【技术实现步骤摘要】
一种报文完整性验证方法及系统
[0001]本专利技术属于通信传输
,尤其涉及一种报文完整性验证方法及系统。
技术介绍
[0002]数据完整性是为了使数据未经授权不能被修改,即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失。数据完整性是为了保证存储在计算机系统中或在网络上传输的数据不受非法删改或意外事件的破坏,保持数据整体的完整。现有安全机制往往采用在终端验证签名与报文摘要来核对报文完整性,但逐个数据包摘要签名及验签会带来极大时空开销,降低了网络性能。
技术实现思路
[0003]为了解决上述技术问题,本专利技术提出一种报文完整性检查方法及系统。
[0004]本专利技术第一方面公开了一种报文完整性验证方法。所述方法包括:步骤S1、在通信网络的发送终端和接收终端中分别部署第一验证装置,以及在所述通信网络的各个网元中部署第二验证装置;其中,所述第一验证装置包括网络状态感知模块、哈希结构模块、第一策略模块和第一检查模块;所述第二验证装置包括第二策略模块和第二检查模块;步骤S2、所述发送终端利用所述状态感知模块感知用于传输目标报文的通信网络的逻辑拓扑和网络状态,并利用所述第一策略模块基于所述逻辑拓扑和所述网络状态确定第一策略和第二策略;其中,所述第一策略用于哈希结构计算,其指定哈希结构计算方式和哈希结构存储方式,所述第二策略用于签名验签抽样,其指定所述目标报文的总签名检查率,所述第一策略和所述第二策略作为网络报文被发送至在传输所述目标报文过程中经由的网元和接收终端;步骤S3、所述发送终端根据...
【技术保护点】
【技术特征摘要】
1.一种报文完整性验证方法,其特征在于,所述方法包括:步骤S1、在通信网络的发送终端和接收终端中分别部署第一验证装置,以及在所述通信网络的各个网元中部署第二验证装置;其中,所述第一验证装置包括网络状态感知模块、哈希结构模块、第一策略模块和第一检查模块;所述第二验证装置包括第二策略模块和第二检查模块;步骤S2、所述发送终端利用所述状态感知模块感知用于传输目标报文的通信网络的逻辑拓扑和网络状态,并利用所述第一策略模块基于所述逻辑拓扑和所述网络状态确定第一策略和第二策略;其中,所述第一策略用于哈希结构计算,其指定哈希结构计算方式和哈希结构存储方式,所述第二策略用于签名验签抽样,其指定所述目标报文的总签名检查率,所述第一策略和所述第二策略作为网络报文被发送至在传输所述目标报文过程中经由的网元和接收终端;步骤S3、所述发送终端根据所述第一策略对所述目标报文进行哈希计算和存储,并根据所述第二策略对经计算和存储的目标报文进行抽样签名,并将经抽样签名后的目标报文发送至所述接收终端;步骤S4、接收到所述目标报文的网元根据所述第二策略对经抽样签名后的目标报文进行抽样验签,接收到所述目标报文的所述接收终端根据所述第一策略对通过所述抽样验签的目标报文进行哈希计算,并与所述目标报文中携带的哈希数据进行验证。2.根据权利要求1所述的一种报文完整性验证方法,其特征在于,在所述步骤S2中:所述目标报文的优先级越高,所述总签名检查率越高;所述目标报文的实时性越高,所述总签名检查率越高;所述总签名检查率包括:所述目标报文经由的全部网元中启用签名验签的网元数、抽样签名率和抽样验签率。3.根据权利要求2所述的一种报文完整性验证方法,其特征在于,在所述步骤S2中:所述目标报文经由的全部网元在接收到所述网络报文后,根据所述第二策略中所述启用签名验签的网元数、所述抽样签名率和所述抽样验签率确定是否启用签名验签功能;所述接收终端在接收到所述目标报文后,根据所述第一策略中的所述哈希结构计算方式和所述哈希结构存储方式启用哈希计算与验证功能。4.根据权利要求3所述的一种报文完整性验证方法,其特征在于,在所述步骤S3中,基于所述第二策略中的所述抽样签名率对所述经计算和存储的目标报文进行抽样签名;并且当所述目标报文的大小超出最大传输报文的限制阈值时,对所述目标报文切分为满足所述限制阈值的若干报文切片,建立所述若干报文切片之间的关联关系,所述关联关系用于在所述接收终端侧将所述若干报文切片恢复为所述目标报文。5.一种报文完整性验证系统,其特征在于,所述系统包括:在通信网络的发送终端和接收终端中分别部署的第一验证装置以及在所述通信网络的各个网元中部署的第二验证装置;所述第一验证装置包...
【专利技术属性】
技术研发人员:冯涛,林佳琦,高先明,周楠馨,张啸峰,康朋涛,
申请(专利权)人:中国人民解放军军事科学院系统工程研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。