CN111464550B - 一种用于报文处理设备的https透明防护方法 - Google Patents

一种用于报文处理设备的https透明防护方法 Download PDF

Info

Publication number
CN111464550B
CN111464550B CN202010277991.3A CN202010277991A CN111464550B CN 111464550 B CN111464550 B CN 111464550B CN 202010277991 A CN202010277991 A CN 202010277991A CN 111464550 B CN111464550 B CN 111464550B
Authority
CN
China
Prior art keywords
message
https
information
layer
network interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010277991.3A
Other languages
English (en)
Other versions
CN111464550A (zh
Inventor
魏忠
陈春华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Yixun Information Technology Co ltd
Original Assignee
Nanjing Yixun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Yixun Information Technology Co ltd filed Critical Nanjing Yixun Information Technology Co ltd
Priority to CN202010277991.3A priority Critical patent/CN111464550B/zh
Publication of CN111464550A publication Critical patent/CN111464550A/zh
Application granted granted Critical
Publication of CN111464550B publication Critical patent/CN111464550B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种用于报文处理设备的HTTPS透明防护方法,先将需要处理的https流量与其他流量进行分离,然后将分离的https流量传送至二层报文重组引擎,并脱去二层信息加上本地设备的二层信息发送至本地虚拟网络接口;https处理引擎监听虚拟网络接口dev_w获取报文信息,建立https连接获取明文信息;防护引擎进行明文信息的检测和过滤;将报文信息绑定到本地虚拟网络接口dev_l,建立https连接过滤后的明文信息加密后进行传输,最后二层报文重组引擎监听虚拟网络接口dev_l获取传输的https流量,然后脱去本地设备的二层信息,加上原始报文二层信息将重组后的https流量发送至服务器。本发明利用能够满足不同网络环境下的用户,显著提高针对https网站攻击的防御能力。

Description

一种用于报文处理设备的HTTPS透明防护方法
技术领域
本发明属于网络安全技术,具体涉及一种用于报文处理设备的HTTPS透明防护方法。
背景技术
HTTP用于通讯协议,HTTP协议被用于WEB浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息。
HTTPS的大量使用需要在服务器上的证书以提供在浏览器和服务器之间的安全协商,以及建立用于随后的HTTP通讯的共享保密码,但是在报文处理的过程中,涉及到HTTPS流量以及其他流量,如果不加检测和过滤,报文处理的精确性和隐私性将会受到很大威胁。
现有的HTTPS防护方法,一般通过反向代理技术或则非二层透明的透明代理技术,对HTTPS流量进行解密和防护。但是此类HTTPS防御技术,对部署位置有比较高的要求,而且一般需要用户调整网络拓扑环境,不方便用户部署,而且存在绕过防护的风险。
发明内容
发明目的:本发明的目的在于解决现有技术中存在的不足,提供一种用于报文处理设备的HTTPS透明防护方法。
技术方案:本发明的一种用于报文处理设备的HTTPS透明防护方法,包括以下步骤:
步骤1:通过linux系统底层包捕获和过滤引擎,将需要处理的https流量与其他流量进行分离处理;
步骤2:将步骤1中分离后的https流量传送至二层报文重组引擎,脱去https流量中的二层信息并保存,然后加上本地设备的二层信息,一起发送至本地虚拟网络接口dev_w;
步骤3:https处理引擎通过监听虚拟网络接口dev_w,获取报文信息,然后根据提取的网站信息选择对应的证书,建立https连接,从而报文处理设备解密https流量,获取明文信息;其中,所述报文信息包括报文源ip、tcp的端口以及https的sni;
步骤4:将步骤3中获取的明文信息,通过防护引擎进行检测和过滤;
步骤5:通过步骤3中获取的报文源ip和源端口信息,绑定到本地虚拟网络接口dev_l,然后通过该本地虚拟网络接口dev_l建立https连接,以此将步骤4中过滤后的明文信息通过HTTPS标准加密方法加密后进行传输;
步骤6:二层报文重组引擎通过监听本地虚拟网络接口dev_l,获取步骤5中传输的https流量,然后脱去本地报文处理设备的二层信息,同时加上步骤2中保存的原始报文二层信息;最后将重组后的https流量发送至服务器。
进一步的,所述步骤1中链路底层包捕获和过滤方法包括:通过报文中的ip信息和tcp端口信息,报文进入linux系统内核前在网卡驱动层面进行过滤,对过滤后的https流量采用原始套接字的方式进行捕获,供二层报文重组引擎使用,其他流量直接采用linux的网桥进行转发处理,从而不影响其他流量业务的运行。
进一步的,所述步骤2中二层重组引擎将报文中的二层信息保存到报文处理设备的内存Hash链表结构体中,同时获取处理设备对应虚拟网络接口dev_w的二层信息,并将dev_w的二层信息拷贝到报文的二层信息位置,完成报文二层信息替换,最后将报文发送至本地虚拟网络接口dev_w;所述二层信息包括源目的mac信息和vlan信息。
进一步的,所述步骤3中https处理引擎通过监听虚拟网络接口dev_w,获取报文信息,生成网站信息,用户对网站信息和证书的对应关系进行预先配置,报文处理设备根据对应关系选择证书,建立https连接,从而采用HTTPS标准解密方法解密https流量,获取明文信息。
进一步的,所述步骤4中报文处理设备对报文的编码按照http规范进行格式化处理,并采用自研的攻击特征规则集对报文内容进行匹配检查,对于符合攻击特征的报文,按照用户设置的规则对攻击报文进行过滤。
进一步的,所述步骤6中二层重组引擎监听虚拟接口dev_l,获取dev_l发送的https报文,同时根据报文信息查询本地报文处理设备中的二层信息Hash链表结构体,并将从Hash链表中查询到的二层信息拷贝到报文的二层信息位置,完成发送报文二层信息的替换,最后将报文通过报文处理设备的真实网卡发送至服务器;所述二层信息包括源目的mac信息和vlan信息。
有益效果:本发明利用系统底层包捕获和过滤技术、二层报文重组技术和虚拟接口透明防护等技术,可以满足不同网络环境下的用户,在不改变网站网络拓扑的情况下,显著提高针对https网站攻击的防御能力。
附图说明
图1为本发明中报文处理设备处理引擎的模型图;
图2为本发明中经过报文处理设备后,用户侧和服务器侧报文信息对比图;
图3为本发明报文处理设备对https攻击防御结果图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
如图1所示,本实施例的一种用于报文处理设备的HTTPS透明防护方法,包括以下步骤:
步骤1:通过linux系统底层包捕获和过滤引擎,将需要处理的https流量与其他流量进行分离处理;
步骤2:将步骤1中分离的https流量,传送至二层报文重组引擎,脱去https流量中的二层信息并保存,然后加上本地设备的二层信息,一起发送至本地虚拟网络接口dev_w;
步骤3:https处理引擎通过监听虚拟网络接口dev_w,获取报文信息,然后根据提取的网站信息选择对应的证书,建立https连接,从而报文处理设备解密https流量,获取明文信息;其中,所述报文信息包括报文源ip、tcp的端口以及https的sni;
步骤4:将步骤3中获取的明文信息,通过防护引擎进行检测和过滤;
步骤5:通过步骤3中获取的报文源ip和源端口信息,绑定到本地虚拟网络接口dev_l,然后通过该本地虚拟网络接口dev_l建立https连接,以此将步骤4中过滤后的明文信息通过HTTPS标准加密方法加密后进行传输;
步骤6:二层报文重组引擎通过监听本地虚拟网络接口dev_l,获取步骤5中传输的https流量,然后脱去本地报文处理设备的二层信息,同时加上步骤2中保存的原始报文二层信息;最后将重组后的https流量发送至服务器。
实施例1:
如图2和图3所示,将本发明的用于报文处理设备的HTTPS透明防护方法应用具体实施例,本实施例在局域网中拦截多次攻击,显著提高针对https网站攻击的防御能力。

Claims (6)

1.一种用于报文处理设备的HTTPS透明防护方法,其特征在于:包括以下步骤:
步骤1:通过linux系统底层包捕获和过滤引擎,将需要处理的https流量与其他流量进行分离处理;
步骤2:将步骤1中分离后的https流量传送至二层报文重组引擎,脱去https流量中的二层信息并保存,然后加上本地设备的二层信息,一起发送至本地虚拟网络接口dev_w;
步骤3:https处理引擎通过监听虚拟网络接口dev_w,获取报文信息,然后根据提取的网站信息选择对应的证书,建立https连接,从而报文处理设备解密https流量,获取明文信息;其中,所述报文信息包括报文源ip、tcp的端口以及https的sni;
步骤4:将步骤3中获取的明文信息,通过防护引擎进行检测和过滤;
步骤5:通过步骤3中获取的报文源ip和源端口信息,绑定到本地虚拟网络接口dev_l,然后通过该本地虚拟网络接口dev_l建立https连接,以此将步骤4中过滤后的明文信息通过HTTPS标准加密方法加密后进行传输;
步骤6:二层报文重组引擎通过监听本地虚拟网络接口dev_l,获取步骤5中传输的https流量,然后脱去本地报文处理设备的二层信息,同时加上步骤2中保存的原始报文二层信息;最后将重组后的https流量发送至服务器。
2.根据权利要求1所述的用于报文处理设备的HTTPS透明防护方法,其特征在于:所述步骤1中链路底层包捕获和过滤方法包括:通过报文中的ip信息和tcp端口信息,报文进入linux系统内核前在网卡驱动层面进行过滤,对过滤后的https流量采用原始套接字的方式进行捕获,供二层报文重组引擎使用,其他流量直接采用linux的网桥进行转发处理,从而不影响其他流量业务的运行。
3.根据权利要求1所述的用于报文处理设备的HTTPS透明防护方法,其特征在于:所述步骤2中二层重组引擎将报文中的二层信息保存到报文处理设备的内存Hash链表结构体中,同时获取处理设备对应虚拟网络接口dev_w的二层信息,并将dev_w的二层信息拷贝到报文的二层信息位置,完成报文二层信息替换,最后将报文发送至本地虚拟网络接口dev_w;所述二层信息包括源目的mac信息和vlan信息。
4.根据权利要求1所述的用于报文处理设备的HTTPS透明防护方法,其特征在于:所述步骤3中https处理引擎通过监听虚拟网络接口dev_w,获取报文信息,生成网站信息,用户对网站信息和证书的对应关系进行预先配置,报文处理设备根据对应关系选择证书,建立https连接,从而采用HTTPS标准解密方法解密https流量,获取明文信息。
5.根据权利要求1所述的用于报文处理设备的HTTPS透明防护方法,其特征在于:所述步骤4中报文处理设备对报文的编码按照http规范进行格式化处理,并采用攻击特征规则集对报文内容进行匹配检查,对于符合攻击特征的报文,按照用户设置的规则对攻击报文进行过滤。
6.根据权利要求1所述的用于报文处理设备的HTTPS透明防护方法,其特征在于:所述步骤6中二层重组引擎监听虚拟接口dev_l,获取dev_l发送的https报文,同时根据报文信息查询本地报文处理设备中的二层信息Hash链表结构体,并将从Hash链表中查询到的二层信息拷贝到报文的二层信息位置,完成发送报文二层信息的替换,最后将报文通过报文处理设备的真实网卡发送至服务器;所述二层信息包括源目的mac信息和vlan信息。
CN202010277991.3A 2020-04-10 2020-04-10 一种用于报文处理设备的https透明防护方法 Active CN111464550B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010277991.3A CN111464550B (zh) 2020-04-10 2020-04-10 一种用于报文处理设备的https透明防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010277991.3A CN111464550B (zh) 2020-04-10 2020-04-10 一种用于报文处理设备的https透明防护方法

Publications (2)

Publication Number Publication Date
CN111464550A CN111464550A (zh) 2020-07-28
CN111464550B true CN111464550B (zh) 2021-12-28

Family

ID=71685248

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010277991.3A Active CN111464550B (zh) 2020-04-10 2020-04-10 一种用于报文处理设备的https透明防护方法

Country Status (1)

Country Link
CN (1) CN111464550B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111988328A (zh) * 2020-08-26 2020-11-24 中国电力科学研究院有限公司 一种新能源厂站发电单元采集终端数据安全保障方法及系统
CN114900350B (zh) * 2022-04-29 2024-02-20 北京元数智联技术有限公司 报文传输方法、装置、设备、存储介质及程序产品

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103346998A (zh) * 2013-05-18 2013-10-09 北京凯锐立德科技有限公司 一种基于文件破碎加密的文档安全保护方法
WO2016091098A1 (zh) * 2014-12-12 2016-06-16 中兴通讯股份有限公司 实现路由接口二层隔离和三层互通的方法及网络设备
CN109413060A (zh) * 2018-10-19 2019-03-01 深信服科技股份有限公司 报文处理方法、装置、设备及存储介质
CN109831448A (zh) * 2019-03-05 2019-05-31 南京理工大学 针对特定加密网页访问行为的检测方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1608123A1 (en) * 2004-06-15 2005-12-21 Axalto SA Method and device for communicating HTTP messages with portable devices
US8898263B2 (en) * 2011-05-24 2014-11-25 Autonomy Inc. Detecting change of settings stored on a remote server by making use of a network filter driver
US9954873B2 (en) * 2015-09-30 2018-04-24 The Mitre Corporation Mobile device-based intrusion prevention system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103346998A (zh) * 2013-05-18 2013-10-09 北京凯锐立德科技有限公司 一种基于文件破碎加密的文档安全保护方法
WO2016091098A1 (zh) * 2014-12-12 2016-06-16 中兴通讯股份有限公司 实现路由接口二层隔离和三层互通的方法及网络设备
CN109413060A (zh) * 2018-10-19 2019-03-01 深信服科技股份有限公司 报文处理方法、装置、设备及存储介质
CN109831448A (zh) * 2019-03-05 2019-05-31 南京理工大学 针对特定加密网页访问行为的检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《网络安全维护中应用加密机的相关技术研究》;周海波;《数字技术与应用》;20171015;正文180-182页 *

Also Published As

Publication number Publication date
CN111464550A (zh) 2020-07-28

Similar Documents

Publication Publication Date Title
CN106375493B (zh) 一种跨网络通信的方法以及代理服务器
US9749449B2 (en) TCP/IP-based communication system and associated methodology providing an enhanced transport layer protocol
US8266267B1 (en) Detection and prevention of encapsulated network attacks using an intermediate device
US7441262B2 (en) Integrated VPN/firewall system
KR100695827B1 (ko) 통합형 보안 장치 및 그 동작 방법
CN102347870B (zh) 一种流量安全检测方法、设备和系统
EP2213036B1 (en) System and method for providing secure network communications
WO2008039468A2 (en) Security encapsulation of ethernet frames
JPWO2017030186A1 (ja) セキュリティシステム、通信制御方法
WO2004023307A1 (en) Vpn and firewall integrated system
CN102882789A (zh) 一种数据报文处理方法、系统及设备
WO2018226154A1 (en) Secure and encrypted heartbeat protocol
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
Keromytis et al. Transparent Network Security Policy Enforcement.
CN105516062A (zh) 一种实现L2TP over IPsec接入的方法
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN105743868A (zh) 一种支持加密和非加密协议的数据采集系统与方法
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
JP2023531034A (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
CN114465744A (zh) 一种安全访问方法及网络防火墙系统
CN113746861A (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
CN113473470A (zh) 基于5g的充电桩组网通信系统及双向通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant