[发明专利]一种基于镜像流的SSL/TLS协议明文数据采集方法

说明书

本发明提供了一种基于镜像流的SSL/TLS协议明文数据采集方法，所述方法包括：步骤1)接收镜像的SSL/TLS数据包，对数据包中的记录进行提取，生成若干个完整记录，放入记录队列；步骤2)从记录队列里的记录中提取若干个完整消息，放入消息队列；步骤3)对消息队列中的消息进行解析，获取明文数据。本发明的方法根据SSL/TLS协议的封装格式，将数据包拼接成完成记录、进一步提取完整的单个消息之后再处理，对服务器是否将多个消息合成一个记录或者将单个消息封装到多个记录之中没有要求，且可以灵活选择加入需要解析的新消息，可扩展性好；本发明的方法对交换机镜像数据进行处理获取明文数据，不干涉系统原有业务，不影响系统性能。

技术领域

本发明属于网络安全通信技术领域，具体涉及到一种基于镜像流的SSL/TLS协议明文数据采集方法。

背景技术

SSL协议及其继任者TLS协议，是为网络安全提供安全性及数据完整性的一种安全协议。SSL/TLS协议位于TCP/IP协议和应用层协议之间，可为各种应用层协议提供安全性保证，例如FTP、TELNET协议等，目前SSL/TLS协议最广泛的应用是保护HTTP协议安全。SSL/TLS协议包括两层：记录层协议和握手协议。记录协议为高层握手协议提供基本的安全服务，保证数据完整性，具体包括压缩解压缩、加解密、计算和校验MAC等。握手层协议包括握手协议、密码参数修改协议、告警协议和应用数据协议，用于通信双方认证、协商加密算法和生成秘钥等。

由SSL/TLS协议保护的高层协议在客户端与服务器之间传输的为密文数据，并没有明文出现，这为数据审计带来了困难。需采取一些技术手段，将SSL/TLS通信过程中密文数据解密为明文数据，再对相应明文数据进行解析审计。如图1所示，现有技术中，通常在客户端与服务器之间引入SSL/TLS代理服务器，代理服务器串联在客户端与服务器之间，分别与客户端、服务器建立两条SSL/TLS连接。由于SSL/TLS代理服务器需获得数据后，进行解密获得明文数据，再将明文数据加密发送至客户端，额外的加密操作为系统带来了负担，导致系统响应时间变长、吞吐率降低。

发明内容

本发明的目的在于克服目前SSL/TLS通信过程中将密文数据解密为明文数据时存在的上述缺陷，提出了一种基于镜像流的SSL/TLS协议明文数据采集方法，通过该方法可以不通过SSL/TLS代理服务器，直接利用合法持有的服务器证书及私钥对SSL/TLS协议的密文数据进行解析，从而直接获得明文数据，减少了中间环节，提高了明文数据的获取的效率。

为了实现上述目的，本发明提出了一种基于镜像流的SSL/TLS协议明文数据采集方法，所述方法包括：

步骤1)接收镜像的SSL/TLS数据包，对数据包中的记录进行提取，生成若干个完整记录，放入记录队列；

步骤2)从记录队列里的记录中提取若干个完整消息，放入消息队列；

步骤3)对消息队列中的消息进行解析，获取明文数据。

上述技术方案中，所述步骤1)具体包括：

步骤101)接收镜像的SSL/TLS数据包；

步骤102)从数据包中提取出第一条记录，查看记录缓存区是否有缓存记录，若不存在缓存记录，则直接计算接收的第一条记录的长度；若记录缓存区中存在缓存记录，则将数据包拼接至缓存记录后，计算出当前缓存的第一条记录的长度；

步骤103)将第一条记录的长度和数据包长度进行比较，若第一条记录的长度加记录头长度等于数据包长度，转入步骤104)；若第一条记录的长度加记录头长度小于数据包长度，转入步骤105)；若第一条记录的长度加记录头长度大于数据包长度，转入步骤106)；

步骤104)将该记录放入记录队列；

步骤105)对数据包进行拆分，循环提取单条完整的记录放入记录队列，并将最后不完整的记录放入记录缓存区；