基于安全套接层协议认证的信息处理方法及装置制造方法及图纸

本申请实施例提供了一种基于安全套接层协议认证的信息处理方法及装置。防火墙设备从用户设备与服务器交互的第一握手报文、第二握手报文和密钥交换报文中，分别获取客户端随机数、服务器随机数、加密算法和加密随机数据。防火墙设备将加密随机数据和加密算法发送给服务器。服务器利用服务器的私钥和加密算法对加密随机数据进行解密处理，得到原始随机数据，将原始随机数据发送给防火墙设备。防火墙设备根据原始随机数据、客户端随机数和服务器随机数，生成用户设备与服务器间通信的加密密钥。应用本申请实施例提供的技术方案，能够实现对SSL协议双向认证的加密数据进行安全检测。

Information Processing Method and Device Based on Secure Socket Layer Protocol Authentication

【技术实现步骤摘要】
基于安全套接层协议认证的信息处理方法及装置
本申请涉及通信
，特别是涉及一种基于安全套接层协议认证的信息处理方法及装置。
技术介绍
随着互联网技术的发展，接入互联网的设备越来越多。为了提高两个设备间通信的安全性，常常采用安全套接层(英文：SecureSocketsLayer，简称：SSL)协议进行认证，建立SSL连接，进而对传输的数据进行加密。SSL协议认证分为单向认证和双向认证。单向认证为用户设备对服务器的认证。双向认证包括用户设备对服务器的认证和服务器对用户设备的认证。对于单向认证，目前可通过将防火墙设备作为“中间人”的方式，实现SSL协议认证。其工作基本原理分为两部分：第一部分为用户设备对防火墙设备的认证，第二部分为防火墙设备对服务器的认证。对于第一部分，用户设备从防火墙设备获取证书，对比获取的证书与用户设备上安装的防火墙证书，若二者匹配，则确定对获取的证书认证成功，防火墙设备合法，从获取的证书获取出通信的公钥，以该公钥对协商数据加密后，传输给防火墙设备，防火墙设备可以利用本身的私钥对加密的协商数据进行解密，防火墙设备可根据解密后得到的协商数据计算得出用户设备侧用于数据加本文档来自技高网...

【技术保护点】
1.一种基于安全套接层协议认证的信息处理方法，其特征在于，应用于防火墙设备，所述方法包括：接收用户设备发送的第一握手报文，将所述第一握手报文向服务器转发，并从所述第一握手报文中获取客户端随机数；接收所述服务器发送的应答所述第一握手报文的第二握手报文，将所述第二握手报文向所述用户设备转发，并从所述第二握手报文中获取服务器随机数和加密算法；接收所述用户设备发送的密钥交换报文，从所述密钥交换报文中获取加密随机数据，所述加密随机数据为所述用户设备利用所述服务器的公钥和所述加密算法对原始随机数据加密后得到的随机数据；将所述加密随机数据和所述加密算法发送给所述服务器，以使所述服务器利用所述服务器的私钥和所...

【技术特征摘要】
1.一种基于安全套接层协议认证的信息处理方法，其特征在于，应用于防火墙设备，所述方法包括：接收用户设备发送的第一握手报文，将所述第一握手报文向服务器转发，并从所述第一握手报文中获取客户端随机数；接收所述服务器发送的应答所述第一握手报文的第二握手报文，将所述第二握手报文向所述用户设备转发，并从所述第二握手报文中获取服务器随机数和加密算法；接收所述用户设备发送的密钥交换报文，从所述密钥交换报文中获取加密随机数据，所述加密随机数据为所述用户设备利用所述服务器的公钥和所述加密算法对原始随机数据加密后得到的随机数据；将所述加密随机数据和所述加密算法发送给所述服务器，以使所述服务器利用所述服务器的私钥和所述加密算法对所述加密随机数据进行解密处理，得到原始随机数据；接收所述服务器发送的所述原始随机数据；根据所述原始随机数据、所述客户端随机数和所述服务器随机数，生成所述用户设备与所述服务器间通信的加密密钥。2.根据权利要求1所述的方法，其特征在于，在生成所述用户设备与所述服务器间通信的加密密钥之后，还包括：接收数据报文，所述数据报文为所述用户设备向所述服务器发送的报文，或所述服务器向所述用户设备发送的报文；利用所述加密密钥和所述加密算法，对所述数据报文携带用户数据进行解密处理，得到原始用户数据；对所述原始用户数据进行安全检测。3.根据权利要求1所述的方法，其特征在于，在从所述第一握手报文中获取客户端随机数之后，还包括：根据所述第一握手报文包括的五元组信息和所述第一握手报文携带的客户端随机数，创建第一会话；所述从所述第二握手报文中获取服务器随机数和加密算法的步骤，包括：若所述第二握手报文包括的五元组信息与所述第一会话包括的五元组信息匹配，则从所述第二握手报文中获取服务器随机数和加密算法；所述从所述密钥交换报文中获取加密随机数据的步骤，包括：若所述密钥交换报文包括的五元组信息与所述第一会话包括的五元组信息匹配，则从所述密钥交换报文中获取加密随机数据。4.根据权利要求3所述的方法，其特征在于，所述根据所述第一握手报文包括的五元组信息和所述第一握手报文携带的客户端随机数，创建会话的步骤，包括：根据所述第一握手报文包括的五元组信息，创建第一会话；在所述第一会话中记录所述第一握手报文携带的客户端随机数，并将所述会话的状态设置为第一握手报文已达状态，所述第一握手报文已达状态用于指示已接收到所述第一握手报文；所述从所述第二握手报文中获取服务器随机数和加密算法的步骤，包括：检测所述第一会话和所述第二握手报文是否满足第一预设条件，所述第一预设条件为所述第一会话的状态为所述第一握手报文已达状态，或所述第一会话的状态为第二握手报文已达状态且所述第二握手报文为重传报文，所述第二握手报文已达状态用于指示已接收到所述第二握手报文；若是，则在所述第一会话中记录所述第二握手报文携带的服务器随机数和加密算法，并将所述第一会话的状态设置为所述第二握手报文已达状态；所述从所述密钥交换报文中获取加密随机数据的步骤，包括：检测所述第一会话和所述密钥交换报文是否满足第二预设条件，所述第二预设条件为所述第一会话的状态为所述第二握手报文已达状态，或所述第一会话的状态为密钥交换报文已达状态且所述密钥交换报文为重传报文，所述密钥交换报文已达状态用于指示已接收到所述密钥交换报文；若是，则从所述密钥交换报文中获取加密随机数据，并将所述第一会话的状态设置为所述密钥交换报文已达状态。5.根据权利要求3或4所述的方法，其特征在于，所述方法还包括：接收告警报文；若所述告警报文的类型为致命类型，则查找与所述告警报文的五元组信息匹配的第二会话；若查找到，则删除所述第二会话，并向所述用户设备和所述服务器发送挥手报文，以使所述用户设备和所述服务器根据所述挥手报文，分别断开所述用户设备和所述服务器间的连接。6.一种基于安全套接层协议认证的信息处理装置，其特征在于，应用于防火墙设备，所述装置包括：第一获取单元，用于接收用户设备发送的第一握手报文，将所述第一握手报文向服务器转发，并从所述第一握手报文中获取客户端随机数；第二获取...

【专利技术属性】
技术研发人员：岳炳词，乔兴华，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34