鑰傳送給流處理器和數(shù)據(jù)加/解密模塊來存儲和操作�。
[0034]通過以上體系結(jié)構(gòu),中間網(wǎng)絡(luò)設(shè)備可以在需要解密數(shù)據(jù)流的時(shí)候向客戶設(shè)備請求獲取密鑰����,在經(jīng)過客戶設(shè)備的認(rèn)證之后就可以獲取到會話密鑰,從而獲得明文的數(shù)據(jù)流�����,從而提供尚質(zhì)量的網(wǎng)絡(luò)服務(wù)��。
[0035]通過圖2可以看出���,本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)需通過4個(gè)基本步驟完成:
[0036]步驟1:在用戶設(shè)備實(shí)現(xiàn)密鑰管理器����、權(quán)限管理器���、密鑰加密模塊等��;在中間網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)流處理器和數(shù)據(jù)加/解密模塊��、密鑰解密模塊等��。用戶設(shè)備在建立連接時(shí)的握手報(bào)文中攜帶可以唯一標(biāo)識自身的信息����,用于中間網(wǎng)絡(luò)設(shè)備辨識用戶設(shè)備。同時(shí)中間網(wǎng)絡(luò)設(shè)備開始監(jiān)控經(jīng)過的數(shù)據(jù)流�����,并維護(hù)其狀態(tài)及相關(guān)數(shù)據(jù)��,如密鑰是否就緒等����。
[0037]步驟2:中間網(wǎng)絡(luò)設(shè)備使用用戶設(shè)備的唯一標(biāo)識來查找數(shù)據(jù)庫,若命中��,即代表該用戶設(shè)備之前認(rèn)證過該中間網(wǎng)絡(luò)設(shè)備����,且認(rèn)證還處在有效期內(nèi),無需再次進(jìn)行認(rèn)證請求步驟���;若未命中���,則代表該用戶設(shè)備之前沒有認(rèn)證過該網(wǎng)絡(luò)中間網(wǎng)絡(luò)設(shè)備或者認(rèn)證已經(jīng)過期���,則發(fā)起認(rèn)證請求。認(rèn)證請求中包含自身證書及對數(shù)據(jù)的操作類型等信息�,且該證書經(jīng)過權(quán)威機(jī)構(gòu)簽名�����。
[0038]用戶設(shè)備在接收到認(rèn)證請求報(bào)文之后隨即開始對網(wǎng)絡(luò)中間網(wǎng)絡(luò)設(shè)備的認(rèn)證操作�。并根據(jù)對中間網(wǎng)絡(luò)設(shè)備的信任情況,決定可以獲取會話密鑰的設(shè)備屬性關(guān)系�����,依據(jù)此關(guān)系生成加密策略�����。
[0039]步驟3:等待加密傳輸協(xié)議完成會話密鑰的協(xié)商�,密鑰管理器從上層應(yīng)用獲取會話密鑰。然后將會話密鑰經(jīng)過一定的加密策略進(jìn)行屬性基加密�,然后沿原有路徑分享至需要會話密鑰的中間網(wǎng)絡(luò)設(shè)備處。
[0040]步驟4:中間網(wǎng)絡(luò)設(shè)備接收到用戶設(shè)備分享的經(jīng)過加密的會話密鑰之后,隨即進(jìn)行解密�����,得到明文的會話密鑰�����。之后����,中間網(wǎng)絡(luò)設(shè)備即可對往來的應(yīng)用層數(shù)據(jù)進(jìn)行加/解密操作,將明文的應(yīng)用層數(shù)據(jù)送至上層網(wǎng)絡(luò)服務(wù)��,或者將上層網(wǎng)絡(luò)服務(wù)下發(fā)的數(shù)據(jù)加密后轉(zhuǎn)發(fā)��。
[0041]圖3是本發(fā)明應(yīng)用于TLS協(xié)議時(shí)的交互流程示意圖����,作為一個(gè)樣例性實(shí)施例。為了使本發(fā)明的技術(shù)方案及優(yōu)點(diǎn)描述地更加清楚明白�����,以下結(jié)合圖2和圖3對本發(fā)明按照示例進(jìn)行進(jìn)一步詳細(xì)說明�。實(shí)例以HTTPS協(xié)議為背景,其加密傳輸協(xié)議為TLS協(xié)議,使用Firefox作為用戶設(shè)備的上層應(yīng)用程序����,F(xiàn)irefox允許設(shè)置環(huán)境變量來指定存儲會話密鑰的文件,則用戶設(shè)備中的密鑰管理器監(jiān)控該文件來注冊會話密鑰�。圖3所描述的實(shí)施例僅是本發(fā)明的一部分實(shí)施例,而不是所有實(shí)施例的窮舉��。
[0042]以下結(jié)合圖2和圖3對本發(fā)明按照示例的內(nèi)容逐步進(jìn)行詳細(xì)說明:
[0043]步驟1:用戶設(shè)備開始建立TCP連接�����,本例中使用報(bào)文中固有的源/目的IP地址和源/目的端口號共同作為用戶設(shè)備的唯一標(biāo)識���。并使用TLS ClientHello報(bào)文中的ClientRandom串來唯一標(biāo)識會話及其密鑰。同時(shí)中間網(wǎng)絡(luò)設(shè)備開始監(jiān)控經(jīng)過的數(shù)據(jù)流�,并維護(hù)其狀態(tài)及相關(guān)數(shù)據(jù),如密鑰是否就緒等���。
[0044]步驟2:中間網(wǎng)絡(luò)設(shè)備使用上述用戶設(shè)備的唯一標(biāo)識來查找數(shù)據(jù)庫�����,若命中��,則無需再次進(jìn)行認(rèn)證請求步驟����;若未命中,則發(fā)起認(rèn)證請求���。這些信息隨著握手報(bào)文以TCP頭部選項(xiàng)的形式發(fā)送給用戶設(shè)備�����。
[0045]用戶設(shè)備在接收到認(rèn)證請求報(bào)文之后隨即開始對中間網(wǎng)絡(luò)設(shè)備的認(rèn)證操作����。并根據(jù)對中間網(wǎng)絡(luò)設(shè)備的信任情況����,決定可以獲取會話密鑰的設(shè)備屬性關(guān)系,依據(jù)此關(guān)系生成加密策略��,本例中加密策略為“ChinaUnicom and TLS”����。
[0046]步驟3:等待Firefox接收到ServerHello報(bào)文并完成會話密鑰的計(jì)算,密鑰管理器根據(jù)ClientRandom從指定的密鑰存儲文件獲取會話密鑰���。然后將會話密鑰經(jīng)過上述加密策略進(jìn)行屬性基加密����,然后沿原有路徑分享至需要會話密鑰的中間網(wǎng)絡(luò)設(shè)備處。
[0047]步驟4:中間網(wǎng)絡(luò)設(shè)備接收到客戶設(shè)備分享的經(jīng)過加密的會話密鑰之后�����,隨即進(jìn)行解密�����,只要中間網(wǎng)絡(luò)設(shè)備具有的屬性滿足“ChinaUnicom and TLS”即可解密�����,得到可用的會話密鑰�。之后����,中間網(wǎng)絡(luò)設(shè)備即可對往來的應(yīng)用層數(shù)據(jù)進(jìn)行加/解密操作,將明文的應(yīng)用層數(shù)據(jù)送至上層網(wǎng)絡(luò)服務(wù)�����,或者將上層網(wǎng)絡(luò)服務(wù)下發(fā)的數(shù)據(jù)加密后轉(zhuǎn)發(fā)。
【主權(quán)項(xiàng)】
1.一種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法����,其特征在于,互聯(lián)網(wǎng)用戶設(shè)備通過密鑰共享協(xié)議���,向可信的中間網(wǎng)絡(luò)設(shè)備分享自身通信密鑰����,從而允許可信的中間網(wǎng)絡(luò)設(shè)備獲取及修改明文通信數(shù)據(jù)�����。2.根據(jù)權(quán)利要求1所述通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法�����,其特征在于���,所述中間網(wǎng)絡(luò)設(shè)備通過如下認(rèn)證機(jī)制進(jìn)行認(rèn)證: 當(dāng)中間網(wǎng)絡(luò)設(shè)備希望獲取用戶數(shù)據(jù)密鑰時(shí)����,向用戶設(shè)備發(fā)送自身證書信息及目標(biāo)處理操作�����,用戶設(shè)備接收到認(rèn)證請求后,根據(jù)中間網(wǎng)絡(luò)設(shè)備提供的信息進(jìn)行認(rèn)證��,判斷中間網(wǎng)絡(luò)設(shè)備身份是否偽造以及是否可信���。3.根據(jù)權(quán)利要求2所述通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法�����,其特征在于���,所述認(rèn)證機(jī)制脫離具體網(wǎng)絡(luò)協(xié)議,在一段時(shí)間內(nèi)保持有效�����,從而能夠支持多種加密數(shù)據(jù)傳輸協(xié)議��;所述目標(biāo)處理操作為數(shù)據(jù)只讀或數(shù)據(jù)讀寫����。4.根據(jù)權(quán)利要求1所述通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法�����,其特征在于,所述密鑰共享協(xié)議采用屬性基加密技術(shù)���,允許用戶設(shè)備通過一次通信����,向多個(gè)不同的中間網(wǎng)絡(luò)設(shè)備提供自身密鑰��,同時(shí)保證通信安全并允許權(quán)限控制�;用戶根據(jù)對中間網(wǎng)絡(luò)設(shè)備的信任情況,決定可以獲取會話密鑰的設(shè)備屬性關(guān)系�����,根據(jù)此屬性關(guān)系對將要共享的密鑰進(jìn)行加密��;密文通過原始會話路徑傳輸����,所有中間網(wǎng)絡(luò)設(shè)備均能夠獲取����;受信中間網(wǎng)絡(luò)設(shè)備通過自身屬性對應(yīng)的密鑰對密文進(jìn)行解密�,從而獲取密鑰內(nèi)容�����。5.根據(jù)權(quán)利要求1所述通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法�,其特征在于,對流經(jīng)中間網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類��,對目標(biāo)加密數(shù)據(jù)進(jìn)行追蹤��;當(dāng)中間網(wǎng)絡(luò)設(shè)備希望獲取某加密會話的明文數(shù)據(jù)時(shí)����,向該明文數(shù)據(jù)所對應(yīng)的網(wǎng)絡(luò)用戶發(fā)起認(rèn)證請求,并等待用戶提供自身密鑰�;當(dāng)通過密鑰共享協(xié)議獲取該會話對應(yīng)的加密密鑰后,通過數(shù)據(jù)解密模塊對此會話進(jìn)行解密���,并交由后續(xù)功能模塊進(jìn)行處理��。6.根據(jù)權(quán)利要求1所述通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法����,其特征在于�,所述用戶設(shè)備與本機(jī)網(wǎng)絡(luò)應(yīng)用進(jìn)行交互,獲取應(yīng)用會話密鑰��;用戶設(shè)備監(jiān)聽中間網(wǎng)絡(luò)設(shè)備發(fā)起的認(rèn)證請求���,對中間網(wǎng)絡(luò)設(shè)備進(jìn)行身份認(rèn)證�����,并決定是否信任對其共享密鑰���;用戶設(shè)備對于本機(jī)發(fā)起的加密數(shù)據(jù)流,向中間網(wǎng)絡(luò)設(shè)備共享自身會話密鑰���。7.—種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)體系����,其特征在于���,包括: 密鑰管理器:部署在用戶設(shè)備中�,一方面負(fù)責(zé)與使用數(shù)據(jù)加密協(xié)議的各個(gè)應(yīng)用程序溝通�,從應(yīng)用程序獲取會話密鑰以便按需分享給中間網(wǎng)絡(luò)設(shè)備,并提供API允許應(yīng)用程序主動將會話密鑰注冊到密鑰管理器中;另一方面在中間網(wǎng)絡(luò)設(shè)備通過認(rèn)證�,允許分享密鑰時(shí),將會話密鑰經(jīng)過加密發(fā)送給中間網(wǎng)絡(luò)設(shè)備�。 權(quán)限管理器:部署在用戶設(shè)備中,一方面負(fù)責(zé)與中間網(wǎng)絡(luò)設(shè)備交互�,來驗(yàn)證中間網(wǎng)絡(luò)設(shè)備提供的證書等信息的可信度,并接收用戶的輸入來決定是否信任某個(gè)中間網(wǎng)絡(luò)設(shè)備�����;另一方面�,若某中間網(wǎng)絡(luò)設(shè)備通過認(rèn)證,則將對應(yīng)的加密策略傳遞給加密模塊���,由加密模塊加密并分享密鑰�����; 密鑰加密模塊:部署在用戶設(shè)備中����,負(fù)責(zé)與密鑰管理器���、權(quán)限管理器和網(wǎng)絡(luò)中間網(wǎng)絡(luò)設(shè)備交互����,接收密鑰管理器提供的會話密鑰和權(quán)限管理器提供的加密策略,生成會話密鑰的密文并發(fā)送給沿途各個(gè)可信的中間網(wǎng)絡(luò)設(shè)備����; 流處理器和數(shù)據(jù)加/解密模塊�,部署在中間網(wǎng)絡(luò)設(shè)備上,監(jiān)控經(jīng)過中間網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包����,并管理數(shù)據(jù)流狀態(tài),針對每一個(gè)經(jīng)過該中間網(wǎng)絡(luò)設(shè)備的連接都建立對應(yīng)數(shù)據(jù)結(jié)構(gòu)來維護(hù)其狀態(tài)和相關(guān)參數(shù)����;如果監(jiān)測到某個(gè)加密數(shù)據(jù)連接需要解密,則向用戶設(shè)備發(fā)送附帶證書的認(rèn)證請求報(bào)文�;接收到客戶設(shè)備分享的會話密鑰之后進(jìn)行數(shù)據(jù)的加/解密操作,并與上層網(wǎng)絡(luò)應(yīng)用交互應(yīng)用數(shù)據(jù)�; 密鑰解密模塊,部署在中間網(wǎng)絡(luò)設(shè)備上�����,將從用戶設(shè)備接收到的會話密鑰密文解密��,并將明文的會話密鑰傳送給流處理器和數(shù)據(jù)加/解密模塊來存儲和操作。8.根據(jù)權(quán)利要求7所述通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)體系����,其特征在于,所述用戶設(shè)備在建立連接時(shí)的握手報(bào)文中攜帶可以唯一標(biāo)識自身的信息����,用于中間網(wǎng)絡(luò)設(shè)備辨識用戶設(shè)備。
【專利摘要】一種通用的面向加密數(shù)據(jù)的中間網(wǎng)絡(luò)服務(wù)構(gòu)建方法及體系��,互聯(lián)網(wǎng)用戶設(shè)備通過密鑰共享協(xié)議�,向可信的中間網(wǎng)絡(luò)設(shè)備分享自身通信密鑰,從而允許可信的中間網(wǎng)絡(luò)設(shè)備獲取及修改明文通信數(shù)據(jù)�����,本發(fā)明通過密鑰共享機(jī)制�,允許網(wǎng)絡(luò)用戶向受信任的中間網(wǎng)絡(luò)設(shè)備共享自身會話密鑰,在保證通信安全性的同時(shí)允許受信中間服務(wù)通過讀取會話明文數(shù)據(jù)提供高質(zhì)量網(wǎng)絡(luò)服務(wù)���。
【IPC分類】H04L29/06
【公開號】CN105429962
【申請?zhí)枴緾N201510740348
【發(fā)明人】崔勇, 劉聰, 范權(quán), 吳建平
【申請人】清華大學(xué)
【公開日】2016年3月23日
【申請日】2015年11月3日