技術領域

本發明涉及互聯網技術，尤其涉及一種超文本傳輸協議解密的處理方法及裝置。

背景技術

安全套接層協議（Secure?Sockets?Layer，SSL）是為保證兩通訊體在網絡上傳輸的敏感信息的完整性和機密性而設計出的可靠的端到端服務。企業安全系統能夠正常運行的關鍵之一就是流量可讀。如果加密的流量帶有病毒，而普通的防火墻無法解析這些加密的數據，用戶的安全得不到保障。所以處于網絡邊界的防火墻產品應該具備超文本傳輸協議(Hyper?Text?Transport?Protocol,HTTPS)解密功能，對不安全流量進行過濾。所以越來越多的防火墻產品都加入了HTTPS解密功能。

現有的技術方案在加解密程序處理完成后，都為HTTPS解密功能設計了一套完整的報文轉發框架，對原有代碼進行大量修改以適應HTTPS解密功能，研發成本高且效率低。

在用戶態加解密程序與既有的內核轉發框架之間建立數據通道，將用戶態解密后的報文通過數據通道注入到內核中，屏蔽加密流量和解密流量的差異性，重用既有的內核轉發框架，可以解決現有技術的不足。

發明內容

本發明的目的是針對現有技術的不足，主要解決在最大限度重用系統中明文處理邏輯的情況下，加入新的HTTPS解密功能。在用戶態加解密程序與既有的明文報文轉發框架之間建立了數據通道，在將報文通過數據通道注入內核轉發框架之前，通過預處理模塊的預處理，避免了重新開發轉發路徑，從而提高了原有內核轉發框架的利用率，降低了成本。

在本發明第一方面，提供了一種超文本傳輸協議解密處理方法，該方法包括：

接收第一數據包，判斷第一數據包是否為超文本傳輸協議數據包；

若數據包為超文本傳輸協議數據包時，則對第一數據包進行解密處理，得到原始的數據報文；

將數據報文注入到內核中，將數據報文封裝為第二數據包，并對第二數據包進行安全性檢測；

將第二數據包發送。

優選地，對第一數據包進行解密處理具體包括：利用用戶態的加密解密程序對第一數據包進行解密處理。

優選地，將第二數據包發送具體包括：

利用轉發邏輯對第二數據包進行處理，對于帶有病毒流量的第二數據包進行丟棄處理，對于安全的第二數據包轉發。

優選地，若第一數據包不是超文本傳輸協議數據包時，則直接轉發第一數據包。

優選地，直接轉發第一數據包包括：利用轉發邏輯對第一數據包進行處理，對于帶有病毒流量的第一數據包進行丟棄處理，對于安全的第一數據包轉發。

在本發明第二方面，提供了一種超文本傳輸協議解密處理裝置，裝置包括：接收單元、判斷單元、解密單元、檢測單元、封裝單元和發送單元；

接收單元，用于接收第一數據包，并發送給判斷單元；

判斷單元，用于判斷第一數據包是否為超文本傳輸協議數據包，并將第一數據包發送給解密單元；

解密單元，用于接收判斷單元發送的第一數據包，并若數據包為超文本傳輸協議數據包時，則對第一數據包進行解密處理，得到原始的數據報文，并將數據報文發送給檢測單元；

封裝單元，用于接受解密單元發送的數據報文，并將數據報文注入到內核中，將數據報文封裝為第二數據包，并將第二數據包發送給檢測單元；

檢測單元，用于接收封裝單元發送的第二數據包，并對第二數據包進行安全性檢測，并將進行安全性檢測后的第二數據包發送給發送單元；

發送單元，用于發送第二數據包。

優選地，解密單元具體用于利用用戶態的加密解密程序對第一數據包進行解密處理。

優選地，發送單元具體用于利用轉發邏輯對第二數據包進行處理，對于帶有病毒流量的第二數據包進行丟棄處理，對于安全的第二數據包轉發。

優選地，發送單元還用于若第一數據包不是超文本傳輸協議數據包時，則直接轉發第一數據包。

優選地，發送單元具體用于利用轉發邏輯對第一數據包進行處理，對于帶有病毒流量的第一數據包進行丟棄處理，對于安全的第一數據包轉發。

本發明的優點在于在用戶態加解密程序與既有的內核轉發框架之間建立了數據通道，在將報文通過數據通道注入內核轉發框架之前，通過預處理模塊的預處理，避免了重新開發轉發路徑，從而提高了原有內核轉發框架的利用率，將報文通過數據通道注入內核中，屏蔽了加密流量和解密流量的差異性，重用既有的內核轉發框架，提高了開發效率，降低了成本。

附圖說明

圖1為本發明實施例的超文本傳輸協議解密處理裝置位置部署示意圖；