,且上述各硬件通过总线连接,具体地:
[0055]非易失性存储器,用于存储指令代码;所述指令代码被处理器执行时完成的操作主要为内存中的安全通信的装置完成的功能。
[0056]处理器,用于与非易失性存储器通信,读取和执行非易失性存储器中存储的所述指令代码,完成上述安全通信的装置完成的功能。
[0057]内存,当非易失性存储器中的所述指令代码被执行时完成的操作主要为内存中的安全通信的装置完成的功能。
[0058]图4是本发明实施例提供的安全通信的装置的结构示意图。
[0059]如图4所示,该装置包括第一安全通信模块401和第二安全通信模块402。
[0060]第一安全通信模块401,用于根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求,将第二安全通信模块申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
[0061]第二安全通信模块402,用于根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
[0062]其中,第二安全通信模块402,用于根据所述通信请求中携带的目的服务器的信息,判断是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,基于已安装的所述目的服务器的证书建立所述第二安全通道。
[0063]所述通信请求可以包括会话密钥更新请求。
[0064]第二安全通信模块402,可以用于基于所述第二安全通道申请所述客户端与所述目的服务器的更新的会话密钥。
[0065]第一安全通信模块401,还可以用于在接收到客户端发送的建立第一安全通道的请求时,根据安全策略判断是否与所述客户端建立所述第一安全通道;
[0066]第二安全通信模块402,还可以用于在接收到客户端发送的与目的服务器的通信请求时,根据安全策略判断是否与所述目的服务器建立第二安全通道。
[0067]其中,所述目的服务器的信息可以包括所述目的服务器的身份标识信息或地址信息,所述客户端信息可以包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
[0068]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种安全通信的方法,其特征在于,该方法包括: 代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求; 代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥; 代理服务器将申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。
2.根据权利要求1所述的方法,其特征在于,代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道包括: 代理服务器根据所述通信请求中携带的目的服务器的信息,判断所述代理服务器是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,所述代理服务器获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,基于已安装的所述目的服务器的证书建立所述第二安全通道。
3.根据权利要求1所述的方法,其特征在于,所述通信请求包括会话密钥更新请求; 基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥包括: 基于所述第二安全通道申请所述客户端与所述目的服务器的更新的会话密钥。
4.根据权利要求1所述的方法,其特征在于,该方法还包括: 代理服务器根据安全策略,在接收到客户端发送的建立第一安全通道的请求时,判断是否与所述客户端建立所述第一安全通道,和/或,在接收到客户端发送的与目的服务器的通信请求时,判断是否与所述目的服务器建立第二安全通道。
5.根据权利要求1所述的方法,其特征在于, 所述目的服务器的信息包括所述目的服务器的身份标识信息或地址信息,所述客户端信息包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
6.一种安全通信的装置,其特征在于,该装置位于代理服务器中,该装置包括第一安全通信模块和第二安全通信模块; 所述第一安全通信模块,用于根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于所述第一安全通道接收所述客户端发送的与目的服务器的通信请求,将第二安全通信模块申请到的会话密钥通过所述第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信; 所述第二安全通信模块,用于根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于所述第二安全通道申请所述客户端与所述目的服务器的会话密钥。
7.根据权利要求6所述的装置,其特征在于, 所述第二安全通信模块,用于根据所述通信请求中携带的目的服务器的信息,判断是否已安装所述目的服务器的证书,如果是,基于已安装的所述目的服务器的证书与所述目的服务器建立第二安全通道,如果否,获取所述目的服务器的证书,在验证出所述证书合法时,安装所述目的服务器的证书,基于已安装的所述目的服务器的证书建立所述第二安全通道。
8.根据权利要求6所述的装置,其特征在于,所述通信请求包括会话密钥更新请求; 所述第二安全通信模块,用于基于所述第二安全通道申请所述客户端与所述目的服务器的更新的会话密钥。
9.根据权利要求6所述的装置,其特征在于, 所述第一安全通信模块,还用于在接收到客户端发送的建立第一安全通道的请求时,根据安全策略判断是否与所述客户端建立所述第一安全通道; 所述第二安全通信模块,还用于在接收到客户端发送的与目的服务器的通信请求时,根据安全策略判断是否与所述目的服务器建立第二安全通道。
10.根据权利要求6所述的装置,其特征在于, 所述目的服务器的信息包括所述目的服务器的身份标识信息或地址信息,所述客户端信息包括所述客户端的证书信息、和所述客户端支持的密钥交换算法信息和加密算法信息。
【专利摘要】本发明公开了一种安全通信的方法和装置。该方法包括:代理服务器根据客户端基于在该客户端侧安装的所述代理服务器的证书发送的建立第一安全通道的请求,与所述客户端建立所述第一安全通道,基于第一安全通道接收所述客户端发送的与目的服务器的通信请求;代理服务器根据所述通信请求中携带的目的服务器的信息,基于所述目的服务器的证书与所述目的服务器建立第二安全通道,根据所述通信请求中携带的客户端信息,基于第二安全通道申请所述客户端与所述目的服务器的会话密钥;代理服务器将申请到的会话密钥通过第一安全通道发给所述客户端,使得所述客户端与所述目的服务器通过所述会话密钥进行通信。应用本发明实施例能够保证通信安全。
【IPC分类】H04L29-06
【公开号】CN104821951
【申请号】CN201510272533
【发明人】甘长华, 邱元香
【申请人】杭州华三通信技术有限公司
【公开日】2015年8月5日
【申请日】2015年5月26日