WO2012083732A1

WO2012083732A1 - 在web中传输数据时进行加解密的方法及系统

Info

Publication number: WO2012083732A1
Application number: PCT/CN2011/079634
Authority: WO
Inventors: 杨谦; 肖衡; 于涛
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2010-12-22
Filing date: 2011-09-14
Publication date: 2012-06-28
Also published as: CN102546562A; US8966243B2; US20130117555A1

Description

在 web中传输数据时进行加解密的方法及系统技术领域

本发明涉及数据传输技术，尤其涉及在 web中传输数据时进行加解密的方法及系统。发明背景

在 web应用中，用户终端基于浏览器平台与 web服务器之间进行数据传输。一般地，采用 AJAX技术，通过超文件传输协议（ HTTP, hypertext transmission protocol )通道在浏览器与 web服务器之间进行数据传输，而 Javascrip是解释性语言，代码算法没有秘密，对于收发的数据不便于做加解密处理，导致传输的数据存在泄露的风险。

浏览器与 web服务器之间的数据传输涉及多种业务，例如即时通讯

( IM, Instant Messaging ) 业务、在线支付业务、网银业务或证券系统业务等。以 IM业务中的 weblM业务为例，该业务特点在于不需要下载和安装客户端，可以在连接网络的 PC上通过浏览器登录 IMweb服务器，接入 IM的服务器集群系统；该业务不像客户端那样可以在 PC上存储一些用户资料，而是在每次接入集群后，从 IMweb服务器获取好友列表等资料，而 HTTP通道采用明文传输的方式，不能对好友列表等资料以及聊天记录等信息进行加解密处理，导致存在信息泄露的风险。

为了提高数据传输的安全性，目前常通过安全超文本传输协议

( HTTPS, Hypertext Transfer Protocol over Secure Socket Layer )通道在浏览器与 web服务器之间进行数据传输。 HTTPS通道是以安全为目的的通道，筒单而言是 HTTP通道的安全版，具体地，在 HTTP下加入安全套接层（SSL, Secure Socket Layer ), HTTPS的安全基础便是 SSL, 加解密操作需要 SSL 协助完成。在统一资源定位器（URL, Uniform Resource Locator )地址中包含 "HTTPS:"就表明通过 HTTPS通道进行数据传输， HTTPS存在不同与 HTTP的默认端口及一个加密 /身份验证层。

现有进行加解密数据传输的方案中，一般都是全程采用 HTTPS 通道来进行数据传输， HTTPS通道会对在浏览器与 web服务器之间传输的数据进行加解密处理，这样，即使数据在传输过程中被网关或路由器上的抓包工具所截获，由于抓包工具无法获知加解密算法，也不会造成数据信息的泄露。图 1示出了现有在 web中传输数据时进行加解密的系统结构示意图。

然而，在浏览器与 web服务器之间通过 HTTPS通道进行数据传输存在以下缺点：

HTTPS对整体构架的使用效率有很大影响，大致是 HTTP对整体构架使用效率影响的 10倍，如果将 HTTP全部用 HTTPS替换，将导致整体性能下降 90 %左右。也就是，现有的方案将增大 HTTPS通道的负荷，降低整体性能。发明内容

本发明提供了在 web中传输数据时进行加解密的方法，该方法能够减小 HTTPS通道的负荷。

本发明提供了在 web中传输数据时进行加解密的系统，该系统能够减小 HTTPS通道的负荷。

一种在 web中传输数据时进行加解密的方法，该方法包括：浏览器向加解密信息提供设备发送加解密信息获取请求；

加解密信息提供设备通过 HTTPS通道将加解密信息发送给浏览器，所述加解密信息包括加解密算法及加解密索引；

浏览器采用所述加解密算法对待发送数据进行加密，将加密数据和所述加解密索引通过 HTTP通道发送给 web服务器；

web服务器根据所述加解密索引从加解密信息提供设备获取对应的加解密算法，对所述加密数据进行解密。

另一种在 web中传输数据时进行加解密的方法，该方法包括： web服务器向加解密信息提供设备发送加解密信息获取请求；加解密信息提供设备获取包含加解密算法及加解密索引的加解密信息，发送给 web服务器；

web 服务器采用加解密信息中的加解密算法对待发送数据进行加密，将加密数据和加解密信息中的加解密索引通过 HTTP通道发送给浏览器；

浏览器通过 HTTPS通道从加解密信息提供设备获取与 web服务器发送的加解密索引对应的加解密算法，对 web服务器发送的加密数据进行解密。

一种在 web中传输数据时进行加解密的系统，该系统包括用户终端、 web服务器和加解密信息提供设备；

所述用户终端，基于浏览器向加解密信息提供设备发送加解密信息获取请求，接收所述加解密信息提供设备发送的包含加解密算法和加解密索引的加解密信息，所述浏览器采用所述加解密算法对待发送数据进行加密，将加密数据和所述加解密索引通过 HTTP通道发送给所述 web 服务器；

所述 web服务器，用于接收所述浏览器发送的加密数据和所述加解密索引，根据所述加解密索引从所述加解密信息提供设备获取对应的加解密算法，对所述加密数据进行解密；所述加解密信息提供设备，用于接收所述浏览器发送的加解密信息获取请求，通过 HTTPS通道将加解密信息发送给所述浏览器；并根据所述 web服务器的请求提供与加解密索引对应的加解密算法。

从上述方案可以看出，本发明中，浏览器通过安全性较高的 HTTPS 通道向加解密信息提供设备请求加解密信息，对待发送数据进行加密后通过 HTTP通道传送给 web服务器， web服务器再从加解密信息提供设备获取相应的加解密算法对加密数据进行解密。这样，通过加解密信息提供设备向浏览器和 web服务器提供加解密信息，实现了在浏览器与 web服务器之间采用 HTTP通道进行加密数据的传输，而不用在浏览器和 web服务器之间采用 HTTPS通道进行数据传输，减小 HTTPS通道的负荷，提高了整体性能。附图简要说明图 1 为现有技术在 web 中传输数据时进行加解密的系统结构示意图；

图 2为本发明在 web中传输数据时进行加解密的系统结构示意图；图 3 为本发明在 web 中传输数据时进行加解密的方法示意性流程图；

图 4为本发明在 web中传输数据时进行加解密的方法流程图实例。实施本发明的方式为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明进一步详细说明。

本发明设置加解密信息提供设备，通过加解密信息提供设备向浏览器和 web服务器提供进行加解密处理时需要的加解密信息，并在浏览器与 web服务器之间采用 HTTP通道进行加密数据的传输，这样，无需在浏览器和 web服务器之间采用 HTTPS通道进行数据传输来提高数据安全性，从而，在保证传输数据安全性的基础上，减小了 HTTPS通道的负荷，提高了整体性能。

参见图 2, 为本发明在 web中传输数据时进行加解密的系统结构示意图，该系统包括用户终端、 web服务器和加解密信息提供设备；

所述 web服务器，用于接收所述浏览器发送的加密数据和所述加解密索引，根据所述加解密索引从所述加解密信息提供设备获取对应的加解密算法，对所述加密数据进行解密；

所述加解密信息提供设备，用于接收所述浏览器发送的加解密信息获取请求，通过 HTTPS通道将加解密信息发送给所述浏览器；并根据所述 web服务器的请求提供与加解密索引对应的加解密算法。

为了提高安全性，加解密信息提供设备与用户终端之间通过 HTTPS 通道进行信息交互，通过 HTTPS通道传输的信息都经过加密，即使在这段传输中有信息被抓包工具所截获，抓包工具也无法进行分析以获知截获的信息。

加解密信息提供设备可以通过一个服务器实现，也可以通过算法服务器和 HTTPS服务器实现；这里，以加解密信息提供设备通过算法服务器和 HTTPS服务器实现进行说明：

所述 HTTPS服务器，用于接收所述浏览器发送的加解密信息获取请求，向所述算法服务器传送加解密信息获取请求；接收所述算法服务器反馈的加解密信息，通过 HTTPS通道发送给所述浏览器；

所述算法服务器，用于接收所述 HTTPS 服务器发送的加解密信息获取请求，获取相应的加解密信息，通过内网反馈给所述 HTTPS服务器。为了提高安全性，算法服务器与 web服务器之间，以及算法服务器与 HTTPS服务器，都通过内网进行通信。

可选地，所述加解密信息提供设备还包括管理服务器，用于对算法服务器中的加解密信息进行实时更新。具体地，可以对加解密信息进行更换，或者，对加解密算法、加解密密钥的生成规则进行修改。对算法服务器中的加解密信息进行实时更新，可避免被外界恶意垃取或分析以猜测到加解密规律。

进一步地，为了提高 web服务器向浏览器传输数据的安全性， web 服务器向浏览器进行数据传输时：

所述 web服务器，还用于从所述加解密信息提供设备获取包含加解密算法及加解密索引的加解密信息，采用加解密信息中的加解密算法对待发送数据进行加密，将加密数据和加解密信息中的加解密索引通过 HTTP通道发送给所述浏览器；

所述用户终端，还基于浏览器通过 HTTPS 通道从所述加解密信息提供设备获取与所述 web服务器发送的加解密索引对应的加解密算法，对所述 web服务器发送的加密数据进行解密。

本发明还提供了在 web中传输数据时进行加解密的方法，其流程如图 3所示，其包括以下步骤：

步骤 301 ,浏览器向加解密信息提供设备发送加解密信息获取请求。步骤 302,加解密信息提供设备通过 HTTPS通道将加解密信息发送给浏览器，所述加解密信息包括加解密算法及加解密索引。

步骤 303, 浏览器采用所述加解密算法对待发送数据进行加密，将加密数据和所述加解密索引通过 HTTP通道发送给 web服务器。

步骤 304, web服务器根据加解密索引从加解密信息提供设备获取对应的加解密算法，对接收到的加密数据进行解密。

为了节省 web服务器的存储空间，本步骤 web服务器对所述加密数据进行解密之后，可删除从算法服务器获取的加解密算法。

如果加解密信息提供设备由 HTTPS服务器和算法服务器实现，则上述流程步骤 302所述加解密信息提供设备通过 HTTPS通道将加解密信息发送给浏览器包括：加解密信息提供设备包含的 HTTPS服务器接收加解密信息获取请求，向加解密信息提供设备包含的算法服务器传送加解密信息获取请求；算法服务器获取相应的加解密信息，通过内网发送给 HTTPS服务器， HTTPS服务器通过 HTTPS通道将加解密信息发送给浏览器；相应地，步骤 304web服务器根据加解密索引从加解密信息提供设备获取加解密算法包括： web服务器根据加解密索引，通过内网从算法服务器获取相应的加解密算法。

加解密信息提供设备存储了加解密算法和相应的加解密索引，所述加解密算法例如包括加解密函数和加解密密钥。接收加解密信息获取请求后，加解密信息提供设备可以从存储的加解密信息中随机选择一组提供给请求方，还可以，按照一定的规范提取加解密信息，例如，若加解密信息提供设备对应域名存储了加解密算法和相应的加解密索引，则加解密信息提供设备接收的加解密信息获取请求中也包含域名，然后根据域名提取相应的加解密信息。

可选地，上述流程还包括：对算法服务器中的加解密信息进行实时更新。

进一步地，为了提高 web服务器向浏览器传输数据的安全性，本发明对 web服务器向浏览器传输的数据也进行加密传输，具体包括： web服务器向加解密信息提供设备发送加解密信息获取请求；加解密信息提供设备获取包含加解密算法及加解密索引的加解密信息，发送给 web服务器；

浏览器与 web服务器之间的数据传输涉及多种业务，例如 IM业务、在线支付业务、网银业务或证券系统业务等。下面以 IM业务中的 IMweb 业务为例，对本发明在 web中传输数据时进行加解密的方法进行详细说明，该方法基于图 3的系统实现，其中 web服务器具体为 IMweb服务器，加解密信息提供设备包括算法服务器和 HTTPS服务器，该方法包括以下步骤：

步骤 401 , 浏览器向 HTTPS服务器发送加解密信息获取请求。

在业务进行过程中，若浏览器有数据需要发送给 IMweb服务器，则执行步骤 401。

在用户个人计算机（PC, Personal Computer ) 的浏览器平台上，先从 IMweb服务器中的静态页面服务器上下载到完整的 JavaScript,然后，浏览器采用 JavaScript向 HTTPS服务器发起加解密信息获取请求。

步骤 402, HTTPS服务器接收加解密信息获取请求，向算法服务器传送加解密信息获取请求。

步骤 403 , 算法服务器获取相应的加解密信息，通过内网发送给 HTTPS服务器， HTTPS服务器通过 HTTPS通道将加解密信息发送给浏览器。

所述加解密信息包括加加解密算法和加解密索引（Index ), 本实例中，所述加解密算法包括解密函数和加解密密钥（key )。

算法服务器负责维护若干加解密函数对（Fun ), 每个加解密函数对包括加密函数 ( EnFun )和解密函数 ( DnFun ), 并生成加解密 Key; 然后将 Fun和 Key组合成队列，并给每个队列设置一个 Index。将 Fun和 Key进行组合时， Fun和 Key可——对应地进行组合，也可进行交叉组合，组合后的一条队列信息例如为表 1所示。

Fun和 Key组合后的队列信息

其中索引（Index )用来查询对应的函数， EnFun用来加密需要传输的数据， DeFun用来解密已经加密的数据， EnFun和 DeFun都采用效率比较高的对称加密算法，可以由管理人员进行设定，加解密 Key 可大量生成，而且不重复、不可逆，标志位 Flag 可标识此队算法是否已经使用，是否已经过期等等。如果用户在 WebIM 上下线，则 WebIM服务器会通知算法服务器及时更新此队列信息的 Flag字段，使其标识为未使用。

浏览器还可以对应加解密索引存储获取的加解密算法，以备多次使用。这样，浏览器无需每次发送数据时都向 HTTPS服务器请求加解密信息，筒化了流程。

步骤 404, 浏览器用接收到的加解密函数、加解密 key对待发送数据进行加密，将加密数据和接收到的加解密索引通过 HTTP通道发送给 IMweb服务器。

浏览器应用 JavaScript, 采用加解密函数、加解密 key对待发送数据进行加密。步骤 405 , IMweb服务器根据加解密索引从算法服务器获取对应的加解密算法，对接收的加密数据进行解密。

IMweb服务器获取加解密算法后，可对应加解密索引存储加解密算法，以备多次使用。这样， IMweb服务器无需每次发送数据时都向算法服务器请求加解密信息，筒化了流程。

对加密数据进行解密后，便可对此数据进行相应处理，例如进行本地计算、向后台服务器发送 UDP数据包以获得反馈数据等，得到处理后的数据，若需要向浏览器返回处理后的数据，则执行步骤 406。

在业务进行过程中，若 IMweb服务器有数据需要发送给浏览器，则执行步骤 406。

步骤 406, IMweb服务器向算法服务器发送加解密信息获取请求。步骤 407, 算法服务器获取包含加解密算法及加解密索引的加解密信息，通过内网发送给 IMweb服务器。

步骤 408, IMweb服务器采用加解密信息中的加解密算法对待发送数据进行加密，将加密数据和加解密信息中的加解密索引通过 HTTP通道发送给浏览器。

步骤 409, 浏览器接收加密数据和加解密索引后，向 HTTPS服务器发送包含加解密索引的加解密信息获取请求。

步骤 410, HTTPS服务器接收包含加解密索引的加解密信息获取请求，向算法服务器传送包含加解密索引的加解密信息获取请求。

步骤 411 , 算法服务器获取与接收的加解密索引对应的加解密算法，通过内网发送给 HTTPS服务器， HTTPS服务器通过 HTTPS通道将加解密算法发送给浏览器。

步骤 412, 浏览器采用接收到的加解密算法，对 IMweb服务器发送的加密数据进行解密。如果步骤 403中浏览器对应加解密索引存储了加解密算法，则浏览器无需再次从 HTTPS服务器获取，而直接采用之前存储的加解密算法对接收到的加密数据进行解密。

步骤 401 - 405是对浏览器向 IMweb服务器传输的数据进行加密传输的流程，步骤 406 - 412是对 IMweb服务器向浏览器传输的数据进行加密传输的流程，步骤 401与 406可无序执行。

采用图 4的方法流程后，即使浏览器与 IMweb服务器之间通过 HTTP通道传输的数据被抓包工具所截获，由于抓包工具不知道加解密算法和加解密 Key, 也就无法获得其中的真实信息。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

权利要求书

1、一种在 web 中传输数据时进行加解密的方法，其特征在于，该方法包括：

浏览器向加解密信息提供设备发送加解密信息获取请求；

2、如权利要求 1所述的方法，其特征在于，所述加解密信息提供设备通过 HTTPS通道将加解密信息发送给浏览器包括：

加解密信息提供设备包含的 HTTPS服务器接收加解密信息获取请求，向加解密信息提供设备包含的算法服务器传送加解密信息获取请求；算法服务器获取相应的加解密信息，通过内网发送给 HTTPS服务器， HTTPS服务器通过 HTTPS通道将加解密信息发送给浏览器。

3、如权利要求 2所述的方法，其特征在于，所述加解密算法包括加解密函数和加解密密钥；

所述 web服务器对所述加密数据进行解密之后，该方法还包括： web服务器删除从算法服务器获取的加解密算法。

4、如权利要求 2所述的方法，其特征在于，该方法还包括：加解密信息提供设备对算法服务器中的加解密信息进行实时更新。

5、如权利要求 2所述的方法，其特征在于，所述加解密信息获取请求中包含域名；所述算法服务器获取相应的加解密信息，通过内网发送给 HTTPS服务器包括：算法服务器提取与所述域名对应的加解密信息，通过内网发送给 HTTPS服务器。

6、一种在 web 中传输数据时进行加解密的方法，其特征在于，该方法包括：

web服务器向加解密信息提供设备发送加解密信息获取请求；加解密信息提供设备获取包含加解密算法及加解密索引的加解密信息，发送给 web服务器；

7、一种在 web 中传输数据时进行加解密的系统，其特征在于，该系统包括用户终端、 web服务器和加解密信息提供设备；

8、如权利要求 7所述的系统，其特征在于，

9、权利要求 7所述的系统，其特征在于，所述加解密信息提供设备包括算法服务器和 HTTPS服务器；

所述算法服务器，用于接收所述 HTTPS 服务器发送的加解密信息获取请求，获取相应的加解密信息，通过内网反馈给所述 HTTPS服务器。

10、如权利要求 9所述的系统，其特征在于，所述加解密信息提供设备还包括管理服务器，用于对所述算法服务器中的加解密信息进行实时更新。