本发明专利技术涉及一种基于HTTPS加密的网站过滤方法和系统,抓取终端向服务器发送的连接请求数据包,获取该数据包中的访问网站域名,在获取到的访问网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包,即禁止用户访问该网站,以达到网站过滤的目的,并且在过滤过程中并未获取用户端与服务器之间通信的数据包中的具体数据,使得在网站过滤时更加安全。
【技术实现步骤摘要】
基于HTTPS加密的网站过滤方法和系统
本专利技术涉及通信
,尤其涉及基于HTTPS加密的网站过滤方法和系统。
技术介绍
HTTPS(HypertextTransferProtocoloverSecureSocketLayer,超文本传输协议安全套接字层)是互联网上很通用的加密通讯方法,可以有效的保护通讯过程的安全性。但HTTPS在实现了加密通讯的同时,对网络过滤设备过滤造成了困难,无法根据访问网站URL(UniformResourceLocator,统一资源定位符)类型进行过滤。比如要实现禁止访问网上银行(一般是HTTPS加密的),但可以访问其他HTTPS网站就很难实现。要实现HTTPS的网站过滤,通用的方法是使用中间人攻击的方法,由过滤设备将客户端和服务器间的证书替换掉,使过滤设备可以看到明文的访问内容,从而实现过滤。但这个方法有很大的安全隐患,容易被利用,从而达到非法的目的,如窃取网银的密码。
技术实现思路
本专利技术的主要目的是提供一种基于HTTPS加密的网站过滤方法和系统,旨在使得在网站过滤时更加安全。本专利技术提出一种基于HTTPS加密的网站过滤方法,包括:接收到用户端发送的数据包时,确定接收到的数据包的类型;若接收到的数据包为连接请求数据包,则从所述连接请求数据包中,提取SNI服务器名字指示字段,并在提取的SNI服务器名字指示字段中确定待访问的网站域名,其中,若所述连接请求数据包中没有SNI服务器名字指示字段时,则获取所述连接请求数据包中的网站证书信息,并解析获取到的网站证书信息以确定待访问的网站域名;在确定的网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包。优选地,所述若接收到的数据包为连接请求数据包,则从所述连接请求数据包中,提取SNI服务器名字指示字段,并在提取的SNI服务器名字指示字段中确定待访问的网站域名的步骤之后,该方法包括:在确定的网站域名与预存的第二网页类型关键词匹配时,记录确定的网站域名。优选地,所述若接收到的数据包为连接请求数据包,则从所述连接请求数据包中,提取SNI服务器名字指示字段,并在提取的SNI服务器名字指示字段中确定待访问的网站域名的步骤之后,该方法还包括:在确定的网站域名与预存的所述第一网页类型关键词不匹配时,将接收到的数据包转发至服务器。优选地,所述确定接收到的数据包的类型的步骤之后,该方法还包括:若接收到的数据包不是连接请求数据包,则将接收到的数据包转发至服务器。本专利技术还提出一种基于HTTPS加密的网站过滤系统,包括:确定模块,用于接收到用户端发送的数据包时,确定接收到的数据包的类型,以及若接收到的数据包为连接请求数据包,则对获取到的连接请求数据包进行字段解析以确定待访问的网站域名;其中,所述确定模块包括:获取单元,用于从所述连接请求数据包中,提取SNI服务器名字指示字段;确定单元,用于在提取的SNI服务器名字指示字段中确定待访问的网站域名;其中,所述获取单元还用于若所述连接请求数据包中没有SNI服务器名字指示字段时,则获取所述连接请求数据包中的网站证书信息,所述确定单元还用于解析获取到的网站证书信息以确定待访问的网站域名;拦截模块,用于在确定的网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包。优选地,该系统还包括记录模块,用于在确定的网站域名与预存的第二网页类型关键词匹配时,记录确定的网站域名。优选地,该系统还包括第一转发模块,用于在在确定的网站域名与预存的所述第一网页类型关键词不匹配时,将接收到的数据包转发至服务器。优选地,该系统还包括第二转发模块,用于若接收到的数据包不是连接请求数据包,则将接收到的数据包转发至服务器。本专利技术提出一种基于HTTPS加密的网站过滤方法和系统,抓取终端向服务器发送的连接请求数据包,获取该数据包中的访问网站域名,在获取到的访问网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包,即禁止用户访问该网站,以达到网站过滤的目的,并且在过滤过程中并未获取用户端与服务器之间通信的数据包中的具体数据,使得在网站过滤时更加安全。附图说明图1为本专利技术基于HTTPS加密的网站过滤方法第一实施例的流程示意图;图2为本专利技术基于HTTPS加密的网站过滤方法第二实施例的流程示意图;图3为图1中步骤S20第一实施例的具体流程示意图;图4为图1中步骤S20第二实施例的具体流程示意图;图5为本专利技术基于HTTPS加密的网站过滤方法第三实施例的流程示意图;图6为本专利技术基于HTTPS加密的网站过滤方法第四实施例的流程示意图;图7为本专利技术基于HTTPS加密的网站过滤系统第一实施例的结构示意图;图8为本专利技术基于HTTPS加密的网站过滤系统第二实施例的结构示意图图9为图7中确定模块的具体结构示意图;图10为本专利技术基于HTTPS加密的网站过滤系统第三实施例的结构示意图;图11为本专利技术基于HTTPS加密的网站过滤系统第四实施例的结构示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式下面结合附图及具体实施例就本专利技术的技术方案做进一步的说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。名词解释:SNI(ServerNameIndication,服务器名字指示)是在RFC3546中定义的TLS(TransportLayerSecurity,安全层传输协议)的一个重要扩展。可以在TLS握手过程的握手请求数据包中,标识客户端访问的域名。这个特性使服务端可以在同一个IP的同一端口上提供多个HTTPS站点,且这些站点可以使用不同的证书。参照图1,图1为本专利技术基于HTTPS加密的网站过滤方法第一实施例的流程示意图。本专利技术提出一种基于HTTPS加密的网站过滤方法,包括:步骤S10,接收到用户端发送的数据包时,确定接收到的数据包的类型;在本实施例中基于HTTPS加密的网站过滤方法运行于用户端与服务器之间的转发设备(如路由器上),该转发设备抓取用户端向服务器发送的数据包,并根据数据包的标识头或其它标识字段确定接收到的数据包的类型。步骤S20,若接收到的数据包为连接请求数据包,则对获取到的连接请求数据包进行字段解析以确定待访问的网站域名;在用户端向服务器发送的连接请求数据包中包含带访问的网站域名,则对获取到的连接请求数据包进行解析即可获取到待访问的网站域名,网站域名是指网站的网址。步骤S30,在确定的网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包。在本实施例中,该第一网页类型的关键词可为某一网站名称,例如该关键词百度,则所要过滤的网站为与百度有关的所有连接地址,则当获取到的连接请求数据包中的网站域名包括baidu,则过滤该网站,即不响应该连接请求数据包;第一网页类型也可为如暴力等某一类别的网站,在第一网页类型的子目录下预存暴力类型的网站地址,将获取到的访问网站域名与预存的第一网页类型的子目录下的网站地址依次进行匹配,当获取到的访问网站域名与预存的第一网页类型匹配时,不响应用户端所发送的连接请求数据包,也可预存多个网站类型,将获取到的访问网站域名与不同类型子目录下保存的网站地址依次进行匹配,以实现网站过滤的多样性。本实施例提本文档来自技高网...
【技术保护点】
一种基于HTTPS加密的网站过滤方法,其特征在于,包括:接收到用户端发送的数据包时,确定接收到的数据包的类型;若接收到的数据包为连接请求数据包,则对获取到的连接请求数据包进行字段解析以确定待访问的网站域名;在确定的网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包。
【技术特征摘要】
1.一种基于HTTPS加密的网站过滤方法,其特征在于,包括:接收到用户端发送的数据包时,确定接收到的数据包的类型;若接收到的数据包为连接请求数据包,则从所述连接请求数据包中,提取SNI服务器名字指示字段,并在提取的SNI服务器名字指示字段中确定待访问的网站域名,其中,若所述连接请求数据包中没有SNI服务器名字指示字段时,则获取所述连接请求数据包中的网站证书信息,并解析获取到的网站证书信息以确定待访问的网站域名;在确定的网站域名与预存的第一网页类型关键词匹配时,拦截用户端所发送的连接请求数据包。2.根据权利要求1所述的方法,其特征在于,所述若接收到的数据包为连接请求数据包,则从所述连接请求数据包中,提取SNI服务器名字指示字段,并在提取的SNI服务器名字指示字段中确定待访问的网站域名的步骤之后,该方法包括:在确定的网站域名与预存的第二网页类型关键词匹配时,记录确定的网站域名。3.根据权利要求1或2所述的方法,其特征在于,所述若接收到的数据包为连接请求数据包,则从所述连接请求数据包中,提取SNI服务器名字指示字段,并在提取的SNI服务器名字指示字段中确定待访问的网站域名的步骤之后,该方法还包括:在确定的网站域名与预存的所述第一网页类型关键词不匹配时,将接收到的数据包转发至服务器。4.根据权利要求1或2所述的方法,其特征在于,所述确定接收到的数据包的类型的步骤之后,该方法还包...
【专利技术属性】
技术研发人员:袁义金,
申请(专利权)人:深信服网络科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。