[发明专利]一种基于SSL/TLS协议的流量快速转发方法及系统

说明书

本发明属于网络信息安全技术领域，具体涉及一种基于SSL/TLS协议的流量快速转发方法，该方法包括：接收由客户端发送的客户端问候消息，并对其进行修改，同时记录客户端随机数；转发修改后的客户端问候消息至服务端；根据修改后的客户端问候消息，获得服务端问候消息；发送服务端问候消息至数据采集器，记录服务端问候消息中的协议版本信息和加密套件信息，以及服务端随机数；客户端、数据采集器、服务端经过相互认证，三者相互之间建立SSL/TLS协议连接；根据支持SSL/TLS流量快速转发的判断准则，判断当前连接是否支持快速转发；该方法大大提升采集系统的性能，降低采集系统的传输时延。

技术领域

本发明属于网络信息安全技术领域，具体涉及一种基于SSL/TLS协议的流量快速转发方法。

背景技术

SSL/TLS协议，即安全套接层/传输层安全协议(Secure Socket Layer/TransportLayer Security，SSL/TLS协议)，是目前应用最广泛的安全通信协议，运行在可靠的传输层协议之上、各种应用层协议之下，通过在客户端和服务端之间建立安全的连接，防止通信双方的消息被窃听、篡改和伪造，从而为互联网上的数据通信提供保密性、完整性、隐私性以及认证等安全服务。SSL/TLS是分层协议，其包括：底层的记录层协议、上层的改变加密说明协议、告警协议和握手协议。SSL/TLS协议的流程可分为两个阶段：SSL/TLS连接建立阶段和数据传输阶段。客户端和服务端通过握手消息完成SSL/TLS连接的建立，随后以密文形式安全传输应用层数据。密文数据的传输依靠下层可靠的传输层协议。

SSL/TLS协议的广泛使用，极大的满足了用户对于网络通信安全的需求，但是，也带来了一些问题。由于采用了SSL/TLS协议，所传输的应用层数据均被加密，这给网络监管、流量审计带来了极大的难题。针对这些难题，网络数据的明文采集技术应运而生。作为合法中间人的明文采集系统串行接入至传统的客户端和服务端之间，在SSL/TLS连接建立阶段，通过修改客户端和服务端的握手消息，分别与客户端和服务端建立一条SSL/TLS连接。两条SSL/TLS连接拥有相同的密钥，具体包括对称密钥和消息认证码密钥。明文采集系统拥有两条连接的所有密钥，因此可以对客户端和服务端所传输的密文数据进行解密，从而达到采集明文数据的目的。

针对需要进行密文数据审计的情形，现有的解决方案分为三种：第一种，如图1所示，数据采集器作为TLS代理服务器串行接入客户端和服务端之间，其分别与客户端和服务端建立TLS连接，两条TLS连接相互独立。数据采集器获取密文数据后，将密文数据解密，提取明文后，再将数据加密，发送到对端。该方案易于实现，但是，其也存在问题：数据采集器获取到数据后，需要将数据解密成明文，再加密成密文发送到对端，这明显会增加传输时延，降低TLS吞吐率。

第二种解决方案，如图2所示，数据采集器不串接在客户端和服务端之间，而是直接采集通信双方的密文数据。数据采集器被服务端信任，并持有服务端的私钥，因此，可以通过通信双方的握手消息获取预主密钥，计算出通信双方的共享密钥，从而实现对双方传输的密文数据进行解密获取明文。该方法实现简单，但是，该方法必须掌握服务端的私钥，导致该方案适用性受限。

第三种解决方案，如下图3所示，基于中间人原理的明文采集方法。数据采集器作为合法中间人，串接在客户端和服务端之间，在SSL握手阶段通过修改通信双方的握手消息，分别与客户端和服务端建立一条连接，两条连接具有相同的密钥，且采集器持有该密钥，从而可以实现对通信双方密文数据的解密。该方案不需要对密文数据解密后再加密，因此，在相应时间和吞吐率上有较中间人代理的方案有明显的优势，但是，该方案也有存在问题：在需要对密文中的数据做内容审计时，例如需要进行协议解析或者对明文数据进行修改等操作时，该方案则无能为力。

发明内容