基于https加密的網(wǎng)站過濾方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種基于HTTPS加密的網(wǎng)站過濾方法和系統(tǒng)�����,抓取終端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包��,獲取該數(shù)據(jù)包中的訪問網(wǎng)站域名����,在獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí),攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包��,即禁止用戶訪問該網(wǎng)站�,以達(dá)到網(wǎng)站過濾的目的�,并且在過濾過程中并未獲取用戶端與服務(wù)器之間通信的數(shù)據(jù)包中的具體數(shù)據(jù),使得在網(wǎng)站過濾時(shí)更加安全�����。
【專利說明】基于HTTPS加密的網(wǎng)站過濾方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】��,尤其涉及基于HTTPS加密的網(wǎng)站過濾方法和系統(tǒng)。
【背景技術(shù)】
[0002]HTTPS (Hypertext Transfer Protocol over Secure Socket Layer,超文本傳輸協(xié)議安全套接字層)是互聯(lián)網(wǎng)上很通用的加密通訊方法�����,可以有效的保護(hù)通訊過程的安全性����。但HTTPS在實(shí)現(xiàn)了加密通訊的同時(shí),對(duì)網(wǎng)絡(luò)過濾設(shè)備過濾造成了困難��,無法根據(jù)訪問網(wǎng)站URL (Uniform Resource Locator,統(tǒng)一資源定位符)類型進(jìn)行過濾�����。比如要實(shí)現(xiàn)禁止訪問網(wǎng)上銀行(一般是HTTPS加密的)��,但可以訪問其他HTTPS網(wǎng)站就很難實(shí)現(xiàn)��。
[0003]要實(shí)現(xiàn)HTTPS的網(wǎng)站過濾���,通用的方法是使用中間人攻擊的方法��,由過濾設(shè)備將客戶端和服務(wù)器間的證書替換掉�,使過濾設(shè)備可以看到明文的訪問內(nèi)容��,從而實(shí)現(xiàn)過濾。但這個(gè)方法有很大的安全隱患�����,容易被利用���,從而達(dá)到非法的目的����,如竊取網(wǎng)銀的密碼���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的主要目的是提供一種基于HTTPS加密的網(wǎng)站過濾方法和系統(tǒng)����,旨在使得在網(wǎng)站過濾時(shí)更加安全�����。
[0005]本發(fā)明提出一種基于HTTPS加密的網(wǎng)站過濾方法�,包括:
[0006]接收到用戶端發(fā)送的數(shù)據(jù)包時(shí)�����,確定接收到的數(shù)據(jù)包的類型;
[0007]若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包��,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名��;
[0008]在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)���,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包��。
[0009]優(yōu)選地��,所述若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包���,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟之后,該方法包括:
[0010]在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)���,記錄確定的網(wǎng)站域名�。
[0011]優(yōu)選地����,所述對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟包括:
[0012]從獲取到的連接請(qǐng)求數(shù)據(jù)包中,提取SNI業(yè)務(wù)節(jié)點(diǎn)接口字段����;
[0013]在提取的SNI業(yè)務(wù)節(jié)點(diǎn)接口字段中確定所述待訪問的網(wǎng)站域名�����。
[0014]優(yōu)選地���,所述對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟還包括:
[0015]在接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,且該接收到的數(shù)據(jù)包中沒有SNI業(yè)務(wù)節(jié)點(diǎn)接口字段時(shí)���,獲取接收到的數(shù)據(jù)包中的網(wǎng)站證書信息��;
[0016]解析獲取到的網(wǎng)站證書信息以確定待訪問的網(wǎng)站域名�。
[0017]優(yōu)選地���,所述對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟之后�����,該方法還包括:[0018]在確定的網(wǎng)站域名與預(yù)存的所述第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)��,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器��。
[0019]優(yōu)選地,所述確定接收到的數(shù)據(jù)包的類型的步驟之后,該方法還包括:
[0020]若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包���,則將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器�。
[0021]本發(fā)明還提出一種基于HTTPS加密的網(wǎng)站過濾系統(tǒng)����,包括:
[0022]確定模塊,用于接收到用戶端發(fā)送的數(shù)據(jù)包時(shí)�����,確定接收到的數(shù)據(jù)包的類型�,以及若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名����;
[0023]攔截模塊,用于在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)��,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包��。
[0024]優(yōu)選地���,該系統(tǒng)還包括記錄模塊��,用于在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�,記錄確定的網(wǎng)站域名。
[0025]優(yōu)選地����,所述確定模塊包括:
[0026]獲取單元,用于從獲取到的連接請(qǐng)求數(shù)據(jù)包中���,提取SNI業(yè)務(wù)節(jié)點(diǎn)接口字段��;
[0027]確定單元�����,用于在提取的SNI業(yè)務(wù)節(jié)點(diǎn)接口字段中確定所述待訪問的網(wǎng)站域名�����。
[0028]優(yōu)選地����,所述獲取單元還用于在接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包���,且該接收到的數(shù)據(jù)包中沒有SNI業(yè)務(wù)節(jié)點(diǎn)接口字段時(shí)�,獲取接收到的數(shù)據(jù)包中的網(wǎng)站證書信息;所述確定單元還用于解析獲取到的網(wǎng)站證書信息以確定待訪問的網(wǎng)站域名�。
[0029]優(yōu)選地,該系統(tǒng)還包括第一轉(zhuǎn)發(fā)模塊�,用于在在確定的網(wǎng)站域名與預(yù)存的所述第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)���,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器�����。
[0030]優(yōu)選地��,該系統(tǒng)還包括第二轉(zhuǎn)發(fā)模塊����,用于若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包��,則將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器�����。
[0031]本發(fā)明提出一種基于HTTPS加密的網(wǎng)站過濾方法和系統(tǒng)����,抓取終端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包�����,獲取該數(shù)據(jù)包中的訪問網(wǎng)站域名���,在獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí),攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包�����,即禁止用戶訪問該網(wǎng)站��,以達(dá)到網(wǎng)站過濾的目的����,并且在過濾過程中并未獲取用戶端與服務(wù)器之間通信的數(shù)據(jù)包中的具體數(shù)據(jù),使得在網(wǎng)站過濾時(shí)更加安全����。
【專利附圖】
【附圖說明】
[0032]圖1為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第一實(shí)施例的流程示意圖;
[0033]圖2為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第二實(shí)施例的流程示意圖�����;
[0034]圖3為圖1中步驟S20第一實(shí)施例的具體流程示意圖����;
[0035]圖4為圖1中步驟S20第二實(shí)施例的具體流程示意圖�;
[0036]圖5為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第三實(shí)施例的流程示意圖�;
[0037]圖6為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第四實(shí)施例的流程示意圖;
[0038]圖7為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第一實(shí)施例的結(jié)構(gòu)示意圖���;
[0039]圖8為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第二實(shí)施例的結(jié)構(gòu)示意圖
[0040]圖9為圖7中確定模塊的具體結(jié)構(gòu)示意圖;
[0041]圖10為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第三實(shí)施例的結(jié)構(gòu)示意圖����;[0042]圖11為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第四實(shí)施例的結(jié)構(gòu)示意圖。
[0043]本發(fā)明目的的實(shí)現(xiàn)����、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例,參照附圖做進(jìn)一步說明����。
【具體實(shí)施方式】
[0044]下面結(jié)合附圖及具體實(shí)施例就本發(fā)明的技術(shù)方案做進(jìn)一步的說明。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明���。
[0045]名詞解釋:
[0046]SNI (Service Node Interface,業(yè)務(wù)節(jié)點(diǎn)接口)是在 RFC3546 中定義的 TLS(Transport Layer Security,安全層傳輸協(xié)議)的一個(gè)重要擴(kuò)展��?�?梢栽赥LS握手過程的握手請(qǐng)求數(shù)據(jù)包中����,標(biāo)識(shí)客戶端訪問的域名。這個(gè)特性使服務(wù)端可以在同一個(gè)IP的同一端口上提供多個(gè)HTTPS站點(diǎn)�,且這些站點(diǎn)可以使用不同的證書。
[0047]參照?qǐng)D1�����,圖1為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第一實(shí)施例的流程示意圖��。
[0048]本發(fā)明提出一種基于HTTPS加密的網(wǎng)站過濾方法����,包括:
[0049]步驟S10,接收到用戶端發(fā)送的數(shù)據(jù)包時(shí)�,確定接收到的數(shù)據(jù)包的類型;
[0050]在本實(shí)施例中基于HTTPS加密的網(wǎng)站過濾方法運(yùn)行于用戶端與服務(wù)器之間的轉(zhuǎn)發(fā)設(shè)備(如路由器上)�,該轉(zhuǎn)發(fā)設(shè)備抓取用戶端向服務(wù)器發(fā)送的數(shù)據(jù)包,并根據(jù)數(shù)據(jù)包的標(biāo)識(shí)頭或其它標(biāo)識(shí)字段確定接收到的數(shù)據(jù)包的類型����。
[0051]步驟S20���,若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名�����;
[0052]在用戶端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包中包含帶訪問的網(wǎng)站域名�����,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行解析即可獲取到待訪問的網(wǎng)站域名����,網(wǎng)站域名是指網(wǎng)站的網(wǎng)址���。
[0053]步驟S30����,在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�����,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包。
[0054]在本實(shí)施例中��,該第一網(wǎng)頁類型的關(guān)鍵詞可為某一網(wǎng)站名稱�����,例如該關(guān)鍵詞百度��,則所要過濾的網(wǎng)站為與百度有關(guān)的所有連接地址���,則當(dāng)獲取到的連接請(qǐng)求數(shù)據(jù)包中的網(wǎng)站域名包括baidu�����,則過濾該網(wǎng)站��,即不響應(yīng)該連接請(qǐng)求數(shù)據(jù)包�;第一網(wǎng)頁類型也可為如暴力等某一類別的網(wǎng)站�,在第一網(wǎng)頁類型的子目錄下預(yù)存暴力類型的網(wǎng)站地址,將獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型的子目錄下的網(wǎng)站地址依次進(jìn)行匹配�����,當(dāng)獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型匹配時(shí)�,不響應(yīng)用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包,也可預(yù)存多個(gè)網(wǎng)站類型,將獲取到的訪問網(wǎng)站域名與不同類型子目錄下保存的網(wǎng)站地址依次進(jìn)行匹配�����,以實(shí)現(xiàn)網(wǎng)站過濾的多樣性�����。
[0055]本實(shí)施例提出的基于HTTPS加密的網(wǎng)站過濾方法���,抓取終端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包�,獲取該數(shù)據(jù)包中的訪問網(wǎng)站域名�����,在獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)����,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包�,即禁止用戶訪問該網(wǎng)站,以達(dá)到網(wǎng)站過濾的目的���,并且在過濾過程中并未獲取用戶端與服務(wù)器之間通信的數(shù)據(jù)包中的具體數(shù)據(jù)��,使得在網(wǎng)站過濾時(shí)更加安全����。
[0056]參照?qǐng)D2,圖2為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第二實(shí)施例的流程示意圖��。[0057]基于第一實(shí)施例提出本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第二實(shí)施例��,在本實(shí)施例中步驟S20之后該方法包括:
[0058]步驟S40�,在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí),記錄確定的網(wǎng)站域名��。
[0059]在本實(shí)施例中�,可對(duì)網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型的關(guān)鍵詞匹配時(shí),攔截該網(wǎng)站域名����,該第一網(wǎng)頁類型可為暴力、色情以及釣魚網(wǎng)站等網(wǎng)站域名�,該類網(wǎng)站域名的危害性較大,可直接攔截該網(wǎng)站域名����;在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí),可記錄確定的網(wǎng)站域名��,以便于后續(xù)對(duì)連接請(qǐng)求數(shù)據(jù)包中的網(wǎng)站域名的識(shí)別,該類網(wǎng)頁類型可為廣告等危害性較小的網(wǎng)站不用直接攔截���,僅僅進(jìn)行記錄即可��。
[0060]在其它變形實(shí)施例中��,也可在確定的網(wǎng)站域名與預(yù)設(shè)的第一或第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)���,直接攔截并記錄該網(wǎng)站域名。
[0061]參照?qǐng)D3���,圖3為圖1中步驟S20第一實(shí)施例的具體流程示意圖�����。
[0062]在本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第一實(shí)施例中�,步驟S20包括:
[0063]步驟S21�,判斷獲取到的連接請(qǐng)求數(shù)據(jù)包中是否包含SNI字段;
[0064]步驟S22����,若獲取到的連接請(qǐng)求數(shù)據(jù)包中包含SNI字段�,則提取SNI字段���;
[0065]步驟S23,在提取的SNI字段中確定所述待訪問的網(wǎng)站域名�。
[0066]當(dāng)用戶端發(fā)送的數(shù)據(jù)包采用TLS(Transport Layer Security,安全層傳輸協(xié)議),進(jìn)行加密�����,則用戶端在訪問網(wǎng)站時(shí)向服務(wù)器發(fā)送的連接請(qǐng)求中包含SNI字節(jié)�,該SNI字節(jié)中包含用戶訪問的網(wǎng)站的域名,可根據(jù)用戶訪問的網(wǎng)站的域名確定用戶所要訪問的網(wǎng)站�����。并且該連接請(qǐng)求數(shù)據(jù)包為明文�����,更容易獲取用戶訪問的網(wǎng)站的域名��。
[0067]參照?qǐng)D4�,圖4為圖1中步驟S20第二實(shí)施例的具體流程示意圖。
[0068]在本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第一實(shí)施例中����,步驟S21之后還包括:
[0069]步驟S24����,若接收到的連接請(qǐng)求數(shù)據(jù)包中不包含SNI字段�,則獲取接收到的數(shù)據(jù)包中的網(wǎng)站證書彳目息;
[0070]步驟S25�����,解析獲取到的網(wǎng)站證書信息以確定待訪問的網(wǎng)站域名�。
[0071]由于用戶端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包,以及服務(wù)器響應(yīng)用戶端發(fā)送的連接請(qǐng)求數(shù)據(jù)包所反饋的數(shù)據(jù)包中�,均包含服務(wù)器的網(wǎng)站證書信息,該證書中包括所要訪問的網(wǎng)站域名以及密鑰等信息���,在獲取到連接請(qǐng)求數(shù)據(jù)包中的網(wǎng)站證書信息時(shí)��,解析該網(wǎng)站證書信息并獲取用戶待訪問的網(wǎng)站的域名��,將獲取到的網(wǎng)站域名與預(yù)存的網(wǎng)頁類型進(jìn)行匹配�,在獲取到的網(wǎng)站域名與預(yù)存的網(wǎng)頁類型關(guān)鍵詞匹配時(shí)����,截獲該網(wǎng)站的連接請(qǐng)求。
[0072]參照?qǐng)D5����,圖5為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第三實(shí)施例的流程示意圖。
[0073]基于第一實(shí)施例和第二實(shí)施例提出本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第三實(shí)施例���,在本實(shí)施例中步驟S20之后��,該方法還包括:
[0074]步驟S50�����,在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)�����,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器�����。
[0075]在本實(shí)施例中����,若獲取到的連接請(qǐng)求數(shù)據(jù)包中的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型不匹配�,則說明該網(wǎng)站不用進(jìn)行過濾,則將該數(shù)據(jù)包直接轉(zhuǎn)發(fā)至服務(wù)器即可��,由服務(wù)器在接收到用戶端發(fā)送的連接請(qǐng)求時(shí),選擇響應(yīng)或拒絕響應(yīng)用戶端發(fā)送的連接請(qǐng)求�����;在其它變形實(shí)施例中��,在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)���,繼續(xù)判斷與預(yù)存的第二網(wǎng)頁類型是否匹配�,在確定的網(wǎng)站類型與第二網(wǎng)頁類型不匹配時(shí)�����,則將該數(shù)據(jù)包直接轉(zhuǎn)發(fā)至服務(wù)器即可�����;在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞不匹配�,同時(shí)與預(yù)存的第二網(wǎng)頁類型匹配時(shí),將該數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器����,同時(shí)記錄確定的網(wǎng)站域名。
[0076]參照?qǐng)D6,圖6為本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第四實(shí)施例的流程示意圖�。
[0077]基于第一實(shí)施例提出本發(fā)明基于HTTPS加密的網(wǎng)站過濾方法第四實(shí)施例,在本實(shí)施例中步驟SlO之后���,該方法還包括:
[0078]步驟S60����,若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包��,則將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器��。
[0079]由于在TLS加密傳輸協(xié)議中僅有連接請(qǐng)求數(shù)據(jù)包中設(shè)置有SNI字段或網(wǎng)站證書信息���,若首先獲取到的數(shù)據(jù)包為用戶端向服務(wù)器發(fā)送的其它數(shù)據(jù)包,說明該網(wǎng)站為安全網(wǎng)站不用進(jìn)行截獲�����,所以對(duì)于其他類型的數(shù)據(jù)包如數(shù)據(jù)獲取請(qǐng)求數(shù)據(jù)包��,直接轉(zhuǎn)發(fā)至服務(wù)器��。
[0080]在本實(shí)施例中若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包時(shí)����,且并未根據(jù)該數(shù)據(jù)包的連接請(qǐng)求數(shù)據(jù)包獲取待訪問網(wǎng)站的信息時(shí)�����,也可將用戶端與服務(wù)器之間的證書替換掉��,并根據(jù)替換掉的證書解密以獲取待訪問網(wǎng)站的域名����。
[0081]參照?qǐng)D7�,圖7為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第一實(shí)施例的結(jié)構(gòu)示意圖。
[0082]本實(shí)施例提出一種基于HTTPS加密的網(wǎng)站過濾系統(tǒng)��,包括:
[0083]確定模塊10��,用于接收到用戶端發(fā)送的數(shù)據(jù)包時(shí)�,確定接收到的數(shù)據(jù)包的類型,以及若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包��,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名���;
[0084]在本實(shí)施例中基于HTTPS加密的網(wǎng)站過濾方法運(yùn)行于用戶端與服務(wù)器之間的轉(zhuǎn)發(fā)設(shè)備(如路由器上)����,該轉(zhuǎn)發(fā)設(shè)備抓取用戶端向服務(wù)器發(fā)送的數(shù)據(jù)包,并根據(jù)數(shù)據(jù)包的標(biāo)識(shí)頭或其它標(biāo)識(shí)字段確定接收到的數(shù)據(jù)包的類型�����。
[0085]在用戶端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包中包含帶訪問的網(wǎng)站域名�����,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行解析即可獲取到待訪問的網(wǎng)站域名����,網(wǎng)站域名是指網(wǎng)站的網(wǎng)址��。
[0086]攔截模塊20�����,用于在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)��,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包���。
[0087]在本實(shí)施例中�,該網(wǎng)頁類型的關(guān)鍵詞可為某一網(wǎng)站名稱����,例如該關(guān)鍵詞百度���,則所要過濾的網(wǎng)站為與百度有關(guān)的所有連接地址,則當(dāng)獲取到的連接請(qǐng)求數(shù)據(jù)包中的網(wǎng)站域名包括baidu�,則過濾該網(wǎng)站,即不響應(yīng)該連接請(qǐng)求數(shù)據(jù)包����;網(wǎng)站類型也可為如暴力等某一類別的網(wǎng)站,在第一網(wǎng)頁類型的子目錄下預(yù)存暴力類型的網(wǎng)站地址��,將獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型的子目錄下的網(wǎng)站地址依次進(jìn)行匹配�����,當(dāng)獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型匹配時(shí)�,不響應(yīng)用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包,也可預(yù)存多個(gè)網(wǎng)站類型�,將獲取到的訪問網(wǎng)站域名與不同類型子目錄下保存的網(wǎng)站地址依次進(jìn)行匹配,以實(shí)現(xiàn)網(wǎng)站過濾的多樣性�����。
[0088]本實(shí)施例提出的基于HTTPS加密的網(wǎng)站過濾系統(tǒng)���,抓取終端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包���,獲取該數(shù)據(jù)包中的訪問網(wǎng)站域名��,在獲取到的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包��,即禁止用戶訪問該網(wǎng)站����,以達(dá)到網(wǎng)站過濾的目的,并且在過濾過程中并未獲取用戶端與服務(wù)器之間通信的數(shù)據(jù)包中的具體數(shù)據(jù)��,使得在網(wǎng)站過濾時(shí)更加安全�����。
[0089]參照?qǐng)D8��,圖8為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第二實(shí)施例的結(jié)構(gòu)示意圖����。
[0090]基于第一實(shí)施例提出本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第二實(shí)施例�,在本實(shí)施例中該系統(tǒng)還包括記錄模塊30�,用于在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�����,記錄確定的網(wǎng)站域名����。
[0091]在本實(shí)施例中,可對(duì)網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型的關(guān)鍵詞匹配時(shí)��,攔截該網(wǎng)站域名����,該第一網(wǎng)頁類型可為暴力、色情以及釣魚網(wǎng)站等網(wǎng)站域名�����,該類網(wǎng)站域名的危害性較大�,可直接攔截該網(wǎng)站域名;在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�����,可記錄確定的網(wǎng)站域名����,以便于后續(xù)對(duì)連接請(qǐng)求數(shù)據(jù)包中的網(wǎng)站域名的識(shí)別����,該類網(wǎng)頁類型可為廣告等危害性較小的網(wǎng)站不用直接攔截����,僅僅進(jìn)行記錄即可。
[0092]在其它變形實(shí)施例中���,也可在確定的網(wǎng)站域名與預(yù)設(shè)的第一或第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�����,直接攔截并記錄該網(wǎng)站域名�����。
[0093]參照?qǐng)D9,圖9為圖7中確定模塊的具體結(jié)構(gòu)示意圖��。
[0094]在本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第一實(shí)施例中��,所述確定模塊10包括:
[0095]獲取單元11�,用于從獲取到的連接請(qǐng)求數(shù)據(jù)包中�,提取SNI業(yè)務(wù)節(jié)點(diǎn)接口字段���;
[0096]確定單元12�,用于在提取的SNI業(yè)務(wù)節(jié)點(diǎn)接口字段中確定所述待訪問的網(wǎng)站域名����。
[0097]當(dāng)用戶端發(fā)送的數(shù)據(jù)包采用TLS(Transport Layer Security,安全層傳輸協(xié)議),進(jìn)行加密��,則用戶端在訪問網(wǎng)站時(shí)向服務(wù)器發(fā)送的連接請(qǐng)求中包含SNI字節(jié)�,該SNI字節(jié)中包含用戶訪問的網(wǎng)站的域名,可根據(jù)用戶訪問的網(wǎng)站的域名確定用戶所要訪問的網(wǎng)站�����。并且該連接請(qǐng)求數(shù)據(jù)包為明文��,更容易獲取用戶訪問的網(wǎng)站的域名���。
[0098]在本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第一實(shí)施例中���,所述獲取單元11還用于若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,且該接收到的數(shù)據(jù)包中沒有SNI字段時(shí),獲取接收到的數(shù)據(jù)包中的網(wǎng)站證書信息����;所述確定單元12還用于解析獲取到的網(wǎng)站證書信息以確定待訪問的網(wǎng)站域名�����。
[0099]由于用戶端向服務(wù)器發(fā)送的連接請(qǐng)求數(shù)據(jù)包��,以及服務(wù)器響應(yīng)用戶端發(fā)送的連接請(qǐng)求數(shù)據(jù)包所反饋的數(shù)據(jù)包中���,均包含服務(wù)器的網(wǎng)站證書信息,該證書中包括所要訪問的網(wǎng)站域名以及密鑰等信息�����,在獲取到連接請(qǐng)求數(shù)據(jù)包中的網(wǎng)站證書信息時(shí)���,解析該網(wǎng)站證書信息并獲取用戶待訪問的網(wǎng)站的域名����,將獲取到的網(wǎng)站域名與預(yù)存的網(wǎng)頁類型進(jìn)行匹配����,在獲取到的網(wǎng)站域名與預(yù)存的網(wǎng)頁類型關(guān)鍵詞匹配時(shí)��,截獲該網(wǎng)站的連接請(qǐng)求。
[0100]參照?qǐng)D10����,圖10為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第三實(shí)施例的結(jié)構(gòu)示意圖。
[0101]基于第一實(shí)施例和第二實(shí)施例提出本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第三實(shí)施例�����,在本實(shí)施例中���,該系統(tǒng)還包括第一轉(zhuǎn)發(fā)模塊40��,用于在在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)���,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器。
[0102]在本實(shí)施例中�,若獲取到的連接請(qǐng)求數(shù)據(jù)包中的訪問網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型不匹配,則說明該網(wǎng)站不用進(jìn)行過濾���,則將該數(shù)據(jù)包直接轉(zhuǎn)發(fā)至服務(wù)器即可�,由服務(wù)器在接收到用戶端發(fā)送的連接請(qǐng)求時(shí)����,選擇響應(yīng)或拒絕響應(yīng)用戶端發(fā)送的連接請(qǐng)求��;在其它變形實(shí)施例中�,在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)�����,繼續(xù)判斷與預(yù)存的第二網(wǎng)頁類型是否匹配�,在確定的網(wǎng)站類型與第二網(wǎng)頁類型不匹配時(shí),則將該數(shù)據(jù)包直接轉(zhuǎn)發(fā)至服務(wù)器即可����;在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞不匹配,同時(shí)與預(yù)存的第二網(wǎng)頁類型匹配時(shí)���,將該數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器���,同時(shí)記錄確定的網(wǎng)站域名。
[0103]參照?qǐng)D11����,圖11為本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第四實(shí)施例的結(jié)構(gòu)示意圖。
[0104]基于第一實(shí)施例和第二實(shí)施例提出本發(fā)明基于HTTPS加密的網(wǎng)站過濾系統(tǒng)第四實(shí)施例��,在本實(shí)施例中,該系統(tǒng)還包括:
[0105]第二轉(zhuǎn)發(fā)模塊50�����,用于若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包���,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器。
[0106]由于在TLS加密傳輸協(xié)議中僅有連接請(qǐng)求數(shù)據(jù)包中設(shè)置有SNI字段或網(wǎng)站證書信息���,若首先獲取到的數(shù)據(jù)包為用戶端向服務(wù)器發(fā)送的其它數(shù)據(jù)包����,說明該網(wǎng)站為安全網(wǎng)站不用進(jìn)行截獲�����,所以對(duì)于其他類型的數(shù)據(jù)包如數(shù)據(jù)獲取請(qǐng)求數(shù)據(jù)包�����,直接轉(zhuǎn)發(fā)至服務(wù)器���。
[0107]在本實(shí)施例中若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包時(shí)����,且并未根據(jù)該數(shù)據(jù)包的連接請(qǐng)求數(shù)據(jù)包獲取待訪問網(wǎng)站的信息時(shí),也可將用戶端與服務(wù)器之間的證書替換掉��,并根據(jù)替換掉的證書解密以獲取待訪問網(wǎng)站的域名�����。
[0108]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例�����,并非因此限制本發(fā)明的專利范圍�,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)變換,或直接或間接運(yùn)用在其他相關(guān)的【技術(shù)領(lǐng)域】�,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種基于HTTPS加密的網(wǎng)站過濾方法�����,其特征在于�����,包括: 接收到用戶端發(fā)送的數(shù)據(jù)包時(shí)���,確定接收到的數(shù)據(jù)包的類型�; 若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名����; 在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí),攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包��。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包�,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟之后��,該方法包括: 在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)��,記錄確定的網(wǎng)站域名���。
3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟包括: 從獲取到的連接請(qǐng)求數(shù)據(jù)包中��,提取SNI業(yè)務(wù)節(jié)點(diǎn)接口字段���; 在提取的SNI業(yè)務(wù)節(jié)點(diǎn)接口字段中確定所述待訪問的網(wǎng)站域名���。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,所述對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的 網(wǎng)站域名的步驟還包括: 在接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,且該接收到的數(shù)據(jù)包中沒有SNI業(yè)務(wù)節(jié)點(diǎn)接口字段時(shí)����,獲取接收到的數(shù)據(jù)包中的網(wǎng)站證書信息; 解析獲取到的網(wǎng)站證書信息以確定待訪問的網(wǎng)站域名��。
5.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于����,所述對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名的步驟之后���,該方法還包括: 在確定的網(wǎng)站域名與預(yù)存的所述第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí),將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器����。
6.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�����,所述確定接收到的數(shù)據(jù)包的類型的步驟之后���,該方法還包括: 若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器�。
7.一種基于HTTPS加密的網(wǎng)站過濾系統(tǒng),其特征在于����,包括: 確定模塊,用于接收到用戶端發(fā)送的數(shù)據(jù)包時(shí)��,確定接收到的數(shù)據(jù)包的類型�����,以及若接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,則對(duì)獲取到的連接請(qǐng)求數(shù)據(jù)包進(jìn)行字段解析以確定待訪問的網(wǎng)站域名�; 攔截模塊,用于在確定的網(wǎng)站域名與預(yù)存的第一網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�����,攔截用戶端所發(fā)送的連接請(qǐng)求數(shù)據(jù)包��。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于,該系統(tǒng)還包括記錄模塊���,用于在確定的網(wǎng)站域名與預(yù)存的第二網(wǎng)頁類型關(guān)鍵詞匹配時(shí)�����,記錄確定的網(wǎng)站域名��。
9.根據(jù)權(quán)利要求7或8所述的系統(tǒng)�����,其特征在于��,所述確定模塊包括: 獲取單元����,用于從獲取到的連接請(qǐng)求數(shù)據(jù)包中,提取SNI業(yè)務(wù)節(jié)點(diǎn)接口字段����; 確定單元,用于在提取的SNI業(yè)務(wù)節(jié)點(diǎn)接口字段中確定所述待訪問的網(wǎng)站域名����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于�,所述獲取單元還用于在接收到的數(shù)據(jù)包為連接請(qǐng)求數(shù)據(jù)包,且該接收到的數(shù)據(jù)包中沒有SNI業(yè)務(wù)節(jié)點(diǎn)接口字段時(shí)���,獲取接收到的數(shù)據(jù)包中的網(wǎng)站證書信息;所述確定單元還用于解析獲取到的網(wǎng)站證書信息以確定待訪問的網(wǎng)站域名���。
11.根據(jù)權(quán)利要求7或8所述的系統(tǒng)��,其特征在于��,該系統(tǒng)還包括第一轉(zhuǎn)發(fā)模塊��,用于在在確定的網(wǎng)站域名與預(yù)存的所述第一網(wǎng)頁類型關(guān)鍵詞不匹配時(shí)��,將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器��。
12.根據(jù)權(quán)利要求7或8所述的系統(tǒng)�,其特征在于,該系統(tǒng)還包括第二轉(zhuǎn)發(fā)模塊���,用于若接收到的數(shù)據(jù)包不是連接請(qǐng)求數(shù)據(jù)包�,則將`接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)至服務(wù)器��。
【文檔編號(hào)】H04L29/08GK103825887SQ201410052051
【公開日】2014年5月28日 申請(qǐng)日期:2014年2月14日 優(yōu)先權(quán)日:2014年2月14日
【發(fā)明者】袁義金 申請(qǐng)人:深信服網(wǎng)絡(luò)科技(深圳)有限公司