實現建立安全的對等連接制造技術

提出了一種用于服務器的方法，用于實現在第一對等端和第二對等端之間建立安全的對等連接。該方法包括以下步驟：從第一對等端接收針對web應用的請求；向第一對等端發送命令以請求第一對等端的證書的指紋；從第一對等端接收第一指紋；以及向第二對等端發送第一指紋。

Implementing a secure peer to peer connection

A method for server is proposed to establish a secure peer to peer connection between the first peer and the second peer. The method includes the following steps: receiving a request for a web application from the first peer; sending a command to the first peer to request the fingerprint of the certificate at the first peer; receiving the first fingerprint from the first peer; and sending the first fingerprint to the second peer.

【技術實現步驟摘要】
【國外來華專利技術】實現建立安全的對等連接
本專利技術涉及用于實現建立安全對等連接的方法、服務器、對等設備、計算機程序和計算機程序產品。
技術介紹
WebRTC(Web實時通信)RTC對等連接(RTCPeerConnection)是能夠雙向傳輸諸如音頻和視頻之類的實時媒體以及傳輸數據對象的對等連接。這些RTC對等連接是通過交換某些配置信息來建立的。在Web瀏覽器中，有一個定義的JavaScriptAPI(應用編程接口)來觸發RTC對等連接的建立，并消耗和提供必要的配置信息。然后通過例如使用HTTP(超文本傳輸協議)、WebSocket等查找和連接服務(通常建立在集中式服務器上)來交換該配置信息，以經由服務器在對等端之間傳輸必要的信令信息。Java腳本(JS)是在Web瀏覽器沙箱中執行的代碼，即僅在Web瀏覽器中執行的代碼，一般不能訪問底層操作系統。但是，盡管存在各種安全機制，但在訪問特定Web服務時，將代碼注入到特定用戶在瀏覽器中運行的JS代碼存在很大風險。這種風險是中間人注入、跨站點腳本(XSS)或不佳混搭(mash-up)，導致惡意Java腳本可能被執行。
技術實現思路
實施例的一個目的在于防止中間人作為對等端插入對等連接(諸如RTC對等連接)的攻擊。這種攻擊是通過使用已注入本地瀏覽器(用戶代理)上下文的客戶端代碼執行的信令消息的操縱來完成的。根據第一方案，提出了一種用于服務器的方法，用于實現在第一對等端和第二對等端之間建立安全的對等連接。所述方法包括以下步驟：從第一對等端接收針對web應用的請求；向第一對等端發送命令以請求第一對等端的證書的指紋；從第一對等端接收第一指紋；以及向第二對等端發送第一指紋。所述方法還可以包括以下步驟：從所述第二對等端接收針對web應用的請求；向所述第二對等端發送指令以請求所述第二對等端的證書的指紋；從所述第二對等端接收第二指紋；以及向所述第一對等端發送所述第二指紋。向所述第一對等端發送命令的步驟可以包括：發送命令以指示所述第一對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；在這種情況下，接收第一指紋數據的步驟包括：接收在所述web應用的上下文中使用的每個證書的相應哈希值。當被執行時，向所述第二對等端發送命令的步驟可以包括：發送命令以指示所述第二對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；在這種情況下，當被執行時，接收第二指紋數據的步驟包括：接收在所述web應用的上下文中使用的每個證書的相應哈希值?！爱敱粓绦袝r”一詞應被解釋為當所涉及的(可選)的步驟被執行時，還存在其他適用的主題。向所述第一對等端發送命令的步驟可以包括發送內容安全策略CSP命令；在這種情況下，接收第一指紋數據的步驟可以包括：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令。當被執行時，向所述第二對等端發送命令的步驟可以包括發送CSP命令；在這種情況下，當被執行時，接收第二指紋數據的步驟可以包括：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令。所述方法還可以包括以下步驟：從所述第一對等端接收配置信息，所述配置信息包括所述第二對等端的標識符。所述方法還可以包括以下步驟：通過參照所述第一指紋數據檢查配置消息來檢查配置消息的發送方的有效性。所述方法還可以包括以下步驟：分別向所述第一對等端和所述第二對等端發送兩個統一資源標識符URI以接收指紋數據；在這種情況下，向所述第二對等端發送所述第一指紋的步驟包括：使用所述URI中的一個URI，在對請求的響應中發送所述第一指紋；以及向所述第一對等端發送所述第二指紋的步驟包括：使用所述URI中的一個URI，在對請求的響應中發送所述第二指紋。安全對等連接可以是數據報傳輸層安全DTLS連接，并且每個證書是DTLS證書。根據第二方案，提出了一種用于實現在第一對等端和第二對等端之間建立安全對等連接的服務器。所述服務器包括：處理器；以及存儲器，包括能夠由所述處理器執行以進行以下操作的指令：從第一對等端接收針對web應用的請求；向第一對等端發送指令以請求所述第一對等端的證書的指紋；從第一對等端接收第一指紋；以及向所述第二對等端發送所述第一指紋。所述服務器還可以包括能夠由所述處理器執行以進行以下操作的指令：從所述第二對等端接收針對web應用的請求；向所述第二對等端發送指令以請求所述第二對等端的證書的指紋；以及從所述第二對等端接收第二指紋；以及向所述第一對等端發送所述第二指紋。用于向所述第一對等端發送命令的指令可以包括能夠由所述處理器執行以進行以下操作的指令：發送命令以指示所述第一對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；在這種情況下，用于接收第一指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令：接收在所述web應用的上下文中使用的每個證書的相應哈希值。當被執行時，用于向所述第二對等端發送命令的指令可以包括能夠由所述處理器執行以進行以下操作的指令：發送命令以指示所述第二對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；在這種情況下，當被執行時，用于接收第二指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令：接收在所述web應用的上下文中使用的每個證書的相應哈希值。向所述第一對等端發送命令的指令可以包括能夠由所述處理器執行以進行以下操作的指令：發送內容安全策略CSP命令；在這種情況下，用于接收第一指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令。當被執行時，用于向所述第二對等端發送命令的指令可以包括能夠由所述處理器執行以進行如下操作的指令：發送CSP命令；在這種情況下，用于接收第二指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令。所述服務器還可以包括能夠由所述處理器執行以進行以下操作的指令：從所述第一對等端接收配置信息，所述配置信息包括所述第二對等端的標識符。所述服務器還可以包括能夠由所述處理器執行以進行以下操作的指令：通過參照所述第一指紋數據檢查配置消息來檢查配置消息的發送方的有效性。所述服務器還可以包括能夠由所述處理器執行以進行以下操作的指令：分別向所述第一對等端和所述第二對等端發送兩個統一資源標識符URI以接收指紋數據。在這種情況下，其中向所述第二對等端發送所述第一指紋的指令包括能夠由所述處理器執行以進行以下操作的指令：使用所述URI中的一個URI，在對請求的響應中發送所述第一指紋；以及向所述第一對等端發送所述第二指紋的指令包括能夠由所述處理器執行以進行以下操作的指令：使用所述URI中的一個URI，在對請求的響應中發送所述第二指紋。安全對等連接可以是數據報傳輸層安全DTLS連接，并且每個證書可以是DTLS證書。根據第三方案，提出了一種服務器，包括：用于從第一對等端接收針對web應用的請求的裝置；用于向所述第一對等端發送命令以請求所述第一對等端的證書的指紋的裝置；用于從所述第一對等端接收第一指紋的裝置；以及用于向第二對等端發送所述第一指紋從而實現在所述第一對等端本文檔來自技高網...

【技術保護點】
一種用于服務器的方法，用于實現在第一對等端和第二對等端之間建立安全對等連接，所述方法包括以下步驟：從第一對等端接收(40)針對web應用的請求；向所述第一對等端發送(42)命令以請求所述第一對等端的證書的指紋；從所述第一對等端接收(44)第一指紋；以及向所述第二對等端發送(50)所述第一指紋。

【技術特征摘要】
【國外來華專利技術】2015.07.15 US 62/192,7161.一種用于服務器的方法，用于實現在第一對等端和第二對等端之間建立安全對等連接，所述方法包括以下步驟：從第一對等端接收(40)針對web應用的請求；向所述第一對等端發送(42)命令以請求所述第一對等端的證書的指紋；從所述第一對等端接收(44)第一指紋；以及向所述第二對等端發送(50)所述第一指紋。2.根據權利要求1所述的方法，還包括以下步驟：從所述第二對等端接收(41)針對所述web應用的請求；向所述第二對等端發送(47)命令以請求所述第二對等端的證書的指紋；從所述第二對等端接收(48)第二指紋；以及向所述第一對等端發送(52)所述第二指紋。3.根據權利要求1或2所述的方法，其中：向所述第一對等端發送(42)命令的步驟包括：發送命令以指示所述第一對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；接收(44)第一指紋數據的步驟包括：接收在所述web應用的上下文中使用的每個證書的相應哈希值；當被執行時，向所述第二對等端發送(47)命令的步驟包括：發送命令以指示所述第二對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；以及當被執行時，接收(48)第二指紋數據的步驟包括：接收在所述web應用的上下文中使用的每個證書的相應哈希值。4.根據權利要求1至3中任一項所述的方法，其中：向所述第一對等端發送(42)命令的步驟包括發送內容安全策略CSP命令；接收(44)第一指紋數據的步驟包括：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令；當被執行時，向所述第二對等端發送(47)命令的步驟包括發送CSP命令；以及當被執行時，接收(48)第二指紋數據的步驟包括：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令。5.根據權利要求1至4中任一項所述的方法，還包括以下步驟：從所述第一對等端接收(45)配置信息，所述配置信息包括所述第二對等端的標識符。6.根據權利要求5所述的方法，還包括以下步驟：通過參照所述第一指紋數據檢查配置消息來檢查(46)配置消息的發送方的有效性。7.根據權利要求4至6中任一項所述的方法，還包括以下步驟：分別向所述第一對等端和所述第二對等端發送(54)兩個統一資源標識符URI以接收指紋數據；以及其中向所述第二對等端發送(50)所述第一指紋的步驟包括：使用所述URI中的一個URI，在對請求的響應中發送所述第一指紋；以及其中向所述第一對等端發送(52)所述第二指紋的步驟包括：使用所述URI中的一個URI，在對請求的響應中發送所述第二指紋。8.根據前述權利要求中任一項所述的方法，其中，所述安全對等連接是數據報傳輸層安全DTLS連接，并且每個證書是DTLS證書。9.一種服務器(101，101’)，用于實現在第一對等端和第二對等端之間建立安全的對等連接，所述服務器包括：處理器(60)；以及存儲器(64)，包括能夠由所述處理器執行以進行以下操作的指令(66)：從第一對等端接收針對web應用的請求；向第一對等端發送指令以請求所述第一對等端的證書的指紋；從所述第一對等端接收第一指紋；以及向所述第二對等端發送所述第一指紋。10.根據權利要求9所述的服務器(101，101’)，還包括能夠由所述處理器執行以進行以下操作的指令(66)：從所述第二對等端接收針對web應用的請求；向所述第二對等端發送指令以請求所述第二對等端的證書的指紋；從所述第二對等端接收第二指紋；以及向所述第一對等端發送所述第二指紋。11.根據權利要求9或10所述的服務器(101，101’)，其中：用于向所述第一對等端發送(42)命令的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：發送命令以指示所述第一對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；用于接收第一指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：接收在所述web應用的上下文中使用的每個證書的相應哈希值；當被執行時，用于向所述第二對等端發送命令的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：發送命令以指示所述第二對等端為與所述web應用相關聯的任意對等連接所使用的每個證書提交哈希值；以及當被執行時，用于接收第二指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：接收在所述web應用的上下文中使用的每個證書的相應哈希值。12.根據權利要求9至11中任一項所述的服務器(101，101’)，其中：向所述第一對等端發送命令的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：發送內容安全策略CSP命令；用于接收第一指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令；當被執行時，用于向所述第二對等端發送命令的指令包括能夠由所述處理器執行以進行如下操作的指令(66)：發送CSP命令；以及當被執行時，用于接收第二指紋數據的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：接收包括在所述web應用的上下文中使用的每個證書的相應指紋在內的CSP命令。13.根據權利要求9至12中任一項所述的服務器(101，101’)，還包括能夠由所述處理器執行以進行以下操作的指令(66)：從所述第一對等端接收配置信息，所述配置信息包括所述第二對等端的標識符。14.根據權利要求13所述的服務器(101，101’)，還包括能夠由所述處理器執行以進行以下操作的指令(66)：通過參照所述第一指紋數據檢查配置消息來檢查配置消息的發送方的有效性。15.根據權利要求12至14中任一項所述的服務器(101，101’)，還包括能夠由所述處理器執行以進行以下操作的指令(66)：分別向所述第一對等端和所述第二對等端發送兩個統一資源標識符URI以接收指紋數據；以及其中向所述第二對等端發送所述第一指紋的指令包括能夠由所述處理器執行以進行以下操作的指令(66)：使用所述URI中的一個URl，在對請求的響應中發送所述第一指紋；以及其中向所述第一對等端發送(52)所述第二指紋...

【專利技術屬性】
技術研發人員：馬格納斯·威斯特蘭德，葛蘭·埃里克森，
申請(專利權)人：瑞典愛立信有限公司，
類型：發明
國別省市：瑞典,SE