CN109218364A - 加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统 - Google Patents
加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统 Download PDFInfo
- Publication number
- CN109218364A CN109218364A CN201710539352.8A CN201710539352A CN109218364A CN 109218364 A CN109218364 A CN 109218364A CN 201710539352 A CN201710539352 A CN 201710539352A CN 109218364 A CN109218364 A CN 109218364A
- Authority
- CN
- China
- Prior art keywords
- server end
- certificate
- proxy server
- monitored
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于数据监控领域,提供了加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统,监控方法包括:获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将通信请求重定向到本地;获取通信请求中的统一资源定位符URL,并根据URL建立第一通信链接,第一通信链接为与实际服务器端的通信链接;接收实际服务器端通过第一通信链接发送的实际服务器端证书,并根据实际服务器端证书和CA证书建立第二通信链接;通过第二通信链接获取待监控客户端的对话密钥;根据对话密钥对待监控客户端发送的数据进行监控。实施本发明实施例,可以增加对软件访问网站的监控范围。
Description
技术领域
本发明属于数据监控领域,尤其涉及加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统。
背景技术
操作系统上有很多恶意软件存在网络通信行为,特别是Android操作系统上的恶意软件,通过网络通信,恶意软件可以将用户手机中存在的隐私上传到远程服务器,可以接收远程服务器发送的指令而实施恶意行为。监控Android恶意软件网络通信可以帮助安全研究者了解恶意软件的网络通信行为,进而追踪溯源。现有Android系统上恶意软件的网络通信行为绝大部分是使用HTTP(HyperText Transfer Protocol,超文本传输协议)协议来访问远程服务器。HTTP协议是一种应用层协议,用户可以通过HTTP协议来访问互联网上的网站、视频、游戏等。由于HTTP协议通信数据是未加密的,因而安全系统可以监控HTTP协议通信数据。
HTTPS(HyperText Transfer Protocol over Secure Socket Layer,超文本传输安全协议)协议在HTTP协议的基础上对网络通信数据进行加密,它可以使用户的网络访问更加安全,但也能被用于加密恶意软件的网络通信数据,导致安全系统无法监控。专利《一种加密流量数据监控的方法、装置及系统》(CN106169990A,2016.11.30)提供了加密流量的监控方法。但在Android系统上,应用软件使用HTTPS通信存在如下几种情况:
应用软件访问的远程服务器的证书是由可信CA(可信第三方)发放的证书;
应用恶意软件访问的远程服务器的证书是由未知CA颁发的证书;
应用软件访问的远程服务器的证书是自签署的服务器证书。
在上述情况中,现有技术只能监控软件访问使用可信CA证书的网站,而不能监控软件访问使用未知CA证书的网站,以及使用自签署证书的网站。
发明内容
本发明实施例的目的在于提供了加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统,以解决现有技术不能监控软件访问使用未知CA证书的网站和使用自签署证书的网站的问题。
本发明实施例是这样实现的,一种加密流量数据的监控方法,所述监控方法应用于代理服务器端,包括:
获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将所述通信请求重定向到本地,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
获取所述通信请求中的统一资源定位符URL,并根据所述URL建立第一通信链接,所述第一通信链接为与实际服务器端的通信链接;
接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,并根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
通过所述第二通信链接获取所述待监控客户端的对话密钥;
根据所述对话密钥对所述待监控客户端发送的数据进行监控。
本发明实施例的另一目的在于提供一种加密流量数据的监控方法,所述监控方法应用于待监控客户端,包括:
在本地设置代理服务器端的CA证书,并将本地的所有应用软件修改为与代理服务器端证书相匹配;
接收代理服务器端发送的经过签名的代理服务器端证书,并根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立通信链接,所述代理服务器端证书由代理服务器端的CA私钥和CA根证书签名;
通过所述通信链接向所述代理服务器端发送对话密钥,以使所述代理服务器端通过所述对话密钥对待监控客户端发送的数据进行监控。
本发明实施例的另一目的在于提供一种加密流量数据的监控方法,所述监控方法包括:
待监控客户端通过超文本传输安全协议HTTPS向实际服务器端发送通信请求,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
代理服务器端获取所述通信请求,并将所述通信请求重定向到所述代理服务器端;
代理服务器端获取所述通信请求中的统一资源定位符URL,并根据所述URL与实际服务器端建立第一通信链接;
代理服务器端接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书;
代理服务器端根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
待监控客户端通过所述第二通信链接将对话密钥发送到代理服务器端;
待监控客户端通过所述第二通信链接获取待监控客户端发送的数据,并使用所述对话密钥对所述数据进行解密,进而监控所述数据
本发明实施例的另一目的在于提供一种代理服务器端,所述代理服务器端,包括:
重定向单元,用于获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将所述通信请求重定向到本地,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
第一通信链接建立单元,用于获取所述通信请求中的统一资源定位符URL,并根据所述URL建立第一通信链接,所述第一通信链接为与实际服务器端的通信链接;
第二通信链接建立单元,用于接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,并根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
对话密钥获取单元,用于通过所述第二通信链接获取所述待监控客户端的对话密钥;
监控单元,用于根据所述对话密钥对所述待监控客户端发送的数据进行监控。
本发明实施例的另一目的在于提供一种待监控客户端,所述待监控客户端包括:
设置单元,用于在本地安装代理服务器端的CA证书,并将本地的所有应用软件修改为与代理服务器端证书相匹配;
通信链接建立单元,用于接收代理服务器端发送的经过签名的代理服务器端证书,并根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立通信链接,所述代理服务器端证书由代理服务器端的CA私钥和CA根证书签名;
对话密钥发送单元,用于通过所述通信链接向所述代理服务器端发送对话密钥,以使所述代理服务器端通过所述对话密钥对待监控客户端发送的数据进行监控。
本发明实施例的另一目的在于提供一种监控系统,所述监控系统包括:
待监控客户端,用于通过超文本传输安全协议HTTPS向实际服务器端发送通信请求,接收代理服务器端发送的经过签名的代理服务器端证书,根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立第二通信链接,通过所述第二通信链接向所述代理服务器端发送对话密钥,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
代理服务器端,用于获取所述通信请求,将所述通信请求重定向到代理服务器端,获取所述通信请求中的统一资源定位符URL,根据所述URL与实际服务器端建立第一通信链接,接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
实际服务器端,用于通过URL与代理服务器端建立第一通信链接,通过所述第一通信链接向所述代理服务器端发送实际服务器端证书。
本发明实施例,获取待监控客户端通过HTTPS发送的通信请求,并将通信请求重定向到代理服务器端,获取通信请求中的URL,根据URL建立第一通信链接,接收实际服务器端通过第一通信链接发送的实际服务器端证书,并根据实际服务器端证书建立第二通信链接,通过第二通信链接获取待监控客户端的对话密钥,根据对话密钥对待监控客户端发送的数据进行监控,使得代理服务器端可以监控恶意软件访问使用未知CA证书和使用自签署证书的网站,增加了监控的范围和完整性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一示例性实施例示出的一种加密流量数据的监控方法的流程图;
图2为本发明另一示例性实施例示出的一种加密流量数据的监控方法的流程图;
图3是本发明再一示例性实施例示出的一种加密流量数据的监控方法的流程图;
图4是本发明再一示例性实施例示出的一种加密流量数据的监控方法的流程图;
图5是本发明一示例性实施例示出的一种代理服务器端的结构图;
图6是本发明再一示例性实施例示出的一种代理服务器端的结构图;
图7是本发明一示例性实施例示出的一种待监控客户端的结构图;
图8是本发明一示例性实施例示出的一种监控系统的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一
如图1所示为本发明一示例性实施例示出的一种加密流量数据的监控方法的流程图,所述监控方法包括以下步骤:
步骤S101,待监控客户端通过HTTPS向实际服务器端发送通信请求,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配。
在本发明实施例中,待监控客户端在与实际服务器端进行通信时,需要向实际服务器端发送通信请求,通过该通信请求与实际服务器端建立通信链接。其中,监控客户端中预设有代理服务器端的CA证书,该CA证书在后续的流程中可以对代理服务器端证书进行认证,将CA证书文件拷贝到待监控客户端的内部存储空间,使用超级管理员权限将CA证书文件移动到对应的文件夹,通常安装到:/data/misc/keychain/cacerts-added。
待监控客户端所有的应用软件都需要与代理服务器端证书相匹配。安装CA证书可以监控到Android设备中的应用访问包含受信任CA颁发的证书的网站,但不能监控访问由未知CA颁发的证书的网站和自签署证书的网站。这是因为在Android系统中,要想访问这两类网站,应用软件代码中就必须要包含自定义的证书检查代码,其中就包含了网站的证书。这种情况下,当客户端收到代理服务器的证书之后,代码中的证书检查代码就会认为证书不匹配从而拒绝连接。
因而,为保证这类情况代理服务器仍能监控HTTPS流量,可以使用API Hook技术修改应用软件代码中的证书检查操作,使应用软件认为证书可匹配,从而与代理服务器建立连接。
在Android系统中,自定义检查证书涉及到的类有TrustManagerFactory类、SSLContext类、HttpsURLConnection类等。其中,TrustManagerFactory类中包含证书检查的代码,SSLContext类中的初始化操作需要使用TrustManagerFactory类的一个实例,而HttpsURLConnection类在建立连接时需要使用SSLContext的实例。因而,为了使自定义证书检查代码无效,API Hook技术需要将TrustManagerFactory类中的证书检查代码不进行任何检查,将SSLContext类中的初始化操作中需要引用的TrustManagerFactory类的实例修改为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection使用的SSLContext类实例修改为无任何检查的SSLContext类实例。
通过上述方法,待监控客户端中任何使用这部分代码的恶意软件就不会对证书进行检查,这样恶意软件就可以与代理服务器建立连接。
步骤S102,代理服务器端获取所述通信请求,并将所述通信请求重定向到所述代理服务器端。
在本发明实施例中,代理服务器端对待监控客户端发送的通信请求进行监听,当监听到待监控客户端发送的通信请求之后,获取该通信请求,将该通信请求重新定向到本地。
步骤S103,代理服务器端获取所述通信请求中的统一资源定位符URL,并根据所述URL与实际服务器端建立第一通信链接。
在本发明实施例中,代理服务器端虽然获取了待监控客户端发送的通信请求,但代理服务器端并不知晓待监控客户端需要链接的实际服务器端,因此,代理服务器端通过分析该通信请求获取其中的URL(Uniform Resource Locator,统一资源定位符),通过该URL代理服务器端即可访问实际服务器端,进而与实际服务器端建立通信链接。
步骤S104,代理服务器端接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书。
步骤S105,代理服务器端根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接。
在本发明实施例中,在代理服务器端与实际服务器端建立通信链接的过程中,代理服务器端会接收实际服务器端发送的实际服务器证书,以该实际服务器证书为依据,代理服务器端即可与待监控客户端建立通信链接。
步骤S106,待监控客户端通过所述第二通信链接将对话密钥发送到代理服务器端。
在本发明实施例中,代理服务器端与待监控客户端建立通信链接之后,待监控客户端会生成对话密钥,该对话密钥用于对待监控客户端发送的数据进行加密,代理服务器端只有保存该对话密钥才可以对Android发送的数据进行监控。
步骤S107,待监控客户端通过第二通信链接获取待监控客户端发送的数据,并使用所述对话密钥对所述数据进行解密,进而监控所述数据。
在本发明实施例中,待监控客户端发送的数据,代理服务器端获取了之后,通过获取的对话密钥对数据进行解密,进而实现对待监控客户端发送的数据的监控。
如图2所示为本发明另一示例性实施例示出的一种加密流量数据的监控方法的流程图,所述监控方法应用于代理服务器端,所述监控方法包括以下步骤:
步骤S201,获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将所述通信请求重定向到本地,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配。
在本发明实施例中,待监控客户端在向服务器端发送数据之前,需要向服务器端发送通信请求,请求与服务器端建立通信链接,代理服务器端获取待监控客户端通过HTTPS(HyperText Transfer Protocol Secure,超文本传输安全协议)发送的通信请求,并将该通信请求重定向到本地。需要指出的是,在待监控客户端中预设有代理服务器端的CA证书,以方便后续的步骤中对代理服务器端发送的代理服务器端证书进行认证。将CA证书文件拷贝到待监控客户端的内部存储空间,使用超级管理员权限将CA证书文件移动到对应的文件夹,通常安装到:/data/misc/keychain/cacerts-added。
同时待监控客户端被API Hook技术修改为所有的应用软件都与代理服务器端证书相匹配。安装CA证书可以监控到Android设备中的应用访问包含受信任CA颁发的证书的网站,但不能监控访问由未知CA颁发的证书的网站和自签署证书的网站。这是因为在Android系统中,要想访问这两类网站,应用软件代码中就必须要包含自定义的证书检查代码,其中就包含了网站的证书。这种情况下,当客户端收到代理服务器的证书之后,代码中的证书检查代码就会认为证书不匹配从而拒绝连接。
因而,为保证这类情况代理服务器仍能监控HTTPS流量,就需要使用API Hook技术修改应用软件代码中的证书检查操作,使应用软件认为证书可匹配,从而与代理服务器建立连接。
在Android系统中,自定义检查证书涉及到的类有TrustManagerFactory类、SSLContext类、HttpsURLConnection类等。其中,TrustManagerFactory类中包含证书检查的代码,SSLContext类中的初始化操作需要使用TrustManagerFactory类的一个实例,而HttpsURLConnection类在建立连接时需要使用SSLContext的实例。因而,为了使自定义证书检查代码无效,API Hook技术需要将TrustManagerFactory类中的证书检查代码不进行任何检查,将SSLContext类中的初始化操作中需要引用的TrustManagerFactory类的实例修改为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection使用的SSLContext类实例修改为无任何检查的SSLContext类实例。
通过上述方法,待监控客户端中任何使用这部分代码的恶意软件就不会对证书进行检查,这样恶意软件就可以与代理服务器建立连接。
其中,将通信请求重定向到本地代理服务器端,可通过以下方法实现:
对待监控客户端的网络流量经过的数据链路中的路由器进行规则配置,即可使待监控客户端的通信请求在到路由器之后,被路由器转发到代理服务器端。
上述重定向的过程由代理服务器端的重定向模块完成。
步骤S202,获取所述通信请求中的统一资源定位符URL,并根据所述URL建立第一通信链接,所述第一通信链接为与实际服务器端的通信链接。
在本发明实施例中,代理服务器端虽然获取了待监控客户端发送的通信请求,但代理服务器端并不知晓待监控客户端需要链接的实际服务器端,因此,代理服务器端通过分析该通信请求获取其中的URL(Uniform Resource Locator,统一资源定位符),通过该URL代理服务器端即可访问实际服务器端,进而与实际服务器端建立通信链接。
步骤S203,接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,并根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接。
在本发明实施例中,在代理服务器端与实际服务器端建立通信链接的过程中,代理服务器端会接收实际服务器端发送的实际服务器证书,以该实际服务器证书为依据,代理服务器端即可与待监控客户端建立通信链接。
如图3所示为本发明再一示例性实施例示出的一种加密流量数据的监控方法的流程图,所述根据所述实际服务器证书和所述CA证书建立第二通信链接,包括:
步骤S301,从所述实际服务器端证书中获取实际服务器端的服务器信息。
在本发明实施例中,代理服务器端对获取的实际服务器端证书进行解析,从实际服务器端证书中获取实际服务器端的服务器信息,所述服务器信息包括但不限于:国家名称、州名称、省名称、城市名称、组织名称、域名、证书有效期等。
步骤S302,通过代理服务器端私钥将所述服务器信息处理为代理服务器端证书,并通过代理服务器端的CA私钥和CA根证书对所述代理服务器端证书进行签名。
在本发明实施例中,代理服务器端设置有一证书配置模块,该证书配置模块可以在代理服务器端上配置CA私钥、CA根证书以及代理服务器端私钥,CA私钥、CA根证书以及代理服务器端私钥均通过开源的OpenSSL技术创建生成,其中CA根证书依据CA私钥创建。
步骤S303,将所述经过签名的代理服务器端证书发送到待监控客户端,以使所述待监控客户端通过所述CA证书确认所述代理服务器端证书正确,并建立第二通信链接。
在本发明实施例中,待监控客户端通过以下操作验证代理服务器端证书:检查代理服务器端证书是否由系统中存储的受信任的CA颁发的、检查代理服务器端证书是否被吊销、检查代理服务器端证书是否过期、检查代理服务器端证书的网站域名是否与证书的域名一致。由于代理服务器端证书根据实际服务器端证书的服务器信息生成,因此证书吊销检查、过期检查和域名检查都可以通过。代理服务器端证书是由代理服务器中的CA签署的,由于待监控客户端中预设有代理服务器端CA证书,因此代理服务器端证书也可以通过CA检查。
同时,由于待监控客户端被API Hook技术设置为所有的应用软件与所述代理服务器端证书相匹配,因此待监控客户端中未使用CA证书的恶意软件也会通过对代理服务器端证书的审查,代理服务器端即与待监控客户端以及待监控客户端上的所有软件建立了通信链接。
优选的,代理服务器端与待监控客户端建立的通信链接为HTTPS链接。
步骤S204,通过所述第二通信链接获取所述待监控客户端的对话密钥。
在本发明实施例中,代理服务器端与待监控客户端建立通信链接之后,待监控客户端会生成对话密钥,该对话密钥用于对待监控客户端发送的数据进行加密,代理服务器端只有保存该对话密钥才可以对Android发送的数据进行监控。
所述通过所述第二通信链接获取所述待监控客户端的对话密钥,包括:
1.接收待监控客户端通过所述第二通信链接发送的经过加密的对话密钥,所述对话密钥被代理服务器端私钥所加密。
2.通过代理服务器端私钥对所述经过加密的对话密钥进行解密,获取对话密钥。
步骤S205,根据所述对话密钥对所述待监控客户端发送的数据进行监控。
在本发明实施例中,由于代理服务器端获取了待监控客户端的对话密钥以及实际服务器端的对话密钥,因此,代理服务器端可以监听待监控客户端与实际服务器端的通信数据,对通信数据进行解析,进而实现对恶意软件的监控。
本发明实施例,获取待监控客户端通过HTTPS发送的通信请求,并将通信请求重定向到代理服务器端,获取通信请求中的URL,根据URL建立第一通信链接,接收实际服务器端通过第一通信链接发送的实际服务器端证书,并根据实际服务器端证书建立第二通信链接,通过第二通信链接获取待监控客户端的对话密钥,根据对话密钥对待监控客户端发送的数据进行监控,使得代理服务器端可以监控恶意软件访问使用未知CA证书和使用自签署证书的网站,增加了监控的范围和完整性。
如图4所示为本发明在一示例性实施例示出的一种加密流量数据的监控方法的流程图,该监控方法应用于待监控客户端,所述监控方法包括:
步骤S401,在本地设置代理服务器端的CA证书,并将本地的所有应用软件修改为与代理服务器端证书相匹配;
步骤S402,接收代理服务器端发送的经过签名的代理服务器端证书,并根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立通信链接,所述代理服务器端证书由代理服务器端的CA私钥和CA根证书签名;
步骤S403,通过所述通信链接向所述代理服务器端发送对话密钥,以使所述代理服务器端通过所述对话密钥对待监控客户端发送的数据进行监控。
在本发明实施例中,待监控客户端本地的参数需要进行设置,以保证与代理服务器端可以正确的进行链接和处理,需要设置的包括:在本地设置代理服务器端的CA证书,将本地所有的应用软件修改为与代理服务器端证书相匹配。其中,将本地的所有应用软件修改为与代理服务器端证书相匹配,包括:
通过API Hook技术将本地的证书检查代码设置为无效,包括:通过API Hook技术将TrustManagerFactory类中的证书检查代码设置为不进行任何检查,将SSLContext中与初始化操作相关的TrustManagerFactory类的实例设置为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection中与建立链接操作相关的SSLContext类的实例设置为不进行证书检查的SSLContext类的实例。
在设置完成之后,即可与代理服务器端建立通信链接,包括:接收代理服务器端发送的经过签名的代理服务器端证书,根据经过签名的代理服务器端证书和CA证书与代理服务器端建立通信链接。
通过建立的通信链接向代理服务器端发送对话密钥,这样代理服务器端即可通过对话密钥对待监控客户端发送的数据进行解密,进而实现对待监控客户端的监控。
如图5所示为本发明一示例性实施例示出的一种代理服务器端的结构图,所述代理服务器端包括:
重定向单元501,用于获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将所述通信请求重定向到本地,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配。
在本发明实施例中,待监控客户端在向服务器端发送数据之前,需要向服务器端发送通信请求,请求与服务器端建立通信链接,代理服务器端获取待监控客户端通过HTTPS(HyperText Transfer Protocol Secure,超文本传输安全协议)发送的通信请求,并将该通信请求重定向到本地。需要指出的是,在待监控客户端中预设有代理服务器端的CA证书,以方便后续的步骤中对代理服务器端发送的代理服务器端证书进行认证。将CA证书文件拷贝到待监控客户端的内部存储空间,使用超级管理员权限将CA证书文件移动到对应的文件夹,通常安装到:/data/misc/keychain/cacerts-added。
同时待监控客户端被API Hook技术修改为所有的应用软件都与代理服务器端证书相匹配。安装CA证书可以监控到Android设备中的应用访问包含受信任CA颁发的证书的网站,但不能监控访问由未知CA颁发的证书的网站和自签署证书的网站。这是因为在Android系统中,要想访问这两类网站,应用软件代码中就必须要包含自定义的证书检查代码,其中就包含了网站的证书。这种情况下,当客户端收到代理服务器的证书之后,代码中的证书检查代码就会认为证书不匹配从而拒绝连接。
因而,为保证这类情况代理服务器仍能监控HTTPS流量,就需要使用API Hook技术修改应用软件代码中的证书检查操作,使应用软件认为证书可匹配,从而与代理服务器建立连接。
在Android系统中,自定义检查证书涉及到的类有TrustManagerFactory类、SSLContext类、HttpsURLConnection类等。其中,TrustManagerFactory类中包含证书检查的代码,SSLContext类中的初始化操作需要使用TrustManagerFactory类的一个实例,而HttpsURLConnection类在建立连接时需要使用SSLContext的实例。因而,为了使自定义证书检查代码无效,API Hook技术需要将TrustManagerFactory类中的证书检查代码不进行任何检查,将SSLContext类中的初始化操作中需要引用的TrustManagerFactory类的实例修改为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection使用的SSLContext类实例修改为无任何检查的SSLContext类实例。
通过上述方法,待监控客户端中任何使用这部分代码的恶意软件就不会对证书进行检查,这样恶意软件就可以与代理服务器建立连接。
其中,将通信请求重定向到本地代理服务器端,可通过以下方法实现:
对待监控客户端的网络流量经过的数据链路中的路由器进行规则配置,即可使待监控客户端的通信请求在到路由器之后,被路由器转发到代理服务器端。
上述重定向的过程由代理服务器端的重定向模块完成。
第一通信链接建立单元502,用于获取所述通信请求中的统一资源定位符URL,并根据所述URL建立第一通信链接,所述第一通信链接为与实际服务器端的通信链接。
在本发明实施例中,代理服务器端虽然获取了待监控客户端发送的通信请求,但代理服务器端并不知晓待监控客户端需要链接的实际服务器端,因此,代理服务器端通过分析该通信请求获取其中的URL(Uniform Resource Locator,统一资源定位符),通过该URL代理服务器端即可访问实际服务器端,进而与实际服务器端建立通信链接。
第二通信链接建立单元503,用于接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,并根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接。
在本发明实施例中,在代理服务器端与实际服务器端建立通信链接的过程中,代理服务器端会接收实际服务器端发送的实际服务器证书,以该实际服务器证书为依据,代理服务器端即可与待监控客户端建立通信链接。
如图6所示为本发明再一示例性实施例示出的一种代理服务器端的结构图,所述第二通信链接建立单元503,包括:
服务器信息获取子单元5031,用于从所述实际服务器端证书中获取实际服务器端的服务器信息。
在本发明实施例中,代理服务器端对获取的实际服务器端证书进行解析,从实际服务器端证书中获取实际服务器端的服务器信息,所述服务器信息包括但不限于:国家名称、州名称、省名称、城市名称、组织名称、域名、证书有效期等。
签名子单元5032,用于通过代理服务器端私钥将所述服务器信息处理为代理服务器端证书,并通过代理服务器端的CA私钥和CA根证书对所述代理服务器端证书进行签名。
在本发明实施例中,代理服务器端设置有一证书配置模块,该证书配置模块可以在代理服务器端上配置CA私钥、CA根证书以及代理服务器端私钥,CA私钥、CA根证书以及代理服务器端私钥均通过开源的OpenSSL技术创建生成,其中CA根证书依据CA私钥创建。
第二通信链接建立子单元5033,用于将所述经过签名的代理服务器端证书发送到待监控客户端,以使所述待监控客户端根据所述CA证书确认所述代理服务器端证书正确,并建立第二通信链接。
在本发明实施例中,待监控客户端通过以下操作验证代理服务器端证书:检查代理服务器端证书是否由系统中存储的受信任的CA颁发的、检查代理服务器端证书是否被吊销、检查代理服务器端证书是否过期、检查代理服务器端证书的网站域名是否与证书的域名一致。由于代理服务器端证书根据实际服务器端证书的服务器信息生成,因此证书吊销检查、过期检查和域名检查都可以通过。代理服务器端证书是由代理服务器中的CA签署的,由于待监控客户端中预设有代理服务器端CA证书,因此代理服务器端证书也可以通过CA检查。
同时,由于待监控客户端被API Hook技术设置为所有的应用软件与所述代理服务器端证书相匹配,因此待监控客户端中未使用CA证书的恶意软件也会通过对代理服务器端证书的审查,代理服务器端即与待监控客户端以及待监控客户端上的所有软件建立了通信链接。
优选的,代理服务器端与待监控客户端建立的通信链接为HTTPS链接。
对话密钥获取单元504,用于通过所述第二通信链接获取所述待监控客户端的对话密钥。
在本发明实施例中,代理服务器端与待监控客户端建立通信链接之后,待监控客户端会生成对话密钥,该对话密钥用于对待监控客户端发送的数据进行加密,代理服务器端只有保存该对话密钥才可以对Android发送的数据进行监控。
所述通过所述第二通信链接获取所述待监控客户端的对话密钥,包括:
1.接收待监控客户端通过所述第二通信链接发送的经过加密的对话密钥,所述对话密钥被代理服务器端私钥所加密。
2.通过代理服务器端私钥对所述经过加密的对话密钥进行解密,获取对话密钥。
监控单元505,用于根据所述对话密钥对所述待监控客户端发送的数据进行监控。
在本发明实施例中,在本发明实施例中,由于代理服务器端获取了待监控客户端的对话密钥以及实际服务器端的对话密钥,因此,代理服务器端可以监听待监控客户端与实际服务器端的通信数据,对通信数据进行解析,进而实现对恶意软件的监控。
本发明实施例,获取待监控客户端通过HTTPS发送的通信请求,并将通信请求重定向到代理服务器端,获取通信请求中的URL,根据URL建立第一通信链接,接收实际服务器端通过第一通信链接发送的实际服务器端证书,并根据实际服务器端证书建立第二通信链接,通过第二通信链接获取待监控客户端的对话密钥,根据对话密钥对待监控客户端发送的数据进行监控,使得代理服务器端可以监控恶意软件访问使用未知CA证书和使用自签署证书的网站,增加了监控的范围和完整性。
如图7所示为本发明一示例性实施例示出的一种待监控客户端的结构图,所述待监控客户端包括:
设置单元701,用于在本地安装代理服务器端的CA证书,并将本地的所有应用软件修改为与代理服务器端证书相匹配;
通信链接建立单元702,用于接收代理服务器端发送的经过签名的代理服务器端证书,并根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立通信链接,所述代理服务器端证书由代理服务器端的CA私钥和CA根证书签名;
对话密钥发送单元703,用于通过所述通信链接向所述代理服务器端发送对话密钥,以使所述代理服务器端通过所述对话密钥对待监控客户端发送的数据进行监控。
在本发明实施例中,待监控客户端本地的参数需要进行设置,以保证与代理服务器端可以正确的进行链接和处理,需要设置的包括:在本地设置代理服务器端的CA证书,将本地所有的应用软件修改为与代理服务器端证书相匹配。其中,将本地的所有应用软件修改为与代理服务器端证书相匹配,包括:
通过API Hook技术将本地的证书检查代码设置为无效,包括:通过API Hook技术将TrustManagerFactory类中的证书检查代码设置为不进行任何检查,将SSLContext中与初始化操作相关的TrustManagerFactory类的实例设置为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection中与建立链接操作相关的SSLContext类的实例设置为不进行证书检查的SSLContext类的实例。
在设置完成之后,即可与代理服务器端建立通信链接,包括:接收代理服务器端发送的经过签名的代理服务器端证书,根据经过签名的代理服务器端证书和CA证书与代理服务器端建立通信链接。
通过建立的通信链接向代理服务器端发送对话密钥,这样代理服务器端即可通过对话密钥对待监控客户端发送的数据进行解密,进而实现对待监控客户端的监控。
如图8所示为本发明一示例性实施例示出的一种监控系统的结构图,所述监控系统包括:
至少一个待监控客户端801,用于通过超文本传输安全协议HTTPS向实际服务器端发送通信请求,接收代理服务器端发送的经过签名的代理服务器端证书,根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立第二通信链接,通过所述第二通信链接向所述代理服务器端发送对话密钥,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
代理服务器端802,用于获取所述通信请求,将所述通信请求重定向到代理服务器端,获取所述通信请求中的统一资源定位符URL,根据所述URL与实际服务器端建立第一通信链接,接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
实际服务器端803,用于通过URL与代理服务器端建立第一通信链接,通过所述第一通信链接向所述代理服务器端发送实际服务器端证书。
本领域普通技术人员可以理解为上述实施例所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
本领域普通技术人员还可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,包括:ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种加密流量数据的监控方法,所述监控方法应用于代理服务器端,其特征在于,所述监控方法包括:
获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将所述通信请求重定向到本地,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
获取所述通信请求中的统一资源定位符URL,并根据所述URL建立第一通信链接,所述第一通信链接为与实际服务器端的通信链接;
接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,并根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
通过所述第二通信链接获取所述待监控客户端的对话密钥;
根据所述对话密钥对所述待监控客户端发送的数据进行监控。
2.如权利要求1所述的监控方法,其特征在于,所述根据所述实际服务器证书建立第二通信链接,包括:
从所述实际服务器端证书中获取实际服务器端的服务器信息;
通过代理服务器端私钥将所述服务器信息处理为代理服务器端证书,并通过代理服务器端的CA私钥和CA根证书对所述代理服务器端证书进行签名;
将所述经过签名的代理服务器端证书发送到待监控客户端,以使所述待监控客户端根据所述CA证书确认所述代理服务器端证书正确,并建立第二通信链接。
3.如权利要求1所述的监控方法,其特征在于,所述通过所述第二通信链接获取所述待监控客户端的对话密钥,包括:
接收待监控客户端通过所述第二通信链接发送的经过加密的对话密钥,所述对话密钥被代理服务器端私钥所加密;
通过代理服务器端私钥对所述经过加密的对话密钥进行解密,获取对话密钥。
4.如权利要求1所述的监控方法,其特征在于,所述将所述通信请求重定向到本地,包括:
将路由器的转发路径设置为代理服务器端,以使所述路由器在接收到待监控客户端端的流量数据之后将其转发到代理服务器端,所述路由器为待监控客户端的网络流量经过的数据链路中的路由器。
5.一种加密流量数据的监控方法,所述监控方法应用于待监控客户端,其特征在于,所述监控方法包括:
在本地设置代理服务器端的CA证书,并将本地的所有应用软件修改为与代理服务器端证书相匹配;
接收代理服务器端发送的经过签名的代理服务器端证书,并根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立通信链接,所述代理服务器端证书由代理服务器端的CA私钥和CA根证书签名;
通过所述通信链接向所述代理服务器端发送对话密钥,以使所述代理服务器端通过所述对话密钥对待监控客户端发送的数据进行监控。
6.如权利要求5所述的监控方法,其特征在于,所述将本地的所有应用软件修改为与代理服务器端证书相匹配,包括:
通过API Hook技术将本地的证书检查代码设置为无效,包括:通过API Hook技术将TrustManagerFactory类中的证书检查代码设置为不进行任何检查,将SSLContext中与初始化操作相关的TrustManagerFactory类的实例设置为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection中与建立链接操作相关的SSLContext类的实例设置为不进行证书检查的SSLContext类的实例。
7.一种加密流量数据的监控方法,其特征在于,所述监控方法包括:
待监控客户端通过超文本传输安全协议HTTPS向实际服务器端发送通信请求,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
代理服务器端获取所述通信请求,并将所述通信请求重定向到所述代理服务器端;
代理服务器端获取所述通信请求中的统一资源定位符URL,并根据所述URL与实际服务器端建立第一通信链接;
代理服务器端接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书;
代理服务器端根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
待监控客户端通过所述第二通信链接将对话密钥发送到代理服务器端;
待监控客户端通过所述第二通信链接获取待监控客户端发送的数据,并使用所述对话密钥对所述数据进行解密,进而监控所述数据。
8.一种代理服务器端,其特征在于,所述代理服务器端包括:
重定向单元,用于获取待监控客户端通过超文本传输安全协议HTTPS发送的通信请求,并将所述通信请求重定向到本地,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
第一通信链接建立单元,用于获取所述通信请求中的统一资源定位符URL,并根据所述URL建立第一通信链接,所述第一通信链接为与实际服务器端的通信链接;
第二通信链接建立单元,用于接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,并根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
对话密钥获取单元,用于通过所述第二通信链接获取所述待监控客户端的对话密钥;
监控单元,用于根据所述对话密钥对所述待监控客户端发送的数据进行监控。
9.如权利要求8所述的代理服务器端,其特征在于,所述第二通信链接建立单元,包括:
服务器信息获取子单元,用于从所述实际服务器端证书中获取实际服务器端的服务器信息;
签名子单元,用于通过代理服务器端私钥将所述服务器信息处理为代理服务器端证书,并通过代理服务器端的CA私钥和CA根证书对所述代理服务器端证书进行签名;
第二通信链接建立子单元,用于将所述经过签名的代理服务器端证书发送到待监控客户端,以使所述待监控客户端根据所述CA证书确认所述代理服务器端证书正确,并建立第二通信链接。
10.如权利要求8所述的代理服务器端,其特征在于,所述对话密钥获取单元,包括:
加密对话密钥获取子单元,用于接收待监控客户端通过所述第二通信链接发送的经过加密的对话密钥,所述对话密钥被代理服务器端私钥所加密;
对话密钥获取子单元,用于通过代理服务器端私钥对所述经过加密的对话密钥进行解密,获取对话密钥。
11.如权利要求8所述的代理服务器端,其特征在于,所述将所述通信请求重定向到本地,包括:
将路由器的转发路径设置为代理服务器端,以使所述路由器在接收到待监控客户端端的流量数据之后将其转发到代理服务器端,所述路由器为待监控客户端的网络流量经过的数据链路中的路由器。
12.一种待监控客户端,其特征在于,所述待监控客户端,包括:
设置单元,用于在本地安装代理服务器端的CA证书,并将本地的所有应用软件修改为与代理服务器端证书相匹配;
通信链接建立单元,用于接收代理服务器端发送的经过签名的代理服务器端证书,并根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立通信链接,所述代理服务器端证书由代理服务器端的CA私钥和CA根证书签名;
对话密钥发送单元,用于通过所述通信链接向所述代理服务器端发送对话密钥,以使所述代理服务器端通过所述对话密钥对待监控客户端发送的数据进行监控。
13.如权利要求12所述的待监控客户端,其特征在于,所述将本地的所有应用软件修改为与代理服务器端证书相匹配,包括:
通过API Hook技术将本地的证书检查代码设置为无效,包括:通过API Hook技术将TrustManagerFactory类中的证书检查代码设置为不进行任何检查,将SSLContext中与初始化操作相关的TrustManagerFactory类的实例设置为不进行证书检查的TrustManagerFactory类的实例,将HttpsURLConnection中与建立链接操作相关的SSLContext类的实例设置为不进行证书检查的SSLContext类的实例。
14.一种监控系统,其特征在于,所述监控系统包括:
待监控客户端,用于通过超文本传输安全协议HTTPS向实际服务器端发送通信请求,接收代理服务器端发送的经过签名的代理服务器端证书,根据所述经过签名的代理服务器端证书和所述CA证书与所述代理服务器端建立第二通信链接,通过所述第二通信链接向所述代理服务器端发送对话密钥,所述待监控客户端中预设有代理服务器端的CA证书,且所述待监控客户端中的所有应用软件与代理服务器端证书相匹配;
代理服务器端,用于获取所述通信请求,将所述通信请求重定向到代理服务器端,获取所述通信请求中的统一资源定位符URL,根据所述URL与实际服务器端建立第一通信链接,接收所述实际服务器端通过所述第一通信链接发送的实际服务器端证书,根据所述实际服务器端证书和所述CA证书建立第二通信链接,所述第二通信链接为与所述待监控客户端的通信链接;
实际服务器端,用于通过URL与代理服务器端建立第一通信链接,通过所述第一通信链接向所述代理服务器端发送实际服务器端证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710539352.8A CN109218364A (zh) | 2017-07-04 | 2017-07-04 | 加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710539352.8A CN109218364A (zh) | 2017-07-04 | 2017-07-04 | 加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109218364A true CN109218364A (zh) | 2019-01-15 |
Family
ID=64992509
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710539352.8A Pending CN109218364A (zh) | 2017-07-04 | 2017-07-04 | 加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109218364A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112468495A (zh) * | 2020-11-26 | 2021-03-09 | 上海天旦网络科技发展有限公司 | 完全前向保密加密系统的降级监控方法、系统及介质 |
CN113810396A (zh) * | 2021-09-07 | 2021-12-17 | 北京明朝万达科技股份有限公司 | 一种数据管控方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1713573A (zh) * | 2004-06-22 | 2005-12-28 | 腾讯科技(深圳)有限公司 | 一种网页插件选择下载的实现方法及其装置 |
US20060136932A1 (en) * | 2004-12-16 | 2006-06-22 | Bose Anuradha A | Monitoring messages in a distributed data processing system |
CN101816148A (zh) * | 2007-08-06 | 2010-08-25 | 伯纳德·德莫森纳特 | 用于验证、数据传送和防御网络钓鱼的系统和方法 |
US8843750B1 (en) * | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
CN106685983A (zh) * | 2017-01-13 | 2017-05-17 | 华北计算技术研究所(中国电子科技集团公司第十五研究所) | 一种基于ssl协议的数据还原方法与装置 |
CN107346394A (zh) * | 2017-07-03 | 2017-11-14 | 深圳市乐唯科技开发有限公司 | 一种检验Android系统安全并加强手机使用安全的方法 |
CN107463838A (zh) * | 2017-08-14 | 2017-12-12 | 广州大学 | 基于sgx的安全监控方法、装置、系统及存储介质 |
-
2017
- 2017-07-04 CN CN201710539352.8A patent/CN109218364A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1713573A (zh) * | 2004-06-22 | 2005-12-28 | 腾讯科技(深圳)有限公司 | 一种网页插件选择下载的实现方法及其装置 |
US20060136932A1 (en) * | 2004-12-16 | 2006-06-22 | Bose Anuradha A | Monitoring messages in a distributed data processing system |
CN101816148A (zh) * | 2007-08-06 | 2010-08-25 | 伯纳德·德莫森纳特 | 用于验证、数据传送和防御网络钓鱼的系统和方法 |
US8843750B1 (en) * | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
CN106685983A (zh) * | 2017-01-13 | 2017-05-17 | 华北计算技术研究所(中国电子科技集团公司第十五研究所) | 一种基于ssl协议的数据还原方法与装置 |
CN107346394A (zh) * | 2017-07-03 | 2017-11-14 | 深圳市乐唯科技开发有限公司 | 一种检验Android系统安全并加强手机使用安全的方法 |
CN107463838A (zh) * | 2017-08-14 | 2017-12-12 | 广州大学 | 基于sgx的安全监控方法、装置、系统及存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112468495A (zh) * | 2020-11-26 | 2021-03-09 | 上海天旦网络科技发展有限公司 | 完全前向保密加密系统的降级监控方法、系统及介质 |
CN112468495B (zh) * | 2020-11-26 | 2022-05-17 | 上海天旦网络科技发展有限公司 | 完全前向保密加密系统的降级监控方法、系统及介质 |
CN113810396A (zh) * | 2021-09-07 | 2021-12-17 | 北京明朝万达科技股份有限公司 | 一种数据管控方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10554420B2 (en) | Wireless connections to a wireless access point | |
US9699167B1 (en) | Distributed authentication | |
US20140181842A1 (en) | Secure mobile app connection bus | |
Jarmoc et al. | SSL/TLS interception proxies and transitive trust | |
CN109165500B (zh) | 一种基于跨域技术的单点登录认证系统及方法 | |
US11995174B2 (en) | Systems, methods, and storage media for migrating identity information across identity domains in an identity infrastructure | |
Lee | Authentication scheme for smart learning system in the cloud computing environment | |
KR20060100920A (ko) | 웹 서비스를 위한 신뢰되는 제3자 인증 | |
KR20070108365A (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
CN104054321A (zh) | 针对云服务的安全管理 | |
CN108040044B (zh) | 一种实现eSIM卡安全认证的管理方法及系统 | |
CN101170413B (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
CN102811225B (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
US11818114B2 (en) | Systems, methods, and storage media for synchronizing identity information across identity domains in an identity infrastructure | |
CN104660523A (zh) | 一种网络准入控制系统 | |
US11936772B1 (en) | System and method for supply chain tamper resistant content verification, inspection, and approval | |
Saleem et al. | Certification procedures for data and communications security of distributed energy resources | |
Stoianov et al. | Integrated security infrastructures for law enforcement agencies | |
CN109218364A (zh) | 加密流量数据的监控方法、代理服务器端、待监控客户端和监控系统 | |
CN107787576A (zh) | 用于工业控制系统的安全系统 | |
Wang et al. | A framework for formal analysis of privacy on SSO protocols | |
JP6783527B2 (ja) | 電子鍵再登録システム、電子鍵再登録方法およびプログラム | |
KR101962349B1 (ko) | 인증서 기반 통합 인증 방법 | |
Syverson et al. | Bake in. onion for tear-free and stronger website authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190115 |