CN104468560A - 网络保密数据明文的采集方法及系统 - Google Patents

网络保密数据明文的采集方法及系统 Download PDF

Info

Publication number
CN104468560A
CN104468560A CN201410721300.9A CN201410721300A CN104468560A CN 104468560 A CN104468560 A CN 104468560A CN 201410721300 A CN201410721300 A CN 201410721300A CN 104468560 A CN104468560 A CN 104468560A
Authority
CN
China
Prior art keywords
acquisition system
data acquisition
server end
client
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410721300.9A
Other languages
English (en)
Other versions
CN104468560B (zh
Inventor
宋磊
董海韬
叶晓舟
田静
郑艳伟
樊皓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinrand Network Technology Co ltd
Institute of Acoustics CAS
Original Assignee
Institute of Acoustics CAS
Beijing Intellix Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Acoustics CAS, Beijing Intellix Technologies Co Ltd filed Critical Institute of Acoustics CAS
Priority to CN201410721300.9A priority Critical patent/CN104468560B/zh
Priority to PCT/CN2015/074079 priority patent/WO2016086546A1/zh
Priority to EP15864415.3A priority patent/EP3232632A4/en
Priority to JP2017529339A priority patent/JP2017536776A/ja
Publication of CN104468560A publication Critical patent/CN104468560A/zh
Application granted granted Critical
Publication of CN104468560B publication Critical patent/CN104468560B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种网络保密数据明文的采集方法及系统,所述方法包括:在客户端和服务器端之间已存在TCP连接的基础上,引入数据采集系统,数据采集系统通过修改SSL/TLS握手消息分别与客户端和服务器端建立两条相互关联的SSL/TLS连接,这两条连接共享会话密钥。掌握这些密钥的数据采集系统可以恢复出保密数据的明文。本发明中的数据采集系统与客户端及服务器端建立的两条SSL/TLS连接是共享会话密钥的,因此缩短了响应时间,SSL吞吐率有较大的提升,节约内存资源,继而增加最大用户连接数。

Description

网络保密数据明文的采集方法及系统
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种安全套接层/传输层安全(Secure Socket Layer/Transport Layer Security,SSL/TLS)协议网络保密数据明文的采集方法及系统。
背景技术
SSL/TLS协议运行在传输控制协议(Transmission Control Protocol,TCP)协议之上、各种应用层协议之下,能够防止客户端与服务端应用程序通信中的消息窃听、篡改及伪造,从而为互联网上的数据通信提供安全服务。SSL/TLS是分层协议,包括底层的记录层协议及上层的改变加密说明协议、告警协议和握手协议。在记录层上,高层数据被封装成一条条记录,经过压缩、计算消息认证码(Message Authentication Codes,MAC)、加密,最后通过TCP发送;通过TCP接收来的数据经过解密、验证MAC和解压缩,提供给高层。记录是SSL/TLS协议数据发送和接收的基本单位。在上层的三个协议中,握手协议的作用是在客户端与服务端间协商保密参数,从而建立安全连接;改变加密说明协议用于通知对方后续发送的消息采用新协商的保密参数进行保护;告警协议则负责将错误的发生及其严重程度通知对方。
在网络信息传输过程中,客户端和服务器端之间采用SSL/TLS协议传输的应用层数据都是加密的,没有明文出现。这种加密数据为数据审计带来了困难。例如,在企业业务系统中,需要审查客户资料信息、账务信息、计费信息及企业内部重要资料等敏感信息是否被泄漏出去,而这些信息有可能是以密文的形式传输的。现有技术中,在服务器端和客户端之间引入SSL/TLS代理服务器,SSL/TLS代理服务器分别与服务器端和客户端之间建立两条相互独立的SSL/TLS连接,SSL/TLS代理服务器获取加密数据后,将加密数据解密,提取明文后,再将数据加密,发送到对端。由于两条连接是独立的,因此存在以下问题:SSL/TLS代理服务器获取到数据后,需要修改数据包载荷,导致响应时间长;由于SSL/TLS代理服务器需要将数据解密成明文后,再加密成密文发送到对端,会明显降低SSL吞吐率;SSL/TLS代理服务器需要为每个用户请求维护两份密钥信息,占用内存资源较多。
发明内容
本申请的目的是提供一种网络保密数据明文的采集方法及系统,在客户端和服务器端之间,引入数据采集系统,数据采集系统可以恢复出保密数据的明文。由于数据采集系统与客户端和服务器端建立了两条相互关联的SSL/TLS连接,这两条连接共享会话密钥,所以,数据采集系统可以将密文复制一份即转发,不需对密文解密再加密,且只需为每个用户请求维护一份密钥信息,因此,响应时间短,SSL吞吐率大,占用内存资源少。
为实现上述目的,第一方面,本申请提供了一种网络保密数据明文的采集方法,该方法包括:
服务器端向数据采集系统发送第一服务器端证书消息;所述第一服务器端证书消息携带服务器端证书;所述服务器端证书包括服务器端的公钥;
所述数据采集系统对所述服务器端证书进行验证;
当验证通过时,所述数据采集系统根据所述服务器端证书提取所述服务器端的公钥,并保存所述服务器端的公钥;
所述数据采集系统将所述服务器端证书替换为所述数据采集系统证书;所述数据采集系统证书包括所述数据采集系统的公钥;
所述数据采集系统将第二服务器端证书消息发送给所述客户端;所述第二服务器端证书消息携带所述数据采集系统证书;
所述客户端对所述数据采集系统证书进行验证;
当验证通过时,所述客户端利用所述数据采集系统公钥加密预主秘密,得到第一加密预主秘密;
所述客户端向所述数据采集系统发送第一客户端密钥交换消息;所述第一客户端密钥交换消息携带所述第一加密预主秘密;
所述数据采集系统利用所述数据采集系统的私钥对所述第一加密预主秘密进行解密,得到所述预主秘密;
所述数据采集系统根据所述预主秘密生成密钥,用以所述数据采集系统根据所述密钥对网络中传输的保密数据进行解密。
第二方面,本申请提供了一种网络保密数据明文的采集系统,该系统包括:
本申请实施例提供的服务器端、数据采集系统和客户端。
本申请提供的网络保密数据明文的采集方法及系统,在客户端和服务器端之间已存在TCP连接的基础上,引入数据采集系统,数据采集系统通过修改SSL/TLS握手消息分别与客户端和服务器端建立两条相互关联的SSL/TLS连接,这两条连接共享会话密钥。掌握这些密钥的数据采集系统可以恢复出保密数据的明文,而且对于密文复制一份即可转发,缩短响应时间,提升了SSL吞吐率;只需为每个用户请求维护一份密钥信息,带来内存资源的节约和用户最大连接数的增加。
附图说明
图1为本申请实施例一提供的网络保密数据明文的采集方法流程图;
图2为本申请实施例一提供的SSL/TLS数据传输处理示意图;
图3为本申请实施例二提供的网络保密数据明文的采集系统示意图。
具体实施方式
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
图1为本申请实施例一提供的网络保密数据明文的采集方法流程图。如图1所示,所述方法具体包括:
步骤S101,客户端向数据采集系统发送客户端问候消息,数据采集系统记录客户端随机数后,将所述客户端问候消息转发给服务器端。
具体地,客户端向数据采集系统发送的客户端问候消息(ClientHello)中包含计算密钥所需的客户端随机数。数据采集系统接收客户端问候消息之后,需要记录所述随机数,无需对其内容进行任何修改,直接转发给服务器端。数据采集系统需要保存整条消息,用于握手结束阶段校验来自客户端和服务器端的握手结束消息,以及重新构造发送给客户端和服务器端的握手结束消息。
需要说明的是,在步骤S101之前,客户端与服务器端之间已建立TCP连接。
步骤S102,服务器端向数据采集系统发送服务器端问候消息,所述数据采集系统记录协议版本信息、服务器端随机数和加密套件信息后,将所述服务器端问候消息发送给客户端。
具体地,服务器端向数据采集系统发送的服务器端问候消息(ServerHello)中携带协议版本信息、服务器端随机数和加密套件信息,所述协议版本信息可以为服务器端和客户端进行安全通信使用的SSL或TLS协议版本;所述加密套件信息可以为一套加密算法;所述服务器端随机数用以计算密钥。数据采集系统需要记录这些信息。数据采集系统无需对服务器端问候消息内容进行任何修改,直接转发给客户端。数据采集系统需要保存整条消息,用于握手结束阶段校验来自客户端和服务器端的握手结束消息,以及重新构造发送给客户端和服务器端的握手结束消息。
步骤S103,服务器端向数据采集系统发送第一服务器端证书消息,所述数据采集系统对第一服务器端证书验证通过后,提取服务器端公钥并将服务器端证书替换为数据采集系统证书,将第二服务器端证书消息发送给客户端。
具体地,服务器端向数据采集系统发送第一服务器端证书消息(Certificate),第一服务器端证书消息携带服务器端证书,所述服务器端证书含有服务器端公钥,数据采集系统接收第一服务器端证书消息之后,首先需要对服务器端的证书进行验证。验证通过后,为了继续与服务器端进行后续的握手过程,数据采集系统需要从服务器端证书中提取出服务器端公钥并保存。此时数据采集系统保存整条消息,用于握手结束阶段校验来自服务器端的握手结束消息,以及重新构造发送给服务器端的握手结束消息。为了与客户端之间建立SSL/TLS连接,数据采集系统需要将服务器端证书消息中的服务器端证书替换为数据采集系统证书,得到第二服务器端证书消息,此时数据采集系统保存整条消息,用于握手结束阶段校验来自客户端的握手结束消息,以及重新构造发送给客户端的握手结束消息。之后,数据采集系统将第二服务器端证书消息发送给客户端,所述客户端接收第二服务器端证书消息后,需要对数据采集系统证书进行验证,验证通过后再进行后续消息传输。
步骤S104,服务器端向数据采集系统发送服务器端问候结束消息,数据采集系统将所述服务器端问候结束消息发送给客户端。
具体地,服务器端向数据采集系统发送的服务器端问候结束消息(ServerHelloDone)中不含SSL/TLS协议保密数据明文采集所需的任何信息,因此,数据采集系统无需对其进行修改,可以直接转发给客户端。数据采集系统需要保存整条消息,用于握手结束阶段校验来自客户端和服务器端的握手结束消息,以及重新构造发送给客户端和服务器端的握手结束消息”。
步骤S105,客户端向数据采集系统发送第一客户端密钥交换消息,所述数据采集系统获取第一加密预主秘密后,用数据采集系统的私钥解密,得到预主秘密,用服务器端公钥加密所述预主秘密后,将第二客户端密钥交换消息发送给服务器端。
具体地,客户端生成预主秘密,利用密钥交换算法和数据采集系统的公钥对所述预主秘密进行加密,得到第一加密预主秘密。密钥交换算法可以为RSA公钥加密算法(由罗纳德·李维斯特、阿迪·萨莫尔和伦纳德·阿德曼三人提出,RSA为三人姓氏首字母组合)。客户端向数据采集系统发送的第一客户端密钥交换消息(ClientKeyExchange)中携带所述第一加密预主秘密。数据采集系统收到第一客户端密钥交换消息之后,需要用数据采集系统的私钥对所述第一加密预主秘密进行解密,从而获取预主秘密。此时数据采集系统保存整条消息,用于握手结束阶段校验来自客户端的握手结束消息,以及重新构造发送给客户端的握手结束消息。之后,为了继续与服务器端进行后续的握手过程,数据采集系统需要用服务器端公钥重新加密预主秘密,得到第二加密预主秘密,并重新封装成第二客户端密钥交换消息发送给服务器端。此时数据采集系统保存整条消息,用于握手结束阶段校验来自服务器端的握手结束消息,以及重新构造发送给服务器端的握手结束消息。数据采集系统获取预主秘密后,先后计算出主秘密和密钥,供后续的握手结束消息的加、解密以及SSL/TLS协议保密数据的解密使用。
步骤S106,客户端向数据采集系统发送改变加密说明消息,所述数据采集系统将所述改变加密说明消息发送给所述服务器端。
具体地,客户端向数据采集系统发送的改变加密说明消息(ChangeCipherSpec)中不含SSL/TLS明文采集需要的任何信息,因此,数据采集系统不需对其进行修改,可以直接转发给服务器端。
步骤S107,客户端向数据采集系统发送客户端握手结束消息,所述数据采集系统验证所述客户端握手结束消息,之后根据与服务器端交互的握手消息重新构建客户端握手结束消息发送给服务器端。
具体地,数据采集系统需要对客户端发来的客户端握手结束消息(ClientFinished)解密并进行验证。验证通过后,保存整条消息,用于握手结束阶段校验来自客户端的握手结束消息,以及重新构造发送给客户端的握手结束消息。客户端发来的握手结束消息被丢弃,数据采集系统根据之前保存的与服务器端交互的全部SSL/TLS握手消息重新构造握手结束消息,发送给服务器端。保存这条重新构造的消息,用于校验来自服务器端的握手结束消息。
步骤S108,服务器端向数据采集系统发送改变加密说明消息,所述数据采集系统将所述改变加密说明消息发送给所述客户端。
具体地,服务器端向数据采集系统发送的改变加密说明消息(ChangeCipherSpec)中不含SSL/TLS明文采集需要的任何信息,因此,数据采集系统不需对其进行修改,可以直接转发给客户端。
步骤S109,服务器端向数据采集系统发送服务器端握手结束消息,数据采集系统验证所述服务器端握手结束消息,之后根据与客户端交互的握手消息重新构建服务器端握手结束消息发送给客户端。
具体地,数据采集系统需要对服务器端发来的握手结束消息(ServerFinished)解密并进行验证。验证通过后,丢弃所述服务器端握手结束消息,根据之前保存的与客户端交互的全部SSL/TLS握手消息重新构造握手结束消息,发送给客户端。
经过以上步骤,数据采集系统与客户端及服务器端分别建立一条SSL/TLS连接SSL和SSL’,两条连接具有相同的会话密钥。在SSL/TLS应用数据传输过程中,数据采集系统由于已经掌握了双方SSL/TLS连接的所有秘密信息,因而可以解密通过SSL/TLS协议保护的数据。
图2为本申请实施例一提供的SSL/TLS数据传输处理示意图。为了保证数据的快速处理,数据采集系统接收数据后拷贝一份即转发,不需对数据包载荷进行任何修改。之后数据采集系统在负载允许的情况下解密SSL/TLS密文数据,得到保密数据明文。
本申请提供的网络保密数据明文的采集方法,在客户端和服务器端之间已存在TCP连接的基础上,引入数据采集系统,数据采集系统通过修改SSL/TLS握手消息分别与客户端和服务器端建立两条相互关联的SSL/TLS连接,这两条连接共享会话密钥。掌握这些密钥的数据采集系统可以恢复出保密数据的明文,而且对于密文复制一份即可转发,缩短响应时间,提升了SSL吞吐率;只需为每个用户请求维护一份密钥信息,带来内存资源的节约和用户最大连接数的增加。
与上述网络保密数据明文的采集方法对应地,本申请实施例二还提供了一种保密数据明文的采集系统,图3为本申请实施例二提供的系统示意图,所述系统包括:客户端21、数据采集系统22和服务器端23.客户端21和服务器端23建立TCP连接,数据采集系统22与客户端21及服务器端23分别建立一条SSL/TLS连接,两条连接具有相同的会话密钥。
本申请实施例二提供的系统植入了本申请实施例一提供的方法,因此,本申请提供的系统的具体工作过程,在此不复赘述。
本申请提供的网络保密数据明文的采集系统,在客户端和服务器端之间已存在TCP连接的基础上,引入数据采集系统,数据采集系统通过修改SSL/TLS握手消息分别与客户端和服务器端建立两条相互关联的SSL/TLS连接,这两条连接共享会话密钥。掌握这些密钥的数据采集系统可以恢复出保密数据的明文,而且对于密文复制一份即可转发,缩短响应时间,提升了SSL吞吐率;只需为每个用户请求维护一份密钥信息,带来内存资源的节约和用户最大连接数的增加。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的对象及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (5)

1.一种网络保密数据明文的采集方法,其特征在于,所述方法包括:
服务器端向数据采集系统发送第一服务器端证书消息;所述第一服务器端证书消息携带服务器端证书;所述服务器端证书包括服务器端的公钥;
所述数据采集系统对所述服务器端证书进行验证;
当验证通过时,所述数据采集系统根据所述服务器端证书提取所述服务器端的公钥,并保存所述服务器端的公钥;
所述数据采集系统将所述服务器端证书替换为所述数据采集系统证书;所述数据采集系统证书包括所述数据采集系统的公钥;
所述数据采集系统将第二服务器端证书消息发送给所述客户端;所述第二服务器端证书消息携带所述数据采集系统证书;
所述客户端对所述数据采集系统证书进行验证;
当验证通过时,所述客户端利用所述数据采集系统公钥加密预主秘密,得到第一加密预主秘密;
所述客户端向所述数据采集系统发送第一客户端密钥交换消息;所述第一客户端密钥交换消息携带所述第一加密预主秘密;
所述数据采集系统利用所述数据采集系统的私钥对所述第一加密预主秘密进行解密,得到所述预主秘密;
所述数据采集系统根据所述预主秘密生成密钥,用以所述数据采集系统根据所述密钥对网络中传输的保密数据进行解密。
2.根据权利要求1所述的方法,其特征在于,在服务器端向数据采集系统发送第一服务器端证书消息之前,所述方法还包括:
所述服务器端和所述客户端建立传输控制协议连接;
所述客户端向所述数据采集系统发送客户端问候消息;所述客户端问候消息携带客户端随机数;
所述数据采集系统记录所述客户端随机数,并向所述服务器端发送所述客户端问候消息;
所述服务器端向所述数据采集系统发送服务器端问候消息;所述服务器端问候消息携带协议版本信息、服务器端随机数和加密套件信息;
所述数据采集系统记录所述协议版本信息、服务器端随机数和加密套件信息,并向所述客户端发送所述服务器端问候消息。
3.根据权利要求2所述的方法,其特征在于,在所述数据采集系统利用所述数据采集系统的私钥对所述第一加密预主秘密进行解密,得到所述预主秘密之后,所述方法还包括:
所述数据采集系统利用所述服务器端公钥加密所述预主秘密,得到第二加密预主秘密;
所述数据采集系统向所述服务器端发送第二客户端密钥交换消息;
所述第二客户端密钥交换消息携带所述第二加密预主秘密。
4.根据权利要求3所述的方法,其特征在于,在所述客户端利用所述采集系统公钥加密预主秘密,得到第一加密预主秘密之前,所述方法还包括:
所述客户端生成预主秘密。
5.一种网络保密数据明文的采集系统,所述系统包括上述权利要求1所述的服务器端、数据采集系统和客户端。
CN201410721300.9A 2014-12-02 2014-12-02 网络保密数据明文的采集方法及系统 Active CN104468560B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201410721300.9A CN104468560B (zh) 2014-12-02 2014-12-02 网络保密数据明文的采集方法及系统
PCT/CN2015/074079 WO2016086546A1 (zh) 2014-12-02 2015-03-12 网络保密数据明文的采集方法及系统
EP15864415.3A EP3232632A4 (en) 2014-12-02 2015-03-12 Method and system for acquiring plaintext of network secret data
JP2017529339A JP2017536776A (ja) 2014-12-02 2015-03-12 ネットワーク機密データの平文の収集方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410721300.9A CN104468560B (zh) 2014-12-02 2014-12-02 网络保密数据明文的采集方法及系统

Publications (2)

Publication Number Publication Date
CN104468560A true CN104468560A (zh) 2015-03-25
CN104468560B CN104468560B (zh) 2017-09-19

Family

ID=52913932

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410721300.9A Active CN104468560B (zh) 2014-12-02 2014-12-02 网络保密数据明文的采集方法及系统

Country Status (4)

Country Link
EP (1) EP3232632A4 (zh)
JP (1) JP2017536776A (zh)
CN (1) CN104468560B (zh)
WO (1) WO2016086546A1 (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104683359A (zh) * 2015-03-27 2015-06-03 成都三零瑞通移动通信有限公司 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
CN105429962A (zh) * 2015-11-03 2016-03-23 清华大学 一种通用的面向加密数据的中间网络服务构建方法与体系
CN106161363A (zh) * 2015-04-03 2016-11-23 上海庆科信息技术有限公司 一种ssl连接建立的方法及系统
CN106941401A (zh) * 2017-03-23 2017-07-11 深信服科技股份有限公司 加速设备以及基于加速设备获取会话秘钥的方法
CN107306260A (zh) * 2016-04-22 2017-10-31 中国科学院声学研究所 一种网络保密数据采集系统ssl/tls会话重用的支持方法
WO2017215582A1 (zh) * 2016-06-15 2017-12-21 华为技术有限公司 加密内容检测的方法和设备
CN110190955A (zh) * 2019-05-27 2019-08-30 新华三信息安全技术有限公司 基于安全套接层协议认证的信息处理方法及装置
CN110336666A (zh) * 2019-07-17 2019-10-15 武汉信安珞珈科技有限公司 一种增强ssl/tls协议中随机数随机性的方法
CN110830431A (zh) * 2019-07-25 2020-02-21 杭州美创科技有限公司 SQL Server数据库密码托管方法
CN112035851A (zh) * 2020-07-22 2020-12-04 北京中安星云软件技术有限公司 一种基于ssl的mysql数据库审计方法
CN113158226A (zh) * 2021-03-05 2021-07-23 北京中安星云软件技术有限公司 基于SSL连接PostGreSQL数据库审计的实现方法及系统
CN114139192A (zh) * 2022-02-07 2022-03-04 奇安信科技集团股份有限公司 加密流量处理方法、装置、电子设备、介质及程序

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113347010B (zh) * 2021-08-05 2021-11-05 深圳市财富趋势科技股份有限公司 基于ssl-tls协议的双向认证方法、系统
CN115314214B (zh) * 2022-06-17 2024-10-15 安徽科大国创软件科技有限公司 一种基于支持硬件加速国密算法的tls协议实现方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080060055A1 (en) * 2006-08-29 2008-03-06 Netli, Inc. System and method for client-side authenticaton for secure internet communications
CN101546366A (zh) * 2009-02-11 2009-09-30 广州杰赛科技股份有限公司 数字版权管理系统及管理方法
CN101567784A (zh) * 2008-04-21 2009-10-28 成都市华为赛门铁克科技有限公司 一种获取密钥的方法、系统和设备
CN102082796A (zh) * 2011-01-20 2011-06-01 北京融易通信息技术有限公司 一种基于http的信道加密方法、信道简化加密方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100119069A1 (en) * 2007-05-31 2010-05-13 Panasonic Corporation Network relay device, communication terminal, and encrypted communication method
US8843750B1 (en) * 2011-01-28 2014-09-23 Symantec Corporation Monitoring content transmitted through secured communication channels
US9191394B2 (en) * 2012-02-08 2015-11-17 Microsoft Technology Licensing, Llc Protecting user credentials from a computing device
US9565180B2 (en) * 2012-09-28 2017-02-07 Symantec Corporation Exchange of digital certificates in a client-proxy-server network configuration
US9021563B2 (en) * 2013-01-02 2015-04-28 Htc Corporation Accessory interface system
KR101448866B1 (ko) * 2013-01-11 2014-10-13 주식회사 시큐아이 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080060055A1 (en) * 2006-08-29 2008-03-06 Netli, Inc. System and method for client-side authenticaton for secure internet communications
CN101567784A (zh) * 2008-04-21 2009-10-28 成都市华为赛门铁克科技有限公司 一种获取密钥的方法、系统和设备
CN101546366A (zh) * 2009-02-11 2009-09-30 广州杰赛科技股份有限公司 数字版权管理系统及管理方法
CN102082796A (zh) * 2011-01-20 2011-06-01 北京融易通信息技术有限公司 一种基于http的信道加密方法、信道简化加密方法及系统

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104683359A (zh) * 2015-03-27 2015-06-03 成都三零瑞通移动通信有限公司 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
CN104683359B (zh) * 2015-03-27 2017-11-21 成都三零瑞通移动通信有限公司 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
CN106161363A (zh) * 2015-04-03 2016-11-23 上海庆科信息技术有限公司 一种ssl连接建立的方法及系统
CN106161363B (zh) * 2015-04-03 2020-04-17 阿里云计算有限公司 一种ssl连接建立的方法及系统
CN105429962B (zh) * 2015-11-03 2018-10-19 清华大学 一种通用的面向加密数据的中间网络服务构建方法与体系
CN105429962A (zh) * 2015-11-03 2016-03-23 清华大学 一种通用的面向加密数据的中间网络服务构建方法与体系
CN107306260A (zh) * 2016-04-22 2017-10-31 中国科学院声学研究所 一种网络保密数据采集系统ssl/tls会话重用的支持方法
CN107306260B (zh) * 2016-04-22 2020-02-04 中国科学院声学研究所 一种网络保密数据采集系统ssl/tls会话重用的支持方法
CN107517183B (zh) * 2016-06-15 2021-02-12 华为技术有限公司 加密内容检测的方法和设备
CN107517183A (zh) * 2016-06-15 2017-12-26 华为技术有限公司 加密内容检测的方法和设备
WO2017215582A1 (zh) * 2016-06-15 2017-12-21 华为技术有限公司 加密内容检测的方法和设备
CN106941401A (zh) * 2017-03-23 2017-07-11 深信服科技股份有限公司 加速设备以及基于加速设备获取会话秘钥的方法
CN106941401B (zh) * 2017-03-23 2021-06-04 深信服科技股份有限公司 加速设备以及基于加速设备获取会话秘钥的方法
CN110190955B (zh) * 2019-05-27 2022-05-24 新华三信息安全技术有限公司 基于安全套接层协议认证的信息处理方法及装置
CN110190955A (zh) * 2019-05-27 2019-08-30 新华三信息安全技术有限公司 基于安全套接层协议认证的信息处理方法及装置
CN110336666A (zh) * 2019-07-17 2019-10-15 武汉信安珞珈科技有限公司 一种增强ssl/tls协议中随机数随机性的方法
CN110336666B (zh) * 2019-07-17 2022-08-05 武汉信安珞珈科技有限公司 一种增强ssl/tls协议中随机数随机性的方法
CN110830431A (zh) * 2019-07-25 2020-02-21 杭州美创科技有限公司 SQL Server数据库密码托管方法
CN112035851A (zh) * 2020-07-22 2020-12-04 北京中安星云软件技术有限公司 一种基于ssl的mysql数据库审计方法
CN113158226A (zh) * 2021-03-05 2021-07-23 北京中安星云软件技术有限公司 基于SSL连接PostGreSQL数据库审计的实现方法及系统
CN114139192A (zh) * 2022-02-07 2022-03-04 奇安信科技集团股份有限公司 加密流量处理方法、装置、电子设备、介质及程序
CN114139192B (zh) * 2022-02-07 2022-07-05 奇安信科技集团股份有限公司 加密流量处理方法、装置、电子设备、介质及程序

Also Published As

Publication number Publication date
WO2016086546A1 (zh) 2016-06-09
JP2017536776A (ja) 2017-12-07
EP3232632A1 (en) 2017-10-18
EP3232632A4 (en) 2017-11-15
CN104468560B (zh) 2017-09-19

Similar Documents

Publication Publication Date Title
CN104468560A (zh) 网络保密数据明文的采集方法及系统
US20240098071A1 (en) Cloud storage using encryption gateway with certificate authority identification
US11626979B2 (en) ECDHE key exchange for mutual authentication using a key server
CN106941401B (zh) 加速设备以及基于加速设备获取会话秘钥的方法
WO2017045552A1 (zh) 一种在ssl或tls通信中加载数字证书的方法和装置
CN104219217B (zh) 安全关联协商方法、设备和系统
EP3208989A1 (en) Secure shell (ssh2) protocol data collection method and device
CN102082796A (zh) 一种基于http的信道加密方法、信道简化加密方法及系统
CN109891423A (zh) 使用多个控制机构的数据加密控制
CN103036880A (zh) 网络信息传输方法、设备及系统
US10630466B1 (en) Apparatus and method for exchanging cryptographic information with reduced overhead and latency
TW201537937A (zh) 統一身份認證平臺及認證方法
US8281122B2 (en) Generation and/or reception, at least in part, of packet including encrypted payload
EP3944554A1 (en) Rollover of encryption keys in a packet-compatible network
CA3066728A1 (en) Cloud storage using encryption gateway with certificate authority identification
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
CN104320329A (zh) 开放、不可信互联网环境下安全即时通信方法及系统
US10218682B1 (en) Secure network protocol cryptographic processing
WO2024021958A1 (zh) 通信处理方法及系统、客户端、通信服务端和监管服务端
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN105991622A (zh) 一种报文验证方法及设备
CN105791285A (zh) 一种支持iec62351加密mms报文在线分析方法
Ćurguz Vulnerabilities of the SSL/TLS Protocol
CN116366262A (zh) 双SSL证书web服务器设置方法和web服务系统
CN113708928B (zh) 一种边缘云通信方法及相关装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210813

Address after: Room 1601, 16th floor, East Tower, Ximei building, No. 6, Changchun Road, high tech Industrial Development Zone, Zhengzhou, Henan 450001

Patentee after: Zhengzhou xinrand Network Technology Co.,Ltd.

Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Effective date of registration: 20210813

Address after: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee after: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Patentee before: BEIJING INTELLIX TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right