CN109040055A - 使用国产密码实现Web安全访问的方法 - Google Patents
使用国产密码实现Web安全访问的方法 Download PDFInfo
- Publication number
- CN109040055A CN109040055A CN201810854474.0A CN201810854474A CN109040055A CN 109040055 A CN109040055 A CN 109040055A CN 201810854474 A CN201810854474 A CN 201810854474A CN 109040055 A CN109040055 A CN 109040055A
- Authority
- CN
- China
- Prior art keywords
- server end
- security parameter
- algorithm
- certificate
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开涉及互联网技术领域,具体涉及一种使用国产密码实现Web安全访问的方法。所述方法包括:向服务器端发送安全参数协商请求;接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书;在验证所述证书后,将密码规则变更信息发送至所述服务器端;接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。本公开能够使客户端、服务器端能够使用相同等级的算法构建协议、建立通信链路,从而实现对客户端、服务器端以及通信链路均能实现数据的有效安全保障。
Description
技术领域
本公开涉及互联网技术领域,具体涉及一种使用国产密码实现Web安全访问的方法。
背景技术
随着互联网技术的快速发展,使得人们对浏览器的使用依赖性越来越高,从而使得浏览器的数据安全保护也成为一个重要的课题。
现今,大部分网站均使用https协议,其基于标准的SSL(Secure Sockets Layer,安全套接层协议)/TLS(Transport Layer Security,传输层安全协议)进行进加密传输。服务器端和客户端的信息传输都会通过TLS进行加密。但现有技术在数据安全方面仍存在一定的缺陷和不足。首先,虽然使用SSL协议能够在传输层对网络连接进行加密,但其依赖于浏览器的正确实现以及服务器软件、实际加密算法的支持。但由于服务器端和客户端所采用的加密算法以及数据加密等级并不能有效的统一,使得安全程度不统一,从而使标准SSL协议的网站的数据传输也存在一定的安全漏洞。其次,为了方便用户的操作,在浏览器本地以及服务器端通常会保存一些用户常用的账户及对应的密码,甚至账户信息可以明文查看。虽然使用SSL协议能够在传输层为数据传输提供一定的安全保障,但客户端或服务器端被攻击时,保存的账户信息便就无法得到保障。另外,现有的浏览器的技术解决方案也无对网站进行统一管控,客户是否使用了SSL协议或使用何种加密方式,仅取决于原有***在搭建时所采用的技术架构。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种使用国产密码实现Web安全访问的方法,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或者多个问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一使用国产密码实现Web安全访问的方法,包括:
向服务器端发送安全参数协商请求;
接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书;
在验证所述证书后,将密码规则变更信息发送至所述服务器端;
接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。
在本公开的一种示例性实施例中,所述安全参数包括:协商的密码套件、随机数、压缩方式、协议版本以及会话标识中的任一项或任意多项的组合;其中,所述协商的密码套件包括:ECC-SM2-SM4-SM3密码套件或ECDHE-SM2-SM4-SM3密码套件中的任意一种。
在本公开的一种示例性实施例中,所述证书利用SM2和SM3算法组合生成,其中,所述验证所述证书包括:
利用所述SM2和SM3算法组合验证所述证书的合法性。
在本公开的一种示例性实施例中,所述将密码规则变更信息发送至服务器端包括:
生成预主密钥;
利用所述协商的密码套件对所述预主密钥进行加密,并将加密后的预主密钥发送至所述服务器端。
在本公开的一种示例性实施例中,所述方法还包括:
根据所述预主密钥和两个随机数生成主密钥。
在本公开的一种示例性实施例中,所述接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息包括:
利用所述主密钥解密所述链接建立完成信息,并对所述链接建立完成信息进行验证。
在本公开的一种示例性实施例中,所述方法还包括:
判断当前访问地址是否在本地数据库中存在所述当前访问地址的有效cookie;
若存在,则向所述服务器端获取密钥,以及从所述本地数据库中读取所述当前访问地址的cookie文件并利用所述密钥解密所述cookie文件;
若不存在,则生成与所述当前访问地址对应的cookie文件;
在结束所述当前访问地址的访问时,将所述cookie文件利用SM4算法加密,并保存在所述本地数据库中。
在本公开的一种示例性实施例中,将所述cookie文件利用SM4算法加密并保存在所述本地数据库中包括:
对所述cookie文件中的数据进行分段;
对各段数据利用SM4算法进行加密;
将加密后的各段数据进行拼接并存储在所述本地数据库中。
根据本公开的第二方面,提供一种使用国产密码实现Web安全访问的方法,包括:
接收客户端的安全参数协商请求,并根据所述安全参数协商请求返回安全参数以及证书;
接收所述客户端的密码规则变更信息,并根据所述密码规则变更信息返回链接建立完成信息。
在本公开的一种示例性实施例中,所述证书利用SM2和SM3算法组合生成。
本公开的一种实施例所提供的使用国产密码实现Web安全访问的方法中,通过使客户端和服务器端之间首先协商安全参数,使客户端与服务器端之间可以根据协商后的安全参数完成握手过程并建立链接,并可以根据协商的安全参数进行数据交互。从而使客户端、服务器端能够使用相同等级的算法构建协议、建立通信链路,从而实现对客户端、服务器端以及通信链路均能实现数据的有效安全保障。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出本公开示例性实施例中一种使用国产密码实现Web安全访问的方法示意图;
图2示意性示出本公开示例性实施例中一种使用国产密码实现Web安全访问的方法的另一种示意图;
图3示意性示出本公开示例性实施例中一种使用国产密码实现Web安全访问的装置的组成示意图;
图4示意性示出本公开示例性实施例中一种使用国产密码实现Web安全访问的装置的组成示意图;
图5示意性示出本公开示例性实施例中一种使用国产密码实现Web安全访问的装置的另一种示意图;
图6示意性示出本公开示例性实施例中一种使用国产密码实现Web安全访问的装置的再一种示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
现有的技术方案中,用户在使用浏览器访问网址,客户端与服务器端建立链接及通过TLS(传输层安全协议)加密时,其方法主要包括:用户在浏览器里输入一个https网址,由客户端向服务器端发起https请求,连接到服务器端的443接口。服务器端在接收到该https请求后,便可以生成证书并发至至客户端。证书的作用相当于公钥,其包含了很多信息,如证书的颁发机构、过期时间等。
客户端在接收到该证书后,便由TLS(安全传输层协议)对该证书的有效性进行验证。在证书验证完成时,则生成一个随即值,然后用证书对该随机值进行加密并发送至服务器端。服务器端在获取该随机值后,便可以将服务器端与客户端之间的传输数据利用该随机值进行对称加密,从而实现对数据的保护。但由于客户端与服务器端之间的加密算法程度不一,使得基于标准SS协议的网站仍存在一定的风险。
另外,用户在访问网址的过程中,无论该网站是否使用了标准的SSL协议,浏览器Cookie中存储有用户的各种操作及登录状态等敏感信息,甚至浏览器中可保存用户访问相关网站的账号和密码。而在浏览器中Cookie是以数据库的形式明文存储在本地的,这无法保证存储在本地Cookie的安全性。
本示例实施方式中首先提供了一种使用国产密码实现Web安全访问的方法,可以应用于客户端与服务器端之间的数据通讯。参考图1中所示,上述的方法可以包括以下步骤:
S101,向服务器端发送安全参数协商请求;
S102,接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书;
S103,在验证所述证书后,将密码规则变更信息发送至所述服务器端;
S104,接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。
本示例实施方式所提供的使用国产密码实现Web安全访问的方法中,通过使客户端和服务器端之间首先协商使用包括国产密码的安全参数,使客户端与服务器端之间可以根据协商后的安全参数完成握手过程并建立链接,并可以根据协商的安全参数进行数据交互。从而使客户端、服务器端能够使用相同等级的算法构建协议、建立通信链路,从而实现对客户端、服务器端以及通信链路均能实现数据的有效安全保障。
下面,将结合附图及实施例对本示例实施方式中的使用国产密码实现Web安全访问的方法的各个步骤进行更详细的说明。
步骤S101,向服务器端发送安全参数协商请求。
本示例实施方式中,客户端与服务器端之间可以利用三次握手协议的方法建立连接。首先,当用户在浏览器输入网址时,便可以向服务器端发送hello信息,请求与服务器端协商安全参数。其中,上述的安全参数可以包括:协商的密码套件、随机数、压缩方式、协议版本以及会话标识中的任一项或任意多项的组合;其中,所述协商的密码套件包括:ECC-SM2-SM4-SM3密码套件或ECDHE-SM2-SM4-SM3密码套件中的任意一种。
其中,SM2椭圆曲线公钥密码算法,是我国自主设计的公钥密码算法,包括SM2-1椭圆曲线数字签名算法,SM2-2椭圆曲线密钥交换协议,SM2-3椭圆曲线公钥加密算法,分别用于实现数字签名密钥协商和数据加密等功能。SM2算法与RSA算法不同的是,SM2算法是基于椭圆曲线上点群离散对数难题,相对于RSA算法,256位的SM2密码强度已经比2048位的RSA密码强度要高。
SM3杂凑算法,是我国自主设计的密码杂凑算法,适用于商用密码应用中的数字签名和验证消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。为了保证杂凑算法的安全性,其产生的杂凑值的长度不应太短,例如MD5输出128比特杂凑值,输出长度太短,影响其安全性SHA-1算法的输出长度为160比特,SM3算法的输出长度为256比特,因此SM3算法的安全性要高于MD5算法和SHA-1算法。
SM4分组密码算法,是我国自主设计的分组对称密码算法,用于实现数据的加密/解密运算,以保证数据和信息的机密性。要保证一个对称密码算法的安全性的基本条件是其具备足够的密钥长度,SM4算法与AES算法具有相同的密钥长度分组长度128比特,因此在安全性上高于3DES算法。
步骤S102,接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书。
本示例实施方式中,在服务器端在接收到来自客户端的hello信息以及安全参数协商请求后,便可以确定密码套件以及随机数等安全参数,例如选定ECC-SM2-SM4-SM3密码套件。另外,还可以利用SM2算法生成密钥对,利用SM2和SM3算法组合生成证书。之后,服务器端便可以向客户端发送hello信息,并将选定的安全参数及证书返回至客户端。
步骤S103,在验证所述证书后,将密码规则变更信息发送至所述服务器端。
本示例实施方式中,客户端在接收到服务器端返回的证书及选定的安全参数后,便可以同样利用SM2和SM3算法组合的方式对证书的有效性进行验证。此外,上述的步骤S103可以包括:
步骤S1031,生成预主密钥;
步骤S1032,利用所述协商的密码套件对所述预主密钥进行加密,并将加密后的预主密钥发送至所述服务器端。
客户端在验证证书后,还可以生成预主密钥。然后可以利用协商的密码套件对预主密钥进行加密,例如利用SM2算法对主密钥进行加密,并将加密后的预主密钥发送至服务器端。另外,还可以利用预主密钥和两个上述预先协商的随机数生成主密钥。
步骤S104,接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。
本示例实施方式中,服务器端在接收到客户端发送的利用所协商的密码套件加密的信息后,便可以利用SM2算法对该加密信息进行解密以获取预主密钥,并对所接收信息的正确性进行验证。另外,还可以利用该预主密钥及协商的随机数生成主密钥。然后,服务器端可以生成校验数据,并利用主密钥对校验数据进行加密,例如利用SM4算法对校验数据进行加密,用于回应该密码规则变更信息并完成与客户端之间的链接建立。
客户端在接收到来自服务器端的加密信息后,便可以利用主密钥对校验信息进行解密,并对信息的正确性进行验证。从而完成一次完整的握手过程,使客户端与服务器端成功建立链接,客户端与服务器端之间便可以安全的开始进行数据传输。
此外,本示例实施方式中,上述的方法还可以包括:
步骤S1051,判断当前访问地址是否在本地数据库中存在所述当前访问地址的有效cookie。
步骤S1052若存在,则向所述服务器端获取密钥,以及从所述本地数据库中读取所述当前访问地址的cookie文件并利用所述密钥解密所述cookie文件;
若不存在,则生成与所述当前访问地址对应的cookie文件。
步骤S1053在结束所述当前访问地址的访问时,将所述cookie文件利用SM4算法加密,并保存在所述本地数据库中。
本示例实施例中,用户可以预先在客户端对cookie的加密方式进行设置,并将该加密方式在服务器端生效。例如,可以设置cookie的加密方式为SM4算法。当然,在本公开的其他示例性实施例中,也可以设置cookie的加密方式采用SM2算法后SM3算法。
在登陆浏览器后,可以首先向服务器端获取相应的加密方式和密钥。在使用浏览器访问一网址时,例如www.***.com,便可以首先在本地数据库查询是否存有该网址的有效cookie。在本地数据库中存在该网址的有效cookie文件时,便可以读取加密后的cookie文件并进行解密,将cookie文件读取到浏览器中。
此外,若本地数据库中不存在该网址的有效cookie,在访问该网址时,便可以主动为该网址的生成cookie文件,并可以利用SM4算法将该cookie文件加密并保存在本地数据库中。
具体来说,将所述cookie文件利用SM4算法加密并保存在所述本地数据库中包括:
步骤S201,对所述cookie文件中的数据进行分段;
步骤S202,对各段数据利用SM4算法进行加密;
步骤S203,将加密后的各段数据进行拼接并存储在所述本地数据库中。
此外,在结束当前网址的访问或关闭浏览器时,便可以将密钥从本地内存中删除。再次登陆浏览器时,便可以再一次向服务器端获取加密方式及密钥。
进一步的,参考图2所示,本示例的实施方式中还提供另一种使用国产密码实现Web安全访问的方法,包括:
步骤S201,接收客户端的安全参数协商请求,并根据所述安全参数协商请求返回安全参数以及证书;
步骤S202,接收所述客户端的密码规则变更信息,并根据所述密码规则变更信息返回链接建立完成信息。
对于服务器端来说,在接收到来自客户端的hello信息后,便可以选定各项安全参数,并根据选定的密码套件生成证书,再将证书及随机数等参数生成hello信息并返回至客户端。其中,所述证书可以利用例如SM2和SM3算法组合生成。使客户端在接收并验证证书后,向服务器端返回密码规则变更信息。客户端在接收到该密码规则变更信息并进行验证后,便可以向客户端返回链接建立完成信息,从而使服务器端与客户端之间建立安全链接。
本公开提供的web安全访问方案中,通过使客户端与服务器端之间首先协商安全参数,利用协商的国密算法套件建立SSL协议,使客户端与服务器端之间使用相同等级的加密算法,提高数据传输的可靠性和机密性。将原本无法在浏览器中使用的国密SSL协议间接使用起来,一方面可以保证浏览器像使用普通IE浏览器方式一样去使用,另一方面又可以选择安全度更高的国密SSL协议,让数据传输更安全。
另外,通过使用国密算法套件对数据进行加密,进一步的保障用户传输数据的完整性和机密性。此外,通过利用国密算法对本地数据库中的cookie文件进行加密,能够有效的方式用户本地数据的泄露,进一步的保障数据安全。
另外,通过在服务器端配置密码套件,实现对于采用国密加密算法的网站URL采用基于国密算法的SSL协议访问;而对于采用普通加密算法的网站则采用标准SSL协议访问;使得基于国密算法的SSL协议的某个URL暴露在外网时候,普通浏览器的解析服务都无法对它进行解析,从而进一步的保证数据安全。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
进一步的,参考图3所示,本示例的实施方式中还提供使用国产密码实现Web安全访问的装置30,包括:安全参数协商模块301、安全参数验证模块302、密码规则变更模块303以及链接建立模块304。其中:
所述安全参数协商模块301可以用于向服务器端发送安全参数协商请求。
所述安全参数验证模块302可以用于接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书。
所述密码规则变更模块303可以用于在验证所述证书后,将密码规则变更信息发送至所述服务器端。
所述链接建立模块304可以用于接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。
本示例实施例中,上述的所述安全参数可以包括:协商的密码套件、随机数、压缩方式、协议版本以及会话标识中的任一项或任意多项的组合;其中,所述协商的密码套件包括:ECC-SM2-SM4-SM3密码套件或ECDHE-SM2-SM4-SM3密码套件中的任意一种。
本示例实施例中,所述证书可以利用SM2和SM3算法组合生成,其中,所述验证所述证书包括:
利用所述SM2和SM3算法组合验证所述证书的合法性。
本示例实施例中,所述密码规则变更模块303可以包括:预主密钥生成模块、预主密钥加密模块。其中,
所述预主密钥生成模块可以用于生成预主密钥。
所述预主密钥加密模块可以用于利用所述协商的密码套件对所述预主密钥进行加密,并将加密后的预主密钥发送至所述服务器端。
本示例实施例中,所述密码规则变更模块303还可以包括:主密钥生成模块。
所述主密钥生成模块可以用于根据所述预主密钥和两个随机数生成主密钥。
本示例实施例中,所述装置30还可以包括:cookie文件检索模块、cookie文件读取模块、cookie文件生成模块以及cookie文件存储模块。其中,
所述cookie文件检索模块可以用于判断当前访问地址是否在本地数据库中存在所述当前访问地址的有效cookie。
所述cookie文件读取模块可以用于在判断存在cookie文件时向所述服务器端获取密钥,以及从所述本地数据库中读取所述当前访问地址的cookie文件并利用所述密钥解密所述cookie文件。
所述cookie文件生成模块可以用于在不存在cookie文件时生成与所述当前访问地址对应的cookie文件;
所述cookie文件存储模块可以用于在结束所述当前访问地址的访问时,将所述cookie文件利用SM4算法加密,并保存在所述本地数据库中。
本示例实施例中,所述所述cookie文件存储模块可以包括:数据分段模块、数据加密模块以及数据保存模块。其中,
所述数据分段模块可以用于对所述cookie文件中的数据进行分段。
所述数据加密模块可以用于对各段数据利用SM4算法进行加密。
所述数据保存模块可以用于将加密后的各段数据进行拼接并存储在所述本地数据库中。
进一步的,参考图4所示,本示例的实施方式中还提供一种使用国产密码实现Web安全访问的装置40,包括:安全参数返回模块401、变更信息返回模块402。其中,
所述安全参数返回模块401可以用于接收客户端的安全参数协商请求,并根据所述安全参数协商请求返回安全参数以及证书;
所述变更信息返回模块402可以用于接收所述客户端的密码规则变更信息,并根据所述密码规则变更信息返回链接建立完成信息。
上述的使用国产密码实现Web安全访问的装置中各模块的具体细节已经在对应的使用国产密码实现Web安全访问的方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
图5是根据一示例性实施例示出的一种电子设备的框图。
下面参照图5来描述根据本发明的这种实施方式的电子设备200。图5显示的电子设备200仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备200以通用计算设备的形式表现。电子设备200的组件可以包括但不限于:至少一个处理单元210、至少一个存储单元220、连接不同***组件(包括存储单元220和处理单元210)的总线230、显示单元240等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元210执行,使得所述处理单元210执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元210可以执行如图1中所示的步骤。
所述存储单元220可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)2201和/或高速缓存存储单元2202,还可以进一步包括只读存储单元(ROM)2203。
所述存储单元220还可以包括具有一组(至少一个)程序模块2205的程序/实用工具2204,这样的程序模块2205包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线230可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备200也可以与一个或多个外部设备300(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备200交互的设备通信,和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口250进行。并且,电子设备200还可以通过网络适配器260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述数据处理方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的计算机可读介质。
图6是根据一示例性实施例示出的一种计算机可读介质示意图。
参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品400,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:向服务器端发送安全参数协商请求;接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书;在验证所述证书后,将密码规则变更信息发送至所述服务器端;接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本发明实施例的方法。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为***、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。
Claims (10)
1.一种使用国产密码实现Web安全访问的方法,其特征在于,包括:
向服务器端发送安全参数协商请求;
接收所述服务器端根据所述安全参数协商请求返回的安全参数以及证书;
在验证所述证书后,将密码规则变更信息发送至所述服务器端;
接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息。
2.根据权利要求1所述的方法,其特征在于,所述安全参数包括:协商的密码套件、随机数、压缩方式、协议版本以及会话标识中的任一项或任意多项的组合;其中,所述协商的密码套件包括:ECC-SM2-SM4-SM3密码套件或ECDHE-SM2-SM4-SM3密码套件中的任意一种。
3.根据权利要求2所述的方法,其特征在于,所述证书利用SM2和SM3算法组合生成,其中,所述验证所述证书包括:
利用所述SM2和SM3算法组合验证所述证书的合法性。
4.根据权利要求2所述的方法,其特征在于,所述将密码规则变更信息发送至服务器端包括:
生成预主密钥;
利用所述协商的密码套件对所述预主密钥进行加密,并将加密后的预主密钥发送至所述服务器端。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述预主密钥和两个随机数生成主密钥。
6.根据权利要求5所述的方法,其特征在于,所述接收所述服务器端根据所述密码规则变更信息回应的链接建立完成信息包括:
利用所述主密钥解密所述链接建立完成信息,并对所述链接建立完成信息进行验证。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
判断当前访问地址是否在本地数据库中存在所述当前访问地址的有效cookie;
若存在,则向所述服务器端获取密钥,以及从所述本地数据库中读取所述当前访问地址的cookie文件并利用所述密钥解密所述cookie文件;
若不存在,则生成与所述当前访问地址对应的cookie文件;
在结束所述当前访问地址的访问时,将所述cookie文件利用SM4算法加密,并保存在所述本地数据库中。
8.根据权利要求7所述的方法,其特征在于,将所述cookie文件利用SM4算法加密并保存在所述本地数据库中包括:
对所述cookie文件中的数据进行分段;
对各段数据利用SM4算法进行加密;
将加密后的各段数据进行拼接并存储在所述本地数据库中。
9.一种使用国产密码实现Web安全访问的方法,其特征在于,包括:
接收客户端的安全参数协商请求,并根据所述安全参数协商请求返回安全参数以及证书;
接收所述客户端的密码规则变更信息,并根据所述密码规则变更信息返回链接建立完成信息。
10.根据权利要求9所述的方法,其特征在于,所述证书利用SM2和SM3算法组合生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810854474.0A CN109040055A (zh) | 2018-07-30 | 2018-07-30 | 使用国产密码实现Web安全访问的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810854474.0A CN109040055A (zh) | 2018-07-30 | 2018-07-30 | 使用国产密码实现Web安全访问的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109040055A true CN109040055A (zh) | 2018-12-18 |
Family
ID=64646871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810854474.0A Pending CN109040055A (zh) | 2018-07-30 | 2018-07-30 | 使用国产密码实现Web安全访问的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040055A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311923A (zh) * | 2019-07-16 | 2019-10-08 | 丁晓东 | 一种自适应、双通道的国密算法https访问方法和*** |
| CN110380852A (zh) * | 2019-07-22 | 2019-10-25 | 中国联合网络通信集团有限公司 | 双向认证方法及通信*** |
| CN111222125A (zh) * | 2019-12-17 | 2020-06-02 | 中国电力科学研究院有限公司 | 一种企业浏览器的客户端、服务端安全防护*** |
| CN113037480A (zh) * | 2021-03-25 | 2021-06-25 | 北京华宇信息技术有限公司 | 基于jsse的国密加密通信方法及其装置、存储介质 |
| CN113347157A (zh) * | 2021-05-13 | 2021-09-03 | 浪潮软件股份有限公司 | 一种基于SM系列加密算法的Web应用加密***及方法 |
| CN114499897A (zh) * | 2022-04-14 | 2022-05-13 | 成都边界元科技有限公司 | Sm2安全证书的自适应验证方法和验证*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| US9444630B2 (en) * | 2005-03-23 | 2016-09-13 | Microsoft Technology Licensing, Llc | Visualization of trust in an address bar |
| CN107147616A (zh) * | 2017-03-31 | 2017-09-08 | 武汉斗鱼网络科技有限公司 | 数据加密方法及装置 |
-
2018
- 2018-07-30 CN CN201810854474.0A patent/CN109040055A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9444630B2 (en) * | 2005-03-23 | 2016-09-13 | Microsoft Technology Licensing, Llc | Visualization of trust in an address bar |
| CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN107147616A (zh) * | 2017-03-31 | 2017-09-08 | 武汉斗鱼网络科技有限公司 | 数据加密方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 商书元: "《信息计算导论》", 30 August 2017 * |
| 宋梦华: "《电子商务网站建设与管理》", 30 November 2010 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311923A (zh) * | 2019-07-16 | 2019-10-08 | 丁晓东 | 一种自适应、双通道的国密算法https访问方法和*** |
| CN110380852A (zh) * | 2019-07-22 | 2019-10-25 | 中国联合网络通信集团有限公司 | 双向认证方法及通信*** |
| CN111222125A (zh) * | 2019-12-17 | 2020-06-02 | 中国电力科学研究院有限公司 | 一种企业浏览器的客户端、服务端安全防护*** |
| CN113037480A (zh) * | 2021-03-25 | 2021-06-25 | 北京华宇信息技术有限公司 | 基于jsse的国密加密通信方法及其装置、存储介质 |
| CN113347157A (zh) * | 2021-05-13 | 2021-09-03 | 浪潮软件股份有限公司 | 一种基于SM系列加密算法的Web应用加密***及方法 |
| CN114499897A (zh) * | 2022-04-14 | 2022-05-13 | 成都边界元科技有限公司 | Sm2安全证书的自适应验证方法和验证*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11665006B2 (en) | User authentication with self-signed certificate and identity verification | |
| US10419430B2 (en) | Mutual authentication method and authentication apparatus | |
| CN109040055A (zh) | 使用国产密码实现Web安全访问的方法 | |
| CN108512846B (zh) | 一种终端与服务器之间的双向认证方法和装置 | |
| CN111131278B (zh) | 数据处理方法及装置、计算机存储介质、电子设备 | |
| CN110460439A (zh) | 信息传输方法、装置、客户端、服务端及存储介质 | |
| CN104980477B (zh) | 云存储环境下的数据访问控制方法和*** | |
| EP3425842B1 (en) | Communication system and communication method for certificate generation | |
| US9673979B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| US9906518B2 (en) | Managing exchanges of sensitive data | |
| US11050570B1 (en) | Interface authenticator | |
| KR101541591B1 (ko) | Vdi 환경에서의 싱글 사인온 시스템 및 방법 | |
| CN104639534A (zh) | 网站安全信息的加载方法和浏览器装置 | |
| KR20230078706A (ko) | 포스트 양자 암호화를 사용하는 인증서 기반 보안 | |
| KR20150059347A (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
| CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| WO2015135398A1 (zh) | 一种基于协商密钥的数据处理方法 | |
| CN115333839B (zh) | 数据安全传输方法、***、设备及存储介质 | |
| CN104835038A (zh) | 一种联网支付装置及方法 | |
| CN108650209B (zh) | 一种单点登录的方法、***、装置及认证方法 | |
| CN113709111A (zh) | 连接的建立方法及装置 | |
| US20200119919A1 (en) | Electronic device authentication managing apparatus | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| WO2023076467A1 (en) | Encrypting data generated from medical devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181218 |
|
| RJ01 | Rejection of invention patent application after publication |