一種高安全性網(wǎng)絡(luò)數(shù)據(jù)存儲方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，涉及一種實時存儲捕獲到網(wǎng)絡(luò)數(shù)據(jù)流的方法，特別涉及一種基于對稱和非對稱加密方法及校驗計算的具有安全性且防篡改的網(wǎng)絡(luò)數(shù)據(jù)包存儲方法。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)作為全球最大的信息中心，網(wǎng)絡(luò)節(jié)點已經(jīng)遍布全球?；ヂ?lián)網(wǎng)帶給人們便捷的溝通方式和快捷的資源獲取，然而，隨著網(wǎng)絡(luò)迅速壯大和發(fā)展，許多網(wǎng)絡(luò)安全和管理問題也隨之產(chǎn)生，這些問題的解決需要采集網(wǎng)絡(luò)中的流量信息。
[0003]這些所需要的信息通常來自于網(wǎng)絡(luò)中實際傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包，可以通過在網(wǎng)絡(luò)中捕獲這些數(shù)據(jù)，存儲之后對其進行分析。然而，現(xiàn)有方法獲取到的數(shù)據(jù)包是明文存儲，無法保證數(shù)據(jù)的機密性，容易被泄露，同時也不能防止數(shù)據(jù)被篡改，因此，數(shù)據(jù)存儲的安全性存在很大隱患。
[0004]現(xiàn)在已有的網(wǎng)絡(luò)數(shù)據(jù)包存儲方法主要是采集網(wǎng)絡(luò)數(shù)據(jù)并直接保存到PCAP格式文件，具體方法是，首先創(chuàng)建一個PCAP格式的文件，用于存儲捕獲的數(shù)據(jù)包信息;之后，每捕獲一個數(shù)據(jù)包，存儲包括時間戳和包長度在內(nèi)的包頭信息，以及數(shù)據(jù)包內(nèi)容明文存放于PCAP文件中。另外一種方法是采集網(wǎng)絡(luò)數(shù)據(jù)并存儲在下一代PCAP格式文件，具體方法是，將PCAP文件的組織結(jié)構(gòu)更改為通過不同類型的塊(Block)按照一定規(guī)則組織成文件，主要針對可擴展性、便攜性和合并及附加數(shù)據(jù)三方面進行了改進。然而，對于數(shù)據(jù)包的安全性和數(shù)據(jù)的可靠性，這兩種方法并沒有明確的措施來保證，無法保證數(shù)據(jù)是未被篡改過的，也無法保證數(shù)據(jù)安全不被泄露。
[0005]本發(fā)明涉及一種具有安全性的數(shù)據(jù)包實時捕獲和處理方法，提供了一種可靠的存儲格式，防止數(shù)據(jù)泄露和數(shù)據(jù)被篡改，保證數(shù)據(jù)的機密性和不可否認性(不可抵賴性)。所提出的高安全性網(wǎng)絡(luò)數(shù)據(jù)存儲方法主要涉及以下兩個問題:
[0006](I)對實時捕獲的數(shù)據(jù)包進行加密存儲，保證數(shù)據(jù)的機密性；
[0007](2)通過塊存儲的方法存儲數(shù)據(jù)包，形成聯(lián)合多個塊的校驗方法，保證數(shù)據(jù)的不可否認性，防止數(shù)據(jù)被篡改。

【發(fā)明內(nèi)容】

[0008]本發(fā)明的目的是為了克服已有數(shù)據(jù)包存儲方法的安全缺陷，為了解決現(xiàn)有方法在進行網(wǎng)絡(luò)數(shù)據(jù)包捕獲和存儲中存在的數(shù)據(jù)明文存儲導致信息易泄露，且數(shù)據(jù)包的存儲內(nèi)容可被無察覺的篡改等缺陷，提出一種對網(wǎng)絡(luò)中捕獲數(shù)據(jù)包進行安全存儲的方法，即一種高安全性網(wǎng)絡(luò)數(shù)據(jù)存儲方法。
[0009]本發(fā)明的思想是基于非對稱密鑰和對稱密鑰相結(jié)合的加密技術(shù)對用于校驗的關(guān)鍵字、用于加密的隨機密鑰和捕獲到的數(shù)據(jù)進行加密從而提高數(shù)據(jù)的安全性，對分塊存儲的數(shù)據(jù)包內(nèi)容進行校驗防止數(shù)據(jù)被篡改，從而滿足網(wǎng)絡(luò)流量采集的高安全性和不可抵賴性要求。
[0010]—種基于對網(wǎng)絡(luò)中捕獲的數(shù)據(jù)包進行加密和校驗防篡改的高安全性不可抵賴性的網(wǎng)絡(luò)數(shù)據(jù)實時加密存儲方法，其基本實施過程如下:
[0011]本發(fā)明分為兩部分，第一部分為網(wǎng)絡(luò)數(shù)據(jù)存儲過程，S卩加密過程，第二部分為網(wǎng)絡(luò)數(shù)據(jù)處理過程，即解密過程；
[0012]第一部分網(wǎng)絡(luò)數(shù)據(jù)存儲過程，S卩加密過程，具體步驟如下:
[0013]步驟I，創(chuàng)建一個空文件用來存儲加密后的網(wǎng)絡(luò)數(shù)據(jù)和所需關(guān)鍵字如公鑰、隨機密鑰;設(shè)置用來存儲數(shù)據(jù)明文的緩沖區(qū)，其大小為可接收最大數(shù)據(jù)包數(shù)量N;
[0014]步驟2，將加密過程中使用的公鑰作為關(guān)鍵字存入文件中；
[0015]加密過程中，公鑰是開放的，用來加密隨機密鑰關(guān)鍵字;在解密過程中，會有對應的私鑰，為用戶私有，用來解密隨機密鑰和校驗碼關(guān)鍵字，從而獲取隨機密鑰，用于解密網(wǎng)絡(luò)數(shù)據(jù)包和校驗數(shù)據(jù)。
[0016]步驟3，獲取隨機密鑰，用來加密實時捕獲的網(wǎng)絡(luò)數(shù)據(jù)包;將隨機密鑰作為關(guān)鍵字被公鑰加密后存儲在文件中；
[0017]通過開始捕獲數(shù)據(jù)時的時間戳和硬件信息如mac地址生成隨機密鑰，用于加密實時捕獲的網(wǎng)絡(luò)數(shù)據(jù)包;將隨機密鑰作為關(guān)鍵字被公鑰加密，存儲在文件中。
[0018]步驟4，通過捕獲包個數(shù)變量Counter實時統(tǒng)計捕獲到的數(shù)據(jù)包個數(shù)，并嚴格按照順序明文存儲到緩沖區(qū)內(nèi)，直到捕獲包的數(shù)量為一個緩沖區(qū)可存放的最大數(shù)量N或用戶終止捕獲時結(jié)束當前步驟；
[0019]此時該緩沖區(qū)內(nèi)的數(shù)據(jù)作為一個數(shù)據(jù)塊(Sect1n)用于后續(xù)加密或校驗。同時記錄該緩沖區(qū)內(nèi)第一個包和最后一個包被捕獲時的精確時間戳(timestamps )，記錄整個數(shù)據(jù)塊的大小(Sect1n Length)，方便后續(xù)讀取某文件時需要跳過整個數(shù)據(jù)塊的操作，記錄捕獲包的總個數(shù)(Counter)，一般為N個，若用戶終止捕獲時未填滿緩沖區(qū)，則記錄當前包數(shù)。將數(shù)據(jù)塊的大小、精確時間戳、包的總個數(shù)按照順序存入文件。
[0020]步驟5，根據(jù)步驟4獲取到的一個數(shù)據(jù)塊中的明文數(shù)據(jù)計算該數(shù)據(jù)塊中關(guān)鍵字:本塊校驗碼Check_Sect1n和全文校驗碼Check_ALL的值，存儲于文件中。
[0021]具體方法為，根據(jù)塊內(nèi)的數(shù)據(jù)明文計算出校驗本塊數(shù)據(jù)的校驗碼(Check_Sect1n)，存于文件中，用來在解密過程校驗該數(shù)據(jù)塊中數(shù)據(jù)包的正確性。通過前一個數(shù)據(jù)塊的全文校驗碼Check_ALL和當前數(shù)據(jù)塊中數(shù)據(jù)包的本塊校驗碼Check_Sect1n計算得出當前數(shù)據(jù)塊的全文校驗碼Check_ALL;若當前數(shù)據(jù)塊是第一個數(shù)據(jù)塊，則只根據(jù)當前數(shù)據(jù)塊的本塊校驗碼Check_Sect1n計算，存于文件中。
[0022]步驟6，對步驟4獲取到的一個數(shù)據(jù)塊中的明文數(shù)據(jù)，使用隨機密鑰加密并將加密后的數(shù)據(jù)順序存儲在本塊校驗碼和全文校驗碼關(guān)鍵字之后的位置。
[0023]截止到本步驟，一個完整的數(shù)據(jù)塊，包括數(shù)據(jù)塊大小，精確時間戳，塊捕獲包個數(shù)，本塊校驗碼，全文校驗碼和加密后的網(wǎng)絡(luò)數(shù)據(jù)，便被完整存儲在文件中。
[0024]步驟7，如判斷出用戶未終止捕獲數(shù)據(jù)，則重設(shè)Counter為O，回到步驟4繼續(xù)捕獲并加密存儲數(shù)據(jù);否則結(jié)束捕獲和存儲步驟。
[0025]第二部分網(wǎng)絡(luò)數(shù)據(jù)處理過程，即解密過程，步驟如下:
[0026]步驟8，用戶在讀取文件時，首先需要用對應的私鑰對隨機密鑰關(guān)鍵字解密，得到隨機密鑰；
[0027]步驟9，使用隨機密鑰對所有數(shù)據(jù)塊進行解密，通過重新計算獲取每個數(shù)據(jù)塊的新本塊校驗碼和新全文校驗碼，并和原始校驗碼對比來校驗單個數(shù)據(jù)塊和整個文件內(nèi)數(shù)據(jù)的完整性和正確性，若截止到某塊的新全文校驗碼和原始全文校驗碼不一致，則該塊之前的所有塊未發(fā)生丟失和亂序;若解密數(shù)據(jù)后重新計算出的新本塊校驗碼和原始本塊校驗碼不一致，則該塊的數(shù)據(jù)和原始數(shù)據(jù)不一致。
[0028]有益效果
[0029]本發(fā)明方法，對比已有技術(shù)，能夠有效地解決當前網(wǎng)絡(luò)包實時捕獲存儲方法中數(shù)據(jù)明文存儲易泄露用戶數(shù)據(jù)、存儲文件可篡改、篡改后無法察覺的問題，并通過SPCAP這種新的存儲格式合理地存儲了所有關(guān)鍵字和密文數(shù)據(jù)，通過對稱加密數(shù)據(jù)、非對稱加密關(guān)鍵字的方法保證數(shù)據(jù)的安全性，通過對數(shù)據(jù)進行計算校驗碼的方法防止數(shù)據(jù)被篡改，保證了存儲文件的不可抵賴性，通過對數(shù)據(jù)分塊存儲保證了實時性。
【附圖說明】
[0030]圖1為本發(fā)明實施例一種高安全性網(wǎng)絡(luò)數(shù)據(jù)存儲方法(加密過程)流程示意圖。
[0031]圖2為本發(fā)明實施例一種高安全性網(wǎng)絡(luò)數(shù)據(jù)存儲方法(解密過程)流程示意圖。
[0032]圖3為SPCAP格式整體結(jié)構(gòu)示意圖。
[0033]圖4為SPCAP格式SPCAP Header結(jié)構(gòu)示意圖。
[0034]圖5為SPCAP格式數(shù)據(jù)塊塊頭部分結(jié)構(gòu)示意圖。
【具體實施方式】
[0035]為使發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明的【具體實施方式】進行詳細描述。本實施例以本發(fā)明技術(shù)方案為前提進行實施，給出了詳細實施方式和具體操作過程，但本發(fā)明的保護范圍不限于下述實施例。
[0036]本發(fā)明為一種基于對網(wǎng)絡(luò)中捕獲數(shù)據(jù)包進行加密和校驗防篡改的高安全性不可抵賴性的網(wǎng)絡(luò)數(shù)據(jù)實時存儲方法，其具體步驟分為兩部分，圖1所示為第一部分，網(wǎng)絡(luò)數(shù)據(jù)存儲過程(加密過程)，圖2所示為第二部分，網(wǎng)絡(luò)數(shù)據(jù)處理過程(解密過程)。
[0037]第一部分網(wǎng)絡(luò)數(shù)據(jù)存儲過程(加密過程)的具體步驟包括:
[0038]步驟I，創(chuàng)建一個空文件用來存儲加密后的網(wǎng)絡(luò)數(shù)據(jù)和包括公鑰、隨機密鑰以及校驗碼在內(nèi)的關(guān)鍵字，所述網(wǎng)絡(luò)數(shù)據(jù)以塊(Sect1n)為單位存儲。
[0039]本實施例中設(shè)置該文件由文件頭和數(shù)據(jù)內(nèi)容兩部分組成，文件頭用來存儲關(guān)鍵字，數(shù)據(jù)部分用來存儲捕獲到的網(wǎng)絡(luò)數(shù)據(jù)包;文件頭至少包括公鑰、隨機密鑰二項，數(shù)據(jù)內(nèi)容部分通過劃分多個數(shù)據(jù)塊來存儲數(shù)據(jù)，每個數(shù)據(jù)塊分為塊頭和塊數(shù)據(jù)兩部分，塊頭部分用來存儲每個數(shù)據(jù)塊的校驗碼等關(guān)鍵字，塊數(shù)據(jù)部分用來存儲捕獲到的加密后的網(wǎng)絡(luò)數(shù)據(jù)包。設(shè)置每個塊緩沖區(qū)可接收的最大數(shù)據(jù)包數(shù)量為N，即每個塊數(shù)據(jù)中可保存包的最大數(shù)量為N。
[0040]為了支撐本發(fā)明中數(shù)據(jù)和關(guān)鍵字數(shù)據(jù)的存儲，本發(fā)明使用一種SPCAP格式的文件作為數(shù)據(jù)存儲文件類型，本領(lǐng)域技術(shù)人員知道，這不是唯一類型，根據(jù)其原理，還可以提出任何其它改進的SPCAP格式文件，本發(fā)明中使用的SPCA