[发明专利]基于TLS协议的对抗中间人攻击的安全增强系统及方法

说明书

本发明公开了一种基于TLS协议的对抗中间人攻击的安全增强系统及方法，该系统包括预绑定模块、证书验证模块以及端口跳变模块，所述预绑定模块，用来生成客户端身份凭证，使得服务器能在进行相关验证后确定该用户的身份是否合法；该身份凭证在通信双方以预共享密钥的形式存在；所述证书验证模块，用来检测当前网络连接中是否存在中间人攻击；所述端口跳变模块，用来在TLS连接建立的过程中实现通信双方通过新的端口的TLS服务动态随机连接，对中间人攻击进行主动防御。与现有技术相比，本发明实现了公共WiFi下空中间人攻击的TLS安全增强机制，作为广泛应用于无线通信安全防护的TLS协议的有效补充。

技术领域

本发明涉及网络安全和密码学等多个技术领域，特别涉及一种对抗中间人攻击的安全增强机制。

背景技术

移动设备与无线网络技术的发展促使了网络接入需求的增加，移动用户在公共场所对与WiFi的需求也与日俱增。众所周知，公共WiFi本身的便利性给人提供了极大方便，但是其开放性使得攻击者极易通过搭建恶意接入点来诱导用户接入。

在开放网络环境下利用相关安全手段与防护机制来保障移动用户的无线接入安全迫在眉睫。因此，TLS应运而生。TLS是Https通信的重要组成部分，它被广泛应用于网络通信中来实现通信双方的身份验证以及会话秘钥的协商，并以此来保证连接的安全与可靠。TLS安全服务的关键就是客户端能接收到正确的服务器证书，但是实际上普通用户普遍缺乏证书验证能力。在通信双方建立TLS连接的过程中，通信实体的身份信息以证书的形式进行承载与传递。首先进行的是服务器身份验证，服务器将自身证书发送给用户请求验证，在此之后，本应该进入后续客户端证书验证的流程。若遇到利用用户的新人在TLS连接中替换服务器证书，冒充通信双方合法身份，从而成功实施TLS中间人攻击。

TLS中间人攻击是一种基于攻击方的网络拦截。攻击者插入到当前通信链路，将原本一个安全的连接分化为两个单独的TLS连接。在这个过程中，攻击者利用用户对公共WiFi的信任，来搭建恶意接入点诱使用户接入。之后，在用户与服务器建立TLS连接的过程中，攻击者通过伪造的证书来冒充服务器从而骗取用户的信任。一旦这个伪造的证书被用户接受，此时中间人攻击者也就获得了对当前连接绝对控制，而此时用户与服务器对此均未察觉。这就导致了在接下来的TLS通信中，攻击者可以很容易的获取用户的身份信息来进行冒充从而成功通过服务器对用户身份的验证。此后在用户与服务器之间，攻击者以中间人的身份进行通信的转发甚至篡改，这将严重威胁到用户的无线通信安全。

发明内容

为了克服现有技术存在的缺陷与不足，本发明提出了一种抗中间人攻击的TLS安全增强系统(TLSsem)及方法，利用通信双方的身份验证实现对TLS中间人攻击的检测与防御，实现了一种满足用户在开放网络环境下的公共WiFi环境下的无线通信网络安全接入需求的新的安全解决机制。

本发明的一种基于TLS协议的对抗中间人攻击的安全增强系统，该系统包括预绑定模块、证书验证模块以及端口跳变模块，其中：

所述预绑定模块至少由一个支持预绑定功能同时已经部署了TLS服务协议的服务器、一个支持预绑定功能的移动设备和一个具有相对封闭的网络环境的无线通信WiFi网络组成；所述预绑定模块，用来生成客户端身份凭证，使得服务器能在进行相关验证后确定该用户的身份是否合法；该身份凭证在通信双方以预共享密钥的形式存在；

所述证书验证模块至少由一个支持证书验证功能同时已经部署了TLS服务协议的服务器、作为客户端的支持证书验证功能的移动设备A和B、一个由商户或者机构运营的合法的公共WiFi接入点和一个由攻击者搭建的恶意接入点RAP组成；所述证书验证模块，用来检测当前网络连接中是否存在中间人攻击；

所述端口跳变模块，包括多个服务器与客户端之间建立TLS安全连接的端口构成的端口池；用来在TLS连接建立的过程中实现通信双方通过新的端口的TLS服务动态随机连接，对中间人攻击进行主动防御。