CN101141447B - Https通信隧道安全检查和内容过滤系统和方法 - Google Patents
Https通信隧道安全检查和内容过滤系统和方法 Download PDFInfo
- Publication number
- CN101141447B CN101141447B CN2006101506976A CN200610150697A CN101141447B CN 101141447 B CN101141447 B CN 101141447B CN 2006101506976 A CN2006101506976 A CN 2006101506976A CN 200610150697 A CN200610150697 A CN 200610150697A CN 101141447 B CN101141447 B CN 101141447B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- transfer protocol
- hypertext transfer
- secure hypertext
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000004891 communication Methods 0.000 title claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 238000012546 transfer Methods 0.000 claims description 111
- 238000007689 inspection Methods 0.000 claims description 50
- 230000002155 anti-virotic effect Effects 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 10
- 241000700605 Viruses Species 0.000 claims description 4
- 230000009545 invasion Effects 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 230000001012 protector Effects 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 abstract description 5
- 238000010276 construction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Abstract
本发明涉及一种安全超文本传输协议通信隧道安全检查和内容过滤方法和系统,用于检查客户端与服务器端间的安全超文本传输协议连接,所述方法包括步骤:步骤一、安全超文本传输协议代理服务器将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;步骤二、数字证书分析装置将上述安全超文本传输协议连接数据中的数字证书与所存储的数字证书相比较,如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则执行步骤三;步骤三、安全超文本传输协议代理服务器将客户端与服务器端直接连接。
Description
技术领域
本发明涉及一种计算机网络系统,尤其是涉及一种HTTPS(安全超文本传输协议)通信隧道安全检查和内容过滤系统。
背景技术
在以往的HTTPS通信隧道安全检查和内容过滤系统中,如图1所示,HTTPS代理服务器将HTTPS连接内容解密,安全检查和内容过滤装置对解密后的数据进行处理并将处理后的数据返回给HTTPS代理服务器,HTTPS代理服务器再将其加密并发送出去,对此美国专利申请US20030131256A1给出了详细的技术方案。在上述现有技术中,HTTPS连接在HTTPS代理服务器处被解密成明文。这就造成了敏感数据可能被泄漏的危险。如当用户访问银行的网站时,其账户信息和密码在HTTPS代理服务器处被解密成明文,用户的帐户信息和密码有可能会在HTTPS代理服务器处被泄漏,系统存在安全隐患。
发明内容
本发明的主要目的,在于提供一种对HTTPS数字证书的分析和处理方法,使得受信任的网站可以通过他所提供的受信任的数字证书,直接与客户端通信,而不需要HTTPS代理服务器对其连接的内容进行安全检查和内容过滤,消除了用户敏感数据在HTTPS代理服务器处泄漏的危险。
为此,本发明提供一种安全超文本传输协议通信隧道安全检查和内容过滤方法,用于检查客户端与服务器端间的安全超文本传输协议连接,包括步骤:
步骤一、安全超文本传输协议代理服务器将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;
步骤二、数字证书分析装置将上述安全超文本传输协议连接数据中的数字证书与所存储的数字证书相比较,如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则执行步骤三;
步骤三、安全超文本传输协议代理服务器将客户端与服务器端直接连接。
其中,在所述步骤二中如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书黑名单列表,则执行步骤四;
步骤四、安全超文本传输协议代理服务器阻止客户端与服务器端进行连接。
其中,在所述步骤二中如果所述由安全超文本传输协议代理服务器发送的数字证书是未知数字证书,则执行步骤五;
步骤五、安全超文本传输协议代理服务器将上述安全超文本传输协议连接转换为客户端向其自身的连接,并将安全超文本传输协议连接数据解密为明文数据。
其中,还包括步骤:
步骤六、将解密后的明文数据进行安全检查和内容过滤;
步骤七、安全超文本传输协议代理服务器向服务器端发送安全超文本传输协议连接数据;
步骤八、服务器端向安全超文本传输协议代理服务器返回回复数据,安全超文本传输协议代理服务器将上述回复数据转发到客户端。
其中,所述安全检查和内容过滤包括以下方式至少之一:网页过滤、反病毒、入侵检测与防护、反网络钓鱼以及访问策略检查。
为此,本发明还提供一种安全超文本传输协议通信隧道安全检查和内容过滤方法,用于检查客户端与服务器端间的安全超文本传输协议连接,包括步骤:
步骤1、统一资源定位符分析装置判断客户端向服务器端发送的安全超文本传输协议连接数据中的统一资源定位符是否属于统一资源定位符白名单列表或者统一资源定位符黑名单列表;如果上述统一资源定位符是一个未知的统一资源定位符,则执行步骤2;
步骤2、将客户端向服务器端发送的安全超文本传输协议连接数据发送到安全超文本传输协议代理服务器。
步骤3、安全超文本传输协议代理服务器将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;
步骤4、数字证书分析装置将上述安全超文本传输协议连接数据中的数字证书与所存储的数字证书相比较,如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则执行步骤5;
步骤5、将客户端与服务器端直接连接
其中,在所述步骤1中,如果上述统一资源定位符属于统一资源定位符白名单列表,则将使客户端与服务器端直接连接;
如果上述统一资源定位符属于统一资源定位符黑名单列表,则阻止客户端与服务器端的连接;
其中,在所述步骤4中如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书黑名单列表,则安全超文本传输协议代理服务器阻止客户端与服务器端进行连接。
其中,在所述步骤4中如果所述由安全超文本传输协议代理服务器发送的数字证书是未知数字证书,则执行步骤6;
步骤6、安全超文本传输协议代理服务器将上述安全超文本传输协议连接转换为客户端向其自身的连接,并将安全超文本传输协议连接数据解密为明文数据。
其中,还包括步骤:
步骤7、将解密后的明文数据进行安全检查和内容过滤;
步骤8、安全超文本传输协议代理服务器向服务器端发送安全超文本传输协议连接数据;
步骤9、服务器端向安全超文本传输协议代理服务器返回回复数据,安全超文本传输协议代理服务器将上述回复数据转发到客户端。
其中,所述安全检查和内容过滤包括以下方式至少之一:网页过滤、反病毒、入侵检测与防护、反网络钓鱼以及访问策略检查。
为此,本发明还提供一种安全超文本传输协议通信隧道安全检查和内容过滤系统,用于检查客户端与服务器端间的安全超文本传输协议连接,所述系统包括安全超文本传输协议代理服务器以及数字证书分析装置,其中: 所述安全超文本传输协议代理服务器,用于代理客户端与服务器端的安全超文本传输协议连接,并将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;以及
所述数字证书分析装置,用于判断由上述数字证书是否属于数字证书白名单列表或者数字证书黑名单列表。
其中,还包括统一资源定位符分析装置;用于判断客户端向服务器端发送的安全超文本传输协议连接数据中的统一资源定位符是否属于统一资源定位符白名单列表或者统一资源定位符黑名单列表。
其中,所述统一资源定位符分析装置中还包括统一资源定位符数据库,所述统一资源定位符数据库用于以统一资源定位符黑名单列表和统一资源定位符白名单列表来存储统一资源定位符名单。
其中,其中所述数字证书分析装置还包括数字证书数据库,用于分别以数字证书黑名单列表和数字证书白名单列表来存储数字证书。
其中,如果所述统一资源定位符分析装置判断上述统一资源定位符属于统一资源定位符白名单列表,则将使客户端与服务器端直接连接。
其中,如果所述统一资源定位符分析装置判断上述统一资源定位符属于统一资源定位符黑名单列表,则阻止客户端与服务器端的连接;
其中,如果所述统一资源定位符分析装置判断上述统一资源定位符是一个未知的统一资源定位符,则将客户端向服务器端发送的安全超文本传输协议连接数据发送到安全超文本传输协议代理服务器。
其中,如果所述数字证书分析装置判断所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则所述安全超文本传输协议代理服务器将客户端与服务器端直接连接。
其中,如果所述数字证书分析装置判断所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书黑名单列表,则所述安全超文本传输协议代理服务器阻止客户端与服务器端进行连接。
其中,如果所述数字证书分析装置判断所述由安全超文本传输协议代理服务器发送的数字证书是未知数字证书,则所述安全超文本传输协议代理服务器将上述安全超文本传输协议连接转换为客户端向其自身的连接,并将安全超文本传输协议连接数据解密为明文数据。
其中,还包括安全检查和内容过滤装置,用于检查和处理安全超文本传输协议代理服务器所解密的明文数据中的安全威胁。
其中,所述安全检查和内容过滤装置包括如下装置中的一个或多个:
网页过滤装置,用于屏蔽网页;
反病毒装置,用于检测和清除数据中的病毒;
入侵检测与防护装置,用于检测和防护网络入侵;
反网络钓鱼装置,用于清除以网络钓鱼形式进行的身份盗窃和欺诈;以及
访问策略检查装置,用于防止网络非授权访问。
由此,根据本发明所提供的一种对HTTPS通信隧道安全检查和内容过滤系统和方法,使得受信任的网站可以通过他所提供的受信任的数字证书,直接与客户端通信,而不需要HTTPS代理服务器对其连接的内容进行安全检查和内容过滤,消除了用户敏感数据在HTTPS代理服务器处泄漏的危险。
附图说明
图1是现有技术的网络结构图;
图2是本发明之一实施方式的网络结构图;
图3是本发明安全检查和内容过滤装置的系统结构图;
图4是本发明之一实施方式的系统流程图;
图5是本发明另一实施方式的网络结构图;
图6是本发明另一实施方式的系统流程图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式。图2为本发明具体实施方式的网络结构图。如图2所示,本发明所提供的HTTPS(安全超文本传输协议)通信隧道安全检查和内容过滤系统1中包括HTTPS代理服务器11、安全检查和内容过滤装置12以及数字证书分析装置13。
HTTPS代理服务器11用于代理客户端2与服务器端3的HTTPS连接,其将客户端2向服务器端3所发送的HTTPS连接数据中的数字证书转发到数字证书分析装置13,以及对HTTPS连接数据进行解密。
数字证书分析装置13中还包括数字证书数据库13a,该数字证书数据库13a用来存储数据证书,并将数字证书分类存储在两个列表中,分别为数字证书黑名单列表和数字证书白名单列表。数字证书白名单列表中列出受信任的数字证书,数字证书黑名单列表中列出已知的恶意网站的数字证书。数字证书分析装置13用于判断由HTTPS代理服务器11转发的数字证书是否属于数字证书白名单列表或者数字证书黑名单列表,并将分析结果返回给HTTPS代理服务器11。如果上述数字证书属于数字证书白名单列表,则HTTPS代理服务器11将使客户端2与服务器端3直接连接,不再进行加密、解密和安全检查等工作;如果上述数字证书属于数字证书黑名单列表,则HTTPS代理服务器11将阻止客户端2与服务器端3的连接;如果上述数字证书是一个未知的证书,即它既不在数字证书白名单列表中,也不在数字证书黑名单列表中,则HTTPS代理服务器11将解密的明文数据发送到安全检查和内容过滤装置12。
安全检查和内容过滤装置12用于检查和处理HTTPS代理服务器11所发送的明文数据中的安全威胁。图3为安全检查和内容过滤装置12的系统结构图,如图3所示,所述安全检查和内容过滤装置12包括如下装置中的一个或多个:网页过滤(Web Filter)装置12a,用于屏蔽网页,如屏蔽六合彩网站、黄色网站、广告条等;反病毒(Anti-Virus)装置12b,用于检测和清除数据中的病毒;入侵检测与防护(IDS/IPS)装置12c,用于检测和防护网络入侵,如黑客通过网络对系统进行攻击;反网络钓鱼(Anti-Fishing)装置12d,用于清除以网络钓鱼形式进行的身份盗窃和欺诈;以及访问策略(AccessPolicy)检查装置12e,用于防止网络非授权访问。
图4是本发明实施方式的系统流程图,如图4所示,本发明所提供的对HTTPS通信隧道中的安全威胁进行安全检查和内容过滤的方法包括以下几个步骤:
步骤S101、客户端2向服务器端3发送HTTPS连接数据;
步骤S102、HTTPS代理服务器11将HTTPS连接数据中的数字证书转发到数字证书分析装置13;
步骤S103、数字证书分析装置13将HTTPS代理服务器11所发送的数字证书与数字证书数据库13a中所存储的数字证书相比较,如果所述由HTTPS代理服务器11发送的数字证书属于数字证书白名单列表,则执行步骤S104;如果所述由HTTPS代理服务器11发送的数字证书属于数字证书黑名单列表,则执行步骤S105;如果所述由HTTPS代理服务器11发送的数字证书是未知数字证书,即它既不在数字证书白名单列表中,也不在数字证书黑名单列表中,则执行步骤S106;
步骤S104、HTTPS代理服务器11将客户端2与服务器端3直接连接,不再进行加密、解密和安全检查等工作;
步骤S105、HTTPS代理服务器11阻止客户端2与服务器端3进行连接;
步骤S106、HTTPS代理服务器11将HTTPS连接转换为客户端2向其自身的连接,并将HTTPS连接数据解密为明文数据,再将解密后的明文数据发送给安全检查和内容过滤装置12;
步骤S107、安全检查和内容过滤装置12对HTTPS代理服务器11所发送的明文数据进行安全检查和内容过滤,包括以下方式至少之一:网页过滤(Web Filter),反病毒(Anti-Virus),入侵检测与防护(IDS/IPS),反网络钓鱼(Anti-Fishing)和访问策略(Access Policy)检查等。如果发现明文数据中有安全威胁存在,安全检查和内容过滤装置12可断开该连接并通知客户端2或者删除有威胁的数据;
步骤S108、安全检查和内容过滤装置12检查和处理完毕后,再将上述明文数据发送回HTTPS代理服务器11,HTTPS代理服务器11将上述明文数据加密后,代替客户端2向服务器端3发送HTTPS连接数据;
步骤S109、服务器端3收到上述HTTPS连接数据后,向HTTPS代理服务器11返回回复数据,HTTPS代理服务器11再将上述回复数据转发到客户端2。
在上述过程中,HTTPS代理服务器11将客户端2到服务器3的连接分成两个部分,一部分是客户端2到HTTPS代理服务器11的连接,另一部分是HTTPS代理服务器11到服务器3的连接,上述两个连接都是HTTPS加密的。
图5为本发明另一具体实施方式的网络结构图。如图5所示,本发明所提供的HTTPS(安全超文本传输协议)通信隧道安全检查和内容过滤系统1中除了包括HTTPS代理服务器11、安全检查和内容过滤装置12以及数字证书分析装置13,还包括URL(统一资源定位符)分析装置14。
URL(统一资源定位符)分析装置14中还包括URL数据库14a,该URL数据库14a用来存储URL名单,并将URL名单分类存储在两个列表中,分别为URL黑名单列表和URL白名单列表。URL白名单列表中列出受信任的URL,URL黑名单列表中列出已知的恶意URL。URL分析装置14根据URL数据库14a所存储的URL名单来判断客户端2向服务器端3发送的HTTPS连接数据中的URL是否属于URL白名单列表或者URL黑名单列表。如果上述URL属于URL白名单列表,则将使客户端2与服务器端3直接连接,不再进行加密、解密和安全检查等工作;如果上述URL属于URL黑名单列表,则阻止客户端2与服务器端3的连接;如果上述URL是一个未知的URL,即它既不在URL白名单列表中,也不在URL黑名单列表中,则将客户端2向服务器端3发送的HTTPS连接数据发送到HTTPS代理服务器11。
HTTPS代理服务器11将客户端2向服务器端3所发送的HTTPS连接数据中的数字证书转发到数字证书分析装置13,以及对HTTPS连接数据进行解密。
数字证书分析装置13中还包括数字证书数据库13a,该数字证书数据库13a用来存储数据证书,并将数字证书分类存储在两个列表中,分别为数字证书黑名单列表和数字证书白名单列表。数字证书白名单列表中列出受信任的数字证书,数字证书黑名单列表中列出已知的恶意网站的数字证书。数字证书分析装置13用于判断由HTTPS代理服务器11转发的数字证书是否属于数字证书白名单列表或者数字证书黑名单列表,并将分析结果返回给HTTPS代理服务器11。如果上述数字证书属于数字证书白名单列表,则HTTPS代理服务器11将使客户端2与服务器端3直接连接,不再进行加密、解密和安全检查等工作;如果上述数字证书属于数字证书黑名单列表,则HTTPS代理服务器11将阻止客户端2与服务器端3的连接;如果上述数字证书是一个未知的证书,即它既不在数字证书白名单列表中,也不在数字证书黑名单列表中,则HTTPS代理服务器11将解密的明文数据发送到安全检查和内容过滤装置12。
安全检查和内容过滤装置1 2用于检查和处理HTTPS代理服务器11所发送的明文数据中的安全威胁。图3为安全检查和内容过滤装置12的系统结构图,如图3所示,所述安全检查和内容过滤装置12包括如下装置中的一个或多个:网页过滤(Web Filter)装置12a,用于屏蔽网页,如屏蔽六合彩网站、黄色网站、广告条等;反病毒(Anti-Virus)装置12b,用于检测和清除数据中的病毒;入侵检测与防护(IDS/IPS)装置12c,用于检测和防护网络入侵,如黑客通过网络对系统进行攻击;反网络钓鱼(Anti-Fishing)装置12d,用于清除以网络钓鱼形式进行的身份盗窃和欺诈;以及访问策略(AccessPolicy)检查装置12e,用于防止网络非授权访问。
图6是本发明另一实施方式的系统流程图,如图6所示,本发明所提供的对HTTPS通信隧道中的安全威胁进行安全检查和内容过滤的方法包括以下几个步骤:
步骤S201、URL分析装置14根据URL数据库14a所存储的URL名单来判断客户端2向服务器端3发送的HTTPS连接数据中的URL是否属于URL白名单列表或者URL黑名单列表;如果上述URL属于URL白名单列表,则执行步骤S202;如果上述URL属于URL黑名单列表,则执行步骤S203;如果上述URL是一个未知的URL,即它既不在URL白名单列表中,也不在URL黑名单列表中,则执行步骤S204;
步骤S202、将使客户端2与服务器端3直接连接,不再进行加密、解密和安全检查等工作;
步骤S203、阻止客户端2与服务器端3的连接;
步骤S204、将客户端2向服务器端3发送的HTTPS连接数据发送到HTTPS代理服务器11;
步骤S205、HTTPS代理服务器11将HTTPS连接数据中的数字证书转发到数字证书分析装置13;
步骤S206、数字证书分析装置13将HTTPS代理服务器11所发送的数字证书与数字证书数据库13a中所存储的数字证书相比较,如果所述由HTTPS代理服务器11发送的数字证书属于数字证书白名单列表,则执行步骤S207;如果所述由HTTPS代理服务器11发送的数字证书属于数字证书黑名单列表,则执行步骤S208;如果所述由HTTPS代理服务器11发送的数字证书是未知数字证书,即它既不在数字证书白名单列表中,也不在数字证书黑名单列表中,则执行步骤S209;
步骤S207、HTTPS代理服务器11将客户端2与服务器端3直接连接,不再进行加密、解密和安全检查等工作;
步骤S208、HTTPS代理服务器11阻止客户端2与服务器端3进行连接;
步骤S209、HTTPS代理服务器11将HTTPS连接转换为客户端2向其自身的连接,并将HTTPS连接数据解密为明文数据,再将解密后的明文数据发送给安全检查和内容过滤装置12;
步骤S210、安全检查和内容过滤装置12对HTTPS代理服务器11所发送的明文数据进行安全检查和内容过滤,包括以下方式至少之一:网页过滤(Web Filter),反病毒(Anti-Virus),入侵检测与防护(IDS/IPS),反网络钓鱼(Anti-Fishing)和访问策略(Access Policy)检查等。如果发现明文数据中有安全威胁存在,安全检查和内容过滤装置12可断开该连接并通知客户端2或者删除有威胁的数据;
步骤S211、安全检查和内容过滤装置12检查和处理完毕后,再将上述明文数据发送回HTTPS代理服务器11,HTTPS代理服务器11将上述明文数据加密后,代替客户端2向服务器端3发送HTTPS连接数据;
步骤S212、服务器端3收到上述HTTPS连接数据后,向HTTPS代理服务器11返回回复数据,HTTPS代理服务器11再将上述回复数据转发到客户端2。
本领域的技术人员在不脱落权利要求书确定的本发明的精神和范围的条件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明,而是由权利要求书的范围来确定的。
Claims (16)
1.一种安全超文本传输协议通信隧道安全检查和内容过滤方法,用于检查客户端与服务器端间的安全超文本传输协议连接,其特征在于,包括步骤:
步骤一、安全超文本传输协议代理服务器将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;
步骤二、数字证书分析装置将上述安全超文本传输协议连接数据中的数字证书与所存储的数字证书相比较,如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则执行步骤三;
步骤三、安全超文本传输协议代理服务器将客户端与服务器端直接连接;
其中,在所述步骤二中如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书黑名单列表,则执行步骤四;
步骤四、安全超文本传输协议代理服务器阻止客户端与服务器端进行连接;以及
在所述步骤二中如果所述由安全超文本传输协议代理服务器发送的数字证书是未知数字证书,则执行步骤五;
步骤五、安全超文本传输协议代理服务器将上述安全超文本传输协议连接转换为客户端向其自身的连接,并将安全超文本传输协议连接数据解密为明文数据。
2.如权利要求1所述的方法,其特征在于,还包括步骤:
步骤六、将解密后的明文数据进行安全检查和内容过滤;
步骤七、安全超文本传输协议代理服务器向服务器端发送安全超文本传输协议连接数据;
步骤八、服务器端向安全超文本传输协议代理服务器返回回复数据,安全超文本传输协议代理服务器将上述回复数据转发到客户端。
3.如权利要求2所述的方法,其特征在于,所述安全检查和内容过滤包括以下方式至少之一:网页过滤、反病毒、入侵检测与防护、反网络钓鱼以及访问策略检查。
4.一种安全超文本传输协议通信隧道安全检查和内容过滤方法,用于检查客户端与服务器端间的安全超文本传输协议连接,其特征在于,包括步骤:
步骤1、统一资源定位符分析装置判断客户端向服务器端发送的安全超文本传输协议连接数据中的统一资源定位符是否属于统一资源定位符白名单列表或者统一资源定位符黑名单列表;如果上述统一资源定位符是一个未知的统一资源定位符,则执行步骤2;
步骤2、将客户端向服务器端发送的安全超文本传输协议连接数据发送到安全超文本传输协议代理服务器;
步骤3、安全超文本传输协议代理服务器将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;
步骤4、数字证书分析装置将上述安全超文本传输协议连接数据中的数字证书与所存储的数字证书相比较,如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则执行步骤5;
步骤5、将客户端与服务器端直接连接;
其中,在所述步骤4中如果所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书黑名单列表,则安全超文本传输协议代理服务器阻止客户端与服务器端进行连接;以及
在所述步骤4中如果所述由安全超文本传输协议代理服务器发送的数字证书是未知数字证书,则执行步骤6;
步骤6、安全超文本传输协议代理服务器将上述安全超文本传输协议连接转换为客户端向其自身的连接,并将安全超文本传输协议连接数据解密为明文数据。
5.如权利要求4所述的方法,其特征在于,
在所述步骤1中,如果上述统一资源定位符属于统一资源定位符白名单列表,则将使客户端与服务器端直接连接;
如果上述统一资源定位符属于统一资源定位符黑名单列表,则阻止客户端与服务器端的连接。
6.如权利要求4所述的方法,其特征在于,还包括步骤:
步骤7、将解密后的明文数据进行安全检查和内容过滤;
步骤8、安全超文本传输协议代理服务器向服务器端发送安全超文本传输协议连接数据;
步骤9、服务器端向安全超文本传输协议代理服务器返回回复数据,安全超文本传输协议代理服务器将上述回复数据转发到客户端。
7.如权利要求6所述的方法,其特征在于,所述安全检查和内容过滤包括以下方式至少之一:网页过滤、反病毒、入侵检测与防护、反网络钓鱼以及访问策略检查。
8.一种安全超文本传输协议通信隧道安全检查和内容过滤系统,用于检查客户端与服务器端间的安全超文本传输协议连接,其特征在于,所述系统包括安全超文本传输协议代理服务器以及数字证书分析装置,其中:
所述安全超文本传输协议代理服务器,用于代理客户端与服务器端的安全超文本传输协议连接,并将安全超文本传输协议连接数据中的数字证书转发到数字证书分析装置;以及
所述数字证书分析装置,用于判断由上述数字证书是否属于数字证书白名单列表或者数字证书黑名单列表;
其中,如果所述数字证书分析装置判断所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书白名单列表,则所述安全超文本传输协议代理服务器将客户端与服务器端直接连接;
如果所述数字证书分析装置判断所述由安全超文本传输协议代理服务器发送的数字证书属于数字证书黑名单列表,则所述安全超文本传输协议代理服务器阻止客户端与服务器端进行连接;
如果所述数字证书分析装置判断所述由安全超文本传输协议代理服务器发送的数字证书是未知数字证书,则所述安全超文本传输协议代理服务器将上述安全超文本传输协议连接转换为客户端向其自身的连接,并将安全超文本传输协议连接数据解密为明文数据。
9.如权利要求8所述的系统,其特征在于,
还包括统一资源定位符分析装置;用于判断客户端向服务器端发送的安全超文本传输协议连接数据中的统一资源定位符是否属于统一资源定位符白名单列表或者统一资源定位符黑名单列表。
10.如权利要求9所述的系统,其特征在于,
所述统一资源定位符分析装置中还包括统一资源定位符数据库,所述统一资源定位符数据库用于以统一资源定位符黑名单列表和统一资源定位符白名单列表来存储统一资源定位符名单。
11.如权利要求8所述的系统,其特征在于,
其中所述数字证书分析装置还包括数字证书数据库,用于分别以数字证书黑名单列表和数字证书白名单列表来存储数字证书。
12.如权利要求9所述的系统,其特征在于,
如果所述统一资源定位符分析装置判断上述统一资源定位符属于统一资源定位符白名单列表,则将使客户端与服务器端直接连接。
13.如权利要求9所述的系统,其特征在于,
如果所述统一资源定位符分析装置判断上述统一资源定位符属于统一资源定位符黑名单列表,则阻止客户端与服务器端的连接。
14.如权利要求9所述的系统,其特征在于,
如果所述统一资源定位符分析装置判断上述统一资源定位符是一个未知的统一资源定位符,则将客户端向服务器端发送的安全超文本传输协议连接数据发送到安全超文本传输协议代理服务器。
15.如权利要求8或9所述的系统,其特征在于,
还包括安全检查和内容过滤装置,用于检查和处理安全超文本传输协议代理服务器所解密的明文数据中的安全威胁。
16.如权利要求15所述的系统,其特征在于,
所述安全检查和内容过滤装置包括如下装置中的一个或多个:
网页过滤装置,用于屏蔽网页;
反病毒装置,用于检测和清除数据中的病毒;
入侵检测与防护装置,用于检测和防护网络入侵;
反网络钓鱼装置,用于清除以网络钓鱼形式进行的身份盗窃和欺诈;以及
访问策略检查装置,用于防止网络非授权访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101506976A CN101141447B (zh) | 2006-09-08 | 2006-10-23 | Https通信隧道安全检查和内容过滤系统和方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610113076.0 | 2006-09-08 | ||
CN200610113076 | 2006-09-08 | ||
CN2006101506976A CN101141447B (zh) | 2006-09-08 | 2006-10-23 | Https通信隧道安全检查和内容过滤系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101141447A CN101141447A (zh) | 2008-03-12 |
CN101141447B true CN101141447B (zh) | 2010-08-18 |
Family
ID=39193191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101506976A Active CN101141447B (zh) | 2006-09-08 | 2006-10-23 | Https通信隧道安全检查和内容过滤系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101141447B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI565258B (zh) * | 2015-08-19 | 2017-01-01 | 鴻海精密工業股份有限公司 | 過濾https傳輸內容的系統、方法及裝置 |
US9608984B2 (en) * | 2009-10-21 | 2017-03-28 | Hewlett-Packard Development Company, L.P. | Accessible files |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188255A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种应用代理与安全模块分离的网络安全保护方法 |
US8966659B2 (en) * | 2013-03-14 | 2015-02-24 | Microsoft Technology Licensing, Llc | Automatic fraudulent digital certificate detection |
CN103825887B (zh) * | 2014-02-14 | 2017-06-16 | 深信服网络科技(深圳)有限公司 | 基于https加密的网站过滤方法和系统 |
CN105429934B (zh) * | 2014-09-19 | 2019-07-19 | 腾讯科技(深圳)有限公司 | Https连接验证的方法和装置、可读存储介质、终端 |
CN104580172B (zh) * | 2014-12-24 | 2017-12-12 | 北京奇虎科技有限公司 | 一种基于https协议的数据通信方法及装置 |
WO2016141549A1 (zh) * | 2015-03-10 | 2016-09-15 | 华为技术有限公司 | 数据传输方法和设备 |
CN105187407B (zh) * | 2015-08-13 | 2018-12-07 | 浪潮(北京)电子信息产业有限公司 | 一种基于黑名单机制的vpn连接方法及系统 |
CN106899542B (zh) * | 2015-12-17 | 2021-04-20 | 中兴通讯股份有限公司 | 安全接入方法、装置及系统 |
CN107306264B (zh) * | 2016-04-25 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 网络安全监控方法和装置 |
CN106789939B (zh) * | 2016-11-29 | 2019-04-26 | 中国银联股份有限公司 | 一种钓鱼网站检测方法和装置 |
CN107018178B (zh) * | 2017-02-22 | 2019-12-06 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
CN107483609B (zh) * | 2017-08-31 | 2018-08-28 | 深圳市迅雷网文化有限公司 | 一种网络访问方法、相关设备和系统 |
CN109088876A (zh) * | 2018-08-30 | 2018-12-25 | 北京金惠新悦科技有限公司 | 一种互联网加密网站(https)流量的审核方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1595873A (zh) * | 2004-06-23 | 2005-03-16 | 北京邮电大学 | 基于混合架构和多安全机制的网络考试系统及其实现方法 |
-
2006
- 2006-10-23 CN CN2006101506976A patent/CN101141447B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1595873A (zh) * | 2004-06-23 | 2005-03-16 | 北京邮电大学 | 基于混合架构和多安全机制的网络考试系统及其实现方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9608984B2 (en) * | 2009-10-21 | 2017-03-28 | Hewlett-Packard Development Company, L.P. | Accessible files |
TWI565258B (zh) * | 2015-08-19 | 2017-01-01 | 鴻海精密工業股份有限公司 | 過濾https傳輸內容的系統、方法及裝置 |
US9648021B2 (en) | 2015-08-19 | 2017-05-09 | Hon Hai Precision Industry Co., Ltd. | HTTPS content filtering method and device |
Also Published As
Publication number | Publication date |
---|---|
CN101141447A (zh) | 2008-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101141447B (zh) | Https通信隧道安全检查和内容过滤系统和方法 | |
US10841334B2 (en) | Secure notification on networked devices | |
CN101141243A (zh) | 一种对通信数据进行安全检查和内容过滤的装置和方法 | |
KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
CN102246490B (zh) | 对不需要的软件或恶意软件进行分类的系统和方法 | |
EP2156361B1 (en) | Reduction of false positive reputations through collection of overrides from customer deployments | |
JP5844938B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US8850584B2 (en) | Systems and methods for malware detection | |
US9407650B2 (en) | Unauthorised/malicious redirection | |
JP2016136735A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
CN113918945A (zh) | 一种大数据计算机网络安全防护系统 | |
Mani et al. | An extensive evaluation of the internet's open proxies | |
KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
Venkatesh et al. | Identification and isolation of crypto ransomware using honeypot | |
JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
CN111224979B (zh) | 一种基于ip数据流分析的链路通信监控视图构建方法 | |
US20220131885A1 (en) | Methods for tracing malicious endpoints in direct communication with application back ends using tls fingerprinting techniques | |
Selvaraj et al. | Security Vulnerabilities, Threats, and Attacks in IoT and Big Data: Challenges and Solutions | |
Misbahuddin et al. | Dynamic IDP Signature processing by fast elimination using DFA | |
CN114157503A (zh) | 访问请求的认证方法及装置、api网关设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20091002 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20091002 Address after: Zip code, California, USA: 100085 Applicant after: Fortinet, Inc. Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085 Applicant before: Fortinet,Inc. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |