[发明专利]一种利用事件证书实现全链路加密代理的方法

说明书

本发明公开了一种利用事件证书实现全链路加密代理的方法，包括在浏览器与SSL代理服务器间建立一条基于数字证书的SSL加密隧道，然后在SSL代理服务器中与CA服务器联动动态的生成一张事件证书并关联到此SSL会话中与后端应用服务器完成SSL加密隧道，使得后端应用服务器可以对用户做二次身份认证并进一步做细粒度的访问控制和单点登录。利用事件证书可实现SSL代理服务器与应用服务器之间的会话一次一密，并使其认证标识与原始访问者的用户身份标识一致，同时在会话中充分利用了事件证书的及时签发、无需存储和有效期短等特性。SSL代理服务器采用事件证书方式可实现用户到应用的微隔离，同时也提高了整个系统访问控制能力和审计的透明度。

技术领域

本发明属于网络安全技术领域，具体涉及网络通信的身份认证和链路加密的利用事件证书实现全链路加密代理的方法。

背景技术

传统的网络安全认为攻击者主要来自外部网络，在网络入口处部署严密的监控设备，如防火墙，VPN，防病毒等设备可以减少来自外部网络的攻击。在企业内网由于屏蔽了绝大部分外部的黑客攻击而认为网络是安全的。

为了保护企业敏感数据在互联网中的安全传输，一般网络边界处采用基于数字认证与访问控制系统对外提供服务，比如网上银行，移动办公等。如图1所示客户端与SSL代理服务器完成身份认证、密钥协商和链路加密服务等工作。SSL代理服务器对流量解密后对内容进行识别、过滤和访问控制，只有合法用户的请求才会与内网的应用服务器完成明文通讯。但是近几年频频爆发的安全事件及高级持续性威胁活动信息，很多都从企业内网发起渗透攻击获取数据，企业内网不再是绝对安全的网络。而现在的应用服务器一般只是对SSL代理服务器做基于IP地址验证等简单的认证手段，这段不安全的通讯可能被攻击者利用。

为了提高整个网络的安全性，需要一种端到端的全链路加密方法来解决身份认证、保密性和完整性。目前一般可以通过如下方法解决：

1.通过网络端口映射的方式对外提供服务，此种方案可以实现应用服务器对用户的身份认证和链路加密功能，但是边界安全监管人员无法管理外网用户的接入访问行为和流量监控审计。

2.浏览器与SSL代理服务器之间完成双向认证，SSL代理服务器与应用服务器完成单向认证的SSL握手，并将用户的身份信息(如绑定到http请求头里面或token方式)传递给应用服务器，此种方法可以实现应用服务器对用户二次身份认证和链路加密，但是攻击者一旦获取用户的身份信息，仍然可以伪造用户身份进行攻击。

3.采用中间代理证书方式实现跨域访问，此种方案是用户使用个人证书与SSL代理服务器完成身份认证和链路加密，SSL代理服务器使用中间代理证书与应用系统完成身份认证和链路加密。此种方案可以实现全链路加密和避免用户的身份信息被伪造，但是应用在认证过程中，识别到的身份是代理服务器的身份，而非原始访问用户的身份。此时对于应用服务器的访问控制和监管审计来说界限是不清晰的。

发明内容

本发明针对背景技术存在的缺陷和不足，提出了在SSL代理服务器上采用事件证书与应用服务器进行SSL握手的利用事件证书实现全链路加密代理的方法。该方法对于应用只需要采用标准的SSL协议即可，不需要借助其他服务即可实现应用服务器对终端用户和SSL代理服务器的审计，也解决了不同CA之间互联中跨信任域问题。采用同一套PKI体系可实现对外网用户的独立监管审计，同时可以方便应用服务器对外网终端用户做二次访问控制和监管，跨域的身份认证和全链路加密服务使得外网用户获得与内网同样的访问体验。

事件证书是针对某一次事件或行为所提供的数字证书，事件证书应为专用数字证书且该事件证书内包含当次事件或行为中具备的关键要素，而此关键要素在其他事件或行为中是无法使用的。事件证书具有有效期短，不需要考虑身份吊销，一次一密等特点。在本发明中的事件证书有效期时长为一次SSL会话的时长。

一种利用事件证书实现全链路加密代理的方法，包括如下步骤：