[发明专利]可配置方式的HTTPS的中间人监听系统

说明书

技术领域

本发明涉及互联网安全领域，特别是一种通信网络协议HTTPS协议监测分析技术。

背景技术

SSL协议是互联网上最为常用的安全协议之一，它能够利用证书验证服务器的身份，并且对交互信息进行加密，防止被攻击者窃听。SSL最初由Netscape公司在1995年发布，IETF(InternetEngineeringTaskForce)在1999年将其标准化，即TLS(TransportLayerSecurity)。经过多次修改，现在的TLS1.3版本于2008年提出，这个版本的标准已经能够防止很多对于协议的攻击，比如CBC(Cipherblockchaining)等，同时协议使用的加密算法和密钥都越来越安全。和其他安全协议相比，SSL的部署和使用都相对简单，对网络的负担也较小，很适合在电子商务和电子邮箱网站中使用。

使用HTTPS(HypertextTransferProtocoloverSecureSocketLayer)访问站点是一种安全访问方法，访问过程中使用SSL(SecureSocketsLayer，安全套接层)对HTTP数据进行加密，从而保证数据的安全性。

在互联网中，越来越多的网站使用HTTPS协议，使客户端浏览器和网站服务器之间建立加密连接，可确保数据在网络上传输过程中不会被截取及窃听。特别是很多网站的登陆过程会使用HTTPS协议，以保护用户账号、密码、cookie的安全。但同时，监管部门就无法对这些网站的传输内容解密和分析。

然而，SSL协议也只能够实现相对的安全，从它诞生的第一天起，对于SSL的攻击就层出不穷。其中，针对协议漏洞进行的中间人攻击是最为常见、也是危害性最大的一种。中间人攻击MITM(ManInTheMiddle)，又称第三人攻击，它是一种“间接”的入侵攻击，它包括两个步骤，攻击者首先通过会话劫持的手段，使自己处于用户和服务器的中间人位置，以便获取用户和服务器之间的交互报文。随后，攻击者对用户的请求进行SSL代理，从而获取用户的个人信息。这种方案需要伪造服务器的SSL证书，并且需要用户浏览器信任这个伪造的证书，这需要用户手动添加伪造的根证书为受信任的根证书。这一步只能在获取用户电脑的使用权或者通过木马的方式执行，难以大规模应用。

现有技术还有一种方案是SSLStrip，SSLStrip是安全研究员MoxieMarlinspike在2009年2月BlackHat安全会议上提出的一种较为新颖的攻击方式。这种攻击方式的特点在于，攻击者可以在劫持会话后，不需要像别的中间人攻击那样伪造证书、和用户建立另外一个SSL连接，而是可以通过欺骗用户，使其和攻击者建立一个不安全的HTTP连接，由攻击者代理和服务器建立HTTPS连接。这样一来，攻击者就可以直接获得用户发送的明文信息。本发明是对改技术原理的具体实现，并且使用可配置的方式的对关注的网站的交互数据进行监听。

发明内容

为解决上述技术问题，本发明提供了一种可配置方式的HTTPS的中间人监听系统，其包括加密数据预处理模块、中间人代理模块、配置篡改页面模块、登陆信息解析模块；其中

加密数据预处理模块：用于对系统入口流量数据进行分发，接收从串接保护设备发来的分流报文，将设控对象所关注网站的报文修改后分投至所述中间人代理模块，接收到所述中间人代理模块的欺骗报文后，将所述欺骗报文修改后回流到串接口保护设备，由串接口保护设备回流到现网中，对于非关注协议和非设控的报文将直接回流到串接口保护设备；

中间人代理模块：执行HTTP连接到HTTPS连接的转换操作，实现代理服务端与客户端之间支持HTTP，代理客户端与服务器之间同时支持HTTP和HTTPS连接；

配置篡改页面模块：支持不同网站登录交互的篡改配置，通过配置不同的登陆交互，实现不同网站的登陆欺骗；

登陆信息解析模块：根据当前登陆明文数据解析获取包括登陆用户名、密码、COOKIE信息，产生登陆详单。

较佳地，所述加密数据预处理模块根据端口、域-IP的关联信息以及启停策略，将设控对象所关注协议的报文修改后投给对应的中间人代理模块。

较佳地，所述中间人代理模块执行HTTP连接到HTTPS连接的转换操作过程包括：

S1：侦听所述加密预处理模块发送过来的不同客户端的连接请求；

S2：为每个客户端创建一个客户侧套接字，接收客户端上行数据，拼接完整的HTTP请求数据；

S3：根据配置判断客户端上行数据的处理方式，构造相应的伪造客户端上行数据，其中