CN107306260B - 一种网络保密数据采集系统ssl/tls会话重用的支持方法 - Google Patents

一种网络保密数据采集系统ssl/tls会话重用的支持方法 Download PDF

Info

Publication number
CN107306260B
CN107306260B CN201610257094.XA CN201610257094A CN107306260B CN 107306260 B CN107306260 B CN 107306260B CN 201610257094 A CN201610257094 A CN 201610257094A CN 107306260 B CN107306260 B CN 107306260B
Authority
CN
China
Prior art keywords
session
data acquisition
acquisition system
state
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610257094.XA
Other languages
English (en)
Other versions
CN107306260A (zh
Inventor
宋磊
董海韬
叶晓舟
樊皓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Acoustics CAS
Beijing Intellix Technologies Co Ltd
Original Assignee
Institute of Acoustics CAS
Beijing Intellix Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Acoustics CAS, Beijing Intellix Technologies Co Ltd filed Critical Institute of Acoustics CAS
Priority to CN201610257094.XA priority Critical patent/CN107306260B/zh
Publication of CN107306260A publication Critical patent/CN107306260A/zh
Application granted granted Critical
Publication of CN107306260B publication Critical patent/CN107306260B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/142Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种网络保密数据采集系统SSL/TLS会话重用的支持方法,所述方法包括:该数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法;所述数据采集系统为每对客户端及服务端建立的SSL/TLS连接维护一个有限状态机,用于记录这对SSL/TLS连接是否重用会话、会话标识以及后续的握手消息组成;所述数据采集系统收集客户端问候消息,将所述有限状态机从初始状态转换为中间状态;所述数据采集系统收集服务端问候消息及后续SSL/TLS握手消息组成,对会话标识及握手消息组成进行分析,根据分析结果将所述有限状态机从中间状态转换为最终状态;所述数据采集系统根据最终状态处理后续SSL/TLS握手过程。

Description

一种网络保密数据采集系统SSL/TLS会话重用的支持方法
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种网络保密数据采集系统SSL/TLS(Secure Socket Layer/Transport Layer Security,安全套接层/传输层安全)会话重用的支持方法。
背景技术
SSL/TLS协议运行在可靠的传输层协议之上、各种应用层协议之下,能够在互联网上的客户端与服务端之间建立安全连接,即SSL/TLS连接,防止客户端与服务端应用程序通信中的消息窃听、篡改及伪造,从而为互联网上的数据通信提供数据传输保密性、完整性以及通信双方的相互认证性等安全服务。SSL/TLS是分层协议,包括底层的记录层协议及上层的改变加密说明协议、告警协议和握手协议。SSL/TLS协议的执行流程可分为两个阶段:SSL/TLS连接建立及应用层数据传输。SSL/TLS连接的建立是通过SSL/TLS握手来完成的。SSL/TLS握手的结束标志着SSL/TLS连接的建立,随后可以以密文形式安全传输应用层数据。密文数据的传输依靠下层可靠的传输层协议。
在网络信息传输过程中,客户端和服务端之间采用SSL/TLS协议传输的应用层数据都是加密的,没有明文出现。这种加密数据为数据审计带来了困难。例如,在企业业务系统中,需要审查客户资料信息、账务信息、计费信息及企业内部重要资料等敏感信息是否被泄漏出去,而这些信息有可能是以密文的形式传输的。现有的一种网络保密数据的明文采集技术,将作为合法中间人的数据采集系统串行接入服务端与客户端之间,在SSL/TLS握手阶段通过修改通信双方传输的握手消息,分别与客户端及服务端建立一条SSL/TLS连接。这两条SSL/TLS连接具有相同的密钥,具体包括对称密钥和消息认证码(MessageAuthentication Codes,MAC)密钥。这些密钥同时可以被采集系统所掌握,因此采集系统可以对通信双方传输的密文数据进行解密,从而达到采集保密数据明文的目的。
在SSL/TLS协议中,会话被定义为一种客户端与服务端之间的关系,包含会话标识、证书、压缩方法、密码算法、主秘密、是否可重用等要素。其中会话标识用于唯一标识每一个SSL/TLS会话,可以为会话ID或会话ticket。SSL/TLS会话是在SSL/TLS握手中协商的。协商SSL/TLS会话的开销很大,主要来自通信双方密钥交换过程的公钥算法操作。为了避免为每个连接都重新协商新会话的昂贵开销,SSL/TLS协议提供了会话重用机制,在当前SSL/TLS连接中重用一个已有的会话,无需协商新会话,从而大大缩短了SSL/TLS握手流程。服务端会保存之前协商的SSL/TLS会话的信息。客户端请求建立SSL/TLS连接时,若希望重用某个会话,就在请求中包含该会话的标识。服务端对其进行识别,如果希望重用该会话,就执行简化的SSL/TLS握手流程。如果客户端或服务端不希望重用会话,就执行完整的SSL/TLS握手流程。为防止攻击者推算出密钥,一个SSL/TLS会话不宜存在过长时间。在SSL/TLS协议中,每个会话都有一个最大保持时间,即该会话的寿命。这个时间是由服务端指定的。
上述现有的网络保密数据的明文采集技术仅对客户端与服务端之间不发生会话重用的情景提供了支持,尚不能支持会话重用机制。
发明内容
本发明的目的在于克服目前客户端和服务端进行会话重用时,在SSL/TLS协议获取明文数据时存在的上述问题,提出网络保密数据明文采集系统SSL/TLS会话重用的支持方法,通过该方法,能够在客户端和服务端进行会话重用时,获取到明文数据,从而完成审计功能。
为了实现上述目的,本发明提出了一种网络保密数据采集系统SSL/TLS会话重用的支持方法,所述方法包括:
该数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法;所述数据采集系统为每对客户端及服务端建立的SSL/TLS连接维护一个有限状态机,用于记录这对SSL/TLS连接是否重用会话、会话标识以及后续的握手消息组成;所述数据采集系统收集客户端问候消息,将所述有限状态机从初始状态转换为中间状态;所述数据采集系统收集服务端问候消息及后续SSL/TLS握手消息组成,对会话标识及握手消息组成进行分析,根据分析结果将所述有限状态机从中间状态转换为最终状态;所述数据采集系统根据最终状态处理后续SSL/TLS握手过程。
上述技术方案中,所述方法具体包括:
步骤S101,所述客户端向所述数据采集系统发送客户端问候消息;所述数据采集系统对所述客户端问候消息的内容进行分析,再根据分析结果,将所述有限状态机从初始状态转换为中间状态;
步骤S102,所述数据采集系统将所述客户端问候消息转发给所述服务端;所述服务端对所述客户端问候消息中是否含有会话标识及会话标识进行分析;
步骤S103,所述服务端向所述数据采集系统发送服务端问候消息及后续SSL/TLS握手消息;所述数据采集系统分析所述服务端问候消息内容,并分析所述后续SSL/TLS握手消息组成,根据分析结果将所述有限状态机从所述中间状态转换为最终状态;
步骤S104,所述数据采集系统根据所述最终状态处理后续SSL/TLS握手过程;通过最终状态,所述数据采集系统获取到客户端与服务端的会话重用状态;所述数据采集系统根据会话重用状态处理后续握手消息。
上述技术方案中,所述步骤S101中的初始状态表示所述数据采集系统尚未接收到客户端问候消息;
所述步骤S101中的中间状态为:
第一种类型:客户端未提供任何会话标识,表示所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项;
第二种类型:客户端提供会话ID,表示所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项;
第三种类型:客户端发空会话ticket扩展项,表示所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项;
第四种类型:客户端提供会话ticket,无会话ID,表示所述客户端问候消息中的会话ID为空,且包含非空的会话ticket扩展项;或
第五种类型:客户端提供会话ticket,有会话ID,表示所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项。
上述技术方案中,所述步骤S101中的有限状态机从初始状态转换为中间状态过程为:
当所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项,则初始状态转换为第一种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项,则初始状态转换为第二种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项,则初始状态转换为第三种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含非空的会话ticket扩展项,则初始状态转换为第四种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项,则初始状态转换为第五种类型的中间状态。
上述技术方案中,所述步骤S103中的最终状态为:
第一种类型:无会话重用,新会话不可重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话,且协商的新会话不可被重用;
第二种类型:无会话重用,新会话启用会话ID机制,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话,且协商的新会话可以被重用,采用会话ID进行标识;
第三种类型:无会话重用,新会话启用会话ticket机制,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话,且协商的新会话可以被重用,采用会话ticket进行标识;
第四种类型:采用会话ID机制的会话重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ID的会话重用机制重用先前的会话;或
第五种类型:采用会话ticket机制的会话重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ticket的会话重用机制重用先前的会话。
上述技术方案中,当中间状态为第一种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程,则中间状态转换为第一类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续SSL/TLS握手消息为完整握手流程,则中间状态转换为第二种类型的最终状态。
上述技术方案中,当中间状态为第二种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID不同;所述后续SSL/TLS握手消息为完整握手流程,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述后续SSL/TLS握手消息为会话重用的握手流程,则中间状态转换为第四种类型的最终状态。
上述技术方案中,当中间状态为第三种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket,则中间状态转换为第三种类型的最终状态。
上述技术方案中,当中间状态为第四种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket,则中间状态转换为第三种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为会话重用的握手流程,则中间状态转换为第五种类型的最终状态。
上述技术方案中,当中间状态为第五种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID不同;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket,则中间状态转换为第三种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述后续SSL/TLS握手消息为会话重用的握手流程,则中间状态转换为第五种类型的最终状态。
本发明的优点在于:
1、本发明的方法能够保证数据采集过程中客户端与服务端之间SSL/TLS会话重用机制的透明、有效执行;
2、本发明的方法能够为数据采集系统在客户端与服务端之间进行会话重用时获取明文数据,为后续的数据审计提供支持。
附图说明
图1为本发明的网络保密数据采集系统SSL/TLS会话重用的支持方法流程图;
图2为本发明的网络保密数据采集系统SSL/TLS会话重用的支持方法有限状态机示意图;
图3为本发明的实施例一提供的SSL/TLS握手消息交互示意图;
图4为本发明的实施例二提供的SSL/TLS握手消息交互示意图;
图5为本发明的实施例三提供的SSL/TLS握手消息交互示意图;
图6为本发明的实施例四提供的SSL/TLS握手消息交互示意图。
具体实施方式
下面结合附图和具体实施例对本申请的技术方案做进一步的详细描述。
如图1所示,一种网络保密数据采集系统SSL/TLS会话重用的支持方法,具体实施方式如下:
所述数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法;
所述数据采集系统为每对与客户端及服务端建立的SSL/TLS连接维护一个有限状态机,用于记录这对SSL/TLS连接是否重用会话、所用会话采用会话标识的类型,以及后续的握手消息组成,以便所述数据采集系统维护会话信息以及顺利完成后续握手过程。
所述方法具体包括:
步骤S101,所述客户端向所述数据采集系统发送客户端问候消息(ClientHello);所述数据采集系统对所述客户端问候消息的内容进行分析,根据分析结果,将所述有限状态机从初始状态转换为中间状态;
具体地,如图2所示,初始状态以粗实线圆圈表示;中间状态以虚线圆圈表示。初始状态及各中间状态的含义具体说明如下:
所述初始状态表示所述数据采集系统尚未接收到客户端问候消息。
所述中间状态为:
第一种类型:客户端未提供任何会话标识,表示所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项;
第二种类型:客户端提供会话ID,表示所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项;
第三种类型:客户端发空会话ticket扩展项,表示所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项;
第四种类型:客户端提供会话ticket,无会话ID,表示所述客户端问候消息中的会话ID为空,且包含非空的会话ticket扩展项;或
第五种类型:客户端提供会话ticket,有会话ID,表示所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项。
由初始状态向各中间状态转换的条件具体说明如下:
(1)所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项。
(2)所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项。
(3)所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项。
(4)所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含非空的会话ticket扩展项。
(5)所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项。
需要补充说明的是,对于发生在初始状态的、不符合条件(1)–(5)的事件,一律转换到一个系统错误状态。为简洁起见,图2中省略了这一特点。
步骤S102,所述数据采集系统将所述客户端问候消息转发给所述服务端;所述服务端对所述客户端问候消息中是否含有会话标识及会话标识的内容进行分析;
步骤S103,所述服务端向所述数据采集系统发送服务端问候消息(ServerHello)及后续SSL/TLS握手消息;所述数据采集系统分析所述服务端问候消息内容,并分析所述后续SSL/TLS握手消息组成,根据分析结果将所述有限状态机从所述中间状态转换为最终状态。
具体地,如图2所示,最终状态以细实线圆圈表示,所述最终状态为:
第一种类型:会话重用,新会话不可重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话,且协商的新会话不可被重用;
第二种类型:无会话重用,新会话启用会话ID机制,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话,且协商的新会话可以被重用,采用会话ID进行标识;
第三种类型:无会话重用,新会话启用会话ticket机制,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话,且协商的新会话可以被重用,采用会话ticket进行标识;
第四种类型:采用会话ID机制的会话重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ID的会话重用机制重用先前的会话;或
第五种类型:采用会话ticket机制的会话重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ticket的会话重用机制重用先前的会话。
由各中间状态向各最终状态转换的条件具体说明如下:
(6)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程。
(7)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续SSL/TLS握手消息为完整握手流程。
(8)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程。
(9)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID不同;所述后续SSL/TLS握手消息为完整握手流程。
(10)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述后续SSL/TLS握手消息为会话重用的握手流程。
(11)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket。
(12)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket。
(13)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket。
(14)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket。
(15)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket。
(16)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket。
(17)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为会话重用的握手流程。
(18)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket。
(19)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID不同;所述后续SSL/TLS握手消息为完整握手流程;所述服务端未发送新会话的会话ticket。
(20)所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket。
(21)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述后续SSL/TLS握手消息为会话重用的握手流程。
需要补充说明的是,对于发生在各中间状态的、不符合条件(6)–(21)的事件,一律转换到一个系统错误状态。为简洁起见,图2中省略了这一特点。
步骤S104,所述数据采集系统根据所述最终状态处理后续SSL/TLS握手过程;通过最终状态,所述数据采集系统获取到客户端与服务端的会话重用状态;所述数据采集系统根据会话重用状态处理后续握手消息。
所述会话重用状态包括:所述客户端及服务端建立的两条SSL/TLS连接是否重用会话、所用会话采用何种会话标识,以及后续的握手消息组成。
本发明提供的网络保密数据明文采集系统SSL/TLS会话重用的支持方法,用于采用基于合法中间人原理的网络保密数据明文采集方法的数据采集系统,利用有限状态机对基于会话ID和基于会话ticket两种SSL/TLS会话重用机制提供支持,在客户端与服务端希望重用某一会话时,为数据采集系统与客户端及服务端建立的两条SSL/TLS连接均重用该会话,从而保证数据采集过程中客户端与服务端之间SSL/TLS会话重用机制的透明、有效执行。
基于上述方法,本申请提供了四个实施例,分别举例说明在所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接无会话重用且新协商会话不支持会话ticket、无会话重用且新协商会话支持会话ticket、有基于会话ID的会话重用、有基于会话ticket的会话重用四种情景下,本申请提供的网络保密数据明文采集系统SSL/TLS会话重用的支持方法的具体实施方式。
本申请实施例一提供的SSL/TLS握手消息交互流程如图3所示。在来往的SSL/TLS握手消息中,不需所述数据采集系统修改的以细实线表示;需要所述数据采集系统修改的以虚线表示;本申请提供的网络保密数据明文采集系统SSL/TLS会话重用的支持方法所不关心的一系列握手消息以粗实线及“XX”表示。接收到所述客户端问候消息,所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项。状态转换为“客户端未提供任何会话标识”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息,所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述服务端问候消息之后为服务端证书消息(Certificate),因而所述后续SSL/TLS握手消息为完整握手流程。状态转换为“无会话重用,新会话启用会话ID机制”。所述数据采集系统随后按完整握手流程处理所述后续SSL/TLS握手消息,以会话ID标识并保存新协商会话。
本申请实施例二提供的SSL/TLS握手消息交互流程如图4所示。接收到所述客户端问候消息,所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项。状态转换为“客户端发空会话ticket扩展项”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息,所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述服务端问候消息之后为服务端证书消息,因而所述后续SSL/TLS握手消息为完整握手流程;所述服务端发送了新会话的会话ticket(NewSessionTicket)。状态转换为“无会话重用,新会话启用会话ticket机制”。所述数据采集系统随后按完整握手流程处理所述后续SSL/TLS握手消息,以会话ticket标识并保存新协商会话。
本申请实施例三提供的SSL/TLS握手消息交互流程如图5所示。接收到所述客户端问候消息,所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项。状态转换为“客户端提供会话ID”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息,所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述服务端问候消息之后为改变加密说明消息(ChangeCipherSpec),因而所述后续SSL/TLS握手消息为会话重用的握手流程。状态转换为“采用会话ID机制的会话重用”。所述数据采集系统随后按会话重用的握手流程处理所述后续SSL/TLS握手消息。
本申请实施例四提供的SSL/TLS握手消息交互流程如图6所示。接收到所述客户端问候消息,所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项。状态转换为“客户端提供会话ticket,有会话ID”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息,所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述服务端问候消息之后为新会话ticket消息,因而所述后续SSL/TLS握手消息为会话重用的握手流程。状态转换为“采用会话ticket机制的会话重用”。所述数据采集系统随后按会话重用的握手流程处理所述后续SSL/TLS握手消息。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的对象及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的实施例,仅用以说明本申请的技术方案而非对其限制,并且在应用上可以延伸到其他的修改、变化、应用和实施例,同时认为所有这样的修改、变化、应用、实施例都在本申请的范围内。

Claims (3)

1.一种网络保密数据采集系统SSL/TLS会话重用的支持方法,所述方法包括:
该数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法;所述数据采集系统为每对客户端及服务端建立的安全套接层/传输层安全连接维护一个有限状态机,用于记录这对安全套接层/传输层安全连接是否重用会话、会话标识以及后续的握手消息组成;所述数据采集系统收集客户端问候消息,将所述有限状态机从初始状态转换为中间状态;所述数据采集系统收集服务端问候消息及后续安全套接层/传输层安全握手消息组成,对会话标识及握手消息组成进行分析,根据分析结果将所述有限状态机从中间状态转换为最终状态;所述数据采集系统根据最终状态处理后续安全套接层/传输层安全握手过程;
所述方法具体包括:
步骤S101,所述客户端向所述数据采集系统发送客户端问候消息;所述数据采集系统对所述客户端问候消息的内容进行分析,再根据分析结果,将所述有限状态机从初始状态转换为中间状态;
步骤S102,所述数据采集系统将所述客户端问候消息转发给所述服务端;所述服务端对所述客户端问候消息中是否含有会话标识及会话标识进行分析;
步骤S103,所述服务端向所述数据采集系统发送服务端问候消息及后续安全套接层/传输层安全握手消息;所述数据采集系统分析所述服务端问候消息内容,并分析所述后续安全套接层/传输层安全握手消息组成,根据分析结果将所述有限状态机从所述中间状态转换为最终状态;
步骤S104,所述数据采集系统根据所述最终状态处理后续安全套接层/传输层安全握手过程;通过最终状态,所述数据采集系统获取到客户端与服务端的会话重用状态;所述数据采集系统根据会话重用状态处理后续握手消息;
所述步骤S101中的初始状态表示所述数据采集系统尚未接收到客户端问候消息;
所述步骤S101中的中间状态为:
第一种类型:客户端未提供任何会话标识,表示所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项;
第二种类型:客户端提供会话ID,表示所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项;
第三种类型:客户端发空会话ticket扩展项,表示所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项;
第四种类型:客户端提供会话ticket,无会话ID,表示所述客户端问候消息中的会话ID为空,且包含非空的会话ticket扩展项;或
第五种类型:客户端提供会话ticket,有会话ID,表示所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项;
所述步骤S101中的有限状态机从初始状态转换为中间状态过程为:
当所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且不包含会话ticket扩展项,则初始状态转换为第一种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且不包含会话ticket扩展项,则初始状态转换为第二种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含空的会话ticket扩展项,则初始状态转换为第三种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID为空,且包含非空的会话ticket扩展项,则初始状态转换为第四种类型的中间状态;
当所述数据采集系统识别出所述客户端问候消息中的会话ID不为空,且包含非空的会话ticket扩展项,则初始状态转换为第五种类型的中间状态;
所述步骤S103中的最终状态为:
第一种类型:无会话重用,新会话不可重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条安全套接层/传输层安全连接不重用先前的会话,且协商的新会话不可被重用;
第二种类型:无会话重用,新会话启用会话ID机制,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条安全套接层/传输层安全连接不重用先前的会话,且协商的新会话可以被重用,采用会话ID进行标识;
第三种类型:无会话重用,新会话启用会话ticket机制,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条安全套接层/传输层安全连接不重用先前的会话,且协商的新会话可以被重用,采用会话ticket进行标识;
第四种类型:采用会话ID机制的会话重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条安全套接层/传输层安全连接使用基于会话ID的会话重用机制重用先前的会话;或
第五种类型:采用会话ticket机制的会话重用,表示所述数据采集系统即将与所述客户端及所述服务端建立的两条安全套接层/传输层安全连接使用基于会话ticket的会话重用机制重用先前的会话;
当中间状态为第二种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID不同;所述后续安全套接层/传输层安全握手消息为完整握手流程,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述后续安全套接层/传输层安全握手消息为会话重用的握手流程,则中间状态转换为第四种类型的最终状态;
当中间状态为第四种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端发送了新会话的会话ticket,则中间状态转换为第三种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为会话重用的握手流程,则中间状态转换为第五种类型的最终状态;
当中间状态为第五种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID不同;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端发送了新会话的会话ticket,则中间状态转换为第三种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空,且与所述客户端问候消息中的会话ID相同;所述后续安全套接层/传输层安全握手消息为会话重用的握手流程,则中间状态转换为第五种类型的最终状态。
2.根据权利要求1所述的网络保密数据采集系统SSL/TLS会话重用的支持方法,其特征在于,当中间状态为第一种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程,则中间状态转换为第一类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续安全套接层/传输层安全握手消息为完整握手流程,则中间状态转换为第二种类型的最终状态。
3.根据权利要求1所述的网络保密数据采集系统SSL/TLS会话重用的支持方法,其特征在于,当中间状态为第三种类型时,所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为:
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第一种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端未发送新会话的会话ticket,则中间状态转换为第二种类型的最终状态;
当所述数据采集系统识别出所述服务端问候消息中的会话ID为空;所述后续安全套接层/传输层安全握手消息为完整握手流程;所述服务端发送了新会话的会话ticket,则中间状态转换为第三种类型的最终状态。
CN201610257094.XA 2016-04-22 2016-04-22 一种网络保密数据采集系统ssl/tls会话重用的支持方法 Active CN107306260B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610257094.XA CN107306260B (zh) 2016-04-22 2016-04-22 一种网络保密数据采集系统ssl/tls会话重用的支持方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610257094.XA CN107306260B (zh) 2016-04-22 2016-04-22 一种网络保密数据采集系统ssl/tls会话重用的支持方法

Publications (2)

Publication Number Publication Date
CN107306260A CN107306260A (zh) 2017-10-31
CN107306260B true CN107306260B (zh) 2020-02-04

Family

ID=60150652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610257094.XA Active CN107306260B (zh) 2016-04-22 2016-04-22 一种网络保密数据采集系统ssl/tls会话重用的支持方法

Country Status (1)

Country Link
CN (1) CN107306260B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN204168327U (zh) * 2014-06-30 2015-02-18 优视科技有限公司 网络数据获取系统
CN104468560A (zh) * 2014-12-02 2015-03-25 中国科学院声学研究所 网络保密数据明文的采集方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN204168327U (zh) * 2014-06-30 2015-02-18 优视科技有限公司 网络数据获取系统
CN104468560A (zh) * 2014-12-02 2015-03-25 中国科学院声学研究所 网络保密数据明文的采集方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
适用于网络内容审计的SSL/TLS保密数据高效明文采集方法;董海韬等;《计算机应用》;20151010;第35卷(第10期);第2891-2895页 *

Also Published As

Publication number Publication date
CN107306260A (zh) 2017-10-31

Similar Documents

Publication Publication Date Title
CN110708170B (zh) 一种数据处理方法、装置以及计算机可读存储介质
US10880732B2 (en) Authentication of phone caller identity
US10742611B2 (en) Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions
CN101247407B (zh) 网络认证服务系统和方法
CN101299753B (zh) 具有web服务安全控制机制的代理服务器
US20080016354A1 (en) System and Method for Secure Remote Access
WO2019178942A1 (zh) 一种进行ssl握手的方法和系统
US20100191954A1 (en) Method and apparatus for transmitting message in heterogeneous federated environment, and method and apparatus for providing service using the message
CN105208024B (zh) 不使用https的数据安全传输方法及系统、客户端和服务端
CN109862103B (zh) 基于区块链的文件数据安全共享方法和装置
CN107231368A (zh) 提升面向互联网开放的软件接口安全性的方法
CN114143082B (zh) 一种加密通信方法、系统及装置
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
CN114338844A (zh) 一种客户端服务器之间的跨协议通信方法及装置
CN109698746A (zh) 基于主密钥协商生成绑定设备的子密钥的方法和系统
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN111901335B (zh) 基于中台的区块链数据传输管理方法及系统
CN107306260B (zh) 一种网络保密数据采集系统ssl/tls会话重用的支持方法
CN111639937A (zh) 数字货币风险管控方法和系统
CN114650181B (zh) 电子邮件加解密方法、系统、设备及计算机可读存储介质
CN113722726B (zh) 基于软硬件协同的加解密方法及系统
CN111935164B (zh) 一种https接口请求方法
CN115589341B (zh) 一种用户无感知的平台迁移系统及方法
CN114584393B (zh) 一种自动选择加密协议的方法
CN115396468B (zh) 数据传输方法及数据服务总线系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant