本发明专利技术实施例提供一种互联网数据验证方法及系统,其中,所提供的方法包括:接收用户终端发送的数据获取请求,生成预言机线程,在所述预言机线程中创建TLS客户端;TLS客户端根据所述数据获取请求中的统一资源定位符,向所述统一资源定位符对应的网络服务器请求服务端数据;将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件,并将证明文件发送给用户终端;其中,所述TLS客户端在飞地中运行。本发明专利技术实施例提供的方,将TLS客户端运行在可信安全计算环境飞地中,可以保证TLS客户端的代码和获取TLS连接中的对称密钥不被篡改,进而保证TLS客户端从Server获得的数据的真实性,可供任何第三方来验证证据文件的可靠性。
An Internet Data Verification Method and System
【技术实现步骤摘要】
一种互联网数据验证方法及系统
本专利技术实施例涉及信息安全
,尤其涉及一种互联网数据验证方法及系统。
技术介绍
目前大多数互联网服务已经把过去基于HTTP协议的互联网内容转变为基于HTTPS协议的内容,使这些内容获得更好的机密性和完整性保护。但是,这种保护仅仅针对服务端和客户端两方,依然缺少一种高效、安全的方法,可以向第三方证明通信内容是没有被篡改的,且证明方法具有标准化、不可否认的特性。这种不可否认的特性将使得用户可以向第三方证明,在特定信源处获得的内容的确由该服务方提供,内容真实且在传输过程中未被篡改。目前用户记录和共享互联网上所见内容的常用方法之一是截图,而截图容易被篡改和伪造,在现有技术中,TLSnotary提供的服务,允许第三方审核员证明服务器和客户端之间的安全传输层协议(TLS)连接。如果客户端与第三方审核员遵循特定协议,则在启动与服务器的连接时,第三方审核员能够证明客户端提供了源自服务器的数据。TLSnotary通过利用TLS1.0和TLS1.1的特定属性,来修改客户端的TLS握手协议。具体而言,客户端不能生成SrverMACKey,只有第三方审核员能够这样做,有效地防止客户端伪造看似源自服务器的数据。客户端提供数据哈希后,第三方审核员释放TLSSeverMACKey。然后,客户端可以完成与服务端的会话过程。在现有技术中,虽然TLSnotary提供了一种证明客户端与服务端安全可信传输数据的方案,但它同时存在一些限制和安全问题。虽然TLSnotary提供了一种证明客户端与服务端安全可信传输数据的方案,但它同时存在一些限制和安全问题。首先,TLSnotary仅支持TLS1.0与TLS1.1版本,不支持基于TLS1.2和1.3的传输协议,而TLS1.1及以下版本被认为不如TLS1.2及以上版本安全;其次,TLSnotary只能使用散列函数MD5和SHA-1,但出于安全考虑,这两种散列函数都不被推荐使用;此外TLSnotary仅支持RSA密钥交换,它不提供前向保密;最后TLSnotary在大多数用例中需要通过可信的第三方,提供数据审核服务。现有的TLSNotary实现中,并没有从技术手段保证审核服务的安全有效。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种互联网数据验证方法及系统。第一方面,本专利技术实施例提供一种互联网数据验证方法,包括:接收用户终端发送的数据获取请求,生成预言机线程,在所述预言机线程中创建TLS客户端;TLS客户端根据所述数据获取请求中的统一资源定位符,向所述统一资源定位符对应的网络服务器请求服务端数据;将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件,并将证明文件发送给用户终端;其中,所述TLS客户端在飞地中运行。其中,所述将所述服务端数据发送给认证服务器进行认证的步骤之前,还包括:根据所述服务端数据,生成飞地报告,将所述飞地报告在引述飞地中进行签名,生成引述。其中,所述将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件的步骤,具体包括:将所述引述发送给认证服务器进行认证,接收所述认证服务器返回的认证报告;将所述认证报告写入证据文件中,生成由所述认证服务器认证后的证明文件。其中,根据所述服务端数据,生成飞地报告的步骤,具体包括:计算所述网络服务器的请求和响应内容的哈希值,并调用Intel服务,生成飞地报告。其中,所述在所述预言机线程中创建TLS客户端的步骤之前,还包括:获取召回列表;相应的,所述在所述预言机线程中创建TLS客户端的步骤之后,还包括,将所述召回列表发送至所述TLS客户端。第二方面,本专利技术实施例提供一种互联网数据验证系统,包括:预言机线程生成模块,用于接收用户终端发送的数据获取请求,生成预言机线程,在所述预言机线程中创建TLS客户端;数据请求模块,用于TLS客户端根据所述数据获取请求中的统一资源定位符,向所述统一资源定位符对应的网络服务器请求服务端数据;证据文件生成模块,用于将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件,并将证明文件发送给用户终端;其中,所述TLS客户端在飞地中运行。其中,所述系统还包括:引述生成模块,用于根据所述服务端数据,生成飞地报告,将所述飞地报告在引述飞地中进行签名,生成引述。其中,所述证据文件生成模块具体用于:将所述引述发送给认证服务器进行认证,接收所述认证服务器返回的认证报告;将所述认证报告写入证据文件中,生成由所述认证服务器认证后的证明文件。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的互联网数据验证方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的互联网数据验证方法的步骤。本专利技术实施例提供的互联网数据验证方法及系统,提供一个web服务。用户提交他们想要安全抓取的HTTPS协议的数据源的网址,该服务将安全可信的获取TLS协议的数据,并且生成一个独立完备可验证的证据文件。应用IntelSGX技术,将TLS客户端运行在可信安全计算环境飞地中,可以保证没有人能够篡改TLS客户端的代码和获取TLS连接中的对称密钥,因此没有人能够篡改TLS客户端从Server获得的数据,实现了对证据文件的验证程序,可供任何第三方来验证证据文件的可靠性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例提供的互联网数据验证方法的流程示意图;图2为本专利技术一实施例提供的互联网数据验证系统的结构示意图;图3为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参考图1,图1为本专利技术一实施例提供的互联网数据验证方法的流程示意图,所提供的方法包括:S1,接收用户终端发送的数据获取请求,生成预言机线程,在所述预言机线程中创建TLS客户端。S2,TLS客户端根据所述数据获取请求中的统一资源定位符,向所述统一资源定位符对应的网络服务器请求服务端数据。S3,将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件,并将证明文件发送给用户终端。其中,所述TLS客户端在飞地中运行。具体的,本实施例中,结合IntelSGX技术,提供了一套验证服务。当运行在安全计算环境中的客户端获得可信的数据后,可以通过验证服务确保代码的一致性,及代码执行过程的可靠性。SGX全称IntelSoftwareGuardExtensions,顾名思本文档来自技高网...
【技术保护点】
1.一种互联网数据验证方法,其特征在于,包括:接收用户终端发送的数据获取请求,生成预言机线程,在所述预言机线程中创建TLS客户端;TLS客户端根据所述数据获取请求中的统一资源定位符,向所述统一资源定位符对应的网络服务器请求服务端数据;将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件,并将证明文件发送给用户终端;其中,所述TLS客户端在飞地中运行。
【技术特征摘要】
1.一种互联网数据验证方法,其特征在于,包括:接收用户终端发送的数据获取请求,生成预言机线程,在所述预言机线程中创建TLS客户端;TLS客户端根据所述数据获取请求中的统一资源定位符,向所述统一资源定位符对应的网络服务器请求服务端数据;将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件,并将证明文件发送给用户终端;其中,所述TLS客户端在飞地中运行。2.根据权利要求1所述的方法,其特征在于,所述将所述服务端数据发送给认证服务器进行认证的步骤之前,还包括:根据所述服务端数据,生成飞地报告,将所述飞地报告在引述飞地中进行签名,生成引述。3.根据权利要2所述的方法,其特征在于,所述将所述服务端数据发送给认证服务器进行认证,生成由所述认证服务器认证后的证明文件的步骤,具体包括:将所述引述发送给认证服务器进行认证,接收所述认证服务器返回的认证报告;将所述认证报告写入证据文件中,生成由所述认证服务器认证后的证明文件。4.根据权利要求2所述的方法,其特征在于,根据所述服务端数据,生成飞地报告的步骤,具体包括:计算所述网络服务器的请求和响应内容的哈希值,并调用Intel服务,生成飞地报告。5.根据权利要求1所述的方法,其特征在于,所述在所述预言机线程中创建TLS客户端的步骤之前,还包括:获取召回列表;相应的,所述在所述预言机线程中创建TLS客户端的步骤之后...
【专利技术属性】
技术研发人员:王虎,杨文韬,李卫,李绪成,易晓春,陈昌,王昊,
申请(专利权)人:西安纸贵互联网科技有限公司,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。