第二存储器及第二通信总线;其中:
所述第二通信总线用于实现所述第二处理器和所述第二存储器之间的连接通信;
所述第二处理器用于执行所述第二存储器中存储的信息处理程序,以实现以下步骤:
确定需与第一服务器通信时,发送用于请求与第二服务器建立SSL连接的第一握手请求至第二服务器;其中,所述第一握手请求中携带有第一服务器的服务器标识;
接收所述第二服务器发送的第二数字证书;其中,所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的;
所述第二服务器用于:
若所述第二服务器未存储有所述第二数字证书,基于所述第一数字证书生成证书请求文件;
获取预先存储的第三数字证书;
基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书;
若所述第二数字证书与预先存储的第三数字证书匹配,建立与所述第二服务器的所述SSL连接;其中,所述第三数字证书与所述第一服务器对应。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现如权利要求1至5或权利要求6至9中任一项所述的信息处理方法的步骤。
CN201811191572.7A 2018-10-12 2018-10-12 一种信息处理方法、装置、设备和存储介质 Active CN109257365B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811191572.7A CN109257365B (zh) 2018-10-12 2018-10-12 一种信息处理方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811191572.7A CN109257365B (zh) 2018-10-12 2018-10-12 一种信息处理方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN109257365A CN109257365A (zh) 2019-01-22
CN109257365B true CN109257365B (zh) 2021-08-13

Family

ID=65045271

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811191572.7A Active CN109257365B (zh) 2018-10-12 2018-10-12 一种信息处理方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN109257365B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110049024B (zh) * 2019-03-29 2021-12-17 网宿科技股份有限公司 一种数据传输方法、中转服务器及接入网点服务器
CN110650015B (zh) * 2019-08-16 2022-04-05 威富通科技有限公司 证书信息的获取方法、装置、业务服务器及存储介质
CN111585976B (zh) * 2020-04-09 2021-11-23 北京理工大学 通信方法、装置、存储介质和电子设备
CN111526161A (zh) * 2020-05-27 2020-08-11 联想(北京)有限公司 一种通信方法、通信设备及代理系统
CN111970301B (zh) * 2020-08-27 2022-11-04 北京浪潮数据技术有限公司 一种容器云平台安全通信系统
CN118199965A (zh) * 2023-12-20 2024-06-14 杭州亿格云科技有限公司 针对eap-tls协议支持服务端多证书的系统和方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337977A (zh) * 2015-11-16 2016-02-17 苏州通付盾信息技术有限公司 一种动态双向认证的安全移动通讯架构及其实现方法
CN105516066A (zh) * 2014-09-26 2016-04-20 阿里巴巴集团控股有限公司 一种对中间人的存在进行辨识的方法及装置
CN107135233A (zh) * 2017-06-28 2017-09-05 百度在线网络技术(北京)有限公司 信息的安全传输方法和装置、服务器和存储介质
CN107948186A (zh) * 2017-12-13 2018-04-20 山东浪潮商用系统有限公司 一种安全认证方法及装置
CN108011888A (zh) * 2017-12-15 2018-05-08 东软集团股份有限公司 一种实现证书重构的方法、装置及存储介质、程序产品

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516066A (zh) * 2014-09-26 2016-04-20 阿里巴巴集团控股有限公司 一种对中间人的存在进行辨识的方法及装置
CN105337977A (zh) * 2015-11-16 2016-02-17 苏州通付盾信息技术有限公司 一种动态双向认证的安全移动通讯架构及其实现方法
CN107135233A (zh) * 2017-06-28 2017-09-05 百度在线网络技术(北京)有限公司 信息的安全传输方法和装置、服务器和存储介质
CN107948186A (zh) * 2017-12-13 2018-04-20 山东浪潮商用系统有限公司 一种安全认证方法及装置
CN108011888A (zh) * 2017-12-15 2018-05-08 东软集团股份有限公司 一种实现证书重构的方法、装置及存储介质、程序产品

Also Published As

Publication number Publication date
CN109257365A (zh) 2019-01-22

Similar Documents

Publication Publication Date Title
CN109257365B (zh) 一种信息处理方法、装置、设备和存储介质
US8418168B2 (en) Method and system for performing a software upgrade on an electronic device connected to a computer
US7865573B2 (en) Method, system and devices for communicating between an internet browser and an electronic device
US8260273B2 (en) Method and system for establishing a service relationship between a mobile communication device and a mobile data server for connecting to a wireless network
US8812838B2 (en) Configuring a valid duration period for a digital certificate
US11477188B2 (en) Injection of tokens or client certificates for managed application communication
CN110352605A (zh) 一种鉴权算法程序的添加方法、相关设备及系统
US8914905B2 (en) Access control system, communication terminal, server, and access control method
KR20120014180A (ko) 특권 서명을 이용한 보안 웹 브라우징 환경을 생성하기 위한 방법 및 장치
CN103069742B (zh) 用于将密钥绑定到名称空间的方法和装置
CN113190828A (zh) 一种请求代理方法、客户端设备及代理服务设备
CN113381979A (zh) 一种访问请求代理方法及代理服务器
US20220377064A1 (en) Method and system for managing a web security protocol
CA2632510C (en) A method, system and devices for communicating between an internet browser and an electronic device
EP2128760A1 (en) A method and system for performing a software upgrade on an electronic device connected to a computer
KR101637155B1 (ko) 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법
CA2632509C (en) A method and system for performing a software upgrade on an electronic device connected to a computer
EP3772697B1 (en) Cryptographically secure dynamic third party resources
EP3806517A1 (en) Loading security information with restricted access
CN113391851A (zh) 一种代理控制方法、客户端设备及代理服务设备
CN107528813B (zh) 访问私有集群的系统、方法、控制服务器和代理服务器
CN108737331B (zh) 跨域通信方法及跨域通信系统
KR101815145B1 (ko) 크로스 도메인간 인증서 공유방법
CA2632484C (en) A method and system for establishing a service relationship between a mobile communication device and a mobile data server for connecting to a wireless network
JP2012138729A (ja) データ処理装置、プログラム、およびデータ処理システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant