本發明提供了一種基于鏡像流的SSL/TLS協議明文數據采集方法，所述方法包括：步驟1)接收鏡像的SSL/TLS數據包，對數據包中的記錄進行提取，生成若干個完整記錄，放入記錄隊列；步驟2)從記錄隊列里的記錄中提取若干個完整消息，放入消息隊列；步驟3)對消息隊列中的消息進行解析，獲取明文數據。本發明的方法根據SSL/TLS協議的封裝格式，將數據包拼接成完成記錄、進一步提取完整的單個消息之后再處理，對服務器是否將多個消息合成一個記錄或者將單個消息封裝到多個記錄之中沒有要求，且可以靈活選擇加入需要解析的新消息，可擴展性好；本發明的方法對交換機鏡像數據進行處理獲取明文數據，不干涉系統原有業務，不影響系統性能。

技術領域

本發明屬于網絡安全通信技術領域，具體涉及到一種基于鏡像流的SSL/TLS協議明文數據采集方法。

背景技術

SSL協議及其繼任者TLS協議，是為網絡安全提供安全性及數據完整性的一種安全協議。SSL/TLS協議位于TCP/IP協議和應用層協議之間，可為各種應用層協議提供安全性保證，例如FTP、TELNET協議等，目前SSL/TLS協議最廣泛的應用是保護HTTP協議安全。SSL/TLS協議包括兩層：記錄層協議和握手協議。記錄協議為高層握手協議提供基本的安全服務，保證數據完整性，具體包括壓縮解壓縮、加解密、計算和校驗MAC等。握手層協議包括握手協議、密碼參數修改協議、告警協議和應用數據協議，用于通信雙方認證、協商加密算法和生成秘鑰等。

由SSL/TLS協議保護的高層協議在客戶端與服務器之間傳輸的為密文數據，并沒有明文出現，這為數據審計帶來了困難。需采取一些技術手段，將SSL/TLS通信過程中密文數據解密為明文數據，再對相應明文數據進行解析審計。如圖1所示，現有技術中，通常在客戶端與服務器之間引入SSL/TLS代理服務器，代理服務器串聯在客戶端與服務器之間，分別與客戶端、服務器建立兩條SSL/TLS連接。由于SSL/TLS代理服務器需獲得數據后，進行解密獲得明文數據，再將明文數據加密發送至客戶端，額外的加密操作為系統帶來了負擔，導致系統響應時間變長、吞吐率降低。

發明內容

本發明的目的在于克服目前SSL/TLS通信過程中將密文數據解密為明文數據時存在的上述缺陷，提出了一種基于鏡像流的SSL/TLS協議明文數據采集方法，通過該方法可以不通過SSL/TLS代理服務器，直接利用合法持有的服務器證書及私鑰對SSL/TLS協議的密文數據進行解析，從而直接獲得明文數據，減少了中間環節，提高了明文數據的獲取的效率。

為了實現上述目的，本發明提出了一種基于鏡像流的SSL/TLS協議明文數據采集方法，所述方法包括：

步驟1)接收鏡像的SSL/TLS數據包，對數據包中的記錄進行提取，生成若干個完整記錄，放入記錄隊列；

步驟2)從記錄隊列里的記錄中提取若干個完整消息，放入消息隊列；

步驟3)對消息隊列中的消息進行解析，獲取明文數據。

上述技術方案中，所述步驟1)具體包括：

步驟101)接收鏡像的SSL/TLS數據包；

步驟102)從數據包中提取出第一條記錄，查看記錄緩存區是否有緩存記錄，若不存在緩存記錄，則直接計算接收的第一條記錄的長度；若記錄緩存區中存在緩存記錄，則將數據包拼接至緩存記錄后，計算出當前緩存的第一條記錄的長度；

步驟103)將第一條記錄的長度和數據包長度進行比較，若第一條記錄的長度加記錄頭長度等于數據包長度，轉入步驟104)；若第一條記錄的長度加記錄頭長度小于數據包長度，轉入步驟105)；若第一條記錄的長度加記錄頭長度大于數據包長度，轉入步驟106)；

步驟104)將該記錄放入記錄隊列；

步驟105)對數據包進行拆分，循環提取單條完整的記錄放入記錄隊列，并將最后不完整的記錄放入記錄緩存區；