(Container) ,Container由用户选择决定;接着校验PIN码(个人身份识别码),验证错 误后会提示重新输入;然后获取签名证书信息;接着获取加密证书信息;最后关闭设备、断 开连接。
[0067] 1、单向认证
[0068] 在本发明实施例的一种可选示例中,所述加密子进程对所述网络服务器进行单向 证书认证,具体可以通过以下方式来实现:首先,所述加密子进程接收所述网络服务器发送 的服务端证书消息,所述服务端证书消息包括所述网络服务器的站点签名证书;其次,所述 加密子进程对所述网络服务器的站点签名证书进行认证。下面对服务端证书消息(Server Certificate消息)进行说明,网络服务器需要发送一个服务端证书消息给客户端,该消息 总是紧跟在服务端问候消息之后,当选中的密码套件使用RSA或ECC或ECDHE算法时,所述 服务端证书消息的内容为服务端标识和IBC公共参数,用于客户端与服务器协商IBC公开 参数。密钥交换算法与证书密钥类型的关系如表1所示。
[0069]
【主权项】
1. 一种安全浏览器的实现方法,包括: 在浏览器客户端中启动与浏览器主业务进程进行通信的加密子进程,其中,所述加密 子进程用于作为连接代理实现第一加密通道到第二加密通道的转换,以及数据转发; 所述加密子进程对浏览器主业务进程进行侦听,并获取所述浏览器主业务进程发送的 第一连接请求; 依据所述第一连接请求,所述加密子进程与所述网络服务器建立加密连接通信; 在所述加密连接通信建立成功后,所述加密子进程执行业务数据在所述第一加密通道 和第二加密通道之间的转发; 其中,所述第一加密通道为所述浏览器主业务进程和所述加密子进程的安全通信通 道;所述第二加密通道为所述加密子进程和所述网络服务器的安全通信通道。
2. 如权利要求1所述的方法,其特征在于,所述加密子进程对浏览器主业务进程进行 侦听,包括: 所述加密子进程创建侦听线程; 所述侦听线程通过服务端口对所述浏览器主业务进程进行侦听。
3. 如权利要求1所述的方法,其特征在于,依据所述第一连接请求,所述加密子进程与 所述网络服务器建立加密连接通信,包括: 在确认所述第一连接请求接收成功后,所述加密子进程与所述网络服务器依次进行加 密数据协商和证书认证; 在加密数据协商完毕且证书认证通过后,建立所述浏览器客户端与网络服务器的加密 连接通信。
4. 如权利要求3所述的方法,其特征在于,所述加密子进程与所述网络服务器进行加 密数据协商的步骤,包括: 所述加密子进程向所述网络服务器发送客户端问候消息,其中,所述客户端问候消息 包括所述浏览器客户端的第一加密数据,所述第一加密数据包括若干协议版本号; 所述网络服务器向所述加密子进程反馈服务端问候消息,其中,所述服务端问候消息 包括所述服务器客户端的第二加密数据,所述第二加密数据包括:从所述第一加密数据中 选定的协议版本号。
5. 如权利要求3所述的方法,其特征在于,所述加密子进程与所述网络服务器依次进 行证书认证的步骤,包括: 所述加密子进程对所述网络服务器进行单向证书认证; 或,所述加密子进程和所述网络服务器进行双向证书认证。
6. 如权利要求1所述的方法,其特征在于,所述加密子进程执行业务数据在所述第一 加密通道和第二加密通道之间的转发之前,还包括: 所述加密子进程创建业务处理线程; 所述业务处理线程分别与所述第一加密通道和所述第二加密通道建立连接。
7. 如权利要求6所述的方法,其特征在于,所述加密子进程执行业务数据在所述第一 加密通道和第二加密通道之间的转发,包括: 所述业务处理线程通过所述第一加密通道接收所述浏览器主业务进程发送的第一业 务数据; 所述业务处理线程采用第一对称算法对所述第一业务数据进行解密处理,获取原始业 务数据; 所述业务处理线程采用第二对称算法对所述原始业务数据进行加密处理,获取所述第 二业务数据; 所述业务处理线程采用通过所述第二加密通道间所述第二业务数据发送给所述网络 服务器。
8. 如权利要求5所述的方法,其特征在于,所述加密子进程对所述网络服务器进行单 向证书认证,包括: 所述加密子进程接收所述网络服务器发送的服务端证书消息,所述服务端证书消息包 括所述网络服务器的站点签名证书; 所述加密子进程对所述网络服务器的站点签名证书进行认证。
9. 如权利要求5所述的方法,其特征在于,所述加密子进程和所述网络服务器进行双 向证书认证,包括: 所述加密子进程接收所述网络服务器发送的服务端证书消息,所述服务端证书消息包 括所述网络服务器的站点签名证书; 所述加密子进程接收所述网络服务器发送的证书认证请求消息,所述证书认证请求消 息用于指示进行客户端的证书认证; 所述加密子进程接收所述网络服务器发送的服务端密钥交换消息,包括密钥交换参 数; 所述加密子进程接收所述网络服务器发送的服务端问候完结消息; 所述加密子进程对所述站点签名证书进行认证; 当所述站点签名证书认证通过后,所述加密子进程向所述网络服务器发送客户端证书 消息,所述客户端证书消息包括所述浏览器客户端的签名证书,以使所述网络服务器对所 述签名证书进行认证。
10. -种安全浏览器装置,包括:一处理器,该处理器中运行有一浏览器主业务进程模 块和加密子进程模块, 其中,所述浏览器主业务进程模块,用于在浏览器客户端中启动与浏览器主业务进程 进行通信的加密子进程的加密子进程模块,其中,所述加密子进程用于作为连接代理实现 第一加密通道到第二加密通道的转换,以及数据转发; 所述加密子进程模块,包括: 代理子模块,用于对浏览器主业务进程进行侦听,并获取所述浏览器主业务进程发送 的第一连接请求;以及在所述加密连接通信建立成功后,所述加密子进程执行业务数据在 所述第一加密通道和第二加密通道之间的转发; 安全连接子模块,用于依据所述第一连接请求,所述加密子进程与所述网络服务器建 立加密连接通信; 其中,所述第一加密通道为所述浏览器主业务进程和所述加密子进程的安全通信通 道;所述第二加密通道为所述加密子进程和所述网络服务器的安全通信通道。
【专利摘要】本发明提供了一种安全浏览器的实现方法和浏览器装置,该方法包括:在浏览器客户端中启动与浏览器主业务进程进行通信的加密子进程,其中,所述加密子进程用于作为连接代理实现第一加密通道到第二加密通道的转换及数据转发;加密子进程对浏览器主业务进程进行侦听,并获取浏览器主业务进程发送的第一连接请求;依据所述第一连接请求,加密子进程与网络服务器建立加密连接通信;在所述加密连接通信建立成功后,加密子进程执行业务数据在第一加密通道和第二加密通道之间的转发;其中,所述第一加密通道为所述浏览器主业务进程和所述加密子进程的安全通信通道;所述第二加密通道为所述加密子进程和所述网络服务器的安全通信通道。
【IPC分类】H04L29-06
【公开号】CN104580190
【申请号】CN201410849886
【发明人】杭程, 石彦伟, 贾正强
【申请人】北京奇虎科技有限公司, 奇智软件(北京)有限公司
【公开日】2015年4月29日
【申请日】2014年12月30日