CN113518032B - 基于SRv6的用户可信标识携带方法及系统 - Google Patents
基于SRv6的用户可信标识携带方法及系统 Download PDFInfo
- Publication number
- CN113518032B CN113518032B CN202010280721.8A CN202010280721A CN113518032B CN 113518032 B CN113518032 B CN 113518032B CN 202010280721 A CN202010280721 A CN 202010280721A CN 113518032 B CN113518032 B CN 113518032B
- Authority
- CN
- China
- Prior art keywords
- trusted
- user
- identification
- data packet
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Abstract
本发明实施例提供一种基于SRv6的用户可信标识携带方法及系统,该方法包括:根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识。本发明实施例将用户可信身份嵌入到SRH中,从而避免了可信地址分配不兼容的问题,使得网络审计有更高的准确性。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种基于SRv6的用户可信标识携带方法及系统。
背景技术
随着网络的不断发展和用户量的急剧增长,网络安全事件频发,网络管理员对网络用户行为的审计也面临更大的挑战,已有研究将可信身份嵌入到IP地址的地址后缀中,网络管理员通过解析IP地址即可获取对应的用户可信标识,不仅可以用于审计,也可以校验包是否被伪造篡改来防止攻击。
由于受到IPv4地址池大小的限制,现有的地址可信身份嵌入主要在IPv6场景下进行的。将身份嵌入到地址涉及到地址分配过程,IPv6中主要有有状态和无状态地址分配两种方式,有状态地址分配方式即IPv6动态主机设置协议(Dynamic Host ConfigurationProtocol for IPv6,简称DHCPv6),无状态地址分配方式即无状态地址自动配置(Stateless Address Autoconfiguration,简称SLAAC)。现有研究通过修改DHCPv6服务器来完成可信地址分配而不改动终端,但此方式仅支持终端通过DHCPv6获取可信地址,在当前IPv6环境中,SLAAC使用十分广泛,仅支持DHCPv6下的身份嵌入方法在实际环境中应用范围过小,兼容性不佳。而在SLAAC中,由于需要终端自己生成无状态地址,在不改动终端的前提下,无法使终端自身生成可信地址,而改动终端的方案显然在实际环境中不利于推广,现有研究主要使用地址转换的方式将终端的无状态地址在网络侧转换成可信地址,以这种方式使终端在网络中实际使用可信地址通信。但是,地址转换破坏了端到端特性,使一些功能,如IPsec无法正确运行,对现有网络兼容性较差。
因此,现在亟需一种基于SRv6的用户可信标识携带方法及系统来解决上述问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种基于SRv6的用户可信标识携带方法及系统。
第一方面,本发明实施例提供了一种基于SRv6的用户可信标识携带方法,包括:
根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;
根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识。
进一步地,在所述根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表之前,所述方法还包括:
获取用户终端的身份信息,以根据所述身份信息对用户终端进行用户注册;
对用户注册后的用户终端进行入网认证,所述入网认证包括Portal认证和802.1X认证。
进一步地,所述可信标识绑定表包括:用户终端MAC地址,用户终端IPv6地址、用户终端的可信标识、校验码、表项生存周期和扩展信息。
进一步地,在所述根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中之后,所述方法还包括:
根据预设校验需求,采用对应的加密方式对用户终端的可信标识和用户终端IP地址进行加密,生成校验码,以根据所述校验码生成Check Code字段,所述加密方式包括非对称加密方式或对称加密方式;
将所述Check Code字段和Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包。
第二方面,本发明实施例提供了一种基于SRv6的用户可信标识携带方法,包括:
获取用户数据包,并根据可信标识写入规则,将Trusted ID字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述TrustedID字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的;
将所述目标用户数据包转发到下一跳分段路由器。
进一步地,在所述将所述目标用户数据包转发到下一跳分段路由器之后,所述方法还包括:
若用户终端离线或所述可信标识写入规则过期,则将所述可信标识写入规则进行移除。
第三方面,本发明实施例提供了一种基于SRv6的用户可信标识携带系统,包括:
可信标识绑定表构建模块,用于根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;
规则生成模块,用于根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识。
第四方面,本发明实施例提供了一种基于SRv6的用户可信标识携带系统,包括:
规则写入模块,用于获取用户数据包,并根据可信标识写入规则,将Trusted ID字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的;
转发模块,用于将所述目标用户数据包转发到下一跳分段路由器。
第五方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面或第二方面所提供的方法的步骤。
第六方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面或第二方面所提供的方法的步骤。
本发明实施例提供的基于SRv6的用户可信标识携带方法及系统,将用户可信身份嵌入到SRH中,从而避免了可信地址分配不兼容的问题,使得网络审计有更高的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于SRv6的用户可信标识携带方法的流程示意图;
图2为本发明实施例提供的网络拓扑示意图;
图3为本发明实施例提供的分段路由头的扩展示意图;
图4为本发明实施例提供的Portal认证中的用户可信标识及IP地址告知示意图;
图5为本发明实施例提供的802.1X认证中的用户可信标识及IP地址告知示意图;
图6为本发明另一实施例提供的基于SRv6的用户可信标识携带方法的流程示意图;
图7为本发明实施例提供的SR路由器根据可信标识写入规则进行数据包处理的示意图;
图8为本发明实施例提供的基于SRv6的用户可信标识携带系统的结构示意图;
图9为本发明另一实施例提供的基于SRv6的用户可信标识携带系统的结构示意图;
图10为本发明实施例提供的电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
源地址验证技术(Source Address Validation,简称SAV)从网络体系结构上解决了源地址容易被伪造的问题。IETF在2008年提出了源地址验证体系结构(SAVArchitecture,简称SAVA),基于SAVA,从接入网、域内和域间三个层面对伪造的源地址数据包进行过滤,形成了完整的SAV体系。其中,接入网的SAVI(SAV Improvement)技术已经在IETF上形成了一系列标准。SAVI给网络审计机制提供了安全保障,通过该技术,可以在接入网处防止IP地址伪造行为的出现,对现有的网络审计意义非常重大。
IPv6分段路由(Segment Routing IPv6,简称SRv6)是基于源路由理念而设计的在网络上转发IPv6数据包的一种协议。基于IPv6转发面的SRv6,通过在IPv6数据包中插入一个路由扩展头(Segment Routing Header,简称SRH),即分段路由头,并在SRH中压入一个显式的IPv6地址栈,通过中间节点不断的进行更新目的地址和偏移地址栈的操作来完成逐跳转发。由于SRH仅被支持SRv6的网络设备识别,对于不支持的SRv6的网络设备,也能将数据包正常转发,SRv6的使用是未来网络趋势,它的出现也给其他应用提供了新的载体,避免了网络应用在部署中的兼容性问题。
为了克服实际网络环境中可信地址分配机制不兼容难以部署的问题,本发明实施例提出了一种基于SRv6的用户可信标识携带方法,该方法通过SRH携带用户终端的可信标识和校验码,而不改动现有的其他包头,即不需要将可信身份嵌入到终端的IP地址中以形成可信地址,而是将用户终端的可信身份嵌入到SRH中,则可以很好的绕过可信地址分配不兼容的问题。通过扩展SR路由器使其与认证服务器联动获取用户可信标识,在不改动终端的情况下,网络侧配合SAVI技术提前过滤掉伪造包,再将用户可信身份写入用户数据包的SRH中,这样不仅使得用户网络包携带了可信身份信息,还避免了身份伪造行为的出现。需要说明的是,本发明实施例是基于源地址验证技术为SAVI进行说明的,可以理解的是,本领域技术人员基于其他源地址验证技术(如EIF等),在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例的保护范围。
图1为本发明实施例提供的基于SRv6的用户可信标识携带方法的流程示意图,如图1所示,本发明实施例提供了一种基于SRv6的用户可信标识携带方法,包括:
步骤101,根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;
步骤102,根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识。
在本发明实施例中,将发送端作为执行主体进行说明,其中发送端包括有控制器和认证服务器等。图2为本发明实施例提供的网络拓扑示意图,可参考图2所示,首先,扩展SAVI基础设施功能,使其在生成用户终端的SAVI绑定表项后,使得控制器获取到用户终端的IP地址和锚点信息;扩展认证服务器功能使其在用户终端完成认证后,生成用户终端的可信标识并通知控制器。具体地,在802.1X认证方式下,用户终端先进行认证后分配地址;而在Portal认证方式下,用户终端先分配地址再进行认证。需要说明的是,在本发明实施例中,无论是在哪种认证方式下,当控制器同时获得用户终端的IP地址和可信标识后,控制器向SR路由器(分段路由器)下发可信标识写入规则。当用户数据包通过SR路由器时,由SR路由器在第一跳处将用户的可信标识写入到用户数据包的SRH中,在用户终端无感知的情况下即可在用户数据包中嵌入其用户终端的可信标识。
本发明实施例提供的基于SRv6的用户可信标识携带方法,将用户可信身份嵌入到SRH中,从而避免了可信地址分配不兼容的问题,使得网络审计有更高的准确性。
在上述实施例的基础上,在所述根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中之后,所述方法还包括:
根据预设校验需求,采用对应的加密方式对用户终端的可信标识和用户终端IP地址进行加密,生成校验码,以根据所述校验码生成Check Code字段,所述加密方式包括非对称加密方式或对称加密方式;
将所述Check Code字段和Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包。
图3为本发明实施例提供的分段路由头的扩展示意图,可参考图3所示,在本发明实施例中,扩展新增了两个字段,分别为Trusted ID和Check Code,其中,128位的TrustedID字段为用户终端的可信标识,优选地,在本发明实施例中,为了保护用户隐私,一般为经过加密或者Hash处理过的身份信息,当可信标识不足128位时,末尾补零至128位;进一步地,128位的Check Code字段是用于校验IP地址和可信标识完整性和真实性的校验码,当校验码不足128位时,末尾补零至128位。在本发明一实施例中,也可以只添加Trusted ID字段,Check Code字段的校验码可根据实际需求选择是否添加。
进一步地,在本发明实施例中,根据预设校验需求,采用对应的加密方式生成校验码,具体地,如果需要除本地认证服务器之外的其他机构校验SRH扩展信息,则认证服务器使用私钥对<IP地址,可信标识>进行数字签名,并写入Check Code字段;如果仅认证服务器自己能验证SRH扩展信息真实性,则该认证服务器使用对称密钥对<IP地址,可信标识>生成密文,并写入Check Code字段。
在上述实施例的基础上,所述可信标识绑定表包括:用户终端MAC地址,用户终端IPv6地址、用户终端的可信标识、校验码、表项生存周期和扩展信息。
在本发明实施例中,控制器根据用户终端的可信标识和用户终端IP地址之间的关系,构建一张可信标识绑定表(Trusted ID Binding Table,简称TIDBT),可参考表1所示:
表1
MAC | IP Address | Trusted ID | Check Code | Lifetime | Other |
mac1 | ip1 | tid1 | code1 | 65535 | / |
mac2 | ip2 | tid2 | code2 | 10000 | / |
如表1所示,TIDBT用于记录已认证用户终端的可信标识与其终端IP地址之间的关系。该表以终端的MAC地址为主键,MAC地址为终端不重复的链路层属性;IP Address字段为认证用户终端获取到的IPv6地址;Trusted ID为用户终端的可信标识,由认证服务器生成;Check Code是<MAC,IP Address,Trusted ID>的校验码,当这三个信息都被控制器获取后,控制器会使用自身的密钥对其生成校验码,本发明实施例根据不同场景需求,使用数字签名或者加密算法生成校验码,保护用户可信标识不被伪造;Lifetime为此表项的生存周期;Other字段用于保存其他可能用到的信息或者未来的扩展信息。
在上述实施例的基础上,在所述根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表之前,所述方法还包括:
获取用户终端的身份信息,以根据所述身份信息对用户终端进行用户注册。
在本发明实施例中,通过对用户终端进行入网认证,使得控制器获取到用户终端的可信标识和该用户终端的IP地址。具体地,在用户终端入网前,首先需要完成用户终端注册,在注册步骤中会填写相应身份信息并被记录在数据库中,其中,身份信息可以为工号、学号、身份证号、手机号和生物信息等可以唯一确定用户身份的标识。然后,根据不同的认证方式进行入网认证。
对用户注册后的用户终端进行入网认证,所述入网认证包括Portal认证和802.1X认证。
图4为本发明实施例提供的Portal认证中的用户可信标识及IP地址告知示意图,可参考图4所示,在本发明实施例中,若认证方式为Portal认证,用户终端先获取IP地址后,再使用此IP地址访问认证服务器进行入网认证。具体地,如图4所示,首先,当用户终端通过地址分配服务器获取地址时,SAVI设备会嗅探用户终端的IP地址及其他网络属性,并生成SAVI绑定表用于源地址过滤,优选地,在本发明实施例中,可扩展SAVI设备增加其与控制器之间的通信接口,当SAVI设备完成SAVI绑定表项的生成后,会通过通信接口将终端的IP地址和MAC地址告知控制器;然后,控制器在接收到SAVI设备传来的IP地址和MAC地址之后,以MAC地址为主键创建一个新的表项,即可信标识绑定表,并将MAC地址和IP地址写入,设置生命周期为初始值,其他字段留空;接着,扩展认证服务器和控制器的通信接口,当用户终端完成认证入网后,认证服务器会将已认证的用户身份信息根据相应算法生成可信ID,然后将此ID和用户终端的MAC地址告知控制器;进一步地,控制器接收到了认证服务器传来的可信ID和MAC地址之后,根据MAC地址查找TIDBT对应的表项,然后将可信ID写入此表项中,如果此时没有找到有此MAC地址的表项,则代表上一步中SAVI设备告知失败,此时控制器主动询问SAVI设备该MAC地址对应的IP地址,然后根据MAC,IP和可信ID创建一个新的表项,并设置生命周期为初始值;最后,当控制器中的表项生成一定时间后,还未收到认证服务器传来的可信ID,则此时会主动询问认证服务器该MAC地址的可信ID,然后将其写入表项。
图5为本发明实施例提供的802.1X认证中的用户可信标识及IP地址告知示意图,可参考图5所示,在本发明实施例中,若验证方式为802.1X认证,用户终端需先通过与认证服务器交互完成认证后,才打开网络端口,然后用户终端获得IP地址。具体地,如图5所示,首先,扩展认证服务器和控制器的通信接口,当用户终端完成认证入网后,认证服务器会将已认证的用户身份信息根据相应算法生成可信ID,然后将此ID和终端的MAC地址告知控制器;然后,在控制器接收到认证服务器传来的可信ID和MAC地址之后,以MAC地址为主键创建一个新的表项作为可信标识绑定表,并将MAC地址和可信ID写入可信标识绑定表中,设置生命周期为初始值,其他字段留空;接着,当用户终端通过地址分配机制获取地址时,SAVI设备会嗅探终端的IP地址及其他网络属性,并生成SAVI绑定表用于源地址过滤,优选地,本发明实施例扩展SAVI设备增加其与控制器之间的通信接口,当SAVI设备完成SAVI绑定表项的生成后,会通过通信接口将终端的IP地址和MAC地址告知控制器;进一步地,在控制器接收到SAVI设备传来的IP地址和MAC地址后,根据MAC地址查找TIDBT对应的表项,然后将IP地址写入此表项,如果此时没有找到有此MAC地址的表项,则代表上一步中认证服务器告知失败,此时控制器主动询问认证服务器该MAC的可信ID,然后根据MAC地址,IP地址和可信ID创建一个新的表项,并设置生命周期为初始值;最后,当控制器中的表项生成一定时间后,还未收到SAVI设备传来的IP地址,则会主动询问SAVI设备该MAC地址对应的IP地址,然后将其写入表项。
图6为本发明另一实施例提供的基于SRv6的用户可信标识携带方法的流程示意图,如图6所示,本发明实施例提供了一种基于SRv6的用户可信标识携带方法,包括:
步骤601,获取用户数据包,并根据可信标识写入规则,将Trusted ID字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的;
步骤602,将所述目标用户数据包转发到下一跳分段路由器。
在本发明实施例中,以SR路由器作为执行主体进行说明。可信标识写入规则为当匹配到对应IP地址的用户数据包时,在该用户数据包SRH的扩展字段中写入相应的可信标识,优选地,在本发明实施例中,将Trusted ID字段和Check Code字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识,所述Check Code字段是由用户终端的可信标识和用户终端IP地址生成的校验码。图7为本发明实施例提供的SR路由器根据可信标识写入规则进行数据包处理的示意图,可参考图7所示,在SR路由器接收到可信标识写入规则之后,该SR路由器在在收到用户数据包时匹配数据包的IP地址,并将相应的可信标识和校验码写入其SRH中,然后再将此用户数据包正常转发。优选地,在本发明实施例中,可在需要审计时才对SRH中可信标识和校验码进行验证,平时不对其做任何验证,从而降低对网络设备带来的额外开销。
本发明实施例提供的基于SRv6的用户可信标识携带方法,将用户可信身份嵌入到SRH中,从而避免了可信地址分配不兼容的问题,使得网络审计有更高的准确性。
在上述实施例的基础上,在所述将所述目标用户数据包转发到下一跳分段路由器之后,所述方法还包括:
若用户终端离线或所述可信标识写入规则过期,则将所述可信标识写入规则进行移除。
在本发明实施例中,考虑到未知风险及为了节省资源,当可信标识写入规则不可用时,需要将其移除。具体地,移除规则主要有以下两种方式:1、当用户终端离线时,需要移除其可信标识写入规则。在移动场景中,大多数情况下用户终端离线后不会发送任何控制数据包,从而无法得知用户终端离线的精确时间,但是可以利用SR路由器上的匹配规则空闲时间来移除相应规则。具体方法为,控制器每次向SR路由器下发可信标识写入规则时,设置一个初始化空闲时间,当在此时间内没有匹配到任何用户终端发来的数据包,则认为该用户终端已经离线,SR路由器将此可信标识写入规则移除。2、当可信标识写入规则过期时,即TIDBT中Lifetime字段设置的生命周期到期时,规则项被移除。需要说明的是,在本发明实施例中,由于生命周期初始值会设置一个相对较大的值,所以大多数用户终端的规则会以第一种方式被移除。
图8为本发明实施例提供的基于SRv6的用户可信标识携带系统的结构示意图,如图8所示,本发明实施例提供了一种基于SRv6的用户可信标识携带系统,包括可信标识绑定表构建模块801和规则生成模块802,其中,可信标识绑定表构建模块801用于根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;规则生成模块802用于根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识。
本发明实施例提供的基于SRv6的用户可信标识携带系统,将用户可信身份嵌入到SRH中,从而避免了可信地址分配不兼容的问题,使得网络审计有更高的准确性。
图9为本发明另一实施例提供的基于SRv6的用户可信标识携带系统的结构示意图,如图9所示,本发明实施例提供了一种基于SRv6的用户可信标识携带系统,包括规则写入模块901和转发模块902,其中,规则写入模块901用于获取用户数据包,并根据可信标识写入规则,将Trusted ID字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的;转发模块902用于将所述目标用户数据包转发到下一跳分段路由器。
本发明实施例提供的基于SRv6的用户可信标识携带系统,将用户可信身份嵌入到SRH中,从而避免了可信地址分配不兼容的问题,使得网络审计有更高的准确性。
本发明实施例提供的系统是用于执行上述各方法实施例的,具体流程和详细内容请参照上述实施例,此处不再赘述。
图10为本发明实施例提供的电子设备结构示意图,参照图10,该电子设备可以包括:处理器(processor)1001、通信接口(Communications Interface)1002、存储器(memory)1003和通信总线1004,其中,处理器1001,通信接口1002,存储器1003通过通信总线1004完成相互间的通信。处理器1001可以调用存储器1003中的逻辑指令,以执行如下方法:根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识;
或,获取用户数据包,并根据可信标识写入规则,将Trusted ID字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的;将所述目标用户数据包转发到下一跳分段路由器。
此外,上述的存储器1003中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的基于SRv6的用户可信标识携带方法,例如包括:根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将Trusted ID字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识;
或,获取用户数据包,并根据可信标识写入规则,将Trusted ID字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述Trusted ID字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的;将所述目标用户数据包转发到下一跳分段路由器。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于SRv6的用户可信标识携带方法,其特征在于,包括:
根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;
根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将可信标识字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述可信标识字段为用户终端的可信标识,所述可信标识写入规则为当匹配到对应IP地址的用户数据包时,在所述用户数据包路由扩展头的扩展字段中写入相应的可信标识。
2.根据权利要求1所述的基于SRv6的用户可信标识携带方法,其特征在于,在所述根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表之前,所述方法还包括:
获取用户终端的身份信息,以根据所述身份信息对用户终端进行用户注册;
对用户注册后的用户终端进行入网认证,所述入网认证包括Portal认证和802.1X认证。
3.根据权利要求1所述的基于SRv6的用户可信标识携带方法,其特征在于,所述可信标识绑定表包括:用户终端MAC地址,用户终端IPv6地址、用户终端的可信标识、校验码、表项生存周期和扩展信息。
4.根据权利要求1所述的基于SRv6的用户可信标识携带方法,其特征在于,在所述根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将可信标识字段添加到用户数据包的分段路由头中之后,所述方法还包括:
根据预设校验需求,采用对应的加密方式对用户终端的可信标识和用户终端IP地址进行加密,生成校验码,以根据所述校验码生成Check Code字段,所述加密方式包括非对称加密方式或对称加密方式;
将所述Check Code字段和可信标识字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包。
5.一种基于SRv6的用户可信标识携带方法,其特征在于,包括:
获取用户数据包,并根据可信标识写入规则,将可信标识字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述可信标识字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的,所述可信标识写入规则为当匹配到对应IP地址的用户数据包时,在所述用户数据包路由扩展头的扩展字段中写入相应的可信标识;
将所述目标用户数据包转发到下一跳分段路由器。
6.根据权利要求5所述的基于SRv6的用户可信标识携带方法,其特征在于,在所述将所述目标用户数据包转发到下一跳分段路由器之后,所述方法还包括:
若用户终端离线或所述可信标识写入规则过期,则将所述可信标识写入规则进行移除。
7.一种基于SRv6的用户可信标识携带系统,其特征在于,包括:
可信标识绑定表构建模块,用于根据用户终端的可信标识和用户终端IP地址之间的关系,构建可信标识绑定表;
规则生成模块,用于根据所述可信标识绑定表,生成可信标识写入规则,以供分段路由器根据所述可信标识写入规则,将可信标识字段添加到用户数据包的分段路由头中,获取携带有用户可信标识的目标用户数据包,其中,所述可信标识字段为用户终端的可信标识,所述可信标识写入规则为当匹配到对应IP地址的用户数据包时,在所述用户数据包路由扩展头的扩展字段中写入相应的可信标识。
8.一种基于SRv6的用户可信标识携带系统,其特征在于,包括:
规则写入模块,用于获取用户数据包,并根据可信标识写入规则,将可信标识字段添加到所述用户数据包的分段路由头中,得到携带有用户可信标识的目标用户数据包,其中,所述可信标识字段为用户终端的可信标识,所述可信标识写入规则是由用户终端的可信标识和用户终端IP地址之间的关系构建得到的,所述可信标识写入规则为当匹配到对应IP地址的用户数据包时,在所述用户数据包路由扩展头的扩展字段中写入相应的可信标识;
转发模块,用于将所述目标用户数据包转发到下一跳分段路由器。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述基于SRv6的用户可信标识携带方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述基于SRv6的用户可信标识携带方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010280721.8A CN113518032B (zh) | 2020-04-10 | 2020-04-10 | 基于SRv6的用户可信标识携带方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010280721.8A CN113518032B (zh) | 2020-04-10 | 2020-04-10 | 基于SRv6的用户可信标识携带方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113518032A CN113518032A (zh) | 2021-10-19 |
CN113518032B true CN113518032B (zh) | 2022-11-01 |
Family
ID=78060667
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010280721.8A Active CN113518032B (zh) | 2020-04-10 | 2020-04-10 | 基于SRv6的用户可信标识携带方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113518032B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117459321B (zh) * | 2023-12-21 | 2024-03-08 | 明阳点时科技(沈阳)有限公司 | 一种端到端可信通信方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546428A (zh) * | 2012-02-03 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于DHCPv6侦听的IPv6报文交换系统及方法 |
CN110224980A (zh) * | 2019-05-05 | 2019-09-10 | 清华大学 | 一种可信mptcp传输方法及系统 |
CN110266518A (zh) * | 2019-05-22 | 2019-09-20 | 清华大学 | 基于SDN的IPv6地址溯源方法、装置与电子设备 |
CN110831070A (zh) * | 2018-08-13 | 2020-02-21 | 华为技术有限公司 | 一种处理业务流的方法、通信方法及装置 |
-
2020
- 2020-04-10 CN CN202010280721.8A patent/CN113518032B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546428A (zh) * | 2012-02-03 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于DHCPv6侦听的IPv6报文交换系统及方法 |
CN110831070A (zh) * | 2018-08-13 | 2020-02-21 | 华为技术有限公司 | 一种处理业务流的方法、通信方法及装置 |
CN110224980A (zh) * | 2019-05-05 | 2019-09-10 | 清华大学 | 一种可信mptcp传输方法及系统 |
CN110266518A (zh) * | 2019-05-22 | 2019-09-20 | 清华大学 | 基于SDN的IPv6地址溯源方法、装置与电子设备 |
Non-Patent Citations (3)
Title |
---|
An Autonomic Control Plane (ACP)draft-ietf-anima-autonomic-control-plane-20;T. Eckert等;《IETF 》;20190722;全文 * |
IPv6 Segment Routing Header (SRH) draft-ietf-6man-segment-routing-header-17;C. Filsfils等;《IETF 》;20190325;全文 * |
S. Previdi ; Individual ; C. Filsfils等.IPv6 Segment Routing Header (SRH) draft-ietf-6man-segment-routing-header-12.《IETF 》.2018, * |
Also Published As
Publication number | Publication date |
---|---|
CN113518032A (zh) | 2021-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190007316A1 (en) | Controller for software defined network | |
CN1874217B (zh) | 一种确定路由的方法 | |
US8984112B2 (en) | Internet address information processing method, apparatus, and internet system | |
US8630420B2 (en) | Method for auto-configuration of a network terminal address | |
CN106878194B (zh) | 一种报文处理方法和装置 | |
CN102685712B (zh) | 一种身份位置分离网络中的映射服务器及其实现方法 | |
CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
CN107580079B (zh) | 一种报文传输方法和装置 | |
US7421506B2 (en) | Load balancer for multiprocessor platforms | |
KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
CN110417657A (zh) | 一种处理组播数据报文的方法及装置 | |
CN109981633A (zh) | 访问服务器的方法、设备及计算机可读存储介质 | |
CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
WO2019196562A1 (zh) | 报文处理方法、装置、存储介质及处理器 | |
CN113852552B (zh) | 一种网络通讯方法、系统与存储介质 | |
CN112910863A (zh) | 一种网络溯源方法及系统 | |
CN104243631A (zh) | 一种IPv4地址与IPv6地址有状态转换的方法及设备 | |
CN105101176A (zh) | 一种漫游场景下的会话绑定方法、装置和系统 | |
US8438390B2 (en) | Method and system for using neighbor discovery unspecified solicitation to obtain link local address | |
CN113055176A (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
CN113518032B (zh) | 基于SRv6的用户可信标识携带方法及系统 | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
CN102546429A (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |