CN114499904A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN114499904A CN114499904A CN202011256559.2A CN202011256559A CN114499904A CN 114499904 A CN114499904 A CN 114499904A CN 202011256559 A CN202011256559 A CN 202011256559A CN 114499904 A CN114499904 A CN 114499904A
- Authority
- CN
- China
- Prior art keywords
- message
- communication device
- signature
- ipv6
- ipv6 message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 218
- 238000012795 verification Methods 0.000 claims abstract description 41
- 238000004891 communication Methods 0.000 claims description 362
- 230000008569 process Effects 0.000 claims description 54
- 230000015654 memory Effects 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 20
- 238000004364 calculation method Methods 0.000 claims description 12
- 230000002265 prevention Effects 0.000 description 23
- 238000004422 calculation algorithm Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种报文处理方法。该方法包括:在IPv6报文的转发路径上,关键节点(例如防火墙)对报文进行签名,关键节点下游的装置通过对所述签名进行验证,从而确定报文在转发过程中是否经过了该关键节点。由此可见,利用本方案,可以执行关键节点校验,从而有效避免攻击者通过修改报文头使得报文绕过关键节点。
Description
技术领域
本申请涉及通信领域,尤其涉及一种报文处理方法及装置。
背景技术
在因特网协议第六版(internet protocol version 6,IPv6)网络中传输的报文,可以被称 为IPv6报文。在一些场景中,为保证网络安全,要求IPv6报文在转发的过程中经过特定 的关键节点,例如防火墙节点。
IPv6在转发的过程中有可能被恶意篡改,使得该IPv6报文绕过前述关键节点转发, 从而带来一定的安全隐患。如何确定IPv6报文在转发过程中是否经过了前述关键节点,是 目前尚待解决的问题。
发明内容
本申请实施例提供了一种报文处理方法及装置,可以确定IPv6报文在转发过程中是 否经过了特定的关键节点。
第一方面,本申请实施例提供了一种报文处理方法,该方法可以由第一通信装置执行。 在一个示例中,第一通信装置可以获取第一IPv6报文,该第一IPv6报文的报文头中包括 第一签名,通过对第一签名进行验证,可以确定所述第一IPv6报文在转发过程中是否经过 了第二通信装置。此处提及的第二通信装置是第一IPv6报文在转发过程中需要经过的关键 节点。第一通信装置获取第一IPv6报文之后,可以转发所述第一IPv6报文。由于第一IPv6 报文中包括能够验证该第一IPv6报文在转发过程中是否经过了关键节点的第一签名,因 此,接收到所述第一IPv6报文的通信装置即可利用该第一签名确定第一IPv6报文在转发 过程中是否经过了关键节点。由此可见,利用本方案,可以确定第一IPv6报文在转发过程 中是否经过了关键节点。
在一种实现方式中,所述第一IPv6报文是SRv6报文。对于这种情况,即使被配置进行HMAC校验的节点被网络黑客从SRH的SID list中删除,利用本方案也可以确定第一 IPv6报文在转发过程中是否经过了第二通信装置,进而有效识别绕过关键节点的攻击报文
在一种实现方式中,当第一IPv6报文为SRv6报文时,第一签名可以携带在第一IPv6 报文的SRH中。
在一种实现方式中,所述SRH包括可以包括扩展的TLV字段,所述第一签名可以携带在所述扩展的TLV字段中。
在一种实现方式中,根据所述第一IPv6报文中的第一内容进行哈希计算,将计算结果 与第一签名进行比较。在一个示例中,当第一签名是第二通信装置计算的合法签名时,所 述第一签名可以是所述第二通信装置对上文中所述的第一内容进行哈希计算得到的,即第 二通信装置在转发第一IPv6报文时,将第一签名添加到第一IPv6报文中,从而使得下游 节点可以根据同样的内容进行计算,将计算结果与所述第一签名进行比较,从而验证所述 第一IPv6报文在转发过程中是否经过了关键节点。一种示例中,当第一签名的内容和计算 结果不一致时,将报文丢弃。
在一种实现方式中,为了降低第一签名被破解的可能性,所述第一内容可以包括所述 第一IPv6报文的净荷中固定长度的数据。因为不同的IPv6报文,其报文净荷对应的数据 也不同,因此,利用报文的净荷中固定长度的数据计算签名,可以使得不同IPv6报文所携 带的签名不同,从而降低IPv6报文中携带的签名被破解的可能性。另外,为了防止重放攻 击,所述第一内容还可以包括防重放攻击校验信息。在又一个示例中,第一内容还可以既 包括第一IPv6报文的净荷中固定长度的数据,又包括防重放攻击校验信息。
在一种实现方式中,若所述第一内容包括所述防重放攻击校验信息,为了使得接收到 第一IPv6报文的通信装置对第一签名进行验证,所述第一IPv6报文的报文头中还可以包 括所述防重放攻击校验信息。所述报文头中携带的防重放攻击校验信息,一方面可以用于 使得接收到第一IPv6报文的通信装置对第一签名进行验证,另一方面可以用于使得接收到 第一IPv6报文的通信装置验证第一IPv6报文是否为重放报文。
在一种实现方式中,为了使得接收到第一IPv6报文的通信装置确定第一内容所包括的 防重放攻击校验信息的具体类型,以便于接收到第一IPv6报文的通信装置验证第一IPv6 报文是否为重放报文。所述第一IPv6报文的报文头中还可以包括第一指示信息,第一指示 信息用于指示所述第一内容所包括的至少一种防重放攻击校验信息
在一种实现方式中,考虑到报文序列号、时间戳以及随机数均可以达到防止重放攻击 的效果,因此,所述防重放攻击校验信息可以包括报文序列号、时间戳以及随机数中的其 中一种或者多种。其中,报文序列号可以是第二通信装置为第一IPv6报文分配的报文序列 号,时间戳可以是第二通信装置获取第一IPv6报文时第二通信装置本地的时间戳,随机数 可以是第二通信装置生成的随机数。
在一种实现方式中,考虑到对于一个通信装置例如通信装置2而言,其转发的IPv6报 文的数量有很多。对于其转发的IPv6报文,其中一些报文在转发过程中需要经过的关键节 点为防火墙设备,另外一些IPv6报文需要经过的关键节点为其它类型的设备。对于不同类 型的关键节点,通信装置2对IPv6报文中的签名进行验证所使用的密钥和/或哈希算法可 能各不相同。在一个示例中,通信装置2可以根据关键节点的类型,确定对IPv6报文中携带的签名进行验证所使用的密钥和/或哈希算法。对于这种情况,所述第一IPv6报文的报文头中还可以包括第二指示信息,第二指示信息用于指示第一IPv6报文转发过程中需要经过的第二通信装置的类型。
在一种实现方式中,所述第一通信装置和所述第二通信装置是同一个装置,即第一通 信装置是关键节点。此时,所述第一IPv6报文可以是第一通信装置生成的,换言之,关键 节点生成所述第一签名,获得包括有所述第一签名的所述第一IPv6报文。在一个示例中, 第一通信装置可以根据所述第二通信装置的第一私钥和第一哈希算法,生成所述第一签名。 进一步地,生成包括所述第一签名的第一IPv6报文。
在一种实现方式中,所述第一通信装置为所述第二通信装置在所述第一IPv6报文的转 发路径上的下游装置,对于这种情况,第一通信装置在转发所述第一IPv6报文之前,可以 根据所述第二通信装置的第一公钥和第一哈希算法,对所述第一签名进行验证。在一个示 例中,第一通信装置可以在第一签名通过验证的情况下,转发所述第一IPv6报文,从而避 免非法报文在网络中继续传输。在另一个示例中,当对所述第一签名验证失败时,丢弃所 述第一IPv6报文,避免可能的攻击报文在网络中继续传输,占用网络资源。
在一种实现方式中,第一通信装置可以利用第一公钥和第一哈希算法对第一签名进行 验证,其中,所述第一公钥和/或所述第一哈希算法可以是控制管理实体发送给第一通信装 置的。对于这种情况,第一通信装置在对第一签名进行验证之前,还可以接收控制管理实 体发送的所述第一公钥和/或所述第一哈希算法。
第二方面,本申请实施例提供了一种报文处理方法,该方法可以由第一通信装置执行。 在一个示例中,第一通信装置可以接收第一IPv6报文,对所述接收到的第一IPv6报文进 行验证,确定所述第一IPv6报文是否包括第二通信装置的第一签名,根据验证结果验证所 述第一IPv6报文在转发过程中是否经过了第二通信装置。一个示例中,该第一IPv6报文 的报文头中包括所述第一签名,该第一签名可以用于验证所述第一IPv6报文在转发过程中 是否经过了第二通信装置。此处提及的第二通信装置,可以是第一IPv6报文在转发过程中 需要经过的关键节点。第一通信装置接收第一IPv6报文之后,可以验证所述第一签名,对 第一签名的验证结果用于确定所述第一IPv6报文在转发过程中是否经过了第二通信装置。 由此可见,利用本方案,第一通信装置可以确定第一IPv6报文在转发过程中是否经过了关 键节点。
在一种实现方式中,若第一通信装置对第一签名进行验证之后,确定第一签名未通过 验证,则第一通信装置可以丢弃所述第一IPv6报文,从而避免非法报文在网络中继续传 输。
在一种实现方式中,所述第一IPv6报文是因特网协议第6版分段路由SRv6报文。
在一种实现方式中,所述第一签名包含在分段路由头SRH中。
在一种实现方式中,所述SRH包括扩展的类型长度值TLV字段,所述扩展的TLV字段包括所述第一签名。
在一种实现方式中,所述第一签名是根据所述第一IPv6报文中的第一内容进行哈希计 算所得。
在一种实现方式中,所述第一内容包括以下任意一项或者多项:净荷中固定长度的数 据和防重放攻击校验信息。
在一种实现方式中,所述报文头中还包括防重放攻击校验信息。
在一种实现方式中,所述报文头中还包括第一指示信息,所述第一指示信息用于指示 所述第一内容包括的至少一种防重放攻击校验信息。
在一种实现方式中,所述防重放攻击校验信息包括以下一种或多种:报文序列号,时 间戳以及随机数。
在一种实现方式中,所述报文头还包括第二指示信息,所述第二指示信息用于指示所 述第二通信装置的类型。
在一种实现方式中,若第一IPv6报文的报文头中包括第一指示信息,则第一通信装置 可以根据该第一指示信息确定所述第一内容所包括的至少一种防重放攻击校验信息。进一 步地,根据所述至少一种防重放攻击校验信息,进行防重放攻击校验,即验证第一IPv6报 文是否为重放报文。
在一种实现方式中,若第一指示信息指示所述第一内容包括报文序列号,则第一通信 装置可以从第一IPv6报文的报文头中获取序列号1,并确定在一定时间段内第一通信装置 是否接收到报文序列号为序列号1的其它IPv6报文。若第一通信装置在一定时间段内未 接收到报文序列号为序列号1的其它IPv6报文,则说明第一IPv6报文不是重放报文。若第一通信装置在一定时间段内曾接收到报文序列号为序列号1的其它IPv6报文,则说明 第一IPv6报文为重放报文。若第一Pv6报文为重放报文,则第一通信装置可以不必第一签 名进行验证,从而节省对第一签名进行验证的资源开销。
在一种实现方式中,若第一指示信息指示所述第一内容包括时间戳,则第一通信装置 可以从第一IPv6报文的报文头中获取时间戳1,并确定第一通信装置接收第一IPv6报文 的时间戳2,而后计算时间戳2和时间戳1之间的差值。考虑到若第一IPv6报文不是重放报文,则时间戳2和时间戳1之间的差值应当小于或者等于第一阈值,即第一IPv6报文在 关键节点1和第一通信装置之间的传输时延小于或者等于第一阈值。而若第一IPv6报文 是重放报文,则时间戳2和时间戳1之间的差值则可能大于第一阈值。因此,若所述时间 戳2和时间戳1的差值小于或者等于第一阈值,第一通信装置可以确定第一IPv6报文不 是重放报文,若所述时间戳2和时间戳1的差值大于第一阈值,第一通信装置可以确定第 一IPv6报文为重放报文。若第一Pv6报文为重放报文,则第一通信装置可以不必第一签名 进行验证,从而节省对第一签名进行验证的资源开销。
在一种实现方式中,若第一指示信息指示所述第一内容包括随机数,则第一通信装置 可以从第一IPv6报文的报文头中获取随机数1,并确定在一定时间段内第一通信装置是否 接收到携带随机数为随机数1的其它IPv6报文。若第一通信装置在一定时间段内未接收 到携带随机数为随机数1的其它IPv6报文,则说明第一IPv6报文不是重放报文。若第一通信装置在一定时间段内曾接收到携带随机数为随机数1的其它IPv6报文,则说明第一IPv6报文为重放报文。若第一Pv6报文为重放报文,则第一通信装置可以不必第一签名进行验证,从而节省对第一签名进行验证的资源开销。
在一种实现方式中,所述第一签名是利用所述第二通信装置的第一私钥和第一哈希算 法生成的。
在一种实现方式中,第一通信装置验证所述第一签名在具体实现时,可以根据所述第 二通信装置的第一公钥和第一哈希算法,对所述第一签名进行验证。
在一种实现方式中,所述方法还包括:接收控制管理实体发送的所述第一公钥和/或所 述第一哈希算法。
在一种实现方式中,第一通信装置可以基于控制管理实体的指示,对第一签名进行验 证。对于这种情况,第一通信装置还可以接收控制管理实体发送的第三指示信息,所述第 三指示信息用于指示所述第一通信装置对所述第一签名进行验证。
在一种实现方式中,所述第一通信装置为所述第二通信装置在所述第一IPv6报文的转 发路径上的下游装置。
在一种实现方式中,所述第一通信装置是所述第一IPv6报文的SRH中的SID list所 指示的尾节点。
第三方面,本申请提供了一种第一通信装置,包括:收发单元和处理单元。所述收发 单元用于执行以上第一方面以及第一方面任意一项所述的第一通信装置执行的收发操作, 所述处理单元用于执行以上第一方面以及第一方面任意一项所述的第一通信装置执行的 除收发操作之外的其它操作。
第四方面,本申请提供了一种第一通信装置,所述第一通信装置包括存储器和处理器; 所述存储器,用于存储程序代码;所述处理器,用于运行所述程序代码中的指令,使得所 述第一通信装置执行以上第一方面以及第一方面任意一项所述的方法。
第五方面,本申请提供了一种第一通信装置,所述第一通信装置包括通信接口和处理 器,所述通信接口用于执行以上第一方面以及第一方面任意一项所述的第一通信装置执行 的收发操作,所述处理器用于执行以上第一方面以及第一方面任意一项所述的第一通信装 置执行的除收发操作之外的其它操作。
第六方面,本申请提供了一种第一通信装置,包括:收发单元和处理单元。所述收发 单元用于执行以上第二方面以及第二方面任意一项所述的第一通信装置执行的收发操作, 所述处理单元用于执行以上第二方面以及第二方面任意一项所述的第一通信装置执行的 除收发操作之外的其它操作。
第七方面,本申请提供了一种第一通信装置,所述第一通信装置包括存储器和处理器; 所述存储器,用于存储程序代码;所述处理器,用于运行所述程序代码中的指令,使得所 述第一通信装置执行以上第二方面以及第二方面任意一项所述的方法。
第八方面,本申请提供了一种第一通信装置,所述第一通信装置包括通信接口和处理 器,所述通信接口用于执行以上第二方面以及第二方面任意一项所述的第一通信装置执行 的收发操作,所述处理器用于执行以上第二方面以及第二方面任意一项所述的第一通信装 置执行的除收发操作之外的其它操作。
第九方面,本申请提供了一种计算机可读存储介质,其特征在于,所述计算机可读存 储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上第一方面以及第 一方面任意一项所述的方法,或者,使得所述计算机执行以上第二方面以及第二方面任意 一项所述的方法。
第十方面,本申请提供了一种通信系统,该通信系统包括以上第三方面或者第四方面 或者第五方面所述的第一通信装置,以及以上第六方面或者第七方面或者第八方面所述的 第一通信装置。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技 术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请 中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还 可以根据这些附图获得其他的附图。
图1为一种示例性应用场景示意图;
图2为本申请实施例提供的一种报文处理方法的信令交互图;
图3为本申请实施例提供的一种扩展的TLV字段的示意图;
图4为本申请实施例提供的一种报文处理方法的流程示意图;
图5为本申请实施例提供的一种报文处理方法的流程示意图;
图6为本申请实施例提供的一种通信装置的结构示意图;
图7为本申请实施例提供的一种通信装置的结构示意图;
图8为本申请实施例提供的一种通信装置的结构示意图。
具体实施方式
本申请实施例提供了一种报文处理方法及装置,可以确定IPv6报文在转发过程中是 否经过了关键节点。
为方便理解,首先对本申请实施例可能的应用场景进行介绍。
因特网协议第6版段路由(Segment Routing Internet Protocol Version 6,SRv6)技术, 可以将分段路由(segment routing,SR)技术应用于因特网协议第六版(internet protocol version 6,IPv6)报文的转发。其中,利用SRv6技术转发的报文,可以称为SRv6报文。
SRv6报文的报文头包括分段路由头(segment routing header,SRH)。SRH包括段标 识列表(segment identifier list,SID list),该SID list用于指示SRv6报文的转发路径。因 此,对于SRv6报文而言,可以通过SRH中的SID list确定其在转发过程中是否经过了关 键节点。
但是,SRv6报文在转发过程中可能被篡改,换言之,SRv6报文的SID list在转发过程中也可能会被篡改。若SID list被篡改,则根据该SID list则不能准确的确定SRv6报文在转发过程中是否经过了关键节点。
本申请的发明人发现,目前,可以通过密钥相关的哈希运算消息认证码(hashed-based message authentication code,HMAC)校验,来确定SRv6报文的SRH是否被篡改。相应 的,在SRH没有被篡改的情况下,根据SRH中的SID list确定其在转发过程中是否经过了关键节点。关于HMAC校验,可以参考因特网工程任务组(internet engineering taskframework,IETF)制定的征求意见稿RFC8754中的相关描述,此处不做详细描述。
但是,这种方式也会存在一些问题。例如,网络黑客将被配置进行HMAC校验的节点从该SRv6报文的SID list删除,则该SRv6报文在转发过程中不再经过该被配置进行HMAC校验的节点。相应的,该被配置进行HMAC校验的节点也不能再对该SRv6报文进行HMAC 校验。这就导致该SRv6报文的SID list的合法性无法确定,进一步的也无法根据该SID list确定该SRv6报文在转发过程中是否经过了关键节点。
现结合图1所示的场景进行介绍。图1为一种示例性应用场景示意图。
如图1所示,正常情况下,SRv6报文的转发路径为通信装置R1-通信装置R2-防火墙FW1-通信装置R3-通信装置R4-服务器S1。其中,防火墙FW1为SRv6报文转发过程中需 要经过的关键节点。通信装置R2被配置进行HMAC校验,以验证该SRv6报文的SID list 是否被篡改。但是,若网络黑客对该SRv6报文的SID list进行了修改,将通信装置R2的 SID从该SIDlist中删除,则篡改后的SRv6报文的不再经过通信装置R2转发,因此,通 信装置R2也不能对该SRv6报文进行HMAC校验。从而无法判断该SRv6报文的SID list 是否被篡改。相应的,其它通信装置也无法根据该SID list确定SRv6报文在转发过程中是 否经过了关键节点。另外,在一些示例中,网络黑客除了将通信装置R2的SID从该SID list中删除之外,还可以将防火墙FW1的SID从该SID list中删除,从而使得该报文绕过 关键节点(防火墙FW1)转发。
为了解决上述问题,本申请实施例提供了一种报文处理方法,以下结合附图介绍该方 法。
在介绍本申请实施例提供的报文处理方法之前,需要说明的是,图1只是为了方便理 解而示出,其并不构成对本申请实施例的限定。而且,被配置进行HMAC校验的节点除了是通信装置R2之外,还可以是通信装置R3、通信装置R4或者通信装置R5。SRv6报文 转发过程中必须经过的关键节点,除了可以是图1所示的防火墙之外,还可以是其它类型 设备,例如可以是防止拒绝服务(denial of service,DoS)攻击的服务器。
本申请实施例中提及的通信装置,可以是交换机、路由器等网络设备,也可以是网络 设备上的一部分组件,例如是网络设备上的单板,线卡,还可以是网络设备上的一个功能 模块,本申请实施例不做具体限定。通信装置之间例如可以通过以太网线或光缆直接连接。
图2为本申请实施例提供的一种报文处理方法的信令交互图。图2所示的报文处理方 法100,例如可以包括如下S101-S104。
S101:通信装置1获取报文1,报文1为IPv6报文,报文1的报文头中包括签名1, 签名1用于验证报文1在转发过程中是否经过了关键节点1。
此处提及的通信装置1,例如可以是图1所示的防火墙FW1、通信装置R3、通信装置R4或者服务器S1。此处提及的关键节点1,例如可以是图1所示的防火墙FW1。
在本申请实施例中,通信装置1获取报文1在具体实现时,可以有多种实现方式。
在一个示例中,通信装置1作为报文1的转发路径上、所述关键节点1的下游装置,则通信装置1可以接收上游装置发送的报文1。此处提及的上游装置,例如可以是所述关 键节点1。
在一个示例中,通信装置1可以为所述关键节点1,即通信装置1和所述关键节点1是同一个通信装置。对于这种情况,通信装置1可以生成报文1。在一个示例中,通信装 置1可以接收其它通信装置发送的报文2,对报文2进行重新封装,得到包括签名1的报 文1。换言之,关键节点1接收到报文2之后,对报文2进行签名,以说明报文2在转发 过程中经过了所述关键节点1。关键节点1对报文2进行签名之后得到包括签名1的报文 1,报文1中的签名1可以用于确定报文1在转发过程中是否经过了所述关键节点1。此处 提及的报文2,也可以是IPv6报文。在一些实施例中,所述签名1可以携带在报文1的报 文的扩展的类型长度值(type length value,TLV)字段中。
在本申请实施例的一种实现方式中,签名1可以是关键节点1对报文1中的第一内容 进行哈希计算得到的。在一个示例中,关键节点1可以对利用关键节点1自身的第一私钥和第一哈希算法对第一内容进行计算,从而得到所述签名1。例如,关键节点1可以利用 第一哈希算法对第一内容进行计算,得到摘要1,而后利用第一私钥对所述摘要1进行加 密,得到所述签名1。
本申请实施例不具体限定所述第一内容,在一个示例中,为了降低签名1被破解的可 能性,所述第一内容可以包括所述报文1的净荷中固定长度的数据。因为不同的IPv6报文,其报文净荷对应的数据也不同,因此,利用报文的净荷中固定长度的数据计算签名, 可以使得不同IPv6报文所携带的签名不同,从而降低IPv6报文中携带的签名被破解的可 能性。在另一个示例中,为了防止重放攻击,所述第一内容还可以包括防重放攻击校验信 息。在又一个示例中,第一内容还可以既包括报文1的净荷中固定长度的数据,又包括防 重放攻击校验信息。
本申请实施例不具体限定所述防重放攻击校验信息,考虑到报文序列号、时间戳以及 随机数均可以达到防止重放攻击的效果,因此,所述防重放攻击校验信息可以包括报文序 列号、时间戳以及随机数中的其中一种或者多种。其中,报文序列号可以是关键节点1为 报文1分配的报文序列号,时间戳可以是关键节点1获取报文1时关键节点1本地的时间戳,随机数可以是关键节点1生成的随机数。
在本申请实施例的一种实现方式中,若所述第一内容包括所述防重放攻击校验信息, 为了使得接收到报文1的通信装置对签名1进行验证,所述报文1的报文头中还可以包括 所述防重放攻击校验信息。所述报文头中携带的防重放攻击校验信息,一方面可以用于使 得接收到报文1的通信装置对签名1进行验证,另一方面可以用于使得接收到报文1的通信装置验证报文1是否为重放报文。在一个示例中,所述防重放攻击校验信息和所述签名 1可以携带在同一个扩展的TLV字段中。在又一个示例中,所述防重放攻击校验信息可以 携带在一个单独的扩展的TLV字段中。
在本申请实施例的一种实现方式中,为了使得接收到报文1的通信装置确定第一内容 所包括的防重放攻击校验信息具体是哪一种或者哪几种防重放攻击校验信息,以便于接收 到报文1的通信装置验证报文1是否为重放报文。所述报文1的报文头中还可以包括指示 信息1,指示信息1用于指示所述第一内容所包括的至少一种防重放攻击校验信息。在一 个示例中,报文1的报文头中包括第一指示位,第二指示位和第三指示位,第一指示位,第二指示位和第三指示位用于携带所述指示信息1。其中,第一指示位用于指示第一内容包括的防重放攻击校验信息是否包括报文序列号,第二指示位用于指示第一内容包括的防重放攻击校验信息是否包括时间戳,第三指示位用于指示第一内容包括的防重放攻击校验信息是否包括随机数。
举例说明,第一指示位、第二指示位和第三指示位各占1比特。当第一指示位的值为 1时,说明第一内容包括的防重放攻击校验信息包括报文序列号,当第一指示位的值为0时,说明第一内容包括的防重放攻击校验信息不包括报文序列号;当第二指示位的值为1时,说明第一内容包括的防重放攻击校验信息包括时间戳,当第二指示位的值为0时,说 明第一内容包括的防重放攻击校验信息不包括报文时间戳;当第三指示位的值为1时,说 明第一内容包括的防重放攻击校验信息包括随机数,当第三指示位的值为0时,说明第一 内容包括的防重放攻击校验信息不包括报文随机数。
在一个示例中,所述防重放攻击校验信息和所述指示信息1可以携带在同一个扩展的 TLV字段中。在又一个示例中,所述指示信息1可以携带在一个单独的扩展的TLV字段中。
在一种实现方式中,考虑到对于一个通信装置例如通信装置2而言,其转发的IPv6报 文的数量有很多。对于其转发的IPv6报文,其中一些报文在转发过程中需要经过的关键节 点为防火墙设备,另外一些IPv6报文需要经过的关键节点为其它类型的设备,例如防止DoS攻击的服务器。对于不同类型的关键节点,通信装置2对IPv6报文中的签名进行验证 所使用的密钥和/或哈希算法可能各不相同。在一个示例中,通信装置2可以根据关键节点 的类型,确定对IPv6报文中携带的签名进行验证所使用的密钥和/或哈希算法。对于这种 情况,所述报文1的报文头中还可以包括指示信息2,指示信息2用于指示报文1转发过 程中需要经过的关键节点1的类型。在一个示例中,所述指示信息2和所述签名1可以携 带在同一个扩展的TLV字段中。在又一个示例中,所述指示信息2可以携带在一个单独的 扩展的TLV字段中。
在本申请实施例的一种实现方式中,所述报文1的报文头包括SRH,换言之,报文1可以是SRv6报文。在一种实现方式中,当报文1是SRv6报文时,前述签名1可以携带在 报文1的SRH中。在一个示例中,报文1的SRH可以包括扩展的TLV字段,所述签名1 可以携带在所述扩展的TLV字段中。
在一个示例中,前述签名1、放重放攻击校验信息、指示信息1和指示信息2,可以携带在同一个扩展的TLV字段中。可结合图3进行理解,图3为本申请实施例提供的一种扩 展的TLV字段的示意图。其中:
节点类型字段用于携带指示关键节点1的类型的指示信息2。
S(sequence)指示位可以相当于上文提及的第一指示位,用于指示第一内容包括的防 重放攻击校验信息是否包括报文序列号;T(timestamp)指示位可以相当于上文提及的第 二指示位,用于指示第一内容包括的防重放攻击校验信息是否包括时间戳;N(nounce)指 示位可以相当于上文提及的第三指示位,用于指示第一内容包括的防重放攻击校验信息是 否包括随机数。
sequence字段用于携带序列号。sequence字段在所述S指示位指示第一内容包括的防 重放攻击校验信息包括报文序列号时有效。在一个示例中,若S指示位指示第一内容包括 的防重放攻击校验信息不包括报文序列号,则所述TLV字段可以不包括所述sequence字 段。
timestamp字段用于携带时间戳。timestamp字段在S指示位指示第一内容包括的防重 放攻击校验信息包括时间戳时有效。在一个示例中,若S指示位指示第一内容包括的防重 放攻击校验信息不包括时间戳,则所述TLV字段可以不包括所述timestamp字段。
nounce字段用于携带随机数。nounce字段在N指示位指示第一内容包括的防重放攻 击校验信息包括随机数时有效。在一个示例中,若N指示位指示第一内容包括的防重放攻 击校验信息不包括随机数,则所述TLV字段可以不包括所述nounce字段。
signature字段用于携带签名1。
在一个示例中,图3所示的扩展的TLV字段,可以位于SRH中,例如所述扩展的TLV字段可以位于SID list之后。
S102:通信装置1转发报文1。
S103:通信装置2接收报文1。
通信装置1可以获取报文1之后,可以转发所述报文1,通信装置2作为报文1的转发路径上、所述通信装置1的下游装置,可以接收所述通信装置1发送的所述报文1。此 处提及的通信装置2,可以是图1所示通信装置R3、通信装置R4或者服务器S1。在一个 示例中,当所述报文1为SRv6报文时,所述通信装置2可以是报文1的SRH中的SID list 所指示的尾节点,例如通信装置2是图1所示的服务器S1。
S104:通信装置2验证报文1中的签名1,对签名1的验证结果用于确定报文1在转发过程中是否经过了关键节点1。
通信装置2接收到报文1之后,可以对报文1中的签名1进行验证,以确定报文1在转发过程中是否经过了关键节点1。
如前S101中所述,在一个示例中,签名1可以是所述关键节点1利用关键节点1的第一私钥和第一哈希算法生成的。因此,通信装置2可以利用关键节点1的第一公钥和第 一哈希算法,对所述签名1进行验证。其中,所述第一公钥和第一私钥构成一组公私钥对。 在一个示例中,通信装置2可以利用第一公钥对签名1进行解密,得到摘要2,并利用第 一哈希算法对第一内容进行哈希计算,得到摘要3,然后对摘要2和摘要3进行匹配验证。 在一个示例中,若摘要2和摘要3相同,则确定签名1通过验证,若摘要2和摘要3不同, 则确定签名1未通过验证。
若签名1通过验证,则通信装置2可以确定报文1在转发过程中经过了关键节点1。对于这种情况,通信装置1例如可以继续转发报文1。若签名1未通过验证,说明报文1 在转发过程中被篡改了,对于这种情况,通信装置2可以丢弃报文1。
在本申请实施例的一种实现方式中,通信装置2可以基于控制管理实体的指示,对签 名1进行验证。换言之,通信装置2在对签名1进行验证之前,还可以接收控制管理实体发送的指示信息3,并根据所述指示信息3对签名1进行验证,其中,指示信息3用于指 示通信装置1对签名1进行验证。
在本申请实施例的一种实现方式中,通信装置2对签名1进行验证的第一公钥和/或第 一哈希算法,也可以是控制管理实体发送给通信装置2的。换言之,在通信装置2对签名 1进行验证之前,还可以接收控制管理实体发送的所述第一公钥和/或第一哈希算法。
本申请实施例中提及的控制管理实体例如可以为运行了网络管理软件(networkmanage system,NMS)的设备,又如可以为控制器。控制管理实体,可以是实现控制和/或 管理功能的功能模块,也可以是运行了相关功能模块的物理实体,上述物理实体例如可以 是安装了相关软件的服务器,相关软件用于实现控制管理实体的功能。本申请实施例不做 具体限定。
如前文,所述第一内容可以包括防重放攻击校验信息。当所述第一内容可以包括防重 放攻击校验信息时,报文1的报文头中可以包括所述防重放攻击校验信息。对于这种情况, 通信装置2在对签名1进行验证之前,还可以根据该防重放攻击校验信息验证报文1是否 为重放报文。若报文1为重放报文,则通信装置1可以不执行对签名1进行校验的步骤,直接丢弃报文1;若报文1不是重放报文,通信装置2可以执行对签名1进行验证的步骤。
在一个示例中,若报文1的报文头中包括指示信息1,则通信装置2可以根据该指示信息1确定所述第一内容所包括的至少一种防重放攻击校验信息。进一步地,根据所述至少一种防重放攻击校验信息,验证报文1是否为重放报文。
在一个示例中,若指示信息1指示所述第一内容包括报文序列号,则通信装置2可以 从报文1的报文头中获取序列号1,并确定在一定时间段内通信装置2是否接收到报文序列号为序列号1的其它IPv6报文。若通信装置2在一定时间段内未接收到报文序列号为 序列号1的其它IPv6报文,则说明报文1不是重放报文。若通信装置2在一定时间段内曾 接收到报文序列号为序列号1的其它IPv6报文,则说明报文1为重放报文。
在一种实现方式中,通信装置2本地可以存储有一定时间段内接收到的IPv6报文的 报文序列号,并将所述序列号1与预先存储的报文序列号进行比对。若预先存储的报文序 列号中包括所述序列号1,则说明在一定时间段内通信装置2曾经接收到报文序列号为序 列号1的其它IPv6报文;若预先存储的报文序列号中不包括所述序列号1,则说明在一定时间段内通信装置2未接收到报文序列号为序列号1的其它IPv6报文。
在一个示例中,若指示信息1指示所述第一内容包括时间戳,则通信装置2可以从报 文1的报文头中获取时间戳1,并确定通信装置2接收报文1的时间戳2,而后计算时间 戳2和时间戳1之间的差值。考虑到若报文1不是重放报文,则时间戳2和时间戳1之间 的差值应当小于第一阈值,即报文1在关键节点1和通信装置2之间的传输时延小于第一 阈值。而若报文1是重放报文,则时间戳2和时间戳1之间的差值则可能大于或者等于第 一阈值。因此,若所述时间戳2和时间戳1的差值小于第一阈值,通信装置2可以确定报 文1不是重放报文,若所述时间戳2和时间戳1的差值大于或者等于第一阈值,通信装置 2可以确定报文1为重放报文。其中,时间戳2为通信装置2接收到报文1时,通信装置 2的本地时间戳。
在一个示例中,若指示信息1指示所述第一内容包括随机数,则通信装置2可以从报 文1的报文头中获取随机数1,并确定在一定时间段内通信装置2是否接收到携带随机数为随机数1的其它IPv6报文。若通信装置2在一定时间段内未接收到携带随机数为随机 数1的其它IPv6报文,则说明报文1不是重放报文。若通信装置2在一定时间段内曾接收 到携带随机数为随机数1的其它IPv6报文,则说明报文1为重放报文。
在一种实现方式中,通信装置2本地可以存储有一定时间段内接收到的IPv6报文所 携带的随机数,并将所述随机数1与预先存储的随机数进行比对。若预先存储的随机数中 包括所述随机数1,则说明在一定时间段内通信装置2曾经接收到携带随机数为随机数1的其它IPv6报文;若预先存储的随机数中不包括所述随机数1,则说明在一定时间段内通信装置2未接收到携带随机数为所述随机数1的其它IPv6报文。
如前所述,通信装置1和所述关键节点1可以是同一个装置,也可以是不同的装置。当通信装置1和所述关键节点是不同的装置时,通信装置1可以是报文1的转发路径中、 所述关键结点1的下游装置。对于这种情况,通信装置1在转发报文1之前,还可以对签 名1进行验证,并在签名1通过验证的情况下,转发报文1。关于通信装置1对签名1进 行验证的具体实现,可以参考上文S104通信装置2对签名1进行验证的描述部分,此处 不再重复描述。
通过以上描述可知,利用方法100,报文1的转发路径中所述关键节点1的下游装置, 可以通过对签名1进行验证,从而确定报文1在转发过程中是否经过了所述关键节点1。当报文1是SRv6报文时,方法100可以克服上文对于图1的描述部分提及的由于被配置 进行HMAC校验的节点被网络黑客从SRH的SID list中删除,从而导致无法通过SID list 确定报文1在转发过程中是否经过了关键节点1的问题。
图4为本申请实施例提供的一种报文处理方法的流程示意图。图4所示的报文处理方 法200,可以由第一通信装置执行。第一通信装置可以为以上实施例中的通信装置1。用于 执行以上方法100中通信装置1执行的步骤。所述方法200例如可以包括如下S201-S202。
S201:获取第一IPv6报文,所述第一IPv6报文的报文头中包括第一签名,所述第一签名用于验证所述第一IPv6报文在转发过程中是否经过了第二通信装置。
S202:转发所述第一IPv6报文。
此处提及的第一IPv6报文,可以对应方法100中的报文1,此处提及的第一签名,可以对应方法100中的签名1,此处提及的第二通信装置,可以对应方法100中的关键节点 1。
在一种实现方式中,所述第一IPv6报文是因特网协议第6版分段路由SRv6报文。
在一种实现方式中,所述第一签名包含在分段路由头SRH中。
在一种实现方式中,所述SRH包括扩展的类型长度值TLV字段,所述扩展的TLV字段包括所述第一签名。
在一种实现方式中,所述第一签名是根据所述第一IPv6报文中的第一内容进行哈希计 算所得。
在一种实现方式中,所述第一内容包括以下一项或多项:
净荷中固定长度的数据和防重放攻击校验信息。
在一种实现方式中,所述报文头中还包括防重放攻击校验信息。
在一种实现方式中,所述报文头中还包括第一指示信息,所述第一指示信息用于指示 所述第一内容包括的至少一种防重放攻击校验信息。
此处提及的第一指示信息,可以对应方法100中的指示信息1。
在一种实现方式中,所述防重放攻击校验信息包括以下一种或多种:
报文序列号,时间戳以及随机数。
在一种实现方式中,所述报文头还包括第二指示信息,所述第二指示信息用于指示所 述第二通信装置的类型。
此处提及的第二指示信息,可以对应方法100中的指示信息2。
在一种实现方式中,所述第一通信装置和所述第二通信装置是同一个装置,所述获取 所述第一IPv6报文包括:
根据所述第二通信装置的第一私钥,生成所述第一签名。
在一种实现方式中,所述第一通信装置为所述第二通信装置在所述第一IPv6报文的转 发路径上的下游装置,所述转发所述第一IPv6报文之前,所述方法还包括:
根据所述第二通信装置的第一公钥,对所述第一签名进行验证。
在一种实现方式中:接收控制管理实体发送的所述第一公钥和/或计算签名所需的第一 哈希算法。
图5为本申请实施例提供的一种报文处理方法的流程示意图。图5所示的报文处理方 法300,可以由第一通信装置执行。第一通信装置可以为以上实施例中的通信装置2。用于 执行以上方法100中通信装置2执行的步骤。所述方法300例如可以包括如下S301-S302。
S301:接收第一IPv6报文,所述第一IPv6报文包括第一签名,所述第一签名用于验证所述第一IPv6报文的转发路径是否经过了第二通信装置。
S302:验证所述第一签名,验证结果用于确定所述第一IPv6报文在转发过程中是否经 过了所述第二通信装置。
此处提及的第一IPv6报文,可以对应方法100中的报文1,此处提及的第一签名,可以对应方法100中的签名1,此处提及的第二通信装置,可以对应方法100中的关键节点 1。
在一种实现方式中,所述方法还包括:
若验证不通过,则丢弃所述第一IPv6报文。
在一种实现方式中,所述第一IPv6报文是因特网协议第6版分段路由SRv6报文。
在一种实现方式中,所述第一签名包含在分段路由头SRH中。
在一种实现方式中,所述SRH包括扩展的类型长度值TLV字段,所述扩展的TLV字段包括所述第一签名。
在一种实现方式中,所述第一签名是根据所述第一IPv6报文中的第一内容进行哈希计 算所得。
在一种实现方式中,所述第一内容包括以下任意一项或者多项:
净荷中固定长度的数据和防重放攻击校验信息。
在一种实现方式中,所述报文头中还包括防重放攻击校验信息。
在一种实现方式中,所述报文头中还包括第一指示信息,所述第一指示信息用于指示 所述第一内容包括的至少一种防重放攻击校验信息。
此处提及的第一指示信息,可以对应方法100中的指示信息1。
在一种实现方式中,所述防重放攻击校验信息包括以下一种或多种:
报文序列号,时间戳以及随机数。
在一种实现方式中,所述报文头还包括第二指示信息,所述第二指示信息用于指示所 述第二通信装置的类型。
此处提及的第二指示信息,可以对应方法100中的指示信息2。
在一种实现方式中,若所述第一指示信息指示所述第一内容包括报文序列号,在验证 所述第一签名之前,所述方法还包括:
确定在一定时间段内所述第一通信装置未接收到序列号与所述第一IPv6报文中携带 的所述序列号相同的其它IPv6报文。
在一种实现方式中,若所述第一指示信息指示所述第一内容包括时间戳,在验证所述 第一签名之前,所述方法还包括:
获取所述第一通信装置接收所述第一IPv6报文时的第一时间戳;
确定第一时间戳与所述第一IPv6报文中携带的所述时间戳之间的差值小于第一阈值。
在一种实现方式中,若所述第一指示信息指示所述第一内容包括随机数,在验证所述 第一签名之前,所述方法还包括:
确定在一定时间段内所述第一通信装置未接收到携带随机数与所述第一IPv6报文中 携带的所述随机数相同的其它IPv6报文。
在一种实现方式中,所述第一签名是利用所述第二通信装置的第一私钥生成的。
在一种实现方式中,所述验证所述第一签名,包括:
根据所述第二通信装置的第一公钥,对所述第一签名进行验证。
在一种实现方式中,所述方法还包括:
接收控制管理实体发送的所述第一公钥和/或计算签名所需的第一哈希算法。
在一种实现方式中,所述方法还包括:
接收控制管理实体发送的第三指示信息,所述第三指示信息用于指示所述第一通信装 置对所述第一签名进行验证。
此处提及的第三指示信息,可以对应方法100中的指示信息3。
在一种实现方式中,所述第一通信装置为所述第二通信装置在所述第一IPv6报文的转 发路径上的下游装置。
在一种实现方式中,所述第一通信装置是所述第一IPv6报文的SRH中的SID list所 指示的尾节点。
关于以上方法200以及方法300的具体实现,可以参考上文对于方法100的描述部分, 此处不做详述。
此外,本申请实施例还提供了一种通信装置600,参见图6所示。图6为本申请实施例提供的一种通信装置的结构示意图。该通信装置600包括收发单元601和处理单元602。该通信装置600可以用于执行以上实施例中的方法100、方法200或者方法300。
在一个示例中,所述通信装置600可以执行以上实施例中的方法100,当通信装置600 用于执行以上实施例中的方法100时,通信装置600相当于方法100中的通信装置1。收发单元601用于执行方法100中通信装置1执行的收发操作。处理单元602用于执行方法 100中通信装置1执行的除收发操作之外的操作。例如:处理单元602用于获取报文1,报 文1为IPv6报文,报文1的报文头中包括签名1,签名1用于验证报文1在转发过程中是 否经过了关键节点1;收发单元601用于转发报文1。
在一个示例中,所述通信装置600可以执行以上实施例中的方法100,当通信装置600 用于执行以上实施例中的方法100时,通信装置600相当于方法100中的通信装置2。收发单元601用于执行方法100中通信装置2执行的收发操作。处理单元602用于执行方法 100中通信装置2执行的除收发操作之外的操作。例如:收发单元601用于接收报文1,报 文1为IPv6报文,报文1的报文头中包括签名1,签名1用于验证报文1在转发过程中是 否经过了关键节点1;处理单元602用于验证报文1中的签名1,对签名1的验证结果用 于确定报文1在转发过程中是否经过了关键节点1。
在一个示例中,所述通信装置600可以执行以上实施例中的方法200,当通信装置600 用于执行以上实施例中的方法200时,通信装置600相当于方法200中的第一通信装置。收发单元601用于执行方法200中第一通信装置执行的收发操作。处理单元602用于执行 方法200中第一通信装置执行的除收发操作之外的操作。例如:处理单元602用于获取第 一因特网协议第6版IPv6报文,所述第一IPv6报文的报文头中包括第一签名,所述第一 签名用于验证所述第一IPv6报文在转发过程中是否经过了第二通信装置;收发单元601用 于转发所述第一IPv6报文。
在一个示例中,所述通信装置600可以执行以上实施例中的方法300,当通信装置600 用于执行以上实施例中的方法300时,通信装置600相当于方法300中的第一通信装置。收发单元601用于执行方法300中第一通信装置执行的收发操作。处理单元602用于执行 方法300中第一通信装置执行的除收发操作之外的操作。例如:收发单元601用于接收第 一IPv6报文,所述第一IPv6报文包括第一签名,所述第一签名用于验证所述第一IPv6报 文的转发路径是否经过了第二通信装置;处理单元602用于验证所述第一签名,验证结果 用于确定所述第一IPv6报文在转发过程中是否经过了所述第二通信装置。
此外,本申请实施例还提供了一种通信装置700,参见图7所示,图7为本申请实施例提供的一种通信装置的结构示意图。该通信装置700包括通信接口701和与通信接口 701连接的处理器702。该通信装置700可以用于执行以上实施例中的方法100、方法200 或者方法300。
在一个示例中,所述通信装置700可以执行以上实施例中的方法100,当通信装置700 用于执行以上实施例中的方法100时,通信装置700相当于方法100中的通信装置1。通信接口701用于执行方法100中通信装置1执行的收发操作。处理器702用于执行方法 100中通信装置1执行的除收发操作之外的操作。例如:处理器702用于获取报文1,报文 1为IPv6报文,报文1的报文头中包括签名1,签名1用于验证报文1在转发过程中是否 经过了关键节点1;通信接口701用于转发报文1。
在一个示例中,所述通信装置700可以执行以上实施例中的方法100,当通信装置700 用于执行以上实施例中的方法100时,通信装置700相当于方法100中的通信装置2。通信接口701用于执行方法100中通信装置2执行的收发操作。处理器702用于执行方法 100中通信装置2执行的除收发操作之外的操作。例如:通信接口701用于接收报文1,报 文1为IPv6报文,报文1的报文头中包括签名1,签名1用于验证报文1在转发过程中是 否经过了关键节点1;处理器702用于验证报文1中的签名1,对签名1的验证结果用于 确定报文1在转发过程中是否经过了关键节点1。
在一个示例中,所述通信装置700可以执行以上实施例中的方法200,当通信装置700 用于执行以上实施例中的方法200时,通信装置700相当于方法200中的第一通信装置。通信接口701用于执行方法200中第一通信装置执行的收发操作。处理器702用于执行方 法200中第一通信装置执行的除收发操作之外的操作。例如:处理器702用于获取第一因 特网协议第6版IPv6报文,所述第一IPv6报文的报文头中包括第一签名,所述第一签名 用于验证所述第一IPv6报文在转发过程中是否经过了第二通信装置;通信接口701用于 转发所述第一IPv6报文。
在一个示例中,所述通信装置700可以执行以上实施例中的方法300,当通信装置700 用于执行以上实施例中的方法300时,通信装置700相当于方法300中的第一通信装置。通信接口701用于执行方法300中第一通信装置执行的收发操作。处理器702用于执行方 法300中第一通信装置执行的除收发操作之外的操作。例如:通信接口701用于接收第一 IPv6报文,所述第一IPv6报文包括第一签名,所述第一签名用于验证所述第一IPv6报文 的转发路径是否经过了第二通信装置;处理器702用于验证所述第一签名,验证结果用于 确定所述第一IPv6报文在转发过程中是否经过了所述第二通信装置。
此外,本申请实施例还提供了一种通信装置800,参见图8所示,图8为本申请实施例提供的一种通信装置的结构示意图。
该通信装置800可以用于执行以上实施例中的方法100、方法200、或者方法300。
如图8所示,通信装置800可以包括处理器810,与所述处理器810耦合连接的存储器820,收发器830。收发器830例如可以是通信接口,光模块等。处理器810可以是中央 处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。处理器还可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logicdevice, 缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complexprogrammable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array, 缩写:FPGA),通用阵列逻辑(英文:generic array logic,缩写:GAL)或其任意组合。处 理器810可以是指一个处理器,也可以包括多个处理器。存储器820可以包括易失性存储 器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写: RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器 (英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英 文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存 储器820还可以包括上述种类的存储器的组合。存储器820可以是指一个存储器,也可以 包括多个存储器。在一个实施方式中,存储器820中存储有计算机可读指令,所述计算机 可读指令包括多个软件模块,例如发送模块821,处理模块822和接收模块823。处理器 810执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中, 一个软件模块所执行的操作实际上是指处理器810根据所述软件模块的指示而执行的操作。
在一个示例中,所述通信装置800可以执行以上实施例中的方法100,当通信装置800 用于执行以上实施例中的方法100时,通信装置800相当于方法100中的通信装置1。收发器830用于执行方法100中通信装置1执行的收发操作。处理器810用于执行方法100 中通信装置1执行的除收发操作之外的操作。例如:处理器810用于获取报文1,报文1 为IPv6报文,报文1的报文头中包括签名1,签名1用于验证报文1在转发过程中是否经 过了关键节点1;收发器830用于转发报文1。
在一个示例中,所述通信装置800可以执行以上实施例中的方法100,当通信装置800 用于执行以上实施例中的方法100时,通信装置800相当于方法100中的通信装置2。收发器830用于执行方法100中通信装置2执行的收发操作。处理器810用于执行方法100 中通信装置2执行的除收发操作之外的操作。例如:收发器830用于接收报文1,报文1 为IPv6报文,报文1的报文头中包括签名1,签名1用于验证报文1在转发过程中是否经 过了关键节点1;处理器810用于验证报文1中的签名1,对签名1的验证结果用于确定 报文1在转发过程中是否经过了关键节点1。
在一个示例中,所述通信装置800可以执行以上实施例中的方法200,当通信装置800 用于执行以上实施例中的方法200时,通信装置800相当于方法200中的第一通信装置。收发器830用于执行方法200中第一通信装置执行的收发操作。处理器810用于执行方法200中第一通信装置执行的除收发操作之外的操作。例如:处理器810用于获取第一因特 网协议第6版IPv6报文,所述第一IPv6报文的报文头中包括第一签名,所述第一签名用 于验证所述第一IPv6报文在转发过程中是否经过了第二通信装置;收发器830用于转发 所述第一IPv6报文。
在一个示例中,所述通信装置800可以执行以上实施例中的方法300,当通信装置800 用于执行以上实施例中的方法300时,通信装置800相当于方法300中的第一通信装置。收发器830用于执行方法300中第一通信装置执行的收发操作。处理器810用于执行方法300中第一通信装置执行的除收发操作之外的操作。例如:收发器830用于接收第一IPv6 报文,所述第一IPv6报文包括第一签名,所述第一签名用于验证所述第一IPv6报文的转 发路径是否经过了第二通信装置;处理器810用于验证所述第一签名,验证结果用于确定 所述第一IPv6报文在转发过程中是否经过了所述第二通信装置。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令, 当其在计算机上运行时,使得所述计算机执行前述实施例中任一实施例所述的方法(例如, 方法100,方法200和方法300)中任意一个或多个操作。
本申请还提供了一种计算机程序产品,包括计算机程序,当其在计算机上运行时,使 得所述计算机执行前述实施例中任一实施例所述的方法(例如,方法100,方法200和方法300)中任意一个或多个操作。
本申请还提供了一种通信系统,包括以上实施例提及的任一种执行方法200的第一通 信装置和任一种执行方法300的第一通信装置。通信系统还可以包括前文所述的控制管理 实体,用于实现上述实施例有控制管理实体所执行的操作。
本申请还提供了一种通信系统,包括至少一个存储器和至少一个处理器,该至少一个 存储器存储有指令,该至少一个处理器执行所述指令,使得所述通信系统执行本申请前述 实施例中任一实施例所述的方法(例如,方法100,方法200和方法300)中任意一个或多 个操作。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四” 等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理 解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示 或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或 设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装 置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通 过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分, 仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以 结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨 论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合 或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件 可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元 上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各 个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既 可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存 储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对 现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来, 该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以 是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。 而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码 的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的业务可 以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存 储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计 算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一 个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可 用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明, 所应理解的是,以上仅为本发明的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施 例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实 施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或 者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (38)
1.一种报文处理方法,其特征在于,由第一通信装置执行,所述方法包括:
获取第一因特网协议第6版IPv6报文,所述第一IPv6报文的报文头中包括第一签名,所述第一签名用于验证所述第一IPv6报文在转发过程中是否经过了第二通信装置;
转发所述第一IPv6报文。
2.根据权利要求1所述的方法,其特征在于,所述第一IPv6报文是因特网协议第6版分段路由SRv6报文。
3.根据权利要求2所述的方法,其特征在于,所述第一签名包含在分段路由头SRH中。
4.根据权利要求3所述的方法,其特征在于,所述SRH包括扩展的类型长度值TLV字段,所述扩展的TLV字段包括所述第一签名。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述第一签名是根据所述第一IPv6报文中的第一内容进行哈希计算所得。
6.根据权利要求5所述的方法,其特征在于,所述第一内容包括以下一项或多项:
净荷中固定长度的数据和防重放攻击校验信息。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述报文头中还包括防重放攻击校验信息。
8.根据权利要求5或6所述的方法,其特征在于,所述报文头中还包括第一指示信息,所述第一指示信息用于指示所述第一内容包括的至少一种防重放攻击校验信息。
9.根据权利要求7或8所述的方法,其特征在于,所述防重放攻击校验信息包括以下一种或多种:
报文序列号,时间戳以及随机数。
10.根据权利要求1-9任意一项所述的方法,其特征在于,所述报文头还包括第二指示信息,所述第二指示信息用于指示所述第二通信装置的类型。
11.根据权利要求1-10任意一项所述的方法,其特征在于,所述第一通信装置和所述第二通信装置是同一个装置,所述获取所述第一IPv6报文包括:
根据所述第二通信装置的第一私钥,生成所述第一签名。
12.根据权利要求1-10任一项所述的方法,其特征在于,所述第一通信装置为所述第二通信装置在所述第一IPv6报文的转发路径上的下游装置,所述转发所述第一IPv6报文之前,所述方法还包括:
根据所述第二通信装置的第一公钥,对所述第一签名进行验证。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:接收控制管理实体发送的所述第一公钥。
14.一种报文处理方法,其特征在于,由第一通信装置执行,所述方法包括:
接收第一因特网协议第6版IPv6报文,所述第一IPv6报文包括第一签名,所述第一签名用于验证所述第一IPv6报文的转发路径是否经过了第二通信装置;
验证所述第一签名,根据验证结果处理所述第一IPv6报文。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
若验证不通过,则丢弃所述第一IPv6报文。
16.根据权利要求14或15所述的方法,其特征在于,所述第一IPv6报文是因特网协议第6版分段路由SRv6报文。
17.根据权利要求16所述的方法,其特征在于,所述第一签名包含在分段路由头SRH中。
18.根据权利要求17所述的方法,其特征在于,所述SRH包括扩展的类型长度值TLV字段,所述扩展的TLV字段包括所述第一签名。
19.根据权利要求14-17任意一项所述的方法,其特征在于,所述验证所述第一签名,包括:
根据所述第一IPv6报文中的第一内容进行哈希计算,将计算结果与所述第一签名进行比较。
20.根据权利要求14-18任意一项所述的方法,其特征在于,所述第一内容包括以下任意一项或者多项:
报文净荷中固定长度的数据和防重放攻击校验信息。
21.根据权利要求14-20任一项所述的方法,其特征在于,所述报文头中还包括防重放攻击校验信息。
22.根据权利要求19或20所述的方法,其特征在于,所述报文头中还包括第一指示信息,所述第一指示信息用于指示所述第一内容包括的至少一种防重放攻击校验信息。
23.根据权利要求21或22所述的方法,其特征在于,所述防重放攻击校验信息包括以下一种或多种:
报文序列号,时间戳以及随机数。
24.根据权利要求14-23任意一项所述的方法,其特征在于,所述报文头还包括第二指示信息,所述第二指示信息用于指示所述第二通信装置的类型。
25.根据权利要求22或23所述的方法,其特征在于,若所述第一指示信息指示所述第一内容包括报文序列号,在验证所述第一签名之前,所述方法还包括:
验证所述报文序列号的合法性。
26.根据权利要求22或23所述的方法,其特征在于,若所述第一指示信息指示所述第一内容包括时间戳,在验证所述第一签名之前,所述方法还包括:确定所述第一通信装置当前时间与所述第一IPv6报文中携带的所述时间戳之间的差值小于等于第一阈值。
27.根据权利要求22或23所述的方法,其特征在于,若所述第一指示信息指示所述第一内容包括随机数,在验证所述第一签名之前,所述方法还包括:
验证所述随机数的合法性。
28.根据权利要求14-27任意一项所述的方法,其特征在于,所述第一签名是利用所述第二通信装置的第一私钥生成的。
29.根据权利要求14-28任一项所述的方法,其特征在于,所述验证所述第一签名,包括:
根据所述第二通信装置的第一公钥,对所述第一签名进行验证。
30.根据权利要求29所述的方法,其特征在于,所述方法还包括:
接收控制管理实体发送的所述第一公钥。
31.根据权利要求14-30任意一项所述的方法,其特征在于,所述方法还包括:
接收控制管理实体发送的第三指示信息,所述第三指示信息用于指示所述第一通信装置对所述第一签名进行验证。
32.根据权利要求14-31任意一项所述的方法,其特征在于,所述第一通信装置为所述第二通信装置在所述第一IPv6报文的转发路径上的下游装置。
33.根据权利要求32所述的方法,其特征在于,所述第一通信装置是所述第一IPv6报文的SRH中的SID list所指示的尾节点。
34.一种通信装置,其特征在于,所述通信装置包括存储器和处理器;
所述存储器,用于存储程序代码;
所述处理器,用于运行所述程序代码中的指令,使得所述通信装置执行以上权利要求1-13任意一项所述的方法。
35.一种通信装置,其特征在于,所述通信装置包括存储器和处理器;
所述存储器,用于存储程序代码;
所述处理器,用于运行所述程序代码中的指令,使得所述通信装置执行以上权利要求14-33任意一项所述的方法。
36.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行以上权利要求1-33任意一项所述的方法。
37.一种通信系统,其特征在于,包括权利要求34所述的通信装置以及权利要求35所述的通信装置。
38.根据权利要求37所述的通信系统,其特征在于,还包括控制管理实体,用于向通信装置发送用于计算签名和/或验证签名所需的公钥。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011256559.2A CN114499904A (zh) | 2020-11-11 | 2020-11-11 | 一种报文处理方法及装置 |
| EP21890684.0A EP4221078A4 (en) | 2020-11-11 | 2021-07-29 | PACKET PROCESSING METHOD AND APPARATUS |
| PCT/CN2021/109153 WO2022100153A1 (zh) | 2020-11-11 | 2021-07-29 | 一种报文处理方法及装置 |
| US18/315,365 US20230283588A1 (en) | 2020-11-11 | 2023-05-10 | Packet processing method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011256559.2A CN114499904A (zh) | 2020-11-11 | 2020-11-11 | 一种报文处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114499904A true CN114499904A (zh) | 2022-05-13 |
Family
ID=81490218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011256559.2A Pending CN114499904A (zh) | 2020-11-11 | 2020-11-11 | 一种报文处理方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230283588A1 (zh) |
| EP (1) | EP4221078A4 (zh) |
| CN (1) | CN114499904A (zh) |
| WO (1) | WO2022100153A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12034637B1 (en) * | 2021-12-10 | 2024-07-09 | Amazon Technologies, Inc. | Network devices for stateful transmission of network traffic |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640631B (zh) * | 2008-07-28 | 2011-11-16 | 成都市华为赛门铁克科技有限公司 | 一种数据包处理的方法和装置 |
| CN102196423B (zh) * | 2010-03-04 | 2016-07-06 | 腾讯科技(深圳)有限公司 | 一种安全数据中转方法及系统 |
| US10237073B2 (en) * | 2015-01-19 | 2019-03-19 | InAuth, Inc. | Systems and methods for trusted path secure communication |
| US10211987B2 (en) * | 2015-04-27 | 2019-02-19 | Cisco Technology, Inc. | Transport mechanism for carrying in-band metadata for network path proof of transit |
| CN109981458B (zh) * | 2019-03-08 | 2022-07-26 | 华为技术有限公司 | 一种确定报文转发路径的方法、网络节点及系统 |
| US11240150B2 (en) * | 2019-04-04 | 2022-02-01 | Cisco Technology, Inc. | Applying attestation to segment routing |
| WO2020206370A1 (en) * | 2019-04-05 | 2020-10-08 | Cisco Technology, Inc. | Discovering trustworthy devices using attestation and mutual attestation |
| CN111585890B (zh) * | 2020-04-10 | 2021-07-16 | 清华大学 | 基于SRv6的网络路径验证方法及系统 |
-
2020
- 2020-11-11 CN CN202011256559.2A patent/CN114499904A/zh active Pending
-
2021
- 2021-07-29 WO PCT/CN2021/109153 patent/WO2022100153A1/zh unknown
- 2021-07-29 EP EP21890684.0A patent/EP4221078A4/en active Pending
-
2023
- 2023-05-10 US US18/315,365 patent/US20230283588A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022100153A1 (zh) | 2022-05-19 |
| EP4221078A1 (en) | 2023-08-02 |
| US20230283588A1 (en) | 2023-09-07 |
| EP4221078A4 (en) | 2024-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682284B (zh) | 发送报文的方法和网络设备 | |
| EP3068093B1 (en) | Security authentication method and bidirectional forwarding detection method | |
| WO2021232896A1 (zh) | 一种校验SRv6报文的方法及装置 | |
| US10911581B2 (en) | Packet parsing method and device | |
| US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
| WO2019137554A1 (zh) | 一种保证环网协议运行安全的方法及装置 | |
| US20230007022A1 (en) | Method and Device for Preventing Replay Attack on Srv6 HMAC Verification | |
| CN116094978A (zh) | 一种信息上报方法和信息处理方法及设备 | |
| US20230283588A1 (en) | Packet processing method and apparatus | |
| CN104780165A (zh) | 一种报文入标签的安全验证方法和设备 | |
| CN112653699B (zh) | 一种bfd认证方法、装置及电子设备 | |
| CN113810173B (zh) | 一种校验应用信息的方法、报文处理方法及装置 | |
| CN105743863A (zh) | 一种对报文进行处理的方法及装置 | |
| CN115632963A (zh) | 一种确认隧道连接状态的方法、设备、装置及介质 | |
| CN114362985A (zh) | 一种报文处理方法及装置 | |
| CN114567450A (zh) | 一种协议报文处理方法及装置 | |
| US20210092103A1 (en) | In-line encryption of network data | |
| US10499249B1 (en) | Data link layer trust signaling in communication network | |
| CN111510300A (zh) | 数据处理方法、装置、设备及计算机可读存储介质 | |
| CN111327394B (zh) | 一种报文发送方法及装置 | |
| CN111917746B (zh) | 一种路由协议接入认证方法、设备及介质 | |
| WO2022199566A1 (zh) | 路由验证、数据发送的方法、装置、设备及存储介质 | |
| CN112839009B (zh) | 处理报文的方法、装置及系统 | |
| CN113645133B (zh) | 报文转发方法、装置、网络设备及计算机可读存储介质 | |
| JP2024532857A (ja) | メッセージ送信方法、装置及び記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |