SSLVPN安全认证网关服务合规性检测系统、方法与计算机可读存储介质技术方案

本发明专利技术提供一种SSLVPN安全认证网关服务合规性检测系统、方法与计算机可读存储介质，该方法通过构建多个测试请求与SSL服务器的通讯并通过抓包工具对通信过程的数据包的抓包，进一步通过对pcapng数据包的tcp分段重组和查重重组后可获得完整的SSL数据包，继而通过原生dkpt.SSL模块进行协议识别，解析汇总SSL、TLS协议以及国密TLS协议。最后通过密码工具库进行证书和证书链的验证，并将结果在前端显示器的Web页面进行可视化表征显示。通过本发明专利技术的方法可同时实现对对SSL/TLS协议以及国密TLS协议合规性的检测和分析，通过以遍历测试的方法对VPN产品可能支持的协议及密码算法套件逐个进行测试验证，发现SSLVPN服务器支持的密码套件，提高检测效率、全面性和精准性。全面性和精准性。全面性和精准性。

【技术实现步骤摘要】
SSL VPN安全认证网关服务合规性检测系统、方法与计算机可读存储介质


[0001]本专利技术涉及数据安全和通信
，尤其是SSL VPN安全网关的安全性检测，尤其是具体而言涉及一种SSL VPN安全认证网关服务合规性检测系统、方法与计算机可读存储介质。

技术介绍

[0002]当前，我国面临着世界新一轮数字化革命浪潮，密码是国家网络空间的安全基石与核心技术。在国家密码应用政策和数字经济安全需求的双重驱动下，社会密码意识相比以往大大增强，使用商用密码保障信息系统安全成为普遍共识。SSL VPN安全网关是目前商用密码领域应用最为广泛的密码产品之一，其融合了多种密码技术于一身，以简单、快速、安全的特点为信息系统数据通信安全提供了强大的保证。
[0003]我国密码管理部门针对各类型商用密码产品都有针对性的技术标准，且厂家的相关密码产品在销售前需通过严格的产品检测认证，其目的是为了确保密码产品在实际应用中能够提供更为可靠的安全性保障。然而，由于密码产品的专业性强，应用部署门槛较高，一些信息系统建设人员对商用密码产品不熟悉，往往在使用和配置过程本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SSLVPN安全认证网关服务合规性检测方法，其特征在于，包括：根据国际与国密网络安全协议，分别选择不同协议版本构建基于http的访问请求，与SSL服务端建立连接；接收所述SSL服务端响应请求返回的网络数据包，并对网络数据包进行TCP分段数据重组，获得完整的SSL数据包；使用Python的dpkt.SSL模块解析识别所述SSL数据包，获得SSL协议和TLS协议类型以及证书值；以所述SSL数据包为基础，通过tcp层提取tcpdata字节流数据并修改预定协议号为与对标国际TLS协议对应的头部协议号，并通过dpkt.SSL模块继续识别提取后续数值和国密证书值；根据预设的规则匹配校验文件，将提取的二进制值转义成对应的国密密码算法套件名称，完成密码算法套件值的识别；对所获取SSL协议和TLS协议的证书值和国密证书值进行证书及证书链的校验；以及对检测获得的国际SSL协议、TLS协议以及国密TLS协议以及证书及证书链的校验结果的可视化表征。2.根据权利要求1所述的SSLVPN安全认证网关服务合规性检测方法，其特征在于，所述根据国际与国密网络安全协议，分别选择不同协议版本构建基于http的访问请求，与SSL服务端建立连接，包括：根据国际SSL协议、TLS协议以及国密TLS协议，利用TaSSL工具分别依次选择不同的协议版本和算法套件，构建基于http的访问请求，分别发送连接请求，与SSL服务端进行连接测试；对于每一个协议版本和算法套件的连接测试，根据与SSL服务端的握手情况判定当前连接是否有效；根据SSL服务端返回的握手情况判定当前连接是否有效，依次测试并记录连接成功与否结果；其中，所述SSL协议的协议版本至少包括SSL2.0与SSL3.0；所述TLS协议的协议版本至少包括TLS1.0、TLS1.1、TLS1.2以及TLS1.3；所述国密TLS协议的密码套件至少包括符合GB/T38636
‑
2020规范的ECC
‑
SM4
‑
SM3、ECC_SM4_GCM_SM3、ECDHE
‑
SM4
‑
SM3、ECDHE_SM4_GCM_SM3四种国密相关的密码套件以及符合RFC8998规范的TLS_SM4_GCM_SM3密码套件。3.根据权利要求1所述的SSLVPN安全认证网关服务合规性检测方法，其特征在于，所述接收所述SSL服务端响应请求返回的网络数据包，并对网络数据包进行TCP分段数据重组，获得完整的SSL数据包，包括：使用wireshark工具抓取SSL服务端返回的pcapng数据包；使用dpkt解包工具将pcapng数据包数据分层提取；对分层提取获得的分段报文数据按照报文的tcpack号进行分组重组，存储到一列表结构list中；以及对所述列表结构list进行遍历，对报文按照tcpack号分组后的抓包数据进行查重处理，得到完整的SSL数据包。4.根据权利要求3所述的SSLVPN安全认证网关服务合规性检测方法，其特征在于，所述
对分层提取获得的报文数据按照tcpack号进行分组重组，存储到一列表结构list中，包括：基于tcpack号的唯一性，分段后的报文的tcpack是相同的，标识为同一组tcp报文；利用python字典数据结构，key值为tcpack号，value值存储提取当前tcpack号的tcpdata，按照抓包文件的时间顺序进行排列，将以上key值与value值作为字典值存入列表结构List。5.根据权利要求3所述的SSLVPN安全认证网关服务合规性检测方法，其...

【专利技术属性】
技术研发人员：陈洁，王强，杜嵘，赵明烽，王东波，李云亚，马壮壮，刘屹，阚格，
申请(专利权)人：江苏金盾检测技术股份有限公司，
类型：发明
国别省市：