一种数据报文验证传输方法与流程 专利技术说明

电子通信装置的制造及其应用技术1.本发明涉及ip报文通信技术领域，具体涉及一种数据报文验证传输方法。背景技术：2.ip报文在通信过程中，为了保证安全性和提高服务质量一般需要对其承载的业务类别进行区分、对报文的来源合法性进行鉴别以及对数据完整性进行保护以防止被篡改等。虽然通过ipsec隧道加密技术可以完成来源合法性验证与数据完整性保护，但ipsec隧道加密以后，原报文来源、业务类别、数据完整性保护的hmac校验码等信息被加密封装，只有到了接收端解密后才能得到，所有通信中间节点无法进行相应检测与确认。3.在ip通信网络中为了提高服务质量保障以及对业务精细管控的能力，需要对ip报文承载的业务类别进行准确识别，一般通过其上层协议(udp和tcp)及端口号进行业务的区分，更细致的业务类型划分可能需要进一步对报文载荷进行分析。4.另一方面，为了传输的完整性和隐蔽性，通常采用vpn封装报文(例如ipsec等)。在vpn隧道加密封装以后，这些业务类别信息都无法获取。在ip报文没有被加密时，获取这些业务相关信息的计算代价也比较大，或者由于用户业务敏感性或隐私保护等原因不便分析业务内容，同时也难以适应新业务不断变化的场景。5.还有一种只保护传输完整性的方法，利用密码学手段，在密钥作用下对数据计算一个校验值，即密钥相关哈希运算消息认证码(hmac)方案中，虽然保证了数据的完整性和来源合法性，但一方面hmac验证码无法提供业务类型识别等语义信息，另一方面也存在密钥更新周期问题：如果更新周期太短，则密钥协商对网络通信带宽和终端的计算能力都有较大的消耗；如果更新周期太长，则难以防范报文重放攻击等风险。技术实现要素：6.针对现有技术中的上述不足，本发明提供的一种数据报文验证传输方法解决了现有对于报文传输过程的完整性、抗重放攻击和业务分类的问题。7.为了达到上述发明目的，本发明采用的技术方案为：一种数据报文验证传输方法，包括以下步骤：8.s1、根据ip报文的载荷内容，得到ip报文的染色值；9.s2、将ip报文的载荷内容封装到隧道，并标上染色值后传输至接收端网关；10.s3、在接收端网关处，验证染色值；11.s4、将通过验证的封装在隧道内的ip报文进行还原。12.进一步地，所述步骤s1包括以下分步骤：13.s11、取ip报文的前16个字节，作为ip头部iph1；14.s12、取ip报文载荷的前15个字节，不足的填充0至15字节，并在最后填充一个字节的有效载荷长度，作为荷载头部pl1；15.s13、根据ip头部iph1和荷载头部pl1，计算采样哈稀sh1，sh1＝hash(hashfactor,iph1|pl1)，其中，hash()为哈希函数，hashfactor为哈希因子，|为字符串加法运算；16.s14、根据采样哈稀sh1，计算采样消息验证码sm1，sm1＝mac(confusefactor,sh1|tsn|id)，其中，mac()为消息验证码函数，confusefactor为混淆因子，tsn为utc时间，id为ip报文的身份标识；17.s15、取采样消息验证码sm1前4字节，作为sm1头部sr1；18.s16、将sm1头部sr1作为32bit无符号整数，判断作为32bit无符号整数的sm1头部sr1是否小于232*r，若是，则跳转至步骤s19，若否，则跳转至步骤s17，其中，r为重型染色采样率；19.s17、取采样消息验证码sm1末尾的数字节，作为轻型染色校验ck1；20.s18、取轻型染色的校验ck1作为最终校验ck3，并跳转至步骤s23；21.s19、计算ip报文哈稀ph1，ph1＝hash(hashfactor,ip报文)；22.s20、根据ip报文哈稀ph1，计算ip报文消息验证码pm1，pm1＝mac(confusefactor,ph1|tsn|id)；23.s21、取ip报文消息验证码pm1末尾的数字节，作为重型染色的校验ck2；24.s22、取重型染色的校验ck2作为最终校验ck3；25.s23、将utc时间tsn末4比特、最终校验ck3和ip报文的身份标识id嵌入到染色标记中，得到ip报文的染色值stain。26.上述进一步的有益效果为：27.1、哈稀函数采用带哈稀因子的，在攻击者不知晓哈稀因子的情况下，难以构造具有相同哈稀值的原始数据，同时利用哈稀简化了hmac计算量。28.2、使用utc时间tsn计算消息验证码，提升了安全性。29.3、utc时间tsn只传输了末4比特，而不是传输完整内容，提升了传输效率。30.进一步地，所述步骤s3包括以下分步骤：31.s31、在接收端网关处，获取到ip报文的时候，接收网关自己的utc时间tsn，取tsn的末4比特作为接收utc时间ltsn；从ip报文中恢复染色值stain，取出染色值stain携带的发送时的utc时间末4比特，作为报文utc时间ptsn；32.s32、判断报文utc时间ptsn是否与接收utc时间ltsn相等，若是，则将utc时间tsn赋值给时间参数tsn2，并跳转至步骤s35，若否，则跳转至步骤s33；33.s33、判断报文utc时间ptsn是否与(ltsn+15)mod 16相等，若是，则在utc时间tsn基础上减一赋值给时间参数tsn2，并跳转至步骤s35，若否，则跳转至步骤s34，其中，mod为取模运算；34.s34、判断报文utc时间ptsn是否与(ltsn+1)mod 16相等，若是，则在utc时间tsn基础上加1赋值给时间参数tsn2，并跳转至步骤s35，若否，则时间错误；35.s35、取ip报文的前16个字节，作为ip头部iph2；36.s36、取ip报文载荷前15个字节，不足的填充0至15字节，并在最后填充一个字节的有效载荷长度，作为荷载头部pl2；37.s37、根据ip头部iph2和荷载头部pl2，计算采样哈稀sh2，sh2＝hash(hashfactor,iph2|pl2)；38.s38、根据采样哈稀sh2，计算采样消息验证码sm2，sm2＝mac(confusefactor,sh2|tsn2|id)；39.s39、取采样消息验证码sm2前4字节，作为sm2头部sr2；40.s40、将sm2头部sr2作为32bit无符号整数，判断作为32bit无符号整数的sm2头部sr2是否小于232*r，若是，则跳转至步骤s43，若否，则跳转至步骤s41；41.s41、取采样消息验证码sm2末尾的数字节，作为轻型染色校验ck4；42.s42、取轻型染色的校验ck4作为最终校验ck6，并跳转至步骤s47；43.s43、计算ip报文哈稀ph2，ph2＝hash(hashfactor,ip报文)；44.s44、根据ip报文哈稀ph2，计算ip报文消息验证码pm2，pm2＝mac(confusefactor,ph2|tsn2|id)；45.s45、取ip报文消息验证码pm2末尾的数字节，作为重型染色的校验ck5；46.s46、取重型染色的校验ck5作为最终校验ck6；47.s47、若染色值stain中取出的最终校验ck3与接收方计算的最终校验ck6相同，则染色值验证通过。48.上述进一步的有益效果为：利用接收端和发送端的时间基本同步，但可能有误差的特点，通过比较当前时间，上一个时间、下一个时间，确保了少量时间误差不影响校验，也不影响校验的效率。49.本发明的有益效果为：50.1、本发明通过核对ip报文携带的utc时间和染色值中utc时间的后4比特，两者在相同或者相差不大的情况，则ip报文通过第一部分验证，同时，ip报文携带的utc时间和染色值中utc时间都在实时更新，提升了ip报文被攻击的难度，从而有效避免重放攻击。51.2、轻度染色和重度染色混合使用，平衡了计算代价和安全性。52.3、无论轻度染色还是重度染色，都起到了消息验证码(mac)的作用，保证了报文传输的完整性。53.4、在染色时通过报文特征，给与每个ip报文一个特定的身份标识id，将身份标识id嵌入到染色值中，即可使中间传输设备感知报文分类，也不会泄露隐私信息。54.5、通过报文分类，有利于中间传输设备提升安全防护、服务质量保障、业务类型识别和业务态势感知等能力。附图说明55.图1为一种数据报文验证传输方法的流程图。具体实施方式56.下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。57.如图1所示，一种数据报文验证传输方法，包括以下步骤：58.s1、根据ip报文的载荷内容，得到ip报文的染色值；59.步骤s1的分步骤是在发送端执行。60.所述步骤s1包括以下分步骤：61.s11、取ip报文的前16个字节，作为ip头部iph1；62.s12、取ip报文载荷的前15个字节，不足的填充0至15字节，并在最后填充一个字节的有效载荷长度，作为荷载头部pl1；63.s13、根据ip头部iph1和荷载头部pl1，计算采样哈稀sh1，sh1＝hash(hashfactor,iph1|pl1)，其中，hash()为哈希函数，hashfactor为哈希因子，|为字符串加法运算；64.s14、根据采样哈稀sh1，计算采样消息验证码sm1，sm1＝mac(confusefactor,sh1|tsn|id)，其中，mac()为消息验证码函数，confusefactor为混淆因子，tsn为utc时间，id为ip报文的身份标识；65.s15、取采样消息验证码sm1前4字节，作为sm1头部sr1；66.s16、将sm1头部sr1作为32bit无符号整数，判断作为32bit无符号整数的sm1头部sr1是否小于232*r，若是，则跳转至步骤s19，若否，则跳转至步骤s17，其中，r为重型染色采样率；67.s17、取采样消息验证码sm1末尾的数字节，作为轻型染色校验ck1；68.s18、取轻型染色的校验ck1作为最终校验ck3，并跳转至步骤s23；69.s19、计算ip报文哈稀ph1，ph1＝hash(hashfactor,ip报文)；70.s20、根据ip报文哈稀ph1，计算ip报文消息验证码pm1，pm1＝mac(confusefactor,ph1|tsn|id)；71.s21、取ip报文消息验证码pm1末尾的数字节，作为重型染色的校验ck2；72.s22、取重型染色的校验ck2作为最终校验ck3；73.s23、将utc时间tsn末4比特、最终校验ck3和ip报文的身份标识id嵌入到染色标记中，得到ip报文的染色值stain。74.s2、将ip报文的载荷内容封装到隧道，并标上染色值后传输至接收端网关；75.s3、在接收端网关处，验证染色值；76.步骤s3的分步骤是在接收端执行。77.所述步骤s3包括以下分步骤：78.s31、在接收端网关处，获取到ip报文的时候，接收网关自己的utc时间tsn，取tsn的末4比特作为接收utc时间ltsn；从ip报文中恢复染色值stain，取出染色值stain携带的发送时的utc时间末4比特，作为报文utc时间ptsn；79.s32、判断报文utc时间ptsn是否与接收utc时间ltsn相等，若是，则将utc时间tsn赋值给时间参数tsn2，并跳转至步骤s35，若否，则跳转至步骤s33；80.s33、判断报文utc时间ptsn是否与(ltsn+15)mod 16相等，若是，则在utc时间tsn基础上减一赋值给时间参数tsn2，并跳转至步骤s35，若否，则跳转至步骤s34，其中，mod为取模运算；81.s34、判断报文utc时间ptsn是否与(ltsn+1)mod 16相等，若是，则在utc时间tsn基础上加1赋值给时间参数tsn2，并跳转至步骤s35，若否，则时间错误；82.在时间错误后，不再继续后续步骤，可以跳转至步骤s31，重新获取ip报文。83.s35、取ip报文的前16个字节，作为ip头部iph2；84.s36、取ip报文载荷前15个字节，不足的填充0至15字节，并在最后填充一个字节的有效载荷长度，作为荷载头部pl2；85.s37、根据ip头部iph2和荷载头部pl2，计算采样哈稀sh2，sh2＝hash(hashfactor,iph2|pl2)；86.s38、根据采样哈稀sh2，计算采样消息验证码sm2，sm2＝mac(confusefactor,sh2|tsn2|id)；87.s39、取采样消息验证码sm2前4字节，作为sm2头部sr2；88.s40、将sm2头部sr2作为32bit无符号整数，判断作为32bit无符号整数的sm2头部sr2是否小于232*r，若是，则跳转至步骤s43，若否，则跳转至步骤s41；89.s41、取采样消息验证码sm2末尾的数字节，作为轻型染色校验ck4；90.s42、取轻型染色的校验ck4作为最终校验ck6，并跳转至步骤s47；91.s43、计算ip报文哈稀ph2，ph2＝hash(hashfactor,ip报文)；92.s44、根据ip报文哈稀ph2，计算ip报文消息验证码pm2，pm2＝mac(confusefactor,ph2|tsn2|id)；93.s45、取ip报文消息验证码pm2末尾的数字节，作为重型染色的校验ck5；94.s46、取重型染色的校验ck5作为最终校验ck6；95.s47、若染色值stain中取出的最终校验ck3与接收方计算的最终校验ck6相同，则染色值验证通过。96.在步骤s3分步骤中，步骤s34中时间验证错误，以及步骤s47中不相同时，染色值验证就未通过，这时的ip报文就存在已经被攻击了的风险，需要进行通知或者报警。97.s4、将通过验证的封装在隧道内的ip报文进行还原。验证通过，则封装在隧道内的ip报文，就可以被解封出来。98.本发明的有益效果为：99.1、本发明通过核对ip报文携带的utc时间和染色值中utc时间的后4比特，两者在相同或者相差不大的情况，则ip报文通过第一部分验证，同时，ip报文携带的utc时间和染色值中utc时间都在实时更新，提升了ip报文被攻击的难度，从而有效避免重放攻击。100.2、轻度染色和重度染色混合使用，平衡了计算代价和安全性。101.3、无论轻度染色还是重度染色，都起到了消息验证码(mac)的作用，保证了报文传输的完整性。102.4、在染色时通过报文特征，给与每个ip报文一个特定的身份标识id，将身份标识id嵌入到染色值中，即可使中间传输设备感知报文分类，也不会泄露隐私信息。103.5、通过报文分类，有利于中间传输设备提升安全防护、服务质量保障、业务类型识别和业务态势感知等能力。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!