CN106254355A - 一种网络协议数据包的安全处理方法和系统 - Google Patents
一种网络协议数据包的安全处理方法和系统 Download PDFInfo
- Publication number
- CN106254355A CN106254355A CN201610648971.6A CN201610648971A CN106254355A CN 106254355 A CN106254355 A CN 106254355A CN 201610648971 A CN201610648971 A CN 201610648971A CN 106254355 A CN106254355 A CN 106254355A
- Authority
- CN
- China
- Prior art keywords
- protocol data
- data bag
- internet protocol
- keyword
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明公开了一种网络协议数据包的安全处理方法,包括:从客户端接收网络协议数据包P1,对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端。本发明通过将数据包安全地转发到远程服务器,可以抵御不同层次的网络攻击,从而加强了数据包传输的安全性;此外,本发明还能够区分不同类型的数据包,验证签名消息的完整性,并确认发送者的身份,从而防止交易中的抵赖情况发生。
Description
技术领域
本发明属于信息安全技术领域和互联网通信领域,更具体地,涉及一种网络协议数据包的安全处理方法和系统。
背景技术
随着信息化程度的不断提高,各政府部门或企事业单位都已经在互联网上部署了大量的业务系统,并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来,这些业务数据是政府部门或企事业单位的重要数字资产,信息化建设过程中需要保证其机密性、真实性、完整性和不可否认性。
在这些业务数据中,出于安全上的考虑,往往其不能被直接发送给远程服务器,它们需要互联网关设备进行相应的安全处理后,才能被最终发送到远程服务器,并被远程服务器接收、处理和响应。同时,有的发送者为了有效证明客户端发送的签名消息或者验证签名信息的真实性,需要在互联网关设备上进行签名或者验证签名操作,以此来确定消息确实是由发送方签名并发出来的,以此确定消息的完整性。
然而,现有的互联网关设备存在几个方面的技术问题:第一、其只进行了数据包的明文转发,没有加密操作,业务数据容易被泄漏;第二、所有的数据包统一处理,没有区分类型,也不能对签名消息的完整性进行验证。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种网络协议数据包的安全处理方法和系统,其目的在于,通过将数据包安全地转发到远程服务器,可以抵御不同层次的网络攻击,从而加强了数据包传输的安全性;此外,本发明还能够区分不同类型的数据包,验证签名消息的完整性,并确认发送者的身份,从而防止交易中的抵赖情况发生。
为实现上述目的,按照本发明的一个方面,提供了一种网络协议数据包的安全处理方法,是应用在互联网关设备中,所述互联网关设备分别与客户端和远程服务器通信连接,所述方法包括以下步骤:
(1)从客户端接收网络协议数据包P1;
(2)对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则进入步骤(4),否则进入步骤(3);
(3)根据SSL或TLS协议对网络协议数据包P1进行处理,以生成处理后的网络协议数据包S1,并将网络协议数据包S1发送到远程服务器,过程结束;
(4)判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则进入步骤(5),如果没有,则进入步骤(6);
(5)根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端,过程结束;
(6)根据SSL或TLS协议对网络协议数据包P1进行处理,然后将处理后的网络协议数据包S2发送到远程服务器,过程结束。
优选地,预先约定的关键字类型包括用于签名操作的关键字,以及用于验证签名操作的关键字。
优选地,步骤(5)具体为,如果关键字是用于签名操作的关键字,则本步骤对包体中的内容进行签名操作,如果关键字是用于验证签名操作的关键字,则本步骤对包体中的内容进行验证签名操作。
优选地,根据SSL或TLS协议对网络协议数据包进行处理具体为,按照SSL或TLS协议操作流程,对网络协议数据包P1进行分段、压缩、增加MAC信息、加密、以及增加SSL或TLS记录处理。
优选地,在步骤(3)和步骤(6)中,加密时使用的加密算法是对称加密算法。
优选地,步骤(5)的签名操作和验证签名操作时采用的加密算法是非对称加密算法。
按照本发明的另一方面,提供了一种网络协议数据包的安全处理系统,是应用在互联网关设备中,所述互联网关设备分别与客户端和远程服务器通信连接,所述系统包括:
第一模块,用于从客户端接收网络协议数据包P1;
第二模块,用于对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则进入第四模块,否则进入第三模块;
第三模块,用于根据SSL或TLS协议对网络协议数据包P1进行处理,以生成处理后的网络协议数据包S1,并将网络协议数据包S1发送到远程服务器,过程结束;
第四模块,用于判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则进入第五模块,如果没有,则进入第六模块;
第五模块,用于根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端,过程结束;
第六模块,用于根据SSL或TLS协议对网络协议数据包P1进行处理,然后将处理后的网络协议数据包S2发送到远程服务器,过程结束。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
1、通过将网络协议数据包安全地转发到远程服务器,可以抵御不同层次的网络攻击,从而加强了网络协议数据包传输的安全性,并克服了现有方法中存在的业务数据容易被泄漏的技术问题;
2、本发明能够区分不同类型的网络协议数据包(即将自定义格式的网络协议数据包区分为签名数据包和验证签名数据包),并通过步骤(5)验证签名消息的完整性,并确认发送者的身份,从而能够防止交易中的抵赖情况发生。
附图说明
图1是根据本发明网络协议数据包的安全处理方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
根据本发明的一个方面,提供了一种网络协议数据包的安全处理方法,其是应用在互联网关设备中,该互联网关设备一端与客户端通信连接,另一端和远程服务器通信连接。在本实施方式中,客户端为能够发送基于TCP协议以上网络协议数据包的应用程序或业务系统,具体包括但不限于浏览器、应用程序、浏览器/服务器(Browser/server,简称B/S)业务系统、客户端/服务器(Client/server,简称C/S)业务系统等系统。远程服务器能够提供服务器端SSL协议或TLS协议的通信,包括但不局限于国际标准安全套接层(SecureSockets Layer,简称SSL)协议服务器、国际安全传输(Transport Layer Security,简称TLS)协议服务器、中国密码SSL协议、中国密码TLS协议服务端等系统。如图1所示,本发明的方法包括以下步骤:
(1)从客户端接收网络协议数据包P1;
应该注意的是,本步骤接收到的数据包P1在到达互联网关设备之前,经过了0个到多个中间设备,如交换机、集线器等设备;
(2)对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则说明网络协议数据包P1是应用层协议的数据包,进入步骤(4),否则说明此网络协议数据包P1不是应用层协议的数据包,进入步骤(3);
具体而言,本步骤的解析过程是,首先解析网络协议数据包P1包头的第一行,然后查找该行内容中是否有诸如“HTTP/1.0”或者“HTTP/1.1”的关键字。
在本实施方式中,应用层协议为HTTP协议。
(3)根据SSL或TLS协议对网络协议数据包P1进行处理,以生成处理后的网络协议数据包S1,并将网络协议数据包S1发送到远程服务器,过程结束;
具体而言,本步骤是按照SSL或TLS协议操作流程,对网络协议数据包P1进行分段、压缩、增加MAC信息、加密、以及增加SSL记或TLS录处理,
(4)判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则说明网络协议数据包P1是自定义格式的数据包,然后进入步骤(5),如果没有,则说明网络协议数据包P1是应用层协议的数据包,然后进入步骤(6);
在本发明中,预先约定的关键字类型包括用于签名操作的关键字,以及用于验证签名操作的关键字。
具体而言,可以预先将关键字“INFOSEC_SIGN/1.0”设为用于签名操作的关键字,将关键字“INFOSEC_VERIFY_SIGN/1.0”设为用于验证签名操作的关键字。
(5)根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端,过程结束;
具体而言,如果关键字是用于签名操作的关键字,则本步骤对包体中的内容进行签名操作,如果关键字是用于验证签名操作的关键字,则本步骤对包体中的内容进行验证签名操作;
(6)根据SSL或TLS协议对网络协议数据包P1进行处理,然后将处理后的网络协议数据包S2发送到远程服务器,过程结束;
具体而言,本步骤是按照SSL或TLS协议操作流程,对网络协议数据包P1进行分段、压缩、增加MAC信息、加密、以及增加SSL或TLS记录处理。
需要注意的是,在上述步骤(3)和步骤(6)中,加密时使用的加密算法可以为AES算法、DES算法、3DES算法、SM1算法、SM4算法等,但本发明绝不局限于上述的数据加密算法,任何本领域公知的对称加密算法都可以被使用;此外,MAC算法可以为SHA-1、SM3算法等,但本发明绝不局限于上述的数据加密算法,任何本领域公知的散列算法(摘要算法)都可以被使用。
在上述步骤(5)中,签名操作和验证签名操作时采用的加密算法可以为SM2算法、RSA算法等,但本发明绝不局限于上述的数据加密算法,任何本领域公知的非对称加密算法都可以被使用。
应该注意的是,本发明方法的上述步骤中所使用的解密算法是与其对应的加密算法对应的逆算法。
根据本发明的另一个方面,提供了一种网络协议数据包的安全处理系统,是应用在互联网关设备中,所述互联网关设备分别与客户端和远程服务器通信连接,所述系统包括:
第一模块,用于从客户端接收网络协议数据包P1;
第二模块,用于对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则进入第四模块,否则进入第三模块;
第三模块,用于根据SSL或TLS协议对网络协议数据包P1进行处理,以生成处理后的网络协议数据包S1,并将网络协议数据包S1发送到远程服务器,过程结束;
第四模块,用于判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则进入第五模块,如果没有,则进入第六模块;
第五模块,用于根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端,过程结束;
第六模块,用于根据SSL或TLS协议对网络协议数据包P1进行处理,然后将处理后的网络协议数据包S2发送到远程服务器,过程结束。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种网络协议数据包的安全处理方法,是应用在互联网关设备中,所述互联网关设备分别与客户端和远程服务器通信连接,其特征在于,所述方法包括以下步骤:
(1)从客户端接收网络协议数据包P1;
(2)对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则进入步骤(4),否则进入步骤(3);
(3)根据SSL或TLS协议对网络协议数据包P1进行处理,以生成处理后的网络协议数据包S1,并将网络协议数据包S1发送到远程服务器,过程结束;
(4)判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则进入步骤(5),如果没有,则进入步骤(6);
(5)根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端,过程结束;
(6)根据SSL或TLS协议对网络协议数据包P1进行处理,然后将处理后的网络协议数据包S2发送到远程服务器,过程结束。
2.根据权利要求1所述的安全处理方法,其特征在于,预先约定的关键字类型包括用于签名操作的关键字,以及用于验证签名操作的关键字。
3.根据权利要求2所述的安全处理方法,其特征在于,步骤(5)具体为,如果关键字是用于签名操作的关键字,则本步骤对包体中的内容进行签名操作,如果关键字是用于验证签名操作的关键字,则本步骤对包体中的内容进行验证签名操作。
4.根据权利要求1所述的安全处理方法,其特征在于,根据SSL或TLS协议对网络协议数据包进行处理具体为,按照SSL或TLS协议操作流程,对网络协议数据包P1进行分段、压缩、增加MAC信息、加密、以及增加SSL或TLS记录处理。
5.根据权利要求1所述的安全处理方法,其特征在于,在步骤(3)和步骤(6)中,加密时使用的加密算法是对称加密算法。
6.根据权利要求1所述的安全处理方法,其特征在于,步骤(5)的签名操作和验证签名操作时采用的加密算法是非对称加密算法。
7.一种网络协议数据包的安全处理系统,是应用在互联网关设备中,所述互联网关设备分别与客户端和远程服务器通信连接,其特征在于,所述系统包括:
第一模块,用于从客户端接收网络协议数据包P1;
第二模块,用于对网络协议数据包P1进行解析,判断解析后的数据包中是否含有应用层协议的关键字标识,如果找到,则进入第四模块,否则进入第三模块;
第三模块,用于根据SSL或TLS协议对网络协议数据包P1进行处理,以生成处理后的网络协议数据包S1,并将网络协议数据包S1发送到远程服务器,过程结束;
第四模块,用于判断网络协议数据包P1的包头内容中是否存在有预先约定的关键字,如果有,则进入第五模块,如果没有,则进入第六模块;
第五模块,用于根据预先约定的关键字的类型对网络协议数据包P1的包体中的内容进行对应操作,并将操作后生成的网络协议数据包P2发送到客户端,过程结束;
第六模块,用于根据SSL或TLS协议对网络协议数据包P1进行处理,然后将处理后的网络协议数据包S2发送到远程服务器,过程结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610648971.6A CN106254355B (zh) | 2016-08-10 | 2016-08-10 | 一种网络协议数据包的安全处理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610648971.6A CN106254355B (zh) | 2016-08-10 | 2016-08-10 | 一种网络协议数据包的安全处理方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106254355A true CN106254355A (zh) | 2016-12-21 |
CN106254355B CN106254355B (zh) | 2019-04-05 |
Family
ID=58078545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610648971.6A Active CN106254355B (zh) | 2016-08-10 | 2016-08-10 | 一种网络协议数据包的安全处理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106254355B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106817367A (zh) * | 2017-01-03 | 2017-06-09 | 深圳市沃特玛电池有限公司 | 一种数据传输方法和系统 |
CN107294986A (zh) * | 2017-06-30 | 2017-10-24 | 北京海泰方圆科技股份有限公司 | 一种访问https网站的方法、装置及系统 |
CN107395592A (zh) * | 2017-07-19 | 2017-11-24 | 武汉信安珞珈科技有限公司 | 一种网络协议数据包的安全处理方法和系统 |
CN107819778A (zh) * | 2017-11-17 | 2018-03-20 | 江苏林洋能源股份有限公司 | 一种应用tls协议的电能表证书初始化方法 |
CN108833092A (zh) * | 2018-06-13 | 2018-11-16 | 无锡隆玛科技股份有限公司 | 用于光伏监控管理系统的双加密通信方法 |
CN108989455A (zh) * | 2018-08-13 | 2018-12-11 | 中国科学院声学研究所南海研究站 | 一种基于LoRa物联网的数据上报和指令下发方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003055169A1 (de) * | 2001-12-12 | 2003-07-03 | Grundig Aktiengesellschaft | System zur übertragung eines datenstroms über ein netzwerk an unterschiedliche netzwerkprotokolle unterstützende empfänger |
CN102164182A (zh) * | 2011-04-18 | 2011-08-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络协议识别设备和方法 |
CN102438121A (zh) * | 2011-11-22 | 2012-05-02 | 中兴通讯股份有限公司 | 数据传输方法、系统及串行高速输入输出口网关设备 |
CN102811225A (zh) * | 2012-08-22 | 2012-12-05 | 神州数码网络(北京)有限公司 | 一种ssl中间代理访问web资源的方法及交换机 |
CN105207778A (zh) * | 2014-07-03 | 2015-12-30 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
-
2016
- 2016-08-10 CN CN201610648971.6A patent/CN106254355B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003055169A1 (de) * | 2001-12-12 | 2003-07-03 | Grundig Aktiengesellschaft | System zur übertragung eines datenstroms über ein netzwerk an unterschiedliche netzwerkprotokolle unterstützende empfänger |
CN102164182A (zh) * | 2011-04-18 | 2011-08-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络协议识别设备和方法 |
CN102438121A (zh) * | 2011-11-22 | 2012-05-02 | 中兴通讯股份有限公司 | 数据传输方法、系统及串行高速输入输出口网关设备 |
CN102811225A (zh) * | 2012-08-22 | 2012-12-05 | 神州数码网络(北京)有限公司 | 一种ssl中间代理访问web资源的方法及交换机 |
CN105207778A (zh) * | 2014-07-03 | 2015-12-30 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106817367A (zh) * | 2017-01-03 | 2017-06-09 | 深圳市沃特玛电池有限公司 | 一种数据传输方法和系统 |
CN107294986A (zh) * | 2017-06-30 | 2017-10-24 | 北京海泰方圆科技股份有限公司 | 一种访问https网站的方法、装置及系统 |
CN107294986B (zh) * | 2017-06-30 | 2018-05-08 | 北京海泰方圆科技股份有限公司 | 一种访问https网站的方法、装置及系统 |
CN107395592A (zh) * | 2017-07-19 | 2017-11-24 | 武汉信安珞珈科技有限公司 | 一种网络协议数据包的安全处理方法和系统 |
CN107819778A (zh) * | 2017-11-17 | 2018-03-20 | 江苏林洋能源股份有限公司 | 一种应用tls协议的电能表证书初始化方法 |
CN108833092A (zh) * | 2018-06-13 | 2018-11-16 | 无锡隆玛科技股份有限公司 | 用于光伏监控管理系统的双加密通信方法 |
CN108989455A (zh) * | 2018-08-13 | 2018-12-11 | 中国科学院声学研究所南海研究站 | 一种基于LoRa物联网的数据上报和指令下发方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106254355B (zh) | 2019-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106254355B (zh) | 一种网络协议数据包的安全处理方法和系统 | |
CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
CN109309685B (zh) | 信息传输方法和装置 | |
CN105049401B (zh) | 一种基于智能车的安全通信方法 | |
CN105960781A (zh) | 利用基于公钥的数字签名保护源路由的方法与系统 | |
CN103338215A (zh) | 基于国密算法建立tls通道的方法 | |
US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
US20190123908A1 (en) | Arithmetic Device, Authentication System, and Authentication Method | |
CN102036242A (zh) | 一种移动通讯网络中的接入认证方法和系统 | |
CN106612267B (zh) | 一种验证方法及验证装置 | |
CN106850207A (zh) | 无ca的身份认证方法和系统 | |
CA2986401C (en) | Authenticating a system based on a certificate | |
CN111914291A (zh) | 消息处理方法、装置、设备及存储介质 | |
CN116405302B (zh) | 一种用于车内安全通信的系统及方法 | |
CN107635227A (zh) | 一种群组消息加密方法及装置 | |
CN105205705A (zh) | 一种电子发票自动入账方法及装置 | |
US20190068762A1 (en) | Packet Parsing Method and Device | |
CN109639438A (zh) | 一种基于数字签名的scada网络工业信息加密方法 | |
CN114710298A (zh) | 基于变色龙哈希的文档批量签署方法、装置、设备及介质 | |
US20190097800A1 (en) | Secure message routing in multi tenant system without content inspection | |
US10726161B2 (en) | Information processing device and malicious message detection method | |
CN115865540B (zh) | 一种信息安全传输方法及装置 | |
CN107395592A (zh) | 一种网络协议数据包的安全处理方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |