專利名稱:局域網(wǎng)反嗅探技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在局域網(wǎng)內(nèi),防止客戶計算機(jī)發(fā)出或接收的數(shù)據(jù)�,被嗅探器采集并提取敏感用戶信息的技術(shù)。
背景技術(shù):
嗅探器英文名sniffer�����,幾乎和Internet有一樣久的歷史���。嗅探技術(shù)是一種常用的收集有用數(shù)據(jù)的技術(shù)方法��,這些數(shù)據(jù)可以是用戶帳號和密碼��,也可是商業(yè)機(jī)密數(shù)據(jù)等���。隨著Internet及電子商務(wù)的日益普及,Internet的安全越來越受到關(guān)注��。
數(shù)據(jù)在網(wǎng)絡(luò)上傳輸�,是以很小的稱為幀(Frame)的單位進(jìn)行的,幀由好幾部分組成���,不同的部分執(zhí)行不同的功能��。例如���,以太網(wǎng)的前12個字節(jié)存放的是源和目的的地址,這些位告訴網(wǎng)絡(luò)數(shù)據(jù)的來源和去處�����。以太網(wǎng)幀的其他部分存放實際的用戶數(shù)據(jù)、TCP/IP的報文頭或IPX報文頭等��。當(dāng)一個局域網(wǎng)中的某臺機(jī)器使用郵件軟件收郵件時���,其過程是這樣的首先����,它會提出一個POP3請求����,此請求數(shù)據(jù)里包含了如郵件用戶名、密碼��、源地址����、接收郵件服務(wù)器的目的地址等信息。此數(shù)據(jù)在傳輸前����,在先后被TCP/IP協(xié)議和以太網(wǎng)協(xié)議加上相應(yīng)的頭信息包裝成相應(yīng)的數(shù)據(jù)格式。然后數(shù)據(jù)以幀(Frame)的形式在局域網(wǎng)上傳輸�,通過網(wǎng)關(guān)并經(jīng)過一系列路由達(dá)到目的服務(wù)器,在這個過程����,用戶的許多敏感信息都以明文的方式被打包成數(shù)據(jù)幀�����。此時如果黑客在網(wǎng)絡(luò)中接裝了一個嗅探器sniffer,就可通過軟件置主機(jī)網(wǎng)卡于混雜模式��,把這些數(shù)據(jù)幀截獲�,并通過相應(yīng)的軟件處理,實時分析這些數(shù)據(jù)的內(nèi)容�����,獲取其中的敏感信息���,如郵件用戶名�����、密碼�、郵件服務(wù)器II地址等�����,進(jìn)而分析出所處的網(wǎng)絡(luò)狀態(tài)和整體布局,這樣惡意的攻擊者就能以合法用戶的身份去查看受害用戶的郵件��,而很難被系統(tǒng)管理員所發(fā)現(xiàn)����,還可以受害用戶的名義發(fā)放惡意的郵件。同樣����,如FTP、SMTP����、UDP等等協(xié)議的敏感信息,在嗅探器的攻擊下�����,也易被泄漏����。
發(fā)明內(nèi)容
針對嗅探器sniffer對網(wǎng)絡(luò)信息的竊取和攻擊,本發(fā)明的目的在于提供一種在局域網(wǎng)內(nèi)能有效地保護(hù)客戶機(jī)傳輸?shù)臄?shù)據(jù)信息不被嗅探器竊取的反嗅探技術(shù)��。本技術(shù)運(yùn)用數(shù)據(jù)加密方式�����,對在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行加密達(dá)到反嗅探的目的。采用加密算法對原數(shù)據(jù)進(jìn)行數(shù)據(jù)加密���,這樣��,即使網(wǎng)絡(luò)中的數(shù)據(jù)包被嗅探器截獲��,由于原數(shù)據(jù)是被加了密的,而且又沒有解密算法����,這些數(shù)據(jù)會以不可識別的形式出現(xiàn)在惡意攻擊者面前。如果把些數(shù)據(jù)直接發(fā)到目的主機(jī)去��,目的主機(jī)同樣不能識別���,這就需要對這些數(shù)據(jù)進(jìn)行解密后再發(fā)送到目的主機(jī)上去��。因此��,本技術(shù)的特征在于整個網(wǎng)絡(luò)傳輸過程�����,需要一個安裝有加解密代理程序的客戶端主機(jī)�����,用來對客戶端發(fā)出的各種數(shù)據(jù)包進(jìn)行加密�����,對進(jìn)入客戶端的各種數(shù)據(jù)包進(jìn)行解密���,以及安裝有同一套解密代理程序的網(wǎng)關(guān)服務(wù)器主機(jī)�,用來對客戶端發(fā)來的各種數(shù)據(jù)包進(jìn)行解密和對發(fā)向客戶端的各種數(shù)據(jù)包進(jìn)行加密�,或者是安裝在INTERNET上的一個具有加解密代理程序的硬件裝置,也或者是安裝在INTERNET上的一個具有同一套加解密代理程序的可信任服務(wù)器TRUSTEDSERVER����。一旦客戶端發(fā)出請求,經(jīng)加密后的數(shù)據(jù)先發(fā)送到TRUSTEDSERVER去解密�,然后再把解密后的數(shù)據(jù)發(fā)送到目的主機(jī);而目的主機(jī)回應(yīng)的數(shù)據(jù)����,先送到TRUSTED SERVER去加密,然后再把數(shù)據(jù)傳給客戶端主機(jī)��,經(jīng)客戶端解密代理程序解密后,遞給客戶端應(yīng)用程序����。本發(fā)明中所用的加解密代理程序,包含有對數(shù)據(jù)包的打包方法和拆解方法�。所述的數(shù)據(jù)包的打包方法按下述程序進(jìn)行客戶端主機(jī)在應(yīng)用層中提出具體請求,如FTP請求完成后�����,此請求按具體協(xié)議進(jìn)行格式化�����,比如���,F(xiàn)TP的請求就加上FTP的格式,此數(shù)據(jù)進(jìn)入傳輸層和網(wǎng)絡(luò)層后���,再進(jìn)行格式化���,如采用TCP/IP協(xié)議,就加上TCP頭信息和IP頭信息等����,然后進(jìn)入數(shù)據(jù)鏈路層�,加上以太網(wǎng)報文信息就包裝成數(shù)據(jù)楨�,經(jīng)由客戶機(jī)網(wǎng)卡,并被監(jiān)視網(wǎng)卡的加解密代理程序截取����,加密程序?qū)?shù)據(jù)楨去掉以太網(wǎng)報文信息,然后根據(jù)三種情況完成接下的工作如果使用網(wǎng)關(guān)服務(wù)器解密�����,則加密程序?qū)琓CP/IP報文頭的數(shù)據(jù)進(jìn)行加密�,把加密后的數(shù)據(jù)再次包裝上以太網(wǎng)報文信息,然后通過網(wǎng)卡進(jìn)入局域網(wǎng)發(fā)向網(wǎng)關(guān)��;如果使用安裝在INTERNET上具有加解密代理程序的硬件裝置進(jìn)行解密���,則加解密代理程序就會再去掉TCP/IP的報文頭�,然后對數(shù)據(jù)包加密���,加密后再加上TCP/IP的報文頭和以太網(wǎng)報文信息��,然后通過網(wǎng)卡進(jìn)入局域網(wǎng)發(fā)向網(wǎng)關(guān)��,再由網(wǎng)關(guān)傳給INTERNET上的硬件裝置�����;如果使用INTERNET網(wǎng)上可信任服務(wù)器TRUSTED SERVER解密��,則加解密代理程序���,就會在對數(shù)據(jù)去掉以太網(wǎng)報文信息后��,對數(shù)據(jù)包進(jìn)行加密�����,之后再加上TRUSTED SERVER的TCP/IP報文頭��,加上以太網(wǎng)報文信息,傳送給網(wǎng)關(guān)后再傳向TRUSTED SERVER���。加解密代理程序所包含的數(shù)據(jù)包拆解按下述程序進(jìn)行當(dāng)網(wǎng)關(guān)接收到數(shù)據(jù)包后會去掉以太網(wǎng)報文信息����,如果網(wǎng)關(guān)服務(wù)器上裝有解密程序,解密程序在接收到加密的數(shù)據(jù)包后�,會對數(shù)據(jù)包進(jìn)行解密,然后傳向目的主機(jī)�;如果使用硬件裝置解密,則網(wǎng)關(guān)把已經(jīng)去掉以太網(wǎng)報文信息的數(shù)據(jù)包傳給硬件裝置����,該裝置的加解密代理程序會把TCP/IP的報文頭去掉,然后進(jìn)行解密�����,再把解密后的數(shù)據(jù)包加上TCP/IP的報文頭���,然后發(fā)向目的主機(jī)����;如果使用INTERNET上具有加解密代理程序可信任服務(wù)器TRUSTED SERVER解密����,則在它接收到去掉了以太網(wǎng)報文信息的數(shù)據(jù)包后,其解密代理程序?qū)?shù)據(jù)包有關(guān)可信任服務(wù)器TRUSTED SERVER的TCP/IP報文頭去掉���,再對數(shù)據(jù)包進(jìn)行解密��,然后再發(fā)給目的主機(jī)�����。
本發(fā)明的優(yōu)點(diǎn)在于由于客戶機(jī)在往目的主機(jī)發(fā)送數(shù)據(jù)前�����,就已通過加密程序?qū)?shù)據(jù)包進(jìn)行加密����,進(jìn)入局域網(wǎng)后,其加解密地址設(shè)在網(wǎng)關(guān)服務(wù)器上�����,而網(wǎng)關(guān)是局域網(wǎng)內(nèi)部與外部聯(lián)接的橋梁��,在網(wǎng)關(guān)處將接收到局域網(wǎng)內(nèi)的各種數(shù)據(jù)包進(jìn)行解密�����,還原成可以識別的包����,再發(fā)送到目的主機(jī)去,即使局域網(wǎng)內(nèi)存在嗅探器���,獲取的數(shù)據(jù)包因加密而不可解�����,因此不可能通過這種方式獲取用戶信息��。同理�����,目的主機(jī)返回的數(shù)據(jù)包在網(wǎng)關(guān)處被加密���,進(jìn)入局域網(wǎng)再到達(dá)客戶請求端,并由客戶端的加解密代理程序解密��,遞送給客戶端的應(yīng)用程序���,數(shù)據(jù)包在局域網(wǎng)傳輸過程中無泄密��。如果使用加解密硬件裝置或可信任服務(wù)器���,由于它們都不安裝在局域網(wǎng)內(nèi)而是安裝在局域網(wǎng)網(wǎng)關(guān)外�,因此網(wǎng)內(nèi)的嗅探工具同樣喪失了竊取信息的作用���。所以本技術(shù)的突出優(yōu)點(diǎn)一是保密性強(qiáng)���、二是技術(shù)方法簡單、操作容易����,三是實施成本低,便于推廣應(yīng)用�。
本發(fā)明給出如下附圖圖1為表示第一種反嗅探方法圖2為表示相關(guān)的第二種反嗅探方法圖3為表示相關(guān)的第三種反嗅探方法圖4為數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸過程示意5為從客戶端到目的主機(jī)端的反嗅探過程流程6為從目的主機(jī)到客戶端的反嗅探過程流程圖
具體實施例方式客戶端主機(jī)提出請求,按程序分析協(xié)議���,進(jìn)行格式化對數(shù)據(jù)進(jìn)行加密����,再按不同協(xié)議對數(shù)據(jù)包裝��,產(chǎn)生數(shù)據(jù)包���,數(shù)據(jù)包經(jīng)過客戶機(jī)內(nèi)存����、數(shù)據(jù)總線、CPU等計算機(jī)內(nèi)部數(shù)據(jù)通道����,經(jīng)由客戶機(jī)網(wǎng)卡并被監(jiān)視網(wǎng)卡的加解密代理程序截取�,去掉以太網(wǎng)報文信息,如果采用第一種反嗅探方法�����,在去掉以太網(wǎng)報文信息后對含有TCP/IP報文頭的數(shù)據(jù)加密��,之后把數(shù)據(jù)包再次加上以太網(wǎng)報文信息��,數(shù)據(jù)包被加解密代理程序這樣處理后��,又經(jīng)由客戶機(jī)內(nèi)部的數(shù)據(jù)通道經(jīng)網(wǎng)卡進(jìn)入局域網(wǎng)���,而傳輸?shù)骄W(wǎng)關(guān)的主機(jī)�,數(shù)據(jù)包被網(wǎng)關(guān)主機(jī)中安裝的加解密代理程序截取����,去掉以太網(wǎng)報文信息,經(jīng)解密處理�����,解密的數(shù)據(jù)包傳向目的主機(jī);如果采用第二種反嗅探方法��,在客戶端加密代理程序的作用下先截取數(shù)據(jù)包����,然后去掉其以太網(wǎng)報文信息,再去掉TCP/IP報文頭�����,對數(shù)據(jù)包加密���,再包裝上TCP/IP報文頭和以太網(wǎng)報文信息��,經(jīng)過這樣處理后的數(shù)據(jù)包�����,由客戶機(jī)網(wǎng)卡進(jìn)入局域網(wǎng)�,傳送給網(wǎng)關(guān)主機(jī)�,再傳給INTERNET上的硬件裝置,由于該硬件裝置接收到的是已被網(wǎng)關(guān)拆掉以太網(wǎng)報文信息的數(shù)據(jù)包,在解密代理程序作用下���,該裝置把數(shù)據(jù)包的TCP/IP報文頭拆掉����,進(jìn)行解密��,之后把解密后的數(shù)據(jù)包裝上TCP/IP的報文頭���,然后發(fā)向目的主機(jī);如果采用第三種反嗅探方法���,客戶機(jī)產(chǎn)生的數(shù)據(jù)包被其加解密代理程序截取后����,先被去掉以太網(wǎng)報文信息��,然后對數(shù)據(jù)包加密���,加上可信任服務(wù)器的TCP/IP報文頭�,再加上以太網(wǎng)報文信息���,成為加密的數(shù)據(jù)包��,經(jīng)客戶機(jī)網(wǎng)卡進(jìn)入局域網(wǎng)���,傳給網(wǎng)關(guān)主機(jī)��,被去掉以太網(wǎng)報文信息后�,數(shù)據(jù)包被傳送給INTERNET上的可信任服務(wù)器�,由它去掉數(shù)據(jù)包上與其有關(guān)的TCP/IP報文頭,對數(shù)據(jù)包解密���,然后再發(fā)送給目的主機(jī)����。數(shù)據(jù)包的整個傳輸過程�,沒有漏洞,不能被局域網(wǎng)中的嗅探工具鉆空子���,因而信息的保密性特強(qiáng)���。
權(quán)利要求
1.一種保護(hù)客戶機(jī)傳輸?shù)臄?shù)據(jù)在局域網(wǎng)內(nèi)不被嗅探器竊取的局域網(wǎng)反嗅探技術(shù),其特征在于在網(wǎng)絡(luò)中包含有a���、安裝有一套加解密代理程序的客戶端主機(jī)���;b�、安裝有同一套加解密代理程序的網(wǎng)關(guān)服務(wù)器主機(jī)�����、或INTERNET上的硬件裝置���、或INTERNET上的可信任主機(jī);
2.按照權(quán)利要求1所述的局域網(wǎng)反嗅探技術(shù)�����,其特征在于所述的加解密代理程序���,包含有對數(shù)據(jù)包進(jìn)行打包的方法和進(jìn)行拆解的方法�����;打包方法如下所述客戶端提出具體請求�,按協(xié)議進(jìn)行格式化�,然后加上以太網(wǎng)報文信息,數(shù)據(jù)被包裝成數(shù)據(jù)包,被加解密代理程序截取���,去掉以太網(wǎng)報文信息�����,如果使用網(wǎng)關(guān)服務(wù)器解密���,則客戶端的加密程序?qū)琓CP/IP報文頭的數(shù)據(jù)加密,然后再包裝上以太網(wǎng)報文信息�����,發(fā)向網(wǎng)關(guān)�;如果使用INTERNET上的加解密硬件裝置解密,則客戶端的加密程序使已去掉以太網(wǎng)報文信息的數(shù)據(jù)包�,再去掉TCP/IP報文頭,然后對源數(shù)據(jù)加密��,再包裝上TCP/IP的報文頭和以太網(wǎng)報文信息�,把加密后的數(shù)據(jù)包發(fā)向網(wǎng)關(guān);如果使用INTERNET上可信任服務(wù)器解密��,則客戶端加解代理密程序��,對已去掉以太網(wǎng)報文信息的數(shù)據(jù)包進(jìn)行加密,之后再依序包裝上與可信任服務(wù)器有關(guān)的TCP/IP報文頭和以太網(wǎng)報文信息�,成為加密的傳輸數(shù)據(jù)包發(fā)往網(wǎng)關(guān)。加解密代理程序所包含有的數(shù)據(jù)包拆解方法如下a�����、使用網(wǎng)關(guān)服務(wù)器時��,當(dāng)接收到數(shù)據(jù)包后����,先去掉以太網(wǎng)報文信息,解密程序?qū)?shù)據(jù)包解密時���,然后傳向目的主機(jī);b��、用硬件裝置解密�����,當(dāng)該裝置接收到已由網(wǎng)關(guān)把以太網(wǎng)報文信息去掉的數(shù)據(jù)包后�,該裝置解密程序把數(shù)據(jù)包中的TCP/IP的報文頭去掉,解密數(shù)據(jù)�,再包裝上TCP/IP的報文頭�����,然后發(fā)向目的主機(jī)���;c、使用INTERNET上可信任服務(wù)器解密時���,在收到網(wǎng)關(guān)傳來的已去掉以太網(wǎng)報文信息的數(shù)據(jù)包��,該服務(wù)器上的解密程序���,將數(shù)據(jù)包中與該服務(wù)器有關(guān)的TCP/IP報文頭去掉,再對數(shù)據(jù)包解密�,然后發(fā)向目的主機(jī)。
全文摘要
目前在局域網(wǎng)中傳送的信息,由于很少有加密措施,因而很易被嗅探工具竊取信息�����。本發(fā)明提供一種有效地反嗅探技術(shù),其特征在于:在網(wǎng)絡(luò)中包含有:a����、安裝有一套加解密代理程序的客戶端主機(jī);b、安裝同一套加解密代理程序的網(wǎng)關(guān)服務(wù)器主機(jī)或INTERNET上的硬件裝置,或INTERNET上可信任服務(wù)器主機(jī)���。由于在局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际潜患用艿?因而即便網(wǎng)內(nèi)存有嗅探工具,也無法竊取用戶信息���。本方法具有保密性強(qiáng),方法簡單��、易操作�����、實施成本低,便于推廣應(yīng)用等突出優(yōu)點(diǎn)��。
文檔編號G06F13/00GK1338679SQ01128918
公開日2002年3月6日 申請日期2001年9月29日 優(yōu)先權(quán)日2001年9月29日
發(fā)明者蒲慷, 王云 申請人:四川安盟科技有限責(zé)任公司