一种基于CWMP的路由器、ONU、网关网络流量获取方法与流程

本发明涉及智能终端管理，特别指一种基于cwmp的路由器、onu、网关网络流量获取方法。

背景技术：

1、当前路由器、onu、网关等智能终端都是通过cwmp协议(cpe wan managementprotocol)实现远程管理与配置；cwmp协议是一种远程管理协议，用于管理网络中的客户端设备(cpe，customer premises equipment)，允许远程管理和配置路由器、onu、网关以及其他网络设备，无需直接访问设备。

2、cwmp协议基于数据模型获取信息，数据模型用于定义、管理客户端设备的各种参数和配置信息，数据模型以层次结构的方式组织，并基于xml的描述语言来定义各种参数和配置信息，其中包括多个层级和对象，每个对象又包括多个参数，如tr098这个数据模型定义了远程管理和家庭网关配置的参数，如无线局域网设置、防火墙配置、端口映射、设备诊断等。

3、然而，cwmp协议的数据模型，如tr098与tr181等并不直接支持网络流量的获取，而网络流量可用于网络故障排查、性能分析等场景，这给智能终端的管理带来不便，若要获取网络流量需要借助第三方的网络监控工具，而这些网络监控工具良莠不齐，可能在获取的过程中未对网络流量进行加密，甚至自身存在一些黑客行为，严重影响网关运行的安全性。

4、因此，如何提供一种基于cwmp的路由器、onu、网关网络流量获取方法，实现基于cwmp协议获取网络流量，提升网络流量获取的安全性，成为一个亟待解决的技术问题。

技术实现思路

1、本发明要解决的技术问题，在于提供一种基于cwmp的路由器、onu、网关网络流量获取方法，实现基于cwmp协议获取网络流量，提升网络流量获取的安全性。

2、本发明是这样实现的：一种基于cwmp的路由器、onu、网关网络流量获取方法，包括如下步骤：

3、步骤s1、智能终端与acs协商定义cwmp协议的数据模型规范；所述智能终端为路由器、onu或者网关；

4、步骤s2、acs基于所述数据模型规范生成数据模型设置指令，将所述数据模型设置指令加密为第一加密指令后发送给智能终端；

5、步骤s3、智能终端解密接收的所述第一加密指令得到数据模型设置指令，基于所述数据模型设置指令设置cwmp协议的数据模型；

6、步骤s4、智能终端基于所述数据模型生成tcpdump命令，执行所述tcpdump命令执行抓包操作以获取网络流量，基于所述网络流量的获取情况更新数据模型的状态标识；

7、步骤s5、acs周期性的生成抓包状态查询指令，将所述抓包状态查询指令加密为第二加密指令后实时发送给智能终端；

8、步骤s6、智能终端解密接收的所述第二加密指令得到抓包状态查询指令，基于所述抓包状态查询指令将状态标识加密为加密标识并发送给acs；

9、步骤s7、acs解密接收的所述加密标识得到状态标识，基于所述状态标识生成网络流量上传指令，将所述网络流量上传指令加密为第三加密指令后实时发送给智能终端；

10、步骤s8、智能终端解密接收的所述第三加密指令得到网络流量上传指令，基于所述网络流量上传指令对获取的网络流量进行加密得到加密数据包，将所述加密数据包发送给acs；

11、步骤s9、acs解密接收的所述加密数据包得到网络流量。

12、进一步的，所述步骤s1中，所述数据模型规范至少包括远程抓包参数、状态标识、抓包执行模式、抓包持续时长、抓包网口、抓包报文过滤ip、抓包报文过滤端口、抓包报文过滤协议类型、抓包文件名称、抓包文件大小；

13、所述状态标识为未获取、请求获取、完成获取或者获取错误标识。

14、进一步的，所述步骤s2具体为：

15、acs基于所述数据模型规范生成携带setparametervalues rpc方法、远程抓包参数、抓包执行模式、抓包持续时长、抓包网口、抓包报文过滤ip、抓包报文过滤端口、抓包报文过滤协议类型、抓包文件名称、抓包文件大小的数据模型设置指令，对所述数据模型设置指令进行哈希计算得到第一哈希值，获取当前的第一时间戳，通过rsa算法将所述数据模型设置指令、第一哈希值以及第一时间戳加密为第一加密指令，将所述第一加密指令通过http协议发送给智能终端。

16、进一步的，所述步骤s3具体为：

17、智能终端接收所述第一加密指令，通过rsa算法解密所述第一加密指令得到数据模型设置指令、第一哈希值以及第一时间戳，通过所述第一时间戳进行时效校验后，通过所述第一哈希值对数据模型设置指令进行完整性校验，再解析所述数据模型设置指令得到setparametervalues rpc方法、远程抓包参数、抓包执行模式、抓包持续时长、抓包网口、抓包报文过滤ip、抓包报文过滤端口、抓包报文过滤协议类型、抓包文件名称、抓包文件大小；

18、智能终端基于所述setparametervalues rpc方法，对cwmp协议的数据模型的远程抓包参数、抓包执行模式、抓包持续时长、抓包网口、抓包报文过滤ip、抓包报文过滤端口、抓包报文过滤协议类型、抓包文件名称、抓包文件大小进行设置。

19、进一步的，所述步骤s4具体为：

20、智能终端基于所述数据模型生成tcpdump命令，通过cwmp进程调用c语言的system函数执行所述tcpdump命令，进而通过所述tcpdump命令执行抓包操作以获取网络流量，基于所述网络流量的获取情况实时更新数据模型的状态标识。

21、进一步的，所述步骤s5具体为：

22、acs设定一轮询周期，基于所述轮询周期不断生成抓包状态查询指令，对所述抓包状态查询指令进行哈希计算得到第二哈希值，获取当前的第二时间戳，通过ecc算法将所述抓包状态查询指令、第二哈希值以及第二时间戳加密为第二加密指令，将所述第二加密指令通过http协议实时发送给智能终端。

23、进一步的，所述步骤s6具体为：

24、智能终端接收所述第二加密指令，通过ecc算法解密所述第二加密指令得到抓包状态查询指令、第二哈希值以及第二时间戳，通过所述第二时间戳进行时效校验后，通过所述第二哈希值对抓包状态查询指令进行完整性校验；

25、智能终端对所述状态标识进行哈希计算得到第三哈希值，获取当前的第三时间戳，通过3des算法将所述状态标识、第三哈希值以及第三时间戳加密为加密标识，将所述加密标识通过http协议实时发送给acs。

26、进一步的，所述步骤s7具体为：

27、acs接收所述加密标识，通过3des算法解密所述加密标识得到状态标识、第三哈希值以及第三时间戳，通过所述第三时间戳进行时效校验后，通过所述第三哈希值对状态标识进行完整性校验；

28、acs解析所述状态标识，当所述状态标识为完成获取时生成网络流量上传指令；

29、acs对所述网络流量上传指令进行哈希计算得到第四哈希值，获取当前的第四时间戳，通过eddsa算法将所述网络流量上传指令、第四哈希值以及第四时间戳加密为第三加密指令，将所述第三加密指令通过http协议实时发送给智能终端。

30、进一步的，所述步骤s8具体为：

31、智能终端接收所述第三加密指令，通过eddsa算法解密所述第三加密指令得到网络流量上传指令、第四哈希值以及第四时间戳，通过所述第四时间戳进行时效校验后，通过所述第四哈希值对网络流量上传指令进行完整性校验；

32、智能终端基于所述网络流量上传指令，通过ecdh算法创建一对公钥和私钥，通过elgamal算法对所述公钥进行加密得到密钥，对获取的所述网络流量进行mac计算得到mac值，通过所述私钥对网络流量进行加密得到第一加密字符串，在所述第一加密字符串的指定位置加入预设长度的随机字符串得到第二加密字符串，通过idea算法对所述第二加密字符串进行加密得到第三加密字符串，通过ecdsa算法对所述第三加密字符串、mac值以及密钥进行加密得到加密数据包，将所述加密报告通过http协议上传给acs。

33、进一步的，所述步骤s9具体为：

34、acs接收所述加密数据包，通过ecdsa算法解密所述加密数据包得到第三加密字符串、mac值以及密钥，通过elgamal算法对所述密钥进行解密得到公钥，通过idea算法对所述第三加密字符串进行解密得到第二加密字符串，通过指定位置以及预设长度在所述第二加密字符串中定位随机字符串，从所述第二加密字符串中剔除随机字符串得到第一加密字符串，通过所述公钥解密第一加密字符串得到网络流量，通过所述mac值对网络流量进行完整性校验，基于所述网络流量进行网络故障排查、网络性能分析以及网络安全性分析。

35、本发明的优点在于：

36、1、通过智能终端与acs协商定义cwmp协议的数据模型规范，acs基于数据模型规范生成数据模型设置指令，将数据模型设置指令加密为第一加密指令后发送给智能终端；智能终端解密第一加密指令得到数据模型设置指令，基于数据模型设置指令设置cwmp协议的数据模型，基于数据模型生成tcpdump命令，执行tcpdump命令执行抓包操作以获取网络流量，基于网络流量的获取情况更新数据模型的状态标识；接着acs周期性的生成抓包状态查询指令并加密为第二加密指令发送给智能终端，智能终端解密第二加密指令得到抓包状态查询指令，基于抓包状态查询指令将状态标识加密为加密标识并发送给acs；acs解密加密标识得到状态标识，基于状态标识生成网络流量上传指令，将网络流量上传指令加密为第三加密指令后实时发送给智能终端；智能终端解密第三加密指令得到网络流量上传指令，基于网络流量上传指令对获取的网络流量进行加密得到加密数据包，将加密数据包发送给acs，最后acs解密加密数据包得到网络流量；即通过协商定义cwmp协议的数据模型规范，基于数据模型规范对智能终端的数据模型进行设置，进而使智能终端可基于cwmp协议上传获取的网络流量，且数据模型设置指令、抓包状态查询指令、状态标识、网络流量上传指令、网络流量传输过程中均经过加密，且采取不同的加密方案，避免相关数据被明文窃取和篡改，最终实现基于cwmp协议获取网络流量，并极大的提升了网络流量获取的安全性。

37、2、通过acs周期性的查询状态标识，当状态标识为完成获取时立即下发网络流量上传指令，极大的提升了网络流量获取的及时性。

38、3、通过ecdh算法创建一对公钥和私钥，通过elgamal算法对公钥进行加密得到密钥，对获取的网络流量进行mac计算得到mac值，通过私钥对网络流量进行加密得到第一加密字符串，在第一加密字符串的指定位置加入预设长度的随机字符串得到第二加密字符串，通过idea算法对第二加密字符串进行加密得到第三加密字符串，通过ecdsa算法对第三加密字符串、mac值以及密钥进行加密得到加密数据包，将加密报告通过http协议上传给acs；由于私钥加密的数据仅能由公钥解密，公钥经过elgamal算法和ecdsa算法的双重加密，mac计算基于带秘密密钥的hash函数，相对于普通的哈希计算安全性更高，若不知道相应的加密算法和数据变换规则，将无法破解加密报告，前后采取至少八重安全措施(ecdh算法、公私钥、elgamal算法、mac计算、指定位置、预设长度、idea算法、ecdsa算法)，极大的提升了网络流量上传的安全性。