基于国密算法(SM2-SM4) 建立的数据传输通道,满足SSL(SecureSocketsLayer,安全套接层)数据安全协议。国密 算法是国家密码管理局推行发布的一套公钥密码算法,基于运类算法建立的数据传输通道 的安全性会比https通道的安全性高。
[0098]具体来说,由于预设安全通道的安全性要比https通道的安全性高,因此在获得 待发送数据之后,可W事先判断该待发送数据是否需要使用预设安全通道(例如国密通 道)传输。如果待发送数据需要使用预设安全通道传输,则进一步判定待发送数据对应的 目标服务器(即:待发送数据的最终到达地)是否支持建立预设安全通道接收所述待发送 数据。如果目标服务器支持建立预设安全通道接收所述待发送数据时,可优先使用预设安 全通道传输数据,W提高数据传输的安全性。如果不支持建立预设安全通道接收所述待发 送数据,则选用https通道传输该待发送数据。
[0099]在具体的实施过程中,在判断待发送数据对应的目标服务器是否支持建立预设安 全通道接收所述待发送数据时,会先提取所述待发送数据中关于目标服务器的特征信息; 然后基于所述目标服务器的特征信息判断所述目标服务器是否支持建立所述预设安全通 道接收所述待发送数据。
[0100] 待发送数据除了包含一项或者几项数据组合(例如文档和图像的组合)之外,还 包括终端设备的源地址(例如源IP地址)、源端口;目标服务器(待发送数据最终到达地) 的接收地址(例如建设银行的IP地址)、接收端口;等等。 阳101] 由此可知,本发明的目标服务器的特征信息包括但不限于是:IP地址和/或接收 端口。终端设备侧在获得了待发送数据之后,可W从待发送数据中提取出关于目标服务器 的特征信息,例如:IP地址和/或接收端口。 阳1〇引因此,在提取到目标服务器的特征信息之后,可W利用'判断所述目标服务器的特 征信息是否存在第二白名单中'来判定对应的目标服务器是否支持建立预设安全通道接收 所述待发送数据。 阳103]具体来说,第二白名单上记载的是到目前为止获得(主动全网捜索或者被动接收 服务器发送)的支持所述预设安全通道的服务器的特征信息。也就是说,第二白名单上除 了记载有待发送数据对应的目标服务器之外,还记载了支持所述预设安全通道的其他目标 服务器的特征信息。
[0104] 第二白名单可W有表格、列表、数据库等等多种表现形式。下面请参看表1,是本发 明W表格的形式列举的第二白名单上记载的部分目标服务器的特征信息。 阳1化] 阳106] 表1
[0107] 应当注意的是,除了表格W外,第二白名单上还可W有其他表现形式,运些表现形 式也应当属于本发明的保护范围之内。
[0108] 一般来说,第二白名单存储在终端设备侧。关于第二白名单的更新,本发明实施例 也提供了多种更新方式,具体请参看下面的介绍。
[0109] 终端设备可W对第二白名单实时更新。每当发现不在第二白名单上且支持所述预 设安全通道的其他服务器(既支持所述预设安全通道又没有在第二白名单上的服务器), 都可W立即将其对应的特征信息更新到第二白名单中,W保证第二白名单一直保持最新版 本供终端设备侧使用。
[0110] 而为了节约网络资源,终端设备还可W定时对第二白名单进行更新。例如每隔24 小时便对第二白名单进行一次更新。 阳111]另外,还可W在获得不在第二白名单上且支持所述预设安全通道的其他服务器的 特征信息时,将所述其他服务器的特征信息加入所述第二白名单进行更新。例如:不在第二 白名单上且支持预设安全通道的银行服务器告知终端设备其能够支持预设安全通道运一 消息,并且发送自身的特征信息给终端设备,那么终端设备在接收到运一消息之后,则会将 银行服务器的特征信息更新到第二白名单中。或者,终端设备接收到不在第二白名单上且 支持预设安全通道的银行服务器的特征信息之后,就能够直接将该银行服务器的特征信息 更新到第二白名单中。
[0112] 而在判断所述目标服务器的特征信息是否存在第二白名单时,若所述目标服务器 的特征信息存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收所 述待发送数据。
[0113] 由于目标服务器的特征信息包括但不限于是:IP地址和/或接收端口。因此在具 体的判断过程中有W下几种方式:
[0114] 第一种方式:判断目标服务器的IP地址是否存在第二白名单中,若所述目标服务 器的IP地址存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收 所述待发送数据。例如目标服务器Al的IP地址为118. 114. 168. 212。将其和第二白名单 上的存储的IP地址进行对比,如果第二白名单上存储有118. 114. 168. 212。那么就表示目 标服务器Al的IP地址存在于第二白名单上,因此目标服务器支持建立预设安全通道接收 所述待发送数据。
[0115] 第二种方式:判断目标服务器的端口是否存在第二白名单中,若所述目标服务器 的端口存在所述第二白名单中,则表示所述目标服务器支持建立预设安全通道接收所述待 发送数据。例如目标服务器Al端口为147。将其和第二白名单上的存储的端口进行对比, 如果第二白名单上存储有147。那么就表示目标服务器Al的端口存在于第二白名单上,因 此目标服务器支持建立预设安全通道接收所述待发送数据。
[0116] 第=种方式:判断目标服务器的IP地址和端口是否都存在于第二白名单中。如果 目标服务器的IP地址和端口都存在所述第二白名单中,则表示所述目标服务器支持建立 预设安全通道接收所述待发送数据。
[0117] W上是基于所述目标服务器的特征信息判断对应的目标服务器是否支持建立预 设安全通道接收所述待发送数据的具体实施过程。
[0118]S3,若所述目标服务器支持建立所述预设安全通道接收所述待发送数据,则将所 述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道,然 后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
[0119] 作为一种可能的实现方式,在浏览器侧将待发送数据发送给内部的代理装置时, 可W将待发送数据使用密钥加密之后发送给所述代理装置。使用的加密密钥包括但不限于 是字符、数字、字母等等任一项或者几项组合。
[0120] 对于代理装置来说,其可W存在于浏览器内部,作为浏览器的组成部分,另外,代 理装置也可W作为独立的个体存在于终端设备内部。代理装置接收到待发送数据之后,会 使用对应的解密密钥进行解密。 阳121] 代理装置侧默认接收到的待发送数据都需要使用预设安全通道发送。因此,在接 收到待发送数据之后,会建立预设安全通道,然后利用所述预设安全通道将待发送数据转 发给所述目标服务器。 阳122] 在实际应用中,代理装置能够完成W下功能(W国密通道为例): 阳123] (1)自动识别及操作国密USBKEY,支持多USBKEY,多证书选择。
[0124] (2)验证及显示国密证书链。 阳125] (3)管理国密白名单。
[01%] (4)协议嗅探等机制确定目标服务器是否为国密服务器,协议嗅探采用在基本 TCP连接上增加一次握手的方式实现。
[0127] (5)SM2/SM3/SM4 算法实现。
[0128] (6)国密S化双向/双向连接建立。 阳129] (7)国密/商密SSL自主选择。
[0130] 因此,在建立预设安全通道时(W国密通道为例),会经历W下几个阶段:握手请 求阶段、代理装置验证阶段,目标服务器验证阶段。 阳131] 在握手请求阶段,代理装置先和目标服务器相互发送访问请求进行握手。握手完 毕后,代理装置向目标服务器发送SM2证书、自身的密钥交换消息W及握手完成消息;目标 服务器收到代理装置发送的握手完成消息后,发送自身的密钥交换消息给代理装置。然后 双方更换密码套件消息和结束消息;双方均收到对方的结束消息并通过验证后,表示通道 建立完成。双方可W使用约定的安全参数进行数据安全传输。
[0132] 当预设安全通道建立之后,代理装置则会利用所述预设安全通道转发所述待发送 数据。在转发时会W约定的安全参数(例如约定密钥)对待发送数据进行处理后传输。
[0133]目标服务器侧收到该待发送数据之后,则会使用约定的安全参数(例如约定密 钥)处理,然后得到待发送数据进行相应的后续处理。
[0134] W上便是代理装置转发待发送数据的过程。而对于终端设备来说,还可W接收所 述代理装置利用所述预设安全通道转发过来的其他数据。
[0135] 在另一种可能的实现方式中,在所述基于所述目标服务器的特征信息判断所述目 标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持 建立预设安全通道接收所述待发送数据,使用所述htttps通道将所述待发送数据直接发 送给所述目标服务器。
[0136] 为了进一步提高数据传输的安全,而在使用所述htttps通道发送所述待发送数 据时,还可W对待发送数据事先进行加密,然后发送加密后的数据给所述目标服务器。即: 若所述目标服务器不支持建立所述预设安全通道接收待发送数据,对所述待发送数据加密 之后利用所述https通道发送给所述目标服务器。
[0137]W上是本发明公开的安全传输数据的方法,首先检测目的服务器的所在机构是否 属于保密机构,若检测出所述目的服务器属于所述保密机构,然后基于所述目标服务器的 特征信息判断所述目标服务器是否支持建立预设安全通道接收所述待发送数据。若支持则 利用代理装置建立所述预设安全通道转发待发送数据给所述目标服务器。由于浏览器发送 给代理装置的待发送数据属于内部传输,而在外部传输时(即代理装置建立预设安全通道 传输待发送数据给目标服务器),所述预设安全通道的安全级别高于https通道,因此,本 发明在能够提高数据传输的安全性。
[0138] 进一步的,若所述目标服务器不支持建立预设安全通道接收所述待发送数据,本 发明还可W使用所述htttps通道将所述待发送数据直接发送给所述目标服务器。因此,本 发明可W兼容两种传输方式将待发送数据发送给所述目标服务器。
[0139] 而基于同一发明构思,下面的实施例提供一种终端设备。
[0140] 下面请参看图3,在本发明的另一种实施例,提供了一种终端设备,包括: 阳141] 检测模块301,用于检测待发送数据对应的目标服务器的所在机构是否属于保密 机构; 阳142] 判断模块302,用于若检测出所述目标服务器的所在机构属于所述保密机构,则判 断所述目标服务器是否支持建立预设安全通道接收所述待发送数据,所述预设安全通道是 不同于超文本传输协议安全https通道的另一类安全通道,并且所述预设安全通道的安全 级别高于所述https通道;
[0143] 第一发送模块303,用于若所述目标服务器支持建立所述预设安全通道接收所述 待发送数据,则将所述待发送数据发