专利名称:检测ssl加密数据安全性的方法及装置的制作方法
技术领域:
本发明涉及网络安全技术,具体涉及一种检测SSL加密数据安全性的方法及装置。
背景技术:
目前,随着网络基础设施与应用系统的建设与发展,人们的工作生活越来越离不 开网络网上银行、网上报税、网上购物、网上报名等等。这些网络应用改变了人们的工作、 生活方式,足不出户即可完成很多工作。但网络带来便利的同时,由于系统、软件、协议自身 存在的缺陷,一些别有用心的人会利用黑客技术攻击这些系统,以获取用户信用卡信息、企 业机密信息或其他敏感信息,从中获得经济利益。 SSL(Security Socket Layer,安全套接层)是使用公钥和私钥组合的非对称密钥 技术的安全网络通讯协议,主要用于提高应用程序之间数据的安全系数,保证任何安装了 安全套接字的客户和服务器间事务安全的通讯,涉及所有TCP/IP (Transmission Control Protocol/Internet Protocol,即传输控制协议/网间协议)应用程序。SSL安全协议主要 提供三方面的服务用户和服务器的合法性认证、加密数据以隐藏被传送的数据、保护数据 的完整性。 SSL协议的应用可实现对通信双方进行认证,并对传输的数据进行加密,有效提高 了数据传输的安全性,是一种常用的安全防护手段,被广泛应用于银行、税务、保险等对安 全要求较高的企业网站。但SSL技术虽然解决了数据传输过程的安全性,却并不能保证被 加密传输的数据本身一定是安全可靠的,如合法用户发出的HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)数据中同样会存在SQL (Structured Query Language)注入、XSS (Cross SiteScript,跨站脚本)等攻击报文。 为了保护这些系统不被破坏,出现了很多安全防护产品与技术来解决这类安全问 题,主要有 l.PKI (Public Key Infrastructure,公钥基础设施)的使用。 PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平
台的技术和规范。PKI的使用可以对客户端及服务器双方身份进行验证,并对客户端与服务
器之间传输的数据进行加密,以提高数据的安全性。 2. NIDS (Network-based Intrusion Detection System,网络入侵检测系统)的使 用。 NIDS部署在网络关键节点,实时分析网络数据,以发现其中存在的非法或违规行 为,并及时采取报警通知管理员或自动与防火墙联动等多种响应方式,阻止黑客入侵。
3.防火墙、VPN(Virtual Private Network,虚拟专用网)等其他各种安全产品与 技术。 其中,NIDS可以通过对计算机网络中的若干关键点收集信息并对其进行分析,发 现违反安全策略的行为和被攻击迹象,可以识别数据内容是否安全。但传统的NIDS不能识别使用SSL加密的数据,因此无法对被加密的数据进行分析,从而无法检测到存在于SSL加密隧道中的入侵行为。
发明内容
本发明实施例提供一种检测SSL加密数据安全性的方法及装置,以保证SSL加密数据的安全性。 为此,本发明实施例提供如下技术方案 —种检测SSL加密数据安全性的方法,包括 通过跟踪SSL会话协商过程,识别会话使用的加密算法; 通过跟踪密钥交换过程,获得用于加密数据的会话密钥; 利用所述会话密钥解密接收的数据,得到非加密的原始数据; 对所述原始数据进行入侵检测及分析。 可选地,所述加密算法包括以下任意一种对称加密算法、密钥交换算法、摘要算法。 优选地,所述方法还包括获取服务器对应的私钥; 所述通过跟踪密钥交换过程,获得用于加密数据的会话密钥包括 通过跟踪密钥交换过程,并使用所述服务器对应的私钥解密客户端发送到服务器
的密钥交换报文,获得会话密钥。 优选地,所述获取服务器对应的私钥包括 确定服务器的地址及使用的应用层协议; 根据预先建立的被保护服务器的地址和应用层协议与私钥证书的对应关系,获取服务器对应的私钥。 优选地,所述确定服务器的地址及使用的应用层协议包括 对接收的IP报文进行重组,确定服务器的地址; 对接收的TCP流进行重组,确定服务器使用的应用层协议。 —种检测SSL加密数据安全性的装置,包括 加密算法识别单元,用于通过跟踪SSL会话协商过程,识别会话使用的加密算法; 会话密钥获取单元,用于通过跟踪密钥交换过程,获得用于加密数据的会话密钥; 解密单元,用于利用所述会话密钥解密接收的数据,得到非加密的原始数据; 检测单元,用于对所述原始数据进行入侵检测及分析。 优选地,所述装置还包括 私钥获取单元,用于获取服务器对应的私钥; 所述会话密钥获取单元,具体用于通过跟踪密钥交换过程,使用所述服务器对应
的私钥解密客户端发送到服务器的密钥交换报文,获得会话密钥。 优选地,所述私钥获取单元包括 服务器地址确定子单元,用于确定服务器的地址; 应用层协议确定子单元,用于确定服务器使用的应用层协议; 私钥获取子单元,用于根据预先建立的被保护服务器的地址和应用层协议与私钥证书的对应关系,获取服务器对应的私钥。 优选地,所述服务器地址确定子单元,具体用于对接收的IP报文进行重组,确定服务器的地址; 所述应用层协议确定子单元,具体用于对接收的TCP流进行重组,确定服务器使用的应用层协议。 优选地,所述装置还包括 对应关系建立单元,用于建立被保护服务器的地址和应用层协议与私钥证书的对应关系。 由以上本发明实施例提供的技术方案可以看出,本发明实施例检测SSL加密数据安全性的方法及装置,通过跟踪SSL会话协商过程,识别会话使用的加密算法,通过跟踪密钥交换过程,获得用于加密数据的对称密钥,利用所述会话密钥解密接收的数据,得到非加密的原始数据,对所述原始数据进行入侵检测及分析,从而可以检测到存在于SSL加密隧道中的入侵行为,保证SSL加密数据的安全性。
图1是现有SSL的工作流程图; 图2是本发明实施例检测SSL加密数据安全性的方法的流程图; 图3是SSL协议的组成及其在TCP/IP中的位置示意图; 图4是本发明实施例检测SSL加密数据安全性的装置的一种结构示意图; 图5是本发明实施例检测SSL加密数据安全性的装置的另一种结构示意图。
具体实施例方式
为了使本技术领域的人员更好地理解本发明实施例的方案,下面结合附图和实施
方式对本发明实施例作进一步的详细说明。 下面首先对SSL的工作流程进行简单说明。 如图1所示,SSL的工作流程主要分为以下两个过程 1.会话协商过程 101.客户端向服务器发送一个开始信息"Hello",以便开始一个新的会话连接;
102.服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的"Hello"信息时将包含用于传送服务器公钥信息的服务器证书;
2.密钥交换过程 103.客户端根据收到的服务器响应信息,产生一个本次对话密钥,并用服务器的公钥加密后传给服务器; 104.服务器接收响应信息,使用私钥解密响应信息,获得本次对话密钥。 此后,SSL客户端和SSL服务器之间的对话传送的是利用本次对话密钥加密后的数据。 为此,本发明实施例检测SSL加密数据安全性的方法及装置,基于上述SSL的工作流程,通过跟踪SSL会话协商过程,识别会话使用的加密算法,通过跟踪密钥交换过程,获得用于加密数据的会话密钥,利用所述会话密钥解密接收的数据,得到非加密的原始数据,并对所述原始数据进行入侵检测及分析。 如图2所示,是本发明实施例检测SSL加密数据安全性的方法的流程图,包括以下步骤 步骤201 ,通过跟踪SSL会话协商过程,识别会话使用的加密算法,所述加密算法可以是以下任意一种对称加密算法、密钥交换算法(非对称加密算法)、摘要算法。
步骤202,通过跟踪密钥交换过程,获得用于加密数据的会话密钥。
由图1中可见,SSL客户端和SSL服务器采用非对称加密算法传送本次对话密钥,采用的算法可以是RSA(Ron Rivest, Adi Shamir, Len Adleman) 、 Elgamal、背包算法、Rabin、 HD(Hausdorff distance) 、 ECC(Elliptic CurvesCryptography,椭圆曲线力口密算法)等。具体地,SSL客户端会向SSL服务器传送用服务器公钥加密的本次对话密钥。在公钥加密中,公钥可在通信双方之间公开传递,或在公用储备库中发布,但相关的私钥是保密的。只有使用对应私钥才能解密用公钥加密的数据。 为此,在本发明实施例中,可以预先获取服务器对应的私钥,利用该私钥解密客户端发送到服务器的密钥交换报文,即可获得会话密钥。 在本发明实施例中,可以预先导出服务器的私钥并存储,所述服务器的私钥可以是第三方颁发的,也可以是服务器自己配置的。 步骤203,利用所述会话密钥解密接收的数据,得到非加密的原始数据;
步骤204,对所述原始数据进行入侵检测及分析。 利用本发明实施例检测SSL加密数据安全性的方法,通过旁路获得SSL服务器接收的SSL加密数据,并对该SSL加密数据进行解密,得到非加密的原始数据,对所述原始数据进行入侵检测及分析,从而可以检测到存在于SSL加密隧道中的入侵行为,保证SSL加密数据的安全性。 本发明实施例检测SSL加密数据安全性的方法,可以应用于单个主机,对单台服
务器进行安全防护,也可以通过旁路部署,实现对多台服务器的安全防护。 在需要对多台服务器进行安全防护时,可以预先建立被保护服务器的地址和应用
层协议与私钥证书的对应关系,并根据服务器接收的报文以及该对应关系得到服务器对应
的私钥。 TCP/IP (Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)是整个Internet数据传输和通信所使用的最基本的控制协议,在它之上还有HTTP (Hypertext Transfer Protocol,超文本传输协议)、LDAP (LightweightDirectory Access Protoco 1轻量目录访问协议)、IMAP (InternetMessaging AccessProtocol,交互邮件访问协议)等应用层传输协议。而SSL是位于TCP/IP和各种应用层协议之间的一种数据安全协议,使用TCP来提供一种可靠的端到端的安全服务,它使客户端/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,还可以选择对客户端进行认证。 如图3所示,是SSL协议的组成及其在TCP/IP中的位置示意图。
其中的每一层,可以包括长度、描述和内容字段。 SSL协议由两层组成,分别是握手协议层和记录协议层。握手协议建立在记录协议之上。其中
SSL握手协议具体实现压縮/解压縮、加密/解密、计算机MAC等与安全有关的操作。 SSL握手协议是用来在客户端和服务器端传输应用数据而建立的安全通信机制,包括 (1)算法协商首次通信时,双方通过握手协议协商密钥加密算法、数据加密算法和摘要算法。 (2)身份验证在密钥协商完成后,客户端与服务器端通过证书互相验证对方的身份。 (3)确定密钥最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户端和服务器端各自根据这个秘密信息确定数据加密算法的参数(一般是密钥)。
根据SSL协议在TCP/IP中的位置可见,通过对SSL服务器接收的IP报文进行重组,确定服务器的地址;对SSL服务器接收的TCP流进行重组,确定服务器使用的应用层协议。然后,依照预先建立的被保护服务器的地址和应用层协议与私钥证书的对应关系,即可查找到该被保护服务器的私钥。从而可以实现对多台不同服务器的安全防护。
由于现有的NIDS可以通过对计算机网络中的若干关键点收集信息并对其进行分析,识别非SSL加密数据中的攻击行为,可以及时采取报警通知管理员或自动与防火墙联动等多种响应方式,以阻止黑客入侵。因此,还可以将本发明实施例检测SSL加密数据安全性的方法应用于传统NIDS产品中,使其能够旁路检测到存在于SSL加密隧道中的入侵行为。也就是说,将NIDS与PKI技术配合使用,从而可以在对网络信息系统进行防护时,既可以发挥PKI的认证、加密的优势,又可以利用NIDS识别隐藏在加密数据中的攻击或违规行为。还可以通过记录相关日志,便于事后审计或为警方破案提供相应信息。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如R0M/RAM、磁碟、光盘等。 相应地,本发明实施例还提供了一种检测SSL加密数据安全性的装置,如图4所
示,是该装置的一种结构示意图。 在该实施例中,所述装置包括 加密算法识别单元301,用于通过跟踪SSL会话协商过程,识别会话使用的加密算法; 会话密钥获取单元302,用于通过跟踪密钥交换过程,获得用于加密数据的会话密钥; 解密单元303,用于利用所述会话密钥解密接收的数据,得到非加密的原始数据;
检测单元304,用于对所述原始数据进行入侵检测及分析。 在本发明实施例中,可以预先获取服务器对应的私钥,利用该私钥解密客户端发送到服务器的密钥交换报文,即可获得会话密钥。为此,所述装置还进一步包括私钥获取单元305,用于获取服务器对应的私钥。所述服务器的私钥可以是第三方颁发的,也可以是服务器自己配置的。 所述会话密钥获取单元302,具体用于通过跟踪密钥交换过程,使用所述服务器对应的私钥解密客户端发送到服务器的密钥交换报文,获得 话密钥。
利用本发明实施例检测SSL加密数据安全性的装置,通过旁路获得SSL服务器接 收的SSL加密数据,并对该SSL加密数据进行解密,得到非加密的原始数据,对所述原始数 据进行入侵检测及分析,从而可以检测到存在于SSL加密隧道中的入侵行为,保证SSL加密 数据的安全性。 本发明实施例检测SSL加密数据安全性的装置,可以应用于单个主机,对单台服
务器进行安全防护,也可以通过旁路部署,实现对多台服务器的安全防护。 在需要对多台服务器进行安全防护时,可以预先建立被保护服务器的地址和应用
层协议与私钥证书的对应关系,并根据服务器接收的报文以及该对应关系得到服务器对应
的私钥。 如图5所示,是本发明实施例检测SSL加密数据安全性的装置的另一种结构示意 图。 在该实施例中,所述装置还进一步包括对应关系建立单元306,用于建立被保护
服务器的地址和应用层协议与私钥证书的对应关系。 所述私钥获取单元305包括 服务器地址确定子单元351,用于确定服务器的地址,具体地,可以通过对接收的 IP报文进行重组,确定服务器的地址; 应用层协议确定子单元352,用于确定服务器使用的应用层协议,具体地,可以通 过对接收的TCP流进行重组,确定服务器使用的应用层协议; 私钥获取子单元353,用于根据预先建立的被保护服务器的地址和应用层协议与 私钥证书的对应关系,获取服务器对应的私钥。 可以将本发明实施例检测SSL加密数据安全性的装置集成于传统NIDS产品中,使 其能够旁路检测到存在于SSL加密隧道中的入侵行为。也就是说,将NIDS与PKI技术配合 使用,从而可以在对网络信息系统进行防护时,既可以发挥PKI的认证、加密的优势,又可 以利用NIDS识别隐藏在加密数据中的攻击或违规行为。还可以通过记录相关日志,便于事 后审计或为警方破案提供相应信息。 本发明实施例检测SSL加密数据安全性的方法及装置,可用于众多通用或专用的 计算系统环境或配置中。例如个人计算机、服务器计算机、多处理器系统、基于微处理器的 系统、机顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系 统或设备的分布式计算环境等等。 以上对本发明实施例进行了详细介绍,本文中应用了具体实施方式
对本发明进行 了阐述,以上实施例的说明只是用于帮助理解本发明的装置及方法;同时,对于本领域的 一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所 述,本说明书内容不应理解为对本发明的限制。
9
权利要求
一种检测SSL加密数据安全性的方法,其特征在于,包括通过跟踪SSL会话协商过程,识别会话使用的加密算法;通过跟踪密钥交换过程,获得用于加密数据的会话密钥;利用所述会话密钥解密接收的数据,得到非加密的原始数据;对所述原始数据进行入侵检测及分析。
2. 根据权利要求l所述的方法,其特征在于,所述加密算法包括以下任意一种对称加 密算法、密钥交换算法、摘要算法。
3. 根据权利要求1所述的方法,其特征在于,所述方法还包括获取服务器对应的私钥;所述通过跟踪密钥交换过程,获得用于加密数据的会话密钥包括通过跟踪密钥交换过程,并使用所述服务器对应的私钥解密客户端发送到服务器的密 钥交换报文,获得会话密钥。
4. 根据权利要求3所述的方法,其特征在于,所述获取服务器对应的私钥包括 确定服务器的地址及使用的应用层协议;根据预先建立的被保护服务器的地址和应用层协议与私钥证书的对应关系,获取服务 器对应的私钥。
5. 根据权利要求4所述的方法,其特征在于,所述确定服务器的地址及使用的应用层 协议包括对接收的IP报文进行重组,确定服务器的地址; 对接收的TCP流进行重组,确定服务器使用的应用层协议。
6. —种检测SSL加密数据安全性的装置,其特征在于,包括加密算法识别单元,用于通过跟踪SSL会话协商过程,识别会话使用的加密算法; 会话密钥获取单元,用于通过跟踪密钥交换过程,获得用于加密数据的会话密钥; 解密单元,用于利用所述会话密钥解密接收的数据,得到非加密的原始数据; 检测单元,用于对所述原始数据进行入侵检测及分析。
7. 根据权利要求6所述的装置,其特征在于,所述装置还包括 私钥获取单元,用于获取服务器对应的私钥;所述会话密钥获取单元,具体用于通过跟踪密钥交换过程,使用所述服务器对应的私 钥解密客户端发送到服务器的密钥交换报文,获得会话密钥。
8. 根据权利要求7所述的装置,其特征在于,所述私钥获取单元包括 服务器地址确定子单元,用于确定服务器的地址; 应用层协议确定子单元,用于确定服务器使用的应用层协议;私钥获取子单元,用于根据预先建立的被保护服务器的地址和应用层协议与私钥证书 的对应关系,获取服务器对应的私钥。
9. 根据权利要求8所述的装置,其特征在于,所述服务器地址确定子单元,具体用于对接收的IP报文进行重组,确定服务器的地址;所述应用层协议确定子单元,具体用于对接收的TCP流进行重组,确定服务器使用的 应用层协议。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括对应关系建立单元,用于建立被保护服务器的地址和应用层协议与私钥证书的对应关
全文摘要
本发明涉及网络安全技术,公开了一种检测SSL加密数据安全性的方法及装置,所述方法包括通过跟踪SSL会话协商过程,识别会话使用的加密算法;通过跟踪密钥交换过程,获得用于加密数据的会话密钥;利用所述会话密钥解密接收的数据,得到非加密的原始数据;对所述原始数据进行入侵检测及分析。利用本发明,可以在网络关键节点,通过旁路部署即可检测分析SSL加密数据,保证SSL加密数据的安全性。
文档编号H04L12/26GK101695038SQ20091023690
公开日2010年4月14日 申请日期2009年10月27日 优先权日2009年10月27日
发明者蔡立军 申请人:联想网御科技(北京)有限公司;