[发明专利]网络加密数据病毒检测和消除系统和代理服务器及方法

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络加密数据病毒检测和消除的系统、代理服务器，以及方法。

背景技术

SSL(Secure Sockets Layer，安全套接层)是由Netscape公司开发的网络安全传输协议，是目前INTERNET上点到点之间尤其是Web浏览器与服务器之间进行安全数据通讯所采用的最主要的协议。其利用数据加密(Encryption)技术实现。由于SSL具有应用面广、实施成本低、安全高效、操作简单等优点，它已成为电子商务系统中应用得最广泛的协议，例如目前美国的大多数电子商务应用系统都是基于SSL协议的。

SSL安全代理的基本工作原理是：SSL安全代理服务器与Web浏览器安装在客户计算机上(如图1所示)，当浏览器要与远端Web服务器建立安全连接时，它向安全代理服务器发出请求，由安全代理服务器负责与远端Web服务器建立连接。连接建立后，浏览器与服务器之间的数据传输是经过安全代理服务器转发完成的。浏览器与安全代理服务器之间的数据传输是用浏览器本身支持的40位以下的弱加密算法加密的，而安全代理服务器与远端Web服务器之间的数据传输则是用高强度的数据加密算法加密的。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

公开文献《基于内容过滤的防火墙的关键技术的研究》(《山西大学2004届硕士研究生学位论文》，2004年6月，席荣荣)披露了一种基于内容过滤的防火墙，是一种采用代理机制的防火墙，它可以进行内容过滤，同时融合有加/解密功能。在该防火墙中，主要实现两个功能：其一是根据IP地址实现对网络上传输信息流的内容过滤，并依据过滤结果动态的修改IP地址库；其二是实现对信息流的加/解密，即建立一个在数据签名、身份认证基础上的内外网络之间的安全通道。该防火墙中主要包括三个模块：IP地址安全性判定模块，内容过滤模块和加/解密模块，这三个模块相互结合完成该防火墙的主要工作。IP地址安全性判定模块主要是解析被截获数据包的IP地址，并依据IP地址库判定其安全性。内容过滤模块主要是采用信息过滤的基本知识对数据包中内容的安全性进行检测，并反馈安全信号给IP地址安全性判定模块表明该数据包的安全性。加/解密模块主要是实现对数据的加/解密处理。

但在现有技术中，客户端与服务器之间的SSL/TLS加密连接是直接连接的，客户端和服务器之间传输的数据始终都是加密的，没有明文出现。对于加密的数据。安全检查和内容过滤设备直接对数据进行分析和处理。由于基于SSL/TLS(Secure Sockets Layer/Transport Layer Security，安全套接字层/传输层安全性)的协议(如HTTPS(Hyper Text Transfer Protocol over SSL/TLS)、SMTPS(Short Message Transmission Protocol over SSL/TLS)、FTPS(FileTransfer Protocol over SSL/TLS)、POP3S(Post Office Protocol version 3 overSSL/TLS)等)其通信的数据是加密的，所以对这种数据无法进行安全检查和内容过滤，这就导致了客户端容易受到通过SSL/TLS通信隧道进行的网络攻击和安全威胁，这些攻击和威胁包括：1)通过HTTPS进行的针对浏览器漏洞的网络攻击和病毒传播，以及网络钓鱼攻击(Phishing)；2)通过SMTPS/POP3S/FTPS进行的垃圾邮件(Spam)传播，这些垃圾邮件中极可能携带有病毒和网络钓鱼攻击脚本；3)在SSL/TLS通信隧道中进行违反网关访问策略的反向连接的问题；4)其它可能的攻击。

发明内容

为解决网络加密数据的安全传输问题，本发明的目的在于提供了一种网络加密数据病毒检测和消除的系统、代理服务器，以及方法，其减少甚至消除病毒传播者通过基于SSL/TLS加密的协议进行的网络攻击和安全威胁。