CN112615878B - 基于加解密的SRv6路径认证方法、系统、设备及介质 - Google Patents
基于加解密的SRv6路径认证方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN112615878B CN112615878B CN202011562001.7A CN202011562001A CN112615878B CN 112615878 B CN112615878 B CN 112615878B CN 202011562001 A CN202011562001 A CN 202011562001A CN 112615878 B CN112615878 B CN 112615878B
- Authority
- CN
- China
- Prior art keywords
- node
- sid
- decryption
- segment list
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
本发明公开了一种基于加解密的SRv6路径认证方法、系统、设备及介质,方法包括:生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点;SR节点使用自身密钥对加密Segment List进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。本发明可以对SR传输路径进行认证,保证网络流量沿着预先规划的路径有序转发。
Description
技术领域
本发明属于网络通信领域,特别涉及一种基于加解密的SRv6路径认证方法、系统、设备及介质。
背景技术
Segment Routing(SR,分段路由)作为SDN关键技术之一,通过在报文中插入有顺序的段列表(Segment List)来指导转发设备按照指定的转发路径进行报文转发。SR使网络更加简化,并具有良好的可扩展性。
SR在提供网络转发路径可控、取代路由最短路径优先的同时,也需要增加相应的SRH扩展头存储各个SR节点,用于控制转发路径。但在不进行认证的情况下,无法确保实际报文的转发路径是按照指定的转发路径进行转发,无法满足流量安全可控的需求,为网络流量的正常调度引入了潜在的风险。因而需要对转发的各个SR节点进行认证,以确保网络通信流量的正确调度和转发路径的安全可控。
发明内容
发明目的:针对现有技术中SRv6报文中SRH扩展头中SR节点的可认证问题,本发明公开了一种基于加解密的SRv6路径认证方法、系统、设备及介质,在确保网络流量正常转发的同时提供了简单有效的路径认证。
技术方案:本发明采用如下技术方案:一种基于加解密的SRv6路径认证方法,其特征在于,包括如下步骤:
S1、生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点;
S2、SR节点使用自身密钥对加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。
优选地,加密和解密均采用字节数值替换和字节位置移动的方式。
优选地,SR节点的SID加密前后的长度相同。
优选地,步骤S1包括:
S11、生成SR节点各自的密钥和SID,各SR节点的SID中包括该SR节点的位置标识,位置标识是分配给各SR节点的标识,可用于路由和转发数据包;
向SR节点下发其各自的密钥;
S12、生成初始Segment List,初始Segment List中顺序包括预设传输路径中的各SR中间节点和SR尾节点的SID;
S13、使用预设传输路径中当前SR节点的密钥,加密下一跳SR节点在初始SegmentList中的SID,生成加密Segment List;
S14、将加密Segment List下发给预设传输路径中的SR头节点;将加密SegmentList中的加密SID下发给预设传输路径中的对应的各SR中间节点和SR尾节点。
优选地,步骤S2包括:
S21、将加密Segment List封装成IPv6报文,IPv6报文中包括IP头和SRH扩展头,IP头中包括目的IP,SRH扩展头中包括加密Segment List;
S22、当前SR节点对接收的IPv6报文中的加密Segment List中的下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败;
S23、认证成功后,将解密后的下一跳SR节点的SID替换到当前IPv6报文中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点,返回执行步骤S22;认证失败后,结束IPv6报文的转发。
优选地,预设传输路径中的SR头节点识别加密Segment List的加密属性后,使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;
在其他SR节点的加密SID上配置解密动作,当SR节点接收IPv6报文后,该解密动作指导当前SR节点使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
优选地,在IPv6报文的SRH扩展头中添加标记,当SR节点接收到IPv6报文后,当前SR节点识别该标记后使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
一种基于加解密的SRv6路径认证系统,其特征在于,包括:
控制器:生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点;
SR节点:使用自身密钥对加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。
优选地,控制器加密和SR节点解密均采用字节数值替换和字节位置移动的方式。
优选地,控制器对SR节点的SID加密前后的长度相同。
优选地,控制器中包括:
初始化模块:生成SR节点各自的密钥和SID,其中,每个SR节点的SID中包括该SR节点的位置标识,位置标识是分配给各SR节点的标识,可用于路由和转发数据包;
生成模块:生成初始Segment List,初始Segment List中顺序包括预设传输路径中的各SR中间节点和SR尾节点的SID;
加密模块:使用预设传输路径中当前SR节点的密钥,加密下一跳SR节点在初始Segment List中的SID,生成加密Segment List;
下发模块:将加密Segment List下发给预设传输路径中的SR头节点,将加密Segment List中的加密SID下发给预设传输路径中的对应的各SR中间节点和SR尾节点,将SR节点的密钥下发给对应的各SR节点。
优选地,SR节点中包括:
封装模块:接收到控制器下发的加密Segment List后,将加密Segment List封装成IPv6报文,IPv6报文中包括IP头和SRH扩展头,IP头中包括目的IP,SRH扩展头中包括加密Segment List;
解密模块:对接收的IPv6报文中的加密Segment List中的下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败;
转发模块:认证成功后,将解密后的下一跳SR节点的SID替换到当前IPv6报文中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点;认证失败后,结束IPv6报文的转发。
优选地,预设传输路径中的SR头节点识别加密Segment List的加密属性后,解密模块使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;
在其他SR节点的加密SID上配置解密动作,当SR节点接收IPv6报文后,该解密动作指导当前SR节点的解密模块使用自身密钥解密IPv6报文中的加密Segment List中下一跳SR节点的SID。
优选地,在IPv6报文的SRH扩展头中添加标记,当SR节点接收到IPv6报文后,当前SR节点的解密模块识别该标记后使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
一种基于加解密的SRv6路径认证设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述任意一项所述基于加解密的SRv6路径认证方法。
一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述任意一项所述基于加解密的SRv6路径认证方法。
有益效果:本发明具有如下有益效果:
本发明提出了一种操作性更强且简单易行的SRH扩展头中SR节点的认证方法,通过加解密方法,所有SR节点看到的SID都是加密后的SID,即完整转发路径对所有SR节点不可见,提高了安全性,降低被攻击的可能;进而通过密钥解密下一跳SID,可以对SR传输路径进行认证,保证网络流量沿着预先规划的路径有序转发。
附图说明
图1为本发明的系统架构图;
图2为本发明的控制器加密Segment List的时序图;
图3为本发明的Segment List加密前后的对比图;
图4为本发明的IPv6报文中SRH扩展头的结构(含SRH扩展头)。
具体实施方式
下面结合附图对本发明作更进一步的说明。
IPv6分段路由(Segment Routing IPv6,简称SRv6)是基于源路由理念而设计的在网络上转发IPv6报文的一种协议。基于IPv6转发面的SRv6,通过在IPv6报文中插入一个路由扩展头(Segment Routing Header,简称SRH),即分段路由头,然后,在SRH扩展头中压入一个显式的IPv6地址栈,即段列表(Segment List),通过SR中间节点不断的更新IP头中的目的IP和偏移地址栈的操作来完成逐跳转发。
本发明公开了一种基于加解密的SRv6路径认证方法,针对SRv6报文SRH扩展头中SR节点可认证的需求,提出了根据当前SR节点的密钥对SRH扩展头中下一跳SR节点的SID进行加密的方法,计算加密后的SID后,下发加密后的Segment List给SR头节点,在每个SR节点进行End操作前,使用当前SR节点的密钥进行解密,解密出的下一跳SR节点的SID替换到IP头的目的IP,更新IPv6报文完成解密过程。如果IPv6报文发到了错误的SR节点,IPv6报文无法被解密,更无法被正确转发,从而完成对SR节点的认证。
如图1和图2所示,本发明包括如下步骤:
步骤1、生成SR节点的密钥和安全标识符(SID),其中,每个SR节点的SID中包括该SR节点的位置标识,位置标识是分配给每一个SR节点的标识,可用于路由和转发数据包。
每个SR节点独立分配密钥,然后把SR节点各自的密钥下发给对应的SR节点。其中,如果是以SR节点为单位分配密钥,需要给控制范围内的所有SR节点下发密钥,且每个SR节点对应的密钥不相同;如果是以分段路由中的传输路径为单位分配密钥,只需要把密钥下发到传输路径上的SR节点,若同一个SR节点位于不同的传输路径上,该SR节点的不同的传输路径对应的密钥独立且不相同。
例如,A、B、C、F、K节点均为一条预设传输路径上的SR节点,分别其下发各自的密钥,即Pa、Pb、Pc、Pf、Pk。
步骤2、生成初始Segment List,初始Segment List中顺序包括预设传输路径中各SR中间节点和SR尾节点的SID,其中,预设传输路径中包括SR头节点、SR中间节点和SR尾节点。
例如,生成的预设传输路径为A-> B-> C-> F-> K,其中A节点为SR头节点,B、C、F节点为SR中间节点,K节点为SR尾节点。
生成的初始Segment List为SID_B-> SID_C-> SID_F-> SID_K。
步骤3、使用加密算法对初始Segment List进行计算得到加密Segment List,计算过程为:使用预设传输路径中当前SR节点的密钥对下一跳SR节点在初始Segment List中的SID进行加密,具体如下:
使用SR头节点的密钥对其下一跳SR节点即第一个SR中间节点的SID进行加密;
使用当前SR中间节点的密钥对其下一跳SR中间节点的SID进行加密;
使用最后一个SR中间节点的密钥对其下一跳SR节点即SR尾节点的SID进行加密。
例如,如图3所示,加密Segment List为Pa(SID_B)->Pb(SID_C)->Pc(SID_F)->Pf(SID_K),其中Px(SID_Y)表示使用密钥Px对SID_Y进行加密,即用A节点的密钥给SID_B加密,用B节点的密钥给SID_C加密,以此类推。
这里的加密算法需要保证SR节点的SID加密前后的长度相同,即SID_B与Pa(SID_B)的长度相同,SID_C与Pb(SID_C)的长度相同,SID_F与Pc(SID_F)的长度相同,SID_K与Pf(SID_K)的长度相同。
加密算法使用字节数值替换和字节位置移动的方式完成,不对加密前的SID进行压缩,不在SR节点本地存储加密后的加密SID和SID的映射关系,示例如下:
密钥Px为二元组(Px1,Px2),Px1是uint类型数组,长度256;Px2是uint类型数组,长度16,其中:
uint Px1 [256]={a0, a1, a2,……a255},数组元素an∈[0,255]且各不相同;
uint Px2 [16]={b0, b1, b2,……b15},数组元素bn∈[0,15] 且各不相同。
对于SID的每个字节数值B,B∈[0,255],做如下变换得到新数值B´:B´= Px1 [B];
对于SID的每个字节的位置P,P∈[0,15],做如下变换得到字节新位置P´:P´= Px2[P]。
对SID中所有字节通过字节数值替换和字节位置移动可以获得加密后的加密SID。
下一跳SR节点的加密SID通过当前SR节点的密钥可以直接解密计算出下一跳SR节点的SID,解密算法为加密算法的反向操作,解密算法如下:
根据SR节点自身密钥Px即(Px1,Px2 )计算出反向操作数组(Dx1,Dx2):
uint Dx1 [256]={c0, c1, c2,……c255},对于任意Px1[n]=an,有Dx1[an] = n;
uint Dx2 [16]={d0, d1, d2,……d15},对于任意Px2[n]=bn,有Dx2[bn] = n。
进而可以通过(Dx1,Dx2)对加密SID进行解密:
对于加密SID的每个字节数值B´,做如下变换得到原数值B:B = Dx1 [B´];
对于加密SID的每个字节的位置P´,做如下变换得到原位置P = Dx2 [P´]。
对加密SID中所有字节通过字节数值替换和字节位置移动可以获得加密前的SID。
步骤4、将加密后的加密SID下发到各自对应的SR节点上。
例如,分别为A、B、C、F、K节点下发各自的加密SID,即:空(头节点不需要下发)、Pa(SID_B)、Pb(SID_C)、Pc(SID_F)、Pf(SID_K)。
步骤5、将加密Segment List下发给预设传输路径中的SR头节点。
例如,将Pa(SID_B)->Pb(SID_C)->Pc(SID_F)->Pf(SID_K)下发给A节点。
步骤6、SR头节点收到加密Segment List后,封装加密Segment List生成IPv6报文,IPv6报文中包括IP头和SRH扩展头,IP头中包括目的IP,SRH扩展头中包括加密SegmentList。
SR头节点利用自身密钥对IPv6报文中的加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对该SR节点认证成功,将下一跳SR节点的SID替换到当前IPv6报文中IP头中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,不转发IPv6报文。合法的SID指的是合法的IPv6地址。
SR中间节点接收IPv6报文后,利用自身密钥对IPv6报文中的加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对该SR节点认证成功,将下一跳SR节点的SID替换到当前IPv6报文中IP头中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,不转发IPv6报文。
SR尾节点接收IPv6报文后,完成对IPv6报文传输路径的认证。
各SR节点对加密Segment List中的下一跳SR节点的加密SID进行解密动作的触发方式有如下两种。
方法一:预设传输路径中的SR头节点识别加密Segment List的加密属性后,使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;
各其他SR节点无法识别加密Segment List的加密属性,通过对其加密SID配置解密动作(DecryptNextSid)来指导该SR节点完成解密,再通过End动作将解密后的下一跳SR节点的SID替换到IPv6报文中的目的IP上去。
各SR节点配置的具体动作如下表1所示:
表1
例如:对于A节点:
Encap/Insert:将流量引入SR隧道,封装加密Segment List;
Distinguish:识别加密Segment List的加密属性,使用自己的密钥Pa解密Pa(SID_B) 得到SID_B ;
End:使用SID_B替换IP头中的目的IP。
对于B节点:
DecryptNextSid:使用自己的密钥Pb解密Pb(SID_C) 得到SID_C;
End:使用SID_C替换IP头中的目的IP。
对于C节点:
DecryptNextSid:使用自己的密钥Pc解密Pc(SID_F) 得到SID_F;
End:使用SID_F替换IP头中的目的IP。
对于F节点:
DecryptNextSid:使用自己的密钥Pf解密Pf(SID_K) 得到SID_K;
End:使用SID_K替换IP头中的目的IP。
对于K节点:
Decap/psp: 剥掉SR隧道封装,根据SID_K的指定动作转发IPv6报文。
方法二:不在SR节点的SID上配置动作,通过在IPv6报文的SRH扩展头中携带decrypt sid flag标记,在所有SR节点上识别此标记,并在End操作前进行解密。
如图4所示,将SRH扩展头中Flags字段的BIT[0]定义为decrypt sid flag标记,此标记表示SRH扩展头中所有SID都是经过加密的,需要解密后才可以替换到IP头的目的IP上。
SR节点收到此IPv6报文后,根据decrypt sid flag标记,使用自己的密钥对下一跳SR节点的SID进行解密,然后再通过End操作,把下一跳SR节点的SID更新到IPv6报文的目的IP上去。
SR尾节点接收到的SRv6报文由于已不含有SRH扩展头,因此SR尾节点无法识别decrypt sid flag标记,不再执行解密操作,剥掉SR封装,按照内层报文转发。
本发明公开了一种基于加解密的SRv6路径认证系统,包括:控制器和SR节点。
控制器:生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点。其中,控制器中包括:
初始化模块:生成SR节点的密钥,生成SR节点的SID。其中,每个SR节点的SID中包括该SR节点的位置标识,位置标识是分配给每一个SR节点的标识,可用于路由和转发数据包;
生成模块:生成初始Segment List,初始Segment List中顺序包括预设传输路径中的各SR中间节点和SR尾节点的SID;
加密模块:使用预设传输路径中当前SR节点的密钥,加密下一跳SR节点在初始Segment List中的SID,生成加密Segment List,加密采用字节数值替换和字节位置移动的方式;
下发模块:将加密Segment List下发给预设传输路径中的SR头节点,将加密Segment List中的加密SID下发给预设传输路径中的对应的各SR中间节点和SR尾节点,将SR节点的密钥下发给对应的各SR节点。
其中,生成模块生成的初始Segment List中的SID和加密模块生成的加密SegmentList中对应的加密后的加密SID长度相同。
SR节点:使用自身密钥对加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。其中,SR节点中包括:
封装模块:接收到控制器下发的加密Segment List后,将加密Segment List封装成IPv6报文,IPv6报文中包括IP头和SRH扩展头,IP头中包括目的IP,SRH扩展头中包括加密Segment List;
解密模块:对接收的IPv6报文中的加密Segment List中的下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,解密采用字节数值替换和字节位置移动的方式;
转发模块:认证成功后,将解密后的下一跳SR节点的SID替换到当前IPv6报文中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点;认证失败后,结束IPv6报文的转发。
对加密Segment List进行解密时,预设传输路径中的SR头节点识别加密SegmentList的加密属性后,解密模块使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;在其他SR节点的SID上配置解密动作,当SR节点接收IPv6报文后,该解密动作指导当前SR节点的解密模块使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;
还可以在IPv6报文的SRH扩展头中添加标记,当SR节点接收到IPv6报文后,当前SR节点的解密模块识别该标记后使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
本发明公开了一种基于加解密的SRv6路径认证设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于加解密的SRv6路径认证方法。
本发明公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述基于加解密的SRv6路径认证方法。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种基于加解密的SRv6路径认证方法,其特征在于,包括如下步骤:
S1、生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点;
S2、SR节点使用自身密钥对加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。
2.根据权利要求1所述的一种基于加解密的SRv6路径认证方法,其特征在于,加密和解密均采用字节数值替换和字节位置移动的方式。
3.根据权利要求1所述的一种基于加解密的SRv6路径认证方法,其特征在于,SR节点的SID加密前后的长度相同。
4.根据权利要求1所述的一种基于加解密的SRv6路径认证方法,其特征在于,步骤S1包括:
S11、生成SR节点各自的密钥和SID,各SR节点的SID中包括该SR节点的位置标识,位置标识是分配给各SR节点的标识,可用于路由和转发数据包;
向SR节点下发其各自的密钥;
S12、生成初始Segment List,初始Segment List中顺序包括预设传输路径中的各SR中间节点和SR尾节点的SID;
S13、使用预设传输路径中当前SR节点的密钥,加密下一跳SR节点在初始Segment List中的SID,生成加密Segment List;
S14、将加密Segment List下发给预设传输路径中的SR头节点;将加密Segment List中的加密SID下发给预设传输路径中的对应的各SR中间节点和SR尾节点。
5.根据权利要求1所述的一种基于加解密的SRv6路径认证方法,其特征在于,步骤S2包括:
S21、将加密Segment List封装成IPv6报文,IPv6报文中包括IP头和SRH扩展头,IP头中包括目的IP,SRH扩展头中包括加密Segment List;
S22、当前SR节点对接收的IPv6报文中的加密Segment List中的下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败;
S23、认证成功后,将解密后的下一跳SR节点的SID替换到当前IPv6报文中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点,返回执行步骤S22;认证失败后,结束IPv6报文的转发。
6.根据权利要求5所述的一种基于加解密的SRv6路径认证方法,其特征在于,预设传输路径中的SR头节点识别加密Segment List的加密属性后,使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;
在其他SR节点的加密SID上配置解密动作,当SR节点接收IPv6报文后,该解密动作指导当前SR节点使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
7.根据权利要求5所述的一种基于加解密的SRv6路径认证方法,其特征在于,在IPv6报文的SRH扩展头中添加标记,当SR节点接收到IPv6报文后,当前SR节点识别该标记后使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
8.一种基于加解密的SRv6路径认证系统,其特征在于,包括:
控制器:生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点;
SR节点:使用自身密钥对加密Segment List中下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。
9.根据权利要求8所述的一种基于加解密的SRv6路径认证系统,其特征在于,控制器加密和SR节点解密均采用字节数值替换和字节位置移动的方式。
10.根据权利要求8所述的一种基于加解密的SRv6路径认证系统,其特征在于,控制器对SR节点的SID加密前后的长度相同。
11.根据权利要求8所述的一种基于加解密的SRv6路径认证系统,其特征在于,控制器中包括:
初始化模块:生成SR节点各自的密钥和SID,其中,每个SR节点的SID中包括该SR节点的位置标识,位置标识是分配给各SR节点的标识,可用于路由和转发数据包;
生成模块:生成初始Segment List,初始Segment List中顺序包括预设传输路径中的各SR中间节点和SR尾节点的SID;
加密模块:使用预设传输路径中当前SR节点的密钥,加密下一跳SR节点在初始SegmentList中的SID,生成加密Segment List;
下发模块:将加密Segment List下发给预设传输路径中的SR头节点,将加密SegmentList中的加密SID下发给预设传输路径中的对应的各SR中间节点和SR尾节点,将SR节点的密钥下发给对应的各SR节点。
12.根据权利要求8所述的一种基于加解密的SRv6路径认证系统,其特征在于,SR节点中包括:
封装模块:接收到控制器下发的加密Segment List后,将加密Segment List封装成IPv6报文,IPv6报文中包括IP头和SRH扩展头,IP头中包括目的IP,SRH扩展头中包括加密Segment List;
解密模块:对接收的IPv6报文中的加密Segment List中的下一跳SR节点的加密SID进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败;
转发模块:认证成功后,将解密后的下一跳SR节点的SID替换到当前IPv6报文中的目的IP上,更新IPv6报文并将其转发到目的IP对应的SR节点;认证失败后,结束IPv6报文的转发。
13.根据权利要求12所述的一种基于加解密的SRv6路径认证系统,其特征在于,预设传输路径中的SR头节点识别加密Segment List的加密属性后,解密模块使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID;
在其他SR节点的加密SID上配置解密动作,当SR节点接收IPv6报文后,该解密动作指导当前SR节点的解密模块使用自身密钥解密IPv6报文中的加密Segment List中下一跳SR节点的SID。
14.根据权利要求12所述的一种基于加解密的SRv6路径认证系统,其特征在于,在IPv6报文的SRH扩展头中添加标记,当SR节点接收到IPv6报文后,当前SR节点的解密模块识别该标记后使用自身密钥解密IPv6报文中的加密Segment List得到下一跳SR节点的SID。
15.一种基于加解密的SRv6路径认证设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1~7中任意一项所述基于加解密的SRv6路径认证方法。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~7中任意一项所述基于加解密的SRv6路径认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011562001.7A CN112615878B (zh) | 2020-12-25 | 2020-12-25 | 基于加解密的SRv6路径认证方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011562001.7A CN112615878B (zh) | 2020-12-25 | 2020-12-25 | 基于加解密的SRv6路径认证方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112615878A CN112615878A (zh) | 2021-04-06 |
| CN112615878B true CN112615878B (zh) | 2022-09-06 |
Family
ID=75245251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011562001.7A Active CN112615878B (zh) | 2020-12-25 | 2020-12-25 | 基于加解密的SRv6路径认证方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112615878B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113206790B (zh) * | 2021-04-30 | 2022-10-18 | 网络通信与安全紫金山实验室 | 基于时间周期的SRv6传输路径认证方法、系统及存储介质 |
| WO2023030160A1 (zh) * | 2021-08-31 | 2023-03-09 | 华为技术有限公司 | 发送报文的方法、网络设备、存储介质及程序产品 |
| CN117353904A (zh) * | 2022-06-29 | 2024-01-05 | 中兴通讯股份有限公司 | 信息处理方法、节点及计算机可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1796012B1 (en) * | 2005-12-07 | 2008-10-01 | NTT DoCoMo, Inc. | Authentication method and apparatus |
| CN111010274B (zh) * | 2019-12-30 | 2022-08-12 | 烽火通信科技股份有限公司 | 一种安全低开销的SRv6实现方法 |
| CN111585890B (zh) * | 2020-04-10 | 2021-07-16 | 清华大学 | 基于SRv6的网络路径验证方法及系统 |
-
2020
- 2020-12-25 CN CN202011562001.7A patent/CN112615878B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112615878A (zh) | 2021-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112615878B (zh) | 基于加解密的SRv6路径认证方法、系统、设备及介质 | |
| CN107567704B (zh) | 使用带内元数据的网络路径通过验证 | |
| EP1563642B1 (en) | Location privacy through ip address space scrambling | |
| US7571463B1 (en) | Method an apparatus for providing a scalable and secure network without point to point associations | |
| US8438381B2 (en) | Securing IP traffic | |
| US8155130B2 (en) | Enforcing the principle of least privilege for large tunnel-less VPNs | |
| US7991993B2 (en) | Telecommunication system, for example an IP telecommunication system, and equipment units for use in the system | |
| US10263965B2 (en) | Encrypted CCNx | |
| US20050102497A1 (en) | Security processor mirroring | |
| US20090060184A1 (en) | Systems and Methods for Providing Autonomous Security | |
| CN107113239A (zh) | 包混淆和包转发 | |
| US10439993B2 (en) | Mapping system assisted key refreshing | |
| CN114844729B (zh) | 一种网络信息隐藏方法及系统 | |
| CN114095423B (zh) | 基于mpls的电力通信骨干网数据安全防护方法及系统 | |
| US8364949B1 (en) | Authentication for TCP-based routing and management protocols | |
| CN112350941A (zh) | 基于ESP在overlay层实现源路由的封装报文及发送方法 | |
| WO2022174739A1 (zh) | 报文发送方法、签名信息的生成方法及设备 | |
| US20180123785A1 (en) | Distribution and verification of transaction integrity keys | |
| CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
| CN109347836A (zh) | 一种IPv6网络节点身份安全保护方法 | |
| JP2018174550A (ja) | 通信システム | |
| JP2006019824A (ja) | セキュア通信システム、管理装置および通信端末 | |
| WO2024001322A1 (zh) | 信息处理方法、节点及计算机可读存储介质 | |
| CN114374564B (zh) | 一种内部网关路由链路安全管理系统及方法 | |
| WO2023179174A1 (zh) | 一种报文传输方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |