CN109361684A - 一种vxlan隧道的动态加密方法和系统 - Google Patents
一种vxlan隧道的动态加密方法和系统 Download PDFInfo
- Publication number
- CN109361684A CN109361684A CN201811352143.3A CN201811352143A CN109361684A CN 109361684 A CN109361684 A CN 109361684A CN 201811352143 A CN201811352143 A CN 201811352143A CN 109361684 A CN109361684 A CN 109361684A
- Authority
- CN
- China
- Prior art keywords
- vxlan
- tunneling termination
- opposite end
- tunnel
- vxlan tunneling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种VXLAN隧道的动态加密方法和系统,其中,所述VXLAN隧道的动态加密方法包括:针对具有相同网络标识符的VXLAN,两侧VXLAN隧道终端通过密钥协商获取公有值,作为VXLAN隧道加密密钥;VXLAN隧道终端通过所述加密密钥对内层报文信息进行加密处理,对端VXLAN隧道终端通过所述加密密钥对内层报文信息进行解密处理。通过所述VXLAN隧道的动态加密方法和系统,可以解决VXLAN报文不安全以及维护管理繁琐的问题。
Description
技术领域
本发明涉及计算机网络通信技术,特别是涉及一种VXLAN隧道的动态加密方法和系统。
背景技术
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。然而随着对网络需求的不断提高,传统VLAN的不足逐渐体现,主要表现在:VLAN数量不足,二层网络边界限制,多租户问题等。
因此,正是在这样的背景和现实需求下,虚拟可扩展局域网(Virtual ExtensibleLAN,VXLAN)应运而生了。VXLAN是一种网络虚似化技术,通过建立VXLAN隧道,在现有网络架构上创建大量的虚拟可扩展局域网,不同的虚拟可扩展局域网使用虚拟可扩展局域网网络标识符(VXLAN Network Identifier,VNI)进行标识。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。
然而现有的VXLAN机制,无论在维护管理,还是保证VXLAN报文的安全性上都存在不足。需要一种技术方案能够解决这些问题。
发明内容
本发明实施例所要解决的技术问题是VXLAN报文不安全以及维护管理繁琐的问题。
为了解决上述问题,本发明实施例提供的技术方案如下:
一种VXLAN隧道的动态加密方法,包括:针对具有相同网络标识符的VXLAN,两侧VXLAN隧道终端通过密钥协商获取公有值,作为VXLAN隧道加密密钥;VXLAN隧道终端通过所述加密密钥对内层报文信息进行加密处理,对端VXLAN隧道终端通过所述加密密钥对内层报文信息进行解密处理。
可选的,上述的VXLAN隧道的动态加密方法中,VXLAN隧道终端通过所述加密密钥对内层报文信息进行加密处理包括:当发现报文的出接口为VXLAN隧道,VXLAN隧道终端通过所述加密密钥为所述报文加密处理,并将一预设字段设为加密标识;对端VXLAN隧道终端通过所述加密密钥对内层报文信息进行解密处理包括:当对端VXLAN隧道终端检测到报文中所述预设字段设置为加密标识后,通过所述加密密钥对所述报文进行解密处理。
可选的,上述的VXLAN隧道的动态加密方法中,所述加密标识位数值为0时,判定为未加密;当所述加密标识位数值为1时,判定为加密。
可选的,上述的VXLAN隧道的动态加密方法中,所述两侧VXLAN隧道终端通过密钥协商获取公有值包括:所述VXLAN隧道终端通过随机函数生成第一随机数,对端VXLAN隧道终端通过随机函数生成第二随机数;VXLAN隧道终端和对端VXLAN隧道终端分别通过公开参数底数和公开参数模数对所述第一随机数和第二随机数作幂运算和模运算,分别得到计算结果;VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果;虚拟通道通终端通过将对端VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第一随机数作幂运算和模运算,计算得到所述公有值;对端VXLAN隧道终端通过将VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第二随机数作幂运算和模运算,计算得到所述公有值。
可选的,上述的VXLAN隧道的动态加密方法中,VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果包括:VXLAN隧道终端和对端VXLAN隧道终端通过将各自的所述计算结果分别放入EVPN type3路由中的预定义的加密密钥字段,进而通过type3路由交互,得到对端的计算结果。
为了解决上述的技术问题,本发明实施例还公开了一种VXLAN隧道的动态加密系统,其中,两侧VXLAN隧道终端包括:加密计算模块,用于针对具有相同网络标识符的VXLAN,通过密钥协商获取公有值,作为VXLAN隧道加密密钥;加密处理模块:用于通过所述加密密钥对内层报文信息进行加密处理;解密处理模块,用于通过所述加密密钥对内层报文信息进行解密处理。
可选的,上述的VXLAN隧道的动态加密系统中,所述加密处理模块用于当发现报文的出接口为VXLAN隧道,VXLAN隧道终端通过所述加密密钥为所述报文加密处理,并将一预设字段设为加密标识;所述解密处理模块用于当对端VXLAN隧道终端检测到报文中所述预设字段设置为加密标识后,通过所述加密密钥对所述报文进行解密处理。
可选的,上述的VXLAN隧道的动态加密系统中,所述加密标识位数值为0时,判定为未加密;当所述加密标识位数值为1时,判定为加密。
可选的,上述的VXLAN隧道的动态加密系统中,所述加密计算模块用于,所述VXLAN隧道终端通过随机函数生成第一随机数,对端VXLAN隧道终端通过随机函数生成第二随机数;VXLAN隧道终端和对端VXLAN隧道终端分别通过公开参数底数和公开参数模数对所述第一随机数和第二随机数作幂运算和模运算,分别得到计算结果;VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果;虚拟通道通终端通过将对端VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第一随机数作幂运算和模运算,计算得到所述公有值;对端VXLAN隧道终端通过将VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第二随机数作幂运算和模运算,计算得到所述公有值。
可选的,上述的VXLAN隧道的动态加密系统中,VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果包括:VXLAN隧道终端和对端VXLAN隧道终端通过将各自的所述计算结果分别放入EVPN type3路由中的预定义的加密密钥字段,进而通过type3路由交互,得到对端的计算结果。
与现有技术相比,本发明的技术方案具有以下优点:
本发明中,本发明实施例中公开了一种VXLAN隧道的动态加密方法。通过本方案提出的方法,可以将VXLAN隧道的建立,密钥的交互,报文的加密解密等所有的工作全部交由交换机动态实现,因此极大地减少了网络管理员的维护工作,同时也提高了VXLAN报文的安全性。
附图说明
图1是使用以太网VPN(Ethernet Virtual Private Network,EVPN)进行跨数据中心部署时采用的网络拓扑结构示意图;
图2是本发明实施例一种VXLAN隧道的动态加密方法的流程图;
图3是本发明实施例一种VXLAN隧道的动态加密方法中新定义EVPN type3路由的数据字段结构;
图4是本发明实施例一种VXLAN隧道的动态加密方法中加密计算的原理图。
具体实施方式
目前,在现有的VXLAN机制中,无论是维护管理,还是VXLAN报文的安全性上都存在不足。如图1所示为使用以太网VPN(Ethernet Virtual Private Network,EVPN)进行跨数据中心部署时采用的网络拓扑结构示意图。其中:
1.VXLAN隧道终端(VXLAN Tunnel End Point,VTEP)的VTEP1与VTEP2之间在通过Internet保证三层ip路由可达的前提下,通过EVPN type3路由实现VXLAN隧道的动态建立;
2.VM1发送的原始报文在VTEP1上通过查找转发表(可以是二层转发也可以是三层转发)发现出接口是VXLAN隧道之后,通过给原始报文进行加封装处理,然后根据VXLAN外层头部信息在internet网络当中进行转发,最终到达VTEP2设备上;
3.VTEP2设备根据收到的报文的外层头部信息,确认是发送给自己的VXLAN报文之后,进行相应的解封装处理,恢复为原始报文之后,再根据VTEP2上的转发表项完成报文的转发,最终发送给VM2;
4.反向的报文交互过程与上面完全相反,这里不再赘述。
由上述数据报文转发过程可以发现,VXLAN报文在internet网络中进行转发时,是完全可见的,不具备任何的安全特性。同时,现有的VXLAN配置方法一般包括两种,一种是由管理员手工静态配置VXLAN隧道,并且在VXLAN隧道两端预先设好需要使用的加密密钥;另一种则是借助EVPN技术,动态完成VXLAN隧道的建立,但是针对VXLAN隧道的加密密钥,仍旧是需要由管理员手工指定。由此可见在现有技术中,目前还没有一种可以解决VXLAN网络安全性,以及解决网络配置繁琐的方法。
本发明实施例中公开了一种VXLAN隧道的动态加密方法。通过本方案提出的方法,可以将VXLAN隧道的建立,密钥的交互,报文的加密解密等所有的工作全部交由交换机动态实现,因此极大地减少了网络管理员的维护工作,同时也提高了VXLAN报文的安全性。
为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
本发明实施例提供了一种VXLAN隧道的动态加密方法,可以适用于任意VXLAN的网络环境中,如图2所示,所述VXLAN隧道的动态加密方法可以包括如下步骤:
步骤S101,针对具有相同网络标识符的VXLAN,两侧VXLAN隧道终端通过密钥协商获取公有值,作为VXLAN隧道加密密钥。
在具体实施中,所述两侧VXLAN隧道终端通过密钥协商获取公有值可以包括如下步骤:
步骤S1011,所述VXLAN隧道终端通过随机函数生成第一随机数,对端VXLAN隧道终端通过随机函数生成第二随机数。
步骤S1012,VXLAN隧道终端和对端VXLAN隧道终端分别通过公开参数底数和公开参数模数对所述第一随机数和第二随机数作幂运算和模运算,分别得到计算结果。
步骤S1013,VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果;
在具体实施中,所述VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果可以包括:VXLAN隧道终端和对端VXLAN隧道终端通过将各自的所述计算结果分别放入EVPN type3路由中的预定义的加密密钥字段,进而通过type3路由交互,得到对端的计算结果。
步骤S1014,虚拟通道通终端通过将对端VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第一随机数作幂运算和模运算,计算得到所述公有值;
步骤S1015,对端VXLAN隧道终端通过将VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第二随机数作幂运算和模运算,计算得到所述公有值。由此,VTEP两端生成了针对相同VNI所产生的VXLAN隧道加密密钥。
下面结合图1,图3和图4所示,以示例方式对上述步骤S1011至步骤S1015进行具体描述:
(1)VTEP1和VTEP2上分别针对相同VNI,通过随机函数生成一个随机数a和b;
(2)VTEP1和VTEP2通过使用双方确认共享公开的两个参数,底数g和模数p,各自用随机数a和b进行幂和模运算,从而得到结果C和D;
(3)将上述计算产生的结果C和D放入EVPN type3路由当中的encryption key字段,两端通过type3路由交互之后,各自得到对端的计算结果;
(4)各自进一步计算,得到一个共同的迪菲-赫尔曼密钥交换(DIffie-Hellmankey exchange,DH)公有值:D^a mode(p)=C^b mode(p)=g^ab mode(p)。此公式可用于从数学上证明,而这个DH公有值就是双方VXLAN隧道所采用的的加密密钥。
若网络当中的第三方截获了双方的模C和D,那么要想计算出DH公有值,还需要获得a或者b的值。但是a和b始终没有直接在网络上进行传输过。如果想由模C或者模D反向计算a或者b的值,在数学上已经证明了其计算复杂度非常高,因此可认为是不可实现的。所以通过上述的DH交换技术可以保证双方能够安全地获得密钥消息。
步骤S102,VXLAN隧道终端通过所述加密密钥对内层报文信息进行加密处理;
在具体实施中,当发现报文的出接口为VXLAN隧道,VXLAN隧道终端通过所述加密密钥为所述报文加密处理,并将一预设字段设为加密标识。当所述加密标识位数值为0时,判定为未加密;当所述加密标识位数值为1时,判定为加密。
如图1所示,如果VM1发送原始报文到达VTEP1上,通过查找转发表(可以是二层转发也可以是三层转发)发现出接口是VXLAN隧道之后,则VTEP1设备首先给原始报文进行VXLAN的加封装处理,然后再根据步骤S1011至步骤S1015当中生成的密钥,将VXLAN报文当中的内层报文信息进行加密处理(具体的加密方法可自由选择)。最后再根据VXLAN外层头部信息在internet网络当中进行转发,直至VXLAN报文被送到VTEP2设备上。
步骤S103,对端VXLAN隧道终端通过所述加密密钥对内层报文信息进行解密处理。
在具体实施中,当对端VXLAN隧道终端检测到报文中所述预设字段设置为加密标识后,通过所述加密密钥对所述报文进行解密处理。如图1所示,VTEP2设备在收到VXLAN报文之后,确认是发送给自己的VXLAN报文之后,进行相应的解封装处理和解密处理。这里将VXLAN头部当中预留的一个bit,充当加密位。当该bit置为0时,表示后面的原始报文未加密,这里和协议初始定义的Reserved字段全为0保持一致。当该bit置为1时,则表示后面的原始报文进行了加密处理。此时使用步骤2当中计算出的密钥进行解密操作,最终恢复为原始报文之后,再根据VTEP2上的转发表项完成报文的转发,最终发送给VM2。
以上所描述的示例是从VM1到VM2的报文处理过程,从VM2到VM1的反向报文交互过程与上面完全相反,这里不再赘述。
在现有技术中,VXLAN隧道借助EVPN实现动态建立,但针对VXLAN隧道的加密,还是需要管理员手动设置;并且,没有很好的借助EVPN将VXLAN隧道的动态建立和密钥交互进行有效结合。通过本发明实施例,VXLAN隧道的建立,密钥的交互,报文的加密解密,所有的工作全部交给交换机动态实现,因此极大的减少了网络管理员的维护工作,并且也提高了VXLAN报文的安全性。
本发明实施例还提供了另一种VXLAN隧道的动态加密系统,与第一个实施例中的VXLAN隧道的动态加密方法相对应。所述VXLAN隧道的动态加密系统可以包括:
加密计算模块,用于针对具有相同网络标识符的VXLAN,通过密钥协商获取公有值,作为VXLAN隧道加密密钥;
加密处理模块:用于通过所述加密密钥对内层报文信息进行加密处理;
解密处理模块,用于通过所述加密密钥对内层报文信息进行解密处理。
在具体实施中,所述加密处理模块用于当发现报文的出接口为VXLAN隧道,VXLAN隧道终端通过所述加密密钥为所述报文加密处理,并将一预设字段设为加密标识;所述解密处理模块用于当对端VXLAN隧道终端检测到报文中所述预设字段设置为加密标识后,通过所述加密密钥对所述报文进行解密处理。
在上述的具体实施中,所述加密标识位数值为0时,判定为未加密;当所述加密标识位数值为1时,判定为加密。
在具体实施中,所述加密计算模块用于,所述VXLAN隧道终端通过随机函数生成第一随机数,对端VXLAN隧道终端通过随机函数生成第二随机数;VXLAN隧道终端和对端VXLAN隧道终端分别通过公开参数底数和公开参数模数对所述第一随机数和第二随机数作幂运算和模运算,分别得到计算结果;VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果;虚拟通道通终端通过将对端VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第一随机数作幂运算和模运算,计算得到所述公有值;对端VXLAN隧道终端通过将VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第二随机数作幂运算和模运算,计算得到所述公有值。
在上述的具体实施中,VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果包括:VXLAN隧道终端和对端VXLAN隧道终端通过将各自的所述计算结果分别放入EVPN type3路由中的预定义的加密密钥字段,进而通过type3路由交互,得到对端的计算结果。
本领域的技术人员可以理解的是,由于本实施例和第一实施例为基于同一发明构思,因此关于本实施例的具体方案,可以参照第一实施例的相应内容,此处不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (10)
1.一种VXLAN隧道的动态加密方法,其特征在于,包括:
针对具有相同网络标识符的VXLAN,两侧VXLAN隧道终端通过密钥协商获取公有值,作为VXLAN隧道加密密钥;
VXLAN隧道终端通过所述加密密钥对内层报文信息进行加密处理,对端VXLAN隧道终端通过所述加密密钥对内层报文信息进行解密处理。
2.如权利要求1所述的VXLAN隧道的动态加密方法,其特征在于,
VXLAN隧道终端通过所述加密密钥对内层报文信息进行加密处理包括:当发现报文的出接口为VXLAN隧道,VXLAN隧道终端通过所述加密密钥为所述报文加密处理,并将一预设字段设为加密标识;
对端VXLAN隧道终端通过所述加密密钥对内层报文信息进行解密处理包括:当对端VXLAN隧道终端检测到报文中所述预设字段设置为加密标识后,通过所述加密密钥对所述报文进行解密处理。
3.如权利要求2所述的VXLAN隧道的动态加密方法,其特征在于,所述加密标识位数值为0时,判定为未加密;当所述加密标识位数值为1时,判定为加密。
4.如权利要求1所述的VXLAN隧道的动态加密方法,其特征在于,所述两侧VXLAN隧道终端通过密钥协商获取公有值包括:
所述VXLAN隧道终端通过随机函数生成第一随机数,对端VXLAN隧道终端通过随机函数生成第二随机数;
VXLAN隧道终端和对端VXLAN隧道终端分别通过公开参数底数和公开参数模数对所述第一随机数和第二随机数作幂运算和模运算,分别得到计算结果;
VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果;
虚拟通道通终端通过将对端VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第一随机数作幂运算和模运算,计算得到所述公有值;
对端VXLAN隧道终端通过将VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第二随机数作幂运算和模运算,计算得到所述公有值。
5.如权利要求3所述的VXLAN隧道的动态加密方法,其特征在于,VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果包括:
VXLAN隧道终端和对端VXLAN隧道终端通过将各自的所述计算结果分别放入EVPNtype3路由中的预定义的加密密钥字段,进而通过type3路由交互,得到对端的计算结果。
6.一种VXLAN隧道的动态加密系统,其特征在于,两侧VXLAN隧道终端包括:
加密计算模块,用于针对具有相同网络标识符的VXLAN,通过密钥协商获取公有值,作为VXLAN隧道加密密钥;
加密处理模块:用于通过所述加密密钥对内层报文信息进行加密处理;
解密处理模块,用于通过所述加密密钥对内层报文信息进行解密处理。
7.如权利要求6所述的VXLAN隧道的动态加密系统,其特征在于,
所述加密处理模块用于当发现报文的出接口为VXLAN隧道,VXLAN隧道终端通过所述加密密钥为所述报文加密处理,并将一预设字段设为加密标识;
所述解密处理模块用于当对端VXLAN隧道终端检测到报文中所述预设字段设置为加密标识后,通过所述加密密钥对所述报文进行解密处理。
8.如权利要求7所述的VXLAN隧道的动态加密系统,其特征在于,所述加密标识位数值为0时,判定为未加密;当所述加密标识位数值为1时,判定为加密。
9.如权利要求6所述的VXLAN隧道的动态加密系统,其特征在于,所述加密计算模块用于,
所述VXLAN隧道终端通过随机函数生成第一随机数,对端VXLAN隧道终端通过随机函数生成第二随机数;
VXLAN隧道终端和对端VXLAN隧道终端分别通过公开参数底数和公开参数模数对所述第一随机数和第二随机数作幂运算和模运算,分别得到计算结果;
VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果;
虚拟通道通终端通过将对端VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第一随机数作幂运算和模运算,计算得到所述公有值;
对端VXLAN隧道终端通过将VXLAN隧道终端的计算结果作为底数,以及公开参数模数,对所述第二随机数作幂运算和模运算,计算得到所述公有值。
10.如权利要求9所述的VXLAN隧道的动态加密系统,其特征在于,VXLAN隧道终端和对端VXLAN隧道终端通过路由交互获得对端的计算结果包括:
VXLAN隧道终端和对端VXLAN隧道终端通过将各自的所述计算结果分别放入EVPNtype3路由中的预定义的加密密钥字段,进而通过type3路由交互,得到对端的计算结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811352143.3A CN109361684B (zh) | 2018-11-14 | 2018-11-14 | 一种vxlan隧道的动态加密方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811352143.3A CN109361684B (zh) | 2018-11-14 | 2018-11-14 | 一种vxlan隧道的动态加密方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361684A true CN109361684A (zh) | 2019-02-19 |
| CN109361684B CN109361684B (zh) | 2021-05-25 |
Family
ID=65345117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811352143.3A Active CN109361684B (zh) | 2018-11-14 | 2018-11-14 | 一种vxlan隧道的动态加密方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361684B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037684A (zh) * | 2019-12-24 | 2021-06-25 | 中国电信股份有限公司 | VxLan隧道认证方法、装置和系统及网关 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237461A (zh) * | 2008-03-10 | 2008-08-06 | 杭州华三通信技术有限公司 | 流加密及解密方法及装置 |
| CN101540999A (zh) * | 2008-03-19 | 2009-09-23 | 华为技术有限公司 | 一种建立安全数据隧道的方法及设备 |
| CN101547091A (zh) * | 2008-03-28 | 2009-09-30 | 上海华为技术有限公司 | 一种信息发送的方法及装置 |
| CN103618596A (zh) * | 2013-05-15 | 2014-03-05 | 盛科网络(苏州)有限公司 | Vxlan隧道中内层信息的加密方法 |
| EP2951973A1 (en) * | 2013-01-31 | 2015-12-09 | BAE Systems PLC | Data transfer |
| US20160330112A1 (en) * | 2015-05-07 | 2016-11-10 | Mellanox Technologies Ltd. | Network-based computational accelerator |
| CN106878278A (zh) * | 2017-01-09 | 2017-06-20 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN107819685A (zh) * | 2016-09-13 | 2018-03-20 | 华为数字技术(苏州)有限公司 | 一种数据处理的方法以及网络设备 |
| EP3319277A1 (en) * | 2016-11-08 | 2018-05-09 | Telia Company AB | Provision of access to a network |
-
2018
- 2018-11-14 CN CN201811352143.3A patent/CN109361684B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237461A (zh) * | 2008-03-10 | 2008-08-06 | 杭州华三通信技术有限公司 | 流加密及解密方法及装置 |
| CN101540999A (zh) * | 2008-03-19 | 2009-09-23 | 华为技术有限公司 | 一种建立安全数据隧道的方法及设备 |
| CN101547091A (zh) * | 2008-03-28 | 2009-09-30 | 上海华为技术有限公司 | 一种信息发送的方法及装置 |
| EP2951973A1 (en) * | 2013-01-31 | 2015-12-09 | BAE Systems PLC | Data transfer |
| CN103618596A (zh) * | 2013-05-15 | 2014-03-05 | 盛科网络(苏州)有限公司 | Vxlan隧道中内层信息的加密方法 |
| US20160330112A1 (en) * | 2015-05-07 | 2016-11-10 | Mellanox Technologies Ltd. | Network-based computational accelerator |
| CN107819685A (zh) * | 2016-09-13 | 2018-03-20 | 华为数字技术(苏州)有限公司 | 一种数据处理的方法以及网络设备 |
| EP3319277A1 (en) * | 2016-11-08 | 2018-05-09 | Telia Company AB | Provision of access to a network |
| CN106878278A (zh) * | 2017-01-09 | 2017-06-20 | 新华三技术有限公司 | 一种报文处理方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037684A (zh) * | 2019-12-24 | 2021-06-25 | 中国电信股份有限公司 | VxLan隧道认证方法、装置和系统及网关 |
| CN113037684B (zh) * | 2019-12-24 | 2022-05-24 | 中国电信股份有限公司 | VxLan隧道认证方法、装置和系统及网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361684B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230188334A1 (en) | Quantum key distribution method and device, and storage medium | |
| CN107453868B (zh) | 一种安全高效的量子密钥服务方法 | |
| CN104486307B (zh) | 一种基于同态加密的分权密钥管理方法 | |
| CN109995513B (zh) | 一种低延迟的量子密钥移动服务方法 | |
| CN104935594B (zh) | 基于虚拟可扩展局域网隧道的报文处理方法及装置 | |
| CN104092668B (zh) | 一种可重构网络安全服务构造方法 | |
| Jin et al. | A secure and lightweight data access control scheme for mobile cloud computing | |
| CN101523797A (zh) | 通信网络中的密码密钥管理 | |
| CN100401706C (zh) | 一种虚拟专网客户端的接入方法及系统 | |
| CN102761494B (zh) | 一种ike协商处理方法及装置 | |
| CN107852411A (zh) | 在多路径环境下对IPsec隧道的高效使用 | |
| CN103684958B (zh) | 提供弹性vpn服务的方法、系统和vpn服务中心 | |
| CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
| CN111342952A (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| Fei et al. | The research and implementation of the VPN gateway based on SSL | |
| CN107659400A (zh) | 一种基于标识识别的量子保密通信方法及装置 | |
| CN102420740B (zh) | 用于路由协议的密钥管理方法和系统 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| CN103346950B (zh) | 一种机架式无线控制器用户业务板间负载均摊方法及装置 | |
| CN107645445A (zh) | 一种基于虚拟节点技术的sdn网络跨域通信方法 | |
| Zhu | Research of hybrid cipher algorithm application to hydraulic information transmission | |
| CN109361684A (zh) | 一种vxlan隧道的动态加密方法和系统 | |
| Ricci et al. | Hybrid Keys in Practice: Combining Classical, Quantum and Post-Quantum Cryptography | |
| Chen et al. | Application of homomorphic encryption in blockchain data security | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 215000 unit 13 / 16, 4th floor, building B, No.5 Xinghan street, Suzhou Industrial Park, Jiangsu Province Patentee after: Suzhou Shengke Communication Co.,Ltd. Address before: Unit 13 / 16, floor 4, building B, No. 5, Xinghan street, Suzhou Industrial Park, Suzhou, Jiangsu Province, 215000 Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd. |
|
| CP03 | Change of name, title or address |