基于网关设备实现web加密访问及信息加密存储的方法

摘要

本发明涉及一种基于网关设备实现web加密访问及信息加密存储的方法，使用openssl安全套接层协议处理用户与设备间的数据传输；将数据处理与数据传输业务分开，创建本地socket服务专门用于处理网络数据和生成响应数据，创建远程socket服务专门用于和网络客户端的加密数据交互，远程socket与本地socket之间进行明文交互；将设备中需要存储的用户秘钥、权限等敏感信息采用AES+base64编码的加密方式加密，在设备存储系统中存放密文信息。采用该方法，能对网关设备的web访问自动重定向到安全套接字的访问，保证了数据传输的安全与高效、原有的数据处理逻辑和用户的信息安全，具有广泛的应用范围。

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及网络通信安全技术领域，具体是指一种基于网关设备实现web加密访问及信息加密存储的方法。

背景技术

网络是现代人生活必不可少的工具，网关设备在其中起着至关重要的作用。随着互联网的发展，网络的功能已经涵盖到人们生活的方方面面，网络的安全性也越来越引起人们的关注，同时随着网关设备的智能化发展趋势，其功能越来越强大，但当设备遭遇非法入侵，信息泄露也会给用户造成更大的损失，因此网关设备承担的安全责任也越来越大，所以网关产品的安全性能是互联网业界必须考虑的重要课题。

现阶段许多网关产品并未提供设备可靠的安全访问策略，使得设备被非法访问或用户信息泄露的可能性很高，这使网关产品普遍存在着较大的安全隐患，另一方面，更多方便用户使用的高级功能也会因为安全策略的缺失而不敢应用于网关设备，从而丧失产品卖点。

Openssl是一个安全套接字层密码库，它囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，是目前已被广泛应用的web安全访问策略。RSA算法是目前最有影响力的公开密钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，当钥匙的长度足够长时，用RSA加密的信息实际上是不能被破解的。AES算法是一种目前广泛应用的对称加密算法，其特点是速度快，编码紧凑，抵御已知明文的差分和线性攻击。Openssl结合RSA算法的数据传输策略能够最大程度的保证传输数据的安全性，AES算法在大文件加密传输中安全性能和效率卓越。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够基于网关设备实现web加密访问及信息加密存储的方法。

为了实现上述目的，本发明具有如下构成：

该基于网关设备实现web加密访问的方法，包括以下步骤：

(1)申请一个可信任的SSL安全证书，并将所述的SSL安全证书置于网关设备中；

(2)在所述的网关设备中移植入openssl软件库,并在所述的网关设备的web服务模块启动时加载所述的openssl软件库；

(3)创建远程socket服务、安全socket服务和本地socket服务；

(6)所述的安全socket服务收到网络客户端请求时，创建一个新的SSL安全链接，并绑定连接至用户的socket，同时创建一个关联至本地socket的客户端连接，并等待网络客户端的请求数据；

(7)当所述的安全socket服务收到待网络客户端请求数据后，读取并解密该请求数据，并将明文数据传送至本地socket服务，并等待响应数据；

(8)当所述的安全socket服务收到本地socket服务的响应数据后，读取并加密数据，将密文数据传输给网络客户端，完成数据交互。

较佳地，所述的在所述的网关设备的web服务模块启动时加载所述的openssl软件库，具体为：

在所述的网关设备的web服务模块启动时载入加密算法、ssl安全证书和用户密钥,并验证用户密钥，完成初始化过程。

较佳地，所述的步骤(3)，具体包括以下步骤：

(3-1)创建一个远程socket服务，将所述的socket服务绑定值80端口，等待网络客户端发起普通连接请求时，重定向至SSL安全链接绑定的443端口；

(3-2)创建一个安全socket服务，将所述的安全socket服务绑定443端口，等待网络客户端发起SSL连接请求；

(3-3)创建一个本地socket服务，等待安全socket发来的解密的网络请求数据。

还包括一种基于上述方法的基于网关设备实现信息加密存储的方法，所述的方法包括以下步骤：

(1)网关设备启动，产生用户初始信息；

(2)生成网关设备的AES密钥，将用户初始信息通过AES算法加密后，通过base64进行编码，并将编码后的信息存入mib系统；

(3)当用户登录时，通过对比所述的mib系统中的用户信息和本地socket服务收到的网络客户端的用户信息，判断该用户是否能登录，如果两者匹配，则登录成功，否则登录失败。

较佳地，所述的对比所述的mib系统中的用户信息和本地socket服务收到的网络客户端的用户信息，具体为：

从所述的mib系统中读出用户信息后通过base64进行编码，再通过AES密钥解密，将解密后的信息与本地socket服务收到的网络客户端的用户信息核对。

较佳地，所述的方法还包括用户更改信息的加密步骤：

(4)当用户更改信息时，先通过步骤(3)确认用户的身份，如果登录成功，继续确认用户的权限，当确认用户拥有更改信息的权限后，将用户的更改的信息用AES算法加密后，进行base64转码处理，并将密文信息存入mib系统。

采用了该发明中的基于网关设备实现web加密访问及信息加密存储的方法，具有以下优点：

1、对网关设备的web访问自动重定向到安全套接字的访问。

2、使用openssl安全套接层协议处理用户与设备间的数据传输，加密算法采用RSA+AES+SHA组合，保证数据传输的安全与高效。

3、将数据处理与数据传输业务分开，创建本地socket服务专门用于处理网络数据和生成响应数据，创建远程socket服务专门用于和网络客户端的加密数据交互，远程socket与本地socket之间进行明文交互，保证原有的数据处理逻辑。

4、将设备中需要存储的用户秘钥、权限等敏感信息采用AES+base64编码的加密方式加密，在设备存储系统中存放密文信息，保证用户的信息安全。

附图说明

图1为本发明的基于网关设备实现web加密访问的方法的示意图。

图2为本发明的基于网关设备实现信息加密存储的方法的示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

该基于网关设备实现web加密访问的方法，包括以下步骤：

(1)申请一个可信任的SSL安全证书，并将所述的SSL安全证书置于网关设备中；

(2)在所述的网关设备中移植入openssl软件库,并在所述的网关设备的web服务模块启动时加载所述的openssl软件库；

(3)创建远程socket服务、安全socket服务和本地socket服务；

(6)所述的安全socket服务收到网络客户端请求时，创建一个新的SSL安全链接，并绑定连接至用户的socket，同时创建一个关联至本地socket的客户端连接，并等待网络客户端的请求数据；

(7)当所述的安全socket服务收到待网络客户端请求数据后，读取并解密该请求数据，并将明文数据传送至本地socket服务，并等待响应数据；

(8)当所述的安全socket服务收到本地socket服务的响应数据后，读取并加密数据，将密文数据传输给网络客户端，完成数据交互。

在一种较佳的实施方式中，所述的在所述的网关设备的web服务模块启动时加载所述的openssl软件库，具体为：

在所述的网关设备的web服务模块启动时载入加密算法、ssl安全证书和用户密钥,并验证用户密钥，完成初始化过程。

在一种较佳的实施方式中，所述的步骤(3)，具体包括以下步骤：

(3-1)创建一个远程socket服务，将所述的socket服务绑定值80端口，等待网络客户端发起普通连接请求时，重定向至SSL安全链接绑定的443端口；

(3-2)创建一个安全socket服务，将所述的安全socket服务绑定443端口，等待网络客户端发起SSL连接请求；

(3-3)创建一个本地socket服务，等待安全socket发来的解密的网络请求数据。

还包括一种基于上述方法的基于网关设备实现信息加密存储的方法，所述的方法包括以下步骤：

(1)网关设备启动，产生用户初始信息；

(2)生成网关设备的AES密钥，将用户初始信息通过AES算法加密后，通过base64进行编码，并将编码后的信息存入mib系统；

(3)当用户登录时，通过对比所述的mib系统中的用户信息和本地socket服务收到的网络客户端的用户信息，判断该用户是否能登录，如果两者匹配，则登录成功，否则登录失败。

在一种较佳的实施方式中，所述的对比所述的mib系统中的用户信息和本地socket服务收到的网络客户端的用户信息，具体为：

从所述的mib系统中读出用户信息后通过base64进行编码，再通过AES密钥解密，将解密后的信息与本地socket服务收到的网络客户端的用户信息核对。

在一种较佳的实施方式中，所述的方法还包括用户更改信息的加密步骤：

(4)当用户更改信息时，先通过步骤(3)确认用户的身份，如果登录成功，继续确认用户的权限，当确认用户拥有更改信息的权限后，将用户的更改的信息用AES算法加密后，进行base64转码处理，并将密文信息存入mib系统。

本发明的技术方案为一种基于网关设备的web安全访问策略，该策略包括web安全加密访问和信息加密存储两部分。

web安全加密访问由设备通过创建openssl安全socket服务，专门负责与网络客户端的数据交互业务，安全socket服务端与网络客户端通过openssl建立安全连接，采用RSA+AES+SHA算法组合进行密钥交换、数据加密及签名认证，网关设备另外创建本地socket服务对网络请求数据进行业务处理，返回响应数据，承担真实web服务器的功能。安全socket服务端作为网络客户端与web服务器的中转站，将客户端传来的加密数据解密后传给本地socket服务端，同时在收到本地socket的返回数据后用对称加密算法加密后通传给网络客户端，安全socket在作为网络客户端服务器的同时又是本地socket服务的客户端，起着解密、加密、中转数据的作用。

信息加密存储将网关设备本地的用户敏感信息改为加密后密文存储在mib系统中，加密算法采用AES算法，并且对产生的密文采用base64编码，使得密文信息转为mib系统可识别的文本信息，AES密钥的产生则按照网关设备的唯一硬件信息与软件特定信息混合生成，使得每一个网关设备的密钥都不相同，使得破解网关设备的代价更为高昂。

在一种具体的实施方式中，web安全加密访问，如图1所示，具体实现步骤如下：

1、申请一个可信任的SSL安全证书，并将安全证书置于网关设备中。

2、网关设备移植入openssl软件库,并在设备web服务模块启动时加载openssl，载入加密算法，载入ssl安全证书,载入并验证用户密钥，完成初始化过程。

3、创建一个远程socket服务，绑定80端口，等待网络客户端发起普通连接请求时，重定向到443端口。

4、创建一个用于远程访问的安全socket服务，绑定443端口，等待网络客户端发起ssl连接请求。

5、创建一个本地socket服务，等待安全socket发来的解密的网络请求数据。

6、安全socket服务收到网络客户端请求时，创建一个新的SSL，并绑定连接用户的socket，并同时创建一个到本地socket的客户端连接，然后等待网络客户端的请求数据。

7、当安全socket服务收到待网络客户端请求数据后，读取并解密数据，然后将明文数据传本地socket，并等待响应数据。

8、当安全socket服务收到本地socket的响应数据后，读取并加密数据，将密文数据传输给网络客户端，完成数据交互。

在一种具体的实施方式中，信息加密存储，如图1所示，具体实现步骤：

1、网关设备启动，产生用户初始信息。

2、生成网关设备的AES密钥，将用户初始信息用AES算法加密后，用base64编码，将编码后的信息存入mib系统。

3、用户登录时，从mib系统中读出用户信息后并base64解码，再用AES密钥解密，将解密后的信息与本地socket服务收到的网络客户端的用户信息核对，匹配后返回登录成功，否则登录失败。

4、当用户更改信息时，首先如步骤3确认用户的身份，然后确认用户的权限，当确认用户可以更改信息后，将用户的更改的信息用AES算法加密后，作base64转码，最后将密文信息存入mib系统。

采用了该发明中的基于网关设备实现web加密访问及信息加密存储的方法，具有以下优点：

1、对网关设备的web访问自动重定向到安全套接字的访问。

2、使用openssl安全套接层协议处理用户与设备间的数据传输，加密算法采用RSA+AES+SHA组合，保证数据传输的安全与高效。

3、将数据处理与数据传输业务分开，创建本地socket服务专门用于处理网络数据和生成响应数据，创建远程socket服务专门用于和网络客户端的加密数据交互，远程socket与本地socket之间进行明文交互，保证原有的数据处理逻辑。

4、将设备中需要存储的用户秘钥、权限等敏感信息采用AES+base64编码的加密方式加密，在设备存储系统中存放密文信息，保证用户的信息安全。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。