WO2010139210A1 - 提高网络应用安全性的方法和系统 - Google Patents

Abstract

本发明公开了一种提高网络应用安全性的方法和系统，属于信息安全领 域。该方法包括：客户端软件生成协议报文，拆分为多个IP数据包发送，网络过滤驱动收到并缓存及组包得到协议报文，判断其中是否有关键信息；若有则发送协议报文给智能密钥设备，智能密钥设备解析后输出关键信息给用户，用户确认正确时，对协议报文签名返回签名结果，网络过滤驱动根据签名结果和协议报文生成新的协议报文，再拆分为多个IP数据包后通过网卡驱动发给应用服务器；用户确认错误或超时未确认时，智能密钥设备做异常处理。该系统包括：智能密钥设备和客户端主机内的网络过滤驱动。本发明在不改动客户端的前提下提高了网络应用的安全性，具有良好的兼容性、易用性。

Description

提高网各应用安全性的方法和系统 技术领域 本发明涉及信息安全领域，特别涉及一种提高网络应用安全性的方法和 系统。 背景技术 随着网络蓬勃的发展， 人们越来越依赖网络进行各种活动， 网上银行、 网上购物等都已经深入人们的生活当中， 但是黑客攻击窃取用户密码进行非 法交易等事件也发生得越来越多， 造成了许多的损失， 人们在享受网络的方 便快捷的同时也越来越担忧网络安全问题， 这时， 身份识别技术就显得尤为 重要了。 目前， 身份识别技术得到了广泛的发展并已经应用在各个领域， 主 要是网上银行、政府网站、 BS ( Browser/Server, 浏览器 /服务器）架构的 ERP ( Enterprise Resource Planning , 企业资源管理） 系统以及对保密性要求比较 高的各个领域。 目前， 已经出现了多种针对网络安全的保护方法， 数字签名就是其中一 种， 在客户端中下载并安装数字证书， 也有安全性更高的使用 USB Key ( Universal Serial BUS Key, 通用串行总线接口硬件设备） 等智能密钥设备 对网络传输的数据进行签名等操作 ,但是 USB Key内签名的数据仍然是由客 户端主机发送过去的， 仍然存在安全风险。 而且， 现有的安全手段大多操作过于繁瑣， 为了完成签名的操作需要安 装各种插件、 与智能密钥设备相应的软件程序， 并且现有的程序插件大多是 针对 IE内核进行开发， 对一些如 Firefox等浏览器并不支持， 导致部分用户 不能正常的进行网上安全的通讯。 综上所述， 现有网络安全手段存在的缺点就是操作繁瑣， 兼容性、 易用 性差， 安全程度不够高。 发明内容 基于现有技术的不足，本发明提供了一种提高网络应用安全性的方法和 系统。 所述技术方案如下： 一种提高网络应用安全性的方法， 所述方法包括: 客户端主机内的客户端软件根据用户输入的信息生成协议报文，并拆分 为多个 IP数据包发送； 所述客户端主机内的网络过滤驱动接收并緩存所述多个 IP数据包， 进 行组包操作得到所述协议报文； 所述网络过滤驱动 -据约定的协议解析所述协议 4艮文，判断所述协议 4艮 文中是否存在所述网络过滤驱动、 智能密钥设备和应用服务器预先约定的关 键信息； 如果所述协议 4艮文中存在所述关键信息 ,则所述网络过滤驱动将所述协 议报文发送给所述智能密钥设备， 所述智能密钥设备解析所述协议报文得到 所述关键信息， 输出该关键信息供用户确认； 如果接收到用户确认关键信息正确的信号，则所述智能密钥设备对所述 协议 4艮文进行签名， 返回签名结果给所述网络过滤驱动， 所述网络过滤驱动 根据所述签名结果和协议报文生成新的协议报文， 将该新的协议报文拆分为 多个 IP数据包， 通过网卡驱动发送给所述应用月艮务器； 如果接收到用户确认关键信息不正确的信号或在预设的时间内没有接 收到用户进行确认的信号， 则所述智能密钥设备进行异常处理； 如果所述协议报文中不存在所述关键信息，则所述网络过滤驱动将緩存 的所述多个 IP数据包通过所述网卡驱动发送给所述应用月艮务器。 所述客户端主机内的网络过滤驱动接收并緩存所述多个 IP数据包， 进 行组包操作得到所述协议报文， 具体包括： 所述客户端主机内的网络过滤驱动接收并緩存所述多个 IP数据包； 将所述多个 IP数据包中的目的地址与预先存储的所述应用月艮务器的地 址进行比对； 将所述多个 IP数据包中目的地址均为所述应用月艮务器的地址的数据包 进行组包操作， 得到所述协议 4艮文， 将所述多个 IP数据包中目的地址不为所 述应用服务器的地址的数据包发送给所述网卡驱动。 所述网络过滤驱动 -据约定的协议解析所述协议 4艮文，判断所述协议 4艮 文中是否存在所述网络过滤驱动、 智能密钥设备和应用服务器预先约定的关 键信息， 具体包括： 所述网络过滤驱动 -据约定的协议解析所述协议 4艮文，判断所述协议 4艮 文中是否存在所述网络过滤驱动、 智能密钥设备和应用服务器预先约定的关 键信息标识符， 如果存在， 则判断出所述协议 4艮文中存在所述关键信息； 或， 所述网络过滤驱动根据约定的协议解析所述协议报文，在所述协议报文 中找到所述网络过滤驱动、 智能密钥设备和应用服务器指定的字段， 判断该 字段中是否存在数据， 如果存在， 则判断出所述协议报文中存在所述关键信 息。 所述协议 4艮文和新的协议 4艮文均包含有请求头域，所述请求头域中写有 所述应用月艮务器的地址。 所述网络过滤驱动将所述协议报文发送给所述智能密钥设备， 具体包 括： 所述网络过滤驱动对所述协议 4艮文的请求头域进行解析，判断所述请求 头域中写入的应用月艮务器地址是否与所述网络过滤驱动存储的应用月艮务器地 址一致； 如果一致，则执行所述网络过滤驱动将所述协议报文发送给所述智能密 钥设备的步 4聚； 如果不一致，则所述网络过滤驱动提示用户应用月艮务器错误，流程结束。 所述智能密钥设备解析所述协议报文得到所述关键信息， 具体包括： 所述智能密钥设备解析所述协议 4艮文 ,判断所述协议 4艮文中是否存在所 述网络过滤驱动、 智能密钥设备和应用服务器预先约定的关键信息标识符， 如果存在， 则根据所述关键信息标识符找到所述关键信息； 或， 所述智能密钥设备解析所述协议 4艮文，在所述协议 4艮文中找到所述网络 过滤驱动、 智能密钥设备和应用服务器指定的字段， 判断该字段中是否存在 数据， 如果存在， 则读出所述数据， 得到所述关键信息。 所述输出该关键信息供用户确认， 具体包括： 所述智能密钥设备通过液晶显示器显示输出所述关键信息供用户确认 , 或者通过语音播报的方式播放所述关键信息供用户确认。 所述智能密钥设备进行异常处理， 具体包括： 所述智能密钥设备通知所述网络过滤驱动停止操作，向用户提示操作失 败； 或者， 所述智能密钥设备向所述网络过滤驱动返回一个错误的签名结果。 所述智能密钥设备对所述协议报文进行签名， 具体包括： 所述智能密钥设备 居个人识别码或个人生物特征对用户的身份进行 ^-, 所述个人生物特征包括指紋、 虹膜或静^ ^识别； 如果合法， 则对所述协议 ^艮文进行签名； 如果不合法， 则拒绝对所述协议 4艮文进行签名， 流程结束。 所述网络过滤驱动 -据所述签名结果和协议 4艮文生成新的协议 4艮文，具 体包括： 所述网络过滤驱动将接收到的签名结果插入到所述协议报文中，并根据 预先约定的协议对所述协议 4艮文中的请求头域进行 4爹改，得到新的协议 4艮文； 或者， 所述网络过滤驱动使用接收到的签名结果对所述协议报文中的指定部 分进行替换，并 居预先约定的协议对所述协议 4艮文中的请求头域进行爹改， 得到新的协议报文。 所述约定的协议包括超文本传输协议 http和 /或安全的超文本传输协议 一种提高网络应用安全性的系统， 所述系统包括： 智能密钥设备和客户 端主机内的网络过滤驱动； 所述网络过滤驱动包括： 第一接口模块， 用于接收客户端主机内的客户端软件发来的多个 IP数 据包，所述多个 IP数据包为所述客户端软件根据用户输入的信息生成协议报 文后拆分得到的， 并与所述智能密钥设备通讯， 向所述智能密钥设备发送所 述协议艮文， 接收所述智能密钥设备返回的签名结果， 还用于发送新的协议 报文拆分后的多个 IP数据包给网卡驱动，由所述网卡驱动发送给所述应用服 务器； 存储模块， 用于緩存所述第一接口模块收到的所述多个 IP数据包； 组包模块， 用于对所述第一接口模块收到的所述多个 IP数据包进行组 包操作， 得到所述协议报文； 解析判断模块，用于根据约定的协议对所述组包模块得到的所述协议报 文进行解析， 判断所述协议 4艮文中是否存在所述网络过滤驱动、 智能密钥设 备和应用服务器预先约定的关键信息， 如果存在所述关键信息， 通过所述第 一接口模块发送所述协议报文给所述智能密钥设备， 如果不存在所述关键信 息 ,通过所述第一接口模块将所述存储模块緩存的所述多个 IP数据包通过所 述网卡驱动发送给所述应用月艮务器； 报文生成模块 ,用于根据所述第一接口模块收到的签名结果和所述组包 模块得到的所述协议 4艮文， 生成新的协议 4艮文； 拆分模块，用于将所述报文生成模块得到的所述新的协议报文拆分为多 个 IP数据包， 通过所述第一接口模块发送给所述客户端主机内的网卡驱动； 所述智能密钥设备包括： 第二接口模块， 用于与所述网络过滤驱动通讯， 接收所述网络过滤驱动 发送的协议 4艮文， 向所述网络过滤驱动发送签名结果； 过滤模块， 用于解析所述智能密钥设备的第二接口模块收到的协议报 文， 得到所述关键信息； 输出模块， 用于输出所述过滤模块得到的关键信息供用户确认； 确认模块， 用于接收用户输入的确认所述关键信息是否正确的信息； 签名模块， 用于当所述确认模块收到的信息为用户确认关键信息正确 时， 对所述智能密钥设备的第二接口模块收到的协议报文进行签名， 并通过 所述智能密钥设备的第二接口模块返回签名结果给所述网络过滤驱动； 异常处理模块，用于当所述确认模块收到的信息为用户确认关键信息不 正确时， 或者所述确认模块在预设的时间内未收到用户的确认信息时， 进行 异常处理。 所述存储模块还用于存储所述应用月艮务器的地址，所述组包模块具体包 括： 比对单元，用于将所述网络过滤驱动的第一接口模块收到的所述多个 IP 数据包中的目的地址与所述存储模块存储的所述应用月艮务器的地址进行比 对； 组包单元， 用于根据所述比对单元比对的结果， 将所述多个 IP数据包 中目的地址均为所述应用服务器的地址的数据包进行组包操作， 得到所述协 议 4艮文，将所述多个 IP数据包中目的地址不为所述应用月艮务器的地址的数据 包通过所述网络过滤驱动的第一接口模块发送给所述网卡驱动。 所述协议 4艮文和新的协议 4艮文均包含有请求头域，所述请求头域中写有 所述应用月艮务器的地址， 所述存储模块还用于存储所述应用月艮务器的地址， 所述解析判断模块具体包括： 判断单元，用于根据约定的协议对所述组包模块得到的所述协议报文进 行解析， 判断所述协议报文中是否存在所述网络过滤驱动、 智能密钥设备和 应用服务器预先约定的关键信息； 第一处理单元，用于如果所述判断单元判断出所述协议 4艮文中存在所述 关键信息， 则对所述协议 4艮文的请求头域进行解析， 判断所述请求头域中写 入的应用月艮务器地址是否与所述存储模块存储的应用月艮务器地址一致， 如果 一致， 则通过所述第一接口模块将所述协议报文发送给所述智能密钥设备， 如果不一致， 则提示用户应用服务器错误； 第二处理单元，用于如果所述判断单元判断出所述协议 4艮文中不存在所 述关键信息，则通过所述第一接口模块将所述存储模块緩存的所述多个 IP数 据包通过所述网卡驱动发送给所述应用月艮务器。 所述解析判断模块具体包括： 标识符解析判断单元 ,用于才艮据约定的协议对所述组包模块得到的所述 协议报文进行解析， 判断所述协议报文中是否存在所述网络过滤驱动、 智能 密钥设备和应用服务器预先约定的关键信息标识符， 如果存在， 则判断出所 述协议报文中存在所述关键信息， 通过所述网络过滤驱动的第一接口模块发 送所述协议报文给所述智能密钥设备， 如果不存在所述关键信息， 通过所述 第一接口模块将所述存储模块緩存的所述多个 IP 数据包通过所述网卡驱动 发送给所述应用服务器； 或者， 字段解析判断单元，用于根据约定的协议对所述组包模块得到的所述协 议报文进行解析， 在所述协议报文中找到所述网络过滤驱动、 智能密钥设备 和应用服务器预先指定的字段， 判断该字段中是否存在数据， 如果存在， 则 判断出所述协议报文中存在所述关键信息， 通过所述网络过滤驱动的第一接 口模块发送所述协议 4艮文给所述智能密钥设备， 如果不存在， 则判断出所述 协议报文中不存在所述关键信息， 通过所述第一接口模块将所述存储模块緩 存的所述多个 IP数据包通过所述网卡驱动发送给所述应用月艮务器。 所述过滤模块具体包括： 标识符过滤单元，用于判断所述智能密钥设备的第二接口模块收到的协 议报文中是否存在所述网络过滤驱动、 智能密钥设备和应用服务器预先约定 的关键信息标识符， 如果存在， 则根据所述关键信息标识符找到所述关键信 息； 或者， 字段过滤单元，用于在所述智能密钥设备的第二接口模块收到的协议报 文中找到所述网络过滤驱动、 智能密钥设备和应用服务器预先指定的字段， 判断该字段中是否存在数据， 如果存在， 则读出所述数据， 得到所述关键信 息。 所述输出模块为液晶显示器或音频装置。 所述异常处理模块具体包括： 第一异常处理单元，用于当所述确认模块收到的信息为用户确认关键信 息不正确时， 或者所述确认模块在预设的时间内未收到用户的确认信息时， 通过所述智能密钥设备的第二接口模块通知所述网络过滤驱动停止操作， 向 用户提示操作失败； 或者， 第二异常处理单元，用于当所述确认模块收到的信息为用户确认关键信 息不正确时， 或者所述确认模块在预设的时间内未收到用户的确认信息时， 通过所述智能密钥设备的第二接口模块向所述网络过滤驱动返回一个错误的 签名结果。 所述智能密钥设备的签名模块具体包括： 签名单元， 用于当所述确认模块收到的信息为用户确认关键信息正确 时， 居个人识别或个人生物特征对用户的身份进行-险证， 如果合法， 则对 所述智能密钥设备的第二接口模块收到的协议报文进行签名， 并通过所述智 能密钥设备的第二接口模块返回签名结果给所述网络过滤驱动；如果不合法， 则拒绝对所述协议 4艮文进行签名。 所述网络过滤驱动的 4艮文生成模块具体包括： 第一生成单元，用于将所述网络过滤驱动的第一接口模块接收到的签名 结果插入到所述协议 4艮文中， 并才艮据预先约定的协议对所述协议 4艮文中的请 求头域进行 4爹改， 得到新的协议艮文； 或者， 第二生成单元，用于使用所述网络过滤驱动的第一接口模块接收到的签 名结果对所述协议报文中的指定部分进行替换， 并根据预先约定的协议对所 述协议报文中的请求头域进行修改， 得到新的协议报文。 本发明实施例提供的技术方案通过客户端的网络过滤驱动判断协议报 文中是否存在关键信息， 如果存在， 由智能密钥设备对协议报文进行签名后 返回签名结果给网络过滤驱动， 网络过滤驱动 居签名结果生成新的协议 4艮 文发给网卡驱动程序， 通过网卡发送给应用月艮务器， 在不改动原有客户端的 前提下提高了网络应用的安全性， 可以适用于各种客户端软件， 具有良好的 兼容性、 易用性。 附图说明 图 1是本发明实施例 1提供的提高网络应用安全性的方法流程图； 图 2是本发明实施例 2提供的提高网络应用安全性的系统结构图。 具体实施方式 为使本发明的目的、技术方案和优点更加清楚， 下面将结合附图对本发 明实施方式作进一步地详细描述。 本发明实施例提供了一种提高网络应用安全性的方法， 包括： 客户端主机内的客户端软件根据用户输入的信息生成协议报文，并拆分 为多个 IP数据包发送； 客户端主机内的网络过滤驱动接收并緩存该多个 IP 数据包， 进行组包操作得到该协议报文； 网络过滤驱动根据约定的协议解析 该协议报文， 判断该协议报文中是否存在网络过滤驱动、 智能密钥设备和应 用服务器预先约定的关键信息； 如果该协议报文中存在所述关键信息， 则网 络过滤驱动将该协议报文发送给智能密钥设备， 智能密钥设备解析该协议报 文得到所述关键信息， 输出该关键信息供用户确认； 如果接收到用户确认该 关键信息正确的信号， 则智能密钥设备对该协议报文进行签名， 返回签名结 果给网络过滤驱动， 网络过滤驱动 居签名结果和协议 4艮文生成新的协议 4艮 文， 将该新的协议报文拆分为多个 IP数据包， 通过网卡驱动发送给应用服务 器； 如果接收到用户确认所述关键信息不正确的信号或在预设的时间内没有 接收到用户进行确认的信号， 则智能密钥设备进行异常处理； 如果所述协议 报文中不存在所述关键信息，则网络过滤驱动将緩存的所述多个 IP数据包通 过网卡驱动发送给应用月艮务器。 本发明实施例中的应用服务器是指客户端请求服务的目的站点服务器， 有多种类型， 包括但不限于： 电子商务系统服务器、 网上银行系统服务器等 等。 网络过滤驱动是指安装于客户端主机内的功能模块， 该功能模块可以对 计算机上层应用向网卡发送的数据包进行接收、緩存和处理,其中上述网卡可 以为普通 PC机网卡、 无线网卡等。 实施例 1 参见图 1 ,本实施例提供了一种提高网络应用安全性的方法，具体包括： 步 4聚 101 : 用户在客户端登录应用月艮务器， 在本实施例中， 以登录网上 银行为例进行说明， 用户输入登录相关信息； 在本步骤中， 用户可以通过系统自带的 IE或其他的浏览器等客户端软 件程序访问网上银行， 不需要安装其他插件或对客户端软件做更改。 步骤 102: 客户端软件接收到用户输入的信息后， 根据该信息生成协议 报文； 进一步地， 客户端、 智能密钥设备和应用服务器还可以预先约定协议报 文中的关键信息， 作为用户确认的基础， 当协议 4艮文中包含关键信息时， 需 要用户对该关键信息进行确认， 如将网上银行交易的一些重要信息作为关键 信息给用户进行确认， 用户确认后才可以进行网上银行交易。 为了便于以后判断提取关键信息，还可以在协议报文中添加关键信息的 标识符， 对用户输入的关键信息进行标识， 该关键信息的标识符可以为智能 密钥设备、 应用服务器和代理服务器预先约定。 在本实施例中， 以用户在网 上 4艮行进行转账为例， 具体说明客户端生成的协议 4艮文， 包括协议内容和请 求头域， 下面列出 XML格式的协议内容：

<?xml version:" 1.0" encoding="gb2312"?> <！—业务数据—! >

<TradeInfo>

<AccountInfo name="To"><！—碑舍入帳号―！ > <AccountName>张三 </AccountName><!—转入贝长户姓名―!〉

<AccountValue>4367420037465985234</AccountValue><!~转入帳号

<!—转入行信息—! > <BankInfo>

<BankName> ib京分行 </BankName>< !—转入分行一!〉

</BankInfo>

</AccountInfo>

<AccountInfo name="From">

<AccountName>李四 </AccountName><!—转出贝长户姓名一！ >

<AccountValue>4367420074923372387</AccountValue><!--转 出 帳号

<!--转出行信息—! >

<BankInfo>

<BankName>J 海分行 </BankName><!—转出分行—！〉

</BankInfo>

</AccountInfo>

<TradeData>

<TradeMoney> 134.22</TradeMoney> <！—转贝长金额— >

<TradeType> 1 </TradeType> <！—交易类型—〉

<MoneyType>2</MoneyType> <！—货币类型— >

<TradeTime>20090206152645</TradeTime><!~交易时间 -->

<OtherData></OtherData> <！—其它数据— >

</TradeData>

<SignatureData>

</SignatureData> </TradeInfo> 其中， 预先约定在转账操作中用户输入的三种信息： 转入账户姓名、 转 入露户和转露金额， 即张三、 4367420037465985234和 134.22为关键信息， 并使用如下关键信息标识符： <AccountName>张三 </AccountName> 〈！—转入露户姓 名—！〉

<AccountValue>4367420037465985234</AccountValue> 〈！—转入帳号

-! >

<TradeMoney> 134.22</TradeMoney> <，，-转露金额 -- > 其中 ， <AccountName>和 </AccountName>标 转入贝长户姓名 ， <AccountValue>和 </AccountValue>标识转入露号 ， <TradeMoney>和 </TradeMoney>标识转账金额， 网络过滤驱动和 4艮行应用月艮务器可以通过上 述关键信息标识符， 判断出协议报文中是否存在关键信息， 并且可以确定出 关键信息的位置。 上例中， 因十办议内容中没有签名值， <SignatureData></SignatureData> 字段为空。 上述协议 4艮文中还有客户端软件按照预先约定的协议添加的请求头域。 本实施例中， 预先预定的十办议可以为 http十办议 ( Hypertext Transfer Protocol, 超文本传输协议 ) 和 /或 https协议 ( Hypertext Transfer Protocol over Secure Socket Layer, 安全的超文本传输协议）， 且不局限于这两种。 每种协议对应 的请求头域都有多种， 例如， http 协议对应的请求头域包括但不限于： OPTIONS , GET, HEAD, POST, PUT, DELETE和 TRACE等等。 优选地， 可以使用 POST请求头 i或， 具体如下： POST /transfer, cgi HTTP/ 1.1 V\n

Host: 219.168.0.1\r\n

Content-Length: 512\r\n\r\n

POST=M 其中， Μ为上述 XML格式的协议内容， 请求头域使用的是 httpl. l协 议， /transfer.cgi为银行服务器端处理网上银行交易的程序， 219.168.0.1为所 要访问的银行服务器地址， 报文长度 512。 步骤 103 : 客户端软件将协议 4艮文拆分为多个 IP数据包， 然后发送； 具体地， 客户端软件可以调用系统的接口， 将上层的协议报文根据下层

TCP/IP协议拆分为固定长度的 IP数据包发送给网卡驱动程序， 再通过硬件 转换发送到网络中。 在本实施例中， 由于操作系统和网卡驱动程序之间存在 网络过滤驱动， 因此操作系统会将上述多个 IP 数据包先发送给网络过滤驱 动， 由网络过滤驱动再将该多个 IP数据包转发给网卡驱动。 其中每个数据包 都包括发送的目的地址、 源地址、 IP数据包的序列号、 协议报文的一部分、 该协议报文的长度。 步骤 104: 网络过滤驱动接收该多个 IP数据包并进行緩存， 对接收到 的多个 IP数据包进行排序， 然后进行组包操作， 得到上述协议报文； 在本实施例中， 网络过滤驱动进行组包操作的具体过程如下： 网络过滤驱动每次处理一个 IP数据包。 对每一个 IP数据包， 解析出数 据包中的目的地址。 如果目的地址不是所述预先存储的应用月艮务器的地址， 则网络过滤驱动不做任何额外处理， 直接将该 IP数据包发给网卡驱动。 如果 目的地址是所述预先存储的应用 艮务器的地址， 则緩存该 IP数据包， 并不将 其发送给网卡驱动， 直到得到上述协议 4艮文被拆分后得到的所有 IP数据包。 IP 数据包中写有整个协议 4艮文的长度， 网卡过滤驱动才艮据上述长度判断 IP 数据包的个数， 一旦该协议报文被拆分后得到的所有 IP 数据包均接收到之 后， 将每个 IP数据包中所包含的协议报文部分取出， 按 IP数据包的序列号 顺序 4 列， 得到上述协议 4艮文。 其中， 网络过滤驱动可以预先存储有多个应用服务器的地址， 并可根据 需要修改该配置， 为了进一步提高安全性， 还可以加密存储多个应用服务器 的地址。 步骤 105 : 网络过滤驱动对组包得到的协议 4艮文进行解析， 判断协议 4艮 文中是否存在网络过滤驱动、 智能密钥设备和应用服务器预先约定的关键信 息， 如果不存在， 则执行步 4聚 106, 如果存在， 则执行步 4聚 107; 其中，解析是指 居当前应用的协议将协议 4艮文拆分为请求头域部分和 协议内容部分。 解析之后网络过滤驱动判断协议内容中是否存在关键信息。 在本步 4聚中，网络过滤驱动可以釆用以下两种方式中的任一种来判断十办 议报文中是否存在关键信息： 1 ) 判断协议报文中是否存在网络过滤驱动、 智能密钥设备和应用服务 器预先预定的关键信息标识符， 如果存在， 则判断出该协议报文中存在关键 信息， 否则， 协议报文中不存在关键信息； 例如， 解析协议报文得到协议内容后， 判断协议内容中是否存在关键信 息标 符 ： <AccountName>和 </AccountName> , ^口果存在 ， J¾'J <AccountName>和</AccountName>之间的数据读出得到转入贝长号姓名关键 信息； 判断该协议内容中是否存在关键标识符： <AccountValue>和 </AccountValue>, ^口果存在， 则^ "<AccountValue> </AccountValue>之间的 数据读出得到转入账号关键信息； 判断该协议内容中是否存在关键标识符： <TradeMoney>和 </TradeMoney> , ^口果存在 ， M <TradeMoney>和 </TradeMoney>之间的数据读出得到转账金额关键信息。 如果网络过滤驱动、 智能密钥设备和应用服务器预先约定的上述三种关键信息标识符中有一个不 为空（即中间写有数据）， 则认为协议内容中存在关键信息， 如果该三种关键 信息标识符均为空 （即都未写有数据）， 则认为协议内容中不存在关键信息。

2 ) 网络过滤驱动才艮据约定的协议解析所述协议 4艮文， 在该协议 4艮文中 找到网络过滤驱动、 智能密钥设备和应用服务器指定的字段， 判断该字段中 是否存在数据， 如果存在， 则判断出所述协议报文中存在所述关键信息。 进一步地， 本步骤中， 如果存在关键信息， 网络过滤驱动还可以先对组 包得到的协议报文的请求头域中写入的应用服务器地址进行验证，如果正确， 即与网络过滤驱动预先存储的应用服务器的地址一致， 则执行步骤 107; 如 果不正确， 则向用户提示应用月艮务器错误， 流程结束。 步骤 106: 网络过滤驱动将緩存的多个 IP数据包发送给网卡驱动程序， 通过网卡发送到网络中的应用服务器， 在本实施例中发送给网上银行的服务 器， 然后客户端与应用服务器进行交互， 流程结束； 步骤 107: 网络过滤驱动将组包得到的协议报文发送给 USB Key, USB Key收到该协议报文后进行解析， 得到上述关键信息， 并且输出该关键信息 供用户进行确认； 在本步骤中， USB Key 可以釆用以下两种方式中的任一种来解析协议 报文得到关键信息：

1 ) USB Key判断协议报文中是否存在网络过滤驱动、 智能密钥设备和 应用服务器预先预定的关键信息标识符， 如果存在， 则根据该关键信息标识 符读出关键信息；

2 ) USB Key解析协议 4艮文， 在协议 4艮文中找到网络过滤驱动、 智能密 钥设备和应用服务器指定的字段， 判断该字段中是否存在数据， 如果存在， 则读出该数据， 得到关键信息。 具体地， USB Key可以通过液晶显示器显示输出该关键信息供用户进 行确认，或者 USB Key也可以通过语音播报的方式播放该关键信息供用户进 行确认。 其中， USB Key可以将得到的关键信息组成标准格式后再输出， 例 ^口： USB Key得 i l转入贝长号 4367420037465985234、 转入贝长号姓名张三和转 账金额 134.22后， 在显示器上输出以下关键信息供用户进行确认： 帳号： 4367420037465985234 户名： 张三 金额： 134.22 另外， USB Key也可以将该关键信息传给客户端主机， 由客户端主机 提示用户对该关键信息进行确认。 步骤 108: USB Key接收用户输入的确认信息， 判断是否用户确认该关 键信息正确， 如果用户确认该关键信息正确， 则执行步 4聚 109, 如果用户确 认该关键信息不正确或在约定的时间内 USB Key没有接到用户的确认信息， 则执行步 4聚 112; 其中，所述约定的时间为 USB Key为用户输入确认信息所预留的时间， 在该时间段内输入的确认信息有效， 如果超过该时间用户再输入确认信息， 则视为无效。 步骤 109: USB Key对收到的协议报文进行签名， 并将签名结果发送给 网络过滤驱动; 具体地， USB Key对协议报文进行签名前， 还可以先验证用户的身份， 其中， -险证用户的身份的方式可以包括 PIN ( Personal Identification Number, 个人识别码） 码或指紋、 虹膜、 静^ i特征等个人生物特征的方式， 在本实施 例中釆取 -险证 PIN码的方式， 具体如下：

USB Key用显示输出或语音播报的方式提示用户输入 PIN码， 用户利 用 USB Key自带的键盘键入 PIN码， USB Key接收并-险证该 PIN码是否正 确， 如果正确， 则对协议 4艮文进行签名， 并将签名结果发送给网络过滤驱动， 如果错误， 则提示用户再次输入 PIN码或停止操作。 另夕卜， 上述 USB Key -险证 PIN码的过程还可以由以下过程替换：

USB Key向客户端软件发送验证 PIN码的请求， 客户端软件提示用户 输入 PIN码并接收用户输入的 PIN码然后发送给 USB Key, USB Key收到 后-险证该 PIN码是否正确， 如果正确， 则对协议 4艮文进行签名， 并将签名结 果发送给网络过滤驱动，如果错误，则提示用户再次输入 PIN码或停止操作。 本发明实施例中， USB Key可以在一次网 4艮交易初始时只-险证一次 PIN 码， 也可以在每次签名操作前验证 PIN码。 另外， USB Key对协议 4艮文进行签名操作时， 可以对协议 4艮文的全部 协议内容进行签名， 也可以选择部分协议内容进行签名， 如约定仅对协议内 容中的关键信息部分进行签名， 即上例中对帳号： 4367420037465985234 , 户名： 张三和金额： 134.22这三个关键信息进行签名， 优选地， 可以使用哈 希算法， 对该三个关键信息进行计算， 得到以下签名结果：

"MualIO9msIOElIuIiH22Z8N57PzagkURnlxUgknTTXi88t+9ulTzg01tcY ZWdG+D3LOgDXfejPtjx01HSt293usQhRTt5SW8qte241Uvw0eMC0YHzH3Iwu 0Jb5KErXrsg0OMWFZMnhbjF33pGloQWMC23pe6Z98XCcnKR3nqBdY="„ 步骤 110: 网络过滤驱动接收到该签名结果， 根据该签名结果和协议报 文生成新的协议 4艮文， 然后拆分成多个 IP数据包发送给网卡驱动程序， 网卡 驱动程序处理后通过网卡硬件发送到网络中， 最后到达应用月艮务器； 其中， 网络过滤驱动生成新的协议 4艮文可以具体如下： 在组包得到的协 议 4艮文的协议内容中插入 USB Key返回的签名结果， 组合得到新的协议内 容， 并且才艮据预先约定的协议对协议 4艮文中的请求头域进行爹改， 得到新的 协议 4艮文。 插入的签名结果可以釆取 base64编码的方式， 在本实施例中， 具 体为在字 <SignatureData></SignatureData>中插入签名结果：

<SignatureData>

MualIO9msIOElIuIiH22Z8N57PzagkURnlxUgknTTXi88t+9ulTzg01tcYZW dG+D3LOgDXfejPtjx01HSt293usQhRTt5SW8qte241Uvw0eMC0YHzH3Iwu0Jb 5KErXrsg0OMWFZMnhbjF33pGloQWMC23pe6Z98XCcnKR3nqBdY=

</SignatureData> 由于插入操作后协议报文的长度发生变化，因此对协议报文中的请求头 域进行如下爹改：

POST /transfer, cgi HTTP/1. l\r\n

Host: www. domain. com\r\n

Content-Length: 528\r\n\r\n

POST=N 其中， N为插入签名结果后的协议内容。 除上述插入签名结果的方式外，网络过滤驱动还可以使用签名结果替换 协议 4艮文中的指定部分， 并 居预先约定的协议对协议 4艮文中的请求头域进 行修改， 得到新的协议报文。 该指定部分由网络过滤驱动预先设置， 可以为 协议报文的全部协议内容或部分协议内容。 例如， 将协议内容中的指定字段 <SignatureData></SignatureData>中的数据替换为签名结果。 其中， 客户端软 件在生成协议内容时，可以在该字段中插入一段假的签名结果，作为初始值， 当网络过滤驱动生成新的协议报文时，使用上述 USB Key返回的签名结果替 换原有的假的签名结果， 并相应地修改请求头域， 得到新的协议报文。 在本步骤中， 网络过滤驱动将新的协议报文进行拆分得到多个 IP数据 包的具体过程如下： 在本实施例中， 优选地使用 TCP/IP 协议， 按一定长度 将新的协议 4艮文分为多段数据， 并为每一段数据添加新的 IP协议包头， 将上 述被分成多段的数据按顺序排列并分配一个序号写入到 IP 协议包头中， 其 中， IP协议头中还包括 IP版本、 IP协议包长度、 该 IP数据包的总长度、 目 的地址、 源地址等， 完成拆包操作后， 将上述拆分得到的 IP数据包发送给网 卡驱动。 步骤 111 : 应用月艮务器收到该多个 IP数据包后， 组包得到上述新的协议 报文， 进行解析并验证其中的签名， 验证通过后为客户端提供服务， 进行网 上转账， 流程结束； 步骤 112: USB Key进行异常处理， 流程结束。 其中， 异常处理的方式包括： USB Key拒绝对协议报文进行签名， 并 通知网络过滤驱动停止操作及向用户提示错误； 或者， USB Key返回一个错 误的签名结果给网络过滤驱动， 导致网上交易失败。 在本实施例中， USB Key还可以在得到关键信息后， 不输出该关键信 息给用户进行确认， 而是， 直接对协议报文进行签名， 然后返回签名结果给 代理服务器， 代理服务器根据该签名结果和协议内容生成新的协议报文， 发 送该新的协议报文给应用服务器。 在本实施例中， 如果需要更高的安全性， 步骤 106还可以替换为以下过 程： 网络过滤驱动将协议 4艮文发送给 USB Key, USB Key对该协议 4艮文进 行签名， 并将签名结果返回给网络过滤驱动， 网络过滤驱动根据该签名结果 和协议 4艮文（插入或替换方式）， 生成新的协议 4艮文， 拆分成多个 IP数据包， 然后发送给网卡驱动程序， 通过网卡发送到应用月艮务器， 应用月艮务器收到后 组包得到该新的协议报文， 解析验证其中的签名， 验证通过后为客户端提供 服务。 实施例 2 本实施例提供了一种提高网络应用安全性的系统， 包括： 网络过滤驱动 1 和智能密钥设备 2。 其中， 网络过滤驱动 1安装于客户端主机内， 具体包 括： 接口模块 11 , 用于接收客户端主机内的客户端软件发来的多个 IP数据 包，该多个 IP数据包为客户端软件根据用户输入的信息生成协议报文后拆分 得到的， 还用于与智能密钥设备通讯， 向智能密钥设备发送该协议 4艮文， 接 收智能密钥设备返回的签名结果， 还用于发送新的协议 4艮文拆分后的多个 IP 数据包给网卡驱动， 由网卡驱动发送给应用月艮务器； 存储模块 12 , 用于緩存接口模块 11收到的多个 IP数据包； 组包模块 13 , 用于对接口模块 11收到的多个 IP数据包进行组包操作， 得到上述协议 4艮文； 解析判断模块 14, 用于 居约定的协议对组包模块 13得到的协议 4艮文 进行解析， 判断该协议报文中是否存在网络过滤驱动 1、 智能密钥设备 2和 应用服务器预先约定的关键信息， 如果存在该关键信息， 通过接口模块 11 发送该协议报文给智能密钥设备 2, 如果不存在该关键信息， 通过接口模块 11将存储模块 12緩存的多个 IP数据包通过网卡驱动发送给应用服务器； 报文生成模块 15 ,用于根据接口模块 11收到的签名结果和组包模块 13 得到的协议 4艮文， 生成新的协议 4艮文； 拆分模块 16, 用于将报文生成模块 15得到的新的协议报文拆分为多个 IP数据包， 通过接口模块 11发送给客户端主机内的网卡驱动； 智能密钥设备 2包括： 接口模块 21 , 用于与网络过滤驱动 1通讯， 接收网络过滤驱动 1发送 的协议 4艮文， 向网络过滤驱动 1发送签名结果； 过滤模块 22, 用于解析智能密钥设备的接口模块 21收到的协议报文， 得到所述关键信息； 输出模块 23 , 用于输出过滤模块 22得到的关键信息供用户确认； 确认模块 24, 用于接收用户输入的确认所述关键信息是否正确的信息； 签名模块 25 , 用于当确认模块 24收到的信息为用户确认关键信息正确 时， 对智能密钥设备的接口模块 21 收到的协议报文进行签名， 并通过智能 密钥设备的接口模块 21返回签名结果给网络过滤驱动 1; 异常处理模块 26 , 用于当确认模块 24收到的信息为用户确认关键信息 不正确时， 或者确认模块 24 在预设的时间内未收到用户的确认信息时， 进 行异常处理。 本实施例中， 存储模块 12还用于存储应用服务器的地址， 组包模块 13 具体包括： 比对单元， 用于将网络过滤驱动 1的接口模块 11收到的多个 IP数据包 中的目的地址与存储模块 12存储的应用服务器的地址进行比对； 组包单元， 用于根据比对单元比对的结果， 将接口模块 11收到的多个

IP数据包中目的地址均为所述应用服务器的地址的数据包进行组包操作， 得 到所述协议报文， 将接口模块 11收到的多个 IP数据包中目的地址不为所述 应用服务器的地址的数据包， 通过接口模块 11发送给网卡驱动。 本实施例中， 所述协议 4艮文和新的协议 4艮文均包含有请求头域， 请求头 域中写有所述应用月艮务器的地址， 存储模块 12 还用于存储所述应用月艮务器 的地址， 相应地， 网络过滤驱动 1的解析判断模块 14具体包括： 判断单元， 用于根据约定的协议对组包模块 13得到的所述协议报文进 行解析， 判断该协议 4艮文中是否存在网络过滤驱动 1、 智能密钥设备 2和应 用服务器预先约定的关键信息； 第一处理单元， 用于如果判断单元判断出所述协议 4艮文中存在关键信 息， 则对所述协议报文的的请求头域进行解析， 判断该请求头域中写入的应 用月艮务器地址是否与存储模块 12 存储的应用月艮务器地址一致， 如果一致， 则通过接口模块 11将所述协议报文发送给智能密钥设备 2, 如果不一致， 则 提示用户应用服务器错误； 第二处理单元，用于如果判断单元判断出所述协议 4艮文中不存在关键信 息，则通过接口模块 11将存储模块 12緩存的多个 IP数据包通过网卡驱动发 送给应用服务器。 本实施例中， 解析判断模块 14具体包括： 标识符解析判断单元， 用于 居约定的协议对组包模块 13得到的协议 报文进行解析， 判断该协议报文中是否存在网络过滤驱动 1、 智能密钥设备 2 和应用服务器预先约定的关键信息标识符， 如果存在， 则判断出该协议报 文中存在所述关键信息，通过接口模块 11发送该协议报文给智能密钥设备 2, 如果不存在关键信息，则通过接口模块 11将存储模块 12緩存的多个 IP数据 包通过网卡驱动发送给应用月艮务器； 或者, 字段解析判断单元， 用于根据约定的协议对组包模块 13得到的协议报 文进行解析， 在该协议 4艮文中找到网络过滤驱动 1、 智能密钥设备 2和应用 服务器预先指定的字段， 判断该字段中是否存在数据， 如果存在， 则判断出 该协议报文中存在所述关键信息，通过接口模块 11发送该协议报文给智能密 钥设备 2, 如果不存在， 则判断出该协议报文中不存在所述关键信息， 通过 接口模块 11将存储模块 12緩存的多个 IP数据包通过网卡驱动发送给应用服 务器。 本实施例中， 过滤模块 22具体包括： 标识符过滤单元， 用于判断接口模块 21收到的协议报文中是否存在网 络过滤驱动 1、 智能密钥设备 2和应用服务器预先约定的关键信息标识符， 如果存在， 则根据该关键信息标识符找到所述关键信息； 或者， 字段过滤单元， 用于在智能密钥设备 2的接口模块 21收到的协议报文 中找到网络过滤驱动 1、 智能密钥设备 2和应用服务器预先指定的字段， 判 断该字段中是否存在数据， 如果存在， 则读出该数据， 得到所述关键信息。 本实施例中， 输出模块 23为液晶显示器或音频装置。 本实施例中， 异常处理模块 26具体包括： 第一异常处理单元， 用于当确认模块 24收到的信息为用户确认关键信 息不正确时， 或者确认模块 24 在预设的时间内未收到用户的确认信息时， 通过接口模块 21通知网络过滤驱动 1停止操作， 向用户提示操作失败； 或者， 第二异常处理单元， 用于当确认模块 24收到的信息为用户确认关键信 息不正确时， 或者确认模块 24 在预设的时间内未收到用户的确认信息时， 通过接口模块 21向网络过滤驱动 1返回一个错误的签名结果。 本实施例中， 网络过滤驱动 1的接口模块 11还用于当解析判断模块 14 判断出所述协议报文中不存在关键信息时， 将存储模块 12緩存的多个 IP数 据包发送给网卡驱动， 由网卡驱动发送给所述应用月艮务器。 本实施例中， 智能密钥设备 2的签名模块 25具体包括: 签名单元，用于当确认模块 24收到的信息为用户确认关键信息正确时， 根据个人识别码或个人生物特征对用户的身份进行验证， 如果合法， 则对接 口模块 21收到的协议报文进行签名， 并通过接口模块 21返回签名结果给网 络过滤驱动 1; 如果不合法， 则拒绝对所述协议报文进行签名。 本实施例中， 网络过滤驱动 1的 4艮文生成模块 15具体包括： 第一生成单元， 用于将网络过滤驱动 1的接口模块 11接收到的签名结 果插入到所述协议 4艮文中， 并才艮据预先约定的协议对所述协议 4艮文中的请求 头域进行修改， 得到新的协议报文； 或者， 第二生成单元， 用于使用网络过滤驱动 1的接口模块 11接收到的签名 结果对所述协议报文中的指定部分进行替换， 并根据预先约定的协议对所述 协议报文中的请求头域进行修改， 得到新的协议报文。 本发明实施例提供的技术方案通过客户端的网络过滤驱动判断协议 4艮 文中是否存在关键信息， 如果存在， 由智能密钥设备对协议报文进行签名后 返回签名结果给网络过滤驱动， 网络过滤驱动 居签名结果生成新的协议 4艮 文发给网卡驱动程序， 通过网卡发送给应用月艮务器， 在不改动原有客户端的 前提下提高了网络应用的安全性， 可以适用于各种客户端软件， 具有良好的 兼容性、 易用性。 以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明 的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发 明的保护范围之内。

Claims

权 利 要 求 书 一种提高网络应用安全性的方法， 其特征在于， 所述方法包括: 客户端主机内的客户端软件根据用户输入的信息生成协议报文， 并拆分为多个 IP数据包发送； 所述客户端主机内的网络过滤驱动接收并緩存所述多个 IP数据 包， 进行组包操作得到所述协议报文； 所述网络过滤驱动 据约定的协议解析所述协议 4艮文， 判断所述 协议报文中是否存在所述网络过滤驱动、 智能密钥设备和应用服务器 预先约定的关键信息； 如果所述协议 4艮文中存在所述关键信息， 则所述网络过滤驱动将 所述协议艮文发送给所述智能密钥设备， 所述智能密钥设备解析所述 协议报文得到所述关键信息， 输出该关键信息供用户确认； 如果接收到用户确认关键信息正确的信号， 则所述智能密钥 设备对所述协议 4艮文进行签名， 返回签名结果给所述网络过滤驱 动， 所述网络过滤驱动 居所述签名结果和协议 4艮文生成新的协 议报文， 将该新的协议报文拆分为多个 IP数据包， 通过网卡驱动 发送给所述应用服务器； 如果接收到用户确认关键信息不正确的信号或在预设的时 间内没有接收到用户进行确认的信号， 则所述智能密钥设备进行 异常处理； 如果所述协议 4艮文中不存在所述关键信息， 则所述网络过滤驱动 将緩存的所述多个 IP 数据包通过所述网卡驱动发送给所述应用月艮务

根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述客户端主机内的网络过滤驱动接收并緩存所述多个 IP数据包， 进行 组包操作得到所述协议 4艮文， 包括： 所述客户端主机内的网络过滤驱动接收并緩存所述多个 IP数据 包; 将所述多个 IP数据包中的目的地址与预先存储的所述应用月艮务 器的地址进行比对； 将所述多个 IP数据包中目的地址均为所述应用月艮务器的地址的 数据包进行组包操作， 得到所述协议报文， 将所述多个 IP数据包中目 的地址不为所述应用月艮务器的地址的数据包发送给所述网卡驱动。 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述网络过滤驱动根据约定的协议解析所述协议报文， 判断所述协议报 文中是否存在所述网络过滤驱动、 智能密钥设备和应用服务器预先约 定的关键信息， 具体包括： 所述网络过滤驱动 据约定的协议解析所述协议 4艮文， 判断所述 协议 4艮文中是否存在所述网络过滤驱动、 所述智能密钥设备和所述应 用服务器预先约定的关键信息标识符， 如果存在， 则判断出所述协议 报文中存在所述关键信息； 或者， 所述网络过滤驱动 -据约定的协议解析所述协议 4艮文， 在所述协 议报文中找到所述网络过滤驱动、 所述智能密钥设备和所述应用服务 器指定的字段， 判断该字段中是否存在数据， 如果存在， 则判断出所 述协议 4艮文中存在所述关键信息。 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述协议 4艮文和新的协议 4艮文均包含有请求头域， 所述请求头域中写有 所述应用月艮务器的地址。 根据权利要求 4所述的提高网络应用安全性的方法， 其特征在于， 所 述网络过滤驱动将所述协议报文发送给所述智能密钥设备， 包括： 所述网络过滤驱动对所述协议报文的请求头域进行解析， 判断所 述请求头域中写入的应用月艮务器地址是否与所述网络过滤驱动存储的 应用月艮务器地址一致； 如果一致， 则执行所述网络过滤驱动将所述协议报文发送给所述 智能密钥设备的步骤； 如果不一致， 则所述网络过滤驱动提示用户应用月艮务器错误， 流 程结束。

6. 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述智能密钥设备解析所述协议报文得到所述关键信息， 包括： 所述智能密钥设备解析所述协议 4艮文， 判断所述协议 4艮文中是否 存在所述网络过滤驱动、 所述智能密钥设备和所述应用服务器预先约 定的关键信息标识符， 如果存在， 则根据所述关键信息标识符找到所 述关键信息； 或者， 所述智能密钥设备解析所述协议报文， 在所述协议报文中找到所 述网络过滤驱动、 所述智能密钥设备和所述应用服务器指定的字段， 判断该字段中是否存在数据， 如果存在， 则读出所述数据， 得到所述 关键信息。

7. 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述输出该关键信息供用户确认， 包括： 所述智能密钥设备通过液晶显示器显示输出所述关键信息供用 户确认， 或者通过语音播报的方式播放所述关键信息供用户确认。

8. 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述智能密钥设备进行异常处理， 包括： 所述智能密钥设备通知所述网络过滤驱动停止操作， 向用户提示 操作失败； 或者， 所述智能密钥设备向所述网络过滤驱动返回一个错误的签名结 果。

9. 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述智能密钥设备对所述协议报文进行签名， 包括： 所述智能密钥设备 居个人识别码或个人生物特征对用户的身 份进行验证， 所述个人生物特征包括指紋、 虹膜或静脉识别； 如果合法， 则对所述协议 4艮文进行签名； 如果不合法， 则拒绝对所述协议 ^艮文进行签名， 流程结束。

10. 根据权利要求 1所述的提高网络应用安全性的方法， 其特征在于， 所 述网络过滤驱动 居所述签名结果和协议 4艮文生成新的协议 4艮文， 包 括： 所述网络过滤驱动将接收到的签名结果插入到所述协议报文中， 并才艮据预先约定的协议对所述协议 4艮文中的请求头域进行爹改， 得到 新的协议 4艮文； 或者， 所述网络过滤驱动使用接收到的签名结果对所述协议报文中的 指定部分进行替换， 并根据预先约定的协议对所述协议报文中的请求 头域进行修改， 得到新的协议报文。

11. 根据权利要求 1至 10中任一权利要求所述的提高网络应用安全性的方 法， 其特征在于， 所述约定的协议包括超文本传输协议 http和 /或安全 的超文本传输协议 https„

12. 一种提高网络应用安全性的系统， 其特征在于， 所述系统包括： 智能 密钥设备和客户端主机内的网络过滤驱动； 所述网络过滤驱动包括： 第一接口模块， 用于接收客户端主机内的客户端软件发来的 多个 IP数据包， 所述多个 IP数据包为所述客户端软件才艮据用户 输入的信息生成协议报文后拆分得到的， 并与所述智能密钥设备 通讯， 向所述智能密钥设备发送所述协议艮文， 接收所述智能密 钥设备返回的签名结果， 还用于发送新的协议 4艮文拆分后的多个

IP数据包给网卡驱动， 由所述网卡驱动发送给所述应用月艮务器； 存储模块， 用于緩存所述第一接口模块收到的所述多个 IP 数据包； 组包模块， 用于对所述第一接口模块收到的所述多个 IP数 据包进行组包操作， 得到所述协议报文； 解析判断模块， 用于才艮据约定的协议对所述组包模块得到的 所述协议 4艮文进行解析， 判断所述协议 4艮文中是否存在所述网络 过滤驱动、 智能密钥设备和应用服务器预先约定的关键信息， 如 果存在所述关键信息， 通过所述第一接口模块发送所述协议报文 给所述智能密钥设备， 如果不存在所述关键信息， 通过所述第一 接口模块将所述存储模块緩存的所述多个 IP数据包通过所述网卡 驱动发送给所述应用月艮务器； 报文生成模块， 用于根据所述第一接口模块收到的签名结果 和所述组包模块得到的所述协议 4艮文， 生成新的协议 4艮文； 拆分模块， 用于将所述报文生成模块得到的所述新的协议报 文拆分为多个 IP数据包， 通过所述第一接口模块发送给所述客户 端主机内的网卡驱动； 所述智能密钥设备包括： 第二接口模块， 用于与所述网络过滤驱动通讯， 接收所述网 络过滤驱动发送的协议 4艮文 ,向所述网络过滤驱动发送签名结果； 过滤模块， 用于解析所述智能密钥设备的第二接口模块收到 的协议报文， 得到所述关键信息； 输出模块， 用于输出所述过滤模块得到的关键信息供用户确 认； 确认模块， 用于接收用户输入的确认所述关键信息是否正确 的信息； 签名模块， 用于当所述确认模块收到的信息为用户确认关键 信息正确时， 对所述智能密钥设备的第二接口模块收到的协议报 文进行签名， 并通过所述智能密钥设备的第二接口模块返回签名 结果给所述网络过滤驱动； 异常处理模块， 用于当所述确认模块收到的信息为用户确认 关键信息不正确时， 或者所述确认模块在预设的时间内未收到用 户的确认信息时， 进行异常处理。

13. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述存储模块还用于存储所述应用月艮务器的地址， 所述组包模块包括： 比对单元， 用于将所述网络过滤驱动的第一接口模块收到的所述 多个 IP数据包中的目的地址与所述存储模块存储的所述应用服务器的 地址进行比对； 组包单元， 用于才艮据所述比对单元比对的结果， 将所述多个 IP 数据包中目的地址均为所述应用服务器的地址的数据包进行组包操 作， 得到所述协议 4艮文， 将所述多个 IP数据包中目的地址不为所述应 用月艮务器的地址的数据包通过所述网络过滤驱动的第一接口模块发送 给所述网卡驱动。

14. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述协议 4艮文和新的协议 4艮文均包含有请求头域， 所述请求头域中写有 所述应用月艮务器的地址， 所述存储模块还用于存储所述应用月艮务器的 地址， 所述解析判断模块具体包括： 判断单元， 用于根据约定的协议对所述组包模块得到的所述协议 报文进行解析， 判断所述协议报文中是否存在所述网络过滤驱动、 智 能密钥设备和应用服务器预先约定的关键信息； 第一处理单元， 用于如果所述判断单元判断出所述协议 4艮文中存 在所述关键信息， 则对所述协议 4艮文的请求头域进行解析， 判断所述 请求头域中写入的应用服务器地址是否与所述存储模块存储的应用服 务器地址一致， 如果一致， 则通过所述第一接口模块将所述协议报文 发送给所述智能密钥设备， 如果不一致， 则提示用户应用服务器错误； 第二处理单元， 用于如果所述判断单元判断出所述协议 4艮文中不 存在所述关键信息， 则通过所述第一接口模块将所述存储模块緩存的 所述多个 IP数据包通过所述网卡驱动发送给所述应用月艮务器。

15. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述解析判断模块具体包括： 标识符解析判断单元， 用于才艮据约定的协议对所述组包模块得到 的所述协议 4艮文进行解析， 判断所述协议 4艮文中是否存在所述网络过 滤驱动、 智能密钥设备和应用服务器预先约定的关键信息标识符， 如 果存在， 则判断出所述协议 4艮文中存在所述关键信息， 通过所述网络 过滤驱动的第一接口模块发送所述协议报文给所述智能密钥设备， 如 果不存在所述关键信息， 通过所述第一接口模块将所述存储模块緩存 的所述多个 IP数据包通过所述网卡驱动发送给所述应用月艮务器； 或者， 字段解析判断单元， 用于根据约定的协议对所述组包模块得到的 所述协议 4艮文进行解析， 在所述协议 4艮文中找到所述网络过滤驱动、 智能密钥设备和应用服务器预先指定的字段， 判断该字段中是否存在 数据， 如果存在， 则判断出所述协议报文中存在所述关键信息， 通过 所述网络过滤驱动的第一接口模块发送所述协议 4艮文给所述智能密钥 设备， 如果不存在， 则判断出所述协议报文中不存在所述关键信息， 通过所述第一接口模块将所述存储模块緩存的所述多个 IP数据包通过 所述网卡驱动发送给所述应用月艮务器。

16. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述过滤模块具体包括： 标识符过滤单元， 用于判断所述智能密钥设备的第二接口模块收 到的协议报文中是否存在所述网络过滤驱动、 智能密钥设备和应用服 务器预先约定的关键信息标识符， 如果存在， 则根据所述关键信息标 识符找到所述关键信息； 或者， 字段过滤单元， 用于在所述智能密钥设备的第二接口模块收到的 协议报文中找到所述网络过滤驱动、 智能密钥设备和应用服务器预先 指定的字段， 判断该字段中是否存在数据， 如果存在， 则读出所述数 据， 得到所述关键信息。

17. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述输出模块为液晶显示器或音频装置。

18. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述异常处理模块包括： 第一异常处理单元， 用于当所述确认模块收到的信息为用户确认 关键信息不正确时， 或者所述确认模块在预设的时间内未收到用户的 确认信息时， 通过所述智能密钥设备的第二接口模块通知所述网络过 滤驱动停止操作， 向用户提示操作失败； 或者， 第二异常处理单元， 用于当所述确认模块收到的信息为用户确认 关键信息不正确时， 或者所述确认模块在预设的时间内未收到用户的 确认信息时， 通过所述智能密钥设备的第二接口模块向所述网络过滤 驱动返回一个错误的签名结果。

19. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述智能密钥设备的签名模块具体包括： 签名单元， 用于当所述确认模块收到的信息为用户确认关键信息 正确时， 根据个人识别或个人生物特征对用户的身份进行验证， 如果 合法， 则对所述智能密钥设备的第二接口模块收到的协议报文进行签 名， 并通过所述智能密钥设备的第二接口模块返回签名结果给所述网 络过滤驱动； 如果不合法， 则拒绝对所述协议报文进行签名。

20. 根据权利要求 12所述的提高网络应用安全性的系统， 其特征在于， 所 述网络过滤驱动的报文生成模块包括： 第一生成单元， 用于将所述网络过滤驱动的第一接口模块接收到 的签名结果插入到所述协议 4艮文中， 并 居预先约定的协议对所述协 议报文中的请求头域进行修改， 得到新的协议报文； 或者， 第二生成单元， 用于使用所述网络过滤驱动的第一接口模块接收 到的签名结果对所述协议报文中的指定部分进行替换， 并根据预先约 定的协议对所述协议报文中的请求头域进行修改，得到新的协议报文。