块发送触发命令,触发第二应用协议模块启用安全认证功能。
[0049]由于启用了安全认证功能,第二应用协议模块接收到报文后,需要将报文中的认证信息、报文信息等发到第二认证规则模块进行信息认证。
[0050]步骤107、第二认证规则模块根据当前时间和接收的认证信息在预先配置的认证规则集合中查找可用于第二应用协议模块的报文接收的认证规则,基于该认证规则和该报文信息生成该报文的认证信息,将计算出的该报文的认证信息与接收的认证信息进行比较,如果相同,则返回给第二应用协议模块表明认证成功的认证结果,如果不同,则返回给第二应用协议模块表明认证失败的认证结果。
[0051]根据当前时间和接收的认证信息在预先配置的认证规则集合中查找可用于第二应用协议模块的报文接收的认证规则的方法为:根据预先配置的应用协议模块和认证算法关系表确定第二应用协议模块对应的认证算法,在认证规则集合中查找认证规则标识为接收的认证信息中的认证规则标识、认证算法为该认证算法且接收活跃时间包括当前时间的认证规则,将该认证规则作为可用于第二应用协议模块的报文接收的认证规则。
[0052]本步骤中生成报文的认证信息的方法与步骤104中生成报文的认证信息的方法相同。
[0053]步骤108、第二应用协议模块接收第二认证规则模块返回的认证结果,如果认证结果是认证成功,则对报文进行处理,如果认证结果是认证失败,则丢弃报文。
[0054]这里,只有认证成功的报文,第二应用协议模块才会按照正常处理流程对报文进行处理,对于认证失败的报文,则直接丢弃。
[0055]在图1所示实施例中,应用协议模块向对端应用协议模块发送报文之前,先向本地的认证规则模块请求生成该报文的认证信息,将此认证信息携带在该报文中发送到对端应用协议模块,对端应用协议模块向本地的认证规则模块请求生成该报文的认证信息,并与接收的认证信息进行比较,通过认证信息的比较确定是否继续处理报文或丢弃报文,可以实现通信双方的信息认证,另外,由于生成报文的认证信息所使用的认证规则是基于当前时间选定的,不同时间使用的认证规则可能是不相同的,与现有技术中使用单一认证规则的信息认证方案相比,不容易被非法用户破解,因此可以有效提高网络通信安全。
[0056]参见图2,图2是本发明另一种实现流程图,包括以下步骤:
[0057]步骤201、第一应用协议模块接收触发命令。
[0058]步骤202、第一应用协议模块根据触发命令,启用安全认证功能。
[0059]当应用协议模块之间通信需要进行信息认证时,第一认证规则模块触发第一应用协议模块启用安全认证功能,在实际应用中,第一应用协议模块也可以在启动时自动启用安全认证功能。
[0060]步骤203、第一应用协议模块需要向第二应用协议模块发送报文时,将该报文信息发送到第一认证规则模块。[0061 ] 第一应用协议模块和第二应用协议模块互为远端应用协议模块。
[0062]第一认证规则模块和第一应用协议模块在同一设备中,第一认证规则模块用于本地应用协议模块(例如本实施例中的第一应用协议模块)的报文发送和接收。第一认证规则模块是可以加载预先配置的认证规则集合、以及预先配置的应用协议模块和认证算法关系表,并根据加载的认证规则集合及应用协议模块和认证算法关系表实现报文的认证信息生成和验证等功能的进程模块。
[0063]由于第一应用协议模块启用了安全认证功能,因此需要将待发送报文信息发送到第一认证规则模块进行发送前的认证相关操作。
[0064]本实施例中,报文信息可以是指报文中携带的数据信息(也即报文内容),例如,路由协议报文,其报文信息就是报文中携带的路由信息。
[0065]步骤204、第一认证规则模块根据当前时间在预先配置的认证规则集合中查找可用于第一认证规则模块的报文发送的认证规则,基于该认证规则和该报文信息生成该报文的认证信息,将该认证信息返回给第一应用协议模块。
[0066]本实施例中,预先设置认证规则集合,认证规则集合中包括多条认证规则,每条认证规则中包括认证规则标识(ID)、认证算法、认证密钥、活跃时间,其中活跃时间包括发送活跃时间和接收活跃时间,发送活跃时间包括至少一个时间段(每个时间段包括起始时间和结束时间),在这些时间段内,该认证规则可用于报文发送;接收活跃时间包括至少一个时间段(每个时间段包括起始时间和结束时间),在这些时间段内,该认证规则可用于报文的接收。
[0067]根据当前时间在预先配置的认证规则集合中查找可用于第一应用协议模块的报文发送的认证规则的方法为:根据预先配置的应用协议模块和认证算法关系表确定第一应用协议模块对应的认证算法,在认证规则集合中查找认证算法为该认证算法且发送活跃时间包括当前时间的认证规则,将该认证规则作为可用于第一应用协议模块的报文发送的认证规则。
[0068]本实施例中,所述认证信息包括:认证规则标识、认证算法、信息认证码;
[0069]基于该认证规则和该报文信息生成该报文的认证信息的方法为:使用该认证规则中的认证算法和认证密钥对该报文信息进行加密得到该报文的信息认证码,将该认证规则标识、该认证规则中的认证算法和该报文的信息认证码作为该报文的认证信息。
[0070]步骤205、第一应用协议模块接收第一认证规则模块返回的认证信息,确定该认证信息中的认证算法对应的第一应用协议模块的标准算法标识,将该认证信息中的认证算法修改为该标准算法标识,将该认证信息携带在该报文中,将该报文发送到第二应用协议模块。
[0071]在实际应用中,同一认证算法在不同协议类型的应用协议模块中可能对应于不同的算法标识(称为应用协议模块的标准算法标识),例如,MD5算法在第一种协议类型的认证协议模块中用ID5标识,第二种协议类型的认证协议模块中用ID8标识,则第一种协议类型的认证协议模块接收到MD5算法后,确定MD5算法对应的标准算法标识是ID5,第二种协议类型的认证协议模块接收到MD5算法后,则确定MD5算法对应的标准算法标识是ID8。
[0072]可以预先在各应用协议模块中配置该应用协议模块中的标准算法标识和认证算法的对应关系,从而使应用协议模块接收到认证规则模块返回的认证信息时,根据该对应关系确定认证信息中的认证算法对应的应用协议模块中的标准算法标识。
[0073]需要说明的是,本实施例以及图1所示实施例中,第一应用协议模块和第二应用协议模块属于同一协议类型的应用协议模块。
[0074]步骤206、第二应用协议模块接收该报文,获取该报文中携带的认证信息,确定该认证信息中的标准算法标识对应的认证算法,将该认证信息中的标准算法标识修改为该认证算法,将该认证信息和该报文信息发送到第二认证规则模块。
[0075]第二应用协议模块和第二认证规则模块在同一设备中,第二认证规则模块用于本地应用协议模块(例如第二应用协议模块)的报文发送和接收。
[0076]第二应用协议模块也需要启用安全认证功能,通过发送触发命令给第二应用协议模块,触发第二应用协议模块启用安全认证功能。
[0077]由于启用了安全认证功能,第二应用协议模块接收到报文后,需要将报文中的认证信息、报文信息等发到第二认证规则模块进行信息认证。
[0078]步骤207、第二认证规则模块根据当前时间和接收的认证信息在预先配置的认证规则集合中查找可用于第二应用协议模块的报文接收的认证规则,基于该认证规则和接收的报文信息生成该报文的认证信息,将该报文的认证信息和接收的认证信息进行比较,如果不同,则返回给第二应用协议模块表明认证失败的认证结果;如果相同,则返回给第二应用协议模块表明认证成功的认证结果。
[0079]根据当前时间和接收的认证信息在预先配置的认证规则集合中查找可用于第二应用协议模块的报文接收的认证规则的方法为:根据预先配置的应用协议模块和认证算法关系表确定第二应用协议模块对应的认证算法,在认证规则集合中查找认证规则标识为接收的认证信息中的认证规则标识、认证算法为该认证算法且接收活跃时间包括当前时间的认证规则,将该认证规则作为可用于第二应用协议模块的报文接收的认证规则。
[0080]本步骤中生成报文的认证信息的方法与步骤204中生成报文的认证信息的方法相同。
[0081]步骤208、第二应用协议模块接收第二认证规则模块返回的认证结果,如果认证结果是认证成功,则对报文进行处理,如果认证结果是认证失败,则丢弃报文。
[0082]这里,只有认证成功的报文,第二应用协议模块才会按照正常处理流程对报文进行处理,对于认证失败的报文,则直接丢弃。
[0083]图2所示本发明实施例中,应用协议模块将报文的认证信息中的认证算法转换为该应用协议模块的标准算法标识携带在报文中发送到对端应用协议模块,对端应用协议模块再将该认证信息中的标准算法标识转换为认证算法,并将该认证信息与接收的认证信息进行比较,在此过程中,认证算法和标准算法标识之间的互相转换可以更进一步地验证了应用协议模块双方使用了相同的认证规则进行信息认证,与图1所示本发明实施例相比,可以更进一步提高网络通信安全。
[0084]需要说明的是,在图1和图2所示的实施例中,前两个步骤(步骤101、102,步骤201,202)都不是必须的,在实际应用中,应用协议模块在向外发送报文时,可以默认需先向本地的认证规