加密数据流流量控制方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络通信技术领域,尤其涉及一种加密数据流流量控制方法及装置。
【背景技术】
[0002]目前受 SSL (Secure Sockets Layer,安全套接层)/TLS (Transport LayerSecurity,传输层安全)保护的应用越来越多,包括基于Web和非基于Web的应用。SSL/TLS是为网络通信提供安全及数据完整性的安全协议,在传输层对网络连接进行加密。TLS为SSL的继任者,TLSvl为TLS协议的第一版本。
[0003]在企业应用中,面对越来越多TLSvl协议加密的数据,通过带宽管理设备对这些加密数据进行有效识别显得尤为重要。可以帮助企业限制网络中的TLSvl流量的传输,并通过对TLSvl加密的办公业务的识别,可优先为办公业务分配带宽,保障企业正常的办公需求,而对于非办公业务加密数据的识别,可起到阻断流量或限制流量的作用。
[0004]目前,对TLSvl协议加密数据的识别还没有成熟的识别方法,协议分析人员往往主动规避TLSvl协议,不对使用该协议的应用或者软件进行协议识别分析。即使有极少数的识别分析方法,其识别方法也不系统,不具有通用性,不能普遍应用于其他使用TLSvl协议的应用的识别分析。
【发明内容】
[0005]有鉴于此,本发明提供了一种加密数据流流量控制方法,该方法应用于带宽管理设备上,该方法包括:
[0006]检测到携带认证证书使用主体信息的认证报文时,提取该认证报文的客户端IP地址、服务器端IP地址以及目的端口号;
[0007]查询数据流表中是否存在所述客户端IP地址、服务器端IP地址以及目的端口号的数据流表项,若不存在,则创建对应数据流表项,添加到数据流表中;
[0008]若检测到满足数据流表中已存在表项的加密数据流,则对该加密数据流进行流量控制。
[0009]本发明还提供了一种加密数据流流量控制装置,该装置应用于带宽管理设备上,该装置包括:
[0010]主体识别单元,用于检测到携带认证证书使用主体信息的认证报文时,提取该认证报文的客户端IP地址、服务器端IP地址以及目的端口号;
[0011]表项建立单元,用于查询数据流表中是否存在所述客户端IP地址、服务器端IP地址以及目的端口号的数据流表项,若不存在,则创建对应数据流表项,添加到数据流表中;
[0012]流量控制单元,用于若检测到满足数据流表中已存在表项的加密数据流,则对该加密数据流进行流量控制。
[0013]本发明通过对认证过程的识别,实现对认证后的加密数据流的流量控制。
【附图说明】
[0014]图1是本发明一种实施方式中TLSvl协议单数据流和多数据流传输示意图。
[0015]图2是本发明一种实施方式中加密数据流流量控制方法的流程图。
[0016]图3是本发明一种实施方式中加密数据流流量控制装置的结构示意图。
[0017]图4是本发明一种实施方式中加密数据流流量控制装置的基础硬件示意图。
【具体实施方式】
[0018]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图对本发明所述方案作进一步地详细说明。
[0019]本发明通过对加密协议的认证过程进行识别,达到识别加密数据流的目的,从而实现对加密数据流的流量控制。本发明以TLSvl协议为例,介绍对该加密协议的识别过程,以完成对该协议加密数据流的控制。
[0020]TLSvl协议包括两个协议组:记录协议和握手协议。在握手协议中,包含证书认证部分。如图1所示,采用TLSvl协议进行单数据流传输时,客户端(client)和服务器端(server)的信息传递始终通过同一个数据流完成,即使是同时请求多个文件传输也是顺序传输,只有前一个文件传输完毕才会进行下一个文件的传输。例如,使用TLSvl协议的系统用户登录为单数据流传输。在单数据流传输时,只需要对证书认证所在的数据流进行阻断、限流或者保障即可实现带宽管理的目的。
[0021]在多数据流传输时,如某些网盘文件同步,系统只进行一次证书认证,即可同时开启多个数据流进行信息传输。这种情况下,由于不是每个数据流都包含证书认证过程,因此,采用单数据流的带宽控制方法只能对证书认证过程所在的数据流进行限流或者保障,其它数据流由于是在客户端认证成功后才发起的,这些数据流不带认证过程,其数据传输显然不受影响。针对多数据流流量控制问题,具体实施过程如下。
[0022]本发明提供一种加密数据流流量控制方法,该方法应用于带宽管理设备上。参见图2,该方法包括以下步骤:
[0023]步骤101,检测到携带认证证书使用主体信息的认证报文时,提取该认证报文的客户端IP地址、服务器端IP地址以及目的端口号;
[0024]步骤102,查询数据流表中是否存在所述客户端IP地址、服务器端IP地址以及目的端口号的数据流表项,若不存在,则创建对应数据流表项,添加到数据流表中;
[0025]步骤103,若检测到满足数据流表中已存在表项的加密数据流,则对该加密数据流进行流量控制。
[0026]带宽管理设备用于网络流量控制,为不同的业务需求提供不同的网络带宽。带宽管理设备中保存有特征库,该特征库用于存放可供识别的认证证书使用主体的部分特征。该可供识别的认证证书使用主体由带宽管理设备厂商进行定义,厂商会分析需要识别的认证证书,提取出认证证书中的使用主体的部分特征添加到特征库中。厂商定期发布新的特征库版本,带宽管理设备获取特征库版本并升级。带宽管理设备的使用者,根据业务需求选择需要对哪些认证证书使用主体进行流量控制,构成使用者自己的特征库,用于后续流量控制时进行特征匹配。
[0027]TLSvl协议在握手协议部分进行X.509v3证书认证,服务器在TLSvl协议的Hello消息中,将X.509V3认证证书、密钥交换等信息发送给客户端,并要求客户端进行认证。客户端在接收到该消息后,将X.509v3认证证书、加密密钥发送给服务器,完成加密密钥的协商,在后续数据传输中使用该加密密钥进行数据加密。带宽管理设备可通过检测客户端发送的报文中是否携带X.509v3认证证书来进行认证报文的识别。
[0028]具体通过检测该X.509v3证书的使用主体信息是否与带宽管理设备特征库中保存的X.509v3证书的使用主体信息相同,带宽管理设备特征库中保存了所有需要进行流量控制的使用主体信息。若检测结果为X.509v3证书使用主体信息相同,则提取该认证报文中的客户端IP地址、服务器端IP地址以及目的端口号。由于X.509v3证书中的使用主体信息是该证书必须包含的特征,而且每一个使用者的使用主体信息是全球唯一的,因此,可通过该信息进行加密数据流的识别。例如,某企业的带宽管理设备需要对访问Yun1网盘的加密数据流进行限流,以避免大量非办公业务占据带宽,影响正常办公业务的使用。当企业员工使用办公电脑访问Yun1网盘下载电影时,首先向Yun1网盘服务器发送认证报文,该认证报文中携带认证证书,该认证证书的使用主体为Yun1网盘(实际应用中,该使用主体具体可以是一段标识信息,用于表示Yun1网盘),带宽管理设备检测到该认证报文后,发现该报文中认证证书的使用主体是Yun1网盘,而Yun1网盘是企业办公业务不需要使用的,因此,带宽管理设备提取认证报文中该员工所使用的办公电脑的IP地址、Yun1网盘服务器的IP地址以及目的端口号,以备后续对加密数据流进行流量控制使用。
[0029]带宽管理设备在获得需要流量控制的客户端与服务器端的IP地址和目的端口号后,查询内部的数据流表,确认是否已存在所述客户端IP地址、服务器端IP地址以及目的端口号的数据流表项,若不存在,则创建对应数据流表项,添加到数据流表中。该表项的建立为多数据流传输提供流量控制依据,对满足数据表中各表项IP对应关系的数据流进行流量控制。例如,在