System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 支持本地密码机的HTTP消息透明安全处理系统及方法技术方案_技高网
当前位置: 首页 > 专利查询>中国电子科技集团公司第十五研究所专利>正文

支持本地密码机的HTTP消息透明安全处理系统及方法技术方案

技术编号:42606018 阅读:9 留言:0更新日期:2024-09-03 18:15
本发明专利技术公开了支持本地密码机的HTTP消息透明安全处理系统及方法,涉及软件设计开发技术领域,该系统包括:客户端和服务器端,客户端和服务器端中均包括:内核拦截模块、HTTP代理服务模块和密码服务中间件;HTTP代理服务模块中又包括:HTTP消息处理模块和安全处理组件。应用时,客户端发起HTTP调用,HTTP消息经上述模块处理形成HTTP密文通过网络被发送至服务器端,服务器端的HTTP消息经上述模块处理将HTTP密文还原为HTTP明文提交至服务提供者;使用本发明专利技术,可以实现通过调用本地密码机对拦截的HTTP消息进行安全处理,并且可以实现以业务应用完全透明的方式拦截业务应用收发的HTTP消息。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及软件设计开发,更具体的说是涉及一种支持本地密码机的http消息透明安全处理系统及方法。


技术介绍

1、目前,对http消息的安全处理,一般通过https协议来实现。https是由http加上tls/ssl协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成http数据传输加密,实现http数据传输安全保护。https主要由两部分组成:http+ssl/tls,也就在在http上又加了一层处理加密信息的模块。服务端和客户端的在进行信息传输之前都会协商出一个会话密钥,之后传递的http报文数据都会基于该会话密钥进行加密。

2、对http消息的拦截,一般可以采用j2ee规范中定义的过滤器(filter)实现。filter是j2ee标准规范内容,javaweb应用均支持filter。filter与servlet相似,也是web应用程序组件,可以绑定到一个web应用程序中。但是与其它web应用程序组件不同的是,filter在容器中是链状调用关系的,它们在servlet处理器之前启动执行,外部的http请求消息到达后,首先经过filter链,处理后才会传递给servlet,响应消息则相反,从而filter可以监测与修改请求/响应消息。filter的另一个好处是不需要web应用重新编译代码,只需要简单的配置即可实现filter的加载。

3、为了解决http消息安全传输问题,目前业界常用的就是将http协议替换为https协议来实现,这种技术实现方式简单、应用也较为广泛,但存在一个明显的缺陷就是https对于非商用的密码算法支持度较差,无法方便友好地实现集成。特别是在面向特定的项目中,应用服务器往往配备了一台本地密码机(或本地密码模块),http消息安全处理往往要调用本地的密码机,密码机中的密码算法也都是非商用密码算法,这时候https显得就有点力不从心了。

4、另外,由于无法通过https调用本地密码机来实现http的安全处理,大多数情况下,在典型的j2ee项目中,往往会在业务中显式地声明一个filter,在filter中手动调用本地密码机对http消息中的body内容进行安全处理,业务代码中增加了大量和业务本身无关的代码,大大增加了业务代码的复杂性。

5、因此,亟需提供一种支持本地密码机的安全处理系统,可以调用本地密码机对拦截的http消息进行安全处理,并且可以实现以业务应用完全透明的方式拦截业务应用收发的http消息。


技术实现思路

1、有鉴于此,本专利技术提供至少解决上述部分技术问题的一种支持本地密码机的http消息透明安全处理系统及方法,使用本专利技术,一方面可以实现通过调用本地密码机对拦截的http消息进行安全处理,另一方面可以实现以业务应用完全透明的方式拦截业务应用收发的http消息。

2、为实现上述目的,本专利技术采取的技术方案为:

3、第一方面,本专利技术提供一种支持本地密码机的http消息透明安全处理系统,包括:客户端和服务器端,所述客户端和服务器端均包括:内核拦截模块、http代理服务模块和密码服务中间件;所述http代理服务模块包括:http消息处理模块和安全处理组件;其中:

4、在所述客户端,内核拦截模块用于拦截http消息,并依据拦截策略,将http消息重定向至http代理服务模块;http代理服务模块接收http消息,其中的http消息处理模块用于提取出http明文消息,并调用安全处理组件对http明文消息进行安全处理,安全处理的接口由密码服务中间件提供,密码服务中间件调用本地密码机实现密码算法处理逻辑;http明文消息处理完成后形成http密文,http代理服务模块将http密文发出,内核拦截模块再次将该消息拦下,依据拦截策略,该http密文通过网络发送至服务器端;

5、在所述服务器端,内核拦截模块用于拦截http密文,并依据拦截策略,将http密文重定向至http代理服务模块;http代理服务模块接收http密文,其中的http消息处理模块用于提取出http密文消息,并调用安全处理组件对http密文消息进行安全处理,安全处理的接口由密码服务中间件提供,密码服务中间件调用本地密码机实现密码算法处理逻辑;http密文消息处理完成后形成http明文,http代理服务模块将http明文发出,内核拦截模块再次将该消息拦下,依据拦截策略,该http明文被发送至服务器。

6、优选的,该系统中,http消息通过tcp连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。

7、优选的,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。

8、优选的,内核拦截模块对http消息最终使用的tcp连接的相应数据包进行拦截和重定向;客户端与服务器端之间的tcp连接,被拦截篡改后形成三个tcp连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;http消息从客户端依次经过以上三个连接到达服务器。

9、优选的,内核拦截模块的拦截处理分为三个阶段,具体为:

10、1)客户端和客户端代理之间连接:客户端向服务器端发起tcp连接请求,内核拦截模块对数据包进行拦截后重定向给客户端代理,客户端代理接收该tcp连接请求,并完成三次握手与客户端建立tcp连接;

11、2)客户端代理和服务器端代理之间连接:客户端代理与客户端建立连接后,从接收到的http消息中提取服务器信息,然后向服务器端发送tcp连接请求;服务器端内核拦截模块对tcp连接请求进行拦截后重定向给服务器端代理,服务器端代理接收该tcp连接请求,并完成三次握手与客户端代理建立tcp连接;

12、3)服务器端代理和服务器端之间连接:服务器端代理与客户端代理建立连接后,从接收到的http消息中提取服务器信息,然后向服务器端发送tcp连接请求,服务器端与服务器端代理建立tcp连接。

13、优选的,所述密码服务中间件通过插件化形式集成本地密码机,不同密码机的接口库上层引入适配插件,各适配插件遵循统一的密码服务接口spi,并通过配置方式动态集成到密码服务中间件中。

14、第二方面,本专利技术还提供一种支持本地密码机的http消息透明安全处理方法,应用上述的一种支持本地密码机的http消息透明安全处理系统,进行http消息透明安全处理,该方法包括:

15、在客户端,通过内核拦截模块拦截http消息,并依据拦截策略,将http消息重定向至http代理服务模块;http代理服务模块接收http消息,通过其中的http消息处理模块提取出http明文消息,并调用安全处理组件对http明文本文档来自技高网...

【技术保护点】

1.一种支持本地密码机的HTTP消息透明安全处理系统,包括:客户端和服务器端,其特征在于,所述客户端和服务器端均包括:内核拦截模块、HTTP代理服务模块和密码服务中间件;所述HTTP代理服务模块包括:HTTP消息处理模块和安全处理组件;其中:

2.根据权利要求1所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,该系统中,HTTP消息通过TCP连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。

3.根据权利要求2所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。

4.根据权利要求3所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,内核拦截模块对HTTP消息最终使用的TCP连接的相应数据包进行拦截和重定向;客户端与服务器端之间的TCP连接,被拦截篡改后形成三个TCP连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;HTTP消息从客户端依次经过以上三个连接到达服务器。

5.根据权利要求4所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,内核拦截模块的拦截处理分为三个阶段,具体为:

6.根据权利要求1所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,所述密码服务中间件通过插件化形式集成本地密码机,不同密码机的接口库上层引入适配插件,各适配插件遵循统一的密码服务接口SPI,并通过配置方式动态集成到密码服务中间件中。

7.一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,应用如权利要求1所述的一种支持本地密码机的HTTP消息透明安全处理系统,进行HTTP消息透明安全处理,该方法包括:

8.根据权利要求7所述的一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,HTTP消息通过TCP连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。

9.根据权利要求8所述的一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。

10.根据权利要求9所述的一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,内核拦截模块对HTTP消息最终使用的TCP连接的相应数据包进行拦截和重定向;客户端与服务器端之间的TCP连接,被拦截篡改后形成三个TCP连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;HTTP消息从客户端依次经过以上三个连接到达服务器。

...

【技术特征摘要】

1.一种支持本地密码机的http消息透明安全处理系统,包括:客户端和服务器端,其特征在于,所述客户端和服务器端均包括:内核拦截模块、http代理服务模块和密码服务中间件;所述http代理服务模块包括:http消息处理模块和安全处理组件;其中:

2.根据权利要求1所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,该系统中,http消息通过tcp连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。

3.根据权利要求2所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。

4.根据权利要求3所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,内核拦截模块对http消息最终使用的tcp连接的相应数据包进行拦截和重定向;客户端与服务器端之间的tcp连接,被拦截篡改后形成三个tcp连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;http消息从客户端依次经过以上三个连接到达服务器。

5.根据权利要求4所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,内核拦截模块的拦截处理分为三个阶段,具体为:

6.根据权利要求1所...

【专利技术属性】
技术研发人员:李晓永张春荣王祥根
申请(专利权)人:中国电子科技集团公司第十五研究所
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有