一种加密流量数据监控的方法、装置及系统与流程

本发明涉及互联网技术领域，特别是涉及一种加密流量数据监控的方法、装置及系统。

背景技术：

在现有的浏览器访问各种网站时，是通过超文本传送协议(Hypertext transfer protocol，简称HTTP)来定义浏览器如何向网络服务器请求网络内容以及网络服务器如何把网络内容传送给浏览器的。HTTP是面向应用层协议，它是万维网上能够可靠的交换文件(包括文本、声音、图像等各种多媒体文件)的重要基础。而伴随着互联网技术的发展，人们可以通过网络进行各种活动，如网络游戏、网上购物、网上看视频、网上转账等。由于人们的日常生活与网络之间的联系越来越紧密，因此如何保护人们在网络上的各种访问信息也变得越来越重要。尤其对于网上购物、网上转账等情况，就更需要对用户的访问信息进行加密保护。

为了使HTTP的使用更加安全，现有技术通过在原有HTTP的基础上加入安全套接(Secure Sockets Layer，简称SSL)层协议构建出HTTPS协议，HTTPS的安全基础是SSL，用于对访问相关的详细信息进行加密，达到安全的HTTP数据传输的目的。但是，在现有的局域网管理过程中，对于局域网内的HTTPS流量而言，由于其进行了加密，因此无法获取到流量的详细信息，不便于对局域网进行监控与管理。

技术实现要素：

有鉴于此，本发明提出了一种加密流量数据监控的方法、装置及系统，主要目的在于解决现有技术中无法对局域网内的加密流量数据进行有效监控的问题。

依据本发明的第一个方面，本发明提供一种加密流量数据监控的方法，该方法主要应用于网关侧，包括：

在网关侧拦截客户端发送的安全访问请求；

向客户端发送对应所述安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证；

接收客户端返回的用于对流量数据进行加密的随机密钥；

根据所述随机密钥对客户端发送的加密流量数据解密后进行监控。

依据本发明的第二个方面，本发明提供一种加密流量数据监控的方法，该方法主要应用于客户端侧，包括：

接收网关发送的对应客户端安全访问请求的伪证书；

根据预置的伪证书库对接收的所述伪证书进行验证；

当对接收的所述伪证书验证通过后，生成用于对流量数据进行加密的随机密钥；

将所述随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控。

依据本发明的第三个方面，本发明提供一种加密流量数据监控的装置，该装置主要位于网关中或者与网关建立有数据交互关系，包括：

拦截单元，用于在网关侧拦截客户端发送的安全访问请求；

发送单元，用于向客户端发送对应所述安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证；

接收单元，用于接收客户端返回的用于对流量数据进行加密的随机密钥；

处理单元，用于根据所述随机密钥对客户端发送的加密流量数据解密后进行监控。

依据本发明的第四个方面，本发明提供一种加密流量数据监控的装置，该装置主要位于客户端中或者与客户端建立有数据交互关系，包括：

接收单元，用于接收网关发送的对应客户端安全访问请求的伪证书；

验证单元，用于根据预置的伪证书库对接收的所述伪证书进行验证；

生成单元，用于当对接收的所述伪证书验证通过后，生成用于对流量数据进行加密的随机密钥；

发送单元，用于将所述随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控。

依据本发明的第五个方面，本发明提供一种加密流量数据监控的系统，包括：

网关、客户端及服务器，其中，所述网关包含上述第三个方面所述的装置，所述客户端包含上述第四个方面所述的装置。

借由上述技术方案，本发明实施例提供的一种加密流量数据监控的方法、装置及系统，能够在网关侧拦截客户端发送的安全访问请求，并构建一份对应所述安全访问请求的伪证书，将伪证书返回给客户端后，由客户端根据预置的伪证书库对伪证书进行验证，当伪证书验证通过后，客户端与网关协商好对流量数据进行加密的密钥，从而在客户端后续发送经过加密的流量数据时，能够在网关侧被拦截并解密。与现有技术中当局域网内使用HTTPS协议进行访问请求时，由于无法获知访问请求的流量数据的具体内容，导致无法对局域网内客户端的日常操作进行监控的缺陷相比，本发明能够对局域网内进出的加密流量数据进行还原，便于对局域网进行有效的监控与管理。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种加密流量数据监控的方法的流程图；

图2示出了本发明实施例提供的另一种加密流量数据监控的方法的流程图；

图3示出了本发明实施例提供的一种加密流量数据监控的装置的组成框图；

图4示出了本发明实施例提供的一种加密流量数据监控的装置的组成框图；

图5示出了本发明实施例提供的一种加密流量数据监控的装置的组成框图；

图6示出了本发明实施例提供的一种加密流量数据监控的装置的组成框图；

图7示出了本发明实施例提供的一种加密流量数据监控的系统的示意图。

具体实施方式

下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

现有的HTTPS协议是由SSL和HTTP协议构建的可进行加密传输、身份认证的网络协议，使用HTTPS传输的流量数据都是进行加密传输的，如果在局域网内进出的流量都为HTTPS流量时，由于无法获知这些流量的加密数据，因此不便于对局域网进行有效的管理。

为了解决上述问题，本发明实施例提供了一种加密流量数据监控的方法，能够针对局域网内HTTPS加密流量数据进行还原并监控，从而对局域网的网络安全进行有效管理。该方法主要应用于网关侧，如图1所示，该方法包括：

101、在网关侧拦截客户端发送的安全访问请求。

通常用户在访问某些网站如购物网站或者银行及金融机构的网站时，为了保护用户的访问信息不被恶意截获并利用，网站往往会使用HTTPS协议来与用户的客户端进行信息传递。采用HTTPS的网站服务器必须从证书管理机构(Certificate Authority，简称CA)申请一个用于证明服务器用途类型的证书，只有网站服务器的证书被客户端验证通过后，才能确定客户端访问的网站是安全的。由于HTTPS协议是由HTTP协议与SSL构建的可进行加密传输、身份认证的网络协议，因此客户端使用HTTPS:URL连接到网站时，需要验证网站的证书，当网站证书验证通过后，客户端就会与网站之间进行加密的流量数据传输。但是，在需要进行监管的局域网内，如果客户端发送的安全访问请求，也就是客户端向网站发送的HTTPS:URL顺利的经过上述一系列过程，那么管理员将无法获取流量数据的明文信息，从而无法对局域网内客户端的操作进行监管。因此，为了监控局域网内进出的加密流量数据，本发明首先需要执行步骤101在网关侧拦截客户端发送的安全访问请求。

102、向客户端发送对应安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证。

由于客户端与网站进行安全的数据交互时，也就是它们之间使用HTTPS协议传输数据时，网站需要向客户端发送证书，以便客户端对该证书进行验证，只有在该证书被验证通过后，客户端才会与网站之间协商一个对流量数据进行加密的密钥，并使用该密钥加密客户端与网站之间交互的数据信息。因此，为了对局域网内客户端的操作进行监管，就需要对客户端发送的加密流量数据进行还原，而还原加密流量数据就需要获取加密使用的密钥。由于客户端在对网站发送的证书认证通过后，会与网站协商一个对流量数据进行加密的密钥。因此，要获取该密钥就需要与客户端私自建立一个证书的认证过程。由于本发明实施例在步骤101中已经在网关侧拦截了客户端发送的安全访问请求，网站没有收到该安全访问请求就不会向客户端发送自己拥有的证书，因此在步骤101之后，本发明实施例需要执行步骤102向客户端发送对应安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证。

103、接收客户端返回的用于对流量数据进行加密的随机密钥。

当在步骤102中将对应安全访问请求的伪证书发送给客户端后，客户端会对该伪证书进行验证，在验证该伪证书时是通过预先安装在客户端内的伪证书库进行验证的，当网关发送的伪证书位于客户端内的伪证书库中时，客户端认为该伪证书的拥有者是安全的，并会与伪证书的拥有者协商一个密钥，用来对它们之间的传输数据进行加密。由于本发明实施例中客户端预置的伪证书库是针对性的安装的，因此步骤102中网关发送给客户端的伪证书一定会被客户端认证通过。由此，在步骤102之后，会执行步骤103接收客户端返回的用于对流量数据进行加密的随机密钥。

104、根据随机密钥对客户端发送的加密流量数据解密后进行监控。

当在步骤103中接收到客户端返回的用于对流量数据进行加密的随机密钥之后，就可以执行步骤104根据随机密钥对客户端发送的加密流量数据解密后进行监控。

进一步的，本发明实施例还提供了一种加密流量数据监控的方法，该方法主要应用于客户端侧，如图2所示，该方法包括：

201、接收网关发送的对应客户端安全访问请求的伪证书。

当客户端访问网站时，需要向网站发送访问请求，在本发明实施例中为安全访问请求，随后客户端会收到网站返回的证书，并对证书进行验证。但是在本发明实施例中，为了对进出局域网的加密流量数据进行监控，会在网关侧拦截客户端发出的安全访问请求，并根据该安全访问请求对应的信息构建一个伪证书并发送给客户端。而局域网内的客户端是不知道其发送的安全访问请求已经被拦截，客户端只要收到返回的证书后，就会对证书进行验证。因此，在客户端一侧需要执行步骤201接收网关发送的对应客户端安全访问请求的伪证书。

202、根据预置的伪证书库对接收的伪证书进行验证。

由于本发明实施例为了监控局域网内进出的加密流量数据，因此会预先在局域网内的客户端中预置伪证书库。当客户端接收到网关发送的伪证书后，就需要对该伪证书进行验证。具体的是在预置的伪证书库中查找是否存在网关发送的伪证书的。若预置的伪证书库中存在网关发送的伪证书，则客户端认为与该伪证书的拥有者进行通信是安全的。

203、当对接收的伪证书验证通过后，生成用于对流量数据进行加密的随机密钥。

当客户端通过步骤202对网关发送的伪证书验证通过后，就会生成一个随机密钥，并使用该随机密钥对与网站之间传递的流量数据进行加密。

204、将随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控。

当客户端生成对流量数据进行加密的随机密钥之后，就会将该随机密钥发送给验证通过的伪证书的拥有者，并在随后的通信中使用该随机密钥对传递的数据信息进行加密，而伪证书的拥有者在收到客户端发送的随机密钥后，就可以使用该随时密钥来获取加密流量数据的明文信息，从而能够加密流量数据进行监控。

本发明实施例提供的一种加密流量数据监控的方法，能够在网关侧拦截客户端发送的安全访问请求，并构建一份对应所述安全访问请求的伪证书，将伪证书返回给客户端后，由客户端根据预置的伪证书库对伪证书进行验证，当伪证书验证通过后，客户端与网关协商好对流量数据进行加密的密钥，从而在客户端后续发送经过加密的流量数据时，能够在网关侧被拦截并解密。与现有技术中当局域网内使用HTTPS协议进行访问请求时，由于无法获知访问请求的流量数据的具体内容，导致无法对局域网内客户端的日常操作进行监控的缺陷相比，本发明能够对局域网内进出的加密流量数据进行还原，便于对局域网进行有效的监控与管理。

为了更好的对上述图1及图2所示的方法进行理解，作为对上述实施方式的细化和扩展，本发明实施例将结合图1及图2的步骤进行详细说明。

本发明实施例为了监控局域网内进出的加密流量数据，需要在网关侧对客户端发送给网站的流量进行拦截，阻断客户端与网站之间的正常通信，也就是在网关侧设立一个代理层，代理层对客户端与网站之间的传递信息进行中转，在中转过程中能够对客户端与网站之间的加密流量数据进行还原。具体的，在客户端与网站服务器进行正常通信的情况下，客户端向网站发送HTTPS的安全访问请求时，客户端的浏览器会向网站服务器传送客户端SSL协议的版本号、加密算法的种类、产生的随机数以及其他服务器和客户端之间通信所需要的各种信息；而且在正常情况下，服务器也会向客户端传送SSL协议的版本号、加密算法的种类、随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。因此，本发明实施例在网关侧拦截客户端发送的安全访问请求后，就会截获网站服务器和客户端之间通信所需要的各种信息，并根据这些信息构建出一个客户端所要访问服务器的伪证书，也就是与客户端发送的安全访问请求对应的伪证书；网关内的代理层构建了伪证书后，就会代替网站服务器将该伪证书发送给客户端，以便客户端对该伪证书进行验证。

具体的在执行上述过程时，可以在网关侧的代理层建立一个伪的证书颁发机构，用于给网站颁发自签名证书，例如当局域网内客户端访问淘宝网站时，其访问请求会经过网关侧进行传递，此时，网关会根据访问请求中有关淘宝网站的信息，抽取TLS协议(TLS建立在SSL3.0协议规范之上，是SSL3.0的后续版本)数据包，由于TLS协议中的记录协议可能包含长度、描述和内容等字段，并且记录协议也可以不加密使用，因此可以对抽取的TLS协议数据包进行拆解，根据拆解后得到的信息伪造一个淘宝证书，将伪造的证书返回给客户端，以便客户端对该伪证书进行验证。

当客户端收到网关发送的伪证书后，就需要对伪证书进行验证。由于本发明实施例为了监控局域网内进出的加密流量数据，必须要确保客户端能够将网关发送的伪证书验证通过，因此就需要提前在客户端中预置伪证书库，并通过预置的伪证书库对网关发送的伪证书进行验证。客户端只有在验证伪证书正确后，才能确定该伪证书的发送者也就是伪证书拥有者是可信的，可以与其协商密钥并进行后续的数据传输。具体的，客户端对伪证书的验证包括：伪证书是否过期，伪证书的发行者是否可靠，发行者证书的公钥能否正确解开伪证书的“发行者数字签名”等。如果合法性没有通过验证，则通信将断开；如果合法性通过验证，则会与伪证书的发送者协商密钥用于对流量数据进行加密。

由于本发明实施例在网关侧设置了具有伪证书颁发机构的代理层，并且在客户端中预置了伪证书库，这些操作都是人为设定的，目的是为了让网关发送的伪证书能够顺利通过客户端的验证。因此，上述验证伪证书是否过期这一过程可以在设置伪证书库的过程中就予以规避。因此，本发明实施例中的客户端在验证网关发送的伪证书时，主要就是验证伪证书的发行者(代理层的伪证书颁发机构)是否可靠，发行者证书(网关侧根证书)的公钥能否正确解开伪证书的“发行者数字签名”。由于根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表示对该根证书以下所签发的证书都表示信任。而本发明实施例中代理层的伪证书颁发机构在构建伪证书时，是通过网关侧的根证书对伪证书进行签名的。因此，客户端需要先安装网关侧的根证书，安装了根证书，就证明客户端信任伪证书的发行者(代理层的伪证书颁发机构)；当客户端安装了网关侧的根证书后，就可以使用根证书的公钥对网关发送的伪证书的签名进行验证，验证通过后就可以将该伪证书在预置的伪证书库中进行校验，当确定该伪证书位于预置的伪证书库中时，客户端会认为该伪证书的拥有者是安全的，可以与之进行通信。

当客户端对网关发送的伪证书的验证通过后，就会随机产生一个用于后续与服务器进行通信的随机密钥，该随机密钥用于对通信的流量数据进行加密。由于该随机密钥也需要一同传送给服务器，以便服务器利用该随机密钥对返回给客户端的数据进行加密，因此，为了确保该随机密钥的安全性，客户端还需要将该随机密钥进行加密后才能传送给服务器。由于本发明实施例中客户端不知道其接收的伪证书是由网关发送的，因此客户端还是会将加密后的随机密钥传送给网关。具体的，在对随机密钥进行加密时，客户端会使用网关发送的伪证书中包含的公共密钥对随机密钥进行加密。由于伪证书是由网关侧的代理层发送的，因此，网关侧会唯一保留有对应伪证书中的公共密钥的私有密钥。

当网关接收到客户端返回的经过伪证书中的公共密钥进行加密的随机密钥后，就会使用与公共密钥对应的私有密钥对加密的随机密钥进行解密。其中，公共密钥加密的数据只能用对应的私有密钥进行解密，并且私有密钥只在发送伪证书的网关侧保留。当网关获得随机密钥后，就能够使用该随机密钥对客户端发送的加密流量数据进行解密还原，从而能够对局域网内进出的加密流量数据进行监控。这里需要说明的是，本发明实施例中对流量数据进行加密的随机密钥可以为随机产生的对称密钥。

由于本发明实施例在网关侧将客户端发送的安全访问请求进行了拦截，并使用网关侧的代理层私自向客户端返回了一个经过根证书签名的伪证书，使客户端误以为该伪证书是由网站服务器发送的，因此客户端会对该伪证书进行验证；并且由于客户端内预置了伪证书库以及预先安装了网关侧的根证书，因此客户端通过根证书会将网关发送的伪证书验证通过，当客户端对验证通过的伪证书进行校验发现其位于伪证书库之后，就可以与网关协商对流量数据进行加密的随机密钥，并将使用伪证书内的公共密钥对该随机密钥进行加密后发送给网关，网关接收到经过加密的随机密钥之后，会使用与所述公共密钥对应的私有密钥进行解密得到该随机密钥，从而使用该随机密钥对后续客户端发送的加密流量数据进行解密还原，实现对局域网进出的加密流量数据的有效监控。

进一步的，作为对上述图1所示方法的实现，本发明实施例提供了一种加密流量数据监控的装置，该装置主要位于网关中或者与网关建立有数据交互关系，如图3所示，该装置包括：拦截单元31、发送单元32、接收单元33及处理单元34，其中，

拦截单元31，用于在网关侧拦截客户端发送的安全访问请求；

发送单元32，用于向客户端发送对应所述安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证；

接收单元33，用于接收客户端返回的用于对流量数据进行加密的随机密钥；

处理单元34，用于根据所述随机密钥对客户端发送的加密流量数据解密后进行监控。

进一步的，如图4所示，发送单元32包括：

提取模块321，用于提取所述安全访问请求的协议数据包；

构建模块322，用于根据所述协议数据包中的数据信息构建与所述安全访问请求对应的伪证书；

发送模块323，用于将构建的所述伪证书发送给客户端。

进一步的，接收单元33用于当所述伪证书被客户端验证通过后，接收客户端返回的经过加密的随机密钥。

进一步的，接收单元33用于接收客户端返回的经过所述伪证书中包含的公共密钥进行加密的随机密钥。

进一步的，如图4所示，处理单元34包括：

第一解密模块341，用于根据与所述伪证书中包含的公共密钥相对应的私有密钥对经过加密的随机密钥进行解密，所述私有密钥唯一保留在网关侧；

第二解密模块342，用于使用解密后得到的随机密钥对客户端发送的加密流量数据解密后进行监控。

进一步的，作为对上述图2所示方法的实现，本发明实施例提供了一种加密流量数据监控的装置，该装置主要位于客户端中或者与客户端建立有数据交互关系，如图5所示，该装置包括：接收单元51、验证单元52、生成单元53及发送单元54，其中，

接收单元51，用于接收网关发送的对应客户端安全访问请求的伪证书；

验证单元52，用于根据预置的伪证书库对接收的所述伪证书进行验证；

生成单元53，用于当对接收的所述伪证书验证通过后，生成用于对流量数据进行加密的随机密钥；

发送单元54，用于将所述随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控。

进一步的，如图6所示，验证单元52包括：

安装模块521，用于安装网关侧的根证书；

验证模块522，用于通过所述根证书对网关发送的所述伪证书的签名进行验证；

校验模块523，用于将验证通过的所述伪证书在预置的伪证书库中进行校验，确定所述伪证书是否位于预置的伪证书库中。

进一步的，如图6所示，生成单元53包括：

生成模块531，用于生成对流量数据进行加密的随机密钥；

加密模块532，用于对所述随机密钥进行加密。

进一步的，加密模块532使用所述伪证书中包含的公共密钥对所述随机密钥进行加密。

进一步的，发送单元54用于将使用所述公共密钥进行加密的随机密钥发送给网关，以便网关根据与所述公共密钥相对应的私有密钥对加密的随机密钥进行解密，并使用解密后得到的随机密钥对加密流量数据解密后进行监控，所述私有密钥唯一保留在网关侧。

本发明实施例提供的一种加密流量数据监控的装置，能够在网关侧拦截客户端发送的安全访问请求，并构建一份对应所述安全访问请求的伪证书，将伪证书返回给客户端后，由客户端根据预置的伪证书库对伪证书进行验证，当伪证书验证通过后，客户端与网关协商好对流量数据进行加密的密钥，从而在客户端后续发送经过加密的流量数据时，能够在网关侧被拦截并解密。与现有技术中当局域网内使用HTTPS协议进行访问请求时，由于无法获知访问请求的流量数据的具体内容，导致无法对局域网内客户端的日常操作进行监控的缺陷相比，本发明能够对局域网内进出的加密流量数据进行还原，便于对局域网进行有效的监控与管理。

此外，由于本发明实施例提供的装置在网关侧将客户端发送的安全访问请求进行了拦截，并使用网关侧的代理层私自向客户端返回了一个经过根证书签名的伪证书，使客户端误以为该伪证书是由网站服务器发送的，因此客户端会对该伪证书进行验证；并且由于客户端内预置了伪证书库以及预先安装了网关侧的根证书，因此客户端通过根证书会将网关发送的伪证书验证通过，当客户端对验证通过的伪证书进行校验发现其位于伪证书库之后，就可以与网关协商对流量数据进行加密的随机密钥，并将使用伪证书内的公共密钥对该随机密钥进行加密后发送给网关，网关接收到经过加密的随机密钥之后，会使用与所述公共密钥对应的私有密钥进行解密得到该随机密钥，从而使用该随机密钥对后续客户端发送的加密流量数据进行解密还原，实现对局域网进出的加密流量数据的有效监控。

进一步的，作为对上述图1及图2所示方法的实现，以及对上述图3、图4以及图5、图6的应用，本发明实施例提供了一种加密流量数据监控的系统，如图7所示，该系统包括：网关71、客户端72及服务器73；其中，网关71包含上述图3或图4所示的装置；客户端72包含上述图5或图6所示的装置。

本发明实施例提供的一种加密流量数据监控的系统，能够在网关侧拦截客户端发送的安全访问请求，并构建一份对应所述安全访问请求的伪证书，将伪证书返回给客户端后，由客户端根据预置的伪证书库对伪证书进行验证，当伪证书验证通过后，客户端与网关协商好对流量数据进行加密的密钥，从而在客户端后续发送经过加密的流量数据时，能够在网关侧被拦截并解密。与现有技术中当局域网内使用HTTPS协议进行访问请求时，由于无法获知访问请求的流量数据的具体内容，导致无法对局域网内客户端的日常操作进行监控的缺陷相比，本发明能够对局域网内进出的加密流量数据进行还原，便于对局域网进行有效的监控与管理。

此外，由于本发明实施例提供的系统在网关侧将客户端发送的安全访问请求进行了拦截，并使用网关侧的代理层私自向客户端返回了一个经过根证书签名的伪证书，使客户端误以为该伪证书是由网站服务器发送的，因此客户端会对该伪证书进行验证；并且由于客户端内预置了伪证书库以及预先安装了网关侧的根证书，因此客户端通过根证书会将网关发送的伪证书验证通过，当客户端对验证通过的伪证书进行校验发现其位于伪证书库之后，就可以与网关协商对流量数据进行加密的随机密钥，并将使用伪证书内的公共密钥对该随机密钥进行加密后发送给网关，网关接收到经过加密的随机密钥之后，会使用与所述公共密钥对应的私有密钥进行解密得到该随机密钥，从而使用该随机密钥对后续客户端发送的加密流量数据进行解密还原，实现对局域网进出的加密流量数据的有效监控。

本发明的实施例公开了：

A1、一种加密流量数据监控的方法，其特征在于，所述方法包括：

在网关侧拦截客户端发送的安全访问请求；

向客户端发送对应所述安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证；

接收客户端返回的用于对流量数据进行加密的随机密钥；

根据所述随机密钥对客户端发送的加密流量数据解密后进行监控。

A2、根据A1所述的方法，其特征在于，所述向客户端发送对应所述安全访问请求的伪证书包括：

提取所述安全访问请求的协议数据包；

根据所述协议数据包中的数据信息构建与所述安全访问请求对应的伪证书；

将构建的所述伪证书发送给客户端。

A3、根据A1所述的方法，其特征在于，所述接收客户端返回的用于对流量数据进行加密的随机密钥包括：

当所述伪证书被客户端验证通过后，接收客户端返回的经过加密的随机密钥。

A4、根据A3所述的方法，其特征在于，所述接收客户端返回的经过加密的随机密钥包括：

接收客户端返回的经过所述伪证书中包含的公共密钥进行加密的随机密钥。

A5、根据A4所述的方法，其特征在于，所述根据所述随机密钥对客户端发送的加密流量数据解密后进行监控包括：

根据与所述伪证书中包含的公共密钥相对应的私有密钥对经过加密的随机密钥进行解密，所述私有密钥唯一保留在网关侧；

使用解密后得到的随机密钥对客户端发送的加密流量数据解密后进行监控。

A6、根据A1-5中任一项所述的方法，其特征在于，所述用于对流量数据进行加密的随机密钥为随机对称密钥。

B7、一种加密流量数据监控的方法，其特征在于，所述方法包括：

接收网关发送的对应客户端安全访问请求的伪证书；

根据预置的伪证书库对接收的所述伪证书进行验证；

当对接收的所述伪证书验证通过后，生成用于对流量数据进行加密的随机密钥；

将所述随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控。

B8、根据B7所述的方法，其特征在于，所述根据预置的伪证书库对接收的所述伪证书进行验证包括：

安装网关侧的根证书；

通过所述根证书对网关发送的所述伪证书的签名进行验证；

将验证通过的所述伪证书在预置的伪证书库中进行校验，确定所述伪证书是否位于预置的伪证书库中。

B9、根据B7所述的方法，其特征在于，所述生成用于对流量数据进行加密的随机密钥包括：

生成用于对流量数据进行加密的随机密钥，并对所述随机密钥进行加密。

B10、根据B9所述的方法，其特征在于，所述对所述随机密钥进行加密包括：

使用所述伪证书中包含的公共密钥对所述随机密钥进行加密。

B11、根据B10所述的方法，其特征在于，所述将所述随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控包括：

将使用所述公共密钥进行加密的随机密钥发送给网关，以便网关根据与所述公共密钥相对应的私有密钥对加密的随机密钥进行解密，并使用解密后得到的随机密钥对加密流量数据解密后进行监控，所述私有密钥唯一保留在网关侧。

B12、根据B7-11所述的方法，其特征在于，所述用于对流量数据进行加密的随机密钥为随机对称密钥。

C13、一种加密流量数据监控的装置，其特征在于，所述装置包括：

拦截单元，用于在网关侧拦截客户端发送的安全访问请求；

发送单元，用于向客户端发送对应所述安全访问请求的伪证书，以便客户端根据自身预置的伪证书库对所述伪证书进行验证；

接收单元，用于接收客户端返回的用于对流量数据进行加密的随机密钥；

处理单元，用于根据所述随机密钥对客户端发送的加密流量数据解密后进行监控。

C14、根据C13所述的装置，其特征在于，所述发送单元包括：

提取模块，用于提取所述安全访问请求的协议数据包；

构建模块，用于根据所述协议数据包中的数据信息构建与所述安全访问请求对应的伪证书；

发送模块，用于将构建的所述伪证书发送给客户端。

C15、根据C13所述的装置，其特征在于，所述接收单元用于当所述伪证书被客户端验证通过后，接收客户端返回的经过加密的随机密钥。

C16、根据C15所述的装置，其特征在于，所述接收单元用于接收客户端返回的经过所述伪证书中包含的公共密钥进行加密的随机密钥。

C17、根据C16所述的装置，其特征在于，所述处理单元包括：

第一解密模块，用于根据与所述伪证书中包含的公共密钥相对应的私有密钥对经过加密的随机密钥进行解密，所述私有密钥唯一保留在网关侧；

第二解密模块，用于使用解密后得到的随机密钥对客户端发送的加密流量数据解密后进行监控。

D18、一种加密流量数据监控的装置，其特征在于，所述装置包括：

接收单元，用于接收网关发送的对应客户端安全访问请求的伪证书；

验证单元，用于根据预置的伪证书库对接收的所述伪证书进行验证；

生成单元，用于当对接收的所述伪证书验证通过后，生成用于对流量数据进行加密的随机密钥；

发送单元，用于将所述随机密钥发送给网关，以便网关根据所述随机密钥对加密的流量数据解密后进行监控。

D19、根据D18所述的装置，其特征在于，所述验证单元包括：

安装模块，用于安装网关侧的根证书；

验证模块，用于通过所述根证书对网关发送的所述伪证书的签名进行验证；

校验模块，用于将验证通过的所述伪证书在预置的伪证书库中进行校验，确定所述伪证书是否位于预置的伪证书库中。

D20、根据D18所述的装置，其特征在于，所述生成单元包括：

生成模块，用于生成对流量数据进行加密的随机密钥；

加密模块，用于对所述随机密钥进行加密。

D21、根据D20所述的装置，其特征在于，所述加密模块使用所述伪证书中包含的公共密钥对所述随机密钥进行加密。

D22、根据D21所述的装置，其特征在于，所述发送单元用于将使用所述公共密钥进行加密的随机密钥发送给网关，以便网关根据与所述公共密钥相对应的私有密钥对加密的随机密钥进行解密，并使用解密后得到的随机密钥对加密流量数据解密后进行监控，所述私有密钥唯一保留在网关侧。

E23、一种加密流量数据监控的系统，其特征在于，所述系统包括：

网关、客户端及服务器；其中，

所述网关包含上述C13-17中任一项所述的装置；

所述客户端包含上述D18-22中任一项所述的装置。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。