一種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法與體系的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法與體系。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展，當初被設(shè)計成擁有精簡內(nèi)核的互聯(lián)網(wǎng)已經(jīng)不再精簡，原本在邊緣的復(fù)雜功能開始向中心平移。在網(wǎng)絡(luò)內(nèi)部，存在著越來越多的網(wǎng)絡(luò)應(yīng)用或中間網(wǎng)絡(luò)設(shè)備，它們對網(wǎng)絡(luò)的運行具有重要的作用，例如:防火墻、入侵檢測系統(tǒng)等。大多數(shù)中間網(wǎng)絡(luò)設(shè)備需要訪問明文數(shù)據(jù)才能正常發(fā)揮作用。隨著近年來信息泄漏事件頻發(fā)，網(wǎng)絡(luò)內(nèi)容提供商越來越多地應(yīng)用加密傳輸協(xié)議來保護用戶的隱私。大多數(shù)加密傳輸協(xié)議在建立連接的握手階段協(xié)商會話密鑰，僅有交互的兩端知曉該密鑰，中間網(wǎng)絡(luò)設(shè)備無法獲得密鑰。因此，那些依賴明文數(shù)據(jù)的中間網(wǎng)絡(luò)設(shè)備將不能正常工作于應(yīng)用了加密傳輸協(xié)議的會話之上。
[0003]中間網(wǎng)絡(luò)設(shè)備若要解密數(shù)據(jù)，則需要獲取會話密鑰。為了保護用戶的隱私，在將會話密鑰分享給中間網(wǎng)絡(luò)設(shè)備時需要進行認證，在密鑰傳輸過程中也要應(yīng)用加密手段。考慮到在傳輸路徑中可能會有若干個中間網(wǎng)絡(luò)設(shè)備需要獲取密鑰用于解密，還需使用一種高效的加密傳輸方法。傳統(tǒng)的公私鑰加密方法使用一個公鑰和一個對應(yīng)的私鑰，這種加密方法在多個中間網(wǎng)絡(luò)設(shè)備的情況下會極其低效。屬性基加密是一種新型加密方法，其使用一個加密策略加密之后，可以被若干個不同的滿足該策略的私鑰解密，而該私鑰由解密者具有的若干屬性生成。
[0004]針對上述情況，現(xiàn)在廣泛使用一種代理程序來將加密的數(shù)據(jù)解密成明文供中間網(wǎng)絡(luò)設(shè)備處理，該代理偽裝成對端來完成協(xié)商密鑰，這種方法本質(zhì)上是一種中間人攻擊(Man-1n-The-Middle Attack)。即使這種方法被網(wǎng)絡(luò)運營商正當?shù)厥褂茫匀淮嬖诰薮蟮陌踩[患，而且其不具有通用性。

【發(fā)明內(nèi)容】

[0005]為了克服上述現(xiàn)有的矛盾和技術(shù)缺點，本發(fā)明的目的在于提供一種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法與體系，通過密鑰共享機制，允許網(wǎng)絡(luò)用戶向受信任的中間網(wǎng)絡(luò)設(shè)備共享自身會話密鑰，在保證通信安全性的同時允許受信中間服務(wù)通過讀取會話明文數(shù)據(jù)并提供高質(zhì)量網(wǎng)絡(luò)服務(wù)。
[0006]為了實現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是:
[0007]—種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法，互聯(lián)網(wǎng)用戶設(shè)備通過密鑰共享協(xié)議，向可信的中間網(wǎng)絡(luò)設(shè)備分享自身通信密鑰，從而允許可信的中間網(wǎng)絡(luò)設(shè)備獲取及修改明文通信數(shù)據(jù)。
[0008]所述中間網(wǎng)絡(luò)設(shè)備通過如下認證機制進行認證:
[0009]當中間網(wǎng)絡(luò)設(shè)備希望獲取用戶數(shù)據(jù)密鑰時，向用戶設(shè)備發(fā)送自身證書信息及目標處理操作，用戶設(shè)備接收到認證請求后，根據(jù)中間網(wǎng)絡(luò)設(shè)備提供的信息進行認證，判斷中間網(wǎng)絡(luò)設(shè)備身份是否偽造以及是否可信。
[0010]所述認證機制脫離具體網(wǎng)絡(luò)協(xié)議，在一段時間內(nèi)保持有效，從而能夠支持多種加密數(shù)據(jù)傳輸協(xié)議；所述目標處理操作為數(shù)據(jù)只讀或數(shù)據(jù)讀寫。
[0011]所述密鑰共享協(xié)議采用屬性基加密技術(shù)，允許用戶設(shè)備通過一次通信，向多個不同的中間網(wǎng)絡(luò)設(shè)備提供自身密鑰，同時保證通信安全并允許權(quán)限控制；用戶根據(jù)對中間網(wǎng)絡(luò)設(shè)備的信任情況，決定可以獲取會話密鑰的設(shè)備屬性關(guān)系，根據(jù)此屬性關(guān)系對將要共享的密鑰進行加密；密文通過原始會話路徑傳輸，所有中間網(wǎng)絡(luò)設(shè)備均能夠獲??；受信中間網(wǎng)絡(luò)設(shè)備通過自身屬性對應(yīng)的密鑰對密文進行解密，從而獲取密鑰內(nèi)容。
[0012]對流經(jīng)中間網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)進行分類，對目標加密數(shù)據(jù)進行追蹤；當中間網(wǎng)絡(luò)設(shè)備希望獲取某加密會話的明文數(shù)據(jù)時，向該明文數(shù)據(jù)所對應(yīng)的網(wǎng)絡(luò)用戶發(fā)起認證請求，并等待用戶提供自身密鑰；當通過密鑰共享協(xié)議獲取該會話對應(yīng)的加密密鑰后，通過數(shù)據(jù)解密模塊對此會話進行解密，并交由后續(xù)功能模塊進行處理。
[0013]所述用戶設(shè)備與本機網(wǎng)絡(luò)應(yīng)用進行交互，獲取應(yīng)用會話密鑰；用戶設(shè)備監(jiān)聽中間網(wǎng)絡(luò)設(shè)備發(fā)起的認證請求，對中間網(wǎng)絡(luò)設(shè)備進行身份認證，并決定是否信任對其共享密鑰；用戶設(shè)備對于本機發(fā)起的加密數(shù)據(jù)流，向中間網(wǎng)絡(luò)設(shè)備共享自身會話密鑰。
[0014]本發(fā)明還提供了一種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)體系，包括:
[0015]密鑰管理器:部署在用戶設(shè)備中，一方面負責與使用數(shù)據(jù)加密協(xié)議的各個應(yīng)用程序溝通，從應(yīng)用程序獲取會話密鑰以便按需分享給中間網(wǎng)絡(luò)設(shè)備，并提供API允許應(yīng)用程序主動將會話密鑰注冊到密鑰管理器中；另一方面在中間網(wǎng)絡(luò)設(shè)備通過認證，允許分享密鑰時，將會話密鑰經(jīng)過加密發(fā)送給中間網(wǎng)絡(luò)設(shè)備。
[0016]權(quán)限管理器:部署在用戶設(shè)備中，一方面負責與中間網(wǎng)絡(luò)設(shè)備交互，來驗證中間網(wǎng)絡(luò)設(shè)備提供的證書等信息的可信度，并接收用戶的輸入來決定是否信任某個中間網(wǎng)絡(luò)設(shè)備；另一方面，若某中間網(wǎng)絡(luò)設(shè)備通過認證，則將對應(yīng)的加密策略傳遞給加密模塊，由加密模塊加密并分享密鑰；
[0017]密鑰加密模塊:部署在用戶設(shè)備中，負責與密鑰管理器、權(quán)限管理器和網(wǎng)絡(luò)中間網(wǎng)絡(luò)設(shè)備交互，接收密鑰管理器提供的會話密鑰和權(quán)限管理器提供的加密策略，生成會話密鑰的密文并發(fā)送給沿途各個可信的中間網(wǎng)絡(luò)設(shè)備；
[0018]流處理器和數(shù)據(jù)加/解密模塊，部署在中間網(wǎng)絡(luò)設(shè)備上，監(jiān)控經(jīng)過中間網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，并管理數(shù)據(jù)流狀態(tài)，針對每一個經(jīng)過該中間網(wǎng)絡(luò)設(shè)備的連接都建立對應(yīng)數(shù)據(jù)結(jié)構(gòu)來維護其狀態(tài)和相關(guān)參數(shù)；如果監(jiān)測到某個加密數(shù)據(jù)連接需要解密，則向用戶設(shè)備發(fā)送附帶證書的認證請求報文；接收到客戶設(shè)備分享的會話密鑰之后進行數(shù)據(jù)的加/解密操作，并與上層網(wǎng)絡(luò)應(yīng)用交互應(yīng)用數(shù)據(jù)；
[0019]密鑰解密模塊，部署在中間網(wǎng)絡(luò)設(shè)備上，將從用戶設(shè)備接收到的會話密鑰密文解密，并將明文的會話密鑰傳送給流處理器和數(shù)據(jù)加/解密模塊來存儲和操作。
[0020]所述用戶設(shè)備在建立連接時的握手報文中攜帶可以唯一標識自身的信息，用于中間網(wǎng)絡(luò)設(shè)備辨識用戶設(shè)備。
[0021]本發(fā)明使得可信中間網(wǎng)絡(luò)設(shè)備合法獲取會話密鑰并解密數(shù)據(jù)，從而實現(xiàn)完全發(fā)揮應(yīng)有作用的目的。與現(xiàn)有技術(shù)相比，其優(yōu)點在于:
[0022]1、無需修改加密傳輸協(xié)議本身，即可認證中間網(wǎng)絡(luò)設(shè)備是否可信以及分享會話密鑰，并支持多種當前廣泛使用的加密傳輸協(xié)議。
[0023]2、使用屬性基加密技術(shù)，從而僅需一個報文即可將會話密鑰分享給路徑中若干個可信中間網(wǎng)絡(luò)設(shè)備。
【附圖說明】
[0024]圖1是本發(fā)明通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)體系結(jié)構(gòu)示意圖。
[0025]圖2是本發(fā)明通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)交互流程示意圖。
[0026]圖3是被發(fā)明應(yīng)用于TLS協(xié)議的交互流程示意圖。
【具體實施方式】
[0027]下面結(jié)合附圖和實施例詳細說明本發(fā)明的實施方式。
[0028]如圖1所示，在通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)體系結(jié)構(gòu)中，共包含以下幾個模塊:
[0029]密鑰管理器(Key Manager):密鑰管理器部署在用戶設(shè)備中。密鑰管理器一方面負責與使用數(shù)據(jù)加密協(xié)議的各個應(yīng)用程序溝通，從應(yīng)用程序獲取會話密鑰以便按需分享給中間網(wǎng)絡(luò)設(shè)備，并提供API允許應(yīng)用程序主動將會話密鑰注冊到密鑰管理器中；另一方面，在中間網(wǎng)絡(luò)設(shè)備通過認證，允許分享密鑰時，將會話密鑰經(jīng)過加密發(fā)送給中間網(wǎng)絡(luò)設(shè)備。
[0030]權(quán)限管理器(Permiss1n Manager):權(quán)限管理器部署在用戶設(shè)備中。權(quán)限管理器一方面負責與中間網(wǎng)絡(luò)設(shè)備交互，來驗證中間網(wǎng)絡(luò)設(shè)備提供的證書等信息的可信度，此時亦可接收用戶的輸入來決定是否信任某個中間網(wǎng)絡(luò)設(shè)備；另一方面，若某中間網(wǎng)絡(luò)設(shè)備通過認證，則將對應(yīng)的加密策略傳遞給加密模塊，由加密模塊加密并分享密鑰。
[0031]密鑰加密模塊(Key Encrypt1n):密鑰加密模塊部署在用戶設(shè)備中。密鑰加密模塊負責與密鑰管理器、權(quán)限管理器和網(wǎng)絡(luò)中間網(wǎng)絡(luò)設(shè)備交互，接收密鑰管理器提供的會話密鑰和權(quán)限管理器提供的加密策略，生成會話密鑰的密文并發(fā)送給沿途各個可信的中間網(wǎng)絡(luò)設(shè)備。
[0032]流處理器和數(shù)據(jù)加/ 解密模塊(Flow Processor&Data Encryptor/Decryptor):流處理器和數(shù)據(jù)加/解密模塊部署在中間網(wǎng)絡(luò)設(shè)備上。流處理器和數(shù)據(jù)加/解密模塊有如下幾點作用，第一，監(jiān)控經(jīng)過中間網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，并管理數(shù)據(jù)流狀態(tài)，針對每一個經(jīng)過該中間網(wǎng)絡(luò)設(shè)備的連接都建立對應(yīng)數(shù)據(jù)結(jié)構(gòu)來維護其狀態(tài)和相關(guān)參數(shù)；第二，如果監(jiān)測到某個加密數(shù)據(jù)連接需要解密，則向用戶設(shè)備發(fā)送認證請求報文，該報文附帶證書等信息；第三，接收到客戶設(shè)備分享的會話密鑰之后進行數(shù)據(jù)的加/解密操作，并與上層網(wǎng)絡(luò)應(yīng)用交互應(yīng)用數(shù)據(jù)。
[0033]密鑰解密模塊(Key Decrypt1n):密鑰解密模塊部署在中間網(wǎng)絡(luò)設(shè)備上。負責將從用戶設(shè)備接收到的會話密鑰密文解密，并將明文的會話密