CN102811225B - 一种ssl中间代理访问web资源的方法及交换机 - Google Patents
一种ssl中间代理访问web资源的方法及交换机 Download PDFInfo
- Publication number
- CN102811225B CN102811225B CN201210301728.9A CN201210301728A CN102811225B CN 102811225 B CN102811225 B CN 102811225B CN 201210301728 A CN201210301728 A CN 201210301728A CN 102811225 B CN102811225 B CN 102811225B
- Authority
- CN
- China
- Prior art keywords
- ssl
- web server
- switch
- service device
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开一种SSL中间代理访问WEB资源的方法及交换机,该方法包括,交换机上设置WEB服务器和SSL服务器,通过SSL中间代理的方式在客户端和WEB服务器之间直接建立SSL连接,数据经加密后进行传输,大大提高了数据的安全性、保密性和可靠性;此外,本发明的技术方案在原有WEB服务器不做任何变动的情况下,同时支持SSL安全连接和TCP连接访问WEB资源,提高了访问的灵活性。
Description
技术领域
本发明涉及计算机网络通讯领域,尤其涉及一种SSL中间代理访问WEB资源的方法及交换机。
背景技术
安全套接层(Secure Sockets Layer,简称SSL),是在Internet基础上提供的一种保证网上传输的数据私密性的安全协议。它能使客户端/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行真实性认证,还可选择对客户端进行真实身份认证。
SSL协议要求建立在可靠的传输层协议(例如:TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP,FTP,TELNET)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
目前网络中的交换机一般都支持通过WEB方式进行访问、管理。当在交换机上运行WEB服务器功能时,客户端用户通过浏览器使用HTTP方式和交换机建立TCP连接后,进行交换机数据的读取和配置,这种访问方式是基于普通的TCP连接的,数据是明文传输,安全性存在一定的隐患,如果在传输过程中有恶意用户进行数据的窃取,则很容易获得重要数据进行攻击。
SSL中间代理的作用就是为计算机之间的通信提供一个安全强度高的安全通道。SSL中间代理可以是一套独立的软件,可以与客户端与服务器共存在一台计算机上;如果独立安装在一台计算机上,则可以成为SSL服务器。SSL中间代理既是WEB服务器的代理,也是客户端的代理。
SSL中间代理安全机制在网络服务中,服务器和客户端用户之间需要相互向对方证实自己真实性。SSL中间代理认证对方身份真实的方法通过验证对方的数字证书实现,客户端、SSL中间代理、服务器,都需要向证书授权中心申请各自的数字证书。证书授权中心在颁发数字证书时会同时发一个对应密码,用来验证数字证书,这个对应的密码为数字证书的对应私钥。
为了提高通过WEB访问交换机的安全性,需要一种SSL中间代理访问WEB资源的方法、***及装置。
发明内容
为了克服现有技术中的缺陷和不足,本发明提出一种SSL中间代理访问WEB资源的方法、***及装置,通过SSL中间代理的方式在客户端和交换机直接建立SSL连接,数据经过加密后进行传输,大大提高了数据的安全性、保密性和可靠性。
本发明公开一种SSL中间代理访问WEB资源的方法,该方法包括:
S1:交换机监听用户客户端的登录请求报文,所述交换机上预先设置WEB服务器和SSL服务器;
S2:判断用户客户端的登录请求方式,如为HTTPS安全登录方式,则执行步骤S3;如为HTTP登录方式,则执行步骤S4;
S3:用户客户端与预先设置的WEB服务器进行SSL连接并进行数据传输;
S4:用户客户端与预先设置的WEB服务器进行TCP连接并进行数据传输。
相应地,本发明还公开一种SSL中间代理访问WEB资源的交换机,所述交换机上预先设置WEB服务器和SSL服务器,通过中间代理方式实现用户客户端与WEB服务器间的数据传输,所述交换机包括报文监听模块、登录方式判断模块、SSL连接执行模块、TCP连接执行模块,其中,
所述报文监听模块用于监听用户客户端的登录请求报文;
所述登录方式判断模块用于判断用户客户端的登录方式的类型,如为HTTPS安全登录方式,则通过SSL连接执行模块进行数据传输;如为HTTP登录方式,则通过TCP连接执行模块进行数据传输;
所述SSL连接执行模块用于将用户客户端与预先配置的WEB服务器进行SSL连接并进行数据传输;
所述TCP连接执行模块用于将用户客户端与预先配置的WEB服务器进行TCP连接并进行数据传输。
本发明的技术方案,在交换机上预先设置WEB服务器和SSL服务器,通过SSL中间代理的方式在客户端和交换机之间直接建立SSL连接,数据经加密后进行传输,大大提高了数据的安全性、保密性和可靠性;此外,本发明的技术方案在原有WEB服务器不做任何变动的情况下,同时支持SSL安全连接和TCP连接访问WEB资源,提高了访问的灵活性。
附图说明
图1为本发明实施例的SSL中间代理访问WEB资源的方法流程图;
图2为本发明实施例的SSL中间代理访问WEB资源的方法的具体流程图;
图3为本发明实施例的SSL中间代理访问WEB资源的***示意图;
图4为本发明实施例的SSL中间代理访问WEB资源的交换机的结构框图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以详细说明。
图1为本发明实施例的SSL中间代理访问WEB资源的方法流程图。如图1所示,该方法包括如下步骤,
S1:交换机监听用户客户端的登录请求报文,所述交换机上预先设置WEB服务器和SSL服务器;
其中,交换机通过预先配置的端口监听用户客户端的登录请求报文,其中,WEB服务器监听端口号为80,SSL服务器监听端口默认为443。
所述SSL服务器监听端口还可以手动配置,所述手动配置的监听端口范围为1025~65535。
S2:判断用户客户端的登录请求方式,如为HTTPS安全登录方式,则执行步骤S3;如为HTTP登录方式,则执行步骤S4;
HTTP(Hypertext Transfer Protocol,超文本传送协议)是一种通信协议,HTTP工作在TCP/IP协议体系中的TCP协议上。客户机和服务器必须都支持HTTP,才能在万维网上发送和接收HTML文档并进行交互。
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道(HTTP的安全版),即HTTP下加入SSL层,HTTPS的安全基础是SSL,加密的过程通过SSL完成。
S3:用户客户端与预先设置的WEB服务器进行SSL连接并进行数据传输;
该步骤具体包括,用户客户端使用预先获取的密钥和证书对登录请求报文进行加密和签名后与预先设置的SSL服务器进行连接,连接成功后,所述SSL服务器与所述WEB服务器连接并进行数据传输。
所述SSL服务器使用固定的IP(127.0.0.1)和固定端口(80)通过交换机内部的TCP连接方式与所述WEB服务器连接并进行数据传输。
S4:用户客户端与预先设置的WEB服务器进行TCP连接并进行数据传输。
交换机通过固定端口与WEB服务器进行TCP连接,所述WEB服务器的端口号为80。
图2为本发明实施例的SSL中间代理访问WEB资源的方法的具体流程图。如图2所示,具体实施步骤为,
步骤S201:在交换机上设置SSL服务器和WEB服务器,配置SSL连接使用的加密算法及证书,交换机监听用户客户端的登录请求报文;
步骤S202:判断用户客户端的登录方式是否是HTTPS登录方式,如果是,则执行步骤S203,如果不是,则执行步骤S209;
步骤S203:用户客户端与SSL服务器进行SSL握手连接,验证密钥;
步骤S204:判断SSL安全连接是否成功,如果是,则执行步骤S205,如果不是,则执行步骤S210;
步骤S205:所述SSL服务器连接所述WEB服务器;
步骤S206:WEB服务器判断是否是交换机内部SSL连接,如果是,则执行步骤S207,如果不是,则执行步骤S211;
步骤S207:WEB服务器与SSL服务器建立连接后进行数据的传输;
步骤S208:SSL服务器将数据传送回用户客户端;
步骤S209:用户客户端与预先设置的WEB服务器进行TCP连接并进行数据传输;
步骤S210:拒绝连接;
步骤S211:执行普通HTTP连接的处理流程。
图3为本发明实施例的SSL中间代理访问WEB资源的***示意图。如图3所示,所述***包括用户客户端和交换机,所述用户客户端与交换机连接,所述交换机上预先设置WEB服务器和SSL服务器;
所述用户客户端用于产生登录请求报文;
所述交换机用于监听用户客户端的登录请求报文并根据用户客户端的登录请求报文判断用户客户端的登录请求方式,如为HTTPS安全登录方式,用户客户端与预先配置的WEB服务器进行SSL连接并进行数据传输;如为HTTP登录方式,用户客户端与预先配置的WEB服务器进行TCP连接并进行数据传输。
交换机通过预先配置的端口监听客户端的登录请求报文及服务器返回的响应报文,其中,WEB服务器监听端口号为80,SSL服务器监听端口默认为443。
所述SSL服务器监听端口还可以手动配置,所述手动配置的监听端口范围为1025~65535。
本实施例中,以太网接入设备交换机的端口Ethernet1/1下连接三个用户(用户A、用户B、用户C),交换机上同时启动WEB服务器和SSL代理服务器功能。用户A通过HTTPS方式的SSL连接访问交换机,对交换机进行管理、WEB资源的访问。同时,用户B通过HTTP方式的普通TCP连接访问交换机的WEB资源。
用户C同时连接在交换机上,假如用户C通过恶意软件截取和交换机通信的用户A和用户B的数据报文,由于用户B使用的是HTTP方式的TCP连接,所有数据内容都是以明文的方式传输,用户B使用的用户名、密码等信息都会被用户C获得。而用户A使用的HTTPS方式的SSL连接,所有的传输数据都是经过加密处理,使用的加密算法越复杂,就越难破解,安全性就更高。即使用户C获得了数据报文也很难破解,无法进行进一步的攻击,有效的保护了用户的网络安全。交换机同时支持用户A的SSL连接访问和用户B的HTTP连接访问,灵活的WEB访问方式可以给用户提供更多的选择,方便了用户的网络管理。
图4为本发明实施例的SSL中间代理访问WEB资源的交换机的结构框图。如图4所示,所述交换机上预先设置WEB服务器和SSL服务器,通过中间代理方式实现用户客户端与WEB服务器间的数据传输,所述交换机包括报文监听模块、登录方式判断模块、SSL连接执行模块、TCP连接执行模块,其中,
所述报文监听模块用于监听用户客户端的登录请求报文;
所述登录方式判断模块用于判断用户客户端的登录方式的类型,如为HTTPS安全登录方式,则通过SSL连接执行模块进行数据传输;如为HTTP登录方式,则通过TCP连接执行模块进行数据传输;
所述SSL连接执行模块用于将用户客户端与预先配置的WEB服务器进行SSL连接并进行数据传输;
所述TCP连接执行模块用于将用户客户端与预先配置的WEB服务器进行TCP连接并进行数据传输。
所述交换机通过预先配置的端口监听用户客户端的登录请求报文,其中,WEB服务器监听端口号为80,SSL服务器监听端口默认为443。
所述SSL服务器监听端口还可以手动配置,所述手动配置的监听端口范围为1025~65535。
本发明的技术方案,在交换机上预先设置WEB服务器和SSL服务器,通过SSL中间代理的方式在客户端和服务器之间直接建立SSL连接,数据经加密后进行传输,大大提高了数据的安全性、保密性和可靠性;此外,本发明的技术方案在原有WEB服务器不做任何变动的情况下,同时支持SSL安全连接和TCP连接访问WEB资源,提高了访问的灵活性。
上述仅为本发明的较佳实施例及所运用技术原理,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。
Claims (8)
1.一种SSL中间代理访问WEB资源的方法,其特征在于,该方法包括:
S1:交换机监听用户客户端的登录请求报文,所述交换机上预先设置WEB服务器和SSL服务器;
S2:判断用户客户端的登录请求方式,如为HTTPS安全登录方式,则执行步骤S3;如为HTTP登录方式,则执行步骤S4;
S3:用户客户端与预先设置的WEB服务器进行SSL连接并进行数据传输;
S4:用户客户端与预先设置的WEB服务器进行TCP连接并进行数据传输;其中,所述S3:用户客户端与预先设置的WEB服务器进行SSL连接并进行数据传输包括:用户客户端使用预先获取的密钥和证书对登录请求报文进行加密和签名后与预先设置的SSL服务器进行连接,连接成功后,所述SSL服务器与所述WEB服务器连接并进行数据传输。
2.根据权利要求1所述的SSL中间代理访问WEB资源的方法,其特征在于,所述步骤S3进一步包括,用户客户端使用预先获取的密钥和证书对登录请求报文进行加密和签名后与预先设置的SSL服务器进行SSL连接,连接成功后,所述SSL服务器与所述WEB服务器连接并进行数据传输。
3.根据权利要求2所述的SSL中间代理访问WEB资源的方法,其特征在于,所述SSL服务器使用固定的IP和固定端口通过交换机内部的TCP连接方式与所述WEB服务器连接并进行数据传输。
4.根据权利要求1所述的SSL中间代理访问WEB资源的方法,其特征在于,所述步骤S1中,交换机通过预先配置的端口监听客户端的登录请求报文,其中,WEB服务器监听端口号为80,SSL服务器监听端口默认为443。
5.根据权利要求4所述的SSL中间代理访问WEB资源的方法,其特征在于,所述SSL服务器监听端口还包括手动配置的端口,所述手动配置的监听端口范围为1025~65535。
6.一种SSL中间代理访问WEB资源的交换机,其特征在于,所述交换机上预先设置WEB服务器和SSL服务器,通过中间代理方式实现用户客户端与WEB服务器间的数据传输,所述交换机包括报文监听模块、登录方式判断模块、SSL连接执行模块、TCP连接执行模块,其中,
所述报文监听模块用于监听用户客户端的登录请求报文;
所述登录方式判断模块用于判断用户客户端的登录方式的类型,如为HTTPS安全登录方式,则通过SSL连接执行模块进行数据传输;如为HTTP登录方式,则通过TCP连接执行模块进行数据传输;
所述SSL连接执行模块用于将用户客户端与预先配置的WEB服务器进行SSL连接并进行数据传输;
所述TCP连接执行模块用于将用户客户端与预先配置的WEB服务器进行TCP连接并进行数据传输;
其中,所述SSL连接执行模块具体用于:将用户客户端使用预先获取的密钥和证书对登录请求报文进行加密和签名后与预先设置的SSL服务器进行连接,连接成功后,所述SSL服务器与所述WEB服务器连接并进行数据传输。
7.根据权利要求6所述的SSL中间代理访问WEB资源的交换机,其特征在于,所述交换机通过预先配置的端口监听用户客户端的登录请求报文,其中,WEB服务器监听端口号为80,SSL服务器监听端口默认为443。
8.根据权利要求7所述的SSL中间代理访问WEB资源的交换机,其特征在于,所述SSL服务器监听端口还包括手动配置的端口,所述手动配置的监听端口范围为1025~65535。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210301728.9A CN102811225B (zh) | 2012-08-22 | 2012-08-22 | 一种ssl中间代理访问web资源的方法及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210301728.9A CN102811225B (zh) | 2012-08-22 | 2012-08-22 | 一种ssl中间代理访问web资源的方法及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102811225A CN102811225A (zh) | 2012-12-05 |
| CN102811225B true CN102811225B (zh) | 2016-08-17 |
Family
ID=47234800
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210301728.9A Active CN102811225B (zh) | 2012-08-22 | 2012-08-22 | 一种ssl中间代理访问web资源的方法及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102811225B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106856468A (zh) * | 2015-12-08 | 2017-06-16 | 中国科学院声学研究所 | 一种部署在云存储服务端的安全代理装置与安全代理方法 |
| CN106254355B (zh) * | 2016-08-10 | 2019-04-05 | 武汉信安珞珈科技有限公司 | 一种网络协议数据包的安全处理方法和*** |
| CN109510801B (zh) * | 2017-09-15 | 2021-08-31 | 北京华耀科技有限公司 | 显式正向代理与ssl侦听集成***及其运行方法 |
| CN109587097A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种实现安全访问内部网络的***、方法和装置 |
| CN111800402B (zh) * | 2020-06-28 | 2022-08-09 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN112035851A (zh) * | 2020-07-22 | 2020-12-04 | 北京中安星云软件技术有限公司 | 一种基于ssl的mysql数据库审计方法 |
| CN112511530B (zh) * | 2020-11-26 | 2023-10-31 | 浪潮金融信息技术有限公司 | 一种对接SSLSocket通信的方法、装置及介质 |
| CN112261068B (zh) * | 2020-12-22 | 2021-03-19 | 北京翼辉信息技术有限公司 | 一种局域网内的动态 tls 认证方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1359074A (zh) * | 2001-11-29 | 2002-07-17 | 上海格尔软件股份有限公司 | 具有mime数据类型过滤技术的ssl代理方法 |
| CN101436933A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种https加密访问方法、***及装置 |
| CN101515896A (zh) * | 2009-03-20 | 2009-08-26 | 成都市华为赛门铁克科技有限公司 | 安全套接字层协议报文转发方法、装置、***及交换机 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
| CN100461784C (zh) * | 2006-04-10 | 2009-02-11 | 杭州华三通信技术有限公司 | 一种从网关设备之间进行通信的方法和*** |
-
2012
- 2012-08-22 CN CN201210301728.9A patent/CN102811225B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1359074A (zh) * | 2001-11-29 | 2002-07-17 | 上海格尔软件股份有限公司 | 具有mime数据类型过滤技术的ssl代理方法 |
| CN101436933A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种https加密访问方法、***及装置 |
| CN101515896A (zh) * | 2009-03-20 | 2009-08-26 | 成都市华为赛门铁克科技有限公司 | 安全套接字层协议报文转发方法、装置、***及交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102811225A (zh) | 2012-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102811225B (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
| Breiling et al. | Secure communication for the robot operating system | |
| CN106790194B (zh) | 一种基于ssl协议的访问控制方法及装置 | |
| Pereira et al. | An authentication and access control framework for CoAP-based Internet of Things | |
| Dacosta et al. | Trust no one else: Detecting MITM attacks against SSL/TLS without third-parties | |
| CN102970299B (zh) | 文件安全保护***及其方法 | |
| CN103685187B (zh) | 一种按需转换ssl认证方式以实现资源访问控制的方法 | |
| US8438631B1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| CN102984127B (zh) | 一种以用户为中心的移动互联网身份管理及认证方法 | |
| CN109936547A (zh) | 身份认证方法、***及计算设备 | |
| CN107018134A (zh) | 一种配电终端安全接入平台及其实现方法 | |
| EP3161994A1 (en) | Method of mutual verification between a client and a server | |
| CN104283886A (zh) | 一种基于智能终端本地认证的web安全访问的实现方法 | |
| CN105516980A (zh) | 一种基于Restful架构的无线传感器网络令牌认证方法 | |
| CN107786515B (zh) | 一种证书认证的方法和设备 | |
| WO2013080166A1 (en) | Mutually authenticated communication | |
| CN107018154A (zh) | 一种基于应用层用于连接内网和外网的路由器和路由方法 | |
| CN106685983A (zh) | 一种基于ssl协议的数据还原方法与装置 | |
| JP2016521029A (ja) | セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法 | |
| WO2016112580A1 (zh) | 业务处理方法及装置 | |
| CN103716280B (zh) | 数据传输方法、服务器及*** | |
| CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
| CN201252570Y (zh) | 一种安全网关客户端装置 | |
| KR101572598B1 (ko) | Sso 인증 시스템 기반 인증 정보 재전송 공격에 안전한 사용자 인증 방법 | |
| CN102629928A (zh) | 一种基于公共密钥的互联网彩票***安全链路实施方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |