CN115426187A - 一种报文转发控制方法、装置、设备和介质 - Google Patents
一种报文转发控制方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN115426187A CN115426187A CN202211073580.8A CN202211073580A CN115426187A CN 115426187 A CN115426187 A CN 115426187A CN 202211073580 A CN202211073580 A CN 202211073580A CN 115426187 A CN115426187 A CN 115426187A
- Authority
- CN
- China
- Prior art keywords
- message
- certificate
- forwarding
- control
- encrypted message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 110
- 230000005540 biological transmission Effects 0.000 claims abstract description 15
- 238000012795 verification Methods 0.000 claims description 32
- 238000004364 calculation method Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 abstract description 22
- 238000004422 calculation algorithm Methods 0.000 description 21
- 238000004891 communication Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 9
- 238000012790 confirmation Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000011084 recovery Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000013467 fragmentation Methods 0.000 description 3
- 238000006062 fragmentation reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种报文转发控制方法、装置、设备和介质,转发服务器通过获取源发方以接收方为目标而发起传输的原始报文;对原始报文进行加密,以形成加密报文,并提供给接收方;获取源发方或所述接收方,针对原始报文的转发需求而提供的控制凭证;如果控制凭证满足设定条件,则向接收方发送签名后的解密信息;其中,解密信息用于将加密报文解密为原始报文,解决了报文转发过程中源设备和目的设备不信任的问题,通过获取控制凭证对报文转发进行证明,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行不可否认的证明,以及错误转发不可否认的证明,避免转发与否以及转发错误第三方无法判断的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文转发控制方法、装置、设备和介质。
背景技术
在互联网中通过传输报文来实现数据交互。在数据通信转发环节上,往往需要通过中间设备来转发报文,例如,跨网络的虚拟专用网络(Virtual Private Network,简称VPN)代理服务器、网络地址转换(Network Address Translation,简称NAT)转发代理服务器等,需要在不同网络之间进行跨网络的报文转发。
但是,在极低信任环境或不信任环境下,转发服务器和所服务的转发和接收设备之间存在互相不信任的现象。由于数据报文的特殊性,很难找到一种在密码学意义上的报文转发证明。因此,如何在服务设备和被服务设备之间提供一种能提供给第三方校验的无可辩驳的转发证明和申诉证明的方法,这是极低信任环境下需要解决的问题。
发明内容
本发明提供了一种报文转发控制方法、装置、设备和介质,以解决报文转发控制过程中的信任问题。
根据本发明的一方面,提供了一种报文转发控制方法,由转发服务器执行,所述方法包括:
获取源发方以接收方为目标而发起传输的原始报文;
对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;
获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;
如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文。
根据本发明的另一方面,提供了一种报文转发控制方法,由接收终端执行,所述方法包括:
获取转发服务器转发的加密报文;
向所述转发服务器提供控制凭证;
如果所述转发服务器确认所述控制凭证满足设定条件,则从所述转发服务器获取签名后的解密信息;
采用所述解密信息将所述加密报文解密为原始报文。
根据本发明的另一方面,提供了一种报文转发控制装置,应用在转发服务器上,所述装置包括:
原始报文获取模块,用于获取源发方以接收方为目标而发起传输的原始报文;
报文加密模块,用于对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;
控制凭证获取模块,用于获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;
解密信息发送模块,用于如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文。
根据本发明的另一方面,提供了一种报文转发控制装置,应用在接收终端上,所述装置包括:
加密报文获取模块,用于获取转发服务器转发的加密报文;
控制凭证提供模块,用于向所述转发服务器提供控制凭证;
解密信息获取模块,用于如果所述转发服务器确认所述控制凭证满足设定条件,则从所述转发服务器获取签名后的解密信息;
报文解密模块,用于采用所述解密信息将所述加密报文解密为原始报文。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的报文转发控制方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的报文转发控制方法。
本发明实施例的技术方案,转发服务器通过获取源发方以接收方为目标而发起传输的原始报文;对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文,解决了报文转发过程中源设备和目的设备不信任的问题,通过对原始报文进行加密形成加密报文,并将加密报文提供给接收方,同时获取源发方或接收方提供的控制凭证,通过控制凭证对报文转发进行证明,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行不可否认的证明,以及错误转发不可否认的证明,避免转发与否以及转发错误第三方无法判断的问题。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种报文转发控制方法的流程图;
图2是根据本发明实施例二提供的一种报文转发控制方法的流程图;
图3是根据本发明实施例三提供的一种报文转发控制方法的流程图;
图4是根据本发明实施例四提供的一种报文转发控制方法的流程图;
图5是根据本发明实施例四提供的一种报文发送的实现示例图;
图6是根据本发明实施例四提供的另一种报文发送的实现示例图;
图7是根据本发明实施例五提供的一种报文转发控制装置的结构示意图;
图8是根据本发明实施例六提供的一种报文转发控制装置的结构示意图;
图9是实现本发明实施例的报文转发控制方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“原始”、“加密”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种报文转发控制方法的流程图,本实施例可适用于在转发服务器向设备转发报文时对报文转发进行有效证明的情况,该方法可以由报文转发控制装置来执行,该报文转发控制装置可以采用硬件和/或软件的形式实现,该报文转发控制装置可配置于转发服务器中。如图1所示,该方法包括:
S101、获取源发方以接收方为目标而发起传输的原始报文。
在本实施例中,源发方即报文发送方,原始报文中可以包括报文头、报文内容、源端口、目的端口等信息,其中,报文头可以是以下任意一种IP包头、以太网包头、IP加UDP协议包头、IP加TCP包头。源发方在需要与接收方进行通信时,首先形成原始报文,原始报文中至少包括报文内容,还可以包括接收方的地址、端口等信息,以便确定报文转发的目的地。原始报文可以采用VPN转发模式进行转发,即通过在原始的报文外添加新的IP包头或UDP/TCP协议包头形成报文并通信传输隧道进行发送,转发服务器通过通信传输隧道接收原始报文。源发方与接收方之间的隧道包括源发方和转发服务器之间的隧道以及转发服务器与接收方之间隧道。在对原始报文进行传输时,可将原始报文内嵌在隧道报文中,即通过隧道报文对原始报文进行封装,以便原始报文可通过隧道传输至转发服务器。转发服务器在接收到内嵌了原始报文的隧道报文后,可通过对隧道报文进行报文解封装得到原始报文。
S102、对原始报文进行加密,以形成加密报文,并提供给接收方。
在本实施例中,加密报文可以通过预先设置的加密算法进行加密得到。加密算法可以是对称加密算法,例如,DES算法、AES算法等,也可以是非对称加密算法,例如,RSA算法、DSA算法等。
可以预先设置加密算法,在获得原始报文后,采用预先设置的算法对原始报文进行加密,形成加密报文并转发至接收方。还可以预先设置多种加密算法,在加密时随机选择一个加密算法对原始报文进行加密,或者,根据报文的大小、重要程度等选择合适的加密算法对原始报文进行加密。转发服务器在向接收方发送加密报文时,可以直接进行发送,也可以分片转发,即,如果加密报文的大小超出转发服务器与接收方之间的隧道协议的最大传输单元的限制,对加密报文进行分片转发。在加密报文较大时,可通过分片将较大的加密报文变成多个较小的报文,以便进行传输。如果转发服务器所提供给接收方的加密报文进行了分割,则在发送加密报文的同时还可以携带复原报文的复原信息,也可以单独向接收方发送复原信息,以便接收方根据复原信息对分片的报文进行复原。
源发方在向转发服务器提供原始报文时,还可以对原始报文进行序列化,每个报文均携带序列号,转发服务器根据原始报文的序列号进行加密和转发,并通过复原信息指示接收方接收到的加密报文对应的原始报文的序列号,接收方可以通过复原信息确定哪一部分报文分片对应原始报文的哪一个序号,并进一步实现对报文的复原。
本申请实施例在进行报文转发时,还可以通过NAT转发模式进行转发,即通过修改报文头的方式实现报文转发,即对原始报文的源目标地址和端口、协议等进行修改,原始报文中的报文内容不变,将原始报文内容加密后转发至接收方。此种方式进行转发时,如果对原始报文进行了分片,则需要转发服务器将原始报文的内容与所转发的加密报文之间的对应关系发送给接收方,以便接收方进行报文复原。
需要知道的是,本申请实施例中转发服务器获取原始报文并在加密后转发至接收方时,如果采用VPN方式进行转发,通常对每个报文添加报文序号,本申请可以根据外层隧道协议利用原外层隧道协议的序号,例如外层隧道是TCP传输,直接使用外层TCP序号作为每个加密报文的序号。
S103、获取源发方或接收方,针对原始报文的转发需求而提供的控制凭证。
在本实施例中,控制凭证具体可以理解为一种证明转发服务器与设备之间进行了报文转发的信息。控制凭证可用于实现对报文转发过程进行控制,例如,源发方向转发服务器提供控制凭证,转发服务器可以通过控制凭证判断是否向接收方发送解密信息,或者在什么时间向接收方发送解密信息,以便接收方根据解密信息进行解密,完成报文转发的完整流程;控制凭证还可以在报文转发过程中实现付费,例如,源发方或接收方向转发服务器进行付费,并通过控制凭证携带对转发需求支付费用的付费信息,实现付费转发目的。
源发方或接收方为转发服务器对原始报文的转发提供控制凭证可以是每次进行报文转发时均提供,例如,源发方每次向转发服务器发送原始报文后均产生控制凭证并进行主动发送,也可以由转发服务器在接收到原始报文后通过通信请求主动从源发方获取等;接收方在提供控制凭证时,可以是在接收到加密报文后生成并发送,也可以由转发服务器主动获取。源发方或接收方为转发服务器对原始报文的转发提供控制凭证还可以批量提供,不需要每次进行报文转发时均提供不同的控制凭证,例如,可以按照报文转发量提供控制凭证,例如,每100个原始报文共用一个控制凭证,或者,按照时长提供控制凭证,例如,1小时内的原始报文共用一个控制凭证,或者,同一会话中的所有原始报文共用一个控制凭证。当多个报文共用一个控制凭证时,可以由转发服务器保存控制凭证,例如,转发服务器保存控制凭证并对所转发的原始报文进行计数,当累计到100个后,记录控制凭证已失效,从源发方或接收方获取新的控制凭证并进行更新;当多个报文共用一个控制凭证时,也可以每次均由源发方或接收方反馈,源发方或接收方可以反馈相同的控制凭证。
S104、如果控制凭证满足设定条件,则向接收方发送签名后的解密信息;其中,解密信息用于将加密报文解密为原始报文。
在本实施例中,设定条件与控制凭证的类型相关,当控制凭证的作用为实现付费时,设定条件可以是付费合格;当控制凭证的作用为控制报文转发时,设定条件可以是确认转发指示,或者当前时间满足时间条件等。解密信息可以是解密密钥,解密方法等,解密信息根据加密方法确定,不同的加密算法所对应的解密信息可以不同。判断控制凭证是否满足设定条件,若满足设定条件,对解密信息进行签名,并将签名后的解密信息发送至接收方,以便接收方根据解密信息对加密报文进行解密,得到原始报文。解密信息采用转发服务器的私钥进行签名,以表明发送解密信息的主体身份为转发服务器。
本发明实施例提供了一种报文转发控制方法,转发服务器通过获取源发方以接收方为目标而发起传输的原始报文;对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文,解决了报文转发过程中源设备和目的设备不信任的问题,通过对原始报文进行加密形成加密报文,并将加密报文提供给接收方,同时获取源发方或接收方提供的控制凭证,通过控制凭证对报文转发进行证明,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行不可否认的证明,以及错误转发不可否认的证明,避免转发与否以及转发错误第三方无法判断的问题。
实施例二
图2为本发明实施例二提供的一种报文转发控制方法的流程图,本实施例在上述实施例的基础上进行细化。如图2所示,该方法包括:
S201、获取源发方以接收方为目标而发起传输的原始报文。
源发方在传输报文时,确定报文发送的目标,即接收方,并形成原始报文,通过原始报文携带数据信息。转发服务器获取原始报文,作为通信中转平台将原始报文转发至接收方。
S202、对原始报文进行加密,以形成加密报文,并提供给接收方。
转发服务器通过预设设置的加密算法对原始报文进行加密,得到加密报文并提供给接收方。
S203、根据加密报文产生加密报文特征凭证,并对加密报文特征凭证进行签名;其中,加密报文特征凭证用于唯一表征加密报文的内容。
在本实施例中,加密报文特征凭证具体可以理解为由转发服务器签名的用于核对后续实体收到的加密报文。本申请实施例中的加密报文特征凭证可用于唯一表征加密报文的内容。加密报文特征凭证中可以包括加密报文的全部内容,还可以包括加密报文的部分内容、大小等信息。按照预先设置的规则、算法等对加密报文进行处理,生成加密报文特征凭证,并通过签名算法对加密报文特征凭证进行数字签名,确定报文证特征的信息真实性和不可否认性以及签名者身份,避免身份伪造,解决转发服务器与接收方和源发方之间的不信任的问题。
作为本实施例的一个可选实施例,本可选实施例进一步将根据加密报文产生加密报文特征凭证优化为:对加密报文进行哈希计算,以获取加密报文的特征值作为加密报文特征凭证。
通过哈希算法对加密报文进行哈希计算,加密报文通过哈希算法变换为固定长度的消息摘要,得到的哈希值即为加密报文的特征值,将此特征值作为加密报文特征凭证。通过哈希计算得到加密报文特征凭证,可以实现特征凭证的唯一性和不可篡改性,进而提高转发服务器的可信度。或者也可以通过其他单向函数来对加密报文计算确定加密报文特征凭证。作为本实施例的一个可选实施例,本可选实施例进一步将对加密报文特征凭证进行签名优化为:采用转发服务器的私钥,对加密报文特征凭证进行签名;
其中,转发服务器的私钥为转发服务器的区块链账户私钥;
或,转发服务器的私钥动态更新私钥,公钥签名与加密报文特征凭证一并提供,公钥签名为转发服务器采用区块链账户私钥对转发服务器私钥所对应公钥进行签名而形成的。
本申请实施例在对加密报文特征凭证进行签名时,为保证签名的唯一性,采用转发服务器的私钥对加密报文特征凭证进行签名。转发服务器的私钥可以是转发服务器的区块链账户私钥,采用区块链账户私钥作为私钥可保证可信度。或者,转发服务器的私钥可以选择动态更新的方式进行实时更新,在动态更新私钥时,对私钥所对应的公钥进行签名。转发服务器采用区块链账户私钥对转发服务器私钥所对应公钥进行签名,形成公钥签名,保证公钥的可靠性,避免公钥发生篡改。并将公钥签名与加密报文特征凭证一并提供给接收方,也可以提供给源发方,本申请实施例以提供给接收方为例,接收方对公钥签名进行验签,确认动态更新的公钥,进而可以通过动态更新公钥对报文证明凭证进行校验。
本申请所述的私钥根据上下文应理解为:对被签名信息进行签名时的私钥,其所对应的公钥,是所在区块链(智能合约)可识别和可校验的对应于该账户的公钥或其派生公钥。例如,可采用区块链账户私钥进行签名,区块链可使用此账户的区块链账户公钥对签名信息进行校验来判断该签名是否来自该账户,或者,该账户在区块链上公示的本账户用于此转发目的而登记的公钥或派生公钥。例如,账户A在区块链上公示了用于转发控制的公钥K1,当A用其对应的私钥S1对信息X进行签名后的信息和X一起称为sign,提交K1和sign给区块链(智能合约),区块链(智能合约)可以根据这个公钥K1和sign来识别签名是否来自A。再例如,账户A在区块链上公示了用于转发控制的公钥K1,当A用其对应的私钥S1对派生公钥K2进行签名后信息加K2称为Sign1发给B,然后A用K2对应的私钥S2对Y进行签名后信息加Y称为sign2,则B可以提供K1、K2、sign2给区块链智能合约,智能合约可以根据这些信息来识别签名来自A。
S204、将加密报文特征凭证发送给接收方。
本申请实施例中转发服务器在形成加密报文之后生成并发送加密报文特征凭证,加密报文特征凭证可以在获取控制凭证之前或之后生成,本申请对比不进行限定,本实施例以在获取控制凭证之前生成为例。加密报文特征凭证可以与加密报文一起发送给接收方,也可以带外发送,即与加密报文分开发送。作为本实施例的一个可选实施例,本可选实施例进一步优化包括了原始报文中携带有源发方产生并签名的报文特征凭证,记为源发报文特征凭证。
在本实施例中,源发报文特征凭证具体可以理解为用于证明源发方所发出的原始报文的凭证信息。源发方根据原始报文产生源发报文特征凭证并进行签名,源发报文特征凭证的生成同样可以通过哈希计算得到,对报文特征凭证的签名同样可以采用源发服务器的私钥进行签名,私钥可以是源发方的区块链账户私钥,也可以是动态更新私钥,其实现原理与转发服务器生成加密报文特征凭证并签名的原理相同,本申请在此不再进行赘述。
源发方产生报文特征凭证并进行签名,记为源发报文特征凭证,并将其携带在原始报文中发送给转发服务器,转发服务器可通过对源发报文特征凭证进行验签,以确认身份,从而得到原始报文特征值,即源发方所提供的原始报文的特征值,进而对本执行设备通过哈希计算得到的特征值进行检测,避免转发错误的原始报文。
源发报文特征凭证还可以由转发服务器发送给接收方,可以带内发送,也可以带外发送。当带外发送时,由转发服务器对源发报文特征凭证再签名,因此,源发报文特征凭证具备源发方的签名以及转发服务器的签名;由带内发送时,由于转发服务器对加密报文的特征进行了签名,间接的对其中包含的源发报文特征凭证进行了签名。实现了转发服务器对原始报文的特征凭证的签名。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了获取源发方以接收方为目标而发起传输的原始报文之后,根据源发方提供的原始报文的特征值,对哈希计算出的特征值进行检查,如果特征值匹配则允许执行报文转发操作,否则通知源发方或丢弃原始报文。
转发服务器在获取原始报文的特征值后,还可以对原始报文进行验证,避免原始报文发生错误时转发错误的原始报文造成资源浪费的情况发生。转发服务器获取源发方所提供的原始报文的特征值,获取的方式可以是主动获取,例如,通过向源发方发送通信请求,请求获取原始报文的特征值,源发方在接收到此请求后向转发服务器反馈原始报文的特征值;或者源发方主动将原始报文的特征值发送给转发服务器,例如,在原始报文中携带原始报文的特征值,原始报文的特征值可以为源发报文特征凭证。转发服务器可根据源发方所发送的原始报文进行哈希计算,得到特征值,并将源发方所提供的原始报文的特征值,与本机所计算的特征值进行比较,若一致,则确定所接收到的原始报文正确,允许进行报文转发操作,否则原始报文错误,通知源发方报文错误,源发方可以判断是否重新发送原始报文,或者原始报文错误后直接丢弃原始报文。
S205、获取源发方或接收方,针对原始报文的转发需求而提供的控制凭证。
作为本实施例的一个可选实施例,本可选实施例进一步将获取接收方,针对原始报文的转发需求而提供的控制凭证优化为:获取接收方在收到加密报文后发送的确收凭证。
在本实施例中,确收凭证具体可以理解为确认已接收到加密报文的凭证信息,确收凭证可以是一条包括接收方已接收到加密报文的信息,也可以是接收方的付费信息,表明接收方为转发服务器对报文的转发进行了付费。接收方在接收到加密报文后,生成确收凭证并反馈给转发服务器。本申请中的确收凭证可以在收到加密报文后立即生成,也可以在收到加密报文后,根据加密报文生成特征值,比对特征值和加密报文特征凭证,如果吻合则生成确收凭证。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了控制凭证为接收方采用接收方私钥进行签名的控制凭证。
接收方在生成控制凭证时,为保证控制凭证不被篡改,通过接收方私钥对控制凭证进行签名。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了接收方私钥为接收方的区块链账户私钥。
将接收方的区块链账户私钥作为接收方私钥,可保证私钥的可靠性。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括接收方私钥为接收方动态更新的私钥,对应的签名公钥与经接收方私钥签名后的控制凭证一并提供;其中,签名公钥采用区块链账户私钥进行签名后形成。
接收方私钥可以动态更新,其对应的签名公钥与控制凭证一并提供给转发服务器。其中,签名公钥由接收方采用区块链账户私钥对接收方私钥对应的公钥进行签名得到。转发服务器可通过对签名公钥进行解密得到公钥,进而通过公钥对接收方所提供的控制凭证进行解密。
S206、如果控制凭证满足设定条件,则向接收方发送签名后的解密信息;其中,解密信息用于将加密报文解密为原始报文。
S207、如果控制凭证不满足设定条件,则拒绝向接收方发送解密信息。
判断控制凭证是否满足设定条件,若满足,则向接收方发送解密信息,接收方可根据解密信息对加密报文进行解密;若不满足,则拒绝向接收放发送解密信息,此时接收方无法对加密报文进行解密,此种情况下,接收方可重新发送控制凭证,以获取解密信息。
本申请实施例所生成的控制凭证、加密报文特征凭证、源发报文特征凭证、转发服务器签名的原始报文的特征凭证等凭证均可以进行区块链上链,由于凭证是区块链账户私钥或其派生的私钥的签名具备不可抵赖和篡改的属性,通过区块链上第三方角色例如智能合约即可对这些凭证进行校验。通过提交这些凭证特别是控制凭证上链可以记录转发报文的历史状态提供转发历史证据。进行区块链上链时可以选择固定的时间进行上链,也可以实时上链,可以将每个凭证均进行上链,也可以选择部分凭证进行上链。例如,针对加密报文特征凭证,对1000个加密报文特征凭证进行采样选择100个进行上链,或者每生成100个加密报文特征凭证,选择最后一个加密报文特征凭证进行上链。本申请实施例中的各个凭证可用于出现报文转发异常时进行复核验证,由于每个凭证均进行了签名,因此具有不可篡改性,保证了报文转发的可靠,转发服务器和其所服务的设备不必互相信任。复审验证可以由转发服务器、源发方和接收方中的任意一方发起,通过区块链的处理逻辑进行仲裁,确定复核结果,保证数据转发公平,例如可采用智能合约进行处理。服务服务器在接收方否认已转发的报文时,可向第三方提供接受方签名的控制凭证,控制凭据代表转发服务器所转发的加密报文接收方已经收到。
本发明实施例提供了一种报文转发控制方法,解决了报文转发过程中源设备和目的设备不信任的问题,通过转发服务器对原始报文进行加密形成加密报文,并将加密报文提供给接收方,同时获取源发方或接收方提供的控制凭证,控制凭证为接收方采用接收方私钥进行签名的控制凭证,保证了数据的可靠性和不可篡改性。通过生成加密报文特征凭证并进行签名,避免报文转发错误,并且在进行报文转发之前根据源发方提供的原始报文的特征值对哈希计算得到的特征值进行检查,有效避免转发错误的原始报文。避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行证明,降低报文转发错误或报文未转发所带来的损失。
实施例三
图3为本发明实施例三提供的一种报文转发控制方法的流程图,本实施例可适用于在接收方接收转发服务器所转发的报文时对报文进行接收以及验证的情况,该方法可以由报文转发控制装置来执行,该报文转发控制装置可以采用硬件和/或软件的形式实现,该报文转发控制装置可配置于接收终端中。如图3所示,该方法包括:
S301、获取转发服务器转发的加密报文。
接收方与转发服务器进行通信,获取转发服务器所发送的加密报文,接收方通过转发服务器实现与源发方之间的报文传输。
S302、向转发服务器提供控制凭证。
接收方在接收到加密报文后,生成控制凭证,控制凭证可以在通过加密报文特征凭证校验加密报文在传输过程没有被改动后生成。控制凭证可以每次接收到加密报文后均生成相应的控制凭证,也可以对于多个加密报文共用一个控制凭证,例如,1000个加密报文共用一个控制凭证,则当接收到第1个加密报文时,生成控制凭证发送给转发服务器后,同时对控制凭证进行保存,并对加密报文进行累计计数,当接收到第2-1000个加密报文时,获取所保存的控制凭证并提供给转发服务器。当接收到第1001个加密报文后,重新生成新的控制凭证。或者,在一段时间内所接收的加密报文采用同一个控制凭证,例如,1小时内所接收的加密报文采用同一个控制凭证,在生成控制凭证后记录控制凭证的生成时间,并每隔一小时进行一次更新,在接收到加密报文后,获取当前的控制凭证并提供给转发服务器。控制凭证可以包括接收方已收到加密报文的信息,确认转发服务器对加密报文的转发,还可以是接收方的付费信息,通过在付费信息中携带确认转发的证明。
S303、如果转发服务器确认控制凭证满足设定条件,则从转发服务器获取签名后的解密信息。
接收方通过向转发服务器提供控制凭证,由转发服务器确认控制凭证是否满足设定条件后,如果满足设定条件则向接收方反馈经过服务方签名的解密信息。接收方接收转发服务器在控制凭证满足设定条件时所反馈的解密信息。
S304、采用解密信息将加密报文解密为原始报文。
解密信息中可以包括解密密钥、解密方法等,在接收到解密信息后根据解密信息对加密报文进行解密,得到原始报文。
本发明实施例提供了一种报文转发控制方法,接收终端获取转发服务器转发的加密报文;向转发服务器提供控制凭证;如果转发服务器确认控制凭证满足设定条件,则从转发服务器获取解密信息;采用解密信息将加密报文解密为原始报文,解决了报文转发过程中源设备和目的设备不信任的问题,接收方通过向转发服务器提供控制凭证,对报文转发进行证明,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行证明,降低报文转发错误或报文未转发所带来的损失。
实施例四
图4为本发明实施例四提供的一种报文转发控制方法的流程图,本实施例在上述实施例的基础上进行细化。如图4所示,该方法包括:
S401、获取转发服务器转发的加密报文。
S402、从转发服务器获取加密报文特征凭证;其中,加密报文特征凭证用于唯一表征加密报文的内容。
接收方从转发服务器处获取加密报文特征凭证,加密报文特征凭证可唯一表征加密报文的内容,因此可通过加密报文证明凭证对所接收的加密报文进行验证。从转发服务器获取加密报文特征凭证可以是接收方主动发送请求获取,也可以由转发服务器主动向接收方发送。
本步骤还可以在提供控制凭证之前进行,与其他步骤在执行时没有严格的执行顺序。
S403、根据加密报文特征凭证,对接收到的加密报文进行内容验证。
接收方在接收到加密报文后,根据加密报文生成相应的特征值,将加密报文对应的特征值与转发服务器所提供的加密报文特征凭证进行比较,若匹配,则验证通过,若不匹配则验证不通过,此时转发服务器所发送的报文可能出现错误。当加密报文特征凭证为经过哈希计算得到的特征值时,对加密报文进行哈希计算,得到特征值,将两个特征值进行比较,判断验证是否通过。并在验证通过时执行S404。
S404、向转发服务器提供控制凭证。
作为本实施例的一个可选实施例,本可选实施例进一步将向转发服务器提供控制凭证优化为:在确认收到加密报文后,向转发服务器提供确收凭证,作为控制凭证。
接收方在接收到加密报文后,生成确收凭证并将确收凭证作为控制凭证发送给转发服务器,以便转发服务器确定接收方已接收到加密报文。确收凭证中可以包含报文接收时间、报文大小等信息,以便转发服务器确定接收方对加密报文的接收情况;也可以仅包含指示已接收到加密报文的信息,转发服务器在接收到确收凭证时仅可以确定接收方已接收到加密报文。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了控制凭证为接收方采用接收方私钥进行签名的控制凭证。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了接收方私钥为接收方的区块链账户私钥。
作为本实施例的一个可选实施例,本可选实施例进一步优化包括了接收方私钥为接收方动态更新的私钥,签名公钥与经接收方私钥签名后的控制凭证一并提供;其中,签名公钥采用区块链账户私钥进行签名后形成。
本申请实施例进一步对控制凭证的签名与签名时所采用的密钥进行了细化,其实现过程在上一实施例中已进行了详细描述,可参考上一实施例所描述的内容,本实施例在此不再进行赘述。
作为本实施例的一个可选实施例,本可选实施例进一步将向转发服务器提供控制凭证优化为:接收方,针对原始报文的转发需求,基于区块链部署程序产生的本地确收信息和签名,作为控制凭证,并向转发服务器提供控制凭证。
在本实施例中,区块链部署程序可以理解为可在区块链上实现相应功能的应用程序,区块链部署程序可部署在接收方所在终端设备上。本地确收信息具体可以理解为接收方确认本机已收到加密报文的信息,本地确收信息中同样可以仅包括指示已接收到加密报文的信息,还可以包含报文接收时间、报文大小等信息。接收方在接收到加密报文后,通过区块链部署程序生成本地确收信息,并对本地确收信息进行签名,防止数据被篡改。将签名后的本地确收信息作为控制凭证提供给转发服务器。本申请通过区块链部署程序产生本地确收信息并进行签名,无需额外开发应用程序,并且本地确收信息和签名作为控制凭证,直接提供给转发服务器,无需进行区块链上链,无需区块链上的节点进行处理,不会增加工作量。
S405、如果转发服务器确认控制凭证满足设定条件,则从转发服务器获取解密信息。
S406、采用解密信息将加密报文解密为原始报文。
S407、获取源发方基于原始报文产生的源发报文特征凭证,其中,源发报文特征凭证包括原始报文的哈希计算特征值。
源发报文特征凭证由源发方根据原始报文生成,源发报文特征凭证可由源发方进行签名,源发报文特征凭证为源发方所生成的唯一表明原始报文的内容。本申请实施例的源发报文特征可以通过哈希算法对原始报文进行哈希计算,将得到的特征值作为源发报文特征凭证,源发报文特征凭证中还可以携带其他信息,例如报文大小、发送时间、源发地址等。
作为本实施例的一个可选实施例,本可选实施例进一步优化还包括:获取源发方基于原始报文产生的源发报文特征凭证包括下述至少一种操作:
从源发方直接获取源发报文特征凭证。
从转发服务器加密的报文中获取源发报文特征凭证。
本实施例提供了多种接收方获取源发报文特征凭证的方式,可以从源发方直接获取,源发方还可以在原始报文中携带源发报文特征凭证,通过转发服务器加密并转发给接收方,接收方通过对加密报文解密获得原始报文,进一步从原始报文中解析得到源发报文特征凭证。源发报文特征凭证还可以存储在区块链中,接收方从区块链中查询获取源发方上链存储的源发报文特征凭证。
S408、根据源发报文特征凭证以及转发服务器提供的加密报文特征凭证对接收到的加密报文和解密后报文进行比对,以对原始报文进行内容验证。
在源发报文特征凭证以及转发服务器提供的报文特征凭证均进行了签名时,首先进行对源发报文特征凭证和转发服务器提供的报文特征凭证进行验签,以确认身份。
通过对转发服务器提供的加密报文特征凭证进行验签,确认身份,从而解密得到加密报文相应的特征值,对加密报文进行哈希计算,得到特征值,将此特征值与转发服务器提供的加密报文的加密报文特征凭证对应的特征值进行比对,如果一致则确定加密报文转发正确,否则加密报文转发错误,原因可能是转发服务器数据造假或者线路故障报文被篡改。如果报文转发正确,进一步对解密后的报文进行哈希计算得到特征值,与源发报文特征凭证中的特征值进行比对,如果一致则确定原始报文转发正确。在对加密报文和解密报文进行验证时,如果源发报文特征凭证或加密报***中还包括其他类型的信息,获取解密后报文的相应信息或加密报文的相应信息进行比较,确定是否一致,若一致则报文转发正确。
S409、如果内容验证不通过,则向区块链发起报文内容验证交易请求,以请求区块链节点进行报文内容验证复核处理;其中,报文内容验证交易请求包括接收方接收到的报文、解密信息、源发方提供的源发报文特征凭证、和转发服务器提供的报文特征凭证。
在本实施例中,报文内容验证交易请求具体可以理解为请求区块链对转发服务器的报文转发过程进行验证的请求。如果内容验证不通过,则转发服务器所转发的报文出现错误,接收方根据接收方接收到的报文、解密信息、源发方提供的源发报文特征凭证、和转发服务器提供的加密报文特征凭证形成报文内容验证交易请求并发送给区块链,通过区块链节点对报文内容进行验证复核处理。通过区块链节点的验证复核,可以判定报文转发异常的原因,例如,可以判定转发服务器是否正确转发报文,或者接收方是否正确对报文进行解密。通过源发报文特征凭证、转发服务器提供的加密报文特征凭证等可以确定源发方和转发服务器所发送的信息,由于源发方和转发服务器对各凭证均进行了签名,因此数据不可篡改,提高了数据可靠性,以便区块链节点进行复核,确定报文转发异常的原因。
需要知道的是,转发服务器、接收方和源发方任意一方在检测到报文转发异常时,也可以请求区块链进行对报文转发内容进行复核处理,根据原始报文、加密报文以及源发方提供的源发报文特征凭证、和接收方或源发方的控制凭证等信息形成验证请求,通过向区块链发起验证请求,请求区块链节点进行验证复核处理。并且,本申请中的源发方、转发服务器和接收方向外发送任意信息或报文时,均可以进行签名,对数据进行有效证明。在任意一方进行申诉时均可以通过签名后的数据进行数据转发证明。
本发明实施例提供了一种报文转发控制方法,接收终端通过向转发服务器提供控制凭证,进而获取采用解密信息将加密报文解密为原始报文,解决了报文转发过程中源设备和目的设备不信任的问题,接收方通过向转发服务器提供控制凭证,对报文转发进行特征,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行特征,降低报文转发错误或报文未转发所带来的损失。并且接收终端通过转发服务器提供的报文特征凭证和源发报文特征凭证可以实现对报文的验证,提高了报文的可靠性和安全性,在验证不通过时,还可以由区块链进行复核处理,保证了报文转发的可靠性,避免了不信任的问题。
示例性的,图5提供了一种报文发送的实现示例图,图5以带内传送各报文特征凭证为例。源发方确定所需要发送的原始报文,原始报文包括报头和内容,原始报文可以由可证明转发网卡进行发送。可证明转发网卡通过对原始报文进行处理和转发。当原始报文需要***序号,则将序号***到报头和内容中,图中以原始报文包括序号为例。通过对原始报文计算特征值,确定源发报文特征值,并进行签名,得到源发报文特征凭证,将源发报文特征凭证写入到原始报文中,同时增加新报头1,并发送给转发服务器。
转发服务器在接收到包含原始报文的报文后,去掉新加报头1,得到原始报文,并对所接收到的原始报文进行校验,校验接收到的报文是否正确,若正确则对原始报文进行加密,形成加密报文;若错误,则丢弃报文或与告知源发方报文错误。对于加密报文计算特征值,得到加密报文特征值,并进行签名,得到加密报文特征凭证。将加密报文特征凭证与加密报文同时打包,并添加新报头2,发送至接收方。
接收方对所接收到的报文进行处理,却掉新加报头2,得到加密报文特征凭证与加密报文。接收方对所接收到的报文进行校验,校验接收到的报文是否正确,若正确则进行签名,生成控制凭证,并发送给转发服务器;若错误,则丢弃或告知转发服务器报文错误。
转发服务器接收控制凭证,并校验控制凭证是否满足设定条件,若满足则生成签名后的解密信息,并发送给接收方。
接收方在接收到签名后的解密信息后,对加密报文进行解密,得到包括源发报文特征凭证、报头、序号和内容的报文数据。接收方根据源发报文特征凭证对解密后报文进行验证,若正确则可以进入下一次循环,若不正确则进入申诉。
示例性的,图6提供了另一种报文发送的实现示例图,图6以带外传送各报文特征凭证为例。源发方根据原始报文确定源发报文特征凭证,并发送给转发服务器,转发服务器对源发报文特征凭证进行再签名,并发送给接收方。源发服务器形成包括新报头1、报文、序号和内容的报文并发送给转发服务器。其中,源发报文特征凭证的生成原理与图5中源发报文特征凭证的生成原理相同,在此不再进行赘述。
转发服务器在接收到包含原始报文的报文后,去掉新加报头1,得到原始报文,并对所接收到的原始报文进行校验,校验接收到的报文是否正确,若正确则对原始报文进行加密,形成加密报文;若错误,则丢弃报文或与告知源发方报文错误,图6中未示出,本领域技术人员可以知晓。对于加密报文计算特征值,得到加密报文特征值,并进行签名,得到加密报文特征凭证。将加密报文特征凭证与加密报文分别发送至接收方。
接收方对所接收到的报文进行处理,却掉新加报头2,得到加密报文。接收方对所接收到的报文进行校验,校验接收到的报文是否正确,若正确则进行签名,生成控制凭证,并发送给转发服务器;若错误,则可以采用特殊的方法进行处理、丢弃或告知转发服务器报文错误。
转发服务器接收控制凭证,并校验控制凭证是否满足设定条件,若满足则生成签名后的解密信息,并发送给接收方。
接收方在接收到签名后的解密信息后,对加密报文进行解密,得到包括源发报文特征凭证、报头、序号和内容的报文数据。接收方根据源发报文特征凭证对解密后报文进行验证,若正确则可以进入下一次循环,若不正确则进入申诉。
由图6可知,源发方、转发服务器以及接收方在发送给各报文特征凭证时,可以将报文特征凭证与报文分开发送。
本发明各实施例所提供的技术方案中,当源发方、转发服务器、接收方,需要给其他方发送信息时,优选均可以对发送信息进行签名,以便表明自己的身份,能够供对端基于签名来验证身份。
实施例五
图7为本发明实施例五提供的一种报文转发控制装置的结构示意图,应用在转发服务器上。如图7所示,该装置包括:原始报文获取模块51、报文加密模块52、控制凭证获取模块53和解密信息发送模块54。
其中,原始报文获取模块51,用于获取源发方以接收方为目标而发起传输的原始报文;
报文加密模块52,用于对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;
控制凭证获取模块53,用于获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;
解密信息发送模块54,用于如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文。
本发明实施例提供了一种报文转发控制装置,解决了报文转发过程中源设备和目的设备不信任的问题,通过对原始报文进行加密形成加密报文,并将加密报文提供给接收方,同时获取源发方或接收方提供的控制凭证,通过控制凭证对报文转发进行证明,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行证明,降低报文转发错误或报文未转发所带来的损失。
可选的,控制凭证获取模块53具体用于获取所述接收方在收到所述加密报文后发送的确收凭证。
可选的,所述控制凭证为所述接收方采用接收方私钥进行签名的控制凭证。
可选的,所述接收方私钥为所述接收方的区块链账户私钥。
可选的,所述接收方私钥为所述接收方动态更新的私钥,对应的签名公钥与经所述接收方私钥签名后的控制凭证一并提供;其中,所述签名公钥采用区块链账户私钥进行签名后形成。
可选的,该装置还包括:
凭证签名模块,用于在对所述原始报文进行加密,以形成加密报文之后,根据所述加密报文产生加密报文特征凭证,并对所述加密报文特征凭证进行签名;其中,所述加密报文特征凭证用于唯一表征所述加密报文的内容;
凭证发送模块,用于将所述加密报文特征凭证发送给所述接收方。
可选的,凭证签名模块,具体用于对所述加密报文进行哈希计算,以获取所述加密报文的特征值作为所述加密报文特征凭证。
可选的,所述原始报文中携带有所述源发方产生并签名的报文特征凭证,记为源发报文特征凭证。
可选的,凭证签名模块,具体用于采用所述转发服务器的私钥,对所述加密报文特征凭证进行签名;
其中,所述转发服务器的私钥为所述转发服务器的区块链账户私钥;
或,所述转发服务器的私钥动态更新私钥,公钥签名与所述加密报文特征凭证一并提供,所述公钥签名为所述转发服务器采用区块链账户私钥对所述转发服务器私钥所对应公钥进行签名而形成的。
可选的,该装置还包括:
报文检查模块,用于在获取源发方以接收方为目标而发起传输的原始报文之后,根据源发方提供的所述原始报文的特征值,对哈希计算出的特征值进行检查,如果特征值匹配则允许执行报文转发操作,否则通知所述源发方或丢弃所述原始报文。
可选的,解密信息发送模块54,还用于如果所述控制凭证不满足设定条件,则拒绝向所述接收方发送解密信息。
本发明实施例所提供的报文转发控制装置可执行本发明实施例一或实施例二所提供的报文转发控制方法,具备执行方法相应的功能模块和有益效果。
实施例六
图8为本发明实施例六提供的一种报文转发控制装置的结构示意图,应用在接收终端上。如图8所示,该装置包括:解密报文获取模块61、控制凭证提供模块62、解密信息获取模块63和报文解密模块64。
其中,加密报文获取模块61,用于获取转发服务器转发的加密报文;
控制凭证提供模块62,用于向所述转发服务器提供控制凭证;
解密信息获取模块63,用于如果所述转发服务器确认所述控制凭证满足设定条件,则从所述转发服务器获取签名后的解密信息;
报文解密模块64,用于采用所述解密信息将所述加密报文解密为原始报文。
本发明实施例提供了一种报文转发控制装置,解决了报文转发过程中源设备和目的设备不信任的问题,接收方通过向转发服务器提供控制凭证,对报文转发进行证明,避免了零信任环境下,转发服务器和设备之间互相不信任的问题,在实现报文转发的同时,有效对转发进行证明,降低报文转发错误或报文未转发所带来的损失。
可选的,控制凭证提供模块62,具体用于在确认收到所述加密报文后,向所述转发服务器提供确收凭证,作为所述控制凭证。
可选的,所述控制凭证为所述接收方采用接收方私钥进行签名的控制凭证。
可选的,所述接收方私钥为所述接收方的区块链账户私钥。
可选的,所述接收方私钥为所述接收方动态更新的私钥,签名公钥与经所述接收方私钥签名后的控制凭证一并提供;其中,所述签名公钥采用区块链账户私钥进行签名后形成。
可选的,控制凭证提供模块62,具体用于:所述接收方,针对所述原始报文的转发需求,基于区块链部署程序产生的本地确收信息和签名,作为所述控制凭证,并向所述转发服务器提供所述控制凭证。
可选的,该装置还包括:
特征凭证获取模块,用于从所述转发服务器获取加密报文特征凭证;其中,所述加密报文特征凭证用于唯一表征所述加密报文的内容;
第一报文验证模块,用于根据所述加密报文特征凭证,对接收到的加密报文进行内容验证。
可选的,该装置还包括:
源发凭证获取模块,用于获取所述源发方基于所述原始报文产生的源发报文特征凭证,其中,所述源发报文特征凭证包括所述原始报文的哈希计算特征值;
第二报文验证模块,用于根据所述源发报文特征凭证以及所述转发服务器提供的报文特征凭证对接收到的加密报文和解密后报文进行比对,以对所述原始报文进行内容验证。
可选的,该装置还包括:
验证请求发送模块,用于在对所述原始报文进行内容验证之后,如果内容验证不通过,则向区块链发起报文内容验证交易请求,以请求区块链节点进行报文内容验证复核处理;其中,所述报文内容验证交易请求包括所述接收方接收到的报文、解密信息、所述源发方提供的源发报文特征凭证、和所述转发服务器提供的加密报文特征凭证。
可选的,获取所述源发方基于所述原始报文产生的源发报文特征凭证包括下述至少一种操作:
从所述源发方直接获取所述源发报文特征凭证;
从所述转发服务器加密的报文中获取所述源发报文特征凭证。
本发明实施例所提供的报文转发控制装置可执行本发明实施例三或实施例四所提供的报文转发控制方法,具备执行方法相应的功能模块和有益效果。
实施例七
图9示出了可以用来实施本发明的实施例的电子设备70的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图9所示,电子设备70包括至少一个处理器71,以及与至少一个处理器71通信连接的存储器,如只读存储器(ROM)72、随机访问存储器(RAM)73等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器71可以根据存储在只读存储器(ROM)72中的计算机程序或者从存储单元78加载到随机访问存储器(RAM)73中的计算机程序,来执行各种适当的动作和处理。在RAM 73中,还可存储电子设备70操作所需的各种程序和数据。处理器71、ROM 72以及RAM 73通过总线74彼此相连。输入/输出(I/O)接口75也连接至总线74。
电子设备70中的多个部件连接至I/O接口75,包括:输入单元76,例如键盘、鼠标等;输出单元77,例如各种类型的显示器、扬声器等;存储单元78,例如磁盘、光盘等;以及通信单元79,例如网卡、调制解调器、无线通信收发机等。通信单元79允许电子设备70通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器71可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器71的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器71执行上文所描述的各个方法和处理,例如报文转发控制方法。
在一些实施例中,报文转发控制方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元78。在一些实施例中,计算机程序的部分或者全部可以经由ROM 72和/或通信单元79而被载入和/或安装到电子设备70上。当计算机程序加载到RAM 73并由处理器71执行时,可以执行上文描述的报文转发控制方法的一个或多个步骤。备选地,在其他实施例中,处理器71可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行报文转发控制方法。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在电子设备为转发服务器的情况下,上述提供的设备可设置为执行上述任意实施例提供的应用于转发服务器的报文转发控制方法,具备相应的功能和效果。
在电子设备为接收终端的情况下,上述提供的设备可设置为执行上述任意实施例提供的应用于接收终端的报文转发控制方法,具备相应的功能和效果。
本申请实施例提供的包含计算机指令的存储介质,计算机指令在由计算机处理器执行时用于执行一种应用于转发服务器的报文转发控制方法,该方法包括:获取源发方以接收方为目标而发起传输的原始报文;对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;如果所述控制凭证满足设定条件,则向所述接收方发送解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文。
本申请实施例提供的包含计算机指令的存储介质,计算机指令在由计算机处理器执行时用于执行一种应用于接收终端的报文转发控制方法,该方法包括:获取转发服务器转发的加密报文;向所述转发服务器提供控制凭证;如果所述转发服务器确认所述控制凭证满足设定条件,则从所述转发服务器获取解密信息;采用所述解密信息将所述加密报文解密为原始报文。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的***和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (25)
1.一种报文转发控制方法,其特征在于,由转发服务器执行,所述方法包括:
获取源发方以接收方为目标而发起传输的原始报文;
对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;
获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;
如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文。
2.根据权利要求1所述的方法,其特征在于,获取所述接收方,针对所述原始报文的转发需求而提供的控制凭证包括:
获取所述接收方在收到所述加密报文后发送的确收凭证。
3.根据权利要求1或2所述的方法,其特征在于,所述控制凭证为所述接收方采用接收方私钥进行签名的控制凭证。
4.根据权利要求3所述的方法,其特征在于,所述接收方私钥为所述接收方的区块链账户私钥。
5.根据权利要求3所述的方法,其特征在于,所述接收方私钥为所述接收方动态更新的私钥,对应的签名公钥与经所述接收方私钥签名后的控制凭证一并提供;其中,所述签名公钥采用区块链账户私钥进行签名后形成。
6.根据权利要求1所述的方法,其特征在于,对所述原始报文进行加密,以形成加密报文之后,还包括:
根据所述加密报文产生加密报文特征凭证,并对所述加密报文特征凭证进行签名;其中,所述加密报文特征凭证用于唯一表征所述加密报文的内容;
将所述加密报文特征凭证发送给所述接收方。
7.根据权利要求6所述的方法,其特征在于,根据所述加密报文产生加密报文特征凭证包括:
对所述加密报文进行哈希计算,以获取所述加密报文的特征值作为所述加密报文特征凭证。
8.根据权利要求1或6所述的方法,其特征在于,所述原始报文中携带有所述源发方产生并签名的报文特征凭证,记为源发报文特征凭证。
9.根据权利要求6所述的方法,其特征在于,对所述加密报文特征凭证进行签名包括:
采用所述转发服务器的私钥,对所述加密报文特征凭证进行签名;
其中,所述转发服务器的私钥为所述转发服务器的区块链账户私钥;
或,所述转发服务器的私钥动态更新私钥,公钥签名与所述加密报文特征凭证一并提供,所述公钥签名为所述转发服务器采用区块链账户私钥对所述转发服务器私钥所对应公钥进行签名而形成的。
10.根据权利要求8所述的方法,其特征在于,所述获取源发方以接收方为目标而发起传输的原始报文之后,还包括:
根据源发方提供的所述原始报文的特征值,对哈希计算出的特征值进行检查,如果特征值匹配则允许执行报文转发操作,否则通知所述源发方或丢弃所述原始报文。
11.根据权利要求1所述的方法,其特征在于,还包括:
如果所述控制凭证不满足设定条件,则拒绝向所述接收方发送解密信息。
12.一种报文转发控制方法,其特征在于,由接收终端执行,所述方法包括:
获取转发服务器转发的加密报文;
向所述转发服务器提供控制凭证;
如果所述转发服务器确认所述控制凭证满足设定条件,则从所述转发服务器获取签名后的解密信息;
采用所述解密信息将所述加密报文解密为原始报文。
13.根据权利要求12所述的方法,其特征在于,向所述转发服务器提供控制凭证包括:
在确认收到所述加密报文后,向所述转发服务器提供确收凭证,作为所述控制凭证。
14.根据权利要求12或13所述的方法,其特征在于,所述控制凭证为所述接收方采用接收方私钥进行签名的控制凭证。
15.根据权利要求14所述的方法,其特征在于,所述接收方私钥为所述接收方的区块链账户私钥。
16.根据权利要求14所述的方法,其特征在于,所述接收方私钥为所述接收方动态更新的私钥,签名公钥与经所述接收方私钥签名后的控制凭证一并提供;其中,所述签名公钥采用区块链账户私钥进行签名后形成。
17.根据权利要求12或13所述的方法,其特征在于,向所述转发服务器提供控制凭证包括:
所述接收方,针对所述原始报文的转发需求,基于区块链部署程序产生的本地确收信息和签名,作为所述控制凭证,并向所述转发服务器提供所述控制凭证。
18.根据权利要求12所述的方法,其特征在于,还包括:
从所述转发服务器获取加密报文特征凭证;其中,所述加密报文特征凭证用于唯一表征所述加密报文的内容;
根据所述加密报文特征凭证,对接收到的加密报文进行内容验证。
19.根据权利要求18所述的方法,其特征在于,还包括:
获取源发方基于所述原始报文产生的源发报文特征凭证,其中,所述源发报文特征凭证包括所述原始报文的哈希计算特征值;
根据所述源发报文特征凭证以及所述转发服务器提供的加密报文特征凭证对接收到的加密报文和解密后报文进行比对,以对所述原始报文进行内容验证。
20.根据权利要求18或19所述的方法,其特征在于,在对所述原始报文进行内容验证之后,还包括:
如果内容验证不通过,则向区块链发起报文内容验证交易请求,以请求区块链节点进行报文内容验证复核处理;其中,所述报文内容验证交易请求包括所述接收方接收到的报文、解密信息、源发方提供的源发报文特征凭证、和所述转发服务器提供的加密报文特征凭证。
21.根据权利要求18所述的方法,其特征在于,获取源发方基于所述原始报文产生的源发报文特征凭证包括下述至少一种操作:
从所述源发方直接获取所述源发报文特征凭证;
从所述转发服务器加密的报文中获取所述源发报文特征凭证。
22.一种报文转发控制装置,其特征在于,应用在转发服务器上,所述装置包括:
原始报文获取模块,用于获取源发方以接收方为目标而发起传输的原始报文;
报文加密模块,用于对所述原始报文进行加密,以形成加密报文,并提供给所述接收方;
控制凭证获取模块,用于获取所述源发方或所述接收方,针对所述原始报文的转发需求而提供的控制凭证;
解密信息发送模块,用于如果所述控制凭证满足设定条件,则向所述接收方发送签名后的解密信息;其中,所述解密信息用于将所述加密报文解密为原始报文。
23.一种报文转发控制装置,其特征在于,应用在接收终端上,所述装置包括:
加密报文获取模块,用于获取转发服务器转发的加密报文;
控制凭证提供模块,用于向所述转发服务器提供控制凭证;
解密信息获取模块,用于如果所述转发服务器确认所述控制凭证满足设定条件,则从所述转发服务器获取签名后的解密信息;
报文解密模块,用于采用所述解密信息将所述加密报文解密为原始报文。
24.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-21中任一项所述的报文转发控制方法。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-21中任一项所述的报文转发控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211073580.8A CN115426187A (zh) | 2022-09-02 | 2022-09-02 | 一种报文转发控制方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211073580.8A CN115426187A (zh) | 2022-09-02 | 2022-09-02 | 一种报文转发控制方法、装置、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115426187A true CN115426187A (zh) | 2022-12-02 |
Family
ID=84202875
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211073580.8A Pending CN115426187A (zh) | 2022-09-02 | 2022-09-02 | 一种报文转发控制方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115426187A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150595A (zh) * | 2007-11-13 | 2008-03-26 | 腾讯科技(深圳)有限公司 | 一种实时文件传输方法、***及装置 |
CN105164968A (zh) * | 2013-04-25 | 2015-12-16 | 瑞保企业 | 由至少一个服务器执行的用于处理从第一计算装置到第二计算装置的数据分组以允许端到端加密通信的方法 |
CN107070879A (zh) * | 2017-02-15 | 2017-08-18 | 北京深思数盾科技股份有限公司 | 数据保护方法及*** |
CN107395567A (zh) * | 2017-06-16 | 2017-11-24 | 深圳市盛路物联通讯技术有限公司 | 一种基于物联网的设备使用权限获取方法及*** |
-
2022
- 2022-09-02 CN CN202211073580.8A patent/CN115426187A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150595A (zh) * | 2007-11-13 | 2008-03-26 | 腾讯科技(深圳)有限公司 | 一种实时文件传输方法、***及装置 |
CN105164968A (zh) * | 2013-04-25 | 2015-12-16 | 瑞保企业 | 由至少一个服务器执行的用于处理从第一计算装置到第二计算装置的数据分组以允许端到端加密通信的方法 |
CN107070879A (zh) * | 2017-02-15 | 2017-08-18 | 北京深思数盾科技股份有限公司 | 数据保护方法及*** |
CN107395567A (zh) * | 2017-06-16 | 2017-11-24 | 深圳市盛路物联通讯技术有限公司 | 一种基于物联网的设备使用权限获取方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111567014B (zh) | Https事务中的中间人检测 | |
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及*** | |
US9313033B2 (en) | Derived certificate based on changing identity | |
CN110890962B (zh) | 认证密钥协商方法、装置、存储介质及设备 | |
EP2329621B1 (en) | Key distribution to a set of routers | |
AU2016369606A1 (en) | Systems and methods for secure multi-party communications using a proxy | |
EP2596596B1 (en) | Automated provisioning of a network appliance | |
EP2290895A1 (en) | Method, system and device for negotiating security association (sa) in ipv6 network | |
CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
WO2018177905A1 (en) | Hybrid key exchange | |
Igoe et al. | X. 509v3 certificates for secure shell authentication | |
CN107547559B (zh) | 一种报文处理方法及装置 | |
US10911581B2 (en) | Packet parsing method and device | |
CA2986401C (en) | Authenticating a system based on a certificate | |
CN106254355B (zh) | 一种网络协议数据包的安全处理方法和*** | |
US20140331287A1 (en) | Authentication policy enforcement | |
CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
CN108075895B (zh) | 一种基于区块链的节点许可方法和*** | |
CN107534552B (zh) | 在服务器设备、客户端设备处执行的方法及服务器设备 | |
CN115426187A (zh) | 一种报文转发控制方法、装置、设备和介质 | |
CN105592054B (zh) | 一种lsp报文的处理方法和装置 | |
CN114567450A (zh) | 一种协议报文处理方法及装置 | |
EP2600647B1 (en) | Derived certificate based on changing identity | |
WO2010124549A1 (zh) | 获取公钥的方法、装置和*** | |
CN109150919B (zh) | 一种网络防攻击的方法及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |