一种网络保密数据采集系统SSL/TLS会话重用的支持方法

摘要

本发明提供了一种网络保密数据采集系统SSL/TLS会话重用的支持方法，所述方法包括：该数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法；所述数据采集系统为每对客户端及服务端建立的SSL/TLS连接维护一个有限状态机，用于记录这对SSL/TLS连接是否重用会话、会话标识以及后续的握手消息组成；所述数据采集系统收集客户端问候消息，将所述有限状态机从初始状态转换为中间状态；所述数据采集系统收集服务端问候消息及后续SSL/TLS握手消息组成，对会话标识及握手消息组成进行分析，根据分析结果将所述有限状态机从中间状态转换为最终状态；所述数据采集系统根据最终状态处理后续SSL/TLS握手过程。

说明书

技术领域

本申请涉及网络信息安全技术领域，尤其涉及一种网络保密数据采集系统SSL/TLS(Secure Socket Layer/Transport Layer Security，安全套接层/传输层安全)会话重用的支持方法。

背景技术

SSL/TLS协议运行在可靠的传输层协议之上、各种应用层协议之下，能够在互联网上的客户端与服务端之间建立安全连接，即SSL/TLS连接，防止客户端与服务端应用程序通信中的消息窃听、篡改及伪造，从而为互联网上的数据通信提供数据传输保密性、完整性以及通信双方的相互认证性等安全服务。SSL/TLS是分层协议，包括底层的记录层协议及上层的改变加密说明协议、告警协议和握手协议。SSL/TLS协议的执行流程可分为两个阶段：SSL/TLS连接建立及应用层数据传输。SSL/TLS连接的建立是通过SSL/TLS握手来完成的。SSL/TLS握手的结束标志着SSL/TLS连接的建立，随后可以以密文形式安全传输应用层数据。密文数据的传输依靠下层可靠的传输层协议。

在网络信息传输过程中，客户端和服务端之间采用SSL/TLS协议传输的应用层数据都是加密的，没有明文出现。这种加密数据为数据审计带来了困难。例如，在企业业务系统中，需要审查客户资料信息、账务信息、计费信息及企业内部重要资料等敏感信息是否被泄漏出去，而这些信息有可能是以密文的形式传输的。现有的一种网络保密数据的明文采集技术，将作为合法中间人的数据采集系统串行接入服务端与客户端之间，在SSL/TLS握手阶段通过修改通信双方传输的握手消息，分别与客户端及服务端建立一条SSL/TLS连接。这两条SSL/TLS连接具有相同的密钥，具体包括对称密钥和消息认证码(Message Authentication Codes，MAC)密钥。这些密钥同时可以被采集系统所掌握，因此采集系统可以对通信双方传输的密文数据进行解密，从而达到采集保密数据明文的目的。

在SSL/TLS协议中，会话被定义为一种客户端与服务端之间的关系，包含会话标识、证书、压缩方法、密码算法、主秘密、是否可重用等要素。其中会话标识用于唯一标识每一个SSL/TLS会话，可以为会话ID或会话ticket。SSL/TLS会话是在SSL/TLS握手中协商的。协商SSL/TLS会话的开销很大，主要来自通信双方密钥交换过程的公钥算法操作。为了避免为每个连接都重新协商新会话的昂贵开销，SSL/TLS协议提供了会话重用机制，在当前SSL/TLS连接中重用一个已有的会话，无需协商新会话，从而大大缩短了SSL/TLS握手流程。服务端会保存之前协商的SSL/TLS会话的信息。客户端请求建立SSL/TLS连接时，若希望重用某个会话，就在请求中包含该会话的标识。服务端对其进行识别，如果希望重用该会话，就执行简化的SSL/TLS握手流程。如果客户端或服务端不希望重用会话，就执行完整的SSL/TLS握手流程。为防止攻击者推算出密钥，一个SSL/TLS会话不宜存在过长时间。在SSL/TLS协议中，每个会话都有一个最大保持时间，即该会话的寿命。这个时间是由服务端指定的。

上述现有的网络保密数据的明文采集技术仅对客户端与服务端之间不发生会话重用的情景提供了支持，尚不能支持会话重用机制。

发明内容

本发明的目的在于克服目前客户端和服务端进行会话重用时，在SSL/TLS协议获取明文数据时存在的上述问题，提出网络保密数据明文采集系统SSL/TLS会话重用的支持方法，通过该方法，能够在客户端和服务端进行会话重用时，获取到明文数据，从而完成审计功能。

为了实现上述目的，本发明提出了一种网络保密数据采集系统SSL/TLS会话重用的支持方法，所述方法包括：

该数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法；所述数据采集系统为每对客户端及服务端建立的SSL/TLS连接维护一个有限状态机，用于记录这对SSL/TLS连接是否重用会话、会话标识以及后续的握手消息组成；所述数据采集系统收集客户端问候消息，将所述有限状态机从初始状态转换为中间状态；所述数据采集系统收集服务端问候消息及后续SSL/TLS握手消息组成，对会话标识及握手消息组成进行分析，根据分析结果将所述有限状态机从中间状态转换为最终状态；所述数据采集系统根据最终状态处理后续SSL/TLS握手过程。

上述技术方案中，所述方法具体包括：

步骤S101，所述客户端向所述数据采集系统发送客户端问候消息；所述数据采集系统对所述客户端问候消息的内容进行分析，再根据分析结果，将所述有限状态机从初始状态转换为中间状态；

步骤S102，所述数据采集系统将所述客户端问候消息转发给所述服务端；所述服务端对所述客户端问候消息中是否含有会话标识及会话标识进行分析；

步骤S103，所述服务端向所述数据采集系统发送服务端问候消息及后续SSL/TLS握手消息；所述数据采集系统分析所述服务端问候消息内容，并分析所述后续SSL/TLS握手消息组成，根据分析结果将所述有限状态机从所述中间状态转换为最终状态；

步骤S104，所述数据采集系统根据所述最终状态处理后续SSL/TLS握手过程；通过最终状态，所述数据采集系统获取到客户端与服务端的会话重用状态；所述数据采集系统根据会话重用状态处理后续握手消息。

上述技术方案中，所述步骤S101中的初始状态表示所述数据采集系统尚未接收到客户端问候消息；

所述步骤S101中的中间状态为：

第一种类型：客户端未提供任何会话标识，表示所述客户端问候消息中的会话ID为空，且不包含会话ticket扩展项；

第二种类型：客户端提供会话ID，表示所述客户端问候消息中的会话ID不为空，且不包含会话ticket扩展项；

第三种类型：客户端发空会话ticket扩展项，表示所述客户端问候消息中的会话ID为空，且包含空的会话ticket扩展项；

第四种类型：客户端提供会话ticket，无会话ID，表示所述客户端问候消息中的会话ID为空，且包含非空的会话ticket扩展项；或

第五种类型：客户端提供会话ticket，有会话ID，表示所述客户端问候消息中的会话ID不为空，且包含非空的会话ticket扩展项。

上述技术方案中，所述步骤S101中的有限状态机从初始状态转换为中间状态过程为：

当所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且不包含会话ticket扩展项，则初始状态转换为第一种类型的中间状态；

当所述数据采集系统识别出所述客户端问候消息中的会话ID不为空，且不包含会话ticket扩展项，则初始状态转换为第二种类型的中间状态；

当所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且包含空的会话ticket扩展项，则初始状态转换为第三种类型的中间状态；

当所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且包含非空的会话ticket扩展项，则初始状态转换为第四种类型的中间状态；

当所述数据采集系统识别出所述客户端问候消息中的会话ID不为空，且包含非空的会话ticket扩展项，则初始状态转换为第五种类型的中间状态。

上述技术方案中，所述步骤S103中的最终状态为：

第一种类型：无会话重用，新会话不可重用，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话，且协商的新会话不可被重用；

第二种类型：无会话重用，新会话启用会话ID机制，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话，且协商的新会话可以被重用，采用会话ID进行标识；

第三种类型：无会话重用，新会话启用会话ticket机制，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话，且协商的新会话可以被重用，采用会话ticket进行标识；

第四种类型：采用会话ID机制的会话重用，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ID的会话重用机制重用先前的会话；或

第五种类型：采用会话ticket机制的会话重用，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ticket的会话重用机制重用先前的会话。

上述技术方案中，当中间状态为第一种类型时，所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为：

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程，则中间状态转换为第一类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述后续SSL/TLS握手消息为完整握手流程，则中间状态转换为第二种类型的最终状态。

上述技术方案中，当中间状态为第二种类型时，所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为：

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程，则中间状态转换为第一种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID不同；所述后续SSL/TLS握手消息为完整握手流程，则中间状态转换为第二种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID相同；所述后续SSL/TLS握手消息为会话重用的握手流程，则中间状态转换为第四种类型的最终状态。

上述技术方案中，当中间状态为第三种类型时，所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为：

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket，则中间状态转换为第一种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket，则中间状态转换为第二种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket，则中间状态转换为第三种类型的最终状态。

上述技术方案中，当中间状态为第四种类型时，所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为：

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket，则中间状态转换为第一种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket，则中间状态转换为第二种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket，则中间状态转换为第三种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为会话重用的握手流程，则中间状态转换为第五种类型的最终状态。

上述技术方案中，当中间状态为第五种类型时，所述步骤S103中的有限状态机从中间状态转换为最终状态的过程为：

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket，则中间状态转换为第一种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID不同；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket，则中间状态转换为第二种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket，则中间状态转换为第三种类型的最终状态；

当所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID相同；所述后续SSL/TLS握手消息为会话重用的握手流程，则中间状态转换为第五种类型的最终状态。

本发明的优点在于：

1、本发明的方法能够保证数据采集过程中客户端与服务端之间SSL/TLS会话重用机制的透明、有效执行；

2、本发明的方法能够为数据采集系统在客户端与服务端之间进行会话重用时获取明文数据，为后续的数据审计提供支持。

附图说明

图1为本发明的网络保密数据采集系统SSL/TLS会话重用的支持方法流程图；

图2为本发明的网络保密数据采集系统SSL/TLS会话重用的支持方法有限状态机示意图；

图3为本发明的实施例一提供的SSL/TLS握手消息交互示意图；

图4为本发明的实施例二提供的SSL/TLS握手消息交互示意图；

图5为本发明的实施例三提供的SSL/TLS握手消息交互示意图；

图6为本发明的实施例四提供的SSL/TLS握手消息交互示意图。

具体实施方式

下面结合附图和具体实施例对本申请的技术方案做进一步的详细描述。

如图1所示，一种网络保密数据采集系统SSL/TLS会话重用的支持方法，具体实施方式如下：

所述数据采集系统采用基于合法中间人原理的网络保密数据明文采集方法；

所述数据采集系统为每对与客户端及服务端建立的SSL/TLS连接维护一个有限状态机，用于记录这对SSL/TLS连接是否重用会话、所用会话采用会话标识的类型，以及后续的握手消息组成，以便所述数据采集系统维护会话信息以及顺利完成后续握手过程。

所述方法具体包括：

步骤S101，所述客户端向所述数据采集系统发送客户端问候消息(ClientHello)；所述数据采集系统对所述客户端问候消息的内容进行分析，根据分析结果，将所述有限状态机从初始状态转换为中间状态；

具体地，如图2所示，初始状态以粗实线圆圈表示；中间状态以虚线圆圈表示。初始状态及各中间状态的含义具体说明如下：

所述初始状态表示所述数据采集系统尚未接收到客户端问候消息。

所述中间状态为：

第一种类型：客户端未提供任何会话标识，表示所述客户端问候消息中的会话ID为空，且不包含会话ticket扩展项；

第二种类型：客户端提供会话ID，表示所述客户端问候消息中的会话ID不为空，且不包含会话ticket扩展项；

第三种类型：客户端发空会话ticket扩展项，表示所述客户端问候消息中的会话ID为空，且包含空的会话ticket扩展项；

第四种类型：客户端提供会话ticket，无会话ID，表示所述客户端问候消息中的会话ID为空，且包含非空的会话ticket扩展项；或

第五种类型：客户端提供会话ticket，有会话ID，表示所述客户端问候消息中的会话ID不为空，且包含非空的会话ticket扩展项。

由初始状态向各中间状态转换的条件具体说明如下：

(1)所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且不包含会话ticket扩展项。

(2)所述数据采集系统识别出所述客户端问候消息中的会话ID不为空，且不包含会话ticket扩展项。

(3)所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且包含空的会话ticket扩展项。

(4)所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且包含非空的会话ticket扩展项。

(5)所述数据采集系统识别出所述客户端问候消息中的会话ID不为空，且包含非空的会话ticket扩展项。

需要补充说明的是，对于发生在初始状态的、不符合条件(1)–(5)的事件，一律转换到一个系统错误状态。为简洁起见，图2中省略了这一特点。

步骤S102，所述数据采集系统将所述客户端问候消息转发给所述服务端；所述服务端对所述客户端问候消息中是否含有会话标识及会话标识的内容进行分析；

步骤S103，所述服务端向所述数据采集系统发送服务端问候消息(ServerHello)及后续SSL/TLS握手消息；所述数据采集系统分析所述服务端问候消息内容，并分析所述后续SSL/TLS握手消息组成，根据分析结果将所述有限状态机从所述中间状态转换为最终状态。

具体地，如图2所示，最终状态以细实线圆圈表示，所述最终状态为：

第一种类型：会话重用，新会话不可重用，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话，且协商的新会话不可被重用；

第二种类型：无会话重用，新会话启用会话ID机制，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话，且协商的新会话可以被重用，采用会话ID进行标识；

第三种类型：无会话重用，新会话启用会话ticket机制，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接不重用先前的会话，且协商的新会话可以被重用，采用会话ticket进行标识；

第四种类型：采用会话ID机制的会话重用，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ID的会话重用机制重用先前的会话；或

第五种类型：采用会话ticket机制的会话重用，表示所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接使用基于会话ticket的会话重用机制重用先前的会话。

由各中间状态向各最终状态转换的条件具体说明如下：

(6)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程。

(7)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述后续SSL/TLS握手消息为完整握手流程。

(8)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程。

(9)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID不同；所述后续SSL/TLS握手消息为完整握手流程。

(10)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID相同；所述后续SSL/TLS握手消息为会话重用的握手流程。

(11)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket。

(12)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket。

(13)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket。

(14)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket。

(15)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket。

(16)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket。

(17)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为会话重用的握手流程。

(18)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket。

(19)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID不同；所述后续SSL/TLS握手消息为完整握手流程；所述服务端未发送新会话的会话ticket。

(20)所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket。

(21)所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID相同；所述后续SSL/TLS握手消息为会话重用的握手流程。

需要补充说明的是，对于发生在各中间状态的、不符合条件(6)–(21)的事件，一律转换到一个系统错误状态。为简洁起见，图2中省略了这一特点。

步骤S104，所述数据采集系统根据所述最终状态处理后续SSL/TLS握手过程；通过最终状态，所述数据采集系统获取到客户端与服务端的会话重用状态；所述数据采集系统根据会话重用状态处理后续握手消息。

所述会话重用状态包括：所述客户端及服务端建立的两条SSL/TLS连接是否重用会话、所用会话采用何种会话标识，以及后续的握手消息组成。

本发明提供的网络保密数据明文采集系统SSL/TLS会话重用的支持方法，用于采用基于合法中间人原理的网络保密数据明文采集方法的数据采集系统，利用有限状态机对基于会话ID和基于会话ticket两种SSL/TLS会话重用机制提供支持，在客户端与服务端希望重用某一会话时，为数据采集系统与客户端及服务端建立的两条SSL/TLS连接均重用该会话，从而保证数据采集过程中客户端与服务端之间SSL/TLS会话重用机制的透明、有效执行。

基于上述方法，本申请提供了四个实施例，分别举例说明在所述数据采集系统即将与所述客户端及所述服务端建立的两条SSL/TLS连接无会话重用且新协商会话不支持会话ticket、无会话重用且新协商会话支持会话ticket、有基于会话ID的会话重用、有基于会话ticket的会话重用四种情景下，本申请提供的网络保密数据明文采集系统SSL/TLS会话重用的支持方法的具体实施方式。

本申请实施例一提供的SSL/TLS握手消息交互流程如图3所示。在来往的SSL/TLS握手消息中，不需所述数据采集系统修改的以细实线表示；需要所述数据采集系统修改的以虚线表示；本申请提供的网络保密数据明文采集系统SSL/TLS会话重用的支持方法所不关心的一系列握手消息以粗实线及“XX”表示。接收到所述客户端问候消息，所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且不包含会话ticket扩展项。状态转换为“客户端未提供任何会话标识”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息，所述数据采集系统识别出所述服务端问候消息中的会话ID不为空；所述服务端问候消息之后为服务端证书消息(Certificate)，因而所述后续SSL/TLS握手消息为完整握手流程。状态转换为“无会话重用，新会话启用会话ID机制”。所述数据采集系统随后按完整握手流程处理所述后续SSL/TLS握手消息，以会话ID标识并保存新协商会话。

本申请实施例二提供的SSL/TLS握手消息交互流程如图4所示。接收到所述客户端问候消息，所述数据采集系统识别出所述客户端问候消息中的会话ID为空，且包含空的会话ticket扩展项。状态转换为“客户端发空会话ticket扩展项”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息，所述数据采集系统识别出所述服务端问候消息中的会话ID为空；所述服务端问候消息之后为服务端证书消息，因而所述后续SSL/TLS握手消息为完整握手流程；所述服务端发送了新会话的会话ticket(NewSessionTicket)。状态转换为“无会话重用，新会话启用会话ticket机制”。所述数据采集系统随后按完整握手流程处理所述后续SSL/TLS握手消息，以会话ticket标识并保存新协商会话。

本申请实施例三提供的SSL/TLS握手消息交互流程如图5所示。接收到所述客户端问候消息，所述数据采集系统识别出所述客户端问候消息中的会话ID不为空，且不包含会话ticket扩展项。状态转换为“客户端提供会话ID”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息，所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID相同；所述服务端问候消息之后为改变加密说明消息(ChangeCipherSpec)，因而所述后续SSL/TLS握手消息为会话重用的握手流程。状态转换为“采用会话ID机制的会话重用”。所述数据采集系统随后按会话重用的握手流程处理所述后续SSL/TLS握手消息。

本申请实施例四提供的SSL/TLS握手消息交互流程如图6所示。接收到所述客户端问候消息，所述数据采集系统识别出所述客户端问候消息中的会话ID不为空，且包含非空的会话ticket扩展项。状态转换为“客户端提供会话ticket，有会话ID”。接收到所述服务端问候消息及所述后续SSL/TLS握手消息，所述数据采集系统识别出所述服务端问候消息中的会话ID不为空，且与所述客户端问候消息中的会话ID相同；所述服务端问候消息之后为新会话ticket消息，因而所述后续SSL/TLS握手消息为会话重用的握手流程。状态转换为“采用会话ticket机制的会话重用”。所述数据采集系统随后按会话重用的握手流程处理所述后续SSL/TLS握手消息。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的对象及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的实施例，仅用以说明本申请的技术方案而非对其限制，并且在应用上可以延伸到其他的修改、变化、应用和实施例，同时认为所有这样的修改、变化、应用、实施例都在本申请的范围内。