而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0068] 图1示出了根据本发明一个实施例的一种数据安全传输方法对应的系统架构图;
[0069] 图2示出了根据本发明一个实施例的一种数据安全传输方法的实施过程图;
[0070] 图3示出了根据本发明一个实施例的一种终端设备的结构示意图。
【具体实施方式】
[0071] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开 的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例 所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围 完整的传达给本领域的技术人员。
[0072] 作为一种可选的实施例,本发明提供了一种数据安全传输方法,用以解决现有的 https通道传输数据的方式无法保证数据传输安全的问题。
[0073] 下面请参看图1,是本发明提供的一种数据安全传输方法对应的系统架构图。
[0074] 在系统架构图中,涉及的设备包括:终端设备、代理装置和目标服务器。其中,本 发明的终端设备具体可以是手机、电脑、PAD等等电子设备。终端设备的使用者即为终端用 户。代理装置主要用于和目标服务器建立预设安全通道,然后利用预设安全通道转发终端 设备侧的网页数据给目标服务器;目标服务器是网页数据的最终到达地,用来响应网页数 据。目标服务器可以是任意服务器,例如银行服务器、金融交易机构(股票交易所)提供的 服务器、保密机构(例如飞行设计院)提供的服务器等等。
[0075] 具体来说,终端设备侧上安装有支持IE内核的单核浏览器(例如IE浏览器)或 者同时支持两种内核(如IE内核和chrome内核)的双核浏览器。由于IE内核的封闭性, 使得安装有IE内核的浏览器(包括单核浏览器和双核浏览器)只能支持建立单种通道传 输数据。例如只能建立超文本传输协议安全https通道传输数据,而这种数据传输方式又 容易使网页数据在传输过程中被拦截窃取。
[0076] 为了解决这一问题,本发明在终端设备侧设置了代理装置。具体来说,本发明可以 在浏览器内部设置代理装置,使其成为浏览器的组成部分。或者代理装置可作为独立的个 体存在于终端设备侧。
[0077] 当代理装置设置于浏览器内部时,由于IE内核的封闭性,会在浏览器新增一网络 库作为代理装置的网络库,不用修改浏览器原有的网络库,以尽量减小对浏览器原有的改 动。
[0078] 当代理装置设置于浏览器内部时,若判定出需要和目标服务器之间建立预设安全 通道(例如国密通道)传输数据,并且目标服务器支持预设安全通道之后,则会自动用新连 接替换原有的连接(https通道),即自动和目标服务器之间建立预设安全通道来替换原有 的https通道,使得浏览器可以从https通道无缝连接到预设安全通道。
[0079] 代理装置在浏览器已经支持https通道传输的基础上,用来和目标服务器建立比 现有的https通道更加安全的预设安全通道。为浏览器提供另外的安全通道传输数据,以 提高网页数据的传输的安全性。具体来说,由于代理装置设置于终端设备侧(不管代理装 置是设置在浏览器内部还是终端设备内部,都属于设置在终端设备侧),因此浏览器和代理 装置之间的数据传输属于内部传输。而代理装置和目标服务器之间的传输,是通过建立的 预设安全通道来进行网页数据的传输。由于预设安全通道的安全级别高于所述https通 道,因此,使用预设安全通道传输网页数据,能够提高传输网页数据的安全性。
[0080] 进一步的,由于利用了代理装置来建立更加安全的传输通道传输网页数据,因此 并不影响原有的https通道的使用,使得浏览器在提高网页数据传输安全的同时,还兼容 了两种通道传输数据。
[0081] 另外,本发明的浏览器在同一时间并不仅限于单一通道的使用,例如,浏览器在支 持利用预设安全通道传输网页数据的同时,还可以利用https通道传输(发送或接收)其 他数据。举例来说,例如浏览器正在访问某保密机构的服务器,并且在利用预设安全通道传 送保密文档到该保密机构服务器中。而同时在另一网页上,浏览器可以接收其他服务器发 过来的首页数据(例如某某商城的网页首页数据)。
[0082] 下面请参看图2,是本发明提供的数据安全传输方法的实施过程图。
[0083] S1,检测浏览器账户是否属于高安全级别账户。
[0084] 每个使用浏览器(包括单核浏览器和双核浏览器)的用户都可以在浏览器上注册 相应的浏览器账户,以便于记录管理各自使用浏览器的历史信息。而对于浏览器账户来说, 是可以划分级别的,例如普通级别用户或者是VIP级别用户。
[0085] 作为一种可能的实现方式,浏览器账户包括以下一项或者多项登记信息:用户职 业(例如军人、政府官员、个体户、学生等等)、公司信息(例如公司名称、公司联系方式、公 司地址等等)、工作地址、家庭住址、联系方式、身份证信息。
[0086] 当统计了浏览器账户中的以上一项或者多项登记信息之后,便可以基于所述浏览 器账户的登记信息检测所述浏览器账户是否属于高安全级别账户。例如若检测到登记信息 中的用户职业填写的是政府官员,那么则表示该浏览器账户属于高安全级别账户,该浏览 器账户的传输的数据需要保证传输安全。当然,也可以使用上面的两项(例如综合判断用 户职业、工作地址)或者几项(例如用户职业、工作地址、身份证信息)进行综合判断。
[0087] 作为一种可能的实现方式,在检测浏览器账户是否属于高安全级别账户时,可以 先获得所述浏览器账户的安全级别;然后检测浏览器账户的安全级别是否高于安全级别阈 值;若所述浏览器账户的安全级别高于所述安全级别阈值,则表明浏览器账户是属于高安 全级别账户。举例来说,所有的浏览器账户的安全级别都可以按照以上登记信息确定安全 级别。若将所有的浏览器账户的安全级别划分为5级,具体如下:1级(表示安全级别最 低),2级,3级,4级,5级(表示安全级别最高)。若将安全级别阈值设为3级,若检测到本 发明实施例中浏览器账户的安全级别为5级,则会进一步检测其是否高于安全级别阈值(3 级),若高于3级,则表示浏览器账户的安全级别属于高安全级别账户。在实际应用中,而预 设安全阈值也可以根据以上登记信息综合判定获得。另外应当注意的是,此处举例仅用于 说明和解释本发明,而不作为本发明的限制举例,本发明也可以使用其他方式进行举例,例 如利用字符、符号、字母、文字等等表示级别,此也应当处于本发明的保护范围之内。
[0088] 作为一种可能的实现方式,在检测浏览器账户是否属于高安全级别账户时,可以 先获得所述浏览器账户的安全级别;然后基于所述浏览器账户的安全级别检测所述浏览器 账户是否属于高安全级别账户。例如直接检测浏览器账户的安全级别是否属于所述预设安 全级别;若所述浏览器账户的安全级别属于所述预设安全级别,则表明所述浏览器账户的 安全级别属于高安全级别账户。和上述举例类似,本发明将所有的浏览器账户的安全级别 划分为5级,将预设安全级别定为3级及以上。若本发明的浏览器账户的安全级别为4级, 那么就表示浏览器账户的安全级别属于高安全级别账户。
[0089] 作为一种可能的实现方式,在检测浏览器账户是否属于高安全级别账户时,可以 检测所述浏览器账户是否存在于记载有所述高安全级别账户的第一白名单中;若所述浏览 器账户存在于所述第一白名单中,则表明所述浏览器账户属于所述高安全级别账户。
[0090] 具体来说,第一白名单上记载的是到目前为止获得(主动全网搜索或者被动接收 服务器发送)的所有高安全级别账户的信息,例如高安全级别账户的名称、高安全级别账 户的账号等等。因此,在获得浏览器账户之后,可以直接检测所述浏览器账户的信息(例如 名称或者是账号)是否存在于记载有所述高安全账户的第一白名单中。若存在则表示浏览 器账户属于所述高安全级别账户。
[0091] 另外,第一白名单可以有表格、列表、数据库等等多种表现形式。关于第一白名单 的更新,本发明实施例也提供了多种更新方式。例如,可以实时对第一白名单进行搜索更 新,以便使第一白名单上的高安全级别账户保持最新版本供终端设备侧使用。当然,也可以 定时对其进行搜索更新,以便节约网络资源,例如每隔24小时便对第一白名单进行一次更 新。另外,还可以在接收到不在所述第一白名单上的其他高安全级别账户发送的记录请求 时,根据所述记录请求将所述其他高安全级别账户的信息更新到所述第一白名单上。例如: 不在第一白名单上的其他高安全级别账户的设备发送记录请求给终端设备,请求终端设备 将其记录在第一白名单上,并且发送自身的信息给终端设备,那么终端设备在接收到这一 记录请求之后,则会将其更新到第一白名单中。或者,终端设备接收到不在第一白名单上且 属于高安全级别账户的信息之后,就能够直接将其更新到第一白名单中。
[0092] 而对于所述网页数据来说,其可以是任意类型的数据或者数据组合。例如文档、文 件、视频、音频、图像等等数据。另外,网页数据可以是存储在浏览器本地随时等待调用的数 据,例如浏览器本地存储的文档等等。也可以是终端设备的浏览器从互联网中收集获得数 据,例如浏览器访问国外网站下载的图片等等。
[0093] S2,若检测出所述浏览器账户属于所述高安全级别账户,则判断通过所述浏览器 账户传输的网页数据对应的目标服务器是否支持建立预设安全通道接收所述网页数据。
[0094] 对于预设安全通道的定义是:所述预设安全通道是不同于超文本传输协议安全 https通道的另一类安全通道,例如国密通道。
[0095] 另外,所述预设安全通道的安全级别高于超文本传输协议https通道。例如国密 通道的安全性会高于https通道的安全性。国密通道,实际上是基于国密算法(SM2-SM4) 建立的数据传输通道,满足SSL (Secure Sockets Layer,安全套接层)数据安全协议。国密 算法是国家密码管理局推行发布的一套公钥密码算法,基于这类算法建立的数据传输通道 的安全性会比https通道的安全性高。
[0096] 具体来说,由于预设安全通道的安全性要比https通道的安全性高,因此在获得 网页数据之后,可以事先判断该网页数据是否需要使用预设安全通道(例如国密通道)传 输。如果网页数据需要使用预设安全通道传输,则进一步判定网页数据对应的目标服务器 (即:网页数据的最终到达地)是否支持建立预设安全通道接收所述网页数据。如果目标 服务器支持建立预设安全通