CN113810353A - 一种校验应用信息的方法、报文处理方法及装置 - Google Patents
一种校验应用信息的方法、报文处理方法及装置 Download PDFInfo
- Publication number
- CN113810353A CN113810353A CN202010670997.7A CN202010670997A CN113810353A CN 113810353 A CN113810353 A CN 113810353A CN 202010670997 A CN202010670997 A CN 202010670997A CN 113810353 A CN113810353 A CN 113810353A
- Authority
- CN
- China
- Prior art keywords
- verification
- information
- message
- application information
- carried
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种校验应用信息的方法,该方法可以由第一通信装置执行。第一通信装置在接收到包括应用信息的第一报文之后,可以对第一报文中的应用信息的完整性进行验证。在本申请实施例中,第一报文中包括应用信息和第一验证信息,该第一验证信息用于对应用信息的完整性进行验证。因此,第一通信装置接收到第一报文之后,可以基于该第一验证信息对应用信息的完整性进行验证。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
Description
本申请要求于2020年06月12日提交中国专利局、申请号为202010538369.3、发明名称为“一种针对报文所携带的应用信息进行安全验证的方法,装置和系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信领域,尤其涉及一种校验应用信息的方法、报文处理方法及装置。
背景技术
在一些网络中,例如在感知应用的互联网协议第六版(Application-awareInternet Protocol Version 6Networking,APN6)网络中,可以在业务报文中携带应用信息,使得业务报文进入网络之后,网络中的网络设备能够根据应用信息确定应用需求,从而为应用分配对应的网络资源。
目前,应用信息的不当使用会导致网络资源的不当使用。
发明内容
本申请实施例提供了一种校验应用信息的方法、报文处理方法及装置,可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
第一方面,本申请实施例提供了一种校验应用信息的方法,该方法可以由第一通信装置执行。第一通信装置在接收到包括应用信息的第一报文之后,可以对第一报文中的应用信息的完整性进行验证。在本申请实施例中,第一报文中包括应用信息和第一验证信息,该第一验证信息用于对应用信息的完整性进行验证。因此,第一通信装置接收到第一报文之后,可以基于该第一验证信息对应用信息的完整性进行验证。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,第一通信装置基于所述第一验证信息对所述应用信息的完整性进行验证在具体实现时,第一通信装置可以根据所述第一报文中的目标字段,获取第二验证信息,其中,所述目标字段包括所述应用信息。获得第二验证信息之后,第一通信装置对第二验证信息和第一验证信息进行匹配校验。其中,对所述第二验证信息和所述第一验证信息进行匹配校验,例如可以是比较第一验证信息和第二验证信息,若二者相同,则匹配校验通过,若二者不相同,则匹配校验不通过。采用这种方式,可以实现对应用信息的完整性验证。
在一种实现方式中,第一通信装置基于所述第一验证信息对所述应用信息的完整性进行验证在具体实现时,第一通信装置例如可以基于第一校验方法和所述第一验证信息对所述应用信息的完整性进行验证。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,当第一校验方法为HMAC校验时,第一报文中包括的第一验证信息可以是第一HMAC校验信息。该第一HMAC校验信息可以是对第一报文中的目标字段进行HMAC计算得到的。对于在这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以对所述第一报文中的目标字段进行HMAC计算,获得第二HMAC校验信息;而后对所述第一HMAC校验信息和所述第二HMAC校验信息进行匹配验证,实现对应用信息的完整性验证。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,当所述第一校验方法为数字签名认证时,所述第一验证信息为采用第一私钥和第一哈希计算对所述第一报文中的目标字段进行签名所得到的数字签名。对于这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以通过第一公钥对所述数字签名进行解密,得到第一明文;并对所述目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;而后,第一通信装置对所述第一明文和所述第二明文,进行匹配验证。
在一种实现方式中,所述第一报文中还包括数字证书,所述数字证书中包括所述第一公钥。在本申请实施例中,数字证书可以是第一报文的发送设备的数字证书,该数字证书可以认为是第一报文的发送设备的身份证明。当第一公钥携带在数字证书中时,可以保证第一公钥的合法性。
在一种实现方式中,所述数字证书中还包括对所述数字签名进行解密的解密算法,和/或,所述哈希算法。当对所述数字签名进行解密的解密算法携带在数字签名中时,可以保证该解密算法的合法性;当所述哈希算法携带在数字签名中时,可以保证该哈希算法的合法性。
在一种实现方式中,所述方法还包括:对所述数字证书的合法性进行验证。可以理解的是,对数字证书和合法性进行验证,可以验证第一报文的发送设备的合法性。相应的,若数字证书中还携带其它信息,例如,携带前述第一公钥,又如,携带对所述数字签名进行解密的解密算法,和/或,所述哈希算法,也可以验证数字证书中携带的其它信息的合法性。
在一种实现方式中,所述第一报文中包括数字证书,所述应用信息和所述第一验证信息携带在所述数字证书中。
在一种实现方式中,当应用信息和第一验证信息携带在数字证书中时,第一通信装置基于所述第一验证信息对所述应用信息的完整性进行验证,在具体实现时,第一通信装置可以对所述数字证书的合法性进行验证。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。其中,基于IPSEC的完整性验证,包括基于AH的完整性验证和基于ESP的完整性验证,在本申请实施例中,基于AH的完整性验证也可以被称为AH校验,基于AH的完整性验证也可以被称为ESP校验。
在一种实现方式中,当第一校验方法为AH校验时,所述第一验证信息为第一AH验证信息,其中,第一AH验证信息可以是利用AH校验算法对第一报文中的目标字段进行计算得到的。对于这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以利用AH校验算法对所述第一报文中的目标字段进行计算,得到第二AH验证信息;并对所述第一AH验证信息和所述第二AH验证信息进行匹配验证。
在一种实现方式中,当第一校验方法为ESP校验时,所述第一验证信息为第一ESP验证信息,其中,第一ESP验证信息可以是利用ESP校验算法对第一报文中的目标字段进行计算得到的。对于这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以利用ESP校验算法对所述第一报文中的目标字段进行计算,得到第二ESP校验信息;并对所述第一ESP验证信息和所述第二ESP验证信息进行匹配验证。
在一种实现方式中,所述第一通信装置为网络设备。网络设备对应用信息进行完整性校验,可以确定应用信息是否被盗用,从而保证应用信息对应的网络资源不被盗用。
在一种实现方式中,所述第一通信装置包括:接入ACC设备,或者,用户驻地CPE设备,或者,家庭网关RG,或者,数据中心服务器接入leaf设备,或者,数据中心出口网关DCGW,或者,自治系统边界路由器ASBR,或者,基站,或者,用户面功能UPF设备,或者,宽带网络网关BNG,或者,运营商边缘PE设备。
在一种实现方式中,第一通信装置对应用信息的完整性进行验证之后,若应用信息通过验证,则表示第一报文中的应用信息是合法的,故而第一通信装置可以转发该第一报文。作为一个示例,第一通信装置可以根据应用信息确定对应的网络资源,并利用所确定的网络资源转发第一报文。
在一种实现方式中,第一通信装置对应用信息的完整性进行验证之后,若应用信息未通过验证,则表示第一报文中的应用信息是不合法的,故而第一通信装置可以丢弃该第一报文。从而防止应用信息对应的网络资源被盗用。
第二方面,本申请实施例提供了一种报文处理的方法,该方法可以由第二通信装置执行。第二通信装置可以生成第一报文,该第一报文中除了包括应用信息之外,还包括对应用信息进行完整性验证的第一验证信息。第二通信装置生成第一报文之后,即可将该第一报文发送给第一通信装置,以便于第一通信装置基于第一验证信息对应用信息进行完整性验证。如此一来,第一通信装置接收到第一报文之后,可以基于该第一验证信息对应用信息的完整性进行验证。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,所述第一验证信息是根据所述第一报文中的目标字段获得的,所述目标字段包括所述应用信息。作为一个示例,第二通信装置可以获取目标字段,而后根据该目标字段获得第一验证信息,进一步地,第二通信装置将第一验证信息封装至第一报文中,从而得到包括应用信息和第一验证信息的第一报文。
在一种实现方式中,所述第一验证信息,是利用第一校验方法对所述第一报文中的目标字段进行计算得到的,所述目标字段包括所述应用信息。作为一个示例,第二通信装置可以获取目标字段,而后利用第一校验方法对第一报文中的目标字段进行计算,从而得到第一验证信息,进一步地,第二通信装置将第一验证信息封装至第一报文中,从而得到包括应用信息和第一验证信息的第一报文。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥对所述目标字段进行签名所得到的数字签名。
在一种实现方式中,所述所述第一验证信息为数字证书中的加密摘要,所述数字证书中还包括所述应用信息。
在一种实现方式中,当第一验证方法为HMAC、或者第一验证方法为数字签名验证,或者,第一验证信息为数字证书中的加密摘要时,所述第一验证信息,是控制管理设备发送给所述第二通信装置的。作为一种示例,第二通信装置可以将应用信息发送给控制管理设备,由控制管理设备对应用信息进行计算,从而得到第一验证信息,进一步地,控制管理设备将计算得到的第一验证信息发送给第二通信装置。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
在一种实现方式中,所述第一验证信息为第一认证头AH验证信息。对于这种情况,第一AH认证信息可以是第二通信装置利用AH校验算法对第一报文中的目标字段进行计算得到的。
在一种实现方式中,所述第一验证信息为第一封装安全负载ESP验证信息。对于这种情况,第一ESP认证信息可以是第二通信装置利用ESP校验算法对第一报文中的目标字段进行计算得到的。
在一种实现方式中,所述第二通信装置为服务器或者用户设备。
在一种实现方式中,所述用户设备包括:物联网IoT设备或终端设备。
在以上第一方面和第二方面中:
所述应用信息和所述第一验证信息,可以携带在第一报文的报文头中。
在一种实现方式中,所述第一报文为互联网协议第6版IPv6报文。
在一种实现方式中,当第一报文为IPv6报文时,所述应用信息携带在IPv6扩展头中。
在一种实现方式中,当第一报文为IPv6报文时,所述应用信息携带在目的地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述应用信息携带在源地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述第一验证信息携带在IPv6扩展头中。
在一种实现方式中,当第一报文为IPv6报文时,所述第一验证信息携带在目的地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述第一验证信息携带在源地址中。
在一种实现方式中,所述第一报文为多协议标签交换MPLS报文。
在一种实现方式中,当第一报文为MPLS报文时,所述应用信息携带在标签值字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述应用信息携带在扩展类型长度值TLV字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述第一验证信息携带在标签值字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述第一验证信息携带在扩展TLV字段中。
在一种实现方式中,当第一报文为SRv6报文时,所述第一报文为互联网协议第6版段路由SRv6报文。
在一种实现方式中,当第一报文为SRv6报文时,所述应用信息携带在分段路由头SRH中。
在一种实现方式中,当第一报文为SRv6报文时,所述第一验证信息携带在SRH中。
在一种实现方式中,所述第一报文为互联网协议第4版IPv4报文。
在一种实现方式中,当第一报文为IPv4报文时,所述应用信息携带在选项option字段中。
在一种实现方式中,当第一报文为IPv4报文时,所述第一验证信息携带在option字段中。
在一种实现方式中,所述第一报文为通用路由封装GRE报文。
在一种实现方式中,当第一报文为GRE报文时,所述应用信息携带在关键字key字段中。
在一种实现方式中,当第一报文为GRE报文时,所述第一验证信息携带在key字段中。
在一种实现方式中,所述第一报文为虚拟扩展局域网VXLAN报文。
在一种实现方式中,当第一报文为VXLAN报文时,所述应用信息携带在虚拟网络标识符字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述应用信息携带在预留字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述第一验证信息携带在虚拟网络标识符字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述第一验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
在一种实现方式中,当第一报文为NVGRE报文时,所述应用信息携带在流标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述应用信息携带在虚拟网络标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述应用信息携带在预留字段中。
在一种实现方式中,当第一报文为NVGRE报文时,其特征在于,所述第一验证信息携带在流标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述第一验证信息携带在虚拟网络标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述第一验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为通用网络虚拟化封装Geneve报文。
在一种实现方式中,当第一报文为Geneve报文时,所述应用信息携带在预留字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述应用信息携带在可变长度选项字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述第一验证信息携带在预留字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述第一验证信息携带在可变长度选项字段中。
第三方面,本申请实施例提供了一种校验应用信息的方法,该方法可以由第一通信装置执行。第一通信装置可以获取第一报文,第一报文中包括数字证书,该数字证书中包括应用信息和用于对应用信息进行完整性验证的第一验证信息。由于数字证书中包括应用信息和第一验证信息。若该数字证书合法,则说明通过第一验证信息合法,相应的说明应用信息通过完整性验证,因此,第一通信装置接收到第一报文之后,可以对该数字证书进行合法性验证,从而达到对应用信息进行完整性验证的目的。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,所述第一报文中还包括第二验证信息,所述第二验证信息用于对所述应用信息进行完整性验证,所述方法还包括:利用所述第二验证信息对所述应用信息进行完整性验证。由此可见,第一报文中包括多个用于对应用信息进行完整性验证的验证信息,从而可以实现对应用信息的多重验证,更好地避免应用信息对应的网络资源被盗用。
在一种实现方式中,所述第一验证信息为所述数字证书中的加密摘要。
在一种实现方式中,第一通信装置利用所述第二验证信息对所述应用信息进行完整性验证的具体实现方式,与以上第一方面所述的第一通信装置利用第一验证信息对应用信息进行完整性验证的方法类似。作为一种示例:第一通信装置可以根据所述第一报文中的目标字段,获取第三验证信息,所述目标字段包括所述应用信息;并对所述第三验证信息和所述第二验证信息进行匹配校验。
在一种实现方式中,利用所述第二验证信息对所述应用信息进行完整性验证,包括:基于数字签名算法和所述第二验证信息对所述应用信息的完整性进行验证。
在一种实现方式中,所述第二验证信息为采用第一私钥和第一哈希计算对所述第一报文中的目标字段进行签名所得到的数字签名,所述基于数字签名算法和所述第二验证信息对所述应用信息的完整性进行验证,包括:通过第一公钥对所述数字签名进行解密,得到第一明文;对所述目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;对所述第一明文和所述第二明文,进行匹配验证。
在一种实现方式中,所述第一公钥携带在所述数字证书中。采用这种方式,可以利用数字证书实现对应用信息的双重验证。其中一种是对数字证书进行验证,以验证数字证书中包括的应用信息的完整性,另一种是利用数字证书中携带的公钥,利用数字签名算法验证应用信息的完整性。
在一种实现方式中,对所述数字签名进行解密的解密算法携带在所述数字证书中,和/或,所述哈希算法带在所述数字证书中。
第四方面,本申请实施例提供了一种报文处理方法,由第二通信装置执行,所述方法包括:第二通信装置获取第一报文,第一报文中包括数字证书,该数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证。第二通信装置获得第一报文之后,将所述第一报文发送给第一通信装置。由于数字证书中包括应用信息和第一验证信息。若该数字证书合法,则说明通过第一验证信息合法,相应的说明应用信息通过完整性验证,因此,第一通信装置接收到第一报文之后,可以对该数字证书进行合法性验证,从而达到对应用信息进行完整性验证的目的。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,所述第一验证信息为所述数字证书中的加密摘要。
在一种实现方式中,所述第一报文中还包括第二验证信息,所述第二验证信息用于对所述应用信息进行完整性验证。
在一种实现方式中,所述第二验证信息是根据所述第一报文中的目标字段获得的,所述目标字段包括所述应用信息。
在一种实现方式中,所述第二验证信息,是利用第一校验方法对所述第一报文中的目标字段进行计算得到的,所述目标字段包括所述应用信息。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第二验证信息为采用第一私钥对所述目标字段进行签名所得到的数字签名。
在一种实现方式中,所述第一私钥对应的第一公钥携带在所述数字证书中,所述第一公钥用于对所述第二验证信息进行验证。
在一种实现方式中,对所述数字签名进行解密的解密算法携带在所述数字证书中,和/或,对所述第二验证信息进行验证的哈希算法带在所述数字证书中。
在以上第三方面和第四方面中:
在一种实现方式中,所述数字证书携带在第一报文的报文头中。
在一种实现方式中,所述第一报文为互联网协议第6版IPv6报文。
在一种实现方式中,当第一报文为IPv6报文时,所述数字证书携带在IPv6扩展头中。
在一种实现方式中,当第一报文为IPv6报文时,所述数字证书携带在目的地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述数字证书携带在源地址中。
在一种实现方式中,所述第一报文为多协议标签交换MPLS报文。
在一种实现方式中,当第一报文为MPLS报文时,所述数字证书携带在标签值字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述数字证书携带在扩展类型长度值TLV字段中。
在一种实现方式中,所述第一报文为互联网协议第6版段路由SRv6报文。
在一种实现方式中,当第一报文为SRv6报文时,所述数字证书携带在分段路由头SRH中。
在一种实现方式中,所述第一报文为互联网协议第4版IPv4报文。
在一种实现方式中,当第一报文为IPv4报文时,所述数字证书携带在选项option字段中。
在一种实现方式中,所述第一报文为通用路由封装GRE报文。
在一种实现方式中,当第一报文为GRE报文时,所述数字证书携带在关键字key字段中。
在一种实现方式中,所述第一报文为虚拟扩展局域网VXLAN报文。
在一种实现方式中,当第一报文为VXLAN报文时,所述数字证书携带在虚拟网络标识符字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述数字证书携带在预留字段中。
在一种实现方式中,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
在一种实现方式中,当第一报文为NVGRE报文时,所述数字证书携带在流标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述数字证书携带在虚拟网络标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述数字证书携带在预留字段中。
在一种实现方式中,所述第一报文为通用网络虚拟化封装Geneve报文。
在一种实现方式中,当第一报文为Geneve报文时,所述数字证书携带在预留字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述数字证书携带在可变长度选项字段中。
第五方面,本申请实施例提供了一种应用信息的处理方法,该方法可以由控制管理设备执行,控制管理设备可以获取应用信息,并根据该应用信息获得第一验证信息,第一验证信息用于对应用信息的完整性进行验证。控制管理设备获得第一验证信息之后,可以将第一验证信息发送给第二通信装置。第二通信装置接收到第一验证信息之后,可以根据该第一验证信息执行相应的操作,例如生成包括应用信息和第一验证信息的第一报文,并将该第一报文发送给第一通信装置,以便于第一通信装置对应用信息进行完整性验证。由此可见,利用本申请实施例的方案,可以由控制管理设备获得对应用信息进行完整性验证的第一验证信息,并将第一验证信息发送给转发携带该应用信息的报文的网络设备,以便于转发携带该应用信息的报文的网络设备对应用信息进行完整性验证。由此可见,利用本申请实施例的方案,转发携带该应用信息的报文的网络设备可以基于第一验证信息对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,所述根据所述应用信息获得第一验证信息,包括:基于第一校验方法对所述应用信息进行计算,得到所述第一验证信息。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,当第一校验方法为HAMC校验时,所述第一验证信息包括第一HMAC校验信息。第一HMAC校验信息可以是控制管理设备利用HMAC算法对应用信息进行计算得到的。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,当第一校验方法为数字签名验证,所述第一验证信息为采用第一私钥和第一哈希计算对所述应用信息进行签名所得到的数字签名。
在一种实现方式中,所述根据所述应用信息获得第一验证信息,包括:根据所述应用信息获得数字证书,所述数字证书包括所述第一验证信息。在一种实现方式中,第一验证信息为数字证书中的加密摘要。
在一种实现方式中,当第一验证信息携带在数字证书中时,控制管理设备将所述第一验证信息发送给第二通信装置,在具体实现时,例如可以为:将所述数字证书发送给所述第二通信装置。
在一种实现方式中,所述方法还包括:根据所述应用信息获得第二验证信息,所述第二验证信息用于对所述应用信息的完整性进行验证;将所述第二验证信息发送给第二通信装置。采用这种方式,控制管理设备可以生成多个用于对应用信息进行完整性验证的验证信息,从而实现对应用信息的多重验证,更加有效的避免应用信息对应的网络资源被盗用。
在一种实现方式中,所述根据所述应用信息获得第二验证信息,包括:基于第二校验方法对所述应用信息进行计算,得到所述第二验证信息。
在一种实现方式中,所述第二校验方法为HMAC校验。
在一种实现方式中,所述第二验证信息包括第二HMAC校验信息。
在一种实现方式中,所述第二校验方法为数字签名验证。
在一种实现方式中,所述第二验证信息为采用第二私钥和第二哈希计算对所述应用信息进行签名所得到的数字签名。
在一种实现方式中,所述第一校验方法和所述第二校验方法为不同的校验方法。例如,第一校验方法为HMAC校验,第二校验方法为数字签名验证;又如,第一校验方法为数字签名验证,第二校验方法为HAMC校验。
第六方面,本申请实施例提供了一种校验应用信息的方法,该方法可以由第一通信装置执行。第一通信装置可以获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证。第一通信装置获取所述应用信息和至少一个验证信息之后,可以基于该至少一个验证信息对所述应用信息进行完整性验证。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,第一通信装置获取应用信息和至少一个验证信息在具体实现时,例如可以从其它设备处接收第一报文,该第一报文中包括所述应用信息和所述至少一个验证信息。
在一种实现方式中,第一报文中可以携带一个或者多个用于对应用信息进行完整性验证的验证信息,作为一个示例,第一报文中可以包括第一验证信息。
在一种实现方式中,第一通信装置基于所述第一验证信息对所述应用信息的完整性进行验证在具体实现时,第一通信装置可以根据根据所述第一报文中的第一目标字段,获取第三验证信息,其中,所述第一目标字段包括所述应用信息。获得第三验证信息之后,第一通信装置对第三验证信息和第一验证信息进行匹配校验。其中,对所述第三验证信息和所述第一验证信息进行匹配校验,例如可以是比较第三验证信息和第一验证信息,若二者相同,则匹配校验通过,若二者不相同,则匹配校验不通过。采用这种方式,可以实现对应用信息的完整性验证。
在一种实现方式中,第一通信装置基于所述第一验证信息对所述应用信息的完整性进行验证在具体实现时,第一通信装置例如可以基于第一校验方法和所述第一验证信息对所述应用信息的完整性进行验证。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,当第一校验方法为HMAC校验时,第一报文中包括的第一验证信息可以是第一HMAC校验信息。该第一HMAC校验信息可以是对第一报文中的第一目标字段进行HMAC计算得到的。对于在这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以对所述第一报文中的第一目标字段进行HMAC计算,获得第二HMAC校验信息;而后对所述第一HMAC校验信息和所述第二HMAC校验信息进行匹配验证,实现对应用信息的完整性验证。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,当所述第一校验方法为数字签名认证时,所述第一验证信息为采用第一私钥和第一哈希计算对所述第一报文中的第一目标字段进行签名所得到的数字签名。对于这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以通过第一公钥对所述数字签名进行解密,得到第一明文;并对所述第一目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;而后,第一通信装置对所述第一明文和所述第二明文,进行匹配验证。
在一种实现方式中,所述第一报文中还包括数字证书,所述数字证书中包括所述第一公钥。在本申请实施例中,数字证书可以是第一报文的发送设备的数字证书,该数字证书可以认为是第一报文的发送设备的身份证明。当第一公钥携带在数字证书中时,可以保证第一公钥的合法性。
在一种实现方式中,所述数字证书中还包括对所述数字签名进行解密的解密算法,和/或,所述哈希算法。当对所述数字签名进行解密的解密算法携带在数字签名中时,可以保证该解密算法的合法性;当所述哈希算法携带在数字签名中时,可以保证该哈希算法的合法性。
在一种实现方式中,所述方法还包括:对所述数字证书的合法性进行验证。可以理解的是,对数字证书和合法性进行验证,可以验证第一报文的发送设备的合法性。相应的,若数字证书中还携带其它信息,例如,携带前述第一公钥,又如,携带对所述数字签名进行解密的解密算法,和/或,所述哈希算法,也可以验证数字证书中携带的其它信息的合法性。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。其中,基于IPSEC的完整性验证,包括AH校验和ESP校验。
在一种实现方式中,当第一校验方法为AH校验时,所述第一验证信息为第一AH验证信息,其中,第一AH验证信息可以是利用AH校验算法对第一报文中的第一目标字段进行计算得到的。对于这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以利用AH校验算法对所述第一报文中的第一目标字段进行计算,得到第二AH验证信息;并对所述第一AH验证信息和所述第二AH验证信息进行匹配验证。
在一种实现方式中,当第一校验方法为ESP校验时,所述第一验证信息为第一ESP验证信息,其中,第一ESP验证信息可以是利用ESP校验算法对第一报文中的第一目标字段进行计算得到的。对于这种情况,第一通信装置基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以利用ESP校验算法对所述第一报文中的第一目标字段进行计算,得到第二ESP校验信息;并对所述第一ESP验证信息和所述第二ESP验证信息进行匹配验证。
在一种实现方式中,所述第一报文中包括数字证书,所述应用信息和所述至少一个验证信息携带在所述数字证书中。
在一种实现方式中,当应用信息和至少一个验证信息携带在数字证书中时,第一通信装置可以对所述数字证书的合法性进行验证,以实现对应用信息的完整性验证。
在一种实现方式中,第一报文中携带的验证信息,除了包括第一验证信息之外,还可以包括第二验证信息。相应的,第一通信装置除了可以基于第一验证信息对应用信息进行验证之外,还可以基于第二验证信息对应用信息进行验证,以实现对应用信息的多重验证。
在一种实现方式中,第一通信装置基于所述第二验证信息对所述应用信息的完整性进行验证在具体实现时,第一通信装置可以根据根据所述第一报文中的第二目标字段,获取第四验证信息,其中,所述第二目标字段包括所述应用信息。获得第四验证信息之后,第一通信装置对第二验证信息和第四验证信息进行匹配校验。
在一种实现方式中,第一通信装置基于所述第二验证信息对所述应用信息的完整性进行验证在具体实现时,第一通信装置例如可以基于第二校验方法和所述第二验证信息对所述应用信息的完整性进行验证。
在一种实现方式中,所述第二校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,当第二校验方法为HMAC校验时,第一报文中包括的第二验证信息可以是第三HMAC校验信息。该第三HMAC校验信息可以是对第一报文中的第二目标字段进行HMAC计算得到的。对于在这种情况,第一通信装置基于第二校验方法和所述第二验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以对所述第一报文中的第二目标字段进行HMAC计算,获得第四HMAC校验信息;而后对所述第三HMAC校验信息和所述第四HMAC校验信息进行匹配验证,实现对应用信息的完整性验证。
在一种实现方式中,所述第二校验方法为数字签名验证。
在一种实现方式中,当所述第二校验方法为数字签名认证时,所述第二验证信息为采用第二私钥和第三哈希计算对所述第一报文中的第二目标字段进行签名所得到的数字签名。对于这种情况,第一通信装置基于第而校验方法和所述第二验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以通过第二公钥对所述数字签名进行解密,得到第三明文;并对所述目标字段进行第四哈希计算,得到第四明文,所述第三哈希计算和所述第四哈希计算采用相同的哈希算法;而后,第一通信装置对所述第三明文和所述第四明文,进行匹配验证。
在一种实现方式中,与第一公钥类似,第二公钥也可以携带在数字证书中,以保证第二公钥的合法性。其中,该数字证书可以携带在第一报文中。
在一种实现方式中,对第二验证信息进行解密的解密算法,和/或,第三哈希计算和第四哈希计算采用的哈希算法,也可以携带在数字证书中。
在一种实现方式中,所述第二校验方法为基于互联网协议安全IPSEC的完整性验证。其中,基于IPSEC的完整性验证,包括AH校验和ESP校验。
在一种实现方式中,当第二校验方法为AH校验时,所述第二验证信息为第三AH验证信息,其中,第三AH验证信息可以是利用AH校验算法对第一报文中的第二目标字段进行计算得到的。对于这种情况,第一通信装置基于第二校验方法和所述第二验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以利用AH校验算法对所述第一报文中的第二目标字段进行计算,得到第四AH验证信息;并对所述第三AH验证信息和所述第四AH验证信息进行匹配验证。
在一种实现方式中,当第二校验方法为ESP校验时,所述第二验证信息为第三ESP验证信息,其中,第三ESP验证信息可以是利用ESP校验算法对第一报文中的第二目标字段进行计算得到的。对于这种情况,第一通信装置基于第二校验方法和所述第二验证信息,对所述应用信息的完整性进行验证,在具体实现时:第一通信装置可以利用ESP校验算法对所述第一报文中的第二目标字段进行计算,得到第四ESP校验信息;并对所述第三ESP验证信息和所述第四ESP验证信息进行匹配验证。
在一种实现方式中,所述第一通信装置为网络设备。网络设备对应用信息进行完整性校验,可以确定应用信息是否被盗用,从而保证应用信息对应的网络资源不被盗用。
在一种实现方式中,所述第一通信装置包括:接入ACC设备,或者,用户驻地CPE设备,或者,家庭网关RG,或者,数据中心服务器接入leaf设备,或者,数据中心出口网关DCGW,或者,自治系统边界路由器ASBR,或者宽带网络网关BNG,或者,运营商边缘PE设备。
在一种实现方式中,第一通信装置对应用信息的完整性进行验证之后,若应用信息通过验证,则表示第一报文中的应用信息是合法的,故而第一通信装置可以转发该第一报文。作为一个示例,第一通信装置可以根据应用信息确定对应的网络资源,并利用所确定的网络资源转发第一报文。
在一种实现方式中,第一通信装置对应用信息的完整性进行验证之后,若应用信息未通过验证,则表示第一报文中的应用信息是不合法的,故而第一通信装置可以丢弃该第一报文。从而防止应用信息对应的网络资源被盗用。
第七方面,本申请实施例提供了一种应用信息的处理方法,该方法可以由第二通信装置执行,第二通信装置可以获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证。第二通信装置获取应用信息和所述至少一个验证信息之后,可以将该应用信息和至少一个验证信息发送给第一通信装置,以便于第一通信装置基于该至少一个验证信息对应用信息的完整性进行验证。由此可见,利用本申请实施例的方案,第一通信装置可以对应用信息的完整性进行验证,从而避免应用信息不当使用,相应的可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在一种实现方式中,第一通信装置可以获取包括应用信息和至少一个验证信息的第一报文,并通过将第一报文发送给第一通信装置的方式,将所述应用信息和至少一个验证信息发送给第一通信装置。在一个示例中,第一通信装置可以利用应用信息和至少一个验证信息对业务报文进行封装,从而得到第一报文。
在一种实现方式中,第一报文中可以携带一个或者多个用于对应用信息进行完整性验证的验证信息,作为一个示例,第一报文中可以包括第一验证信息。
在一种实现方式中,所述第一验证信息是根据所述第一报文中的第一目标字段获得的,所述第一目标字段包括所述应用信息。作为一个示例,第二通信装置可以获取第一目标字段,而后根据该第一目标字段获得第一验证信息,进一步地,第二通信装置将第一验证信息封装至第一报文中,从而得到包括应用信息和第一验证信息的第一报文。
在一种实现方式中,所述第一验证信息,是利用第一校验方法对所述第一报文中的第一目标字段进行计算得到的,所述第一目标字段包括所述应用信息。作为一个示例,第二通信装置可以获取第一目标字段,而后利用第一校验方法对第一报文中的第一目标字段进行计算,从而得到第一验证信息,进一步地,第二通信装置将第一验证信息封装至第一报文中,从而得到包括应用信息和第一验证信息的第一报文。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥对所述第一目标字段进行签名所得到的数字签名。
在一种实现方式中,所述第一验证信息为数字证书中的加密摘要,所述数字证书中还包括所述应用信息。
在一种实现方式中,当第一验证方法为HMAC、或者第一验证方法为数字签名验证,或者,第一验证信息为数字证书中的加密摘要时,所述第一验证信息,是控制管理设备发送给所述第二通信装置的。作为一种示例,第二通信装置可以将应用信息发送给控制管理设备,由控制管理设备对应用信息进行计算,从而得到第一验证信息,进一步地,控制管理设备将计算得到的第一验证信息发送给第二通信装置。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
在一种实现方式中,所述第一验证信息为第一认证头AH验证信息。对于这种情况,第一AH认证信息可以是第二通信装置利用AH校验算法对第一报文中的第一目标字段进行计算得到的。
在一种实现方式中,所述第一验证信息为第一封装安全负载ESP验证信息。对于这种情况,第一ESP认证信息可以是第二通信装置利用ESP校验算法对第一报文中的第一目标字段进行计算得到的。
在一种实现方式中,第一报文中携带的验证信息,除了包括第一验证信息之外,还可以包括第二验证信息。相应的,将第一报文发送给第一通信装置之后,第一通信装置除了可以基于第一验证信息对应用信息进行验证之外,还可以基于第二验证信息对应用信息进行验证,以实现对应用信息的多重验证。
在一种实现方式中,所述第二验证信息是根据所述第一报文中的第二目标字段获得的,所述第二目标字段包括所述应用信息。作为一个示例,第二通信装置可以获取第二目标字段,而后根据该第二目标字段获得第二验证信息,进一步地,第二通信装置将第二验证信息封装至第一报文中,从而得到包括应用信息和第二验证信息的第一报文。
在一种实现方式中,所述第二验证信息,是利用第二校验方法对所述第一报文中的第二目标字段进行计算得到的,所述第二目标字段包括所述应用信息。作为一个示例,第二通信装置可以获取第二目标字段,而后利用第二校验方法对第一报文中的第二目标字段进行计算,从而得到第二验证信息,进一步地,第二通信装置将第二验证信息封装至第一报文中,从而得到包括应用信息和第二验证信息的第一报文。
在一种实现方式中,所述第二校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第二验证信息包括第三HMAC校验信息。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第二私钥对所述第二目标字段进行签名所得到的数字签名。
在一种实现方式中,所述第二验证信息为数字证书中的加密摘要,所述数字证书中还包括所述应用信息。
在一种实现方式中,当第二验证方法为HMAC、或者第二验证方法为数字签名验证,或者,第二验证信息为数字证书中的加密摘要时,所述第二验证信息,是控制管理设备发送给所述第二通信装置的。作为一种示例,第二通信装置可以将应用信息发送给控制管理设备,由控制管理设备对应用信息进行计算,从而得到第二验证信息,进一步地,控制管理设备将计算得到的第二验证信息发送给第二通信装置。
在一种实现方式中,所述第二校验方法为基于互联网协议安全IPSEC的完整性验证。
在一种实现方式中,所述第二验证信息为第三认证头AH验证信息。对于这种情况,第三AH认证信息可以是第二通信装置利用AH校验算法对第一报文中的第二目标字段进行计算得到的。
在一种实现方式中,所述第二验证信息为第三封装安全负载ESP验证信息。对于这种情况,第三ESP认证信息可以是第二通信装置利用ESP校验算法对第一报文中的第二目标字段进行计算得到的。
在以上第七方面和第八方面中:
在一种实现方式中,所述第一校验方法和所述第二校验方法,为不同的校验算法。例如,第一校验方法为HMAC校验,则第二校验方法可以为数字签名验证、AH校验和ESP校验中的其中一项;又如,第一校验方法为数字签名验证,则第二校验方法可以为HMAC校验、AH校验和ESP校验中的其中一项;又如,第一校验方法为AH校验,则第二校验方法可以为HMAC校验、数字签名验证和ESP校验中的其中一项;再如,第一校验方法为ESP校验,则第二校验方法可以为HMAC校验、数字签名验证和AH校验中的其中一项。
在一种实现方式中,所述应用信息和所述至少一个验证信息,携带在第一报文的报文头中。
在一种实现方式中,所述第一报文为互联网协议第6版IPv6报文。
在一种实现方式中,当第一报文为IPv6报文时,所述应用信息携带在IPv6扩展头中。
在一种实现方式中,当第一报文为IPv6报文时,所述应用信息携带在目的地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述应用信息携带在源地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述至少一个验证信息携带在IPv6扩展头中。
在一种实现方式中,当第一报文为IPv6报文时,所述至少一个验证信息携带在目的地址中。
在一种实现方式中,当第一报文为IPv6报文时,所述至少一个验证信息携带在源地址中。
在一种实现方式中,所述第一报文为多协议标签交换MPLS报文。
在一种实现方式中,当第一报文为MPLS报文时,所述应用信息携带在标签值字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述应用信息携带在扩展类型长度值TLV字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述至少一个验证信息携带在标签值字段中。
在一种实现方式中,当第一报文为MPLS报文时,所述至少一个验证信息携带在扩展TLV字段中。
在一种实现方式中,所述第一报文为互联网协议第6版段路由SRv6报文。
在一种实现方式中,当第一报文为SRv6报文时,所述应用信息携带在分段路由头SRH中。
在一种实现方式中,当第一报文为SRv6报文时,所述至少一个验证信息携带在SRH中。
在一种实现方式中,所述第一报文为互联网协议第4版IPv4报文。
在一种实现方式中,当第一报文为IPv4报文时,所述应用信息携带在选项option字段中。
在一种实现方式中,当第一报文为IPv4报文时,所述至少一个验证信息携带在option字段中。
在一种实现方式中,所述第一报文为通用路由封装GRE报文。
在一种实现方式中,当第一报文为GRE报文时,所述应用信息携带在关键字key字段中。
在一种实现方式中,当第一报文为GRE报文时,所述至少一个验证信息携带在key字段中。
在一种实现方式中,所述第一报文为虚拟扩展局域网VXLAN报文。
在一种实现方式中,当第一报文为VXLAN报文时,所述应用信息携带在虚拟网络标识符字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述应用信息携带在预留字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述至少一个验证信息携带在虚拟网络标识符字段中。
在一种实现方式中,当第一报文为VXLAN报文时,所述至少一个验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
在一种实现方式中,当第一报文为NVGRE报文时,所述应用信息携带在流标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述应用信息携带在虚拟网络标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述应用信息携带在预留字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述至少一个验证信息携带在流标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述至少一个验证信息携带在虚拟网络标识字段中。
在一种实现方式中,当第一报文为NVGRE报文时,所述至少一个验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为通用网络虚拟化封装Geneve报文。
在一种实现方式中,当第一报文为Geneve报文时,所述应用信息携带在预留字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述应用信息携带在可变长度选项字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述至少一个验证信息携带在预留字段中。
在一种实现方式中,当第一报文为Geneve报文时,所述至少一个验证信息携带在可变长度选项字段中。
第八方面,本申请实施例提供了一种第一通信装置,包括:通信接口;和与所述通信接口连接的处理器;根据所述通信接口和所述处理器,所述第一通信装置用于执行前述第一方面以及第一方面任意一项所述的方法;或者,所述第一通信装置用于执行前述第三方面以及第三方面任意一项所述的方法;或者,所述第一通信装置用于执行前述第六方面以及第六方面任意一项所述的方法。
第九方面,本申请实施例提供了一种第二通信装置,包括:通信接口;和与所述通信接口连接的处理器;根据所述通信接口和所述处理器,所述第二通信装置用于执行前述第二方面以及第二方面任意一项所述的方法;或者,所述第二通信装置用于执行前述第四方面以及第四方面任意一项所述的方法;或者,所述第二通信装置用于执行前述第七方面以及第七方面任意一项所述的方法。
第十方面,本申请实施例提供了一种控制管理设备,包括:通信接口;和与所述通信接口连接的处理器;根据所述通信接口和所述处理器,所述控制管理设备用于执行前述第五方面以及第五方面任意一项所述的方法。
第十一方面,本申请实施例提供了一种第一通信装置,所述第一通信装置包括存储器和处理器;所述存储器,用于存储程序代码;所述处理器,用于运行所述程序代码中的指令,使得所述第一通信装置执行前述第一方面以及第一方面任意一项所述的方法;或者,使得所述第一通信装置执行前述第三方面以及第三方面任意一项所述的方法;或者,使得所述第一通信装置执行前述第六方面以及第六方面任意一项所述的方法。
第十二方面,本申请实施例提供了一种第二通信装置,所述第二通信装置包括存储器和处理器;所述存储器,用于存储程序代码;所述处理器,用于运行所述程序代码中的指令,使得所述第二通信装置执行前述第二方面以及第二方面任意一项所述的方法;或者,使得所述第二通信装置执行前述第四方面以及第四方面任意一项所述的方法;或者,使得所述第二通信装置执行前述第七方面以及第七方面任意一项所述的方法。
第十三方面,本申请实施例提供了一种控制管理设备,所述控制管理设备包括存储器和处理器;所述存储器,用于存储程序代码;所述处理器,用于运行所述程序代码中的指令,使得所述控制管理设备执行前述第五方面以及第五方面任意一项所述的方法。
第十四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上第一方面以及第一方面任意一项所述的方法,或者,使得所述计算机执行以上第二方面以及第二方面任意一项所述的方法,或者,使得所述计算机执行以上第三方面以及第三方面任意一项所述的方法,或者,使得所述计算机执行以上第四方面以及第四方面任意一项所述的方法,或者,使得所述计算机执行以上第五方面以及第五方面任意一项所述的方法,或者,使得所述计算机执行以上第六方面以及第六方面任意一项所述的方法,或者,使得所述计算机执行以上第七方面以及第七方面任意一项所述的方法。
第十五方面,本申请实施例提供了一种通信系统,其特征在于,包括以上第八方面或者第十一方法所述的第一通信装置以及以上第九方面或者第十二方面所述的第二通信装置。
第十六方面,本申请实施例提供了一种通信系统,其特征在于,包括以上第九方面或者第十二方面所述的第二通信装置,以及以上第十方面或者以上第十三方面所述的控制管理设备。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种示例性应用场景示意图;
图2为本申请实施例提供的又一个示例性网络场景示意图;
图3为本申请实施例提供的一种校验应用信息的方法的信令交互图;
图4a为本申请实施例提供的一种报文1的结构图;
图4b为本申请实施例提供的一种报文1的结构图;
图4c为本申请实施例提供的一种报文1的结构图;
图4d为本申请实施例提供的一种报文1的结构图;
图5为本申请实施例提供的一种校验应用信息的方法的信令交互图;
图6为本申请实施例提供的一种校验应用信息的方法的流程示意图;
图7为本申请实施例提供的一种报文处理方法的流程示意图;
图8为本申请实施例提供的一种校验应用信息的方法的流程示意图;
图9为本申请实施例提供的一种报文处理方法的流程示意图;
图10为本申请实施例提供的一种应用信息的处理方法的流程示意图;
图11为本申请实施例提供的一种校验应用信息的方法的流程示意图;
图12为本申请实施例提供的一种报文处理方法的流程示意图;
图13为本申请实施例提供的一种通信装置的结构示意图;
图14为本申请实施例提供的一种通信装置的结构示意图;
图15为本申请实施例提供的一种通信装置的结构示意图。
具体实施方式
本申请实施例提供了一种校验应用信息的方法,可以避免由于应用信息的不当使用而导致网络资源的不当使用的问题。
在本申请中所述的应用(application,APP),也可以称之为应用程序(application program),或者应用软件(application software),是为提供服务所需功能的软件,包括完成某项或多项特定工作的计算机程序,通常需要与用户进行交互。每个应用可以属于多项服务,可以运行在一个或多个服务器上或运行在用户设备上。在本申请实施例中,应用程序例如可以是关于游戏、视频、邮件、即时通讯、交通信息、天气预报等的APP。应用通常安装在终端设备上。为方便理解,首先对本申请实施例可能的应用场景进行介绍。
参见图1,该图为本申请实施例提供的一种示例性应用场景示意图。
在图1所示的应用场景中,安装有应用程序(application,APP)的用户设备101可以通过网络100向该APP的服务器102发送业务报文A,该业务报文A中可以包括该APP的应用信息。该网络100至少包括设备103和设备104,接收到业务报文A的设备103,可以根据业务报文A中携带的应用信息,为业务报文A分配对应的网络资源,以便于利用该网络资源将业务报文A转发给服务器102。例如,利用高带宽链路将该业务报文A转发给服务器102。当然,服务器102也可以通过网络100向用户设备101发送业务报文B,类似的,业务报文B中也可以携带该APP的应用信息。接收到业务报文B的设备104,可以根据业务报文B中携带的应用信息,为业务报文B分配网络资源,以便于利用该网络资源将业务报文B转发给用户设备101。此处提及的设备103和设备104,可以是网络100的边缘设备。
图1所示的应用场景,可以用于政企专线、家庭带宽以及移动网络等网络场景中。用户设备101可以是物联网(Internet of Things,IoT)设备或者终端设备。此处提及的终端设备可以是手机、个人计算机(personal computer,PC),例如平板电脑(tabletpersonalcomputer,Tablet PC)、笔记本电脑、超级移动个人计算机、个人数字助理等,本申请实施例不做具体限定。
若图1所示的应用场景应用于政企专线,则设备103可以是用户驻地设备(customer premise equipment,CPE)或者接入网的接入(access,ACC)设备;设备104可以是数据中心出口网关(Data Center Gateway,DC GW)、或者数据中心服务器接入设备leaf、或者自治系统边界路由器(autonomous system boundary router,ASBR)。
若图1所示的应用场景应用于家庭带宽,则设备103可以是家庭网关(ResidentialGateway,RG)或者接入网的ACC设备;设备104可以是DC GW、或者数据中心服务器接入设备leaf、或者ASBR。
若图1所示的应用场景应用于移动网络,则设备103可以移动网络基站、或者核心网的用户面功能(user plane function,UPF)设备,或者接入网的ACC设备;设备104可以是DC GW、或者数据中心服务器接入设备leaf、或者ASBR。
在一些实施例中,网络100可以包括接入网络、汇聚网络和数据中心网络。参见图2,该图为本申请实施例提供的又一个示例性网络场景示意图。图2所示的网络场景可以应用于家庭带宽或者政企专线,关于移动网络对应的网络场景,此处不做详细说明。
在图2所示的场景中,安装有APP的用户设备101可以生成包括应用信息的业务报文A,并依次通过设备105、接入网络的接入设备ACC 106、汇聚网的汇聚(aggregation,AGG)设备107、ASBR 108、DC GW 109、数据中心服务器接入设备spine 110、数据中心服务器接入设备leaf 111到达应用程序的服务器102。其中,对于家庭带宽的场景,设备105可以为RG,对于政企专线的网络场景,设备105可以为CPE。
通过以上描述可知,由于网络设备103可以根据业务报文A中携带的应用信息为业务报文A提供对应的服务质量,网络设备104可以根据业务报文B中携带的应用信息为业务报文B提供对应的服务质量,因此,若该应用信息使用不当,例如被盗用,则可能会使得网络资源不当使用。
举例说明1:设备101中的付费APP使用应用信息AAAA,应用信息AAAA对应高带宽、低时延的网络资源。设备101中的免费APP盗用了应用信息AAAA,从而盗用了高带宽、低时延的网络资源。
举例说明2:设备101中的APP登录了付费用户账号1,被授权使用应用信息AAAA。其它设备安装了该APP的破解版,登录了免费用户账号B。破解版APP盗用了应用信息AAAA,从而盗用了付费用户账户1的网络资源。
举例说明3:设备101中的付费APP使用应用信息AAAA,其它设备中的免费APP盗用了应用信息AAAA,从而盗用了付费APP的网络资源。
举例说明4:设备101中的APP登录了付费用户账号,被授权使用应用信息AAAA。其它设备中的相同APP登录了免费用户账号,被授权使用应用信息BBBB。免费用户账户为了盗用付费用户账户的网络资源,将应用信息BBBB篡改为AAAA。
因此,本申请实施例提供了一种校验应用信息的方法,可以避免由于应用信息的不当使用而导致网络资源的不当使用。接下来,结合附图介绍该校验应用信息的方法。
需要说明的是,如无特别说明,在本申请实施例的以下描述中,诸如哈希算法n、公钥n、私钥n等“对象+序号”描述,是用于区别类似的对象,而不是用于限定特定的顺序或先后次序。而且,对于同一对象而言,其内容与序号没有直接关联,序号不同的对象之间,内容可以相同,也可以不同,本申请实施例不做具体限定。例如,哈希算法1和哈希算法2可以是相同的算法,也可以是不同的算法。
需要说明的是,本申请实施例中提及的通信装置,可以是交换机、路由器等网络设备,也可以是网络设备上的一部分组件,例如是网络设备上的单板,线卡,还可以是网络设备上的一个功能模块。通信装置还可以是用户设备或者服务器,或者是用户设备或者服务器上的一部分组件。本申请实施例不做具体限定。
参见图3,图3为本申请实施例提供的一种校验应用信息的方法的信令交互图。
图3所示的校验应用信息的方法100,可以由通信装置1和通信装置2执行。
作为示例,当通信装置1应用于用户设备101时,通信装置2应用于设备103,通信装置3应用于服务器102;当通信装置1应用于服务器102时,通信装置2应用于设备104,通信装置3应用于用户和设备101。该方法100例如可以通过如下S101-S105a或者S101-S105b实现。
S101:通信装置1生成报文1,报文1中包括应用信息1和验证信息1。
关于通信装置1,可以参考上文对于用户设备101或者服务器102的描述部分,此处不再详述。
在本申请中,应用信息指的是通信装置1上安装的APP对应的应用信息。在一种实现方式中,应用信息可以包括服务等级协议(service-level agreement,SLA)等级、应用标识、用户标识、流标识(英文:flow ID)和预留参数中的其中一项或者多项。其中,应用标识用于标识应用,用户标识用于标识使用应用的用户,用户标识例如可以是登录该应用的账户的标识;流标识用于标识该应用对应的业务报文。
在本申请实施例中,验证信息1用于对应用信息1进行完整性验证。对应用信息1进行完整性验证,包括验证所述应用信息1是否丢失、发生误码或者被篡改或者被伪造。
在本申请实施例中,通信装置1可以获得应用信息1,并根据应用信息1得到验证信息1。通信装置1获得应用信息1和验证信息1之后,可以对APP 1的业务报文进行封装,将将应用信息1和验证信息1添加到业务报文中,从而得到报文1。
在本申请实施例的一种实现方式中,验证信息1可以是通信装置1根据报文1中的字段得到的。作为一个示例,验证信息1可以是通信装置1利用验证算法1对报文1中的字段进行计算得到的。其中,前述报文1中的字段包括应用信息1。
在本申请实施例的一种实现方式中,验证算法1可以是密钥相关的哈希运算消息认证码(hashed-based message authentication code,HMAC)校验。
当验证算法1是HMAC校验时,在一种实现方式中,通信装置1可以将密钥1附加在字段1上作为哈希算法1的输入,从而得到验证信息1。其中,将密钥1附加在字段1上,可以是将密钥1附加在字段1的尾部,或者,将密钥1添加到字段1的头部,或者,将密钥1插入字段1的中间,等等。在一个示例中,字段1可以仅包括应用信息1。在又一个示例中,字段1除了包括应用信息1之外,还可以包括报文1中的其它字段。
当验证算法1是HMAC校验时,在又一种实现方式中,通信装置1获得参数1和参数2,参数1和参数2的比特(英文:bit)数相同,例如参数1和参数2均为64bits。通信装置1在密钥2的头部或者尾部补充数值,例如补充0,使得补充数值后的密钥2的比特数与参数1相同。通信装置1对补充数值后的密钥2和参数1进行计算,例如进行异或计算,得到密钥2’。而后,通信装置1将密钥2’附加在字段1上作为哈希算法2的输入,得到HMAC 1。通信装置1对补充数值后的密钥2和参数2进行计算,例如进行异或计算,得到密钥2”,而后,通信装置1将密钥2”附加在HMAC 1上作为哈希算法2的输入,得到HMAC 2,HMAC 2即为验证信息1。关于“将密钥2’附加在字段1上”以及“将密钥2”附加在HMAC 1上”的描述,可以参考上文“将密钥1附加在字段1上”的描述部分,此处不再详述。
在本申请实施例的一种实现方式中,当前述字段1仅包括应用信息1时,验证信息1也可以是控制管理设备根据应用信息1计算得到的。例如,通信装置1将应用信息1发送给控制管理设备,控制管理设备利用HMAC算法对应用信息1进行计算,得到验证信息1,并将验证信息1发送给通信装置1,如此一来,通信装置1即获得了验证信息1。
在本申请实施例的一种实现方式中,验证算法1可以是数字签名验证。
当验证算法1是数字签名验证时,在一种实现方式中,通信装置1可以利用哈希算法3对报文1中的字段2进行哈希运算,得到哈希摘要1。而后,通信装置1利用私钥1和加密算法1对哈希摘要1进行加密,得到数字签名1,从而得到验证信息1。此处提及的验证信息1即为数字签名1。在一个示例中,字段2可以仅包括应用信息1。在又一个示例中,字段2除了包括应用信息1之外,还可以包括报文1中的其它字段。
在本申请实施例的一种实现方式中,当前述字段2仅包括应用信息1时,验证信息1也可以是控制管理设备根据应用信息1计算得到的。例如,通信装置1将应用信息1发送给控制管理设备,控制管理设备利用数字签名算法对应用信息1进行计算,得到验证信息1,并将验证信息1发送给通信装置1,如此一来,通信装置1即获得了验证信息1。
在本申请实施例的一种实现方式中,当验证算法1是数字签名验证时,报文1中除了包括应用信息1和验证信息1之外,还可以包括通信装置1的数字证书1,该数字证书1中包括公钥1,该公钥1与前述私钥1是一对非对称密钥。换言之,公钥1可以用于对数字签名1进行解密。在一些实施例中,该数字证书1中除了包括公钥1之外,还包括哈希算法3和解密算法1,此处提及的解密算法1与前述加密算法1对应,用于对数字签名1进行解密。
在本申请实施例中,通信装置1的数字证书1可以是证书授权(certificateauthority,CA)设备发送给通信装置1的。此处提及的CA设备,例如可以是控制管理设备,又如可以是CA服务器。关于通信装置1获得数字证书1的过程,现简单说明。首先,通信装置1将自身的身份信息和其它信息发送给CA设备,其中,通信装置1自身的身份信息和其它信息构成不被信任的数字证书。CA设备利用哈希算法4对不被信任的数字证书进行哈希计算,得到哈希摘要2,而后,CA设备利用自身的私钥2对哈希摘要2进行加密,得到加密摘要1。而后,CA机构将CA机构的身份信息、加密摘要1和不被信任的数字证书发送给通信装置1,其中,CA机构的身份信息、加密摘要1和不被信任的数字证书即构成了通信装置1的、被信任的数字证书1。
此处需要说明的是,前述通信装置1向CA设备发送的其它信息,可以包括前述公钥1、解密算法1和哈希算法3中的其中一项或者多项。前述通信装置1的身份信息,例如可以包括通信装置1的设备标识,又如可以包括前述应用信息1,本申请实施例不做具体限定。在本申请实施例中,当通信装置1的身份信息包括应用信息1时,报文1中的应用信息1例如可以携带在该数字证书1中。
在本申请实施例的一种实现方式中,验证算法1可以是基于互联网协议安全(Internet protocol security,IPSec)的完整性验证。
在本申请实施例中,基于IPSec的完整性验证,可以包括基于认证头(authentication header,AH)的完整性验证和基于封装安全负载(encapsulatingsecurity payload,ESP)的完整性验证。当验证算法1是基于IPSec的完整性验证时,报文1的封装格式可以包括隧道封装格式和传输封装格式两种形式。接下来,结合图4a至图4d进行理解。图4a至图4d分别示出了报文1的4种结构图。其中,图4a所示的报文1,其采用的报文封装格式为传输模式,采用的完整性验证算法为AH;图4b所示的报文1,其采用的报文封装格式为隧道模式,采用的完整性验证算法为AH;图4c所示的报文1,其采用的报文封装格式为传输模式,采用的完整性验证算法为ESP;图4d所示的报文1,其采用的报文封装格式为隧道模式,采用的完整性验证算法为ESP。
当验证算法1是基于AH的完整性验证、且报文1采用传输模式封装时,在一种实现方式中,通信装置1可以采用AH校验算法1对报文1中的字段3进行计算从而得到AH验证信息1,即:得到验证信息1。从图4a可以看出,字段3包括IP头、IP扩展头、AH、传输控制协议(Transmission Control Protocol,TCP)头部和数据(英文:data)。其中,应用信息1可以携带在IP扩展头中,此处提及的IP扩展头,例如可以为IPv6扩展头。此处提及的AH校验算法1,例如可以为HMAC信息摘要算法(message-digest algorithm)MD5,或者HMAC安全散列算法(secure hash algorithm)SHA1。
当验证算法1是基于AH的完整性验证、且报文1采用隧道模式封装时,在一种实现方式中,通信装置1可以采用AH校验算法2对报文1中的字段4进行计算从而得到AH验证信息2,即:得到验证信息1。从图4b可以看出,字段4包括新IP头、AH、IP头、IP扩展头、TCP头部和数据。其中,应用信息1可以携带在IP扩展头中,此处提及的IP扩展头,例如可以为IPv6扩展头。此处提及的AH校验算法2,例如可以为HMAC MD5,或者HMAC SHA1。
当验证算法1是基于ESP的完整性验证时,报文1可以采用隧道封装模式,在一种实现方式中,通信装置1可以采用ESP校验算法1对报文1中的字段5进行计算从而得到ESP验证信息1,即:得到验证信息1。从图4d可以看出,字段5包括ESP头部、IP头、IP扩展头、TCP头部、数据和ESP尾部(英文:tail)。其中,应用信息1可以携带在IP扩展头中,此处提及的IP扩展头,例如可以为IPv6扩展头。此处提及的ESP校验算法1,例如可以为HMAC MD5,或者HMACSHA1。
在一种实现方式中,此处提及的报文1,可以是互联网协议第6版(InternetProtocol Version 6,IPv6)报文。
当报文1是IPv6报文时,在一些实施例中,前述应用信息1可以携带在IPv6报文的扩展头中。其中,IPv6报文的扩展头可以是逐跳选项(英文:hop-by-hop option)扩展头,IPv6报文的扩展头也可以是目的选项(英文:destination option)扩展头,IPv6报文的扩展头也还可以是路由(英文:routing)扩展头。在另一些实施例中,应用信息1也可以携带在报文1的源地址字段或者目的地址字段中。考虑到对于IPv6报文而言,其源地址和目的地址包括128比特,该128比特可以包括locator、function和arguments三个字段。其中,locator字段用于携带网段地址和子网地址;function和arguments字段均用于携带与locator对应的行为。在一些实施例中,可以将应用信息1携带在源地址字段的function字段或者arguments字段中。在一些实施例中,可以将应用信息1携带在目的地址字段的function字段或者arguments字段中。
与应用信息1类似,当报文1是IPv6报文时,在一些实施例中,验证信息1可以携带在IPv6报文的扩展头中。在另一些实施例中,验证信息1可以携带在IPv6报文的源地址字段或者目的地址字段中。需要说明的是,在本申请实施例中,应用信息1和验证信息1可以携带在IPv6报文的同一个字段中,也可以携带在不同的字段中,本申请实施例不作具体限定。例如,应用信息1和验证信息1均携带在源地址字段中,其中:应用信息1携带在源地址的function字段中,验证信息1携带在源地址的arguments字段中。又如,应用信息1携带在源地址字段中,验证信息1携带在目的地址字段中。
关于IPv6报文的结构以及各字段的含义,可以参考征求意见(request forcomments,RFC)8200的相关描述部分,此处不做详述。
在一种实现方式中,报文1可以是多协议标签交换(Multi-Protocol LabelSwitching,MPLS)报文。
当报文1是MPLS报文时,应用信息1例如可以携带在该MPLS报文的报文头中。作为一种示例,应用信息1可以携带在报文头中的标签栈中,例如携带在某一个标签值字段中。作为又一种示例,应用信息1可以携带在该MPLS报文的扩展类型长度值(type lengthvalue,TLV)字段中。
当报文1是MPLS报文时,与应用信息1类似,验证信息1也可以携带在MPLS报文的报文头中。作为一种示例,验证信息1可以携带在报文头中的标签栈中,例如携带在某一个标签值字段中。作为又一种示例,验证信息1可以携带在该MPLS报文的扩展TLV字段中。
关于MPLS报文的结构以及各个字段的含义,可以参考draft-song-mpls-extension-header-02和RFC 3031的相关描述部分,此处不做详述。
在一种实现方式中,报文1可以是互联网协议第6版段路由(Segment RoutingInternet Protocol Version 6,SRv6)报文。
当报文1是SRv6报文时,应用信息1例如可以携带在该SRv6报文的报文头中。作为一种示例,应用信息1可以携带在SRv6报文的分段路由头(segment routing header,SRH)中。在一些实施例中,应用信息1可以携带在SRH的源地址字段中;在另一些实施例中,应用信息1可以携带在SRH的目的地址字段中。在又一些实施例中,应用信息1还可以携带在段标识列表(segment identifier list,SID list)中。
与应用信息1类似,当报文1是SRv6报文时,验证信息1也可以携带在SRv6报文的报文头中。作为一个示例,验证信息1可以携带在SRv6报文的SRH中。在一些实施例中,验证信息1可以携带在SRH的源地址字段中;在另一些实施例中,验证信息1可以携带在SRH的目的地址字段中。在又一些实施例中,验证信息1还可以携带在SID list中。
关于SRv6报文的结构以及各个字段的含义,可以参考RFC 8200的相关描述部分,此处不做详述。
在一种实现方式中,报文1可以是互联网协议第4版(Internet Protocol Version4,IPv4)报文。
当报文1是IPv4报文时,应用信息1例如可以携带在IPv4报文的选项(英文:option)字段中。与应用信息1类似,验证信息1也可以携带在IPv4报文的option字段中。
关于IPv4报文的结构以及各字段的含义,此处不做详述。
在一种实现方式中,报文1可以是通用路由封装(generic routingencapsulation,GRE)报文。
当报文1是GRE报文时,应用信息1可以携带在该GRE报文的报文头中。作为一种示例,应用信息1可以携带在报文头中的关键字(英文:key)字段中。与应用信息1类似,验证信息1也可以携带在GRE报文的key字段中。
关于GRE报文的结构以及各字段的含义,可以参考RFC 2890的相关描述部分,此处不做详述。
在一种实现方式中,报文1可以是虚拟扩展局域网(virtual extensible localarea network,VXLAN)报文。
当报文1是VXLAN报文时,应用信息1可以携带在VXLAN报文的报文头中。作为一种示例,应用信息1可以携带在报文头中的预留字段中。作为又一种示例,应用信息1可以携带在报文头中的虚拟网络标识符(virtual network identifier,VNI)字段中。当应用信息1携带在VNI字段中时,可以将VNI字段划分成多个部分,一部分用于携带VNI,一部分用于携带应用信息1。
与应用信息1类似,当报文1是VXLAN报文时,验证信息1可以携带在VXLAN报文的报文头中。作为一种示例,验证信息1可以携带在报文头中的预留字段中。作为又一种示例,验证信息1可以携带在报文头中的VNI字段中。当验证信息1携带在VNI字段中时,可以将VNI字段划分成多个部分,一部分用于携带VNI,一部分用于携带验证信息1。
关于VXLAN报文的结构以及各字段的含义,可以参考RFC 7348的相关描述部分,此处不做详述。
在一种实现方式中,报文1可以是网络虚拟化通用路由封装(network virtualgeneric routing encapsulation,NVGRE)报文。
当报文1是NVGRE报文时,应用信息1可以携带在NVGRE报文的报文头中。作为一种示例,应用信息1可以携带在报文头中的预留字段中。作为又一种示例,应用信息1可以携带在报文头中的VNI字段中。当应用信息1携带在VNI字段中时,可以将VNI字段划分成多个部分,一部分用于携带VNI,一部分用于携带应用信息1。作为另一种示例,应用信息1可以携带在报文头中的flow ID字段中。当应用信息1携带在flow ID字段中时,可以将flow ID字段划分成多个部分,一部分用于携带flow ID,一部分用于携带应用信息1。
与应用信息1类似,当报文1是VXLAN报文时,验证信息1可以携带在NVGRE报文的报文头中。作为一种示例,验证信息1可以携带在报文头中的预留字段中。作为又一种示例,验证信息1可以携带在报文头中的VNI字段中。当验证信息1携带在VNI字段中时,可以将VNI字段划分成多个部分,一部分用于携带VNI,一部分用于携带验证信息1。作为另一种示例,验证信息1可以携带在报文头中的flow ID字段中。当验证信息1携带在flow ID字段中时,可以将flow ID字段划分成多个部分,一部分用于携带flow ID,一部分用于携带验证信息1。
关于NVGRE报文的结构以及各字段的含义,可以参考RFC 7637的相关描述部分,此处不做详述。
在一种实现方式中,报文1可以是通用网络虚拟化封装(generic networkvirtualization encapsulation,Geneve)报文。
当报文1是Geneve报文时,应用信息1可以携带在Geneve报文的报文头中。作为一种示例,应用信息1可以携带在报文头中的预留字段中。作为又一种示例,应用信息1可以携带在报文头中的可变长度选项(英文:variable length options)字段中。
与应用信息1类似,当报文1是Geneve报文时,验证信息1可以携带在Geneve报文的报文头中。作为一种示例,验证信息1可以携带在报文头中的预留字段中。作为又一种示例,验证信息1可以携带在报文头中的可变长度选项字段中。
关于Geneve报文的结构以及各字段的含义,可以参考draft-ietf-nvo3-geneve-16的相关描述部分,此处不做详述。
S102:通信装置1将报文1发送给通信装置2。
S103:通信装置2接收报文1。
S104:通信装置2基于验证信息1对应用信息1进行完整性验证。
通信装置2接收到报文1之后,由于报文1中携带应用信息1,因此,通信装置2应当根据应用信息1为报文1确定对应的网络资源。在本申请实施例中,为了避免应用信息1不当使用,通信装置2接收到报文1之后,可以基于验证信息1对应应用信息1进行完整性验证,避免网络资源的不当使用。
在本申请实施例中,S104在具体实现时,通信装置2例如可以对报文1中的字段进行计算,得到验证信息2,并对验证信息1和验证信息2进行匹配校验。在一个示例中,对验证信息1和验证信息2进行匹配校验,即比对验证信息1和验证信息2,若验证信息1和验证信息2相同,则匹配校验成功,若验证信息1和验证信息2不同,则匹配校验失败。在本申请实施例的一种实现方式中,通信装置2对报文1中的字段进行计算,例如可以是利用验证算法1对报文1中的字段进行计算。其中,所述报文1中的字段包括应用信息1。
如前文,验证算法1可以是HMAC校验。
当验证算法1是HMAC校验时,S104的一种实现方式为:通信装置2可以将密钥1附加在字段1上作为哈希算法1的输入,即得到验证信息2。而后,对验证信息1和验证信息2进行匹配校验。其中,密钥1可以是通信装置2和通信装置1预先协商好的。哈希算法1也可以是通信装置2和通信装置1预先协商好的。关于字段1,可以参考S101中的相关描述部分,此处不再详述。
在本申请实施例中,由于密钥1和哈希算法1是可以是通信装置1和通信装置2预先协商好的,或者说,是通信装置1上的APP 1预先和通信装置2协商好的,而通信装置1上的其它APP,无法获得该密钥1和哈希算法1,其它设备上安装的APP也无法获得密钥1和哈希算法1。因此,即使通信装置1上的其它APP或者其它设备上的APP盗用了应用信息1,由于其无法获得密钥1和哈希算法1,因此,其无法生成验证信息1。相应的,盗用应用信息1的APP生成的报文a中不包括验证信息1,故而通信装置2接收到报文a时,对应用信息1的完整性验证不通过,从而可以避免由于应用信息1被盗用而导致网络资源被盗用。
当验证算法1是HMAC校验时,S104的另一种实现方式为:通信装置2获得参数1和参数2。通信装置2采用与通信装置1约定的数值补充方式,在密钥2的头部或者尾部补充数值,例如补充0,使得补充数值后的密钥2的比特数与参数1相同。通信装置2采用与通信装置1约定好的计算方式,对补充数值后的密钥2和参数1进行计算,例如进行异或计算,得到密钥2’。而后,通信装置2将密钥2’附加在字段1上作为哈希算法2的输入,得到HMAC 1’。通信装置2采用与通信装置1约定的计算方式,对补充数值后的密钥2和参数2进行计算,例如进行异或计算,得到密钥2”,而后,通信装置2将密钥2”附加在HMAC 1’上作为哈希算法2的输入,得到HMAC 2’,即得到验证信息2。计算得到验证信息2之后,通信装置2可以对验证信息1和验证信息2进行匹配校验。其中,参数1、参数2、密钥2和哈希算法2均可以是通信装置1和通信装置2预先协商好的。
在本申请实施例中,由于参数1、参数2、密钥2和哈希算法2是可以是通信装置1和通信装置2预先协商好的,或者说,是通信装置1上的APP 1预先和通信装置2协商好的,而通信装置1上的其它APP,无法获得该参数1、参数2、密钥2和哈希算法2,其它设备上安装的APP也无法获得参数1、参数2、密钥2和哈希算法2。因此,即使通信装置1上的其它APP或者其它设备上的APP盗用了应用信息1,由于其无法获得参数1、参数2、密钥2和哈希算法2,因此,其无法生成验证信息1。相应的,盗用应用信息1的APP生成的报文b中不包括验证信息1,故而通信装置2接收到报文b时,对应用信息1的完整性验证不通过,从而可以避免由于应用信息1被盗用而导致网络资源被盗用。
如前文,验证算法1可以是数字签名验证。
当验证算法1是数字签名验证时,S104的一种实现方式为:通信装置2例如可以利用哈希算法3对报文1中的字段2进行哈希运算,得到哈希摘要1’。通信装置2采用公钥1和解密算法1对数字签名1进行解密,得到哈希摘要1”。而后,通信装置2对哈希摘要1’和哈希摘要1”进行匹配校验。
在一些实施例中,前述公钥1可以是通信装置2和通信装置1预先协商好的,前述解密算法1和哈希算法3可以是通信装置2和通信装置1预先协商好的。在又一些实施例中,前述公钥1可以携带在报文1中,例如,如前文,报文1中包括数字证书1,数字证书1中携带公钥1。另外,前述解密算法1和哈希算法3可以携带在报文1中,例如携带在数字证书1中。
在本申请实施例中,由于公钥1、解密算法1和哈希算法3可以是通信装置1和通信装置2预先协商好的,或者说,是通信装置1上的APP 1预先和通信装置2协商好的,而通信装置1上的其它APP,无法获得该公钥1、解密算法1和哈希算法3,其它设备上安装的APP也无法获得公钥1、解密算法1和哈希算法3。因此,即使通信装置1上的其它APP或者其它设备上的APP盗用了应用信息1,由于其无法获得公钥1、解密算法1和哈希算法3,因此,其无法生成验证信息1。相应的,盗用应用信息1的APP生成的报文c中不包括验证信息1,故而通信装置2接收到报文c时,对应用信息1的完整性验证不通过,从而可以避免由于应用信息1被盗用而导致网络资源被盗用。
在本申请实施例的一种实现方式中,报文1中包括通信装置1的数字证书1,则通信装置2还可以对该数字证书的合法性进行验证。一旦数字证书1通过验证,则表示报文1来自可信的发送方。而且,若公钥1携带在数字证书1中,若数字证书1通过验证,则公钥1的合法性也得到了保证。类似地,若解密算法1和哈希算法3携带在数字证书1中,若数字证书1通过验证,则解密算法1和哈希算法3的合法性也得到了保证。
而且,如前文,数字证书1包括通信装置1的身份信息,当通信装置1的身份信息包括应用信息1时,报文1中的应用信息1可以携带在该数字证书1中。对于这种情况,若数字证书1通过验证,则数字证书1中的应用信息1的合法性也得到了保证,从而实现了对应用信息1的多重验证。
在本申请实施例的又一种实现方式中,若报文1中包括数字证书1,并且,数字证书1包括应用信息1和验证信息1,则S104在具体实现时,可以直接对数字证书1进行合法性验证,只要数字证书1合法,则表示验证信息1和应用信息1合法。关于对数字证书进行合法性验证,例如可以利用哈希算法4对S101中提及的不被信任的数字证书进行哈希计算,得到哈希摘要2’,并利用CA机构的公钥2对数字证书中的加密摘要1进行解密,得到哈希摘要2”,而后,对哈希摘要2’和哈希摘要2”进行匹配校验,若二者相同,则确定数字证书1合法,否则,确定数字证书1不合法。当然,对数字证书1进行验证时,还可以进一步对CA认证机构进行身份认证,关于对CA认证机构进行身份认证的具体实现方式,可以参考传统的认证方式,此处不做详述。
如前文,验证算法1可以是基于IPSec的完整性验证。
当验证算法1是基于AH的完整性验证,且报文1采用传输模式封装时,S104的一种实现方式为:通信装置2采用AH校验算法1对报文1中的字段3进行计算,得到AH验证信息3,即得到验证信息2。而后,通信装置2对验证信息1和验证信息2进行匹配校验。所谓对验证信息1和验证信息2进行匹配校验,即为对S101中提及的AH校验信息1和AH校验信息3进行匹配校验。需要说明的是,此处提及的AH校验算法1可以是通信装置1和通信装置2预先约定好的。关于字段3,可以参考S101中对于字段3的描述部分,此处不做详述。
在本申请实施例中,由于AH校验算法1可以是通信装置1和通信装置2预先协商好的,或者说,是通信装置1上的APP 1预先和通信装置2协商好的,而通信装置1上的其它APP,无法获得该AH校验算法1,其它设备上安装的APP也无法获得AH校验算法1。因此,即使通信装置1上的其它APP或者其它设备上的APP盗用了应用信息1,由于其无法获得AH校验算法1,因此,其无法生成验证信息1。相应的,盗用应用信息1的APP生成的报文d中不包括验证信息1,故而通信装置2接收到报文d时,对应用信息1的完整性验证不通过,从而可以避免由于应用信息1被盗用而导致网络资源被盗用。
当验证算法1是基于AH的完整性验证,且报文1采用隧道模式封装时,S104的一种实现方式为:通信装置2采用AH校验算法2对报文1中的字段4进行计算,得到AH验证信息4,即得到验证信息2。而后,通信装置2对验证信息1和验证信息2进行匹配校验。所谓对验证信息1和验证信息2进行匹配校验,即为对S101中提及的AH校验信息2和AH校验信息4进行匹配校验。需要说明的是,此处提及的AH校验算法2可以是通信装置1和通信装置2预先约定好的。关于字段4,可以参考S101中对于字段4的描述部分,此处不做详述。
在本申请实施例中,由于AH校验算法2可以是通信装置1和通信装置2预先协商好的,或者说,是通信装置1上的APP 1预先和通信装置2协商好的,而通信装置1上的其它APP,无法获得该AH校验算法2,其它设备上安装的APP也无法获得AH校验算法2。因此,即使通信装置1上的其它APP或者其它设备上的APP盗用了应用信息1,由于其无法获得AH校验算法2,因此,其无法生成验证信息1。相应的,盗用应用信息1的APP生成的报文e中不包括验证信息1,故而通信装置2接收到报文e时,对应用信息1的完整性验证不通过,从而可以避免由于应用信息1被盗用而导致网络资源被盗用。
当验证算法1是基于ESP的完整性验证时,S104的一种实现方式为:通信装置2可以采用ESP校验算法1对报文1中的字段5进行计算从而得到ESP验证信息2,即:得到验证信息2。而后,通信装置2对验证信息1和验证信息2进行匹配校验。所谓对验证信息1和验证信息2进行匹配校验,即为对S101中提及的ESP校验信息1和ESP校验信息2进行匹配校验。需要说明的是,此处提及的ESP校验算法1可以是通信装置1和通信装置2预先约定好的。关于字段5,可以参考S101中对于字段5的描述部分,此处不做详述。
在本申请实施例中,由于ESP校验算法1可以是通信装置1和通信装置2预先协商好的,或者说,是通信装置1上的APP 1预先和通信装置2协商好的,而通信装置1上的其它APP,无法获得该ESP校验算法1,其它设备上安装的APP也无法获得ESP校验算法1。因此,即使通信装置1上的其它APP或者其它设备上的APP盗用了应用信息1,由于其无法获得ESP校验算法1,因此,其无法生成验证信息1。相应的,盗用应用信息1的APP生成的报文f中不包括验证信息1,故而通信装置2接收到报文f时,对应用信息1的完整性验证不通过,从而可以避免由于应用信息1被盗用而导致网络资源被盗用。
S105a:通信装置2在应用信息1通过验证的情况下,将报文1发送给通信装置3。
S105b:通信装置2在应用信息1未通过验证的情况下,丢弃报文1。
在本申请实施例中,通信装置2对应用信息1进行完整性验证之后,若应用信息1通过验证,则说明报文1中的应用信息是合法的,故而通信装置2可以将报文1发送给服务器102。在一些实施例中,通信装置2可以根据应用信息1确定报文1对应的网络资源,并进一步利用所确定的网络资源将报文1转发给服务器102。
在本申请实施例的一种实现方式中,若应用信息1未通过验证,则说明报文1中的应用信息可能是通过非法手段获得的,故而通信装置2可以丢弃该报文1,从而避免应用信息1对应的网络资源被非法盗用。
在本申请实施例的一种实现方式中,报文1中用于对应用信息1进行完整性验证的验证信息,可以包括一个或者多个。相应的,通信装置2除了可以基于验证信息1对应用信息1进行完整性验证之外,还可以基于其它验证信息对应用信息1进行完整性验证。换言之,在本申请实施例中,报文1中除了包括验证信息1之外,还可以包括验证信息3。其中,验证信息3可以是通信装置1对报文1中的字段进行计算得到的。作为一个示例,验证信息3可以是利用校验算法2对报文1中的字段进行计算得到的。
校验算法2与校验算法1是不同的校验算法。但是与校验算法1类似,校验算法2也可以是HMAC算法、数字签名算法、基于IPSec的完整性验证中的其中一种。关于校验算法2,可以参考上文对于校验算法1的描述部分,此处不做详述。关于通信装置1利用校验算法2得到验证信息3的具体实现,可以参考上文通信装置1根据校验算法1得到验证信息1的描述部分,此处不做详述。相应的,关于通信装置2利用校验信息3对应用信息1进行完整性验证的具体实现,可以参考上文对于S104的具体描述部分,此处不再重复描述。
参见图5,图5为本申请实施例提供的一种校验应用信息的方法的信令交互图。
图5所示的校验应用信息的方法200,可以由图1所示的通信装置1和通信装置2执行,关于方法200中的通信装置1、通信装置2和通信装置3,可以参考方法100中对通信装置1、通信装置2和通信装置3的描述部分,此处不再重复描述。该方法200例如可以通过如下S201-S203实现。
S201:通信装置1获取报文1,报文1中包括数字证书1,所述数字证书1中包括应用信息1和验证信息1。
在本申请实施例中,通信装置1首先可以向控制管理设备发送应用信息1,而后,从控制管理设备处获得包括应用信息1和验证信息1的数字证书1。在一个实施例中,控制管理设备可以利用哈希算法1对应用信息1进行哈希计算,得到哈希摘要1,而后,控制管理设备利用自身的私钥1对哈希摘要1进行加密,得到验证信息1,验证信息1即为哈希摘要1的加密摘要。此处提及的数字证书1,除了包括应用信息1和验证信息1之外,还可以包括控制管理设备的身份信息和私钥1对应的公钥1,关于控制管理设备的身份信息,此处不做限定。
通信装置1从控制管理设备处获得数字证书1之后,可以生成包括该数字证书1的报文1。
在本申请实施例中,在一种实现方式中,此处提及的报文1,可以是IPv6报文。
当报文1是IPv6报文时,在一些实施例中,前述数字证书1可以携带在IPv6报文的扩展头中。在另一些实施例中,数字证书1可以携带在IPv6报文的源地址字段或者目的地址字段中。
在一种实现方式中,报文1可以是MPLS报文。
当报文1是MPLS报文时,数字证书1例如可以携带在该MPLS报文的报文头中。作为一种示例,数字证书1可以携带在报文头中的标签栈中,例如携带在某一个标签值字段中。作为又一种示例,数字证书1可以携带在该MPLS报文的扩展TLV字段中。
在一种实现方式中,报文1可以是SRv6报文。
当报文1是SRv6报文时,数字证书1例如可以携带在该SRv6报文的报文头中。作为一种示例,数字证书1可以携带在SRv6报文的SRH中。在一些实施例中,数字证书1可以携带在SRH的源地址字段中;在另一些实施例中,数字证书1可以携带在SRH的目的地址字段中。在又一些实施例中,数字证书1还可以携带在SID list中。
在一种实现方式中,报文1可以是IPv4报文。
当报文1是IPv4报文时,数字证书1例如可以携带在IPv4报文的option字段中。
在一种实现方式中,报文1可以是GRE报文。
当报文1是GRE报文时,数字证书1可以携带在该GRE报文的报文头中。作为一种示例,数字证书1可以携带在报文头中的key字段中。
在一种实现方式中,报文1可以是VXLAN报文。
当报文1是VXLAN报文时,数字证书1可以携带在VXLAN报文的报文头中。作为一种示例,数字证书1可以携带在报文头中的预留字段中。作为又一种示例,数字证书1可以携带在报文头中的VNI字段中。
在一种实现方式中,报文1可以是NVGRE报文。
当报文1是NVGRE报文时,数字证书1可以携带在NVGRE报文的报文头中。作为一种示例,数字证书1可以携带在报文头中的预留字段中。作为又一种示例,数字证书1可以携带在报文头中的VNI字段中。作为另一种示例,数字证书1可以携带在报文头中的flow ID字段中。
在一种实现方式中,报文1可以是Geneve报文。
当报文1是Geneve报文时,数字证书1可以携带在Geneve报文的报文头中。作为一种示例,数字证书1可以携带在报文头中的预留字段中。作为又一种示例,数字证书1可以携带在报文头中的可变长度选项字段中。
S202:通信装置1将报文1发送给通信装置2。
S203:通信装置2接收报文1。
S204:通信装置2对所述数字证书1进行合法性验证。
通信装置2接收到报文1之后,可以对该数字证书1进行合法性验证。由于数字证书1中包括应用信息1和验证信息1。因此,若数字证书1合法,则表示验证信息1和应用信息1的合法性得到了验证。关于通信装置2对数字证书1进行验证的具体实现方式,可以参考前文通信装置2对数字证书1进行合法性验证的描述部分,此处不做详细说明。
S205a:通信装置2在所述数字证书1通过验证的情况下将报文1转发给通信装置3。
S205b:通信装置2在所述数字证书1未通过验证的情况下,丢弃报文1。
在本申请实施例中,通信装置2对数字证书2进行合法性验证之后,若所述数字证书1通过验证,则说明报文1中的应用信息1是合法的,故而通信装置2可以将报文1发送给通信装置3。在一些实施例中,通信装置2可以根据应用信息1确定报文1对应的网络资源,并进一步利用所确定的网络资源将报文1转发给通信装置3。
在本申请实施例的一种实现方式中,若所述数字证书1未通过验证,则说明报文1中的应用信息1可能是通过非法手段获得的,故而通信装置2可以丢弃该报文1,从而避免应用信息1对应的网络资源被非法盗用。
在本申请实施例的一种实现方式中,报文1中除了包括验证信息1之外,还可以包括对应用信息1进行完整性验证的验证信息2。关于验证信息2,其与前文方法100中的验证信息1类似,故而此处不做详述。
相应的,通信装置2除了对数字证书1进行合法性验证之外,还可以利用验证信息2对应用信息1进行完整性验证。关于通信装置2利用验证信息2对应用信息1进行验证的具体实现,可以参考上文S104的具体实现部分,此处不再详述。
如方法100中对于验证信息1的描述部分可知,验证信息1可以是利用数字签名算法对报文1中的字段进行计算得到的,因此,在一种实现方式中,方法200中的验证信息2可以是利用数字签名算法对报文1中的字段进行计算得到的。其中,报文1中的字段包括应用信息1。对于这种情况,通信装置1可以利用私钥2和哈希算法2对报文1中的字段进行数字签名,并将所得到的数字签名1确定为验证信息2。在一个示例中:通信装置1可以利用哈希算法2对报文1中的应用信息1进行哈希计算,得到哈希摘要1,并利用私钥2和加密算法1对哈希摘要1进行加密,得到数字签名1。相应的,通信装置2可以利用解密算法1和私钥2对应的公钥2对验证信息2进行解密,得到哈希摘要1’。通信装置2还可以利用哈希算法2对报文1中的应用信息1进行哈希计算,得到哈希摘要1”,并对哈希摘要1’和哈希摘要1”进行匹配校验。其中,解密算法1是加密算法1的逆运算,用于对利用加密算法1加密之后的数据进行解密。
在本申请实施例的一种实现方式中,若验证信息2可以是利用数字签名算法对报文1中的字段进行计算得到的,则前文提及的公钥2可以携带在S201中提及的数字证书1中。前述解密算法1和哈希算法2也可以携带在S201中提及的数字证书1中。
本申请实施例还提供了一种校验应用信息的方法300,可参见图6,图6为本申请实施例提供的一种校验应用信息的方法的流程示意图。
图6所示的方法300,可以由第一通信装置执行,第一通信装置例如可以为以上实施例中提及的通信装置1。图6所示的方法300,可以应用于以上实施例提及的方法100,用于执行以上方法100中由通信装置1执行的步骤,该方法300例如可以包括如下S301-S302。
S301:接收第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证。
S302:基于所述第一验证信息对所述应用信息的完整性进行验证。
方法300中的第一报文,可以对应方法100中的报文1;方法300中的应用信息,可以对应方法100中的应用信息1;方法300中的第一验证信息,可以对应方法100中的验证信息1。
在一种实现方式中,基于所述第一验证信息对所述应用信息的完整性进行验证,包括:
根据所述第一报文中的目标字段,获取第二验证信息,所述目标字段包括所述应用信息;
对所述第二验证信息和所述第一验证信息进行匹配校验。
方法300中的目标字段,可以对应方法100中的字段1、字段2、字段3、字段4或者字段5。方法300中的第二验证信息,可以对应方法100中的验证信息2。
在一种实现方式中,基于所述第一验证信息对所述应用信息的完整性进行验证,包括:
基于第一校验方法和所述第一验证信息对所述应用信息的完整性进行验证。
方法300中的第一校验方法,可以对应方法100中的验证算法1。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
对所述第一报文中的目标字段进行HMAC计算,获得第二HMAC校验信息;
对所述第一HMAC校验信息和所述第二HMAC校验信息进行匹配验证。
当第一校验方法为HMAC校验时,方法300中的目标字段对应方法100中的字段1。
在一种实现方式中,方法300中的第一HMAC校验信息,可以对应方法100中利用将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息1。相应的,第二HMAC校验信息可以对应方法100中将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息2。
在一种实现方式中,方法300中的第一HMAC校验信息,可以对应方法100中的HMAC2,相应的,第二HMAC校验信息,可以对应方法100中的HMAC 2’。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥和第一哈希计算对所述第一报文中的目标字段进行签名所得到的数字签名,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
通过第一公钥对所述数字签名进行解密,得到第一明文;
对所述目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;
对所述第一明文和所述第二明文,进行匹配验证。
当第一校验方法为数字签名时:目标字段对应方法100中的字段2;第一私钥对应方法100中的私钥1;第一哈希计算对应方法100中的哈希算法3;数字签名对应方法100中的数字签名1;第一公钥对应方法100中的公钥1;第一明文对应方法100中的哈希摘要1”;第二哈希计算对应方法100中的哈希算法3;第二明文可以对应方法100中的哈希摘要1’。
在一种实现方式中,所述第一报文中还包括数字证书,所述数字证书中包括所述第一公钥。
方法300中的数字证书,对应方法100中的数字证书1,第一公钥对应方法100中的公钥1。
在一种实现方式中,所述数字证书中还包括对所述数字签名进行解密的解密算法,和/或,所述哈希算法。
此处提及的解密算法,可以对应方法100中的解密算法1;此处提及的哈希算法,可以对应方法100中的哈希算法3。
在一种实现方式中,所述方法还包括:
对所述数字证书的合法性进行验证。
在一种实现方式中,所述第一报文中包括数字证书,所述应用信息和所述第一验证信息携带在所述数字证书中。
在一种实现方式中,所述基于所述第一验证信息对所述应用信息的完整性进行验证,包括:
对所述数字证书的合法性进行验证。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
当第一校验方法为基于IPSEC的完整性验证时,第一校验方法可以为AH校验或者ESP校验。
在一种实现方式中,所述第一验证信息为第一认证头AH验证信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
利用AH校验算法对所述第一报文中的目标字段进行计算,得到第二AH验证信息;
对所述第一AH验证信息和所述第二AH验证信息进行匹配验证。
当第一校验方法为AH校验时,第一验证信息为第一AH验证信息,第二验证信息为第二AH验证信息。第一AH验证信息,可以对应方法100中的AH验证信息1或者AH验证信息2,第二AH验证信息,可以对应方法100中的AH验证信息3或者AH验证信息4。
在一个示例中,当第一报文采用传输模式封装时,第一AH验证信息对应方法100中的AH验证信息1,第二验证信息对应方法100中的AH验证信息3,目标字段可以对应方法100中的字段3;当第一报文采用隧道模式封装时,第一AH验证信息对应方法100中的AH验证信息2,第二验证信息对应方法100中的AH验证信息4,目标字段可以对应方法100中的字段4。
在一种实现方式中,所述第一验证信息为第一封装安全负载ESP验证信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
利用ESP校验算法对所述第一报文中的目标字段进行计算,得到第二ESP校验信息;
对所述第一ESP验证信息和所述第二ESP验证信息进行匹配验证。
当第一校验方法为ESP校验时,第一验证信息为第一ESP验证信息,第二验证信息为第二ESP验证信息。第一ESP验证信息,可以对应方法100中的ESP验证信息1,第二ESP验证信息,可以对应方法100中的ESP验证信息2,目标字段可以对应方法100中的字段5。
在一种实现方式中,所述第一通信装置为网络设备。
在一种实现方式中,所述第一通信装置包括:
接入ACC设备,或者,用户驻地CPE设备,或者,家庭网关RG,或者,数据中心服务器接入leaf设备,或者,数据中心出口网关DC GW,或者,自治系统边界路由器ASBR,或者,基站,或者,用户面功能UPF设备,或者,宽带网络网关BNG,或者,运营商边缘PE设备。
在一种实现方式中,所述方法还包括:
在确定所述应用信息通过验证的情况下,转发所述第一报文。
在一种实现方式中,所述方法还包括:
在确定所述应用信息未通过验证的情况下,丢弃所述第一报文。
本申请实施例还提供了一种报文处理方法400,可参见图7,图7为本申请实施例提供的一种报文处理方法的流程示意图。
图7所示的方法700,可以由第二通信装置执行,第二通信装置例如可以为以上实施例中提及的通信装置2。图7所示的方法400,可以应用于以上实施例提及的方法100,用于执行以上方法100中由通信装置2执行的步骤,该方法400例如可以包括如下S401-S402。
S401:生成第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证。
S402:将所述第一报文发送给第一通信装置。
方法400中的第一报文,可以对应方法100中的报文1;方法400中的应用信息,可以对应方法100中的应用信息1;方法400中的第一验证信息,可以对应方法100中的验证信息1。
在一种实现方式中,所述第一验证信息是根据所述第一报文中的目标字段获得的,所述目标字段包括所述应用信息。
在方法400中,目标字段可以对应方法100中的字段1、字段2、字段3、字段4或者字段5。
在一种实现方式中,所述第一验证信息,是利用第一校验方法对所述第一报文中的目标字段进行计算得到的,所述目标字段包括所述应用信息。
方法400中的第一校验方法,可以对应方法100中的验证算法1。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息。
当第一校验方法为HMAC校验时,方法300中的目标字段对应方法100中的字段1。
在一种实现方式中,方法400中的第一HMAC校验信息,可以对应方法100中利用将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息1。
在一种实现方式中,方法400中的第一HMAC校验信息,可以对应方法100中的HMAC2。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥对所述目标字段进行签名所得到的数字签名。
当第一校验方法为数字签名时:目标字段对应方法100中的字段2;第一私钥对应方法100中的私钥1,数字签名对应方法100中的数字签名1。
在一种实现方式中,所述所述第一验证信息为数字证书中的加密摘要,所述数字证书中还包括所述应用信息。
此处提及的数字证书可以对应方法100中的数字证书1,相应的,数字证书中的加密摘要,可以对应方法100中的加密摘要1。
在一种实现方式中,所述第一验证信息,是控制管理设备发送给所述第二通信装置的。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
当第一校验方法为基于IPSEC的完整性验证时,第一校验方法可以为AH校验或者ESP校验。
在一种实现方式中,所述第一验证信息为第一认证头AH验证信息。
第一AH验证信息,可以对应方法100中的AH验证信息1或者AH验证信息2。当第一报文采用传输模式封装时,第一AH验证信息对应方法100中的AH验证信息1;当第一报文采用隧道模式封装时,第一AH验证信息对应方法100中的AH验证信息2。
在一种实现方式中,所述第一验证信息为第一封装安全负载ESP验证信息。
第一ESP验证信息,可以对应方法100中的ESP验证信息1。
在一种实现方式中,所述第二通信装置为服务器或者用户设备。
在一种实现方式中,所述用户设备包括:
物联网IoT设备或终端设备。
在以上方法300和方法400中:
在一种实现方式中,所述应用信息和所述第一验证信息携带在所述第一报文的报文头中。
在一种实现方式中,所述第一报文为互联网协议第6版IPv6报文。
在一种实现方式中,所述应用信息携带在IPv6扩展头中。
在一种实现方式中,所述应用信息携带在目的地址中。
在一种实现方式中,所述应用信息携带在源地址中。
在一种实现方式中,所述第一验证信息携带在IPv6扩展头中。
在一种实现方式中,所述第一验证信息携带在目的地址中。
在一种实现方式中,所述第一验证信息携带在源地址中。
在一种实现方式中,所述第一报文为多协议标签交换MPLS报文。
在一种实现方式中,所述应用信息携带在标签值字段中。
在一种实现方式中,所述应用信息携带在扩展类型长度值TLV字段中。
在一种实现方式中,所述第一验证信息携带在标签值字段中。
在一种实现方式中,所述第一验证信息携带在扩展TLV字段中。
在一种实现方式中,所述第一报文为互联网协议第6版段路由SRv6报文。
在一种实现方式中,所述应用信息携带在分段路由头SRH中。
在一种实现方式中,所述第一验证信息携带在SRH中。
在一种实现方式中,所述第一报文为互联网协议第4版IPv4报文。
在一种实现方式中,所述应用信息携带在选项option字段中。
在一种实现方式中,所述第一验证信息携带在option字段中。
在一种实现方式中,所述第一报文为通用路由封装GRE报文。
在一种实现方式中,所述应用信息携带在关键字key字段中。
在一种实现方式中,所述第一验证信息携带在key字段中。
在一种实现方式中,所述第一报文为虚拟扩展局域网VXLAN报文。
在一种实现方式中,所述应用信息携带在虚拟网络标识符字段中。
在一种实现方式中,所述应用信息携带在预留字段中。
在一种实现方式中,所述第一验证信息携带在虚拟网络标识符字段中。
在一种实现方式中,所述第一验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
在一种实现方式中,所述应用信息携带在流标识字段中。
在一种实现方式中,所述应用信息携带在虚拟网络标识字段中。
在一种实现方式中,所述应用信息携带在预留字段中。
在一种实现方式中,所述第一验证信息携带在流标识字段中。
在一种实现方式中,所述第一验证信息携带在虚拟网络标识字段中。
在一种实现方式中,所述第一验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为通用网络虚拟化封装Geneve报文。
在一种实现方式中,所述应用信息携带在预留字段中。
在一种实现方式中,所述应用信息携带在可变长度选项字段中。
在一种实现方式中,所述第一验证信息携带在预留字段中。
在一种实现方式中,所述第一验证信息携带在可变长度选项字段中。
关于方法300和方法400的具体实现,可以参考上文对于方法100的描述部分,此处不再重复描述。
本申请实施例还提供了一种校验应用信息的方法500,可参见图8,图8为本申请实施例提供的一种校验应用信息的方法的流程示意图。
图8所示的方法500,可以由第一通信装置执行,第一通信装置例如可以为以上实施例中提及的通信装置1。图8所示的方法500,可以应用于以上实施例提及的方法200,用于执行以上方法200中由通信装置1执行的步骤,该方法500例如可以包括如下S501-S502。
S501:获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证。
S502:对所述数字证书进行合法性验证。
在方法500中:第一报文可以对应方法200中的报文1;数字证书可以对应方法200中的数字证书1;应用信息可以对应方法200中的应用信息1;第一验证信息可以对应方法100中的验证信息1。
在一种实现方式中,所述第一报文中还包括第二验证信息,所述第二验证信息用于对所述应用信息进行完整性验证,所述方法还包括:
利用所述第二验证信息对所述应用信息进行完整性验证。
方法500中的第二验证信息,可以对应方法200中的验证信息2。
在一种实现方式中,利用所述第二验证信息对所述应用信息进行完整性验证,包括:
根据所述第一报文中的目标字段,获取第三验证信息,所述目标字段包括所述应用信息;
对所述第三验证信息和所述第二验证信息进行匹配校验。
关于利用第二验证信息对应用信息进行验证,可以参考方法300中利用第一验证信息对应用信息进行验证的相关描述,此处不再重复描述。
在一种实现方式中,利用所述第二验证信息对所述应用信息进行完整性验证,包括:
基于数字签名算法和所述第二验证信息对所述应用信息的完整性进行验证。
在一种实现方式中,所述第二验证信息为采用第一私钥和第一哈希计算对所述第一报文中的目标字段进行签名所得到的数字签名,所述基于数字签名算法和所述第二验证信息对所述应用信息的完整性进行验证,包括:
通过第一公钥对所述数字签名进行解密,得到第一明文;
对所述目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;
对所述第一明文和所述第二明文,进行匹配验证。
在一种实现方式中,所述第一公钥携带在所述数字证书中。
在一种实现方式中,对所述数字签名进行解密的解密算法携带在所述数字证书中,和/或,所述哈希算法带在所述数字证书中。
本申请实施例还提供了一种报文处理方法600,可参见图9,图9为本申请实施例提供的一种报文处理方法的流程示意图。
图9所示的方法600,可以由第二通信装置执行,第二通信装置例如可以为以上实施例中提及的通信装置2。图9所示的方法600,可以应用于以上实施例提及的方法200,用于执行以上方法200中由通信装置2执行的步骤,该方法600例如可以包括如下S601-S602。
S601:获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证。
S602:将所述第一报文发送给第一通信装置。
在方法600中:第一报文可以对应方法200中的报文1;数字证书可以对应方法200中的数字证书1;应用信息可以对应方法200中的应用信息1;第一验证信息可以对应方法100中的验证信息1。
在一种实现方式中,所述第一报文中还包括第二验证信息,所述第二验证信息用于对所述应用信息进行完整性验证。
方法600中的第二验证信息,可以对应方法200中的验证信息2。
在一种实现方式中,所述第二验证信息是根据所述第一报文中的目标字段获得的,所述目标字段包括所述应用信息。
在一种实现方式中,所述第二验证信息,是利用第一校验方法对所述第一报文中的目标字段进行计算得到的,所述目标字段包括所述应用信息。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第二验证信息为采用第一私钥对所述目标字段进行签名所得到的数字签名。
此处提及的第一私钥,可以对应方法200中的私钥2,此处提及的数字签名,可以对应方法200中的数字签名1。
在一种实现方式中,所述第一私钥对应的第一公钥携带在所述数字证书中,所述第一公钥用于对所述第二验证信息进行验证。
此处提及的第一公钥,可以对应方法200中的公钥2。
在一种实现方式中,对所述数字签名进行解密的解密算法携带在所述数字证书中,和/或,对所述第二验证信息进行验证的哈希算法带在所述数字证书中。
此处提及的解密算法,可以对应方法200中的解密算法1;对第二验证信息进行验证的哈希算法,可以对应方法200中的哈希算法2。
在以上方法500和方法600中:
在一种实现方式中,所述数字证书携带在所述第一报文的报文头中。
在一种实现方式中,所述第一报文为互联网协议第6版IPV6报文。
在一种实现方式中,所述数字证书携带在IPv6扩展头中。
在一种实现方式中,所述数字证书携带在目的地址中。
在一种实现方式中,所述数字证书携带在源地址中。
在一种实现方式中,所述第一报文为多协议标签交换MPLS报文。
在一种实现方式中,所述数字证书携带在标签值字段中。
在一种实现方式中,所述数字证书携带在扩展类型长度值TLV字段中。
在一种实现方式中,所述第一报文为互联网协议第6版段路由SRv6报文。
在一种实现方式中,所述数字证书携带在分段路由头SRH中。
在一种实现方式中,所述第一报文为互联网协议第4版IPv4报文。
在一种实现方式中,所述数字证书携带在选项option字段中。
在一种实现方式中,所述第一报文为通用路由封装GRE报文。
在一种实现方式中,所述数字证书携带在关键字key字段中。
在一种实现方式中,所述第一报文为虚拟扩展局域网VXLAN报文。
在一种实现方式中,所述数字证书携带在虚拟网络标识符字段中。
在一种实现方式中,所述数字证书携带在预留字段中。
在一种实现方式中,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
在一种实现方式中,所述数字证书携带在流标识字段中。
在一种实现方式中,所述数字证书携带在虚拟网络标识字段中。
在一种实现方式中,所述数字证书携带在预留字段中。
在一种实现方式中,所述第一报文为通用网络虚拟化封装Geneve报文。
在一种实现方式中,所述数字证书携带在预留字段中。
在一种实现方式中,所述数字证书携带在可变长度选项字段中。
在一种实现方式中,所述第一验证信息为所述数字证书中的加密摘要。
关于方法500和方法600的具体实现,可以参考上文对于方法200的描述部分,此处不再详述。
本申请实施例还提供了一种应用信息的处理方法700,可参见图10,图10为本申请实施例提供的一种应用信息的处理方法的流程示意图。
图10所示的方法700,可以由控制管理设备执行。图9所示的方法700,可以应用于以上实施例提及的方法100或者200,用于执行以上方法100或者200中由控制管理设备执行的步骤,该方法700例如可以包括如下S701-S703。
S701:获取应用信息。
S702:根据所述应用信息获得第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证。
S703:将所述第一验证信息发送给第二通信装置。
在方法700中:应用信息可以对应于方法100或者方法200中的应用信息1;第一验证信息可以对应方法100或者方法200中的验证信息1;第二通信装置可以对应方法100或者方法200中的通信装置2。
在一种实现方式中,所述根据所述应用信息获得第一验证信息,包括:
基于第一校验方法对所述应用信息进行计算,得到所述第一验证信息。
此处提及的第一校验方法,可以对应方法100中的验证算法1。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息。
作为一种示例,第一HMAC校验信息,可以对应方法100中利用将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息1。作为又一种示例,第一HMAC校验信息,可以对应方法100中的HMAC 2。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥和第一哈希计算对所述应用信息进行签名所得到的数字签名。
第一私钥对应方法100中的私钥1;第一哈希计算对应方法100中的哈希算法3;数字签名对应方法100中的数字签名1。
在一种实现方式中,所述根据所述应用信息获得第一验证信息,包括:
根据所述应用信息获得数字证书,所述数字证书包括所述第一验证信息。
此处提及的数字证书,例如可以对应方法100中的数字证书1。
在一种实现方式中,将所述第一验证信息发送给第二通信装置,包括:
将所述数字证书发送给所述第二通信装置。
在一种实现方式中,所述方法还包括:
根据所述应用信息获得第二验证信息,所述第二验证信息用于对所述应用信息的完整性进行验证;
将所述第二验证信息发送给第二通信装置。
此处提及的第二验证信息,例如可以对应方法100中的验证信息3。
在一种实现方式中,所述根据所述应用信息获得第二验证信息,包括:
基于第二校验方法对所述应用信息进行计算,得到所述第二验证信息。
在一种实现方式中,所述第二校验方法为HMAC校验。
在一种实现方式中,所述第二验证信息包括第二HMAC校验信息。
关于第二HMAC校验信息,可以参考上文对于第一HMAC校验信息的描述部分,此处不再详述。
在一种实现方式中,所述第二校验方法为数字签名验证。
在一种实现方式中,所述第二验证信息为采用第二私钥和第二哈希计算对所述应用信息进行签名所得到的数字签名。
在一种实现方式中,所述第一校验方法和所述第二校验方法为不同的校验方法。
关于方法700的具体实现,可以参考上文对于方法100以及方法200的描述部分,此处不再详述。
本申请实施例还提供了一种校验应用信息的方法800,可参见图11,图11为本申请实施例提供的一种校验应用信息的方法的流程示意图。
图11所示的方法800,可以由第一通信装置执行,第一通信装置例如可以为以上实施例中提及的通信装置1。图11所示的方法800,可以应用于以上实施例提及的方法100,用于执行以上方法100中由通信装置1执行的步骤,该方法800例如可以包括如下S801-S802。
S801:获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证。
S802:根据所述至少一个验证信息,对所述应用信息进行完整性验证。
在方法800中:至少一个验证信息可以对应方法100中的验证信息1,或者,可以对应方法100中的验证信息1和验证信息3。
在一种实现方式中,所述获取应用信息和至少一个验证信息包括:
接收第一报文,所述第一报文包括所述应用信息和所述至少一个验证信息。
第一报文可以对应方法100中的报文1。
在一种实现方式中,所述至少一个验证信息包括第一验证信息。
第一验证信息可以对应方法100中的验证信息1。
在一种实现方式中,所述根据所述至少一个验证信息,对所述应用信息进行完整性验证,包括:
根据所述第一报文中的第一目标字段获取第三验证信息,所述第一目标字段包括所述应用信息;
对所述第三验证信息和所述第一验证信息进行匹配校验。
方法800中的第一目标字段,可以对应方法100中的字段1、字段2、字段3、字段4或者字段5。方法800中的第三验证信息,可以对应方法100中的验证信息2。
在一种实现方式中,所述根据所述至少一个验证信息,对所述应用信息进行完整性验证,包括:
基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证。
方法800中的第一校验方法,可以对应方法100中的验证算法1。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
对所述第一目标字段进行HMAC计算,获得第二HMAC校验信息;
对所述第一HMAC校验信息和所述第二HMAC校验信息进行匹配验证。
在一种实现方式中,方法800中的第一HMAC校验信息,可以对应方法100中利用将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息1。相应的,第二HMAC校验信息可以对应方法100中将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息2。
在一种实现方式中,方法800中的第一HMAC校验信息,可以对应方法100中的HMAC2,相应的,第二HMAC校验信息,可以对应方法100中的HMAC 2’。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥和第一哈希计算对所述第一目标字段进行签名所得到的数字签名,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
通过第一公钥对所述数字签名进行解密,得到第一明文;
对所述第一目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;
对所述第一明文和所述第二明文,进行匹配验证。
当第一校验方法为数字签名时:第一目标字段对应方法100中的字段2;第一私钥对应方法100中的私钥1;第一哈希计算对应方法100中的哈希算法3;数字签名对应方法100中的数字签名1;第一公钥对应方法100中的公钥1;第一明文对应方法100中的哈希摘要1”;第二哈希计算对应方法100中的哈希算法3;第二明文可以对应方法100中的哈希摘要1’。
在一种实现方式中,所述第一报文包括数字证书,所述第一公钥携带在数字证书中。
方法800中的数字证书,对应方法100中的数字证书1,第一公钥对应方法100中的公钥1。
在一种实现方式中,所述数字证书中还包括对所述数字签名进行解密的解密算法,和/或,所述哈希算法。
此处提及的解密算法,可以对应方法100中的解密算法1;此处提及的哈希算法,可以对应方法100中的哈希算法3。
在一种实现方式中,所述方法还包括:
对所述数字证书的合法性进行验证。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
当第一校验方法为基于IPSEC的完整性验证时,第一校验方法可以为AH校验或者ESP校验。
在一种实现方式中,所述第一验证信息为第一认证头AH验证信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
利用AH校验算法对所述第一目标字段进行计算,得到第二AH校验信息;
对所述第一AH验证信息和所述第二AH验证信息进行匹配验证。
当第一校验方法为AH校验时,第一验证信息为第一AH验证信息,第二验证信息为第二AH验证信息。第一AH验证信息,可以对应方法100中的AH验证信息1或者AH验证信息2,第二AH验证信息,可以对应方法100中的AH验证信息3或者AH验证信息4。
在一个示例中,当第一报文采用传输模式封装时,第一AH验证信息对应方法100中的AH验证信息1,第二验证信息对应方法100中的AH验证信息3,第一目标字段可以对应方法100中的字段3;当第一报文采用隧道模式封装时,第一AH验证信息对应方法100中的AH验证信息2,第二验证信息对应方法100中的AH验证信息4,第一目标字段可以对应方法100中的字段4。
在一种实现方式中,所述第一验证信息为第一封装安全负载ESP验证信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
利用ESP校验算法对所述第一目标字段进行计算,得到第二ESP校验信息;
对所述第一ESP验证信息和所述第二ESP验证信息进行匹配验证。
当第一校验方法为ESP校验时,第一验证信息为第一ESP验证信息,第二验证信息为第二ESP验证信息。第一ESP验证信息,可以对应方法100中的ESP验证信息1,第二ESP验证信息,可以对应方法100中的ESP验证信息2,第一目标字段可以对应方法100中的字段5。
在一种实现方式中,所述第一报文包括数字证书,所述应用信息和所述至少一个验证信息携带在数字证书中,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
对所述数字证书进行合法性验证。
在一种实现方式中,所述至少一个验证信息,还包括第二验证信息。
此处提及的第二验证信息,可以对应方法100中的验证信息3。
在一种实现方式中,所述根据所述至少一个验证信息,对所述应用信息进行完整性验证,包括:
根据所述第一报文中的第二目标字段获取第四验证信息,所述第二目标字段包括所述应用信息;
对所述第四验证信息和所述第二验证信息进行匹配校验。
在一种实现方式中,所述根据所述至少一个验证信息,对所述应用信息进行完整性验证,包括:
基于第二校验方法和所述第二验证信息,对所述应用信息的完整性进行验证。
在一种实现方式中,所述第一校验方法和所述第二校验方法,为不同的校验算法。
关于第二验证信息,可以参考对于第一验证信息的相关描述,此处不再详述。
在一种实现方式中,所述第一通信装置为网络设备。
在一种实现方式中,所述第一通信装置包括:
接入ACC设备,或者,用户驻地CPE设备,或者,家庭网关RG,或者,数据中心服务器接入leaf设备,或者,数据中心出口网关DC GW,或者,自治系统边界路由器ASBR,或者宽带网络网关BNG,或者,运营商边缘PE设备。
在一种实现方式中,所述方法还包括:
在确定所述应用信息通过验证的情况下,转发所述第一报文。
在一种实现方式中,所述方法还包括:
在确定所述应用信息未通过验证的情况下,丢弃所述第一报文。
本申请实施例还提供了一种报文处理方法900,可参见图12,图12为本申请实施例提供的一种报文处理方法的流程示意图。
图12所示的方法900,可以由第二通信装置执行,第二通信装置例如可以为以上实施例中提及的通信装置2。图12所示的方法900,可以应用于以上实施例提及的方法100,用于执行以上方法100中由通信装置2执行的步骤,该方法900例如可以包括如下S901-S902。
S901:获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证。
S902:将所述应用信息和所述至少一个验证信息,发送给第一通信装置。
在方法900中:至少一个验证信息可以对应方法100中的验证信息1,或者,可以对应方法100中的验证信息1和验证信息3。
在一种实现方式中,所述获取应用信息和至少一个验证信息,包括:
获取第一报文,所述第一报文包括所述应用信息和所述至少一个验证信息;
所述将所述应用信息和所述至少一个验证信息,发送给第一通信装置,包括:
将所述第一报文发送给所述第一通信装置。
第一报文可以对应方法100中的报文1,第一通信装置可以对应方法100中的通信装置1。
在一种实现方式中,所述至少一个验证信息包括第一验证信息。
第一验证信息可以对应方法100中的验证信息1。
在一种实现方式中,所述第一验证信息是根据所述第一报文中的第一目标字段获得的,所述第一目标字段包括所述应用信息。
在方法900中,第一目标字段可以对应方法100中的字段1、字段2、字段3、字段4或者字段5。
在一种实现方式中,所述第一验证信息,是利用第一校验方法对所述第一报文中的第一目标字段进行计算得到的,所述第一目标字段包括所述应用信息。
方法900中的第一校验方法,可以对应方法100中的验证算法1。
在一种实现方式中,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
在一种实现方式中,所述第一验证信息包括第一HMAC校验信息。
当第一校验方法为HMAC校验时,方法300中的目标字段对应方法100中的字段1。
在一种实现方式中,方法900中的第一HMAC校验信息,可以对应方法100中利用将密钥1附加在字段1上作为哈希算法1的输入得到的验证信息1。
在一种实现方式中,方法900中的第一HMAC校验信息,可以对应方法100中的HMAC2。
在一种实现方式中,所述第一校验方法为数字签名验证。
在一种实现方式中,所述第一验证信息为采用第一私钥对所述第一目标字段进行签名所得到的数字签名。
当第一校验方法为数字签名时:第一目标字段对应方法100中的字段2;第一私钥对应方法100中的私钥1,数字签名对应方法100中的数字签名1。
在一种实现方式中,所述第一验证信息为数字证书中的加密摘要,所述数字证书中还包括所述应用信息。
此处提及的数字证书可以对应方法100中的数字证书1,相应的,数字证书中的加密摘要,可以对应方法100中的加密摘要1。
在一种实现方式中,所述第一验证信息,是控制管理设备发送给所述第二通信装置的。
在一种实现方式中,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
当第一校验方法为基于IPSEC的完整性验证时,第一校验方法可以为AH校验或者ESP校验。
在一种实现方式中,所述第一验证信息为第一认证头AH验证信息。
第一AH验证信息,可以对应方法100中的AH验证信息1或者AH验证信息2。当第一报文采用传输模式封装时,第一AH验证信息对应方法100中的AH验证信息1;当第一报文采用隧道模式封装时,第一AH验证信息对应方法100中的AH验证信息2。
在一种实现方式中,所述第一验证信息为第一封装安全负载ESP验证信息。
第一ESP验证信息,可以对应方法100中的ESP验证信息1。
在一种实现方式中,所述至少一个验证信息,还包括第二验证信息。
第二验证信息可以对应方法100中的验证信息3。
在一种实现方式中,所述第二验证信息是根据所述第一报文中的第二目标字段获得的,所述第二目标字段包括所述应用信息。
关于第二目标字段,可以参考对于第一目标字段的描述部分,此处不再重复描述。
在一种实现方式中,所述第二验证信息,是利用第二校验方法对所述第一报文中的第二目标字段进行计算得到的,所述第二目标字段包括所述应用信息。
关于第二校验方法,可以参考对第一校验方法的描述部分,此处不再详述。
在一种实现方式中,所述第一校验方法和所述第二校验方法,为不同的校验算法。
在以上方法800和方法900中:
在一种实现方式中,所述应用信息和所述至少一个验证信息携带在所述第一报文的报文头中。
在一种实现方式中,所述第一报文为互联网协议第6版IPv6报文。
在一种实现方式中,所述应用信息携带在IPv6扩展头中。
在一种实现方式中,所述应用信息携带在目的地址中。
在一种实现方式中,所述应用信息携带在源地址中。
在一种实现方式中,所述至少一个验证信息携带在IPv6扩展头中。
在一种实现方式中,所述至少一个验证信息携带在目的地址中。
在一种实现方式中,所述至少一个验证信息携带在源地址中。
在一种实现方式中,所述第一报文为多协议标签交换MPLS报文。
在一种实现方式中,所述应用信息携带在标签值字段中。
在一种实现方式中,所述应用信息携带在扩展类型长度值TLV字段中。
在一种实现方式中,所述至少一个验证信息携带在标签值字段中。
在一种实现方式中,所述至少一个验证信息携带在扩展TLV字段中。
在一种实现方式中,所述第一报文为互联网协议第6版段路由SRv6报文。
在一种实现方式中,所述应用信息携带在分段路由头SRH中。
在一种实现方式中,所述至少一个验证信息携带在SRH中。
在一种实现方式中,所述第一报文为互联网协议第4版IPv4报文。
在一种实现方式中,所述应用信息携带在选项option字段中。
在一种实现方式中,所述至少一个验证信息携带在option字段中。
在一种实现方式中,所述第一报文为通用路由封装GRE报文。
在一种实现方式中,所述应用信息携带在关键字key字段中。
在一种实现方式中,所述至少一个验证信息携带在key字段中。
在一种实现方式中,所述第一报文为虚拟扩展局域网VXLAN报文。
在一种实现方式中,所述应用信息携带在虚拟网络标识符字段中。
在一种实现方式中,所述应用信息携带在预留字段中。
在一种实现方式中,所述至少一个验证信息携带在虚拟网络标识符字段中。
在一种实现方式中,所述至少一个验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
在一种实现方式中,所述应用信息携带在流标识字段中。
在一种实现方式中,所述应用信息携带在虚拟网络标识字段中。
在一种实现方式中,所述应用信息携带在预留字段中。
在一种实现方式中,所述至少一个验证信息携带在流标识字段中。
在一种实现方式中,所述至少一个验证信息携带在虚拟网络标识字段中。
在一种实现方式中,所述至少一个验证信息携带在预留字段中。
在一种实现方式中,所述第一报文为通用网络虚拟化封装Geneve报文。
在一种实现方式中,所述应用信息携带在预留字段中。
在一种实现方式中,所述应用信息携带在可变长度选项字段中。
在一种实现方式中,所述至少一个验证信息携带在预留字段中。
在一种实现方式中,所述至少一个验证信息携带在可变长度选项字段中。
关于方法800和方法900的具体实现,可以参考上文对于方法100的描述部分,此处不再重复描述。
此外,本申请实施例还提供了一种通信装置1300,参见图13所示。图13为本申请实施例提供的一种通信装置的结构示意图。该通信装置1300包括收发单元1301和处理单元1302。该通信装置1300可以用于执行以上实施例中的方法100、方法200、方法300、方法400、方法500、方法600、方法700、方法800或者方法900。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法100,当通信装置1300用于执行以上实施例中的方法100时,通信装置1300相当于方法100中的通信装置1。收发单元1301用于执行方法100中通信装置1执行的收发操作。处理单元1302用于执行方法100中通信装置1执行的除收发操作之外的操作。例如:处理单元1302用于生成报文1,报文1中包括应用信息1和验证信息1;收发单元1301用于将报文1发送给通信装置2。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法100,当通信装置1300用于执行以上实施例中的方法100时,通信装置1300相当于方法100中的通信装置2。收发单元1301用于执行方法100中通信装置2执行的收发操作。处理单元1302用于执行方法100中通信装置2执行的除收发操作之外的操作。例如:收发单元1301用于接收报文1,报文1中包括应用信息1和验证信息1;处理单元1302用于根据报文1中的验证信息1,对报文1中的应用信息1的完整性进行验证。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法200,当通信装置1300用于执行以上实施例中的方法200时,通信装置1300相当于方法200中的通信装置1。收发单元1301用于执行方法200中通信装置1执行的收发操作。处理单元1302用于执行方法200中通信装置1执行的除收发操作之外的操作。例如:处理单元1302用于生成报文1,所述报文1中包括数字证书1,所述数字证书1中包括应用信息1和验证信息1,所述验证信息1用于对所述应用信息1进行完整性验证;收发单元1301用于将所述报文1发送给通信装置2。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法200,当通信装置1300用于执行以上实施例中的方法200时,通信装置1300相当于方法200中的通信装置2。收发单元1301用于执行方法200中通信装置2执行的收发操作。处理单元1302用于执行方法200中通信装置2执行的除收发操作之外的操作。例如:收发单元1301用于接收报文1,报文1中包括数字证书1,所述数字证书1中包括应用信息1和验证信息1,所述验证信息1用于对所述应用信息1进行完整性验证;处理单元1302用于所述数字证书1进行合法性验证。在一个示例中,所述通信装置1300可以执行以上实施例中的方法300,当通信装置1300用于执行以上实施例中的方法300时,通信装置1300相当于方法300中的第一通信装置。收发单元1301用于执行方法300中第一通信装置执行的收发操作。处理单元1302用于执行方法300中第一通信装置执行的除收发操作之外的操作。例如:收发单元1301用于接收第一报文,第一报文中包括应用信息和第一验证信息;处理单元1302用于根据第一报文中的第一验证信息,对第一报文中的应用信息的完整性进行验证。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法400,当通信装置1300用于执行以上实施例中的方法400时,通信装置1300相当于方法400中的第二通信装置。收发单元1301用于执行方法400中第二通信装置执行的收发操作。处理单元1302用于执行方法400中第二通信装置执行的除收发操作之外的操作。例如:处理单元1302用于生成第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证;收发单元1301用于将所述第一报文发送给第一通信装置。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法500,当通信装置1300用于执行以上实施例中的方法500时,通信装置1300相当于方法500中的第一通信装置。收发单元1301用于执行方法500中第一通信装置执行的收发操作。处理单元1302用于执行方法500中第一通信装置执行的除收发操作之外的操作。例如:收发单元1301用于获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证;处理单元1302用于对所述数字证书进行合法性验证。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法600,当通信装置1300用于执行以上实施例中的方法600时,通信装置1300相当于方法600中的第二通信装置。收发单元1301用于执行方法600中第二通信装置执行的收发操作。处理单元1302用于执行方法600中第二通信装置执行的除收发操作之外的操作。例如:处理单元1302用于获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证;收发单元1301用于将所述第一报文发送给第一通信装置。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法700,当通信装置1300用于执行以上实施例中的方法700时,通信装置1300相当于方法700中的控制管理设备。收发单元1301用于执行方法700中控制管理设备执行的收发操作。处理单元1302用于执行方法700中控制管理设备执行的除收发操作之外的操作。例如:收发单元1301用于获取应用信息,处理单元1302用于根据所述应用信息获得第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证,收发单元1301还用于将所述第一验证信息发送给第二通信装置。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法800,当通信装置1300用于执行以上实施例中的方法800时,通信装置1300相当于方法800中的第一通信装置。收发单元1301用于执行方法800中第一通信装置执行的收发操作。处理单元1302用于执行方法800中第一通信装置执行的除收发操作之外的操作。例如:收发单元1301用于获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证;处理单元1302用于根据所述至少一个验证信息,对所述应用信息进行完整性验证。
在一个示例中,所述通信装置1300可以执行以上实施例中的方法900,当通信装置1300用于执行以上实施例中的方法900时,通信装置1300相当于方法900中的第二通信装置。收发单元1301用于执行方法900中第二通信装置执行的收发操作。处理单元1302用于执行方法900中第二通信装置执行的除收发操作之外的操作。例如:处理单元1302用于获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证;收发单元1301用于将所述应用信息和所述至少一个验证信息,发送给第一通信装置。
此外,本申请实施例还提供了一种通信装置1400,参见图14所示,图14为本申请实施例提供的一种通信装置的结构示意图。该通信装置1400包括通信接口1401和与通信接口1401连接的处理器1402。该通信装置1300可以用于执行以上实施例中的方法100、方法200、方法300、方法400、方法500、方法600、方法700、方法800或者方法900。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法100,当通信装置1400用于执行以上实施例中的方法100时,通信装置1400相当于方法100中的通信装置1。其中,通信接口1401用于以上方法100中通信装置1执行的收发操作;处理器1402用于以上方法100中通信装置1执行的除收发操作之外的其它操作。例如:处理器1402用于生成报文1,报文1中包括应用信息1和验证信息1,验证信息1用于对所述应用信息1进行完整性验证;通信接口1401用于将报文1发送给通信装置2。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法100,当通信装置1400用于执行以上实施例中的方法100时,通信装置1400相当于方法100中的通信装置2。其中,通信接口1401用于以上方法100中通信装置2执行的收发操作;处理器1402用于以上方法100中通信装置2执行的除收发操作之外的其它操作。例如:通信接口1401用于接收报文1,报文1中包括应用信息1和验证信息1,验证信息1用于对所述应用信息1进行完整性验证;处理器1402用于利用验证信息1对应用信息1进行完整性验证。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法200,当通信装置1400用于执行以上实施例中的方法200时,通信装置1400相当于方法200中的通信装置1。其中,通信接口1401用于以上方法200中通信装置1执行的收发操作;处理器1402用于以上方法200中通信装置1执行的除收发操作之外的其它操作。例如:处理器1402用于生成报文1,报文1中包括数字证书1,所述数字证书1中包括应用信息1和验证信息1,验证信息1用于对所述应用信息1进行完整性验证;通信接口1401用于将报文1发送给通信装置2。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法200,当通信装置1400用于执行以上实施例中的方法200时,通信装置1400相当于方法200中的通信装置2。其中,通信接口1401用于以上方法200中通信装置2执行的收发操作;处理器1402用于以上方法200中通信装置2执行的除收发操作之外的其它操作。例如:通信接口1401用于接收报文1,报文1中包括数字证书1,数字证书1中包括应用信息1和验证信息1,验证信息1用于对所述应用信息1进行完整性验证;处理器1402用于对数字证书1进行合法性验证。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法300,当通信装置1400用于执行以上实施例中的方法300时,通信装置1400相当于方法300中的第一通信装置。其中,通信接口1401用于以上方法300中第一通信装置执行的收发操作;处理器1402用于以上方法300中第一通信装置执行的除收发操作之外的其它操作。例如:通信接口1401用于接收第一报文,第一报文中包括应用信息和第一验证信息;处理器1402用于根据第一报文中的第一验证信息,对第一报文中的应用信息的完整性进行验证。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法400,当通信装置1400用于执行以上实施例中的方法400时,通信装置1400相当于方法400中的第二通信装置。其中,通信接口1401用于以上方法400中第二通信装置执行的收发操作;处理器1402用于以上方法400中第二通信装置执行的除收发操作之外的其它操作。例如:处理器1402用于生成第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证;通信接口1401用于将所述第一报文发送给第一通信装置。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法500,当通信装置1400用于执行以上实施例中的方法500时,通信装置1400相当于方法500中的第一通信装置。其中,通信接口1401用于以上方法500中第一通信装置执行的收发操作;处理器1402用于以上方法500中第一通信装置执行的除收发操作之外的其它操作。例如:通信接口1401用于获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证;处理器1402用于对所述数字证书进行合法性验证。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法600,当通信装置1400用于执行以上实施例中的方法600时,通信装置1400相当于方法600中的第二通信装置。其中,通信接口1401用于以上方法600中第二通信装置执行的收发操作;处理器1402用于以上方法600中第二通信装置执行的除收发操作之外的其它操作。例如:处理器1402用于获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证;通信接口1401用于将所述第一报文发送给第一通信装置。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法700,当通信装置1400用于执行以上实施例中的方法700时,通信装置1400相当于方法700中的控制管理设备。其中,通信接口1401用于以上方法700中控制管理设备执行的收发操作;处理器1402用于以上方法700中控制管理设备执行的除收发操作之外的其它操作。例如:通信接口1401用于获取应用信息,处理器1402用于根据所述应用信息获得第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证,通信接口1401还用于将所述第一验证信息发送给第二通信装置。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法800,当通信装置1400用于执行以上实施例中的方法800时,通信装置1400相当于方法800中的第一通信装置。其中,通信接口1401用于以上方法800中第一通信装置执行的收发操作;处理器1402用于以上方法800中第一通信装置执行的除收发操作之外的其它操作。例如:通信接口1401用于获取应用信息和至少一个验证信息;处理器1402用于根据所述至少一个验证信息,对所述应用信息进行完整性验证。
在一个示例中,所述通信装置1400可以执行以上实施例中的方法900,当通信装置1400用于执行以上实施例中的方法900时,通信装置1400相当于方法900中的第二通信装置。其中,通信接口1401用于以上方法900中第二通信装置执行的收发操作;处理器1402用于以上方法900中第二通信装置执行的除收发操作之外的其它操作。例如:处理器1402用于获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证;通信接口1401用于将所述应用信息和所述至少一个验证信息,发送给第一通信装置。
此外,本申请实施例还提供了一种通信装置1500,参见图15所示,图15为本申请实施例提供的一种通信装置的结构示意图。
该通信装置1500可以用于执行以上实施例中的方法100、方法200、300、方法400、方法500、方法600、方法700、方法800或者方法900。
如图15所示,通信装置1500可以包括处理器1510,与所述处理器1510耦合连接的存储器1520,收发器1530。处理器1510可以是中央处理器(英文:central processingunit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。处理器还可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic array logic,缩写:GAL)或其任意组合。处理器1510可以是指一个处理器,也可以包括多个处理器。存储器1520可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器1520还可以包括上述种类的存储器的组合。存储器1520可以是指一个存储器,也可以包括多个存储器。在一个实施方式中,存储器1520中存储有计算机可读指令,所述计算机可读指令包括多个软件模块,例如发送模块1521,处理模块1522和接收模块1523。处理器1510执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中,一个软件模块所执行的操作实际上是指处理器1510根据所述软件模块的指示而执行的操作。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法100,当通信装置1500用于执行以上实施例中的方法100时,通信装置1500相当于方法100中的通信装置1。此时,处理模块1522用于生成报文1,报文1中包括应用信息1和验证信息1,验证信息1用于对应用信息1进行完整性验证;发送模块1521用于将报文1发送给通信装置2。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法100,当通信装置1500用于执行以上实施例中的方法100时,通信装置1500相当于方法100中的通信装置2。此时,接收模块1523用于接收报文1,所述报文1中包括应用信息1和验证信息1。处理模块1522用于根据验证信息1对应用信息1进行完整性验证。在一个示例中,发送模块1521用于在应用信息1通过验证的情况下转发报文1。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法200,当通信装置1500用于执行以上实施例中的方法200时,通信装置1500相当于方法200中的通信装置1。此时,处理模块1522用于生成报文1,报文1中包括数字证书1,数字证书1包括应用信息1和验证信息1,验证信息1用于对应用信息1进行完整性验证;发送模块1521用于将报文1发送给通信装置2。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法200,当通信装置1500用于执行以上实施例中的方法200时,通信装置1500相当于方法200中的通信装置2。此时,接收模块1523用于接收报文1,所述报文1中包括数字证书1,数字证书1中包括应用信息1和验证信息1。处理模块1522用于对数字证书1进行合法性验证。在一个示例中,发送模块1521用于在应用信息1通过验证的情况下转发报文1。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法300,当通信装置1500用于执行以上实施例中的方法300时,通信装置1500相当于方法300中的第一通信装置。此时,接收模块1523用于接收第一报文,所述第一报文中包括应用信息和第一验证信息。处理模块1522用于根据第一报文中的第一验证信息,对第一报文中的应用信息的完整性进行验证。在一个示例中,发送模块1521用于在应用信息通过验证的情况下转发第一报文。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法400,当通信装置1500用于执行以上实施例中的方法400时,通信装置1500相当于方法400中的第二通信装置。此时,处理模块1522用于生成第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证。发送模块1521用于将所述第一报文发送给第一通信装置。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法500,当通信装置1500用于执行以上实施例中的方法500时,通信装置1500相当于方法500中的第一通信装置。此时,接收模块1523用于获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证。处理模块1522用于对所述数字证书进行合法性验证。在一个示例中,发送模块1521用于在应用信息通过验证的情况下转发第一报文。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法600,当通信装置1500用于执行以上实施例中的方法600时,通信装置1500相当于方法600中的第二通信装置。此时,处理模块1522用于获取第一报文,所述第一报文中包括数字证书,所述数字证书中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息进行完整性验证。发送模块1521用于将所述第一报文发送给第一通信装置。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法700,当通信装置1500用于执行以上实施例中的方法700时,通信装置1500相当于方法700中的控制管理设备。此时,接收模块1523用于获取应用信息,处理模块1522用于根据所述应用信息获得第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证,发送模块1521用于将所述第一验证信息发送给第二通信装置。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法800,当通信装置1500用于执行以上实施例中的方法800时,通信装置1500相当于方法800中的第一通信装置。此时,接收模块1523用于获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证。处理模块1522用于根据所述至少一个验证信息,对所述应用信息进行完整性验证。
在一个示例中,所述通信装置1500可以执行以上实施例中的方法900,当通信装置1500用于执行以上实施例中的方法900时,通信装置1500相当于方法900中的第二通信装置。此时,处理模块1522用于获取应用信息和至少一个验证信息,所述至少一个验证信息用于对所述应用信息进行完整性验证。发送模块1521用于将所述应用信息和所述至少一个验证信息,发送给第一通信装置。
此外,处理器1510执行存储器1520中的计算机可读指令后,可以按照所述计算机可读指令的指示,执行网络装置1500可以执行的全部操作。例如,可以执行方法100中通信装置1可以执行的所有操作;例如,可以执行方法100中通信装置2可以执行的所有操作;例如,可以执行方法200中通信装置1可以执行的所有操作;例如,可以执行方法200中通信装置2可以执行的所有操作;例如,可以执行方法300中第一通信装置可以执行的所有操作;又如,可以执行方法400中第二通信装置可以执行的所有操作;又如,可以执行方法500中第一通信装置可以执行的所有操作;又如,可以执行方法600中第二通信装置可以执行的所有操作;又如,可以执行方法700中控制管理设备可以执行的所有操作;再如,可以执行方法800中第一通信装置可以执行的所有操作;再如,可以执行方法900中第二通信装置可以执行的所有操作。
在本申请实施例的以上描述中,控制管理设备例如可以为运行了网络管理软件的设备,又如可以为控制器,本申请实施例不做具体限定。本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上实施例中由第一通信装置执行的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上实施例中由第二通信装置执行的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上实施例中由控制管理设备执行的步骤。
本申请实施例还提供了一种通信系统,包括以上实施例提及的第一通信装置和第二通信装置。
本申请实施例还提供了一种通信系统,包括以上实施例提及的第二通信装置和控制管理设备。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (75)
1.一种校验应用信息的方法,其特征在于,由第一通信装置执行,所述方法包括:
接收第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证;
基于所述第一验证信息对所述应用信息的完整性进行验证。
2.根据权利要求1所述的方法,其特征在于,基于所述第一验证信息对所述应用信息的完整性进行验证,包括:
根据所述第一报文中的目标字段,获取第二验证信息,所述目标字段包括所述应用信息;
对所述第二验证信息和所述第一验证信息进行匹配校验。
3.根据权利要求1或2所述的方法,其特征在于,基于所述第一验证信息对所述应用信息的完整性进行验证,包括:
基于第一校验方法和所述第一验证信息对所述应用信息的完整性进行验证。
4.根据权利要求3所述的方法,其特征在于,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
5.根据权利要求4所述的方法,其特征在于,所述第一验证信息包括第一HMAC校验信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
对所述第一报文中的目标字段进行HMAC计算,获得第二HMAC校验信息;
对所述第一HMAC校验信息和所述第二HMAC校验信息进行匹配验证。
6.根据权利要求3所述的方法,其特征在于,所述第一校验方法为数字签名验证。
7.根据权利要求6所述的方法,其特征在于,所述第一验证信息为采用第一私钥和第一哈希计算对所述第一报文中的目标字段进行签名所得到的数字签名,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
通过第一公钥对所述数字签名进行解密,得到第一明文;
对所述目标字段进行第二哈希计算,得到第二明文,所述第一哈希计算和所述第二哈希计算采用相同的哈希算法;
对所述第一明文和所述第二明文,进行匹配验证。
8.根据权利要求7所述的方法,其特征在于,所述第一报文中还包括数字证书,所述数字证书中包括所述第一公钥。
9.根据权利要求8所述的方法,其特征在于,所述数字证书中还包括对所述数字签名进行解密的解密算法,和/或,所述哈希算法。
10.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
对所述数字证书的合法性进行验证。
11.根据权利要求1所述的方法,其特征在于,所述第一报文中包括数字证书,所述应用信息和所述第一验证信息携带在所述数字证书中。
12.根据权利要求11所述的方法,其特征在于,所述基于所述第一验证信息对所述应用信息的完整性进行验证,包括:
对所述数字证书的合法性进行验证。
13.根据权利要求3所述的方法,其特征在于,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
14.根据权利要求13所述的方法,其特征在于,所述第一验证信息为第一认证头AH验证信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
利用AH校验算法对所述第一报文中的目标字段进行计算,得到第二AH验证信息;
对所述第一AH验证信息和所述第二AH验证信息进行匹配验证。
15.根据权利要求13所述的方法,其特征在于,所述第一验证信息为第一封装安全负载ESP验证信息,所述基于第一校验方法和所述第一验证信息,对所述应用信息的完整性进行验证,包括:
利用ESP校验算法对所述第一报文中的目标字段进行计算,得到第二ESP校验信息;
对所述第一ESP验证信息和所述第二ESP验证信息进行匹配验证。
16.根据权利要求1-15任意一项所述的方法,其特征在于,所述第一通信装置为网络设备。
17.根据权利要求1-16任意一项所述的方法,其特征在于,所述第一通信装置包括:
接入ACC设备,或者,用户驻地CPE设备,或者,家庭网关RG,或者,数据中心服务器接入leaf设备,或者,数据中心出口网关DC GW,或者,自治系统边界路由器ASBR,或者,基站,或者,用户面功能UPF设备,或者,宽带网络网关BNG,或者,运营商边缘PE设备。
18.根据权利要求1-17任意一项所述的方法,其特征在于,所述方法还包括:
在确定所述应用信息通过验证的情况下,转发所述第一报文。
19.根据权利要求1-17任意一项所述的方法,其特征在于,所述方法还包括:
在确定所述应用信息未通过验证的情况下,丢弃所述第一报文。
20.一种报文处理方法,其特征在于,由第二通信装置执行,所述方法包括:
生成第一报文,所述第一报文中包括应用信息和第一验证信息,所述第一验证信息用于对所述应用信息的完整性进行验证;
将所述第一报文发送给第一通信装置。
21.根据权利要求20所述的方法,其特征在于,所述第一验证信息是根据所述第一报文中的目标字段获得的,所述目标字段包括所述应用信息。
22.根据权利要求20或21所述的方法,其特征在于,所述第一验证信息,是利用第一校验方法对所述第一报文中的目标字段进行计算得到的,所述目标字段包括所述应用信息。
23.根据权利要求22所述的方法,其特征在于,所述第一校验方法为密钥相关的哈希运算消息认证码HMAC校验。
24.根据权利要求23所述的方法,其特征在于,所述第一验证信息包括第一HMAC校验信息。
25.根据权利要求22所述的方法,其特征在于,所述第一校验方法为数字签名验证。
26.根据权利要求25所述的方法,其特征在于,所述第一验证信息为采用第一私钥和第一哈希计算对所述目标字段进行签名所得到的数字签名。
27.根据权利要求20所述的方法,其特征在于,所述所述第一验证信息为数字证书中的加密摘要,所述数字证书中还包括所述应用信息。
28.根据权利要求23-27任意一项所述的方法,其特征在于,所述第一验证信息,是控制管理设备发送给所述第二通信装置的。
29.根据权利要求22所述的方法,其特征在于,所述第一校验方法为基于互联网协议安全IPSEC的完整性验证。
30.根据权利要求29所述的方法,其特征在于,所述第一验证信息为第一认证头AH验证信息。
31.根据权利要求29所述的方法,其特征在于,所述第一验证信息为第一封装安全负载ESP验证信息。
32.根据权利要求20-31任意一项所述的方法,其特征在于,所述第二通信装置为服务器或者用户设备。
33.根据权利要求1-32任意一项所述的方法,其特征在于,所述应用信息和所述第一验证信息,携带在所述第一报文的报文头中。
34.根据权利要求1-33任一项所述的方法,其特征在于,所述第一报文为互联网协议第6版IPv6报文。
35.根据权利要求34所述的方法,其特征在于,所述应用信息携带在IPv6扩展头中。
36.根据权利要求33或34所述的方法,其特征在于,所述应用信息携带在目的地址中。
37.根据权利要求33或34所述的方法,其特征在于,所述应用信息携带在源地址中。
38.根据权利要求34-37任意一项所述的方法,其特征在于,所述第一验证信息携带在IPv6扩展头中。
39.根据权利要求34-37任意一项所述的方法,其特征在于,所述第一验证信息携带在目的地址中。
40.根据权利要求34-37任意一项所述的方法,其特征在于,所述第一验证信息携带在源地址中。
41.根据权利要求1-33任一项所述的方法,其特征在于,所述第一报文为多协议标签交换MPLS报文。
42.根据权利要求41所述的方法,其特征在于,所述应用信息携带在标签值字段中。
43.根据权利要求41所述的方法,其特征在于,所述应用信息携带在扩展类型长度值TLV字段中。
44.根据权利要求41-43任意一项所述的方法,其特征在于,所述第一验证信息携带在标签值字段中。
45.根据权利要求41-43任意一项所述的方法,其特征在于,所述第一验证信息携带在扩展TLV字段中。
46.根据权利要求1-34任一项所述的方法,其特征在于,所述第一报文为互联网协议第6版段路由SRv6报文。
47.根据权利要求46所述的方法,其特征在于,所述应用信息携带在分段路由头SRH中。
48.根据权利要求46或47所述的方法,其特征在于,所述第一验证信息携带在SRH中。
49.根据权利要求1-33任意一项所述的方法,其特征在于,所述第一报文为互联网协议第4版IPv4报文。
50.根据权利要求49所述的方法,其特征在于,所述应用信息携带在选项option字段中。
51.根据权利要求49或50所述的方法,其特征在于,所述第一验证信息携带在option字段中。
52.根据权利要求1-33任意一项所述的方法,其特性在于,所述第一报文为通用路由封装GRE报文。
53.根据权利要求52所述的方法,其特征在于,所述应用信息携带在关键字key字段中。
54.根据权利要求52或53所述的方法,其特征在于,所述第一验证信息携带在key字段中。
55.根据权利要求1-33任意一项所述的方法,其特性在于,所述第一报文为虚拟扩展局域网VXLAN报文。
56.根据权利要求55所述的方法,其特征在于,所述应用信息携带在虚拟网络标识符字段中。
57.根据权利要求55所述的方法,其特征在于,所述应用信息携带在预留字段中。
58.根据权利要求55-57任意一项所述的方法,其特征在于,所述第一验证信息携带在虚拟网络标识符字段中。
59.根据权利要求55-57任意一项所述的方法,其特征在于,所述第一验证信息携带在预留字段中。
60.根据权利要求1-33任意一项所述的方法,其特性在于,所述第一报文为网络虚拟化通用路由封装NVGRE报文。
61.根据权利要求60所述的方法,其特征在于,所述应用信息携带在流标识字段中。
62.根据权利要求60所述的方法,其特征在于,所述应用信息携带在虚拟网络标识字段中。
63.根据权利要求60所述的方法,其特征在于,所述应用信息携带在预留字段中。
64.根据权利要求60-63任意一项所述的方法,其特征在于,所述第一验证信息携带在流标识字段中。
65.根据权利要求60-63任意一项所述的方法,其特征在于,所述第一验证信息携带在虚拟网络标识字段中。
66.根据权利要求60-63任意一项所述的方法,其特征在于,所述第一验证信息携带在预留字段中。
67.根据权利要求1-33任意一项所述的方法,其特征在于,所述第一报文为通用网络虚拟化封装Geneve报文。
68.根据权利要求67所述的方法,其特征在于,所述应用信息携带在预留字段中。
69.根据权利要求67所述的方法,其特征在于,所述应用信息携带在可变长度选项字段中。
70.根据权利要求67-69任意一项所述的方法,其特征在于,所述第一验证信息携带在预留字段中。
71.根据权利要求67-69任意一项所述的方法,其特征在于,所述第一验证信息携带在可变长度选项字段中。
72.一种第一通信装置,其特征在于,所述第一通信装置包括存储器和处理器;
所述存储器,用于存储程序代码;
所述处理器,用于运行所述程序代码中的指令,使得所述第一通信装置执行以上权利要求1-19任意一项所述的方法。
73.一种第二通信装置,其特征在于,所述第二通信装置包括存储器和处理器;
所述存储器,用于存储程序代码;
所述处理器,用于运行所述程序代码中的指令,使得所述第二通信装置执行以上权利要求20-71任意一项所述的方法。
74.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上权利要求1-19任意一项所述的方法,或者,使得所述计算机执行以上权利要求20-71任意一项所述的方法。
75.一种通信系统,其特征在于,包括权利要求73所述的第一通信装置以及权利要求74所述的第二通信装置。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011143424.5A CN113810173A (zh) | 2020-06-12 | 2020-07-13 | 一种校验应用信息的方法、报文处理方法及装置 |
PCT/CN2021/085800 WO2021248999A1 (zh) | 2020-06-12 | 2021-04-07 | 一种校验应用信息的方法、报文处理方法及装置 |
EP21821848.5A EP4156622A4 (en) | 2020-06-12 | 2021-04-07 | METHOD FOR VERIFYING APPLICATION INFORMATION, INFORMATION PROCESSING METHOD AND APPARATUS |
US18/064,758 US20230113138A1 (en) | 2020-06-12 | 2022-12-12 | Application Information Verification Method, Packet Processing Method, And Apparatuses Thereof |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2020105383693 | 2020-06-12 | ||
CN202010538369 | 2020-06-12 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011143424.5A Division CN113810173A (zh) | 2020-06-12 | 2020-07-13 | 一种校验应用信息的方法、报文处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113810353A true CN113810353A (zh) | 2021-12-17 |
Family
ID=78943530
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010670997.7A Pending CN113810353A (zh) | 2020-06-12 | 2020-07-13 | 一种校验应用信息的方法、报文处理方法及装置 |
CN202010669854.4A Pending CN113810290A (zh) | 2020-06-12 | 2020-07-13 | 一种报文处理方法及装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010669854.4A Pending CN113810290A (zh) | 2020-06-12 | 2020-07-13 | 一种报文处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN113810353A (zh) |
-
2020
- 2020-07-13 CN CN202010670997.7A patent/CN113810353A/zh active Pending
- 2020-07-13 CN CN202010669854.4A patent/CN113810290A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
CN113810290A (zh) | 2021-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11212294B2 (en) | Data packet security with expiring time-based hash message authentication codes (HMACs) | |
EP2823619B1 (en) | Policy for secure packet transmission using required node paths and cryptographic signatures | |
US9838870B2 (en) | Apparatus and method for authenticating network devices | |
US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
US7826427B2 (en) | Method for secure transfer of data to a wireless device for enabling multi-network roaming | |
US20110113236A1 (en) | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism | |
US20170201382A1 (en) | Secure Endpoint Devices | |
US20080075073A1 (en) | Security encapsulation of ethernet frames | |
KR20170128515A (ko) | 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증 | |
CN108809907B (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
US10397047B2 (en) | Apparatus, system, and method for secure remote configuration of network devices | |
US10587582B2 (en) | Certificate pinning by a tunnel endpoint | |
Igoe et al. | X. 509v3 certificates for Secure Shell authentication | |
EP3442195B1 (en) | Reliable and secure parsing of packets | |
CN113810173A (zh) | 一种校验应用信息的方法、报文处理方法及装置 | |
CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
US20120163383A1 (en) | Method and device for transmitting data between two secured ethernet-type networks through a routed network | |
US20230113138A1 (en) | Application Information Verification Method, Packet Processing Method, And Apparatuses Thereof | |
CN110943996B (zh) | 一种业务加解密的管理方法、装置及系统 | |
US11095619B2 (en) | Information exchange for secure communication | |
CN113810353A (zh) | 一种校验应用信息的方法、报文处理方法及装置 | |
CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
CN114567450A (zh) | 一种协议报文处理方法及装置 | |
WO2023231311A1 (zh) | 一种vxlan隧道的认证方法、系统、接入网关及入网设备 | |
EP2494760B1 (en) | Method for providing security associations for encrypted packet data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |