CN111541682A - 一种数据安全检测方法、装置、存储介质和电子设备 - Google Patents
一种数据安全检测方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN111541682A CN111541682A CN202010309671.1A CN202010309671A CN111541682A CN 111541682 A CN111541682 A CN 111541682A CN 202010309671 A CN202010309671 A CN 202010309671A CN 111541682 A CN111541682 A CN 111541682A
- Authority
- CN
- China
- Prior art keywords
- data
- security
- ssl
- security gateway
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种数据安全检测方法、装置、存储介质和电子设备,该数据安全检测方法包括:安全网关接收第一端发送的第一安全套接层协议SSL数据;安全网关对第一SSL数据进行解密,获得明文数据;安全网关对明文数据进行安全检测,获得检测结果;安全网关对检测结果进行加密,获得第二SSL数据;安全网关向第二端发送第二SSL数据。借助于上述技术方案,本申请实施例通过在安全网关处对第一SSL数据进行安全检测,从而实现了对任意SSL数据的安全检测,进而解决了现有技术中存在着的安全隐患的问题。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种数据安全检测方法、装置、存储介质和电子设备。
背景技术
安全套接层协议(Secure Sockets Layer,SSL)加密技术是普遍应用在保护敏感数据安全方面的一种加密技术。目前,由于安全及隐私问题的凸显,SSL加密的使用日益递增。
但是,现有的安全设备无法直接对SSL加密数据做内容安全检测,从而使得SSL加密数据成为了安全防御的盲点。并且,这个缺陷也容易被人非法利用,从而对网络发起恶意攻击。
发明内容
本申请实施例的目的在于提供的一种数据安全检测方法、装置、存储介质和电子设备,以解决了现有技术中存在着的安全隐患的问题。
第一方面,本申请实施例提供了一种数据安全检测方法,该数据安全检测方法应用于数据安全检测系统中的安全网关,数据安全检测系统包括第一端、第二端和安全网关,数据安全检测方法包括:安全网关接收第一端发送的第一安全套接层协议SSL数据;安全网关对第一SSL数据进行解密,获得明文数据;安全网关对明文数据进行安全检测,获得检测结果;安全网关对检测结果进行加密,获得第二SSL数据;安全网关向第二端发送第二SSL数据。
因此,本申请实施例通过在安全网关处对第一SSL数据进行安全检测,从而实现了对任意SSL数据的安全检测,进而解决了现有技术中存在着的安全隐患的问题。以及,本申请实施例中的安全检测是在安全网关处实现的,从而也能够实现透明代理。
在一个可能的实施例中,安全网关中存储有预设的根证书,在第一端或者第二端为客户端时,数据安全检测方法还包括:安全网关向客户端发送携带根证书的配置数据,以便于客户端根据配置数据,安装根证书。
因此,本申请实施例通过将安全网关中的根证书导入到客户端中,从而可动态地签发安全网关中的根证书。以及,本申请实施例中的安全网关也无需导入任何证书,从而解决了现有技术中存在着的必须导入服务器中的证书和私钥才能使用引起的局限性的问题。
在一个可能的实施例中,在安全网关接收第一端发送的第一SSL数据之前,数据安全检测方法还包括:安全网关和第一端进行交互,建立安全网关和第一端之间的SSL通道;以及,安全网关和第二端进行交互,建立安全网关和第二端之间的SSL通道。
因此,本申请实施例通过建立安全网关和第一端之间的SSL通道,从而能够使得第一端和安全网关通信时,无需再次建立SSL通道。
对应的,本申请实施例通过建立安全网关和第二端之间的SSL通道,从而能够使得第二端和安全网关通信时,无需再次建立SSL通道。
在一个可能的实施例中,第一端为客户端,第二端为服务器;或者,第一端为服务器,第二端为客户端。
因此,本申请实施例通过在安全网关上进行安全检测,从而能够对客户端和服务器形成双向保护。
第二方面,本申请实施例提供了一种数据安全检测方法,该数据安全检测方法应用于数据安全检测系统中的第一端,数据安全检测系统包括第一端、第二端和安全网关,数据安全检测方法包括:第一端生成第一安全套接层协议SSL数据;第一端向安全网关发送第一SSL数据,以便于安全网关对第一SSL数据进行解密,获得明文数据,以及还对明文数据进行安全检测,获得检测结果,以及还对检测结果进行加密,获得第二SSL数据,以及还向第二端发送第二SSL数据。
在一个可能的实施例中,安全网关中存储有预设的根证书,在第一端为客户端的情况下,数据安全检测方法还包括:第一端接收安全网关发送的携带有根证书的配置数据;第一端根据配置数据,安装根证书。
第三方面,本申请实施例提供了一种数据安全检测装置,该数据安全检测装置应用于数据安全检测系统中的安全网关,数据安全检测系统包括第一端、第二端和安全网关,数据安全检测装置包括:第一接收模块,用于接收第一端发送的第一安全套接层协议SSL数据;解密模块,用于对第一SSL数据进行解密,获得明文数据;安全检测模块,用于对明文数据进行安全检测,获得检测结果;加密模块,用于对检测结果进行加密,获得第二SSL数据;第一发送模块,用于向第二端发送第二SSL数据。
在一个可能的实施例中,安全网关中存储有预设的根证书,在第一端或者第二端为客户端时,第一发送模块,还用于安全网关向客户端发送携带根证书的配置数据,以便于客户端根据配置数据,安装根证书。
在一个可能的实施例中,在安全网关接收第一端发送的第一SSL数据之前,数据安全检测装置还包括:建立模块,用于和第一端进行交互,建立安全网关和第一端之间的SSL通道;以及,建立模块,还用于和第二端进行交互,建立安全网关和第二端之间的SSL通道。
在一个可能的实施例中,第一端为客户端,第二端为服务器;或者,第一端为服务器,第二端为客户端。
第四方面,本申请实施例提供了一种数据安全检测装置,数据安全检测装置应用于数据安全检测系统中的第一端,数据安全检测系统包括第一端、第二端和安全网关,数据安全检测装置包括:生成模块,用于生成第一安全套接层协议SSL数据;第二发送模块,用于向安全网关发送第一SSL数据,以便于安全网关对第一SSL数据进行解密,获得明文数据,以及还对明文数据进行安全检测,获得检测结果,以及还对检测结果进行加密,获得第二SSL数据,以及还向第二端发送第二SSL数据。
在一个可能的实施例中,安全网关中存储有预设的根证书,在第一端为客户端的情况下,数据安全检测装置还包括:第二接收模块,用于接收安全网关发送的携带有根证书的配置数据;安装模块,用于根据配置数据,安装根证书。
第五方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第六方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第二方面或第二方面的任一可选的实现方式所述的方法。
第七方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第八方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第二方面或第二方面的任一可选的实现方式所述的方法。
第九方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
第十方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第二方面或第二方面的任意可能的实现方式中的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种数据安全检测系统的示意图;
图2示出了本申请实施例提供的一种数据安全检测方法的流程图;
图3示出了本申请实施例提供的一种数据安全检测方法的具体流程图;
图4示出了本申请实施例提供的一种数据安全检测装置的结构框图;
图5示出了本申请实施例提供的另一种数据安全检测装置的结构框图;
图6是本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
目前,现有的数据安全检测方法是通过在服务器前端设置一个安全检测装置,且该安全检测装置中可导入有服务器端的根证书和私钥,从而该安全检测装置能够对SSL加密数据进行加解密,进而实现数据的安全检测。
但是,现有的安全检测装置必须要导入服务器端的根证书和私钥才能实现,从而现有的数据安全检测方法具有一定的局限性。
此外,在客户端和服务器出现异常(例如,中毒)的情况下,这时候的SSL加密数据也是存在安全隐患的,从而可能会引起安全问题。
基于此,本申请实施例巧妙地提出了一种数据安全检测方案,通过安全网关接收第一端发送的第一SSL数据,并由安全网关对第一SSL数据进行解密,获得明文数据,以及还由安全网关对明文数据进行安全检测,获得检测结果,以及还由安全网关对检测结果进行加密,获得第二SSL数据,最后由安全网关向第二端发送第二SSL数据。
从而,本申请实施例通过在安全网关处对第一SSL数据进行安全检测,从而实现了对任意SSL数据的安全检测,进而解决了现有技术中存在着的安全隐患的问题。以及,本申请实施例中的安全检测是在安全网关处实现的,从而也能够实现透明代理。
请参见图1,图1示出了本申请实施例提供的一种数据安全检测系统的示意图。如图1所示的数据安全检测系统包括第一端110、安全网关120和第二端130。
在一个可能的实施例中,在第一端110为客户端的情况下,第二端130为服务器。
应理解,客户端可以是移动终端,也可以是笔记本,也可以是台式机等。也就是说,客户端的具体装置可根据实际需求来进行设置,本申请实施例并不局限于此。
还应理解,服务器可以是单独的服务器,也可以是服务器集群等。也就是说,服务器的具体装置也可以根据实际需求来进行设置,本申请实施例并不局限于此。
在一个可能的实施例中,在第一端110为服务器的情况下,第二端130为客户端。
在一个可能的实施例中,安全网关120可以是防火墙,也可以是交换机等。也就是说,安全网关120的具体形式也可以根据实际需求来进行设置,本申请实施例并不局限于此。
具体地,第一端110可生成第一SSL数据,随后第一端110向安全网关120发送第一SSL数据。随后,安全网关120接收第一端110发送的第一SSL数据,以及安全网关120对第一SSL数据进行解密,获得明文数据。以及,安全网关120对明文数据进行安全检测,获得检测结果。以及,安全网关120还对检测结果进行加密,获得第二SSL数据。最后,安全网关120向第二端130发送第二SSL数据。
需要说明的是,本申请实施例提供的数据安全检测方案还可以进一步拓展到其他的场景中,而不限于图1所示的数据安全检测系统。虽然图1中示出了具体数量的第一端、安全网关和第二端,但本领域的技术人员应当理解,在实际应用的过程中,该数据安全检测系统可包括更多的第一端、安全网关和第二端,本申请实施例并不局限于此。
请参见图2,图2示出了本申请实施例提供的一种数据安全检测方法的流程图。如图2所述的数据安全检测方法包括:
步骤S211,安全网关和第一端进行交互,建立安全网关和第一端的SSL通道。
应理解,第一端可以是客户端,也可以是服务器。其中,在第一端是客户端的情况下,第二端是服务器;在第一端是服务器的情况下,第二端是客户端。
还应理解,由于安全网关中可存储有预设的第一根证书,从而,在步骤S211之前,在第一端或者第二端为客户端的情况下,安全网关可向客户端发送携带有第一根证书的配置数据。对应地,客户端接收安全网关发送的配置数据。以及,客户端根据配置数据,将第一根证书安装到客户端中,从而后续客户端可利用第一根证书来进行SSL数据相关的加解密。
还应理解,上述的第一根证书还可以称为第一证书授权中心(CertificateAuthority,CA)证书,本申请实施例并不局限于此。
对应地,下文中的第二根证书也可称为第二CA证书,本申请实施例并不局限于此。
还应理解,第一根证书是指预先存储到安全网关中的证书,且该第一根证书可以是用户定义的,且无需服务器导入的。
此外,需要说明的是,该安全网关中可存储有至少一个第一根证书,且至少一个第一根证书中每个第一根证书还具有一个对应的第一中间证书。其中,第一中间证书不仅能够保护第一根证书,还能够实现安全网关的校验。
为了便于理解本申请实施例,下面以第一端为客户端为例来进行描述。
具体地,客户端可向安全网关发送携带有服务器名称指示(Server NameIndication,SNI)的问候消息(或者说,Client Hello报文)。对应地,安全网关接收问候消息。
随后,安全网关提取问候消息中的SNI字段,并根据SNI字段签发与客户端中安装的第一根证书对应的第一中间证书。以及,安全网关向客户端发送该第一中间证书。对应地,客户端接收安全网关发送的第一中间证书,从而对安全网关进行校验。
最后,安全网关和客户端协商对称密钥,从而安全网关和客户端之间建立SSL通道。
此外,需要说明的是,虽然上文是以客户端为例来进行描述的,但本领域的技术人员应当理解,在第一端为服务器的情况下,可参见步骤S212中安全网关和服务器之间建立SSL通道的相关描述,在此不再详细描述。
另外,还需要说明的是,虽然步骤S211示出了安全网关和第一端之间的SSL通道的建立过程,但本领域的技术人员应当理解,在安全网关和第一端之间的SSL通道是预先建立好的情况下,则可省略步骤S211。
步骤S212,安全网关和第二端进行交互,建立安全网关和第二端之间的SSL通道。
为了便于理解本申请实施例,下面以第二端为服务器来进行描述。
具体地,安全网关向服务器发送问候消息。对应地,服务器接收安全网关发送的问候消息。
随后,服务器根据问候消息向安全网关发送第二中间证书,从而便于安全网关对服务器进行校验或者验证。
应理解,对于安全网关来说,服务器返回的中间证书仅是用于验证服务器的,其无需在安全网关中安装。所以,安全网关也没有导入服务器的第二中间证书。
最后,安全网关和服务器协商对称密钥,从而安全网关和服务器之间建立SSL通道。
此外,需要说明的是,虽然上文是以服务器为例来进行描述的,但本领域的技术人员应当理解,在第二端为客户端的情况下,可参见步骤S211中客户端和安全网关之间建立SSL通道的相关描述,在此不再详细描述。
另外,还需要说明的是,虽然步骤S212示出了安全网关和第二端之间的SSL通道的建立过程,但本领域的技术人员应当理解,在安全网关和第二端之间的SSL通道是预先建立好的情况下,则可省略步骤S212。
步骤S213,第一端生成第一SSL数据。
应理解,第一端生成第一SSL数据的具体过程可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,第一端可利用第一端和服务器之间已经协商好的对称密钥和第一根证书来生成第一SSL数据。
步骤S214,第一端通过第一端和安全网关之间的SSL通道向安全网关发送第一SSL数据。对应地,安全网关接收第一端发送的第一SSL数据。
应理解,第一端向安全网关发送第一SSL数据的过程可根据实际需求来进行设置,本申请实施例并不局限于此。
步骤S215,安全网关对第一SSL数据进行解密,获取明文数据。
具体地,由于安全网关和第一端之间已经协商好了对称密钥,从而安全网关可利用安全网关和第一端之间已经协商好的对称密钥对第一SSL数据进行解密,以获得明文数据。
步骤S216,安全网关对明文数据进行安全检测,获得检测结果。
应理解,安全检测所对应的具体检测方式可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,安全检测可包括内容检测,也可包括统一资源定位符(Uniform ResourceLocator,URL)过滤,也可包括入侵防御系统(Intrusion Prevention System,IPS)检测,也可包括文件过滤等。
应理解,安全网关对明文数据进行安全检测的过程也可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,在安全检测包括内容过滤的情况下,可对明文数据进行内容过滤,并将经内容过滤后的剩余明文数据作为检测结果。
再例如,在安全检测包括URL过滤的情况下,可对明文数据进行URL过滤,并将经URL过滤后的剩余明文数据作为检测结果。
再例如,在安全检测包括IPS检测的情况下,可对明文数据进行IPS检测,并将经IPS检测后的剩余明文数据作为检测结果。
再例如,在安全检测包括文件过滤的情况下,可对明文数据进行文件过滤,并将文件过滤后的剩余明文数据作为检测结果。
此外,需要说明的是,虽然上面是通过一种检测方式来得到检测结果的过程来进行描述的,但本领域的技术人员应当理解,检测结果还可以是通过至少两种检测方式获得的,本申请实施例并不局限于此。
步骤S217,安全网关对检测结果进行加密,获得第二SSL数据。
具体地,由于安全网关和第二端之间已经协商好了对称密钥,从而安全网关可利用安全网关和第二端之间已经协商好了的对称密钥来对检测结果进行加密,以获得第二SSL数据。
应理解,安全网关和第一端之间的对称密钥与安全网关和第二端之间的对称密钥可是不相同的。
此外,需要说明的是,安全网关中可预先设置有用于对与服务器交互的数据进行加解密的第二根证书,且第二根证书与第一根证书并非是同一证书。从而,安全网关可利用第二根证书和安全网关和第二端已经协商好的对称密钥来生成第二SSL数据。
应理解,第二根证书可以是用户自定义的,也可以是预先导入到安全网关中的,本申请实施例并不局限于此。
另外,还需要说明的是,在第一端是客户端的情况下,还可将之前握手时存储的SNI字段添加到第二根证书中,从而安全网关可当作客户端来与服务器进行通信。
步骤S218,安全网关向第二端发送第二SSL数据。对应地,第二端接收安全网关发送的第二SSL数据。
因此,本申请实施例通过在安全网关处对第一SSL数据进行安全检测,从而实现了对任意SSL数据的安全检测,进而解决了现有技术中存在着的安全隐患的问题。以及,本申请实施例中的安全检测是在安全网关处实现的,从而也能够实现透明代理。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
如图3所示,图3示出了本申请实施例提供的一种数据安全检测方法的具体流程图。如图3所示的数据安全检测方法包括:
步骤S311,导出安全网关中的第一根证书,并将第一根证书安装到客户端中,并指定第一根证书为受信任的根证书颁发机构颁发的证书。
步骤S312,客户端向安全网关发送携带有SNI字段的问候消息。对应地,安全网关接收客户端发送的问候消息。
步骤S313,安全网关处理根据问候消息,向客户端发送第一中间证书。
具体地,安全网关从问候消息中提取SNI字段,并根据SNI字段签发第一中间证书,以及将第一中间证书发送给客户端。
步骤S314,客户端和安全网关协商对称密钥。
步骤S315,安全网关向服务器发送问候消息(或者说,Client Hello报文)。
步骤S316,服务器返回第二中间证书。对应地,安全网关接收第二中间证书,以及利用第二中间证书对服务器进行校验。
步骤S317,安全网关和服务器协商对称密钥。
步骤S318,客户端向安全网关发送第一SSL数据。对应地,安全网关接收客户端发送的第一SSL数据。
步骤S319,安全网关使用其与客户端之间协商的对称密钥来解密第一SSL数据,获得明文数据,并对明文数据进行安全检测。在通过安全检测后,安全网关使用其与服务器之间协商的对称密钥来加密报文,获得第二SSL数据。
步骤S320,安全网关向服务器发送第二SSL数据。对应地,服务器获取第二SSL数据。
应理解,上述数据安全检测方法仅是示例性的,本领域技术人员根据上述的方法可以进行各种变形,变形之后的方案也处于本申请实施例的保护范围内。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
请参见图4,图4示出了本申请实施例提供的一种数据安全检测装置400的结构框图,应理解,该数据安全检测装置400与上述方法实施例中的安全网关对应,能够执行上述方法实施例中安全网关涉及的各个步骤,该数据安全检测装置400具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该数据安全检测装置400包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在数据安全检测装置400的操作系统(operating system,OS)中的软件功能模块。具体地,该数据安全检测装置400应用于数据安全检测系统中的安全网关,数据安全检测系统包括第一端、第二端和安全网关,该数据安全检测装置400包括:
第一接收模块410,用于接收第一端发送的第一安全套接层协议SSL数据;解密模块420,用于对第一SSL数据进行解密,获得明文数据;安全检测模块430,用于对明文数据进行安全检测,获得检测结果;加密模块440,用于对检测结果进行加密,获得第二SSL数据;第一发送模块450,用于安全网关向第二端发送第二SSL数据。
在一个可能的实施例中,安全网关中存储有预设的根证书,在第一端或者第二端为客户端时,第一发送模块450,还用于向客户端发送携带根证书的配置数据,以便于客户端根据配置数据,安装根证书。
在一个可能的实施例中,该数据安全检测装置400还包括:建立模块(未示出),用于和第一端进行交互,建立安全网关和第一端之间的SSL通道;以及,建立模块,还用于和第二端进行交互,建立安全网关和第二端之间的SSL通道。
在一个可能的实施例中,第一端为客户端,第二端为服务器;或者,第一端为服务器,第二端为客户端。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图5,图5示出了本申请实施例提供的另一种数据安全检测装置500的结构框图,应理解,该数据安全检测装置500与上述方法实施例中的第一端对应,能够执行上述方法实施例涉及的各个步骤,该数据安全检测装置500具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该数据安全检测装置500包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在数据安全检测装置500的操作系统(operating system,OS)中的软件功能模块。具体地,该数据安全检测装置500数据安全检测系统中的第一端,数据安全检测系统包括第一端、第二端和安全网关,该数据安全检测装置500包括:
生成模块510,用于生成第一安全套接层协议SSL数据;第二发送模块520,用于向安全网关发送第一SSL数据,以便于安全网关对第一SSL数据进行解密,获得明文数据,以及还对明文数据进行安全检测,获得检测结果,以及还对检测结果进行加密,获得第二SSL数据,以及还向第二端发送第二SSL数据。
在一个可能的实施例中,安全网关中存储有预设的根证书,在第一端为客户端的情况下,该数据安全检测装置500包括:第二接收模块(未示出),用于接收安全网关发送的携带有根证书的配置数据;安装模块(未示出),用于根据配置数据,安装根证书。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请实施例还提供一种电子设备,请参见图6,图6是本申请实施例提供的一种电子设备600的结构框图。电子设备600可以包括处理器610、通信接口620、存储器630和至少一个通信总线640。其中,通信总线640用于实现这些组件直接的连接通信。其中,本申请实施例中的通信接口620用于与其他设备进行信令或数据的通信。处理器610可以是一种集成电路芯片,具有信号的处理能力。上述的处理器610可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器610也可以是任何常规的处理器等。
存储器630可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器630中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器610执行时,电子设备600可以执行上述图1至图3方法实施例中对应装置侧的各个步骤。例如,在电子设备600设置在安全网关中的情况下,存储器630中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器610执行时,电子设备600可以执行上述图1至图3的方法实施例中安全网关侧的各个步骤。
电子设备600还可以包括存储控制器、输入输出单元、音频单元、显示单元。
所述存储器630、存储控制器、处理器610、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线640实现电性连接。所述处理器610用于执行存储器630中存储的可执行模块,例如电子设备600包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
音频单元向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
可以理解,图6所示的结构仅为示意,所述电子设备600还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
本申请还提供一种可读存储介质,该可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行方法实施例所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种数据安全检测方法,其特征在于,所述数据安全检测方法应用于数据安全检测系统中的安全网关,所述数据安全检测系统包括第一端、第二端和所述安全网关,所述数据安全检测方法包括:
所述安全网关接收第一端发送的第一安全套接层协议SSL数据;
所述安全网关对所述第一SSL数据进行解密,获得明文数据;
所述安全网关对所述明文数据进行安全检测,获得检测结果;
所述安全网关对所述检测结果进行加密,获得第二SSL数据;
所述安全网关向所述第二端发送所述第二SSL数据。
2.根据权利要求1所述的数据安全检测方法,其特征在于,所述安全网关中存储有预设的根证书,在所述第一端或者第二端为客户端时,所述数据安全检测方法还包括:
所述安全网关向所述客户端发送携带所述根证书的配置数据,以便于所述客户端根据所述配置数据,安装所述根证书。
3.根据权利要求1所述的数据安全检测方法,其特征在于,在所述安全网关接收第一端发送的第一SSL数据之前,所述数据安全检测方法还包括:
所述安全网关和所述第一端进行交互,建立所述安全网关和所述第一端之间的SSL通道;以及,
所述安全网关和所述第二端进行交互,建立所述安全网关和所述第二端之间的SSL通道。
4.根据权利要求1至3任一项所述的数据安全检测方法,其特征在于,所述第一端为客户端,所述第二端为服务器;或者,
所述第一端为服务器,所述第二端为客户端。
5.一种数据安全检测方法,其特征在于,所述数据安全检测方法应用于数据安全检测系统中的第一端,所述数据安全检测系统包括所述第一端、第二端和安全网关,所述数据安全检测方法包括:
所述第一端生成第一安全套接层协议SSL数据;
所述第一端向所述安全网关发送所述第一SSL数据,以便于所述安全网关对所述第一SSL数据进行解密,获得明文数据,以及还对所述明文数据进行安全检测,获得检测结果,以及还对所述检测结果进行加密,获得第二SSL数据,以及还向所述第二端发送所述第二SSL数据。
6.根据权利要求5所述的数据安全检测方法,其特征在于,所述安全网关中存储有预设的根证书,在所述第一端为客户端的情况下,所述数据安全检测方法还包括:
所述第一端接收所述安全网关发送的携带有所述根证书的配置数据;
所述第一端根据所述配置数据,安装所述根证书。
7.一种数据安全检测装置,其特征在于,所述数据安全检测装置应用于数据安全检测系统中的安全网关,所述数据安全检测系统包括第一端、第二端和所述安全网关,所述数据安全检测装置包括:
第一接收模块,用于接收第一端发送的第一安全套接层协议SSL数据;
解密模块,用于对所述第一SSL数据进行解密,获得明文数据;
安全检测模块,用于对所述明文数据进行安全检测,获得检测结果;
加密模块,用于对所述检测结果进行加密,获得第二SSL数据;
第一发送模块,用于向所述第二端发送所述第二SSL数据。
8.根据权利要求7所述的数据安全检测装置,其特征在于,所述安全网关中存储有预设的根证书,在所述第一端或者第二端为客户端时,所述第一发送模块,还用于所述安全网关向所述客户端发送携带所述根证书的配置数据,以便于所述客户端根据所述配置数据,安装所述根证书。
9.根据权利要求7所述的数据安全检测装置,其特征在于,在所述安全网关接收第一端发送的第一SSL数据之前,所述数据安全检测装置还包括:
建立模块,用于和所述第一端进行交互,建立所述安全网关和所述第一端之间的SSL通道;以及,
所述建立模块,还用于和所述第二端进行交互,建立所述安全网关和所述第二端之间的SSL通道。
10.根据权利要求7至9任一项所述的数据安全检测装置,其特征在于,所述第一端为客户端,所述第二端为服务器;或者,
所述第一端为服务器,所述第二端为客户端。
11.一种数据安全检测装置,其特征在于,所述数据安全检测装置应用于数据安全检测系统中的第一端,所述数据安全检测系统包括所述第一端、第二端和安全网关,所述数据安全检测装置包括:
生成模块,用于生成第一安全套接层协议SSL数据;
第二发送模块,用于向所述安全网关发送所述第一SSL数据,以便于所述安全网关对所述第一SSL数据进行解密,获得明文数据,以及还对所述明文数据进行安全检测,获得检测结果,以及还对所述检测结果进行加密,获得第二SSL数据,以及还向所述第二端发送所述第二SSL数据。
12.根据权利要求11所述的数据安全检测装置,其特征在于,所述安全网关中存储有预设的根证书,在所述第一端为客户端的情况下,所述数据安全检测装置还包括:
第二接收模块,用于接收所述安全网关发送的携带有所述根证书的配置数据;
安装模块,用于根据所述配置数据,安装所述根证书。
13.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执如权利要求1-6任一项所述的数据安全检测方法。
14.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-6任一项所述的数据安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010309671.1A CN111541682B (zh) | 2020-04-17 | 2020-04-17 | 一种数据安全检测方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010309671.1A CN111541682B (zh) | 2020-04-17 | 2020-04-17 | 一种数据安全检测方法、装置、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111541682A true CN111541682A (zh) | 2020-08-14 |
| CN111541682B CN111541682B (zh) | 2022-08-12 |
Family
ID=71977035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010309671.1A Active CN111541682B (zh) | 2020-04-17 | 2020-04-17 | 一种数据安全检测方法、装置、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111541682B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113630417A (zh) * | 2021-08-12 | 2021-11-09 | 杭州安恒信息安全技术有限公司 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160173488A1 (en) * | 2014-12-16 | 2016-06-16 | Fortinet, Inc. | Management of certificate authority (ca) certificates |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
| CN109413060A (zh) * | 2018-10-19 | 2019-03-01 | 深信服科技股份有限公司 | 报文处理方法、装置、设备及存储介质 |
| CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN110730189A (zh) * | 2019-10-23 | 2020-01-24 | 深信服科技股份有限公司 | 一种通信认证方法、装置、设备及存储介质 |
| CN110768940A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 基于https协议密文数据管控方法、系统及相关装置 |
-
2020
- 2020-04-17 CN CN202010309671.1A patent/CN111541682B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160173488A1 (en) * | 2014-12-16 | 2016-06-16 | Fortinet, Inc. | Management of certificate authority (ca) certificates |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
| CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
| CN110768940A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 基于https协议密文数据管控方法、系统及相关装置 |
| CN109413060A (zh) * | 2018-10-19 | 2019-03-01 | 深信服科技股份有限公司 | 报文处理方法、装置、设备及存储介质 |
| CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN110730189A (zh) * | 2019-10-23 | 2020-01-24 | 深信服科技股份有限公司 | 一种通信认证方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113630417A (zh) * | 2021-08-12 | 2021-11-09 | 杭州安恒信息安全技术有限公司 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
| CN113630417B (zh) * | 2021-08-12 | 2023-09-26 | 杭州安恒信息安全技术有限公司 | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111541682B (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5981610B2 (ja) | 電子取引用のネットワーク認証方法 | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US10574686B2 (en) | Security verification by message interception and modification | |
| US9191394B2 (en) | Protecting user credentials from a computing device | |
| CN104519042B (zh) | 检测和防止加密连接上的中间人攻击 | |
| US8677466B1 (en) | Verification of digital certificates used for encrypted computer communications | |
| US10333903B1 (en) | Provisioning network keys to devices to allow them to provide their identity | |
| WO2018000886A1 (zh) | 应用程序通信处理系统、装置、方法及客户端、服务端 | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| US10970378B2 (en) | Secure generation and verification of machine-readable visual codes | |
| US10033703B1 (en) | Pluggable cipher suite negotiation | |
| TWI424726B (zh) | 消除中間人電腦駭客技術之方法及系統 | |
| WO2012158803A1 (en) | Trusted mobile device based security | |
| KR101537205B1 (ko) | 해쉬값을 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 | |
| CN114244522B (zh) | 信息保护方法、装置、电子设备及计算机可读存储介质 | |
| CN107733766B (zh) | 云平台专有网络间安全互联方法、装置、设备及存储介质 | |
| CN114363088B (zh) | 用于请求数据的方法和装置 | |
| WO2014090059A1 (en) | Method,client terminal device and system for verifying page information | |
| CN111541682B (zh) | 一种数据安全检测方法、装置、存储介质和电子设备 | |
| CN110830507B (zh) | 资源访问方法、装置、电子设备及系统 | |
| JP2008176429A (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法、機密情報漏洩防止プログラム | |
| KR20150133938A (ko) | 익명 아이디를 사용하는 원클릭 사용자 인증 방법 및 시스템 | |
| CN114117388A (zh) | 设备注册方法、设备注册装置、电子设备以及存储介质 | |
| CN106453291B (zh) | 一种电子签批用户管理方法及系统 | |
| KR101511451B1 (ko) | 키보드 입력 정보 암호화 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |