CN103581034A - 一种报文镜像和加密传输方法 - Google Patents
一种报文镜像和加密传输方法 Download PDFInfo
- Publication number
- CN103581034A CN103581034A CN201210265181.1A CN201210265181A CN103581034A CN 103581034 A CN103581034 A CN 103581034A CN 201210265181 A CN201210265181 A CN 201210265181A CN 103581034 A CN103581034 A CN 103581034A
- Authority
- CN
- China
- Prior art keywords
- message
- mirror image
- encrypted
- image message
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种报文镜像和加密传输方法,包括:串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台。应用本申请,能够提高镜像报文传输的安全性。
Description
技术领域
本申请涉及网络流量监测技术,特别涉及一种报文镜像和加密传输方法。
背景技术
随着宽带业务高速发展,网络流量监测与控制的重要性日益突出,主要体现在:互联网业务的复杂多样性,必须通过网络监控了解IP承载网络的流量和业务组成,并对这些流量和业务进行有效管理;P2P的普及应用,已经取代传统业务成为网络带宽资源的最大消耗者,未加管理的VOIP虚拟运营,劣化了原先的宽带业务,严重影响了运营商和电话业务使用者的利益,而通过网络监控能够对其进行有效限制;对于不规范的网络共享接入,通过网络监控能够防止宽带网络用户流失,规范宽带接入行为,增加业务收入;更重要的是,必须掌握客户的网络行为习惯,从而进行针对性的业务开发和营销,通过分析网络流量和用户行为,针对网络热点和用户兴趣,基于分析结果作智能的WEB定向广告推送,为个性化运营提供依据,实现网络增值。
为了对网络中流量进行监控,利用并联在网络中的分流设备采用报文镜像技术将所需要的报文(如用户访问WEB、Email等报文数据)镜像到监控端口,然后传输给后台,由后台对镜像报文进行分析和处理。
而镜像数据报文的传输是使用TCP/IP通信协议来完成的,TCP/IP协议是层次结构的通信协议,用户数据信息被划分成一个个的数据分段,经过各层协议时,添加上各层协议的控制信息,作为数据分段的头部信息,这个头部信息说明了各相应层通信的规则,数据分段经各层封装后最终形成物理数据帧,通过物理链路送到通信网络上传输。物理数据帧经过各路由节点时还原成IP数据分组的形式进行路由转发,这时的IP数据报文以明文方式存在,信息内容极易泄露。
为避免信息泄露,可以在IP协议层对数据报文分组采取一些安全保护措施,如:对IP数据报文分组不再以有意义的明文方式进行传输,对IP数据报文进行分组加密,以密文的方式在通信网络中传输。
现有的加密方式为:在网络中设置服务器,分流设备将镜像报文通过监控端口传输给设置的服务器,在服务器主机上运行加密软件,利用保存的密钥对接收的镜像报文进行加密,再将加密后的镜像报文传输到后台进行分析和处理。
这种加密方法中需要占用主机资源,其运算速度不如硬件快,并且,加密的密钥以明文的方式存储在加密软件中,安全性较差;同时,在分流设备与服务器间传输的镜像报文仍然是明文形式,无法提高其安全性;进一步地,分流设备以并联方式连接在网络中,对于所需镜像报文的分拣速度也比较慢。由此可见,目前的报文镜像和加密传输方式,存在很多弊端。
发明内容
本申请提供了一种报文镜像和加密传输方法,能够提高报文传输的安全性。
一种报文镜像和加密传输方法,包括:
串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台。
较佳地,将用于所述加密的密钥预先保存在所述专用硬件单元中。
较佳地,该方法进一步包括:所述镜像设备对所述镜像报文进行标记后再执行所述封装的操作。
较佳地,所述利用隧道协议进行封装包括:将所述隧道协议的报头放在镜像报文的净荷包和分发包之间。
较佳地,所述隧道协议为通用路由封装或L2TP协议。
较佳地,所述对封装后的镜像报文进行加密包括:
利用所述封装后的镜像报文的外部IP头中预设的若干比特作为加密密钥A;
将所述加密密钥A与所述可编程逻辑器件保存的加密密钥B进行异或运算,得到加密密钥C;
所述可编程逻辑器件利用所述加密密钥C对需要加密的数据进行加密。
较佳地,所述需要加密的数据为:所述封装后的镜像报文中隧道协议的报头和净荷包。
较佳地,所述加密密钥C对需要加密的数据进行加密为:将需要加密的数据与所述加密密钥C进行异或运算。
较佳地,所述专用硬件单元为可编程逻辑器件。
由上述技术方案可见,本申请中,串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用专用硬件单元对封装后的镜像报文进行加密后传输到后台。通过上述本申请的方式,一方面报文镜像和加密都在镜像设备中完成,没有明文形式的镜像报文直接在网络中传输,从而大大提高了镜像报文的安全性;另一方面利用专用硬件单元以硬件方式实现加密,比软件实现方式的加密速度快很多,并且耗费资源更少。
附图说明
图1为本申请中报文镜像和加密传输方法的基本流程图;
图2为报文镜像和加密传输系统的架构图;
图3为GRE封装后的报文帧格式示意图;
图4为加密流程示意图。
具体实施方式
为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。
本申请中在网络中串联一个镜像设备,由该镜像设备实现报文镜像和加密,再传输给后台进行分析和处理。
图1为本申请中报文镜像和加密传输方法的基本流程图。如图1所示,该方法包括:
步骤101,在网络中串联镜像设备。
将镜像设备以串联方式连接到网络中,如图2所示,在物理线路上插入镜像设备,这种方式相对于相邻的路由器而言,不影响链路的可靠传输。
步骤102,镜像设备将需要的报文进行镜像。
具体地,镜像设备将出口和入口两个方向的所有报文中需要参与网络流量监测的报文进行镜像处理。由于镜像设备串联在网络中,因此相对于背景技术中提到的并联在网络中的分流设备,镜像设备对于所需报文的分拣速度能够大大提高。
步骤103,镜像设备将镜像报文进行封装。
具体封装方式优选利用隧道协议进行封装,从而提高报文传输的安全性和可靠性。用于封装的隧道协议可以是通用路由封装(GRE)协议或L2TP等。下面以GRE协议封装为例进行说明。图3为GRE镜像报文帧格式示意图。其中,GRE报头放在净荷包(原始数据包格式)和分发包之间,报文中各个域的填写都遵循RFC1701标准。
另外,为方便后台对于镜像报文的分析,可以在封装镜像报文前,将镜像报文进行标记,用以标识出镜像报文的类型等信息。具体标记可以与现有方式相同,这里就不再赘述。
步骤104,利用镜像设备中的专用硬件单元对封装后的镜像报文进行加密。
本申请中为提高镜像报文的加密速度,采用硬件方式实现镜像报文的加密处理。具体利用镜像设备中的专用硬件单元来进行,该专用硬件单元可以是可编程逻辑器件(例如FPGA、CPLD等)或专门设计的硬件电路等。
优选地,为进一步提高加密处理和镜像报文的安全性,可以将用于加密的密钥保存在用于加密的专用硬件单元中,从而避免直接将密钥以明文形式暴露。
在进行加密时,本申请给出一种优选的加密方式,具体处理如图4所示:
a、在外部IP包头中取报头中预设位置的16、32或64比特,作为加密密钥A;
其中,密钥A的具体位置是预先协商确定的。
b、由专用硬件单元提供一个16、32或64比特的加密密钥B;
其中,可以通过软件对专用硬件单元中的密钥B进行配置和更新,还可设置缺省值。
c、用密钥A同密钥B做异或运算,得到新的加密密钥C;
d、将需要加密的数据(例如,加密范围可以包括GRE头、内层IP帧头、IP包数据)同新的加密密钥C做异或运算,产生加密报文;
其中,由于本方法中利用外层IP报头中的部分比特作为密钥,因此加密不对外层IP包头进行。
当然上述加密方式仅为一个示例,也可以根据需要采用其他的加密方式实现加密。
步骤105,镜像设备将加密后的镜像报文发送给后台进行分析处理。
至此,本申请中的报文镜像和加密传输方法流程结束。
后台接收到加密后的镜像报文后,采用与加密方式对应的解密方法对加密后的镜像报文进行解密,然后再进行分析处理。具体对应加密的解密处理,属于本领域技术人员的常用技术手段,这里就不再赘述。
同时,在上述处理中的加密密钥可以由中心网管控制,中心网管可对镜像设备中的专用硬件单元和镜像报文分析系统中的加密密钥进行同步、定期更新,以此来保证加密的安全性。
由上述本申请的具体实现可见,本申请中,采用硬件加密,通过独立于主机系统外的硬件加密设备实现,所有关键数据的存储、运算都在内部通过硬件实现,不占主机资源,速度快,安全性很高。同时,多数硬件的应用独立与主机,在计算机环境下,若以软件实现,则需要在操作系统的深层安装,这不大容易实现,而采用硬件,能方便于用户。进一步地,镜像设备串联在网络中,对于所需镜像的报文的分拣也极为有利。
另外,优选地,将密钥数据保存在镜像设备中,从而保证密钥数据绝不以任何明文形式出现在镜像设备之外,所有的密钥明文都存储于镜像设备中,因此信息窃取者无法获取密钥明文。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种报文镜像和加密传输方法,其特征在于,该方法包括:
串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台。
2.根据权利要求1所述的方法,其特征在于,将用于所述加密的密钥预先保存在所述专用硬件单元中。
3.根据权利要求1所述的方法,其特征在于,该方法进一步包括:所述镜像设备对所述镜像报文进行标记后再执行所述封装的操作。
4.根据权利要求1所述的方法,其特征在于,所述利用隧道协议进行封装包括:将所述隧道协议的报头放在镜像报文的净荷包和分发包之间。
5.根据权利要求4所述的方法,其特征在于,所述隧道协议为通用路由封装或L2TP协议。
6.根据权利要求1所述的方法,其特征在于,所述对封装后的镜像报文进行加密包括:
利用所述封装后的镜像报文的外部IP头中预设的若干比特作为加密密钥A;
将所述加密密钥A与所述可编程逻辑器件保存的加密密钥B进行异或运算,得到加密密钥C;
所述可编程逻辑器件利用所述加密密钥C对需要加密的数据进行加密。
7.根据权利要求6所述的方法,其特征在于,所述需要加密的数据为:所述封装后的镜像报文中隧道协议的报头和净荷包。
8.根据权利要求6所述的方法,其特征在于,所述加密密钥C对需要加密的数据进行加密为:将需要加密的数据与所述加密密钥C进行异或运算。
9.根据权利要求1到8中任一所述的方法,其特征在于,所述专用硬件单元为可编程逻辑器件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210265181.1A CN103581034B (zh) | 2012-07-27 | 2012-07-27 | 一种报文镜像和加密传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210265181.1A CN103581034B (zh) | 2012-07-27 | 2012-07-27 | 一种报文镜像和加密传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103581034A true CN103581034A (zh) | 2014-02-12 |
| CN103581034B CN103581034B (zh) | 2017-02-22 |
Family
ID=50051996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210265181.1A Active CN103581034B (zh) | 2012-07-27 | 2012-07-27 | 一种报文镜像和加密传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103581034B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657121A (zh) * | 2016-12-30 | 2017-05-10 | 盛科网络(苏州)有限公司 | 镜像802.1ae明文和密文的方法及交换芯片 |
| CN110784375A (zh) * | 2019-10-24 | 2020-02-11 | 新华三信息安全技术有限公司 | 网络数据监控方法、装置、电子设备及存储介质 |
| CN111107087A (zh) * | 2019-12-19 | 2020-05-05 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1523832A (zh) * | 2003-02-20 | 2004-08-25 | 华为技术有限公司 | 网络设备的非广播类型端口中的报文镜像方法 |
| US20070056028A1 (en) * | 2005-08-19 | 2007-03-08 | Cpacket Networks Inc. | Apparatus and method for selective mirroring |
| CN101035033A (zh) * | 2007-04-04 | 2007-09-12 | 杭州华为三康技术有限公司 | 支持远程报文镜像的报文镜像方法和网络设备 |
| CN101056222A (zh) * | 2007-05-17 | 2007-10-17 | 华为技术有限公司 | 一种深度报文检测方法、网络设备及系统 |
| CN101562810A (zh) * | 2009-05-13 | 2009-10-21 | 中兴通讯股份有限公司 | Ip多媒体子系统网络合法监听的方法及系统 |
| CN102014024A (zh) * | 2010-12-03 | 2011-04-13 | 福建星网锐捷网络有限公司 | 直连链路网络侦听检测方法、系统、装置及网络设备 |
-
2012
- 2012-07-27 CN CN201210265181.1A patent/CN103581034B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1523832A (zh) * | 2003-02-20 | 2004-08-25 | 华为技术有限公司 | 网络设备的非广播类型端口中的报文镜像方法 |
| US20070056028A1 (en) * | 2005-08-19 | 2007-03-08 | Cpacket Networks Inc. | Apparatus and method for selective mirroring |
| CN101035033A (zh) * | 2007-04-04 | 2007-09-12 | 杭州华为三康技术有限公司 | 支持远程报文镜像的报文镜像方法和网络设备 |
| CN101056222A (zh) * | 2007-05-17 | 2007-10-17 | 华为技术有限公司 | 一种深度报文检测方法、网络设备及系统 |
| CN101562810A (zh) * | 2009-05-13 | 2009-10-21 | 中兴通讯股份有限公司 | Ip多媒体子系统网络合法监听的方法及系统 |
| CN102014024A (zh) * | 2010-12-03 | 2011-04-13 | 福建星网锐捷网络有限公司 | 直连链路网络侦听检测方法、系统、装置及网络设备 |
Non-Patent Citations (1)
| Title |
|---|
| 田野等: ""一种AES_CCM128bit硬件加密器的优化设计"", 《齐齐哈尔大学学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657121A (zh) * | 2016-12-30 | 2017-05-10 | 盛科网络(苏州)有限公司 | 镜像802.1ae明文和密文的方法及交换芯片 |
| CN106657121B (zh) * | 2016-12-30 | 2019-10-08 | 盛科网络(苏州)有限公司 | 镜像802.1ae明文和密文的方法及交换芯片 |
| CN110784375A (zh) * | 2019-10-24 | 2020-02-11 | 新华三信息安全技术有限公司 | 网络数据监控方法、装置、电子设备及存储介质 |
| CN110784375B (zh) * | 2019-10-24 | 2021-10-12 | 新华三信息安全技术有限公司 | 网络数据监控方法、装置、电子设备及存储介质 |
| CN111107087A (zh) * | 2019-12-19 | 2020-05-05 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN111107087B (zh) * | 2019-12-19 | 2022-03-25 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103581034B (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1879435B (zh) | 用于无线台站的内联加密和解密的方法和装置 | |
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| CN105577364B (zh) | 一种加密方法、解密方法和相关装置 | |
| US7548532B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| US9369550B2 (en) | Protocol for layer two multiple network links tunnelling | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| CN104272674A (zh) | 多隧道虚拟专用网络 | |
| CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
| CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
| CN102300210A (zh) | Lte非接入层密文解密方法及其信令监测装置 | |
| CN112291200B (zh) | 一种边缘计算app可信接入物联边缘代理的方法及系统 | |
| WO2018214701A1 (zh) | 一种数据报文发送方法、网络设备、控制设备及网络系统 | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| CN103581034A (zh) | 一种报文镜像和加密传输方法 | |
| CN111885430B (zh) | 一种基于以太帧的带内遥测方法及带内遥测系统 | |
| WO2020228130A1 (zh) | 通信设备的网管服务器与网元的通信方法及系统 | |
| CN106385423A (zh) | 一种数据加密传输方法及系统 | |
| CN113039765A (zh) | 用于网络功能之间的安全消息收发的方法和装置 | |
| CN115865845A (zh) | 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法 | |
| CN107454116A (zh) | 单隧道模式下IPsec ESP协议的优化方法及装置 | |
| CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 | |
| CN101009597A (zh) | 细分用户上网类型的方法及网络系统 | |
| CN108809888A (zh) | 一种基于安全模块的安全网络构建方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100142, No. 45 north depression road, Beijing, Haidian District Patentee after: HAOHAN DATA TECHNOLOGY CO.,LTD. Address before: 100036, No. 45 north depression road, Beijing, Haidian District Patentee before: BEIJING KUANGUANG TELECOM HIGH-TECH DEVELOPMENT Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 218, 2nd Floor, Building A, No. 119 West Fourth Ring North Road, Haidian District, Beijing, 100000 Patentee after: HAOHAN DATA TECHNOLOGY CO.,LTD. Address before: No. 45 Beiwa Road, Haidian District, Beijing, 100142 Patentee before: HAOHAN DATA TECHNOLOGY CO.,LTD. |
|
| CP02 | Change in the address of a patent holder |