CN102404326A - 一种验证报文安全性的方法、系统以及装置 - Google Patents
一种验证报文安全性的方法、系统以及装置 Download PDFInfo
- Publication number
- CN102404326A CN102404326A CN2011103768103A CN201110376810A CN102404326A CN 102404326 A CN102404326 A CN 102404326A CN 2011103768103 A CN2011103768103 A CN 2011103768103A CN 201110376810 A CN201110376810 A CN 201110376810A CN 102404326 A CN102404326 A CN 102404326A
- Authority
- CN
- China
- Prior art keywords
- identification information
- message
- compartment wall
- fire compartment
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种验证报文安全性的方法、系统以及装置,该技术方案包括:服务器接收防火墙转发的报文,并获取报文中携带的由防火墙生成的第一标识信息,服务器确定获取的第一标识信息与本地生成的第二标识信息是否匹配,其中,第二标识信息的生成方式与第一标识信息的生成方式相同,在确定第一标识信息与第二标识信息匹配时,确定报文通过防火墙的安全性验证;在确定第一标识信息与第二标识信息不匹配时,确定报文未通过防火墙的安全性验证。该技术方案与现有技术相比,报文接收端能够确定防火墙转发的报文是否经过防火墙的安全性验证,从而保证了报文的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种验证报文安全性的方法、系统以及装置。
背景技术
随着通信技术的发展,网络中用于实现各种数据服务的服务器的安全隐患也逐渐显露,尤其在服务器接收未经安全性验证的报文(message)时,该服务器可能面临通过该报文携带的恶意攻击而导致该服务器无法正常工作的情况。针对此问题,目前主要通过设置防火墙以在服务器接收外部设备发送的报文前对该报文进行安全性验证,即通过防火墙对报文进行过滤以排除可能威胁服务器安全的报文,然后将通过验证的报文发送至服务器,从而降低服务器的安全隐患。
上述用于保护服务器的防火墙,除能够对外部设备发送至服务器的报文进行验证外,还能够将服务器发送的报文转发至外部设备,因此,该防火墙对于外部设备相当于提供网络数据的服务器,该防火墙又称为代理型防火墙(本文将简称防火墙)。
针对防火墙能够对外部设备发送的报文进行验证,并将可能威胁服务器安全的报文过滤以保障服务器安全的过程,此处提供了一个示例进行说明,即将私有云网络包括的云计算中心与外部设备(如私有云网络外部的终端,后续简称外部终端)进行数据交互为例进行说明,其中,私有云网络能够将用于云计算的基础设备以及软硬件资源对应防火墙创建,该私有云网络中的数据主要为私有云网络内部的终端使用,若外部终端发送申请报文或回应报文,需要经过防火墙的验证。具体地,图1示出了实现云计算中心与外部终端进行数据交互的结构示意图,该图1所示的结构包括云计算中心101以及终端102(该终端102包括外部终端以及私有云网络内部的终端,实际应用中可以为多个,此处外部终端102仅为示例),且云计算中心101中主要包括防火墙101A、云管理服务器101B、云计算服务器101C以及云存储服务器101D,其中:
防火墙101A用于对外部终端发送的申请操作云计算中心101中数据的报文进行验证;
云管理服务器101B能够根据终端102发送的包括请求操作云计算中心101中数据的报文以及云计算中心101的数据状态,对终端102请求操作的数据进行合理的分配,此处终端102可以为私有云网络中的终端(即内部终端),也可以为外部终端;
云计算服务器101C用于处理终端对数据进行操作时的具体操作请求,该云计算服务器101C相当于计算机系统中的中央处理器和内存,相应的,云存储服务器101D相当于计算机系统中的存储器,主要是由庞大的磁盘阵列系统或多组拥有海量存储能力的机群组成的存储系统,该云存储服务器101D主要用于根据终端的请求保存或获取数据。
图1所示的结构中,防火墙主要用于对外部终端发送的报文进行安全性验证,根据上述图1所示的结构,基于防火墙实现云计算中心与外部终端进行数据交互的过程,如图2所示,主要包括以下步骤:
步骤201、防火墙101A接收外部终端发送的包括请求操作云计算中心101中数据的请求报文,对该请求报文进行安全性验证,以确定该请求报文是否安全,若否,执行步骤202;若是,执行步骤203;
该步骤201中,对应该请求报文,报文还包括响应消息,其中,请求报文主要由请求行、消息报头、空行以及消息正文组成,响应报文主要由状态行、消息报头、空行以及消息正文组成。
步骤202、阻止该请求报文发送至云计算中心101的内部服务器,并删除该请求报文;
步骤203、防火墙101A将该请求报文转发至云管理服务器101B;
步骤204、云管理服务器101B根据接收的请求报文以及云计算中心101的数据状态,将允许发送该请求报文的终端进行数据操作的响应报文发送至防火墙101A;
步骤205、防火墙101A将响应消息转发至该外部终端,并对该外部终端根据响应报文发送的对云计算中心101的数据进行具体操作的请求报文进行验证;
步骤206、防火墙101A将通过验证的请求报文转发至云管理服务器101B,由云管理服务器101B将请求报文转发至云计算服务器101C;
步骤207、云计算服务器101C对请求报文包括的对数据进行具体操作的请求进行处理。
至此,云计算中心与外部终端进行数据交互的流程结束。
实际应用中,云计算中心也可以基于图2对应的流程向外部终端发送请求报文并接收由防火墙转发的响应报文,具体过程同上,此处不再赘述。
根据图2对应的流程,云管理服务器以及云计算服务器(以下简称服务器)在接收到报文后,会直接根据接收的报文进行相应的处理,即服务器默认该报文是经过防火墙安全性验证的报文,而实际应用中,可能存在防火墙由于故障、系统漏洞等原因而在未对报文进行安全性验证的情况下将该报文发送至服务器,此时,服务器仍会对该报文执行相应操作,从而可能导致由于该报文携带不安全信息而使服务器不能正常工作的问题。
综上所述,现有技术中,服务器接收到防火墙转发的报文后,在不确定该报文经过防火墙的安全性验证的情况下会直接对该报文进行处理,接收的报文的安全性低,存在安全隐患。
发明内容
有鉴于此,本发明实施例提供一种验证报文安全性的方法、系统以及装置,采用该技术方案,报文接收端能够确定防火墙转发的报文是否经过防火墙的安全性验证,以保证服务器的安全性。
本发明实施例通过如下技术方案实现:
根据本发明实施例的一个方面,提供了一种验证报文安全性的方法,包括:
服务器接收防火墙转发的报文,并获取所述报文中携带的由所述防火墙生成的第一标识信息;
所述服务器确定获取的所述第一标识信息与本地生成的第二标识信息是否匹配,其中,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同;
在确定所述第一标识信息与所述第二标识信息匹配时,确定所述报文通过所述防火墙的安全性验证;
在确定所述第一标识信息与所述第二标识信息不匹配时,确定所述报文未通过所述防火墙的安全性验证。
根据本发明实施例的另一个方面,提供了又一种验证报文安全性的方法,包括:
防火墙接收报文,并将本地生成的第一标识信息携带在所述报文中;
根据所述报文的接收方地址,将携带了所述第一标识信息的报文转发至与所述接收方地址对应的服务器,其中,所述第一标识信息用于与所述服务器生成的第二标识信息进行匹配以根据匹配结果确定所述报文是否通过防火墙的安全性验证,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同。
根据本发明实施例的另一个方面,提供了又一种验证报文安全性的系统,包括服务器以及防火墙,其中:
所述防火墙,用于接收报文,并将本地生成的第一标识信息携带在所述报文中,根据所述报文的接收方地址,将携带了所述第一标识信息的报文转发至与所述接收方地址对应的服务器;
所述服务器,用于接收所述防火墙转发的报文,并获取所述报文中携带的由所述防火墙生成的第一标识信息;确定获取的所述第一标识信息与本地生成的第二标识信息是否匹配;在确定所述第一标识信息与所述第二标识信息匹配时,确定所述报文通过所述防火墙的安全性验证;在确定所述第一标识信息与所述第二标识信息不匹配时,确定所述报文未通过所述防火墙的安全性验证。
根据本发明实施例的另一个方面,提供了又一种验证报文安全性的装置,包括:
第一标识信息获取单元,用于接收防火墙转发的报文,并获取所述报文中携带的由所述防火墙生成的第一标识信息;
标识信息生成单元,用于生成第二标识信息,其中,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同;
标识信息匹配单元,用于确定所述第一标识信息获取单元获取的所述第一标识信息与所述标识信息生成单元生成的第二标识信息是否匹配;
安全性确定单元,用于在所述标识信息匹配单元确定所述第一标识信息与所述第二标识信息匹配时,确定所述报文通过所述防火墙的安全性验证;在所述标识信息匹配单元确定所述第一标识信息与所述第二标识信息不匹配时,确定所述报文未通过所述防火墙的安全性验证。
根据本发明实施例的另一个方面,提供了又一种验证报文安全性的装置,包括:
标识信息生成单元,用于生成第一标识信息;
报文处理单元,用于接收报文,并将所述标识信息生成单元生成的第一标识信息携带在所述报文中;
报文转发单元,用于根据所述报文处理单元接收的所述报文的接收方地址,将携带了所述第一标识信息的报文转发至与所述接收方地址对应的服务器,其中,所述第一标识信息用于与所述服务器生成的第二标识信息进行匹配以根据匹配结果确定所述报文是否通过防火墙的安全性验证,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同。
通过本发明实施例提供的上述至少一个技术方案,服务器接收防火墙转发的报文,并获取该报文中携带的由防火墙生成的第一标识信息,进一步确定该报文中携带的第一标识信息与本地生成的第二标识信息是否匹配,其中,第二标识信息的生成方式与第一标识信息的生成方式相同,若确定第一标识信息与第二标识信息匹配,确定报文通过防火墙的安全性验证;若确定第一标识信息与第二标识信息不匹配,确定报文未通过防火墙的安全性验证。本技术方案与现有技术相比,服务器能够根据报文携带的防火墙本地生成的第一标识信息以及服务器在本地生成的第二标识信息的匹配结果,确定该报文是否经过防火墙安全性验证,以确认报文是否安全,从而克服了现有技术中服务器不能确定出接收的报文是否经过防火墙的安全性验证的问题,从而提高了服务器的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为背景技术提供的一种实现云计算中心与外部终端进行数据交互的结构示意图;
图2为背景技术提供的一种基于防火墙实现云计算中心与外部终端进行数据交互的;
图3为本技术方案实施例一提供的一种验证报文的安全性的流程示意图;
图4为本技术方案实施例一提供的服务器根据第一标识信息与第二标识信息的匹配结果验证报文的安全性的流程示意图;
图5本技术方案实施例一提供的防火墙生成第一标识信息的流程示意图;
图6本技术方案实施例一提供的防火墙根据自身地标识信息和接收到报文的时间信息生成第一标识信息的流程示意图;
图7本技术方案实施例二提供的一种验证报文安全性的装置的结构示意图;
图8本技术方案实施例三提供的又一种验证报文安全性的装置的结构示意图。
具体实施方式
为了给出报文接收端能够确定防火墙转发的报文是否经过防火墙的安全性验证的实现方案,本发明实施例提供了一种验证报文安全性的方法、系统以及装置,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一
本实施例一提供了一种验证报文安全性的方法,该方法能够应用在具备防火墙的网络结构中,例如,应用在图1对应的网络结构中,通过在具备防火墙的网络结构中应用本技术方案,能够克服现有技术中报文接收端在不确定防火墙转发的报文经过防火墙的安全性验证的情况下,直接对该报文进行处理而导致的安全隐患,提高了服务器的安全性。
图3示出了本发明实施例一提供的一种验证报文安全性的流程示意图,该流程涉及防火墙和服务器之间的交互,以验证报文的安全性,具体地,验证报文的安全性的过程,主要包括以下步骤:
步骤301、报文的发送方向报文的接收方发送报文。
该步骤301中,报文发送方发送的该报文包括发送方的地址信息,如IP地址。该报文的发送方可以为终端,也可以为服务器;并且,该报文的发送方可以与报文的接收方归属于同一网络,也可以归属于不同网络,一般情况下,若报文的发送方与报文的接收方归属于不同网络,则该报文将被首先发送至该报文的接收方所在网络的防火墙设备,后续实施例以报文的发送方与报文的接收方归属于不同网络为例进行描述。
步骤302、防火墙接收报文发送方发送的报文,并在接收的报文中携带本地生成的第一标识信息。
该步骤302中,第一标识信息用于标识该报文的唯一性,该第一标识信息的生成方式可以由防火墙与报文接收方协商,也可以由防火墙或报文接收方确定该第一标识信息的生成方式,然后告知另一方,实际应用中可以灵活设置,此处不再一一描述。
步骤303、防火墙根据该报文携带的接收方的地址信息,将携带第一标识信息的报文发送至与报文携带的地址信息对应的服务器。
上述步骤301至步骤303独立地构成了报文的安全性验证流程中防火墙完成的过程。
步骤304、服务器接收防火墙转发的报文后,从该报文中获取该报文携带的第一标识信息。
步骤305、服务器确定获取的第一标识信息与本地生成的第二标识信息是否匹配以确定报文的安全性。
该步骤305中,服务器生成第二标识信息的方式与防火墙生成第一标识信息的方式相同。
上述步骤304至步骤305独立地构成了报文的安全性验证流程中作为报文接收方的服务器完成的过程。
至此,验证报文的安全性的流程结束。
在图3对应的流程包括的步骤305中,服务器确定获取的第一标识信息与本地生成的第二标识信息是否匹配以确定报文的安全性,即服务器通过将获取的第一标识信息与本地生成的第二标识信息进行匹配,从而根据匹配结果确定该报文是否经过转发该报文的防火墙的安全性验证。具体地,如图4所示,服务器根据第一标识信息与第二标识信息的匹配结果验证报文的安全性的过程,主要包括以下步骤:
步骤401、服务器确定获取的第一标识信息与本地生成的第二标识信息是否匹配,若是,执行步骤402;若否,执行步骤403。
步骤402、确定报文通过防火墙的安全性验证。
该步骤402中,在确定第一标识信息与第二标识信息匹配时,能够确定报文通过防火墙的安全性验证,进而确定该防火墙的工作状态正常,能够对转发的报文进行安全性验证以滤除存在安全隐患的报文。
步骤403、确定报文未通过防火墙的安全性验证。
该步骤403中,在确定第一标识信息与第二标识信息不匹配时,确定报文未通过防火墙的安全性验证,进而确定该防火墙可能未正常工作,可以在此基础上发出防火墙异常告警信息。并且,该报文未通过防火墙的安全性验证,该报文可能存在安全隐患,服务器可以根据预先设定的策略确定对该报文的处理方式,例如,服务器可以选择删除该报文,或在服务器侧对该报文进行安全性验证,并在验证通过后对该报文进行处理,具体的处理措施可是根据具体情况灵活设置,此处不再一一描述。
至此,服务器根据第一标识信息与第二标识信息的匹配结果验证报文的安全性的流程结束。
图3对应的流程以及图4对应的流程中,防火墙能够将本地生成的第一标识信息携带在报文中发送至服务器,服务器能够确定在报文携带的第一标识信息与本地生成的第二标识信息匹配时,确定出报文是经过防火墙的安全性验证的,在报文携带的第一标识信息与本地生成的第二标识信息不匹配时,则确定报文未经过防火墙的安全性验证,从而保证了报文的安全性,因此,本技术方案克服了现有技术中在不确定该报文是否经过防火墙的安全性验证的情况下会直接对该报文进行处理,接收的报文的安全性低,导致服务器存在安全隐患的问题。
在图3对应的流程中,为了实现步骤302,防火墙需要预先生成第一标识信息,具体地,防火墙能够根据自身标识信息和/或接收到报文时的时间信息生成第一标识信息,对应的,为了实现步骤305中,服务器也需要预先生成第二标识信息,其中,服务器生成该第二标识信息的方式与防火墙生成第一标识信息的方式相同,即服务器根据防火墙的标识信息和/或接收到防火墙转发的报文时的时间信息生成第二标识信息。为便于描述,该实施例一以下将以防火墙根据自身的标识信息和/或接收到报文时的时间信息生成第一标识信息为例进行说明。具体地,如图5所示,防火墙生成第一标识信息的过程,主要包括以下步骤:
步骤501、防火墙获取自身的标识信息和/或接收到报文的时间信息。
该步骤501中,若防火墙仅根据自身的标识信息生成第一标识信息,则防火墙可以在接收报文前或接收报文后从设定的存储位置获取自身的标识信息,并生成第一标识信息;若防火墙根据自身的标识信息和接收到报文的时间信息生成第一标识信息,则防火墙可以在接收到报文后从设定的存储位置获取自身的标识信息并确定接收到报文的时间信息,并生成第一标识信息;若防火墙根据接收到报文的时间信息生成第一标识信息,则防火墙可以在接收到报文后确定接收到报文的时间信息并生成第一标识信息。其中,设定的存储位置保存的防火墙的标识信息可以周期性更新。
步骤502、防火墙按照设定算法对自身的标识信息和/或接收到报文的时间信息进行处理,并将处理结果确定为第一标识信息。
该步骤502中,防火墙能够按照设定算法对自身的标识信息和/或接收到报文的时间信息进行处理,例如,防火墙自身的标识信息可以为通过二进制码标识的硬件配置的身份标识号码(Identity,ID),即硬件ID,具体地可以为中央处理器、主板、硬盘以及内存等硬件配置对应的硬件ID;防火墙接收到报文的时间信息可以为该接收到的报文的编码与具体时间信息(例如2011年10月10日10时10分)的组合信息,或者仅为具体时间信息,上述防火墙的标识信息以及接收报文的时间信息的表征方式可以根据需要灵活设置,此处不再一一例举。对应上述防火墙的标识信息以及接收到报文的时间信息的表征方式,可以采用相应的算法进行处理或者加密以保证第一标识信息的安全性,例如采用抽样算法对防火墙的标识信息和/或接收到报文的时间信息进行加密处理以生成加密的第一标识信息,或采用单向不可逆的加密算法生成第一标识信息,以确保第一标识信息的安全性。
至此,防火墙生成第一标识信息的流程结束。
对应图5的流程,服务器也能够采用与图5对应的流程,在本地根据防火墙的标识信息和/或接收到防火墙转发的报文时的时间信息生成第二标识信息,其中,防火墙的标识信息可以是服务器保存在本地并根据设定时间长度更新的标识信息,也可是防火墙在接收到报文后实时获取的防火墙的标识信息,具体地,服务器获取防火墙的标识信息以及接收到防火墙转发的报文时的时间信息的操作可以参考图5对应的流程的描述,此处不再赘述。
在图5对应流程中,防火墙可以仅根据自身的标识信息生成第一标识信息,或者,仅根据接收到报文的时间信息生成第一标识信息,或者,根据自身的标识信息和接收到报文的时间信息生成第一标识信息,以上生成第一标识信息的方式基本相同,即图5所示的流程。若防火墙根据设定要求需要根据防火墙的标识信息和接收到报文的时间信息生成第一标识信息,则在图5对应流程包括的步骤502之前,即在防火墙按照设定算法对自身的标识信息和接收到报文的时间信息进行处理,并将处理结果确定为第一标识信息之前,防火墙可以将自身的标识信息以及接收到报文的时间信息按照设定的组合方式进行组合,例如,将防火墙的标识信息对应的字符串与接收到报文的时间信息对应的字符串按照设定顺序组合,或者根据设定的组合算法将上述字符串拆分后重新组合,具体的,此处不再一一例举,实际应用中可以根据具体情况灵活设置。
对应上述防火墙根据自身的标识信息和接收到报文的时间信息生成第一标识信息的方式,本技术方案提供了一个优选实施方式,具体地,如图6所示,防火墙根据自身地标识信息和接收到报文的时间信息生成第一标识信息的过程,主要包括以下步骤:
步骤601、防火墙获取自身的硬件ID和接收到报文时的时间信息。
该步骤601中,防火墙自身的硬件ID可以为中央处理器、主板、硬盘以及内存等硬件对应的硬件ID。
步骤602、防火墙根据设定的组合方式对硬件ID和时间信息进行组合。
步骤603、防火墙根据设定的抽样算法对步骤602组合后得到的结果进行处理,并将处理后的结果确定为第一标识信息。
该步骤603中,还可以将处理后的结果先进行加密。
至此,防火墙根据自身地标识信息和接收到报文的时间信息生成第一标识信息的流程结束。
图6对应的上述流程,服务器也能够采用上述流程对应的生成第一标识信息的方法,在本地根据与防火墙约定的组合方式将防火墙的标识信息和接收到防火墙转发的报文的时间信息按照设定的组合方式进行组合,并将组合得到的结果按照设定的抽样算法进行加密,将加密得到的结果确定为第二标识信息。
上述防火墙转发至服务器的报文,一般包括请求报文与响应报文两种报文类型,其中,请求报文的报头域称为请求报头域,例如User-Agent请求报头域,该User-Agent请求报头域中可以保存设备的操作系统、浏览器等其他配置的标识信息,相应的,响应报文的报头域称为响应报头域,例如Server响应报头域,该Server响应报头域能够包括服务器对请求信息进行处理的软件信息。在本技术方案中,服务器以及防火墙能够确定出报文的类型,并采取相应的措施,具体如下:
在图3对应的流程包括的步骤302之前,即在防火墙接收到报文后,并将第一标识信息保存在报文中之前,防火墙能够确定出报文对应的报文类型(如确定该报文为请求报文或响应报文),然后根据与服务器约定的报文类型与报头域的对应关系,将第一标识信息携带在与报文类型对应的报头域中,例如,该报文若是包括外部终端发送至服务器的请求消息的请求报文,则防火墙可以将第一标识信息保存在请求报头域(User-Agent请求报头域)并发转发至服务器,若该报文是外部终端反馈服务器的请求报文的响应报文,则防火墙可以将第一标识信息保存在响应报头域(Server响应报头域)中并转发至服务器,对应的,服务器在接收到报文后,能够确定出该报文的报文类型,并根据与防火墙约定的报文类型与报头域的对应关系,在报文对应的报文类型的报头域中获取第一标识信息,即,若确定该报文的报文类型为请求报文,则从User-Agent请求报头域获取第一标识信息,若确定该报文的报文类型为响应报文,则从Server响应报头域获取第一标识信息。
在图3对应的流程包括的步骤301前,即服务器获取报文携带的第一标识信息之前,服务器根据报文携带的发送方的地址确定该报文的发送方不归属于该服务器所归属的网站,即,在服务器根据报文携带的发送方的地址确定该报文的发送方不归属于该服务器所归属的网站时,执行图3对应的验证流程,在服务器确定该发送方的地址是该网络内的地址,则服务器不需要进行图3对应的流程,即可根据报文请求或响应的信息进行相应的操作。
实施例二
与上述实施例一对应,本实施例二提供了一种验证报文安全性的装置,该装置能够应用在具备防火墙的网络结构中作为报文接收端的服务器中,例如,应用在图1对应的网络结构包括的云管理服务器101B中,通过在具备防火墙的网络结构中应用本技术方案,能够克服现有技术中报文接收端在不确定防火墙转发的报文经过防火墙的安全性验证的情况下,直接对该报文进行处理而导致的安全隐患,提高了服务器的安全性。
图7示出了本技术方案提供的一种验证报文安全性的装置的结构示意图,如图7所示,该验证报文安全性的装置,包括:
第一标识信息获取单元701、标识信息生成单元702、标识信息匹配单元703以及安全性确定单元704;
其中:
第一标识信息获取单元701,用于接收防火墙转发的报文,并获取报文中携带的由防火墙生成的第一标识信息;
标识信息生成单元702,用于生成第二标识信息,其中,第二标识信息的生成方式与第一标识信息的生成方式相同;
标识信息匹配单元703,用于确定第一标识信息获取单元701获取的第一标识信息与标识信息生成单元702生成的第二标识信息是否匹配;
安全性确定单元704,用于在标识信息匹配单元703确定第一标识信息与第二标识信息匹配时,确定报文通过防火墙的安全性验证;在标识信息匹配单元703确定第一标识信息与第二标识信息不匹配时,确定报文未通过防火墙的安全性验证。
本技术方案实施例二提供的优选实施方式中,图7所示的装置包括的第一标识信息获取单元701,具体用于在获取报文中携带的第一标识信息之前,根据报文的发送方地址,确定报文的发送方不归属于服务器归属的网络。
本技术方案实施例二提供的优选实施方式中,图7所示的装置包括的标识信息生成单元702,具体用于根据防火墙的标识信息和/或接收到防火墙转发的报文的时间信息,生成第二标识信息。
本技术方案实施例二提供的优选实施方式中,图7所示的装置包括的标识信息生成单元702,具体用于按照设定算法对防火墙的标识信息和/或接收到防火墙转发的报文的时间信息进行处理,并将处理结果确定为第二标识信息。
本技术方案实施例二提供的优选实施方式中,图7所示的装置包括的标识信息生成单元702,具体用于在第二标识信息根据防火墙的标识信息和接收到防火墙转发的报文的时间信息生成时,在按照设定算法对防火墙的标识信息和接收到防火墙转发的报文的时间信息进行处理之前,将防火墙的标识信息以及接收到防火墙转发的报文的时间信息按照设定的组合方式进行组合。
本技术方案实施例二提供的优选实施方式中,图7所示的装置包括的第一标识信息获取单元701,具体用于确定报文对应的报文类型,并根据与防火墙约定的报文类型与报头域的对应关系,从与报文类型对应的报头域获取由防火墙生成的第一标识信息。
本实施例二中的验证报文安全性的装置还具有能够实现实施例一中服务器完成的功能的相应功能模块,此处不再赘述。
实施例三
与上述实施例一对应,本实施例三提供了一种验证报文安全性的装置,该装置能够应用在具备防火墙的网络结构中防火墙设备中,例如,应用在图1对应的网络结构包括的防火墙设备中,通过在具备防火墙的网络结构中应用本技术方案,能够克服现有技术中报文接收端在不确定防火墙转发的报文经过防火墙的安全性验证的情况下,直接对该报文进行处理而导致的安全隐患,提高了服务器的安全性。
图8示出了本技术方案提供的一种验证报文安全性的装置的结构示意图,如图8所示,该验证报文安全性的装置,包括:
标识信息生成单元801、报文处理单元802以及报文转发单元803;
其中:
标识信息生成单元801,用于生成第一标识信息;
报文处理单元802,用于接收报文,并将标识信息生成单元801生成的第一标识信息携带在报文中;
报文转发单元803,用于根据报文处理单元802接收的报文的接收方地址,将携带了第一标识信息的报文转发至与接收方地址对应的服务器,其中,第一标识信息用于与服务器生成的第二标识信息进行匹配以根据匹配结果确定报文是否通过防火墙的安全性验证,第二标识信息的生成方式与第一标识信息的生成方式相同。
本技术方案实施例三提供的优选实施方式中,图8所示的装置包括的标识信息生成单元801,具体用于根据防火墙的标识信息和/或接收到报文的时间信息,生成第一标识信息。
本技术方案实施例三提供的优选实施方式中,图8所示的装置包括的标识信息生成单元801,具体用于按照设定算法对防火墙的标识信息和/或接收到报文的时间信息进行处理,并将处理结果确定为第一标识信息。
本技术方案实施例三提供的优选实施方式中,图8所示的装置包括的标识信息生成单元801,具体用于在第一标识信息根据防火墙的标识信息和接收到报文的时间信息生成时,按照设定算法对防火墙的标识信息和接收到报文的时间信息进行处理之前,将防火墙的标识信息以及接收到报文的时间信息按照设定的组合方式进行组合。
本技术方案实施例三提供的优选实施方式中,图8所示的装置包括的报文处理单元802,体用于确定报文对应的报文类型,并根据与服务器约定的报文类型与报头域的对应关系,将第一标识信息携带在与报文类型对应的报头域中。
该实施例三中的验证报文安全性的装置还具有能够实现实施例一中防火墙完成的功能的相应功能模块,此处不再赘述。
应当理解,以上实施例二以及实施例三提供的装置包括的单元仅为根据该装置实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的装置所实现的功能与上述实施例提供的验证报文安全性的方法流程一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例中已做详细描述,此处不再详细描述。
实施例四
与上述实施例一提供的流程对应,该实施例四提供了一种验证报文安全性的系统,该系统能够应用在具备防火墙的网络结构中,例如,应用在图1对应的网络结构中,通过在具备防火墙的网络结构中应用本技术方案,能够克服现有技术中报文接收端在不确定防火墙转发的报文经过防火墙的安全性验证的情况下,直接对该报文进行处理而导致的安全隐患,提高了服务器的安全性。
具体地,本实施例四提供的一种验证报文安全性的系统,包括服务器以及防火墙,其中:
防火墙,用于接收报文,并将本地生成的第一标识信息携带在报文中,并根据报文的接收方地址,将携带了第一标识信息的报文转发至与接收方地址对应的服务器;
服务器,用于接收防火墙转发的报文,并获取报文中携带的由防火墙生成的第一标识信息;确定获取的第一标识信息与本地生成的第二标识信息是否匹配;在确定第一标识信息与第二标识信息匹配时,确定报文通过防火墙的安全性验证;在确定第一标识信息与第二标识信息不匹配时,确定报文未通过防火墙的安全性验证。
该实施例四中,上述防火墙完成上述功能所涉及的技术细节可以参见上述实施例一中防火墙完成的相应功能以及上述实施例三提供的验证报文的安全性的装置的具体功能;上述服务器完成上述功能所涉及的技术细节可以参见上述实施例一中作为报文接收方的服务器完成的相应功能以及上述实施例二提供的验证报文的安全性的装置的具体功能,此处不再一一列举。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种验证报文安全性的方法,其特征在于,包括:
服务器接收防火墙转发的报文,并获取所述报文中携带的由所述防火墙生成的第一标识信息;
所述服务器确定获取的所述第一标识信息与本地生成的第二标识信息是否匹配,其中,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同;
在确定所述第一标识信息与所述第二标识信息匹配时,确定所述报文通过所述防火墙的安全性验证;
在确定所述第一标识信息与所述第二标识信息不匹配时,确定所述报文未通过所述防火墙的安全性验证。
2.如权利要求1所述的方法,其特征在于,在所述服务器获取所述报文中携带的所述第一标识信息之前,还包括:
所述服务器根据所述报文的发送方地址,确定所述报文的发送方不归属于所述服务器归属的网络。
3.如权利要求1所述的方法,其特征在于,所述服务器在本地生成所述第二标识信息的方式,包括:
所述服务器根据所述防火墙的标识信息和/或接收到所述防火墙转发的所述报文的时间信息,生成所述第二标识信息。
4.如权利要求3所述的方法,其特征在于,所述服务器根据所述防火墙的标识信息和/或接收到所述防火墙转发的所述报文的时间信息,生成所述第二标识信息,包括:
所述服务器按照设定算法对所述防火墙的标识信息和/或接收到所述防火墙转发的所述报文的时间信息进行处理,并将处理结果确定为第二标识信息。
5.如权利要求4所述的方法,其特征在于,若所述第二标识信息根据所述防火墙的标识信息和接收到所述防火墙转发的所述报文的时间信息生成,则在所述服务器按照设定算法对所述防火墙的标识信息和接收到所述防火墙转发的所述报文的时间信息进行处理之前,还包括:
将所述防火墙的标识信息以及接收到所述防火墙转发的所述报文的时间信息按照设定的组合方式进行组合。
6.如权利要求1所述的方法,其特征在于,获取所述报文中携带的由所述防火墙生成的第一标识信息,包括:
所述服务器确定所述报文对应的报文类型;并
根据与所述防火墙约定的报文类型与报头域的对应关系,从与所述报文类型对应的报头域获取由所述防火墙生成的第一标识信息。
7.一种验证报文安全性的方法,其特征在于,包括:
防火墙接收报文,并将本地生成的第一标识信息携带在所述报文中;
根据所述报文的接收方地址,将携带了所述第一标识信息的报文转发至与所述接收方地址对应的服务器,其中,所述第一标识信息用于与所述服务器生成的第二标识信息进行匹配以根据匹配结果确定所述报文是否通过防火墙的安全性验证,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同。
8.如权利要求7所述的方法,其特征在于,所述防火墙在本地生成所述第一标识信息的方式,包括:
所述防火墙根据自身的标识信息和/或接收到所述报文的时间信息,生成所述第一标识信息。
9.如权利要求8所述的方法,其特征在于,所述防火墙根据自身的标识信息和/或接收到所述报文的时间信息,生成所述第一标识信息,包括:
所述防火墙按照设定算法对自身的标识信息和/或接收到所述报文的时间信息进行处理,并将处理结果确定为第一标识信息。
10.如权利要求9所述的方法,其特征在于,若所述第一标识信息根据自身的标识信息和接收到所述报文的时间信息生成,则在所述防火墙按照设定算法对自身的标识信息和接收到所述报文的时间信息进行处理之前,还包括:
所述防火墙将自身的标识信息以及接收到所述报文的时间信息按照设定的组合方式进行组合。
11.如权利要求7所述的方法,其特征在于,所述防火墙将本地生成的第一标识信息携带在所述报文中,包括:
所述防火墙确定所述报文对应的报文类型;并
根据与所述服务器约定的报文类型与报头域的对应关系,将所述第一标识信息携带在与所述报文类型对应的报头域中。
12.一种验证报文安全性的系统,其特征在于,包括服务器以及防火墙,其中:
所述防火墙,用于接收报文,并将本地生成的第一标识信息携带在所述报文中,根据所述报文的接收方地址,将携带了所述第一标识信息的报文转发至与所述接收方地址对应的服务器;
所述服务器,用于接收所述防火墙转发的报文,并获取所述报文中携带的由所述防火墙生成的第一标识信息;确定获取的所述第一标识信息与本地生成的第二标识信息是否匹配;在确定所述第一标识信息与所述第二标识信息匹配时,确定所述报文通过所述防火墙的安全性验证;在确定所述第一标识信息与所述第二标识信息不匹配时,确定所述报文未通过所述防火墙的安全性验证。
13.一种验证报文安全性的装置,其特征在于,包括:
第一标识信息获取单元,用于接收防火墙转发的报文,并获取所述报文中携带的由所述防火墙生成的第一标识信息;
标识信息生成单元,用于生成第二标识信息,其中,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同;
标识信息匹配单元,用于确定所述第一标识信息获取单元获取的所述第一标识信息与所述标识信息生成单元生成的第二标识信息是否匹配;
安全性确定单元,用于在所述标识信息匹配单元确定所述第一标识信息与所述第二标识信息匹配时,确定所述报文通过所述防火墙的安全性验证;在所述标识信息匹配单元确定所述第一标识信息与所述第二标识信息不匹配时,确定所述报文未通过所述防火墙的安全性验证。
14.如权利要求13所述的装置,其特征在于,所述第一标识信息获取单元,具体用于在获取所述报文中携带的所述第一标识信息之前,根据所述报文的发送方地址,确定所述报文的发送方不归属于所述服务器归属的网络。
15.如权利要求13所述的装置,其特征在于,所述标识信息生成单元,具体用于根据所述防火墙的标识信息和/或接收到所述防火墙转发的所述报文的时间信息,生成所述第二标识信息。
16.如权利要求15所述的装置,其特征在于,所述标识信息生成单元,具体用于按照设定算法对所述防火墙的标识信息和/或接收到所述防火墙转发的所述报文的时间信息进行处理,并将处理结果确定为第二标识信息。
17.如权利要求16所述的装置,其特征在于,所述标识信息生成单元,具体用于在所述第二标识信息根据所述防火墙的标识信息和接收到所述防火墙转发的所述报文的时间信息生成时,在按照设定算法对所述防火墙的标识信息和接收到所述防火墙转发的所述报文的时间信息进行处理之前,将所述防火墙的标识信息以及接收到所述防火墙转发的所述报文的时间信息按照设定的组合方式进行组合。
18.如权利要求13所述的装置,其特征在于,所述第一标识信息获取单元,具体用于确定所述报文对应的报文类型,并根据与所述防火墙约定的报文类型与报头域的对应关系,从与所述报文类型对应的报头域获取由所述防火墙生成的第一标识信息。
19.一种验证报文安全性的装置,其特征在于,包括:
标识信息生成单元,用于生成第一标识信息;
报文处理单元,用于接收报文,并将所述标识信息生成单元生成的第一标识信息携带在所述报文中;
报文转发单元,用于根据所述报文处理单元接收的所述报文的接收方地址,将携带了所述第一标识信息的报文转发至与所述接收方地址对应的服务器,其中,所述第一标识信息用于与所述服务器生成的第二标识信息进行匹配以根据匹配结果确定所述报文是否通过防火墙的安全性验证,所述第二标识信息的生成方式与所述第一标识信息的生成方式相同。
20.如权利要求19所述的装置,其特征在于,所述标识信息生成单元,具体用于根据所述防火墙的标识信息和/或接收到所述报文的时间信息,生成所述第一标识信息。
21.如权利要求20所述的装置,其特征在于,所述标识信息生成单元,具体用于按照设定算法对所述防火墙的标识信息和/或接收到所述报文的时间信息进行处理,并将处理结果确定为第一标识信息。
22.如权利要求21所述的装置,其特征在于,所述标识信息生成单元,具体用于在所述第一标识信息根据所述防火墙的标识信息和接收到所述报文的时间信息生成时,按照设定算法对所述防火墙的标识信息和接收到所述报文的时间信息进行处理之前,将所述防火墙的标识信息以及接收到所述报文的时间信息按照设定的组合方式进行组合。
23.如权利要求19所述的装置,其特征在于,所述报文处理单元,具体用于确定所述报文对应的报文类型,并根据与所述服务器约定的报文类型与报头域的对应关系,将所述第一标识信息携带在与所述报文类型对应的报头域中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110376810.3A CN102404326B (zh) | 2011-11-23 | 2011-11-23 | 一种验证报文安全性的方法、系统以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110376810.3A CN102404326B (zh) | 2011-11-23 | 2011-11-23 | 一种验证报文安全性的方法、系统以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102404326A true CN102404326A (zh) | 2012-04-04 |
| CN102404326B CN102404326B (zh) | 2014-04-23 |
Family
ID=45886112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110376810.3A Active CN102404326B (zh) | 2011-11-23 | 2011-11-23 | 一种验证报文安全性的方法、系统以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102404326B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984153A (zh) * | 2012-11-29 | 2013-03-20 | 华为技术有限公司 | 一种黑客防止方法、设备及系统 |
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN105959308A (zh) * | 2016-06-30 | 2016-09-21 | 中电长城网际系统应用有限公司 | 一种内网ip数据包管理方法、装置及系统 |
| CN106685967A (zh) * | 2016-12-29 | 2017-05-17 | 同济大学 | 一种车载网络通信加密和入侵监测装置 |
| CN106789862A (zh) * | 2016-04-25 | 2017-05-31 | 新华三技术有限公司 | 一种数据同步方法及装置 |
| CN108111471A (zh) * | 2016-11-25 | 2018-06-01 | 中国电信股份有限公司 | 报文的处理方法、系统及vtep |
| CN110505235A (zh) * | 2019-09-02 | 2019-11-26 | 四川长虹电器股份有限公司 | 一种绕过云waf的恶意请求的检测系统及方法 |
| CN112866245A (zh) * | 2021-01-18 | 2021-05-28 | 中国工商银行股份有限公司 | 报文路由方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411224A (zh) * | 2001-09-29 | 2003-04-16 | 华为技术有限公司 | 一种pc客户端的安全认证方法 |
| CN101072101A (zh) * | 2006-05-12 | 2007-11-14 | 梁国恩 | 穿透防火墙的终端机系统与方法 |
| CN101515932A (zh) * | 2009-03-23 | 2009-08-26 | 中兴通讯股份有限公司 | 一种安全的Web service访问方法和系统 |
| CN101588232A (zh) * | 2008-05-21 | 2009-11-25 | 梁剑豪 | 全覆盖网络的信息采集和网络申报及审批系统 |
-
2011
- 2011-11-23 CN CN201110376810.3A patent/CN102404326B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411224A (zh) * | 2001-09-29 | 2003-04-16 | 华为技术有限公司 | 一种pc客户端的安全认证方法 |
| CN101072101A (zh) * | 2006-05-12 | 2007-11-14 | 梁国恩 | 穿透防火墙的终端机系统与方法 |
| CN101588232A (zh) * | 2008-05-21 | 2009-11-25 | 梁剑豪 | 全覆盖网络的信息采集和网络申报及审批系统 |
| CN101515932A (zh) * | 2009-03-23 | 2009-08-26 | 中兴通讯股份有限公司 | 一种安全的Web service访问方法和系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984153A (zh) * | 2012-11-29 | 2013-03-20 | 华为技术有限公司 | 一种黑客防止方法、设备及系统 |
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN106789862A (zh) * | 2016-04-25 | 2017-05-31 | 新华三技术有限公司 | 一种数据同步方法及装置 |
| CN105959308A (zh) * | 2016-06-30 | 2016-09-21 | 中电长城网际系统应用有限公司 | 一种内网ip数据包管理方法、装置及系统 |
| CN105959308B (zh) * | 2016-06-30 | 2019-03-15 | 中电长城网际系统应用有限公司 | 一种内网ip数据包管理方法、装置及系统 |
| CN108111471A (zh) * | 2016-11-25 | 2018-06-01 | 中国电信股份有限公司 | 报文的处理方法、系统及vtep |
| CN106685967A (zh) * | 2016-12-29 | 2017-05-17 | 同济大学 | 一种车载网络通信加密和入侵监测装置 |
| CN110505235A (zh) * | 2019-09-02 | 2019-11-26 | 四川长虹电器股份有限公司 | 一种绕过云waf的恶意请求的检测系统及方法 |
| CN110505235B (zh) * | 2019-09-02 | 2021-10-01 | 四川长虹电器股份有限公司 | 一种绕过云waf的恶意请求的检测系统及方法 |
| CN112866245A (zh) * | 2021-01-18 | 2021-05-28 | 中国工商银行股份有限公司 | 报文路由方法及装置 |
| CN112866245B (zh) * | 2021-01-18 | 2022-09-09 | 中国工商银行股份有限公司 | 报文路由方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102404326B (zh) | 2014-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102404326B (zh) | 一种验证报文安全性的方法、系统以及装置 | |
| CA2926206C (en) | A system and method for nfc peer-to-peer authentication and secure data transfer | |
| US8938074B2 (en) | Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier | |
| US20080005558A1 (en) | Methods and apparatuses for authentication and validation of computer-processable communications | |
| CN101771973B (zh) | 数据短信的处理方法、设备及系统 | |
| US20200044842A1 (en) | Vehicle system and key distribution method | |
| CN109995530B (zh) | 一种适用于移动定位系统的安全分布式数据库交互系统 | |
| CN103780580A (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN102510370A (zh) | 对分布式文件系统的存取验证的方法和分布式文件系统 | |
| US11470049B2 (en) | Method of providing communication channel for secure management between physically separated uniway data transmitting device and uniway data receiving device in uniway security gateway system, and uniway data transceiving device for providing two uniway communication channels therefor | |
| CA2533543A1 (en) | System and method for managing communication for component applications | |
| CN102685115A (zh) | 一种资源的访问方法、资源管理设备和系统 | |
| KR102219018B1 (ko) | 블록체인 기반의 사물인터넷 데이터 전송 방법 | |
| CN105933140A (zh) | 一种智能化跨网络运维监控技术 | |
| CN115361143A (zh) | 跨域数据传输方法及装置、电子设备、计算机可读介质 | |
| JP6150137B2 (ja) | 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法 | |
| CN104683350A (zh) | 一种可扩展的信息安全服务系统及方法 | |
| CN115296940B (zh) | 用于隔离网络的安全远程数据交互方法及相关设备 | |
| US20240129291A1 (en) | Cross-Domain Secure Connect Transmission Method | |
| US20150142984A1 (en) | System and Method for Security over a Network | |
| Zhao et al. | The Design Method of Micro-Unit Cryptographic Service Framework | |
| US8762706B2 (en) | Computer systems, methods and program product for multi-level communications | |
| CN117336090A (zh) | 通信方法、通信设备、通信系统及存储介质 | |
| CN111339198A (zh) | 基于区块链的水务处理方法、装置、系统、设备和介质 | |
| CN117407437A (zh) | 一种基于区块链的数据处理方法、设备以及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |