CN116032657A - 一种流量监控方法、***和电子设备 - Google Patents
一种流量监控方法、***和电子设备 Download PDFInfo
- Publication number
- CN116032657A CN116032657A CN202310114441.3A CN202310114441A CN116032657A CN 116032657 A CN116032657 A CN 116032657A CN 202310114441 A CN202310114441 A CN 202310114441A CN 116032657 A CN116032657 A CN 116032657A
- Authority
- CN
- China
- Prior art keywords
- server
- client
- service
- ssl
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000012544 monitoring process Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 claims abstract description 152
- 230000008569 process Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 31
- 238000010586 diagram Methods 0.000 description 16
- 238000012806 monitoring device Methods 0.000 description 10
- 238000012546 transfer Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及通信领域,尤其涉及一种流量监控方法、***和电子设备。服务器上部署SSL客户端在监听到用户终端上部署的业务客户端与服务器上部署的业务服务端之间协商出用于加密HTTP会话流量的通信秘钥时,截获通信秘钥和业务客户端和业务服务端之间的会话信息,并将通信秘钥和会话信息发送给安全设备的SSL服务端,以使安全设备将通信秘钥以及会话信息添加在会话表中,并依据会话表解密业务客户端与业务服务端之间的HTTP会话流量,对HTTP会话流量进行处理,从而使得安全设备可以获取到前向加密技术以及非前向加密技术协商出的通信秘钥,扩大了安全设备的监控范围,提高了全网的安全性。
Description
技术领域
本申请涉及通信领域,尤其涉及一种流量监控方法、***和电子设备。
背景技术
HTTP(HyperText Transfer Protocol,超文本传输协议)是一种用于分布式、协作式和超媒体信息***的应用层协议。 简单来说就是一种发布和接收 HTML 页面的方法,被用于在 Web(网络) 浏览器和网站服务器之间传递流量。
随着网络规模的日益增大,HTTP流量在网络中的占比日益增大。但是HTTP协议不是加密协议,所以使用HTTP协议进行流量传输存在很多安全隐患。
为了解决安全问题,HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议)协议应运而生。HTTPS(Hypertext Transfer Protocol Secure)利用 SSL(Secure Socket Layer,安全套接层) /TLS(Transport Layer Security,传输层安全性协议)来加密数据包,主要目是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。
然而,在实际应用中,为了保证整个网络的安全,网络上需要配置安全设备,安全设备需要获取HTTP流量进行解析来保证网络安全。但是用户终端与服务器之间采用HTTPS协议来进行流量通信时,安全设备在获取到HTTPS流量后,无法解密该流量,所以无法对网络中的HTTPS流量进行监控,造成安全隐患。
发明内容
本申请提供一种流量监控方法、***和电子设备,用于实现扩大安全设备的流量监控范围,提高全网的安全性。
根据本申请的第一方面,本申请提供一种流量监控方法,所述方法应用于服务器,在所述服务器上部署SSL客户端;在用户终端与所述服务器之间的安全设备上部署SSL服务端;所述安全设备通过旁路部署的方式与所述用户终端和所述服务器之间的转发设备相连,所述方法包括:
所述服务器上部署SSL客户端在监听到所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端之间协商出用于加密HTTP会话流量的通信秘钥时,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息;
所述SSL客户端将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,以使所述安全设备将所述通信秘钥以及会话信息添加在会话表中,并依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
可选的,所述截获所述通信秘钥,包括:
所述SSL客户端利用EPBF机制获取协商出的通信秘钥。
可选的,所述通信秘钥是所述业务客户端和所述业务服务端通过前向加密技术协商出的通信秘钥。
可选的,所述前向加密技术包括如下一种或几种:DHE加密算法、ECDHE加密算法。
可选的,所述SSL客户端将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,包括:
所述SSL客户端构造自定义的SSL秘钥消息;所述SSL秘钥消息的TLV格式中携带所述通信秘钥和会话信息;
所述SSL客户端将所述自定义的SSL秘钥消息发送给所述安全设备上的SSL服务端。
根据本申请的第二方面,提供一种流量监控方法,所述方法应用于安全设备,在所述安全设备上部署SSL服务端,所述安全设备通过旁路部署的方式与用户终端和所述服务器之间的转发设备相连,在所述服务器上部署SSL客户端;所述方法包括:
通过所述SSL服务端接收所述服务器上部署的SSL客户端发送的通信秘钥信息和会话信息;所述通信秘钥是所述SSL客户端在确定所述服务器上的业务服务端与所述用户终端上的业务客户端在协商出用于加密HTTP会话流量的通信秘钥后获取的;所述会话信息是所述业务客户端与所述业务服务端建立的HTTP会话的信息;
将所述通信秘钥和所述会话信息添加至已记录的会话表中;
依据所述会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
可选的,所述依据所述会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理,包括:
在接收到所述业务客户端和所述业务服务端之间的HTTP会话流量时,获取所述HTTP会话流量携带的目标会话信息;
在所述会话表中查找所述目标会话信息对应的通信秘钥;
依据查找到的通信秘钥对所述HTTP会话流量进行解密,并对解密后的HTTP会话流量进行处理。
根据本申请的第三方面,提供一种流量监控***,所述***包括:用户终端、服务器、转发设备和安全设备;所述转发设备部署在所述用户终端和服务器之间,所述安全设备通过旁路部署的方式与所述转发设备相连;所述服务器上部署有SSL客户端;所述安全设备上部署了SSL服务端;
所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端协商用于加密HTTP会话流量的通信秘钥;
所述服务器上部署SSL客户端,在确定所述业务客户端与所述业务服务端之间协商出所述通信秘钥时,截获所述通信秘钥,并将截获的所述通信秘钥和所述业务客户端与所述业务服务端之间的会话信息发送给所述所述安全设备的SSL服务端;
所述安全设备,通过所述SSL服务端将接收到的所述通信秘钥和会话信息添加在会话表中,并依据所述依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
可选的,所述通信秘钥基于前向加密技术协商,所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端协商用于加密HTTP会话流量的通信秘钥,包括:
所述业务客户端生成第一随机值,并依据第一随机值生成客户端私钥,将所述客户端私钥发送给所述业务服务端;
所述业务服务端生成第二随机值,并依据所述第二随机值生成服务端私钥,将所述服务端私钥发送给所述业务客户端;
所述业务服务端基于所述服务端私钥、所述客户端私钥,生成所述通信秘钥;
所述业务客户端基于所述客户端私钥、所述服务端私钥,生成所述通信秘钥。
根据本申请的第四方面,提供一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述流量监控方法。
在本申请中,除了服务器上原始部署的业务服务端外,本申请还在服务器上新部署了SSL客户端,在安全设备上部署了SSL服务端。SSL客户端在监听到业务服务端与业务客户端协商出用于加密HTTP会话流量的通信秘钥后,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息。SSL客户端将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,以使所述安全设备将所述通信秘钥以及会话信息添加在会话表中,并依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
由此可见,无论业务客户端和业务服务端是通过前向加密技术或者非前向加密技术协商的秘钥,只要两者协商出的秘钥,部署在服务器上的SSL客户端都可以截获该通信秘钥,并将通信秘钥发送给安全设备,使得安全设备可以监控使用前向加密技术或者非前向加密技术加密的会话流量,扩大了安全设备的监控范围,提高了全网的安全性。
附图说明
图1是本申请一示例性实施例示出的一种流量监控***的网络结构示意图;
图2是本申请一示例性实施例示出的一种的流量监控***的示意图;
图3是本申请一示例性实施例示出的一种流量监控方法的流程图;
图4是本申请一示例性实施例示出的一种SSL秘钥消息的TLV格式的示意图;
图5是本申请一示例性实施例示出的一种服务器的硬件结构图;
图6是本申请一示例性实施例示出的一种流量监控装置的框图;
图7是本申请一示例性实施例示出的一种安全设备的硬件结构图;
图8是本申请一示例性实施例示出的另一种流量监控装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1是本申请一示例性实施例示出的一种流量监控***的网络结构示意图。
该流量监控***包括:用户终端、服务器、转发设备和安全设备。
其中,用户终端设备上部署有业务客户端,服务器上部署有业务服务端。业务客户端和业务服务端可进行流量转发。
其中,业务客户端和业务服务端可以分别是进行某种业务的客户端和服务端。比如该业务是视频业务,则该业务客户端可以是视频客户端,业务服务端是视频服务端。用户可以利用业务客户端观看电影,业务客户端在监测到用户需要请求的电影名称后,向业务服务端发送电影请求,业务服务端返回该电影。当然,在实际应用中,该业务也可以是游戏、购物、支付、阅读、存储、访问等业务,这里,只是对业务进行示例性地说明,不对其进行具体地限定。
转发设备,部署在用户终端和服务器之间,用于转发用户终端和服务器之间的流量。转发设备可以是交换机、路由器,这里只是对转发设备进行示例性地说明,不对其进行具体地限定。
安全设备,通过旁路部署的方式部署在转发设备上,即安全设备通过旁路部署的方式与转发设备相连。转发设备上的与安全设备相连的端口开启了端口流量镜像,可以将接收到的流量镜像给安全设备。
在实际应用中,用户终端的业务客户端可与服务器上的业务服务端协商出通信秘钥。然后,业务客户端可使用通信秘钥对HTTP会话流量进行加密,并通过转发设备将加密的HTTP会话流量发送给业务服务端。
当转发设备接收到来自于业务客户端的加密的HTTP会话流量时,转发设备会将加密的HTTP会话流量发送给安全设备,以使得安全设备对加密的HTTP会话流量进行解密,以对解密后的HTTP会话流量进行解析,确定解密后的HTTP会话流量是否为恶意流量,从而保证组网的安全。由此可见,如何解密加密后的HTTP会话流量就成为亟待解决的问题。
在现有的流量监控方式中,用户终端上部署的业务客户端和服务器上部署的业务服务端通常是通过RSA(一种加密算法)秘钥交换方式协商出的通信秘钥。RSA技术是一种非前向保密算法,非前向保密算法的特性是通过协商过程中产生的中间信息可以确定最终的通信秘钥。依据该特性,安全设备会通过协商过程中产生的中间信息确定最终的通信秘钥,通过确定出的通信秘钥进行HTTP会话流量的解密。
例如,RSA的协商过程为:
安全设备预先导入了服务端私钥。
业务客户端向业务服务端发送秘钥协商请求。业务服务端向业务客户端返回服务端公钥。业务客户端生成客户端私钥,然后使用服务端公钥加密客户端端私钥生成秘钥密文。然后,业务客户端将秘钥密文发送给业务服务端。
业务服务端采用服务端私钥对秘钥密文进行解密,得到客户端私钥,并将客户端私钥确定为通信秘钥。
而在秘钥密文经过转发设备时,转发设备通过端口流量镜像将秘钥密文(即协商过程中的中间信息)镜像给安全设备,安全设备利用自身预先导入的服务端私钥对秘钥密文进行解密,得到客户端私钥,由此安全设备也可以获取业务客户端和业务服务端的通信秘钥。
然而,在实际应用中,业务客户端和业务服务端除了使用非前向加密算法外,还使用前向加密算法。前向加密算法的特性是,即使获取到协商过程中的中间信息,也无法基于中间信息确定通信秘钥,即通信秘钥不能通过协商出的中间信息直接确定。所以安全设备即使可以获取到中间信息,也无法确定出最终的通信秘钥。
由此可见,现有的流量监控方式,只能获取到非前向加密技术协商的通信秘钥,而无法获取到前向加密技术协商的通信秘钥,致使安全设备无法监控网络中的通过前向加密技术加密的流量,从而造成网络安全性大大降低。
有鉴于此,本申请提供一种流量监控方法,可以实现对通过前向加密技术和非前向加密技术的会话流量的监控。
在本申请中,除了服务器上原始部署的业务服务端外,本申请还在服务器上新部署了SSL客户端,在安全设备上部署了SSL服务端。SSL客户端在监听到业务服务端与业务客户端协商出用于加密HTTP会话流量的通信秘钥后,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息。SSL客户端将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,以使所述安全设备将所述通信秘钥以及会话信息添加在会话表中,并依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
由此可见,无论业务客户端和业务服务端是通过前向加密技术或者非前向加密技术协商的秘钥,只要两者协商出的秘钥,部署在服务器上的SSL客户端都可以截获该通信秘钥,并将通信秘钥发送给安全设备,使得安全设备可以监控使用前向加密技术或者非前向加密技术加密的会话流量,扩大了安全设备的监控范围,提高了全网的安全性。
参见图2,图2是本申请一示例性实施例示出的一种的流量监控***的示意图。
本申请的流量监控***基本与图1的流量监控***相同,只是本申请在服务器上额外部署了安全套接层客户端(又被称为SSL客户端),在安全设备上额外部署了安全套接层服务端(又被称为SSL服务端)。
具体地,在该流量监控***中,用户终端上部署有业务客户端,服务器上除了部署有业务服务端外,还部署有SSL客户端。安全设备上部署有SSL服务端。
用户终端与服务器通过转发设备相连。
安全设备通过旁路部署的方式与转发设备相连。
参见图3,图3是本申请一示例性实施例示出的一种流量监控方法的流程图,该方法可包括如下所示步骤。该方法可用在图2所示的流量监控***中。
步骤301:服务器上部署安全套接层客户端在监听到所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端之间协商出用于加密超文本传输协议会话流量的通信秘钥时,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息。
其中,安全套接层客户端又被称为SSL客户端,超文本传输协议会话流量又被称为HTTPS会话流量。
下面通过步骤3011至步骤3012对步骤301进行详细地说明。
步骤3011:用户终端上部署的业务客户端与服务器上部署的业务服务端之间协商用于加密HTTP会话流量的通信秘钥。
在本申请实施例中,业务客户端与业务服务端之间可以通过非前向加密技术协商通信秘钥,也可通过前向加密技术协商通信秘钥,这里只是对协商通信秘钥的方式进行示例性地说明,不对其进行具体地限定。
其中,非前向加密技术可包括:RSA加密算法(一种加密算法),还可包括其他非前向加密技术,这里只是对非前向加密技术进行示例性地说明,不对其进行具体地限定。
前向加密技术包括:DHE(迪菲-赫尔曼秘钥交换)加密算法、ECDHE(一种利用椭圆曲线的算法进行秘钥协商的算法)加密算法等,当然在实际应用中前向加密技术还包括其他技术,这里只是对前向加密技术进行示例性地说明,不对其进行具体地限定。
其中,对于非前向加密技术来说,两端最终协商出的通信秘钥可以基于协商过程中的中间信息确定。对于前向加密技术来说,两端最终协商出的通信秘钥不可以基于协商过程中的中间信息确定。
在一种可选的实现方式中,业务客户端与业务服务端可以采用非前向加密技术来进行通信秘钥协商。
例如,假设非前向加密技术为RSA算法。
在实现时,业务客户端向业务服务端发送秘钥协商请求。业务服务端向业务客户端返回服务端公钥S2。业务客户端生成客户端私钥C1。业务客户端可使用服务端公钥S2加密客户端端私钥C1生成秘钥密文M。然后,业务客户端将秘钥密文M发送给业务服务端。
业务服务端采用服务端私钥S1对秘钥密文进行解密,得到客户端私钥C1,并将客户端私钥确定为通信秘钥。
在另一种可选的实现方式中,业务客户端与业务服务端可以采用前向加密技术来进行通信秘钥协商。
例如,假设业务客户端和业务服务端采用EDH算法来进行秘钥协商,下面通过步骤A1至步骤A4对该秘钥协商方法进行示例性地说明。
步骤A1:业务客户端生成第一随机值,并依据第一随机值生成客户端私钥,并将生成的客户端私钥发送给业务服务端。
在一种可选的实现方式中,业务客户端生成第一随机值Xa。然后,业务客户端可以依据至少一个预设值和第一随机值生成客户端私钥。
比如,预设值q和p是业界公认的随机值。业务客户端可以依据代码公式Pa=q^Xamod p生成客户端私钥Pa。然后,业务客户端可以把客户端私钥Pa发送给业务服务端。其中,mod为取模运算。
步骤A2:业务服务端生成第二随机值,并依据所述第二随机值生成服务端私钥,将所述服务端私钥发送给所述业务客户端。
在一种可选的实现方式中,业务服务端生成第二随机值Xb。然后,业务服务端可以依据至少一个预设值和第二随机值生成服务端私钥Pb。
比如,预设值q和p是业界公认的随机值。业务服务端可以依据代码公式Pb=q^Xbmod p生成服务端私钥Pb。然后,业务客户端可以把服务端私钥Pb发送给业务客户端。其中,mod为取模运算。
步骤A3:所述业务服务端基于所述服务端私钥、所述业务客户端私钥,生成所述通信秘钥。
在一种可选的实现方式中,业务服务端可以通过服务端私钥Pb、所述业务客户端私钥Pa、以及预设值,生成通信秘钥S。
例如,业务服务端可以依据代码公式S = Pb ^Xa mod p,生成通信秘钥S。
步骤A4:所述业务客户端基于所述客户端私钥、所述服务端私钥,生成所述通信秘钥。
在一种可选的实现方式中,业务客户端端可以通过服务端私钥Pb、所述业务客户端私钥Pa、以及预设值,生成通信秘钥。
例如,业务客户端可以依据代码公式S = Pb ^Xa mod p,生成通信秘钥S。
由此可见,业务客户端和业务服务端协商出的通信秘钥相同,均为S。
步骤3012:服务器上部署SSL客户端在监听到业务客户端与业务服务端之间协商出用于加密HTTP会话流量的通信秘钥时,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息。
在本申请中,为了能获取到业务客户端和业务服务端之间协商出的通信秘钥。本申请在服务器上部署了SSL客户端。SSL客户端截获到业务服务端生成的通信秘钥。
在实现时,SSL客户端可以通过EPBF(Extended Berkeley Packet Filter,扩展伯克利数据包过滤器)技术截获业务服务端生成的通信秘钥以及业务客户端和业务服务端之间会话的会话信息。
在实现时,EPBF是基于事件驱动的,本申请将服务端生成通信秘钥作为一个事件。当服务端生成通信秘钥这个事件发生时,SSL客户端就可以通过EPBF机制获取该服务端生成的通信秘钥和会话信息。
需要说明的是,会话信息是指可以标识一个会话的信息,可包括会话的源IP、目的IP、源端口、目的端口、协议等信息。这里只是对会话信息进行示例性地说明,不对其进行具体地限定。
步骤302:安全套接层客户端将所述通信秘钥和会话信息发送给所述安全设备上的安全套接层服务端。
在实现时,为了防止其他设备截获通信秘钥,对网络造成威胁。SSL客户端可自定义SSL秘钥消息,并在SSL秘钥消息的TLV格式中携带通信秘钥和会话信息。
例如,如图4所示,图4是本申请一示例性实施例示出的一种SSL秘钥消息的TLV格式的示意图。
如图4所示,TLV格式包括类型(Type)字段、长度(Length)字段和值(Value)字段。
其中,Type字段取值为第一预设值时,表明自定义消息为SSL秘钥消息。例如,第一预设值可以为1,这里只是对第一预设值进行示例性地说明,不对其进行具体地限定。当Type字段取其他值时,表明该自定义消息时其他类型的消息。
Length字段的取值为变量,表示Value字段的长度。
Value字段可以携带上述协商出的通信秘钥和会话信息。
在本申请实施例中,SSL客户端在截获到通信秘钥和会话信息后,可构造自定义消息,并将自定义消息中的Type的取值设置为1,在Value字段中携带通信秘钥和会话信息,以此构造出SSL秘钥消息。SSL客户端把SSL秘钥消息发送给部署在安全设备上的SSL服务端。
步骤303:安全设备通过所述安全套接层服务端接收所述服务器上部署的安全套接层客户端发送的通信秘钥信息和会话信息。
在实现时,安全设备可通过SSL服务端接收部署在服务器上的SSL客户端发送的自定义消息。
安全设备可检测该自定义消息的Type取值,当Type取值为第一预设值时,表明该自定义消息为SSL秘钥消息。进一步地,安全设备可从该SSL秘钥消息的Value字段中获取协商出的通信秘钥和会话信息。
步骤304:安全设备将所述通信秘钥和所述会话信息添加至已记录的会话表中。
安全设备上记录了会话表,会话表包括已建立的会话的会话信息和通信秘钥。
安全设备在从SSL秘钥信息中解析出通信秘钥和会话信息后,可以将解析中的通信秘钥和会话信息添加在该会话表中。
步骤305:安全设备依据所述会话表解密所述业务客户端与所述业务服务端之间的超文本传输协议会话流量,对所述超文本传输协议会话流量进行处理。
在实现时,安全设备在接收到业务客户端和业务服务端之间的HTTP会话流量时,可以获取该会话流量携带的目标会话信息(如源IP、目的IP、源端口、目的端口、协议等信息)。
然后,安全设备可在会话表中,查找与该携带的目标会话信息对应的通信秘钥。
若存在通信秘钥,安全设备可利用该通信秘钥对该HTTP会话流量进行解密,并对解密后的HTTP会话流量进行处理。比如,安全设备可对解密后的HTTP流量进行解析,以确定该HTTP会话流量是否为恶意流量。
由上述描述可知,在本申请中,无论业务客户端和业务服务端是通过前向加密技术或者非前向加密技术协商的秘钥,只要两者协商出的秘钥,部署在服务器上的SSL客户端都可以截获该通信秘钥,并将通信秘钥发送给安全设备,使得安全设备可以监控使用前向加密技术或者非前向加密技术加密的会话流量,扩大了安全设备的监控范围,提高了全网的安全性。
此外,在本申请中,SSL客户端通过自定义的SSL秘钥消息将通信秘钥和会话信息发送给安全设备,由于自定义格式的SSL秘钥消息不容易被其他设备解析,所以可以进一步保证通信秘钥传输的安全性。
下面以业务客户端和业务服务端之间的通信秘钥协商方式为DHE算法为例,对本申请提供的流量监控方法进行详细地说明。
步骤B1:业务客户端生成第一随机值Xa。然后,业务客户端可以依据第二预设值p、第三预设值q和第一随机值Xa生成客户端私钥Pa,并将生成的客户端私钥Pa发送给业务服务端。
步骤B2:业务服务端生成第二随机值Xb。然后,业务服务端可以依据第二预设值p、第三预设值q和第二随机值Xb生成服务端私钥Pb,并将生成的服务端私钥Pb发送给业务客户端。
步骤B3:业务服务端可以通过服务端私钥Pb、所述业务客户端私钥Pa、以及第三预设值q,生成通信秘钥S。
步骤B4:业务客户端可以通过服务端私钥Pb、所述业务客户端私钥Pa、以及第三预设值q,生成通信秘钥S。
步骤B5:服务器上的SSL客户端通过EPBF技术截获业务服务端生成的通信秘钥S以及业务客户端和业务服务端之间会话的会话信息。
步骤B6:SSL客户端构造自定义的SSL秘钥消息,并在SSL秘钥消息中携带通信秘钥S和会话信息。
步骤B7:SSL客户端将所述SSL秘钥信息发送给部署在安全设备上的SSL服务端。
步骤B8:安全设备获取该SSL秘钥信息携带的通信秘钥S和会话信息。
步骤B9:安全设备将该通信秘钥S和会话信息添加在会话表中。
步骤B10:安全设备在接收到所述业务客户端和所述业务服务端之间的HTTP会话流量时,获取所述HTTP会话流量携带的会话信息;
步骤B11:安全设备在所述会话表中查找所述会话信息对应的通信秘钥;
步骤B12:安全设备依据查找到的通信秘钥对所述HTTP会话流量进行解密,并对解密后的HTTP会话流量进行处理。
参见图5,图5是本申请一示例性实施例示出的一种服务器的硬件结构图。
与前述流量监控方法的实施例相对应,本申请还提供了流量监控装置的实施例。
本申请流量监控装置的实施例可以应用在服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请流量监控装置所在服务器的一种硬件结构图,除了图5所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的服务器通常根据该服务器的实际功能,还可以包括其他硬件,对此不再赘述。
参见图6,图6是本申请一示例性实施例示出的一种流量监控装置的框图,该装置应用于服务器的SSL客户端;在用户终端与所述服务器之间的安全设备上部署SSL服务端;所述安全设备通过旁路部署的方式与所述用户终端和所述服务器之间的转发设备相连,所述装置包括:
获取单元601,用于在监听到所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端之间协商出用于加密HTTP会话流量的通信秘钥时,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息;
发送单元602,用于将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,以使所述安全设备将所述通信秘钥以及会话信息添加在会话表中,并依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
可选的,所述获取单元601,在截获所述通信秘钥时,用于利用EPBF机制获取协商出的通信秘钥。
可选的,所述通信秘钥是所述业务客户端和所述业务服务端通过前向加密技术协商出的通信秘钥。
可选的,所述前向加密技术包括如下一种或几种:DHE加密算法、ECDHE加密算法。
可选的,所述发送单元602,在将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端时,用于发送自定义SSL秘钥消息;所述SSL秘钥消息的TLV格式中携带所述通信秘钥和会话信息。
参见图7,图7是本申请一示例性实施例示出的一种安全设备的硬件结构图。
与前述流量监控方法的实施例相对应,本申请还提供了流量监控装置的实施例。
本申请流量监控装置的实施例可以应用在安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在安全设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图7所示,为本申请流量监控装置所在安全绳河北的一种硬件结构图,除了图7所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的安全设备通常根据该安全设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图8,图8是本申请一示例性实施例示出的另一种流量监控装置的框图。该装置应用于安全设备,在所述安全设备上部署SSL服务端,所述安全设备通过旁路部署的方式与用户终端和所述服务器之间的转发设备相连,在所述服务器上部署SSL客户端;所述装置包括:
接收单元801,用于通过所述SSL服务端接收所述服务器上部署的SSL客户端发送的通信秘钥信息和会话信息;所述通信秘钥是所述SSL客户端在确定所述服务器上的业务服务端与所述用户终端上的业务客户端在协商出用于加密HTTP会话流量的通信秘钥后获取的;所述会话信息是所述业务客户端与所述业务服务端建立的HTTP会话的信息;
更新单元802,用于将所述通信秘钥和所述会话信息添加至已记录的会话表中;
处理单元803,用于依据所述会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
可选的,所述处理单元803,在所述依据所述会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理时,用于在接收到所述业务客户端和所述业务服务端之间的HTTP会话流量时,获取所述HTTP会话流量携带的目标会话信息;在所述会话表中查找所述目标会话信息对应的通信秘钥;依据查找到的通信秘钥对所述HTTP会话流量进行解密,并对解密后的HTTP会话流量进行处理。
此外本申请还提供一种流量监控***,该***可以执行上述流量监控方法,这里不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种流量监控方法,其特征在于,所述方法应用于服务器,在所述服务器上部署SSL客户端;在用户终端与所述服务器之间的安全设备上部署SSL服务端;所述安全设备通过旁路部署的方式与所述用户终端和所述服务器之间的转发设备相连,所述方法包括:
所述服务器上部署SSL客户端在监听到所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端之间协商出用于加密HTTP会话流量的通信秘钥时,截获所述通信秘钥和所述业务客户端和所述业务服务端之间的会话信息;
所述SSL客户端将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,以使所述安全设备将所述通信秘钥以及会话信息添加在会话表中,并依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
2.根据权利要求1所述的流量监控方法,其特征在于,所述截获所述通信秘钥,包括:
所述SSL客户端利用EPBF机制获取协商出的通信秘钥。
3.根据权利要求1所述的流量监控方法,其特征在于,所述通信秘钥是所述业务客户端和所述业务服务端通过前向加密技术协商出的通信秘钥。
4.根据权利要求3所述的流量监控方法,其特征在于,所述前向加密技术包括如下一种或几种:DHE加密算法、ECDHE加密算法。
5.根据权利要求1所述的流量监控方法,其特征在于,所述SSL客户端将所述通信秘钥和会话信息发送给所述安全设备的SSL服务端,包括:
所述SSL客户端构造自定义的SSL秘钥消息;所述SSL秘钥消息的TLV格式中携带所述通信秘钥和会话信息;
所述SSL客户端将所述自定义的SSL秘钥消息发送给所述安全设备上的SSL服务端。
6.一种流量监控方法,其特征在于,所述方法应用于安全设备,在所述安全设备上部署SSL服务端,所述安全设备通过旁路部署的方式与用户终端和服务器之间的转发设备相连,在所述服务器上部署SSL客户端;所述方法包括:
通过所述SSL服务端接收所述服务器上部署的SSL客户端发送的通信秘钥信息和会话信息;所述通信秘钥是所述SSL客户端在确定所述服务器上的业务服务端与所述用户终端上的业务客户端在协商出用于加密HTTP会话流量的通信秘钥后获取的;所述会话信息是所述业务客户端与所述业务服务端建立的HTTP会话的信息;
将所述通信秘钥和所述会话信息添加至已记录的会话表中;
依据所述会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
7.根据权利要求6所述的流量监控方法,其特征在于,所述依据所述会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理,包括:
在接收到所述业务客户端和所述业务服务端之间的HTTP会话流量时,获取所述HTTP会话流量携带的目标会话信息;
在所述会话表中查找所述目标会话信息对应的通信秘钥;
依据查找到的通信秘钥对所述HTTP会话流量进行解密,并对解密后的HTTP会话流量进行处理。
8.一种流量监控***,其特征在于,所述***包括:用户终端、服务器、转发设备和安全设备;所述转发设备部署在所述用户终端和服务器之间,所述安全设备通过旁路部署的方式与所述转发设备相连;所述服务器上部署有SSL客户端;所述安全设备上部署了SSL服务端;
所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端协商用于加密HTTP会话流量的通信秘钥;
所述服务器上部署SSL客户端,在确定所述业务客户端与所述业务服务端之间协商出所述通信秘钥时,截获所述通信秘钥,并将截获的所述通信秘钥和所述业务客户端与所述业务服务端之间的会话信息发送给所述安全设备的SSL服务端;
所述安全设备,通过所述SSL服务端将接收到的所述通信秘钥和会话信息添加在会话表中,并依据所述依据会话表解密所述业务客户端与所述业务服务端之间的HTTP会话流量,对所述HTTP会话流量进行处理。
9.根据权利要求8所述的流量监控***,其特征在于,所述通信秘钥基于前向加密技术协商,所述用户终端上部署的业务客户端与所述服务器上部署的业务服务端协商用于加密HTTP会话流量的通信秘钥,包括:
所述业务客户端生成第一随机值,并依据第一随机值生成客户端私钥,将所述客户端私钥发送给所述业务服务端;
所述业务服务端生成第二随机值,并依据所述第二随机值生成服务端私钥,将所述服务端私钥发送给所述业务客户端;
所述业务服务端基于所述服务端私钥、所述客户端私钥,生成所述通信秘钥;
所述业务客户端基于所述客户端私钥、所述服务端私钥,生成所述通信秘钥。
10.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-7中任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310114441.3A CN116032657A (zh) | 2023-02-15 | 2023-02-15 | 一种流量监控方法、***和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310114441.3A CN116032657A (zh) | 2023-02-15 | 2023-02-15 | 一种流量监控方法、***和电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116032657A true CN116032657A (zh) | 2023-04-28 |
Family
ID=86070677
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310114441.3A Pending CN116032657A (zh) | 2023-02-15 | 2023-02-15 | 一种流量监控方法、***和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116032657A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110870277A (zh) * | 2017-06-26 | 2020-03-06 | 微软技术许可有限责任公司 | 将中间盒引入到客户端与服务器之间的安全通信中 |
US20200177566A1 (en) * | 2018-11-29 | 2020-06-04 | Checkpoint Software Technologies Ltd. | Method and system for cooperative inspection of encrypted sessions |
CN111819824A (zh) * | 2017-12-23 | 2020-10-23 | 迈克菲有限责任公司 | 在无中间人代理的情况下解密传输层安全流量 |
CN114172645A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 通信旁路审计方法、装置、电子设备及存储介质 |
CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
CN115514583A (zh) * | 2022-11-21 | 2022-12-23 | 北京长亭未来科技有限公司 | 一种流量采集及阻断方法、***、设备及存储介质 |
-
2023
- 2023-02-15 CN CN202310114441.3A patent/CN116032657A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110870277A (zh) * | 2017-06-26 | 2020-03-06 | 微软技术许可有限责任公司 | 将中间盒引入到客户端与服务器之间的安全通信中 |
CN111819824A (zh) * | 2017-12-23 | 2020-10-23 | 迈克菲有限责任公司 | 在无中间人代理的情况下解密传输层安全流量 |
US20200177566A1 (en) * | 2018-11-29 | 2020-06-04 | Checkpoint Software Technologies Ltd. | Method and system for cooperative inspection of encrypted sessions |
CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
CN114172645A (zh) * | 2021-12-06 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 通信旁路审计方法、装置、电子设备及存储介质 |
CN115514583A (zh) * | 2022-11-21 | 2022-12-23 | 北京长亭未来科技有限公司 | 一种流量采集及阻断方法、***、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
舒剑: "《电子商务中的认证协议研究》" * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11477037B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
US10091240B2 (en) | Providing forward secrecy in a terminating TLS connection proxy | |
CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
US7353380B2 (en) | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols | |
US8179818B2 (en) | Proxy terminal, server apparatus, proxy terminal communication path setting method, and server apparatus communication path setting method | |
CN109413060B (zh) | 报文处理方法、装置、设备及存储介质 | |
CN113067828B (zh) | 报文处理方法、装置、服务器、计算机设备及存储介质 | |
JP4107213B2 (ja) | パケット判定装置 | |
CN114448730B (zh) | 基于区块链网络的报文转发方法及装置、交易处理方法 | |
CN101436933A (zh) | 一种https加密访问方法、***及装置 | |
CN110493367A (zh) | 无地址的IPv6非公开服务器、客户机与通信方法 | |
CN114938312B (zh) | 一种数据传输方法和装置 | |
CN112839062B (zh) | 夹杂鉴权信号的端口隐藏方法和装置、设备 | |
US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
CN107276996A (zh) | 一种日志文件的传输方法及*** | |
EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
CN114095195B (zh) | 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质 | |
US20240106811A1 (en) | Systems and methods for network privacy | |
CN116032657A (zh) | 一种流量监控方法、***和电子设备 | |
CN114244569B (zh) | Ssl vpn远程访问方法、***和计算机设备 | |
Risterucci et al. | A new secure virtual connector approach for communication within large distributed systems | |
Manangi et al. | Analysis of Security Features in 5 Layer Internet Model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230428 |
|
RJ01 | Rejection of invention patent application after publication |