WO2017215582A1 - 加密内容检测的方法和设备 - Google Patents

Abstract

本发明实施例提供了一种加密内容检测的方法和设备，该方法包括：中间盒子网络设备通过第一安全通道接收密钥管理器发送的TLS安全通道的密钥信息；中间盒子网络设备根据TLS安全通道的五元组信息获取通过TLS安全通道传输的加密的应用数据；中间盒子网络设备采用会话密钥对加密的应用数据进行解密，并对解密后的内容进行检测。本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容的检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

Description

加密内容检测的方法和设备 技术领域

本发明涉及通信领域，并且更具体地，涉及一种加密内容检测的方法、密钥管理器、中间盒子网络设备和服务器。

背景技术

云技术的广泛应用使得越来越多的企业在数据中心网络(Data Center Network，DCN)内部署了云业务。为了保护用户信息隐私的安全性，DCN提供了安全传输层协议(Transport Layer Security，TLS)加密访问云服务。同时为了保护业务自身的安全性，DCN出口处部署了安全资源池，包括防火墙(FireWall，FW)、入侵防御系统(Intrusion Prevention System，IPS)、分布式拒绝服务(Distributed Denial of Service，DDoS)防御、病毒检测、网络行为监控等。

在TLS用于在两个通信应用程序之间提供保密性和数据完整性的同时，也为黑客提供了一个隐蔽的新威胁载体。如果加密内容隐藏有病毒、木马、恶意软件等，而不利用FW、入侵检测系统(Intrusion Detection Systems，IDS)，IPS等网络安全设备(通常称为中间盒子网络设备(middlebox))对加密内容进行检测，就会给企业与个人带来损失。因此FW，IPS等网络安全设备如何对访问DCN业务的TLS加密内容进行检测成为了关键问题。

现有技术采用如图1所示的方法对TLS加密内容进行检测。如图1所示，客户端与TLS代理服务器之间建立TLS安全通道1，TLS代理服务器与服务器之间建立TLS安全通道2。以客户端向服务器发送加密报文为例，TLS代理服务器对通过TLS安全通道1接收到的加密报文进行解密，然后传送到中间盒子网络设备(middlebox)上做明文内容检测；中间盒子网络设备将优化处理过的报文再传送回TLS代理服务器，TLS代理服务器再对优化处理过的报文进行加密，并通过TLS连接2发送给服务器。在这种采用两段独立的TLS安全通道的方案中，需要依赖TLS代理服务器，这样会造成检测复杂度高以及成本较高的问题。

发明内容

本发明实施例提供一种加密内容检测的方法、密钥管理器、中间盒子网络设备、服务器、客户端和软件定义网络(Software Defined Network，SDN)控制器，能够降低检测复杂度，并且能够降低检测成本。

第一方面，提供了一种加密内容检测的方法，该方法应用于通信网络，该通信网络包括中间盒子网络设备、密钥管理器和服务器，中间盒子网络设备位于客户端和服务器之间建立的安全传输层协议TLS安全通道上，包括：密钥管理器获取TLS安全通道的密钥信息；密钥管理器通过第一安全通道向中间盒子网络设备发送密钥信息，以便于中间盒子网络设备采用与密钥信息对应的会话密钥对通过TLS安全通道传输的加密的应用数 据进行解密，和对解密后的应用数据进行检测，其中，加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的，第一安全通道为密钥管理器与盒子网络设备之间建立的安全通道。

本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

结合第一方面，在第一方面的第一种可能的实现方式中，在密钥管理器获取TLS安全通道的密钥信息之前，该方法还包括：密钥管理器接收中间盒子网络设备通过第一安全通道发送的第一密钥请求消息，第一密钥请求消息包括TLS安全通道的五元组信息，第一密钥请求消息用于请求密钥信息，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议；其中，密钥管理器获取TLS安全通道的密钥信息，包括：密钥管理器根据五元组信息获取密钥信息。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，密钥管理器根据五元组信息获取密钥信息，包括：密钥管理器通过第二安全通道向服务器发送第二密钥请求消息，第二密钥请求消息包括五元组信息，第二安全通道为密钥管理器与服务器之间建立的安全通道；密钥管理器接收服务器根据第二密钥请求消息发送的密钥信息。

结合第一方面，在第一方面的第三种可能的实现方式中，密钥管理器获取TLS安全通道的密钥信息，包括：密钥管理器通过第二安全通道接收服务器发送的会话信息，会话信息包括TLS安全通道的五元组信息和密钥信息，五元组信息包括客户端的网际协议(Internet Protocol，IP)地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议，第二安全通道为密钥管理器和服务器之间建立的安全通道；密钥管理器获取会话信息中的密钥信息；其中，在密钥管理器通过第一安全通道向中间盒子网络设备发送密钥信息之前，该方法还包括：密钥管理器确定经过五元组信息所标识的TLS安全通道的中间盒子网络设备；该方法还包括：密钥管理器向中间盒子网络设备发送五元组信息。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，该通信网络还包括软件定义网络SDN控制器，其中，密钥管理器和SDN控制器之间相连接，SDN控制器与中间盒子网络设备之间相连接；密钥管理器根据五元组信息确定中间盒子网络设备，包括：密钥管理器向SDN控制器发送设备请求消息，设备请求消息包括五元组信息，设备请求消息用于请求经过五元组信息所标识的TLS安全通道的中间盒子网络设备的设备信息；密钥管理器接收SDN控制器根据设备请求消息发送的设备信息。

结合第一方面或第一方面的上述任一种可能的实现方式，在第一方面的第五种可能的实现方式中，密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，第一随机数和预主密钥为客户端生成的随机数，第二随机数为服务器生成的随机数，伪随机函数用于根据第一随机数、第二随机数和预主密钥生成会话密钥。

结合第一方面或第一方面的第二种至第四种的可能的实现方式中的任一种可能的实现方式，在第一方面的第六种可能的实现方式中，密钥信息包括会话密钥。

结合第一方面，在第一方面的第七种可能的实现方式中，密钥信息包括会话密钥，密钥管理器获取TLS安全通道的密钥信息，包括：密钥管理器根据从服务器接收的第一 随机数、第二随机数、预主密钥和伪随机函数生成会话密钥，第一随机数和预主密钥为客户端生成的随机数，第二随机数为服务器生成的随机数，伪随机函数用于根据第一随机数、第二随机数和预主密钥生成会话密钥。

结合第一方面或第一方面的上述任一种可能的实现方式，在第一方面的第八种可能的实现方式中，密钥管理器通过第一安全通道向中间盒子网络设备发送密钥信息之前，该方法还包括：密钥管理器与中间盒子网络设备之间建立该第一安全通道。

第二方面，提供了一种加密内容检测的方法，该方法应用于通信网络，该通信网络包括中间盒子网络设备、密钥管理器和服务器，中间盒子网络设备位于客户端和服务器之间建立的安全传输层协议TLS安全通道上，包括：中间盒子网络设备通过第一安全通道接收密钥管理器发送的TLS安全通道的密钥信息，其中，第一安全通道为中间盒子网络设备与密钥管理器之间建立的安全通道；中间盒子网络设备根据TLS安全通道的五元组信息获取通过TLS安全通道传输的加密的应用数据，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议，加密的应用数据是客户端或服务器基于与密钥信息对应的会话密钥对应用数据加密生成的；中间盒子网络设备采用会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测。

本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

结合第二方面，在第二方面的第一种可能的实现方式中，密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，第一随机数和预主密钥为客户端生成的随机数，第二随机数为服务器生成的随机数，伪随机函数用于根据第一随机数、第二随机数和预主密钥生成会话密钥，其中，在中间盒子网络设备采用会话密钥对加密的应用数据进行解密之前，该方法还包括：中间盒子网络设备根据第一随机数、第二随机数、预主密钥和伪随机函数生成会话密钥，如，将所述第一随机数、所述第二随机数和所述预主密钥作为所述伪随机函数的自变量，通过所述伪随机函数计算所述会话密钥。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，密钥信息包括会话密钥。

结合第二方面或第二方面的上述任一种可能的实现方式，在第二方面的第三种可能的实现方式中，在中间盒子网络设备通过第一安全通道接收密钥管理器发送的TLS安全通道的密钥信息之前，该方法还包括：中间盒子网络设备通过第一安全通道向密钥管理器发送密钥请求消息，密钥请求消息包括五元组信息，密钥请求消息用于请求密钥信息；其中，中间盒子网络设备通过第一安全通道接收密钥管理器发送的TLS安全通道的密钥信息，包括：中间盒子网络设备通过第一安全通道接收密钥管理器根据密钥请求消息发送的密钥信息。

结合第二方面或第二方面的上述任一种可能的实现方式，在第二方面的第四种可能的实现方式中，在中间盒子网络设备根据TLS安全通道的五元组信息获取通过TLS安全通道传输的加密的应用数据之前，该方法还包括：中间盒子网络设备通过第一安全通道接收密钥管理器发送的五元组信息。

第三方面，提供了一种加密内容检测的方法，该方法应用于通信网络，该通信网络 包括中间盒子网络设备、密钥管理器和服务器，中间盒子网络设备位于客户端和服务器之间建立的安全传输层协议TLS安全通道上，包括：服务器确定TLS安全通道的密钥信息；服务器通过第二安全通道向密钥管理器发送密钥信息，以便于密钥管理器通过第一安全通道向中间盒子网络设备发送密钥信息，以使中间盒子网络设备采用与密钥信息对应的会话密钥对通过TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的，第一安全通道为密钥管理器与中间盒子网络设备之间建立的安全通道，第二安全通道为密钥管理器和服务器之间建立的安全通道。

本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

结合第三方面，在第三方面的第一种可能的实现方式中，在服务器通过第二安全通道向密钥管理器发送密钥信息之前，该方法还包括：服务器通过TLS安全通道向客户端发送检测询问消息，检测询问消息用于确定客户端是否同意中间盒子网络设备对加密的应用数据进行加密内容检测；服务器接收客户端发送的对检测询问消息反馈的同意检测消息，同意检测消息用于指示客户端同意中间盒子网络设备对加密的应用数据进行加密内容检测。

通过在确定所述客户端同意对所述客户端和所述服务器之间传输的加密内容进行检测的情况下进行加密内容检测，可以减少安全风险。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，在服务器确定TLS安全通道的密钥信息之前，该方法还包括：服务器接收密钥管理器通过第二安全通道发送的密钥请求消息，密钥请求消息包括TLS安全通道的五元组信息，密钥请求消息用于请求密钥信息，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议；其中，服务器确定密钥信息，包括：服务器根据五元组信息确定五元组信息所标识的TLS安全通道的密钥信息。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第三种可能的实现方式中，该方法还包括：服务器确定TLS安全通道的五元组信息，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议；服务器向密钥管理器发送五元组信息。

第四方面，提供了一种加密内容检测的方法，该方法应用于通信网络，该通信网络包括中间盒子网络设备、密钥管理器和服务器，中间盒子网络设备位于客户端和服务器之间建立的安全传输层协议TLS安全通道上，包括：客户端接收服务器通过TLS安全通道发送的检测询问消息，检测询问消息用于确定客户端是否同意中间盒子网络设备对加密的应用数据进行加密内容检测，加密的应用数据是客户端或服务器基于TLS安全通道的会话密钥对应用数据加密生成的；在客户端同意中间盒子网络设备对加密的应用数据进行加密内容检测时，通过TLS安全通道向服务器发送同意检测消息。

通过在确定所述客户端同意对所述客户端和所述服务器之间传输的加密内容进行检测的情况下进行加密内容检测，可以减少安全风险。

第五方面，提供了一种加密内容检测的方法，该方法应用于通信网络，该通信网络 包括中间盒子网络设备、密钥管理器、SDN控制器和服务器，中间盒子网络设备位于客户端和服务器之间建立的安全传输层协议TLS安全通道上，密钥管理器和SDN控制器之间相连接，SDN控制器与中间盒子网络设备之间相连接，包括：SDN控制器接收密钥管理器发送的设备请求消息，设备请求消息包括TLS安全通道的五元组信息，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议；SDN控制器根据设备请求消息确定经过所述五元组信息所标识的TLS安全通道的中间盒子网络设备的设备信息；SDN控制器向密钥管理器发送设备信息，以便于密钥管理器根据所述中间盒子网络设备的设备信息通过第一安全通道向所述中间盒子网络设备发送五元组信息和TLS安全通道的密钥信息，以使中间盒子网络设备根据五元组信息获取客户端和服务器之间通过TLS安全通道传输的加密的应用数据，并采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测，其中，加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的，第一安全通道为中间盒子网络设备与密钥管理器之间建立的安全通道。

本发明实施例的加密内容检测的方法，通过SDN控制器确定的中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

第六方面，提供了一种密钥管理器，用于执行第一方面或第一方面的任意可能的实现方式中的方法。具体地，该密钥管理器包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的单元。

第七方面，提供了一种中间盒子网络设备，用于执行第二方面或第二方面的任意可能的实现方式中的方法。具体地，该中间盒子网络设备包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的单元。

第八方面，提供了一种服务器，用于执行第三方面或第三方面的任意可能的实现方式中的方法。具体地，该服务器包括用于执行第三方面或第三方面的任意可能的实现方式中的方法的单元。

第九方面，提供了一种客户端，用于执行第四方面或第四方面的任意可能的实现方式中的方法。具体地，该客户端包括用于执行第四方面或第四方面的任意可能的实现方式中的方法的单元。

第十方面，提供了一种SDN控制器，用于执行第五方面或第五方面的任意可能的实现方式中的方法。具体地，该SDN控制器包括用于执行第五方面或第五方面的任意可能的实现方式中的方法的单元。

第十一方面，提供了一种密钥管理器，该密钥管理器包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连，存储器用于存储指令，处理器用于执行存储器存储的指令，以控制接收器接收信号和控制发送器发送信号。并且当处理器执行存储器存储的指令时，使得处理器执行第一方面或第一方面的任意可能的实现方式中的方法。

第十二方面，提供了一种中间盒子网络设备，该中间盒子网络设备包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连，存储器用于存储指令，处理器用于执行存储器存储的指令，以控制接收器接收信号和控制发送器发送信号。并且当处理器执行存储器存储的指令时，使得处理器执 行第二方面或第二方面的任意可能的实现方式中的方法。

第十三方面，提供了一种服务器，该服务器包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连，存储器用于存储指令，处理器用于执行存储器存储的指令，以控制接收器接收信号和控制发送器发送信号。并且当处理器执行存储器存储的指令时，使得处理器执行第三方面或第三方面的任意可能的实现方式中的方法。

第十四方面，提供了一种客户端，该客户端包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连，存储器用于存储指令，处理器用于执行存储器存储的指令，以控制接收器接收信号和控制发送器发送信号。并且当处理器执行存储器存储的指令时，使得处理器执行第四方面或第四方面的任意可能的实现方式中的方法。

第十五方面，提供了一种SDN控制器，该SDN控制器包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连，存储器用于存储指令，处理器用于执行存储器存储的指令，以控制接收器接收信号和控制发送器发送信号。并且当处理器执行存储器存储的指令时，使得处理器执行第五方面或第五方面的任意可能的实现方式中的方法。

第十六方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第十七方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的指令。

第十八方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第三方面或第三方面的任意可能的实现方式中的方法的指令。

第十九方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第四方面或第四方面的任意可能的实现方式中的方法的指令。

第二十方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第五方面或第五方面的任意可能的实现方式中的方法的指令。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术中对加密内容进行检测的方法。

图2是一个TLS握手阶段流程的示意性流程图。

图3是根据本发明实施例的系统架构的示意性框图。

图4是根据本发明实施例的加密内容检测的方法的示意性流程图。

图5是根据本发明一个实施例的加密内容检测的方法的示意性流程图。

图6是根据本发明另一实施例的加密内容检测的方法的示意性流程图。

图7是根据本发明实施例的密钥管理器的示意性框图。

图8是根据本发明实施例的中间盒子网络设备的示意性框图。

图9是根据本发明实施例的服务器的示意性框图。

图10是根据本发明实施例的密钥管理器的示意性结构图。

图11是根据本发明实施例的中间盒子网络设备的示意性结构图。

图12是根据本发明实施例的服务器的示意性结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

安全传输层协议TLS用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议的基本过程是：(1)客户端向服务器索要并验证公钥；(2)双方协商生成"会话密钥"(“会话密钥”也称为“主密钥”)；(3)双方采用"会话密钥"进行加密通信。上述的过程的前两步又称为“握手阶段”。两个通信应用程序，即客户端和服务器之间握手阶段的一个流程如图2所示。

201，客户端向服务器发送客户端握手(client_hello)消息，启动TLS会话。

首先，客户端(通常是浏览器)先向服务器发出加密通信的请求，称为client_hello。在该步骤中，客户端主要向服务器提供以下信息：

(1)支持的协议版本，比如TLS 1.0版。

(2)一个客户端生成的随机数，稍后用于生成"会话密钥"。为了描述方便，在以下的描述中将客户端生成的随机数称为“第一随机数”。

(3)支持的加密方法，比如RSA公钥加密。

(4)支持的压缩方法。

202，服务器向客户端发送服务器握手(server_hello)消息。

服务器收到客户端握手消息后，向客户端发送服务器握手消息，称为server_hello。服务器握手消息主要包括以下内容：

(1)确认使用的加密通信协议版本，比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致，服务器终止加密通信。

(2)一个服务器生成的随机数，稍后用于生成"会话密钥"。为了描述方便，在以下的描述中将服务器生成的随机数称为“第二随机数”。

(3)确认使用的加密方法，比如RSA公钥加密。

(4)确认的压缩方法。

203，服务器向客户端发送数字证书(certificate)。

服务器的数字证书中包括服务器的公钥。客户端收到服务器发送的数字证书后，对该数字证书进行认证。如果认证通过，客户端将获得服务器的公钥。

204、服务器向客户端发送服务器握手下线(serve_hello_done)消息。

服务器握手下线消息表示服务器的Hello消息已发送完毕。

205，客户端向服务器发送密钥交换(client_key_exchange)消息。

密钥交换消息采用服务器的公钥进行加密。密钥交换消息包括客户端生成的随机数，这个随机数是握手阶段的第三个随机数，也称为“预主密钥”。有了预主密钥以后，客户 端和服务器就同时有了三个随机数。接着双方将三个随机数作为伪随机函数的三个自变量，可以各自生成本次会话所用的同一把"会话密钥"。

206，客户端向服务器发送客户端完成(finished)消息。

该客户端完成消息包括步骤201～205发送的所有内容的哈希hash值，用来供服务器校验。

207，服务器向客户端发送服务器完成(finished)消息。

服务器收到客户端的第三个随机数，即预主密钥之后，计算生成本次会话所用的"会话密钥"。然后，向客户端发送服务器完成消息。服务器完成消息包括步骤201～206发送的所有内容的哈希hash值，用来供客户端校验。至此，整个握手阶段全部结束。

握手阶段完成后，TLS安全通道建立成功，客户端与服务器之间就可以通过所述TLS安全通道传输应用数据(application data)，即客户端与服务器进入加密通信。客户端与服务器中一方采用"会话密钥"加密传输内容时，另一方可以采用会话密钥对接收到的加密内容进行解密。在客户端与服务器的加密通信过程中，由于病毒、木马、恶意软件等可能隐藏于加密内容中，因此需要对TLS加密内容进行检测。现有技术采用的如图1所示的解决方案，需要依赖TLS代理服务器，这样会造成检测复杂度高以及成本较高的问题。

为了解决上述问题，本发明实施例提供了一种加密内容检测的方法，该方法不需要依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

本发明实施例的加密内容检测的方法可以应用于通信网络，例如，数据中心网络DCN，广域网(Wide Area Network，WAN)等。本发明实施例以通信网络为数据中心网络DCN为例，结合图3所示的系统结构，具体阐述根据本发明实施例的加密内容检测的方法。

如图3所示，该系统架构包括数据中心网络DCN 300和客户端310。其中，DCN 300包括服务器320、SDN控制器330、密钥管理器340和中间盒子网络设备350。服务器320、SDN控制器330、密钥管理器340和中间盒子网络设备350之间存在信任关系。SDN控制器330和密钥管理器340是逻辑分离的两个组件，物理上密钥管理器340可以是SDN控制器330的一个部分，也可以是独立分开的设备。本发明实施例中主要以密钥管理器340和SDN控制器330作为两个独立的设备来描述根据本发明实施例的加密内容检测的方法。需要说明的是，当密钥管理器340和SDN控制器330为两个独立的设备时，密钥管理器340和SDN控制器330之间相连接，例如，通过传输控制协议(Transmission Control Protocol，TCP)连接、或通过用户数据报协议(User Datagram Protocol，UDP)连接，SDN控制器330和中间盒子网络设备350之间相连接(例如，通过TCP连接或UDP连接)。

具体来说，本发明实施例中，客户端310和服务器320是访问业务的TLS会话的两个端点，并通过建立TLS安全通道进行通信。密钥管理器340负责集中式管控TLS会话参数(例如五元组信息)和密钥参数(例如，第一随机数、第二随机数、预主密钥和伪随机函数，或会话密钥)。此外，DCN 300可以包括多个中间盒子网络设备350，例如FW、IDS、IPS等。中间盒子网络设备350在TLS安全通道上。中间盒子网络设备350可以获取客户端310和服务器320之间的通信内容(包括握手阶段的明文和采用公钥加密的加密内容和完成握手阶段后的加密内容)，并负责对加密内容进行检测。SDN控制 器330向密钥管理器340提供设备信息，即告知密钥管理器340，TLS安全通道上经过的哪些中间盒子网络设备350需要对加密内容进行检测。密钥管理器340与每个需要对加密内容进行检测的中间盒子网络设备350之间各建立一条第一安全通道用于密钥管理器340与中间盒子网络设备350之间传输TLS会话参数和密钥参数等。第一安全通道可以是TLS安全通道、数据包传输层安全性协议(Datagram Transport Layer Security，DTLS)安全通道等。密钥管理器340与服务器320之间建立一条第二安全通道用于密钥管理器340与服务器320之间传输TLS会话参数和密钥参数等。第二安全通道可以是TLS安全通道、DTLS安全通道等。

应理解，第一安全通道和第二安全通道的建立过程可以参照图2所示的方法，为了简洁，此处不再详述。

还应理解，在本发明实施例中，编号“第一”和“第二”等仅仅为了区分不同的对象，例如，为了区分不同设备之间建立的安全通道，不应对本发明实施例的保护范围构成任何限定。

需要说明的是，本发明实施例中的所描述的对加密内容检测指示的是对加密的应用数据解密以及对解密后的应用数据进行检测。

下面将结合图3和图4，对根据本发明实施例的加密内容检测的方法进行详细描述。应理解，图4中的各执行主体可以分别对应于图3所示的各设备。

本发明实施例中，需要对通过TLS安全通道传输的加密的应用数据进行加密内容检测的中间盒子网络设备可能有多个，例如IPS、IDS、DDoS等都需要进行加密内容检测，图4中仅以一个中间盒子网络设备为例进行说明。需要对通过TLS安全通道传输的加密的应用数据进行加密内容检测的其他中间盒子网络设备可以参照对图4所示的中间盒子网络设备的描述，下述中将不再详述。

401，密钥管理器获取TLS安全通道的密钥信息。

应理解，所述TLS安全通道可以是图3所示的TLS安全通道。

可选地，密钥信息可以包括第一随机数、第二随机数、预主密钥和伪随机函数。对于第一随机数、预主密钥、第二随机数的具体介绍可以参照现有协议或上文中对图2的描述，为了简洁，此处不再赘述。

可选地，密钥信息可以包括会话密钥。

会话密钥可以参照现有协议或上文中对图2的描述，为了简洁，此处不再赘述。

在本发明实施例中，密钥信息可以是服务器向密钥管理器发送的，也可以是密钥管理器之前存储的。

例如，当其中一个中间盒子网络设备需要对通过该TLS安全通道传输的加密的应用数据进行加密内容检测时，密钥管理器可以从服务器获取该TLS安全通道密钥信息，并将获取到的密钥信息发送给中间盒子网络设备。同时，密钥管理器也可以在本地存储该TLS安全通道的密钥信息。那么，在其他中间盒子网络设备也需要对通过该TLS安全通道传输的加密的应用数据进行加密内容检测时，密钥管理器可以直接向这些中间盒子网络设备发送之前存储的该TLS安全通道密钥信息，而不需要再向服务器索取。

可选地，如果密钥信息是服务器向密钥管理器发送的，在服务器向密钥管理器发送密钥信息之前，该方法还可以包括：服务器通过TLS安全通道向客户端发送检测询问消息，检测询问消息用于确定客户端是否同意中间盒子网络设备对加密的应用数据进行加 密内容检测；服务器接收客户端发送的对检测询问消息反馈的同意检测消息，同意检测消息用于指示客户端同意中间盒子网络设备对加密的应用数据进行加密内容检测。

具体地，服务器先询问客户端是否同意中间盒子网络设备对加密的应用数据进行加密内容检测，如果客户端同意中间盒子网络设备对加密的应用数据进行加密内容检测，服务器才可以向密钥管理器发送密钥信息。如果客户端不同意中间盒子网络设备对加密的应用数据进行检测，服务器不向密钥管理器发送密钥信息，或者告知密钥管理器，服务器不能向密钥管理器提供密钥信息。

402，密钥管理器通过第一安全通道向中间盒子网络设备发送密钥信息。

应理解，所述第一安全通道可以是图3所示的第一安全通道。

403，客户端与服务器之间通过TLS安全通道传输加密的应用数据。

客户端与服务器之间通过TLS安全通道传输应用数据时，发送端采用会话密钥对应用数据进行加密，生成加密的应用数据进行传输。

404，中间盒子网络设备根据TLS安全通道的五元组信息获取加密的应用数据。

在TLS安全通道建立的过程中，中间盒子网络设备可以得到TLS安全通道的五元组信息。五元组信息唯一地确定了该TLS安全通道。五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议。中间盒子网络设备通过该五元组信息可以获取通过该TLS传输的加密的应用数据。

405，中间盒子网络设备采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测。

在本发明实施例中，一种情况是，密钥管理器向中间盒子网络设备发送的密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，那么在403之前，中间盒子网络设备可以根据密钥管理器发送的第一随机数、第二随机数、预主密钥和伪随机函数生成会话密钥。具体地，中间盒子网络设备可以将密钥管理器发送的第一随机数、第二随机数、预主密钥作为伪随机函数的三个自变量，来计算会话密钥。这样，当客户端与服务器之间通过TLS安全通道传输加密的应用数据时，中间盒子网络设备根据五元组信息获取加密的应用数据后，可以采用之前通过计算得到的会话密钥对该加密的应用数据进行解密，并对解密后的应用数据进行检测。在这种情况下，与密钥信息对应的会话密钥指的是根据密钥信息包括的第一随机数、第二随机数、预主密钥和伪随机函数生成的会话密钥。

对于第一种情况，所述密钥管理器向中间盒子网络设备发送的第一随机数、第二随机数、预主密钥和伪随机函数，可以是从所述服务器接收的。

在本发明实施例中，第二种情况是，密钥管理器向中间盒子网络设备发送的密钥信息包括会话密钥。那么在这种情况下，与密钥信息对应的会话密钥指的是密钥信息包括的会话密钥，中间盒子网络设备根据五元组信息获取加密的应用数据后，可以直接采用该会话密钥对该加密的应用数据进行解密，并对解密后的应用数据进行检测。

对于第二种情况，所述密钥管理器向中间盒子网络设备发送的所述会话密钥，可以是从所述服务器接收的，也可以是根据从所述服务器接收的第一随机数、第二随机数、预主密钥和伪随机函数生成的。

在上述两种情况下，如果检测到解密后的应用数据对DCN没有威胁，例如解密后的应用数据中没有病毒、木马等，则进行正常的接收和发送。如果解密后的应用数据对DCN 存在威胁，在加密的应用数据没有到达服务器时，DCN可以控制停止传输该加密的应用数据，在加密的应用数据已到达服务器时，DCN可以控制不再传输后续待传输的应用数据。

因此，本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

下面将结合具体实施例，对根据本发明实施例的加密内容检测的方法进行详细描述。

图5是根据本发明一个实施例的加密内容检测的方法的示意性流程图。应理解，图5中所示的中间盒子网络设备1～中间盒子网络设备N为需要对通过TLS安全通道传输的加密的应用数据进行加密内容检测的N个中间盒子网络设备。在具体实现时，需要对某一TLS安全通道传输的加密的应用数据进行加密内容检测的中间盒子网络设备可以是一个或多个。

501，服务器向客户端发送检测询问消息。

服务器通过所述TLS安全通道向客户端发送检测询问消息，以确定客户端是否同意中间盒子网络设备对加密的应用数据进行加密内容检测。加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的。

应理解，所述第二安全通道可以是图3所示的第二安全通道。

502，客户端向服务器发送同意检测消息。

客户端接收到检测询问消息后，如果同意中间盒子网络设备对加密的应用数据进行加密内容检测，则回应同意检测消息。

503，服务器向密钥管理器发送会话信息。

客户端如果同意中间盒子网络设备对加密的应用数据进行加密内容检测，服务器可以通过第二安全通道主动向密钥管理器提供会话信息。另外，在服务器向密钥管理器发送会话信息之前，也可以不询问客户端的意见而直接向密钥管理器发送会话信息。

会话信息可以包括密钥信息和五元组信息。具体地，密钥信息和五元组信息的具体内容可以分别参照步骤401中对密钥信息以及步骤404中对五元组信息的描述，为了简洁，此处不再赘述。

504，密钥管理器获取密钥信息。

具体地，密钥管理器接收到会话信息后，可以获取会话信息中的密钥信息。

505，密钥管理器根据五元组信息确定中间盒子网络设备。

具体地，密钥管理器确定经过所述五元组信息所标识的TLS安全通道的中间盒子网络设备。

在本发明实施例中，密钥管理器可以是SDN控制器的一个模块，也可以是独立于SDN控制器的一个设备。

所述SDN控制器用于控制所述客户端与所述服务器之间传输数据的路径。在SDN控制器控制的转发路径上，转发设备收到客户端和服务器握手阶段的第一个报文并向SDN控制器上报该报文SDN控制器根据该报文中的信息可以确定该报文是属于该服务器的，进而可以确定后续的应用数据需要经过的中间网络设备以及需要对加密内容做检测的中间网络设备。并且，SDN控制器会存储五元组信息和中间盒子网络设备的映射关系，该映射关系表示五元组信息和对加密内容做检测的中间网络设备的对应关系。

在密钥管理器是SDN控制器的一个模块时，显然，密钥管理器可以直接确定中间盒子网络设备。

可选地，在密钥管理器和SDN控制器是两个独立的设备时，密钥管理器在确定中间盒子网络设备时，具体可以包括以下步骤：

506，密钥管理器向SDN控制器发送设备请求消息，设备请求消息包括五元组信息，设备请求消息用于请求经过五元组信息所标识的TLS安全通道的中间盒子网络设备的设备信息。所述中间盒子网络设备的设备信息具体可以包括所述中间盒子网络设备的IP地址。

507，密钥管理器接收SDN控制器根据设备请求消息发送的设备信息。

具体地，在密钥管理器和SDN控制器是两个独立的设备时，密钥管理器向SDN控制器发送设备请求消息，以确定需要对加密的应用数据进行加密内容检测的中间盒子网络设备。SDN控制器接收到设备请求消息后，根据存储的五元组信息和中间盒子网络设备的映射关系，可以确定密钥管理器请求的设备信息。SDN控制器向密钥管理器发送信息，密钥管理器接收到信息后，根据设备信息，可以确定这N个中间盒子网络设备。

508，密钥管理器向中间盒子网络设备发送会话信息。

密钥管理器通过N个第一安全通道向这N个中间盒子网络设备发送会话信息，告知这N个中间盒子网络设备服务器提供的五元组信息和密钥信息。

509，中间盒子网络设备根据密钥信息获取会话密钥。

例如，在会话信息中的密钥信息包括第一随机数、第二随机数、预主密钥和伪随函数的情况下，密钥管理器将第一随机数、第二随机数、预主密钥作为伪随机函数的三个自变量，通过计算得到会话密钥。或者，密钥管理器直接从会话信息中提取会话密钥。

510，客户端与服务器之间通过TLS安全通道传输加密的应用数据。

511，中间盒子网络设备根据五元组信息获取加密的应用数据。

512，中间盒子网络设备采用会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测。

在本发明实施例中，步骤510～512可以参照图4所示的方法中的步骤403～405，为了简洁，在此不再详述。

本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

图6是根据本发明另一实施例的加密内容检测的方法的示意性流程图。

应理解，图6中所示的中间盒子网络设备1～中间盒子网络设备N为需要对通过TLS安全通道传输的加密的应用数据进行加密内容检测的N个中间盒子网络设备。在具体实现时，需要对某一TLS安全通道传输的加密的应用数据进行加密内容检测的中间盒子网络设备可以是一个或多个。

601，中间盒子网络设备向密钥管理器发送第一密钥请求消息。

密钥请求消息包括TLS安全通道的五元组信息。五元组信息的具体内容可以参照上述对图4所示的方法中的步骤404中对五元组信息的描述，为了简洁，此处不再赘述。

在客户端与服务器的握手阶段的明文阶段，中间盒子网络设备可以检测到客户端与服务器之间是在建立TLS安全通道，并且可以获取到五元组信息。中间盒子网络设备获 取到五元组信息后，可以通过第一密钥请求消息携带该五元组信息。通过向密钥管理器发送第一密钥请求消息，可以请求密钥信息，以获取会话密钥。密钥管理器接收到第一密钥请求消息后，查看自己是否存储了与该五元组信息对应的密钥信息。如果密钥管理器已存储了该密钥信息，可以执行步骤607，即向中间盒子网络设备发送密钥信息，如果密钥管理器没有存储该密钥信息，可以执行步骤602。

602，密钥管理器向服务器发送第二密钥请求消息。

第二密钥请求消息包括五元组信息。密钥管理器通过第二安全通道向服务器发送第二密钥请求消息索取密钥信息。

603，服务器向客户端发送检测询问消息。

服务器接收到密钥管理器发送的第二密钥请求消息后，可以通过向客户端发送检测询问消息，询问客户端是否同意中间盒子网络设备对加密的应用数据进行加密内容检测。加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的。

另外，服务器接收到密钥管理器发送的密钥请求消息后，也可以不询问客户端的意见，直接执行步骤605。

604，客户端向服务器发送同意检测消息。

客户端接收到检测询问消息后，如果同意中间盒子网络设备对加密的应用数据进行加密内容检测，则回应同意检测消息。

605，服务器确定密钥信息。

具体地，服务器可以根据第二密钥请求消息中的五元组信息确定密钥管理器需要的密钥信息。这个密钥信息是服务器在建立TLS安全通道的握手阶段得到的。

密钥信息可以参照上述对图4所示的方法中的步骤401中的密钥信息的描述，为了简洁，此处不再赘述。

606，服务器通过第二安全通道向密钥管理器发送密钥信息。

需要说明的是，所述服务器还可以向所述密钥管理器发送所述五元组信息，具体可以将所述密钥信息和所述五元组携带在同一个消息(如所述第二密钥请求消息对应的响应消息)中发送给所述密钥管理器，相应地，所述密钥管理器接收到所述消息即可获知所述消息中携带的密钥信息为所述五元组信息对应的密钥信息。

所述服务器也可以不向所述密钥管理器发送所述五元组信息，在发送所述密钥信息时具体可以通过所述第二密钥请求消息对应的响应消息发送，相应地，所述密钥管理器可以根据所述第二密钥请求消息和所述响应消息的对应关系确定所述密钥信息是所述第二密钥请求消息包括的五元组信息对应的密钥信息。

607，密钥管理器向中间盒子网络设备发送密钥信息。

密钥管理器将接收到的密钥信息通过第一安全通道发送至中间盒子网络设备。

需要说明的是，所述密钥管理器还可以向所述中间盒子网络设备发送所述五元组信息，具体可以将所述密钥信息和所述五元组携带在同一个消息(如所述第一密钥请求消息对应的响应消息)中发送给所述中间盒子网络设备，相应地，所述中间盒子网络设备接收到所述消息即可获知所述消息中携带的密钥信息为所述五元组信息对应的密钥信息。

所述密钥管理器也可以不向所述中间盒子网络设备发送所述五元组信息，在发送所述密钥信息时具体可以通过所述第一密钥请求消息对应的响应消息发送，相应地，所述 中间盒子网络设备可以根据所述第一密钥请求消息和所述响应消息的对应关系确定所述密钥信息是所述第一密钥请求消息包括的五元组信息对应的密钥信息。

608，中间盒子网络设备根据密钥信息获取会话密钥。

例如，在密钥信息包括第一随机数、第二随机数、预主密钥和伪随函数的情况下，密钥管理器将第一随机数、第二随机数、预主密钥作为伪随机函数的三个自变量，通过计算得到会话密钥。或者，密钥管理器直接从会话信息中提取会话密钥。

609，客户端与服务器之间通过TLS安全通道传输加密的应用数据。

610，中间盒子网络设备根据五元组信息获取加密的应用数据。

611，中间盒子网络设备采用会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测。

在本发明实施例中，步骤609～611可以参照图4所示的方法中的步骤403～405，为了简洁，在此不再详述。

本发明实施例的加密内容检测的方法，通过中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

上文中结合图1至图6详细描述了根据本发明实施例的加密内容检测的方法，下面将结合图7至9具体阐述根据本发明实施例的密钥管理器、中间盒子网络设备和服务器。

图7是根据本发明实施例的密钥管理器700的示意性框图。如图7所示，密钥管理器700包括：获取单元710和发送单元720。

获取单元710，用于获取安全传输层协议TLS安全通道的密钥信息，所述TLS安全通道为客户端与服务器之间建立的安全通道。

发送单元720，用于通过第一安全通道向中间盒子网络设备发送所述获取单元710获取的所述密钥信息，以便于所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述中间盒子网络设备位于所述TLS安全通道上，所述第一安全通道为所述密钥管理器与所述盒子网络设备之间建立的安全通道。

根据本发明实施例的密钥管理器700的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由密钥管理器执行的相应流程。为了简洁，此处不再赘述。

因此，本发明实施例的密钥管理器，通过向中间盒子网络设备提供密钥信息，使得中间盒子网络设备可以采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测，进而使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

图8是根据本发明实施例的中间盒子网络设备800的示意性框图。如图8所示，中间盒子网络设备800包括：接收单元810、获取单元820和解密检测单元830。

接收单元810，用于通过第一安全通道接收密钥管理器发送的所述TLS安全通道的密钥信息，其中，所述第一安全通道为所述中间盒子网络设备与所述密钥管理器之间建立的安全通道。

获取单元820，用于根据所述TLS安全通道的五元组信息获取通过所述TLS安全通道传输的加密的应用数据，所述五元组信息包括所述客户端的网际协议IP地址、所述客 户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议，所述加密的应用数据是所述客户端或所述服务器基于与所述密钥信息对应的会话密钥对应用数据加密生成的。

解密检测单元830，用于采用所述会话密钥对所述加密的应用数据进行解密，并对解密后的应用数据进行检测。

根据本发明实施例的中间盒子网络设备800的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由中间盒子网络设备执行的相应流程。为了简洁，此处不再赘述。

因此，本发明实施例的中间盒子网络设备，通过对加密的应用数据进行解密，并对解密后的应用数据进行检测，进而使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

图9是根据本发明实施例的服务器900的示意性框图。如图9所示，服务器900包括：确定单元910和发送单元920。

确定单元910，用于确定客户端和服务器之间建立的安全传输层协议TLS安全通道的密钥信息。

发送单元920，用于通过第二安全通道向密钥管理器发送所述确定单元910确定的所述密钥信息，以便于所述密钥管理器通过第一安全通道向位于所述TLS安全通道上的中间盒子网络设备发送所述密钥信息，以使所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述第一安全通道为所述密钥管理器与所述中间盒子网络设备之间建立的安全通道，所述第二安全通道为所述密钥管理器和所述服务器之间建立的安全通道。

根据本发明实施例的服务器900的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由服务器900执行的相应流程。为了简洁，此处不再赘述。

因此，本发明实施例的服务器，通过向密钥管理器进而向中间盒子网络设备提供密钥信息，使得中间盒子网络设备可以采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测，进而使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

本发明实施例还提供了一种客户端，该客户端包括接收单元和发送单元。

接收单元，用于通过客户端和服务器之间建立的安全传输层协议TLS安全通道发送的检测询问消息，检测询问消息用于确定客户端是否同意中间盒子网络设备对加密的应用进行加密内容检测，加密的应用数据是客户端或服务器基于TLS安全通道的会话密钥对应用数据加密生成的。

发送单元，用于在客户端同意中间盒子网络设备对加密的应用数据进行加密内容检测时，通过TLS安全通道向服务器发送同意检测消息。

本发明实施例中，通过在确定所述客户端同意对所述客户端和所述服务器之间传输的加密内容进行检测的情况下进行加密内容检测，可以减少安全风险。

本发明实施例还提供了一种SDN控制器，该SDN控制器包括接收单元、确定单元和发送单元。

接收单元，用于接收密钥管理器发送的设备请求消息，设备请求消息包括客户端和服务器之间建立的安全传输层协议TLS安全通道的五元组信息，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议。

确定单元，用于根据设备请求消息确定经过所述五元组信息所标识的TLS安全通道的中间盒子网络设备的设备信息。

发送单元，用于向密钥管理器发送设备信息，以便于密钥管理器根据所述中间盒子网络设备的设备信息通过第一安全通道向中间盒子网络设备发送五元组信息和TLS安全通道的密钥信息，以使中间盒子网络设备根据五元组信息获取客户端和服务器之间通过TLS安全通道传输的加密的应用数据，并采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测，其中，加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的，第一安全通道为中间盒子网络设备与密钥管理器之间建立的安全通道。

本发明实施例通过SDN控制器确定的中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

上文中结合图1至图6详细描述了根据本发明实施例的加密内容检测的方法，下面将结合图10至12对根据本发明实施例的密钥管理器、中间盒子网络设备和服务器进行说明。

图10是根据本发明实施例的密钥管理器1000的示意性框图。如图10所示，密钥管理器1000包括：接收器1010、发送器1020、处理器1030、存储器1040和总线系统1050。其中，接收器1010、发送器1020、处理器1030和存储器1040通过总线系统1050相连，该存储器1040用于存储指令，该处理器1030用于执行该存储器1040存储的指令，以控制接收器1010接收信号，并控制发送器1020发送信号，其中，

处理器1030，用于获取安全传输层协议TLS安全通道的密钥信息，所述TLS安全通道为客户端与服务器之间建立的安全通道；

发送器1020，用于通过第一安全通道向中间盒子网络设备发送所述处理器1030获取的所述密钥信息，以便于所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述中间盒子网络设备位于所述TLS安全通道上，所述第一安全通道为所述密钥管理器与所述盒子网络设备之间建立的安全通道。

应理解，在本发明实施例中，该处理器1030可以是中央处理单元(central processing unit，简称为“CPU”)，该处理器1030还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器1040可以包括只读存储器和随机存取存储器，并向处理器1030提供指令和数据。存储器1040的一部分还可以包括非易失性随机存取存储器。例如，存储器1040还可以存储五元组信息与密钥信息的映射关系的信息。

该总线系统1050除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统1050。

在实现过程中，上述方法的各步骤可以通过处理器1030中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的加密内容检测的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1040，处理器1030读取存储器1040中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

根据本发明实施例的密钥管理器1000的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由密钥管理器执行的相应流程。为了简洁，此处不再赘述。

因此，本发明实施例的密钥管理器，通过向中间盒子网络设备提供密钥信息，使得中间盒子网络设备可以采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的内容进行检测，进而使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

图11是根据本发明实施例的中间盒子网络设备1100的示意性框图。如图11所示，中间盒子网络设备1100包括：接收器1110、发送器1120、处理器1130、存储器1140和总线系统1150。其中，接收器1110、发送器1120、处理器1130和存储器1140通过总线系统1150相连，该存储器1140用于存储指令，该处理器1130用于执行该存储器1140存储的指令，以控制接收器1110接收信号，并控制发送器1120发送信号，其中，

接收器1110，用于通过第一安全通道接收密钥管理器发送的所述TLS安全通道的密钥信息，其中，所述第一安全通道为所述中间盒子网络设备与所述密钥管理器之间建立的安全通道。

处理器1130，用于根据所述TLS安全通道的五元组信息获取通过所述TLS安全通道传输的加密的应用数据，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议，所述加密的应用数据是所述客户端或所述服务器基于与所述密钥信息对应的会话密钥对应用数据加密生成的。

处理器1130还用于，采用所述会话密钥对所述加密的应用数据进行解密，并对解密后的应用数据进行检测。

应理解，在本发明实施例中，该处理器1130可以是中央处理单元(central processing unit，简称为“CPU”)，该处理器1130还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器1140可以包括只读存储器和随机存取存储器，并向处理器1130提供指令和数据。存储器1140的一部分还可以包括非易失性随机存取存储器。

该总线系统1150除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统1150。

在实现过程中，上述方法的各步骤可以通过处理器1130中的硬件的集成逻辑电路或 者软件形式的指令完成。结合本发明实施例所公开的加密内容检测的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1140，处理器1130读取存储器1140中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

根据本发明实施例的中间盒子网络设备1100的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由中间盒子网络设备执行的相应流程。为了简洁，此处不再赘述。

因此，本发明实施例的中间盒子网络设备，通过对加密的应用数据进行解密，并对解密后的内容进行检测，进而使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

图12是根据本发明实施例的服务器1200的示意性框图。如图12所示，服务器1200包括：接收器1210、发送器1220、处理器1230、存储器1240和总线系统1250。其中，接收器1210、发送器1220、处理器1230和存储器1240通过总线系统1250相连，该存储器1240用于存储指令，该处理器1230用于执行该存储器1240存储的指令，以控制接收器1210接收信号，并控制发送器1220发送信号，其中，

处理器1230，用于确定客户端和服务器之间建立的安全传输层协议TLS安全通道的密钥信息。

发送器1220，用于通过第二安全通道向密钥管理器发送所述处理器1230确定的所述密钥信息，以便于所述密钥管理器通过第一安全通道向位于所述TLS安全通道上的中间盒子网络设备发送所述密钥信息，以使所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述第一安全通道为所述密钥管理器与所述中间盒子网络设备之间建立的安全通道，所述第二安全通道为所述密钥管理器和所述服务器之间建立的安全通道。

应理解，在本发明实施例中，该处理器1230可以是中央处理单元(central processing unit，简称为“CPU”)，该处理器1230还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器1240可以包括只读存储器和随机存取存储器，并向处理器1230提供指令和数据。存储器1240的一部分还可以包括非易失性随机存取存储器。

该总线系统1250除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统1250。

在实现过程中，上述方法的各步骤可以通过处理器1230中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的加密内容检测的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程 存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1240，处理器1230读取存储器1240中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

根据本发明实施例的服务器1200的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由服务器执行的相应流程。为了简洁，此处不再赘述。

因此，本发明实施例的服务器，通过向密钥管理器进而向中间盒子网络设备提供密钥信息，使得中间盒子网络设备可以采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的内容进行检测，进而使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

本发明实施例还提供了一种客户端，该客户端包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制接收器接收信号，并控制发送器发送信号，其中，

接收器，用于通过客户端和服务器之间建立的安全传输层协议TLS安全通道发送的检测询问消息，检测询问消息用于确定客户端是否同意中间盒子网络设备对加密的应用数据进行加密内容检测，加密的应用数据是客户端或服务器基于TLS安全通道的会话密钥对应用数据加密生成的。

发送器，用于在客户端同意中间盒子网络设备对加密的应用数据进行加密内容检测时，通过TLS安全通道向服务器发送同意检测消息。

应理解，在本发明实施例中，该处理器可以是中央处理单元(central processing unit，简称为“CPU”)，该处理器还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。

该总线系统除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的加密内容检测的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

根据本发明实施例的客户端的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由客户端执行的相应流程。为了简洁，此处不再赘述。

通过在确定所述客户端同意对所述客户端和所述服务器之间传输的加密内容进行检测的情况下进行加密内容检测，可以减少安全风险。

本发明实施例还提供了一种SDN控制器，该SDN控制器包括接收器、发送器、处理器、存储器和总线系统。其中，接收器、发送器、处理器和存储器通过总线系统相连， 该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制接收器接收信号，并控制发送器发送信号，其中，

接收器，用于接收密钥管理器发送的设备请求消息，设备请求消息包括客户端和服务器之间建立的安全传输层协议TLS安全通道的五元组信息，五元组信息包括客户端的网际协议IP地址、客户端的端口号、服务器的IP地址，服务器的端口号、传输层协议，设备信息请求消息用于请求与五元组信息所标识的TLS安全通道的中间盒子网络设备的设备信息。

处理器，用于根据设备请求消息确定经过所述五元组信息所标识的TLS安全通道的中间盒子网络设备的设备信息。

发送器，用于向密钥管理器发送设备信息，以便于密钥管理器根据所述中间盒子网络设备的设备信息通过第一安全通道向中间盒子网络设备发送五元组信息和TLS安全通道的密钥信息，以使中间盒子网络设备根据五元组信息获取客户端和服务器之间通过TLS安全通道传输的加密的应用数据，并采用与密钥信息对应的会话密钥对加密的应用数据进行解密，并对解密后的应用数据进行检测，其中，加密的应用数据是客户端或服务器基于会话密钥对应用数据加密生成的，第一安全通道为中间盒子网络设备与密钥管理器之间建立的安全通道。

应理解，在本发明实施例中，该处理器可以是中央处理单元(central processing unit，简称为“CPU”)，该处理器还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。

该总线系统除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的加密内容检测的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

根据本发明实施例的SDN控制器的各单元和上述其它操作或功能分别为了实现图4至图6所示的方法中的由SDN控制器执行的相应流程。为了简洁，此处不再赘述。

本发明实施例通过SDN控制器确定的中间盒子网络设备对加密的应用数据进行解密，并对解密后的应用数据进行检测，使得对加密内容进行检测不再依赖TLS代理服务器，从而能够降低检测复杂度，并且能够降低检测成本。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序 的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (34)

1. 一种加密内容检测的方法，其特征在于，所述方法应用于通信网络，所述通信网络包括中间盒子网络设备、密钥管理器和服务器，所述中间盒子网络设备位于客户端和所述服务器之间建立的安全传输层协议TLS安全通道上，包括：

   所述密钥管理器获取所述TLS安全通道的密钥信息；

   所述密钥管理器通过第一安全通道向所述中间盒子网络设备发送所述密钥信息，以便于所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述第一安全通道为所述密钥管理器与所述盒子网络设备之间建立的安全通道。
2. 如权利要求1所述的方法，其特征在于，在所述密钥管理器获取所述TLS安全通道的密钥信息之前，所述方法还包括：

   所述密钥管理器接收所述中间盒子网络设备通过所述第一安全通道发送的第一密钥请求消息，所述第一密钥请求消息包括所述TLS安全通道的五元组信息，所述第一密钥请求消息用于请求所述密钥信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议；

   其中，所述密钥管理器获取所述TLS安全通道的密钥信息，包括：

   所述密钥管理器根据所述五元组信息获取所述密钥信息。
3. 如权利要求2所述的方法，其特征在于，所述密钥管理器根据所述五元组信息获取所述密钥信息，包括：

   所述密钥管理器通过第二安全通道向所述服务器发送第二密钥请求消息，所述第二密钥请求消息包括所述五元组信息，所述第二安全通道为所述密钥管理器与所述服务器之间建立的安全通道；

   所述密钥管理器接收所述服务器根据所述第二密钥请求消息发送的所述密钥信息。
4. 如权利要求1所述的方法，其特征在于，所述密钥管理器获取所述TLS安全通道的密钥信息，包括：

   所述密钥管理器通过第二安全通道接收所述服务器发送的会话信息，所述会话信息包括所述TLS安全通道的五元组信息和所述密钥信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议，所述第二安全通道为所述密钥管理器和所述服务器之间建立的安全通道；

   所述密钥管理器获取所述会话信息中的所述密钥信息；

   其中，在所述密钥管理器通过第一安全通道向所述中间盒子网络设备发送所述密钥信息之前，所述方法还包括：

   所述密钥管理器确定经过所述五元组信息所标识的所述TLS安全通道的所述中间盒子网络设备；

   所述方法还包括：

   所述密钥管理器向所述中间盒子网络设备发送所述五元组信息。
5. 如权利要求4所述的方法，其特征在于，所述通信网络还包括软件定义网络SDN控制器，其中，所述密钥管理器和所述SDN控制器之间相连接，所述SDN控制器与所述中间盒子网络设备之间相连接；

   所述密钥管理器根据所述五元组信息确定所述中间盒子网络设备，包括：

   所述密钥管理器向所述SDN控制器发送设备请求消息，所述设备请求消息包括所述五元组信息，所述设备请求消息用于请求经过所述五元组信息所标识的所述TLS安全通道的所述中间盒子网络设备的设备信息；

   所述密钥管理器接收所述SDN控制器根据所述设备请求消息发送的所述设备信息。
6. 如权利要求1至5中任一项所述的方法，其特征在于，所述密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，所述第一随机数和所述预主密钥为所述客户端生成的随机数，所述第二随机数为所述服务器生成的随机数，所述伪随机函数用于根据所述第一随机数、所述第二随机数和所述预主密钥生成所述会话密钥。
7. 如权利要求1至5中任一项所述的方法，其特征在于，所述密钥信息包括所述会话密钥。
8. 如权利要求1所述的方法，其特征在于，所述密钥信息包括所述会话密钥，

   所述密钥管理器获取所述TLS安全通道的密钥信息，包括：

   所述密钥管理器根据从所述服务器接收的第一随机数、第二随机数、预主密钥和伪随机函数生成所述会话密钥，所述第一随机数和所述预主密钥为所述客户端生成的随机数，所述第二随机数为所述服务器生成的随机数，所述伪随机函数用于根据所述第一随机数、所述第二随机数和所述预主密钥生成所述会话密钥。
9. 一种加密内容检测的方法，其特征在于，所述方法应用于通信网络，所述通信网络包括中间盒子网络设备、密钥管理器和服务器，所述中间盒子网络设备位于客户端和所述服务器之间建立的安全传输层协议TLS安全通道上，包括：

   所述中间盒子网络设备通过第一安全通道接收所述密钥管理器发送的所述TLS安全通道的密钥信息，其中，所述第一安全通道为所述中间盒子网络设备与所述密钥管理器之间建立的安全通道；

   所述中间盒子网络设备根据所述TLS安全通道的五元组信息获取通过所述TLS安全通道传输的加密的应用数据，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议，所述加密的应用数据是所述客户端或所述服务器基于与所述密钥信息对应的会话密钥对应用数据加密生成的；

   所述中间盒子网络设备采用所述会话密钥对所述加密的应用数据进行解密，并对解密后的应用数据进行检测。
10. 如权利要求9所述的方法，其特征在于，所述密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，所述第一随机数和所述预主密钥为所述客户端生成的随机数，所述第二随机数为所述服务器生成的随机数，所述伪随机函数用于根据所述第一随机数、所述第二随机数和所述预主密钥生成所述会话密钥，

    其中，在所述中间盒子网络设备采用所述会话密钥对所述加密的应用数据进行解密之前，所述方法还包括：

    所述中间盒子网络设备根据所述第一随机数、所述第二随机数、所述预主密钥和所 述伪随机函数生成所述会话密钥。
11. 如权利要求9或10所述的方法，其特征在于，所述密钥信息包括所述会话密钥。
12. 如权利要求9至11中任一项所述的方法，其特征在于，在所述中间盒子网络设备通过第一安全通道接收所述密钥管理器发送的所述TLS安全通道的密钥信息之前，所述方法还包括：

    所述中间盒子网络设备通过所述第一安全通道向所述密钥管理器发送密钥请求消息，所述密钥请求消息包括所述五元组信息，所述密钥请求消息用于请求所述密钥信息；

    其中，所述中间盒子网络设备通过第一安全通道接收所述密钥管理器发送的所述TLS安全通道的密钥信息，包括：

    所述中间盒子网络设备通过所述第一安全通道接收所述密钥管理器根据所述密钥请求消息发送的所述密钥信息。
13. 如权利要求9至12中任一项所述的方法，其特征在于，在所述中间盒子网络设备根据所述TLS安全通道的五元组信息获取通过所述TLS安全通道传输的加密的应用数据之前，所述方法还包括：

    所述中间盒子网络设备通过所述第一安全通道接收所述密钥管理器发送的所述五元组信息。
14. 一种加密内容检测的方法，其特征在于，所述方法应用于通信网络，所述通信网络包括中间盒子网络设备、密钥管理器和服务器，所述中间盒子网络设备位于客户端和所述服务器之间建立的安全传输层协议TLS安全通道上，包括：

    所述服务器确定所述TLS安全通道的密钥信息；

    所述服务器通过第二安全通道向所述密钥管理器发送所述密钥信息，以便于所述密钥管理器通过第一安全通道向所述中间盒子网络设备发送所述密钥信息，以使所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述第一安全通道为所述密钥管理器与所述中间盒子网络设备之间建立的安全通道，所述第二安全通道为所述密钥管理器和所述服务器之间建立的安全通道。
15. 如权利要求14所述的方法，其特征在于，在所述服务器通过第二安全通道向所述密钥管理器发送所述密钥信息之前，所述方法还包括：

    所述服务器通过所述TLS安全通道向所述客户端发送检测询问消息，所述检测询问消息用于确定所述客户端是否同意所述中间盒子网络设备对所述加密的应用数据进行加密内容检测；

    所述服务器接收所述客户端发送的对所述检测询问消息反馈的同意检测消息，所述同意检测消息用于指示所述客户端同意所述中间盒子网络设备对所述加密的应用数据进行加密内容检测。
16. 如权利要求14或15所述的方法，其特征在于，在所述服务器确定所述TLS安全通道的密钥信息之前，所述方法还包括：

    所述服务器接收所述密钥管理器通过所述第二安全通道发送的密钥请求消息，所述密钥请求消息包括所述TLS安全通道的五元组信息，所述密钥请求消息用于请求所述密钥信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所 述服务器的IP地址，所述服务器的端口号、传输层协议；

    其中，所述服务器确定密钥信息，包括：

    所述服务器根据所述五元组信息确定所述五元组信息所标识的所述TLS安全通道的所述密钥信息。
17. 如权利要求14或15所述的方法，其特征在于，所述方法还包括：

    所述服务器确定所述TLS安全通道的五元组信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议；

    所述服务器向所述密钥管理器发送所述五元组信息。
18. 一种密钥管理器，其特征在于，包括：

    获取单元，用于获取安全传输层协议TLS安全通道的密钥信息，所述TLS安全通道为客户端与服务器之间建立的安全通道；

    发送单元，用于通过第一安全通道向中间盒子网络设备发送所述获取单元获取的所述密钥信息，以便于所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述中间盒子网络设备位于所述TLS安全通道上，所述第一安全通道为所述密钥管理器与所述盒子网络设备之间建立的安全通道。
19. 如权利要求18所述的密钥管理器，其特征在于，所述密钥管理器还包括：

    接收单元，用于接收所述中间盒子网络设备通过所述第一安全通道发送的第一密钥请求消息，所述第一密钥请求消息包括所述TLS安全通道的五元组信息，所述第一密钥请求消息用于请求所述密钥信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议；

    其中，所述获取单元具体用于：

    根据所述接收单元接收的所述第一密钥请求消息中的所述五元组信息获取所述密钥信息。
20. 如权利要求19所述的密钥管理器，其特征在于，所述获取单元具体用于：

    通过第二安全通道向所述服务器发送第二密钥请求消息，所述第二密钥请求消息包括所述五元组信息，所述第二安全通道为所述密钥管理器与所述服务器之间建立的安全通道；

    接收所述服务器根据所述第二密钥请求消息发送的所述密钥信息。
21. 如权利要求18所述的密钥管理器，其特征在于，所述获取单元具体用于：

    通过第二安全通道接收所述服务器发送的会话信息，所述会话信息包括所述TLS安全通道的五元组信息和所述密钥信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议，所述第二安全通道为所述密钥管理器和所述服务器之间建立的安全通道；

    获取所述会话信息中的所述密钥信息；

    其中，所述密钥管理器还包括：

    确定单元，用于确定经过所述五元组信息所标识的所述TLS安全通道的所述中间盒子网络设备；

    所述发送单元还用于，向所述中间盒子网络设备发送所述五元组信息。
22. 如权利要求21所述的密钥管理器，其特征在于，所述确定单元具体用于：

    向软件定义网络SDN控制器发送设备请求消息，所述设备请求消息包括所述五元组信息，所述设备请求消息用于请求经过所述五元组信息所标识的所述TLS安全通道的所述中间盒子网络设备的设备信息，其中，所述密钥管理器和所述SDN控制器之间相连接，所述SDN控制器与所述中间盒子网络设备之间相连接；

    接收所述SDN控制器根据所述设备请求消息发送的所述设备信息。
23. 如权利要求17至22中任一项所述的密钥管理器，其特征在于，所述密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，所述第一随机数和所述预主密钥为所述客户端生成的随机数，所述第二随机数为所述服务器生成的随机数，所述伪随机函数用于根据所述第一随机数、所述第二随机数和所述预主密钥生成所述会话密钥。
24. 如权利要求17至22中任一项所述的密钥管理器，其特征在于，所述密钥信息包括所述会话密钥。
25. 如权利要求17所述的密钥管理器，其特征在于，所述密钥信息包括所述会话密钥，

    所述获取单元具体用于：

    根据从所述服务器接收的第一随机数、第二随机数、预主密钥和伪随机函数生成所述会话密钥，所述第一随机数和所述预主密钥为所述客户端生成的随机数，所述第二随机数为所述服务器生成的随机数，所述伪随机函数用于根据所述第一随机数、所述第二随机数和所述预主密钥生成所述会话密钥。
26. 一种中间盒子网络设备，其特征在于，所述中间盒子网络设备位于客户端和服务器之间建立的安全传输层协议TLS安全通道上，包括：

    接收单元，用于通过第一安全通道接收密钥管理器发送的所述TLS安全通道的密钥信息，其中，所述第一安全通道为所述中间盒子网络设备与所述密钥管理器之间建立的安全通道；

    获取单元，用于根据所述TLS安全通道的五元组信息获取通过所述TLS安全通道传输的加密的应用数据，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议，所述加密的应用数据是所述客户端或所述服务器基于与所述密钥信息对应的会话密钥对应用数据加密生成的；

    解密检测单元，用于采用所述会话密钥对所述加密的应用数据进行解密，并对解密后的应用数据进行检测。
27. 如权利要求26所述的中间盒子网络设备，其特征在于，所述密钥信息包括第一随机数、第二随机数、预主密钥和伪随机函数，所述第一随机数和所述预主密钥为所述客户端生成的随机数，所述第二随机数为所述服务器生成的随机数，所述伪随机函数用于根据所述第一随机数、所述第二随机数和所述预主密钥生成所述会话密钥，

    其中，所述中间盒子网络设备还包括：

    生成单元，用于根据所述第一随机数、所述第二随机数、所述预主密钥和所述伪随机函数生成所述会话密钥。
28. 如权利要求26或27所述的中间盒子网络设备，其特征在于，所述密钥信息包 括所述会话密钥。
29. 如权利要求26至28中任一项所述的中间盒子网络设备，其特征在于，所述中间盒子网络设备还包括：

    发送单元，用于通过所述第一安全通道向所述密钥管理器发送密钥请求消息，所述密钥请求消息包括所述五元组信息，所述密钥请求消息用于请求所述密钥信息；

    其中，所述接收单元具体用于：

    通过所述第一安全通道接收所述密钥管理器根据所述发送单元发送的所述密钥请求消息发送的所述密钥信息。
30. 如权利要求26至29中任一项所述的中间盒子网络设备，其特征在于，所述接收单元还用于：

    通过所述第一安全通道接收所述密钥管理器发送的所述五元组信息。
31. 一种服务器，其特征在于，包括：

    确定单元，用于确定客户端和服务器之间建立的安全传输层协议TLS安全通道的密钥信息；

    发送单元，用于通过第二安全通道向密钥管理器发送所述确定单元确定的所述密钥信息，以便于所述密钥管理器通过第一安全通道向位于所述TLS安全通道上的中间盒子网络设备发送所述密钥信息，以使所述中间盒子网络设备采用与所述密钥信息对应的会话密钥对通过所述TLS安全通道传输的加密的应用数据进行解密，和对解密后的应用数据进行检测，其中，所述加密的应用数据是所述客户端或所述服务器基于所述会话密钥对应用数据加密生成的，所述第一安全通道为所述密钥管理器与所述中间盒子网络设备之间建立的安全通道，所述第二安全通道为所述密钥管理器和所述服务器之间建立的安全通道。
32. 如权利要求31所述的服务器，其特征在于，所述发送单元还用于：

    通过所述TLS安全通道向所述客户端发送检测询问消息，所述检测询问消息用于确定所述客户端是否同意所述中间盒子网络设备对所述加密的应用数据进行加密内容检测；

    所述服务器还包括：

    第一接收单元，用于接收所述客户端发送的对所述发送单元发送的所述检测询问消息反馈的同意检测消息，所述同意检测消息用于指示所述客户端同意所述中间盒子网络设备对所述加密的应用数据进行加密内容检测。
33. 如权利要求31或32所述的服务器，所述服务器还包括：

    第二接收单元，用于接收所述密钥管理器通过所述第二安全通道发送的密钥请求消息，所述密钥请求消息包括所述TLS安全通道的五元组信息，所述密钥请求消息用于请求所述密钥信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议；

    其中，所述确定单元具体用于：

    根据所述五元组信息确定所述五元组信息所标识的所述TLS安全通道的所述密钥信息。
34. 如权利要求31或32所述的服务器，其特征在于，所述确定单元还用于：

    确定所述TLS安全通道的五元组信息，所述五元组信息包括所述客户端的网际协议IP地址、所述客户端的端口号、所述服务器的IP地址，所述服务器的端口号、传输层协议；

    所述发送单元还用于，向所述密钥管理器发送所述五元组信息。

Images