CN103618596B - Vxlan隧道中内层信息的加密方法 - Google Patents
Vxlan隧道中内层信息的加密方法 Download PDFInfo
- Publication number
- CN103618596B CN103618596B CN201310666638.4A CN201310666638A CN103618596B CN 103618596 B CN103618596 B CN 103618596B CN 201310666638 A CN201310666638 A CN 201310666638A CN 103618596 B CN103618596 B CN 103618596B
- Authority
- CN
- China
- Prior art keywords
- vxlan
- internal layer
- encryption
- key
- tunnels
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VXLAN隧道中内层信息的加密方法,其采用分别在VXLAN的头部和不同VXLAN域的内层数据报文上进行两层加密,加密密钥分别是根据各自的初始密钥与VXLAN的网络标识字段逻辑运算后再进行MD5运算生成的动态密钥,加密密文是所述加密密钥与VXLAN隧道中需要加密部分的报文数据进一步逻辑运算的值,使得VXLAN报文在广域网中传输时即使被拦截也无法被解析,保障了VXLAN报文的安全性,同时,通过VXLAN头部中预留的至少一个比特来标识是否经过加密。本发明加密方法是通VXLAN头本身实现的,而不需要额外的开销,从而提高了带宽的利用率。
Description
技术领域
本发明涉及网络通信技术领域的通信传输技术,尤其涉及在VXLAN隧道中为提高数据传输安全性而对内层信息进行加密的方法。
背景技术
随着IT组织面向服务的模式转移,人们逐渐发现目前的数据中心网络连接体系结构是一个限制因素。为了解决此难题,Cisco与VMware等公司在2011年推出了VXLAN(Virtual eXtensible Local Area Network,虚拟可扩展的局域网)标准,致力于解决数据中心网络中VLAN数目不足的问题,以支持地理分散的数据中心之间实现远距离虚拟机迁移。VXLAN扩展了LAN的数目,由原VLAN中的2^12=4094个增加到2^24个。并且,它包含的隧道特性也支持LAN的扩展,可以跨WAN进行LAN的扩展。
然而由于VXLAN缺乏安全保障机制,在外层VXLAN头携带报文通过广域网WAN时,数据包可能被截获、解析,从而利用获取的信息对内层的广播域发起攻击。如采用传统VPN网络使用的IPsec(Internet Protocol Security,以太网协议安全性)进行安全加密,则需要通过额外增加IPsec头的方式实现加密,这对于VXLAN报文来说,因VXLAN头本身已经有至少50个byte,如使用IPsec会进一步提高开销,因此,有必要提供一种新的加密方法来提高VXLAN的安全性。
发明内容
本发明的目的就是提供一种VXLAN隧道中内层信息的加密方法,其通过扩展VXLAN头,对VXLAN报文的头部及内层信息分别进行加密处理,使得整个VXLAN报文在广播域中不可解析,同时,在VXLAN头部中使用一个预留比特来标识是否经过加密,且不额外增加外层头。
为实现上述目的,本发明提出如下技术方案:一种VXLAN隧道中内层信息的加密方法,所述VXLAN隧道中包括VXLAN头部和数个不同VXLAN域的内层数据报文,所述VXLAN隧道内层信息的加密方法采用分别在所述VXLAN头部和内层数据报文上进行加密,且其加密密钥分别是根据各自的初始密钥与VXLAN的网络标识字段逻辑运算后再进行MD5运算生成的动态密钥。
更进一步地,所述加密的密文是所述加密密钥与VXLAN隧道中需要加密部分的报文数据进行逻辑运算的值。
当所述加密的部分是VXLAN头部时,所述密文SD为:
SD=f2(Data,P)
其中,Data是VXLAN头部中需要加密的部分,P是所述的加密密钥,f2是Data和P的逻辑运算,所述加密密钥P为:
P=MD5{f1(K,S)}
其中,所述K是通信双方互知的初始密钥,所述S是VXLAN外层IP头的标识字段,所述f1是K和S的逻辑运算。
当所述加密的部分是VXLAN隧道中的内层数据报文时,所述密文为SDn:
SDn=f2(Packet,Pn)
其中,所述SDn是不同VXLAN域内层数据报文的密文,Packet是需要加密的内层数据报文,Pn是不同VXLAN域内层数据报文对应的加密密钥,f2是Packet和P的逻辑运算,所述加密密钥Pn为:
Pn=MD5{f1(Kn,S)}
其中,所述Kn是通信双方互知的不同内层数据报文的初始密钥,所述S是VXLAN外层IP头的标识字段,所述f1是Kn和S的逻辑运算。
而VXLAN隧道中的内层信息是否加密是通过在VXLAN头部中预留的至少一个比特来标识的。
所述初始密钥通信双方互知,且不会在网络中传输。
所述内层数据报文根据VXLAN的网络标识符的不同使用不同的初始密钥进行加密,所述不同的初始密钥在VXLAN隧道端点上可根据所述网络标识符进行设定,且一对相互通信的VXLAN隧道端点间使用同一个初始密钥。
通过本发明的VXLAN隧道的内层信息的加密方法,不仅保障了VXLAN报文在网络传输中的安全性,同时该方法通过扩展VXLAN头本身进行加密,避免了额外开销,从而提高了带宽的利用率。
附图说明
图1是本发明VXLAN隧道中内层信息的加密方法的流程图;
图2是本发明实施例中所涉及的VXLAN报文外层头格式的示意图;
图3是本发明实施例中所涉及的VXLAN报文头及内层报文格式的示意图。
具体实施方式
下面将结合本发明的附图,对本发明优选实施例中的技术方案进行清楚、完整的描述。
本发明所揭示的VXLAN隧道中内层信息的加密方法,其通过分别对VXLAN头部及数个不同VXLAN域的内层数据报文进行两级加密来实现,如图2所示,为本实施例中所涉及的VXLAN协议报文的外层头的格式的示意图,结合图1所示,在对VXLAN头部进行加密时,将通信双方互知的初始密钥定义为K,该初始密钥K仅为通信双方知道,而不会在网络中传输。
而实际对VXLAN头加密所使用的加密密钥P采用以下方式运算得到,即:
P=MD5{f1(K,S)}
其中S为VXLAN报文外层IP头的标识(Identification)字段。f1可选自初始密钥K和VXLAN报文外层IP头标识字段S经过一定的逻辑运算的值,比如是K和S的异或运算,然后再对f1进行MD5的算法得到实际加密所使用的加密密钥P。加密密钥P的长度可以自行定义,由于VXLAN报文外层IP头的标识字段S是变化的,因此可保证实际进行加密所使用的加密密钥P一直在变,且由于MD5不可逆,故通过这种加密方法得到的加密密钥P可防止暴力破解。
接下来,定义VXLAN头部中需加密的部分为Data,加密后的密文为SD,则:
SD=f2(Data,P)
其中f2可选自VXLAN头部中需加密的部分Data和密钥P经过一定的逻辑运算的值,比如可以是Data和P的按位异或。
由于f2为可逆运算,通信双方均可由互知的初始密钥K及VXLAN报文外层IP头的标识字段S得到加密密钥P,并用加密密钥P对密文SD进行解密。
上述加密方法适用于互相通信的VTEP(VXLAN隧道端点)之间,目的是对VXLAN的网络标识符VNI字段进行加密,一对VXLAN隧道端点之间使用同一个K。
接下来,对不同VXLAN域的内层数据报文进行加密,结合图2所示,定义内层数据报文为Packet(内层数据包),内层数据包按VXLAN的网络标识符VNI的不同使用不同的密钥进行加密,在VTEP上可根据VNI来设定独立的密钥。则对于不同的网络标识符{VNI1,VNI2,...,VNIn},则有不同的初始密钥{K1,K2,...,Kn},类似于上述对VXLAN报文头的加密方法,可使用
SDn=f2(Packet,Pn)
得到不同网络标识符的密文SD1,SD2,.....SDn,其中加密密钥P1,P2,....Pn也采用与上述VXLAN头加密相同的方法,即:
Pn=MD5{f1(Kn,S)}
由于每个网络标识符VNI1,VNI2,...,VNIn的初始密钥K1,K2,...,Kn各不相同,因此,加密密钥P1,P2,......Pn也各不相同且动态变化,因此,每个网络标示符VNI1,VNI2,...,VNIn的密文SD1,SD2,.....SDn也各不相同且动态变化,从而保证了每个VNI的内层数据仅对本VNI可见。
如图3所示,在VXLAN头的bitmap中预留的7个bit,用其中的1到2个bit来标示是否加密及加密方法,例如2个比特值“00”表示未加密,“01”表示使用采用本发明所揭示的加密进行加密,“10”和“11”预留兼容其他加密形式,从而通过VXLAN头中预留的比特将VXLAN报文是否经过加密标识出来。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (6)
1.一种VXLAN隧道中内层信息的加密方法,所述VXLAN隧道中包括VXLAN头部和数个内层数据报文,其特征在于:所述VXLAN隧道内层信息的加密方法采用分别在所述VXLAN头部和内层数据报文上进行加密,且其加密密钥是根据各自的初始密钥与VXLAN报文外层IP头的网络标识字段逻辑运算后再进行MD5运算生成的动态密钥,所述加密密钥与VXLAN隧道中需要加密部分的报文数据进行逻辑运算得到加密密文;
当所述加密的部分是VXLAN头部时,所述加密密文为SD:
SD=f2(Data,P)
其中,Data是VXLAN头部中需要加密的部分,P是所述的加密密钥,f2是Data和P的逻辑运算;
当所述加密的部分是VXLAN隧道中的内层数据报文时,所述加密密文为SDn:
SDn=f2(Packet,Pn)
其中,所述SDn是不同VXLAN域内层数据报文的密文,Packet是需要加密的内层数据报文,Pn是不同VXLAN域内层数据报文对应的加密密钥,f2是Packet和Pn的逻辑运算。
2.根据权利要求1所述的VXLAN隧道中内层信息的加密方法,其特征在于:所述加密密钥P为:
P=MD5{f1(K,S)}
其中,所述K是通信双方互知的初始密钥,所述S是VXLAN外层IP头的标识字段,所述f1是K和S的逻辑运算。
3.根据权利要求1所述的VXLAN隧道中内层信息的加密方法,其特征在于:所述加密密钥Pn为:
Pn=MD5{f1(Kn,S)}
其中,所述Kn是通信双方互知的不同内层数据报文的初始密钥,所述S是VXLAN外层IP头的标识字段,所述f1是Kn和S的逻辑运算。
4.根据权利要求1所述的VXLAN隧道中内层信息的加密方法,其特征在于:通过在VXLAN头部中预留的至少一个比特来标识所述VXLAN隧道中的内层信息是否加密。
5.根据权利要求1所述的VXLAN隧道中内层信息的加密方法,其特征在于:所述初始密钥通信双方互知,且不会在网络中传输。
6.根据权利要求1所述的VXLAN隧道中内层信息的加密方法,其特征在于:所述内层数据报文根据VXLAN的网络标识符的不同使用不同的初始密钥进行加密,所述不同的初始密钥在VXLAN隧道的端点上可根据所述网络标识符进行设定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310666638.4A CN103618596B (zh) | 2013-05-15 | 2013-12-10 | Vxlan隧道中内层信息的加密方法 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310180104.0 | 2013-05-15 | ||
CN2013101801040 | 2013-05-15 | ||
CN201310180104 | 2013-05-15 | ||
CN201310666638.4A CN103618596B (zh) | 2013-05-15 | 2013-12-10 | Vxlan隧道中内层信息的加密方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103618596A CN103618596A (zh) | 2014-03-05 |
CN103618596B true CN103618596B (zh) | 2017-06-20 |
Family
ID=50169300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310666638.4A Active CN103618596B (zh) | 2013-05-15 | 2013-12-10 | Vxlan隧道中内层信息的加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103618596B (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105634770B (zh) | 2014-10-29 | 2019-05-07 | 新华三技术有限公司 | 部署虚拟扩展局域网的方法和装置 |
CN104468394B (zh) * | 2014-12-04 | 2018-02-09 | 新华三技术有限公司 | 一种vxlan网络中报文转发方法及装置 |
CN105721359B (zh) * | 2014-12-04 | 2019-11-15 | 中兴通讯股份有限公司 | Vxlan报文传输方法及装置 |
CN106209401B (zh) * | 2015-04-30 | 2019-08-06 | 新华三技术有限公司 | 一种传输方法及装置 |
CN108028748A (zh) * | 2016-02-27 | 2018-05-11 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
CN106452727B (zh) * | 2016-08-09 | 2019-12-24 | 中国银联股份有限公司 | 比特币交易转帐方法以及比特币交易转帐系统 |
CN106302258B (zh) * | 2016-09-08 | 2019-06-04 | 杭州迪普科技股份有限公司 | 一种报文转发方法及装置 |
CN106878278B (zh) * | 2017-01-09 | 2021-06-22 | 新华三技术有限公司 | 一种报文处理方法及装置 |
CN107547347B (zh) * | 2017-07-25 | 2020-06-09 | 新华三技术有限公司 | 基于vni的路径调整方法和装置 |
CN109547392B (zh) * | 2017-09-21 | 2021-06-01 | 上海层峰网络科技有限公司 | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 |
CN109525477A (zh) * | 2018-09-30 | 2019-03-26 | 华为技术有限公司 | 数据中心中虚拟机之间的通信方法、装置和系统 |
CN109150916A (zh) * | 2018-10-25 | 2019-01-04 | 盛科网络(苏州)有限公司 | 一种在mpls l2vpn网络中实现内层数据加密的方法 |
CN109361684B (zh) * | 2018-11-14 | 2021-05-25 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
CN112198354A (zh) * | 2020-09-27 | 2021-01-08 | 广东电网有限责任公司梅州供电局 | 一种钳表 |
CN112788012B (zh) * | 2020-12-30 | 2023-07-25 | 深圳市欢太科技有限公司 | 日志文件加密方法、装置、存储介质及电子设备 |
US11652825B2 (en) | 2021-08-09 | 2023-05-16 | International Business Machines Corporation | Packet authentication in a VXLAN system |
CN114666047A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种网络数据加密解密的装置和方法 |
CN114826672A (zh) * | 2022-03-25 | 2022-07-29 | 阿里云计算有限公司 | 云网络的加密、解密方法、装置、计算节点及系统 |
CN117201230A (zh) * | 2022-05-31 | 2023-12-08 | 中国电信股份有限公司 | 一种vxlan隧道的认证方法、系统、接入网关及入网设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101179376A (zh) * | 2007-12-05 | 2008-05-14 | 龙刚 | 实现局域网信息安全的方法及基于方法的安全网卡及网络 |
CN101753531A (zh) * | 2008-12-19 | 2010-06-23 | 上海安达通信息安全技术股份有限公司 | 利用https/http协议实现IPsec协议封装的方法 |
CN103095546A (zh) * | 2013-01-28 | 2013-05-08 | 华为技术有限公司 | 一种处理报文的方法、装置及数据中心网络 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204158A1 (en) * | 2006-02-28 | 2007-08-30 | Symbol Technologies, Inc. | Methods and apparatus for encryption key management |
-
2013
- 2013-12-10 CN CN201310666638.4A patent/CN103618596B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101179376A (zh) * | 2007-12-05 | 2008-05-14 | 龙刚 | 实现局域网信息安全的方法及基于方法的安全网卡及网络 |
CN101753531A (zh) * | 2008-12-19 | 2010-06-23 | 上海安达通信息安全技术股份有限公司 | 利用https/http协议实现IPsec协议封装的方法 |
CN103095546A (zh) * | 2013-01-28 | 2013-05-08 | 华为技术有限公司 | 一种处理报文的方法、装置及数据中心网络 |
Also Published As
Publication number | Publication date |
---|---|
CN103618596A (zh) | 2014-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103618596B (zh) | Vxlan隧道中内层信息的加密方法 | |
JP4447463B2 (ja) | ブリッジ暗号vlan | |
JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
US20080095368A1 (en) | Symmetric key generation apparatus and symmetric key generation method | |
CN107113239A (zh) | 包混淆和包转发 | |
WO2008020279A3 (en) | Reducing security protocol overhead in low data rate applications over a wireless link | |
CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
CN105262772A (zh) | 一种数据传输方法、系统及相关装置 | |
CN105610790B (zh) | IPSec加密卡与CPU协同的用户面数据处理方法 | |
CN107104977A (zh) | 一种基于sctp协议的区块链数据安全传输方法 | |
CN111010274A (zh) | 一种安全低开销的SRv6实现方法 | |
CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
CN106850672A (zh) | IPSec隧道的安全联盟查找方法及装置 | |
CN105611529A (zh) | Capwap dtls报文加解密的芯片实现方法 | |
CN110912875B (zh) | 基于南向接口的网络加密方法、系统、介质及设备 | |
CN103945371A (zh) | 一种端到端加密同步的方法 | |
CN105635154A (zh) | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 | |
CN111885430B (zh) | 一种基于以太帧的带内遥测方法及带内遥测系统 | |
CN107135152A (zh) | 一种分组传送网中传输关键信息的安全加固方法 | |
CN103581034B (zh) | 一种报文镜像和加密传输方法 | |
CN109257388A (zh) | 一种mpls-tp中伪线加密方法 | |
CN109257174A (zh) | 一种量子密钥在vpws业务中的应用方法 | |
CN109410394A (zh) | 一种智能门锁的信息发送方法和信息发送系统 | |
CN101510825A (zh) | 一种管理消息的保护方法及系统 | |
KR20130077202A (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20171211 Address after: Xinghan street Suzhou Industrial Park in Jiangsu province 215000 No. 5 Building No. 6 Room 201 Patentee after: Suzhou Sheng Ke science and Technology Co., Ltd. Address before: Xinghan Street Industrial Park of Suzhou city in Jiangsu province 215021 No. 5 (Tengfei Industrial Square) B building 4 floor 13/16 unit Patentee before: Centec Networks (Suzhou) Inc. |