CN111327634B - 网站访问监管方法、安全套接层代理装置、终端及系统 - Google Patents
网站访问监管方法、安全套接层代理装置、终端及系统 Download PDFInfo
- Publication number
- CN111327634B CN111327634B CN202010159558.XA CN202010159558A CN111327634B CN 111327634 B CN111327634 B CN 111327634B CN 202010159558 A CN202010159558 A CN 202010159558A CN 111327634 B CN111327634 B CN 111327634B
- Authority
- CN
- China
- Prior art keywords
- socket layer
- secure socket
- content
- secret key
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网站访问监管方法、安全套接层代理装置、终端及系统,安全套接层代理装置安装于用户终端,用于获取浏览器基于第一秘钥对网站访问请求进行加密后得到的第一密文内容;第一秘钥为浏览器和安全套接层代理装置在安全套接层握手过程中确定的秘钥;基于第一秘钥对第一密文内容进行解密以得到第一明文内容;基于第二秘钥对第一明文内容进行加密以得到第二密文内容;第二秘钥为安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥;将第二密文内容发送至服务器以便服务器返回网站访问请求的响应结果;向预先部署在用户终端外部的安全网关传递审计相关信息以便安全网关对明文内容进行审计。本申请有效减轻安全网关的性能压力。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种网站访问监管方法、安全套接层代理装置、终端及系统。
背景技术
目前,为了对https网站(https,即Hyper Text Transfer Protocol overSecureSocket Layer,超文本传输安全协议)进行审计和管控,现有主流的方案是将安全网关串接入客户网络,然后在安全网关上根据https网站的管控审计策略对相应的https网站进行代理,这个过程具体涉及了安全套接层中间人技术(安全套接层,即SSL,SecureSockets Layer)。然而,安全套接层中间人技术对安全网关的性能要求是极高的,导致安全网关的性能压力过大。
发明内容
有鉴于此,本发明的目的在于提供一种网站访问监管方法、安全套接层代理装置、终端及系统,能够有效减轻安全网关的性能压力。其具体方案如下:
第一方面,本申请公开了一种安全套接层代理装置,所述安全套接层代理装置安装于用户终端,包括:
第一接收模块,用于获取所述用户终端上的浏览器基于第一秘钥对网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手过程中确定的秘钥;
第一解密模块,用于基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;
第一加密模块,用于基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥;
第一传送模块,用于将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;
第二传送模块,用于向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计。
可选的,所述安全套接层代理装置,还包括:
代理控制模块,用于获取所述安全网关发送的预设网站列表,判断所述第一明文内容对应的网站是否位于所述预设网站列表中,如果是则允许启动所述第二传送模块的工作流程,如果否则禁止启动所述第二传送模块的工作流程。
可选的,所述第二传送模块,包括:
明文内容传送单元,用于向所述安全网关传递所述第一明文内容作为审计相关信息,以便所述安全网关对所述第一明文内容进行审计。
可选的,所述第二传送模块,包括:
秘钥传送单元,用于向所述安全网关传递所述第二秘钥作为审计相关信息,以便所述安全网关基于所述第二秘钥对所述第二密文内容进行解密,并对解密后得到的明文内容进行审计。
可选的,所述安全套接层代理装置,还包括:
第二接收模块,用于获取所述服务器基于所述第二秘钥对所述响应结果进行加密后得到的第三密文内容;
第二解密模块,用于基于所述第二秘钥对所述第三密文内容进行解密以得到第三明文内容;
第二加密模块,用于基于所述第一秘钥对所述第三明文内容进行加密以得到第四密文内容,并将所述第四密文内容发送至所述浏览器,以便所述浏览器基于所述第一秘钥对所述第四密文内容进行解密以得到明文形式的所述响应结果。
第二方面,本申请公开了一种用户终端,包括前述的安全套接层代理装置和浏览器。
第三方面,本申请公开了一种网站访问监管系统,包括前述的安全套接层代理装置、浏览器、服务器和安全网关,其中,所述安全套接层代理装置和所述浏览器位于同一用户终端,并且,所述安全网关部署于所述用户终端的外部。
可选的,所述安全网关的部署方式包括串接部署方式或旁路部署方式。
第四方面,本申请公开了一种网站访问监管方法,应用于安装有安全套接层代理装置的用户终端,包括:
通过本地的浏览器获取网站访问请求;
获取所述浏览器基于第一秘钥对所述网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手过程中确定的秘钥;
通过安全套接层代理装置基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;
通过安全套接层代理装置基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥;
通过安全套接层代理装置将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;
通过安全套接层代理装置向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计。
第五方面,本申请公开了一种用户终端,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的网站访问监管方法。
本申请中,安全套接层代理装置安装于用户终端包括:第一接收模块,用于获取所述用户终端上的浏览器基于第一秘钥对网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手过程中确定的秘钥;第一解密模块,用于基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;第一加密模块,用于基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥。第一传送模块,用于将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;第二传送模块,用于向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计。可见,本申请将安全套接层代理功能从安全网关转移出来,下沉到用户终端上,如此一来,许多加解密过程都改为由用户终端来完成,由此极大地减少了安全网关所需完成的任务量,从而能够有效减轻安全网关的性能压力,降低对安全网关的性能要求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种安全套接层代理装置结构示意图;
图2为本申请公开的一种具体的安全套接层代理装置结构示意图;
图3为安全网关配置界面示意图;
图4为访问请求重定向界面示意图;
图5为本申请公开的一种串接部署示意图;
图6为本申请公开的一种旁路部署示意图;
图7为访问被拒绝提示界面示意图;
图8为本申请公开的一种网站访问监管系统结构示意图;
图9为本申请公开的一种网站访问监管方法流程图;
图10为本申请公开的一种用户终端结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,为了对https网站进行审计和管控,现有主流的方案是将安全网关串接入客户网络,然后在安全网关上根据https网站的管控审计策略对相应的https网站进行代理,这个过程具体涉及了安全套接层中间人技术。然而,安全套接层中间人技术对安全网关的性能要求是极高的,导致安全网关的性能压力过大。为此,本申请提供了一种网站访问监管方案,能够有效减轻安全网关的性能压力,降低对安全网关的性能要求。
参见图1所示,本申请实施例公开了一种SSL代理装置,即安全套接层代理装置,所述安全套接层代理装置安装于用户终端,包括:
第一接收模块11,用于获取所述用户终端上的浏览器基于第一秘钥对网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手(即SSL握手)过程中确定的秘钥;
第一解密模块12,用于基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;
第一加密模块13,用于基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥。
第一传送模块14,用于将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;
第二传送模块15,用于向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计。
进一步的,参见图2所示,所述安全套接层代理装置,还可以具体包括:
第二接收模块16,用于获取所述服务器基于所述第二秘钥对所述响应结果进行加密后得到的第三密文内容;
第二解密模块17,用于基于所述第二秘钥对所述第三密文内容进行解密以得到第三明文内容;
第二加密模块18,用于基于所述第一秘钥对所述第三明文内容进行加密以得到第四密文内容,并将所述第四密文内容发送至所述浏览器,以便所述浏览器基于所述第一秘钥对所述第四密文内容进行解密以得到明文形式的所述响应结果。
需要指出的是,本实施例中的安全套接层代理装置具体可以是一个能够在各种操作系统下进行安装的应用程序,该应用程序实现对客户端https访问的代理,即本实施例中安全套接层代理装置可以充当客户端安全套接层会话发起方和需要访问服务器的安全套接层中间人。以浏览器访问服务器为例,经过安全套接层代理装置代理之后流程具体为:浏览器访问服务器的会话被安全套接层代理装置代理,并使得浏览器实际先和安全套接层代理装置完成TCP(即Transmission Control Protocol,传输控制协议)握手和安全套接层握手,在安全套接层握手后安全套接层代理装置便拥有浏览器和安全套接层代理装置之间的秘钥A。浏览器发送经过秘钥A加密的对服务器的页面请求。安全套接层代理装置收到浏览器发送对服务器的页面请求后使用秘钥A对该页面请求进行解密得到相应的明文内容,并开始和服务器进行TCP握手和安全套接层握手,这样安全套接层代理装置拥有它自身和服务器之间的秘钥B。安全套接层代理装置使用秘钥B对之前得到的浏览器明文形式的访问请求进行加密后发送给服务器。服务器使用秘钥B将回复内容加密发送给安全套接层代理装置。安全套接层代理装置使用秘钥B对服务器的回复内容进行解密,然后使用秘钥A进行加密并发送给浏览器。浏览器收到安全套接层代理装置的回复后使用秘钥A对内容进行解密并显示解密后得到的页面内容。
进一步的,参见图2所示,所述安全套接层代理装置还可以包括:
代理控制模块19,用于获取所述安全网关发送的预设网站列表,判断所述第一明文内容对应的网站是否位于所述预设网站列表中,如果是则允许启动所述第二传送模块15的工作流程,如果否则禁止启动所述第二传送模块15的工作流程。
具体的,本实施例中,针对安全网关的配置项中包括如图3所示的上网权限策略安全套接层内容识别选项。在该选项中,管理员可以选择解密方式为客户端代理解密,并且可以在接下来的解密内容选择项中选择对全部加密网站解密;或者,选择自定义某个URL(即uniform resource locator,统一资源定位系统)类别进行解密;其中,上述URL类别中具体可以包含某种同类型网站,比如对于搜索引擎分类则可以包含A公司推出的搜索引擎、B公司推出的搜索引擎等同类型网站;当然,本实施例也可以选择直接在后面的解密域名列表中填入期望要解密的网站域名。当选择解密方式为客户端代理解密,并且选择了需要解密的网站域名之后,当用户访问网站时,如果该用户没有安装客户端的安全套接层代理装置,则会通过推送信息提醒用户安装客户端上的安全套接层代理装置,推送工作直到客户端安装安全套接层代理装置为止,并且推送过程会根据客户端的操作系统类型进行安全套接层代理装置的类型选择,比如对于windows客户端则推送适用于windows的安全套接层代理装置,对于linux客户端则推送适用于linux的安全套接层代理装置,依次类推。
本实施例中,在管理员开启客户端代理解密的前提下,当用户访问网络时,如果该访问是普通的http访问,那么用户的访问请求将被重定向至安全套接层代理装置的安装界面,如图4所示,其中采用的重定向方案可以是通用的http 302重定向方案。
当客户端安装安全套接层代理装置之后,安全套接层代理装置会从安全网关拉取需要解密的网站列表,这样,对于客户端新建的安全套接层会话,安全套接层代理装置会检查其是否在需要解密的网站列表之内,如果该安全套接层会话不在需要解密的网站列表内,则安全套接层代理装置对该安全套接层会话直接放行,不做代理。否则,安全套接层代理装置将对该安全套接层会话进行代理。
本实施例中,安全套接层代理装置中的第二传送模块15是用于向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计。
在一种具体实施方式中,所述第二传送模块,具体包括:
明文内容传送单元,用于向所述安全网关传递所述第一明文内容作为审计相关信息,以便所述安全网关对所述第一明文内容进行审计。
也即,本实施例可以选择直接向安全网关发送第一明文内容的方式使得安全网关可以获取到与网站访问请求对应的明文内容,以便展开对其的审计操作。但是,这种直接传递明文内容的方式增加了用户终端和安全网关之间的通信带宽,为了减少该通信带宽,本实施例可以采用以下实施方式来使得安全网关可以获取到与网站访问请求对应的明文内容:
在另一种具体实施方式中,所述第二传送模块,具体包括:
秘钥传送单元,用于向所述安全网关传递所述第二秘钥作为审计相关信息,以便所述安全网关基于所述第二秘钥对所述第二密文内容进行解密,并对解密后得到的明文内容进行审计。
需要进一步指出的是,本实施例中所述安全网关的部署方式具体可以包括串接部署方式或旁路部署方式。
参见图5所示,在串接部署方式中,安全套接层代理装置可以将解密后的明文内容发送给安全网关,由安全网关根据管理员配置的权限策略对明文内容进行策略判断以确定该内容是否允许,如果不允许则拒绝,如果允许则按照管理员配置的审计策略判断是否需要对该访问进行审计,如果无需审计则放行,如果需要开启审计则可以将该访问记录记录到安全网关的日志中心并展开相应的审计操作。上述方案是通过安全套接层代理装置将明文内容直接发送给安全网关,增加了用户终端和安全网关之间通信的带宽。可选的,作为一种用于减少通信带宽的优化手段,安全套接层代理装置可以把它和服务器之间协商的秘钥B发送给安全网关,安全网关收到秘钥B后,直接对安全套接层代理装置和服务器之间的安全套接层会话进行解密,并对解密后的明文进行权限策略和审计策略的匹配,并执行相应动作。
参见图6所示,在旁路部署方式中,安全网关通过交换机的镜像口镜像整个交换机的流量到安全网关,交由安全网关进行策略检查。和串接部署方式一致,安全套接层代理装置可以将明文内容发送给安全网关,或者将其秘钥B发送给安全网关,然后由安全网关对明文内容或者对使用秘钥B进行解密后得到的明文内容进行策略判断并执行相应动作。
需要指出的是,在串接部署方式或旁路部署方式中,当安全网关利用权限策略对明文内容进行策略判断后发现该内容不被允许的时候,可以直接触发RST(即Reset,复位)。另外,安全网关可以向安全套接层代理装置发送明确的拒绝信息,以便安全套接层代理装置在合适的时机向浏览器传递如图7所示的用于提示访问被拒绝的提示信息,如此一来,浏览器用户便可以知晓访问被拒绝的明确原因。
本实施例中,安全套接层代理装置要做安全套接层会话代理,必须具有根证书,在实际使用场景中,该根证书可能为自签名证书,也可能是合法购买的根证书。如果根证书是自签名证书,在用户终端不导入该根证书的场景下,用户通过浏览器访问服务器会导致浏览器告警,忽略告警可以继续访问。但是对于启用了HSTS(即HTTPStrict TransportSecurity,HTTP严格传输安全协议)的网站,则会导致无法访问该网站。在导入该自签名根证书之后,用户通过浏览器访问服务器浏览器将不再告警,并且访问HSTS网站也恢复正常。如果该根证书是合法购买的根证书,则用户终端的安全套接层访问会话不会有任何体验上的差异。
本申请实施例中,通过在基于windows、mac、linux操作系统的用户终端,或ios、Android等移动终端上安装上述安全套接层代理装置作为https代理客户端,该https代理客户端从安全网关接收https代理策略,决定需要对哪些域名做https代理,对于满足代理策略的https会话,https代理客户端将https代理后的明文数据传输给安全网关,由安全网关对此明文数据进行审计和管控。不同于传统在安全网关上做https代理的方法,本申请实施例通过在用户终端上安装https代理客户端,将https解密的过程下沉到用户终端,从而降低了https代理对安全网关的性能要求。而如果像现有技术那样在安全网关上做https代理,则会由于安全网关需要同时跟用户终端、真实服务器建立两个https会话,对安全网关有极高的性能要求。
此外,本实施例中,https代理客户端下沉到用户终端之后,其自身作为安全套接层中间人可以拥有代理双方的秘钥,从而可以通过将其代理后的上述第二秘钥传输给安全网关,安全网关获取到上述第二秘钥之后可以基于此计算出https会话最终的主秘钥,根据该主秘钥从而最终可以得到该https会话的对称秘钥,进而使用该对称秘钥对https会话解密,其中对称解密的性能消耗相对很低,上述方案解决了安全网关的部署问题,即安全网关除了可以串接在网络当中,也可以以旁路的方式进行部署,提升了部署方式的灵活性,解决了现有技术中在对https会话审计、管控时安全网关必须串接在客户网络的问题。
进一步的,本申请实施例还公开了一种用户终端,包括前述实施例公开的安全套接层代理装置和浏览器。其中,关于上述安全套接层代理装置的具体构造和功能可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,参见图8所示,本申请实施例还公开了一种网站访问监管系统,包括安全套接层代理装置01、浏览器02、服务器03和安全网关04,其中,所述安全套接层代理装置01和所述浏览器02位于同一用户终端,并且,所述安全网关04部署于所述用户终端的外部。其中,关于上述安全套接层代理装置01的具体构造和功能可以参考前述实施例中公开的相应内容,在此不再进行赘述。并且,本实施例中,所述安全网关04的部署方式包括串接部署方式或旁路部署方式。
进一步的,参见图9所示,本申请实施例还公开了一种网站访问监管方法,应用于安装有安全套接层代理装置的用户终端,包括:
步骤S11:通过本地的浏览器获取网站访问请求;
步骤S12:获取所述浏览器基于第一秘钥对所述网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手过程中确定的秘钥;
步骤S13:通过安全套接层代理装置基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;
步骤S14:通过安全套接层代理装置基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥。
步骤S15:通过安全套接层代理装置将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;
步骤S16:通过安全套接层代理装置向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计。
在一种具体实施例中,所述方法还包括:获取所述安全网关发送的预设网站列表,判断所述第一明文内容对应的网站是否位于所述预设网站列表中,如果是则允许启动所述第二传送模块的工作流程,如果否则禁止启动所述第二传送模块的工作流程。
在一种具体实施例中,所述向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计,包括:向所述安全网关传递所述第一明文内容作为审计相关信息,以便所述安全网关对所述第一明文内容进行审计。
在一种具体实施例中,所述向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计,包括:向所述安全网关传递所述第二秘钥作为审计相关信息,以便所述安全网关基于所述第二秘钥对所述第二密文内容进行解密,并对解密后得到的明文内容进行审计。
在一种具体实施例中,所述方法还包括:通过安全套接层代理装置获取所述服务器基于所述第二秘钥对所述响应结果进行加密后得到的第三密文内容;通过所述安全套接层代理装置基于所述第二秘钥对所述第三密文内容进行解密以得到第三明文内容;基于所述第一秘钥对所述第三明文内容进行加密以得到第四密文内容,并将所述第四密文内容发送至所述浏览器,以便所述浏览器基于所述第一秘钥对所述第四密文内容进行解密以得到明文形式的所述响应结果。
可见,本申请将安全套接层代理功能从安全网关转移出来,下沉到用户终端上,如此一来,许多加解密过程都改为由用户终端来完成,由此极大地减少了安全网关所需完成的任务量,从而能够有效减轻安全网关的性能压力,降低对安全网关的性能要求。此外,本实施例中,安全套接层代理装置下沉到用户终端之后,其自身作为安全套接层中间人可以拥有代理双方的秘钥,从而可以通过将其代理后的上述第二秘钥传输给安全网关,由安全网关对安全套接层数据进行解密和策略判断,使得旁路部署方式可以得以实施,从而解决解决了现有技术中在对https会话审计、管控时安全网关必须串接在客户网络的问题。
图10是根据一示例性实施例示出的一种用户终端20的框图。如图10所示,该用户终端20可以包括:处理器21,存储器22。该用户终端20还可以包括多媒体组件23,输入/输出(I/O)接口24,以及通信组件25中的一者或多者。
其中,处理器21用于控制存储器22中的计算机程序,以完成上述的网站访问监管方法中的全部或部分步骤。存储器22用于存储各种类型的数据以支持在该用户终端20的操作,这些数据例如可以包括用于在该用户终端20上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器22可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件23可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器22或通过通信组件25发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口为处理器21和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件25用于该用户终端20与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件25可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,用户终端20可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的网站访问监管方法。
在另一示例性实施例中,还提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现上述的网站访问监管方法的步骤。例如,该计算机可读存储介质可以为上述包括程序的存储器22,上述程序可由用户终端20的处理器21执行以完成上述的网站访问监管方法。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种网站访问监管方法、安全套接层代理装置、终端及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种网站访问监管系统,其特征在于,包括安全套接层代理装置和安全网关;
所述安全套接层代理装置安装于用户终端,包括:
第一接收模块,用于获取所述用户终端上的浏览器基于第一秘钥对网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手过程中确定的秘钥;
第一解密模块,用于基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;
第一加密模块,用于基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥;
第一传送模块,用于将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;
第二传送模块,用于向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计;
所述安全网关为旁路部署模式,无实时的流量管控能力,所执行的操作包括:审计。
2.根据权利要求1所述的网站访问监管系统,其特征在于,所述安全套接层代理装置还包括:
代理控制模块,用于获取所述安全网关发送的预设网站列表,判断所述第一明文内容对应的网站是否位于所述预设网站列表中,如果是则允许启动所述第二传送模块的工作流程,如果否则禁止启动所述第二传送模块的工作流程。
3.根据权利要求1所述的网站访问监管系统,其特征在于,所述第二传送模块,包括:
明文内容传送单元,用于向所述安全网关传递所述第一明文内容作为审计相关信息,以便所述安全网关对所述第一明文内容进行审计。
4.根据权利要求1所述的网站访问监管系统,其特征在于,所述第二传送模块,包括:
秘钥传送单元,用于向所述安全网关传递所述第二秘钥作为审计相关信息,以便所述安全网关基于所述第二秘钥对所述第二密文内容进行解密,并对解密后得到的明文内容进行审计。
5.根据权利要求1所述的网站访问监管系统,其特征在于,所述安全套接层代理装置还包括:
第二接收模块,用于获取所述服务器基于所述第二秘钥对所述响应结果进行加密后得到的第三密文内容;
第二解密模块,用于基于所述第二秘钥对所述第三密文内容进行解密以得到第三明文内容;
第二加密模块,用于基于所述第一秘钥对所述第三明文内容进行加密以得到第四密文内容,并将所述第四密文内容发送至所述浏览器,以便所述浏览器基于所述第一秘钥对所述第四密文内容进行解密以得到明文形式的所述响应结果。
6.根据权利要求1至5任一项所述的网站访问监管系统,其特征在于,还包括浏览器,其中,所述安全套接层代理装置和所述浏览器位于同一用户终端。
7.根据权利要求6所述的网站访问监管系统,其特征在于,还包括服务器。
8.一种网站访问监管方法,其特征在于,应用于如权利要求1至7任一项所述的网站访问监管系统,包括:
通过本地的浏览器获取网站访问请求;
获取所述浏览器基于第一秘钥对所述网站访问请求进行加密后得到的第一密文内容;所述第一秘钥为所述浏览器和所述安全套接层代理装置在安全套接层握手过程中确定的秘钥;
通过安全套接层代理装置基于所述第一秘钥对所述第一密文内容进行解密以得到第一明文内容;
通过安全套接层代理装置基于第二秘钥对所述第一明文内容进行加密以得到第二密文内容;所述第二秘钥为所述安全套接层代理装置和服务器在安全套接层握手过程中确定的秘钥;
通过安全套接层代理装置将所述第二密文内容发送至所述服务器,以便所述服务器基于所述第二秘钥对所述第二密文内容进行解密以得到第二明文内容,并返回与所述第二明文内容中的所述网站访问请求对应的响应结果;
通过安全套接层代理装置向预先部署在所述用户终端外部的安全网关传递审计相关信息,以便所述安全网关基于所述审计相关信息对与所述网站访问请求对应的明文内容进行审计;
所述安全网关为旁路部署模式,无实时的流量管控能力,所执行的操作包括:审计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010159558.XA CN111327634B (zh) | 2020-03-09 | 2020-03-09 | 网站访问监管方法、安全套接层代理装置、终端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010159558.XA CN111327634B (zh) | 2020-03-09 | 2020-03-09 | 网站访问监管方法、安全套接层代理装置、终端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327634A CN111327634A (zh) | 2020-06-23 |
| CN111327634B true CN111327634B (zh) | 2023-02-03 |
Family
ID=71169343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010159558.XA Active CN111327634B (zh) | 2020-03-09 | 2020-03-09 | 网站访问监管方法、安全套接层代理装置、终端及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327634B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953742B (zh) * | 2020-07-22 | 2023-09-05 | 深信服科技股份有限公司 | 一种页面重定向方法、终端设备、中间设备及服务器 |
| US11321472B1 (en) * | 2021-10-29 | 2022-05-03 | Cyberark Software Ltd. | Systems and methods for monitoring secure web sessions |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105339928A (zh) * | 2013-04-18 | 2016-02-17 | 微软技术许可有限责任公司 | 网站服务器请求重新路由 |
| CN206433002U (zh) * | 2017-01-19 | 2017-08-22 | 薛辉 | 视频安全监控设备和视频安全审计系统及其部署结构 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030037261A1 (en) * | 2001-03-26 | 2003-02-20 | Ilumin Corporation | Secured content delivery system and method |
| CN102004770A (zh) * | 2010-11-16 | 2011-04-06 | 杭州迪普科技有限公司 | 一种网页审计方法及装置 |
| CN103166977A (zh) * | 2013-04-16 | 2013-06-19 | 福建伊时代信息科技股份有限公司 | 一种网站访问的方法、终端、服务器和系统 |
| CN103763356B (zh) * | 2014-01-08 | 2017-05-31 | 深圳大学 | 一种安全套接层连接的建立方法、装置及系统 |
| CN104618108B (zh) * | 2014-12-30 | 2018-07-27 | 北京奇虎科技有限公司 | 安全通信系统 |
| US10050934B2 (en) * | 2015-07-31 | 2018-08-14 | Citrix Systems, Inc. | Redirector for secure web browsing |
| CN105306454A (zh) * | 2015-09-30 | 2016-02-03 | 北京奇虎科技有限公司 | 一种传输数据的方法及终端设备 |
| CN106453610B (zh) * | 2016-11-09 | 2019-08-09 | 深圳市任子行科技开发有限公司 | 面向运营商骨干网的https数据流审计方法和系统 |
| CN109067803A (zh) * | 2018-10-10 | 2018-12-21 | 深信服科技股份有限公司 | 一种ssl/tls加解密通信方法、装置及设备 |
| CN109787988B (zh) * | 2019-01-30 | 2020-01-07 | 杭州恩牛网络技术有限公司 | 一种身份加强认证和鉴权方法及装置 |
-
2020
- 2020-03-09 CN CN202010159558.XA patent/CN111327634B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105339928A (zh) * | 2013-04-18 | 2016-02-17 | 微软技术许可有限责任公司 | 网站服务器请求重新路由 |
| CN206433002U (zh) * | 2017-01-19 | 2017-08-22 | 薛辉 | 视频安全监控设备和视频安全审计系统及其部署结构 |
| CN109672651A (zh) * | 2017-10-17 | 2019-04-23 | 阿里巴巴集团控股有限公司 | 网站访问的拦截处理方法、系统和数据处理方法 |
Non-Patent Citations (2)
| Title |
|---|
| D.V. Bhatt ; S. Schulze ; G.P. Hancke.Secure Internet access to gateway using secure socket layer.《IEEE Transactions on Instrumentation and Measurement ( Volume: 55, Issue: 3, June 2006)》.2006, * |
| 试析网络安全通讯与标准SSL协议;徐晓军;《电子技术与软件工程》;20150803;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327634A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7175550B2 (ja) | 鍵を有するリソースロケーター | |
| US10554402B2 (en) | System for retrieval of email certificates from remote certificate repository | |
| KR101289530B1 (ko) | 스마트폰의 관리하에서 스마트폰의 베어러 및 서버 독립 부모 제어를 위한 방법 및 장치 | |
| EP2820792B1 (en) | Method of operating a computing device, computing device and computer program | |
| US9356994B2 (en) | Method of operating a computing device, computing device and computer program | |
| US11196561B2 (en) | Authorized data sharing using smart contracts | |
| US11829502B2 (en) | Data sharing via distributed ledgers | |
| TWI608361B (zh) | 電子裝置、伺服器、通訊系統及通訊方法 | |
| US20110264913A1 (en) | Method and apparatus for interworking with single sign-on authentication architecture | |
| EP2820585B1 (en) | Method of operating a computing device, computing device and computer program | |
| US10050944B2 (en) | Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS) | |
| US9954825B2 (en) | Secure virtual machine | |
| CN111327634B (zh) | 网站访问监管方法、安全套接层代理装置、终端及系统 | |
| KR101839048B1 (ko) | 사물 인터넷 환경의 종단간 보안 플랫폼 | |
| CN115801252B (zh) | 一种结合量子加密技术的安全云桌面系统 | |
| TWI795148B (zh) | 處理存取控制的裝置、方法及系統 | |
| WO2017024588A1 (zh) | 业务处理方法及装置 | |
| WO2016141513A1 (zh) | 业务处理方法及装置 | |
| GB2590520A (en) | Data sharing via distributed ledgers | |
| CN118057762A (zh) | 数据采集方法、装置、相关设备和程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |