CN111526080A - 网关vxlan可选择加密数据传输的方法 - Google Patents

网关vxlan可选择加密数据传输的方法 Download PDF

Info

Publication number
CN111526080A
CN111526080A CN202010376657.3A CN202010376657A CN111526080A CN 111526080 A CN111526080 A CN 111526080A CN 202010376657 A CN202010376657 A CN 202010376657A CN 111526080 A CN111526080 A CN 111526080A
Authority
CN
China
Prior art keywords
vxlan
encryption
negotiation
encrypted
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010376657.3A
Other languages
English (en)
Other versions
CN111526080B (zh
Inventor
吴东明
金宁
刘继明
陈浮
王力成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ITIBIA TECHNOLOGIES (SUZHOU) CO LTD
Original Assignee
ITIBIA TECHNOLOGIES (SUZHOU) CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ITIBIA TECHNOLOGIES (SUZHOU) CO LTD filed Critical ITIBIA TECHNOLOGIES (SUZHOU) CO LTD
Priority to CN202010376657.3A priority Critical patent/CN111526080B/zh
Publication of CN111526080A publication Critical patent/CN111526080A/zh
Application granted granted Critical
Publication of CN111526080B publication Critical patent/CN111526080B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及网关VXLAN可选择加密数据传输的方法,VXLAN本端协商可选择加密数据传输,支持VXLAN加密数据传输的本端向对端发送数据前,先试图协商加密选项,协商成功后开始数据加密传输,步骤为:VXLAN本端向对端发送可选加密请求报文;VXLAN本端等待可选加密回应报文;VXLAN本端向对端发送约定明文的加密报文;VXLAN本端等待密钥协商结果报文;协商后,VXLAN本端发送数据包。实现VXLAN支持可加密的协商和数据传输,网关启用VXLAN功能,与对端VTEP协商是否选择加密;网关与对端协商加密详细配置并确认密钥的一致性;网关与对端开始数据加密传输;选择使用对称的加密方式,安全性高。

Description

网关VXLAN可选择加密数据传输的方法
技术领域
本发明涉及一种网关VXLAN可选择加密数据传输的方法。
背景技术
目前,VXLAN(Virtual eXtensible Local Area Network)是一种隧道技术,能在三层网络的基础上建立二层以太网网络隧道,从而实现跨地域的二层互连。
VXLAN采取了将原始以太网报文封装在UDP数据包里的封装格式。将原来的二层数据帧加上VXLAN头部一起封装在一个UDP数据包里。VXLAN头部包含有一个VXLAN标识(即VNI,VXLAN Network Identifier),只有在同一个VXLAN上的虚拟机之间才能相互通信。
目前VXLAN采用明文传输数据的方式,这对于跨地区使用VXLAN传输数据产生一定的安全隐患,所以作为网关设备提供商,提供一种VXLAN模式下支持可加密数据传输成为一个切实的需求。
发明内容
本发明的目的是克服现有技术存在的不足,提供一种网关VXLAN可选择加密数据传输的方法。
本发明的目的通过以下技术方案来实现:
网关VXLAN可选择加密数据传输的方法,特点是:支持VXLAN加密数据传输的本端向对端发送数据前,先试图协商加密选项,协商成功后开始数据加密传输,包括以下步骤:
1)VXLAN本端向对端发送可选加密请求报文;
2)VXLAN本端等待可选加密回应报文;
3)VXLAN本端向对端发送约定明文的加密报文;
4)VXLAN本端等待密钥协商结果报文。
进一步地,上述的网关VXLAN可选择加密数据传输的方法,其中,所述步骤1)VXLAN本端向对端发送可选加密请求报文之前,网关先启用指定VNI的VXLAN通道,并做如下检查:
S01:检查网关是否为该VNI设置加密密钥,如果未设置,则记录该VNI不支持可选加密,无需协商,结束;
S02:检查是否已经记录该VNI上次协商结果,如果已有记录,无需协商,结束;
S03:需要协商,继续下一步骤。
进一步地,上述的网关VXLAN可选择加密数据传输的方法,其中,所述步骤1)VXLAN本端向对端发送可选加密请求报文,报文字段如下:
VNI双方指定的VNI数值,以网络字节序组成24位;
R代表请求包,二进制(0001)组成4位;
S代表加密选项,二进制组成4位,定义如下:
0001不加密
0010 AES128
0100 AES192
1000 AES256。
进一步地,上述的网关VXLAN可选择加密数据传输的方法,其中,所述步骤2)VXLAN本端等待可选加密回应报文,步骤如下:
S21:如果接收到端口不可达数据包,则记录该VNI不支持可选加密,协商结束;
S22:接收到对端回应包,A字段为二进制(0010);检查S字段加密选项,选用最左置位为1的加密选项,继续下一步骤。
进一步地,上述的网关VXLAN可选择加密数据传输的方法,其中,所述步骤3)VXLAN本端向对端发送约定明文的加密报文,并携带以明文为0123456789abcdef加密后的密文,其中R2字段设置为二进制(0100),S字段为最左位置为1的加密选项。
进一步地,上述的网关VXLAN可选择加密数据传输的方法,其中,所述步骤4)VXLAN本端等待密钥协商结果报文,步骤如下:
S41:如果接收到端口不可达数据包,则记录该VNI不支持可选加密,协商结束;
S42:接收到对端回应包,A字段为二进制(1000);检查S字段协商结果,定义为:
0000协商成功
0001协商失败
记录该VNI可选加密协商结果,整个协商结束。
进一步地,上述的网关VXLAN可选择加密数据传输的方法,其中,协商后,VXLAN本端发送数据包,行为如下:
1)若协商结果为需要加密,则按数据包格式加密VXLAN头部以下的整个数据包,发送该加密数据包到对方;
2)若协商结果为不加密,发送原始数据包到对方。
本发明与现有技术相比具有显著的优点和有益效果,具体体现在以下方面:
本发明实现VXLAN支持可加密的协商和数据传输,网关启用VXLAN功能,与对端VTEP协商是否选择加密;
网关与对端协商加密详细配置并确认密钥的一致性;
网关与对端开始数据加密传输;
选择使用对称的加密方式AES128/192/256,因该加解密方式有相应成熟的硬件模块来协助CPU处理加解密计算,使CPU不需要在加解密上承担较大的压力,不影响已有的传输性能;同时该加密方式安全性高;
VXLAN加密请求报文和回应报文使用UDP协议;
可以增加VXLAN数据传输的安全性,不影响原有VXLAN设备的正常工作。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明具体实施方式了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书中所特别指出的结构来实现和获得。
附图说明
图1:本发明的流程示意图;
图2:VXLAN本端向对端发送可选加密请求报文示意图;
图3:VXLAN本端等待可选加密回应报文;
图4:VXLAN本端向对端发送约定明文的加密报文;
图5:VXLAN本端等待密钥协商结果报文;
图6:VXLAN本端传输加密数据报文。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现详细说明具体实施方案。
VXLAN采用明文传输数据的方式,对于跨地区使用VXLAN传输数据存在一定的安全隐患,因此需要提供一种VXLAN模式下支持可加密数据传输方法。
如图1所示,网关VXLAN可选择加密数据传输的方法,VXLAN本端协商可选择加密数据传输,支持VXLAN加密数据传输的本端向对端发送数据前,先试图协商加密选项,协商成功后开始数据加密传输,包括以下步骤:
1)VXLAN本端向对端发送可选加密请求报文;
2)VXLAN本端等待可选加密回应报文;
3)VXLAN本端向对端发送约定明文的加密报文;
4)VXLAN本端等待密钥协商结果报文;
网关先启用指定VNI的VXLAN通道,并做如下检查:
S01:检查网关是否为该VNI设置加密密钥,如果未设置,则记录该VNI不支持可选加密,无需协商,结束;
S02:检查是否已经记录该VNI上次协商结果,如果已有记录,无需协商,结束;
S03:需要协商,继续下一步骤。
如图2所示,VXLAN本端向对端发送可选加密请求报文,报文字段为:
VNI双方指定的VNI数值,以网络字节序组成24位;
R代表请求包,二进制(0001)组成4位;
S代表加密选项,二进制组成4位,定义如下:
0001不加密
0010 AES128
0100 AES192
1000 AES256
当前实例中,VXLAN本端可选加密请求报文设置如下:
VNI值为1000;
R代表请求包,二进制(0001)组成4位,当前值为0001;
S代表加密选项,二进制组成4位;当前值为1000,表示AES256。
接下来VXLAN本端等待可选加密回应报文,步骤如下:
1)如果接收到端口不可达数据包(ICMP port unreachable),则记录该VNI不支持可选加密,协商结束;
2)如图3所示,接收到对端回应包,A字段为二进制(0010);检查S字段加密选项,选用最左置位为1的加密选项,继续下一步骤。
当前实例中,VXLAN本端接收到对端回应包,A字段为二进制(0010);S字段加密选项为1100,本端设备选用最左置位为1的加密选项,也就是AES256;
接下来如图4所示,VXLAN本端向对端发送约定明文的加密报文,并携带以明文为0123456789abcdef加密后的密文;其中R2字段设置为二进制(0100),S字段为最左位置为1的加密选项。
当前实例中,VXLAN本端密钥为"itibiavxlan",携带以明文为0123456789abcdef加密后的密文;其中R2字段设置为二进制(0100),S字段值为1000;
接下来VXLAN本端等待密钥协商结果报文,步骤如下:
1)如果接收到端口不可达数据包(ICMP port unreachable),则记录该VNI不支持可选加密,协商结束;
2)接收到对端回应包(如图5所示),A字段为二进制(1000);检查S字段协商结果,定义为:
0000协商成功
0001协商失败
当前实例中,VXLAN本端接收到对端回应包,A字段为二进制(1000);检查S字段协商结果,当前值为0000,表示协商成功,整个协商结束。
至此整个协商结束,VXLAN本端向对端发送数据,步骤如下:
1)检查对应VNI可选加密协商结果,若协商结果为需要加密;则按照图6的数据包格式加密VXLAN头部以下的整个数据包,发送该加密数据包到对方;
2)若协商结果为不加密或者还在协商过程中,发送原始数据包到对方。
综上所述,本发明实现VXLAN支持可加密的协商和数据传输,网关启用VXLAN功能,与对端VTEP(VXLAN Tunnel EndPoint)协商是否选择加密;
网关与对端协商加密详细配置并确认密钥的一致性;
网关与对端开始数据加密传输;
选择使用对称的加密方式AES(Advanced Encryption Standard))128/192/256,因该加解密方式有相应成熟的硬件模块来协助CPU处理加解密计算,使CPU不需要在加解密上承担较大的压力,不影响已有的传输性能;同时该加密方式安全性高。
VXLAN加密请求报文和回应报文使用UDP协议,目的端口为4788(该端口为保留端口,可以用作VXLAN可选加密协商)。
可以增加VXLAN数据传输的安全性,不影响原有VXLAN设备的正常工作。
需要说明的是:以上所述仅为本发明的优选实施方式,并非用以限定本发明的权利范围;同时以上的描述,对于相关技术领域的专门人士应可明了及实施,因此其它未脱离本发明所揭示的精神下所完成的等效改变或修饰,均应包含在申请专利范围中。

Claims (7)

1.网关VXLAN可选择加密数据传输的方法,其特征在于:支持VXLAN加密数据传输的本端向对端发送数据前,先试图协商加密选项,协商成功后开始数据加密传输,包括以下步骤:
1)VXLAN本端向对端发送可选加密请求报文;
2)VXLAN本端等待可选加密回应报文;
3)VXLAN本端向对端发送约定明文的加密报文;
4)VXLAN本端等待密钥协商结果报文。
2.根据权利要求1所述的网关VXLAN可选择加密数据传输的方法,其特征在于:所述步骤1)VXLAN本端向对端发送可选加密请求报文之前,网关先启用指定VNI的VXLAN通道,并做如下检查:
S01:检查网关是否为该VNI设置加密密钥,如果未设置,则记录该VNI不支持可选加密,无需协商,结束;
S02:检查是否已经记录该VNI上次协商结果,如果已有记录,无需协商,结束;
S03:需要协商,继续下一步骤。
3.根据权利要求1所述的网关VXLAN可选择加密数据传输的方法,其特征在于:所述步骤1)VXLAN本端向对端发送可选加密请求报文,报文字段如下:
VNI双方指定的VNI数值,以网络字节序组成24位;
R代表请求包,二进制(0001)组成4位;
S代表加密选项,二进制组成4位,定义如下:
0001不加密
0010AES128
0100AES192
1000AES256。
4.根据权利要求1所述的网关VXLAN可选择加密数据传输的方法,其特征在于:所述步骤2)VXLAN本端等待可选加密回应报文,步骤如下:
S21:如果接收到端口不可达数据包,则记录该VNI不支持可选加密,协商结束;
S22:接收到对端回应包,A字段为二进制(0010);检查S字段加密选项,选用最左置位为1的加密选项,继续下一步骤。
5.根据权利要求1所述的网关VXLAN可选择加密数据传输的方法,其特征在于:所述步骤3)VXLAN本端向对端发送约定明文的加密报文,并携带以明文为0123456789abcdef加密后的密文,其中R2字段设置为二进制(0100),S字段为最左位置为1的加密选项。
6.根据权利要求1所述的网关VXLAN可选择加密数据传输的方法,其特征在于:所述步骤4)VXLAN本端等待密钥协商结果报文,步骤如下:
S41:如果接收到端口不可达数据包,则记录该VNI不支持可选加密,协商结束;
S42:接收到对端回应包,A字段为二进制(1000);检查S字段协商结果,定义为:
0000协商成功
0001协商失败
记录该VNI可选加密协商结果,整个协商结束。
7.根据权利要求1所述的网关VXLAN可选择加密数据传输的方法,其特征在于:协商后,VXLAN本端发送数据包,行为如下:
1)若协商结果为需要加密,则按数据包格式加密VXLAN头部以下的整个数据包,发送该加密数据包到对方;
2)若协商结果为不加密,发送原始数据包到对方。
CN202010376657.3A 2020-05-07 2020-05-07 网关vxlan可选择加密数据传输的方法 Active CN111526080B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010376657.3A CN111526080B (zh) 2020-05-07 2020-05-07 网关vxlan可选择加密数据传输的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010376657.3A CN111526080B (zh) 2020-05-07 2020-05-07 网关vxlan可选择加密数据传输的方法

Publications (2)

Publication Number Publication Date
CN111526080A true CN111526080A (zh) 2020-08-11
CN111526080B CN111526080B (zh) 2022-03-11

Family

ID=71908469

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010376657.3A Active CN111526080B (zh) 2020-05-07 2020-05-07 网关vxlan可选择加密数据传输的方法

Country Status (1)

Country Link
CN (1) CN111526080B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935594A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置
CN106209401A (zh) * 2015-04-30 2016-12-07 杭州华三通信技术有限公司 一种传输方法及装置
CN106685903A (zh) * 2015-11-10 2017-05-17 中国电信股份有限公司 基于sdn的数据传输方法、sdn控制器和sdn系统
CN106878278A (zh) * 2017-01-09 2017-06-20 新华三技术有限公司 一种报文处理方法及装置
CN107294711A (zh) * 2017-07-11 2017-10-24 国网辽宁省电力有限公司 一种基于vxlan技术的电力信息内网报文加密发布方法
CN108028748A (zh) * 2016-02-27 2018-05-11 华为技术有限公司 用于处理vxlan报文的方法、设备及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209401A (zh) * 2015-04-30 2016-12-07 杭州华三通信技术有限公司 一种传输方法及装置
CN104935594A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置
CN106685903A (zh) * 2015-11-10 2017-05-17 中国电信股份有限公司 基于sdn的数据传输方法、sdn控制器和sdn系统
CN108028748A (zh) * 2016-02-27 2018-05-11 华为技术有限公司 用于处理vxlan报文的方法、设备及系统
CN106878278A (zh) * 2017-01-09 2017-06-20 新华三技术有限公司 一种报文处理方法及装置
CN107294711A (zh) * 2017-07-11 2017-10-24 国网辽宁省电力有限公司 一种基于vxlan技术的电力信息内网报文加密发布方法

Also Published As

Publication number Publication date
CN111526080B (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
US8984268B2 (en) Encrypted record transmission
US6542992B1 (en) Control and coordination of encryption and compression between network entities
EP3905623A1 (en) Data transmission method and apparatus, related device, and storage medium
CN113114701B (zh) 一种quic数据传输方法及装置
JP2009246801A (ja) 分割されたパケットの暗号化方法、分割暗号化パケットの復号方法、暗号化装置及びプログラム
CN111614463B (zh) 一种基于IPsec封装功能的密钥更新方法及装置
JP6505710B2 (ja) Tlsプロトコル拡張
JPH11191793A (ja) 通信チャネルの層独立式セキュリティ
US7426636B1 (en) Compact secure data communication method
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
US20230145440A1 (en) Method and device for selective user plane security in wireless communication system
CN114844730A (zh) 一种基于可信隧道技术构建的网络系统
KR100415554B1 (ko) 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
CN111355698A (zh) 一种传输方法、装置、报文发送端和接收端
CN115567205A (zh) 采用量子密钥分发实现网络会话数据流加解密方法及系统
JP2007036834A (ja) 暗号装置、プログラム、記録媒体、および方法
CN111614538A (zh) 一种基于IPsec封装协议的报文转发方法
CN111885430B (zh) 一种基于以太帧的带内遥测方法及带内遥测系统
CN111526080B (zh) 网关vxlan可选择加密数据传输的方法
CN106101056B (zh) 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法
WO2021208644A1 (zh) 一种节点间保密通信方法及网络节点
JP2003244194A (ja) データ暗号装置及び暗号通信処理方法及びデータ中継装置
CN112910729A (zh) 一种支持IPSec VPN数据监控的方法
CN111585986A (zh) 基于电力网关的安全传输方法、装置、介质及终端设备
CN114338116B (zh) 加密传输方法、装置及sd-wan网络系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant