System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及软件设计开发,更具体的说是涉及一种支持本地密码机的http消息透明安全处理系统及方法。
技术介绍
1、目前,对http消息的安全处理,一般通过https协议来实现。https是由http加上tls/ssl协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成http数据传输加密,实现http数据传输安全保护。https主要由两部分组成:http+ssl/tls,也就在在http上又加了一层处理加密信息的模块。服务端和客户端的在进行信息传输之前都会协商出一个会话密钥,之后传递的http报文数据都会基于该会话密钥进行加密。
2、对http消息的拦截,一般可以采用j2ee规范中定义的过滤器(filter)实现。filter是j2ee标准规范内容,javaweb应用均支持filter。filter与servlet相似,也是web应用程序组件,可以绑定到一个web应用程序中。但是与其它web应用程序组件不同的是,filter在容器中是链状调用关系的,它们在servlet处理器之前启动执行,外部的http请求消息到达后,首先经过filter链,处理后才会传递给servlet,响应消息则相反,从而filter可以监测与修改请求/响应消息。filter的另一个好处是不需要web应用重新编译代码,只需要简单的配置即可实现filter的加载。
3、为了解决http消息安全传输问题,目前业界常用的就是将http协议替换为https协议来实现,这种技术实现方式简单、应用也较为
4、另外,由于无法通过https调用本地密码机来实现http的安全处理,大多数情况下,在典型的j2ee项目中,往往会在业务中显式地声明一个filter,在filter中手动调用本地密码机对http消息中的body内容进行安全处理,业务代码中增加了大量和业务本身无关的代码,大大增加了业务代码的复杂性。
5、因此,亟需提供一种支持本地密码机的安全处理系统,可以调用本地密码机对拦截的http消息进行安全处理,并且可以实现以业务应用完全透明的方式拦截业务应用收发的http消息。
技术实现思路
1、有鉴于此,本专利技术提供至少解决上述部分技术问题的一种支持本地密码机的http消息透明安全处理系统及方法,使用本专利技术,一方面可以实现通过调用本地密码机对拦截的http消息进行安全处理,另一方面可以实现以业务应用完全透明的方式拦截业务应用收发的http消息。
2、为实现上述目的,本专利技术采取的技术方案为:
3、第一方面,本专利技术提供一种支持本地密码机的http消息透明安全处理系统,包括:客户端和服务器端,所述客户端和服务器端均包括:内核拦截模块、http代理服务模块和密码服务中间件;所述http代理服务模块包括:http消息处理模块和安全处理组件;其中:
4、在所述客户端,内核拦截模块用于拦截http消息,并依据拦截策略,将http消息重定向至http代理服务模块;http代理服务模块接收http消息,其中的http消息处理模块用于提取出http明文消息,并调用安全处理组件对http明文消息进行安全处理,安全处理的接口由密码服务中间件提供,密码服务中间件调用本地密码机实现密码算法处理逻辑;http明文消息处理完成后形成http密文,http代理服务模块将http密文发出,内核拦截模块再次将该消息拦下,依据拦截策略,该http密文通过网络发送至服务器端;
5、在所述服务器端,内核拦截模块用于拦截http密文,并依据拦截策略,将http密文重定向至http代理服务模块;http代理服务模块接收http密文,其中的http消息处理模块用于提取出http密文消息,并调用安全处理组件对http密文消息进行安全处理,安全处理的接口由密码服务中间件提供,密码服务中间件调用本地密码机实现密码算法处理逻辑;http密文消息处理完成后形成http明文,http代理服务模块将http明文发出,内核拦截模块再次将该消息拦下,依据拦截策略,该http明文被发送至服务器。
6、优选的,该系统中,http消息通过tcp连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。
7、优选的,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。
8、优选的,内核拦截模块对http消息最终使用的tcp连接的相应数据包进行拦截和重定向;客户端与服务器端之间的tcp连接,被拦截篡改后形成三个tcp连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;http消息从客户端依次经过以上三个连接到达服务器。
9、优选的,内核拦截模块的拦截处理分为三个阶段,具体为:
10、1)客户端和客户端代理之间连接:客户端向服务器端发起tcp连接请求,内核拦截模块对数据包进行拦截后重定向给客户端代理,客户端代理接收该tcp连接请求,并完成三次握手与客户端建立tcp连接;
11、2)客户端代理和服务器端代理之间连接:客户端代理与客户端建立连接后,从接收到的http消息中提取服务器信息,然后向服务器端发送tcp连接请求;服务器端内核拦截模块对tcp连接请求进行拦截后重定向给服务器端代理,服务器端代理接收该tcp连接请求,并完成三次握手与客户端代理建立tcp连接;
12、3)服务器端代理和服务器端之间连接:服务器端代理与客户端代理建立连接后,从接收到的http消息中提取服务器信息,然后向服务器端发送tcp连接请求,服务器端与服务器端代理建立tcp连接。
13、优选的,所述密码服务中间件通过插件化形式集成本地密码机,不同密码机的接口库上层引入适配插件,各适配插件遵循统一的密码服务接口spi,并通过配置方式动态集成到密码服务中间件中。
14、第二方面,本专利技术还提供一种支持本地密码机的http消息透明安全处理方法,应用上述的一种支持本地密码机的http消息透明安全处理系统,进行http消息透明安全处理,该方法包括:
15、在客户端,通过内核拦截模块拦截http消息,并依据拦截策略,将http消息重定向至http代理服务模块;http代理服务模块接收http消息,通过其中的http消息处理模块提取出http明文消息,并调用安全处理组件对http明文本文档来自技高网...
【技术保护点】
1.一种支持本地密码机的HTTP消息透明安全处理系统,包括:客户端和服务器端,其特征在于,所述客户端和服务器端均包括:内核拦截模块、HTTP代理服务模块和密码服务中间件;所述HTTP代理服务模块包括:HTTP消息处理模块和安全处理组件;其中:
2.根据权利要求1所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,该系统中,HTTP消息通过TCP连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。
3.根据权利要求2所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。
4.根据权利要求3所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,内核拦截模块对HTTP消息最终使用的TCP连接的相应数据包进行拦截和重定向;客户端与服务器端之间的TC
5.根据权利要求4所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,内核拦截模块的拦截处理分为三个阶段,具体为:
6.根据权利要求1所述的一种支持本地密码机的HTTP消息透明安全处理系统,其特征在于,所述密码服务中间件通过插件化形式集成本地密码机,不同密码机的接口库上层引入适配插件,各适配插件遵循统一的密码服务接口SPI,并通过配置方式动态集成到密码服务中间件中。
7.一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,应用如权利要求1所述的一种支持本地密码机的HTTP消息透明安全处理系统,进行HTTP消息透明安全处理,该方法包括:
8.根据权利要求7所述的一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,HTTP消息通过TCP连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。
9.根据权利要求8所述的一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有TCP数据包进行拦截,并将这些数据包重定向至第二预设端口。
10.根据权利要求9所述的一种支持本地密码机的HTTP消息透明安全处理方法,其特征在于,内核拦截模块对HTTP消息最终使用的TCP连接的相应数据包进行拦截和重定向;客户端与服务器端之间的TCP连接,被拦截篡改后形成三个TCP连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;HTTP消息从客户端依次经过以上三个连接到达服务器。
...【技术特征摘要】
1.一种支持本地密码机的http消息透明安全处理系统,包括:客户端和服务器端,其特征在于,所述客户端和服务器端均包括:内核拦截模块、http代理服务模块和密码服务中间件;所述http代理服务模块包括:http消息处理模块和安全处理组件;其中:
2.根据权利要求1所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,该系统中,http消息通过tcp连接传输,在所述客户端,核拦截模块的拦截策略为:对本机发出的所有源端口号在预设区间并且目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。
3.根据权利要求2所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,在所述服务器端,核拦截模块的拦截策略为:对本机接收的所有目的端口号是第一预设端口的所有tcp数据包进行拦截,并将这些数据包重定向至第二预设端口。
4.根据权利要求3所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,内核拦截模块对http消息最终使用的tcp连接的相应数据包进行拦截和重定向;客户端与服务器端之间的tcp连接,被拦截篡改后形成三个tcp连接,即客户端和客户端代理之间的连接、客户端代理和服务器端代理之间的连接、服务器端代理和服务器端之间的连接;http消息从客户端依次经过以上三个连接到达服务器。
5.根据权利要求4所述的一种支持本地密码机的http消息透明安全处理系统,其特征在于,内核拦截模块的拦截处理分为三个阶段,具体为:
6.根据权利要求1所...
【专利技术属性】
技术研发人员:李晓永,张春荣,王祥根,
申请(专利权)人:中国电子科技集团公司第十五研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。