加密报文的检测方法及防护设备技术

本申请提供了一种加密报文的检测方法及防护设备，属于通信技术领域。本申请将防护设备与客户端设备之间的SSL握手流程、防护设备与服务器之间的SSL握手流程关联起来，防护设备将同一份DH参数分别发给客户端设备以及服务器，并在生成会话密钥时复用两侧的DH参数，会话秘钥用于对客户端设备或服务器发送的加密报文进行解密、以及对解密检测后的明文数据进行加密所用。本申请实施例减少生成DH参数带来的计算量，节省对防火墙等防护设备的资源占用，有助于大幅提升SSL握手速度，提升防护设备的性能。的性能。的性能。

【技术实现步骤摘要】
加密报文的检测方法及防护设备
[0001]本申请是分案申请，原申请的申请号是202011377786.0，原申请日是2020年11月30日，原申请的全部内容通过引用结合在本申请中。本申请要求于2020年10月26日提交的申请号为202011155469.4、专利技术名称为“一种加密流量的处理方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请涉及通信
，特别涉及一种加密报文的检测方法及防护设备。

技术介绍

[0003]在具有多层结构的TCP/IP协议族(TCP/IP Protocol Suite，或TCP/IP Protocols)中，安全套接层/传输层安全(Secure Socket Layer/Transport Layer Security，SSL/TLS)位于超文本传输协议(hyper text transfer protocol，HTTP)协议和传输控制协议(transmission control protocol，TCP)协议之间。使用HTTPS(基于TLS的HTTP，HTTP over TLS)进行交互的流量，首先需要像普通HTTP流量一样，建立一条TCP连接，然后需要在这条TCP连接之上，进行SSL/TLS握手，建立SSL/TLS会话，然后使用SSL/TLS会话对HTTP交互内容进行加密，保证数据传输的隐私性、可靠性以及可信性。
[0004]当客户端与服务器基于SSL/TLS传输加密报文时，部署在客户端与服务器之间的防火墙如何对加密报文进行安全性检测成为一个亟需解决的问题。目前主流的解决方案是基于SSL/TLS中间人(man
‑
in
‑
the
‑
middle)技术的检测方案。
[0005]SSL/TLS中间人技术的基本原理是，防火墙作为代理服务器和客户端进行SSL/TLS握手。同时，防火墙作为代理客户端和服务器进行SSL/TLS握手。
[0006]相关技术在实现SSL/TLS中间人技术时，防火墙会作为SSL/TLS会话的端点，分别独立的和服务器、客户端设备完成SSL握手。采用上述方法时，防火墙在分别与服务器、客户端设备协商各种加密的密钥、加密参数的过程涉及巨大计算量，这导致防火墙资源占用过多，性能低下。

技术实现思路

[0007]本申请实施例提供了一种加密报文的检测方法及防护设备，有助于减少设备资源占用，提升设备性能。所述技术方案如下。
[0008]第一方面，提供了一种加密报文的检测方法，在该方法中，防护设备向客户端设备和服务器分别发送中间人迪菲
‑
赫尔曼(Diffie
‑
Hellman，DH)参数，所述防护设备部署于所述客户端设备和所述服务器之间，所述中间人DH参数为所述防护设备生成的DH参数；所述防护设备根据所述中间人DH参数以及客户端DH参数，生成第一会话秘钥，所述客户端DH参数为所述客户端设备生成的DH参数；所述防护设备根据所述中间人DH参数以及服务器DH参数，生成第二会话秘钥，所述服务器DH参数为所述服务器生成的DH参数；所述防护设备接收原始加密报文；如果所述原始加密报文来自于所述客户端设备，所述防护设备使用所述第
一会话秘钥对所述原始加密报文进行解密，对解密得到的明文数据进行检测，并使用所述第二会话秘钥对检测后的数据进行加密得到目标加密报文，向所述服务器发送所述目标加密报文；或，如果所述原始加密报文来自于所述服务器，所述防护设备使用所述第二会话秘钥对所述原始加密报文进行解密，对解密得到的明文数据进行检测，并使用所述第一会话秘钥对检测后的数据进行加密得到目标加密报文，向所述客户端设备发送所述目标加密报文。
[0009]第一方面提供的方法，将防护设备与客户端设备之间的SSL握手流程、防护设备与服务器之间的SSL握手流程关联起来，防护设备将同一份DH参数分别发给客户端设备以及服务器，并在生成会话密钥时复用两侧的DH参数，从而减少生成DH参数带来的计算量，节省对防火墙等防护设备的资源占用，有助于大幅提升SSL握手速度，提升防护设备的性能。
[0010]可选地，所述防护设备向客户端设备和服务器分别发送中间人DH参数，包括：所述防护设备接收来自于所述客户端设备的原始客户端密钥交换报文；所述防护设备将所述原始客户端密钥交换报文中的所述客户端DH参数替换为所述中间人DH参数，从而得到目标客户端密钥交换报文；所述防护设备向所述服务器发送所述目标客户端密钥交换报文；所述防护设备接收来自于所述服务器的原始服务器密钥交换报文；所述防护设备将所述原始服务器密钥交换报文中的所述服务器DH参数替换为所述中间人DH参数，从而得到目标服务器密钥交换报文；所述防护设备向所述客户端设备发送所述目标服务器密钥交换报文。
[0011]通过这种可选方式，使用真实客户端和服务器的握手过程进行驱动，防护设备在两侧发来的握手报文的基础上只需要生成较少的参数、执行报文解析和内容替换，即可实现与两侧的握手，可见减少了大量资源开销。
[0012]可选地，所述防护设备得到目标服务器密钥交换报文之前，所述方法还包括：所述防护设备将所述原始服务器密钥交换报文中的服务器签名替换为中间人签名，所述中间人签名是使用所述防护设备的私钥对所述中间人DH参数进行签名得到的。
[0013]通过这种可选方式，防护设备通过将服务器签名替换为中间人签名，使得中间人DH参数随着中间人签名一起传给客户端设备，降低由于签名验证不通过而传输失败的概率，有助于提高传输中间人DH参数的成功率。
[0014]可选地，所述防护设备根据所述中间人DH参数以及客户端DH参数，生成第一会话秘钥，包括：所述防护设备使用所述中间人DH参数以及所述客户端DH参数，生成第一预主秘钥；所述防护设备使用所述第一预主秘钥、客户端随机数以及服务器随机数，生成所述第一会话秘钥，所述客户端随机数为所述客户端设备生成的随机数，所述服务器随机数为所述服务器生成的随机数；所述防护设备使用所述中间人DH参数以及服务器DH参数，生成第二会话秘钥，包括：所述防护设备使用所述中间人DH参数以及所述服务器DH参数，生成第二预主秘钥；所述防护设备使用所述第二预主秘钥、所述客户端随机数以及所述服务器随机数，生成所述第二会话秘钥。
[0015]通过这种可选方式，防护设备通过在生成会话密钥时复用客户端设备以及服务器生成的随机数，免去独立生成随机数带来的开销。
[0016]可选地，所述客户端随机数是所述防护设备从原始客户端问候报文提取到的，所述服务器随机数是所述防护设备从原始服务器问候报文提取到的。
[0017]通过这种可选方式，防护设备从收到的原始问候报文即可获得随机数，降低了实
现复杂度。
[0018]可选地，所述防护设备向客户端设备和服务器分别发送中间人DH参数之前，所述方法还包括：所述防护设备接收来自于所述客户端设备的原始客户端问候报文，所述原始客户端问候报文包括算法列表；所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络系统，其特征在于，所述系统包括防护设备、客户端设备和服务器，所述防护设备部署于所述客户端设备和所述服务器之间，其中，所述防护设备，用于向客户端设备和服务器分别发送中间人迪菲
‑
赫尔曼DH参数，所述中间人DH参数为所述防护设备生成的DH参数；根据所述中间人DH参数以及客户端DH参数，生成第一会话秘钥，所述客户端DH参数为所述客户端设备生成的DH参数；根据所述中间人DH参数以及服务器DH参数，生成第二会话秘钥，所述服务器DH参数为所述服务器生成的DH参数；接收原始加密报文；如果所述原始加密报文来自于所述客户端设备，所述防护设备使用所述第一会话秘钥对所述原始加密报文进行解密，对解密得到的明文数据进行检测，并使用所述第二会话秘钥对检测后的数据进行加密得到目标加密报文，向所述服务器发送所述目标加密报文；或如果所述原始加密报文来自于所述服务器，所述防护设备使用所述第二会话秘钥对所述原始加密报文进行解密，对解密得到的明文数据进行检测，并使用所述第一会话秘钥对检测后的数据进行加密得到目标加密报文，向所述客户端设备发送所述目标加密报文；所述客户端设备，用于发送所述原始加密报文，或接收所述目标加密报文；所述服务器，用于发送所述原始加密报文，或接收所述目标加密报文。2.根据权利要求1所述的网络系统，其特征在于，所述客户端设备，还用于发送原始客户端密钥交换报文；所述服务器，还用于发送原始服务器密钥交换报文；所述防护设备还用于，接收来自于所述原始客户端密钥交换报文；将所述原始客户端密钥交换报文中的所述客户端DH参数替换为所述中间人DH参数，从而得到目标客户端密钥交换报文；向所述服务器发送所述目标客户端密钥交换报文；接收来自于所述原始服务器密钥交换报文；将所述原始服务器密钥交换报文中的所述服务器DH参数替换为所述中间人DH参数，从而得到目标服务器密钥交换报文；向所述客户端设备发送所述目标服务器密钥交换报文。3.根据权利要求2所述的网络系统，其特征在于，所述防护设备还用于得到目标服务器密钥交换报文之前，将所述原始服务器密钥交换报文中的服务器签名替换为中间人签名，所述中间人签名是使用所述防护设备的私钥对所述中间人DH参数进行签名得到的。4.根据权利要求1所述的网络系统，其特征在于，所述防护设备用于使用所述中间人DH参数以及所述客户端DH参数，生成第一预主秘钥；使用所述第一预主秘钥、客户端随机数以及服务器随机数，生成所述第一会话秘钥，所述客户端随机数为所述客户端设备生成的随机数，所述服务器随机数为所述服务器生成的随机数；使用所述中间人DH参数以及所述服务器DH参数，生成第二预主秘钥；使用所述第二预主秘钥、所述客户端随机数以及所述服务器随机数，生成所述第二会话秘钥。5.根据权利要求4所述的网络系统，其特征在于，
所述客户端随机数是所述防护设备从原始客户端问候...

【专利技术属性】
技术研发人员：何新乾，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：