一种ssl或tls流量多级过滤方法和系统技术方案

本发明专利技术公开了一种ssl或tls流量多级过滤方法和系统，通过接收ssl或tls流量报文作为第一目标流量报文，根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文，若否，则将第一目标流量报文直接发送给流量代理模块，若是，则在所述第一目标流量报文的表示层解析对应流量数据，对ssl或tls协议握手信息进行处理，得到第二目标流量报文，判断所述所述第二目标流量报文是否为加密流量报文；若是，则获取第二目标流量报文的加密套件信息，将第二目标流量报文输入对应的加密流量卸载引擎中，获取加密流量卸载后的第三目标流量报文，将第三目标流量报文发送流量代理模块。量报文发送流量代理模块。量报文发送流量代理模块。

【技术实现步骤摘要】
一种ssl或tls流量多级过滤方法和系统


[0001]本申请涉及ssl或tls流量多级过滤
，特别是涉及一种ssl或tls流量多级过滤方法和系统。

技术介绍

[0002]随着时代的发展，为了保证信息的安全性，人们将互联网与密码学关联了起来，将连接到互联网的设备间通信的信息数据通过ssl或tls和TLS协议进行加密保护传输。
[0003]随着ssl或tls加密流量的增加，有越来越多的人关注这些流量引发的安全问题及相关解决方案，同时加密/非加密流量混杂在一起的情况越来越多。目前针对ssl或tls流量卸载相关解决方案通常采用对流量采用对称加解密/非对称加解密算法进行加解密操作。这些方案通常具有以下问题：
[0004]1、将加密流量和非加密流量混杂在一起处理，在开启ssl或tls流量处理后，硬件设备整体性能将大幅度下降，影响其他功能。
[0005]2、对称加密不可靠，或管理复杂。
[0006]3、非对称加密中解密计算占整个握手过程的90％以上，导致硬件设备整体性能将大幅度下降，影响其他功能。

技术实现思路

[0007]基于此，针对上述技术问题，提供一种ssl或tls流量多级过滤方法和系统以解决现有针对ssl或tls流量卸载方案中存在硬件设备整体性能大幅度下降，影响其他功能以及不可靠，或管理复杂的问题。
[0008]第一方面，一种ssl或tls流量多级过滤方法，所述方法包括：
[0009]接收ssl或tls流量报文作为第一目标流量报文；
[0010]解析所述第一目标流量报文，获取所述第一目标流量报文的四元组数据，根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文；若否，则将所述第一目标流量报文发送给流量代理模块；
[0011]若是，则在所述第一目标流量报文的表示层解析对应流量数据，获取所述第一目标流量报文中的ssl或tls协议握手信息，并对所述ssl或tls协议握手信息进行处理，得到第二目标流量报文，根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文；若否，则将所述第二目标流量报文发送给流量代理模块；
[0012]若是，则获取所述第二目标流量报文的加密套件信息，根据所述加密套件信息和对应加密算法，将所述第二目标流量报文输入对应的加密流量卸载引擎中，获取加密流量卸载后的第三目标流量报文，将所述第三目标流量报文发送流量代理模块。
[0013]上述方案中，可选地，所述流量代理模块包括：
[0014]接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文，获取所述
目标流量报文中应用层对应的数据信息，根据所述数据信息与预设规则对比，选取对应代理方式代理到服务器。
[0015]上述方案中，进一步可选地，所述根据所述数据信息与预设规则对比，选取对应代理方式转发给服务器，包括：
[0016]若所述目标流量报文协议为mail协议，则通过邮件代理服务器转发，并根据所述目标流量报文是否开启了starttls标志，选择对应的流量代理流程将所述目标流量报文代理到服务器；
[0017]若所述目标流量报文协议为https协议，则判断其中认证方式内容，选择对应的http流量代理方式将所述目标流量报文代理到服务器；
[0018]若所述目标流量报文协议为其他tcp协议，则通过tcp代理转发的方式将所述目标流量报文代理到服务器。
[0019]上述方案中，进一步可选地，所述根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文包括：若所述第一目标流量报文符合预设策略特征，则为是；
[0020]若所述第一目标流量报文不符合预设策略特征，则为否。
[0021]上述方案中，进一步可选地，，所述对所述ssl或tls协议握手信息进行处理，得到第二目标流量报文包括：通过openssl或tls库对所述第一目标流量报文的Clienthello、Serverhello、Certificate和NewSessionTicket握手信息进行处理，得到第二目标流量报文。
[0022]上述方案中，进一步可选地，，所述对应的加密流量卸载引擎包括RSA解密引擎和硬件解密引擎。
[0023]第二方面，一种ssl或tls流量多级过滤系统，所述系统包括：
[0024]接收模块：用于接收ssl或tls流量报文作为第一目标流量报文；
[0025]第一判断模块：用于解析所述第一目标流量报文，获取所述第一目标流量报文的四元组数据，根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文；若否，则将所述第一目标流量报文发送给流量代理模块；
[0026]第二判断模块：用于在所述第一目标流量报文的表示层解析对应流量数据，获取所述第一目标流量报文中的ssl或tls协议握手信息，并对所述ssl或tls协议握手信息进行处理，得到第二目标流量报文，根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文；若否，则将所述第二目标流量报文发送给流量代理模块；
[0027]解密模块：用于获取所述第二目标流量报文的加密套件信息，根据所述加密套件信息和对应加密算法，将所述第二目标流量报文输入对应的加密流量卸载引擎中，获取加密流量卸载后的第三目标流量报文，将所述第三目标流量报文发送流量代理模块。
[0028]可选的，所述流量代理模块：用于接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文，获取所述目标流量报文中应用层对应的数据信息，根据所述数据信息与预设规则对比，选取对应代理方式代理到服务器。
[0029]第三方面，一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
[0030]接收ssl或tls流量报文作为第一目标流量报文；
[0031]解析所述第一目标流量报文，获取所述第一目标流量报文的四元组数据，根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文；若否，则将所述第一目标流量报文发送给流量代理模块；
[0032]若是，则在所述第一目标流量报文的表示层解析对应流量数据，获取所述第一目标流量报文中的ssl或tls协议握手信息，并对所述ssl或tls协议握手信息进行处理，得到第二目标流量报文，根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文；若否，则将所述第二目标流量报文发送给流量代理模块；
[0033]若是，则获取所述第二目标流量报文的加密套件信息，根据所述加密套件信息和对应加密算法，将所述第二目标流量报文输入对应的加密流量卸载引擎中，获取加密流量卸载后的第三目标流量报文，将所述第三目标流量报文发送流量代理模块。
[0034]第四方面，一种计算机本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种ss l或t l s流量多级过滤方法，其特征在于，所述方法包括：接收ss l或t l s流量报文作为第一目标流量报文；解析所述第一目标流量报文，获取所述第一目标流量报文的四元组数据，根据预设策略，以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文；若否，则将所述第一目标流量报文发送给流量代理模块；若是，则在所述第一目标流量报文的表示层解析对应流量数据，获取所述第一目标流量报文中的ss l或t l s协议握手信息，并对所述ss l或t l s协议握手信息进行处理，得到第二目标流量报文，根据预设策略以及所述第二目标流量报文的四元组数据判断所述所述第二目标流量报文是否为加密流量报文；若否，则将所述第二目标流量报文发送给流量代理模块；若是，则获取所述第二目标流量报文的加密套件信息，根据所述加密套件信息和对应加密算法，将所述第二目标流量报文输入对应的加密流量卸载引擎中，获取加密流量卸载后的第三目标流量报文，将所述第三目标流量报文发送流量代理模块。2.根据权利要求1所述的方法，其特征在于，所述流量代理模块包括：接收所述第一目标流量报文、第二目标流量报文或第三目标流量报文，获取所述目标流量报文中应用层对应的数据信息，根据所述数据信息与预设规则对比，选取对应代理方式代理到服务器。3.根据权利要求2所述的方法，其特征在于，所述根据所述数据信息与预设规则对比，选取对应代理方式转发给服务器，包括：若所述目标流量报文协议为ma i l协议，则通过邮件代理服务器转发，并根据所述目标流量报文是否开启了startt l s标志，选择对应的流量代理流程将所述目标流量报文代理到服务器；若所述目标流量报文协议为https协议，则判断其中认证方式内容，选择对应的http流量代理方式将所述目标流量报文代理到服务器；若所述目标流量报文协议为其他tcp协议，则通过tcp代理转发的方式将所述目标流量报文代理到服务器。4.根据权利要求1所述的方法，其特征在于，所述根据预设策略以及所述第一目标流量报文的四元组数据判断所述第一目标流量报文是否为加密流量报文包括：若所述第一目标流量报文符合预设策略特征，则为是；若所述第一目标流量报文不符合预设策略特征，则为否...

【专利技术属性】
技术研发人员：刘庆林，李小琼，魏海宇，谢辉，安恩庆，张乃亮，杨晓峰，刘海洋，姜小光，晏光林，
申请(专利权)人：北京中睿天下信息技术有限公司，
类型：发明
国别省市：