CN113726757B - Https协议客户端的验证方法及装置 - Google Patents
Https协议客户端的验证方法及装置 Download PDFInfo
- Publication number
- CN113726757B CN113726757B CN202110977302.4A CN202110977302A CN113726757B CN 113726757 B CN113726757 B CN 113726757B CN 202110977302 A CN202110977302 A CN 202110977302A CN 113726757 B CN113726757 B CN 113726757B
- Authority
- CN
- China
- Prior art keywords
- message
- client
- verification
- server
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种HTTPS协议客户端的验证方法、装置、电子设备及计算机可读介质。该方法包括:监测客户端和服务器进行SSL握手的过程;在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;将所述验证报文发送至所述客户端;由所述客户端接收所述验证报文的返回报文;基于所述返回报文对所述客户端进行验证。本公开涉及的HTTPS协议客户端的验证方法、装置、电子设备及计算机可读介质,能够可以识别出真实的HTTPS客户端和攻击源,而且,在识别出攻击源后,还能够对来自攻击源的攻击进行防护。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种HTTPS协议客户端的验证方法、装置、电子设备及计算机可读介质。
背景技术
随着互联网的不断发展,网络安全问题也越来越受到重视。现在,大部分网络业务已由明文HTTP协议转向加密的HTTPS协议,针对HTTPS的DDOS攻击也呈快速增长趋势。由于握手阶段服务器端要进行非对称算法运算,其运算量很大,非常消耗服务器资源。一般服务器通过部署硬件加密卡来提高握手性能以及SSL加解密性能。攻击者通过不断与服务器新建SSL/TLS握手,或建立SSL/TLS后不断的重协商密钥(比如著名的THC-SSL-DOS),即可以较小代价将服务器打瘫。
现有技术主要是通过限制用户单位时间内TCP连接数进行防护。但是,限制用户单位时间内TCP连接数这种方式,没有区分是正常用户发起的连接,还是攻击用户发起的连接,导致正常的连接也被丢弃,影响正常用户的访问。因此,限制用户单位时间内TCP连接数进行不建立完整的SSL握手连接的HTTPS攻击防护,只能在一定程度上缓解攻击,在服务器受到攻击时保护服务器不至于瘫痪,但是也影响了正常的用户访问。
因此,需要一种新的HTTPS协议客户端的验证方法、装置、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种HTTPS协议客户端的验证方法、装置、电子设备及计算机可读介质,能够可以识别出真实的HTTPS客户端和攻击源,而且,在识别出攻击源后,还能够对来自攻击源的攻击进行防护。
根据本公开的一方面,提出一种HTTPS协议客户端的验证方法,可用于防护设备,该方法包括:监测客户端和服务器进行SSL握手的过程;在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;将所述验证报文发送至所述客户端;由所述客户端接收所述验证报文的返回报文;基于所述返回报文对所述客户端进行验证。
在本公开的一种示例性实施例中,监测客户端和服务器进行SSL握手的过程,包括:获取客户端和服务器之间的报文;基于所述报文的五元组信息建立会话;基于防护策略对所述报文进行处理。
在本公开的一种示例性实施例中,基于所述报文的五元组信息建立会话,包括:基于所述报文的五元组信息确定其是否为已建立会话;在不存在已建立会话时,基于所述报文的五元组信息建立会话。
在本公开的一种示例性实施例中,基于防护策略对所述报文进行处理,包括:在所述报文的报文类型为TCP类型时,根据所述报文的目的IP、目的端口匹配防护策略;在命中白名单时,将所述报文放行;在命中黑名单时,阻断所述会话。
在本公开的一种示例性实施例中,在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文,包括:在接收到来自所述服务器的TCPSYNACK类型的报文时,提取所述TCPSYNACK类型的报文的报文序号和确认号;基于所述报文序号、确认号、五元组信息构建所述验证报文。
在本公开的一种示例性实施例中,在接收到来自所述服务器的TCPSYNACK类型的报文之后,还包括:将所述TCPSYNACK类型的报文发送到所述客户端。
在本公开的一种示例性实施例中,在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文,还包括:在接收到来自所述服务器的TCPSYN类型的报文时,在所述会话上设置验证源标志位;将所述TCPSYN类型的报文放行。
在本公开的一种示例性实施例中,由所述客户端接收所述验证报文的返回报文,包括:在接收到来自所述服务器的其他类型的报文时,提取所述会话上的验证源标志位;在验证源标志位不为0时,将所述其他类型报文作为所述返回报文。
在本公开的一种示例性实施例中,基于所述返回报文对所述客户端进行验证,包括:在所述返回报文为alert类型报文时,将所述客户端验证为安全,并加入白名单;在所述返回报文不为alert类型报文时,将所述客户端验证为危险,并加入黑名单。
根据本公开的一方面,提出一种HTTPS协议客户端的验证装置,可用于防护设备,该装置包括:握手模块,用于监测客户端和服务器进行SSL握手的过程;构造模块,用于在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;发送模块,用于将所述验证报文发送至所述客户端;接收模块,用于由所述客户端接收所述验证报文的返回报文;验证模块,用于基于所述返回报文对所述客户端进行验证。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的HTTPS协议客户端的验证方法、装置、电子设备及计算机可读介质,监测客户端和服务器进行SSL握手的过程;在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;将所述验证报文发送至所述客户端;由所述客户端接收所述验证报文的返回报文;基于所述返回报文对所述客户端进行验证的方式,能够可以识别出真实的HTTPS客户端和攻击源,而且,在识别出攻击源后,还能够对来自攻击源的攻击进行防护。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种HTTPS协议客户端的验证方法及装置的系统框图。
图2是根据一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。
图3是根据另一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。
图4是根据另一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。
图5是根据另一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。
图6是根据另一示例性实施例示出的一种HTTPS协议客户端的验证装置的框图。
图7是根据一示例性实施例示出的一种电子设备的框图。
图8是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
图1是根据一示例性实施例示出的一种HTTPS协议客户端的验证方法、装置的系统框图。
如图1所示,系统架构10可以包括终端设备101、102、103,网络104、防护设备105和服务器106。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104、防护设备105与服务器106交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器106可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站或应用提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果反馈给终端设备。
防护设备105位于终端设备101、102、103和服务器106之间,用户对终端设备101、102、103和服务器106之间的报文数据进行过滤,以保护服务器106不遭受流量攻击。
终端设备101、102、103和服务器106进行SSL握手过程防护设备105可例如在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;防护设备105可例如将所述验证报文发送至所述客户端;防护设备105可例如由所述客户端接收所述验证报文的返回报文;防护设备105可例如基于所述返回报文对所述客户端进行验证。
防护设备105可以是一个实体的设备,还可例如为多个设备组成,需要说明的是,本公开实施例所提供的HTTPS协议客户端的验证方法可以由防护设备105执行,相应地,HTTPS协议客户端的验证装置可以设置于防护设备105中。
图2是根据一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。HTTPS协议客户端的验证方法20可用于防护设备,至少包括步骤S202至S210。
如图2所示,在S202中,监测客户端和服务器进行SSL握手的过程。包括:防护设备获取客户端和服务器之间的报文;基于所述报文的五元组信息建立会话;基于防护策略对所述报文进行处理。
在S204中,在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文。包括:在接收到来自所述服务器的TCPSYNACK类型的报文时,提取所述TCPSYNACK类型的报文的报文序号和确认号;基于所述报文序号、确认号、五元组信息构建所述验证报文。
在一个实施例中,在接收到来自所述服务器的TCPSYNACK类型的报文之后,还包括:将所述TCPSYNACK类型的报文发送到所述客户端。
在一个实施例中,在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文,还包括:在接收到来自所述服务器的TCPSYN类型的报文时,在所述会话上设置验证源标志位;将所述TCPSYN类型的报文放行。
在S206中,将所述验证报文发送至所述客户端。可通过DDOS防护设备将验证报文发送至客户端。分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。DDOS防护设备是能够针对DDOS攻击进行防护的设备。
在S208中,由所述客户端接收所述验证报文的返回报文。包括:在接收到来自所述服务器的其他类型的报文时,提取所述会话上的验证源标志位;在验证源标志位不为0时,将所述其他类型报文作为所述返回报文。
在S210中,基于所述返回报文对所述客户端进行验证。包括:在所述返回报文为alert类型报文时,将所述客户端验证为安全,并加入白名单;在所述返回报文不为alert类型报文时,将所述客户端验证为危险,并加入黑名单。
在客户端和服务器SSL握手过程时,正常流程是客户端首先发送ClientHello报文给服务器,服务器端回复Serverhello报文,本公开中的DDOS防护设备在服务器端回复SYNACK报文后,根据SYNACK报文信息,立即构造报文向客户端发送报文,不等客户端发送Clienthello报文。
DDOS防护设备回复一个非SSL协议格式报文,客户端无法解析此报文,如果是一个正常的客户端,由于无法该报文,则解析会回复一个Alert报文,其错误码为70,表示协议版本错误。但是,如果是攻击客户端,由于攻击客户端没有实现完整的SSL协议,攻击客户端一般不回复Alert报文,或者回复的Alert报文错误码不对,根据此特性,识别出真实的客户端和攻击源。
根据本公开的HTTPS协议客户端的验证方法,监测客户端和服务器进行SSL握手的过程;在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;将所述验证报文发送至所述客户端;由所述客户端接收所述验证报文的返回报文;基于所述返回报文对所述客户端进行验证的方式,能够可以识别出真实的HTTPS客户端和攻击源,而且,在识别出攻击源后,还能够对来自攻击源的攻击进行防护。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图3是根据另一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。图3所示的流程30是对图2所示的流程中S202“监测客户端和服务器进行SSL握手的过程”的详细描述。
如图3所示,在S302中,获取客户端和服务器之间的报文。
在S304中,基于所述报文的五元组信息建立会话。包括:基于所述报文的五元组信息确定其是否为已建立会话;在不存在已建立会话时,基于所述报文的五元组信息建立会话。
在S306中,在所述报文的报文类型为TCP类型时,根据所述报文的目的IP、目的端口匹配防护策略。
在S308中,在命中白名单时,将所述报文放行。
在S310中,在命中黑名单时,阻断所述会话。
图4是根据另一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。图4所示的流程40是对图2所示的流程的详细描述。
如图4所示,在S401中,接收报文。
在S402中,提取五元组,是否找到会话。
在S403中,是否为TCP协议会话。防护设备收到报文,提取五元组,查找会话,如果没有找到会话,根据五元组建立会话。检查报文类型是否是TCP协议,如果是TCP协议,则转到流程S405。
在S404中,建立会话。
在S405中,根据预设策略进行防护,是否命中预设策略。报文类型为TCP协议,根据报文目的IP、目的端口查找SSLDDOS防护策略,如果命中策略,根据源IP进一步查找黑白名单表,如果命中白名单,那么放行报文,同时设置会话放行标志,此条流会话后续都放行。如果命中黑名单,那么丢弃报文,同时设置会话阻断标志,此条流会话后续都阻断。如果既没有命中黑名单,也没有命中白名单,则转到流程S409。
在S406中,根据IP查找黑白名单。
在S407中,命中白名单,设置会话放行标志,放行报文。
在S408中,命中黑名单,设置会话上阻断标志,此条会话后续的报文都丢弃。
在S409中,没有命中黑白名单,检查TCP报文类型。
在S410中,为SYN报文,则在会话上设置验证标志1,放行报文。检查TCP报文类型,如果是TCPSYN报文,那么在会话上设置验证源标志为1(其默认值为0),表示需要验证源,然后放行报文。
在S411中,为SYNACK报文,如果会话上已经设置了验证源标志位,则将SYNACK报文发送至客户端,构建验证报文并将验证报文发送至客户端,并将会话上验证源标志位设置为2,等待客户端回复Alert报文。
如果是TCPSYNACK报文,进一步检查会话上验证源标志,如果为1,那么提取SYNACK报文序号和确认号,将SYNACK报文发送到客户端,然后利用SYNACK报文序号和确认号以及会话五元组信息构造验证报文,验证报文消息内容可为”Iamsslserver!”发送到客户端,验证报文只要不符合SSL协议格式就可以。另外将会话上设置验证源标志为2,表示等待回复alert报文进行验证。
在S412中,其他类型报文。则先确定会话上是否设置验证源标志位。如果会话上无标志位,则方向报文,否则确定报文方向是否为客户端到服务器方向,如果不是的话,则阻断报文,是否报文方向为客户端到服务器方向,且报文为预期的SSlAlert报文,则将客户端源IP加入白名单,否则,将客户端源IP加入黑名单,阻断报文。
如果是其他TCP报文,检查会话上验证源标志位,如果为0,放行报文。如果不为0,检查报文方向,如果是客户端发往服务器端方向,检查报文是否为预期的alert报文,如果一致,那么验证通过,将客户端源IP加入白名单,放行报文,同时将验证源标志位设置为0。如果不一致,将客户端源IP加入黑名单,阻断报文,同时将验证源标志位设置为0。
图5是根据另一示例性实施例示出的一种HTTPS协议客户端的验证方法的流程图。图5所示的流程50是对图2所示的流程的补充描述。
如图5所示,在S502中,遍历会话表,检查会话建立时间。
在S504中,和预设的时间阈值进行比较,会话建立时间以超过阈值的话,则需要进行会话老化。
在S506中,是否存在验证源标志。
在S508中,提取会话源IP,将其加入黑名单。会话老化流程,遍历会话表,针对每一条会话,检查会话是否需要老化,如果需要老化,检查会话上SSL验证源标志,如果不为0,表示没有回复alert报文,那么将会话源IP地址加入黑名单。
本公开的HTTPS协议客户端的验证方法中,HTTPS源IP进行源认证的方案,通过主动构造非SSL格式错误报文发送给客户端,根据客户端alert消息错误码进行进行源认证。如果不是预期的,那么验证不通过,加入黑名单。验证周期内不回复的,也加入黑名单。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图6是根据另一示例性实施例示出的一种HTTPS协议客户端的验证装置的框图。如图6所示,HTTPS协议客户端的验证装置60包括:握手模块602,构造模块604,发送模块606,接收模块608,验证模块610。
握手模块602用于监测客户端和服务器进行SSL握手的过程;握手模块602还用于获取客户端和服务器之间的报文;基于所述报文的五元组信息建立会话;基于防护策略对所述报文进行处理。
构造模块604用于在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;构造模块604还用于在接收到来自所述服务器的TCPSYNACK类型的报文时,提取所述TCPSYNACK类型的报文的报文序号和确认号;基于所述报文序号、确认号、五元组信息构建所述验证报文。
发送模块606用于将所述验证报文发送至所述客户端;
接收模块608用于由所述客户端接收所述验证报文的返回报文;接收模块608还用于在接收到来自所述服务器的其他类型的报文时,提取所述会话上的验证源标志位;在验证源标志位不为0时,将所述其他类型报文作为所述返回报文。
验证模块610用于基于所述返回报文对所述客户端进行验证。验证模块610还用于在所述返回报文为alert类型报文时,将所述客户端验证为安全,并加入白名单;在所述返回报文不为alert类型报文时,将所述客户端验证为危险,并加入黑名单。
根据本公开的HTTPS协议客户端的验证装置,监测客户端和服务器进行SSL握手的过程;在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;将所述验证报文发送至所述客户端;由所述客户端接收所述验证报文的返回报文;基于所述返回报文对所述客户端进行验证的方式,能够可以识别出真实的HTTPS客户端和攻击源,而且,在识别出攻击源后,还能够对来自攻击源的攻击进行防护。
图7是根据一示例性实施例示出的一种电子设备的框图。
下面参照图7来描述根据本公开的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元710可以执行如图2,图3,图4,图5中所示的步骤。
所述存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
所述存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备700’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备700交互的设备通信,和/或该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图8所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:监测客户端和服务器进行SSL握手的过程;在接收到来自所述服务器的预设类型的报文时,基于所述报文的报文构造验证报文;将所述验证报文发送至所述客户端;由所述客户端接收所述验证报文的返回报文;基于所述返回报文对所述客户端进行验证。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (9)
1.一种HTTPS协议客户端的验证方法,可用于防护设备,其特征在于,包括:
监测客户端和服务器进行SSL握手的过程;
在接收到来自所述服务器的TCPSYNACK类型的报文时,不等客户端发送Clienthello报文,基于所述TCPSYNACK类型的报文序号、确认号、五元组信息构造非SSL协议格式的验证报文;
将所述验证报文发送至所述客户端;
从所述客户端接收针对所述验证报文的返回报文;
基于所述返回报文对所述客户端进行验证,从而在所述返回报文为alert类型报文时,将所述客户端验证为安全,并加入白名单,以及在所述返回报文不为alert类型报文时,将所述客户端验证为危险,并加入黑名单。
2.如权利要求1所述的方法,其特征在于,监测客户端和服务器进行SSL握手的过程,包括:
获取客户端和服务器之间的报文;
基于所述报文的五元组信息建立会话;
基于防护策略对所述报文进行处理。
3.如权利要求2所述的方法,其特征在于,基于所述报文的五元组信息建立会话,包括:
基于所述报文的五元组信息确定其是否为已建立会话;
在不存在已建立会话时,基于所述报文的五元组信息建立会话。
4.如权利要求2所述的方法,其特征在于,基于防护策略对所述报文进行处理,包括:
在所述报文的报文类型为TCP类型时,根据所述报文的目的IP、目的端口匹配防护策略;
在命中白名单时,将所述报文放行;
在命中黑名单时,阻断所述会话。
5.如权利要求1所述的方法,其特征在于,在接收到来自所述服务器的TCPSYNACK类型的报文之后,还包括:
将所述TCPSYNACK类型的报文发送到所述客户端。
6.如权利要求3所述的方法,其特征在于,在接收到来自所述服务器的预设类型的报文时,基于所述TCPSYNACK类型的报文序号、确认号、五元组信息构造SSL协议格式的验证报文,还包括:
在接收到来自所述服务器的TCPSYN类型的报文时,在所述会话上设置验证源标志位;
将所述TCPSYN类型的报文放行。
7.如权利要求3所述的方法,其特征在于,从所述客户端接收针对所述验证报文的返回报文,包括:
在接收到来自所述服务器的其他类型的报文时,提取所述会话上的验证源标志位;
在验证源标志位不为0时,将所述其他类型报文作为所述返回报文。
8.如权利要求3所述的方法,其特征在于,基于所述返回报文对所述客户端进行验证,还包括:
在预定时间,关闭符合预设策略的会话;
将所述会话对应的客户端验证为危险,并加入黑名单。
9.一种HTTPS协议客户端的验证装置,可用于防护设备,其特征在于,包括:
握手模块,用于监测客户端和服务器进行SSL握手的过程;
构造模块,用于在接收到来自所述服务器的TCPSYNACK类型的报文时,不等客户端发送Clienthello报文,基于所述TCPSYNACK类型的报文序号、确认号、五元组信息构造非SSL协议格式的验证报文;
发送模块,用于将所述验证报文发送至所述客户端;
接收模块,用于从所述客户端接收针对所述验证报文的返回报文;
验证模块,用于基于所述返回报文对所述客户端进行验证,从而在所述返回报文为alert类型报文时,将所述客户端验证为安全,并加入白名单,以及在所述返回报文不为alert类型报文时,将所述客户端验证为危险,并加入黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110977302.4A CN113726757B (zh) | 2021-08-24 | 2021-08-24 | Https协议客户端的验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110977302.4A CN113726757B (zh) | 2021-08-24 | 2021-08-24 | Https协议客户端的验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726757A CN113726757A (zh) | 2021-11-30 |
| CN113726757B true CN113726757B (zh) | 2023-08-22 |
Family
ID=78677679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110977302.4A Active CN113726757B (zh) | 2021-08-24 | 2021-08-24 | Https协议客户端的验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726757B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103765842A (zh) * | 2011-07-25 | 2014-04-30 | 皇家飞利浦有限公司 | 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统 |
| WO2017124837A1 (zh) * | 2016-01-19 | 2017-07-27 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
| CN110912907A (zh) * | 2019-11-28 | 2020-03-24 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN110944014A (zh) * | 2019-12-18 | 2020-03-31 | 北京天融信网络安全技术有限公司 | 终端数据安全主动防御方法及装置 |
| CN112291248A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种防护HTTPS DDoS攻击的方法及设备 |
| CN112511552A (zh) * | 2020-12-08 | 2021-03-16 | 山石网科通信技术股份有限公司 | Ssl代理过程中的信息提示方法和装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7827311B2 (en) * | 2007-05-09 | 2010-11-02 | Symantec Corporation | Client side protection against drive-by pharming via referrer checking |
| CN102231748B (zh) * | 2011-08-02 | 2014-12-24 | 杭州迪普科技有限公司 | 一种客户端验证方法及装置 |
| CN102916968B (zh) * | 2012-10-29 | 2016-01-27 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
| CN109639712B (zh) * | 2018-12-29 | 2021-09-10 | 绿盟科技集团股份有限公司 | 一种防护ddos攻击的方法及系统 |
| CN110784464B (zh) * | 2019-10-24 | 2022-09-09 | 新华三信息安全技术有限公司 | 泛洪攻击的客户端验证方法、装置、系统及电子设备 |
| CN112187793B (zh) * | 2020-09-28 | 2022-09-16 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
-
2021
- 2021-08-24 CN CN202110977302.4A patent/CN113726757B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103765842A (zh) * | 2011-07-25 | 2014-04-30 | 皇家飞利浦有限公司 | 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及系统 |
| WO2017124837A1 (zh) * | 2016-01-19 | 2017-07-27 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
| CN110912907A (zh) * | 2019-11-28 | 2020-03-24 | 杭州迪普科技股份有限公司 | Ssl握手阶段的攻击防护方法和装置 |
| CN110944014A (zh) * | 2019-12-18 | 2020-03-31 | 北京天融信网络安全技术有限公司 | 终端数据安全主动防御方法及装置 |
| CN112291248A (zh) * | 2020-10-30 | 2021-01-29 | 绿盟科技集团股份有限公司 | 一种防护HTTPS DDoS攻击的方法及设备 |
| CN112511552A (zh) * | 2020-12-08 | 2021-03-16 | 山石网科通信技术股份有限公司 | Ssl代理过程中的信息提示方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726757A (zh) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10289857B1 (en) | Enforcement of same origin policy for sensitive data | |
| US9832213B2 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| US8495739B2 (en) | System and method for ensuring scanning of files without caching the files to network device | |
| JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| CN109413060B (zh) | 报文处理方法、装置、设备及存储介质 | |
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| EP3169032B1 (en) | System and method of encrypted transmission of web pages | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| US10284543B2 (en) | System and method for secure online authentication | |
| CN107666383A (zh) | 基于https协议的报文处理方法以及装置 | |
| KR20100122913A (ko) | 안전 파일 송신 및 평판 조회 | |
| WO2015007231A1 (zh) | 一种恶意url的鉴定方法及装置 | |
| US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
| US20190166160A1 (en) | Proactive transport layer security identity verification | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| US20110154469A1 (en) | Methods, systems, and computer program products for access control services using source port filtering | |
| Abbas et al. | Security Assessment and Evaluation of VPNs: A Comprehensive Survey | |
| CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
| CN113726757B (zh) | Https协议客户端的验证方法及装置 | |
| CN115603974A (zh) | 一种网络安全防护方法、装置、设备及介质 | |
| KR101881279B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| KR20160123416A (ko) | 정보 보안 장치 및 이의 정보 보안 방법, 단말기 및 이를 구비한 네트워크 시스템 | |
| KR101865690B1 (ko) | Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법 | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| US10757078B2 (en) | Systems and methods for providing multi-level network security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |