本發明公開一種報文完整性驗證方法與系統，涉及通信傳輸技術領域。本發明根據網絡狀況與業務需求指定策略，通過在端上構建哈希迭代結構與在網絡中公平抽樣驗簽，協同檢查報文，降低報文完整性計算開銷，提升報文檢查效率，保障報文安全傳輸。

技術領域

本發明屬于通信傳輸技術領域，尤其涉及一種報文完整性驗證方法及系統。

背景技術

數據完整性是為了使數據未經授權不能被修改，即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失。數據完整性是為了保證存儲在計算機系統中或在網絡上傳輸的數據不受非法刪改或意外事件的破壞，保持數據整體的完整。現有安全機制往往采用在終端驗證簽名與報文摘要來核對報文完整性，但逐個數據包摘要簽名及驗簽會帶來極大時空開銷，降低了網絡性能。

發明內容

為了解決上述技術問題，本發明提出一種報文完整性檢查方法及系統。

本發明第一方面公開了一種報文完整性驗證方法。所述方法包括：步驟S1、在通信網絡的發送終端和接收終端中分別部署第一驗證裝置，以及在所述通信網絡的各個網元中部署第二驗證裝置；其中，所述第一驗證裝置包括網絡狀態感知模塊、哈希結構模塊、第一策略模塊和第一檢查模塊；所述第二驗證裝置包括第二策略模塊和第二檢查模塊；步驟S2、所述發送終端利用所述網絡狀態感知模塊感知用于傳輸目標報文的通信網絡的邏輯拓撲和網絡狀態，并利用所述第一策略模塊基于所述邏輯拓撲和所述網絡狀態確定第一策略和第二策略；其中，所述第一策略用于哈希結構計算，其指定哈希結構計算方式和哈希結構存儲方式，所述第二策略用于簽名驗簽抽樣，其指定所述目標報文的總簽名檢查率，所述第一策略和所述第二策略作為網絡報文被發送至在傳輸所述目標報文過程中經由的網元和接收終端；步驟S3、所述發送終端根據所述第一策略對所述目標報文進行哈希計算和存儲，并根據所述第二策略對經計算和存儲的目標報文進行抽樣簽名，并將經抽樣簽名后的目標報文發送至所述接收終端；步驟S4、接收到所述目標報文的網元根據所述第二策略對經抽樣簽名后的目標報文進行抽樣驗簽，接收到所述目標報文的所述接收終端根據所述第一策略對通過所述抽樣驗簽的目標報文進行哈希計算，并與所述目標報文中攜帶的哈希數據進行驗證。根據第一方面的方法，在所述方法中，所述待發送報文的標識被嵌入到經切分的每個分片數據包中，使得所述若干網元和所述接收終端的鏈式計算模塊利用所述映射算法，根據所述分片數據包中攜帶的所述待發送報文的標識來計算所述序列值。

根據第一方面的方法，在所述步驟S2中：所述目標報文的優先級越高，所述總簽名檢查率越高；所述目標報文的實時性越高，所述總簽名檢查率越高；所述總簽名檢查率包括：所述目標報文經由的全部網元中啟用簽名驗簽的網元數、抽樣簽名率和抽樣驗簽率。

根據第一方面的方法，在所述步驟S2中：所述目標報文經由的全部網元在接收到所述網絡報文后，根據所述第二策略中所述啟用簽名驗簽的網元數、所述抽樣簽名率和所述抽樣驗簽率確定是否啟用簽名驗簽功能；所述接收終端在接收到所述目標報文后，根據所述第一策略中的所述哈希結構計算方式和所述哈希結構存儲方式啟用哈希計算與驗證功能。

根據第一方面的方法，在所述步驟S3中，基于所述第二策略中的所述抽樣簽名率對所述經計算和存儲的目標報文進行抽樣簽名；并且當所述目標報文的大小超出最大傳輸報文的限制閾值時，對所述目標報文切分為滿足所述限制閾值的若干報文切片，建立所述若干報文切片之間的關聯關系，所述關聯關系用于在所述接收終端側將所述若干報文切片恢復為所述目標報文。