CN102594565A - 利用数字证书识别加密协议的识别方法及系统 - Google Patents

利用数字证书识别加密协议的识别方法及系统 Download PDF

Info

Publication number
CN102594565A
CN102594565A CN2012100424423A CN201210042442A CN102594565A CN 102594565 A CN102594565 A CN 102594565A CN 2012100424423 A CN2012100424423 A CN 2012100424423A CN 201210042442 A CN201210042442 A CN 201210042442A CN 102594565 A CN102594565 A CN 102594565A
Authority
CN
China
Prior art keywords
protocol
keyword
current message
message
digital certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012100424423A
Other languages
English (en)
Other versions
CN102594565B (zh
Inventor
董茂培
陈金达
余兆
许晶
李佶澳
杨宇云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201210042442.3A priority Critical patent/CN102594565B/zh
Publication of CN102594565A publication Critical patent/CN102594565A/zh
Priority to PCT/CN2012/086444 priority patent/WO2013123799A1/zh
Application granted granted Critical
Publication of CN102594565B publication Critical patent/CN102594565B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种利用数字证书识别加密协议的识别方法及系统,涉及互联网应用技术领域,所述方法包括:S1:对当前报文进行扫描,以获得协议关键字特征;S2:将协议关键字特征与预设的特征库进行匹配;S3:继续扫描后续报文,以获得服务器数字证书的关键字;S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则识别为与所述匹配结果对应的协议报文,否则将当前报文识别为HTTPS协议报文。本发明的方法与原有的粗粒度识别方法不同,从更深度的角度挖掘了HTTPS协议的特征,从数字证书中提取了具备唯一性的关键字,有效区分了共同使用HTTPS协议的不同的应用协议,提高了应用识别和应用控制的粒度。

Description

利用数字证书识别加密协议的识别方法及系统
技术领域
本发明涉及互联网应用技术领域,特别涉及一种利用数字证书识别加密协议的识别方法及系统。
背景技术
随着互联网的广泛普及,安全性问题越来越受到重视。安全超文本传送协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)是一种常见的加密协议,一般与安全套接层协议(SecureSocket Layer,SSL)/安全传输层协议(Transport Layer Security,TLS)组合使用,用以提供加密通讯及对网络服务器身份的鉴定,被广泛应用到对数据保密性要求很高的应用中,如网上银行、邮件、即时通讯、游戏账号登录等。在一般的协议识别方式中,HTTPS报文经过应用程序中的识别模块被直接识别为HTTPS报文,这种识别结果不能够满足精细化的应用识别和应用控制的粒度要求,例如:GMAIL邮件登陆和魔兽世界登录都被识别为HTTPS,但是控制系统需要禁止魔兽世界而允许GMAIL登录,这种识别结果显然无法满足需求。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提高应用识别和应用控制的粒度。
(二)技术方案
为解决上述技术问题,本发明提供了一种利用数字证书识别加密协议的识别方法,所述方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
优选地,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
优选地,所述应用程序为采用HTTPS协议传输数据的程序。
优选地,所述服务器数字证书的关键字为公司名称或应用名称。
本发明还公开了一种利用数字证书识别加密协议的识别系统,所述系统包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
(三)有益效果
本发明的识别方法与原有的粗粒度识别方法不同,其从更深度的角度挖掘了HTTPS协议的特征,从数字证书中提取了具备唯一性的关键字,有效区分了共同使用HTTPS协议的不同的应用协议,提高了应用识别和应用控制的粒度。
附图说明
图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图;参照图1,所述实施方式的方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
优选地,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
优选地,所述应用程序为采用HTTPS协议传输数据的程序,例如:网上银行、及时通讯登录、邮件、游戏账号登录等。
优选地,所述服务器数字证书的关键字为公司名称、应用名称等具备唯一性的关键字。
在协议识别时,识别的对象是报文,在识别结果确定以后,一般不再跟踪报文,在本发明中,对报文进行了二次识别,第一次识别为HTTPS协议,但不能确定是何种应用使用了HTTPS协议,第二次识别选取数字证书中最具唯一性的公司名称或应用名称,具备较高的可靠性。但是,如果直接选取数字证书中的公司名称或应用名称是不可取的,具有以下两个原因:
一、连接前面的报文被优先匹配,因此连接会识别成HTTPS;
二、误识别率被显著提高,其他协议(比如:HTTP)也会出现公司名称或应用名称。
综上所述,本发明提供的利用数字证书识别加密协议的识别方法,与原有的直接识别为HTTPS加密协议不同,其可以直接识别出被加密的真实的应用协议,从而可以提供更为精确的控制粒度。该发明可适用性强,针对所有利用HTTPS协议加密的应用协议都在适用范围之内,因为服务商的数字证书属于SSL/TLS协议规范的一部分,而SSL/TLS和HTTPS协议一般组合使用,包括网上银行、邮件、即时通讯和游戏登录等都可以根据本发明进行识别。
实施例1
下面结合附图说明,使用中国工商银行网上银行的实例来说明,但不用来限制发明的范围。所述方法包括:
步骤A:获取工商银行网上银行登录的当前报文,对当前报文进行扫描,以获得当前报文中的协议关键字特征;
步骤B:将当前报文中的协议关键字特征与预设的特征库进行匹配,发现当前报文为HTTPS协议报文,执行步骤C,本步骤中,只对识别为HTTPS协议报文进行相应处理,其他报文按照正常流程进行处理;
步骤C:继续扫描后续报文中的服务器数字证书,以获得当前报文中服务器数字证书的关键字(本实施例中,后续报文中服务器数字证书的关键字为工商银行数字证书名称“mybank.icbc.com.cn”);
步骤D:将所述服务器数字证书的关键字与预设的特征库进行匹配,若一旦发现工商银行网银关键字特征被匹配,则将当前报文识别为工商银行网银,否则将当前报文识别为HTTPS协议报文。
本发明还公开了一种利用数字证书识别加密协议的识别系统,所述系统包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (5)

1.一种利用数字证书识别加密协议的识别方法,其特征在于,所述方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
2.如权利要求1所述的方法,其特征在于,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
3.如权利要求1所述的方法,其特征在于,所述应用程序为采用HTTPS协议传输数据的程序。
4.如权利要求1所述的方法,其特征在于,所述服务器数字证书的关键字为公司名称或应用名称。
5.一种利用数字证书识别加密协议的识别系统,其特征在于,所述系统包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
CN201210042442.3A 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及系统 Expired - Fee Related CN102594565B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201210042442.3A CN102594565B (zh) 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及系统
PCT/CN2012/086444 WO2013123799A1 (zh) 2012-02-23 2012-12-12 利用数字证书识别加密协议的识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210042442.3A CN102594565B (zh) 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及系统

Publications (2)

Publication Number Publication Date
CN102594565A true CN102594565A (zh) 2012-07-18
CN102594565B CN102594565B (zh) 2015-06-03

Family

ID=46482790

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210042442.3A Expired - Fee Related CN102594565B (zh) 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及系统

Country Status (2)

Country Link
CN (1) CN102594565B (zh)
WO (1) WO2013123799A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013123799A1 (zh) * 2012-02-23 2013-08-29 汉柏科技有限公司 利用数字证书识别加密协议的识别方法及系统
CN107707508A (zh) * 2016-08-09 2018-02-16 中兴通讯股份有限公司 应用业务识别方法和装置
CN114039928A (zh) * 2021-11-02 2022-02-11 恒安嘉新(北京)科技股份公司 网络流量的识别方法、装置、设备及存储介质
CN114401097A (zh) * 2022-01-25 2022-04-26 北京浩瀚深度信息技术股份有限公司 一种基于ssl证书指纹的https业务流量识别的方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394164A (zh) * 2014-12-06 2015-03-04 金琥 基于会话和协议识别https端口数据的方法
CN107070812A (zh) * 2017-05-02 2017-08-18 武汉绿色网络信息服务有限责任公司 一种https协议分析方法及其系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031941A1 (en) * 2004-08-06 2006-02-09 Motorola, Inc. Enhanced security using service provider authentication
CN101447985A (zh) * 2008-12-26 2009-06-03 刘学明 基于公证信息的数字证书方法
CN101977235A (zh) * 2010-11-03 2011-02-16 北京北信源软件股份有限公司 一种针对https加密网站访问的网址过滤方法
CN102098268A (zh) * 2009-12-11 2011-06-15 厦门大菁洋网络科技有限公司 一种基于指纹识别的车辆租赁方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594565B (zh) * 2012-02-23 2015-06-03 汉柏科技有限公司 利用数字证书识别加密协议的识别方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031941A1 (en) * 2004-08-06 2006-02-09 Motorola, Inc. Enhanced security using service provider authentication
CN101447985A (zh) * 2008-12-26 2009-06-03 刘学明 基于公证信息的数字证书方法
CN102098268A (zh) * 2009-12-11 2011-06-15 厦门大菁洋网络科技有限公司 一种基于指纹识别的车辆租赁方法
CN101977235A (zh) * 2010-11-03 2011-02-16 北京北信源软件股份有限公司 一种针对https加密网站访问的网址过滤方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013123799A1 (zh) * 2012-02-23 2013-08-29 汉柏科技有限公司 利用数字证书识别加密协议的识别方法及系统
CN107707508A (zh) * 2016-08-09 2018-02-16 中兴通讯股份有限公司 应用业务识别方法和装置
CN114039928A (zh) * 2021-11-02 2022-02-11 恒安嘉新(北京)科技股份公司 网络流量的识别方法、装置、设备及存储介质
CN114401097A (zh) * 2022-01-25 2022-04-26 北京浩瀚深度信息技术股份有限公司 一种基于ssl证书指纹的https业务流量识别的方法
CN114401097B (zh) * 2022-01-25 2023-10-20 北京浩瀚深度信息技术股份有限公司 一种基于ssl证书指纹的https业务流量识别的方法

Also Published As

Publication number Publication date
WO2013123799A1 (zh) 2013-08-29
CN102594565B (zh) 2015-06-03

Similar Documents

Publication Publication Date Title
CN102594565B (zh) 利用数字证书识别加密协议的识别方法及系统
EP3342119B1 (en) Monitoring the life cycle of a computer network connection
US9027128B1 (en) Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks
US20090187442A1 (en) Feedback augmented object reputation service
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
EP3146744A1 (en) Method, apparatus, and system for providing a security check
CN106341429A (zh) 一种保护服务器数据安全的认证方法
CN105554001B (zh) 一种基于加密的通信方法和系统
CN104735065A (zh) 一种数据处理方法、电子设备及服务器
US20140304510A1 (en) Secure authentication system with automatic cancellation of fraudulent operations
CN101924635B (zh) 一种用户身份认证的方法及装置
Kim et al. Geo-location based QR-Code authentication scheme to defeat active real-time phishing attack
CN109740319B (zh) 数字身份验证方法及服务器
JP2007011967A (ja) メールフィルタリングシステム、メールフィルタ、およびプログラム
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
JP6488613B2 (ja) 取引システム及びプログラム
KR20080020021A (ko) 트러스티드 네트워크를 이용한 피싱 방지 방법
CN104541488A (zh) 保护机密数据机密性的验证系统
US8800033B2 (en) Rotation of web site content to prevent E-mail spam/phishing attacks
CN102300176B (zh) 基于安全tf卡的增强移动终端系统电子邮件安全性的方法及系统
Chaudhary Development review on phishing: a computer security threat
SG10201803964RA (en) Systems and methods for authenticating network messages
CN114503105A (zh) 用于浏览器应用的密码服务
CN105578433B (zh) 终端短信保护方法及装置
KR20150104667A (ko) 인증 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PP01 Preservation of patent right

Effective date of registration: 20180823

Granted publication date: 20150603

PP01 Preservation of patent right
PD01 Discharge of preservation of patent

Date of cancellation: 20210823

Granted publication date: 20150603

PD01 Discharge of preservation of patent
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150603

Termination date: 20190223

CF01 Termination of patent right due to non-payment of annual fee