[发明专利]一种增强浏览器SSL算法强度的代理方法

说明书

技术领域

本发明属于网络安全技术，具体涉及网络浏览器的加密算法技术。

背景技术

HTTPS(HTTP over SSL)技术在WEB环境下被广泛地使用，主流的浏览器如Internet Explorer，Firefox，Safari等都支持HTTPS协议。

其中SSL握手协议由4类算法组成：

身份验证算法A：如RSA，ECDSA等；

密钥交换算法K：如RSA，ECDH等；

对称加密算法E：如DES，AES，RC4等；

据摘要算法M：如MD5，SHA-1等。

不同的操作系统和浏览器版本支持的SSL算法有所不同，由于美国商务部的出口限制，某些高强度的算法在中文版环境中无法被使用，而且由于现有主流的浏览器核心和操作系统全部是由其他国家公司开发的，中国自行颁布的密码算法(如国标SM1对称加密算法，SM2/ECDSA/ECDH非对称算法，SM3摘要算法等)也无法得到支持。

目前对提高浏览器的算法强度和使用国标算法主要有以下折中方案：

1.使用专用的客户端与应用进行连接，相当于使用C/S方式替代了B/S方式，这种方式只能支持特定的应用，应用改造的成本过高。

2.使用HTTP+VPN技术，也即抛弃浏览器的HTTPS支持，只在网络层使用加密通道。

上述折中方案存在以下几点不足：

1.改变了用户的使用方式：尤其是对已经使用HTTPS的用户进行升级的场景下，用户将不再使用原有的https://xxxx链接进行访问，这对原有应用的页面链接，用户的使用习惯都有改变。

2.在新旧用户并存的情况下，很难做到两类用户(使用浏览器自身支持的低强度算法的用户，使用浏览器不支持的高强度算法的用户)的并存。

发明内容

本发明针对现有技术中在提高浏览器的算法强度时所存在的改变了用户的使用方式以及无法兼容新旧用户等问题，而提供一种增强浏览器SSL算法强度的代理方法，该方法对用户使用习惯不做任何改动，就可以实现让通用的浏览器升级到高强度的SSL算法，且新旧用户可以并存。

为了达到上述目的，本发明采用如下的技术方案：

一种增强浏览器SSL算法强度的代理方法，该代理方法包括如下步骤：

(1)截获浏览器发起的SSL数据包；

(2)模拟远端的SSL服务器与浏览器完成低强度SSL握手；

(3)采用更高强度的算法与远端的SSL服务器完成正式的认证和握手。

在该方案的实例中，所述步骤(1)中截获SSL数据包的方式是自动修改浏览器的代理配置，将HTTPS代理设置为SSL代理监听的本地端口。

在该方案的实例中，所述步骤(1)中截获SSL数据包的方式是通过LSP在socket connect调用时将目标地址改为SSL代理监听的本地端口。

在该方案的实例中，所述步骤(2)中在模拟SSL服务器与浏览器之间SSL握手时，需要实时签发模拟站点证书。

根据上述方案得到的本发明与现有技术相比具有以下优点：

1.可以有效地扩充现有浏览器的算法支持，尤其是对国标加密算法的支持。

2.对用户完全透明，用户无需改变使用习惯。

3.可以实现使用浏览器自身支持的低强度算法的用户和使用浏览器不支持的高强度算法的用户的并存。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为浏览器使用自身算法的SSL握手流程图。

图2为使用本发明实现高强度算法的SSL握手流程图。

图3为浏览器检查服务端站点证书时的警告消息效果图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

由于HTTP协议中对HTTPS(也即SSL)进行代理的方式主要是通过CONNECT方法(http://tools.ietf.org/html/rfc2616#section-9.9)，也即代理服务器只负责转发浏览器与目标服务器之间的TCP数据包，而不做其他处理，因此采用HTTPS代理时，实际的SSL握手仍然发生在浏览器与服务器之间，支持的算法也由浏览器决定。

基于上述HTTPS代理协议的原理，本发明提供一种增强浏览器SSL算法强度的代理方法，该方法为一种HTTPS中继代理，其主要原理如下：