CN112995120A - 一种数据监测方法及装置 - Google Patents

一种数据监测方法及装置 Download PDF

Info

Publication number
CN112995120A
CN112995120A CN201911311839.6A CN201911311839A CN112995120A CN 112995120 A CN112995120 A CN 112995120A CN 201911311839 A CN201911311839 A CN 201911311839A CN 112995120 A CN112995120 A CN 112995120A
Authority
CN
China
Prior art keywords
data
address
network
key
target network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911311839.6A
Other languages
English (en)
Inventor
郭卓越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Gridsum Technology Co Ltd
Original Assignee
Beijing Gridsum Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Gridsum Technology Co Ltd filed Critical Beijing Gridsum Technology Co Ltd
Priority to CN201911311839.6A priority Critical patent/CN112995120A/zh
Publication of CN112995120A publication Critical patent/CN112995120A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种数据监测方法及装置,监测设备预先与网络设备建立信任连接,当第一网络设备发送网络报文时,监测设备截获目标网络报文。为使得监测设备可以处理目标网络报文,在获取第一目标网络报文后,先将第一目标网络报文中的目的地址(目的IP地址以及目的MAC地址)转换为监测设备的IP地址以及MAC地址,以及目的端口转换为监测设备的端口,获得转换后的第一目标网络报文。然后,利用第一对称密钥对转换后的第一目标网络报文进行解密获得明文数据,以对明文数据所包括的数据进行审计处理,即判断该明文数据中是否包括敏感数据,如果包括敏感数据,表明该明文数据为不安全数据,则断开与第一网络设备的会话连接。

Description

一种数据监测方法及装置
技术领域
本申请涉及通信技术领域,具体涉及一种数据监测方法及装置。
背景技术
超文本传输协议(Hypertext Transfer Protocol Secure,HTTPS)是一个安全通信通道,它基于HTTP开发,用于在计算机和服务器之间交换信息。主要使用安全套接字层(security sock layer,SSL)进行信息交换,所有的数据在传输过程中都是加密的。在对数据安全越来越重视的今天,全网使用HTTPS协议传输数据逐渐成为趋势。由于HTTPS协议的高安全可靠,防监听的特点,传统的内容审计方法已无法对网络数据进行有效管控,导致出现重要数据被泄漏的隐患。
发明内容
有鉴于此,本申请实施例提供一种数据监测方法及装置,以有效地对网络数据进行监测,避免重要数据被泄漏。
为解决上述问题,本申请实施例提供的技术方案如下:
在本申请实施例第一方面,提供了一种数据监测方法,所述方法应用于监测设备,所述方法包括:
获取第一网络设备发送的第一目标网络报文;
将所述第一目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口,获得转换后的第一目标网络报文;
利用第一对称密钥对所述转换后的第一目标网络报文进行解密获得明文数据,以对所述明文数据进行审计处理;所述第一对称密钥为所述监测设备与所述第一网络设备通过密钥协商获得;
当所述明文数据为不安全数据时,断开与所述第一网络设备的会话连接。
在一种可能的实现方式中,所述方法还包括:
当所述明文数据为安全数据时,并利用第二对称密钥对所述明文数据进行加密获得第二目标网络报文;所述第二对称密钥为所述监测设备与第二网络设备通过密钥协商获得;所述第二网络设备为所述目的IP地址对应的网络设备;
将所述第二目标网络报文中监测设备的IP地址、MAC地址以及端口转换为所述目的IP地址、目的MAC地址以及目的端口,获得转换后的第二目标网络报文,并发送给所述第二网络设备。
在一种可能的实现方式中,在将所述第一目标网络报文的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口之前,所述方法还包括:
判断所述第一目标网络报文的源IP地址是否在源地址白名单中,如果所述第一目标网络报文的源IP地址在所述源地址白名单中,将所述第一目标网络报文直接发送给所述第二目标网络设备;所述源IP地址为所述第一网络设备对应的IP地址。
在一种可能的实现方式中,所述对所述明文数据进行审计处理,包括:
判断所述明文数据是否与预设安全策略匹配;所述预设安全策略至少包括预设关键词、预设正则表达式、预设指纹信息;
当所述明文数据与所述预设安全策略匹配时,则确定所述明文数据为不安全数据;否则,确定所述明文数据为安全数据。
在一种可能的实现方式中,所述监测设备与所述第一网络设备进行密钥协商的过程包括:
所述监测设备从认证中心获取所述第一网络设备的第一公钥;
利用所述第一公钥对所述第一网络设备发送的第一密钥数据进行解密获得第一对称密钥;所述第一密钥数据是由所述第一网络设备利用第一私钥对所述第一对称密钥加密形成的;所述第一公钥与所述第一私钥一一对应,均由所述认证中心生成;
所述监测设备与所述第二网络设备密钥协商过程包括:
所述监测设备利用第二私钥对第二对称密钥进行加密生成第二密钥数据,并发送给所述第二网络设备,以使所述第二网络设备利用第二公钥对所述第二密钥数据进行解密获得所述第二对称密钥,所述第二公钥与所述第二私钥一一对应,均由所述认证中心生成。
在一种可能的实现方式中,所述获取第一网络设备发送的第一目标网络报文,包括:
获取所述第一网络设备发送的网络报文;
解析所述网络报文的协议格式,将与预设协议格式匹配的网络报文确定所述第一目标网络报文。
在一种可能的实现方式中,所述第一目标网络报文为HTTPS协议网络报文。
在本申请实施例第二方面提供了一种数据监测装置,所述装置应用于监测设备,所述装置包括:
获取单元,用于获取第一网络设备发送的第一目标网络报文;
第一转换单元,用于将所述第一目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口,获得转换后的第一目标网络报文;
解密单元,用于利用第一对称密钥对所述转换后的第一目标网络报文进行解密获得明文数据;所述第一对称密钥为所述监测设备与所述第一网络设备通过密钥协商获得;
审计单元,用于对所述明文数据进行审计处理;
断开单元,用于当所述明文数据为不安全数据时,断开与所述第一网络设备的会话连接。
在本申请实施例第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行第一方面所述的数据监测方法。
在本申请实施例第四方面,提供了一种用于数据监测的设备,所述设备包括存储器和处理器,所述存储器用于存储一个或者一个以上的程序,所述处理器用于调用所述存储器中的程序,以执行第一方面所述的数据监测方法。
由此可见,本申请实施例具有如下有益效果:
本申请实施例监测设备预先与网络设备建立信任连接,当第一网络设备发送网络报文时,监测设备截获目标网络报文。为使得监测设备可以处理目标网络报文,在获取第一目标网络报文后,先将第一目标网络报文中的目的地址(目的IP地址以及目的MAC地址)转换为监测设备的IP地址以及MAC地址,以及目的端口转换为监测设备的端口,获得转换后的第一目标网络报文。然后,利用第一对称密钥对转换后的第一目标网络报文进行解密获得明文数据,以对明文数据所包括的数据进行审计处理,即判断该明文数据中是否包括敏感数据,如果包括敏感数据,表明该明文数据为不安全数据,则断开与第一网络设备的会话连接。
即,本申请可以针对网络报文的内容进行监测,当网络报文包括敏感数据时,为避免敏感数据外泄,直接断开与第一网络设备所建立的会话连接,保护数据安全。另外,本申请无需设置代理服务器以及为代理服务器分配地址,提高监测效率,节省成本和网络资源。
附图说明
图1为本申请实施例提供的一种应用场景示例图;
图2为本申请实施例提供的一种会话连接建立信令图;
图3为本申请实施例提供的一种数据监测方法的流程图;
图4为本申请实施例提供的一种监测设备结构图;
图5为本申请实施例提供的一种数据监测装置结构图;
图6为本申请实施例提供的一种数据监测设备结构图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请实施例作进一步详细的说明。
为便于理解本申请所提供的技术方案的基本思想,下面将先对本申请的背景技术进行说明。
发明人对传统的HTTPS协议报文监测研究中发现,传统的监测技术主要有以下三种:(1)使用地址解析协议(Address Resolution Protocol,ARP)方式将中间设备伪装成网关,但此种方式会影响通信质量;(2)利用域名解析(Domain name resolution,DNS)将流量导向指定主机,而此方式需要增加设备,且必须指定DNS服务器;(3)利用代理服务器方式,此方式需要设定浏览器代理服务器,为该代理服务器配置IP,且会改变网络已有拓扑方式。
基于此,本申请实施例提供了一种数据监测方法,该方法应用于监测设备,该监测设备可以捕获第一网络设备发送的目标网络报文,并将该目标网络报文中的与目标网络设备相关的地址转换为监测设备的地址。然后,利用第一对称密钥对目标网络报文进行解密获得明文数据,从而实现对明文数据进行审计处理。当审计处理结果为明文数据为不安全数据时,直接断开与第一网络设备的会话连接,避免后续报文发送。即,本申请实施例提供的数据监测方法,无需设置代理服务器以及为代理服务器配置IP,节省成本和网络资源,而且监测设备可以知己串行在网络边界,对通信不会造成影响。
为便于理解,参见图1所示场景实施例,在本实施例中,第一网络设备可以为终端或服务器,第二网络设备也可以为终端为服务器。为便于理解,以第一网络设备为终端,第二网络设备为服务器为例进行说明。
在实际应用时,当终端102向服务器103发送网络报文时,监测设备101可以捕获到该网络报文,如果该网络报文为监测设备101需要监测的目标网络报文,则将该目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为监测设备的地址、MAC地址以及端口,然后利用第一对称密钥对该目标网络报文进行解密获取明文数据,并对该明文数据的内容进行审计,判断该明文数据是否包括敏感内容,如果该明文数据包括敏感内容,表明该明文数据为不安全数据,断开与终端的会话连接。
本领域技术人员可以理解,图1所示的框架示意图仅是本申请的实施方式可以在其中得以实现的一个示例。本实施例中第一网络设备不仅可以是终端,还可以为其他设备,比如基站等,本申请实施方式的适用范围不受到该框架任何方面的限制。
可以理解的是,监测设备为可以顺利获取网络报文,必须预先获取网络两端设备的信任,建立会话连接。基于此,为使得本领域技术人员可以完整地了解本申请的实现,下面将先对监测设备分别与第一网络设备、第二网络设备建立连接的过程进行说明。
为便于理解,本申请实施例仍以第一网络设备为终端,第二网络设备为服务器为例进行说明,下述实施例并在此进行限制。
方法实施例一
参见图2,该图为本申请实施例提供的一种会话连接建立信令交互图,如图2所示,所述方法包括:
S201:终端设备向服务器发送第一连接请求。
S201:监测设备捕获终端向服务器发送的第一连接请求,根据第一连接请求向服务器发送第二连接请求。
当客户端需要与服务器建立会话时,通过其所在的终端向服务器发送连接请求,即第一连接请求,该第一连接请求可以为HTTPS请求。其中,终端的操作系统中已安装有监测设备的根证书。根证书是认证中心颁发的证书,是信任链的起始点,安装根证书意味着对该认证中心的信任。
当监测设备捕获到第一连接请求后,将第一连接请求中的目的地址转换为虚拟目的地址,然后解析该第一连接请求,获取该第一连接请求中的数据。然后,重新封装数据,形成第二连接请求,并发送给服务器。即,此时监测设备模拟终端,向服务器发送连接请求。
S203:服务器在接收到监测设备发送的第二连接请求后,发送第一数字证书。
S204:监测设备捕获服务器发送的第一数字证书,并获取该第一数字证书和公钥。
当服务器接收到第二连接请求后,对该第二连接请求响应,发送第一数字证书。监测设备捕获该第一数字证书,以获取该第一数字证书和公钥。
在具体实现时,为避免发送的第一数字证书被篡改,服务器在发送第一数字证书前,预先利用证书私钥对该数字证书的摘要进行加密,再进行外发。当监测设备捕获到第一数字证书后,可以利用该数字证书中的公钥对第一数字证书的摘要进行解密,以验证第一数字证书的有效性。
具体地,为保证第一数字证书在传输过程中的完整性,还可以对第一数字证书的数据签名进行验证,在验证通过的情况下执行其他步骤。其中,监测设备对第一数字证书的数据签名的验证可以包括:监测设备计算第一数字证书的第一摘要,并与第二摘要进行比对,如果第一摘要和第二摘要一致,则对第一数字证书中的数字签名验证通过。其中,第二摘要为服务器对第一数字证书计算获得的。即,在服务器发送第一数字证书的同时,先利用摘要算法计算第一数字证书的第二摘要,并将第一数字证书以及对应的第二摘要发送出去。当监测设备捕获到第一数字证书,利用同样的摘要算法计算第一数字证书的第一摘要,并判断第一摘要和第二摘要是否相同,如果二者相同,则表明对第一数字证书中的数字签名验证通过;否则,验证不通过。
S205:监测设备构造第二数字证书,并将该第二数字证书发送给终端,以使得终端获取该第二数字证书的公钥。
可以理解的是,由于监测设备捕获真实的终端发送的第一连接请求,此时,监测设备模拟服务器构造第二数字证书,并将该第二数字证书发送给终端。由于终端已预先安装该监测设备的根证书,表明信任该监测设备,当终端检测到第二数字证书的发送者为监测设备,则直接获取该第二数字证书的公钥,以便利用该公钥进行加密。
S206:终端生成对称密钥,并利用第二数字证书的公钥对该对称密钥进行加密,获得第二密文数据。
S207:监测设备获取终端设备发送的第二密文数据,并利用第二数字证书的私钥对密文数据进行解密,获得对称密钥。
本实施例中,监测设备可以获取终端设备在后续通信过程中的对称密钥,与终端建立信任连接。其中,对称密钥可以包括加密密钥和解密密钥。
S208:监测设备利用第一数字证书的公钥对所获得的对称密钥进行加密,获得第三密文数据,并将第三密文数据发送给服务器。
S209:服务器利用第一数字证书的私钥对第三密文数据进行解密,获得对称密钥。
本实施例中,服务器获取模拟终端(监测设备)在后续通信中的对称密钥,与监测设备建立信任连接。
需要说明的是,本实施例中终端所执行的操作,均是由安装在该终端的客户端执行,然后通过终端进行发送。
通过上述实施例可知,监测设备模拟服务器与终端建立连接,再模拟终端与真正的服务器建立连接,以便在可以截获终端或服务器发送的目标网络报文。
方法实施例二
基于方法实施例一,下面将结合附图对数据检测过程进行说明。
参见图3,该图为本申请实施例提供的一种数据监测方法的流程图,如图3所示,该方法应用于监测设备,可以包括:
S301:获取第一网络设备发送的第一目标网络报文。
本实施例中,监测设备可以实时监测第一网络设备是否发送网络报文,如果是,则捕获第一网络设备发送的第一目标网络报文。其中,第一网络设备可以为终端、服务器、基站等设备,本实施例在此不做限定。在具体实现时,监测设备可以通过PFRING或DPDK等高速报文捕获工具采集网络边界报文。其中,
在实际应用中,第一网络设备可以发送各种格式的网络报文,而有些网络报文无需对其包括的内容进行检测,可以直接透传给目标网络设备(第二网络设备)。因此,在捕获到第一网络设备发送的网络报文时,还需判断该网络报文是否为目标网络报文,具体包括:获取第一网络设备发送的网络报文;并解析该网络报文的协议格式,将与预设协议格式匹配的网络报文确定为目标网络报文。即,当捕获到第一网络设备发的网络报文后,解析该网络报文的协议格式,如果该网络报文的协议格式为预设的协议格式,则将该报网络文确定目标网络报文。其中,预设的协议格式可以为HRRPS协议格式,目标网络报文为HTTPS报文。
可以理解的是,在一些情况下,监测设备所捕获的报文虽为目标网络报文,但由于第一网络设备为安全的网络设备,通常不涉及敏感数据,为减小监测设备的工作负荷,可以预先设备白名单,将安全的网络设备的IP地址加入该白名单中,当监测设备监测到该第一网络设备所发送的第一目标网络报文中的源IP地址包括在白名单中,则不再对该第一目标网络报文进行转换,直接透传。具体为,在将第一目标网络报文的地址转换之前,监测设备还可以判断该目标网络报文的源IP地址是否在源地址白名单中,如果目标网络报文的源IP地址在源地址白名单中,则将该目标网络报文直接转发给目标网络设备,不再进行后续操作;否则,将第一目标网络报文的目的IP地址、目的端口以及目的MAC地址转换为监测设备。其中,源IP地址为第一网络设备对应的IP地址。
S302:将第一目标网络报文中的目的IP地址、目的端口以及目的MAC地址转换为监测设备的IP地址、端口以及MAC地址。
S303::利用第一对称密钥对第一目标网络报文进行解密获得明文数据,以对明文数据进行审计处理。
当监测设备捕获到第一目标网络报文后,为可以对目标网络报文中的内容进行审计,先将第一目标网络报文中的目的地址(目的IP地址和目的MAC地址)转换为监测设备地址以及将目的端口转换为监测设备的端口。再利用预先与第一网络设备协商获得的第一对称密钥对第一目标网络报文进行解密获得明文数据,从而对明文数据进行审计处理,即判断明文数据中是否包括敏感内容。
在具体实现时,本实施例提供了一种对明文数据进行审计处理的方式,具体为,判断明文数据是否与预设安全策略匹配;当明文数据与预设安全策略匹配时,则确定明文数据为不安全数据;否则确定该明文数据为安全数据。其中,预设安全匹配策略可以包括预设关键词、预设正则表达式、预设指纹信息、邮件收发人等。其中,预设指纹信息是指不安全数据所包括的特征信息,具体地,预设指纹信息可以包括结构化指纹信息以及非结构化指纹信息。
例如,可以判断明文数据是否包括预设关键词和/或判断明文数据是否与预设正则表达式匹配;当明文数据中包括预设关键词或明文数据与预设正则表达式匹配,则确定明文数据为不安全数据;否则,确定该明文数据为安全数据。其中,预设关键词和预设正则表达式可以根据应用实际情况进行设定。当监测设备解析到明文数据中包括预设的一个或多个预设关键词时,表明该明文数据中包括敏感内容,则确定该明文数据为不安全数据,或者,明文数据中一些字符符合预设的正则表达式,则表明该明文数据包括敏感内容,则确定该明文数据为不安全数据,则不再向目标网络设备进行发送,执行S304。
S304:当明文数据为不安全数据时,断开与第一网络设备的会话连接。
即,当确定出第一目标网络包括中的明文数据为不安全数据时,为避免第一网络设备继续发送带有敏感内容的网络报文,监测设备可以在确定明文数据为不安全数据时,断开与第一网络设备的会话连接,有效防止敏感信息外泄。
通过上述实施例可知,利用监测设备对第一网络设备发送的目标网络报文的数据进行监测,当监测到目标网络报文中包括敏感数据时,为避免敏感数据外泄,将直接断开与第一网络设备的会话连接,终止通信。
可以理解的是,当第一目标网络报文中的明文数据为不安全数据时,监测设备将断开与第一网络设备的会话连接,避免敏感数据外泄。当明文数据为安全数据时,为保证第一目标网络报文可以准确发送到目标网络设备,监测设备还需将已经转换的地址再次转换为目标网络设备的地址,从而将目标网络报文发送给目标网络设备。具体地,当明文数据为安全数据时,利用第二对称密钥对明文数据进行加密获得第二目标网络报文;将目标网络报文中的监测设备的IP地址、MAC地址以及端口转换为目的IP地址、目的MAC地址以及目的端口,并发送给第二网络设备。
当确定第一网络设备发送的第一目标网络报文安全时,利用与第二网络设备预先协商的第二对称密钥对对明文数据进行加密获得第二目标网络报文。然后,将第二目标网络报文中的监测设备的IP地址、端口以及MAC地址转换为目的IP地址、目的端口以及目的MAC地址,再将该第二目标网络报文发送给真正的目标网络设备,即第二网络设备。其中,第二网络设备为目的IP地址、目的端口以及目的MAC地址对应的网络设备,该第二网络设备可以为终端、服务器、基站等设备。
需要说明的是,当监测设备在将第一目标网络报文的目的IP地址、目的MAC地址以及目的端口等地址信息转换为监测设备对应的地址信息时,可以预先保存转换后的地址信息与真实的地址信息之间的映射关系,当确定明文数据为安全数据时,可以根据上述映射关系,再将第二目标网络报文中的地址信息转换为真实的目的地址。
通过上述实施例可知,当审计结果为明文数据为安全数据时,表明该明文数据不包括敏感数据,利用第二对称密钥对明文数据进行加密获得第二目标网络报文。再将第二目标网络报文中的监测设备的IP地址、MAC地址以及端口转换为目的IP地址、目的MAC地址以及目的端口,并发送给第二网络设备。即,通过地址转换,实现对目标网络报文的内容监测,避免敏感数据被泄漏。同时,无需设置代理服务器以及为代理服务器配置IP,节省成本和网络资源,而且监测设备可以串行在网络边界,对通信不会造成影响。
在实际应用中,监测设备在与第一网络设备、第二网络设备进行对称密钥协商时,为保证对称密钥的安全性,还可以对对称密钥进行加密。具体地,当监测设备与第一网络设备进行密钥协商时,监测设备从认证中心获取第一网络设备的第一公钥;利用该第一公钥对第一网络设备发送的第一密钥数据进行解密获得第一对称密钥。其中,第一密钥数据是由第一网络设备利用第一私钥对第一对称密钥加密形成的,且第一公钥和第一私钥成对存在,由认证中心生成。也就是,认证中心为第一网络设备生成一对公钥和私钥,即第一公钥和第一私钥,并将该第一公钥发送给监测设备,将第一私钥发送给第一网络设备。第一网络设备在生成第一对称密钥后,利用第一私钥进行加密生成第一密钥数据,并发送给监测设备。监测设备利用第一公钥对第一密钥数据进行解密获得第一对称密钥。
同理,当监测设备与第二网络设备进行密钥协商时,监测设备利用第二私钥对第二对称密钥进行加密生成第二密钥数据,并发送给第二网络设备,以使的第二网络设备利用第二公钥对第二密钥数据进行解密获得第二对称密钥。其中,第二公钥与第二私钥一一对应,均由认证中心生成。即,认证中心为第二网络设备生成一对公钥和私钥,即第二公钥和第二私钥,并将该第二公钥发送给第二网络设备,将第二私钥发送给监测设备。监测设备在生成第二对称密钥后,利用第二私钥进行加密生成第二密钥数据,并发送给第一网络设备。第二网络设备利用第二公钥对第二密钥数据进行解密获得第二对称密钥。
本领域技术人员可以理解的是,在一次完整的会话过程中,多个网络报文将被传输,监测设备在对网络报文的内容进行审计时,在对称加密通信阶段,可以一次仅处理一个网络报文,对该网络报文进行地址信息转换以及内容审计,也可以在接收到所有网络报文后,再针对所有网络报文进行地址信息转换以及内容审计,本实施例在此不做限定。
需要说明的是,在实际应用中,监测设备可以包括多个功能模块,以通过该功能模块实现对报文内容的监测。参见图4,具体可以包括捕获模块、协议解析模块、报文网络地址转换模块、用户态或者内核态TCP/IP协议栈、代理模块、内容审计模块、发送模块。在实际工作时,监测设备通过捕获模块采集网络边界网络报文,通过协议解析模块识别属于HTTPS协议的目标网络报文,其余非HTTPS协议报文直接发送。再将HTTPS协议报文发送给报文网络地址转换模块,将目标网络报文中的目的IP地址转换为监测设备的IP地址、目的MAC地址转换为监测设备的MAC地址以及目的端口转换为监测设备的端口,并重新封装该目标网络报文发送到TCP/IP协议栈。代理模块可以实时监听发送到TCP/IP协议栈的目标网络报文,然后利用第一对称密钥对目标网络报文进行解密,获得明文数据。再由内容审计模块对明文数据进行解析、匹配等处理。如果明文数据为安全数据,利用第二对称密钥对明文数据进行加密,再次获得目标网络报文,则将目标网络报文中监测设备IP地址、MAC地址以及端口转换为真实的目的IP地址、MAC地址以及端口,并通过发送模块发送到目标网络设备。如果,明文数据为不安全数据,则断开与第一网络设备的会话连接,防止敏感信息外泄。
基于上述方法实施例,本申请实施例还提供了一种数据监测装置,参见图5,所述装置应用于监测设备,所述装置包括:
获取单元501,用于获取第一网络设备发送的第一目标网络报文;
第一转换单元502,用于将所述第一目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口,获得转换后的第一目标网络报文;
解密单元503,用于利用第一对称密钥对所述转换后的第一目标网络报文进行解密获得明文数据;所述第一对称密钥为所述监测设备与所述第一网络设备通过密钥协商获得;
审计单元504,用于对所述明文数据进行审计处理;
断开单元505,用于当所述明文数据为不安全数据时,断开与所述第一网络设备的会话连接。
在一种可能的实现方式中,所述装置还包括:
加密单元,用于当所述明文数据为安全数据时,并利用第二对称密钥对所述明文数据进行加密获得第二目标网络报文;所述第二对称密钥为所述监测设备与第二网络设备通过密钥协商获得;所述第二网络设备为所述目的IP地址对应的网络设备;
第二转换单元,用于将所述第二目标网络报文中监测设备的IP地址、MAC地址以及端口转换为所述目的IP地址、目的MAC地址以及目的端口,获得转换后的第二目标网络报文;
第一发送单元,用于将所述转换后的第二目标网络报文发送给所述第二网络设备。
在一种可能的实现方式中,所述装置还包括:
判断单元,用于判断所述第一目标网络报文的源IP地址是否在源地址白名单中,如果所述第一目标网络报文的源IP地址在所述源地址白名单中,将所述第一目标网络报文直接发送给所述第二目标网络设备;所述源IP地址为所述第一网络设备对应的IP地址。
在一种可能的实现方式中,所述审计单元,具体用于判断所述明文数据是否与预设安全策略匹配,所述预设安全策略至少包括预设关键词、预设正则表达式、预设指纹信息;当所述明文数据与所述预设安全策略匹配时,则确定所述明文数据为不安全数据;否则,确定所述明文数据为安全数据。
在一种可能的实现方式中,所述监测设备与所述第一网络设备进行密钥协商的过程包括:
所述监测设备从认证中心获取所述第一网络设备的第一公钥;
利用所述第一公钥对所述第一网络设备发送的第一密钥数据进行解密获得第一对称密钥;所述第一密钥数据是由所述第一网络设备利用第一私钥对所述第一对称密钥加密形成的;所述第一公钥与所述第一私钥一一对应,均由所述认证中心生成;
所述监测设备与所述第二网络设备密钥协商过程包括:
所述监测设备利用第二私钥对第二对称密钥进行加密生成第二密钥数据,并发送给所述第二网络设备,以使所述第二网络设备利用第二公钥对所述第二密钥数据进行解密获得所述第二对称密钥,所述第二公钥与所述第二私钥一一对应,均由所述认证中心生成。
在一种可能的实现方式中,所述获取单元,包括:
获取子单元,用于获取所述第一网络设备发送的网络报文;
解析单元,用于解析所述网络报文的协议格式,将与预设协议格式匹配的网络报文确定所述第一目标网络报文。
在一种可能的实现方式中,所述第一目标网络报文为HTTPS协议网络报文。
其中,数据监测提取装置包括处理器和存储器,上述获取单元501、第一转换单元502、解密单元503、审计单元504、和断开单元505等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现数据监测。
另外,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现所述的数据监测方法。
本申请实施例提供了一种用于数据监测的设备,其特征在于,所述设备包括存储器和处理器,所述存储器用于存储一个或者一个以上的程序,所述处理器用于调用所述存储器中的程序,以执行所述的数据监测方法。
本申请实施例还提供了一种用于数据监测的设备,参见图6,该图为本申请实施例提供的一种用于数据监测设备的结构示意图。图6所示的设备600包括至少一个处理器601、以及与处理器601连接的至少一个存储器602、总线603;其中,处理器601、存储器602通过总线603完成相互间的通信;处理器601用于调用存储器602中的程序指令,以执行以上实施例任意一项所述的数据监测方法。
本申请中的数据监测设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:
获取第一网络设备发送的第一目标网络报文;
将所述第一目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口,获得转换后的第一目标网络报文;
利用第一对称密钥对所述转换后的第一目标网络报文进行解密获得明文数据,以对所述明文数据进行审计处理;所述第一对称密钥为所述监测设备与所述第一网络设备通过密钥协商获得;
当所述明文数据为不安全数据时,断开与所述第一网络设备的会话连接。
可选的,所述方法还包括:
当所述明文数据为安全数据时,并利用第二对称密钥对所述明文数据进行加密获得第二目标网络报文;所述第二对称密钥为所述监测设备与第二网络设备通过密钥协商获得;所述第二网络设备为所述目的IP地址对应的网络设备;
将所述第二目标网络报文中监测设备的IP地址、MAC地址以及端口转换为所述目的IP地址、目的MAC地址以及目的端口,获得转换后的第二目标网络报文,并发送给所述第二网络设备。
可选的,在将所述第一目标网络报文的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口之前,所述方法还包括:
判断所述第一目标网络报文的源IP地址是否在源地址白名单中,如果所述第一目标网络报文的源IP地址在所述源地址白名单中,将所述第一目标网络报文直接发送给所述第二目标网络设备;所述源IP地址为所述第一网络设备对应的IP地址。
可选的,所述对所述明文数据进行审计处理,包括:
判断所述明文数据是否与预设安全策略匹配,所述预设安全策略至少包括预设关键词、预设正则表达式、预设指纹信息;
当所述明文数据与所述预设安全策略匹配时,则确定所述明文数据为不安全数据;否则,确定所述明文数据为安全数据。
可选的,所述监测设备与所述第一网络设备进行密钥协商的过程包括:
所述监测设备从认证中心获取所述第一网络设备的第一公钥;
利用所述第一公钥对所述第一网络设备发送的第一密钥数据进行解密获得第一对称密钥;所述第一密钥数据是由所述第一网络设备利用第一私钥对所述第一对称密钥加密形成的;所述第一公钥与所述第一私钥一一对应,均由所述认证中心生成;
所述监测设备与所述第二网络设备密钥协商过程包括:
所述监测设备利用第二私钥对第二对称密钥进行加密生成第二密钥数据,并发送给所述第二网络设备,以使所述第二网络设备利用第二公钥对所述第二密钥数据进行解密获得所述第二对称密钥,所述第二公钥与所述第二私钥一一对应,均由所述认证中心生成。
可选的,所述获取第一网络设备发送的第一目标网络报文,包括:
获取所述第一网络设备发送的网络报文;
解析所述网络报文的协议格式,将与预设协议格式匹配的网络报文确定所述第一目标网络报文。
可选的,所述第一目标网络报文为HTTPS协议网络报文。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种数据监测方法,其特征在于,所述方法应用于监测设备,所述方法包括:
获取第一网络设备发送的第一目标网络报文;
将所述第一目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口,获得转换后的第一目标网络报文;
利用第一对称密钥对所述转换后的第一目标网络报文进行解密获得明文数据,以对所述明文数据进行审计处理;所述第一对称密钥为所述监测设备与所述第一网络设备通过密钥协商获得;
当所述明文数据为不安全数据时,断开与所述第一网络设备的会话连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述明文数据为安全数据时,利用第二对称密钥对所述明文数据进行加密获得第二目标网络报文;所述第二对称密钥为所述监测设备与第二网络设备通过密钥协商获得;所述第二网络设备为所述目的IP地址对应的网络设备;
将所述第二目标网络报文中监测设备的IP地址、MAC地址以及端口转换为所述目的IP地址、目的MAC地址以及目的端口,获得转换后的第二目标网络报文,并发送给所述第二网络设备。
3.根据权利要求1所述的方法,其特征在于,在将所述第一目标网络报文的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口之前,所述方法还包括:
判断所述第一目标网络报文的源IP地址是否在源地址白名单中,如果所述第一目标网络报文的源IP地址在所述源地址白名单中,将所述第一目标网络报文直接发送给所述第二目标网络设备;所述源IP地址为所述第一网络设备对应的IP地址。
4.根据权利要求1所述的方法,其特征在于,所述对所述明文数据进行审计处理,包括:
判断所述明文数据是否与预设安全策略匹配;所述预设安全策略至少包括预设关键词、预设正则表达式、预设指纹信息;
当所述明文数据与所述预设安全策略匹配时,则确定所述明文数据为不安全数据;否则,确定所述明文数据为安全数据。
5.根据权利要求2所述的方法,其特征在于,所述监测设备与所述第一网络设备进行密钥协商的过程包括:
所述监测设备从认证中心获取所述第一网络设备的第一公钥;
利用所述第一公钥对所述第一网络设备发送的第一密钥数据进行解密获得第一对称密钥;所述第一密钥数据是由所述第一网络设备利用第一私钥对所述第一对称密钥加密形成的;所述第一公钥与所述第一私钥一一对应,均由所述认证中心生成;
所述监测设备与所述第二网络设备密钥协商过程包括:
所述监测设备利用第二私钥对第二对称密钥进行加密生成第二密钥数据,并发送给所述第二网络设备,以使所述第二网络设备利用第二公钥对所述第二密钥数据进行解密获得所述第二对称密钥,所述第二公钥与所述第二私钥一一对应,均由所述认证中心生成。
6.根据权利要求1所述的方法,其特征在于,所述获取第一网络设备发送的第一目标网络报文,包括:
获取所述第一网络设备发送的网络报文;
解析所述网络报文的协议格式,将与预设协议格式匹配的网络报文确定所述第一目标网络报文。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述第一目标网络报文为HTTPS协议网络报文。
8.一种数据监测装置,其特征在于,所述装置应用于监测设备,所述装置包括:
获取单元,用于获取第一网络设备发送的第一目标网络报文;
第一转换单元,用于将所述第一目标网络报文中的目的IP地址、目的MAC地址以及目的端口转换为所述监测设备的IP地址、MAC地址以及端口,获得转换后的第一目标网络报文;
解密单元,用于利用第一对称密钥对所述转换后的第一目标网络报文进行解密获得明文数据;所述第一对称密钥为所述监测设备与所述第一网络设备通过密钥协商获得;
审计单元,用于对所述明文数据进行审计处理;
断开单元,用于当所述明文数据为不安全数据时,断开与所述第一网络设备的会话连接。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现权利要求1至7中任一项所述的数据监测方法。
10.一种用于数据监测的设备,其特征在于,所述设备包括存储器和处理器,所述存储器用于存储一个或者一个以上的程序,所述处理器用于调用所述存储器中的程序,以执行权利要求1至7中任一项所述的数据监测方法。
CN201911311839.6A 2019-12-18 2019-12-18 一种数据监测方法及装置 Pending CN112995120A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911311839.6A CN112995120A (zh) 2019-12-18 2019-12-18 一种数据监测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911311839.6A CN112995120A (zh) 2019-12-18 2019-12-18 一种数据监测方法及装置

Publications (1)

Publication Number Publication Date
CN112995120A true CN112995120A (zh) 2021-06-18

Family

ID=76343988

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911311839.6A Pending CN112995120A (zh) 2019-12-18 2019-12-18 一种数据监测方法及装置

Country Status (1)

Country Link
CN (1) CN112995120A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389837A (zh) * 2021-12-07 2022-04-22 广东宜通衡睿科技有限公司 一种物联网终端的安全监测方法、装置、介质及设备
CN114666368A (zh) * 2022-03-28 2022-06-24 广东电网有限责任公司 电力物联网的访问控制方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506354A (zh) * 2016-10-31 2017-03-15 杭州华三通信技术有限公司 一种报文传输方法和装置
CN107666383A (zh) * 2016-07-29 2018-02-06 阿里巴巴集团控股有限公司 基于https协议的报文处理方法以及装置
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
CN108769292A (zh) * 2018-06-29 2018-11-06 北京百悟科技有限公司 报文数据处理方法及装置
CN109413060A (zh) * 2018-10-19 2019-03-01 深信服科技股份有限公司 报文处理方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666383A (zh) * 2016-07-29 2018-02-06 阿里巴巴集团控股有限公司 基于https协议的报文处理方法以及装置
CN106506354A (zh) * 2016-10-31 2017-03-15 杭州华三通信技术有限公司 一种报文传输方法和装置
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
CN108769292A (zh) * 2018-06-29 2018-11-06 北京百悟科技有限公司 报文数据处理方法及装置
CN109413060A (zh) * 2018-10-19 2019-03-01 深信服科技股份有限公司 报文处理方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389837A (zh) * 2021-12-07 2022-04-22 广东宜通衡睿科技有限公司 一种物联网终端的安全监测方法、装置、介质及设备
CN114666368A (zh) * 2022-03-28 2022-06-24 广东电网有限责任公司 电力物联网的访问控制方法、装置、设备及存储介质
CN114666368B (zh) * 2022-03-28 2024-01-30 广东电网有限责任公司 电力物联网的访问控制方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN106713320B (zh) 终端数据传输的方法和装置
US11303431B2 (en) Method and system for performing SSL handshake
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
US11470060B2 (en) Private exchange of encrypted data over a computer network
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
CN114338844B (zh) 一种客户端服务器之间的跨协议通信方法及装置
CN113204772B (zh) 数据处理方法、装置、系统、终端、服务器和存储介质
CN114500054B (zh) 服务访问方法、服务访问装置、电子设备以及存储介质
CN112689014B (zh) 一种双全工通信方法、装置、计算机设备和存储介质
US20170317836A1 (en) Service Processing Method and Apparatus
US20080133915A1 (en) Communication apparatus and communication method
CN112954683A (zh) 域名解析方法、装置、电子设备和存储介质
CN112995120A (zh) 一种数据监测方法及装置
CN112995119A (zh) 一种数据监测方法及装置
CN115333839A (zh) 数据安全传输方法、系统、设备及存储介质
CN104243452A (zh) 一种云计算访问控制方法及系统
CN111600948A (zh) 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序
CN114125027A (zh) 一种通信建立方法、装置、电子设备及存储介质
WO2019237576A1 (zh) 校验虚拟机通信性能的方法及装置
CN108989302B (zh) 一种基于密钥的opc代理连接系统和连接方法
US9071596B2 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
WO2023141876A1 (zh) 数据传输方法、装置、系统、电子设备及可读介质
CN115766119A (zh) 通信方法、装置、通信系统及存储介质
CN113992734A (zh) 会话连接方法及装置、设备
CN111431846B (zh) 数据传输的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210618