【技术实现步骤摘要】
基于主动扫描的SSL VPN安全认证网关服务合规性检测系统与方法
[0001]本专利技术涉及数据安全和通信
,尤其是SSL VPN 安全网关检测技术,尤其是具体而言涉及一种基于主动扫描的SSL VPN安全认证网关服务合规性检测系统与方法。
技术介绍
[0002]当前,我国面临着世界新一轮数字化革命浪潮,密码是国家网络空间的安全基石与核心技术。在国家密码应用政策和数字经济安全需求的双重驱动下,社会密码意识相比以往大大增强,使用商用密码保障信息系统安全成为普遍共识。SSL VPN 安全网关是目前商用密码领域应用最为广泛的密码产品之一,其融合了多种密码技术于一身,以简单、快速、安全的特点为信息系统数据通信安全提供了强大的保证。
[0003]我国密码管理部门针对各类型商用密码产品都有针对性的技术标准,且厂家的相关密码产品在销售前需通过严格的产品检测认证,其目的是为了确保密码产品在实际应用中能够提供更为可靠的安全性保障。然而,由于密码产品的专业性强,应用部署门槛较高,一些信息系统建设人员对商用密码产品不熟悉,往往在使用和配置过程中出现偏差,导致对外提供的SSL通道存在不同程度安全风险,甚至一些SSL VPN产品漏洞成为被境外或者黑客侵入的突破口,导致信息网络安全存在严重的隐患。因此在企事业单位所使用的的信息系统中,SSL VPN产品是否被合规、正确、有效地使用,是信息系统建设、运营维护和密码测评机构需要直接面对的问题。
[0004]目前,Wireshark根据是广泛应用的网络封包分析工具软件,可以截取各种 ...
【技术保护点】
【技术特征摘要】
1. 一种基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,包括:检测模式选择模块,被设置用于选择执行的合规性检测模式,包括主动式扫描的在线检测模式以及离线分析模式;在线检测模块,被设置成通过主动式遍历扫描方式,分析连接的VPN服务器的SSL配置信息,获得对VPN服务器所配置的SSL/TLS协议的检测结果,以及对国密TLS协议进行主动式遍历扫描,获得国密TLS协议相应的密码算法套件的检测结果;离线分析模块,被设置用于在构建http访问请求与SSL服务端通信过程中通过抓包获得的网络数据包以及对网络数据包进行TCP分段数据重组、获得完整的SSL数据包的基础上,解析识别所述SSL数据包以进行TLS/SSL协议的识别以及国密TLS协议的识别,获得SSL协议和TLS协议类型以及证书值,以及国密密码算法套件;以及校验模块,被设置成用于对所述在线检测模块以及离线分析模块的检测结果进行检验,校验证书链和证书有效期。2.根据权利要求1所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述在线检测模块,包括:第一SSL/TLS协议检测模块,被设置成基于SSLyze检测工具遍历扫描VPN服务器的SSL配置信息,获得VPN服务器所支持SSL/TLS协议检测结果;第一国密TLS协议检测模块,被设置成基于TaSSL工具对国密TLS协议进行检测,包括对ECC
‑
SM4
‑
SM3、ECDHE
‑
SM4
‑
SM3、ECC_SM4_GCM_SM3及ECDHE_SM4_GCM_SM3四种国密相关的密码算法套件的检测。3.根据权利要求1所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述离线分析模块,包括:请求构建与响应模块,被设置用于根据国际与国密网络安全协议,分别选择不同协议版本构建http访问请求,与SSL服务端建立连接,以及接收所述SSL服务端响应请求返回的网络数据包,并对网络数据包进行TCP分段数据重组,获得完整的SSL数据包;第二SSL/TLS协议检测模块,被设置成使用Python的dpkt.SSL模块识别所述SSL数据包,获得SSL协议和TLS协议类型以及证书值;第二国密TLS协议检测模块,被设置成以所述SSL数据包为基础,通过tcp层提取tcpdata字节流数据并修改预定协议号为与对标国际TLS协议对应的头部协议号,并通过dpkt.SSL模块继续解析提取后续数值和国密证书值;根据预设的规则匹配校验文件,将提取的二进制值转义成对应的国密密码算法套件名称,完成国密密码算法套件值的识别。4.根据权利要求3所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述请求构建与响应模块包括请求构建与连接测试模块,被设置成按照下述方式进行连接测试:根据国际SSL协议、TLS协议以及国密TLS协议,利用TaSSL工具分别依次选择不同的协议版本和算法套件构建http访问请求,并分别发送连接请求,与SSL服务端进行连接测试;对于每一个协议版本和算法套件的连接测试,依次测试并记录连接成功与否结果;其中,所述SSL协议的协议版本至少包括SSL2.0与SSL3.0;所述TLS协议的协议版本至少包括TLS1.0、TLS1.1、TLS1.2以及TLS1.3;
所述国密TLS协议的密码套件至少包括符合GB/T 38636
‑
2020规范的ECC
‑
SM4
‑
SM3、ECC_SM4_GCM_SM3、ECDHE
‑
SM4
‑
SM3、ECDHE_SM4_GCM_SM3四种国密相关的密码套件以及符合RFC 8998规范的TLS_SM4_GCM_SM3密码套件。5.根据权利要求3所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述请求构建与响应模块包括抓包模块、分层提取模块、分段数据重组模块以及数据查重模块,其中:所述抓包模块,用于抓取http访问请求与SSL服务端通信过程中返回的pcapng数据包;所述分层提取模块,用于使用dpkt解包工具将pcapng数据包数据分层提取;所述分段数据重组模块,用于对分层提取获得的分段报文数据按照报文的tcp ack号进行分组重组,存储到一列表结构list中;所述数据查重模块,用于对所述列表结构list进行遍历,对报文按照tcp ack号分组后的抓包数据进行查重处理,得到完整的SSL数据包。6.根据权利要求5所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述分段数据重组模块,被设置成按照以下过程对分层提取获得的报文数据按照tcp ack号进行分组重组,存储到一列表结构list中:基于tcp ack号的唯一性,分段后的报文的tcp ack是相同的,标识为同一组tcp报文;利用python字典数据结构,key值为tcp ack号,value值存储提取当前tcp ack号的tcpdata,按照抓包文件的时间顺序进行排列,将以上key值与value值作为字典值存入列表结构List。7.根据权利要求5所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述数据查重模块,被设置成按照以下过程对所述列表结构list进行遍历,对报文按照tcp ack号分组后的抓包数据进行查重处理,得到完整的SSL数据包:对所述列表结构list进行遍历,提取单条tcp ack报文字典,字典的key值存入新建的ack集合结构中,利用集合结构的元素不可重复特性,用于判断当前tcp ack报文字典是否已处理,每次对列表结构list中的单条tcp ack报文处理前,均需要对字典key值进行判断比对ack集合是否存在:如果不存在,将tcp ack报文字典的value值写入新的ack字典,其key值仍为ack号,value为tcpdata;如果存在,将tcp ack报文字典的value值拼接入ack字典对应key值的value值内;通过遍历列表结构list,直至所有的tcp ack报文字典遍历处理完成,获得查重重组后的报文数据,即完整的SSL数据包。8.根据权利要求3所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述第二国密TLS协议检测模块中,以所述SSL数据包为基础,通过tcp层提取tcpdata字节流数据并修改预定协议号为与对标国际TLS协议对应的头部协议号,并通过dpkt.SSL模块继续解析提取后续数值和国密证书值,包括:通过tcp层提取tcpdata字节流数据;提取头部协议号信息“0x0101”;基于国密TLS协议对标的国际TLS1.1协议,将头部协议号修改成“0x0301”;以及对于修改头部协议号后的SSL数据包通过dpkt.SSL模块继续解包进行后续数值的提
取。9.根据权利要求1所述的基于主动扫描的SSL VPN安全认证网关服务合规性检测系统,其特征在于,所述校验模块,被设置成按照以下过程校验证书链和证书有效期:接收在线检测模块以及离线分析模块获取到的证书值信息;基于Jsrsasign密码工具库的X509类相关函数,对加密算法的证书解析和校验,校验证书链和证书有效期;其...
【专利技术属性】
技术研发人员:王强,陈洁,赵明烽,杜嵘,袁广恋,张菲,马壮壮,刘屹,阚格,
申请(专利权)人:江苏金盾检测技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。