(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111566237.2 (22)申请日 2021.12.20 (71)申请人 北京亿赛 通科技发展 有限责任公司 地址 100085 北京市海淀区西二 旗大街39 号4层401 (72)发明人 朱鹤　夏昆　崔培升　 (74)专利代理 机构 北京千壹知识产权代理事务 所(普通合伙) 11940 专利代理师 郭士磊 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/06(2022.01) H04L 69/22(2022.01) (54)发明名称 旁路审计兼容扩展主秘钥的加密数据方法、 系统及终端 (57)摘要 本发明属于数据处理技术领域， 公开了一种 旁路审计兼容扩展主秘钥的加密数据方法、 系统 及终端。 在解析标准TLS协议数据基础上， 计算扩 展秘钥计算方式下的主秘钥， 根据主秘钥推导对 称秘钥， 利用对称秘钥实现对后续加密流量解 密。 并整合TLS的一般主秘钥计算方式下的对称 秘钥推导方法， 实现对非前向安全加密套件配置 项下TLS加密数据库流量解密并审计。 本发明提 出了一整套非前向安全加密套件下TLS流量解密 方法， 并把解密后的明文传递给协议解析模块， 实现了对SQL语句审计并规范化输出， 有效扩充 了数据库审计系统的审计能力。 权利要求书3页 说明书6页 附图3页 CN 114679260 A 2022.06.28 CN 114679260 A 1.一种旁路审计兼容扩展主秘钥的加密数据方法， 其特征在于， 所述加密数据方法包 括： 读取镜像流量并过滤出待处理的加密流量， 解析标准TLS协议数据， 检查在握手阶段 ClientHello/Server Hello消息中是否同时存在extended_master_secret  extension扩展 信息项， 若同时存在所述扩展项， 则按照扩展秘钥计算方式进 行主秘钥计算， 根据计算的主 秘钥推导出对称秘钥， 并解密后续加密数据为明文， 实现对扩展主秘钥的加密流量进行解 密； 若不同时存在所述扩展项， 则按照标准TLS协议数据的一般主秘钥的计算方式， 计算主 秘钥并推导对称秘钥， 然后解密后续加密数据为明文； 数据库审计系统审计明文数据库流量， 对访 问数据库的加密流量解密为明文， 把解密 后的明文数据传递给数据库审计系统的协议解析模块， 进行协议解析， 审计并输出操作数 据库的SQ L语句以及服 务器响应。 2.根据权利要求1所述的旁路审计兼容扩展主秘钥的加密数据方法， 其特征在于， 包括 如下步骤： 步骤一， 分析梳理不同数据库服务器相关的加密套件配置项， 通过变更所述加密套件 配置项算法， 使得数据库服务器在加密传输过程中， 优先选择非前向安全的加密套件配置 算法； 步骤二， 总结不同数据库的私钥配置方法， 提取数据库服务器的私钥文件， 对其加密 保 护后导入数据库审计系统； 步骤三， 维护数据库服 务器IP与数据库服 务器的私钥文件的映射关系； 步骤四， 解析标准TLS协议数据， 存储ClientHello.Random、 ServerHello.Random、 ClientHello.Extensions、 S erverHello.Extensions和ClientHello ‑ClientKeyExchange 消息； 存储PreMaster  Secret、 ServerHello.CipherSuite和TLS.Version握手阶段的相关 信息； 步骤五， 计算主秘钥并推导对称秘钥； 步骤六， 解密加密数据， 利用推导出来的对称秘钥， 根据加密套件中所选择的对称加密 算法， 把后续加密数据解密为明文数据； 步骤七， 审计规范化输出， 把解密后的明文数据传递给数据库审计系统的协议解析模 块， 审计SQ L语句并规范化输出。 3.根据权利要求2所述的旁路审计兼容扩展主秘钥的加密数据方法， 其特征在于， 所述 步骤二中的对私钥文件加密保护后导入数据库审计系统， 还 包括： 利用分散秘钥材料层次化秘钥管理的文件加密工具， 将私钥文件进行加密保护， 再上 传至数据库审计系统。 4.根据权利要求2所述的旁路审计兼容扩展主秘钥的加密数据方法， 其特征在于， 所述 步骤五， 计算主秘钥并推导对称秘钥， 还 包括： 根据数据库服务器IP与私钥文件映射关系查找对应的加密私钥文件， 对其解密后加载 到内存； 解析标准TLS协议数据相关信息， 分析ClientHello消息和ServerHello消息的扩展 项中是否同时存在扩展 项Extended  Master Secret Extension。 5.根据权利要求4所述的旁路审计兼容扩展主秘钥的加密数据方法， 其特征在于， 如果 同时存在扩展项Extended  Master Secret Extension， 则按照扩展秘钥计算方式推导对称权　利　要　求　书 1/3 页 2 CN 114679260 A 2秘钥， 否则根据一般主秘钥计算方式推导对称秘钥； 所述扩展秘钥计算方式推导对称秘钥包括： 读取待审计的镜像流量， 按照审计策略进 行流量过滤； 对以TLS协议格式封装的流量数据， 按照标准TLS协议格式依次解析每个数据 项， 包括： 从ClientHello ‑ClientKeyExch ange握手阶段每个消息、 客户端/服务器IP、 会话 协商的加密套件、 ClientHello/ServerH ello扩展项信息、 预主秘钥密文、 客户端/服务端随 机数； 根据所解析 的扩展信息项判断主秘钥计算是否扩展秘钥计算方式； 在确定是扩展秘 钥计算方式后， 审计系统内存中维护着服务器IP与私钥映射关系， 根据从加密流量中所解 析的服务器IP查找到对应私钥， 利用私钥解密预主秘钥密文为明文； 计算ClientHello到 ClientKeyExchange消息的hash值； 利用预主秘钥明文和消息hash值计算主秘钥； 再利用计 算出主秘钥、 客户端随机数、 服务端随机数计算客户端/服务端对称秘钥和IV； 根据会话加 密套件中协商的对称加密算法， 利用计算出的对称秘钥和IV解密后续的加密数据。 6.一种旁路审计兼容扩展主秘钥的加密数据系统， 采用权利要求1 ‑5任意一项所述的 旁路审计兼容扩展 主秘钥的加密数据方法， 其特 征在于， 所述加密数据系统包括： 非前向安全的加密套件配置项算法选择模块， 分析梳理不同数据库服务器相关的加密 配置项， 通过变更加密 套件配置项算法， 使得数据库服务器在加密传输过程中， 优先选择非 前向安全的加密套件配置项算法； 私钥文件导入模块， 用于提取数据库服务器的私钥文件， 加密保护后导入数据库审计 系统； 映射关系维护模块， 用于维护数据库服务器IP与数据库服务器的私钥文件的映射关 系； 标准TLS协议数据解析模块， 用于解析标准TLS协议数据， 解析存储握手阶段相 关数据 信息； 对称秘钥推导模块， 用于计算主秘钥并推导对称秘钥； 密文数据解密模块， 用于解密加密数据， 利用推导出来的对称秘钥， 根据加密套件配置 项中选择的对称加密算法， 把后续的加密流 量解密为明文数据； 审计模块， 用于审计规范化输出， 把解密后的明文数据传递给数据库审计系统的协议 解析模块， 审计SQ L语句并规范化输出。 7.根据权利要求6所述的旁路审计兼容扩展主秘钥的加密数据系统， 其特征在于， 还包 括计算机 设备， 所述计算机 设备包括存储器和处理器， 所述存储器存储有计算机程序， 所述 计算机程序被所述处 理器执行时， 使得 所述处理器执行如下步骤： 在解析标准TLS协议数据基础上， 判断加密流量主秘钥计算方式是否为扩展秘钥计算 方式， 若是则进行扩展主秘钥计算， 根据主秘钥推导出对称秘钥， 实现对扩展主秘钥计算方 式下的加密流量解密， 解密后续数据并进行审计； 若否则按照一般主秘钥计算方式计算对 称秘钥， 解密后续数据并进行审计。 8.根据权利要求6所述的旁路审计兼容扩展主秘钥的加密数据系统， 其特征在于， 还包 括计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 所述计算机程序被 处理器执行时， 使得处理器执行权利要求1 ‑5任意一项所述的旁路审计兼容扩展主秘钥的 加密数据方法。 9.一种旁路审计兼容扩展主秘钥的加密数据终端， 其特征在于， 所述加密数据终端用权　利　要　求　书 2/3 页 3 CN 114679260 A 3