WO2017118413A1

WO2017118413A1 - 一种检测报文的方法、装置和系统

Info

Publication number: WO2017118413A1
Application number: PCT/CN2017/070444
Authority: WO
Inventors: 荆泉霖
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-01-06
Filing date: 2017-01-06
Publication date: 2017-07-13
Also published as: CN106953835A; CN106953835B

Abstract

本发明公开了一种检测报文的方法、装置和系统，包括：第一设备/第二设备接收到镜像的第一上行报文/第一下行报文，计算第一上行报文/第一下行报文的签名，保存第一上行报文/第一下行报文的标志信息和签名之间的对应关系；第二设备/第一设备接收到镜像的第二上行报文/第二下行报文，计算第二上行报文/第二下行报文的签名，向第一设备/第二设备发送包含签名的第二上行报文/第二下行报文；第一设备/第二设备获取包含签名的第二上行报文/第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文/第二下行报文不是特殊报文。本发明提高了用户体验。

Description

一种检测报文的方法、装置和系统

技术领域

本发明涉及移动通讯和互联网领域，尤指一种检测报文的方法、装置和系统。

背景技术

随着互联网技术的迅速发展，网络的安全性越来越受到人们的重视，如何保证网络中的信息不被窃取泄密，增强网络的安全性，成为日益需要解决的问题。

网络中的特殊报文可以理解为被中间网络设备对流经自身的报文中的信息进行篡改得到的报文，或中间网络设备根据流经自身的报文中的信息自行发送的报文。这些报文由于其隐蔽性，往往很不容易被发现，从而无法对其进行控制。

现有的检测特殊报文的方法通常是把检测设备串联在网络中进行检测，然而串联之前需要中断原有网络，影响了用户体验。

发明内容

为了解决上述问题，本发明提出了一种检测报文的方法、装置和系统，能够在不中断原有网络时进行检测，从而提高用户体验。

为了达到上述目的，本发明提出了一种检测报文的方法，包括：

第一设备/第二设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系；

第二设备/第一设备接收到镜像的第二上行报文/第二下行报文，计算镜像的第二上行报文/第二下行报文的签名，向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文；

第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文/第二下行报文不是特殊报文。

可选的，当所述第一设备/第二设备在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同时，该方法还包括：

所述第一设备/第二设备确定所述第二上行报文/第二下行报文为特殊报文；

或者，所述第一设备/第二设备在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。

可选的，所述计算镜像的第二上行报文/第二下行报文的签名后，在所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文之前还包括：

获取第二上行报文/第二下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第一设备/第二设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备/第二设备；

所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文包括：

向查找到的第一设备/第二设备发送所述包含计算得到的签名的第二上行报文/第二下行报文。

可选的，该方法还包括：

所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。

可选的，当所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为组播报文时，该方法还包括：

在第二预设时间后删除查找到的签名和对应的标志信息。

本发明还提出了一种检测报文的方法，包括：

第三设备/第四设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文；

第四设备/第三设备获取包含计算得到的签名的第一上行报文/第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；

第四设备/第三设备接收到镜像的第二上行报文/第二下行报文，获取镜像的第二上行报文/第二下行报文中的标志信息，计算镜像的第二上行报文/第二下行报文的签名，在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文/第二下行报文的签名相同，确定第二上行报文/第二下行报文不是特殊报文。

可选的，当所述第四设备/第三设备在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同时，该方法还包括：

所述第四设备/第三设备确定所述第二上行报文/第二下行报文为特殊报文；

或者，所述第四设备/第三设备在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。

可选的，所述计算镜像的第一上行报文/第一下行报文的签名后，在所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文之前还包括：

获取第一上行报文/第一下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第四设备/第三设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备/第三设备；

所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文包括：

向查找到的第四设备/第三设备发送所述包含计算得到的签名的第一上行报文/第一下行报文。

可选的，该方法还包括：

所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。

可选的，当所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为组播报文时，该方法还包括：

在第二预设时间后删除查找到的签名和对应的标志信息。

本发明还提出了一种第一设备，至少包括：

第一接收模块，用于接收到镜像的第一上行报文；接收到来自第二设备的包含计算得到的签名的第二上行报文；接收到镜像的第二下行报文；

第一签名模块，用于计算镜像的第一上行报文的签名，保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系；计算镜像的第二下行报文的签名；

第一校验模块，用于获取包含计算得到的签名的第二上行报文的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文；

第一发送模块，用于向第二设备发送包含计算得到的签名的第二下行报文。

可选的，所述第一校验模块还用于：

在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同，确定所述第二上行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。

可选的，所述第一发送模块具体用于：

获取第二下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第二设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第二设备；向查找到的第二设备发送所述包含计算得到的签名的第二下行报文。

本发明还提出了一种第二设备，至少包括：

第二接收模块，用于接收到镜像的第一下行报文；接收到来自第一设备的包含计算得到的签名的第二下行报文；接收到镜像的第二上行报文；

第二签名模块，用于计算镜像的第一下行报文的签名，保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系；计算镜像的第二上行报文的签名；

第二校验模块，用于获取包含计算得到的签名的第二下行报文的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文；

第二发送模块，用于向第一设备发送包含计算得到的签名的第二上行报文。

可选的，所述第二校验模块还用于：

在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同，确定所述第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。

可选的，所述第二发送模块具体用于：

获取第二上行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第一设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备；向查找到的第一设备发送所述包含计算得到的签名的第二上行报文。

本发明还提出了一种第三设备，至少包括：

第三接收模块，用于接收到镜像的第一上行报文；接收到来自第四设备的包含计算得到的签名的第一下行报文；接收到镜像的第二下行报文；

第三签名模块，用于计算镜像的第一上行报文的签名；获取包含计算得到的第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；获取镜像的第二下行报文中的标志信息，计算镜像的第二下行报文的签名；

第三发送模块，用于向第四设备发送包含计算得到的签名的第一上行报文；

第三校验模块，用于在对应关系中查找镜像的第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二下行报文的签名相同，确定第二下行报文不是特殊报文。

可选的，所述第三校验模块还用于：

在所述对应关系中查找不到所述第二下行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二下行报文的签名不相同，确定所述第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。

可选的，所述第三发送模块具体用于：

获取第一上行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第四设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备；向查找到的第四设备发送所述包含计算得到的签名的第一上行报文。

本发明还提出了一种第四设备，至少包括：

第四接收模块，用于接收到镜像的第一下行报文；接收到来自第三设备的包含计算得到的签名的第一上行报文；接收到镜像的第二上行报文；

第四签名模块，用于计算镜像的第一下行报文的签名；获取包含计算得到的第一上行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；获取镜像的第二上行报文中的标志信息，计算镜像的第二上行报文的签名；

第四发送模块，用于向第三设备发送包含计算得到的签名的第一下行报文；

第四校验模块，用于在对应关系中查找镜像的第二上行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文的签名相同，确定第二上行报文不是特殊报文。

可选的，所述第四校验模块还用于：

在所述对应关系中查找不到所述第二上行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二上行报文的签名不相同，确定所述第二上行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。

可选的，所述第四发送模块具体用于：

获取第一下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第三设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第三设备；向查找到的第三设备发送所述包含计算得到的签名的第一下行报文。

本发明还提出了一种检测报文的系统，至少包括：

第一设备，用于接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系；获取包含计算得到的签名的第二上行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文；接收到镜像的第二下行报文，计算镜像的第二下行报文的签名，向第二设备发送包含计算得到的签名的第二下行报文；

第二设备，用于接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系；接收到镜像的第二上行报文，计算镜像的第二上行报文的签名，向第一设备发送包含计算得到的签名的第二上行报文；获取包含计算得到的签名的第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文。

可选的，所述第一设备/第二设备还用于：

在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同，确定所述第二上行报文/第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。

本发明还提出了一种检测报文的系统，至少包括：

第三设备，用于接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，向第四设备发送包含计算得到的签名的第一上行报文；获取包含计算得到的签名的第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；接收到镜像的第二下行报文，获取镜像的第二下行报文中的标志信息，计算镜像的第二下行报文的签名，在对应关系中查找镜像的第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二下行报文的签名相同，确定第二下行报文不是特殊报文；

第四设备，用于接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，向第三设备发送包含计算得到的签名的第一下行报文；获取包含计算得到的签名的第一上行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；接收到镜像的第二上行报文，获取镜像的第二上行报文中的标志信息，计算镜像的第二上行报文的签名，在对应关系中查找镜像的第二上行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文的签名相同，确定第二上行报文不是特殊报文。

可选的，所述第三设备/第四设备还用于：

在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同，确定所述第二上行报文/第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。

与现有技术相比，本发明的技术方案包括：第一设备/第二设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系；第二设备/第一设备接收到镜像的第二上行报文/第二下行报文，计算镜像的第二上行报文/第二下行报文的签名，向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文；第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文/第二下行报文不是特殊报文。通过本发明的方案，采用第一设备/第二设备和第二设备/第一设备对中间网络设备镜像的上行报文/下行报文进行检测，而不需要中断原有网络，从而提高了用户体验。

附图说明

下面对本发明实施例中的附图进行说明，实施例中的附图是用于对本发明的进一步理解，与说明书一起用于解释本发明，并不构成对本发明保护范围的限制。

图1为本发明检测特殊报文的方法的流程图；

图2为本发明在中间网络设备的入口和出口分别设置设备的示意图；

图3为本发明另一种在中间网络设备的入口和出口分别设置设备的示意图

图4为本发明另一种检测报文的方法的流程图；

图5为本发明第一设备的结构组成示意图；

图6为本发明第二设备的结构组成示意图；

图7为本发明第三设备的结构组成示意图；

图8为本发明第四设备的结构组成示意图；

图9为本发明检测报文的系统的结构组成示意图；

图10为本发明另一种检测报文的系统的结构组成示意图。

具体实施方式

为了便于本领域技术人员的理解，下面结合附图对本发明作进一步的描述，并不能用来限制本发明的保护范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的各种方式可以相互组合。

参见图1，本发明提出了一种检测报文的方法，在中间网络设备的入口和出口分别设置第一设备和第二设备。

图2为在中间网络设备的入口和出口分别设置设备的示意图。如图2所示，终端通过中间网络设备和因特网(Internet)之间进行通信。当中间网络设备只有一个入口和一个出口时，只需要在入口和出口分别设置一个第一设备(即设备1)和第二设备(即设备2)。

图3为另一种在中间网络设备的入口和出口分别设置设备的示意图。如图3所示，终端1和终端2通过中间网络设备和Internet之间进行通信。当中间网络设备有多个入口和/或多个出口时，需要在入口和出口分别设置多个第一设备(即设备1和设备2)和/或多个第二设备(即设备3和设备4)。

因此，在以下的描述中，处理上行报文和下行报文的方法是相同的，因此用“/”来表示，即”/“表示可替代的意思，在整套方法的描述中，只包含“/”前面的描述为一套完整的方案，只包含“/”后面的描述为另一套完整的方案。

该方法包括：

步骤100，第一设备/第二设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系。

本步骤中，第一设备/第二设备可以采用现有的算法，如密钥相关的哈希运算消息认证码(HMAC，Hash-based Message Authentication Code)-信息摘要算法5(MD5，Message-Digest Algorithm 5)计算镜像的第一上行报文/第一下行报文的签名，具体实现属于本领域技术人员的公知技术，并不用于限定本发明的保护范围，这里不再赘述。

本步骤中，一般对镜像的第一上行报文/第一下行报文的特征值的签名进行计算，镜像的第一上行报文/第一下行报文的特征值是指镜像的第一上行报文/第一下行报文在网络中传输时通常不改变的内容，如目的IP地址+payload、源IP地址+payload等。

本步骤中，标志信息包括以下的一种或多种：源互联网协议(IP，Internet Protocol)地址、目的IP地址、协议号、源端口号、目的端口号、标识字段、分片标记位和分片偏移等。

需要说明的是，标志信息至少要能够唯一标识报文。

步骤101，第二设备/第一设备接收到镜像的第二上行报文/第二下行报文，计算镜像的第二上行报文/第二下行报文的签名，向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文。

本步骤中，第二设备/第一设备可以采用现有的算法，如HMAC-MD5计算镜像的第二上行报文/第二下行报文的签名，具体实现属于本领域技术人员的公知技术，并不用于限定本发明的保护范围，这里不再赘述。

本步骤中，一般对镜像的第二上行报文/第二下行报文的特征值的签名进行计算，镜像的第二上行报文/第二下行报文的特征值是指镜像的第二上行报文/第二下行报文在网络中传输时通常不改变的内容，如目的IP地址+payload、源IP地址+payload等。

本步骤中，包含计算得到的签名的第二上行报文/第二下行报文与第二上行报文/第二下行报文的其他信息均相同，仅仅是在第二上行报文/第二下行报文中携带了签名。

本步骤中，签名可以设置在第二上行报文/第二下行报文的payload字段末尾，或option字段、或IPSec(IP Security)常用的AH头和IP头的Identification字段等。

本步骤中，计算镜像的第二上行报文/第二下行报文的签名后，在向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文之前还包括：

获取第二上行报文/第二下行报文的源IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第一设备/第二设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备/第二设备；

向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文包括：向查找到的第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文。

步骤102，第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文/第二下行报文不是特殊报文。

本步骤中，当第一设备/第二设备在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，第一设备/第二设备确定第二上行报文/第二下行报文为特殊报文；或者，入口设备在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

其中，入口设备确定出第二上行报文/第二下行报文为特殊报文后，还可以进行告警和/或将第二上行报文/第二下行报文输出，具体实现属于本领域技术人员的公知技术，并不用于限定本发明的保护范围，这里不再赘述。

通过本发明的方案，采用第一设备/第二设备和第二设备/第一设备对中间网络设备镜像的上行报文/下行报文进行检测，而不需要中断原有网络，从而提高了用户体验。

进一步地，该方法还包括：

第一设备/第二设备判断出第二上行报文/第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。

其中，当第一设备/第二设备判断出第二上行报文/第二下行报文为组播报文时，在第二预设时间后删除查找到的签名和对应的标志信息。

其中，具体如何判断第二上行报文/第二下行报文是否是组播报文属于本领域技术人员的公知技术，并不用于限定本发明的保护范围，这里不再赘述。

参见图4，本发明还提出了一种检测报文的方法，在中间网络设备的入口和出口分别设置第三设备和第四设备。

如图2所示，终端通过中间网络设备和因特网(Internet)之间进行通信。当中间网络设备只有一个入口和一个出口时，只需要在入口和出口分别设置一个第三设备(即设备1)和第四设备(即设备2)。

如图3所示，终端1和终端2通过中间网络设备和Internet之间进行通信。当中间网络设备有多个入口和/或多个出口时，需要在入口和出口分别设置多个第三设备(即设备1和设备2)和/或多个第四设备(即设备3和设备4)。

该方法包括：

步骤400，第三设备/第四设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文。

本步骤中，第三设备/第四设备可以采用现有的算法，如HMAC-MD5计算镜像的第一上行报文/第一下行报文的签名，具体实现属于本领域技术人员的公知技术，并不用于限定本发明的保护范围，这里不再赘述。

本步骤中，计算镜像的第一上行报文/第一下行报文的签名后，在向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文之前还包括：

向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文包括：向查找到的第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文。

步骤401，第四设备/第三设备获取包含计算得到的签名的第一上行报文/第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系。

本步骤中，标志信息包括以下的一种或多种：源IP地址、目的IP地址、协议号、源端口号、目的端口号、标识字段、分片标记位和分片偏移等。

步骤402，第四设备/第三设备接收到镜像的第二上行报文/第二下行报文，获取镜像的第二上行报文/第二下行报文中的标志信息，计算镜像的第二上行报文/第二下行报文的签名，在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文/第二下行报文的签名相同，确定第二上行报文/第二下行报文不是特殊报文。

本步骤中，当第四设备/第三设备在对应关系中查找不到第二上行报文/第二下行报文中的标志信息对应的签名，或判断出查找到的签名和第二上行报文/第二下行报文的签名不相同时，第四设备/第三设备确定第二上行报文/第二下行报文为特殊报文；或者，出口设备在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。

进一步地，该方法还包括：

第四设备/第三设备判断出第二上行报文/第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。

其中，当第四设备/第三设备判断出第二上行报文/第二下行报文为组播报文时，在第二预设时间后删除查找到的签名和对应的标志信息。

下面通过具体实施例详细说明本发明的方法。

第一实施例，参见图2，当终端通过中间网络设备向Internet发送第一上行报文时，中间网络设备在入口处将第一上行报文镜像给设备1，第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同，也可能不同，当第一上行报文被中间网络设备篡改时，则第二上行报文与第一上行报文不同)，中间网络设备在出口处将第二上行报文镜像给设备2。

设备1接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系；

设备2接收到镜像的第二上行报文，计算镜像的第二上行报文的签名，向设备1发送包含计算得到的签名的第二上行报文；

设备1获取包含计算得到的签名的第二上行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文。

当设备1在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，设备1确定第二上行报文为特殊报文；

或者，设备1在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

当Internet通过中间网络设备向终端发送第一下行报文时，中间网络设备在入口处将第一下行报文镜像给设备2，第一下行报文传输到中间网络设备的出口处变为第二下行报文(第二下行报文可能与第一下行报文相同，也可能不同，当第一下行报文被中间网络设备篡改时，则第二下行报文与第一下行报文不同)，中间网络设备在出口处将第二下行报文镜像给设备1。

设备2接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系；

设备1接收到镜像的第二下行报文，计算镜像的第二下行报文的签名，向设备2发送包含计算得到的签名的第二下行报文；

设备2获取包含计算得到的签名的第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文。

当设备2在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，设备2确定第二下行报文为特殊报文；

或者，设备2在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

第二实施例，参见图3，当终端1/终端2通过中间网络设备向Internet发送第一上行报文时，中间网络设备在入口处将第一上行报文镜像给设备1/设备2，第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同，也可能不同，当第一上行报文被中间网络设备篡改时，则第二上行报文与第一上行报文不同)，中间网络设备在出口处将第二上行报文镜像给设备3或设备4。

设备1/设备2接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系；

设备3或设备4接收到镜像的第二上行报文，计算镜像的第二上行报文的签名，获取第二上行报文的源IP地址，在预先设置的源IP地址网段和设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段对应的设备(或者，获取第二上行报文的目的IP地址，在预先设置的目的IP地址网段和设备之间的对应关系中，查找获得的目的IP地址所在的目的IP地址网段对应的设备)，若查找到的设备为设备1/设备2，向设备1/设备2发送包含计算得到的签名的第二上行报文；

设备1/设备2获取包含计算得到的签名的第二上行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文。

当设备1/设备2在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，设备1/设备2确定第二上行报文为特殊报文；

或者，设备1/设备2在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

当Internet通过中间网络设备向终端1/终端2发送第一下行报文时，中间网络设备在入口处将第一下行报文镜像给设备3或设备4，第一下行报文传输到中间网络设备的出口处变为第二下行报文(第二下行报文可能与第一下行报文相同，也可能不同，当第一下行报文被中间网络设备篡改时，则第二下行报文与第一下行报文不同)，中间网络设备在出口处将第二下行报文镜像给设备1/设备2。

设备3或设备4接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系；

设备1/设备2接收到镜像的第二下行报文，计算镜像的第二下行报文的签名，获取第二下行报文的目的IP地址，在预先设置的目的IP地址网段和设备之间的对应关系中，查找获得的目的IP地址所在的目的IP地址网段对应的设备，若查找到的设备为设备3或设备4，向设备3或设备4发送包含计算得到的签名的第二下行报文；

设备3或设备4获取包含计算得到的签名的第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文。

当设备3或设备4在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，设备3或设备4确定第二下行报文为特殊报文；

或者，设备3或设备4在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

第三实施例，参见图2，当终端通过中间网络设备向Internet发送第一上行报文时，中间网络设备在入口处将第一上行报文镜像给设备1，第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同，也可能不同，当第一上行报文被中间网络设备篡改时，则第二上行报文与第一上行报文不同)，中间网络设备在出口处将第二上行报文镜像给设备2。

设备1接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，向设备2发送包含计算得到的签名的第一上行报文；

设备2获取包含计算得到的签名的第一上行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；

设备2接收到镜像的第二上行报文，获取镜像的第二上行报文中的标志信息，计算镜像的第二上行报文的签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文。

当设备2在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，设备2确定第二上行报文为特殊报文；

设备2接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，向设备1发送包含计算得到的签名的第一下行报文；

设备1获取包含计算得到的签名的第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；

设备1接收到镜像的第二下行报文，获取镜像的第二下行报文中的标志信息，计算镜像的第二下行报文的签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文。

当设备1在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同时，设备1确定第二下行报文为特殊报文；

第四实施例，参见图3，当终端1/终端2通过中间网络设备向Internet发送第一上行报文时，中间网络设备在入口处将第一上行报文镜像给设备1/设备2，第一上行报文传输到中间网络设备的出口处变为第二上行报文(第二上行报文可能与第一上行报文相同，也可能不同，当第一上行报文被中间网络设备篡改时，则第二上行报文与第一上行报文不同)，中间网络设备在出口处将第二上行报文镜像给设备3或设备4。

设备1/设备2接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，获取第一上行报文的源IP地址，在预先设置的源IP地址网段和设备之间的对应关系中查找获得的源IP地址所在的源IP地址网段对应的设备(或获取第一上行报文的目的IP地址，在预先设置的目的IP地址网段和设备之间的对应关系中查找获得的目的IP地址所在的目的IP地址网段对应的设备)若查找到的设备为设备3或设备4，向设备3或设备4发送包含计算得到的签名的第一上行报文。

设备3或设备4获取包含计算得到的签名的第一上行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系。

设备3或设备4接收到镜像的第二上行报文，获取镜像的第二上行报文中的标志信息，计算镜像的第二上行报文的签名，在对应关系中查找镜像的第二上行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文的签名相同，确定第二上行报文不是特殊报文。

当设备3或设备4在对应关系中查找不到镜像的第二上行报文中的标志信息对应的签名，或判断出查找到的签名和镜像的第二上行报文中的签名不相同时，设备3或设备4确定第二上行报文为特殊报文；

或者，设备3或设备4在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。

设备3或设备4接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，获取第一下行报文的目的IP地址，在预先设置的目的IP地址网段和设备之间的对应关系中查找获得的目的IP地址所在的目的IP地址网段对应的设备，若查找到的设备为设备1/设备2，向设备1/设备2发送包含计算得到的签名的第一下行报文。

设备1/设备2获取包含计算得到的签名的第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系。

设备1/设备2接收到镜像的第二下行报文，获取镜像的第二下行报文中的标志信息，计算镜像的第二下行报文的签名，在对应关系中查找镜像的第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二下行报文的签名相同，确定第二下行报文不是特殊报文。

当设备1/设备2在对应关系中查找不到镜像的第二下行报文中的标志信息对应的签名，或判断出查找到的签名和镜像的第二下行报文中的签名不相同时，设备1/设备2确定第二下行报文为特殊报文；

或者，设备1/设备2在第一预设时间后继续执行在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。

参见图5，本发明提出了一种第一设备，至少包括：

本发明的第一设备中，第一校验模块还用于：

在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同，确定第二上行报文为特殊报文；或者，在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

本发明的第一设备中，第一发送模块具体用于：

获取第二下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第二设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第二设备；向查找到的第二设备发送包含计算得到的签名的第二下行报文。

本发明的第一设备中，还包括：

第一删除模块，用于判断出第二上行报文为非组播报文，删除查找到的签名和对应的标志信息。

本发明的第一设备中，第一删除模块还用于：

判断出第二上行报文为组播报文，在第二预设时间后删除查找到的签名和对应的标志信息。

参见图6，本发明还提出了一种第二设备，至少包括：

本发明的第二设备中，第二校验模块还用于：

在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同，确定第二下行报文为特殊报文；或者，在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

本发明的第二设备中，第二发送模块具体用于：

获取第二上行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第一设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备；向查找到的第一设备发送包含计算得到的签名的第二上行报文。

本发明的第二设备中，还包括：

第二删除模块，用于判断出第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。

本发明的第二设备中，第二删除模块还用于：

判断出第二下行报文为组播报文，在第二预设时间后删除查找到的签名和对应的标志信息。

参见图7，本发明还提出了一种第三设备，至少包括：

本发明的第三设备中，第三校验模块还用于：

在对应关系中查找不到第二下行报文中的标志信息对应的签名，或判断出查找到的签名和第二下行报文的签名不相同，确定第二下行报文为特殊报文；或者，在第一预设时间后继续执行在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。

本发明的第三设备中，第三发送模块具体用于：

获取第一上行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP 地址网段或目的IP地址网段和第四设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备；向查找到的第四设备发送包含计算得到的签名的第一上行报文。

本发明的第三设备中，还包括：

第三删除模块，用于判断出第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。

本发明的第三设备中，第三删除模块还用于：

参见图8，本发明还提出了一种第四设备，至少包括：

本发明的第四设备中，第四校验模块还用于：

在对应关系中查找不到第二上行报文中的标志信息对应的签名，或判断出查找到的签名和第二上行报文的签名不相同，确定第二上行报文为特殊报文；或者，在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。

本发明的第四设备中，第四发送模块具体用于：

获取第一下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第三设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第三设备；向查找到的第三设备发送包含计算得到的签名的第一下行报文。

本发明的第四设备中，还包括：

第四删除模块，用于判断出第二上行报文为非组播报文，删除查找到的签名和对应的标志信息。

本发明的第四设备中，第四删除模块还用于：

参见图9，本发明还提出了一种检测报文的系统，至少包括：

本发明的系统中，第一设备/第二设备还用于：

在对应关系中查找不到获得的标志信息对应的签名，或判断出查找到的签名和获得的签名不相同，确定第二上行报文/第二下行报文为特殊报文；或者，在第一预设时间后继续执行在对应关系中查找获得的标志信息对应的签名的步骤。

参见图10，本发明还提出了一种检测报文的系统，至少包括：

本发明的系统中，第三设备/第四设备还用于：

在对应关系中查找不到第二上行报文/第二下行报文中的标志信息对应的签名，或判断出查找到的签名和第二上行报文/第二下行报文的签名不相同，确定第二上行报文/第二下行报文为特殊报文；或者，在第一预设时间后继续执行在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。

本申请实施例提供的检测报文的装置及系统中的各个模块或单元可以通过一个或多个数字信号处理器(DSP)、专用集成电路(ASIC)、处理器、微处理器、控制器、微控制器、现场可编程阵列(FPGA)、可编程逻辑器件或其他电子单元或其任意组合来实现。在本申请实施例中描述的一些功能或处理也可以通过在处理器上执行的软件来实现。

工业实用性

本发明涉及移动通讯和互联网领域，使得不需要中断原有网络就可以对报文进行检测，从而提高了用户体验。

需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解而已，并不用于限制本发明的保护范围，在不脱离本发明的发明构思的前提下，本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。

Claims

一种检测报文的方法，包括：

第一设备/第二设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，保存镜像的第一上行报文/第一下行报文的标志信息和计算得到的签名之间的对应关系；

第二设备/第一设备接收到镜像的第二上行报文/第二下行报文，计算镜像的第二上行报文/第二下行报文的签名，向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文；

第一设备/第二设备获取包含计算得到的签名的第二上行报文/第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文/第二下行报文不是特殊报文。
根据权利要求1所述的方法，其中，当所述第一设备/第二设备在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同时，该方法还包括：

所述第一设备/第二设备确定所述第二上行报文/第二下行报文为特殊报文；

或者，所述第一设备/第二设备在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
根据权利要求1或2所述的方法，其中，所述计算镜像的第二上行报文/第二下行报文的签名后，在所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文之前还包括：

获取第二上行报文/第二下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第一设备/第二设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备/第二设备；

所述向第一设备/第二设备发送包含计算得到的签名的第二上行报文/第二下行报文包括：

向查找到的第一设备/第二设备发送所述包含计算得到的签名的第二上行报文/第二下行报文。
根据权利要求1或2所述的方法，其中，该方法还包括：

所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。
根据权利要求4所述的方法，其中，当所述第一设备/第二设备判断出所述第二上行报文/第二下行报文为组播报文时，该方法还包括：

在第二预设时间后删除查找到的签名和对应的标志信息。
一种检测报文的方法，包括：

第三设备/第四设备接收到镜像的第一上行报文/第一下行报文，计算镜像的第一上行报文/第一下行报文的签名，向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文；

第四设备/第三设备获取包含计算得到的签名的第一上行报文/第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；

第四设备/第三设备接收到镜像的第二上行报文/第二下行报文，获取镜像的第二上行报文/第二下行报文中的标志信息，计算镜像的第二上行报文/第二下行报文的签名，在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文/第二下行报文的签名相同，确定第二上行报文/第二下行报文不是特殊报文。
根据权利要求6所述的方法，其中，当所述第四设备/第三设备在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同时，该方法还包括：

所述第四设备/第三设备确定所述第二上行报文/第二下行报文为特殊报文；

或者，所述第四设备/第三设备在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。
根据权利要求6或7所述的方法，其中，所述计算镜像的第一上行报文/第一下行报文的签名后，在所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文之前还包括：

获取第一上行报文/第一下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第四设备/第三设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备/第三设备；

所述向第四设备/第三设备发送包含计算得到的签名的第一上行报文/第一下行报文包括：

向查找到的第四设备/第三设备发送所述包含计算得到的签名的第一上行报文/第一下行报文。
根据权利要求6或7所述的方法，还包括：

所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为非组播报文，删除查找到的签名和对应的标志信息。
根据权利要求9所述的方法，其中，当所述第四设备/第三设备判断出所述第二上行报文/第二下行报文为组播报文时，该方法还包括：

在第二预设时间后删除查找到的签名和对应的标志信息。
一种第一设备，至少包括：

第一接收模块，设置为接收到镜像的第一上行报文；接收到来自第二设备的包含计算得到的签名的第二上行报文；接收到镜像的第二下行报文；

第一签名模块，设置为计算镜像的第一上行报文的签名，保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系；计算镜像的第二下行报文的签名；

第一校验模块，设置为获取包含计算得到的签名的第二上行报文的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文；

第一发送模块，设置为向第二设备发送包含计算得到的签名的第二下行报文。
根据权利要求11所述的第一设备，其中，所述第一校验模块还设置为：

在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同，确定所述第二上行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
根据权利要求11或12所述的第一设备，其中，所述第一发送模块设置为：

获取第二下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第二设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第二设备；向查找到的第二设备发送所述包含计算得到的签名的第二下行报文。
一种第二设备，至少包括：

第二接收模块，设置为接收到镜像的第一下行报文；接收到来自第一设备的包含计算得到的签名的第二下行报文；接收到镜像的第二上行报文；

第二签名模块，设置为计算镜像的第一下行报文的签名，保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系；计算镜像的第二上行报文的签名；

第二校验模块，设置为获取包含计算得到的签名的第二下行报文的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文；

第二发送模块，设置为向第一设备发送包含计算得到的签名的第二上行报文。
根据权利要求14所述的第二设备，其中，所述第二校验模块还设置为：

在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同，确定所述第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
根据权利要求14或15所述的第二设备，其中，所述第二发送模块设置为：

获取第二上行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP 地址网段或目的IP地址网段和第一设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第一设备；向查找到的第一设备发送所述包含计算得到的签名的第二上行报文。
一种第三设备，至少包括：

第三接收模块，设置为接收到镜像的第一上行报文；接收到来自第四设备的包含计算得到的签名的第一下行报文；接收到镜像的第二下行报文；

第三签名模块，设置为计算镜像的第一上行报文的签名；获取包含计算得到的第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；获取镜像的第二下行报文中的标志信息，计算镜像的第二下行报文的签名；

第三发送模块，设置为向第四设备发送包含计算得到的签名的第一上行报文；

第三校验模块，设置为在对应关系中查找镜像的第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二下行报文的签名相同，确定第二下行报文不是特殊报文。
根据权利要求17所述的第三设备，其中，所述第三校验模块还设置为：

在所述对应关系中查找不到所述第二下行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二下行报文的签名不相同，确定所述第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找镜像的第二下行报文中的标志信息对应的签名的步骤。
根据权利要求17或18所述的第三设备，其中，所述第三发送模块设置为：

获取第一上行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第四设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第四设备；向查找到的第四设备发送所述包含计算得到的签名的第一上行报文。
一种第四设备，至少包括：

第四接收模块，设置为接收到镜像的第一下行报文；接收到来自第三设备的包含计算得到的签名的第一上行报文；接收到镜像的第二上行报文；

第四签名模块，设置为计算镜像的第一下行报文的签名；获取包含计算得到的第一上行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；获取镜像的第二上行报文中的标志信息，计算镜像的第二上行报文的签名；

第四发送模块，设置为向第三设备发送包含计算得到的签名的第一下行报文；

第四校验模块，设置为在对应关系中查找镜像的第二上行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文的签名相同，确定第二上行报文不是特殊报文。
根据权利要求20所述的第四设备，其中，所述第四校验模块还设置为：

在所述对应关系中查找不到所述第二上行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二上行报文的签名不相同，确定所述第二上行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文中的标志信息对应的签名的步骤。
根据权利要求20或21所述的第四设备，其中，所述第四发送模块设置为：

获取第一下行报文的源互联网协议IP地址或目的IP地址，在预先设置的源IP地址网段或目的IP地址网段和第三设备之间的对应关系中，查找获得的源IP地址所在的源IP地址网段或获得的目的IP地址所在的目的IP地址网段对应的第三设备；向查找到的第三设备发送所述包含计算得到的签名的第一下行报文。
一种检测报文的系统，至少包括：

第一设备，设置为接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，保存镜像的第一上行报文的标志信息和计算得到的签名之间的对应关系；获取包含计算得到的签名的第二上行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二上行报文不是特殊报文；接收到镜像的第二下行报文，计算镜像的第二下行报文的签名，向第二设备发送包含计算得到的签名的第二下行报文；

第二设备，设置为接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，保存镜像的第一下行报文的标志信息和计算得到的签名之间的对应关系；接收到镜像的第二上行报文，计算镜像的第二上行报文的签名，向第一设备发送包含计算得到的签名的第二上行报文；获取包含计算得到的签名的第二下行报文中的标志信息和签名，在对应关系中查找获得的标志信息对应的签名，判断出查找到的签名和获得的签名相同，确定第二下行报文不是特殊报文。
根据权利要求23所述的系统，其中，所述第一设备/第二设备还设置为：

在所述对应关系中查找不到获得的标志信息对应的签名，或判断出所述查找到的签名和所述获得的签名不相同，确定所述第二上行报文/第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找获得的标志信息对应的签名的步骤。
一种检测报文的系统，至少包括：

第三设备，设置为接收到镜像的第一上行报文，计算镜像的第一上行报文的签名，向第四设备发送包含计算得到的签名的第一上行报文；获取包含计算得到的签名的第一下行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；接收到镜像的第二下行报文，获取镜像的第二下行报文中的标志信息，计算镜像的第二下行报文的签名，在对应关系中查找镜像的第二下行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二下行报文的签名相同，确定第二下行报文不是特殊报文；

第四设备，设置为接收到镜像的第一下行报文，计算镜像的第一下行报文的签名，向第三设备发送包含计算得到的签名的第一下行报文；获取包含计算得到的签名的第一上行报文中的标志信息和签名，保存获得的标志信息和签名之间的对应关系；接收到镜像的第二上行报文，获取镜像的第二上行报文中的标志信息，计算镜像的第二上行报文的签名，在对应关系中查找镜像的第二上行报文中的标志信息对应的签名，判断出查找到的签名和镜像的第二上行报文的签名相同，确定第二上行报文不是特殊报文。
根据权利要求25所述的系统，其中，所述第三设备/第四设备还设置为：

在所述对应关系中查找不到所述第二上行报文/第二下行报文中的标志信息对应的签名，或判断出所述查找到的签名和所述第二上行报文/第二下行报文的签名不相同，确定所述第二上行报文/第二下行报文为特殊报文；或者，在第一预设时间后继续执行所述在对应关系中查找镜像的第二上行报文/第二下行报文中的标志信息对应的签名的步骤。