一种安全传输数据的方法及终端设备的制造方法_2

细描述，各种其他的优点和益处对于本领域普通 技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明 的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
[0069] 图1示出了根据本发明一个实施例的一种安全传输数据的方法对应的系统架构 图；
[0070] 图2示出了根据本发明一个实施例的一种安全传输数据的方法的实施过程图；
[0071] 图3示出了根据本发明一个实施例的一种终端设备的结构示意图。
【具体实施方式】
[0072] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开 的示例性实施例，然而应当理解，可WW各种形式实现本公开而不应被运里阐述的实施例 所限制。相反，提供运些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围 完整的传达给本领域的技术人员。
[0073] 作为一种可选的实施例，本发明提供了一种安全传输数据的方法，用W解决现有 的https通道传输数据的方式无法保证数据传输安全的问题。应当注意的是，本发明设及 的方法可W但不仅限于应用于浏览器中，即：本发明不但可W使用浏览器传输待发送数据 (例如网页数据），而除了应用于浏览器之外，还可W应用在其他应用程序中，如：购物软件 (例如淘宝软件）、即时通讯软件（微信、QQ、飞信等等软件）等等，通过其他应用程序来传 输待发送数据。下面W在浏览器侧使用该方法为例进行说明，其他侧（购物软件、即时通讯 软件等等）的实施方式和浏览器侧的实施方式类似，因此不再寶述。
[0074] 下面请参看图1，是本发明提供的一种安全传输数据的方法对应的系统架构图。
[00巧]在系统架构图中，设及的设备包括：终端设备、代理装置和目标服务器。其中，本发 明的终端设备具体可W是手机、电脑、PAD等等电子设备。对于该终端设备具体是何种电子 设备，本实施例不做具体限定。终端设备的使用者即为终端用户。代理装置主要用于和目 标服务器建立预设安全通道，然后利用预设安全通道转发终端设备侧的待发送数据给目标 服务器；目标服务器是待发送数据的最终到达地，用来响应待发送数据。目标服务器可W是 任意服务器，例如银行服务器、金融交易机构（股票交易所）提供的服务器、保密机构（例 如飞行设计院）提供的服务器等等。
[0076] 具体来说，终端设备侧上安装有支持IE内核的单核浏览器（例如IE浏览器）或 者同时支持两种内核（如IE内核和chrome内核）的双核浏览器。由于IE内核的封闭性， 使得安装有IE内核的浏览器（包括单核浏览器和双核浏览器）只能支持建立单种通道传 输数据。例如只能建立超文本传输协议安全https通道传输数据，而运种数据传输方式又 容易使待发送数据在传输过程中被拦截窃取。
[0077] 为了解决运一问题，本发明在终端设备侧设置了代理装置。具体来说，本发明可W 在浏览器内部设置代理装置，使其成为浏览器的组成部分。或者代理装置可作为独立的个 体存在于终端设备侧。而对于其他应用程序来说，代理装置内置于其他应用程序内部，成为 其他应用程序的组成部分。或者代理装置作为独立的个体存在于终端设备侧。
[0078] 当代理装置设置于浏览器内部时，由于IE内核的封闭性，会在浏览器新增一网络 库作为代理装置的网络库，不用修改浏览器原有的网络库，W尽量减小对浏览器原有的改 动。
[0079] 当代理装置设置于浏览器内部时，若判定出需要和目标服务器之间建立预设安全 通道（例如国密通道）传输数据，并且目标服务器支持预设安全通道之后，则会自动用新连 接替换原有的连接化ttps通道），即自动和目标服务器之间建立预设安全通道来替换原有 的https通道，使得浏览器可W从https通道无缝连接到预设安全通道。
[0080] 代理装置在浏览器已经支持https通道传输的基础上，用来和目标服务器建立比 现有的https通道更加安全的预设安全通道。为浏览器提供另外的安全通道传输数据，W 提高待发送数据的传输的安全性。具体来说，由于代理装置设置于终端设备侧（不管代理 装置是设置在浏览器内部还是终端设备内部，都属于设置在终端设备侧），因此浏览器和代 理装置之间的数据传输属于内部传输。而代理装置和目标服务器之间的传输，是通过建立 的预设安全通道来进行待发送数据的传输。由于预设安全通道的安全级别高于所述https 通道，因此，使用预设安全通道传输待发送数据，能够提高传输待发送数据的安全性。
[0081] 进一步的，由于利用了代理装置来建立更加安全的传输通道传输待发送数据，因 此并不影响原有的https通道的使用，使得浏览器在提高待发送数据传输安全的同时，还 兼容了两种通道传输数据。
[0082] 另外，本发明的浏览器在同一时间并不仅限于单一通道的使用，例如，浏览器在支 持利用预设安全通道传输待发送数据的同时，还可W利用https通道传输（发送或接收） 其他数据。举例来说，例如浏览器正在访问某保密机构的服务器，并且在利用预设安全通道 传送保密文档到该保密机构服务器中。而同时在另一网页上，浏览器可W接收其他服务器 发过来的首页数据（例如某某商城的网页首页数据）。
[0083] 下面请参看图2,是本发明提供的安全传输数据的方法的实施过程图。
[0084] SI,检测待发送数据对应的目标服务器的所在机构是否属于保密机构。
[0085] 保密机构，具体是国家机要部n、金融机构、军工厂商、研究所等等需要保证数据 传输安全的机构。若终端设备的所在机构属于运类机构，则终端设备的传输的数据（包括 待发送数据和接收数据）则必须要保证数据传输安全，W免被第=方中途拦截窃取导致数 据泄露。
[0086] 作为一种可能的实现方式，在检测目标服务器的所在机构是否属于保密机构之 前，需要先获得目标服务器的所在机构。具体来说，可W通过待发送数据提取出目标服务器 的IP地址，然后利用所述目标服务器的IP地址在互联网上查找所述其所在机构的登记信 息，或者事先下载所有服务器的IP地址和对应的机构登记信息到本地数据库中，然后在本 地数据库中进行查找。当获得目标服务器的所在机构的登记信息（例如登记的组织机构名 称、组织机构电话等等）之后，然后基于所述目标服务器的所在机构的登记信息获得所述 目标服务器的所在机构（例如登记机构、组织机构电话等等）。
[0087] 作为一种可能的实现方式，在检测目标服务器的所在机构是否属于保密机构时， 可W检测所述目标服务器的IP地址的安全级别是否高于安全级别阔值；若所述目标服务 器的IP地址的安全级别高于所述安全级别阔值，则表明所述目标服务器的所在机构属于 所述保密机构。
[0088] 举例来说，本地存储有安全级别划分标准。而所有的目标服务器的IP地址都可W 按照安全级别划分，例如将目标服务器的IP地址的安全级别划分为5级的标准，具体如下： 1级（表示安全级别最低），2级，3级，4级，5级（表示安全级别最高）。将安全级别阔值设 为3级，若检测到本发明实施例中的目标服务器的IP地址为5级，则会进一步检测其是否 高于安全级别阔值（3级），若高于3级，则表示目标服务器的所在机构属于所述保密机构。
[0089] 在实际应用中，目标服务器的IP地址的安全级别可W根据目标服务器所在机构 登记的信息、目标服务器所处位置、目标服务器设备型号等等多方原因综合确定。而预设安 全阔值也可W根据目标服务器的W上信息综合判定获得。另外应当注意的是，此处举例仅 用于说明和解释本发明，而不作为本发明的限制举例，本发明也可W使用其他方式进行举 例，例如利用字符、符号、字母、文字等等表示级别，此也应当处于本发明的保护范围之内。
[0090] 作为一种可能的实现方式，在检测目标服务器的所在机构是否属于保密机构时， 可W在获得了目标服务器的所在机构之后，直接检测所述目标服务器的所在机构的安全级 别是否属于所述预设安全级别；若所述目标服务器的所在机构的安全级别属于所述预设安 全级别，则表明所述目标服务器的所在机构属于所述保密机构。和上述举例类似，本发明将 所有的目标服务器的所在机构的安全级别划分为5级，将预设安全级别定为3级及W上。若 本发明的目标服务器的所在机构的安全级别为4级，那么就表示目标服务器的所在机构的 安全级别属于所述预设安全级别。
[0091] 作为一种可能的实现方式，在检测目标服务器的所在机构是否属于保密机构时， 还可W检测所述目标服务器的所在机构是否存在于记载有所述保密机构的第一白名单中； 若所述目标服务器的所在机构存在于所述第一白名单中，则表明所述目标服务器的所在机 构属于所述保密机构。
[0092]具体来说，第一白名单上记载的是到目前为止获得（主动全网捜索或者被动接收 服务器发送）的所有保密机构的信息，例如保密机构的名称、IP地址等等。因此，在获得目 标服务器的所在机构之后，可W直接检测所述目标服务器的所在机构的信息（例如名称或 者是IP地址）是否存在于记载有所述保密机构的第一白名单中。若存在则表示目标服务 器的所在机构属于所述保密机构
[0093]另外，第一白名单可W有表格、列表、数据库等等多种表现形式。关于第一白名单 的更新，本发明实施例也提供了多种更新方式。例如，可W实时对第一白名单进行捜索更 新，W便使第一白名单上的保密机构保持最新版本供终端设备侧使用。当然，也可W定时对 其进行捜索更新，W便节约网络资源，例如每隔24小时便对第一白名单进行一次更新。另 夕F，还可W在接收到不在所述第一白名单上的其他保密机构发送的记录请求时，根据所述 记录请求将所述其他保密机构的信息更新到所述第一白名单上。例如：不在第一白名单上 的其他保密机构的设备发送记录请求给终端设备，请求终端设备将其自身的信息记录在第 一白名单上，并且发送自身的信息给终端设备，那么终端设备在接收到运一记录请求之后， 则会将其更新到第一白名单中。或者，终端设备接收到不在第一白名单上且属于保密机构 的信息之后，就能够直接将其更新到第一白名单中。
[0094]而对于所述待发送数据来说，本发明对于待发送数据的数据类型不做限制。其可W是任意类型的数据或者数据组合。例如文档、文件、视频、音频、图像等等数据。另外，待发 送数据可W是存储在浏览器本地随时等待调用的数据，例如浏览器本地存储的文档等等。 也可W是终端设备的浏览器从互联网中收集获得数据，例如浏览器访问国外网站下载的图 M Afr Afr/T寸寸O
[0095]S2,若检测出所述目标服务器的所在机构属于所述保密机构，则判断所述目标服 务器是否支持建立预设安全通道接收所述待发送数据。
[0096]对于预设安全通道的定义是：所述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道，例如国密通道。
[0097]另外，所述预设安全通道的安全级别高于超文本传输协议https通道。例如国密 通道的安全性会高于https通道的安全性。国密通道，实际上是