资深网管教你如何打造SSL加密的HTTPS站点
稿源：IT168
使用SSL协议有什么好处呢？SSL安全协议工作在网络传输层，适用于HTTP，telnet,FTP和NNTP等服务，不过SSL最广泛的应用还是WEB安全访问，如网上交易，政府办公等。
本文将由笔者为各位读者介绍使用SSL加密协议建立WWW站点的全过程，为了保证技术的先进性我们介绍在windows2003的IIS6上建立SSL加密的方法，当然在windows2000的IIS5上建立SSL加密步骤基本相同。
一、先决条件：
要想成功架设SSL安全站点关键要具备以下几个条件。
1、需要从可信的证书办法机构CA获取服务器证书。
2、必须在WEB服务器上安装服务器证书。
3、必须在WEB服务器上启用SSL功能。
4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。
二、准备工作：
在实施SSL安全站点之前需要我们做一些准备工作。
第一步：默认情况下IIS6组件是安装在windows2003中的，如果没有该组件请自行安装。
第二步：我们建立的IIS站点默认是使用HTTP协议的，打开浏览器在地址处输入&http://本机IP&（不含引号）就可以访问。（如图1）
第三步：安装证书服务，通过控制面板中的添加/删除程序，选择添加/删除windows组件。在windows组件向导中找到&证书服务&，前面打勾后点&下一步&。（如图2）
小提示：证书服务有两个子选项&证书服务Web注册支持&和&证书服务颁发机构(CA)&。为了方便这两个功能都需要安装。
第四步：系统会弹出&安装证书服务后计算机名和区域成员身份会出现改变，是否继续&的提示，我们选&是&即可。（如图3）
第五步：在windows组件向导CA类型设置窗口中选择独立根CA。（如图4）
第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如10.91.30.45，其他设置保留默认信息即可。（如图5）
第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。（如图6）
第八步：下一步后出现&要完成安装，证书服务必须暂时停止IIS服务&的提示。选择&是&后继续。（如图7）
第九步：开始复制组件文件到本地硬盘。（如图8）
第十步：安装过程中会出现缺少文件的提示，我们需要将windows2003系统光盘插入光驱中才能继续。（如图9）
第十一步：继续复制文件完成windows组件的安装工作。（如图10）
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页一种针对HTTPS加密网站访问的网址过滤方法
申请号 : CN.4
文献号 : CNA
本发明公开了一种针对HTTPS加密网站访问的网址过滤方法，HTTPS是一种基于身份认证的安全访问协议，本方法中首先通过抓取数据包进行解析的方法识别HTTPS协议流，并获取协议流中的认证报文。其次对认证报文中的网站证书进行解析，提取URL信息，即网页地址，最后对用户访问的URL进行鉴别，通过专业的URL库匹配URL所属的分类，对在访问规则允许之外的URL进行过滤与阻断。采用了本发明的技术方案对网络应用提供安全保护机制，克服了HTTPS传输加密，URL不能轻易获取的难题，能够做到对用户访问HTTPS网站的全面过滤。
1.一种针对HTTPS加密网站访问的网址过滤方法，其特征在于，包括以下步骤：A、用户发起HTTPS连接，并产生数据包；B、抓取用户访问互联网数据包；C、判断识别所抓取的数据包属于某个网络连接。如果能识别，转至步骤E，如果不能，转至步骤D；D、退出。E、通过数据包所在端口，判断所抓取的数据包是否属于HTTPS协议下的数据包。如果是，转至步骤F，如果不是，转至步骤D。F、判断数据包是否属于HTTPS协议交互中的认证数据包，如果是，转至步骤G，如果不是，转至步骤D。G、获取认证数据包中的网站证书信息。H、解析网站证书内容。I、获取证书中内嵌的URL域信息，如果顺利获取，转至步骤J，如果没有，转至步骤D。J、通过验证解析出的认证数据包中的URL和浏览器输入的URL是否一致，如果一致，转至步骤K，如果不一致，转至步骤D。K、提取URL条目。L、URL信息分析，通过预定的URL库和提取到的URL信息进行对比。M、获取URL的分析结果，进行后续处理，根据网址过滤规则进行放行或阻断等动作，并同时进行记录。2.根据权利要求1所述的一种针对HTTPS加密网站访问的网址过滤方法，其特征在于，通过寻找对应连接、判断数据包是否属于HTTPS流、数据包是否属于认证报文等条件，过滤抓取到的数据包，提取网站证书。3.根据权利要求1所述的一种针对HTTPS加密网站访问的网址过滤方法，其特征在于，通过扫描数据包的内容，如连续出现特定URL域标示字符串，提取该字节序列后的URL，然后将网站证书中的URL信息和浏览器输入的URL进行比对，从而判断URL信息的正确性。
本发明涉及计算机技术领域，尤其涉及一种针对HTTPS加密网站访问的网址过滤方法。[0002]
应用网络化是未来互联网发展的一个主要趋势，同时一些新生的互联网黑色产业，如钓鱼、挂马，涉黄、涉赌、涉毒的网站比比皆是，通过对用户访问的网址进行过滤鉴别，对访问行为进行过滤和审计，通过专业的URL库匹配URL所属的分类，对在访问规则允许之外的URL进行过滤与阻断，对网络应用提供安全保护机制。[0003]
传统的数据传输是采取明文的方式，一般通过将数据包逐层剥离的方式提取URL信息，并加以判断过滤。HTTPS是一种基于身份认证的安全访问协议，通过HTTPS安全加密传输协议传输的数据在传输层对网络连接进行加密，从而使得传输的内容不能轻易的被获取和破解。网络应用的安全问题得到了保障，但这同时也给URL的提取带来了很大的难度。[0004]
本发明方案主要解决目前对加密网站不能过滤的问题，通过本发明方案，可以有效的对HTTPS加密网站的网址进行过滤。[0005]
本发明的目的在于提出一种针对HTTPS加密网站访问的网址过滤方法，克服了HTTPS加密传输的网址信息提取困难的缺点，不对网络造成干扰，实现对用户访问HTTPS网站过滤的效果。[0006]
为达此目的，本发明采用以下技术方案：[0007]
A、用户发起连接，并产生数据包；[0008]
B、抓取用户访问互联网数据包；[0009]
C、判断识别所抓取数据包属于某个网络连接。如果能，转至步骤E，如果不能，转至步骤D；[0010]
D、退出。[0011]
E、通过数据包所在端口，判断所抓取的数据包是否属于HTTPS协议下的数据包。如果是，转至步骤F，如果不是，转至步骤D。[0012]
F、判断数据包是否连接发起时的交互认证数据包，如果是，转至步骤G，如果不是，转至步骤D。[0013]
G、获取认证数据包中的网站证书信息。[0014]
H、解析网站证书内容。[0015]
I、获取证书中内嵌的URL域信息，如果顺利获取，转至步骤J，如果没有，转至步骤D。[0016]
J、通过比对网站证书中的URL和浏览器输入的URL，验证URL信息是否正确，如果正确，转至步骤K，如果不一致，转至步骤D。[0017]
K、提取URL条目。[0018]
L、URL信息分析，通过预定的URL库和提取到的URL信息进行对比。[0019]
M、获取URL的分析结果，进行后续处理，根据网址过滤规则进行放行或阻断等动作，并同时进行记录。[0020]
还包括以下步骤：[0021]
通过寻找对应连接、判断数据包是否属于HTTPS流、数据包是否属于认证报文等条件，过滤抓取到的数据包，提取网站证书。[0022]
通过扫描数据包的内容，如连续出现特定URL域标示字符串，提取该字节序列后的URL，然后将网站证书中的URL信息和浏览器输入的URL进行比对，从而判断URL信息的正确性。[0023]
采用了本发明的技术方案，解决目前对加密网站提取URL困难、不能过滤的问题，通过本发明的技术方案，在不对网络造成影响的前提下，可以有效的对HTTPS加密网站的网址进行过滤。[0024]
下图是本发明具体实施方式中针对HTTPS加密网站访问的过滤方法的控制流程图。[0025]
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。[0026]
本发明技术方案的主要思想是通过抓取用户对网站访问所产生数据包，选择证书交互数据包并解析证书内容，验证后提取URL信息，并通过预定URL库对所提取的信息进行分类过滤，根据预先设定的规则进行后续处理。[0027]
下图是本发明具体实施方式中访问HTTPS加密网站过程中网址过滤的流程图。如下图所示，该过滤流程包括以下步骤：[0028]
步骤1、用户发起HTTPS连接，并产生数据包。[0029]
步骤2、抓取用户访问互联网数据包。[0030]
步骤3、判断识别所抓取数据包属于某个网络连接。[0031]
通过确认该数据包所属数据流，检查该数据包是否超过系统对数据流扫描包数目的限制，从而判断识别所抓取的数据包属于具体某个连接所产生的数据包。如果所抓取的数据包在不超过系统对数据流扫描包数目的限制之内成功识别出所属连接，转至步骤5，如果所抓取的数据包没有在系统对数据流扫描包数目的限制之内识别出所属连接，转至步骤4。[0032]
步骤4、退出。[0033]
步骤5、判断所抓取的数据包是否属于HTTPS协议下的数据包。[0034]
通过抓取的数据包所在端口，从而判断数据包是否属于HTTPS协议下的数据包。如果所抓取的数据包属于HTTPS协议，转至步骤6，如果所抓取数据包不属于HTTPS协议，转至步骤4。[0035]
步骤6、判断数据包是否属于HTTPS协议下的交互认证数据包，此数据包中包括网站证书等信息。如果该数据包是交互认证数据包，转至步骤7，如果该数据包不是交互认证数据包，转至步骤4。[0036]
步骤7、获取认证数据包中的网站证书信息。[0037]
步骤8、解析网站证书内容。扫描此数据包的内容，如果数据包里连续出现某特定URL域标示字符串，为URL域的标示，该标示后即为URL域名。[0038]
步骤9、获取证书中内嵌的URL域信息，如果顺利获取到URL信息，转至步骤10，如果没有获取到URL信息，转至步骤4。[0039]
步骤10、验证URL信息是否正确，通过比对解析出的认证报文网站证书中的URL和浏览器输入的URL是否一致，如果比对一致说明证书中的URL信息就是浏览器中的URL，在证书提取中的URL是正确的URL。如果URL信息验证一致，转至步骤11，如果URL信息不一致，转至步骤4。[0040]
步骤11、提取URL条目。[0041]
步骤12、URL信息分析，通过预定的URL库和提取到的URL信息进行对比。[0042]
步骤13、获取URL的分析结果，进行后续处理，根据网址过滤规则进行放行或阻断等动作，并同时进行记录。[0043]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)2010年3月 授予百度VIP勋章
本帖子已过去太久远了，不再提供回复功能。他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)