當(dāng)前位置: 首頁 > 專利查詢>成都數(shù)默科技有限公司專利>正文

基于透明代理的加解密流量控制方法技術(shù)

技術(shù)編號：44460315 閱讀：6 留言：0更新日期：2025-02-28 19:08

本發(fā)明專利技術(shù)公開了基于透明代理的加解密流量控制方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，包括以下步驟：a、通過透明代理模塊判斷內(nèi)網(wǎng)口流量和外網(wǎng)口流量是否為白名單ip，若是則直接跳過解密模塊，使內(nèi)網(wǎng)口流量直接連接；若否則傳輸至解密模塊；b、解密模塊建立兩個連接，形成中轉(zhuǎn)站，一條連接到客戶端，一條連接到業(yè)務(wù)服務(wù)器，通過解密模塊判斷流量是否為SSL/TLS協(xié)議；c、明文流量和解密模塊解密后的數(shù)據(jù)傳輸?shù)搅髁糠治瞿K，經(jīng)流量分析模塊處理后，將處理結(jié)果存入共享內(nèi)存中，解密模塊獲取到處理結(jié)果后，還原處理結(jié)果對應(yīng)兩個連接，進行放行或阻斷。本發(fā)明專利技術(shù)能夠克服反爬蟲，保障正常通信，整個處理過程能夠有效避免阻塞網(wǎng)絡(luò)流量。

全部詳細技術(shù)資料下載

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及到網(wǎng)絡(luò)安全，尤其涉及基于透明代理的加解密流量控制方法。

技術(shù)介紹

1、透明代理的作用是把公司網(wǎng)絡(luò)的出入網(wǎng)線插入到一個設(shè)備的一個網(wǎng)口上，外網(wǎng)網(wǎng)線插入到設(shè)備另一個網(wǎng)口上，如果這個設(shè)備沒有運行特殊程序，內(nèi)網(wǎng)和外網(wǎng)則無法正常通信，然后安裝一個透明代理程序，將內(nèi)網(wǎng)口和外網(wǎng)口的流量進行相互轉(zhuǎn)發(fā)，網(wǎng)絡(luò)則可以通信，并且可以轉(zhuǎn)發(fā)一份流量到網(wǎng)絡(luò)安全程序中，網(wǎng)絡(luò)安全程序可以對網(wǎng)絡(luò)進行分析，識別病毒及敏感信息。

2、現(xiàn)有方案無法識別加密的流量，比如使用ssl協(xié)議的網(wǎng)站，頁面內(nèi)容被ssl加密，如果頁面存在敏感信息，將無法識別。ssl協(xié)議，即安全套接層協(xié)議，旨在不安全的互聯(lián)網(wǎng)中做到安全的數(shù)據(jù)傳輸。使用加密或認(rèn)證的技術(shù)手段來對傳輸?shù)碾[私數(shù)據(jù)起到保護作用。ssl協(xié)議本身屬于安全類協(xié)議，有著較高的開放度。

3、公開號為cn117938447a，公開日為2024年04月26日的中國專利文獻公開了一種基于https加密流量的檢測的阻斷方法，其特征在于，由串接于網(wǎng)絡(luò)總路口和核心交換機之中的ip阻斷裝置進行，包括以下步驟：

4、s1、配置所述ip阻斷裝置的所代理的業(yè)務(wù)服務(wù)信息；

5、s2、根據(jù)客戶端發(fā)送的請求和握手包判斷客戶端源ip和握手請求類型，建立連接，進行數(shù)據(jù)傳輸，獲取傳輸數(shù)據(jù)的明文內(nèi)容；

6、s3、對傳輸數(shù)據(jù)的明文內(nèi)容進行威脅識別檢測；

7、s4、對檢測到的存在威脅行為的數(shù)據(jù)源的源ip或目標(biāo)ip進行阻斷。

8、該專利文獻公開的基于https加密流量的檢測的阻斷方法，

技術(shù)實現(xiàn)思路

1、本專利技術(shù)為了克服上述現(xiàn)有技術(shù)的缺陷，提供基于透明代理的加解密流量控制方法，本專利技術(shù)能夠克服反爬蟲，保障正常通信，整個處理過程能夠有效避免阻塞網(wǎng)絡(luò)流量。

2、本專利技術(shù)通過下述技術(shù)方案實現(xiàn)：

3、基于透明代理的加解密流量控制方法，包括以下步驟：

4、a、通過透明代理模塊判斷內(nèi)網(wǎng)口流量和外網(wǎng)口流量是否為白名單ip，若是則直接跳過解密模塊，使內(nèi)網(wǎng)口流量直接連接；若否則傳輸至解密模塊；

5、b、解密模塊建立兩個連接，形成中轉(zhuǎn)站，一條連接到客戶端，一條連接到業(yè)務(wù)服務(wù)器，通過解密模塊判斷流量是否為ssl/tls協(xié)議；

6、c、明文流量和解密模塊解密后的數(shù)據(jù)傳輸?shù)搅髁糠治瞿K，經(jīng)流量分析模塊處理后，將處理結(jié)果存入共享內(nèi)存中，解密模塊獲取到處理結(jié)果后，還原處理結(jié)果對應(yīng)兩個連接，進行放行或阻斷。

7、所述步驟a中，透明代理模塊，用于連接內(nèi)網(wǎng)口的流量和外網(wǎng)口的流量。

8、所述步驟a中，解密模塊，用于對ssl/tls負(fù)載數(shù)據(jù)進行解密。

9、所述步驟b中，通過解密模塊判斷流量是否為ssl/tls協(xié)議是指當(dāng)判斷流量為ssl/tls協(xié)議時，則標(biāo)記流量會話，兩個連接啟用ssl/tls模塊進行加密通信，當(dāng)判斷流量非ssl/tls協(xié)議時，則兩個連接采用tcp通信。

10、所述ssl/tls模塊，用于構(gòu)建ssl/tls協(xié)議，加解密報文。

11、所述步驟b中，連接到業(yè)務(wù)服務(wù)器的連接，當(dāng)發(fā)生client_hello時，則模擬瀏覽器指紋。

12、所述模擬瀏覽器指紋是指業(yè)務(wù)服務(wù)器收到ssl/tls模塊發(fā)送的client_hello后，業(yè)務(wù)服務(wù)器根據(jù)client_hello報文中的字段計算出ja3，并與瀏覽器固有的ja3比對，判斷不是瀏覽器的則斷開連接，ssl/tls模塊修改發(fā)送的client_hello報文中的字段，使業(yè)務(wù)服務(wù)器計算出的ja3與瀏覽器的一致，恢復(fù)連接。

13、所述步驟c中，流量分析模塊，用于對明文流量進行敏感數(shù)據(jù)識別。

14、所述步驟c中，流量分析模塊，用于將處理結(jié)果存入共享內(nèi)存中。

15、所述步驟c中，共享內(nèi)存，用于解密模塊進程和流量分析模塊進程共同訪問。

16、本專利技術(shù)所述ssl/tls是指傳輸層安全協(xié)議。

17、本專利技術(shù)所述client_hello是指傳輸層安全協(xié)議進行握手的第一個報文。

18、本專利技術(shù)所述ja3是指根據(jù)client_hello提取部分信息進行哈希化的字符串。

19、本專利技術(shù)所述key是指由解密模塊生成的一個唯一標(biāo)識。

20、本專利技術(shù)的有益效果主要表現(xiàn)在以下方面：

21、1、本專利技術(shù)，較現(xiàn)有技術(shù)而言，能夠克服反爬蟲，保障正常通信，整個處理過程能夠有效避免阻塞網(wǎng)絡(luò)流量。

22、2、本專利技術(shù)，通過ssl/tls模塊，能夠?qū)sl/tls加密流量解密出來進行分析并模擬瀏覽器行為，從而保障網(wǎng)絡(luò)通信的安全。

23、3、本專利技術(shù)，通過流量分析模塊對明文流量進行敏感數(shù)據(jù)識別，能夠及時將敏感流量阻斷，保護網(wǎng)絡(luò)安全。

24、4、本專利技術(shù)，基于高效的事件通知機制?，基于狀態(tài)機，把內(nèi)網(wǎng)口和外網(wǎng)口的流量隔離開，不直接進行交互，內(nèi)網(wǎng)口和外網(wǎng)口通過解密模塊進行間接通信，能夠靈活控制網(wǎng)絡(luò)流量。

25、5、本專利技術(shù)，增加白名單功能，能夠放行指定的ip流量，減少計算量，提高效率。

26、6、本專利技術(shù)，使用模塊化設(shè)計，統(tǒng)一各模塊交互接口，解耦代碼，能夠快捷更換模塊，提高維護便捷性。

本文檔來自技高網(wǎng)...

【技術(shù)保護點】

1.基于透明代理的加解密流量控制方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟a中，透明代理模塊，用于連接內(nèi)網(wǎng)口的流量和外網(wǎng)口的流量。

3.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟a中，解密模塊，用于對SSL/TLS負(fù)載數(shù)據(jù)進行解密。

4.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟b中，通過解密模塊判斷流量是否為SSL/TLS協(xié)議是指當(dāng)判斷流量為SSL/TLS協(xié)議時，則標(biāo)記流量會話，兩個連接啟用SSL/TLS模塊進行加密通信，當(dāng)判斷流量非SSL/TLS協(xié)議時，則兩個連接采用TCP通信。

5.根據(jù)權(quán)利要求4所述的基于透明代理的加解密流量控制方法，其特征在于：所述SSL/TLS模塊，用于構(gòu)建SSL/TLS協(xié)議，加解密報文。

6.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟b中，連接到業(yè)務(wù)服務(wù)器的連接，當(dāng)發(fā)生client_hello時，則模擬瀏覽器指紋。

8.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟c中，流量分析模塊，用于對明文流量進行敏感數(shù)據(jù)識別。

9.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟c中，流量分析模塊，用于將處理結(jié)果存入共享內(nèi)存中。

10.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟c中，共享內(nèi)存，用于解密模塊進程和流量分析模塊進程共同訪問。

...

【技術(shù)特征摘要】

1.基于透明代理的加解密流量控制方法，其特征在于，包括以下步驟：

3.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟a中，解密模塊，用于對ssl/tls負(fù)載數(shù)據(jù)進行解密。

4.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟b中，通過解密模塊判斷流量是否為ssl/tls協(xié)議是指當(dāng)判斷流量為ssl/tls協(xié)議時，則標(biāo)記流量會話，兩個連接啟用ssl/tls模塊進行加密通信，當(dāng)判斷流量非ssl/tls協(xié)議時，則兩個連接采用tcp通信。

5.根據(jù)權(quán)利要求4所述的基于透明代理的加解密流量控制方法，其特征在于：所述ssl/tls模塊，用于構(gòu)建ssl/tls協(xié)議，加解密報文。

6.根據(jù)權(quán)利要求1所述的基于透明代理的加解密流量控制方法，其特征在于：所述步驟b中，連接到業(yè)務(wù)服...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：王偉旭，嚴(yán)得榮，張友銀，
申請(專利權(quán))人：成都數(shù)默科技有限公司，
類型：發(fā)明
國別省市：

全部詳細技術(shù)資料下載我是這個專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條評論

還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。

發(fā)布您的意見

相關(guān)領(lǐng)域技術(shù)