CN111404772A - Ssl代理网关的测试***和方法 - Google Patents
Ssl代理网关的测试***和方法 Download PDFInfo
- Publication number
- CN111404772A CN111404772A CN202010159275.5A CN202010159275A CN111404772A CN 111404772 A CN111404772 A CN 111404772A CN 202010159275 A CN202010159275 A CN 202010159275A CN 111404772 A CN111404772 A CN 111404772A
- Authority
- CN
- China
- Prior art keywords
- testing
- protocol
- proxy gateway
- tested
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供一种SSL代理网关的测试***,包括:HTTP服务器;客户设备,用于逐一发出各种第一协议测试地址;第一测试SSL代理网关,被配置为单向卸载代理网关以便尝试单向卸载所接收到的各种第一协议测试地址中的每一个所含的SSL策略,从而记录能被成功单向卸载的SSL策略的第一协议测试地址;以及布置在所述第一测试SSL网关和所述客户设备之间第二测试SSL代理网关被配置为双向加载代理网关,以便尝试双向加载所述客户设备发出的第一协议测试地址中每一个所含的SSL策略,从而记录能被成功双向加载的第一协议测试地址作为可被双向加载代理的第一协议测试地址。
Description
技术领域
本公开涉及网络通信技术领域,尤其是涉及一种对SSL代理网关的进行测试***和方法。
背景技术
随着信息化和数字化社会的发展,人们对信息安全和保密的重要性认识不断提高。使用密码学可以达到以下目的:保密性,防止用户的标识或数据被读取;数据完整性,防止数据被更改;身份验证,确保数据发自特定的一方。在1997年,美国国家标准局公布实施了“美国数据加密标准(DES)”,民间力量开始全面介入密码学的研究和应用中,采用的加密算法有DES(Data Encryption Standard(数据加密标准,又美国国密局,选中的IBM的方案,密钥长度为56,标准提出是要使用64位长的密钥,但是实际中DES算法只用了64位中的56位密钥,这一点是容易出错的))、RSA、SHA等。随着对加密强度需求的不断提高,近期又出现了AES(Advanced Encryption Standard高级加密标准,又称Rijndael加密法,是下一代的加密算法标准,速度快,安全级别高)、ECC等。
保护敏感数据在传送过程中的安全,Netscape公司推出了SSL加密技术。为了保护敏感数据在传送过程中的安全,全球许多知名企业采用SSL(Security Socket Layer)加密机制。SSL是一种安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等)之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40位的密钥,适用于商业信息的加密。
同时,Netscape公司相应开发了HTTPS(Hyper Text Transfer Protocol overSecure Socket Layer安全超文本传输协议)并将HTTPS协议并内置于其浏览器中。HTTPS实际上就是HTTP over SSL,它使用默认端口,而不是像HTTP那样使用端口来和TCP/IP进行通信。通过HTTP加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过SSL(Security Socket Layer安全套接口层)这种为网络通信提供安全以及数据完整性的安全协议中的数字证书、加密算法、非对称密钥等技术在传输层对网络进行加密,从而为网络通信提供安全以及数据完整性的安全协议,由此完成互联网数据传输加密,实现互联网传输安全保护。
具体而言,HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。现有的HTTPS的请求过程,包括以下步骤:客户设备向服务器发起连接请求;服务端接收到请求之后,向客户设备返回公有秘钥以及证书;客户设备在收到公有秘钥之后会随机的生成一个数串,并以此作为共享秘钥;客户设备用公有秘钥对共享秘钥进行加密,并发送给服务端;服务端接收到之后,用私钥对接收到的内容进行解密,得到一个随机的数串,此次生成共享秘钥。此时,客户设备和服务端就拥有了共同的共享秘钥,那么就可以使用共享秘钥进行安全的通信;服务端对响应进行加密,客户设备对报文进行解密。
互联网的通信安全,建立在SSL/TLS协议之上,即加密的通信,而SSL加密必然需要加载对应的加密算法。为此,在实际组网使用之前,需要了解具体SSL代理网关能够适用于那些加密算法。因此,每个SSL网关需要测试一下SSL代理网关能够适应何种加密通信,以便向用户标识适用的加密算法。现有技术对双向SSL网关的测试***采用如图1所示的测试组网,包括依次连接的客户设备,SSL网关设备,若干个服务器(n个服务器)形成的HTTPS/SSL服务器群。该测试组网的具体工作流程包括以下步骤:首先,搭建支持各种不同类型加密算法和不同SSL协议版本号的HTTPS/SSL服务器;其次,在SSL网关设备上配置对应的协议版本号、加密算法,并关联双向加载的代理功能。接着,在SSL网关设备上应用双向SSL加载功能,使得客户设备与设备之间的通信方式是HTTPS形式;然后,如果客户设备到SSL网关设备的代理地址访问成功,则说明SSL网关设备支持对应的加密算法和协议版本号。最后,最终得出网关设备支持的SSL协议版本号、加密算法的列表结果。
很显然,为了测试出SSL网关设备支持的加密算法和协议版本号,现有的双向SSL的测试方法,需要部署对应的载有加密算法和协议版本号的服务器,即各种HTTPS服务器,即,HTTPS服务器上需要设置对应的加密算法和对应的协议版本号等信息。一般HTTPS服务器支持的算法和协议号存在种类不全等问题。这就要求部署各种HTTPS服务器以便满足完备测试环境。这种测试***的部署和测试方法对SSL网关设备生产商而言是一个巨大的工作负担,并导致很高的测试成本,而且这种部署相对麻烦,测试较为不便。
发明内容
本公开的目的在于克服现有技术中的上述的和/或其他的问题之一或全部。因此,根据本公开的一个方面,提供了一种SSL代理网关的测试***,包括:HTTP服务器;客户设备,用于逐一发出各种第一协议测试地址;第一测试SSL代理网关,被配置为单向卸载代理网关以便基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的第一协议测试地址对应的第二协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的第一协议测试地址作为可被第一测试SSL代理网关单向卸载代理的第一协议测试地址;以及,第二测试SSL代理网关,其布置在所述第一测试SSL网关和所述客户设备之间,被配置为双向加载代理网关,以便基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试双向加载所述客户设备发出的能被单向卸载的第一协议测试地址中每一个所含的SSL策略,从而成功采用第一协议测试地址与所述第一测试SSL网关进行通讯,并记录能被成功双向加载的第一协议测试地址作为可被第二测试SSL代理网关可双向加载代理的第一协议测试地址。
根据本公开的SSL代理网关的测试***,其中所述第一测试SSL代理网关通过修改所接收到的第一协议测试地址中的加密算法来尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,并在成功单向卸载时,记录支持该第一协议测试地址及其待测试SSL策略中所包含的单向SSL加密算法。
根据本公开的SSL代理网关的测试***,其中所述第一测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成待测试SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,以便能够在接收到来自所述客户设备发出的第一协议测试地址时,从所指定待测试的SSL协议版本号、SSL策略证书、加密算法选择对应的组合通过修改所述第一协议测试地址中的加密算法来卸载所述第一协议测试地址中的SSL策略。
根据本公开的SSL代理网关的测试***,其中所述第一测试SSL代理网关在被配置为单向卸载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并向HTTP服务器发送第二协议地址。
根据本公开的SSL代理网关的测试***,其中所述第二测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成待测试SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,并且在在被配置为双向加载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并也向第一测试SSL代理网关发送第一协议测试地址。
根据本公开的另一个方面,提供了一种SSL代理网关的测试方法,包括:配置第一测试SSL代理网关为单向卸载代理网关,并加载由多种加密算法与SSL协议版本号组合的待测试的SSL策略;从客户设备向第一测试SSL代理网关逐一发出的各种用于测试的第一协议测试地址;所述第一测试SSL代理网关基于其上所配置待测试SSL策略尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的第一协议测试地址对应的第二协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的第一协议测试地址作为第一测试SSL代理网关可卸载代理的第一协议测试地址;以及,将布置在所述第一测试SSL网关和所述客户设备之间的第二测试SSL代理网关配置为双向加载代理网关并加载由多种加密算法与SSL协议版本号组合的待测试SSL策略;所述第二测试SSL代理网关基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试双向加载所述客户设备发出的能被单向卸载的第一协议测试地址中每一个所含的SSL策略,从而成功采用第一协议测试地址与所述第一测试SSL网关进行通讯,并记录能被成功双向加载的第一协议测试地址作为被第二测试SSL代理网关可双向加载代理的第一协议测试地址。
根据本公开的SSL代理网关的测试方法,其中所述第一测试SSL代理网关通过修改所接收到的第一协议测试地址中的加密算法来尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,并在成功单向卸载时,记录支持该第一协议测试地址及其待测试SSL策略中所包含的单向SSL加密算法。
根据本公开的SSL代理网关的测试方法,其中所述第一测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,以便能够在接收到来自所述客户设备发出的第一协议测试地址时,从所指定待测试的SSL协议版本号、SSL策略证书、加密算法选择对应的组合通过修改所述第一协议测试地址中的加密算法来卸载所述第一协议测试地址中的SSL策略。
根据本公开的SSL代理网关的测试方法,其中所述第一测试SSL代理网关在被配置为单向卸载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并向HTTP服务器发送第二协议地址。
根据本公开的SSL代理网关的测试方法,其中所述第二测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,并且在在被配置为双向加载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并也向第一测试SSL代理网关发送第一协议测试地址。
根据本公开的又一个方面,提供了一种用于SSL代理网关的双向加载代理测试的HTTPS服务器,包括:一个HTTP服务器;以及单向卸载SSL代理网关,其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试单向卸载所接收到的各种HTTPS协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的HTTPS协议测试地址对应的HTTP协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的HTTPS协议测试地址作为可被第一测试SSL代理网关单向卸载代理的HTTPS协议地址。
根据本公开的用于SSL代理网关的双向加载代理测试的HTTPS服务器,其中所述单向卸载SSL代理网关通过修改所接收到的HTTPS协议测试地址中的加密算法来尝试单向卸载所述HTTPS协议测试地址中所含的SSL策略,并在成功单向卸载时,记录支持该HTTPS协议测试地址及其待测试SSL策略中所包含的单向SSL加密算法。
根据本公开的用于SSL代理网关的双向加载代理测试的HTTPS服务器,其中所述单向卸载SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成待测试SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,以便能够在接收到来自所述客户设备发出的HTTPS协议测试地址时,从所指定待测试的SSL协议版本号、SSL策略证书、加密算法选择对应的组合通过修改所述HTTPS协议测试地址中的加密算法来卸载所述HTTPS协议测试地址中的SSL策略。
根据本公开的用于SSL代理网关的双向加载代理测试的HTTPS服务器,其中所述单向卸载SSL代理网关可接受来自客户设备发出的HTTPS协议测试地址,并向HTTP服务器发送HTTP协议地址。
根据本公开的上述技术手段来测试SSL代理网关所能支持的SSL策略或支持的加密算法和协议版本号,只需要在测试***的服务器位置布置一个HTTP服务器就可以。先通过一个待测试的第一测试SSL代理网关进行单向卸载代理验证,得出待测试的SSL策略中支持的单向SSL加密算法及协议等相关的SSL策略,然后将第一测试SSL代理网关和HTTP服务器视为一个HTTPS服务器(其上加载有通过单向卸载代理验证的SSL策略或加密算法和协议版本号的组合),采用第二测试SSL代理网关对通过单向卸载代理验证的SSL策略进行双向加载验证。这样通过第一次验证结果当成最终的测试服务器作为所要搭建的验证环境,使得测试过程中省去了大量布置对应的HTTPS/SSL服务器的麻烦,避免了测试时受到对应服务器支持的算法种类的限制与影响。因此根据本公开的测试***,通过直接部署HTTP服务器即可进行验证对应的加密算法是否支持,且测试环境简单,测试方便,结果可靠。
附图说明
通过结合附图对于本公开的示例性实施例进行描述,可以更好地理解本公开,在附图中:
图1所示的是对SSL代理网关进行双向代理测试的现有测试***的结构示意图;
图2所示的是根据本公开实施例的用于SSL代理网关的测试***的单向卸载代理的原理示意图;
图3所示的是根据本公开实施例的用于SSL代理网关的测试***的原理示意图;
图4所示的是根据本公开实施例的用于SSL代理网关的测试方法的示意性流程图。
具体实施方式
以下将描述本公开的具体实施方式,需要指出的是,在这些实施方式的具体描述过程中,为了进行简明扼要的描述,本说明书不可能对实际的实施方式的所有特征均作详尽的描述。应当可以理解的是,在任意一种实施方式的实际实施过程中,正如在任意一个工程项目或者设计项目的过程中,为了实现开发者的具体目标,为了满足***相关的或者商业相关的限制,常常会做出各种各样的具体决策,而这也会从一种实施方式到另一种实施方式之间发生改变。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本公开公开的内容相关的本领域的普通技术人员而言,在本公开揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本公开的内容不充分。
除非另作定义,权利要求书和说明书中使用的技术术语或者科学术语应当为本公开所属技术领域内具有一般技能的人士所理解的通常意义。本公开专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“一个”或者“一”等类似词语并不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的元件或者物件及其等同元件,并不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,也不限于是直接的还是间接的连接。
图2所示的是根据本公开实施例的用于SSL代理网关的测试***的单向卸载代理的原理示意图。图3所示的是根据本公开实施例的用于SSL代理网关的测试***的原理示意图。图2是图3的一部分。一方面可以通过先构建图2所示的***,随后在图2所示的***中增加第二测试SSL代理网关形成图3所示的***,另一方面,可以直接构建图3所示的测试***,并在进行测试时,通过切换连接,首先切换使得客户设备直接跨过第二测试SSL代理网关与第一测试SSL代理网关相连进行SSL单向卸载测试,随后通过切换使得客户设备直接与第二测试SSL代理网关相连。尽管在图3中未显示切换单元,但是切换本身不是本公开所要解决的技术问题,因此在此省略。
为了减少测试***所需的各种HTTPS服务器,并且仅仅采用HTTP服务器进行SSL代理网关的测试,需要首先获知待测试的SSL代理网关能够卸载SSL策略的结果。为此,如图2所示,首先将客户设备与第一测试SSL代理网关相连,并使得第一测试SSL代理网关连接到HTTP服务器,从而客户设备经由第一测试SSL代理网关可以访问HTTP服务器。为了测试各种加密算法与SSL协议版本号组合的待测试SSL策略,客户设备会尽可能穷尽现有的各种SSL协议版本号、加密算法组合的用于测试的第一协议测试地址逐一发送到第一测试SSL代理网关。
所述第一测试SSL代理网关在被测试之前被配置为单向卸载代理网关,并且加载有由多种加密算法与SSL协议版本号组合构成的待测试SSL策略。具体而言,所述第一测试SSL代理网关首先生成根证书,用生成的根证书生成SSL策略证书,并通过配置对应的SSL策略来指定具体的SSL协议版本号、SSL策略证书、加密算法等相关内容。根证书是数字证书认证机构(CA,Certificate Authority)签发的证书,是证书信任链的起始点。置于如何基于根证书生成SSL策略证书以及配置对应SSL策略制定SSL协议版本、SSL策略证书即加密算法,属于现有的技术,因此不在此进行详细描述。SSL协议版本号,包括上述SSL的一个或多个版本号。例如,上述SSL协议版本号可以是SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2中的任何一种。随着各种版本的升级和变换,都可以应用到本公开的技术方案中。
将所述第一测试SSL代理网关在被测试之前配置为单向卸载代理网关通过配置***中对将由CA提供的公钥导入所述第一测试SSL代理网关,并创建该公钥的信任域,从而可以导入由CA提供的CA证书和HTTP服务器证书。可选择地服务器证书导入本地证书即可,由所述第一测试SSL代理网关来代替HTTP服务器进行证书验证。主要指出的是,如果只提供了CA证书,没有服务器证书,可以先导入CA证书到所述第一测试SSL代理网关,然后填写相关的CN、OU等信息,点击申请证书,会得到一个证书申请的字符串,通过将该字符串发给CA,可以制作服务器证书。随后,所述第一测试SSL代理网关的策略-SSL代理中,配置SSL代理模板。需要指出的是,服务端口指后端服务器实际开放的端口。最后在所述第一测试SSL代理网关的安全策略中启用SSL代理功能。这样,所述第一测试SSL代理网关被配置为具有单向SSL卸载代理功能,使得客户设备可以通过HTTPS协议访问所述第一测试SSL代理网关,而所述第一测试SSL代理网关通过HTTP协议访问HTTP服务器。
具体而言,开始测试时,客户设备首先逐一向第一测试SSL代理网关发送需要测试的各种第一协议测试地址,例如HTTPS协议地址。每个被用来进行测试的第一协议测试地址采用不同的SSL策略,例如不同的密算法和SSL协议版本的组合。而第一测试SSL代理网关在接收到客户设备发送的第一协议测试地址时,由于启用了单向卸载SSL策略的功能,因此,其基于其所载有的待测试的SSL策略,通过修改所接收到的第一协议测试地址中的加密算法来尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略。如果由于第一测试SSL代理网关所载有的某个或某几个待测试的SSL策略可以所接收到的某个第一协议测试地址中的某一加密算法,则可以成功卸载该第一协议测试地址的SSL策略,从而能够将卸载后形成的HTTP地址发送到HTTP服务器,该HTTP服务器也可以正常做出响应,这意味着第一测试SSL代理网关对该第一协议测试地址卸载尝试是成功,从而测试和验证了第一测试SSL代理网关支持该第一协议测试地址所包含的加密算法的类型,也就是说第一测试SSL代理网关测试和验证SSL单向卸载支持的加密算法类型得以通过。这种单向卸载成功,则说明第一测试SSL代理网关支持该单向SSL加密算法,反之,说明第一测试SSL代理网关不支持该单向SSL的加密算法。通过对所要测试的所有SSL策略进行逐一测试,可以记录所有实现成功单向卸载的第一协议测试地址,从而录能被成功单向卸载的SSL策略的第一协议测试地址作为可被第一测试SSL代理网关单向卸载代理的第一协议测试地址,可简称为可单向卸载第一协议测试地址。
随后,进行双向SSL加载代理测试。如图3所示,将所述第一测试SSL网关和HTTP服务器作为一个HTTPS服务器整体与第二测试SSL网关相连。可选择地,在对第一测试SSL网关进行单向SSL卸载测试之后,将客户设备切换到直接与第二测试SSL网关相连,使得第一测试SSL网关和HTTP服务器作为一个专门的HTTPS服务器。该专用HTTPS服务器与常规的HTTPS服务器不同的是,常规HTTPS服务器上载有的SSL策略是有限的,不可能包含目前能够常见的所有SSL策略。但是由于本公开的第一测试SSL网关载有各种待测试的SSL策略,因此根据本公开的专用HTTPS服务器(即本公开的第一测试SSL网关和HTTP服务器组合)就具备了常规多种HTTPS服务器形成的测试群的功能。
如图3所示,在进行SSL双向加载代理测试之前,第二测试SSL代理网关被配置为双向加载代理网关,并且与第一测试SSL网关一样载有由多种加密算法与SSL协议版本号组合的待测试SSL策略。该配置方式和加载方式与第一测试SSL代理网关的配置和加载SSL策略的方式相同,不同之处在于第一测试SSL代理网关配置的是单项SSL卸载功能而第二测试SSL代理网关配置的是双向加载代理功能。
在进行双向加载代理测试时,客户设备将可单向卸载第一协议测试地址中的每一个发送到第二测试SSL代理网关。第二测试SSL代理网关基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略尝试对来自客户设备的可单向卸载第一协议测试地址中的某一第一协议测试地址进行SSL双向加载代理。如果第二测试SSL代理网关能够对来自客户设备的某一第一协议测试地址实现SSL双向加载代理,则可测试验证出支持的双向SSL加密算法的具体类型和名称,这样,客户设备就可以用作为第一协议的HTTPS协议访问第二测试SSL代理网关,而第二测试SSL代理网关也可以与专用HTTPS服务器(即本公开的第一测试SSL网关和HTTP服务器组合)通过HTTPS协议进行通信。因此,该专用HTTPS服务器也可以被称为单向卸载HTTPS服务器。随后,根据最终对每个第一协议测试地址的双向加载的结果,测试验证出支持的双向SSL加密算法的具体类型和名称。如果双向加载成功,则访问在第二测试SSL网关的两侧从https到https可通,则说明第二测试SSL网关支持双向SSL,若加载失败,说明不支持双向SSL。通过这种测试,注意记录能被成功双向加载的第一协议测试地址作为可被第二测试SSL代理网关可双向加载代理的第一协议测试地址,从而获得最终能够被SSL双向加载的支持项。
图4所示的是根据本公开的实施例的用于SSL代理网关的测试方法的示意性流程图。如图4所示,
首先,在步骤S410处,配置第一测试SSL代理网关和第二测试SSL代理网关。具体而言,将第一测试SSL代理网关为单向卸载代理网关,并加载由多种加密算法与SSL协议版本号组合的待测试的SSL策略;以及将布置在所述第一测试SSL网关和所述客户设备之间的第二测试SSL代理网关配置为双向加载代理网关并加载由多种加密算法与SSL协议版本号组合的待测试SSL策略。
接着,在步骤S420处,将客户设备切换到跨过第二测试SSL代理网关直接连接到第一测试SSL代理网关,并由客户设备向第一测试SSL代理网关逐一发出的各种用于测试的第一协议测试地址。
随后,在步骤S430处,所述第一测试SSL代理网关基于其上所配置待测试SSL策略尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的第一协议测试地址对应的第二协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的第一协议测试地址作为第一测试SSL代理网关可卸载代理的第一协议测试地址。
然后在步骤S440处,将客户设备切换直接连接到第二测试SSL代理网关第一测试SSL代理网关,从而所述第二测试SSL代理网关基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试双向加载所述客户设备发出的能被单向卸载的第一协议测试地址中每一个所含的SSL策略,从而成功采用第一协议测试地址与所述第一测试SSL网关进行通讯,并记录能被成功双向加载的第一协议测试地址作为被第二测试SSL代理网关可双向加载代理的第一协议测试地址。这样,专用HTTPS服务器与客户设备建立通信连接,客户设备向服务器发送请求,并等待来自服务器端的相应信息。
可选择地,第一协议可以为HTTPS协议,第二协议可以为http协议。
综上所述,根据本公开的上述技术手段来测试SSL代理网关所能支持的SSL策略或支持的加密算法和协议版本号,只需要在测试***的服务器位置布置一个HTTP服务器就可以。先通过一个待测试的第一测试SSL代理网关进行单向卸载代理验证,得出待测试的SSL策略中支持的单向SSL加密算法及协议等相关的SSL策略,然后将第一测试SSL代理网关和HTTP服务器视为一个HTTPS服务器(其上加载有通过单向卸载代理验证的SSL策略或加密算法和协议版本号的组合),采用第二测试SSL代理网关对通过单向卸载代理验证的SSL策略进行双向加载验证。这样通过第一次验证结果当成最终的测试服务器作为所要搭建的验证环境,使得测试过程中省去了大量布置对应的HTTPS/SSL服务器的麻烦,避免了测试时受到对应服务器支持的算法种类的限制与影响。因此根据本公开的测试***,通过直接部署HTTP服务器即可进行验证对应的加密算法是否支持,且测试环境简单,测试方便,结果可靠。
概括而言,本公开的测试***先进行单向卸载,将HTTP服务器通过被配置为单向卸载SSL代理网关的第一测试SSL代理网关而转化成支持对应加密算法的专用HTTPS服务器,从而省略了常规双向加载代理测试中所需的大量常规HTTPS服务器。因此,本公开的技术方案应用支持单向SSL的结果作为后续的测试服务器,最终测试出双向SSL的支持情况。更进一步而言,本公开的测试***可以一方面获得代理网关支持的单向SSL加密算法种类的明细列表,另一方面将单向SSL卸载的结果当成条件用来进行验证和推导双向SSL的测试方法。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,对本领域的普通技术人员而言,能够理解本公开的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本公开的说明的情况下运用他们的基本编程技能就能实现的。
因此,本公开的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本公开的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本公开,并且存储有这样的程序产品的存储介质也构成本公开。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。
还需要指出的是,在本公开的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (14)
1.一种SSL代理网关的测试***,包括:
HTTP服务器;
客户设备,用于逐一发出各种第一协议测试地址;
第一测试SSL代理网关,被配置为单向卸载代理网关以便基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的第一协议测试地址对应的第二协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的第一协议测试地址作为可被第一测试SSL代理网关单向卸载代理的第一协议测试地址;以及,
第二测试SSL代理网关,其布置在所述第一测试SSL网关和所述客户设备之间,被配置为双向加载代理网关,以便基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试双向加载所述客户设备发出的能被单向卸载的第一协议测试地址中每一个所含的SSL策略,从而成功采用第一协议测试地址与所述第一测试SSL网关进行通讯,并记录能被成功双向加载的第一协议测试地址作为可被第二测试SSL代理网关可双向加载代理的第一协议测试地址。
2.如权利要求1所述的SSL代理网关的测试***,其中所述第一测试SSL代理网关通过修改所接收到的第一协议测试地址中的加密算法来尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,并在成功单向卸载时,记录支持该第一协议测试地址及其待测试SSL策略中所包含的单向SSL加密算法。
3.如权利要求1所述的SSL代理网关的测试***,其中所述第一测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成待测试SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,以便能够在接收到来自所述客户设备发出的第一协议测试地址时,从所指定待测试的SSL协议版本号、SSL策略证书、加密算法选择对应的组合通过修改所述第一协议测试地址中的加密算法来卸载所述第一协议测试地址中的SSL策略。
4.如权利要求1所述的SSL代理网关的测试***,其中所述第一测试SSL代理网关在被配置为单向卸载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并向HTTP服务器发送第二协议地址。
5.如权利要求1-4之一所述的SSL代理网关的测试***,其中所述第二测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成待测试SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,并且在在被配置为双向加载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并也向第一测试SSL代理网关发送第一协议测试地址。
6.一种SSL代理网关的测试方法,包括:
配置第一测试SSL代理网关为单向卸载代理网关,并加载由多种加密算法与SSL协议版本号组合的待测试的SSL策略;
从客户设备向第一测试SSL代理网关逐一发出的各种用于测试的第一协议测试地址
所述第一测试SSL代理网关基于其上所配置待测试SSL策略尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的第一协议测试地址对应的第二协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的第一协议测试地址作为第一测试SSL代理网关可卸载代理的第一协议测试地址;以及,
将布置在所述第一测试SSL网关和所述客户设备之间的第二测试SSL代理网关配置为双向加载代理网关并加载由多种加密算法与SSL协议版本号组合的待测试SSL策略;
所述第二测试SSL代理网关基于其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试双向加载所述客户设备发出的能被单向卸载的第一协议测试地址中每一个所含的SSL策略,从而成功采用第一协议测试地址与所述第一测试SSL网关进行通讯,并记录能被成功双向加载的第一协议测试地址作为被第二测试SSL代理网关可双向加载代理的第一协议测试地址。
7.如权利要求6所述的SSL代理网关的测试方法,其中所述第一测试SSL代理网关通过修改所接收到的第一协议测试地址中的加密算法来尝试单向卸载所述客户设备发出的各种第一协议测试地址中的每一个所含的SSL策略,并在成功单向卸载时,记录支持该第一协议测试地址及其待测试SSL策略中所包含的单向SSL加密算法。
8.如权利要求6所述的SSL代理网关的测试方法,其中所述第一测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,以便能够在接收到来自所述客户设备发出的第一协议测试地址时,从所指定待测试的SSL协议版本号、SSL策略证书、加密算法选择对应的组合通过修改所述第一协议测试地址中的加密算法来卸载所述第一协议测试地址中的SSL策略。
9.如权利要求6所述的SSL代理网关的测试方法,其中所述第一测试SSL代理网关在被配置为单向卸载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并向HTTP服务器发送第二协议地址。
10.如权利要求6-9之一所述的SSL代理网关的测试方法,其中所述第二测试SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,并且在在被配置为双向加载代理网关后可接受来自所述客户设备发出的第一协议测试地址,并也向第一测试SSL代理网关发送第一协议测试地址。
11.一种用于SSL代理网关的双向加载代理测试的HTTPS服务器,包括:
一个HTTP服务器;以及
单向卸载SSL代理网关,其上所配置的由多种加密算法与SSL协议版本号组合的待测试SSL策略,尝试单向卸载所接收到的各种HTTPS协议测试地址中的每一个所含的SSL策略,从而采用与被成功卸载的HTTPS协议测试地址对应的HTTP协议地址与HTTP服务器进行通讯,并记录能被成功单向卸载的SSL策略的HTTPS协议测试地址作为可被第一测试SSL代理网关单向卸载代理的HTTPS协议地址。
12.如权利要求11所述的用于SSL代理网关的双向加载代理测试的HTTPS服务器,其中所述单向卸载SSL代理网关通过修改所接收到的HTTPS协议测试地址中的加密算法来尝试单向卸载所述HTTPS协议测试地址中所含的SSL策略,并在成功单向卸载时,记录支持该HTTPS协议测试地址及其待测试SSL策略中所包含的单向SSL加密算法。
13.如权利要求11所述的用于SSL代理网关的双向加载代理测试的HTTPS服务器,其中所述单向卸载SSL代理网关在被测试前首先生成根证书,并基于所述根证书生成待测试SSL策略证书,并配置对应的SSL策略,以指定待测试的SSL协议版本号、SSL策略证书、加密算法,以便能够在接收到来自所述客户设备发出的HTTPS协议测试地址时,从所指定待测试的SSL协议版本号、SSL策略证书、加密算法选择对应的组合通过修改所述HTTPS协议测试地址中的加密算法来卸载所述HTTPS协议测试地址中的SSL策略。
14.如权利要求11所述的用于SSL代理网关的双向加载代理测试的HTTPS服务器,其中所述单向卸载SSL代理网关可接受来自客户设备发出的HTTPS协议测试地址,并向HTTP服务器发送HTTP协议地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010159275.5A CN111404772B (zh) | 2020-03-09 | 2020-03-09 | Ssl代理网关的测试***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010159275.5A CN111404772B (zh) | 2020-03-09 | 2020-03-09 | Ssl代理网关的测试***和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404772A true CN111404772A (zh) | 2020-07-10 |
| CN111404772B CN111404772B (zh) | 2021-08-31 |
Family
ID=71428666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010159275.5A Active CN111404772B (zh) | 2020-03-09 | 2020-03-09 | Ssl代理网关的测试***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404772B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055032A (zh) * | 2020-09-21 | 2020-12-08 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112187801A (zh) * | 2020-09-29 | 2021-01-05 | 杭州迪普科技股份有限公司 | 网站访问方法、装置及*** |
| CN113301016A (zh) * | 2021-04-16 | 2021-08-24 | 航天信息股份有限公司 | 实现https双向验证的方法、装置及*** |
| CN115277837A (zh) * | 2022-07-22 | 2022-11-01 | 杭州迪普科技股份有限公司 | 基于代理的重定向方法和装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529258A (zh) * | 2003-09-29 | 2004-09-15 | 上海格尔软件股份有限公司 | 实现web应用安全加固的快速部署方法 |
| CN101610183A (zh) * | 2009-07-21 | 2009-12-23 | 杭州华三通信技术有限公司 | 一种探测超文本传输协议服务器处理能力的方法及设备 |
| US20150254440A1 (en) * | 2010-08-05 | 2015-09-10 | Huawei Device Co., Ltd. | Method, Apparatus and System for Software Management |
| KR101602885B1 (ko) * | 2015-01-26 | 2016-03-11 | 한국인터넷진흥원 | 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법 |
| CN106856468A (zh) * | 2015-12-08 | 2017-06-16 | 中国科学院声学研究所 | 一种部署在云存储服务端的安全代理装置与安全代理方法 |
| US20190166021A1 (en) * | 2017-11-29 | 2019-05-30 | Extreme Networks, Inc. | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection |
| CN110535934A (zh) * | 2019-08-26 | 2019-12-03 | 苏宁云计算有限公司 | 客户端https消息测试方法、装置、计算机设备 |
| CN110855700A (zh) * | 2019-11-20 | 2020-02-28 | 杭州端点网络科技有限公司 | 一种跨公网实现多云管控的安全认证方法 |
-
2020
- 2020-03-09 CN CN202010159275.5A patent/CN111404772B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529258A (zh) * | 2003-09-29 | 2004-09-15 | 上海格尔软件股份有限公司 | 实现web应用安全加固的快速部署方法 |
| CN101610183A (zh) * | 2009-07-21 | 2009-12-23 | 杭州华三通信技术有限公司 | 一种探测超文本传输协议服务器处理能力的方法及设备 |
| US20150254440A1 (en) * | 2010-08-05 | 2015-09-10 | Huawei Device Co., Ltd. | Method, Apparatus and System for Software Management |
| KR101602885B1 (ko) * | 2015-01-26 | 2016-03-11 | 한국인터넷진흥원 | 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법 |
| CN106856468A (zh) * | 2015-12-08 | 2017-06-16 | 中国科学院声学研究所 | 一种部署在云存储服务端的安全代理装置与安全代理方法 |
| US20190166021A1 (en) * | 2017-11-29 | 2019-05-30 | Extreme Networks, Inc. | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection |
| CN110535934A (zh) * | 2019-08-26 | 2019-12-03 | 苏宁云计算有限公司 | 客户端https消息测试方法、装置、计算机设备 |
| CN110855700A (zh) * | 2019-11-20 | 2020-02-28 | 杭州端点网络科技有限公司 | 一种跨公网实现多云管控的安全认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| HAITAO DONG等: "Request Distribution with Pre-Learning for Distributed SSL Reverse Proxies", 《2016 17TH IEEE/ACIS INTERNATIONAL CONFERENCE ON SOFTWARE ENGINEERING, ARTIFICIAL INTELLIGENCE, NETWORKING AND PARALLEL/DISTRIBUTED COMPUTING (SNPD)》 * |
| 董海韬,陈君,杨军: "SSL反向代理网关请求分发的***架构设计", 《网络新媒体技术》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055032A (zh) * | 2020-09-21 | 2020-12-08 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112055032B (zh) * | 2020-09-21 | 2022-05-17 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN112187801A (zh) * | 2020-09-29 | 2021-01-05 | 杭州迪普科技股份有限公司 | 网站访问方法、装置及*** |
| CN113301016A (zh) * | 2021-04-16 | 2021-08-24 | 航天信息股份有限公司 | 实现https双向验证的方法、装置及*** |
| CN115277837A (zh) * | 2022-07-22 | 2022-11-01 | 杭州迪普科技股份有限公司 | 基于代理的重定向方法和装置 |
| CN115277837B (zh) * | 2022-07-22 | 2023-04-25 | 杭州迪普科技股份有限公司 | 基于代理的重定向方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404772B (zh) | 2021-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11483143B2 (en) | Enhanced monitoring and protection of enterprise data | |
| CN111404772B (zh) | Ssl代理网关的测试***和方法 | |
| US10462114B2 (en) | System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading | |
| CN103731395B (zh) | 文件的处理方法及*** | |
| US9852300B2 (en) | Secure audit logging | |
| JP4240297B2 (ja) | 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム | |
| CN109347835A (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| US9721071B2 (en) | Binding of cryptographic content using unique device characteristics with server heuristics | |
| US9954834B2 (en) | Method of operating a computing device, computing device and computer program | |
| US9559737B2 (en) | Telecommunications chip card | |
| US11755499B2 (en) | Locally-stored remote block data integrity | |
| US20020144118A1 (en) | Authentication method in an agent system | |
| Virvilis et al. | Secure cloud storage: Available infrastructures and architectures review and evaluation | |
| US20230037520A1 (en) | Blockchain schema for secure data transmission | |
| Goyal et al. | An effective hybrid encryption algorithm for ensuring cloud data security | |
| US11863666B2 (en) | Relay network for encryption system | |
| US20180027018A1 (en) | System and Method for Sharing Information in a Private Ecosystem | |
| CN101325483B (zh) | 对称密钥更新方法和对称密钥更新装置 | |
| US8532300B1 (en) | Symmetric is encryption key management | |
| CN112242899B (zh) | 使用量子密钥对存储文件进行加解密的nas存储***及方法 | |
| US10635826B2 (en) | System and method for securing data in a storage medium | |
| Chiu et al. | TPMWallet: Towards blockchain hardware wallet using trusted platform module in iot | |
| Sanyal et al. | A multifactor secure authentication system for wireless payment | |
| JP2007060581A (ja) | 情報管理システム及び方法 | |
| Rijanandi et al. | Implementation of encrypt national ID card in Sinovi application use waterfall methodology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |