【技术实现步骤摘要】
一种数据解密方法、装置、设备及存储介质
[0001]本公开涉及互联网
,具体而言,涉及一种数据解密方法、装置、设备及存储介质。
技术介绍
[0002]在容器进行数据传输的过程中,大多使用到网站应用防火墙(Web Application Firewall,WAF)系统,通过WAF系统可以对容器接收的流量进行检测,从而拦截网络入侵流量,保护应用程序的安全。
[0003]WAF系统在对容器传输的网络流量进行检测的过程中,首先需要对加密数据进行解密,这里大多是将服务端的私钥证书进行上传导入,根据私钥证书得到会话密钥,通过会话密钥对加密数据进行解密。在此过程中,一般存在大量需要WAF系统检测的容器,因此需要导入大量的私钥证书,易增加运维负担,同时可能存在私钥证书信息泄露的安全风险。
技术实现思路
[0004]本公开实施例至少提供一种数据解密方法、装置、设备及存储介质。
[0005]本公开实施例提供了一种数据解密方法,所述方法包括:
[0006]响应于客户端发起的握手请求,通过容器节点的宿主...
【技术保护点】
【技术特征摘要】
1.一种数据解密方法,其特征在于,所述方法包括:响应于客户端发起的握手请求,通过容器节点的宿主机网络接收所述客户端发送的携带有主密钥的握手报文,并将所述握手报文发送至目标容器,所述目标容器部署于所述容器节点上;基于预先设置的钩子埋点,对所述目标容器接收到的所述握手报文进行解析,得到所述主密钥;对所述宿主机网络接收的所述握手报文进行导流,以将所述握手报文导流至导流器,得到导流后的握手报文;基于从所述导流器中获取的所述导流后的握手报文以及基于所述钩子埋点所解析得到的所述主密钥,生成会话密钥,并基于所述会话密钥对握手成功后所述宿主机网络所接收到的密文数据包进行解密,得到明文数据包。2.根据权利要求1所述的方法,其特征在于,所述基于预先设置的钩子埋点,对所述目标容器接收到的所述握手报文进行解析,得到所述主密钥,包括:通过所述预先设置的钩子埋点对所述目标容器进行监听,并在监听到所述目标容器调用握手函数接口的情况下,通过所述钩子埋点对所述目标容器接收到的所述握手报文进行解析,得到所述主密钥。3.根据权利要求2所述的方法,其特征在于,所述握手函数接口的入参包括所述握手报文;所述通过所述钩子埋点对所述目标容器接收到的所述握手报文进行解析,得到所述主密钥,包括:通过所述钩子埋点对所述握手函数接口的入参进行解析,得到所述主密钥。4.根据权利要求2所述的方法,其特征在于,通过以下步骤设置所述钩子埋点:通过钩子挂载器插入针对所述握手函数接口的钩子埋点文件,形成针对所述目标容器的所述握手函数接口的钩子埋点。5.根据权利要求4所述的方法,其特征在于,所述通过钩子挂载器插入针对所述握手函数接口的钩子埋点文件,包括:通过钩子挂载器采用增强型的网络数据包过滤eBPF技术插入针对所述握手函数接口的钩子埋点文件。6.根据权利要求5所述的方法,其特征在于,所述通过钩子挂载器采用增强型的网络数据包过滤eBPF技术插入针对所述握手函数接口的钩子埋点文件,包括:通过钩子挂载器从所述目标容器的文件库中获取所述目标容器的操作系统的版本信息和所述握手函数接口的文件挂载路径;基于预先编写的eBPF钩子埋点代码、所述版本信息和所述握手函数接口的文件挂载路径,生成用于监听所述目标容器的操作系统的钩子埋点文件;将所述钩子埋点文件插入eBPF虚拟机。7.根据权利要求1所述的方法,其特征在于,所述宿主机网络上设置有第一网络接口,所述目标容器上设置有第二网络接口,所述第一网络接口和所述第二网络接口通信连接;所述将所述握手报文发送至目标容器,包括:通过所述第一网络接口以及所述第二网络接口将所述握手报文发送至所述目标容器;所述对所述宿主机网络接收的所述握手报文进行导流,以将所述握手报文导流至导流
器,得到导流后的握手报文,包括:在所述目标容器通过所述第二网络接口以及所述第一网络接口接收所述握手报文的过程中,对所述宿主机网络上的第一网络接口输出的握手报文进行复制,并将复制的握手报文发送至导流器;通过所述导流器将所述复制的握手报文转换成目标格式后,得到所述导流后的握手报文。8.根据权利要求7所述的方法,其特征在于,所述第一网络接口设置网络数据包捕获pcap数据过滤规则,所述对所述主机网络上的第一网络接口输出的握手报文进行复制,并将复制的握手报文发送至导流器,包括:基于所述网络数据包捕获pcap数据过滤规则,对所述第一网络接口输出的握手报文进行过滤,得到过滤后的握手报文;对所述过滤后的握手报文进行复制,并将复制的过滤后的握手报文发...
【专利技术属性】
技术研发人员:张晨,郭建新,
申请(专利权)人:北京火山引擎科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。