CN114205083A - 基于SRv6的安全认证方法、网络节点和认证系统 - Google Patents

基于SRv6的安全认证方法、网络节点和认证系统 Download PDF

Info

Publication number
CN114205083A
CN114205083A CN202111580735.2A CN202111580735A CN114205083A CN 114205083 A CN114205083 A CN 114205083A CN 202111580735 A CN202111580735 A CN 202111580735A CN 114205083 A CN114205083 A CN 114205083A
Authority
CN
China
Prior art keywords
random number
authentication
key
node
hmac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111580735.2A
Other languages
English (en)
Inventor
范紫君
王锦华
黄铖斌
张建宇
孟阼君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111580735.2A priority Critical patent/CN114205083A/zh
Publication of CN114205083A publication Critical patent/CN114205083A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Abstract

本公开提出一种基于SRv6的安全认证方法、网络节点和认证系统,涉及网络安全技术领域。本公开的一种基于SRv6的安全认证方法包括:源节点生成密钥对和密钥标识,密钥对中包括私钥和公钥;将公钥和密钥标识通过SRH发送给认证节点,以便认证节点通过公钥加密第一随机数,生成加密随机数;接收认证节点反馈的加密随机数,并利用私钥解密加密随机数,获取第二随机数;根据第二随机数和密钥标识生成第一HMAC,并将第一HMAC发送给认证节点,以便认证节点将基于第一随机数和密钥标识生成的第二HMAC与第一HMAC匹配;根据认证节点反馈的认证成功信息,执行数据传输。通过这样的方法,提高了通信的安全性。

Description

基于SRv6的安全认证方法、网络节点和认证系统
技术领域
本公开涉及网络安全技术领域,特别是一种基于SRv6(Segment Router IPv6,基于IPv6的分段路由)的安全认证方法、网络节点和认证系统。
背景技术
SRv6是基于IPv6数据包的协议,需要在IPv6报文中插入扩展头SRH(SegmentRouter Header,分段路由头部),并在SRH中压入一个显式的IPv6地址栈,在中间节点通过更新目的地址和偏移地址栈的操作来完成逐跳转发。
SRv6技术的寻址方式是根据显式地址报文转发,目前对于源地址验证采用SRH扩展头中的TLV(Tag Length Value,标签-长度-取值)可变字段中的HMAC(Hash-basedMessage Authentication Code,密钥相关的哈希运算消息认证码)TLV字段来验证,通过比对端设备验证节点与源节点的HMAC值是否一致,以校验是否允许报文的源头在报文的DA(DestinationAddress,目的地址)中使用当前分段,并确保相关信息在传输时没有被修改。。HMAC字段的生成方式为以密钥ID标识以及预共享密钥作为哈希算法的输入的元素之一,得到固定长度(32个8位长度的位组)的摘要信息,作为HMAC。
发明内容
本公开的一个目的在于如何提高基于SRv6的通信验证的安全性。
根据本公开的一些实施例的一个方面,提出一种基于SRv6的安全认证方法,包括:源节点生成密钥对和密钥标识,密钥对中包括私钥和公钥;将公钥和密钥标识通过SRH发送给认证节点,以便认证节点通过公钥加密第一随机数,生成加密随机数;接收认证节点反馈的加密随机数,并利用私钥解密加密随机数,获取第二随机数;根据第二随机数和密钥标识生成第一HMAC,并将第一HMAC发送给认证节点,以便认证节点将基于第一随机数和密钥标识生成的第二HMAC与第一HMAC匹配;根据认证节点反馈的认证成功信息,执行数据传输。
在一些实施例中,将公钥和密钥标识通过SRH发送给认证节点包括:通过第一认证信息的SRH的扩展的第一字段承载公钥;将第一认证信息发送给认证节点。
在一些实施例中,接收认证节点反馈的加密随机数包括:接收认证节点反馈的第二认证信息;从第二认证信息的第一字段中读取加密随机数,其中,认证节点将加密随机数通过SRH的扩展的第一字段承载,并通过第二认证信息反馈给源节点。
在一些实施例中,基于SRv6的安全认证方法还包括:若对加密随机数解密不成功,则停止当前安全认证流程。
在一些实施例中,基于SRv6的安全认证方法还包括:若对加密随机数解密不成功,则在SRH的扩展的第二字段写入认证失败记录信息。
在一些实施例中,执行数据传输包括:通过私钥加密载荷,并将载荷由认证数据字段承载,通过SRv6报文传输。
根据本公开的一些实施例的一个方面,提出一种基于SRv6的安全认证方法,包括:认证节点获取来自源节点的公钥和密钥标识;生成第一随机数,并通过公钥加密第一随机数,生成加密随机数;将加密随机数通过SRH发送给源节点,以便源节点利用与公钥相对应的私钥解密加密随机数,获取第二随机数;根据第一随机数和密钥标识生成第二HMAC;获取源节点反馈的第一HMAC,其中,源节点根据第二随机数和密钥标识生成第一HMAC并发送给认证节点;匹配第一HMAC与第二HMAC;在匹配成功的情况下,向源节点反馈认证成功信息。
在一些实施例中,认证节点获取来自源节点的公钥和密钥标识包括:认证节点获取来自源节点的第一认证信息;从第一认证信息的SRH的扩展的第一字段获取公钥。
在一些实施例中,将加密随机数通过SRH发送给源节点包括:将加密随机数通过SRH的扩展的第一字段承载,并通过第二认证信息反馈给源节点。
在一些实施例中,基于SRv6的安全认证方法还包括:在将第一HMAC与第二HMAC匹配失败的情况下,停止当前安全认证流程。
根据本公开的一些实施例的一个方面,提出一种数据发送节点,包括:密钥生成单元,被配置为生成密钥对和密钥标识,密钥对中包括私钥和公钥;密钥发送单元,被配置为将公钥和密钥标识通过SRH发送给认证节点,以便认证节点通过公钥加密第一随机数,生成加密随机数;随机数接收单元,被配置为接收认证节点反馈的加密随机数,并利用私钥解密加密随机数,获取第二随机数;认证码发送单元,被配置为根据第二随机数和密钥标识生成密钥相关的第一哈希运算消息认证码HMAC,并将第一HMAC发送给认证节点,以便认证节点将基于第一随机数和密钥标识生成的第二HMAC与第一HMAC匹配;数据传输单元,被配置为根据认证节点反馈的认证成功信息,执行数据传输。
根据本公开的一些实施例的一个方面,提出一种认证节点,包括:密钥接收单元,被配置为获取来自源节点的公钥和密钥标识;随机数生成单元,被配置为生成第一随机数,并通过公钥加密第一随机数,生成加密随机数;随机数发送单元,被配置为将加密随机数通过SRH发送给源节点,以便源节点利用与公钥相对应的私钥解密加密随机数,获取第二随机数;认证码生成单元,被配置为根据第一随机数和密钥标识生成第二HMAC;认证码接收单元,被配置为获取源节点反馈的第一HMAC,其中,源节点根据第二随机数和密钥标识生成第一HMAC并发送给认证节点;匹配单元,被配置为匹配第一HMAC与第二HMAC;在匹配成功的情况下,向源节点反馈认证成功信息。
根据本公开的一些实施例的一个方面,提出一种基于SRv6的网络节点,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行上文中任意一种安全认证方法。
根据本公开的一些实施例的一个方面,提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上文中任意一种安全认证方法的步骤。
根据本公开的一些实施例的一个方面,提出一种基于SRv6的认证系统,包括:数据发送节点,被配置为执行上文中任意一种由源节点执行的安全认证方法;和认证节点,被配置为执行上文中任意一种由认证节点执行的安全认证方法。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本公开的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
图1为本公开的基于SRv6的安全认证方法的一些实施例的流程图。
图2为本公开的SRv6报文结构的一些实施例的示意图。
图3为本公开的数据发送节点的一些实施例的示意图。
图4为本公开的认证节点的一些实施例的示意图。
图5为本公开的基于SRv6的网络节点的一些实施例示意图。
图6为本公开的基于SRv6的网络节点的另一些实施例示意图。
图7为本公开的基于SRv6的认证系统的一些实施例的示意图。
具体实施方式
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
相关技术中的方式需要预共享密钥,该操作若采用带外分发的方式,则增加了工作量;若采用带内分发的方式,需要建立安全通道,然而由于密钥就是用来解决建立安全通道的问题,因此额外建立安全通道将增大报文开销。
本公开的基于SRv6的安全认证方法的一些实施例的流程图如图1所示。该操作由认证节点发送和数据的源节点配合进行,图1中,虚线左侧的步骤为源节点执行,右侧的步骤为认证节点执行。
在步骤111中,源节点生成密钥对和密钥标识,密钥对中包括私钥和公钥。在一些实施例中,密钥标识可以为当前要建立的会话的会话标识。
在步骤112中,源节点将公钥和密钥标识通过SRH发送给认证节点。在一些实施例中,可以对SRH进行进一步扩展,增加第一字段,并将公钥放置于第一字段中。在一些实施例中,密钥标识也可以位于认证头字段中,也可以利用报文中已有的当前会话所独有的字段作为密钥标识。
在步骤121中,认证节点获取来自源节点的公钥和密钥标识。在一些实施例中,认证节点可以为与源节点连接的最近的可信的节点(交换机或者路由器等),也可以是会话路径上的一个或多个传输节点。
在步骤122中,认证节点生成第一随机数,并利用步骤121中获得的公钥加密该第一随机数,生成加密随机数。
在步骤123中,认证节点将生成的加密随机数通过SRH发送给源节点。在一些实施例中,认证节点可以将加密随机数同样放入SRH扩展的第一字段中,便于源节点读取。进一步的,认证节点执行步骤124,并发送具备加密随机数的SRv6消息给源节点。在一些实施例中,认证节点可以通过第二认证信息携带加密随机数,并发送给源节点。
在步骤124中,认证节点根据第一随机数和密钥标识生成第二HMAC。在一些实施例中,可以将第一随机数和密钥标识输入哈希算法,将生成的摘要信息作为第二HMAC。
在步骤113中,源节点接收认证节点反馈的加密随机数。在一些实施例中,源节点接收来自认证节点的报文,并读取第一字段内容,获取加密随机数。
在步骤114中,源节点利用自身存储的私钥,解密获得的加密随机数,获取第二随机数。
在一些实施例中,若源节点存储有私钥且解密成功,则实现对源节点的验证;否则,源节点无法解密得到第二随机数,或源节点得到的第二随机数与认证节点生成的第一随机数不同,则无法生成正确的HMAC。
在一些实施例中,若源节点解密失败,则可以向SRH扩展头中增加认证失败的记录,并在后续认证过程中持续携带该记录,以便留存记录用于后续失败分析。在一些实施例中,可以在SRH扩展头中新增第二字段,用于存储失败记录。在一些实施例中,认证失败记录可以为生成加密随机数的认证节点的地址、当前节点的地址或会话标识等。在一些实施例中,若解密成功,也可以将第二随机数放置于第二字段中,以便后续追溯。
在步骤115中,源节点根据第二随机数和密钥标识生成第一HMAC。在一些实施例中,可以将第二随机数和密钥标识输入哈希算法,将生成的摘要信息作为第一HMAC。
在步骤116中,源节点将第一HMAC发送给认证节点。在一些实施例中,可以利用相关技术中SRH的TLV字段承载第一HMAC。
在步骤125中,认证节点获取源节点反馈的第一HMAC。
在步骤126中,认证节点匹配获取的第一HMAC与自身生成的第二HMAC。由于第二随机数由对第一随机数的加密结果进行解密后生成,密钥标识也相同,因此在安全的情况下,第一HMAC与第二HMAC应相同。
在步骤127中,认证节点在将第一HMAC与第二HMAC匹配成功的情况下,向源节点反馈认证成功信息。
在一些实施例中,若将第一HMAC与第二HMAC匹配失败,则丢弃包含第一HMAC的消息,并结束当前的验证流程。在一些实施例中,可以记录失败信息,以备后续追溯。
在步骤117中,源节点根据认证节点反馈的认证成功信息,执行数据传输。在一些实施例中,可以基于前序的公钥、私钥对负载数据进行加密传输。在一些实施例中,如图2所示,加密后的负载可以位于报文的负载字段。
基于上述实施例中的方式,能够利用源节点与认证节点间的交互过程实现验证,利用嵌入认证头中随机数可实现无需预共享密钥的验证,随机数的安全传输由公钥加密进行保证,从而无需预先的密钥下发或建立额外安全通道的工作,提高了通信的安全性。
在一些实施例中,如图2所示,可以在SRv6的SRH中增加认证头字段和认证尾部字段,将认证头字段作为上文所述的第一字段,封装公钥和加密随机数;将认证尾部字段作为上文所述的第二字段,存储用于记录追溯作用的失败信息。如图2所示,认证头和认证尾部字段可以基于TLV字段空间生成,从而对SRH空间进行有效利用。
基于上述实施例中的方式,能够利用对SHR进行进一步改造的方式进行,能够便于数据传输和读取,有利于快速实现,提高对相关网络的兼容性和数据转发效率。
本公开的数据发送节点310的一些实施例的示意图如图3所示。
密钥生成单元311能够生成密钥对和密钥标识,密钥对中包括私钥和公钥。在一些实施例中,密钥标识可以为当前要建立的会话的会话标识。
密钥发送单元312能够将公钥和密钥标识通过SRH发送给认证节点。在一些实施例中,可以对SRH进行进一步扩展,增加第一字段,并将公钥放置于第一字段中。在一些实施例中,密钥标识也可以位于认证头字段中,也可以利用报文中已有的当前会话所独有的字段作为密钥标识。
随机数接收单元313能够接收认证节点反馈的加密随机数,进而利用密钥生成单元311生成存储的私钥,解密获得的加密随机数,获取第二随机数。在一些实施例中,随机数接收单元313接收来自认证节点的报文,并读取第一字段内容,获取加密随机数。
认证码发送单元314能够根据第二随机数和密钥标识生成第一HMAC,并将第一HMAC发送给认证节点。在一些实施例中,可以将第二随机数和密钥标识输入哈希算法,将生成的摘要信息作为第一HMAC,供认证节点将第一HMAC与认证节点根据密钥标识和第一随机数生成的第二HMAC进行匹配。
数据传输单元315能够根据认证节点反馈的认证成功信息,执行数据传输。在一些实施例中,当认证节点对第一HMAC与第二HMAC匹配通过时,会反馈认证成功信息。在一些实施例中,可以基于前序的公钥、私钥对负载数据进行加密传输。
这样的源节点能够生成成对的密钥,并利用留存的私钥解密认证节点提供的加密随机数,进而利用加密随机数生成HMAC,从而配合认证节点完成对自身的验证,无需预先的密钥下发或建立额外安全通道的工作,提高了通信的安全性。
本公开的认证节点420的一些实施例的示意图如图4所示。
密钥接收单元421能够获取来自源节点的公钥和密钥标识。
随机数生成单元422能够生成第一随机数,并利用密钥接收单元421获得的公钥加密该第一随机数,生成加密随机数。
随机数发送单元423能够将生成的加密随机数通过SRH发送给源节点。在一些实施例中,随机数发送单元423可以将加密随机数放入SRH扩展的第一字段中,便于源节点读取。
认证码生成单元424能够根据第一随机数和密钥标识生成第二HMAC。在一些实施例中,可以将第一随机数和密钥标识输入哈希算法,将生成的摘要信息作为第二HMAC。
认证码接收单元425能够获取源节点反馈的第一HMAC。
匹配单元426能够匹配获取的第一HMAC与自身生成的第二HMAC,在将第一HMAC与第二HMAC匹配成功的情况下,向源节点反馈认证成功信息。
这样的认证节点能够基于与源节点之间的交互过程实现验证,无需预先的密钥下发或建立额外安全通道的工作,提高了通信的安全性。
本公开基于SRv6的网络节点的一个实施例的结构示意图如图5所示。基于SRv6的网络节点可以为数据发送节点,也可以为认证节点,包括存储器501和处理器502。其中:存储器501可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中基于SRv6的安全认证方法的对应实施例中的指令。处理器502耦接至存储器501,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器502用于执行存储器中存储的指令,能够提高了通信的安全性。
在一个实施例中,还可以如图6所示,基于SRv6的网络节点600包括存储器601和处理器602。处理器602通过BUS总线603耦合至存储器601。该基于SRv6的网络节点600还可以通过存储接口604连接至外部存储装置605以便调用外部数据,还可以通过网络接口606连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够提高了通信的安全性。
在另一个实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现基于SRv6的安全认证方法对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开的基于SRv6的认证系统的一些实施例的示意图如图7所示。
数据发送节点71可以为上文中提到的任意一种数据发送节点。
认证节点72可以为上文中提到的任意一种认证节点。
这样的基于SRv6的认证系统,能够利用源节点与认证节点间的交互过程实现验证,无需预先的密钥下发或建立额外安全通道的工作,提高了通信的安全性。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
最后应当说明的是:以上实施例仅用以说明本公开的技术方案而非对其限制;尽管参照较佳实施例对本公开进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本公开技术方案的精神,其均应涵盖在本公开请求保护的技术方案范围当中。

Claims (15)

1.一种基于SRv6的安全认证方法,包括:
源节点生成密钥对和密钥标识,所述密钥对中包括私钥和公钥;
将所述公钥和所述密钥标识通过分段路由头部SRH发送给认证节点,以便所述认证节点通过公钥加密第一随机数,生成加密随机数;
接收所述认证节点反馈的加密随机数,并利用所述私钥解密所述加密随机数,获取第二随机数;
根据所述第二随机数和所述密钥标识生成第一密钥相关的哈希运算消息认证码HMAC,并将所述第一HMAC发送给所述认证节点,以便所述认证节点将基于所述第一随机数和所述密钥标识生成的第二HMAC与所述第一HMAC匹配;
根据所述认证节点反馈的认证成功信息,执行数据传输。
2.根据权利要求1所述的方法,其中,所述将所述公钥和所述密钥标识通过SRH发送给认证节点包括:
通过第一认证信息的SRH的扩展的第一字段承载所述公钥;
将所述第一认证信息发送给所述认证节点。
3.根据权利要求2所述的方法,其中,所述接收所述认证节点反馈的加密随机数包括:
接收所述认证节点反馈的第二认证信息;
从所述第二认证信息的第一字段中读取所述加密随机数,其中,所述认证节点将所述加密随机数通过SRH的扩展的第一字段承载,并通过所述第二认证信息反馈给所述源节点。
4.根据权利要求1所述的方法,还包括:若对所述加密随机数解密不成功,则停止当前安全认证流程。
5.根据权利要求2所述的方法,还包括:若对所述加密随机数解密不成功,则在所述SRH的扩展的第二字段写入认证失败记录信息。
6.根据权利要求1所述的方法,其中,所述执行数据传输包括:
通过所述私钥加密载荷,并将所述载荷由认证数据字段承载,通过SRv6报文传输。
7.一种基于SRv6的安全认证方法,包括:
认证节点获取来自源节点的公钥和密钥标识;
生成第一随机数,并通过公钥加密第一随机数,生成加密随机数;
将所述加密随机数通过分段路由头部SRH发送给源节点,以便所述源节点利用与所述公钥相对应的私钥解密所述加密随机数,获取第二随机数;
根据所述第一随机数和所述密钥标识生成第二密钥相关的哈希运算消息认证码HMAC;
获取所述源节点反馈的第一HMAC,其中,所述源节点根据所述第二随机数和所述密钥标识生成第一HMAC并发送给所述认证节点;
匹配所述第一HMAC与所述第二HMAC;
在匹配成功的情况下,向所述源节点反馈认证成功信息。
8.根据权利要求7所述的方法,其中,
所述认证节点获取来自源节点的公钥和密钥标识包括:
所述认证节点获取来自所述源节点的第一认证信息;
从所述第一认证信息的SRH的扩展的第一字段获取所述公钥。
9.根据权利要求8所述的方法,其中,所述将所述加密随机数通过SRH发送给源节点包括:
将所述加密随机数通过SRH的扩展的第一字段承载,并通过所述第二认证信息反馈给所述源节点。
10.根据权利要求1所述的方法,还包括:在将所述第一HMAC与所述第二HMAC匹配失败的情况下,停止当前安全认证流程。
11.一种数据发送节点,包括:
密钥生成单元,被配置为生成密钥对和密钥标识,所述密钥对中包括私钥和公钥;
密钥发送单元,被配置为将所述公钥和所述密钥标识通过SRH发送给认证节点,以便所述认证节点通过公钥加密第一随机数,生成加密随机数;
随机数接收单元,被配置为接收所述认证节点反馈的加密随机数,并利用所述私钥解密所述加密随机数,获取第二随机数;
认证码发送单元,被配置为根据所述第二随机数和所述密钥标识生成密钥相关的第一哈希运算消息认证码HMAC,并将所述第一HMAC发送给所述认证节点,以便所述认证节点将基于所述第一随机数和所述密钥标识生成的第二HMAC与所述第一HMAC匹配;
数据传输单元,被配置为根据所述认证节点反馈的认证成功信息,执行数据传输。
12.一种认证节点,包括:
密钥接收单元,被配置为获取来自源节点的公钥和密钥标识;
随机数生成单元,被配置为生成第一随机数,并通过公钥加密第一随机数,生成加密随机数;
随机数发送单元,被配置为将所述加密随机数通过SRH发送给源节点,以便所述源节点利用与所述公钥相对应的私钥解密所述加密随机数,获取第二随机数;
认证码生成单元,被配置为根据所述第一随机数和所述密钥标识生成第二哈希运算消息认证码HMAC;
认证码接收单元,被配置为获取所述源节点反馈的第一HMAC,其中,所述源节点根据所述第二随机数和所述密钥标识生成第一HMAC并发送给所述认证节点;
匹配单元,被配置为匹配所述第一HMAC与所述第二HMAC;在匹配成功的情况下,向所述源节点反馈认证成功信息。
13.一种基于SRv6的网络节点,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至10任一项所述的方法。
14.一种非瞬时性计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至10任意一项所述的方法的步骤。
15.一种基于SRv6的认证系统,包括:
数据发送节点,被配置为执行权利要求1~6任意一项所述的方法;和
认证节点,被配置为执行权利要求7~10任意一项所述的方法。
CN202111580735.2A 2021-12-22 2021-12-22 基于SRv6的安全认证方法、网络节点和认证系统 Pending CN114205083A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111580735.2A CN114205083A (zh) 2021-12-22 2021-12-22 基于SRv6的安全认证方法、网络节点和认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111580735.2A CN114205083A (zh) 2021-12-22 2021-12-22 基于SRv6的安全认证方法、网络节点和认证系统

Publications (1)

Publication Number Publication Date
CN114205083A true CN114205083A (zh) 2022-03-18

Family

ID=80655972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111580735.2A Pending CN114205083A (zh) 2021-12-22 2021-12-22 基于SRv6的安全认证方法、网络节点和认证系统

Country Status (1)

Country Link
CN (1) CN114205083A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115941204A (zh) * 2022-12-06 2023-04-07 镁佳(北京)科技有限公司 一种基于hse的数据防重放方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
US20200084624A1 (en) * 2018-09-12 2020-03-12 Contemporary Amperex Technology Co., Limited Method for data transmission, battery management system, and storage medium
CN111010274A (zh) * 2019-12-30 2020-04-14 烽火通信科技股份有限公司 一种安全低开销的SRv6实现方法
WO2020177768A1 (zh) * 2019-03-07 2020-09-10 华为技术有限公司 一种网络验证方法、装置及系统
CN113810173A (zh) * 2020-06-12 2021-12-17 华为技术有限公司 一种校验应用信息的方法、报文处理方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
US20200084624A1 (en) * 2018-09-12 2020-03-12 Contemporary Amperex Technology Co., Limited Method for data transmission, battery management system, and storage medium
WO2020177768A1 (zh) * 2019-03-07 2020-09-10 华为技术有限公司 一种网络验证方法、装置及系统
CN111010274A (zh) * 2019-12-30 2020-04-14 烽火通信科技股份有限公司 一种安全低开销的SRv6实现方法
CN113810173A (zh) * 2020-06-12 2021-12-17 华为技术有限公司 一种校验应用信息的方法、报文处理方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115941204A (zh) * 2022-12-06 2023-04-07 镁佳(北京)科技有限公司 一种基于hse的数据防重放方法及系统
CN115941204B (zh) * 2022-12-06 2024-04-12 镁佳(北京)科技有限公司 一种基于hse的数据防重放方法及系统

Similar Documents

Publication Publication Date Title
US9531537B2 (en) System and method for performing secure communications
US8356177B2 (en) Key transport in authentication or cryptography
CN108574569B (zh) 一种基于量子密钥的认证方法及认证装置
US20130054964A1 (en) Methods and apparatus for source authentication of messages that are secured with a group key
CN109155732B (zh) 在网络设备之间建立安全通信的方法和装置
CN111654511A (zh) 一种链式数据加密方法、链式数据解密方法及相应的系统
US9872175B2 (en) Packet processing method, apparatus, and system
CN108092958B (zh) 信息认证方法、装置、计算机设备及存储介质
CN113055162B (zh) 一种基于国密算法的wia-pa网络安全通信方法
CN114172745A (zh) 一种物联网安全协议系统
CN113572766A (zh) 电力数据传输方法和系统
CN101588345A (zh) 站与站之间信息发送、转发和接收方法、装置和通信系统
CN114205083A (zh) 基于SRv6的安全认证方法、网络节点和认证系统
CN114142995B (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN111835691B (zh) 一种认证信息处理方法、终端和网络设备
CN107566119A (zh) 一种eSIM卡数据安全的保护方法及系统
EP3262783B1 (en) Distribution and verification of transaction integrity keys
US20080045180A1 (en) Data transmitting method and apparatus applying wireless protected access to a wireless distribution system
CN114978542B (zh) 面向全生命周期的物联网设备身份认证方法、系统及存储介质
CN107733929B (zh) 认证方法和认证系统
CN109428868B (zh) 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质
CN111836260A (zh) 一种认证信息处理方法、终端和网络设备
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
CN201479154U (zh) Bgp路由系统和设备
CN105471832A (zh) 卫星通信中ip报文的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination