一种对网页内容进行认证的方法和浏览器的制造方法

一种对网页内容进行认证的方法和浏览器的制造方法
【专利摘要】本发明公开了一种对网页内容进行认证的方法和相应的浏览器。本发明实施例提供的一种对网页内容进行认证的方法包括：在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与私钥相对应的公钥；当浏览器侧生成HTTP请求时，判断HTTP请求访问的网站是否属于需要防伪认证的网站；若HTTP请求访问的网站属于需要防伪认证的网站，在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器；接收网站服务器根据请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息；利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息判断HTTP响应是否来自认证的网站服务器。
【专利说明】一种对网页内容进行认证的方法和浏览器
【技术领域】
[0001]本发明涉及计算机网络【技术领域】，特别涉及一种对网页内容进行认证的方法和浏
JaLzHFT O
【背景技术】
[0002]HTTPS (Hypertext Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP通道，可称之为HTTP的安全版。HTTPS在HTTP下加入SSL (Secure SocketsLayer，安全套接层)，HTTPS的安全基础就是SSL。HTTPS是一个抽象标识符体系(URIscheme )，句法类同http:体系，用于安全的HTTP数据传输。https: URL表明它使用了 HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。
[0003]现有的浏览器在使用HTTPS与服务器端通讯时，需要先与服务器端进行一个握手流程，参见图1，示出了现有方案中使用HTTPS的通讯流程示意图，该流程包括如下步骤:
[0004]步骤1:浏览器向服务器端请求HTTPS连接，然后服务器端向浏览器侧返回证书，该证书中包括了用于加密的公钥。
[0005]步骤2:浏览器产生一个随机密钥，该随机密钥为一个对称的密钥。
[0006]步骤3:浏览器使用公钥为对称密钥加密。
[0007]步骤4:浏览器将加密后的对称密钥发送至服务器端。
[0008]服务器端可以用公钥对接收到的加密后的对称密钥进行解密，得到对称密钥。通过以上握手流程，浏览器和服务器端都获知了本次通讯使用的对称密钥，在握手流程结束后，进入步骤5。
[0009]步骤5:浏览器与服务器端之间通过对称密钥加密的密文进行通信。
[0010]然而，使用现有的HTTPS协议进行通讯至少存在如下的缺点:
[0011]1:由于每一个通信的数据都是进行了加密处理的，所以通讯速度慢。
[0012]2:每次HTTPS的通信，都包括握手和HTTP通信两部分。由于每次通信必须进行握手的流程，导致通讯流程复杂，进一步影响了通讯速度。
[0013]3:一些小众的网站或者浏览器是不会对于主要的HTTPS的网站进行支持的，例如HTTPS的网站无法向这些浏览器下发最新版本的公钥，从而无法进行HTTPS通信，导致网络
安全性较差。

【发明内容】

[0014]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种对网页内容进行认证的方法和相应的浏览器。
[0015]依据本发明的一个方面，本发明实施例提供了一种对网页内容进行认证的方法，包括:[0016]在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥；当浏览器侧生成超文本传输协议HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站；若HTTP请求访问的网站属于需要防伪认证的网站，在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器；接收网站服务器根据请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息；利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息判断HTTP响应是否来自认证的网站服务器。
[0017]可选的，上述判断该HTTP请求访问的网站是否属于需要防伪认证的网站包括:
[0018]查询HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断HTTP请求访问的网站不属于需要防伪认证的网站。
[0019]可选的，上述在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器包括:
[0020]将请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
[0021]可选的，上述加密信息是利用网站的私钥对HTTP请求实际访问网页的URL加密生成的，
[0022]上述利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息确认HTTP响应来自认证的网站服务器包括:
[0023]利用网站的公钥对HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ；
[0024]判断实际访问网页的URL与HTTP请求中请求访问网页的URL是否一致，若是，判断HTTP响应来自认证的网站服务器，若否，判断HTTP响应不是来自认证的网站服务器。
[0025]可选的，上述加密信息是利用网站的私钥对HTTP请求实际访问网页的URL和HTTP响应的时间戳加密生成的；上述利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息确认HTTP响应来自认证的网站服务器包括:
[0026]利用网站的公钥对HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL和HTTP响应的时间戳；
[0027]当实际访问网页的URL与HTTP请求中请求访问网页的URL —致且HTTP响应的时间戳与HTTP请求的时间戳之间的差异不超过预定差异阈值时，判断HTTP响应来自认证的网站服务器，否则，判断HTTP响应不是来自认证的网站服务器。
[0028]可选的，上述方法还包括:
[0029]当根据解密信息判断HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。
[0030]依据本发明的另一个方面，本发明实施例还提供了一种浏览器，包括:
[0031]公私钥对设置单元，适于在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥；
[0032]防伪认证启动单元，适于当浏览器侧生成HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站；[0033]防伪参数设置单元，适于若HTTP请求访问的网站属于需要防伪认证的网站，在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器；
[0034]接收单元，适于接收网站服务器根据请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息；
[0035]解密判断单元，适于利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息判断HTTP响应是否来自认证的网站服务器。
[0036]可选的，防伪认证启动单元，适于查询HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断所述HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断HTTP请求访问的网站不属于需要防伪认证的网站。
[0037]可选的，防伪参数设置单元,适于将请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
[0038]可选的，上述加密信息是利用网站的私钥对HTTP请求实际访问网页的URL加密生成的。解密判断单元，还适于利用网站的公钥对HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ;判断实际访问网页的URL与HTTP请求中请求访问网页的URL是否一致，若是，判断HTTP响应来自认证的网站服务器，若否，判断HTTP响应不是来自认证的网站服务器。
[0039]可选的，上述加密信息是利用网站的私钥对HTTP请求实际访问网页的URL和HTTP响应的时间戳加密生成的。解密判断单元，还适于利用网站的公钥对HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL和HTTP响应的时间戳；当实际访问网页的URL与HTTP请求中请求访问网页的URL —致且HTTP响应的时间戳与HTTP请求的时间戳之间的差异不超过预定差异阈值时，判断HTTP响应来自认证的网站服务器，否则，判断HTTP响应不是来自认证的网站服务器。
[0040]可选的，上述浏览器还包括信息展示单元，适于当根据解密信息判断HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。
[0041]由上所述，本发明实施例提供了一种新型的安全HTTP通讯机制，使只有具有预置了安全公私钥对的浏览器和服务器才能成功实现通信的加解密操作，解决了现有技术中由于浏览器不支持HTTPS网站而导致的网络安全性较差的问题，保证了网络通讯的安全性；以及本发明实施例对请求访问的网站进行筛选，只对需要进行安全保护的网站进行数据的加解密操作，解决现有HTTPS对每一个通信数据都进行加密导致的通讯速度慢的问题，减少了需要处理和传输的数据量，提高了通讯速度。
[0042]并且，本发明实施例提供的安全HTTP的通讯机制，在保证网络安全的前提下，不需要握手操作流程，解决了现有HTTPS每次通讯都必须握手导致的通讯复杂、速度慢的问题，简化了通讯流程，提高了通讯速度。
[0043]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【专利附图】

【附图说明】[0044]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0045]图1示出了现有技术中使用HTTPS的通讯流程示意图；
[0046]图2示出了根据本发明一个实施例的一种对网页内容进行认证的方法流程图；
[0047]图3示出了根据本发明另一个实施例的一种对网页内容进行认证的方法流程图；
[0048]图4示出了根据本发明又一个实施例的浏览器请求访问ha0.360.cn网站时正常的返回结果页面示意图；
[0049]图5示出了根据本发明又一个实施例的浏览器请求访问ha0.360.cn网站时网页被篡改的返回结果页面示意图；
[0050]图6示出了根据本发明又一个实施例的浏览器的结构示意图。
【具体实施方式】
[0051]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0052]本发明的发明目的主要在于实现一种轻量化的安全HTTP通信机制，在达到HTTPS所起到的安全认证效果的同时，简化通信流程，提高通信效率。
[0053]本发明一个实施例提供了一种对网页内容进行认证的方法，参见图2，该方法包括如下步骤:
[0054]S200:在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥。
[0055]S202:当浏览器侧生成 HTTP (Hypertext Transfer Protocol,超文本传输协议)请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站，是则进入S204，否则，若HTTP请求访问的网站不属于需要防伪认证的网站，直接发送该HTTP请求，本实施例中主要对需要进行防伪认证的场景进行说明。
[0056]S204:若HTTP请求访问的网站属于需要防伪认证的网站，在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器。
[0057]本步骤中通过请求防伪参数告知网站服务器本次的HTTP请求是需要防伪回复的。
[0058]S206:接收网站服务器根据请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息。
[0059]网站服务器根据请求防伪参数获知本次通信需要安全防伪认证，则网站服务器会在HTTP响应中加入加密信息。
[0060]S208:利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息判断HTTP响应是否来自认证的网站服务器。
[0061]当解密信息指示解密成功时，确定上述HTTP响应来自认证的网站服务器，本次通信浏览器获取到的真实的数据；当解密信息指示解密失败时，确定上述HTTP响应不是来自认证的网站服务器，本次通信浏览器没有获取到的真实的数据。
[0062]由上所述，本发明实施例提供了一种新型的安全HTTP通讯机制，使只有具有预置了安全公私钥对的浏览器和服务器才能成功实现通信的加解密操作，解决了现有技术中由于浏览器不支持HTTPS网站而导致的网络安全性较差的问题，保证了网络通讯的安全性；以及本发明实施例对请求访问的网站进行筛选，只对需要进行安全保护的网站进行数据的加解密操作，解决现有HTTPS对每一个通信数据都进行加密导致的通讯速度慢的问题，减少了需要处理和传输的数据量，提高了通讯速度。
[0063]并且，本发明实施例提供的安全HTTP的通讯机制，在保证网络安全的前提下，不需要握手操作流程，解决了现有HTTPS每次通讯都必须握手导致的通讯复杂、速度慢的问题，简化了通讯流程，提高了通讯速度。
[0064]本发明另一个实施例提供了一种对网页内容进行认证的方法，参见图3，该方法包括如下步骤:
[0065]S300:预先设定一批公私钥对，并分别预先存储在浏览器和网站服务器中。
[0066]可以预先和各大主流网站(如Sohu网站、Sina网站、Baidu网站)确定一批公私钥对，在浏览器侧存储主流网站的公钥，如将公钥存储在浏览器侧的公钥库表中，在主流网站的网站服务器侧存储与公钥对应的私钥。
[0067]可选的，一种方式下，本实施例的不同网站服务器使用的不同的私钥，相应的浏览器侧分别存储与各网站服务器的私钥对应的不同的公钥，以适应不同网站的需求；另一种方式下，本实施例的不同网站服务器使用的相同的私钥，则浏览器侧存储一个与该私钥相应的公钥即可，从而减少了浏览器侧需要存储的数据量，方便通信中的加密操作。
[0068]S302:发起HTTP请求，并判断该HTTP请求访问的网站是否属于需要防伪认证的网站。
[0069]浏览器侧正常发起HTTP请求，在判断该HTTP请求访问的网站是否属于需要防伪认证的网站时，可以将该HTTP请求中的信息与浏览器侧存储的公钥库表中的信息进行匹配。例如，公钥库表中的信息包括网站URL列表和网站的公钥，则在执行判断时，查询HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断HTTP请求访问的网站属于需要防伪认证的网站，进入S304;若否，则判断HTTP请求访问的网站不属于需要防伪认证的网站，直接发送该HTTP请求即可。
[0070]S304:在HTTP请求中添加请求防伪参数。
[0071]在匹配成功的HTTP请求的数据包头中加入请求防伪参数,该请求防伪参数指示本次HTTP请求需要防伪回复，即向本次HTTP请求返回的数据需要包括由网站的私钥生成的加密信息(防伪部分)。
[0072]在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器，本实施例提供如下两种发送方式，一种方式下，将请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，另一种方式下，将该HTTP请求通过中转服务器发送至相应的网站服务器。通过上述两种发送方式，可以使本方案适用于不同的网络架构中。
[0073]S306:判断返回的数据是否包含防伪部分，是则进入S308，否则进入S314。网站服务器可以将防伪部分加入到HTTP响应的数据包头中之后，将该HTTP响应发送至浏览器侦U。从网站服务器侧向浏览器侧发送HTTP响应的方式，与从浏览器侧向网站服务器侧发送的方式相同。
[0074]上述防伪部分为利用网站的私钥对HTTP请求中的用于验证该请求的数据加密得到，是一种加密信息。可选的，用于验证的数据可以为当前HTTP请求的URL (UniformResource Locator，统一资源定位符)，则上述加密信息是网站服务器利用网站的私钥对HTTP请求实际访问网页的URL加密生成的。
[0075]考虑到恶意⑶N (Content Delivery Network,内容分发网络)或网关路由可能cache这种URL验证数据用来伪造数据。可选的，本实施例将时间戳信息，如UTC (世界标准时间)时间戳也作为加密内容的一部分，即用于验证的数据包括当前HTTP请求的URL和UTC时间戳。
[0076]S308:用公钥对返回的数据进行解密。
[0077]浏览器侧选取与网站服务器对应的公钥进行解密。用于验证的数据为HTTP请求的URL时，解密得到URL，即解密得到实际访问网页的URL ;用于验证的数据为HTTP请求的URL和UTC时间戳时，解密得到URL和UTC时间戳。
[0078]S310:判断用公钥解密的内容是否符合预期，是则进入S312，否则进入S314。
[0079]对返回的HTTP响应包括根据HTTP请求的URL生成的加密信息的情况，浏览器侧用该网站的相应公钥解密，将解析出来的URL与记录的HTTP请求的URL相比对，如果一致说明返回的内容是真实的，来自真正的网站服务器，解密的内容符合预期，否则，解密的内容与预期不相符。
[0080]对返回的HTTP响应包括根据HTTP请求的URL和UTC时间戳生成的加密信息的情况，解密后得到URL和UTC时间戳，这时需要考虑到服务器侧和浏览器侧的时间存在差异。可以计算解密后的UTC时间戳和浏览器侧本地记录的UTC时间戳之间的差值，当计算出的差值不超过一定的范围且解密后的URL与本地记录的URL相同时，即可认为返回的数据是真实的，解密的内容符合预期，否则，解密的内容与预期不相符。即当实际访问网页的URL与HTTP请求中请求访问网页的URL —致且HTTP响应的时间戳与HTTP请求的时间戳之间的差异不超过预定差异阈值(比如3600秒)时，判断HTTP响应来自认证的网站服务器，否贝U，判断HTTP响应不是来自认证的网站服务器。
[0081]注:浏览器侧会对发送的HTTP请求的信息进行记录，如该HTTP请求的URL以及时间戳等信息。
[0082]S312:确认返回的数据是真正要访问的网页内容，并将该网页内容展现给请求端(如浏览器用户)。
[0083]S314:确认返回的数据是伪造的网页内容，提示浏览器用户异常。
[0084]当根据解密信息判断HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。
[0085]由上所述，本发明实施例提供了一种新型的安全HTTP通讯机制，使只有具有预置了安全公私钥对的浏览器和服务器才能成功实现通信的加解密操作，解决了现有技术中由于浏览器不支持HTTPS网站而导致的网络安全性较差的问题，保证了网络通讯的安全性；以及本发明实施例对请求访问的网站进行筛选，只对需要进行安全保护的网站进行数据的加解密操作，解决现有HTTPS对每一个通信数据都进行加密导致的通讯速度慢的问题，减少了需要处理和传输的数据量，提高了通讯速度。
[0086]并且，本发明实施例提供的安全HTTP的通讯机制，在保证网络安全的前提下，不需要握手操作流程，解决了现有HTTPS每次通讯都必须握手导致的通讯复杂、速度慢的问题，简化了通讯流程，提高了通讯速度。
[0087]一些网络服务提供商经常恶意篡改返回结果甚至伪造返回结果。本发明又一个实施例针对CDNS中的网页被篡改的场景来说明本方案的对网页内容进行认证的方法达到的技术效果。这种网页的篡改，实质上是浏览器的HTTP请求被中途拦截了，该HTTP请求没有发送到请求访问的网站服务器，网站服务器不知道浏览器发出过请求。在HTTP请求进入网络后，由路由、域名解析或网络运营商直接伪造了 HTTP返回结果，发给了浏览器。参见图4，示出了本发明实施例提供的浏览器请求访问ha0.360.cn网站时正常的返回结果页面示意图；参见图5，示出了本发明实施例提供的浏览器请求访问ha0.360.cn网站时网页被篡改的返回结果页面示意图。由图5中方框标出的页面内容可以获知，浏览器请求访问的是ha0.360.cn,结果返回的内容是跳转到一个主机(host)为:http://hbdnserro;rl.w0.com.cn的网站。使用本发明的方案则能有效防范此类问题的发生，因为伪造的返回结果无法提供有效的防伪信息(加密信息)，浏览器会判定返回结果并非来自真实请求的网站服务器，可以直接提示用户错误，保证了网络通信的安全。
[0088]本发明又一个实施例还提供了一种浏览器600，参见图6，该浏览器600包括公私钥对设置单元610、防伪认证启动单元612、防伪参数设置单元614、接收单元616、解密判断单元618和信息展示单元620。下面分别进行说明。
[0089]公私钥对设置单元610，适于在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥。可选的，一种方式下，本实施例的不同网站服务器使用的不同的私钥，相应的浏览器侧分别存储与各网站服务器的私钥对应的不同的公钥，以适应不同网站的需求；另一种方式下，本实施例的不同网站服务器使用的相同的私钥，则浏览器侧存储一个与该私钥相应的公钥即可，从而减少了浏览器侧需要存储的数据量，方便通信中的加密操作。
[0090]防伪认证启动单元612，适于当浏览器侧生成HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站。可选的，防伪认证启动单元612，适于查询HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断所述HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断HTTP请求访问的网站不属于需要防伪认证的网站。
[0091]防伪参数设置单元614，适于若HTTP请求访问的网站属于需要防伪认证的网站，在HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器。可选的，防伪参数设置单元614,适于将请求防伪参数添加在HTTP请求的请求包中后,将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
[0092]接收单元616，适于接收网站服务器根据请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息。一种方式下，该加密信息是网站服务器利用网站的私钥对HTTP请求实际访问网页的URL加密生成的。另一种方式下，该加密信息是网站服务器利用网站的私钥对HTTP请求实际访问网页的URL和该HTTP请求的UTC时间戳加密生成的。
[0093]解密判断单元618，适于利用网站的公钥对HTTP响应中的加密信息进行解密，根据解密信息判断HTTP响应是否来自认证的网站服务器。可选的，一种方式下，上述加密信息是利用网站的私钥对HTTP请求实际访问网页的URL加密生成的。解密判断单元618还适于利用网站的公钥对HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ;判断实际访问网页的URL与HTTP请求中请求访问网页的URL是否一致，若是，判断HTTP响应来自认证的网站服务器，若否，判断HTTP响应不是来自认证的网站服务器。另一种方式下，上述加密信息是利用网站的私钥对HTTP请求实际访问网页的URL和HTTP响应的时间戳加密生成的。解密判断单元618，还适于利用网站的公钥对HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL和HTTP响应的时间戳；当实际访问网页的URL与HTTP请求中请求访问网页的URL —致且HTTP响应的时间戳与HTTP请求的时间戳之间的差异不超过预定差异阈值时，判断HTTP响应来自认证的网站服务器，否则，判断HTTP响应不是来自认证的网站服务器。
[0094]信息展示单元620，适于当根据解密信息判断HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。一些场景中，该信息展示单元620不是必须的。
[0095]由上所述，本发明实施例提供了一种新型的安全HTTP通讯机制，使只有具有预置了安全公私钥对的浏览器和服务器才能成功实现通信的加解密操作，解决了现有技术中由于浏览器不支持HTTPS网站而导致的网络安全性较差的问题，保证了网络通讯的安全性；以及本发明实施例对请求访问的网站进行筛选，只对需要进行安全保护的网站进行数据的加解密操作，解决现有HTTPS对每一个通信数据都进行加密导致的通讯速度慢的问题，减少了需要处理和传输的数据量，提高了通讯速度。
[0096]并且，本发明实施例提供的安全HTTP的通讯机制，在保证网络安全的前提下，不需要握手操作流程，解决了现有HTTPS每次通讯都必须握手导致的通讯复杂、速度慢的问题，简化了通讯流程，提高了通讯速度。
[0097]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0098]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0099]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0100]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0101]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0102]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的浏览器中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0103]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0104]本发明实施例还公开了 Al、一种对网页内容进行认证的方法，包括:
[0105]在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥；
[0106]当浏览器侧生成超文本传输协议HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站；
[0107]若所述HTTP请求访问的网站属于需要防伪认证的网站，在所述HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器；
[0108]接收所述网站服务器根据所述请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息；
[0109]利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息判断所述HTTP响应是否来自认证的网站服务器。[0110]A2、根据I所述的方法，其中，所述判断该HTTP请求访问的网站是否属于需要防伪认证的网站包括:
[0111]查询所述HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断所述HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断所述HTTP请求访问的网站不属于需要防伪认证的网站。
[0112]A3、根据Al所述的方法，其中，所述在所述HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器包括:
[0113]将所述请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
[0114]A4、根据Al所述的方法，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL加密生成的，
[0115]所述利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息确认所述HTTP响应来自认证的网站服务器包括:
[0116]利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ；
[0117]判断所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL是否一致，若是，判断所述HTTP响应来自认证的网站服务器，若否，判断所述HTTP响应不是来自认证的网站服务器。
[0118]A5、根据Al所述的方法，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL和所述HTTP响应的时间戳加密生成的；
[0119]所述利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息确认所述HTTP响应来自认证的网站服务器包括:
[0120]利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL和所述HTTP响应的时间戳；
[0121]当所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL —致且所述HTTP响应的时间戳与所述HTTP请求的时间戳之间的差异不超过预定差异阈值时，判断所述HTTP响应来自认证的网站服务器，否则，判断所述HTTP响应不是来自认证的网站服务器。
[0122]A6、根据Al所述的方法，其中，所述方法还包括:
[0123]当根据解密信息判断所述HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。
[0124]本发明实施例还公开了 B7、一种浏览器，包括:
[0125]公私钥对设置单元，适于在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥；
[0126]防伪认证启动单元，适于当浏览器侧生成超文本传输协议HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站；
[0127]防伪参数设置单元，适于若所述HTTP请求访问的网站属于需要防伪认证的网站，在所述HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器；
[0128]接收单元，适于接收所述网站服务器根据所述请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息；
[0129]解密判断单元，适于利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息判断所述HTTP响应是否来自认证的网站服务器。
[0130]B8、根据B7所述的浏览器，其中，所述防伪认证启动单元，适于查询所述HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断所述HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断所述HTTP请求访问的网站不属于需要防伪认证的网站。
[0131]B9、根据B7所述的浏览器，其中，所述防伪参数设置单元，适于将所述请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
[0132]B10、根据B7所述的浏览器，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL加密生成的，
[0133]所述解密判断单元，适于利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ;判断所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL是否一致，若是，判断所述HTTP响应来自认证的网站服务器，若否，判断所述HTTP响应不是来自认证的网站服务器。
[0134]BI 1、根据B7所述的浏览器，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL和所述HTTP响应的时间戳加密生成的；
[0135]所述解密判断单元，适于利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL和所述HTTP响应的时间戳；当所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL —致且所述HTTP响应的时间戳与所述HTTP请求的时间戳之间的差异不超过预定差异阈值时，判断所述HTTP响应来自认证的网站服务器，否则，判断所述HTTP响应不是来自认证的网站服务器。
[0136]B12、根据B7所述的浏览器，其中，所述浏览器还包括信息展示单元，适于当根据解密信息判断所述HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。
【权利要求】
1.一种对网页内容进行认证的方法，包括: 在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥； 当浏览器侧生成超文本传输协议HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站； 若所述HTTP请求访问的网站属于需要防伪认证的网站，在所述HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器； 接收所述网站服务器根据所述请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息； 利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息判断所述HTTP响应是否来自认证的网站服务器。
2.根据权利要求1所述的方法，其中，所述判断该HTTP请求访问的网站是否属于需要防伪认证的网站包括: 查询所述HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断所述HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断所述HTTP请求访问的网站不属于需要防伪认证的网站。
3.根据权利要求1所述的方法，其中，所述在所述HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器包括: 将所述请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
4.根据权利要求1所述的方法，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL加密生成的， 所述利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息确认所述HTTP响应来自认证的网站服务器包括: 利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ； 判断所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL是否一致，若是，判断所述HTTP响应来自认证的网站服务器，若否，判断所述HTTP响应不是来自认证的网站服务器。
5.根据权利要求1所述的方法，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL和所述HTTP响应的时间戳加密生成的； 所述利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息确认所述HTTP响应来自认证的网站服务器包括: 利用所述网站的公钥 对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL和所述HTTP响应的时间戳； 当所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL —致且所述HTTP响应的时间戳与所述HTTP请求的时间戳之间的差异不超过预定差异阈值时，判断所述HTTP响应来自认证的网站服务器，否则，判断所述HTTP响应不是来自认证的网站服务器。
6.根据权利要求1所述的方法，其中，所述方法还包括:当根据解密信息判断所述HTTP响应不是来自认证的网站服务器时，生成访问异常的提示信息，并将该提示信息展示给用户。
7.一种浏览器，包括: 公私钥对设置单元，适于在需要防伪认证的网站的网站服务器中设置私钥，并在浏览器侧中设置与各网站服务器中的私钥相对应的公钥； 防伪认证启动单元，适于当浏览器侧生成超文本传输协议HTTP请求时，判断该HTTP请求访问的网站是否属于需要防伪认证的网站； 防伪参数设置单元，适于若所述HTTP请求访问的网站属于需要防伪认证的网站，在所述HTTP请求中添加请求防伪参数后，将该HTTP请求发送至相应的网站服务器； 接收单元，适于接收所述网站服务器根据所述请求防伪参数返回的HTTP响应，该HTTP响应中携带由网站的私钥生成的加密信息； 解密判断单元，适于利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，根据解密信息判断所述HTTP响应是否来自认证的网站服务器。
8.根据权利要求7所述的浏览器，其中，所述防伪认证启动单元，适于查询所述HTTP请求中待访问网站的URL是否在维护的网站URL列表中，若是，则判断所述HTTP请求访问的网站属于需要防伪认证的网站，若否，则判断所述HTTP请求访问的网站不属于需要防伪认证的网站。
9.根据权利要求7所述的浏览器，其中，所述防伪参数设置单元，适于将所述请求防伪参数添加在HTTP请求的请求包中后，将该HTTP请求直接发送至相应的网站服务器，或者，将该HTTP请求通过中转服务器发送至相应的网站服务器。
10.根据权利要求7所述的浏览器，其中，所述加密信息是利用网站的私钥对所述HTTP请求实际访问网页的URL加密生成的， 所述解密判断单元，适于利用所述网站的公钥对所述HTTP响应中的加密信息进行解密，得到解密出的实际访问网页的URL ;判断所述实际访问网页的URL与所述HTTP请求中请求访问网页的URL是否一致，若是，判断所述HTTP响应来自认证的网站服务器，若否，判断所述HTTP响应不是来自认证的网站服务器。
【文档编号】H04L29/08GK103634307SQ201310582960
【公开日】2014年3月12日 申请日期:2013年11月19日 优先权日:2013年11月19日
【发明者】刘庆平, 任寰 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司