[发明专利]一种基于强化代理保护证书的系统和方法

说明书

技术领域

本发明涉及通信安全技术领域，特别是涉及一种基于强化代理保护证书的系统和方法。

背景技术

从上世纪末一致到现在，网络技术的发展日新月异，信息的传播速度和数量一直在爆发性的增长。在信息传输的过程中，可能发生的信息泄露以及信息篡改，对于使用者来说，是非常危险的，尤其是智能时代来临之后，用户的大量信息出现在网络上，在方便生活的同时，信息的安全性需要更好的被维护。

网络应用程序通常使用证书来验证远程实体的完整性以及远程位置通信的完整性和机密性。然而，证书也存在脆弱性，因为本地信任数据库(包含受信任的根证书)可能被不知情或恶意用户的软件颠覆或修改。这可能导致在企业政策中插入不可靠的信任根，从而导致本地用户或软件将置于不可信任的证书通信环境，使得在信息传播过程中出现信息泄露等网络安全隐患。

发明内容

本发明的目的是提供了一种基于强化代理保护证书的方法和系统，放置用户计算机与不可信的远程计算机进行通信，提高了本地用户或应用的通信安全性。

为解决上述技术问题，本发明实施例提供了一种基于强化代理保护证书的方法，包括：

步骤1，拦截来自用户计算机的网络数据信息；

步骤2，判断所述网络数据信息对应的所述用户计算机是否具有对要通信的远程计算机访问的权限；

若是，步骤3，对所述网络数据信息进行加密签名，授权所述用户计算机对所述远程计算机进行访问。

其中，所述步骤2，包括：

识别所述用户计算机将要通信的远程计算机的凭证和所述网络数据信息的网络请求；

计算所述凭证的加密信息，并输出所述网络数据信息的加密序列；

判断所述远程计算机的证书、所述加密序列和所述网络数据信息是否包含在白名单数据库中，且不包含在黑名单数据库中。

其中，还包括：

防火墙检查所述网络数据信息，判断是否具有所述加密签名；

若是，授权所述网络数据信息对所述远程计算机进行访问，否则，拒绝所述网络数据信息对所述远程计算机进行访问。

其中，所述对所述网络数据信息进行加密签名为通过向应用层协议添加加密序列字段对网络数据信息进行加密签名。

其中，所述向所述网络数据信息中添加加密序列字段为将所述加密序列添加到IPv4报头选项字段或将所述加密序列添加到IPv6报头链字段。

除此之外，本发明实施例还提供了一种基于强化代理保护证书的系统，包括基于主机的凭证管理代理、可信凭证数据库和授权服务器，所述可信凭证数据库包含标识可信实体和相应加密证书的信息，所述基于主机的凭证管理代理与用户计算机连接，用于拦截来自所述用户计算机访问的远程计算机的网络流量信息，并根据所述网络流量信息识别所述远程计算机的证书和计算所述证书的机密信息，获得所述网络数据信息的加密序列后，将所述网络数据信息和所述加密序列发送到所述授权服务器，所述授权服务器判断所述远程计算机的证书、所述加密序列、所述网络数据信息是否包含在所述可信凭证数据库中的白名单数据库、黑名单数据库，若均包含在所述白名单数据库，且不包含在所述黑名单数据库，通过使用授权服务器密钥对所述网络流量信息进行加密签名，以授权网络访问被拦截的所述网络数据信息。

其中，还包括防火墙，所述防火墙与所述授权服务器、所述用户计算机连接，用于检查来自所述用户计算机的网络数据信息是否具有所述授权服务器的授权服务器秘钥签名的加密签名，若有，授权所述网络数据信息对所述远程计算机进行访问，否则，拒绝所述网络数据信息对所述远程计算机进行访问。

其中，所述授权服务器为工作在公共计算机服务器的授权服务器或工作在独立网络设备的授权服务器。

其中，所述基于主机的凭证管理代理为工作在所述用户计算机的基于主机的凭证管理代理或工作在专用的计算机的基于主机的凭证管理代理。

其中，还包括与所述防火墙、所述授权服务器、所述用户计算机连接的不信任反馈装置，用于向所述用户计算机反馈不能与所述远程计算机通信的原因。

本发明实施例所提供的基于强化代理保护证书的系统和方法，与现有技术相比，具有以下优点：

本发明实施例提供的基于强化代理保护证书的方法，包括：

步骤1，拦截来自用户计算机的网络数据信息；

步骤2，判断所述网络数据信息对应的所述用户计算机是否具有对要通信的远程计算机访问的权限；

若是，步骤3，对所述网络数据信息进行加密签名，授权所述用户计算机对所述远程计算机进行访问。