一种安全通信的方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,特别是涉及一种安全通信的方法和装置。
【背景技术】
[0002]随着电子商务、移动互联网的爆发式增长,人们通过互联网进行涉及敏感信息的通信越来越频繁,比如,进行互联网金融交易,因此,网络安全也变得越来越重要。
[0003]目前,网络安全所面临的威胁包括:通信双方交互的通信数据被第三方窃听;或者,攻击者通过伪造服务器身份,与客户端建立安全加密通道,并通过该安全加密通道与客户端通信,从而套取客户端数据。
[0004]因此,如何防止通信数据被窃听,或者攻击者伪造服务器身份套取客户端数据,保证客户端与目的服务器之间的通信安全,成为当前急需解决的技术问题。
【发明内容】
[0005]有鉴于此,本发明提出了一种安全通信的方法和装置,能够保证客户端与目的服务器的通信安全。
[0006]本发明提出的技术方案是:
[0007]一种安全通信的方法,该方法包括:
[0008]代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求;
[0009]代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥;
[0010]代理服务器将申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
[0011]一种安全通信的装置,该装置位于代理服务器中,该装置包括第一安全通信模块和第二安全通信模块;
[0012]所述第一安全通信模块,用于根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求,将第二安全通信模块申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信;
[0013]所述第二安全通信模块,用于根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
[0014]由上述技术方案可见,本发明实施例中,在客户端和目的服务器之间设立了代理服务器,由该代理服务器验证客户端的身份和目的服务器的身份,确保两者均是可信的,并且与客户端建立第一安全通道、与目的服务器建立第二安全通道,然后代理服务器通过与目的服务器建立的第二安全通道,为客户端申请与目的服务器之间进行通信的会话密钥,并将申请到的会话密钥通过与客户端建立的第一安全通道返回给客户端,使得客户端和目的服务器可以通过该会话密钥通信,从而确保了客户端和目的服务器之间的通信安全。
[0015]进一步,由于客户端只需要安装代理服务器的证书,而海量目的服务器的证书都安装在代理服务器侧,因此,可以节省客户端侧的存储空间、简化客户端侧的证书管理。
[0016]并且,当不同的客户端需要分别与海量的目的服务器进行通信时,只需要代理服务器对这些海量的目的服务器执行证书验证、安装和管理操作,不需要各个不同的客户端分别对这些海量的目的服务器执行证书验证、安装和管理操作,各个目的服务器也只需要验证代理服务器的身份、不需要分别验证各个不同的客户端的身份,因此,还能够避免网络节点由于执行相同的验证、安装和管理操作而造成的资源浪费。
【附图说明】
[0017]图1是本发明实施例提供的安全通信的方法流程图。
[0018]图2是本发明实施例提供的通信系统组成示意图。
[0019]图3是本发明实施例提供的代理服务器的硬件结构连接图。
[0020]图4是本发明实施例提供的安全通信的装置的结构示意图。
【具体实施方式】
[0021]保证客户端与目的服务器的通信安全的一种方法是:客户端首先获取目的服务器的证书,根据该证书验证目的服务器的身份,如果验证出目的服务器身份可信,则安装该目的服务器的证书,基于该证书与该目的服务器建立安全通道,然后通过该安全通道与目的服务器进行通信,从而保证客户端与目的服务器的通信安全。
[0022]其中,客户端验证目的服务器的身份的方法可以包括:客户端检查目的服务器发来的证书是否是由该客户端所信赖的认证(CA)中心所签发的,比如,该服务器的证书已经在客户端本地的信任证书列表中,或者,该服务器证书是经过某一个证书机构授权,且这个授权的证书机构的证书在客户端的本地信任证书列表中。
[0023]因此,为了保证安全性,必须在客户端安装需要登录的目的服务器的证书,比如,如果用户需要登录某网银系统,就必须使用银行机构提供的U盾等设备安装该银行服务器的证书。
[0024]然而,在移动互联快速发展的今天,各种应用日渐丰富,每访问一个目的服务器都需要安装相应目的服务器的证书,这样,在证书达到一定数目后,客户端本地的证书将占用客户端大量的存储空间、证书管理也变得复杂,而且,不同的客户端需要分别对海量的目的服务器的证书进行重复的验证、安装和管理,也造成了网络节点的资源浪费。
[0025]基于上述分析,本发明实施例提供了一种用于客户端与目的服务器进行安全通信的方法,能够确保客户端与目的服务器之间的通信安全,而且能够节省客户端侧的存储空间、简化客户端的证书管理,避免重复的证书验证、安装和管理所造成的网络节点资源浪费。
[0026]图1是本发明实施例提供的安全通信的方法流程图。
[0027]如图1所示,该流程包括:
[0028]步骤101,代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求。
[0029]步骤102,代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
[0030]其中,关于通信请求中所携带的目的服务器的信息内容和客户端信息的内容,以能够实现所述通信请求为准,具体内容本发明实施例不做限制,比如,所述目的服务器的信息可以包括所述目的服务器的身份标识信息或地址信息,所述客户端信息可以包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
[0031]步骤103,代理服务器将申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
[0032]由图1所示方法可见,通过在客户端和目的服务器之间设立代理服务器,由该代理服务器与客户端建立第一安全通道、与目的服务器建立第二安全通道,然后通过与目的服务器建立的第二安全通道,为客户端申请与目的服务器之间进行通信的会话密钥,并将申请到的会话密钥通过与客户端建立的第一安全通道返回给客户端,使得客户端和目的服务器可以通过该会话密钥通信,从而确保了客户端和目的服务器之间的通信安全。
[0033]并且,由于客户端只需要安装代理服务器的证书,而目的服务器的证书都安装在代理服务器侧,因此,还可以节省客户端侧的存储空间、简化客户端侧的证书管理。
[0034]图1所示方法中,代理服务器还可以对海量的目的服务器起到汇聚的作用,避免对同一个目的服务器在不同的客户端侧重复执行验证、安装和管理的操作,因此能够节省网络节点的资源。
[0035]具体地,代理服务器在根据客户端通过第一安全通道发来的通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务