CN105959953B - 一种安全业务的处理方法和装置 - Google Patents
一种安全业务的处理方法和装置 Download PDFInfo
- Publication number
- CN105959953B CN105959953B CN201510582260.9A CN201510582260A CN105959953B CN 105959953 B CN105959953 B CN 105959953B CN 201510582260 A CN201510582260 A CN 201510582260A CN 105959953 B CN105959953 B CN 105959953B
- Authority
- CN
- China
- Prior art keywords
- data message
- layer information
- tunnel
- internal layer
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/06—Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种安全业务的处理方法和装置,该方法包括:步骤A、安全审计设备对数据报文的隧道外层信息进行检查;当存在异常时,执行步骤B;当不存在异常时,执行步骤C;步骤B、获得隧道外层信息存在异常时的处理方式,如果所述处理方式为进行安全业务的处理,执行步骤C;步骤C、对所述数据报文的隧道内层信息进行检查;当存在异常时,执行步骤D;当不存在异常时,执行步骤E;步骤D、对所述数据报文进行预设处理,执行步骤E;步骤E、对所述数据报文进行安全业务的处理。通过本发明的技术方案,保护数据报文的安全性,有利于保护数据报文的正常交互,减少异常数据报文带来的审计错误,提高审计准确率。
Description
技术领域
本发明涉及安全管理领域,尤其涉及一种安全业务的处理方法和装置。
背景技术
WLAN(Wireless Local Area Networks,无线局域网络)作为宽带接入的重要技术手段之一,随着网络规模的不断扩大,WLAN的架构也在发生着改变,瘦AP(Access Point,接入点)和AC(Access Controller,接入控制器)的集中管理模式已经成为了WLAN的主流架构。进一步的,由于实际组网环境、AC和AP的部署情况的不同,需要要求安全审计设备部署在AC与AP之间,并能够识别出AC与AP之间传输的经过隧道技术封装的数据报文。
由于不同厂商对于数据报文的封装方式和隧道协议会存在差异,因此安全审计设备需要支持的封装方式和隧道协议也越来越多。以AC与AP之间使用CAPWAP(Control AndProvisioning of Wireless Access Points,无线接入点的控制和配置)隧道协议为例,按照RFC(Request For Comments,请求注解)标准,AC与AP之间传输的数据报文将使用图1所示的CAPWAP隧道协议报文格式。但是,并非所有厂商都是按照RFC标准来实现AC与AP之间的数据报文传输,如AC与AP之间传输的数据报文可能使用图2所示的CAPWAP隧道协议报文格式。在这种情况下,安全审计设备需要经过分析,才能够得到数据报文中的信息,继而对该数据报文进行审计。
如果数据报文的封装方式所采用的校验和不同,则安全审计设备会由于AC与AP之间传输的数据报文的校验和问题丢弃数据报文,而这种情况下数据报文不应该被丢弃,如图3所示,为校验和错误的数据报文的报文格式,这种数据报文会被安全审计设备丢弃。如果AC与AP之间传输的数据报文被分段,则安全审计设备不会识别出数据报文是分段的数据报文,在基于数据报文进行审计时,会丢弃数据报文,而这种情况下数据报文不应该被丢弃,如图4所示,为分段的数据报文,这种数据报文会被安全审计设备丢弃。
发明内容
本发明提供一种安全业务的处理方法,所述方法包括以下步骤:
步骤A、安全审计设备在接收到数据报文时,对所述数据报文的隧道外层信息进行检查;当检查结果为隧道外层信息存在异常时,则执行步骤B;当检查结果为隧道外层信息不存在异常时,则执行步骤C;
步骤B、所述安全审计设备获得隧道外层信息存在异常时的处理方式,如果所述处理方式为进行安全业务的处理,则执行步骤C;
步骤C、所述安全审计设备对所述数据报文的隧道内层信息进行检查;当检查结果为所述隧道内层信息存在异常时,则执行步骤D;当检查结果为所述隧道内层信息不存在异常时,则执行步骤E;
步骤D、所述安全审计设备对所述数据报文进行预设处理,执行步骤E;
步骤E、所述安全审计设备对所述数据报文进行安全业务的处理。
所述安全审计设备对所述数据报文的隧道外层信息进行检查的过程,具体包括:所述安全审计设备对所述数据报文的隧道外层信息的校验和进行检查;如果所述校验和发生错误,则确定检查结果为隧道外层信息存在异常,并禁止丢弃所述数据报文,并更新隧道外层信息发生异常的次数。
所述安全审计设备对所述数据报文的隧道内层信息进行检查的过程,具体包括:所述安全审计设备利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;如果是,则确定检查结果为所述隧道内层信息存在异常,并禁止丢弃所述数据报文,并更新隧道内层信息发生异常的次数;
其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文;当隧道内层信息中的内层IP数据报文总长度小于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文,并存在补全字段。
所述安全审计设备对所述数据报文进行预设处理的过程,具体包括:
当确定所述数据报文为分段的数据报文时,所述安全审计设备在缓存中记录每个分段的数据报文;所述安全审计设备对所述缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文;和/或,
当确定所述数据报文为分段的数据报文,且所述数据报文中存在补全字段时,所述安全审计设备记录补全字段的长度;所述长度用于使所述安全审计设备在转发数据报文之前,在数据报文中添加所述长度的补全字段。
所述步骤C之前还包括:
步骤F、所述安全审计设备根据预先配置的数据,解析所述数据报文的协议特征信息;如果所述协议特征信息解析成功,则执行所述步骤C。
本发明提供一种安全业务的处理装置,所述安全业务的处理装置应用在安全审计设备上,且所述安全业务的处理装置具体包括:
第一检查模块,用于在接收到数据报文时,对所述数据报文的隧道外层信息进行检查;当检查结果为隧道外层信息存在异常时,则通知获得模块处理,当检查结果为隧道外层信息不存在异常时,则通知第二检查模块处理;
获得模块,用于获得隧道外层信息存在异常时的处理方式,如果所述处理方式为进行安全业务的处理,则通知第二检查模块处理;
第二检查模块,用于对所述数据报文的隧道内层信息进行检查;当检查结果为所述隧道内层信息存在异常时,则通知第一处理模块处理;当检查结果为所述隧道内层信息不存在异常时,则通知第二处理模块处理;
第一处理模块,用于对数据报文进行预设处理,通知第二处理模块处理;
第二处理模块,用于对所述数据报文进行安全业务的处理。
所述第一检查模块,具体用于在对所述数据报文的隧道外层信息进行检查的过程中,对所述数据报文的隧道外层信息的校验和进行检查;如果所述校验和发生错误,则确定检查结果为隧道外层信息存在异常,并禁止丢弃所述数据报文,并更新隧道外层信息发生异常的次数。
所述第二检查模块,具体用于在对所述数据报文的隧道内层信息进行检查的过程中,利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;如果是,则确定检查结果为所述隧道内层信息存在异常,并禁止丢弃所述数据报文,并更新隧道内层信息发生异常的次数;
其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文;当隧道内层信息中的内层IP数据报文总长度小于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文,并存在补全字段。
所述第一处理模块,具体用于在对所述数据报文进行预设处理的过程中,当确定所述数据报文为分段的数据报文时,在缓存中记录每个分段的数据报文;对所述缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文;和/或,当确定所述数据报文为分段的数据报文,且所述数据报文中存在补全字段时,记录补全字段的长度;所述长度用于使所述安全审计设备在转发数据报文之前,在数据报文中添加所述长度的补全字段。
还包括:解析模块,用于在所述第二检查模块对所述数据报文的隧道内层信息进行检查之前,根据预先配置的数据,解析所述数据报文的协议特征信息;如果所述协议特征信息解析成功,则通知第二检查模块处理。
基于上述技术方案,本发明实施例中,提供一种数据报文的解析方式,在未知数据报文的隧道封装方式的情况下,通过对数据报文的隧道外层信息和隧道内层信息进行检查,能够审计出数据报文的异常信息,数据报文内容的完整性,并根据数据报文的异常信息,作相应的安全处理,保护数据报文的安全性,有利于保护数据报文的正常交互,减少异常数据报文带来的审计错误,提高审计准确率。进一步的,能够准确检查出数据报文的校验和是否发生错误,数据报文是否分段等信息,并在校验和发生错误和/或数据报文分段时,不对数据报文进行丢弃处理,从而提升数据报文的审计准备率。
附图说明
图1-图4是CAPWAP隧道协议的数据报文的示意图;
图5是一种在AP和AC之间传输的数据报文的格式示意图;
图6是本发明一种实施方式中的安全业务的处理方法的流程图;
图7是本发明另一种实施方式中的安全业务的处理方法的流程图;
图8是本发明另一种实施方式中的安全业务的处理方法的流程图;
图9是本发明一种实施方式中的安全审计设备的硬件结构图;
图10是本发明一种实施方式中的安全业务的处理装置的结构图。
具体实施方式
针对现有技术中存在的问题,本发明实施例中提出一种安全业务的处理方法,该方法可以应用于包括AC、AP和安全审计设备的系统中,且安全审计设备位于AC与AP之间。安全审计设备用于对AC与AP之间传输的经过隧道技术封装的数据报文进行安全业务的处理。其中,AC与AP可以采用隧道协议对数据报文进行封装,如采用CAPWAP隧道协议对数据报文进行封装。安全审计设备得到的都是经过隧道协议封装的数据报文,并对这种类型的数据报文进行安全业务的处理。如图5所示,为一种在AP和AC之间传输的数据报文的格式示意图,该数据报文包括隧道外层信息和隧道内层信息。
如图6所示,该安全业务的处理方法具体可以包括以下步骤:
步骤601,安全审计设备在接收到数据报文时,对该数据报文的隧道外层信息进行检查。当检查结果为隧道外层信息存在异常时,则执行步骤602;当检查结果为隧道外层信息不存在异常时,则执行步骤603。
本发明实施例中,安全审计设备对数据报文的隧道外层信息进行检查的过程,具体可以包括但不限于如下方式:安全审计设备对数据报文的隧道外层信息的校验和进行检查。如果校验和发生错误,则安全审计设备确定检查结果为隧道外层信息存在异常(即隧道外层信息的校验和存在异常),并禁止丢弃该数据报文,并更新隧道外层信息发生异常的次数。
其中,安全审计设备在对数据报文的隧道外层信息的校验和(其位于外层IP头中)进行检查时,如果数据报文的隧道外层信息的校验和与本安全审计设备解析数据报文时使用的校验和不同,则说明该数据报文的校验和发生错误;如果数据报文的隧道外层信息的校验和与本安全审计设备解析数据报文时使用的校验和相同,则说明该数据报文的校验和未发生错误。
其中,安全审计设备在确定隧道外层信息的校验和发生错误时,安全审计设备并不丢弃该数据报文,而是更新隧道外层信息发生异常的次数,如将隧道外层信息发生异常的次数加1。在后续过程中,网管人员可以基于安全审计设备上记录的隧道外层信息发生异常的次数,进行后续的维护与管理。
步骤602,安全审计设备获得隧道外层信息存在异常时的处理方式。如果该处理方式为进行安全业务的处理,则执行步骤603。
其中,在安全审计设备上可以预先配置隧道外层信息存在异常时的处理方式,该处理方式具体可以为进行安全业务的处理或者进行转发处理,进一步的,如果该处理方式为进行安全业务的处理,则执行步骤603。
步骤603,安全审计设备对数据报文的隧道内层信息进行检查。其中,当检查结果为隧道内层信息存在异常时,则安全审计设备执行步骤604;当检查结果为隧道内层信息不存在异常时,则安全审计设备执行步骤605。
本发明实施例中,安全审计设备对数据报文的隧道内层信息进行检查的过程,具体可以包括但不限于如下方式:安全审计设备利用数据报文的隧道内层信息检查数据报文是否为分段的数据报文。如果是,则安全审计设备确定检查结果为隧道内层信息存在异常,并禁止丢弃该数据报文,并更新隧道内层信息发生异常的次数。其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到数据报文末之间的长度时,确定数据报文为分段的数据报文;当隧道内层信息中的内层IP数据报文总长度小于内层IP头到数据报文末之间的长度时,确定数据报文为分段的数据报文,并存在补全字段。
其中,在利用数据报文的隧道内层信息检查数据报文是否为分段的数据报文时,首先,从隧道内层信息中得到内层IP数据报文总长度(其位于内层IP头中,是内层IP头的长度字段中携带的取值,表示完整的数据报文(不是分段后的数据报文)的内层IP数据报文的总长度),之后,获得内层IP头到数据报文末之间的长度(基于数据报文的实际长度确定)。进一步的,当内层IP数据报文总长度与内层IP头到数据报文末之间的长度相同时,则可以确定数据报文不是分段的数据报文。当内层IP数据报文总长度大于内层IP头到数据报文末之间的长度时,则可以确定数据报文为分段的数据报文。当内层IP数据报文总长度小于内层IP头到数据报文末之间的长度时,则可以确定数据报文为分段的数据报文,且该数据报文中存在补全字段。
其中,安全审计设备在确定隧道内层信息存在异常(即数据报文是分段的数据报文)时,则安全审计设备并不是丢弃该数据报文(即禁止丢弃该数据报文),而是更新隧道内层信息发生异常的次数,如将隧道内层信息发生异常的次数加1。在后续过程中,网管人员可以基于安全审计设备上记录的隧道内层信息发生异常的次数,进行后续的维护与管理。
步骤604,安全审计设备对数据报文进行预设处理,执行步骤605。
步骤605,安全审计设备对数据报文进行安全业务的处理。
本发明实施例中,安全审计设备对数据报文进行预设处理的过程,具体可以包括但不限于如下方式:当确定数据报文为分段的数据报文时,则安全审计设备在缓存中记录每个分段的数据报文;进一步的,安全审计设备对缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文。和/或,当确定数据报文为分段的数据报文,且数据报文中存在补全字段时,则安全审计设备记录补全字段的长度;其中,该补全字段的长度用于使安全审计设备在转发数据报文之前,在数据报文中添加该长度的补全字段。
其中,当确定数据报文为分段的数据报文时,则安全审计设备会在缓存中记录本安全审计设备收到的每个分段的数据报文。当缓存中记录的每个分段的数据报文已经能够组合成完整的数据报文时,即完整的数据报文被划分成的每个分段的数据报文均被存储到缓存中之后,则安全审计设备对缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文。在此情况下,进行安全业务的处理的数据报文是指该完整的数据报文。
其中,在确定数据报文为分段的数据报文,且该数据报文中存在补全字段时,则安全审计设备还会记录补全字段的长度。在此情况下,当安全审计设备对缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文,并利用完整的数据报文进行安全业务的处理之后,在需要转发该完整的数据报文时,则安全审计设备还需要将该完整的数据报文划分成多个分段的数据报文。而这多个分段的数据报文中的最后一个数据报文,需要使用补全字段对最后一个数据报文进行补全处理。此时,安全审计设备可以利用之前记录的补全字段的长度,在最后一个数据报文中添加该长度的补全字段。
本发明实施例中,在执行步骤603之前,安全审计设备还可以根据预先配置的数据,解析数据报文的协议特征信息;如果解析成功,则执行步骤603。
基于上述技术方案,本发明实施例中,提供一种数据报文的解析方式,在未知数据报文的隧道封装方式的情况下,通过对数据报文的隧道外层信息和隧道内层信息进行检查,能够审计出数据报文的异常信息,数据报文内容的完整性,并根据数据报文的异常信息,作相应的安全处理,保护数据报文的安全性,有利于保护数据报文的正常交互,减少异常数据报文带来的审计错误,提高审计准确率。进一步的,能够准确检查出数据报文的校验和是否发生错误,数据报文是否分段等信息,并在校验和发生错误和/或数据报文分段时,不对数据报文进行丢弃处理,从而提升数据报文的审计准备率。
针对本发明实施例中提出的安全业务的处理方法,在另一个例子中,如图7所示,该安全业务的处理方法具体可以包括以下步骤:
步骤701,安全审计设备在接收到数据报文时,判断本安全审计设备是否配置隧道报文解析;如果是,则执行步骤702;如果否,则执行步骤709。
其中,数据报文是AC与AP之间传输的经过隧道技术封装的数据报文。
其中,可以基于实际需要在安全审计设备上配置隧道报文解析或者不配置隧道报文解析,如果配置隧道报文解析,则执行本发明实施例的技术方案。
步骤702,安全审计设备检查数据报文的隧道外层信息是否存在异常。当存在异常时,则执行步骤703;当不存在异常时,则执行步骤704。
安全审计设备检查数据报文的隧道外层信息是否存在异常的过程,具体可以包括但不限于如下方式:安全审计设备对该数据报文的隧道外层信息的校验和进行检查。如果校验和发生错误,则安全审计设备确定检查结果为隧道外层信息存在异常(即隧道外层信息的校验和存在异常)。进一步的,安全审计设备禁止丢弃该数据报文,并更新隧道外层信息发生异常的次数。
其中,安全审计设备在对数据报文的隧道外层信息的校验和(其位于外层IP头中)进行检查时,如果数据报文的隧道外层信息的校验和与本安全审计设备解析数据报文时使用的校验和不同,则说明该数据报文的校验和发生错误;如果数据报文的隧道外层信息的校验和与本安全审计设备解析数据报文时使用的校验和相同,则说明该数据报文的校验和未发生错误。
其中,安全审计设备在确定隧道外层信息的校验和发生错误时,安全审计设备并不丢弃该数据报文,而是更新隧道外层信息发生异常的次数,如将隧道外层信息发生异常的次数加1。在后续过程中,网管人员可以基于安全审计设备上记录的隧道外层信息发生异常的次数,进行后续的维护与管理。
步骤703,安全审计设备获得隧道外层信息存在异常时的处理方式,该处理方式为进行安全业务的处理或者进行转发处理。如果处理方式为进行安全业务的处理,执行步骤704;如果处理方式为进行转发处理,执行步骤709。
其中,可以基于实际需要,在安全审计设备上配置隧道外层信息存在异常时的处理方式,该处理方式为进行安全业务的处理或者进行转发处理。
步骤704,安全审计设备根据预先配置的数据,解析数据报文的协议特征信息;如果解析成功,则执行步骤705;如果解析失败,则执行步骤709。
步骤705,安全审计设备检查数据报文的隧道内层信息是否存在异常。当存在异常时,则执行步骤706;当不存在异常时,则执行步骤708。
本发明实施例中,安全审计设备检查数据报文的隧道内层信息是否存在异常的过程,具体可以包括但不限于如下方式:安全审计设备利用数据报文的隧道内层信息检查数据报文是否为分段的数据报文。如果是,则安全审计设备确定检查结果为隧道内层信息存在异常,并禁止丢弃该数据报文,并更新隧道内层信息发生异常的次数。其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到数据报文末之间的长度时,则确定数据报文为分段的数据报文,且最后一段的数据报文不包含内层IP头,只包含剩下的数据段。当隧道内层信息中的内层IP数据报文总长度小于内层IP头到数据报文末之间的长度时,则确定数据报文为分段的数据报文,并存在补全字段。
其中,在利用数据报文的隧道内层信息检查数据报文是否为分段的数据报文时,首先,从隧道内层信息中得到内层IP数据报文总长度(其位于内层IP头中,是内层IP头的长度字段中携带的取值,表示完整的数据报文(不是分段后的数据报文)的内层IP数据报文的总长度),之后,获得内层IP头到数据报文末之间的长度(基于数据报文的实际长度确定)。进一步的,当内层IP数据报文总长度与内层IP头到数据报文末之间的长度相同时,则可以确定数据报文不是分段的数据报文。当内层IP数据报文总长度大于内层IP头到数据报文末之间的长度时,则可以确定数据报文为分段的数据报文。当内层IP数据报文总长度小于内层IP头到数据报文末之间的长度时,则可以确定数据报文为分段的数据报文,且该数据报文中存在补全字段。
其中,安全审计设备在确定隧道内层信息存在异常(即数据报文是分段的数据报文)时,则安全审计设备并不是丢弃该数据报文(即禁止丢弃该数据报文),而是更新隧道内层信息发生异常的次数,如将隧道内层信息发生异常的次数加1。在后续过程中,网管人员可以基于安全审计设备上记录的隧道内层信息发生异常的次数,进行后续的维护与管理。
步骤706,安全审计设备获得隧道内层信息存在异常时的处理方式,该处理方式为进行安全业务的处理或者进行转发处理。如果处理方式为进行安全业务的处理,执行步骤707;如果处理方式为进行转发处理,执行步骤709。
其中,可以基于实际需要,在安全审计设备上配置隧道内层信息存在异常时的处理方式,该处理方式为进行安全业务的处理或者进行转发处理。
步骤707,安全审计设备对数据报文进行预设处理,执行步骤708。
步骤708,安全审计设备对数据报文进行安全业务的处理。其中,安全审计设备利用数据报文的隧道内层信息建立会话,并进行安全业务的处理。
本发明实施例中,安全审计设备对数据报文进行预设处理的过程,具体可以包括但不限于如下方式:当确定数据报文为分段的数据报文时,则安全审计设备在缓存中记录每个分段的数据报文;进一步的,安全审计设备对缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文。和/或,当确定数据报文为分段的数据报文,且数据报文中存在补全字段时,则安全审计设备记录补全字段的长度;其中,该补全字段的长度用于使安全审计设备在转发数据报文之前,在数据报文中添加该长度的补全字段。
其中,当确定数据报文为分段的数据报文时,则安全审计设备会在缓存中记录本安全审计设备收到的每个分段的数据报文。当缓存中记录的每个分段的数据报文已经能够组合成完整的数据报文时,即完整的数据报文被划分成的每个分段的数据报文均被存储到缓存中之后,则安全审计设备对缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文。在此情况下,进行安全业务的处理的数据报文是指该完整的数据报文。
其中,在确定数据报文为分段的数据报文,且该数据报文中存在补全字段时,则安全审计设备还会记录补全字段的长度。在此情况下,当安全审计设备对缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文,并利用完整的数据报文进行安全业务的处理之后,在需要转发该完整的数据报文时,则安全审计设备还需要将该完整的数据报文划分成多个分段的数据报文。而这多个分段的数据报文中的最后一个数据报文,需要使用补全字段对最后一个数据报文进行补全处理。此时,安全审计设备可以利用之前记录的补全字段的长度,在最后一个数据报文中添加该长度的补全字段。
步骤709,安全审计设备直接转发数据报文。
基于上述技术方案,本发明实施例中,提供一种数据报文的解析方式,在未知数据报文的隧道封装方式的情况下,通过对数据报文的隧道外层信息和隧道内层信息进行检查,能够审计出数据报文的异常信息,数据报文内容的完整性,并根据数据报文的异常信息,作相应的安全处理,保护数据报文的安全性,有利于保护数据报文的正常交互,减少异常数据报文带来的审计错误,提高审计准确率。进一步的,能够准确检查出数据报文的校验和是否发生错误,数据报文是否分段等信息,并在校验和发生错误和/或数据报文分段时,不对数据报文进行丢弃处理,从而提升数据报文的审计准备率。
针对本发明实施例中提出的安全业务的处理方法,在另一个例子中,针对根据预先配置的数据,解析数据报文的协议特征信息的过程(即步骤704),如图8所示,该安全业务的处理方法具体可以包括以下步骤:
步骤801,安全审计设备从数据报文中,获得从隧道外层IP头部偏移到特定位置的报文长度,并判断该报文长度是否大于预先配置的偏移长度。如果是,则安全审计设备执行步骤802;如果否,则安全审计设备执行步骤805。
步骤802,安全审计设备从数据报文中获得特征值,并判断该特征值与预先配置的特征值是否相同,如果是,执行步骤803;如果否,执行步骤805。
步骤803,安全审计设备从数据报文中,获得从隧道外层IP头部开始,一直到隧道内层IP头部的报文长度,并判断该报文长度是否大于预先配置的偏移长度。如果是,则执行步骤804;如果否,则执行步骤805。
步骤804,安全审计设备确定数据报文的协议特征信息解析成功。
步骤805,安全审计设备确定数据报文的协议特征信息解析失败。
在上述流程中,在安全审计设备上预先配置的数据具体可以包括但不限于:用于匹配隧道协议的特征,例如,1、特征偏移(字节数):从隧道报文外层IP头部开始到协议特征字段的字节数。2、特征值:用于识别隧道协议的特征数据。3、特征长度(字节数):协议特征数据所占字节数。用于表征内层IP头部的起始位置:1、IP偏移位置:从隧道报文外层IP头部开始偏移的字节数。例如,特征偏移为20个字节,特征值为0x14081408(传输端口),特征长度为4个字节,内层IP头部的起始位置为52个字节。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种安全业务的处理装置,该安全业务的处理装置应用在安全审计设备上。该安全业务的处理装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的安全审计设备的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图9所示,为本发明提出的安全业务的处理装置所在的安全审计设备的一种硬件结构图,除了图9所示的处理器、网络接口、内存以及非易失性存储器外,安全审计设备还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该安全审计设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图10所示,为本发明提出的安全业务的处理装置的结构图,所述安全业务的处理装置应用在安全审计设备上,所述安全业务的处理装置具体包括:
第一检查模块11,用于在接收到数据报文时,对所述数据报文的隧道外层信息进行检查;当检查结果为隧道外层信息存在异常时,则通知获得模块处理,当检查结果为隧道外层信息不存在异常时,则通知第二检查模块处理;
获得模块12,用于获得隧道外层信息存在异常时的处理方式,如果所述处理方式为进行安全业务的处理,则通知第二检查模块处理;
第二检查模块13,用于对所述数据报文的隧道内层信息进行检查;当检查结果为所述隧道内层信息存在异常时,则通知第一处理模块处理;当检查结果为所述隧道内层信息不存在异常时,则通知第二处理模块处理;
第一处理模块14,用于对数据报文进行预设处理,通知第二处理模块处理;第二处理模块15,用于对所述数据报文进行安全业务的处理。
所述第一检查模块11,具体用于在对所述数据报文的隧道外层信息进行检查的过程中,对所述数据报文的隧道外层信息的校验和进行检查;如果所述校验和发生错误,则确定检查结果为隧道外层信息存在异常,并禁止丢弃所述数据报文,并更新隧道外层信息发生异常的次数。
所述第二检查模块13,具体用于在对所述数据报文的隧道内层信息进行检查的过程中,利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;如果是,则确定检查结果为所述隧道内层信息存在异常,并禁止丢弃所述数据报文,并更新隧道内层信息发生异常的次数;
其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文;当隧道内层信息中的内层IP数据报文总长度小于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文,并存在补全字段。
所述第一处理模块14,具体用于在对所述数据报文进行预设处理的过程中,当确定所述数据报文为分段的数据报文时,在缓存中记录每个分段的数据报文;对所述缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文;和/或,当确定所述数据报文为分段的数据报文,且所述数据报文中存在补全字段时,记录补全字段的长度;所述长度用于使所述安全审计设备在转发数据报文之前,在数据报文中添加所述长度的补全字段。
还包括:解析模块16,用于在所述第二检查模块对所述数据报文的隧道内层信息进行检查之前,根据预先配置的数据,解析所述数据报文的协议特征信息;如果所述协议特征信息解析成功,则通知第二检查模块处理。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种安全业务的处理方法,其特征在于,所述方法包括以下步骤:
步骤A、安全审计设备在接收到数据报文时,对所述数据报文的隧道外层信息的校验和进行检查;当检查结果为隧道外层信息存在异常时,则执行步骤B;当检查结果为隧道外层信息不存在异常时,则执行步骤C;
步骤B、所述安全审计设备获得隧道外层信息存在异常时的处理方式,如果所述处理方式为进行安全业务的处理,则执行步骤C;
步骤C、所述安全审计设备利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;当检查结果为所述隧道内层信息存在异常时,则执行步骤D;当检查结果为所述隧道内层信息不存在异常时,则执行步骤E;
步骤D、所述安全审计设备对所述数据报文进行预设处理,执行步骤E,其中,所述安全审计设备对所述数据报文进行预设处理,具体包括:当确定所述数据报文为分段的数据报文时,所述安全审计设备在缓存中记录每个分段的数据报文;所述安全审计设备对所述缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文;
步骤E、所述安全审计设备对所述数据报文进行安全业务的处理。
2.根据权利要求1所述的方法,其特征在于,所述安全审计设备对所述数据报文的隧道外层信息的校验和进行检查的过程,具体包括:
所述安全审计设备对所述数据报文的隧道外层信息的校验和进行检查;如果所述校验和发生错误,则确定检查结果为隧道外层信息存在异常,并禁止丢弃所述数据报文,并更新隧道外层信息发生异常的次数。
3.根据权利要求1所述的方法,其特征在于,所述安全审计设备利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文的过程,具体包括:
所述安全审计设备利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;如果是,则确定检查结果为所述隧道内层信息存在异常,并禁止丢弃所述数据报文,并更新隧道内层信息发生异常的次数;
其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文;当隧道内层信息中的内层IP数据报文总长度小于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文,并存在补全字段。
4.根据权利要求1或3所述的方法,其特征在于,所述安全审计设备对所述数据报文进行预设处理的过程,具体还包括:
当确定所述数据报文为分段的数据报文,且所述数据报文中存在补全字段时,所述安全审计设备在缓存中记录每个分段的数据报文;所述安全审计设备对所述缓存中记录的每个分段的数据报文进行组合处理,并且所述安全审计设备记录补全字段的长度;所述长度用于使所述安全审计设备在转发数据报文之前,在数据报文中添加所述长度的补全字段。
5.根据权利要求1所述的方法,其特征在于,所述步骤C之前还包括:
步骤F、所述安全审计设备根据预先配置的数据,解析所述数据报文的协议特征信息;如果所述协议特征信息解析成功,则执行所述步骤C。
6.一种安全业务的处理装置,其特征在于,所述安全业务的处理装置应用在安全审计设备上,且所述安全业务的处理装置具体包括:
第一检查模块,用于在接收到数据报文时,对所述数据报文的隧道外层信息的校验和进行检查;当检查结果为隧道外层信息存在异常时,则通知获得模块处理,当检查结果为隧道外层信息不存在异常时,则通知第二检查模块处理;
获得模块,用于获得隧道外层信息存在异常时的处理方式,如果所述处理方式为进行安全业务的处理,则通知第二检查模块处理;
第二检查模块,用于利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;当检查结果为所述隧道内层信息存在异常时,则通知第一处理模块处理;当检查结果为所述隧道内层信息不存在异常时,则通知第二处理模块处理;
第一处理模块,用于对数据报文进行预设处理,通知第二处理模块处理,其中,所述第一处理模块,具体用于在对所述数据报文进行预设处理的过程中,当确定所述数据报文为分段的数据报文时,在缓存中记录每个分段的数据报文;对所述缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文;
第二处理模块,用于对所述数据报文进行安全业务的处理。
7.根据权利要求6所述的装置,其特征在于,
所述第一检查模块,具体用于在对所述数据报文的隧道外层信息的校验和进行检查的过程中,对所述数据报文的隧道外层信息的校验和进行检查;如果所述校验和发生错误,则确定检查结果为隧道外层信息存在异常,并禁止丢弃所述数据报文,并更新隧道外层信息发生异常的次数。
8.根据权利要求6所述的装置,其特征在于,
所述第二检查模块,具体用于利用所述数据报文的隧道内层信息检查所述数据报文是否为分段的数据报文;如果是,则确定检查结果为所述隧道内层信息存在异常,并禁止丢弃所述数据报文,并更新隧道内层信息发生异常的次数;
其中,当隧道内层信息中的内层IP数据报文总长度大于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文;当隧道内层信息中的内层IP数据报文总长度小于内层IP头到所述数据报文末之间的长度时,确定所述数据报文为分段的数据报文,并存在补全字段。
9.根据权利要求6或8所述的装置,其特征在于,
所述第一处理模块,具体还用于在对所述数据报文进行预设处理的过程中,当确定所述数据报文为分段的数据报文,且所述数据报文中存在补全字段时,在缓存中记录每个分段的数据报文;对所述缓存中记录的每个分段的数据报文进行组合处理,以得到完整的数据报文,并且记录补全字段的长度;所述长度用于使所述安全审计设备在转发数据报文之前,在数据报文中添加所述长度的补全字段。
10.根据权利要求6所述的装置,其特征在于,还包括:
解析模块,用于在所述第二检查模块对所述数据报文的隧道内层信息进行检查之前,根据预先配置的数据,解析所述数据报文的协议特征信息;如果所述协议特征信息解析成功,则通知第二检查模块处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510582260.9A CN105959953B (zh) | 2015-09-14 | 2015-09-14 | 一种安全业务的处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510582260.9A CN105959953B (zh) | 2015-09-14 | 2015-09-14 | 一种安全业务的处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105959953A CN105959953A (zh) | 2016-09-21 |
CN105959953B true CN105959953B (zh) | 2019-07-09 |
Family
ID=56917024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510582260.9A Active CN105959953B (zh) | 2015-09-14 | 2015-09-14 | 一种安全业务的处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105959953B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105959953B (zh) * | 2015-09-14 | 2019-07-09 | 杭州迪普科技股份有限公司 | 一种安全业务的处理方法和装置 |
CN114760166B (zh) * | 2020-12-28 | 2023-05-26 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
CN114697160B (zh) * | 2020-12-28 | 2023-05-26 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572671A (zh) * | 2009-05-04 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 报文转发方法及转发设备和网络终端设备 |
CN101729361A (zh) * | 2008-10-22 | 2010-06-09 | 华为技术有限公司 | 报文处理的方法和装置 |
CN105959953A (zh) * | 2015-09-14 | 2016-09-21 | 杭州迪普科技有限公司 | 一种安全业务的处理方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8341702B2 (en) * | 2007-11-01 | 2012-12-25 | Bridgewater Systems Corp. | Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol |
-
2015
- 2015-09-14 CN CN201510582260.9A patent/CN105959953B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729361A (zh) * | 2008-10-22 | 2010-06-09 | 华为技术有限公司 | 报文处理的方法和装置 |
CN101572671A (zh) * | 2009-05-04 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 报文转发方法及转发设备和网络终端设备 |
CN105959953A (zh) * | 2015-09-14 | 2016-09-21 | 杭州迪普科技有限公司 | 一种安全业务的处理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105959953A (zh) | 2016-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10742532B2 (en) | Non-intrusive mechanism to measure network function packet processing delay | |
US7398386B2 (en) | Transparent IPSec processing inline between a framer and a network component | |
CN102291272B (zh) | 设备或网络的远程动态测试方法及装置 | |
US10897524B1 (en) | Integrated packet generator and checker | |
US10169133B2 (en) | Method, system, and apparatus for debugging networking malfunctions within network nodes | |
CN105959953B (zh) | 一种安全业务的处理方法和装置 | |
US20130133032A1 (en) | System and Method for Capturing Network Traffic | |
CN105743610B (zh) | 用于多网络分组操作的数据完整性的技术 | |
US10659571B1 (en) | Network device with integrated packet generators or packet checkers | |
CN110011973A (zh) | 工业控制网络访问规则构建方法及训练系统 | |
WO2017107328A1 (zh) | 一种自助终端设备硬件的安全通信方法和装置 | |
US9154458B2 (en) | Systems and methods for implementing moving target technology in legacy hardware | |
CN106878194A (zh) | 一种报文处理方法和装置 | |
CN106534129B (zh) | 接入控制方法及装置 | |
US20140133305A1 (en) | Test Packet Injection System | |
US11076025B1 (en) | Generating network packet centric signatures | |
US10382590B2 (en) | Emulating FICON over IP | |
CN106506515A (zh) | 一种认证方法和装置 | |
CN108055166B (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
CN109783316A (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
US11818141B2 (en) | Path validation checks for proof of security | |
CN110941862A (zh) | 一种基于fpga+arm的数据隔离系统 | |
EP1654651B1 (en) | Method and apparatus for providing tandem connection, performance monitoring, and protection architectures over ethernet protocols | |
CN105939304A (zh) | 一种隧道报文解析方法及装置 | |
CN106209456B (zh) | 一种内核态下网络故障检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |