CN107666383B - 基于https协议的报文处理方法以及装置 - Google Patents

基于https协议的报文处理方法以及装置 Download PDF

Info

Publication number
CN107666383B
CN107666383B CN201610618117.5A CN201610618117A CN107666383B CN 107666383 B CN107666383 B CN 107666383B CN 201610618117 A CN201610618117 A CN 201610618117A CN 107666383 B CN107666383 B CN 107666383B
Authority
CN
China
Prior art keywords
private key
key
https
domain name
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610618117.5A
Other languages
English (en)
Other versions
CN107666383A (zh
Inventor
龚霖
林贤圩
蒋海滔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610618117.5A priority Critical patent/CN107666383B/zh
Priority to US15/660,799 priority patent/US20180034854A1/en
Priority to PCT/US2017/044034 priority patent/WO2018022805A1/en
Publication of CN107666383A publication Critical patent/CN107666383A/zh
Application granted granted Critical
Publication of CN107666383B publication Critical patent/CN107666383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开一种基于HTTPS协议的报文处理方法,包括:接收客户端发送的HTTPS请求;根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文;利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。所述基于HTTPS协议的报文处理方法,对客户的私钥进行加密并以密文形式进行存储,降低了客户的私钥的泄漏风险。

Description

基于HTTPS协议的报文处理方法以及装置
技术领域
本申请涉及HTTPS传输技术领域,具体涉及一种基于HTTPS协议的报文处理方法。本申请同时涉及一种基于HTTPS协议的报文处理装置,另一种基于HTTPS协议的报文处理方法以及装置,以及两种网络设备。
背景技术
随着互联网和云计算的迅速发展,越来越多的业务依赖于网络技术和云计算,在网络中,用户使用的最广泛的客户端就是浏览器,例如,智能手机上安装的浏览器、个人电脑上安装的浏览器,用户可通过浏览器浏览网页、向服务器上传数据以及从服务器下载数据。考虑到客户端与服务器之间传输数据的安全性,客户端和服务器之间通过HTTPS(HyperText Transfer Protocol over Secure Socket Layer)进行数据通信,HTTPS是在HTTP(Hypertext transfer protocol,超文本传输协议)基础上提出的一种安全的HTTP协议,HTTP协议在TCP协议之上,而HTTPS提出在HTTP和TCP中间加上一层加密层SSL(SecureSocket Layer,安全套接字)/TLS(Transport Layer Security Protocol,安全传输层协议),从数据发送端来看,SSL/TLS负责将传输的内容加密后送到下层的TCP,从数据接收方来看,SSL/TLS负责将TCP传输来的内容解密还原成相应内容。但随着互联网和云计算普及程度的不断提高,网站的域名受攻击的风险越来越大,网站的域名受到DDoS(DistributedDenial of Service,分布式拒绝服务)攻击的次数越来越多,但多数网站的带宽不足已支撑大规模的DDoS攻击,存在较大的风险;此外,大量的XSS跨站脚本、SQL注入等方式的Web攻击也让网站防不胜防。
目前,基于HTTPS对数据进行的加密传输,HTTPS在传输数据之前需要客户端和服务器之间进行一次握手,以确立双方加密传输数据的密钥(数字证书),在握手过程中,客户端发送一个连接请求给服务器,服务器将自己的证书,以及同证书相关的信息发送给客户端,客户端检查服务器发送的证书是否为受信赖的CA(Certificate Authority,证书颁发机构)颁发的,若是,就继续执行握手过程;若否,则发出警告消息确认是否继续访问;客户端随机产生一个用于进行数据加密传输“对称密钥”(采用对称加密的方式进行加密),然后用服务器的公钥对其进行加密后发送给服务器,客户端和服务器在握手之后进行数据的加密传输,客户端和服务器利用对称密钥对相互之间传输的加密数据进行解密,解密后获得相应的数据包。
现有技术提供的所述基于HTTPS对数据进行加密传输的实现方式,对称密钥由客户端生成后发送给服务器,并且是由客户端利用服务器的公钥将对称密钥加密后以密文的形式发送给服务器,服务器需要相应密钥对中的私钥将对称密钥解密为明文,而在此过程中,如果网站设置有防火墙,则需要将网站服务器的私钥(即客户的私钥)上传至防火墙,一旦网站的防火墙被入侵,存在客户私钥泄漏风险,因此,客户私钥的安全性较低。
发明内容
本申请提供一种基于HTTPS协议的报文处理方法,以解决现有技术存在的客户私钥的安全性较低的问题。
本申请同时涉及一种基于HTTPS协议的报文处理装置,另一种基于HTTPS协议的报文处理方法以及装置,以及两种网络设备。
本申请提供一种基于HTTPS协议的报文处理方法,包括:
接收客户端发送的HTTPS请求;
根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文;
利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;
利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
可选的,所述对称密钥用于后续客户端与服务端之间的数据加密传输。
本申请还提供一种基于HTTPS协议的报文处理装置,包括:
HTTPS请求接收单元,用于接收客户端发送的HTTPS请求;
第一私钥加密密文读取单元,用于根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文;
第一私钥加密密文解密单元,用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;
对称密钥加密密文解密单元,用于利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
本申请另外提供一种基于HTTPS协议的报文处理方法,包括:
接收客户端发送的HTTPS请求;
根据所述HTTPS请求访问的目标域名,利用预先配置的对称密钥对所述HTTPS请求进行解密,获得对应的数据包;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述客户端发送的对称密钥加密密文解密后获得的;
通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,向所述目标域名对应的服务端发送所述HTTPS请求。
可选的,所述通过分析所述数据包,判断所述目标域名是否存在DDoS攻击步骤,若所述目标域名存在DDoS攻击,则执行下述步骤:
拦截所述HTTPS请求,和/或,发出存在DDoS攻击的提醒信息。
可选的,所述数据包中包含所述目标域名的访问参数;
其中,所述访问参数包括:流量、访问IP、访问频次。
可选的,所述判断所述目标域名是否存在DDoS攻击,采用如下方式实现:
判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值,若否,执行下一步。
可选的,所述判断所述目标域名是否存在DDoS攻击,采用如下方式实现:
分别判断预设时间间隔内所述目标域名各个访问IP的访问频次是否大于预设访问频次阈值,若否,执行下一步。
可选的,所述接收客户端发送的HTTPS请求步骤执行之前,执行下述步骤:
接收所述客户端发送的数据请求;
判断所述数据请求的请求类型是否为所述HTTPS请求;
若是,执行所述接收客户端发送的HTTPS请求步骤;
若否,禁止所述数据请求访问所述目标域名,或者,拦截所述数据请求。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
本申请另外提供一种基于HTTPS协议的报文处理装置,包括:
HTTPS请求接收单元,用于接收客户端发送的HTTPS请求;
HTTPS请求解密单元,用于根据所述HTTPS请求访问的目标域名,利用预先配置的对称密钥对所述HTTPS请求进行解密,获得对应的数据包;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述客户端发送的对称密钥加密密文解密后获得的;
DDoS攻击判断单元,用于通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,运行HTTPS请求发送单元;
所述HTTPS请求发送单元,用于向所述目标域名对应的服务端发送所述HTTPS请求。
本申请提供一种网络设备,包括:
处理器和存储器;
其中,所述处理器,用于接收客户端发送的HTTPS请求,根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,并利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥,以及,利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥;
所述存储器,用于存储所述第一私钥加密密文和所述对称密钥加密密文。
本申请另外提供一种网络设备,包括:
处理器和存储器;
其中,所述处理器,用于接收客户端发送的HTTPS请求,根据所述HTTPS请求访问的目标域名,利用预先配置的对称密钥对所述HTTPS请求进行解密,获得对应的数据包,并通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,向所述目标域名对应的服务端发送所述HTTPS请求;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述客户端发送的对称密钥加密密文解密后获得的;
所述存储器,用于存储所述目标域名、所述数据包、所述第一私钥加密密文和所述对称密钥加密密文。
与现有技术相比,本申请具有以下优点:
本申请提供的基于HTTPS协议的报文处理方法,包括:接收客户端发送的HTTPS请求;根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文;利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
本申请提供的所述基于HTTPS协议的报文处理方法,根据接收到的HTTPS请求确定客户端要访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥将所述第一私钥加密密文解密为明文形式的第一私钥,并利用解密后获得的所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。所述基于HTTPS协议的报文处理方法中,所述第一私钥被加密为所述第一私钥加密密文,并且以所述第一私钥加密密文的形式进行存储,即将客户的私钥加密为密文,并以密文形式进行存储,降低了客户的私钥的泄漏风险。
附图说明
附图1是本申请提供的一种基于HTTPS协议的报文处理方法实施例的处理流程图;
附图2是本申请提供的一种基于HTTPS协议的报文处理方法应用场景的示意图;
附图3是本申请提供的一种基于HTTPS协议的报文处理装置实施例的示意图;
附图4是本申请提供的另一种基于HTTPS协议的报文处理方法实施例的处理流程图;
附图5是本申请提供的另一种基于HTTPS协议的报文处理装置实施例的示意图;
附图6是本申请提供的一种网络设备实施例的示意图;
附图7是本申请提供的另一种网络设备实施例的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其他方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
本申请提供一种基于HTTPS协议的报文处理方法,本申请还提供一种基于HTTPS协议的报文处理装置,另一种基于HTTPS协议的报文处理方法以及装置,以及两种网络设备。以下分别结合本申请提供的实施例的附图逐一进行详细说明,并且对方法的各个步骤进行说明。
本申请提供的一种基于HTTPS协议的报文处理方法实施例如下:
参照附图1,其示出了本申请提供的一种基于HTTPS协议的报文处理方法实施例的处理流程图,参照附图2,其示出了本申请提供的一种基于HTTPS协议的报文处理方法应用场景示意图。此外,所述基于HTTPS协议的报文处理方法实施例的各个步骤之间的关系,请根据附图1确定。
步骤S101,接收客户端发送的HTTPS请求。
现有的基于HTTPS对数据进行的加密传输,在客户端和服务端之间进行数据的加密传输之前,在客户端和服务端之间执行握手操作,协商好后续进行数据加密传输的对称密钥;握手操作执行完毕之后,客户端和服务端分别利用对称密钥对传输的数据进行加密传输,发送数据的一方(加密的一方)利用对称密钥将明文数据加密为相应密文数据,接收数据的一方(解密的一方)利用对称密钥将密文数据解密为相应明文数据,但当服务端设置有防火墙时,需将服务端的私钥上传至防火墙对对称密钥进行解密,即将客户的私钥上传至防火墙,因此客户的私钥存在泄漏风险。在此,本申请提供一种基于HTTPS协议的报文处理方法,在现有的基于HTTPS对数据进行加密传输的基础上,在私钥上传防火墙的过程中,以及防火墙使用、存储私钥的过程中,通过本申请提供的所述基于HTTPS协议的报文处理方法对私钥进行加密,从而降低私钥的泄漏风险。
基于此,所述基于HTTPS协议的报文处理方法的执行主体为服务端的防火墙,如附图2中所示的防火墙,但在实际应用中,所述基于HTTPS协议的报文处理方法的实现并不限于防火墙,还可以基于多种具体执行主体来实现,例如,基于配置在服务端的IDS(Intrusion Detection Systems,入侵检测系统),来实现所述基于HTTPS协议的报文处理方法。所述基于HTTPS协议的报文处理方法的执行主体的各种形式的变化,都只是具体实现方式的变更,都不偏离本申请的核心,因此都在本申请的保护范围之内。
本申请实施例所述HTTPS请求,是指所述客户端和服务端在进行握手操作后,由所述客户端向所述服务端发送的报文请求,其中包含二者协商好的对称密钥加密密文。
本步骤中,接收所述客户端发送的所述HTTPS请求,其中,所述HTTPS请求中包含所述客户端当前访问的网站域名的相应信息。例如,附图2所示的服务器防火墙接收浏览器发送的HTTPS请求。
步骤S102,根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文。
本申请实施例所述目标域名,是指所述客户端当前访问的网站的域名。如上所述,所述HTTPS请求中包含所述客户端当前访问的网站域名的相应信息,因此,根据所述网站域名的相应信息,可确定所述客户端当前访问的网站的域名,即所述目标域名。
所述第一私钥加密密文是第一私钥被加密后的密文存在形式,相应的,还存在与所述第一私钥相互匹配的第一公钥,所述第一私钥和所述第一公钥属于同一密钥对。在此,所述第一私钥是指服务端的私钥,即客户的网站对应的私钥;相应的,所述第一公钥是指服务端的公钥,即客户的网站对应的公钥。
在具体实施时,为了降低所述第一私钥泄漏的风险,所述第一私钥的加密过程在隔离网络的环境中执行,由客户的网站管理人员执行这一加密过程。例如,如附图2所示,网站管理员在DMZ(Demilitarized Zone,隔离区)针对第一私钥执行加密,获得相应的第一私钥加密密文。DMZ是为了解决安装防火墙后外部的客户端不能访问内部的服务端,而设立的一个非安全系统与安全系统之间的缓冲区。与常规的部署防火墙的方案,DMZ对于来自防火墙外部的客户端来说多了一道关卡,因此能够更有效地保护服务端的安全。
在实际应用中,所述服务端的所述第一公钥和所述第一私钥是唯一的,即任意一个网站对应的第一公钥和第一私钥是唯一的。基于此,针对所述客户端访问的任意一个目标域名,其对应的所述第一公钥和所述第一私钥也是唯一的,即:所述目标域名与所述第一私钥具有唯一对应关系,且与所述第一私钥加密密文也具有唯一对应关系。因此,针对所述客户端访问的任意一个目标域名,能够确定该目标域名唯一对应的第一私钥和第一公钥。
除此之外,为了避免大量的目标域名各自对应的所述第一私钥在防火墙这一端部署的机器内存中暂存,提升防火墙这一端部署的机器的性能,本实施例中,将所述目标域名各自对应的第一私钥存储至预先设置的密钥数据库中,从而减少防火墙这一端部署的机器内存中暂存的所述第一私钥和所述第一私钥加密密文,提升机器的处理效率。本实施例中,所述第一私钥是以加密后的密文形式(即所述第一私钥加密密文的形式)在所述密钥数据库中存储,因此,即使黑客入侵了所述密钥数据库,获取到客户的密文形式的私钥也无法解密,进一步降低了私钥的泄漏风险。
在具体实施时,向所述密钥数据库存储所述第一密钥前,可以执行下述判断操作,来防止所述第一私钥以明文形式存储至所述密钥数据库中,具体实现如下:
判断所述第一私钥是否以其对应的所述第一私钥加密密文形式存在;
若是,将所述第一私钥加密密文存储至所述密钥数据库中;
若否,利用所述第二公钥将所述第一私钥加密为所述第一私钥加密密文。
此外,还可以针对防火墙这一端部署的机器进行安全加固,降低防火墙被入侵的风险,从而来降低私钥在防火墙这一端被泄漏的风险。例如,对附图2中所示的防火墙这一端部署的机器,去除针对机器内存中的数据进行操作的操作入口。
如上所述,所述第一私钥的加密是由客户的网站的管理人员在隔离网络的环境中执行的,通过加密获得所述第一私钥加密密文后,由所述管理人员上传所述第一私钥加密密文,上传之后,所述第一私钥加密密文最终被存储至所述密钥数据库中。例如,如附图2所示,网站管理员将第一私钥加密密文上传至控制端,由控制端将第一私钥加密密文存储至密钥数据库中。所述控制端是指云盾的控制台,其中可以看到网站管理员的异地登录的记录、登录者的IP、所在地和登录时间,通过云盾的控制台可以找出恶意登录者使用的账号名,通过加强对登录的控制来降低客户私钥的泄漏风险。
本步骤是从预设的所述密钥数据库中查找所述目标域名对应的第一私钥加密密文,并读取查找到的所述第一私钥加密密文,为下述步骤S103解密所述第一私钥加密密文做准备。
步骤S103,利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥。
本申请提供的所述基于HTTPS协议的报文处理方法,正是为了避免所述第一私钥的泄漏,针对所述第一私钥进行加解密的实现方式。具体的,所述第一私钥加密密文是所述第一私钥被第二公钥加密后获得的;反之,所述第一私钥是所述第一私钥加密密文由第二私钥解密后获得的。其中,所述第二私钥和所述第二公钥属于同一密钥对,所述第二私钥和所述第二公钥相互匹配。
在实际应用中,所述第二密钥对中的所述第二公钥和所述第二私钥,可以由加密机生成,例如,通过国家商用密码主管部门鉴定并批准使用的主机加密设备(附图2中所示的加密机)来生成第二密钥对。在此基础上,所述加密机生成所述第二公钥之后,还可以由所述加密机将所述第二公钥导出至所述控制端,并在针对所述第一私钥加密前从所述控制端下载。客户在针对其对应的第一私钥进行加密时,从所述控制端下载所述第二公钥,所述第二公钥只有防火墙知道,因此,即使存储所述第一私钥的所述私钥数据库被入侵,入侵者得到的也只是第一私钥加密密文,无法对其进行解密。
如上所述,所述第一私钥和所述第一私钥加密密文具有唯一性,且与所述目标域名具有唯一对应关系,基于此,作为对所述第一私钥进行加密的所述第二公钥,也可以具有唯一性,从而与所述目标域名建立唯一对应关系;相应的,作为对所述第一私钥加密密文进行解密的所述第二私钥,同样可以具有唯一性,与所述目标域名建立唯一对应关系。
本步骤中,利用预先配置的所述第二私钥,对上述步骤S102读取到的所述第一私钥加密密文进行解密,获得所述第一私钥,为下述步骤S104对所述对称密钥加密密文的解密做准备。
步骤S104,利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
本申请实施例所述对称密钥,是指所述客户端和所述服务端在握手过程中协商好的密钥,包含在所述客户端向所述服务端发送的所述HTTPS请求中。具体实施时,所述对称密钥用于所述客户端与所述服务端之间的数据加密传输。
具体的,利用所述对称密钥在所述客户端和所述服务端之间进行数据加密传输时,采用对称加密的方式进行加密。比如客户端向服务端发送加密数据时,客户端首先利用对称密钥对即将发送的数据进行加密,然后将加密后的数据密文发送至服务端;服务端利用对称密钥解密接收到的数据密文,获得相应的明文数据。反之,服务端向客户端发送加密数据时,服务端首先利用对称密钥对即将发送的数据进行加密,然后将加密后的数据密文发送至客户端;客户端利用对称密钥解密接收到的数据密文,获得相应的明文数据。
综上所述,所述基于HTTPS协议的报文处理方法,根据接收到的HTTPS请求确定客户端要访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥将所述第一私钥加密密文解密为明文形式的第一私钥,并利用解密后获得的所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。所述基于HTTPS协议的报文处理方法中,所述第一私钥被加密为所述第一私钥加密密文,并且以所述第一私钥加密密文的形式进行存储,即将客户的私钥加密为密文,并以密文形式进行存储,降低了客户的私钥的泄漏风险。
本申请提供的基于HTTPS协议的报文处理装置实施例如下:
在上述的实施例中,提供了一种基于HTTPS协议的报文处理方法,与之相对应的,本申请还提供了一种基于HTTPS协议的报文处理装置,下面结合附图进行说明。
参照附图3,其示出了本申请提供的一种基于HTTPS协议的报文处理装置实施例的示意图。
由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
本申请提供一种基于HTTPS协议的报文处理装置,包括:
HTTPS请求接收单元301,用于接收客户端发送的HTTPS请求;
第一私钥加密密文读取单元302,用于根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文;
第一私钥加密密文解密单元303,用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;
对称密钥加密密文解密单元304,用于利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
可选的,所述对称密钥用于后续客户端与服务端之间的数据加密传输。
本申请提供的另一种基于HTTPS协议的报文处理方法实施例如下:
在上述的实施例中,提供了一种基于HTTPS协议的报文处理方法,在此基础上,本申请还提供了另一种基于HTTPS协议的报文处理方法,下面结合附图进行说明。
参照附图4,其示出了本申请提供的另一种基于HTTPS协议的报文处理方法实施例的处理流程图。此外,本申请提供的另一种基于HTTPS协议的报文处理方法实施例的各个步骤之间的关系,请根据附图4确定。
由于本实施例是在上述基于HTTPS协议的报文处理方法实施例的基础上实现的,所以描述得比较简单,相关的部分请参见本申请提供的上述基于HTTPS协议的报文处理方法实施例的对应说明即可。下述描述的方法实施例仅仅是示意性的。
步骤S401,接收客户端发送的HTTPS请求。
本实施例中,所述基于HTTPS协议的报文处理方法基于所述服务端的防火墙实现,但在实际应用中,所述基于HTTPS协议的报文处理方法的实现并不限于防火墙,还可以基于多种具体执行主体来实现,例如,基于配置在服务端的IDS(Intrusion DetectionSystems,入侵检测系统),来实现所述基于HTTPS协议的报文处理方法,在判断客户端发送的所述HTTPS请求是否具有攻击性时,通过本申请提供的上述基于HTTPS协议的报文处理方法解密获得的所述对称密钥,对所述客户端发送的所述HTTPS请求进行解密,通过对解密后获得的数据包进行分析,来判断所述HTTPS请求是否具有攻击性。所述基于HTTPS协议的报文处理方法的执行主体的各种形式的变化,都只是具体实现方式的变更,都不偏离本申请的核心,因此都在本申请的保护范围之内。
本实施例所述基于HTTPS协议的报文处理方法,是在本申请提供的上述基于HTTPS协议的报文处理方法的基础上实现的,即:利用本申请提供的上述基于HTTPS协议的报文处理方法解密获得的所述对称密钥,对从所述客户端向所述服务端发送的HTTPS请求进行解密,即对防火墙外向防火墙内发送的HTTPS请求进行解密,通过对解密后获得的数据包进行分析,来判断所述HTTPS请求访问的所述目标域名是否受到DDoS攻击,并根据判断结果进行相应处理,从而提升防火墙内客户网站的服务端的安全性。
本实施例所述HTTPS请求,包括所述客户端向防火墙后的所述服务端发送的数据访问请求,以及所述客户端向防火墙内的所述服务端上传的数据。例如,通过智能手机或者个人电脑操作系统安装的浏览器,向防火墙内的电子商城的服务器发出的获取物品详细信息的操作请求,或者向防火墙内的电子商城的服务器上传账户信息的操作请求。
在具体实施时,在本步骤执行之前,还可以执行数据请求判断操作,来判断所述客户端发送的数据请求的请求类型是否为基于HTTPS协议的HTTPS请求,并根据判断结果执行通过、拦截或者屏蔽操作。所述数据请求判断操作具体实现如下:
接收所述客户端发送的数据请求;
判断所述数据请求的请求类型是否为所述HTTPS请求;
若是,执行本步骤,接收所述客户端发送的所述HTTPS请求;
若否,禁止所述数据请求访问所述目标域名,或者,拦截所述数据请求。
步骤S402,根据所述HTTPS请求访问的目标域名,利用预先配置的对称密钥对所述HTTPS请求进行解密,获得对应的数据包。
需要说明的是,本步骤中使用的所述对称密钥,是利用本申请提供的上述基于HTTPS协议的报文处理方法解密获得的所述对称密钥,即:所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述客户端发送的对称密钥加密密文解密后获得的。关于所述对称密钥的详细说明请参见本申请提供的上述基于HTTPS协议的报文处理方法实施例,本实施例在此不再赘述。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
本步骤中,根据上述步骤S401接收的所述HTTPS请求访问的所述目标域名,并利用本申请提供的上述基于HTTPS协议的报文处理方法获得的所述对称密钥,对所述HTTPS请求进行解密,获得对应的数据包。需要说明的是,所述数据包中包含所述目标域名的访问参数;其中,所述访问参数包括:流量、访问IP、访问频次。
步骤S403,通过分析所述数据包,判断所述目标域名是否存在DDoS攻击。
本步骤中,根据上述步骤S402解密后获得的所述数据包,通过分析所述数据包,来判断所述目标域名是否存在DDoS攻击,若存在,则拦截所述HTTPS请求;若不存在,执行下述步骤S404,将所述HTTPS请求发送至所述目标域名对应的服务端。此外,当所述目标域名存在DDoS攻击时,还可以发出所述目标域名存在DDoS攻击的提醒信息,或者,在拦截所述HTTPS请求的同时,发出所述目标域名存在DDoS攻击的提醒信息。
如上所述,所述数据包中包含所述目标域名的访问参数,所述访问参数包括:流量、访问IP、访问频次,基于此,本实施例提供如下两种判断所述目标域名是否存在DDoS攻击的实现方式:
1)判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值;
若存在,拦截所述HTTPS请求,和/或,发出存在DDoS攻击的提醒信息;
若不存在,执行下述步骤S404,将所述HTTPS请求发送至所述目标域名对应的服务端。
2)分别判断预设时间间隔内所述目标域名各个访问IP的访问频次是否大于预设访问频次阈值;
若存在,拦截所述HTTPS请求,和/或,发出存在DDoS攻击的提醒信息;
若不存在,执行下述步骤S404,将所述HTTPS请求发送至所述目标域名对应的服务端。
在实际应用中,可以采用多种具体的实现方式,实现所述目标域名是否存在DDoS攻击的判断,例如,根据所述数据包中包含的其他访问参数,来判断所述目标域名是否存在DDoS攻击,并根据判断结果执行相应操作。实现所述目标域名是否存在DDoS攻击的判断过程的各种形式的变化,都只是具体实现方式的变更,都不偏离本申请的核心,因此都在本申请的保护范围之内。
步骤S404,向所述目标域名对应的服务端发送所述HTTPS请求。
本步骤得以实施的前提是,上述步骤S403中的所述目标域名不存在DDoS攻击。本步骤中,将所述HTTPS请求发送至所述目标域名对应的服务端,在所述服务端进行相应操作。
综上所述,本申请提供的所述基于HTTPS协议的报文处理方法,在接收到客户端发送的所述HTTPS请求后,利用本申请提供的上述基于HTTPS协议的报文处理方法获得的所述对称密钥,对接收到的所述HTTPS请求进行解密,并通过分析解密后获得的数据包,来判断所述目标域名是否存在DDoS攻击,若所述目标域名不存在DDoS攻击,则将所述HTTPS请求向所述目标域名对应的服务端发送。所述基于HTTPS协议的报文处理方法,在所述基于HTTPS协议的报文处理方法的基础上进行,不仅降低了客户的私钥的泄漏风险;除此之外,通过分析所述HTTPS请求解密后的数据包,来判断所述目标域名是否存在DDoS攻击,从而避免了非法HTTPS请求导致的DDoS攻击,增强了网站域名的安全性。
本申请提供的另一种基于HTTPS协议的报文处理装置实施例如下:
在上述的实施例中,提供了另一种基于HTTPS协议的报文处理方法,与之相对应的,本申请还提供了另一种基于HTTPS协议的报文处理装置,下面结合附图进行说明。
参照附图5,其示出了本申请提供的另一种基于HTTPS协议的报文处理装置实施例的示意图。
由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
本申请提供的另一种基于HTTPS协议的报文处理装置,包括:
HTTPS请求接收单元501,用于接收客户端发送的HTTPS请求;
HTTPS请求解密单元502,用于根据所述HTTPS请求访问的目标域名,利用预先配置的对称密钥对所述HTTPS请求进行解密,获得对应的数据包;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述客户端发送的对称密钥加密密文解密后获得的;
DDoS攻击判断单元503,用于通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,运行HTTPS请求发送单元504;
所述HTTPS请求发送单元504,用于向所述目标域名对应的服务端发送所述HTTPS请求。
可选的,若所述DDoS攻击判断单元503输出的判断结果为所述目标域名存在DDoS攻击,则运行HTTPS请求拦截单元和/或提醒单元;
其中,所述HTTPS请求拦截单元,用于拦截所述HTTPS请求;
所述提醒单元,用于发出存在DDoS攻击的提醒信息。
可选的,所述数据包中包含所述目标域名的访问参数;
其中,所述访问参数包括:流量、访问IP、访问频次。
可选的,所述DDoS攻击判断单元503,包括:
流量判断子单元,用于判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值,若否,运行所述HTTPS请求发送单元504。
可选的,所述DDoS攻击判断单元503,包括:
访问频次判断子单元,用于分别判断预设时间间隔内所述目标域名各个访问IP的访问频次是否大于预设访问频次阈值,若否,运行所述HTTPS请求发送单元504。
可选的,所述基于HTTPS协议的报文处理装置,包括:
数据请求接收单元,用于接收所述客户端发送的数据请求;
数据请求类型判断单元,用于判断所述数据请求的请求类型是否为所述HTTPS请求;
若是,运行所述HTTPS请求接收单元501;
若否,运行数据请求屏蔽单元和/或数据请求拦截单元;
其中,所述数据请求屏蔽单元,用于禁止所述数据请求访问所述目标域名;
所述数据请求拦截单元,用于拦截所述数据请求。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
本申请提供的一种网络设备装置实施例如下:
在上述的实施例中,提供了一种基于HTTPS协议的报文处理方法,此外,本申请还提供了一种用于实施所述基于HTTPS协议的报文处理方法的网络设备,下面结合附图进行说明。
参照附图6,其示出了本申请提供的一种网络设备的示意图。
由于所述基于HTTPS协议的报文处理方法基于所述网络设备实现,因此所述网络设备的实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的所述网络设备实施例仅仅是示意性的。
本申请提供的一种网络设备,包括:
处理器601和存储器602;
其中,所述处理器601,用于接收客户端发送的HTTPS请求,根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,并利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥,以及,利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥;
所述存储器602,用于存储所述第一私钥加密密文和所述对称密钥加密密文。
可选的,所述存储器602包括内存,所述内存用于存储所述第二私钥、所述第一私钥和所述对称密钥。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
可选的,所述对称密钥用于后续客户端与服务端之间的数据加密传输。
本申请提供的另一种网络设备装置实施例如下:
在上述的实施例中,提供了另一种基于HTTPS协议的报文处理方法,此外,本申请还提供了另一种用于实施所述基于HTTPS协议的报文处理方法的网络设备,下面结合附图进行说明。
参照附图7,其示出了本申请提供的另一种网络设备的示意图。
由于所述基于HTTPS协议的报文处理方法基于所述网络设备实现,因此所述网络设备的实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的所述网络设备实施例仅仅是示意性的。
本申请提供的另一种网络设备,包括:
处理器701和存储器702;
其中,所述处理器701,用于接收客户端发送的HTTPS请求,根据所述HTTPS请求访问的目标域名,利用预先配置的对称密钥对所述HTTPS请求进行解密,获得对应的数据包,并通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,向所述目标域名对应的服务端发送所述HTTPS请求;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述客户端发送的对称密钥加密密文解密后获得的;
所述存储器702,用于存储所述目标域名、所述数据包、所述第一私钥加密密文和所述对称密钥加密密文。
可选的,所述通过分析所述数据包,判断所述目标域名是否存在DDoS攻击步骤,若所述目标域名存在DDoS攻击,则执行下述步骤:
拦截所述HTTPS请求,和/或,发出存在DDoS攻击的提醒信息。
可选的,所述数据包中包含所述目标域名的访问参数;
其中,所述访问参数包括:流量、访问IP、访问频次。
可选的,所述判断所述目标域名是否存在DDoS攻击,采用如下方式实现:
判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值,若否,执行下一步。
可选的,所述判断所述目标域名是否存在DDoS攻击,采用如下方式实现:
分别判断预设时间间隔内所述目标域名各个访问IP的访问频次是否大于预设访问频次阈值,若否,执行下一步。
可选的,所述接收客户端发送的HTTPS请求步骤执行之前,执行下述步骤:
接收所述客户端发送的数据请求;
判断所述数据请求的请求类型是否为所述HTTPS请求;
若是,执行所述接收客户端发送的HTTPS请求步骤;
若否,禁止所述数据请求访问所述目标域名,或者,拦截所述数据请求。
可选的,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
可选的,所述第一私钥的加密在隔离网络的环境中执行。
可选的,所述第二私钥和所述第二公钥由预设的加密机生成。
可选的,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
可选的,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
可选的,所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (24)

1.一种基于HTTPS协议的报文处理方法,其特征在于,包括:
接收客户端发送的HTTPS请求;
根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,所述第一私钥加密密文是第一私钥被加密后的密文存在形式;
利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;
利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
2.根据权利要求1所述的基于HTTPS协议的报文处理方法,其特征在于,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
3.根据权利要求2所述的基于HTTPS协议的报文处理方法,其特征在于,所述第一私钥的加密在隔离网络的环境中执行。
4.根据权利要求2所述的基于HTTPS协议的报文处理方法,其特征在于,所述第二私钥和所述第二公钥由预设的加密机生成。
5.根据权利要求4所述的基于HTTPS协议的报文处理方法,其特征在于,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
6.根据权利要求5所述的基于HTTPS协议的报文处理方法,其特征在于,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
7.根据权利要求1所述的基于HTTPS协议的报文处理方法,其特征在于,所述目标域名与所述第二私钥和第二公钥具有唯一对应关系。
8.根据权利要求1所述的基于HTTPS协议的报文处理方法,其特征在于,所述对称密钥用于后续客户端与服务端之间的数据加密传输。
9.一种基于HTTPS协议的报文处理装置,其特征在于,包括:
HTTPS请求接收单元,用于接收客户端发送的HTTPS请求;
第一私钥加密密文读取单元,用于根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,所述第一私钥加密密文是第一私钥被加密后的密文存在形式;
第一私钥加密密文解密单元,用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥;
对称密钥加密密文解密单元,用于利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥。
10.一种基于HTTPS协议的报文处理方法,其特征在于,包括:
接收客户端发送的HTTPS请求;
根据所述HTTPS请求访问的目标域名,利用对称密钥对所述HTTPS请求进行解密,获得对应的数据包;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述HTTPS请求中包含的对称密钥加密密文进行解密后获得的,所述第一私钥加密密文是第一私钥被加密后的密文存在形式;
通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,向所述目标域名对应的服务端发送所述HTTPS请求。
11.根据权利要求10所述的基于HTTPS协议的报文处理方法,其特征在于,所述通过分析所述数据包,判断所述目标域名是否存在DDoS攻击步骤,若所述目标域名存在DDoS攻击,则执行下述步骤:
拦截所述HTTPS请求,和/或,发出存在DDoS攻击的提醒信息。
12.根据权利要求10所述的基于HTTPS协议的报文处理方法,其特征在于,所述数据包中包含所述目标域名的访问参数;
其中,所述访问参数包括:流量、访问IP、访问频次。
13.根据权利要求12所述的基于HTTPS协议的报文处理方法,其特征在于,所述判断所述目标域名是否存在DDoS攻击,采用如下方式实现:
判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值,若否,执行下一步。
14.根据权利要求12所述的基于HTTPS协议的报文处理方法,其特征在于,所述判断所述目标域名是否存在DDoS攻击,采用如下方式实现:
分别判断预设时间间隔内所述目标域名各个访问IP的访问频次是否大于预设访问频次阈值,若否,执行下一步。
15.根据权利要求10所述的基于HTTPS协议的报文处理方法,其特征在于,所述接收客户端发送的HTTPS请求步骤执行之前,执行下述步骤:
接收所述客户端发送的数据请求;
判断所述数据请求的请求类型是否为所述HTTPS请求;
若是,执行所述接收客户端发送的HTTPS请求步骤;
若否,禁止所述数据请求访问所述目标域名,或者,拦截所述数据请求。
16.根据权利要求10所述的基于HTTPS协议的报文处理方法,其特征在于,所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得;
其中,所述第二私钥和所述第二公钥属于同一密钥对。
17.根据权利要求16所述的基于HTTPS协议的报文处理方法,其特征在于,所述第一私钥的加密在隔离网络的环境中执行。
18.根据权利要求16所述的基于HTTPS协议的报文处理方法,其特征在于,所述第二私钥和所述第二公钥由预设的加密机生成。
19.根据权利要求18所述的基于HTTPS协议的报文处理方法,其特征在于,所述第二公钥由所述加密机导出至预设的控制端,并在加密所述第一私钥前从所述控制端下载。
20.根据权利要求19所述的基于HTTPS协议的报文处理方法,其特征在于,所述第一私钥加密密文从所述控制端上传,并由所述控制端存储至所述密钥数据库中。
21.根据权利要求10所述的基于HTTPS协议的报文处理方法,其特征在于,所述目标域名与所述第二私钥和第二公钥具有唯一对应关系。
22.一种基于HTTPS协议的报文处理装置,其特征在于,包括:
HTTPS请求接收单元,用于接收客户端发送的HTTPS请求;
HTTPS请求解密单元,用于根据所述HTTPS请求访问的目标域名,利用对称密钥对所述HTTPS请求进行解密,获得对应的数据包;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述HTTPS请求中包含的对称密钥加密密文进行解密后获得的,所述第一私钥加密密文是第一私钥被加密后的密文存在形式;
DDoS攻击判断单元,用于通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,运行HTTPS请求发送单元;
所述HTTPS请求发送单元,用于向所述目标域名对应的服务端发送所述HTTPS请求。
23.一种网络设备,其特征在于,包括:
处理器和存储器;
其中,所述处理器,用于接收客户端发送的HTTPS请求,根据所述HTTPS请求访问的目标域名,在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文,并利用预先配置的第二私钥对所述第一私钥加密密文进行解密,获得相应的第一私钥,以及,利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密,获得相应的对称密钥,所述第一私钥加密密文是第一私钥被加密后的密文存在形式;
所述存储器,用于存储所述第一私钥加密密文和所述对称密钥加密密文。
24.一种网络设备,其特征在于,包括:
处理器和存储器;
其中,所述处理器,用于接收客户端发送的HTTPS请求,根据所述HTTPS请求访问的目标域名,利用对称密钥对所述HTTPS请求进行解密,获得对应的数据包,并通过分析所述数据包,判断所述目标域名是否存在DDoS攻击,若否,向所述目标域名对应的服务端发送所述HTTPS请求;所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文,利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥,对所述HTTPS请求中包含的对称密钥加密密文进行解密后获得的,所述第一私钥加密密文是第一私钥被加密后的密文存在形式;
所述存储器,用于存储所述目标域名、所述数据包、所述第一私钥加密密文和所述对称密钥加密密文。
CN201610618117.5A 2016-07-29 2016-07-29 基于https协议的报文处理方法以及装置 Active CN107666383B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201610618117.5A CN107666383B (zh) 2016-07-29 2016-07-29 基于https协议的报文处理方法以及装置
US15/660,799 US20180034854A1 (en) 2016-07-29 2017-07-26 Hypertext transfer protocol secure (https) based packet processing methods and apparatuses
PCT/US2017/044034 WO2018022805A1 (en) 2016-07-29 2017-07-26 Hypertext transfer protocol secure (https) based packet processing methods and apparatuses

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610618117.5A CN107666383B (zh) 2016-07-29 2016-07-29 基于https协议的报文处理方法以及装置

Publications (2)

Publication Number Publication Date
CN107666383A CN107666383A (zh) 2018-02-06
CN107666383B true CN107666383B (zh) 2021-06-18

Family

ID=61010404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610618117.5A Active CN107666383B (zh) 2016-07-29 2016-07-29 基于https协议的报文处理方法以及装置

Country Status (3)

Country Link
US (1) US20180034854A1 (zh)
CN (1) CN107666383B (zh)
WO (1) WO2018022805A1 (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833410B (zh) * 2018-06-19 2020-11-06 网宿科技股份有限公司 一种针对HTTP Flood攻击的防护方法及系统
CN109165511B (zh) * 2018-08-08 2022-07-15 深圳前海微众银行股份有限公司 Web安全漏洞处理方法、系统及计算机可读存储介质
CN109240717A (zh) * 2018-09-18 2019-01-18 郑州云海信息技术有限公司 一种虚拟镜像文件的安装方法及服务器
CN109413062A (zh) * 2018-10-22 2019-03-01 江苏满运软件科技有限公司 虚拟主机被恶意攻击的监控处理方法及系统、节点服务器
CN109857479A (zh) * 2018-12-14 2019-06-07 平安科技(深圳)有限公司 接口数据处理方法、装置、计算机设备和存储介质
US11363044B2 (en) 2019-06-26 2022-06-14 Radware, Ltd. Method and system for detecting and mitigating HTTPS flood attacks
CN112152978B (zh) * 2019-06-28 2021-07-20 北京金山云网络技术有限公司 一种秘钥管理方法、装置、设备及存储介质
CN112995119A (zh) * 2019-12-18 2021-06-18 北京国双科技有限公司 一种数据监测方法及装置
CN112995120A (zh) * 2019-12-18 2021-06-18 北京国双科技有限公司 一种数据监测方法及装置
US11503052B2 (en) 2019-12-19 2022-11-15 Radware, Ltd. Baselining techniques for detecting anomalous HTTPS traffic behavior
CN111192050B (zh) * 2019-12-31 2023-08-11 成都库珀创新科技有限公司 一种数字资产私钥存储提取方法及装置
CN111556025B (zh) * 2020-04-02 2023-06-02 深圳壹账通智能科技有限公司 基于加密、解密操作的数据传输方法、系统和计算机设备
CN111901447B (zh) * 2020-05-27 2022-09-20 伏羲科技(菏泽)有限公司 域名数据管理方法、装置、设备及存储介质
CN113472835A (zh) * 2020-08-17 2021-10-01 青岛海信电子产业控股股份有限公司 数据读取、上传方法及设备
CN113794553A (zh) * 2020-11-25 2021-12-14 京东安联财产保险有限公司 数据传输方法、装置、电子设备和存储介质
CN112968899B (zh) * 2021-02-26 2022-11-08 上海掌门科技有限公司 一种加密通信的方法与设备
CN113364781A (zh) * 2021-06-09 2021-09-07 北京华耀科技有限公司 请求处理方法及系统
CN113407967B (zh) * 2021-06-25 2023-02-07 上海卓悠网络科技有限公司 一种基于应用市场架构的服务安全方法及设备
CN115174549B (zh) * 2021-12-29 2023-12-01 北京明朝万达科技股份有限公司 Http文件上传方法、装置、电子设备及存储介质
CN115442434A (zh) * 2022-08-15 2022-12-06 中国银联股份有限公司 一种报文转换方法及装置
CN115567503B (zh) * 2022-12-07 2023-03-21 华信咨询设计研究院有限公司 一种基于流量分析的https协议分析方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594269A (zh) * 2009-06-29 2009-12-02 成都市华为赛门铁克科技有限公司 一种异常连接的检测方法、装置及网关设备
CN105227519A (zh) * 2014-06-04 2016-01-06 广州市动景计算机科技有限公司 一种安全访问网页的方法、客户端和服务器
CN105763566A (zh) * 2016-04-19 2016-07-13 成都知道创宇信息技术有限公司 一种客户端与服务器之间的通信方法

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7146505B1 (en) * 1999-06-01 2006-12-05 America Online, Inc. Secure data exchange between date processing systems
US20020064283A1 (en) * 2000-11-27 2002-05-30 Parenty Consulting, Llc Method and system for object encryption using transparent key management
US7590236B1 (en) * 2004-06-04 2009-09-15 Voltage Security, Inc. Identity-based-encryption system
US20060182124A1 (en) * 2005-02-15 2006-08-17 Sytex, Inc. Cipher Key Exchange Methodology
CN1835438B (zh) * 2006-03-22 2011-07-27 阿里巴巴集团控股有限公司 一种在网站间实现单次登录的方法及网站
US8316227B2 (en) * 2006-11-01 2012-11-20 Microsoft Corporation Health integration platform protocol
CN104918252A (zh) * 2009-03-05 2015-09-16 交互数字专利控股公司 用于对wtru执行完整性验证的方法及wtru
US20100299517A1 (en) * 2009-05-22 2010-11-25 Nuvon, Inc. Network System with a Plurality of Networked Devices with Various Connection Protocols
KR101077135B1 (ko) * 2009-10-22 2011-10-26 한국인터넷진흥원 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
CN101741847B (zh) * 2009-12-22 2012-11-07 北京锐安科技有限公司 一种ddos攻击检测方法
US8898482B2 (en) * 2010-02-22 2014-11-25 Lockify, Inc. Encryption system using clients and untrusted servers
US20120174196A1 (en) * 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks
US9565558B2 (en) * 2011-10-21 2017-02-07 At&T Intellectual Property I, L.P. Securing communications of a wireless access point and a mobile device
US20130301830A1 (en) * 2012-05-08 2013-11-14 Hagai Bar-El Device, system, and method of secure entry and handling of passwords
US8996855B2 (en) * 2012-11-14 2015-03-31 Blackberry Limited HTTP layer countermeasures against blockwise chosen boundary attack
US9407432B2 (en) * 2014-03-19 2016-08-02 Palo Alto Research Center Incorporated System and method for efficient and secure distribution of digital content
US9397835B1 (en) * 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9401919B2 (en) * 2014-12-19 2016-07-26 Cloudflare, Inc. Web form protection
US9998434B2 (en) * 2015-01-26 2018-06-12 Listat Ltd. Secure dynamic communication network and protocol
US9398171B1 (en) * 2015-03-02 2016-07-19 Verizon Patent And Licensing Inc. Deploying a toll-free data service campaign for secure content
US9787668B1 (en) * 2015-08-03 2017-10-10 Linkedin Corporation Sensitive user information management system and method
CN106487749B (zh) * 2015-08-26 2021-02-19 阿里巴巴集团控股有限公司 密钥生成方法及装置
CN106230782A (zh) * 2016-07-20 2016-12-14 腾讯科技(深圳)有限公司 一种基于内容分发网络的信息处理方法及装置
US20180176187A1 (en) * 2016-12-16 2018-06-21 Amazon Technologies, Inc. Secure data ingestion for sensitive data across networks
US10432613B2 (en) * 2017-08-23 2019-10-01 Dell Products L. P. HTTPS enabled client tool

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594269A (zh) * 2009-06-29 2009-12-02 成都市华为赛门铁克科技有限公司 一种异常连接的检测方法、装置及网关设备
CN105227519A (zh) * 2014-06-04 2016-01-06 广州市动景计算机科技有限公司 一种安全访问网页的方法、客户端和服务器
CN105763566A (zh) * 2016-04-19 2016-07-13 成都知道创宇信息技术有限公司 一种客户端与服务器之间的通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WEB文件加密存储;张建华著;《WEB安全与容侵》;电子科技大学出版社;20090919;第5.1.3节 *

Also Published As

Publication number Publication date
CN107666383A (zh) 2018-02-06
US20180034854A1 (en) 2018-02-01
WO2018022805A1 (en) 2018-02-01

Similar Documents

Publication Publication Date Title
CN107666383B (zh) 基于https协议的报文处理方法以及装置
Cekerevac et al. Internet of things and the man-in-the-middle attacks–security and economic risks
JP6367375B2 (ja) リンキングアドレスを用いたネットワーク上でのセキュア通信のためのシステムと方法
US10904227B2 (en) Web form protection
Wilson et al. Trust but verify: Auditing the secure Internet of things
US20130312054A1 (en) Transport Layer Security Traffic Control Using Service Name Identification
US20160248734A1 (en) Multi-Wrapped Virtual Private Network
Ellard et al. Rebound: Decoy routing on asymmetric routes via error messages
US20170317836A1 (en) Service Processing Method and Apparatus
US11539671B1 (en) Authentication scheme in a virtual private network
US20200036735A1 (en) Method of enciphered traffic inspection with trapdoors provided
US20210218709A1 (en) Secure low-latency trapdoor proxy
US11848964B2 (en) Zero trust end point network security device
Banoth et al. Modern cryptanalysis methods, advanced network attacks and cloud security
CN107209751B (zh) 业务处理方法及装置
Bhoi et al. Exploring The Security Landscape: A Comprehensive Analysis Of Vulnerabilities, Challenges, And Findings In Internet Of Things (Iot) Application Layer Protocols
CN106464684B (zh) 业务处理方法及装置
CN117424742B (zh) 一种无感知传输层安全协议会话密钥还原方法
EP3051770A1 (en) User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs
KR102239762B1 (ko) 암호화 트래픽 가시성을 제공하는 패킷 기반 위협 탐지 방법
Krmelj et al. Openspa-an open and extensible protocol for single packet authorization
Li et al. Data leakage between C/S communication: A case study on Android music app
Mirsharifi et al. Improving the Security of Management Software of Smart Meters Networks
Hoffmann et al. SMARTPROXY: secure smartphone-assisted login on compromised machines
Nagasuresh et al. Defense against Illegal Use of Single Sign on Mechanism for Distributed Network Services

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant