技術領域

本發明涉及通信安全技術領域，特別是涉及一種基于強化代理保護證書的系統和方法。

背景技術

從上世紀末一致到現在，網絡技術的發展日新月異，信息的傳播速度和數量一直在爆發性的增長。在信息傳輸的過程中，可能發生的信息泄露以及信息篡改，對于使用者來說，是非常危險的，尤其是智能時代來臨之后，用戶的大量信息出現在網絡上，在方便生活的同時，信息的安全性需要更好的被維護。

網絡應用程序通常使用證書來驗證遠程實體的完整性以及遠程位置通信的完整性和機密性。然而，證書也存在脆弱性，因為本地信任數據庫(包含受信任的根證書)可能被不知情或惡意用戶的軟件顛覆或修改。這可能導致在企業政策中插入不可靠的信任根，從而導致本地用戶或軟件將置于不可信任的證書通信環境，使得在信息傳播過程中出現信息泄露等網絡安全隱患。

發明內容

本發明的目的是提供了一種基于強化代理保護證書的方法和系統，放置用戶計算機與不可信的遠程計算機進行通信，提高了本地用戶或應用的通信安全性。

為解決上述技術問題，本發明實施例提供了一種基于強化代理保護證書的方法，包括：

步驟1，攔截來自用戶計算機的網絡數據信息；

步驟2，判斷所述網絡數據信息對應的所述用戶計算機是否具有對要通信的遠程計算機訪問的權限；

若是，步驟3，對所述網絡數據信息進行加密簽名，授權所述用戶計算機對所述遠程計算機進行訪問。

其中，所述步驟2，包括：

識別所述用戶計算機將要通信的遠程計算機的憑證和所述網絡數據信息的網絡請求；

計算所述憑證的加密信息，并輸出所述網絡數據信息的加密序列；

判斷所述遠程計算機的證書、所述加密序列和所述網絡數據信息是否包含在白名單數據庫中，且不包含在黑名單數據庫中。

其中，還包括：

防火墻檢查所述網絡數據信息，判斷是否具有所述加密簽名；

若是，授權所述網絡數據信息對所述遠程計算機進行訪問，否則，拒絕所述網絡數據信息對所述遠程計算機進行訪問。

其中，所述對所述網絡數據信息進行加密簽名為通過向應用層協議添加加密序列字段對網絡數據信息進行加密簽名。

其中，所述向所述網絡數據信息中添加加密序列字段為將所述加密序列添加到IPv4報頭選項字段或將所述加密序列添加到IPv6報頭鏈字段。

除此之外，本發明實施例還提供了一種基于強化代理保護證書的系統，包括基于主機的憑證管理代理、可信憑證數據庫和授權服務器，所述可信憑證數據庫包含標識可信實體和相應加密證書的信息，所述基于主機的憑證管理代理與用戶計算機連接，用于攔截來自所述用戶計算機訪問的遠程計算機的網絡流量信息，并根據所述網絡流量信息識別所述遠程計算機的證書和計算所述證書的機密信息，獲得所述網絡數據信息的加密序列后，將所述網絡數據信息和所述加密序列發送到所述授權服務器，所述授權服務器判斷所述遠程計算機的證書、所述加密序列、所述網絡數據信息是否包含在所述可信憑證數據庫中的白名單數據庫、黑名單數據庫，若均包含在所述白名單數據庫，且不包含在所述黑名單數據庫，通過使用授權服務器密鑰對所述網絡流量信息進行加密簽名，以授權網絡訪問被攔截的所述網絡數據信息。

其中，還包括防火墻，所述防火墻與所述授權服務器、所述用戶計算機連接，用于檢查來自所述用戶計算機的網絡數據信息是否具有所述授權服務器的授權服務器秘鑰簽名的加密簽名，若有，授權所述網絡數據信息對所述遠程計算機進行訪問，否則，拒絕所述網絡數據信息對所述遠程計算機進行訪問。

其中，所述授權服務器為工作在公共計算機服務器的授權服務器或工作在獨立網絡設備的授權服務器。

其中，所述基于主機的憑證管理代理為工作在所述用戶計算機的基于主機的憑證管理代理或工作在專用的計算機的基于主機的憑證管理代理。

其中，還包括與所述防火墻、所述授權服務器、所述用戶計算機連接的不信任反饋裝置，用于向所述用戶計算機反饋不能與所述遠程計算機通信的原因。

本發明實施例所提供的基于強化代理保護證書的系統和方法，與現有技術相比，具有以下優點：

本發明實施例提供的基于強化代理保護證書的方法，包括：

步驟1，攔截來自用戶計算機的網絡數據信息；

步驟2，判斷所述網絡數據信息對應的所述用戶計算機是否具有對要通信的遠程計算機訪問的權限；

若是，步驟3，對所述網絡數據信息進行加密簽名，授權所述用戶計算機對所述遠程計算機進行訪問。