(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111443091.2 (22)申请日 2021.11.30 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 范菁　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/14(2006.01)H04L 67/02(2022.01) (54)发明名称 一种加密通信方法、 系统及装置 (57)摘要 一种加密通信方法、 系统及装置， 包括： 接收 网络访问端发送的第一加密请求； 根据第一加密 请求向网络访问端需要访问的网络服务端发送 第二加密请求， 使网络服务端动态生成第一密 钥； 与网络服务端之间建立第一加密通道； 获取 网络服务的第一数字证书， 并根据第一数字证 书、 预设的新证书模板以及预存的新私钥生成第 二数字证书以及第二密钥； 将第二数字证书发送 至网络访问端， 与网络访问端之间建立第二加密 通道； 通过第二密钥对网络安全代理端与网络访 问端之间的第一交互数据进行加解密， 通过第一 密钥对网络安全代理端与网络服务端之间的第 二交互数据进行加解密， 不依赖于预先采集的网 络服务证书集合， 适用性好， 有利于提升通信效 率。 权利要求书2页 说明书11页 附图3页 CN 114143082 A 2022.03.04 CN 114143082 A 1.一种加密通信方法， 其特 征在于， 应用于网络安全代理端， 包括： 接收网络访问端发送的第一加密请求； 根据所述第 一加密请求向所述网络访问端需要访问的网络服务端发送第 二加密请求， 以使所述网络服 务端根据所述第二加密请求动态生成第一密钥； 与所述网络服 务端之间建立第一加密通道； 获取所述网络服务的第一数字证书， 并根据所述第一数字证书、 预设的新证书模板以 及预存的新私钥， 生成第二数字证书以及第二密钥； 将所述第二数字证书发送至所述网络访问端， 并与所述网络访问端之间建立第 二加密 通道； 通过所述第二密钥对所述网络安全代理端与所述网络访问端之间的第一交互数据进 行加解密， 以及通过所述第一密钥对所述网络安全代理端与所述网络服务端之 间的第二交 互数据进行加解密。 2.根据权利要求1所述的加密通信方法， 其特征在于， 所述根据 所述第一加密请求向所 述网络访问端需要访问的网络服 务端发送第二加密请求， 包括： 对所述第一加密请求进行解析， 得到网络服 务端的通信地址信息； 根据所述 通信地址信息确定需要访问的网络服 务端； 向所述网络服 务端发送第二加密请求。 3.根据权利要求1所述的加密通信方法， 其特征在于， 所述根据所述第一数字证书、 预 设的新证书模板以及预存的新私钥， 生成第二数字证书以及第二密钥， 包括： 对所述第一数字证书 进行解析， 得到校验信息和网络服 务信息； 根据所述校验信息校验所述第一数字证书是否正确； 如果正确， 则根据所述网络服 务信息和预设的新证书模板， 生成第二数字证书； 根据所述第二数字证书和预存的新私钥生成第二密钥。 4.根据权利要求1所述的加密通信方法， 其特征在于， 所述通过所述第 二密钥对所述网 络安全代理端与所述网络访问端之间的第一交 互数据进行加解密， 包括： 接收所述网络访问端发送的第一加密信息； 通过所述第二密钥对所述第一加密信息进行解密处 理， 得到第一 解密信息； 当所述第一解密信 息通过安全审查后， 通过所述第 一密钥对所述第 一解密信 息进行加 密处理， 得到第二加密信息， 并将所述第二加密信息发送至所述网络服 务端。 5.根据权利要求4所述的加密通信方法， 其特征在于， 所述通过所述第 一密钥对所述网 络安全代理端与所述网络服 务端之间的第二交 互数据进行加解密， 包括： 接收网络服 务端根据所述第二加密信息发送的第三加密信息； 通过所述第一密钥对所述第三加密信息进行解密处 理， 得到第二 解密信息； 当所述第二解密信 息通过安全审查后， 通过所述第 二密钥对所述第 二解密信 息进行加 密处理， 得到第四加密信息， 并将所述第四加密信息发送至所述网络访问端。 6.根据权利要求1所述的加密通信方法， 其特征在于， 所述与 所述网络访问端之间建立 第二加密通道， 包括： 当所述网络访问端对所述第 二数字证书校验无误 时， 与所述网络访问端之间建立第 二 加密通道。权　利　要　求　书 1/2 页 2 CN 114143082 A 27.一种加密通信系统， 其特征在于， 所述加密通信系统包括网络安全代 理端、 网络访问 端以及网络服 务端， 其中， 所述网络访问端， 用于发送第一加密请求至所述网络安全代理端； 所述网络安全代理端， 用于根据所述第 一加密请求向所述网络访问端需要访问的网络 服务端发送第二加密请求； 所述网络服务端， 用于根据所述第二加密请求动态生成第一密钥， 并与所述网络安全 代理端之间建立第一加密通道； 所述网络安全代理端， 还用于获取所述网络服务的第一数字证书； 并根据所述第一数 字证书、 预设的新证书模板以及预存的新私钥， 生成第二数字证书以及第二密钥， 并将所述 第二数字证书发送至所述网络访问端； 所述网络访 问端， 还用于当所述第二数字证书校验无误时， 与所述网络访 问端之间建 立第二加密通道； 并通过所述第二密钥对所述网络安全代理端与所述网络访问端之 间的第 一交互数据进行加解密； 所述网络安全代理端， 用于通过所述第 二密钥对所述网络安全代理端与所述网络访问 端之间的第一交互数据进 行加解密； 以及通过所述第一密钥对所述网络安全代理端与所述 网络服务端之间的第二交 互数据进行加解密； 所述网络服务端， 还用于所述通过所述第 一密钥对所述网络安全代理端与 所述网络服 务端之间的第二交 互数据进行加解密。 8.一种加密通信装置， 其特 征在于， 应用于网络安全代理端， 所述加密通信装置包括： 接收单元， 用于接收网络访问端发送的第一加密请求； 发送单元， 用于根据 所述第一加密请求向所述网络访问端需要访问的网络服务端发送 第二加密请求， 以使所述网络服 务端根据所述第二加密请求动态生成第一密钥； 建立单元， 用于与所述网络服 务端之间建立第一加密通道； 获取单元， 用于获取 所述网络服 务的第一数字证书； 生成单元， 用于根据 所述第一数字证书、 预设的新证书模板以及预存的新私钥， 生成第 二数字证书以及第二密钥； 所述发送单 元， 还用于将所述第二数字证书发送至所述网络访问端； 所述建立单 元， 还用于与所述网络访问端之间建立第二加密通道； 第一加解密单元， 用于通过所述第 二密钥对所述网络安全代理端与 所述网络访问端之 间的第一交 互数据进行加解密； 第二加解密单元， 用于通过所述第 一密钥对所述网络安全代理端与 所述网络服务端之 间的第二交 互数据进行加解密。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至6中 任一项所述的加密通信方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至6任一项 所述的加密通信方 法。权　利　要　求　书 2/2 页 3 CN 114143082 A 3