一種適用于IPv6的信息防泄漏方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明涉及適用于IPv6的信息防泄漏方法及系統(tǒng),包括以下步驟:獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包��,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文�;對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容;判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文�,如果是,對(duì)負(fù)載內(nèi)容按照協(xié)商階段處理��,得到協(xié)商信息���,否則進(jìn)行解密處理���;對(duì)解密后的解密信息進(jìn)行特定信息匹配,根據(jù)匹配結(jié)果�����,對(duì)解密信息進(jìn)行數(shù)據(jù)處理;根據(jù)協(xié)商信息或處理結(jié)果����,判斷協(xié)商階段處理或數(shù)據(jù)處理是否完成�����,在協(xié)商階段處理和數(shù)據(jù)處理完成后�����,轉(zhuǎn)入步驟2繼續(xù)處理下一報(bào)文����;在所有報(bào)文處理完成后,結(jié)束處理���。本發(fā)明能夠應(yīng)對(duì)IPv6及過(guò)渡環(huán)境的信息進(jìn)行防泄漏分析處理���;采用用戶(hù)態(tài)的安全聯(lián)盟處理方法,不依賴(lài)系統(tǒng)環(huán)境��,擴(kuò)展性強(qiáng)����,處理性能好�。
【專(zhuān)利說(shuō)明】—種適用于IPv6的信息防泄漏方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及IPv6網(wǎng)絡(luò)信息安全領(lǐng)域���,特別涉及一種適用于IPv6的信息防泄漏方法及系統(tǒng)����。
【背景技術(shù)】
[0002]近年來(lái)隨著互聯(lián)網(wǎng)的發(fā)展����,尤其是移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展,IP地址短缺問(wèn)題成為制約互聯(lián)網(wǎng)發(fā)展的關(guān)鍵因素���,而物聯(lián)網(wǎng)��、云計(jì)算等方面的技術(shù)也要求有更多的IP地址以供使用��。由此可見(jiàn)���,IPv4向IPv6的轉(zhuǎn)換十分緊迫。目前隨著IPv6標(biāo)準(zhǔn)�����、技術(shù)、產(chǎn)品和商業(yè)需求的逐步成熟�����,IPv6產(chǎn)業(yè)趨勢(shì)也漸趨明朗����,國(guó)內(nèi)外IPv6試點(diǎn)網(wǎng)也紛紛啟用��,IPv6的逐漸普及已經(jīng)是大勢(shì)所趨�����。隨之而來(lái)����,如何解決IPv6帶來(lái)的眾多新的網(wǎng)絡(luò)信息安全問(wèn)題也成為關(guān)注焦點(diǎn),而如何在IPv6環(huán)境下解決特定信息(如商業(yè)秘密信息����、個(gè)人隱私信息等)的防泄漏問(wèn)題就是其中一個(gè)方面。數(shù)據(jù)泄漏原因主要包括:竊密��、泄密和失密���。目前存在的信息防泄漏方法主要包括了數(shù)據(jù)加密����、特定應(yīng)用數(shù)據(jù)的即時(shí)分析過(guò)濾等。數(shù)據(jù)加密僅能保障部分信息不會(huì)失密��,而無(wú)法防止數(shù)據(jù)被竊密或泄密����,因此對(duì)于特定信息防泄漏仍需要采用數(shù)據(jù)分析過(guò)濾的方法。針對(duì)IPv6環(huán)境下的數(shù)據(jù)分析過(guò)濾方法主要借鑒IPv4環(huán)境下的分析過(guò)濾方法����,包括:針對(duì)IP地址端口的五元組過(guò)濾,主要利用通信雙方地址及端口信息確定通信鏈接�,對(duì)鏈接內(nèi)的信息進(jìn)行全部過(guò)濾;針對(duì)特征串匹配的信息過(guò)濾���,對(duì)通信報(bào)文內(nèi)容進(jìn)行特征串匹配處理����,符合匹配結(jié)果的進(jìn)行過(guò)濾處理��;針對(duì)應(yīng)用協(xié)議的內(nèi)容過(guò)濾����,如URL過(guò)濾���、郵件及附件關(guān)鍵字過(guò)濾等,該方法需要首先識(shí)別承載的應(yīng)用協(xié)議類(lèi)型���,并對(duì)該協(xié)議進(jìn)行還原��,進(jìn)而進(jìn)行負(fù)載內(nèi)容的關(guān)鍵字匹配處理,該方法適宜于標(biāo)準(zhǔn)協(xié)議下的信息過(guò)濾���。以上分析過(guò)濾方法各有優(yōu)缺點(diǎn)�����,適宜于不同的應(yīng)用場(chǎng)景�����,并且具有不同的信息過(guò)濾粒度范圍�。在IPv6環(huán)境下由于IPv6協(xié)議對(duì)應(yīng)用層及其以上協(xié)議層并不產(chǎn)生過(guò)多影響���,因此應(yīng)用層及其以上協(xié)議層的信息分析過(guò)濾仍可采用IPv4環(huán)境下的方法��,但在網(wǎng)絡(luò)層存在顯著差異�����,對(duì)于信息過(guò)濾來(lái)說(shuō)主要表現(xiàn)在:在IPv4向IPv6演進(jìn)過(guò)程中在過(guò)渡階段所采用的各類(lèi)技術(shù):雙棧���、隧道��、翻譯等導(dǎo)致針對(duì)IPv6環(huán)境下的處理需要支持雙棧�����,并能夠?qū)Pv6隧道下混合流量進(jìn)行處理���,另外IPv6中建議使用IPSec協(xié)議加密使得需要考慮加密后的信息過(guò)濾問(wèn)題。由于IPv4環(huán)境下目前的特定信息分析過(guò)濾系統(tǒng)處理的數(shù)據(jù)是網(wǎng)絡(luò)上的明文數(shù)據(jù)��,而對(duì)使用IPSec協(xié)議進(jìn)行加密的數(shù)據(jù)報(bào)文處理并沒(méi)有很好的解決方法�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種應(yīng)對(duì)IPv6及過(guò)渡環(huán)境,對(duì)信息進(jìn)行防泄漏分析處理���、采用基于中間人的密鑰協(xié)商方法����、用戶(hù)態(tài)的安全聯(lián)盟處理方法及負(fù)載均衡技術(shù)的適用于IPv6的信息防泄漏方法及系統(tǒng)。
[0004]本發(fā)明解決上述技術(shù)問(wèn)題的技術(shù)方案如下:一種適用于IPv6的信息防泄漏方法�,其特征在于,包括以下步驟:
[0005]步驟1:獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包��,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文�;[0006]步驟2:對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容�����;
[0007]步驟3:判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文���,如果是,對(duì)負(fù)載內(nèi)容按照協(xié)商階段處理����,得到協(xié)商信息�����,否則進(jìn)行解密處理�����,得到解密信息;
[0008]步驟4:對(duì)解密后的解密信息進(jìn)行特定信息匹配�,根據(jù)匹配結(jié)果,對(duì)解密信息進(jìn)行數(shù)據(jù)處理��,得到處理結(jié)果���;
[0009]步驟5:根據(jù)協(xié)商信息或處理結(jié)果�,判斷協(xié)商階段處理或數(shù)據(jù)處理是否完成,在協(xié)商階段處理和數(shù)據(jù)處理完成后����,轉(zhuǎn)入步驟2繼續(xù)處理下一報(bào)文;
[0010]步驟6:在所有報(bào)文處理完成后����,結(jié)束處理��。
[0011]本發(fā)明的有益效果是:(I)能夠應(yīng)對(duì)IPv6及過(guò)渡環(huán)境��,對(duì)特定信息進(jìn)行防泄漏分析處理�;(2)采用用戶(hù)態(tài)的SA處理方法���,不依賴(lài)系統(tǒng)環(huán)境,擴(kuò)展性強(qiáng)����;(3)基于負(fù)載均衡的并行化處理IPSec加密數(shù)據(jù)的方法,處理性能好���。
[0012]在上述技術(shù)方案的基礎(chǔ)上��,本發(fā)明還可以做如下改進(jìn)��。
[0013]進(jìn)一步����,一種適用于IPv6的信息防泄漏系統(tǒng),包括獲取模塊��,負(fù)載均衡模塊���,判斷模塊�����,匹配模塊�,轉(zhuǎn)入模塊和結(jié)束模塊���,
[0014]所述獲取模塊,用于獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包�,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文�,將數(shù)據(jù)報(bào)文發(fā)送給負(fù)載均衡模塊�;
[0015]所述負(fù)載均衡模塊���,用于接收數(shù)據(jù)報(bào)文��,對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容�����,將負(fù)載內(nèi)容發(fā)送給判斷模塊���;
[0016]所述判斷模塊���,用于接收負(fù)載內(nèi)容����,判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文���,如果是,對(duì)負(fù)載內(nèi)容按照協(xié)商階段處理,得到協(xié)商信息����,否則進(jìn)行解密處理�,得到解密信息�,將協(xié)商信息發(fā)送給轉(zhuǎn)入模塊���,將解密信息發(fā)送給匹配模塊�����;
[0017]所述匹配模塊����,用于接收解密信息��,對(duì)解密后的解密信息進(jìn)行特定信息匹配,根據(jù)匹配結(jié)果����,對(duì)解密信息進(jìn)行數(shù)據(jù)處理����,得到處理結(jié)果�����,將處理結(jié)果發(fā)送給轉(zhuǎn)入模塊;
[0018]所述轉(zhuǎn)入模塊�����,用于接收協(xié)商信息或處理結(jié)果���,根據(jù)協(xié)商信息或處理結(jié)果判斷協(xié)商階段處理或后續(xù)處理是否完成�����,在協(xié)商階段處理和后續(xù)處理完成后���,轉(zhuǎn)入負(fù)載均衡模塊繼續(xù)處理下一報(bào)文�;
[0019]所述結(jié)束模塊�,用于在所有報(bào)文處理完成后,結(jié)束處理�。
[0020]采用上述進(jìn)一步方案的有益效果是(I)能夠應(yīng)對(duì)IPv6及過(guò)渡環(huán)境,對(duì)特定信息進(jìn)行防泄漏分析處理;(2)采用用戶(hù)態(tài)的SA處理方法��,不依賴(lài)系統(tǒng)環(huán)境�����,擴(kuò)展性強(qiáng)����;(3)基于負(fù)載均衡的并行化處理IPSec加密數(shù)據(jù)的方法����,處理性能好��。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0021]圖1為本發(fā)明方法步驟流程圖��;
[0022]圖2為本發(fā)明系統(tǒng)結(jié)構(gòu)圖�。
[0023]附圖中�,各標(biāo)號(hào)所代表的部件列表如下:
[0024]1、獲取模塊����,2、負(fù)載均衡模塊��,3、判斷模塊,4����、匹配模塊���,5、轉(zhuǎn)入模塊�����,6�、判斷轉(zhuǎn)入模塊�,7����、檢查判斷模塊��,8�����、添加標(biāo)記模塊���,9�����、添加處理模塊����,10����、擴(kuò)展加密模塊,11����、檢查解密模塊����,12�、結(jié)束模塊?����!揪唧w實(shí)施方式】
[0025]以下結(jié)合附圖對(duì)本發(fā)明的原理和特征進(jìn)行描述��,所舉實(shí)例只用于解釋本發(fā)明�,并非用于限定本發(fā)明的范圍��。
[0026]如圖1所示��,為本發(fā)明方法步驟流程圖,圖2為本發(fā)明系統(tǒng)結(jié)構(gòu)圖。
[0027]實(shí)施例1
[0028]一種適用于IPv6的信息防泄漏方法�����,其特征在于����,包括以下步驟:
[0029]步驟1:獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包�����,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文;
[0030]步驟2:對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容���;
[0031]步驟3:判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文�����,如果是����,對(duì)負(fù)載內(nèi)容按照協(xié)商階段處理�����,得到協(xié)商信息�����,否則進(jìn)行解密處理�����,得到解密信息�;
[0032]步驟4:對(duì)解密后的解密信息進(jìn)行特定信息匹配����,根據(jù)匹配結(jié)果����,對(duì)解密信息進(jìn)行數(shù)據(jù)處理���,得到處理結(jié)果;
[0033]步驟5:根據(jù)協(xié)商信息或處理結(jié)果���,判斷協(xié)商階段處理或數(shù)據(jù)處理是否完成,在協(xié)商階段處理和數(shù)據(jù)處理完成后��,轉(zhuǎn)入步驟2繼續(xù)處理下一報(bào)文�����;
[0034]步驟6:在所有報(bào)文處理完成后,結(jié)束處理�����。
[0035]所述步驟4中還包括對(duì)明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配。
[0036]所述步驟I之前還包括步驟O:初始化配置參數(shù)����,分配監(jiān)聽(tīng)配置線(xiàn)程�、數(shù)據(jù)包處理線(xiàn)程�,對(duì)全局?jǐn)?shù)據(jù)參數(shù)進(jìn)行內(nèi)存分配����,初始化加密鏈接表和存儲(chǔ)結(jié)構(gòu)��。
[0037]所述步驟3進(jìn)一步包括:
[0038]步驟3a:判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文�,如果是,則轉(zhuǎn)入步驟3b���,否貝丨J��,轉(zhuǎn)入步驟3e ��;
[0039]步驟3b:檢查該協(xié)商報(bào)文是否在加密鏈接表中�,如果在����,判斷該協(xié)商報(bào)文處于哪一協(xié)商階段�,之后按照協(xié)商階段的流程繼續(xù)處理該協(xié)商報(bào)文���,如果不在�����,則判斷該協(xié)商報(bào)文是否為數(shù)字簽名的認(rèn)證方式,如果是�����,則轉(zhuǎn)入步驟3d,如果不是����,轉(zhuǎn)入步驟3c ;
[0040]步驟3c:將協(xié)商報(bào)文添加到加密鏈接表中�����,標(biāo)記協(xié)商報(bào)文的認(rèn)證方式���,之后將該協(xié)商報(bào)文從網(wǎng)卡輸出��,轉(zhuǎn)入步驟2 ;
[0041]步驟3d:在加密鏈接表中添加新的協(xié)商鏈接��,按照協(xié)商階段的流程處理協(xié)商報(bào)文,轉(zhuǎn)入步驟2 ;
[0042]步驟3e:判斷協(xié)商報(bào)文是否具有ESP格式的擴(kuò)展內(nèi)容,如果沒(méi)有��,則協(xié)商報(bào)文為明文數(shù)據(jù)包或僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包,轉(zhuǎn)入步驟4�����,否則����,判斷協(xié)商報(bào)文是否在加密鏈接表中,如果不在,將協(xié)商報(bào)文從網(wǎng)卡轉(zhuǎn)出,轉(zhuǎn)入步驟2�����,否則,將協(xié)商報(bào)文解密����,轉(zhuǎn)入步驟3f ;
[0043]步驟3f:檢查加密鏈接表中的標(biāo)記信息�,如果標(biāo)記信息不為數(shù)字簽名認(rèn)證方式則將協(xié)商報(bào)文從網(wǎng)卡輸出��,否則����,對(duì)協(xié)商報(bào)文進(jìn)行解密�����。
[0044]所述解密包括以下步驟:
[0045]密鑰交換協(xié)議協(xié)商產(chǎn)生的安全聯(lián)盟信息����,按照安全聯(lián)盟信息中的加密算法及密鑰對(duì)協(xié)商報(bào)文進(jìn)行解密�。
[0046]所述步驟4中解密包括以下步驟:
[0047]步驟4a:請(qǐng)求端經(jīng)過(guò)中間協(xié)商端向應(yīng)答端發(fā)送用第一安全聯(lián)盟加密的第一網(wǎng)絡(luò)包;[0048]步驟4b:中間協(xié)商端收到第一網(wǎng)絡(luò)包,使用第一安全聯(lián)盟將第一網(wǎng)絡(luò)包進(jìn)行解密處理,還原成第一明文包;
[0049]步驟4c:中間協(xié)商端將第一明文包處理完成后�����,使用第二安全聯(lián)盟對(duì)第一明文包進(jìn)行加密,產(chǎn)生重組的第二網(wǎng)絡(luò)包�,發(fā)送給應(yīng)答端;
[0050]步驟4d:應(yīng)答端收到重組的第二網(wǎng)絡(luò)包����,使用第二安全聯(lián)盟進(jìn)行解密處理,生成響應(yīng)包�����,然后使用第三安全聯(lián)盟對(duì)響應(yīng)包進(jìn)行加密產(chǎn)生第三網(wǎng)絡(luò)包發(fā)送給中間協(xié)商端����;
[0051]步驟4e:中間協(xié)商端端收到第三網(wǎng)絡(luò)包,使用第三安全聯(lián)盟進(jìn)行解密處理���,還原成第二明文包���;
[0052]步驟4f:中間協(xié)商端將第二明文包處理完成后���,使用第四安全聯(lián)盟對(duì)第二明文包進(jìn)行加密���,產(chǎn)生重組的第四網(wǎng)絡(luò)包,發(fā)送給請(qǐng)求端�;
[0053]步驟4g:請(qǐng)求端收到重組的第四網(wǎng)絡(luò)包�����,使用第四安全聯(lián)盟進(jìn)行解密處理����,之后繼續(xù)完成下一次通信��。
[0054]所述步驟4中進(jìn)一步為:對(duì)解密后的解密信息����、明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配,匹配上的數(shù)據(jù)進(jìn)行過(guò)濾處理���,未匹配的數(shù)據(jù)依據(jù)安全聯(lián)盟進(jìn)行加密處理后從網(wǎng)卡轉(zhuǎn)出�����。
[0055]一種適用于IPv6的信息防泄漏系統(tǒng)�����,包括獲取模塊1����,負(fù)載均衡模塊2,判斷模塊3��,匹配模塊4�,轉(zhuǎn)入模塊5和結(jié)束模塊12����,
[0056]所述獲取模塊1���,用于獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包�����,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文�����,將數(shù)據(jù)報(bào)文發(fā)送給負(fù)載均衡模塊2 ���;
[0057]所述負(fù)載均衡模塊2�,用于接收數(shù)據(jù)報(bào)文��,對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容���,將負(fù)載內(nèi)容發(fā)送給判斷模塊3 ;
[0058]所述判斷模塊3���,用于接收負(fù)載內(nèi)容�,判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文,如果是��,對(duì)負(fù)載內(nèi)容按照協(xié)商階段處理����,得到協(xié)商信息,否則進(jìn)行解密處理�����,得到解密信息,將協(xié)商信息發(fā)送給轉(zhuǎn)入模塊5����,將解密信息發(fā)送給匹配模塊4 ;
[0059]所述匹配模塊4�,用于接收解密信息,對(duì)解密后的解密信息進(jìn)行特定信息匹配���,根據(jù)匹配結(jié)果����,對(duì)解密信息進(jìn)行數(shù)據(jù)處理�,得到處理結(jié)果,將處理結(jié)果發(fā)送給轉(zhuǎn)入模塊5 ��;
[0060]所述轉(zhuǎn)入模塊5��,用于接收協(xié)商信息或處理結(jié)果��,根據(jù)協(xié)商信息或處理結(jié)果判斷協(xié)商階段處理或后續(xù)處理是否完成�����,在協(xié)商階段處理和后續(xù)處理完成后,轉(zhuǎn)入負(fù)載均衡模塊2繼續(xù)處理下一報(bào)文����;
[0061]所述結(jié)束模塊12,用于在所有報(bào)文處理完成后�����,結(jié)束處理�����。
[0062]所述匹配模塊4中還包括特定信息匹配模塊��,所述特定信息匹配模塊用于對(duì)明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配��,之后對(duì)解密后的解密信息���、明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配,匹配上的數(shù)據(jù)進(jìn)行過(guò)濾處理�,未匹配的數(shù)據(jù)依據(jù)安全聯(lián)盟進(jìn)行加密處理后從網(wǎng)卡轉(zhuǎn)出。
[0063]所述判斷模塊3進(jìn)一步包括判斷轉(zhuǎn)入模塊6��,檢查判斷模塊7���,添加標(biāo)記模塊8���,添加處理模塊9���,擴(kuò)展加密模塊10和檢查解密模塊11 ;
[0064]所述判斷轉(zhuǎn)入模塊6�����,用于判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文����,如果是,則轉(zhuǎn)入檢查判斷模塊7����,否則,轉(zhuǎn)入擴(kuò)展加密模塊10 ����;
[0065]所述檢查判斷模塊7,用于檢查協(xié)商報(bào)文是否在加密鏈接表中���,如果在����,判斷該協(xié)商報(bào)文處于哪一協(xié)商階段,之后按照協(xié)商階段的流程繼續(xù)處理該協(xié)商報(bào)文����,如果不在,則判斷該協(xié)商報(bào)文是否為數(shù)字簽名的認(rèn)證方式�,如果是,則轉(zhuǎn)入添加處理模塊9����,如果不是,轉(zhuǎn)入添加標(biāo)記模塊8 ����;
[0066]所述添加標(biāo)記模塊8,用于將協(xié)商報(bào)文添加到加密鏈接表中�,標(biāo)記協(xié)商報(bào)文的認(rèn)證方式,之后將該協(xié)商報(bào)文從網(wǎng)卡輸出���,轉(zhuǎn)入步驟2 ;
[0067]所述添加處理模塊9����,用于在加密鏈接表中添加新的協(xié)商鏈接��,按照協(xié)商階段的流程處理協(xié)商報(bào)文��,轉(zhuǎn)入負(fù)載均衡模塊2 ��;
[0068]所述擴(kuò)展加密模塊10���,用于判斷協(xié)商報(bào)文是否具有ESP格式的擴(kuò)展內(nèi)容�����,如果沒(méi)有�,則協(xié)商報(bào)文為明文數(shù)據(jù)包或僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包�����,轉(zhuǎn)入匹配模塊4�����,否則��,判斷協(xié)商報(bào)文是否在加密鏈接表中���,如果不在�,將協(xié)商報(bào)文從網(wǎng)卡轉(zhuǎn)出,轉(zhuǎn)入負(fù)載均衡模塊2�����,否則�,將協(xié)商報(bào)文解密,轉(zhuǎn)入檢查解密模塊11 ;
[0069]所述檢查解密模塊11����,檢查加密鏈接表中的標(biāo)記信息,如果標(biāo)記信息不為數(shù)字簽名認(rèn)證方式則將協(xié)商報(bào)文從網(wǎng)卡輸出��,否則�����,密鑰交換協(xié)議協(xié)商產(chǎn)生安全聯(lián)盟信息��,按照安全聯(lián)盟信息中的加密算法及密鑰對(duì)協(xié)商報(bào)文進(jìn)行解密����。
[0070]以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種適用于IPv6的信息防泄漏方法�����,其特征在于���,包括以下步驟: 步驟1:獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包���,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文; 步驟2:對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容���; 步驟3:判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文���,如果是�,對(duì)負(fù)載內(nèi)容按照協(xié)商階段處理�,得到協(xié)商信息,否則進(jìn)行解密處理�,得到解密信息; 步驟4:對(duì)解密后的解密信息進(jìn)行特定信息匹配����,根據(jù)匹配結(jié)果,對(duì)解密信息進(jìn)行數(shù)據(jù)處理�,得到處理結(jié)果; 步驟5:根據(jù)協(xié)商信息或處理結(jié)果�����,判斷協(xié)商階段處理或數(shù)據(jù)處理是否完成�,在協(xié)商階段處理和數(shù)據(jù)處理完成后,轉(zhuǎn)入步驟2繼續(xù)處理下一報(bào)文��; 步驟6:在所有報(bào)文處理完成后��,結(jié)束處理�����。
2.根據(jù)權(quán)利要求1所述的信息防泄漏方法,其特征在于:所述步驟4中還包括對(duì)明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配����。
3.根據(jù)權(quán)利要求2所述的信息防泄漏方法,其特征在于:所述步驟I之前還包括步驟O:初始化配置參數(shù)���,分配監(jiān)聽(tīng)配置線(xiàn)程、數(shù)據(jù)包處理線(xiàn)程��,對(duì)全局?jǐn)?shù)據(jù)參數(shù)進(jìn)行內(nèi)存分配���,初始化加密鏈接表和存儲(chǔ)結(jié)構(gòu)��。
4.根據(jù)權(quán)利要求3所述的信息防泄漏方法���,其特征在于:所述步驟3進(jìn)一步包括: 步驟3a:判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文,如果是����,則轉(zhuǎn)入步驟3b,否則�,轉(zhuǎn)入步驟3e ; 步驟3b:檢查該協(xié)商 報(bào)文是否在加密鏈接表中�����,如果在,判斷該協(xié)商報(bào)文處于哪一協(xié)商階段����,之后按照協(xié)商階段的流程繼續(xù)處理該協(xié)商報(bào)文,如果不在���,則判斷該協(xié)商報(bào)文是否為數(shù)字簽名的認(rèn)證方式����,如果是�����,則轉(zhuǎn)入步驟3d�����,如果不是�,轉(zhuǎn)入步驟3c ; 步驟3c:將協(xié)商報(bào)文添加到加密鏈接表中��,標(biāo)記協(xié)商報(bào)文的認(rèn)證方式����,之后將該協(xié)商報(bào)文從網(wǎng)卡輸出�����,轉(zhuǎn)入步驟2; 步驟3d:在加密鏈接表中添加新的協(xié)商鏈接��,按照協(xié)商階段的流程處理協(xié)商報(bào)文��,轉(zhuǎn)入步驟2 �����; 步驟3e:判斷協(xié)商報(bào)文是否具有ESP格式的擴(kuò)展內(nèi)容,如果沒(méi)有�����,則協(xié)商報(bào)文為明文數(shù)據(jù)包或僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包���,轉(zhuǎn)入步驟4�,否則����,判斷協(xié)商報(bào)文是否在加密鏈接表中,如果不在,將協(xié)商報(bào)文從網(wǎng)卡轉(zhuǎn)出�,轉(zhuǎn)入步驟2,否則��,將協(xié)商報(bào)文解密�����,轉(zhuǎn)入步驟3f ; 步驟3f:檢查加密鏈接表中的標(biāo)記信息����,如果標(biāo)記信息不為數(shù)字簽名認(rèn)證方式則將協(xié)商報(bào)文從網(wǎng)卡輸出,否則��,對(duì)協(xié)商報(bào)文進(jìn)行解密��。
5.根據(jù)權(quán)利要求4所述的信息防泄漏方法��,其特征在于:所述解密包括以下步驟: 密鑰交換協(xié)議協(xié)商產(chǎn)生的安全聯(lián)盟信息��,按照安全聯(lián)盟信息中的加密算法及密鑰對(duì)協(xié)商報(bào)文進(jìn)行解密����。
6.根據(jù)權(quán)利要求5所述的信息防泄漏方法,其特征在于:所述步驟4中解密包括以下步驟: 步驟4a:請(qǐng)求端經(jīng)過(guò)中間協(xié)商端向應(yīng)答端發(fā)送用第一安全聯(lián)盟加密的第一網(wǎng)絡(luò)包���;步驟4b:中間協(xié)商端收到第一網(wǎng)絡(luò)包����,使用第一安全聯(lián)盟將第一網(wǎng)絡(luò)包進(jìn)行解密處理,還原成第一明文包���; 步驟4c:中間協(xié)商端將第一明文包處理完成后��,使用第二安全聯(lián)盟對(duì)第一明文包進(jìn)行加密���,產(chǎn)生重組的第二網(wǎng)絡(luò)包,發(fā)送給應(yīng)答端��; 步驟4d:應(yīng)答端收到重組的第二網(wǎng)絡(luò)包���,使用第二安全聯(lián)盟進(jìn)行解密處理,生成響應(yīng)包����,然后使用第三安全聯(lián)盟對(duì)響應(yīng)包進(jìn)行加密產(chǎn)生第三網(wǎng)絡(luò)包發(fā)送給中間協(xié)商端; 步驟4e:中間協(xié)商端端收到第三網(wǎng)絡(luò)包�,使用第三安全聯(lián)盟進(jìn)行解密處理,還原成第二明文包��; 步驟4f:中間協(xié)商端將第二明文包處理完成后,使用第四安全聯(lián)盟對(duì)第二明文包進(jìn)行加密���,產(chǎn)生重組的第四網(wǎng)絡(luò)包��,發(fā)送給請(qǐng)求端�; 步驟4g:請(qǐng)求端收到重組的第四網(wǎng)絡(luò)包�,使用第四安全聯(lián)盟進(jìn)行解密處理,之后繼續(xù)完成下一次通信��。
7.根據(jù)權(quán)利要求2至6任一所述的信息防泄漏方法�����,其特征在于:所述步驟4中進(jìn)一步為:對(duì)解密后的解密信息�、明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配,匹配上的數(shù)據(jù)進(jìn)行過(guò)濾處理���,未匹配的數(shù)據(jù)依據(jù)安全聯(lián)盟進(jìn)行加密處理后從網(wǎng)卡轉(zhuǎn)出�����。
8.一種適用于IPv6的信息防泄漏系統(tǒng)��,其特征在于:包括獲取模塊(I)����,負(fù)載均衡模塊(2),判斷模塊(3)���,匹配模塊(4)�,轉(zhuǎn)入模塊(5)和結(jié)束模塊(12)���, 所述獲取模塊(1)����,用于獲取待處理的網(wǎng)絡(luò)數(shù)據(jù)包�����,解析網(wǎng)絡(luò)數(shù)據(jù)包得到數(shù)據(jù)報(bào)文�����,將數(shù)據(jù)報(bào)文發(fā)送給負(fù)載均衡模塊(2)��; 所述負(fù)載均衡模塊(2)���,用于接收數(shù)據(jù)報(bào)文����,對(duì)數(shù)據(jù)報(bào)文進(jìn)行負(fù)載均衡處理得到負(fù)載內(nèi)容�,將負(fù)載內(nèi)容發(fā)送給判斷模塊(3); 所述判斷模塊(3)�����,用于接收負(fù)載內(nèi)容����,判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文,如果是��,對(duì)負(fù)載內(nèi)容按照協(xié)商階 段處理�����,得到協(xié)商信息����,否則進(jìn)行解密處理,得到解密信息����,將協(xié)商信息發(fā)送給轉(zhuǎn)入模塊(5)�,將解密信息發(fā)送給匹配模塊(4); 所述匹配模塊(4)���,用于接收解密信息����,對(duì)解密后的解密信息進(jìn)行特定信息匹配���,根據(jù)匹配結(jié)果����,對(duì)解密信息進(jìn)行數(shù)據(jù)處理�����,得到處理結(jié)果�����,將處理結(jié)果發(fā)送給轉(zhuǎn)入模塊(5); 所述轉(zhuǎn)入模塊(5)��,用于接收協(xié)商信息或處理結(jié)果��,根據(jù)協(xié)商信息或處理結(jié)果判斷協(xié)商階段處理或后續(xù)處理是否完成���,在協(xié)商階段處理和后續(xù)處理完成后��,轉(zhuǎn)入負(fù)載均衡模塊(2)繼續(xù)處理下一報(bào)文�����; 所述結(jié)束模塊(12 )����,用于在所有報(bào)文處理完成后���,結(jié)束處理���。
9.根據(jù)權(quán)利要求8所述的信息防泄漏系統(tǒng),其特征在于:所述匹配模塊(4)中還包括特定信息匹配模塊�����,所述特定信息匹配模塊用于對(duì)明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配�,之后對(duì)解密后的解密信息、明文數(shù)據(jù)包和僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包進(jìn)行特定信息匹配���,匹配上的數(shù)據(jù)進(jìn)行過(guò)濾處理�,未匹配的數(shù)據(jù)依據(jù)安全聯(lián)盟進(jìn)行加密處理后從網(wǎng)卡轉(zhuǎn)出。
10.根據(jù)權(quán)利要求9所述的信息防泄漏系統(tǒng)����,其特征在于:所述判斷模塊(3)進(jìn)一步包括判斷轉(zhuǎn)入模塊(6),檢查判斷模塊(7)��,添加標(biāo)記模塊(8)�,添加處理模塊(9),擴(kuò)展加密模塊(10 )和檢查解密模塊(11); 所述判斷轉(zhuǎn)入模塊(6)��,用于判斷負(fù)載內(nèi)容是否為滿(mǎn)足IPSec的協(xié)商報(bào)文��,如果是���,則轉(zhuǎn)入檢查判斷模塊(7)�,否則���,轉(zhuǎn)入擴(kuò)展加密模塊(10)�; 所述檢查判斷模塊(7)��,用于檢查協(xié)商報(bào)文是否在加密鏈接表中���,如果在���,判斷該協(xié)商報(bào)文處于哪一協(xié)商階段�,之后按照協(xié)商階段的流程繼續(xù)處理該協(xié)商報(bào)文�����,如果不在���,則判斷該協(xié)商報(bào)文是否為數(shù)字簽名的認(rèn)證方式,如果是�����,則轉(zhuǎn)入添加處理模塊(9)��,如果不是����,轉(zhuǎn)入添加標(biāo)記模塊(8); 所述添加標(biāo)記模塊(8)����,用于將協(xié)商報(bào)文添加到加密鏈接表中�����,標(biāo)記協(xié)商報(bào)文的認(rèn)證方式�,之后將該協(xié)商報(bào)文從網(wǎng)卡輸出���,轉(zhuǎn)入步驟2 ; 所述添加處理模塊(9)���,用于在加密鏈接表中添加新的協(xié)商鏈接,按照協(xié)商階段的流程處理協(xié)商報(bào)文�����,轉(zhuǎn)入負(fù)載均衡模塊(2)��; 所述擴(kuò)展加密模塊(10)�����,用于判斷協(xié)商報(bào)文是否具有ESP格式的擴(kuò)展內(nèi)容����,如果沒(méi)有,則協(xié)商報(bào)文為明文數(shù)據(jù)包或僅進(jìn)行AH驗(yàn)證的數(shù)據(jù)包��,轉(zhuǎn)入匹配模塊(4),否則�����,判斷協(xié)商報(bào)文是否在加密鏈接表中��,如果不在����,將協(xié)商報(bào)文從網(wǎng)卡轉(zhuǎn)出�����,轉(zhuǎn)入負(fù)載均衡模塊(2)��,否則����,將協(xié)商報(bào)文解密,轉(zhuǎn)入檢查解密模塊(11); 所述檢查解密模塊(11 )�����,檢查加密鏈接表中的標(biāo)記信息���,如果標(biāo)記信息不為數(shù)字簽名認(rèn)證方式則將協(xié)商報(bào)文從網(wǎng)卡輸出�,否則,密鑰交換協(xié)議協(xié)商產(chǎn)生安全聯(lián)盟信息�,按照安全聯(lián)盟信息中的加密算法及 密鑰對(duì)協(xié)商報(bào)文進(jìn)行解密。
【文檔編號(hào)】H04L29/06GK103428199SQ201310195276
【公開(kāi)日】2013年12月4日 申請(qǐng)日期:2013年5月23日 優(yōu)先權(quán)日:2013年5月23日
【發(fā)明者】云曉春, 張永錚, 常鵬, 郝志宇 申請(qǐng)人:中國(guó)科學(xué)院信息工程研究所