CN108965307A - 基于https协议密文数据审计方法、系统及相关装置 - Google Patents
基于https协议密文数据审计方法、系统及相关装置 Download PDFInfo
- Publication number
- CN108965307A CN108965307A CN201810835938.3A CN201810835938A CN108965307A CN 108965307 A CN108965307 A CN 108965307A CN 201810835938 A CN201810835938 A CN 201810835938A CN 108965307 A CN108965307 A CN 108965307A
- Authority
- CN
- China
- Prior art keywords
- key
- data
- mirror image
- ciphertext data
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种基于HTTPS协议密文数据审计方法,应用于流量审计设备,且该流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。本申请还同时公开了一种基于HTTPS协议密文数据审计系统、流量审计设备及计算机可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及云服务部署技术领域,特别涉及一种基于HTTPS协议密文数据审计方法、系统、流量审计设备及计算机可读存储介质。
背景技术
为满足不断提高的网络数据传输安全性要求,在原有HTTP协议(Hyper TextTransfer Protocol,超文本传输协议)基础上增加SSL(Secure Sockets Layer,安全套接层)加密方式得到的HTTPS协议开始被广泛应用。
当某客户端试图访问一个使用了HTTPS协议加密的目标网站时,首先需要与其建立正常的SSL连接,以获取由权威认证机构为目标网站颁发的证书,并利用根证书认证该证书的合法性,认证通过后还需要确定两者采用的加密算法,以使用该加密算法对待传输的明文数据进行加密后实现以密文的形式进行数据传输。
区别于基于HTTP协议时传输的明文数据,在使用HTTPS协议传输的是安全性更高的密文数据,因此在对密文数据进行审计时,就还需要能够对其进行解密,才能够对解密后得到的明文数据进行审计。
现有技术大多通过架设在内网客户端与目标网站所属服务器中间的HTTPS代理实现,且由于HTTPS协议的特殊性,还通常需要为每台HTTPS代理申请一个数字证书,已解决没有真实证书导致无法与内网客户端建立正常SSL连接的问题。但是此种实现方式需要HTTPS代理作为内网客户端与目标网站所属服务器间的一个中间人,即中间传输的所有密文数据都必须经过该HTTPS代理实现审计,相当于在原有链路中增加了一个容易产生单点故障(一旦故障将导致全局故障)的节点,增加了网络出现全局故障的潜在概率。
因此,如何克服现有审计密文数据机制存在的各项技术缺陷,提供一种不额外增加单点故障节点数量也能够实现对密文数据进行审计的方法是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种基于HTTPS协议密文数据审计方法,应用于设置在内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。
本申请的另一目的在于提供了一种基于HTTPS协议密文数据审计系统、流量审计设备及计算机可读存储介质。
为实现上述目的,本申请提供一种基于HTTPS协议密文数据审计方法,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,该方法包括:
接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;
利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据按预设审计规则进行审计。
可选的,接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥,包括:
接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。
可选的,在接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥之前,还包括:
判断所述内网客户端是否安装有所述密钥插件;
若否,则利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。
可选的,在对所述镜像明文数据按预设审计规则进行审计之后,还包括:
根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;
保存并上传所述违规流量报告。
为实现上述目的,本申请还提供了一种基于HTTPS协议密文数据审计系统,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,该系统包括:
镜像密文数据接收单元,用于接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
密钥接收单元,用于接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;
解密后数据审计单元,用于利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据进行审计。
可选的,所述密钥接收单元包括:
密钥插件发送信息接收子单元,用于接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。
可选的,该基于HTTPS协议密文数据审计系统还包括:
插件安装判断单元,用于判断所述内网客户端是否安装有所述密钥插件;
页面重定向安装下载单元,用于当所述内网客户端未安装有所述密钥插件时,利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。
可选的,该基于HTTPS协议密文数据审计系统还包括:
违规流量报告生成单元,用于根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;
报告保存及上传单元,用于保存并上传所述违规流量报告。
为实现上述目的,本申请还提供了一种流量审计设备,所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,该流量审计设备包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述内容所描述的基于HTTPS协议密文数据审计方法的步骤。
为实现上述目的,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述内容所描述的基于HTTPS协议密文数据审计方法的步骤。
显然,本申请所提供的基于HTTPS协议密文数据审计方法,应用于设置在内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。本申请同时还提供了一种基于HTTPS协议密文数据审计系统、流量审计设备及计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种基于HTTPS协议密文数据审计方法的流程图;
图2为本申请实施例提供的另一种基于HTTPS协议密文数据审计方法的流程图;
图3为本申请实施例提供的一种基于HTTPS协议密文数据审计系统的结构框图;
图4为本申请实施例提供的一种利用流量审计设备实现对密文数据进行审计的逻辑示意图。
具体实施方式
本申请的核心是提供一种基于HTTPS协议密文数据审计方法、系统、流量审计设备及计算机可读存储介质,采用旁路部署的方式将流量审计设备设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
实施例一
以下结合图1,图1为本申请实施例提供的一种基于HTTPS协议密文数据审计方法的流程图。
本实施例提供的方法应用于设置在内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,即该流量审计设备并非设置在内网客户端与目标网站所属服务器间形成的直通链路上,而是采用旁路部署的方式设置于与该直通链路平行的旁路上,可以参见图4,因此不会增加网络的单点故障节点数,下面将对采用此种方式设置的流量审计设备如何实现密文数据的审计进行阐述:
S101:接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
进行流量审计必须要得到待审计数据,而在使用HTTPS协议对传输的数据进行加密的场景下,则必须得到密文数据和能够解密该密文数据的密钥,本步骤旨在说明采用何种方式得到在直通链路中传输的密文数据,因为并非直接架设在直通链路中,不能向背景技术中提及的HTTPS代理一样轻易的得到密文数据。
考虑到实际组网的设备配置,在内网客户端和目标网站所属服务器间一定还存在必不可少的交换机来在错综复杂的网络环境中找到目标网站所属服务器并建立连接,即交换机是构建这条直通链路的一个必不可少的网络设备,也是必不可少的单点故障节点。因此可采用由交换机将所有流经自己的密文数据镜像一份后转发给该流量审计设备,以满足做流量审计中获取密文数据这一前提条件。虽然该流量审计设备得到的是镜像密文数据,但由于是根据原始密文数据完全镜像得到的,若之后镜像密文数据经解密后得到的镜像明文数据不符合预设的审计规则,则说明原始密文数据中也一定存在不符合该审计规则的流量。
S102:接收从内网客户端中获取到的用于解密镜像密文数据的密钥;
根据S101阐述的该流量审计设备想要实现流量审计的两个必备前提条件,其中获取密文数据这一前提条件已由S101实现,本步骤旨在为该流量审计设备实现第二个前提条件,即获得能够用于解密收到的镜像密文数据的密钥,以使该流量审计设备在两个前提条件均满足的情况下,实现对直通链路中传输的密文数据进行审计的目的。
本步骤提供了一种从内网客户端中获取用于解密镜像密文数据的密钥的方法,根据HTTPS协议的基本原理,在内网客户端通过SSL握手协议成功与目标网站所属服务器建立起正常的SSL连接的基础上,后续两者还需要确定之后对传输的明文数据进行加密的加密方式,以使数据在传输时处于密文状态,一旦确定好的将使用的加密方式,就会在链接未中断前持续基于该加密方式对明文数据进行加密。
经实际调研发现,该加密方式通常会被内网客户端所记录并保存在自身,并不是说目标网站所属服务器不记录和保存,而是缺乏一个有效、可行的手段从目标网站所属服务器获取该加密方式,该加密方式肯定会被保存在服务器中,但目标网站所属服务器是不受到网络内所有设备控制的,只能说按网络通信协议的正常流程去向它请求符合规定的内容,若未经认证的流量审计设备向服务器请求该加密方式,会被判定为试图非法解密加密后的数据,进而被服务器轻易拒绝。
区别于不可控的目标网站所属服务器,网络内的内网客户端明显属于被控对象,就好像某些需要高度保密的办公场所中的PC,发出的任何访问请求都会受到类似网关和防火墙装置的审查和管控,因此本申请采用从内网客户端中获取用于解密镜像密文数据的密钥的方法来满足实现流量审计的另一必备前提条件。
具体的,根据加密方式和密钥的表现形式不同,存在多种不同的密钥获取方式,例如,当采用对称加密算法时,生成的加密密钥和解密密钥相同,即可使用相同的密钥实现对明文数据的加密和对密文数据的解密;当采用随机数的方式作为加密明文数据的方式时,该密钥也就是加密随机数。上述两种例子符合绝大多数场景下使用的HTTPS协议。
因此,本步骤所要做的就像获取该解密密钥或者加密随机数,通常该解密密钥或加密随机数会被保存于某个预设路径下,以便于内网客户端来进行加密和解密,因此只需要从该路径下获取到该解密密钥或者加密随机数之后再发送给该流量审计设备即可,从预设路径下获取信息的方式多种多样,例如,可以通过在所有内网客户端中安装专门的脚本、插件或软件,一旦发现预设路径下有新的信息出现,就将其发送给流量审计设备即可。
具体如何安装的方式同样有很多,可以将其作为数据管控的一部分由网管依次安装,也可以通过内网通信手段进行通知和下发,以使各内网客户端的用户自行下载和安装,也可以利用网页重定向技术使用户要访问的某网页跳转至下载页,引导用户自行下载安装等等,此处并不做具体限定,可根据实际情况灵活选择最合适的方式。
S103:利用密钥解密镜像密文数据,得到镜像明文数据,对镜像明文数据按预设审计规则进行审计。
在S101和S102分别满足该流量审计设备完成流量审计的两个前提条件的基础上,本步骤只需要利用密钥解密镜像密文数据,得到镜像明文数据,再对镜像明文数据按预设审计规则进行审计即可。
进一步的,还可以根据得到的审计结果,将镜像明文数据中所有未通过预设审计规则的明文数据生成相应的违规流量报告,并存储和上传这些违规流量报告,以使上层得到审计结果并作为后续出台的管理措施的支持数据。
基于上述技术方案,本申请实施例提供的一种基于HTTPS协议密文数据审计方法,应用于设置在内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。
实施例二
以下结合图2,图2为本申请实施例提供的另一种基于HTTPS协议密文数据审计方法的流程图,其具体包括以下步骤:
S201:接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
S202:判断内网客户端是否安装有密钥插件;
S203:利用页面重定向技术将内网客户端发送的HTTP请求重定向至包含密钥插件的安装下载页面;
本实施例通过S202和S203提供了一种主动使内网客户端安装该密钥插件的实现方法,即通过判断是否有密钥插件与自身(流量审计设备)建立通信连接来得到对应内网客户端是否安装了密钥插件的结论,并同时利用页面重定向技术将将内网客户端发送的HTTP请求(HTTPS请求加密,无法判断)重定向至包含密钥插件的安装下载页面,以使用户将下载下来的密钥插件安装在自己的内网客户端上。
S204:接收密钥插件从内网客户端的密钥存储路径下获取并发送的密钥;
在S203的基础上,本步骤旨在接收密钥插件从内网客户端的密钥存储路径下获取并发送的密钥。
一个实际的例子为:通常会设置系统环境变量SSLKEYLOGFILE(SSL密钥加载目录)为一个特定的路径,当系统环境变量中存在SSLKEYLOGFILE这个变量的时候,chrome与Firefox(两种使用人群广泛的浏览器)在访问https网站的时候会将随机数写入此环境变量指定的路径中。
S205:利用密钥解密镜像密文数据,得到镜像明文数据,对镜像明文数据按预设审计规则进行审计;
S206:根据镜像明文数据中所有未通过预设审计规则的明文数据生成相应的违规流量报告,保存并上传违规流量报告。
在实施例一的基础上,本实施例使用了能够在内网客户端的预设存储路径下获得解密密钥的密钥插件,并通过与流量审计设备建立起来的通信将获取到的解密密钥发送给该流量审计设备,同时还配套提供了一种基于通信检测和网页重定向技术实现各内网客户端均安装该密钥插件的方式,最后基于审计结果生成相应的违规流量报告以备后用。因此本实施例不仅具有实施例一的有益效果,还通过引导用户安装密钥插件的方式最大程度节省了安装成本,同时也提高了插件安装率,实际效果更佳。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图3,图3为本申请实施例提供的一种基于HTTPS协议密文数据审计系统的结构框图,该系统可以包括:
镜像密文数据接收单元100,用于接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
密钥接收单元200,用于接收从内网客户端中获取到的用于解密镜像密文数据的密钥;
解密后数据审计单元300,用于利用密钥解密镜像密文数据,得到镜像明文数据,对镜像明文数据进行审计。
其中,密钥接收单元200可以包括:
密钥插件发送信息接收子单元,用于接收密钥插件从内网客户端的密钥存储路径下获取并发送的密钥;其中,密钥插件预先安装于内网客户端中。
进一步的,该基于HTTPS协议密文数据审计系统还可以包括:
插件安装判断单元,用于判断内网客户端是否安装有密钥插件;
页面重定向安装下载单元,用于当内网客户端未安装有密钥插件时,利用页面重定向技术将内网客户端发送的HTTP请求重定向至包含密钥插件的安装下载页面。
更进一步的,该基于HTTPS协议密文数据审计系统还可以包括:
违规流量报告生成单元,用于根据镜像明文数据中所有未通过预设审计规则的明文数据生成相应的违规流量报告;
报告保存及上传单元,用于保存并上传违规流量报告。
以下将结合图4和对上述实施例未进行描述的非重点内容,提供一种实际应用情景下的实现流程:
1.内网客户端发起一个https的请求,把自身支持的一系列Cipher Suite(密钥算法套件,简称Cipher)发送给目标网站所属服务器;
2.目标网站所属服务器接收到内网客户端所有的Cipher后与自身支持的对比,如果不支持则连接断开,反之则会从中选出一种加密算法和HASH算法(一种应用广泛的摘要算法),按照非对称加密算法生成一对公钥和私钥;
3.目标网站所属服务器将包含了公钥、颁证机构、网址、失效日期等等关键信息以证书的形式返回给内网客户端;
4.内网客户端收到目标网站所属服务器返回的证书后,验证证书的合法性,比如颁发证书的机构是否合法与是否过期,证书中包含的网站地址是否与正在访问的地址一致等,如果证书验证通过,或者用户接受了不授信的证书,此时内网客户端会生成一串随机数,然后用证书中的公钥对该随机数进行加密,并将加密后得到的密文(握手消息)发送给目标网站所属服务器;
在生成随机数以后,内网客户端把随机数写入客户端上一个特定位置,此时,本实施例将会由安装有密钥插件的内网客户端读取此随机数并转发给流量审计设备;
5.目标网站所属服务器拿到内网客户端传来的密文,用自己保存的私钥来解密该密文(握手消息)取出随机数密码,然后用随机数密码加密一段握手消息(握手消息+握手消息的HASH值)并发送给内网客户端;
6.内网客户端用之前生成并使用的随机数解密收到的消息,并重新技术计算握手消息的HASH值,若与解密后得到的HASH值一致,则说明接收到的消息在传输过程中未经篡改,握手过程结束。之后所有的通信数据将由之前浏览器生成的随机数密码并利用对称加密算法进行加密;
7.审计设备接收交换机发来的镜像密文数据,并利用获取到的随机数密码对镜像密文数据进行解密,还原得到明文通信数据,并进行审计。
基于上述实施例,本申请还提供了一种设置于内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,该流量审计设备可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器调用该存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然,该流量审计设备还可以包括各种必要的网络接口、电源以及其它零部件等。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种基于HTTPS协议密文数据审计方法,其特征在于,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,所述方法包括:
接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;
利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据按预设审计规则进行审计。
2.根据权利要求1所述方法,其特征在于,接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥,包括:
接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。
3.根据权利要求2所述方法,其特征在于,在接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥之前,还包括:
判断所述内网客户端是否安装有所述密钥插件;
若否,则利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。
4.根据权利要求1至3任一项所述方法,其特征在于,在对所述镜像明文数据按预设审计规则进行审计之后,还包括:
根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;
保存并上传所述违规流量报告。
5.一种基于HTTPS协议密文数据审计系统,其特征在于,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,所述系统包括:
镜像密文数据接收单元,用于接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;
密钥接收单元,用于接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;
解密后数据审计单元,用于利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据进行审计。
6.根据权利要求5所述系统,其特征在于,所述密钥接收单元包括:
密钥插件发送信息接收子单元,用于接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。
7.根据权利要求6所述系统,其特征在于,还包括:
插件安装判断单元,用于判断所述内网客户端是否安装有所述密钥插件;
页面重定向安装下载单元,用于当所述内网客户端未安装有所述密钥插件时,利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。
8.根据权利要求5至7任一项所述系统,其特征在于,还包括:
违规流量报告生成单元,用于根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;
报告保存及上传单元,用于保存并上传所述违规流量报告。
9.一种流量审计设备,其特征在于,所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,所述流量审计设备包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的基于HTTPS协议密文数据审计方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的基于HTTPS协议密文数据审计方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810835938.3A CN108965307A (zh) | 2018-07-26 | 2018-07-26 | 基于https协议密文数据审计方法、系统及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810835938.3A CN108965307A (zh) | 2018-07-26 | 2018-07-26 | 基于https协议密文数据审计方法、系统及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108965307A true CN108965307A (zh) | 2018-12-07 |
Family
ID=64464951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810835938.3A Pending CN108965307A (zh) | 2018-07-26 | 2018-07-26 | 基于https协议密文数据审计方法、系统及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108965307A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830571A (zh) * | 2019-11-05 | 2020-02-21 | 许继集团有限公司 | 一种业务数据备份与提取方法及计算机可读介质 |
| CN111107087A (zh) * | 2019-12-19 | 2020-05-05 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN111147465A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 对https内容进行审计的方法及代理服务器 |
| CN111212048A (zh) * | 2019-12-26 | 2020-05-29 | 北京安码科技有限公司 | https协议实时监控方法、系统、电子设备及存储介质 |
| CN111245814A (zh) * | 2020-01-07 | 2020-06-05 | 深信服科技股份有限公司 | 一种数据审计方法、装置、电子设备及存储介质 |
| CN111865877A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种上网行为控制方法、系统及电子设备和存储介质 |
| CN112035851A (zh) * | 2020-07-22 | 2020-12-04 | 北京中安星云软件技术有限公司 | 一种基于ssl的mysql数据库审计方法 |
| CN112073418A (zh) * | 2020-09-10 | 2020-12-11 | 北京微步在线科技有限公司 | 加密流量的检测方法、装置及计算机可读存储介质 |
| CN112487483A (zh) * | 2020-12-14 | 2021-03-12 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN113780571A (zh) * | 2021-08-10 | 2021-12-10 | 深圳致星科技有限公司 | 联邦学习中数据审计方法、设备、介质及程序产品 |
| CN114050935A (zh) * | 2021-11-16 | 2022-02-15 | 北京网深科技有限公司 | 加密流量实时监控分析的方法及装置 |
| CN114139943A (zh) * | 2021-11-30 | 2022-03-04 | 广东电网有限责任公司 | 电力物联网通信安全防护系统、方法及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210286A1 (en) * | 2004-03-17 | 2005-09-22 | Arcot Systems, Inc., A California Corporation | Auditing secret key cryptographic operations |
| CN101325519A (zh) * | 2008-06-05 | 2008-12-17 | 华为技术有限公司 | 基于安全协议的内容审计方法、系统和内容审计设备 |
| CN101695038A (zh) * | 2009-10-27 | 2010-04-14 | 联想网御科技(北京)有限公司 | 检测ssl加密数据安全性的方法及装置 |
| CN106131207A (zh) * | 2016-08-03 | 2016-11-16 | 杭州安恒信息技术有限公司 | 一种旁路审计https数据包的方法及系统 |
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
| CN107528820A (zh) * | 2017-06-07 | 2017-12-29 | 中国银联股份有限公司 | 针对应用程序的加解密方法、装置及安全审计方法和平台 |
-
2018
- 2018-07-26 CN CN201810835938.3A patent/CN108965307A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210286A1 (en) * | 2004-03-17 | 2005-09-22 | Arcot Systems, Inc., A California Corporation | Auditing secret key cryptographic operations |
| CN101325519A (zh) * | 2008-06-05 | 2008-12-17 | 华为技术有限公司 | 基于安全协议的内容审计方法、系统和内容审计设备 |
| CN101695038A (zh) * | 2009-10-27 | 2010-04-14 | 联想网御科技(北京)有限公司 | 检测ssl加密数据安全性的方法及装置 |
| CN106131207A (zh) * | 2016-08-03 | 2016-11-16 | 杭州安恒信息技术有限公司 | 一种旁路审计https数据包的方法及系统 |
| CN107528820A (zh) * | 2017-06-07 | 2017-12-29 | 中国银联股份有限公司 | 针对应用程序的加解密方法、装置及安全审计方法和平台 |
| CN107342903A (zh) * | 2017-07-18 | 2017-11-10 | 杭州敦崇科技股份有限公司 | 一种旁路认证和审计方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865877A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种上网行为控制方法、系统及电子设备和存储介质 |
| CN110830571A (zh) * | 2019-11-05 | 2020-02-21 | 许继集团有限公司 | 一种业务数据备份与提取方法及计算机可读介质 |
| CN111147465A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 对https内容进行审计的方法及代理服务器 |
| CN111107087B (zh) * | 2019-12-19 | 2022-03-25 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN111107087A (zh) * | 2019-12-19 | 2020-05-05 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN111212048A (zh) * | 2019-12-26 | 2020-05-29 | 北京安码科技有限公司 | https协议实时监控方法、系统、电子设备及存储介质 |
| CN111245814A (zh) * | 2020-01-07 | 2020-06-05 | 深信服科技股份有限公司 | 一种数据审计方法、装置、电子设备及存储介质 |
| CN111245814B (zh) * | 2020-01-07 | 2022-08-09 | 深信服科技股份有限公司 | 一种数据审计方法、装置、电子设备及存储介质 |
| CN112035851A (zh) * | 2020-07-22 | 2020-12-04 | 北京中安星云软件技术有限公司 | 一种基于ssl的mysql数据库审计方法 |
| CN112073418A (zh) * | 2020-09-10 | 2020-12-11 | 北京微步在线科技有限公司 | 加密流量的检测方法、装置及计算机可读存储介质 |
| CN112073418B (zh) * | 2020-09-10 | 2022-01-14 | 北京微步在线科技有限公司 | 加密流量的检测方法、装置及计算机可读存储介质 |
| CN112487483A (zh) * | 2020-12-14 | 2021-03-12 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN112487483B (zh) * | 2020-12-14 | 2024-05-03 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN113780571A (zh) * | 2021-08-10 | 2021-12-10 | 深圳致星科技有限公司 | 联邦学习中数据审计方法、设备、介质及程序产品 |
| CN114050935A (zh) * | 2021-11-16 | 2022-02-15 | 北京网深科技有限公司 | 加密流量实时监控分析的方法及装置 |
| CN114139943A (zh) * | 2021-11-30 | 2022-03-04 | 广东电网有限责任公司 | 电力物联网通信安全防护系统、方法及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965307A (zh) | 基于https协议密文数据审计方法、系统及相关装置 | |
| JP4520840B2 (ja) | 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体 | |
| CN110855791B (zh) | 一种区块链节点部署方法及相关设备 | |
| CN102204299B (zh) | 将移动装置从旧拥有者安全变更到新拥有者的方法 | |
| CN113132388B (zh) | 一种数据安全交互方法及系统 | |
| CN106685973B (zh) | 记住登录信息的方法及装置、登录控制方法及装置 | |
| KR101985179B1 (ko) | 블록체인 기반의 ID as a Service | |
| US20100131764A1 (en) | System and method for secured data transfer over a network from a mobile device | |
| CN105993146A (zh) | 不访问私钥而使用公钥密码的安全会话能力 | |
| US20090077373A1 (en) | System and method for providing verified information regarding a networked site | |
| CN103634307A (zh) | 一种对网页内容进行认证的方法和浏览器 | |
| CN109768965A (zh) | 一种服务器的登录方法、设备及存储装置 | |
| JP2003242124A (ja) | コンテンツ管理システムおよびコンテンツ管理方法 | |
| TW201019673A (en) | Automated supply system and method | |
| CN112532599A (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| CN109379345A (zh) | 敏感信息传输方法及系统 | |
| CN110022207A (zh) | 密钥管理及处理数据的方法和装置 | |
| CN103716280A (zh) | 数据传输方法、服务器及系统 | |
| CN110572454A (zh) | 一种保障广告投放过程安全的广告投放系统 | |
| CN107347073A (zh) | 一种资源信息处理方法 | |
| JP2012181662A (ja) | アカウント情報連携システム | |
| CN104243488A (zh) | 一种跨网站服务器的登录认证方法 | |
| JP4963425B2 (ja) | セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置 | |
| CN111177736A (zh) | 一种数据存储和访问的系统、方法和装置 | |
| CN114598549B (zh) | 客户ssl证书验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181207 |
|
| RJ01 | Rejection of invention patent application after publication |