專利名稱:具有mime數(shù)據(jù)類型過濾技術(shù)的ssl代理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)軟件和信息安全軟件領(lǐng)域,尤其涉及一種具有MIME數(shù)據(jù)類型過濾技術(shù)的SSL代理方法。
背景技術(shù):
SSL(Secure Socket Layer Protocol)協(xié)議是一種加密傳輸技術(shù)協(xié)議,通過給對稱加密技術(shù)約定對稱密鑰,建立加密通道,經(jīng)過這個(gè)通道的信息均被加密。SSL代理即為實(shí)現(xiàn)SSL協(xié)議的信息加密轉(zhuǎn)發(fā)軟件。現(xiàn)有的SSL安全代理系統(tǒng)主要分成提供WEB服務(wù)的服務(wù)器端和由遠(yuǎn)程登錄用戶、商業(yè)伙伴和異地分支機(jī)構(gòu)等組成的用戶客戶端兩方面。其工作原理為1、當(dāng)瀏覽器與遠(yuǎn)程服務(wù)器建立SSL連接請求時(shí),其HTTPS請求被客戶端本地的瀏覽器代理捕獲,并與瀏覽器建立的SSL連接,所述低位通常為40位,并對數(shù)據(jù)解密,此為第一次加解密;2、SSL瀏覽器代理根據(jù)請求頭中的目標(biāo)主機(jī)地址,與遠(yuǎn)程的SSL服務(wù)器代理建立SSL連接,通常該連接為128位高密連接,此為第二次加解密;3、SSL服務(wù)器代理則與本地WEB應(yīng)用服務(wù)器建立明文連接,把由客戶端傳送過來的請求傳送至WEB服務(wù)器,并把WEB服務(wù)器的響應(yīng)傳回客戶端代理;4、客戶端代理再把WEB響應(yīng)傳送至瀏覽器。通過以上流程,用戶和WEB服務(wù)可以安全的傳輸數(shù)據(jù),進(jìn)行商業(yè)活動(dòng)。
在Internet網(wǎng)應(yīng)用中,人們使用最多的是通過瀏覽器瀏覽各類網(wǎng)站,進(jìn)行查詢資料、網(wǎng)上購物等各類活動(dòng)。在這些傳輸?shù)男畔⒅?,根?jù)其傳輸量,其有大約80%-90%的信息都是一些可以公開信息,如圖片、聲音等,只有10%-20%的信息是用戶的敏感信息,瀏覽器本身可以對所有信息進(jìn)行SSL安全保護(hù),但無法只對用戶的敏感信息進(jìn)行安全保護(hù)。這種情況的存在,使SSL代理系統(tǒng)必須進(jìn)行兩次加密解密,并且由于受HTTP1.0協(xié)議的限制,在瀏覽器中每一個(gè)資源都會(huì)產(chǎn)生一個(gè)SSL連接請求,如果一張網(wǎng)頁有100多個(gè)資源,那么就會(huì)產(chǎn)生100多個(gè)連接請求。上述兩個(gè)因素大大降低了SSL安全代理的數(shù)據(jù)傳輸性能。
因此如果通過SSL瀏覽器代理把那些不用保護(hù)的信息過濾掉,只對用戶敏感的信息進(jìn)行SSL安全保護(hù),其它信息不加密傳輸,這將大大提高SSL傳輸性能,其主要表現(xiàn)在對不用SSL安全保護(hù)的數(shù)據(jù)省略了一次加解密步驟;對不用SSL安全保護(hù)的數(shù)據(jù)省略了一次SSL連接。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出了一種具有多用途網(wǎng)絡(luò)郵件擴(kuò)展MIME(Multipurpose InternetMail Extensisions)數(shù)據(jù)類型過濾技術(shù)的SSL代理方法,利用對HTTP請求中MIME數(shù)據(jù)類型分析技術(shù),通過SSL瀏覽器代理及服務(wù)器代理的過濾策略配置,對不需要安全保護(hù)的信息不通過加密傳輸。
本發(fā)明是這樣實(shí)現(xiàn)的一種具有MIME數(shù)據(jù)類型過濾技術(shù)的SSL代理方法,所述方法在SSL客戶端代理和SSL服務(wù)端代理兩端各增加一個(gè)策略過濾模塊以及在SSL客戶端和SSL服務(wù)端之間建立一條非加密數(shù)據(jù)通道;其中所述策略過濾模塊對HTTP請求中的MIME數(shù)據(jù)類型進(jìn)行分析以判斷所傳輸?shù)男畔⑹欠裥枰猄SL安全保護(hù),所述方法包括SSL客戶端代理工作流程和SSL服務(wù)端代理工作流程,所述兩個(gè)流程之間完成數(shù)據(jù)的交互傳輸。
其中,所述SSL客戶端代理工作流程包括以下步驟a.用戶通過客戶端本地的瀏覽器發(fā)送HTTPS請求;b.客戶端本地的瀏覽器代理捕獲HTTPS請求,并和瀏覽器建立低密的SSL連接,對數(shù)據(jù)和HTTPS請求解密;c.客戶端策略過濾模塊對每一個(gè)請求中的MIME數(shù)據(jù)類型進(jìn)行分析,判斷該請求是否需要SSL安全保護(hù),如果需要SSL安全保護(hù),則客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立高位的SSL連接,到步驟e;如果不需要安全保護(hù),則客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立非安全連接,并發(fā)送HTTP請求頭;d.在客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立非安全連接后,如果客戶端SSL瀏覽器代理收到由SSL服務(wù)端代理所返回的拒絕服務(wù)響應(yīng),則表明所傳輸?shù)臄?shù)據(jù)在服務(wù)端策略配置中需要SSL安全保護(hù),客戶端SSL瀏覽器代理重新與遠(yuǎn)程服務(wù)端建立高位的SSL安全連接;如果客戶端SSL瀏覽器代理收到SSL服務(wù)端代理所返回的非拒絕服務(wù)響應(yīng),則客戶端SSL瀏覽器代理通過非加密的安全通道與SSL服務(wù)端代理進(jìn)行數(shù)據(jù)交互,到步驟f;e.客戶端SSL瀏覽器代理判斷高位的SSL安全連接是否成功;如果連接成功,則客戶端SSL瀏覽器代理通過加密的安全通道與SSL服務(wù)端代理進(jìn)行數(shù)據(jù)交互,到步驟f;如果連接失敗,則返回錯(cuò)誤響應(yīng),結(jié)束此次安全連接;f.結(jié)束此次數(shù)據(jù)交互。
其中,SSL服務(wù)端代理工作流程包括以下步驟a.SSL服務(wù)端代理的通信模塊偵聽外部請求,當(dāng)收到客戶端SSL瀏覽器代理發(fā)出的請求,判斷其請求的前5個(gè)字節(jié),如果不是標(biāo)準(zhǔn)的HTTP請求頭,到步驟b;如果是標(biāo)準(zhǔn)的HTTP請求頭,則判斷出客戶端使用非加密安全通道,則到步驟c;b.SSL服務(wù)端代理和遠(yuǎn)程客戶端建立SSL安全連接,并解密所傳輸?shù)臄?shù)據(jù)內(nèi)容,將所述請求轉(zhuǎn)發(fā)到web服務(wù)器,到步驟e;c.調(diào)用服務(wù)端代理的策略過濾模塊,服務(wù)端策略過濾模塊分析所述請求中的MIME數(shù)據(jù)類型,判斷是否需要SSL安全保護(hù),如果需要SSL安全保護(hù),則到步驟f;如果不需要SSL安全保護(hù),到步驟d;d.SSL服務(wù)端代理返回非拒絕服務(wù)響應(yīng)給SSL客戶端代理,并通知通信模塊把請求轉(zhuǎn)發(fā)給本地web服務(wù)器,與其進(jìn)行數(shù)據(jù)交互;e.web服務(wù)器處理所述請求,并返回響應(yīng)通過安全通道加密后傳送給客戶端,到步驟g;f.服務(wù)端策略過濾模塊通知通信模塊返回拒絕服務(wù)響應(yīng)給客戶端;g.結(jié)束此次數(shù)據(jù)交互。
本發(fā)明的顯著效果是提高SSL安全代理的數(shù)據(jù)轉(zhuǎn)輸性能,每一條不受安全保護(hù)的資源可以比原來提高60%。這里提高的性能只是針對不需要安全保護(hù)的資源,如果一張網(wǎng)頁中所有資源都需要保護(hù),則提高的程度為0。
圖1為使用MIME數(shù)據(jù)類型過濾技術(shù)的SSL客戶端處理流程。
圖2為使用MIME數(shù)據(jù)類型過濾技術(shù)的SSL服務(wù)端處理流程。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)說明。
一種具有MIME數(shù)據(jù)類型過濾技術(shù)的SSL代理方法,所述方法在SSL客戶端代理和SSL服務(wù)端代理兩端各增加一個(gè)策略過濾模塊以及在SSL客戶端和SSL服務(wù)端之間建立一條非加密數(shù)據(jù)通道;其中所述策略過濾模塊對HTTP請求中的MIME數(shù)據(jù)類型進(jìn)行分析以判斷所傳輸?shù)男畔⑹欠裥枰猄SL安全保護(hù),所述方法包括SSL客戶端代理工作流程和SSL服務(wù)端代理工作流程,所述兩個(gè)流程之間完成數(shù)據(jù)的交互傳輸。
如圖1所示,所述SSL客戶端代理工作流程包括以下步驟a.用戶通過客戶端本地的瀏覽器發(fā)送HTTPS請求;b.客戶端本地的瀏覽器代理捕獲HTTPS請求,并和瀏覽器建立低密的SSL連接,對數(shù)據(jù)和HTTPS請求解密;c.客戶端策略過濾模塊對每一個(gè)HTTP請求中的MIME數(shù)據(jù)類型進(jìn)行分析,判斷該請求是否需要SSL安全保護(hù),客戶端的過濾策略由用戶自行配置,一般都初始設(shè)置為圖片文件、聲音文件,例如以下為一個(gè)典型的HTTP請求頭GET/shgaca/images/top2.GIF HTTP/1.1Accept*/*Refererhttp//shy/shgaca/ui/top.htmAccept-Languagezh-cnAccept-Encodinggzip,deflateIf-Modified-SinceMon,25 Dec 2000 053214 GMTIf-None-Match"083509346ec01909"User-AgentMozilla/4.0(compatible;MSIE 5.01;Windows NT 5.0)HostshyConnectionKeep-Alive客戶端策略過濾模塊對top2GIF進(jìn)行判斷,決定是否需要SSL安全保護(hù),客戶端策略過濾模塊只判斷請求文件的具體類型,如GIF、JPG、MID等;如果需要SSL安全保護(hù),則客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立高位的SSL連接,通常為128位,到步驟e;如果不需要安全保護(hù),則客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立非安全連接,并發(fā)送HTTP請求頭;
d.在客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立非安全連接后,如果客戶端SSL瀏覽器代理收到由SSL服務(wù)端代理所返回的拒絕服務(wù)響應(yīng),則表明所傳輸?shù)臄?shù)據(jù)在服務(wù)端策略配置中需要SSL安全保護(hù),客戶端SSL瀏覽器代理重新與遠(yuǎn)程服務(wù)端建立高位的SSL安全連接;如果客戶端SSL瀏覽器代理收到SSL服務(wù)端代理所返回的非拒絕服務(wù)響應(yīng),則客戶端SSL瀏覽器代理通過非加密的安全通道與SSL服務(wù)端代理進(jìn)行數(shù)據(jù)交互,所述通道與SSL安全通道共同占用服務(wù)端的一個(gè)端口,通常為443,到步驟f;e.客戶端SSL瀏覽器代理判斷高位的SSL安全連接是否成功;如果連接成功,則客戶端SSL瀏覽器代理通過加密的安全通道與SSL服務(wù)端代理進(jìn)行數(shù)據(jù)交互,到步驟f;如果連接失敗,則返回錯(cuò)誤響應(yīng),結(jié)束此次安全連接;f.結(jié)束此次數(shù)據(jù)交互。
如圖2所示,SSL服務(wù)端代理工作流程包括以下步驟a.SSL服務(wù)端代理的通信模塊偵聽外部請求,當(dāng)收到客戶端SSL瀏覽器代理發(fā)出的請求,判斷其請求的前5個(gè)字節(jié),如果不是標(biāo)準(zhǔn)的HTTP請求頭,到步驟b;如果是標(biāo)準(zhǔn)的HTTP請求頭,如GET、POST等,則判斷出客戶端使用非加密安全通道,則到步驟c;服務(wù)端的過濾策略配置是為了防止用戶通過非安全通道訪問需要安全保護(hù)的網(wǎng)絡(luò)資源,配置項(xiàng)由管理員自行配置,服務(wù)端策略過濾模塊可以根據(jù)配置細(xì)化到某一個(gè)文件;b.SSL服務(wù)端代理和遠(yuǎn)程客戶端建立SSL安全連接,并解密所傳輸?shù)臄?shù)據(jù)內(nèi)容,將所述請求轉(zhuǎn)發(fā)到web服務(wù)器,到步驟e;c.調(diào)用服務(wù)端代理的策略過濾模塊,服務(wù)端策略過濾模塊分析所述請求中的MIME數(shù)據(jù)類型,與上述客戶端策略過濾模塊一樣,對HTTP請求頭的top2.GIF進(jìn)行判斷,已決定是否需要SSL安全保護(hù),服務(wù)端策略過濾模塊對HTTP請求頭的判斷可根據(jù)配置西化到一個(gè)具體文件;服務(wù)端的過濾策略配置主要是為了防止用戶通過非安全通道訪問需要安全保護(hù)的網(wǎng)絡(luò)資源,配置項(xiàng)由管理員自行配置;如果需要SSL安全保護(hù),則到步驟f;如果不需要SSL安全保護(hù),到步驟d;d.SSL服務(wù)端代理返回非拒絕服務(wù)響應(yīng)給SSL客戶端代理,并通知通信模塊把請求轉(zhuǎn)發(fā)給本地web服務(wù)器,與其進(jìn)行數(shù)據(jù)交互;
e.web服務(wù)器處理所述請求,并返回響應(yīng)通過安全通道加密后傳送給客戶端,到步驟g;f.服務(wù)端策略過濾模塊通知通信模塊返回拒絕服務(wù)響應(yīng)給客戶端;g.結(jié)束此次數(shù)據(jù)交互。
權(quán)利要求
1.一種具有MIME數(shù)據(jù)類型過濾技術(shù)的SSL代理方法,其特征在于,在SSL客戶端代理和SSL服務(wù)端代理兩端各增加一個(gè)策略過濾模塊以及在SSL客戶端和SSL服務(wù)端之間建立一條非加密數(shù)據(jù)通道;所述策略過濾模塊對HTTP請求中的MIME數(shù)據(jù)類型進(jìn)行分析以判斷所傳輸?shù)男畔⑹欠裥枰猄SL安全保護(hù),所述方法包括SSL客戶端代理工作流程和SSL服務(wù)端代理工作流程,所述兩個(gè)流程之間完成數(shù)據(jù)的交互傳輸。
2.根據(jù)權(quán)利要求1所述的方法,其進(jìn)一步特征在于,SSL客戶端代理工作流程包括以下步驟a.用戶通過客戶端本地的瀏覽器發(fā)送HTTPS請求;b.客戶端本地的瀏覽器代理捕獲HTTPS請求,并和瀏覽器建立低密的SSL連接,對數(shù)據(jù)和請求解密;c.客戶端策略過濾模塊對每一個(gè)請求中的MIME數(shù)據(jù)類型進(jìn)行分析,判斷該請求是否需要SSL安全保護(hù),如果需要SSL安全保護(hù),則客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立高位的SSL連接,到步驟e;如果不需要安全保護(hù),則客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立非安全連接,并發(fā)送HTTP請求頭;d.在客戶端SSL瀏覽器代理與遠(yuǎn)端SSL服務(wù)器代理建立非安全連接后,如果客戶端SSL瀏覽器代理收到由SSL服務(wù)端代理所返回的拒絕服務(wù)響應(yīng),則表明所傳輸?shù)臄?shù)據(jù)在服務(wù)端策略配置中需要SSL安全保護(hù),客戶端SSL瀏覽器代理重新與遠(yuǎn)程服務(wù)端建立高位的SSL安全連接;如果客戶端SSL瀏覽器代理收到SSL服務(wù)端代理所返回的非拒絕服務(wù)響應(yīng),則客戶端SSL瀏覽器代理通過非加密的安全通道與SSL服務(wù)端代理進(jìn)行數(shù)據(jù)交互,到步驟f;e.客戶端SSL瀏覽器代理判斷高位的SSL安全連接是否成功;如果連接成功,則客戶端SSL瀏覽器代理通過加密的安全通道與SSL服務(wù)端代理進(jìn)行數(shù)據(jù)交互,到步驟f;如果連接失敗,則返回錯(cuò)誤響應(yīng),結(jié)束此次安全連接;f.結(jié)束此次數(shù)據(jù)交互。
3.根據(jù)權(quán)利要求1所述的方法,其進(jìn)一步特征在于,SSL服務(wù)端代理工作流程包括以下步驟a.SSL服務(wù)端代理的通信模塊偵聽外部請求,當(dāng)收到客戶端SSL瀏覽器代理發(fā)出的請求,判斷其請求的前5個(gè)字節(jié),如果不是標(biāo)準(zhǔn)的HTTP請求頭,到步驟b;如果是標(biāo)準(zhǔn)的HTTP請求頭,則判斷出客戶端使用非加密安全通道,則到步驟c;b.SSL服務(wù)端代理和遠(yuǎn)程客戶端建立SSL安全連接,并解密所傳輸?shù)臄?shù)據(jù)內(nèi)容,將所述請求轉(zhuǎn)發(fā)到web服務(wù)器,到步驟e;c.調(diào)用服務(wù)端代理的策略過濾模塊,服務(wù)端策略過濾模塊分析所述請求中的MIME數(shù)據(jù)類型,判斷是否需要SSL安全保護(hù),如果需要SSL安全保護(hù),則到步驟f;如果不需要SSL安全保護(hù),到步驟d;d.SSL服務(wù)端代理返回非拒絕服務(wù)響應(yīng)給SSL客戶端代理,并通知通信模塊把請求轉(zhuǎn)發(fā)給本地web服務(wù)器,與其進(jìn)行數(shù)據(jù)交互;e.web服務(wù)器處理所述請求,并返回響應(yīng)通過安全通道加密后傳送給客戶端,到步驟g;f.服務(wù)端策略過濾模塊通知通信模塊返回拒絕服務(wù)響應(yīng)給客戶端;g.結(jié)束此次數(shù)據(jù)交互。
全文摘要
本發(fā)明公開了一種計(jì)算機(jī)軟件和信息安全軟件領(lǐng)域中具有MIME數(shù)據(jù)類型過濾技術(shù)的SSL代理方法。在目前的SSL代理系統(tǒng)中,瀏覽器可對所有的信息進(jìn)行SSL安全保護(hù),但無法只對用戶的敏感信息進(jìn)行保護(hù),降低了SSL安全代理的數(shù)據(jù)傳輸性能。因此,本發(fā)明提出利用對HTTP請求中MIME數(shù)據(jù)類型分析,通過SSL瀏覽器代理及服務(wù)器代理的過濾策略配置,對不需要安全保護(hù)的信息不通過加密傳輸,大大提高了SSL安全代理的數(shù)據(jù)傳輸性能。
文檔編號G06F13/00GK1359074SQ0113234
公開日2002年7月17日 申請日期2001年11月29日 優(yōu)先權(quán)日2001年11月29日
發(fā)明者顧偉, 史晶民 申請人:上海格爾軟件股份有限公司