一种报文验证方法及装置制造方法及图纸

本申请实施例公开了一种报文验证方法及装置，实现防御DDoS攻击的目的。其中，所述方法包括：网络设备接收来自第一设备的第一报文，所述第一报文包括应用程序的账户名和第二密钥；所述网络设备获取所述应用程序的第一密钥；所述网络设备对所述应用程序的账户名和所述应用程序的第一密钥进行加密，得到第三密钥；若所述第三密钥和所述第二密钥匹配，所述网络设备向第二设备发送所述第一报文。

【技术实现步骤摘要】
一种报文验证方法及装置
本申请涉及通信领域，特别是涉及一种报文验证方法及装置。
技术介绍
当前互联网通信是在互联网协议(InternetProtocol，IP)通信的基础上发展起来的。IP通信的基本特征是以IP地址为通信两端的标识建立有连接或无连接的会话。IP地址标识两重含义，一重含义是标识通信者的身份，通过IP地址可以识别通信用户；另外一重含义是标识通信者的位置，通过该位置来传输报文。IP通信是一种明文通信机制，为了保证通信的私密性，国际互联网工程任务组(TheInternetEngineeringTaskForce，IETF)在IP通信的基础上又发展了系列的安全通信机制，例如互联网协议安全(InternetProtocolSecurity，IPsec)协议，该IPsec协议是为保证在互联网上传送数据的安全保密性能的框架协议。通过因特网密钥交换(internetkeyexchange，IKE)安全联盟(securityassociation，SA)的协商和IPsecSA的协商，可以得到通信密钥，该通信密钥用于对通信两端的报文进行加密，从而保证报文的安全性。但是，这种方式并不能减少接收端遭受分布式拒绝服务(DistributedDenialofService，DDoS)攻击的风险。
技术实现思路
本申请实施例提供了一种报文验证方法及装置，实现防御DDoS攻击的目的。第一方面，本申请实施例提供了一种报文验证方法，该方法可以应用于第一设备，第一设备可以例如为终端设备或服务器等。所述方法包括如下步骤：第一设备获取应用程序的账户名和第一密钥。可选的，所述第一密钥可以根据对所述应用程序的标识加密得到。为了防止第一密钥被窃取，第一设备可以通过带外的方式获取第一密钥。所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到第二密钥。所述第一设备发送第一报文，所述第一报文可以为互联网协议第六版IPv6报文。所述第一报文包括所述应用程序的账户名和所述第二密钥。应用程序的账户名和第二密钥可以用于网络设备对第一报文的合法性进行验证，如果第一报文不合法，则网络设备可以丢弃第一报文，以减少接收端遭受DDoS攻击。可选的，第一设备对应用程序的账户名和第一密钥进行加密的加密算法可以与接收端，即第二设备进行协商，以使加密算法是通信双方都认可的加密算法。具体的，所述第一设备可以向第二设备发送第二报文，所述第二报文包括第一标识集合，所述第一标识集合包括一个或多个所述第一设备支持的加密算法的标识。所述第一设备接收来自所述第二设备的第三报文，所述第三报文包括第二标识集合，所述第二标识集合包括所述第二设备从所述一个或多个加密算法中选择的加密算法的标识。所述第一设备根据所述选择的加密算法对所述应用程序的账户名和所述第一密钥进行加密。可选的，第一设备与第二设备进行加密算法协商的报文的内容也可以进行加密。具体的，所述第二报文还包括所述应用程序的账户名和第三密钥。所述方法还包括：所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到所述第三密钥。通过对应用程序的账户名和第一密钥进行加密，实现对第一密钥的保护，防止第一密钥的泄露。可选的，所述第二报文包括第四密钥。所述方法还包括：所述第一设备对所述应用程序的账户名、所述第一密钥和所述第一标识集合进行加密，得到所述第四密钥。通过对第一密钥和第一标识集合进行加密，实现对第一密钥和第一标识集合的保护，防止第一密钥和第一标识集合的泄露。可选的，所述第一标识集合携带在所述第二报文的目的选项DestinationOption字段中。可选的，当第二设备选出的加密算法的标识有多个的情况下，所述第一报文还可以包括目标加密算法的标识，所述目标加密算法的标识属于所述第二标识集合，以使对第一报文进行验证的网络设备知晓采用哪种加密算法对第二密钥进行验证。可选的，所述第一报文包括扩展头，所述扩展头包括所述应用程序的账户名和所述第二密钥。例如，应用程序的账户名和所述第二密钥可以存储在所述第一报文的目的选项DestinationOption扩展头和/或逐跳选项Hop-by-HopOption扩展头中。所述第一报文的扩展头可以包括类型-长度-值TLV字段，所述TLV字段包括所述应用程序的账户名和所述第二密钥。为了提高解密难度，可选的，所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到第二密钥包括：所述第一设备对所述应用程序的账户名、所述第一密钥和其他信息进行加密，得到第二密钥，所述其他信息至少包括以下其中一项：所述第一报文的源IP地址、所述第一报文的目的IP地址、所述第一报文的长度和所述第一报文的传输控制协议TCP序列号等。第二方面，本申请实施例提供了一种报文验证方法，该方法可以应用于网络设备中，该网络设备例如为交换机、路由器等。所述方法包括如下步骤：网络设备接收来自第一设备的第一报文，第一报文可以为IPv6报文。所述第一报文包括应用程序的账户名和第二密钥。并且，所述网络设备获取所述应用程序的第一密钥。所述网络设备对所述应用程序的账户名和所述应用程序的第一密钥进行加密，得到第三密钥。若所述第三密钥和所述第二密钥匹配，则认为所述第一报文为合法报文，所述网络设备可以向第二设备发送所述第一报文；若第三密钥和第二密钥不匹配，则认为第一报文为非法报文，网络设备可以将该第一报文丢弃，从而实现对非法报文的拦截，避免非法报文对第二设备产生DDoS攻击。可选的，所述第一报文还包括加密算法的标识。那么，所述网络设备可以根据与所述加密算法的标识对应的加密算法对所述应用程序的账户名和所述第一密钥进行加密，以得到第三密钥，实现对第一报文的验证。为了增加第一报文中第二密钥的破解难度，第二密钥可以根据应用程序的账户名、所述第一密钥和其他信息加密得到，所述其他信息至少包括以下其中一项：所述第一报文的源IP地址、所述第一报文的目的IP地址、所述第一报文的长度和所述第一报文的传输控制协议TCP序列号。那么相适应的，所述网络设备可以对所述应用程序的账户名、所述第一密钥和其他信息进行加密，得到第三密钥。可选的，所述网络设备可以通过如下步骤获取所述应用程序的第一密钥：所述网络设备获取第四密钥。可选的第四密钥可以是由第二设备发送的，根据对所述应用程序的标识加密得到。所述网络设备对所述应用程序的账户名和所述第四密钥进行加密，得到所述第一密钥。第三方面，本申请实施例提供了一种报文验证装置，所述装置应用于第一设备，所述装置包括：处理单元和发送单元。其中，处理单元，用于获取应用程序的账户名和第一密钥，对所述应用程序的账户名和所述第一密钥进行加密，得到第二密钥；发送单元，用于发送第一报文，所述第一报文包括所述应用程序的账户名和所述第二密钥。可选的，所述发送单元，还用于向第二设备发送第二报文，所述第二报文包括第一标识集合，所述第一标识集合包括一个或多个所述第一设备支持的加密算法的标识；所述装置还包括：接收单元，用于接收来自所述第二设备的第三报文，所述第三报文包本文档来自技高网...

【技术保护点】
1.一种报文验证方法，其特征在于，所述方法包括：/n第一设备获取应用程序的账户名和第一密钥；/n所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到第二密钥；/n所述第一设备发送第一报文，所述第一报文包括所述应用程序的账户名和所述第二密钥。/n

【技术特征摘要】
1.一种报文验证方法，其特征在于，所述方法包括：
第一设备获取应用程序的账户名和第一密钥；
所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到第二密钥；
所述第一设备发送第一报文，所述第一报文包括所述应用程序的账户名和所述第二密钥。


2.根据权利要求1所述的方法，其特征在于，所述第一设备对所述应用程序的账户名和所述第一密钥进行加密包括：
所述第一设备向第二设备发送第二报文，所述第二报文包括第一标识集合，所述第一标识集合包括一个或多个所述第一设备支持的加密算法的标识；
所述第一设备接收来自所述第二设备的第三报文，所述第三报文包括第二标识集合，所述第二标识集合包括所述第二设备从所述一个或多个加密算法中选择的加密算法的标识；
所述第一设备根据所述选择的加密算法对所述应用程序的账户名和所述第一密钥进行加密。


3.根据权利要求2所述的方法，其特征在于，所述第二报文还包括所述应用程序的账户名和第三密钥；
所述方法还包括：
所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到所述第三密钥。


4.根据权利要求2所述的方法，其特征在于，所述第二报文包括第一标识集合具体为：所述第二报文包括第四密钥；
所述方法还包括：
所述第一设备对所述应用程序的账户名、所述第一密钥和所述第一标识集合进行加密，得到所述第四密钥。


5.根据权利要求2-4任一项所述的方法，其特征在于，所述第一标识集合携带在所述第二报文的目的选项DestinationOption字段中。


6.根据权利要求2-5任一项所述的方法，其特征在于，所述第一报文还包括目标加密算法的标识，所述目标加密算法的标识属于所述第二标识集合。


7.根据权利要求1-6任一项所述的方法，其特征在于，所述第一报文包括扩展头，所述扩展头包括所述应用程序的账户名和所述第二密钥。


8.根据权利要求7所述的方法，其特征在于，所述第一报文的扩展头包括类型-长度-值TLV字段，所述TLV字段包括所述应用程序的账户名和所述第二密钥。


9.根据权利要求7或8所述的方法，其特征在于，所述第一报文的扩展头包括所述第一报文的目的选项DestinationOption扩展头和/或逐跳选项Hop-by-HopOption扩展头。


10.根据权利要求1所述的方法，其特征在于，所述第一设备对所述应用程序的账户名和所述第一密钥进行加密，得到第二密钥包括：
所述第一设备对所述应用程序的账户名、所述第一密钥和其他信息进行加密，得到第二密钥，所述其他信息至少包括以下其中一项：所述第一报文的源IP地址、所述第一报文的目的IP地址、所述第一报文的长度和所述第一报文的传输控制协议TCP序列号。


11.根据权利要求1所述的方法，其特征在于，所述第一密钥根据对所述应用程序的标识加密得到。


12.根据权利要求1-11任一项所述的方法，其特征在于，所述第一报文为互联网协议第六版IPv6报文。


13.一种报文验证方法，其特征在于，所述方法包括：
网络设备接收来自第一设备的第一报文，所述第一报文包括应用程序的账户名和第二密钥；
所述网络设备获取所述应用程序的第一密钥；
所述网络设备对所述应用程序的账户名和所述应用程序的第一密钥进行加密，得到第三密钥；
若所述第三密钥和所述第二密钥匹配，所述网络设备向第二设备发送所述第一报文。


14.根据权利要求13所述的方法，其特征在于，所述第一报文还包括加密算法的标识；
所述网络设备对所述应用程序的账户名和所述第一密钥进行加密包括：
所述网络设备根据与所述加密算法的标识对应的加密算法对所述应用程序的账户名和所述第一密钥进行加密。


15.根据权利要求13所述的方法，其特征在于，所述网络设备对所述应用程序的账户名和所述第一密钥进行加密，得到第三密钥包括：
所述网络设备对所述应用程序的账户名、所述第一密钥和其他信息进行加密，得到第三密钥，所述其他信息至少包括以下其中一项：所述第一报文的源IP地址、所述第一报文的目的IP地址、所述第一报文的长度和所述第一报文的传输控制协议TCP序列号。


16.根据权利要求13-15任一项所述的方法，其特征在于，所述第一报文包括扩展头，所述扩展头包括所述应用程序的账户名和所述第二密钥。


17.根据权利要求16所述的方法，其特征在于，所述第一报文的扩展头包括类型-长度-值TLV字段，所述TLV字段包括所述应用程序的账户名和所述第二密钥。


18.根据权利要求16或17所述的方法，其特征在于，所述第一报文的扩展头包括所述第一报文的目的选项DestinationOption扩展头和/或逐跳选项Hop-by-HopOption扩展头。


19.根据权利要求13所述的方法，其特征在于，所述网络设备获取所述应用程序的第一密钥包括：
所述网络设备获取第四密钥；
所述网络设备对所述应用程序的账户名和所述第四密钥进行加密，得到所述第一密钥。


20.根据权利要求19所述的方法，其特征在于，所述第四密钥根据对所述应用程序的标识加密得到。


21.根据权利要求13-20任一项所述的方法，其特征在于，所述第一报文为互联网协议第六版IPv6报文。


22.一种报文验证方法，其特征在于，所述方法包括：
网络设备接收第一设备的第一请求报文；
所述网络设备在所述第一请求报文中携带第一密钥，得到第二请求报文；
所述网络设备向第二设备发送第二请求报文；
所述网络设备接收所述第二设备根据所述第二请求报文发送的第一应答报文，所述第一应答报文包括第二密钥；
若所述第二密钥与所述第一密钥匹配，所述网络设备向所述第一设备发送所述第一应答报文。


23.根据权利要求22所述的方法，其特征在于，所述第二请求报文还包括指示信息，所述指示信息用于指示所述第二设备在所述第一应答报文中携带所述第二密钥。

【专利技术属性】
技术研发人员：夏忠其，赵凤华，于德雷，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44