CN104821951A - 一种安全通信的方法和装置 - Google Patents
一种安全通信的方法和装置 Download PDFInfo
- Publication number
- CN104821951A CN104821951A CN201510272533.XA CN201510272533A CN104821951A CN 104821951 A CN104821951 A CN 104821951A CN 201510272533 A CN201510272533 A CN 201510272533A CN 104821951 A CN104821951 A CN 104821951A
- Authority
- CN
- China
- Prior art keywords
- destination server
- client
- certificate
- escape way
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全通信的方法和装置。该方法包括:代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于第一安全通道接收所述客户端发送的与目的服务器的通信请求;代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于第二安全通道申请所述客户端与所述目的服务器的会话密钥;代理服务器将申请到的会话密钥通过第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。应用本发明实施例能够保证通信安全。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种安全通信的方法和装置。
背景技术
随着电子商务、移动互联网的爆发式增长,人们通过互联网进行涉及敏感信息的通信越来越频繁,比如,进行互联网金融交易,因此,网络安全也变得越来越重要。
目前,网络安全所面临的威胁包括:通信双方交互的通信数据被第三方窃听;或者,攻击者通过伪造服务器身份,与客户端建立安全加密通道,并通过该安全加密通道与客户端通信,从而套取客户端数据。
因此,如何防止通信数据被窃听,或者攻击者伪造服务器身份套取客户端数据,保证客户端与目的服务器之间的通信安全,成为当前急需解决的技术问题。
发明内容
有鉴于此,本发明提出了一种安全通信的方法和装置,能够保证客户端与目的服务器的通信安全。
本发明提出的技术方案是:
一种安全通信的方法,该方法包括:
代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求;
代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥;
代理服务器将申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
一种安全通信的装置,该装置位于代理服务器中,该装置包括第一安全通信模块和第二安全通信模块;
所述第一安全通信模块,用于根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求,将第二安全通信模块申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信;
所述第二安全通信模块,用于根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
由上述技术方案可见,本发明实施例中,在客户端和目的服务器之间设立了代理服务器,由该代理服务器验证客户端的身份和目的服务器的身份,确保两者均是可信的,并且与客户端建立第一安全通道、与目的服务器建立第二安全通道,然后代理服务器通过与目的服务器建立的第二安全通道,为客户端申请与目的服务器之间进行通信的会话密钥,并将申请到的会话密钥通过与客户端建立的第一安全通道返回给客户端,使得客户端和目的服务器可以通过该会话密钥通信,从而确保了客户端和目的服务器之间的通信安全。
进一步,由于客户端只需要安装代理服务器的证书,而海量目的服务器的证书都安装在代理服务器侧,因此,可以节省客户端侧的存储空间、简化客户端侧的证书管理。
并且,当不同的客户端需要分别与海量的目的服务器进行通信时,只需要代理服务器对这些海量的目的服务器执行证书验证、安装和管理操作,不需要各个不同的客户端分别对这些海量的目的服务器执行证书验证、安装和管理操作,各个目的服务器也只需要验证代理服务器的身份、不需要分别验证各个不同的客户端的身份,因此,还能够避免网络节点由于执行相同的验证、安装和管理操作而造成的资源浪费。
附图说明
图1是本发明实施例提供的安全通信的方法流程图。
图2是本发明实施例提供的通信***组成示意图。
图3是本发明实施例提供的代理服务器的硬件结构连接图。
图4是本发明实施例提供的安全通信的装置的结构示意图。
具体实施方式
保证客户端与目的服务器的通信安全的一种方法是:客户端首先获取目的服务器的证书,根据该证书验证目的服务器的身份,如果验证出目的服务器身份可信,则安装该目的服务器的证书,基于该证书与该目的服务器建立安全通道,然后通过该安全通道与目的服务器进行通信,从而保证客户端与目的服务器的通信安全。
其中,客户端验证目的服务器的身份的方法可以包括:客户端检查目的服务器发来的证书是否是由该客户端所信赖的认证(CA)中心所签发的,比如,该服务器的证书已经在客户端本地的信任证书列表中,或者,该服务器证书是经过某一个证书机构授权,且这个授权的证书机构的证书在客户端的本地信任证书列表中。
因此,为了保证安全性,必须在客户端安装需要登录的目的服务器的证书,比如,如果用户需要登录某网银***,就必须使用银行机构提供的U盾等设备安装该银行服务器的证书。
然而,在移动互联快速发展的今天,各种应用日渐丰富,每访问一个目的服务器都需要安装相应目的服务器的证书,这样,在证书达到一定数目后,客户端本地的证书将占用客户端大量的存储空间、证书管理也变得复杂,而且,不同的客户端需要分别对海量的目的服务器的证书进行重复的验证、安装和管理,也造成了网络节点的资源浪费。
基于上述分析,本发明实施例提供了一种用于客户端与目的服务器进行安全通信的方法,能够确保客户端与目的服务器之间的通信安全,而且能够节省客户端侧的存储空间、简化客户端的证书管理,避免重复的证书验证、安装和管理所造成的网络节点资源浪费。
图1是本发明实施例提供的安全通信的方法流程图。
如图1所示,该流程包括:
步骤101,代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求。
步骤102,代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
其中,关于通信请求中所携带的目的服务器的信息内容和客户端信息的内容,以能够实现所述通信请求为准,具体内容本发明实施例不做限制,比如,所述目的服务器的信息可以包括所述目的服务器的身份标识信息或地址信息,所述客户端信息可以包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
步骤103,代理服务器将申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
由图1所示方法可见,通过在客户端和目的服务器之间设立代理服务器,由该代理服务器与客户端建立第一安全通道、与目的服务器建立第二安全通道,然后通过与目的服务器建立的第二安全通道,为客户端申请与目的服务器之间进行通信的会话密钥,并将申请到的会话密钥通过与客户端建立的第一安全通道返回给客户端,使得客户端和目的服务器可以通过该会话密钥通信,从而确保了客户端和目的服务器之间的通信安全。
并且,由于客户端只需要安装代理服务器的证书,而目的服务器的证书都安装在代理服务器侧,因此,还可以节省客户端侧的存储空间、简化客户端侧的证书管理。
图1所示方法中,代理服务器还可以对海量的目的服务器起到汇聚的作用,避免对同一个目的服务器在不同的客户端侧重复执行验证、安装和管理的操作,因此能够节省网络节点的资源。
具体地,代理服务器在根据客户端通过第一安全通道发来的通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道时,可以根据所述通信请求中携带的目的服务器的信息,判断所述代理服务器是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,所述代理服务器获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,然后基于已安装的所述目的服务器的证书建立所述第二安全通道。
可见,只要代理服务器已经安装过目的服务器的证书,则如果之后又收到其他客户端发送的与该目的服务器的通信请求,则代理服务器不需要再重复安装该目的服务器的证书,只需要基于已安装的该目的服务器的证书与目的服务器建立第二安全通道,基于该第二安全通道申请客户端与目的服务器之间的会话密钥即可。
下面,进一步结合客户端、目的服务器以及代理服务器之间的关系,对本发明实施例提供的用于客户端与目的服务器进行安全通信的方法进行详细说明,具体请参见图2。
图2是本发明实施例提供的通信***组成示意图。
如图2所示,该***包括客户端201-1到客户端201-n、代理服务器202和目的服务器203-1到目的服务器203-m。
其中,客户端201-1到客户端201-n分别安装了代理服务器202的证书,并且,在需要与目的服务器203-1到目的服务器203-m中的任一目的服务器通信时,分别基于代理服务器202的证书,与代理服务器202建立第一安全通道1-1至第一安全通道1-n,然后通过自身与代理服务器202建立的第一安全通道发送与目的服务器的通信请求。
代理服务器202在收到客户端201-1到客户端201-n中的任一客户端发来的通信请求以后,根据该通信请求中携带的目的服务器的信息,判断该代理服务器202是否已安装了该目的服务器的证书,如果是,基于已安装的该目的服务器的证书与该目的服务器建立第二安全通道,如果否,代理服务器202先获取该目的服务器的证书,并验证该获取的证书是否合法,如果合法,安装所述目的服务器的证书,并基于安装的该目的服务器的证书建立第二安全通道,如果不合法,代理服务器202可以拒绝安装所述目的服务器的证书,并向发送请求的客户端通过第一安全通道反馈目的服务器不可信的消息。
比如,假设客户端201-1安装了代理服务器202的证书,并基于该证书与代理服务器202建立了第一安全通道1-1,通过第一安全通道1-1向代理服务器202发送与目的服务器203-2通信的通信请求1,该通信请求1中携带有目的服务器203-2的信息,那么,代理服务器202将从该通信请求1中读取目的服务器203-2的信息,代理服务器202判断自身是否已安装目的服务器203-2的证书,假设未安装,则代理服务器202获取目的服务器203-2的证书,并验证获取的证书是否合法,假设验证结果是合法的,则代理服务器202安装目的服务器203-2的证书,基于已安装的目的服务器203-2的证书与目的服务器203-2建立第二安全通道2-2。然后代理服务器202通过第二安全通道2-2向目的服务器203-2申请客户端201-1与目的服务器203-2通信的会话密钥,将申请到的会话密钥通过第一安全通道1-1返回给客户端201-1。
继续上例,假设之后代理服务器202又收到客户端201-2通过第一安全通道1-2发送的与目的服务器203-2通信的通信请求2,则代理服务器202判断自身是否已安装目的服务器203-2的证书的结果是已安装,因此,代理服务器202直接基于已安装的目的服务器203-2的证书与目的服务器203-2建立第二安全通道2-2,通过第二安全通道2-2向目的服务器203-2申请客户端201-2与目的服务器203-2通信的会话密钥,将申请到的会话密钥通过第一安全通道1-2返回给客户端201-2。
由上述描述可见,本发明实施例中,客户端在需要与目的服务器通信时,用于申请会话密钥的通信路径与实际使用会话密钥通信路径是分离的,其中,通过客户端与代理服务器之间的第一安全通道以及代理服务器与目的服务器之间的第二安全通道申请客户端与目的服务器进行通信的会话密钥,申请到的会话密钥直接用于所述客户端与所述目的服务器的通信,换言之,客户端和目的服务器基于所述会话密钥对通信数据进行加密,并将加密后的数据通过客户端和目的服务器之间的通信链路发给对方,比如,客户端201-1利用会话密钥对发给目的服务器203-2的通信数据进行加密,将加密后的通信数据通过与目的服务器203-2之间的通信链路1发给目的服务器203-2,客户端201-2利用会话密钥对发给目的服务器203-2的通信数据进行加密,将加密后的通信数据通过与目的服务器203-2之间的通信链路2发给目的服务器203-2。
由于用于申请会话密钥的通信路径与实际使用会话密钥通信路径是分离的,因此,即便使用会话密钥通信路径出现了安全问题,还可以通过申请会话密钥的通信路径重新申请新的会话密钥,使得之后的通信变得安全。
其中,通过申请会话密钥的通信路径重新申请新的会话密钥时,仍可以采用图1所示方法,此时,图1中的通信请求具体是会话密钥更新请求,基于第二安全通道申请客户端与目的服务器的会话密钥时,申请的是更新的会话密钥。
进一步地,由于代理服务器与大量客户端建立第一安全通道,并与大量的目的服务器建立第二安全通道,因此,可以在代理服务器中设置安全策略,使得代理服务器根据安全策略,在接收到客户端发送的建立第一安全通道的请求时,判断是否与所述客户端建立所述第一安全通道,或者,在接收到客户端发送的与目的服务器的通信请求时,判断是否与所述目的服务器建立第二安全通道。因此,通过在代理服务器侧设置安全策略,使得代理服务器根据所述安全策略对与客户端和与目的服务器之间的连接进行控制,能够使得网络安全策略的管理和更新都更加方便,比如,不需要在每个客户端或者每个目的服务器上分别设置相应的安全策略。
其中,代理服务器在网络中的位置可以有多种选择,具体可以根据应用场景和安全性要求来确定,比如,在宽带接入场景下,代理服务器可以是宽带服务器提供商的某个后台服务器。为了提高安全性,代理服务器的防攻击性需要达到一定的级别。
为了进一步提高安全性,本发明实施例提出,客户端侧也可以在自身设置进一步的安全策略,比如,客户端在安装了代理服务器的证书以后,可以禁止安装所述代理服务器以外的其他证书,从而避免客户端上的恶意软件私自安装不可信的服务器的证书,带来安全隐患。
上述实施例中,对于建立第一安全通道和第二安全通道所基于的安全协议和通信协议,本发明实施例不做限制,比如,可以基于安全套接字(Secure SocketLayer,SSL)协议、通过TCP连接建立第一安全通道和第二安全通道。
可见,采用本发明实施例,客户端只需要安装一次代理服务器的证书,之后客户端与所有目的服务器在建立加密会话时,都不需要再安装相应目的服务器的证书,因此节省了客户端本地的证书管理成本。通过将证书管理从客户端迁移到代理服务器,可以很方便地进行安全策略的变更,提高防止网络攻击的能力。而且,除了由代理服务器对目的服务器进行身份认证以外,客户端也可以实施更高级别的安全策略,比如安装了代理服务器的证书以后,缺省情况下禁止客户端本地软件再安装其它证书,这样可以有效防止一些恶意软件私自安装证书的情况。本发明实施例还有利于提高客户端的使用体验,比如,客户端不会再遇到存在未授信站点需要提醒用户甄别的情况。进一步,代理服务器与某目的服务器建立过一次安全连接后,后续其它客户端通过此代理服务器建立与此目的服务器的安全连接时,都不需要对该目的服务器再次进行认证,因此有很好的汇聚作用,可以大大节省网络计算资源。
针对上述方法,本发明实施例还公开了一种代理服务器,该代理服务器中包括用于客户端与目的服务器进行安全通信的装置。
图3是本发明实施例提供的代理服务器的硬件结构连接图。
如图3所示,该代理服务器包括处理器、网络接口、内存和非易失性存储器,且上述各硬件通过总线连接,具体地:
非易失性存储器,用于存储指令代码;所述指令代码被处理器执行时完成的操作主要为内存中的安全通信的装置完成的功能。
处理器,用于与非易失性存储器通信,读取和执行非易失性存储器中存储的所述指令代码,完成上述安全通信的装置完成的功能。
内存,当非易失性存储器中的所述指令代码被执行时完成的操作主要为内存中的安全通信的装置完成的功能。
图4是本发明实施例提供的安全通信的装置的结构示意图。
如图4所示,该装置包括第一安全通信模块401和第二安全通信模块402。
第一安全通信模块401,用于根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求,将第二安全通信模块申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
第二安全通信模块402,用于根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
其中,第二安全通信模块402,用于根据所述通信请求中携带的目的服务器的信息,判断是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,基于已安装的所述目的服务器的证书建立所述第二安全通道。
所述通信请求可以包括会话密钥更新请求。
第二安全通信模块402,可以用于基于所述第二安全通道申请所述客户端与所述目的服务器的更新的会话密钥。
第一安全通信模块401,还可以用于在接收到客户端发送的建立第一安全通道的请求时,根据安全策略判断是否与所述客户端建立所述第一安全通道;
第二安全通信模块402,还可以用于在接收到客户端发送的与目的服务器的通信请求时,根据安全策略判断是否与所述目的服务器建立第二安全通道。
其中,所述目的服务器的信息可以包括所述目的服务器的身份标识信息或地址信息,所述客户端信息可以包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种安全通信的方法,其特征在于,该方法包括:
代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求;
代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥;
代理服务器将申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
2.根据权利要求1所述的方法,其特征在于,代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道包括:
代理服务器根据所述通信请求中携带的目的服务器的信息,判断所述代理服务器是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,所述代理服务器获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,基于已安装的所述目的服务器的证书建立所述第二安全通道。
3.根据权利要求1所述的方法,其特征在于,所述通信请求包括会话密钥更新请求;
基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥包括:
基于所述第二安全通道申请所述客户端与所述目的服务器的更新的会话密钥。
4.根据权利要求1所述的方法,其特征在于,该方法还包括:
代理服务器根据安全策略,在接收到客户端发送的建立第一安全通道的请求时,判断是否与所述客户端建立所述第一安全通道,和/或,在接收到客户端发送的与目的服务器的通信请求时,判断是否与所述目的服务器建立第二安全通道。
5.根据权利要求1所述的方法,其特征在于,
所述目的服务器的信息包括所述目的服务器的身份标识信息或地址信息,所述客户端信息包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
6.一种安全通信的装置,其特征在于,该装置位于代理服务器中,该装置包括第一安全通信模块和第二安全通信模块;
所述第一安全通信模块,用于根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求,将第二安全通信模块申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信;
所述第二安全通信模块,用于根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
7.根据权利要求6所述的装置,其特征在于,
所述第二安全通信模块,用于根据所述通信请求中携带的目的服务器的信息,判断是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,基于已安装的所述目的服务器的证书建立所述第二安全通道。
8.根据权利要求6所述的装置,其特征在于,所述通信请求包括会话密钥更新请求;
所述第二安全通信模块,用于基于所述第二安全通道申请所述客户端与所述目的服务器的更新的会话密钥。
9.根据权利要求6所述的装置,其特征在于,
所述第一安全通信模块,还用于在接收到客户端发送的建立第一安全通道的请求时,根据安全策略判断是否与所述客户端建立所述第一安全通道;
所述第二安全通信模块,还用于在接收到客户端发送的与目的服务器的通信请求时,根据安全策略判断是否与所述目的服务器建立第二安全通道。
10.根据权利要求6所述的装置,其特征在于,
所述目的服务器的信息包括所述目的服务器的身份标识信息或地址信息,所述客户端信息包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510272533.XA CN104821951B (zh) | 2015-05-26 | 2015-05-26 | 一种安全通信的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510272533.XA CN104821951B (zh) | 2015-05-26 | 2015-05-26 | 一种安全通信的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104821951A true CN104821951A (zh) | 2015-08-05 |
| CN104821951B CN104821951B (zh) | 2019-04-19 |
Family
ID=53732114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510272533.XA Active CN104821951B (zh) | 2015-05-26 | 2015-05-26 | 一种安全通信的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104821951B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254388A (zh) * | 2016-09-22 | 2016-12-21 | 安徽云图信息技术有限公司 | 云计算环境下的访问控制技术 |
| CN108667857A (zh) * | 2018-08-28 | 2018-10-16 | 深信服科技股份有限公司 | 一种安全策略维护方法及***、服务端、客户端 |
| CN109088883A (zh) * | 2018-09-21 | 2018-12-25 | 北京天融信网络安全技术有限公司 | 一种多子网的组网方法、装置、存储介质及计算机设备 |
| CN110870277A (zh) * | 2017-06-26 | 2020-03-06 | 微软技术许可有限责任公司 | 将中间盒引入到客户端与服务器之间的安全通信中 |
| CN110932861A (zh) * | 2019-10-17 | 2020-03-27 | 杭州安存网络科技有限公司 | 基于多ca的数字证书管理方法及装置、设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1972306A (zh) * | 2006-12-01 | 2007-05-30 | 浙江大学 | 安全套接层协议安全代理多重认证的实现方法 |
| US20070226499A1 (en) * | 2002-08-14 | 2007-09-27 | Thomson Licensing | Session key management for public wireless lan supporting multiple virtual operators |
| CN102769846A (zh) * | 2011-05-04 | 2012-11-07 | ***股份有限公司 | 一种用户终端及支付*** |
| CN104023013A (zh) * | 2014-05-30 | 2014-09-03 | 上海帝联信息科技股份有限公司 | 数据传输方法、服务端和客户端 |
| CN104378339A (zh) * | 2013-08-16 | 2015-02-25 | 深圳市腾讯计算机***有限公司 | 一种使用代理协议的通信方法和装置 |
-
2015
- 2015-05-26 CN CN201510272533.XA patent/CN104821951B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070226499A1 (en) * | 2002-08-14 | 2007-09-27 | Thomson Licensing | Session key management for public wireless lan supporting multiple virtual operators |
| CN1972306A (zh) * | 2006-12-01 | 2007-05-30 | 浙江大学 | 安全套接层协议安全代理多重认证的实现方法 |
| CN102769846A (zh) * | 2011-05-04 | 2012-11-07 | ***股份有限公司 | 一种用户终端及支付*** |
| CN104378339A (zh) * | 2013-08-16 | 2015-02-25 | 深圳市腾讯计算机***有限公司 | 一种使用代理协议的通信方法和装置 |
| CN104023013A (zh) * | 2014-05-30 | 2014-09-03 | 上海帝联信息科技股份有限公司 | 数据传输方法、服务端和客户端 |
Non-Patent Citations (3)
| Title |
|---|
| 付沙 等: "《基于SSL协议的客户端安全代理的研究与实现》", 《计算机与现代化》 * |
| 任静 等: "《客户端SSL安全代理的设计与实现》", 《计算机应用与研究》 * |
| 郭丽: "《一个SSL代理服务器的设计与实现》", 《硅谷》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254388A (zh) * | 2016-09-22 | 2016-12-21 | 安徽云图信息技术有限公司 | 云计算环境下的访问控制技术 |
| CN110870277A (zh) * | 2017-06-26 | 2020-03-06 | 微软技术许可有限责任公司 | 将中间盒引入到客户端与服务器之间的安全通信中 |
| CN110870277B (zh) * | 2017-06-26 | 2022-03-29 | 微软技术许可有限责任公司 | 将中间盒引入到客户端与服务器之间的安全通信中 |
| CN108667857A (zh) * | 2018-08-28 | 2018-10-16 | 深信服科技股份有限公司 | 一种安全策略维护方法及***、服务端、客户端 |
| CN109088883A (zh) * | 2018-09-21 | 2018-12-25 | 北京天融信网络安全技术有限公司 | 一种多子网的组网方法、装置、存储介质及计算机设备 |
| CN109088883B (zh) * | 2018-09-21 | 2021-01-15 | 北京天融信网络安全技术有限公司 | 一种多子网的组网方法、装置、存储介质及计算机设备 |
| CN110932861A (zh) * | 2019-10-17 | 2020-03-27 | 杭州安存网络科技有限公司 | 基于多ca的数字证书管理方法及装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104821951B (zh) | 2019-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112073400B (zh) | 一种访问控制方法、***、装置及计算设备 | |
| CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
| CN107948204B (zh) | 一键登录方法及***、相关设备以及计算机可读存储介质 | |
| KR101904177B1 (ko) | 데이터 처리 방법 및 장치 | |
| US10778668B2 (en) | HTTP session validation module | |
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| CN110348853B (zh) | 一种基于标识认证的区块链离线交易方法和*** | |
| CN110324338B (zh) | 数据交互方法、装置、堡垒机与计算机可读存储介质 | |
| JP2023541599A (ja) | サービス通信方法、システム、装置及び電子機器 | |
| WO2016173199A1 (zh) | 一种移动应用单点登录方法及装置 | |
| CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
| US20170085567A1 (en) | System and method for processing task resources | |
| US10257171B2 (en) | Server public key pinning by URL | |
| WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| CN104821951A (zh) | 一种安全通信的方法和装置 | |
| CN114826754B (zh) | 一种不同网络间的通信方法及***、存储介质、电子装置 | |
| CN106549909B (zh) | 一种授权验证方法及设备 | |
| CN114995214A (zh) | 远程访问应用的方法、***、装置、设备及存储介质 | |
| US11303633B1 (en) | Identity security gateway agent | |
| CN102271136A (zh) | Nat网络环境下的访问控制方法和设备 | |
| CN104660523A (zh) | 一种网络准入控制*** | |
| CN111669351A (zh) | 一种鉴权方法及相关设备 | |
| CN103152351A (zh) | 网络设备、ad 域单点登录的方法及*** | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN114844644A (zh) | 资源请求方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |