国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集方法及系統(tǒng)與流程

      文檔序號(hào):11930309閱讀:801來源:國(guó)知局
      一種SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集方法及系統(tǒng)與流程

      本發(fā)明涉及網(wǎng)絡(luò)安全通信領(lǐng)域,特別涉及一種SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集方法及系統(tǒng)。



      背景技術(shù):

      SSH協(xié)議為Secure Shell的縮寫,由IETF的網(wǎng)絡(luò)工作小組(Network Working Group)所制定;SSH為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議是目前可靠的、專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。SSH2是SSH協(xié)議的2.x版本,在RFC 4250~RFC 4254標(biāo)準(zhǔn)中有詳細(xì)的定義和描述,是目前實(shí)際采用的SSH版本。目前SSH已經(jīng)逐漸取代telnet等協(xié)議,成為遠(yuǎn)程登錄和傳輸代理的首選協(xié)議。

      然而SSH協(xié)議具有加密傳輸?shù)奶攸c(diǎn),網(wǎng)絡(luò)中的數(shù)據(jù)采集者無法直接對(duì)網(wǎng)絡(luò)上的SSH協(xié)議數(shù)據(jù)進(jìn)行采集分析,因此需要通過特定的采集方法將密文數(shù)據(jù)轉(zhuǎn)換為明文。申請(qǐng)?zhí)枮?01410637319.5、名稱為《安全外殼ssh2協(xié)議數(shù)據(jù)的采集方法和裝置》的中國(guó)專利申請(qǐng)?zhí)岢隽艘环NSSH協(xié)議的明文數(shù)據(jù)的采集方法。然而,SSH會(huì)話中可以包含多種類型的SSH通道,通道中可以封裝另一個(gè)SSH會(huì)話,這樣的嵌套是不限制次數(shù)的。前述專利申請(qǐng)?jiān)诖饲樾蜗轮荒懿杉阶钔鈱訒?huì)話中的少數(shù)明文數(shù)據(jù),而通道消息全部是密文,因此需要一種可以逐層剝離SSH通道,采集全部SSH數(shù)據(jù)的方法。



      技術(shù)實(shí)現(xiàn)要素:

      本發(fā)明的目的在于克服已有的明文數(shù)據(jù)采集方法只能采集到最外層會(huì)話中的少數(shù)明文數(shù)據(jù)的缺陷,從而提供一種能夠采集被封裝的明文數(shù)據(jù)的系統(tǒng)與方法。

      為了實(shí)現(xiàn)上述技術(shù)方案,本發(fā)明提供了一種SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集系統(tǒng),包括:

      SSH會(huì)話管理模塊、SSH安全封裝模塊、SSH通道處理模塊、SSH數(shù)據(jù)采集模塊;其中,

      SSH會(huì)話管理模塊用于接收和發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,并維護(hù)TCP/IP連接與SSH會(huì)話的關(guān)系數(shù)據(jù);

      SSH安全封裝模塊用于建立SSH會(huì)話,維護(hù)SSH密鑰信息;將輸入的數(shù)據(jù)解密解封裝得到明文SSH消息,或?qū)⒚魑腟SH消息封裝加密后輸出;

      SSH通道處理模塊用于識(shí)別SSH會(huì)話中的SSH通道,并根據(jù)通道類型判斷該通道中是否包含內(nèi)層SSH會(huì)話數(shù)據(jù),維護(hù)SSH會(huì)話數(shù)據(jù)與SSH通道的對(duì)應(yīng)關(guān)系;

      SSH數(shù)據(jù)采集模塊用于從明文SSH消息中提取和采集有用的數(shù)據(jù)。

      本發(fā)明還提供了基于所述的SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集系統(tǒng)所實(shí)現(xiàn)的明文數(shù)據(jù)采集方法,包括:

      步驟1)、將明文數(shù)據(jù)采集系統(tǒng)部署在客戶端與跳板機(jī)之間,明文數(shù)據(jù)采集系統(tǒng)介入SSH通道的建立,獲得并維護(hù)SSH會(huì)話的傳輸密鑰和屬性參數(shù);

      步驟2)、對(duì)SSH消息做通道剝離,每次剝離一層SSH通道,直到不再包含SSH通道為止;

      步驟3)、將每層SSH通道內(nèi)的明文數(shù)據(jù)交給審計(jì)數(shù)據(jù)采集,攔截非法消息;

      步驟4)、對(duì)SSH消息做通道重建,每次重建一層SSH通道,直到恢復(fù)到原先的通道層數(shù)為止。

      上述技術(shù)方案中,所述步驟2)進(jìn)一步包括:

      步驟2-1)、利用SSH會(huì)話的傳輸密鑰和屬性參數(shù)解密SSH消息;

      步驟2-2)、判斷當(dāng)前被解密的SSH消息是否為包含內(nèi)層SSH會(huì)話的通道消息,如果不是,則當(dāng)前被解密的SSH消息為最內(nèi)層SSH會(huì)話,執(zhí)行步驟3),如果是,執(zhí)行步驟2-3);

      步驟2-3)、去除通道封裝結(jié)構(gòu),取出數(shù)據(jù)載荷,得到內(nèi)層SSH會(huì)話,并獲取該層SSH會(huì)話的傳輸密鑰和屬性參數(shù),然后重新執(zhí)行步驟2-1)。

      上述技術(shù)方案中,在步驟3)中,攔截非法消息的手段包括:丟棄非法消息、替換非法消息、發(fā)出告警和斷開連接。

      上述技術(shù)方案中,所述步驟4)進(jìn)一步包括:

      步驟4-1)、根據(jù)當(dāng)前SSH消息所在的SSH會(huì)話,獲取傳輸密鑰和屬性參數(shù);

      步驟4-2)、利用SSH會(huì)話的傳輸密鑰和屬性參數(shù)加密SSH消息;

      步驟4-3)、判斷當(dāng)前被加密的SSH消息是否隸屬于外層會(huì)話的SSH通道,如果不是,則當(dāng)前被加密的SSH消息為最外層SSH會(huì)話,結(jié)束操作,如果是,執(zhí)行步驟4-4);

      步驟4-4)、把當(dāng)前被加密的SSH消息作為通道消息中的數(shù)據(jù)載荷,封裝成隸屬于外層SSH會(huì)話的新SSH消息,然后重新執(zhí)行步驟4-1)。

      上述技術(shù)方案中,所述多層為從0開始的任意正整數(shù)層。

      上述技術(shù)方案中,所述SSH通道為RFC 4254中的SSH Channel;所述SSH會(huì)話為RFC 4253中的SSH Connection。

      本發(fā)明的優(yōu)點(diǎn)在于:

      與傳統(tǒng)方法只能采集SSH會(huì)話中最外層的SSH明文數(shù)據(jù)相比,本發(fā)明的方法可以同時(shí)采集SSH會(huì)話中所封裝的所有SSH明文數(shù)據(jù)。

      附圖說明

      圖1是一種常見的利用SSH端口轉(zhuǎn)發(fā)特性的使用場(chǎng)景;

      圖2是本發(fā)明的SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集方法的流程圖;

      圖3是本發(fā)明的SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù)采集系統(tǒng)的結(jié)構(gòu)圖。

      具體實(shí)施方式

      現(xiàn)結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的描述。

      圖1展示了一種常見的利用SSH端口轉(zhuǎn)發(fā)特性的使用場(chǎng)景:客戶端需要與遠(yuǎn)程服務(wù)器建立連接;其中,客戶端與跳板機(jī)位于第一網(wǎng)段,跳板機(jī)與遠(yuǎn)程服務(wù)器位于第二網(wǎng)段,因此客戶端不能直接連接到遠(yuǎn)程服務(wù)器,需要借助跳板機(jī)。具體的說,客戶端借助SSH協(xié)議的端口轉(zhuǎn)發(fā)功能,與跳板機(jī)建立外層SSH會(huì)話連接,該連接中包含一條direct-tcpip通道,通道內(nèi)封裝了客戶端與遠(yuǎn)程服務(wù)器之間的內(nèi)存SSH會(huì)話連接。在此場(chǎng)景下,客戶端借助跳板機(jī)可以直接訪問遠(yuǎn)程服務(wù)器。

      針對(duì)這一場(chǎng)景,若需要采集SSH協(xié)議多層通道內(nèi)的明文數(shù)據(jù),可采用本發(fā)明的明文數(shù)據(jù)采集系統(tǒng)實(shí)現(xiàn)。參考圖3,該系統(tǒng)包括:SSH會(huì)話管理模塊、SSH安全封裝模塊、SSH通道處理模塊、SSH數(shù)據(jù)采集模塊;其中,

      SSH會(huì)話管理模塊用于接收和發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,并維護(hù)TCP/IP連接與SSH會(huì)話的關(guān)系數(shù)據(jù)。當(dāng)存在SSH會(huì)話嵌套的時(shí)候,內(nèi)層SSH會(huì)話對(duì)應(yīng)一條新的TCP/IP連接。

      SSH安全封裝模塊用于建立SSH會(huì)話,維護(hù)SSH密鑰信息。它既可以將輸入的數(shù)據(jù)解密解封裝得到明文SSH消息,也可以將明文SSH消息封裝加密后輸出。

      SSH通道處理模塊用于識(shí)別SSH會(huì)話中的SSH通道,并根據(jù)通道類型判斷該通 道中是否包含內(nèi)層SSH會(huì)話數(shù)據(jù),維護(hù)SSH會(huì)話數(shù)據(jù)與SSH通道的對(duì)應(yīng)關(guān)系。

      SSH數(shù)據(jù)采集模塊用于從明文SSH消息中提取和采集有用的數(shù)據(jù),比如用戶、口令、操作請(qǐng)求、文件數(shù)據(jù)等。

      在前述明文數(shù)據(jù)采集系統(tǒng)的基礎(chǔ)上,本發(fā)明的明文數(shù)據(jù)采集方法,參考圖2,包括以下步驟:

      步驟1)、將明文數(shù)據(jù)采集系統(tǒng)部署在客戶端與跳板機(jī)之間,明文數(shù)據(jù)采集系統(tǒng)介入SSH通道的建立,獲得并維護(hù)SSH會(huì)話的傳輸密鑰和屬性參數(shù)。

      步驟2)、對(duì)SSH消息做通道剝離,每次剝離一層SSH通道,直到不再包含SSH通道為止;具體的說,該步驟進(jìn)一步包括:

      步驟2-1)、利用SSH會(huì)話的傳輸密鑰和屬性參數(shù)解密SSH消息;

      步驟2-2)、判斷當(dāng)前被解密的SSH消息是否為包含內(nèi)層SSH會(huì)話的通道消息,如果不是,則當(dāng)前被解密的SSH消息為最內(nèi)層SSH會(huì)話,執(zhí)行步驟3),如果是,執(zhí)行步驟2-3);

      步驟2-3)、去除通道封裝結(jié)構(gòu),取出數(shù)據(jù)載荷,得到內(nèi)層SSH會(huì)話,并獲取該層SSH會(huì)話的傳輸密鑰和屬性參數(shù),然后重新執(zhí)行步驟2-1)。

      步驟3)、將每層SSH通道內(nèi)的明文數(shù)據(jù)交給審計(jì)數(shù)據(jù)采集,攔截非法消息。

      其中,攔截非法消息的手段包括:丟棄非法消息、替換非法消息、發(fā)出告警和斷開連接等。

      步驟4)、對(duì)SSH消息做通道重建,每次重建一層SSH通道,直到恢復(fù)到原先的通道層數(shù)為止。該步驟進(jìn)一步包括:

      步驟4-1)、根據(jù)當(dāng)前SSH消息所在的SSH會(huì)話,獲取傳輸密鑰和屬性參數(shù);

      步驟4-2)、利用SSH會(huì)話的傳輸密鑰和屬性參數(shù)加密SSH消息;

      步驟4-3)、判斷當(dāng)前被加密的SSH消息是否隸屬于外層會(huì)話的SSH通道,如果不是,則當(dāng)前被加密的SSH消息為最外層SSH會(huì)話,結(jié)束操作,如果是,執(zhí)行步驟4-4);

      步驟4-4)、把當(dāng)前被加密的SSH消息作為通道消息中的數(shù)據(jù)載荷,封裝成隸屬于外層SSH會(huì)話的新SSH消息,然后重新執(zhí)行步驟4-1)。

      本發(fā)明中所涉及的多層可以是從0開始的任意正整數(shù)層。

      本發(fā)明中所涉及的SSH通道為RFC 4254中的SSH Channel;SSH會(huì)話為RFC 4253中的SSH Connection。

      根據(jù)前述的明文數(shù)據(jù)采集方法,數(shù)據(jù)在本發(fā)明的明文數(shù)據(jù)采集系統(tǒng)中各個(gè)模塊的流動(dòng)方向如圖3中的箭頭所示,當(dāng)一個(gè)SSH消息中只有一個(gè)SSH會(huì)話,即通道的嵌套層數(shù)為0時(shí),數(shù)據(jù)流向?yàn)?>2>3>4>5>6>7>8;當(dāng)一個(gè)SSH消息中包括多個(gè)SSH會(huì)話,即通道的嵌套層數(shù)為N時(shí),數(shù)據(jù)流向?yàn)?>2>3>(9>10>2>3)*N>4>5>6>7>(11>12>6>7)*N>8。

      最后所應(yīng)說明的是,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制。盡管參照實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,都不脫離本發(fā)明技術(shù)方案的精神和范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。

      當(dāng)前第1頁(yè)1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1