本技术涉及网络,具体涉及一种https认证告警消除方法、装置以及认证设备。
背景技术:
1、在网络审计产品中,为方便对终端用进行管理及控制,一般会提供用户认证功能。开启功能后,用户侧的终端接入网络访问网站时,审计产品以流量劫持的方式,把需要认证的页面推送给终端,终端使用购买或者网管提供的账号登录并认证成功后方可接入网络。
2、在当今互联网环境中,站点逐渐https化,对劫持推送认证页面的处理机制提出了更高的挑战,基于http站点劫持推送,只需要等到get请求报文到达,伪造服务器响应登录页面,即可实现登录页面的显示,https推送认证页面则需要更高的要求,而且会产生https告警安全提示等不好的用户体验。
3、而本技术发明人发现,现有技术中在https认证告警消除过程中,是由在认证终端和web服务器之前配置的认证设备来主导https认证的,而认证设备与认证终端之间的ssl握手这一环节往往需要占用不小的系统cpu资源,这意味着一定程度上存在耗时且成本高的问题。
技术实现思路
1、本技术提供了一种https认证告警消除方法、装置以及认证设备,用于简化https认证告警消除过程中涉及的ssl握手环节,从而可以更为便捷且低成本地完成https认证告警消除目标,提高系统性能,获得更佳的用户体验。
2、第一方面,本技术提供了一种https认证告警消除方法,方法包括:
3、在捕获到第一认证终端对于目标web服务器发起的访问请求之后,认证设备与第一认证终端建立第一tcp握手,其中,认证设备和目标web服务器位于同一网络架构内;
4、在建立第一tcp握手之后第一认证终端发起针对目标web服务器的第一ssl握手的过程中,认证设备检测是否本地存储有目标web服务器的证书数据;
5、若本地存储有目标web服务器的证书数据,则认证设备基于本地存储的目标web服务器的证书数据,与第一认证终端完成第一ssl握手;
6、待第一认证终端发起ssl get请求时,认证设备代替目标web服务器响应认证页面,完成第一认证终端的设备认证。
7、结合本技术第一方面,在本技术第一方面第一种可能的实现方式中,方法还包括:
8、认证设备随捕获到的第二认证终端对于目标web服务器发起的访问请求的触发下,与目标web服务器发起第二tcp握手和第二ssl握手;
9、认证设备对第二ssl握手获得的目标web服务器的证书数据进行存储。
10、结合本技术第一方面,在本技术第一方面第二种可能的实现方式中,方法还包括:
11、认证设备从目标web服务侧获取目标web服务器的证书内容;
12、认证设备基于根证书和目标web服务器的证书内容,处理得到目标web服务器的证书数据。
13、结合本技术第一方面第一种或者第二种可能的实现方式,在本技术第一方面第三种可能的实现方式中,方法还包括:
14、认证设备通过对目标web服务器的预设特征进行哈希处理,并将第一哈希处理结果作为证书数据的标识;
15、认证设备检测是否本地存储有目标web服务器的证书数据,包括:
16、认证设备基于访问请求、第一tcp握手的内容或者第一ssl握手的内容,确定目标web服务器的预设特征,并对目标web服务器的预设特征进行哈希处理,得到第二哈希处理结果;
17、认证设备在本地查找是否存储与携带有与第二哈希处理结果匹配的第一哈希处理结果的标识的对应证书数据,若有,则将携带有与第二哈希处理结果匹配的第一哈希处理结果的标识的对应证书数据,确定为目标web服务器的证书数据。
18、结合本技术第一方面第三种可能的实现方式,在本技术第一方面第四种可能的实现方式中,认证设备基于访问请求、第一tcp握手的内容或者第一ssl握手的内容,确定目标web服务器的预设特征,包括:
19、认证设备在第一ssl握手过程中,从第一认证终端发起的第一个client hello包中解析出server name字段的值,作为目标web服务器的预设特征。
20、结合本技术第一方面,在本技术第一方面第五种可能的实现方式中,第一认证终端具体为网络审计产品对应的客户端设备。
21、结合本技术第一方面,在本技术第一方面第六种可能的实现方式中,在捕获到第一认证终端对于目标web服务器发起的访问请求之后,认证设备与第一认证终端建立第一tcp握手之前,方法还包括:
22、认证设备选择路由器模式或者桥接模式接入网络,开启https认证功能。
23、第二方面,本技术提供了一种https认证告警消除装置,装置应用于认证设备,装置包括:
24、建立单元,用于在捕获到第一认证终端对于目标web服务器发起的访问请求之后,与第一认证终端建立第一tcp握手,其中,认证设备和目标web服务器位于同一网络架构内;
25、检测单元,用于在建立第一tcp握手之后第一认证终端发起针对目标web服务器的第一ssl握手的过程中,检测是否本地存储有目标web服务器的证书数据;
26、完成单元,用于若本地存储有目标web服务器的证书数据,则基于本地存储的目标web服务器的证书数据,与第一认证终端完成第一ssl握手;
27、响应单元,用于待第一认证终端发起ssl get请求时,代替目标web服务器响应认证页面,完成第一认证终端的设备认证。
28、结合本技术第二方面,在本技术第二方面第一种可能的实现方式中,装置还包括存储单元,用于:
29、随捕获到的第二认证终端对于目标web服务器发起的访问请求的触发下,与目标web服务器发起第二tcp握手和第二ssl握手;
30、对第二ssl握手获得的目标web服务器的证书数据进行存储。
31、结合本技术第二方面,在本技术第二方面第二种可能的实现方式中,装置还包括存储单元,用于:
32、从目标web服务侧获取目标web服务器的证书内容;
33、基于根证书和目标web服务器的证书内容,处理得到目标web服务器的证书数据。
34、结合本技术第二方面第一种或者第二种可能的实现方式,在本技术第二方面第三种可能的实现方式中,存储单元,还用于:
35、通过对目标web服务器的预设特征进行哈希处理,并将第一哈希处理结果作为证书数据的标识;
36、检测单元,具体用于:
37、基于访问请求、第一tcp握手的内容或者第一ssl握手的内容,确定目标web服务器的预设特征,并对目标web服务器的预设特征进行哈希处理,得到第二哈希处理结果;
38、在本地查找是否存储与携带有与第二哈希处理结果匹配的第一哈希处理结果的标识的对应证书数据,若有,则将携带有与第二哈希处理结果匹配的第一哈希处理结果的标识的对应证书数据,确定为目标web服务器的证书数据。
39、结合本技术第二方面第三种可能的实现方式,在本技术第二方面第四种可能的实现方式中,检测单元,具体用于:
40、在第一ssl握手过程中,从第一认证终端发起的第一个client hello包中解析出server name字段的值,作为目标web服务器的预设特征。
41、结合本技术第二方面,在本技术第二方面第五种可能的实现方式中,第一认证终端具体为网络审计产品对应的客户端设备。
42、结合本技术第二方面,在本技术第二方面第六种可能的实现方式中,装置还包括配置单元,用于:
43、选择路由器模式或者桥接模式接入网络,开启https认证功能。
44、第三方面,本技术提供了一种认证设备,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本技术第一方面或者本技术第一方面任一种可能的实现方式提供的方法。
45、第四方面,本技术提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本技术第一方面或者本技术第一方面任一种可能的实现方式提供的方法。
46、从以上内容可得出,本技术具有以下的有益效果:
47、针对于https认证告警消除过程中涉及的ssl握手,本技术在认证设备上引入了web服务器的证书预存储机制,从而认证设备在捕获到认证终端对于目标web服务器的访问请求触发基于流量劫持的方式来进行https认证时,可以以事先存储的目标web服务器的证书数据的方式,便捷与对认证终端完成ssl握手,如此简化https认证告警消除过程中涉及的ssl握手环节,从而可以更为便捷且低成本地完成https认证告警消除目标,提高系统性能,获得更佳的用户体验。