在网络环境中对加密的数据的检查的制作方法
【技术领域】
[0001] 本公开总体上涉及网络安全领域,并且更具体地涉及在网络环境中检查加密数 据。
【背景技术】
[0002] 在当今社会中网络安全领域已变得越发重要。互联网使得全世界的不同计算机网 络能够互连。然而,互联网已为恶意操作者呈现了许多机会来利用这些网络。某些类型的 恶意软件(例如,bot病毒)可以被配置为一旦该软件感染了主机计算机,则可以从远程操 作者接收命令。该软件可以被指示以执行任意数量的恶意行为,例如从主机计算机发送垃 圾邮件或恶意邮件、从与主机计算机相关联的公司或个人盗取敏感信息、传播给其它主机 计算机、和/或协助分布式拒绝服务攻击。另外,恶意操作者可以将访问卖给或另外给出到 其它恶意操作者,从而使对该主机计算机的了利用升级。因此,有效地保护和维护稳定的计 算机和系统的能力继续为组件制造商、系统设计者、以及网络运营商呈现重大挑战。
[0003] 企业环境采用许多网络管理工具,包括防火墙、网络入侵检测/防护(NIDS/NIPS) 系统、流量整形器(traffic shaper)、以及其它系统。多个这些系统依靠对网络业务的检 查,以便提供各种各样的服务(包括对恶意软件传播的检测/防护)来确保公司的知识产 权不被泄露到明确定义的企业边界之外,以及一般审计和网络管理功能。还可以使用诸如 安全套接层(SSL)/传输层安全(TLS)的协议来加密网络业务。
【附图说明】
[0004] 为了提供对本公开和特征以及其优点的更完整的理解,对以下说明并结合附图进 行了参照,其中相似附图标记表示相似部件,在其中:
[0005] 图1为根据实施例的在其中防火墙可以截获网络流的网络环境的简化框图;
[0006] 图2为根据实施例的网络环境200的示例示出;
[0007] 图3为根据实施例的具有SSL/TLS握手通信的网络环境的示出;
[0008] 图4为根据有利的实施例的针对SSL/TLS的网络环境400的框图;
[0009] 图5为根据示例性实施例的作为代理的安全模块的示出;
[0010] 图6为根据实施例的数据图的示出;
[0011] 图7为根据实施例的示出了使用共享库提取共享密钥的过程的简化流程图;
[0012] 图8为根据实施例的示出了从存储空间提取共享密钥的过程的简化流程图;
[0013] 图9为根据实施例的示出了分析加密的网络流的过程的简化流程图;
[0014] 图10还示出了根据实施例的耦合到处理器的存储器;以及
[0015] 图11示出了根据实施例的被布置为点对点(PtP)配置的计算系统。
【具体实施方式】
[0016] 示例实施例
[0017] 转到图1,图1为根据实施例的在其中防火墙可以截获网络流的网络环境的简化 框图。在图1中示出的实施例中,网络环境100可以包括互联网102、客户端104、防火墙 106、策略服务器108、邮件服务器110、以及网络服务器112。一般地,客户端104可以是网 络连接中的任何类型的终端节点,包括但不限于台式计算机、服务器、膝上型计算机、移动 设备、移动电话、或能够接收或与另一节点(例如,邮件服务器110或网络服务器112)建立 连接的任何其它类型的设备。防火墙106可以通过阻止未授权访问而允许授权通信来控制 客户端104与附接到互联网102或另一网络的其它节点之间的通信。在一些实例中,防火 墙106可以耦合到入侵防护系统、网络访问控制设备、网络网关、邮件网关、移动设备、或互 联网102与客户端104之间任意其它类型的网关,或者防火墙106可以与之集成。另外,在 路由拓扑中防火墙106的位置与用户客户端104接近是任意的。
[0018] 策略服务器108可以耦合到防火墙106或与防火墙106集成,并且可以用于管理 (manage)客户端104并且掌管(administer)和分发网络策略。因此,在该示例实施例中, 如果由在防火墙106中实现的并由策略服务器108管理的策略所允许,则客户端104可以 通过建立经由防火墙106的连接而与附接到互联网102的服务器(例如,邮件服务器110 或网络服务器112)进行通信。
[0019] 图1中的每个元件可以通过简单接口或通过任意其它适合的连接(有线或无线) 相互耦合,这提供了可行的通路以用于网络通信。另外,基于特定的配置需求,这些元件中 的任意一个或多个可以进行组合或从架构中移除。网络环境100可以包括能够进行传输控 制协议/互联网络协议(TCP/IP)通信以在网络中发送或接收分组的配置。网络环境100 还可以结合用户数据报协议/IP(UDP/IP)或合适的并基于特定需求的任何其它适合的协 议而运行。
[0020] 为了在示例实施例中示出用于提供网络安全的技术的目的,重要的是要了解在给 定网络中发生的活动。以下基础信息可以被视为可以适当地说明本公开的基础。切实地提 供这样的信息仅是为了说明的目的,并且由此不应当以限制本公开及其潜在应用的广阔范 围的方式而进行解释。
[0021] 在组织中或由个人使用的典型网络环境包括使用互联网与其它网络电通信来例 如访问在连接到互联网的服务器上托管的网页、发送或接收电子邮件(例如,email)消息、 或交换文件的能力。然而,恶意用户继续开发新的战术以使用互联网来扩散恶意软件并获 得对机密信息的访问。恶意软件通常包括被设计为访问和/或控制计算机而无需计算机 拥有者的知情同意的软件,并且最常用作对于任何有恶意的、侵入性的、或恼人的软件(例 如,计算机病毒、bot病毒、间谍软件、广告软件等)的标签。一旦被感染,恶意软件可能颠 覆(subvert)主机并且使用该主机以用于恶意活动,例如发送垃圾邮件或盗取信息。恶意 软件通常还包括一个或多个传播矢量,该传播矢量使得该恶意软件能够在组织的网络内扩 散或跨其它网络而扩散到其它组织或个人。普通传播矢量包括利用本地网络内的主机的已 知弱点,以及发送附有恶意程序的电子邮件或在电子邮件内提供恶意链接。
[0022] 为了示出安全模块和提取模块的一些示例技术的目的,重要的是要了解中间人 (MITM)技术。一个或多个实施例意识到并且考虑到用于在安全设备中筛选SSL (或TLS)业 务的一些实施例使用MITM技术:安全设备终止使用欺骗目的地的证书的SSL连接,接着通 过第二SSL连接将数据代理到目的地。用户可以看到该欺骗,并且或明确地针对每个连接 而忽略该欺骗、或将他的机器设置为信任该安全设备从而使警告消失
[0023] 对于安全设备来说,实施MITM是昂贵的,这是因为其需要解密并重新加密所有业 务。而且,MITM需要安全设备对每个正在被筛选的连接进行昂贵的公钥加密操作。
[0024] MITM的额外问题在于用户并不得到目标网站(服务器)的真实SSL认证。这是 SSL安全的关键益处,但是用户仅知道到达了该安全设备而并不知道已真正访问了网站。 该缺陷可以被攻击者利用,攻击者使用钓鱼电子邮件将用户导向看起来像是可信站点的站 点,但实际上试图利用这些用户。
[0025] 另外,本公开的不同实施例意识到并且考虑到这样的情况,其中可信客户端与不 可信服务器通信;网络设备终止并重新建立两个通信端点之间的SSL/TLS会话。这还经常 被称为断-通(break-make)连接。可信客户端被提供有网络设备/域的证书并且在安全 会话设置过程中接受该证书,即使该可信客户端正在与网络装置之外的端点(例如,银行 网站)进行通信。实际上,该会话在网络装置处终止,该网络装置代表客户端发起到最终端 点的第二个独立的会话。这个机制允许网络装置得到对TLS业务的可视性,这是由于网络 装置作为安全通信信道的"中间人"。该方法导致网络装置的负担,真实由于网络装置需要 针对每个客户端/会话的代理连接,因此需要管理针对所有这些代理连接的资源。这种状 况给网络装置添加了巨大的开销。
[0026] 另外,本公开的不同实施例意识到并且考虑到另一情况,其中不可信客户端与可 信服务器通信,网络装置得到对可信服务器的证书的访问(以一些OOB方式),包括用于认 证SSL/TLS会话的公钥/私钥对(例如,RSA密钥)。由于使用服务器的公钥加密了 SSL/ TLS操作(其中客户端向服务器发送预主密钥(pre-master secret)),因此网络装置能够 捕获/解密在途中的该信息并且监听SSL/TLS握手。这允许网络装置单独地计算SSL/TLS 会话密钥并在此后对两端点之间的加密通信进行解密。然而,这种情况依赖于服务器密钥 的拥有权,并且不适用于这样的通常情况:组织通过提供安全设备(例如,入侵防护或防火 墙)而寻求保护具有连接到互联网上的多个服务器的客户端机器的多个用户。
[0027] 本公开的不同实施例意识到并且考虑到:企业迫切需要扫描SSL/TLS业务;恶意 软件检查;数据丢失保护;已在使用的MITM技术;MITM仿造认证和加密;用户看到伪造的 证书,信任被破坏;当用户看到针对每个连接的警告消息或从不知道信任是否是真实的时 的恼人因素。
[0028] 本公开的一个或多个实施例提供了新颖的方法,该方法将可视性简化成加密的网 络流,并且减轻网络设备上的大开销。
[0029] 图2是根据实施例的网络环境200的示例示出。在本发明的方面,网络环境200包 括客户端202、防火墙204、和服务器206。网络环境200可以是图1中所示的网络环境100 的一个示例。在实施例中,网络环境200可以包括在客户端202、防火墙204、和服务器206 之间操作的加密协议会话208。加密协议会话208还可以包括网络流210、目标数据211、和 共享密钥212。服务器206还可以包括权威证书(certificate of authority)214。防火 墙204还可以包括安全模块220,安全模块220进而可以包括网络流副本222和未加密的网 络流224。客户端202还可以包括信任列表216、提取模块230、共享库232、和应用234。
[0030] 在本公开的实施例中,服务器206包括权威证书214。权威证书214可以是发出 数字证书的实体。该数字证书通过所命名的证书的主题来证实公钥的拥有权。这允许客户 端202依赖于由与经证实的公钥对应的私钥所进行的签名或声明。在该信任关系模型中, 权威证书214是可信第三方,其在证书的基础上被服务器206和客户端202所信任。在客 户端202上,可以持有信任列表216。信任列表216可以包括客户端202信任的数字证书。
[0031] 在一个或多个实施例中,加密协议会话208在客户端202、防火墙204、和服务器 206之间操作。加密协议会话208包括网络流210。网络流210是在客户端202与服务器 206之间双方向中操作的数据的加密流。防火墙204可以截获网络流以用于检查和分析。在 实施例中,用于加密协议会话208(安全通信)的协议可以是传输层安全(TLS)或其前身, 安全套接层(SSL)。这些协议为在互联网上提供通信安全性的加密协议。在本公开中,还可 以可交换地使用这些协议。使用针对密钥交换的非对称加密、针对保密性的对称加密、以及 针对消息完整性的消息认证码,TLS和SSL在应用层处加密网络连接的区段以用于传输层。
[0032] 客户端202和服务器206还可以持有共享密钥212(例如,密码、密钥等)以用于认 证网络流210中的数据。可以在加密协议会话208期间配置共享密钥212。共享密钥212可 以是在客户端202和服务器206之间共享并且已知的值。例如,在实施例中,共享密钥212 可以是在SSL/TLS中使用的主密钥或会话密钥。会话密钥可以是会话上下文并且可以包括 初始化矢量、正在使用的加密算法等、以及仅该会话密钥。会话上下文可以包含必要的加密 信息以解封装有效载荷(例如,加密/完整性/压缩算法、相关联的密钥、密钥尺寸、初始化 矢量等)。相反,公开/私有非对称密钥结构并不在客户端202和服务器206之间共享,这 是因为每一方具有不同密钥。
[0033] 提取模块230被配置为从客户端202提取共享密钥212。特别地,提取模块230可 以提取主密钥、预主密钥、基于哈希的消息认证代码(HMAC)、和