CN1275169C - 一种ssl中间代理用户证书的隧道传输方法 - Google Patents
一种ssl中间代理用户证书的隧道传输方法 Download PDFInfo
- Publication number
- CN1275169C CN1275169C CN 02128124 CN02128124A CN1275169C CN 1275169 C CN1275169 C CN 1275169C CN 02128124 CN02128124 CN 02128124 CN 02128124 A CN02128124 A CN 02128124A CN 1275169 C CN1275169 C CN 1275169C
- Authority
- CN
- China
- Prior art keywords
- ssl
- agent
- website
- digital certificate
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种SSL中间代理用户证书的隧道传输方法,包括在浏览器与SSL中间代理间建立的安全通道中进行身份认证,及在SSL中间代理与网站间建立的安全通道中进行身份认证的方法,特征是:还包括通过在SSL中间代理内部建立传输用户证书的通信隧道,把上网用户身份透明给网站的方法;所述的通信隧道,是SSL中间代理将获得经认证的上网用户身份信息,通过SSL中间代理数字证书,生成装载上网用户身份信息的临时数字证书,把临时数字证书链接在SSL中间代理数字证书后,在SSL中间代理的信息获得者代理处与网站进行认证的通道;其优点是:在SSL中间代理与浏览器认证时,可以把经过认证的上网用户的身份信息,通过中间的用户证书通信隧道透明给网站,从而大大提高了信息使用的安全性。
Description
技术领域
本发明涉及一种互联网安全通信的身份认证方法。
背景技术
由于国内上网软件受到美国出口限制,加密强度(即安全强度)无法达到商业用途,所以国内采用比较多的就是SSL中间代理的做法,SSL中间代理就是接收用户的是上网请求,然后通过安全强度高的安全通道在互联网上获得网络信息(即数据)。
安全套接层协议(SSL),是在互联网基础上提供的一种保证网络上传输的数据不被窃取的安全协议。它能使计算机之间的通信不被攻击者窃听,并且始终对信息的提供者(例如网站)进行真实性认证,还可选择对信息的获得者(例如上网用户)进行真实身份认证。
SSL协议对计算机之间通过安全通道传输的所有网络数据都进行加密,从而不被网络上的窃听者获得数据内容。
SSL中间代理的作用,就是给计算机之间的通信提供一个安全强度高的安全通道。SSL中间代理可以是一套独立的软件,可以与用户的上网工具(例如浏览器)或网络信息提供者(例如网站)共存在一台计算机上;如果单独安装在一台计算机上,则也可以看作一台计算机。SSL中间代理在运行过程中由于其中间代理的身份,它既是网络信息提供者的代理,也是网络信息获得者的代理。
信息获得者代理不是最终的信息获得者,而是代理最终信息获得者,从信息提供者处获得网络信息,然后作为信息提供者的代理,把这些网络信息提供给最终的信息获得者。使用SSL安全机制是,在某些网络服务中,网络信息提供者与信息获得者之间需要相互向对方证实自己真实性。而在SSL安全机制中,认证对方真实身份的手段就是验证对方的数字证书。
数字证书就是互联网通信中标志通信各方身份信息的一系列数据,提供了一种在互联网上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构又称为证书授权中心发行的,人们可以在网上用它来识别对方的身份。上网用户、SSL中间代理、网站在运作中,都需要向证书授权中心申请各自的数字证书。一般证书授权中心在颁发数字证书时会同时发一个对应密码,用来验证数字证书,称这个对应的密码为数字证书的对应私钥。
在当前的SSL中间代理的实现中,上网的用户获得网络信息提供者提供的网络信息必须经过两段认证。第一段是在SSL中间代理与浏览器间安全通道1内进行的认证,第二段是在SSL中间代理与网站间安全通道3内进行的认证。图1给出了现有浏览器、SSL中间代理、网站间的中间代理认证及信息流程图。图中安全通道1是安全强度低的安全通道,在安全网络范围内连接。在实施访问的过程中,需要首先建立该安全通道。它的建立需要一次认证:SSL中间代理在该安全通道的建立中,是作为网络信息提供者的代理被认证的。SSL中间代理自身拥有一个证书,以分别提供给浏览器和网站验证SSL中间代理的身份。首先SSL中间代理把自己的数字证书出示给浏览器进行验证,浏览器在确认后,把上网用户的数字证书出示给SSL中间代理进行验证,双方验证确认通过后建立安全通道1。图中安全通道3是安全强度高的安全通道,在互联网上连接,它的建立需要另一次认证,SSL中间代理在该安全通道的建立中,是作为网络信息获得者的代理被认证的。首先,网站把自己WEB服务器的数字证书出示给SSL中间代理进行验证,SSL中间代理在确认后把自己的数字证书出示给网站进行验证,双方验证确认通过后建立安全通道3。图中通道2是在SSL中间代理内部,仅仅起传输用户上网请求与返回网络信息的作用。从以上的流程中可以看出,在安全通道1的认证中,SSL中间代理(信息提供者代理)获知的信息获得者的真实身份是上匣用户,而在安全通道3的认证中,网站获知的信息获得者的真实身份是SSL中间代理(信息获得者代理)。这样就出现一个问题:如果有多个上网用户使用SSL中间代理获得网站信息,而网站的信息提供方式是依据上网用户的身份来确定是否提供给上网用户所请求的网络信息,那么,网站就不能通过SSL协议从网络上获得当前上网用户的真实身份,因此也不能给上网用户提供相应的网络信息,在电子商务中也就不能给客户提供相应的商业服务。
发明内容
本发明的目的在于:针对目前SSL中间代理网络传输中,网站与网络信息获得者间不能直接认证所存在的问题,本发明提供一种不需要对信息提供者(例如网站)程序及信息获得者(如浏览器)程序作任何修改,在信息提供者与信息获得者都感觉不到SSL中间代理存在情况下,把上网用户的身份信息传给信息提供者作进一步处理,从而有效地提高了通信安全的一种SSL中间代理用户证书的隧道传输方法。
本发明是通过实施下述技术方案来实现的:
一种SSL中间代理用户证书的隧道传输方法,包括在浏览器与SSL中间代理间建立的第一安全通道内进行身份认证,及在SSL中间代理与网站间建立的第二安全通道内进行身份认证,其特征在于:还包括通过在SSL中间代理内部建立传输用户证书的通信隧道,把上网用户身份透明给网站,所述传输用户证书的通信隧道,是指SSL中间代理将其从信息提供者代理处获得的经过认证的上网用户的身份信息,通过SSL中间代理的数字证书,生成装载上网用户身份信息的临时数字证书,并把此临时数字证书链接在SSL中间代理数字证书后,在SSL中间代理的信息获得者代理处与网站进行认证的通道;所述把上网用户身份透明给网站,是指通过该通信隧道,网站在验证确认SSL中间代理的数字证书及其链接的临时数字证书后,可获得临时数字证书中装载的上网用户身份信息。
本发明的优点在于:在不需要对信息提供者(如网站)程序及信息获得者(如浏览器)程序作任何修改:不需要额外配置设备;不需要修改SSL中间代理机构架的情况下,可以使上网用户的身份信息透明的传输给网站,从而大大提高了网络通信中信息使用的安全性,本方法还有与常规SSL中间代理使用兼容的突出优点。
附图说明
图1为现有SSL中间代理认证及信息流程示意图
图2为本发明用户证书隧道在SSL中间代理中的位置示意图
图3为本发明SSL中间代理用户证书隧道实现流程图。
图中标记:1为第一安全通道,2为现有技术中在SSL中间代理内部传输用户上网请求与返回网络信息的通道;3为第二安全通道,4为本发明中在SSL中间代理内部建立传输用户证书的通信隧道。在图3中,数字证书的主题域是证书主体名称,其中包含上网用户所属国家、所属省份、所属城市、所属单位、用户名,是唯一标识上网用户名称的数据集。临时数字证书与向证书授权中心申请的数字证书格式一样,但是它是由SSL中间代理在运行中临时生成的作为上网用户主题域信息载体的数字证书,并可以通过SSL中间代理的数字证书进行验证。
具体实施方式
根据上面的技术方案,下面给出一个基于WIN2000操作系统的实例。
在本例中,为了减少不必要的编程工作我们使用了开源的OpenSSL库。OpenSSL库为类似安全WEB站点这样的应用提供加密功能,并且实现了所有版本的SSL协议。
①软件设计:
由于当前许多SSL中间代理都是基于OpenSSL库来实现的,因此在本设计中使用许多OpenSSL库中的头文件及数据结构。
主要数据结构:
1)传递信息提供者代理的当前运行信息的数据结构,该数据结构包含传递信息提供者代理的当前运行信息。
2)传递存放SSL中间代理证书/私钥对位置的数据结构,该数据结构定义了两个参数,其一为SSL中间代理证书文件位置参数;其二为SSL中间代理证书私钥文件位置参数。以上两个参数主要在需要用到SSL中间代理证书/私钥时提供相应的存储位置,以便程序获取SSL中间代理证书/私钥的信息。
主要功能函数实现的功能
1)分配传递信息提供者代理的当前运行信息结构。
2)设置传递信息提供者代理的当前运行信息结构。
3)在网络通信中实际获取上网用户数字证书中的主题域信息,并生成/处理/链接临时证书。
用到的OpenSSL库中的函数功能
1)在SSL链接中传递信息数据。
2)在SSL链接中设置在网络通信中需要调用的函数。
②程序例子:
(1)获得信息提供者代理的当前运行信息过程
1)传递SSL中间代理证书/私钥
假定SSL中间代理的证书以文件的形式存放在硬盘某一路径下;
假定SSL中间代理的证书对应的私钥以文件的形式加密(用OpenSSL库中支持的算法加密)存放在同一路径下:
将SSL中间代理证书存放的路径赋值给SSL中间代理证书文件位置参数,
将SSL中间代理私钥存放的路径赋值给SSL中间代理私钥文件位置参数;
2)传递信息提供者代理的当前运行信息
假定SSL中间代理中的信息提供者代理与浏览器建立SSL连接;
假定SSL中间代理中的信息获得者代理创建准备与网站建立SSL连接:
在SSL中间代理中的信息提供者代理与浏览器建立SSL连接后,做如下处理:
初始化SSL中间代理中的信息获得者代理与网站的SSL连接;
设置SSL中间代理中的信息获得者代理与网站服务器连接时的环境参数;
设置SSL中间代理中的信息获得者代理“当前WEB服务器主机名、端口号”参数;
设置SSL中间代理中的信息获得者代理进行证书验证时的出错处理;
设置SSL中间代理中的信息获得者代理与网站连接时WEB服务器端传送来的证书环境变量;
(2)在SSL中间代理中对数字证书的处理:
在处理过程中,把处理函数指针设置到SSL中间代理中的信息获得者代理创建的准备与网站建立SSL连接的结构中,当实际建立该连接的过程中调用该处理函数。
在SSL中间代理中的信息提供者代理与浏览器建立SSL连接,且传递信息提供者代理的当前运行信息后,进行如下处理:
1)从相关处理函数中获得上网用户的数字证书中的主题域信息。
2)获得SSL中间代理的数字证书/私钥。
3)生成临时数字证书,装载上网用户的数字证书中的主题域信息。
4)把临时数字证书及对应的私钥返回到SSL连接建立过程中。
本发明适用于基于SSL的安全应用,特别适用于电子商务中的处于中间代理位置的SSL加密机。
Claims (1)
1、一种SSL中间代理用户证书的隧道传输方法,包括在浏览器与SSL中间代理间建立的第一安全通道(1)内进行身份认证,及在SSL中间代理与网站间建立的第二安全通道(3)内进行身份认证,其特征在于:还包括通过在SSL中间代理内部建立传输用户证书的通信隧道(4),把上网用户身份透明给网站,所述通信隧道(4),是指SSL中间代理将其从信息提供者代理处获得的经过认证的上网用户的身份信息,通过SSL中间代理的数字证书,生成装载上网用户身份信息的临时数字证书,并把此临时数字证书链接在SSL中间代理数字证书后,在SSL中间代理的信息获得者代理处与网站进行认证的通道;所述把上网用户身份透明给网站,是指通过该通信隧道(4),网站在验证确认SSL中间代理的数字证书及其链接的临时数字证书后,可获得临时数字证书中装载的上网用户身份信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02128124 CN1275169C (zh) | 2002-12-30 | 2002-12-30 | 一种ssl中间代理用户证书的隧道传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02128124 CN1275169C (zh) | 2002-12-30 | 2002-12-30 | 一种ssl中间代理用户证书的隧道传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1512378A CN1512378A (zh) | 2004-07-14 |
CN1275169C true CN1275169C (zh) | 2006-09-13 |
Family
ID=34231234
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02128124 Expired - Fee Related CN1275169C (zh) | 2002-12-30 | 2002-12-30 | 一种ssl中间代理用户证书的隧道传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1275169C (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188074B (zh) * | 2011-12-28 | 2016-08-10 | 上海格尔软件股份有限公司 | 一种增强浏览器ssl算法强度的代理方法 |
WO2016112580A1 (zh) * | 2015-01-14 | 2016-07-21 | 华为技术有限公司 | 业务处理方法及装置 |
EP3257221B1 (en) * | 2015-02-13 | 2022-03-09 | Yoti Holding Limited | Digital identity |
US10397006B2 (en) * | 2017-02-13 | 2019-08-27 | Amazon Technologies, Inc. | Network security with surrogate digital certificates |
CN109150844B (zh) * | 2018-07-26 | 2021-07-27 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
CN111800402B (zh) * | 2020-06-28 | 2022-08-09 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
-
2002
- 2002-12-30 CN CN 02128124 patent/CN1275169C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN1512378A (zh) | 2004-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1212716C (zh) | 因特网上不同应用系统间用户认证信息共享的方法 | |
CN1252598C (zh) | 提供身份相关的信息和防止中间人的攻击的方法和系统 | |
CN1302407C (zh) | 设备验证系统 | |
CN1308870C (zh) | 单次注册用户访问多个环球网服务器的方法和系统 | |
CN1631001A (zh) | 利用批量设备的身份凭证创建安全网络的系统和方法 | |
US20100138907A1 (en) | Method and system for generating digital certificates and certificate signing requests | |
US20070245152A1 (en) | Biometric authentication system for enhancing network security | |
CN100347986C (zh) | 一种身份认证的方法和系统 | |
CN1756155A (zh) | 用于网络访问的移动认证 | |
CN1756148A (zh) | 用于网络访问的移动认证 | |
CN1815482A (zh) | 获取凭证的方法和验证凭证的方法 | |
CN1881879A (zh) | 用于验证用户的公钥框架和方法 | |
JP2008511232A (ja) | 制御認証のためのパーソナルトークンおよび方法 | |
CN1805341A (zh) | 跨安全域的网络认证和密钥分配方法 | |
CN1274105C (zh) | 基于数字证书实现的动态口令认证方法 | |
CN1547343A (zh) | 一种基于数字证书的单点登录方法 | |
CN1787513A (zh) | 安全远程访问系统和方法 | |
CN1960255A (zh) | 分布式多级安全访问控制方法 | |
CN1855810A (zh) | 动态密码认证系统、方法及其用途 | |
CN1731723A (zh) | 电子/手机令牌动态口令认证系统 | |
CN101064717A (zh) | 信息系统或设备的安全防护系统及其工作方法 | |
RU2004105509A (ru) | Регистрация/субрегистрация сервера управления цифровыми правами (уцп) в архитектуре уцп | |
MX2008015958A (es) | Estructura de verificacion de credencial biometrica. | |
CN1420659A (zh) | 通过网络认证和验证用户和计算机的方法和设备 | |
CN1855814A (zh) | 一种安全的统一身份认证方案 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060913 Termination date: 20191230 |
|
CF01 | Termination of patent right due to non-payment of annual fee |