[发明专利]一种基于强化代理保护证书的系统和方法

权利要求书

1.一种基于强化代理保护证书的方法，其特征在于，包括：

步骤1，拦截来自用户计算机的网络数据信息；

步骤2，判断所述网络数据信息对应的所述用户计算机是否具有对要通信的远程计算机访问的权限；

若是，步骤3，对所述网络数据信息进行加密签名，授权所述用户计算机对所述远程计算机进行访问。

2.如权利要求1所述基于强化代理保护证书的方法，其特征在于，所述步骤2，包括：

识别所述用户计算机将要通信的远程计算机的凭证和所述网络数据信息的网络请求；

计算所述凭证的加密信息，并输出所述网络数据信息的加密序列；

判断所述远程计算机的证书、所述加密序列和所述网络数据信息是否包含在白名单数据库中，且不包含在黑名单数据库中。

3.如权利要求2所述基于强化代理保护证书的方法，其特征在于，还包括：

防火墙检查所述网络数据信息，判断是否具有所述加密签名；

若是，授权所述网络数据信息对所述远程计算机进行访问，否则，拒绝所述网络数据信息对所述远程计算机进行访问。

4.如权利要求3所述基于强化代理保护证书的方法，其特征在于，所述对所述网络数据信息进行加密签名为通过向应用层协议添加加密序列字段对网络数据信息进行加密签名。

5.如权利要求4所述基于强化代理保护证书的方法，其特征在于，所述向所述网络数据信息中添加加密序列字段为将所述加密序列添加到IPv4报头选项字段或将所述加密序列添加到IPv6报头链字段。

6.一种基于强化代理保护证书的系统，其特征在于，包括基于主机的凭证管理代理、可信凭证数据库和授权服务器，所述可信凭证数据库包含标识可信实体和相应加密证书的信息，所述基于主机的凭证管理代理与用户计算机连接，用于拦截来自所述用户计算机访问的远程计算机的网络流量信息，并根据所述网络流量信息识别所述远程计算机的证书和计算所述证书的机密信息，获得所述网络数据信息的加密序列后，将所述网络数据信息和所述加密序列发送到所述授权服务器，所述授权服务器判断所述远程计算机的证书、所述加密序列、所述网络数据信息是否包含在所述可信凭证数据库中的白名单数据库、黑名单数据库，若均包含在所述白名单数据库，且不包含在所述黑名单数据库，通过使用授权服务器密钥对所述网络流量信息进行加密签名，以授权网络访问被拦截的所述网络数据信息。

7.如权利要求6所述基于强化代理保护证书的系统，其特征在于，还包括防火墙，所述防火墙与所述授权服务器、所述用户计算机连接，用于检查来自所述用户计算机的网络数据信息是否具有所述授权服务器的授权服务器秘钥签名的加密签名，若有，授权所述网络数据信息对所述远程计算机进行访问，否则，拒绝所述网络数据信息对所述远程计算机进行访问。

8.如权利要求7所述基于强化代理保护证书的系统，其特征在于，所述授权服务器为工作在公共计算机服务器的授权服务器或工作在独立网络设备的授权服务器。

9.如权利要求8所述基于强化代理保护证书的系统，其特征在于，所述基于主机的凭证管理代理为工作在所述用户计算机的基于主机的凭证管理代理或工作在专用的计算机的基于主机的凭证管理代理。

10.如权利要求9所述基于强化代理保护证书的系统，其特征在于，还包括与所述防火墙、所述授权服务器、所述用户计算机连接的不信任反馈装置，用于向所述用户计算机反馈不能与所述远程计算机通信的原因。