WO2016112580A1

WO2016112580A1 - 业务处理方法及装置

Info

Publication number: WO2016112580A1
Application number: PCT/CN2015/073784
Authority: WO
Inventors: 韦安妮; 熊春山
Original assignee: 华为技术有限公司
Priority date: 2015-01-14
Filing date: 2015-03-06
Publication date: 2016-07-21
Also published as: US20170317836A1; EP3242444A4; CN106031097A; EP3242444A1

Abstract

本发明公开了一种业务处理方法及装置，涉及通信领域，所述方法包括：代理节点接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到；代理节点使用第二密钥解密第一密文，得到业务信息；代理节点将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程；其中，第一密钥和第二密钥是用户代理和代理节点在建立加密连接时约定的密钥。本发明解决了业务处理系统无法解密密文，导致业务处理系统无法为使用SSL/TLS协议的用户代理提供增值业务的问题，达到了扩大增值业务的使用范围的效果。

Description

业务处理方法及装置

本申请要求于2015年01月14日提交中国专利局、申请号为PCT/CN2015/070664、发明名称为“业务处理方法及装置”的专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，特别涉及一种业务处理方法及装置。

背景技术

中间代理节点是一种门户网站站点，相当于因特网入网的网关。门户网站一般都有搜索引擎，供用户查找自己所要访问的其它网站。通常，中间代理节点提供一个包含输入框的网页，用户在输入框中输入所要访问的网站的网址，由中间代理节点转发用户触发的网站访问请求，并将网站的应答数据转发给用户。其中，中间代理节点可以是Portal。

安全套接层(英文：security socket layer；简称：SSL)协议及其继任者传输层安全(英文：transport layer security；简称，TLS)协议用于为网络通信提供加密、身份认证及数据完整性等服务，已被广泛地应用于浏览器与网络服务器之间的安全通信。其中，SSL/TLS协议位于传输层的传输控制协议(英文：transmission control protocol；简称：TCP)协议和应用层的超文本传送协议(英文：hypertext transfer protocol；简称：HTTP)之间。

相关技术提供的一种业务处理方法包括：用户代理(英文：user agent；简称：UA)通过中间代理节点与因特网建立网络连接，用户代理向中间代理节点发送业务信息，中间代理节点将业务信息发送给网络服务器；中间代理节点接收网络服务器返回的业务数据，再将业务数据发送给该用户代理。其中，业务信息可以用于请求网络服务器的网页，也可以用于请求网络服务器中的对象。

在中间代理节点存在的场景下，当在传输层使用SSL/TLS协议时，用户代理和中间代理节点、中间代理节点和网络服务器之间传输的是加密后得到的密文，由于位于用户代理和网络服务器之间的业务处理系统无法解密密文，导致业务处理系统无法为用户代理提供增值业务。其中，业务处理系统可以是GI接口-局域网(英文：GI-Local Area Network；简称：GI-LAN)，GI-LAN是指在GI接口之后，因特网之前的网络，由具有不同功能的业务使能单元组成。其中，不同的业务使能单元可以串接形成业务链，业务链用于提供增值业务。比如，具有缓存功能的业务使能单元和具有防火墙功能的业务使能单元依次串接形成视频业务的业务链。

发明内容

为了解决业务处理系统无法解密密文，导致业务处理系统无法为使用SSL/TLS协议的用户代理提供增值业务的问题，本发明实施例提供了一种业务处理方法及装置。所述技术方案如下：

第一方面，提供了一种业务处理方法，所述方法包括：

代理节点接收用户代理发送的第一密文，所述第一密文由所述用户代理使用第一密钥对业务信息进行加密得到；

所述代理节点使用第二密钥解密所述第一密文，得到所述业务信息；

所述代理节点将所述业务信息发送给业务处理系统，以使所述业务处理系统将所述业务信息按照增值业务进行处理，并触发将处理后的所述业务信息发送给网络服务器的流程；

其中，所述第一密钥和所述第二密钥是所述用户代理和所述代理节点在建立加密连接时约定的密钥。

在第一方面的第一种可能的实现方式中，所述代理节点是中间代理节点，所述代理节点将所述业务信息发送给业务处理系统之后，还包括：

所述中间代理节点接收所述业务处理系统发送的处理后的所述业务信息；

所述中间代理节点与所述网络服务器建立加密连接，并约定第三密钥和第四密钥；

所述中间代理节点使用所述第三密钥加密所述业务信息，得到第二密文；

所述中间代理节点将所述第二密文发送给所述网络服务器，以使所述网络服务器使用所述第四密钥解密所述第二密文，得到所述业务信息。

根据第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述中间代理节点将所述第二密文发送给所述网络服务器之后，还包括：

所述中间代理节点接收所述网络服务器发送的第三密文，所述第三密文由所述网络服务器使用所述第四密钥对业务数据进行加密得到；

所述中间代理节点使用所述第三密钥解密所述第三密文，得到所述业务数据；

所述中间代理节点将所述业务数据发送给所述业务处理系统，以使所述业务处理系统将所述业务数据按照增值业务进行处理，将处理后的所述业务数据发送给所述中间代理节点；

所述中间代理节点使用所述第二密钥加密处理后的所述业务数据，得到第四密文；

所述中间代理节点将所述第四密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第四密文，得到所述业务数据。

根据第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述代理节点接收用户代理发送的第一密文之前，还包括：

所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求，指示所述用户代理发送第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一访问请求用于请求访问所述网络服务器；或，

所述中间代理节点接收所述用户代理发送的第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。

根据第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述指示所述用户代理发送第一连接建立请求，包括：

通过重定向响应指示所述用户代理发送所述第一连接建立请求。

根据第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，

所述重定向响应包括所述中间代理节点的网址，或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。

根据第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现方式中，当所述重定向响应包括所述中间代理节点的网址时，所述中间代理节点根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接之后，还包括：

所述中间代理节点接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述中间代理节点使用所述第二密钥解密所述第五密文，得到所述第二访问请求；

所述中间代理节点获取所述中间代理节点的网页；

所述中间代理节点使用所述第二密钥加密所述网页，得到第六密文；

所述中间代理节点将所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。

在第一方面的第七种可能的实现方式中，所述代理节点是位于所述用户代理和中间代理节点之间的前端代理节点，所述代理节点将所述业务信息发送给业务处理系统之后，还包括：

所述前端代理节点接收所述业务处理系统发送的业务数据；

所述前端代理节点使用所述第二密钥加密所述业务数据，得到第七密文；

所述前端代理节点将所述第七密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第七密文，得到所述业务数据。

根据第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，所述代理节点接收用户代理发送的第一密文之前，还包括：

所述前端代理节点截获所述用户代理向中间代理节点发送的第二连接建立请求，所述第二连接建立请求包括所述中间代理节点的目的因特网协议IP地址；

所述前端代理节点根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接。

根据第一方面的第八种可能的实现方式，在第一方面的第九种可能的实现方式中，

所述第二连接建立请求是所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求后，通过重定向响应指示所述用户代理发送的，所述第一访问请求用于请求访问所述网络服务器，或，

所述第二连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。

根据第一方面的第九种可能的实现方式，在第一方面的第十种可能的实现方式中，当所述第二连接建立请求是所述中间代理节点截获所述第一访问请求后，通过重定向响应指示所述用户代理发送的时，

所述重定向响应包括所述中间代理节点的网址；或，

根据第一方面的第十种可能的实现方式，在第一方面的第十一种可能的实现方式中，当所述重定向响应包括所述中间代理节点的网址时，

所述前端代理节点根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接之后，还包括：

所述前端代理节点接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述前端代理节点使用所述第二密钥解密所述第五密文，得到所述第二访问请求；

所述前端代理节点将所述第二访问请求发送给所述业务处理系统，以使所述业务处理系统将所述第二访问请求按照增值业务进行处理，将处理后的所述第二访问请求请求发送给所述中间代理节点；

所述前端代理节点使用所述第二密钥加密所述业务处理系统发送的网页，得到第六密文，所述网页由所述中间代理节点发送给所述业务处理系统；

所述前端代理节点将所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。

根据第一方面的第八种可能的实现方式或第一方面的第九种可能的实现方式或第一方面的第十种可能的实现方式或第一方面的第十一种可能的实现方式，在第一方面的第十二种可能的实现方式中，所述前端代理节点根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接，包括：

所述节点信息包括数字证书和私钥，所述前端代理节点将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，使用所述私钥对所述加密信息进行解密得到预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；或，

所述节点信息包括数字证书，所述前端代理节点将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，将所述加密信息发送给所述中间代理节点，接收所述中间代理节点使用私钥对所述加密信息进行解密后发送的预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；

其中，所述预主密钥用于生成所述第一密钥和所述第二密钥。

根据第一方面的第三种可能的实现方式，在第一方面的第十三种可能的实现方式中，

所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求之前，还包括：

所述中间代理节点截获所述用户代理向所述网络服务器发送的传输控制协议TCP连接请求；

所述中间代理节点读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，所述加密代理连接供所述用户代理向所述网络服务器发送所述第一访问请求。

根据第一方面的第十三种可能的实现方式，在第一方面的第十四种可能的实现方式中，所述利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，包括：

所述中间代理节点向所述用户代理发送第一数字证书，所述第一数字证书是证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述证书颁发机构的第二数字证书预先配置在所述用户代理中或安装有所述用户代理的终端的操作系统中，以使所述用户代理根据所述第二数字证书验证所述第一数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接；或，

所述中间代理节点向所述用户代理发送第三数字证书和第四数字证书，所述第三数字证书是非授权证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述第四数字证书是所述非授权证书颁发机构的数字证书，以使所述用户代理根据所述第四数字证书验证所述第三数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接。

根据第一方面的第九种可能的实现方式，在第一方面的第十五种可能的实现方式中，所述第二连接建立请求是所述中间代理节点通过加密代理连接截获所述用户代理向所述网络服务器发送的所述第一访问请求后，指示所述用户代理发送的，所述加密代理连接是所述中间代理节点截获所述用户代理向所述网络服务器发送的TCP连接请求，读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立的。

第二方面，提供了一种业务处理装置，用于代理节点中，所述装置包括：

第一接收模块，用于接收用户代理发送的第一密文，所述第一密文由所述用户代理使用第一密钥对业务信息进行加密得到；

第一解密模块，用于使用第二密钥解密所述第一接收模块接收到的所述第一密文，得到所述业务信息；

第一发送模块，用于将所述第一解密模块解密后得到的所述业务信息发送给业务处理系统，以使所述业务处理系统将所述业务信息按照增值业务进行处理，并触发将处理后的所述业务信息发送给网络服务器的流程；

在第二方面的第一种可能的实现方式中，所述代理节点是中间代理节点，所述装置，还包括：

第二接收模块，用于在所述第一发送模块将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的处理后的所述业务信息；

密钥约定模块，用于与所述网络服务器建立加密连接，并约定第三密钥和第四密钥；

第一加密模块，用于使用所述密钥约定模块约定的所述第三密钥加密所述业务信息，得到第二密文；

第二发送模块，用于将所述第一加密模块加密后的所述第二密文发送给所述网络服务器，以使所述网络服务器使用所述第四密钥解密所述第二密文，得到所述业务信息。

根据第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述装置，还包括：

第三接收模块，用于在所述第二发送模块将所述第二密文发送给所述网络服务器之后，接收所述网络服务器发送的第三密文，所述第三密文由所述网络服务器使用所述第四密钥对业务数据进行加密得到；

第二解密模块，用于使用所述第三密钥解密所述第三接收模块接收到的所述第三密文，得到所述业务数据；

第三发送模块，用于将所述第二解密模块解密后的所述业务数据发送给所述业务处理系统，以使所述业务处理系统将所述业务数据按照增值业务进行处理，将处理后的所述业务数据发送给所述中间代理节点；

第二加密模块，用于使用所述第二密钥加密处理后的所述业务数据，得到第四密文；

第四发送模块，用于将所述第二加密模块加密后的所述第四密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第四密文，得到所述业务数据。

根据第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述装置，还包括：

第一建立模块，用于在所述第一接收模块接收用户代理发送的第一密文之前，截获所述用户代理向所述网络服务器发送的第一访问请求，指示所述用户代理发送第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一访问请求用于请求访问所述网络服务器；或，

第二建立模块，用于在所述第一接收模块接收用户代理发送的第一密文之前，接收所述用户代理发送的第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。

根据根据第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述第一建立模块，具体用于通过重定向响应指示所述用户代理发送所述第一连接建立请求。

根据第二方面的第四种可能的实现方式，在第二方面的第五种可能的实现方式中，

所述重定向响应包括所述中间代理节点的网址，或，

根据第二方面的第五种可能的实现方式，在第二方面的第六种可能的实现方式中，当所述重定向响应包括所述中间代理节点的网址时，所述装置，还包括：

第四接收模块，用于在所述第一建立模块根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

第三解密模块，用于使用所述第二密钥解密所述第五接收模块接收到的所述第五密文，得到所述第二访问请求；

网页获取模块，用于获取所述中间代理节点的网页；

第三加密模块，用于使用所述第二密钥加密所述网页获取模块获取的所述网页，得到第六密文；

第五发送模块，用于将所述第三加密模块加密后的所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。

在第二方面的第七种可能的实现方式中，所述代理节点是位于所述用户代理和中间代理节点之间的前端代理节点，所述装置，还包括：

第五接收模块，用于在所述第一发送模块将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的业务数据；

第四加密模块，用于使用所述第二密钥加密所述第五接收模块接收到的所述业务数据，得到第七密文；

第六发送模块，用于将所述第四加密模块加密后的所述第七密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第七密文，得到所述业务数据。

根据第二方面的第七种可能的实现方式，在第二方面的第八种可能的实现方式中，所述装置，还包括：

请求截获模块，用于在所述第一接收模块接收用户代理发送的第一密文之前，截获所述用户代理向中间代理节点发送的第二连接建立请求，所述第二连接建立请求包括所述中间代理节点的目的因特网协议IP地址，所述第二连接建立请求是所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求后，通过重定向响应指示所述用户代理发送的，所述第一访问请求用于请求访问所述网络服务器，或，所述第二连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的；

第三建立模块，用于根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接。

根据第二方面的第八种可能的实现方式，在第二方面的第九种可能的实现方式中，

所述第二连接建立请求是所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求后，指示所述用户代理发送的，所述第一访问请求用于请求访问所述网络服务器，或，

根据第二方面的第九种可能的实现方式，在第二方面的第十种可能的实现方式中，当所述第二连接建立请求是所述中间代理节点截获所述第一访问请求后，通过重定向响应指示所述用户代理发送的时，

所述重定向响应包括所述中间代理节点的网址；或，

根据第二方面的第十种可能的实现方式，在第二方面的第十一种可能的实现方式中，当所述重定向响应包括所述中间代理节点的网址时，所述装置，还包括：

第六接收模块，用于在所述第三建立模块根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

第四解密模块，用于使用所述第二密钥解密所述第六接收模块接收到的所述第五密文，得到所述第二访问请求；

第七发送模块，用于将所述第四解密模块解密后的所述第二访问请求发送给所述业务处理系统，以使所述业务处理系统将所述第二访问请求按照增值业务进行处理，将处理后的所述第二访问请求请求发送给所述中间代理节点；

第五加密模块，用于所述第二密钥加密所述业务处理系统发送的网页，得到第六密文，所述网页由所述中间代理节点发送给所述业务处理系统；

第八发送模块，用于将所述第五加密模块加密后的所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。

根据第二方面的第八种可能的实现方式或第二方面的第九种可能的实现方式或第二方面的第十种可能的实现方式或第二方面的第十一种可能的实现方式，在第二方面的第十二种可能的实现方式中，所述第三建立模块，具体用于

所述节点信息包括数字证书和私钥，将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，使用所述私钥对所述加密信息进行解密得到预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；或，

所述节点信息包括数字证书，将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，将所述加密信息发送给所述中间代理节点，接收所述中间代理节点使用私钥对所述加密信息进行解密后发送的预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；

根据第二方面的第三种可能的实现方式，在第二方面的第十三种可能的实现方式中，所述装置，还包括：

请求获取模块，用于所述第一建立模块截获所述用户代理向所述网络服务器发送的第一访问请求之前，截获所述用户代理向所述网络服务器发送的传输控制协议TCP连接请求；

第四建立模块，用于读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，所述加密代理连接供所述用户代理向所述网络服务器发送所述第一访问请求。

根据第二方面的第十三种可能的实现方式，在第二方面的第十四种可能的实现方式中，所述第四建立模块，具体用于：

向所述用户代理发送第一数字证书，所述第一数字证书是证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述证书颁发机构的第二数字证书预先配置在所述用户代理中或安装有所述用户代理的终端的操作系统中，以使所述用户代理根据所述第二数字证书验证所述第一数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接；或，

向所述用户代理发送第三数字证书和第四数字证书，所述第三数字证书是非授权证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述第四数字证书是所述非授权证书颁发机构的数字证书，以使所述用户代理根据所述第四数字证书验证所述第三数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接。

根据第二方面的第九种可能的实现方式，在第二方面的第十五种可能的实现方式中，所述第二连接建立请求是所述中间代理节点通过加密代理连接截获所述用户代理向所述网络服务器发送的所述第一访问请求后，指示所述用户代理发送的，所述加密代理连接是所述中间代理节点截获所述用户代理向所述网络服务器发送的TCP连接请求，读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立的。

第三方面，提供了一种业务处理装置，用于代理节点中，所述装置包括：总线，以及连接到所述总线的处理器、存储器、发射器和接收器。其中，所述存储器用于存储若干个指令，所述指令被配置成由所述处理器执行；

所述接收器，用于接收用户代理发送的第一密文，所述第一密文由所述用户代理使用第一密钥对业务信息进行加密得到；

所述处理器，用于使用第二密钥解密所述接收器接收到的所述第一密文，得到所述业务信息；

所述发射器，用于将所述处理器解密后的所述业务信息发送给业务处理系统，以使所述业务处理系统将所述业务信息按照增值业务进行处理，并触发将处理后的所述业务信息发送给网络服务器的流程；

在第三方面的第一种可能的实现方式中，所述代理节点是中间代理节点，

所述接收器，还用于在所述发射器将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的处理后的所述业务信息；

所述处理器，还用于与所述网络服务器建立加密连接，并约定第三密钥和第四密钥；使用所述第三密钥加密所述业务信息，得到第二密文；

所述发射器，还用于将所述处理器加密后的所述第二密文发送给所述网络服务器，以使所述网络服务器使用所述第四密钥解密所述第二密文，得到所述业务信息。

根据第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，

所述接收器，还用于在所述发射器将所述第二密文发送给所述网络服务器之后，接收所述网络服务器发送的第三密文，所述第三密文由所述网络服务器使用所述第四密钥对业务数据进行加密得到；

所述处理器，还用于使用所述第三密钥解密所述接收器接收到的所述第三密文，得到所述业务数据；

所述发射器，还用于将所述处理器解密后的所述业务数据发送给所述业务处理系统，以使所述业务处理系统将所述业务数据按照增值业务进行处理，将处理后的所述业务数据发送给所述中间代理节点；

所述处理器，还用于使用所述第二密钥加密处理后的所述业务数据，得到第四密文；

所述发射器，还用于将所述处理器加密后的所述第四密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第四密文，得到所述业务数据。

根据第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，

所述接收器，还用于在接收用户代理发送的第一密文之前，截获所述用户代理向所述网络服务器发送的第一访问请求，所述发射器，还用于指示所述用户代理发送第一连接建立请求，所述处理器，还用于根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一访问请求用于请求访问所述网络服务器；或，

所述接收器，还用于在接收用户代理发送的第一密文之前，接收所述用户代理发送的第一连接建立请求，所述处理器，还用于根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。

根据第三方面的第三种可能的实现方式，在第三方面的第四种可能的实现方式中，所述发射器，具体用于通过重定向响应指示所述用户代理发送所述第一连接建立请求。

根据第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，

所述重定向响应包括所述中间代理节点的网址，或，

根据第三方面的第五种可能的实现方式，在第三方面的第六种可能的实现方式中，当所述重定向响应包括所述中间代理节点的网址时，

所述接收器，还用于在所述处理器根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述处理器，还用于使用所述第二密钥解密所述接收器接收到的所述第五密文，得到所述第二访问请求；获取所述中间代理节点的网页；使用所述第二密钥加密所述网页，得到第六密文；

所述发射器，还用于将所述所述处理器加密后的第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。

在第三方面的第七种可能的实现方式中，所述代理节点是位于所述用户代理和中间代理节点之间的前端代理节点，还包括：

所述接收器，还用于在所述发射器将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的业务数据；

所述处理器，还用于使用所述第二密钥加密所述接收器接收到的所述业务数据，得到第七密文；

所述发射器，还用于将所述处理器加密后的所述第七密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第七密文，得到所述业务数据。

根据第三方面的第七种可能的实现方式，在第三方面的第八种可能的实现方式中，

所述接收器，还用于在接收用户代理发送的第一密文之前，截获所述用户代理向中间代理节点发送的第二连接建立请求，所述第二连接建立请求包括所述中间代理节点的目的因特网协议IP地址；

所述处理器，用于根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接。

根据第三方面的第八种可能的实现方式，在第三方面的第九种可能的实现方式中，

根据第三方面的第九种可能的实现方式，在第三方面的第十种可能的实现方式中，当所述第二连接建立请求是所述中间代理节点截获所述第一访问请求后，通过重定向响应指示所述用户代理发送的时，

所述重定向响应包括所述中间代理节点的网址；或，

根据第三方面的第十种可能的实现方式，在第三方面的第十一种可能的实现方式中，当所述重定向响应包括所述中间代理节点的网址时，

所述接收器，还用于在所述处理器根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述处理器，还用于使用所述第二密钥解密所述接收器接收到的所述第五密文，得到所述第二访问请求；

所述发射器，还用于将所述处理器解密后的所述第二访问请求发送给所述业务处理系统，以使所述业务处理系统将所述第二访问请求按照增值业务进行处理，将处理后的所述第二访问请求请求发送给所述中间代理节点；

所述处理器，还用于使用所述第二密钥加密所述业务处理系统发送的网页，得到第六密文，所述网页由所述中间代理节点发送给所述业务处理系统；

所述发射器，还用于将所述处理器加密后的所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。

根据第三方面的第八种可能的实现方式或第三方面的第九种可能的实现方式或第三方面的第十种可能的实现方式或第三方面的第十一种可能的实现方式，在第三方面的第十二种可能的实现方式中，

所述节点信息包括数字证书和私钥，所述发射器，具体用于将所述数字证书发送给所述用户代理，所述接收器，具体用于接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，所述处理器，具体用于使用所述私钥对所述加密信息进行解密得到预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；或，

所述节点信息包括数字证书，所述发射器，具体用于将所述数字证书发送给所述用户代理，所述接收器，具体用于接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，所述发射器，还用于将所述加密信息发送给所述中间代理节点，所述接收器，还用于接收所述中间代理节点使用私钥对所述加密信息进行解密后发送的预主密钥，所述处理器，具体用于使用所述目的IP地址与所述用户代理建立所述加密连接；

根据第三方面的第三种可能的实现方式，在第三方面的第十三种可能的实现方式中，

所述接收器，还用于截获所述用户代理向所述网络服务器发送的第一访问请求之前，截获所述用户代理向所述网络服务器发送的传输控制协议TCP连接请求；

所述处理器，还用于读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，所述加密代理连接供所述用户代理向所述网络服务器发送所述第一访问请求。

根据第三方面的第十三种可能的实现方式，在第三方面的第十四种可能的实现方式中，

所述发射器，还用于向所述用户代理发送第一数字证书，所述第一数字证书是证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述证书颁发机构的第二数字证书预先配置在所述用户代理中或安装有所述用户代理的终端的操作系统中，以使所述用户代理根据所述第二数字证书验证所述第一数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接；或，

所述发射器，还用于向所述用户代理发送第三数字证书和第四数字证书，所述第三数字证书是非授权证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述第四数字证书是所述非授权证书颁发机构的数字证书，以使所述用户代理根据所述第四数字证书验证所述第三数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接。

根据第三方面的第九种可能的实现方式，在第三方面的第十五种可能的实现方式中，所述第二连接建立请求是所述中间代理节点通过加密代理连接截获所述用户代理向所述网络服务器发送的所述第一访问请求后，指示所述用户代理发送的，所述加密代理连接是所述中间代理节点截获所述用户代理向所述网络服务器发送的TCP连接请求，读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立的。

本发明实施例提供的技术方案的有益效果是：

通过接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到；使用第二密钥解密第一密文，得到业务信息；将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程，可以在用户代理使用SSL/TLS协议时，通过代理节点对传输的第一密文进行解密，并将解密后的业务信息发送给业务处理系统，解决了业务处理系统无法解密密文，导致业务处理系统无法为使用SSL/TLS协议的用户代理提供增值业务的问题，达到了扩大增值业务的使用范围的效果。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种业务处理方法的方法流程图；

图2是本发明实施例提供的又一种业务处理方法的方法流程图；

图3是本发明实施例提供的一种TLS连接的建立示意图；

图4A是本发明实施例提供的第一种业务处理方法的应用流程图；

图4B是本发明实施例提供的第二种业务处理方法的应用流程图；

图5是本发明实施例提供的又一种加密连接的建立示意图；

图6A是本发明实施例提供的第三种业务处理方法的应用流程图；

图6B是本发明实施例提供的第四种业务处理方法的应用流程图；

图7是本发明实施例提供的又一种加密连接的建立示意图；

图8A是本发明实施例提供的第五种业务处理方法的应用流程图；

图8B是本发明实施例提供的第六种业务处理方法的应用流程图；

图9是本发明实施例提供的一种业务处理装置的结构示意图；

图10是本发明实施例提供的又一种业务处理装置的结构示意图；

图11是本发明实施例提供的一种业务处理装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

请参见图1，其示出了本发明实施例提供的一种业务处理方法的方法流程图。该业务处理方法，可以包括：

步骤101，代理节点接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到。

步骤102，代理节点使用第二密钥解密第一密文，得到业务信息。

步骤103，代理节点将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程。

其中，第一密钥和第二密钥是用户代理和代理节点在建立加密连接时约定的密钥。

综上所述，本发明实施例提供的业务处理方法，通过接收用户代理发送的第一密文；使用第二密钥解密第一密文，得到业务信息；将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程，可以在用户代理使用SSL/TLS协议时，通过代理节点对传输的第一密文进行解密，并将解密后的业务信息发送给业务处理系统，解决了业务处理系统无法解密密文，导致业务处理系统无法为使用SSL/TLS协议的用户代理提供增值业务的问题，达到了扩大增值业务的使用范围的效果。

请参见图2，其示出了本发明实施例提供的又一种业务处理方法的方法流程图。本实施例以代理节点是中间代理节点、用户代理和中间代理节点建立加密连接、中间代理节点和网络服务器建立加密连接为例进行说明，该业务处理方法，可以包括：

步骤201，中间代理节点接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到。

本实施例中，中间代理节点可以是Portal。当然，中间代理节点还可以是其它站点，本实施例不作限定。

业务信息用于与网络服务器进行业务交互，可以具体用于向网络服务器请求业务，也可以具体用于向网络服务器发送业务数据。其中，当业务信息用于向网络服务器请求业务时，业务信息可以用于请求网络服务器的主页，也可以用于请求网络服务器中的对象(object)，该对象可以是网络服务器中存储的对象，也可以是其它服务器中存储的对象且该对象的统一资源标示符(英文：uniform resource identifier；简称：URI)包含在网络服务器的网页中。

比如，当网络服务器是OTT服务器且业务信息用于向OTT服务器请求OTT服务器的主页时，此时业务信息包括www.ottserver.com；当OTT服务器的网页包括URI且业务信息用于向OTT服务器请求该URI所指示的对象时，假设网页包括的URI为www.ottserver.com/picture1.gif且用户需要获取访问该URI所指示的图片1，此时业务信息包括www.ottserver.com/picture1.gif。

可选的，业务信息可以由中间代理节点对上述网址添加代理指示得到。其中，代理指示用于指示中转业务的中间代理节点，可以是中间代理节点的网址。比如，当中间代理节点是portal时，代理指示可以是中间代理节点的网址www.portal.com。

在添加代理指示，当业务信息用于请求网络服务器提供的主页时，指示信息是网页指示信息，即网络服务器的网址，此时业务信息可以是www.portal.com/view？q＝www.ottserver.com；当业务信息用于请求网络服务器中的对象时，指示信息是对象指示信息，即对象的URI，此时业务信息可以是www.portal.com/view？q＝www.ottserver.com/picture1.gif。

可选的，中间代理节点还可以对网页指示信息或对象指示信息进行转换，并对转换后得到的信息添加代理指示，得到业务信息。通过转换可以将明文转换为密文进行传输，可以提高数据传输的安全性。比如，www.ottserver.com可以用www.abcd1234指代，此时www.portal.com/view？q＝www.abcd1234为www.portal.com/view？q＝www.ottserver.com。

在中间代理节点接收用户代理发送的第一密文之前，中间代理节点需要与用户代理建立加密连接，并在建立加密连接的过程中约定密钥。

当同一个设备的加密密钥和解密密钥相同时，可以约定第一密钥和第二密钥，第一密钥存储于用户代理中，用户代理可以使用第一密钥加密将要发送给中间代理节点的明文，也可以使用第一密钥解密中间代理节点发送的密文；第二密钥存储于中间代理节点中，中间代理节点可以使用第二密钥加密将要发送给用户代理的明文，也可以使用第二密钥解密用户代理发送的密文。当同一个设备的加密密钥和解密密钥不同时，可以约定第一密钥和第二密钥，并约定第五密钥和第六密钥，第一密钥和第五密钥存储于用户代理中，用户代理可以使用第一密钥加密将要发送给中间代理节点的明文，使用第五密钥解密中间代理节点发送的密文；第二密钥和第六密钥存储于中间代理节点中，中间代理节点可以使用第二密钥加密将要发送给用户代理的明文，使用第六密钥解密用户代理发送的密文。其中，第一密钥和第二密钥可以是对称密钥，也可以是不对称密钥；第五密钥和第六密钥可以是对称密钥，也可以是不对称密钥。下文以同一个设备的加密密钥和解密密钥相同为例进行说明。

加密连接可以是基于SSL/TLS协议的连接。由于基于SSL协议的加密连接和基于TLS协议的加密连接的建立过程类似，下文以基于TLS协议的加密连接为例进行说明。

本实施例提供了中间代理节点与用户代理之间的加密连接的两种建立方式，具体如下：

在第一种建立方式中，中间代理节点截获用户代理向网络服务器发送的第一访问请求，指示用户代理发送第一连接建立请求，根据用户代理发送的第一连接建立请求，与用户代理建立加密连接，第一访问请求用于请求访问网络服务器。

其中，第一访问请求可以具体请求访问网络服务器的主页或网络服务器中的对象。

中间代理节点与用户代理建立传输控制协议(英文：transmission control protocol；简称：TCP)连接。其中，TCP连接的端口包括80端口和443端口，若用户代理需要基于HTTP协议访问网络服务器，则TCP连接的端口为80端口；若用户代理需要基于下层使用了SSL/TLS协议的超文本传输安全协议(英文：hyper text transfer protocol over secure socket layer；简称：HTTPS)访问网络服务器，则TCP连接的端口为443端口。下面分别以TCP连接的端口是80端口和443端口为例，对中间代理节点与用户代理之间的加密连接的建立方式进行说明。

第一，当中间代理节点与用户代理建立的TCP连接的端口是80端口时，指示所述用户代理发送第一连接建立请求，包括：通过重定向响应指示用户代理发送第一连接建立请求。

重定向响应可以是HTTP Redirection。可选的，重定向响应的location头域中可以包括类型信息，该类型信息用于指示用户代理请求建立的连接类型。比如，当重定向响应需要指示用户代理建立加密连接时，可以在类型信息中携带HTTPS，HTTPS用于指示HTTPS协议；当重定向响应需要指示用户代理建立非加密连接时，可以在类型信息中携带HTTP，HTTP用于指示HTTP协议。本实施例以类型信息中携带HTTPS为例进行说明，此时第一连接建立请求用于请求建立加密连接，且加密连接的端口为443端口。

需要说明的是，中间代理节点可以直接向用户代理发送重定向响应；或，中间代理节点可以将第一访问请求发送给业务处理系统，在接收到经业务处理系统处理后的第一访问请求后，将该处理后的第一访问请求发送给用户代理；或，中间代理节点可以检测是否需要将第一访问请求发送给业务处理系统进行处理，当检测出不需要业务处理系统处理时，向用户代理发送重定向响应，当检测出需要业务处理系统处理时，将第一访问请求发送给业务处理系统，在接收到经业务处理系统处理后的第一访问请求后，将该处理后的第一访问请求发送给用户代理。

第二，当中间代理节点与用户代理建立的TCP连接的端口是443端口时，本实施例提供的方法，还包括：

1)中间代理节点截获用户代理向网络服务器发送的TCP连接请求；

2)中间代理节点读取TCP连接请求中的信息，根据该信息顶替网络服务器与用户代理建立TCP连接，在TCP连接建立完成后，利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接，加密代理连接供用户代理向网络服务器发送第一访问请求。

其中，TCP连接请求中的信息包括源端因特网协议(英文：Internet Protocol；简称：IP)地址，源端端口，目的端IP地址，目的端端口，源端为用户代理，目的端为网络服务器。中间代理节点利用上述信息顶替网络服务器，与用户代理建立端口是443端口的TCP连接，在TCP连接建立完成后，再利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接，加密代理连接是指中间代理节点顶替网络服务器，与用户代理之间建立的加密连接。

请参考图3所示的一种TLS连接的建立示意图，其示出了用户代理与中间代理节点建立TLS连接的过程。

步骤301，用户代理向中间代理节点发送TLS协议版本号、加密算法列表和第一随机数。

步骤302，若中间代理节点支持该TLS协议版本，则从加密算法列表中选择的一个加密算法，向用户代理发送TLS协议版本号、加密算法、会话标识和第二随机数。

步骤303，中间代理节点向用户代理发送与网络服务器对应的数字证书。

步骤304，中间代理节点向用户代理发送第一完成消息。

步骤305，用户代理对数字证书进行验证，在验证通过后，获取数字证书中的公钥，生成预主密钥，并使用公钥加密预主密钥，将得到公钥交换信息发送给中间代理节点。

步骤306，用户代理向中间代理节点发送更改密码说明，通知中间代理节点启动协商好的参数。

此时，用户代理根据第一随机数、第二随机数、预主密钥和加密算法生成第一密钥。

步骤307，用户代理向中间代理节点发送第二完成消息。

步骤308，中间代理节点向用户代理发送更改密码说明，通知用户代理启动协商好的参数。

此时，中间代理节点使用私钥解密公钥交换信息，得到预主密钥，根据第一随机数、第二随机数、预主密钥和加密算法生成第二密钥。

步骤309，中间代理节点向用户代理发送第三完成消息。

本实施例中，中间代理节点可以在与用户代理建立加密代理连接的过程中，与用户代理约定加密密钥和解密密钥。此时，中间代理节点可以使用加密密钥对重定向响应进行加密，将加密得到的密文发送给用户代理，用户代理使用解密密钥对密文进行解密后，得到重定向响应。用户代理根据重定向响应生成第一连接建立请求，将第一连接建立请求发送给中间代理节点，中间代理节点得到第一连接建立请求。

需要说明的是，中间代理节点在与用户代理建立加密代理连接之前，还需要获取与网络服务器对应的数字证书和私钥，数字证书至少包括公钥、拥有者名称和证书颁发机构的数字签名，数字签名是指对信息进行哈希运算得到的哈希值，用于验证信息是否被篡改。本实施例中的数字签名用于验证数字证书是否被篡改。

因此，利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接，包括：

1)中间代理节点向用户代理发送第一数字证书，第一数字证书是证书颁发机构颁发的且与网络服务器对应的数字证书，证书颁发机构的第二数字证书预先配置在用户代理中或安装有用户代理的终端的操作系统中，以使用户代理根据第二数字证书验证第一数字证书，在验证通过后，与中间代理节点建立加密代理连接；或，

2)中间代理节点向用户代理发送第三数字证书和第四数字证书，第三数字证书是非授权证书颁发机构颁发的且与网络服务器对应的数字证书，第四数字证书是非授权证书颁发机构的数字证书，以使用户代理根据第四数字证书验证第三数字证书，在验证通过后，与中间代理节点建立加密代理连接。

其中，与网络服务器对应的数字证书可以是网络服务器的真实数字证书，也可以是除真实数字证书之外的其他数字证书，该其他数字证书与网络服务器之间存在对应关系。本实施例中，其他数字证书可以是代理数字证书，也可以是假冒的数字证书，具体内容如下所述。

在第一种实现方式中，证书颁发机构可以是授权证书颁发机构，也可以是非授权证书颁发机构。

当证书颁发机构是授权证书颁发机构时，授权证书颁发机构根据安全监控等需要为可信的中间代理节点颁发网络服务器的代理数字证书，该代理数字证书即第一数字证书。其中，授权证书颁发机构可以为每个网络服务器颁发不同的代理数字证书，也可以为多个不同的网络服务器颁发相同的代理数字证书，本实施例不作限定。

其中，网络服务器的代理数字证书也可以是网络服务器的数字证书链上的子证书。该子证书可以由网络服务器颁发，也可以由其他第三方授权证书颁发机构颁发。

本实施例中，代理数字证书可以与授权证书颁发机构为网络服务器颁发的真实数字证书相同，也可以与真实数字证书不同。即，代理数字证书与真实数字证书可以拥有不同的公钥和私钥对。

当证书颁发机构是非授权证书颁发机构时，非授权证书颁发机构为中间代理节点颁发与网络服务器对应的数字证书，此时的数字证书是假冒的数字证书，该假冒的数字证书即第一数字证书。

在用户代理验证数字证书时，会检测该数字证书的证书颁发机构的根证书是否位于可信认证中心(英文：Certificate Authority；简称：CA)列表中，根证书即第二数字证书。若该根证书位于可信CA列表中，则根据该根证书的公钥验证数字证书中的数字签名，若对数字签名的验证成功，则对数字证书的验证成功；若对数字签名的验证失败，则对数字证书的验证失败；若该根证书不在可信CA列表中，则对数字证书的验证失败。

可选的，中间代理节点获取到的与网络服务器对应的数字证书可以是多级证书颁发机构颁发的。比如，中间代理节点获取到的与网络服务器对应的数字证书是中级证书颁发机构Issuer颁发的，中级证书颁发机构Issuer的数字证书是高级证书颁发机构Root CA颁发的。此时，用户代理逐级寻找证书颁发机构的数字证书，检测该数字证书的证书颁发机构的根证书是否位于可信CA列表中，若该根证书位于可信CA列表中，则根据该根证书的公钥验证下级数字证书中的数字签名，若对数字签名的验证成功，则根据下级数字证书的公钥验证下下级数字证书中的数字签名，直至对所有的数字签名验证成功后，对数字证书的验证成功；若对其中一个数字签名的验证失败，则对数字证书的验证失败；若该根证书不在可信CA列表中，则对数字证书的验证失败。

需要说明的是，当证书颁发机构是授权证书颁发机构时，该授权证书颁发机构的根证书预先配置在用户代理中或安装有用户代理的终端的操作系统中，即，该授权证书颁发机构的根证书预先配置在可信CA列表中；当证书颁发机构是非授权证书颁发机构时，还需要将该非授权证书颁发机构的根证书添加到可信CA列表中。

在一种添加方式中，可以与操作系统厂家或用户代理的厂家进行协商，将非授权证书颁发机构的根证书添加到可信CA列表中；在第二种添加方式中，可以提示用户安装非授权证书颁发机构的根证书，通过该非授权证书颁发机构的根证书添加到可信CA列表中。

在第二种实现方式中，中间代理节点可以获取非授权证书颁发机构发送的数字证书链，该数字证书链至少包括非授权证书颁发机构的数字证书，即自签名的根证书，也即第四数字证书，以及网络服务器的假冒的数字证书，中间代理节点将该数字证书链发送给用户代理，该假冒的数字证书即第三数字证书。

在用户代理验证数字证书时，会读取接收到的数字证书链中根证书的公钥，根据该公钥验证假冒的数字证书中的数字签名，若对数字签名的验证成功，则对假冒的数字证书的验证成功；若对数字签名的验证失败，则对假冒的数字证书的验证失败。

可选的，中间代理节点获取到的假冒的数字证书可以是多级非授权证书颁发机构颁发的，即，证书链还包括多级非授权证书颁发机构的数字证书。比如，中间代理节点获取到的与网络服务器对应的数字证书是非授权的中级证书颁发机构Issuer颁发的，非授权的中级证书颁发机构Issuer的数字证书是非授权的高级证书颁发机构Root CA颁发的。此时，用户代理从接收到的数字证书中逐级寻找非授权的证书颁发机构的根证书，根据根证书的公钥验证下级数字证书中的数字签名，若对数字签名的验证成功，则根据下级数字证书的公钥验证下下级数字证书中的数字签名，直至对所有的数字签名验证成功后，对数字证书的验证成功；若对其中一个数字签名的验证失败，则对数字证书的验证失败。

在第二种建立方式中，中间代理节点接收用户代理发送的第一连接建立请求，根据用户代理发送的第一连接建立请求，与用户代理建立加密连接，第一连接建立请求是用户代理在接收到用户触发的触发信号后发送的，触发信号是用户触发用户代理中预存的中间代理节点的网页后生成的。

中间代理节点的网页可以作为主页、书签、配置信息等方式存储在用户代理中，或，用户代理中安装有为中间代理节点定制的应用程序、业务等，用户可以直接从用户代理中获取并触发该网页。其中，用户触发网页包括以下方式中的至少一种：中间代理节点的网页包含输入框，当用户在输入框中输入网络服务器的网址或信息时，触发该网页，该信息可以是IP地址或域名等；中间代理节点的网页包含超链接，当用户点击超链接时，触发该网页。

中间代理节点与用户代理建立TLS连接的流程与图3所示的流程类似，不同的是，在步骤303中，中间代理节点向用户代理发送的是中间代理节点的数字证书。

本实施例中，重定向响应包括中间代理节点的网址，或，重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种。

其中，重定向响应需要包括中间代理节点的网址，以便用户代理通过中间代理节点访问网络服务器。在第一种实现方式中，重定向响应可以只包括中间代理节点的网址www.portal.com。在第二种实现方式中，重定向响应不仅包括中间代理节点的网址，还包括网络服务器的网页指示信息或对象指示信息或对上述两种信息中的一种进行转换后得到的信息，网页指示信息和对象指示信息可以从第一访问请求中获取到。比如，当网页指示信息是网络服务器的网址www.ottserver.com时，重定向响应可以包括www.portal.com/view？q＝www.ottserver.com；当对象指示信息是www.ottserver.com/picture1.gif时，重定向响应可以包括www.portal.com/view？q＝www.ottserver.com/picture1.gif。

可选的，当重定向响应包括中间代理节点的网址时，中间代理节点根据用户代理发送的第一连接建立请求，与用户代理建立加密连接之后，还包括：

1)中间代理节点接收用户代理发送的第五密文，第五密文由用户代理使用第一密钥对第二访问请求进行加密得到，第二访问请求用于请求访问中间代理节点；

2)中间代理节点使用第二密钥解密第五密文，得到第二访问请求；

3)中间代理节点获取中间代理节点的网页；

4)中间代理节点使用第二密钥加密网页，得到第六密文；

5)中间代理节点将第六密文发送给用户代理，以使用户代理使用第一密钥解密第六密文，得到网页，网页用于触发用户代理发送第一密文。

其中，第二访问请求可以具体请求访问中间代理节点的主页或中间代理节点中的对象。

若重定向响应只包括中间代理节点的网址，则用户代理还需要根据中间代理节点的网址获取中间代理节点的网页，以便用户在接收到网页后，触发该网页，用户代理根据该触发发送第一连接建立请求，并在与中间代理节点建立加密连接之后发送第一密文。

需要说明的是，中间代理节点可以直接获取中间代理节点的网页；或，中间代理节点可以将第二访问请求发送给业务处理系统，在接收到经业务处理系统处理后的第二访问请求后，获取中间代理节点的网页；或，中间代理节点可以检测是否需要将第二访问请求发送给业务处理系统进行处理，当检测出不需要业务处理系统处理时，获取中间代理节点的网页，当检测出需要业务处理系统处理时，将第二访问请求发送给业务处理系统，在接收到经业务处理系统处理后的第二访问请求后，获取中间代理节点的网页。

其中，中间代理节点在检测是否需要将第二访问请求发送给业务处理系统进行处理时，可以检测第二访问请求包括的网址是否是自身的网址，若检测出第二访问请求包括的网址是自身的网址，则确定不需要将第二访问请求发送给业务处理系统进行处理，若检测出第二访问请求包括的网址不是自身的网址，则确定需要将第二访问请求发送给业务处理系统进行处理。当然，中间代理节点还可以通过其它方法检测是否需要将第二访问请求发送给业务处理系统进行处理，本实施例不作限定。

步骤202，中间代理节点使用第二密钥解密第一密文，得到业务信息。

中间代理节点确定与第一密钥对应的第二密钥，再使用第二密钥解密第一密文，得到业务信息。

步骤203，中间代理节点将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程。

本实施例中，业务处理系统在接收到业务信息后，可以根据业务信息确定用户代理，再确定该用户代理定制的增值业务，将业务信息按照该增值业务进行处理。具体地，业务处理系统可以确定实现该增值业务的业务链，将业务信息发送给该业务链中的业务处理单元，由业务链中的各个业务处理单元依次处理该业务信息，再将处理后的业务信息发送给网络服务器。

需要说明的是，当重定向响应包括的是对网页指示信息或对象指示信息进行转换后得到的信息，此时接收到的业务信息包括该信息，中间代理节点可以将该信息转换为对应的网页指示信息或对象指示信息，再将转换后的信息发送给业务处理系统。

步骤204，中间代理节点接收业务处理系统发送的处理后的业务信息。

步骤205，中间代理节点与网络服务器建立加密连接，并约定第三密钥和第四密钥。

当业务信息包括网页指示信息或对网页指示信息进行转换后得到的信息时，中间代理节点从处理后的业务信息中解析出网络服务器的网址，与该网址所指示的网络服务器建立加密连接，并约定第三密钥和第四密钥。其中，中间代理节点和网络服务器建立加密连接的过程与中间代理节点和用户代理建立加密连接的过程类似，此处不赘述。

当业务信息包括对象指示信息或对对象指示信息进行转换后得到的信息时，在第一种实现方式中，当中间代理节点已经获取过网络服务器的网页，即，中间代理节点已经与网络服务器建立了加密连接，此时可以不执行步骤205，直接执行步骤206；在第二种实现方式中，当中间代理节点未获取过网络服务器的主页时，中间代理节点从处理后的业务信息中解析出网络服务器的网址，与该网址所指示的网络服务器建立加密连接，并约定第三密钥和第四密钥，此处不赘述。

步骤206，中间代理节点使用第三密钥加密业务信息，得到第二密文。

本步骤中的业务信息可以是去除了中间代理节点的网址的业务信息。即，此时的业务信息只包括网络服务器指示信息，或，业务信息只包括对象指示信息。

步骤207，中间代理节点将第二密文发送给网络服务器，以使网络服务器使用第四密钥解密第二密文，得到业务信息。

步骤208，中间代理节点接收网络服务器发送的第三密文，第三密文由网络服务器使用第四密钥对业务数据进行加密得到。

网络服务器根据业务信息获取对应的业务数据，并使用第四密钥加密该业务数据，得到第三密文，将第三密文发送给中间代理节点。比如，当业务信息包括www.ottserver.com时，业务数据可以是网络服务器的主页；当业务信息包括www.ottserver.com/picture1.gif时，业务数据可以是图片1。

步骤209，中间代理节点使用第三密钥解密第三密文，得到业务数据。

步骤210，中间代理节点将业务数据发送给业务处理系统，以使业务处理系统将业务数据按照增值业务进行处理，将处理后的业务数据发送给中间代理节点。

比如，当业务数据是图片1，业务处理系统可以在接收到图片1后，将图片1的分辨率由原来的640*480转换为320*240，再将转换后的图片1发送给中间代理节点。

步骤211，中间代理节点使用第二密钥加密处理后的业务数据，得到第四密文。

其中，当业务数据是网络服务器的网页时，该网页中还可以包括对象指示信息，此时中间代理节点还需要对对象指示信息添加代理指示。比如，当网页包括图片1的URI时，中间代理节点可以对www.ottserver.com/picture1.gif添加中间代理节点的网址www.portal.com，得到www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤212，中间代理节点将第四密文发送给用户代理，以使用户代理使用第一密钥解密第四密文，得到业务数据。

另外，重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种，可以直接向用户代理发送网页指示信息或对象指示信息或对上述两种信息中的一种进行转换后得到的信息，而不需要先获取中间代理节点的网页，再触发中间代理节点的网页来获取网页指示信息或对象指示信息或对上述两种信息中的一种进行转换后得到的信息，可以简化操作流程，提高了业务处理的效率。

下面以代理节点是中间代理节点，用户代理和中间代理节点建立加密连接、中间代理节点和网络服务器建立加密连接为例，对业务处理方法的流程进行描述。请参考图4A所示的第一种业务处理方法的应用流程图，图4A以中间代理节点是Portal、用户代理是UA、网络服务器是OTT Server、业务处理系统是GI-LAN、图4A中涉及的请求都是HTTP请求且以HTTP请求为GET请求为例。

步骤401，UA和Portal之间建立TCP连接(80端口)。

其中，当第一连接建立请求由中间代理节点指示用户代理发送时，执行步骤402；当第一连接建立请求由用户触发用户代理发送时，执行步骤404。

步骤402，Portal截获UA向OTT Server发送的GET请求，GET请求包括www.ottserver.com。其中，GET请求是第一访问请求。

步骤403，Portal向UA发送重定向响应和/或需要通过HTTPS协议访问的类型信息。其中，HTTPS协议是下层使用了SSL/TLS协议的HTTP协议。

其中，当重定向响应包括www.portal.com时，执行步骤404；当重定向响应包括www.portal.com/view？q＝www.ottserver.com时，执行步骤409。

步骤404，若Portal需要通过HTTPS协议访问，UA与Portal重新建立TCP连接(443端口)。

步骤405，UA和Portal之间TLS握手过程。

步骤406，UA向Portal发送加密的GET请求，GET请求包括www.portal.com。其中，GET请求是第二访问请求。

步骤407，Portal解密GET请求后发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤408，Portal向UA回复加密的200ok响应，返回www.portal.com的网页。

步骤409，UA向Portal发送加密的GET请求，GET请求包括www.portal.com/view？q＝www.ottserver.com。

步骤410，Portal解密GET请求后发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤411，Portal从处理后的GET请求解析出www.ottserver.com。

步骤412，Portal和OTT Server之间建立TCP连接(端口443)。

步骤413，Portal和OTT Server之间TLS握手过程。

步骤414，Portal向OTT Server发送加密的GET请求，GET请求包括www.ottserver.com。

步骤415，OTT Server向Portal回复加密的200ok响应，返回www.ottserver.com的网页。

步骤416，Portal解密200ok响应后发送到GI-LAN，GI-LAN处理后再返回给Portal。

步骤417，Portal对处理后的200ok响应添加www.portal.com的portal指示：如www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤418，Portal向UA发送加密的200ok响应。

步骤419，UA向Portal发送加密的GET请求，GET请求包括www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤420，Portal解密GET请求后发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤421，Portal从处理后的GET请求解析出www.ottserver.com/picture1.gif。

步骤422，Portal向OTT Server发送加密的GET请求，GET请求包括www.ottserver.com/picture1.gif。

步骤423，OTT Server向Portal加密的回复200ok响应，返回图片1。

步骤424，Portal解密200ok响应后发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤425，Portal对处理后的200ok响应添加www.portal.com的portal指示。

步骤426，Portal向UA发送加密的200ok响应。

请参考图4B所示的第二种业务处理方法的应用流程图，图4B以中间代理节点是Portal、用户代理是UA、网络服务器是OTT Server、业务处理系统是GI-LAN。

步骤401’，Portal截获UA向OTT Server发送的TCP连接请求，根据TCP连接请求中的信息顶替OTT Server与UA之间建立TCP连接(443端口)。

步骤402’，Portal利用与OTT Server对应的数字证书与UA之间TLS握手过程。

步骤403’，Portal截获UA向OTT Server发送的加密的GET请求，GET请求包括www.ottserver.com。其中，GET请求是第一访问请求。

步骤404’，Portal向UA发送加密后的重定向响应和/或需要通过HTTPS协议访问的加密后的类型信息。其中，HTTPS协议是下层使用了SSL/TLS协议的HTTP协议。

步骤405’，UA和Portal之间建立TCP连接(443端口)，TCP连接建立完成后，UA与Portal之间进行TLS握手过程。此时Portal使用的是自己的数字证书。

其中，当重定向响应包括www.portal.com时，执行步骤406’；当重定向响应包括www.portal.com/view？q＝www.ottserver.com时，执行步骤409’。

步骤406’至步骤427’的内容与步骤405至步骤426的内容相同此处不赘述。

请参见图5，其示出了本发明实施例提供的又一种业务处理方法的方法流程图。本实施例以代理节点是中间代理节点、用户代理和中间代理节点建立非加密连接、中间代理节点和网络服务器建立加密连接为例进行说明，该业务处理方法，可以包括：

步骤501，中间代理节点接收用户代理发送的业务信息。

本实施例中，中间代理节点可以是Portal。当然，中间代理节点还可以是其它站点，本实施例不作限定。请参考步骤201中关于业务信息的描述，此处不赘述。

本实施例提供了两种触发代理节点发送业务信息的方式，具体如下：

在第一种触发方式中，中间代理节点截获用户代理向网络服务器发送的第一访问请求，指示用户代理发送第二访问请求，中间代理节点根据第二访问请求获取中间代理节点的网页，将网页发送给用户代理，网页用于触发用户代理发送业务信息，第一访问请求用于请求访问网络服务器，第二访问请求用于请求访问中间代理节点，重定向响应包括中间代理节点的网址。

需要说明的是，中间代理节点可以直接获取中间代理节点的网页；或，中间代理节点可以将第二访问请求发送给业务处理系统，在接收到经业务处理系统处理后的第二访问请求后，获取中间代理节点的网页；或，中间代理节点可以检测是否需要将第二访问请求发送给业务处理系统进行处理，当检测出不需要业务处理系统处理时，获取中间代理节点的网页，当检测出需要业务处理系统处理时，将第二访问请求发送给业务处理系统，在接收到经业务处理系统处理后的第二访问请求后，获取中间代理节点的网页。其中，中间代理节点在检测是否需要将第二访问请求发送给业务处理系统进行处理的流程详见步骤201中的描述，此处不赘述。

在第二种触发方式中，中间代理节点截获用户代理向网络服务器发送的第一访问请求，指示用户代理发送业务信息，第一访问请求用于请求访问网络服务器，重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种。

本实施例中，中间代理节点与用户代理建立的TCP连接的端口是80端口或443端口。当中间代理节点与用户代理建立的TCP连接的端口是443端口时，本实施例提供的方法，还包括：中间代理节点截获用户代理向网络服务器发送的TCP连接请求；中间代理节点读取TCP连接请求中的信息，根据该信息顶替网络服务器与用户代理建立TCP连接，在TCP连接建立完成后，利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接；中间代理节点通过加密代理连接指示用户代理发送第二访问请求。中间代理节点与用户代理建立加密代理连接的流程详见步骤201中的描述，此处不赘述。

可选的，利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接，包括：中间代理节点向用户代理发送第一数字证书，第一数字证书是证书颁发机构颁发的且与网络服务器对应的数字证书，证书颁发机构的第二数字证书预先配置在用户代理中或安装有用户代理的终端的操作系统中，以使用户代理根据第二数字证书验证第一数字证书，在验证通过后，与中间代理节点建立加密代理连接；或，中间代理节点向用户代理发送第三数字证书和第四数字证书，第三数字证书是非授权证书颁发机构颁发的且与网络服务器对应的数字证书，第四数字证书是非授权证书颁发机构的数字证书，以使用户代理根据第四数字证书验证第三数字证书，在验证通过后，与中间代理节点建立加密代理连接。中间代理节点根据与网络服务器对应的数字证书与用户代理建立加密代理连接的流程详见步骤201中的描述，此处不赘述。

其中，中间代理节点可以通过重定向响应指示用户代理发送第二访问请求或业务信息。可选的，重定向响应的location头域中可以包括类型信息，该类型信息用于指示用户代理请求建立的连接类型。本实施例以类型信息中携带HTTP为例进行说明，此时用户代理无需和中间代理节点再建立加密连接。

可选的，中间代理节点的网页可以作为主页、书签、配置信息等方式存储在用户代理中，或，用户代理中安装有为中间代理节点定制的应用程序、业务等，用户可以直接从用户代理中获取并触发该网页，此时，用户代理向中间代理节点发送业务信息。其中，用户触发网页包括以下方式中的至少一种：中间代理节点的网页包含输入框，当用户在输入框中输入网络服务器的网址或信息时，触发该网页，该信息可以是IP地址或域名等；中间代理节点的网页包含超链接，当用户点击超链接时，触发该网页。

步骤502，中间代理节点将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程。

步骤503，中间代理节点接收业务处理系统发送的处理后的业务信息。

在中间代理节点接收到业务信息之后，中间代理节点需要与网络服务器建立网络连接，以传输该业务信息。其中，中间代理节点可以与网络服务器建立加密连接，此时执行步骤504；中间代理节点也可以与网络服务器建立非加密连接，此时中间代理节点直接将业务信息发送给网络服务器，接收网络服务器发送的业务数据，再执行步骤509。

步骤504，中间代理节点与网络服务器建立加密连接，并约定第三密钥和第四密钥。

当业务信息包括网页指示信息或对网页指示信息进行转换后得到的信息时，中间代理节点从处理后的业务信息中解析出网络服务器的网址，与该网址所指示的网络服务器建立加密连接，并约定第三密钥和第四密钥。

当业务信息包括对象指示信息或对对象指示信息进行转换后得到的信息时，在第一种实现方式中，当中间代理节点已经获取过网络服务器的网页，即，中间代理节点已经与网络服务器建立了加密连接，此时可以不执行步骤504，直接执行步骤505；在第二种实现方式中，当中间代理节点未获取过网络服务器的主页时，中间代理节点从处理后的业务信息中解析出网络服务器的网址，与该网址所指示的网络服务器建立加密连接，并约定第三密钥和第四密钥，此处不赘述。

步骤505，中间代理节点使用第三密钥加密业务信息，得到第二密文。

本步骤中的业务信息可以是去除了中间代理节点的网址业务信息。即，此时的业务信息只包括网络服务器指示信息，或，业务信息只包括对象指示信息。

步骤506，中间代理节点将第二密文发送给网络服务器，以使网络服务器使用第四密钥解密第二密文，得到业务信息。

步骤507，中间代理节点接收网络服务器发送的第三密文，第三密文由网络服务器使用第四密钥对业务数据进行加密得到。

步骤508，中间代理节点使用第三密钥解密第三密文，得到业务数据。

步骤509，中间代理节点将业务数据发送给业务处理系统，以使业务处理系统将业务数据按照增值业务进行处理，将处理后的业务数据发送给中间代理节点。

步骤510，中间代理节点将处理后的业务数据发送给用户代理。

其中，当业务数据是网络服务器的网页时，该网页中还可以包括对象指示信息，此时中间代理节点还需要对对象指示信息添加代理指示。比如，当网页包括图片1的URI时，中间代理节点可以对www.ottserver.com/picture1.gif添加中间代理节点的网址，得到www.portal.com/view？q＝www.ottserver.com/picture1.gif。

综上所述，本发明实施例提供的业务处理方法，重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种，可以直接向用户代理发送网页指示信息或对象指示信息或对上述两种信息中的一种进行转换后得到的信息，而不需要先获取中间代理节点的网页，再触发中间代理节点的网页来获取网页指示信息或对象指示信息或对上述两种信息中的一种进行转换后得到的信息，可以简化操作流程，提高了业务处理的效率。

下面以代理节点是中间代理节点，用户代理和中间代理节点建立非加密连接、中间代理节点和网络服务器建立加密连接为例，对业务处理方法的流程进行描述。请参考图6A所示的第三种业务处理方法的应用流程图，图6A以中间代理节点是Portal、用户代理是UA、网络服务器是OTT Server、业务处理系统是GI-LAN、图6A中涉及的请求都是HTTP请求且以HTTP请求为GET请求为例。

步骤601，UA和Portal之间建立TCP连接(80端口)。

步骤602，Portal截获UA向OTT Server发送的GET请求，GET请求包括www.ottserver.com。其中，GET请求是第一访问请求。

步骤603，Portal向UA发送重定向响应和/或需要通过HTTPS协议访问的类型信息。其中，HTTPS协议是下层使用了SSL/TLS协议的HTTP协议。

其中，当重定向响应包括www.portal.com时，执行步骤604；当重定向响应包括www.portal.com/view？q＝www.ottserver.com时，执行步骤607。

步骤604，UA向Portal发送GET请求，GET请求包括www.portal.com。其中，GET请求是第二访问请求。

步骤605，Portal将GET请求发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤606，Portal向UA回复200ok响应，返回www.portal.com的网页。

步骤607，UA向Portal发送GET请求，GET请求包括www.portal.com/view？q＝www.ottserver.com。

步骤608，Portal将GET请求发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤609，Portal从处理后的GET请求解析出www.ottserver.com。

步骤610，Portal和OTT Server之间建立TCP连接(端口443)。

步骤611，Portal和OTT Server之间TLS握手过程。

步骤612，Portal向OTT Server发送加密的GET请求，GET请求包括www.ottserver.com。

步骤613，OTT Server向Portal回复加密的200ok响应，返回www.ottserver.com的网页。

步骤614，Portal解密200ok响应后发送到GI-LAN，GI-LAN处理后再返回给Portal。

步骤615，Portal对处理后的200ok响应添加www.portal.com的portal指示：如www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤616，Portal向UA发送200ok响应。

步骤617，UA向Portal发送GET请求，GET请求包括www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤618，Portal将GET请求发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤619，Portal从处理后的GET请求解析出www.ottserver.com/picture1.gif。

步骤620，Portal向OTT Server发送加密的GET请求，GET请求包括www.ottserver.com/picture1.gif。

步骤621，OTT Server向Portal回复加密的200ok响应，返回图片1。

步骤622，Portal解密200ok响应后发送给GI-LAN，GI-LAN处理后再返回给Portal。

步骤623，Portal对处理后的200ok响应添加www.portal.com的portal指示。

步骤624，Portal向UA发送200ok响应。

请参考图6B所示的第四种业务处理方法的应用流程图，图6B以中间代理节点是Portal、用户代理是UA、网络服务器是OTT Server、业务处理系统是GI-LAN。

步骤601’，Portal截获UA向OTT Server发送的TCP连接请求，根据TCP连接请求中的信息顶替OTT Server与UA之间建立TCP连接(443端口)。

步骤602’，Portal利用与OTT Server对应的数字证书与UA之间TLS握手过程。

步骤603’，Portal截获UA向OTT Server发送的加密的GET请求，GET请求包括www.ottserver.com。其中，GET请求是第一访问请求。

步骤604’，Portal向UA发送加密后的重定向响应和/或需要通过HTTPS协议访问的加密后的类型信息。其中，HTTPS协议是下层使用了SSL/TLS协议的HTTP协议。

步骤605’，UA和Portal之间建立TCP连接(80端口)。

其中，当重定向响应包括www.portal.com时，执行步骤606’；当重定向响应包括www.portal.com/view？q＝www.ottserver.com时，执行步骤609’。

步骤606’至步骤626’的内容与步骤604至步骤624的内容相同此处不赘述。

请参见图7，其示出了本发明实施例提供的又一种业务处理方法的方法流程图。本实施例以代理节点是位于用户代理和中间代理节点中间的前端代理节点为例进行说明，该业务处理方法，可以包括：

步骤701，前端代理节点接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到。

前端代理节点是位于用户代理和中间代理节点之间的代理节点。具体地，前端代理节点可以位于用户代理和业务处理系统之间，业务处理系统位于前端代理节点和中间代理节点之间。本实施例中，中间代理节点可以是Portal。当然，中间代理节点还可以是其它站点，本实施例不作限定。

请参考步骤201中关于业务信息和第一密钥的描述，此处不赘述。

具体地，代理节点接收用户代理发送的第一密文之前，还包括：

1)前端代理节点截获用户代理向中间代理节点发送的第二连接建立请求，第二连接建立请求包括中间代理节点的目的IP地址；

2)前端代理节点根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接。

在第一种建立方式中，当第二连接建立请求由中间代理节点指示用户代理发送时，在用户代理向中间代理节点发送第二连接建立请求之前，用户代理需要和中间代理节点建立端口是80端口或443端口的TCP连接，建立过程详见步骤201中的描述，此处不赘述。

可选的，第二连接建立请求是中间代理节点截获用户代理向网络服务器发送的第一访问请求后，指示用户代理发送的，第一访问请求用于请求访问网络服务器，或，第二连接建立请求是用户代理在接收到用户触发的触发信号后发送的，触发信号是用户触发用户代理中预存的中间代理节点的网页后生成的。

在用户代理与中间代理节点建立TCP连接之后，中间代理节点截获用户代理向网络服务器发送的第一访问请求，指示用户代理发送第二连接建立请求，前端代理节点再截获用户代理向中间代理节点发送第二连接建立请求。

由于第二连接建立请求中需要携带该第二连接建立请求的目的地的目的IP地址，因此，第二连接建立请求包括中间代理节点的目的IP地址，前端代理节点可以从第二连接建立请求中获取该目的IP地址，再利用该目的IP地址以及预存的中间代理节点的节点信息与用户代理建立加密连接。此时，由于前端代理节点使用的是中间代理节点的信息与用户代理建立了加密连接，因此，用户代理不能感知到前端代理节点的存在。

需要说明的是，当中间代理节点与用户代理建立的TCP连接的端口是443端口，第二连接建立请求是中间代理节点通过加密代理连接截获用户代理向网络服务器发送的第一访问请求后，指示用户代理发送的，加密代理连接是中间代理节点截获用户代理向网络服务器发送的TCP连接请求，读取TCP连接请求中的信息，根据该信息顶替网络服务器与用户代理建立TCP连接，在TCP连接建立完成后，利用预存的与网络服务器对应的数字证书与用户代理建立的。中间代理节点与用户代理建立加密代理连接的流程以及中间代理节点根据与网络服务器对应的数字证书与用户代理建立加密代理连接的流程详见步骤201中的描述，此处不赘述。

在第二种建立方式中，当第二连接建立请求由用户触发用户代理发送时，中间代理节点的网页可以作为主页、书签、配置信息等方式存储在用户代理中，或，用户代理中安装有为中间代理节点定制的应用程序、业务等，用户可以直接从用户代理中获取并触发该网页。其中，中间代理节点的网页包含输入框，当用户在输入框中输入网络服务器的网址或信息时，触发该网页，该信息可以是IP地址或域名等；中间代理节点的网页包含超链接，当用户点击超链接时，触发该网页。

具体地，前端代理节点根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接，包括：

1)节点信息包括数字证书和私钥，前端代理节点将数字证书发送给用户代理，接收用户代理根据数字证书携带的公钥发送的加密信息，使用私钥对加密信息进行解密得到预主密钥，并使用目的IP地址与用户代理建立加密连接；或，

2)节点信息包括数字证书，前端代理节点将数字证书发送给用户代理，接收用户代理根据数字证书携带的公钥发送的加密信息，将加密信息发送给中间代理节点，接收中间代理节点使用私钥对加密信息进行解密后发送的预主密钥，并使用目的IP地址与用户代理建立加密连接；

其中，预主密钥用于生成第一密钥和第二密钥。

在第一种实现方式中，节点信息至少包括数字证书和私钥，具体建立过程详见图3所示的流程。其中，步骤303中的TLS协议版本号、加密算法和第二随机数由前端代理节点生成。步骤304中的数字证书是中间代理节点的数字证书。步骤309中前端代理节点使用中间代理节点的私钥解密公钥交换信息，生成第二密钥。

在第二种实现方式中，节点信息至少包括数字证书，具体建立过程详见图3所示的流程。其中，步骤303中的TLS协议版本号、加密算法和第二随机数由前端代理节点生成。步骤304中的数字证书是中间代理节点的数字证书。步骤309中前端代理节点将公钥交换信息发送给中间代理节点，中间代理节点使用私钥解密公钥交换信息，得到预主密钥，将预主密钥发送给前端代理节点，前端代理节点根据第一随机数、第二随机数、预主密钥和加密算法生成第二密钥。

其中，前端代理节点可以从第三方或中间代理节点获取到数字证书和密钥，本实施例不对获取方式作限定。

本实施例中，当第二连接建立请求是中间代理节点截获第一访问请求后，通过重定向响应指示用户代理发送的时，重定向响应包括中间代理节点的网址；或，重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种。

其中，重定向响应的location头域中可以包括类型信息，该类型信息用于指示用户代理请求建立的连接类型，本实施例以类型信息中携带HTTPS为例进行说明，此时第二连接建立请求用于请求建立加密连接，且加密连接的端口为443端口。

可选的，当重定向响应包括中间代理节点的网址时，前端代理节点根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接之后，还包括：

1)前端代理节点接收用户代理发送的第五密文，第五密文由用户代理使用第一密钥对第二访问请求进行加密得到，第二访问请求用于请求访问中间代理节点；

2)前端代理节点使用第二密钥解密第五密文，得到第二访问请求；

3)前端代理节点将第二访问请求发送给业务处理系统，以使业务处理系统将第二访问请求按照增值业务进行处理，将处理后的第二访问请求请求发送给中间代理节点；

4)前端代理节点使用第二密钥加密业务处理系统发送的网页，得到第六密文，网页由中间代理节点发送给业务处理系统；

5)前端代理节点将第六密文发送给用户代理，以使用户代理使用第一密钥解密第六密文，得到网页，网页用于触发用户代理发送第一密文。

若重定向响应只包括中间代理节点的网址，则用户代理还需要根据中间代理节点的网址获取中间代理节点的网页，以便用户在接收到网页后，触发该网页，用户代理根据该触发发送第二连接建立请求，并在与前端代理节点建立加密连接之后发送第一密文。

需要说明的是，前端代理节点可以直接将第二访问请求发送给业务处理系统进行处理；或，前端代理节点可以检测是否需要将第二访问请求发送给业务处理系统进行处理，当检测出不需要业务处理系统处理时，将第二访问请求发送给中间代理节点，当检测出需要业务处理系统处理时，将第二访问请求发送给业务处理系统。

其中，前端代理节点在检测是否需要将第二访问请求发送给业务处理系统进行处理时，可以检测第二访问请求包括的网址是否是中间代理节点的网址，若检测出第二访问请求包括的网址是中间代理节点的网址，则确定不需要将第二访问请求发送给业务处理系统进行处理，若检测出第二访问请求包括的网址不是中间代理节点的网址，则确定需要将第二访问请求发送给业务处理系统进行处理。当然，前端代理节点还可以通过其它方法检测是否需要将第二访问请求发送给业务处理系统进行处理，本实施例不作限定。

进一步地，业务处理系统可以将处理后的第二访问请求发送给中间代理节点，中间代理节点获取自身的网页，将该网页发送给业务处理系统，业务处理系统再按照增值业务对中间代理节点的网页进行处理，将处理后的网页发送给前端代理节点。其中，业务处理系统处理第二访问请求和中间代理节点的网页的流程与步骤203中业务处理系统处理业务信息的流程类似，此处不赘述。

步骤702，前端代理节点使用第二密钥解密第一密文，得到业务信息。

前端代理节点确定与第一密钥对应的第二密钥，再使用第二密钥解密第一密文，得到业务信息。

步骤703，前端代理节点将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程。

本实施例中，业务处理系统在接收到业务信息后，可以根据业务信息确定用户代理，再确定该用户代理定制的增值业务，将业务信息按照该增值业务进行处理。具体地，业务处理系统可以确定实现该增值业务的业务链，将业务信息发送给该业务链中的业务处理单元，由业务链中的各个业务处理单元依次处理该业务信息，再将处理后的业务信息发送给中间代理节点。

当业务信息包括网页指示信息或对网页指示信息进行转换后得到的信息时，中间代理节点从处理后的业务信息中解析出网络服务器的网址，与该网址所指示的网络服务器建立加密连接，并约定第三密钥和第四密钥，使用第三密钥加密业务信息后，将加密后的业务信息发送给网络服务器。其中，中间代理节点和网络服务器建立加密连接的过程与中间代理节点和用户代理建立加密连接的过程类似，此处不赘述。

当业务信息包括对象指示信息或对对象指示信息进行转换后得到的信息时，在第一种实现方式中，当中间代理节点已经获取过网络服务器的网页，即，中间代理节点已经与网络服务器建立了加密连接，此时中间代理节点可以直接使用第三密钥加密业务信息，将得到的第二密文发送给网络服务器；在第二种实现方式中，当中间代理节点未获取过网络服务器的主页时，中间代理节点从处理后的业务信息中解析出网络服务器的网址，与该网址所指示的网络服务器建立加密连接，并约定第三密钥和第四密钥，此处不赘述。

需要说明的是，中间代理节点加密的业务信息可以是去除了中间代理节点的网址的业务信息。即，此时的业务信息只包括网络服务器指示信息，或，业务信息只包括对象指示信息。

步骤704，前端代理节点接收业务处理系统发送的业务数据。

网络服务器使用第四密钥解密第二密文，得到业务信息，根据业务信息获取对应的业务数据，并使用第四密钥加密该业务数据，得到第三密文，将第三密文发送给中间代理节点。比如，当业务信息包括www.ottserver.com时，业务数据可以是网络服务器的主页；当业务信息包括www.ottserver.com/picture1.gif时，业务数据可以是图片1。

中间代理节点使用第三密钥解密第三密文，得到业务数据，将业务数据发送给业务处理系统进行处理，业务处理系统再将处理后的业务数据发送给前端代理节点。比如，当业务数据是图片1，业务处理系统可以在接收到图片1后，将图片1的分辨率由原来的640*480转换为320*240，再将转换后的图片1发送给中间代理节点。

当业务数据是网络服务器的网页时，该网页中还可以包括对象指示信息，此时中间代理节点还需要对对象指示信息添加代理指示。比如，当网页包括图片1的URI时，中间代理节点可以对www.ottserver.com/picture1.gif添加中间代理节点的网址，得到www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤705，前端代理节点使用第二密钥加密业务数据，得到第七密文。

步骤706，前端代理节点将第七密文发送给用户代理，以使用户代理使用第一密钥解密第七密文，得到业务数据。

下面以代理节点是前端代理节点，用户代理和前端代理节点建立加密连接、中间代理节点和网络服务器建立加密连接为例，对业务处理方法的流程进行描述。请参考图8A所示的第五种业务处理方法的应用流程图，图8A以中间代理节点是Portal、用户代理是UA、前端代理节点是Proxy、网络服务器是OTT Server、业务处理系统是GI-LAN、图8A中涉及的请求都是HTTP请求且以HTTP请求为GET请求为例。

步骤801，UA和Portal之间建立TCP连接(80端口)。

其中，当第二连接建立请求由中间代理节点指示用户代理发送时，执行步骤802；当第二连接建立请求由用户触发用户代理发送时，执行步骤804。

步骤802，Portal截获UA向OTT Server发送的GET请求，GET请求包括www.ottserver.com。其中，GET请求是第一访问请求。

步骤803，Portal向UA发送重定向响应和/或需要通过HTTPS协议访问的类型信息。其中，HTTPS协议是下层使用了SSL/TLS协议的HTTP协议。

步骤804，若Portal需要通过HTTPS协议访问，Proxy拦截UA和Portal的TCP连接，使用Portal的目的IP地址与UA建立TCP连接(443端口)。

步骤805，Proxy和Portal之间建立TCP连接(80端口)。

步骤806，UA和Proxy之间TLS握手过程。

其中，当Proxy预先获取到Portal的数字证书和私钥，Proxy根据私钥解密公钥交换信息得到预主密钥；当Proxy预先获取到Portal的数字证书，未获取到私钥，步骤806还包括步骤806’，步骤806’为Proxy将公钥交换信息发送给Portal，Portal使用私钥解密公钥交换信息后，向Proxy发送预主密钥。

其中，当重定向响应包括www.portal.com时，执行步骤807；当重定向响应包括www.portal.com/view？q＝www.ottserver.com时，执行步骤813。

步骤807，UA向Proxy发送加密的GET请求，GET请求包括www.portal.com。其中，GET请求是第二访问请求。

步骤808，Proxy解密GET请求后发送给GI-LAN。

步骤809，GI-LAN将处理后的GET请求发送给Portal。

步骤810，Portal向GI-LAN回复加密的200ok响应，返回www.portal.com的网页。

步骤811，GI-LAN向Proxy回复加密的200ok响应，返回www.portal.com的网页。

步骤812，Proxy向UA回复加密的200ok响应，返回www.portal.com的网页。

步骤813，UA向Proxy发送加密的GET请求，GET请求包括www.portal.com/view？q＝www.ottserver.com。

步骤814，Proxy解密GET请求后发送给GI-LAN。

步骤815，GI-LAN将处理后的GET请求发送给Portal。

步骤816，Portal从处理后的GET请求解析出www.ottserver.com。

步骤817，Portal和OTT Server之间建立TCP连接(端口443)。

步骤818，Portal和OTT Server之间TLS握手过程。

步骤819，Portal向OTT Server发送加密的GET请求，GET请求包括www.ottserver.com。

步骤820，OTT Server向Portal回复加密的200ok响应，返回www.ottserver.com的网页。

步骤821，Portal解密200ok响应后，对200ok响应添加www.portal.com的portal指示：如www.portal.com/view？q＝www.ottserver.com/picture1.gif，将添加后的200ok响应发送到GI-LAN。

步骤822，GI-LAN将处理后的200ok响应发送给Proxy。

步骤823，Proxy向UA发送加密的200ok响应。

步骤824，UA向Proxy发送加密的GET请求，GET请求包括www.portal.com/view？q＝www.ottserver.com/picture1.gif。

步骤825，Proxy解密GET请求后发送给GI-LAN。

步骤826，GI-LAN将处理后的GET请求发送给Portal。

步骤827，Portal从处理后的GET请求解析出www.ottserver.com/picture1.gif。

步骤828，Portal向OTT Server发送加密的GET请求，GET请求包括www.ottserver.com/picture1.gif。

步骤829，OTT Server向Portal加密的回复200ok响应，返回图片1。

步骤830，Portal解密200ok响应，对200ok响应添加www.portal.com的portal指示：如www.portal.com/view？q＝www.ottserver.com/picture1.gif，将添加后的200ok响应发送给GI-LAN。

步骤831，GI-LAN将处理后的200ok响应发送给Proxy。

步骤832，Portal向UA发送加密的200ok响应。

请参考图8B所示的第六种业务处理方法的应用流程图，图8B以中间代理节点是Portal、用户代理是UA、前端代理节点是Proxy、网络服务器是OTT Server、业务处理系统是GI-LAN。

步骤801’，Portal截获UA向OTT Server发送的TCP连接请求，根据TCP连接请求中的信息顶替OTT Server与UA之间建立TCP连接(443端口)。

步骤802’，Portal利用与OTT Server对应的数字证书与UA之间TLS握手过程。

步骤803’，Portal截获UA向OTT Server发送的GET请求，GET请求包括www.ottserver.com。其中，GET请求是第一访问请求。

步骤804’，Portal向UA发送加密后的重定向响应和/或需要通过HTTPS协议访问的加密后的类型信息。其中，HTTPS协议是下层使用了SSL/TLS协议的HTTP协议。

步骤805’至步骤833’的内容与步骤804至步骤832的内容相同此处不赘述。

请参考图9，其示出了本发明实施例提供的一种业务处理装置的结构示意图。该业务处理装置，可以包括：

第一接收模块901，用于接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到；

第一解密模块902，用于使用第二密钥解密第一接收模块901接收到的第一密文，得到业务信息；

第一发送模块903，用于将第一解密模块902解密后得到的业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程；

综上所述，本发明实施例提供的业务处理装置，通过接收用户代理发送的第一密文；使用第二密钥解密第一密文，得到业务信息；将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程，可以在用户代理使用SSL/TLS 协议时，通过代理节点对传输的第一密文进行解密，并将解密后的业务信息发送给业务处理系统，解决了业务处理系统无法解密密文，导致业务处理系统无法为使用SSL/TLS协议的用户代理提供增值业务的问题，达到了扩大增值业务的使用范围的效果。

请参考图10，其示出了本发明实施例提供的又一种业务处理装置的结构示意图。该业务处理装置，可以包括：

第一接收模块1001，用于接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到；

第一解密模块1002，用于使用第二密钥解密第一接收模块1001接收到的第一密文，得到业务信息；

第一发送模块1003，用于将第一解密模块1002解密后得到的业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程；

在第一种应用场景中，代理节点是中间代理节点：

可选的，装置，还包括：

第二接收模块1004，用于在第一发送模块1003将业务信息发送给业务处理系统之后，接收业务处理系统发送的处理后的业务信息；

密钥约定模块1005，用于与网络服务器建立加密连接，并约定第三密钥和第四密钥；

第一加密模块1006，用于使用密钥约定模块1005约定的第三密钥加密业务信息，得到第二密文；

第二发送模块1007，用于将第一加密模块1006加密后的第二密文发送给网络服务器，以使网络服务器使用第四密钥解密第二密文，得到业务信息。

可选的，装置，还包括：

第三接收模块1008，用于在第二发送模块1007将第二密文发送给网络服务器之后，接收网络服务器发送的第三密文，第三密文由网络服务器使用第四密钥对业务数据进行加密得到；

第二解密模块1009，用于使用第三密钥解密第三接收模块1008接收到的第三密文，得到业务数据；

第三发送模块1010，用于将第二解密模块1009解密后的业务数据发送给业务处理系统，以使业务处理系统将业务数据按照增值业务进行处理，将处理后的业务数据发送给中间代理节点；

第二加密模块1011，用于使用第二密钥加密处理后的业务数据，得到第四密文；

第四发送模块1012，用于将第二加密模块1011加密后的第四密文发送给用户代理，以使用户代理使用第一密钥解密第四密文，得到业务数据。

可选的，装置，还包括：

第一建立模块1013，用于在第一接收模块1001接收用户代理发送的第一密文之前，截获用户代理向网络服务器发送的第一访问请求，指示用户代理发送第一连接建立请求，根据用户代理发送的第一连接建立请求，与用户代理建立加密连接，第一访问请求用于请求访问网络服务器；或，

第二建立模块1014，用于在第一接收模块1001接收用户代理发送的第一密文之前，接收用户代理发送的第一连接建立请求，根据用户代理发送的第一连接建立请求，与用户代理建立加密连接，第一连接建立请求是用户代理在接收到用户触发的触发信号后发送的，触发信号是用户触发用户代理中预存的中间代理节点的网页后生成的。

可选的，装置，还包括

请求获取模块1030，用于第一建立模块1013截获用户代理向网络服务器发送的第一访问请求之前，截获用户代理向网络服务器发送的TCP连接请求；

第四建立模块1031，用于读取TCP连接请求中网络服务器的信息，根据信息顶替网络服务器与用户代理建立TCP连接，在TCP连接建立完成后，利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接，加密代理连接供用户代理向网络服务器发送第一访问请求。

可选的，第四建立模块1031，具体用于：

向用户代理发送第一数字证书，第一数字证书是证书颁发机构颁发的且与网络服务器对应的数字证书，证书颁发机构的第二数字证书预先配置在用户代理中或安装有用户代理的终端的操作系统中，以使用户代理根据第二数字证书验证第一数字证书，在验证通过后，与中间代理节点建立加密代理连接；或，

向用户代理发送第三数字证书和第四数字证书，第三数字证书是非授权证书颁发机构颁发的且与网络服务器对应的数字证书，第四数字证书是非授权证书颁发机构的数字证书，以使用户代理根据第四数字证书验证第三数字证书，在验证通过后，与中间代理节点建立加密代理连接。

可选的，第一建立模块1013，具体用于通过重定向响应指示用户代理发送第一连接建立请求。

可选的，重定向响应包括中间代理节点的网址，或，

重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种。

可选的，当重定向响应包括中间代理节点的网址时，装置，还包括：

第四接收模块1015，用于在第一建立模块1013根据用户代理发送的第一连接建立请求，与用户代理建立加密连接之后，接收用户代理发送的第五密文，第五密文由用户代理使用第一密钥对第二访问请求进行加密得到，第二访问请求用于请求访问中间代理节点；

第三解密模块1016，用于使用第二密钥解密第五接收模块1015接收到的第五密文，得到第二访问请求；

网页获取模块1017，用于获取中间代理节点的网页；

第三加密模块1018，用于使用第二密钥加密网页获取模块1016获取的网页，得到第六密文；

第五发送模块1019，用于将第三加密模块1018加密后的第六密文发送给用户代理，以使用户代理使用第一密钥解密第六密文，得到网页，网页用于触发用户代理发送第一密文。

在第二种应用场景中，代理节点是位于用户代理和中间代理节点之间的前端代理节点：

可选的，装置，还包括：

第五接收模块1020，用于在第一发送模块1003将业务信息发送给业务处理系统之后，接收业务处理系统发送的业务数据；

第四加密模块1021，用于使用第二密钥加密第五接收模块1020接收到的业务数据，得到第七密文；

第六发送模块1022，用于将第四加密模块1021加密后的第七密文发送给用户代理，以使用户代理使用第一密钥解密第七密文，得到业务数据。

可选的，装置，还包括：

请求截获模块1023，用于在第一接收模块1001接收用户代理发送的第一密文之前，截获用户代理向中间代理节点发送的第二连接建立请求，第二连接建立请求包括中间代理节点的目的IP地址；

第三建立模块1024，用于根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接。

可选的，第二连接建立请求是中间代理节点通过加密代理连接截获用户代理向网络服务器发送的第一访问请求后，指示用户代理发送的，加密代理连接是中间代理节点截获用户代理向网络服务器发送的TCP连接请求，读取TCP连接请求中网络服务器的信息，根据信息顶替网络服务器与用户代理建立TCP连接，在TCP连接建立完成后，利用预存的与网络服务器对应的数字证书与用户代理建立的。

可选的，当第二连接建立请求是中间代理节点截获第一访问请求后，通过重定向响应指示用户代理发送的时，

重定向响应包括中间代理节点的网址；或，

可选的，重定向响应包括中间代理节点的网址，装置，还包括：

第六接收模块1025，用于在第三建立模块1024根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接之后，接收用户代理发送的第五密文，第五密文由用户代理使用第一密钥对第二访问请求进行加密得到，第二访问请求用于请求访问中间代理节点；

第四解密模块1026，用于使用第二密钥解密第六接收模块1025接收到的第五密文，得到第二访问请求；

第七发送模块1027，用于将第四解密模块1026解密后的第二访问请求发送给业务处理系统，以使业务处理系统将第二访问请求按照增值业务进行处理，将处理后的第二访问请求请求发送给中间代理节点；

第五加密模块1028，用于第二密钥加密业务处理系统发送的网页，得到第六密文，网页由中间代理节点发送给业务处理系统；

第八发送模块1029，用于将第五加密模块1028加密后的第六密文发送给用户代理，以使用户代理使用第一密钥解密第六密文，得到网页，网页用于触发用户代理发送第一密文。

可选的，第三建立模块1024，具体用于

节点信息包括数字证书和私钥，将数字证书发送给用户代理，接收用户代理根据数字证书携带的公钥发送的加密信息，使用私钥对加密信息进行解密得到预主密钥，并使用目的IP地址与用户代理建立加密连接；或，

节点信息包括数字证书，将数字证书发送给用户代理，接收用户代理根据数字证书携带的公钥发送的加密信息，将加密信息发送给中间代理节点，接收中间代理节点使用私钥对加密信息进行解密后发送的预主密钥，并使用目的IP地址与用户代理建立加密连接；

其中，预主密钥用于生成第一密钥和第二密钥。

综上所述，本发明实施例提供的业务处理装置，通过接收用户代理发送的第一密文；使用第二密钥解密第一密文，得到业务信息；将业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程，可以在用户代理使用SSL/TLS协议时，通过代理节点对传输的第一密文进行解密，并将解密后的业务信息发送给业务处理系统，解决了业务处理系统无法解密密文，导致业务处理系统无法为使用SSL/TLS协议的用户代理提供增值业务的问题，达到了扩大增值业务的使用范围的效果。

另外，重定向响应包括代理网址，代理网址由中间代理节点对网络服务器的指示信息添加代理指示得到，指示信息为网页指示信息、网页中对象的对象指示信息、对网页指示信息或对象指示信息进行转换后得到的信息中的一种，可以直接向用户代理发送网络服务器指示信息或对象指示信息，而不需要先获取中间代理节点的网页，再触发中间代理节点的网页来获取网络服务器指示信息或对象指示信息，可以简化操作流程，提高了业务处理的效率。

请参考图11，其示出了本发明实施例提供的一种业务处理装置的结构示意图。该业务处理装置，可以包括：总线1101，以及连接到总线的处理器1102、存储器1103、发射器1104和接收器1105。其中，存储器1103用于存储若干个指令，指令被配置成由处理器1102执行；

接收器1105，用于接收用户代理发送的第一密文，第一密文由用户代理使用第一密钥对业务信息进行加密得到；

处理器1102，用于使用第二密钥解密接收器1105接收到的第一密文，得到业务信息；

发射器1104，用于将处理器1102解密后的业务信息发送给业务处理系统，以使业务处理系统将业务信息按照增值业务进行处理，并触发将处理后的业务信息发送给网络服务器的流程；

本发明实施例还提供了一种业务处理装置，该业务处理装置，可以包括：总线1101，以及连接到总线的处理器1102、存储器1103、发射器1104和接收器1105。其中，存储器1103用于存储若干个指令，指令被配置成由处理器1102执行；

可选的，代理节点是中间代理节点，

接收器1105，还用于在发射器1104将业务信息发送给业务处理系统之后，接收业务处理系统发送的处理后的业务信息；

处理器1102，还用于与网络服务器建立加密连接，并约定第三密钥和第四密钥；使用第三密钥加密业务信息，得到第二密文；

发射器1104，还用于将处理器1102加密后的第二密文发送给网络服务器，以使网络服务器使用第四密钥解密第二密文，得到业务信息。

可选的，接收器1105，还用于在发射器1104将第二密文发送给网络服务器之后，接收网络服务器发送的第三密文，第三密文由网络服务器使用第四密钥对业务数据进行加密得到；

处理器1102，还用于使用第三密钥解密接收器1105接收到的第三密文，得到业务数据；

发射器1104，还用于将处理器1102解密后的业务数据发送给业务处理系统，以使业务处理系统将业务数据按照增值业务进行处理，将处理后的业务数据发送给中间代理节点；

处理器1102，还用于使用第二密钥加密处理后的业务数据，得到第四密文；

发射器1104，还用于将处理器1102加密后的第四密文发送给用户代理，以使用户代理使用第一密钥解密第四密文，得到业务数据。

可选的，接收器1105，还用于在接收用户代理发送的第一密文之前，截获用户代理向网络服务器发送的第一访问请求，发射器1104，还用于指示用户代理发送第一连接建立请求，处理器1102，还用于根据用户代理发送的第一连接建立请求，与用户代理建立加密连接，第一访问请求用于请求访问网络服务器；或，

接收器1105，还用于在接收用户代理发送的第一密文之前，接收用户代理发送的第一连接建立请求，处理器1102，还用于根据用户代理发送的第一连接建立请求，与用户代理建立加密连接，第一连接建立请求是用户代理在接收到用户触发的触发信号后发送的，触发信号是用户触发用户代理中预存的中间代理节点的网页后生成的。

可选的，接收器1105，还用于截获用户代理向网络服务器发送的第一访问请求之前，截获用户代理向网络服务器发送的TCP连接请求；

处理器1102，还用于读取TCP连接请求中网络服务器的信息，根据信息顶替网络服务器与用户代理建立TCP连接，在TCP连接建立完成后，利用预存的与网络服务器对应的数字证书与用户代理建立加密代理连接，加密代理连接供用户代理向网络服务器发送第一访问请求。

可选的，发射器1104，还用于向用户代理发送第一数字证书，第一数字证书是证书颁发机构颁发的且与网络服务器对应的数字证书，证书颁发机构的第二数字证书预先配置在用户代理中或安装有用户代理的终端的操作系统中，以使用户代理根据第二数字证书验证第一数字证书，在验证通过后，与中间代理节点建立加密代理连接；或，

发射器1104，还用于向用户代理发送第三数字证书和第四数字证书，第三数字证书是非授权证书颁发机构颁发的且与网络服务器对应的数字证书，第四数字证书是非授权证书颁发机构的数字证书，以使用户代理根据第四数字证书验证第三数字证书，在验证通过后，与中间代理节点建立加密代理连接。

可选的，发射器1104，具体用于通过重定向响应指示用户代理发送第一访问请求。

可选的，重定向响应包括中间代理节点的网址，或，

可选的，重定向响应包括中间代理节点的网址，

接收器1105，还用于在处理器1102根据用户代理发送的第一连接建立请求，与用户代理建立加密连接之后，接收用户代理发送的第五密文，第五密文由用户代理使用第一密钥对第二访问请求进行加密得到，第二访问请求用于请求访问中间代理节点；

处理器1102，还用于使用第二密钥解密接收器1105接收到的第五密文，得到第二访问请求；获取中间代理节点的网页；使用第二密钥加密网页，得到第六密文；

发射器1104，还用于将处理器1102加密后的第六密文发送给用户代理，以使用户代理使用第一密钥解密第六密文，得到网页，网页用于触发用户代理发送第一密文。

可选的，代理节点是位于用户代理和中间代理节点之间的前端代理节点，还包括：

接收器1105，还用于在发射器1104将业务信息发送给业务处理系统之后，接收业务处理系统发送的业务数据；

处理器1102，还用于使用第二密钥加密接收器1105接收到的业务数据，得到第七密文；

发射器1104，还用于将处理器1102加密后的第七密文发送给用户代理，以使用户代理使用第一密钥解密第七密文，得到业务数据。

可选的，接收器1105，还用于在接收用户代理发送的第一密文之前，截获用户代理向中间代理节点发送的第二连接建立请求，第二连接建立请求包括中间代理节点的目的IP地址；

处理器1102，用于根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接。

可选的，当第二连接建立请求是中间代理节点截获第一访问请求后，通过重定向响应指示用户代理发送的时，重定向响应包括中间代理节点的网址；或，

可选的，当重定向响应包括中间代理节点的网址时，

接收器1105，还用于在处理器1102根据目的IP地址和预存的中间代理节点的节点信息，与用户代理建立加密连接之后，接收用户代理发送的第五密文，第五密文由用户代理使用第一密钥对第二访问请求进行加密得到，第二访问请求用于请求访问中间代理节点；

处理器1102，还用于使用第二密钥解密接收器1105接收到的第五密文，得到第二访问请求；

发射器1104，还用于将处理器1102解密后的第二访问请求发送给业务处理系统，以使业务处理系统将第二访问请求按照增值业务进行处理，将处理后的第二访问请求请求发送给中间代理节点；

处理器1102，还用于使用第二密钥加密业务处理系统发送的网页，得到第六密文，网页由中间代理节点发送给业务处理系统；

可选的，节点信息包括数字证书和私钥，发射器1104，具体用于将数字证书发送给用户代理，接收器1105，具体用于接收用户代理根据数字证书携带的公钥发送的加密信息，处理器1102，具体用于使用私钥对加密信息进行解密得到预主密钥，并使用目的IP地址与用户代理建立加密连接；或，

节点信息包括数字证书，发射器1104，具体用于将数字证书发送给用户代理，接收器1105，具体用于接收用户代理根据数字证书携带的公钥发送的加密信息，发射器1104，还用于将加密信息发送给中间代理节点，接收器1105，还用于接收中间代理节点使用私钥对加密信息进行解密后发送的预主密钥，处理器1102，具体用于使用目的IP地址与用户代理建立加密连接；

其中，预主密钥用于生成第一密钥和第二密钥。

需要说明的是：上述实施例提供的业务处理装置在进行业务处理时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将业务处理装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的业务处理装置与业务处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，可以仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

一种业务处理方法，其特征在于，所述方法包括：

代理节点接收用户代理发送的第一密文，所述第一密文由所述用户代理使用第一密钥对业务信息进行加密得到；

所述代理节点使用第二密钥解密所述第一密文，得到所述业务信息；

所述代理节点将所述业务信息发送给业务处理系统，以使所述业务处理系统将所述业务信息按照增值业务进行处理，并触发将处理后的所述业务信息发送给网络服务器的流程；

其中，所述第一密钥和所述第二密钥是所述用户代理和所述代理节点在建立加密连接时约定的密钥。
根据权利要求1所述的方法，其特征在于，所述代理节点是中间代理节点，所述代理节点将所述业务信息发送给业务处理系统之后，还包括：

所述中间代理节点接收所述业务处理系统发送的处理后的所述业务信息；

所述中间代理节点与所述网络服务器建立加密连接，并约定第三密钥和第四密钥；

所述中间代理节点使用所述第三密钥加密所述业务信息，得到第二密文；

所述中间代理节点将所述第二密文发送给所述网络服务器，以使所述网络服务器使用所述第四密钥解密所述第二密文，得到所述业务信息。
根据权利要求2所述的方法，其特征在于，所述中间代理节点将所述第二密文发送给所述网络服务器之后，还包括：

所述中间代理节点接收所述网络服务器发送的第三密文，所述第三密文由所述网络服务器使用所述第四密钥对业务数据进行加密得到；

所述中间代理节点使用所述第三密钥解密所述第三密文，得到所述业务数据；

所述中间代理节点将所述业务数据发送给所述业务处理系统，以使所述业务处理系统将所述业务数据按照增值业务进行处理，将处理后的所述业务数据发送给所述中间代理节点；

所述中间代理节点使用所述第二密钥加密处理后的所述业务数据，得到第四密文；

所述中间代理节点将所述第四密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第四密文，得到所述业务数据。
根据权利要求2或3所述的方法，其特征在于，所述代理节点接收用户代理发送的第一密文之前，还包括：

所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求，指示所述用户代理发送第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一访问请求用于请求访问所述网络服务器；或，

所述中间代理节点接收所述用户代理发送的第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。
根据权利要求4所述的方法，其特征在于，所述指示所述用户代理发送第一连接建立请求，包括：

通过重定向响应指示所述用户代理发送所述第一连接建立请求。
根据权利要求5所述的方法，其特征在于，

所述重定向响应包括所述中间代理节点的网址，或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。
根据权利要求6所述的方法，其特征在于，当所述重定向响应包括所述中间代理节点的网址时，所述中间代理节点根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接之后，还包括：

所述中间代理节点接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述中间代理节点使用所述第二密钥解密所述第五密文，得到所述第二访问请求；

所述中间代理节点获取所述中间代理节点的网页；

所述中间代理节点使用所述第二密钥加密所述网页，得到第六密文；

所述中间代理节点将所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。
根据权利要求1所述的方法，其特征在于，所述代理节点是位于所述用户代理和中间代理节点之间的前端代理节点，所述代理节点将所述业务信息发送给业务处理系统之后，还包括：

所述前端代理节点接收所述业务处理系统发送的业务数据；

所述前端代理节点使用所述第二密钥加密所述业务数据，得到第七密文；

所述前端代理节点将所述第七密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第七密文，得到所述业务数据。
根据权利要求8所述的方法，其特征在于，所述代理节点接收用户代理发送的第一密文之前，还包括：

所述前端代理节点截获所述用户代理向中间代理节点发送的第二连接建立请求，所述第二连接建立请求包括所述中间代理节点的目的因特网协议IP地址；

所述前端代理节点根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接。
根据权利要求9所述的方法，其特征在于，

所述第二连接建立请求是所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求后，指示所述用户代理发送的，所述第一访问请求用于请求访问所述网络服务器，或，

所述第二连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。
根据权利要求10所述的方法，其特征在于，当所述第二连接建立请求是所述中间代理节点截获所述第一访问请求后，通过重定向响应指示所述用户代理发送的时，

所述重定向响应包括所述中间代理节点的网址；或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。
根据权利要求11所述的方法，其特征在于，当所述重定向响应包括所述中间代理节点的网址时，

所述前端代理节点根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接之后，还包括：

所述前端代理节点接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述前端代理节点使用所述第二密钥解密所述第五密文，得到所述第二访问请求；

所述前端代理节点将所述第二访问请求发送给所述业务处理系统，以使所述业务处理系统将所述第二访问请求按照增值业务进行处理，将处理后的所述第二访问请求请求发送给所述中间代理节点；

所述前端代理节点使用所述第二密钥加密所述业务处理系统发送的网页，得到第六密文，所述网页由所述中间代理节点发送给所述业务处理系统；

所述前端代理节点将所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。
根据权利要求9至12任一项所述的方法，其特征在于，所述前端代理节点根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接，包括：

所述节点信息包括数字证书和私钥，所述前端代理节点将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，使用所述私钥对所述加密信息进行解密得到预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；或，

所述节点信息包括数字证书，所述前端代理节点将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，将所述加密信息发送给所述中间代理节点，接收所述中间代理节点使用私钥对所述加密信息进行解密后发送的预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；

其中，所述预主密钥用于生成所述第一密钥和所述第二密钥。
根据权利要求4所述的方法，其特征在于，所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求之前，还包括：

所述中间代理节点截获所述用户代理向所述网络服务器发送的传输控制协议TCP连接请求；

所述中间代理节点读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，所述加密代理连接供所述用户代理向所述网络服务器发送所述第一访问请求。
根据权利要求14所述的方法，其特征在于，所述利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，包括：

所述中间代理节点向所述用户代理发送第一数字证书，所述第一数字证书是证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述证书颁发机构的第二数字证书预先配置在所述用户代理中或安装有所述用户代理的终端的操作系统中，以使所述用户代理根据所述第二数字证书验证所述第一数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接；或，

所述中间代理节点向所述用户代理发送第三数字证书和第四数字证书，所述第三数字证书是非授权证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述第四数字证书是所述非授权证书颁发机构的数字证书，以使所述用户代理根据所述第四数字证书验证所述第三数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接。
根据权利要求10所述的方法，其特征在于，所述第二连接建立请求是所述中间代理节点通过加密代理连接截获所述用户代理向所述网络服务器发送的所述第一访问请求后，指示所述用户代理发送的，所述加密代理连接是所述中间代理节点截获所述用户代理向所述网络服务器发送的TCP连接请求，读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立的。
一种业务处理装置，其特征在于，用于代理节点中，所述装置包括：

第一接收模块，用于接收用户代理发送的第一密文，所述第一密文由所述用户代理使用第一密钥对业务信息进行加密得到；

第一解密模块，用于使用第二密钥解密所述第一接收模块接收到的所述第一密文，得到所述业务信息；

第一发送模块，用于将所述第一解密模块解密后得到的所述业务信息发送给业务处理系统，以使所述业务处理系统将所述业务信息按照增值业务进行处理，并触发将处理后的所述业务信息发送给网络服务器的流程；

其中，所述第一密钥和所述第二密钥是所述用户代理和所述代理节点在建立加密连接时约定的密钥。
根据权利要求17所述的装置，其特征在于，所述代理节点是中间代理节点，所述装置，还包括：

第二接收模块，用于在所述第一发送模块将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的处理后的所述业务信息；

密钥约定模块，用于与所述网络服务器建立加密连接，并约定第三密钥和第四密钥；

第一加密模块，用于使用所述密钥约定模块约定的所述第三密钥加密所述业务信息，得到第二密文；

第二发送模块，用于将所述第一加密模块加密后的所述第二密文发送给所述网络服务器，以使所述网络服务器使用所述第四密钥解密所述第二密文，得到所述业务信息。
根据权利要求18所述的装置，其特征在于，所述装置，还包括：

第三接收模块，用于在所述第二发送模块将所述第二密文发送给所述网络服务器之后，接收所述网络服务器发送的第三密文，所述第三密文由所述网络服务器使用所述第四密钥对业务数据进行加密得到；

第二解密模块，用于使用所述第三密钥解密所述第三接收模块接收到的所述第三密文，得到所述业务数据；

第三发送模块，用于将所述第二解密模块解密后的所述业务数据发送给所述业务处理系统，以使所述业务处理系统将所述业务数据按照增值业务进行处理，将处理后的所述业务数据发送给所述中间代理节点；

第二加密模块，用于使用所述第二密钥加密处理后的所述业务数据，得到第四密文；

第四发送模块，用于将所述第二加密模块加密后的所述第四密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第四密文，得到所述业务数据。
根据权利要求18或19所述的装置，其特征在于，所述装置，还包括：

第一建立模块，用于在所述第一接收模块接收用户代理发送的第一密文之前，截获所述用户代理向所述网络服务器发送的第一访问请求，指示所述用户代理发送第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一访问请求用于请求访问所述网络服务器；或，

第二建立模块，用于在所述第一接收模块接收用户代理发送的第一密文之前，接收所述用户代理发送的第一连接建立请求，根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。
根据权利要求20所述的装置，其特征在于，所述第一建立模块，具体用于通过重定向响应指示所述用户代理发送所述第一连接建立请求。
根据权利要求21所述的装置，其特征在于，

所述重定向响应包括所述中间代理节点的网址，或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。
根据权利要求22所述的装置，其特征在于，当所述重定向响应包括所述中间代理节点的网址时，所述装置，还包括：

第四接收模块，用于在所述第一建立模块根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

第三解密模块，用于使用所述第二密钥解密所述第五接收模块接收到的所述第五密文，得到所述第二访问请求；

网页获取模块，用于获取所述中间代理节点的网页；

第三加密模块，用于使用所述第二密钥加密所述网页获取模块获取的所述网页，得到第六密文；

第五发送模块，用于将所述第三加密模块加密后的所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。
根据权利要求17所述的装置，其特征在于，所述代理节点是位于所述用户代理和中间代理节点之间的前端代理节点，所述装置，还包括：

第五接收模块，用于在所述第一发送模块将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的业务数据；

第四加密模块，用于使用所述第二密钥加密所述第五接收模块接收到的所述业务数据，得到第七密文；

第六发送模块，用于将所述第四加密模块加密后的所述第七密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第七密文，得到所述业务数据。
根据权利要求24所述的装置，其特征在于，所述装置，还包括：

请求截获模块，用于在所述第一接收模块接收用户代理发送的第一密文之前，截获所述用户代理向中间代理节点发送的第二连接建立请求，所述第二连接建立请求包括所述中间代理节点的目的因特网协议IP地址；

第三建立模块，用于根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接。
根据权利要求25所述的装置，其特征在于，

所述第二连接建立请求是所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求后，指示所述用户代理发送的，所述第一访问请求用于请求访问所述网络服务器，或，

所述第二连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。
根据权利要求26所述的装置，其特征在于，当所述第二连接建立请求是所述中间代理节点截获所述第一访问请求后，通过重定向响应指示所述用户代理发送的时，

所述重定向响应包括所述中间代理节点的网址；或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。
根据权利要求27所述的装置，其特征在于，当所述重定向响应包括所述中间代理节点的网址时，所述装置，还包括：

第六接收模块，用于在所述第三建立模块根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

第四解密模块，用于使用所述第二密钥解密所述第六接收模块接收到的所述第五密文，得到所述第二访问请求；

第七发送模块，用于将所述第四解密模块解密后的所述第二访问请求发送给所述业务处理系统，以使所述业务处理系统将所述第二访问请求按照增值业务进行处理，将处理后的所述第二访问请求请求发送给所述中间代理节点；

第五加密模块，用于所述第二密钥加密所述业务处理系统发送的网页，得到第六密文，所述网页由所述中间代理节点发送给所述业务处理系统；

第八发送模块，用于将所述第五加密模块加密后的所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。
根据权利要求25至28任一项所述的装置，其特征在于，所述第三建立模块，具体用于

所述节点信息包括数字证书和私钥，将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，使用所述私钥对所述加密信息进行解密得到预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；或，

所述节点信息包括数字证书，将所述数字证书发送给所述用户代理，接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，将所述加密信息发送给所述中间代理节点，接收所述中间代理节点使用私钥对所述加密信息进行解密后发送的预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；

其中，所述预主密钥用于生成所述第一密钥和所述第二密钥。
根据权利要求20所述的装置，其特征在于，所述装置，还包括：

请求获取模块，用于所述第一建立模块截获所述用户代理向所述网络服务器发送的第一访问请求之前，截获所述用户代理向所述网络服务器发送的传输控制协议TCP连接请求；

第四建立模块，用于读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，所述加密代理连接供所述用户代理向所述网络服务器发送所述第一访问请求。
根据权利要求30所述的装置，其特征在于，所述第四建立模块，具体用于：

向所述用户代理发送第一数字证书，所述第一数字证书是证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述证书颁发机构的第二数字证书预先配置在所述用户代理中或安装有所述用户代理的终端的操作系统中，以使所述用户代理根据所述第二数字证书验证所述第一数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接；或，

向所述用户代理发送第三数字证书和第四数字证书，所述第三数字证书是非授权证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述第四数字证书是所述非授权证书颁发机构的数字证书，以使所述用户代理根据所述第四数字证书验证所述第三数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接。
根据权利要求26所述的装置，其特征在于，所述第二连接建立请求是所述中间代理节点通过加密代理连接截获所述用户代理向所述网络服务器发送的所述第一访问请求后，指示所述用户代理发送的，所述加密代理连接是所述中间代理节点截获所述用户代理向所述网络服务器发送的TCP连接请求，读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立的。
一种业务处理装置，其特征在于，用于代理节点中，所述装置包括：总线，以及连接到所述总线的处理器、存储器、发射器和接收器。其中，所述存储器用于存储若干个指令，所述指令被配置成由所述处理器执行；

所述接收器，用于接收用户代理发送的第一密文，所述第一密文由所述用户代理使用第一密钥对业务信息进行加密得到；

所述处理器，用于使用第二密钥解密所述接收器接收到的所述第一密文，得到所述业务信息；

所述发射器，用于将所述处理器解密后的所述业务信息发送给业务处理系统，以使所述业务处理系统将所述业务信息按照增值业务进行处理，并触发将处理后的所述业务信息发送给网络服务器的流程；

其中，所述第一密钥和所述第二密钥是所述用户代理和所述代理节点在建立加密连接时约定的密钥。
根据权利要求33所述的装置，其特征在于，所述代理节点是中间代理节点，

所述接收器，还用于在所述发射器将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的处理后的所述业务信息；

所述处理器，还用于与所述网络服务器建立加密连接，并约定第三密钥和第四密钥；使用所述第三密钥加密所述业务信息，得到第二密文；

所述发射器，还用于将所述处理器加密后的所述第二密文发送给所述网络服务器，以使所述网络服务器使用所述第四密钥解密所述第二密文，得到所述业务信息。
根据权利要求34所述的装置，其特征在于，

所述接收器，还用于在所述发射器将所述第二密文发送给所述网络服务器之后，接收所述网络服务器发送的第三密文，所述第三密文由所述网络服务器使用所述第四密钥对业务数据进行加密得到；

所述处理器，还用于使用所述第三密钥解密所述接收器接收到的所述第三密文，得到所述业务数据；

所述发射器，还用于将所述处理器解密后的所述业务数据发送给所述业务处理系统，以使所述业务处理系统将所述业务数据按照增值业务进行处理，将处理后的所述业务数据发送给所述中间代理节点；

所述处理器，还用于使用所述第二密钥加密处理后的所述业务数据，得到第四密文；

所述发射器，还用于将所述处理器加密后的所述第四密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第四密文，得到所述业务数据。
根据权利要求34或35所述的装置，其特征在于，

所述接收器，还用于在接收用户代理发送的第一密文之前，截获所述用户代理向所述网络服务器发送的第一访问请求，所述发射器，还用于指示所述用户代理发送第一连接建立请求，所述处理器，还用于根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一访问请求用于请求访问所述网络服务器；或，

所述接收器，还用于在接收用户代理发送的第一密文之前，接收所述用户代理发送的第一连接建立请求，所述处理器，还用于根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接，所述第一连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。
根据权利要求36所述的装置，其特征在于，所述发射器，具体用于通过重定向响应指示所述用户代理发送所述第一连接建立请求。
根据权利要求37所述的装置，其特征在于，

所述重定向响应包括所述中间代理节点的网址，或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。
根据权利要求38所述的装置，其特征在于，当所述重定向响应包括所述中间代理节点的网址时，

所述接收器，还用于在所述处理器根据所述用户代理发送的所述第一连接建立请求，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述处理器，还用于使用所述第二密钥解密所述接收器接收到的所述第五密文，得到所述第二访问请求；获取所述中间代理节点的网页；使用所述第二密钥加密所述网页，得到第六密文；

所述发射器，还用于将所述所述处理器加密后的第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。
根据权利要求33所述的装置，其特征在于，所述代理节点是位于所述用户代理和中间代理节点之间的前端代理节点，还包括：

所述接收器，还用于在所述发射器将所述业务信息发送给业务处理系统之后，接收所述业务处理系统发送的业务数据；

所述处理器，还用于使用所述第二密钥加密所述接收器接收到的所述业务数据，得到第七密文；

所述发射器，还用于将所述处理器加密后的所述第七密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第七密文，得到所述业务数据。
根据权利要求40所述的装置，其特征在于，

所述接收器，还用于在接收用户代理发送的第一密文之前，截获所述用户代理向中间代理节点发送的第二连接建立请求，所述第二连接建立请求包括所述中间代理节点的目的因特网协议IP地址；

所述处理器，用于根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接。
根据权利要求41所述的装置，其特征在于，

所述第二连接建立请求是所述中间代理节点截获所述用户代理向所述网络服务器发送的第一访问请求后，指示所述用户代理发送的，所述第一访问请求用于请求访问所述网络服务器，或，

所述第二连接建立请求是所述用户代理在接收到用户触发的触发信号后发送的，所述触发信号是用户触发所述用户代理中预存的所述中间代理节点的网页后生成的。
根据权利要求42所述的装置，其特征在于，当所述第二连接建立请求是所述中间代理节点截获所述第一访问请求后，通过重定向响应指示所述用户代理发送的时，

所述重定向响应包括所述中间代理节点的网址；或，

所述重定向响应包括代理网址，所述代理网址由所述中间代理节点对所述网络服务器的指示信息添加代理指示得到，所述指示信息为网页指示信息、网页中对象的对象指示信息、对所述网页指示信息或所述对象指示信息进行转换后得到的信息中的一种。
根据权利要求43所述的装置，其特征在于，当所述重定向响应包括所述中间代理节点的网址时，

所述接收器，还用于在所述处理器根据所述目的IP地址和预存的所述中间代理节点的节点信息，与所述用户代理建立所述加密连接之后，接收所述用户代理发送的第五密文，所述第五密文由所述用户代理使用所述第一密钥对第二访问请求进行加密得到，所述第二访问请求用于请求访问所述中间代理节点；

所述处理器，还用于使用所述第二密钥解密所述接收器接收到的所述第五密文，得到所述第二访问请求；

所述发射器，还用于将所述处理器解密后的所述第二访问请求发送给所述业务处理系统，以使所述业务处理系统将所述第二访问请求按照增值业务进行处理，将处理后的所述第二访问请求请求发送给所述中间代理节点；

所述处理器，还用于使用所述第二密钥加密所述业务处理系统发送的网页，得到第六密文，所述网页由所述中间代理节点发送给所述业务处理系统；

所述发射器，还用于将所述处理器加密后的所述第六密文发送给所述用户代理，以使所述用户代理使用所述第一密钥解密所述第六密文，得到所述网页，所述网页用于触发所述用户代理发送所述第一密文。
根据权利要求41至44任一项所述的装置，其特征在于，

所述节点信息包括数字证书和私钥，所述发射器，具体用于将所述数字证书发送给所述用户代理，所述接收器，具体用于接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，所述处理器，具体用于使用所述私钥对所述加密信息进行解密得到预主密钥，并使用所述目的IP地址与所述用户代理建立所述加密连接；或，

所述节点信息包括数字证书，所述发射器，具体用于将所述数字证书发送给所述用户代理，所述接收器，具体用于接收所述用户代理根据所述数字证书携带的公钥发送的加密信息，所述发射器，还用于将所述加密信息发送给所述中间代理节点，所述接收器，还用于接收所述中间代理节点使用私钥对所述加密信息进行解密后发送的预主密钥，所述处理器，具体用于使用所述目的IP地址与所述用户代理建立所述加密连接；

其中，所述预主密钥用于生成所述第一密钥和所述第二密钥。
根据权利要求36所述的装置，其特征在于，

所述接收器，还用于截获所述用户代理向所述网络服务器发送的第一访问请求之前，截获所述用户代理向所述网络服务器发送的传输控制协议TCP连接请求；

所述处理器，还用于读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立加密代理连接，所述加密代理连接供所述用户代理向所述网络服务器发送所述第一访问请求。
根据权利要求46所述的装置，其特征在于，

所述发射器，还用于向所述用户代理发送第一数字证书，所述第一数字证书是证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述证书颁发机构的第二数字证书预先配置在所述用户代理中或安装有所述用户代理的终端的操作系统中，以使所述用户代理根据所述第二数字证书验证所述第一数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接；或，

所述发射器，还用于向所述用户代理发送第三数字证书和第四数字证书，所述第三数字证书是非授权证书颁发机构颁发的且与所述网络服务器对应的数字证书，所述第四数字证书是所述非授权证书颁发机构的数字证书，以使所述用户代理根据所述第四数字证书验证所述第三数字证书，在验证通过后，与所述中间代理节点建立所述加密代理连接。
根据权利要求42所述的装置，其特征在于，所述第二连接建立请求是所述中间代理节点通过加密代理连接截获所述用户代理向所述网络服务器发送的所述第一访问请求后，指示所述用户代理发送的，所述加密代理连接是所述中间代理节点截获所述用户代理向所述网络服务器发送的TCP连接请求，读取所述TCP连接请求中的信息，根据所述信息顶替所述网络服务器与所述用户代理建立TCP连接，在所述TCP连接建立完成后，利用预存的与所述网络服务器对应的数字证书与所述用户代理建立的。