CN112511552B - Ssl代理过程中的信息提示方法和装置 - Google Patents
Ssl代理过程中的信息提示方法和装置 Download PDFInfo
- Publication number
- CN112511552B CN112511552B CN202011425133.5A CN202011425133A CN112511552B CN 112511552 B CN112511552 B CN 112511552B CN 202011425133 A CN202011425133 A CN 202011425133A CN 112511552 B CN112511552 B CN 112511552B
- Authority
- CN
- China
- Prior art keywords
- client
- network security
- request
- ssl
- security equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种SSL代理过程中的信息提示方法和装置。该方法包括:在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;所述网络安全设备将所述客户端的请求进行重定向提醒。通过本申请,解决了相关技术中网络安全设备无法得知客户端是否导入CA证书的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种SSL代理过程中的信息提示方法、装置、存储介质及处理器。
背景技术
当前互联网流量正逐渐从HTTP向HTTPS迁移,作为网络安全设备如防火墙、上网行为管理等网络设备,以前基于应用、内容的安全过滤之类的技术,现在由于网络流量越来越多的使用SSL/TLS(以下统称为SSL)进行加密后变得不再如此有效。
在NGFW的理念中,安全不再是传统防火墙依靠五元组来进行阻断隔离,其强调对网络流量的内容进行深度解析后,再配合各种安全引擎进行过滤。这种理念的前提安全设备能够看到网络流量中的内容,从而可以进行协议解析和安全扫描。
然而,互联网流量正在快速由HTTP向HTTPS转移,原本的明文流量使用SSL协议进行加密,这个打破了NGFW里面大量的基于明文流量进行处理的前提。
正是在这个背景下,越来越多的网络安全设备可以作为SSL协议的中间对象,在客户端通过SSL加密访问服务器时,网络安全设备作为中间对象分别与客户端和服务器端建立SSL连接。从而网络上传输的流量依然是以SSL进行加密封装,只是在网络安全设备上进行解密后再进行加密,从而使得网络安全设备能够看到加密流量的内容。
第一种情况是在网络安全设备不解密时,只是将流量在客户端和服务器端进行转发。
第二种情况是网络安全设备作为中间对象,分别与客户端和服务器端建立连接,两个连接都是HTTPS连接,这样网络流量在网络上仍然以加密的形式进行传输,而网络安全设备作为中间对象,则可以对加密流量进行解密,从而看到其中的明文流量,当其发出流量时,再对流量进行加密。
上述方案在实际中的问题是,网络安全设备作为中间对象时,需要针对不同的网站进行数字证书签发,当客户端访问https://www.baidu.com时,网络安全设备需要给www.baidu.com签发证书;当客户访端访问https://www.qq.com时,网络安全设备需要给www.qq.com签发证书。
显然,这签发的证书并非是真正的网站的证书,而是网络安全设备作为CA(证书颁发机构)颁发的,而这个CA并不会在客户端的受信CA列表中,从而客户端会判断出这个数字证书并不受信,从会而断开连接或者弹出告警。
所以,实际中做SSL代理部署时,通常需要在客户端中将作为中间对象的网络安全设备所使用的CA证书导入到受信CA列表中,这样客户端则认为网络安全设备签发的任何证书都是合法的,进而可以进行正常的网络访问。
然而,如何让客户端将CA证书导入到受信CA列表中,在实际操作中操作也比较麻烦。一般情况下会同时采用两种方式来告知最终用户去导入CA证书:
1.通过邮件或者其它类似的线下的方式来告知最终用户需要导入证书。
2.在网络安全设备上进行周期性或者不定期的重定向用户的请求,通过弹出提醒页面来告知最终用户下载和导入CA证书。
由于邮件其它离线方式告知最终用户导入CA证书的方式是由管理员操作的一次性行为,由于管理员无法确定最终用户有多少会安装证书,这种方式通常在初次部署的时候会使用,为了避免对最终用户的打扰,通常不会选择周期性的告知。
因此在网络安全设备上对客户端的请求进行重定向,弹出提示则是一种很好的补充。当客户端在访问某些网站时,网络安全设备对该请求进行重定向,弹出需要导入证书的提示和证书下载路径。
这个方案当前普遍存在的问题是,网络安全设备也无法得知客户端是否导入了CA证书,其一方面希望通过重定向页面提示告知客户端去下载、导入CA证书,一方面又不希望过于频繁的重定向用户的请求,降低客户体验,给那些已经安装过证书的客户造成不必要的重定向。
针对相关技术中网络安全设备无法得知客户端是否导入CA证书的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种SSL代理过程中的信息提示方法、装置、存储介质及处理器,以解决相关技术中网络安全设备无法得知客户端是否导入CA证书的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种SSL代理过程中的信息提示方法。该方法包括:
在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;
若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;
所述网络安全设备将所述客户端的请求进行重定向提醒。
进一步地,所述网络安全设备将所述客户端的请求进行重定向提醒包括:
所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;
在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
进一步地,所述网络安全设备将所述客户端的请求进行重定向提醒包括:
判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;
若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
进一步地,在所述网络安全设备将所述客户端的请求进行重定向提醒之后,所述方法还包括:
若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;
所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;
所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
为了实现上述目的,根据本申请的另一方面,提供了一种SSL代理过程中的信息提示装置。该装置包括:
检测单元,用于在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;
确定单元,用于若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;
提醒单元,用于所述网络安全设备将所述客户端的请求进行重定向提醒。
进一步地,所述提醒单元包括:
第一提醒模块,用于所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;
第二提醒模块,用于在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
进一步地,所述提醒单元包括:
判断模块,用于判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;
停止提醒模块,用于若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
进一步地,所述装置还包括:
发起单元,用于在所述网络安全设备将所述客户端的请求进行重定向提醒之后,若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;
发送单元,用于所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;
交换单元,用于所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
通过本申请,采用以下步骤:在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;所述网络安全设备将所述客户端的请求进行重定向提醒,解决了相关技术中网络安全设备无法得知客户端是否导入CA证书的问题,实现了对于未导入证书的客户端进行重定向提醒,对于已经导入证书的客户端则不进行重定向提醒,进而达到提高客户端用户使用体验的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的SSL代理过程中的信息提示方法的流程图;
图2是根据本申请实施例提供的客户端与服务器进行SSL协商的示意图;
图3是根据本申请实施例提供的客户端与网络安全设备进行SSL协商的示意图;
图4是根据本申请实施例提供的SSL代理过程中的信息提示装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请实施例涉及的图2中的英文进行解释如下:
SYN,SYN/ACK,FIN:这个是TCP三次握手常规缩写,对应英语全称和中文为:SYN(Synchronize同步),ACK(Acknowledge,确认),FIN(Finish,结束)。
Client Hello:客户端Hello;
Server Hello:服务器端Hello;
Certificate:证书;
Certificate Unknown:未知证书;
Key Exchange:秘钥交换;
Hello Done:Hello结束;
Client Key Exchange:户端秘钥交换;
Change Cipher Spec:更换秘钥套件;
Encrypted Handshake Message:加密的握手消息;
Alert:警告。
下面结合优选的实施步骤对本发明进行说明,图1是根据本申请实施例提供的SSL代理过程中的信息提示SSL代理过程中的信息提示方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;
步骤S102,若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;
步骤S103,所述网络安全设备将所述客户端的请求进行重定向提醒。
可选地,在步骤S103所述网络安全设备将所述客户端的请求进行重定向提醒之后,所述方法还包括:
若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;
所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;
所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
本申请实施例提供的SSL代理过程中的信息提示方法,提出一种能够辨别客户端是否正确导入了CA证书,最终实现仅仅对没有正确导入CA证书的客户端进行重定向提醒的目的。
如图2所示的常规的客户端通过SSL访问Internet的协商过程,这个过程中客户端会验证服务器端的证书,而服务器端不需要验证客户端的证书。图2中客户端和服务器在三次握手后,客户端发起Client Hello,服务器回应Server Hello、证书信息、秘钥交换等信息,而后客户端验证完服务器证书后,交换秘钥、秘钥套件完成SSL协商。
然而,当网络安全设备作为中间对象,客户端无法验证网络安全设备的证书时的交互则略有不同。通过抓包信息对网络安全设备的证书进行验证,当浏览器无法验证网络安全设备的证书后,会发送SSL警告信息后断开TCP连接。
客户端与网络安全设备之间进行SSL协商的流程如图3所示。客户端和网络安全设备在三次握手后,客户端发起Client Hello,网络安全设备回应Server Hello、证书信息、秘钥交换等信息,当客户端验证网络安全设备证书信息失败后发出Alert SSL警告信息。当客户端如果点击“继续”,忽略网络安全设备的证书验证错误,则客户端会重新发起一次SSL的连接过程,此时因为用户选择了忽略网络安全设备的证书错误,则会进行一次正常的SSL协商过程,也即在客户端与网络安全设备之间再进行一次如图2所示的过程。
本申请实施例利用上述两种情况下,客户端不同的行为来获取到客户端是否正确导入了CA证书的信息,从而有选择性的针对客户端的请求进行重定向,而不是对所有客户端做同等处理。这样可以辨别出哪些客户端没有正确导入CA证书,对其加快提醒周期,而对于已经正确导入CA证书的客户端则不进行重定向提醒,这样又能达到提醒客户端安装证书的效果,又可以不影响已经安装证书的客户端的体验。
可选地,步骤S103所述网络安全设备将所述客户端的请求进行重定向提醒可以包括:
所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;
在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
可选地,步骤S103所述网络安全设备将所述客户端的请求进行重定向提醒可以包括:
判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;
若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
本申请实施例提供的SSL代理过程中的信息提示方法,通过在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;所述网络安全设备将所述客户端的请求进行重定向提醒,解决了相关技术中网络安全设备无法得知客户端是否导入CA证书的问题,实现了对于未导入证书的客户端进行重定向提醒,对于已经导入证书的客户端则不进行重定向提醒,进而达到提高客户端用户使用体验的效果。
本申请实施例的场景主要适用于部署在网关处的网络安全设备,当网络安全设备需要对许多不确定的网站进行SSL代理时,需要作为中间对象分别与客户端和服务器端进行SSL协商;此时网络安全设备会充当CA给客户端需要访问的网站签发数字证书,当客户端不信任此CA时,则无法验证服务器端数字证书,从而无法正常访问或者给出告警。除了通过邮件等离线手段让客户端导入CA证书之外,网络安全设备还会通过重定向客户端的请求,提醒其导入CA证书。
本申请实施例提出了网络安全设备如何辨别客户端是否正确的导入了CA证书的方案,在网络安全设备部署SSL代理的场景中,通过分析SSL的交互过程,来辨别客户端是否已经将网络安全设备的CA证书导入为受信CA,进而对没有正确导入CA证书的客户端发起的请求进行重定向提醒。
使用本申请实施例技术时,当部署在网关处的网络安全设备做SSL代理时,可仅对没有正确导入CA证书的客户端的请求进行重定向提醒,而对已经正确导入的客户端则不再提醒,再配合调高重定向提醒的频率,可以加快CA证书的部署,提高用户体验。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种SSL代理过程中的信息提示装置,需要说明的是,本申请实施例的SSL代理过程中的信息提示装置可以用于执行本申请实施例所提供的用于SSL代理过程中的信息提示方法。以下对本申请实施例提供的SSL代理过程中的信息提示装置进行介绍。
图4是根据本申请实施例的SSL代理过程中的信息提示装置的示意图。如图4所示,该装置包括:
检测单元51,用于在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;
确定单元52,用于若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;
提醒单元53,用于所述网络安全设备将所述客户端的请求进行重定向提醒。
可选地,在本申请实施例提供的SSL代理过程中的信息提示装置中,所述提醒单元53包括:
第一提醒模块,用于所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;
第二提醒模块,用于在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
可选地,在本申请实施例提供的SSL代理过程中的信息提示装置中,所述提醒单元53包括:
判断模块,用于判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;
停止提醒模块,用于若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
可选地,在本申请实施例提供的SSL代理过程中的信息提示装置中,所述装置还包括:
发起单元,用于在所述网络安全设备将所述客户端的请求进行重定向提醒之后,若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;
发送单元,用于所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;
交换单元,用于所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
本申请实施例提供的SSL代理过程中的信息提示装置,通过检测单元51在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;通过确定单元52若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;通过提醒单元53所述网络安全设备将所述客户端的请求进行重定向提醒,解决了相关技术中网络安全设备无法得知客户端是否导入CA证书的问题,实现了对于未导入证书的客户端进行重定向提醒,对于已经导入证书的客户端则不进行重定向提醒,进而达到提高客户端用户使用体验的效果。
所述SSL代理过程中的信息提示装置包括处理器和存储器,上述检测单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现申请实施例任意一种SSL代理过程中的信息提示方法。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述SSL代理过程中的信息提示方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述SSL代理过程中的信息提示方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;所述网络安全设备将所述客户端的请求进行重定向提醒。
进一步地,处理器执行程序时还实现以下步骤:所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
进一步地,处理器执行程序时还实现以下步骤:判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
进一步地,处理器执行程序时还实现以下步骤:在所述网络安全设备将所述客户端的请求进行重定向提醒之后,若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;所述网络安全设备将所述客户端的请求进行重定向提醒。
进一步地,还适于执行初始化有如下方法步骤的程序:所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
进一步地,还适于执行初始化有如下方法步骤的程序:判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
进一步地,还适于执行初始化有如下方法步骤的程序:在所述网络安全设备将所述客户端的请求进行重定向提醒之后,若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种SSL代理过程中的信息提示方法,其特征在于,包括:
在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;
若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;
所述网络安全设备将所述客户端的请求进行重定向提醒。
2.根据权利要求1所述的方法,其特征在于,所述网络安全设备将所述客户端的请求进行重定向提醒包括:
所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;
在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
3.根据权利要求1所述的方法,其特征在于,所述网络安全设备将所述客户端的请求进行重定向提醒包括:
判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;
若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
4.根据权利要求1所述的方法,其特征在于,在所述网络安全设备将所述客户端的请求进行重定向提醒之后,所述方法还包括:
若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;
所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;
所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
5.一种SSL代理过程中的信息提示装置,其特征在于,包括:
检测单元,用于在网络安全设备作为中间对象分别与客户端及服务器进行SSL协商的过程中,所述网络安全设备检测是否接收到所述客户端发送的SSL警告信息,其中,所述SSL警告信息用于指示所述客户端验证所述网络安全设备的证书信息失败;
确定单元,用于若所述网络安全设备接收到所述客户端发送的SSL警告信息,则确定所述客户端未导入所述网络安全设备签发的CA证书;
提醒单元,用于所述网络安全设备将所述客户端的请求进行重定向提醒。
6.根据权利要求5所述的装置,其特征在于,所述提醒单元包括:
第一提醒模块,用于所述网络安全设备以第一频率将所述客户端的请求进行重定向提醒;
第二提醒模块,用于在预定时间段后,若所述网络安全设备接收到所述客户端发送的所述SSL警告信息,则所述网络安全设备以第二频率将所述客户端的请求进行重定向提醒,或所述网络安全设备停止将所述客户端的请求进行重定向提醒,其中,所述第二频率高于所述第一频率。
7.根据权利要求5所述的装置,其特征在于,所述提醒单元包括:
判断模块,用于判断所述网络安全设备将所述客户端的请求进行重定向提醒的次数是否高于预定阈值;
停止提醒模块,用于若所述网络安全设备将所述客户端的请求进行重定向提醒的次数高于所述预定阈值,则所述网络安全设备停止将所述客户端的请求进行重定向提醒。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
发起单元,用于在所述网络安全设备将所述客户端的请求进行重定向提醒之后,若所述客户端触发忽略验证所述网络安全设备的证书信息,则所述客户端重新向所述网络安全设备发起SSL协商请求;
发送单元,用于所述网络安全设备响应所述SSL协商请求,向所述客户端发送所述网络安全设备的证书信息和秘钥交换信息;
交换单元,用于所述客户端与所述网络安全设备交换秘钥完成与所述网络安全设备之间的SSL协商。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011425133.5A CN112511552B (zh) | 2020-12-08 | 2020-12-08 | Ssl代理过程中的信息提示方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011425133.5A CN112511552B (zh) | 2020-12-08 | 2020-12-08 | Ssl代理过程中的信息提示方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112511552A CN112511552A (zh) | 2021-03-16 |
| CN112511552B true CN112511552B (zh) | 2022-12-09 |
Family
ID=74971489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011425133.5A Active CN112511552B (zh) | 2020-12-08 | 2020-12-08 | Ssl代理过程中的信息提示方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112511552B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726757B (zh) * | 2021-08-24 | 2023-08-22 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| CN101860546A (zh) * | 2010-06-18 | 2010-10-13 | 杭州电子科技大学 | 一种改进ssl握手协议的方法 |
| US9455980B2 (en) * | 2014-12-16 | 2016-09-27 | Fortinet, Inc. | Management of certificate authority (CA) certificates |
-
2020
- 2020-12-08 CN CN202011425133.5A patent/CN112511552B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112511552A (zh) | 2021-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10574686B2 (en) | Security verification by message interception and modification | |
| US7827602B2 (en) | Network firewall host application identification and authentication | |
| CN107666383B (zh) | 基于https协议的报文处理方法以及装置 | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| US10382562B2 (en) | Verification of server certificates using hash codes | |
| CA2943559C (en) | Network notifications | |
| EP3570519B1 (en) | Identifying self-signed certificates using http access logs for malware detection | |
| US10462116B1 (en) | Detection of data exfiltration | |
| US9727739B2 (en) | Decrypting files for data leakage protection in an enterprise network | |
| US10834131B2 (en) | Proactive transport layer security identity verification | |
| US10505984B2 (en) | Exchange of control information between secure socket layer gateways | |
| US20210144172A1 (en) | Early detection of dedicated denial of service attacks through metrics correlation | |
| KR20170087406A (ko) | 무선 네트워크들에서 빠르고, 안전하며 프라이버시에 해가 되지 않는 인터넷 접속 발견을 위한 방법들 | |
| CN110446075A (zh) | 加密方法及装置、解密方法及装置、电子设备 | |
| CN110971616B (zh) | 基于安全传输层协议的连接建立方法、客户端和服务器 | |
| CN112511552B (zh) | Ssl代理过程中的信息提示方法和装置 | |
| CN113204772A (zh) | 数据处理方法、装置、系统、终端、服务器和存储介质 | |
| EP3242444A1 (en) | Service processing method and device | |
| US10567434B1 (en) | Communication channel security enhancements | |
| US11456859B2 (en) | Systems and methods for using push notifications for security policy enforcement | |
| CN111356132B (zh) | 蓝牙访问控制方法、系统、电子设备及存储介质 | |
| CN113645176B (zh) | 一种检测伪造流量的方法、装置及电子设备 | |
| US11258767B2 (en) | Systems and methods for using push notifications to establish proxied communications and for security policy enforcement | |
| WO2017079980A1 (zh) | 一种计费欺诈的检测方法及装置 | |
| CN107209751B (zh) | 业务处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |