技術(shù)領(lǐng)域

本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，尤其是涉及一種HTTPS(安全超文本傳輸協(xié)議)通信隧道安全檢查和內(nèi)容過(guò)濾系統(tǒng)。

背景技術(shù)

在以往的HTTPS通信隧道安全檢查和內(nèi)容過(guò)濾系統(tǒng)中，如圖1所示，HTTPS代理服務(wù)器將HTTPS連接內(nèi)容解密，安全檢查和內(nèi)容過(guò)濾裝置對(duì)解密后的數(shù)據(jù)進(jìn)行處理并將處理后的數(shù)據(jù)返回給HTTPS代理服務(wù)器，HTTPS代理服務(wù)器再將其加密并發(fā)送出去，對(duì)此美國(guó)專(zhuān)利申請(qǐng)US20030131256A1給出了詳細(xì)的技術(shù)方案。在上述現(xiàn)有技術(shù)中，HTTPS連接在HTTPS代理服務(wù)器處被解密成明文。這就造成了敏感數(shù)據(jù)可能被泄漏的危險(xiǎn)。如當(dāng)用戶(hù)訪問(wèn)銀行的網(wǎng)站時(shí)，其賬戶(hù)信息和密碼在HTTPS代理服務(wù)器處被解密成明文，用戶(hù)的帳戶(hù)信息和密碼有可能會(huì)在HTTPS代理服務(wù)器處被泄漏，系統(tǒng)存在安全隱患。

發(fā)明內(nèi)容

本發(fā)明的主要目的，在于提供一種對(duì)HTTPS數(shù)字證書(shū)的分析和處理方法，使得受信任的網(wǎng)站可以通過(guò)他所提供的受信任的數(shù)字證書(shū)，直接與客戶(hù)端通信，而不需要HTTPS代理服務(wù)器對(duì)其連接的內(nèi)容進(jìn)行安全檢查和內(nèi)容過(guò)濾，消除了用戶(hù)敏感數(shù)據(jù)在HTTPS代理服務(wù)器處泄漏的危險(xiǎn)。

為此，本發(fā)明提供一種安全超文本傳輸協(xié)議通信隧道安全檢查和內(nèi)容過(guò)濾方法，用于檢查客戶(hù)端與服務(wù)器端間的安全超文本傳輸協(xié)議連接，包括步驟：

步驟一、安全超文本傳輸協(xié)議代理服務(wù)器將安全超文本傳輸協(xié)議連接數(shù)據(jù)中的數(shù)字證書(shū)轉(zhuǎn)發(fā)到數(shù)字證書(shū)分析裝置；

步驟二、數(shù)字證書(shū)分析裝置將上述安全超文本傳輸協(xié)議連接數(shù)據(jù)中的數(shù)字證書(shū)與所存儲(chǔ)的數(shù)字證書(shū)相比較，如果所述由安全超文本傳輸協(xié)議代理服務(wù)器發(fā)送的數(shù)字證書(shū)屬于數(shù)字證書(shū)白名單列表，則執(zhí)行步驟三；

步驟三、安全超文本傳輸協(xié)議代理服務(wù)器將客戶(hù)端與服務(wù)器端直接連接。

其中，在所述步驟二中如果所述由安全超文本傳輸協(xié)議代理服務(wù)器發(fā)送的數(shù)字證書(shū)屬于數(shù)字證書(shū)黑名單列表，則執(zhí)行步驟四；

步驟四、安全超文本傳輸協(xié)議代理服務(wù)器阻止客戶(hù)端與服務(wù)器端進(jìn)行連接。

其中，在所述步驟二中如果所述由安全超文本傳輸協(xié)議代理服務(wù)器發(fā)送的數(shù)字證書(shū)是未知數(shù)字證書(shū)，則執(zhí)行步驟五；

步驟五、安全超文本傳輸協(xié)議代理服務(wù)器將上述安全超文本傳輸協(xié)議連接轉(zhuǎn)換為客戶(hù)端向其自身的連接，并將安全超文本傳輸協(xié)議連接數(shù)據(jù)解密為明文數(shù)據(jù)。

其中，還包括步驟：

步驟六、將解密后的明文數(shù)據(jù)進(jìn)行安全檢查和內(nèi)容過(guò)濾；

步驟七、安全超文本傳輸協(xié)議代理服務(wù)器向服務(wù)器端發(fā)送安全超文本傳輸協(xié)議連接數(shù)據(jù)；

步驟八、服務(wù)器端向安全超文本傳輸協(xié)議代理服務(wù)器返回回復(fù)數(shù)據(jù)，安全超文本傳輸協(xié)議代理服務(wù)器將上述回復(fù)數(shù)據(jù)轉(zhuǎn)發(fā)到客戶(hù)端。

其中，所述安全檢查和內(nèi)容過(guò)濾包括以下方式至少之一：網(wǎng)頁(yè)過(guò)濾、反病毒、入侵檢測(cè)與防護(hù)、反網(wǎng)絡(luò)釣魚(yú)以及訪問(wèn)策略檢查。

為此，本發(fā)明還提供一種安全超文本傳輸協(xié)議通信隧道安全檢查和內(nèi)容過(guò)濾方法，用于檢查客戶(hù)端與服務(wù)器端間的安全超文本傳輸協(xié)議連接，包括步驟：

步驟1、統(tǒng)一資源定位符分析裝置判斷客戶(hù)端向服務(wù)器端發(fā)送的安全超文本傳輸協(xié)議連接數(shù)據(jù)中的統(tǒng)一資源定位符是否屬于統(tǒng)一資源定位符白名單列表或者統(tǒng)一資源定位符黑名單列表；如果上述統(tǒng)一資源定位符是一個(gè)未知的統(tǒng)一資源定位符，則執(zhí)行步驟2；

步驟2、將客戶(hù)端向服務(wù)器端發(fā)送的安全超文本傳輸協(xié)議連接數(shù)據(jù)發(fā)送到安全超文本傳輸協(xié)議代理服務(wù)器。

步驟3、安全超文本傳輸協(xié)議代理服務(wù)器將安全超文本傳輸協(xié)議連接數(shù)據(jù)中的數(shù)字證書(shū)轉(zhuǎn)發(fā)到數(shù)字證書(shū)分析裝置；

步驟4、數(shù)字證書(shū)分析裝置將上述安全超文本傳輸協(xié)議連接數(shù)據(jù)中的數(shù)字證書(shū)與所存儲(chǔ)的數(shù)字證書(shū)相比較，如果所述由安全超文本傳輸協(xié)議代理服務(wù)器發(fā)送的數(shù)字證書(shū)屬于數(shù)字證書(shū)白名單列表，則執(zhí)行步驟5；

步驟5、將客戶(hù)端與服務(wù)器端直接連接

其中，在所述步驟1中，如果上述統(tǒng)一資源定位符屬于統(tǒng)一資源定位符白名單列表，則將使客戶(hù)端與服務(wù)器端直接連接；

如果上述統(tǒng)一資源定位符屬于統(tǒng)一資源定位符黑名單列表，則阻止客戶(hù)端與服務(wù)器端的連接；

其中，在所述步驟4中如果所述由安全超文本傳輸協(xié)議代理服務(wù)器發(fā)送的數(shù)字證書(shū)屬于數(shù)字證書(shū)黑名單列表，則安全超文本傳輸協(xié)議代理服務(wù)器阻止客戶(hù)端與服務(wù)器端進(jìn)行連接。

其中，在所述步驟4中如果所述由安全超文本傳輸協(xié)議代理服務(wù)器發(fā)送的數(shù)字證書(shū)是未知數(shù)字證書(shū)，則執(zhí)行步驟6；