(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111477981.5 (22)申请日 2021.12.0 6 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘禄丹　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/141(2022.01)H04L 67/146(2022.01) (54)发明名称 通信旁路审计方法、 装置、 电子设备及存储 介质 (57)摘要 本申请提供一种通信旁路审计方法、 装置、 电子设备及存储介质， 涉及网络安全技术领域， 该方法包括： 解析通信握手过程获取秘钥协商参 数， 并基于所述秘钥协商参数确定客户端是否通 过会话复用方式与服务端建立链接； 在所述客户 端通过会话复用方式与所述服务端建立链接时， 由主秘钥通过预设随机数算法生成秘钥块， 从所 述秘钥块中截 取工作秘钥； 基于所述工作秘钥解 密从所述客户端到所述服务端的数据和所述服 务端到所述客户端的数据， 得到明文的传输数 据； 基于所述传输数据对通信链接进行审计。 采 用本申请实施例提供的通信旁路审计方法能够 实现对SSL通信中的数据进行解密审计 。 权利要求书2页 说明书10页 附图3页 CN 114172645 A 2022.03.11 CN 114172645 A 1.一种通信旁路审计方法， 其特 征在于， 包括： 解析通信握手过程获取秘钥协商参数， 并基于所述秘钥协商参数确定客户端是否通过 会话复用方式与服 务端建立链接； 在所述客户端通过会话复用方式与 所述服务端建立链接时， 由主秘钥通过预设随机数 算法生成秘钥块， 从所述秘钥块中截取工作秘钥； 基于所述工作秘钥解密从所述客户端到所述服务端的数据和所述服务端到所述客户 端的数据， 得到明文的传输数据； 基于所述传输数据对通信链接进行审计。 2.根据权利要求1所述的方法， 其特征在于， 所述协商参数包括客户端随机数， 所述基 于所述秘钥协商参数确定客户端是否通过会话复用方式与服 务端建立链接包括： 从数据包中的握 手报文中获取客户端随机数； 在所述客户端随机数的时域标识号表征所述客户端与 所述服务端建立过链接时， 确定 所述客户端通过会话复用方式与所述 服务端建立链接 。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 在所述客户端随机数的时域标识号表征所述客户端与 所述服务端未建立过链接时， 确 定所述客户端与所述 服务端为新建链接； 所述协商参数还包括服务端随机数和预主秘钥， 在所述由主秘钥通过预设随机数算法 生成秘钥块， 从所述秘钥块中截取工作秘钥之前， 所述方法包括： 从所述数据包中的所述握 手报文中获取 所述服务端随机数； 解析所述数据包中的秘钥资 讯报文， 获取 预主秘钥密文； 解密所述预主秘钥密文得到明文的所述预主秘钥； 基于所述 客户端随机数、 所述 服务端随机数和所述预主秘钥生成所述主秘钥； 向所述主秘钥添加时域标识号并将所述主秘钥存 入主秘钥缓存表。 4.根据权利要求3所述的方法， 其特征在于， 在所述由主秘钥通过预设随机数算法生成 秘钥块之前， 所述方法还 包括： 基于所述主秘钥的所述时域标识号从所述主秘钥缓存表中查询所述主秘钥。 5.根据权利要求3所述的方法， 其特征在于， 在所述解析通信握手过程， 获取秘钥协商 参数之前， 所述方法还 包括： 获取所述服务器端的加密私钥和网际互联协议 地址； 所述解密所述预主秘钥密文得到明文的所述预主秘钥包括： 基于所述网际互联协议地址查询目标加密私钥， 根据所述目标加密私钥解析所述预主 秘钥密文， 得到明文的所述预主秘钥。 6.根据权利要求1所述的方法， 其特征在于， 所述工作秘钥包括客户端校验写秘钥和服 务端校验写秘钥， 在所述基于所述传输数据对通信链接进行审计之前， 所述方法还 包括： 基于所述客户端校验写秘钥和所述服务端校验写秘钥检测所述传输数据是否完整或 是否被篡改。 7.根据权利要求1所述的方法， 其特征在于， 在所述基于所述工作秘钥解密从所述客户 端到所述服务端的数据和所述服务端到所述客户端的数据， 得到明文的传输数据之后， 所 述方法还 包括：权　利　要　求　书 1/2 页 2 CN 114172645 A 2确定所述 客户端和所述 服务端的内层协议； 基于所述内层协议对所述传输数据进行深度解析， 获取所述传输数据的有效载荷、 应 用类型和数据内容中的至少一项。 8.一种通信旁路审计装置， 其特 征在于， 包括： 解析模块， 用于解析通信握手过程获取秘钥协商参数， 并基于所述秘钥协商参数确定 客户端是否通过会话复用方式与服 务端建立链接； 截取模块， 用于在所述客户端通过会话复用方式与所述服务端建立链接时， 由主秘钥 通过预设随机数算法生成秘钥块， 从所述秘钥块中截取工作秘钥； 解密模块， 用于基于所述工作秘钥解密从所述客户端到所述服务端的数据和所述服务 端到所述 客户端的数据， 得到明文的传输数据； 审计模块， 用于基于所述传输数据对通信链接进行审计。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器和处理器， 所述存储器中存储 有程序指 令， 所述处理器运行所述程序指 令时， 执行权利要求 1‑7中任一项 所述方法中的步 骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序指令， 所述计算机程序指 令被一处理器运行时， 执行权利要求 1‑7任一项所述方法中的 步骤。权　利　要　求　书 2/2 页 3 CN 114172645 A 3