CN113438256A - 一种基于双层ssl的数据传输方法、系统和代理服务器 - Google Patents
一种基于双层ssl的数据传输方法、系统和代理服务器 Download PDFInfo
- Publication number
- CN113438256A CN113438256A CN202110987080.4A CN202110987080A CN113438256A CN 113438256 A CN113438256 A CN 113438256A CN 202110987080 A CN202110987080 A CN 202110987080A CN 113438256 A CN113438256 A CN 113438256A
- Authority
- CN
- China
- Prior art keywords
- client
- ssl connection
- certificate
- layer ssl
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于双层SSL的数据传输方法、系统和代理服务器,涉及计算机技术领域。该方法的一具体实施方式应用于代理服务器,包括:通过与客户端之间预先建立的第一层SSL连接,确定客户端访问的目标服务器的标识;根据目标服务器的标识,向目标服务器发送证书获取请求;在获取到目标服务器的第一证书的情况下,使用存储于自身的第二证书,对第一证书进行签名;响应于客户端基于第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接;基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。该实施方式不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且保证了客户端的数据安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于双层SSL的数据传输方法、系统和代理服务器。
背景技术
SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议”,是一种基于WEB应用的安全协议,用于在Web服务器和Web客户端之间建立经过身份验证和加密通信。但是,目前的Web服务器和Web客户端之间只有一层SSL连接,而一层SSL连接下传输的通信数据很容易被破解,这就导致Web服务器与Web客户端之间的通信数据在传输过程中不够安全。
发明内容
有鉴于此,本发明实施例提供一种基于双层SSL的数据传输方法、系统和代理服务器,能够在代理服务器与客户端之间建立双层SSL连接,并且使代理服务器基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且代理服务器还可以进一步对客户端发出或接收的数据进行检查,进一步保证客户端的数据安全。
为实现上述目的,根据本发明实施例的一个方面,提供了一种基于双层SSL的数据传输方法。
本发明实施例的一种基于双层SSL的数据传输方法,应用于代理服务器,包括:
通过与客户端之间预先建立的第一层SSL连接,确定客户端访问的目标服务器的标识;
根据目标服务器的标识,向目标服务器发送证书获取请求;
在获取到目标服务器的第一证书的情况下,使用存储于自身的第二证书,对第一证书进行签名;
响应于客户端基于第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接;
基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。
可选地,
代理服务器上还存储有第三证书;
基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,包括:
通过第三证书以及签名后的第一证书,对基于第一层SSL连接以及第二层SSL连接与客户端传输的数据进行解密。
可选地,
该方法还包括:
确定与客户端传输的数据中是否包括异常数据;
在确定出与客户端传输的数据中包括异常数据的情况下,拒绝将异常数据发送至目标服务器或客户端。
可选地,
该方法进一步包括:将第三证书发送给客户端,与客户端建立第一层SSL连接;
确定客户端访问的目标服务器的标识,包括:
基于第一层SSL连接,接收客户端发来的Connect通信请求,并解析Connect通信请求中包括的目标服务器的标识。
可选地,
在获取到第一证书之后,还包括:
根据第一证书,响应Connect通信请求,以使客户端根据Connect通信请求的响应,通过第一层SSL连接发送目标SSL连接请求。
可选地,
将存储于自身的第三证书发送给客户端,与客户端建立第一层SSL连接;
通过第一层SSL连接,接收客户端发来的目标SSL连接请求。
为实现上述目的,根据本发明实施例的又一方面,提供了一种代理服务器。
本发明实施例的一种代理服务器包括标识确定模块、证书请求模块、签名模块、连接建立模块以及数据传输模块;其中:
标识确定模块,用于通过与客户端之间预先建立的第一层SSL连接,确定客户端访问的目标服务器的标识;
证书请求模块,用于根据目标服务器的标识,向目标服务器发送证书获取请求;
签名模块,用于在获取到目标服务器的第一证书的情况下,使用存储于自身的第二证书,对第一证书进行签名;
连接建立模块,用于响应于客户端基于第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接;
数据传输模块,用于基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。
为实现上述目的,根据本发明实施例的又一方面,提供了一种基于双层SSL的数据传输系统。
本发明实施例的一种基于双层SSL的数据传输系统包括客户端以及上述实施例中的代理服务器;其中:
客户端,用于:基于与代理服务器之间建立的第一层SSL连接以及第二层SSL连接,与代理服务器传输数据。
为实现上述目的,根据本发明实施例的又一方面,提供了一种基于双层SSL的数据传输电子设备。
本发明实施例的一种基于双层SSL的数据传输电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本发明实施例的一种基于双层SSL的数据传输方法。
为实现上述目的,根据本发明实施例的再一方面,提供了一种计算机可读存储介质。
本发明实施例的一种计算机可读存储介质,其上存储有计算机程序,程序被处理器执行时实现本发明实施例的一种基于双层SSL的数据传输方法。
上述发明中的一个实施例具有如下优点或有益效果:能够在代理服务器与客户端之间建立双层SSL连接,并且使代理服务器基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且代理服务器还可以进一步对客户端发出或接收的数据进行检查,进一步保证客户端的数据安全。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的一种基于双层SSL的数据传输方法的主要步骤的示意图;
图2是一种代理服务器与客户端建立第一层SSL连接的过程示意图;
图3是另一种代理服务器与客户端建立第一层SSL连接的过程示意图;
图4是客户端、代理服务器以及目标服务器之间通信连接关系的示意图;
图5是根据本发明实施例的一种应用于代理服务器的基于双层SSL的数据传输方法的主要步骤的示意图;
图6是根据本发明实施例的一种代理服务器的主要模块的示意图;
图7是根据本发明实施例的一种基于双层SSL的数据传输系统的示意图;
图8是本发明实施例可以应用于其中的示例性系统架构图;
图9是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要指出的是,在不冲突的情况下,本发明的实施例以及实施例中的技术特征可以相互结合。
图1是根据本发明实施例的一种基于双层SSL的数据传输方法的主要步骤的示意图。
如图1所示,本发明实施例的一种基于双层SSL的数据传输方法,应用于代理服务器,主要包括以下步骤:
步骤S101:通过与客户端之间预先建立的第一层SSL连接,确定客户端访问的目标服务器的标识。
在本发明实施例中,代理服务器可以是正向代理服务器,也可以是透明代理服务器。代理服务器上存储有第二证书和第三证书,在本发明一个优选的实施例中,第二证书为CA证书,用于对目标服务器的第一证书进行再次签发,以与客户端建立第二层SSL连接;第三证书为服务器证书,用于与客户端建立第一层SSL连接。
其中,利用第二证书与客户端建立第二层SSL连接的过程将在后文中进行详细说明;而利用第三证书与客户端建立第一层SSL连接的方式为:将第三证书发送给客户端,与客户端建立第一层SSL连接。
具体地,当代理服务器为正向代理服务器时,客户端配置有代理服务器的地址;此时,代理服务器与客户端建立第一层SSL连接的过程如图2所示,主要包括以下步骤:
步骤S201:代理服务器接收到客户端发来的第一SSL连接请求,其中,第一SSL连接请求的报头信息中指示接收端为代理服务器;
步骤S202:代理服务器响应于第一SSL连接请求,将存储于自身的第三证书发送给客户端,与客户端建立第一层SSL连接。
而当代理服务器为透明代理服务器时,客户端并不知道代理服务器的存在;此时,代理服务器与客户端建立第一层SSL连接的过程如图3所示,主要包括以下步骤:
步骤S301:代理服务器监听客户端是否发出第二SSL连接请求,其中,第二SSL连接请求的报头信息中指示接收端为目标服务器;
步骤S302:在监听到客户端发出第二SSL连接请求的情况下,通过中间人攻击的方式,捕获第二SSL连接请求;
步骤S303:代理服务器响应于第二SSL连接请求,将存储于自身的第三证书发送给客户端,与客户端建立第一层SSL连接。
在本发明实施例中,在客户端接收到第三证书后,即完成代理服务器与客户端之间第一层SSL连接的建立过程。客户端就可以基于第一层SSL连接,向代理服务器发送Connect通信请求,其中,Connect通信请求中包括客户端要访问的目标服务器的标识。而对于代理服务器来说,就可以基于第一层SSL连接,接收并解析客户端发来的Connect通信请求,即可确定出客户端要访问的目标服务器的标识。
步骤S102:根据目标服务器的标识,向目标服务器发送证书获取请求。
在本发明实施例中,代理服务器可以根据目标服务器的标识,先与目标服务器建立TCP连接,进而基于TCP连接向目标服务器发送证书获取请求,以获取目标服务器的第一证书。
在本发明一个优选的实施例中,证书获取请求可以是第三SSL连接请求,其中,第三SSL连接请求的发起端为代理服务器,且其接收端为目标服务器。此时,代理服务器可以不仅可以获取到目标服务器的第一证书,还与目标服务器之间建立了一层SSL连接,进一步增加了与目标服务器之间传输数据的安全性。
步骤S103:在获取到目标服务器的第一证书的情况下,使用存储于自身的第二证书,对第一证书进行签名。
在本发明实施例中,在获取到第一证书之后,代理服务器还需要根据第一证书,响应Connect通信请求,以使客户端根据Connect通信请求的响应,通过第一层SSL连接发送目标SSL连接请求。具体地,代理服务器在获取到第一证书之后,可以向客户端发送状态码200,以响应Connect通信请求,并使客户端通过第一层SSL连接发来目标SSL连接请求。
在本发明实施例中,代理服务器所接收到的Connect通信请求已被基于第一层SSL连接而加密。
在本发明实施例中,证书获取请求可以是代理服务器通过TCP连接发送的目标SSL连接请求,以使代理服务器与目标服务器建立一层SSL连接、并使代理服务器基于这一层SSL连接获取目标服务器的第一证书。此时客户端、代理服务器以及目标服务器之间的通信连接关系如图4所示。
步骤S104:响应于客户端基于第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接。
在本发明实施例中,目标SSL连接请求已被基于第一层SSL连接而加密。
在本发明实施例中,代理服务器可以基于第一层SSL连接,将签名后的第一证书发送至客户端,以响应目标SSL连接请求、并与客户端建立第二层SSL连接。
步骤S105:基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。
在本发明实施例中,在代理服务器根据签名后的第一证书,与客户端建立第二层SSL连接之后,代理服务器与客户端之间即存在双层SSL连接。此时代理服务器即可以通过与客户端建立的双层SSL连接,与客户端传输数据,以实现基于双层SSL连接的通信过程。此时,代理服务器基于双层SSL连接与客户端传输的数据已被经过两层加密,从而提高了通信过程的安全性。
在本发明实施例中,代理服务器可以通过第三证书以及签名后的第一证书,对基于第一层SSL连接以及第二层SSL连接与客户端传输的数据进行解密。具体地,代理服务器可以通过第三证书对基于第一层SSL连接传输的数据进行解密,通过签名后的第一证书对基于第二层SSL连接传输的数据进行解密。
代理服务器与客户端之间通过双层SSL连接传输数据不仅使得二者之间的通信更加安全,而且在本发明实施例中,代理服务器对基于第一层SSL连接以及第二层SSL连接与客户端传输的数据进行解密之后,还可以进一步确定与客户端传输的数据中是否包括异常数据;在确定出与客户端传输的数据中包括异常数据的情况下,代理服务器可以拒绝将异常数据发送至目标服务器或客户端。
具体地,代理服务器在基于第一层SSL连接以及第二层SSL连接,向客户端转发来自目标服务器的数据时,可以确定来自目标服务器的数据中是否包括异常数据(例如包含病毒的数据),如果是,则拒绝将异常数据发送至客户端。此举可以防止客户端被恶意攻击、进一步保护客户端的数据安全。
而代理服务器在基于第一层SSL连接以及第二层SSL连接,向目标服务器转发来自客户端的数据时,可以确定来自客户端的数据中是否包括异常数据(例如包含机密信息的数据),如果是,则拒绝将异常数据发送至目标服务器。此举可以防止客户端的数据泄露、进一步保护客户端的数据安全。
下面以一个较为完整的实施例对本方案提出的一种基于双层SSL的数据传输方法进行详细说明。
如图5所示,一种应用于代理服务器的基于双层SSL的数据传输方法主要包括以下步骤:
步骤S501:接收到客户端发来的第一SSL连接请求,并将存储于自身的第三证书发送给客户端,以响应第一SSL连接请求、并与客户端建立第一层SSL连接;
步骤S502:基于第一层SSL连接,接收客户端发来的Connect通信请求,并解析Connect通信请求中包括的目标服务器的标识;
步骤S503:根据目标服务器的标识,向目标服务器发送证书获取请求;
步骤S504:在获取到目标服务器的第一证书的情况下,根据第一证书,响应Connect通信请求,以使客户端根据Connect通信请求的响应,通过第一层SSL连接发送目标SSL连接请求;
步骤S505:使用存储于自身的第二证书,对第一证书进行签名;
步骤S506:响应于目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接;
步骤S507:基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。
根据本发明实施例的一种基于双层SSL的数据传输方法可以看出,该方法应用于代理服务器,能够在代理服务器与客户端之间建立双层SSL连接,并且使代理服务器基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且代理服务器还可以进一步对客户端发出或接收的数据进行检查,进一步保证客户端的数据安全。
图6是根据本发明实施例的一种代理服务器的主要模块的示意图。
如图6所示,本发明实施例的一种代理服务器600包括标识确定模块601、证书请求模块602、签名模块603、连接建立模块604以及数据传输模块605;其中:
标识确定模块601,用于通过与客户端之间预先建立的第一层SSL连接,确定客户端访问的目标服务器的标识;
证书请求模块602,用于根据目标服务器的标识,向目标服务器发送证书获取请求;
签名模块603,用于在获取到目标服务器的第一证书的情况下,使用存储于自身的第二证书,对第一证书进行签名;
连接建立模块604,用于响应于客户端基于第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接;
数据传输模块605,用于基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。
在本发明实施例中,代理服务器600上还存储有第三证书;数据传输模块605进一步用于:通过第三证书以及签名后的第一证书,对基于第一层SSL连接以及第二层SSL连接与客户端传输的数据进行解密。
在本发明实施例中,数据传输模块605进一步用于:确定与客户端传输的数据中是否包括异常数据;在确定出与客户端传输的数据中包括异常数据的情况下,拒绝将异常数据发送至目标服务器或客户端。
在本发明实施例中,标识确定模块601进一步用于:将第三证书发送给客户端,与客户端建立第一层SSL连接;基于第一层SSL连接,接收客户端发来的Connect通信请求,并解析Connect通信请求中包括的目标服务器的标识。
在本发明实施例中,在获取到第一证书之后,标识确定模块601进一步用于:根据第一证书,响应Connect通信请求,以使客户端根据Connect通信请求的响应,通过第一层SSL连接发送目标SSL连接请求。
在本发明实施例中,标识确定模块601进一步用于:将存储于自身的第三证书发送给客户端,与客户端建立第一层SSL连接;通过第一层SSL连接,接收客户端发来的目标SSL连接请求。
根据本发明实施例的一种代理服务器可以看出,代理服务器能够在客户端之间建立双层SSL连接,并且使自身基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且代理服务器还可以进一步对客户端发出或接收的数据进行检查,进一步保证客户端的数据安全。
图7是根据本发明实施例的一种基于双层SSL的数据传输系统的示意图。
如图7所示,本发明实施例的一种基于双层SSL的数据传输系统700包括客户端701以及上述任一实施例中的代理服务器600;其中:
客户端701,用于:基于与代理服务器之间建立的第一层SSL连接以及第二层SSL连接,与代理服务器传输数据。
在本发明实施例中,在代理服务器600根据签名后的第一证书,与客户端701建立第二层SSL连接之后,代理服务器600与客户端701之间即存在双层SSL连接。此时代理服务器600与客户端701之间传输的数据会有两层加密,代理服务器600和/或客户端701在接收到被两层加密的数据后,可以通过第三证书以及签名后的第一证书,对基于第一层SSL连接以及第二层SSL连接传输的数据进行解密。
具体地,代理服务器600和/或客户端701可以通过第三证书对基于第一层SSL连接传输的数据进行解密,通过签名后的第一证书对基于第二层SSL连接传输的数据进行解密。
在本发明实施例中,客户端701进一步用于:基于第一层SSL连接,向代理服务器600发送Connect通信请求,其中,Connect通信请求包括目标服务器的标识。
在本发明实施例中,客户端701进一步用于:在接收到Connect通信请求的响应的情况下,通过第一层SSL连接向代理服务器600发送目标SSL连接请求。
根据本发明实施例的一种基于双层SSL的数据传输系统可以看出,该系统能够在代理服务器与客户端之间建立双层SSL连接,并且使代理服务器基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且代理服务器还可以进一步对客户端发出或接收的数据进行检查,进一步保证客户端的数据安全。
图8示出了可以应用本发明实施例的一种基于双层SSL的数据传输方法或一种代理服务器的示例性系统架构800。
如图8所示,系统架构800可以包括终端设备801、802、803,网络804和电子设备805。网络804用以在终端设备801、802、803和电子设备805之间提供通信链路的介质。网络804可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备801、802、803通过网络804与电子设备805交互,以接收或发送消息等。终端设备801、802、803上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备801、802、803可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
电子设备805可以是提供各种服务的服务器,例如对用户利用终端设备801、802、803所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息)反馈给终端设备。
需要说明的是,本发明实施例所提供的一种基于双层SSL的数据传输方法一般由电子设备805执行。
应该理解,图8中的终端设备、网络和电子设备的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和电子设备。
下面参考图9,其示出了适于用来实现本发明实施例的终端设备的计算机系统900的结构示意图。图9示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图9所示,计算机系统900包括中央处理单元(CPU)901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中,还存储有系统900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
以下部件连接至I/O接口905:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被中央处理单元(CPU)901执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括标识确定模块、证书请求模块、签名模块、连接建立模块以及数据传输模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,证书请求模块还可以被描述为“用于根据目标服务器的标识,向目标服务器发送证书获取请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:通过与客户端之间预先建立的第一层SSL连接,确定客户端访问的目标服务器的标识;根据目标服务器的标识,向目标服务器发送证书获取请求;在获取到目标服务器的第一证书的情况下,使用存储于自身的第二证书,对第一证书进行签名;响应于客户端基于第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与客户端建立第二层SSL连接;基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据。
根据本发明实施例的技术方案,能够在代理服务器与客户端之间建立双层SSL连接,并且使代理服务器基于与客户端之间建立的第一层SSL连接以及第二层SSL连接,与客户端传输数据,不仅提高了代理服务器与客户端之间数据传输过程的安全性,而且代理服务器还可以进一步对客户端发出或接收的数据进行检查,进一步保证客户端的数据安全。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种基于双层SSL的数据传输方法,其特征在于,应用于代理服务器,包括:
通过与客户端之间预先建立的第一层SSL连接,确定所述客户端访问的目标服务器的标识;
根据所述目标服务器的标识,向所述目标服务器发送证书获取请求;
在获取到所述目标服务器的第一证书的情况下,使用存储于自身的第二证书,对所述第一证书进行签名;
响应于所述客户端基于所述第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与所述客户端建立第二层SSL连接;
基于与所述客户端之间建立的所述第一层SSL连接以及所述第二层SSL连接,与所述客户端传输数据。
2.根据权利要求1所述的方法,其特征在于,所述代理服务器上还存储有第三证书;
所述基于与所述客户端之间建立的所述第一层SSL连接以及所述第二层SSL连接,与所述客户端传输数据,包括:
通过所述第三证书以及所述签名后的第一证书,对基于所述第一层SSL连接以及所述第二层SSL连接与所述客户端传输的数据进行解密。
3.根据权利要求2所述的方法,其特征在于,还包括:
确定与所述客户端传输的数据中是否包括异常数据;
在确定出与所述客户端传输的数据中包括异常数据的情况下,拒绝将所述异常数据发送至所述目标服务器或所述客户端。
4.根据权利要求2所述的方法,其特征在于,
进一步包括:将所述第三证书发送给所述客户端,与所述客户端建立所述第一层SSL连接;
所述确定所述客户端访问的目标服务器的标识,包括:
基于所述第一层SSL连接,接收所述客户端发来的Connect通信请求,并解析所述Connect通信请求中包括的所述目标服务器的标识。
5.根据权利要求4所述的方法,其特征在于,在获取到所述第一证书之后,还包括:
根据所述第一证书,响应所述Connect通信请求,以使所述客户端根据所述Connect通信请求的响应,通过所述第一层SSL连接发送所述目标SSL连接请求。
6.根据权利要求1所述的方法,其特征在于,
将存储于自身的第三证书发送给所述客户端,与所述客户端建立所述第一层SSL连接;
通过所述第一层SSL连接,接收所述客户端发来的所述目标SSL连接请求。
7.一种代理服务器,其特征在于,包括标识确定模块、证书请求模块、签名模块、连接建立模块以及数据传输模块;其中:
所述标识确定模块,用于通过与客户端之间预先建立的第一层SSL连接,确定所述客户端访问的目标服务器的标识;
所述证书请求模块,用于根据所述目标服务器的标识,向所述目标服务器发送证书获取请求;
所述签名模块,用于在获取到所述目标服务器的第一证书的情况下,使用存储于自身的第二证书,对所述第一证书进行签名;
所述连接建立模块,用于响应于所述客户端基于所述第一层SSL连接发来的目标SSL连接请求,根据签名后的第一证书,与所述客户端建立第二层SSL连接;
所述数据传输模块,用于基于与所述客户端之间建立的所述第一层SSL连接以及所述第二层SSL连接,与所述客户端传输数据。
8.一种基于双层SSL的数据传输系统,其特征在于,包括客户端以及权利要求7中的代理服务器;其中:
所述客户端,用于:基于与所述代理服务器之间建立的所述第一层SSL连接以及所述第二层SSL连接,与所述代理服务器传输数据。
9.一种基于双层SSL的数据传输电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110987080.4A CN113438256B (zh) | 2021-08-26 | 2021-08-26 | 一种基于双层ssl的数据传输方法、系统和代理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110987080.4A CN113438256B (zh) | 2021-08-26 | 2021-08-26 | 一种基于双层ssl的数据传输方法、系统和代理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113438256A true CN113438256A (zh) | 2021-09-24 |
| CN113438256B CN113438256B (zh) | 2022-02-25 |
Family
ID=77798040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110987080.4A Active CN113438256B (zh) | 2021-08-26 | 2021-08-26 | 一种基于双层ssl的数据传输方法、系统和代理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113438256B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314274A (zh) * | 2022-08-01 | 2022-11-08 | 北京天空卫士网络安全技术有限公司 | 一种访问服务端的方法和装置 |
| CN116846682A (zh) * | 2023-08-29 | 2023-10-03 | 山东海量信息技术研究院 | 通信信道建立方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6732269B1 (en) * | 1999-10-01 | 2004-05-04 | International Business Machines Corporation | Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy |
| WO2005060202A1 (en) * | 2003-12-10 | 2005-06-30 | International Business Machines Corporation | Method and system for analysing and filtering https traffic in corporate networks |
| US20140101441A1 (en) * | 2009-12-23 | 2014-04-10 | Citrix Systems, Inc. | Systems and methods for flash crowd control and batching ocsp requests via online certificate status protocol |
| CN103763356A (zh) * | 2014-01-08 | 2014-04-30 | 深圳大学 | 一种安全套接层连接的建立方法、装置及系统 |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| CN109495503A (zh) * | 2018-12-20 | 2019-03-19 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
-
2021
- 2021-08-26 CN CN202110987080.4A patent/CN113438256B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6732269B1 (en) * | 1999-10-01 | 2004-05-04 | International Business Machines Corporation | Methods, systems and computer program products for enhanced security identity utilizing an SSL proxy |
| WO2005060202A1 (en) * | 2003-12-10 | 2005-06-30 | International Business Machines Corporation | Method and system for analysing and filtering https traffic in corporate networks |
| US20140101441A1 (en) * | 2009-12-23 | 2014-04-10 | Citrix Systems, Inc. | Systems and methods for flash crowd control and batching ocsp requests via online certificate status protocol |
| CN103763356A (zh) * | 2014-01-08 | 2014-04-30 | 深圳大学 | 一种安全套接层连接的建立方法、装置及系统 |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| CN109495503A (zh) * | 2018-12-20 | 2019-03-19 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
Non-Patent Citations (2)
| Title |
|---|
| 刘建勋等: "在电子商务中实现双层SSL安全通信", 《计算机应用研究》 * |
| 季海港: "基于SSLv3协议的双层代理系统的设计", 《太原理工大学学报》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314274A (zh) * | 2022-08-01 | 2022-11-08 | 北京天空卫士网络安全技术有限公司 | 一种访问服务端的方法和装置 |
| CN116846682A (zh) * | 2023-08-29 | 2023-10-03 | 山东海量信息技术研究院 | 通信信道建立方法、装置、设备及介质 |
| CN116846682B (zh) * | 2023-08-29 | 2024-01-23 | 山东海量信息技术研究院 | 通信信道建立方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113438256B (zh) | 2022-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113438256B (zh) | 一种基于双层ssl的数据传输方法、系统和代理服务器 | |
| CN113364795B (zh) | 一种数据传输方法和代理服务器 | |
| CN113382062B (zh) | 一种数据传输方法、装置和系统 | |
| CN114049122A (zh) | 一种业务处理方法和系统 | |
| CN112866385A (zh) | 接口调用方法、装置、电子设备和存储介质 | |
| CN114979295A (zh) | 一种网关管理的方法和装置 | |
| CN113328877B (zh) | 一种端口协议的确定方法和装置 | |
| CN114048498A (zh) | 数据共享方法、装置、设备及介质 | |
| CN111787048B (zh) | 一种终端设备的连接方法、调度服务器及物联网系统 | |
| CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
| CN113542324A (zh) | 一种消息推送方法和装置 | |
| CN113343155B (zh) | 一种请求处理方法及装置 | |
| CN112788600B (zh) | 蓝牙设备间实现认证以及安全连接的方法和装置 | |
| CN113676482B (zh) | 数据传输系统和方法与基于双层ssl的数据传输系统和方法 | |
| CN111984613B (zh) | 一种共享文件的方法、装置和系统 | |
| CN114238928A (zh) | 一种远程服务器管理的方法和装置 | |
| CN114417318A (zh) | 第三方页面的跳转方法、装置和电子设备 | |
| CN114039723A (zh) | 一种共享密钥的生成方法、装置、电子设备及存储介质 | |
| CN111866100A (zh) | 一种控制数据传输速率的方法、装置和系统 | |
| CN111988319B (zh) | 访问控制方法及装置 | |
| CN113419878B (zh) | 一种数据操作方法和装置 | |
| CN111783044B (zh) | 一种共享登录态的方法和装置 | |
| CN118138255A (zh) | 一种跨域登录态处理方法和装置 | |
| CN113691545B (zh) | 路由的控制方法、装置、电子设备及计算机可读介质 | |
| CN113315833B (zh) | 一种文件传输模式处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |