一種報(bào)文修改裝置及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及報(bào)文修改技術(shù)領(lǐng)域��,尤其涉及一種報(bào)文修改裝置及方法�����。
【背景技術(shù)】
[0002] 在網(wǎng)絡(luò)高速發(fā)展的今天,網(wǎng)絡(luò)安全給人們的生活和工作帶來了極大的影響����,因此 如何減少網(wǎng)絡(luò)安全隱患已成為一個(gè)不容忽視的問題。
[0003] 目前的網(wǎng)絡(luò)安全設(shè)備��,一般是通過對(duì)網(wǎng)絡(luò)報(bào)文數(shù)據(jù)進(jìn)行分析���,進(jìn)而判斷出該報(bào)文 是否存在安全隱患�����,例如報(bào)文中的用戶隱私類信息是否會(huì)被他人竊取�����。所以���,對(duì)存在此類安 全隱患的報(bào)文,需要進(jìn)行修改處理����,以便隱藏用戶隱私信息,達(dá)到保護(hù)隱私的目的�。目前存 在很多對(duì)上述存在安全隱患的報(bào)文進(jìn)行內(nèi)容修改的方法�,但這些方法都是在應(yīng)用層進(jìn)行數(shù) 據(jù)替換���。由于在應(yīng)用層進(jìn)行報(bào)文修改時(shí),極易使CPU的工作負(fù)荷增加����,達(dá)到極限,無法正常 進(jìn)行業(yè)務(wù)�����。具體的說���,當(dāng)傳輸一個(gè)體積較大的數(shù)據(jù)時(shí)�,通常會(huì)將該數(shù)據(jù)封裝成若干個(gè)報(bào)文����, 并將其編號(hào),網(wǎng)絡(luò)安全設(shè)備如需在應(yīng)用層對(duì)報(bào)文進(jìn)行修改�,需接收到全部報(bào)文后,然后一起 進(jìn)行修改����,這樣一來,CPU需在同一時(shí)間內(nèi)修改多個(gè)報(bào)文,這樣CPU就有可能達(dá)到極限�����,無法 正常進(jìn)行業(yè)務(wù)����。因此如何在不影響CPU正常工作的情況下對(duì)報(bào)文進(jìn)行修改處理,以到達(dá)隱 藏用戶隱私信息���,維護(hù)網(wǎng)絡(luò)安全的目的���,是一個(gè)急需解決的問題。
【發(fā)明內(nèi)容】
[0004] 有鑒于此�,本發(fā)明提供一種報(bào)文修改裝置�����,應(yīng)用于網(wǎng)絡(luò)安全設(shè)備上�����,所述裝置包 括:
[0005] 序號(hào)判斷單元��,用于判斷所接收報(bào)文的序號(hào)是否進(jìn)行過偏轉(zhuǎn);
[0006] 修改判斷單元�,用于當(dāng)所述報(bào)文的序號(hào)未進(jìn)行過偏轉(zhuǎn)時(shí),確定所述報(bào)文的IP層內(nèi) 容����、TCP內(nèi)容和數(shù)據(jù)內(nèi)容中是否存在任一項(xiàng)符合預(yù)設(shè)修改要求�����;
[0007] 修改執(zhí)行單元�,用于根據(jù)所述修改要求,對(duì)所述報(bào)文中符合修改要求的IP層內(nèi) 容���、TCP內(nèi)容和數(shù)據(jù)內(nèi)容進(jìn)行修改����,同時(shí)偏轉(zhuǎn)所述報(bào)文的序號(hào)����,記錄修改情況,并轉(zhuǎn)發(fā)所述報(bào) 文��。
[0008] 本發(fā)明還提供一種修改報(bào)文的方法�����,應(yīng)用于網(wǎng)絡(luò)層,所述方法包括:
[0009] 步驟A�����,判斷所接收報(bào)文的序號(hào)是否進(jìn)行過偏轉(zhuǎn)��;
[0010] 步驟B���,當(dāng)所述報(bào)文的序號(hào)未進(jìn)行過偏轉(zhuǎn)時(shí)���,確定所述報(bào)文的IP層內(nèi)容、TCP內(nèi)容 和數(shù)據(jù)內(nèi)容中是否存在任一項(xiàng)符合預(yù)設(shè)修改要求�;
[0011] 步驟C,根據(jù)所述修改要求����,對(duì)報(bào)文中符合修改要求的IP層內(nèi)容、TCP內(nèi)容和數(shù)據(jù) 內(nèi)容進(jìn)行修改�,偏轉(zhuǎn)報(bào)文序號(hào),記錄修改情況��,并轉(zhuǎn)發(fā)所述報(bào)文�����。
[0012] 本發(fā)明提供的技術(shù)方案在網(wǎng)絡(luò)層對(duì)報(bào)文中包含的敏感信息進(jìn)行修改,有效的客服 了現(xiàn)有技術(shù)中��,在應(yīng)用層對(duì)網(wǎng)絡(luò)進(jìn)行修改而導(dǎo)致的CPU極易達(dá)到極限���,而無法正常工作的 問題����。
【附圖說明】
[0013] 圖1是本發(fā)明提供的一種典型的裝置結(jié)構(gòu)示意圖���。
[0014] 圖2是本發(fā)明提供的一種典型的方法流程圖。
[0015] 圖3是本發(fā)明提供的一種典型的組網(wǎng)圖�。
【具體實(shí)施方式】
[0016] 為了在不加重CPU工作負(fù)擔(dān)的情況下,對(duì)報(bào)文中的敏感信息進(jìn)行修改�����,以達(dá)到隱 藏用戶隱私的目的���,本發(fā)明提供了一種新的報(bào)文內(nèi)容修改機(jī)制�����。請參考圖1�����,在一種優(yōu)選的 實(shí)施方案中�����,本發(fā)明提供一種報(bào)文修改裝置�����,應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上��,該裝置包括序號(hào)判斷 單元�,修改判斷單元、修改執(zhí)行單元以及報(bào)文還原單元�。請參考圖2,該裝置運(yùn)行過程通常包 括以下步驟。
[0017] 步驟101����,判斷所接收報(bào)文的序號(hào)是否進(jìn)行過偏轉(zhuǎn)。
[0018] 由于本發(fā)明提供的報(bào)文修改裝置一般是應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上的����,而網(wǎng)絡(luò)安全設(shè) 備則通常是設(shè)置在客戶端與服務(wù)器之間��,如圖3所示���,在優(yōu)選的實(shí)施方式中,網(wǎng)絡(luò)安全設(shè)備 一端與服務(wù)器連接����,另一端通過網(wǎng)絡(luò)與客戶端連接。由于本發(fā)明裝置會(huì)接收到客戶端和服 務(wù)器的報(bào)文���,并對(duì)其中需要修改的報(bào)文進(jìn)行修改�,然后再進(jìn)行轉(zhuǎn)發(fā)��。所以本發(fā)明裝置會(huì)接收 到?jīng)]有經(jīng)過判斷和修改的報(bào)文���,也會(huì)接收到已經(jīng)進(jìn)行過修改的報(bào)文的應(yīng)答報(bào)文。因此��,序號(hào) 判斷單元應(yīng)先對(duì)接收到的報(bào)文進(jìn)行判斷�����,以便確定接收到的報(bào)文是否進(jìn)行過修改����。具體的 說��,由于進(jìn)行過修改的報(bào)文�,其序號(hào)會(huì)被偏轉(zhuǎn)(序號(hào)偏轉(zhuǎn)的相關(guān)過程��,會(huì)在后續(xù)步驟中進(jìn)行 說明)�����,所以序號(hào)判斷單元需先判斷接收到的報(bào)文的序號(hào)是否進(jìn)行過偏轉(zhuǎn)��,以此來確定該報(bào) 文是否進(jìn)行過修改��。
[0019] 步驟102,當(dāng)所述報(bào)文的序號(hào)未進(jìn)行過偏轉(zhuǎn)時(shí)�����,確定所述報(bào)文的IP層內(nèi)容�、TCP內(nèi) 容和數(shù)據(jù)內(nèi)容中是否存在任一項(xiàng)符合預(yù)設(shè)修改要求。
[0020] 由步驟101可知����,在接收到報(bào)文后,需先對(duì)報(bào)文是否進(jìn)行過修改進(jìn)行確認(rèn),如果判 斷出該報(bào)文的序號(hào)沒有進(jìn)行過偏轉(zhuǎn)����,也就是說,該報(bào)文沒有進(jìn)行過修改�����,那么就需要判斷該 報(bào)文的IP層內(nèi)容�����、TCP內(nèi)容和數(shù)據(jù)內(nèi)容中是否存在任一項(xiàng)符合預(yù)設(shè)修改要求���,如果存在任 一項(xiàng)符合修改要求��,則需要對(duì)其進(jìn)行修改���。由于本發(fā)明提供的報(bào)文修改機(jī)制��,主要是針對(duì)報(bào) 文中的敏感信息進(jìn)行修改�,以保護(hù)用戶的隱私,所以只需對(duì)包含有敏感信息的報(bào)文進(jìn)行修 改即可�����,而不需要對(duì)每一份報(bào)文進(jìn)行修改。因此����,在對(duì)報(bào)文進(jìn)行修改前,需先對(duì)其進(jìn)行判斷�, 以確定該報(bào)文是否包含有敏感信息,也就是上文所說的是否存在任一項(xiàng)符合預(yù)設(shè)修改要 求�����,如果包含有敏感信息���,即存在任一項(xiàng)符合預(yù)設(shè)修改要求����,那么就需要對(duì)報(bào)文進(jìn)行修改����。
[0021] 具體的說,在修改判斷單元從序號(hào)判斷單元處接受到?jīng)]有進(jìn)行過修改的報(bào)文后���, 會(huì)對(duì)報(bào)文的IP層內(nèi)容�、TCP內(nèi)容和數(shù)據(jù)內(nèi)容進(jìn)行判斷。舉例來說�,本報(bào)文修改裝置中可以 預(yù)先設(shè)置一種敏感信息表,如表1所示�����,該敏感信息表中對(duì)報(bào)文中的IP層內(nèi)容��、TCP內(nèi)容和 數(shù)據(jù)內(nèi)容的敏感信息進(jìn)行了設(shè)定�。
[0022]
[0023] 表1
[0024] 如果修改判斷單元從序號(hào)判斷單元處接收到報(bào)文A,報(bào)文A的IP層內(nèi)容包括IP1��, 而IPl與敏感信息表的IP層內(nèi)容一欄中的表項(xiàng)"IP1"相匹配���,也就是說����,報(bào)文A的IP層內(nèi) 容包含有敏感信息�,那么報(bào)文A的IP層內(nèi)容需要進(jìn)行修改;如果修改判斷單元從序號(hào)判斷 單元處接收到報(bào)文B��,報(bào)文B的數(shù)據(jù)內(nèi)容中包括"一二三"����,與敏感信息表的數(shù)據(jù)內(nèi)容一欄中 的表項(xiàng)"一二三"相匹配,也就是說���,報(bào)文B的數(shù)據(jù)內(nèi)容包含有敏感信息���,那么報(bào)文B的數(shù)據(jù) 內(nèi)容需要進(jìn)行修改;如果修改判斷單元從序號(hào)判斷單元處接收到報(bào)文C��,報(bào)文C的TCP內(nèi)容 中包括"醫(yī)w. zhongguo. com",與敏感信息表的TCP內(nèi)容一欄中的表項(xiàng)"www. zhongguo. com" 相匹配���,也就是說����,報(bào)文C的TCP內(nèi)容包含有敏感信息�����,那么報(bào)文C的TCP內(nèi)容需要進(jìn)行修 改��。由這個(gè)例子可以看出��,只要報(bào)文的IP層內(nèi)容���、TCP內(nèi)容和數(shù)據(jù)內(nèi)容中����,任意一項(xiàng)包含有 敏感信息,那該報(bào)文都是需要進(jìn)行修改的��。在現(xiàn)有技術(shù)中���,報(bào)文的修改都是在應(yīng)用層進(jìn)行�����, 因此無法對(duì)報(bào)文的IP層內(nèi)容和TCP內(nèi)容進(jìn)行修改�����。而本發(fā)明提供的技術(shù)方案應(yīng)用在網(wǎng)絡(luò) 層���,不僅可以對(duì)報(bào)文的數(shù)據(jù)內(nèi)容進(jìn)行修改,還可以對(duì)報(bào)文的IP層內(nèi)容和TCP內(nèi)容進(jìn)行修改��, 因此與現(xiàn)有技術(shù)相比�����,本發(fā)明提供的技術(shù)方案更加安全����。
[0025] 需要進(jìn)行說明的是���,步驟102中所說的是否符合修改要求就是指上文所舉例子中 的是否包含敏感信息���。具體的說�,報(bào)文中包含有敏感信息即該報(bào)文符合修改要求��,如果報(bào)文 不包含敏感信息即該報(bào)文不符合修改要求����。
[0026] 對(duì)于不符合修改要求的報(bào)文,說明該報(bào)文無需修改��,那么就可以將報(bào)文按照既定 的轉(zhuǎn)發(fā)規(guī)則進(jìn)行轉(zhuǎn)發(fā)����。對(duì)于符合修改要求的報(bào)文,說明該報(bào)文包含敏感信息����,需要修改,那 么修改執(zhí)行單元會(huì)執(zhí)行后續(xù)的修改步驟�����。
[0027] 步驟103,修改執(zhí)行單元根據(jù)所述修改要求,對(duì)報(bào)文中符合修改要求的IP層內(nèi)容�、 TCP內(nèi)容和數(shù)據(jù)內(nèi)容進(jìn)行修改,同時(shí)偏轉(zhuǎn)所述報(bào)文的序號(hào)����,記錄修改情況,并轉(zhuǎn)發(fā)所述報(bào)文�����。
[0028] 在經(jīng)過步驟102的判斷后���,修改執(zhí)行單元從修改判斷單元處接收到需要修改的報(bào) 文�,然后可以根據(jù)預(yù)先設(shè)定好的修改要求表�����,如表2所示����,進(jìn)行修改。
[0030] 表 2
[0031] 例如,如果修改執(zhí)行單元從判斷修改單元處接收到報(bào)文A����,根據(jù)之前的步驟102, 判斷出該報(bào)文A的IP層內(nèi)容包含有敏感信息IPl�����,再根據(jù)表2里IP層內(nèi)容一欄中的表項(xiàng) " IPl-ΙΡ0"��,將IPl修改為IPlO ;再例如����,如果修改執(zhí)行單元從判斷修改單元處接收到報(bào)文 B��,根據(jù)之前的步驟102,判斷出該報(bào)文B的數(shù)據(jù)內(nèi)容包含有敏感信息"一二三"����,再根據(jù)表2 里數(shù)據(jù)內(nèi)容一欄中的表項(xiàng)"一二三一四",將報(bào)文B的數(shù)據(jù)內(nèi)容"一二三"修改為"四";還例 如���,如果修改執(zhí)行單元從判斷修改單元處接收到報(bào)文C�,根據(jù)之前的步驟102,判斷出該報(bào) 文C的TCP內(nèi)容包含有敏感信息"www. zhongguo. com"��,再根據(jù)表2里TCP內(nèi)容一欄中的表 項(xiàng) "www. zhongguo. com -www. zg. com",將報(bào)文 B 的數(shù)據(jù)內(nèi)容 "www. zhongguo. com" 修改為 "WWW. zg. com"�。也就是說,本發(fā)明裝置可以預(yù)先設(shè)置一張修改要求表����,修改執(zhí)行單元?jiǎng)t結(jié)合 之前修改判斷單元的判斷結(jié)果,根據(jù)修改要求表中記錄的修改要求����,對(duì)所述報(bào)文的IP層內(nèi) 容、TCP內(nèi)容和數(shù)據(jù)內(nèi)容中符合修改要求的那一項(xiàng)進(jìn)行修改����。由于在修改的時(shí)