实现建立安全的对等连接制造技术
Implementing a secure peer to peer connection
A method for server is proposed to establish a secure peer to peer connection between the first peer and the second peer. The method includes the following steps: receiving a request for a web application from the first peer; sending a command to the first peer to request the fingerprint of the certificate at the first peer; receiving the first fingerprint from the first peer; and sending the first fingerprint to the second peer.
【技术实现步骤摘要】
【国外来华专利技术】实现建立安全的对等连接
本专利技术涉及用于实现建立安全对等连接的方法、服务器、对等设备、计算机程序和计算机程序产品。
技术介绍
WebRTC(Web实时通信)RTC对等连接(RTCPeerConnection)是能够双向传输诸如音频和视频之类的实时媒体以及传输数据对象的对等连接。这些RTC对等连接是通过交换某些配置信息来建立的。在Web浏览器中,有一个定义的JavaScriptAPI(应用编程接口)来触发RTC对等连接的建立,并消耗和提供必要的配置信息。然后通过例如使用HTTP(超文本传输协议)、WebSocket等查找和连接服务(通常建立在集中式服务器上)来交换该配置信息,以经由服务器在对等端之间传输必要的信令信息。Java脚本(JS)是在Web浏览器沙箱中执行的代码,即仅在Web浏览器中执行的代码,一般不能访问底层操作系统。但是,尽管存在各种安全机制,但在访问特定Web服务时,将代码注入到特定用户在浏览器中运行的JS代码存在很大风险。这种风险是中间人注入、跨站点脚本(XSS)或不佳混搭(mash-up),导致恶意Java脚本可能被执行。
技术实现思路
实施例的一个目的在于防止中间人作为对等端插入对等连接(诸如RTC对等连接)的攻击。这种攻击是通过使用已注入本地浏览器(用户代理)上下文的客户端代码执行的信令消息的操纵来完成的。根据第一方案,提出了一种用于服务器的方法,用于实现在第一对等端和第二对等端之间建立安全的对等连接。所述方法包括以下步骤:从第一对等端接收针对web应用的请求;向第一对等端发送命令以请求第一对等端的证书的指纹;从第一对等端接收第一指纹;以...
【技术保护点】
一种用于服务器的方法,用于实现在第一对等端和第二对等端之间建立安全对等连接,所述方法包括以下步骤:从第一对等端接收(40)针对web应用的请求;向所述第一对等端发送(42)命令以请求所述第一对等端的证书的指纹;从所述第一对等端接收(44)第一指纹;以及向所述第二对等端发送(50)所述第一指纹。
【技术特征摘要】
【国外来华专利技术】2015.07.15 US 62/192,7161.一种用于服务器的方法,用于实现在第一对等端和第二对等端之间建立安全对等连接,所述方法包括以下步骤:从第一对等端接收(40)针对web应用的请求;向所述第一对等端发送(42)命令以请求所述第一对等端的证书的指纹;从所述第一对等端接收(44)第一指纹;以及向所述第二对等端发送(50)所述第一指纹。2.根据权利要求1所述的方法,还包括以下步骤:从所述第二对等端接收(41)针对所述web应用的请求;向所述第二对等端发送(47)命令以请求所述第二对等端的证书的指纹;从所述第二对等端接收(48)第二指纹;以及向所述第一对等端发送(52)所述第二指纹。3.根据权利要求1或2所述的方法,其中:向所述第一对等端发送(42)命令的步骤包括:发送命令以指示所述第一对等端为与所述web应用相关联的任意对等连接所使用的每个证书提交哈希值;接收(44)第一指纹数据的步骤包括:接收在所述web应用的上下文中使用的每个证书的相应哈希值;当被执行时,向所述第二对等端发送(47)命令的步骤包括:发送命令以指示所述第二对等端为与所述web应用相关联的任意对等连接所使用的每个证书提交哈希值;以及当被执行时,接收(48)第二指纹数据的步骤包括:接收在所述web应用的上下文中使用的每个证书的相应哈希值。4.根据权利要求1至3中任一项所述的方法,其中:向所述第一对等端发送(42)命令的步骤包括发送内容安全策略CSP命令;接收(44)第一指纹数据的步骤包括:接收包括在所述web应用的上下文中使用的每个证书的相应指纹在内的CSP命令;当被执行时,向所述第二对等端发送(47)命令的步骤包括发送CSP命令;以及当被执行时,接收(48)第二指纹数据的步骤包括:接收包括在所述web应用的上下文中使用的每个证书的相应指纹在内的CSP命令。5.根据权利要求1至4中任一项所述的方法,还包括以下步骤:从所述第一对等端接收(45)配置信息,所述配置信息包括所述第二对等端的标识符。6.根据权利要求5所述的方法,还包括以下步骤:通过参照所述第一指纹数据检查配置消息来检查(46)配置消息的发送方的有效性。7.根据权利要求4至6中任一项所述的方法,还包括以下步骤:分别向所述第一对等端和所述第二对等端发送(54)两个统一资源标识符URI以接收指纹数据;以及其中向所述第二对等端发送(50)所述第一指纹的步骤包括:使用所述URI中的一个URI,在对请求的响应中发送所述第一指纹;以及其中向所述第一对等端发送(52)所述第二指纹的步骤包括:使用所述URI中的一个URI,在对请求的响应中发送所述第二指纹。8.根据前述权利要求中任一项所述的方法,其中,所述安全对等连接是数据报传输层安全DTLS连接,并且每个证书是DTLS证书。9.一种服务器(101,101’),用于实现在第一对等端和第二对等端之间建立安全的对等连接,所述服务器包括:处理器(60);以及存储器(64),包括能够由所述处理器执行以进行以下操作的指令(66):从第一对等端接收针对web应用的请求;向第一对等端发送指令以请求所述第一对等端的证书的指纹;从所述第一对等端接收第一指纹;以及向所述第二对等端发送所述第一指纹。10.根据权利要求9所述的服务器(101,101’),还包括能够由所述处理器执行以进行以下操作的指令(66):从所述第二对等端接收针对web应用的请求;向所述第二对等端发送指令以请求所述第二对等端的证书的指纹;从所述第二对等端接收第二指纹;以及向所述第一对等端发送所述第二指纹。11.根据权利要求9或10所述的服务器(101,101’),其中:用于向所述第一对等端发送(42)命令的指令包括能够由所述处理器执行以进行以下操作的指令(66):发送命令以指示所述第一对等端为与所述web应用相关联的任意对等连接所使用的每个证书提交哈希值;用于接收第一指纹数据的指令包括能够由所述处理器执行以进行以下操作的指令(66):接收在所述web应用的上下文中使用的每个证书的相应哈希值;当被执行时,用于向所述第二对等端发送命令的指令包括能够由所述处理器执行以进行以下操作的指令(66):发送命令以指示所述第二对等端为与所述web应用相关联的任意对等连接所使用的每个证书提交哈希值;以及当被执行时,用于接收第二指纹数据的指令包括能够由所述处理器执行以进行以下操作的指令(66):接收在所述web应用的上下文中使用的每个证书的相应哈希值。12.根据权利要求9至11中任一项所述的服务器(101,101’),其中:向所述第一对等端发送命令的指令包括能够由所述处理器执行以进行以下操作的指令(66):发送内容安全策略CSP命令;用于接收第一指纹数据的指令包括能够由所述处理器执行以进行以下操作的指令(66):接收包括在所述web应用的上下文中使用的每个证书的相应指纹在内的CSP命令;当被执行时,用于向所述第二对等端发送命令的指令包括能够由所述处理器执行以进行如下操作的指令(66):发送CSP命令;以及当被执行时,用于接收第二指纹数据的指令包括能够由所述处理器执行以进行以下操作的指令(66):接收包括在所述web应用的上下文中使用的每个证书的相应指纹在内的CSP命令。13.根据权利要求9至12中任一项所述的服务器(101,101’),还包括能够由所述处理器执行以进行以下操作的指令(66):从所述第一对等端接收配置信息,所述配置信息包括所述第二对等端的标识符。14.根据权利要求13所述的服务器(101,101’),还包括能够由所述处理器执行以进行以下操作的指令(66):通过参照所述第一指纹数据检查配置消息来检查配置消息的发送方的有效性。15.根据权利要求12至14中任一项所述的服务器(101,101’),还包括能够由所述处理器执行以进行以下操作的指令(66):分别向所述第一对等端和所述第二对等端发送两个统一资源标识符URI以接收指纹数据;以及其中向所述第二对等端发送所述第一指纹的指令包括能够由所述处理器执行以进行以下操作的指令(66):使用所述URI中的一个URl,在对请求的响应中发送所述第一指纹;以及其中向所述第一对等端发送(52)所述第二指纹...
【专利技术属性】
技术研发人员:马格纳斯·威斯特兰德,葛兰·埃里克森,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。