CN112637237A - 基于SRoU的业务加密方法、系统、设备及存储介质 - Google Patents
基于SRoU的业务加密方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112637237A CN112637237A CN202011624129.1A CN202011624129A CN112637237A CN 112637237 A CN112637237 A CN 112637237A CN 202011624129 A CN202011624129 A CN 202011624129A CN 112637237 A CN112637237 A CN 112637237A
- Authority
- CN
- China
- Prior art keywords
- srou
- user side
- remote
- local
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于SRoU的业务加密方法、系统、设备及存储介质,方法包括在SDWAN场景中,在本地用户端和远端用户端之间引入基于UDP协议的分段路由,生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;本地用户端和远端用户端之间通过SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密功能。本发明通过在SDWAN场景中,生成端到端的SRoU路径,并在SRoU的报文头中封装携带安全参数索引SPI的ES TLV字段,通过ES TLV字段中用于匹配流策略的安全参数索引SPI实现双向安全加密功能。
Description
技术领域
本发明涉及互联网通信安全技术领域,尤其涉及一种基于SRoU的业务加密方法、系统、设备及存储介质。
背景技术
传统的IPSec安全方案中,主要包含的协议是:认证头AH(AuthenticationHeader)和封装安全载荷ESP(Encapsulating Security Payload)。AH用于保证数据完整性/防止重放攻击;ESP除了保证数据完整性/防止重放攻击,还提供数据加密。
SRH最新的标准RFC8754中,认为SR是可信域,没有细节讨论安全场景。但是预留了在SRH中扩展实用AH(Authentication Header)实现安全加密。但IPSec把加密作为公网IPSec隧道的属性,无法实现细粒度的基于业务的加密。
发明内容
技术目的:针对现有技术中无法实现细粒度的基于业务加密的缺陷,本发明公开了一种基于SRoU的业务加密方法、系统、设备及存储介质,通过在SDWAN场景下,引入SRoU为不同业务生成端到端的SR路径,并在SRoU的报文头中增加ES TLV字段,实现基于业务的双向安全加密功能。
技术方案:为实现上述技术目的,本发明采用以下技术方案。
一种基于SRoU的业务加密方法,包括:
S1、在SDWAN场景中,在本地用户端和远端用户端之间引入基于UDP协议的分段路由,即SRoU,通过引入SRoU生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
S2、本地用户端和远端用户端之间通过SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密功能,ES TLV字段作为安全加密参数;所述ES TLV字段中携带安全参数索引SPI,所述安全参数索引SPI用于匹配流策略,支持后期扩展。
优选地,所述在步骤S1中,生成端到端的SRoU路径的具体过程为:
S11、获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
S12、基于UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,依据本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
S13、根据步骤S11中本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。
优选地,每个流策略只有唯一一个用于匹配的安全参数索引SPI,所述步骤S13中本地用户端和远端用户端之间流策略的绑定,即本地用户端和远端用户端之间安全参数索引SPI的绑定。
优选地,所述步骤S2中,本地用户端和远端用户端之间通过SRoU路径传送SRoU报文的具体过程为:
S21、本地用户端接收用户侧业务流量,根据业务流量需求确定本地流策略,并根据本地流策略配置的安全属性加密SRoU报文;
S22、根据远端用户端中与本地流策略绑定的远端流策略,获取远端流策略对应的唯一的远端安全参数索引SPI;本地用户端将远端安全参数索引SPI字段写入ES TLV字段,并将所述ES TLV字段封装在SRoU报文头中;本地用户端将SRoU报文
S23、所述SRoU报文从本地用户端处开始转发,经过SRoU路径上的所有中转站,最终转发至远端用户端;
S24、远端用户端接收所述SRoU报文,解析SRoU报文头中的ES TLV,获取远端安全参数索引SPI,远端用户端通过远端安全参数索引SPI找到远端流策略,并根据远端流策略解密报文。
优选地,所述SRoU报文头中除了ES TLV字段,还包括源端口、目的端口和自定义的SID,所述自定义的SID共64bit,前32 bit是可寻址的设备地址,后32 bit是本地的功能ID。
一种基于SRoU的业务加密系统,包括控制器、用户端和中转站,控制器与用户端、中转站连接;
所述控制器用于在本地用户端和远端用户端之间生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
所述用户端用于在SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密;
所述中转站用于转发SRoU报文。
优选地,所述控制器包括:
流策略数据库建立模块:用于获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
SRoU路径生成模块:用于根据UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,并将本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
流策略绑定模块:用于获取本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。
优选地,所述流策略绑定模块中,每个流策略只有唯一一个用于匹配的安全参数索引SPI,通过本地用户端和远端用户端之间安全参数索引SPI的绑定实现本地用户端和远端用户端之间流策略的绑定。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一所述的一种基于SRoU的业务加密方法。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行以上任一所述的一种基于SRoU的业务加密方法。
有益效果:本发明在SDWAN场景下,引入基于UDP协议的SRoU为不同业务生成端到端的SR路径,并在SRoU报文头中封装携带安全参数索引SPI的ES TLV字段,安全参数索引SPI用来匹配流策略,根据流策略配置的安全属性加密SRoU报文,实现基于业务的双向安全加密功能。
附图说明
图1为本发明的方法流程图;
图2为本发明实施例的系统结构示意图;
图3为本发明实施例的方法流程示意图。
具体实施方式
以下结合附图和实施例对本发明的一种基于SRoU的业务加密方法、系统、设备及存储介质做进一步的说明和解释。
本发明中部分术语说明:
SDWAN场景:SD-WAN,即软件定义广域网,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。
IPSec:即IP security,IPSec协议栈是IETF提供的保护网络层安全的协议标准。与其他层次上的安全保护相比,网络层的安全保护具有许多优点:可以不修改其他层的应用程序对其应用进行安全保护;其他层的应用也可以自动透明地利用网络层的安全服务。尤为重要的是,IPSec具有其他层和低层不能具有的灵活性,如提供主机之间端到端的传输安全、提供路由到路由的多链路传输安全、提供边界到边界的可信网络与不可信网络之间的传输安全、提供特定节点的其他安全配置。因而,IPSec 已经逐渐应用到桌面计算机、服务器、路由器和防火墙等操作系统中。虽然IPSec具有很强的灵活性,但其自身没有明确的对进入和离开主机数据包处理的安全策略管理。在许多IPSec 实施中,仅提供了基于数据包过滤和ACL策略的不健全策咯管理机制,使许多安全服务不得不在应用层或传输层重复实施。同时,IPSec对基于数据包过滤处理是根据数据包的地址、端口、服务以及其他数据包参数信息SPI (security policy index)以位模式对SAD (security associationdatabase) 进行查询,对网络的速率有更高的要求,这对于低速网络环境(如防火墙)的应用十分不利。
MPLS:Multi-Protocol Label Switching,多协议标签交换,是一种高效且可靠的网络传输技术,MPLS专线,就是一种基于MPLS技术的广域网服务专利线路。MPLS专线的优势在于可靠稳定,安全有保障,但是其也有如成本高,部署难度大时间长等缺点。
CPE,英文全称为Customer Premise Equipment,直译:客户前置设备,实际是一种接收移动信号并以无线WIFI信号转发出来的移动信号接入设备,它也是一种将高速4G或者5G信号转换成WiFi信号的设备,可支持同时上网的移动终端数量也较多。
流策略:Traffic Policy,用于QoS复杂流分类,实现丰富的QoS策略。TrafficPolicy分为三部分:
流分类(Classifier)模板:定义流量类型。一个Classifier可以配置一条或多条if-match语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句。
流动作(Behavior)模板:指,用于定义针对该类流量可实施的流动作。一个Behavior可以定义一个或多个动作。
流策略(Traffic Policy)模板:将流分类Classifier和流动作Behavior关联,成为一个Classifier & Behavior对。当Traffic Policy模板设置完毕之后,需要将TrafficPolicy模板应用到接口上才能使策略生效。
Classifier & Behavior对之间的匹配顺序:一个Traffic-policy中可以配置一个或多个Classifier & Behavior对。当收到一个报文,做复杂流分类处理时,会按照Traffic-policy中Classifier & Behavior对的配置顺序进行匹配。如果命中,则停止匹配;如果不命中,则匹配后面的Classifier;如果是最后一个Classifier,且还不命中,则报文走正常的转发处理,类似于没有应用流分类策略。
If-match语句之间的匹配顺序:由于Classifier中配置的是一个或多个if-match语句,按照if-match语句配置顺序进行匹配。报文命中if-match语句后,是否执行对应的behavior动作,取决于If-match语句之间是And还是Or逻辑。
SRoU:Segment Routing over UDP,其中,Segment Routing,标准上称为段路由,即使用SID(Segment ID)转发路由,Over UDP ,说明是在UDP层实现的,因此SRoU指基于UDP协议的分段路由,与传统的SR区别在于,传统的SR是在IP层实现的,本发明的方案是在UDP层实现的。
ES TLV,ES的英文全称为Encapsulating Security,TLV的英文全称为TypeLength Value,是指由数据的类型Tag,数据的长度Length,数据的值Value组成的结构体,几乎可以描述任意数据类型。
如附图1所示,一种基于SRoU的业务加密方法,包括:
S1、在SDWAN场景中,在本地用户端和远端用户端之间引入基于UDP协议的分段路由,即SRoU,通过引入SRoU生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
S2、本地用户端和远端用户端之间通过SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段,实现基于业务的双向安全加密功能,ES TLV字段中携带安全参数索引SPI,安全参数索引SPI用于匹配流策略,支持后期扩展。
在步骤S1中,生成端到端的SRoU路径的具体过程为:
S11、获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
S12、基于UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,依据本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
S13、根据步骤S11中本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。每个流策略只有唯一一个用于匹配的安全参数索引SPI,所述步骤S13中本地用户端和远端用户端之间流策略的绑定,即本地用户端和远端用户端之间安全参数索引SPI的绑定。
此外,虽然每个流策略只有唯一一个用于匹配的安全参数索引SPI,但在本地用户端和远端用户端中,相同的流策略对应的安全参数索引SPI不一定相同,因此,本发明中需要将本地用户端和远端用户端之间的流策略进行绑定,即在本地用户端和远端用户端之间的安全参数索引SPI进行绑定。
在实际应用里,本地用户端和远端用户端各自的流策略数据库中,流策略不一定的完全相同的,即可能会出现本地用户端流策略数据库内的部分流策略并不能在远端用户端流策略数据库中找到,所以,本方案中基于业务的双向安全加密适用于本地用户端和远端用户端存在共有的流策略。
在步骤S2中,本地用户端和远端用户端之间通过SRoU路径传送SRoU报文的具体过程为:
S21、本地用户端接收用户侧业务流量,根据业务流量需求确定本地流策略,并根据本地流策略配置的安全属性加密SRoU报文;
S22、根据远端用户端中与本地流策略绑定的远端流策略,获取远端流策略对应的唯一的远端安全参数索引SPI;本地用户端将远端安全参数索引SPI字段写入ES TLV字段,并将所述ES TLV字段封装在SRoU报文头中;本地用户端将SRoU报文
S23、所述SRoU报文从本地用户端处开始转发,经过SRoU路径上的所有中转站,最终转发至远端用户端;
S24、远端用户端接收所述SRoU报文,解析SRoU报文头中的ES TLV,获取远端安全参数索引SPI,远端用户端通过远端安全参数索引SPI找到远端流策略,并根据远端流策略解密报文。
SRoU报文头中除了ES TLV字段,还包括源端口、目的端口和自定义的SID,所述自定义的SID共64bit,前32 bit是可寻址的设备地址,后32 bit是本地的功能ID。
需要说明的是,传统实现加密在IP层,业务层在IP层之上,会公用IP层加密算法。比如,公网有一个IPSEC隧道用于加密,那么所有的应用,比如微信,QQ等都会走相同的IPSEC隧道加密。
本发明中的加密方案设计在应用层,即UDP层,具体实现是通过绑定流策略实现候加密算法的绑定,不同的业务使用不同的流策略。比如,流策略1配置规则是微信应用(端口号是XX),流策略2配置规则是QQ应用,两个流策略配置不同的加密算法,实现微信和QQ两个不同的应用,各自独立使用自己的加密算法。
CPE的用户侧,基于业务配置流策略(Policy)且在流策略中配置安全加密参数。控制器绑定两端CPE侧的流策略(Policy),本发明在SDWAN场景下,引入SRoU为不同业务生成端到端的SR路径,并在SRoU报文头中增加ES TLV字段,实现基于业务的双向安全加密功能。
本发明在SDWAN场景下,引入SRoU为不同业务生成端到端的SR路径,通过在SRoU的报文头中增加ES TLV信息,实现基于业务的安全加密功能。
一种基于SRoU的业务加密系统,控制器、用户端和中转站,控制器与用户端、中转站连接;
控制器用于在本地用户端和远端用户端之间生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
用户端用于在SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密;
中转站用于转发SRoU报文。
控制器包括流策略数据库建立模块、SRoU路径生成模块和流策略绑定模块;
流策略数据库建立模块用于获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
SRoU路径生成模块用于根据UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,并将本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
流策略绑定模块用于获取本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。
在流策略绑定模块中,每个流策略只有唯一一个用于匹配的安全参数索引SPI,通过本地用户端和远端用户端之间安全参数索引SPI的绑定实现本地用户端和远端用户端之间流策略的绑定。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一所述的一种基于SRoU的业务加密方法。存储器可为各种类型的存储器,可为随机存储器、只读存储器、闪存等。处理器可为各种类型的处理器,例如,中央处理器、微处理器、数字信号处理器或图像处理器等。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行以上任一所述的一种基于SRoU的业务加密方法。
实施例:
如附图2和附图3所示,本实施例中控制器为K8S集群服务,采用MPLS网络,用户端为CPE1和CPE2,CPE1端和CPE2端是用户接入设备,一般用户都会用VPN进行隔离,因此本实施例中分别为两个用户私有VPN接入设备,
在SDWAN场景下,控制器收集并计算网络切片拓扑,为两端CPE之间打通端到端的SRoU路径,并且提供基于业务流量的加密方案。网络切片是一种按需组网的方式,可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络。简单说,运营商只提供一个物理网络拓扑,在这个物理拓扑基础上,虚拟出关注不同网络质量属性的网络。比如时延最小的网络是一个切片,丢包最小的网络也是一个切片,或者吞吐量最大的也是一个切片。
本地CPE在用户侧接口配置流策略,用于把用户流量引入SRoU路径,通过SRoU路径把流量传输到远端的CPE设备,这个是流量的一个方向;同样的,远端CPE也需要配置流策略用于引入反方向的流量;传统的流策略,比如ACL配置IP报文五元组规则,满足这个ACL的五元组规则的报文都会匹配上流策略,然后做一个入SRoU路径的动作。
表格1中给出了SRoU 报文头格式,SRoU 报文头包括以下内容:
端口:包含源端口Source Port和目标端口Dest Port,在本发明中,源端口SourcePort和目标端口Dest Port均设为4500,说明端口设置为UDP端口,其中UDP端口号 4500 用于SRoU场景。
SID:IPv4场景,UDP-SR支持自定义SID,实现各种场景下的可编程转发能力。SID长度是64bit,前32bit是可寻址的设备地址;后32bit是本地的functionID,代表不同的转发能力。在表格1中,Segment List[0] 、Segment List[1] 和Segment List[2]均表示一个SID。
表格
从表格1中可以看出,SRoU 报文头新增扩展TLV,即 ES(EncapsulatingSecurity) TLV,用于携带安全参数索引(SPI),SPI的格式如表格2所示:
表格2
安全参数索引SPI的长度设置为4字节。
本实施例中基于SRoU的业务加密方法的具体过程如下:
控制器为CPE端到端生成SRoU路径,SRoU路径只提供路径转发功能,不支持安全加密功能,区别于传统的IPSec;
其中,如果SRoU采用传统IPSec的方式,把安全加密作为SRoU路径功能,主要会带来两个问题:一个是加密粒度太粗,无法支持按照业务需要定制不同的安全加密;另一个是加密属性需要绑定到SID上,造成SID复杂度增加。
CPE1用户侧配置流策略对应的SPI是100;CPE2用户侧配置流策略对应的SPI是200。控制器根据业务需要,绑定CPE1和CPE2的流策略,形成双向的加密SRoU通道。此外,CPE1和CPE2两端的SPI值可以相同。
CPE1收到用户侧流量,匹配命中SPI是100的流策略,按照流策略配置的安全属性加密报文;并且把绑定的远端流策略的SPI 200作为SRoU的可选ES TLV封装在报文头中。
报文按照SRoU路径转发报文;
报文到CPE2端,CPE2端解析可选ES TLV,找到对应的流策略解密SRoU报文。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于SRoU的业务加密方法,其特征在于,包括:
S1、在SDWAN场景中,在本地用户端和远端用户端之间引入基于UDP协议的分段路由,即SRoU,通过引入SRoU生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
S2、本地用户端和远端用户端之间通过SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密功能,所述ES TLV字段中携带安全参数索引SPI,所述安全参数索引SPI用于匹配流策略,支持后期扩展。
2.根据权利要求1所述的一种基于SRoU的业务加密方法,其特征在于:所述在步骤S1中,生成端到端的SRoU路径的具体过程为:
S11、获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
S12、基于UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,依据本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
S13、根据步骤S11中本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。
3.根据权利要求2所述的一种基于SRoU的业务加密方法,其特征在于:每个流策略只有唯一一个用于匹配的安全参数索引SPI,所述步骤S13中本地用户端和远端用户端之间流策略的绑定,即本地用户端和远端用户端之间安全参数索引SPI的绑定。
4.根据权利要求1所述的一种基于SRoU的业务加密方法,其特征在于:所述步骤S2中,本地用户端和远端用户端之间通过SRoU路径传送SRoU报文的具体过程为:
S21、本地用户端接收用户侧业务流量,根据业务流量需求确定本地流策略,并根据本地流策略配置的安全属性加密SRoU报文;
S22、根据远端用户端中与本地流策略绑定的远端流策略,获取远端流策略对应的唯一的远端安全参数索引SPI;本地用户端将远端安全参数索引SPI字段写入ES TLV字段,并将所述ES TLV字段封装在SRoU报文头中;本地用户端将SRoU报文
S23、所述SRoU报文从本地用户端处开始转发,经过SRoU路径上的所有中转站,最终转发至远端用户端;
S24、远端用户端接收所述SRoU报文,解析SRoU报文头中的ES TLV,获取远端安全参数索引SPI,远端用户端通过远端安全参数索引SPI找到远端流策略,并根据远端流策略解密报文。
5.根据权利要求1所述的一种基于SRoU的业务加密方法,其特征在于:所述SRoU报文头中除了ES TLV字段,还包括源端口、目的端口和自定义的SID,所述自定义的SID共64bit,前32 bit是可寻址的设备地址,后32 bit是本地的功能ID。
6.一种基于SRoU的业务加密系统,其特征在于:包括控制器、用户端和中转站,控制器与用户端、中转站连接;
所述控制器用于在本地用户端和远端用户端之间生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
所述用户端用于在SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密;
所述中转站用于转发SRoU报文。
7.根据权利要求6所述的一种基于SRoU的业务加密系统,其特征在于:所述控制器包括:
流策略数据库建立模块:用于获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
SRoU路径生成模块:用于根据UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,并将本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
流策略绑定模块:用于获取本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。
8.根据权利要求7所述的一种基于SRoU的业务加密系统,其特征在于:所述流策略绑定模块中,每个流策略只有唯一一个用于匹配的安全参数索引SPI,通过本地用户端和远端用户端之间安全参数索引SPI的绑定实现本地用户端和远端用户端之间流策略的绑定。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1-5任一所述的一种基于SRoU的业务加密方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1-5任一所述的一种基于SRoU的业务加密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011624129.1A CN112637237B (zh) | 2020-12-31 | 2020-12-31 | 基于SRoU的业务加密方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011624129.1A CN112637237B (zh) | 2020-12-31 | 2020-12-31 | 基于SRoU的业务加密方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112637237A true CN112637237A (zh) | 2021-04-09 |
| CN112637237B CN112637237B (zh) | 2022-08-16 |
Family
ID=75289691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011624129.1A Active CN112637237B (zh) | 2020-12-31 | 2020-12-31 | 基于SRoU的业务加密方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112637237B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852552A (zh) * | 2021-09-23 | 2021-12-28 | 网络通信与安全紫金山实验室 | 一种网络通讯方法、系统与存储介质 |
| CN113938383A (zh) * | 2021-10-19 | 2022-01-14 | 广东奥飞数据科技股份有限公司 | 一种sd-wan集中策略管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564528A (zh) * | 2004-04-21 | 2005-01-12 | 中兴通讯股份有限公司 | 一种支持策略选路的路由诊断方法 |
| WO2019001488A1 (zh) * | 2017-06-30 | 2019-01-03 | 华为技术有限公司 | 一种检测路径的方法和装置 |
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
-
2020
- 2020-12-31 CN CN202011624129.1A patent/CN112637237B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564528A (zh) * | 2004-04-21 | 2005-01-12 | 中兴通讯股份有限公司 | 一种支持策略选路的路由诊断方法 |
| WO2019001488A1 (zh) * | 2017-06-30 | 2019-01-03 | 华为技术有限公司 | 一种检测路径的方法和装置 |
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852552A (zh) * | 2021-09-23 | 2021-12-28 | 网络通信与安全紫金山实验室 | 一种网络通讯方法、系统与存储介质 |
| CN113938383A (zh) * | 2021-10-19 | 2022-01-14 | 广东奥飞数据科技股份有限公司 | 一种sd-wan集中策略管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112637237B (zh) | 2022-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109861926B (zh) | 报文的发送、处理方法、装置、节点、处理系统和介质 | |
| CN109218178B (zh) | 一种报文处理方法及网络设备 | |
| WO2019105462A1 (zh) | 报文的发送、处理方法及装置,pe节点,节点 | |
| US9992310B2 (en) | Multi-hop Wan MACsec over IP | |
| US7738457B2 (en) | Method and system for virtual routing using containers | |
| US8825829B2 (en) | Routing and service performance management in an application acceleration environment | |
| US8867349B2 (en) | Regulation of network traffic in virtual private networks | |
| US7486674B2 (en) | Data mirroring in a service | |
| CN110635935B (zh) | 为用户接口的相应服务接口使用多个evpn路由 | |
| WO2017037615A1 (en) | A method and apparatus for modifying forwarding states in a network device of a software defined network | |
| WO2019030552A1 (en) | ADVANCED NETWORK PATH TRACING | |
| US11006319B2 (en) | 5G fixed mobile convergence user plane encapsulation | |
| WO2021009553A1 (en) | Method and system for in-band signaling in a quic session | |
| WO2021009554A1 (en) | Method and system for secured information exchange between intermediate and endpoint nodes in a communications network | |
| CN112637237B (zh) | 基于SRoU的业务加密方法、系统、设备及存储介质 | |
| CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
| WO2018150223A1 (en) | A method and system for identification of traffic flows causing network congestion in centralized control plane networks | |
| US11297037B2 (en) | Method and network device for overlay tunnel termination and mirroring spanning datacenters | |
| CN110086720B (zh) | 基于二维路由协议实现l3vpn的方法及系统 | |
| WO2016103187A1 (en) | Method and system for packet redundancy removal | |
| Mihaeljans et al. | Network topology-aware service function chaining in software defined network | |
| WO2023040782A1 (zh) | 处理报文的方法、系统、设备和存储介质 | |
| WO2024002101A1 (zh) | 报文传输方法、装置、相关设备及存储介质 | |
| US11824753B2 (en) | Network node-to-node connectivity verification including data path processing of packets within a packet switching device | |
| WO2024001701A1 (zh) | 数据处理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |