專利名稱:一種監(jiān)控ssl連接與數(shù)據(jù)的設(shè)計(jì)與實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)軟件技術(shù)領(lǐng)域,涉及互聯(lián)網(wǎng)SSL協(xié)議���,同時涉及數(shù)據(jù)監(jiān) 控的設(shè)計(jì)與實(shí)現(xiàn)
背景技術(shù):
加密套接層協(xié)議(簡稱SSL)是萬維網(wǎng)(WWW)上保證網(wǎng)絡(luò)交易安全的占主導(dǎo) 地位的方式�����。自1994年引入���,SSL很快被用于熱門的網(wǎng)頁瀏覽器如網(wǎng)景、微軟�, 主要作用于保護(hù)消費(fèi)者在線交易的保密性��。除保證電子商務(wù)安全�,SSL (其最新 版本稱為TLS或傳輸層安全協(xié)議)現(xiàn)已進(jìn)化至互聯(lián)網(wǎng)上傳輸各敏感數(shù)據(jù)的擇優(yōu) 取向,如在線賬單支付����、網(wǎng)上金融報(bào)表、在線納稅申報(bào)單和網(wǎng)上股票購買等�。
SSL協(xié)議利用X509數(shù)字證書,采用端到端的加密方式�, 一般情況下是不能 被竊聽或者監(jiān)控的��。SSL協(xié)議包括SSL握手協(xié)議��、SSL Change Cipher Spec協(xié) 議�����、SSL Alert協(xié)議以及SSL紀(jì)錄協(xié)議����。
SSL握手協(xié)議是SSL協(xié)議的重要部分����,它使用非對稱算法實(shí)現(xiàn)算法協(xié)商和密 鑰交換,具體協(xié)議見圖
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種監(jiān)控SSL連接與數(shù)據(jù)的設(shè)計(jì)和實(shí)現(xiàn)方法����,該方法 利用SSL握手協(xié)議,實(shí)現(xiàn)了透明的SSL代理�����,從而實(shí)現(xiàn)了 SSL連接與數(shù)據(jù)的監(jiān) 控����。
本發(fā)明內(nèi)容將包括幾個方面
1.網(wǎng)關(guān)自有根證書的自動分發(fā)����,用戶客戶端訪問外部站點(diǎn)時�,將首先通過 網(wǎng)關(guān)設(shè)備的認(rèn)證,網(wǎng)關(guān)設(shè)備在認(rèn)證過程中將自動在客戶端安裝自有根證書�。
2. 客戶端訪問外部SSL站點(diǎn)時,網(wǎng)關(guān)設(shè)備將作為代理設(shè)備����,透明地代理SSL 連接和數(shù)據(jù)。
3. 網(wǎng)關(guān)設(shè)備將對SSL連接的數(shù)據(jù)進(jìn)行解密����,判斷數(shù)據(jù)是否是正常的HTML 數(shù)據(jù)或者是應(yīng)用數(shù)據(jù),同時通過比對不同應(yīng)用的特征值�,來發(fā)現(xiàn)是否是某種非法 應(yīng)用利用SSL隧道來通過。
具體實(shí)施例方式
具體實(shí)現(xiàn)方式包括以下幾個流程
1. 自動根證書分發(fā)安裝
用戶訪問外部站點(diǎn)��,網(wǎng)關(guān)設(shè)備判斷用戶是否已經(jīng)登錄����。
*如果用戶沒有登錄�����,網(wǎng)關(guān)將提示用戶登錄,同時登錄頁面嵌入根證書安
裝腳本�,自動安裝根證戶。 *用戶登錄網(wǎng)關(guān)后�����,用戶可以訪問外部站點(diǎn)��。
2. SSL連接與監(jiān)控
*用戶訪問外部SSL站點(diǎn)��,客戶端發(fā)送SSL握手協(xié)議ClientHello消息����。 * 網(wǎng)關(guān)設(shè)備生成SSL站點(diǎn)證書,發(fā)送SSL握手協(xié)議ServerHello消息�����,提
交網(wǎng)關(guān)SSL證書 客戶端完成SSL握手�。
*網(wǎng)關(guān)設(shè)備將與外部SSL站點(diǎn)通過SSL握手,建立SSL連接����。 *客戶端發(fā)送加密的SSL數(shù)據(jù)。
*網(wǎng)關(guān)設(shè)備解密SSL數(shù)據(jù),判斷是否是正常的HTML數(shù)據(jù)�,還是某種應(yīng)
用利用SSL隧道通過,如果是應(yīng)用SSL隧道����,比對應(yīng)用的特征值,如
果是非法的應(yīng)用�����,則斷開連接�。 *正常的SSL數(shù)據(jù),網(wǎng)關(guān)設(shè)備對外部SSL站點(diǎn)的SSL連接重新加密�����,把
加密的SSL數(shù)據(jù)發(fā)送到外部SSL站點(diǎn)���。 *外部SSL站點(diǎn)返回加密的SSL數(shù)據(jù)到網(wǎng)關(guān)設(shè)備�����,網(wǎng)關(guān)設(shè)備對客戶端SSL
連接重新加密�����,并發(fā)送加密的SSL數(shù)據(jù)到客戶端���。
圖l: SSL握手協(xié)議。
圖2:自動根證書分發(fā)安裝��。
圖3: SSL連接與監(jiān)控��。
權(quán)利要求
1. 一種監(jiān)控SSL連接與數(shù)據(jù)的設(shè)計(jì)與實(shí)現(xiàn)方法����,其特征在于該方法采用在客戶端預(yù)裝信任的根證書,用戶在客戶端發(fā)起SSL連接請求時�����,網(wǎng)關(guān)設(shè)備將根據(jù)用戶需要連接的SSL站點(diǎn)�����,自動生成相應(yīng)的SSL服務(wù)器證書�,提交給客戶端,從而完成SSL握手����,同時網(wǎng)關(guān)將與用戶需要訪問的SSL站點(diǎn)建立SSL連接,從而網(wǎng)關(guān)設(shè)備充當(dāng)代理的角色,網(wǎng)關(guān)設(shè)備在接收到客戶端發(fā)送的SSL加密數(shù)據(jù)后��,將進(jìn)行解密����、監(jiān)控,如果其數(shù)據(jù)包含非法的應(yīng)用數(shù)據(jù)����,例如利用SSL加密隧道來實(shí)現(xiàn)支持某種非法的應(yīng)用程序,網(wǎng)關(guān)設(shè)備將中止連接����,如果是正常的數(shù)據(jù),網(wǎng)關(guān)設(shè)備將數(shù)據(jù)重新加密后轉(zhuǎn)發(fā)到相應(yīng)的SSL站點(diǎn)��。
全文摘要
一種監(jiān)控SSL連接與數(shù)據(jù)的設(shè)計(jì)和實(shí)現(xiàn)方法��,該方法實(shí)現(xiàn)利用SSL握手協(xié)議�����,實(shí)現(xiàn)了透明的SSL代理��,從而可以實(shí)現(xiàn)SSL連接與數(shù)據(jù)的監(jiān)控��。發(fā)明主要包括兩個方面網(wǎng)關(guān)根證書的自動分發(fā),SSL連接與監(jiān)控的實(shí)現(xiàn)�。發(fā)明通過SSL代理��,利用應(yīng)用的特征值�����,來發(fā)現(xiàn)是否某種非法應(yīng)用利用SSL隧道來通過�。
文檔編號H04L9/32GK101383820SQ20081004027
公開日2009年3月11日 申請日期2008年7月7日 優(yōu)先權(quán)日2008年7月7日
發(fā)明者鄭朝暉 申請人:上海安融信息系統(tǒng)有限公司