[发明专利]一种适用于IPv6的信息防泄漏方法及系统

说明书

技术领域

本发明涉及IPv6网络信息安全领域，特别涉及一种适用于IPv6的信息防泄漏方法及系统。

背景技术

近年来随着互联网的发展，尤其是移动互联网的飞速发展，IP地址短缺问题成为制约互联网发展的关键因素，而物联网、云计算等方面的技术也要求有更多的IP地址以供使用。由此可见，IPv4向IPv6的转换十分紧迫。目前随着IPv6标准、技术、产品和商业需求的逐步成熟，IPv6产业趋势也渐趋明朗，国内外IPv6试点网也纷纷启用，IPv6的逐渐普及已经是大势所趋。随之而来，如何解决IPv6带来的众多新的网络信息安全问题也成为关注焦点，而如何在IPv6环境下解决特定信息（如商业秘密信息、个人隐私信息等）的防泄漏问题就是其中一个方面。数据泄漏原因主要包括：窃密、泄密和失密。目前存在的信息防泄漏方法主要包括了数据加密、特定应用数据的即时分析过滤等。数据加密仅能保障部分信息不会失密，而无法防止数据被窃密或泄密，因此对于特定信息防泄漏仍需要采用数据分析过滤的方法。针对IPv6环境下的数据分析过滤方法主要借鉴IPv4环境下的分析过滤方法，包括：针对IP地址端口的五元组过滤，主要利用通信双方地址及端口信息确定通信链接，对链接内的信息进行全部过滤；针对特征串匹配的信息过滤，对通信报文内容进行特征串匹配处理，符合匹配结果的进行过滤处理；针对应用协议的内容过滤，如URL过滤、邮件及附件关键字过滤等，该方法需要首先识别承载的应用协议类型，并对该协议进行还原，进而进行负载内容的关键字匹配处理，该方法适宜于标准协议下的信息过滤。以上分析过滤方法各有优缺点，适宜于不同的应用场景，并且具有不同的信息过滤粒度范围。在IPv6环境下由于IPv6协议对应用层及其以上协议层并不产生过多影响，因此应用层及其以上协议层的信息分析过滤仍可采用IPv4环境下的方法，但在网络层存在显著差异，对于信息过滤来说主要表现在：在IPv4向IPv6演进过程中在过渡阶段所采用的各类技术：双栈、隧道、翻译等导致针对IPv6环境下的处理需要支持双栈，并能够对IPv6隧道下混合流量进行处理，另外IPv6中建议使用IPSec协议加密使得需要考虑加密后的信息过滤问题。由于IPv4环境下目前的特定信息分析过滤系统处理的数据是网络上的明文数据，而对使用IPSec协议进行加密的数据报文处理并没有很好的解决方法。

发明内容

本发明所要解决的技术问题是提供一种应对IPv6及过渡环境，对信息进行防泄漏分析处理、采用基于中间人的密钥协商方法、用户态的安全联盟处理方法及负载均衡技术的适用于IPv6的信息防泄漏方法及系统。

本发明解决上述技术问题的技术方案如下：一种适用于IPv6的信息防泄漏方法，其特征在于，包括以下步骤：

步骤1：获取待处理的网络数据包，解析网络数据包得到数据报文；

步骤2：对数据报文进行负载均衡处理得到负载内容；

步骤3：判断负载内容是否为满足IPSec的协商报文，如果是，对负载内容按照协商阶段处理，得到协商信息，否则进行解密处理，得到解密信息；

步骤4：对解密后的解密信息进行特定信息匹配，根据匹配结果，对解密信息进行数据处理，得到处理结果；

步骤5：根据协商信息或处理结果，判断协商阶段处理或数据处理是否完成，在协商阶段处理和数据处理完成后，转入步骤2继续处理下一报文；

步骤6：在所有报文处理完成后，结束处理。

本发明的有益效果是：（1）能够应对IPv6及过渡环境，对特定信息进行防泄漏分析处理；（2）采用用户态的SA处理方法，不依赖系统环境，扩展性强；（3）基于负载均衡的并行化处理IPSec加密数据的方法，处理性能好。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，一种适用于IPv6的信息防泄漏系统，包括获取模块，负载均衡模块，判断模块，匹配模块，转入模块和结束模块，

所述获取模块，用于获取待处理的网络数据包，解析网络数据包得到数据报文，将数据报文发送给负载均衡模块；

所述负载均衡模块，用于接收数据报文，对数据报文进行负载均衡处理得到负载内容，将负载内容发送给判断模块；

所述判断模块，用于接收负载内容，判断负载内容是否为满足IPSec的协商报文，如果是，对负载内容按照协商阶段处理，得到协商信息，否则进行解密处理，得到解密信息，将协商信息发送给转入模块，将解密信息发送给匹配模块；