基于HTTPS协议的报文处理方法以及装置制造方法及图纸

本申请公开一种基于HTTPS协议的报文处理方法，包括：接收客户端发送的HTTPS请求；根据所述HTTPS请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。所述基于HTTPS协议的报文处理方法，对客户的私钥进行加密并以密文形式进行存储，降低了客户的私钥的泄漏风险。

Message processing method and device based on HTTPS protocol

The present invention discloses a message processing method, based on the HTTPS protocol includes: receiving the client to send the HTTPS request; according to the HTTPS request access to the target domain, the first private key database search in the preset and read the target domain name corresponding to the encrypted ciphertext; to decrypt the first private key encrypted ciphertext using second key pre configured, won the first private key corresponding to the private key; using the first symmetric key containing the HTTPS request encrypted ciphertext for decryption, obtain the corresponding symmetric key. The message processing method based on HTTPS protocol encrypts the customer's private key and stores it in ciphertext form, which reduces the risk of customer's private key's leakage.

【技术实现步骤摘要】
基于HTTPS协议的报文处理方法以及装置
本申请涉及HTTPS传输
，具体涉及一种基于HTTPS协议的报文处理方法。本申请同时涉及一种基于HTTPS协议的报文处理装置，另一种基于HTTPS协议的报文处理方法以及装置，以及两种网络设备。
技术介绍
随着互联网和云计算的迅速发展，越来越多的业务依赖于网络技术和云计算，在网络中，用户使用的最广泛的客户端就是浏览器，例如，智能手机上安装的浏览器、个人电脑上安装的浏览器，用户可通过浏览器浏览网页、向服务器上传数据以及从服务器下载数据。考虑到客户端与服务器之间传输数据的安全性，客户端和服务器之间通过HTTPS(HyperTextTransferProtocoloverSecureSocketLayer)进行数据通信，HTTPS是在HTTP(Hypertexttransferprotocol，超文本传输协议)基础上提出的一种安全的HTTP协议，HTTP协议在TCP协议之上，而HTTPS提出在HTTP和TCP中间加上一层加密层SSL(SecureSocketLayer，安全套接字)/TLS(TransportLayerSecurityProtocol，安全传输层协议)，从数据发送端来看，SSL/TLS负责将传输的内容加密后送到下层的TCP，从数据接收方来看，SSL/TLS负责将TCP传输来的内容解密还原成相应内容。但随着互联网和云计算普及程度的不断提高，网站的域名受攻击的风险越来越大，网站的域名受到DDoS(DistributedDenialofService，分布式拒绝服务)攻击的次数越来越多，但多数网站的带宽不足已支撑大规模的DDoS攻击，存在较大的风险；此外，大量的XSS跨站脚本、SQL注入等方式的Web攻击也让网站防不胜防。目前，基于HTTPS对数据进行的加密传输，HTTPS在传输数据之前需要客户端和服务器之间进行一次握手，以确立双方加密传输数据的密钥(数字证书)，在握手过程中，客户端发送一个连接请求给服务器，服务器将自己的证书，以及同证书相关的信息发送给客户端，客户端检查服务器发送的证书是否为受信赖的CA(CertificateAuthority，证书颁发机构)颁发的，若是，就继续执行握手过程；若否，则发出警告消息确认是否继续访问；客户端随机产生一个用于进行数据加密传输“对称密钥”(采用对称加密的方式进行加密)，然后用服务器的公钥对其进行加密后发送给服务器，客户端和服务器在握手之后进行数据的加密传输，客户端和服务器利用对称密钥对相互之间传输的加密数据进行解密，解密后获得相应的数据包。现有技术提供的所述基于HTTPS对数据进行加密传输的实现方式，对称密钥由客户端生成后发送给服务器，并且是由客户端利用服务器的公钥将对称密钥加密后以密文的形式发送给服务器，服务器需要相应密钥对中的私钥将对称密钥解密为明文，而在此过程中，如果网站设置有防火墙，则需要将网站服务器的私钥(即客户的私钥)上传至防火墙，一旦网站的防火墙被入侵，存在客户私钥泄漏风险，因此，客户私钥的安全性较低。
技术实现思路
本申请提供一种基于HTTPS协议的报文处理方法，以解决现有技术存在的客户私钥的安全性较低的问题。本申请同时涉及一种基于HTTPS协议的报文处理装置，另一种基于HTTPS协议的报文处理方法以及装置，以及两种网络设备。本申请提供一种基于HTTPS协议的报文处理方法，包括：接收客户端发送的HTTPS请求；根据所述HTTPS请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；其中，所述第二私钥和所述第二公钥属于同一密钥对。可选的，所述第一私钥的加密在隔离网络的环境中执行。可选的，所述第二私钥和所述第二公钥由预设的加密机生成。可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。可选的，所述对称密钥用于后续客户端与服务端之间的数据加密传输。本申请还提供一种基于HTTPS协议的报文处理装置，包括：HTTPS请求接收单元，用于接收客户端发送的HTTPS请求；第一私钥加密密文读取单元，用于根据所述HTTPS请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；第一私钥加密密文解密单元，用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；对称密钥加密密文解密单元，用于利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。本申请另外提供一种基于HTTPS协议的报文处理方法，包括：接收客户端发送的HTTPS请求；根据所述HTTPS请求访问的目标域名，利用预先配置的对称密钥对所述HTTPS请求进行解密，获得对应的数据包；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；通过分析所述数据包，判断所述目标域名是否存在DDoS攻击，若否，向所述目标域名对应的服务端发送所述HTTPS请求。可选的，所述通过分析所述数据包，判断所述目标域名是否存在DDoS攻击步骤，若所述目标域名存在DDoS攻击，则执行下述步骤：拦截所述HTTPS请求，和/或，发出存在DDoS攻击的提醒信息。可选的，所述数据包中包含所述目标域名的访问参数；其中，所述访问参数包括：流量、访问IP、访问频次。可选的，所述判断所述目标域名是否存在DDoS攻击，采用如下方式实现：判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值，若否，执行下一步。可选的，所述判断所述目标域名是否存在DDoS攻击，采用如下方式实现：分别判断预设时间间隔内所述目标域名各个访问IP的访问频次是否大于预设访问频次阈值，若否，执行下一步。可选的，所述接收客户端发送的HTTPS请求步骤执行之前，执行下述步骤：接收所述客户端发送的数据请求；判断所述数据请求的请求类型是否为所述HTTPS请求；若是，执行所述接收客户端发送的HTTPS请求步骤；若否，禁止所述数据请求访问所述目标域名，或者，拦截所述数据请求。可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；其中，所述第二私钥和所述第二公钥属于同一密钥对。可选的，所述第一私钥的加密在隔离网络的环境中执行。可选的，所述第二私钥和所述第二公钥由预设的加密机生成。可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。本申请另外提供一种基于HTTPS协议本文档来自技高网...

【技术保护点】
一种基于HTTPS协议的报文处理方法，其特征在于，包括：接收客户端发送的HTTPS请求；根据所述HTTPS请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。

【技术特征摘要】
1.一种基于HTTPS协议的报文处理方法，其特征在于，包括：接收客户端发送的HTTPS请求；根据所述HTTPS请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。2.根据权利要求1所述的基于HTTPS协议的报文处理方法，其特征在于，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；其中，所述第二私钥和所述第二公钥属于同一密钥对。3.根据权利要求2所述的基于HTTPS协议的报文处理方法，其特征在于，所述第一私钥的加密在隔离网络的环境中执行。4.根据权利要求2所述的基于HTTPS协议的报文处理方法，其特征在于，所述第二私钥和所述第二公钥由预设的加密机生成。5.根据权利要求4所述的基于HTTPS协议的报文处理方法，其特征在于，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。6.根据权利要求5所述的基于HTTPS协议的报文处理方法，其特征在于，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。7.根据权利要求1所述的基于HTTPS协议的报文处理方法，其特征在于，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。8.根据权利要求1所述的基于HTTPS协议的报文处理方法，其特征在于，所述对称密钥用于后续客户端与服务端之间的数据加密传输。9.一种基于HTTPS协议的报文处理装置，其特征在于，包括：HTTPS请求接收单元，用于接收客户端发送的HTTPS请求；第一私钥加密密文读取单元，用于根据所述HTTPS请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；第一私钥加密密文解密单元，用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；对称密钥加密密文解密单元，用于利用所述第一私钥对所述HTTPS请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。10.一种基于HTTPS协议的报文处理方法，其特征在于，包括：接收客户端发送的HTTPS请求；根据所述HTTPS请求访问的目标域名，利用预先配置的对称密钥对所述HTTPS请求进行解密，获得对应的数据包；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；通过分析所述数据包，判断所述目标域名是否存在DDoS攻击，若否，向所述目标域名对应的服务端发送所述HTTPS请求。11.根据权利要求10所述的基于HTTPS协议的报文处理方法，其特征在于，所述通过分析所述数据包，判断所述目标域名是否存在DDoS攻击步骤，若所述目标域名存在DDoS攻击，则执行下述步骤：拦截所述HTTPS请求，和/或，发出存在DDoS攻击的提醒信息。12.根据权利要求10所述的基于HTTPS协议的报文处理方法，其特征在于，所述数据包中包含所述目标域名的访问参数；其中，所述访问参数包括：流量、访问IP、访问频次。13.根据权利要求12所述的基于HTTPS协议的报文处理方法，其特征在于，所述判断所述目标域名是否存在DDoS攻击，采用如下方式实现：判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值，若否，执行下一步。14.根据权利要求12所述的基于HTTPS协议的报文处理方法，其特征在于，所述判断所述目标域名是否存在D...

【专利技术属性】
技术研发人员：龚霖，林贤圩，蒋海滔，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY