专利名称:具有mime数据类型过滤技术的ssl代理方法
技术领域:
本发明涉及计算机软件和信息安全软件领域,尤其涉及一种具有MIME数据类型过滤技术的SSL代理方法。
背景技术:
SSL(Secure Socket Layer Protocol)协议是一种加密传输技术协议,通过给对称加密技术约定对称密钥,建立加密通道,经过这个通道的信息均被加密。SSL代理即为实现SSL协议的信息加密转发软件。现有的SSL安全代理系统主要分成提供WEB服务的服务器端和由远程登录用户、商业伙伴和异地分支机构等组成的用户客户端两方面。其工作原理为1、当浏览器与远程服务器建立SSL连接请求时,其HTTPS请求被客户端本地的浏览器代理捕获,并与浏览器建立的SSL连接,所述低位通常为40位,并对数据解密,此为第一次加解密;2、SSL浏览器代理根据请求头中的目标主机地址,与远程的SSL服务器代理建立SSL连接,通常该连接为128位高密连接,此为第二次加解密;3、SSL服务器代理则与本地WEB应用服务器建立明文连接,把由客户端传送过来的请求传送至WEB服务器,并把WEB服务器的响应传回客户端代理;4、客户端代理再把WEB响应传送至浏览器。通过以上流程,用户和WEB服务可以安全的传输数据,进行商业活动。
在Internet网应用中,人们使用最多的是通过浏览器浏览各类网站,进行查询资料、网上购物等各类活动。在这些传输的信息中,根据其传输量,其有大约80%-90%的信息都是一些可以公开信息,如图片、声音等,只有10%-20%的信息是用户的敏感信息,浏览器本身可以对所有信息进行SSL安全保护,但无法只对用户的敏感信息进行安全保护。这种情况的存在,使SSL代理系统必须进行两次加密解密,并且由于受HTTP1.0协议的限制,在浏览器中每一个资源都会产生一个SSL连接请求,如果一张网页有100多个资源,那么就会产生100多个连接请求。上述两个因素大大降低了SSL安全代理的数据传输性能。
因此如果通过SSL浏览器代理把那些不用保护的信息过滤掉,只对用户敏感的信息进行SSL安全保护,其它信息不加密传输,这将大大提高SSL传输性能,其主要表现在对不用SSL安全保护的数据省略了一次加解密步骤;对不用SSL安全保护的数据省略了一次SSL连接。
发明内容
本发明的目的在于提出了一种具有多用途网络邮件扩展MIME(Multipurpose InternetMail Extensisions)数据类型过滤技术的SSL代理方法,利用对HTTP请求中MIME数据类型分析技术,通过SSL浏览器代理及服务器代理的过滤策略配置,对不需要安全保护的信息不通过加密传输。
本发明是这样实现的一种具有MIME数据类型过滤技术的SSL代理方法,所述方法在SSL客户端代理和SSL服务端代理两端各增加一个策略过滤模块以及在SSL客户端和SSL服务端之间建立一条非加密数据通道;其中所述策略过滤模块对HTTP请求中的MIME数据类型进行分析以判断所传输的信息是否需要SSL安全保护,所述方法包括SSL客户端代理工作流程和SSL服务端代理工作流程,所述两个流程之间完成数据的交互传输。
其中,所述SSL客户端代理工作流程包括以下步骤a.用户通过客户端本地的浏览器发送HTTPS请求;b.客户端本地的浏览器代理捕获HTTPS请求,并和浏览器建立低密的SSL连接,对数据和HTTPS请求解密;c.客户端策略过滤模块对每一个请求中的MIME数据类型进行分析,判断该请求是否需要SSL安全保护,如果需要SSL安全保护,则客户端SSL浏览器代理与远端SSL服务器代理建立高位的SSL连接,到步骤e;如果不需要安全保护,则客户端SSL浏览器代理与远端SSL服务器代理建立非安全连接,并发送HTTP请求头;d.在客户端SSL浏览器代理与远端SSL服务器代理建立非安全连接后,如果客户端SSL浏览器代理收到由SSL服务端代理所返回的拒绝服务响应,则表明所传输的数据在服务端策略配置中需要SSL安全保护,客户端SSL浏览器代理重新与远程服务端建立高位的SSL安全连接;如果客户端SSL浏览器代理收到SSL服务端代理所返回的非拒绝服务响应,则客户端SSL浏览器代理通过非加密的安全通道与SSL服务端代理进行数据交互,到步骤f;e.客户端SSL浏览器代理判断高位的SSL安全连接是否成功;如果连接成功,则客户端SSL浏览器代理通过加密的安全通道与SSL服务端代理进行数据交互,到步骤f;如果连接失败,则返回错误响应,结束此次安全连接;f.结束此次数据交互。
其中,SSL服务端代理工作流程包括以下步骤a.SSL服务端代理的通信模块侦听外部请求,当收到客户端SSL浏览器代理发出的请求,判断其请求的前5个字节,如果不是标准的HTTP请求头,到步骤b;如果是标准的HTTP请求头,则判断出客户端使用非加密安全通道,则到步骤c;b.SSL服务端代理和远程客户端建立SSL安全连接,并解密所传输的数据内容,将所述请求转发到web服务器,到步骤e;c.调用服务端代理的策略过滤模块,服务端策略过滤模块分析所述请求中的MIME数据类型,判断是否需要SSL安全保护,如果需要SSL安全保护,则到步骤f;如果不需要SSL安全保护,到步骤d;d.SSL服务端代理返回非拒绝服务响应给SSL客户端代理,并通知通信模块把请求转发给本地web服务器,与其进行数据交互;e.web服务器处理所述请求,并返回响应通过安全通道加密后传送给客户端,到步骤g;f.服务端策略过滤模块通知通信模块返回拒绝服务响应给客户端;g.结束此次数据交互。
本发明的显著效果是提高SSL安全代理的数据转输性能,每一条不受安全保护的资源可以比原来提高60%。这里提高的性能只是针对不需要安全保护的资源,如果一张网页中所有资源都需要保护,则提高的程度为0。
图1为使用MIME数据类型过滤技术的SSL客户端处理流程。
图2为使用MIME数据类型过滤技术的SSL服务端处理流程。
具体实施例方式
下面结合附图和实施例对本发明进行进一步的详细说明。
一种具有MIME数据类型过滤技术的SSL代理方法,所述方法在SSL客户端代理和SSL服务端代理两端各增加一个策略过滤模块以及在SSL客户端和SSL服务端之间建立一条非加密数据通道;其中所述策略过滤模块对HTTP请求中的MIME数据类型进行分析以判断所传输的信息是否需要SSL安全保护,所述方法包括SSL客户端代理工作流程和SSL服务端代理工作流程,所述两个流程之间完成数据的交互传输。
如图1所示,所述SSL客户端代理工作流程包括以下步骤a.用户通过客户端本地的浏览器发送HTTPS请求;b.客户端本地的浏览器代理捕获HTTPS请求,并和浏览器建立低密的SSL连接,对数据和HTTPS请求解密;c.客户端策略过滤模块对每一个HTTP请求中的MIME数据类型进行分析,判断该请求是否需要SSL安全保护,客户端的过滤策略由用户自行配置,一般都初始设置为图片文件、声音文件,例如以下为一个典型的HTTP请求头GET/shgaca/images/top2.GIF HTTP/1.1Accept*/*Refererhttp//shy/shgaca/ui/top.htmAccept-Languagezh-cnAccept-Encodinggzip,deflateIf-Modified-SinceMon,25 Dec 2000 053214 GMTIf-None-Match"083509346ec01909"User-AgentMozilla/4.0(compatible;MSIE 5.01;Windows NT 5.0)HostshyConnectionKeep-Alive客户端策略过滤模块对top2GIF进行判断,决定是否需要SSL安全保护,客户端策略过滤模块只判断请求文件的具体类型,如GIF、JPG、MID等;如果需要SSL安全保护,则客户端SSL浏览器代理与远端SSL服务器代理建立高位的SSL连接,通常为128位,到步骤e;如果不需要安全保护,则客户端SSL浏览器代理与远端SSL服务器代理建立非安全连接,并发送HTTP请求头;
d.在客户端SSL浏览器代理与远端SSL服务器代理建立非安全连接后,如果客户端SSL浏览器代理收到由SSL服务端代理所返回的拒绝服务响应,则表明所传输的数据在服务端策略配置中需要SSL安全保护,客户端SSL浏览器代理重新与远程服务端建立高位的SSL安全连接;如果客户端SSL浏览器代理收到SSL服务端代理所返回的非拒绝服务响应,则客户端SSL浏览器代理通过非加密的安全通道与SSL服务端代理进行数据交互,所述通道与SSL安全通道共同占用服务端的一个端口,通常为443,到步骤f;e.客户端SSL浏览器代理判断高位的SSL安全连接是否成功;如果连接成功,则客户端SSL浏览器代理通过加密的安全通道与SSL服务端代理进行数据交互,到步骤f;如果连接失败,则返回错误响应,结束此次安全连接;f.结束此次数据交互。
如图2所示,SSL服务端代理工作流程包括以下步骤a.SSL服务端代理的通信模块侦听外部请求,当收到客户端SSL浏览器代理发出的请求,判断其请求的前5个字节,如果不是标准的HTTP请求头,到步骤b;如果是标准的HTTP请求头,如GET、POST等,则判断出客户端使用非加密安全通道,则到步骤c;服务端的过滤策略配置是为了防止用户通过非安全通道访问需要安全保护的网络资源,配置项由管理员自行配置,服务端策略过滤模块可以根据配置细化到某一个文件;b.SSL服务端代理和远程客户端建立SSL安全连接,并解密所传输的数据内容,将所述请求转发到web服务器,到步骤e;c.调用服务端代理的策略过滤模块,服务端策略过滤模块分析所述请求中的MIME数据类型,与上述客户端策略过滤模块一样,对HTTP请求头的top2.GIF进行判断,已决定是否需要SSL安全保护,服务端策略过滤模块对HTTP请求头的判断可根据配置西化到一个具体文件;服务端的过滤策略配置主要是为了防止用户通过非安全通道访问需要安全保护的网络资源,配置项由管理员自行配置;如果需要SSL安全保护,则到步骤f;如果不需要SSL安全保护,到步骤d;d.SSL服务端代理返回非拒绝服务响应给SSL客户端代理,并通知通信模块把请求转发给本地web服务器,与其进行数据交互;
e.web服务器处理所述请求,并返回响应通过安全通道加密后传送给客户端,到步骤g;f.服务端策略过滤模块通知通信模块返回拒绝服务响应给客户端;g.结束此次数据交互。
权利要求
1.一种具有MIME数据类型过滤技术的SSL代理方法,其特征在于,在SSL客户端代理和SSL服务端代理两端各增加一个策略过滤模块以及在SSL客户端和SSL服务端之间建立一条非加密数据通道;所述策略过滤模块对HTTP请求中的MIME数据类型进行分析以判断所传输的信息是否需要SSL安全保护,所述方法包括SSL客户端代理工作流程和SSL服务端代理工作流程,所述两个流程之间完成数据的交互传输。
2.根据权利要求1所述的方法,其进一步特征在于,SSL客户端代理工作流程包括以下步骤a.用户通过客户端本地的浏览器发送HTTPS请求;b.客户端本地的浏览器代理捕获HTTPS请求,并和浏览器建立低密的SSL连接,对数据和请求解密;c.客户端策略过滤模块对每一个请求中的MIME数据类型进行分析,判断该请求是否需要SSL安全保护,如果需要SSL安全保护,则客户端SSL浏览器代理与远端SSL服务器代理建立高位的SSL连接,到步骤e;如果不需要安全保护,则客户端SSL浏览器代理与远端SSL服务器代理建立非安全连接,并发送HTTP请求头;d.在客户端SSL浏览器代理与远端SSL服务器代理建立非安全连接后,如果客户端SSL浏览器代理收到由SSL服务端代理所返回的拒绝服务响应,则表明所传输的数据在服务端策略配置中需要SSL安全保护,客户端SSL浏览器代理重新与远程服务端建立高位的SSL安全连接;如果客户端SSL浏览器代理收到SSL服务端代理所返回的非拒绝服务响应,则客户端SSL浏览器代理通过非加密的安全通道与SSL服务端代理进行数据交互,到步骤f;e.客户端SSL浏览器代理判断高位的SSL安全连接是否成功;如果连接成功,则客户端SSL浏览器代理通过加密的安全通道与SSL服务端代理进行数据交互,到步骤f;如果连接失败,则返回错误响应,结束此次安全连接;f.结束此次数据交互。
3.根据权利要求1所述的方法,其进一步特征在于,SSL服务端代理工作流程包括以下步骤a.SSL服务端代理的通信模块侦听外部请求,当收到客户端SSL浏览器代理发出的请求,判断其请求的前5个字节,如果不是标准的HTTP请求头,到步骤b;如果是标准的HTTP请求头,则判断出客户端使用非加密安全通道,则到步骤c;b.SSL服务端代理和远程客户端建立SSL安全连接,并解密所传输的数据内容,将所述请求转发到web服务器,到步骤e;c.调用服务端代理的策略过滤模块,服务端策略过滤模块分析所述请求中的MIME数据类型,判断是否需要SSL安全保护,如果需要SSL安全保护,则到步骤f;如果不需要SSL安全保护,到步骤d;d.SSL服务端代理返回非拒绝服务响应给SSL客户端代理,并通知通信模块把请求转发给本地web服务器,与其进行数据交互;e.web服务器处理所述请求,并返回响应通过安全通道加密后传送给客户端,到步骤g;f.服务端策略过滤模块通知通信模块返回拒绝服务响应给客户端;g.结束此次数据交互。
全文摘要
本发明公开了一种计算机软件和信息安全软件领域中具有MIME数据类型过滤技术的SSL代理方法。在目前的SSL代理系统中,浏览器可对所有的信息进行SSL安全保护,但无法只对用户的敏感信息进行保护,降低了SSL安全代理的数据传输性能。因此,本发明提出利用对HTTP请求中MIME数据类型分析,通过SSL浏览器代理及服务器代理的过滤策略配置,对不需要安全保护的信息不通过加密传输,大大提高了SSL安全代理的数据传输性能。
文档编号G06F13/00GK1359074SQ0113234
公开日2002年7月17日 申请日期2001年11月29日 优先权日2001年11月29日
发明者顾伟, 史晶民 申请人:上海格尔软件股份有限公司