国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種報文鏡像和加密傳輸方法

      文檔序號:7981458閱讀:228來源:國知局
      一種報文鏡像和加密傳輸方法
      【專利摘要】本申請公開了一種報文鏡像和加密傳輸方法,包括:串聯(lián)在網(wǎng)絡(luò)中的鏡像設(shè)備將需要的報文鏡像,并將鏡像報文利用隧道協(xié)議進行封裝;再利用所述鏡像設(shè)備中的專用硬件單元對封裝后的鏡像報文進行加密后傳輸?shù)胶笈_。應用本申請,能夠提高鏡像報文傳輸?shù)陌踩浴?br> 【專利說明】一種報文鏡像和加密傳輸方法
      【技術(shù)領(lǐng)域】
      [0001]本申請涉及網(wǎng)絡(luò)流量監(jiān)測技術(shù),特別涉及一種報文鏡像和加密傳輸方法。
      【背景技術(shù)】
      [0002]隨著寬帶業(yè)務(wù)高速發(fā)展,網(wǎng)絡(luò)流量監(jiān)測與控制的重要性日益突出,主要體現(xiàn)在:互聯(lián)網(wǎng)業(yè)務(wù)的復雜多樣性,必須通過網(wǎng)絡(luò)監(jiān)控了解IP承載網(wǎng)絡(luò)的流量和業(yè)務(wù)組成,并對這些流量和業(yè)務(wù)進行有效管理;P2P的普及應用,已經(jīng)取代傳統(tǒng)業(yè)務(wù)成為網(wǎng)絡(luò)帶寬資源的最大消耗者,未加管理的VOIP虛擬運營,劣化了原先的寬帶業(yè)務(wù),嚴重影響了運營商和電話業(yè)務(wù)使用者的利益,而通過網(wǎng)絡(luò)監(jiān)控能夠?qū)ζ溥M行有效限制;對于不規(guī)范的網(wǎng)絡(luò)共享接入,通過網(wǎng)絡(luò)監(jiān)控能夠防止寬帶網(wǎng)絡(luò)用戶流失,規(guī)范寬帶接入行為,增加業(yè)務(wù)收入;更重要的是,必須掌握客戶的網(wǎng)絡(luò)行為習慣,從而進行針對性的業(yè)務(wù)開發(fā)和營銷,通過分析網(wǎng)絡(luò)流量和用戶行為,針對網(wǎng)絡(luò)熱點和用戶興趣,基于分析結(jié)果作智能的WEB定向廣告推送,為個性化運營提供依據(jù),實現(xiàn)網(wǎng)絡(luò)增值。
      [0003]為了對網(wǎng)絡(luò)中流量進行監(jiān)控,利用并聯(lián)在網(wǎng)絡(luò)中的分流設(shè)備采用報文鏡像技術(shù)將所需要的報文(如用戶訪問WEB、Email等報文數(shù)據(jù))鏡像到監(jiān)控端口,然后傳輸給后臺,由后臺對鏡像報文進行分析和處理。
      [0004]而鏡像數(shù)據(jù)報文的傳輸是使用TCP/IP通信協(xié)議來完成的,TCP/IP協(xié)議是層次結(jié)構(gòu)的通信協(xié)議,用戶數(shù)據(jù)信息被劃分成一個個的數(shù)據(jù)分段,經(jīng)過各層協(xié)議時,添加上各層協(xié)議的控制信息,作為數(shù)據(jù)分段的頭部信息,這個頭部信息說明了各相應層通信的規(guī)則,數(shù)據(jù)分段經(jīng)各層封裝后最終形成物理數(shù)據(jù)幀,通過物理鏈路送到通信網(wǎng)絡(luò)上傳輸。物理數(shù)據(jù)幀經(jīng)過各路由節(jié)點時還原成IP數(shù)據(jù)分組的形式進行路由轉(zhuǎn)發(fā),這時的IP數(shù)據(jù)報文以明文方式存在,信息內(nèi)容極易泄露。
      [0005]為避免信息泄露,可以在IP協(xié)議層對數(shù)據(jù)報文分組采取一些安全保護措施,如:對IP數(shù)據(jù)報文分組不再以有意義的明文方式進行傳輸,對IP數(shù)據(jù)報文進行分組加密,以密文的方式在通信網(wǎng)絡(luò)中傳輸。
      [0006]現(xiàn)有的加密方式為:在網(wǎng)絡(luò)中設(shè)置服務(wù)器,分流設(shè)備將鏡像報文通過監(jiān)控端口傳輸給設(shè)置的服務(wù)器,在服務(wù)器主機上運行加密軟件,利用保存的密鑰對接收的鏡像報文進行加密,再將加密后的鏡像報文傳輸?shù)胶笈_進行分析和處理。
      [0007]這種加密方法中需要占用主機資源,其運算速度不如硬件快,并且,加密的密鑰以明文的方式存儲在加密軟件中,安全性較差;同時,在分流設(shè)備與服務(wù)器間傳輸?shù)溺R像報文仍然是明文形式,無法提高其安全性;進一步地,分流設(shè)備以并聯(lián)方式連接在網(wǎng)絡(luò)中,對于所需鏡像報文的分揀速度也比較慢。由此可見,目前的報文鏡像和加密傳輸方式,存在很多弊端。

      【發(fā)明內(nèi)容】

      [0008]本申請?zhí)峁┝艘环N報文鏡像和加密傳輸方法,能夠提高報文傳輸?shù)陌踩浴0009]—種報文鏡像和加密傳輸方法,包括:
      [0010]串聯(lián)在網(wǎng)絡(luò)中的鏡像設(shè)備將需要的報文鏡像,并將鏡像報文利用隧道協(xié)議進行封裝;再利用所述鏡像設(shè)備中的專用硬件單元對封裝后的鏡像報文進行加密后傳輸?shù)胶笈_。[0011 ] 較佳地,將用于所述加密的密鑰預先保存在所述專用硬件單元中。
      [0012]較佳地,該方法進一步包括:所述鏡像設(shè)備對所述鏡像報文進行標記后再執(zhí)行所述封裝的操作。
      [0013]較佳地,所述利用隧道協(xié)議進行封裝包括:將所述隧道協(xié)議的報頭放在鏡像報文的凈荷包和分發(fā)包之間。
      [0014]較佳地,所述隧道協(xié)議為通用路由封裝或L2TP協(xié)議。
      [0015]較佳地,所述對封裝后的鏡像報文進行加密包括:
      [0016]利用所述封裝后的鏡像報文的外部IP頭中預設(shè)的若干比特作為加密密鑰A ;
      [0017]將所述加密密鑰A與所述可編程邏輯器件保存的加密密鑰B進行異或運算,得到加密密鑰C ;
      [0018]所述可編程邏輯器件利用所述加密密鑰C對需要加密的數(shù)據(jù)進行加密。
      [0019]較佳地,所述需要加密的數(shù)據(jù)為:所述封裝后的鏡像報文中隧道協(xié)議的報頭和凈荷包。
      [0020]較佳地,所述加密密鑰C對需要加密的數(shù)據(jù)進行加密為:將需要加密的數(shù)據(jù)與所述加密密鑰C進行異或運算。
      [0021]較佳地,所述專用硬件單元為可編程邏輯器件。
      [0022]由上述技術(shù)方案可見,本申請中,串聯(lián)在網(wǎng)絡(luò)中的鏡像設(shè)備將需要的報文鏡像,并將鏡像報文利用隧道協(xié)議進行封裝;再利用專用硬件單元對封裝后的鏡像報文進行加密后傳輸?shù)胶笈_。通過上述本申請的方式,一方面報文鏡像和加密都在鏡像設(shè)備中完成,沒有明文形式的鏡像報文直接在網(wǎng)絡(luò)中傳輸,從而大大提高了鏡像報文的安全性;另一方面利用專用硬件單元以硬件方式實現(xiàn)加密,比軟件實現(xiàn)方式的加密速度快很多,并且耗費資源更少。
      【專利附圖】

      【附圖說明】
      [0023]圖1為本申請中報文鏡像和加密傳輸方法的基本流程圖;
      [0024]圖2為報文鏡像和加密傳輸系統(tǒng)的架構(gòu)圖;
      [0025]圖3為GRE封裝后的報文幀格式示意圖;
      [0026]圖4為加密流程示意圖。
      【具體實施方式】
      [0027]為了使本申請的目的、技術(shù)手段和優(yōu)點更加清楚明白,以下結(jié)合附圖對本申請做進一步詳細說明。
      [0028]本申請中在網(wǎng)絡(luò)中串聯(lián)一個鏡像設(shè)備,由該鏡像設(shè)備實現(xiàn)報文鏡像和加密,再傳輸給后臺進行分析和處理。
      [0029]圖1為本申請中報文鏡像和加密傳輸方法的基本流程圖。如圖1所示,該方法包括:[0030]步驟101,在網(wǎng)絡(luò)中串聯(lián)鏡像設(shè)備。
      [0031]將鏡像設(shè)備以串聯(lián)方式連接到網(wǎng)絡(luò)中,如圖2所示,在物理線路上插入鏡像設(shè)備,這種方式相對于相鄰的路由器而言,不影響鏈路的可靠傳輸。
      [0032]步驟102,鏡像設(shè)備將需要的報文進行鏡像。
      [0033]具體地,鏡像設(shè)備將出口和入口兩個方向的所有報文中需要參與網(wǎng)絡(luò)流量監(jiān)測的報文進行鏡像處理。由于鏡像設(shè)備串聯(lián)在網(wǎng)絡(luò)中,因此相對于【背景技術(shù)】中提到的并聯(lián)在網(wǎng)絡(luò)中的分流設(shè)備,鏡像設(shè)備對于所需報文的分揀速度能夠大大提高。
      [0034]步驟103,鏡像設(shè)備將鏡像報文進行封裝。
      [0035]具體封裝方式優(yōu)選利用隧道協(xié)議進行封裝,從而提高報文傳輸?shù)陌踩院涂煽啃浴S糜诜庋b的隧道協(xié)議可以是通用路由封裝(GRE)協(xié)議或L2TP等。下面以GRE協(xié)議封裝為例進行說明。圖3為GRE鏡像報文幀格式示意圖。其中,GRE報頭放在凈荷包(原始數(shù)據(jù)包格式)和分發(fā)包之間,報文中各個域的填寫都遵循RFC1701標準。
      [0036]另外,為方便后臺對于鏡像報文的分析,可以在封裝鏡像報文前,將鏡像報文進行標記,用以標識出鏡像報文的類型等信息。具體標記可以與現(xiàn)有方式相同,這里就不再贅述。
      [0037]步驟104,利用鏡像設(shè)備中的專用硬件單元對封裝后的鏡像報文進行加密。
      [0038]本申請中為提高鏡像報文的加密速度,采用硬件方式實現(xiàn)鏡像報文的加密處理。具體利用鏡像設(shè)備中的專用硬件單元來進行,該專用硬件單元可以是可編程邏輯器件(例如FPGA、CPLD等)或?qū)iT設(shè)計的硬件電路等。
      [0039]優(yōu)選地,為進一步提高加密處理和鏡像報文的安全性,可以將用于加密的密鑰保存在用于加密的專用硬件單元中,從而避免直接將密鑰以明文形式暴露。
      [0040]在進行加密時,本申請給出一種優(yōu)選的加密方式,具體處理如圖4所示:
      [0041]a、在外部IP包頭中取報頭中預設(shè)位置的16、32或64比特,作為加密密鑰A ;
      [0042]其中,密鑰A的具體位置是預先協(xié)商確定的。
      [0043]b、由專用硬件單元提供一個16、32或64比特的加密密鑰B ;
      [0044]其中,可以通過軟件對專用硬件單元中的密鑰B進行配置和更新,還可設(shè)置缺省值。
      [0045]C、用密鑰A同密鑰B做異或運算,得到新的加密密鑰C ;
      [0046]d、將需要加密的數(shù)據(jù)(例如,加密范圍可以包括GRE頭、內(nèi)層IP幀頭、IP包數(shù)據(jù))同新的加密密鑰C做異或運算,產(chǎn)生加密報文;
      [0047]其中,由于本方法中利用外層IP報頭中的部分比特作為密鑰,因此加密不對外層IP包頭進行。
      [0048]當然上述加密方式僅為一個示例,也可以根據(jù)需要采用其他的加密方式實現(xiàn)加
      r I I O
      [0049]步驟105,鏡像設(shè)備將加密后的鏡像報文發(fā)送給后臺進行分析處理。
      [0050]至此,本申請中的報文鏡像和加密傳輸方法流程結(jié)束。
      [0051]后臺接收到加密后的鏡像報文后,采用與加密方式對應的解密方法對加密后的鏡像報文進行解密,然后再進行分析處理。具體對應加密的解密處理,屬于本領(lǐng)域技術(shù)人員的常用技術(shù)手段,這里就不再贅述。[0052]同時,在上述處理中的加密密鑰可以由中心網(wǎng)管控制,中心網(wǎng)管可對鏡像設(shè)備中的專用硬件單元和鏡像報文分析系統(tǒng)中的加密密鑰進行同步、定期更新,以此來保證加密的安全性。
      [0053]由上述本申請的具體實現(xiàn)可見,本申請中,采用硬件加密,通過獨立于主機系統(tǒng)外的硬件加密設(shè)備實現(xiàn),所有關(guān)鍵數(shù)據(jù)的存儲、運算都在內(nèi)部通過硬件實現(xiàn),不占主機資源,速度快,安全性很高。同時,多數(shù)硬件的應用獨立與主機,在計算機環(huán)境下,若以軟件實現(xiàn),則需要在操作系統(tǒng)的深層安裝,這不大容易實現(xiàn),而采用硬件,能方便于用戶。進一步地,鏡像設(shè)備串聯(lián)在網(wǎng)絡(luò)中,對于所需鏡像的報文的分揀也極為有利。
      [0054]另外,優(yōu)選地,將密鑰數(shù)據(jù)保存在鏡像設(shè)備中,從而保證密鑰數(shù)據(jù)絕不以任何明文形式出現(xiàn)在鏡像設(shè)備之外,所有的密鑰明文都存儲于鏡像設(shè)備中,因此信息竊取者無法獲取密鑰明文。
      [0055]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應包含在本發(fā)明保護的范圍之內(nèi)。
      【權(quán)利要求】
      1.一種報文鏡像和加密傳輸方法,其特征在于,該方法包括: 串聯(lián)在網(wǎng)絡(luò)中的鏡像設(shè)備將需要的報文鏡像,并將鏡像報文利用隧道協(xié)議進行封裝;再利用所述鏡像設(shè)備中的專用硬件單元對封裝后的鏡像報文進行加密后傳輸?shù)胶笈_。
      2.根據(jù)權(quán)利要求1所述的方法,其特征在于,將用于所述加密的密鑰預先保存在所述專用硬件單元中。
      3.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法進一步包括:所述鏡像設(shè)備對所述鏡像報文進行標記后再執(zhí)行所述封裝的操作。
      4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述利用隧道協(xié)議進行封裝包括:將所述隧道協(xié)議的報頭放在鏡像報文的凈荷包和分發(fā)包之間。
      5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述隧道協(xié)議為通用路由封裝或L2TP協(xié)議。
      6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述對封裝后的鏡像報文進行加密包括: 利用所述封裝后的鏡像報文的外部IP頭中預設(shè)的若干比特作為加密密鑰A ; 將所述加密密鑰A與所述可編程邏輯器件保存的加密密鑰B進行異或運算,得到加密密鑰C; 所述可編程邏輯器件利用所述加密密鑰C對需要加密的數(shù)據(jù)進行加密。
      7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述需要加密的數(shù)據(jù)為:所述封裝后的鏡像報文中隧道協(xié)議的報頭和凈荷包。
      8.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述加密密鑰C對需要加密的數(shù)據(jù)進行加密為:將需要加密的數(shù)據(jù)與所述加密密鑰C進行異或運算。
      9.根據(jù)權(quán)利要求1到8中任一所述的方法,其特征在于,所述專用硬件單元為可編程邏輯器件。
      【文檔編號】H04L9/32GK103581034SQ201210265181
      【公開日】2014年2月12日 申請日期:2012年7月27日 優(yōu)先權(quán)日:2012年7月27日
      【發(fā)明者】于華, 陳勇, 陳陸穎, 劉芳 申請人:北京寬廣電信高技術(shù)發(fā)展有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1