CN114679260A - 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端 - Google Patents

旁路审计兼容扩展主秘钥的加密数据方法、系统及终端 Download PDF

Info

Publication number
CN114679260A
CN114679260A CN202111566237.2A CN202111566237A CN114679260A CN 114679260 A CN114679260 A CN 114679260A CN 202111566237 A CN202111566237 A CN 202111566237A CN 114679260 A CN114679260 A CN 114679260A
Authority
CN
China
Prior art keywords
key
data
encryption
master
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111566237.2A
Other languages
English (en)
Other versions
CN114679260B (zh
Inventor
朱鹤
夏昆
崔培升
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD
Original Assignee
BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD filed Critical BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202111566237.2A priority Critical patent/CN114679260B/zh
Publication of CN114679260A publication Critical patent/CN114679260A/zh
Application granted granted Critical
Publication of CN114679260B publication Critical patent/CN114679260B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于数据处理技术领域,公开了一种旁路审计兼容扩展主秘钥的加密数据方法、系统及终端。在解析标准TLS协议数据基础上,计算扩展秘钥计算方式下的主秘钥,根据主秘钥推导对称秘钥,利用对称秘钥实现对后续加密流量解密。并整合TLS的一般主秘钥计算方式下的对称秘钥推导方法,实现对非前向安全加密套件配置项下TLS加密数据库流量解密并审计。本发明提出了一整套非前向安全加密套件下TLS流量解密方法,并把解密后的明文传递给协议解析模块,实现了对SQL语句审计并规范化输出,有效扩充了数据库审计系统的审计能力。

Description

旁路审计兼容扩展主秘钥的加密数据方法、系统及终端
技术领域
本发明属于数据处理技术领域,尤其涉及一种旁路审计兼容扩展主秘钥的加密数据方法、系统及终端。
背景技术
目前,数据库作为企业核心的信息资产,数据库审计产品受到空前关注。数据库审计系统是通过对数据库网络流量的旁路采集,基于数据库协议解析和SQL语句还原技术的数据库安全审计系统。出于安全性考虑,目前越来越多的客户端程序/Web服务等应用对数据库的访问,默认采用TLS加密连接访问方式。因此针对访问数据库的加密流量进行审计,给数据库审计系统带来了新的审计方向。
现有数据库审计系统对旁路镜像的数据库流量进行审计的主要流程包括:
以TCP协议对数据库访问的明文流量,通过协议解析还原技术,提取访问数据库的SQL语句以及服务器响应,审计并规范化输出。
以TLS协议对数据库访问的加密流量,首先,解析标准TLS协议,存储TLS加密连接在握手过程中Client.Random、Server.Random,Pre Master Secret、Server.CipherSuit,TLS.Version等信息。通过数据库服务器端的私钥文件,解密Pre Master Secret计算出Master Secret,进而推导出Client/Server两端的对称秘钥和IV。然后,利用推导出的对称秘钥和IV,根据会话协商的加密套件所采用的对称加密算法,对后续的加密数据进行解密。最后,把解密出来的明文数据传递给数据库审计系统的协议解析模块,解析操作数据库的SQL语句以及服务器的响应,审计并规范化输出。
现有技术存在的问题及缺陷为:
(1)RFC 5246提出了TLS1.2,在不改变TLS底层协议前提下,增加了扩展功能。但是TLS一般模式下的主秘钥(Master Secret)计算没有和会话参数进行绑定,因此,一个主动攻击者可以分别与客户端和服务器建立一个连接,两条连接的主秘钥相同。主秘钥基于这种计算方式,非常容易受到中间人攻击,存在三次握手攻击(Triple Handshake Attack)漏洞。
RFC 7267为TLS协议新定义了一个扩展项,并提出了主秘钥计算采用扩展主秘钥(Extended Master Secret Extension)计算新方式。把主秘钥的计算与握手阶段的消息进行绑定,从而保证不同连接产生不同的主秘钥,能够有效防止三次握手攻击。
(2)越来越多的标准TLS加密流量采用扩展主秘钥计算新方式来计算主秘钥,由于秘钥计算方式的改变,原有主秘钥计算方法不能够计算扩展方式的主秘钥,也就不能推导出对称秘钥,因此无法把后续的加密流量进行解密,造成在扩展主秘钥计算方式下的TLS加密流量,因无法解密流量而不能审计对数据库的相关操作。
旁路审计TLS数据库加密流量,关键问题是通过解析标准TLS协议,利用数据库服务器的私钥文件,根据不同的主秘钥计算方式,分别计算出主秘钥并推导对称秘钥和IV,然后解密后续的加密数据为明文。
然而,原有的主秘钥的计算方法,不能计算出扩展主秘钥计算方式的主秘钥,造成扩展秘钥计算方式下的加密流量,因不能解密而不能被审计。
为此,本发明提供了扩展主秘钥计算方式下主秘钥计算以及对称秘钥和IV的推导方法,扩大了对TLS加密流量的解密范围,扩充了数据库审计系统的审计能力。
解决以上问题及缺陷的难度为:主秘钥计算方式的改变,如何实现扩展秘钥计算方式下的主秘钥计算,如何利用主秘钥推导对称秘钥和IV,如何利用对称秘钥和IV解密后续的加密数据。
解决以上问题及缺陷的意义为:OpenSSL从1.1.0开始TLS协议主秘钥计算支持扩展秘钥计算方式,mysql 5.7开始默认情况下客户端程序对数据库访问采用标准TLS加密方式。
发明内容
为克服相关技术中存在的问题,本发明提供了一种旁路审计兼容扩展主秘钥的加密数据方法、系统及终端。技术方案如下:
旁路审计兼容扩展主秘钥的加密数据方法,包括:
读取镜像流量并过滤出待处理的加密流量,解析标准TLS协议数据,检查在握手阶段ClientHello/ServerHello消息中是否同时存在extended_master_secret extension扩展信息项,若同时存在该扩展项,则按照本发明提出的方法进行主秘钥计算,根据计算的主秘钥推导出对称秘钥,并解密后续加密数据为明文,实现对扩展主秘钥计算方式下的加密流量解密功能;若不同时存在该扩展项,则按照TLS一般主秘钥的计算方式,计算主秘钥并推导对称秘钥,然后解密后续加密数据为明文。兼容扩展主秘钥计算方式并整合TLS一般主秘钥计算方式,本发明实现了对非前向安全加密套件的TLS加密流量解密的功能。
数据库审计系统可以审计明文数据库流量,根据本发明提出的方法,对访问数据库的加密流量解密为明文,把解密后的明文数据传递给数据库审计系统的协议解析模块,进行协议解析,审计并输出操作数据库的SQL语句以及服务器响应等。
进一步的,上述旁路审计兼容扩展主秘钥的加密数据方法包括如下步骤:
步骤一,分析梳理不同数据库服务器相关的加密套件配置项,通过变更加密套件配置项的方法(一些数据库服务器允是许用户配置TLS版本、加密套件等配置项,以mysql为例,可以修改my.cnf配置文件,添加ssl_cipher=AES256-SHA:AES128-SHA),使得数据库服务器在加密传输过程中,优先选择非前向安全的加密套件算法(前向安全是密码学中通信协议的安全属性,长期使用的主秘钥/私钥泄露不会导致会话秘钥的泄露)。
步骤二,提取数据库服务器的私钥文件(分析不同数据库的配置特性,梳理总结出不同数据库的私钥提取方法),加密保护后导入数据库审计系统。
步骤三,维护数据库服务器IP与数据库服务器私钥文件的映射关系(在程序内存中,维护数据库服务器IP地址与所提取的私钥文件的映射关系)。
步骤四,解析标准的TLS协议数据(读取待审计的镜像数据包,按审计策略进行流量过滤,针对以TLS协议格式封装的数据,按照标准TLS协议格式依次解析每一个数据项),存储ClientHello.Random、ServerHello.Random、ClientHello.Extensions、ServerHello.Extensions和ClientHello-ClientKeyExchange消息;存储PreMasterSecret、ServerHello.CipherSuite和TLS.Version握手阶段中相关数据信息。
步骤五,计算主秘钥并推导对称秘钥。
步骤六,解密加密数据,利用推导出的对称秘钥,根据会话协商的加密套件中所选择的对称加密算法,把后续的加密流量解密为明文数据(TLS协议解析出会话协商的加密套件,套件中一项就是加密算法,用计算出的对称秘钥反向解密为明文)。
步骤七,审计规范化输出,把解密后的明文数据传递给数据库审计系统的协议解析模块,审计SQL语句并规范化输出。审计过程中分析各不同数据库协议的访问格式,数据库审计系统中协议解析模块实现了对数据库协议的解析能力,能够解析访问数据库SQL或命令以及对应的响应。
进一步的,步骤二描述的私钥文件导入数据库审计系统包括:利用分散秘钥材料层次化秘钥管理的加密工具(为了保护私钥文件的安全,利用分散秘钥材料层次化秘钥管理的方式,开发了一套敏感数据/文件加密保护工具),把私钥文件进行加密保护,再上传至数据库审计系统。
进一步的,步骤五描述的计算主秘钥并推导对称秘钥包括:根据数据库服务器IP与私钥文件的映射关系查找对应的私钥文件,对其解密并加载到内存;然后根据解析TLS协议存储信息,分析ClientHello和ServerHello消息中是否同时存在扩展项ExtendedMaster Secret Extension。
如果不同时存在该扩展项,则进行一般模式的对称秘钥推导,如果同时存在该扩展项,则进行扩展秘钥计算方式下的对称秘钥推导。
其中,一般模式的主秘钥计算方式下,对称秘钥推导过程包括:读取待审计的镜像流量,按照审计策略进行流量过滤;针对以TLS协议格式封装的流量数据,按照标准TLS协议格式依次解析每个数据项,其中包括:客户端/服务器IP、会话协商的加密套件、预主秘钥密文、客户端/服务端随机数等。审计系统内存维护服务器IP与私钥映射关系,根据从加密流量所解析的服务器IP可以查找到私钥,利用私钥解密预主秘钥;利用主秘钥明文、客户端随机数、服务端随机数计算客户端/服务端对称秘钥和IV;根据会话加密套件中协商的对称加密算法,利用计算出来的对称秘钥和IV解密后续的加密数据。
其中,扩展主秘钥计算方式下,对称秘钥推导过程包括:读取待审计的镜像流量,按照审计策略进行流量过滤;针对以TLS协议格式封装的流量数据,按照标准TLS协议格式依次解析每个数据项,包括:从ClientHello-ClientKeyExchange握手阶段消息、客户端/服务器IP、会话协商的加密套件、ClientHello/ServerHello扩展项信息、预主秘钥密文、客户端/服务端随机数等。根据扩展信息项判断是否是扩展秘钥计算方式;在确定是扩展秘钥计算方式后,审计系统内存中维护服务器IP与私钥映射关系,根据从加密流量中所解析的服务器IP可以查找到对应的私钥,利用私钥解密预主秘钥为明文;计算ClientHello到ClientKeyExchange消息的hash值;利用预主秘钥明文和消息的hash值计算主秘钥;利用计算出的主秘钥、客户端随机数、服务端随机数计算客户端/服务端对称秘钥和IV;根据会话加密套件中协商的对称加密算法,利用计算出来的对称秘钥和IV解密后续的加密数据。
本发明的另一目的在于提供一种实施上述旁路审计兼容扩展主秘钥的加密数据方法的系统,该加密数据系统包括:
非前向安全的加密套件算法选择模块,用于分析梳理不同数据库服务器相关的加密套件配置项,通过变更加密套件配置项的方法,使得数据库服务器在加密传输过程中,优先选择非前向安全的加密套件算法;
私钥文件导入模块,用于提取数据库服务器的私钥文件,加密保护后导入数据库审计系统;
映射关系维护模块,用于维护数据库服务器IP与数据库服务器私钥文件的映射关系;
标准TLS协议解析模块,用于解析标准的TLS协议,并存储握手阶段中相关信息;
对称秘钥推导模块,用于计算主秘钥并推导对称秘钥;
密文数据解密模块,用于解密加密数据,利用推导出来的对称秘钥,根据会话协商的加密套件中所选择的对称加密算法,把后续的加密流量解密为明文数据;
审计模块,用于审计规范化输出,把解密后的明文数据传递给数据库协议解析模块,审计SQL语句并规范化输出。
本发明的另一目的在于提供一种旁路审计兼容扩展主秘钥的加密数据终端,该终端至少包括:
计算机设备,该计算机设备包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行如下步骤:
对于非前向安全加密套件的TLS加密数据库流量,在解析标准TLS协议基础上,扩展秘钥计算方式的加密流量,进行扩展主秘钥计算方式下的主秘钥计算,并根据计算的主秘钥推导出对称秘钥,实现对扩展主秘钥计算方式下的流量解密;一般主秘钥计算模式下的加密流量,按照一般模式的对称秘钥推导方法进行对称秘钥计算并进行流量解密。
计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行旁路审计兼容扩展主秘钥的加密数据方法。
本发明提供的旁路审计兼容扩展主秘钥的加密数据终端可用于金融、公共安全、企业财务等领域的数据处理。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:
现有技术旁路解析TLS加密流量,只能对一般主秘钥计算方式的加密流量进行解密,而不能计算扩展秘钥计算方式的主秘钥,随着TLS加密流量中主秘钥的计算方式采用扩展秘钥计算方式越来越多,能够审计扩展主秘钥计算方式的TLS加密流量,提出一套针对非前向安全加密套件的加密流量进行解密功能,扩充数据库审计系统对访问数据库服务器的加密流量进行审计的能力成为迫切的需求。
在解析标准TLS协议基础上,本发明给出扩展秘钥计算方式下的主秘钥计算方法,并根据计算的主秘钥推导出对称秘钥,实现对扩展主秘钥计算方式下的加密流量解密的功能。并整合TLS一般主秘钥计算方式下对称秘钥的推导方法,对于非前向安全加密套件的TLS加密数据库流量进行解密,给出一套完整解密方案,实现了扩展主秘钥计算方式和一般主秘钥计算方式两种情况下的加密流量解密功能。
本发明提出的针对TLS加密流量的解密方法,已经成功实现了对Mysql、MongoDB、MSSQL Server数据库加密数据流量解密并旁路审计,有效扩充了数据库审计系统的审计能力。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明的公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的优选的实施例,并与说明书一起用于解释本发明的技术原理及技术方案。
图1为本发明实施例提供的旁路审计兼容扩展主秘钥的加密数据方法流程图。
图2为本发明实施例提供的现有一般方式下主秘钥计算方法流程图。
图3为本发明实施例提供的扩展秘钥计算方式下对称秘钥推导方法流程图。
图4为本发明实施例提供的加密流量解密审计示例图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的具体实施方式的限制。
基本的互联网通信协议都有在RFC文件内详细说明,本发明所涉及RFC5246为:TLS1.2协议规范标准文档;RFC 7627为:TLS扩展秘钥计算方式规范标准文档。
本实施例提供了一种旁路审计兼容扩展主秘钥的加密数据方法,包括:在数据库审计系统上添加IP与私钥映射管理、TLS协议解析、加解密等模块,新增的这些模块要实现私钥管理、TLS协议解析与信息存储、主秘钥计算与对称秘钥和IV推导、数据解密功能。
进一步的,实现对TLS加密流量解密功能的具体流程如下:在解析标准TLS协议基础上,判断ClientHello和ServerHello消息中是否同时存在扩展信息项Extended MasterSecret Extension,若同时存在则按照扩展主秘钥计算方式计算主秘钥,根据计算的主秘钥推导出对称秘钥和IV,再利用对称秘钥和IV依次解密后续的加密数据,实现对扩展主秘钥计算方式的加密流量进行解密;若不同时存在扩展项则根据一般模式下的主秘钥计算方法,计算主秘钥并推导对称秘钥和IV,再利用该对称秘钥和IV实现对后续数据解密。实现扩展秘钥计算方式和一般秘钥计算方式的加密流量解密,扩充了对非前向安全加密套件的TLS加密数据库流量解密的能力。把解密后的明文数据传递给数据库审计系统各协议解析模块,对操作数据库的SQL以及服务器响应进行审计并规范化输出。
进一步的,本实施例还提供了一种实施旁路审计兼容扩展主秘钥的加密数据方法的系统,该系统包括:
非前向安全加密套件算法选择模块,用于分析梳理不同数据库服务器相关的加密配置项,通过变更加密套件配置项的方法,使得数据库服务器在加密传输过程中,优先选择非前向安全的加密套件算法;
私钥文件导入模块,用于提取数据库服务器的私钥文件,加密保护后导入数据库审计系统;
映射关系维护模块,用于维护数据库服务器IP与数据库服务器私钥文件的映射关系;
标准TLS协议解析模块,用于解析标准的TLS协议,解析存储握手阶段中相关信息;
对称秘钥推导模块,用于计算主秘钥并推导对称秘钥;
密文数据解密模块,用于解密加密数据,利用推导出来的对称秘钥,根据加密套件中选择的对称加密算法,把后续的加密流量解密为明文数据;
审计模块,用于审计规范化输出,把解密后的明文数据传递给数据库协议解析模块,审计SQL语句并规范化输出。
下面结合具体实施例对本发明的技术方案作进一步描述。
请参考图1,为优选实施例的旁路审计兼容扩展主秘钥的加密数据方法,该方法包括:
S101,分析梳理不同数据库服务器相关的加密配置项,通过变更加密套件配置项的方法,使得数据库服务器在加密传输过程中,会优先选择非前向安全的加密套件算法;
S102,提取数据库服务器的私钥文件,将其导入数据库审计系统。由于私钥文件属于敏感需要保密的数据,本发明提供了一套加密工具,由管理员首先把该私钥文件进行加密保护,再上传至数据库审计系统;
S103,维护数据库服务器IP与其私钥文件的映射关系;
S104,解析标准TLS协议,存储ClientHello.Random、ServerHello.Random、ClientHello.Extensions、ServerHello.Extensions、ClientHello-ClientKeyExchange、PreMaster Secret、ServerHello.CipherSuite、TLS.Version握手阶段中相关信息;
S105,计算主秘钥并推导对称秘钥;
S106,解密加密数据,利用推导出来的对称秘钥,根据加密套件中选择的对称加密算法,把后续的加密流量解密为明文数据;
S107,审计规范化输出,把解密后的明文数据传递给数据库协议解析模块,审计SQL语句并规范化输出。
进一步的,步骤S105,计算主秘钥并推导对称秘钥,首先根据数据库服务器IP与私钥文件的映射关系查找私钥文件,对其解密并加载到内存,然后根据解析TLS协议存储相关信息,查看ClientHello和ServerHello消息中是否同时存在扩展项Extended MasterSecret Extension,如果不同时存在该扩展项,则按照图2所示的一般主秘钥计算方式进行对称秘钥推导,否则按照图3所示的扩展秘钥计算方式进行对称秘钥推导。
以mysql加密流量为例,按照图3方式计算扩展秘钥方式的主秘钥并推导对称秘钥并对后续加密数据解密,把解密后的明文传递给数据库审计系统mysql协议解析模块,解析并审计访问数据库的系列SQL语句,仿真效果图如图4所示。
本领域技术人员在考虑说明书实施例公开的内容后,将容易想到本发明的其它实施方案。本发明旨在涵盖实施方式的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由所附的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围应由所附的权利要求来限制。

Claims (10)

1.一种旁路审计兼容扩展主秘钥的加密数据方法,其特征在于,所述加密数据方法包括:读取镜像流量并过滤出待处理的加密流量,解析标准TLS协议数据,检查在握手阶段ClientHello/ServerHello消息中是否同时存在extended_master_secret extension扩展信息项,若同时存在所述扩展项,则按照扩展秘钥计算方式进行主秘钥计算,根据计算的主秘钥推导出对称秘钥,并解密后续加密数据为明文,实现对扩展主秘钥的加密流量进行解密;
若不同时存在所述扩展项,则按照标准TLS协议数据的一般主秘钥的计算方式,计算主秘钥并推导对称秘钥,然后解密后续加密数据为明文;
数据库审计系统审计明文数据库流量,对访问数据库的加密流量解密为明文,把解密后的明文数据传递给数据库审计系统的协议解析模块,进行协议解析,审计并输出操作数据库的SQL语句以及服务器响应。
2.根据权利要求1所述的旁路审计兼容扩展主秘钥的加密数据方法,其特征在于,包括如下步骤:
步骤一,分析梳理不同数据库服务器相关的加密套件配置项,通过变更所述加密套件配置项算法,使得数据库服务器在加密传输过程中,优先选择非前向安全的加密套件配置算法;
步骤二,总结不同数据库的私钥配置方法,提取数据库服务器的私钥文件,对其加密保护后导入数据库审计系统;
步骤三,维护数据库服务器IP与数据库服务器的私钥文件的映射关系;
步骤四,解析标准TLS协议数据,存储ClientHello.Random、ServerHello.Random、ClientHello.Extensions、ServerHello.Extensions和ClientHello-ClientKeyExchange消息;存储PreMaster Secret、ServerHello.CipherSuite和TLS.Version握手阶段的相关信息;
步骤五,计算主秘钥并推导对称秘钥;
步骤六,解密加密数据,利用推导出来的对称秘钥,根据加密套件中所选择的对称加密算法,把后续加密数据解密为明文数据;
步骤七,审计规范化输出,把解密后的明文数据传递给数据库审计系统的协议解析模块,审计SQL语句并规范化输出。
3.根据权利要求2所述的旁路审计兼容扩展主秘钥的加密数据方法,其特征在于,所述步骤二中的对私钥文件加密保护后导入数据库审计系统,还包括:
利用分散秘钥材料层次化秘钥管理的文件加密工具,将私钥文件进行加密保护,再上传至数据库审计系统。
4.根据权利要求2所述的旁路审计兼容扩展主秘钥的加密数据方法,其特征在于,所述步骤五,计算主秘钥并推导对称秘钥,还包括:
根据数据库服务器IP与私钥文件映射关系查找对应的加密私钥文件,对其解密后加载到内存;解析标准TLS协议数据相关信息,分析ClientHello消息和ServerHello消息的扩展项中是否同时存在扩展项Extended Master Secret Extension。
5.根据权利要求4所述的旁路审计兼容扩展主秘钥的加密数据方法,其特征在于,如果同时存在扩展项Extended Master Secret Extension,则按照扩展秘钥计算方式推导对称秘钥,否则根据一般主秘钥计算方式推导对称秘钥;
所述扩展秘钥计算方式推导对称秘钥包括:读取待审计的镜像流量,按照审计策略进行流量过滤;对以TLS协议格式封装的流量数据,按照标准TLS协议格式依次解析每个数据项,包括:从ClientHello-ClientKeyExchange握手阶段每个消息、客户端/服务器IP、会话协商的加密套件、ClientHello/ServerHello扩展项信息、预主秘钥密文、客户端/服务端随机数;根据所解析的扩展信息项判断主秘钥计算是否扩展秘钥计算方式;在确定是扩展秘钥计算方式后,审计系统内存中维护着服务器IP与私钥映射关系,根据从加密流量中所解析的服务器IP查找到对应私钥,利用私钥解密预主秘钥密文为明文;计算ClientHello到ClientKeyExchange消息的hash值;利用预主秘钥明文和消息hash值计算主秘钥;再利用计算出主秘钥、客户端随机数、服务端随机数计算客户端/服务端对称秘钥和IV;根据会话加密套件中协商的对称加密算法,利用计算出的对称秘钥和IV解密后续的加密数据。
6.一种旁路审计兼容扩展主秘钥的加密数据系统,采用权利要求1-5任意一项所述的旁路审计兼容扩展主秘钥的加密数据方法,其特征在于,所述加密数据系统包括:
非前向安全的加密套件配置项算法选择模块,分析梳理不同数据库服务器相关的加密配置项,通过变更加密套件配置项算法,使得数据库服务器在加密传输过程中,优先选择非前向安全的加密套件配置项算法;
私钥文件导入模块,用于提取数据库服务器的私钥文件,加密保护后导入数据库审计系统;
映射关系维护模块,用于维护数据库服务器IP与数据库服务器的私钥文件的映射关系;
标准TLS协议数据解析模块,用于解析标准TLS协议数据,解析存储握手阶段相关数据信息;
对称秘钥推导模块,用于计算主秘钥并推导对称秘钥;
密文数据解密模块,用于解密加密数据,利用推导出来的对称秘钥,根据加密套件配置项中选择的对称加密算法,把后续的加密流量解密为明文数据;
审计模块,用于审计规范化输出,把解密后的明文数据传递给数据库审计系统的协议解析模块,审计SQL语句并规范化输出。
7.根据权利要求6所述的旁路审计兼容扩展主秘钥的加密数据系统,其特征在于,还包括计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
在解析标准TLS协议数据基础上,判断加密流量主秘钥计算方式是否为扩展秘钥计算方式,若是则进行扩展主秘钥计算,根据主秘钥推导出对称秘钥,实现对扩展主秘钥计算方式下的加密流量解密,解密后续数据并进行审计;若否则按照一般主秘钥计算方式计算对称秘钥,解密后续数据并进行审计。
8.根据权利要求6所述的旁路审计兼容扩展主秘钥的加密数据系统,其特征在于,还包括计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时,使得处理器执行权利要求1-5任意一项所述的旁路审计兼容扩展主秘钥的加密数据方法。
9.一种旁路审计兼容扩展主秘钥的加密数据终端,其特征在于,所述加密数据终端用于实现权利要求1-5任意一项所述的旁路审计兼容扩展主秘钥的加密数据方法。
10.根据权利要求9所述的旁路审计兼容扩展主秘钥的加密数据终端,其特征在于,所述加密数据终端用于金融、公共安全、企业财务领域的数据处理。
CN202111566237.2A 2021-12-20 2021-12-20 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端 Active CN114679260B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111566237.2A CN114679260B (zh) 2021-12-20 2021-12-20 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111566237.2A CN114679260B (zh) 2021-12-20 2021-12-20 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端

Publications (2)

Publication Number Publication Date
CN114679260A true CN114679260A (zh) 2022-06-28
CN114679260B CN114679260B (zh) 2024-02-09

Family

ID=82069841

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111566237.2A Active CN114679260B (zh) 2021-12-20 2021-12-20 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端

Country Status (1)

Country Link
CN (1) CN114679260B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117176479A (zh) * 2023-11-02 2023-12-05 北京安博通科技股份有限公司 一种旁路解密国密流量审计的方法、装置及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2006100953A6 (en) * 2005-11-15 2007-01-11 Castelain Pty Limited Method of using conventional media as an authentication device
US20140282957A1 (en) * 2013-03-12 2014-09-18 Cable Television Laboratories, Inc. Dtcp certificate authentication over tls protocol
CN105577657A (zh) * 2015-12-18 2016-05-11 北京海泰方圆科技股份有限公司 一种ssl/tls算法套件的扩展方法
KR20190129478A (ko) * 2018-05-11 2019-11-20 국민대학교산학협력단 Ssl/tls 기반의 네트워크 보안 장치 및 방법
CN113709111A (zh) * 2021-07-28 2021-11-26 杭州迪普科技股份有限公司 连接的建立方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2006100953A6 (en) * 2005-11-15 2007-01-11 Castelain Pty Limited Method of using conventional media as an authentication device
US20140282957A1 (en) * 2013-03-12 2014-09-18 Cable Television Laboratories, Inc. Dtcp certificate authentication over tls protocol
CN105577657A (zh) * 2015-12-18 2016-05-11 北京海泰方圆科技股份有限公司 一种ssl/tls算法套件的扩展方法
KR20190129478A (ko) * 2018-05-11 2019-11-20 국민대학교산학협력단 Ssl/tls 기반의 네트워크 보안 장치 및 방법
CN113709111A (zh) * 2021-07-28 2021-11-26 杭州迪普科技股份有限公司 连接的建立方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117176479A (zh) * 2023-11-02 2023-12-05 北京安博通科技股份有限公司 一种旁路解密国密流量审计的方法、装置及电子设备

Also Published As

Publication number Publication date
CN114679260B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
US8693690B2 (en) Organizing an extensible table for storing cryptographic objects
EP3169032B1 (en) System and method of encrypted transmission of web pages
US10516532B2 (en) Session key repository
Jayaprakash et al. Cloud data encryption and authentication based on enhanced Merkle hash tree method.
CN113132388B (zh) 一种数据安全交互方法及系统
US9020149B1 (en) Protected storage for cryptographic materials
CN113542253A (zh) 一种网络流量检测方法、装置、设备及介质
de Ruiter A tale of the OpenSSL state machine: A large-scale black-box analysis
CN114679260B (zh) 旁路审计兼容扩展主秘钥的加密数据方法、系统及终端
CN107276996A (zh) 一种日志文件的传输方法及系统
US10613777B2 (en) Ensuring information security in data transfers by utilizing decoy data
CN116975926A (zh) 一种基于可信执行环境的数据库代理加密系统
CN113992734A (zh) 会话连接方法及装置、设备
KR101919762B1 (ko) 암호화 트래픽의 복호화를 위한 암호화 트래픽 관리장치 및 그 방법
Yaseen et al. Security Analysis and Deployment Measurement of Transport Layer Security Protocol
CN117319083B (zh) 一种异构隐私数据的跨链共享方法、装置、系统及设备
CN113452654B (zh) 一种数据解密的方法
Jiang Webalps implementation and performance analysis: Using trusted co-servers to enhance privacy and security of web interactions
CN112199723A (zh) Pki系统、pki控制方法以及数据安全系统
Hlushko Privacy Monitor
CN117544289A (zh) 一种基于国密算法的数据库防护方法及数据库服务系统
Bhargavi et al. Securing BIG storage: present and future
CN117938549A (zh) 一种针对tls和ssl加密连接的用户无感知解密方法
CN118249989A (zh) 密钥传输方法、装置、电子设备及存储介质
CN117668870A (zh) 信息加密存储方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant