本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別是涉及一種加密流量數(shù)據(jù)監(jiān)控的方法、裝置及系統(tǒng)。

背景技術(shù)：

在現(xiàn)有的瀏覽器訪問(wèn)各種網(wǎng)站時(shí)，是通過(guò)超文本傳送協(xié)議(Hypertext transfer protocol，簡(jiǎn)稱HTTP)來(lái)定義瀏覽器如何向網(wǎng)絡(luò)服務(wù)器請(qǐng)求網(wǎng)絡(luò)內(nèi)容以及網(wǎng)絡(luò)服務(wù)器如何把網(wǎng)絡(luò)內(nèi)容傳送給瀏覽器的。HTTP是面向應(yīng)用層協(xié)議，它是萬(wàn)維網(wǎng)上能夠可靠的交換文件(包括文本、聲音、圖像等各種多媒體文件)的重要基礎(chǔ)。而伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，人們可以通過(guò)網(wǎng)絡(luò)進(jìn)行各種活動(dòng)，如網(wǎng)絡(luò)游戲、網(wǎng)上購(gòu)物、網(wǎng)上看視頻、網(wǎng)上轉(zhuǎn)賬等。由于人們的日常生活與網(wǎng)絡(luò)之間的聯(lián)系越來(lái)越緊密，因此如何保護(hù)人們?cè)诰W(wǎng)絡(luò)上的各種訪問(wèn)信息也變得越來(lái)越重要。尤其對(duì)于網(wǎng)上購(gòu)物、網(wǎng)上轉(zhuǎn)賬等情況，就更需要對(duì)用戶的訪問(wèn)信息進(jìn)行加密保護(hù)。

為了使HTTP的使用更加安全，現(xiàn)有技術(shù)通過(guò)在原有HTTP的基礎(chǔ)上加入安全套接(Secure Sockets Layer，簡(jiǎn)稱SSL)層協(xié)議構(gòu)建出HTTPS協(xié)議，HTTPS的安全基礎(chǔ)是SSL，用于對(duì)訪問(wèn)相關(guān)的詳細(xì)信息進(jìn)行加密，達(dá)到安全的HTTP數(shù)據(jù)傳輸?shù)哪康?。但是，在現(xiàn)有的局域網(wǎng)管理過(guò)程中，對(duì)于局域網(wǎng)內(nèi)的HTTPS流量而言，由于其進(jìn)行了加密，因此無(wú)法獲取到流量的詳細(xì)信息，不便于對(duì)局域網(wǎng)進(jìn)行監(jiān)控與管理。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提出了一種加密流量數(shù)據(jù)監(jiān)控的方法、裝置及系統(tǒng)，主要目的在于解決現(xiàn)有技術(shù)中無(wú)法對(duì)局域網(wǎng)內(nèi)的加密流量數(shù)據(jù)進(jìn)行有效監(jiān)控的問(wèn)題。

依據(jù)本發(fā)明的第一個(gè)方面，本發(fā)明提供一種加密流量數(shù)據(jù)監(jiān)控的方法，該方法主要應(yīng)用于網(wǎng)關(guān)側(cè)，包括：

在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求；

向客戶端發(fā)送對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證；

接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

根據(jù)所述隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

依據(jù)本發(fā)明的第二個(gè)方面，本發(fā)明提供一種加密流量數(shù)據(jù)監(jiān)控的方法，該方法主要應(yīng)用于客戶端側(cè)，包括：

接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書；

根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的所述偽證書進(jìn)行驗(yàn)證；

當(dāng)對(duì)接收的所述偽證書驗(yàn)證通過(guò)后，生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

將所述隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

依據(jù)本發(fā)明的第三個(gè)方面，本發(fā)明提供一種加密流量數(shù)據(jù)監(jiān)控的裝置，該裝置主要位于網(wǎng)關(guān)中或者與網(wǎng)關(guān)建立有數(shù)據(jù)交互關(guān)系，包括：

攔截單元，用于在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求；

發(fā)送單元，用于向客戶端發(fā)送對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證；

接收單元，用于接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

處理單元，用于根據(jù)所述隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

依據(jù)本發(fā)明的第四個(gè)方面，本發(fā)明提供一種加密流量數(shù)據(jù)監(jiān)控的裝置，該裝置主要位于客戶端中或者與客戶端建立有數(shù)據(jù)交互關(guān)系，包括：

接收單元，用于接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書；

驗(yàn)證單元，用于根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的所述偽證書進(jìn)行驗(yàn)證；

生成單元，用于當(dāng)對(duì)接收的所述偽證書驗(yàn)證通過(guò)后，生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

發(fā)送單元，用于將所述隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

依據(jù)本發(fā)明的第五個(gè)方面，本發(fā)明提供一種加密流量數(shù)據(jù)監(jiān)控的系統(tǒng)，包括：

網(wǎng)關(guān)、客戶端及服務(wù)器，其中，所述網(wǎng)關(guān)包含上述第三個(gè)方面所述的裝置，所述客戶端包含上述第四個(gè)方面所述的裝置。

借由上述技術(shù)方案，本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的方法、裝置及系統(tǒng)，能夠在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求，并構(gòu)建一份對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，將偽證書返回給客戶端后，由客戶端根據(jù)預(yù)置的偽證書庫(kù)對(duì)偽證書進(jìn)行驗(yàn)證，當(dāng)偽證書驗(yàn)證通過(guò)后，客戶端與網(wǎng)關(guān)協(xié)商好對(duì)流量數(shù)據(jù)進(jìn)行加密的密鑰，從而在客戶端后續(xù)發(fā)送經(jīng)過(guò)加密的流量數(shù)據(jù)時(shí)，能夠在網(wǎng)關(guān)側(cè)被攔截并解密。與現(xiàn)有技術(shù)中當(dāng)局域網(wǎng)內(nèi)使用HTTPS協(xié)議進(jìn)行訪問(wèn)請(qǐng)求時(shí)，由于無(wú)法獲知訪問(wèn)請(qǐng)求的流量數(shù)據(jù)的具體內(nèi)容，導(dǎo)致無(wú)法對(duì)局域網(wǎng)內(nèi)客戶端的日常操作進(jìn)行監(jiān)控的缺陷相比，本發(fā)明能夠?qū)钟蚓W(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)進(jìn)行還原，便于對(duì)局域網(wǎng)進(jìn)行有效的監(jiān)控與管理。

上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說(shuō)明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。

附圖說(shuō)明

通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

圖1示出了本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的方法的流程圖；

圖2示出了本發(fā)明實(shí)施例提供的另一種加密流量數(shù)據(jù)監(jiān)控的方法的流程圖；

圖3示出了本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的裝置的組成框圖；

圖4示出了本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的裝置的組成框圖；

圖5示出了本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的裝置的組成框圖；

圖6示出了本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的裝置的組成框圖；

圖7示出了本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的系統(tǒng)的示意圖。

具體實(shí)施方式

下面將參照附圖更加詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)，并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

現(xiàn)有的HTTPS協(xié)議是由SSL和HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，使用HTTPS傳輸?shù)牧髁繑?shù)據(jù)都是進(jìn)行加密傳輸?shù)?，如果在局域網(wǎng)內(nèi)進(jìn)出的流量都為HTTPS流量時(shí)，由于無(wú)法獲知這些流量的加密數(shù)據(jù)，因此不便于對(duì)局域網(wǎng)進(jìn)行有效的管理。

為了解決上述問(wèn)題，本發(fā)明實(shí)施例提供了一種加密流量數(shù)據(jù)監(jiān)控的方法，能夠針對(duì)局域網(wǎng)內(nèi)HTTPS加密流量數(shù)據(jù)進(jìn)行還原并監(jiān)控，從而對(duì)局域網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行有效管理。該方法主要應(yīng)用于網(wǎng)關(guān)側(cè)，如圖1所示，該方法包括：

101、在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求。

通常用戶在訪問(wèn)某些網(wǎng)站如購(gòu)物網(wǎng)站或者銀行及金融機(jī)構(gòu)的網(wǎng)站時(shí)，為了保護(hù)用戶的訪問(wèn)信息不被惡意截獲并利用，網(wǎng)站往往會(huì)使用HTTPS協(xié)議來(lái)與用戶的客戶端進(jìn)行信息傳遞。采用HTTPS的網(wǎng)站服務(wù)器必須從證書管理機(jī)構(gòu)(Certificate Authority，簡(jiǎn)稱CA)申請(qǐng)一個(gè)用于證明服務(wù)器用途類型的證書，只有網(wǎng)站服務(wù)器的證書被客戶端驗(yàn)證通過(guò)后，才能確定客戶端訪問(wèn)的網(wǎng)站是安全的。由于HTTPS協(xié)議是由HTTP協(xié)議與SSL構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，因此客戶端使用HTTPS:URL連接到網(wǎng)站時(shí)，需要驗(yàn)證網(wǎng)站的證書，當(dāng)網(wǎng)站證書驗(yàn)證通過(guò)后，客戶端就會(huì)與網(wǎng)站之間進(jìn)行加密的流量數(shù)據(jù)傳輸。但是，在需要進(jìn)行監(jiān)管的局域網(wǎng)內(nèi)，如果客戶端發(fā)送的安全訪問(wèn)請(qǐng)求，也就是客戶端向網(wǎng)站發(fā)送的HTTPS:URL順利的經(jīng)過(guò)上述一系列過(guò)程，那么管理員將無(wú)法獲取流量數(shù)據(jù)的明文信息，從而無(wú)法對(duì)局域網(wǎng)內(nèi)客戶端的操作進(jìn)行監(jiān)管。因此，為了監(jiān)控局域網(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)，本發(fā)明首先需要執(zhí)行步驟101在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求。

102、向客戶端發(fā)送對(duì)應(yīng)安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證。

由于客戶端與網(wǎng)站進(jìn)行安全的數(shù)據(jù)交互時(shí)，也就是它們之間使用HTTPS協(xié)議傳輸數(shù)據(jù)時(shí)，網(wǎng)站需要向客戶端發(fā)送證書，以便客戶端對(duì)該證書進(jìn)行驗(yàn)證，只有在該證書被驗(yàn)證通過(guò)后，客戶端才會(huì)與網(wǎng)站之間協(xié)商一個(gè)對(duì)流量數(shù)據(jù)進(jìn)行加密的密鑰，并使用該密鑰加密客戶端與網(wǎng)站之間交互的數(shù)據(jù)信息。因此，為了對(duì)局域網(wǎng)內(nèi)客戶端的操作進(jìn)行監(jiān)管，就需要對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)進(jìn)行還原，而還原加密流量數(shù)據(jù)就需要獲取加密使用的密鑰。由于客戶端在對(duì)網(wǎng)站發(fā)送的證書認(rèn)證通過(guò)后，會(huì)與網(wǎng)站協(xié)商一個(gè)對(duì)流量數(shù)據(jù)進(jìn)行加密的密鑰。因此，要獲取該密鑰就需要與客戶端私自建立一個(gè)證書的認(rèn)證過(guò)程。由于本發(fā)明實(shí)施例在步驟101中已經(jīng)在網(wǎng)關(guān)側(cè)攔截了客戶端發(fā)送的安全訪問(wèn)請(qǐng)求，網(wǎng)站沒(méi)有收到該安全訪問(wèn)請(qǐng)求就不會(huì)向客戶端發(fā)送自己擁有的證書，因此在步驟101之后，本發(fā)明實(shí)施例需要執(zhí)行步驟102向客戶端發(fā)送對(duì)應(yīng)安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證。

103、接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰。

當(dāng)在步驟102中將對(duì)應(yīng)安全訪問(wèn)請(qǐng)求的偽證書發(fā)送給客戶端后，客戶端會(huì)對(duì)該偽證書進(jìn)行驗(yàn)證，在驗(yàn)證該偽證書時(shí)是通過(guò)預(yù)先安裝在客戶端內(nèi)的偽證書庫(kù)進(jìn)行驗(yàn)證的，當(dāng)網(wǎng)關(guān)發(fā)送的偽證書位于客戶端內(nèi)的偽證書庫(kù)中時(shí)，客戶端認(rèn)為該偽證書的擁有者是安全的，并會(huì)與偽證書的擁有者協(xié)商一個(gè)密鑰，用來(lái)對(duì)它們之間的傳輸數(shù)據(jù)進(jìn)行加密。由于本發(fā)明實(shí)施例中客戶端預(yù)置的偽證書庫(kù)是針對(duì)性的安裝的，因此步驟102中網(wǎng)關(guān)發(fā)送給客戶端的偽證書一定會(huì)被客戶端認(rèn)證通過(guò)。由此，在步驟102之后，會(huì)執(zhí)行步驟103接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰。

104、根據(jù)隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

當(dāng)在步驟103中接收到客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰之后，就可以執(zhí)行步驟104根據(jù)隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

進(jìn)一步的，本發(fā)明實(shí)施例還提供了一種加密流量數(shù)據(jù)監(jiān)控的方法，該方法主要應(yīng)用于客戶端側(cè)，如圖2所示，該方法包括：

201、接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書。

當(dāng)客戶端訪問(wèn)網(wǎng)站時(shí)，需要向網(wǎng)站發(fā)送訪問(wèn)請(qǐng)求，在本發(fā)明實(shí)施例中為安全訪問(wèn)請(qǐng)求，隨后客戶端會(huì)收到網(wǎng)站返回的證書，并對(duì)證書進(jìn)行驗(yàn)證。但是在本發(fā)明實(shí)施例中，為了對(duì)進(jìn)出局域網(wǎng)的加密流量數(shù)據(jù)進(jìn)行監(jiān)控，會(huì)在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)出的安全訪問(wèn)請(qǐng)求，并根據(jù)該安全訪問(wèn)請(qǐng)求對(duì)應(yīng)的信息構(gòu)建一個(gè)偽證書并發(fā)送給客戶端。而局域網(wǎng)內(nèi)的客戶端是不知道其發(fā)送的安全訪問(wèn)請(qǐng)求已經(jīng)被攔截，客戶端只要收到返回的證書后，就會(huì)對(duì)證書進(jìn)行驗(yàn)證。因此，在客戶端一側(cè)需要執(zhí)行步驟201接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書。

202、根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的偽證書進(jìn)行驗(yàn)證。

由于本發(fā)明實(shí)施例為了監(jiān)控局域網(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)，因此會(huì)預(yù)先在局域網(wǎng)內(nèi)的客戶端中預(yù)置偽證書庫(kù)。當(dāng)客戶端接收到網(wǎng)關(guān)發(fā)送的偽證書后，就需要對(duì)該偽證書進(jìn)行驗(yàn)證。具體的是在預(yù)置的偽證書庫(kù)中查找是否存在網(wǎng)關(guān)發(fā)送的偽證書的。若預(yù)置的偽證書庫(kù)中存在網(wǎng)關(guān)發(fā)送的偽證書，則客戶端認(rèn)為與該偽證書的擁有者進(jìn)行通信是安全的。

203、當(dāng)對(duì)接收的偽證書驗(yàn)證通過(guò)后，生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰。

當(dāng)客戶端通過(guò)步驟202對(duì)網(wǎng)關(guān)發(fā)送的偽證書驗(yàn)證通過(guò)后，就會(huì)生成一個(gè)隨機(jī)密鑰，并使用該隨機(jī)密鑰對(duì)與網(wǎng)站之間傳遞的流量數(shù)據(jù)進(jìn)行加密。

204、將隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

當(dāng)客戶端生成對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰之后，就會(huì)將該隨機(jī)密鑰發(fā)送給驗(yàn)證通過(guò)的偽證書的擁有者，并在隨后的通信中使用該隨機(jī)密鑰對(duì)傳遞的數(shù)據(jù)信息進(jìn)行加密，而偽證書的擁有者在收到客戶端發(fā)送的隨機(jī)密鑰后，就可以使用該隨時(shí)密鑰來(lái)獲取加密流量數(shù)據(jù)的明文信息，從而能夠加密流量數(shù)據(jù)進(jìn)行監(jiān)控。

本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的方法，能夠在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求，并構(gòu)建一份對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，將偽證書返回給客戶端后，由客戶端根據(jù)預(yù)置的偽證書庫(kù)對(duì)偽證書進(jìn)行驗(yàn)證，當(dāng)偽證書驗(yàn)證通過(guò)后，客戶端與網(wǎng)關(guān)協(xié)商好對(duì)流量數(shù)據(jù)進(jìn)行加密的密鑰，從而在客戶端后續(xù)發(fā)送經(jīng)過(guò)加密的流量數(shù)據(jù)時(shí)，能夠在網(wǎng)關(guān)側(cè)被攔截并解密。與現(xiàn)有技術(shù)中當(dāng)局域網(wǎng)內(nèi)使用HTTPS協(xié)議進(jìn)行訪問(wèn)請(qǐng)求時(shí)，由于無(wú)法獲知訪問(wèn)請(qǐng)求的流量數(shù)據(jù)的具體內(nèi)容，導(dǎo)致無(wú)法對(duì)局域網(wǎng)內(nèi)客戶端的日常操作進(jìn)行監(jiān)控的缺陷相比，本發(fā)明能夠?qū)钟蚓W(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)進(jìn)行還原，便于對(duì)局域網(wǎng)進(jìn)行有效的監(jiān)控與管理。

為了更好的對(duì)上述圖1及圖2所示的方法進(jìn)行理解，作為對(duì)上述實(shí)施方式的細(xì)化和擴(kuò)展，本發(fā)明實(shí)施例將結(jié)合圖1及圖2的步驟進(jìn)行詳細(xì)說(shuō)明。

本發(fā)明實(shí)施例為了監(jiān)控局域網(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)，需要在網(wǎng)關(guān)側(cè)對(duì)客戶端發(fā)送給網(wǎng)站的流量進(jìn)行攔截，阻斷客戶端與網(wǎng)站之間的正常通信，也就是在網(wǎng)關(guān)側(cè)設(shè)立一個(gè)代理層，代理層對(duì)客戶端與網(wǎng)站之間的傳遞信息進(jìn)行中轉(zhuǎn)，在中轉(zhuǎn)過(guò)程中能夠?qū)蛻舳伺c網(wǎng)站之間的加密流量數(shù)據(jù)進(jìn)行還原。具體的，在客戶端與網(wǎng)站服務(wù)器進(jìn)行正常通信的情況下，客戶端向網(wǎng)站發(fā)送HTTPS的安全訪問(wèn)請(qǐng)求時(shí)，客戶端的瀏覽器會(huì)向網(wǎng)站服務(wù)器傳送客戶端SSL協(xié)議的版本號(hào)、加密算法的種類、產(chǎn)生的隨機(jī)數(shù)以及其他服務(wù)器和客戶端之間通信所需要的各種信息；而且在正常情況下，服務(wù)器也會(huì)向客戶端傳送SSL協(xié)議的版本號(hào)、加密算法的種類、隨機(jī)數(shù)以及其他相關(guān)信息，同時(shí)服務(wù)器還將向客戶端傳送自己的證書。因此，本發(fā)明實(shí)施例在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求后，就會(huì)截獲網(wǎng)站服務(wù)器和客戶端之間通信所需要的各種信息，并根據(jù)這些信息構(gòu)建出一個(gè)客戶端所要訪問(wèn)服務(wù)器的偽證書，也就是與客戶端發(fā)送的安全訪問(wèn)請(qǐng)求對(duì)應(yīng)的偽證書；網(wǎng)關(guān)內(nèi)的代理層構(gòu)建了偽證書后，就會(huì)代替網(wǎng)站服務(wù)器將該偽證書發(fā)送給客戶端，以便客戶端對(duì)該偽證書進(jìn)行驗(yàn)證。

具體的在執(zhí)行上述過(guò)程時(shí)，可以在網(wǎng)關(guān)側(cè)的代理層建立一個(gè)偽的證書頒發(fā)機(jī)構(gòu)，用于給網(wǎng)站頒發(fā)自簽名證書，例如當(dāng)局域網(wǎng)內(nèi)客戶端訪問(wèn)淘寶網(wǎng)站時(shí)，其訪問(wèn)請(qǐng)求會(huì)經(jīng)過(guò)網(wǎng)關(guān)側(cè)進(jìn)行傳遞，此時(shí)，網(wǎng)關(guān)會(huì)根據(jù)訪問(wèn)請(qǐng)求中有關(guān)淘寶網(wǎng)站的信息，抽取TLS協(xié)議(TLS建立在SSL3.0協(xié)議規(guī)范之上，是SSL3.0的后續(xù)版本)數(shù)據(jù)包，由于TLS協(xié)議中的記錄協(xié)議可能包含長(zhǎng)度、描述和內(nèi)容等字段，并且記錄協(xié)議也可以不加密使用，因此可以對(duì)抽取的TLS協(xié)議數(shù)據(jù)包進(jìn)行拆解，根據(jù)拆解后得到的信息偽造一個(gè)淘寶證書，將偽造的證書返回給客戶端，以便客戶端對(duì)該偽證書進(jìn)行驗(yàn)證。

當(dāng)客戶端收到網(wǎng)關(guān)發(fā)送的偽證書后，就需要對(duì)偽證書進(jìn)行驗(yàn)證。由于本發(fā)明實(shí)施例為了監(jiān)控局域網(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)，必須要確?？蛻舳四軌?qū)⒕W(wǎng)關(guān)發(fā)送的偽證書驗(yàn)證通過(guò)，因此就需要提前在客戶端中預(yù)置偽證書庫(kù)，并通過(guò)預(yù)置的偽證書庫(kù)對(duì)網(wǎng)關(guān)發(fā)送的偽證書進(jìn)行驗(yàn)證?？蛻舳酥挥性隍?yàn)證偽證書正確后，才能確定該偽證書的發(fā)送者也就是偽證書擁有者是可信的，可以與其協(xié)商密鑰并進(jìn)行后續(xù)的數(shù)據(jù)傳輸。具體的，客戶端對(duì)偽證書的驗(yàn)證包括：偽證書是否過(guò)期，偽證書的發(fā)行者是否可靠，發(fā)行者證書的公鑰能否正確解開(kāi)偽證書的“發(fā)行者數(shù)字簽名”等。如果合法性沒(méi)有通過(guò)驗(yàn)證，則通信將斷開(kāi)；如果合法性通過(guò)驗(yàn)證，則會(huì)與偽證書的發(fā)送者協(xié)商密鑰用于對(duì)流量數(shù)據(jù)進(jìn)行加密。

由于本發(fā)明實(shí)施例在網(wǎng)關(guān)側(cè)設(shè)置了具有偽證書頒發(fā)機(jī)構(gòu)的代理層，并且在客戶端中預(yù)置了偽證書庫(kù)，這些操作都是人為設(shè)定的，目的是為了讓網(wǎng)關(guān)發(fā)送的偽證書能夠順利通過(guò)客戶端的驗(yàn)證。因此，上述驗(yàn)證偽證書是否過(guò)期這一過(guò)程可以在設(shè)置偽證書庫(kù)的過(guò)程中就予以規(guī)避。因此，本發(fā)明實(shí)施例中的客戶端在驗(yàn)證網(wǎng)關(guān)發(fā)送的偽證書時(shí)，主要就是驗(yàn)證偽證書的發(fā)行者(代理層的偽證書頒發(fā)機(jī)構(gòu))是否可靠，發(fā)行者證書(網(wǎng)關(guān)側(cè)根證書)的公鑰能否正確解開(kāi)偽證書的“發(fā)行者數(shù)字簽名”。由于根證書是CA認(rèn)證中心給自己頒發(fā)的證書，是信任鏈的起始點(diǎn)。根證書是一份特殊的證書，它的簽發(fā)者是它本身，下載根證書就表示對(duì)該根證書以下所簽發(fā)的證書都表示信任。而本發(fā)明實(shí)施例中代理層的偽證書頒發(fā)機(jī)構(gòu)在構(gòu)建偽證書時(shí)，是通過(guò)網(wǎng)關(guān)側(cè)的根證書對(duì)偽證書進(jìn)行簽名的。因此，客戶端需要先安裝網(wǎng)關(guān)側(cè)的根證書，安裝了根證書，就證明客戶端信任偽證書的發(fā)行者(代理層的偽證書頒發(fā)機(jī)構(gòu))；當(dāng)客戶端安裝了網(wǎng)關(guān)側(cè)的根證書后，就可以使用根證書的公鑰對(duì)網(wǎng)關(guān)發(fā)送的偽證書的簽名進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后就可以將該偽證書在預(yù)置的偽證書庫(kù)中進(jìn)行校驗(yàn)，當(dāng)確定該偽證書位于預(yù)置的偽證書庫(kù)中時(shí)，客戶端會(huì)認(rèn)為該偽證書的擁有者是安全的，可以與之進(jìn)行通信。

當(dāng)客戶端對(duì)網(wǎng)關(guān)發(fā)送的偽證書的驗(yàn)證通過(guò)后，就會(huì)隨機(jī)產(chǎn)生一個(gè)用于后續(xù)與服務(wù)器進(jìn)行通信的隨機(jī)密鑰，該隨機(jī)密鑰用于對(duì)通信的流量數(shù)據(jù)進(jìn)行加密。由于該隨機(jī)密鑰也需要一同傳送給服務(wù)器，以便服務(wù)器利用該隨機(jī)密鑰對(duì)返回給客戶端的數(shù)據(jù)進(jìn)行加密，因此，為了確保該隨機(jī)密鑰的安全性，客戶端還需要將該隨機(jī)密鑰進(jìn)行加密后才能傳送給服務(wù)器。由于本發(fā)明實(shí)施例中客戶端不知道其接收的偽證書是由網(wǎng)關(guān)發(fā)送的，因此客戶端還是會(huì)將加密后的隨機(jī)密鑰傳送給網(wǎng)關(guān)。具體的，在對(duì)隨機(jī)密鑰進(jìn)行加密時(shí)，客戶端會(huì)使用網(wǎng)關(guān)發(fā)送的偽證書中包含的公共密鑰對(duì)隨機(jī)密鑰進(jìn)行加密。由于偽證書是由網(wǎng)關(guān)側(cè)的代理層發(fā)送的，因此，網(wǎng)關(guān)側(cè)會(huì)唯一保留有對(duì)應(yīng)偽證書中的公共密鑰的私有密鑰。

當(dāng)網(wǎng)關(guān)接收到客戶端返回的經(jīng)過(guò)偽證書中的公共密鑰進(jìn)行加密的隨機(jī)密鑰后，就會(huì)使用與公共密鑰對(duì)應(yīng)的私有密鑰對(duì)加密的隨機(jī)密鑰進(jìn)行解密。其中，公共密鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的私有密鑰進(jìn)行解密，并且私有密鑰只在發(fā)送偽證書的網(wǎng)關(guān)側(cè)保留。當(dāng)網(wǎng)關(guān)獲得隨機(jī)密鑰后，就能夠使用該隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)進(jìn)行解密還原，從而能夠?qū)钟蚓W(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)進(jìn)行監(jiān)控。這里需要說(shuō)明的是，本發(fā)明實(shí)施例中對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰可以為隨機(jī)產(chǎn)生的對(duì)稱密鑰。

由于本發(fā)明實(shí)施例在網(wǎng)關(guān)側(cè)將客戶端發(fā)送的安全訪問(wèn)請(qǐng)求進(jìn)行了攔截，并使用網(wǎng)關(guān)側(cè)的代理層私自向客戶端返回了一個(gè)經(jīng)過(guò)根證書簽名的偽證書，使客戶端誤以為該偽證書是由網(wǎng)站服務(wù)器發(fā)送的，因此客戶端會(huì)對(duì)該偽證書進(jìn)行驗(yàn)證；并且由于客戶端內(nèi)預(yù)置了偽證書庫(kù)以及預(yù)先安裝了網(wǎng)關(guān)側(cè)的根證書，因此客戶端通過(guò)根證書會(huì)將網(wǎng)關(guān)發(fā)送的偽證書驗(yàn)證通過(guò)，當(dāng)客戶端對(duì)驗(yàn)證通過(guò)的偽證書進(jìn)行校驗(yàn)發(fā)現(xiàn)其位于偽證書庫(kù)之后，就可以與網(wǎng)關(guān)協(xié)商對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰，并將使用偽證書內(nèi)的公共密鑰對(duì)該隨機(jī)密鑰進(jìn)行加密后發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)接收到經(jīng)過(guò)加密的隨機(jī)密鑰之后，會(huì)使用與所述公共密鑰對(duì)應(yīng)的私有密鑰進(jìn)行解密得到該隨機(jī)密鑰，從而使用該隨機(jī)密鑰對(duì)后續(xù)客戶端發(fā)送的加密流量數(shù)據(jù)進(jìn)行解密還原，實(shí)現(xiàn)對(duì)局域網(wǎng)進(jìn)出的加密流量數(shù)據(jù)的有效監(jiān)控。

進(jìn)一步的，作為對(duì)上述圖1所示方法的實(shí)現(xiàn)，本發(fā)明實(shí)施例提供了一種加密流量數(shù)據(jù)監(jiān)控的裝置，該裝置主要位于網(wǎng)關(guān)中或者與網(wǎng)關(guān)建立有數(shù)據(jù)交互關(guān)系，如圖3所示，該裝置包括：攔截單元31、發(fā)送單元32、接收單元33及處理單元34，其中，

攔截單元31，用于在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求；

發(fā)送單元32，用于向客戶端發(fā)送對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證；

接收單元33，用于接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

處理單元34，用于根據(jù)所述隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

進(jìn)一步的，如圖4所示，發(fā)送單元32包括：

提取模塊321，用于提取所述安全訪問(wèn)請(qǐng)求的協(xié)議數(shù)據(jù)包；

構(gòu)建模塊322，用于根據(jù)所述協(xié)議數(shù)據(jù)包中的數(shù)據(jù)信息構(gòu)建與所述安全訪問(wèn)請(qǐng)求對(duì)應(yīng)的偽證書；

發(fā)送模塊323，用于將構(gòu)建的所述偽證書發(fā)送給客戶端。

進(jìn)一步的，接收單元33用于當(dāng)所述偽證書被客戶端驗(yàn)證通過(guò)后，接收客戶端返回的經(jīng)過(guò)加密的隨機(jī)密鑰。

進(jìn)一步的，接收單元33用于接收客戶端返回的經(jīng)過(guò)所述偽證書中包含的公共密鑰進(jìn)行加密的隨機(jī)密鑰。

進(jìn)一步的，如圖4所示，處理單元34包括：

第一解密模塊341，用于根據(jù)與所述偽證書中包含的公共密鑰相對(duì)應(yīng)的私有密鑰對(duì)經(jīng)過(guò)加密的隨機(jī)密鑰進(jìn)行解密，所述私有密鑰唯一保留在網(wǎng)關(guān)側(cè)；

第二解密模塊342，用于使用解密后得到的隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

進(jìn)一步的，作為對(duì)上述圖2所示方法的實(shí)現(xiàn)，本發(fā)明實(shí)施例提供了一種加密流量數(shù)據(jù)監(jiān)控的裝置，該裝置主要位于客戶端中或者與客戶端建立有數(shù)據(jù)交互關(guān)系，如圖5所示，該裝置包括：接收單元51、驗(yàn)證單元52、生成單元53及發(fā)送單元54，其中，

接收單元51，用于接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書；

驗(yàn)證單元52，用于根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的所述偽證書進(jìn)行驗(yàn)證；

生成單元53，用于當(dāng)對(duì)接收的所述偽證書驗(yàn)證通過(guò)后，生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

發(fā)送單元54，用于將所述隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

進(jìn)一步的，如圖6所示，驗(yàn)證單元52包括：

安裝模塊521，用于安裝網(wǎng)關(guān)側(cè)的根證書；

驗(yàn)證模塊522，用于通過(guò)所述根證書對(duì)網(wǎng)關(guān)發(fā)送的所述偽證書的簽名進(jìn)行驗(yàn)證；

校驗(yàn)?zāi)K523，用于將驗(yàn)證通過(guò)的所述偽證書在預(yù)置的偽證書庫(kù)中進(jìn)行校驗(yàn)，確定所述偽證書是否位于預(yù)置的偽證書庫(kù)中。

進(jìn)一步的，如圖6所示，生成單元53包括：

生成模塊531，用于生成對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

加密模塊532，用于對(duì)所述隨機(jī)密鑰進(jìn)行加密。

進(jìn)一步的，加密模塊532使用所述偽證書中包含的公共密鑰對(duì)所述隨機(jī)密鑰進(jìn)行加密。

進(jìn)一步的，發(fā)送單元54用于將使用所述公共密鑰進(jìn)行加密的隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)與所述公共密鑰相對(duì)應(yīng)的私有密鑰對(duì)加密的隨機(jī)密鑰進(jìn)行解密，并使用解密后得到的隨機(jī)密鑰對(duì)加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控，所述私有密鑰唯一保留在網(wǎng)關(guān)側(cè)。

本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的裝置，能夠在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求，并構(gòu)建一份對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，將偽證書返回給客戶端后，由客戶端根據(jù)預(yù)置的偽證書庫(kù)對(duì)偽證書進(jìn)行驗(yàn)證，當(dāng)偽證書驗(yàn)證通過(guò)后，客戶端與網(wǎng)關(guān)協(xié)商好對(duì)流量數(shù)據(jù)進(jìn)行加密的密鑰，從而在客戶端后續(xù)發(fā)送經(jīng)過(guò)加密的流量數(shù)據(jù)時(shí)，能夠在網(wǎng)關(guān)側(cè)被攔截并解密。與現(xiàn)有技術(shù)中當(dāng)局域網(wǎng)內(nèi)使用HTTPS協(xié)議進(jìn)行訪問(wèn)請(qǐng)求時(shí)，由于無(wú)法獲知訪問(wèn)請(qǐng)求的流量數(shù)據(jù)的具體內(nèi)容，導(dǎo)致無(wú)法對(duì)局域網(wǎng)內(nèi)客戶端的日常操作進(jìn)行監(jiān)控的缺陷相比，本發(fā)明能夠?qū)钟蚓W(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)進(jìn)行還原，便于對(duì)局域網(wǎng)進(jìn)行有效的監(jiān)控與管理。

此外，由于本發(fā)明實(shí)施例提供的裝置在網(wǎng)關(guān)側(cè)將客戶端發(fā)送的安全訪問(wèn)請(qǐng)求進(jìn)行了攔截，并使用網(wǎng)關(guān)側(cè)的代理層私自向客戶端返回了一個(gè)經(jīng)過(guò)根證書簽名的偽證書，使客戶端誤以為該偽證書是由網(wǎng)站服務(wù)器發(fā)送的，因此客戶端會(huì)對(duì)該偽證書進(jìn)行驗(yàn)證；并且由于客戶端內(nèi)預(yù)置了偽證書庫(kù)以及預(yù)先安裝了網(wǎng)關(guān)側(cè)的根證書，因此客戶端通過(guò)根證書會(huì)將網(wǎng)關(guān)發(fā)送的偽證書驗(yàn)證通過(guò)，當(dāng)客戶端對(duì)驗(yàn)證通過(guò)的偽證書進(jìn)行校驗(yàn)發(fā)現(xiàn)其位于偽證書庫(kù)之后，就可以與網(wǎng)關(guān)協(xié)商對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰，并將使用偽證書內(nèi)的公共密鑰對(duì)該隨機(jī)密鑰進(jìn)行加密后發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)接收到經(jīng)過(guò)加密的隨機(jī)密鑰之后，會(huì)使用與所述公共密鑰對(duì)應(yīng)的私有密鑰進(jìn)行解密得到該隨機(jī)密鑰，從而使用該隨機(jī)密鑰對(duì)后續(xù)客戶端發(fā)送的加密流量數(shù)據(jù)進(jìn)行解密還原，實(shí)現(xiàn)對(duì)局域網(wǎng)進(jìn)出的加密流量數(shù)據(jù)的有效監(jiān)控。

進(jìn)一步的，作為對(duì)上述圖1及圖2所示方法的實(shí)現(xiàn)，以及對(duì)上述圖3、圖4以及圖5、圖6的應(yīng)用，本發(fā)明實(shí)施例提供了一種加密流量數(shù)據(jù)監(jiān)控的系統(tǒng)，如圖7所示，該系統(tǒng)包括：網(wǎng)關(guān)71、客戶端72及服務(wù)器73；其中，網(wǎng)關(guān)71包含上述圖3或圖4所示的裝置；客戶端72包含上述圖5或圖6所示的裝置。

本發(fā)明實(shí)施例提供的一種加密流量數(shù)據(jù)監(jiān)控的系統(tǒng)，能夠在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求，并構(gòu)建一份對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，將偽證書返回給客戶端后，由客戶端根據(jù)預(yù)置的偽證書庫(kù)對(duì)偽證書進(jìn)行驗(yàn)證，當(dāng)偽證書驗(yàn)證通過(guò)后，客戶端與網(wǎng)關(guān)協(xié)商好對(duì)流量數(shù)據(jù)進(jìn)行加密的密鑰，從而在客戶端后續(xù)發(fā)送經(jīng)過(guò)加密的流量數(shù)據(jù)時(shí)，能夠在網(wǎng)關(guān)側(cè)被攔截并解密。與現(xiàn)有技術(shù)中當(dāng)局域網(wǎng)內(nèi)使用HTTPS協(xié)議進(jìn)行訪問(wèn)請(qǐng)求時(shí)，由于無(wú)法獲知訪問(wèn)請(qǐng)求的流量數(shù)據(jù)的具體內(nèi)容，導(dǎo)致無(wú)法對(duì)局域網(wǎng)內(nèi)客戶端的日常操作進(jìn)行監(jiān)控的缺陷相比，本發(fā)明能夠?qū)钟蚓W(wǎng)內(nèi)進(jìn)出的加密流量數(shù)據(jù)進(jìn)行還原，便于對(duì)局域網(wǎng)進(jìn)行有效的監(jiān)控與管理。

此外，由于本發(fā)明實(shí)施例提供的系統(tǒng)在網(wǎng)關(guān)側(cè)將客戶端發(fā)送的安全訪問(wèn)請(qǐng)求進(jìn)行了攔截，并使用網(wǎng)關(guān)側(cè)的代理層私自向客戶端返回了一個(gè)經(jīng)過(guò)根證書簽名的偽證書，使客戶端誤以為該偽證書是由網(wǎng)站服務(wù)器發(fā)送的，因此客戶端會(huì)對(duì)該偽證書進(jìn)行驗(yàn)證；并且由于客戶端內(nèi)預(yù)置了偽證書庫(kù)以及預(yù)先安裝了網(wǎng)關(guān)側(cè)的根證書，因此客戶端通過(guò)根證書會(huì)將網(wǎng)關(guān)發(fā)送的偽證書驗(yàn)證通過(guò)，當(dāng)客戶端對(duì)驗(yàn)證通過(guò)的偽證書進(jìn)行校驗(yàn)發(fā)現(xiàn)其位于偽證書庫(kù)之后，就可以與網(wǎng)關(guān)協(xié)商對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰，并將使用偽證書內(nèi)的公共密鑰對(duì)該隨機(jī)密鑰進(jìn)行加密后發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)接收到經(jīng)過(guò)加密的隨機(jī)密鑰之后，會(huì)使用與所述公共密鑰對(duì)應(yīng)的私有密鑰進(jìn)行解密得到該隨機(jī)密鑰，從而使用該隨機(jī)密鑰對(duì)后續(xù)客戶端發(fā)送的加密流量數(shù)據(jù)進(jìn)行解密還原，實(shí)現(xiàn)對(duì)局域網(wǎng)進(jìn)出的加密流量數(shù)據(jù)的有效監(jiān)控。

本發(fā)明的實(shí)施例公開(kāi)了：

A1、一種加密流量數(shù)據(jù)監(jiān)控的方法，其特征在于，所述方法包括：

在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求；

向客戶端發(fā)送對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證；

接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

根據(jù)所述隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

A2、根據(jù)A1所述的方法，其特征在于，所述向客戶端發(fā)送對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書包括：

提取所述安全訪問(wèn)請(qǐng)求的協(xié)議數(shù)據(jù)包；

根據(jù)所述協(xié)議數(shù)據(jù)包中的數(shù)據(jù)信息構(gòu)建與所述安全訪問(wèn)請(qǐng)求對(duì)應(yīng)的偽證書；

將構(gòu)建的所述偽證書發(fā)送給客戶端。

A3、根據(jù)A1所述的方法，其特征在于，所述接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰包括：

當(dāng)所述偽證書被客戶端驗(yàn)證通過(guò)后，接收客戶端返回的經(jīng)過(guò)加密的隨機(jī)密鑰。

A4、根據(jù)A3所述的方法，其特征在于，所述接收客戶端返回的經(jīng)過(guò)加密的隨機(jī)密鑰包括：

接收客戶端返回的經(jīng)過(guò)所述偽證書中包含的公共密鑰進(jìn)行加密的隨機(jī)密鑰。

A5、根據(jù)A4所述的方法，其特征在于，所述根據(jù)所述隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控包括：

根據(jù)與所述偽證書中包含的公共密鑰相對(duì)應(yīng)的私有密鑰對(duì)經(jīng)過(guò)加密的隨機(jī)密鑰進(jìn)行解密，所述私有密鑰唯一保留在網(wǎng)關(guān)側(cè)；

使用解密后得到的隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

A6、根據(jù)A1-5中任一項(xiàng)所述的方法，其特征在于，所述用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰為隨機(jī)對(duì)稱密鑰。

B7、一種加密流量數(shù)據(jù)監(jiān)控的方法，其特征在于，所述方法包括：

接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書；

根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的所述偽證書進(jìn)行驗(yàn)證；

當(dāng)對(duì)接收的所述偽證書驗(yàn)證通過(guò)后，生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

將所述隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

B8、根據(jù)B7所述的方法，其特征在于，所述根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的所述偽證書進(jìn)行驗(yàn)證包括：

安裝網(wǎng)關(guān)側(cè)的根證書；

通過(guò)所述根證書對(duì)網(wǎng)關(guān)發(fā)送的所述偽證書的簽名進(jìn)行驗(yàn)證；

將驗(yàn)證通過(guò)的所述偽證書在預(yù)置的偽證書庫(kù)中進(jìn)行校驗(yàn)，確定所述偽證書是否位于預(yù)置的偽證書庫(kù)中。

B9、根據(jù)B7所述的方法，其特征在于，所述生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰包括：

生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰，并對(duì)所述隨機(jī)密鑰進(jìn)行加密。

B10、根據(jù)B9所述的方法，其特征在于，所述對(duì)所述隨機(jī)密鑰進(jìn)行加密包括：

使用所述偽證書中包含的公共密鑰對(duì)所述隨機(jī)密鑰進(jìn)行加密。

B11、根據(jù)B10所述的方法，其特征在于，所述將所述隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控包括：

將使用所述公共密鑰進(jìn)行加密的隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)與所述公共密鑰相對(duì)應(yīng)的私有密鑰對(duì)加密的隨機(jī)密鑰進(jìn)行解密，并使用解密后得到的隨機(jī)密鑰對(duì)加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控，所述私有密鑰唯一保留在網(wǎng)關(guān)側(cè)。

B12、根據(jù)B7-11所述的方法，其特征在于，所述用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰為隨機(jī)對(duì)稱密鑰。

C13、一種加密流量數(shù)據(jù)監(jiān)控的裝置，其特征在于，所述裝置包括：

攔截單元，用于在網(wǎng)關(guān)側(cè)攔截客戶端發(fā)送的安全訪問(wèn)請(qǐng)求；

發(fā)送單元，用于向客戶端發(fā)送對(duì)應(yīng)所述安全訪問(wèn)請(qǐng)求的偽證書，以便客戶端根據(jù)自身預(yù)置的偽證書庫(kù)對(duì)所述偽證書進(jìn)行驗(yàn)證；

接收單元，用于接收客戶端返回的用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

處理單元，用于根據(jù)所述隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

C14、根據(jù)C13所述的裝置，其特征在于，所述發(fā)送單元包括：

提取模塊，用于提取所述安全訪問(wèn)請(qǐng)求的協(xié)議數(shù)據(jù)包；

構(gòu)建模塊，用于根據(jù)所述協(xié)議數(shù)據(jù)包中的數(shù)據(jù)信息構(gòu)建與所述安全訪問(wèn)請(qǐng)求對(duì)應(yīng)的偽證書；

發(fā)送模塊，用于將構(gòu)建的所述偽證書發(fā)送給客戶端。

C15、根據(jù)C13所述的裝置，其特征在于，所述接收單元用于當(dāng)所述偽證書被客戶端驗(yàn)證通過(guò)后，接收客戶端返回的經(jīng)過(guò)加密的隨機(jī)密鑰。

C16、根據(jù)C15所述的裝置，其特征在于，所述接收單元用于接收客戶端返回的經(jīng)過(guò)所述偽證書中包含的公共密鑰進(jìn)行加密的隨機(jī)密鑰。

C17、根據(jù)C16所述的裝置，其特征在于，所述處理單元包括：

第一解密模塊，用于根據(jù)與所述偽證書中包含的公共密鑰相對(duì)應(yīng)的私有密鑰對(duì)經(jīng)過(guò)加密的隨機(jī)密鑰進(jìn)行解密，所述私有密鑰唯一保留在網(wǎng)關(guān)側(cè)；

第二解密模塊，用于使用解密后得到的隨機(jī)密鑰對(duì)客戶端發(fā)送的加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

D18、一種加密流量數(shù)據(jù)監(jiān)控的裝置，其特征在于，所述裝置包括：

接收單元，用于接收網(wǎng)關(guān)發(fā)送的對(duì)應(yīng)客戶端安全訪問(wèn)請(qǐng)求的偽證書；

驗(yàn)證單元，用于根據(jù)預(yù)置的偽證書庫(kù)對(duì)接收的所述偽證書進(jìn)行驗(yàn)證；

生成單元，用于當(dāng)對(duì)接收的所述偽證書驗(yàn)證通過(guò)后，生成用于對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

發(fā)送單元，用于將所述隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)所述隨機(jī)密鑰對(duì)加密的流量數(shù)據(jù)解密后進(jìn)行監(jiān)控。

D19、根據(jù)D18所述的裝置，其特征在于，所述驗(yàn)證單元包括：

安裝模塊，用于安裝網(wǎng)關(guān)側(cè)的根證書；

驗(yàn)證模塊，用于通過(guò)所述根證書對(duì)網(wǎng)關(guān)發(fā)送的所述偽證書的簽名進(jìn)行驗(yàn)證；

校驗(yàn)?zāi)K，用于將驗(yàn)證通過(guò)的所述偽證書在預(yù)置的偽證書庫(kù)中進(jìn)行校驗(yàn)，確定所述偽證書是否位于預(yù)置的偽證書庫(kù)中。

D20、根據(jù)D18所述的裝置，其特征在于，所述生成單元包括：

生成模塊，用于生成對(duì)流量數(shù)據(jù)進(jìn)行加密的隨機(jī)密鑰；

加密模塊，用于對(duì)所述隨機(jī)密鑰進(jìn)行加密。

D21、根據(jù)D20所述的裝置，其特征在于，所述加密模塊使用所述偽證書中包含的公共密鑰對(duì)所述隨機(jī)密鑰進(jìn)行加密。

D22、根據(jù)D21所述的裝置，其特征在于，所述發(fā)送單元用于將使用所述公共密鑰進(jìn)行加密的隨機(jī)密鑰發(fā)送給網(wǎng)關(guān)，以便網(wǎng)關(guān)根據(jù)與所述公共密鑰相對(duì)應(yīng)的私有密鑰對(duì)加密的隨機(jī)密鑰進(jìn)行解密，并使用解密后得到的隨機(jī)密鑰對(duì)加密流量數(shù)據(jù)解密后進(jìn)行監(jiān)控，所述私有密鑰唯一保留在網(wǎng)關(guān)側(cè)。

E23、一種加密流量數(shù)據(jù)監(jiān)控的系統(tǒng)，其特征在于，所述系統(tǒng)包括：

網(wǎng)關(guān)、客戶端及服務(wù)器；其中，

所述網(wǎng)關(guān)包含上述C13-17中任一項(xiàng)所述的裝置；

所述客戶端包含上述D18-22中任一項(xiàng)所述的裝置。

在上述實(shí)施例中，對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒(méi)有詳述的部分，可以參見(jiàn)其他實(shí)施例的相關(guān)描述。

可以理解的是，上述方法及裝置中的相關(guān)特征可以相互參考。另外，上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例，而并不代表各實(shí)施例的優(yōu)劣。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)，裝置和單元的具體工作過(guò)程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程，在此不再贅述。

在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外，本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白，可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。

在此處所提供的說(shuō)明書中，說(shuō)明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對(duì)本說(shuō)明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而，并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外，可以采用任何組合對(duì)本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述，本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。

本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的發(fā)明名稱(如確定網(wǎng)站內(nèi)鏈接等級(jí)的裝置)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號(hào)上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。