一种信息处理方法、装置、设备和存储介质与流程

文档序号：16686555发布日期：2019-01-22 18:22阅读：146来源：国知局

本发明涉及通信领域，尤其涉及一种信息处理方法、装置、设备和存储介质。

背景技术：

安全套接字层超文本传输协议(hypertexttransferprotocoloversecuresocketlayer，https)是以安全为目标的超文本传输协议(hypertexttransferprotocol，http)，即在http中加入了安全套接层(securesocketslayer，ssl)，采用ssl进行加密。在https代理的相关技术实现过程中，https代理系统通常包括客户端、防火墙和为客户端提供服务的服务器，在通信过程中，客户端侧将防火墙作为服务器进行通信，服务器侧将防火墙作为客户端进行通信。

但是，在https代理的相关技术中，防火墙与客户端之间采用https基于ssl进行身份认证时，容易出现客户端不信任服务器而产生警告的情况，需要管理人员手动点击继续访问才能建立客户端与服务器之间的连接，会出现客户端所需访问的页面显示不全的情况；进而，无法对https数据的监测和管控，并且整个操作过程比较复杂。

技术实现要素：

有鉴于此，本发明实施例期望提供一种信息处理方法、装置、设备和存储介质，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

为达到上述目的，本发明的技术方案是这样实现的：

一种信息处理方法，所述方法包括：

接收客户端发送的用于建立安全套接层ssl连接的第一握手请求；其中，所述第一握手请求中携带有第一服务器的服务器标识；

接收与所述服务器标识对应的所述第一服务器发送的第一数字证书；

基于所述第一数字证书获取第二数字证书，并发送所述第二数字证书至所述客户端；其中，所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。

可选的，所述基于所述第一数字证书获取第二数字证书，并发送所述第二数字证书至所述客户端，包括：

从所述第一数字证书中获取所述第一数字证书的标识信息；

若所述第二服务器存储有与所述第一数字证书的标识信息对应的所述第二数字证书，获取所述第二数字证书并发送所述第二数字证书至所述客户端。

可选的，所述方法还包括：

若所述第二服务器未存储有所述第二数字证书，基于所述第一数字证书生成所述第二数字证书；

基于所述第一数字证书的标识信息存储所述第二数字证书，并发送所述第二数字证书至所述客户端。

可选的，所述若所述第二服务器未存储有所述第二数字证书，基于所述第一数字证书生成所述第二数字证书，包括：

若所述第二服务器未存储有所述第二数字证书，基于所述第一数字证书生成证书请求文件；

获取预先存储的所述第三数字证书；

基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书。

可选的，所述若所述第二服务器未存储有所述第二数字证书，基于所述第一数字证书生成证书请求文件，包括：

若所述第二服务器未存储有所述第二数字证书，采用密钥算法生成密钥对；其中，所述密钥对包括第一私钥和第一公钥；

基于预设的证书请求文件格式，生成第一证书请求文件模板；

获取所述第一数字证书中的第一特征信息，并添加所述第一特征信息和所述第一公钥至所述第一数字证书模板中，得到第二证书请求文件模板；其中，所述第一特征信息用于表征所述第一数字证书的主体信息的属性信息；

获取所述第一数字证书中的摘要算法，并基于所述摘要算法采用所述第一私钥对所述第二证书请求文件模板进行签名处理，得到所述证书请求文件。

可选的，所述基于所述第三数字证书、所述证书请求文件和所述第一数字证书生成所述第二数字证书，包括：

基于预设的第二数字证书格式，生成第一证书模板；

获取所述第一数字证书中的第二特征信息、所述第三数字证书的主体信息和所述证书请求文件中的第一公钥，并添加至所述第一证书模板中得到第二证书模板；其中，所述第二特征信息是所述第一数字证书的识别信息；

获取所述第三数字证书中的第二私钥，并采用所述第二私钥对所述第二证书模板进行签名处理，得到所述第二数字证书。

一种信息处理方法，所述方法包括：

确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器；其中，所述第一握手请求中携带有所述第一服务器的服务器标识；

接收所述第二服务器发送的第二数字证书；其中，所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的；

若所述第二数字证书与预先存储的第三数字证书匹配，建立与所述第二服务器的所述ssl连接；其中，所述第三数字证书与所述第一服务器对应。

可选的，所述确定与第一服务器通信时，发送第一握手请求至第二服务器之前，包括：

从所述第二服务器中获取与所述第一服务器对应的第三数字证书；

存储所述第三数字证书。

可选的，所述存储所述第三数字证书之后，包括：

获取所述第三数字证书的主体信息；

更新所述第三数字证书的主体信息至客户端的信任列表。

可选的，所述若所述第二数字证书与预先存储的第三数字证书匹配，建立与所述第二服务器的所述ssl连接，包括：

获取所述第二数字证书的主体信息；

获取所述第一服务器对应的第三数字证书；

若所述第二数字证书的主体信息在所述信任列表中，且所述第二数字证书与所述第三数字证书内容匹配，确定所述第二数字证书是所述客户端的受信任证书，建立与所述第二服务器的所述ssl连接。

一种信息处理装置，所述信息处理装置包括：第一接收单元，第二接收单元和处理单元；其中：

所述第一接收单元，用于接收客户端发送的用于建立安全套接层ssl连接的第一握手请求；其中，所述第一握手请求中携带有第一服务器的服务器标识；

所述第二接收单元，用于接收与所述服务器标识对应的所述第一服务器发送的第一数字证书；

所述处理单元，用于基于所述第一数字证书获取第二数字证书，并发送第二数字证书至所述客户端；其中，所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。

一种信息处理装置，所述信息处理装置包括：发送单元，第三接收单元和第一建立单元；其中：

所述发送单元，用于确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器；其中，所述第一握手请求中携带有第一服务器的服务器标识；

所述第三接收单元，用于接收所述第二服务器发送的第二数字证书；其中，所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的；

所述第一建立单元，用于若所述第二数字证书与预先存储的第三数字证书匹配，建立与所述第二服务器的所述ssl连接；其中，所述第三数字证书与所述第一服务器对应。

一种第二服务器，所述第二服务器包括：第一处理器、第一存储器及第一通信总线；其中：

所述第一通信总线用于实现所述第一处理器和所述第一存储器之间的连接通信；

所述第一处理器用于执行所述第一存储器中存储的信息处理程序，以实现以下步骤：

接收客户端发送的用于建立安全套接层ssl连接的第一握手请求；其中，所述第一握手请求中携带有第一服务器的服务器标识；

接收与所述服务器标识对应的所述第一服务器发送的第一数字证书；

基于所述第一数字证书获取第二数字证书，并发送第二数字证书至所述客户端；其中，所述第二数字证书用于使得所述客户端在所述第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。

一种客户端，所述客户端包括：第二处理器、第二存储器及第二通信总线；其中：

所述第二通信总线用于实现所述第二处理器和所述第二存储器之间的连接通信；

所述第二处理器用于执行所述第二存储器中存储的信息处理程序，以实现以下步骤：

确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器；其中，所述第一握手请求中携带有第一服务器的服务器标识；

接收所述第二服务器发送的第二数字证书；其中，所述第二数字证书是所述第二服务器基于所述第一服务器的第一数字证书获取得到的；

若所述第二数字证书与预先存储的第三数字证书匹配，建立与所述第二服务器的所述ssl连接；其中，所述第三数字证书与所述第一服务器对应。

一种计算机可读存储介质，所述计算机可读存储介质上存储有信息处理程序，所述信息处理程序被处理器执行时实现如上述任一项所述的信息处理方法的步骤。

本发明的实施例所提供的信息处理方法、装置、设备和存储介质，客户端确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器，第二服务器接收第一握手请求后，接收与服务器标识对应的第一服务器发送的第一数字证书，并基于第一数字证书获取第二数字证书，然后发送第二数字证书至客户端，客户端接收第二服务器发送的第二数字证书，并在第二数字证书与预先存储的第三数字证书匹配时，客户端建立与第二服务器的ssl连接。这样，第二服务器接收到客户端发送的第一握手请求后，第二服务器主动从第一服务器中获取第一服务器的第一数字证书，并基于第一数字证书获取第二数字证书，然后发送第二数字证书至客户端，使客户端基于第二数字证书对第一服务器进行认证，无需管理人员对客户端进行操作，控制客户端被动获取第一服务器的数字证书，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

附图说明

图1为本发明实施例提供的一种通信系统结构示意图；

图2为本发明实施例提供的一种信息处理方法的流程示意图；

图3为本发明实施例提供的又一种信息处理方法的流程示意图；

图4为本发明实施例提供的再一种信息处理方法的流程示意图；

图5为本发明实施例提供的另一种信息处理方法的流程示意图；

图6为本发明另一实施例提供的一种信息处理方法的流程示意图；

图7为本发明实施例提供的一种信息处理装置的结构示意图；

图8为本发明实施例提供的另一种信息处理装置的结构示意图；

图9为本发明实施例提供的又一种信息处理装置的结构示意图；

图10为本发明实施例提供的再一种信息处理装置的结构示意图；

图11为本发明实施例提供的一种第二服务器的结构示意图；

图12为本发明实施例提供的一种客户端的结构示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明提供的所有实施例中，客户端、第一服务器和第二服务器之间的通信系统结构示意图可以如图1所示，客户端a通过第二服务器c与第一服务器b进行通信。其中，客户端a与第二服务器c之间的通信以及第二服务器c与第一服务器b之间的通信，可以基于https技术来实现，第二服务器c可以是进行数据代理的下一代防火墙(next-generationfirewall，ngfw)，对应的第一服务器b是给客户端提供相关服务的服务器。

本发明的实施例提供一种信息处理方法，参照图2所示，该方法包括以下步骤：

步骤101、接收客户端发送的用于建立安全套接层ssl连接的第一握手请求。

其中，第一握手请求中携带有第一服务器的服务器标识。

在本发明实施例中，步骤101“接收客户端发送的用于建立安全套接层ssl连接的第一握手请求”可以是第二服务器来实现的。客户端可以是用于为用户提供本地服务的程序，例如是可以浏览访问互联网网页的浏览器、收寄电子邮件的电子邮件应用程序、即时通讯应用程序等，对应的需要服务器来提供相应的服务器，在本发明中，为客户端提供相应服务的服务器为第一服务器。第二服务器为数据代理服务器，是实现对客户端所访问的数据进行安全监测或对数据进行审计的服务器，例如可以是防火墙，具体产品例如为深信服的af。第一握手请求是客户端与第二服务器之间建立基于传输控制协议(transmissioncontrolprotocol，tcp)连接，即http连接后，客户端请求建立ssl连接时，向第二服务器发送的建立ssl连接的请求。

步骤102、接收与服务器标识对应的第一服务器发送的第一数字证书。

在本发明实施例中，步骤102“接收与服务器标识对应的第一服务器发送的第一数字证书”可以由第二服务器来实现。第一数字证书是第一服务器对应的证书授权中心(certificateauthority，ca)为第一服务器生成的数字证书。第二服务器接收到客户端发送的第一握手请求后，可以基于第一握手请求中携带的服务器标识确定客户端需要访问的服务器为第二服务器。这样，第二服务器与第一服务器建立通信连接，包括建立tcp连接以及ssl连接，在第二服务器与第一服务器建立tcp连接后，第二服务器向第一服务器发送用于请求建立ssl连接的握手请求后，第一服务器接收到该握手请求后，第一服务器将自身的数字证书发送给第二服务器。

步骤103、基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端。

其中，第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。

在本发明实施例中，步骤103“基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端”可以由第二服务器来实现。第二数字证书是基于第一数字证书生成得到的。若在历史使用过程中，已经基于第一数字证书生成过第二数字证书，则可以基于第一数字证书的相关信息直接从第二服务器的存储单元中获取第二数字证书并发送给客户端，若在历史使用过程中，未使用第一数字证书生成过第二数字证书，则可以根据第一数字证书的相关信息生成第二数字证书并发送给客户端。

本发明的实施例所提供的信息处理方法，接收客户端发送的用于建立ssl连接的第一握手请求后，接收与服务器标识对应的第一服务器发送的第一数字证书，然后基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端。这样，第二服务器接收到客户端发送的第一握手请求后，从第一服务器中获取第一数字证书，并基于第一数字证书获取第二数字证书，然后发送第二数字证书给客户端，无需管理人员对客户端进行操作，控制客户端被动获取第一服务器的数字证书，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

基于前述实施例，本发明的实施例提供一种信息处理方法，参照图3所示，该方法包括以下步骤：

步骤201、确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器。

其中，第一握手请求中携带有第一服务器的服务器标识。

在本发明实施例中，步骤201“确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器”可以由客户端来实现。客户端确定需与第一服务器通信可以是通过用户对客户端进行相关操作，想通过客户端访问某一网页来查看或获得对应的数据内容来实现的。需说明的是，客户端确定需与第一服务器通信后，由于客户端是通过第二服务器与第一服务器实现通信的，所以客户端首先会与第二服务器建立tcp连接，然后为了建立ssl连接，才发送第一握手请求至第二服务器。

步骤202、接收第二服务器发送的第二数字证书。

其中，第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。

在本发明实施例中，步骤202“接收第二服务器发送的第二数字证书”可以由客户端来实现。

步骤203、若第二数字证书与预先存储的第三数字证书匹配，建立与第二服务器的ssl连接。

其中，第三数字证书与第一服务器对应。

在本发明实施例中，步骤203“若第二数字证书与预先存储的第三数字证书匹配，建立与第二服务器的ssl连接”可以由客户端来实现。预先存储的第三数字证书可以是第一服务器的根证书，是第二服务器的开发商预先开发生成的，是客户端从第二服务器中下载得到的。客户端从第二服务器中下载时可以通过管理人员根据配置策略在客户端中配置用户常访问的网站网址，客户端根据配置策略自动从第二服务器中下载配置的网站网址对应的根证书并进行安装，或者用户可以根据客户端系统控制客户端从第二服务器中下载对应的根证书，并控制客户端进行安装，这样实现预先存储第三数字证书。

本发明的实施例所提供的信息处理方法，客户端确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器，并接收第二服务器发送的第二数字证书，若第二数字证书与预先存储的第三数字证书匹配，则客户端建立与第二服务器的ssl连接。这样，客户端发送第一握手请求至第二服务器后，接收当第二服务器发送的与第二服务器对应的第二数字证书，在第二数字证书与预先存储的与第二服务器对应的第三数字证书匹配时，无需管理人员对客户端进行操作，控制客户端被动获取第一服务器的数字证书，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

基于前述实施例，本发明的实施例提供一种信息处理方法，参照图4所示，该方法包括以下步骤：

步骤301、客户端确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器。

其中，第一握手请求中携带有第一服务器的服务器标识。

在本发明实施例中，以客户端是浏览器，第一服务器是为浏览器访问的网页d所提供服务的服务器，第二服务器是af为例进行说明，用户在客户端中输入网页d的网址，此时客户端可以确定需与为网页d提供服务的第一服务器通信，由于客户端是通过第二服务器与第一服务器通信的，所以客户端将第二服务器作为第一服务器通信，此时，客户端发送建立ssl连接的第一握手请求至第二服务器af。其中，第一握手请求可以是“sslclienthello”数据包。

步骤302、第二服务器接收客户端发送的用于建立安全套接层ssl连接的第一握手请求。

其中，第一握手请求中携带有第一服务器的服务器标识。

步骤303、第二服务器接收与服务器标识对应的第一服务器发送的第一数字证书。

在本发明实施例中，af接收到用于建立ssl连接的第一握手请求后，与第一服务器建立通信连接，并发送用于请求与第一服务器建立ssl连接的第二握手请求，第一服务器接收到第二握手请求后，将第一服务器的数字证书即第一数字证书发送给af。

步骤304、第二服务器基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端。

其中，第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。

在本发明实施例中，第二数字证书是第二服务器基于第一服务器的第一数字证书进行伪造得到的。

步骤305、客户端接收第二服务器发送的第二数字证书。

其中，第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。

步骤306、若第二数字证书与预先存储的第三数字证书匹配，客户端建立与第二服务器的ssl连接。

其中，第三数字证书与第一服务器对应。

在本发明实施例中，第三数字证书为af开发商提供的与第一服务器对应的根证书，开发商的开发设计人员预先在af中生成并存储根证书。第二数字证书与预先存储的第三数字证书匹配是指第二数字证书的内容与第三数字证书内容相同，例如第二证书的颁发者信息与第三数字证书的颁发者信息相同、第二证书的主体信息与第三数字证书的主体信息相同(即第二证书的持有者信息与第三数字证书的持有者信息相同)、和/或第二数字证书的有效期在第三数字证书的生效期内等。

需要说明的是，本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述，此处不再赘述。

本发明的实施例所提供的信息处理方法，客户端确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器，第二服务器接收第一握手请求后，接收与服务器标识对应的第一服务器发送的第一数字证书，并基于第一数字证书获取第二数字证书，然后发送第二数字证书至客户端，客户端接收第二服务器发送的第二数字证书，并在第二数字证书与预先存储的第三数字证书匹配时，客户端建立与第二服务器的ssl连接。这样，第二服务器接收到客户端发送的第一握手请求后，第二服务器从第一服务器中获取第一服务器的第一数字证书，并基于第一数字证书获取第二数字证书，然后发送第二数字证书至客户端，是客户端基于第二数字证书对第一服务器进行认证，无需管理人员对客户端进行操作，控制客户端被动获取第一服务器的数字证书，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

基于前述实施例，本发明的实施例提供一种信息处理方法，参照图5所示，该方法包括以下步骤：

步骤401、客户端从第二服务器中获取与第一服务器对应的第三数字证书。

在本发明实施例中，客户端从第二服务器中获取第三数字证书时，可以是根据客户端的管理员预先设置的配置策略实现的，配置策略可以是管理员预先将一些需要进行数据代理的网站网址进行存储，一旦用户浏览这些网站网址时，客户端可以自动从af中获取af中存储的与网站网址对应的根证书；也可以是客户端基于用户的输入操作来实现的，例如用户通过客户端访问某一个网站网址时，根据生成的提示信息选择安装该网站网址对应的根证书来实现的。

客户端在访问第一服务器对应的网页时，从af中获取预先存储的与第一服务器对应的根证书。

步骤402、客户端存储第三数字证书。

在本发明实施例中，客户端可以将获得的根证书存储在客户端的本地存储单元中。

其中，需说明的是，步骤401-402与步骤403-412可以是客户端需与第一服务器的一次通信过程中实现的，步骤401-402也可以是在步骤403-412之前的某一次通信时实现的。例如步骤401-402与步骤403-412是客户端首次需与第一服务器的通信时实现的；还可以是步骤401-402是客户端首次需与第一服务器通信时实现的，而步骤403-412是客户端第n次需与第一服务器的通信时实现的步骤，其中，n是大于1的正整数。

步骤403、客户端确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器。

其中，第一握手请求中携带有第一服务器的服务器标识。

步骤404、第二服务器接收客户端发送的用于建立安全套接层ssl连接的第一握手请求。

其中，第一握手请求中携带有第一服务器的服务器标识。

步骤405、第二服务器建立与服务器标识对应的第一服务器的通信连接。

在本发明实施例中，第二服务器建立与服务器标识对应的第一服务器的通信连接包括第二服务器首先与第一服务器建立tcp连接，然后发送用于请求与第一服务器建立ssl连接的第二握手请求至第一服务器。

步骤406、第二服务器接收与服务器标识对应的第一服务器发送的第一数字证书。

步骤407、第二服务器从第一数字证书中获取第一数字证书的标识信息。

在本发明实施例中，第一数字证书的标识信息可以是唯一标识该第一数字证书的信息，例如可以是第一数字证书的主体信息，即第一数字证书的持有者信息。

其中，第二服务器执行步骤407后，可以选择执行步骤408或者步骤409-410；若第二服务器中存储有与第一数字证书的标识信息对应的第二数字证书，选择执行步骤408，若第二服务器未存储有第二数字证书，选择执行步骤409-410；

步骤408、若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书，第二服务器获取第二数字证书并发送第二数字证书至客户端。

在本发明实施例中，第二服务器可以将第一数字证书的主体信息变成循环冗余(cyclicredundancycheck，crc)值，然后采用哈希(hash)查找算法从存储数字证书的存储单元中查找客户端中是否已存储有该与第一数字证书的标识信息对应的第二数字证书，其中，第二服务器存储数字证书时可以采用哈希列表的形式进行存储。

步骤409、若第二服务器未存储有第二数字证书，第二服务器基于第一数字证书生成第二数字证书。

步骤410、第二服务器基于第一数字证书的标识信息存储第二数字证书，并发送第二数字证书至客户端。

在本发明实施例中，第二服务器采用第一数字证书的标识信息为索引项，将第二数字证书存储在第二服务器的存储单元中，例如是存储在哈希列表中的。

步骤411、客户端接收第二服务器发送的第二数字证书。

其中，第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。

步骤412、若第二数字证书与预先存储的第三数字证书匹配，客户端建立与第二服务器的ssl连接。

其中，第三数字证书与第一服务器对应。

需要说明的是，本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述，此处不再赘述。

基于前述实施例，本发明的实施例提供一种信息处理方法，参照图6所示，该方法包括以下步骤：

步骤501、客户端从第二服务器中获取与第一服务器对应的第三数字证书。

步骤502、客户端存储第三数字证书。

步骤503、客户端获取第三数字证书的主体信息。

在本发明实施例中，第三数字证书的主体信息可以是用于唯一标识第三数字证书的信息，例如第三数字证书的主体信息可以是第一服务器的ca中心生成的，发送给某一客户端时在第三数字证书中记载的该客户端的相关信息，也就是说是第三数字证书的持有者信息，而对应的第一服务器信息是颁发者信息。

步骤504、客户端更新第三数字证书的主体信息至客户端的信任列表。

步骤505、客户端确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器。

其中，第一握手请求中携带有第一服务器的服务器标识。

步骤506、第二服务器接收客户端发送的用于建立安全套接层ssl连接的第一握手请求。

其中，第一握手请求中携带有第一服务器的服务器标识。

步骤507、第二服务器建立与服务器标识对应的第一服务器的访问连接。

在本发明实施例中，第二服务器建立与服务器标识对应的第一服务器的访问连接为tcp连接。

步骤508、若建立了与第一服务器的访问连接，第二服务器发送第二握手请求至第一服务器。

其中，第二握手请求用于请求与第一服务器建立ssl连接。

步骤509、第二服务器接收与服务器标识对应的第一服务器发送的第一数字证书。

步骤510、第二服务器从第一数字证书中获取第一数字证书的标识信息。

其中，第二服务器执行步骤510后，可以选择执行步骤511或者步骤512-515；若第二服务器中存储有与第一数字证书的标识信息对应的第二数字证书选择执行步骤511，若第二服务器中未存储有第二数字证书选择执行步骤512-515；

步骤511、若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书，第二服务器获取第二数字证书并发送第二数字证书至客户端。

步骤512、若第二服务器未存储有第二数字证书，第二服务器基于第一数字证书生成证书请求文件。

在本发明实施例中，第二数字证书与第一数字证书的标识信息对应。

其中，在本发明其他实施例中，步骤512可以由以下步骤来实现：

步骤a、若第二服务器未存储有第二数字证书，第二服务器采用密钥算法生成密钥对。

其中，密钥对包括第一私钥和第一公钥。

步骤b、第二服务器基于预设的证书请求文件格式，生成第一证书请求文件模板。

在本发明实施例中，第一证书请求文件模板为证书请求文件中的相关内容没有填写的空证书请求文件。

步骤c、第二服务器获取第一数字证书中的第一特征信息，并添加第一特征信息和第一公钥至第一数字证书模板中，得到第二证书请求文件模板。

其中，第一特征信息用于表征第一数字证书的主体信息的属性信息。

在本发明实施例中，第一数字证书中的第一特征信息，即第一数字证书的主体信息的属性信息可以是第一数字证书的申请单位所在地信息，包括国家、省份和域名等信息。第二服务器将国家、省份和域名等信息填充至第一数字证书模板对应的国家、省份和域名等信息的填充位置处，并将步骤a中生成的第一公钥也填充至第一数字证书模板的公钥填充位置处，这样得到第二证书请求文件模板。

步骤d、第二服务器获取第一数字证书中的摘要算法，并基于摘要算法采用第一私钥对第二证书请求文件模板进行签名处理，得到证书请求文件。

步骤513、第二服务器获取预先存储的第三数字证书。

步骤514、第二服务器基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书。

在本发明实施例中，步骤514的具体实现过程是将第三数字证书、证书请求文件和第一数字证书终端的相关内容填充至数字证书的模板中，从而得到第二数字证书的。

其中，在本发明其他实施例中，步骤514可以由以下步骤来实现：

步骤m、第二服务器基于预设的第二数字证书格式，生成第一证书模板。

在本发明实施例中，预设的第二数字证书格式可以是指符合itu-tx.509国际标准的通用证书格式，简称为x509。

步骤n、第二服务器获取第一数字证书中的第二特征信息、第三数字证书的主体信息和证书请求文件中的第一公钥，并添加至第一证书模板中得到第二证书模板。

其中，第二特征信息是第一数字证书的识别信息。

在本发明实施例中，第一数字证书中的第二特征信息可以是第一数字证书的版本号、证书序列号、有效时间和扩展项等信息。

步骤p、第二服务器获取第三数字证书中的第二私钥，并采用第二私钥对第二证书模板进行签名处理，得到第二数字证书。

步骤515、第二服务器基于第一数字证书的标识信息存储第二数字证书，并发送第二数字证书至客户端。

步骤516、客户端接收第二服务器发送的第二数字证书。

其中，第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的。

步骤517、客户端获取第二数字证书的主体信息。

步骤518、客户端获取第一服务器对应的第三数字证书。

步骤519、若第二数字证书的主体信息在信任列表中，且第二数字证书与第三数字证书内容匹配，客户端确定第二数字证书是客户端的受信任证书，建立与第二服务器的ssl连接。

在本发明实施例中，若第二数字证书的主体信息不在信任列表中，或者若第二数字证书的主体信息在信任列表中，但第二数字证书与第三数字证书内容不匹配，客户端均可以确定对第二数字证书不信任。第二数字证书与第三数字证书内容匹配例如可以是指第二数字证书的颁发者字段与第三数字证书的颁发者字段相同，且第二数字证书的有效期在第三数字证书的有效期内，即第二数字证书的内容与第三数字证书中的内容均匹配，才认为第二数字证书与第三数字证书匹配，否则只要有一个不匹配则认为第二数字证书与第三数字证书不匹配。

需要说明的是，本实施例中与其它实施例中相同步骤或概念的解释可以参考其它实施例中的描述，此处不再赘述。

基于前述实施例，本发明实施例提供一种信息处理装置6，该信息处理装置应用于图2-6对应的实施例中，参照图7所示，该信息处理装置包括：第一接收单元61、第二接收单元62和处理单元63，其中：

第一接收单元61，用于接收客户端发送的用于建立安全套接层ssl连接的第一握手请求；其中，第一握手请求中携带有第一服务器的服务器标识；

第二接收单元62，用于接收与服务器标识对应的第一服务器发送的第一数字证书；

处理单元63，用于基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端；其中，第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。

在本发明其他实施例中，处理单元63包括第一获取模块和第一处理模块，其中：

第一获取模块，用于从第一数字证书中获取第一数字证书的标识信息；

第一处理模块，用于若第二服务器存储有与第一数字证书的标识信息对应的第二数字证书，获取第二数字证书并发送第二数字证书至客户端。

在本发明其他实施例中，处理单元63还包括生成模块和第二处理模块，其中：

生成模块，用于若第二服务器未存储有第二数字证书，基于第一数字证书生成第二数字证书；

第二处理模块，用于基于第一数字证书的标识信息存储第二数字证书，并发送第二数字证书至客户端。

在本发明其他实施例中，生成模块具体用于实现以下步骤：

若第二服务器未存储有第二数字证书，基于第一数字证书生成证书请求文件；

获取预先存储的第三数字证书；

基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书。

在本发明其他实施例中，生成模块具体实现“若第二服务器未存储有第二数字证书，基于第一数字证书生成证书请求文件”步骤时，还可以采用以下步骤来实现：

若第二服务器未存储有第二数字证书，采用密钥算法生成密钥对；其中，密钥对包括第一私钥和第一公钥；

基于预设的证书请求文件格式，生成第一证书请求文件模板；

获取第一数字证书中的第一特征信息，并添加第一特征信息和第一公钥至第一数字证书模板中，得到第二证书请求文件模板；其中，第一特征信息用于表征第一数字证书的主体信息的属性信息；

获取第一数字证书中的摘要算法，并基于摘要算法采用第一私钥对第二证书请求文件模板进行签名处理，得到证书请求文件。

在本发明其他实施例中，生成模块具体实现“基于第三数字证书、证书请求文件和第一数字证书生成第二数字证书”步骤时，还可以采用以下步骤来实现：

基于预设的第二数字证书格式，生成第一证书模板；

获取第一数字证书中的第二特征信息、第三数字证书的主体信息和证书请求文件中的第一公钥，并添加至第一证书模板中得到第二证书模板；其中，第二特征信息是第一数字证书的识别信息；

获取第三数字证书中的第二私钥，并采用第二私钥对第二证书模板进行签名处理，得到第二数字证书。

在本发明其他实施例中，参照图8所示，第一接收单元61之前还包括：第二建立单元64；其中：

第二建立单元64，用于建立与服务器标识对应的第一服务器的通信连接。

在本发明其他实时例中，第二建立单元64包括：建立模块和发送模块；其中：

建立模块，用于建立与服务器标识对应的第一服务器的访问连接；

发送模块，用于若建立了与第一服务器的访问连接，发送第二握手请求至第一服务器；其中，第二握手请求用于请求与第一服务器建立ssl连接。

需说明的是，本实施例中单元或模块所实现的步骤之间的交互过程，可以参照图2-6对应的实施例及上述实施例提供的信息处理方法中的交互过程，此处不再赘述。

本发明的实施例所提供的信息处理装置，接收客户端发送的用于建立ssl连接的第一握手请求后，接收与服务器标识对应的第一服务器发送的第一数字证书，然后基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端。这样，第二服务器接收到客户端发送的第一握手请求后，从第一服务器中获取第一数字证书，并基于第一数字证书获取第二数字证书，然后发送第二数字证书给客户端，无需管理人员对客户端进行操作，控制客户端被动获取第一服务器的数字证书，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

基于前述实施例，本发明实施例提供一种信息处理装置7，该信息处理装置应用于图3-6对应的实施例中，参照图9所示，该信息处理装置包括：发送单元71、第三接收单元72和第一建立单元73，其中：

发送单元71，用于确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器；其中，第一握手请求中携带有第一服务器的服务器标识；

第三接收单元72，用于接收第二服务器发送的第二数字证书；其中，第二数字证书是第二服务器基于第一服务器的第一数字证书获取得到的；

第一建立单元73，用于若第二数字证书与预先存储的第三数字证书匹配，建立与第二服务器的ssl连接；其中，第三数字证书与第一服务器对应。

在本发明其他实施例中，参照图10所示，发送单元71之前还包括：第一获取单元74和存储单元75，其中：

第一获取单元74，用于从第二服务器中获取与第一服务器对应的第三数字证书；

存储单元75，用于存储第三数字证书。

在本发明其他实施例中，参照图10所示，存储单元75之后还包括：第二获取单元76和更新单元77；其中：

第二获取单元76，用于获取第三数字证书的主体信息；

更新单元77，用于更新第三数字证书的主体信息至客户端的信任列表。

在本发明其他实施例中，第一建立单元73包括：第二获取模块和第三处理模块；其中：

第二获取模块，用于获取第二数字证书的主体信息；

第二获取模块，还用于获取第一服务器对应的第三数字证书；

第三处理模块，用于若第二数字证书的主体信息在信任列表中，且第二数字证书与第三数字证书内容匹配，确定第二数字证书是客户端的受信任证书，建立与第二服务器的ssl连接。

需说明的是，本实施例中单元或模块所实现的步骤之间的交互过程，可以参照图3-6对应的实施例及上述实施例提供的信息处理方法中的交互过程，此处不再赘述。

本发明的实施例所提供的信息处理装置，确定需与第一服务器通信时，发送用于请求与第二服务器建立ssl连接的第一握手请求至第二服务器，并接收第二服务器发送的第二数字证书，若第二数字证书与预先存储的第三数字证书匹配，则客户端建立与第二服务器的ssl连接。这样，客户端发送第一握手请求至第二服务器后，接收当第二服务器发送的与第二服务器对应的第二数字证书，在第二数字证书与预先存储的与第二服务器对应的第三数字证书匹配时，无需管理人员对客户端进行操作，控制客户端被动获取第一服务器的数字证书，解决了现有技术中采用防火墙进行数据代理时操作过程比较复杂的问题，实现了防火墙与客户端基于ssl进行身份认证时无需管理人员进行相关操作，降低了操作过程的复杂度，保证了https代理过程中对数据的监测和管控，并提高了防火墙和客户端的智能化程度。

基于前述实施例，本发明的实施例提供一种第二服务器8，该第二服务器可以应用于图2-6对应的实施例中，参照图11所示，该第二服务器可以包括：第一处理器81、第一存储器82及第一通信总线83，其中：

第一通信总线83用于实现第一处理器81和第一存储器82之间的连接通信；

第一处理器81用于执行第一存储器82中存储的信息处理程序，以实现以下步骤：

接收客户端发送的用于建立安全套接层ssl连接的第一握手请求；其中，第一握手请求中携带有第一服务器的服务器标识；

接收与服务器标识对应的第一服务器发送的第一数字证书；

基于第一数字证书获取第二数字证书，并发送第二数字证书至客户端；其中，第二数字证书用于使得客户端在第二数字证书与预存储的第三数字证书匹配时，建立与第二服务器的ssl连接。