一种针对网吧的HTTPS内容的审计方法和装置与流程

本发明涉及网络安全审计技术领域，特别涉及一种针对网吧的https内容的审计方法和装置。

背景技术：

目前，大多数网吧网络内容审计系统还只能审计超文本传输协议(hypertexttransferprotocol，简称“http”)内容，不能审计加密的https内容。而现有的利用中间人攻击实现的https(全称：hypertexttransferprotocoloversecuresocketlayer)审计技术，攻击技术大致上有以下两种实现方式：

1，地址解析协议(addressresolutionprotocol，简称“arp”)欺骗：主要是通过定期向目标客户机发送伪造的arp数据，导致标客户端arp缓存表中保存了错误的ip/mac对应关系，进而导致目标客户机原本应该发送到真正服务器的https请求，发送到了攻击者的主机，最终完成中间人攻击。

2，域名系统(domainnamesystem，简称“dns”)劫持：攻击者通过修改目标客户机的dns服务器地址，让其指向攻击者的主机，以此来假冒dns解析服务器，当目标客户机发送dns解析请求时，就可以返回假冒的ip地址给目标客户机，从而达到中间人攻击目的。

以上两种方案均有如下弊端：

1、需要一个arp欺骗服务器/dns解析服务器。

2、容易被发现，甚至可以通过修改系统配置(例如：清除arp缓存、修改dns地址)的方式来阻止这两种中间人攻击方法。

3、需要用于充当中间人的服务器。

4、大量的请求被重定向到同一个中间人服务器，可能出现网络延迟，或者卡顿，这对于网吧来说是不可接受的。

技术实现要素：

为了解决现有技术的问题，本发明实施例提供了一种针对网吧的https内容的审计方法和装置。所述技术方案如下：

一方面，本发明实施例提供了一种针对网吧的https内容的审计方法，所述方法包括：

建立与待审计的目标客户机对应的本地https服务端和本地审计服务端；

当所述目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip；

将解析出的真实ip修改为与所述本地https服务端对应的虚拟ip，并将修改后的解析结果反馈至所述目标客户机；

通过所述虚拟ip建立所述目标客户机与所述本地https服务端之间的https连接，并生成相应的第一会话密钥，所述第一会话密钥用于加密所述目标客户机与所述本地https服务端之间传输的数据信息；

通过解析得到的所述真实ip建立所述本地https服务端与所述目的https服务器之间的https连接，并生成相应的第二会话密钥，所述第二会话密钥用于加密所述本地https服务端与所述目的https服务器之间传输的数据信息；

当所述目标客户机向所述目的https服务器发送待审计的数据信息时，通过所述本地https服务端接收所述待审计的数据信息，并利用所述第一会话密钥对其进行解码；

将解码后的待审计的数据信息传输至所述本地审计服务端，并根据相应的审计规则进行匹配审计。

在本发明实施例上述的针对网吧的https内容的审计方法中，所述当所述目标客户机进行目的https服务器的真实域名的解析时，获取解析出来的真实域名对应的真实ip，包括：

利用钩子技术，获取系统api所解析出来的真实域名对应的真实ip，所述系统api用于解析所述真实域名。

在本发明实施例上述的针对网吧的https内容的审计方法中，所述本地https服务端用于监听所述目标客户机的443端口。

在本发明实施例上述的针对网吧的https内容的审计方法中，所述方法还包括：

将审计后的数据信息通过所述第二会话密钥进行加密，并传输至所述目的https服务器。

另一方面，本发明实施例提供了一种针对网吧的https内容的审计装置，所述装置包括：

本地https服务端，设置在待审计的目标客户机中，用于当所述目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip；

所述本地https服务端，还用于将解析出的真实ip修改为与所述本地https服务端对应的虚拟ip，并将修改后的解析结果反馈至所述目标客户机；

所述本地https服务端，还用于通过所述虚拟ip建立与所述目标客户机之间的https连接，并生成相应的第一会话密钥，所述第一会话密钥用于加密所述目标客户机与所述本地https服务端之间传输的数据信息；

所述本地https服务端，还用于通过解析得到的所述真实ip建立与所述目的https服务器之间的https连接，并生成相应的第二会话密钥，所述第二会话密钥用于加密所述本地https服务端与所述目的https服务器之间传输的数据信息；

所述本地https服务端，还用于当所述目标客户机向所述目的https服务器发送待审计的数据信息时，接收所述待审计的数据信息，并利用所述第一会话密钥对其进行解码；

本地审计服务端，设置在在待审计的目标客户机中并与所述本地https服务端通信连接，用于接收解码后的待审计的数据信息，并根据相应的审计规则进行匹配审计。

在本发明实施例上述的针对网吧的https内容的审计装置中，所述本地https服务端，还用于利用钩子技术，获取系统api所解析出来的真实域名对应的真实ip，所述系统api用于解析所述真实域名。

在本发明实施例上述的针对网吧的https内容的审计装置中，所述本地https服务端用于监听所述目标客户机的443端口。

在本发明实施例上述的针对网吧的https内容的审计装置中，所述本地https服务端，还用于将审计后的数据信息通过所述第二会话密钥进行加密，并传输至所述目的https服务器。

本发明实施例提供的技术方案带来的有益效果是：

通过建立与待审计的目标客户机对应的本地https服务端和本地审计服务端，当目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip，并将解析出的真实ip修改为与本地https服务端对应的虚拟ip，然后将修改后的解析结果反馈至目标客户机，这样通过虚拟ip建立目标客户机与本地https服务端之间的https连接，并生成相应的第一会话密钥，当目标客户机向目的https服务器发送待审计的数据信息时，通过本地https服务端接收待审计的数据信息，并利用第一会话密钥对其进行解码，并将解码后的待审计的数据信息传输至本地审计服务端，并根据相应的审计规则进行匹配审计。上述审计方法可以在目标客户机本地进行https加密内容的审计，无需额外设置的中间服务器，且不易被发现，难以通过修改系统配置的方式来阻止，此外，还不会影响到上网速度，保障了网吧的正常运营。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种针对网吧的https内容的审计方法流程图；

图2是本发明实施例二提供的一种针对网吧的https内容的审计装置结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本发明实施例提供了一种针对网吧的https内容的审计方法，适用于对网吧中发送的加密数据进行审计，参见图1，该方法可以包括：

步骤s11，建立与待审计的目标客户机对应的本地https服务端和本地审计服务端。

需要说明的是，现在的网吧开始采用网吧无盘系统，网吧机器(即目标客户机)分为服务器和客户端两个部分，在无盘系统下，客户端是不用配置硬盘的，所有客户端通过网络连接服务器内的超大容量硬盘，并利用硬盘内的系统镜像启动，而服务器硬盘内的文件在所有的客户机上都能读取，这种方式即称为网吧无盘系统。在本实施例中，可以在目标客户机(即需要被审计的网吧机器)中设置本地https服务端和本地审计服务端，不需要任何的额外的服务器，而且直接在目标客户机本地上进行数据审计，不会造成网络的延迟、卡顿等现象。

在本实施例中，本地https服务端用于监听目标客户机的443端口，这样能有效获取到目标客户机发送的加密https内容。当然，本地https服务端也可以监听目标客户机的80端口，通过80端口可以接收到明文http内容，明文内容可以直接进行审计，无需进行解码操作。即本地https服务端在接收到明文http内容后直接传输至本地审计服务端进行审计，并在审计后传输至目的服务器。

步骤s12，当目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip。

具体地，上述步骤s12可以通过如下方式实现：

利用钩子技术，获取系统api所解析出来的真实域名对应的真实ip，系统api用于解析真实域名。

在本实施例中，利用钩子技术，注入目标客户机的进程，并在操作系统底层钩住进程即将要调用的用于域名解析的系统api。当目标客户机进程发送https请求时，会调用系统api对真实域名进行解析，利用进程中的钩子，可以在钩子处获取api返回的真实ip并保存与相对应域名的映射关系。然后将真实ip修改为与本地https服务端对应的虚拟ip，并将修改后的解析结果反馈回目标客户机，这样就把可以把https请求导向本机https服务器，实现dns重定向。

步骤s13，将解析出的真实ip修改为与本地https服务端对应的虚拟ip，并将修改后的解析结果反馈至目标客户机。

在本实施例中，通过修改并反馈给目标客户机虚拟ip，使得目标客户机原本发送至目的https服务器的数据信息，转发至本地https服务端。

步骤s14，通过虚拟ip建立目标客户机与本地https服务端之间的https连接，并生成相应的第一会话密钥，第一会话密钥用于加密目标客户机与本地https服务端之间传输的数据信息。

在本实施例中，由于真实域名解析得到的真实ip被预先修改为了虚拟ip，目标客户机在向真实域名发送https请求时，会被导向虚拟ip所对应的本地https服务端，进而目标客户机与本地https服务端建立https连接，并生成相应的第一会话密钥，本地https服务端可以通过生成的第一会话密钥来对目标客户机发送的加密数据信息进行解码，便于本地审计服务端对其进行审计。

步骤s15，通过解析得到的真实ip建立本地https服务端与目的https服务器之间的https连接，并生成相应的第二会话密钥，第二会话密钥用于加密本地https服务端与目的https服务器之间传输的数据信息。

在本实施例中，导向本地https服务端的数据信息最终还是需要重新发送至目的https服务器的，这样才能不影响正常的数据交互。因此，本地https服务端会通过获取的真实ip，以目标客户机的身份与目的https服务器建立https连接。

步骤s16，当客户机向目的https服务器发送待审计的数据信息时，通过本地https服务端接收待审计的数据信息，并利用第一会话密钥对其进行解码。

在本实施例中，本地https服务端接收到目标客户机发送的加密https内容时，可以通过预设与目标客户机设置好的第一会话密钥来对其进行解码，使得后续的本地审计服务端能够对其进行审计。

步骤s17，将解码后的待审计的数据信息传输至本地审计服务端，并根据相应的审计规则进行匹配审计。

在本实施例中，具体如何进行数据审计可以根据实际需求设定，这里不做限制。

步骤s18，将审计后的数据信息通过第二会话密钥进行加密，并传输至目的https服务器。

本发明实施例通过建立与待审计的目标客户机对应的本地https服务端和本地审计服务端，当目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip，并将解析出的真实ip修改为与本地https服务端对应的虚拟ip，然后将修改后的解析结果反馈至目标客户机，这样通过虚拟ip建立目标客户机与本地https服务端之间的https连接，并生成相应的第一会话密钥，当目标客户机向目的https服务器发送待审计的数据信息时，通过本地https服务端接收待审计的数据信息，并利用第一会话密钥对其进行解码，并将解码后的待审计的数据信息传输至本地审计服务端，并根据相应的审计规则进行匹配审计。上述审计方法可以在目标客户机本地进行https加密内容的审计，无需额外设置的中间服务器，且不易被发现，难以通过修改系统配置的方式来阻止，此外，还不会影响到上网速度，保障了网吧的正常运营。

实施例二

本发明实施例提供了一种针对网吧的https内容的审计装置，实现了实施例一所述的审计方法，参见图2，该装置可以包括：本地https服务端100、本地审计服务端200。

本地https服务端100，设置在待审计的目标客户机中，用于当目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip。

需要说明的是，现在的网吧开始采用网吧无盘系统，网吧机器(即目标客户机)分为服务器和客户端两个部分，在无盘系统下，客户端是不用配置硬盘的，所有客户端通过网络连接服务器内的超大容量硬盘，并利用硬盘内的系统镜像启动，而服务器硬盘内的文件在所有的客户机上都能读取，这种方式即称为网吧无盘系统。在本实施例中，可以在目标客户机(即需要被审计的网吧机器)中设置本地https服务端和本地审计服务端，不需要任何的额外的服务器，而且直接在目标客户机本地上进行数据审计，不会造成网络的延迟、卡顿等现象。

在本实施例中，本地https服务端用于监听目标客户机的443端口，这样能有效获取到目标客户机发送的加密https内容。当然，本地https服务端也可以监听目标客户机的80端口，通过80端口可以接收到明文http内容，明文内容可以直接进行审计，无需进行解码操作。即本地https服务端在接收到明文http内容后直接传输至本地审计服务端进行审计，并在审计后传输至目的服务器。

本地https服务端100，还用于将解析出的真实ip修改为与本地https服务端对应的虚拟ip，并将修改后的解析结果反馈至目标客户机。

在本实施例中，通过修改并反馈给目标客户机虚拟ip，使得目标客户机原本发送至目的https服务器的数据信息，转发至本地https服务端。

本地https服务端100，还用于通过虚拟ip建立与目标客户机之间的https连接，并生成相应的第一会话密钥，第一会话密钥用于加密目标客户机与本地https服务端之间传输的数据信息。

在本实施例中，由于真实域名解析得到的真实ip被预先修改为了虚拟ip，目标客户机在向真实域名发送https请求时，会被导向虚拟ip所对应的本地https服务端，进而目标客户机与本地https服务端建立https连接，并生成相应的第一会话密钥，本地https服务端可以通过生成的第一会话密钥来对目标客户机发送的加密数据信息进行解码，便于本地审计服务端对其进行审计。

本地https服务端100，还用于通过解析得到的真实ip建立与目的https服务器之间的https连接，并生成相应的第二会话密钥，第二会话密钥用于加密本地https服务端与目的https服务器之间传输的数据信息。

在本实施例中，导向本地https服务端的数据信息最终还是需要重新发送至目的https服务器的，这样才能不影响正常的数据交互。因此，本地https服务端会通过获取的真实ip，以目标客户机的身份与目的https服务器建立https连接。

本地https服务端100，还用于当目标客户机向目的https服务器发送待审计的数据信息时，接收待审计的数据信息，并利用第一会话密钥对其进行解码。

在本实施例中，本地https服务端接收到目标客户机发送的加密https内容时，可以通过预设与目标客户机设置好的第一会话密钥来对其进行解码，使得后续的本地审计服务端能够对其进行审计。

本地审计服务端200，设置在在待审计的目标客户机中并与本地https服务端通信连接，用于接收解码后的待审计的数据信息，并根据相应的审计规则进行匹配审计。

在本实施例中，具体如何进行数据审计可以根据实际需求设定，这里不做限制。

本地https服务端100，还用于将审计后的数据信息通过第二会话密钥进行加密，并传输至目的https服务器。

具体地，本地https服务端100，还用于利用钩子技术，获取系统api所解析出来的真实域名对应的真实ip，系统api用于解析真实域名。

在本实施例中，利用钩子技术，注入目标客户机的进程，并在操作系统底层钩住进程即将要调用的用于域名解析的系统api。当目标客户机进程发送https请求时，会调用系统api对真实域名进行解析，利用进程中的钩子，可以在钩子处获取api返回的真实ip并保存与相对应域名的映射关系。然后将真实ip修改为与本地https服务端对应的虚拟ip，并将修改后的解析结果反馈回目标客户机，这样就把可以把https请求导向本机https服务器，实现dns重定向。

本发明实施例通过建立与待审计的目标客户机对应的本地https服务端和本地审计服务端，当目标客户机对与目的https服务器对应的真实域名进行解析时，获取解析出来的真实域名对应的真实ip，并将解析出的真实ip修改为与本地https服务端对应的虚拟ip，然后将修改后的解析结果反馈至目标客户机，这样通过虚拟ip建立目标客户机与本地https服务端之间的https连接，并生成相应的第一会话密钥，当目标客户机向目的https服务器发送待审计的数据信息时，通过本地https服务端接收待审计的数据信息，并利用第一会话密钥对其进行解码，并将解码后的待审计的数据信息传输至本地审计服务端，并根据相应的审计规则进行匹配审计。上述审计装置可以设置在目标客户机中，无需额外设置的中间服务器，且不易被发现，难以通过修改系统配置的方式来阻止，此外，还不会影响到上网速度，保障了网吧的正常运营。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是：上述实施例提供的针对网吧的https内容的审计装置在实现针对网吧的https内容的审计方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的针对网吧的https内容的审计装置与针对网吧的https内容的审计方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。