一种中间人攻击的检测方法和装置制造方法及图纸

技术编号:15727030 阅读:67 留言:0更新日期:2017-06-29 23:12
本发明专利技术公开了一种中间人攻击的检测方法,包括:当需要对第一安全套接层(SSL)业务进行中间人攻击检测时,获取所述第一SSL业务的第一加密特征以及预设的第二SSL业务的第二加密特征;判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,满足时,判定所述第一SSL业务被中间人攻击。本发明专利技术还同时公开了一种中间人攻击的检测装置。

【技术实现步骤摘要】
一种中间人攻击的检测方法和装置
本专利技术涉及网络安全技术,尤其涉及一种中间人攻击的检测方法和装置。
技术介绍
中间人攻击(MITM,Man-in-the-middleattack)是指攻击者与通讯的两端分别创建独立的联系,并交换所接收到的数据,使通讯的两端认为各自正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。此外,在中间人攻击过程中,攻击者可以拦截通讯双方的通话并插入新的内容。图1为MITM的示意图,攻击者通过会话劫持的手段,使自己处于客户端和服务器的中间人位置,以便获取客户端和服务器之间在正常通信时的交互报文,即窃听数据。安全套接层(SSL,SecureSocketLayer)协议是互联网中最为常用的安全协议之一,它能够利用证书验证服务器的身份,并对客户端和服务器之间的交互信息进行加密,防止被攻击者窃听。简言之,SSL协议的目的在于通过网络的一个不安全通道为两个应用程序之间创建起安全的连接,用以交换数据,防止数据受到窃听及篡改。SSL协议的优势在于它是与应用层协议独立无关的,图2为SSL协议、传输控制协议(TCP,TransferControlProtocol)、应用层协议三者之间的关系示意图,超文本传输协议(HTTP,HyperTextTransferProtocol)、简单邮件传输协议(SMTP,SimpleMailTransferProtocol)、邮局协议的第3个版本(POP3,PostOfficeProtocol-Version3)、互联网邮件访问协议(IMAP,InternetMessageAccessProtocol)、文本传输协议(FTP,FileTransferProtocol)等应用层协议可以透明的创建于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证等工作,并对在此之后应用层协议所传送的数据进行加密。SSL协议不仅保证了通信的私密性和可靠性,而且部署简单,对网络的负担也较小,因此在网页浏览、电子邮件、网上银行等应用中获得了广泛地使用。然而,中间人攻击是造成SSL业务不安全的一种最常见的且危害指数最高的技术。但是,随着用户网络安全意识的提高,政府和企业等组织也加强了对网络安全的资源投入。例如,许多应用服务器都提供了多种SSL业务,如Web服务器、邮件服务器、FTP服务器等都提供了SSL加密方式来承载业务。现有的对中间人攻击的检测的主要现状如下:一方面,目前企业界主要关心安全套接层超文本传输协议(HTTPS,HTTPoverSSL)的安全性,而对HTTPS的判断方法主要依赖浏览器的安全检测机制。通常,证书信任链由根证书、中间证书、子证书组成;根证书是数字证书认证机构(CA,CertificateAuthority)签发的证书,是证书信任链的起始点;中间证书是通过根证书签发的;子证书是通过中间证书/根证书签发的。而浏览器中间人检测技术主要是检测Web服务器的证书信任链中的各种信息,如检测颁发的证书是否在有效期内、服务器域名与证书中的域名是否一致等;并且,某些浏览器为了加强中间人攻击的检测,引入了严格传输安全超文本传输协议(HSTS,HTTPStrictTransportSecurity)等技术,在一定程度上加强了对中间人攻击的检测。但是,如果证书信任链中被导入了攻击者证书,就会绕过HSTS检测。另一方面,虽然安全套接层简单邮件传输协议(SMTPS,SMTPoverSSL)、安全套接层邮局协议的第3个版本(POP3S,POP3overSSL)、安全套接层互联网邮件访问协议(IMAPS,IMAPoverSSL)、安全套接层文本传输协议(FTPS,FTPoverSSL)等协议使用比较频繁,但是与这些协议相关的中间人攻击的检测技术比较少,且相关安全检测方法还不如HTTPS业务的安全检测方法。因此,如果关心HTTPS业务,就需要寻找HTTPS协议的特点;如果关心SMTPS业务,就需要寻找SMTPS协议的特点,即对于不同的SSL业务,需要分别根据各自的特点进行中间人攻击的检测。此外,对HTTPS业务的中间人攻击的检测方法不一定适用于SMTPS等业务,因为HTTPS业务的安全性虽然高,但是并没有提升SMTPS业务的安全性。如果攻击者通过HTTPS方式无法进行中间人攻击,但是由于SMTPS、IMAPS等方式的中间人攻击的检测技术比较弱,则攻击者可以通过SMTPS、IMAPS等方式进行中间人攻击,从而导致SSL加密数据的泄露,无法彻底解决所有SSL加密业务不被中间人攻击。
技术实现思路
有鉴于此,本专利技术实施例提供了一种中间人攻击的检测方法和装置,能够快速检测出被中间人攻击的SSL业务。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种中间人攻击的检测方法,所述方法包括:当需要对第一SSL业务进行中间人攻击检测时,获取所述第一SSL业务的第一加密特征以及预设的第二SSL业务的第二加密特征;判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,满足时,判定所述第一SSL业务被中间人攻击。上述方案中,所述第一加密特征包括第一证书信任链,所述第二加密特征包括第二证书信任链;所述判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,包括:判断所述第一证书信任链和所述第二证书信任链之间是否包括以下三种情形至少之一:第一证书信任链的第一根证书与第二证书信任链的第二根证书不相同、第一证书信任链的第一中间证书与第二证书信任链的第二中间证书不相同、第一证书信任链的第一子证书与第二证书信任链的第二子证书不相同;包括上述情形至少之一时,判定所述第一加密特征和所述第二加密特征之间满足设定的被中间人攻击的条件。上述方案中,所述第一证书信任链的第一根证书与第二证书信任链的第二根证书不相同,包括:所述第一根证书的第一颁发者信息与所述第二根证书的第二颁发者信息不相同;和/或,所述第一根证书的第一主题信息与所述第二根证书的第二主题信息不相同;所述第一证书信任链的第一中间证书与第二证书信任链的第二中间证书不相同,包括:所述第一中间证书的第三颁发者信息与所述第二中间证书的第四颁发者信息不相同;和/或,所述第一中间证书的第三主题信息与所述第二中间证书的第四主题信息不相同;所述第一证书信任链的第一子证书与第二证书信任链的第二子证书不相同,包括:所述第一子证书的第五颁发者信息与所述第二子证书的第六颁发者信息不相同;和/或,所述第一子证书的第五主题信息与所述第二子证书的第六主题信息不相同;所述第五颁发者信息、第六颁发者信息、第五主题信息、第六主题信息不包括服务器域名信息和邮箱地址信息。上述方案中,所述判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,还包括:当所述第一证书信任链未包含所述第一中间证书、和/或所述第二证书信任链未包含所述第二中间证书时,若所述第一根证书与所述第二根证书相同、且所述第一子证书与所述第二子证书相同,判定所述第一加密特征和所述第二加密特征之间不满足设定的被中间人攻击的条件。上述方案中,所述第一证书信任链的第一根证书与第二证书信任链的第二根证书不相同,还包括:本文档来自技高网
...
一种中间人攻击的检测方法和装置

【技术保护点】
一种中间人攻击的检测方法,其特征在于,所述方法包括:当需要对第一安全套接层SSL业务进行中间人攻击检测时,获取所述第一SSL业务的第一加密特征以及预设的第二SSL业务的第二加密特征;判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,满足时,判定所述第一SSL业务被中间人攻击。

【技术特征摘要】
1.一种中间人攻击的检测方法,其特征在于,所述方法包括:当需要对第一安全套接层SSL业务进行中间人攻击检测时,获取所述第一SSL业务的第一加密特征以及预设的第二SSL业务的第二加密特征;判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,满足时,判定所述第一SSL业务被中间人攻击。2.根据权利要求1所述的方法,其特征在于,所述第一加密特征包括第一证书信任链,所述第二加密特征包括第二证书信任链;所述判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,包括:判断所述第一证书信任链和所述第二证书信任链之间是否包括以下三种情形至少之一:第一证书信任链的第一根证书与第二证书信任链的第二根证书不相同、第一证书信任链的第一中间证书与第二证书信任链的第二中间证书不相同、第一证书信任链的第一子证书与第二证书信任链的第二子证书不相同;包括上述情形至少之一时,判定所述第一加密特征和所述第二加密特征之间满足设定的被中间人攻击的条件。3.根据权利要求2所述的方法,其特征在于,所述第一证书信任链的第一根证书与第二证书信任链的第二根证书不相同,包括:所述第一根证书的第一颁发者信息与所述第二根证书的第二颁发者信息不相同;和/或,所述第一根证书的第一主题信息与所述第二根证书的第二主题信息不相同;所述第一证书信任链的第一中间证书与第二证书信任链的第二中间证书不相同,包括:所述第一中间证书的第三颁发者信息与所述第二中间证书的第四颁发者信息不相同;和/或,所述第一中间证书的第三主题信息与所述第二中间证书的第四主题信息不相同;所述第一证书信任链的第一子证书与第二证书信任链的第二子证书不相同,包括:所述第一子证书的第五颁发者信息与所述第二子证书的第六颁发者信息不相同;和/或,所述第一子证书的第五主题信息与所述第二子证书的第六主题信息不相同;所述第五颁发者信息、第六颁发者信息、第五主题信息、第六主题信息不包括服务器域名信息和邮箱地址信息。4.根据权利要求2所述的方法,其特征在于,所述判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,还包括:当所述第一证书信任链未包含所述第一中间证书、和/或所述第二证书信任链未包含所述第二中间证书时,若所述第一根证书与所述第二根证书相同、且所述第一子证书与所述第二子证书相同,判定所述第一加密特征和所述第二加密特征之间不满足设定的被中间人攻击的条件。5.根据权利要求3所述的方法,其特征在于,所述第一证书信任链的第一根证书与第二证书信任链的第二根证书不相同,还包括:所述第一中间证书的第一颁发者信息与所述第二根证书的第二主题信息不相同;或,所述第二中间证书的第四颁发者信息与所述第一根证书的第一主题信息不相同。6.根据权利要求1所述的方法,其特征在于,所述第一加密特征包括第一证书信任链,所述第二加密特征包括第二证书信任链;所述判断所述第一加密特征和所述第二加密特征之间是否满足设定的被中间人攻击的条件,包括:确定所述第一证书信任链包含自签名证书、且所述第二证书信任链未包含自签名证书时,判定所述第一加密特征...

【专利技术属性】
技术研发人员:张磊
申请(专利权)人:北京网康科技有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1