一种基于加密协议审计数据的方法、装置和存储介质制造方法及图纸

本申请提供了基于加密协议审计数据的方法，包括：接收来自请求通信方的加密数据请求包后将其发送至虚拟网口并创建请求方地址信息与目标通信方地址信息的映射关系1；对请求包中的数据进行解析和审计并将通过审计的请求包发送至通信端，同时创建虚拟网口端口与请求方地址信息的映射关系2；基于关系2调取请求方地址信息并将其替换为请求包中的请求来源信息之后将其发送至目标通信方；接收目标通信方的响应数据包；对数据包中的加密数据进行解析和审计；基于关系1获取目标方地址信息，将响应数据包的来源信息替换为目标方地址信息并将其发送至请求通信方。本申请通过上述手段解决现有技术中存在的使用流程繁复、容易被绕行以及适用性差等问题。

【技术实现步骤摘要】
一种基于加密协议审计数据的方法、装置和存储介质
本申请涉及网络数据安全审计
，特别地，涉及一种基于加密协议审计数据的方法、装置和存储介质。
技术介绍
随着信息技术的不断发展，信息安全问题也日益突出。如何确保信息系统的安全已成为全社会共同关注的问题。虽然通过防病毒软件、防火墙、IDS、IPS等技术手段可以减少外来入侵的风险，但是由于责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。据资料显示，70%以上的信息泄露是由于企业内部员工安全意识薄弱，操作失误或者内外勾结而产生的破坏所造成的，而信息泄露往往会影响到企业的正常运作和持续发展，给企业带来极大的损失。因此如何从系统管理上对用户访问进行控制和审计就变得尤为重要。目前的业务流量分为非加密和加密数据，为了实现业务的全覆盖，扫除安全监控的盲区，从管理上真正实现全流量的监控，对于两种数据都要有审计和控制的能力。对于明文协议的解析，只要能够获取到流量就可以直接按照协议的格式进行解析；然而对于加密协议我们无法直接解析密文，通常采用的方式是构造中间人代理方式，重建业务过程，在代理端对解码后的数据进行审计和控制。基于加密协议的传统数据审计方式如图1所示。具体处理办法一般包括两个步骤：1)用户请求转发到代理程序，通常使用的有两种方式：a)门户方式，门户展示该用户可访问的目标应用，用户需要先访问门户，选择并跳转到目标应用，这意味着代理程序需要额外提供门户的功能，而且对于不同的应用要提供不同的门户，对于https的web代理需要提供web门户，对于ssh加密协议需要提供字符界面门户。b)插件方式，需要在用户终端安装钩子插件，用户访问目标时由插件劫持请求，并重定向用户的目标到代理程序，这意味着用户需要在终端上安装插件程序，并绕过安全产品的检查。2)代理程序获得代理目标，通常使用的也有两种方式：a)代理程序启动不同的代理端口映射不同的目标，代理程序启动时进行加载。如：配置2222=192.168.1.33:22，那么sshProxy在启动时将监听2222端口，并在收到请求时主动连接192.168.1.33的22端口。b)在访问代理程序时，将目标的信息发送给代理程序，然后由代理程序访问目标。3)中间人代理。代理程序建立代理过程以后，进行数据的转发，并根据数据内容进行审计，对用户行为进行控制。然而，这些技术方案虽然在功能上实现了对加密协议的审计和控制能力，但是在用户体验和审计效率以及稳定性、兼容性等方面存在问题，主要包括：1)在用户请求转发到代理程序过程中：a)门户方式，需要对不同的应用提供门户功能，开发量大。对于用户来说改变使用方式，体验差。b)插件方式，用户需要在自己的终端安装插件，这并不能排除用户卸载插件的可能，以及安全产品对插件的拦截，从而造成插件失效，无法控制用户的访问行为，即该方式下仍然存在用户绕行的可能。2)在代理程序获得代理目标的过程中：a)对于通过不同端口映射不同目标的方式，代理程序需要提前配置映射关系，有新应用需要接入时，不得不修改配置，重启程序。不但带来管理上的负担，而且随着应用的增多，启动代理端口数量受到限制，代理程序的性能也会成为瓶颈。b)对于传递目标地址的方式，需要在用户接入端提供发送功能并在代理端接收，开发量大，并且由于上述用户到代理过程的不稳定性，导致该过程也会存在问题。基于以上问题，本领域需要一种使用更加便捷、对数据的审计更加稳定和全面的审计方法。
技术实现思路
本申请提供一种基于加密协议审计数据的方法，其包括：在通信端接收来自请求通信方的加密数据请求包，并将所述加密数据请求包发送至审计端的虚拟网口，同时创建所述请求通信方地址信息与目标通信方的地址信息的映射关系1；在所述审计端对所述加密数据请求包中的数据进行解析和审计，并将通过审计的加密数据请求包发送至所述通信端，创建虚拟网口端口与所述请求通信方地址信息的映射关系2；在所述通信端基于所述映射关系2调取所述请求通信方地址信息并将所述加密请求包中的请求来源地址信息替换为所述请求通信方地址信息，之后将所述审计后的加密请求包发送至目标通信方；在所述通信端接收所述目标通信方的响应数据包，并将所述响应数据包发送至所述审计端；在所述审计端对所述响应数据包中的加密数据进行解析和审计，将通过审计的所述响应数据包发送至所述通信端；在所述通信端基于所述映射关系1获取所述目标通信方的地址信息以及所述请求通信方地址信息，将所述响应数据包的来源地址信息替换为所述目标通信方的地址信息后将所述响应数据包发送至所述请求通信方。本专利技术的方法还包括在通信端接收来自请求通信方的数据请求包后首先对所述数据请求包的目标地址进行类型判定，如果所述目标地址类型判定为单播地址且不为虚拟网口地址，那么所述数据请求包中的数据进行加密判定，将判定为非加密的数据包直接发送至所述目标地址，将判定为加密的加密数据包发送至所述审计端进行后续审计程序。在本专利技术的方法中，在所述审计端通过加密协议代理程序实现对加密数据的解析；通过调用物理端口的接收和发送方法进行所述通信端的数据的接收和发送；通过调用虚拟网口的接收和发送方法进行所述审计端的数据的接收和发送。在本专利技术的方法中，所述审计端和所述通信端之间以队列的方式传递数据包的指针；基于哈希函数建立所述映射关系1和映射关系2。在本专利技术的方法中，如果所述加密数据请求包或所述响应数据包没有通过审计，则向所述通信请求方发送请求不合法的通知且不进行后续步骤。本申请公开的一种基于加密协议审计数据的装置，所述装置包括通信端和审计端：所述通信端包括：数据接收发送模块，用于请求通信方、目标通信方和所述审计端进行数据的传输，所述数据的传输包含接收数据、发送数据、返回数据；数据处理模块，用于在所述通信端根据审计模块中的加密协议解析所述数据，并根据请求通信方、目标通信方、审计端虚拟网口的地址信息重构所述数据；所述审计端包括：虚拟网口模块，用于在审计端创建虚拟网口、处理所述虚拟网口接收的通信端数据，并且通过所述虚拟网口与所述通信端进行所述数据的传输；审计模块，用于在所述审计端对经过所述虚拟网口模块传输的来自通信端的数据进行解析和审计，并将审计的结果通过所述虚拟网口模块返回所述通信端。在本专利技术的装置中，所述数据处理模块进一步包括：虚拟网口地址获取模块，用于通过所述数据接收发送模块向所述虚拟端口发送数据包、接收返回数据包，解析所述返回数据包获取所述虚拟网口的地址信息；数据重构模块，用于获取数据请求通信方的地址信息、目标通信方的地址信息、虚拟网口的地址信息并建立映射关系以及替换数据中包含的来源信息；所述建立的映射关系包括所述请求通信方地址信息与目标通信方地址信息的映射关系1和所述虚拟网口端口与所述请求通信方地址信息之间的映射关系2。在本专利技术的装置中，所述通信端还包含：数据判定模块，用于记录所述接收发送模块传输的数据的源地址，并对其目标地址进行类型判定，所述数据处理模块根据所述类型判定的结果对所述数据进行处理，并交由所述数据接收发送模块对处理后的数据进行传输。在本专利技术的装置中，对于传输数据的所述目标地址类型判定为单播地址且目标地址为虚拟网口地址的数据，将该数据发送给所述虚拟网口地址；对于传输数据的所述目标地址类型判定本文档来自技高网...

【技术保护点】
1.一种基于加密协议审计数据的方法，其特征在于，包括：在通信端接收来自请求通信方的加密数据请求包，并将所述加密数据请求包发送至审计端的虚拟网口，同时创建所述请求通信方地址信息与目标通信方的地址信息的映射关系1；在所述审计端对所述加密数据请求包中的数据进行解析和审计，并将通过审计的加密数据请求包发送至所述通信端，创建虚拟网口端口与所述请求通信方地址信息的映射关系2；在所述通信端基于所述映射关系2调取所述请求通信方地址信息并将所述加密请求包中的请求来源地址信息替换为所述请求通信方地址信息，之后将所述审计后的加密请求包发送至目标通信方；在所述通信端接收所述目标通信方的响应数据包，并将所述响应数据包发送至所述审计端；在所述审计端对所述响应数据包中的加密数据进行解析和审计，将通过审计的所述响应数据包发送至所述通信端；在所述通信端基于所述映射关系1获取所述目标通信方的地址信息以及所述请求通信方地址信息，将所述响应数据包的来源地址信息替换为所述目标通信方的地址信息后将所述响应数据包发送至所述请求通信方。

【技术特征摘要】
1.一种基于加密协议审计数据的方法，其特征在于，包括：在通信端接收来自请求通信方的加密数据请求包，并将所述加密数据请求包发送至审计端的虚拟网口，同时创建所述请求通信方地址信息与目标通信方的地址信息的映射关系1；在所述审计端对所述加密数据请求包中的数据进行解析和审计，并将通过审计的加密数据请求包发送至所述通信端，创建虚拟网口端口与所述请求通信方地址信息的映射关系2；在所述通信端基于所述映射关系2调取所述请求通信方地址信息并将所述加密请求包中的请求来源地址信息替换为所述请求通信方地址信息，之后将所述审计后的加密请求包发送至目标通信方；在所述通信端接收所述目标通信方的响应数据包，并将所述响应数据包发送至所述审计端；在所述审计端对所述响应数据包中的加密数据进行解析和审计，将通过审计的所述响应数据包发送至所述通信端；在所述通信端基于所述映射关系1获取所述目标通信方的地址信息以及所述请求通信方地址信息，将所述响应数据包的来源地址信息替换为所述目标通信方的地址信息后将所述响应数据包发送至所述请求通信方。2.根据权利要求1所述的方法，其特征在于，还包括在通信端接收来自请求通信方的数据请求包后首先对所述数据请求包的目标地址进行类型判定，如果所述目标地址类型判定为单播地址且不为虚拟网口地址，那么所述数据请求包中的数据进行加密判定，将判定为非加密的数据包直接发送至所述目标地址，将判定为加密的加密数据包发送至所述审计端进行后续审计程序。3.根据权利要求1或2所述的方法，其特征在于：在所述审计端通过加密协议代理程序实现对加密数据的解析；通过调用物理端口的接收和发送方法进行所述通信端的数据的接收和发送；通过调用虚拟网口的接收和发送方法进行所述审计端的数据的接收和发送。4.根据权利要求3所述的方法，其特征在于，所述审计端和所述通信端之间以队列的方式传递数据包的指针；基于哈希函数建立所述映射关系1和映射关系2。5.根据权利要求1或2所述的方法，其特征在于，如果所述加密数据请求包或所述响应数据包没有通过审计，则向所述通信请求方发送请求不合法的通知且不进行后续步骤。6.一种基于加密协议审计数据的装置，其特征在于，所述装置包括通信端和审计端：所述通信端包括：数据接收发送模块，用于请求通信方、目标通信方和所述审计端进行数据的传输，所述数据的传输包含接收数据、发送数据、返回数据；数据处理模块，用于在所述通信端根据审计模块中的加密协议解析所述数据，并根据请求通信方、目标通信方、审计端虚拟网口的地...

【专利技术属性】
技术研发人员：张磊，周春楠，赵贵阳，
申请(专利权)人：亿阳安全技术有限公司，
类型：发明
国别省市：北京,11