通信系統、驗證設備、報文身份的驗證及籤名方法

2023-06-03 00:48:41 4

專利名稱：通信系統、驗證設備、報文身份的驗證及籤名方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種通信系統、驗證設備、報文身份的驗證及籤名方法。
背景技術：
為減輕網絡的負載以及消除網絡安全隱患，承載網絡需要對進入網絡的報文進行 驗證，防止大量的非法報文對網絡造成衝擊和消耗，保證合法流量報文得到順暢地承載。目前，可以採用IP位址捆綁的方式來執行對報文的驗證。例如在DSLAM等節點 配置地址綁定表，當該節點接收到IP報文時，查找該地址綁定表中是否綁定有該IP報文的 源地址，如果有，驗證該IP報文合法，允許該IP報文通過；否則，過濾掉該IP報文。發明人發現現有的IP位址捆綁技術至少存在如下問題現有的地址捆綁方式只是針對點對點接入提供簡單的報文驗證，難以提供移動接 入以及PON(Passive Optical Network，無源光網絡)、無線廣播式接入的報文的驗證，同時 難以滿足未來網絡對報文驗證的安全級別要求。

發明內容
本發明實施例提供一種通信系統、驗證設備、報文身份的驗證及籤名方法，提供來 自移動接入以及Ρ0Ν、無線廣播式接入的用戶發送的報文身份驗證，滿足未來網絡對報文驗 證的安全級別要求。為達到上述目的，本發明的實施例採用如下技術方案一方面，提供一種報文身份驗證方法，包括接收報文，獲取所述報文的第一籤名值和身份標識；根據所述身份標識獲取對所述報文進行驗證的共享關鍵字；根據所述共享關鍵字計算所述報文的第二籤名值；比較所述第二籤名值和所述第一籤名值，如果所述第二籤名值和所述第一籤名值 一致，所述報文為合法報文，對所述的報文進行轉發處理；否則，所述IP報文為非法報文， 所述報文進行過濾處理。一方面，提供一種報文身份的籤名方法，包括根據待籤名的報文的身份標識獲取對所述待籤名的報文籤名的共享關鍵字；根據所述的共享關鍵字計算所述待籤名的報文的第一籤名值；發送攜帶有所述第一籤名值的報文。一方面，提供一種驗證設備，包括接收解析模塊，用於接收報文，獲取所述報文的第一籤名值和身份標識；第二籤名值模塊，用於獲取與所述接收解析模塊得到身份標識對應的共享關鍵 字，根據所述共享關鍵字計算所述接收解析模塊接收到的報文的第二籤名值；比較處理模塊，用於比較所述第二籤名值和所述第一籤名值，如果所述第二籤名值和所述第一籤名值一致，所述報文為合法報文；否則，所述IP報文為非法報文。一方面，提供通信系統，包括籤名設備和驗證設備；其中
所述籤名設備，用於根據待籤名報文的身份標識獲取對所述待籤名報文進行籤名 的共享關鍵字，根據所述共享關鍵字計算所述待籤名報文的第一籤名值，向所述驗證設備 發送攜帶有所述第一籤名值的報文；所述驗證設備，用於接收所述籤名設備發送的攜帶第一籤名值的報文，獲取所述 報文第一籤名值和身份標識，根據所述身份標識獲取對所述報文進行驗證的共享關鍵字， 根據所述共享關鍵字計算所述報文的第二籤名值，比較所述第二籤名值和所述第一籤名 值，如果所述第二籤名值和所述第一籤名值一致，所述報文為合法報文；否則，所述IP報文 為非法報文。本發明實施例提供的通信系統、驗證設備、報文身份的驗證及籤名方法，根據共享 關鍵字驗證籤名後的報文的身份是否合法，提供來自移動接入以及Ρ0Ν、無線廣播式接入 的用戶終端發送的報文的身份驗證，滿足未來網絡對報文身份驗證的安全高級要求，同時 採用共享關鍵字籤名方式提高了報文身份驗證效率，降低了對設備性能要求而降低設備成 本。


圖1為本發明實施例提供的設置或更新共享關鍵字的流程示意圖；圖2為本發明實施例提供的共享關鍵字指示項的內容示意圖；圖3為本發明實施例提供的報文身份的籤名方法的流程圖；圖4為本發明實施例提供的攜帶身份籤名選項的IPv6報文示意圖；圖5為本發明實施例提供的攜帶身份籤名選項的Ipv4報文示意圖；圖6為本發明實施例提供的IP AH選項作為身份籤名選項的內容示意圖；圖7為本發明實施例提供的報文身份的驗證方法的流程圖；圖8為本發明實施例提供的可用於身份驗證的通信系統的架構圖；圖9為本發明實施例提供的籤名設備的架構圖；圖10為本發明實施例提供的驗證設備的架構圖。
具體實施例方式下面結合附圖對本發明實施例提供的通信系統、驗證設備、報文身份的驗證及籤 名方法進行詳細描述。本實施例首先提供一種報文身份的籤名及驗證方法，該方法應用於由籤名設備 (例如主機、駐地網關等)和驗證設備(例如運營商網絡的邊緣設備)組成的通信系統 中。籤名設備獲取待籤名報文的身份標識，該身份標識具體包括源IP位址、源IP位址前綴、 源MAC(媒體訪問控制)地址、鏈路標識等。鏈路標識包括VLAN、PVC、流標籤等，根據身份 標識獲取其對應的共享關鍵字，使用共享關鍵字對待籤名的報文進行籤名，然後發送包含 籤名值的報文，驗證設備則根據收到的報文的身份標識對應共享關鍵字對收到的包含籤名 值的報文執行驗證，如果收到的報文為合法報文則轉發處理報文，如果收到的報文為非法 報文，則過濾處理所述的報文。
本實施例中的報文包括IP報文、乙太網報文等。本申請文件將所述的共享關鍵字記為S-Key(Share-key)，S-Key是籤名設備和驗證設備通過靜態配置或動態協商配置的。 動態協商配置包括採用ND (Neighbor Discovery,鄰居發現)協議或DHCP (動態主機配置協 議)協議動態協商配置。下面首先描述動態協商配置籤名設備發送籤名報文和驗證設備進行報文驗證需 要的S-Key。如圖2所示，籤名設備和驗證設備通過SeND (SEcure NeighborDiscovery，安 全鄰居發現)協議協商配置S-Key，包括S101，籤名設備產生一對非對稱密鑰，該密鑰對包括一個公鑰(Public-key)和 一個私鑰(Private-key)。例如本示例中簽名設備A產生公鑰為Public-key A和私鑰 Private_key_A0S102，籤名設備發送RS (Router Solicitation，路由請求)消息，該消息攜帶SeND 的 CGA(Cryptographically Generated Addresses，力口密方式產生地址)項，RSA(Rivest ShamirAdlemen，一種加密和驗證體系)籤名項。其中，CGA項包含Public-key ；RSA籤名項 包括籤名設備使用Private-key的籤名。RS消息還包括身份標識，身份標識具體包括源IP 地址、源IP位址前綴、源MAC (媒體訪問控制)地址、鏈路標識等。鏈路標識包括VLAN、PVC、 流標籤等。其中，RS消息中還可以進一步包括S-Key指示項，S-Key指示項的內容如圖2所 示Type 用於標識S-Key指示項的類型。Length 以4位元組為單位的長度，標識指示項長度。State 可以用於說明S-Key是用於首次申請還是更新申請。通常用「0」表示首次 申請，用「1」表示更新申請。Hash algorithm 用於指示當S_key用於報文籤名時，所採用的籤名算法。該籤 名算法包括但不限於HMAC_SHA1、HMAC_SHA256或MD5或AES等算法。例如「 1 」表示HMAC_ SHAl，「 2 」 表示 HMAC_SHA256，「 4」 表示 MD5，「9 」 表示 AES。Reserved 保留以備後續使用。Shared Key Lifetime 用於表示S-Key的生命周期。單位可以為秒。Encrypted Shared Key 用於攜帶公鑰加密的 S_key，當 Shared Key Lifetime 的 值為0時，Encrypted Shared Key項內容無效。例如籤名設備發送的RS消息中的指示項的State欄位為0 ；Hash algorithm欄位 設置為「4」選用MD5方式；Shared Key Lifetime欄位設置為0。S103，驗證設備收到籤名設備發送過來的RS消息後，如果驗證設備校驗RS消息的 RSA籤名成功，可以解析RS消息，獲取並保存Public-key、身份標識等信息，繼續步驟S104， 如果驗證設備校驗RS消息RSA籤名失敗，則忽略或丟棄該RS消息。S104,驗證設備發送RA(RouterAdertisement，路由通告)消息，該RA消息包括 S-Key、S-Key生命周期、籤名算法等。驗證設備一般通過S-Key指示項攜帶該驗證設備用 籤名設備的公鑰加密後的S-Key。本示例中，籤名設備A發送的RS消息中的State為0，則驗證設備生成共享關鍵字 的S_Key_A，並把S_Key_A作為籤名設備發送的報文的身份標識對應共享關鍵字保存在驗證設備上，如建立身份標識與該共享關鍵字之間的映射關係，同時設置S-Key A的生命周期 為120秒、以及設置籤名算法為MD5。表1描述了驗證設備存儲的共享關鍵字與身份標識映 射關係。表 1 當籤名設備A發送的RS消息中的State為1時，驗證設備生成新的共享關鍵字 S_Key_A，並刷新身份標識與共享關鍵字之間的映射關係，同時可以更新的共享關鍵字的生 命周期為120秒。例如驗證設備設置圖2所示的S-Key指示項的Hash algorithm欄位為「4」，表 示採用MD5方式驗證源地址；Shared Key Lifetime欄位設置為120 ；EncryptedShared Key 欄位設置為採用籤名設備A的公鑰Public-Key_A應用RSAES_PKCSl_vl_5法則加密S_Key_ A後的值。S105，籤名設備收到驗證設備的RA消息後，獲取RA消息包含的S-Key，並保存該 S-Key、S-Key的生命周期、籤名算法等與身份標識的映射關係，如表2所示。表 2 例如籤名設備A根據驗證設備發送的RA消息中的S-Key指示項的Encrypted Shared Key欄位，應用RSAES_PKCSl_vl_5法則和自己的私鑰(Private_Key_A)解密該欄位 獲取共享關鍵字S_Key_A。並保存Shared KeyLifetime欄位內容作為共享關鍵字S_Key_ A的生命周期。同時根據Hash algorithm欄位為「4」知道採用的MD5的籤名算法，並保存 此信息。其中，當共享關鍵字S-Key_A&生命周期結束時，籤名設備與驗證設備可以通過 S-Key指示項的交互更新的共享關鍵字。需要說明的是，步驟S101、S102、S103是可選步驟，驗證設備在獲知了籤名設備的 公鑰、身份標識等信息後，驗證設備可以直接使用S104、S105通知籤名設備更新S-Key。籤名設備和驗證設備還可以使用DHCP協議協商配置S-Key，驗證設備可以通過 DHCP ACK(確認)或R印Iy (確認)等消息攜帶S-Key通知籤名設備。籤名設備可以通過 DHCP發現或請求消息請求S-Key。
籤名設備和驗證設備還可以使用DHCP協議強制更新(RFC 3118)或重新配置對稱 關鍵字作為籤名設備發送籤名報文和驗證設備驗證報文的S-Key。本發明實施例還可以通過靜態或動態配置(動態配置包括鄰居發現或動態主機 配置協議協商配置)身份標識對應的籤名算法和/或籤名參數；該方法與上述通過靜態或 動態配置(動態配置包括鄰居發現或動態主機配置協議協商配置)身份標識對應的共享關 鍵字的方法類似，不再贅述。本實施例提供了一種報文身份的籤名方法，如圖3描述了籤名設備處理報文驗證 的步驟S301，獲取給待籤名報文進行籤名的共享關鍵字。 籤名設備根據所述待籤名的報文的身份標識獲取S-Key，身份標識可以為所述待 籤名的報文的源IP位址、所述待籤名的報文的源地址前綴、所述待籤名的報文的源MAC地 址、所述待籤名的報文的VLAN等。在籤名設備發送IP報文時，籤名設備可以根據該報文的源地址和/或目的地址等 判斷報文是否需要進行籤名，例如源地址為公網地址的IP報文需要攜帶身份籤名。籤名 設備還可以對指定源地址的發往驗證設備的所有報文或周期性的選取部分報文進行籤名。S302，根據S-Key計算所述待籤名的報文的第一籤名值。即籤名設備對報文進行 籤名。具體如籤名設備根據IP報文的身份標識獲取其對應的S-Key後，使用預先協商 的籤名算法以及S-Key對IP報文的籤名參數進行籤名計算，計算的結果為第一籤名值。該 IP報文的籤名參數包括IP報文的IP首部、IP報文全部內容、IP報文的源地址和/或IP 報文的源地址前綴等。報文的籤名參數還可以包括籤名設備產生的一個隨機值(Nonce)或 序列號。例如籤名參數為Nonce，共享關鍵字為S_key_A，籤名算法為MD5，則籤名 計算具體為Singnature = MD5 (IP_A, S_key_A，Nonce)。Singnature 為身份身份籤名值， 即IP報文的第一籤名值。S303，發送攜帶有第一籤名值的報文。該報文還包括籤名參數、身份標識等信息。本實施例可以通過身份籤名選項來攜帶第一籤名值，即籤名設備按照身份籤 名選項格式將第一籤名值和/或隨機值填充到身份籤名選項中，然後將身份籤名選項 按照指定報文格式插入到報文中。本示例中報文為IP報文，身份籤名選項選用現有的 IPAH(Authentication header，認證首部)選項，該選項通常位於IP報文的IP Head之後， 上層協議載荷之前。IPv6和Ipv4攜帶身份籤名選項的IP報文分別如圖4和圖5所示。AH選項的填充格式如圖6所示，包括Authentication Data (認證數據)、 Security Parameters Index(安全參數索引)、RESERVED (保留)及 Next Head (後續擴展) 及Length(長度)等5個域。籤名設備在發送IP報文時，可以將計算生成的第一籤名值填充 至IjAuthentication Data域，並在 Security ParametersIndex域中填充一個預訂值(例如 報文的源IP位址)，該預定值用於通知驗證設備對該IP報文執行身份驗證，而用RESERVED 域攜帶隨機值(Nonce)；其中，也可以將Security Parameters Index域和RESERVED域所攜 帶的內容進行互換，即用RESERVED域來設置該預設值，而通過Security Parameters Index 域來攜帶該隨機值。與圖3所示的籤名設備的執行步驟對應的，本實施例提供了一種報文身份的驗證方法，如圖7所示，驗證設備執行以下步驟
S701，接收報文，然後獲取該報文的第一籤名值和身份標識。驗證設備一般只對來自籤名設備的報文執行身份驗證，本實施例中，驗證設備可 以周期性或針對性地選取部分籤名設備的報文執行驗證。因此驗證設備可以根據報文的來 源的接口配置屬性、鏈路標識等信息確定是否需要對該報文執行驗證處理，如果不需要進 行報文驗證處理，則按現有的正常流程轉發或處理報文。因此，在該步驟中還可以進一步包 括判斷接收的報文是否需要執行驗證。如果該報文需要驗證，則獲取該報文第一籤 名值和身份標識，否則直接轉發該報文。其中，驗證設備也可以周期性地選取部分發往籤名設備的報文插入身份籤名選 項，該身份籤名選項攜帶的身份籤名值為空值，用來通知籤名設備發送帶有身份籤名值的 報文。另一方面，該驗證設備也可以通過檢測籤名設備發送的報文是否攜帶身份籤名選項 來判斷是否需要對該報文執行驗證，例如驗證設備收到來自用戶的IP報文，檢查該IP報 文是否包含AH選項，然後可以進一步通過AH選項中的RESERVED域或Security Parameters Index域的內容確定是否需要對該IP報文的身份執行驗證。驗證設備確定接收到的報文需要進行身份驗證後，驗證設備解析收到的報文，然 後獲取所述報文的身份標識以及第一籤名值，如果獲取第一籤名值失敗，判定該IP報文為 非法報文，則直接轉S706對該報文進行過濾處理。S702，根據身份標識獲取對接收到的報文進行驗證的S-Key。驗證設備根據所述報文包含的身份標識獲取對接收到的報文進行驗證的S-Key。 如果獲取該接收到的報文進行驗證的S-Key失敗，判定該IP報文為非法報文，則直接轉 S706。例如本示例中驗證設備根據IP報文的源IP位址等身份標識從表1所示映射關係 表中獲取S-Key。S703，根據S-Key計算該接收到的報文的第二籤名值。例如本示例中驗證設備接收到報文為IP報文，根據IP報文的源IP位址對應的 S-Key使用預先協商的籤名算法對IP報文的籤名參數進行籤名計算，計算的結果為第二籤 名值。其中，驗證設備可以根據IP報文或預先的協商結果獲取籤名參數。驗證設備與籤名 設備使用協商一致的籤名參數和籤名算法進行籤名計算。S704，籤名匹配，S卩比較所述第二籤名值和所述第一籤名值，如果所述第二籤名值 和所述第一籤名值一致，所述報文為合法報文；否則，所述報文為非法報文。S705，如果第二籤名值與第一籤名值一致，該報文為合法報文，驗證設備轉發處理 該合法報文。驗證設備轉發處理具體可以為驗證設備從接收到的報文中刪除該報文攜帶的 第一籤名值或包含第一籤名值的身份籤名選項，然後轉發刪除第一籤名值或身份籤名選項 後的報文。例如本示例中接收報文為IP報文，身份籤名選項為IP AH選項，驗證設備刪除 該IP報文AH選項(例如圖6所示的AH)，並轉發未AH選項的IP報文。S706，如果第二籤名值與第一籤名值不一致，該報文為非法報文，驗證設備對非法 報文執行過濾處理。該過濾處理包括丟棄該報文，或將該報文重定向到指定設備，如重定 向到網絡管理伺服器。本發明實施例提供的報文身份的籤名及驗證方法，根據共享關鍵字驗證籤名後的報文的身份是否合法，提供來自移動接入用戶終端以及PON、無線廣播式接入用戶終端發送 的報文身份驗證，同時滿足未來網絡對報文身份驗證的高安全性要求；同時採用共享關鍵 字籤名方式提高了身份驗證效率，降低了對設備性能要求從而降低設備實現成本。例如本發明實施例通過SeND協議設置或更新用於驗證的共享關鍵字和籤名算 法等信息，在協商過程中，使用非對稱密鑰對S-Key等信息進行加解密處理，確保了信息的 安全性，而在驗證過程中，根據共享關鍵字進行計算，該計算相比於通過非對稱密鑰對進行 加解密而言計算簡單且功耗低，提高了驗證效率；而且對籤名設備的要求低，比較適用於 功耗敏感的手持或便攜設備。又例如本發明實施例可以通過現有的IP AH選項來傳遞身份籤名選項，不需要修改現有的協議，實施簡單，也進一步提高了驗證的效率，降低設備升級的實現成本。與上述方法實施例對應的，本發明實施例還提供一種通信系統及裝置。如圖8所示，該通信系統包括籤名設備1和驗證設備3。籤名設備1，用於根據待籤名報文的身份標識獲取對該待籤名報文進行籤名的共 享關鍵字，然後根據共享關鍵字計算該待籤名報文的第一籤名值，向驗證設備3發送攜帶 有第一籤名值的報文；驗證設備3，用於接收籤名設備1發送的攜帶第一籤名值的報文，獲取該報文的第 一籤名值和身份標識，根據身份標識獲取對該報文進行驗證的共享關鍵字，根據共享關鍵 字計算所述報文的第二籤名值，比較所述第二籤名值和所述第一籤名值，如果所述第二籤 名值和所述第一籤名值一致，所述報文為合法報文；否則，所述IP報文為非法報文。驗證設備3還用於轉發處理合法報文以及過濾處理非法報文。驗證設備3轉發處 理具體可以包括驗證設備從接收到的報文中刪除該報文攜帶的第一籤名值或包含第一籤 名值的身份籤名選項，然後轉發刪除第一籤名值或身份籤名選項後的報文。如圖9所示，籤名設備1包括第一籤名值模塊13，用於獲取待籤名報文的身份標識對應的共享關鍵字以及籤名 參數，根據該共享關鍵字和籤名參數計算待籤名報文的第一籤名值，所述的籤名參數還可 以包括第二籤名模塊13可以產生隨機值；第一轉發模塊15，用於發送攜帶有第一籤名值模塊13計算得出的第一籤名值的 報文。該第一轉發模塊15還用於按照身份籤名選項格式將第二籤名單元13得出的第一籤 名值和/或隨機值填充到身份籤名選項中，然後將身份籤名選項按照指定報文格式插入到 報文中。本示例中身份籤名選項可以是圖6所示的IPAH選項。籤名設備1進一步還可以包括第一關鍵字模塊17 用於管理共享關鍵字以及為第一籤名值模塊13提供共享關 鍵字和/或籤名算法。管理共享關鍵字包括與驗證設備協商共享關鍵字、共享關鍵字生命 周期、籤名算法等，以及存儲共享關鍵字與身份標識的映射關係。籤名設備1進一步還可以包括報文預處理模塊11 用於判斷報文是否需要籤名，如果需要籤名，解析報文並獲 取報文的身份標識並作為待籤名報文轉交給第二籤名模塊13。如圖10所示，該驗證設備3包括接收解析模塊31，用於接收報文，獲取所述報文的第一籤名值和身份標識；
第二籤名值模塊32，用於獲取與接收解析模塊31獲取的身份標識對應的共享關 鍵字，根據所述共享關鍵字計算接收解析模塊31接收的報文的第二籤名值；比較處理模塊33，用於比較第二籤名值模塊32得到的第二籤名值和接收解析模 塊31得到的第一籤名值，如果所述第二籤名值和所述第一籤名值一致，所述報文為合法報 文；否則，所述IP報文為非法報文。該驗證設備3還可以包括與比較處理模塊33連接的
轉發處理模塊34，用於處理比較處理模塊33得出合法報文，即比較處理模塊37將 合法報文傳遞給轉發處理模塊，轉發處理模塊刪除所述報文攜帶的第一籤名值或包含第一 籤名值的身份籤名選項，轉發未攜帶所述第一籤名值或包含第一籤名值的身份籤名選項的 報文；或過濾處理模塊35，用於處理比較處理模塊33得出非法報文，比較處理模塊37將非 法報文傳遞給轉發處理模塊，過濾處理模塊對所述報文執行過濾處理，即丟棄非法報文或 將非法報文重定向到指定設備。該驗證設備3還可以包括與第二籤名值模塊32連接的第二關鍵字模塊36 用於管理共享關鍵字和/或籤名算法、以及為第二籤名值模 塊32提供關鍵字和/或籤名算法。管理共享關鍵字包括與籤名設備協商共享關鍵字、共享 關鍵字生命周期、籤名算法等，以及存儲共享關鍵字與身份標識的映射關係。該驗證設備3還可以進一步包括報文判斷單元(該報文判斷單元可以獨立部署，也可以部署在該驗證設備3的接 收解析模塊31等功能模塊內，故未在圖中示出)用於判斷接收到的報文是否需要進行身 份驗證，如果需要身份驗證，則獲取身份標識等。本發明實施例提供的通信系統、籤名設備和驗證設備，根據共享關鍵字驗證報文 身份的合法性，例如IP報文源地址驗證，提供移動接入以及Ρ0Ν、無線廣播式接入的報文的 驗證，同時滿足未來網絡對報文驗證的安全級別要求。本發明實施例提供的技術方案可以廣泛應用於通信系統或計算機網絡中。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程，是可以 通過電腦程式來指令相關的硬體來完成，所述的程序可存儲於一計算機可讀取存儲介質 中，該程序在執行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁 碟、光碟、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。以上所述，僅為本發明的具體實施方式
，但本發明的保護範圍並不局限於此，任何 熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到變化或替換，都應涵 蓋在本發明的保護範圍之內。因此，本發明的保護範圍應以權利要求的保護範圍為準。
權利要求
一種報文身份的驗證方法，其特徵在於，包括接收報文，獲取所述報文的第一籤名值和身份標識；根據所述身份標識獲取對所述報文進行驗證的共享關鍵字；根據所述共享關鍵字計算所述報文的第二籤名值；比較所述第二籤名值和所述第一籤名值，如果所述第二籤名值和所述第一籤名值一致，所述報文為合法報文；否則，所述報文為非法報文。
2.根據權利要求1所述的報文身份的驗證方法，其特徵在於，所述接收報文，獲取所述 報文第一籤名值之前還包括通過鄰居發現或動態主機配置協議協商身份標識對應的共享關鍵字、籤名算法和籤名 參數中的一種或任意組合；或靜態配置身份標識對應的共享關鍵字、籤名算法和籤名參數中的一種或任意組合。
3.根據權利要求1所述的報文身份的驗證方法，其特徵在於，所述接收報文，獲取所述 報文第一籤名值包括接收報文；確定所述報文是否需要進行驗證，如果所述報文需要驗證，則獲取所述報文第一籤名 值，否則直接轉發所述報文。
4.根據權利要求1所述的報文身份的驗證方法，其特徵在於，所述根據所述共享關鍵 字計算所述報文的第二籤名值具體包括獲取所述報文的籤名參數，根據籤名算法對所述共享關鍵字和所述籤名參數執行籤名 計算，計算的結果為所述第二籤名值；其中簽名參數包括所述報文的IP源地址、IP源地址前綴、鏈路標識、隨機值、IP首部、 IP目的地址中一項或多項組合。
5.根據權利要求1所述的報文身份的驗證方法，其特徵在於，還包括 當所述報文為合法報文，對所述的報文進行轉發處理；或者當所述報文為非法報文，對所述報文進行過濾處理。
6.根據權利要求1至5任一所述的報文身份的驗證方法，其特徵在於，所述身份標識包括源IP位址、源IP位址前綴、鏈路標識一項或多項組合。
7.一種報文身份的籤名方法，其特徵在於，包括根據待籤名報文的身份標識獲取對所述待籤名的報文進行籤名的共享關鍵字； 根據所述的共享關鍵字計算所述待籤名報文的第一籤名值； 發送攜帶有所述第一籤名值的報文。
8.根據權利要求7所述的報文身份的籤名方法，其特徵在於，所述發送攜帶有所述第 一籤名值的報文包括通過IP首部認證首部選項攜帶所述第一籤名值。
9.一種驗證設備，其特徵在於，包括接收解析模塊，用於接收報文，獲取所述報文的第一籤名值和身份標識； 第二籤名值模塊，用於獲取與所述接收解析模塊得到身份標識對應的共享關鍵字，根 據所述共享關鍵字計算所述接收解析模塊接收到的報文的第二籤名值；比較處理模塊，用於比較所述第二籤名值和所述第一籤名值，如果所述第二籤名值和 所述第一籤名值一致，所述報文為合法報文；否則，所述IP報文為非法報文。
10.根據權利要求9所述的驗證設備，其特徵在於，還包括報文判斷單元，用於判斷是否需要對所述接收的報文執行身份驗證。
11.根據權利要求9所述的驗證設備，其特徵在於，還包括第二關鍵字模塊，用於管理所述身份標識對應的共享關鍵字和/或籤名算法。
12.根據權利要求9所述的驗證設備，其特徵在於，還包括轉發處理模塊，用於當所述比較處理模塊得出所述接收解析模塊接收的報文為合法報 文，刪除所述報文攜帶的第一籤名值或包含第一籤名值的身份籤名選項，轉發未攜帶所述 第一籤名值或包含第一籤名值的身份籤名選項的報文；或者，過濾處理模塊，用於當所述比較處理模塊得出所述接收解析模塊接收的報文為非法報 文，對所述報文執行過濾處理。
13.—種通信系統，其特徵在於，包括籤名設備和驗證設備；其中所述籤名設備，用於根據待籤名報文的身份標識獲取對所述待籤名報文進行籤名的共 享關鍵字，根據所述共享關鍵字計算所述待籤名報文的第一籤名值，向所述驗證設備發送 攜帶有所述第一籤名值的報文；所述驗證設備，用於接收所述籤名設備發送的攜帶第一籤名值的報文，獲取所述報文 第一籤名值和身份標識，根據所述身份標識獲取對所述報文進行驗證的共享關鍵字，根據 所述共享關鍵字計算所述報文的第二籤名值，比較所述第二籤名值和所述第一籤名值，如 果所述第二籤名值和所述第一籤名值一致，所述報文為合法報文；否則，所述IP報文為非 法報文。
全文摘要
本發明實施例提供一種通信系統、驗證設備、報文身份的驗證及籤名方法，涉及通信技術領域，提供移動接入用戶終端以及PON、無線廣播式接入用戶終端發送的報文身份的驗證。該系統包括籤名設備和驗證設備。籤名設備用於發送攜帶有第一籤名值的報文。驗證設備用於接收籤名設備發送的攜帶第一籤名值的報文，獲取對該報文進行驗證的共享關鍵字，根據該共享關鍵字計算報文的第二籤名值，比較第二籤名值和第一籤名值，如果該第二籤名值和該第一籤名值一致，該報文為合法報文；否則，該IP報文為非法報文。本發明實施例提供的技術方案可以廣泛應用於通信系統或計算機網絡中。
文檔編號H04L29/06GK101848085SQ20091011939
公開日2010年9月29日 申請日期2009年3月25日 優先權日2009年3月25日
發明者張忠建, 陽振庭 申請人:華為技術有限公司