CN113839872B - 一种面向虚链路的安全标签分发协议方法和系统 - Google Patents
一种面向虚链路的安全标签分发协议方法和系统 Download PDFInfo
- Publication number
- CN113839872B CN113839872B CN202111427306.1A CN202111427306A CN113839872B CN 113839872 B CN113839872 B CN 113839872B CN 202111427306 A CN202111427306 A CN 202111427306A CN 113839872 B CN113839872 B CN 113839872B
- Authority
- CN
- China
- Prior art keywords
- security
- label distribution
- distribution protocol
- security label
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
- H04L45/507—Label distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Abstract
本发明提出一种面向虚链路的安全标签分发协议方法和系统。所述方法包括:步骤S1、出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;步骤S2、入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;步骤S3、完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器。
Description
技术领域
本发明属于通信协议领域,尤其涉及一种面向虚链路的安全标签分发协议方法和系统。
背景技术
随着信息化的发展,网络已渗透到社会生活的方方面面。路由协议是网络的重要组成部分。通过路由协议,网络设备可以基于预定的规则进行通信,进而保证网络的有序运行。在诸多路由协议中,标签分发协议作为标签转发路由方式的关键所在,受到广大研究者的广泛关注。然而,现有的标签分发协议设计主要考虑网络的连接性、开放性与兼容性,而忽视了路径建立过程中可能存在的安全问题。
目前网络中广泛采用的该类协议为标签分发协议(Label DistributionProtocol, LDP),它根据已有路由信息建立标签转发表进而实现报文转发加速的目标。然而,该协议在设计之初并未将网络数据安全视作第一要务,而是专注于标签转发路由的可用性与网络性能的提升,故而在安全保障方面存在隐患,这对于诸如国家电网等安全需求较高的场景来说是不可接受的。
发明内容
本发明提出了一种面向虚链路的安全标签分发协议方案,以解决现有技术中如何设计安全可靠的标签分发协议,使得在保证标签转发路由可用性的同时增强网络通信的安全性的技术问题。本发明的目的在于:针对由接入路由器、核心路由器组成的网络应用场景,设计一种安全加固的标签分发协议。具体的,一是通过定义报文格式中的本对端随机数、杂凑值等字段,采用杂凑算法对报文进行认证,确保通信数据安全可靠;二是;二是在报文传输过程中鉴别报文的合法性,通过握手协商以及加解密实现报文信息的安全校验;三是支持安全虚链路的服务质量保障功能,提供网络范围内高可靠的标签分发功能;四是支持安全虚链路带宽资源预留功能,以保障业务传输的QoS要求。
本发明第一方面公开了一种面向虚链路的安全标签分发协议方法。所述方法包括:
步骤S1、出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;
步骤S2、入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;
步骤S3、完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器。
根据本发明第一方面的方法,在所述步骤S1中,具体包括:
步骤S11:利用所述安全标签分发协议封装安全加固信息,并将所述安全标签分发协议的接口的序号加1;
步骤S12:基于杂凑算法,通过所述安全标签分发协议计算出所述杂凑值;
步骤S13:将所述杂凑值封装在所述报文的尾部。
根据本发明第一方面的方法,在所述步骤S2中,具体方法包括:
步骤S21:采用滑动窗口机制判断所述序号的合法性,利用丢弃重放安全标签来分发协议数据;
步骤S22:根据所述报文的长度取所述安全标签分发协议的数据,通过定位获取所述杂凑值部分,进行完整性验证,对杂凑值比对失败报文记录并丢弃;
步骤S23:判断非重放安全标签分发协议的数据,去除所述安全加固封装提取所述安全标签分发协议的净荷,并将接口收序号加1。
根据本发明第一方面的方法,出方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固。
根据本发明第一方面的方法,入方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固的解析
根据本发明第一方面的方法,所述安全标签分发模块负责安全标签分发协议的安全加固具体方法为:所述安全标签分发模块在报文结尾补充杂凑值计算字段,所述杂凑值用来保证消息交互过程中的安全性。
根据本发明第一方面的方法,所述出方向的安全接入路由器和入方向的安全接入路由器分别包括密码模块,所述杂凑算法由密码模块提供,所述安全标签分发协议的安全加固过程为一次认证过程,出方向的安全接入路由器和入方向的安全接入路由器接收双方基于提前协商的随机数以及密码模块提供的杂凑算法,对接收到的杂凑值进行完整性验证,以实现报文的安全认证。
本发明第二方面公开了一种用于面向虚链路的安全标签分发协议系统。所述系统包括:
第一处理单元,被配置为执行:调用出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;
第二处理单元,被配置为执行:调用入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;
第三处理单元,被配置为执行:调完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器。
根据本发明第二方面的系统,所述第一处理单元具体被配置为执行以下步骤:
步骤S11:利用所述安全标签分发协议封装安全加固信息,并将所述安全标签分发协议的接口的序号加1;
步骤S12:基于杂凑算法,通过所述安全标签分发协议计算出所述杂凑值;
步骤S13:将所述杂凑值封装在所述报文的尾部。
根据本发明第二方面的系统,所述第二处理单元具体被配置为执行以下步骤:
步骤S21:采用滑动窗口机制判断所述序号的合法性,利用丢弃重放安全标签来分发协议数据;
步骤S22:根据所述报文的长度取所述安全标签分发协议的数据,通过定位获取所述杂凑值部分,进行完整性验证,对杂凑值比对失败报文记录并丢弃;
步骤S23:判断非重放安全标签分发协议的数据,去除所述安全加固封装提取所述安全标签分发协议的净荷,并将接口收序号加1。
根据本发明第二方面的系统,出方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固。
根据本发明第二方面的系统,入方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固的解析。
根据本发明第二方面的系统,所述安全标签分发模块负责安全标签分发协议的安全加固具体方法为:所述安全标签分发模块在报文结尾补充杂凑值计算字段,所述杂凑值用来保证消息交互过程中的安全性。
根据本发明第二方面的系统,所述出方向的安全接入路由器和入方向的安全接入路由器分别包括密码模块,所述杂凑算法由密码模块提供,所述安全标签分发协议的安全加固过程为一次认证过程,出方向的安全接入路由器和入方向的安全接入路由器接收双方基于提前协商的随机数以及密码模块提供的杂凑算法,对接收到的杂凑值进行完整性验证,以实现报文的安全认证。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种用于面向虚链路的安全标签分发协议方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种用于面向虚链路的安全标签分发协议方法中的步骤。
综上,在本发明提出的的技术方案中,通过改造LDP报文消息,引入了信息认证机制,收发双方通过握手协商获得既定随机数,并采用密码模块提供的杂凑算法来对报文进行认证,以确保通信数据安全可靠;自定义特定报文格式中的本对端随机数、杂凑值等字段,并通过握手协商以及加解密操作实现报文信息的安全校验。不限制特定字段的取值范围以及所采用的加解密方法。
以上方案:(1)提出了一种面向高可靠需求场景下的安全标签分发协议方法,为特定网络场景提供了一种安全可靠的标签转发实现机制;(2)有效利用了现有LDP协议在标签转发方面的优势,并结合特定需求给出了定制化的虚链路带宽优化管理方案,为安全需求较高的场景下网络性能提供了有力保障。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种用于网管和路由器间的安全互连协议方法的流程图;
图2为根据本发明实施例的通信实体模型的示意图;
图3为根据本发明实施例的通信双方协商的流程示意图;
图4为根据本发明实施例的标签分发协议安全加固发处理的流程示意图;
图5为根据本发明实施例的标签分发协议安全加固收处理的流程示意图;
图6为根据本发明实施例的一种用于网管和路由器间的安全互连协议系统的结构图;
图7为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种面向虚链路的安全标签分发协议方法。图1为根据本发明实施例的一种用于网管和路由器间的安全互连协议方法的流程图;如图1所示,所述方法包括:
步骤S1、出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;
步骤S2、入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;
步骤S3、完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器。
图2为根据本发明实施例的通信实体模型的示意图;如图2所示,该方法的应用场景为安全接入路由器间跨核心网的通信,主要服务对象为通信实体间的安全虚链路,其通信模型如图1所示。运行该协议的实体为网络中所有支持标签交换的路由器,其内部逻辑主要有路由模块和安全标签分发模块(SLDP),其中路由模块主要完成标签转发路径(SLP)配置、标签转发路径会话查询、标签表下发、路由表更新等工作,SLDP模块则主要负责标签分发协议消息的安全加固。该协议基于传统标签分发协议进行改进,主要加固了通信对等体之间信息交互的安全性。
在一些实施例中,在所述步骤S1中,具体包括:
步骤S11:利用所述安全标签分发协议封装安全加固信息,并将所述安全标签分发协议的接口的序号加1;
步骤S12:基于杂凑算法,通过所述安全标签分发协议计算出所述杂凑值;
步骤S13:将所述杂凑值封装在所述报文的尾部。
在一些实施例中,在所述步骤S2中,具体方法包括:
步骤S21:采用滑动窗口机制判断所述序号的合法性,利用丢弃重放安全标签来分发协议数据;
步骤S22:根据所述报文的长度取所述安全标签分发协议的数据,通过定位获取所述杂凑值部分,进行完整性验证,对杂凑值比对失败报文记录并丢弃;
步骤S23:判断非重放安全标签分发协议的数据,去除所述安全加固封装提取所述安全标签分发协议的净荷,并将接口收序号加1。
在一些实施例中,出方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固。
在一些实施例中,入方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固的解析
在一些实施例中,所述安全标签分发模块负责安全标签分发协议的安全加固具体方法为:所述安全标签分发模块在报文结尾补充杂凑值计算字段,所述杂凑值用来保证消息交互过程中的安全性。
在一些实施例中,所述出方向的安全接入路由器和入方向的安全接入路由器分别包括密码模块,所述杂凑算法由密码模块提供,所述安全标签分发协议的安全加固过程为一次认证过程,出方向的安全接入路由器和入方向的安全接入路由器接收双方基于提前协商的随机数以及密码模块提供的杂凑算法,对接收到的杂凑值进行完整性验证,以实现报文的安全认证。
图3为根据本发明实施例的通信双方协商的流程示意图;如图3所示,加固操作由路由器中SLDP模块具体完成,其在报文结尾补充了杂凑值计算字段,杂凑值用来保证消息交互过程中的安全性。标签分发协议报文加固的过程可以视作是一次认证过程,接收双方可基于提前协商的随机数以及密码模块提供的杂凑算法,对接收到的报文杂凑值进行完整性验证,以实现报文的安全认证。
图4为根据本发明实施例的标签分发协议安全加固发处理的流程示意图;如图4所示,出方向流程包括:标签分发协议数据封装安全加固信息,将协议该接口的序号加1;采用密码模块提供的杂凑算法,对协议数据等部分计算出杂凑值;将杂凑值封装在报文尾部。
图5为根据本发明实施例的标签分发协议安全加固收处理的流程示意图;如图5所示,入方向流程包括:采用滑动窗口机制判断序号的合法性,丢弃重放标签分发协议数据;根据长度取数据,定位获取杂凑值部分,进行完整性验证,对杂凑比对失败报文记录并丢弃;判断非重放信息,去除安全加固封装提取协议净荷,并将该接口收序号加1。
本发明第二方面公开了一种用于面向虚链路的安全标签分发协议系统。图6为根据本发明实施例的一种用于网管和路由器间的安全互连协议系统的结构图;如图6所示,所述系统包括:
第一处理单元601,被配置为执行:调用出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;
第二处理单元602,被配置为执行:调用入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;
第三处理单元603,被配置为执行:调完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器。
根据本发明第二方面的系统,所述第一处理单元601具体被配置为执行以下步骤:
步骤S11:利用所述安全标签分发协议封装安全加固信息,并将所述安全标签分发协议的接口的序号加1;
步骤S12:基于杂凑算法,通过所述安全标签分发协议计算出所述杂凑值;
步骤S13:将所述杂凑值封装在所述报文的尾部。
根据本发明第二方面的系统,所述第二处理单元602具体被配置为执行以下步骤:
步骤S21:采用滑动窗口机制判断所述序号的合法性,利用丢弃重放安全标签来分发协议数据;
步骤S22:根据所述报文的长度取所述安全标签分发协议的数据,通过定位获取所述杂凑值部分,进行完整性验证,对杂凑值比对失败报文记录并丢弃;
步骤S23:判断非重放安全标签分发协议的数据,去除所述安全加固封装提取所述安全标签分发协议的净荷,并将接口收序号加1。
根据本发明第二方面的系统,出方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固。
根据本发明第二方面的系统,入方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固的解析。
根据本发明第二方面的系统,所述安全标签分发模块负责安全标签分发协议的安全加固具体方法为:所述安全标签分发模块在报文结尾补充杂凑值计算字段,所述杂凑值用来保证消息交互过程中的安全性。
根据本发明第二方面的系统,所述出方向的安全接入路由器和入方向的安全接入路由器分别包括密码模块,所述杂凑算法由密码模块提供,所述安全标签分发协议的安全加固过程为一次认证过程,出方向的安全接入路由器和入方向的安全接入路由器接收双方基于提前协商的随机数以及密码模块提供的杂凑算法,对接收到的杂凑值进行完整性验证,以实现报文的安全认证。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种用于面向虚链路的安全标签分发协议方法中的步骤。
图7为根据本发明实施例的一种电子设备的结构图,如图7所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种用于面向虚链路的安全标签分发协议方法中的步骤。
综上,在本发明提出的的技术方案中,通过改造LDP报文消息,引入了信息认证机制,收发双方通过握手协商获得既定随机数,并采用密码模块提供的杂凑算法来对报文进行认证,以确保通信数据安全可靠;自定义特定报文格式中的本对端随机数、杂凑值等字段,并通过握手协商以及加解密操作实现报文信息的安全校验。不限制特定字段的取值范围以及所采用的加解密方法。
以上方案:(1)提出了一种面向高可靠需求场景下的安全标签分发协议方法,为特定网络场景提供了一种安全可靠的标签转发实现机制;(2)有效利用了现有LDP协议在标签转发方面的优势,并结合特定需求给出了定制化的虚链路带宽优化管理方案,为安全需求较高的场景下网络性能提供了有力保障。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种面向虚链路的安全标签分发协议方法,其特征在于,所述方法包括:
步骤S1、出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;
步骤S2、入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;
步骤S3、完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器;
其中,所述步骤S1具体包括:
步骤S11:利用所述安全标签分发协议封装安全加固信息,并将所述安全标签分发协议的接口的序号加1;
步骤S12:基于杂凑算法,通过所述安全标签分发协议计算出所述杂凑值;
步骤S13:将所述杂凑值封装在所述报文的尾部;
其中,所述步骤S2具体包括:
步骤S21:采用滑动窗口机制判断所述序号的合法性,利用丢弃重放安全标签来分发协议数据;
步骤S22:根据所述报文的长度取所述安全标签分发协议的数据,通过定位获取所述杂凑值部分,进行完整性验证,对杂凑值比对失败报文记录并丢弃;
步骤S23:判断非重放安全标签分发协议的数据,去除所述安全加固封装提取所述安全标签分发协议的净荷,并将接口收序号加1。
2.根据权利要求1所述的一种面向虚链路的安全标签分发协议方法,其特征在于,出方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固。
3.根据权利要求1所述的一种面向虚链路的安全标签分发协议方法,其特征在于,入方向的安全接入路由器包括路由模块和安全标签分发模块,所述路由模块负责完成安全标签分发协议转发路径配置、标签转发路径会话查询、标签表下发和路由表更新;安全标签分发模块负责所述安全标签分发协议的安全加固的解析。
4.根据权利要求2所述的一种面向虚链路的安全标签分发协议方法,其特征在于,所述安全标签分发模块负责安全标签分发协议的安全加固具体方法为:所述安全标签分发模块在报文结尾补充杂凑值计算字段,所述杂凑值用来保证消息交互过程中的安全性。
5.根据权利要求1所述的一种面向虚链路的安全标签分发协议方法,其特征在于,所述出方向的安全接入路由器和入方向的安全接入路由器分别包括密码模块,所述杂凑算法由密码模块提供,所述安全标签分发协议的安全加固过程为一次认证过程,出方向的安全接入路由器和入方向的安全接入路由器接收双方基于提前协商的随机数以及密码模块提供的杂凑算法,对接收到的杂凑值进行完整性验证,以实现报文的安全认证。
6.一种用于面向虚链路的安全标签分发协议系统,其特征在于,所述系统包括:
第一处理单元,被配置为执行:调用出方向的安全接入路由器对所述安全标签分发协议进行安全加固,在报文结尾补充杂凑值计算字段,并将所述杂凑值封装在报文尾部;
第二处理单元,被配置为执行:调用入方向的安全接入路由器对所述安全标签分发协议进行解析,通过定位获取杂凑值部分,以进行完整性验证;
第三处理单元,被配置为执行:调完成通信对等体之间信息交互的安全加固;所述通信对等体包括所述出方向的安全接入路由器和所述入方向的安全接入路由器;
其中,所述第一处理单元具体被配置为执行:
利用所述安全标签分发协议封装安全加固信息,并将所述安全标签分发协议的接口的序号加1;
基于杂凑算法,通过所述安全标签分发协议计算出所述杂凑值;
将所述杂凑值封装在所述报文的尾部;
其中,所述第二处理单元具体被配置为执行:
采用滑动窗口机制判断所述序号的合法性,利用丢弃重放安全标签来分发协议数据;
根据所述报文的长度取所述安全标签分发协议的数据,通过定位获取所述杂凑值部分,进行完整性验证,对杂凑值比对失败报文记录并丢弃;
判断非重放安全标签分发协议的数据,去除所述安全加固封装提取所述安全标签分发协议的净荷,并将接口收序号加1。
7.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至5中任一项所述的一种面向虚链路的安全标签分发协议方法中的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至5中任一项所述的一种面向虚链路的安全标签分发协议方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111427306.1A CN113839872B (zh) | 2021-11-29 | 2021-11-29 | 一种面向虚链路的安全标签分发协议方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111427306.1A CN113839872B (zh) | 2021-11-29 | 2021-11-29 | 一种面向虚链路的安全标签分发协议方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113839872A CN113839872A (zh) | 2021-12-24 |
| CN113839872B true CN113839872B (zh) | 2022-02-15 |
Family
ID=78971787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111427306.1A Active CN113839872B (zh) | 2021-11-29 | 2021-11-29 | 一种面向虚链路的安全标签分发协议方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113839872B (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577579B (zh) * | 2014-10-17 | 2020-09-01 | 中兴通讯股份有限公司 | 业务功能链中协议报文的处理方法、系统及业务功能节点 |
| CN113273146B (zh) * | 2018-07-10 | 2023-06-02 | 力士塔有限公司 | 用于云端通信,计算和全球电子商务的去中心化网络安全的隐私网络 |
| CN111010274B (zh) * | 2019-12-30 | 2022-08-12 | 烽火通信科技股份有限公司 | 一种安全低开销的SRv6实现方法 |
| US11502946B2 (en) * | 2020-03-10 | 2022-11-15 | Juniper Networks, Inc. | Distributed label assignment for labeled routing protocol routes |
-
2021
- 2021-11-29 CN CN202111427306.1A patent/CN113839872B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113839872A (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8806608B2 (en) | Authentication server and method for controlling mobile communication terminal access to virtual private network | |
| US9246825B2 (en) | Accelerated processing of aggregate data flows in a network environment | |
| US9166921B2 (en) | Selective packet sequence acceleration in a network environment | |
| US8792353B1 (en) | Preserving sequencing during selective packet acceleration in a network environment | |
| US8948013B1 (en) | Selective packet sequence acceleration in a network environment | |
| WO2021037175A1 (zh) | 一种网络切片的管理方法及相关装置 | |
| CN110719265B (zh) | 一种实现网络安全通信的方法、装置及设备 | |
| CN106817347A (zh) | 第三方应用认证方法、认证服务器、终端及管理服务器 | |
| US20230156468A1 (en) | Secure Communication Method, Related Apparatus, and System | |
| US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| US10721621B2 (en) | Updating policy for a video flow during transitions | |
| US11652910B2 (en) | Data transmission method, device, and system | |
| US20210168614A1 (en) | Data Transmission Method and Device | |
| CN113038467B (zh) | 一种事件信息上报方法及通信装置 | |
| CN113839872B (zh) | 一种面向虚链路的安全标签分发协议方法和系统 | |
| CN113194057B (zh) | 基于as2的数据接收、发送、交互方法和客户端 | |
| US20230113138A1 (en) | Application Information Verification Method, Packet Processing Method, And Apparatuses Thereof | |
| EP3552367B1 (en) | Method and intermediate network node for managing tcp segment | |
| CN112000493B (zh) | 一种数据处理系统、方法及电子设备和存储介质 | |
| Sepczuk et al. | Low-complexity access control scheme for MEC-based services | |
| CN114157419B (zh) | 一种基于ospf的安全路由协议方法和系统 | |
| CN113382410A (zh) | 通信方法和相关装置及计算机可读存储介质 | |
| CN114024664B (zh) | 安全通信方法、相关装置及系统 | |
| US20240022910A1 (en) | Signaling protection method, apparatus, and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |