CN106685896A - 一种ssh协议多层通道内的明文数据采集方法及系统 - Google Patents

一种ssh协议多层通道内的明文数据采集方法及系统 Download PDF

Info

Publication number
CN106685896A
CN106685896A CN201510756979.XA CN201510756979A CN106685896A CN 106685896 A CN106685896 A CN 106685896A CN 201510756979 A CN201510756979 A CN 201510756979A CN 106685896 A CN106685896 A CN 106685896A
Authority
CN
China
Prior art keywords
ssh
message
sessions
data acquisition
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510756979.XA
Other languages
English (en)
Other versions
CN106685896B (zh
Inventor
宋磊
郑艳伟
叶晓舟
刘磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinrand Network Technology Co ltd
Institute of Acoustics CAS
Original Assignee
Institute of Acoustics CAS
Beijing Intellix Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Acoustics CAS, Beijing Intellix Technologies Co Ltd filed Critical Institute of Acoustics CAS
Priority to CN201510756979.XA priority Critical patent/CN106685896B/zh
Publication of CN106685896A publication Critical patent/CN106685896A/zh
Application granted granted Critical
Publication of CN106685896B publication Critical patent/CN106685896B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种SSH协议多层通道内的明文数据采集系统,包括:SSH会话管理模块、SSH安全封装模块、SSH通道处理模块、SSH数据采集模块;其中,SSH会话管理模块用于接收和发送网络数据包,并维护TCP/IP连接与SSH会话的关系数据;SSH安全封装模块用于建立SSH会话,维护SSH密钥信息;将输入的数据解密解封装得到明文SSH消息,或将明文SSH消息封装加密后输出;SSH通道处理模块用于识别SSH会话中的SSH通道,并根据通道类型判断该通道中是否包含内层SSH会话数据,维护SSH会话数据与SSH通道的对应关系;SSH数据采集模块用于从明文SSH消息中提取和采集有用的数据。

Description

一种SSH协议多层通道内的明文数据采集方法及系统
技术领域
本发明涉及网络安全通信领域,特别涉及一种SSH协议多层通道内的明文数据采集方法及系统。
背景技术
SSH协议为Secure Shell的缩写,由IETF的网络工作小组(Network WorkingGroup)所制定;SSH为建立在应用层和传输层基础上的安全协议是目前可靠的、专为远程登录会话和其他网络服务提供安全性的协议。SSH2是SSH协议的2.x版本,在RFC 4250~RFC 4254标准中有详细的定义和描述,是目前实际采用的SSH版本。目前SSH已经逐渐取代telnet等协议,成为远程登录和传输代理的首选协议。
然而SSH协议具有加密传输的特点,网络中的数据采集者无法直接对网络上的SSH协议数据进行采集分析,因此需要通过特定的采集方法将密文数据转换为明文。申请号为201410637319.5、名称为《安全外壳ssh2协议数据的采集方法和装置》的中国专利申请提出了一种SSH协议的明文数据的采集方法。然而,SSH会话中可以包含多种类型的SSH通道,通道中可以封装另一个SSH会话,这样的嵌套是不限制次数的。前述专利申请在此情形下只能采集到最外层会话中的少数明文数据,而通道消息全部是密文,因此需要一种可以逐层剥离SSH通道,采集全部SSH数据的方法。
发明内容
本发明的目的在于克服已有的明文数据采集方法只能采集到最外层会话中的少数明文数据的缺陷,从而提供一种能够采集被封装的明文数据的系统与方法。
为了实现上述技术方案,本发明提供了一种SSH协议多层通道内的明文数据采集系统,包括:
SSH会话管理模块、SSH安全封装模块、SSH通道处理模块、SSH数据采集模块;其中,
SSH会话管理模块用于接收和发送网络数据包,并维护TCP/IP连接与SSH会话的关系数据;
SSH安全封装模块用于建立SSH会话,维护SSH密钥信息;将输入的数据解密解封装得到明文SSH消息,或将明文SSH消息封装加密后输出;
SSH通道处理模块用于识别SSH会话中的SSH通道,并根据通道类型判断该通道中是否包含内层SSH会话数据,维护SSH会话数据与SSH通道的对应关系;
SSH数据采集模块用于从明文SSH消息中提取和采集有用的数据。
本发明还提供了基于所述的SSH协议多层通道内的明文数据采集系统所实现的明文数据采集方法,包括:
步骤1)、将明文数据采集系统部署在客户端与跳板机之间,明文数据采集系统介入SSH通道的建立,获得并维护SSH会话的传输密钥和属性参数;
步骤2)、对SSH消息做通道剥离,每次剥离一层SSH通道,直到不再包含SSH通道为止;
步骤3)、将每层SSH通道内的明文数据交给审计数据采集,拦截非法消息;
步骤4)、对SSH消息做通道重建,每次重建一层SSH通道,直到恢复到原先的通道层数为止。
上述技术方案中,所述步骤2)进一步包括:
步骤2-1)、利用SSH会话的传输密钥和属性参数解密SSH消息;
步骤2-2)、判断当前被解密的SSH消息是否为包含内层SSH会话的通道消息,如果不是,则当前被解密的SSH消息为最内层SSH会话,执行步骤3),如果是,执行步骤2-3);
步骤2-3)、去除通道封装结构,取出数据载荷,得到内层SSH会话,并获取该层SSH会话的传输密钥和属性参数,然后重新执行步骤2-1)。
上述技术方案中,在步骤3)中,拦截非法消息的手段包括:丢弃非法消息、替换非法消息、发出告警和断开连接。
上述技术方案中,所述步骤4)进一步包括:
步骤4-1)、根据当前SSH消息所在的SSH会话,获取传输密钥和属性参数;
步骤4-2)、利用SSH会话的传输密钥和属性参数加密SSH消息;
步骤4-3)、判断当前被加密的SSH消息是否隶属于外层会话的SSH通道,如果不是,则当前被加密的SSH消息为最外层SSH会话,结束操作,如果是,执行步骤4-4);
步骤4-4)、把当前被加密的SSH消息作为通道消息中的数据载荷,封装成隶属于外层SSH会话的新SSH消息,然后重新执行步骤4-1)。
上述技术方案中,所述多层为从0开始的任意正整数层。
上述技术方案中,所述SSH通道为RFC 4254中的SSH Channel;所述SSH会话为RFC 4253中的SSH Connection。
本发明的优点在于:
与传统方法只能采集SSH会话中最外层的SSH明文数据相比,本发明的方法可以同时采集SSH会话中所封装的所有SSH明文数据。
附图说明
图1是一种常见的利用SSH端口转发特性的使用场景;
图2是本发明的SSH协议多层通道内的明文数据采集方法的流程图;
图3是本发明的SSH协议多层通道内的明文数据采集系统的结构图。
具体实施方式
现结合附图对本发明作进一步的描述。
图1展示了一种常见的利用SSH端口转发特性的使用场景:客户端需要与远程服务器建立连接;其中,客户端与跳板机位于第一网段,跳板机与远程服务器位于第二网段,因此客户端不能直接连接到远程服务器,需要借助跳板机。具体的说,客户端借助SSH协议的端口转发功能,与跳板机建立外层SSH会话连接,该连接中包含一条direct-tcpip通道,通道内封装了客户端与远程服务器之间的内存SSH会话连接。在此场景下,客户端借助跳板机可以直接访问远程服务器。
针对这一场景,若需要采集SSH协议多层通道内的明文数据,可采用本发明的明文数据采集系统实现。参考图3,该系统包括:SSH会话管理模块、SSH安全封装模块、SSH通道处理模块、SSH数据采集模块;其中,
SSH会话管理模块用于接收和发送网络数据包,并维护TCP/IP连接与SSH会话的关系数据。当存在SSH会话嵌套的时候,内层SSH会话对应一条新的TCP/IP连接。
SSH安全封装模块用于建立SSH会话,维护SSH密钥信息。它既可以将输入的数据解密解封装得到明文SSH消息,也可以将明文SSH消息封装加密后输出。
SSH通道处理模块用于识别SSH会话中的SSH通道,并根据通道类型判断该通道中是否包含内层SSH会话数据,维护SSH会话数据与SSH通道的对应关系。
SSH数据采集模块用于从明文SSH消息中提取和采集有用的数据,比如用户、口令、操作请求、文件数据等。
在前述明文数据采集系统的基础上,本发明的明文数据采集方法,参考图2,包括以下步骤:
步骤1)、将明文数据采集系统部署在客户端与跳板机之间,明文数据采集系统介入SSH通道的建立,获得并维护SSH会话的传输密钥和属性参数。
步骤2)、对SSH消息做通道剥离,每次剥离一层SSH通道,直到不再包含SSH通道为止;具体的说,该步骤进一步包括:
步骤2-1)、利用SSH会话的传输密钥和属性参数解密SSH消息;
步骤2-2)、判断当前被解密的SSH消息是否为包含内层SSH会话的通道消息,如果不是,则当前被解密的SSH消息为最内层SSH会话,执行步骤3),如果是,执行步骤2-3);
步骤2-3)、去除通道封装结构,取出数据载荷,得到内层SSH会话,并获取该层SSH会话的传输密钥和属性参数,然后重新执行步骤2-1)。
步骤3)、将每层SSH通道内的明文数据交给审计数据采集,拦截非法消息。
其中,拦截非法消息的手段包括:丢弃非法消息、替换非法消息、发出告警和断开连接等。
步骤4)、对SSH消息做通道重建,每次重建一层SSH通道,直到恢复到原先的通道层数为止。该步骤进一步包括:
步骤4-1)、根据当前SSH消息所在的SSH会话,获取传输密钥和属性参数;
步骤4-2)、利用SSH会话的传输密钥和属性参数加密SSH消息;
步骤4-3)、判断当前被加密的SSH消息是否隶属于外层会话的SSH通道,如果不是,则当前被加密的SSH消息为最外层SSH会话,结束操作,如果是,执行步骤4-4);
步骤4-4)、把当前被加密的SSH消息作为通道消息中的数据载荷,封装成隶属于外层SSH会话的新SSH消息,然后重新执行步骤4-1)。
本发明中所涉及的多层可以是从0开始的任意正整数层。
本发明中所涉及的SSH通道为RFC 4254中的SSH Channel;SSH会话为RFC4253中的SSH Connection。
根据前述的明文数据采集方法,数据在本发明的明文数据采集系统中各个模块的流动方向如图3中的箭头所示,当一个SSH消息中只有一个SSH会话,即通道的嵌套层数为0时,数据流向为1>2>3>4>5>6>7>8;当一个SSH消息中包括多个SSH会话,即通道的嵌套层数为N时,数据流向为1>2>3>(9>10>2>3)*N>4>5>6>7>(11>12>6>7)*N>8。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种SSH协议多层通道内的明文数据采集系统,其特征在于,包括:
SSH会话管理模块、SSH安全封装模块、SSH通道处理模块、SSH数据采集模块;其中,
SSH会话管理模块用于接收和发送网络数据包,并维护TCP/IP连接与SSH会话的关系数据;
SSH安全封装模块用于建立SSH会话,维护SSH密钥信息;将输入的数据解密解封装得到明文SSH消息,或将明文SSH消息封装加密后输出;
SSH通道处理模块用于识别SSH会话中的SSH通道,并根据通道类型判断该通道中是否包含内层SSH会话数据,维护SSH会话数据与SSH通道的对应关系;
SSH数据采集模块用于从明文SSH消息中提取和采集有用的数据。
2.基于权利要求1所述的SSH协议多层通道内的明文数据采集系统所实现的明文数据采集方法,包括:
步骤1)、将明文数据采集系统部署在客户端与跳板机之间,明文数据采集系统介入SSH通道的建立,获得并维护SSH会话的传输密钥和属性参数;
步骤2)、对SSH消息做通道剥离,每次剥离一层SSH通道,直到不再包含SSH通道为止;
步骤3)、将每层SSH通道内的明文数据交给审计数据采集,拦截非法消息;
步骤4)、对SSH消息做通道重建,每次重建一层SSH通道,直到恢复到原先的通道层数为止。
3.根据权利要求2所述的明文数据采集方法,其特征在于,所述步骤2)进一步包括:
步骤2-1)、利用SSH会话的传输密钥和属性参数解密SSH消息;
步骤2-2)、判断当前被解密的SSH消息是否为包含内层SSH会话的通道消息,如果不是,则当前被解密的SSH消息为最内层SSH会话,执行步骤3),如果是,执行步骤2-3);
步骤2-3)、去除通道封装结构,取出数据载荷,得到内层SSH会话,并获取该层SSH会话的传输密钥和属性参数,然后重新执行步骤2-1)。
4.根据权利要求2所述的明文数据采集方法,其特征在于,在步骤3)中,拦截非法消息的手段包括:丢弃非法消息、替换非法消息、发出告警和断开连接。
5.根据权利要求2所述的明文数据采集方法,其特征在于,所述步骤4)进一步包括:
步骤4-1)、根据当前SSH消息所在的SSH会话,获取传输密钥和属性参数;
步骤4-2)、利用SSH会话的传输密钥和属性参数加密SSH消息;
步骤4-3)、判断当前被加密的SSH消息是否隶属于外层会话的SSH通道,如果不是,则当前被加密的SSH消息为最外层SSH会话,结束操作,如果是,执行步骤4-4);
步骤4-4)、把当前被加密的SSH消息作为通道消息中的数据载荷,封装成隶属于外层SSH会话的新SSH消息,然后重新执行步骤4-1)。
6.根据权利要求2所述的明文数据采集方法,其特征在于,所述多层为从0开始的任意正整数层。
7.根据权利要求2所述的明文数据采集方法,其特征在于,所述SSH通道为RFC 4254中的SSH Channel;所述SSH会话为RFC 4253中的SSH Connection。
CN201510756979.XA 2015-11-09 2015-11-09 一种ssh协议多层通道内的明文数据采集方法及系统 Active CN106685896B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510756979.XA CN106685896B (zh) 2015-11-09 2015-11-09 一种ssh协议多层通道内的明文数据采集方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510756979.XA CN106685896B (zh) 2015-11-09 2015-11-09 一种ssh协议多层通道内的明文数据采集方法及系统

Publications (2)

Publication Number Publication Date
CN106685896A true CN106685896A (zh) 2017-05-17
CN106685896B CN106685896B (zh) 2019-08-20

Family

ID=58863336

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510756979.XA Active CN106685896B (zh) 2015-11-09 2015-11-09 一种ssh协议多层通道内的明文数据采集方法及系统

Country Status (1)

Country Link
CN (1) CN106685896B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135235A (zh) * 2017-07-05 2017-09-05 湖北鑫英泰系统技术股份有限公司 一种多级跳转后的ssh连接源追踪方法及装置
CN112714104A (zh) * 2020-12-09 2021-04-27 国网山东省电力公司信息通信公司 一种多协议适配的ims接入网设备远程管理系统及方法
CN114143031A (zh) * 2021-11-01 2022-03-04 北京银盾泰安网络科技有限公司 一种基于Web和SSH的远程加密平台及其加密方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162992A (zh) * 2007-09-29 2008-04-16 中国人民解放军信息工程大学 容忍入侵的密码协议安全运行防护方法和系统
CN101918926A (zh) * 2007-10-24 2010-12-15 乔纳森·彼得·多伊奇 用于通过虚拟ip地址访问没有可访问地址的联网装置的各种方法和设备
US8566452B1 (en) * 2006-08-03 2013-10-22 F5 Networks, Inc. Intelligent HTTP based load-balancing, persistence, and application traffic management of SSL VPN tunnels
CN104394129A (zh) * 2014-11-05 2015-03-04 中国科学院声学研究所 安全外壳ssh2协议数据的采集方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566452B1 (en) * 2006-08-03 2013-10-22 F5 Networks, Inc. Intelligent HTTP based load-balancing, persistence, and application traffic management of SSL VPN tunnels
CN101162992A (zh) * 2007-09-29 2008-04-16 中国人民解放军信息工程大学 容忍入侵的密码协议安全运行防护方法和系统
CN101918926A (zh) * 2007-10-24 2010-12-15 乔纳森·彼得·多伊奇 用于通过虚拟ip地址访问没有可访问地址的联网装置的各种方法和设备
CN104394129A (zh) * 2014-11-05 2015-03-04 中国科学院声学研究所 安全外壳ssh2协议数据的采集方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135235A (zh) * 2017-07-05 2017-09-05 湖北鑫英泰系统技术股份有限公司 一种多级跳转后的ssh连接源追踪方法及装置
CN107135235B (zh) * 2017-07-05 2019-11-05 湖北鑫英泰系统技术股份有限公司 一种多级跳转后的ssh连接源追踪方法及装置
CN112714104A (zh) * 2020-12-09 2021-04-27 国网山东省电力公司信息通信公司 一种多协议适配的ims接入网设备远程管理系统及方法
CN114143031A (zh) * 2021-11-01 2022-03-04 北京银盾泰安网络科技有限公司 一种基于Web和SSH的远程加密平台及其加密方法

Also Published As

Publication number Publication date
CN106685896B (zh) 2019-08-20

Similar Documents

Publication Publication Date Title
CN102882789B (zh) 一种数据报文处理方法、系统及设备
Xin A mixed encryption algorithm used in internet of things security transmission system
CN102300210B (zh) Lte非接入层密文解密方法及其信令监测装置
CN106487783A (zh) 用于车辆通讯连接的加密方法及装置
CN108966174A (zh) 一种无人机与地面站的通讯加密方法
CN108810023A (zh) 安全加密方法、密钥共享方法以及安全加密隔离网关
CN103905180A (zh) 经典应用接入量子通信网络的方法
CN110636052B (zh) 用电数据传输系统
US20160021224A1 (en) Stealth Packet Communications
JP2017533674A (ja) セキュアシェルssh2プロトコルデータの収集方法及び装置
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
CN102143487A (zh) 一种端对端会话密钥协商方法和系统
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
Abdullaziz et al. Network packet payload parity based steganography
CN107306198A (zh) 报文转发方法、设备和系统
CN106685896A (zh) 一种ssh协议多层通道内的明文数据采集方法及系统
WO2012024905A1 (zh) 一种移动通讯网中数据加解密方法、终端和ggsn
CN106161386A (zh) 一种实现IPsec分流的方法和装置
CN212343809U (zh) 一种边缘型蜂窝物联网专网系统
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
CN108966217A (zh) 一种保密通信方法、移动终端及保密网关
CN107135152A (zh) 一种分组传送网中传输关键信息的安全加固方法
CN114826748B (zh) 基于rtp、udp及ip协议的音视频流数据加密方法和装置
CN103297348A (zh) 防止esp/ah报文分片的方法
CN106385423A (zh) 一种数据加密传输方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210816

Address after: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee after: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

Patentee before: BEIJING INTELLIX TECHNOLOGIES Co.,Ltd.

Effective date of registration: 20210816

Address after: Room 1601, 16th floor, East Tower, Ximei building, No. 6, Changchun Road, high tech Industrial Development Zone, Zhengzhou, Henan 450001

Patentee after: Zhengzhou xinrand Network Technology Co.,Ltd.

Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District

Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES

TR01 Transfer of patent right