CN112165494A - 报文分析方法、装置、电子设备及存储介质 - Google Patents
报文分析方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112165494A CN112165494A CN202011069626.XA CN202011069626A CN112165494A CN 112165494 A CN112165494 A CN 112165494A CN 202011069626 A CN202011069626 A CN 202011069626A CN 112165494 A CN112165494 A CN 112165494A
- Authority
- CN
- China
- Prior art keywords
- encrypted
- tls
- message
- link information
- information log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文分析方法、装置、电子设备及存储介质,涉及数据传输技术领域。该方法可以应用于中间网络设备,该方法包括:获取加密的传输层安全协议TLS报文和加密的TLS报文对应的加密链路信息日志,加密链路信息日志包括加密的TLS报文的密钥信息;根据加密链路信息日志和加密的TLS报文,获取解密密钥;根据解密密钥,对加密的TLS报文进行解密,获取解密后的TLS报文,应用本申请实施例,由于可以通过中间网络设备对终端设备中加密的TLS报文进行分析,而无需通过终端设备实现,因此,可以保证终端设备的处理性能,且操作简单,可以有效提高报文分析效率。
Description
技术领域
本申请涉及数据传输技术领域,特别涉及一种报文分析方法、装置、电子设备及存储介质。
背景技术
基于IP的语音传输(Voice over Internet Protocol,VOIP)终端设备和服务器进行交互时,可以传输多种报文,比如,传输控制协议(Transmission Control Protocol,TCP)报文、用户数据报协议(User Datagram Protocol,UDP)报文、传输层安全性协议(Transport Layer Security,TLS)报文等,其中,对于TLS报文来说,是以加密的形式在网络中传输。
现有的,对传输过程中的TLS报文进行分析时,主要通过终端设备内部进行解密后,以日志形式输出。
因此,现有的分析方法,由于需要终端设备将解密后的TLS报文全部以日志形式输出,会影响终端设备的处理性能。
发明内容
本申请的目的在于,针对上述现有技术中的不足,提供一种报文分析方法、装置、电子设备及存储介质,可以保证终端设备的处理性能。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供了一种报文分析方法,应用于中间网络设备,所述方法包括:
获取加密的传输层安全协议TLS报文和所述加密的TLS报文对应的加密链路信息日志,所述加密链路信息日志包括所述加密的TLS报文的密钥信息;根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥;根据所述解密密钥,对所述加密的TLS报文进行解密,获取解密后的TLS报文。
可选地,所述根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥,包括:
对所述加密链路信息日志进行解密,获取解密后的链路信息日志;
根据所述解密后的链路信息日志和所述加密的TLS报文,获取解密密钥。
可选地,所述根据所述解密后的链路信息日志和所述加密的TLS报文,获取解密密钥,包括:
根据所述解密后的链路信息日志中的链路端口号和服务器IP地址,以及所述加密的TLS报文的五元组信息,获取所述解密密钥。
可选地,所述根据所述解密后的链路信息日志中的链路端口号和服务器IP地址,以及所述加密的TLS报文的五元组信息,获取所述解密密钥,包括:
根据所述加密的TLS报文的五元组信息,获取所述加密的TLS报文对应的链路端口号和服务器IP地址;
若所述解密后的链路信息日志中的链路端口号和服务器IP地址,分别与所述加密的TLS报文对应的链路端口号和服务器IP地址相匹配,则获取所述解密后的链路信息日志中的解密密钥。
可选地,所述获取加密的TLS报文,包括:
通过抓包功能抓取所述加密的TLS报文。
可选地,所述获取加密的TLS报文对应的加密链路信息日志,包括:
向终端设备发送链路信息日志的获取请求,所述获取请求用于指示请求获取所述加密的TLS报文对应的加密链路信息日志;
接收终端设备根据所述获取请求发送的加密链路信息日志。
可选地,所述方法还包括:
对所述解密后的TLS报文进行报文分析,获取并显示分析结果。
第二方面,本申请实施例提供了一种报文分析装置,应用于中间网络设备,所述装置包括:第一获取模块、第二获取模块以及解密模块;
所述第一获取模块,用于获取加密的传输层安全协议TLS报文和所述加密的TLS报文对应的加密链路信息日志,所述加密链路信息日志包括所述加密的TLS报文的密钥信息;
所述第二获取模块,用于根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥;
所述解密模块,用于根据所述解密密钥,对所述加密的TLS报文进行解密,获取解密后的TLS报文。
可选地,第二获取模块,具体用于对所述加密链路信息日志进行解密,获取解密后的链路信息日志;根据所述解密后的链路信息日志和所述加密的TLS报文,获取解密密钥。
可选地,第二获取模块,具体用于根据所述解密后的链路信息日志中的链路端口号和服务器IP地址,以及所述加密的TLS报文的五元组信息,获取所述解密密钥。
可选地,第二获取模块,具体用于根据所述加密的TLS报文的五元组信息,获取所述加密的TLS报文对应的链路端口号和服务器IP地址;若所述解密后的链路信息日志中的链路端口号和服务器IP地址,分别与所述加密的TLS报文对应的链路端口号和服务器IP地址相匹配,则获取所述解密后的链路信息日志中的解密密钥。
可选地,第一获取模块,具体用于通过抓包功能抓取所述加密的TLS报文。
可选地,第一获取模块,具体用于向终端设备发送链路信息日志的获取请求,所述获取请求用于指示请求获取所述加密的TLS报文对应的加密链路信息日志;接收终端设备根据所述获取请求发送的加密链路信息日志。
可选地,所述装置还包括:分析模块,用于对所述解密后的TLS报文进行报文分析,获取并显示分析结果。
第三方面,本申请实施例提供了一种电子设备,包括:处理器、存储介质和总线,存储介质存储有处理器可执行的机器可读指令,当电子设备运行时,处理器与存储介质之间通过总线通信,处理器执行机器可读指令,以执行上述第一方面的报文分析方法的步骤。
第四方面,本申请实施例提供了一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述第一方面的报文分析方法的步骤。
本申请的有益效果是:
本申请实施例提供的一种报文分析方法、装置、电子设备及存储介质,可以应用于中间网络设备,该方法包括:获取加密的传输层安全协议TLS报文和加密的TLS报文对应的加密链路信息日志,加密链路信息日志包括加密的TLS报文的密钥信息;根据加密链路信息日志和加密的TLS报文,获取解密密钥;根据解密密钥,对加密的TLS报文进行解密,获取解密后的TLS报文,应用本申请实施例,由于可以通过中间网络设备对终端设备中加密的TLS报文进行分析,而无需通过终端设备实现,因此,可以保证终端设备的处理性能。且该报文分析方法由于无需导入服务器私钥,可以解除现有分析方法中的多种限制,操作简单,可以有效提高报文分析效率。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种报文分析方法的流程示意图;
图2为本申请实施例提供的另一种报文分析方法的流程示意图;
图3为本申请实施例提供的又一种报文分析方法的流程示意图;
图4为本申请实施例提供的另一种报文分析方法的流程示意图;
图5为本申请实施例提供的又一种报文分析方法的流程示意图;
图6为本申请实施例提供的另一种报文分析方法的流程示意图;
图7为本申请实施例提供的一种报文分析装置的功能模块示意图;
图8为本申请实施例提供的另一种报文分析装置的功能模块示意图;
图9为本申请实施例提供的一种电子设备结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在介绍本申请之前,为了更好的理解本申请,首先对本申请中的相关名词进行解释说明。
传输层安全性协议:(Transport Layer Security,TLS)用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议采用主从式架构模型,用于在两个应用程序间通过网络创建起安全的连线,防止在交换数据时受到窃听及篡改。
TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合,其中,应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。TLS协议是可选的,必须配置客户端和服务器才能使用,主要有两种方式实现这一目标:一种是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS),一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于建立安全连接。其建立安全连接主要包括以下的步骤:
1)当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和加密哈希函数),握手开始;
2)服务器从该列表中决定加密和散列函数,并通知客户端;
3)服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥;
4)客户端确认其颁发的证书的有效性;
5)为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密;
6)利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。
wireshark:Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
会话初始协议:(Session Initiation Protocol,SIP)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话,这些会话可以是Internet多媒体会议、IP电话或多媒体分发。会话的参与者可以通过组播(multicast)、网状单播(unicast)或两者的混合体进行通信。SIP与负责语音质量的资源预留协议互操作。它还与若干个其他协议进行协作,包括负责定位的轻型目录访问协议(LDAP)、负责身份验证的远程身份验证拨入用户服务以及负责实时传输的实时传输协议(Real-time Transport Protocol,RTP)等多个协议。
其中,客户端可以安装在终端设备中,现有的终端设备与服务器之间传输TLS报文时,由于TLS报文是以加密的形式在网络中传播,则对TLS报文进行分析时,需要通过终端设备将解密后的TLS报文全部以日志形式输出,但由于进行解密、输出时数据量较大,因此,会严重影响终端设备的处理性能。
另外,现有的虽然也有其他进行报文分析的方法,比如,wireshark软件,该软件虽然也可以用于TLS报文分析,但由于需要导入服务器私钥、抓包必须包含TLS通道协商信息等多种限制,因此,该种操作方式较为繁琐。
有鉴于此,本申请实施例提供一种报文分析方法,可以保证终端设备的处理性能,且由于无需导入服务器私钥,可以解除现有分析方法中的多种限制,操作简单,可以有效提高报文分析效率。
图1为本申请实施例提供的一种报文分析方法的流程示意图,该方法可以应用于中间网络设备,该中间网络设备可以包括交换机、集线器HUB等网络接入设备,以及具有分析处理功能的数据处理设备,比如,处理器、计算机、平板电脑等,在此不作限定,根据实际的应用场景可以灵活组合,该中间网络设备可以用于分析终端设备与服务器之间交互的TLS报文。如图1所示,该方法包括:
S101、获取加密的传输层安全协议TLS报文和加密的TLS报文对应的加密链路信息日志,加密链路信息日志包括加密的TLS报文的密钥信息。
对于终端设备来说,终端设备与服务器之间每次进行TLS链路协商时,终端设备可以以特定格式加密保存当前的链路信息到日志中,生成加密的TLS报文对应的加密链路信息日志。可选地,该加密链路信息日志可以包括但不限于:client random、server radnom、master key、链路端口号及服务器IP、TLS版本、双发协商的加密方式、加密的TLS报文的密钥信息等参数信息。其中,client random,master secret为在协商过程中,终端设备生成的两个密钥参数;Server random为在协商过程中,服务器端生成的密钥参数;链路端口号可以包括服务器端口号等。对于加密的TLS报文的密钥信息,终端设备与服务器在协商过程中,可以根据相关参数(比如,终端设备生成的密钥参数、服务器生成的密钥参数、双发协商的加密方式等)生成该加密的TLS报文的密钥信息。可以理解的是,对于终端设备来说,为了保证链路信息日志的安全性,可以对加密的TLS报文对应的链路信息日志进行加密,从而获取加密链路信息日志。
可选地,上述终端设备可以是话机、视频会议终端等,其中,话机可以是视频话机、IP话机等,但不以此为限;也即,中间网络设备可以获取话机、视频会议终端等终端设备与对应服务器之间传输的加密的TLS报文,以及获取话机、视频会议终端等终端设备生成的该加密的TLS报文对应的加密链路信息日志。当然,本申请在此并不限定该获取方式,可选地,中间网络设备可以向终端设备发送相关获取请求以请求获取,但不以此为限。
当然,需要说明的是,本申请在此并不限定该TLS报文的加密方式,根据实际的应用场景可以是一种或多种加密算法的组合,比如,可以使用高级加密标准(AdvancedEncryption Standard,AES)和预设编码方式(比如,Base64,可以用于传输8Bit字节码)对该TLS报文进行加密,获取加密的TLS报文。
S102、根据加密链路信息日志和加密的TLS报文,获取解密密钥。
S103、根据解密密钥,对加密的TLS报文进行解密,获取解密后的TLS报文。
在获取到上述加密链路信息日志后,则可以根据加密链路信息日志和加密的TLS报文之间的关联关系,获取该加密的TLS报文对应的解密密钥。根据该解密密钥,即可对加密的TLS报文进行解密,通过获取解密后的TLS报文,可以分析承载在TLS链路的会话初始协议(Session Initiation Protocol,SIP)报文,进而可以分析SIP信令的交互过程。
当然,需要说明的是,本申请在此并不限于TLS报文的分析,其他安全协议报文、私有协议报文、又或者与TLS报文传输过程有相同之处的报文均可通过上述方法进行分析,比如,安全套接字协议(Secure Sockets Layer,SSL),但不以此为限。
在一些实施例中,可以理解的是,步骤S101和/或步骤S102可以由交换机、集线器HUB等网络接入设备执行,步骤S102和/或步骤S103可以由具有分析处理功能的数据处理设备执行,在此不作限定。
综上,本申请实施例提供的报文分析方法,可以应用于中间网络设备,该方法包括:获取加密的传输层安全协议TLS报文和加密的TLS报文对应的加密链路信息日志,加密链路信息日志包括加密的TLS报文的密钥信息;根据加密链路信息日志和加密的TLS报文,获取解密密钥;根据解密密钥,对加密的TLS报文进行解密,获取解密后的TLS报文,应用本申请实施例,由于可以通过中间网络设备对终端设备中加密的TLS报文进行分析,而无需通过终端设备实现,因此,可以保证终端设备的处理性能。且由于无需导入服务器私钥,可以解除现有分析方法中的多种限制,操作简单,可以有效提高报文分析效率。
图2为本申请实施例提供的另一种报文分析方法的流程示意图。可选地,如图2所示,上述根据加密链路信息日志和加密的TLS报文,获取解密密钥,包括:
S201、对加密链路信息日志进行解密,获取解密后的链路信息日志。
其中,由于加密链路信息日志是加密了的链路信息日志,则对于中间网络设备来说,还应当对该加密链路信息日志进行解密,也即将加密链路信息还原为明文,获取解密后的链路信息日志。
在一些实施例中,终端设备可以根据预设的加密算法对链路信息日志进行解密,相应地,对于中间网络设备来说,其可以采用该预设的加密算法对应的解密算法对该加密链路信息日志进行解密,本申请在此不作限定。在一些实施例中,中间网络设备也可以先向终端设备获取链路信息日志的日志密钥信息,然后根据该链路信息日志的日志密钥信息和该预设的加密算法对应的解密算法对该加密链路信息日志进行解密,但实际解密方式不以此为限。
S202、根据解密后的链路信息日志和加密的TLS报文,获取解密密钥。
可以理解的是,在获取到解密后的链路信息日志后,则可以根据该解密后的链路信息日志和加密的TLS报文,获取该加密的TLS报文对应的解密密钥。
图3为本申请实施例提供的又一种报文分析方法的流程示意图。可选地,如图3所示,上述根据解密后的链路信息日志和加密的TLS报文,获取解密密钥,包括:
S301、根据解密后的链路信息日志中的链路端口号和服务器IP地址,以及加密的TLS报文的五元组信息,获取解密密钥。
其中,加密的TLS报文的五元组信息可以包括:终端设备IP地址,终端设备端口号,服务器IP地址,服务器端口号和TLS协议。比如,某加密的TLS报文的五元组信息可以包括:192.168.1.1 10000TLS 121.14.88.76443,则该五元组信息可以指示IP地址为192.168.1.1的终端设备通过端口10000,利用TLS协议,和IP地址为121.14.88.76,端口为443的服务器进行连接。可选地,加密的TLS报文的五元组信息可以根据预设的五元组信息获取方式进行获取。
可以理解的是,由于解密后的链路信息日志可能会包括多条链路信息,该多条链路信息可能对应不同的TLS加密报文,因此在获取某加密的TLS报文对应的解密密钥时,需要根据该解密后的链路信息日志中的链路端口号和服务器IP地址,以及该加密的TLS报文的五元组信息,获取该加密的TLS报文对应的解密密钥。
图4为本申请实施例提供的另一种报文分析方法的流程示意图。可选地,如图4所示,上述根据解密后的链路信息日志中的链路端口号和服务器IP地址,以及加密的TLS报文的五元组信息,获取解密密钥,包括:
S401、根据加密的TLS报文的五元组信息,获取加密的TLS报文对应的链路端口号和服务器IP地址。
S402、若解密后的链路信息日志中的链路端口号和服务器IP地址,分别与加密的TLS报文对应的链路端口号和服务器IP地址相匹配,则获取解密后的链路信息日志中的解密密钥。
其中,根据加密的TLS报文的五元组信息,可以获取该加密的TLS报文对应的链路端口号和服务器IP地址,判断该加密的TLS报文对应的链路端口号和服务器IP地址是否分别与某解密后的链路信息日志中的链路端口号和服务器IP地址相匹配(也即是否相同),若匹配,则可以获取该解密后的链路信息日志中的解密密钥,通过该解密密钥对加密的TLS报文进行解密,以便对TLS报文进行分析。
可选地,上述获取加密的TLS报文,包括:通过抓包功能抓取加密的TLS报文。
其中,可以通过抓包功能抓取加密的TLS报文,在一些实施例中,可以将抓取的加密的TLS报文以pcap或pcapng文件的方式进行存储,但不以此为限。
图5为本申请实施例提供的又一种报文分析方法的流程示意图。可选地,如图5所示,上述获取加密的TLS报文对应的加密链路信息日志,包括:
S501、向终端设备发送链路信息日志的获取请求,获取请求用于指示请求获取加密的TLS报文对应的加密链路信息日志。
S501、接收终端设备根据获取请求发送的加密链路信息日志。
其中,中间网络设备可以向终端设备发送链路信息日志的获取请求,终端设备在接收到该获取请求时,可以获取加密的TLS报文对应的加密链路信息日志,并将该加密链路信息日志发送给中间网络设备,使得中间网络设备可以实现加密链路信息日志的获取,但实际获取方式并不以此为限。在一些实施例中,中间网络设备可以从终端设备中主动读取加密链路信息日志。
图6为本申请实施例提供的另一种报文分析方法的流程示意图。可选地,如图6所示,上述方法还包括:
S601、对解密后的TLS报文进行报文分析,获取并显示分析结果。
其中,可以基于TLS协议对解密后的TLS报文进行报文分析,其分析结果可以包括但不限于:五元组信息,终端设备所支持的TLS最高协议版本号、所支持的加密算法集合及压缩方法集合,服务器所支持的TLS协议版本、加密方法及压缩方法、服务器端的公钥、服务器端的数字证书、承载在TLS链路的SIP报文的交互过程。
应用本申请实施例,使得可以将TLS报文的分析结果进行可视化显示,可选地,在一些实施例中,进行可视化显示时,也可以进行相关设置,比如,可以基于部分五元组信息进行筛选,又或者,可以对所筛选的信息进行显示格式(比如,字体大小、类型等)的设置,又或者,可以打印该分析结果,本申请在此不作限定,根据实际的应用场景,可以灵活调整。
基于上述实施例,可选地,也可以结合wireshark软件、解密后的链路信息日志和加密的TLS报文,获取解密密钥,进而根据该解密密钥可以对加密的TLS报文进行解密,获取解密后的TLS报文,如此,可以在现有的基础上改进,提高报文分析方法的开发效率。
可选地,终端设备可以设置有一调试开关,该调试开关可以为实体按键或虚拟按键的,若用户需要进行报文分析时,则可以打开该调试开关,此时,终端设备可以将加密的TLS报文对应的链路信息以日志的形式存储在预设位置,否则,可以关闭该调试开关,不以日志形式存储该加密的TLS报文对应的加密链路信息,从而保证终端设备的处理性能。
可以理解的是,终端设备将加密的TLS报文对应的链路信息以日志形式存储在预设位置时,可以根据预设加密算法对该链路信息进行加密,获取加密链路信息,从而可以将加密链路信息以日志形式存储在预设位置。综上所述,应用本申请实施例,可以在以影响终端设备性能最小的代价下,对TLS链路交互进行报文分析,且在进行报文分析时无需获取服务器私钥、也无需进行TLS通道协商信息的设置,可以打破wireshark软件限制,提高报文分析方法的适用性。
图7为本申请实施例提供的一种报文分析装置的功能模块示意图,该装置基本原理及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。如图7所示,该报文分析装置100,可以应用于中间网络设备,包括:第一获取模块110、第二获取模块120以及解密模块130;
第一获取模块110,用于获取加密的传输层安全协议TLS报文和加密的TLS报文对应的加密链路信息日志,加密链路信息日志包括加密的TLS报文的密钥信息;
第二获取模块120,用于根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥;
解密模块130,用于根据所述解密密钥,对所述加密的TLS报文进行解密,获取解密后的TLS报文。
可选地,第二获取模块120,具体用于对加密链路信息日志进行解密,获取解密后的链路信息日志;根据解密后的链路信息日志和加密的TLS报文,获取解密密钥。
可选地,第二获取模块120,具体用于根据解密后的链路信息日志中的链路端口号和服务器IP地址,以及加密的TLS报文的五元组信息,获取解密密钥。
可选地,第二获取模块120,具体用于根据加密的TLS报文的五元组信息,获取加密的TLS报文对应的链路端口号和服务器IP地址;
若解密后的链路信息日志中的链路端口号和服务器IP地址,分别与加密的TLS报文对应的链路端口号和服务器IP地址相匹配,则获取解密后的链路信息日志中的解密密钥。
可选地,第一获取模块110,具体用于通过抓包功能抓取所述加密的TLS报文。
可选地,第一获取模块110,具体用于向终端设备发送链路信息日志的获取请求,获取请求用于指示请求获取加密的TLS报文对应的加密链路信息日志;接收终端设备根据获取请求发送的加密链路信息日志。
图8为本申请实施例提供的另一种报文分析装置的功能模块示意图。可选地,如图8所示,报文分析装置100还包括:分析模块150,用于对解密后的TLS报文进行报文分析,获取并显示分析结果。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(Digital Signal Processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图9为本申请实施例提供的一种电子设备结构示意图。如图9所示,该电子设备可以包括:处理器210、存储介质220和总线230,存储介质220存储有处理器210可执行的机器可读指令,当电子设备运行时,处理器210与存储介质220之间通过总线230通信,处理器210执行机器可读指令,以执行上述方法实施例的步骤。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述方法实施例的步骤。具体实现方式和技术效果类似,这里不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。以上仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种报文分析方法,其特征在于,应用于中间网络设备,所述方法包括:
获取加密的传输层安全协议TLS报文和所述加密的TLS报文对应的加密链路信息日志,所述加密链路信息日志包括所述加密的TLS报文的密钥信息;
根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥;
根据所述解密密钥,对所述加密的TLS报文进行解密,获取解密后的TLS报文。
2.根据权利要求1所述的方法,其特征在于,所述根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥,包括:
对所述加密链路信息日志进行解密,获取解密后的链路信息日志;
根据所述解密后的链路信息日志和所述加密的TLS报文,获取解密密钥。
3.根据权利要求2所述的方法,其特征在于,所述根据所述解密后的链路信息日志和所述加密的TLS报文,获取解密密钥,包括:
根据所述解密后的链路信息日志中的链路端口号和服务器IP地址,以及所述加密的TLS报文的五元组信息,获取所述解密密钥。
4.根据权利要求3所述的方法,其特征在于,所述根据所述解密后的链路信息日志中的链路端口号和服务器IP地址,以及所述加密的TLS报文的五元组信息,获取所述解密密钥,包括:
根据所述加密的TLS报文的五元组信息,获取所述加密的TLS报文对应的链路端口号和服务器IP地址;
若所述解密后的链路信息日志中的链路端口号和服务器IP地址,分别与所述加密的TLS报文对应的链路端口号和服务器IP地址相匹配,则获取所述解密后的链路信息日志中的解密密钥。
5.根据权利要求1所述的方法,其特征在于,所述获取加密的TLS报文,包括:
通过抓包功能抓取所述加密的TLS报文。
6.根据权利要求1所述的方法,其特征在于,所述获取加密的TLS报文对应的加密链路信息日志,包括:
向终端设备发送链路信息日志的获取请求,所述获取请求用于指示请求获取所述加密的TLS报文对应的加密链路信息日志;
接收终端设备根据所述获取请求发送的加密链路信息日志。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
对所述解密后的TLS报文进行报文分析,获取并显示分析结果。
8.一种报文分析装置,其特征在于,应用于中间网络设备,所述装置包括:第一获取模块、第二获取模块以及解密模块;
所述第一获取模块,用于获取加密的传输层安全协议TLS报文和所述加密的TLS报文对应的加密链路信息日志,所述加密链路信息日志包括所述加密的TLS报文的密钥信息;
所述第二获取模块,用于根据所述加密链路信息日志和所述加密的TLS报文,获取解密密钥;
所述解密模块,用于根据所述解密密钥,对所述加密的TLS报文进行解密,获取解密后的TLS报文。
9.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1-7任一所述报文分析方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-7任一所述报文分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011069626.XA CN112165494B (zh) | 2020-09-30 | 2020-09-30 | 报文分析方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011069626.XA CN112165494B (zh) | 2020-09-30 | 2020-09-30 | 报文分析方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112165494A true CN112165494A (zh) | 2021-01-01 |
| CN112165494B CN112165494B (zh) | 2023-04-28 |
Family
ID=73861742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011069626.XA Active CN112165494B (zh) | 2020-09-30 | 2020-09-30 | 报文分析方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112165494B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113225354A (zh) * | 2021-06-02 | 2021-08-06 | 郑州信大捷安信息技术股份有限公司 | 用于分析安全通道加密数据的方法及系统 |
| CN114465775A (zh) * | 2021-12-31 | 2022-05-10 | 华为技术有限公司 | 安全传输方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101420686A (zh) * | 2008-11-28 | 2009-04-29 | 重庆邮电大学 | 基于密钥的工业无线网络安全通信实现方法 |
| CN104717211A (zh) * | 2015-02-16 | 2015-06-17 | 中国南方电网有限责任公司 | 一种基于加密通信的共享密钥管理的变电站报文分析方法 |
| CN105791285A (zh) * | 2016-03-01 | 2016-07-20 | 积成电子股份有限公司 | 一种支持iec62351加密mms报文在线分析方法 |
| CN107147611A (zh) * | 2016-03-01 | 2017-09-08 | 华为技术有限公司 | 传输层安全tls建链的方法、用户设备、服务器和系统 |
| CN107517183A (zh) * | 2016-06-15 | 2017-12-26 | 华为技术有限公司 | 加密内容检测的方法和设备 |
| CN108337243A (zh) * | 2017-11-02 | 2018-07-27 | 北京紫光恒越网络科技有限公司 | 报文转发方法、装置和转发设备 |
| CN109286598A (zh) * | 2017-07-20 | 2019-01-29 | 中国科学院声学研究所 | 一种tls通道加密的rdp协议明文数据采集系统及方法 |
| CN110191105A (zh) * | 2019-05-13 | 2019-08-30 | 南京赛宁信息技术有限公司 | OpenStack加密链路实现方法及系统 |
| CN110933028A (zh) * | 2019-10-24 | 2020-03-27 | 中移(杭州)信息技术有限公司 | 报文传输方法、装置、网络设备及存储介质 |
-
2020
- 2020-09-30 CN CN202011069626.XA patent/CN112165494B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101420686A (zh) * | 2008-11-28 | 2009-04-29 | 重庆邮电大学 | 基于密钥的工业无线网络安全通信实现方法 |
| CN104717211A (zh) * | 2015-02-16 | 2015-06-17 | 中国南方电网有限责任公司 | 一种基于加密通信的共享密钥管理的变电站报文分析方法 |
| CN105791285A (zh) * | 2016-03-01 | 2016-07-20 | 积成电子股份有限公司 | 一种支持iec62351加密mms报文在线分析方法 |
| CN107147611A (zh) * | 2016-03-01 | 2017-09-08 | 华为技术有限公司 | 传输层安全tls建链的方法、用户设备、服务器和系统 |
| CN107517183A (zh) * | 2016-06-15 | 2017-12-26 | 华为技术有限公司 | 加密内容检测的方法和设备 |
| CN109286598A (zh) * | 2017-07-20 | 2019-01-29 | 中国科学院声学研究所 | 一种tls通道加密的rdp协议明文数据采集系统及方法 |
| CN108337243A (zh) * | 2017-11-02 | 2018-07-27 | 北京紫光恒越网络科技有限公司 | 报文转发方法、装置和转发设备 |
| CN110191105A (zh) * | 2019-05-13 | 2019-08-30 | 南京赛宁信息技术有限公司 | OpenStack加密链路实现方法及系统 |
| CN110933028A (zh) * | 2019-10-24 | 2020-03-27 | 中移(杭州)信息技术有限公司 | 报文传输方法、装置、网络设备及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113225354A (zh) * | 2021-06-02 | 2021-08-06 | 郑州信大捷安信息技术股份有限公司 | 用于分析安全通道加密数据的方法及系统 |
| CN113225354B (zh) * | 2021-06-02 | 2022-03-22 | 郑州信大捷安信息技术股份有限公司 | 用于分析安全通道加密数据的方法及系统 |
| CN114465775A (zh) * | 2021-12-31 | 2022-05-10 | 华为技术有限公司 | 安全传输方法及装置 |
| CN114465775B (zh) * | 2021-12-31 | 2023-10-20 | 华为技术有限公司 | 安全传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112165494B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Karpisek et al. | WhatsApp network forensics: Decrypting and understanding the WhatsApp call signaling messages | |
| US8990569B2 (en) | Secure communication session setup | |
| WO2018000886A1 (zh) | 应用程序通信处理系统、装置、方法及客户端、服务端 | |
| US9369491B2 (en) | Inspection of data channels and recording of media streams | |
| Westerlund et al. | Options for securing RTP sessions | |
| CN106941401B (zh) | 加速设备以及基于加速设备获取会话秘钥的方法 | |
| MX2012015175A (es) | Sistema y metodo para mensajeria segura en una red hibrida entre iguales. | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| CN102833253A (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| KR20130140873A (ko) | 공개키에 의존하는 키 관리를 위한 보안 연계의 발견 | |
| CN110839240B (zh) | 一种建立连接的方法及装置 | |
| CN112165494B (zh) | 报文分析方法、装置、电子设备及存储介质 | |
| CN107124385B (zh) | 一种基于镜像流的ssl/tls协议明文数据采集方法 | |
| Hsieh et al. | Implementing a secure VoIP communication over SIP-based networks | |
| Ranjan et al. | Security analysis of TLS authentication | |
| CN104243146A (zh) | 一种加密通信方法、装置及终端 | |
| WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
| CN108616536A (zh) | 加密socks协议的一种方法及其应用 | |
| Li et al. | VoIP secure session assistance and call monitoring via building security gateway | |
| US20230108261A1 (en) | Management, diagnostics, and security for network communications | |
| Bou Diab et al. | Critical vpn security analysis and new approach for securing voip communications over vpn networks | |
| KR20110043371A (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| Gurung et al. | Healthcare privacy: how secure are the VOIP/video-conferencing tools for PHI data? | |
| US20240097903A1 (en) | Ipcon mcdata session establishment method | |
| Mohemmed Sha et al. | Forensic framework for skype communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |