安全外殼ssh2協(xié)議數(shù)據(jù)的采集方法和裝置制造方法
【專利摘要】本發(fā)明實(shí)施例涉及安全外殼SSH2協(xié)議數(shù)據(jù)的采集方法和裝置�,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了SSH2連接,該方法包括:獲取客戶端設(shè)備與服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包�;將SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包;依次檢測(cè)SSH2數(shù)據(jù)包的類型�����;若SSH2數(shù)據(jù)包的類型表明SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包,則記錄原握手信息�,替換為新的握手信息,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰�����;若SSH2數(shù)據(jù)包的類型表明SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包�,則利用推導(dǎo)出的傳輸密鑰���,將密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)�����,將明文數(shù)據(jù)作為采集成果輸出�����。由上可見(jiàn)�����,本發(fā)明實(shí)施例中�,可以使得數(shù)據(jù)采集器不易遭到針對(duì)性攻擊,并且���,提高了采集效率�,用戶體驗(yàn)好�����。
【專利說(shuō)明】安全外殼SSH2協(xié)議數(shù)據(jù)的采集方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全通信【技術(shù)領(lǐng)域】���,尤其涉及安全外殼SSH2協(xié)議數(shù)據(jù)的采集方法和裝置�����。
【背景技術(shù)】
[0002]隨著人們對(duì)網(wǎng)絡(luò)安全重視程度的不斷提高����,安全外殼(SSH����,Secure Shell)協(xié)議逐漸得到廣泛應(yīng)用,SSH協(xié)議由互聯(lián)網(wǎng)工程任務(wù)組(IETF, Internet Engineering TaskForce)的網(wǎng)絡(luò)工作小組所制定���,是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議��,也是目前可靠的�、專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議,目前SSH協(xié)議已經(jīng)逐漸取代telnet等協(xié)議����,成為遠(yuǎn)程登錄和傳輸代理的首選協(xié)議。SSH2協(xié)議是SSH協(xié)議的2.x版本����,在RFC 4250-RFC 4254標(biāo)準(zhǔn)中有詳細(xì)的定義和描述�����,由于SSH2協(xié)議具有加密傳輸?shù)奶攸c(diǎn)�,網(wǎng)絡(luò)中的數(shù)據(jù)采集器無(wú)法直接對(duì)網(wǎng)絡(luò)上的SSH2協(xié)議數(shù)據(jù)進(jìn)行采集分析,因此需要通過(guò)特定的采集方法將采集到的SSH2協(xié)議數(shù)據(jù)由密文數(shù)據(jù)轉(zhuǎn)換為明文數(shù)據(jù)�。
[0003]圖1為現(xiàn)有技術(shù)中SSH2協(xié)議數(shù)據(jù)的采集方法示意圖,參照?qǐng)D1��,客戶端設(shè)備不能直接與服務(wù)端設(shè)備建立連接�,而是通過(guò)數(shù)據(jù)采集器間接的建立連接,數(shù)據(jù)采集器顯式地存在于網(wǎng)絡(luò)中����,擁有自己的IP地址�����,集成了 SSH代理服務(wù)端和SSH代理客戶端����,當(dāng)數(shù)據(jù)采集器對(duì)SSH2協(xié)議數(shù)據(jù)進(jìn)行采集時(shí)���,采用二次登錄的方法��,先由客戶端設(shè)備向數(shù)據(jù)采集器發(fā)起SSH連接和登錄�����,然后由數(shù)據(jù)采集器向服務(wù)端設(shè)備發(fā)起SSH連接并登錄�,數(shù)據(jù)采集器需要同時(shí)維護(hù)兩個(gè)SSH連接�����,根據(jù)獲得的完整的SSH消息進(jìn)行解密��,以便將采集到的SSH2協(xié)議數(shù)據(jù)由密文數(shù)據(jù)轉(zhuǎn)換為明文數(shù)據(jù)���。
[0004]由上可見(jiàn)����,現(xiàn)有技術(shù)中的SSH2協(xié)議數(shù)據(jù)的采集方法存在下述缺點(diǎn):(I)數(shù)據(jù)采集器顯式地存在于網(wǎng)絡(luò)中,擁有自己的IP地址�����,容易暴露數(shù)據(jù)采集器的網(wǎng)絡(luò)位置�,從而遭到針對(duì)性攻擊;(2)數(shù)據(jù)采集器需要獲得完整的SSH消息才能進(jìn)行解密等操作����,在SSH消息較大、網(wǎng)絡(luò)條件不佳或者并發(fā)用戶數(shù)量較多時(shí)�����,會(huì)造成顯著的采集延時(shí)���,既降低了采集效率,又會(huì)給SSH的用戶帶來(lái)很差的操作體驗(yàn)���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供一種SSH2協(xié)議數(shù)據(jù)的采集方法和裝置����,可以使得數(shù)據(jù)采集器不易遭到針對(duì)性攻擊,并且����,提高了采集效率,用戶體驗(yàn)好��。
[0006]一方面�,提供了一種SSH2協(xié)議數(shù)據(jù)的采集方法,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了 SSH2連接���,所述方法包括:
[0007]獲取所述客戶端設(shè)備與所述服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包���;
[0008]將所述SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包;
[0009]依次檢測(cè)所述SSH2數(shù)據(jù)包的類型��;
[0010]若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包���,則記錄原握手信息��,替換為新的握手信息���,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰���;
[0011]若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包,則利用推導(dǎo)出的所述傳輸密鑰�,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù),將所述明文數(shù)據(jù)作為采集成果輸出�。
[0012]另一方面,提供了一種SSH2協(xié)議數(shù)據(jù)的采集裝置���,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了 SSH2連接���,所述裝置包括:
[0013]獲取單元,用于獲取所述客戶端設(shè)備與所述服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包����;
[0014]重組單元,用于將所述獲取單元獲取的SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包��;
[0015]檢測(cè)單元�����,用于依次檢測(cè)所述重組單元SSH2重組后的數(shù)據(jù)包的類型���;
[0016]第一處理單元,用于當(dāng)所述檢測(cè)單元檢測(cè)出的所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包時(shí),記錄原握手信息�,替換為新的握手信息,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰���;
[0017]第二處理單元����,用于當(dāng)所述檢測(cè)單元檢測(cè)出的所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包�����,則利用推導(dǎo)出的所述傳輸密鑰���,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)����,將所述明文數(shù)據(jù)作為采集成果輸出����。
[0018]本發(fā)明實(shí)施例所提供的SSH2協(xié)議數(shù)據(jù)的采集方法中,客戶端設(shè)備直接以服務(wù)端設(shè)備的地址作為目標(biāo)地址建立SSH2連接�,無(wú)需通過(guò)數(shù)據(jù)采集器進(jìn)行二次登錄,不需要為實(shí)現(xiàn)該方法的數(shù)據(jù)采集器分配網(wǎng)絡(luò)地址�����,其中,數(shù)據(jù)采集器具體可以為一臺(tái)網(wǎng)絡(luò)交換設(shè)備�,例如,交換機(jī)或路由器����,置于客戶端設(shè)備與服務(wù)端設(shè)備之間,本身沒(méi)有IP地址�����,而現(xiàn)有技術(shù)中數(shù)據(jù)采集器相當(dāng)于一臺(tái)代理服務(wù)器���,需要客戶端設(shè)備主動(dòng)去登錄它���,本發(fā)明中數(shù)據(jù)采集器可以在網(wǎng)絡(luò)中透明地靈活部署,不易遭到針對(duì)性攻擊�����;并且�,本發(fā)明的SSH2協(xié)議數(shù)據(jù)的采集方法以SSH2數(shù)據(jù)包為處理單元,而非以完整SSH2消息為處理單元���,因而處理延時(shí)小�、并發(fā)服務(wù)能力強(qiáng)��、提高了采集效率����,用戶體驗(yàn)好。
【專利附圖】
【附圖說(shuō)明】
[0019]圖1為現(xiàn)有技術(shù)中SSH2協(xié)議數(shù)據(jù)的采集方法示意圖���;
[0020]圖2為本發(fā)明實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集方法示意圖���;
[0021]圖3為本發(fā)明一個(gè)實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集方法流程圖;
[0022]圖4為本發(fā)明另一個(gè)實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集方法示意圖��;
[0023]圖5為采用本發(fā)明實(shí)施例SSH2協(xié)議數(shù)據(jù)的采集方法處理數(shù)據(jù)包時(shí)的數(shù)據(jù)包交互圖�����;
[0024]圖6為本發(fā)明實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集裝置的裝置結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0025]下面通過(guò)附圖和實(shí)施例��,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。
[0026]為使本發(fā)明實(shí)施例的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述�,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?�;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍。
[0027]為便于對(duì)本發(fā)明實(shí)施例的理解�����,下面將結(jié)合附圖以具體實(shí)施例做進(jìn)一步的解釋說(shuō)明�,實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定����。
[0028]圖2為本發(fā)明實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集方法示意圖,參照?qǐng)D2����,與圖1所示的現(xiàn)有技術(shù)中SSH2協(xié)議數(shù)據(jù)的采集方法相比較,傳統(tǒng)方法采取SSH 二次登錄的方式��,采集者顯式地存在于網(wǎng)絡(luò)中�����,擁有自己的IP地址��,集成了 SSH代理服務(wù)端和代理客戶端��,與客戶端和服務(wù)端分別建立兩條IP/TCP/SSH連接��,在采集數(shù)據(jù)時(shí)以SSH消息為處理單元���;而本發(fā)明的方法中�,采集者不建立連接,不必有自己的IP地址��,透明地串聯(lián)在客戶端和服務(wù)端之間�����,在客戶端與服務(wù)端的連接基礎(chǔ)上��,掌握兩側(cè)的SSH傳輸密鑰對(duì)�����,以網(wǎng)絡(luò)數(shù)據(jù)包為處理單元采集數(shù)據(jù)��。
[0029]圖3為本發(fā)明一個(gè)實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集方法流程圖���,其中����,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了 SSH2連接���,參照?qǐng)D3�����,該方法包括:
[0030]步驟301�,獲取所述客戶端設(shè)備與所述服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包。
[0031]步驟302�,將所述SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包。
[0032]步驟303���,依次檢測(cè)所述SSH2數(shù)據(jù)包的類型。
[0033]步驟304�,若SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包,則記錄原握手信息���,替換為新的握手信息�����,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰�����。
[0034]步驟305�����,若SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包�,則利用推導(dǎo)出的所述傳輸密鑰,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)��,將所述明文數(shù)據(jù)作為采集成果輸出��。
[0035]本發(fā)明實(shí)施例中�����,所述方法還可以包括數(shù)據(jù)包封裝的處理步驟:對(duì)于替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包���,重新確定傳輸控制協(xié)議TCP包頭和網(wǎng)際互聯(lián)協(xié)議IP包頭�����,以及對(duì)所述替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包重新進(jìn)行數(shù)據(jù)包封裝���,發(fā)送給接收方設(shè)備,所述接收方設(shè)備為所述客戶端設(shè)備或所述服務(wù)端設(shè)備��;對(duì)于SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包���,利用推導(dǎo)出的所述傳輸密鑰將所述明文數(shù)據(jù)加密成密文數(shù)據(jù)�,重新確定TCP包頭和IP包頭,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝�����,發(fā)送給接收方設(shè)備�����。
[0036]另外����,由于可以對(duì)不含TCP載荷的數(shù)據(jù)包不做任何處理����,所述方法還可以包括:
[0037]若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為不含TCP載荷的數(shù)據(jù)包,則將所述不含TCP載荷的數(shù)據(jù)包發(fā)送給接收方設(shè)備��。
[0038]其中�,上述不含TCP載荷的數(shù)據(jù)包具體可以為T(mén)CP報(bào)頭中的確認(rèn)號(hào)(ACK,Acknowledge)數(shù)據(jù)包�����。
[0039]本發(fā)明實(shí)施例步驟302中,所述將所述SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包����,具體可以包括:將SSH2連接兩個(gè)方向的數(shù)據(jù)包加入不同隊(duì)列,按照TCP的序列號(hào)SEQ對(duì)所述SSH2數(shù)據(jù)包進(jìn)行有序排列��。
[0040]由于SSH2協(xié)議握手階段包括版本協(xié)商子階段��、算法協(xié)商子階段和密鑰協(xié)商子階段����,因此步驟304中,所述若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包��,則記錄原握手信息��,替換為新的握手信息���,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰��,具體可以包括:
[0041]對(duì)于版本協(xié)商子階段的數(shù)據(jù)包�,記錄原版本協(xié)商信息���,替換為新的版本協(xié)商信息��;
[0042]對(duì)于算法協(xié)商子階段的數(shù)據(jù)包�,記錄原算法協(xié)商信息,替換為新的算法協(xié)商信息�,當(dāng)記錄完所述客戶端設(shè)備和所述服務(wù)端設(shè)備的算法協(xié)商信息后,分別推導(dǎo)所述客戶端設(shè)備一側(cè)的算法協(xié)商結(jié)果和所述服務(wù)端設(shè)備一側(cè)的算法協(xié)商結(jié)果�����;
[0043]對(duì)于密鑰協(xié)商子階段的數(shù)據(jù)包��,記錄原密鑰協(xié)商信息���,替換為新的密鑰協(xié)商信息�,當(dāng)接收到SSH2協(xié)議的新密鑰啟用消息后�����,分別推導(dǎo)所述客戶端設(shè)備一側(cè)的SSH2傳輸密鑰和所述服務(wù)端設(shè)備一側(cè)的SSH2傳輸密鑰���。
[0044]本發(fā)明實(shí)施例步驟305中,所述若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包�,則利用推導(dǎo)出的所述傳輸密鑰,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)���,將所述明文數(shù)據(jù)作為采集成果輸出�����,具體可以包括:
[0045]利用輸入一側(cè)的傳輸密鑰將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)���,通過(guò)哈希消息認(rèn)證碼HMAC值校驗(yàn)所述明文數(shù)據(jù)的完整性��;
[0046]將校驗(yàn)結(jié)果為完整的所述明文數(shù)據(jù)作為采集成果輸出����。
[0047]本發(fā)明實(shí)施例中����,所述對(duì)于SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包,利用推導(dǎo)出的所述傳輸密鑰將所述明文數(shù)據(jù)加密成密文數(shù)據(jù)�,具體可以包括:利用輸出一側(cè)的傳輸密鑰將校驗(yàn)后的所述明文數(shù)據(jù)加密成密文數(shù)據(jù),并重新計(jì)算所述密文數(shù)據(jù)的HMAC值�,校驗(yàn)所述密文數(shù)據(jù)的完整性;
[0048]所述重新確定TCP包頭和IP包頭��,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝��,發(fā)送給接收方設(shè)備����,具體可以包括:對(duì)于校驗(yàn)結(jié)果為完整的所述密文數(shù)據(jù)��,重新確定TCP包頭和IP包頭��,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝�,發(fā)送給接收方設(shè)備���。
[0049]另外���,所述重新確定TCP包頭和IP包頭,具體可以包括:判斷所述數(shù)據(jù)包的長(zhǎng)度是否發(fā)生改變��;若判斷出所述數(shù)據(jù)包的長(zhǎng)度發(fā)生改變����,則重新確定IP包頭的總長(zhǎng)、IP包頭的頭部校驗(yàn)和字段��,以及TCP包頭中的序列號(hào)SEQ��、確認(rèn)號(hào)ACK����、校驗(yàn)和字段;若判斷出所述數(shù)據(jù)包的長(zhǎng)度沒(méi)有發(fā)生改變���,則重新確定TCP包頭中的SEQ���、ACK、校驗(yàn)和字段�。
[0050]由上述處理過(guò)程可知,本發(fā)明實(shí)施例所提供的SSH2協(xié)議數(shù)據(jù)的采集方法中��,客戶端設(shè)備直接以服務(wù)端設(shè)備的地址作為目標(biāo)地址建立SSH2連接���,無(wú)需通過(guò)數(shù)據(jù)采集器進(jìn)行二次登錄�����,不需要為實(shí)現(xiàn)該方法的數(shù)據(jù)采集器分配網(wǎng)絡(luò)地址�,其中���,數(shù)據(jù)采集器具體可以為一臺(tái)網(wǎng)絡(luò)交換設(shè)備�,例如�,交換機(jī)或路由器,置于客戶端設(shè)備與服務(wù)端設(shè)備之間,本身沒(méi)有IP地址�����,而現(xiàn)有技術(shù)中數(shù)據(jù)采集器相當(dāng)于一臺(tái)代理服務(wù)器�����,需要客戶端設(shè)備主動(dòng)去登錄它�����,本發(fā)明中數(shù)據(jù)采集器可以在網(wǎng)絡(luò)中透明地靈活部署�,不易遭到針對(duì)性攻擊;并且��,本發(fā)明的SSH2協(xié)議數(shù)據(jù)的采集方法以SSH2數(shù)據(jù)包為處理單元�����,而非以完整SSH2消息為處理單元�����,因而處理延時(shí)小���、并發(fā)服務(wù)能力強(qiáng)�����、提高了采集效率�����,用戶體驗(yàn)好��。
[0051]下面通過(guò)一個(gè)具體的實(shí)施例來(lái)對(duì)SSH2協(xié)議數(shù)據(jù)的采集方法進(jìn)行詳細(xì)描述����。
[0052]圖4為本發(fā)明另一個(gè)實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集方法示意圖��,參照?qǐng)D4���,該方法包括:
[0053]步驟一���、通過(guò)數(shù)據(jù)包重組模塊,將SSH2連接兩個(gè)方向的數(shù)據(jù)包加入不同隊(duì)列��,按照TCP的SEQ號(hào)進(jìn)行有序排列��,形成有序的網(wǎng)絡(luò)數(shù)據(jù)包后依次交由中間處理。
[0054]其中�����,因?yàn)榫W(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包會(huì)有亂序的情況出現(xiàn)���,數(shù)據(jù)包重組模塊將它們恢復(fù)成有序的排列�,避免序列號(hào)在后面的數(shù)據(jù)包先被中間處理��,造成中間處理時(shí)的數(shù)據(jù)錯(cuò)誤���。
[0055]步驟二����、根據(jù)數(shù)據(jù)包的不同類型進(jìn)行中間處理�����。
[0056]對(duì)SSH2協(xié)議握手階段的數(shù)據(jù)包:若為版本協(xié)商子階段的數(shù)據(jù)包���,記錄原版本協(xié)商信息����,替換為新的版本協(xié)商信息;若為算法協(xié)商子階段的數(shù)據(jù)包���,記錄原算法協(xié)商信息����,替換為新的算法協(xié)商信息��,當(dāng)記錄完客戶端和服務(wù)端的算法協(xié)商信息后���,分別推導(dǎo)客戶端一側(cè)和服務(wù)端一側(cè)的算法協(xié)商結(jié)果;若為密鑰協(xié)商子階段的數(shù)據(jù)包�����,記錄原密鑰協(xié)商信息���,替換為新的密鑰協(xié)商信息�����,當(dāng)接收到SSH2協(xié)議的新密鑰啟用消息后���,分別推導(dǎo)客戶端一側(cè)和服務(wù)端一側(cè)的SSH2傳輸密鑰���。
[0057]對(duì)SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包,首先利用輸入一側(cè)的傳輸密鑰將數(shù)據(jù)包中的密文數(shù)據(jù)解密成明文數(shù)據(jù)�,計(jì)算哈希消息認(rèn)證碼(HMAC, Hash-based Message Authenticat1n Code)值校驗(yàn)該消息,然后將校驗(yàn)后的明文SSH2數(shù)據(jù)包作為采集成果輸出,最后利用輸出一側(cè)的傳輸密鑰將校驗(yàn)后的明文SSH2消息加密成密文����,并重新計(jì)算HMAC值。
[0058]其中��,HMAC值可以用來(lái)驗(yàn)證數(shù)據(jù)包數(shù)據(jù)的完整性���。
[0059]對(duì)不含TCP載荷的數(shù)據(jù)包�,可以不作中間處理��。
[0060]步驟三���、通過(guò)數(shù)據(jù)包封裝發(fā)送模塊對(duì)數(shù)據(jù)包重新計(jì)算IP包頭和TCP包頭后發(fā)出��。
[0061]其中�,若該數(shù)據(jù)包在中間處理過(guò)程中改變了長(zhǎng)度��,重新計(jì)算IP包頭的總長(zhǎng)���、頭部校驗(yàn)和字段�����,以及TCP包頭中的SEQ�����、ACK���、校驗(yàn)和字段;若該數(shù)據(jù)包在中間處理過(guò)程中沒(méi)有改變長(zhǎng)度���,重新計(jì)算TCP包頭中的SEQ�、ACK����、校驗(yàn)和字段。
[0062]圖5為采用本發(fā)明實(shí)施例SSH2協(xié)議數(shù)據(jù)的采集方法處理數(shù)據(jù)包時(shí)的數(shù)據(jù)包交互圖�����,下面參照?qǐng)D5對(duì)本發(fā)明的方法做詳細(xì)的說(shuō)明���。
[0063]在下面的說(shuō)明中���,到來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過(guò)數(shù)據(jù)包重組模塊排列有序���,數(shù)據(jù)包轉(zhuǎn)發(fā)前經(jīng)過(guò)數(shù)據(jù)包封裝發(fā)送模塊統(tǒng)一修改TCP/IP包頭,在修改包頭時(shí)�����,若該數(shù)據(jù)包在中間處理過(guò)程中改變了長(zhǎng)度���,重新計(jì)算IP包頭的總長(zhǎng)����、頭部校驗(yàn)和字段�,以及TCP包頭中的SEQ、ACK���、校驗(yàn)和字段�;若該數(shù)據(jù)包在中間處理過(guò)程中沒(méi)有改變長(zhǎng)度��,重新TCP包頭中的SEQ��、ACK、校驗(yàn)和字段��。
[0064](I)客戶端發(fā)起TCP連接請(qǐng)求���,與服務(wù)端進(jìn)行三步握手的交互�����。
[0065](2)服務(wù)端向客戶端發(fā)送自己的版本�����,采集者記錄包含版本信息的數(shù)據(jù)包,替換成包含新版本信息的數(shù)據(jù)包��;同理客戶端向服務(wù)端發(fā)送自己的版本���,采集者記錄該數(shù)據(jù)包��,替換成包含新版本信息的數(shù)據(jù)包����。
[0066](3)服務(wù)端向客戶端發(fā)送算法協(xié)商信息�,采集者記錄包含算法協(xié)商信息的數(shù)據(jù)包��,替換為采集者可以處理的算法組成的算法協(xié)商信息�����;同理客戶端向服務(wù)端發(fā)送算法協(xié)商信息���,采集者記錄包含算法協(xié)商信息的數(shù)據(jù)包,替換為采集者可以處理的算法組成的算法協(xié)商信息�����。當(dāng)記錄完客戶端和服務(wù)端的算法協(xié)商信息后����,分別推導(dǎo)客戶端一側(cè)和服務(wù)端一側(cè)的算法協(xié)商結(jié)果。
[0067](4)客戶端與服務(wù)端之間進(jìn)行DH密鑰協(xié)商����,采集者記錄其中的DH密鑰協(xié)商信息,將其中的DH密鑰交換參數(shù)�����、服務(wù)端公鑰和數(shù)字簽名等密鑰協(xié)商信息替換為新的密鑰協(xié)商信息。當(dāng)接收到包含新密鑰啟用通知的數(shù)據(jù)包后�����,分別推導(dǎo)客戶端一側(cè)和服務(wù)端一側(cè)的SSH2傳輸密鑰�����。
[0068]具體中間處理過(guò)程為:
[0069]在版本協(xié)商階段�����,采集者記錄兩端發(fā)送的版本消息�,并將其替換為自己的版本消息向后轉(zhuǎn)發(fā)。該過(guò)程會(huì)改變數(shù)據(jù)包的長(zhǎng)度�����。
[0070]在算法協(xié)商階段���,采集者記錄兩端發(fā)送的算法協(xié)商消息,并將其替換為由采集者支持的算法構(gòu)造出的算法協(xié)商消息�����。該過(guò)程會(huì)改變數(shù)據(jù)包的長(zhǎng)度。
[0071]在密鑰協(xié)商階段���,對(duì)于圖5中的SSH2_GEXREQ消息���,采集者記錄和轉(zhuǎn)發(fā)消息參數(shù)。該過(guò)程不會(huì)改變數(shù)據(jù)包的長(zhǎng)度�����。對(duì)于圖5中的SSH2_GEXGRP消息����,采集者記錄其中的DH密鑰交換參數(shù)公開(kāi)數(shù)P和G,然后轉(zhuǎn)發(fā)�����。該過(guò)程不會(huì)改變數(shù)據(jù)包的長(zhǎng)度��。對(duì)于圖5中的SSH2_GEXINIT消息�,采集者生成兩對(duì)DH密鑰交換的私有秘密值和公開(kāi)秘密值,這兩對(duì)秘密值分別對(duì)于客戶端和服務(wù)端�����。采集者將消息中客戶端的公開(kāi)秘密值替換為自己的應(yīng)客戶端的公開(kāi)秘密值。該過(guò)程會(huì)改變數(shù)據(jù)包長(zhǎng)度�。對(duì)于圖5中的SSH2_GEXREP消息,采集者將服務(wù)端的公開(kāi)秘密值替換為自己對(duì)應(yīng)服務(wù)端的公開(kāi)秘密值�����,將服務(wù)端的加密公鑰替換為采集者的加密公鑰�����,將服務(wù)端的數(shù)字簽名替換為采集者的數(shù)字簽名���,該過(guò)程會(huì)改變數(shù)據(jù)包的長(zhǎng)度��。在結(jié)束密鑰協(xié)商階段后����,采集者就可以根據(jù)DH密鑰交換的計(jì)算規(guī)則�����,分別計(jì)算出客戶端一側(cè)和服務(wù)端一側(cè)的密鑰交換結(jié)果�����。
[0072]這個(gè)計(jì)算規(guī)則是標(biāo)準(zhǔn)的�����,可以采用現(xiàn)有的密碼學(xué)算法����。
[0073]DH密鑰交換算法的基本原理是:
[0074](I)客戶端隨機(jī)選擇一個(gè)私有秘密值X,l〈x〈p_l��,計(jì)算出e = g~x mod P,將計(jì)算出的e發(fā)送給服務(wù)器端���。其中�,P是一個(gè)很大的素?cái)?shù)��,g是P的素根�����。P和g是雙方共有的一對(duì)參數(shù)����。
[0075](2)服務(wù)器也隨機(jī)生成一個(gè)私有秘密值y, l〈y〈p_l,計(jì)算出f = g~y mod p,也將計(jì)算出的f發(fā)送給客戶端。
[0076](3)服務(wù)器接收到客戶端發(fā)送過(guò)來(lái)的e��,按照下面的公式計(jì)算出密鑰協(xié)商結(jié)果:
[0077]K = (e) 'y mod p
[0078](4)客戶端收到服務(wù)器端發(fā)送過(guò)來(lái)的f,同樣按照下面的公式計(jì)算出密鑰協(xié)商結(jié)果:
[0079]K = (f) 'x mod p
[0080]本發(fā)明實(shí)施例中���,采集者通過(guò)替換數(shù)據(jù)包中DH密鑰交換的參數(shù)���,達(dá)到了分別于客戶端、服務(wù)端進(jìn)行密鑰交換的目的��,從而得到了客戶端一側(cè)和服務(wù)端一側(cè)的秘鑰協(xié)商結(jié)果���。
[0081](5)客戶端與服務(wù)端之間進(jìn)行密文傳輸時(shí)�,采集者首先利用輸入一側(cè)的傳輸密鑰將數(shù)據(jù)包中的SSH2消息解密成明文����,計(jì)算HMAC值校驗(yàn)該消息,然后將明文SSH2數(shù)據(jù)包作為采集成果輸出�����,最后利用輸出一側(cè)的傳輸密鑰將明文SSH2消息加密成密文��,并重新計(jì)算HMAC 值�����。
[0082]其中,由于客戶端和服務(wù)端持有的密鑰不同�,因此客戶端加密的數(shù)據(jù)服務(wù)端用它的密鑰是解不出來(lái)的�����,需要通過(guò)中間的數(shù)據(jù)采集者先用客戶端密鑰解密���,再用服務(wù)端密鑰加密����,服務(wù)端才能解密出明文���,因此這里數(shù)據(jù)采集者用輸入一側(cè)的密鑰解密�����,再用輸出一側(cè)的密鑰加密����。
[0083](6)在上述過(guò)程中����,還會(huì)存在諸如ACK包等不包含TCP載荷的數(shù)據(jù)包�,對(duì)此采集者在中間處理這一步不對(duì)數(shù)據(jù)包進(jìn)行改變�����。
[0084]相應(yīng)地�,本發(fā)明還提供了 SSH2協(xié)議數(shù)據(jù)的采集裝置。
[0085]圖6為本發(fā)明實(shí)施例中SSH2協(xié)議數(shù)據(jù)的采集裝置的裝置結(jié)構(gòu)圖����,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了 SSH2連接,所述裝置包括:
[0086]獲取單元601����,用于獲取所述客戶端設(shè)備與所述服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包;
[0087]重組單元602����,用于將所述獲取單元601獲取的SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包;
[0088]檢測(cè)單元603���,用于依次檢測(cè)所述重組單元602SSH2重組后的數(shù)據(jù)包的類型����;
[0089]第一處理單元604����,用于當(dāng)所述檢測(cè)單元603檢測(cè)出的所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包時(shí)�����,記錄原握手信息���,替換為新的握手信息���,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰��;
[0090]第二處理單元605����,用于當(dāng)所述檢測(cè)單元603檢測(cè)出的所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包�,則利用推導(dǎo)出的所述傳輸密鑰,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)�,將所述明文數(shù)據(jù)作為采集成果輸出。
[0091 ] 優(yōu)選地��,所述裝置還包括:
[0092]數(shù)據(jù)包封裝發(fā)送單元�����,用于對(duì)于所述第一處理單元替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包,重新確定傳輸控制協(xié)議TCP包頭和網(wǎng)際互聯(lián)協(xié)議IP包頭����,以及對(duì)所述替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包重新進(jìn)行數(shù)據(jù)包封裝,發(fā)送給接收方設(shè)備��,所述接收方設(shè)備為所述客戶端設(shè)備或所述服務(wù)端設(shè)備�;
[0093]加密單元,用于對(duì)于所述第二處理單元處理后的SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包�,利用推導(dǎo)出的所述傳輸密鑰將所述明文數(shù)據(jù)加密成密文數(shù)據(jù);
[0094]所述數(shù)據(jù)包封裝發(fā)送單元�,還用于針對(duì)所述加密單元加密的密文數(shù)據(jù)重新確定TCP包頭和IP包頭,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝�,發(fā)送給接收方設(shè)備。
[0095]專業(yè)人員應(yīng)該還可以進(jìn)一步意識(shí)到�,結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單元及算法步驟,能夠以電子硬件����、計(jì)算機(jī)軟件或者二者的結(jié)合來(lái)實(shí)現(xiàn),為了清楚地說(shuō)明硬件和軟件的可互換性����,在上述說(shuō)明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件���。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能����,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍�。
[0096]結(jié)合本文中所公開(kāi)的實(shí)施例描述的方法或算法的步驟可以用硬件、處理器執(zhí)行的軟件模塊����,或者二者的結(jié)合來(lái)實(shí)施�����。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)�����、內(nèi)存����、只讀存儲(chǔ)器(ROM)、電可編程ROM�、電可擦除可編程ROM、寄存器、硬盤(pán)���、可移動(dòng)磁盤(pán)���、CD-ROM、或【技術(shù)領(lǐng)域】?jī)?nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中���。
[0097]以上所述的【具體實(shí)施方式】�,對(duì)本發(fā)明的目的��、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明��,所應(yīng)理解的是���,以上所述僅為本發(fā)明的【具體實(shí)施方式】而已�����,并不用于限定本發(fā)明的保護(hù)范圍�����,凡在本發(fā)明的精神和原則之內(nèi)���,所做的任何修改����、等同替換�����、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【權(quán)利要求】
1.一種安全外殼SSH2協(xié)議數(shù)據(jù)的采集方法���,其特征在于���,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了 SSH2連接�,所述方法包括: 獲取所述客戶端設(shè)備與所述服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包���; 將所述SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包����; 依次檢測(cè)所述SSH2數(shù)據(jù)包的類型; 若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包���,則記錄原握手信息��,替換為新的握手信息����,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰����; 若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包,則利用推導(dǎo)出的所述傳輸密鑰�,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù),將所述明文數(shù)據(jù)作為采集成果輸出���。
2.如權(quán)利要求1所述的方法���,其特征在于,所述方法還包括: 對(duì)于替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包����,重新確定傳輸控制協(xié)議TCP包頭和網(wǎng)際互聯(lián)協(xié)議IP包頭��,以及對(duì)所述替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包重新進(jìn)行數(shù)據(jù)包封裝���,發(fā)送給接收方設(shè)備,所述接收方設(shè)備為所述客戶端設(shè)備或所述服務(wù)端設(shè)備�; 對(duì)于SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包,利用推導(dǎo)出的所述傳輸密鑰將所述明文數(shù)據(jù)加密成密文數(shù)據(jù)���,重新確定TCP包頭和IP包頭��,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝���,發(fā)送給接收方設(shè)備。
3.如權(quán)利要求2所述的方法�����,其特征在于����,所述方法還包括: 若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為不含TCP載荷的數(shù)據(jù)包�����,則將所述不含TCP載荷的數(shù)據(jù)包發(fā)送給接收方設(shè)備。
4.如權(quán)利要求3所述的方法���,其特征在于���,所述將所述SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包,具體包括: 將SSH2連接兩個(gè)方向的數(shù)據(jù)包加入不同隊(duì)列���,按照TCP的序列號(hào)SEQ對(duì)所述SSH2數(shù)據(jù)包進(jìn)行有序排列�����。
5.如權(quán)利要求4中任一權(quán)利要求所述的方法��,其特征在于���,所述SSH2協(xié)議握手階段包括版本協(xié)商子階段、算法協(xié)商子階段和密鑰協(xié)商子階段�,所述若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包,則記錄原握手信息����,替換為新的握手信息,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰�,具體包括: 對(duì)于版本協(xié)商子階段的數(shù)據(jù)包�,記錄原版本協(xié)商信息����,替換為新的版本協(xié)商信息; 對(duì)于算法協(xié)商子階段的數(shù)據(jù)包��,記錄原算法協(xié)商信息��,替換為新的算法協(xié)商信息�,當(dāng)記錄完所述客戶端設(shè)備和所述服務(wù)端設(shè)備的算法協(xié)商信息后,分別推導(dǎo)所述客戶端設(shè)備一側(cè)的算法協(xié)商結(jié)果和所述服務(wù)端設(shè)備一側(cè)的算法協(xié)商結(jié)果�; 對(duì)于密鑰協(xié)商子階段的數(shù)據(jù)包,記錄原密鑰協(xié)商信息�,替換為新的密鑰協(xié)商信息,當(dāng)接收到SSH2協(xié)議的新密鑰啟用消息后�����,分別推導(dǎo)所述客戶端設(shè)備一側(cè)的SSH2傳輸密鑰和所述服務(wù)端設(shè)備一側(cè)的SSH2傳輸密鑰�。
6.如權(quán)利要求5所述的方法,其特征在于�����,所述若所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包���,則利用推導(dǎo)出的所述傳輸密鑰����,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)��,將所述明文數(shù)據(jù)作為采集成果輸出�����,具體包括: 利用輸入一側(cè)的傳輸密鑰將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)����,通過(guò)哈希消息認(rèn)證碼HMAC值校驗(yàn)所述明文數(shù)據(jù)的完整性; 將校驗(yàn)結(jié)果為完整的所述明文數(shù)據(jù)作為采集成果輸出�。
7.如權(quán)利要求6所述的方法,其特征在于�����,所述對(duì)于SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包���,利用推導(dǎo)出的所述傳輸密鑰將所述明文數(shù)據(jù)加密成密文數(shù)據(jù)����,具體包括: 利用輸出一側(cè)的傳輸密鑰將校驗(yàn)后的所述明文數(shù)據(jù)加密成密文數(shù)據(jù),并重新計(jì)算所述密文數(shù)據(jù)的HMAC值�����,校驗(yàn)所述密文數(shù)據(jù)的完整性�; 所述重新確定TCP包頭和IP包頭,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝���,發(fā)送給接收方設(shè)備����,具體包括: 對(duì)于校驗(yàn)結(jié)果為完整的所述密文數(shù)據(jù)�,重新確定TCP包頭和IP包頭,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝�,發(fā)送給接收方設(shè)備。
8.如權(quán)利要求2至7中任一權(quán)利要求所述的方法��,其特征在于�����,所述重新確定TCP包頭和IP包頭�,具體包括: 判斷所述數(shù)據(jù)包的長(zhǎng)度是否發(fā)生改變; 若判斷出所述數(shù)據(jù)包的長(zhǎng)度發(fā)生改變,則重新確定IP包頭的總長(zhǎng)���、IP包頭的頭部校驗(yàn)和字段���,以及TCP包頭中的序列號(hào)SEQ��、確認(rèn)號(hào)ACK���、校驗(yàn)和字段�����; 若判斷出所述數(shù)據(jù)包的長(zhǎng)度沒(méi)有發(fā)生改變��,則重新確定TCP包頭中的SEQ��、ACK�、校驗(yàn)和字段�����。
9.一種安全外殼SSH2協(xié)議數(shù)據(jù)的采集裝置���,其特征在于��,客戶端設(shè)備與服務(wù)端設(shè)備之間建立了 SSH2連接�,所述裝置包括: 獲取單元,用于獲取所述客戶端設(shè)備與所述服務(wù)端設(shè)備之間傳輸?shù)腟SH2數(shù)據(jù)包�����; 重組單元���,用于將所述獲取單元獲取的SSH2數(shù)據(jù)包重組排列為有序的網(wǎng)絡(luò)數(shù)據(jù)包�����; 檢測(cè)單元�,用于依次檢測(cè)所述重組單元SSH2重組后的數(shù)據(jù)包的類型�; 第一處理單元,用于當(dāng)所述檢測(cè)單元檢測(cè)出的所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議握手階段的數(shù)據(jù)包時(shí)���,記錄原握手信息�,替換為新的握手信息�,當(dāng)握手信息充分時(shí)推導(dǎo)出SSH2密鑰協(xié)商后的傳輸密鑰; 第二處理單元��,用于當(dāng)所述檢測(cè)單元檢測(cè)出的所述SSH2數(shù)據(jù)包的類型表明所述SSH2數(shù)據(jù)包為SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包,則利用推導(dǎo)出的所述傳輸密鑰��,將所述SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包所攜帶的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)���,將所述明文數(shù)據(jù)作為采集成果輸出��。
10.如權(quán)利要求9所述的裝置����,其特征在于�����,所述裝置還包括: 數(shù)據(jù)包封裝發(fā)送單元�,用于對(duì)于所述第一處理單元替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包�����,重新確定傳輸控制協(xié)議TCP包頭和網(wǎng)際互聯(lián)協(xié)議IP包頭��,以及對(duì)所述替換為新的握手信息的SSH2協(xié)議握手階段的數(shù)據(jù)包重新進(jìn)行數(shù)據(jù)包封裝��,發(fā)送給接收方設(shè)備����,所述接收方設(shè)備為所述客戶端設(shè)備或所述服務(wù)端設(shè)備�; 加密單元���,用于對(duì)于所述第二處理單元處理后的SSH2協(xié)議密文傳輸階段的數(shù)據(jù)包��,利用推導(dǎo)出的所述傳輸密鑰將所述明文數(shù)據(jù)加密成密文數(shù)據(jù)���; 所述數(shù)據(jù)包封裝發(fā)送單元,還用于針對(duì)所述加密單元加密的密文數(shù)據(jù)重新確定TCP包頭和IP包頭���,以及對(duì)所述密文數(shù)據(jù)重新進(jìn)行數(shù)據(jù)包封裝��,發(fā)送給接收方設(shè)備���。
【文檔編號(hào)】H04L29/06GK104394129SQ201410637319
【公開(kāi)日】2015年3月4日 申請(qǐng)日期:2014年11月5日 優(yōu)先權(quán)日:2014年11月5日
【發(fā)明者】宋磊, 葉曉舟, 鄭艷偉, 董海韜, 吳京洪, 樊浩 申請(qǐng)人:中國(guó)科學(xué)院聲學(xué)研究所, 北京中科智網(wǎng)科技有限公司