基于HTTPS协议的报文处理方法以及装置与流程

本申请涉及https传输技术领域，具体涉及一种基于https协议的报文处理方法。本申请同时涉及一种基于https协议的报文处理装置，另一种基于https协议的报文处理方法以及装置，以及两种网络设备。

背景技术：

随着互联网和云计算的迅速发展，越来越多的业务依赖于网络技术和云计算，在网络中，用户使用的最广泛的客户端就是浏览器，例如，智能手机上安装的浏览器、个人电脑上安装的浏览器，用户可通过浏览器浏览网页、向服务器上传数据以及从服务器下载数据。考虑到客户端与服务器之间传输数据的安全性，客户端和服务器之间通过https(hypertexttransferprotocoloversecuresocketlayer)进行数据通信，https是在http(hypertexttransferprotocol，超文本传输协议)基础上提出的一种安全的http协议，http协议在tcp协议之上，而https提出在http和tcp中间加上一层加密层ssl(securesocketlayer，安全套接字)/tls(transportlayersecurityprotocol，安全传输层协议)，从数据发送端来看，ssl/tls负责将传输的内容加密后送到下层的tcp，从数据接收方来看，ssl/tls负责将tcp传输来的内容解密还原成相应内容。但随着互联网和云计算普及程度的不断提高，网站的域名受攻击的风险越来越大，网站的域名受到ddos(distributeddenialofservice，分布式拒绝服务)攻击的次数越来越多，但多数网站的带宽不足已支撑大规模的ddos攻击，存在较大的风险；此外，大量的xss跨站脚本、sql注入等方式的web攻击也让网站防不胜防。

目前，基于https对数据进行的加密传输，https在传输数据之前需要客户端和服务器之间进行一次握手，以确立双方加密传输数据的密钥(数字证书)，在握手过程中，客户端发送一个连接请求给服务器，服务器将自己的证书，以及同证书相关的信息发送给客户端，客户端检查服务器发送的证书是否为受信赖的ca(certificateauthority，证书颁发机构)颁发的，若是，就继续执行握手过程；若否，则发出警告消息确认是否继续访问；客户端随机产生一个用于进行数据加密传输“对称密钥”(采用对称加密的方式进行加密)，然后用服务器的公钥对其进行加密后发送给服务器，客户端和服务器在握手之后进行数据的加密传输，客户端和服务器利用对称密钥对相互之间传输的加密数据进行解密，解密后获得相应的数据包。

现有技术提供的所述基于https对数据进行加密传输的实现方式，对称密钥由客户端生成后发送给服务器，并且是由客户端利用服务器的公钥将对称密钥加密后以密文的形式发送给服务器，服务器需要相应密钥对中的私钥将对称密钥解密为明文，而在此过程中，如果网站设置有防火墙，则需要将网站服务器的私钥(即客户的私钥)上传至防火墙，一旦网站的防火墙被入侵，存在客户私钥泄漏风险，因此，客户私钥的安全性较低。

技术实现要素：

本申请提供一种基于https协议的报文处理方法，以解决现有技术存在的客户私钥的安全性较低的问题。

本申请同时涉及一种基于https协议的报文处理装置，另一种基于https协议的报文处理方法以及装置，以及两种网络设备。

本申请提供一种基于https协议的报文处理方法，包括：

接收客户端发送的https请求；

根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；

利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；

利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

可选的，所述对称密钥用于后续客户端与服务端之间的数据加密传输。

本申请还提供一种基于https协议的报文处理装置，包括：

https请求接收单元，用于接收客户端发送的https请求；

第一私钥加密密文读取单元，用于根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；

第一私钥加密密文解密单元，用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；

对称密钥加密密文解密单元，用于利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。

本申请另外提供一种基于https协议的报文处理方法，包括：

接收客户端发送的https请求；

根据所述https请求访问的目标域名，利用预先配置的对称密钥对所述https请求进行解密，获得对应的数据包；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；

通过分析所述数据包，判断所述目标域名是否存在ddos攻击，若否，向所述目标域名对应的服务端发送所述https请求。

可选的，所述通过分析所述数据包，判断所述目标域名是否存在ddos攻击步骤，若所述目标域名存在ddos攻击，则执行下述步骤：

拦截所述https请求，和/或，发出存在ddos攻击的提醒信息。

可选的，所述数据包中包含所述目标域名的访问参数；

其中，所述访问参数包括：流量、访问ip、访问频次。

可选的，所述判断所述目标域名是否存在ddos攻击，采用如下方式实现：

判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值，若否，执行下一步。

可选的，所述判断所述目标域名是否存在ddos攻击，采用如下方式实现：

分别判断预设时间间隔内所述目标域名各个访问ip的访问频次是否大于预设访问频次阈值，若否，执行下一步。

可选的，所述接收客户端发送的https请求步骤执行之前，执行下述步骤：

接收所述客户端发送的数据请求；

判断所述数据请求的请求类型是否为所述https请求；

若是，执行所述接收客户端发送的https请求步骤；

若否，禁止所述数据请求访问所述目标域名，或者，拦截所述数据请求。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

本申请另外提供一种基于https协议的报文处理装置，包括：

https请求接收单元，用于接收客户端发送的https请求；

https请求解密单元，用于根据所述https请求访问的目标域名，利用预先配置的对称密钥对所述https请求进行解密，获得对应的数据包；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；

ddos攻击判断单元，用于通过分析所述数据包，判断所述目标域名是否存在ddos攻击，若否，运行https请求发送单元；

所述https请求发送单元，用于向所述目标域名对应的服务端发送所述https请求。

本申请提供一种网络设备，包括：

处理器和存储器；

其中，所述处理器，用于接收客户端发送的https请求，根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文，并利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥，以及，利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥；

所述存储器，用于存储所述第一私钥加密密文和所述对称密钥加密密文。

本申请另外提供一种网络设备，包括：

处理器和存储器；

其中，所述处理器，用于接收客户端发送的https请求，根据所述https请求访问的目标域名，利用预先配置的对称密钥对所述https请求进行解密，获得对应的数据包，并通过分析所述数据包，判断所述目标域名是否存在ddos攻击，若否，向所述目标域名对应的服务端发送所述https请求；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；

所述存储器，用于存储所述目标域名、所述数据包、所述第一私钥加密密文和所述对称密钥加密密文。

与现有技术相比，本申请具有以下优点：

本申请提供的基于https协议的报文处理方法，包括：接收客户端发送的https请求；根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。

本申请提供的所述基于https协议的报文处理方法，根据接收到的https请求确定客户端要访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥将所述第一私钥加密密文解密为明文形式的第一私钥，并利用解密后获得的所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。所述基于https协议的报文处理方法中，所述第一私钥被加密为所述第一私钥加密密文，并且以所述第一私钥加密密文的形式进行存储，即将客户的私钥加密为密文，并以密文形式进行存储，降低了客户的私钥的泄漏风险。

附图说明

附图1是本申请提供的一种基于https协议的报文处理方法实施例的处理流程图；

附图2是本申请提供的一种基于https协议的报文处理方法应用场景的示意图；

附图3是本申请提供的一种基于https协议的报文处理装置实施例的示意图；

附图4是本申请提供的另一种基于https协议的报文处理方法实施例的处理流程图；

附图5是本申请提供的另一种基于https协议的报文处理装置实施例的示意图；

附图6是本申请提供的一种网络设备实施例的示意图；

附图7是本申请提供的另一种网络设备实施例的示意图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其他方式来实施，本领域技术人员可以在不违背本申请内涵的情况下做类似推广，因此本申请不受下面公开的具体实施的限制。

本申请提供一种基于https协议的报文处理方法，本申请还提供一种基于https协议的报文处理装置，另一种基于https协议的报文处理方法以及装置，以及两种网络设备。以下分别结合本申请提供的实施例的附图逐一进行详细说明，并且对方法的各个步骤进行说明。

本申请提供的一种基于https协议的报文处理方法实施例如下：

参照附图1，其示出了本申请提供的一种基于https协议的报文处理方法实施例的处理流程图，参照附图2，其示出了本申请提供的一种基于https协议的报文处理方法应用场景示意图。此外，所述基于https协议的报文处理方法实施例的各个步骤之间的关系，请根据附图1确定。

步骤s101，接收客户端发送的https请求。

现有的基于https对数据进行的加密传输，在客户端和服务端之间进行数据的加密传输之前，在客户端和服务端之间执行握手操作，协商好后续进行数据加密传输的对称密钥；握手操作执行完毕之后，客户端和服务端分别利用对称密钥对传输的数据进行加密传输，发送数据的一方(加密的一方)利用对称密钥将明文数据加密为相应密文数据，接收数据的一方(解密的一方)利用对称密钥将密文数据解密为相应明文数据，但当服务端设置有防火墙时，需将服务端的私钥上传至防火墙对对称密钥进行解密，即将客户的私钥上传至防火墙，因此客户的私钥存在泄漏风险。在此，本申请提供一种基于https协议的报文处理方法，在现有的基于https对数据进行加密传输的基础上，在私钥上传防火墙的过程中，以及防火墙使用、存储私钥的过程中，通过本申请提供的所述基于https协议的报文处理方法对私钥进行加密，从而降低私钥的泄漏风险。

基于此，所述基于https协议的报文处理方法的执行主体为服务端的防火墙，如附图2中所示的防火墙，但在实际应用中，所述基于https协议的报文处理方法的实现并不限于防火墙，还可以基于多种具体执行主体来实现，例如，基于配置在服务端的ids(intrusiondetectionsystems，入侵检测系统)，来实现所述基于https协议的报文处理方法。所述基于https协议的报文处理方法的执行主体的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

本申请实施例所述https请求，是指所述客户端和服务端在进行握手操作后，由所述客户端向所述服务端发送的报文请求，其中包含二者协商好的对称密钥加密密文。

本步骤中，接收所述客户端发送的所述https请求，其中，所述https请求中包含所述客户端当前访问的网站域名的相应信息。例如，附图2所示的服务器防火墙接收浏览器发送的https请求。

步骤s102，根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文。

本申请实施例所述目标域名，是指所述客户端当前访问的网站的域名。如上所述，所述https请求中包含所述客户端当前访问的网站域名的相应信息，因此，根据所述网站域名的相应信息，可确定所述客户端当前访问的网站的域名，即所述目标域名。

所述第一私钥加密密文是第一私钥被加密后的密文存在形式，相应的，还存在与所述第一私钥相互匹配的第一公钥，所述第一私钥和所述第一公钥属于同一密钥对。在此，所述第一私钥是指服务端的私钥，即客户的网站对应的私钥；相应的，所述第一公钥是指服务端的公钥，即客户的网站对应的公钥。

在具体实施时，为了降低所述第一私钥泄漏的风险，所述第一私钥的加密过程在隔离网络的环境中执行，由客户的网站管理人员执行这一加密过程。例如，如附图2所示，网站管理员在dmz(demilitarizedzone，隔离区)针对第一私钥执行加密，获得相应的第一私钥加密密文。dmz是为了解决安装防火墙后外部的客户端不能访问内部的服务端，而设立的一个非安全系统与安全系统之间的缓冲区。与常规的部署防火墙的方案，dmz对于来自防火墙外部的客户端来说多了一道关卡，因此能够更有效地保护服务端的安全。

在实际应用中，所述服务端的所述第一公钥和所述第一私钥是唯一的，即任意一个网站对应的第一公钥和第一私钥是唯一的。基于此，针对所述客户端访问的任意一个目标域名，其对应的所述第一公钥和所述第一私钥也是唯一的，即：所述目标域名与所述第一私钥具有唯一对应关系，且与所述第一私钥加密密文也具有唯一对应关系。因此，针对所述客户端访问的任意一个目标域名，能够确定该目标域名唯一对应的第一私钥和第一公钥。

除此之外，为了避免大量的目标域名各自对应的所述第一私钥在防火墙这一端部署的机器内存中暂存，提升防火墙这一端部署的机器的性能，本实施例中，将所述目标域名各自对应的第一私钥存储至预先设置的密钥数据库中，从而减少防火墙这一端部署的机器内存中暂存的所述第一私钥和所述第一私钥加密密文，提升机器的处理效率。本实施例中，所述第一私钥是以加密后的密文形式(即所述第一私钥加密密文的形式)在所述密钥数据库中存储，因此，即使黑客入侵了所述密钥数据库，获取到客户的密文形式的私钥也无法解密，进一步降低了私钥的泄漏风险。

在具体实施时，向所述密钥数据库存储所述第一密钥前，可以执行下述判断操作，来防止所述第一私钥以明文形式存储至所述密钥数据库中，具体实现如下：

判断所述第一私钥是否以其对应的所述第一私钥加密密文形式存在；

若是，将所述第一私钥加密密文存储至所述密钥数据库中；

若否，利用所述第二公钥将所述第一私钥加密为所述第一私钥加密密文。

此外，还可以针对防火墙这一端部署的机器进行安全加固，降低防火墙被入侵的风险，从而来降低私钥在防火墙这一端被泄漏的风险。例如，对附图2中所示的防火墙这一端部署的机器，去除针对机器内存中的数据进行操作的操作入口。

如上所述，所述第一私钥的加密是由客户的网站的管理人员在隔离网络的环境中执行的，通过加密获得所述第一私钥加密密文后，由所述管理人员上传所述第一私钥加密密文，上传之后，所述第一私钥加密密文最终被存储至所述密钥数据库中。例如，如附图2所示，网站管理员将第一私钥加密密文上传至控制端，由控制端将第一私钥加密密文存储至密钥数据库中。所述控制端是指云盾的控制台，其中可以看到网站管理员的异地登录的记录、登录者的ip、所在地和登录时间，通过云盾的控制台可以找出恶意登录者使用的账号名，通过加强对登录的控制来降低客户私钥的泄漏风险。

本步骤是从预设的所述密钥数据库中查找所述目标域名对应的第一私钥加密密文，并读取查找到的所述第一私钥加密密文，为下述步骤s103解密所述第一私钥加密密文做准备。

步骤s103，利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥。

本申请提供的所述基于https协议的报文处理方法，正是为了避免所述第一私钥的泄漏，针对所述第一私钥进行加解密的实现方式。具体的，所述第一私钥加密密文是所述第一私钥被第二公钥加密后获得的；反之，所述第一私钥是所述第一私钥加密密文由第二私钥解密后获得的。其中，所述第二私钥和所述第二公钥属于同一密钥对，所述第二私钥和所述第二公钥相互匹配。

在实际应用中，所述第二密钥对中的所述第二公钥和所述第二私钥，可以由加密机生成，例如，通过国家商用密码主管部门鉴定并批准使用的主机加密设备(附图2中所示的加密机)来生成第二密钥对。在此基础上，所述加密机生成所述第二公钥之后，还可以由所述加密机将所述第二公钥导出至所述控制端，并在针对所述第一私钥加密前从所述控制端下载。客户在针对其对应的第一私钥进行加密时，从所述控制端下载所述第二公钥，所述第二公钥只有防火墙知道，因此，即使存储所述第一私钥的所述私钥数据库被入侵，入侵者得到的也只是第一私钥加密密文，无法对其进行解密。

如上所述，所述第一私钥和所述第一私钥加密密文具有唯一性，且与所述目标域名具有唯一对应关系，基于此，作为对所述第一私钥进行加密的所述第二公钥，也可以具有唯一性，从而与所述目标域名建立唯一对应关系；相应的，作为对所述第一私钥加密密文进行解密的所述第二私钥，同样可以具有唯一性，与所述目标域名建立唯一对应关系。

本步骤中，利用预先配置的所述第二私钥，对上述步骤s102读取到的所述第一私钥加密密文进行解密，获得所述第一私钥，为下述步骤s104对所述对称密钥加密密文的解密做准备。

步骤s104，利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。

本申请实施例所述对称密钥，是指所述客户端和所述服务端在握手过程中协商好的密钥，包含在所述客户端向所述服务端发送的所述https请求中。具体实施时，所述对称密钥用于所述客户端与所述服务端之间的数据加密传输。

具体的，利用所述对称密钥在所述客户端和所述服务端之间进行数据加密传输时，采用对称加密的方式进行加密。比如客户端向服务端发送加密数据时，客户端首先利用对称密钥对即将发送的数据进行加密，然后将加密后的数据密文发送至服务端；服务端利用对称密钥解密接收到的数据密文，获得相应的明文数据。反之，服务端向客户端发送加密数据时，服务端首先利用对称密钥对即将发送的数据进行加密，然后将加密后的数据密文发送至客户端；客户端利用对称密钥解密接收到的数据密文，获得相应的明文数据。

综上所述，所述基于https协议的报文处理方法，根据接收到的https请求确定客户端要访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥将所述第一私钥加密密文解密为明文形式的第一私钥，并利用解密后获得的所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。所述基于https协议的报文处理方法中，所述第一私钥被加密为所述第一私钥加密密文，并且以所述第一私钥加密密文的形式进行存储，即将客户的私钥加密为密文，并以密文形式进行存储，降低了客户的私钥的泄漏风险。

本申请提供的基于https协议的报文处理装置实施例如下：

在上述的实施例中，提供了一种基于https协议的报文处理方法，与之相对应的，本申请还提供了一种基于https协议的报文处理装置，下面结合附图进行说明。

参照附图3，其示出了本申请提供的一种基于https协议的报文处理装置实施例的示意图。

由于装置实施例基本相似于方法实施例，所以描述得比较简单，相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。

本申请提供一种基于https协议的报文处理装置，包括：

https请求接收单元301，用于接收客户端发送的https请求；

第一私钥加密密文读取单元302，用于根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文；

第一私钥加密密文解密单元303，用于利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥；

对称密钥加密密文解密单元304，用于利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

可选的，所述对称密钥用于后续客户端与服务端之间的数据加密传输。

本申请提供的另一种基于https协议的报文处理方法实施例如下：

在上述的实施例中，提供了一种基于https协议的报文处理方法，在此基础上，本申请还提供了另一种基于https协议的报文处理方法，下面结合附图进行说明。

参照附图4，其示出了本申请提供的另一种基于https协议的报文处理方法实施例的处理流程图。此外，本申请提供的另一种基于https协议的报文处理方法实施例的各个步骤之间的关系，请根据附图4确定。

由于本实施例是在上述基于https协议的报文处理方法实施例的基础上实现的，所以描述得比较简单，相关的部分请参见本申请提供的上述基于https协议的报文处理方法实施例的对应说明即可。下述描述的方法实施例仅仅是示意性的。

步骤s401，接收客户端发送的https请求。

本实施例中，所述基于https协议的报文处理方法基于所述服务端的防火墙实现，但在实际应用中，所述基于https协议的报文处理方法的实现并不限于防火墙，还可以基于多种具体执行主体来实现，例如，基于配置在服务端的ids(intrusiondetectionsystems，入侵检测系统)，来实现所述基于https协议的报文处理方法，在判断客户端发送的所述https请求是否具有攻击性时，通过本申请提供的上述基于https协议的报文处理方法解密获得的所述对称密钥，对所述客户端发送的所述https请求进行解密，通过对解密后获得的数据包进行分析，来判断所述https请求是否具有攻击性。所述基于https协议的报文处理方法的执行主体的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

本实施例所述基于https协议的报文处理方法，是在本申请提供的上述基于https协议的报文处理方法的基础上实现的，即：利用本申请提供的上述基于https协议的报文处理方法解密获得的所述对称密钥，对从所述客户端向所述服务端发送的https请求进行解密，即对防火墙外向防火墙内发送的https请求进行解密，通过对解密后获得的数据包进行分析，来判断所述https请求访问的所述目标域名是否受到ddos攻击，并根据判断结果进行相应处理，从而提升防火墙内客户网站的服务端的安全性。

本实施例所述https请求，包括所述客户端向防火墙后的所述服务端发送的数据访问请求，以及所述客户端向防火墙内的所述服务端上传的数据。例如，通过智能手机或者个人电脑操作系统安装的浏览器，向防火墙内的电子商城的服务器发出的获取物品详细信息的操作请求，或者向防火墙内的电子商城的服务器上传账户信息的操作请求。

在具体实施时，在本步骤执行之前，还可以执行数据请求判断操作，来判断所述客户端发送的数据请求的请求类型是否为基于https协议的https请求，并根据判断结果执行通过、拦截或者屏蔽操作。所述数据请求判断操作具体实现如下：

接收所述客户端发送的数据请求；

判断所述数据请求的请求类型是否为所述https请求；

若是，执行本步骤，接收所述客户端发送的所述https请求；

若否，禁止所述数据请求访问所述目标域名，或者，拦截所述数据请求。

步骤s402，根据所述https请求访问的目标域名，利用预先配置的对称密钥对所述https请求进行解密，获得对应的数据包。

需要说明的是，本步骤中使用的所述对称密钥，是利用本申请提供的上述基于https协议的报文处理方法解密获得的所述对称密钥，即：所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的。关于所述对称密钥的详细说明请参见本申请提供的上述基于https协议的报文处理方法实施例，本实施例在此不再赘述。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

本步骤中，根据上述步骤s401接收的所述https请求访问的所述目标域名，并利用本申请提供的上述基于https协议的报文处理方法获得的所述对称密钥，对所述https请求进行解密，获得对应的数据包。需要说明的是，所述数据包中包含所述目标域名的访问参数；其中，所述访问参数包括：流量、访问ip、访问频次。

步骤s403，通过分析所述数据包，判断所述目标域名是否存在ddos攻击。

本步骤中，根据上述步骤s402解密后获得的所述数据包，通过分析所述数据包，来判断所述目标域名是否存在ddos攻击，若存在，则拦截所述https请求；若不存在，执行下述步骤s404，将所述https请求发送至所述目标域名对应的服务端。此外，当所述目标域名存在ddos攻击时，还可以发出所述目标域名存在ddos攻击的提醒信息，或者，在拦截所述https请求的同时，发出所述目标域名存在ddos攻击的提醒信息。

如上所述，所述数据包中包含所述目标域名的访问参数，所述访问参数包括：流量、访问ip、访问频次，基于此，本实施例提供如下两种判断所述目标域名是否存在ddos攻击的实现方式：

1)判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值；

若存在，拦截所述https请求，和/或，发出存在ddos攻击的提醒信息；

若不存在，执行下述步骤s404，将所述https请求发送至所述目标域名对应的服务端。

2)分别判断预设时间间隔内所述目标域名各个访问ip的访问频次是否大于预设访问频次阈值；

若存在，拦截所述https请求，和/或，发出存在ddos攻击的提醒信息；

若不存在，执行下述步骤s404，将所述https请求发送至所述目标域名对应的服务端。

在实际应用中，可以采用多种具体的实现方式，实现所述目标域名是否存在ddos攻击的判断，例如，根据所述数据包中包含的其他访问参数，来判断所述目标域名是否存在ddos攻击，并根据判断结果执行相应操作。实现所述目标域名是否存在ddos攻击的判断过程的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

步骤s404，向所述目标域名对应的服务端发送所述https请求。

本步骤得以实施的前提是，上述步骤s403中的所述目标域名不存在ddos攻击。本步骤中，将所述https请求发送至所述目标域名对应的服务端，在所述服务端进行相应操作。

综上所述，本申请提供的所述基于https协议的报文处理方法，在接收到客户端发送的所述https请求后，利用本申请提供的上述基于https协议的报文处理方法获得的所述对称密钥，对接收到的所述https请求进行解密，并通过分析解密后获得的数据包，来判断所述目标域名是否存在ddos攻击，若所述目标域名不存在ddos攻击，则将所述https请求向所述目标域名对应的服务端发送。所述基于https协议的报文处理方法，在所述基于https协议的报文处理方法的基础上进行，不仅降低了客户的私钥的泄漏风险；除此之外，通过分析所述https请求解密后的数据包，来判断所述目标域名是否存在ddos攻击，从而避免了非法https请求导致的ddos攻击，增强了网站域名的安全性。

本申请提供的另一种基于https协议的报文处理装置实施例如下：

在上述的实施例中，提供了另一种基于https协议的报文处理方法，与之相对应的，本申请还提供了另一种基于https协议的报文处理装置，下面结合附图进行说明。

参照附图5，其示出了本申请提供的另一种基于https协议的报文处理装置实施例的示意图。

由于装置实施例基本相似于方法实施例，所以描述得比较简单，相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。

本申请提供的另一种基于https协议的报文处理装置，包括：

https请求接收单元501，用于接收客户端发送的https请求；

https请求解密单元502，用于根据所述https请求访问的目标域名，利用预先配置的对称密钥对所述https请求进行解密，获得对应的数据包；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；

ddos攻击判断单元503，用于通过分析所述数据包，判断所述目标域名是否存在ddos攻击，若否，运行https请求发送单元504；

所述https请求发送单元504，用于向所述目标域名对应的服务端发送所述https请求。

可选的，若所述ddos攻击判断单元503输出的判断结果为所述目标域名存在ddos攻击，则运行https请求拦截单元和/或提醒单元；

其中，所述https请求拦截单元，用于拦截所述https请求；

所述提醒单元，用于发出存在ddos攻击的提醒信息。

可选的，所述数据包中包含所述目标域名的访问参数；

其中，所述访问参数包括：流量、访问ip、访问频次。

可选的，所述ddos攻击判断单元503，包括：

流量判断子单元，用于判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值，若否，运行所述https请求发送单元504。

可选的，所述ddos攻击判断单元503，包括：

访问频次判断子单元，用于分别判断预设时间间隔内所述目标域名各个访问ip的访问频次是否大于预设访问频次阈值，若否，运行所述https请求发送单元504。

可选的，所述基于https协议的报文处理装置，包括：

数据请求接收单元，用于接收所述客户端发送的数据请求；

数据请求类型判断单元，用于判断所述数据请求的请求类型是否为所述https请求；

若是，运行所述https请求接收单元501；

若否，运行数据请求屏蔽单元和/或数据请求拦截单元；

其中，所述数据请求屏蔽单元，用于禁止所述数据请求访问所述目标域名；

所述数据请求拦截单元，用于拦截所述数据请求。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

本申请提供的一种网络设备装置实施例如下：

在上述的实施例中，提供了一种基于https协议的报文处理方法，此外，本申请还提供了一种用于实施所述基于https协议的报文处理方法的网络设备，下面结合附图进行说明。

参照附图6，其示出了本申请提供的一种网络设备的示意图。

由于所述基于https协议的报文处理方法基于所述网络设备实现，因此所述网络设备的实施例基本相似于方法实施例，所以描述得比较简单，相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的所述网络设备实施例仅仅是示意性的。

本申请提供的一种网络设备，包括：

处理器601和存储器602；

其中，所述处理器601，用于接收客户端发送的https请求，根据所述https请求访问的目标域名，在预设的密钥数据库中查找并读取所述目标域名对应的第一私钥加密密文，并利用预先配置的第二私钥对所述第一私钥加密密文进行解密，获得相应的第一私钥，以及，利用所述第一私钥对所述https请求中包含的对称密钥加密密文进行解密，获得相应的对称密钥；

所述存储器602，用于存储所述第一私钥加密密文和所述对称密钥加密密文。

可选的，所述存储器602包括内存，所述内存用于存储所述第二私钥、所述第一私钥和所述对称密钥。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

可选的，所述对称密钥用于后续客户端与服务端之间的数据加密传输。

本申请提供的另一种网络设备装置实施例如下：

在上述的实施例中，提供了另一种基于https协议的报文处理方法，此外，本申请还提供了另一种用于实施所述基于https协议的报文处理方法的网络设备，下面结合附图进行说明。

参照附图7，其示出了本申请提供的另一种网络设备的示意图。

由于所述基于https协议的报文处理方法基于所述网络设备实现，因此所述网络设备的实施例基本相似于方法实施例，所以描述得比较简单，相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的所述网络设备实施例仅仅是示意性的。

本申请提供的另一种网络设备，包括：

处理器701和存储器702；

其中，所述处理器701，用于接收客户端发送的https请求，根据所述https请求访问的目标域名，利用预先配置的对称密钥对所述https请求进行解密，获得对应的数据包，并通过分析所述数据包，判断所述目标域名是否存在ddos攻击，若否，向所述目标域名对应的服务端发送所述https请求；所述对称密钥是通过在预设的密钥数据库中查找并读取的所述目标域名对应的第一私钥加密密文，利用预先配置的第二私钥对所述第一私钥加密密文解密后获得的第一私钥，对所述客户端发送的对称密钥加密密文解密后获得的；

所述存储器702，用于存储所述目标域名、所述数据包、所述第一私钥加密密文和所述对称密钥加密密文。

可选的，所述通过分析所述数据包，判断所述目标域名是否存在ddos攻击步骤，若所述目标域名存在ddos攻击，则执行下述步骤：

拦截所述https请求，和/或，发出存在ddos攻击的提醒信息。

可选的，所述数据包中包含所述目标域名的访问参数；

其中，所述访问参数包括：流量、访问ip、访问频次。

可选的，所述判断所述目标域名是否存在ddos攻击，采用如下方式实现：

判断预设时间间隔内访问所述目标域名的流量是否大于预设流量阈值，若否，执行下一步。

可选的，所述判断所述目标域名是否存在ddos攻击，采用如下方式实现：

分别判断预设时间间隔内所述目标域名各个访问ip的访问频次是否大于预设访问频次阈值，若否，执行下一步。

可选的，所述接收客户端发送的https请求步骤执行之前，执行下述步骤：

接收所述客户端发送的数据请求；

判断所述数据请求的请求类型是否为所述https请求；

若是，执行所述接收客户端发送的https请求步骤；

若否，禁止所述数据请求访问所述目标域名，或者，拦截所述数据请求。

可选的，所述第一私钥加密密文由第二公钥对所述第一私钥加密后获得；

其中，所述第二私钥和所述第二公钥属于同一密钥对。

可选的，所述第一私钥的加密在隔离网络的环境中执行。

可选的，所述第二私钥和所述第二公钥由预设的加密机生成。

可选的，所述第二公钥由所述加密机导出至预设的控制端，并在加密所述第一私钥前从所述控制端下载。

可选的，所述第一私钥加密密文从所述控制端上传，并由所述控制端存储至所述密钥数据库中。

可选的，所述目标域名与所述第二私钥和所述第二公钥具有唯一对应关系。

本申请虽然以较佳实施例公开如上，但其并不是用来限定本申请，任何本领域技术人员在不脱离本申请的精神和范围内，都可以做出可能的变动和修改，因此本申请的保护范围应当以本申请权利要求所界定的范围为准。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

2、本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。