CN116032545B - 一种ssl或tls流量多级过滤方法和系统 - Google Patents
一种ssl或tls流量多级过滤方法和系统 Download PDFInfo
- Publication number
- CN116032545B CN116032545B CN202211578595.XA CN202211578595A CN116032545B CN 116032545 B CN116032545 B CN 116032545B CN 202211578595 A CN202211578595 A CN 202211578595A CN 116032545 B CN116032545 B CN 116032545B
- Authority
- CN
- China
- Prior art keywords
- target flow
- message
- flow message
- target
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000001914 filtration Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 39
- 238000004590 computer program Methods 0.000 claims description 13
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 239000003795 chemical substances by application Substances 0.000 description 37
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种ssl或tls流量多级过滤方法和系统,通过接收ssl或tls流量报文作为第一目标流量报文,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文,若否,则将第一目标流量报文直接发送给流量代理模块,若是,则在所述第一目标流量报文的表示层解析对应流量数据,对ssl或tls协议握手信息进行处理,得到第二目标流量报文,判断所述所述第二目标流量报文是否为加密流量报文;若是,则获取第二目标流量报文的加密套件信息,将第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将第三目标流量报文发送流量代理模块。
Description
技术领域
本申请涉及ssl或tls流量多级过滤技术领域,特别是涉及一种ssl或tls流量多级过滤方法和系统。
背景技术
随着时代的发展,为了保证信息的安全性,人们将互联网与密码学关联了起来,将连接到互联网的设备间通信的信息数据通过ssl或tls和TLS协议进行加密保护传输。
随着ssl或tls加密流量的增加,有越来越多的人关注这些流量引发的安全问题及相关解决方案,同时加密/非加密流量混杂在一起的情况越来越多。目前针对ssl或tls流量卸载相关解决方案通常采用对流量采用对称加解密/非对称加解密算法进行加解密操作。这些方案通常具有以下问题:
1、将加密流量和非加密流量混杂在一起处理,在开启ssl或tls流量处理后,硬件设备整体性能将大幅度下降,影响其他功能。
2、对称加密不可靠,或管理复杂。
3、非对称加密中解密计算占整个握手过程的90%以上,导致硬件设备整体性能将大幅度下降,影响其他功能。
发明内容
基于此,针对上述技术问题,提供一种ssl或tls流量多级过滤方法和系统以解决现有针对ssl或tls流量卸载方案中存在硬件设备整体性能大幅度下降,影响其他功能以及不可靠,或管理复杂的问题。
第一方面,一种ssl或tls流量多级过滤方法,所述方法包括:
接收ssl或tls流量报文作为第一目标流量报文;
解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;
若是,则在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;
若是,则获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
上述方案中,可选地,所述流量代理模块包括:
接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文,获取所述目标流量报文中应用层对应的数据信息,根据所述数据信息与预设规则对比,选取对应代理方式代理到服务器。
上述方案中,进一步可选地,所述根据所述数据信息与预设规则对比,选取对应代理方式转发给服务器,包括:
若所述目标流量报文协议为mail协议,则通过邮件代理服务器转发,并根据所述目标流量报文是否开启了starttls标志,选择对应的流量代理流程将所述目标流量报文代理到服务器;
若所述目标流量报文协议为https协议,则判断其中认证方式内容,选择对应的http流量代理方式将所述目标流量报文代理到服务器;
若所述目标流量报文协议为其他tcp协议,则通过tcp代理转发的方式将所述目标流量报文代理到服务器。
上述方案中,进一步可选地,所述根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文包括:若所述第一目标流量报文符合预设策略特征,则为是;
若所述第一目标流量报文不符合预设策略特征,则为否。
上述方案中,进一步可选地,,所述对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文包括:通过openssl或tls库对所述第一目标流量报文的Clienthello、Serverhello、Certificate和NewSessionTicket握手信息进行处理,得到第二目标流量报文。
上述方案中,进一步可选地,,所述对应的加密流量卸载引擎包括RSA解密引擎和硬件解密引擎。
第二方面,一种ssl或tls流量多级过滤系统,所述系统包括:
接收模块:用于接收ssl或tls流量报文作为第一目标流量报文;
第一判断模块:用于解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;
第二判断模块:用于在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;
解密模块:用于获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
可选的,所述流量代理模块:用于接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文,获取所述目标流量报文中应用层对应的数据信息,根据所述数据信息与预设规则对比,选取对应代理方式代理到服务器。
第三方面,一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收ssl或tls流量报文作为第一目标流量报文;
解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;
若是,则在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;
若是,则获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收ssl或tls流量报文作为第一目标流量报文;
解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;
若是,则在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;
若是,则获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
本发明至少具有以下有益效果:
本发明基于对现有技术问题的进一步分析和研究,认识到现有针对ssl或tls流量卸载相关解决方案通常采用对流量采用对称加解密/非对称加解密算法进行加解密操作,存在硬件设备整体性能大幅度下降,影响其他功能以及不可靠,或管理复杂的问题,本发明通过接收ssl或tls流量报文作为第一目标流量报文,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文,若否,则将所述第一目标流量报文直接发送给流量代理模块,若是,则在所述第一目标流量报文的表示层解析对应流量数据,对ssl或tls协议握手信息进行处理,得到第二目标流量报文,判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;若是,则获取第二目标流量报文的加密套件信息,将第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将第三目标流量报文发送流量代理模块。本发明在硬件加解密的基础上,通过分离和优化流程来平衡现有方案存在的硬件设备整体性能大幅度下降,影响其他功能以及不可靠,或管理复杂问题,通过策略来避免端口混淆问题,通过学习机制和流量特征处理,来减少后续相同流量带来的压力。
附图说明
图1为本发明一个实施例提供的ssl或tls流量多级过滤方法的流程示意图;
图2为本发明一个实施例提供的ssl或tls流量多级过滤方法的流程框架示意图;
图3为本发明一个实施例提供的ssl或tls流量多级过滤方法的流量预处理流程示意图;
图4为本发明一个实施例提供的ssl或tls流量多级过滤方法的加密流量处理流程示意图;
图5为本发明一个实施例提供的ssl或tls流量多级过滤方法的流量特征处理流程示意图;
图6为本发明一个实施例提供的ssl或tls流量多级过滤方法的流量代理流程示意图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1和图2所示,提供了一种ssl或tls流量多级过滤方法,包括以下步骤:
接收ssl或tls流量报文作为第一目标流量报文;
解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;其中,所述预设策略即符合需要解密处理的对应ip及端口的流量。
若是,则在所述第一目标流量报文的表示层解析对应流量数据,具体为根据其配置需要解密的四元组信息,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;其中,所述四元组包括如下:源地址、源端口、目的地址和目的端口。
匹配对应策略:根据对应流量信息判断是否为加密流量
若是,则获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
在一个实施例中,所述流量代理模块包括:
接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文,获取所述目标流量报文中应用层对应的数据信息,根据所述数据信息与预设规则对比,选取对应代理方式代理到服务器。
在一个实施例中,所述根据所述数据信息与预设规则对比,选取对应代理方式转发给服务器,包括:
若所述目标流量报文协议为mail协议,则通过邮件代理服务器转发,并5根据所述目标流量报文是否开启了starttls标志,选择对应的流量代理流程将所述目标流量报文代理到服务器;
若所述目标流量报文协议为https协议,则判断其中认证方式内容,选择对应的http流量代理方式将所述目标流量报文代理到服务器;
若所述目标流量报文协议为其他tcp协议,则通过tcp代理转发的方式将0所述目标流量报文代理到服务器。
在一个实施例中,所述根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文包括:若所述第一目标流量报文符合预设策略特征,则为是;
若所述第一目标流量报文不符合预设策略特征,则为否。
5在一个实施例中,所述对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文包括:通过openssl或tls库对所述第一目标流量报文的Clienthello、Serverhello、Certificate和NewSessionTicket握手信息进行处理,得到第二目标流量报文。
在一个实施例中,所述对应的加密流量卸载引擎包括RSA解密引擎和硬件0解密引擎。
在一个实施例中,如图2所示,为了解决现有技术存在的问题提出了一种基于ssl或tls网络流量分级处理方法,主要接入在客户端与服务器之间的硬件设备上,通过解析osi七层模型中的二到六层的数据包,来完成对与ssl
或tls流量的分流处理。一共分为以下五个模块:流量接收模块:用于收取客5户端发送到客户端的流量报文。
流量特征预处理模块:在网络层提取根据在四元组及内置规则提取对应的流量传输到流量特征处理模块。
加密流量特征处理模块:在表示层结合openssl或tls库对ssl或tls协议握手信息解析,判断流量是否为加密流量。
流量特征处理模块:根据加密流量的加密算法等信息将流量转发到解密引擎或流量代理服务器。
流量代理模块:在传输层通过协议识别来根据不同的流量类型,采用不同的处理方式将流量代理到服务器。
本实施例主要在流量特征预处理、流量特征提取、流量处理三个模块上分级对ssl或tls流量进行处理,从而完成对混杂流量的处理,保证后续代理流程的正确性,并减轻了后续相同流量带来的处理压力。
在一个实施例中,如图3所示,流量特征预提取模块:用于特征预过滤模块收到流量后,解析流量,获取其中的四元组数据。根据预置策略或配置策略判断流量的四元组是否符合策略特征。如果符合预置的策略特征,将流量推送到加密流量特征处理模块。如果不符合预置的策略特征,则将流量发送至流量代理模块,从而将流量转发至服务。
在一个实施例中,如图4所示,加密流量特征处理模块:用于接收到流量预处理模块上传的数据后,在表示层解析对应流量,提取其中的ssl或tls协议握手信息。通过过openssl或tls库对加密流量的Clienthello、Serverhello、Certificate和NewSessionTicket等握手信息进行处理。将处理后得到的结果同预置策略进行对比,来判断出流量是加密流量还是非加密流量,流量所选的加密套件等相关信息,并将数据包上打上对应标志信息。如果该流量符合加密流量的相关策略,则获取流量加密套件的相关信息,并将对应的会话打上标记。送入流量特征处理模块。如果该流量不符合加密流量的相关策略,则将流量送入流量代理模块,并将判断结果反馈给流量特征预提取模块,从而避免流量混淆的情况发生,也减少了后期对非加密流量的处理,减轻了加密流量处理模块的性能损耗。
在一个实施例中,如图5所示,流量特征处理模块:用于数据包进入流量特征处理模块后,将数据包中的标记信息及内置规则进行对比,判断ssl或tls流量采取的加密套件的信息。根据不同的加密算法。将流量送入对应的加密流量卸载引擎中,ssl或tls流量信息卸载完成后,将流量送入流量代理模块。
在一个实施例中,如图6所示,流量代理模块:用于数据包进入流量代理模块后,提取应用层中对应的数据信息,并根据提取到的不同数据信息同预置规则进行比对,从而采取不同的代理方式。如果是mail协议,则通过邮件代理服务器转发,并根据其中是否开启了starttls标志,选择对应的流量代理流程将流量代理到服务器。如果是https协议,则判断其中认证方式等其他相关内容,来选择对应的http流量代理方式将流量代理到服务器。如果是其他tcp协议,则直接通过tcp代理转发的方式将流量代理到服务器。
本实施例中,还通过接收ssl或tls流量报文作为第一目标流量报文,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文,若否,则将所述第一目标流量报文直接发送给流量代理模块,若是,则在所述第一目标流量报文的表示层解析对应流量数据,对ssl或tls协议握手信息进行处理,得到第二目标流量报文,判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;若是,则获取第二目标流量报文的加密套件信息,将第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将第三目标流量报文发送流量代理模块。本实施例在硬件加解密的基础上,通过分离和优化流程来平衡现有方案存在的硬件设备整体性能大幅度下降,影响其他功能以及不可靠,或管理复杂问题,通过策略来避免端口混淆问题,通过学习机制和流量特征处理,来减少后续相同流量带来的压力。
应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,提供了一种ssl或tls流量多级过滤系统,包括以下程序模块:接收模块:用于接收ssl或tls流量报文作为第一目标流量报文;
第一判断模块:用于解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;
第二判断模块:用于在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;
解密模块:用于获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
在一个实施例中,所述流量代理模块:用于接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文,获取所述目标流量报文中应用层对应的数据信息,根据所述数据信息与预设规则对比,选取对应代理方式代理到服务器。
关于ssl或tls流量多级过滤系统的具体限定可以参见上文中对于ssl或tls流量多级过滤方法的限定,在此不再赘述。上述ssl或tls流量多级过滤系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入系统。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种ssl或tls流量多级过滤方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入系统可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,涉及上述实施例方法中的全部或部分流程。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,涉及上述实施例方法中的全部或部分流程。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random AccessMemory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(StaticRandomAccessMemory,SRAM)或动态随机存取存储器(DynamicRandomAccessMemory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种ssl或tls流量多级过滤方法,其特征在于,所述方法包括:
接收ssl或tls流量报文作为第一目标流量报文;
解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略,以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;其中,所述预设策略即符合需要解密处理的对应ip及端口的流量;
若是,则在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;其中,所述四元组数据包括如下:源地址、源端口、目的地址和目的端口;匹配对应策略为根据对应流量信息判断是否为加密流量;
若是,则获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
2.根据权利要求1所述的方法,其特征在于,所述流量代理模块包括:
接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文,获取所述目标流量报文中应用层对应的数据信息,根据所述数据信息与预设规则对比,选取对应代理方式代理到服务器。
3.根据权利要求2所述的方法,其特征在于,所述根据所述数据信息与预设规则对比,选取对应代理方式转发给服务器,包括:
若所述目标流量报文协议为mail协议,则通过邮件代理服务器转发,并根据所述目标流量报文是否开启了starttls标志,选择对应的流量代理流程将所述目标流量报文代理到服务器;
若所述目标流量报文协议为https协议,则判断其中认证方式内容,选择对应的http流量代理方式将所述目标流量报文代理到服务器;
若所述目标流量报文协议为其他tcp协议,则通过tcp代理转发的方式将所述目标流量报文代理到服务器。
4.根据权利要求1所述的方法,其特征在于,所述根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文包括:若所述第一目标流量报文符合预设策略特征,则为是;
若所述第一目标流量报文不符合预设策略特征,则为否。
5.根据权利要求1所述的方法,其特征在于,所述对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文包括:通过openssl或tls库对所述第一目标流量报文的Clienthello、Server hello、Certificate和New Session Ticket握手信息进行处理,得到第二目标流量报文。
6.根据权利要求1所述的方法,其特征在于,所述对应的加密流量卸载引擎包括RSA解密引擎和硬件解密引擎。
7.一种ssl或tls流量多级过滤系统,其特征在于,所述系统包括:
接收模块:用于接收ssl或tls流量报文作为第一目标流量报文;
第一判断模块:用于解析所述第一目标流量报文,获取所述第一目标流量报文的四元组数据,根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文;若否,则将所述第一目标流量报文发送给流量代理模块;其中,所述预设策略即符合需要解密处理的对应ip及端口的流量;
第二判断模块:用于在所述第一目标流量报文的表示层解析对应流量数据,获取所述第一目标流量报文中的ssl或tls协议握手信息,并对所述ssl或tls协议握手信息进行处理,得到第二目标流量报文,根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文;若否,则将所述第二目标流量报文发送给流量代理模块;其中,所述四元组数据包括如下:源地址、源端口、目的地址和目的端口;匹配对应策略为根据对应流量信息判断是否为加密流量;
解密模块:用于获取所述第二目标流量报文的加密套件信息,根据所述加密套件信息和对应加密算法,将所述第二目标流量报文输入对应的加密流量卸载引擎中,获取加密流量卸载后的第三目标流量报文,将所述第三目标流量报文发送流量代理模块。
8.根据权利要求7所述的系统,其特征在于,所述流量代理模块:
用于接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文,获取所述目标流量报文中应用层对应的数据信息,根据所述数据信息与预设规则对比,选取对应代理方式代理到服务器。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211578595.XA CN116032545B (zh) | 2022-12-06 | 2022-12-06 | 一种ssl或tls流量多级过滤方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211578595.XA CN116032545B (zh) | 2022-12-06 | 2022-12-06 | 一种ssl或tls流量多级过滤方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116032545A CN116032545A (zh) | 2023-04-28 |
| CN116032545B true CN116032545B (zh) | 2024-03-22 |
Family
ID=86075045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211578595.XA Active CN116032545B (zh) | 2022-12-06 | 2022-12-06 | 一种ssl或tls流量多级过滤方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116032545B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
| CN109714302A (zh) * | 2017-10-25 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 算法的卸载方法、装置和系统 |
| CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN111092888A (zh) * | 2019-12-17 | 2020-05-01 | 深信服科技股份有限公司 | 数据同时互通方法、装置、设备及存储介质 |
| CN111428225A (zh) * | 2020-02-26 | 2020-07-17 | 深圳壹账通智能科技有限公司 | 数据交互方法、装置、计算机设备及存储介质 |
| CN112055032A (zh) * | 2020-09-21 | 2020-12-08 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112217833A (zh) * | 2020-10-21 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 |
| CN112487483A (zh) * | 2020-12-14 | 2021-03-12 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN114449064A (zh) * | 2022-01-26 | 2022-05-06 | 普联技术有限公司 | Tls加密流量的应用识别方法、装置和应用识别设备 |
| CN115021919A (zh) * | 2022-06-30 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | Ssl协商方法、装置、设备及计算机可读存储介质 |
| CN115378660A (zh) * | 2022-07-29 | 2022-11-22 | 天翼云科技有限公司 | 一种数据传输方法、装置、设备及介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10462182B2 (en) * | 2017-05-12 | 2019-10-29 | Vmware, Inc. | Thin agent-based SSL offloading |
| US10284526B2 (en) * | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US20210211467A1 (en) * | 2020-04-02 | 2021-07-08 | Intel Corporation | Offload of decryption operations |
-
2022
- 2022-12-06 CN CN202211578595.XA patent/CN116032545B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
| CN109714302A (zh) * | 2017-10-25 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 算法的卸载方法、装置和系统 |
| CN110190955A (zh) * | 2019-05-27 | 2019-08-30 | 新华三信息安全技术有限公司 | 基于安全套接层协议认证的信息处理方法及装置 |
| CN111092888A (zh) * | 2019-12-17 | 2020-05-01 | 深信服科技股份有限公司 | 数据同时互通方法、装置、设备及存储介质 |
| CN111428225A (zh) * | 2020-02-26 | 2020-07-17 | 深圳壹账通智能科技有限公司 | 数据交互方法、装置、计算机设备及存储介质 |
| CN112055032A (zh) * | 2020-09-21 | 2020-12-08 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112217833A (zh) * | 2020-10-21 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 |
| CN112487483A (zh) * | 2020-12-14 | 2021-03-12 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN114449064A (zh) * | 2022-01-26 | 2022-05-06 | 普联技术有限公司 | Tls加密流量的应用识别方法、装置和应用识别设备 |
| CN115021919A (zh) * | 2022-06-30 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | Ssl协商方法、装置、设备及计算机可读存储介质 |
| CN115378660A (zh) * | 2022-07-29 | 2022-11-22 | 天翼云科技有限公司 | 一种数据传输方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116032545A (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3603003B1 (en) | Hardware-accelerated secure communication management | |
| CN110199508B (zh) | 敏感数据跨内容分发网络的安全数据分配 | |
| US9607162B2 (en) | Implementation of secure communications in a support system | |
| US7082477B1 (en) | Virtual application of features to electronic messages | |
| US20190229903A1 (en) | Hardware offload for quic connections | |
| US11757973B2 (en) | Technologies for accelerated HTTP processing with hardware acceleration | |
| US7716730B1 (en) | Cryptographic offload using TNICs | |
| US8873746B2 (en) | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes | |
| US20180234256A1 (en) | Network security with surrogate digital certificates | |
| US20060050889A1 (en) | Decrypting block encrypted data | |
| CN114008976B (zh) | 用于双壳加密的混合密钥交换 | |
| CN112055032A (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
| US11005732B1 (en) | Methods for improved service chain classification and management and devices thereof | |
| CN114095195B (zh) | 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质 | |
| CN116055475A (zh) | 一种旁路监听https的检测方法及装置 | |
| CN104660592A (zh) | 一种基于安全套接层协议特征的负载分发方法 | |
| CN117081840B (zh) | 安全套接层通信方法、装置、专用数据处理器及介质 | |
| CN116032545B (zh) | 一种ssl或tls流量多级过滤方法和系统 | |
| CN110858834A (zh) | 用户信息传输方法、装置、系统和计算机可读存储介质 | |
| US20090185581A1 (en) | Network message transformation device and methods thereof | |
| CN118509252B (zh) | 一种加密流量镜像外发方法及装置 | |
| CN117255061B (zh) | 基于dpu的加密报文限速方法及装置 | |
| CN114978643B (zh) | 一种通信方法、网络设备及存储介质 | |
| EP4224749A1 (en) | Encrypted message detection method and protective device | |
| CN117978447A (zh) | 一种基于物理隔离跨网跨域传输的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Liu Qinglin Inventor after: Jiang Xiaoguang Inventor after: Yan Guanglin Inventor after: Zhao Jianyu Inventor after: Li Xiaoqiong Inventor after: Wei Haiyu Inventor after: Xie Hui Inventor after: An Enqing Inventor after: Zhang Nailiang Inventor after: Yang Xiaofeng Inventor after: Liu Haiyang Inventor before: Liu Qinglin Inventor before: Yan Guanglin Inventor before: Li Xiaoqiong Inventor before: Wei Haiyu Inventor before: Xie Hui Inventor before: An Enqing Inventor before: Zhang Nailiang Inventor before: Yang Xiaofeng Inventor before: Liu Haiyang Inventor before: Jiang Xiaoguang |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |