[发明专利]一种面向大规模SSL/TLS加密会话流的敏感数据检测系统

说明书

本发明提供了一种面向大规模SSL/TLS加密会话流的敏感数据检测系统，包括：代理解密模块，设置于检测对象的互联网出入关口，对SSL/TLS加密数据传输过程进行中间代理，输出明文内容；检测任务生产调度模块，调用检测工具生成检测任务及任务信息，并调度任务处理器执行检测任务，同时将任务信息发送至检测结果生成模块；任务处理器模块，用于执行检测任务，生成任务结果；检测工具模块，用于检测明文内容包含的敏感数据；检测结果生成模块，根据任务信息和任务结果进行判断、合并，生成检测结果。本系统无需复杂的解密密钥管理过程，将检测任务生产与结果处理分离，异步生产检测任务，按需调度任务处理资源，可实时快速处理大规模SSL/TLS加密会话流。

技术领域

本发明涉及网络安全领域，特别涉及一种面向大规模SSL/TLS加密会话流的敏感数据检测系统。

背景技术

传输层安全协议(Transport Layer Security，TLS)和安全套接层协议(SecureSockets Layer，SSL)是当前网络中应用最广泛的安全性增强协议，其使用非对称加密机制完成加密双方的身份认证和密钥交换，然后使用对称加密机制加密传输数据保证数据安全。SSL和TLS协议工作在传输层和应用层之间，通过与应用层协议结合可以构建出高安全性的应用层协议，如https以及基于TLS/SSL的即时通信、安全邮件等。据估计到2020年，超过90％的互联网流量都是加密流量，其中大部分是基于SSL/TLS的加密流量。

传输内容通过基于的SSL/TLS传输协议加密后，其在整个传输过程中都是完全随机的加密密文，通过传统的中间人劫持方式在网络关口对数据传输内容进行监管检查的方案不能应对这种情况，这导致基于SSL/TLS的数据泄露行为难以发现和监测。另外，网络侧数据泄露监管通常在企业、园区、地区的互联网出入关口处进行，这些地方流经的SSL/TLS流量通常规模庞大，协议版本众多，这对数据泄露检测系统的流量处理效率和能力都提出很高的要求。因此数据泄露检测系统如何检测发现大规模SSL/TLS流量中的敏感数据泄露是当前网络侧数据泄露监管面临的主要问题之一。

现有的SSL/TLS检测方法包括：

1、针对采用RSA密钥交换机制的SSL/TLS协议，通过获取加密私钥然后对加密传输内容进行解密分析的方式获得数据泄露相关信息。其存在的缺点在于：需要获取加密私钥，密钥管理过程复杂，不能适应大规模加密会话流；只适合采用RSA密钥交换机制的SSL/TLS协议。

2、通过在SSL/TLS的客户端或服务端主机上嵌入密钥抓取逻辑，直接抓取SSL/TLS握手过程中产生的密钥，然后利用密钥对加密传输内容进行解密分析，从而获得数据泄露相关信息。其存在的缺点在于：需要对主机应用程序进行改造，影响主机业务性能；密钥管理过程复杂，不能适应大规模加密会话流的处理。

3、在SSL/TLS加密传输链路中间，对SSL/TLS握手协议进行修改，劫持通信双方的握手消息，从而获得通信双方数据传输的加密密钥，之后利用获得的加密密钥对加密传输内容进行解密分析，从而获得数据泄露相关信息。其存在的缺点在于：会影响通信双方的通信过程，降低加密通信性能。

另外，现有的敏感数据泄露检测系统使用串行处理机制处理数据解密、内容检测等任务，不能快速处理大规模SSL/TLS加密会话流，任务处理延时较高。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供了一个基于协作代理解密和分布式异步计算任务处理机制的面向大规模SSL/TLS加密会话流的敏感数据检测系统。

本发明采用的技术方案如下：一种面向大规模SSL/TLS加密会话流的敏感数据检测系统，包括：

代理解密模块，设置于检测对象的互联网出入关口，对SSL/TLS加密数据传输过程进行中间代理，输出明文内容；