侧的代理装置,使所述代理装置建立所述预设安全通道, 然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
[0132] 作为一种可能的实现方式,在浏览器侧将待发送数据发送给内部的代理装置时, 可以将待发送数据使用密钥加密之后发送给所述代理装置。使用的加密密钥包括但不限于 是字符、数字、字母等等任一项或者几项组合。
[0133] 对于代理装置来说,其可以存在于浏览器内部,作为浏览器的组成部分,另外,代 理装置也可以作为独立的个体存在于终端设备内部。代理装置接收到待发送数据之后,会 使用对应的解密密钥进行解密。
[0134] 代理装置侧默认接收到的待发送数据都需要使用预设安全通道发送。因此,在接 收到待发送数据之后,会建立预设安全通道,然后利用所述预设安全通道将待发送数据转 发给所述目标服务器。
[0135] 在实际应用中,代理装置能够完成以下功能(以国密通道为例):
[0136] (1)自动识别及操作国密USBKEY,支持多USBKEY,多证书选择。
[0137] (2)验证及显示国密证书链。
[0138] (3)管理国密白名单。
[0139] (4)协议嗅探等机制确定目标服务器是否为国密服务器,协议嗅探采用在基本 TCP连接上增加一次握手的方式实现。
[0140] (5) SM2/SM3/SM4 算法实现。
[0141] (6)国密SSL双向/双向连接建立。
[0142] (7)国密/商密SSL自主选择。
[0143] 因此,在建立预设安全通道时(以国密通道为例),会经历以下几个阶段:握手请 求阶段、代理装置验证阶段,目标服务器验证阶段。
[0144] 在握手请求阶段,代理装置先和目标服务器相互发送访问请求进行握手。握手完 毕后,代理装置向目标服务器发送SM2证书、自身的密钥交换消息以及握手完成消息;目标 服务器收到代理装置发送的握手完成消息后,发送自身的密钥交换消息给代理装置。然后 双方更换密码套件消息和结束消息;双方均收到对方的结束消息并通过验证后,表示通道 建立完成。双方可以使用约定的安全参数进行数据安全传输。
[0145] 当预设安全通道建立之后,代理装置则会利用所述预设安全通道转发所述待发送 数据。在转发时会以约定的安全参数(例如约定密钥)对待发送数据进行处理后传输。
[0146] 目标服务器侧收到该待发送数据之后,则会使用约定的安全参数(例如约定密 钥)处理,然后得到待发送数据进行相应的后续处理。
[0147] 以上便是代理装置转发待发送数据的过程。而对于终端设备来说,还可以接收所 述代理装置利用所述预设安全通道转发过来的其他数据。
[0148] 在另一种可能的实现方式中,在所述基于所述目标服务器的特征信息判断所述目 标服务器是否支持建立预设安全通道接收所述待发送数据之后,若所述目标服务器不支持 建立预设安全通道接收所述待发送数据,使用所述htttps通道将所述待发送数据直接发 送给所述目标服务器。
[0149] 为了进一步提高数据传输的安全,而在使用所述htttps通道发送所述待发送数 据时,还可以对待发送数据事先进行加密,然后发送加密后的数据给所述目标服务器。即: 若所述目标服务器不支持建立所述预设安全通道接收待发送数据,对所述待发送数据加密 之后利用所述https通道发送给所述目标服务器。
[0150] 以上是本发明公开的数据处理方法,首先获得安装终端设备的当前地理位置区 域;然后检测所述终端设备的当前地理位置区域是否属于高安全级别区域;若所述终端设 备的当前地理位置区域属于所述高安全级别区域,进一步判断待发送的待发送数据对应的 目标服务器是否支持建立预设安全通道来接收所述待发送数据;若支持则将所述待发送数 据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全通道进行数据传输。 由于预设安全通道的安全级别高于https通道,因此可以保证数据传输的安全性。
[0151] 进一步的,若所述目标服务器不支持建立预设安全通道接收所述待发送数据,本 发明还可以使用所述htttps通道将所述待发送数据直接发送给所述目标服务器。因此,本 发明可以兼容两种传输方式将待发送数据发送给所述目标服务器。
[0152] 而基于同一发明构思,下面的实施例提供一种终端设备。
[0153] 下面请参看图3,在本发明的另一种实施例,提供了一种终端设备,包括:
[0154] 第一获得模块301,用于获得所述终端设备的当前地理位置区域;
[0155] 检测模块302,用于检测所述终端设备的当前地理位置区域是否属于高安全级别 区域;
[0156] 判断模块303,用于若所述终端设备的当前地理位置区域属于所述高安全级别区 域,进一步判断所述终端设备的待发送数据对应的目标服务器是否支持建立预设安全通道 来接收所述待发送数据;其中,所述预设安全通道是不同于超文本传输协议安全https通 道的另一类安全通道,并且所述预设安全通道的安全级别高于所述https通道;
[0157] 第一发送模块304,用于若所述目标服务器支持建立所述预设安全通道来接收所 述待发送数据,则将所述待发送数据发送给终端设备侧的代理装置,使所述代理装置建立 所述预设安全通道,然后利用所述预设安全通道转发所述待发送数据给所述目标服务器。
[0158] 作为一种可选的实施例,所述获得模块具体用于:
[0159] 根据所述终端设备的无线保真WIFI信息获得所述终端设备的当前地理位置区 域;或
[0160] 根据所述终端设备的基站信息获得所述终端设备的当前地理位置区域;或
[0161] 根据所述终端设备的全球卫星定位系统GPS信息获得所述终端设备的当前地理 位置区域;或
[0162] 根据所述终端设备的网关信息获得所述终端设备的当前地理位置区域。
[0163] 作为一种可选的实施例,所述检测模块302具体包括:
[0164] 第二获得模块,用于获得所述终端设备的当前地理位置区域对应的安全级别;
[0165] 检测子模块,用于检测所述终端设备的当前地理位置区域对应的安全级别是否达 到安全级别阈值;
[0166] 若所述终端设备的当前地理位置区域对应的安全级别达到所述安全级别阈值,表 明所述终端设备的当前地理位置区域属于所述高安全级别区域。
[0167] 作为一种可选的实施例,所述检测模块302具体用于检测所述终端设备的当前地 理位置区域在预设时间范围内发生的实时政治事件的重要程度是否达到预设程度;若是, 表明所述终端设备的当前地理位置区域属于所述高安全级别区域。
[0168] 作为一种可选的实施例,所述检测模块302具体用于
[0169] 检测获得在所述终端设备的当前地理位置区域在预设时间范围内发生的实时政 治事件的搜索次数;
[0170] 若检测出所述实时政治事件的搜索次数在预设时间范围内达到预设次数,则表明 所述终端设备的当前地理位置区域属于所述高安全级别区域。
[0171] 作为一种可选的实施例,所述判断模块303具体包括:
[0172] 提取模块,用于提取所述待发送数据中关于目标服务器的特征信息;
[0173] 判断子模块,用于基于所述目标服务器的特征信息判断所述目标服务器是否支持 建立所述预设安全通道来接收所述待发送数据。
[0174] 作为一种可选的实施例,所述判断子模块具体用于判断所述目标服务器的特征信 息是否存在白名单中,所述白名单中记载了支持所述预设安全通道的服务器的特征信息; 若所述目标服务器的特征信息存在所述白名单中,则表示所述目标服务器支持建立所述预 设安全通道接收所述待发送数据。
[0175] 作为一种可选的实施例,所述目标服务器的特征信息包括:IP地址和/或接收端 □ 〇
[0176] 作为一种可选的实施例,所述白名单的更新包括下面的步骤:
[0177] 定时对所述白名单进行更新;或
[0178] 当获得不在所述白名单上并且支持所述预设安全通道的其他服务器的更新请求 时,将所述其他服务器的特征信息加入所述白名单进行更新。
[0179] 作为一种可选的实施例,所述第一发送模块304具体用于将所述待发送数据使用 密钥加密之后发送给所述代理装置。
[0180] 作为一种可选的实施例,所述终端设备还包括:
[0181] 第二发送模块,用于在判断所述终端设备的待发送数据对应的目标服务器是否支 持建立预设安全通道来接收所述待发送数据之后,若所述目标服务器不支持建立预设安全 通道接收所述待发送数据,利用所述htttps通道将所述待发送数据直接发送给所述目标 服务器。
[0182] 作为一种可选的实施例,所述终端设备还包括:
[0183] 接收模块,用于在将所述待发送数据发送给代理装置之后,接收所述代理装置利 用所述预设安全通道从所述目标服务器处转发过来的其他数据。
[0184] 作为一种可选的实施例,所述代理装置内置于浏览器中。
[0185] 由于本实施例所介绍的电子设备为实施本申请实施例中基于数据处理方法所采 用的装置,故而基于本申请实施例中所介绍的数据处理方法,本领域所属技术人员能够了 解本实施例的电子设备的【具体实施方式】以及其各种变化形式,所以在此对于该电子设备如 何实现本申请实施例中的基于数据处理方法不再详细介绍。只要本领域所属技术人员实施 本申请实施例中基于数据处理方法所采用的装置,都属于本申请所欲保护的范围。
[0186] 通过本发明的一个或者多个实施例,本发明具有以下有益效果或者优点:
[0187] 本发明公开了一种数据处理方法及终端设备。本发明的方法首先获得终端设备 的当前地理位置区域;然后检测所述终端设备的当前地理位置区域是否属于高安全级别区 域;若所述终端设备的当前地理位置区域属于所述高安全级别区域,进一步判断待发送数 据对应的目标服务器是否支持建立预设安全通道来接收所述待发送