CN111010274B - 一种安全低开销的SRv6实现方法 - Google Patents
一种安全低开销的SRv6实现方法 Download PDFInfo
- Publication number
- CN111010274B CN111010274B CN201911398858.7A CN201911398858A CN111010274B CN 111010274 B CN111010274 B CN 111010274B CN 201911398858 A CN201911398858 A CN 201911398858A CN 111010274 B CN111010274 B CN 111010274B
- Authority
- CN
- China
- Prior art keywords
- controller
- controlled
- srv6
- sid
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种安全低开销的SRv6实现方法,涉及数据通信网络技术领域,包括步骤:控制器以加密的方式将每个受控设备的设备公钥分享给其余受控设备,并以加密的方式发送控制器第二公钥给各受控设备;控制器基于路由中各受控设备的SID出现的频次,使用哈夫曼编码方法对SID编码;SRV6控制域入口的受控设备按照预设的SRv6V封装报文和SR路径,同时采用设备公钥或私钥对SR路径上编码后的SID加密,转发封装后的报文,各受控设备接收报文解密编码后的SID得到IPv6地址,再根据FIB表查找对应出口转发报文。本发明减少SRv6的分段路由开销,在路由信息在传送过程中以及存储时,有效的防止路由信息被窃听、篡改和伪造。
Description
技术领域
本发明涉及数据通信网络技术领域,一种安全低开销的SRv6实现方法。
背景技术
互联网的重要性已是众所周知。互联网也已成为人们无法离开的强有力的信息获取工具,在人们的工作和生活中扮演着极其重要的角色。而互联网也是依靠各种各样的网络技术和方法建立的。
互联网本质上是由许许多多的网络设备和计算机组成,计算机是互联网中服务的提供者和使用者,网络设备则组成服务提供者和服务使用者之间的桥梁。互联网主要的功能可以归纳为三大类:传送、计算和存储,其中主要功能之一的传送是由网络设备完成的。
由于连接到互联网中的网络设备和计算机都是海量的,因此,如何高效的将信息从信息源安全、高效的传送到信息目的地并不是一件简单的事。换句话说,如何为互联网中的信息找到安全、高效的路由是很复杂、很困难的任务。
关于互联网路由的研究已持续几十年,而且仍将长期持续下去。积累的研究成果也很可观。从IGP(Interior Gateway Protocols,内部网关协议)到BGP(Border GatewayProtocol,边界网关协议),从距离矢量方法到链路状态方法,从由每一跳来决定路由到由源端决定路由等等,都代表着路由相关技术和方法演进和发展的历程。
SR(Segmentrouting,分段路由)是近期出现并很快成为研究热点的技术,SR架构基于源路由。源节点(路由器、主机或其它设备)选择路径,并且引导报文沿着该路径通过网络,具体实施是在数据报头中插入带顺序的段列表(segment list),以指示收到这些报文的节点怎么去转发和处理这些报文。
SR能够使网络更加简化,并具有良好的可扩展能力,主要体现在以下方面:
更简单的控制平面:对现在的控制平面进行简化,如:在MPLS(Multi-ProtocolLabel Switching,多协议标签交换)网络中,不再需要部署复杂的LDP(LabelDistribution Protocol,标签分发协议)/RSVP-TE(Resource ReSerVationProtocol-Traffic E,基于流量工程扩展的资源预留协议),只需要设备通过IGP路由协议对SR的扩展来实现标签分发和同步,或者由控制器统一负责SR标签的分配,并下发和同步给设备。
易扩展的数据平面:复用已有的MPLS和IPv6转发平面,网络设备不做改动或者进行小的改动,如:在MPLS网络中,segment就是MPLS标签,路径就是标签栈,在IPv6网络中,segment就是IPv6地址路径就是封装在路由表项中的IPv6地址列表。
SR面向MPLS的设计由于MPLS标签可作为分段标识,基本可以说是一脉相承,无缝衔接。SR面向IPv6的设计则并不能如此简单。虽然IETF有一个工作组草案把IPv6地址作为分段标识(Segment Identification,SID),业界对SRv6中SID的表示都是定长的,比如SRv6的普通实现方法是采用IPv6地址,共128个比特。但是,定长SID的表示相对于网络的实际情况来说并不科学,因为不同设备的功能性能差异巨大,在网络中的地位不一样,在段路由中出现的频率也不一样。
另一方面,路由信息本身的安全也是互联网中既重要、又难以解决的问题。路由信息的窃取、篡改和伪造带来了很多网络安全方面的问题,给信息传送带来了很大风险。路由信息的窃取、篡改和伪造存在于两个环节:在路由信息传送过程中和路由信息存储时。路由信息安全在以SR为代表的源路由中更为显著,由于SR的路由在报文进入源节点时就已决定,对路由的窃取、篡改和伪造就变得更加确定、简单。
如果能够找到一种解决方案能解决上述问题,使得SRv6的分段路由开销既能明显的减少,同时,使路由信息在传送过程中以及存储时能够有效的防止路由信息被窃取、篡改和伪造,那对SRv6的实现和应用应有极大帮助。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种安全低开销的SRv6实现方法,减少SRv6的分段路由开销,在路由信息在传送过程中以及存储时,有效的防止路由信息被窃听、篡改和伪造。
为达到以上目的,一方面,采取一种安全低开销的SRv6实现方法,包括步骤:
控制器以加密的方式将每个受控设备的设备公钥分享给其余受控设备,并以加密的方式发送控制器第二公钥给各受控设备;
控制器基于路由中各受控设备的SID出现的频次,使用哈夫曼编码方法对SID编码;
SRv6控制域入口的受控设备按照预设的SRv6V封装报文和SR路径,同时采用设备公钥或私钥对SR路径上编码后的SID加密,转发封装后的报文,各受控设备接收报文解密编码后的SID得到IPv6地址,再根据FIB表查找对应出口转发报文。
优选的,所述SRv6控制域包括控制器及受控设备,所述公钥仅为SRv6控制域内控制器和受控设备所知,SRv6控制域外的设备不可知。
优选的,所述控制器以加密的方式将每个受控设备的设备公钥分享给其余受控设备,并以加密的方式发送控制器第二公钥给各受控设备,具体包括:
控制器明文发送控制器第一公钥给所有受控设备,各受控设备分别以控制器第一公钥加密发送各自的设备公钥给控制器;
控制器将各设备公钥以加密的方式发送给其余受控设备,再以各设备公钥加密控制器第二公钥发送给各受控设备。
优选的,所述控制器将各设备公钥以加密的方式发送给其余受控设备,具体为:
控制器以控制器第一私钥加密各受控设备的设备公钥,群发给除该受控设备外的其余受控设备;
或者,控制器将各受控设备的设备公钥,分别以其余受控设备的设备公钥加密,点对点的发送给其余受控设备。
优选的,控制器将控制数据以控制器私钥加密群发给多个受控设备,或者,以单个受控设备的设备公钥加密发送给对应的受控设备;
受控设备以自身设备私钥加密报文群发给其他多个受控设备,或者,以单个受控设备的设备公钥加密报文发送给该受控设备。
优选的,控制器获取各受控设备的SID包括:
控制器获取各受控设备的报文段路由头部中SID的统计信息,若无法获取所述统计信息,则使用SR路由信息中SID的统计信息;所述控制器根据统计信息得到SID出现的频次。
优选的,SRv6控制域入口的受控设备按照预设的SRv6V1封装报文和SR路径包括:
将编码后的SID按比特序排列形成一个低开销的SID表代替原SRv6头部的SID表,且该低开销的SID表是以加密数据的形式存在,其余格式与原SRv6头部格式相同;
根据是否能够实现编码解析区分SRv6V1和SRv6,若能实现编码解析则判定为SRv6V1;或者,使用FLAG的一个比特作为标记位,以此区分SRv6V1和SRv6。
优选的,SRv6控制域入口的受控设备按照预设的SRv6V2封装报文和SR路径包括:
将编码后的每个SID按照长度通过比特扩展至整字节,每个扩展后的SID单独加密,所有加密后的SID排列在一起代替原SRv6头部的SID表;
使用FLAG的一个比特作为标记位,以此区分SRv6V2和SRv6。
优选的,所述控制器和各受控设备存储的FIB表中,每条表项都包括编码后的SID、IPv6地址和校验码,所述校验码基于编码后的SID、IPv6和该受控设备的设备私钥产生;
所述控制器存储的FIB表包括所有受控设备对应的表项;
所述各受控设备存储的FIB表包括所有受控设备对应的表项,或者,仅包括与当前受控设备关联的其他受控设备对应的表项;
受控设备定时计算其校验码,并与控制器存储的FIB表中对应表项的校验码相比较,如果不一致,说明该条表项为篡改或伪造,如果一致,说明该表项为真实表项。
优选的,受控设备将校验码比较不一致表项的序号发送给控制器,如果控制器的FIB表中有该条表项,则该受控设备的对应表项为篡改,通过向控制器请求该表项中编码后的SID和IPv6地址,恢复受控设备的对应表项;如果控制器没有该条表项,则该受控设备的对应表项为伪造,直接删除该条表项。
上述技术方案中的具有如下有益效果:
通过使用哈夫曼编码方法对SID编码,使传送数据需要的编码长度最短,大大减少了开销。例如,一个网络中包含SIDx和SIDy,有可能SIDx在路由中或携带SRH(段路由头部)出现10000次,而SIDy则只出现1次,这样大的区别定长编码显然不是好的解决方案。如上面的10000次SIDx和1次SIDy,如果均采用128比特,则需要1280128比特;如果均采用32比特,则需要320032比特。但是采用本发明的方法,如果SIDx用1比特编码,而SIDy即使用1024比特编码,一共也只需要11024比特,大大减少了SRv6的分段路由开销。
仅在SRv6控制域内传递秘钥,并且采用加密的方式传递公钥和私钥,基于安全密钥来传递路由相关信息,使得路由信息无法被窃取、篡改和伪造。
各受控设备定时计算存储FIB(Forward Information dataBase,转发信息库)表的校验码,通过与控制器上FIB表比对来识别表象是否被被篡改和伪造,并能够自动恢复被篡改表项。并且,校验码基于编码后的SID、IPv6和该受控设备的设备私钥产生,很难被SRv6控制域伪造,进一步提高安全性。
附图说明
图1为实施例安全低开销的SRv6实现方法流程图;
图2为实施例SRv6控制域的示意图;
图3为实施例SRv6控制域内公钥共享的示意图;
图4为实施例使用哈夫曼编码方法对SID编码示意图;
图5为实施例SRv6的SRH头部格式示意图;
图6为实施例SRv6V1的SRH头部格式示意图;
图7为实施例SRv6V2的SRH头部格式示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1所示,提供一种安全低开销的SRv6实现方法的实施例,是整个SRv6控制域的整个流程,包括步骤:
S1.控制器以加密的方式将每个受控设备的设备公钥分享给其余受控设备,并以加密的方式发送控制器第二公钥给各受控设备。
如图2所示,为整个SRv6控制域的示意图,由一台或多台控制器、以及受控设备组成,SRv6控制域是一个相对独立的网段或子网,SRv6控制域内的受控设备是普通的网络设备,控制器是一台独立控制器、NMS(Network Management System,网络管理系统)的一个模块或者其它形态。上述公钥仅为SRv6控制域内控制器和受控设备所知,SRv6控制域外的设备不可知。
S2.基于熵值最大原则,控制器根据路由中各受控设备的SID出现的频次,使用哈夫曼编码方法对SID编码。编码的结果是对应当前源路由集编码,目标是所有传送的携带源路由信息的报文用于SID的开销最短。
S3.SRv6控制域入口的受控设备按照预设的SRv6V封装报文和SR路径,同时采用设备公钥或私钥对SR路径上编码后的SID加密,转发封装后的报文。
S4.各受控设备接收报文解密编码后的SID得到IPv6地址,再根据FIB表查找对应出口转发报文。
上述过程中,步骤S1和步骤S2可以交换顺序,也可以同时进行。
如图3所示,提供一种步骤S1的具体实施方式,每台控制器都设计有两对私钥/公钥对,控制器第一私钥(Ksp1)/控制器第一公钥(Ksq1)、以及控制器第二私钥(Ksp2)/控制器第二公钥(Ksq2),每个受控设备均设计有一对设备私钥(Kdpx)/设备公钥(Kdqx),其中x为受控设备的编号。本实施例中以一台控制器为例,详细步骤如下:
S101.控制器将控制器第一公钥明文发所有受控设备。
S102.各受控设备收到控制器第一公钥后,将该受控设备的设备公钥以控制器第一公钥加密,发送给控制器。
S103.控制器将各设备公钥以加密的方式发送给其余受控设备。本实施例中,控制器将各受控设备的设备公钥均以控制器第一私钥加密,并以群发的方式发送给除该受控设备之外的其余受控设备。
在其他的实施例中,控制器也可以将各受控设备的设备公钥以分别以其他的受控设备的设备公钥加密,点对点的发送给对应的其余受控设备。例如,控制器以Kdq1分别以Kdq2加密,将编号为1的受控设备的Kdq1发送编号为2的受控设备。
S104.控制器将控制器第二公钥以各设备公钥加密,分别对应发送给各受控设备。
上述过程中,只有S101使用明文,但不会带来安全问题,并且控制器第一公钥在传送之后不再使用。上述过程把控制器的控制器第二公钥和受控设备的设备公钥的传送均处于加密状态,在SRv6控制域内得到安全的共享,但不被SRv6控制域外的任何设备得到。当具有多个控制器的时候,也是根据上述过程进行公钥的共享。
完成上述步骤之后,就可以在控制器和受控设备之间、以及各受控设备之间互发数据。具体的,控制器将控制数据以控制器第二私钥加密,以类似于组播的方式群发给各受控设备;或者,控制器将控制数据以要发送的受控设备的设备公钥加密,以点对点的方式发送给该设备。例如,控制器将控制数据,以Kdq1加密后,发送给编号为1的受控设备;以Kdq2加密后,发送给编号为2的受控设备。
受控设备以自身的设备私钥加密报文,群发给其他路由关联的多个受控设备,接收到报文的受控设备以该设备(发送报文的受控设备)的公钥解密报文。或者,受控设备以其他单个受控设备的设备公钥加密报文,发送给对应的受控设备,对应的受控设备以其设备私钥解密报文。
上述加密解密过程中,如果能以公钥加密实现功能的尽可能以公钥加密;如果用公钥加密实现功能比较困难、过于复杂或实现代价过高时,才使用相关私钥加密。
基于上述步骤S2,提供两种获得受控设备的SID出现频次的实施例。一种实施例是,控制器基于报文SRH头部SID的统计信息,根据统计信息获得SID的出现频次,这个统计信息包含历史统计信并且是动态周期性更新的。另一种实施例是,基于获得SID在路由信息中的出现频次。
在上述两种获得SID出现频次的实施例中,基于报文SRH头部SID的统计信息优先,如果能够得到关于报文SRH头部SID的统计信息,则使用该统计信息。如果不能,则使用SR路由信息中SID的统计信息,SID路由信息是通过配置产生的,因此总可以得到。
如表1所示,为各受控设备SID在路由中的出现频次的例子,其中左边为被控设备名,右边为在路由中出现次数,即频次。
表1
| 被控设备名 | 路由中出现次数 |
| 1 | 200 |
| 2 | 1000 |
| 3 | 901 |
| 4 | 1899 |
| 5 | 788 |
| 6 | 233 |
| 7 | 601 |
如图4所示,为使用哈夫曼编码方法对SID编码的示意图,图4中1-9的数字为被控设备名,每个二叉树中节点的左子树编码0,右子树编码1,从树根到叶子上所有编码综合起来就是SID的编码,使用哈夫曼编码方式为SID编码,出现频次较高的SID编码较短,使得传送报文需要的编码长度最短,节省开销。
基于上述步骤S3,提供一种受控设备按照预设的SRv6V封装报文和SR路径的实施例。如图5所示,是IETF关于SRv6头部的封装信息。在IETF技术文档“draft-ietf-6man-segment-routing-header.txt”中定义,该SRv6头部是IPv6针对SR的一个扩展头部,主要目标是在该头部中封装SR信息。
如图6所示,为本实施例中SRv6头部的一个变体SRv6V1。与SRv6头部相比,SRv6V1头部改动较小,仅仅是根据哈夫曼编码方法对SID编码后,将编码后的SID按比特序排列形成一个低开销的SID表代替原SRv6头部的SID表。需要特别说明的是,该低开销的SID表是以加密数据的形式存在的。SRv6V1可以与原SRv6头完全兼容,除SID表外的其它部分不做任何修改,收到报文的受控设备解码时,可以先按上述编码来解码SID表,如能解码,则说明是SRv6V1,如果不能解码,则说明是SRv6。或者,也可以使用FLAG的一个比特作为标记位,通过标记位中的标记,来区分SRv6V1和SRv6。
如图7所示,提供另外一种受控设备按照预设的SRv6V封装报文和SR路径的实施例,图7为SRv6头部的一个变体SRv6V2。相对于SRv6头部,SRv6V2头部改动稍大,将编码后的每个SID按照编码后的长度,通过比特扩展至整字节,如5比特扩展到1字节,30比特扩展到4字节。每个扩展后的SID单独加密,所有加密后的SID排列在一起代替原SRv6头部的SID表。本实施例中,使用FLAG的一个比特作为标记位,以此区分SRv6V2和SRv6。图7中SID LEN表示后面SID的长度,“AAAA”是保留字节。
基于上述各实施例,提供一种FIB表的实施例。控制器和各受控设备均存储FIB表,如表2所示,为了便于描述,只有第一行给出了例子,FIB表的每条表项都包括编码后的SID、IPv6地址和校验码,编码后的SID转换为十进制,即为表项序号,也就是说,可以通过编码后的SID直接寻址,相对于现有技术,可以减少一次查询。FIB表中的校验码是基于编码后的SID、IPv6和该受控设备的设备私钥产生,由于设备私钥仅该受控设备可知,外界不可知,因此产生的校验码外界很难伪造。另外,控制器存储的FIB表包括所有受控设备对应的表项。各受控设备存储的FIB表包括所有受控设备对应的表项,或者,各受控设备存储的FIB表仅包括与当前受控设备关联的其他受控设备对应的表项,这样可以节约更多存储空间。
表2
本实施例中,FIB表中的表项很难被篡改和伪造,即使篡改和伪造发生,该受控设备根据校验码也可容易识别出伪造或篡改的表项,从而纠正和恢复,具体过程如下:
每个受控设备定时计算其校验码,将算出的校验码与控制器存储的FIB表中对应表项的校验码相比较,如果一致,说明该表项为真实表项,不用处理;如果不一致,说明该条表项为篡改或伪造。
受控设备将校验码比较不一致表项的序号发送给控制器,如果控制器的FIB表中有该条表项,则该受控设备的对应表项为篡改,通过向控制器请求该表项中编码后的SID和IPv6地址,恢复该受控设备的对应表项;如果控制器没有该条表项,则该受控设备的对应表项为伪造,该受控设备直接删除该条表项。
本发明不局限于上述实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (10)
1.一种安全低开销的SRv6实现方法,其特征在于,包括步骤:
控制器以加密的方式将每个受控设备的设备公钥分享给其余受控设备,并以加密的方式发送控制器第二公钥给各受控设备;
控制器基于路由中各受控设备的SID出现的频次,使用哈夫曼编码方法对SID编码;
SRv6控制域入口的受控设备按照预设的SRv6V封装报文和SR路径,同时采用设备公钥或私钥对SR路径上编码后的SID加密,转发封装后的报文,各受控设备接收报文解密编码后的SID得到IPv6地址,再根据FIB表查找对应出口转发报文。
2.如权利要求1所述的安全低开销的SRv6实现方法,其特征在于:所述SRv6控制域包括控制器及受控设备,所述公钥仅为SRv6控制域内控制器和受控设备所知,SRv6控制域外的设备不可知。
3.如权利要求1所述的安全低开销的SRv6实现方法,其特征在于,所述控制器以加密的方式将每个受控设备的设备公钥分享给其余受控设备,并以加密的方式发送控制器第二公钥给各受控设备,具体包括:
控制器明文发送控制器第一公钥给所有受控设备,各受控设备分别以控制器第一公钥加密发送各自的设备公钥给控制器;
控制器将各设备公钥以加密的方式发送给其余受控设备,再以各设备公钥加密控制器第二公钥发送给各受控设备。
4.如权利要求3所述的安全低开销的SRv6实现方法,其特征在于,所述控制器将各设备公钥以加密的方式发送给其余受控设备,具体为:
控制器以控制器第一私钥加密各受控设备的设备公钥,群发给除该受控设备外的其余受控设备;
或者,控制器将各受控设备的设备公钥,分别以其余受控设备的设备公钥加密,点对点的发送给其余受控设备。
5.如权利要求4所述的安全低开销的SRv6实现方法,其特征在于:
控制器将控制数据以控制器私钥加密群发给多个受控设备,或者,以单个受控设备的设备公钥加密发送给对应的受控设备;
受控设备以自身设备私钥加密报文群发给其他多个受控设备,或者,以单个受控设备的设备公钥加密报文发送给该受控设备。
6.如权利要求1所述的安全低开销的SRv6实现方法,其特征在于,控制器获取各受控设备的SID包括:
控制器获取各受控设备的报文段路由头部中SID的统计信息,若无法获取所述统计信息,则使用SR路由信息中SID的统计信息;所述控制器根据统计信息得到SID出现的频次。
7.如权利要求1所述的安全低开销的SRv6实现方法,其特征在于,SRv6控制域入口的受控设备按照预设的SRv6V1封装报文和SR路径包括:
将编码后的SID按比特序排列形成一个低开销的SID表代替原SRv6头部的SID表,且该低开销的SID表是以加密数据的形式存在,其余格式与原SRv6头部格式相同;
根据是否能够实现编码解析区分SRv6V1和SRv6,若能实现编码解析则判定为SRv6V1;或者,使用FLAG的一个比特作为标记位,以此区分SRv6V1和SRv6。
8.如权利要求1所述的安全低开销的SRv6实现方法,其特征在于,SRv6控制域入口的受控设备按照预设的SRv6V2封装报文和SR路径包括:
将编码后的每个SID按照长度通过比特扩展至整字节,每个扩展后的SID单独加密,所有加密后的SID排列在一起代替原SRv6头部的SID表;
使用FLAG的一个比特作为标记位,以此区分SRv6V2和SRv6。
9.如权利要求1所述的安全低开销的SRv6实现方法,其特征在于:所述控制器和各受控设备存储的FIB表中,每条表项都包括编码后的SID、IPv6地址和校验码,所述校验码基于编码后的SID、IPv6和该受控设备的设备私钥产生;
所述控制器存储的FIB表包括所有受控设备对应的表项;
所述各受控设备存储的FIB表包括所有受控设备对应的表项,或者,仅包括与当前受控设备关联的其他受控设备对应的表项;
受控设备定时计算其校验码,并与控制器存储的FIB表中对应表项的校验码相比较,如果不一致,说明该条表项为篡改或伪造,如果一致,说明该表项为真实表项。
10.如权利要求9所述的安全低开销的SRv6实现方法,其特征在于:受控设备将校验码比较不一致表项的序号发送给控制器,如果控制器的FIB表中有该条表项,则该受控设备的对应表项为篡改,通过向控制器请求该表项中编码后的SID和IPv6地址,恢复受控设备的对应表项;如果控制器没有该条表项,则该受控设备的对应表项为伪造,直接删除该条表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911398858.7A CN111010274B (zh) | 2019-12-30 | 2019-12-30 | 一种安全低开销的SRv6实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911398858.7A CN111010274B (zh) | 2019-12-30 | 2019-12-30 | 一种安全低开销的SRv6实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111010274A CN111010274A (zh) | 2020-04-14 |
| CN111010274B true CN111010274B (zh) | 2022-08-12 |
Family
ID=70119597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911398858.7A Active CN111010274B (zh) | 2019-12-30 | 2019-12-30 | 一种安全低开销的SRv6实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111010274B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541613B (zh) * | 2020-04-27 | 2022-03-22 | 鹏城实验室 | 一种基于SRv6的数据处理方法及相关设备 |
| CN113691490A (zh) * | 2020-05-19 | 2021-11-23 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
| CN112615878B (zh) * | 2020-12-25 | 2022-09-06 | 网络通信与安全紫金山实验室 | 基于加解密的SRv6路径认证方法、系统、设备及介质 |
| CN114915583A (zh) * | 2021-02-08 | 2022-08-16 | 中兴通讯股份有限公司 | 报文处理方法、客户端设备、服务器端设备和介质 |
| WO2023030160A1 (zh) * | 2021-08-31 | 2023-03-09 | 华为技术有限公司 | 发送报文的方法、网络设备、存储介质及程序产品 |
| CN113839872B (zh) * | 2021-11-29 | 2022-02-15 | 军事科学院系统工程研究院网络信息研究所 | 一种面向虚链路的安全标签分发协议方法和系统 |
| CN114205083A (zh) * | 2021-12-22 | 2022-03-18 | 中国电信股份有限公司 | 基于SRv6的安全认证方法、网络节点和认证系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1574840A (zh) * | 2003-06-13 | 2005-02-02 | 微软公司 | 对等名称解析电信协议及在此使用的消息格式数据结构 |
| CN101079889A (zh) * | 2007-06-26 | 2007-11-28 | 中兴通讯股份有限公司 | 数据传输系统及其传输方法 |
| CN109688057A (zh) * | 2018-12-13 | 2019-04-26 | Ut斯达康通讯有限公司 | 基于ipv6的段路由网络的报文转发方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080117906A1 (en) * | 2006-11-20 | 2008-05-22 | Motorola, Inc. | Payload header compression in an rtp session |
-
2019
- 2019-12-30 CN CN201911398858.7A patent/CN111010274B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1574840A (zh) * | 2003-06-13 | 2005-02-02 | 微软公司 | 对等名称解析电信协议及在此使用的消息格式数据结构 |
| CN101079889A (zh) * | 2007-06-26 | 2007-11-28 | 中兴通讯股份有限公司 | 数据传输系统及其传输方法 |
| CN109688057A (zh) * | 2018-12-13 | 2019-04-26 | Ut斯达康通讯有限公司 | 基于ipv6的段路由网络的报文转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111010274A (zh) | 2020-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111010274B (zh) | 一种安全低开销的SRv6实现方法 | |
| US11374848B2 (en) | Explicit routing with network function encoding | |
| JP3805329B2 (ja) | イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法 | |
| JP4447463B2 (ja) | ブリッジ暗号vlan | |
| JP2008104040A (ja) | 共通鍵生成装置および共通鍵生成方法 | |
| CN101379755B (zh) | 数字对象标题鉴权 | |
| JP5392102B2 (ja) | 無線ネットワークにおいてオーバヘッドを低減する装置及び方法 | |
| EP3404867B1 (en) | Configurable service packet engine exploiting frames properties | |
| EP1563642A1 (en) | Location privacy through ip address space scrambling | |
| US20110161657A1 (en) | Method and system for providing traffic hashing and network level security | |
| US9647876B2 (en) | Linked identifiers for multiple domains | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| JP7395455B2 (ja) | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム | |
| CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
| CN111669270A (zh) | 一种基于标签交换的量子加密传输方法及装置 | |
| JP4685659B2 (ja) | 局側装置、加入者側装置およびponシステム | |
| CN101326755A (zh) | 数字对象标题以及传输信息 | |
| CN114095423B (zh) | 基于mpls的电力通信骨干网数据安全防护方法及系统 | |
| CN101741552A (zh) | 报文转发方法、设备及系统 | |
| CN107135152B (zh) | 一种分组传送网中传输关键信息的安全加固方法 | |
| CN114826748B (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
| CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
| JP2004260556A (ja) | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 | |
| CN109194558B (zh) | 隧道报文认证转发方法及系统 | |
| CN211860135U (zh) | 一种基于标签交换的量子加密系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |