CN114499969A - 一种通信报文的处理方法、装置、电子设备及存储介质 - Google Patents
一种通信报文的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114499969A CN114499969A CN202111617588.1A CN202111617588A CN114499969A CN 114499969 A CN114499969 A CN 114499969A CN 202111617588 A CN202111617588 A CN 202111617588A CN 114499969 A CN114499969 A CN 114499969A
- Authority
- CN
- China
- Prior art keywords
- message
- data
- data load
- cookie
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种通信报文的处理方法、装置、电子设备及存储介质。该方法包括:在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向请求方设备发送COOKIE挑战报文;接收来自于请求方设备的第二报文;解析第二报文得到第二报文携带的第二数据载荷,其中,第二数据载荷是请求方设备基于COOKIE挑战报文中携带的第一数据载荷计算得到的;验证第二数据载荷,在第二数据载荷验证通过的情况下,向请求方设备分配协商资源。本申请实施例提供的方法对第二报文验证保证了在设备进行资源协商前的安全性,并依据第二报文对应的验证结果执行不同的处理操作,有效防御了外部发起的网络攻击。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一一种通信报文的处理方法、装置、电子设备及存储介质。
背景技术
国密IPsec VPN是国家为了摆脱对国外技术和产品的过度依赖,实现网络安全领域的自主可控战略,提出的符合本国国情的IPsec VPN标准。标准采用国密算法sm1、sm2、sm3、sm4替换RSA,aes,sha等国际算法,提高了国密VPN的安全性。对于某些关系国计民生的重要行业,强烈建议甚至强制必须使用国密VPN保护网络安全。
由此可见,随着国家对网络安全、密码安全工作的推进,国密IPsec VPN会得到越来越广泛的应用。国密IKE以IKEv1协议为蓝本设计,在设计之初并没有考虑如何防御DOS,DDOS攻击。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供了一种通信报文的处理方法、装置、电子设备及存储介质。
根据本申请实施例的一个方面,提供了一种通信报文的处理方法,应用于接收方设备,所述方法包括:
在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;
接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;
解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;
验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。
进一步的,所述在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,包括:
基于所述第一报文检测所述接收方设备当前关联的处于半开连接状态的通信设备,并确定所述通信设备对应的设备数量;
在所述设备数量满足预设数量阈值的情况下,从资源池中获取用于生成数据载荷的数据资源,其中,所述数据资源至少包括:SM1算法所使用的算法密钥、初始化向量以及原始数据,所述算法密钥是基于SM1算法得到的;
基于所述数据资源生成所述第一数据载荷,并将所述第一数据载荷携带于所述COOKIE挑战报文。
进一步的,所述验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源,包括:
从所述第二数据载荷中读取加密数据,其中,所述加密数据是所述请求方设备使用算法密钥对所述第一数据载荷中的原始数据进行计算得到的;
在所述加密数据与预设密文数据相匹配的情况下,确定所述第二数据载荷验证通过,并向所述请求方设备分配协商资源。
进一步的,所述方法还包括:
在所述加密数据与预设密文数据不匹配的情况下,确定所述第二报文属于攻击报文;
丢弃所述第二报文。
根据本申请实施例的再一个方面,还提供了一种通信报文的处理方法,应用于请求方设备,所述方法包括:
向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;
接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一报文后生成的;
对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;
向所述接收方设备发送所述第二报文,并接收所述接收方设备基于所述第二报文反馈的协商资源,其中,所述协商资源是所述接收方设备对所述第二报文验证通过后发送的。
进一步的,所述对所述第一数据载荷进行加密得到第二数据载荷,包括:
从所述第一数据载荷中读取算法密钥以及原始数据;
采用所述算法密钥对所述原始数据进行加密得到加密数据,并使用所述加密数据替换所述第一数据载荷中的原始数据,得到所述第二数据载荷。
根据本申请实施例的再一个方面,还提供了一种通信报文的处理装置,包括:
生成模块,用于在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;
接收模块,用于接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;
解析模块,用于解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;
验证模块,用于验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。
根据本申请实施例的再一个方面,还提供了一种通信报文的处理装置,包括:
发送模块,用于向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;
解析模块,用于接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一报文后生成的;
处理模块,用于对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;
执行模块,用于向所述接收方设备发送所述第二报文,并接收所述接收方设备基于所述第二报文反馈的协商资源,其中,所述协商资源是所述接收方设备对所述第二报文验证通过后发送的。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
根据本申请实施例的另一方面,还提供了一种电子装置,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请实施例提供的方法在接收到第一报文时,向请求方设备发送携带第一数据载荷的COOKIE挑战报文,并接收请求方设备接收第二报文,对第二报文验证保证了在设备进行资源协商前的安全性,并依据第二报文对应的验证结果执行不同的处理操作,例如:在验证结果为不通过的情况下,丢弃第二报文,以此有效防御了外部发起的网络攻击。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种通信报文的处理方法的流程图;
图2为本申请另一实施例提供的一种通信报文的处理方法的流程图;
图3为本申请实施例提供的一种通信报文的处理装置的框图;
图4为本申请另一实施例提供的一种通信报文的处理装置的框图;
图5为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个类似的实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请实施例提供了一种通信报文的处理方法、装置、电子设备及存储介质。本发明实施例所提供的方法可以应用于任意需要的电子设备,例如,可以为服务器、终端等电子设备,在此不做具体限定,为描述方便,后续简称为电子设备。
根据本申请实施例的一方面,提供了一种通信报文的处理方法法的方法实施例。图1为本申请实施例提供的一种通信报文的处理方法的流程图,如图1所示,该方法包括:
步骤S11,在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向请求方设备发送COOKIE挑战报文。
本申请实施例提供的方法应用于接收方设备,接收方设备用于接收请求方发送的第一报文,并对第一报文进行解析,从而确定是否向请求方设备分配协商资源。
在本申请实施例中,步骤S11,在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,包括以下步骤A1-A3:
步骤A1,基于第一报文检测接收方设备当前关联的处于半开连接状态的通信设备,并确定通信设备对应的设备数量。
在本申请实施例中,接收方设备在接收到第一报文后,会检测接收方设备当前关联的处于半开状态的通信设备,并统计出处于半开连接状态的通信设备对应的数量。
需要说明的是,接收方设备一般作为响应方对外公开公网IP地址,接受分支发起的IKE(Internet key exchange,网络密钥交换协议)报文。攻击者可以利用国密IKE协议的特点,伪造大量的IP地址向接收方设备发送报文,接收方设备作为响应方需要为每个IP分配临时IKE SA资源,回应并重传协商第2条报文,并保留相关资源预设时长。协议将处于这种状态的协商称为“half-open”连接,及半开连接。
步骤A2,在设备数量满足预设数量阈值的情况下,从资源池中获取用于生成数据载荷的数据资源,其中,数据资源至少包括:SM1算法所使用的算法密钥、初始化向量以及原始数据。
在本申请实施例中,在设备数据量满足预设数量阈值的情况下,此时接收方设备会从本地的资源池中获取用于生成数据载荷的数据资源,数据资源分别如下:Key,Iv以及Data,例如:Key用于表示16字节的算法密钥,Iv用于表示16字节的初始化向量,Data用于表示使用算法密钥加密前的原始数据。
需要说明的是,Key所表示的16字节的算法密钥是使用SM1算法加密时使用的密钥,SM1算法是国家密码局发布的国产分组加密算法,算法仅以IP核的形式存在于加密芯片中,因此SM1算法无法通过软件实现。另外,由于攻击者无法获取众多携带加密卡的僵尸主机,因此本申请实施例所使用的SM1算法能够在预防DDOS攻击方面具有一定的效果。
步骤A3,基于数据资源生成第一数据载荷,并将第一数据载荷携带于COOKIE挑战报文。
需要说明的是,在IPsec“分支-总部”组网模型中,接收方设备会对应多个请求方设备,因此接收方设备在接收到来自于请求方设备的第一报文的情况下,会获取从资源池中获取用于生成数据载荷的数据资源,依据数据资源生成COOKIE挑战报文,即可以认为接收方设备进入COOKIE挑战。
在本申请实施例中,由于攻击者通过不断的伪造IP地址进行DOS攻击,造成响应方产生大量的“half-open”连接,最终造成响应方CPU和内存资源耗尽,无法处理正常分支的协商请求。因此将基于数据资源生成的第一数据在和携带于COOKIE挑战报文,并向请求方设备发送COOKIE挑战报文,以使请求方设备根据COOKIE挑战报文中的数据载荷执行加密操作,并基于加密后的数据载荷重新向接收方设备发送报文。
步骤S12,接收来自于请求方设备的第二报文,其中,第二报文是请求方设备基于COOKIE挑战报文生成的。
在本申请实施例中,第二报文是请求方设备在接收到COOKIE挑战报文后,从COOKIE挑战报文中提取第一数据载荷,并基于第一数据载荷中的算法密钥对第一数据载荷中的原始数据进行加密,得到加密数据,使用加密数据替换第一数据载荷中的原始数据,得到第二数据载荷,基于第二数据载荷携带在第二报文。
步骤S13,解析第二报文得到第二报文携带的第二数据载荷,其中,第二数据载荷是请求方设备基于COOKIE挑战报文中携带的第一数据载荷计算得到的。
在本申请实施例中,接收方设备解析第二报文得到第二报文携带的第二数据载荷,可以是对第二报文进行解析得到第二报文中的报文内容,从报文内容中的提取第二数据载荷,第二数据载荷中携带算法密钥,初始化向量以及加密数据。
步骤S14,验证第二数据载荷,在第二数据载荷验证通过的情况下,向请求方设备分配协商资源。
在本申请实施例中,步骤S14,验证第二数据载荷,在第二数据载荷验证通过的情况下,向请求方设备分配协商资源,包括以下步骤B1-B2:
步骤B1,从第二数据载荷中读取加密数据,其中,加密数据是请求方设备使用算法密钥对第一数据载荷中的原始数据进行计算得到的。
步骤B2,在加密数据与预设密文数据相匹配的情况下,确定第二数据载荷验证通过,并向请求方设备分配协商资源。
在本申请实施例中,从第二数据载荷中读取出加密数据,以及获取预设密文数据,预设密文数据可以是接收方设备对原始数据进行加密得到的。然后将加密数据与预设密文数据进行对比,如果加密数据与预设密文数据一致,则确定加密数据与预设密文数据相匹配。如果加密数据与预设密文不一样,则确定加密数据与预设密文数据不匹配。
在本申请实施例中,如果加密数据与预设密文数据相匹配,则向请求方设备分配协商资源。其中,协商资源可以是接收方设备与发送方设备之间进行协商的通信资源。
需要说明的是,在IPsec“分支-总部”组网模型中,对于分支设备来说,只作为请求方设备,而且发起的IKE协商数目有限,所以新增的数据载荷和SM1运算对分支侧的协商性能影响可以忽略。而接收方设备需要接受大量分支的协商请求或者是攻击报文,如果总部设备在协商过程中进行SM1计算验证COOKIE挑战结果,会大量消耗CPU和加密卡资源。因此接收方设备作为报文的响应方,提供的COOKIE中基于SM1的挑战材料必须是提前准备的,在协商中响应方只做运算结果的比对,不会进行实际SM1运算,以此保证高效的处理多个报文,保证资源协商的效率。
在本申请实施例中,方法还包括:
步骤C1,在加密数据与预设密文数据不匹配的情况下,确定第二报文属于攻击报文。
步骤C2,丢弃第二报文。
在本申请实施例中,在加密数据与预设密文数据不匹配的情况下,确定发送方设备发送的第二报文数据攻击报文,此时接收方设备会将第二报文丢弃,同时接收方设备还断开与请求方设备之间的连接。
本申请实施例提供的方法在接收到第一报文时,向请求方设备发送携带第一数据载荷的COOKIE挑战报文,并接收请求方设备接收第二报文,对第二报文验证保证了在设备进行资源协商前的安全性,并依据第二报文对应的验证结果执行不同的处理操作,例如:在验证结果为不通过的情况下,丢弃第二报文,以此有效防御了外部发起的网络攻击。
图2为本申请实施例提供的一种通信报文的处理方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S21,向接收方设备发送第一报文,其中,第一报文用于向接收方设备请求获取协商资源。
步骤S22,接收接收方设备反馈的COOKIE挑战报文,并从COOKIE挑战报文中读取第一数据载荷,其中,密文交换报文是接收方设备接收到第一报文后生成的。
步骤S23,对第一数据载荷进行加密得到第二数据载荷,将第二数据载荷携带于第二报文。
步骤S24,向接收方设备发送第二报文,并接收接收方设备基于第二报文反馈的协商资源,其中,协商资源是接收方设备对第二报文验证通过后发送的。
在本申请实施例中,对第一数据载荷进行加密得到第二数据载荷,包括以下步骤D1-D2:
步骤D1,从第一数据载荷中读取算法密钥以及原始数据;
步骤D2,采用算法密钥对原始数据进行加密得到加密数据,并使用加密数据替换第一数据载荷中的原始数据,得到第二数据载荷。
图3为本申请实施例提供的一种通信报文的处理装置的框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图3所示,该装置包括:
生成模块31,用于在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向请求方设备发送COOKIE挑战报文。
接收模块32,用于接收来自于请求方设备的第二报文,其中,第二报文是请求方设备基于COOKIE挑战报文生成的。
解析模块33,用于解析第二报文得到第二报文携带的第二数据载荷,其中,第二数据载荷是请求方设备基于COOKIE挑战报文中携带的第一数据载荷计算得到的。
验证模块34,用于验证第二数据载荷,在第二数据载荷验证通过的情况下,向请求方设备分配协商资源。
在本申请实施例中,生成模块31,用于基于第一报文检测接收方设备当前关联的处于半开连接状态的通信设备,并确定通信设备对应的设备数量;在设备数量满足预设数量阈值的情况下,从资源池中获取用于生成数据载荷的数据资源,其中,数据资源至少包括:SM1算法所使用的算法密钥、初始化向量以及原始数据,算法密钥是基于SM1算法得到的;基于数据资源生成第一数据载荷,并将第一数据载荷携带于COOKIE挑战报文。
在本申请实施例中,验证模块34,用于从第二数据载荷中读取加密数据,其中,加密数据是请求方设备使用算法密钥对第一数据载荷中的原始数据进行计算得到的;在加密数据与预设密文数据相匹配的情况下,确定第二数据载荷验证通过,并向请求方设备分配协商资源。
在本申请实施例中,通信报文的处理装置还包括:处理模块,用于在加密数据与预设密文数据不匹配的情况下,确定第二报文属于攻击报文;丢弃第二报文。
图4为本申请实施例提供的一种通信报文的处理装置的框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图4所示,该装置包括:
发送模块41,用于向接收方设备发送第一报文,其中,第一报文用于向接收方设备请求获取协商资源;
解析模块42,用于接收接收方设备反馈的COOKIE挑战报文,并从COOKIE挑战报文中读取第一数据载荷,其中,密文交换报文是接收方设备接收到第一报文后生成的;
处理模块43,用于对第一数据载荷进行加密得到第二数据载荷,将第二数据载荷携带于第二报文;
执行模块44,用于向接收方设备发送第二报文,并接收接收方设备基于第二报文反馈的协商资源,其中,协商资源是接收方设备对第二报文验证通过后发送的。
在本申请实施例中,处理模块43,用于从第一数据载荷中读取算法密钥以及原始数据;采用算法密钥对原始数据进行加密得到加密数据,并使用加密数据替换第一数据载荷中的原始数据,得到第二数据载荷。
本申请实施例还提供一种电子设备,如图5所示,电子设备可以包括:处理器1501、通信接口1502、存储器1503和通信总线1504,其中,处理器1501,通信接口1502,存储器1503通过通信总线1504完成相互间的通信。
存储器1503,用于存放计算机程序;
处理器1501,用于执行存储器1503上所存放的计算机程序时,实现上述实施例的步骤。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的通信报文的处理方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的通信报文的处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk)等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种通信报文的处理方法,应用于接收方设备,其特征在于,所述方法包括:
在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;
接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;
解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;
验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。
2.根据权利要求1所述的方法,其特征在于,所述在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,包括:
基于所述第一报文检测所述接收方设备当前关联的处于半开连接状态的通信设备,并确定所述通信设备对应的设备数量;
在所述设备数量满足预设数量阈值的情况下,从资源池中获取用于生成数据载荷的数据资源,其中,所述数据资源至少包括:SM1算法所使用的算法密钥、初始化向量以及原始数据;
基于所述数据资源生成所述第一数据载荷,并将所述第一数据载荷携带于所述COOKIE挑战报文。
3.根据权利要求1所述的方法,其特征在于,所述验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源,包括:
从所述第二数据载荷中读取加密数据,其中,所述加密数据是所述请求方设备使用算法密钥对所述第一数据载荷中的原始数据进行计算得到的;
在所述加密数据与预设密文数据相匹配的情况下,确定所述第二数据载荷验证通过,并向所述请求方设备分配协商资源。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述加密数据与预设密文数据不匹配的情况下,确定所述第二报文属于攻击报文;
丢弃所述第二报文。
5.一种通信报文的处理方法,应用于请求方设备,其特征在于,所述方法包括:
向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;
接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一报文后生成的;
对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;
向所述接收方设备发送所述第二报文,并接收所述接收方设备基于所述第二报文反馈的协商资源,其中,所述协商资源是所述接收方设备对所述第二报文验证通过后发送的。
6.根据权利要求4所述的方法,其特征在于,所述对所述第一数据载荷进行加密得到第二数据载荷,包括:
从所述第一数据载荷中读取算法密钥以及原始数据;
采用所述算法密钥对所述原始数据进行加密得到加密数据,并使用所述加密数据替换所述第一数据载荷中的原始数据,得到所述第二数据载荷。
7.一种通信报文的处理装置,其特征在于,包括:
生成模块,用于在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;
接收模块,用于接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;
解析模块,用于解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;
验证模块,用于验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。
8.一种通信报文的处理装置,其特征在于,包括:
发送模块,用于向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;
解析模块,用于接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一报文后生成的;
处理模块,用于对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;
执行模块,用于向所述接收方设备发送所述第二报文,并接收所述接收方设备基于所述第二报文反馈的协商资源,其中,所述协商资源是所述接收方设备对所述第二报文验证通过后发送的。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7中任一项所述的方法步骤。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:
存储器,用于存放计算机程序;
处理器,用于通过运行存储器上所存放的程序来执行权利要求1-7中任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111617588.1A CN114499969B (zh) | 2021-12-27 | 2021-12-27 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111617588.1A CN114499969B (zh) | 2021-12-27 | 2021-12-27 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114499969A true CN114499969A (zh) | 2022-05-13 |
| CN114499969B CN114499969B (zh) | 2023-06-23 |
Family
ID=81496831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111617588.1A Active CN114499969B (zh) | 2021-12-27 | 2021-12-27 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114499969B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014143A (zh) * | 2023-10-07 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、系统及设备 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070072368A (ko) * | 2005-12-29 | 2007-07-04 | 삼성전자주식회사 | 서비스 거부 공격으로부터 서버를 보호하는 방법 및 장치 |
| CN101355555A (zh) * | 2007-07-27 | 2009-01-28 | 日立软件工程株式会社 | 认证系统及认证方法 |
| US20130086380A1 (en) * | 2011-09-30 | 2013-04-04 | Avaya Inc. | System and method for facilitating communications based on trusted relationships |
| WO2013087039A1 (zh) * | 2011-12-15 | 2013-06-20 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
| US20160119304A1 (en) * | 2014-10-22 | 2016-04-28 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| WO2016160152A1 (en) * | 2015-03-30 | 2016-10-06 | Shape Security, Inc. | Challenge-dynamic credential pairs for client/server request validation |
| US20170013012A1 (en) * | 2015-07-06 | 2017-01-12 | Shape Security, Inc. | Asymmetrical Challenges for Web Security |
| CN106888092A (zh) * | 2016-09-12 | 2017-06-23 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
| CN107547559A (zh) * | 2017-09-20 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN111431724A (zh) * | 2020-03-27 | 2020-07-17 | 微梦创科网络科技(中国)有限公司 | 数据传输方法、装置及电子设备 |
| WO2020237868A1 (zh) * | 2019-05-24 | 2020-12-03 | 平安科技(深圳)有限公司 | 数据传输方法、电子设备、服务器及存储介质 |
| WO2021077968A1 (zh) * | 2019-10-25 | 2021-04-29 | 华为技术有限公司 | 一种安全通信方法、装置及系统 |
| US20210144130A1 (en) * | 2017-05-18 | 2021-05-13 | Cassidian Cybersecurity Sas | Method for securing communication without management of states |
| WO2021162589A1 (ru) * | 2020-02-12 | 2021-08-19 | Общество С Ограниченной Ответственностью "Варити+" | Способ и система предотвращения вредоносных автоматизированных атак |
| CN113438071A (zh) * | 2021-05-28 | 2021-09-24 | 荣耀终端有限公司 | 安全通信的方法及设备 |
| CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和系统 |
| CN113747434A (zh) * | 2021-10-15 | 2021-12-03 | 湖南麒麟信安科技股份有限公司 | 一种基于IPSec的移动通信安全通信方法及装置 |
| CN113794553A (zh) * | 2020-11-25 | 2021-12-14 | 京东安联财产保险有限公司 | 数据传输方法、装置、电子设备和存储介质 |
-
2021
- 2021-12-27 CN CN202111617588.1A patent/CN114499969B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070072368A (ko) * | 2005-12-29 | 2007-07-04 | 삼성전자주식회사 | 서비스 거부 공격으로부터 서버를 보호하는 방법 및 장치 |
| CN101355555A (zh) * | 2007-07-27 | 2009-01-28 | 日立软件工程株式会社 | 认证系统及认证方法 |
| US20130086380A1 (en) * | 2011-09-30 | 2013-04-04 | Avaya Inc. | System and method for facilitating communications based on trusted relationships |
| WO2013087039A1 (zh) * | 2011-12-15 | 2013-06-20 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
| US20160119304A1 (en) * | 2014-10-22 | 2016-04-28 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| WO2016160152A1 (en) * | 2015-03-30 | 2016-10-06 | Shape Security, Inc. | Challenge-dynamic credential pairs for client/server request validation |
| US20170013012A1 (en) * | 2015-07-06 | 2017-01-12 | Shape Security, Inc. | Asymmetrical Challenges for Web Security |
| CN106888092A (zh) * | 2016-09-12 | 2017-06-23 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
| US20210144130A1 (en) * | 2017-05-18 | 2021-05-13 | Cassidian Cybersecurity Sas | Method for securing communication without management of states |
| CN107547559A (zh) * | 2017-09-20 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| WO2020237868A1 (zh) * | 2019-05-24 | 2020-12-03 | 平安科技(深圳)有限公司 | 数据传输方法、电子设备、服务器及存储介质 |
| WO2021077968A1 (zh) * | 2019-10-25 | 2021-04-29 | 华为技术有限公司 | 一种安全通信方法、装置及系统 |
| WO2021162589A1 (ru) * | 2020-02-12 | 2021-08-19 | Общество С Ограниченной Ответственностью "Варити+" | Способ и система предотвращения вредоносных автоматизированных атак |
| CN111431724A (zh) * | 2020-03-27 | 2020-07-17 | 微梦创科网络科技(中国)有限公司 | 数据传输方法、装置及电子设备 |
| CN113794553A (zh) * | 2020-11-25 | 2021-12-14 | 京东安联财产保险有限公司 | 数据传输方法、装置、电子设备和存储介质 |
| CN113438071A (zh) * | 2021-05-28 | 2021-09-24 | 荣耀终端有限公司 | 安全通信的方法及设备 |
| CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和系统 |
| CN113747434A (zh) * | 2021-10-15 | 2021-12-03 | 湖南麒麟信安科技股份有限公司 | 一种基于IPSec的移动通信安全通信方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| LIANG YU;TAO JIANG;YULONG ZOU: "Price-Sensitivity Aware Load Balancing for Geographically Distributed Internet Data Centers in Smart Grid Environment", 《IEEE TRANSACTIONS ON CLOUD COMPUTING》, pages 1125 - 1135 * |
| 接赢墨: "基于博弈论的服务资源分配机制优化研究", 《中国博士学位论文全文数据库 基础科学辑》, pages 002 - 86 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014143A (zh) * | 2023-10-07 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、系统及设备 |
| CN117014143B (zh) * | 2023-10-07 | 2024-01-05 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114499969B (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471432B (zh) | 防止网络应用程序接口被恶意攻击的方法 | |
| US11451614B2 (en) | Cloud authenticated offline file sharing | |
| CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
| US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
| CN109309685B (zh) | 信息传输方法和装置 | |
| CN107483383B (zh) | 一种数据处理方法、终端、后台服务器及存储介质 | |
| CN109413201B (zh) | Ssl通信方法、装置及存储介质 | |
| US9531749B2 (en) | Prevention of query overloading in a server application | |
| US20220141250A1 (en) | Generating and analyzing network profile data | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| US10834131B2 (en) | Proactive transport layer security identity verification | |
| US20150271163A1 (en) | Secure data transmission using multi-channel communication | |
| US20240146728A1 (en) | Access control method, access control system, and related device | |
| CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN114499969B (zh) | 一种通信报文的处理方法、装置、电子设备及存储介质 | |
| US20200092264A1 (en) | End-point assisted gateway decryption without man-in-the-middle | |
| US11102239B1 (en) | Client device identification on a network | |
| CN112968910A (zh) | 一种防重放攻击方法和装置 | |
| CN110149210A (zh) | 一种数据传输方法及装置 | |
| CN113098685B (zh) | 一种基于云计算的安全验证方法、装置及电子设备 | |
| CN112134884B (zh) | 一种报文序列号的更新方法 | |
| CN110035041B (zh) | 一种识别应用攻击源的方法和设备 | |
| CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |