CN114629679B - 一种数据报文染色与检测方法及装置 - Google Patents
一种数据报文染色与检测方法及装置 Download PDFInfo
- Publication number
- CN114629679B CN114629679B CN202210096561.0A CN202210096561A CN114629679B CN 114629679 B CN114629679 B CN 114629679B CN 202210096561 A CN202210096561 A CN 202210096561A CN 114629679 B CN114629679 B CN 114629679B
- Authority
- CN
- China
- Prior art keywords
- dyeing
- message
- value
- data
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004043 dyeing Methods 0.000 title claims abstract description 259
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000001514 detection method Methods 0.000 claims abstract description 82
- 238000004364 calculation method Methods 0.000 claims abstract description 29
- 238000004422 calculation algorithm Methods 0.000 claims description 32
- 238000007781 pre-processing Methods 0.000 claims description 9
- 230000006835 compression Effects 0.000 claims description 3
- 238000007906 compression Methods 0.000 claims description 3
- 238000010186 staining Methods 0.000 claims 1
- 230000006854 communication Effects 0.000 abstract description 16
- 238000004891 communication Methods 0.000 abstract description 15
- 238000006243 chemical reaction Methods 0.000 abstract description 3
- 238000012795 verification Methods 0.000 abstract description 3
- 239000000284 extract Substances 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据报文染色与检测方法与装置,通过获取IP数据报文及染色因子并进行预处理,得到预处理后的IP数据报文及染色因子,并计算当前时间下报文染色因子的时间序列SN字串,将时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据,并根据预处理后的染色因子计算报文染色值;同时根据预处理后的IP数据报文及染色因子计算报文染色检测值,进行报文染色值检测;本发明结合染色因子与时间序列SN计算报文染色值,完成报文来源合法性与内容完整性检验,并在不接触用户业务报文内容的前提下提取高层语义信息,且在大大降低染色因子在线更新频率的情况下为染色因子计算与检测提供了类似密钥变换的功能,节约了系统通信带宽。
Description
技术领域
本发明涉及IP通信技术领域,具体涉及一种数据报文染色与检测方法及装置。
背景技术
IP报文在通信过程中,为了保证安全性和提高服务质量一般需要对其承载的业务类别进行区分、对报文的来源合法性进行鉴别以及对数据完整性进行保护以防止被篡改等。虽然通过IPSec隧道加密技术可以完成来源合法性验证与数据完整性保护,但IPSec隧道加密以后,原报文来源、业务类别、数据完整性保护的HMAC校验码等信息被加密封装,只有到了接收端解密后才能得到,所有通信中间节点无法进行相应检测与确认。
在IP通信网络中为了提高服务质量保障以及对业务精细管控的能力,需要对IP报文承载的业务类别进行准确识别,一般通过其上层协议(UDP和TCP)及端口号进行业务的区分,更细致的业务类型划分可能需要进一步对报文载荷进行分析。在IPSec隧道加密封装以后,这些业务类别信息都无法获取。在IP报文没有被加密时,获取这些业务相关信息的计算代价也比较大,或者由于用户业务敏感性或隐私保护等原因不便分析业务内容,同时也难以适应新业务不断变化的场景。
现有对数据通信报文进行完整性保护的密钥相关哈希运算消息认证码(HMAC)方案中,虽然保证了数据的完整性和来源合法性,但一方面HMAC验证码无法提供业务类型识别等语义信息,另一方面也存在密钥更新周期问题:如果更新周期太短,则密钥协商对网络通信带宽和终端的计算能力都有较大的消耗;如果更新周期太长,则难以防范报文重放攻击等风险。
发明内容
针对现有技术中的上述不足,本发明提供了一种数据报文染色与检测方法及装置,通过结合染色因子与时间序列SN计算报文染色值在大大降低染色因子在线更新频率的情况下,为系统染色计算与检测提供了类似密钥变换的功能,有效节约了系统通信带宽和计算资源。
为了达到上述发明目的,本发明采用的技术方案为:
一方面,一种数据报文染色与检测方法,包括以下步骤:
S1、获取IP数据报文及染色因子并进行预处理,得到预处理后的IP数据报文及染色因子;
S2、计算当前时间下报文染色因子的时间序列SN字串;
S3、将时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
S4、根据输入缓冲区数据与预处理后的染色因子计算报文染色值;
S5、根据预处理后的IP数据报文及染色因子计算报文染色检测值;
S6、利用报文染色检测值对报文染色值进行检测。
优选地,步骤S1具体为:
获取IP数据报文及染色因子,并对染色因子进行划分,其中,将划分的染色因子中第一字节定义为染色类别,其他字节定义为染色混淆值,得到预处理后的染色因子,同时提取IP数据报文的载荷部分,得到预处理后的IP数据报文。
优选地,步骤S2具体为:
步骤S2具体为:
将当前时间转换为预设时间单位下的时间数值,并将时间数值转换为ASCII码,得到字符串,并判断字符串是否满足预设长度字节,若不满足则在字符串前进行零填充,并将零填充后的字符串作为当前报文染色因子的时间序列SN字串,否则直接输出字符串,作为当前报文染色因子的时间序列SN字串。
优选地,步骤S4包括以下分步骤:
S41、利用消息摘要MAC算法根据输入缓冲区数据计算输入缓冲区数据的消息摘要值;
S42、根据输入缓冲区数据的消息摘要值与预处理后的染色因子计算消息摘要异或值;
S43、利用消息摘要MAC算法计算消息摘要异或值的二次消息摘要值;
S44、对二次消息摘要值进行压缩,得到报文染色值。
优选地,步骤S44具体为:
将二次消息摘要值划分为多个分组,并对分组后的二次消息摘要值依次按照组序与后续分组进行异或运算,得到预设字节的报文染色值。
优选地,步骤S5具体包括以下分步骤:
S51、将当前时间转换为预设时间单位下的时间数值,并初始化SN检测次数;
S52、将时间数值转换为ASCII码得到字符串,并判断字符串是否满足预设长度字节,若不满足则在字符串前进行零填充,得到满足预设长度字节的当前时间序列SN字串,并进入步骤S53,否则直接输出字符串,作为当前时间序列SN字串,并进入步骤S53;
S53、将当前时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
S54、利用消息摘要MAC算法根据输入缓冲区数据计算报文染色检测值。
优选地,步骤S54具体包括以下分步骤:
S541、利用消息摘要MAC算法计算输入缓冲区数据的消息摘要值,并初始化预处理后染色因子的染色类别,得到当前状态的染色类别;
S542、根据当前状态的染色类别构建染色因子,并计算染色因子与消息摘要值的异或值;
S543、利用消息摘要MAC算法根据染色因子与消息摘要值的异或值计算二次消息摘要;
S544、对二次消息摘要进行压缩,得到预设字节的报文染色检测值。
优选地,步骤S6具体包括以下分步骤:
S61、判断报文染色检测值与报文染色值是否相同,若相同,则输出“检测通过”,并得到染色类别,并结束检测;否则进入步骤S62;
S62、判断报文染色检测值中当前状态的染色类别是否为预设最大染色类型值,若是则进入步骤S63;否则将当前状态的染色类别加1,并将该更新后的染色类别作为当前状态的染色类别,返回步骤S542;
S63、判断SN检测次数是否为第一预设次数,若是则将时间数值加1,并转换为ASCII码,得到字符串,同时将字符串补足到预设字节,得到更新后的当前时间序列SN字串,并设置SN检测次数为2,返回步骤S52;否则进入步骤S64;
S64、判断SN检测次数是否为第二预设次数,若是则将时间数值减2,并转换为ASCII码,得到字符串,同时将字符串补足到预设字节,得到更新后的当前时间序列SN字串,并设置SN检测次数为3,返回步骤S52;否则输出“检测不通过”,结束检测。
另一方面,一种数据报文染色与检测装置,包括:
数据报文预处理模块,用于获取IP数据报文及染色因子并进行预处理,得到预处理后的IP数据报文及染色因子;
时间序列SN字串获取模块,用于计算当前时间下报文染色因子的时间序列SN字串;
输入缓冲数据获取模块,用于将时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
报文染色值计算模块,用于根据输入缓冲数据与预处理后的染色因子计算报文染色值;
报文染色检测模块,用于根据预处理后的IP数据报文及染色因子计算报文染色检测值;
数据报文检测模块,用于利用报文染色检测值对报文染色值进行检测。
优选地,报文染色值计算模块包括:
消息摘要值计算子模块,用于利用消息摘要MAC算法根据输入缓冲区数据计算输入缓冲区的消息摘要值;
染色因子计算子模块,用于根据输入缓冲区的消息摘要值与预处理后的染色因子计算消息摘要异或值;
染色因子二次计算子模块,用于利用消息摘要MAC算法计算消息摘要异或值的二次消息摘要值;
消息摘要值压缩子模块,用于对二次消息摘要值进行压缩,得到报文染色值。
本发明具有以下有益效果:
通过获取IP数据报文并进行预处理,得到预处理后的IP数据报文,并计算当前时间下报文染色因子的时间序列SN字串,将时间序列SN字串附加在IP数据报文载荷前,得到输入缓冲数据,并计算得到报文染色值,将报文染色值附加在报文头部进行发送;在染色检测点根据预处理后的IP数据报文计算报文染色检测值,并利用报文染色检测值检测报文染色值;从通过结合染色因子与时间序列SN计算报文染色值,完成报文来源合法性检验与报文内容完整性检验,并供染色检测点在不接触用户业务报文内容的前提下提取报文高层语义信息进行安全检测、服务质量保障等业务处理,且大大降低染色因子在线更新频率的情况下依然为系统染色计算与检测提供了类似密钥变换的功能,节约了系统通信带宽和计算处理资源。
优选地方案具有以下有益效果:
1、完成报文来源合法性检验与报文完整性保护;
2、可以为安全检测系统或服务质量保障(QoS)系统在不接触用户业务报文内容的前提下通过染色类别提取报文业务类别等高层语义信息,高效完成相应任务;
3、在大大降低染色因子在线更新频率的情况下依然为系统染色计算与检测提供了类似密钥变换的功能,有效节约了系统通信带宽和计算资源;
4、报文染色算法既实现了系统透明(对其它通信节点其染色类别不可见),还可以动态扩展染色类别支持更多的用户业务管控需求;
5、同时支持IPv4与IPv6通信场景。
附图说明
图1为本发明提供的一种数据报文染色与检测方法的步骤流程图;
图2为步骤S4的分步骤流程图;
图3为步骤S5的分步骤流程图;
图4为步骤S55的分步骤流程图;
图5为步骤S6的分步骤流程图;
图6为本发明提供的一种数据报文染色与检测装置的结构示意图;
图7为报文染色值计算模块的子模块。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
如图1所示,一方面,一种数据报文染色与检测方法,包括以下步骤:
S1、获取IP数据报文及染色因子并进行预处理,得到预处理后的IP数据报文及染色因子;
优选地,步骤S1具体为:
获取IP数据报文及染色因子,并对染色因子进行划分,其中,将划分的染色因子中第一字节定义为染色类别,其他字节定义为染色混淆值,得到预处理后的染色因子,同时提取IP数据报文的载荷部分,得到预处理后的IP数据报文。
可选的,在本发明的实施例中,染色因子Factor一共256比特,即32个字节,可将其划分为两部分,即:染色类别Factor_type与染色混淆值Factor_Confuse,满足:Factor=Factor_type+Factor_Confuse,其中第一个字节标识为染色类别Factor_type,可根据用户业务环境和需求,定义为不同的染色类别语义,比如语音业务、视频业务、数据业务、带内性能测量业务等业务类别,或高安全性、中安全性与低安全性等安全等级,其他节标识为染色混淆值Factor_Confuse,此染色混淆值通过在线方式跟染色检测节点进行协商与定期更换,染色因子Factor用于做密钥,实现对IP数据报文基于HMAC算法计算报文染色值。
S2、计算当前时间下报文染色因子的时间序列SN字串;
优选地,步骤S2具体为:
将当前时间转换为预设时间单位下的时间数值,并将时间数值转换为ASCII码,得到字符串,并判断字符串是否满足预设长度字节,若不满足则在字符串前进行零填充,并将零填充后的字符串作为当前报文染色因子的时间序列SN字串,否则直接输出字符串,作为当前报文染色因子的时间序列SN字串。
可选的,在有网络连接的情况下可通过NTP等时间同步协议与其他节点进行时间同步,将当前时间取秒为单位并以10取整计算,得到计算结果,并将计算结果转换为ASCII码形成字符串,其中,若字符串不满足8字节时,则在字符串前进行零填充,补足后得到当前报文染色因子的时间序列SN字串。
S3、将时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
可选的,本发明实施例中假设输入的IP数据报文中载荷部分为Packet,其长度满足L,将得到的时间序列SN字串附加在载荷Packet前形成了L+8字节的输入缓冲区,满足:Packet_s=SN+Packet。
S4、根据输入缓冲区数据与预处理后的染色因子计算报文染色值;
如图2所示,步骤S4包括以下分步骤:
S41、利用消息摘要MAC算法根据输入缓冲区数据计算输入缓冲区数据的消息摘要值;
可选的,消息摘要MAC算法可采用SHA-256、SM3等算法,其中计算的输入缓冲区数据的消息摘要值可表示为:D_1=MAC(Packet_s)。
S42、根据输入缓冲区数据的消息摘要值与预处理后的染色因子计算消息摘要异或值;
可选的,消息摘要异或值可表示为:X_1=Factor XOR D_1。
S43、利用消息摘要MAC算法计算消息摘要异或值的二次消息摘要值;
可选的,本发明实施例中二次消息摘要值可表示为:D_2=MAC(X_1)。
S44、对二次消息摘要值进行压缩,得到报文染色值。
优选地,步骤S44具体为:
将二次消息摘要值划分为多个分组,并对分组后的二次消息摘要值依次按照组序与后续分组进行异或运算,得到预设字节的报文染色值。
可选的,将二次消息摘要值D_2进行压缩:首先将二次消息摘要值D_2(共32字节)划分为32/S个分组,可表示为:group_1,group_2,…,group_n,将这些分组从第一组开始依次与后续分组进行异或运算,最后得到的结果值即为长度为S字节(S可选4或8)的报文染色值,其异或运算的过程可表示为:Stain=group_1XOR group_2…XOR group_n。
报文染色值计算有两个特点:
1)将报文染色类别等语义信息通过HMAC算法计算混淆到了染色值中从而对其他用户不可见,实现了一种透明的染色计算;
2)染色计算中对染色因子中的类别(Factor_type)不做具体要求,用户可以根据自己的业务应用场景和需求扩展定义染色类别(比如业务的种类或安全性等级等),从而完成基于报文染色的特定应用目的。
S5、根据预处理后的IP数据报文及染色因子计算报文染色检测值;
如图3所示,步骤S5具体包括以下分步骤:
S51、将当前时间转换为预设时间单位下的时间数值,并初始化SN检测次数;
可选的,将系统当前时间(在有网络连接的情况下可通过NTP等时间同步协议与其他节点进行时间同步)转换为以10秒为单位(秒数对10取整)的数字,设为SN_time,并设置SN检测次数为1。
S52、将时间数值转换为ASCII码得到字符串,并判断字符串是否满足预设长度字节,若不满足则在字符串前进行零填充,得到满足预设长度字节的当前时间序列SN字串,并进入步骤S53,否则直接输出字符串,作为当前时间序列SN字串,并进入步骤S53;
可选的,将时间数值SN_time转换为ASCII码形成字符串,当时间数值SN_time不足8字节时前面填充“0”,补足得到预设长度字节的时间序列SN字串。
S53、将当前时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
S54、利用消息摘要MAC算法根据输入缓冲区数据计算报文染色检测值。
如图4所示,优选地,步骤S54具体包括以下分步骤:
S541、利用消息摘要MAC算法计算输入缓冲区数据的消息摘要值,并初始化预处理后染色因子的染色类别,得到当前状态的染色类别;
可选的,由消息摘要MAC算法(采用跟染色值计算相同的摘要算法比如SHA-256或SM3)计算输入缓冲区的消息摘要值:D_1=MAC(Packet_s);其中,Packet_s为输入缓冲区,并预设染色类别Factor_type为0x01。
S542、根据当前状态的染色类别构建染色因子,并计算染色因子与消息摘要值的异或值;
可选的,由染色类别Factor_type附加上本地与染色计算节点协商的染色混淆值Factor_confuse得到共32字节的染色因子Factor*,计算染色因子Factor*与上述计算得到的消息摘要值的异或结果,表示为:X_1*=Factor*XOR D_1。
S543、利用消息摘要MAC算法根据染色因子与消息摘要值的异或值计算二次消息摘要;
S544、对二次消息摘要进行压缩,得到预设字节的报文染色检测值。
可选的,首先将二次消息摘要D_2*(共32字节)划分为32/S个分组group_1,group_2,…,group_n,将这些分组从第一组开始依次与后续分组进行异或运算,最后得到的结果值即为长度为S字节的报文染色检测值:Stain_c=group_1XOR group_2…XOR group_n。
S6、利用报文染色检测值对报文染色值进行检测。
如图5所示,步骤S6具体包括以下分步骤:
S61、判断报文染色检测值与报文染色值是否相同,若相同,则输出“检测通过”,并得到染色类别,并结束检测;否则进入步骤S62;
S62、判断报文染色检测值中当前状态的染色类别是否为预设最大染色类型值,若是则进入步骤S63;否则将当前状态的染色类别加1,并将该更新后的染色类别作为当前状态的染色类别,返回步骤S542;
可选的,将当前状态的染色类别加1,即:Factor_type=Factor_type+1,并将该更新后的染色类别作为当前状态的染色类别,返回步骤S542,重新根据当前状态的染色类别构建染色因子,计算染色因子与消息摘要值的异或值,进行迭代。
S63、判断SN检测次数是否为第一预设次数,若是则将时间数值加1,并转换为ASCII码,得到字符串,同时将字符串补足到预设字节,得到更新后的当前时间序列SN字串,并设置SN检测次数为2,返回步骤S52;否则进入步骤S64;
可选的,如果SN检测次数SN_check满足第一预设次数,即:1,若是则设置时间数值SN_time=SN_time+1,将时间数值SN_time转换为ASCII码形成字符串,不足8字节时前面填充“0”,补足得到当前报文染色计算的时间序列SN字串,设置SN_check=2,返回步骤S52;否则进入进入步骤S64。
S64、判断SN检测次数是否为第二预设次数,若是则将时间数值减2,并转换为ASCII码,得到字符串,同时将字符串补足到预设字节,得到更新后的当前时间序列SN字串,并设置SN检测次数为3,返回步骤S52;否则输出“检测不通过”,结束检测。
可选的,如果SN检测次数SN_check满足第二预设次数,即:2,则设置时间数值SN_time=SN_time-2,将时间数值SN_time转换为ASCII码形成字符串,不足8字节时前面填充“0”,补足得到当前报文染色计算的时间序列SN字串,设置SN_check=3,返回步骤S53;否则输出“检测不通过”,结束检测。
可选的,如果SN检测次数SN_check满足第三预设次数,即:3,那么此报文染色检测为“不通过”,算法结束;否则将染色类型加一,即:Factor_type=Factor_type+1,并返回步骤S55。
另一方面,一种数据报文染色与检测装置,包括:
数据报文预处理模块,用于获取IP数据报文并进行预处理,得到预处理后的IP数据报文;
时间序列SN字串获取模块,用于根据预处理后的IP数据报文计算当前时间下报文染色因子的时间序列SN字串;
输入缓冲数据获取模块,用于将时间序列SN字串附加在IP数据报文载荷前,得到输入缓冲数据;
报文染色值计算模块,用于根据输入缓冲数据计算报文染色值;
优选地,报文染色值计算模块包括:
消息摘要值计算子模块,用于利用消息摘要MAC算法根据输入缓冲数据计算输入缓冲区的消息摘要值;
染色因子计算子模块,用于根据输入缓冲区的消息摘要值计算消息摘要值的染色因子异或值;
染色因子二次计算子模块,用于利用消息摘要MAC算法根据消息摘要值的染色因子异或值计算二次消息摘要值;
消息摘要值压缩子模块,用于对二次消息摘要值进行压缩,得到报文染色值。
报文染色检测模块,用于根据预处理后的IP数据报文计算报文染色检测值;
数据报文检测模块,用于利用报文染色检测值检测报文染色值。
本发明实施例提供的一种数据报文染色与检测装置具有上述一种数据报文染色与检测方法的全部有益效果。
本发明实施例所提供的一种数据报文染色与检测方法及装置中所提供IP数据报文染色值计算与检测方法从IP通信的实际出发,通过结合染色因子与时间序列SN计算报文染色值,一方面可以完成报文来源合法性检验与报文完整性保护,另一方面也可以为安全检测系统或服务质量保障(QoS)系统在不接触用户业务报文内容的前提下提取报文业务类别等高层语义信息,高效完成相应任务。
另外,本发明实施例所提供的时间序列SN参与报文染色与检测计算,在大大降低染色因子在线更新频率的情况下依然为系统染色计算与检测提供了类似密钥变换的功能,有效节约了系统通信带宽和计算资源,同时对时间序列采用滑动窗口算法计算保证了染色计算与检测点具有较大的时间冗余度,大大降低了对系统时间同步的要求。
本发明实施例提供的报文染色算法,染色类别/颜色既实现了系统透明(对其它通信节点不可见),还可以动态扩展支持更多的用户业务管控需求;且本发明同时支持IPv4与IPv6通信场景。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (8)
1.一种数据报文染色与检测方法,其特征在于,包括以下步骤:
S1、获取IP数据报文及染色因子并进行预处理,得到预处理后的IP数据报文及染色因子;
S2、计算当前时间下报文染色因子的时间序列SN字串;
S3、将时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
S4、根据输入缓冲区数据与预处理后的染色因子计算报文染色值;包括以下分步骤:
S41、利用消息摘要MAC算法根据输入缓冲区数据计算输入缓冲区数据的消息摘要值;
S42、根据输入缓冲区数据的消息摘要值与预处理后的染色因子计算消息摘要异或值;
S43、利用消息摘要MAC算法计算消息摘要异或值的二次消息摘要值;
S44、对二次消息摘要值进行压缩,得到报文染色值;
S5、根据预处理后的IP数据报文及染色因子计算报文染色检测值;包括以下分步骤:
S51、将当前时间转换为预设时间单位下的时间数值,并初始化SN检测次数;
S52、将时间数值转换为ASCII码得到字符串,并判断字符串是否满足预设长度字节,若不满足则在字符串前进行零填充,得到满足预设长度字节的当前时间序列SN字串,并进入步骤S53,否则直接输出字符串,作为当前时间序列SN字串,并进入步骤S53;
S53、将当前时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
S54、利用消息摘要MAC算法根据输入缓冲区数据计算报文染色检测值;
S6、利用报文染色检测值对报文染色值进行检测。
2.根据权利要求1所述的数据报文染色与检测方法,其特征在于,步骤S1具体为:
获取IP数据报文及染色因子,并对染色因子进行划分,其中,将划分的染色因子中第一字节定义为染色类别,其他字节定义为染色混淆值,得到预处理后的染色因子,同时提取IP数据报文的载荷部分,得到预处理后的IP数据报文。
3.根据权利要求1所述的数据报文染色与检测方法,其特征在于,步骤S2具体为:
将当前时间转换为预设时间单位下的时间数值,并将时间数值转换为ASCII码,得到字符串,并判断字符串是否满足预设长度字节,若不满足则在字符串前进行零填充,并将零填充后的字符串作为当前报文染色因子的时间序列SN字串,否则直接输出字符串,作为当前报文染色因子的时间序列SN字串。
4.根据权利要求1所述的数据报文染色与检测方法,其特征在于,步骤S44具体为:
将二次消息摘要值划分为多个分组,并对分组后的二次消息摘要值依次按照组序与后续分组进行异或运算,得到预设字节的报文染色值。
5.根据权利要求1所述的数据报文染色与检测方法,其特征在于,步骤S54具体包括以下分步骤:
S541、利用消息摘要MAC算法计算输入缓冲区数据的消息摘要值,并初始化预处理后染色因子的染色类别,得到当前状态的染色类别;
S542、根据当前状态的染色类别构建染色因子,并计算染色因子与消息摘要值的异或值;
S543、利用消息摘要MAC算法根据染色因子与消息摘要值的异或值计算二次消息摘要;
S544、对二次消息摘要进行压缩,得到预设字节的报文染色检测值。
6.根据权利要求5所述的数据报文染色与检测方法,步骤S6具体包括以下分步骤:
S61、判断报文染色检测值与报文染色值是否相同,若相同,则输出“检测通过”,并得到染色类别,并结束检测;否则进入步骤S62;
S62、判断报文染色检测值中当前状态的染色类别是否为预设最大染色类别值,若是则进入步骤S63;否则将当前状态的染色类别加1,并将更新后的染色类别作为当前状态的染色类别,返回步骤S542;
S63、判断SN检测次数是否为第一预设次数,若是则将时间数值加1,并转换为ASCII码,得到字符串,同时将字符串补足到预设字节,得到更新后的当前时间序列SN字串,并设置SN检测次数为2,返回步骤S52;否则进入步骤S64;
S64、判断SN检测次数是否为第二预设次数,若是则将时间数值减2,并转换为ASCII码,得到字符串,同时将字符串补足到预设字节,得到更新后的当前时间序列SN字串,并设置SN检测次数为3,返回步骤S52;否则输出“检测不通过”,结束检测。
7.一种应用权利要求1所述方法的数据报文染色与检测装置,其特征在于,包括:
数据报文预处理模块,用于获取IP数据报文及染色因子并进行预处理,得到预处理后的IP数据报文及染色因子;
时间序列SN字串获取模块,用于计算当前时间下报文染色因子的时间序列SN字串;
输入缓冲数据获取模块,用于将时间序列SN字串附加在预处理后的IP数据报文前,得到输入缓冲区数据;
报文染色值计算模块,用于根据输入缓冲数据与预处理后的染色因子计算报文染色值;
报文染色检测模块,用于根据预处理后的IP数据报文及染色因子计算报文染色检测值;
数据报文检测模块,用于利用报文染色检测值对报文染色值进行检测。
8.根据权利要求7所述的一种数据报文染色与检测装置,其特征在于,报文染色值计算模块包括:
消息摘要值计算子模块,用于利用消息摘要MAC算法根据输入缓冲区数据计算输入缓冲区的消息摘要值;
染色因子计算子模块,用于根据输入缓冲区的消息摘要值与预处理后的染色因子计算消息摘要异或值;
染色因子二次计算子模块,用于利用消息摘要MAC算法计算消息摘要异或值的二次消息摘要值;
消息摘要值压缩子模块,用于对二次消息摘要值进行压缩,得到报文染色值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210096561.0A CN114629679B (zh) | 2022-01-26 | 2022-01-26 | 一种数据报文染色与检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210096561.0A CN114629679B (zh) | 2022-01-26 | 2022-01-26 | 一种数据报文染色与检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114629679A CN114629679A (zh) | 2022-06-14 |
CN114629679B true CN114629679B (zh) | 2024-02-13 |
Family
ID=81898571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210096561.0A Active CN114629679B (zh) | 2022-01-26 | 2022-01-26 | 一种数据报文染色与检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114629679B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820385A (zh) * | 2010-02-10 | 2010-09-01 | 中国电子科技集团公司第三十研究所 | 一种ip数据流流量的监管方法 |
CN102480383A (zh) * | 2010-11-23 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种日志消息报文处理方法及装置 |
CN105072629A (zh) * | 2015-06-30 | 2015-11-18 | 华为技术有限公司 | 测量终端上运行的业务的质量的方法、设备及系统 |
CN107547300A (zh) * | 2017-06-16 | 2018-01-05 | 新华三技术有限公司 | 一种网络质量检测方法及装置 |
CN107996023A (zh) * | 2016-11-23 | 2018-05-04 | 华为技术有限公司 | 监测虚拟网络的方法、设备和虚拟网络系统 |
CN108259208A (zh) * | 2016-12-29 | 2018-07-06 | 华为技术有限公司 | 一种检测报文染色位冲突的方法和设备 |
CN111277454A (zh) * | 2020-01-15 | 2020-06-12 | Ut斯达康通讯有限公司 | 一种网络性能检测系统及方法 |
EP3817298A1 (en) * | 2018-06-06 | 2021-05-05 | Huawei Technologies Co., Ltd. | Data message detection method, device and system |
CN113822384A (zh) * | 2021-11-23 | 2021-12-21 | 深圳市裕展精密科技有限公司 | 数据分析方法、装置、计算机设备、存储介质及程序产品 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9998434B2 (en) * | 2015-01-26 | 2018-06-12 | Listat Ltd. | Secure dynamic communication network and protocol |
-
2022
- 2022-01-26 CN CN202210096561.0A patent/CN114629679B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820385A (zh) * | 2010-02-10 | 2010-09-01 | 中国电子科技集团公司第三十研究所 | 一种ip数据流流量的监管方法 |
CN102480383A (zh) * | 2010-11-23 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种日志消息报文处理方法及装置 |
CN105072629A (zh) * | 2015-06-30 | 2015-11-18 | 华为技术有限公司 | 测量终端上运行的业务的质量的方法、设备及系统 |
CN107996023A (zh) * | 2016-11-23 | 2018-05-04 | 华为技术有限公司 | 监测虚拟网络的方法、设备和虚拟网络系统 |
CN108259208A (zh) * | 2016-12-29 | 2018-07-06 | 华为技术有限公司 | 一种检测报文染色位冲突的方法和设备 |
CN107547300A (zh) * | 2017-06-16 | 2018-01-05 | 新华三技术有限公司 | 一种网络质量检测方法及装置 |
EP3817298A1 (en) * | 2018-06-06 | 2021-05-05 | Huawei Technologies Co., Ltd. | Data message detection method, device and system |
CN111277454A (zh) * | 2020-01-15 | 2020-06-12 | Ut斯达康通讯有限公司 | 一种网络性能检测系统及方法 |
CN113822384A (zh) * | 2021-11-23 | 2021-12-21 | 深圳市裕展精密科技有限公司 | 数据分析方法、装置、计算机设备、存储介质及程序产品 |
Non-Patent Citations (2)
Title |
---|
Fast and Reliable IP Recovery for Overlay Routing in Mission Critical Message Oriented Middleware;Yue Jia等;2014 IEEE 17th International Conference on Computational Science and Engineering;全文 * |
基于SDN架构的电力通信网络质量感知技术研究;谢小军;潘子春;夏同飞;;计算机测量与控制(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114629679A (zh) | 2022-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111614683B (zh) | 一种数据处理方法、装置、系统及一种网卡 | |
CN109922047B (zh) | 一种图像传输系统及方法 | |
CN107070926A (zh) | 一种对电子设备进行统一操作的结构及方法 | |
CN102938683B (zh) | 一种数据处理的方法和装置 | |
US20010043616A1 (en) | Transcoding in data communications | |
CN104639328B (zh) | 一种goose报文认证方法及系统 | |
US7961614B2 (en) | Information processing device, information processing method, and recording medium for reducing consumption of memory capacity | |
CN115242514A (zh) | 基于国密的隐私集合求交方法、系统及相关设备 | |
CN104639330B (zh) | 一种goose报文完整性认证方法 | |
CN114629679B (zh) | 一种数据报文染色与检测方法及装置 | |
CN107231628B (zh) | 一种适用于多应用场景的安全数据融合方法 | |
CN114553494B (zh) | 一种基于数据报文的轻量级染色与检测方法及装置 | |
CN116232880A (zh) | 一种基于安全隔离的虚拟专用网建立方法及系统 | |
CN111934437B (zh) | 基于行为标记和轻量级加密的有源配电网大数据传输方法 | |
CN114401148A (zh) | 一种通信数据加解密优化方法 | |
CN114339737A (zh) | 无线通讯指令加密方法及相关设备 | |
CN105915531A (zh) | 一种屏幕解锁方法及终端 | |
CN106790242A (zh) | 一种通信方法、通信设备、可读介质及存储控制器 | |
CN111740817A (zh) | 电力数据采集系统中集中器的代码篡改检测方法及系统 | |
CN115277056B (zh) | 一种基于流量自适应工作模式的方法及加解密装置 | |
CN117098120B (zh) | 一种北斗短报文数据加解密方法、设备及存储介质 | |
CN112491851B (zh) | 一种加密恶意流量检测确认方法 | |
US20230336998A1 (en) | Safe mode configuration method, device and system, and computer-readable storage medium | |
CN116266227A (zh) | 一次性密码的生成、验证方法、装置、设备以及存储介质 | |
CN117749371A (zh) | 一种采集终端、负荷管理中心及量子安全负荷管理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |