CN111343088B - 一种报文传输方法及装置、终端、存储介质 - Google Patents

一种报文传输方法及装置、终端、存储介质 Download PDF

Info

Publication number
CN111343088B
CN111343088B CN202010108463.5A CN202010108463A CN111343088B CN 111343088 B CN111343088 B CN 111343088B CN 202010108463 A CN202010108463 A CN 202010108463A CN 111343088 B CN111343088 B CN 111343088B
Authority
CN
China
Prior art keywords
ipv6 address
destination
interface identifier
message
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010108463.5A
Other languages
English (en)
Other versions
CN111343088A (zh
Inventor
施新刚
庄泽浩
尹霞
王之梁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202010108463.5A priority Critical patent/CN111343088B/zh
Publication of CN111343088A publication Critical patent/CN111343088A/zh
Application granted granted Critical
Publication of CN111343088B publication Critical patent/CN111343088B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/308Route determination based on user's profile, e.g. premium users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种报文传输方法及装置、终端、计算机可读存储介质。所述报文传输方法包括:终端发送报文,所述报文中携带IPv6地址,所述IPv6地址中携带所述IPv6地址对应的终端的等级信息。本实施例提供的方案,通过携带等级信息,便于实现分级传输。

Description

一种报文传输方法及装置、终端、存储介质
技术领域
本文涉及网络技术,尤指一种报文传输方法及装置、终端、存储介质。
背景技术
随着智能家居和移动终端技术的崛起,具备连入互联网功能的实体个数呈爆炸性增长的趋势,IPv4地址空间因此迅速枯竭,即使网络地址转换技术已经普及。如何充分利用IPv6庞大的地址空间成为了重点议题之一。
近年来,IPv6(Internet Protocol Version 6,互联网协议第六版)网络和用户规模不断扩大,庞大的IPv6地址空间带来了可扩展性、安全性等方面的问题,基于真实可信的IPv6地址提高网络安全性和精细化服务能力成为重要的研究方向。
发明内容
本申请实施例提供了一种报文传输方法及装置、终端、计算机可读存储介质。
本申请实施例提供了一种报文传输方法,包括:
终端发送报文,所述报文中携带IPv6地址,所述IPv6地址中携带所述IPv6地址对应的终端的等级信息。
在一实施例中,所述IPv6地址的接口标识符中携带所述等级信息。
在一实施例中,所述接口标识符未加密时的前M位为所述等级信息,M大于0,所述接口标识符的总等级数最高为2的M次幂。
在一实施例中,所述IPv6地址中的接口标识符基于保序对称加密技术进行加密。
在一实施例中,所述接口标识符基于保序对称加密技术进行加密如下:
确定未加密的接口标识符p所属的地址空间[j*2x,(j+1)*2x);
加密后的接口标识符c=(p-j*2x)*Sj+Kjmod264
其中,Sj,Kj为密钥,且
Figure BDA0002389133990000021
j为0时,Kj=K0,其中,K0为非零的随机数或者非零的预设值,j非0时,Kj≤264时,
Figure BDA0002389133990000022
当Kj>264时,
Figure BDA0002389133990000023
其中,fi为等级i中已分配的接口标识符的个数或者等级i中已分配的接口标识符的个数加上预设值,N为所述等级信息中的最大等级,且|Ki+1-Ki|>2x,i=0~N-1,所述x为未加密的接口标识符的有效长度的比特数与所述等级信息的比特数M的差值,且0<x<64。
本申请一实施例提供一种报文传输方法,包括:
路由器接收报文,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径。
在一实施例中,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径包括:
所述路由器比较不同报文中携带的目的IPv6地址中的目的端的等级信息,生成比较结果,根据所述比较结果确定传输路径。
在一实施例中,所述比较不同报文中携带的目的IPv6地址中的目的端的等级信息,生成比较结果,包括:
使用所述报文中携带的目的IPv6地址中已加密的接口标识符进行比较获得比较结果,且满足当c1>c2>K0或者K0>c1>c2或者c1<K0<c2时,p1>p2;其中,c1为第一目的端的目的IPv6地址中加密的接口标识符,c2为第二目的端的目的IPv6地址中加密的接口标识符,p1为c1解密后的接口标识符,p2为c2解密后的接口标识符,K0为加解密时使用的非零随机数或者非零预设值。
在一实施例中,所述路由器通过如下方式获取所述目的IPv6地址中的目的端的等级信息:
确定所述目的IPv6地址中的已加密的接口标识符c所属分段[Kj,Kj+1),则
Figure BDA0002389133990000031
Figure BDA0002389133990000032
其中,p为解密后的接口标识符,Sj,Kj为密钥,
Figure BDA0002389133990000033
j为0时,Kj=K0,K0为非零的随机数或者非零的预设值,j非0时,Kj≤264时,
Figure BDA0002389133990000034
Figure BDA0002389133990000035
当Kj>264时,
Figure BDA0002389133990000036
其中,fi为等级i中已分配的接口标识符的个数或者等级i中已分配的接口标识符的个数加上预设值,N为所述等级信息中的最大等级;且|Ki+1-Ki|>2x,i=0~N-1;所述x为未加密的接口标识符的有效长度的比特数与所述等级信息的比特数M的差值,且0<x<64;
获取接口标识符p中携带的目的端的等级信息。
在一实施例中,所述密钥Sj,Kj周期性生成。
在一实施例中,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径包括:
所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息所属的等级区段,确定传输路径,每个等级区段包括多个等级。
本申请实施例提供一种终端,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现任一实施例所述的报文传输方法。
本申请实施例提供一种报文传输装置,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现任一实施例所述的报文传输方法。
本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现任一实施例所述的报文传输方法。
与相关技术相比,本申请实施例提供一种报文传输方法,包括:终端发送报文,所述报文中携带IPv6地址,所述IPv6地址中携带所述IPv6地址对应的终端的等级信息。本实施例提供的方案,通过携带等级信息,便于实现分级传输。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
附图用来提供对本申请技术方案的理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为本申请一实施例提供的报文传输方法流程图(终端侧);
图2为本申请一实施例提供的接口标识符示意图;
图3为本申请一实施例提供的加密过程示意图;
图4为本申请一实施例提供的报文传输方法流程图(路由器侧);
图5为本申请一实施例提供的分级传输示意图;
图6为本申请一实施例提供的终端示意图;
图7为本申请一实施例提供的计算机可读存储介质框图;
图8为本申请一实施例提供的报文传输装置示意图;
图9为本申请一实施例提供的计算机可读存储介质框图。
具体实施方式
本申请描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用,或可以替代任何其它实施例中的任何其他特征或元件。
本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保护范围内进行各种修改和改变。
此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
近年来有关互联网安全的问题层出不穷,各种针对互联网设备或者链路的攻击行为屡禁不止。许多研究者将这个现象归咎于互联网问责制度的缺失,他们认为缺乏问责制使得攻击者可以欺骗源地址来发起诸如大规模的分布式拒绝服务攻击。然而网络运营商无法阻止正在进行的攻击,因为他们不知道真正的发送者,因此无法有效过滤欺骗流量。
随着互联网用户的持续爆炸性增长,基于真实可信的IPv6地址提高网络安全性和精细化服务能力逐渐成为重要的研究方向。事实上,IPv4协议中早就存在的type ofservice域和IPv6中的traffic class域都起到了类似的功能,但是它们均位于IP报文头中,使用起来未免会有诸多不便(如固定占用报文一定的长度)。相较于报文头部,IP地址可能是一个更加便捷的信息载体。
将用户(或终端)相关信息嵌入IPv6地址中,可为网络行为控制、分析和追溯追责提供支持。本申请实施例中,设计了基于保序对称加密技术的内嵌等级IPv6地址生成方法(Multilevel-Embedded IPv6 Address Generation Using Order-PreservingEncryption,MEAG-OPE),并讨论了相关的应用场景。内嵌等级的IPv6地址中携带了用户(或终端)的等级信息,支持基于等级信息提供网络区分服务。
如图1所示,本申请一实施例提供一种报文传输方法,包括:
步骤101,终端发送报文,所述报文中携带IPv6地址,所述IPv6地址中携带所述IPv6地址对应的终端的等级信息。
其中,IPv6地址对应的终端即该IPv6地址所指示的终端。
在一实施例中,所述报文中可以携带源IPv6地址和目的IPv6地址,源IPv6地址中携带发送端(即该终端)的等级信息,目的IPv6地址携带目的端的等级信息。
在一实施例中,所述IPv6地址的接口标识符中携带所述等级信息。
在一实施例中,所述接口标识符未加密时的前M位为所述等级信息,M大于0,所述接口标识符的总等级数最高为2的M次幂。首先说明一下接口标识符结构。本实施例中将接口标识符的前M位作为等级标识,这样做带来的好处是仅使用比较运算就能判断出地址的等级。M的具体取值可以根据需要设定。设置多少等级,等级标识占用多少位均可以由管理员自由选择,具有很大的灵活性。接口标识符的最后几位的内容也可以根据需要设置,比如由管理员自行决定。一种思路是仿照真实源地址验证技术将地址所有者的个人信息包含在其中。图2展示了一个划分成256级(8比特)且包含地址所有者信息的内嵌等级信息的IPv6地址的接口标识符结构(此处为未加密的明文地址)。需要说明的是,接口标识符中也可以携带其他信息,比如,携带基于密码生成的地址(CGA),源地址验证改进(Source AddressValidation Improvement,简称SAVI)模型,使用无状态地址自动配置(Stateless AddressAuto Configuration,简称SLAAC)生成的信息。
内嵌等级的IPv6地址分明文地址(即不加密的地址)与密文地址(加密地址),出于安全性的考虑,本实施例中,使用密文地址进行通信。需要说明的是,在另一实施例中,也可以使用包括终端等级信息的明文地址。在一实施例中,使用密文地址时,所述IPv6地址中的接口标识符基于保序对称加密技术进行加密。
在一实施例中,所述接口标识符基于保序对称加密技术进行加密通过如下方式实现:
确定未加密的接口标识符p所属的地址空间[j*2x,(j+1)*2x);
加密后的接口标识符c=(p-j*2x)*Sj+Kjmod264
其中,Sj,Kj为密钥,且
Figure BDA0002389133990000071
j为0时,Kj=K0,其中,K0为非零的随机数或者非零的预设值,j非0时,Kj≤264时,
Figure BDA0002389133990000072
当Kj>264时,
Figure BDA0002389133990000073
其中,fi为等级i中已分配的接口标识符的个数或者等级i中已分配的接口标识符的个数加上预设值,N为所述等级信息中的最大等级,且|Ki+1-Ki|>2x,i=0~N-1,所述x为未加密的接口标识符的有效长度的比特数(通常为二进制比特数)与所述等级信息的比特数M的差值,且0<x<64。未加密的接口标识符的有效长度即未加密的接口标识符可使用的比特数。在一实施例中,未加密的接口标识符的有效长度的二进制比特数为48,所述等级信息的比特数M为8,则x为40。下面对该算法进行详细说明。
第一步计算出模糊的已分配接口标识符的初始概率分布:首先将整个地址空间256等分,统计每一等级中已被分配的接口标识符个数,将等级i中已分配的接口标识符的个数记为fi。如果无法统计,则必须由管理员将所有的fi作为参数输入。
第二步是根据fi生成算法的密钥。为了追求加解密时的效率,本实施例中,使用简单的分段线性缩放函数。同时为了抵御针对保序加密的估计曝光攻击,需要将原来的各种可能的接口标识符的概率分布混淆为均匀分布。因此,需要确定缩放系数Si与缩放阈值Ki,并将Si与Ki作为密钥进行存储。
首先计算缩放阈值Ki。缩放阈值Ki指的是原地址空间中每一分段对应于像地址空间中的像分段的上下界。为了使像地址空间中的所有有效地址看上去近乎是均匀分布,ΔKi=Ki+1-Ki必须与fi成正比,同时K0与K256必须相同。于是得出方程:
Figure BDA0002389133990000081
其中,N为最大等级,本实施例中,N=256。后续用∑fi表示
Figure BDA0002389133990000082
但是我们注意到,Ki+1-Ki必须大于原本的2的x次方的间隔(所述x为未加密的接口标识符的有效长度的比特数与所述等级信息的比特数M的差值,以接口标识符占用48比特,等级信息占用8比特为例,此时x=48-8=40,即接口标识符的比特数48与等级信息占用的比特数8的差值),因为要保证每个可能的原地址都要有对应的像且不冲突。假设∑fi=4.0×107,在这种情况下计算可得fi需大于2.38。如果存在fi小于这个数,一个可行的解决方法是在计算密钥前将fi进行微调,比如将每个fi都加上3即可。
缩放系数Si就是加密算法中线性缩放的倍数,计算公式如下:
Figure BDA0002389133990000083
计算到这里事实上我们已经获得了对称密钥的绝大部分数据,只差最后一步,即K0值的选取。K0的值可以每次均由安全的随机数生成器生成,也可以由管理员指定某一个值,且K0不能为0。K0确定后,可以用公式(1)确定每一个Ki,注意到当Ki累积超过264时取它模264的余数。
最后就是确定加解密算法。用p来代表一个未经过加密的内嵌等级IPv6地址的接口标识符,假设p属于[j*2x,(j+1)*2x),则有加密后的接口标识符c如下:
c=Enc(p)=(p-j*2x)*Sj+Kjmod264 (3)
对于一个加密后的接口标识符c,如果想要得到加密前的接口标识符,首先找出c所属分段[Kj,Kj+1),再根据公式:
Figure BDA0002389133990000084
其中b是一个只能取0和1的变量:
Figure BDA0002389133990000091
整个加密过程如图3所示。
值得注意的是MEAG-OPE算法与传统的保序加密算法不同,加密后的密文地址c1与c2并不满足简单的
Figure BDA0002389133990000092
的关系,而是满足如下公式:
Figure BDA0002389133990000093
或者K0>c1>c2或者c1<K0<c2
事实上通常只有在路由器中才会比较两个内嵌等级IPv6地址,而路由器已知K0的值,这一点保证了MEAG-OPE算法的保序性。
在一实施例中,所述方法还包括,终端在接入互联网之前向附近的网关或者其它能提供类似服务的服务器登记并验证个人身份,验证完毕后方能获取由MEAG-OPE算法生成的IPv6地址。在每次通信过程中终端不能主动修改自己的IPv6地址。
本发明一实施例提供一种报文传输方法,如图4所示,包括:
步骤401,路由器接收报文;
步骤402,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径。
在一实施例中,所述根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径包括:
所述路由器比较不同报文中携带的目的IPv6地址中的目的端的等级信息,根据比较结果确定传输路径。
在一实施例中,所述比较不同报文中携带的目的IPv6地址中的目的端的等级信息,生成比较结果,包括:
使用所述报文中携带的目的IPv6地址中已加密的接口标识符进行比较获得比较结果,且满足当c1>c2>K0或者K0>c1>c2或者c1<K0<c2时,p1>p2;其中,c1为第一目的端的目的IPv6地址中加密的接口标识符,c2为第二目的端的目的IPv6地址中加密的接口标识符,p1为c1解密后的接口标识符,p2为c2解密后的接口标识符,K0为加解密时使用的非零的随机数或者非零的预设值。
下面通过一个实例进行说明。路由器在快速计算出源地址/目的地址所对应的等级后,将根据这些等级为报文选择专属的路由。如图5中所示:用户X在登记并获得IP地址后,向用户Z和用户Y分别各发送一次数据包。从X到Y和从X到Z均有两条路径可以选,一条由路由器A转发给路由器B,另一条由路由器A转发给路由器C。从路由器A到路由器B的链路是高延时链路,而从路由器A到路由器C的链路是低延时链路。由于用户Z的等级比用户Y的等级高,导致路由器选择将从X到Z的包经由低延时链路传输,而从X到Y的包经由高延时链路传输(在“目的自治系统”中只有实线且带有箭头的线表示实际传输路线)。显然在分级路由机制的作用下用户Z的网络体验要远好于用户Y。
在一实施例中,所述方法还包括,路由器在接收到报文后检查IP地址是否符合规范,即有没有人为篡改的痕迹,对地址不符合规范的数据包可以直接丢弃处理,实现可信传输。可信传输的另一层含义指的是错误的路由转发也可以被下一跳路由器发现,无论是来自恶意的攻击还是无意的失误。
在一实施例中,所述路由器通过如下方式获取所述目的IPv6地址中的目的端的等级信息:
确定所述目的IPv6地址中的已加密的接口标识符c所属分段[Kj,Kj+1),则
Figure BDA0002389133990000101
Figure BDA0002389133990000102
其中,p为解密后的接口标识符,Sj,Kj为密钥,
Figure BDA0002389133990000103
j为0时,Kj=K0,其中,K0为非零的随机数或者非零的预设值,j非0时,Kj≤264时,
Figure BDA0002389133990000104
当Kj>264时,
Figure BDA0002389133990000105
其中,fi为等级i中已分配的接口标识符的个数或者等级i中已分配的接口标识符的个数加上预设值,N为所述等级信息中的最大等级;且|Ki+1-Ki|>2x,i=0~N-1;所述x为未加密的接口标识符的有效长度的比特数与所述等级信息的比特数M的差值,且0<x<64;
获取接口标识符p中携带的目的端的等级信息。
在一实施例中,所述密钥Sj,Kj周期性生成。其中,Sj,Kj由中央控制系统生成后发送给所述路由器。MEAG-OPE的密钥都是有生命周期的,这是因为一旦有更多的接口标识符被加密后,就不能再保证像地址空间中的接口标识符的概率分布是近似均匀分布的。当目前正在使用的密钥即将过期时,中央控制系统提前计算好下一个周期所使用的密钥,并尽快地使用诸如Diffie-Hellman的密钥交换协议告知其它可信的网关和网络中间件。密钥生命周期的长度可以由管理员视网络的实际情况自主设定,或者,由系统预先配置。
在一实施例中,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径包括:
所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息所属的等级区段,确定传输路径,每个等级区段包括多个等级。即无需计算出具体的等级,只需要知道所属的等级区段即可。比如一共有8个等级,那么只要将已加密的接口标识符c与K4比较大小就能知道地址是属于1-4等级对应的区段还是5-8等级对应的区段。路由查找是可以支持聚类的,即以类似匹配明文前缀的方式,匹配等级前缀。
本实施例提供的IPv6地址的加解密方案,支持真实源地址验证。对于一些能提供入侵检测或是其它安全服务的中间件来说,一旦发现可疑的数据包就可以立刻对地址进行解密,或是上报给有能力解密的控制/监视器,解密方法请参考前述路由器对IPv6地址的解密。只要能够准确地辨认这些包的真实源地址就有机会从源头上遏制攻击的发生。相比相关技术中无法对IPv6地址解密,本实施例提供的方案,能有效遏制攻击的发生。
本实施例提供的方案,通过利用保序对称加密技术,MEAG-OPE中的等级信息易于提取验证但难以伪造篡改,从而支持高效可信的分级传输机制,兼顾了互联网管理中的问责制与隐私权问题,并可与真实源地址验证(SAVA)、加密生成地址(CryptographicallyGenerated Addresses,CGA)等多种IPv6地址生成/验证技术兼容。MEAG-OPE具有高安全性与高效性,这些特性为将来的广泛部署提供了有力的支撑。
本实施例提供的方案,具有易部署性。由于使用的MEAG-OPE算法只对IP地址进行操作,故不会引入新的通信标识符,也不会对现有网络协议的部署进行大规模修改。另外MEAG-OPE算法的时间与空间复杂度均非常低,路由器计算等级的方式也只是通过简单的比较运算,这些特性都为将来的广泛部署提供了巨大的可能性。
如图6所示,本发明一实施例提供一种终端60,包括存储器610和处理器620,所述存储器610存储有程序,所述程序在被所述处理器620读取执行时,实现任一实施例所述的报文传输方法。
如图7所示,本发明一实施例提供一种计算机可读存储介质70,所述计算机可读存储介质70存储有一个或者多个程序710,所述一个或者多个程序710可被一个或者多个处理器执行,以实现任一实施例所述的报文传输方法。
如图8所示,本发明至少一实施例提供一种报文传输装置80,包括存储器810和处理器820,所述存储器810存储有程序,所述程序在被所述处理器820读取执行时,实现任一实施例所述的报文传输方法。
如图9所示,本发明至少一实施例提供一种计算机可读存储介质90,所述计算机可读存储介质存储有一个或者多个程序910,所述一个或者多个程序910可被一个或者多个处理器执行,以实现任一实施例所述的报文传输方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。

Claims (12)

1.一种报文传输方法,其特征在于,包括:
终端发送报文,所述报文中携带IPv6地址,所述IPv6地址中携带所述IPv6地址对应的终端的等级信息,
所述IPv6地址中的接口标识符基于保序对称加密技术进行加密,包括:
确定未加密的接口标识符p所属的地址空间[j*2x,(j+1)*2x);
加密后的接口标识符c=(p-j*2x)*Sj+Kjmod264
其中,Sj,Kj为密钥,且
Figure FDA0002809286740000011
j为0时,Kj=K0,其中,K0为非零的随机数或者非零的预设值,j非0时,Kj≤264时,
Figure FDA0002809286740000012
当Kj>264时,
Figure FDA0002809286740000013
其中,fi为等级i中已分配的接口标识符的个数或者等级i中已分配的接口标识符的个数加上预设值,N为所述等级信息中的最大等级,且|Ki+1-Ki|>2x,i=0~N-1,所述x为未加密的接口标识符的有效长度的比特数与所述等级信息的比特数M的差值,且0<x<64。
2.根据权利要求1所述的报文传输方法,其特征在于,所述IPv6地址的接口标识符中携带所述等级信息。
3.根据权利要求2所述的报文传输方法,其特征在于,所述接口标识符未加密时的前M位为所述等级信息,M大于0,所述接口标识符的总等级数最高为2的M次幂。
4.一种报文传输方法,其特征在于,包括:
路由器接收报文,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径,
所述路由器通过如下方式获取所述目的IPv6地址中的目的端的等级信息:
确定所述目的IPv6地址中的已加密的接口标识符c所属分段[Kj,Kj+1),则
Figure FDA0002809286740000021
Figure FDA0002809286740000022
其中,p为解密后的接口标识符,Sj,Kj为密钥,
Figure FDA0002809286740000023
j为0时,Kj=K0,K0为非零的随机数或者非零的预设值,j非0时,Kj≤264时,
Figure FDA0002809286740000024
Figure FDA0002809286740000025
当Kj>264时,
Figure FDA0002809286740000026
其中,fi为等级i中已分配的接口标识符的个数或者等级i中已分配的接口标识符的个数加上预设值,N为所述等级信息中的最大等级;且|Ki+1-Ki|>2x,i=0~N-1;所述x为未加密的接口标识符的有效长度的比特数与所述等级信息的比特数M的差值,且0<x<64,所述M大于0;
获取接口标识符p中携带的目的端的等级信息。
5.根据权利要求4所述的报文传输方法,其特征在于,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径包括:
所述路由器比较不同报文中携带的目的IPv6地址中的目的端的等级信息,生成比较结果,根据所述比较结果确定传输路径。
6.根据权利要求5所述的报文传输方法,其特征在于,所述比较不同报文中携带的目的IPv6地址中的目的端的等级信息,生成比较结果,包括:
使用所述报文中携带的目的IPv6地址中已加密的接口标识符进行比较获得比较结果,且满足当c1>c2>K0或者K0>c1>c2或者c1<K0<c2时,p1>p2;其中,c1为第一目的端的目的IPv6地址中加密的接口标识符,c2为第二目的端的目的IPv6地址中加密的接口标识符,p1为c1解密后的接口标识符,p2为c2解密后的接口标识符,K0为加解密时使用的非零随机数或者非零预设值。
7.根据权利要求4所述的报文传输方法,其特征在于,所述密钥Sj,Kj周期性生成。
8.根据权利要求4所述的报文传输方法,其特征在于,所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息,确定传输路径包括:
所述路由器根据所述报文中携带的目的IPv6地址中的目的端的等级信息所属的等级区段,确定传输路径,每个等级区段包括多个等级。
9.一种终端,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求1至3任一所述的报文传输方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至3任一所述的报文传输方法。
11.一种报文传输装置,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求4至8任一所述的报文传输方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求4至8任一所述的报文传输方法。
CN202010108463.5A 2020-02-21 2020-02-21 一种报文传输方法及装置、终端、存储介质 Active CN111343088B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010108463.5A CN111343088B (zh) 2020-02-21 2020-02-21 一种报文传输方法及装置、终端、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010108463.5A CN111343088B (zh) 2020-02-21 2020-02-21 一种报文传输方法及装置、终端、存储介质

Publications (2)

Publication Number Publication Date
CN111343088A CN111343088A (zh) 2020-06-26
CN111343088B true CN111343088B (zh) 2021-01-29

Family

ID=71187129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010108463.5A Active CN111343088B (zh) 2020-02-21 2020-02-21 一种报文传输方法及装置、终端、存储介质

Country Status (1)

Country Link
CN (1) CN111343088B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043614A (zh) * 2007-04-23 2007-09-26 中国科学院计算技术研究所 一种将用户ip地址同用户等级结合的视频点播方法
CN101378358A (zh) * 2008-09-19 2009-03-04 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器
CN102761630A (zh) * 2012-07-20 2012-10-31 清华大学 一种面向真实用户身份信息的IPv6地址分配方法
CN102905199A (zh) * 2012-09-28 2013-01-30 杭州华三通信技术有限公司 一种组播业务实现方法及其设备
CN103561021A (zh) * 2013-11-01 2014-02-05 全渝娟 一种云存储系统实现方法
CN104135438A (zh) * 2014-07-08 2014-11-05 清华大学 报文携带路由信息的可扩展路由方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7047425B2 (en) * 2002-07-19 2006-05-16 The Boeing Company Scaleable muti-level security method in object oriented open network systems
KR100693723B1 (ko) * 2004-09-30 2007-03-12 주식회사 케이티 IPv6에서 플로우별 QoS 제어방법 및 시스템
CN102594932B (zh) * 2010-12-10 2015-11-25 清华大学 使用非特定IPv6地址的IPv4/IPv6分级转换方法
CN102802206B (zh) * 2011-05-23 2018-03-02 中兴通讯股份有限公司 一种wlan分流方法和分流网元
CN103181129B (zh) * 2011-10-25 2015-09-30 华为技术有限公司 数据报文处理方法和系统、报文转发设备
CN102710802B (zh) * 2012-05-07 2017-10-17 中兴通讯股份有限公司 IPv6配置信息提供装置及获取方法
CN103841079B (zh) * 2012-11-21 2017-08-08 中国电信股份有限公司 IPv6 地址压缩能力的协商方法、网络系统与终端节点
CN111147372B (zh) * 2018-11-05 2021-05-18 华为技术有限公司 下行报文发送、转发方法和装置
CN110290151B (zh) * 2019-07-16 2021-10-08 迈普通信技术股份有限公司 报文发送方法、装置及可读取存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043614A (zh) * 2007-04-23 2007-09-26 中国科学院计算技术研究所 一种将用户ip地址同用户等级结合的视频点播方法
CN101378358A (zh) * 2008-09-19 2009-03-04 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器
CN102761630A (zh) * 2012-07-20 2012-10-31 清华大学 一种面向真实用户身份信息的IPv6地址分配方法
CN102905199A (zh) * 2012-09-28 2013-01-30 杭州华三通信技术有限公司 一种组播业务实现方法及其设备
CN103561021A (zh) * 2013-11-01 2014-02-05 全渝娟 一种云存储系统实现方法
CN104135438A (zh) * 2014-07-08 2014-11-05 清华大学 报文携带路由信息的可扩展路由方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Assessment of a proactive routing protocol RPL in Ipv6 based wireless sensor networks;Abdelhadi Eloudrhiri Hassani et al;《2019 Third International Conference on Intelligent Computing in Data Sciences (ICDS)》;20191226;全文 *
IPv6地址结构标准化研究综述;张千里等;《计算机学报》;20190103;全文 *
基于分段分层和索引表的前缀区间IPV6路由查找算法;白晓庆;《中国优秀硕士学位论文全文数据库》;20130415;全文 *
软件定义网络中北向接口语言综述;于洋等;《软件学报》;20160118;全文 *

Also Published As

Publication number Publication date
CN111343088A (zh) 2020-06-26

Similar Documents

Publication Publication Date Title
US20200195677A1 (en) Network addresses with encoded dns-level information
EP2356792B1 (en) Network nodes and methods for data authorization in distributed storage networks
EP3242437B1 (en) Light-weight key update mechanism with blacklisting based on secret sharing algorithm in wireless sensor networks
US7865717B2 (en) Method and apparatus for dynamic, seamless security in communication protocols
EP2380324B1 (en) Secure node identifier assignment in a distributed hash table for peer-to-peer networks
EP2250784B1 (en) Ip address delegation
Ghali et al. Interest-based access control for content centric networks
US20080159299A1 (en) Methods and systems for providing controlled access to the internet
Nour et al. Information-centric networking in wireless environments: Security risks and challenges
EP2329621B1 (en) Key distribution to a set of routers
US11362837B2 (en) Generating trustable RPL messages having root-signed rank values
Guo et al. An efficient certificateless ring signcryption scheme with conditional privacy-preserving in VANETs
Wang et al. A practical authentication framework for VANETs
Riaz et al. BAS: the biphase authentication scheme for wireless sensor networks
Choudhary et al. Secured SDN based blockchain: an architecture to improve the security of VANET
He et al. FASE: Fine-grained accountable and space-efficient access control for multimedia content with in-network caching
Dogruluk et al. Public key certificate privacy in vondn: voice over named data networks
CN111343088B (zh) 一种报文传输方法及装置、终端、存储介质
Punitha et al. Privacy preservation and authentication on secure geographical routing in VANET
Qabajeh et al. A more secure and scalable routing protocol for mobile ad hoc networks
CN101588240A (zh) 一种报文处理方法
US20180131679A1 (en) Method and Device for Establishing a Computational Puzzle for Use in Communication Between a Client and a Server
Meng et al. Establish the intrinsic binding in naming space for future internet using combined public key
Caubet et al. Riappa: a robust identity assignment protocol for p2p overlays
Huang A Study of Security and Privacy in Vehicular Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant