CN109309685B - 信息传输方法和装置 - Google Patents
信息传输方法和装置 Download PDFInfo
- Publication number
- CN109309685B CN109309685B CN201811285257.0A CN201811285257A CN109309685B CN 109309685 B CN109309685 B CN 109309685B CN 201811285257 A CN201811285257 A CN 201811285257A CN 109309685 B CN109309685 B CN 109309685B
- Authority
- CN
- China
- Prior art keywords
- information
- verification
- client
- handshake message
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了信息传输方法和装置。该方法的一具体实施方式包括:代理设备接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作。由代理设备接收客户端设备待发送至服务端设备的信息,在客户端设备与服务端设备QUIC协议通信的各个阶段均进行相应的与DDoS攻击相关联的验证,检测出非法的QUIC握手消息、非法的加密包等非法的QUIC报文,确保仅将合法的QUIC报文发送至服务器端设备进行处理,非法的QUIC报文不会发送给服务器端设备,从而,对DDoS攻击进行防御。
Description
技术领域
本申请涉及计算机领域,具体涉及网络安全领域,尤其涉及信息传输方法和装置。
背景技术
QUIC(Quick UDP Internet Connection)为一种基于UDP的低时延的互联网传输层协议。QUIC协议及实现本身未充分考虑DDoS防护,在提供服务的服务端设备与客户端设备通过QUIC协议通信时,服务端设备面临严重的安全风险。
发明内容
本申请实施例提供了信息传输方法和装置。
第一方面,本申请实施例提供了信息传输方法,该方法包括:代理设备接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作。
第二方面,本申请实施例提供了信息传输装置,该装置包括:接收单元,被配置为接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;处理单元,被配置为对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作。
本申请实施例提供的信息传输方法和装置,通过代理设备接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作。由代理设备接收客户端设备待发送至服务端设备的信息,在客户端设备与服务端设备QUIC协议通信的各个阶段均进行相应的与DDoS攻击相关联的验证,检测出非法的QUIC握手消息、非法的加密包等非法的QUIC报文,确保仅将合法的QUIC报文发送至服务器端设备进行处理,非法的QUIC报文不会发送给服务器端设备,从而,对DDoS攻击进行防御。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出了适于用来实现本申请的实施例的示例性系统架构;
图2示出了根据本申请的信息传输方法的一个实施例的流程图;
图3示出了客户端设备与服务端设备建立连接的一个流程示意图;
图4示出了根据本申请的信息传输装置的一个实施例的结构示意图;
图5是适于用来实现本申请实施例的客户端设备、代理设备、服务端设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
请参考图1,其示出了适于用来实现本申请的实施例的示例性系统架构。
如图1所示,系统架构包括客户端设备、代理设备、服务端设备。代理设备可以为网关、负载均衡设备等。客户端设备可以为终端,服务端设备可以为提供与语音相关的服务的服务器。客户端设备与服务端设备通过QUIC(Quick UDP Internet Connection)协议通信。代理设备具有对DDoS攻击的防御能力。客户端设备发送的信息首先发送至代理设备,由代理设备对DDoS攻击进行检测,检测出非法的QUIC握手消息、非法的加密包等非法的QUIC报文,确保仅将合法的QUIC报文发送至服务器端设备进行处理,非法的QUIC报文不会发送给服务器端设备。
请参考图2,其示出了根据本申请的信息传输方法的一个实施例的流程。该方法包括以下步骤:
步骤201,代理设备接收客户端设备发送的信息。
在本实施例中,代理设备可以称之为PROXY设备。客户端设备发送的信息为QUIC协议中定义的信息,QUIC协议中定义的信息包括:建立连接时所需的消息、建立连接之后客户端设备与服务端设备传输的加密包。
客户端设备与服务端设备首次建立连接时,客户端设备发送初步客户端握手消息(inchoate client hello,简称CHLO消息或C_i_hello消息),等待接收接受消息(rejection,简称S_reject消息)的阶段可以称之为C_i_hello阶段。客户端设备发送客户端握手消息(full client hello,简称C_hello消息),等待接收加密的服务端握手消息(server hello,简称SHLO或S_hello消息)的阶段可以称之为C_hello阶段。当客户端设备与服务端设备首次建立连接时,客户端设备与服务端设备建立连接的过程可以称之为1-RTT过程。1-RTT过程包含C_i_hello阶段、C_hello阶段。在当客户端设备与服务端设备非首次建立连接时,客户端设备与服务端设备建立连接的过程可以称之为0-RTT过程,0-RTT过程直接从C_hello阶段开始。客户端设备与服务端设备建立连接之后客户端设备与服务端设备传输的加密包的阶段可以称之为会话阶段。
在本实施例中,当处于客户端设备与服务端设备建立连接过程中的C_i_hello阶段时,可以由PROXY设备接收客户端设备发送的C_i_hello消息。当处于客户端设备与服务端设备建立连接过程中的C_hello阶段时,可以由PROXY设备接收客户端设备发送的C_hello消息。当处于客户端设备与服务端设备的会话阶段时,可以由PROXY设备接收客户端设备发送的加密包。
步骤202,对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与验证结果相关联的操作。
在本实施例中,PROXY设备可以对接收到的客户端设备发送的C_i_hello消息中的验证关联信息执行C_i_hello消息中的验证关联信息对应的验证操作,当得到的C_i_hello消息中的验证关联信息对应的验证结果指示通过验证时,PROXY设备执行的与该验证结果相关联的操作包含向客户端设备发送S_reject消息。当得到的C_i_hello消息中的验证关联信息对应的验证结果指示不通过验证时,PROXY设备执行的与该验证结果相关联的操作包含丢弃C_i_hello消息,不向客户端设备发送S_reject消息。
PROXY设备可以对接收到的客户端设备发送的C_hello消息中的验证关联信息执行C_hello消息中的验证关联信息对应的验证操作,当得到的C_hello消息中的验证关联信息对应的验证结果指示通过验证时,PROXY设备执行的与该验证结果相关联的操作包含将C_hello消息发送至服务端设备。当得到的C_hello消息中的验证关联信息对应的验证结果指示不通过验证时,PROXY设备执行的与该验证结果相关联的操作包含丢弃C_hello消息,不将C_hello消息发送至服务端设备。
PROXY设备可以对接收到的客户端设备发送的加密包中的验证关联信息执行加密包中的验证关联信息对应的验证操作,当得到的加密包中的验证关联信息对应的验证结果指示通过验证时,PROXY设备执行的与该验证结果相关联的操作包含将加密包发送至服务端设备。当得到的加密包中的验证关联信息对应的验证结果指示不通过验证时,PROXY设备执行的与该验证结果相关联的操作包含丢弃加密包,不将加密包发送至服务端设备。
请参考图3,其示出了客户端设备与服务端设备建立连接的一个流程示意图。
在本实施例中,当处于客户端设备与服务端设备建立连接过程中的C_i_hello阶段时,PROXY设备接收到的客户端设备发送的信息为C_i_hello消息,C_i_hello消息中包含连接标识,连接标识可以称之为CID(Connection ID,简称CID)。C_i_hello消息中的验证关联信息可以为C_i_hello消息中CID。C_i_hello消息中CID对应的验证操作可以包含验证C_i_hello消息中的CID是否为合法的CID。
在本实施例的一些可选的实现方式中,当处于客户端设备与服务端设备建立连接过程中的C_i_hello阶段时,PROXY设备接收到的客户端设备发送的信息为C_i_hello消息,C_i_hello消息中的CID可以包含连接标识特征信息,CID中的连接标识特征信息可称之为cid-cookie。可以首先采用QUIC协议定义的方式随机生成一个原始的CID,原始的CID可以为一个预设位数的随机数,然后,可以生成cid-cookie。可以对用于描述客户端的特征的客户端特征信息进行哈希计算生成一个cid-cookie。cid-cookie包含多个位,每一个位上具有一个数。可以选取原始的CID中的与cid-cookie包含的数的数量相同的数量的位,利用cid-cookie中的每一个数分别替换选取出的位上的数,得到C_i_hello消息中的CID。C_i_hello消息中的验证关联信息可以为C_i_hello消息中的cid-cookie。C_i_hello消息中的cid-cookie对应的验证操作可以包含验证C_i_hello消息中的cid-cookie是否为合法的cid-cookie,通过C_i_hello消息中的cid-cookie对应的验证操作区分正确C_i_hello包和非法攻击包及标准QUIC协议包。验证C_i_hello消息中的cid-cookie是否为合法的cid-cookie可以为验证C_i_hello消息中的cid-cookie是否满足预设规则。例如,预设规则与生成cid-cookie的方式和生成cid-cookie所基于的参数相关,预设规则可以定义cid-cookie中的预设位为预设值、cid-cookie的取值范围等。当验证结果为C_i_hello消息中的cid-cookie满足预设规则时,C_i_hello消息中的验证关联信息即cid-cookie对应的验证结果指示通过验证。
在本实施例中,当处于当客户端设备与服务端设备建立连接过程中的C_i_hello阶段,PROXY设备验证C_i_hello消息中的验证关联信息后得到的验证关联信息对应的验证结果指示通过验证时,PROXY设备可以执行与该验证结果相关联的操作,该验证结果相关联的操作包括:可以向客户端设备发送S_reject消息。
当C_i_hello消息中的验证关联信息为C_i_hello消息中的CID时,S_reject消息可以包含CID、STK(源地址令牌,Source-AddressToken,简称STK)、服务端配置信息。当C_i_hello消息中的验证关联信息为C_i_hello消息中的cid-cookie,PROXY设备向客户端设备发送的S_reject消息包括:具有cid-cookie的CID、具有源地址令牌特征信息的STK、服务端配置信息。源地址令牌特征信息可以称之为stk-cookie。服务端配置信息可以称之为scfg。客户端设备在接收到S_reject消息之后,客户端设备可以验证S_reject消息中scfg是否正确和scfg的有效期,如果验证通过,客户端设备可以生成客户端的私钥和客户端的公钥。
在本实施例中,当处于客户端设备与服务端设备建立连接过程中的C_hello阶段时,PROXY设备接收到的客户端设备发送的信息为C_hello消息,C_hello消息包含CID、STK。C_hello消息中的验证关联信息可以包含CID、STK。C_hello消息中的验证关联信息即C_hello消息中的CID、STK对应的验证操作包含:验证CID是否正确以及验证STK是否正确。验证CID是否正确可以为验证C_hello消息中的CID是否为在在C_i_hello阶段被验证为合法的并且在S_reject中被发送至客户端设备的CID,当C_hello消息中的CID为在C_i_hello阶段被验证为合法的并且在S_reject中被发送至客户端设备的CID,可以确定C_hello消息中的CID正确。验证STK是否正确可以为验证STK是否为在C_i_hello阶段被验证为合法的并且在S_reject中被发送至返回至客户端设备的STK。当C_hello消息中的STK为在C_i_hello阶段被验证为合法的并且在S_reject中被发送至返回至客户端设备的STK,可以确定C_hello消息中的STK正确。当确定CID正确以及STK正确时,得到的C_hello消息中的验证关联信息对应的验证结果指示验证通过。
在本实施例的一些可选的实现方式中,当处于客户端设备与服务端设备建立连接过程中的C_hello阶段时,PROXY设备接收到的客户端设备发送的信息为C_hello消息,C_hello消息包含CID、STK。CID中包含cid-cookie,STK中包含stk-cookie。可以基于客户端的IP和时间戳,首先按照采用QUIC协议定义的方式生成原始的stk。然后,可以生成stk-cookie,例如,可以对IP进行哈希计算得到stk-cookie。stk-cookie包含多个位,每一个位上具有一个数。可以选取原始的stk中的与stk-cookie包含的数的数量相同的数量的位,利用stk-cookie中的每一个数分别替换选取出的位上的数,得到具有stk-cookie的stk。C_hello消息中的验证关联信息可以包含CID中的cid-cookie、STK中的stk-cookie。C_hello消息中的验证关联信息即C_hello消息中的cid-cookie、stk-cookie对应的验证操作包含以下一项或多项:验证cid-cookie是否正确、验证stk-cookie是否正确、验证C_hello消息的来源IP是否为合法的IP、当C_hello消息为重复发送的C_hello消息即当前的C_hello消息在此之前接收到的至少一个C_hello消息相同的C_hello消息时,验证C_hello消息是否为合法重传的C_hello消息。验证cid-cookie是否正确可以为验证C_hello消息中的CID中的cid-cookie是否为在在C_i_hello阶段被验证为合法的并且在S_reject中的CID中被发送至客户端设备的cid-cookie,当C_hello消息中的CID中的cid-cookie为在C_i_hello阶段被验证为合法的并且在S_reject中的CID中被发送至客户端设备的cid-cookie,可以确定C_hello消息中的CID中的cid-cookie正确。验证STK中的stk-cookie是否正确可以为验证stk-cookie是否为在C_i_hello阶段被验证为合法的并且在S_reject中的STK中被发送至返回至客户端设备的stk-cookie。当C_hello消息中的STK中的stk-cookie为在C_i_hello阶段被验证为合法的并且在S_reject中的STK中被发送至返回至客户端设备的stk-cookie时,可以确定C_hello消息中的STK中的stk-cookie正确。stk-cookie可以基于对IP进行哈希计算得到,可以预先分别将每一个stk-cookie与生成stk-cookie所基于的IP对应存储,每一个stk-cookie仅对应一个IP。当验证C_hello消息的来源IP是否为伪造的IP时,可以进行自校验,根据C_hello消息中的STK中的stk-cookie,计算出该stk-cookie应对应的IP,将该stk-cookie应对应的IP与C_hello消息携带的来源IP进行比较,当一致时,可以确定验证C_hello消息的来源IP为合法的IP。可以预先规定C_hello消息正确重传的最多次数,并且包号为递增。当C_hello消息为重复发送的C_hello消息时,PROXY设备可以通过接收到的C_hello消息的包号、CID,判断C_hello消息是否为合法重传的C_hello消息。
当验证关联信息对应的验证操作中的所有项得到的结果均为相应的参数正确或合法时,验证关联信息对应的验证结果指示通过验证,当验证关联信息对应的验证操作中的所有项得到的结果中任意一个结果为相应的参数不正确或不合法时,验证关联信息对应的验证结果指示不通过验证。
当处于C_hello阶段时,对于攻击者通过伪造相同IP不同CID的伪造出多个C_hello消息的情况,即攻击者利用客户端设备向PROXY设备发送通过伪造相同IP不同CID的伪造的多个C_hello消息的情况,PROXY设备通过先验证cid-cookie是否正确,再验证stk-cookie是否正确,可以发现伪造的多个C_hello消息。例如,攻击者通过伪造多个相同IP不同CID伪造出多个C_hello消息,攻击者伪造的多个C_hello消息的STK也相同。假设伪造的多个相同IP不同CID的C_hello消息中利用了基于相同的IP生成的正确的STK进行伪造,伪造的多个C_hello消息中的STK中的stk-cookie也是正确的。但由于攻击者无法知晓生成cid-cookie的方式,也无法伪造出合法的cid-cookie,通过先验证cid-cookie正确性,可以检测出伪造的多个C_hello消息包中的CID中的cid-cookie均不是合法的cid-cookie,从而,检测出多个伪造的相同IP不同CID的C_hello消息。
当处于C_hello阶段时,对于攻击者通过伪造不同IP并且相同CID的多个伪造的C_hello消息的情况,即攻击者利用客户端设备向PROXY设备发送通过伪造不同IP并且相同CID的多个伪造的C_hello消息的情况,可以由PROXY设备通过stk-cookie验证C_hello消息的来源IP是否为合法的IP。攻击者可以伪造C_hello消息的来源IP,但伪造不了伪造的C_hello消息的来源IP应该对应的stk-cookie。PROXY设备在接收到在收到一个通过伪造来源IP伪造的C_hello消息时,伪造的C_hello消息会携带伪造的C_hello消息的来源IP,C_hello消息中的STK中的stk-cookie并不是这个伪造的IP应该对应的stk-cookie,相应的,利用C_hello消息中的STK中的stk-cookie确定出的该stk-cookie应该对应的IP也必然不是伪造的C_hello消息会携带的伪造的IP,从而,检测出通过伪造不同IP并且相同CID的多个伪造的C_hello消息。
在本实施例中,当处于客户端设备与服务端设备建立连接过程中的C_hello阶段,PROXY设备验证C_hello消息中的验证关联信息后得到的验证关联信息对应的验证结果指示通过验证时,PROXY设备可以执行与该验证结果相关联的操作,该验证结果相关联的操作包括:PROXY设备可以将C_hello消息发送至服务端设备。
服务端设备在接收到由PROXY设备转发的C_hello消息之后,可以验证C_hello消息中的STK、scfg是否正确,如果验证通过,服务端设备可以利用客户端的公钥和服务端的私钥,通过DH算法生成服务端的初始密钥。在由服务端设备生成服务端的初始密钥后,可以由服务端设备生成服务端的新的私钥、服务端的新的公钥。服务端设备可以生成服务端握手消息(server hello,简称SHLO或S_hello消息)。服务端设备利用服务端的初始密钥,通过AEAD算法对S_hello消息进行加密,可以将加密后得到的数据称之为加密的S_hello消息,服务端设备将加密的S_hello消息发送给PROXY设备。PROXY设备将加密的S_hello消息发送至客户端。服务端设备利用客户端的公钥和服务端的新的私钥,通过DH算法生成服务端的会话密钥。PROXY设备将接收到的S_hello消息发送至客户端设备。客户端设备接收到加密的S_hello消息,客户端设备可以利用客户端的初始密钥进行解密,得到服务端新的公钥,客户端设备可以利用服务端新的公钥和客户端的私钥,根据DH算法生成客户端的会话密钥。在会话阶段,客户端设备或服务端利用客户端设备的会话密钥或服务端的会话密钥对待传输的数据进行加密,得到加密包,在加密包发送至的一端利用相应的会话密钥进行解密。
当C_hello消息中的验证关联信息包含CID、STK时,C_hello消息中的验证关联信息对应的验证结果指示通过验证时,S_hello消息包含:CID、服务端的新的公钥、STK。当C_hello消息中的验证关联信息包含CID中的cid-cookie、STK中的stk-cookie,C_hello消息中的验证关联信息对应的验证结果指示通过验证时,S_hello消息包含:具有cid-cookie的CID、服务端的新的公钥、具有stk-cookie的STK。
在本实施例的一些可选的实现方式中,在客户端设备与服务端设备首次连接过程即1-RTT连接过程中,与验证相关联的信息中的stk-cookie可以为由PROXY设备生成的第一源地址令牌特征信息,第一源地址令牌特征信息可以称之为stk-cookie1。在后续的非首次连接过程即0-RTT连接过程中,与验证相关联的信息中的stk-cookie为由服务端设备生成的第二源地址令牌特征信息,第二源地址令牌特征信息可以称之为stk-cookie0。可以在首次建立连接过程中,在服务端设备可以在将加密的S_hello消息发送至PROXY设备时,将stk-cookie0发送至PROXY设备,由PROXY设备发送至客户端设备。从而,在后续的连接过程中,客户端设备向PROXY设备发送的C_hello消息中的stk-cookie为stk-cookie0,利用stk-cookie0进行相关的验证。
在本实施例的一些可选的实现方式中,当处于客户端设备与服务端设备的会话阶段时,可以由PROXY设备接收客户端设备发送的加密包。验证关联信息包括:加密包中具有cid-cookie的CID、加密包的包号、载荷中的载荷特征信息,数据载荷可以称之为payload,载荷中的载荷特征信息可以称之payload-cookie。payload-cookie可以用于验证payload是否被篡改。验证关联信息对应的验证操作包括:验证CID中的cid-cookie是否正确、基于payload-cookie验证payload是否被篡改验证加密包是否为重放的加密包。当验证出CID中的cid-cookie正确并且基于payload-cookie验证出payload未被篡改以及验证出加密包不是重放的加密包时,验证关联信息对应的验证结果可以指示通过验证,验证关联信息对应的验证结果相关联的操作包括:将加密包发送至服务端设备。当验证关联信息对应的验证操作中的所有项得到的结果中任意一个结果为不正确或payload被篡改或为重放的加密包即重复发送的加密包时,验证关联信息对应的验证结果指示不通过验证,验证关联信息对应的验证结果相关联的操作包括:丢弃加密包,不将加密包发送至服务端设备。
请参考图4,作为对上述各图所示方法的实现,本申请提供了一种信息传输装置的一个实施例,该装置实施例与图2所示的方法实施例相对应。
如图4所示,本实施例的信息传输装置包括:接收单元401,处理单元402。其中,接收单元401被配置为接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;处理单元402被配置为对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作。
在本实施例的一些可选的实现方式中,客户端设备发送的信息为初步客户端握手消息,初步客户端握手消息包括:连接标识,验证关联信息包括:连接标识中的连接标识特征信息,验证关联信息对应的验证操作包括:验证连接标识特征信息是否为合法的连接标识特征信息,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:向客户端发送的接受消息,接受消息包括:所述连接标识、源地址令牌,源地址令牌包括:源地址令牌特征信息。
在本实施例的一些可选的实现方式中,客户端发送的信息为客户端握手消息,客户端握手消息包括:连接标识、源地址令牌、客户端的公钥、服务端配置信息,验证关联信息包括:连接标识中的连接标识特征信息、源地址令牌中的源地址令牌特征信息,验证关联信息对应的验证操作包括以下一项或多项:验证连接标识特征信息是否正确、验证源地址令牌特征信息是否正确、验证客户端握手消息的来源IP是否为合法的IP、当客户端握手消息为重复发送的客户端握手消息时验证客户端握手消息是否为合法的重传的客户端握手消息,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:将客户端握手消息发送至服务端设备。
在本实施例的一些可选的实现方式中,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作还包括:接收服务端设备返回的加密的服务端握手消息,将加密的服务端握手消息发送至客户端设备。
在本实施例的一些可选的实现方式中,当客户端设备与服务端设备首次建立连接时,验证关联信息中的源地址令牌特征信息为由代理设备生成的第一源地址令牌特征信息,当客户端设备与服务端设备不是首次建立连接时,验证关联信息中的源地址令牌特征信息为由服务端设备生成的第二源地址令牌特征信息。
在本实施例的一些可选的实现方式中,客户端设备发送的信息为加密包,加密包包括:连接标识、加密包的包号、载荷,验证关联信息包括:连接标识中的连接标识特征信息、加密包的包号、载荷中的用于验证载荷是否被篡改的载荷特征信息,验证关联信息对应的验证操作包括:验证连接标识特征信息是否正确、基于载荷特征信息验证载荷是否被篡改、验证加密包是否为重放的加密包,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:将加密包发送至服务端设备。
图5示出了适于用来实现本申请实施例的客户端设备、代理设备、服务端设备的计算机系统的结构示意图。
如图5所示,计算机系统包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM503中,还存储有计算机装置操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:输入部分506;输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,本申请的实施例中描述的过程可以被实现为计算机程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包括用于执行流程图所示的方法的指令。该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的方法中限定的上述功能。
本申请还提供了一种电子设备,该电子设备可以配置有一个或多个处理器;存储器,用于存储一个或多个程序,一个或多个程序中可以包含用以执行上述实施例中描述的操作的指令。当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行上述实施例中描述的操作的指令。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被消息执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由消息执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行消息。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机消息的组合来实现。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术实施例,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术实施例。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术实施例。
Claims (14)
1.一种信息传输方法,包括:
代理设备接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;
对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作;
还包括:客户端设备发送的信息为初步客户端握手消息时,所述初步客户端握手消息包括:连接标识;
响应于确定所述信息为初步客户端握手消息时,所述验证关联信息还包括:所述连接标识中的连接标识特征信息;其中,所述连接特征标识根据描述客户端的特征的客户端特征信息进行哈希计算得到。
2.根据权利要求1所述的方法,验证关联信息对应的验证操作包括:验证连接标识特征信息是否为合法的连接标识特征信息,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:向客户端发送的接受消息,接受消息包括:所述连接标识、源地址令牌,源地址令牌包括:源地址令牌特征信息。
3.根据权利要求1所述的方法,客户端发送的信息为客户端握手消息,客户端握手消息包括:连接标识、源地址令牌、客户端的公钥、服务端配置信息,验证关联信息包括:连接标识中的连接标识特征信息、源地址令牌中的源地址令牌特征信息,验证关联信息对应的验证操作包括以下一项或多项:验证连接标识特征信息是否正确、验证源地址令牌特征信息是否正确、验证客户端握手消息的来源IP是否为合法的IP、当客户端握手消息为重复发送的客户端握手消息时验证客户端握手消息是否为合法的重传的客户端握手消息,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:将客户端握手消息发送至服务端设备。
4.根据权利要求3所述的方法,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作还包括:接收服务端设备返回的加密的服务端握手消息,将加密的服务端握手消息发送至客户端设备。
5.根据权利要求4所述的方法,当客户端设备与服务端设备首次建立连接时,验证关联信息中的源地址令牌特征信息为由代理设备生成的第一源地址令牌特征信息,当客户端设备与服务端设备不是首次建立连接时,验证关联信息中的源地址令牌特征信息为由服务端设备生成的第二源地址令牌特征信息。
6.根据权利要求1所述的方法,客户端设备发送的信息为加密包,加密包包括:连接标识、加密包的包号、载荷,验证关联信息包括:连接标识中的连接标识特征信息、加密包的包号、载荷中的用于验证载荷是否被篡改的载荷特征信息,验证关联信息对应的验证操作包括:验证连接标识特征信息是否正确、基于载荷特征信息验证载荷是否被篡改、验证加密包是否为重放的加密包,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:将加密包发送至服务端设备。
7.一种信息传输装置,包括:
接收单元,被配置为接收客户端设备发送的信息,客户端设备发送的信息为QUIC协议中定义的信息;
处理单元,被配置为对客户端发送的信息中的验证关联信息执行验证关联信息对应的验证操作,得到验证关联信息对应的验证结果,以及执行与所述验证结果相关联的操作;
还包括:客户端设备发送的信息为初步客户端握手消息时,所述初步客户端握手消息包括:连接标识;
响应于确定所述信息为初步客户端握手消息时,所述验证关联信息还包括:所述连接标识中的连接标识特征信息;其中,所述连接特征标识根据描述客户端的特征的客户端特征信息进行哈希计算得到。
8.根据权利要求7所述的装置,验证关联信息对应的验证操作包括:验证连接标识特征信息是否为合法的连接标识特征信息,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:向客户端发送的接受消息,接受消息包括:所述连接标识、源地址令牌,源地址令牌包括:源地址令牌特征信息。
9.根据权利要求7所述的装置,客户端发送的信息为客户端握手消息,客户端握手消息包括:连接标识、源地址令牌、客户端的公钥、服务端配置信息,验证关联信息包括:连接标识中的连接标识特征信息、源地址令牌中的源地址令牌特征信息,验证关联信息对应的验证操作包括以下一项或多项:验证连接标识特征信息是否正确、验证源地址令牌特征信息是否正确、验证客户端握手消息的来源IP是否为合法的IP、当客户端握手消息为重复发送的客户端握手消息时验证客户端握手消息是否为合法的重传的客户端握手消息,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:将客户端握手消息发送至服务端设备。
10.根据权利要求9所述的装置,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作还包括:接收服务端设备返回的加密的服务端握手消息,将加密的服务端握手消息发送至客户端设备。
11.根据权利要求10所述的装置,当客户端设备与服务端设备首次建立连接时,验证关联信息中的源地址令牌特征信息为由代理设备生成的第一源地址令牌特征信息,当客户端设备与服务端设备不是首次建立连接时,验证关联信息中的源地址令牌特征信息为由服务端设备生成的第二源地址令牌特征信息。
12.根据权利要求7所述的装置,客户端设备发送的信息为加密包,加密包包括:连接标识、加密包的包号、载荷,验证关联信息包括:连接标识中的连接标识特征信息、加密包的包号、载荷中的用于验证载荷是否被篡改的载荷特征信息,验证关联信息对应的验证操作包括:验证连接标识特征信息是否正确、基于载荷特征信息验证载荷是否被篡改、验证加密包是否为重放的加密包,当验证关联信息对应的验证结果指示通过验证时,与所述验证结果相关联的操作包括:将加密包发送至服务端设备。
13.一种电子设备,一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811285257.0A CN109309685B (zh) | 2018-10-31 | 2018-10-31 | 信息传输方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811285257.0A CN109309685B (zh) | 2018-10-31 | 2018-10-31 | 信息传输方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109309685A CN109309685A (zh) | 2019-02-05 |
CN109309685B true CN109309685B (zh) | 2021-10-29 |
Family
ID=65222556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811285257.0A Active CN109309685B (zh) | 2018-10-31 | 2018-10-31 | 信息传输方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109309685B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756674B (zh) * | 2019-03-28 | 2021-07-27 | 上海哔哩哔哩科技有限公司 | 网络通信方法、系统、设备及计算机可读存储介质 |
CN110177128B (zh) * | 2019-04-15 | 2022-02-01 | 达闼机器人有限公司 | 数据传输系统及其建立vpn连接的方法、终端、vpn代理 |
CN110177082B (zh) * | 2019-04-25 | 2022-03-01 | 创新先进技术有限公司 | 一种数据处理方法、设备、介质以及装置 |
US11570100B2 (en) | 2019-04-25 | 2023-01-31 | Advanced New Technologies Co., Ltd. | Data processing method, apparatus, medium and device |
CN110149388B (zh) * | 2019-05-16 | 2023-02-24 | 北京字节跳动网络技术有限公司 | Httpdns服务器的连接方法、装置及设备 |
CN110430551B (zh) * | 2019-08-09 | 2020-09-08 | 西藏宁算科技集团有限公司 | 一种基于quic技术的汽车数据传输方法及系统 |
CN112738004B (zh) * | 2019-10-14 | 2021-11-16 | 上海哔哩哔哩科技有限公司 | 基于quic传输协议的通信方法和系统 |
CN111064792A (zh) * | 2019-12-19 | 2020-04-24 | 北京航天云路有限公司 | 一种基于quic协议加快传感器设备数据采集的方法 |
CN115987536A (zh) * | 2021-10-15 | 2023-04-18 | 华为技术有限公司 | 报文源地址识别方法及装置 |
CN114257434B (zh) * | 2021-12-14 | 2023-10-13 | 北京知道创宇信息技术股份有限公司 | 一种DDoS攻击防御方法、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771695A (zh) * | 2010-01-07 | 2010-07-07 | 福建星网锐捷网络有限公司 | Tcp连接的处理方法、系统及syn代理设备 |
CN103986690A (zh) * | 2014-04-03 | 2014-08-13 | 北京京东尚科信息技术有限公司 | 一种处理客户端请求的方法和装置 |
CN105491001A (zh) * | 2015-05-14 | 2016-04-13 | 瑞数信息技术(上海)有限公司 | 一种安全通讯方法和装置 |
CN105827537A (zh) * | 2016-06-01 | 2016-08-03 | 四川大学 | 一种基于quic协议的拥塞改进方法 |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN107528812A (zh) * | 2016-06-21 | 2017-12-29 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10193915B2 (en) * | 2016-09-30 | 2019-01-29 | Oath Inc. | Computerized system and method for automatically determining malicious IP clusters using network activity data |
-
2018
- 2018-10-31 CN CN201811285257.0A patent/CN109309685B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771695A (zh) * | 2010-01-07 | 2010-07-07 | 福建星网锐捷网络有限公司 | Tcp连接的处理方法、系统及syn代理设备 |
CN103986690A (zh) * | 2014-04-03 | 2014-08-13 | 北京京东尚科信息技术有限公司 | 一种处理客户端请求的方法和装置 |
CN105491001A (zh) * | 2015-05-14 | 2016-04-13 | 瑞数信息技术(上海)有限公司 | 一种安全通讯方法和装置 |
CN105827537A (zh) * | 2016-06-01 | 2016-08-03 | 四川大学 | 一种基于quic协议的拥塞改进方法 |
CN107528812A (zh) * | 2016-06-21 | 2017-12-29 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
Non-Patent Citations (1)
Title |
---|
How Secure and Quick is QUIC?;Robert Lychev et al;《2015 IEEE Symposium on Security and Privacy》;20150521;第5-9节 * |
Also Published As
Publication number | Publication date |
---|---|
CN109309685A (zh) | 2019-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109309685B (zh) | 信息传输方法和装置 | |
CN107248994B (zh) | 一种信息发送方法、处理方法及装置 | |
CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
CN109413060B (zh) | 报文处理方法、装置、设备及存储介质 | |
CN107800675B (zh) | 一种数据传输方法、终端以及服务器 | |
CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
CN108243176B (zh) | 数据传输方法和装置 | |
CN107547559B (zh) | 一种报文处理方法及装置 | |
CN108809940B (zh) | 电网系统服务器与客户端交互加密方法 | |
CN111131300B (zh) | 通信方法、终端及服务器 | |
CN107864129B (zh) | 一种保证网络数据安全的方法和装置 | |
CN112968910B (zh) | 一种防重放攻击方法和装置 | |
CN113204772B (zh) | 数据处理方法、装置、系统、终端、服务器和存储介质 | |
US20190068762A1 (en) | Packet Parsing Method and Device | |
CN113515766A (zh) | 文件传输方法及装置 | |
CN112699374A (zh) | 一种完整性校验漏洞安全防护的方法及系统 | |
CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
CN112839062B (zh) | 夹杂鉴权信号的端口隐藏方法和装置、设备 | |
Tanygin et al. | Establishing trusted channel for data exchange between source and receiver by modified one-time password method | |
CN114172645A (zh) | 通信旁路审计方法、装置、电子设备及存储介质 | |
CN107770183B (zh) | 一种数据传输方法与装置 | |
CN112437046B (zh) | 防止重放攻击的通信方法、系统、电子设备及存储介质 | |
CN107040508B (zh) | 用于适配终端设备的授权信息的设备和方法 | |
CN114830572A (zh) | 一种数据传输方法、装置、设备、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |