目标服务器是否支持建立预设安全通道来接收待发送文 本数据)。
[0087] 白名单上记载的是到目前为止获得(主动全网搜索或者被动接收服务器发送)的 支持所述预设安全通道的服务器的特征信息。也就是说,白名单上除了记载有待发送文本 数据对应的目标服务器之外,还记载了支持所述预设安全通道的其他目标服务器的特征信 息。
[0088] 白名单可以有表格、列表、数据库等等多种表现形式。下面请参看表1,是本发明以 表格的形式列举的白名单上记载的部分目标服务器的特征信息。
[0089]
[0090]表1
[0091] 应当注意的是,除了表格以外,白名单上还可以有其他表现形式,这些表现形式也 应当属于本发明的保护范围之内。
[0092] -般来说,白名单存储在终端设备侧。关于白名单的更新,本发明实施例也提供了 多种更新方式,具体请参看下面的介绍。
[0093] 终端设备可以对白名单实时更新。每当发现不在白名单上且支持所述预设安全通 道的其他服务器(既支持所述预设安全通道又没有在白名单上的服务器),都可以立即将 其对应的特征信息更新到白名单中,以提高白名单一直保持最新版本供终端设备侧使用。
[0094] 而为了节约网络资源,终端设备还可以定时对白名单进行更新。例如每隔24小时 便对白名单进行一次更新。
[0095] 另外,还可以在获得不在白名单上且支持所述预设安全通道的其他服务器的特征 信息时,将所述其他服务器的特征信息加入所述白名单进行更新。例如:不再白名单上且支 持预设安全通道银行服务器发送消息给终端设备,告知终端设备其可以支持建立预设安全 通道传输数据,并且发送了自身的特征信息给终端设备,那么终端设备接收到该消息之后, 则会将该银行服务器的特征信息更新到白名单中备用。或者,终端设备接收到不在白名单 上且支持预设安全通道的银行服务器的特征信息之后,就能够直接将该银行服务器的特征 信息更新到白名单中。
[0096] 而在判断所述目标服务器的特征信息是否存在白名单时,若所述目标服务器的特 征信息存在所述白名单中,则表示所述目标服务器支持建立所述预设安全通道接收待发送 文本数据。
[0097] 由于目标服务器的特征信息包括但不限于是:IP地址和/或接收端口。因此在具 体的判断过程中有以下几种方式:
[0098] 第一种方式:判断目标服务器的IP地址是否存在白名单中,若所述目标服务器的 IP地址存在所述白名单中,则表示所述目标服务器支持所述预设安全通道。例如目标服务 器A1的IP地址为118. 114. 168. 212。将其和白名单上的存储的IP地址进行对比,如果白 名单上存储有118. 114. 168. 212。那么就表示目标服务器A1的IP地址存在于白名单上,因 此目标服务器支持建立预设安全通道接收待发送文本数据。
[0099] 第二种方式:判断目标服务器的端口是否存在白名单中,若所述目标服务器的端 口存在所述白名单中,则表示所述目标服务器支持所述预设安全通道。例如目标服务器A1 端口为147。将其和白名单上的存储的端口进行对比,如果白名单上存储有147。那么就表 示目标服务器A1的端口存在于白名单上,因此目标服务器支持建立预设安全通道接收待 发送文本数据。
[0100] 第三种方式:判断目标服务器的IP地址和端口是否都存在于白名单中。如果目标 服务器的IP地址和端口都存在所述白名单中,则表示所述目标服务器支持所述预设安全 通道接收待发送文本数据。
[0101] 以上是基于所述目标服务器的特征信息判断对应的目标服务器是否支持建立预 设安全通道接收待发送文本数据的具体实施过程。
[0102] S3,若所述目标服务器支持建立所述预设安全通道接收所述待发送文本数据,则 将所述待发送文本数据发送给终端设备侧的代理装置,使所述代理装置建立所述预设安全 通道,然后利用所述预设安全通道转发所述待发送文本数据给所述目标服务器。
[0103] 作为一种可能的实现方式,在浏览器侧将待发送文本数据发送给内部的代理装置 时,可以将待发送文本数据使用密钥加密之后发送给所述代理装置。使用的加密密钥包括 但不限于是字符、数字、字母等等任一项或者几项组合。
[0104] 对于代理装置来说,其可以存在于浏览器内部,作为浏览器的组成部分,若是即时 通讯软件,那么代理装置便存在于即时通讯软件内部。另外,代理装置也可以作为独立的个 体存在于终端设备内部。代理装置接收到待发送文本数据之后,会使用对应的解密密钥进 行解密。
[0105] 代理装置侧默认接收到的待发送文本数据都需要使用预设安全通道发送。因此, 在接收到待发送文本数据之后,会建立预设安全通道,然后利用所述预设安全通道将待发 送文本数据转发给所述目标服务器。
[0106] 在实际应用中,代理装置能够完成以下功能(以国密通道为例):
[0107] (1)自动识别及操作国密USBKEY,支持多USBKEY,多证书选择。
[0108] (2)验证及显示国密证书链。
[0109] (3)管理国密白名单。
[0110] (4)协议嗅探等机制确定目标服务器是否为国密服务器,协议嗅探采用在基本 TCP连接上增加一次握手的方式实现。
[0111] (5)SM2/SM3/SM4 算法实现。
[0112] (6)国密SSL双向/双向连接建立。
[0113] (7)国密/商密SSL自主选择。
[0114] 因此,在建立预设安全通道时(以国密通道为例),会经历以下几个阶段:握手请 求阶段、代理装置验证阶段,目标服务器验证阶段。
[0115] 在握手请求阶段,代理装置先和目标服务器相互发送访问请求进行握手。握手完 毕后,代理装置向目标服务器发送SM2证书、自身的密钥交换消息以及握手完成消息;目标 服务器收到代理装置发送的握手完成消息后,发送自身的密钥交换消息给代理装置。然后 双方更换密码套件消息和结束消息;双方均收到对方的结束消息并通过验证后,表示通道 建立完成。双方可以使用约定的安全参数进行数据安全传输。
[0116] 当预设安全通道建立之后,代理装置则会利用所述预设安全通道转发所述待发送 文本数据。在转发时会以约定的安全参数(例如约定密钥)对待发送文本数据进行处理后 传输。
[0117] 目标服务器侧收到该待发送文本数据之后,则会使用约定的安全参数(例如约定 密钥)处理,然后得到待发送文本数据进行相应的后续处理。
[0118] 以上便是代理装置转发待发送文本数据的过程。而对于终端设备来说,还可以接 收所述代理装置利用所述预设安全通道转发过来的其他数据。
[0119] 在另一种可能的实现方式中,在所述基于所述目标服务器的特征信息判断所述目 标服务器是否支持建立预设安全通道接收所述待发送文本数据之后,若所述目标服务器不 支持建立预设安全通道接收所述待发送文本数据,使用所述htttps通道将所述待发送文 本数据直接发送给所述目标服务器。
[0120] 为了进一步提高数据传输的安全,而在使用所述htttps通道发送所述待发送文 本数据时,还可以对待发送文本数据事先进行加密,然后发送加密后的数据给所述目标服 务器。即:若所述目标服务器不支持建立所述预设安全通道接收所述待发送文本数据,对所 述待发送文本数据加密之后利用所述https通道发送给所述目标服务器。
[0121] 以上是本发明公开的处理数据的方法,为了解决现有的数据传输方式无法提高安 全性的问题,本发明首先检测待发送文本数据中是否包含特定数据,若所述待发送文本数 据中的数据包含所述特定数据,则判断待发送文本数据对应的目标服务器是否支持建立预 设安全通道接收所述待发送文本数据,如果支持,就利用终端设备侧的代理装置建立预设 安全通道传输待发送文本数据,由于浏览器发送给代理装置的待发送文本数据属于内部传 输,而在外部传输时(即代理装置建立预设安全通道传输待发送文本数据给目标服务器), 预设安全通道的安全级别高于所述https通道,因此可以提高数据传输的安全。
[0122] 进一步的,如果待发送文本数据对应的目标服务器不支持建立预设安全通道接收 所述待发送文本数据,本发明还可以https通道来传输待发送文本数据。由此可见,本发明 不但可以提高数据传输的安全,还可以兼容两种传输方式传输数据,传输方式灵活多变。
[0123] 而基于同一发明构思,下面的实施例提供一种终端设备。
[0124] 下面请参看图3,在本发明的另一种实施例,提供了一种终端设备,包括:
[0125] 检测模块301,用于检测待发送文本数据中是否包含特定数据;
[0126] 判断模块302,用于若所述待发送文本数据中的数据包含所述特定数据,则判断待 发送文本数据对应的目标服务器是否支持检测预设安全通道接收所述待发送文本数据,所 述预设安全通道是不同于超文本传输协议安全https通道的另一类安全通道,并且所述预 设安全通道的安全级别高于所述https通道;
[0127] 第一发送模块303,用于若所述目标服务器支持建立所述预设安全通道接收所述 待发送文本数据,则将所述待发送文本数据发送给终端设备侧的代理装置,使所述代理装 置建立所述预设安全通道,然后利用所述预设安全通道转发所述待发送文本数据给所述目 标服务器。
[0128] 作为一种可选的实施例,所述检测模块301具体用于检测所述待发送文本数据中 的字段是否包含敏感字段;若所述待发送文本数据中的字段包含有所述敏感字段,表明所 述待发送文本数据中包含所述特定数据。
[0129] 作为一种可选的实施例,所述检测模块301具体用于检测所述待发送文本数据中 的字段是否存在于本地存储的敏感词汇库中;若所