一种基于自认证码的报文处理方法和系统

摘要

本发明提供了一种基于自认证码的报文处理方法和系统，其中，该方法包括：TCAM中预先存储至少一个报文源地址、与每一个报文源地址对应的会话密钥，还包括：FPGA获取当前报文，对当前报文进行解析，得到当前报文源地址和当前自认证码；FPGA判断TCAM存储的至少一个报文源地址中是否存在当前报文源地址，如果是，获取与当前报文源地址对应的会话密钥；FPGA根据当前报文源地址对应的会话密钥，生成目标自认证码；FPGA判断目标自认证码与当前自认证码是否相同，如果是，确定当前报文属于关心流量，将当前报文发送至预设的指定输出端口。该方案能够提高网络安全性。

说明书

技术领域

本发明涉及数字通信技术领域，特别涉及一种基于自认证码的报文处理方法和系统。

背景技术

随着网络通信技术的高速发展，带宽的提高给人们生活和工作带来了便利，但是，在实际应用场景中，一些干扰或被篡改的非法报文混入合法报文中，严重威胁着网络安全。因此，如何从合法报文中筛选出被篡改过的非法报文，是技术人员一直关注的问题。

现有技术中，一般通过验证报文中的IP地址或者MAC地址，对报文进行筛选。

但是，该方法无法筛选一些伪装IP地址或MAC地址的终端发送的报文，因此，该方法导致网络安全性较低

发明内容

本发明实施例提供了一种基于自认证码的报文处理方法和系统，能够提高网络安全性。

第一方面，本发明实施例提供了一种基于自认证码的报文处理方法，TCAM(Ternary Content Addressable Memory，三态内容寻址存储器)中预先存储至少一个报文源地址、与每一个所述报文源地址对应的会话密钥，包括：

FPGA(Field-Programmable Gate Array，现场可编程门阵列)获取当前报文，对所述当前报文进行解析，得到当前报文源地址和当前自认证码；

所述FPGA判断所述TCAM存储的所述至少一个报文源地址中是否存在所述当前报文源地址，如果是，获取与所述当前报文源地址对应的会话密钥；

所述FPGA根据所述当前报文源地址对应的会话密钥，生成目标自认证码；

所述FPGA判断所述目标自认证码与所述当前自认证码是否相同，如果是，确定所述当前报文属于关心流量，将所述当前报文发送至预设的指定输出端口。

优选地，

当所述目标自认证码与所述当前自认证码不同时，进一步包括：

所述FPGA确定所述当前报文属于干扰流量，将所述当前报文发送至预设的异常输出端口或丢弃所述当前报文。

优选地，

当所述TCAM存储的所述至少一个报文源地址中不存在当前报文源地址时，进一步包括：

所述FPGA将所述当前报文源地址发送给CPU；

所述CPU对所述当前报文源地址进行验证，当验证通过时，根据所述当前报文源地址和HMAC-SHA-1算法，生成当前会话密钥，将所述当前报文源地址和所述当前会话密钥存储至所述TCAM，执行所述FPGA判断所述TCAM存储的所述至少一个报文源地址中是否存在所述当前报文源地址。

第二方面，本发明实施例提供了一种基于自认证码的报文处理系统，包括：TCAM和FPGA；

所述TCAM，用于存储至少一个报文源地址、与每一个所述报文源地址对应的会话密钥；

所述FPGA，用于获取当前报文，对所述当前报文进行解析，得到当前报文源地址和当前自认证码；判断所述TCAM存储的所述至少一个报文源地址中是否存在所述当前报文源地址，如果是，获取与所述当前报文源地址对应的会话密钥；根据所述当前报文源地址对应的会话密钥，生成目标自认证码；判断所述目标自认证码与所述当前自认证码是否相同，如果是，确定所述当前报文属于关心流量，将所述当前报文发送至预设的指定输出端口。

优选地，

当所述目标自认证码与所述当前自认证码不同时，

所述FPGA，进一步用于确定所述当前报文属于干扰流量，将所述当前报文发送至预设的异常输出端口或丢弃所述当前报文。

优选地，

进一步包括：CPU；

当所述TCAM存储的所述至少一个报文源地址中不存在当前报文源地址时，

所述FPGA，进一步用于将所述当前报文源地址发送给所述CPU；

所述CPU，用于对所述当前报文源地址进行验证，当验证通过时，根据所述当前报文源地址和HMAC-SHA-1算法，生成当前会话密钥，将所述当前报文源地址和所述当前会话密钥存储至所述TCAM，并触发所述FPGA执行所述判断所述TCAM存储的所述至少一个报文源地址中是否存在所述当前报文源地址。

本发明实施例提供了一种基于自认证码的报文处理方法和系统，其中，在该方法中，FPGA能够对获取的当前报文进行解析，并利用TCAM中存储的报文源地址对解析得到的当前报文源地址进行验证，利用存储的会话密钥对解析得到的当前自认证码进行验证。与现有方式相比，该方法能够从报文源地址和自认证码两个层面对当前报文进行验证，提高了网络安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的一种基于自认证码的报文处理方法的流程图；

图2是本发明一个实施例提供的一种基于自认证码的报文处理系统的结构示意图；

图3是本发明另一个实施例提供的一种基于自认证码的报文处理系统的结构示意图；

图4是本发明另一个实施例提供的一种基于自认证码的报文处理方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种基于自认证码的报文处理方法，该方法可以包括以下步骤：

步骤101：TCAM中存储至少一个报文源地址、与每一个报文源地址对应的会话密钥。

步骤102：FPGA获取当前报文，对当前报文进行解析，得到当前报文源地址和当前自认证码。

步骤103：FPGA判断TCAM存储的至少一个报文源地址中是否存在当前报文源地址，如果是，执行步骤104。

步骤104：FPGA获取与当前报文源地址对应的会话密钥，根据当前报文源地址对应的会话密钥，生成目标自认证码。

步骤105：FPGA判断目标自认证码与当前自认证码是否相同，如果是，执行步骤106。

步骤106：FPGA确定当前报文属于关心流量，将当前报文发送至预设的指定输出端口。

在该方法中，FPGA能够对获取的当前报文进行解析，并利用TCAM中存储的报文源地址对解析得到的当前报文源地址进行验证，利用存储的会话密钥对解析得到的当前自认证码进行验证。与现有方式相比，该方法能够从报文源地址和自认证码两个层面对当前报文进行验证，提高了网络安全性。

在本发明的一个实施例中，当目标自认证码与当前自认证码不同时，该包括：

FPGA确定当前报文属于干扰流量，将当前报文发送至预设的异常输出端口或丢弃当前报文。

当目标自认证码与当前自认证码不同时，当前报文存在被篡改和干扰的情况，应该被过滤掉，以防止存在病毒等威胁网络安全，提高网络系统的安全性。

在本发明的一个实施例中，当TCAM存储的至少一个报文源地址中不存在当前报文源地址时，该方法还包括：

FPGA将当前报文源地址发送给CPU；

CPU对当前报文源地址进行验证，当验证通过时，根据当前报文源地址和HMAC-SHA-1算法，生成当前会话密钥，将当前报文源地址和当前会话密钥存储至TCAM，执行FPGA判断TCAM存储的至少一个报文源地址中是否存在当前报文源地址。

如图2所示，本发明实施例提供了一种基于自认证码的报文处理系统，包括：TCAM201和FPGA 202；

TCAM 201，用于存储至少一个报文源地址、与每一个报文源地址对应的会话密钥；

FPGA 202，用于获取当前报文，对当前报文进行解析，得到当前报文源地址和当前自认证码；判断TCAM 201存储的至少一个报文源地址中是否存在当前报文源地址，如果是，获取与当前报文源地址对应的会话密钥；根据当前报文源地址对应的会话密钥，生成目标自认证码；判断目标自认证码与当前自认证码是否相同，如果是，确定当前报文属于关心流量，将当前报文发送至预设的指定输出端口。

在本发明的一个实施例中，当目标自认证码与当前自认证码不同时，

FPGA 202，进一步用于确定当前报文属于干扰流量，将当前报文发送至预设的异常输出端口或丢弃当前报文。

在本发明的一个实施例中，如图3所示，该系统还包括：CPU 203；

当TCAM201存储的至少一个报文源地址中不存在当前报文源地址时，

FPGA 202，进一步用于将当前报文源地址发送给CPU 203；

CPU 203，用于对当前报文源地址进行验证，当验证通过时，根据当前报文源地址和HMAC-SHA-1算法，生成当前会话密钥，将当前报文源地址和当前会话密钥存储至TCAM201，并触发FPGA 202执行判断TCAM 201存储的至少一个报文源地址中是否存在当前报文源地址。

上述各个实施例中，FPGA执行的方法，可以通过Verilog语言进行行为级描述，编译综合映射形成网表文件下载至FPGA中，通过FPGA的形式实现逻辑控制。

上述系统内的各装置之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

如图4所示，本发明实施例以TCAM、FPGA和CPU形成的基于自认证码的报文处理系统为例，对基于自认证码的报文处理方法进行详细地说明，该方法包括以下步骤：

步骤401：TCAM中存储三个报文源地址、与每一个报文源地址对应的会话密钥。

三个报文源地址分别为A、B、C，对应的会话密钥分别为a、b、c。

在本发明实施例中，涉及的会话密钥从UKey读取或从密钥管理系统获取。

步骤402：FPGA获取当前报文，对当前报文进行解析，得到当前报文源地址和当前自认证码。

当前报文源地址和当前自认证码分别为D、E。

本发明实施例针对基于以太网协议为基础的特定协议，具体是指在报文头后添加了自认证码，自认证码是一段160bits的码流。

步骤403：FPGA判断TCAM存储的三个报文源地址中是否存在当前报文源地址，如果是，执行步骤404，否则，执行步骤405。

当前报文源地址D不在A、B、C中，执行步骤405。

步骤404：FPGA获取与当前报文源地址对应的会话密钥，根据当前报文源地址对应的会话密钥，生成目标自认证码，执行步骤407。

FPGA根据当前会话密钥为，生成目标自认证码E。

步骤405：FPGA将当前报文源地址发送给CPU。

步骤406：CPU对当前报文源地址进行验证，当验证通过时，根据当前报文源地址和HMAC-SHA-1算法，生成当前会话密钥，将当前报文源地址和当前会话密钥存储至TCAM，执行步骤403。

生成的当前会话密钥为d，将当前报文源地址D和当前会话密钥d存储至中TCAM中。

步骤407：FPGA判断目标自认证码与当前自认证码是否相同，如果是，执行步骤408，否则，执行步骤409。

目标自认证码与当前自认证码相同，执行步骤409。

步骤408：FPGA确定当前报文属于关心流量，将当前报文发送至预设的指定输出端口。

步骤409：FPGA确定当前报文属于干扰流量，将当前报文发送至预设的异常输出端口或丢弃当前报文。

综上，本发明各个实施例至少具有如下效果：

1、在本发明实施例中，FPGA能够对获取的当前报文进行解析，并利用TCAM中存储的报文源地址对解析得到的当前报文源地址进行验证，利用存储的会话密钥对解析得到的当前自认证码进行验证。与现有方式相比，该方法能够从报文源地址和自认证码两个层面对当前报文进行验证，提高了网络安全性。

2、在本发明实施例中，通过FPGA快速识别流量自带认证码，并精确有效地抓取专用流量，过滤掉伪终端产生的干扰或被篡改的信息，增强了传输信息的安全性。

需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个······”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。