技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域，特別是一種通信網(wǎng)絡(luò)協(xié)議HTTPS協(xié)議監(jiān)測分析技術(shù)。

背景技術(shù)

SSL協(xié)議是互聯(lián)網(wǎng)上最為常用的安全協(xié)議之一，它能夠利用證書驗(yàn)證服務(wù)器的身份，并且對交互信息進(jìn)行加密，防止被攻擊者竊聽。SSL最初由Netscape公司在1995年發(fā)布，IETF(InternetEngineeringTaskForce)在1999年將其標(biāo)準(zhǔn)化，即TLS(TransportLayerSecurity)。經(jīng)過多次修改，現(xiàn)在的TLS1.3版本于2008年提出，這個(gè)版本的標(biāo)準(zhǔn)已經(jīng)能夠防止很多對于協(xié)議的攻擊，比如CBC(Cipherblockchaining)等，同時(shí)協(xié)議使用的加密算法和密鑰都越來越安全。和其他安全協(xié)議相比，SSL的部署和使用都相對簡單，對網(wǎng)絡(luò)的負(fù)擔(dān)也較小，很適合在電子商務(wù)和電子郵箱網(wǎng)站中使用。

使用HTTPS(HypertextTransferProtocoloverSecureSocketLayer)訪問站點(diǎn)是一種安全訪問方法，訪問過程中使用SSL(SecureSocketsLayer，安全套接層)對HTTP數(shù)據(jù)進(jìn)行加密，從而保證數(shù)據(jù)的安全性。

在互聯(lián)網(wǎng)中，越來越多的網(wǎng)站使用HTTPS協(xié)議，使客戶端瀏覽器和網(wǎng)站服務(wù)器之間建立加密連接，可確保數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過程中不會(huì)被截取及竊聽。特別是很多網(wǎng)站的登陸過程會(huì)使用HTTPS協(xié)議，以保護(hù)用戶賬號、密碼、cookie的安全。但同時(shí)，監(jiān)管部門就無法對這些網(wǎng)站的傳輸內(nèi)容解密和分析。

然而，SSL協(xié)議也只能夠?qū)崿F(xiàn)相對的安全，從它誕生的第一天起，對于SSL的攻擊就層出不窮。其中，針對協(xié)議漏洞進(jìn)行的中間人攻擊是最為常見、也是危害性最大的一種。中間人攻擊MITM(ManInTheMiddle)，又稱第三人攻擊，它是一種“間接”的入侵攻擊，它包括兩個(gè)步驟，攻擊者首先通過會(huì)話劫持的手段，使自己處于用戶和服務(wù)器的中間人位置，以便獲取用戶和服務(wù)器之間的交互報(bào)文。隨后，攻擊者對用戶的請求進(jìn)行SSL代理，從而獲取用戶的個(gè)人信息。這種方案需要偽造服務(wù)器的SSL證書，并且需要用戶瀏覽器信任這個(gè)偽造的證書，這需要用戶手動(dòng)添加偽造的根證書為受信任的根證書。這一步只能在獲取用戶電腦的使用權(quán)或者通過木馬的方式執(zhí)行，難以大規(guī)模應(yīng)用。

現(xiàn)有技術(shù)還有一種方案是SSLStrip，SSLStrip是安全研究員MoxieMarlinspike在2009年2月BlackHat安全會(huì)議上提出的一種較為新穎的攻擊方式。這種攻擊方式的特點(diǎn)在于，攻擊者可以在劫持會(huì)話后，不需要像別的中間人攻擊那樣偽造證書、和用戶建立另外一個(gè)SSL連接，而是可以通過欺騙用戶，使其和攻擊者建立一個(gè)不安全的HTTP連接，由攻擊者代理和服務(wù)器建立HTTPS連接。這樣一來，攻擊者就可以直接獲得用戶發(fā)送的明文信息。本發(fā)明是對改技術(shù)原理的具體實(shí)現(xiàn)，并且使用可配置的方式的對關(guān)注的網(wǎng)站的交互數(shù)據(jù)進(jìn)行監(jiān)聽。

發(fā)明內(nèi)容

為解決上述技術(shù)問題，本發(fā)明提供了一種可配置方式的HTTPS的中間人監(jiān)聽系統(tǒng)，其包括加密數(shù)據(jù)預(yù)處理模塊、中間人代理模塊、配置篡改頁面模塊、登陸信息解析模塊；其中

加密數(shù)據(jù)預(yù)處理模塊：用于對系統(tǒng)入口流量數(shù)據(jù)進(jìn)行分發(fā)，接收從串接保護(hù)設(shè)備發(fā)來的分流報(bào)文，將設(shè)控對象所關(guān)注網(wǎng)站的報(bào)文修改后分投至所述中間人代理模塊，接收到所述中間人代理模塊的欺騙報(bào)文后，將所述欺騙報(bào)文修改后回流到串接口保護(hù)設(shè)備，由串接口保護(hù)設(shè)備回流到現(xiàn)網(wǎng)中，對于非關(guān)注協(xié)議和非設(shè)控的報(bào)文將直接回流到串接口保護(hù)設(shè)備；

中間人代理模塊：執(zhí)行HTTP連接到HTTPS連接的轉(zhuǎn)換操作，實(shí)現(xiàn)代理服務(wù)端與客戶端之間支持HTTP，代理客戶端與服務(wù)器之間同時(shí)支持HTTP和HTTPS連接；

配置篡改頁面模塊：支持不同網(wǎng)站登錄交互的篡改配置，通過配置不同的登陸交互，實(shí)現(xiàn)不同網(wǎng)站的登陸欺騙；

登陸信息解析模塊：根據(jù)當(dāng)前登陸明文數(shù)據(jù)解析獲取包括登陸用戶名、密碼、COOKIE信息，產(chǎn)生登陸詳單。

較佳地，所述加密數(shù)據(jù)預(yù)處理模塊根據(jù)端口、域-IP的關(guān)聯(lián)信息以及啟停策略，將設(shè)控對象所關(guān)注協(xié)議的報(bào)文修改后投給對應(yīng)的中間人代理模塊。

較佳地，所述中間人代理模塊執(zhí)行HTTP連接到HTTPS連接的轉(zhuǎn)換操作過程包括：

S1：偵聽所述加密預(yù)處理模塊發(fā)送過來的不同客戶端的連接請求；

S2：為每個(gè)客戶端創(chuàng)建一個(gè)客戶側(cè)套接字，接收客戶端上行數(shù)據(jù)，拼接完整的HTTP請求數(shù)據(jù)；

S3：根據(jù)配置判斷客戶端上行數(shù)據(jù)的處理方式，構(gòu)造相應(yīng)的偽造客戶端上行數(shù)據(jù)，其中