本申请公开了一种通信报文的处理方法、装置、电子设备及存储介质。该方法包括:在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向请求方设备发送COOKIE挑战报文;接收来自于请求方设备的第二报文;解析第二报文得到第二报文携带的第二数据载荷,其中,第二数据载荷是请求方设备基于COOKIE挑战报文中携带的第一数据载荷计算得到的;验证第二数据载荷,在第二数据载荷验证通过的情况下,向请求方设备分配协商资源。本申请实施例提供的方法对第二报文验证保证了在设备进行资源协商前的安全性,并依据第二报文对应的验证结果执行不同的处理操作,有效防御了外部发起的网络攻击。有效防御了外部发起的网络攻击。有效防御了外部发起的网络攻击。
【技术实现步骤摘要】
一种通信报文的处理方法、装置、电子设备及存储介质
[0001]本申请涉及通信
,尤其涉及一一种通信报文的处理方法、装置、电子设备及存储介质。
技术介绍
[0002]国密IPsec VPN是国家为了摆脱对国外技术和产品的过度依赖,实现网络安全领域的自主可控战略,提出的符合本国国情的IPsec VPN标准。标准采用国密算法sm1、sm2、sm3、sm4替换RSA,aes,sha等国际算法,提高了国密VPN的安全性。对于某些关系国计民生的重要行业,强烈建议甚至强制必须使用国密VPN保护网络安全。
[0003]由此可见,随着国家对网络安全、密码安全工作的推进,国密IPsec VPN会得到越来越广泛的应用。国密IKE以IKEv1协议为蓝本设计,在设计之初并没有考虑如何防御DOS,DDOS攻击。
技术实现思路
[0004]为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供了一种通信报文的处理方法、装置、电子设备及存储介质。
[0005]根据本申请实施例的一个方面,提供了一种通信报文的处理方法,应用于接收方设备,所述方法包括:
[0006]在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;
[0007]接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;
[0008]解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;
[0009]验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。
[0010]进一步的,所述在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,包括:
[0011]基于所述第一报文检测所述接收方设备当前关联的处于半开连接状态的通信设备,并确定所述通信设备对应的设备数量;
[0012]在所述设备数量满足预设数量阈值的情况下,从资源池中获取用于生成数据载荷的数据资源,其中,所述数据资源至少包括:SM1算法所使用的算法密钥、初始化向量以及原始数据,所述算法密钥是基于SM1算法得到的;
[0013]基于所述数据资源生成所述第一数据载荷,并将所述第一数据载荷携带于所述COOKIE挑战报文。
[0014]进一步的,所述验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,
向所述请求方设备分配协商资源,包括:
[0015]从所述第二数据载荷中读取加密数据,其中,所述加密数据是所述请求方设备使用算法密钥对所述第一数据载荷中的原始数据进行计算得到的;
[0016]在所述加密数据与预设密文数据相匹配的情况下,确定所述第二数据载荷验证通过,并向所述请求方设备分配协商资源。
[0017]进一步的,所述方法还包括:
[0018]在所述加密数据与预设密文数据不匹配的情况下,确定所述第二报文属于攻击报文;
[0019]丢弃所述第二报文。
[0020]根据本申请实施例的再一个方面,还提供了一种通信报文的处理方法,应用于请求方设备,所述方法包括:
[0021]向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;
[0022]接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一报文后生成的;
[0023]对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;
[0024]向所述接收方设备发送所述第二报文,并接收所述接收方设备基于所述第二报文反馈的协商资源,其中,所述协商资源是所述接收方设备对所述第二报文验证通过后发送的。
[0025]进一步的,所述对所述第一数据载荷进行加密得到第二数据载荷,包括:
[0026]从所述第一数据载荷中读取算法密钥以及原始数据;
[0027]采用所述算法密钥对所述原始数据进行加密得到加密数据,并使用所述加密数据替换所述第一数据载荷中的原始数据,得到所述第二数据载荷。
[0028]根据本申请实施例的再一个方面,还提供了一种通信报文的处理装置,包括:
[0029]生成模块,用于在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;
[0030]接收模块,用于接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;
[0031]解析模块,用于解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;
[0032]验证模块,用于验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。
[0033]根据本申请实施例的再一个方面,还提供了一种通信报文的处理装置,包括:
[0034]发送模块,用于向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;
[0035]解析模块,用于接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一
报文后生成的;
[0036]处理模块,用于对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;
[0037]执行模块,用于向所述接收方设备发送所述第二报文,并接收所述接收方设备基于所述第二报文反馈的协商资源,其中,所述协商资源是所述接收方设备对所述第二报文验证通过后发送的。
[0038]根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
[0039]根据本申请实施例的另一方面,还提供了一种电子装置,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
[0040]本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
[0041]本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请实施例提供的方法在接收到第一报文时,向请求方设备发送携带第一数据载荷的COOKIE挑战报文,并接收请求方设备接收第二报文,对第二报文验证保证了在设备进行资源协商前的安全性,并依据第二报文对应的验证结果执行不同的处本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种通信报文的处理方法,应用于接收方设备,其特征在于,所述方法包括:在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,并向所述请求方设备发送所述COOKIE挑战报文;接收来自于所述请求方设备的第二报文,其中,所述第二报文是所述请求方设备基于所述COOKIE挑战报文生成的;解析所述第二报文得到所述第二报文携带的第二数据载荷,其中,所述第二数据载荷是所述请求方设备基于所述COOKIE挑战报文中携带的第一数据载荷计算得到的;验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源。2.根据权利要求1所述的方法,其特征在于,所述在接收到来自于请求方设备的第一报文的情况下,生成携带第一数据载荷的COOKIE挑战报文,包括:基于所述第一报文检测所述接收方设备当前关联的处于半开连接状态的通信设备,并确定所述通信设备对应的设备数量;在所述设备数量满足预设数量阈值的情况下,从资源池中获取用于生成数据载荷的数据资源,其中,所述数据资源至少包括:SM1算法所使用的算法密钥、初始化向量以及原始数据;基于所述数据资源生成所述第一数据载荷,并将所述第一数据载荷携带于所述COOKIE挑战报文。3.根据权利要求1所述的方法,其特征在于,所述验证所述第二数据载荷,在所述第二数据载荷验证通过的情况下,向所述请求方设备分配协商资源,包括:从所述第二数据载荷中读取加密数据,其中,所述加密数据是所述请求方设备使用算法密钥对所述第一数据载荷中的原始数据进行计算得到的;在所述加密数据与预设密文数据相匹配的情况下,确定所述第二数据载荷验证通过,并向所述请求方设备分配协商资源。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:在所述加密数据与预设密文数据不匹配的情况下,确定所述第二报文属于攻击报文;丢弃所述第二报文。5.一种通信报文的处理方法,应用于请求方设备,其特征在于,所述方法包括:向接收方设备发送第一报文,其中,所述第一报文用于向所述接收方设备请求获取协商资源;接收所述接收方设备反馈的COOKIE挑战报文,并从所述COOKIE挑战报文中读取第一数据载荷,其中,所述密文交换报文是所述接收方设备接收到所述第一报文后生成的;对所述第一数据载荷进行加密得到第二数据载荷,将所述第二数据载荷携带于第二报文;向所述接收方设备发送...
【专利技术属性】
技术研发人员:傅旭明,白雪,苏鹏,李甜梦,朱荞荞,张义飞,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。