本申请公开了一种报文镜像和加密传输方法,包括:串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台。应用本申请,能够提高镜像报文传输的安全性。
【技术实现步骤摘要】
一种报文镜像和加密传输方法
本申请涉及网络流量监测技术,特别涉及一种报文镜像和加密传输方法。
技术介绍
随着宽带业务高速发展,网络流量监测与控制的重要性日益突出,主要体现在:互联网业务的复杂多样性,必须通过网络监控了解IP承载网络的流量和业务组成,并对这些流量和业务进行有效管理;P2P的普及应用,已经取代传统业务成为网络带宽资源的最大消耗者,未加管理的VOIP虚拟运营,劣化了原先的宽带业务,严重影响了运营商和电话业务使用者的利益,而通过网络监控能够对其进行有效限制;对于不规范的网络共享接入,通过网络监控能够防止宽带网络用户流失,规范宽带接入行为,增加业务收入;更重要的是,必须掌握客户的网络行为习惯,从而进行针对性的业务开发和营销,通过分析网络流量和用户行为,针对网络热点和用户兴趣,基于分析结果作智能的WEB定向广告推送,为个性化运营提供依据,实现网络增值。为了对网络中流量进行监控,利用并联在网络中的分流设备采用报文镜像技术将所需要的报文(如用户访问WEB、Email等报文数据)镜像到监控端口,然后传输给后台,由后台对镜像报文进行分析和处理。而镜像数据报文的传输是使用TCP/IP通信协议来完成的,TCP/IP协议是层次结构的通信协议,用户数据信息被划分成一个个的数据分段,经过各层协议时,添加上各层协议的控制信息,作为数据分段的头部信息,这个头部信息说明了各相应层通信的规则,数据分段经各层封装后最终形成物理数据帧,通过物理链路送到通信网络上传输。物理数据帧经过各路由节点时还原成IP数据分组的形式进行路由转发,这时的IP数据报文以明文方式存在,信息内容极易泄露。为避免信息泄露,可以在IP协议层对数据报文分组采取一些安全保护措施,如:对IP数据报文分组不再以有意义的明文方式进行传输,对IP数据报文进行分组加密,以密文的方式在通信网络中传输。现有的加密方式为:在网络中设置服务器,分流设备将镜像报文通过监控端口传输给设置的服务器,在服务器主机上运行加密软件,利用保存的密钥对接收的镜像报文进行加密,再将加密后的镜像报文传输到后台进行分析和处理。这种加密方法中需要占用主机资源,其运算速度不如硬件快,并且,加密的密钥以明文的方式存储在加密软件中,安全性较差;同时,在分流设备与服务器间传输的镜像报文仍然是明文形式,无法提高其安全性;进一步地,分流设备以并联方式连接在网络中,对于所需镜像报文的分拣速度也比较慢。由此可见,目前的报文镜像和加密传输方式,存在很多弊端。
技术实现思路
本申请提供了一种报文镜像和加密传输方法,能够提高报文传输的安全性。一种报文镜像和加密传输方法,包括:串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台。较佳地,将用于所述加密的密钥预先保存在所述专用硬件单元中。较佳地,该方法进一步包括:所述镜像设备对所述镜像报文进行标记后再执行所述封装的操作。较佳地,所述利用隧道协议进行封装包括:将所述隧道协议的报头放在镜像报文的净荷包和分发包之间。较佳地,所述隧道协议为通用路由封装或L2TP协议。较佳地,所述对封装后的镜像报文进行加密包括:利用所述封装后的镜像报文的外部IP头中预设的若干比特作为加密密钥A;将所述加密密钥A与所述可编程逻辑器件保存的加密密钥B进行异或运算,得到加密密钥C;所述可编程逻辑器件利用所述加密密钥C对需要加密的数据进行加密。较佳地,所述需要加密的数据为:所述封装后的镜像报文中隧道协议的报头和净荷包。较佳地,所述加密密钥C对需要加密的数据进行加密为:将需要加密的数据与所述加密密钥C进行异或运算。较佳地,所述专用硬件单元为可编程逻辑器件。由上述技术方案可见,本申请中,串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用专用硬件单元对封装后的镜像报文进行加密后传输到后台。通过上述本申请的方式,一方面报文镜像和加密都在镜像设备中完成,没有明文形式的镜像报文直接在网络中传输,从而大大提高了镜像报文的安全性;另一方面利用专用硬件单元以硬件方式实现加密,比软件实现方式的加密速度快很多,并且耗费资源更少。附图说明图1为本申请中报文镜像和加密传输方法的基本流程图;图2为报文镜像和加密传输系统的架构图;图3为GRE封装后的报文帧格式示意图;图4为加密流程示意图。具体实施方式为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。本申请中在网络中串联一个镜像设备,由该镜像设备实现报文镜像和加密,再传输给后台进行分析和处理。图1为本申请中报文镜像和加密传输方法的基本流程图。如图1所示,该方法包括:步骤101,在网络中串联镜像设备。将镜像设备以串联方式连接到网络中,如图2所示,在物理线路上插入镜像设备,这种方式相对于相邻的路由器而言,不影响链路的可靠传输。步骤102,镜像设备将需要的报文进行镜像。具体地,镜像设备将出口和入口两个方向的所有报文中需要参与网络流量监测的报文进行镜像处理。由于镜像设备串联在网络中,因此相对于
技术介绍
中提到的并联在网络中的分流设备,镜像设备对于所需报文的分拣速度能够大大提高。步骤103,镜像设备将镜像报文进行封装。具体封装方式优选利用隧道协议进行封装,从而提高报文传输的安全性和可靠性。用于封装的隧道协议可以是通用路由封装(GRE)协议或L2TP等。下面以GRE协议封装为例进行说明。图3为GRE镜像报文帧格式示意图。其中,GRE报头放在净荷包(原始数据包格式)和分发包之间,报文中各个域的填写都遵循RFC1701标准。另外,为方便后台对于镜像报文的分析,可以在封装镜像报文前,将镜像报文进行标记,用以标识出镜像报文的类型等信息。具体标记可以与现有方式相同,这里就不再赘述。步骤104,利用镜像设备中的专用硬件单元对封装后的镜像报文进行加密。本申请中为提高镜像报文的加密速度,采用硬件方式实现镜像报文的加密处理。具体利用镜像设备中的专用硬件单元来进行,该专用硬件单元可以是可编程逻辑器件(例如FPGA、CPLD等)或专门设计的硬件电路等。优选地,为进一步提高加密处理和镜像报文的安全性,可以将用于加密的密钥保存在用于加密的专用硬件单元中,从而避免直接将密钥以明文形式暴露。在进行加密时,本申请给出一种优选的加密方式,具体处理如图4所示:a、在外部IP包头中取报头中预设位置的16、32或64比特,作为加密密钥A;其中,密钥A的具体位置是预先协商确定的。b、由专用硬件单元提供一个16、32或64比特的加密密钥B;其中,可以通过软件对专用硬件单元中的密钥B进行配置和更新,还可设置缺省值。c、用密钥A同密钥B做异或运算,得到新的加密密钥C;d、将需要加密的数据(例如,加密范围可以包括GRE头、内层IP帧头、IP包数据)同新的加密密钥C做异或运算,产生加密报文;其中,由于本方法中利用外层IP报头中的部分比特作为密钥,因此加密不对外层IP包头进行。当然上述加密方式仅为一个示例,也可以根据需要采用其他的加密方式实现加密。步骤105,镜像设备将加密后的镜像报文发送给后台进行分析处理。至此,本申请中的报文镜像和加密传输方法流程结束。后台接收到加密后的镜像报文后,采本文档来自技高网...
【技术保护点】
一种报文镜像和加密传输方法,其特征在于,该方法包括:串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台。
【技术特征摘要】
1.一种报文镜像和加密传输方法,其特征在于,该方法包括:串联在网络中的镜像设备将需要的报文镜像,并将镜像报文利用隧道协议进行封装;再利用所述镜像设备中的专用硬件单元对封装后的镜像报文进行加密后传输到后台;所述对封装后的镜像报文进行加密包括:利用所述封装后的镜像报文的外部IP头中预设的若干比特作为加密密钥A;将所述加密密钥A与所述专用硬件单元保存的加密密钥B进行异或运算,得到加密密钥C;所述专用硬件单元利用所述加密密钥C对需要加密的数据进行加密;其中,将用于所述加密的密钥预先保存在所述专用硬件单元中。2.根据权利要求1所述的方法,其特征在于,该方法进一步包括:所述镜像设备对...
【专利技术属性】
技术研发人员:于华,陈勇,陈陆颖,刘芳,
申请(专利权)人:北京宽广电信高技术发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。