CN112600802B - 一种SRv6加密报文、SRv6报文的加解密方法及装置 - Google Patents
一种SRv6加密报文、SRv6报文的加解密方法及装置 Download PDFInfo
- Publication number
- CN112600802B CN112600802B CN202011397844.6A CN202011397844A CN112600802B CN 112600802 B CN112600802 B CN 112600802B CN 202011397844 A CN202011397844 A CN 202011397844A CN 112600802 B CN112600802 B CN 112600802B
- Authority
- CN
- China
- Prior art keywords
- message
- srv6
- encrypted
- header
- layer information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Abstract
本发明揭示了一种SRv6加密报文、SRv6报文的加解密方法及装置,所述SRv6加密报文包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,UDP头部包括用于标识报文为SRv6加密报文的目的端口号,安全标记字段插入于UDP头部和报文内层信息之间,根据安全标记字段对报文内层信息进行加密。本发明将二层加解密MACsec技术与SRv6报文环境相结合,以达到对SRv6报文内层信息加密的目的,提升传输数据安全性。
Description
技术领域
本发明涉及网络通信的通信传输技术,尤其是涉及一种在SRv6场景下对报文内层信息进行加密的SRv6加密报文、SRv6报文的加解密方法及装置。
背景技术
随着5G、IOT(Intemet of Things,物体组成的因特网)以及云化技术的推进,网络终端接入的需求量爆发式增长,IPv4地址池已经告罄,IPv6因其128比特地址空间呼声越来越高,并且可在IPv6的IP拓展头中直接拓展为分段路由头部(SRH),无需添加额外的标签栈,所以衍生出SRv6(是基于源路由理念而设计的在网络上转发IPv6数据包的一种协议),因其使用IPv6拓展头,被视为一种原生的IPv6转发技术,通过在IPv6中插入路由拓展头,通过拓展头中的地址栈指导转发。
但是,SRv6转发缺乏保护机制,SRv6数据包通过广域网时,数据包可能被截获、解析,而IPSec(是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族)加密技术由于其复杂性以及构建的多样性,在高性能转发网络中会产生较大的时延影响。
MACSec(Media Access Control Security,媒体接入控制安全)定义了基于IEEE802局域网络的数据安全通信的方法,可为用户提供安全的MAC层数据发送和接收服务,包括用户数据加解密、数据帧完整性检查、数据源真实性校验以及重播保护等,通过对二层报文二层头之后的信息进行加密,添加安全头字段,进行二层数据保护,由于其功能确定,已获得较多厂商设备支持。
但是,MACSec技术只应用于二层场景下,在跨网段应用场景无法提供报文信息安全保护,具有应用场景的局限性问题。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种SRv6加密报文、SRv6报文的加解密方法及装置。
为实现上述目的,本发明提出如下技术方案:一种SRv6加密报文,包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,所述UDP头部包括用于标识报文为SRv6加密报文的目的端口号,所述安全标记字段插入于所述UDP头部和报文内层信息之间,根据所述安全标记字段对所述报文内层信息进行加密。
优选地,所述安全标记字段包括以太类型、标志控制信息、SA编码、短帧长度、报文编号、SC标识符。
优选地,所述报文还包括二层头、IP头和完整性字段,所述二层头和IP头封装于所述UDP头部之前,所述完整性字段封装于报文内层信息之后。
本发明还揭示了另外一种技术方案:一种SRv6报文的加解密方法,包括:
S100,本端通过MACSec协议与对端协商得到加密信息,根据所述加密信息对SRv6报文中的报文内层信息进行加密,并将加密后的SRv6报文封装为SRv6加密报文传输出去,所述SRv6加密报文包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,所述UDP头部包括用于标识报文为SRv6加密报文的目的端口号,所述安全标记字段插入于所述UDP头部和报文内层信息之间;
S200,对端收到所述SRv6加密报文后,根据报文中的所述目的端口号识别报文为SRv6加密报文,并根据所述安全标记字段对报文内层信息进行解密。
优选地,所述方法还包括:所述本端和对端之间的传输中间节点对SRv6加密报文进行转发,直至转发至对端。
本发明还揭示了另外一种技术方案:一种SRv6报文的加解密装置,包括:
SRv6报文加密模块,用于通过MACSec协议与对端协商得到加密信息,根据所述加密信息对SRv6报文中的报文内层信息进行加密,并将加密后的SRv6报文封装为SRv6加密报文传输出去,所述SRv6加密报文包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,所述UDP头部包括用于标识报文为SRv6加密报文的目的端口号,所述安全标记字段插入于所述UDP头部和报文内层信息之间;
SRv6报文解密模块,用于在收到所述SRv6加密报文后,根据报文中的所述目的端口号识别报文为SRv6加密报文,并根据所述安全标记字段对报文内层信息进行解密。
优选地,所述装置还包括位于SRv6报文加密模块和SRv6报文解密模块之间的至少一个转发模块,所述转发模块用于对SRv6加密报文进行转发,直至转发至SRv6报文解密模块。
本发明的有益效果是:本发明针对SRv6网络环境下报文信息保护机制缺失的问题,将SRv6报文的UDP部分端口号进行改写,结合MACSec技术,增加安全标记字段(SecTag),在不影响SRv6 IP转发的基础上对报文内层信息进行加密,使得SRv6报文内层信息在广播域中不可解析,提升数据安全性。
附图说明
图1是现有SRv6报文格式示意图;
图2是本发明SRv6加密报文的格式意图;
图3是本发明SRv6加密报文中的Sec Tag字段的格式示意图;
图4是本发明方法流程图;
图5是本发明装置示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明所揭示的一种SRv6加密报文、SRv6报文的加解密方法及装置,将二层加解密MACsec技术与SRv6报文环境相结合,以达到对SRv6报文内层信息加密的目的,从而在SRv6场景下提供端到端的报文安全加解密功能,在不影响SRv6报文转发的基础下,提升传输数据安全性。
如图1所示,为现有SRv6报文格式示意图,具体包括外部二层头(MAC Header)、IPv6头部(IPv6 Header)、UDP头部(UDP Header)、报文载荷(Payload)以及FCS(FrameCheck Sequence,帧校验序列)字段,其中,IPv6头部包括IPv6标准头部(IPv6 BasicHeader)、IPv6拓展头(IPv6 Extend Header),IPv6标准头部与IPv6拓展头完成SRv6标签栈的转发功能;UDP头部包括L4目的端口号(UDP SrcPort)、源端口号(UDP DstPort)、UDP包长度(UDP Lenth)以及校验和值(Checksum);报文载荷包含从UDP头部之后至FCS字段之前部分,这部分为SRv6报文内层信息,此部分一般承载更高层的服务数据信息,如HTTP(HyperText Transfer Protocol,超文本传输协议)等。
如图2所示,本发明所揭示的一种SRv6加密报文,通过修改UDP头部中的目的端口号为特定端口号(INS SecPort),用以标识SRv6加密报文的L4目的端口号,在UDP头部之后插入MACSec报文的安全标记字段(Sec Tag)字段。
具体地,本发明所揭示的一种SRv6加密报文,包括二层头、IPv6头部、UDP头部、安全标记字段、加密后的报文内层信息(Security Data)、完整性字段(ICV)及FCS字段,其中,二层头、IPv6头部与现有SRv6报文相同,这里不做赘述,与现有SRv6报文不同,SRv6加密报文中的UDP头部中的目的端口号为特定端口号,用于标识报文为SRv6加密报文,以及在UDP头部和报文内层信息之间插入安全标记字段,本端设备和对端设备根据SRv6加密报文中的目的端口号识别SRv6报文是否为SRv6加密报文,若是,则根据SRv6加密报文中的安全标记字段对报文内层信息进行加解密操作。
具体地,插入的安全标记字段与MACSec报文中的Sec Tag字段格式相同。具体地,结合图3所示,Sec Tag字段包括以太类型(Ether Type)、标志控制信息(TCI)、SA编码(AN)、短帧长度(SL)、报文编号(PN)、SC标识符(SCI),其中,Ether Type字段用于表示该Sec Tag字段为MACSec帧,为2字节,其值为0x88E5;TCI字段表示网络帧承载的802.1q的类型,包含Sec Tag控制信息,Sec Tag控制信息包括是否包含SCI、是否做完整性检查等;AN标识MACSec报文上下文的SA;SL字段标识是否为短帧;PN为报文编号防止重放攻击;SCI为安全通道标识符。
如图4所示,本发明所揭示的一种SRv6报文的加解密方法,包括以下步骤:
S100,本端通过MACSec协议与对端协商得到加密信息,根据加密信息对SRv6报文中的报文内层信息进行加密,并将加密后的SRv6报文封装为SRv6加密报文传输出去。
具体地,本端通过MACSec协议与对端协商,得到加密密钥及加密相关的信息(包括上述安全通道标识符等)后,建立MACSec实例,在不影响SRv6报文IP转发的基础上,根据加密密钥对SRv6报文的UDP头部之后的报文内层信息进行加密以及提供加密部分(即加密后的报文内层信息)的完整性检查。SRv6报文内层信息的加密方法采用在报文内层信息上进行加密,加密密钥为两端(本端和对端)协商得到,与MACSec协商原理相同,通过加密算法对SRv6内层信息进行加密。
并将协商得到的相关的加密信息承载于安全标记字段中,将该安全标记字段插入于UDP头部和加密后的报文内层信息之间,并修改UDP头部中的UDP目的端口号,最后将SRv6报文封装上IP头和二层头,形成SRv6加密报文传输出去。其中,SRv6加密报文的格式可参见上述描述,这里不再赘述。
S200,本端和对端之间的传输中间节点对SRv6加密报文进行转发,直至转发至对端。
具体地,传输中间节点对SRv6加密报文无需进行报文解密,只需使用外部的IPv6拓展头部的转发标签栈进行SRv6报文转发即可。
S300,对端收到SRv6加密报文后,根据报文中的目的端口号识别报文为SRv6加密报文,并根据安全标记字段对报文内层信息进行解密。
如图5所示,本发明所揭示的一种SRv6报文的加解密装置,包括:
SRv6报文加密模块,用于通过MACSec协议与对端协商得到加密信息,根据所述加密信息对SRv6报文中的报文内层信息进行加密,并将加密后的SRv6报文封装为SRv6加密报文传输出去。
至少一个转发模块,位于SRv6报文加密模块和SRv6报文解密模块之间,所述转发模块用于对SRv6加密报文进行转发,直至转发至SRv6报文解密模块。
SRv6报文解密模块,用于在收到所述SRv6加密报文后,根据报文中的所述目的端口号识别报文为SRv6加密报文,并根据所述安全标记字段对报文内层信息进行解密。
其中,SRv6报文加密模块、转发模块和SRv6报文解密模块工作的具体原理可对应参照上述步骤S100~S300的描述,这里不做赘述。
本发明针对SRv6网络环境下报文信息保护机制缺失的问题,将SRv6报文的UDP部分端口号进行改写,结合MACSec技术,增加安全标记字段(Sec Tag),在不影响SRv6 IP转发的基础上对报文内层信息进行加密,使得SRv6报文内层信息在广播域中不可解析,提升数据安全性。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种SRv6加密报文,其特征在于,所述报文包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,所述UDP头部包括用于标识报文为SRv6加密报文的目的端口号,所述安全标记字段插入于所述UDP头部和报文内层信息之间,根据所述安全标记字段对所述报文内层信息进行加密。
2.根据权利要求1所述的SRv6加密报文,其特征在于,所述安全标记字段包括以太类型、标志控制信息、SA编码、短帧长度、报文编号、SC标识符。
3.根据权利要求1所述的SRv6加密报文,其特征在于,所述报文还包括二层头、IP头和完整性字段,所述二层头和IP头封装于所述UDP头部之前,所述完整性字段封装于报文内层信息之后。
4.一种SRv6报文的加解密方法,其特征在于,所述方法包括:
S100,本端通过MACSec协议与对端协商得到加密信息,根据所述加密信息对SRv6报文中的报文内层信息进行加密,并将加密后的SRv6报文封装为SRv6加密报文传输出去,所述SRv6加密报文包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,所述UDP头部包括用于标识报文为SRv6加密报文的目的端口号,所述安全标记字段插入于所述UDP头部和报文内层信息之间;
S200,对端收到所述SRv6加密报文后,根据报文中的所述目的端口号识别报文为SRv6加密报文,并根据所述安全标记字段对报文内层信息进行解密。
5.根据权利要求4所述的SRv6报文的加解密方法,其特征在于,所述安全标记字段包括以太类型、标志控制信息、SA编码、短帧长度、报文编号、SC标识符。
6.根据权利要求4所述的SRv6报文的加解密方法,其特征在于,所述SRv6加密报文还包括二层头、IP头和完整性字段,所述二层头和IP头封装于所述UDP头部之前,所述完整性字段封装于报文内层信息之后。
7.根据权利要求4所述的SRv6报文的加解密方法,其特征在于,所述方法还包括:所述本端和对端之间的传输中间节点对SRv6加密报文进行转发,直至转发至对端。
8.一种SRv6报文的加解密装置,其特征在于,所述装置包括:
SRv6报文加密模块,用于通过MACSec协议与对端协商得到加密信息,根据所述加密信息对SRv6报文中的报文内层信息进行加密,并将加密后的SRv6报文封装为SRv6加密报文传输出去,所述SRv6加密报文包括UDP头部、MACSec报文的安全标记字段和加密后的报文内层信息,所述UDP头部包括用于标识报文为SRv6加密报文的目的端口号,所述安全标记字段插入于所述UDP头部和报文内层信息之间;
SRv6报文解密模块,用于在收到所述SRv6加密报文后,根据报文中的所述目的端口号识别报文为SRv6加密报文,并根据所述安全标记字段对报文内层信息进行解密。
9.根据权利要求8所述的SRv6报文的加解密装置,其特征在于,所述装置还包括位于SRv6报文加密模块和SRv6报文解密模块之间的至少一个转发模块,所述转发模块用于对SRv6加密报文进行转发,直至转发至SRv6报文解密模块。
10.根据权利要求8所述的SRv6报文的加解密装置,其特征在于,所述安全标记字段包括以太类型、标志控制信息、SA编码、短帧长度、报文编号、SC标识符。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011397844.6A CN112600802B (zh) | 2020-12-04 | 2020-12-04 | 一种SRv6加密报文、SRv6报文的加解密方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011397844.6A CN112600802B (zh) | 2020-12-04 | 2020-12-04 | 一种SRv6加密报文、SRv6报文的加解密方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112600802A CN112600802A (zh) | 2021-04-02 |
CN112600802B true CN112600802B (zh) | 2022-04-15 |
Family
ID=75188539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011397844.6A Active CN112600802B (zh) | 2020-12-04 | 2020-12-04 | 一种SRv6加密报文、SRv6报文的加解密方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112600802B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113852552B (zh) * | 2021-09-23 | 2023-04-18 | 网络通信与安全紫金山实验室 | 一种网络通讯方法、系统与存储介质 |
CN116527405B (zh) * | 2023-06-30 | 2023-09-05 | 新华三技术有限公司 | 一种srv6报文加密传输方法、装置及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070230689A1 (en) * | 2006-04-04 | 2007-10-04 | Alcatel Lucent | Method for transferring messages comprising extensible markup language information |
CN102891848A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 利用IPSec安全联盟进行加密解密的方法 |
CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
-
2020
- 2020-12-04 CN CN202011397844.6A patent/CN112600802B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070230689A1 (en) * | 2006-04-04 | 2007-10-04 | Alcatel Lucent | Method for transferring messages comprising extensible markup language information |
CN102891848A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 利用IPSec安全联盟进行加密解密的方法 |
CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112600802A (zh) | 2021-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9967372B2 (en) | Multi-hop WAN MACsec over IP | |
US8179890B2 (en) | Mobile IP over VPN communication protocol | |
US8379638B2 (en) | Security encapsulation of ethernet frames | |
US7434045B1 (en) | Method and apparatus for indexing an inbound security association database | |
US8346949B2 (en) | Method and system for sending a message through a secure connection | |
US7869446B2 (en) | Optimized dynamic multipoint virtual private network over IPv6 network | |
EP2777217B1 (en) | Protocol for layer two multiple network links tunnelling | |
US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
JP2008104040A (ja) | 共通鍵生成装置および共通鍵生成方法 | |
WO2007103338A2 (en) | Technique for processing data packets in a communication network | |
CN112600802B (zh) | 一种SRv6加密报文、SRv6报文的加解密方法及装置 | |
CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
KR100415554B1 (ko) | 정보 보호 인터넷 프로토콜 패킷의 송수신 방법 | |
CN116260579A (zh) | 一种ip包的报文加解密方法 | |
CN105635154A (zh) | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 | |
CN117221012B (zh) | 一种解密和加密的方法及装置 | |
KR100522090B1 (ko) | IPv6 계층에서의 패킷 보호 방법 | |
KR102208144B1 (ko) | Dtls 패킷을 포함하는 프레임의 사이즈를 감소시키기 위한 방법 | |
CN115766063A (zh) | 数据传输方法、装置、设备及介质 | |
Cunjiang et al. | Authentication analysis in an IPV6-based environment | |
CN117640235A (zh) | 基于IPsec和量子密钥的双重加密方法、加密网关 | |
JPH09252315A (ja) | 暗号通信システムおよび暗号装置 | |
CN114338116A (zh) | 加密传输方法、装置及sd-wan网络系统 | |
CN114567478A (zh) | 通信方法及装置 | |
JP2014220707A (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 215101 unit 13 / 16, 4th floor, building B, No. 5, Xinghan street, Suzhou Industrial Park, Jiangsu Province Applicant after: Suzhou Shengke Communication Co.,Ltd. Address before: Unit 13 / 16, 4th floor, building B, No.5 Xinghan street, Suzhou Industrial Park, 215000 Jiangsu Province Applicant before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |