本申请公开了一种基于HTTPS协议密文数据审计方法,应用于流量审计设备,且该流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。本申请还同时公开了一种基于HTTPS协议密文数据审计系统、流量审计设备及计算机可读存储介质,具有上述有益效果。
【技术实现步骤摘要】
基于HTTPS协议密文数据审计方法、系统及相关装置
本申请涉及云服务部署
,特别涉及一种基于HTTPS协议密文数据审计方法、系统、流量审计设备及计算机可读存储介质。
技术介绍
为满足不断提高的网络数据传输安全性要求,在原有HTTP协议(HyperTextTransferProtocol,超文本传输协议)基础上增加SSL(SecureSocketsLayer,安全套接层)加密方式得到的HTTPS协议开始被广泛应用。当某客户端试图访问一个使用了HTTPS协议加密的目标网站时,首先需要与其建立正常的SSL连接,以获取由权威认证机构为目标网站颁发的证书,并利用根证书认证该证书的合法性,认证通过后还需要确定两者采用的加密算法,以使用该加密算法对待传输的明文数据进行加密后实现以密文的形式进行数据传输。区别于基于HTTP协议时传输的明文数据,在使用HTTPS协议传输的是安全性更高的密文数据,因此在对密文数据进行审计时,就还需要能够对其进行解密,才能够对解密后得到的明文数据进行审计。现有技术大多通过架设在内网客户端与目标网站所属服务器中间的HTTPS代理实现,且由于HTTPS协议的特殊性,还通常需要为每台HTTPS代理申请一个数字证书,已解决没有真实证书导致无法与内网客户端建立正常SSL连接的问题。但是此种实现方式需要HTTPS代理作为内网客户端与目标网站所属服务器间的一个中间人,即中间传输的所有密文数据都必须经过该HTTPS代理实现审计,相当于在原有链路中增加了一个容易产生单点故障(一旦故障将导致全局故障)的节点,增加了网络出现全局故障的潜在概率。因此,如何克服现有审计密文数据机制存在的各项技术缺陷,提供一种不额外增加单点故障节点数量也能够实现对密文数据进行审计的方法是本领域技术人员亟待解决的问题。
技术实现思路
本申请的目的是提供一种基于HTTPS协议密文数据审计方法,应用于设置在内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。本申请的另一目的在于提供了一种基于HTTPS协议密文数据审计系统、流量审计设备及计算机可读存储介质。为实现上述目的,本申请提供一种基于HTTPS协议密文数据审计方法,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,该方法包括:接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据按预设审计规则进行审计。可选的,接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥,包括:接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。可选的,在接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥之前,还包括:判断所述内网客户端是否安装有所述密钥插件;若否,则利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。可选的,在对所述镜像明文数据按预设审计规则进行审计之后,还包括:根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;保存并上传所述违规流量报告。为实现上述目的,本申请还提供了一种基于HTTPS协议密文数据审计系统,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,该系统包括:镜像密文数据接收单元,用于接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;密钥接收单元,用于接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;解密后数据审计单元,用于利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据进行审计。可选的,所述密钥接收单元包括:密钥插件发送信息接收子单元,用于接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。可选的,该基于HTTPS协议密文数据审计系统还包括:插件安装判断单元,用于判断所述内网客户端是否安装有所述密钥插件;页面重定向安装下载单元,用于当所述内网客户端未安装有所述密钥插件时,利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。可选的,该基于HTTPS协议密文数据审计系统还包括:违规流量报告生成单元,用于根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;报告保存及上传单元,用于保存并上传所述违规流量报告。为实现上述目的,本申请还提供了一种流量审计设备,所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,该流量审计设备包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述内容所描述的基于HTTPS协议密文数据审计方法的步骤。为实现上述目的,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述内容所描述的基于HTTPS协议密文数据审计方法的步骤。显然,本申请所提供的基于HTTPS协议密文数据审计方法,应用于设置在内网客户端与目标网站所属服务器形成的链路的旁路上的流量审计设备,即该流量审计设备采用旁路部署的方式设置在平行且并联于直通链路的旁路上,密文数据由链路上一定存在的交换机对原始密文数据镜像并发送得到,再获取保存于内网客户端中用于解密密文数据的密钥即可在不增加单点故障节点的基础上实现对镜像密文数据的解密和审计,全局故障发生潜在概率更低,由于不需要证书,不仅节省了成本,还避免了因证书错误引发的一系列浏览体验问题。本申请同时还提供了一种基于HTTPS协议密文数据审计系统、流量审计设备及计算机可读存储介质,具有上述有益效果,在此不再赘述。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本申请实施例提供的一种基于HTTPS协议密文数据审计方法的流程图;图2为本申请实施例提供的另一种基于HTTPS协议密文数据审计方法的流程图;图3为本申请实施例提供的一种基于HTTPS协议密文数据审计系统的结构框图;图4为本申请实施例提供的一种利用流量审计设备实现对密文数据进行审计的逻辑示意图。具体实施方式本申请的核心是提供一本文档来自技高网...
【技术保护点】
1.一种基于HTTPS协议密文数据审计方法,其特征在于,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,所述方法包括:接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据按预设审计规则进行审计。
【技术特征摘要】
1.一种基于HTTPS协议密文数据审计方法,其特征在于,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,所述方法包括:接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所述密文数据为内网客户端与目标网站所属服务器间基于HTTPS协议进行数据传输时的数据;接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥;利用所述密钥解密所述镜像密文数据,得到镜像明文数据,对所述镜像明文数据按预设审计规则进行审计。2.根据权利要求1所述方法,其特征在于,接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥,包括:接收密钥插件从所述内网客户端的密钥存储路径下获取并发送的密钥;其中,所述密钥插件预先安装于所述内网客户端中。3.根据权利要求2所述方法,其特征在于,在接收从所述内网客户端中获取到的用于解密所述镜像密文数据的密钥之前,还包括:判断所述内网客户端是否安装有所述密钥插件;若否,则利用页面重定向技术将所述内网客户端发送的HTTP请求重定向至包含所述密钥插件的安装下载页面。4.根据权利要求1至3任一项所述方法,其特征在于,在对所述镜像明文数据按预设审计规则进行审计之后,还包括:根据所述镜像明文数据中所有未通过所述预设审计规则的明文数据生成相应的违规流量报告;保存并上传所述违规流量报告。5.一种基于HTTPS协议密文数据审计系统,其特征在于,应用于流量审计设备,且所述流量审计设备设置于内网客户端与目标网站所属服务器形成的链路的旁路上,所述系统包括:镜像密文数据接收单元,用于接收交换机对密文数据执行镜像操作后发送的镜像密文数据;其中,所...
【专利技术属性】
技术研发人员:杨学斌,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。