本发明公开了一种基于安全协议的内容审计方法、系统和内容审计设备,属于通信领域。所述方法包括:接收来自第一通信方的连接请求;向对应的第二通信方发起连接,接收第二通信方返回的携带第二通信方的公钥的数字证书;生成公钥,用所述公钥修改数字证书中的第二通信方的公钥,将修改后的数字证书发送给第一通信方;与第一通信方和第二通信方建立安全协议链路;监控第一通信方或第二通信方通过安全协议链路转发的数据。所述系统包括第一通信方、第二通信方、防火墙和内容审计设备。本发明中的内容审计设备通过假扮第一通信方和第二通信方的身份,能够监控双方的通信。
1.一种基于安全协议的内容审计方法,其特征在于,所述方法包括:
内容审计设备接收来自第一通信方的连接请求;向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二通信方的公钥的数字证书;
所述内容审计设备生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;
所述第一通信方接收所述数字证书,从所述数字证书中得到所述内容审计设备的公钥,确认所述第二通信方选择的数据加密套件和压缩算法,选择第一随机数,根据所述第一随机数生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密后的第一随机数;
所述内容审计设备接收所述加密后的第一随机数,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成所述第一密钥,其中,所述第一通信方和所述内容审计设备使用所述第一密钥加/解密传输数据;
所述内容审计设备选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;
所述第二通信方接收所述加密后的第二随机数,用自身的私钥进行解密,得到所述第二随机数,根据所述第二随机数生成所述第二密钥,其中,所述第二通信方和所述内容审计设备使用所述第二密钥加/解密传输数据;
所述内容审计设备监控所述第一通信方通过所述第一密钥或所述第二通信方通过所述第二密钥传输的数据。
2.如权利要求1所述的基于安全协议的内容审计方法,其特征在于,所述接收来自第一通信方的连接请求之前包括:防火墙接收第一通信方发送的连接请求,所述连接请求的目的地址为第二通信方的地址;
所述防火墙将所述连接请求的目的地址转换为内容审计设备的地址,将转换目的地址后的连接请求发送。
3.如权利要求1所述的基于安全协议的内容审计方法,其特征在于,所述来自第一通信方的连接请求中携带安全信息,所述安全信息包括:所述第一通信方支持的安全协议版本、数据加密套件和压缩算法;
相应地,所述向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二通信方的公钥的数字证书具体包括:内容审计设备以所述第一通信方的身份向所述第二通信方转发所述连接请求;
所述第二通信方收到所述连接请求后,从所述连接请求的安全信息中选择欲使用的数据加密套件和压缩算法,向所述内容审计设备发送数字证书,所述数字证书携带所述第二通信方的公钥、数据加密套件和压缩算法。
4.一种基于安全协议的内容审计系统,包括第一通信方和第二通信方,其特征在于,所述系统还包括:防火墙和内容审计设备;其中,所述防火墙用于接收到第一通信方发送的连接请求后,将所述连接请求的目的地址转换为所述内容审计设备的地址,将转换目的地址后的连接请求发送给所述内容审计设备;
所述内容审计设备,用于接收所述连接请求,向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二通信方的公钥的数字证书;生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;接收来自所述第一通信方加密后的第一随机数,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成所述第一密钥,其中,自身和所述第一通信方使用所述第一密钥加/解密传输数据;选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;监控所述第一通信方通过所述第一密钥或所述第二通信方通过所述第二密钥传输的数据;
所述第一通信方接收所述数字证书,从所述数字证书中得到所述内容审计设备的公钥,确认所述第二通信方选择的数据加密套件和压缩算法,选择第一随机数,根据所述第一随机数生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密后的第一随机数;
所述第二通信方接收所述加密后的第二随机数,用自身的私钥进行解密,得到所述第二随机数,根据所述第二随机数生成所述第二密钥,其中,自身和所述内容审计设备使用所述第二密钥加/解密传输数据。
5.如权利要求4所述的基于安全协议的内容审计系统,其特征在于,所述第一通信方具体用于向所述第二通信方发送连接请求,所述连接请求中携带安全信息,所述安全信息包括:所述第一通信方支持的安全协议版本、数据加密套件和压缩算法;
相应地,所述内容审计设备用于当收到连接请求后,以所述第一通信方的身份向所述第二通信方转发所述连接请求;
所述第二通信方具体用于收到所述连接请求后,从所述连接请求的安全信息中选择欲使用的数据加密套件和压缩算法,向所述内容审计设备发送数字证书,所述数字证书携带所述第二通信方的公钥、数据加密套件和压缩算法。
6.如权利要求5所述的基于安全协议的内容审计系统,其特征在于,所述第一通信方包括:请求发送模块,用于向第二通信方发送连接请求,所述连接请求中携带安全信息,所述安全信息包括:所述第一通信方支持的安全协议版本、数据加密套件和压缩算法;
加密密钥发送模块,用于收到所述数字证书后,从所述数字证书中得到所述内容审计设备的公钥,确认所述第二通信方选择的数据加密套件和压缩算法,选择第一随机数,根据所述第一随机数生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密后的第一随机数。
接收模块,用于接收第一通信方发送的连接请求、第二通信方发送的数字证书和所述第一通信方与所述第二通信方交互的数据;
连接发起模块,用于所述接收模块收到第一通信方的连接请求后,向所述连接请求对应的第二通信方发起连接;
数字证书处理模块,用于所述接收模块收到所述第二通信方发送的携带所述第二通信方公钥的数字证书后,生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;
安全链路建立模块,用于接收来自所述第一通信方加密后的第一随机数,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成所述第一密钥,其中,自身和所述第一通信方使用所述第一密钥加/解密传输数据;选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;
审计模块,用于监控所述第一通信方或所述第二通信方通过所述安全链路建立模块所建立的安全协议链路转发的数据。
基于安全协议的内容审计方法、系统和内容审计设备
技术领域
[0001] 本发明涉及通信领域,特别涉及一种基于安全协议的内容审计方法、系统和内容审计设备。
背景技术
[0002] SSL(Secure Socket Layer,安全套接层)协议是介于TCP(Transmission Control Protocol,传输控制协议)/IP传输层与应用层之间的一种安全协议,最初的SSL协议主要用在网页浏览器中来保护HTTP(HyperText Transfer Protocol,超文本传送协议)的交互,随着网络安全要求的逐渐增加,提出了TLS(Transport Layer Security传输层安全)协议。TLS协议的大部分功能基于SSL 3版本。
[0003] 现有技术中有一种基于SSL/TLS协议的通信方法,下面简单介绍一下客户端与服务端通信的过程:
[0004] 客户端与服务端首先建立SSL连接,并协商使用的加密套件和压缩算法;
[0005] 然后,服务端向客户端发送自己的数字证书,这个证书有两个作用,其一就是让客户端对服务端的身份进行认证,其二就是证书里包含有服务端的公钥,让客户端对用来产生以后数据加密密钥的信息进行加密;
[0006] 此时,服务端向客户端证明了自己的身份,双方商定好了数据加密套件和数据压缩算法,客户端也获得了对用来产生以后数据加密密钥的信息进行加密的密钥;
[0007] 客户端向服务端产生以后数据加密密钥的信息,并向服务端发送确认的数据加密算法和哈希消息认证码算法,通知服务端以后就用新产生的密钥和协商好的各种算法对数据进行加密;
[0008] 最后,客户端与服务端相互发送应用数据,其中可能包括客户端发给服务端的用户名和密码;数据传送结束后,关闭连接,同时起到防止终端攻击的作用。
[0009] 在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
[0010] 上述通信过程中传递的数据通过加密的方式保证了传输的安全性,但是,这种通信方式给内容审计(对网络通信内容进行监控过滤的一种手段)带来了难度,现有技术中针对安全协议通信没有对应的内容审计方式,不利于信息的监管,例如,某公司内部需要监控员工与客户或他人的网络通信,用以保证公司的秘密不泄露给他人,此时就需要有相应的内容审计方法来监控通信内容。
发明内容
[0011] 为了监控通信双方的通信内容,本发明实施例提供了一种基于安全协议的内容审计方法、系统和内容审计设备。所述技术方案如下:
[0012] 一种基于安全协议的内容审计方法,所述方法包括:
[0013] 内容审计设备接收来自第一通信方的连接请求;向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二通信方的公钥的数字证书;
[0014] 所述内容审计设备生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;
[0015] 所述第一通信方接收所述数字证书,从所述数字证书中得到所述内容审计设备的公钥,确认所述第二通信方选择的数据加密套件和压缩算法,选择第一随机数,根据所述第一随机数生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密后的第一随机数;
[0016] 所述内容审计设备接收所述加密后的第一随机数,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成所述第一密钥,其中,所述第一通信方和所述内容审计设备使用所述第一密钥加/解密传输数据;
[0017] 所述内容审计设备选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;
[0018] 所述第二通信方接收所述加密后的第二随机数,用自身的私钥进行解密,得到所述第二随机数,根据所述第二随机数生成所述第二密钥,其中,所述第二通信方和所述内容审计设备使用所述第二密钥加/解密传输数据;
[0019] 所述内容审计设备监控所述第一通信方通过所述第一密钥或所述第二通信方通过所述第二密钥传输的数据。
[0020] 一种基于安全协议的内容审计系统,包括第一通信方和第二通信方,所述系统还包括:防火墙和内容审计设备;其中,
[0021] 所述防火墙用于接收到第一通信方发送的连接请求后,将所述连接请求的目的地址转换为所述内容审计设备的地址,将转换目的地址后的连接请求发送给所述内容审计设备;
[0022] 所述内容审计设备,用于接收所述连接请求,向所述连接请求对应的第二通信方发起连接,接收所述第二通信方返回的携带所述第二通信方的公钥的数字证书;生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;接收来自所述第一通信方加密后的第一随机数,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成所述第一密钥,其中,自身和所述第一通信方使用所述第一密钥加/解密传输数据;选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;监控所述第一通信方通过所述第一密钥或所述第二通信方通过所述第二密钥传输的数据;
[0023] 所述第一通信方接收所述数字证书,从所述数字证书中得到所述内容审计设备的公钥,确认所述第二通信方选择的数据加密套件和压缩算法,选择第一随机数,根据所述第一随机数生成第一密钥,使用所述内容审计设备的公钥加密所述第一随机数,发送加密后的第一随机数;
[0024] 所述第二通信方接收所述加密后的第二随机数,用自身的私钥进行解密,得到所述第二随机数,根据所述第二随机数生成所述第二密钥,其中,自身和所述内容审计设备使用所述第二密钥加/解密传输数据。
[0025] 一种内容审计设备,所述设备包括:
[0026] 接收模块,用于接收第一通信方发送的连接请求、第二通信方发送的数字证书和所述第一通信方与所述第二通信方交互的数据;
[0027] 连接发起模块,用于所述接收模块收到第一通信方的连接请求后,向所述连接请求对应的第二通信方发起连接;
[0028] 数字证书处理模块,用于所述接收模块收到所述第二通信方发送的携带所述第二通信方公钥的数字证书后,生成公钥,用所述公钥修改所述数字证书中的所述第二通信方的公钥,将修改后的数字证书发送给所述第一通信方;
[0029] 安全链路建立模块,用于接收来自所述第一通信方加密后的第一随机数,用自身的私钥解密,得到所述第一随机数,根据所述第一随机数生成所述第一密钥,其中,自身和所述第一通信方使用所述第一密钥加/解密传输数据;选择第二随机数,根据所述第二随机数生成第二密钥,使用所述第二通信方的公钥加密所述第二随机数,向所述第二通信方发送加密后的第二随机数;
[0030] 审计模块,用于监控所述第一通信方或所述第二通信方通过所述安全链路建立模块所建立的安全协议链路转发的数据。
[0031] 本发明实施例中的内容审计设备通过假扮第一通信方和第二通信方的身份,能够获取到第一通信方和第二通信方交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路的内容审计需求,更好地维护企业或公司内部的秘密信息。
附图说明
[0032] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0033] 图1是本发明实施例1提供的基于安全协议的内容审计方法流程图;
[0034] 图2是本发明实施例1提供的基于安全协议的内容审计方法的信令交互图;
[0035] 图3是本发明实施例2提供的基于安全协议的内容审计系统的示意图;
[0036] 图4是本发明实施例3提供的内容审计设备的示意图。
具体实施方式
[0037] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0038] 本发明实施例通过将第一通信方和第二通信方的数据流量都从内容审计设备处进行转发,能够在不被通信双方察觉的基础上,监控通信双方的交互内容,能够防止企业内部机密信息的泄露。
[0039] 实施例1
[0040] 参见图1,本实施例提供了一种基于安全协议的内容审计方法,该方法以客户端作为第一通信方,以服务端作为第二通信方,以内容审计设备进行内容审计为例进行说明,该方法包括:
[0041] 101:内容审计设备接收来自客户端的连接请求;
[0042] 102:向该连接请求对应的服务端发起连接,接收该服务端返回的携带该服务端的公钥的数字证书;
[0043] 103:该内容审计设备生成公钥,用公钥修改数字证书中的该服务端的公钥,将修改后的数字证书发送给客户端;
[0044] 104:根据修改后的数字证书中的公钥与客户端建立安全协议链路,根据携带该服务端的公钥的数字证书与服务端建立安全协议链路;
[0045] 105:监控客户端或服务端通过安全协议链路转发的数据。
[0046] 其中,本实施例中的安全协议可以是SSL/TLS协议。
[0047] 在实现上述内容审计方法时,使用了具有目的地址转换功能的防火墙,通过该防火墙将客户端发往服务端的消息或数据转发到内容审计设备,其中,内容审计设备对于客户端来说为服务端,对于服务端来说为客户端,起到中间人的效果,参见图2,为内容审计方法的信令交互图,该方法简单描述如下:
[0048] 201:客户端发送ClientHello消息,告诉服务端要求建立SSL连接,同时告诉服务端它支持的SSL版本以及它能够使用的加密套件和压缩算法;
[0049] 该ClientHello消息在通过防火墙时,将会被防火墙将其目的地址转换为内容审计设备的地址,以消息转发到内容审计设备;
[0050] 202:内容审计设备接收到ClientHello消息后,以客户端的身份向服务端发送*ClientHello 消息,请求建立SSL连接,并携带客户端支持的SSL版本以及它能够使用的加密套件和压缩算法。
[0051] 203:服务端收到ClientHello消息后,将会把内容审计设备看作客户端,向内容审计设备返回ServerHello消息,通知其所选择的加密套件和压缩算法;
[0052] 204:内容审计设备收到ServerHello消息后,以服务端的身份将ServerHello*消息发送给客户端;
[0053] 205:服务端向内容审计设备发送自己的数字证书,这个证书有两个作用,其一就是让客户端对服务端的身份进行认证,其二就是证书里包含有服务端的公钥,让客户端对用来产生以后数据加密密钥的信息进行加密;
[0054] 206:内容审计设备收到服务端的数字证书(Certificate)后,生成公私钥对,用*公私钥对中的公钥修改数字证书中的公钥信息,将修改后的数字证书(Certificate)发送给客户端;
[0055] 207:服务端向内容审计设备发送ServerHelloDone消息,表示服务端响应消息的结束;
[0056] 此时,服务端向客户端证明了自己的身份,双方商定好了数据加密套件和数据压缩算法,客户端也获得了对用来产生以后数据加密密钥的信息进行加密的密钥;
[0057] 208:内容审计设备收到服务端发送的ServerHelloDone消息后,向客户端发送*ServerHelloDone 消息,表示响应消息的结束;
[0058] 209:客户端收到数字证书和ServerHelloDone*消息后,选择第一随机数,根据第一随机数生成第一密钥,向服务端发送ClientKeyExchange消息,该消息携带用第一随机数,并且,为了增强安全性,该第一随机数是用内容审计设备发送的数字证书中的公钥加密的,该消息将会被防火墙转发至内容审计设备;
[0059] 210:内容审计设备收到ClientKeyExchange消息后,用自身的私钥解密第一随机数,根据第一随机数生成第一密钥;选择第二随机数,根据第二随机数用服务端公钥加密*生成第二密钥,并以客户端的身份向服务端发送ClientKeyExchange 消息,携带第二随机数;
[0060] 211:客户端向服务端发送ChangeCipherSpec消息,该消息携带确认的数据加密算法和哈希消息认证码算法,为了安全性,确认的数据加密算法和哈希消息认证码算法是用内容审计设备的公钥加密的,通知对端以后就用新产生的第一密钥和协商好的各种算法对数据进行加密;该消息将会被防火墙转发至内容审计设备;
[0061] 212:内容审计设备收到ChangeCipherSpec消息后,用自身的私钥解密确认的数*据加密算法和哈希消息认证码算法,以客户端的身份向服务端发送ChangeCipherSpec 消息,携带用服务端公钥加密的确认的数据加密算法和哈希消息认证码算法;
[0062] 213:客户端向服务端发送Finished消息,表示客户端一方握手的结束,该消息被防火墙转发至内容审计设备;
[0063] 214:内容审计设备收到Finished消息后,以客户端的身份向服务端发送*Finished 消息;
[0064] 215:服务端收到上述消息(ClientKeyExchange*消息和ChangeCipherSpec*消息)后,用自身的私钥解密消息中携带的信息,得到第二随机数和确认得数据加密算法和*哈希消息认证码算法,根据第二随机数生成第二密钥,当收到Finished 消息后,回应的ChangeCipherSpec消息,确认协商的各种算法;
[0065] 之后,服务端与内容审计设备间的通信将通过第二密钥进行加/解密;
[0066] 216:内容审计设备收到服务端回应的ChangeCipherSpec消息后,以服务端的身*份向客户端回应ChangeCipherSpec 消息,确认协商的各种算法;
[0067] 217:服务端发送Finished消息,表示服务端一方握手的结束确认;
[0068] 218:内容审计设备收到服务端发送的Finished消息后,向客户端发送Finished*消息;
[0069] 219:双方完成握手后,客户端与服务端相互发送数据,这些数据将通过内容审计设备进行中转,内容审计设备将会监控双方的通信内容。
[0070] 双方完成握手之后,客户端会用第一密钥加/解码传输数据,服务端会用第二密钥加/解码传输数据,内容审计设备将通过第一密钥对与客户端交互的传输数据进行加/解密,通过第二密钥对与服务端交互的传输数据进行加/解密。
[0071] 上述方法在正常的客户端与服务端之间插入了内容审计设备,即中间人,该设备同时具备客户端和服务端的功能。
[0072] 当客户端开始发起连接时,内容审计设备将响应这个连接,同时内容审计设备仿冒客户端向服务端发起连接,这时服务端就把自己的数字证书发给内容审计设备,内容审计设备没有服务端的私钥,为了能够对后期客户端发送的加密信息解密,需要根据这个证书的某些关键信息(公钥信息)重新伪造证书再发给客户端;
[0073] 进一步,内容审计设备同时与客户端和服务端分别建立起两条不同的SSL链路,并分别与客户端和服务端协商各自链路的安全加密套件;完成链路安全能力的协商后,内容审计设备就可以无阻的存储转发各自链路上的数据,进而监控双方的通信内容。
[0074] 本实施例通过具有网络地址转换功能的防火墙将客户端的流量转发至内容审计设备,内容审计设备通过假扮客户端和服务端的身份,能够获取到客户端和服务端交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路的内容审计需求,更好地维护企业或公司内部的秘密信息。
[0075] 实施例2
[0076] 参见图3,本实施例提供了一种基于安全协议的内容审计系统,该系统包括:第一通信方301、第二通信方302、防火墙303和内容审计设备304;其中,
[0077] 防火墙303用于接收到第一通信方301发送的连接请求后,将连接请求的目的地址转换为内容审计设备304的地址,将转换目的地址后的连接请求发送给内容审计设备304;
[0078] 内容审计设备304,用于接收该连接请求,向该连接请求对应的第二通信方302发起连接,并生成公钥,根据该公钥与所述第一通信方301建立安全协议链路,根据第二通信方302的公钥与第二通信方302建立安全协议链路;监控第一通信方301或第二通信方302通过安全协议链路转发的数据。
[0079] 进一步地,内容审计设备304包括:
[0080] 接收模块304a,用于接收防火墙303发送的连接请求、第二通信方302发送的数字证书和第一通信方301与第二通信方302交互的数据;
[0081] 连接发起模块304b,用于接收模块304a收到连接请求后,向第二通信方302发起连接;
[0082] 数字证书处理模块304c,用于接收模块304a收到第二通信方302发送携带第二通信方302的公钥的数字证书后,生成公钥,用所生成的公钥修改数字证书中的第二通信方302的公钥,将修改后的数字证书发送给第一通信方301;
[0083] 安全链路建立模块304d,用于根据数字证书处理模块304c修改后的数字证书中的公钥与第一通信方301建立安全协议链路,根据接收模块304a接收的携带第二通信方302的公钥的数字证书与第二通信方302建立安全协议链路;
[0084] 审计模块304e,用于监控第一通信方301或第二通信方302通过安全链路建立模块304d所建立的安全协议链路转发的数据。
[0085] 进一步地,为了增强安全性,该系统的第一通信方301上设置有安全措施,具体为:
[0086] 第一通信方301用于向服务器302发送连接请求,连接请求中携带安全信息,安全信息包括:第一通信方301支持的安全协议版本、加密套件和压缩算法;
[0087] 相应地,上述连接发起模块304b具体用于接收模块304a收到连接请求后,以第一通信方301的身份向第二通信方302转发连接请求;
[0088] 该系统的第二通信方302也具有相应的安全措施,具体为:
[0089] 第二通信方302用于收到连接请求后,从连接请求中的安全信息选择欲使用的数据加密套件和压缩算法,向内容审计设备304发送数字证书,数字证书携带第二通信方302的公钥信息、数据加密套件和压缩算法。
[0090] 其中,第一通信方301包括:
[0091] 请求发送模块,用于向第二通信方302发送连接请求,连接请求中携带安全信息,安全信息包括:第一通信方301支持的安全协议版本、加密套件和压缩算法;
[0092] 加密密钥发送模块,用于收到数字证书后,从数字证书中得到内容审计设备304的公钥,确认第二通信方302选择的数据加密套件和压缩算法,选择第一随机数,根据第一随机数生成第一密钥,使用内容审计设备304的公钥加密第一随机数,发送加密后的第一随机数;
[0093] 安全链路建立模块304d包括:
[0094] 解密子模块,用于收到第一通信方301发送的加密后的第一随机数后,用自身的私钥解码,得到第一随机数,根据第一随机数生成第一密钥;
[0095] 加密子模块,用于选择第二随机数,根据第二随机数生成第二密钥,使用第二通信方302的公钥加密第二随机数,向第二通信方302发送加密后的第二随机数;
[0096] 相应地,第二通信方302还用于收到加密后的第二随机数后,用自身的私钥进行解密,得到第二随机数,根据第二随机数生成第二密钥;
[0097] 第一通信方和内容审计设备304使用第一密钥加/解密传输数据;
[0098] 第二通信方302和内容审计设备304使用第二密钥加/解密传输数据。
[0099] 其中,本实施例中的第一通信方可以为客户端,第二通信方可以为服务端。
[0100] 本实施例提供的系统通过设置防火墙,将第一通信方的流量转发至内容审计设备,内容审计设备通过假扮第一通信方和第二通信方的身份,能够获取到第一通信方和第二通信方交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路的内容审计需求,更好地维护企业或公司内部的秘密信息。
[0101] 实施例3
[0102] 参见图4,本实施例提供了一种内容审计设备,设备包括:
[0103] 接收模块401,用于接收第一通信方发送的连接请求、第二通信方发送的数字证书和第一通信方与第二通信方交互的数据;
[0104] 连接发起模块402,用于接收模块401收到第一通信方的连接请求后,向连接请求对应的第二通信方发起连接;
[0105] 数字证书处理模块403,用于接收模块401收到第二通信方发送的携带第二通信方公钥的数字证书后,生成公钥,用公钥修改数字证书中的第二通信方的公钥,将修改后的数字证书发送给第一通信方;
[0106] 安全链路建立模块404,用于根据数字证书处理模块403修改后的数字证书中的公钥与第一通信方建立安全协议链路,根据接收模块401接收的携带第二通信方的公钥的数字证书与第二通信方建立安全协议链路;
[0107] 审计模块405,用于监控第一通信方和/或第二通信方通过安全链路建立模块404所建立的安全协议链路转发的数据。
[0108] 安全链路建立模块404具体包括:
[0109] 解密子模块,用于收到第一通信方发送的加密后的第一随机数后,用自身的私钥解密,得到第一随机数,根据第一随机数生成第一密钥;
[0110] 加密子模块,用于选择第二随机数,根据第二随机数生成第二密钥,使用第二通信方的公钥加密第二随机数,向第二通信方发送加密后的第二随机数;
[0111] 数据传输子模块,用于与第一通信方使用解密子模块生成的第一密钥加/解密传输数据;与第二通信方使用加密子模块生成的第二密钥加/解密传输数据。
[0112] 其中,本实施例中的第一通信方可以为客户端,第二通信方可以为服务端。
[0113] 本实施例提供的内容审计设备通过假扮第一通信方和第二通信方的身份,能够获取到第一通信方和第二通信方交互的内容,进而监控双方的通信,弥补了实际应用中对加密链路的内容审计需求,更好地维护企业或公司内部的秘密信息。
[0114] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0115] 以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
