[发明专利]加密报文的检测方法及防护设备

说明书

本申请提供了一种加密报文的检测方法及防护设备，属于通信技术领域。本申请将防护设备与客户端设备之间的SSL握手流程、防护设备与服务器之间的SSL握手流程关联起来，防护设备将同一份DH参数分别发给客户端设备以及服务器，并在生成会话密钥时复用两侧的DH参数，会话秘钥用于对客户端设备或服务器发送的加密报文进行解密、以及对解密检测后的明文数据进行加密所用。本申请实施例减少生成DH参数带来的计算量，节省对防火墙等防护设备的资源占用，有助于大幅提升SSL握手速度，提升防护设备的性能。

本申请要求于2020年10月26日提交的申请号为202011155469.4、发明名称为“一种加密流量的处理方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别涉及一种加密报文的检测方法及防护设备。

背景技术

在具有多层结构的TCP/IP协议族(TCP/IP Protocol Suite，或TCP/IPProtocols)中，安全套接层/传输层安全(Secure Socket Layer/Transport LayerSecurity，SSL/TLS)位于超文本传输协议(hyper text transfer protocol，HTTP)协议和传输控制协议(transmission control protocol，TCP)协议之间。使用HTTPS(基于TLS的HTTP，HTTP over TLS)进行交互的流量，首先需要像普通HTTP流量一样，建立一条TCP连接，然后需要在这条TCP连接之上，进行SSL/TLS握手，建立SSL/TLS会话，然后使用SSL/TLS会话对HTTP交互内容进行加密，保证数据传输的隐私性、可靠性以及可信性。

当客户端与服务器基于SSL/TLS传输加密报文时，部署在客户端与服务器之间的防火墙如何对加密报文进行安全性检测成为一个亟需解决的问题。目前主流的解决方案是基于SSL/TLS中间人(man-in-the-middle)技术的检测方案。

SSL/TLS中间人技术的基本原理是，防火墙作为代理服务器和客户端进行SSL/TLS握手。同时，防火墙作为代理客户端和服务器进行SSL/TLS握手。

相关技术在实现SSL/TLS中间人技术时，防火墙会作为SSL/TLS会话的端点，分别独立的和服务器、客户端设备完成SSL握手。采用上述方法时，防火墙在分别与服务器、客户端设备协商各种加密的密钥、加密参数的过程涉及巨大计算量，这导致防火墙资源占用过多，性能低下。

发明内容

本申请实施例提供了一种加密报文的检测方法及防护设备，有助于减少设备资源占用，提升设备性能。所述技术方案如下。

第一方面，提供了一种加密报文的检测方法，在该方法中，防护设备向客户端设备和服务器分别发送中间人迪菲-赫尔曼(Diffie-Hellman，DH)参数，所述防护设备部署于所述客户端设备和所述服务器之间，所述中间人DH参数为所述防护设备生成的DH参数；所述防护设备根据所述中间人DH参数以及客户端DH参数，生成第一会话秘钥，所述客户端DH参数为所述客户端设备生成的DH参数；所述防护设备根据所述中间人DH参数以及服务器DH参数，生成第二会话秘钥，所述服务器DH参数为所述服务器生成的DH参数；所述防护设备接收原始加密报文；如果所述原始加密报文来自于所述客户端设备，所述防护设备使用所述第一会话秘钥对所述原始加密报文进行解密，对解密得到的明文数据进行检测，并使用所述第二会话秘钥对检测后的数据进行加密得到目标加密报文，向所述服务器发送所述目标加密报文；或，如果所述原始加密报文来自于所述服务器，所述防护设备使用所述第二会话秘钥对所述原始加密报文进行解密，对解密得到的明文数据进行检测，并使用所述第一会话秘钥对检测后的数据进行加密得到目标加密报文，向所述客户端设备发送所述目标加密报文。