[发明专利]一种对中间人的存在进行辨识的方法及装置

说明书

本申请公开了一种对中间人的存在进行辨识的方法，用以解决由于客户端无法辨识客户端与服务器之间是否存在中间人，从而可能使得传输的信息受到潜在的安全威胁的问题。方法包括：获得在客户端与服务器的握手过程中由客户端接收的服务器的第一证书相关信息，以及在客户端与服务器的非握手过程中由客户端接收的所述服务器的第二证书相关信息；判断第一证书相关信息和第二证书相关信息是否匹配。本申请还公开一种对中间人的存在进行辨识的装置。

技术领域

本申请涉及计算机技术领域，尤其涉及一种对中间人的存在进行辨识的方法及装置。

背景技术

在很多情况下，互联网使用者需要使用非私有终端上网，如使用公司或者网吧提供的电脑上网。对于此类终端的拥有者，其对于安全的需求与终端的实际使用者对于安全的需求并不完全一致，有时甚至会发生冲突。比如：对于实际使用者，会希望在上网过程中，其个人隐私如银行账号密码等不被窥探；而对于企业而言，为了防止其内部机密被恶意泄露或者为了提升员工的工作效率，则希望对实际使用者的上网流量作扫描或者审计，从而确定实际使用者利用终端所传输的具体信息。

一般地，对于非加密流量，简单的基于流的扫描就可以达到监控信息的目的；而对于采用安全超文本传输协议(Hyper Text Transfer Protocol over Secure SocketLayer，HTTPS)等安全套接层(Secure Sockets Layer，SSL)协议进行加密得到的加密流量，则需要通过代理技术才能实现信息监控。一种典型的代理技术的实现示意图如图1所示。

图1中，左侧方框代表企业的终端中安装的客户端(Web Client)，中间方框代表在企业网络出口处的网关或防火墙设备部署的SSL代理(SSL Proxy1，在图1所示的场景中，其一般被称为“中间人”)，右边方框代表客户端所访问的网站服务器，具体而言，该服务器的名称可以是图1中所示的“Alipay Web Server”。

图1中，具备监控终端所传输的具体信息这一功能的是SSL代理，该功能的实现原理大致为：SSL代理劫持来自客户端的SSL握手请求，然后利用该SSL握手请求发起与真实服务器的SSL连接；在与服务器侧的SSL握手成功后，再恢复与客户端的SSL握手，并在与客户端进行SSL握手时，向客户端推送一本伪造的证书，使得客户端信任SSL代理，进而可以获取客户端所发送的信息。

需要说明的是，根据SSL协议的设计，其具备一致性检查能力，即当遭受到中间人攻击时，客户端会弹出告警，告知用户“当前接收到的证书非法”。然而，对公司而言，该告警实际上是由自身部署的SSL代理所致，并非公司网络受到实际攻击，因此，考虑到弹出的告警会影响实际使用者的上网体验或者工作效率，一般会采用下述手段1和手段2，抑制客户端弹出告警：

手段1：使用SSL代理的自签名证书为客户端签发证书时，在签发的证书中保持真实服务器的域名/Subject/Valid等信息。

手段2：将上述自签名证书作为可信电子商务认证授权机构(CertificateAuthority，CA)证书，导入到客户端中。

结合上述手段1和手段2，可以使得终端对SSL代理签发的证书进行验证时，会认为该证书是合法证书，从而得到客户端信任。

通过上述方式，一个典型的信息监控过程可以包括如图1所示的如下步骤：

1、客户端向服务器发起SSL握手请求；

2、SSL代理劫持来自客户端的SSL握手请求；

3、SSL代理向服务器发起SSL连接请求；

4、服务器响应SSL代理发起的SSL连接请求，并发送服务器自身的证书给SSL代理；

5、SSL代理根据服务器(即真实服务器)的证书，使用自签名证书重新签发一本证书(后文称新生成证书)；