亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于會話和協(xié)議識別https端口數(shù)據(jù)的方法

文檔序號:7821922閱讀:841來源:國知局
基于會話和協(xié)議識別https端口數(shù)據(jù)的方法
【專利摘要】基于會話和協(xié)議識別HTTPS端口數(shù)據(jù)的方法。系統(tǒng)捕獲HTTPS端口的數(shù)據(jù)包,并根據(jù)IP地址和端口建立會話連接表。當(dāng)數(shù)據(jù)包到達檢測系統(tǒng)時:1、系統(tǒng)檢查維護會話連接表,如果沒有記錄,則增加記錄;如果是RST、FIN數(shù)據(jù)包或者連接超時則從會話連接表中刪除記錄。2、系統(tǒng)檢查數(shù)據(jù)包內(nèi)容并判斷會話連接是否符合標(biāo)準(zhǔn)SSL/TLS協(xié)議(是否為SSL/TLSRecordProtocol格式,是否通過SSL/TLSHandshakeProtocol建立連接);如果符合則標(biāo)記該會話為HTTPS協(xié)議數(shù)據(jù),否則標(biāo)記為非HTTPS協(xié)議數(shù)據(jù)。使用本發(fā)明可以識別HTTPS協(xié)議數(shù)據(jù)和非HTTPS協(xié)議數(shù)據(jù)并對其實行差別服務(wù),或阻止非HTTPS協(xié)議數(shù)據(jù)穿透HTTPS端口。
【專利說明】基于會話和協(xié)議識別HTTPS端口數(shù)據(jù)的方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬計算機網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,是一種區(qū)分HTTPS協(xié)議數(shù)據(jù)和非HTTPS協(xié)議數(shù)據(jù) 的方法。

【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,如何控制內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)已經(jīng)成了網(wǎng)絡(luò)管理的重 點。傳統(tǒng)的網(wǎng)絡(luò)管理以端口來區(qū)分各種網(wǎng)絡(luò)服務(wù),通過開放或關(guān)閉某些端口來實現(xiàn)外網(wǎng)訪 問的控制。HTTPS協(xié)議是HTTP協(xié)議和SSL/TLS協(xié)議的組合,用以提供加密通訊及對網(wǎng)絡(luò)服 務(wù)器身份的鑒定。HTTPS協(xié)議經(jīng)常被用于網(wǎng)上的交易支付和敏感信息的傳輸,很多銀行網(wǎng)站 或電子郵箱等安全級別較高的服務(wù)都會采用HTTPS協(xié)議。HTTPS協(xié)議默認端口為TCP 443。 鑒于HTTPS端口一般是開放的,各類軟件紛紛借用HTTPS端口與外部建立連接。傳統(tǒng)防火 墻使用的端口控制方法已經(jīng)無法應(yīng)對HTTPS端口穿透技術(shù),未經(jīng)授權(quán)的外網(wǎng)訪問嚴(yán)重威脅 著內(nèi)部網(wǎng)絡(luò)的安全。


【發(fā)明內(nèi)容】

[0003] 本發(fā)明的目的在于提出一種區(qū)分HTTPS協(xié)議數(shù)據(jù)和非HTTPS協(xié)議數(shù)據(jù)的方法,使 用本發(fā)明可以識別HTTPS協(xié)議數(shù)據(jù)和非HTTPS協(xié)議數(shù)據(jù)并對其實行差別服務(wù),或阻止非 HTTPS協(xié)議數(shù)據(jù)穿透HTTPS端口。
[0004] 為了方便敘述,首先將本發(fā)明涉及的常用術(shù)語和標(biāo)記介紹如下: 1. SrcIP、SrcPort、DstIP、DstPort :分別表示源 IP、源端口、目標(biāo) IP、目標(biāo)端口; 2. 會話(Session):客戶端與服務(wù)器一次連接過程中的所有信息數(shù)據(jù); 3. 會話連接表(Session Table):用于保存多個會話的數(shù)據(jù)表,通??刹捎霉1?。
[0005] HTTPS端口數(shù)據(jù)檢測原理: HTTPS (Hypertext Transfer Protocol Secure)是超文本傳輸協(xié)議(HTTP)和 SSL/TLS 的組合。根據(jù)RFC 2818 (HTTP Over TLS)的描述,HTTPS協(xié)議是建立在SSL/TLS之上的安 全版 HTTP 協(xié)議。SSL/TLS 協(xié)議分為兩層。SSL/TLS 記錄協(xié)議(SSL/TLS Record Protocol): 它建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能 的支持。SSL/TLS握手協(xié)議(SSL/TLS Handshake Protocol):它建立在SSL/TLS記錄協(xié)議 之上,用于在實際的數(shù)據(jù)傳輸開始前,通訊雙方進行身份認證、協(xié)商加密算法、交換加密密 鑰等。
[0006] 由于HTTPS是加密協(xié)議,我們無法解密其中傳輸?shù)臄?shù)據(jù)內(nèi)容。但HTTPS是SSL/TLS 對HTTP協(xié)議的封裝,它必須遵守SSL/TLS協(xié)議標(biāo)準(zhǔn)。因此我們可以用一種簡單的方法來判 斷經(jīng)過HTTPS端口的數(shù)據(jù)是否為HTTPS協(xié)議數(shù)據(jù):符合SSL/TLS協(xié)議標(biāo)準(zhǔn)的為HTTPS協(xié)議 數(shù)據(jù),不符合SSL/TLS協(xié)議標(biāo)準(zhǔn)的為非HTTPS協(xié)議數(shù)據(jù)。
[0007] 如果是標(biāo)準(zhǔn)HTTPS協(xié)議數(shù)據(jù),其遵從SSL/TLS協(xié)議標(biāo)準(zhǔn)??蛻舳撕头?wù)端的通信 數(shù)據(jù)均采用SSL/TLS記錄協(xié)議格式,雙方在數(shù)據(jù)傳輸開始前必須通過SSL/TLS握手協(xié)議建 立連接。
[0008] 非HTTPS協(xié)議數(shù)據(jù)則采用私有協(xié)議,其不遵從SSL/TLS協(xié)議標(biāo)準(zhǔn)??蛻舳撕头?wù) 端的通信數(shù)據(jù)不是SSL/TLS記錄協(xié)議格式,雙方在數(shù)據(jù)傳輸開始前也沒有通過SSL/TLS握 手協(xié)議建立連接。
[0009] 根據(jù)這些差別,我們可以通過檢查一條會話連接是否為SSL/TLS Record Protocol格式、是否通過SSL/TLS Handshake Protocol建立連接,來判斷該會話是HTTPS 協(xié)議會話還是非HTTPS協(xié)議會話。

【專利附圖】

【附圖說明】
[0010] 圖1為本發(fā)明系統(tǒng)網(wǎng)絡(luò)部署方式圖。
[0011] 圖2為本發(fā)明系統(tǒng)會話連接表維護處理流程圖。
[0012] 圖 3 為 SSL/TLS Record Protocol 格式。
[0013] 圖 4 為 SSL/TLS Handshake Protocol 連接過程。
[0014] 圖5為本發(fā)明系統(tǒng)對客戶端數(shù)據(jù)包檢測流程圖。
[0015] 圖6為本發(fā)明系統(tǒng)對服務(wù)端數(shù)據(jù)包檢測流程圖。

【具體實施方式】
[0016] 下面結(jié)合附圖對本發(fā)明做進一步的詳細介紹。
[0017] 系統(tǒng)網(wǎng)絡(luò)部署方式: 參見圖1,本發(fā)明系統(tǒng)通常部署在局域網(wǎng)連接互聯(lián)網(wǎng)的出口網(wǎng)關(guān)處,從網(wǎng)絡(luò)中捕獲指定 端口的數(shù)據(jù)包。該端口 一般為TCP 443,必要時也可以指定或者增加其他端口。
[0018] 會話連接表的維護: 參見圖2,系統(tǒng)從網(wǎng)絡(luò)中捕獲到指定端口數(shù)據(jù)包,從數(shù)據(jù)包中提取SrcIP、DstIP、 SrcPort、DstPort等信息,與會話連接表中已有的項目進行對比。如果會話連接表中不存 在該會話記錄,則新增本次會話信息到會話連接表中。如果已經(jīng)存在該會話連接記錄,則更 新會話最后活動時間。當(dāng)收到會話結(jié)束數(shù)據(jù)包(TCP RST、TCP FIN)或者會話超時則從會話 連接表中刪除本次會話信息。
[0019] 會話協(xié)議檢測方法: 檢測的標(biāo)準(zhǔn)在于判斷會話數(shù)據(jù)格式是否符合SSL/TLS Record Protocol格式,客戶端 與服務(wù)端會話是否通過SSL/TLS Handshake Protocol建立連接。如果符合即可判斷該會 話為HTTPS協(xié)議會話,否則為非HTTPS協(xié)議會話。
[0020] 參見圖3, SSL/TLS Record Protocol格式如圖,其結(jié)構(gòu)定義如下:

【權(quán)利要求】
1. 基于會話和協(xié)議識別HTTPS端口數(shù)據(jù)的方法,其包含以下步驟: (1) 初始化會話連接表; (2) 捕獲HTTPS端口的數(shù)據(jù)包; (3) 分析數(shù)據(jù)包中的IP地址和端口信息,維護會話連接表中的會話狀態(tài); (4) 分析會話的數(shù)據(jù)內(nèi)容,判斷數(shù)據(jù)內(nèi)容是否符合SSL/TLS Record Protocol格式,如 果符合則標(biāo)記該會話為HTTPS協(xié)議數(shù)據(jù),否則標(biāo)記為非HTTPS協(xié)議數(shù)據(jù)。
2. 根據(jù)權(quán)利要求1的方法,所述步驟(4)判斷會話是否符合SSL/TLS Record Protocol 格式,其特征在于:檢查客戶端發(fā)給服務(wù)端的數(shù)據(jù)流第1個字節(jié)是否為handshake (0x16)。
3. 根據(jù)權(quán)利要求1的方法,所述步驟(4)判斷會話是否符合SSL/TLS Record Protocol 格式,其特征在于:檢查服務(wù)端發(fā)給客戶端的數(shù)據(jù)流第1個字節(jié)是否為handshake (0x16)。
4. 根據(jù)權(quán)利要求1的方法,所述步驟(4)判斷會話是否符合SSL/TLS Record Protocol 格式,其特征在于:檢查客戶端發(fā)給服務(wù)端的數(shù)據(jù)流第2至3字節(jié)是否為SSL/TLS協(xié)議已知 版本。
5. 根據(jù)權(quán)利要求1的方法,所述步驟(4)判斷會話是否符合SSL/TLS Record Protocol 格式,其特征在于:檢查服務(wù)端發(fā)給客戶端的數(shù)據(jù)流第2至3字節(jié)是否為SSL/TLS協(xié)議已知 版本。
6. 根據(jù)權(quán)利要求1的方法,所述步驟(4)判斷會話是否符合SSL/TLS Record Protocol 格式,其特征在于:檢查會話是否通過SSL/TLS Handshake Protocol建立連接。
7. 根據(jù)權(quán)利要求6的方法,所述檢查會話是否通過SSL/TLS Handshake Protocol建立 連接,其特征在于:檢查客戶端發(fā)給服務(wù)端的數(shù)據(jù)流第6字節(jié)是否為client hello (0x01)。
8. 根據(jù)權(quán)利要求6的方法,所述檢查會話是否通過SSL/TLS Handshake Protocol建立 連接,其特征在于:檢查服務(wù)端發(fā)給客戶端的數(shù)據(jù)流第6字節(jié)是否為server hello (0x02)。
【文檔編號】H04L29/06GK104394164SQ201410731779
【公開日】2015年3月4日 申請日期:2014年12月6日 優(yōu)先權(quán)日:2014年12月6日
【發(fā)明者】金琥 申請人:金琥
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1