DPI-SSL工作原理

转载自：https://my.oschina.net/hding/blog/738613

目前，更多的网络应用都非常关心安全的问题，因此很多的应用都会选择SSL/TLS加密数据，如HTTPS, IMAPS, SMTPS, FTPS，作为防火墙，如何检测加密的数据，并对检测出来的不安全因素进行拦截则是一个新的课题，DPI-SSL的功能，这个功能是基于DPI，是下一代防火墙的必备功能，第一代防火墙是简单的包过滤，传说中的五元组，即包头信息，像源IP，目的IP,源端口，目的端口，以及传输，第二代是应用代理，但要对所有的应用都进行代理，速率是非常慢的，随后就发展到第三代状态检测防火墙，它是包过滤防火墙的增强版，它可以记录通信的状态，根据之前的行为作出判断，但还只是作用在网络IP层，对于高层应用数据还是束手无策，此时DPI技术的发展使得防火墙可以对数据包进行深度检测，也就是查payload，至此也就解决了前面几代防火墙固有的缺陷，而DPI-SSL又是深度包检测技术的扩展，不仅仅对于普通的数据能进行检测，对加密的数据也能进行检测，那么它是如何实现的呢？

SSL加密采用的两种加密技术，非对称加密和对称加密技术，其中非对称加密用公钥加密对称加密密钥，再用对称密钥加密数据，因此，如果我们的设备想要解密就必需要改写原server上的公钥，因为我们没有原server的私钥，因此我们解不开来自于client端的对称密钥数据，也就对数据不能解密，也就不能感知数据的安全性

DPI-SSL Client端工作原理如图：

 

DUT扮演client和server两种角色，分别与真实的client和server进行握手和协商关键点在于它改写了公钥，当server发公钥给client时，由于公钥是明文的，因此它把公钥改成了自己的公钥，同时DUT具备私钥，它把这个改写后的公钥传给真实的clientclient信任DUT这个安全设备，于是用DUT的公钥加密对称密钥传给DUTclient用对称密钥加密数据传给DUTDUT用私钥解开对称密钥，并用对称密钥解开加密的数据，进行检测同时DUT也在与真的server进行协商，用真实server的公钥加密对称加密传给真实的server并把解开的数据重新加密再给真实的server可见DUT把client与server分离，中间进行了代理，分别与cleint和server单独的建立连接和协商，中间进行探测

这个方法同样可以用于黑客攻击，如果它能窃取到数据包，进行改写，客户端的数据就会被解密，但是对于客户端来说一方面要了解自己的组网，另一方面对于客户端来说还有一步是否信任该公钥，DUT没有真实server的私钥，对公钥进行改写，不相信这个公钥就可以避免，如果知道自己的组网上面的安全设备，有这个安全设备的签名，则可放心相信。