(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211330818.0 (22)申请日 2022.10.28 (71)申请人 豪符密码检测技 术 （成都） 有限责任 公司 地址 610000 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区和乐二街 150号2栋2单 元12层 (72)发明人 杨伟　杨森　王杨　李昆阳　 陈万钢　 (74)专利代理 机构 成都立新致创知识产权代理 事务所 (特殊普通合伙) 51277 专利代理师 刘俊 (51)Int.Cl. H04L 9/40(2022.01)H04L 43/18(2022.01) (54)发明名称 一种国密SSL协议诱探及检测方法、 系统和 存储介质 (57)摘要 本发明涉及一种国密SSL协议诱探及检测方 法、 系统和存储介质， 属于网络安全技术领域， 包 括： 检测端通过诱探得到服务端支持的密码规 格， 选择与网络应用场景相适合匹配的规格， 建 立与服务端的SSL连接； 检测端完成对服务端的 SSL协议诱探后， 获取到服务端密码规格能力清 单， 遍历服务端密码规格能力清单， 与检测端的 合规性模型逐一适配； 获取服务端密码规格能力 集合， 对能力集合中的每个算法套件分别进行正 确性检测， 并通过正确性模型对服务端SSL算法 套件实现的正确性进行检测判定。 本发明实现了 对网络服务端国密SSL协议的诱探以及合规性正 确性检测， 依据检测结果可以对网络服务端国密 SSL协议实现3 个方面进行判定 。 权利要求书3页 说明书7页 附图3页 CN 115396240 A 2022.11.25 CN 115396240 A 1.一种国密S SL协议诱探及检测方法， 其特 征在于： 所述 诱探及检测方法包括： S1、 协议诱探步骤： 检测端通过诱探得到服务端支持的密码规格， 选择与网络应用场景 相适合匹配的规格， 建立与服 务端的SSL连接； S2、 合规性检测步骤： 检测端完成对服务端 的SSL协议诱探后， 获取到服务端密码规格 能力清单， 遍历服务端密码规格能力清单， 与检测端的合规性模型逐一适配， 完成服务端 SSL协议算法合规性检测； S3、 正确性检测步骤： 获取服务端密码规格能力集合， 对能力集合中的每个算法套件分 别进行正确性检测， 并通过正确性模型对服 务端SSL算法套件实现的正确性进行检测判定 。 2.根据权利要求1所述的一种国密SSL协议诱探及检测方法， 其特征在于： 所述协议诱 探步骤具体包括以下内容： S11、 初始化检测端检测环境； S12、 通过检测端获取系统密码套件配置清单， 并定位在清单 首位置； S13、 获取清单当前位置的密码套件， 初始化套件并重构协议结构体数据， 与服务端建 立安全通信连接； S14、 如果服务端返回连接为确认消息， 则检测端关闭安全连接， 并将密码套件存入服 务端密码规格能力清单中， 将配置清单读取位置下移以获取 下一个密码套件； S15、 如果服务端返回连接为拒绝消息， 则检测端关闭安全连接， 将配置清单读取位置 下移以获取 下一个密码套件； S16、 重复步骤S13 ‑S15， 遍历完配置清单中所有的密码套件， 直到清单读取 结束； S17、 检测端获取了服务端支持的全部密码规格能力， 完成了检测端对服务端的协议诱 探， 此时， 保存并持久化 服务端密码规格能力清单。 3.根据权利要求1所述的一种国密SSL协议诱探及检测方法， 其特征在于： 所述合规性 检测步骤具体包括以下内容： S21、 获取诱探得到的持久化存 储的服务端密码规格能力集 合； S22、 获取检测端算法合 规性模型； S23、 逐一遍历服 务端密码规格能力集 合； S24、 查找检测端合 规性模型是否适配当前服 务端密码规格； S25、 如果 适配， 则继续执 行步骤S23和S24； S26、 如果 不适配， 则异常结束， 返回当前不 合规服务端密码规格； S27、 服务端密码规格遍历完成， 正常结束， 返回服 务端SSL协议套件合 规标志。 4.根据权利要求1所述的一种国密SSL协议诱探及检测方法， 其特征在于： 所述正确性 检测步骤具体包括以下内容： S31、 获取诱探得到的持久化存 储的服务端密码规格能力集 合； S32、 获取检测端正确性模型； S33、 逐一遍历服 务端密码规格能力集 合； S34、 初始化当前密码规格协议套件和状态控制器； S35、 检测端向服 务端发起握 手请求， 更新状态控制器； S36、 等待服 务端消息队列可读； S37、 消息就 绪， 提取服 务端消息队列；权　利　要　求　书 1/3 页 2 CN 115396240 A 2S38、 检测端正确性模型对输入的状态控制器和服 务端消息队列进行正确性验证 检测； S39、 如果正确性检测通过， 则更新状态控制器， 如果检测结束， 则重 复步骤S33， 如果检 测没有结束， 则重复步骤S3 6； S310、 如果正确性检测没有通过， 则记录并持久化当前正确性检测没有通过的服务端 密码规格； S311、 重复步骤S3 3， 开始进行 下一个服 务端密码规格 检测； S312、 服务端密码规格遍历结束， 结束检测。 5.一种国密SSL协议诱探及检测系统， 其特征在于： 它包括主控模块、 协议诱探模块、 密 码规格分析模块、 密码规格遍历模块、 协议检测模块、 合 规性模型、 特 征库和正确性模型； 所述主控模块用于对协议诱探模块、 密码规格分析模块、 密码规格遍历模块、 协议检测 模块、 合规性模型、 特 征库和正确性模型进行触发控制； 所述诱探模块用于发起对远程SSL服务端的协议诱探， 且在每次协议诱探后主动关闭 与服务端的网络连接， 并将诱探得到的特 征数据传递给 所述密码规格分析模块进行处 理； 所述密码规格分析模块用于对诱探得到的特征数据进行特征提取、 特征分析、 特征识 别和处理， 得到服 务端密码规格能力集 合； 所述密码规格遍历模块用于对诱探得到的服务端密码规格能力集合进行遍历， 每遍历 得到一个密码规格就创建一个新的进程， 实现与SSL服务端的异 步通信， 同时对创建的进程 进行调度和管理， 驱动进程对应密码规格 类型与服 务端建立S SL握手协议； 所述协议检测模块用于实现SSL协议集中的握手协议、 密码规格变更协议、 记录层协议 和告警协议检测； 所述合规性模型用于根据所述密码规格分析模块得到的服务端密码规格能力集合， 逐 一遍历服 务端密码规格能力集 合进行合 规性检测； 所述特征库用于存 储所述密码规格分析模块得到的特 征数据； 所述正确性模型用于根据所述密码规格分析模块得到的服务端密码规格能力集合， 逐 一遍历服 务端密码规格能力集 合进行正确性检测。 6.根据权利要求5所述的一种国密SSL协议诱探及检测系统， 其特征在于： 还包括告警 处理模块、 标识库、 日志分析模块和规则库； 所述告警处理模块用于解析SSL服务端发送过 来的类型为Alert的告警数据， 通过对告警数据的解析获知告警代码以进行协议调试和问 题定位； 所述标识库用于对密码协议标识、 密码交换算法标识、 认证算法标识、 加密算法标 识、 哈希算法标识进 行管理配置， 以建立标识库； 所述日志分析模块用于对检测过程中的状 态、 步骤和属性值进 行日志展示和分析， 以方便对协 议进行还原和研判分析； 所述规则库用 于通过从SSL协 议实现的合规性、 正确性和有效性三个维度对规则的高度抽象和表达， 建立 覆盖三个维度的基本规则库。 7.根据权利要求5所述的一种国密SSL协议诱探及检测系统， 其特征在于： 所述协议检 测模块的检测步骤如下： A1、 检测端向服 务端发起握 手信息， 等待服 务端响应； A2、 等待接收服 务端消息队列标识为读就 绪； A3、 识别处 理服务端握手消息， 否则异常告警； A4、 识别处 理服务端证书消息， 否则异常告警；权　利　要　求　书 2/3 页 3 CN 115396240 A 3