CN110035036A - 数据传输方法、装置、网络设备及存储介质 - Google Patents
数据传输方法、装置、网络设备及存储介质 Download PDFInfo
- Publication number
- CN110035036A CN110035036A CN201810029643.7A CN201810029643A CN110035036A CN 110035036 A CN110035036 A CN 110035036A CN 201810029643 A CN201810029643 A CN 201810029643A CN 110035036 A CN110035036 A CN 110035036A
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- sent
- received data
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据传输方法、装置、网络设备及存储介质。其中方法包括:接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;对待发送数据包进行签名;将签名后的数据包发给下一跳网络。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种数据传输方法、装置、网络设备及存储介质。
背景技术
传统通信网络中,每个运营商提供的服务具有一定的地域性,为了满足用户的全球移动通信需求,所以不同的运营商网络通过多种不同的方法逐步连接在一起,使得为用户提供服务的消息信令数据和用户数据可以跨运营商的传输与处理,从而为用户的全球使用提供基础。
早期的通信网络互联,由于通信网络为全封闭网络,所以运营商网络之间的连接也相对封闭,没有考虑较多的安全保护。而随着IP等技术的引入,运营商独立部署的网络仍然具备一定的封闭条件,这样可以有效地保证集中部署的网元间的安全,但运营商网络之间相互联系的网络接口则不再是封闭环境,因此需要对这些集中部署的网元集合与网元集合间的信息传输提供安全保护。
相关技术对于不同网络域之间的安全保护,Internet协议安全性(IPsec)会在两个域的边界网关上进行部署,而网络域内的两个网元间的连接,可以根据实际部署情况可选的施加IPsec连接。这种部署方式,对于运营商网络无法直接相连的情况,将存在安全隐患,而且对于不相邻的运营商网络试图传输数据时,该数据在中间通过的网络是没有受到保护的,信息可能会被篡改。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种数据传输方法、装置、网络设备及存储介质。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种数据传输方法,应用于中间网络的网络设备,包括:
接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;
基于所述接收的数据包及处理后的数据包生成待发送数据包;
对待发送数据包进行签名;
将签名后的数据包发给下一跳网络。
上述方案中,所述基于所述接收的数据包及处理后的数据包生成待发送数据包,包括:
将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包。
上述方案中,所述基于所述接收的数据包及处理后的数据包生成待发送数据包,包括:
将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;
将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
上述方案中,所述基于所述目标网络的信息对所述接收的数据包进行发送相关处理,包括:
对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
本发明实施例还提供了一种数据传输方法,应用于目标网络的网络设备,包括:
接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
上述方案中,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络,包括:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;
验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
上述方案中,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络,包括:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;
利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
本发明实施例又提供了一种数据传输装置,包括:
第一接收单元,用于接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
第一处理单元,用于基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;以及对待发送数据包进行签名;
发送单元,用于将签名后的数据包发给下一跳网络。
本发明实施例还提供了一种数据传输装置,包括:
第二接收单元,用于接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
第二处理单元,用于从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
本发明实施例又提供了一种网络设备,包括:
第一通信接口,用于接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
第一处理器,用于基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;以及对待发送数据包进行签名;
所述第一通信接口,还用于将签名后的数据包发给下一跳网络。
上述方案中,所述第一处理器,具体用于:
将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包;
或者,
将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
上述方案中,所述第一处理器,具体用于:
对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
本发明实施例还提供了一种网络设备,包括:
第二通信接口,用于接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
第二处理器,用于从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
上述方案中,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述第二处理器,具体用于:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系;
或者,
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
本发明实施例还提供了一种网络设备,包括:第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行上述中间网络的网络设备侧任一方法的步骤。
本发明实施例还提供了一种网络设备,包括:第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行上述目标网络的网络设备侧任一方法的步骤。
本发明实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述中间网络的网络设备侧任一方法的步骤,或者实现目标网络的网络设备侧任一方法的步骤。
本发明实施例提供的数据传输方法、装置、网络设备及存储介质,在源网络中,将待发送数据包进行签名,并发送给中间网络;在中间网络中,基于目标网络的信息对接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;对待发送数据包进行签名;并将签名后的数据包发给下一跳网络;在目标网络中,接收数据包,对自身的上一条网络开始,对接收的数据包中的签名依次进行验证,直至验证所述源网络,由于数据包具有网络对应的签名,利用签名可以对对应的网络进行校验,所以能够实现数据包的安全保护。
附图说明
图1为相关技术中两个网络之间的连接关系示意图;
图2为本发明实施例中多个网络之间的连接关系示意图;
图3为本发明实施例一种数据传输方法流程示意图;
图4为本发明实施例另一种数据传输方法流程示意图;
图5为本发明实施例第三种数据传输方法流程示意图;
图6为本发明应用实施例数据传输过程流程示意图;
图7为本发明实施例一种数据传输装置结构示意图;
图8为本发明实施例另一种数据传输装置结构示意图;
图9为本发明实施例一种网络设备结构示意图;
图10为本发明实施例另一种网络设备结构示意图;
图11为本发明实施例数据传输系统结构示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
相关技术中,运营商之间的网络安全采用基于IP的网络域安全保护方法(即NDS/IP(Network Domain Security:IP network layer security)),该方法主要是将通信网络划分成不同的网络安全域,然后在安全域的边界处放置安全网络。当两个网络安全域连接时,需要施加IPsec在两个域的边界网关上。举个例子来说,如图1所示,为了保证网络的安全,需要在边界网关(即SEGA)和边界网关(即SEGB)上放置安全网络。而在网络域内的两个网元间的连接,可以根据实际部署情况可选地施加IPsec连接。
这种安全保护方式,一方面很好地适应了通信网络运营商集中部署的现实场景,另一方面能够灵活地提供网络域与网络域之间的安全保护,从而能够保证两个相邻网络域之间的安全性。
然而,相关技术只考虑了两个不同的网络域之间的安全保护,并且假设网络域内的信息是可信的,不可更改的。这个假设在两个不同的运营商直接相连的时候是成立的,但是当运营商网络连接情况复杂之后,两个运营商无法直接相连的情况下,该机制将存在重大的问题。当多个网络逐一相连的时候,基于相关技术的安全机制,只能逐一在两个相邻的网络域之间建立安全连接。此时,若不相邻的运营商网络试图传输数据时,该数据在中间通过的网络内部是没有受到保护的,信息可能会被篡改。举个例子来说,如图2所示,当三个网络域逐一连接时,即第一网络域与第二网络域连接,第二网络域与第三网络域连接,当第一网络域试图向第三网络域传输数据时,该数据在中间通过的网络内部(即第二网络域)是没有受到保护的,信息可能会被篡改。另外,篡改的数据包到达目标网络后,目标网络也无法确认数据包是在哪里被修改,无法溯源。这种情况出现的原因是因为中间的网络是非信任的网络域,源网络与目标网络之间也没有直接的信任关系。所以相关技术假设所有的网络域均为可信的网络域是不合理的。
此时,可以考虑引入端到端的安全保护。但是端到端的安全无法满足通信网络的安全需求,因为当数据包通过中间网络时,中间网络是需要对数据包的部分内容,如源地址、目标地址等信息进行修改以便于进行路由的。如果进行端到端保护则中间网络无法修改数据包内容,将无法正常转发这些数据包,导致通信中断。
基于此,在本发明的各种实施例中,有多个网络连接在一起,所有网络间的通信均可以直接或者间接的通过其他网络传递而连通,存在部分网络间没有直接连接的情况,一个网络中的边界设备具备对数据包进行签名的能力,为数据包施加完整性保护并提供该网络的签名;相互连接的网络,其边界对数据包的签名是相互可信的。
本发明实施例提供一种数据传输方法,应用于中间网络的网络设备,如图3所示,该方法包括:
步骤301:接收第一网络发送的数据包;
这里,接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包。同时,所述接收的数据包为经过所述第一网络中的边界设备签名的数据包。
所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络。
步骤302:基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;
这里,实际应用时,所述发送相关处理可以包括修改数据包中的源地址、目标地址等,以便进行路由。
当数据包传输到中间网络后,为了进一步保证数据包传输的安全性,中间网络可以对接收的数据包的签名进行校验(也可以理解为验证)。
基于此,在一实施例中,在步骤302中,对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
当然,当校验失败后,则向所述第一网络返回错误消息,且不基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
步骤303:基于所述接收的数据包及处理后的数据包生成待发送数据包;
这里,生成待发送数据包的方式可以有以下两种方式:
第一种方式,将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包;
第二种方式,将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;
将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
其中,实际应用时,可以根据需要选择这两种方式中的一种方式来实现。
在第一种方式中,是将所述接收的数据包及对应的签名、处理后的数据包这些直接进行打包,从而得到所述待发送数据包。
在第二种方式中,所述网络设备需要先将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比如源地址、目标地址等两个数据包之间的不同之处,从而得到比对信息;接着,将所述处理后的数据包、比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
步骤304:对待发送数据包进行签名;
这里,签名的算法可以是RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA、椭圆曲线数字签名算法或有限自动机数字签名算法等。当然,随着技术的发展,还可以是新的数字签名算法。本发明实施例对此不作限定。
步骤305:将签名后的数据包发给下一跳网络。
这里,实际应用时,所述下一跳网络可以根据所述目标网络的信息来确定,其是一个中间网络或是所述目标网络。从上面的描述可以看出,签名用于验证对应的网络。
对应地,本发明实施例还提供了一种数据传输方法,应用于目标网络的网络设备,如图4所示,该方法包括:
步骤401:接收第二网络发送的数据包;
这里,接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;同时,所述接收的数据包为至少经过各网络中的边界设备签名的数据包。
也就是说,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数。更具体地,所述接收的数据包从源网络开始算第一个网络,经过N个网络到达所述目标网络,即N个网络包含源网络和至少一个中间网络。
其中,所述第二网络为所述目标网络的上一跳网络。
步骤402:从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
如上所述,由于生成待发送数据的方式有上述两种方式,所以当采用上述第一种方式生成待发送数据包时,验证的过程包括:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;
验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
当采用上述第二种方式生成待发送数据包时,验证的过程包括:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;
利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
从上面的描述可以看出,如图5所示,一个数据包从源网络开始传输到目标网络的过程(数据传输的方法),包括:
步骤501:源网络中的网络设备将待发送数据包进行签名,并发送给中间网络;
步骤502:中间网络的网络设备基于目标网络的信息对接收的数据包的内容进行发送相关处理;
步骤503:中间网络的网络设备基于所述接收的数据包及处理后的数据包生成待发送数据包;对待发送数据包进行签名;并将签名后的数据包发给下一跳网络;
这里,当数据包需要经过多个中间网络才能到达目标网络时,多个中间网络的网络设备均执行步骤502~503,即每个中间网络的网络设备收到数据包后,均需要执行步骤502~503,以便将数据包传输至目标网络。
步骤504:目标网络接收数据包,对自身的上一条网络开始,对接收的数据包中的签名依次进行验证,直至验证所述源网络。
需要说明的是:中间网络的网络设备和目标网络的网络设备的具体处理过程以在上文详述,这里不再赘述。
另外,所述源网络是指数据包对应的最初网络,可以理解为最初发送数据包的网络;相应地,所述目标网络是指数据包对应的最终网络,可以理解为数据包最终到达的网络。
本发明实施例提供的数据传输方法,在源网络中,将待发送数据包进行签名,并发送给中间网络;在中间网络中,基于目标网络的信息对接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;对待发送数据包进行签名;并将签名后的数据包发给下一跳网络;在目标网络中,接收数据包,对自身的上一条网络开始,对接收的数据包中的签名依次进行验证,直至验证所述源网络,由于数据包具有网络对应的签名,利用签名可以对对应的网络进行校验,所以能够实现数据包的安全保护。
下面结合应用实施例对本发明再作进一步详细的描述。
本应用实施例数据传输的过程,如图6所示,包括以下步骤:
步骤601:源网络中的任一网元发送数据包m,数据包m没有受到保护;
步骤602:当数据包到达源网络的边界时,由边界网元对数据包进行签名sig(m),并发送给中间网络;
此时,数据包为带有签名的数据包[m,sig(m)]。
步骤603:当带有签名的数据包[m,sig(m)]到达直接相连的中间网络后,由中间网络对数据包的签名进行验证;
这里,如果验证不通过,则向上一跳网络返回错误消息;如果验证通过,则继续执行步骤604。
假设数据包为M,签名为sig(M),则直接验证sig(M)与M的对应关系。
步骤604:中间网络收到数据包后,可对数据包的内容进行修改(假设修改后的数据包记为m’),并基于目标网络的信息发往下一个网络(下一个网络可以是中间网络或目标网络);
步骤605:当中间网络的数据包到达中间网络的边界时,边界网元对待发送的信息M进行签名sig(M),并发送;
这里,当数据包的接收网络仍为中间网络,则接收网络将带有签名的发送数据[M,sig(M)]作为[m,sig(m)],执行步骤603~605。
其中,在步骤605中,边界网元(比如边界网关等)需要生成待发送数据包,并进行签名。
这里,生成待发送数据包的方式有以下两种方式:
第一种方式:边界网元将收到的原数据包m,以及对应的签名sig(m),还有修改的数据包m’一并进行打包,即待发送的信息M=m’||(m||sig(m)),并签名sig(M)。
第二种方式:边界网元将收到的原数据m包与修改的数据包m’进行偏差对比(将偏差对比记为-运算,因此偏差记为m-m’),然后将修改的数据包m’,偏差对比,原数据包m对应的签名sig(m)一起打包,即待发送的信息M=m’||(m-m’||sig(m)),并签名sig(M)。
步骤606:目标网络接收到数据包后,从上一网络开始依次验证签名的正确性,直至验证源网络。
这里,验证时,当采用第一种方式生成待发送信息时,目标网络首先验证上一网络的sig(M)与M的对应关系,此时,假设第n个网络接收到的上一网络发来的数据包为Mn-1,修改后的数据包为mn,则目标网络收到的第n个网络的信息为M=mn||Mn-1||sig(Mn-1);
验证通过后,继续回溯验证再上一网络的对应关系,此时,再上一网络的信息为M=Mn-1=mn-1||Mn-2||sig(Mn-2),依次验证直至验证至源网络,即m=sig(m)。
当采用第二种方式生成待发送信息时,目标网络首先验证上一网络的sig(M)与M的对应关系,此时,假设第n个网络接收到的上一网络发来的数据包为mn-1,修改后的数据包为mn,信息M=mn||mn-mn-1||sig(mn-1);
验证通过后,继续回溯验证再上一网络的对应关系,此时,由于未保留上衣网络的数据包即原文,而是只保留了与原文的偏差,所以再上一网络的数据包需要根据现有数据和偏差进行恢复,将恢复动作记为+运算。即M=mn-1=mn+(mn-1-mn)。依次验证直至验证至源网络,即验证至m=sig(m)。
从上面的描述可以看出,本发明实施例提供的方案,是一种新的非信任域间数据传递保护方法,在该方法中,数据包在网络域之间逐跳进行安全保护,如此,能够达到以下效果:
1、可以满足中间网络对数据包的修改需求;
2、无需源网络与目标网络之间存在信任关系;
3、目标网络可以验证数据包的原始信息;
4、如果数据包被恶意篡改,目标网络可以发现改动发生在具体哪个网络。
为实现本发明实施例中间网络的网络设备侧的方法,本发明实施例还提供了一种数据传输装置,设置在中间网络的网络设备,如图7所示,所述装置包括:
第一接收单元71,用于接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
第一处理单元72,用于基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;以及对待发送数据包进行签名;
发送单元73,用于将签名后的数据包发给下一跳网络。
其中,在一实施例中,所述第一处理单元72,具体用于:
将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包;
或者,
将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;
将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
当数据包传输到中间网络后,为了进一步保证数据包传输的安全性,中间网络可以对接收的数据包的签名进行校验(也可以理解为验证)。
基于此,在一实施例中,所述第一处理单元72,具体用于:
对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
当然,当校验失败后,则所述第一处理单元72向所述第一网络返回错误消息,且不基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
实际应用时,所述第一接收单元71及发送单元73可由数据传输装置中的通信接口实现;所述第一处理单元72可由数据传输装置中的处理器实现。
为了实现发明实施例目标网络的网络设备侧的方法,本发明实施例还提供了一种数据传输装置,设置在目标网络的网络设备,如图8所示,所述装置包括:
第二接收单元81,用于接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
第二处理单元82,用于从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;同时,所述接收的数据包为至少经过各网络中的边界设备签名的数据包。
也就是说,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数。更具体地,所述接收的数据包从源网络开始算第一个网络,经过N个网络到达所述目标网络,即N个网络包含源网络和至少一个中间网络。
由于生成待发送数据的方式有上述两种方式,所以当采用上述第一种方式生成待发送数据包时,所述第二处理单元82,具体用于:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;
验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
当采用上述第二种方式生成待发送数据包时,所述第二处理单元82,具体用于:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;
利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
实际应用时,所述第二接收单元81可由数据传输装置中的通信接口实现;所述第二处理单元82可由数据传输装置中的处理器实现。
需要说明的是:上述实施例提供的数据传输装置在进行数据传输时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的数据传输装置与数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述装置的硬件实现,且为了实现本发明实施例中间网络的网络设备侧的方法,本发明实施例还提供了一种网络设备,如图9所示,该网络设备90包括:
第一通信接口91,能够与其它网络设备进行信息交互;
第一处理器92,与所述第一通信接口91连接,以实现与其它网络设备进行信息交互,用于运行计算机程序时,执行上述中间网络的网络设备侧一个或多个技术方案提供的方法。
具体地,第一通信接口91,用于接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
第一处理器92,用于基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;以及对待发送数据包进行签名;
所述第一通信接口91,还用于将签名后的数据包发给下一跳网络。
其中,在一实施例中,所述第一处理器92,具体用于:
将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包;
或者,
将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;
将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
其中,在一实施例中,所述第一处理器92,具体用于:
对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
当然,实际应用时,所述网络设备90还可以包括:第一存储器93。所述网络设备90中的各个组件通过总线系统94耦合在一起。可理解,总线系统94用于实现这些组件之间的连接通信。总线系统94除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统94。
其中,所述第一处理器92的个数为至少一个。
本发明实施例中的第一存储器93用于存储各种类型的数据以支持网络设备90的操作。这些数据的示例包括:用于在网络设备90上操作的任何计算机程序。
上述本发明实施例揭示的方法可以应用于所述第一处理器92中,或者由所述第一处理器92实现。所述第一处理器92可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第一处理器92中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器92可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器92可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第一存储器93,所述第一处理器92读取第一存储器93中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,网络设备90可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
为实现本发明实施例目标网络的网络设备侧的方法,并基于上述装置的硬件实现,本发明实施例还提供了一种网络设备,如图10所示,该网络设备100包括:
第二通信接口101,能够与其它网络设备进行信息交互;
第二处理器102,与所述第二通信接口101连接,以实现与其它网络设备进行信息交互,用于运行计算机程序时,执行上述目标网络的网络设备侧一个或多个技术方案提供的方法。
具体地,所述第二通信接口101,用于接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
所述第二处理器102,用于从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
在一实施例中,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述第二处理器102,具体用于:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系;
或者,
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
当然,实际应用时,该网络设备100还可以包括:第二存储器103。网络设备100中的各个组件通过总线系统104耦合在一起。可理解,总线系统104用于实现这些组件之间的连接通信。总线系统104除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统104。
第二处理器102的个数为至少一个。
本发明实施例中的第二存储器102用于存储各种类型的数据以支持网络设备70的操作。这些数据的示例包括:用于在网络设备100上操作的任何计算机程序。
上述本发明实施例揭示的方法可以应用于所述第二处理器102中,或者由所述第二处理器102实现。所述第二处理器102可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第二处理器102中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器102可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器72可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第二存储器103,所述第二处理器102读取第二存储器103中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,网络设备100可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
可以理解,本发明实施例的存储器(第一存储器93和第二存储器103)可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,ProgrammableRead-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically ErasableProgrammable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic randomaccess memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,StaticRandom Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static RandomAccess Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic RandomAccess Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced SynchronousDynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLinkDynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct RambusRandom Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本发明实施例还提供了一种数据传输系统,如图11所示,该系统包括:
网络设备111,位于源网络中,用于将待发送数据包进行签名,并发送给中间网络;
网络设备112,位于中间网络中,用于接收数据包,基于目标网络的信息对接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;对待发送数据包进行签名;并将签名后的数据包发给下一跳网络;
网络设备113,位于目标网络中,用于接收数据包,对自身的上一条网络开始,对接收的数据包中的签名依次进行验证,直至验证所述源网络。
需要说明的是:网络设备112、网络设备113的具体处理过程已在上文详述,这里不再赘述。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器93,上述计算机程序可由网络设备90的第一处理器92执行,以完成前述方法所述步骤。再比如包括存储计算机程序的第二存储器103,上述计算机程序可由网络设备100的第二处理器102执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (17)
1.一种数据传输方法,其特征在于,所述方法包括:
接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;
基于所述接收的数据包及处理后的数据包生成待发送数据包;
对待发送数据包进行签名;
将签名后的数据包发给下一跳网络。
2.根据权利要求1所述的方法,其特征在于,所述基于所述接收的数据包及处理后的数据包生成待发送数据包,包括:
将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包。
3.根据权利要求1所述的方法,其特征在于,所述基于所述接收的数据包及处理后的数据包生成待发送数据包,包括:
将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;
将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
4.根据权利要求1所述的方法,其特征在于,所述基于所述目标网络的信息对所述接收的数据包进行发送相关处理,包括:
对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
5.一种数据传输方法,其特征在于,所述方法包括:
接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
6.根据权利要求5所述的方法,其特征在于,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络,包括:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;
验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
7.根据权利要求5所述的方法,其特征在于,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络,包括:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;
从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;
利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
8.一种数据传输装置,其特征在于,所述装置包括:
第一接收单元,用于接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
第一处理单元,用于基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;以及对待发送数据包进行签名;
发送单元,用于将签名后的数据包发给下一跳网络。
9.一种数据传输装置,其特征在于,所述装置包括:
第二接收单元,用于接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
第二处理单元,用于从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
10.一种网络设备,其特征在于,所述设备包括:
第一通信接口,用于接收第一网络发送的数据包;接收的数据包为由源网络发送,且能够经过至少一个中间网络到达目标网络的数据包;所述第一网络为所述接收的数据包对应的源网络或所述至少一个中间网络中的一个中间网络;所述接收的数据包为经过所述第一网络中的边界设备签名的数据包;
第一处理器,用于基于所述目标网络的信息对所述接收的数据包的内容进行发送相关处理;基于所述接收的数据包及处理后的数据包生成待发送数据包;以及对待发送数据包进行签名;
所述第一通信接口,还用于将签名后的数据包发给下一跳网络。
11.根据权利要求10所述的网络设备,其特征在于,所述第一处理器,具体用于:
将所述接收的数据包及对应的签名、处理后的数据包进行打包,得到所述待发送数据包;
或者,
将所述接收的数据包与所述处理后的数据包进行偏差比对,得到比对信息;将所述处理后的数据包、所述比对信息及上述接收的数据包对应的签名进行打包,得到所述待发送数据包。
12.根据权利要求10所述的网络设备,其特征在于,所述第一处理器,具体用于:
对所述接收的数据包的签名进行验证;
验证成功后基于所述目标网络的信息,对所述接收的数据包进行发送相关处理。
13.一种网络设备,其特征在于,所述网络设备包括:
第二通信接口,用于接收第二网络发送的数据包;接收的数据包为由源网络发送,且经过至少一个中间网络到达目标网络的数据包;所述第二网络为所述目标网络的上一跳网络;所述接收的数据包为至少经过各网络中的边界设备签名的数据包;
第二处理器,用于从所述第二网络开始,对所述接收的数据包中的签名依次进行验证,直至验证所述源网络。
14.根据权利要求13所述的网络设备,其特征在于,所述接收的数据包传输的路径经过N个网络;N为大于或等于2的整数;所述第二处理器,具体用于:
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;从所述接收的数据包中获取第N-1个网络发送的数据包及对应的签名;验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系;
或者,
验证所述接收的数据包与对应签名的对应关系;所述第二网络为所述路径的第N个网络;从所述接收的数据包中获取比对信息及第N-1个网络对应的签名;所述比对信息表征第N-1个网络发送的数据包与第N个网络基于所述目标网络对第N-1个网络发送的数据包的内容进行发送相关处理后的数据包的偏差比对信息;利用所述比对信息得到的N-1个网络发送的数据包;并验证第N-1个网络发送的数据包及对应签名的对应关系;以此类推,直至验证所述源网络发送的数据包及对应签名的对应关系。
15.一种网络设备,其特征在于,所述网络设备包括:第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行权利要求1至4任一项所述方法的步骤。
16.一种网络设备,其特征在于,所述网络设备包括:第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行权利要求5至7任一项所述方法的步骤。
17.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法的步骤,或者实现权利要求5至7任一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810029643.7A CN110035036B (zh) | 2018-01-12 | 2018-01-12 | 数据传输方法、装置、网络设备及存储介质 |
| PCT/CN2018/125840 WO2019137268A1 (zh) | 2018-01-12 | 2018-12-29 | 数据传输方法、装置、网络设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810029643.7A CN110035036B (zh) | 2018-01-12 | 2018-01-12 | 数据传输方法、装置、网络设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110035036A true CN110035036A (zh) | 2019-07-19 |
| CN110035036B CN110035036B (zh) | 2021-01-15 |
Family
ID=67218449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810029643.7A Active CN110035036B (zh) | 2018-01-12 | 2018-01-12 | 数据传输方法、装置、网络设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110035036B (zh) |
| WO (1) | WO2019137268A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112865975A (zh) * | 2019-11-12 | 2021-05-28 | 中国电信股份有限公司 | 消息安全交互方法和系统、信令安全网关装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257465B (zh) * | 2020-09-11 | 2023-09-05 | 中国移动通信有限公司研究院 | 设备交互方法、装置、系统、超级节点及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610150A (zh) * | 2009-07-22 | 2009-12-23 | 中兴通讯股份有限公司 | 第三方数字签名方法和数据传输系统 |
| CN101867933A (zh) * | 2010-05-28 | 2010-10-20 | 东南大学 | 一种基于公钥数字签名和路由恶意检测的安全路由方法 |
| US20130286831A1 (en) * | 2012-04-26 | 2013-10-31 | Jeffrey V. Zwall | Bgp intercepts |
| CN103929357A (zh) * | 2013-01-11 | 2014-07-16 | 浙江大华技术股份有限公司 | 一种数据传输方法及网络设备 |
| WO2016149355A1 (en) * | 2015-03-16 | 2016-09-22 | Convida Wireless, Llc | End-to-end authentication at the service layer using public keying mechanisms |
| CN106453430A (zh) * | 2016-12-16 | 2017-02-22 | 北京瑞卓喜投科技发展有限公司 | 验证加密数据传输路径的方法及装置 |
| CN106911513A (zh) * | 2016-12-14 | 2017-06-30 | 中国电子科技集团公司第三十研究所 | 一种基于去中心化网络的可信设备管理方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9363481B2 (en) * | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
| CN100364306C (zh) * | 2006-09-19 | 2008-01-23 | 清华大学 | 基于签名的自治系统间IPv6真实源地址验证方法 |
| CN105791244B (zh) * | 2014-12-26 | 2019-02-12 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
-
2018
- 2018-01-12 CN CN201810029643.7A patent/CN110035036B/zh active Active
- 2018-12-29 WO PCT/CN2018/125840 patent/WO2019137268A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610150A (zh) * | 2009-07-22 | 2009-12-23 | 中兴通讯股份有限公司 | 第三方数字签名方法和数据传输系统 |
| CN101867933A (zh) * | 2010-05-28 | 2010-10-20 | 东南大学 | 一种基于公钥数字签名和路由恶意检测的安全路由方法 |
| US20130286831A1 (en) * | 2012-04-26 | 2013-10-31 | Jeffrey V. Zwall | Bgp intercepts |
| CN103929357A (zh) * | 2013-01-11 | 2014-07-16 | 浙江大华技术股份有限公司 | 一种数据传输方法及网络设备 |
| WO2016149355A1 (en) * | 2015-03-16 | 2016-09-22 | Convida Wireless, Llc | End-to-end authentication at the service layer using public keying mechanisms |
| CN106911513A (zh) * | 2016-12-14 | 2017-06-30 | 中国电子科技集团公司第三十研究所 | 一种基于去中心化网络的可信设备管理方法 |
| CN106453430A (zh) * | 2016-12-16 | 2017-02-22 | 北京瑞卓喜投科技发展有限公司 | 验证加密数据传输路径的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| M. LEPINSKI, ED.,ET AL.: "BGPsec Protocol Specification-RFC8205", 《IETF》 * |
| S. BELLOVIN,ET AL.: "Security Requirements for BGP Path Validation-RFC7353", 《IETF》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112865975A (zh) * | 2019-11-12 | 2021-05-28 | 中国电信股份有限公司 | 消息安全交互方法和系统、信令安全网关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019137268A1 (zh) | 2019-07-18 |
| CN110035036B (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2022500742A (ja) | ブロック処理方法、ブロックチェーンノード、ブロック処理システム及びコンピュータプログラム | |
| CN110266655A (zh) | 一种基于区块链的跨链互联方法、设备以及系统 | |
| CN109242456A (zh) | 区块链跨链交易方法、系统及存储介质 | |
| Wilhelm et al. | Introducing trusted third parties to the mobile agent paradigm | |
| EP3197121A1 (en) | Information security realizing method and system based on digital certificate | |
| CN103944715B (zh) | 一种基于协商密钥的数据处理方法 | |
| CN107534643A (zh) | 在ip vpn与传输层vpn之间转换移动业务 | |
| CN108550038A (zh) | 一种应用于区块链的数据传播系统及方法 | |
| CN104836776A (zh) | 数据交互方法和装置 | |
| CN114362993B (zh) | 一种区块链辅助的车联网安全认证方法 | |
| CN104601550A (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
| CN109741068A (zh) | 网银跨行签约方法、装置及系统 | |
| CN109309684A (zh) | 一种业务访问方法、装置、终端、服务器及存储介质 | |
| CN110035036A (zh) | 数据传输方法、装置、网络设备及存储介质 | |
| CN114867014A (zh) | 一种车联网访问控制方法、系统、介质、设备及终端 | |
| KR101795450B1 (ko) | 보안 터널 기반 인증 방법 및 장치 | |
| CN109962913A (zh) | 基于安全套接层协议的代理服务器及代理方法 | |
| CN103067411B (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
| CN107800723A (zh) | Cc攻击防护方法及设备 | |
| CN106612267A (zh) | 一种验证方法及验证装置 | |
| US10116646B2 (en) | Software-defined network threat control | |
| CN107306251A (zh) | 一种信息认证方法及网关设备 | |
| CN1848722B (zh) | 建立可信虚拟专用网连接的方法和系统 | |
| CN107896221B (zh) | 一种账户绑定方法及装置 | |
| CN107819888A (zh) | 一种分配中继地址的方法、装置以及网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |