CN114143082B - 一种加密通信方法、系统及装置 - Google Patents

一种加密通信方法、系统及装置 Download PDF

Info

Publication number
CN114143082B
CN114143082B CN202111443091.2A CN202111443091A CN114143082B CN 114143082 B CN114143082 B CN 114143082B CN 202111443091 A CN202111443091 A CN 202111443091A CN 114143082 B CN114143082 B CN 114143082B
Authority
CN
China
Prior art keywords
network
encryption
digital certificate
key
access terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111443091.2A
Other languages
English (en)
Other versions
CN114143082A (zh
Inventor
范菁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111443091.2A priority Critical patent/CN114143082B/zh
Publication of CN114143082A publication Critical patent/CN114143082A/zh
Application granted granted Critical
Publication of CN114143082B publication Critical patent/CN114143082B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种加密通信方法、系统及装置,包括:接收网络访问端发送的第一加密请求;根据第一加密请求向网络访问端需要访问的网络服务端发送第二加密请求,使网络服务端动态生成第一密钥;与网络服务端之间建立第一加密通道;获取网络服务的第一数字证书,并根据第一数字证书、预设的新证书模板以及预存的新私钥生成第二数字证书以及第二密钥;将第二数字证书发送至网络访问端,与网络访问端之间建立第二加密通道;通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密,通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密,不依赖于预先采集的网络服务证书集合,适用性好,有利于提升通信效率。

Description

一种加密通信方法、系统及装置
技术领域
本申请涉及通信技术领域,具体而言,涉及一种加密通信方法、系统及装置。
背景技术
线上沟通、线上交易的方式逐渐普及至生活中,同时也给黑客攻击提供新的选择,为了保护自身数据安全,越来越多的网络服务抛弃明文传输的HTTP协议,选择加密传输的HTTPS协议。现有的加密通信方法中,通常先从配置文件夹中读取证书集,在网络访问端发起加密请求时,从证书集中查找证书,找到对应网络服务端证书和私钥,根据证书和私钥生成密钥,与网络访问端建立加密通道,网络访问端在加密通道建立后,向网络安全代理端发送加密消息。然而,在实现中发现,现有技术依赖于预先采集的网络服务证书集合,无法处理访问不在集合中的网络服务端加密请求。可见,现有方法依赖于预先采集的网络服务证书集合,适用性差,从而影响通信效率。
发明内容
本申请实施例的目的在于提供一种加密通信方法、系统及装置,不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
本申请实施例第一方面提供了一种加密通信方法,应用于网络安全代理端,包括:
接收网络访问端发送的第一加密请求;
根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求,以使所述网络服务端根据所述第二加密请求动态生成第一密钥;
与所述网络服务端之间建立第一加密通道;
获取所述网络服务的第一数字证书,并根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;
将所述第二数字证书发送至所述网络访问端,并与所述网络访问端之间建立第二加密通道;
通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密,以及通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密。
在上述实现过程中,接收网络访问端发送的第一加密请求;并根据第一加密请求向网络访问端需要访问的网络服务端发送第二加密请求,以使网络服务端根据第二加密请求动态生成第一密钥;然后与网络服务端之间建立第一加密通道;并获取网络服务的第一数字证书,并根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;再将第二数字证书发送至网络访问端,并与网络访问端之间建立第二加密通道;最后通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密,以及通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密,不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
进一步地,所述根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求,包括:
对所述第一加密请求进行解析,得到网络服务端的通信地址信息;
根据所述通信地址信息确定需要访问的网络服务端;
向所述网络服务端发送第二加密请求。
进一步地,所述根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,包括:
对所述第一数字证书进行解析,得到校验信息和网络服务信息;
根据所述校验信息校验所述第一数字证书是否正确;
如果正确,则根据所述网络服务信息和预设的新证书模板,生成第二数字证书;
根据所述第二数字证书和预存的新私钥生成第二密钥。
进一步地,所述通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密,包括:
接收所述网络访问端发送的第一加密信息;
通过所述第二密钥对所述第一加密信息进行解密处理,得到第一解密信息;
当所述第一解密信息通过安全审查后,通过所述第一密钥对所述第一解密信息进行加密处理,得到第二加密信息,并将所述第二加密信息发送至所述网络服务端。
进一步地,所述通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密,包括:
接收网络服务端根据所述第二加密信息发送的第三加密信息;
通过所述第一密钥对所述第三加密信息进行解密处理,得到第二解密信息;
当所述第二解密信息通过安全审查后,通过所述第二密钥对所述第二解密信息进行加密处理,得到第四加密信息,并将所述第四加密信息发送至所述网络访问端。
进一步地,所述与所述网络访问端之间建立第二加密通道,包括:
当所述网络访问端对所述第二数字证书校验无误时,与所述网络访问端之间建立第二加密通道。
本申请实施例第二方面提供了一种加密通信系统,所述加密通信系统包括网络安全代理端、网络访问端以及网络服务端,其中,
所述网络访问端,用于发送第一加密请求至所述网络安全代理端;
所述网络安全代理端,用于根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求;
所述网络服务端,用于根据所述第二加密请求动态生成第一密钥,并与所述网络安全代理端之间建立第一加密通道;
所述网络安全代理端,还用于获取所述网络服务的第一数字证书;并根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,并将所述第二数字证书发送至所述网络访问端;
所述网络访问端,还用于当所述第二数字证书校验无误时,与所述网络访问端之间建立第二加密通道;并通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密;
所述网络安全代理端,用于通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密;以及通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密;
所述网络服务端,还用于所述通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密。
在上述实现过程中,网络访问端发送第一加密请求至网络安全代理端;网络安全代理端根据第一加密请求向网络访问端需要访问的网络服务端发送第二加密请求;网络服务端根据第二加密请求动态生成第一密钥,并与网络安全代理端之间建立第一加密通道;网络安全代理端,还用于获取网络服务的第一数字证书;并根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,并将第二数字证书发送至网络访问端;网络访问端,还用于当第二数字证书校验无误时,与网络访问端之间建立第二加密通道;并通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密;网络安全代理端通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密;以及通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密;网络服务端,还用于通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密,该系统不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
本申请实施例第三方面提供了一种加密通信装置,应用于网络安全代理端,所述加密通信装置包括:
接收单元,用于接收网络访问端发送的第一加密请求;
发送单元,用于根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求,以使所述网络服务端根据所述第二加密请求动态生成第一密钥;
建立单元,用于与所述网络服务端之间建立第一加密通道;
获取单元,用于获取所述网络服务的第一数字证书;
生成单元,用于根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;
所述发送单元,还用于将所述第二数字证书发送至所述网络访问端;
所述建立单元,还用于与所述网络访问端之间建立第二加密通道;
第一加解密单元,用于通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密;
第二加解密单元,用于通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密。
在上述实现过程中,接收单元接收网络访问端发送的第一加密请求;发送单元根据第一加密请求向网络访问端需要访问的网络服务端发送第二加密请求,以使网络服务端根据第二加密请求动态生成第一密钥;建立单元与网络服务端之间建立第一加密通道;获取单元获取网络服务的第一数字证书;生成单元根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;发送单元将第二数字证书发送至网络访问端;建立单元与网络访问端之间建立第二加密通道;第一加解密单元通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密;第二加解密单元通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密,不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
本申请实施例第四方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的加密通信方法。
本申请实施例第五方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的加密通信方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种加密通信方法的流程示意图;
图2为本申请实施例提供的一种加密通信系统的系统构架图;
图3为本申请实施例提供的一种加密通信装置的结构示意图;
图4是本申请实施例提供的一种网络安全代理端与网络访问端、网络服务端建立加密通道的流程示意图;
图5是本申请实施例提供的一种网络安全代理端实现对HTTPS协议消息的安全审查、消息双向转发的流程示意图。
图标:210-网络安全代理端;220-网络访问端;230-网络服务端。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种加密通信方法的流程示意图。其中,该加密通信方法应用于网络安全代理端,包括:
S101、接收网络访问端发送的第一加密请求。
本申请实施例中,该方法可应用于网络数据防泄漏系统的HTTPS透明代理和正向代理模式中。
S102、对第一加密请求进行解析,得到网络服务端的通信地址信息。
S103、根据通信地址信息确定需要访问的网络服务端。
在步骤S103之后,还包括以下步骤:
S104、向网络服务端发送第二加密请求,以使网络服务端根据第二加密请求动态生成第一密钥。
本申请实施例中,实施上述步骤S102~步骤S104,能够根据第一加密请求向网络访问端需要访问的网络服务端发送第二加密请求,以使网络服务端根据第二加密请求动态生成第一密钥。
S105、与网络服务端之间建立第一加密通道。
本申请实施例中,该方法为HTTPS证书动态签发方法,能够根据网络访问端发起的第一加密请求,动态获取网络服务端的HTTPS证书,生成新证书(即成第二数字证书),用新证书与网络访问端建立第一加密通道。
在步骤S105之后,还包括以下步骤:
S106、获取网络服务的第一数字证书,并根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥。
本申请实施例中,网络访问端预先安装网络安全代理端的根证书,然后网络安全代理端代理模式启动,初始化新私钥及新证书模板;再接受网络访问端发起的加密请求,解析出网络服务端地址。接着向网络服务端发起加密请求,动态生成密钥,建立加密通道,获取第一数字证书(即HTTPS证书)。
作为一种可选的实施方式,根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,包括:
对第一数字证书进行解析,得到校验信息和网络服务信息;
根据校验信息校验第一数字证书是否正确;
如果正确,则根据网络服务信息和预设的新证书模板,生成第二数字证书;
根据第二数字证书和预存的新私钥生成第二密钥。
在上述实施方式中,从第一数字证书(即HTTPS证书)中解析出校验信息和网络服务信息。网络安全代理端通过校验信息和网络服务信息对HTTPS证书进行校验,确认该HTTPS证书是正确的。
在上述实施方式中,网络安全代理端在根据校验信息确认HTTPS证书无误后,从HTTPS证书中解析出网络服务信息,利用网络服务信息,结合新证书模板,生成第二数字证书。
在上述实施方式中,网络安全代理端使用第二数字证书和预存的新私钥生成第二密钥,从而可以与网络访问端建立第二加密通道。
S107、将第二数字证书发送至网络访问端,并与网络访问端之间建立第二加密通道。
作为一种可选的实施方式,与网络访问端之间建立第二加密通道,包括:
当网络访问端对第二数字证书校验无误时,与网络访问端之间建立第二加密通道。
在上述实施方式中,网络安全代理端可以预先向网络访问端提供一个根证书,网络访问端可以通过这个根证书来校验第二数字证书是否无误,确认与网络安全代理端建立的加密通道安全可信。第二数字证书的密钥由网络安全代理端设置,可以方便地对加密信息进行解密,无需获取网络服务端密钥。
在步骤S107之后,还包括以下步骤:
S108、接收网络访问端发送的第一加密信息。
S109、通过第二密钥对第一加密信息进行解密处理,得到第一解密信息。
S110、当第一解密信息通过安全审查后,通过第一密钥对第一解密信息进行加密处理,得到第二加密信息,并将第二加密信息发送至网络服务端。
本申请实施例中,实施上述步骤S108~步骤S113,能够通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密。
本申请实施例中,第一加密信息为网络安全代理端与网络访问端之间的第一交互数据。
S111、接收网络服务端根据第二加密信息发送的第三加密信息。
S112、通过第一密钥对第三加密信息进行解密处理,得到第二解密信息。
在步骤S112之后,还包括以下步骤:
S113、当第二解密信息通过安全审查后,通过第二密钥对第二解密信息进行加密处理,得到第四加密信息,并将第四加密信息发送至网络访问端。
本申请实施例中,实施上述步骤S108~步骤S113,能够通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密。
本申请实施例中,第三加密信息为网络安全代理端与网络服务端之间的第二交互数据。
本申请实施例中,网络安全代理端用第二密钥对与网络访问端之间的交互数据进行加解密,用第一密钥对与网络服务端之间的交互数据进行加解密,进行安全审查及数据转发。
本申请实施例中,该方法具体应用于基于HTTPS的通信场景中。其中,HTTPS有三个钥匙:一个公钥,在证书中,与网络服务端建立连接时就可以从网络服务端获取,一个私钥,由网络服务端自己拥有,一个秘钥,是网络访问端与网络服务端在建立的加密通道中沟通生成的钥匙,用于后续双方发送消息的加解密。要破解秘钥,就必须要拥有私钥。公钥与私钥是一对的。用公钥加密的消息,只能用私钥解密,用私钥加密的消息,只能用公钥解密。网络服务端发出的消息是用私钥加密的,网络访问端可以用公钥解密。网络访问端发出的消息是用公钥加密的,只能用网络服务端的私钥解密。公钥可自由获取,包含在证书中,网络访问端会校验证书的准确性。在https协议中,网络访问端和网络服务端在建立加密通道时双方商定生成秘钥,但建立加密通道时的消息也是加密的。网络服务端提供证书,自有私钥,证书中包含一个公钥和确认网络服务端可信的一段文字,证书在建立加密通道时由网络服务端提供,网络访问端验证后,可以用证书中的公钥对网络服务端发出的加密消息进行解密,用证书对发给网络服务端的消息进行加密。只有网络服务端的私钥能够对网络访问端发给网络服务端的加密消息进行解密。我们要想对网络访问端发的完整的加密消息进行解密,现有技术就只能获取网络服务端的证书和私钥,证书用于跟网络访问端建立加密通道,私钥用于对网络访问端发过来的加密消息进行解密,这样才能破解出秘钥,才能对后续消息解密。
本申请实施例中,HTTPS(全称:Hyper Text Transfer Protocol overSecureSocket Layer),是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
本申请实施例中,该方法基于网络数据防泄漏系统,能够在代理模式下HTTPS证书动态签发,从而实现HTTPS协议代理,对HTTPS协议消息进行安全审查。
本申请实施例中,该方法支持解析HTTPS协议,实现对HTTPS协议的交互内容的安全审查;另一方面,能够动态签发HTTPS证书,无需预置网络服务端的私钥,降低产品维护成本;同时,没有修改HTTPS的加密标准及加密流程,支持对所有公共网络服务资源的HTTPS协议内容的安全审查,适配性强。
可见,实施本实施例所描述的加密通信方法,不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
实施例2
请参看图2,图2为本申请实施例提供的另一种加密通信系统的流程示意图。如图2所示,其中,该加密通信系统包括网络安全代理端210、网络访问端220以及网络服务端230。
网络访问端220,用于发送第一加密请求至网络安全代理端210;
网络安全代理端210,用于根据第一加密请求向网络访问端220需要访问的网络服务端230发送第二加密请求;
网络服务端230,用于根据第二加密请求动态生成第一密钥,并与网络安全代理端210之间建立第一加密通道;
网络安全代理端210,还用于获取网络服务的第一数字证书;并根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,并将第二数字证书发送至网络访问端220;
网络访问端220,还用于当第二数字证书校验无误时,与网络访问端220之间建立第二加密通道;并通过第二密钥对网络安全代理端210与网络访问端220之间的第一交互数据进行加解密;
网络安全代理端210,用于通过第二密钥对网络安全代理端210与网络访问端220之间的第一交互数据进行加解密;以及通过第一密钥对网络安全代理端210与网络服务端230之间的第二交互数据进行加解密;
网络服务端230,还用于通过第一密钥对网络安全代理端210与网络服务端230之间的第二交互数据进行加解密。
请一并参阅图4和图5,图4是本申请实施例提供的一种网络安全代理端210与网络访问端220、网络服务端230建立加密通道的流程示意图,图5是本申请实施例提供的一种网络安全代理端210实现对HTTPS协议消息的安全审查、消息双向转发的流程示意图。如图4和图5所示,网络安全代理端210在与网络服务端230建立第一加密通道时获取网络服务端230的第一数字证书,然后网络安全代理端210再分解第一数字证书,把证书中的公钥和确认网络服务端230可信的文字替换为预设内容,生成第二数字证书。网络安全代理端210预先向网络访问端220提供一个根证书,用于网络访问端220校验网络安全代理端210生成的新证书的正确性。然后,网络安全代理端210再将第二数字证书发给网络访问端220,在网络访问端220校验新证书无误后,网络安全代理端210与网络访问端220建立第二加密通道。这样,网络访问端220用来加密消息的公钥就是网络安全代理端210自己的公钥,网络安全代理端210有自己的私钥,就能对网络访问端220发送的加密消息进行解密,知道商定的秘钥。网络安全代理端210跟网络服务端230建立的第一加密通道,能用网络服务端230证书里的公钥对收到的消息解密,网络安全代理端210发的消息不用解密,所以也能知道商定的秘钥。从而实现了https代理的协议内容破解。
本申请针对HTTPS协议不可破译的特点,提出一种HTTPS证书动态签发的实现方法,实现对HTTPS协议的交互内容的安全审查,所涉及的技术关键点如下:
(1)预先向网络访问端220提供网络安全代理端210的根证书,用于网络访问端220校验网络安全代理端210是否可信,确保网络访问端220与网络安全代理端210之间的HTTPS连接的安全性。
(2)根据网络访问端220的请求连接网络服务端230,动态生成新HTTPS证书,使用新证书与网络访问端220建立HTTPS加密通道,实现HTTPS代理及HTTP协议交互内容的安全审查,无需网络服务端230信息。
(3)支持对所有公共网络服务资源HTTPS服务的代理和内容安全审查。
本申请实施例中,按照本申请实施例详细描述中的方法,具体的流程如下:
第一步、网络安全代理端210向网络访问端220提供网络安全代理端210的根证书,网络访问端220安装根证书。
第二步、网络安全代理端210系统启动,初始化检测引擎,加载新证书模板和新私钥,开始监听HTTPS服务端口。
第三步、网络安全代理端210监听到网络访问端220的HTTPS连接建立申请,与网络访问端220之间建立HTTPS连接,记为连接1,等待网络访问端220发送第一加密请求。
第四步、向网络服务端230发起HTTPS连接建立申请,建立HTTPS连接,记为连接2。
第五步、与网络服务端230建立加密通道,记为通道2,协商生成密钥,记为密钥2,获取网络服务的HTTPS证书。
第六步、使用新证书和新私钥与网络访问端220建立加密通道,记为通道1,协商生成新密钥,记为密钥1。
第七步、对来自网络访问端220、网络服务端230的加密消息解密,对消息内容进行安全审计,审查结果无违规,则将消息转发到另一方,如有违规,按安全策略处理。
其中,在第三步中,可以包括以下步骤:
(1)在等待超时时间内没有收到网络访问端220的加密请求,则断开连接1,结束本次代理。
(2)接收网络访问端220发送的加密请求,对加密请求进行解析,获取网络服务端230的地址信息,包括:
(2.1)解析网络服务端230地址失败,断开连接1,结束本次代理。
(2.2)解析网络服务端230地址成功,转第四步。
其中,在第四步中,可以包括以下步骤:
(1)在等待超时时间内容没有收到网络服务端230的连接建立响应,断开连接1,结束本次代理。
(2)收到网络服务端230的连接建立响应,发送加密请求,转第五步。
其中,在第五步中,可以包括以下步骤:
(1)如果通道2建立失败,密钥2生成失败,依次断开连接2、连接1,结束本次代理。
(2)如果HTTPS证书获取失败,依次断开连接2、连接1,结束本次代理。
(3)获取HTTPS证书成功,提取HTTPS证书内容,使用新证书模板生成新证书,转第六步。
其中,在第六步中,可以包括以下步骤:
(1)如果通道1建立失败,密钥1生成失败,依次断开连接2、连接1,结束本次代理。
(2)通道1建立成,密钥1生成成功。转第七步。
在第七步中,可以包括以下步骤:
(1)监听通道1,等待来自网络访问端220的加密消息,如果网络访问端220发送的加密消息内容是关闭连接,依次关闭通道2、通道1,断开连接2、连接1,结束本次代理。
(2)如果网络访问端220发送的加密消息内容是应用请求,用密钥1对加密消息进行解密,获得应用请求,将应用请求送到检测引擎,进行安全审查,具体的,包括以下步骤:
(2.1)如果安全审查结果违规,根据安全策略禁止消息发送或修改消息内容。
(2.2)如果安全审查结果正常,用密钥2将应用请求重新加密后,通过通道2发送给网络服务端230。
(3)监听通道2,等待网络服务端230回复的加密消息,用密钥2对加密消息进行解密,获得应用响应,将应用响应送到检测引擎,进行安全审查,具体地,包括以下步骤:
(3.1)如果安全审查结果违规,根据安全策略禁止消息发送或修改消息内容。
(3.2)如果安全审查结果正常,用密钥1将应用响应重新加密后,通过通道1发送给网络访问端220,发送完成后,转到第七步中的第(1)步骤。
本申请实施例中,对于加密通信系统的解释说明可以参照实施例1的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的加密通信系统,不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
实施例3
请参看图3,图3为本申请实施例提供的一种加密通信装置的结构示意图。如图3所示,该加密通信装置应用于网络安全代理端,包括:
接收单元310,用于接收网络访问端发送的第一加密请求;
发送单元320,用于根据第一加密请求向网络访问端需要访问的网络服务端发送第二加密请求,以使网络服务端根据第二加密请求动态生成第一密钥;
建立单元330,用于与网络服务端之间建立第一加密通道;
获取单元340,用于获取网络服务的第一数字证书;
生成单元350,用于根据第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;
发送单元320,还用于将第二数字证书发送至网络访问端;
建立单元330,还用于与网络访问端之间建立第二加密通道;
第一加解密单元360,用于通过第二密钥对网络安全代理端与网络访问端之间的第一交互数据进行加解密;
第二加解密单元370,用于通过第一密钥对网络安全代理端与网络服务端之间的第二交互数据进行加解密。
作为一种可选的实施方式,发送单元320包括:
第一子单元321,用于对第一加密请求进行解析,得到网络服务端的通信地址信息;
第二子单元322,用于根据通信地址信息确定需要访问的网络服务端;以及向网络服务端发送第二加密请求,以使网络服务端根据第二加密请求动态生成第一密钥。
作为一种可选的实施方式,生成单元350包括:
第三子单元351,用于对第一数字证书进行解析,得到校验信息和网络服务信息;以及根据校验信息校验第一数字证书是否正确;
第四子单元352,用于当第一数字证书正确时,则根据网络服务信息和预设的新证书模板,生成第二数字证书;并根据第二数字证书和预存的新私钥生成第二密钥。
作为一种可选的实施方式,第一加解密单元360包括:
第五子单元361,用于接收网络访问端发送的第一加密信息;以及通过第二密钥对第一加密信息进行解密处理,得到第一解密信息;
第六子单元362,用于当第一解密信息通过安全审查后,通过第一密钥对第一解密信息进行加密处理,得到第二加密信息,并将第二加密信息发送至网络服务端。
作为一种可选的实施方式,第二加解密单元370包括:
第七子单元371,用于接收网络服务端根据第二加密信息发送的第三加密信息;以及通过第一密钥对第三加密信息进行解密处理,得到第二解密信息;
第八子单元372,用于当第二解密信息通过安全审查后,通过第二密钥对第二解密信息进行加密处理,得到第四加密信息,并将第四加密信息发送至网络访问端。
作为一种可选的实施方式,建立单元330,具体用于当网络访问端对第二数字证书校验无误时,与网络访问端之间建立第二加密通道。
本申请实施例中,对于加密通信装置的解释说明可以参照实施例1的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的加密通信装置,不依赖于预先采集的网络服务证书集合,适用性好,从而有利于提升通信效率。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的加密通信方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的加密通信方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (9)

1.一种加密通信方法,其特征在于,应用于网络安全代理端,包括:
接收网络访问端发送的第一加密请求;
根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求,以使所述网络服务端根据所述第二加密请求动态生成第一密钥;
与所述网络服务端之间建立第一加密通道;
获取所述网络服务的第一数字证书,并根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;
将所述第二数字证书发送至所述网络访问端,并与所述网络访问端之间建立第二加密通道;
通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密,以及通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密;
其中,所述根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,包括:
对所述第一数字证书进行解析,得到校验信息和网络服务信息;
根据所述校验信息校验所述第一数字证书是否正确;
如果正确,则根据所述网络服务信息和预设的新证书模板,生成第二数字证书;
根据所述第二数字证书和预存的新私钥生成第二密钥。
2.根据权利要求1所述的加密通信方法,其特征在于,所述根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求,包括:
对所述第一加密请求进行解析,得到网络服务端的通信地址信息;
根据所述通信地址信息确定需要访问的网络服务端;
向所述网络服务端发送第二加密请求。
3.根据权利要求1所述的加密通信方法,其特征在于,所述通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密,包括:
接收所述网络访问端发送的第一加密信息;
通过所述第二密钥对所述第一加密信息进行解密处理,得到第一解密信息;
当所述第一解密信息通过安全审查后,通过所述第一密钥对所述第一解密信息进行加密处理,得到第二加密信息,并将所述第二加密信息发送至所述网络服务端。
4.根据权利要求3所述的加密通信方法,其特征在于,所述通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密,包括:
接收网络服务端根据所述第二加密信息发送的第三加密信息;
通过所述第一密钥对所述第三加密信息进行解密处理,得到第二解密信息;
当所述第二解密信息通过安全审查后,通过所述第二密钥对所述第二解密信息进行加密处理,得到第四加密信息,并将所述第四加密信息发送至所述网络访问端。
5.根据权利要求1所述的加密通信方法,其特征在于,所述与所述网络访问端之间建立第二加密通道,包括:
当所述网络访问端对所述第二数字证书校验无误时,与所述网络访问端之间建立第二加密通道。
6.一种加密通信系统,其特征在于,所述加密通信系统包括网络安全代理端、网络访问端以及网络服务端,其中,
所述网络访问端,用于发送第一加密请求至所述网络安全代理端;
所述网络安全代理端,用于根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求;
所述网络服务端,用于根据所述第二加密请求动态生成第一密钥,并与所述网络安全代理端之间建立第一加密通道;
所述网络安全代理端,还用于获取所述网络服务的第一数字证书;并根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥,并将所述第二数字证书发送至所述网络访问端;
所述网络访问端,还用于当所述第二数字证书校验无误时,与所述网络访问端之间建立第二加密通道;并通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密;
所述网络安全代理端,用于通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密;以及通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密;
所述网络服务端,还用于所述通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密;
其中,所述网络安全代理端,具体用于对所述第一数字证书进行解析,得到校验信息和网络服务信息;根据所述校验信息校验所述第一数字证书是否正确;如果正确,则根据所述网络服务信息和预设的新证书模板,生成第二数字证书;根据所述第二数字证书和预存的新私钥生成第二密钥。
7.一种加密通信装置,其特征在于,应用于网络安全代理端,所述加密通信装置包括:
接收单元,用于接收网络访问端发送的第一加密请求;
发送单元,用于根据所述第一加密请求向所述网络访问端需要访问的网络服务端发送第二加密请求,以使所述网络服务端根据所述第二加密请求动态生成第一密钥;
建立单元,用于与所述网络服务端之间建立第一加密通道;
获取单元,用于获取所述网络服务的第一数字证书;
生成单元,用于根据所述第一数字证书、预设的新证书模板以及预存的新私钥,生成第二数字证书以及第二密钥;
所述发送单元,还用于将所述第二数字证书发送至所述网络访问端;
所述建立单元,还用于与所述网络访问端之间建立第二加密通道;
第一加解密单元,用于通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进行加解密;
第二加解密单元,用于通过所述第一密钥对所述网络安全代理端与所述网络服务端之间的第二交互数据进行加解密;
其中,所述生成单元包括:
第三子单元,用于对第一数字证书进行解析,得到校验信息和网络服务信息;以及根据校验信息校验第一数字证书是否正确;
第四子单元,用于当第一数字证书正确时,则根据网络服务信息和预设的新证书模板,生成第二数字证书;并根据第二数字证书和预存的新私钥生成第二密钥。
8.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的加密通信方法。
9.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至5任一项所述的加密通信方法。
CN202111443091.2A 2021-11-30 2021-11-30 一种加密通信方法、系统及装置 Active CN114143082B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111443091.2A CN114143082B (zh) 2021-11-30 2021-11-30 一种加密通信方法、系统及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111443091.2A CN114143082B (zh) 2021-11-30 2021-11-30 一种加密通信方法、系统及装置

Publications (2)

Publication Number Publication Date
CN114143082A CN114143082A (zh) 2022-03-04
CN114143082B true CN114143082B (zh) 2023-10-13

Family

ID=80390060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111443091.2A Active CN114143082B (zh) 2021-11-30 2021-11-30 一种加密通信方法、系统及装置

Country Status (1)

Country Link
CN (1) CN114143082B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114900374B (zh) * 2022-07-13 2022-10-14 深圳市乙辰科技股份有限公司 一种智能化异地的网络资源互通部署方法、系统及云平台
CN114928503B (zh) * 2022-07-21 2022-11-15 北京安盟信息技术股份有限公司 一种安全通道的实现方法及数据传输方法
CN117614751B (zh) * 2024-01-24 2024-04-02 上海银基信息安全技术股份有限公司 内网访问方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580189A (zh) * 2014-12-30 2015-04-29 北京奇虎科技有限公司 一种安全通信系统
CN106330454A (zh) * 2016-08-16 2017-01-11 优云合(北京)科技有限公司 一种数字证书的生成方法及验证方法
CN106452746A (zh) * 2016-09-28 2017-02-22 天津工业大学 一种具有安全威胁监测能力的生物密钥智能密码钥匙
CN108494793A (zh) * 2018-04-11 2018-09-04 北京指掌易科技有限公司 网络访问方法、装置及系统
CN111490879A (zh) * 2020-04-13 2020-08-04 山东确信信息产业股份有限公司 一种基于生物特征的数字证书生成方法及系统
CN111526161A (zh) * 2020-05-27 2020-08-11 联想(北京)有限公司 一种通信方法、通信设备及代理系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016112580A1 (zh) * 2015-01-14 2016-07-21 华为技术有限公司 业务处理方法及装置
US11283790B2 (en) * 2019-06-19 2022-03-22 Ip Technology Labs, Llc Agentless identity-based network switching

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580189A (zh) * 2014-12-30 2015-04-29 北京奇虎科技有限公司 一种安全通信系统
WO2016107318A1 (zh) * 2014-12-30 2016-07-07 北京奇虎科技有限公司 一种安全通信系统
CN106330454A (zh) * 2016-08-16 2017-01-11 优云合(北京)科技有限公司 一种数字证书的生成方法及验证方法
CN106452746A (zh) * 2016-09-28 2017-02-22 天津工业大学 一种具有安全威胁监测能力的生物密钥智能密码钥匙
CN108494793A (zh) * 2018-04-11 2018-09-04 北京指掌易科技有限公司 网络访问方法、装置及系统
CN111490879A (zh) * 2020-04-13 2020-08-04 山东确信信息产业股份有限公司 一种基于生物特征的数字证书生成方法及系统
CN111526161A (zh) * 2020-05-27 2020-08-11 联想(北京)有限公司 一种通信方法、通信设备及代理系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HTTPS与HTTP2协议;电脑编程技巧与维护(06);全文 *
分布式数据库安全代理的研究与实现;李敏;;现代电子技术(15);全文 *

Also Published As

Publication number Publication date
CN114143082A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
EP3661120B1 (en) Method and apparatus for security authentication
US10554420B2 (en) Wireless connections to a wireless access point
CN114143082B (zh) 一种加密通信方法、系统及装置
CN110190955B (zh) 基于安全套接层协议认证的信息处理方法及装置
Barker et al. Recommendation for key management part 3: Application-specific key management guidance
US20110154036A1 (en) Method For Implementing Encryption And Transmission of Information and System Thereof
CN109302369B (zh) 一种基于密钥验证的数据传输方法及装置
CN105024819A (zh) 一种基于移动终端的多因子认证方法及系统
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
CN104412273A (zh) 用于进行激活的方法和系统
US7660987B2 (en) Method of establishing a secure e-mail transmission link
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
CN113204760B (zh) 用于软件密码模块的安全通道建立方法及系统
CN112564906A (zh) 一种基于区块链的数据安全交互方法及系统
CN113225352A (zh) 一种数据传输方法、装置、电子设备及存储介质
Kwon et al. (In-) security of cookies in HTTPS: Cookie theft by removing cookie flags
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
Barker et al. Sp 800-57. recommendation for key management, part 1: General (revised)
CN114169013B (zh) 一种用户注册、验证方法和验证系统
CN114390027B (zh) 一种网络通信方法、装置、设备及介质
CN108768958B (zh) 基于第三方不泄露被验信息的数据完整性和来源的验证方法
KR100406525B1 (ko) 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치및 그 방법과 그를 이용한 인증서 발급 시스템
CN113660089B (zh) 一种基于区块链的纳税用户身份认证方法及装置
CN108833452B (zh) 一种用于前后端分离数据加密的方法
CN114584393B (zh) 一种自动选择加密协议的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant