专利名称:基于安全协议的内容审计方法、系统和内容审计设备的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种基于安全协议的内容审计方法、系统和内容审计设备。
背景技术:
SSL (Secure Socket Layer,安全套接层)协议是介于TCP (Transmission Control Protocol, 传输控制协议)/IP传输层与应用层之间的一种安全协议,最初的SSL协议主要用在网页浏览 器^来保护HTTP (HyperText Transfer Protocol,超文本传送协议)的交互,随着网络安全要 求的逐渐增加,提出了TLS (Transport Layer Security传输层安全)协议。TLS协议的大部分 功能基于SSL3版本。现有技术中有一种基于SSL/TLS协议的通信方法,下面简单介绍一下客户端与服务端通 信的过程客户端与服务端首先建立SSL连接,并协商使用的加密套件和压縮算法;然后,服务端向客户端发送自己的数字证书,这个证书有两个作用,其一就是让客户端对服务端的身份进行认证,其二就是证书里包含有服务端的公钥,让客户端对用来产生以后数据加密密钥的信息进行加密;'-此时,服务端向客户端证明了自己的身份,双方商定好了数据加密套件和数据压縮算法,客户端也获得了对用来产生以后数据加密密钥的信息进行加密的密钥;客户端向服务端产生以后数据加密密钥的信息,并向服务端发送确认的数据加密算法和 哈希消息认证码算法,通知服务端以后就用新产生的密钥和协商好的各种算法对数据进行加 密;最后,客户端与服务端相互发送应用数据,其中可能包括客户端发给服务端的用户名和 密码;数据传送结束后,关闭连接,同时起到防止终端攻击的作用。 在实现本发明的过程中,发明人发现现有技术至少存在以下问题上述通信过程中传递的数据通过加密的方式保证了传输的安全性,但是,这种通信方式 给内容审计(对网络通信内容进行监控过滤的一种手段)带来了难度,现有技术中针对安全协议通信没有对应的内容审计方式,不利于信息的监管,例如,某公司内部需要监控员工与 客户或他人的网络通信,用以保证公司的秘密不泄露给他人,此时就需要有相应的内容审计 方法来监控通信内容。发明内容为了监控通信双方的通信内容,本发明实施例提供了一种基于安全协议的内容审计方法、 系统和内容审计设备。所述技术方案如下一种基于安全协议的内容审计方法,所述方法包括 接收来自第一通信方的连接请求;向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二 通信方的公钥的数字证书;生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字 证书发送给所述第一通信方;根据修改后的数字证书中的公钥与所述第一通信方建立安全协议链路,根据所述携带所 述第二通信方的公钥的数字证书与所述第二通信方建立安全协议链路;监控所述第一通信方或所述第二通信方通过安全协议链路转发的数据。一种基于安全协议的内容审计系统,包括第一通信方和第二通信方,所述系统还包括 防火墙和内容审计设备;其中,所述防火墙用于接收到第一通信方发送的连接请求后,将所述连接请求的目的地址转换 为所述内容审计设备的地址,将转换目的地址后的连接请求发送给所述内容审计设备;所述内容审计设备,用于接收所述连接请求,向所述连接请求对应的第二通信方发起连 接,-并生成公钥,根据所述公钥与所述第一通信方建立安全协议链路,根据所述第二通信方 的公钥与所述第二通信方建立安全协议链路;监控所述第一通信方或所述第二通信方通过安全协议链路转发的数据。一种内容审计设备,所述设备包括接收模块,用于接收第一通信方发送的库接请求、第二通信方发送的数字证书和所述第 一通信方与所述第二通信方交互的数据;连接发起模块,用于所述接收模块收到第一通信方的连接请求后,向所述连接请求对应 的第二通信方发起连接;数字证书处理模块,用于所述接收模块收到所述第二通信方发送的携带所述第二通信方公钥的数字证书后,生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥, 将修改后的数字证书发送给所述第一通信方;安全链路建立模块,用于根据所述数字证书处理模块修改后的数字证书中的公钥与所述 第一通信方建立安全协议链路,根据所述接收模块接收的携带所述第—通信方的公钥的数字 证书与所述第二通信方建立安全协议链路;审计模块,用于监控所述第通信方或所述第二通信方通过所述安全链路建立模块所建 立的安全协议链路转发的数据。本发明实施例中的内容审计设备通过假扮第一通信方和第二通信方的身份,能够获取到 第一通信方和第二通信方交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路 的内容审计需求,更好地维护企业或公司内部的秘密信息。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术 描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一 胜实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这 些附图获得其他的附图。图1是本发明实施例1提供的基于安全协议的内容审计方法流程图; 图2是本发明实施例1提供的基于安全协议的内容审计方法的信令交互图; 图3是本发明实施例2提供的基于安全协议的内容审计系统的示意图; 图4是本发明实施例3提供的内容审计设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描 述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明 中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。本发明实施例通过将第一通信方和第二通信方的数据流量都从内容审计设备处进行转 发,能够在不被通信双方察觉的基础上,监控通信双方的交互内容,能够防止企业内部机密 信息的泄露。 .实施例1参见图1,本实施例提供了一种基于安全协议的内容审计方法,该方法以客户端作为第 通信方,以服务端作为第二通信方,以内容审计设备进行内容审计为例进行说明,该方法 包括101:内容审计设备接收来自客户端的连接请求;102:向该连接请求对应的服务端发起连接,接收该服务端返回的携带该服务端的公钥的 数字证书;103:该内容审计设备生成公钥,用公钥修改数字证书中的该服务端的公钥,将修改后的 数字证书发送给客户端;104:根据修改后的数字证书中的公钥与客户端建立安全协议链路,根据携带该服务端的 公钥的数字证书与服务端建立安全协议链路;105:监控客户端或服务端通过安全协议链路转发的数据。其中,本实施例中的安全协议可以是SSL/TLS协议。在实现上述内容审计方法时,使用了具有目的地址转换功能的防火墙,通过该防火墙将 客户端发往服务端的消息或数据转发到内容审计设备,其中,内容审计设备对于客户端来说 为服务端,对于服务端来说为客户端,起到中间人的效果,参见图2,为内容审计方法的信令交互图,该方法简单描述如下201:客户端发送ClientHello消息,告诉服务端要求建立SSL连接,同时告诉服务端它 支持的SSL版本以及它能够使用的加密套件和压縮算法;该ClientHello消息在通过防火墙时,将会被防火墙将其冃的地址转换为内容审计设备 的地址,以消息转发到内容审计设备;202:内容审计设备接收到ClicntHello消息后,以客户端的身份向服务端发送 <:1^^1^110*消息,请求建立SSL连接,并携带客户端支持的SSL版本以及它能够使用的加 密套件和压縮算法。.203:服务端收到ClientHello消息后,将会把内容审计设备看作客户端,向内容审计设 备返回ServerHello消息,通知其所选择的加密套件和压縮算法;204:内容审计设备收到ServerHello消息后,以服务端的身份将ServerHello*消息发 送给客户端;205:服务端向内容审计设备发送自己的数字证书,这个证书有两个作用,其一就是让客 户端对服务端的身份进行认证,其二就是证书里包含有服务端的公钥,让客户端对用来产生 以后数据加密密钥的信息进行加密; '206:内容审计设备收到服务端的数字证书(Certificate)后,生成公私钥对,用公私 钥对中的公钥修改数字证书中的公钥信息,将修c^后的数字证书(Certificate*)发送给客 户端;207:服务端向内容审计设备发送ServerHelloDone消息,表示服务端响应消息的结束; ..此时,服务端向客户端证明了自己的身份,双方商定好了数据加密套件和数据压縮算法, 客户端也获得了对用来产生以后数据加密密钥的信息进行加密的密钥;208:内容审计设备收到服务端发送的ServerHelloDone消息后,向客户端发送 ServerHelloDone*消息,表示响应消息的结束;209:客户端收到数字证书和ServerHelloDone*消息后,选择第一随机数,根据第一随 机数生成第一密钥,向服务端发送ClientKeyExchange消息,该消息携带用第一随机数,并 且,为了增强安全性,该第一随机数是用内容审计设备发送的数字证书中的公钥加密的,该 消息将会被防火墙转发至内容审计设备;210:内容审计设备收到ClientKeyExchange消息后,用自身的私钥解密第一随机数,根 据第儒机数生成第一密钥;选择第二随机数,根据第二随机数用服务端公钥加密生成第二 密钥,并以客户端的身份向服务端发送ClientKeyExchange火消息,携带第二随机数;2丄丄客户端向服务端发送ChangcCipherSpec消息,该消息携带确认的数据加密算法和 哈希消息认证码算法,为了安全性,确认的数据加密算法和哈希消息认证码算法是用内容审 计设备的公钥加密的,通知对端以后就用新产生的第一密钥和协商好的各种算法对数据进行 加密;该消息将会被防火墙转发至内容审计设备;212:内容审计设备收到ChangeCipherSpec消息后,用自身的私钥解密确认的数据加密 算法和哈希消息认证码算法,以客户端的身份向服务端发送ChangeCipherSpec *消息,携带 用服务端公钥加密的确认的数据加密算法和哈希消息认证码算法;213:客广端向服务端发送Finished消息,表示客户端一方握手的结束,该消息被防火 墙哮发至内容审计设备;214:内容审计设备收到Finished消息后,以客户端的身份向服务端发送Finished*消息;215:服务端收到上述消息(ClientKeyExchange火消息和ChangeCipherSpec *消息)后, 用自身的私钥解密消息中携带的信息,得到第一.随机数和确认得数据加密算法和哈希消息认 证码算法,根据第二随机数生成第二密钥,当收到Finished *消息后,回应的 ChangeCipherSpec消息,确认协商的各种算法;之后,服务端与内容审计设备间的通信将通过第二密钥进行加Z解密;216:内容审计设备收到服务端回应的ChangeCipherSpec消息后,以服务端的身份向客 户端回应ChangeCipherSpec^消息,确认协商的各种算法;217:服务端发送Finished消息,表示服务端一方握手的结束确认;218:内容审计设备收到服务端发送的Finished消息后,向客户端发送Finished *消息; .219:双方完成握手后,客户端与服务端相互发送数据,这些数据将通过内容审计设备进 行中转,内容审计设备将会监控双方的通信内容。双方完成握手之后,客户端会用第一密钥加/解码传输数据,服务端会用第二密钥加/解 码传输数据,内容审计设备将通过第一密钥对与客户端交互的传输数据进行加/解密,通过第 二密钥对与服务端交互的传输数据进行加/解密。上述方法在正常的客户端与服务端之间插入了内容审计设备,即中间人,该设备同时具 备客广端和服务端的功能。当客户端开始发起连接时,内容审计设备将响应这个连接,同时内容审计设备仿冒客户 端向服务端发起连接,这吋服务端就把自己的数字证书发给内容审计设备,内容审计设备没 有服务端的私钥,为了能够对后期客户端发送的加密信息解密,需要根据这个证书的某些关 键#息(公钥信息)重新伪造证书再发给客户端;进一步,内容审计设备同时与客户端和服务端分别建立起两条不同的SSL链路,并分别 与客户端和服务端协商各白链路的安全加密套件;完成链路安全能力的协商后,内容审计设 备就可以无阻的存储转发各自链路上的数据,进而监控双方的通信内容。本实施例通过具有网络地址转换功能的防火墙将客户端的流量转发至内容审计设备,内 容审计设备通过假扮客户端和服务端的身份,能够获取到客户端和服务端交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路的内容审计需求,更好地维护企业或公司内 部的秘密信息。实施例2参见图3,本实施例提供了一种基于安全协议的内容审计系统,该系统包括第一通信 方301、第二通信方302、防火墙303和内容审计设备304;其中,防火墙303用于接收到第一通信方301发送的连接请求后,将连接请求的目的地址转换 为内容审计设备304的地址,将转换目的地址后的连接请求发送给内容审计设备304;内容审计设备304,用于接收该连接请求,向该连接请求对应的第二通信方302发起连接,并生成公钥,根据该公钥与所述第一通信方301建立安全协议链路,根据第二通信方302 的公钥与第二通信方302建立安全协议链路;监控第一通信方301或第二通信方302通过安 全协议链路转发的数据。进一步地,内容审计设备304包括接收模块304a,用于接收防火墙303发送的连接请求、第二通信方302发送的数字证书 和第一通信方301与第一-通信方302交互的数据;' 连接发起模块304b,用于接收模块304a收到连接请求后,向第二通信方302发起连接;数字证书处理模块304c,用于接收模块3(Ma收到第二通信方302发送携带第二通信方 302的公钥的数字证书后,生成公钥,用所生成的公钥修改数字证书中的第二通信方302的 公钥,将修改后的数字证书发送给第一通信方301;安全链路建立模块304d,用于根据数字证书处理模块304c修改后的数字证书中的公钥 与第一通信方301建立安全协议链路,根据接收模块304a接收的携带第二通信方302的公钥 的数字证书与第二通信方302建立安全协议链路;审计模块304e,用于监控第一通信方301或第二通信方302通过安全链路建立模块304d 所建立的安全协议链路转发的数据。进一步地,为了增强安全性,该系统的第一通信方301上设置有安全措施,具体为第一通信方301用于向服务器302发送连接请求,连接请求中携带安全信息,安全信息 包括第一通信方301支持的安全协议版本、加密套件和压縮算法;相应地,上述连接发起模块304b具体用于接收模块304a收到连接请求后,以第一通信 方301的身份向第二通信方302转发连接请求;该系统的第二通信方302也具有相应的虫全措施,具体为第—通信方302用于收到连接请求后,从连接请求中的安全信息选择欲使用的数据加密 套件和压縮算法,向内容审计设备304发送数字征书,数字证书携带第二通信方302的公钥 信息、数据加密套件和压縮算法。其中,第一通信方301包括 '请求发送模块,用于向第二通信方302发送连接请求,连接请求中携带安全信息,安全 信息包括第一通信方301支持的安全协议版本、加密套件和压缩算法;加密密钥发送模块,用于收到数字证书后,从数字证书中得到内容审计设备304的公钥, 确认第二通信方302选择的数据加密套件和压縮算法,选择第一随机数,根据第一随机数生 成第一密钥,使用内容审计设备304的公钥加密第一随机数,发送加密后的第一随机数;安全链路建立模块304d包括解密子模块,用丁收到第一通信方301发送的加密后的第一随机数后,用自身的私钥解码,得到第一随机数,根据第一随机数生成第一密钥;加密子模块,用于选择第一随机数,根据第二随机数生成第二密钥,使用第二通信方302的公钥加密第二随机数,向第二通信方302发送加密后的第二随机数;相应地,第二通信方302还用于收到加密后的第二随机数后,用自身的私钥进行解密,得到第二随机数,根据第二随机数生成第二密钥;'第一通信方和内容审计设备304使用第一密钥加/解密传输数据; 第二通信方302和内容审计设备304使用第二密钥加/解密传输数据。 其中,本实施例中的第一通信方可以为客户端,第二通信方可以为服务端。 本实施例提供的系统通过设置防火墙,将第一通信方的流量转发至内容审计设备,内容审计设备通过假扮第一通信方和第二通信方的身份,能够获取到第一通信方和第二通信方交互的内容,进而监控双方的通信,弥补了实际应用屮对加密链路的内容审计需求,更好地维护企业或公司内部的秘密信息。 .实施例3.参见图4,本实施例提供了一种内容审计设备,设备包括-接收模块401,用于接收第一通信方发送的连接请求、第二通信方发送的数字证书和第 一通信方与第二通信方交互的数据;连接发起模块402,用于接收模块401收到第一通信方的连接请求后,向连接请求对应 的第二通信方发起连接;数字证书处理模块403,用于接收模块401收到第二通信方发送的携带第二通信方公钥 的数字证书后,生成公钥,用公钥修改数字证书中的第二通信方的公钥,将修改后的数字证 书发送给第一通信方; '安全链路建立模块404,用于根据数字证书处理模块403修改后的数字证书中的公钥与 第一通信方建立安全协议链路,根据接收模块401接收的携带第二通信方的公钥的数字证书 与集二通信方建立安全协议链路;审计模块405,用于监控第一通信方和/或第二通信方通过安全链路建立模块404所建立 的安全协议链路转发的数据。安全链路建立模块404具体包括解密子模块,用于收到第一通信方发送的加密后的第一随机数后,用自身的私钥解密, 得到第一随机数,根据第一随机数生成第一密钥;加密子模块,用于选择第二随机数,根据第二随机数生成第二密钥,使用第二通信方的 公钥加密第二随机数,向第二通信方发送加密后的第二随机数;数据传输子模块,用于与第一通信方使用解密子模块生成的第一密钥加/解密传输数据; 与第二通信方使用加密子模块生成的第二密钥加/解密传输数据。其中,本实施例中的第一通信方可以为客户端,第二通信方可以为服务端。本实施例提供的内容审计设备通过假扮第一通信方和第二通信方的身份,能够获取到第 一通信方和第二通信方交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路的 内容审计需求,更好地维护企业或公司内部的秘密信息。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计 算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程 序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、 只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。' 以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内, 所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于安全协议的内容审计方法,其特征在于,所述方法包括接收来自第一通信方的连接请求;向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二通信方的公钥的数字证书;生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;根据修改后的数字证书中的公钥与所述第一通信方建立安全协议链路,根据所述携带所述第二通信方的公钥的数字证书与所述第二通信方建立安全协议链路;监控所述第一通信方或所述第二通信方通过安全协议链路转发的数据。
2. 如权利要求1所述的基于安全协议的内容审计方法,其特征在于,所述接收来自第一 通信方的连接请求之前包括防火墙接收第一通信方发送的连接请求,所述连接请求的目的地址为第二通信方的地址; 所述防火墙将所述连接请求的目的地址转换为内容审计设备的地址,将转换目的地址后 的连接请求发送。
3. 如权利要求l所述的基于安全协议的内容审计方法,其特征在于,所述来自第一通信 方的连接请求中携带安全信息,所述安全信息包括所述第一通信方支持的安全协议版本、 加密套件和压縮算法;相应地,所述向所述连接请求对应的第;通信方发起连接,接收所述第二通信方返回携带所述第二通信方的公钥的的数字证书具体包括内容审计设备以所述第一通信方的身份向所述第二通信方转发所述连接请求; 所述第二通信方收到所述连接请求后,从所述连接请求中的安全信息选择欲使用的数据加密套件和压缩算法,向所述内容审计设备发送数字证书,所述数字证书携带所述第二通信方的公钥、数据加密套件和压縮算法。
4. 如权利要求3所述的基于安全协议的内容审计方法,其特征在于,所述根据修改后的 数字证书中的公钥与所述第一通信方建立安全协议链路,根据所述携带所述第二通信方的公钥的数字证书与所述第二通信方建立安全协议链路,具体包括所述第一通信方收到数字证书后,从所述数字证书中得到所述内容审计设备的公钥,确 认所述第二通信方选择的数据加密套件和压缩算法,选择第一随机数,根据所述第一随机数 生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密后的第一随机 数;所述内容审计设备收到所述加密后的第一随机数后,用自身的私钥解密,得到所述第一 随机数,根据所述第一随机数生成所述第一密钥;所述第一通信方和所述内容审计设备使用所述第一密钥加/解密传输数据; ' 所述内容审计设备选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二 通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;所述第二通信方收到所述加密后的第二随机数后,用自身的私钥进行解密,得到所述第 二随机数,根据所述第二随机数生成所述第二密钥;所述第二通信方和所述内容审计设备使用所述第二密钥加/解密传输数据。
5. —种基于安全协议的内容审计系统,包括第一通信方和第二通信方,其特征在于,所 述系统还包括防火墙和内容审计设备;其中,所述防火墙用于接收到第一通信方发送的连接请求后,将所述连接请求的目的地址转换 为所述内容审计设备的地址,将转换目的地址后的连接请求发送给所述内容审计设备; 所述内容审计设备,用于接收所述连接请求,向所述连接请求对应的第二通信方发起连 接,并生成公钥,根据所述公钥与所述第一通信方建立安全协议链路,根据所述第二通信方 的公钥与所述第二通信方建立安全协议链路;监控所述第一通信方或所述第二通信方通过安 全协议链路转发的数据。
6. 如权利要求5所述的基于安全协议的内容审计系统,其特征在于,所述内容审计设备 包括接收模块,用于接收所述防火墙发送的连接请求、第二通信方发送的数字证书和所述第一通信方与所述第二通信方交互的数据;连接发起模块,用于所述接收模块收到连接请求后,向所述第二通信方发起连接; 数字证书处理模块,用于所述接收模块收到所述第二通信方发送携带所述第二通信方的公钥的数字证书后,生成公钥,用所生成的公钥修改所述数字证书中的所述第二通信方的公钥,'将修改后的数字证书发送给所述第一通信方;安全链路建立模块,用于根据所述数字证书处理模块修改后的数字证书中的公钥与所述 第一通信方建立安全协议链路,根据所述接收模块接收的携带所述第二通信方的公钥的数字 证书与所述第二通信方建立安全协议链路;审计模块,用于监控所述第一通信方或所述第二通信方通过所述安全链路建立模块所建 立的安全协议链路转发的数据。
7. 如权利要求6所述的基于安全协议的内容审计系统,其特征在于,所述第一通信方具 体用于向所述服务器发送连接请求,所述连接请求中携带安全信息,所述安全信息包括所 述第一通信方支持的安全协议版本、加密套件和压縮算法;相应地,所述连接发起模块具体用于所述接收模块收到连接请求后,以所述第一通信方 的身份向所述第二通信方转发所述连接请求;所述第二通信方具体用于收到所述连接请求后,从所述连接请求中的安全信息选择欲使 用的数据加密套件和压缩算法,向所述内容审计设备发送数字证书,所述数字证书携带所述 第二通信方的公钥、数据加密套件和压縮算法。
8. 如权利要求7所述的基于安全协议的内容审计系统,其特征在于,所述第一通信方包括请求发送模块,用于向第二通信方发送连接请求,所述连接请求中携带安全信息,所述 安全信息包括所述第一通信方支持的安全协议版本、加密套件和压縮算法;加密密钥发送模块,用于收到所述数字证书后,从所述数字证书中得到所述内容审计设 备的公钥,确认所述第二通信方选择的数据加密套件和压縮算法,选择第一随机数,根据所 述第一随机数生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密 后的第一随机数。
9. 如权利要求8所述的基于安全协议的内容审计系统,其特征在于,所述安全链路建立 模块包括解密子模块,用于收到所述第一通信方发送的加密后的第一随机数后,ffl自身的私钥解 密,.得到所述第一随机数,根据所述第一随机数生成所述第一密钥;加密子模块,用于选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;相应地,所述第二通信方还用于收到所述加密后的第二随机数后,用自身的私钥进行解密,得到所述第二随机数,根据所述第二随机数生成所述第二密钥;所述第一通信方和所述内容审计设备使用所述第一密钥加/解密传输数据; 所述第二通信方和所述内容审计设备使用所述第二密钥加/解密传输数据。
10. —种内容审计设备,其特征在于,所述设备包括-接收模块,用于接收第一通信方发送的连接请求、第二通信方发送的数字证书和所述第 一通信方与所述第二通信方交互的数据;连接发起模块,用于所述接收模块收到第-通信方的连接请求后,向所述连接请求对应 的第二通信方发起连接;数字证书处理模块,用于所述接收模块收到所述第二通信方发送的携带所述第二通信方 公钥的数字证书后,生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥, 将修改后的数字证书发送给所述第一通信方;安全链路建立模块,用于根据所述数字证书处理模块修改后的数字证书中的公钥与所述 第一通信方建立安全协议链路,根据所述接收模块接收的携带所述第二通信方的公钥的数字 证书与所述第二通信方建立安全协议链路;审计模块,用于监控所述第一通信方或所述第二通信方通过所述安全链路建立模块所建 立的安全协议链路转发的数据。
11. 如权利要求IO所述的内容审计设备,其特征在于,所述安全链路建立模块具体包括 解密子模块,用于收到所述第一通信方发送的加密后的第一随机数后,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成第一密钥;加密子模块,用于选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二 通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;数据传输子模块,用于与所述第一通信方使用所述解密子模块生成的第一密钥加/解密传 输数据;与所述第二通信方使ffl所述加密子模块生成的第二密钥加/解密传输数据。
全文摘要
本发明公开了一种基于安全协议的内容审计方法、系统和内容审计设备,属于通信领域。所述方法包括接收来自第一通信方的连接请求;向对应的第二通信方发起连接,接收第二通信方返回的携带第二通信方的公钥的数字证书;生成公钥,用所述公钥修改数字证书中的第二通信方的公钥,将修改后的数字证书发送给第一通信方;与第一通信方和第二通信方建立安全协议链路;监控第一通信方或第二通信方通过安全协议链路转发的数据。所述系统包括第一通信方、第二通信方、防火墙和内容审计设备。本发明中的内容审计设备通过假扮第一通信方和第二通信方的身份,能够监控双方的通信。
文档编号H04L9/28GK101325519SQ20081011443
公开日2008年12月17日 申请日期2008年6月5日 优先权日2008年6月5日
发明者亮 任 申请人:华为技术有限公司