RU2422893C2 - Способ, система и устройство для шифрованного доступа по https - Google Patents

Способ, система и устройство для шифрованного доступа по https Download PDF

Info

Publication number
RU2422893C2
RU2422893C2 RU2008145038/08A RU2008145038A RU2422893C2 RU 2422893 C2 RU2422893 C2 RU 2422893C2 RU 2008145038/08 A RU2008145038/08 A RU 2008145038/08A RU 2008145038 A RU2008145038 A RU 2008145038A RU 2422893 C2 RU2422893 C2 RU 2422893C2
Authority
RU
Russia
Prior art keywords
https
ssl
encrypted
packet
proxy device
Prior art date
Application number
RU2008145038/08A
Other languages
English (en)
Other versions
RU2008145038A (ru
Inventor
Чжаньбин ЧЖАН (CN)
Чжаньбин ЧЖАН
Мяо ХУН (CN)
Мяо ХУН
Хуэйбинь ЯНЬ (CN)
Хуэйбинь ЯНЬ
Хун СУНЬ (CN)
Хун СУНЬ
Original Assignee
Чэнду Хуавэй Симантек Текнолоджиз Ко., Лтд
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Чэнду Хуавэй Симантек Текнолоджиз Ко., Лтд filed Critical Чэнду Хуавэй Симантек Текнолоджиз Ко., Лтд
Publication of RU2008145038A publication Critical patent/RU2008145038A/ru
Application granted granted Critical
Publication of RU2422893C2 publication Critical patent/RU2422893C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

Изобретение относится к области технологии сетевых коммуникаций и, в частности, к способу шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), системе и устройству для его осуществления. Техническим результатом является осуществление безопасного доступа с использование алгоритма шифрования через браузер приложений в специфических областях техники. Система шифрованного доступа содержит прокси устройство и, по меньшей мере, один клиентский терминал. Между клиентским терминалом и HTTPS прокси устройством устанавливают шифрованный канал SSL и универсальный шифрованный канал SSL. Клиентский терминал выполнен с возможностью осуществлять закольцовывание HTTPS пакета, передаваемого от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL, и передавать закольцованный HTTPS пакет к HTTPS прокси устройству через шифрованный канал SSL. HTTPS прокси устройство выполнено с возможностью принимать пакет, передаваемый от клиентского терминала через шифрованный канал уровня защищенных сокетов (SSL), дешифровать пакет шифрованным SSL, осуществлять закольцовывание HTTPS пакета, полученного после дешифрования, и дешифровать закольцованный HTTPS пакет универсальным шифрованным SSL. 5 н. и 8 з.п. ф-лы, 5 ил.

Description

ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННЫЕ ЗАЯВКИ
Заявка заявляет приоритет по Китайской заявке на патент № 200710187240.7, поданной 16 ноября 2007 и озаглавленной «СПОСОБ, СИСТЕМА И УСТРОЙСТВО ДЛЯ ШИФРОВАННОГО ДОСТУПА ПО HTTPS», которая полностью включена в данное описание посредством ссылки.
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
Настоящее изобретение относится к области технологии сетевых коммуникаций и, в частности, к способу шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), системе и устройству для его осуществления.
УРОВЕНЬ ТЕХНИКИ
С бурным развитием и широким распространением Интернета реализуется все больше услуг, зависимых от сетевых технологий, например, электронный бизнес и электронное правительство и т.п. Браузеры в сетях, обеспечивающих пользователям удобный просмотр web-страниц, выполнение операций передачи, загрузки и т.п. наиболее широко используются браузеры. В прошлом браузеры не были обеспечены функциями защиты, так что файлы и данные, передаваемые и загружаемые пользователями через браузеры, передавались в виде нешифрованного текста, что легко приводило к утечке конфиденциальной и секретной информации. Позднее был разработан протокол уровня защищенных сокетов (SSL) для защищенных приложений браузеров. Протокол SSL определяет механизм для предоставления иерархии защиты данных между протоколами приложений (например, HTTP, Telenet, протокол передачи файлов (FTP) и подобные) и протоколом TCP/IP, а затем предоставляет TCP/IP соединения с шифрованием данных, аутентификацией сервера, целостностью сообщения и необязательной аутентификацией клиентского терминала. Протокол SSL способен гарантировать безопасность передачи данных через Интернет и защитить данные от перехвата или прослушивания во время передачи по сети при помощи технологии шифрования данных.
К настоящему времени выпущено всего три версии протокола SSL, а именно SSLv1.0, SSLv2.0 и SSLv3.0, из которых SSLv2.0 и SSLv3.0 широко применяются. Рабочая группа IETF выпустила RFC2246, основанный на SSLv3.0, и определила протокол защиты на транспортном уровне (TLS), который именуется как SSLv3.1. Многие организации, предоставляющие браузеры, заявили, что будут поддерживать TLS. В этом случае пользователь способен получить защищенный доступ к web-ресурсам, используя только один браузер. С началом широкого применения браузеров SSL стал наиболее широко используемым протоколом защиты в сфере электронного бизнеса. Более того, с развитием услуг SSL становился все более и более широко используемым и постепенно стал одной из незаменимых технологий для удаленного защищенного доступа.
Однако при реализации вариантов осуществления настоящего изобретения автор настоящего изобретения обнаружил, что в уровне техники имеют место, по меньшей мере, следующие проблемы: когда протокол SSL используется в браузере, требуется, чтобы браузер предоставлял алгоритм шифрования для SSL. В настоящее время большинство браузеров поддерживают только несколько алгоритмов шифрования, включая 3DES/DES, RC4, AES и подобные, все из которых являются общедоступными. Браузеры не способны поддерживать алгоритмы шифрования, отличные от тех, которые предоставляются организациями, предоставляющими браузеры. Однако во многих случаях применения, таких как правительство, бизнес, и в других областях техники, пользователи надеются, что они смогут использовать собственные патентованные (проприетарные) алгоритмы шифрования. Однако в уровне техники возможно использовать только общедоступные алгоритмы шифрования, предоставленные организациями, предоставляющими браузеры, для осуществления доступа по HTTPS, но невозможно поддерживать другие алгоритмы шифрования. Иными словами, на настоящий момент пользователь не может осуществлять защищенный доступ, обращаясь к проприетарному алгоритму шифрования через браузер.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
В некоторых вариантах осуществления изобретения предлагаются способ, система и устройство для шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), в котором пользователю разрешено осуществлять защищенный доступ, ссылаясь на алгоритм шифрования через существующий браузер.
Чтобы достичь вышеуказанных целей в варианте осуществления настоящего изобретения, предлагается шифрованный доступ по HTTPS, который включает в себя следующие этапы. Клиентский терминал устанавливает специализированный шифрованный канал уровня защищенных сокетов (SSL) с HTTPS прокси устройством. Клиентский терминал устанавливает универсальный шифрованный канал SSL с HTTPS прокси устройством. Клиентский терминал производит закольцовывание на пакете HTTPS, передаваемом от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL. Клиентский терминал передает закольцованный HTTPS пакет HTTPS прокси устройству через специализированный шифрованный SSL канал.
Кроме того, в варианте осуществления настоящего изобретения предлагается система шифрованного доступа по HTTPS, которая включает в себя HTTPS и, по меньшей мере, один клиентский терминал. Между клиентским терминалом и HTTPS предпочтительно устанавливают специализированный шифрованный канал SSL и универсальный шифрованный канал SSL. Клиентский терминал выполнен с возможностью выполнения закольцовывания на пакете HTTPS, передаваемом от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL, и передачи закольцованного HTTPS пакета HTTPS прокси устройству через специализированный шифрованный SSL канал. HTTPS выполнено с возможностью приема пакета, передаваемого от клиентского терминала через специализированный шифрованный канал SSL, дешифровки пакета с помощью специализированного шифрованного SSL, выполнения закольцовывания на пакете HTTPS, полученном после дешифрования и дешифрования закольцованного HTTPS пакета с помощью универсального шифрованного SSL.
Кроме того, в варианте осуществления настоящего изобретения предлагается клиентский терминал. Клиентский терминал устанавливает специализированный шифрованный канал SSL и универсальный шифрованный канал SSL c HTTPS и включает в себя модуль закольцовывания и передающий модуль. Модуль закольцовывания выполнен с возможностью выполнения закольцовывания на пакете HTTPS, передаваемом от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL. Передающий модуль выполнен с возможностью передачи закольцованного HTTPS пакета HTTPS прокси устройству через специализированный шифрованный SSL канал.
В варианте осуществления настоящего изобретения также предлагается HTTPS, в котором специализированный шифрованный канал SSL и универсальный шифрованный канал SSL устанавливают между HTTPS и, по меньшей мере, одним клиентским терминалом, а HTTPS включает в себя приемный модуль, специализированный дешифрующий модуль, модуль закольцовывания и универсальный дешифрующий модуль. Приемный модуль выполнен с возможностью приема пакета, передаваемого от клиентского терминала через специализированный шифрованный канал SSL. Специализированный дешифрующий модуль выполнен с возможностью дешифровки пакета, принятого приемным модулем по специализированному шифрованному SSL, и получения HTTPS пакета. Модуль закольцовывания выполнен с возможностью выполнения закольцовывания на HTTPS пакете, полученном после дешифрировки специализированного дешифрующего модуля. Универсальный дешифрующий модуль выполнен с возможностью дешифровки закольцованного HTTPS пакета посредством универсального шифрованного SSL.
Технические решения вариантов осуществления настоящего изобретения имеют следующие преимущества. Клиентский терминал устанавливает специализированный шифрованный канал SSL c HTTPS, осуществляет текущий контроль за пакетами, передаваемыми через браузер, производит закольцовывание на HTTPS пакетах, передаваемых от браузера, а затем передает закольцованные пакеты HTTPS прокси устройству через специализированный шифрованный канал SSL, тем самым позволяя пользователю осуществлять защищенный доступ с использованием алгоритма шифрования через браузер и соответствовать требованиям для защищенного доступа браузеров приложений в специфических областях техники, например, в сфере правительственных дел.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг.1 - схематическое представление осуществления SSL шифрования дважды, согласно одному варианту осуществления настоящего изобретения;
Фиг.2 - блок-схема способа шифрованного доступа по HTTPS, согласно одному варианту осуществления настоящего изобретения;
Фиг.3 - блок-схема для установления универсального шифрованного канала SSL между клиентским терминалом и HTTPS согласно одному варианту осуществления настоящего изобретения;
Фиг.4 - формат пакета TCP между клиентским терминалом и HTTPS согласно одному варианту осуществления настоящего изобретения;
Фиг.5 - структура системы шифрованного доступа по HTTPS согласно одному варианту осуществления настоящего изобретения.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
Ниже более подробно описаны конкретные варианты осуществления настоящего изобретения со ссылкой на прилагаемые чертежи и варианты осуществления.
В варианте осуществления настоящего изобретения шифрование уровня защищенных сокетов (SSL) производится дважды на пакете по протоколу защищенной пересылки гипертекста (HTTPS). Для удобства описания двойное SSL шифрование предпочтительно обозначено как SSL1 и SSL2, чтобы таким образом быть отличимой друг от друга. SSL1 представляет собой SSL соединение, устанавливаемое посредством использования пользовательского алгоритма шифрования, т.е. специализированного шифрованного SSL. SSL2 представляет собой SSL соединение, устанавливаемое посредством использования общедоступного алгоритма шифрования (включенного в RFC2246), предоставляемого организациями, предоставляющими браузеры, т.е. универсального шифрованного SSL. SSL2 может быть TLS, SSLv2.0 или SSLv3.0. Фиг.1 является схематическим представлением выполнения SSL шифрования дважды согласно варианту осуществления настоящего изобретения. Как показано на фиг.1, SSL1 шифрование впервые представлено на HTTPS пакете посредством алгоритма универсального шифрования, встроенного в браузер.
Затем, HTTPS пакет, шифрованный через SSL1 шифрование, закольцовывается. После закольцовывания HTTPS пакет, шифрованный через SSL1 шифрование, передают HTTPS прокси устройству через установленный специализированный шифрованный канал SSL путем осуществления текущего контроля локального порта 433 (специализированный порт HTTPS пакетов). Таким образом, все HTTPS пакеты, передаваемые HTTPS прокси устройству могут проходить через специализированный шифрованный канал SSL, тем самым осуществляя защищенный доступ, обращаясь к алгоритму шифрования через браузер.
Варианты осуществления настоящего изобретения подробно проиллюстрированы ниже.
На фиг.2 изображена блок-схема способа шифрованного доступа по HTTPS, согласно варианту осуществления настоящего изобретения. В этом варианте осуществления связь между клиентским терминалом и HTTPS может быть обеспечена, как показано на фиг.5. Способ в этом варианте осуществления включает в себя следующие этапы.
На этапе 201 между клиентским терминалом и HTTPS устанавливают специализированный шифрованный канал SSL и создают специализированный сокет. Так как обычный браузер может только устанавливать соответствующий универсальный шифрованный канал SSL с HTTPS посредством универсального алгоритма шифрования, на настоящий момент специализированный шифрованный канал SSL для пользователей не может осуществляться через обычный браузер. На клиентский терминал может быть установлена соответствующая программа службы осуществления текущего контроля с возможностью установки при ее помощи специализированного шифрованного канала SSL с HTTPS. При установке специализированного шифрованного канала SSL HTTPS прокси устройство указывает, что будет обращаться к запатентованному алгоритму, чтобы выполнить согласование алгоритмов, а программа службы осуществления текущего контроля запускает локальную библиотеку запатентованного алгоритма, так чтобы установить соединение специализированного шифрованного канала SSL с HTTPS. HTTPS может являться специализированным шлюзом, способным предоставить HTTPS прокси, или HTTPS сервером.
На этапе 202 клиентский терминал активирует осуществление текущего наблюдения HTTPS порта после того, как установлен специализированный шифрованный канал SSL. HTTPS портом, предоставленным вариантом осуществления настоящего изобретения, является порт 443. Основываясь на текущем HTTPS протоколе, все HTTPS пакеты должны быть переданы по порту 443. Очевидно, варианты порта, предлагаемые вариантами осуществления настоящего изобретения, или варианты числа портов в результате усовершенствования протокола или по другим причинам также включены в объем защиты вариантов осуществления настоящего изобретения.
На этапе 203 между клиентским терминалом и HTTPS устанавливают универсальный шифрованный канал SSL. На фиг.3 показана блок-схема для установления универсального шифрованного канала SSL между клиентским терминалом и HTTPS согласно варианту осуществления настоящего изобретения, который включает в себя следующие этапы.
На этапе 301 браузер передает по HTTPS запрос доступа HTTPS прокси устройству, например, пользователь вводит универсальный указатель ресурса (URL) и т.п. с целью установить универсальный шифрованный канал SSL с HTTPS. Для удобства иллюстрирации принимают, что адрес клиентского терминала - 1.1.1.1, адрес HTTPS прокси устройства - 2.2.2.2. Запрос доступа по HTTPS может рассматриваться как один тип с HTTPS пакетом, при этом как запрос доступа по HTTPS, так и HTTPS пакет обрабатываются одинаковым образом в этом варианте осуществления изобретения.
На этапе 302, так как осуществление текущего контроля HTTPS порта активировано, и информация адреса HTTPS прокси устройства сохранена на клиентском терминале, запрос доступа по HTTPS, передаваемый от браузера к HTTPS прокси устройству, может быть перехвачен программой службы осуществления текущего контроля, которая производит закольцовывание на запросе доступа по HTTPS. Процесс закольцовывания на запросе доступа по HTTPS, в частности, включает в себя следующие этапы: программа службы осуществления текущего контроля изменяет адрес назначения 2.2.2.2 запроса доступа по HTTPS на 127.0.0.1. Так как 127.0.0.1 - это заданный по умолчанию закольцованный адрес текущего протокола, клиентский терминал произведет закольцовывание на пакете с адресом назначения 127.0.0.1 после изменения адреса назначения пакета на 127.0.0.1.
На этапе 303 аналогичным образом - в результате осуществления текущего контроля HTTPS порта - закольцованный запрос доступа по HTTPS может быть перехвачен программой службы осуществления текущего контроля после приема по HTTPS порту, а программа службы осуществления текущего контроля передает закольцованный запрос доступа по HTTPS, HTTPS прокси устройству (2.2.2.2) через специализированный шифрованный канал SSL.
На этапе 304 HTTPS принимает пакет (пакетом представляет собой пакет, сгенерированный при выполнении специализированного шифрования запроса доступа по HTTPS), передаваемый от клиентского терминала, а затем производит специализированное дешифрование пакета, так чтобы получить соответствующий запрос доступа по HTTPS, отвечает на запрос доступа по HTTPS от клиентского терминала и возвращает ответное сообщение.
На этапе 305 также требуется закольцовывание на ответном сообщении, передаваемом клиентскому терминалу (1.1.1.1) от HTTPS прокси устройства, а затем HTTPS передает закольцованное ответное сообщение через специализированный шифрованный канал SSL клиентскому терминалу.
На этапе 306 клиентский терминал принимает закольцованное ответное сообщение, а затем производит специализированное дешифрование закольцованного ответа, чтобы получить соответствующее ответное сообщение, и передает ответное сообщение браузеру. Следовательно, универсальный шифрованный канал SSL устанавливают между клиентским терминалом и HTTPS.
На этапе 204 после того, как между клиентским терминалом и HTTPS установлен универсальный шифрованный канал SSL, если браузер передает HTTPS пакет HTTPS прокси устройству через универсальный шифрованный канал SSL, HTTPS пакет перехватывается программой службы осуществления текущего контроля в результате осуществления текущего контроля HTTPS порта, а затем программа службы осуществления текущего контроля может произвести закольцовывание HTTPS пакета. Аналогичным образом процесс закольцовывания на HTTPS пакете включает в себя изменение адреса назначения 2.2.2.2 HTTPS пакета на 127.0.0.1. Так как 127.0.0.1 - это заданный по умолчанию закольцованный адрес текущего протокола, клиентский терминал будет производить закольцовывание на пакете с адресом назначения 127.0.0.1 после изменения адреса назначения пакета на 127.0.0.1.
На этапе 205 клиентский терминал передает закольцованный HTTPS пакет HTTPS прокси устройству через специализированный шифрованный канал SSL. В результате осуществления текущего контроля HTTPS порта закольцованный HTTPS пакет перехвачен программой службы осуществления текущего контроля после его приема по HTTPS порту, а затем программа службы осуществления текущего контроля передает закольцованный HTTPS пакет HTTPS прокси устройству через специализированный шифрованный канал SSL. На фиг.4 представлена структура управляющего протокола передачи (TCP) пакета между клиентским терминалом и HTTPS, после того как установлены специализированный шифрованный канал SSL и универсальный шифрованный канал SSL согласно варианту осуществления настоящего изобретения. Ссылаясь на фиг.4, разрешается конфигурирование созданной пользователем части контента между заголовком SSL1 (специализированный SSL) и заголовком SSL2 (универсальный SSL). Созданной пользователем частью контента может являться контент, определенный пользователем для осуществления некоторых особых функций или для обеспечения удобства применения, т.е. протокол конфиденциального обмена. Созданная пользователем часть контента может не содержать информации.
На этапе 206 HTTPS принимает пакет, передаваемый от клиентского терминала через специализированный шифрованный канал SSL, а затем дешифрует пакет с помощью специализированного шифрованного SSL и производит закольцовывание на HTTPS пакете, полученном после дешифрования.
Затем на этапе 207 HTTPS дешифрует закольцованный HTTPS пакет с помощью универсального шифрованного канала SSL.
На этапе 208 аналогично тому, как для ответного сообщения, возвращенного НТТРS клиентскому терминалу через специализированный шифрованный канал SSL или HTTPS пакета, передаваемого от HTTPS прокси устройства клиентскому терминалу через специализированный шифрованный канал SSL, HTTPS прокси устройству требуется в первый раз произвести закольцовывание на HTTPS пакете, а затем передать закольцованный HTTPS пакет клиентскому терминалу через специализированный шифрованный канал SSL. Следовательно, пакет между клиентским терминалом и HTTPS передается через специализированный шифрованный канал SSL.
В этом способе для шифрованного доступа по HTTPS, согласно вышеуказанному варианту осуществления, специализированный шифрованный канал SSL устанавливают между клиентским терминалом и HTTPS, а закольцовывание на всех HTTPS пакетах между клиентским терминалом и HTTPS должно проходить через специализированный шифрованный канал SSL, так чтобы быть переданным другой стороне, которая выполняет специализированное шифрование HTTPS пакетов. В вариантах осуществления настоящего изобретения пользователю разрешено осуществлять защищенный доступ, обращаясь к алгоритму шифрования через браузер, тем самым удовлетворяя требованиям к защищенному доступу к браузерам приложений в специфических областях техники, например, в сфере правительственных дел.
Фиг.5 является структурной схемой системы шифрованного доступа по HTTPS согласно одному варианту осуществления настоящего изобретения. Ссылаясь на фиг.5, система включает в себя HTTPS прокси устройство 1 и, по меньшей мере, один клиентский терминал 2. Между клиентским терминалом 2 и HTTPS прокси устройством 1 устанавливают cпециализированный шифрованный канал SSL и универсальный шифрованный канал SSL. Клиентский терминал 2 выполнен с возможностью выполнения закольцовывания на HTTPS пакете, передаваемом от браузера в клиентском терминале 2 HTTPS прокси устройству 1 через универсальный шифрованный канал SSL, и передачи закольцованного HTTPS пакета HTTPS прокси устройству 1 через специализированный шифрованный канал SSL. HTTPS прокси устройство 1 выполнено с возможностью приема пакета, передаваемого от клиентского терминала 2 через специализированный шифрованный канал SSL, затем дешифровки пакета с помощью специализированного шифрованного SSL, выполнения закольцовывания на HTTPS пакете, полученном после дешифрования, и дешифровки закольцованного HTTPS пакета с помощью универсального шифрованного SSL. Кроме того, HTTPS 1 включает в себя соответствующую программу службы осуществления текущего контроля с функциями, аналогичными функциям программы службы осуществления текущего контроля в клиентском терминале 2, а именно, осуществления текущего контроля HTTPS порта и выполнения закольцовывания на HTTPS пакетах, принятых или передаваемых через HTTPS порт, чтобы обеспечить передачу закольцованных HTTPS пакетов клиентскому терминалу 2 через специализированный шифрованный канал SSL. HTTPS 1 может представлять собой специализированный шлюз с возможностью предоставления HTTPS прокси или может представлять собой HTTPS сервер.
Клиентский терминал 2 включает в себя модуль 21 закольцовывания и передающий модуль 22. Модуль 21 закольцовывания выполнен с возможностью выполнения закольцовывания на HTTPS пакете, передаваемом от браузера HTTPS прокси устройству 1 через универсальный шифрованный канал SSL. Передающий модуль 22 выполнен с возможностью передачи закольцованного HTTPS пакета HTTPS прокси устройству 1 через специализированный шифрованный канал SSL.
Модуль 21 закольцовывания включает в себя субмодуль 211 осуществления текущего контроля, определяющий субмодуль 212, субмодуль 213 изменения адреса. Субмодуль 211 осуществления текущего контроля выполнен с возможностью осуществления текущего контроля за пакетами, передаваемыми по HTTPS порту. Определяющий субмодуль 212 выполнен с возможностью определения, является ли пакет, за которым субмодуль 211 осуществляет текущий контроль по HTTPS порту, HTTPS пакетом или запросом доступа по HTTPS (запрос доступа по HTTPS является одним типом HTTPS пакета), передаваемым от браузера HTTPS прокси устройству 1 или нет. Т.к. между клиентским терминалом 2 и HTTPS 1 может осуществляться взаимодействие с другими пакетами посредством HTTPS порта, определяющий суб-модуль 212 должен определить, является ли принятый или переданный пакет HTTPS пакетом или нет. Субмодуль 213 изменения адреса выполнен с возможностью изменения адреса назначения HTTPS пакета на 127.0.0.1 при определении определяющим субмодулем 212, что пакет, передаваемый по HTTPS порту, является HTTPS пакетом, передаваемым от браузера HTTPS прокси устройству 1.
Модуль 21 закольцовывания дополнительно включает в себя субмодуль 214 хранения информации адреса, выполненный с возможностью хранения информации адреса HTTPS прокси устройства 1.
Между HTTPS 1 и, по меньшей мере, одним клиентским терминалом 2 устанавливают специализированный шифрованный канал SSL и универсальный шифрованный канал SSL. HTTPS 1 включает в себя приемный модуль 11, специализированный дешифрующий модуль 12, модуль 13 закольцовывания и универсальный дешифрующий модуль 12. Приемный модуль 11 выполнен с возможностью приема пакета, передаваемого от клиентского терминала 2 через специализированный шифрованный канал SSL. Специализированный дешифрующий модуль 12 выполнен с возможностью дешифровки пакета, принятого приемным модулем 11 по специализированному шифрованному каналу SSL, и получения HTTPS пакета. Модуль 13 закольцовывания выполнен с возможностью выполнения закольцовывания на HTTPS пакете, полученном после дешифрования специализированного дешифрующего модуля 12. Универсальный дешифрующий модуль 14 выполнен с возможностью дешифровки закольцованного HTTPS пакета посредством универсального шифрованного SSL.
Через вышеупомянутую систему шифрованного доступа по HTTPS закольцованный HTTPS пакет может быть передан HTTPS прокси устройству через специализированный шифрованный канал SSL, установленный между клиентским терминалом и HTTPS при помощи закольцовывания HTTPS пакетов. Следовательно, вышеупомянутая система позволяет пользователю осуществлять защищенный доступ, обращаясь к алгоритму шифрования через браузер, тем самым удовлетворяя требованиям к защищенному доступу браузеров приложений в специфических областях техники, например, в сфере правительственных дел.
Из вышеприведенных подробных описаний специалистам в данной области техники очевидно, что настоящее изобретение может быть осуществлено при помощи программного обеспечения и необходимой универсальной аппаратной платформы, что, несомненно, может быть также осуществлено при помощи аппаратного оборудования. Однако в большинстве случаев первый вариант является предпочтительным. Соответственно, технические решения настоящего изобретения в сущности или части технических решений, которые вносят вклад в уровень техники, могут быть осуществлены в форме программного продукта. Компьютерный программный продукт хранится на носителе данных и включает в себя несколько инструкций для осуществления компьютерным устройством (который может являться персональным компьютером, сервером или сетевым устройством) способов согласно вариантам осуществления настоящего изобретения.
Вышеприведенные описания являются только предпочтительными вариантами осуществления настоящего изобретения, которые не ограничивают объем настоящего изобретения. Специалистам в данной области техники очевидно, что к структуре настоящего изобретения могут быть применены различные модификации и варианты, не выходящие за рамки объема или сущности изобретения. С учетом вышеизложенного подразумевается, что настоящее изобретение охватывает модификации и варианты этого изобретения в пределах объема следующих формул и их эквивалентов.

Claims (13)

1. Способ шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), содержащий этапы, на которых:
устанавливают шифрованный канал уровня защищенных сокетов (SSL) между клиентским терминалом и HTTPS прокси устройством;
устанавливают универсальный шифрованный канал SSL между клиентским терминалом и HTTPS прокси устройством;
производят закольцовывание HTTPS пакета, передаваемого от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL; и
передают закольцованный HTTPS пакет к HTTPS прокси устройству через шифрованный канал SSL.
2. Способ по п.1, дополнительно содержащий этапы, на которых:
принимают посредством HTTPS прокси устройства пакет, передаваемый через шифрованный канал SSL, дешифрируют пакет шифрованным SSL и производят закольцовывание HTTPS пакета, полученного после дешифрования; и
дешифруют закольцованный HTTPS пакет универсальным шифрованным SSL.
3. Способ по п.1, в котором этап установления универсального шифрованного канала SSL между клиентским терминалом и HTTPS прокси устройством дополнительно заключается в том, что:
передают HTTPS пакет к HTTPS прокси устройству, причем HTTPS пакет является запросом доступа по HTTPS;
выполняют закольцовывание запроса доступа по HTTPS;
передают закольцованный запрос доступа по HTTPS к HTTPS прокси устройству через шифрованный канал SSL; и
принимают ответное сообщение от HTTPS прокси устройства после того, как HTTPS прокси устройство получит дешифрованный запрос доступа по HTTPS, и устанавливают универсальный шифрованный канал SSL.
4. Способ по п.1 или 3, в котором этап осуществления закольцовывания HTTPS пакета, передаваемого к HTTPS прокси устройству через универсальный шифрованный канал SSL, дополнительно заключается в том, что:
осуществляют текущий контроль HTTPS порта; и
изменяют адрес назначения HTTPS пакета на закольцованный адрес, когда осуществляется текущий контроль за HTTPS пакетом, передаваемым к HTTPS прокси устройству через HTTPS порт.
5. Способ по п.4, дополнительно содержащий этап, на котором:
посредством клиентского терминала сохраняют информацию об адресе HTTPS прокси устройства и определяют, передается ли HTTPS пакет к HTTPS прокси устройству или нет, согласно адресу назначения HTTPS пакета.
6. Способ по п.2, в котором этап осуществления закольцовывания HTTPS пакета, полученного после дешифрования, дополнительно содержит этап, на котором:
изменяют адрес назначения HTTPS пакета на закольцованный адрес.
7. Система шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), содержащая HTTPS прокси устройство и, по меньшей мере, один клиентский терминал, в котором между клиентским терминалом и HTTPS прокси устройством установлены шифрованный канал уровня защищенных сокетов (SSL) и универсальный шифрованный канал SSL;
при этом упомянутый клиентский терминал выполнен с возможностью осуществлять закольцовывание HTTPS пакета, передаваемого от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL, и передавать закольцованный HTTPS пакет к HTTPS прокси устройству через шифрованный канал SSL; и
при этом упомянутое HTTPS прокси устройство выполнено с возможностью принимать пакет, передаваемый от клиентского терминала через шифрованный канал уровня защищенных сокетов (SSL), дешифровать пакет шифрованным SSL, осуществлять закольцовывание HTTPS пакета, полученного после дешифрования, и дешифровать закольцованный HTTPS пакет универсальным шифрованным SSL.
8. Клиентский терминал, причем между клиентским терминалом и прокси устройством протокола защищенной пересылки гипертекста (HTTPS) установлены шифрованный канал уровня защищенных сокетов (SSL), и универсальный шифрованный канал SSL, причем клиентский терминал содержит модуль закольцовывания и передающий модуль;
при этом модуль закольцовывания выполнен с возможностью осуществлять закольцовывание HTTPS пакета, передаваемого от браузера к HTTPS прокси устройству через универсальный шифрованный канал SSL; и
при этом передающий модуль выполнен с возможностью передавать закольцованный HTTPS пакет к HTTPS прокси устройству через шифрованный канал SSL.
9. Клиентский терминал по п.8, в котором модуль закольцовывания содержит подмодуль осуществления текущего контроля, определяющий подмодуль и подмодуль изменения адреса;
при этом подмодуль осуществления текущего контроля выполнен с возможностью осуществлять текущий контроль за пакетом, передаваемым через HTTPS порт;
определяющий подмодуль выполнен с возможностью определять, является ли пакет, передаваемый через HTTPS порт, HTTPS пакетом или запросом доступа по HTTPS, передаваемым от браузера к HTTPS прокси устройству, или нет; и
подмодуль изменения адреса выполнен с возможностью измененять адрес назначения HTTPS пакета или запроса доступа по HTTPS при определении определяющим подмодуль, что пакет, передаваемый по HTTPS порту, является HTTPS пакетом или запросом доступа по HTTPS, передаваемым от браузера к HTTPS прокси устройству.
10. Клиентский терминал по п.9, в котором модуль закольцовывания дополнительно содержит подмодуль хранения информации об адресе, выполненный с возможностью сохранять информацию об адресе HTTPS прокси устройства.
11. Прокси устройство протокола защищенной пересылки гипертекста (HTTPS), причем между HTTPS прокси устройством и, по меньшей мере, одним клиентским терминалом устанавлены шифрованный канал уровня защищенных сокетов (SSL) и универсальный шифрованный канал SSL, причем HTTPS прокси устройство содержит приемный модуль, дешифрующий модуль, модуль закольцовывания и универсальный дешифрующий модуль;
при этом приемный модуль выполнен с возможностью принимать пакет, передаваемый от клиентского терминала через шифрованный канал SSL;
дешифрующий модуль выполнен с возможностью дешифровать пакет, принятый приемным модулем по шифрованному SSL для получения HTTPS пакета;
модуль закольцовывания выполнен с возможностью осуществлять закольцовывание HTTPS пакета, полученного после дешифрирования дешифрующего модуля; и
универсальный дешифрующий модуль выполнен с возможностью дешифровать закольцованный HTTPS пакет посредством универсального шифрованного SSL.
12. HTTPS прокси устройство по п.11, включающее в себя шлюз с возможностью предоставления HTTPS прокси или HTTPS сервера.
13. Машиночитаемый носитель данных, содержащий коды компьютерных программ, которые при исполнении процессором компьютера, побуждают процессор компьютера выполнять способ по любому из пп.1-6.
RU2008145038/08A 2007-11-16 2008-11-14 Способ, система и устройство для шифрованного доступа по https RU2422893C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200710187240.7 2007-11-16
CN 200710187240 CN101436933B (zh) 2007-11-16 2007-11-16 一种https加密访问方法、系统及装置

Publications (2)

Publication Number Publication Date
RU2008145038A RU2008145038A (ru) 2010-05-20
RU2422893C2 true RU2422893C2 (ru) 2011-06-27

Family

ID=40638331

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008145038/08A RU2422893C2 (ru) 2007-11-16 2008-11-14 Способ, система и устройство для шифрованного доступа по https

Country Status (3)

Country Link
CN (1) CN101436933B (ru)
RU (1) RU2422893C2 (ru)
WO (1) WO2009062406A1 (ru)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546562A (zh) * 2010-12-22 2012-07-04 腾讯科技(深圳)有限公司 在web中传输数据时进行加解密的方法及系统
CN103166996B (zh) * 2011-12-14 2016-06-08 华为技术有限公司 Http连接和https连接自适应方法、装置及系统
CN102811225B (zh) * 2012-08-22 2016-08-17 神州数码网络(北京)有限公司 一种ssl中间代理访问web资源的方法及交换机
CN104217171B (zh) * 2013-05-30 2016-04-27 安世盾信息技术(北京)有限公司 一种密码破解方法、装置及系统
CN104580190B (zh) * 2014-12-30 2018-09-04 北京奇虎科技有限公司 安全浏览器的实现方法和安全浏览器装置
CN106031097A (zh) * 2015-01-14 2016-10-12 华为技术有限公司 业务处理方法及装置
CN105141705B (zh) * 2015-09-30 2019-05-10 北京奇虎科技有限公司 一种安全传输数据的方法及终端设备
CN111865990B (zh) * 2020-07-23 2023-02-21 上海中通吉网络技术有限公司 内网恶意反向连接行为的管控方法、装置、设备和系统
CN112398842B (zh) * 2020-11-06 2023-04-25 北京金山云网络技术有限公司 访问外网数据的方法、装置、电子设备及网关服务器
CN114513326A (zh) * 2021-12-28 2022-05-17 奇安信科技集团股份有限公司 基于动态代理实现通信审计的方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7631084B2 (en) * 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
CN100499643C (zh) * 2003-07-25 2009-06-10 华为技术有限公司 一种实现门户网站和服务提供端之间数据通讯的方法
CN1707997B (zh) * 2004-06-11 2010-04-21 宏碁股份有限公司 应用https通讯协议的客户服务架构及其方法
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
CA2607568C (en) * 2006-03-23 2012-05-29 Slipstream Data Inc. A browser-plugin based method for advanced https data processing
CN1972306A (zh) * 2006-12-01 2007-05-30 浙江大学 安全套接层协议安全代理多重认证的实现方法

Also Published As

Publication number Publication date
RU2008145038A (ru) 2010-05-20
WO2009062406A1 (fr) 2009-05-22
CN101436933A (zh) 2009-05-20
CN101436933B (zh) 2012-02-01

Similar Documents

Publication Publication Date Title
RU2422893C2 (ru) Способ, система и устройство для шифрованного доступа по https
US7673329B2 (en) Method and apparatus for encrypted communications to a secure server
CN107666383B (zh) 基于https协议的报文处理方法以及装置
US7509490B1 (en) Method and apparatus for encrypted communications to a secure server
JP4245838B2 (ja) セキュアクライアントサーバトランザクションを管理するための方法及びシステム
JP5744172B2 (ja) 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ
ES2296798T3 (es) Aparato y procedimiento para encriptar selectivamente la parte de carga util de datos multimedia enviados a traves de una red.
EP1058429B1 (en) Communication system and communication method
EP3201783B1 (en) Https request enrichment
EP1854243B1 (en) Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server
Wilson et al. Trust but verify: Auditing the secure Internet of things
KR101275708B1 (ko) Ssl/tls 핸드쉐이킹 패킷의 정보를 이용한 정보유출방지 시스템 및 https 접속 선별 차단 방법
US20190199804A1 (en) Fastpath web sessions with http header modification by redirecting clients
JP2007520797A (ja) 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
WO2005060202A1 (en) Method and system for analysing and filtering https traffic in corporate networks
CN105794171A (zh) 用于握手期间中间节点发现的方法和装置
US20230370435A1 (en) Methods, systems, and computer readable media for processing quic communications in a network
CN106031097A (zh) 业务处理方法及装置
Nedergaard et al. Evaluating coap, OSCORE, DTLS and HTTPS for secure device communication
JP2001005746A (ja) ファイル転送システム
KR20190024581A (ko) 보안을 위한 보안 소켓 계층 복호화 방법
Guru Prasad et al. Assessment of Open Source Tools and Techniques for Network Security
KR20190014958A (ko) 접속 제어 장치 및 방법
JP2008140275A (ja) 通信装置および通信方法
Jørstad Personalised ubiquitous file access with XML Web Services

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner