CN106953835A - 一种检测报文的方法、装置和系统 - Google Patents
一种检测报文的方法、装置和系统 Download PDFInfo
- Publication number
- CN106953835A CN106953835A CN201610012567.XA CN201610012567A CN106953835A CN 106953835 A CN106953835 A CN 106953835A CN 201610012567 A CN201610012567 A CN 201610012567A CN 106953835 A CN106953835 A CN 106953835A
- Authority
- CN
- China
- Prior art keywords
- signature
- message
- equipment
- mirror image
- uplink message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 238000012937 correction Methods 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 24
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 239000012634 fragment Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种检测报文的方法、装置和系统,包括:第一设备/第二设备接收到镜像的第一上行报文/第一下行报文,计算第一上行报文/第一下行报文的签名,保存第一上行报文/第一下行报文的标志信息和签名之间的对应关系;第二设备/第一设备接收到镜像的第二上行报文/第二下行报文,计算第二上行报文/第二下行报文的签名,向第一设备/第二设备发送包含签名的第二上行报文/第二下行报文;第一设备/第二设备获取包含签名的第二上行报文/第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文/第二下行报文不是特殊报文。本发明提高了用户体验。
Description
技术领域
本发明涉及移动通讯和互联网领域,尤指一种检测报文的方法、装置和系统。
背景技术
随着互联网技术的迅速发展,网络的安全性越来越受到人们的重视,如何保证网络中的信息不被窃取泄密,增强网络的安全性,成为日益需要解决的问题。
网络中的特殊报文可以理解为被中间网络设备对流经自身的报文中的信息进行篡改得到的报文,或中间网络设备根据流经自身的报文中的信息自行发送的报文。这些报文由于其隐蔽性,往往很不容易被发现,从而无法对其进行控制。
现有的检测特殊报文的方法通常是把检测设备串联在网络中进行检测,然而串联之前需要中断原有网络,影响了用户体验。
发明内容
为了解决上述问题,本发明提出了一种检测报文的方法、装置和系统,能够在不中断原有网络时进行检测,从而提高用户体验。
为了达到上述目的,本发明提出了一种检测报文的方法,包括:
第一设备/第二设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系;
第二设备/第一设备接收到镜像的第二上行报文/第二下行报文,计算镜像的第二上行报文/第二下行报文的签名,向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文;
第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文/第二下行报文不是特殊报文。
可选的,当所述第一设备/第二设备在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同时,该方法还包括:
所述第一设备/第二设备确定所述第二上行报文/第二下行报文为特殊报文;
或者,所述第一设备/第二设备在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
可选的,所述计算镜像的第二上行报文/第二下行报文的签名后,在所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文之前还包括:
获取第二上行报文/第二下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第一设备/第二设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备/第二设备;
所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文包括:
向查找到的第一设备/第二设备发送所述包含计算得到的签名的第二上行报文/第二下行报文。
可选的,该方法还包括:
所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
可选的,当所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为组播报文时,该方法还包括:
在第二预设时间后删除查找到的签名和对应的标志信息。
本发明还提出了一种检测报文的方法,包括:
第三设备/第四设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文;
第四设备/第三设备获取包含计算得到的签名的第一上行报文/第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;
第四设备/第三设备接收到镜像的第二上行报文/第二下行报文,获取镜像的第二上行报文/第二下行报文中的标志信息,计算镜像的第二上行报文/第二下行报文的签名,在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文/第二下行报文的签名相同,确定第二上行报文/第二下行报文不是特殊报文。
可选的,当所述第四设备/第三设备在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同时,该方法还包括:
所述第四设备/第三设备确定所述第二上行报文/第二下行报文为特殊报文;
或者,所述第四设备/第三设备在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
可选的,所述计算镜像的第一上行报文/第一下行报文的签名后,在所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文之前还包括:
获取第一上行报文/第一下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第四设备/第三设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备/第三设备;
所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文包括:
向查找到的第四设备/第三设备发送所述包含计算得到的签名的第一上行报文/第一下行报文。
可选的,该方法还包括:
所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
可选的,当所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为组播报文时,该方法还包括:
在第二预设时间后删除查找到的签名和对应的标志信息。
本发明还提出了一种第一设备,至少包括:
第一接收模块,用于接收到镜像的第一上行报文;接收到来自第二设备的包含计算得到的签名的第二上行报文;接收到镜像的第二下行报文;
第一签名模块,用于计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;计算镜像的第二下行报文的签名;
第一校验模块,用于获取包含计算得到的签名的第二上行报文的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文;
第一发送模块,用于向第二设备发送包含计算得到的签名的第二下行报文。
可选的,所述第一校验模块还用于:
在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同,确定所述第二上行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
可选的,所述第一发送模块具体用于:
获取第二下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第二设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第二设备;向查找到的第二设备发送所述包含计算得到的签名的第二下行报文。
本发明还提出了一种第二设备,至少包括:
第二接收模块,用于接收到镜像的第一下行报文;接收到来自第一设备的包含计算得到的签名的第二下行报文;接收到镜像的第二上行报文;
第二签名模块,用于计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;计算镜像的第二上行报文的签名;
第二校验模块,用于获取包含计算得到的签名的第二下行报文的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文;
第二发送模块,用于向第一设备发送包含计算得到的签名的第二上行报文。
可选的,所述第二校验模块还用于:
在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同,确定所述第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
可选的,所述第二发送模块具体用于:
获取第二上行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第一设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备;向查找到的第一设备发送所述包含计算得到的签名的第二上行报文。
本发明还提出了一种第三设备,至少包括:
第三接收模块,用于接收到镜像的第一上行报文;接收到来自第四设备的包含计算得到的签名的第一下行报文;接收到镜像的第二下行报文;
第三签名模块,用于计算镜像的第一上行报文的签名;获取包含计算得到的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名;
第三发送模块,用于向第四设备发送包含计算得到的签名的第一上行报文;
第三校验模块,用于在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文。
可选的,所述第三校验模块还用于:
在所述对应关系中查找不到所述第二下行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二下行报文的签名不相同,确定所述第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。
可选的,所述第三发送模块具体用于:
获取第一上行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第四设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备;向查找到的第四设备发送所述包含计算得到的签名的第一上行报文。
本发明还提出了一种第四设备,至少包括:
第四接收模块,用于接收到镜像的第一下行报文;接收到来自第三设备的包含计算得到的签名的第一上行报文;接收到镜像的第二上行报文;
第四签名模块,用于计算镜像的第一下行报文的签名;获取包含计算得到的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名;
第四发送模块,用于向第三设备发送包含计算得到的签名的第一下行报文;
第四校验模块,用于在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
可选的,所述第四校验模块还用于:
在所述对应关系中查找不到所述第二上行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二上行报文的签名不相同,确定所述第二上行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。
可选的,所述第四发送模块具体用于:
获取第一下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第三设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第三设备;向查找到的第三设备发送所述包含计算得到的签名的第一下行报文。
本发明还提出了一种检测报文的系统,至少包括:
第一设备,用于接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;获取包含计算得到的签名的第二上行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文;接收到镜像的第二下行报文,计算镜像的第二下行报文的签名,向第二设备发送包含计算得到的签名的第二下行报文;
第二设备,用于接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;接收到镜像的第二上行报文,计算镜像的第二上行报文的签名,向第一设备发送包含计算得到的签名的第二上行报文;获取包含计算得到的签名的第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文。
可选的,所述第一设备/第二设备还用于:
在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同,确定所述第二上行报文/第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
本发明还提出了一种检测报文的系统,至少包括:
第三设备,用于接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,向第四设备发送包含计算得到的签名的第一上行报文;获取包含计算得到的签名的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;接收到镜像的第二下行报文,获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名,在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文;
第四设备,用于接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,向第三设备发送包含计算得到的签名的第一下行报文;获取包含计算得到的签名的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;接收到镜像的第二上行报文,获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名,在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
可选的,所述第三设备/第四设备还用于:
在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同,确定所述第二上行报文/第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
与现有技术相比,本发明的技术方案包括:第一设备/第二设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系;第二设备/第一设备接收到镜像的第二上行报文/第二下行报文,计算镜像的第二上行报文/第二下行报文的签名,向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文;第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文/第二下行报文不是特殊报文。通过本发明的方案,采用第一设备/第二设备和第二设备/第一设备对中间网络设备镜像的上行报文/下行报文进行检测,而不需要中断原有网络,从而提高了用户体验。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为本发明检测特殊报文的方法的流程图;
图2为本发明在中间网络设备的入口和出口分别设置设备的示意图;
图3为本发明另一种在中间网络设备的入口和出口分别设置设备的示意图
图4为本发明另一种检测报文的方法的流程图;
图5为本发明第一设备的结构组成示意图;
图6为本发明第二设备的结构组成示意图;
图7为本发明第三设备的结构组成示意图;
图8为本发明第四设备的结构组成示意图;
图9为本发明检测报文的系统的结构组成示意图;
图10为本发明另一种检测报文的系统的结构组成示意图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的各种方式可以相互组合。
参见图1,本发明提出了一种检测报文的方法,在中间网络设备的入口和出口分别设置第一设备和第二设备。
图2为在中间网络设备的入口和出口分别设置设备的示意图。如图2所示,终端通过中间网络设备和因特网(Internet)之间进行通信。当中间网络设备只有一个入口和一个出口时,只需要在入口和出口分别设置一个第一设备(即设备1)和第二设备(即设备2)。
图3为另一种在中间网络设备的入口和出口分别设置设备的示意图。如图3所示,终端1和终端2通过中间网络设备和Internet之间进行通信。当中间网络设备有多个入口和/或多个出口时,需要在入口和出口分别设置多个第一设备(即设备1和设备2)和/或多个第二设备(即设备3和设备4)。
因此,在以下的描述中,处理上行报文和下行报文的方法是相同的,因此用“/”来表示,即”/“表示可替代的意思,在整套方法的描述中,只包含“/”前面的描述为一套完整的方案,只包含“/”后面的描述为另一套完整的方案。
该方法包括:
步骤100、第一设备/第二设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系。
本步骤中,第一设备/第二设备可以采用现有的算法,如密钥相关的哈希运算消息认证码(HMAC,Hash-based Message Authentication Code)-信息摘要算法5(MD5,Message-Digest Algorithm 5)计算镜像的第一上行报文/第一下行报文的签名,具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
本步骤中,一般对镜像的第一上行报文/第一下行报文的特征值的签名进行计算,镜像的第一上行报文/第一下行报文的特征值是指镜像的第一上行报文/第一下行报文在网络中传输时通常不改变的内容,如目的IP地址+payload、源IP地址+payload等。
本步骤中,标志信息包括以下的一种或多种:源互联网协议(IP,InternetProtocol)地址、目的IP地址、协议号、源端口号、目的端口号、标识字段、分片标记位和分片偏移等。
需要说明的是,标志信息至少要能够唯一标识报文。
步骤101、第二设备/第一设备接收到镜像的第二上行报文/第二下行报文,计算镜像的第二上行报文/第二下行报文的签名,向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文。
本步骤中,第二设备/第一设备可以采用现有的算法,如HMAC-MD5计算镜像的第二上行报文/第二下行报文的签名,具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
本步骤中,一般对镜像的第二上行报文/第二下行报文的特征值的签名进行计算,镜像的第二上行报文/第二下行报文的特征值是指镜像的第二上行报文/第二下行报文在网络中传输时通常不改变的内容,如目的IP地址+payload、源IP地址+payload等。
本步骤中,包含计算得到的签名的第二上行报文/第二下行报文与第二上行报文/第二下行报文的其他信息均相同,仅仅是在第二上行报文/第二下行报文中携带了签名。
本步骤中,签名可以设置在第二上行报文/第二下行报文的payload字段末尾,或option字段、或IPSec(IP Security)常用的AH头和IP头的Identification字段等。
本步骤中,计算镜像的第二上行报文/第二下行报文的签名后,在向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文之前还包括:
获取第二上行报文/第二下行报文的源IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第一设备/第二设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备/第二设备;
向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文包括:向查找到的第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文。
步骤102、第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文/第二下行报文不是特殊报文。
本步骤中,当第一设备/第二设备在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,第一设备/第二设备确定第二上行报文/第二下行报文为特殊报文;或者,入口设备在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
其中,入口设备确定出第二上行报文/第二下行报文为特殊报文后,还可以进行告警和/或将第二上行报文/第二下行报文输出,具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
通过本发明的方案,采用第一设备/第二设备和第二设备/第一设备对中间网络设备镜像的上行报文/下行报文进行检测,而不需要中断原有网络,从而提高了用户体验。
进一步地,该方法还包括:
第一设备/第二设备判断出第二上行报文/第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
其中,当第一设备/第二设备判断出第二上行报文/第二下行报文为组播报文时,在第二预设时间后删除查找到的签名和对应的标志信息。
其中,具体如何判断第二上行报文/第二下行报文是否是组播报文属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
参见图4,本发明还提出了一种检测报文的方法,在中间网络设备的入口和出口分别设置第三设备和第四设备。
如图2所示,终端通过中间网络设备和因特网(Internet)之间进行通信。当中间网络设备只有一个入口和一个出口时,只需要在入口和出口分别设置一个第三设备(即设备1)和第四设备(即设备2)。
如图3所示,终端1和终端2通过中间网络设备和Internet之间进行通信。当中间网络设备有多个入口和/或多个出口时,需要在入口和出口分别设置多个第三设备(即设备1和设备2)和/或多个第四设备(即设备3和设备4)。
因此,在以下的描述中,处理上行报文和下行报文的方法是相同的,因此用“/”来表示,即”/“表示可替代的意思,在整套方法的描述中,只包含“/”前面的描述为一套完整的方案,只包含“/”后面的描述为另一套完整的方案。
该方法包括:
步骤400、第三设备/第四设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文。
本步骤中,第三设备/第四设备可以采用现有的算法,如HMAC-MD5计算镜像的第一上行报文/第一下行报文的签名,具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
本步骤中,一般对镜像的第一上行报文/第一下行报文的特征值的签名进行计算,镜像的第一上行报文/第一下行报文的特征值是指镜像的第一上行报文/第一下行报文在网络中传输时通常不改变的内容,如目的IP地址+payload、源IP地址+payload等。
本步骤中,计算镜像的第一上行报文/第一下行报文的签名后,在向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文之前还包括:
获取第一上行报文/第一下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第四设备/第三设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备/第三设备;
向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文包括:向查找到的第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文。
步骤401、第四设备/第三设备获取包含计算得到的签名的第一上行报文/第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系。
本步骤中,标志信息包括以下的一种或多种:源IP地址、目的IP地址、协议号、源端口号、目的端口号、标识字段、分片标记位和分片偏移等。
步骤402、第四设备/第三设备接收到镜像的第二上行报文/第二下行报文,获取镜像的第二上行报文/第二下行报文中的标志信息,计算镜像的第二上行报文/第二下行报文的签名,在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文/第二下行报文的签名相同,确定第二上行报文/第二下行报文不是特殊报文。
本步骤中,当第四设备/第三设备在对应关系中查找不到第二上行报文/第二下行报文中的标志信息对应的签名,或判断出查找到的签名和第二上行报文/第二下行报文的签名不相同时,第四设备/第三设备确定第二上行报文/第二下行报文为特殊报文;或者,出口设备在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
进一步地,该方法还包括:
第四设备/第三设备判断出第二上行报文/第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
其中,当第四设备/第三设备判断出第二上行报文/第二下行报文为组播报文时,在第二预设时间后删除查找到的签名和对应的标志信息。
下面通过具体实施例详细说明本发明的方法。
第一实施例,参见图2,当终端通过中间网络设备向Internet发送第一上行报文时,中间网络设备在入口处将第一上行报文镜像给设备1,第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同,也可能不同,当第一上行报文被中间网络设备篡改时,则第二上行报文与第一上行报文不同),中间网络设备在出口处将第二上行报文镜像给设备2。
设备1接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;
设备2接收到镜像的第二上行报文,计算镜像的第二上行报文的签名,向设备1发送包含计算得到的签名的第二上行报文;
设备1获取包含计算得到的签名的第二上行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文。
当设备1在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,设备1确定第二上行报文为特殊报文;
或者,设备1在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
当Internet通过中间网络设备向终端发送第一下行报文时,中间网络设备在入口处将第一下行报文镜像给设备2,第一下行报文传输到中间网络设备的出口处变为第二下行报文(第二下行报文可能与第一下行报文相同,也可能不同,当第一下行报文被中间网络设备篡改时,则第二下行报文与第一下行报文不同),中间网络设备在出口处将第二下行报文镜像给设备1。
设备2接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;
设备1接收到镜像的第二下行报文,计算镜像的第二下行报文的签名,向设备2发送包含计算得到的签名的第二下行报文;
设备2获取包含计算得到的签名的第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文。
当设备2在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,设备2确定第二下行报文为特殊报文;
或者,设备2在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
第二实施例,参见图3,当终端1/终端2通过中间网络设备向Internet发送第一上行报文时,中间网络设备在入口处将第一上行报文镜像给设备1/设备2,第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同,也可能不同,当第一上行报文被中间网络设备篡改时,则第二上行报文与第一上行报文不同),中间网络设备在出口处将第二上行报文镜像给设备3或设备4。
设备1/设备2接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;
设备3或设备4接收到镜像的第二上行报文,计算镜像的第二上行报文的签名,获取第二上行报文的源IP地址,在预先设置的源IP地址网段和设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段对应的设备(或者,获取第二上行报文的目的IP地址,在预先设置的目的IP地址网段和设备之间的对应关系中,查找获得的目的IP地址所在的目的IP地址网段对应的设备),若查找到的设备为设备1/设备2,向设备1/设备2发送包含计算得到的签名的第二上行报文;
设备1/设备2获取包含计算得到的签名的第二上行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文。
当设备1/设备2在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,设备1/设备2确定第二上行报文为特殊报文;
或者,设备1/设备2在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
当Internet通过中间网络设备向终端1/终端2发送第一下行报文时,中间网络设备在入口处将第一下行报文镜像给设备3或设备4,第一下行报文传输到中间网络设备的出口处变为第二下行报文(第二下行报文可能与第一下行报文相同,也可能不同,当第一下行报文被中间网络设备篡改时,则第二下行报文与第一下行报文不同),中间网络设备在出口处将第二下行报文镜像给设备1/设备2。
设备3或设备4接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;
设备1/设备2接收到镜像的第二下行报文,计算镜像的第二下行报文的签名,获取第二下行报文的目的IP地址,在预先设置的目的IP地址网段和设备之间的对应关系中,查找获得的目的IP地址所在的目的IP地址网段对应的设备,若查找到的设备为设备3或设备4,向设备3或设备4发送包含计算得到的签名的第二下行报文;
设备3或设备4获取包含计算得到的签名的第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文。
当设备3或设备4在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,设备3或设备4确定第二下行报文为特殊报文;
或者,设备3或设备4在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
第三实施例,参见图2,当终端通过中间网络设备向Internet发送第一上行报文时,中间网络设备在入口处将第一上行报文镜像给设备1,第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同,也可能不同,当第一上行报文被中间网络设备篡改时,则第二上行报文与第一上行报文不同),中间网络设备在出口处将第二上行报文镜像给设备2。
设备1接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,向设备2发送包含计算得到的签名的第一上行报文;
设备2获取包含计算得到的签名的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;
设备2接收到镜像的第二上行报文,获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文。
当设备2在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,设备2确定第二上行报文为特殊报文;
或者,设备2在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
当Internet通过中间网络设备向终端发送第一下行报文时,中间网络设备在入口处将第一下行报文镜像给设备2,第一下行报文传输到中间网络设备的出口处变为第二下行报文(第二下行报文可能与第一下行报文相同,也可能不同,当第一下行报文被中间网络设备篡改时,则第二下行报文与第一下行报文不同),中间网络设备在出口处将第二下行报文镜像给设备1。
设备2接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,向设备1发送包含计算得到的签名的第一下行报文;
设备1获取包含计算得到的签名的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;
设备1接收到镜像的第二下行报文,获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文。
当设备1在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同时,设备1确定第二下行报文为特殊报文;
或者,设备1在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
第四实施例,参见图3,当终端1/终端2通过中间网络设备向Internet发送第一上行报文时,中间网络设备在入口处将第一上行报文镜像给设备1/设备2,第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同,也可能不同,当第一上行报文被中间网络设备篡改时,则第二上行报文与第一上行报文不同),中间网络设备在出口处将第二上行报文镜像给设备3或设备4。
设备1/设备2接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,获取第一上行报文的源IP地址,在预先设置的源IP地址网段和设备之间的对应关系中查找获得的源IP地址所在的源IP地址网段对应的设备(或获取第一上行报文的目的IP地址,在预先设置的目的IP地址网段和设备之间的对应关系中查找获得的目的IP地址所在的目的IP地址网段对应的设备)若查找到的设备为设备3或设备4,向设备3或设备4发送包含计算得到的签名的第一上行报文。
设备3或设备4获取包含计算得到的签名的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系。
设备3或设备4接收到镜像的第二上行报文,获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名,在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
当设备3或设备4在对应关系中查找不到镜像的第二上行报文中的标志信息对应的签名,或判断出查找到的签名和镜像的第二上行报文中的签名不相同时,设备3或设备4确定第二上行报文为特殊报文;
或者,设备3或设备4在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。
当Internet通过中间网络设备向终端1/终端2发送第一下行报文时,中间网络设备在入口处将第一下行报文镜像给设备3或设备4,第一下行报文传输到中间网络设备的出口处变为第二下行报文(第二下行报文可能与第一下行报文相同,也可能不同,当第一下行报文被中间网络设备篡改时,则第二下行报文与第一下行报文不同),中间网络设备在出口处将第二下行报文镜像给设备1/设备2。
设备3或设备4接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,获取第一下行报文的目的IP地址,在预先设置的目的IP地址网段和设备之间的对应关系中查找获得的目的IP地址所在的目的IP地址网段对应的设备,若查找到的设备为设备1/设备2,向设备1/设备2发送包含计算得到的签名的第一下行报文。
设备1/设备2获取包含计算得到的签名的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系。
设备1/设备2接收到镜像的第二下行报文,获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名,在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文。
当设备1/设备2在对应关系中查找不到镜像的第二下行报文中的标志信息对应的签名,或判断出查找到的签名和镜像的第二下行报文中的签名不相同时,设备1/设备2确定第二下行报文为特殊报文;
或者,设备1/设备2在第一预设时间后继续执行在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。
参见图5,本发明提出了一种第一设备,至少包括:
第一接收模块,用于接收到镜像的第一上行报文;接收到来自第二设备的包含计算得到的签名的第二上行报文;接收到镜像的第二下行报文;
第一签名模块,用于计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;计算镜像的第二下行报文的签名;
第一校验模块,用于获取包含计算得到的签名的第二上行报文的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文;
第一发送模块,用于向第二设备发送包含计算得到的签名的第二下行报文。
本发明的第一设备中,第一校验模块还用于:
在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同,确定第二上行报文为特殊报文;或者,在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
本发明的第一设备中,第一发送模块具体用于:
获取第二下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第二设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第二设备;向查找到的第二设备发送包含计算得到的签名的第二下行报文。
本发明的第一设备中,还包括:
第一删除模块,用于判断出第二上行报文为非组播报文,删除查找到的签名和对应的标志信息。
本发明的第一设备中,第一删除模块还用于:
判断出第二上行报文为组播报文,在第二预设时间后删除查找到的签名和对应的标志信息。
参见图6,本发明还提出了一种第二设备,至少包括:
第二接收模块,用于接收到镜像的第一下行报文;接收到来自第一设备的包含计算得到的签名的第二下行报文;接收到镜像的第二上行报文;
第二签名模块,用于计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;计算镜像的第二上行报文的签名;
第二校验模块,用于获取包含计算得到的签名的第二下行报文的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文;
第二发送模块,用于向第一设备发送包含计算得到的签名的第二上行报文。
本发明的第二设备中,第二校验模块还用于:
在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同,确定第二下行报文为特殊报文;或者,在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
本发明的第二设备中,第二发送模块具体用于:
获取第二上行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第一设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备;向查找到的第一设备发送包含计算得到的签名的第二上行报文。
本发明的第二设备中,还包括:
第二删除模块,用于判断出第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
本发明的第二设备中,第二删除模块还用于:
判断出第二下行报文为组播报文,在第二预设时间后删除查找到的签名和对应的标志信息。
参见图7,本发明还提出了一种第三设备,至少包括:
第三接收模块,用于接收到镜像的第一上行报文;接收到来自第四设备的包含计算得到的签名的第一下行报文;接收到镜像的第二下行报文;
第三签名模块,用于计算镜像的第一上行报文的签名;获取包含计算得到的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名;
第三发送模块,用于向第四设备发送包含计算得到的签名的第一上行报文;
第三校验模块,用于在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文。
本发明的第三设备中,第三校验模块还用于:
在对应关系中查找不到第二下行报文中的标志信息对应的签名,或判断出查找到的签名和第二下行报文的签名不相同,确定第二下行报文为特殊报文;或者,在第一预设时间后继续执行在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。
本发明的第三设备中,第三发送模块具体用于:
获取第一上行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第四设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备;向查找到的第四设备发送包含计算得到的签名的第一上行报文。
本发明的第三设备中,还包括:
第三删除模块,用于判断出第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
本发明的第三设备中,第三删除模块还用于:
判断出第二下行报文为组播报文,在第二预设时间后删除查找到的签名和对应的标志信息。
参见图8,本发明还提出了一种第四设备,至少包括:
第四接收模块,用于接收到镜像的第一下行报文;接收到来自第三设备的包含计算得到的签名的第一上行报文;接收到镜像的第二上行报文;
第四签名模块,用于计算镜像的第一下行报文的签名;获取包含计算得到的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名;
第四发送模块,用于向第三设备发送包含计算得到的签名的第一下行报文;
第四校验模块,用于在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
本发明的第四设备中,第四校验模块还用于:
在对应关系中查找不到第二上行报文中的标志信息对应的签名,或判断出查找到的签名和第二上行报文的签名不相同,确定第二上行报文为特殊报文;或者,在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。
本发明的第四设备中,第四发送模块具体用于:
获取第一下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第三设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第三设备;向查找到的第三设备发送包含计算得到的签名的第一下行报文。
本发明的第四设备中,还包括:
第四删除模块,用于判断出第二上行报文为非组播报文,删除查找到的签名和对应的标志信息。
本发明的第四设备中,第四删除模块还用于:
判断出第二上行报文为组播报文,在第二预设时间后删除查找到的签名和对应的标志信息。
参见图9,本发明还提出了一种检测报文的系统,至少包括:
第一设备,用于接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;获取包含计算得到的签名的第二上行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文;接收到镜像的第二下行报文,计算镜像的第二下行报文的签名,向第二设备发送包含计算得到的签名的第二下行报文;
第二设备,用于接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;接收到镜像的第二上行报文,计算镜像的第二上行报文的签名,向第一设备发送包含计算得到的签名的第二上行报文;获取包含计算得到的签名的第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文。
本发明的系统中,第一设备/第二设备还用于:
在对应关系中查找不到获得的标志信息对应的签名,或判断出查找到的签名和获得的签名不相同,确定第二上行报文/第二下行报文为特殊报文;或者,在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。
参见图10,本发明还提出了一种检测报文的系统,至少包括:
第三设备,用于接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,向第四设备发送包含计算得到的签名的第一上行报文;获取包含计算得到的签名的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;接收到镜像的第二下行报文,获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名,在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文;
第四设备,用于接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,向第三设备发送包含计算得到的签名的第一下行报文;获取包含计算得到的签名的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;接收到镜像的第二上行报文,获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名,在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
本发明的系统中,第三设备/第四设备还用于:
在对应关系中查找不到第二上行报文/第二下行报文中的标志信息对应的签名,或判断出查找到的签名和第二上行报文/第二下行报文的签名不相同,确定第二上行报文/第二下行报文为特殊报文;或者,在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
Claims (26)
1.一种检测报文的方法,其特征在于,包括:
第一设备/第二设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系;
第二设备/第一设备接收到镜像的第二上行报文/第二下行报文,计算镜像的第二上行报文/第二下行报文的签名,向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文;
第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文/第二下行报文不是特殊报文。
2.根据权利要求1所述的方法,其特征在于,当所述第一设备/第二设备在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同时,该方法还包括:
所述第一设备/第二设备确定所述第二上行报文/第二下行报文为特殊报文;
或者,所述第一设备/第二设备在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
3.根据权利要求1或2所述的方法,其特征在于,所述计算镜像的第二上行报文/第二下行报文的签名后,在所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文之前还包括:
获取第二上行报文/第二下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第一设备/第二设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备/第二设备;
所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文包括:
向查找到的第一设备/第二设备发送所述包含计算得到的签名的第二上行报文/第二下行报文。
4.根据权利要求1或2所述的方法,其特征在于,该方法还包括:
所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
5.根据权利要求4所述的方法,其特征在于,当所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为组播报文时,该方法还包括:
在第二预设时间后删除查找到的签名和对应的标志信息。
6.一种检测报文的方法,其特征在于,包括:
第三设备/第四设备接收到镜像的第一上行报文/第一下行报文,计算镜像的第一上行报文/第一下行报文的签名,向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文;
第四设备/第三设备获取包含计算得到的签名的第一上行报文/第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;
第四设备/第三设备接收到镜像的第二上行报文/第二下行报文,获取镜像的第二上行报文/第二下行报文中的标志信息,计算镜像的第二上行报文/第二下行报文的签名,在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文/第二下行报文的签名相同,确定第二上行报文/第二下行报文不是特殊报文。
7.根据权利要求6所述的方法,其特征在于,当所述第四设备/第三设备在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同时,该方法还包括:
所述第四设备/第三设备确定所述第二上行报文/第二下行报文为特殊报文;
或者,所述第四设备/第三设备在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
8.根据权利要求6或7所述的方法,其特征在于,所述计算镜像的第一上行报文/第一下行报文的签名后,在所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文之前还包括:
获取第一上行报文/第一下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第四设备/第三设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备/第三设备;
所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文包括:
向查找到的第四设备/第三设备发送所述包含计算得到的签名的第一上行报文/第一下行报文。
9.根据权利要求6或7所述的方法,其特征在于,该方法还包括:
所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为非组播报文,删除查找到的签名和对应的标志信息。
10.根据权利要求9所述的方法,其特征在于,当所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为组播报文时,该方法还包括:
在第二预设时间后删除查找到的签名和对应的标志信息。
11.一种第一设备,其特征在于,至少包括:
第一接收模块,用于接收到镜像的第一上行报文;接收到来自第二设备的包含计算得到的签名的第二上行报文;接收到镜像的第二下行报文;
第一签名模块,用于计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;计算镜像的第二下行报文的签名;
第一校验模块,用于获取包含计算得到的签名的第二上行报文的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文;
第一发送模块,用于向第二设备发送包含计算得到的签名的第二下行报文。
12.根据权利要求11所述的第一设备,其特征在于,所述第一校验模块还用于:
在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同,确定所述第二上行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
13.根据权利要求11或12所述的第一设备,其特征在于,所述第一发送模块具体用于:
获取第二下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第二设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第二设备;向查找到的第二设备发送所述包含计算得到的签名的第二下行报文。
14.一种第二设备,其特征在于,至少包括:
第二接收模块,用于接收到镜像的第一下行报文;接收到来自第一设备的包含计算得到的签名的第二下行报文;接收到镜像的第二上行报文;
第二签名模块,用于计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;计算镜像的第二上行报文的签名;
第二校验模块,用于获取包含计算得到的签名的第二下行报文的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文;
第二发送模块,用于向第一设备发送包含计算得到的签名的第二上行报文。
15.根据权利要求14所述的第二设备,其特征在于,所述第二校验模块还用于:
在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同,确定所述第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
16.根据权利要求14或15所述的第二设备,其特征在于,所述第二发送模块具体用于:
获取第二上行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第一设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备;向查找到的第一设备发送所述包含计算得到的签名的第二上行报文。
17.一种第三设备,其特征在于,至少包括:
第三接收模块,用于接收到镜像的第一上行报文;接收到来自第四设备的包含计算得到的签名的第一下行报文;接收到镜像的第二下行报文;
第三签名模块,用于计算镜像的第一上行报文的签名;获取包含计算得到的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名;
第三发送模块,用于向第四设备发送包含计算得到的签名的第一上行报文;
第三校验模块,用于在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文。
18.根据权利要求17所述的第三设备,其特征在于,所述第三校验模块还用于:
在所述对应关系中查找不到所述第二下行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二下行报文的签名不相同,确定所述第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。
19.根据权利要求17或18所述的第三设备,其特征在于,所述第三发送模块具体用于:
获取第一上行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第四设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备;向查找到的第四设备发送所述包含计算得到的签名的第一上行报文。
20.一种第四设备,其特征在于,至少包括:
第四接收模块,用于接收到镜像的第一下行报文;接收到来自第三设备的包含计算得到的签名的第一上行报文;接收到镜像的第二上行报文;
第四签名模块,用于计算镜像的第一下行报文的签名;获取包含计算得到的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名;
第四发送模块,用于向第三设备发送包含计算得到的签名的第一下行报文;
第四校验模块,用于在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
21.根据权利要求20所述的第四设备,其特征在于,所述第四校验模块还用于:
在所述对应关系中查找不到所述第二上行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二上行报文的签名不相同,确定所述第二上行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。
22.根据权利要求20或21所述的第四设备,其特征在于,所述第四发送模块具体用于:
获取第一下行报文的源互联网协议IP地址或目的IP地址,在预先设置的源IP地址网段或目的IP地址网段和第三设备之间的对应关系中,查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第三设备;向查找到的第三设备发送所述包含计算得到的签名的第一下行报文。
23.一种检测报文的系统,其特征在于,至少包括:
第一设备,用于接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系;获取包含计算得到的签名的第二上行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二上行报文不是特殊报文;接收到镜像的第二下行报文,计算镜像的第二下行报文的签名,向第二设备发送包含计算得到的签名的第二下行报文;
第二设备,用于接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系;接收到镜像的第二上行报文,计算镜像的第二上行报文的签名,向第一设备发送包含计算得到的签名的第二上行报文;获取包含计算得到的签名的第二下行报文中的标志信息和签名,在对应关系中查找获得的标志信息对应的签名,判断出查找到的签名和获得的签名相同,确定第二下行报文不是特殊报文。
24.根据权利要求23所述的系统,其特征在于,所述第一设备/第二设备还用于:
在所述对应关系中查找不到获得的标志信息对应的签名,或判断出所述查找到的签名和所述获得的签名不相同,确定所述第二上行报文/第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
25.一种检测报文的系统,其特征在于,至少包括:
第三设备,用于接收到镜像的第一上行报文,计算镜像的第一上行报文的签名,向第四设备发送包含计算得到的签名的第一上行报文;获取包含计算得到的签名的第一下行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;接收到镜像的第二下行报文,获取镜像的第二下行报文中的标志信息,计算镜像的第二下行报文的签名,在对应关系中查找镜像的第二下行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二下行报文的签名相同,确定第二下行报文不是特殊报文;
第四设备,用于接收到镜像的第一下行报文,计算镜像的第一下行报文的签名,向第三设备发送包含计算得到的签名的第一下行报文;获取包含计算得到的签名的第一上行报文中的标志信息和签名,保存获得的标志信息和签名之间的对应关系;接收到镜像的第二上行报文,获取镜像的第二上行报文中的标志信息,计算镜像的第二上行报文的签名,在对应关系中查找镜像的第二上行报文中的标志信息对应的签名,判断出查找到的签名和镜像的第二上行报文的签名相同,确定第二上行报文不是特殊报文。
26.根据权利要求25所述的系统,其特征在于,所述第三设备/第四设备还用于:
在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名,或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同,确定所述第二上行报文/第二下行报文为特殊报文;或者,在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610012567.XA CN106953835B (zh) | 2016-01-06 | 2016-01-06 | 一种检测报文的方法、装置和系统 |
PCT/CN2017/070444 WO2017118413A1 (zh) | 2016-01-06 | 2017-01-06 | 一种检测报文的方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610012567.XA CN106953835B (zh) | 2016-01-06 | 2016-01-06 | 一种检测报文的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106953835A true CN106953835A (zh) | 2017-07-14 |
CN106953835B CN106953835B (zh) | 2020-05-22 |
Family
ID=59273501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610012567.XA Active CN106953835B (zh) | 2016-01-06 | 2016-01-06 | 一种检测报文的方法、装置和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106953835B (zh) |
WO (1) | WO2017118413A1 (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101304407A (zh) * | 2007-05-09 | 2008-11-12 | 华为技术有限公司 | 一种源地址认证方法、系统及装置 |
CN101404579A (zh) * | 2008-10-31 | 2009-04-08 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
CN101567812A (zh) * | 2009-03-13 | 2009-10-28 | 华为技术有限公司 | 对网络攻击进行检测的方法和装置 |
CN101848085A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 通信系统、验证设备、报文身份的验证及签名方法 |
CN101860435A (zh) * | 2009-04-13 | 2010-10-13 | 中国移动通信集团公司 | 报文发送、接收以及确定网络节点的方法及装置 |
US20140173104A1 (en) * | 2012-12-19 | 2014-06-19 | Huawei Technologies Co., Ltd. | Method and device for spreading deep packet inspection result |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561001A (zh) * | 2013-10-21 | 2014-02-05 | 华为技术有限公司 | 一种安全防护方法及路由设备 |
CN105743649A (zh) * | 2014-12-11 | 2016-07-06 | 中兴通讯股份有限公司 | 一种用户签名、解用户签名的方法、装置和系统 |
CN105743863A (zh) * | 2014-12-12 | 2016-07-06 | 华为技术有限公司 | 一种对报文进行处理的方法及装置 |
CN105763328A (zh) * | 2014-12-16 | 2016-07-13 | 中兴通讯股份有限公司 | 一种分片报文传输方法和网络设备 |
CN105763390A (zh) * | 2014-12-16 | 2016-07-13 | 中兴通讯股份有限公司 | 一种网络异常流量的检测和控制方法、装置和系统 |
CN105471839B (zh) * | 2015-11-11 | 2018-05-08 | 中国人民解放军信息工程大学 | 一种判断路由器数据是否被窜改的方法 |
-
2016
- 2016-01-06 CN CN201610012567.XA patent/CN106953835B/zh active Active
-
2017
- 2017-01-06 WO PCT/CN2017/070444 patent/WO2017118413A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101304407A (zh) * | 2007-05-09 | 2008-11-12 | 华为技术有限公司 | 一种源地址认证方法、系统及装置 |
CN101404579A (zh) * | 2008-10-31 | 2009-04-08 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
CN101567812A (zh) * | 2009-03-13 | 2009-10-28 | 华为技术有限公司 | 对网络攻击进行检测的方法和装置 |
CN101848085A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 通信系统、验证设备、报文身份的验证及签名方法 |
CN101860435A (zh) * | 2009-04-13 | 2010-10-13 | 中国移动通信集团公司 | 报文发送、接收以及确定网络节点的方法及装置 |
US20140173104A1 (en) * | 2012-12-19 | 2014-06-19 | Huawei Technologies Co., Ltd. | Method and device for spreading deep packet inspection result |
Also Published As
Publication number | Publication date |
---|---|
CN106953835B (zh) | 2020-05-22 |
WO2017118413A1 (zh) | 2017-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105554907B (zh) | 一种配置WiFi设备连接WiFi路由器的方法 | |
CN105827304B (zh) | 基于信关站的卫星网络匿名认证方法 | |
CN104038934B (zh) | Lte核心网实时信令监测的非接入层解密方法 | |
EP3258718B1 (en) | Gprs system key enhancement method, sgsn device, ue, hlr/hss and gprs system | |
US20050226421A1 (en) | Method and system for using watermarks in communication systems | |
CN101197648A (zh) | 用于接入网的自环路检测方法和装置 | |
CN103929411B (zh) | 信息显示方法、终端、安全服务器及系统 | |
DE112006001219T5 (de) | Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken | |
CN105471845B (zh) | 防止中间人攻击的通信方法及系统 | |
CN110912921A (zh) | 一种工业控制系统安全数据校验系统及方法 | |
CN108462695A (zh) | 安全传输数据的方法、装置及系统 | |
CN108777650A (zh) | 一种基于受控节点的匿名网络溯源方法 | |
US20240098493A1 (en) | Identifying trusted service set identifiers for wireless networks | |
CN106130733A (zh) | 更新配置的方法、装置和系统 | |
CN109040124A (zh) | 用于交换机的处理报文的方法和装置 | |
CN114173332B (zh) | 适用于5g智能电网巡检机器人的数据加密传输方法及装置 | |
CN103685181A (zh) | 一种基于srtp的密钥协商方法 | |
CN106550362A (zh) | 智能设备安全接入无线局域网络的方法和系统 | |
Lashkari et al. | Wired equivalent privacy (WEP) | |
CN107566325A (zh) | 接入网络的方法及装置 | |
CN106953835A (zh) | 一种检测报文的方法、装置和系统 | |
US11115395B2 (en) | Cross-domain information transfer system and associated methods | |
CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
CN105471839B (zh) | 一种判断路由器数据是否被窜改的方法 | |
CN107395764B (zh) | 在不同数据域内的设备间进行数据交换的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |