专利名称:一种通信代理网关的制作方法
技术领域:
本发明涉及计算机通信领域,具体涉及通信双方之间采用加密通信时的通信代理网关。
背景技术:
如图I所示,当前的一种客户端设备和服务端设备之间的通信方式中,经常需要在客户端设备和服务端设备双方之间进行加密通信,通常采用基于SSL技术进行加密。如果由于业务或者政府监管的要求,则需要了解甲乙两方之间的通信内容。服务器端设备和客户端设备之间的数据链接是加密的,因为解密的计算量太大,采用通常的旁路方法无法获取两者之间的通信内容,这就需要修改两方之间的业务或技术流程获取信息,无法做到透明传输下的信息获取。
发明内容
本发明所要解决的技术问题是提供一种通信代理网关,通过该通信代理网关可以在通信双方之间无感知的情况下,监控双方之间的通信信息,以满足业务或者政府监管需要。本发明解决上述技术问题的技术方案如下
一种通信代理网关,包括证书管理模块、服务端接口、客户端接口和获取模块;
所述服务端接口,用于与服务端设备进行连接和通信;
所述客户端接口,用于与客户端设备进行连接和通信;
所述证书管理模块,用于存储和提供所述客户端接口与客户端设备进行连接通信时所使用的数字证书,以及存储和提供所述服务端接口与服务端设备进行连接通信时所使用的数字证书;
所述客户端设备和服务端设备通过所述通信代理网关进行信息传输;
所述获取模块用于获取所述客户端设备和服务端设备之间的通信信息,以便进一步处理和分析。本发明的有益效果是客户端设备和服务端设备双方之间通过本发明提供的通信代理网关进行信息透明传送,所述通信代理网关对客户端设备和服务端设备之间的信息传输进行采集监控,可以有效的对他们之间的信息进行采集审计监控管理。在上述技术方案的基础上,本发明还可以做如下改进。进一步,所述数字证书为符合X. 509标准的数字证书。进一步,所述服务端接口和客户端接口均采用以SSL为基础的接口协议加密通信。进一步,所述客户端设备与所述通信代理网关相互认可彼此的数字证书;服务端设备与所述通信代理网关相互认可彼此的数字证书。
图I为现有的一种客户端设备和服务端设备之间的通信方式示意 图2为本发明提供的通信代理网关的整体结构示意 图3为本发明的通信代理网关的一种具体实施例结构示意图。附图中,各标号所代表的部件列表如下
I、通信代理网关,101、证书管理模块,102、服务端接口,103、客户端接口,104、获取模块,2、服务端设备,3、客户端设备具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。如图2所示,本发明所提供的通信代理网关I包括证书管理模块101、服务端接口102、客户端接口 103和获取模块104 ;其中,证书管理模块101用于存储、管理和提供通信代理网关I与客户端设备3之间相互认可的数字证书,以及通信代理网关I与服务端设备2之间相互认可的数字证书;服务端接口 102利用通信代理网关I与服务端设备2之间相互认可的数字证书与服务端设备2进行连接和通信;客户端接口 103利用通信代理网关I与客户端设备3之间相互认可的数字证书与客户端设备3进行连接和通信;客户端设备3和服务端设备2之间通过通信代理网关I进行信息互传;
证书管理模块101也负责认可客户端设备2使用的数字证书,和认可服务端设备3使用的数字证书处理。获取模块104用于对客户端设备3和服务端设备2之间的通信信息进行抓取和分析等后续处理。服务端设备2和服务端接口 102根据通信代理网关I与服务端设备2之间相互认可的数字证书建立基于SSL的链接,客户端设备3和客户端接口 103根据通信代理网关I与客户端设备3之间相互认可的数字证书建立基于SSL的链接。在通信代理网关I的内部,服务端接口 102和客户端接口 103之间的信息是非加密状态。因此获取模块104可以采集通信信息内容,以便对通信信息进行监控和进一步处理和分析。以下结合图3的一个具体实施例对本发明的通信代理网关进行进一步说明。通信代理网关I通过与客户端设备3和服务端设备2方的数字证书相互认可,即客户端设备3和服务端设备2认可通信代理网关I的数字证书,通信代理网关I认可客户端设备3和服务端设备2的数字证书。认可的方式有以下几种
I.直接认可服务端设备2直接认可通信代理网关I的服务端接口 102的数字证书,客户端设备3直接认可通信代理网关I的客户端接口 103的数字证书。通信代理网关I直接认服务端设备2和客户端设备3两方的数字证书。2.交换证书服务端设备2将自己的原有数字证书提交给通信代理网关1,通信代理网关I使用服务端设备2原有的的数字证书与客户端设备3连接,服务端设备2使用其它的通信代理网关认可的数字证书和通信代理网关I连接。这是在客户端设备3不认可通信代理网关I的数字证书的情况下采用的方式。因为服务端设备2和客户端设备3是相等的,客户端设备3也可以将自己原有的证书提交给通信代理网关I使用。通过证书认可,从而实现客户端设备3和服务端设备2双方与通信代理网关I基于SSL协议的“串接”。客户端设备3和服务端设备2不需要改造自有的技术平台,就可以实现与通信代理网关I的无缝对接,保证客户端设备3和服务端设备2之间的业务的连续性及稳定性。同时,通信代理网关I可以根据相关管理部门或者业务要求的要求,采集记录客户端设备3和服务端设备2通信过程中的相关数据,或者提供技术接口,按照业务或者管理要求进行后续处理。图3所示的通信代理网关I中,证书管理模块101为SSL证书管理系统,服务端接口 102为服务端SSL接口,客户端接口 103为客户端SSL接口,获取模块104可以为分析处理系统,以进一步实现对获取的通信信息的分析和处理,图3所示实施例由SSL证书管理系统、服务端SSL接口、客户端SSL接口和分析处理系统四部分组成。
SSL证书管理系统,负责管理SSL客户端接口和SSL服务端接口使用的数字证书。主要功能有为服务端设备2和客户端设备3的数字证书进行认可,以及数字证书更新、换数字证书、数字证书启用等过程进行管理,收集整理管理相关数字证书信息。图3所示的通信代理网关中的另外一个核心部分就是分析处理系统,用于收集客户端设备3和服务端设备2之间的通信数据,进行分析,管理,监控。本发明提供的通信代理网关以串接透传的方式工作(服务端设备和客户端设备不需要进行改造,并且客户端设备和服务端设备之间的信息交换不会受到本发明提供的通信代理网关的影响,客户端设备和服务端设备不会感觉到他们之间所设立的本发明的通信代理网关),进而为采集监控管理提供有效的技术手段。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种通信代理网关,其特征在于 包括证书管理模块、服务端接口、客户端接口和获取模块; 所述服务端接口,用于与服务端设备进行连接和通信; 所述客户端接口,用于与客户端设备进行连接和通信; 所述证书管理模块,用于存储和提供所述客户端接口与客户端设备进行连接通信时所使用的数字证书,以及存储和提供所述服务端接口与服务端设备进行连接通信时所使用的数字证书; 所述客户端设备和服务端设备通过所述通信代理网关进行信息传输; 所述获取模块用于获取所述客户端设备和服务端设备之间的通信信息。
2.根据权利要求I所述的通信代理网关,其特征在于所述数字证书为符合X.509标准的数字证书。
3.根据权利要求I所述的通信代理网关,其特征在于所述服务端接口和客户端接口均采用以SSL为基础的接口协议加密通信。
4.根据权利要求I所述的通信代理网关,其特征在于所述客户端设备与所述通信代理网关相互认可彼此的数字证书;服务端设备与所述通信代理网关相互认可彼此的数字证书。
全文摘要
本发明涉及一种通信代理网关,包括证书管理模块、服务端接口、客户端接口和获取模块;所述服务端接口,用于与服务端设备进行连接和通信;所述客户端接口,用于与客户端设备进行连接和通信;所述证书管理模块,用于存储和提供所述客户端接口与客户端设备进行连接通信时所使用的数字证书,以及存储和提供所述服务端接口与服务端设备进行连接通信时所使用的数字证书;所述客户端设备和服务端设备通过所述通信代理网关进行信息传输;所述获取模块用于获取所述客户端设备和服务端设备之间的通信信息。本发明的通信代理网关可以有效的帮助实现对客户端设备和服务端设备之间的通信信息的进行监控审计等管理活动。
文档编号H04L12/66GK102916872SQ201110219498
公开日2013年2月6日 申请日期2011年8月2日 优先权日2011年8月2日
发明者李帜, 吕军, 马燕黎 申请人:李帜, 马燕黎, 吕军