加密流量处理方法、装置、电子设备、介质及程序制造方法及图纸

本发明专利技术涉及一种加密流量处理方法、装置、电子设备、介质及程序。该方法包括：作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息；所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与服务端之间的第二主会话密钥。本发明专利技术通过终端中的网络驱动程序捕获被监控进程的握手信息，并对握手信息进行中间人替换，生成与网络驱动程序之间以及与服务端之间的主会话密钥，用于加密流量分析，减少了网关设备的计算资源消耗，有效避免了证书告警的问题。效避免了证书告警的问题。效避免了证书告警的问题。

【技术实现步骤摘要】
加密流量处理方法、装置、电子设备、介质及程序


[0001]本专利技术涉及信息安全
，尤其涉及一种加密流量处理方法、装置、电子设备、介质及程序。

技术介绍

[0002]随着HTTPS的普及，大量攻击流量也使用加密流量进行发送接收，对终端和网关设备的流量分析带来困难。
[0003]现有的加密流量处理方案大多是在企业网络的网关设备中制造中间人，用中间人转发加密流量的方式做流量分析监控。这样，每个加密通讯连接的加密流量在网关设备都有解密再加密的过程，在网关设备处产生大量计算资源消耗，而且因为中间人存在证书替换，终端容易因为证书替换感知到中间人过程的存在，产生警告。
[0004]对于现有技术中利用中间人转发加密流量进行流量处理的技术方案存在的计算资源消耗较大，且终端容易产生证书告警的技术缺陷，现亟需一种解决上述缺陷的技术方案。

技术实现思路

[0005]本专利技术提供一种加密流量处理方法、装置、电子设备、介质及程序，用以解决现有技术中网关设备计算资源消耗较大，且终端容易产生证书告警的缺陷。
[0006]本专利技术提供一种加密流量处理方法，包括：作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息；其中，所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息；所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
[0007]根据本专利技术提供的一种加密流量处理方法，所述网络驱动程序是移植有加/解密算法和密钥交换算法的网络驱动程序。
[0008]根据本专利技术提供的一种加密流量处理方法，所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥，包括：将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息，并发送至所述服务端；接收所述服务端返回的MS_ServerHello信息，根据所述CM_ClientHello信息，以及所述MS_ServerHello信息，生成CM_ServerHello信息，并将所述MS_ServerHello信息替换为CM_ServerHello信息，发送至所述被监控进程；接收所述服务端返回的MS_Certificate信息，根据中间人证书生成CM__
Certificate信息，并将所述MS_Certificate信息替换为所述CM__Certificate信息，并发送至所述被监控进程；接收所述服务端返回的MS_ServerKeyExchange信息，将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息，发送至所述服务端；获取所述被监控进程发出的CM_ClientKeyExchange信息，根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息，并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息，发送至所述服务端；根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息，生成CM_mastersecret，作为所述第一主会话密钥；根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息，生成MS_mastersecret，作为所述第二主会话密钥。
[0009]根据本专利技术提供的一种加密流量处理方法，在所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后，方法还包括：根据所述第一主会话密钥，对所述被监控进程发出的密文数据进行解密，得到第一明文数据；根据所述第二主会话密钥，对所述第一明文数据进行加密，得到第一替换密文数据；将所述第一替换密文数据发送至所述服务端。
[0010]根据本专利技术提供的一种加密流量处理方法，在根据所述第一主会话密钥，对所述被监控进程发出的密文数据进行解密，得到第一明文数据之后，方法还包括：对所述第一明文数据进行过滤，根据过滤结果确定是否对所述被监控进程发出的密文数据进行阻断；和/或将所述第一明文数据转发至过滤分析程序，以使得所述过滤分析程序对所述被监控进程发出的密文数据进行旁路检测。
[0011]根据本专利技术提供的一种加密流量处理方法，在所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后，方法还包括：根据所述第二主会话密钥，对接收到的所述服务端发出的密文数据进行解密，得到第二明文数据；根据所述第一主会话密钥，对所述第二明文数据进行加密，得到第二替换密文数据；将所述第二替换密文数据发送至所述被监控进程。
[0012]根据本专利技术提供的一种加密流量处理方法，在根据所述第二主会话密钥，对接收到的所述服务端发出的密文数据进行解密，得到第二明文数据之后，方法还包括：对所述第二明文数据进行过滤，根据过滤结果确定是否对所述接收到的所述服务端发出的密文数据进行阻断；和/或将所述第二明文数据转发至过滤分析程序，以使得所述过滤分析程序对所述接收
到的所述服务端发出的密文数据进行旁路检测。
[0013]根据本专利技术提供的一种加密流量处理方法，在所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后，方法还包括：将所述第二主会话密钥传输至网关设备，以使得所述网关设备对所述被监控进程发出的密文数据和/或接收到的所述服务端发出的密文数据进行流量处理。
[0014]本专利技术还提供一种加密流量处理装置，包括：流量捕获模块，用于利用作为通信连接发起端的终端设备中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息；其中，所述握手信息是终端内被监控的进程与服务端建立加密通讯连接过程中的握手信息；密钥生成模块，用于利用所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥。
[0015]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述加密流量处理方法的全部或部分步骤。
[0016]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述加密流量处理方法的全部或部分步骤。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种加密流量处理方法，其特征在于，包括：作为通信连接发起端的终端中的网络驱动程序捕获被监控进程的基于安全套接字协议的握手信息；其中，所述握手信息是所述终端内被监控进程与服务端建立加密通讯连接过程中的握手信息；所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥。2.根据权利要求1所述的加密流量处理方法，其特征在于，所述网络驱动程序是移植有加/解密算法和密钥交换算法的网络驱动程序。3.根据权利要求1所述的加密流量处理方法，其特征在于，所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥，包括：将所述被监控进程发出的CM_ClientHello信息替换为MS_ClientHello信息，并发送至所述服务端；接收所述服务端返回的MS_ServerHello信息，根据所述CM_ClientHello信息，以及所述MS_ServerHello信息，生成CM_ServerHello信息，并将所述MS_ServerHello信息替换为CM_ServerHello信息，发送至所述被监控进程；接收所述服务端返回的MS_Certificate信息，根据中间人证书生成CM__Certificate信息，并将所述MS_Certificate信息替换为所述CM__Certificate信息，并发送至所述被监控进程；接收所述服务端返回的MS_ServerKeyExchange信息，将所述MS_ServerKeyExchange信息替换为CM_ServerKeyExchange信息，发送至所述服务端；获取所述被监控进程发出的CM_ClientKeyExchange信息，根据所述MS_ServerHello信息、MS_Certificate信息、MS_ServerKeyExchange信息生成MS_ClientKeyExchange信息，并将所述CM_ClientKeyExchange信息替换为所述MS_ClientKeyExchange信息，发送至所述服务端；根据所述CM_ServerKeyExchange信息以及所述CM_ClientKeyExchange信息，生成CM_mastersecret，作为所述第一主会话密钥；根据所述MS_ServerKeyExchange信息以及所述MS_ClientKeyExchange信息，生成MS_mastersecret，作为所述第二主会话密钥。4.根据权利要求1所述的加密流量处理方法，其特征在于，在所述网络驱动程序对所述握手信息进行中间人替换，生成所述被监控进程与所述网络驱动程序之间的第一主会话密钥，以及所述网络驱动程序与所述服务端之间的第二主会话密钥之后，方法还包括：根据所述第一主会话密钥，对所述被监控进程发出的密文数据进行解密，得到第一明文数据；根据所述第二主会话密钥，对所述第一明文数据进...

【专利技术属性】
技术研发人员：李博，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：