技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，特別涉及一種對報文進(jìn)行處理的方法及裝置。

背景技術(shù)

路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備是組成通信網(wǎng)絡(luò)的重要網(wǎng)元，網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)中占據(jù)著重要地位，從而成為黑客攻擊的目標(biāo)，黑客可以通過逆向分析在網(wǎng)絡(luò)設(shè)備中產(chǎn)生漏洞，然后通過產(chǎn)生的漏洞在網(wǎng)絡(luò)設(shè)備上設(shè)置惡意功能，通過惡意功能控制網(wǎng)絡(luò)設(shè)備執(zhí)行各種非法操作。

例如，當(dāng)網(wǎng)絡(luò)中的報文經(jīng)過被黑客攻擊的網(wǎng)絡(luò)設(shè)備時，黑客可以利用在該網(wǎng)絡(luò)設(shè)備上設(shè)置的惡意功能來竊取該報文中的信息，如此給網(wǎng)絡(luò)中的信息安全構(gòu)成很大的威脅。

發(fā)明內(nèi)容

為了防止黑客偷竊信息，本發(fā)明提供了一種對報文進(jìn)行處理的方法及裝置。所述技術(shù)方案如下：

第一方面、一種對報文進(jìn)行處理的方法，所述方法包括：

第一簽名設(shè)備接收安全域內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送的第一報文，所述安全域包括不可信任的網(wǎng)絡(luò)設(shè)備，所述第一報文包括第一簽名值，所述第一簽名值是由第二簽名設(shè)備接收到發(fā)往所述安全域的第二報文時根據(jù)所述第二報文中的限制修改的字段攜帶的內(nèi)容生成的，所述第一報文是由所述第二簽名設(shè)備將所述第一簽名值添加到所述第二報文中得到并發(fā)送給所述網(wǎng)絡(luò)設(shè)備的，所述限制修改的字段是可信任的網(wǎng)絡(luò)設(shè)備在傳輸所述第二報文時不會修改內(nèi)容的字段；

所述第一簽名設(shè)備提取所述第一報文中的所述第一簽名值以及所述限制修改的字段攜帶的內(nèi)容；

所述第一簽名設(shè)備根據(jù)所述提取的限制修改的字段攜帶的內(nèi)容生成第二簽名值；

所述第一簽名設(shè)備判斷出所述第一簽名值與所述第二簽名值不同時，采用預(yù)設(shè)操作對所述第一報文進(jìn)行處理。

結(jié)合第一方面，在第一方面的第一種可能的實現(xiàn)方式中，所述提取所述第一報文中的限制修改的字段攜帶的內(nèi)容，包括：

提取所述第一報文中的報文長度字段中攜帶的所述第一報文的長度、目的地址字段攜帶的目的地址和負(fù)荷字段中攜帶的負(fù)荷內(nèi)容中的至少一個。

結(jié)合第一方面的第一種可能的實現(xiàn)方式，在第一方面的第二種可能的實現(xiàn)方式中，所述根據(jù)所述提取的限制修改的字段攜帶的內(nèi)容生成第二簽名值，包括：

根據(jù)預(yù)設(shè)的解密密鑰和所述提取的限制修改的字段攜帶的內(nèi)容，采用預(yù)設(shè)簽名算法生成第二簽名值；或者，

將所述第一報文的長度減少預(yù)設(shè)簽名值長度得到第一長度，根據(jù)預(yù)設(shè)的解密密鑰、所述第一長度和除所述第一報文的長度以外的其他提取的內(nèi)容，采用預(yù)設(shè)簽名算法生成第二簽名值。

結(jié)合第一方面，在第一方面的第三種可能的實現(xiàn)方式中，所述第一報文中的服務(wù)類型TOS字段、選項Option字段或負(fù)荷字段攜帶所述第一簽名值。

結(jié)合第一方面或第一方面的第一種至第三種可能的實現(xiàn)方式中的任一種可能的實現(xiàn)方式，所述方法還包括：

如果所述第一簽名值和所述第二簽名值相同，則從所述第一報文中刪除所述第一簽名值得到第三報文；

如果所述第一報文的選項Option字段或負(fù)荷字段攜帶所述第一簽名值，則計算所述第三報文的長度，將所述第三報文的報文長度字段中攜帶的內(nèi)容替換為所述第三報文的長度；

發(fā)送所述替換后的第三報文。

第二方面、一種對報文進(jìn)行處理的裝置，所述裝置包括：

接收模塊，用于接收安全域內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送的第一報文，所述安全域包括不可信任的網(wǎng)絡(luò)設(shè)備，所述第一報文包括第一簽名值，所述第一簽名值是由第二簽名設(shè)備接收到發(fā)往所述安全域的第二報文時根據(jù)所述第二報文中的限制修改的字段攜帶的內(nèi)容生成的，所述第一報文是由所述第二簽名設(shè)備將所述第一簽名值添加到所述第二報文中得到并發(fā)送給所述網(wǎng)絡(luò)設(shè)備的，所述限制修改的字段是可信任的網(wǎng)絡(luò)設(shè)備在傳輸所述第二報文時不會修改內(nèi)容的字段；

提取模塊，用于提取所述第一報文中的所述第一簽名值以及所述限制修改的字段攜帶的內(nèi)容；

生成模塊，用于根據(jù)所述提取的限制修改的字段攜帶的內(nèi)容生成第二簽名值；

處理模塊，用于判斷出所述第一簽名值與所述第二簽名值不同時，采用預(yù)設(shè)操作對所述第一報文進(jìn)行處理。

結(jié)合第二方面，在第二方面的第一種可能的實現(xiàn)方式中，所述提取模塊，用于提取所述第一報文中的報文長度字段中攜帶的所述第一報文的長度、目的地址字段攜帶的目的地址和負(fù)荷字段中攜帶的負(fù)荷內(nèi)容中的至少一個。

結(jié)合第二方面的第一種可能的實現(xiàn)方式，在第二方面的第二種可能的實現(xiàn)方式中，所述生成模塊包括：

第一生成單元，用于根據(jù)預(yù)設(shè)的解密密鑰和所述提取的限制修改的字段攜帶的內(nèi)容，采用預(yù)設(shè)簽名算法生成第二簽名值；或者，