CN114139192B - 加密流量处理方法、装置、电子设备、介质及程序 - Google Patents

加密流量处理方法、装置、电子设备、介质及程序 Download PDF

Info

Publication number
CN114139192B
CN114139192B CN202210115741.9A CN202210115741A CN114139192B CN 114139192 B CN114139192 B CN 114139192B CN 202210115741 A CN202210115741 A CN 202210115741A CN 114139192 B CN114139192 B CN 114139192B
Authority
CN
China
Prior art keywords
information
server
session key
network driver
monitored process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210115741.9A
Other languages
English (en)
Other versions
CN114139192A (zh
Inventor
李博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Original Assignee
Qax Technology Group Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc filed Critical Qax Technology Group Inc
Priority to CN202210115741.9A priority Critical patent/CN114139192B/zh
Publication of CN114139192A publication Critical patent/CN114139192A/zh
Application granted granted Critical
Publication of CN114139192B publication Critical patent/CN114139192B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种加密流量处理方法、装置、电子设备、介质及程序。该方法包括:作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与服务端之间的第二主会话密钥。本发明通过终端中的网络驱动程序捕获被监控进程的握手信息,并对握手信息进行中间人替换,生成与网络驱动程序之间以及与服务端之间的主会话密钥,用于加密流量分析,减少了网关设备的计算资源消耗,有效避免了证书告警的问题。

Description

加密流量处理方法、装置、电子设备、介质及程序
技术领域
本发明涉及信息安全技术领域,尤其涉及一种加密流量处理方法、装置、电子设备、介质及程序。
背景技术
随着HTTPS的普及,大量攻击流量也使用加密流量进行发送接收,对终端和网关设备的流量分析带来困难。
现有的加密流量处理方案大多是在企业网络的网关设备中制造中间人,用中间人转发加密流量的方式做流量分析监控。这样,每个加密通讯连接的加密流量在网关设备都有解密再加密的过程,在网关设备处产生大量计算资源消耗,而且因为中间人存在证书替换,终端容易因为证书替换感知到中间人过程的存在,产生警告。
对于现有技术中利用中间人转发加密流量进行流量处理的技术方案存在的计算资源消耗较大,且终端容易产生证书告警的技术缺陷,现亟需一种解决上述缺陷的技术方案。
发明内容
本发明提供一种加密流量处理方法、装置、电子设备、介质及程序,用以解决现有技术中网关设备计算资源消耗较大,且终端容易产生证书告警的缺陷。
本发明提供一种加密流量处理方法,包括:
作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息;
所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
根据本发明提供的一种加密流量处理方法,所述网络驱动程序是移植有加/解密算法和密钥交换算法的网络驱动程序。
根据本发明提供的一种加密流量处理方法,所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥,包括:
将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息,并发送至所述服务端;
接收所述服务端返回的MS_ServerHello信息,根据所述CM_ClientHello信息,以及所述MS_ServerHello信息,生成CM_ServerHello信息,并将所述MS_ServerHello信息替换为CM_ServerHello信息,发送至所述被监控进程;
接收所述服务端返回的MS_Certificate信息,根据中间人证书生成CM__Certificate信息,并将所述MS_Certificate信息替换为所述CM__Certificate信息,并发送至所述被监控进程;
接收所述服务端返回的MS_ServerKeyExchange信息,将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息,发送至所述服务端;
获取所述被监控进程发出的CM_ClientKeyExchange信息,根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息,并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息,发送至所述服务端;
根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息,生成CM_mastersecret,作为所述第一主会话密钥;
根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息,生成MS_mastersecret,作为所述第二主会话密钥。
根据本发明提供的一种加密流量处理方法,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据;
根据所述第二主会话密钥,对所述第一明文数据进行加密,得到第一替换密文数据;
将所述第一替换密文数据发送至所述服务端。
根据本发明提供的一种加密流量处理方法,在根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据之后,方法还包括:
对所述第一明文数据进行过滤,根据过滤结果确定是否对所述被监控进程发出的密文数据进行阻断;和/或
将所述第一明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述被监控进程发出的密文数据进行旁路检测。
根据本发明提供的一种加密流量处理方法,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据;
根据所述第一主会话密钥,对所述第二明文数据进行加密,得到第二替换密文数据;
将所述第二替换密文数据发送至所述被监控进程。
根据本发明提供的一种加密流量处理方法,在根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据之后,方法还包括:
对所述第二明文数据进行过滤,根据过滤结果确定是否对所述接收到的所述服务端发出的密文数据进行阻断;和/或
将所述第二明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述接收到的所述服务端发出的密文数据进行旁路检测。
根据本发明提供的一种加密流量处理方法,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
将所述第二主会话密钥传输至网关设备,以使得所述网关设备对所述被监控进程发出的密文数据和/或接收到的所述服务端发出的密文数据进行流量处理。
本发明还提供一种加密流量处理装置,包括:
流量捕获模块,用于利用作为通信连接发起端的终端设备中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是终端内被监控的进程与服务端建立加密通讯连接过程中的握手信息;
密钥生成模块,用于利用所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述加密流量处理方法的全部或部分步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述加密流量处理方法的全部或部分步骤。
本发明提供的一种加密流量处理方法、装置、电子设备、介质及程序,通过作为通信连接发起端的终端中的网络驱动程序精准地捕获了被监控进程的基于安全套接字协议的握手信息,通过网络驱动程序对握手信息进行中间人替换,生成被监控进程与网络驱动程序之间的第一主会话密钥,以及网络驱动程序与服务端之间的第二主会话密钥,将第一主会话密钥、第二主会话密钥用于被监控进程的加密流量分析,减少了网关设备的计算资源消耗,并且该方法由终端内的网络驱动程序执行,可以有效避免证书告警的问题。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种加密流量处理方法的流程示意图;
图2是本发明提供的一种加密流量处理装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面对本发明的技术思路作简要的说明,企业网络中网络设备(用户终端、服务器等)发出的加密流量可以经过网关设备发送到外部网络,网络设备也可以通过网关设备接收外部网络发送的加密流量。现有的加密流量处理方案大多是在企业网络的网关设备中制造中间人,用中间人转发加密流量的方式做流量分析监控。这样,每个加密通讯连接的加密流量在网关设备都有解密再加密(再次加密后的密文与解密的密文可能不同)的过程,网关设备处产生大量计算资源消耗,而且因为中间人存在证书替换,终端容易因为证书替换感知到中间人过程的存在,产生警告。
本发明为基于终端内部的网络驱动内核(网络驱动程序中基本的、运行频率较高的,使之常驻内存的功能部分)的中间人处理方案,全部的数据处理过程在正常通讯连接的上下文(context)内完成,可以实现在终端内部完成加密流量分析、过滤,有效地将额外加解密计算过程分散在各终端内而非集中在网关设备,减少了网关设备的计算资源消耗;并且因为中间人设置在网络驱动内核中,与终端是一体的,因此证书本身就在终端,可以有效避免证书警告的问题。
下面结合图1-图3描述本发明的一种加密流量处理方法、装置、电子设备、介质及程序。
图1是本发明提供的一种加密流量处理方法的流程示意图,应用于通信连接发起端所在的终端,如图1所示,该方法包括:
S11、作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息;
在计算机技术领域中,中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”,恶意的“中间人”通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。本发明通过网络驱动程序生成与被监控进程之间的第一主会话密钥以及与服务端的第二主会话密钥,进而可以利用第一主会话密钥、第二主会话密钥对被监控进程进行加密流量分析,实现了类似“中间人”的功能。
具体地, 所有流量的发出都需要利用网络驱动程序通过网卡将数据包发出,基于此特性,在网络驱动程序接收到被监控进程发起的创建加密通讯请求的情况下,利用作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议(SSL协议)的握手信息。安全套接字协议包括握手协议以及底层的记录协议,两台设备建立加密通讯连接需要经历握手过程,以便双方确认彼此的身份,协助双方选择连接时使用的加密算法、MAC算法及相关密钥等。本实施例中网络驱动程序捕获的是终端内被监控进程与服务端建立加密通讯连接过程中的握手信息。
对于Windows操作系统,握手信息的捕获方式可以是利用WFP、TDI等方式捕获,其中,Windows Filtering Platform(WFP) 是windows推出的用于TCP/IP协议栈五层各层里面对数据包进行交互操作的基础框架, 使用WFP API,开发者可以实现个人防火墙、入侵检测系统、防病毒程序、流量监控工具,而TDI是网络传输层过滤驱动,同样可以实现流量捕获;对于Linux操作系统,则可以使用Netfilter等工具捕获握手信息,Netfilter是Linux引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。
S12、所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
具体地,在正常的安全套接字协议过程中,被监控进程会与服务端通过握手往返交流的握手信息确定出被监控进程与服务端之间加密通讯的主会话密钥。本实施例中通过网络驱动程序对被监控进程与服务端之间的握手信息进行替换,使得网络驱动程序与被监控进程之间确定出第一主会话密钥,用于网络驱动程序与被监控进程之间的通讯;并使得网络驱动程序与服务端之间确定出第二主会话密钥,用于网络驱动程序与服务端之间的通讯。生成第一主会话密钥、第二主会话密钥后,即可将第一主会话密钥、第二主会话密钥用于被监控进程的加密流量分析。具体地,第一主会话密钥、第二主会话密钥用于对被监控进程发出或接收的加密流量进行解密得到对应的明文数据,对应的明文数据可以用于对被监控进程进行流量分析,具体地,第一主会话密钥用于对被监控进程发出的加密流量进行解密得到对应的第一明文数据,第一明文数据用于进行流量分析(即,实现了对被监控进程发出的加密流量进行分析),第二主会话密钥用于对第一明文数据进行加密,加密后的密文用于发送至服务端,不影响被监控进程与服务端之间的正常通讯;第二主会话密钥还用于对服务端发出(实际上被网络驱动程序接收)的加密流量进行解密得到对应的第二明文数据,第二明文数据用于进行流量分析(即,实现了对被监控进程接收的加密流量进行分析),第一主会话密钥还用于对第二明文数据进行加密,加密后的密文用于发送至被监控进程,不影响被监控进程与服务端之间的正常通讯。
本实施例中通过作为通信连接发起端的终端中的网络驱动程序精准地捕获了被监控进程的基于安全套接字协议的握手信息,通过网络驱动程序对握手信息进行中间人替换,生成被监控进程与网络驱动程序之间的第一主会话密钥,以及网络驱动程序与服务端之间的第二主会话密钥,将第一主会话密钥、第二主会话密钥用于被监控进程的加密流量分析,减少了网关设备的计算资源消耗,并且该方法由终端内的网络驱动程序执行,可以有效解决证书告警的问题。
基于上述任一实施例,在一个实施例中,所述网络驱动程序是移植有加/解密算法和密钥交换算法的网络驱动程序。
具体地,网络驱动程序需要移植加/解密算法和密钥交换算法,以识别并替换被监控进程与服务端之间的握手信息,便于实现双向握手的过程。例如,可以从OpenSSL中移植加/解密算法和密钥交换算法,OpenSSL是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。进一步地,可以移植C语言编写加/解密算法和密钥交换算法,以提升网络驱动程序的运行效率、兼容性。
本实施例中通过向网络驱动程序值移植加/解密算法和密钥交换算法,方便识别并替换被监控进程与服务端之间的握手信息,便于实现双向握手的过程。
基于上述任一实施例,在一个实施例中,所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥,包括:
将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息,并发送至所述服务端;
接收所述服务端返回的MS_ServerHello信息,根据所述CM_ClientHello信息,以及所述MS_ServerHello信息,生成CM_ServerHello信息,并将所述MS_ServerHello信息替换为CM_ServerHello信息,发送至所述被监控进程;
接收所述服务端返回的MS_Certificate信息,根据中间人证书生成CM__Certificate信息,并将所述MS_Certificate信息替换为所述CM__Certificate信息,并发送至所述被监控进程;
接收所述服务端返回的MS_ServerKeyExchange信息,将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息,发送至所述服务端;
获取所述被监控进程发出的CM_ClientKeyExchange信息,根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息,并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息,发送至所述服务端;
根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息,生成CM_mastersecret,作为所述第一主会话密钥;
根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息,生成MS_mastersecret,作为所述第二主会话密钥。
对上述过程进一步说明如下,上述握手信息中,“C”代表被监控进程(client),“M”代表起到类似“中间人”作用的网络驱动程序(middle),“S”代表服务端(sever)。网络驱动程序对握手信息进行中间人替换,生成第一主会话密钥,以及第二主会话密钥的过程包括:
①网络驱动程序捕获被监控进程发出的CM_ClientHello信息,并记录在连接的上下文(context)中, CM_ClientHello信息中包含了SSL版本号、加密算法、密钥交换算法、MAC算法等信息,网络驱动程序将CM_ClientHello信息部分或全部信息进行相应替换生成MS_ClientHello信息,并发送至服务端。
②服务端确定本次通信采用的SSL版本号和加密套件后,通过MS_ServerHello消息通知给被监控进程(实际被网络驱动程序捕获),网络驱动程序接收服务端返回的MS_ServerHello信息,并记录在连接的上下文(context)中,然后根据CM_ClientHello信息,以及MS_ServerHello信息,生成CM_ServerHello信息,并将MS_ServerHello信息替换为CM_ServerHello信息,发送至被监控进程。进一步地,本步骤中,被监控进程与网络驱动程序之间选用的密钥交换算法,以及网络驱动程序与服务端之间选用的密钥交换算法可以保持一致,避免不同的密钥交换算法导致替换后的数据包大小不一致,导致无法充分模拟的情况。
③服务端将携带自己公钥信息的数字证书(Certificate)通过MS_Certificate消息发送给被监控进程(实际被网络驱动程序捕获),网络驱动程序接收服务端返回的MS_Certificate信息,并记录在连接的上下文(context)中,然后根据中间人证书生成CM__Certificate信息,并将MS_Certificate信息替换为CM__Certificate信息,并发送至被监控进程。此时被监控进程获取的是中间人证书,而不是服务端的证书,但是中间人证书是终端内已有的证书,因而不会出现证书告警。
④服务端生成密钥交换参数并通过MS_ServerKeyExchange发送给被监控进程(实际被网络驱动程序捕获),网络驱动程序接收服务端返回的MS_ServerKeyExchange信息,并记录在连接的上下文(context)中,然后将MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息,发送至服务端。
⑤ 被监控进程生成密钥交换参数并通过CM_ClientKeyExchange信息发送给服务端(实际被网络驱动程序捕获),网络驱动程序获取被监控进程发出的CM_ClientKeyExchange信息,并记录在连接的上下文(context)中,然后从Context中取出MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息,并将CM_ClientKeyExchange信息替换为MS_ClientKeyExchange信息,发送至服务端。
⑥根据CM_ServerKeyExchange信息以及CM_ClientKeyExchange信息,生成CM_mastersecret,作为第一主会话密钥;
⑦根据MS_ServerKeyExchange信息以及MS_ClientKeyExchange信息,生成MS_mastersecret,作为第二主会话密钥。
本实施例中通过网络驱动程序对被监控进程与服务端之间的握手信息进行中间人替换,准确地生成了被监控进程与网络驱动程序之间的第一主会话密钥,以及网络驱动程序与服务端之间的第二主会话密钥,为后续加密流量分析过程提供了便利,且有效避免了证书告警。
基于上述任一实施例,在一个实施例中,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据;
根据所述第二主会话密钥,对所述第一明文数据进行加密,得到第一替换密文数据;
将所述第一替换密文数据发送至所述服务端。
具体地,网络驱动程序捕获到被监控进程发出的密文数据后,根据被监控进程与网络驱动程序之间的第一主会话密钥利用握手过程中协商的解密算法对该密文数据进行解密,得到第一明文数据。然后根据网络驱动程序与服务端之间的第二主会话密钥利用握手过程中协商的加密算法对第一明文数据进行加密,即可得到第一替换密文数据,用于发送给服务端。
本实施例中通过利用第一主会话密钥、第二主会话密钥对被监控进程发出的密文数据进行了解密再加密得到第一替换密文数据,然后转发给服务端,获取了加密流量对应的明文数据,便于对被监控进程发出的加密流量进行流量分析,且不干扰被监控进程与服务端之间的实际通讯内容(明文数据)。
基于上述任一实施例,在一个实施例中,在根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据之后,方法还包括:
对所述第一明文数据进行过滤,根据过滤结果确定是否对所述被监控进程发出的密文数据进行阻断;和/或
将所述第一明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述被监控进程发出的密文数据进行旁路检测。
具体地,终端在得到第一明文数据后即可对该明文数据进行过滤检测,根据过滤结果确定是否对被监控进程发出的密文数据进行阻断;当然,还可以先放行被监控进程发出的密文数据,在第一明文数据过滤检测结果异常时进行告警,以减缓对被监控进程发出的密文数据造成传输延迟;还可以将第一明文数据转发至过滤分析程序,利用过滤分析程序对被监控进程发出的密文数据进行旁路检测,可以理解的是,这里的过滤分析程序并不是作为连接发起端的终端中的程序,而是在其他设备上做流量分析,例如可在网关设备上做第一明文数据的流量分析,还可以是在第三方设备上做第一明文数据的流量分析。
本实施例中通过对第一明文数据进行过滤分析,避免了对对被监控进程发出的密文数据进行解密再加密的过程,减少了网关设备的计算资源消耗。
基于上述任一实施例,在一个实施例中,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据;
根据所述第一主会话密钥,对所述第二明文数据进行加密,得到第二替换密文数据;
将所述第二替换密文数据发送至所述被监控进程。
具体地,网络驱动程序捕获到服务端发出的密文数据后,根据服务端与网络驱动程序之间的第二主会话密钥利用握手过程中协商的解密算法对该密文数据进行解密,得到第二明文数据。然后根据网络驱动程序与被监控进程之间的第一主会话密钥利用握手过程中协商的加密算法对第二明文数据进行加密,即可得到第二替换密文数据,用于发送给被监控进程。
本实施例中通过利用第一主会话密钥、第二主会话密钥对服务端发出的密文数据进行了解密再加密得到第二替换密文数据,然后转发给被监控进程,获取了加密流量对应的明文数据,便于对被监控进程接收到的加密流量进行流量分析,且不干扰被监控进程与服务端之间的实际通讯内容(明文数据)。
基于上述任一实施例,在一个实施例中,在根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据之后,方法还包括:
对所述第二明文数据进行过滤,根据过滤结果确定是否对所述接收到的所述服务端发出的密文数据进行阻断;和/或
将所述第二明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述接收到的所述服务端发出的密文数据进行旁路检测。
具体地,终端在得到第二明文数据后即可对该明文数据进行过滤检测,根据过滤结果确定是否对服务端发出的密文数据进行阻断;当然,还可以先放行服务端发出的密文数据,在第一明文数据过滤检测结果异常时进行告警,以减缓对服务端发出的密文数据造成传输延迟;还可以将第一明文数据转发至过滤分析程序,利用过滤分析程序对服务端发出的密文数据进行旁路检测,可以理解的是,这里的过滤分析程序并不是作为连接发起端的终端中的程序,而是在其他设备上做流量分析,例如可在网关设备上做第二明文数据的流量分析,还可以是在第三方设备上做第二明文数据的流量分析。
本实施例中通过对第二明文数据进行过滤分析,避免了对对被监控进程发出的密文数据进行解密再加密的过程,减少了网关设备的计算资源消耗。
基于上述任一实施例,在一个实施例中,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
将所述第二主会话密钥传输至网关设备,以使得所述网关设备对所述被监控进程发出的密文数据和/或接收到的所述服务端发出的密文数据进行流量分析。
具体地,被监控进程发出的密文数据经过网络驱动程序利用第一主会话密钥解密,以及第二主会话密钥加密后才传输至网关设备,网关设备可以利用网络驱动程序共享的第二主会话密钥对网络驱动程序转发的被监控进程发出的密文数据进行解密以及流量分析;网关设备还可以利用网络驱动程序共享的第二主会话密钥对接收到的服务端发出的密文数据进行解密以及流量分析。
本实施例中通过将第二主会话密钥共享给网关设备,使得网关设备可以利用第二主会话密钥对被监控进程发出的密文数据和/或接收到的服务端发出的密文数据进行流量分析,与终端设备的流量分析形成联动,提升了流量分析的准确性,减少了网关设备的计算资源消耗。
下面对本发明提供的加密流量处理装置进行描述,下文描述的加密流量处理装置与上文描述的加密流量处理方法可相互对应参照。
图2是本发明提供的一种加密流量处理装置的结构示意图,如图2所示,该装置包括:
流量捕获模块21,用于利用作为通信连接发起端的终端设备中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是终端内被监控的进程与服务端建立加密通讯连接过程中的握手信息;
密钥生成模块22,用于利用所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
本实施例中通过作为通信连接发起端的终端中的网络驱动程序精准地捕获了被监控进程的基于安全套接字协议的握手信息,通过网络驱动程序对握手信息进行中间人替换,生成被监控进程与网络驱动程序之间的第一主会话密钥,以及网络驱动程序与服务端之间的第二主会话密钥,将第一主会话密钥、第二主会话密钥用于被监控进程的加密流量分析,减少了网关设备的计算资源消耗,并且该方法由终端内的网络驱动程序执行,可以有效避免证书告警的问题。
基于上述任一实施例,在一个实施例中,所述网络驱动程序是移植有加/解密算法和密钥交换算法的网络驱动程序。
本实施例中通过向网络驱动程序值移植加/解密算法和密钥交换算法,方便识别并替换被监控进程与服务端之间的握手信息,便于实现双向握手的过程。
基于上述任一实施例,在一个实施例中,所述密钥生成模块22,包括:
第一替换单元,用于将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息,并发送至所述服务端;
第二替换单元,用于接收所述服务端返回的MS_ServerHello信息,根据所述CM_ClientHello信息,以及所述MS_ServerHello信息,生成CM_ServerHello信息,并将所述MS_ServerHello信息替换为CM_ServerHello信息,发送至所述被监控进程;
第三替换单元,用于接收所述服务端返回的MS_Certificate信息,根据中间人证书生成CM__Certificate信息,并将所述MS_Certificate信息替换为所述CM__Certificate信息,并发送至所述被监控进程;
第四替换单元,用于接收所述服务端返回的MS_ServerKeyExchange信息,将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息,发送至所述服务端;
第五替换单元,用于获取所述被监控进程发出的CM_ClientKeyExchange信息,根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息,并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息,发送至所述服务端;
第一生成单元,用于根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息,生成CM_mastersecret,作为所述第一主会话密钥;
第二生成单元,用于根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息,生成MS_mastersecret,作为所述第二主会话密钥。
本实施例中通过网络驱动程序对被监控进程与服务端之间的握手信息进行中间人替换,准确地生成了被监控进程与网络驱动程序之间的第一主会话密钥,以及网络驱动程序与服务端之间的第二主会话密钥,为后续加密流量分析过程提供了便利,且有效避免了证书告警。
基于上述任一实施例,在一个实施例中,装置还包括:
第一解密模块,用于根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据;
第一加密模块,用于根据所述第二主会话密钥,对所述第一明文数据进行加密,得到第一替换密文数据;
第一发送模块,用于将所述第一替换密文数据发送至所述服务端。
本实施例中通过利用第一主会话密钥、第二主会话密钥对被监控进程发出的密文数据进行了解密再加密得到第一替换密文数据,然后转发给服务端,获取了加密流量对应的明文数据,便于对被监控进程发出的加密流量进行流量分析,且不干扰被监控进程与服务端之间的实际通讯内容(明文数据)。
基于上述任一实施例,在一个实施例中,装置还包括:
第一过滤模块,用于对所述第一明文数据进行过滤,根据过滤结果确定是否对所述被监控进程发出的密文数据进行阻断;
第一转发模块,用于将所述第一明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述被监控进程发出的密文数据进行旁路检测。
本实施例中通过对第一明文数据进行过滤分析,避免了对对被监控进程发出的密文数据进行解密再加密的过程,减少了网关设备的计算资源消耗。
基于上述任一实施例,在一个实施例中,装置还包括:
第二解密模块,用于根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据;
第二加密模块,用于根据所述第一主会话密钥,对所述第二明文数据进行加密,得到第二替换密文数据;
第二发送模块,用于将所述第二替换密文数据发送至所述被监控进程。
本实施例中通过利用第一主会话密钥、第二主会话密钥对服务端发出的密文数据进行了解密再加密得到第二替换密文数据,然后转发给被监控进程,获取了加密流量对应的明文数据,便于对被监控进程接收到的加密流量进行流量分析,且不干扰被监控进程与服务端之间的实际通讯内容(明文数据)。
基于上述任一实施例,在一个实施例中,装置还包括:
第二过滤模块,用于对所述第二明文数据进行过滤,根据过滤结果确定是否对所述接收到的所述服务端发出的密文数据进行阻断;和/或
第一转发模块,用于将所述第二明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述接收到的所述服务端发出的密文数据进行旁路检测。
本实施例中通过对第二明文数据进行过滤分析,避免了对对被监控进程发出的密文数据进行解密再加密的过程,减少了网关设备的计算资源消耗。
基于上述任一实施例,在一个实施例中,装置还包括:
密钥共享模块,用于将所述第二主会话密钥传输至网关设备,以使得所述网关设备对所述被监控进程发出的密文数据和/或接收到的所述服务端发出的密文数据进行流量分析。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行上述各提供的加密流量处理方法的全部或部分步骤,该方法包括:作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息;所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各提供的加密流量处理方法的全部或部分步骤,该方法包括:作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息;所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的加密流量处理方法的全部或部分步骤,该方法包括:作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息;所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种加密流量处理方法,其特征在于,包括:
作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息;
所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥;
所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥,包括:
将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息,并发送至所述服务端;
接收所述服务端返回的MS_ServerHello信息,根据所述CM_ClientHello信息,以及所述MS_ServerHello信息,生成CM_ServerHello信息,并将所述MS_ServerHello信息替换为CM_ServerHello信息,发送至所述被监控进程;
接收所述服务端返回的MS_Certificate信息,根据中间人证书生成CM__Certificate信息,并将所述MS_Certificate信息替换为所述CM__Certificate信息,并发送至所述被监控进程;
接收所述服务端返回的MS_ServerKeyExchange信息,将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息,发送至所述服务端;
获取所述被监控进程发出的CM_ClientKeyExchange信息,根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息,并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息,发送至所述服务端;
根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息,生成CM_mastersecret,作为所述第一主会话密钥;
根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息,生成MS_mastersecret,作为所述第二主会话密钥。
2.根据权利要求1所述的加密流量处理方法,其特征在于,所述网络驱动程序是移植有加/解密算法和密钥交换算法的网络驱动程序。
3.根据权利要求1所述的加密流量处理方法,其特征在于,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据;
根据所述第二主会话密钥,对所述第一明文数据进行加密,得到第一替换密文数据;
将所述第一替换密文数据发送至所述服务端。
4.根据权利要求3所述的加密流量处理方法,其特征在于,在根据所述第一主会话密钥,对所述被监控进程发出的密文数据进行解密,得到第一明文数据之后,方法还包括:
对所述第一明文数据进行过滤,根据过滤结果确定是否对所述被监控进程发出的密文数据进行阻断;和/或
将所述第一明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述被监控进程发出的密文数据进行旁路检测。
5.根据权利要求1所述的加密流量处理方法,其特征在于,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据;
根据所述第一主会话密钥,对所述第二明文数据进行加密,得到第二替换密文数据;
将所述第二替换密文数据发送至所述被监控进程。
6.根据权利要求5所述的加密流量处理方法,其特征在于,在根据所述第二主会话密钥,对接收到的所述服务端发出的密文数据进行解密,得到第二明文数据之后,方法还包括:
对所述第二明文数据进行过滤,根据过滤结果确定是否对所述接收到的所述服务端发出的密文数据进行阻断;和/或
将所述第二明文数据转发至过滤分析程序,以使得所述过滤分析程序对所述接收到的所述服务端发出的密文数据进行旁路检测。
7.根据权利要求1所述的加密流量处理方法,其特征在于,在所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后,方法还包括:
将所述第二主会话密钥传输至网关设备,以使得所述网关设备对所述被监控进程发出的密文数据和/或接收到的所述服务端发出的密文数据进行流量处理。
8.一种加密流量处理装置,其特征在于,包括:
流量捕获模块,用于利用作为通信连接发起端的终端设备中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息;其中,所述握手信息是终端内被监控的进程与服务端建立加密通讯连接过程中的握手信息;
密钥生成模块,用于利用所述网络驱动程序对所述握手信息进行中间人替换,生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥,以及所述网络驱动程序与所述服务端之间的第二主会话密钥;
所述密钥生成模块包括:
第一替换单元,用于将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息,并发送至所述服务端;
第二替换单元,用于接收所述服务端返回的MS_ServerHello信息,根据所述CM_ClientHello信息,以及所述MS_ServerHello信息,生成CM_ServerHello信息,并将所述MS_ServerHello信息替换为CM_ServerHello信息,发送至所述被监控进程;
第三替换单元,用于接收所述服务端返回的MS_Certificate信息,根据中间人证书生成CM__Certificate信息,并将所述MS_Certificate信息替换为所述CM__Certificate信息,并发送至所述被监控进程;
第四替换单元,用于接收所述服务端返回的MS_ServerKeyExchange信息,将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息,发送至所述服务端;
第五替换单元,用于获取所述被监控进程发出的CM_ClientKeyExchange信息,根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息,并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息,发送至所述服务端;
第一生成单元,用于根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息,生成CM_mastersecret,作为所述第一主会话密钥;
第二生成单元,用于根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息,生成MS_mastersecret,作为所述第二主会话密钥。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述加密流量处理方法的全部或部分步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述加密流量处理方法的全部或部分步骤。
CN202210115741.9A 2022-02-07 2022-02-07 加密流量处理方法、装置、电子设备、介质及程序 Active CN114139192B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210115741.9A CN114139192B (zh) 2022-02-07 2022-02-07 加密流量处理方法、装置、电子设备、介质及程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210115741.9A CN114139192B (zh) 2022-02-07 2022-02-07 加密流量处理方法、装置、电子设备、介质及程序

Publications (2)

Publication Number Publication Date
CN114139192A CN114139192A (zh) 2022-03-04
CN114139192B true CN114139192B (zh) 2022-07-05

Family

ID=80381819

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210115741.9A Active CN114139192B (zh) 2022-02-07 2022-02-07 加密流量处理方法、装置、电子设备、介质及程序

Country Status (1)

Country Link
CN (1) CN114139192B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679322A (zh) * 2022-03-29 2022-06-28 上海众至科技有限公司 流量安全审计方法、系统、计算机设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739665A (zh) * 2012-06-25 2012-10-17 成都卫士通信息产业股份有限公司 一种实现网络虚拟安全域的方法
CN104468560A (zh) * 2014-12-02 2015-03-25 中国科学院声学研究所 网络保密数据明文的采集方法及系统
CN106685983A (zh) * 2017-01-13 2017-05-17 华北计算技术研究所(中国电子科技集团公司第十五研究所) 一种基于ssl协议的数据还原方法与装置
CN108156178A (zh) * 2018-01-30 2018-06-12 上海天旦网络科技发展有限公司 一种ssl/tls数据监控系统和方法
CN109600226A (zh) * 2019-01-25 2019-04-09 中国人民解放军国防科技大学 基于随机数隐式协商的tls协议会话密钥还原方法
CN111628976A (zh) * 2020-05-15 2020-09-04 绿盟科技集团股份有限公司 一种报文处理方法、装置、设备及介质
CN113452757A (zh) * 2021-06-03 2021-09-28 深信服科技股份有限公司 解密方法、终端设备及计算机可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11310246B2 (en) * 2018-08-10 2022-04-19 Cisco Technology, Inc. Endpoint-assisted inspection of encrypted network traffic

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739665A (zh) * 2012-06-25 2012-10-17 成都卫士通信息产业股份有限公司 一种实现网络虚拟安全域的方法
CN104468560A (zh) * 2014-12-02 2015-03-25 中国科学院声学研究所 网络保密数据明文的采集方法及系统
CN106685983A (zh) * 2017-01-13 2017-05-17 华北计算技术研究所(中国电子科技集团公司第十五研究所) 一种基于ssl协议的数据还原方法与装置
CN108156178A (zh) * 2018-01-30 2018-06-12 上海天旦网络科技发展有限公司 一种ssl/tls数据监控系统和方法
CN109600226A (zh) * 2019-01-25 2019-04-09 中国人民解放军国防科技大学 基于随机数隐式协商的tls协议会话密钥还原方法
CN111628976A (zh) * 2020-05-15 2020-09-04 绿盟科技集团股份有限公司 一种报文处理方法、装置、设备及介质
CN113452757A (zh) * 2021-06-03 2021-09-28 深信服科技股份有限公司 解密方法、终端设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN114139192A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
US10855694B2 (en) Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment
US11805097B2 (en) Decrypting transport layer security traffic without Man-in-the-Middle proxy
US20210083857A1 (en) Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
CN111193698B (zh) 数据处理方法、装置、终端及存储介质
EP2807560B1 (en) Privileged access auditing
US20190068564A1 (en) Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US20150058916A1 (en) Detecting encrypted tunneling traffic
US20050050316A1 (en) Passive SSL decryption
CN113542253B (zh) 一种网络流量检测方法、装置、设备及介质
US10291600B2 (en) Synchronizing secure session keys
CN115002203B (zh) 数据包抓取方法、装置、设备及计算机可读介质
CN114139192B (zh) 加密流量处理方法、装置、电子设备、介质及程序
CN105743868B (zh) 一种支持加密和非加密协议的数据采集系统与方法
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
US11063921B2 (en) Extracting data from passively captured web traffic that is encrypted in accordance with an anonymous key agreement protocol
CN114172645A (zh) 通信旁路审计方法、装置、电子设备及存储介质
CN116319028A (zh) 一种反弹shell攻击拦截方法和装置
CN114679265B (zh) 流量获取方法、装置、电子设备和存储介质
CN114679314A (zh) 数据解密的方法、装置、设备及存储介质
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
EP3588900B1 (en) System and method of analyzing the content of encrypted network traffic
CN114143116B (zh) 加密流量分析方法、装置、电子设备、介质及程序
CN117319088B (zh) 一种阻断违规外联设备的方法、装置、设备及介质
US8995271B2 (en) Communications flow analysis
CN111147344B (zh) 一种虚拟专用网络实现方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant