一種基于https協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法
【專利摘要】本發(fā)明提出了一種基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于,包括如下步驟:第一步,以TCP會(huì)話為單位緩存數(shù)據(jù),首先完成協(xié)議識(shí)別,如果是Handshake協(xié)議,則根據(jù)Handshake?Type識(shí)別Client?Hello消息和Certificate消息;第二步,根據(jù)識(shí)別出的Client?Hello消息和Certificate消息,提取相應(yīng)的HOST信息;第三步,基于提取出的HOST信息,完成業(yè)務(wù)類型識(shí)別。本發(fā)明可以以主動(dòng)方式實(shí)現(xiàn)HTTPS業(yè)務(wù)類型識(shí)別,即通過對(duì)HTTPS方式的SSL/TLS各版本協(xié)議握手階段實(shí)現(xiàn)HOST提取,并通過預(yù)設(shè)的HOST與業(yè)務(wù)類型對(duì)應(yīng)表可擴(kuò)展得到業(yè)務(wù)類型,有效提升業(yè)務(wù)識(shí)別廣度。
【專利說明】一種基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信令監(jiān)測(cè)【技術(shù)領(lǐng)域】,特別涉及中國移動(dòng)、中國聯(lián)通、中國電信所屬的GSM、GPRS, WCDMA, CDMA2000IxEV-DO運(yùn)營支撐系統(tǒng)、信令監(jiān)測(cè)系統(tǒng)【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002]隨著移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展,移動(dòng)數(shù)據(jù)應(yīng)用更加豐富,基于HTTPS技術(shù)的應(yīng)用越來越普遍,根據(jù)2013年1-6月份移動(dòng)數(shù)據(jù)流量統(tǒng)計(jì)結(jié)果,運(yùn)營商約10%的流量為HTTPS應(yīng)用產(chǎn)生。
[0003]HTTPS (全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。
[0004]SSL (Secure Sockets Layer安全套接層),及其繼任者傳輸層安全(TransportLayer Security, TLS)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。
[0005]現(xiàn)階段移動(dòng)互聯(lián)網(wǎng)SSL應(yīng)用協(xié)議以SSL、SSLV3、TLSVl、TLSV1.2為主,常用TCP端口為:443。
[0006]由于HTTPS技術(shù)對(duì)應(yīng)用層做了加密處理,因此無法象解析HTTP協(xié)議一樣,直接解析出應(yīng)用層URL、H0ST等信息。因此,對(duì)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別造成了影響。
[0007]由于SSL/TLS協(xié)議在握手階段也可能包含域名信息,通過此類信息也可實(shí)現(xiàn)業(yè)務(wù)識(shí)別?,F(xiàn)階段針對(duì)SSL/TLS承載的數(shù)據(jù)業(yè)務(wù)識(shí)別,采用對(duì)已知業(yè)務(wù)被動(dòng)識(shí)別的方法,即針對(duì)所有端口為443的TCP數(shù)據(jù)包,逐包檢測(cè)是否包含預(yù)設(shè)字符串來實(shí)現(xiàn)。例如,識(shí)別“陌陌”業(yè)務(wù),通過在所有源目的端口為443的TCP數(shù)據(jù)包中過濾包含字符串為immom0.com”的流量來實(shí)現(xiàn)業(yè)務(wù)識(shí)別。
[0008]現(xiàn)有技術(shù)中存在著如下缺陷:(I)目前針對(duì)HTTPS的應(yīng)用主要采用已知業(yè)務(wù)被動(dòng)方式識(shí)別,識(shí)別種類有限。(2)由于SSL/TLS協(xié)議并不一定全部經(jīng)443端口的TCP傳輸,現(xiàn)有識(shí)別規(guī)則有局限性,會(huì)對(duì)業(yè)務(wù)識(shí)別完整性造成影響。
[0009]在實(shí)際應(yīng)用中存在非443端口的SSL/TLS協(xié)議消息,在圖1示例中,實(shí)際是采用TCP端口:80來傳輸SSL/TLS協(xié)議。
[0010]因此,本發(fā)明要解決的技術(shù)問題是:(I) SSL/TLS協(xié)議承載域名信息的字段有規(guī)律可循,因此可以改被動(dòng)識(shí)別為主動(dòng)識(shí)別,提升數(shù)據(jù)識(shí)別廣度。(2)增加TCP全端口實(shí)現(xiàn)SSL/TLS協(xié)議識(shí)別規(guī)則,提升業(yè)務(wù)識(shí)別準(zhǔn)確性。
【發(fā)明內(nèi)容】
[0011]本發(fā)明提出了一種一種基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,包括如下步驟:第一步,以TCP會(huì)話為單位緩存數(shù)據(jù),首先完成協(xié)議識(shí)別,如果是Handshake協(xié)議,則根據(jù)Handshake Type識(shí)別Client Hello消息和Certificate消息;第二步,根據(jù)識(shí)別出的Client Hello消息和Certificate消息,提取相應(yīng)的HOST信息;第三步,基于提取出的HOST信息,完成業(yè)務(wù)類型識(shí)別。
[0012]根據(jù)本發(fā)明的一個(gè)方面,在第二步中,如果發(fā)現(xiàn)Client Hello消息,則基于server—name擴(kuò)展字段提取HOST信息;如果發(fā)現(xiàn)Certificate消息,則基于rdnSequence字段的id-at-commonName信息提取HOST信息。
[0013]根據(jù)本發(fā)明的一個(gè)方面,完整的一次TCP會(huì)話數(shù)據(jù)是以TCP連接建立開始,拆除TCP連接結(jié)束,其中4-20號(hào)數(shù)據(jù)包承載握手消息及應(yīng)用層消息。
[0014]根據(jù)本發(fā)明的一個(gè)方面,第三步中,基于提取出的HOST信息,完成業(yè)務(wù)類型識(shí)別是按照如下方式進(jìn)行識(shí)別的:基于預(yù)設(shè)的HOST與業(yè)務(wù)類型對(duì)應(yīng)表,結(jié)合”Client—Hello—Host、Certificate—Host內(nèi)容,完成業(yè)務(wù)類型識(shí)別。
[0015]根據(jù)本發(fā)明的一個(gè)方面,在基于Client Hello消息提取的HOST填入” Client—Hello—Host”,如消息中不包含server—name擴(kuò)展字段,”Client—Hello—Host”填空;在基于Certificate消息提取的H0ST,去除HOST信息第I位的號(hào),填入“Certificate—Host”,如果本次握手過程無Certificate消息,貝丨j” Certificate—Host”填空。
[0016]根據(jù)本發(fā)明的一個(gè)方面,HOST與業(yè)務(wù)類型對(duì)應(yīng)表為:
【權(quán)利要求】
1.一種基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于,包括如下步驟: 第一步,以TCP會(huì)話為單位緩存數(shù)據(jù),首先完成協(xié)議識(shí)別,如果是Handshake協(xié)議,則根據(jù) Handshake Type 識(shí)別 Client Hello 消息和 Certificate 消息; 第二步,根據(jù)識(shí)別出的Client Hello消息和Certificate消息,提取相應(yīng)的HOST信息; 第三步,基于提取出的HOST信息,完成業(yè)務(wù)類型識(shí)別。
2.如權(quán)利要求1所述的基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于: 在第二步中, 如果發(fā)現(xiàn)Client Hello消息,則基于server_name擴(kuò)展字段提取HOST信息; 如果發(fā)現(xiàn)Certificate消息,則基于rdnSequence字段的id-at-commonName信息提取HOST信息。
3.如權(quán)利要求1所述的基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于: 完整的一次TCP會(huì)話數(shù)據(jù)是以TCP連接建立開始,拆除TCP連接結(jié)束,其中4-20號(hào)數(shù)據(jù)包承載握手消息及應(yīng)用層消息。
4.如權(quán)利要求1所述的基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于: 第三步中,基于提取出的 HOST信息,完成業(yè)務(wù)類型識(shí)別是按照如下方式進(jìn)行識(shí)別的: 基于預(yù)設(shè)的HOST與業(yè)務(wù)類型對(duì)應(yīng)表,結(jié)合”Client_Hello_Host、Certificate_Host內(nèi)容,完成業(yè)務(wù)類型識(shí)別。
5.如權(quán)利要求2所述的基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于: 在基于Client Hello消息提取的HOST填入” Client_Hello_Host”,如消息中不包含server_name 擴(kuò)展字段,” Client_Hello_Host” 填空; 在基于Certificate消息提取的HOST,去除HOST信息第I位的號(hào),填入“Certificate_Host”,如果本次握手過程無 Certificate 消息,則” Certificate_Host” 填空。
6.如權(quán)利要求4所述的基于HTTPS協(xié)議實(shí)現(xiàn)移動(dòng)數(shù)據(jù)業(yè)務(wù)識(shí)別的方法,其特征在于: HOST與業(yè)務(wù)類型對(duì)應(yīng)表為:
【文檔編號(hào)】H04L29/06GK103618726SQ201310646314
【公開日】2014年3月5日 申請(qǐng)日期:2013年12月4日 優(yōu)先權(quán)日:2013年12月4日
【發(fā)明者】李懷明 申請(qǐng)人:北京中創(chuàng)信測(cè)科技股份有限公司