本发明专利技术实施例公开了一种数据包传输方法、装置、设备及介质。该方法包括:获取发送端发送的待传输数据包;对所述待传输数据包进行加密处理,得到加密数据包;控制嗅探工具拦截所述加密数据包,并对所拦截的加密数据包进行解密处理,得到解密数据包;向接收端传输所述解密数据包。上述方案,通过对待传输数据包进行加密和解密处理,避免了嗅探工具的嗅探,提高了基于L3VPN进行数据包传输的安全性。基于L3VPN进行数据包传输的安全性。基于L3VPN进行数据包传输的安全性。
【技术实现步骤摘要】
数据包传输方法、装置、设备及介质
[0001]本专利技术实施例涉及互联网
,尤其涉及一种数据包传输方法、装置、设备及介质。
技术介绍
[0002]基于三层网络的虚拟专用网络L3VPN(Layer3 Virtual Private Network)主要采用隧道技术、加密技术、密钥管理技术和使用者与设备身份认证技术,使用L3VPN可以大大提高上网的安全性,因此被广泛应用在各个领域。
[0003]L3VPN工作在网络层级的第三层,采用虚拟网卡与系统路由结合的方式,将资源对应的目的路由指向了虚拟网卡,因此可以在虚拟网卡上读取上层应用发送的待传输数据包。这些待传输数据包通过SSL(Secure Sockets Layer,安全套接层)通道或其他加密通道方式转发给VPN(Virtual Private Network,虚拟专用网络)服务端,VPN服务端再将待传输数据包转发给内网目的主机。内网目的主机回复的数据由VPN服务端转发给VPN客户端,客户端写入虚拟网卡。再由虚拟网卡提交给上层应用。由于L3VPN会在操作系统中构建虚拟网卡并配置路由规则,操作系统会将符合路由规则的待传输数据包发往虚拟网卡,因此通过网络封包分析软件Wireshark等网络抓包工具对本地操作系统的虚拟网卡进行抓包即可嗅探出待传输数据包,从而进行后续分析及攻击。因此,如何提高基于L3VPN进行数据包传输的安全性,至关重要。
技术实现思路
[0004]本专利技术提供一种数据包传输方法、装置、设备及介质,以提高基于L3VPN进行数据包传输的安全性。
[0005]根据本专利技术的一方面,提供了一种数据包传输方法,应用于部署有L3VPN的物理设备,包括:
[0006]获取发送端发送的待传输数据包;
[0007]对所述待传输数据包进行加密处理,得到加密数据包;
[0008]控制嗅探工具拦截所述加密数据包,并对所拦截的加密数据包进行解密处理,得到解密数据包;
[0009]向接收端传输所述解密数据包。
[0010]根据本专利技术的另一方面,提供了一种数据包传输装置,配置于部署有L3VPN的物理设备,包括:
[0011]待传输数据包获取模块,用于获取发送端发送的待传输数据包;
[0012]加密数据包获取模块,用于对所述待传输数据包进行加密处理,得到加密数据包;
[0013]解密数据包获取模块,用于控制嗅探工具拦截所述加密数据包,并对所拦截的加密数据包进行解密处理,得到解密数据包;
[0014]解密数据包发送模块,用于向接收端传输所述解密数据包。
[0015]根据本专利技术的另一方面,提供了一种电子设备,所述电子设备包括:
[0016]至少一个处理器;以及
[0017]与所述至少一个处理器通信连接的存储器;其中,
[0018]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的数据包传输方法。
[0019]根据本专利技术的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的数据包传输方法。
[0020]本专利技术实施例提供了一种数据包传输方案,应用于部署有L3VPN的物理设备,通过获取发送端发送的待传输数据包;对待传输数据包进行加密处理,得到加密数据包;控制嗅探工具拦截所述加密数据包,并对所拦截的加密数据包进行解密处理,得到解密数据包;向接收端传输解密数据包。上述方案,通过对待传输数据包进行加密和解密处理,避免了嗅探工具的嗅探,提高了基于L3VPN进行数据包传输的安全性。
[0021]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0022]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0023]图1是本专利技术实施例一提供的一种数据包传输方法的流程图;
[0024]图2是本专利技术实施例二提供的一种数据包传输方法的流程图;
[0025]图3A是本专利技术实施例三提供的一种上层应用发送数据包方法的流程图;
[0026]图3B是本专利技术实施例三提供的一种服务器端发送数据包方法的流程图;
[0027]图4是本专利技术实施例四提供的一种数据包传输装置的结构示意图;
[0028]图5是本专利技术实施例无提供的一种实现数据包传输方法的电子设备的结构示意图。
具体实施方式
[0029]下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本专利技术相关的部分而非全部结构。
[0030]为了更好的理解本专利技术的内容,本专利技术首先对现有的嗅探工具以及现有技术中,基于L3VPN防嗅探的方法进行介绍。
[0031]WFP(Windows Filtering Platform):Windows系统提供的网络层过滤层框架,它工作在操作系统内核的TCP/IP协议栈的全部层。
[0032]NDIS(Network Driver Interface Specification):Windows网卡接口规范,构成
了网络协议栈中的逻辑链路控制子层的部分,作为操作系统和网卡之间的连接层,向下连接介质访问控制(MAC)子层,向上连接网络层。NDIS驱动主要有四种:NDIS微端口驱动、NDIS中间层驱动、NDIS过滤驱动、NDIS协议驱动。其中,NDIS微端口驱动工作在最下层,直接处理网卡接收的数据;NDIS协议驱动工作在最上层,用于实现各种网络协议(例如TCP/IP协议栈驱动);NDIS中间层驱动和过滤驱动向下连接微端口驱动、向上连接协议驱动,实现了中间层的功能。开发NDIS中间层驱动比较复杂,需要同时开发向下对接微端口驱动和向上对接协议驱动的两个部分;所以,在最新的NDIS规范中,提供了流程简单的过滤驱动,用于替代原有中间层驱动。
[0033]目前Windows流量嗅探工具主要包括:基于NDIS协议驱动的嗅探工具(如:Winpcap)、基于NDIS过滤驱动的嗅探工具(如:Npcap)。Wireshark嗅探工具抓包引擎集成了Winpcap和Npcap,从而实现了对通过L3VPN构建的虚拟网卡流量嗅探。
[0034]具体的,基于NDIS协议驱动的嗅探工具是指:NDIS协议驱动接收到所有从NDIS微端口驱动捕获的流量,即网卡接收到的流量。基于这个功能,可以设计一个与微软TCP/IP协议栈驱动并列的协议驱动,用于监控所有本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据包传输方法,应用于部署有L3VPN的物理设备,其特征在于,包括:获取发送端发送的待传输数据包;对所述待传输数据包进行加密处理,得到加密数据包;控制嗅探工具拦截所述加密数据包,并对所拦截的加密数据包进行解密处理,得到解密数据包;向接收端传输所述解密数据包。2.根据权利要求1所述的方法,其特征在于,所述对所述待传输数据包进行加密处理,得到加密数据包,包括:确定所述待传输数据包的包头信息;对所述包头信息进行混淆,并对所述待传输数据包的包体进行加密,得到所述加密数据包;相应的,所述对所拦截的加密数据包进行解密处理,得到解密数据包,包括:在嗅探工具拦截后,对所述加密数据包的包头信息进行还原,对所述加密数据包的包体进行解密,得到所述解密数据包。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:根据所述包头信息,确定是否对所述待传输数据包进行加密处理或对所述加密数据包进行解密处理。4.根据权利要求3所述的方法,其特征在于,所述根据所述包头信息,确定是否对所述待传输数据包进行加密处理或对所述加密数据包进行解密处理,包括:获取所述包头信息中的交互地址;根据所述交互地址与虚拟网卡的互联网协议地址的一致性,确定是否对所述待传输数据包进行加密处理或对所述加密数据包进行解密处理。5.根据权利要求4所述的方法,其特征在于,若所述发送端为上层应用,则所述获取所述包头信息中的交互地址,包括:获取所述包头信息中的...
【专利技术属性】
技术研发人员:成少波,朱晶晶,王伟,
申请(专利权)人:北京指掌易科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。