基于openSSL改造的拟态括号密文代理方法及系统技术方案

本发明专利技术属于网络安全技术领域，特别涉及一种基于openSSL改造的拟态括号密文代理方法及系统，针对客户端的网络请求，业务代理在网络请求的协议字段中添加用于确保用户端和业务代理之间、及业务代理与在线执行体之间握手参数一致的会话协商标识；业务代理利用加密算法对网络请求相关数据进行加密，并发送至至少三个在线执行体；每个在线执行体分别对网络请求相关数据进行解析并获取加密相关参数，并利用获取的相关参数对网络请求相关数据进加密处理，将处理后的数据反馈给业务代理；业务代理针对每个在线执行体反馈的响应进行裁决，并依据裁决结果确认最终发送给用户端的响应数据。本发明专利技术利用拟态防御中的输入代理和多模表决器来网络安全，便于实际应用。便于实际应用。便于实际应用。

【技术实现步骤摘要】
基于openSSL改造的拟态括号密文代理方法及系统


[0001]本专利技术属于网络安全
，特别涉及一种基于openSSL改造的拟态括号密文代理方法及系统。

技术介绍

[0002]当前是一个网络化、信息化、数字化的时代，网络信息作为战略物资起着举足轻重的作用,网络空间已经成为继我国领土、领空、领海之后第四大空间，网络空间安全也成为各国国家安全的重要组成部分。为了减少开发的工作量，往往选择很多基础组件，例如加密使用的openSSL库、日志使用的log4j，这些基础组件一旦出现致命性的漏洞，将会面临的是毁灭性的网络安全事件，有可能导致重大的经济损失和国家安全的损害。

技术实现思路

[0003]本专利技术提供一种基于openSSL改造的拟态括号密文代理方法及系统，利用拟态防御中的拟态括号来作为面向用户输入分发和输出裁决的关键组件，通过输入代理和多模表决器来保证基础组件使用过程中的网络安全。
[0004]按照本专利技术所提供的设计方案，提供一种基于openSSL改造的拟态括号密文代理方法，包含如下内容：
[0005]步骤1、针对客户端的网络请求，业务代理在网络请求的协议字段中添加用于确保用户端和业务代理之间、及业务代理与各在线执行体之间握手参数一致的会话协商标识，其中，会话协商标识至少包含：数据传输编码标记；
[0006]步骤2、业务代理利用加密算法对网络请求相关数据进行加密，并发送至至少三个在线执行体；
[0007]步骤3、每个在线执行体分别对网络请求相关数据进行解析并获取加密相关参数，并利用获取的相关参数对网络请求相关数据进加密处理，将处理后的数据反馈给业务代理；
[0008]步骤4、业务代理针对每个在线执行体反馈的响应进行裁决，并依据裁决结果确认最终发送给用户端的响应数据。
[0009]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，在步骤1执行前，还执行如下步骤：针对用户端握手请求，业务代理解析并筛选握手信息，将握手信息进行加密并发送至在线执行体，在线执行体为业务代理从异构执行体池中选取的异构执行体；在线执行体并使用私钥对握手信息进行解密协商。
[0010]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，针对客户端网络请求，筛选出网络请求中握手协议信息，并在握手协议字段中添加握手标识。
[0011]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，业务代理使用非对称加密算法对网络请求相关数据进行加密；执行体依据解析获取的传输编码标识对网络请求相关数据进行加密流程处理。
[0012]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，异构冗余执行体池中存放有N个执行体，该N个执行体由不同处理器和/或不同操作系统和/或不同执行算法构成并实现相同功能，其中，N为大于3的整数。
[0013]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，每个在线执行体对网络协议请求数据解析加密处理中，首先通过私钥对网络请求相关数据进行解析，提取其中的网络响应数据，并对网络响应数据进行分割，然后，对响应数据中报文的头字段进行明文发送，将响应数据中报文的数据字段依据传输编码标识进行加密处理。
[0014]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，在线执行体对挽留过协议请求数据进行解析中，首先将解析出数据中的传输编码标识并提取，然后，将提取的传输编码标识赋值到每个在线执行体对应的结构体内进行缓存。
[0015]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，在线执行体依据传输编码标识对数据字段进行加密处理中，若为content_length传输编码格式，则修改HTTP头部字段content_length的值，若为chunked分块传输编码格式下，则对密文进行chunked标记值tag的添加和/或删除。
[0016]作为本专利技术基于openSSL改造的拟态括号密文代理方法，进一步地，业务代理选用少数服从多数的多数裁决原则对在线执行体反馈的响应进行裁决。
[0017]进一步地，本专利技术还提供一种基于openSSL改造的拟态括号密文代理系统，用于用户端和数据端的数据交互中的转发代理，包含：用于交互数据转发的业务代理单元，和与业务代理单元连接用于业务代理单元选取在线执行体的异构冗余执行体池，以实现利用在线执行体对交互数据进行拟态安全防护，其中，业务代理单元包含：用于接收用户端请求并将请求相关数据分发至在线执行体的报文收发模块，用于修改握手协议字段以确保用户端和业务代理之间、及业务代理与各在线执行体之间加密相关参数一致的握手协议处理模块，用于在网络请求字段中添加握手标识以确保用户端与业务代理之间、及业务代理与各在线执行体之间握手参数一致的标识处理模块，及用于keepalive机制下缓存加密相关参数及握手参数以确保用户端、业务代理及在线执行体中一方断开时通信链路正常工作的长连接处理模块。
[0018]本专利技术的有益效果：
[0019]本专利技术针对开发过程中基础组件可能存在的漏洞，在数据交互中，将拟态括号引入业务代理单元，将拟态防御架构中的输入代理和多模表决器作为面向用户的输入分发和输出裁决的关键组件，通过对OpenSSl库进行改造，保证拟态括号基于密文的裁决，利用密文代理执行用户端和服务器端业务代理服务，在密文代理中通过异构执行体来检测数据交互中基础组件的状态异常，提高网络数据的安全性，具有较好的应用前景。
附图说明：
[0020]图1为实施例中网络模型示意；
[0021]图2为实施例中密文代理流程示意之一；
[0022]图3为实施例中密文代理流程示意之二；
[0023]图4为实施例中密文代理系统原理框图示意；
[0024]图5为实施例中数据交互过程中的会话流程示意之一；
[0025]图6为实施例中数据交互过程中的会话流程示意之二。
具体实施方式：
[0026]为使本专利技术的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本专利技术作进一步详细的说明。
[0027]参见图1所示的网络模型主要包括：IP协议层、TCP协议层、SSL记录协议层及网络数据段处理的应用层。传输数据时，传输端将数据段分成数据包，再把每一个数据包分成帧塞到TCP协议层中的数据帧中传输给对面；对面将数据帧组合成数据包，解析呈数据段供上层使用；其中，IP协议能够保证数据帧可以从源主机传输到目标主机。因各网络基础组件开发过程中可能存在未知漏洞等，对网络传输中的数据造成安全隐患。为此，本专利技术实施例，参见图2所示，提供一种基于openSSL改造的拟态括号密文代理方法，包含如下内容：
[0028]步骤1、针对客户端的网络请求，业务代理在网络请求的协议字段中添加用于确保用户端和业务代理之间、及业务代理与各在线执行体之间握手参数一致的会话协商标识，其中，会话协商标识至少包含：数据传输编码标记；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于openSSL改造的拟态括号密文代理方法，其特征在于，包含如下内容：步骤1、针对客户端的网络请求，业务代理在网络请求的协议字段中添加用于确保用户端和业务代理之间、及业务代理与各在线执行体之间握手参数一致的会话协商标识，其中，会话协商标识至少包含：数据传输编码标记；步骤2、业务代理利用加密算法对网络请求相关数据进行加密，并发送至至少三个在线执行体；步骤3、每个在线执行体分别对网络请求相关数据进行解析并获取加密相关参数，并利用获取的相关参数对网络请求相关数据进加密处理，将处理后的数据反馈给业务代理；步骤4、业务代理针对每个在线执行体反馈的响应进行裁决，并依据裁决结果确认最终发送给用户端的响应数据。2.根据权利要求1所述的基于openSSL改造的拟态括号密文代理方法，其特征在于，在步骤1执行前，还执行如下步骤：针对用户端握手请求，业务代理解析并筛选握手信息，将握手信息进行加密并发送至在线执行体，在线执行体为业务代理从异构执行体池中选取的异构执行体；在线执行体并使用私钥对握手信息进行解密协商。3.根据权利要求1所述的基于openSSL改造的拟态括号密文代理方法，其特征在于，针对客户端网络请求，筛选出网络请求中握手协议信息，并在握手协议字段中添加握手标识。4.根据权利要求1所述的基于openSSL改造的拟态括号密文代理方法，其特征在于，业务代理使用非对称加密算法对网络请求相关数据进行加密；执行体依据解析获取的传输编码标识对网络请求相关数据进行加密流程处理。5.根据权利要求1或2或3或4所述的基于openSSL改造的拟态括号密文代理方法，其特征在于，异构冗余执行体池中存放有N个执行体，该N个执行体由不同处理器和/或不同操作系统和/或不同执行算法构成并实现相同功能，其中，N为大于3的整数。6.根据权利要求1所述的基于openSSL改造的拟态括号密文代理方法，其特征在于，每个在线执行体对网络协议请求数据解析加密处理中，首先通...

【专利技术属性】
技术研发人员：程国振，刘文彦，刘付哲，周大成，范学云，何威振，王亚文，商珂，冯志峰，郭义伟，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：