[发明专利]一种对通信数据进行安全检查和内容过滤的装置和方法

说明书

技术领域

本发明涉及信息安全领域，特别是有关于一种对通信数据进行安全检查和内容过滤的装置和方法。

背景技术

在现有技术中，客户端与服务器端之间的SSL/TLS加密连接是直接连接的，如图1所示，客户端110和服务器端120之间传输的数据始终都是加密的，没有明文出现。对于加密的数据。安全检查和内容过滤设备直接对数据进行分析和处理。由于基于SSL/TLS(Secure Sockets Layer/Transport Layer Security，安全套接字层/传输层安全性)的协议(如HTTPS(Hyper Text Transfer Protocolover SSL/TLS)、SMTPS(Short Message Transmission Protocol over SSL/TLS)、IMAPS(Internet Message Access Protocol over SSL/TLS)、POP3S(Post OfficeProtocol version 3 over SSL/TLS)等)其通信的数据是加密的，所以安全检查和内容过滤设备无法处理这种数据。就导致了客户端容易受到通过SSL/TLS通信隧道进行的网络攻击和安全威胁，这些攻击和威胁包括：1)通过HTTPS进行的针对浏览器漏洞的网络攻击和病毒传播，以及网络钓鱼攻击(Phishing)；2)通过SMTPS/POP3S/IMAPS进行的垃圾邮件(Spam)传播，这些垃圾邮件中极可能携带有病毒和Phishing攻击脚本；3)在SSL/TLS通信隧道中进行违反网关访问策略的反向连接的问题；4)其它可能的攻击。

发明内容

为解决上述问题，本发明的目的在于提供了一种在网关处对基于SSL/TLS加密的通信数据进行安全检查和内容过滤的设备和方法，从而减少甚至消除恶意攻击者通过基于SSL/TLS加密的协议(如HTTPS，IMAPS，SMTPS，POP3S等)进行的网络攻击和安全威胁。

为实现上述目的，本发明提出了一种对通信数据进行安全检查和内容过滤的装置，用于对客户端和服务器端之间相互发送的连接数据进行安全检查和内容过滤，其中，包括：

SSL/TLS代理服务器，用于将所述客户端/服务器端发送的SSL/TLS协议加密数据解密成明文，发送至安全检查和内容过滤装置，并将所述安全检查和内容过滤装置处理完毕的所述明文数据加密为SSL/TLS数据，并发送至所述服务器端/客户端；

安全检查和内容过滤装置，与所述SSL/TLS代理服务器连接，用于接受并检查所述明文数据，若发现有安全威胁存在，则将有威胁的数据过滤，并将处理后的明文数据返回所述SSL/TLS代理服务器。

上述的对通信数据进行安全检查和内容过滤的装置，其中，所述SSL/TLS代理服务器进一步包括：

客户端通信模块，与所述客户端和安全检查和内容过滤装置分别连接，用于接受所述客户端发送的SSL/TLS协议加密数据，并解密为明文数据发送至所述安全检查和内容过滤装置；和

用于接受从所述安全检查和内容过滤装置发送的明文数据，以SSL/TLS协议加密所述明文数据，并发送至所述客户端。

上述的对通信数据进行安全检查和内容过滤的装置，其中，所述SSL/TLS代理服务器进一步包括：

服务器端通信模块，与所述服务器端和安全检查和内容过滤装置分别连接，用于接受所述服务器端发送的SSL/TLS协议加密数据，并解密为明文数据发送至所述安全检查和内容过滤装置；和

用于接受从所述安全检查和内容过滤装置发送的明文数据，以SSL/TLS协议加密所述明文数据并发送至所述服务器端。

上述的对通信数据进行安全检查和内容过滤的装置，其中，进一步包括：

网关，与所述客户端、服务器端、SSL/TLS代理服务器分别连接，用于当所述客户端发送的通信数据是SSL/TLS协议加密数据时，将所述加密数据发送至所述SSL/TLS代理服务器，并从所述SSL/TLS代理服务器接受所述安全检查和内容过滤装置处理后的SSL/TLS协议加密数据，然后转发至所述服务器端；和

用于当所述服务器端发送的通信数据是SSL/TLS协议加密数据时，将所述加密数据发送至所述SSL/TLS代理服务器，并从所述SSL/TLS代理服务器端接受所述安全检查和内容过滤装置处理后的SSL/TLS协议加密数据，转发至所述客户端。

上述的对通信数据进行安全检查和内容过滤的装置，其中，进一步包括：