CN105743863A - 一种对报文进行处理的方法及装置 - Google Patents
一种对报文进行处理的方法及装置 Download PDFInfo
- Publication number
- CN105743863A CN105743863A CN201410767967.2A CN201410767967A CN105743863A CN 105743863 A CN105743863 A CN 105743863A CN 201410767967 A CN201410767967 A CN 201410767967A CN 105743863 A CN105743863 A CN 105743863A
- Authority
- CN
- China
- Prior art keywords
- message
- field
- signature value
- signature
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对报文进行处理的方法及装置,属于通信领域。所述方法包括:第一签名设备接收安全域内的网络设备发送的第一报文,第一报文包括第一签名值,第一签名值是由第二签名设备接收到发往安全域的第二报文时根据第二报文中的限制修改的字段携带的内容生成的,第一报文是由第二签名设备将第一签名值添加到第二报文中得到并发送给网络设备的,限制修改的字段是可信任的网络设备在传输第二报文时不会修改内容的字段;提取第一报文中的第一签名值以及限制修改的字段携带的内容;根据提取的限制修改的字段携带的内容生成第二签名值;判断出第一签名值与第二签名值不同时,采用预设操作对第一报文进行处理。本发明能够防止黑客偷窃信息。
Description
技术领域
本发明涉及通信领域,特别涉及一种对报文进行处理的方法及装置。
背景技术
路由器和交换机等网络设备是组成通信网络的重要网元,网络设备在网络中占据着重要地位,从而成为黑客攻击的目标,黑客可以通过逆向分析在网络设备中产生漏洞,然后通过产生的漏洞在网络设备上设置恶意功能,通过恶意功能控制网络设备执行各种非法操作。
例如,当网络中的报文经过被黑客攻击的网络设备时,黑客可以利用在该网络设备上设置的恶意功能来窃取该报文中的信息,如此给网络中的信息安全构成很大的威胁。
发明内容
为了防止黑客偷窃信息,本发明提供了一种对报文进行处理的方法及装置。所述技术方案如下:
第一方面、一种对报文进行处理的方法,所述方法包括:
第一签名设备接收安全域内的网络设备发送的第一报文,所述安全域包括不可信任的网络设备,所述第一报文包括第一签名值,所述第一签名值是由第二签名设备接收到发往所述安全域的第二报文时根据所述第二报文中的限制修改的字段携带的内容生成的,所述第一报文是由所述第二签名设备将所述第一签名值添加到所述第二报文中得到并发送给所述网络设备的,所述限制修改的字段是可信任的网络设备在传输所述第二报文时不会修改内容的字段;
所述第一签名设备提取所述第一报文中的所述第一签名值以及所述限制修改的字段携带的内容;
所述第一签名设备根据所述提取的限制修改的字段携带的内容生成第二签名值;
所述第一签名设备判断出所述第一签名值与所述第二签名值不同时,采用预设操作对所述第一报文进行处理。
结合第一方面,在第一方面的第一种可能的实现方式中,所述提取所述第一报文中的限制修改的字段携带的内容,包括:
提取所述第一报文中的报文长度字段中携带的所述第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述根据所述提取的限制修改的字段携带的内容生成第二签名值,包括:
根据预设的解密密钥和所述提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
将所述第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、所述第一长度和除所述第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
结合第一方面,在第一方面的第三种可能的实现方式中,所述第一报文中的服务类型TOS字段、选项Option字段或负荷字段携带所述第一签名值。
结合第一方面或第一方面的第一种至第三种可能的实现方式中的任一种可能的实现方式,所述方法还包括:
如果所述第一签名值和所述第二签名值相同,则从所述第一报文中删除所述第一签名值得到第三报文;
如果所述第一报文的选项Option字段或负荷字段携带所述第一签名值,则计算所述第三报文的长度,将所述第三报文的报文长度字段中携带的内容替换为所述第三报文的长度;
发送所述替换后的第三报文。
第二方面、一种对报文进行处理的装置,所述装置包括:
接收模块,用于接收安全域内的网络设备发送的第一报文,所述安全域包括不可信任的网络设备,所述第一报文包括第一签名值,所述第一签名值是由第二签名设备接收到发往所述安全域的第二报文时根据所述第二报文中的限制修改的字段携带的内容生成的,所述第一报文是由所述第二签名设备将所述第一签名值添加到所述第二报文中得到并发送给所述网络设备的,所述限制修改的字段是可信任的网络设备在传输所述第二报文时不会修改内容的字段;
提取模块,用于提取所述第一报文中的所述第一签名值以及所述限制修改的字段携带的内容;
生成模块,用于根据所述提取的限制修改的字段携带的内容生成第二签名值;
处理模块,用于判断出所述第一签名值与所述第二签名值不同时,采用预设操作对所述第一报文进行处理。
结合第二方面,在第二方面的第一种可能的实现方式中,所述提取模块,用于提取所述第一报文中的报文长度字段中携带的所述第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述生成模块包括:
第一生成单元,用于根据预设的解密密钥和所述提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
第二生成单元,用于将所述第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、所述第一长度和除所述第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
结合第二方面,在第二方面的第三种可能的实现方式中置,所述第一报文中的服务类型TOS字段、选项Option字段或负荷字段携带所述第一签名值。
结合第二方面或第二方面的第一至第三种可能的实现方式中的任一种实现方式,在第二方面的第四种可能的实现方式中,所述装置还包括:
删除模块,用于如果所述第一签名值和所述第二签名值相同,则从所述第一报文中删除所述第一签名值得到第三报文;
替换模块,用于如果所述第一报文的选项Option字段或负荷字段携带所述第一签名值,则计算所述第三报文的长度,将所述第三报文的报文长度字段中携带的内容替换为所述第三报文的长度;
发送模块,用于发送所述替换后的第三报文。
第三方面、一种对报文进行处理的装置,所述装置包括:接收器和处理器;
所述接收器,用于接收安全域内的网络设备发送的第一报文,所述安全域包括不可信任的网络设备,所述第一报文包括第一签名值,所述第一签名值是由第二签名设备接收到发往所述安全域的第二报文时根据所述第二报文中的限制修改的字段携带的内容生成的,所述第一报文是由所述第二签名设备将所述第一签名值添加到所述第二报文中得到并发送给所述网络设备的,所述限制修改的字段是可信任的网络设备在传输所述第二报文时不会修改内容的字段;
所述处理器,用于提取所述第一报文中的所述第一签名值以及所述限制修改的字段携带的内容;根据所述提取的限制修改的字段携带的内容生成第二签名值;判断出所述第一签名值与所述第二签名值不同时,采用预设操作对所述第一报文进行处理。
结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器执行所述提取所述第一报文中的限制修改的字段携带的内容的操作,可以为:
提取所述第一报文中的报文长度字段中携带的所述第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述处理器执行所述根据所述提取的限制修改的字段携带的内容生成第二签名值的操作,可以为:
根据预设的解密密钥和所述提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
将所述第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、所述第一长度和除所述第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
结合第三方面,在第三方面的第三种可能的实现方式中置,所述第一报文中的服务类型TOS字段、选项Option字段或负荷字段携带所述第一签名值。
结合第三方面或第三方面的第一至第三种可能的实现方式中的任一种实现方式,在第二方面的第四种可能的实现方式中,所述装置还包括:发送器;
所述处理器,还用于如果所述第一签名值和所述第二签名值相同,则从所述第一报文中删除所述第一签名值得到第三报文;如果所述第一报文的选项Option字段或负荷字段携带所述第一签名值,则计算所述第三报文的长度,将所述第三报文的报文长度字段中携带的内容替换为所述第三报文的长度;
所述发送器,用于发送所述替换后的第三报文。
在本发明实施例中,由于第二签名设备从第二报文中的限制修改的段中的内容生成第一签名值,将第一签名值添加到第二报文得到第一报文,发送第一报文给安全域内的网络设备,在第一报文到达安全域的出口时,由第一签名设备根据第一报文的限制修改的字段的内容生成第二签名值,且生成的第二签名值与第一签名值不同时,验证出第一报文的限制修改字段中的内容被安全域内不可信任的网络设备修改,对第一报文做预设操作处理,从而防止黑客偷窃信息。
附图说明
图1-1是本发明实施例提供的一种报文复制流程示意图;
图1-2是本发明实施例提供的一种报文修改流程示意图;
图1-3是本发明实施例提供的一种报文夹带流程示意图;
图1-4是本发明实施例1提供的一种对报文进行处理的方法流程示意图;
图2-1是本发明实施例2提供的一种网络架构示意图;
图2-2是本发明实施例2提供的另一种网络架构示意图;
图2-3是本发明实施例2提供的一种对报文进行处理的方法流程图;
图2-4是本发明实施例2提供的一种第二报文的结构示意图;
图3是本发明实施例3提供的一种对报文进行处理的装置结构示意图;
图4是本发明实施例4提供的一种对报文进行处理的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
路由器和交换机等网络设备是组成通信网络的重要网元,但是目前有很多路由器或交换机等网络设备中存在被黑客攻击而产生的漏洞,黑客可以通过漏洞在这些网络设备中设置恶意功能,当报文经过设置有恶意功能的网络设备时,黑客可以通过该恶意功能控制该网络设备偷窃信息。
目前黑客可以通过如下三种方式偷窃信息,包括:
第一种方式为报文复制。
参见图1-1,当终端访问网站且网站发送报文给终端时,如果该报文经过设置有恶意功能的网络设备,则该网络设备复制该报文,将复制的报文中的目的地址修改为黑客服务器的地址,以将复制的报文发送给黑客服务器,从而黑客实现了偷窃信息。
第二种方式为报文修改。
参见图1-2,当终端访问网站且网站发送报文给终端时,如果该报文经过设置有恶意功能的网络设备,则该网络设备向该报文注入木马,再将该报文发送给终端。然后,该木马控制终端与黑客服务器交互,黑客可以通过该木马偷窃终端上的信息。其中,向该报文注入木马可以改变该报文的长度。
第三种方式为报文夹带。
参见图1-3,当终端访问网站且网站发送第一报文给终端时,如果第一报文经过设置有恶意功能的网络设备,则该网络设备复制第一报文并缓存复制的第一报文。当黑客服务器访问黑客网站且黑客网站向黑客服务器发送第二报文时,如果第二报文经过该网络设备,该网络设备将第二报文的负荷字段携带的负荷内容替换为缓存的数据,然后再将替换后的第二报文发送给黑客服务器,从而黑客实现了偷窃信息。
黑客可以利用上述三种方式偷窃信息,给网络安全带来威胁,在本发明中可以通过如下任一实施例中来防止黑客偷窃信息。
实施例1
参见图1-4,本发明实施例提供了一种对报文进行处理的方法,包括:
步骤101:第一签名设备接收安全域内的网络设备发送的第一报文,安全域包括不可信任的网络设备,第一报文包括第一签名值,第一签名值是由第二签名设备接收到发往安全域的第二报文时根据第二报文中的限制修改的字段携带的内容生成的,第一报文是由第二签名设备将第一签名值添加到第二报文中得到并发送给该网络设备的,限制修改的字段是可信任的网络设备在传输第二报文时不会修改内容的字段。
步骤102:第一签名设备提取第一报文中的第一签名值以及限制修改的字段携带的内容。
步骤103:第一签名设备根据提取的限制修改的字段携带的内容生成第二签名值。
步骤104:第一签名设备判断出第一签名值与第二签名值不同时,采用预设操作对第一报文进行处理。
在本发明实施例中,由于第二签名设备从第二报文中提取限制修改的段中的内容,根据提取的限制修改的字段携带的内容生成第一签名值,将第一签名值添加到第二报文得到第一报文,发送第一报文给安全域内的网络设备,如果第一报文中的限制修改字段中的内容被安全域内的不可信任的网络设备修改,则在第一报文到达安全域的出口时,由第一签名设备根据第一报文的限制修改的字段的内容生成第二签名值,且生成的第二签名值与第一签名值不同,验证出第一报文的限制修改字段中的内容被不可信任的网络设备修改,对第一报文做预设操作处理,从而防止黑客偷窃信息。
实施例2
本发明实施例提供了一种对报文进行处理的方法。
在本发明实施例中,将可能设置有恶意功能的网络设备称为不可信任的网络设备,将除不可信任的网络设备以外的其他网络设备称为可信任的网络设备。不可信任的网络设备是技术人员在网络中选定的可能设置有恶意功能的网络设备。参见图2-1或2-2所示的网络架构,将不可信任一个网络设备组成一个安全域;或者,将多个网络设备组成一个安全域,该多个网络设备中包括至少一个不可信任的网络设备。其中,安全域可以为一个AS(AutonomousSystem,自治系统)域,或者,安全域由某一厂家生产的网络设备组成。
在本发明实施例中,在安全域的每个出口设置一个签名设备。该签名设备与位于安全域内的一网络设备相连,其中,该签名设备可以为一个单独的设备,或者为在该网络设备中增加的一个模块,或者为该网络设备中的光模块,该光模块能够执行本发明实施例的方法。
位于安全域以外的网络设备发送的报文可能会经过安全域。为了便于说明将该报文称为第二报文,第二报文在经过安全域前,第二报文先被位于安全域的某出口的签名设备接收到,为了便于说明,将该签名设备称为第二签名设备,第二签名设备先按如下步骤对第二报文进行签名得到第一报文,再向安全域内的网络设备转发第一报文。
参见图2-3,该方法包括:
步骤201:第二签名设备接收发往安全域内的第二报文,提取第二报文中限制修改的字段携带的内容。
限制修改的字段是可信任的网络设备在传输第二报文时不会修改内容的字段。可信任的网络设备通常没有被黑客设置恶意功能。其中,网络中的可信任的网络设备在接收到第二报文时,不会对第二报文中的限制修改的字段携带的内容进行修改,然而网络中设置有恶意功能的不可信任的网络设备在接收到第二报文时,可能对第二报文的限制修改字段携带的内容进行修改,以将第二报文传输给黑客,使黑客成功偷窃信息。对于第二报文中的非限制修改的字段中的内容,可信任的网络设备在转发第二报文时可能会修改非限制修改的字段中的内容,例如,源地址字段就是一种非限制修改的字段,可信任的网络设备在将第二报文转发给其下一跳设备时,将第二报文的源地址字段中携带的内容修改为自身的地址,然后再向下一跳设备转发第二报文。
参见图2-4所示的第二报文结构,第二报文中包括报文长度字段、校验字段、目的地址字段、源地址字段、TOS(TypeofService,服务类型)字段、Option(选项)字段、负荷字段、MAC(MediaAccessControl,媒体介入控制层)地址字段和Mpls(Multi-ProtocolLabelSwitching,多协议标签交换)字段等。其中,限制修改的字段可以包括报文长度字段、校验字段、目的地址字段和负荷字段等,非限制修改的字段包括源地址字段、TOS字段和Option字段。
可选的,第二签名设备提取第二报文中的限制修改的字段中的内容包括报文长度字段中的第二报文的长度、目的地址字段中的目的地址和负荷字段中的负荷内容中的至少一个。可选的,第二签名设备可以提取负荷字段中的部分或全部内容。其中,根据具体的场景不同,第二签名设备除了提取上述一个或多个字段中的内容外,还可能提取第二报文中的其他字段的内容,例如,假设第二报文不是IP(InternetProtocol,网络之间互连的协议)报文,则第二签名设备还可以提取MAC地址字段中的MAC地址,或者在Mpls场景下第二签名设备还可以提取Mpls字段中的Mpls值。
可选的,第二签名设备可以按如下方式提取第二报文的负荷字段中携带的部分负荷内容,包括:
事先在第二签名设备中预设提取偏移量和提取长度,根据预设的提取偏移量和提取长度,从第二报文的负荷字段中提取该负荷字段携带的部分负荷内容。
其中,在本发明实施例中,位于安全域的每个出口的签名设备都事先配置好提取报文中的哪些字段中的内容,且在每个签名设备中配置的字段都相同。
其中,配置方式包括但不限于手工配置各签名设备、网管配置各签名设备、各签名设备协商配置或通过SDN(SoftwareDefinedNetwork,软件定义网络)控制器配置各签名设备。进一步地,还可以定期或不定期的配置每个签名设备提取的哪些字段。
步骤202:第二签名设备根据提取的限制修改的字段携带的内容生成第一签名值。
具体地,根据提取的限制修改的字段携带的内容和预设的加密密钥,并采用预设的签名算法生成第一签名值,其中,预设的签名算法包括但不限于Hash(哈希)算法、DES(DataEncryptionStandard,数据加密标准)算法、RSA(公钥加密算法)算法和异或算法等。
其中,在本发明实施例中,加密密钥可以为对称加解密算法的密钥或非对称加解密算法的密钥,Hash算法、DES算法和异或算法都为对称加解密算法,RSA算法为非对称加解密算法。位于安全域的每个出口的签名设备都事先配置好加密密钥,且在每个签名设备中配置的加密密钥都相同。其中,配置方式包括但不限于手工配置各签名设备、网管配置各签名设备、各签名设备协商配置或通过SDN控制器配置各签名设备。进一步地,还可以定期或不定期的配置每个签名设备中的加密密钥。
其中,在步骤201中,提取的限制修改的字段携带的内容包括第二报文的长度、目的地址和负荷内容中的至少一个,第二签名设备可以按下两种方式来生成第一签名值,包括:
第一种方式,根据预设的加密密钥和提取的限制修改的字段携带的内容,采用预设签名算法生成第一签名值。
第二种方式,将第二报文的长度增加预设签名值长度得到第二长度,根据预设加密密钥、第二长度和除第二报文的长度以外的其他提取的内容,采用预设的签名算法生成第一签名值。
例如,假设提取的限制修改的字段携带的内容中包括第二报文的长度为500比特,目的地址为IP1以及负荷内容为payload,则可以根据预设的加密密钥key、第二报文的长度500、目的地址IP1以及负荷内容payload,并采用预设的签名算法生成第一签名值为SIGN1。
再如,假设预设的签名值长度为50,则可以将第二报文的长度500增加预设的签名值长度50得到第二长度为550,根据预设的加密密钥key、第二长度550、目的地址IP1以及负荷内容payload,并采用预设的签名算法生成第一签名值为SIGN2。
步骤203:第二签名设备将第一签名值添加到第二报文中得到第一报文,向安全域的网络设备发送第一报文。
第二签名设备将第一签名值添加到第二报文中的一字段中,该字段可以为第二报文的TOS字段、Option字段或负荷字段等。
其中,该字段不同,第二签名设备添加第一签名值的方式也有所不同,例如,如果需要将第一签名值添加到Option字段或负荷字段中,则第二签名设备将第一签名值插入到Option字段或负荷字段中得到第一报文,此时第一报文的长度会增加,比第二报文的长度长。如果需要将第一签名值添加到TOS字段,则第二签名设备将第二报文的TOS字段中携带的内容替换为第一签名值得到第一报文,所以第一报文的长度没有变,和第二报文的长度相等。
其中,在步骤202中,如果第二签名设备采用上述第二种方式生成第一签名值,则在本步骤中,第二签名设备将第一签名值添加到Option字段或负荷字段中。
例如,假设在步骤202中采用第一种方式生成第一签名值SIGN1,则第二签名设备可以将第一签名值SIGN1添加到第二报文的TOS字段、Option字段或负荷字段中得到第一报文;假设第一签名值SIGN1的长度为50比特,如果第二签名设备将第一签名值SIGN1添加到第二报文的Option字段或负荷字段中得到第一报文,第一报文的长度会增加,增加到550比特,比第二报文长;如果第二签名设备将第一签名值SIGN1添加到第二报文的TOS字段中得到第一报文,第一报文的长度不会增加,仍为500比特,和第二报文相等。
假设在步骤202中采用第二种方式生成第一签名值SIGN2,则第二签名设备将第一签名值SIGN2添加到第二报文的Option字段或负荷字段中得到第一报文;假设第一签名值SIGN2的长度为50比特,第一报文的长度会增加,增加到550比特,比第二报文长。
其中,在本发明实施例中,位于安全域的每个出口的签名设备都事先配置好哪些字段用于携带第一签名值,且在每个签名设备中配置的字段都相同。其中,配置方式包括但不限于手工配置各签名设备、网管配置各签名设备、各签名设备协商配置或通过SDN控制器配置各签名设备。进一步地,还可以定期或不定期的向每个签名设备配置用于携带第一签名值的字段。
进一步地,如果第二签名设备将第一签名值添加到第二报文的Option字段或负荷字段得到第一报文,由于第一报文的长度发生变化,所以第二签名设备在发送第一报文之前,还计算第一报文的长度,将第一报文中的报文长度字段中携带的内容替换为第一报文的长度,再向安全域内的网络设备发送替换后的第一报文。
进一步地,第二签名设备在发送第一报文之前,还根据第一报文计算第一校验码,将第一报文的校验字段中携带的校验码替换为第一检验码,然后再向安全域的网络设备发送替换后的第一报文。
其中,网络中的每个网络设备在接收到报文时,从该报文的校验字段中提取校验码,根据该报文的内容计算一个检验码,如果提取的校验码与计算的校验码相同,则向下一跳设备转发该报文,否则,丢弃该报文。由于第一报文中的一字段携带第一签名值,所以第一报文的内容不同于第二报文,而第一报文的校验字段携带的校验码为第二报文的校验码,为了避免第一报文在传输过程中被丢弃,所以需要重新计算第一报文的第一校验码,将第一报文的校验字段中携带的第二报文的校验码替换为第一检验码。
其中,安全域内存在不可信任的网络设备,该网络设备中可能设置有恶意功能。如果第一报文经过该网络设备,该网络设备可以采用报文复制的方式复制一份第一报文,修改复制的第一报文中的目的地址,然后再发送复制的第一报文给黑客;或者,该网络设备采用报文修改的方式向第一报文中的负荷字段中添加木马,使得第一报文的长度增加,黑客通过该木马偷窃终端上的信息;或者,该网络设备采用报文夹带的方式将第一报文的负荷字段中携带的负荷内容替换为自身缓存的内容,缓存的内容都为该网络设备偷窃的内容,使得第一报文的负荷字段中携带的负荷内容被修改,并将第一报文发送给黑客。
为了防止信息被偷窃,当第一报文被安全域出口的某个签名设备接收到时,为了便于说明,将该签名设备称为第一签名设备,第一签名设备可以按如下流程对第一报文进行签名验证,如果验证出第二报文被安全域内的某不可信任的网络设备修改,则采用预设操作对第一报文进行处理。
步骤204:第一签名设备接收安全域内的网络设备发送的第一报文,提取第一报文中限制修改的字段携带的内容和第一报文中的第一签名值。
可选的,第一签名设备提取第一报文中的限制修改的字段中的内容包括报文长度字段中的第一报文的长度、目的地址字段中的目的地址和负荷字段中的负荷内容中的至少一个。可选的,第二签名设备可以提取负荷字段中的部分或全部内容。其中,根据具体的场景不同,第一签名设备除了提取上述一个或多个字段中的内容外,还可能提取第一报文中的其他字段的内容,例如,假设第一报文不是IP报文,则第二签名设备还可以提取MAC地址字段中的MAC地址,或者在Mpls场景下第一签名设备还可以提取Mpls字段中的Mpls值。
可选的,第一签名设备可以按如下方式提取第一报文的负荷字段中携带的部分负荷内容,包括:
事先在第一签名设备中预设提取偏移量和提取长度,根据预设的提取偏移量和提取长度,从第一报文的负荷字段中提取该负荷字段携带的部分负荷内容。
其中,在本发明实施例中,由于位于安全域的每个出口的签名设备都事先配置好提取报文中的哪些字段中的内容,且在每个签名设备中配置的字段都相同,所以第一签名设备从第一报文中提取的哪些字段中的内容与第二签名设备中从第二报文中提取的哪些字段中的内容相同。
另外,在本发明实施例中,由于位于安全域的每个出口的签名设备都事先配置好报文中的哪些字段携带第一签名值,且在每个签名设备中配置的字段都相同,所以第一签名设备根据预先配置的用于携带第一签名值的字段,从第一报文中提取第一签名值。
步骤205:第一签名设备根据提取的限制修改的字段携带的内容生成第二签名值。
具体地,根据提取的限制修改的字段携带的内容和预设的解密密钥,并采用预设的签名算法生成第二签名值。其中,如果预设的签名算法为非对称加解密算法,则第一签名设备内的预设的解密密钥与在步骤202中的第二签名设备内的预设加密密钥不同,如果预设的签名算法为对称加解密算法,则第一签名设备内的预设的解密密钥与在步骤202中的第二签名设备内的预设加密密钥相同。
其中,在步骤204中,提取的限制修改的字段携带的内容包括第一报文的长度、目的地址和负荷内容中的至少一个。第一签名设备可以按下两种方式来生成第一签名值,包括:
第一种方式,根据预设的解密密钥和提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值。
其中,如果第一报文中的第一签名值是第二签名设备通过第二种方式生成的,或者,第一报文的TOS字段携带第一签名值,则第二签名设备可以采用此种方式来生成第二签名值。
第二种方式,将第一报文的长度增加预设签名值长度得到第一长度,根据预设加密密钥、第一长度和除第一报文的长度以外的其他提取的内容,采用预设的签名算法生成第二签名值。
如果第一报文中的第一签名值是第二签名设备通过第一种方式生成的,或者,第一报文的Option字段或负荷字段携带第一签名值,则第二签名设备可以采用此种方式来生成第二签名值。
步骤206:第二签名设备判断出第一签名值与第二签名值不同,采用预设操作对第一报文进行处理。
其中,预设操作可以为丢弃、告警或是丢弃和告警的组合。
第一报文在安全域内传输时,可能经过设置恶意功能的网络设备,该网络设备会修改第一报文的目的地址、增加第一报文的长度或替换第一报文的负荷字段中携带的负荷内容,所以根据提取的限制修改的字段携带的内容生成的第二签名值可能与第一签名值不同,从而可以确定出第一报文被安全域内不可信任的网络设备修改,因此将第一报文丢弃,或者告警,或丢弃第一报文并告警。
进一步地,如果第一签名值与第二签名值相同,则第一报文没有被不可信任的网络设备修改,为了保证报文正常传输,可以发送第一报文。具体发送过程可以为:第二签名设备判断出第一签名值与第二签名值相同,则从第一报文中删除第一签名值得到第三报文,如果第一报文的Option字段或负荷字段携带第一签名值,则计算第三报文长度,将第三报文的报文长度字段中携带的内容替换为第三报文长度,然后再发送替换的报文长度;如果第一报文的TOS字段携带第一签名值,则发送第三报文。
进一步地,为了保证在发送第三报文后第三报文不会被丢弃并能正常传输,在发送第三报文之前,第一签名设备还可以根据第三报文计算第二校验码,将第三报文的检验字段中携带的检验码替换为第二校验码,再发送替换后的第三报文。
在本发明实施例中,第二签名设备第二报文中的限制修改的字段携带的内容,根据提取的内容生成第一签名值,将第一签名值添加到第二报文中得到第一报文,发送第一报文给安全域内的网络设备;第一签名设备接收安全域内的网络设备发送的第一报文,提取第一报文中的第一签名值以及限制修改的字段携带的内容,根据提取的限制修改的字段中的内容生成第二签名值,如果第一签名值和第二签名址不同,则确定出第一报文的限制修改字段中的内容被不可任任的网络设备修改,对第一报文做丢弃或告警等处理,如果第一签名值与第二签名值相同,则确定第一报文没有被安全域内不可信任的网络设备修改,发送第一报文,从而可以防止黑客偷窃信息。
实施例3
参见图3,本发明实施例提供了一种转发报文的装置,包括:
接收模块301,用于接收安全域内的网络设备发送的第一报文,安全域包括不可信任的网络设备,第一报文包括第一签名值,第一签名值是由第二签名设备接收到发往安全域的第二报文时根据第二报文中的限制修改的字段携带的内容生成的,第一报文是由第二签名设备将第一签名值添加到第二报文中得到并发送给该网络设备的,限制修改的字段是可信任的网络设备在传输第二报文时不会修改内容的字段;
提取模块302,用于提取第一报文中的第一签名值以及限制修改的字段携带的内容;
生成模块303,用于根据提取的限制修改的字段携带的内容生成第二签名值;
发送模块304,用于判断出第一签名值与第二签名值不同时,采用预设操作对第一报文进行处理。
可选的,提取模块302,用于提取第一报文中的报文长度字段中携带的第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
其中,提取模块302可以提取负荷字段中携带的全部负荷内容或提取负荷字段中携带的部分负荷内容。
可选的,提取模块302可以按如下方式提取负荷字段中携带的部分负荷内容,包括:
事先预设提取偏移量和提取长度,根据预设的提取偏移量和提取长度,从第一报文的负荷字段中提取该负荷字段携带的部分负荷内容。
可选的,生成模块303包括:
第一生成单元,用于根据预设的解密密钥和提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
第二生成单元,用于将第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、第一长度和除第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
可选的,第一报文中的TOS字段、Option字段或负荷字段携带第一签名值。
进一步地,该装置还包括:
删除模块,用于如果第一签名值和第二签名值相同,则从第一报文中删除第一签名值得到第三报文;
替换模块,用于如果第一报文的Option字段或负荷字段携带第一签名值,则计算第三报文的长度,将第三报文的报文长度字段中携带的内容替换为第三报文的长度;
发送模块,用于发送替换后的第三报文。
在本发明实施例中,由于第二签名设备从第二报文中提取限制修改的段中的内容,根据提取的限制修改的字段携带的内容生成第一签名值,将第一签名值添加到第二报文得到第一报文,发送第一报文给安全域内的网络设备,如果第一报文中的限制修改字段中的内容被安全域内的不可信任的网络设备修改,则在第一报文到达安全域的出口时,由第一签名设备根据第一报文的限制修改的字段的内容生成第二签名值,且生成的第二签名值与第一签名值不同,验证出第一报文的限制修改字段中的内容被不可信任的网络设备修改,对第一报文做预设操作处理,从而防止黑客偷窃信息。
实施例4
参见图4,本发明实施例提供了一种对报文进行处理的装置,包括:接收器401和处理器402;
接收器401,用于接收安全域内的网络设备发送的第一报文,所述安全域包括不可信任的网络设备,所述第一报文包括第一签名值,所述第一签名值是由第二签名设备接收到发往所述安全域的第二报文时根据所述第二报文中的限制修改的字段携带的内容生成的,所述第一报文是由所述第二签名设备将所述第一签名值添加到所述第二报文中得到并发送给所述网络设备的,所述限制修改的字段是可信任的网络设备在传输所述第二报文时不会修改内容的字段;
处理器402,用于提取所述第一报文中的所述第一签名值以及所述限制修改的字段携带的内容;根据所述提取的限制修改的字段携带的内容生成第二签名值;判断出所述第一签名值与所述第二签名值不同时,采用预设操作对所述第一报文进行处理。
可选的,处理器402执行所述提取所述第一报文中的限制修改的字段携带的内容的操作,可以为:
提取所述第一报文中的报文长度字段中携带的所述第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
可选的,处理器402执行所述根据所述提取的限制修改的字段携带的内容生成第二签名值的操作,可以为:
根据预设的解密密钥和所述提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
将所述第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、所述第一长度和除所述第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
可选的,所述第一报文中的服务类型TOS字段、选项Option字段或负荷字段携带所述第一签名值。
进一步地,所述装置还包括:发送器;
处理器402,还用于如果所述第一签名值和所述第二签名值相同,则从所述第一报文中删除所述第一签名值得到第三报文;如果所述第一报文的选项Option字段或负荷字段携带所述第一签名值,则计算所述第三报文的长度,将所述第三报文的报文长度字段中携带的内容替换为所述第三报文的长度;
发送器,用于发送所述替换后的第三报文。
在本发明实施例中,由于第二签名设备从第二报文中提取限制修改的段中的内容,根据提取的限制修改的字段携带的内容生成第一签名值,将第一签名值添加到第二报文得到第一报文,发送第一报文给安全域内的网络设备,如果第一报文中的限制修改字段中的内容被安全域内的不可信任的网络设备修改,则在第一报文到达安全域的出口时,由第一签名设备根据第一报文的限制修改的字段的内容生成第二签名值,且生成的第二签名值与第一签名值不同,验证出第一报文的限制修改字段中的内容被不可信任的网络设备修改,对第一报文做预设操作处理,从而防止黑客偷窃信息。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种对报文进行处理的方法,其特征在于,所述方法包括:
第一签名设备接收安全域内的网络设备发送的第一报文,所述安全域包括不可信任的网络设备,所述第一报文包括第一签名值,所述第一签名值是由第二签名设备接收到发往所述安全域的第二报文时根据所述第二报文中的限制修改的字段携带的内容生成的,所述第一报文是由所述第二签名设备将所述第一签名值添加到所述第二报文中得到并发送给所述网络设备的,所述限制修改的字段是可信任的网络设备在传输所述第二报文时不会修改内容的字段;
所述第一签名设备提取所述第一报文中的所述第一签名值以及所述限制修改的字段携带的内容;
所述第一签名设备根据所述提取的限制修改的字段携带的内容生成第二签名值;
所述第一签名设备判断出所述第一签名值与所述第二签名值不同时,采用预设操作对所述第一报文进行处理。
2.如权利要求1所述的方法,其特征在于,所述提取所述第一报文中的限制修改的字段携带的内容,包括:
提取所述第一报文中的报文长度字段中携带的所述第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
3.如权利要求2所述的方法,其特征在于,所述根据所述提取的限制修改的字段携带的内容生成第二签名值,包括:
根据预设的解密密钥和所述提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
将所述第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、所述第一长度和除所述第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
4.如权利要求1所述的方法,其特征在于,所述第一报文中的服务类型TOS字段、选项Option字段或负荷字段携带所述第一签名值。
5.如权利要求1至4任一项权利要求所述的方法,其特征在于,所述方法还包括:
如果所述第一签名值和所述第二签名值相同,则从所述第一报文中删除所述第一签名值得到第三报文;
如果所述第一报文的选项Option字段或负荷字段携带所述第一签名值,则计算所述第三报文的长度,将所述第三报文的报文长度字段中携带的内容替换为所述第三报文的长度;
发送所述替换后的第三报文。
6.一种对报文进行处理的装置,其特征在于,所述装置包括:
接收模块,用于接收安全域内的网络设备发送的第一报文,所述安全域包括不可信任的网络设备,所述第一报文包括第一签名值,所述第一签名值是由第二签名设备接收到发往所述安全域的第二报文时根据所述第二报文中的限制修改的字段携带的内容生成的,所述第一报文是由所述第二签名设备将所述第一签名值添加到所述第二报文中得到并发送给所述网络设备的,所述限制修改的字段是可信任的网络设备在传输所述第二报文时不会修改内容的字段;
提取模块,用于提取所述第一报文中的所述第一签名值以及所述限制修改的字段携带的内容;
生成模块,用于根据所述提取的限制修改的字段携带的内容生成第二签名值;
处理模块,用于判断出所述第一签名值与所述第二签名值不同时,采用预设操作对所述第一报文进行处理。
7.如权利要求6所述的装置,其特征在于,
所述提取模块,用于提取所述第一报文中的报文长度字段中携带的所述第一报文的长度、目的地址字段携带的目的地址和负荷字段中携带的负荷内容中的至少一个。
8.如权利要求7所述的装置,其特征在于,所述生成模块包括:
第一生成单元,用于根据预设的解密密钥和所述提取的限制修改的字段携带的内容,采用预设签名算法生成第二签名值;或者,
第二生成单元,用于将所述第一报文的长度减少预设签名值长度得到第一长度,根据预设的解密密钥、所述第一长度和除所述第一报文的长度以外的其他提取的内容,采用预设签名算法生成第二签名值。
9.如权利要求6所述的装置,其特征在于,所述第一报文中的服务类型TOS字段、选项Option字段或负荷字段携带所述第一签名值。
10.如权利要求6至9任一项权利要求所述的装置,其特征在于,所述装置还包括:
删除模块,用于如果所述第一签名值和所述第二签名值相同,则从所述第一报文中删除所述第一签名值得到第三报文;
替换模块,用于如果所述第一报文的选项Option字段或负荷字段携带所述第一签名值,则计算所述第三报文的长度,将所述第三报文的报文长度字段中携带的内容替换为所述第三报文的长度;
发送模块,用于发送所述替换后的第三报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410767967.2A CN105743863A (zh) | 2014-12-12 | 2014-12-12 | 一种对报文进行处理的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410767967.2A CN105743863A (zh) | 2014-12-12 | 2014-12-12 | 一种对报文进行处理的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105743863A true CN105743863A (zh) | 2016-07-06 |
Family
ID=56240815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410767967.2A Pending CN105743863A (zh) | 2014-12-12 | 2014-12-12 | 一种对报文进行处理的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105743863A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017118413A1 (zh) * | 2016-01-06 | 2017-07-13 | 中兴通讯股份有限公司 | 一种检测报文的方法、装置和系统 |
| CN110545259A (zh) * | 2019-07-27 | 2019-12-06 | 苏州哈度软件有限公司 | 一种基于报文更替的应用层攻击防护方法及其防护系统 |
| WO2021208664A1 (zh) * | 2020-04-13 | 2021-10-21 | 华为技术有限公司 | 报文检测的方法、设备以及系统 |
| CN113949519A (zh) * | 2020-06-29 | 2022-01-18 | 中国电信股份有限公司 | 用于实现用户身份保真的方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0419019A1 (en) * | 1989-09-18 | 1991-03-27 | Gpt Limited | Message routing check system |
| CN101764733A (zh) * | 2009-12-17 | 2010-06-30 | 福建星网锐捷网络有限公司 | 利用无线网络实现虚拟局域网通信的方法、设备及系统 |
| CN101848085A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 通信系统、验证设备、报文身份的验证及签名方法 |
| CN102497378A (zh) * | 2011-12-15 | 2012-06-13 | 杭州华三通信技术有限公司 | 为客户端动态选择dhcp服务器的方法和装置 |
| CN102624744A (zh) * | 2012-04-06 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 网络设备的认证方法、装置、系统和网络设备 |
-
2014
- 2014-12-12 CN CN201410767967.2A patent/CN105743863A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0419019A1 (en) * | 1989-09-18 | 1991-03-27 | Gpt Limited | Message routing check system |
| CN101848085A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 通信系统、验证设备、报文身份的验证及签名方法 |
| CN101764733A (zh) * | 2009-12-17 | 2010-06-30 | 福建星网锐捷网络有限公司 | 利用无线网络实现虚拟局域网通信的方法、设备及系统 |
| CN102497378A (zh) * | 2011-12-15 | 2012-06-13 | 杭州华三通信技术有限公司 | 为客户端动态选择dhcp服务器的方法和装置 |
| CN102624744A (zh) * | 2012-04-06 | 2012-08-01 | 北京星网锐捷网络技术有限公司 | 网络设备的认证方法、装置、系统和网络设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017118413A1 (zh) * | 2016-01-06 | 2017-07-13 | 中兴通讯股份有限公司 | 一种检测报文的方法、装置和系统 |
| CN110545259A (zh) * | 2019-07-27 | 2019-12-06 | 苏州哈度软件有限公司 | 一种基于报文更替的应用层攻击防护方法及其防护系统 |
| WO2021208664A1 (zh) * | 2020-04-13 | 2021-10-21 | 华为技术有限公司 | 报文检测的方法、设备以及系统 |
| CN113541924A (zh) * | 2020-04-13 | 2021-10-22 | 华为技术有限公司 | 报文检测的方法、设备以及系统 |
| CN113541924B (zh) * | 2020-04-13 | 2023-09-29 | 华为技术有限公司 | 报文检测的方法、设备以及系统 |
| US11855888B2 (en) | 2020-04-13 | 2023-12-26 | Huawei Technologies Co., Ltd. | Packet verification method, device, and system |
| CN113949519A (zh) * | 2020-06-29 | 2022-01-18 | 中国电信股份有限公司 | 用于实现用户身份保真的方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| CN104935593B (zh) | 数据报文的传输方法及装置 | |
| JP6188785B2 (ja) | デコイ暗号鍵を使用したネットワーク侵入検知 | |
| KR101883437B1 (ko) | 요구되는 노드 경로들 및 암호 서명들을 이용한 보안 패킷 전송을 위한 정책 | |
| CN105577637A (zh) | 用于安全虚拟网络功能间通信的技术 | |
| US10560286B2 (en) | Gateway device and control method for the same | |
| KR20150141362A (ko) | 네트워크 노드 및 네트워크 노드의 동작 방법 | |
| CN110048986B (zh) | 一种保证环网协议运行安全的方法及装置 | |
| CN105743863A (zh) | 一种对报文进行处理的方法及装置 | |
| JPWO2017073089A1 (ja) | 通信装置及びシステム及び方法 | |
| CN104753953A (zh) | 访问控制系统 | |
| KR20210128418A (ko) | 리소스 요청 방법, 기기 및 저장매체 | |
| CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
| CN101212753A (zh) | 数据流的安全保护方法 | |
| US20140044260A1 (en) | Communication apparatus, communication method, computer-readable medium, and communication system | |
| CN108141353B (zh) | 密码算法升级的方法及设备 | |
| BR112016020902B1 (pt) | Método e sistema para criar um canal de comunicação seguro entre dois módulos de segurança | |
| KR101040543B1 (ko) | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| Ambili et al. | A secure software defined networking based framework for IoT networks | |
| Obaidat et al. | A cryptography‐based protocol against packet dropping and message tampering attacks on mobile ad hoc networks | |
| CN109039841B (zh) | 加入级联组网的方法、装置及刀箱 | |
| KR101690093B1 (ko) | 제어된 보안 도메인 | |
| WO2014166560A1 (en) | Notification technique for network reconfiguration | |
| KR101339013B1 (ko) | 데이터 링크에서 dnp 메시지의 다중 보안 처리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160706 |