一种国密SSL协议诱探及检测方法、系统和存储介质技术方案

本发明专利技术涉及一种国密SSL协议诱探及检测方法、系统和存储介质，属于网络安全技术领域，包括：检测端通过诱探得到服务端支持的密码规格，选择与网络应用场景相适合匹配的规格，建立与服务端的SSL连接；检测端完成对服务端的SSL协议诱探后，获取到服务端密码规格能力清单，遍历服务端密码规格能力清单，与检测端的合规性模型逐一适配；获取服务端密码规格能力集合，对能力集合中的每个算法套件分别进行正确性检测，并通过正确性模型对服务端SSL算法套件实现的正确性进行检测判定。本发明专利技术实现了对网络服务端国密SSL协议的诱探以及合规性正确性检测，依据检测结果可以对网络服务端国密SSL协议实现3个方面进行判定。SSL协议实现3个方面进行判定。SSL协议实现3个方面进行判定。

【技术实现步骤摘要】
一种国密SSL协议诱探及检测方法、系统和存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种国密SSL协议诱探及检测方法、系统和存储介质。

技术介绍

[0002]国密SSL协议是参照传输层安全协议,按照我国相关密码政策和法规，结合我国实际应用需求及生产厂商的实践经验，在TLS1.1的握手协议中增加了ECC、IBC的认证模式和密钥交换模式，取消了DH密钥交换方式，修改了密码套件的定义的一种协议，其主要由握手协议、密码规格变更协议、报警协议、记录层协议组成，握手协议用于身份鉴别和安全参数协商；密码规格变更协议用于通知安全参数的变更；报警协议用于关闭通知和对错误进行报警；记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。
[0003]国密SSL协议主要应用于端到端之间协商建立SSL安全传输通道，实现数据传输的机密性和完整性保护，基于非对称密钥（公钥数字证书）可实现客户端服务端单向认证和双向认证。国密SSL协议集成于浏览器可实现HTTPS安全传输，验证服务器证书的真实有效性，从而实现对服务器的可信验证。服务器也可利用双向认证实现对访问客户端的有效验证，保证访问客户端的真实可信。国密SSL协议还可用于客户端访问内网中受保护的服务器资源，部署SSLVPN安全网关可实现对内网资源的细粒度访问控制、单点登录应用门户、客户端身份验证、数据加密传输以及完整性保护。
[0004]国密SSL协议支持12种密码套件组合,密码套件主要是由密钥交换算法+对称加密算法+消息鉴别码算法组合而成，对于非约定的客户端与服务端场景下，客户端不知道服务器支持的SSL协议套件组合，客户端发起的不适合的握手消息将会收到来自服务端的警告消息，此种情况下服务端将关闭连接，SSL握手无法继续。而且由于国密SSL协议的非明文特性，客户端与服务端握手一旦完成，将采用双方协商好的安全参数进行加密传输，TCP层IP层作为承载协议层将透明转发SSL协议的记录层加密数据包，即使是通过网络抓包工具截取到SSL协议各协议层数据，由于数据是加密的，不可读，协议细节无法真实还原，要判断服务端SSL协议的合规性和正确性，必须完全还原协议细节，但是目前却没有检测国密SSL协议合规性和正确性的方法。

技术实现思路

[0005]本专利技术的目的在于克服现有技术的缺点，提供了一种国密SSL协议诱探及检测方法、系统和存储介质，解决了目前对服务端SSL协议算法套件支持的未知性和不确定性，对服务端国密SSL协议进行合规性、正确性和有效性快速检测的问题。
[0006]本专利技术的目的通过以下技术方案来实现：一种国密SSL协议诱探及检测方法，所述诱探及检测方法包括：S1、协议诱探步骤：检测端通过诱探得到服务端支持的密码规格，选择与网络应用场景相适合匹配的规格，建立与服务端的SSL连接；
S2、合规性检测步骤：检测端完成对服务端的SSL协议诱探后，获取到服务端密码规格能力清单，遍历服务端密码规格能力清单，与检测端的合规性模型逐一适配，完成服务端SSL协议算法合规性检测；S3、正确性检测步骤：获取服务端密码规格能力集合，对能力集合中的每个算法套件分别进行正确性检测，并通过正确性模型对服务端SSL算法套件实现的正确性进行检测判定。
[0007]所述协议诱探步骤具体包括以下内容：S11、初始化检测端检测环境；S12、通过检测端获取系统密码套件配置清单，并定位在清单首位置；S13、获取清单当前位置的密码套件，初始化套件并重构协议结构体数据，与服务端建立安全通信连接；S14、如果服务端返回连接为确认消息，则检测端关闭安全连接，并将密码套件存入服务端密码规格能力清单中，将配置清单读取位置下移以获取下一个密码套件；S15、如果服务端返回连接为拒绝消息，则检测端关闭安全连接，将配置清单读取位置下移以获取下一个密码套件；S16、重复步骤S13
‑
S15，遍历完配置清单中所有的密码套件，直到清单读取结束；S17、检测端获取了服务端支持的全部密码规格能力，完成了检测端对服务端的协议诱探，此时，保存并持久化服务端密码规格能力清单。
[0008]所述合规性检测步骤具体包括以下内容：S21、获取诱探得到的持久化存储的服务端密码规格能力集合；S22、获取检测端算法合规性模型；S23、逐一遍历服务端密码规格能力集合；S24、查找检测端合规性模型是否适配当前服务端密码规格；S25、如果适配，则继续执行步骤S23和S24；S26、如果不适配，则异常结束，返回当前不合规服务端密码规格；S27、服务端密码规格遍历完成，正常结束，返回服务端SSL协议套件合规标志。
[0009]所述正确性检测步骤具体包括以下内容：S31、获取诱探得到的持久化存储的服务端密码规格能力集合；S32、获取检测端正确性模型；S33、逐一遍历服务端密码规格能力集合；S34、初始化当前密码规格协议套件和状态控制器；S35、检测端向服务端发起握手请求，更新状态控制器；S36、等待服务端消息队列可读；S37、消息就绪，提取服务端消息队列；S38、检测端正确性模型对输入的状态控制器和服务端消息队列进行正确性验证检测；S39、如果正确性检测通过，则更新状态控制器，如果检测结束，则重复步骤S33，如果检测没有结束，则重复步骤S36；S310、如果正确性检测没有通过，则记录并持久化当前正确性检测没有通过的服
务端密码规格；S311、重复步骤S33，开始进行下一个服务端密码规格检测；S312、服务端密码规格遍历结束，结束检测。
[0010]一种国密SSL协议诱探及检测系统，它包括主控模块、协议诱探模块、密码规格分析模块、密码规格遍历模块、协议检测模块、合规性模型、特征库和正确性模型；所述主控模块用于对协议诱探模块、密码规格分析模块、密码规格遍历模块、协议检测模块、合规性模型、特征库和正确性模型进行触发控制；所述诱探模块用于发起对远程SSL服务端的协议诱探，且在每次协议诱探后主动关闭与服务端的网络连接，并将诱探得到的特征数据传递给所述密码规格分析模块进行处理；所述密码规格分析模块用于对诱探得到的特征数据进行特征提取、特征分析、特征识别和处理，得到服务端密码规格能力集合；所述密码规格遍历模块用于对诱探得到的服务端密码规格能力集合进行遍历，每遍历得到一个密码规格就创建一个新的进程，实现与SSL服务端的异步通信，同时对创建的进程进行调度和管理，驱动进程对应密码规格类型与服务端建立SSL握手协议；所述协议检测模块用于实现SSL协议集中的握手协议、密码规格变更协议、记录层协议和告警协议检测；所述合规性模型用于根据所述密码规格分析模块得到的服务端密码规格能力集合，逐一遍历服务端密码规格能力集合进行合规性检测；所述特征库用于存储所述密码规格分析模块得到的特征数据；所述正确性模型用于根据所述密码规格分析模块得到的服务端密码规格能力集合，逐一遍历服务端密码规格能力集合进行正确性检测。
[0011]还包括告警处理模块、标识库、日志分析模块和规则库；所述告警处理模块用于解析SSL服务端发送过来的类型为Alert的告本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种国密SSL协议诱探及检测方法，其特征在于：所述诱探及检测方法包括：S1、协议诱探步骤：检测端通过诱探得到服务端支持的密码规格，选择与网络应用场景相适合匹配的规格，建立与服务端的SSL连接；S2、合规性检测步骤：检测端完成对服务端的SSL协议诱探后，获取到服务端密码规格能力清单，遍历服务端密码规格能力清单，与检测端的合规性模型逐一适配，完成服务端SSL协议算法合规性检测；S3、正确性检测步骤：获取服务端密码规格能力集合，对能力集合中的每个算法套件分别进行正确性检测，并通过正确性模型对服务端SSL算法套件实现的正确性进行检测判定。2.根据权利要求1所述的一种国密SSL协议诱探及检测方法，其特征在于：所述协议诱探步骤具体包括以下内容：S11、初始化检测端检测环境；S12、通过检测端获取系统密码套件配置清单，并定位在清单首位置；S13、获取清单当前位置的密码套件，初始化套件并重构协议结构体数据，与服务端建立安全通信连接；S14、如果服务端返回连接为确认消息，则检测端关闭安全连接，并将密码套件存入服务端密码规格能力清单中，将配置清单读取位置下移以获取下一个密码套件；S15、如果服务端返回连接为拒绝消息，则检测端关闭安全连接，将配置清单读取位置下移以获取下一个密码套件；S16、重复步骤S13
‑
S15，遍历完配置清单中所有的密码套件，直到清单读取结束；S17、检测端获取了服务端支持的全部密码规格能力，完成了检测端对服务端的协议诱探，此时，保存并持久化服务端密码规格能力清单。3.根据权利要求1所述的一种国密SSL协议诱探及检测方法，其特征在于：所述合规性检测步骤具体包括以下内容：S21、获取诱探得到的持久化存储的服务端密码规格能力集合；S22、获取检测端算法合规性模型；S23、逐一遍历服务端密码规格能力集合；S24、查找检测端合规性模型是否适配当前服务端密码规格；S25、如果适配，则继续执行步骤S23和S24；S26、如果不适配，则异常结束，返回当前不合规服务端密码规格；S27、服务端密码规格遍历完成，正常结束，返回服务端SSL协议套件合规标志。4.根据权利要求1所述的一种国密SSL协议诱探及检测方法，其特征在于：所述正确性检测步骤具体包括以下内容：S31、获取诱探得到的持久化存储的服务端密码规格能力集合；S32、获取检测端正确性模型；S33、逐一遍历服务端密码规格能力集合；S34、初始化当前密码规格协议套件和状态控制器；S35、检测端向服务端发起握手请求，更新状态控制器；S36、等待服务端消息队列可读；S37、消息就绪，提取服务端消息队列；
S38、检测端正确性模型对输入的状态控制器和服务端消息队列进行正确性验证检测；S39、如果正确性检测通过，则更新状态控制器，如果检测结束，则重复步骤S33，如果检测没有结束，则重复步骤S36；S310、如果正确性检测没有通过，则记录并持久化当前正确性检测没有通过的服务端密码规格；S311、重复步骤S33，开始进行下一个服务端密码规格检测；S312、服务端密码规格遍历结束，结束检测。5.一种国密SSL协议诱探及检测系统，其特征在于：它包括主控模块、协议诱探模块、密码规格分析模块、密码规格遍历模块、协议检测模块、合规性模型、特征库和正确性模型；所述主控模块用于对协议诱探模块、密码规格分析模块、密码规格遍历模块、协议检测模块、合规性模型、特征库和正确性模型进行触发控制；所述诱探模块用于发起对远程SSL服务端的协议诱探，且在每次协议诱探后主动关闭...

【专利技术属性】
技术研发人员：杨伟，杨森，王杨，李昆阳，陈万钢，
申请(专利权)人：豪符密码检测技术成都有限责任公司，
类型：发明
国别省市：