CN105812137A - 签名方法和装置 - Google Patents
签名方法和装置 Download PDFInfo
- Publication number
- CN105812137A CN105812137A CN201410848360.7A CN201410848360A CN105812137A CN 105812137 A CN105812137 A CN 105812137A CN 201410848360 A CN201410848360 A CN 201410848360A CN 105812137 A CN105812137 A CN 105812137A
- Authority
- CN
- China
- Prior art keywords
- address
- message
- signature
- source
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种签名方法和装置,其中,签名方法包括:确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;使用报文的源因特网协议IP地址或目的IP地址对报文进行签名,其中,使用源IP地址进行签名时,源IP地址保留在经过nat的alg转换处理后的报文中用于解签名;本发明解决了相关技术中在签名机网络中报文进行网络地址转换nat的应用级网关alg的转换处理后无法解签名的问题,达到了采用报文的源IP地址或目的IP地址都可以实现签名和解签名的技术效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种签名方法和装置。
背景技术
网络技术飞速发展的同时,也受到了不同程度的侵害威胁。签名机网络可以有效地保护网络安全,通过对边际设备的数据加密做签名和保护来保证数据的完整性、真实性和不可抵赖性。签名机网络部署环境如下:首先,在用户侧的边际设备配置上线,在其上可以实施签名解签名功能,途经中间设备模拟,最后,网络侧的边际设备连接外网,同样也可以实施签名解签名功能。当然,网络部署环境并不限于此。
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密解密领域的技术,用于辨别数字信息的方法。一套数字签名通常定义两种互补的运算,两台边际设备一个用于签名,一个用于验证,也就是解签名。简单的说,数字签名就是附加在数据单元的一些数据,或是对数据单元所做的密码变换。这里既是报文的一些关键字段加密签名,用于接收者确认数据来源、信息完整性以及防止传输过程中的篡改现象。
在网络交互过程中,需要对数据的IP地址及端口进行转换,普通网络地址转换(NetworkAddressTranslation,简称为NAT)只能对UDP或者TCP报文头中的IP地址及端口进行转换,对应用层数据载荷中的字段转换无能为力。而NAT中的技术的应用级网关(ApplicationLevelGateway,简称为ALG)很好地解决了这一问题,可以对应用层协议报文信息进行解析和地址转换,以保证应用层通信的正确性。然而,签名机网络在当前的加密签名算法中,如若使用报文的源IP地址作为明文来加密的话,NAT功能会将报文三层头和四层头内部源IP地址全部转换改变,而签名机环境的秘钥要求是严格相同的。这种源IP地址转换将导致加密明文被改变,从而导致解签名不成功,使得原本合法的报文也被当做非法报文而丢弃,从而使类似于内网想访问外网ftp等类业务都无法实现。
针对相关技术中存在上述问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种签名方法和装置,以至少解决相关技术中网络地址转换nat的应用级网关alg无法在签名机网络中应用的问题。
根据本发明的一个方面,提供了一种签名方法,包括:确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;使用所述报文的源因特网协议IP地址或目的IP地址对所述报文进行签名,其中,使用所述源IP地址进行签名时,所述源IP地址保留在经过nat的alg转换处理后的报文中用于解签名。
根据本发明的另一方面,提供了一种签名方法,包括:接收待转发的报文,其中,所述报文采用源因特网协议IP地址或目的IP地址进行签名;对接收的所述报文进行网络地址转换nat的应用级网关alg的转换处理;将转换后的报文进行转发处理,其中,在转换前的报文采用所述源IP地址进行签名时,在转换后的所述报文中保留有nat的alg转换处理前的源IP地址用于解签名。
可选地,在将转换后的报文进行转发处理之前,还包括:在转换前的报文采用所述源IP地址进行签名时,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,并对转换后的报文进行标记。
根据本发明的第三个方面,提供了一种解签名方法,包括:接收中间设备进行网络地址转换nat的应用级网关alg的转换处理后的转发报文,其中,所述转发报文采用源因特网协议IP地址或目的IP地址进行了签名,在所述转发报文采用所述源IP地址进行签名时,在所述转换报文中保留有nat的alg转换处理前的源IP地址;对接收的所述转发报文,采用所述源IP地址或目的IP地址进行解签名处理。
根据本发明的第四个方面,提供了一种签名装置,包括:确定模块,用于确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;签名模块,用于使用所述报文的源因特网协议IP地址或目的IP地址对所述报文进行签名,其中,使用所述源IP地址进行签名时,所述源IP地址保留在经过nat的alg转换处理后的报文中用于解签名。
根据本发明的第五个方面,提供了一种签名装置,包括:第一接收模块,用于接收待转发的报文,其中,所述报文采用源因特网协议IP地址或目的IP地址进行签名;转换模块,用于对接收的所述报文进行网络地址转换nat的应用级网关alg的转换处理;转发模块,用于将转换后的报文进行转发处理,其中,在转换前的报文采用所述源IP地址进行签名时,在转换后的所述报文中保留有nat的alg转换处理前的源IP地址用于解签名。
可选地,还包括:保存模块,用于在转换前的报文采用所述源IP地址进行签名时,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,并对转换后的报文进行标记。
根据本发明的第六个方面,提供了一种解签名装置,包括:第二接收模块,用于接收中间设备进行网络地址转换nat的应用级网关alg的转换处理后的转发报文,其中,所述转发报文采用源因特网协议IP地址或目的IP地址进行了签名,在所述转发报文采用所述源IP地址进行签名时,在所述转换报文中保留有nat的alg转换处理前的源IP地址;解签名模块,用于对接收的所述转发报文,采用所述源IP地址或目的IP地址进行解签名处理。
根据本发明的第七个方面,提供了一种用户侧边际设备,包括上述第四个方面的签名装置和上述第六个方面的解签名装置。
根据本发明的第八个方面,提供了一种中间设备,包括上述第五个方面的签名装置。
根据本发明的第九个方面,提供了一种网络侧边际设备,包括上述第四个方面签名装置和上述第六个方面的解签名装置。
本发明实施例采用确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理,使用报文的源因特网协议IP地址或目的IP地址对报文进行签名;解决了相关技术中在签名机网络中报文进行网络地址转换nat的应用级网关alg的转换处理后无法解签名的问题,保证了加密明文在加密和结果过程中的一致性,进而达到了采用报文的源IP地址或目的IP地址都可以实现签名和解签名的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明可选的一种签名方法的流程图;
图2是根据本发明实施例可选的另一种签名方法的流程图;
图3是根据本发明实施例可选的一种解签名方法的流程图;
图4是根据本发明实施例可选的一种签名装置结构框图;
图5是根据本发明实施例可选的另一种签名装置结构框图;
图6是根据本发明实施例可选的一种解签名装置结构框图;
图7是根据本发明实施例可选的一种签名、解签名总体实现结构图;
图8是根据本发明实施例可选的一种边际设备、中间设备连接结构图;
图9是根据本发明实施例可选的签名、解签名实现流程图;
图10是根据本发明优选实施方式一可选的签名边际设备工作流程图;
图11是根据本发明优选实施方式一可选的中间设备工作流程图;
图12是根据本发明优选实施方式一可选的解签名设备工作流程图;
图13是根据本发明优选实施方式二可选的签名设备工作流程图;
图14是根据本发明优选实施方式二可选的中间设备工作流程图;
图15是根据本发明优选实施方式二可选的解签名设备工作流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1是根据本发明可选的一种签名方法的流程图,如图1所示,该流程包括如下步骤:
步骤S102,确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;
步骤S104,使用报文的源因特网协议IP地址或目的IP地址对报文进行签名,其中,使用源IP地址进行签名时,源IP地址保留在经过nat的alg转换处理后的报文中用于解签名。
通过提供的上述两种签名方式,即采用报文的源因特网协议IP地址或目的IP地址加上报文载荷等明文字段进行签名进行签名,其中,使用源IP地址进行签名时,源IP地址保留在经过nat的alg转换处理后的报文中用于解签名,解决了相关技术中在签名机网络中报文进行网络地址转换nat的应用级网关alg的转换处理后无法解签名的问题,进而达到了采用报文的源IP地址或目的IP地址都可以实现签名和解签名的技术效果。
应用层协议报文包括二层头的MAC地址、三层头的源IP地址和目的IP地址以及四层头报文载荷的源IP地址和目的IP地址,采用nat的alg转换可以完成应用层协议报文信息的解析和地址转换,采用源IP地址作为明文加密,三层头中的源IP地址和四层头中的源IP地址皆会发生改变,从而导致解签名不成功。采用报文的源因特网协议IP地址或目的IP地址对报文进行签名时,加密签名结果可以存放于报文的空闲字段中。其中,使用源IP地址进行签名时,应用层数据报文中的三层头中和四层头报文载荷中的源IP地址保留在经过nat的alg转换处理后的报文载荷中,从而使nat的alg功能对源IP地址的转换对后续的解签名不产生影响,避免原本合法的报文被当做非法报文而丢弃。以保证签名和解签名明文的一致性,否则将导致解签名失败,解决了相关技术中在应用层协议报文中由于nat的alg转换导致源IP地址发生改变从而无法进行解签名导致的nat的alg转换功能无法在签名机网络应用的技术问题。
图2是根据本发明实施例可选的另一种签名方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,接收待转发的报文,其中,报文采用源因特网协议IP地址或目的IP地址进行签名;
步骤S204,对接收的报文进行网络地址转换nat的应用级网关alg的转换处理;
步骤S206,将转换后的报文进行转发处理,其中,在转换前的报文采用源IP地址进行签名时,在转换后的报文中保留有nat的alg转换处理前的源IP地址用于解签名。
可选地,步骤S206中,在将转换后的报文进行转发处理之前,还包括:在转换前的报文采用所述源IP地址进行签名时,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,并对转换后的报文进行标记。
本实施例提供了在转换前的报文采用源IP地址进行签名时的解决方法,即在进行nat的alg转换处理前,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,不仅可以保证正常的nat的alg转换处理,且保证了源IP地址不被改变可以继续用来进行解签名;解决了相关技术中,在签名机网络中采用源IP地址对数据加密签名后,由于对报文的源IP地址进行的nat的alg转换处理,导致源IP地址改变后无法解签名,从而使nat的alg转换无法在签名机网络中应用的问题,实现了在签名机网络中,通过对报文数据进行加密签名和解签名保证数据的完整性、真实性和不可抵赖性的同时,保证了对应用层数据正常的nat的alg转换处理。
图3是根据本发明实施例可选的一种解签名方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,接收中间设备进行网络地址转换nat的应用级网关alg的转换处理后的转发报文,其中,转发报文采用源因特网协议IP地址或目的IP地址进行了签名,在转发报文采用源IP地址进行签名时,在转换报文中保留有nat的alg转换处理前的源IP地址;
步骤S304,对接收的转发报文,采用源IP地址或目的IP地址进行解签名处理。
本实施例提供了采用源因特网协议IP地址或目的IP地址进行签名后具体的解签名方法,即,对于采用源IP地址进行签名的数据报文,由于在转换报文中保留有nat的alg转换处理前的源IP地址,因此,在解签名时依然采用源IP地址进行解签名且能保证解签名的成功率;对于采用目的IP地址进行签名的数据报文,由于nat的alg转换处理并不会涉及目的IP地址,因此,也能够保证解签名的成功率。通过对源IP地址的签名方法进行改变,以及采用目的IP地址进行签名,从而使nat的alg转换对签名机网络正常的签名和解签名不产生影响,从而实现nat的alg转换功能在签名机网络中的应用。
图4是根据本发明实施例可选的一种签名装置结构框图,如图4所示,该签名装置包括:确定模块102,用于确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;签名模块104,用于使用报文的源因特网协议IP地址或目的IP地址对报文进行签名,其中,使用源IP地址进行签名时,源IP地址保留在经过nat的alg转换处理后的报文中用于解签名。
图5是根据本发明实施例可选的另一种签名装置结构框图,如图5所示,该签名装置包括:第一接收模块106,用于接收待转发的报文,其中,报文采用源因特网协议IP地址或目的IP地址进行签名;转换模块108,用于对接收的报文进行网络地址转换nat的应用级网关alg的转换处理;转发模块110,用于将转换后的报文进行转发处理,其中,在转换前的报文采用源IP地址进行签名时,在转换后的报文中保留有nat的alg转换处理前的源IP地址用于解签名。保存模块112,用于在转换前的报文采用源IP地址进行签名时,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,并对转换后的报文进行标记。
图6是根据本发明实施例可选的一种解签名装置结构框图,如图6所示,该解签名装置包括:第二接收模块114,用于接收中间设备进行网络地址转换nat的应用级网关alg的转换处理后的转发报文,其中,转发报文采用源因特网协议IP地址或目的IP地址进行了签名,在转发报文采用所述源IP地址进行签名时,在转换报文中保留有nat的alg转换处理前的源IP地址;解签名模块116,用于对接收的转发报文,采用源IP地址或目的IP地址进行解签名处理。
图7是根据本发明实施例可选的一种签名、解签名总体实现结构图,如图7所示,包括用户侧边际设备202,包括上述由确定模块102和签名模块104组成的签名装置和由第二接收模块114、解签名模块116组成的解签名装置;用户侧边际设备202配置上线,可以实施签名和解签名功能;还提供了一种网络侧边际设备206,同样包括上述由确定模块102和签名模块104组成的签名装置和由第二接收模块114、解签名模块116组成的解签名装置;网络侧边际设备连接外网,也可以实施签名和解签名功能;同时,还提供了一种中间设备204,包括上述由第一接收模块106、转换模块108、转发模块110、保存模块112组成的签名装置,中间设备204设置在用户侧边际设备202和网络侧边际设备206之间,用于实现nat的应用级网关alg的转换处理功能。
在实施中,本发明实施例既不需要改变现有的网络环境,亦不需要增加其他设备,不会破坏原有网络部署环境的安全性和完整性,仅利用已有网络条件通过软硬件结合的方法即可解决前述问题。在签名机网络中,加密秘钥可以是对称秘钥,也可以为非对称秘钥。
先以单方向为例详细说明本发明实施例的签名方法:
用户侧边际设备包括报文收发模块、判定模块和签名模块。签名的边际设备配置用户上线,并配置签名功能。因为用户侧的边际设备已经知道中间设备会启用所述nat的alg业务,而这种业务会改变报文原有的源IP地址字段,所以签名的具体方法是使用秘钥将报文的目的IP地址字段通过加密算法进行加密签名,源IP地址和载荷字段不参与加密签名计算,以防止被nat等业务进行地址和端口转换。加密签名结果将存放于报文的空闲字段中,用于所述解签名设备的验证。用户侧的边际设备通过报文接收模块完成报文解析,判定模块辨别报文是否需要做签名处理,签名模块完成报文签名,报文发送模块完成报文的最后发送。
中间设备包括报文接收模块(相当于第一接收模块106),nat的alg的判定模块,nat的alg功能的实现模块(相当于转换模块108),实现对应用层协议的地址和端口转换。中间设备通过报文接收模块完成报文接收解析,nat的alg的判定模块辨别是否需要做nat的alg功能,nat的agl模块完成nat的alg功能,此时报文源IP字段会被转换修改,报文发送模块完成报文的最后发送。
网络侧的边际设备中包括报文收发模块、判定模块和所述解签名模块,其中,报文收发模块负责接收和发送报文,判定模块包括是否需要做解签名处理和是否做过nat的alg地址转换。网络侧边际设备配置解签名功能,和用户侧的边际设备对应的进行解签名操作,网络侧的边际设备也知道此时转发过来的报文,是否实现了所述nat的alg功能,如果做了地址转换,那么也仅用报文的目的IP地址字段进行解签名,而不使用报文源IP地址或者报文载荷字段,以此来检查报文的合法性。
本发明设计了基于签名机网络的应用级网关(alg)的实现方法。首先讲述了签名机网络组成和原理,然后讲述nat的alg的原理应用,最后讲述将二者结合实现的具体实施方法,解决了一种真实网络应用中的实际应用问题。为了使得表述更加清楚,下面结合附图详细说明。
下面对本发明优选实施方式进行说明。
优选实施方式一:
下面仅仅以单方向为例来说明,实际上边际设备既是签名设备,同时也是解签名设备。如图8所示的签名机网络中,用户主机201在所述用户侧边际设备202上线,用户侧边际设备202配置签名功能,所用户侧边际设备202经过判定,如果当前报文需要做签名,并且此后面需要做nat的alg业务处理,那么就仅使用报文目的IP地址作为明文,结合秘钥来加密签名,对于将被转换改变源IP地址和载荷字段不参与加密计算。将计算结果存放于报文的空闲字段之中。中间设备204模拟实叠加nat的alg功能。网络侧边际设备206与与外网服务器207连接,与用户侧边际设备202对应地经过判定以后,如果需要做解签名,而且已经被地址转换,那么就仅使用目的IP地址进行解签名处理。如图9所示,报文进入所述边际设备的报文,解析完以后,要由判定模块进行判定是否需要做签名或解签名处理。如果不需要进行签名或解签名处理,则由判定模块直接发送给所述发送模块,否则发送给签名解签名模块处理,最后再发送给所述发送模块。如图9所示,其具体步骤包括:
S401,报文进入报文接收模块,进行报文解析。
S402,报文经过判定模块进行判定是否需要做报文签名或解签名处理。在判断为否的情况下,跳转至S404。
S403,报文做签名或解签名处理。
S404,报文经由报文发送模块发送。
终端用户在签名机网络中,通过网络侧边际设备202来访问internet现有网络。中间设备204配置nat的alg功能。下面过程进行具体描述。
如图10所示,签名设备具体步骤包括:
S501,签名的边际设备接收报文并解析。
S502,判定模块判定是否要做签名处理,在判断结果为是的情况下跳转到S503。在判断结果为否的情况下,跳转至S506。
S503,nat判定模块判定此转发过程中是否有nat的alg业务处理。在判断结果为是的情况下跳转到S504,在判断结果为否的情况下,跳转至S505。
S504,签名模块对接收到的报文,使用目的IP地址字段作为明文加密签名,对于将会被nat的alg业务所转换的源IP地址等字段将不予处理。跳转至S506。
S505,签名模块正常签名处理。
S506,报文发送模块将报文发送给中间设备。
如图11所示,中间设备具体步骤包括:
S601,中间设备的报文接收模块,接收报文并解析。
S602,中间设备的判定模块判定此设备是否需要做nat的alg业务。在判断结果为是的情况下,跳转至S603,在判断结果为否的情况下,跳转至S604。
S603,中间设备的nat的alg模块进行nat的alg业务处理,此时会转换掉报文原有的源IP地址,而目的IP地址将不会改变。
S604,中间设备的发送模块将报文发送至解签名的边际设备。
如图12所示,解签名边际设备具体步骤如下:
S701,解签名的边际设备进行报文接收并解析。
S702,解签名的边际设备的判定模块判定是否需要做解签名处理。在判断结果为是的情况下,跳转至S703,在判断结果为否的情况下,跳转至S706。
S703,解签名的边际设备的nat的alg判定模块判定接收到的报文是否已做过nat的alg地址转换。在判断结果为是的情况下,跳转至S704,在判断结果为否的情况下,跳转至S705。
S704,解签名的边际设备的解签名模块仅使用报文的目的IP地址作为明文解签名处理。
S705,解签名的边际设备正常解签名处理。
S706,解签名的边际设备的报文发送模块将报文发送出去。
优选实施方式二:
本发明实施例采用源IP地址进行加密签名。由于nat的alg功能会将应用层三层头数据报文载荷和四层头数据报文载荷中的源IP地址进行转换从而导致解签名不成功。因此,中间设备上将做过nat的alg的数据报文做以标记,同时要将转换前的源IP地址字段保留到报文载荷字段当中。解签名的边际设备负责将接收到的报文解析,首先判别是否有做过nat的alg功能,将做过此功能报文的源IP地址字段还原为转换前的报文字段,也就是说要还原明文字段,同时将其在载荷字段中删除,用替换后的明文字段进行加密签名,计算的结果与之前所述结果的空闲字段比对,一致则认为合法报文,正常处理通过。如若不一致,则丢弃,行使原有解签名功能的处理。
用户在签名机网络中,通过用户侧的边际设备用户上线,网络侧的边际设备来访问internet现有网络,两台边际设备均可做签名、解签名处理。中间设备对本身是否启用nat的alg功能进行判断,并向解签名的边际设备进行传输报文。
签名设备操作如图13所示,其具体步骤包括:
S801,签名的边际设备接收报文并解析。
S802,签名的边际设备判定是否启用签名功能,在判断结果为是的情况下,跳转至S803,在判断结果为否的情况下,跳转至S804。
S803,对接收到的报文进行签名,将报文的源IP地址字段加密签名,计算结果存放于报文的空闲字段当中。
S804,后将报文发送给所述中间设备。
中间设备操作如图14所示,其具体步骤包括:
S901,进入中间设备配置模式,接收并解析报文。
S902,判定是否需要做nat的alg业务处理,在判断结果为是的情况下,跳转至S903,在判断结果为否的情况下,跳转至S904。
S903,中间设备保存源IP地址字段到载荷字段中,并标记报文,实施nat的alg业务处理。
S904,中间设备将报文发送出去。
解签名边际设备操作如图15所示,其具体步骤包括:
S1001,解签名边际设备接收并解析报文。
S1002,解签名边际设备判断是否需要启用解签名操作处理,在判断结果为是的情况下,跳转至S1003,在判断结果为否的情况下,跳转至S1006。
S1003,解签名边际设备判断接收到的报文是否做过nat的alg业务处理,在判断结果为是的情况下,跳转至S1004,在判断结果为否的情况下,跳转至S1005。
S1004,解签名边际设备还原nat的alg业务转换前的源IP地址字段,并利用转换前的源IP地址字段做解签名处理。
S1005,解签名边际设备正常解签名处理。
S1006,解签名边际设备发送报文。
本发明基于签名机网络环境,根据签名机签名算法的特性,提出了两种在此网络环境下nat的alg功能的实现方法。Nat的alg功能主要转换了应用层协议的源IP地址或者端口号,在本方法中正是规避了此特征,仅利用报文的目的IP地址字段或保留转换前的源IP地址字段作为明文来解签名,使得源IP地址的转换不会影响到解签名结果的正确性,从而保证报文正常转发。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种签名方法,其特征在于,包括:
确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;
使用所述报文的源因特网协议IP地址或目的IP地址对所述报文进行签名,其中,使用所述源IP地址进行签名时,所述源IP地址保留在经过nat的alg转换处理后的报文中用于解签名。
2.一种签名方法,其特征在于,包括:
接收待转发的报文,其中,所述报文采用源因特网协议IP地址或目的IP地址进行签名;
对接收的所述报文进行网络地址转换nat的应用级网关alg的转换处理;
将转换后的报文进行转发处理,其中,在转换前的报文采用所述源IP地址进行签名时,在转换后的所述报文中保留有nat的alg转换处理前的源IP地址用于解签名。
3.根据权利要求2所述的方法,其特征在于,在将转换后的报文进行转发处理之前,还包括:
在转换前的报文采用所述源IP地址进行签名时,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,并对转换后的报文进行标记。
4.一种解签名方法,其特征在于,包括:
接收中间设备进行网络地址转换nat的应用级网关alg的转换处理后的转发报文,其中,所述转发报文采用源因特网协议IP地址或目的IP地址进行了签名,在所述转发报文采用所述源IP地址进行签名时,在所述转换报文中保留有nat的alg转换处理前的源IP地址;
对接收的所述转发报文,采用所述源IP地址或目的IP地址进行解签名处理。
5.一种签名装置,其特征在于,包括:
确定模块,用于确定待发送的报文在发送给中间设备后进行转发时,将要进行网络地址转换nat的应用级网关alg的转换处理;
签名模块,用于使用所述报文的源因特网协议IP地址或目的IP地址对所述报文进行签名,其中,使用所述源IP地址进行签名时,所述源IP地址保留在经过nat的alg转换处理后的报文中用于解签名。
6.一种签名装置,其特征在于,包括:
第一接收模块,用于接收待转发的报文,其中,所述报文采用源因特网协议IP地址或目的IP地址进行签名;
转换模块,用于对接收的所述报文进行网络地址转换nat的应用级网关alg的转换处理;
转发模块,用于将转换后的报文进行转发处理,其中,在转换前的报文采用所述源IP地址进行签名时,在转换后的所述报文中保留有nat的alg转换处理前的源IP地址用于解签名。
7.根据权利要求6所述的装置,其特征在于,还包括:
保存模块,用于在转换前的报文采用所述源IP地址进行签名时,将进行nat的alg转换处理前的源IP地址保存在转换后的报文的载荷字段中,并对转换后的报文进行标记。
8.一种解签名装置,其特征在于,包括:
第二接收模块,用于接收中间设备进行网络地址转换nat的应用级网关alg的转换处理后的转发报文,其中,所述转发报文采用源因特网协议IP地址或目的IP地址进行了签名,在所述转发报文采用所述源IP地址进行签名时,在所述转换报文中保留有nat的alg转换处理前的源IP地址;
解签名模块,用于对接收的所述转发报文,采用所述源IP地址或目的IP地址进行解签名处理。
9.一种用户侧边际设备,其特征在于,包括权利要求5所述的签名装置和权利要求8所述解签名装置。
10.一种中间设备,其特征在于,包括权利要求6或7所述的签名装置。
11.一种网络侧边际设备,其特征在于,包括权利要求5所述的签名装置和权利要求8所述的解签名装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410848360.7A CN105812137A (zh) | 2014-12-29 | 2014-12-29 | 签名方法和装置 |
PCT/CN2015/096030 WO2016107359A1 (zh) | 2014-12-29 | 2015-11-30 | 签名方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410848360.7A CN105812137A (zh) | 2014-12-29 | 2014-12-29 | 签名方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105812137A true CN105812137A (zh) | 2016-07-27 |
Family
ID=56284194
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410848360.7A Pending CN105812137A (zh) | 2014-12-29 | 2014-12-29 | 签名方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105812137A (zh) |
WO (1) | WO2016107359A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023284626A1 (zh) * | 2021-07-15 | 2023-01-19 | 华为技术有限公司 | 优化数据访问性能的方法和中间设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101420423A (zh) * | 2007-10-26 | 2009-04-29 | 株式会社日立制作所 | 网络系统 |
CN101515882A (zh) * | 2008-02-20 | 2009-08-26 | 深圳华为通信技术有限公司 | 一种局域网与公网通信的方法、设备及系统 |
CN101808142A (zh) * | 2010-03-10 | 2010-08-18 | 上海十进制网络信息技术有限公司 | 通过路由器或交换机实现可信网络连接的方法和装置 |
CN102843375A (zh) * | 2012-09-07 | 2012-12-26 | 沈阳通用软件有限公司 | 基于ip协议中的标识控制网络访问的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102209124B (zh) * | 2011-06-08 | 2014-03-12 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
-
2014
- 2014-12-29 CN CN201410848360.7A patent/CN105812137A/zh active Pending
-
2015
- 2015-11-30 WO PCT/CN2015/096030 patent/WO2016107359A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101420423A (zh) * | 2007-10-26 | 2009-04-29 | 株式会社日立制作所 | 网络系统 |
CN101515882A (zh) * | 2008-02-20 | 2009-08-26 | 深圳华为通信技术有限公司 | 一种局域网与公网通信的方法、设备及系统 |
CN101808142A (zh) * | 2010-03-10 | 2010-08-18 | 上海十进制网络信息技术有限公司 | 通过路由器或交换机实现可信网络连接的方法和装置 |
CN102843375A (zh) * | 2012-09-07 | 2012-12-26 | 沈阳通用软件有限公司 | 基于ip协议中的标识控制网络访问的方法 |
Non-Patent Citations (1)
Title |
---|
T. KIVINEN等: "Negotiation of NAT-Traversal in the IKE", 《RFC3947》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023284626A1 (zh) * | 2021-07-15 | 2023-01-19 | 华为技术有限公司 | 优化数据访问性能的方法和中间设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2016107359A1 (zh) | 2016-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7042875B2 (ja) | セキュア動的通信ネットワーク及びプロトコル | |
CN105960781A (zh) | 利用基于公钥的数字签名保护源路由的方法与系统 | |
KR20080025202A (ko) | 알려지지 않은 두 통신 당사자 간의 신뢰성 있는 관계의 확립 방법, 그 관계 확립의 개시와 완성 방법, 통신 디바이스 및 컴퓨터 판독가능한 기록매체 | |
CN101640631A (zh) | 一种数据包处理的方法和装置 | |
KR20110119785A (ko) | 비-암호화 망 동작 해결책 | |
Misra et al. | Introduction to IoT | |
CN106612267A (zh) | 一种验证方法及验证装置 | |
CN101299668A (zh) | 一种通信的建立方法、系统和装置 | |
CN104917765A (zh) | 一种防范攻击的方法和设备 | |
CN101938500A (zh) | 源地址验证方法及系统 | |
CN105100268A (zh) | 一种物联网设备的安全控制方法、系统及应用服务器 | |
Tsai et al. | Secure anonymous authentication scheme without verification table for mobile satellite communication systems | |
CN107342964A (zh) | 一种报文解析方法及设备 | |
CN101052029B (zh) | 用于传输包括可扩展标记语言信息的消息的方法 | |
CN105812137A (zh) | 签名方法和装置 | |
CN101668009A (zh) | 路由地址的安全处理方法和系统 | |
Xu et al. | Post-Quantum Authentication Against Cyber-Physical Attacks in V2X-Based Autonomous Vehicle Platoon | |
CN106254425A (zh) | 用于移动设备向云端传送数据的方法及系统、移动终端 | |
Ene et al. | Implementing ECC on Data Link Layer of the OSI Reference Model | |
Chang et al. | Base station gateway to secure user channel access at the first hop edge | |
US20080289004A1 (en) | Method and Module for Protecting Against Attacks in a High-Speed Network | |
Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
Caragata et al. | Confidential initial identification and other improvements for UMTS security | |
Hanna | Protecting a Corporate Network from Insider, Outsider and Collaborative Attacks | |
Atheeq et al. | Securing UAV Networks: A Lightweight Chaotic-Frequency Hopping Approach to Counter Jamming Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160727 |
|
WD01 | Invention patent application deemed withdrawn after publication |