[发明专利]一种旁路审计HTTPS数据包的方法及系统

摘要

本发明涉及WEB业务审计、安全管理技术，旨在提供一种旁路审计HTTPS数据包的方法及系统。该种旁路审计HTTPS数据包的方法包括步骤：旁路获取数据包、提取私钥、解析私钥、解密预主钥、生成主钥、生成密钥和初始向量、解密加密的数据包，对需要进行WEB业务审计的数据包实现解密。本发明对加密数据包进行解密的方法能够帮助IT组织加强web业务安全分析能力，且该种审计加密数据包的方法具有web访问行为分析、web性能分析。

主权项

1.一种旁路审计HTTPS数据包的方法，用于对需要进行WEB业务审计的数据包进行解密，数据包采用HTTP通道在浏览器与WEB服务器之间进行传输，其特征在于，所述旁路审计HTTPS数据包的方法具体包括下述步骤：步骤A：旁路获取数据包：采用旁路获取浏览器与WEB服务器之间传输的数据包；所述旁路是指WEB审计设备与WEB服务器的链接线路、与浏览器的链接线路，和WEB服务器与浏览器的链接线路是分开的；所述WEB审计设备是指装有WEB业务审计系统的计算机设备；步骤B：提取私钥：WEB业务审计系统获得keystore文件，并从keystore文件中提取私钥；所述keystore文件是由安全钥匙和证书管理工具keytool创建的数字证书文件，keystore文件内包含钥匙和证书，且keystore文件用一个密码保护钥匙；步骤C：解析私钥：由开源函数gcry_sexp_build读取步骤B提取的私钥，并存放到gcry_sexp_t结构体；步骤D：解密预主钥：通过传入步骤C解析的私钥，由开源非对称解密函数解密预主钥pre‑master‑secret；所述开源非对称解密函数是采用RSA非对称加密算法进行解密的函数；所述预主钥pre‑master‑secret是在SSL通信流程中，采用RSA算法加密时，产生的一个随机数；步骤E：生成主钥：通过传入步骤D解密的预主钥pre‑master‑secret、客户端随机数、服务器端随机数，由伪随机函数PRF生成主钥master‑secret，即：master‑secret=PRF( pre‑mastersecret,“mastersecret”, ClientHello.random + ServerHello.random )；所述客户端随机数是在SSL通信流程中，客户端发送的ClientHello消息中包含的一个用于生成主钥master‑secret的32字节的随机数，即ClientHello.random；所述服务器随机数是在SSL通信流程中，服务器端应答客户的Serverhello消息中包含的一个用于生成主钥master‑secret的32字节的随机数，即ServerHello.random；所述伪随机函数是SSL协议中的组成部分，用于秘密扩展以及生成密钥，所用的算法是对称加解密算法；步骤F：生成密钥和初始向量：步骤E得到主钥master‑secret后，伪随机函数PRF对主钥master‑secret做进一步处理，生成四个不同的密钥和两个初始向量IV，即：keyblock=PRF(SecurityParameters.master‑secret,”key‑expansion”,SecurityParameters.server random+SecurityParameters.client random )；其中，keyblock用于存储生成的四个密钥和两个初始向量IV；SecurityParameters.master‑secret是指步骤E生成的主钥master‑secret；key‑expansion是一个标识符；SecurityParameters.server random是指步骤E所述的服务器随机数；SecurityParameters.client random是指步骤E所述的客户端随机数；所述四个不同的密钥是指：client_write_MAC_secret、server_write_MAC_secret、client_write_key、server_write_key；其中，client_write_key、server_write_key用于对数据进行加解密，client_write_MAC_secret、server_write_MAC_secret用于验证数据的完整性；所述两个初始向量是指：client_write_IV, server_write_IV；步骤G：解密加密的数据包：通过传入步骤F生成的密钥和初始向量，由开源解密函数，即解密函数gcry_cipher_decrypt，对步骤A获取的加密的数据包进行解密。