【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1、本专利技术涉及计算机安全性,且特定来说涉及保护用户免受恶意因特网内容的影响。
2、恶意软件(还称为恶意软件(malware))影响全世界的大量计算机系统。在其许多形式(例如计算机病毒、特洛伊木马程序(trojan horses)、间谍软件及勒索软件)中,恶意软件给数百万计算机用户带来严重风险,从而使所述计算机用户易受数据及敏感信息丢失、身份盗用及生产力损失以及其它。恶意软件扩散的重要途径是用户无意中访问恶意或欺诈性在线内容。
3、同时,越来越多的被非正式称为物联网(iot)的装置连接到通信网络及因特网。此类装置包含(除其它之外)智能电话、智能手表、tv及其它多媒体装置、游戏控制台、家庭器具以及各种家庭传感器,例如恒温器。随着更多此类装置上线,其将面临例如恶意软件及入侵等安全性威胁。因此,越来越需要保护此类装置免受恶意软件的影响,以及保护来往于此类装置的通信。随着物联网的出现重新引起人们兴趣的特定领域包含访问控制应用,例如父母控制及防止机密信息经由iot装置传输。
4、保护用户及装置的常规方法包含采用例如网络网关等安全性器具以在尝试访问远程因特网资源的同时拦截由受保护装置发送的访问请求(例如,http)及/或域名服务(dns)请求。然后,可将所拦截请求中指定的域名或ip地址与已知恶意域或地址的黑名单进行比较。安全性器具因此可阻止对不安全域或地址的访问。
5、最近对用户隐私的关注导致对经加密域名服务(举例来说,在因特网工程任务组(ietf)的征求意见稿(rfc)8484
6、因此,对于开发在经加密dns及使用经加密握手的通信协议的情形中实现业务筛选的计算机安全性系统及方法存在相当大的兴趣。
技术实现思路
1、根据一个方面,一种方法包括采用计算机系统的至少一个硬件处理器来拦截用于在客户端装置与远程内容服务器之间建立经加密通信会话的客户端握手消息。所述客户端握手消息包含存储所述远程内容服务器的标识符的经加密区段。所述方法进一步包括对所述经加密区段进行解密以检索所述远程内容服务器的所述标识符,以及根据所述远程内容服务器的所述标识符来确定与所述客户端装置相关联的访问策略是否允许所述客户端装置访问所述远程内容服务器。作为响应,当所述访问策略允许所述客户端装置访问所述远程内容服务器时,所述方法进一步包括根据所述远程内容服务器的所述标识符来确定握手加密密钥,及通过用存储所述远程内容服务器的所述标识符的替代经加密区段替换所述经加密区段而修改所述客户端握手消息。所述替代经加密区段是使用所述握手加密密钥来加密的。所述方法进一步包括将所述经修改握手消息传输到所述客户端握手消息的目的地,以及响应于拦截由所述远程内容服务器在所述经加密通信会话内发送的另一消息,将所述另一消息中继到所述客户端装置。
2、根据另一方面,一种计算机系统包括至少一个硬件处理器,所述至少一个硬件处理器经编程以执行业务筛选器,所述业务筛选器经配置以拦截用于在客户端装置与远程内容服务器之间建立经加密通信会话的客户端握手消息。所述客户端握手消息包含存储所述远程内容服务器的标识符的经加密区段。所述业务筛选器进一步经配置以对所述经加密区段进行解密以检索所述远程内容服务器的所述标识符,以及根据所述远程内容服务器的所述标识符来确定与所述客户端装置相关联的访问策略是否允许所述客户端装置访问所述远程内容服务器。作为响应,当所述访问策略允许所述客户端装置访问所述远程内容服务器时,所述业务筛选器进一步经配置以根据所述远程内容服务器的所述标识符来确定握手加密密钥,且通过用存储所述远程内容服务器的所述标识符的替代经加密区段替换所述经加密区段而修改所述客户端握手消息。所述替代经加密区段是使用所述握手加密密钥来加密的。所述业务筛选器进一步经配置以将所述经修改握手消息传输到所述客户端握手消息的目的地,以及响应于拦截由所述远程内容服务器在所述经加密通信会话内发送的另一消息,将所述另一消息中继到所述客户端装置。
3、根据另一方面,一种非暂时性计算机可读媒体存储指令,所述指令在由计算机系统的至少一个硬件处理器执行时,致使所述计算机系统执行网络筛选器,所述网络筛选器经配置以拦截用于在客户端装置与远程内容服务器之间建立经加密通信会话的客户端握手消息。所述客户端握手消息包含存储所述远程内容服务器的标识符的经加密区段。业务筛选器进一步经配置以对所述经加密区段进行解密以检索所述远程内容服务器的所述标识符,以及根据所述远程内容服务器的所述标识符来确定与所述客户端装置相关联的访问策略是否允许所述客户端装置访问所述远程内容服务器。作为响应,当所述访问策略允许所述客户端装置访问所述远程内容服务器时,所述业务筛选器进一步经配置以根据所述远程内容服务器的所述标识符来确定握手加密密钥,且通过用存储所述远程内容服务器的所述标识符的替代经加密区段替换所述经加密区段而修改所述客户端握手消息。所述替代经加密区段是使用所述握手加密密钥来加密的。所述业务筛选器进一步经配置以将所述经修改握手消息传输到所述客户端握手消息的目的地,以及响应于拦截由所述远程内容服务器在所述经加密通信会话内发送的另一消息,将所述另一消息中继到所述客户端装置。
本文档来自技高网...【技术保护点】
1.一种方法,其包括采用计算机系统的至少一个硬件处理器来:
2.根据权利要求1所述的方法,其中所述另一消息包括密码参数值,所述密码参数值由所述客户端装置用于导出应用密钥,所述应用密钥用于对在所述经加密通信会话内传输的有效负载进行加密。
3.根据权利要求1所述的方法,其中所述客户端握手消息包括密码参数值,所述密码参数值由所述远程内容服务器用于导出应用密钥,所述应用密钥用于对作为所述经加密通信会话的一部分而传输的有效负载进行加密,且其中所述经修改握手消息包括所述密码参数值。
4.根据权利要求1所述的方法,其中所述客户端握手消息包括将所述经加密通信会话与其它会话区分开的会话标识符,且其中所述经修改握手消息包含所述会话标识符。
5.根据权利要求1所述的方法,其进一步包括:
6.根据权利要求5所述的方法,其进一步包括采用所述至少一个硬件处理器来:
7.根据权利要求5所述的方法,其进一步包括采用所述至少一个硬件处理器来:
8.根据权利要求5所述的方法,其进一步包括在准备将所述代理加密密钥传输到所述客户端装置时
9.根据权利要求8所述的方法,其包括:
10.根据权利要求1所述的方法,其中确定所述握手加密密钥包括:
11.一种具有至少一个硬件处理器的计算机系统,所述至少一个硬件处理器经编程以执行业务筛选器,所述业务筛选器经配置以:
12.根据权利要求11所述的计算机系统,其中所述另一消息包括密码参数值,所述密码参数值由所述客户端装置用于导出应用密钥,所述应用密钥用于对在所述经加密通信会话内传输的有效负载进行加密。
13.根据权利要求11所述的计算机系统,其中所述客户端握手消息包括密码参数值,所述密码参数值由所述远程内容服务器用于导出应用密钥,所述应用密钥用于对作为所述经加密通信会话的一部分而传输的有效负载进行加密,且其中所述经修改握手消息包括所述密码参数值。
14.根据权利要求11所述的计算机系统,其中所述客户端握手消息包括将所述经加密通信会话与其它会话区分开的会话标识符,且其中所述经修改握手消息包含所述会话标识符。
15.根据权利要求11所述的计算机系统,其进一步包括DNS服务器,所述DNS服务器经配置以响应于接收到解析所述远程内容服务器的域名的请求而向所述客户端装置传输不同于所述握手加密密钥的代理加密密钥,且其中所述经加密区段是由所述客户端装置使用所述代理加密密钥来加密。
16.根据权利要求15所述的计算机系统,其中所述至少一个硬件处理器进一步经配置以:
17.根据权利要求15所述的计算机系统,其中所述至少一个硬件处理器进一步经配置以:
18.根据权利要求15所述的计算机系统,其中在准备将所述代理加密密钥传输到所述客户端装置时,所述DNS服务器进一步经配置以:
19.根据权利要求18所述的计算机系统,其中:
20.根据权利要求11所述的计算机系统,其中确定所述握手加密密钥包括:
21.一种存储指令的非暂时性计算机可读媒体,所述指令在由计算机系统的至少一个硬件处理器执行时,致使所述计算机系统执行网络筛选器,所述网络筛选器经配置以:
...【技术特征摘要】
【国外来华专利技术】
1.一种方法,其包括采用计算机系统的至少一个硬件处理器来:
2.根据权利要求1所述的方法,其中所述另一消息包括密码参数值,所述密码参数值由所述客户端装置用于导出应用密钥,所述应用密钥用于对在所述经加密通信会话内传输的有效负载进行加密。
3.根据权利要求1所述的方法,其中所述客户端握手消息包括密码参数值,所述密码参数值由所述远程内容服务器用于导出应用密钥,所述应用密钥用于对作为所述经加密通信会话的一部分而传输的有效负载进行加密,且其中所述经修改握手消息包括所述密码参数值。
4.根据权利要求1所述的方法,其中所述客户端握手消息包括将所述经加密通信会话与其它会话区分开的会话标识符,且其中所述经修改握手消息包含所述会话标识符。
5.根据权利要求1所述的方法,其进一步包括:
6.根据权利要求5所述的方法,其进一步包括采用所述至少一个硬件处理器来:
7.根据权利要求5所述的方法,其进一步包括采用所述至少一个硬件处理器来:
8.根据权利要求5所述的方法,其进一步包括在准备将所述代理加密密钥传输到所述客户端装置时,采用所述dns服务器来:
9.根据权利要求8所述的方法,其包括:
10.根据权利要求1所述的方法,其中确定所述握手加密密钥包括:
11.一种具有至少一个硬件处理器的计算机系统,所述至少一个硬件处理器经编程以执行业务筛选器,所述业务筛选器经配置以:
12.根据权利要求11所述的计算机系统,其中所述另一消息包括密码参数值,所述密码参数值由所述客户端装置用于导出应用密钥,所...
【专利技术属性】
技术研发人员:O·M·克勒琼,B·C·菲鲁蒂,D·I·A·费蒂,C·D·切尔纳特,
申请(专利权)人:比特梵德知识产权管理有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。