本發明實施例提供了一種報文加密發送、認證方法、裝置、客戶端及防火墻，其中，報文加密發送方法應用于客戶端，包括：在確定允許向服務器發送待發送報文后，提取待發送報文的報文載荷；在報文載荷中的多個預設位置處添加各密鑰分量，得到加密報文，其中，密鑰分量為客戶端對應的預設身份密鑰中指定位數的數值；發送加密報文至防火墻，以使防火墻提取加密報文的報文載荷中多個預設位置處指定位數的數值，按照預設排列順序，將多個數值進行排列，得到身份密鑰，如果身份密鑰與客戶端對應的預設身份密鑰一致，則確定加密報文認證成功。通過本方案可以提高白名單客戶端和服務器的安全性。

技術領域

本發明涉及網絡防火墻技術領域，特別是涉及一種報文加密發送、認證方法、裝置、客戶端及防火墻。

背景技術

在防火墻系統中，通常使用黑白名單規則對客戶端發送的報文進行控制，若客戶端被設置為黑名單客戶端，則該黑名單客戶端所發送的報文將被防火墻阻斷，即禁止該黑名單客戶端向服務器端發送報文；若客戶端被設置為白名單客戶端，則該白名單客戶端所發送的報文將會優先通過，不會被防火墻阻斷，大大提高了客戶端訪問服務器的安全性和快捷性。

對于使用黑白名單規則的防火墻，往往設置有一個白名單列表，該白名單列表中存儲有白名單客戶端對應的IP(Internet Protocol，網絡互連協議)地址，當防火墻識別出接收到的報文是由白名單列表中任一個IP地址對應的客戶端發送的，則直接將該報文轉發至服務器，實現客戶端與服務器之間的通信。

但是，在實際網絡環境中，白名單客戶端發送的報文可能會被非法用戶惡意篡改，或者，非法用戶可能偽造白名單客戶端的IP地址向服務器發送入侵報文，導致白名單客戶端和服務器的安全性受到較大影響。

發明內容

本發明實施例的目的在于提供一種報文加密發送、認證方法、裝置、客戶端及防火墻，以提高白名單客戶端和服務器的安全性。具體技術方案如下：

第一方面，本發明實施例提供了一種報文加密發送方法，應用于客戶端，所述方法包括：

在確定允許向服務器發送待發送報文后，提取所述待發送報文的報文載荷；

在所述報文載荷中的多個預設位置處添加各密鑰分量，得到加密報文，所述密鑰分量為所述客戶端對應的預設身份密鑰中指定位數的數值；

發送所述加密報文至防火墻，以使所述防火墻提取所述加密報文的報文載荷中多個預設位置處指定位數的數值，按照預設排列順序，將多個數值進行排列，得到身份密鑰，如果所述身份密鑰與所述客戶端對應的預設身份密鑰一致，則確定所述加密報文認證成功。

第二方面，本發明實施例提供了一種報文認證方法，應用于防火墻，所述方法包括：

接收客戶端發送的加密報文，所述加密報文為所述客戶端在待發送報文的報文載荷中的多個預設位置處添加各密鑰分量得到的報文，所述密鑰分量為所述客戶端對應的預設身份密鑰中指定位數的數值；

提取所述加密報文的報文載荷中多個預設位置處指定位數的數值；

按照預設排列順序，將多個數值進行排列，得到身份密鑰；

判斷所述身份密鑰與所述客戶端對應的預設身份密鑰是否一致；

若一致，則確定所述加密報文認證成功。

第三方面，本發明實施例提供了一種報文加密發送裝置，應用于客戶端，所述裝置包括：

提取模塊，用于在確定允許向服務器發送待發送報文后，提取所述待發送報文的報文載荷；

添加模塊，用于在所述報文載荷中的多個預設位置處添加各密鑰分量，得到加密報文，所述密鑰分量為所述客戶端對應的預設身份密鑰中指定位數的數值；