一种报文来源真实性和内容完整性的验证方法技术

本专利提出了一种报文来源真实性和内容完整性的验证方法，报文自认证码实时消息来源真实性和完整性以及多级验证的方法及设备；为了在骨干网络中对报文消息进行实时验证，在CPU+FPGA架构上应用了基于标识密码算法和自认证码算法结合的报文消息实时验证技术，对骨干网络中报文消息进行高速实时在线验证和过滤，通过使用基于标识密码的零交互密钥协商技术，并预先指定检查者标识，实现终端无需复杂密钥管理以及检查者实时生成通信双方对称密钥的能力，运用CPU多线程和FPGA多级流水精确控制优势计算消息认证码，且对报文消息进行高速实时在线验证，提高了报文验证处理效率，保证网络通信的完整性、来源合法性和实效性。

A Verification Method for Authenticity and Content Integrity of Message Source

This patent proposes a method and equipment to verify the authenticity and content integrity of message source, the authenticity and integrity of real-time message source of message self-authenticated code and multi-level authentication. In order to verify message in real-time in backbone network, a real-time message verification technology based on combination of ID cryptography algorithm and self-authenticated code algorithm is applied on CPU+FPGA architecture. By using zero interactive key agreement technology based on ID cryptography and specifying the checker's identity in advance, the terminal can realize the ability of real-time generating symmetric keys for both sides of communication without complex key management. The message authentication code can be calculated by using CPU multithreading and multi-level pipeline control advantage of FPGA. Moreover, the high-speed real-time online verification of message can improve the efficiency of message verification processing and ensure the integrity, source legitimacy and effectiveness of network communication.

【技术实现步骤摘要】
一种报文来源真实性和内容完整性的验证方法
本专利技术涉及计算机网络安全
，尤其是对应用到网络数据包数据来源真实性验证和报文内容完整性、一致性实时验证的方法。
技术介绍
网络安全认证是为了确认信息来源方的身份，以及发现信息在传输、存储过程中是否被篡改，鉴别假冒别人身份发送的伪造信息,基于HMAC验证是保证消息完整性和进行数据源认证的基本算法，它将密钥和任意长度的消息作为输入，输出一个固定长度的标签，使验证者可以能够校验消息的发送者是谁，以及消息传输过程中是否被篡改。这种验证在交互网络中是非常重要的，因此被广泛应用于各种安全协议如SSL/TLS、SSH、SNMP等。HMAC验证提供一种方法能检查所在不可靠环境下传输或存储的消息的完整性，在开放计算和交流的环境下，这是一个基本需求,以确保两方传输的消息的合法性。上述HMAC验证方法在高速网络在线实时验证中面临的以下问题：（1）消息验证是在通信双方的两个实体，HMAC消息认证需要占用服务器的计算和内存等资源，对高速通信网络的在线实时验证是一个很大的挑战。（2）通信双方客户端和服务端之间的密钥协商大大影响了通信效率。
技术实现思路
本专利技术的目的是针对当前网络存在大量的源地址欺骗、报文篡改、中间人攻击等网络威胁，面向高性能骨干网络，提出一种用于实时验证报文来源合法性和完整性的验证方法。该方法通过报文携带认证码，以及基于标识密码的零交互密钥协商技术实时生成通信双方的对称密钥，实现了基于自认证码的报文来源真实性和完整性的实时验证。本专利技术的技术方案如下：一种报文来源真实性和内容完整性的验证方法，包括：预先指定检查者ID，CPU中实时生成与该检查者ID对应的通信双方对称密钥，检查者通过通信双方对称密钥对报文进行检查；对于处理的网络报文数据流，首先需要CPU进行报文流预处理，然后用标识密码技术根据报文流标识生成密钥，最后计算报文消息认证码，且将流标识和密钥分别存入TCAM表和SRAM表，以便该流的后续报文由FPGA快速查找密钥计算报文消息认证码；对于TCAM和SRAM表项中已有流标识和密钥，通过TCAM表快速匹配和FPGA对报文数据消息进行验证处理；对于TCAM和SRAM表项中未查询到的报文流标识，将报文上报至CPU上通过零交互技术生成密钥，将流标识和密钥下发至TCAM和SRAM表存储，由FPGA对报文数据消息进行验证处理；对于一条流的报文，只需要在CPU进行少量认证码消息验证，流后续报文直接由FPGA对报文数据消息进行验证处理。本专利技术应用高性能网络处理器和FPGA协调处理，充分利用了CPU和FPGA优势处理数据，在CPU上使用基于标识密码的零交互密钥生成通信双方对称密钥和少量报文消息认证码计算，在FPGA对报文消息进行大量的认证码运算和验证、过滤处理，能够大大提高在线认证码验证的性能，在网络中过滤未经过验证的数据报文，应用本架构可以减轻网络中服务器和终端处理压力。本专利技术中FPGA对报文数据消息进行验证处理包括以下步骤：步骤101：FPGA对报文消息进行预处理，提取报文中流标识，以便后续生成认证码计算的密钥；步骤102：FPGA根据提取的流标识查询TCAM表，判定流标识是否在TCAM表项中，若是则执行步骤103，否则执行步骤107；步骤103：FPGA根据流标识查到已经计算的密钥，并计算报文消息认证码；步骤104：FPGA判定计算的认证码是否与报文所带的认证码相等，若是则执行步骤105，否则执行步骤106；步骤105：FPGA验证报文成功后，根据配置转发报文至网络中；步骤106：FPGA验证报文失败后，认定报文为非法源报文或非一致性报文，丢弃处理；步骤107：FPGA判定此流未生成密钥，需要CPU应用零交互生成密钥生成算法，由CPU提取报文流标识根据标识生产密钥，并对报文进行预处理；步骤108：CPU下发流标识和密钥至TCAM，SRAM表中存储，供FPGA对此流后续报文进行快速验证；步骤109：CPU对报文消息进行预处理，并根据密钥计算报文消息认证码；步骤110：CPU判定计算的认证码是否与报文所带的认证码相等，若是则执行步骤111，否则执行步骤112；步骤111：CPU验证报文成功后，下发报文至FPGA处理，执行步骤105；步骤112：CPU验证报文失败，丢弃报文处理。与现有技术相比，本专利技术报文认证码多级在线验证方法的有益效果是：本专利技术方法利用高性能网络处理技术结合认证码算法，对网络在线报文进行高速的认证码验证处理，在网络中在线对报文消息来源和完整性进行快速认证，对非法源或非一致性报文数据快速过滤，应用本专利技术方法验证了随机报文长度从64到1518字节的情况下处理性能能够达到30Gbps的处理性能，在通信中间对报文进行高速在线验证，可以大大减少应用HMAC算法验证对通信性能的影响，提高了通信数据的可靠性和完整性；本专利技术方法采用基于标识密码的零交互密钥协商技术，可以不需要协商产生一条数据流的通信双方的密钥，避免了密钥协商所带来的资源消耗，提高通信双方的效率。具体实施方式下面对本专利技术进行详细描述，本部分的描述仅是示范性和解释性，不应对本专利技术的保护范围有任何的限制作用。此外，本领域技术人员根据本文件的描述，可以对本文件中实施例中以及不同实施例中的特征进行相应组合。本专利技术的说明书和权利要求书及术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例，例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术提出了一种在骨干网络中基于报文标识密码算法的认证码多级在线验证方法和技术，通过预先指定检查者ID及无交互认证密钥构建方法，检查者应用此方法在网络上能够高速验证报文认证码的正确性，保证网络中数据报文来源的真实性和内容的完整性，杜绝源地址欺骗、报文网络篡改和注入等攻击。本专利技术的目的是针对当前网络存在大量的源地址欺骗、报文篡改、中间人攻击等网络威胁，面向高性能骨干网络，提出一种用于实时验证报文来源合法性、完整性的验证方法。该方法通过报文携带认证码，以及基于标识密码的零交互密钥协商技术实时生成通信双方的对称密钥，实现了基于自认证码的报文来源真实性和完整性的实时验证。本实施例基于报文自认证码实时消息来源真实性和完整性多级验证的方法，为了在骨干网络中对报文消息进行实时验证，在CPU+FPGA架构上应用了基于标识密码算法和自认证码算法结合的报文消息实时验证技术，可以对骨干网络中报文消息进行高速实时在线验证和过滤，通过使用基于标识密码的零交互密钥协商技术，并预先指定检查者标识，实现终端无需复杂密钥管理以及检查者实时生成通信双方对称密钥的能力，运用CPU多线程和FPGA多级流水精确控制优势计算消息认证码，且对报文消息进行高速实时在线验证，可以大大提高了报文验证处理效率，保证网络通信的完整性、来源合法性和实效性。对于需本文档来自技高网...

【技术保护点】
1.一种报文来源真实性和内容完整性的验证方法，其特征在于包括：预先指定检查者ID，CPU中实时生成与该检查者ID对应的通信双方对称密钥，检查者通过通信双方对称密钥对报文进行检查；对于处理的网络报文数据流，首先需要CPU进行报文流预处理，然后用标识密码技术根据报文流标识生成密钥，最后计算报文消息认证码，且将流标识和密钥分别存入TCAM表和SRAM表，以便该网络报文数据流的后续报文由FPGA快速查找密钥计算报文消息认证码；对于TCAM和SRAM表项中已有流标识和密钥，通过TCAM表快速匹配和FPGA对报文数据消息进行验证处理；对于TCAM和SRAM表项中未查询到的报文流标识，将报文上报至CPU上通过零交互技术生成密钥，将流标识和密钥下发至TCAM和SRAM表存储，由FPGA对报文数据消息进行验证处理；对于一条流的报文，只需要在CPU进行少量认证码消息验证，流后续报文直接由FPGA对报文数据消息进行验证处理。

【技术特征摘要】
1.一种报文来源真实性和内容完整性的验证方法，其特征在于包括：预先指定检查者ID，CPU中实时生成与该检查者ID对应的通信双方对称密钥，检查者通过通信双方对称密钥对报文进行检查；对于处理的网络报文数据流，首先需要CPU进行报文流预处理，然后用标识密码技术根据报文流标识生成密钥，最后计算报文消息认证码，且将流标识和密钥分别存入TCAM表和SRAM表，以便该网络报文数据流的后续报文由FPGA快速查找密钥计算报文消息认证码；对于TCAM和SRAM表项中已有流标识和密钥，通过TCAM表快速匹配和FPGA对报文数据消息进行验证处理；对于TCAM和SRAM表项中未查询到的报文流标识，将报文上报至CPU上通过零交互技术生成密钥，将流标识和密钥下发至TCAM和SRAM表存储，由FPGA对报文数据消息进行验证处理；对于一条流的报文，只需要在CPU进行少量认证码消息验证，流后续报文直接由FPGA对报文数据消息进行验证处理。2.根据权利要求1所述的报文来源真实性和内容完整性的验证方法，其特征在于，FPGA对报文数据消息进行验证处理包括以下步骤：步骤101：FPGA对报文消息进行预处理，提取报文中流标识，以便后续...

【专利技术属性】
技术研发人员：苏金树，王小峰，陈曙晖，李振兴，谢岢洋，陈璐，陈荣茂，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南,43