【技术实现步骤摘要】
一种国密SSL协议诱探及检测方法、系统和存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种国密SSL协议诱探及检测方法、系统和存储介质。
技术介绍
[0002]国密SSL协议是参照传输层安全协议,按照我国相关密码政策和法规,结合我国实际应用需求及生产厂商的实践经验,在TLS1.1的握手协议中增加了ECC、IBC的认证模式和密钥交换模式,取消了DH密钥交换方式,修改了密码套件的定义的一种协议,其主要由握手协议、密码规格变更协议、报警协议、记录层协议组成,握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。
[0003]国密SSL协议主要应用于端到端之间协商建立SSL安全传输通道,实现数据传输的机密性和完整性保护,基于非对称密钥(公钥数字证书)可实现客户端服务端单向认证和双向认证。国密SSL协议集成于浏览器可实现HTTPS安全传输,验证服务器证书的真实有效性,从而实现对服务器的可信验证。服务器也可利用双向认证实现对访问客户端的有效验证,保证访问客户端的真实可信。国密SSL协议还可用于客户端访问内网中受保护的服务器资源,部署SSLVPN安全网关可实现对内网资源的细粒度访问控制、单点登录应用门户、客户端身份验证、数据加密传输以及完整性保护。
[0004]国密SSL协议支持12种密码套件组合,密码套件主要是由密钥交换算法+对称加密算法+消息鉴别码算法组合而成,对于非 ...
【技术保护点】
【技术特征摘要】
1.一种国密SSL协议诱探及检测方法,其特征在于:所述诱探及检测方法包括:S1、协议诱探步骤:检测端通过诱探得到服务端支持的密码规格,选择与网络应用场景相适合匹配的规格,建立与服务端的SSL连接;S2、合规性检测步骤:检测端完成对服务端的SSL协议诱探后,获取到服务端密码规格能力清单,遍历服务端密码规格能力清单,与检测端的合规性模型逐一适配,完成服务端SSL协议算法合规性检测;S3、正确性检测步骤:获取服务端密码规格能力集合,对能力集合中的每个算法套件分别进行正确性检测,并通过正确性模型对服务端SSL算法套件实现的正确性进行检测判定。2.根据权利要求1所述的一种国密SSL协议诱探及检测方法,其特征在于:所述协议诱探步骤具体包括以下内容:S11、初始化检测端检测环境;S12、通过检测端获取系统密码套件配置清单,并定位在清单首位置;S13、获取清单当前位置的密码套件,初始化套件并重构协议结构体数据,与服务端建立安全通信连接;S14、如果服务端返回连接为确认消息,则检测端关闭安全连接,并将密码套件存入服务端密码规格能力清单中,将配置清单读取位置下移以获取下一个密码套件;S15、如果服务端返回连接为拒绝消息,则检测端关闭安全连接,将配置清单读取位置下移以获取下一个密码套件;S16、重复步骤S13
‑
S15,遍历完配置清单中所有的密码套件,直到清单读取结束;S17、检测端获取了服务端支持的全部密码规格能力,完成了检测端对服务端的协议诱探,此时,保存并持久化服务端密码规格能力清单。3.根据权利要求1所述的一种国密SSL协议诱探及检测方法,其特征在于:所述合规性检测步骤具体包括以下内容:S21、获取诱探得到的持久化存储的服务端密码规格能力集合;S22、获取检测端算法合规性模型;S23、逐一遍历服务端密码规格能力集合;S24、查找检测端合规性模型是否适配当前服务端密码规格;S25、如果适配,则继续执行步骤S23和S24;S26、如果不适配,则异常结束,返回当前不合规服务端密码规格;S27、服务端密码规格遍历完成,正常结束,返回服务端SSL协议套件合规标志。4.根据权利要求1所述的一种国密SSL协议诱探及检测方法,其特征在于:所述正确性检测步骤具体包括以下内容:S31、获取诱探得到的持久化存储的服务端密码规格能力集合;S32、获取检测端正确性模型;S33、逐一遍历服务端密码规格能力集合;S34、初始化当前密码规格协议套件和状态控制器;S35、检测端向服务端发起握手请求,更新状态控制器;S36、等待服务端消息队列可读;S37、消息就绪,提取服务端消息队列;
S38、检测端正确性模型对输入的状态控制器和服务端消息队列进行正确性验证检测;S39、如果正确性检测通过,则更新状态控制器,如果检测结束,则重复步骤S33,如果检测没有结束,则重复步骤S36;S310、如果正确性检测没有通过,则记录并持久化当前正确性检测没有通过的服务端密码规格;S311、重复步骤S33,开始进行下一个服务端密码规格检测;S312、服务端密码规格遍历结束,结束检测。5.一种国密SSL协议诱探及检测系统,其特征在于:它包括主控模块、协议诱探模块、密码规格分析模块、密码规格遍历模块、协议检测模块、合规性模型、特征库和正确性模型;所述主控模块用于对协议诱探模块、密码规格分析模块、密码规格遍历模块、协议检测模块、合规性模型、特征库和正确性模型进行触发控制;所述诱探模块用于发起对远程SSL服务端的协议诱探,且在每次协议诱探后主动关闭...
【专利技术属性】
技术研发人员:杨伟,杨森,王杨,李昆阳,陈万钢,
申请(专利权)人:豪符密码检测技术成都有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。