一种提高网络通信安全的方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,特别涉及一种提高网络通信安全的方法和装置。
【背景技术】
[0002]现有通信网络中,两个应用协议进程进行通信时,会有一些非法用户试图篡改数据报文或者伪装成认证用户,从而导致通信安全问题。为了识别这些被篡改的报文和伪装的用户,应用协议通过配置认证规则,并使用配置的认证规则进行信息认证,从而保证通信安全。
[0003]应用协议长期使用一个认证规则,会很容易被非法用户破解,由管理员人工修改通信双方的认证规则,可以一定程度上防止这种问题,但是当诸多应用协议都要人工修改认证规则时,其实现将是非常繁琐的。
【发明内容】
[0004]有鉴于此,本发明的目的在于一种提高网络通信安全的方法和装置,可以保证网络通信安全且实现简单。
[0005]为了达到上述目的,本发明提供了如下技术方案:
[0006]—种提高网络通信安全的方法,包括:
[0007]应用协议模块需要向远端应用协议模块发送报文时,将待发送报文信息发送到认证规则模块;
[0008]应用协议模块接收认证规则模块根据所述报文信息生成并返回的认证信息,将所述认证信息携带在待发送报文中,将待发送报文发送到远端应用协议模块。
[0009]另一种提高网络通信安全的方法,预先配置认证规则集合,所述认证规则集合包括多个认证规则;该方法包括:
[0010]认证规则模块接收应用协议模块发送的待发送报文信息;
[0011]根据当前时间在预先配置的认证规则集合中查找可用于应用协议模块的报文发送的认证规则,基于该认证规则和待发送报文信息生成待发送报文的认证信息,将该认证信息返回给应用协议模块。
[0012]—种提高网络通信安全的装置,该装置应用于应用协议模块,包括:处理单元、发送单元;
[0013]所述处理单元,用于应用协议模块需要向远端应用协议模块发送报文时,将待发送报文信息发送到认证规则模块;用于将待发送报文信息发送到认证规则模块后,接收认证规则模块根据所述报文信息生成并返回的认证信息,将认证信息携带在待发送报文中;
[0014]所述发送单元,用于将携带认证信息的待发送报文发送到远端应用协议模块。
[0015]另一种提高网络通信安全的装置,该装置应用于认证规则模块,包括:配置单元、处理单元;
[0016]所述配置单元,用于预先配置认证规则集合,所述认证规则集合包括多个认证规则;
[0017]所述处理单元,用于接收应用协议模块发送的待发送报文信息,根据当前时间在配置单元预先配置的认证规则集合中查找可用于应用协议模块的报文发送的认证规则,基于该认证规则和待发送报文信息生成待发送报文的认证信息,将该认证信息返回给应用协议模块。
[0018]由上面的技术方案可知,本发明中,预先配置一包括多条认证规则的认证规则集合;当应用协议模块需要向远端应用协议模块发送报文时,将报文信息发送到认证规则模块,由认证规则模块根据当前时间确定用于发送应用协议模块的报文的认证规则,基于该认证规则生成信息认证码并将其返回给应用协议模块,应用协议模块将信息认证码携带在报文中发送到远端应用协议模块,从而使得远端协仪模块对报文中携带的信息认证码进行信息认证,并根据认证结果确定继续处理报文或丢弃报文。可以看出,与现有技术相比,本发明不再使用单一的认证规则,而是基于当前时间和具体应用协议模块选择认证规则,基于该认证规则实现应用协议模块之间的信息认证,因而能够有效提高网络通信安全。
【附图说明】
[0019]图1是本发明其中一种实现流程图;
[0020]图2是本发明另一种实现流程图;
[0021]图3是本发明其中一种提高网络通信安全的方法流程图;
[0022]图4是本发明另一种提高网络通信安全的方法流程图;
[0023]图5是本发明其中一种提高网络通信安全的装置的结构示意图;
[0024]图6是本发明另一种提高网络通信安全的装置的结构示意图。
【具体实施方式】
[0025]为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本发明的技术方案进行详细说明。
[0026]本发明的主要思想是:设置多条认证规则,应用协议模块在不同时间段使用不同认证规则与远端应用协仪模块进行信息认证,解决了使用单一认证规则带来的易被非法用户破解的问题,可以有效提高网络通信安全。
[0027]以下对本发明的实现原理进行说明:
[0028]参见图1,图1是本发明其中一种实现流程图,包括以下步骤:
[0029]步骤101、第一应用协议模块接收触发命令。
[0030]第一应用协议模块可以是路由协议、VRRP, BFD等进程模块。
[0031]当应用协议模块之间通信需要进行信息认证时,可以通过向应用协议模块发送触发命令,使得应用协议模块根据触发命令启用安全认证功能。
[0032]需要说明的是,当应用协议模块之间通信不需要进行信息认证时,也可以通过向应用协议模块发送解除命令,使得应用协议模块根据解除命令关闭安全认证功能。
[0033]步骤102、第一应用协议模块根据触发命令,启用安全认证功能。
[0034]通过向第一应用协议模块发送触发命令,触发第一应用协议模块启用安全认证功能。另外,在实际应用中,第一应用协议模块也可以在启动时自动启用安全认证功能。
[0035]步骤103、第一应用协议模块需要向第二应用协议模块发送报文时,将该报文信息发送到第一认证规则模块。
[0036]第一应用协议模块和第二应用协议模块互为远端应用协议模块。
[0037]第一认证规则模块和第一应用协议模块在同一设备中,第一认证规则模块用于本地应用协议模块(例如本实施例中的第一应用协议模块)的报文发送和接收。第一认证规则模块是可以加载预先配置的认证规则集合、以及预先配置的应用协议模块和认证算法关系表,并根据加载的认证规则集合及应用协议模块和认证算法关系表实现报文的认证信息生成和验证等功能的进程模块。
[0038]由于第一应用协议模块启用了安全认证功能,因此需要将待发送报文信息发送到第一认证规则模块进行发送前的认证相关操作。
[0039]本实施例中,报文信息可以是指报文中携带的数据信息(也即报文内容),例如,路由协议报文,其报文信息就是报文中携带的路由信息。
[0040]步骤104、第一认证规则模块根据当前时间在预先配置的认证规则集合中查找可用于第一认证规则模块的报文发送的认证规则,基于该认证规则和该报文信息计算该报文的认证信息,将该认证信息返回给第一应用协议模块。
[0041]本实施例中,预先设置认证规则集合,认证规则集合中包括多条认证规则,每条认证规则中包括认证规则标识(ID)、认证算法、认证密钥、活跃时间,其中活跃时间包括发送活跃时间和接收活跃时间,发送活跃时间包括至少一个时间段(每个时间段包括起始时间和结束时间),在这些时间段内,该认证规则可用于报文发送;接收活跃时间包括至少一个时间段(每个时间段包括起始时间和结束时间),在这些时间段内,该认证规则可用于报文的接收。一般情况下,发送活跃时间应与和接收活跃时间相同,或者也可以是接收活跃时间包含发送活跃时间,例如某一认证规则的发送活跃时间是[8,10],接收活跃时间是[8,
11],其中,区间[8,10]表示8点到10点,[8,11]表示8点到11点。接收活跃时间包含发送活跃时间的目的是为了避免漏接报文,例如发送端10点发送报文,到达对端时,时间已经超过10点,如果对端的接收活跃时间也是[8,10],则会因为接收时间不是该认证规则的接收活跃时间而导致丢弃报文。
[0042]根据当前时间在预先配置的认证规则集合中查找可用于第一认证规则模块的报文发送的认证规则的方法为:根据预先配置的应用协议模块和认证算法关系表确定第一应用协议模块对应的认证算法,在认证规则集合中查找认证算法为第一应用协议模块对应的认证算法且发送活跃时间包括当前时间的认证规则,将该认证规则作为可用于第一应用协议模块的报文发送的认证规则。
[0043]本实施例中,所述认证信息包括认证规则标识、信息认证码(MAC,MessageAuthenticat1n Code)。
[0044]基于该认证规则和该报文信息生成该报文的认证信息的方法为:使用该认证规则中的认证算法和认证密钥对该报文信息进行加密得到该报文的信息认证码,将该认证规则标识和该报文的信息认证码作为该报文的认证信息。
[0045]步骤105、第一应用协议模块接收第一认证规则模块返回的认证信息,将该认证信息携带在该报文中,将该报文发送到第二应用协议模块。
[0046]步骤106、第二应用协议模块接收第一应用协议模块发来的报文,获取该报文中携带的认证信息,将该认证信息和该报文信息发送到第二认证规则模块。
[0047]第二应用协议模块和第二认证规则模块在同一设备中,第二认证规则模块与第一认证规则模块具有相同功能,用于本地应用协议模块(例如第二应用协议模块)的报文发送和接收。
[0048]第二应用协议模块也需要启用安全认证功能,可以向第二应用协议模