CN102594565B - 利用数字证书识别加密协议的识别方法及*** - Google Patents

利用数字证书识别加密协议的识别方法及*** Download PDF

Info

Publication number
CN102594565B
CN102594565B CN201210042442.3A CN201210042442A CN102594565B CN 102594565 B CN102594565 B CN 102594565B CN 201210042442 A CN201210042442 A CN 201210042442A CN 102594565 B CN102594565 B CN 102594565B
Authority
CN
China
Prior art keywords
keyword
protocol
digital certificate
current message
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201210042442.3A
Other languages
English (en)
Other versions
CN102594565A (zh
Inventor
董茂培
陈金达
余兆
许晶
李佶澳
杨宇云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201210042442.3A priority Critical patent/CN102594565B/zh
Publication of CN102594565A publication Critical patent/CN102594565A/zh
Priority to PCT/CN2012/086444 priority patent/WO2013123799A1/zh
Application granted granted Critical
Publication of CN102594565B publication Critical patent/CN102594565B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种利用数字证书识别加密协议的识别方法及***,涉及互联网应用技术领域,所述方法包括:S1:对当前报文进行扫描,以获得协议关键字特征;S2:将协议关键字特征与预设的特征库进行匹配;S3:继续扫描后续报文,以获得服务器数字证书的关键字;S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则识别为与所述匹配结果对应的协议报文,否则将当前报文识别为HTTPS协议报文。本发明的方法与原有的粗粒度识别方法不同,从更深度的角度挖掘了HTTPS协议的特征,从数字证书中提取了具备唯一性的关键字,有效区分了共同使用HTTPS协议的不同的应用协议,提高了应用识别和应用控制的粒度。

Description

利用数字证书识别加密协议的识别方法及***
技术领域
本发明涉及互联网应用技术领域,特别涉及一种利用数字证书识别加密协议的识别方法及***。
背景技术
随着互联网的广泛普及,安全性问题越来越受到重视。安全超文本传送协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)是一种常见的加密协议,一般与安全套接层协议(SecureSocket Layer,SSL)/安全传输层协议(Transport Layer Security,TLS)组合使用,用以提供加密通讯及对网络服务器身份的鉴定,被广泛应用到对数据保密性要求很高的应用中,如网上银行、邮件、即时通讯、游戏账号登录等。在一般的协议识别方式中,HTTPS报文经过应用程序中的识别模块被直接识别为HTTPS报文,这种识别结果不能够满足精细化的应用识别和应用控制的粒度要求,例如:GMAIL邮件登陆和魔兽世界登录都被识别为HTTPS,但是控制***需要禁止魔兽世界而允许GMAIL登录,这种识别结果显然无法满足需求。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提高应用识别和应用控制的粒度。
(二)技术方案
为解决上述技术问题,本发明提供了一种利用数字证书识别加密协议的识别方法,所述方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
优选地,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
优选地,所述应用程序为采用HTTPS协议传输数据的程序。
优选地,所述服务器数字证书的关键字为公司名称或应用名称。
本发明还公开了一种利用数字证书识别加密协议的识别***,所述***包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
(三)有益效果
本发明的识别方法与原有的粗粒度识别方法不同,其从更深度的角度挖掘了HTTPS协议的特征,从数字证书中提取了具备唯一性的关键字,有效区分了共同使用HTTPS协议的不同的应用协议,提高了应用识别和应用控制的粒度。
附图说明
图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的利用数字证书识别加密协议的识别方法的流程图;参照图1,所述实施方式的方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
优选地,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及对应的协议作为所述预设的样本库。
优选地,所述应用程序为采用HTTPS协议传输数据的程序,例如:网上银行、及时通讯登录、邮件、游戏账号登录等。
优选地,所述服务器数字证书的关键字为公司名称、应用名称等具备唯一性的关键字。
在协议识别时,识别的对象是报文,在识别结果确定以后,一般不再跟踪报文,在本发明中,对报文进行了二次识别,第一次识别为HTTPS协议,但不能确定是何种应用使用了HTTPS协议,第二次识别选取数字证书中最具唯一性的公司名称或应用名称,具备较高的可靠性。但是,如果直接选取数字证书中的公司名称或应用名称是不可取的,具有以下两个原因:
一、连接前面的报文被优先匹配,因此连接会识别成HTTPS;
二、误识别率被显著提高,其他协议(比如:HTTP)也会出现公司名称或应用名称。
综上所述,本发明提供的利用数字证书识别加密协议的识别方法,与原有的直接识别为HTTPS加密协议不同,其可以直接识别出被加密的真实的应用协议,从而可以提供更为精确的控制粒度。该发明可适用性强,针对所有利用HTTPS协议加密的应用协议都在适用范围之内,因为服务商的数字证书属于SSL/TLS协议规范的一部分,而SSL/TLS和HTTPS协议一般组合使用,包括网上银行、邮件、即时通讯和游戏登录等都可以根据本发明进行识别。
实施例1
下面结合附图说明,使用中国工商银行网上银行的实例来说明,但不用来限制发明的范围。所述方法包括:
步骤A:获取工商银行网上银行登录的当前报文,对当前报文进行扫描,以获得当前报文中的协议关键字特征;
步骤B:将当前报文中的协议关键字特征与预设的特征库进行匹配,发现当前报文为HTTPS协议报文,执行步骤C,本步骤中,只对识别为HTTPS协议报文进行相应处理,其他报文按照正常流程进行处理;
步骤C:继续扫描后续报文中的服务器数字证书,以获得当前报文中服务器数字证书的关键字(本实施例中,后续报文中服务器数字证书的关键字为工商银行数字证书名称“mybank.icbc.com.cn”);
步骤D:将所述服务器数字证书的关键字与预设的特征库进行匹配,若一旦发现工商银行网银关键字特征被匹配,则将当前报文识别为工商银行网银,否则将当前报文识别为HTTPS协议报文。
本发明还公开了一种利用数字证书识别加密协议的识别***,所述***包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种利用数字证书识别加密协议的识别方法,其特征在于,所述方法包括以下步骤:
S1:获取应用程序中的当前报文,对当前报文进行扫描,以获得所述当前报文中的协议关键字特征;
S2:将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行步骤S3;
S3:继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
S4:将所述服务器数字证书的关键字与所述预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文;
其中,所述服务器数字证书的关键字为公司名称或应用名称。
2.如权利要求1所述的方法,其特征在于,所述预设的特征库通过以下步骤建立:
S01:获取应用程序中的若干样本报文,对所述样本报文进行扫描,以获得所述样本报文的协议关键字特征和服务器数字证书的关键字;
S02:将所述样本报文的协议关键字特征和服务器数字证书的关键字、以及与所述样本报文对应的协议置于同一个预设的特征库中,作为所述预设的特征库。
3.如权利要求1所述的方法,其特征在于,所述应用程序为采用HTTPS协议传输数据的程序。
4.一种利用数字证书识别加密协议的识别***,其特征在于,所述***包括:
报文扫描模块,用于获取应用程序中的当前报文,对所述当前报文进行扫描,以获得当前报文中的协议关键字特征;
匹配模块,用于将所述当前报文中的协议关键字特征与预设的特征库进行匹配,若所述当前报文为HTTPS协议报文,则执行继续扫描模块;
继续扫描模块,用于继续扫描后续报文中的服务器数字证书,以获得所述当前报文中服务器数字证书的关键字;
识别模块,用于将所述服务器数字证书的关键字与所述预设的特征库进行匹配,若获得了匹配结果,则将所述当前报文识别为与所述匹配结果对应的协议报文,否则将所述当前报文识别为HTTPS协议报文;
其中,所述服务器数字证书的关键字为公司名称或应用名称。
CN201210042442.3A 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及*** Expired - Fee Related CN102594565B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201210042442.3A CN102594565B (zh) 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及***
PCT/CN2012/086444 WO2013123799A1 (zh) 2012-02-23 2012-12-12 利用数字证书识别加密协议的识别方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210042442.3A CN102594565B (zh) 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及***

Publications (2)

Publication Number Publication Date
CN102594565A CN102594565A (zh) 2012-07-18
CN102594565B true CN102594565B (zh) 2015-06-03

Family

ID=46482790

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210042442.3A Expired - Fee Related CN102594565B (zh) 2012-02-23 2012-02-23 利用数字证书识别加密协议的识别方法及***

Country Status (2)

Country Link
CN (1) CN102594565B (zh)
WO (1) WO2013123799A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594565B (zh) * 2012-02-23 2015-06-03 汉柏科技有限公司 利用数字证书识别加密协议的识别方法及***
CN104394164A (zh) * 2014-12-06 2015-03-04 金琥 基于会话和协议识别https端口数据的方法
CN107707508A (zh) * 2016-08-09 2018-02-16 中兴通讯股份有限公司 应用业务识别方法和装置
CN107070812A (zh) * 2017-05-02 2017-08-18 武汉绿色网络信息服务有限责任公司 一种https协议分析方法及其***
CN114039928B (zh) * 2021-11-02 2024-07-02 恒安嘉新(北京)科技股份公司 网络流量的识别方法、装置、设备及存储介质
CN114401097B (zh) * 2022-01-25 2023-10-20 北京浩瀚深度信息技术股份有限公司 一种基于ssl证书指纹的https业务流量识别的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447985A (zh) * 2008-12-26 2009-06-03 刘学明 基于公证信息的数字证书方法
CN101977235A (zh) * 2010-11-03 2011-02-16 北京北信源软件股份有限公司 一种针对https加密网站访问的网址过滤方法
CN102098268A (zh) * 2009-12-11 2011-06-15 厦门大菁洋网络科技有限公司 一种基于指纹识别的车辆租赁方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9313214B2 (en) * 2004-08-06 2016-04-12 Google Technology Holdings LLC Enhanced security using service provider authentication
CN102594565B (zh) * 2012-02-23 2015-06-03 汉柏科技有限公司 利用数字证书识别加密协议的识别方法及***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447985A (zh) * 2008-12-26 2009-06-03 刘学明 基于公证信息的数字证书方法
CN102098268A (zh) * 2009-12-11 2011-06-15 厦门大菁洋网络科技有限公司 一种基于指纹识别的车辆租赁方法
CN101977235A (zh) * 2010-11-03 2011-02-16 北京北信源软件股份有限公司 一种针对https加密网站访问的网址过滤方法

Also Published As

Publication number Publication date
CN102594565A (zh) 2012-07-18
WO2013123799A1 (zh) 2013-08-29

Similar Documents

Publication Publication Date Title
CN102594565B (zh) 利用数字证书识别加密协议的识别方法及***
JP6527590B2 (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
Stone-Gross et al. Analysis of a botnet takeover
AU2011200559B2 (en) System and method for in- and out-of-band multi-factor server-to-user authentication
CN101465735B (zh) 网络用户身份验证方法、服务器及客户端
CN114679293A (zh) 基于零信任安全的访问控制方法、设备及存储介质
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
CN104618334A (zh) 动态二维码生成验证方法及***
CN105656862A (zh) 认证方法及装置
CN106533677B (zh) 一种用户登录方法、用户终端及服务器
CN102624687A (zh) 基于移动终端的联网程序用户验证方法
CN105635075A (zh) 登录云终端的方法、云终端、云服务器及云***
CN101924635B (zh) 一种用户身份认证的方法及装置
Kim et al. Geo-location based QR-Code authentication scheme to defeat active real-time phishing attack
CN104901951B (zh) 一种Web应用中基于移动终端的密码数据处理与交互方法
CN110266641B (zh) 信息读取方法、***、装置和计算机可读存储介质
CN109740319B (zh) 数字身份验证方法及服务器
CN105978688B (zh) 一种基于信息分离管理的跨网域安全认证方法
CN102811203B (zh) 互联网中用户身份识别方法、***及用户终端
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
CN107615704A (zh) 一种网络防钓鱼的装置、方法和***
Lee et al. Analysis and response of SSH brute force attacks in multi-user computing environment
Buchanan et al. Cryptography across industry sectors
CN207442908U (zh) 一种网络身份认证装置及一种登录器
Chaudhary Development review on phishing: a computer security threat

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PP01 Preservation of patent right
PP01 Preservation of patent right

Effective date of registration: 20180823

Granted publication date: 20150603

PD01 Discharge of preservation of patent
PD01 Discharge of preservation of patent

Date of cancellation: 20210823

Granted publication date: 20150603

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150603

Termination date: 20190223