CN115412240A - 数据传输方法、装置、电子设备及存储介质 - Google Patents

数据传输方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115412240A
CN115412240A CN202211049857.3A CN202211049857A CN115412240A CN 115412240 A CN115412240 A CN 115412240A CN 202211049857 A CN202211049857 A CN 202211049857A CN 115412240 A CN115412240 A CN 115412240A
Authority
CN
China
Prior art keywords
srv6
key information
data packet
packet
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211049857.3A
Other languages
English (en)
Inventor
李佳聪
吕航
雷波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211049857.3A priority Critical patent/CN115412240A/zh
Publication of CN115412240A publication Critical patent/CN115412240A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种数据传输方法、装置、电子设备及存储介质,涉及网络通信技术领域。该方法包括:将第一密钥信息封装在第一SRv6数据包的TLV字段中,第一SRv6数据包用于向目的节点请求目标数据;向目的节点发送第一SRv6数据包;接收返回的第二SRv6数据包,第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息;通过第一密钥信息对第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过第二密钥信息对第二SRv6数据包进行解密,得到目标数据。因此,本公开通过对TLV字段的自定义,可以保证数据传输的安全性与可靠性。

Description

数据传输方法、装置、电子设备及存储介质
技术领域
本公开涉及网络通信技术领域,尤其涉及一种数据传输方法、装置、电子设备及存储介质。
背景技术
随着科技的进步,网络通信的规模也在随之不断扩大。SR(Segment Routing,分段路由)技术的源路由和无状态特性等使其被广泛应用于网络通信领域。示例性地,该SR技术可以被应用在IPv6(Internet Protocol Version 6,互联网协议第6版)的网络中,即为SRv6(Segment Routing Over IPv6,基于IPv6的分段路由)技术。
对于SRv6技术,目前亟需一种数据安全传输的方法,来进一步确保数据传输的安全性与可靠性。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种数据传输方法、装置、电子设备及存储介质,至少在一定程度上提高了数据传输的安全性与可靠性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的一个方面,提供一种数据传输方法,包括:将该请求节点生成的第一密钥信息封装在第一SRv6数据包的TLV(Type-Length-Value,类型长度值)字段中,该第一SRv6数据包用于向目的节点请求目标数据;向该目的节点发送该第一SRv6数据包;接收该目的节点返回的第二SRv6数据包,该第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,该第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息;通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据。
在本公开的一些实施例中,向该目的节点发送该第一SRv6数据包之前,该方法还包括:根据该请求节点的身份信息生成第一MD5(Message Digest Algorithm 5,信息摘要算法5)值,该第一MD5值用于目的节点对该第一SRv6数据包进行身份验证;将该第一MD5值封装在该第一SRv6数据包的TLV字段中。
在本公开的一些实施例中,第二SRv6数据包TLV字段中还包括通过该目的节点的身份信息生成的第二MD5值,该方法还包括:根据该第二MD5值对该第二SRv6数据包进行身份验证;该通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据,包括:当该第二SRv6数据包身份验证通过时,通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据。
在本公开的一些实施例中,方法还包括:将第一安全标签信息、第一安全级别信息封装在该第一SRv6数据包的TLV字段中,其中,该第一安全标签信息用于指示该第一SRv6数据包的TLV字段用于安全验证业务,该第一安全级别信息用于指示该请求节点的安全级别。
在本公开的一些实施例中,目的节点的安全级别高于该请求节点,该方法还包括:获取认证中心下发的第三密钥信息;根据该第三密钥信息对该第一SRv6数据包中的该第一密钥信息与该第一MD5值进行加密,得到加密后的第一SRv6数据包;该向该目的节点发送该第一SRv6数据,包括:向该目的节点发送该加密后的第一SRv6数据包。
在本公开的一些实施例中,第一SRv6数据包的段列表字段中的功能字段中包括功能定义信息,该功能定义信息用于指示该目的节点,根据该第一MD5值对该第一SRv6数据包进行身份验证。
根据本公开的另一个方面,提供一种数据传输方法,包括:接收请求节点发送的第一SRv6数据包,该第一SRv6数据包的TLV字段中包括第一密钥信息;根据该第一SRv6数据包,查询得到目标数据;通过该目的节点生成的第二密钥信息对该目标数据进行加密,得到加密后的目标数据,通过第一密钥信息对该第二密钥信息进行加密,得到加密后的第二密钥信息,并将该加密后的目标数据与该加密后的第二密钥信息封装于第二SRv6数据包;将该第二SRv6数据包返回该请求节点。
在本公开的一些实施例中,第一SRv6数据包的TLV字段中还包括第一MD5值,该方法还包括:根据该第一MD5值对该第一SRv6数据包进行身份验证;该根据该第一SRv6数据包,查询得到目标数据,包括:当该第一SRv6数据包身份验证通过时,根据该第一SRv6数据包,查询得到目标数据。
在本公开的一些实施例中,第一SRv6数据包的TLV字段中还包括第一安全标签信息、第一安全级别信息,其中,该第一安全标签信息用于指示该第一SRv6数据包的TLV字段用于安全验证业务,该第一安全级别信息用于指示该请求节点的安全级别,该方法还包括:当该目的节点的安全级别高于该请求节点,且该第一SRv6数据包为加密数据包时,获取认证中心下发的第四密钥信息;根据该第四密钥信息对该第一SRv6数据包进行解密,得到该第一密钥信息与该第一MD5值。
根据本公开的另一个方面,提供一种数据传输装置,包括:第一SRv6数据包封装模块,用于将该请求节点生成的第一密钥信息封装在第一SRv6数据包的TLV字段中,该第一SRv6数据包用于向目的节点请求目标数据;第一SRv6数据包发送模块,用于向该目的节点发送该第一SRv6数据包;第二SRv6数据包接收模块,用于接收该目的节点返回的第二SRv6数据包,该第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,该第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息;目标数据获取模块,用于通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据。
在本公开的一些实施例中,第一SRv6数据包封装模块,还用于根据该请求节点的身份信息生成第一MD5值,该第一MD5值用于目的节点对该第一SRv6数据包进行身份验证;将该第一MD5值封装在该第一SRv6数据包的TLV字段中。
在本公开的一些实施例中,第二SRv6数据包TLV字段中还包括通过该目的节点的身份信息生成的第二MD5值,该装置还包括:第二SRv6数据包验证模块,用于根据该第二MD5值对该第二SRv6数据包进行身份验证;目标数据获取模块,用于当该第二SRv6数据包身份验证通过时,通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据。
在本公开的一些实施例中,第一SRv6数据包封装模块,还用于将第一安全标签信息、第一安全级别信息封装在该第一SRv6数据包的TLV字段中,其中,该第一安全标签信息用于指示该第一SRv6数据包的TLV字段用于安全验证业务,该第一安全级别信息用于指示该请求节点的安全级别。
在本公开的一些实施例中,目的节点的安全级别高于该请求节点,该装置还包括:第一SRv6数据包加密模块,用于获取认证中心下发的第三密钥信息;根据该第三密钥信息对该第一SRv6数据包中的该第一密钥信息与该第一MD5值进行加密,得到加密后的第一SRv6数据包;第一SRv6数据包发送模块,用于向该目的节点发送该加密后的第一SRv6数据包。
在本公开的一些实施例中,该第一SRv6数据包的段列表字段中的功能字段中包括功能定义信息,该功能定义信息用于指示该目的节点,根据该第一MD5值对该第一SRv6数据包进行身份验证。
根据本公开的另一个方面,提供一种数据传输装置,包括:第一SRv6数据包接收模块,用于接收请求节点发送的第一SRv6数据包,该第一SRv6数据包的TLV字段中包括第一密钥信息;目标数据获取模块,用于根据该第一SRv6数据包,查询得到目标数据;第二SRv6数据包封装模块,用于通过该目的节点生成的第二密钥信息对该目标数据进行加密,得到加密后的目标数据,通过第一密钥信息对该第二密钥信息进行加密,得到加密后的第二密钥信息,并将该加密后的目标数据与该加密后的第二密钥信息封装于第二SRv6数据包;第二SRv6数据包发送模块,用于将该第二SRv6数据包返回该请求节点。
在本公开的一些实施例中,第一SRv6数据包的TLV字段中还包括第一MD5值,该装置还包括:第一SRv6数据包验证模块,用于根据该第一MD5值对该第一SRv6数据包进行身份验证;目标数据获取模块,用于当该第一SRv6数据包身份验证通过时,根据该第一SRv6数据包,查询得到目标数据。
在本公开的一些实施例中,该第一SRv6数据包的TLV字段中还包括第一安全标签信息、第一安全级别信息,其中,该第一安全标签信息用于指示该第一SRv6数据包的TLV字段用于安全验证业务,该第一安全级别信息用于指示该请求节点的安全级别,该装置还包括:第一SRv6数据包解密模块,用于当该目的节点的安全级别高于该请求节点,且该第一SRv6数据包为加密数据包时,获取认证中心下发的第四密钥信息;根据该第四密钥信息对该第一SRv6数据包进行解密,得到该第一密钥信息与该第一MD5值。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储该处理器的可执行指令;其中,该处理器配置为经由执行该可执行指令来执行上述的数据传输方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述的数据传输方法。
根据本公开的另一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本公开任一实施例中的各种可选方式中提供的数据传输方法。
本公开的实施例所提供的技术方案,对SRv6数据的TLV字段进行了自定义,从而将第一密钥信息封装在向目的节点请求目标数据的第一SRv6数据包的TLV字段中,该第一密钥信息用于对第二密钥信息进行加密。并且,在接收到目的节点返回的第二SRv6数据包后,可以通过第一密钥信息对加密后的第二密钥信息解密得到获取第二密钥信息,该加密后的第二密钥信息位于第二SRv6数据包的TLV字段中。之后即可以通过第二密钥信息解密得到目标数据。因此,本公开实施例可以进一步确保数据传输的安全性与可靠性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种实施环境的示意图;
图2示出本公开实施例中另一种实施环境的示意图;
图3示出本公开实施例中一种数据传输方法流程图;
图4示出本公开实施例中一种TLV字段的格式的示意图;
图5示出本公开实施例中一种第一SRv6数据包包头格式的示意图;
图6示出本公开实施例中另一种数据传输方法流程图;
图7示出本公开实施例中一种数据传输方法的过程示意图;
图8示出本公开实施例中另一种数据传输方法的过程示意图;
图9示出本公开实施例中一种数据传输系统的示意图;
图10示出本公开实施例中一种数据传输装置示意图;
图11示出本公开实施例中另一种数据传输装置示意图;
图12示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图1示出了可以应用于本公开实施例提供的实施环境的示意图。
如图1所示,该实施环境可以包括请求节点101与目的节点102。该请求节点101与目的节点102之间可以通过网络进行通信。示例性地,该网络可以为有线网络,也可以是无线网络。
其中,该请求节点101可以通过本公开实施例提供的数据传输方法,向目的节点102发送第一SRv6数据包。该目的节点102可以对该第一SRv6数据包进行接收,并根据该第一SRv6数据包获取目标数据。之后,该目的节点102可以将该目标数据封装在第二SRv6数据包中返回请求节点101。请求节点101可以通过本公开实施例提供的方法,获取第二SRv6数据包中的目标数据。
或者,如图2所示,该实施环境可以包括请求节点101、目的节点102与至少一个中间节点103。
该请求节点101、目的节点102与中间节点103之间可以通过网络进行通信。示例性地,该网络可以为有线网络,也可以是无线网络。
其中,该请求节点101可以通过本公开实施例提供的数据传输方法,向中间节点103发送第一SRv6数据包。该中间节点103可以将第一SRv6数据包转发至目的节点102。该目的节点102可以对该第一SRv6数据包进行接收,并根据该第一SRv6数据包获取目标数据。之后,该目的节点102可以将该目标数据封装在第二SRv6数据包中返回中间节点103。该中间节点103可以将第二SRv6数据包转发至请求节点101。请求节点101可以通过本公开实施例提供的方法,获取第二SRv6数据包中的目标数据。
示例性地,该请求节点101、目的节点102与中间节点103均可以为终端设备或服务器。其中,该终端设备可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、增强现实设备、虚拟现实设备等。服务器则可以是提供各种服务的服务器,例如对用户利用终端设备所进行操作的装置提供支持的后台管理服务器。后台管理服务器可以对接收到的请求等数据进行分析等处理,并将处理结果反馈给终端设备。
可选地,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
可选地,上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(Hyper Text Mark-up Language,HTML)、可扩展标记语言(ExtensibleMarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(InternetProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
本领域技术人员可以知晓,图1、图2中的请求节点101、目的节点102以及图2中的中间节点103的数量均仅仅是示意性的,根据实际需要,可以具有任意数目的请求节点101、目的节点102和中间节点103。本公开实施例对此不作限定。
下面结合附图及实施例对本示例实施方式进行详细说明。
首先,本公开实施例中提供了一种数据传输方法,该方法可以由任意具备计算处理能力的电子设备执行。
图3示出本公开实施例中一种数据传输方法流程图,如图3所示,本公开实施例中提供的数据传输方法包括如下步骤S302至S308。
S302,请求节点将请求节点生成的第一密钥信息封装在第一SRv6数据包的TLV字段中,第一SRv6数据包用于向目的节点请求目标数据。
示例性地,该第一SRv6数据包可以为IPv6格式,且包含SRH的数据包。请求节点与目的节点可以为通信网络中的任意两个节点,其可以为终端设备或服务器。目标数据可以为任意格式的数据,本公开实施例不对目标数据的格式及其内容进行限定。
本公开实施例不对请求节点生成第一密钥信息的方法进行限定,该生成第一密钥信息的方法可以通过经验或实施场景进行限定。另外,第一密钥信息可以为用于对信息进行加密的任意种类的密钥信息。示例性地,该第一密钥信息可以为对称加密的密钥,也可以为非对称加密的密钥。
在一些实施例中,本公开实施例提供的数据传输方法还可包括:根据请求节点的身份信息生成第一MD5值,第一MD5值用于目的节点对第一SRv6数据包进行身份验证;将第一MD5值封装在第一SRv6数据包的TLV字段中。
示例性地,该第一MD5值可以为一个散列值,例如该散列值可以为128位。本公开实施例不对生成第一MD5值的方法进行限定。
示例性地,任一节点均可以具有一个用于标识其身份的唯一的身份信息。当请求节点需要向目的节点发送第一SRv6数据包时,则可以通过请求节点的身份信息生成第一MD5值。
在一些实施例中,本公开实施例提供的数据传输方法还可包括:将第一安全标签信息、第一安全级别信息封装在第一SRv6数据包的TLV字段中,其中,第一安全标签信息用于指示第一SRv6数据包的TLV字段用于安全验证业务,第一安全级别信息用于指示请求节点的安全级别。
在示例性实施例中,第一安全级别信息中可以包括多个安全级别,例如可以包括L0、L1、L2、L3四个级别。其中,L0的安全级别>L1的安全级别>L2的安全级别>L3的安全级别。并且,本公开实施例不对第一安全标签信息的编码内容进行限定。请求节点的安全级别可以人为设定,或可以基于应用场景进行确定,本公开实施例不对此进行限定。
在一种可能的实施方式中,第一SRv6数据包的TLV字段的格式可以如图4所示。在图4中,该TLV字段包括安全标签字段、安全级别字段、身份信息字段以及密钥信息字段。该TLV字段可以为可变长度字段,示例性地,该TLV字段可以为128位。其中,安全标签字段可以为第1至16位,安全级别字段可以为第17至32位,身份信息字段可以为第33至80位,密钥信息字段可以为第81至128位。
对于如图4所示的TLV字段,则该安全标签字段中的内容可以为第一安全标签信息。安全级别字段中的内容可以为第一安全级别信息、身份信息字段中的内容可以为第一MD5值。密钥信息字段中的内容可以为第一密钥信息。
在一些实施例中,当目的节点的安全级别高于请求节点时,本公开实施例提供的数据传输方法还可包括:获取认证中心下发的第三密钥信息;根据第三密钥信息对第一SRv6数据包中的第一密钥信息与第一MD5值进行加密,得到加密后的第一SRv6数据包。在该种情况下,向目的节点发送第一SRv6数据,可以包括:向目的节点发送加密后的第一SRv6数据包。
在示例性实施例中,请求节点可以确定目的节点的安全级别是否高于请求节点的安全级别。当目的节点的安全级别高于请求节点时,请求节点可以向认证中心发送相应信息,使认证中心为请求节点匹配一个第三密钥信息,并向目的节点发送一个与第三密钥信息匹配的第四密钥信息。该请求节点可以在确定了第一MD5值与第一密钥信息后,通过第三密钥信息对其进行加密,从而得到加密后的第一SRv6信息。而目的节点则可以通过第四密钥信息来对该第一SRv6信息进行解密。
在示例性实施例中,一种可能的第一SRv6数据包的包头格式可以如图5所示。在图5中,该第一SRv6数据包的包头包括IPv6 Header(包头)以及SRH(Segment RoutingHeader,分段路由头)。除此之外,该第一SRv6数据包还可包括Data Payload(数据有效载荷)字段。其中,该IPv6 Header中可以包括Version(版本)字段、Trafic Class(通信分类)字段、Flow Label(流标签)字段、Payload Length(有效载荷长度)字段、Next Header(下一报头)字段、Hop Limit(跳数限制)字段、SA(Source Address,源地址)字段以及DA(Destination Address,目的地址)字段。
而SRH中可以包括Next Header(下一报头)字段、Hdr Ext Len(Header ExtensionLength,扩展头长度)字段、Routing Type(路由类型)字段、Segment Left(剩余节点数量)字段、Last Entry(最后一个元素的索引)字段、Flags(标识)字段、Segment List(段列表)字段以及Optional TLVs(可选的类型长度值)字段。
需要说明的是,该Segment List字段中可以包括Segment List[0]、Segment List[1]、……、Segment List[n],其中,每行Segment List均可以对应一个SID(SegmentIdentification,段标识)。每个SID可以为一个IPv6地址,用于标识对应该IPv6地址的节点。并且,该Optional TLVs字段即为上述的TLV字段,该TLV字段的格式例如可以如图4所示。另外,本公开实施例不对IPv6 Header以及SRH中其他的各个字段进行限定,其他的各个字段均可基于具体的应用场景进行设定与调整。
在一些实施例中,第一SRv6数据包的段列表字段中的功能字段中包括功能定义信息,功能定义信息用于指示目的节点,根据第一MD5值对第一SRv6数据包进行身份验证。
在一种可能的实施方式中,该段列表字段中可以包括Locator(位置标识)字段、Function(功能)字段以及变量(Arguments)字段。其中,该Locator字段即为该对应的节点的IPv6地址的前缀。Function字段中包括功能定义信息。而变量字段是可选的,例如可以包括安全数据处理参数等。
示例性地,功能定义信息可以如表1所示。其中,功能定义信息可以包括End.ST0、End.ST1、End.ST2以及End.ST3。例如,当第一SRv6数据包被发送到了节点A。该节点A可以读取节点A对应的功能定义信息,若其对应End.ST0,则节点A仅需要将该第一SRv6数据包进行转发。若其对应End.ST1,则节点A需要对第一SRv6数据包进行身份验证。若其对应End.ST2,则节点A需要将第一SRv6数据包进行解析。若其对应End.ST3,则节点A确定加密算法,并通过加密算法对相应的信息进行加密。示例性地,该加密算法可以通过上述变量字段中包括的安全数据处理参数进行确定。
表1
功能定义信息 说明
End.ST0 本节点不处理数据
End.ST1 本节点需要进行数据包身份验证
End.ST2 本节点需要进行数据包的解析
End.ST3 本节点需要确定加密算法
…… ……
S304,请求节点向目的节点发送第一SRv6数据包。
本公开实施例不对请求节点发送第一SRv6数据包的过程进行限定。例如,该请求节点可以直接向目的节点发送第一SRv6数据包。或者,请求节点可以通过至少一个中间节点来向该目的节点发送该第一SRv6数据包。此时,至少一个中间节点所对应的段列表字段中的功能定义信息可以为不处理数据,即表1所示的End.ST0。
S306,请求节点接收目的节点返回的第二SRv6数据包,第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息。
本公开实施例不对该第二密钥信息进行限定。在示例性实施例中,第二密钥信息可以为目的节点基于对应的段列表字段中的变量字段所包括的安全数据处理参数进行确定。
示例性地,该第二SRv6数据包的格式可以与第一SRv6数据包的格式相同。
S308,请求节点通过第一密钥信息对第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过第二密钥信息对第二SRv6数据包进行解密,得到目标数据。
在一些实施例中,第二SRv6数据包TLV字段中还包括通过目的节点的身份信息生成的第二MD5值。本公开实施例提供的数据传输方法还可包括:根据第二MD5值对第二SRv6数据包进行身份验证。
在该种情况下,通过第一密钥信息对第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过第二密钥信息对第二SRv6数据包进行解密,得到目标数据,可以包括:当第二SRv6数据包身份验证通过时,通过第一密钥信息对第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过第二密钥信息对第二SRv6数据包进行解密,得到目标数据。
在一些实施例中,该请求节点可以通过第二SRv6数据包确定该目的节点的身份信息,并且该请求节点可以对该目的节点的身份信息计算相应的MD5值。之后,请求节点可以将该计算得到的MD5值与第二MD5值进行对比,若一致,则说明该第二SRv6数据包的身份验证通过。反之,则不通过。
需要说明的是,该通过第二MD5值对第二SRv6数据包进行限定的过程也可以由请求节点与目的节点之间的中间节点来执行,本公开实施例不对此进行限定。
图6示出本公开实施例中一种数据传输方法流程图,如图6所示,本公开实施例中提供的数据传输方法包括如下步骤S601至S608。
S602,目的节点接收请求节点发送的第一SRv6数据包,第一SRv6数据包的TLV字段中包括第一密钥信息。
在示例性实施例中,该第一SRv6数据包的格式可以参见上述S302中的相关表述,此处不再赘述。
S604,目的节点根据第一SRv6数据包,查询得到目标数据。
示例性地,该第一SRv6数据包中可以包括目标数据对应的ID(Identification,标识)。在一些实施例中,该目的节点可以直接在目的节点中,根据目标数据对应的ID查询得到该目标数据。
或者,目的节点可以基于第一SRv6数据包中的段列表字段,将第一SRv6数据包发送到相应的数据库节点,该数据库节点可以通过目标数据对应的ID中查询得到目标数据。之后,数据库节点可以将该目标数据返回至目的节点。
在一些实施例中,第一SRv6数据包的TLV字段中还包括第一MD5值,本公开实施例提供的数据传输方法还可包括:根据第一MD5值对第一SRv6数据包进行身份验证。在该种情况下,根据第一SRv6数据包,查询得到目标数据,可以包括:当第一SRv6数据包身份验证通过时,根据第一SRv6数据包,查询得到目标数据。
在一些实施例中,目的节点可以对第一SRv6数据包进行解析,并基于第一SRv6数据包的段列表字段中的功能定义信息,确定需要对该第一SRv6数据包进行身份验证。
示例性地,该根据第一MD5值对第一SRv6数据包进行身份验证的方法可以与上述请求节点根据第二MD5值对第二SRv6数据包进行身份验证的方法相同。当目的节点对第一SRv6数据包身份验证通过后,该目的节点即可以查询目标数据,反之,则目的节点不对该第一SRv6数据包进行后续处理。
需要说明的是,该通过第一MD5值对第一SRv6数据包进行限定的过程也可以由请求节点与目的节点之间的中间节点来执行,本公开实施例不对此进行限定。
本公开实施例可以对TLV字段进行自定义,从而将用于身份验证的MD5值封装入相应的SRv6数据包中。因而请求节点可以将用于身份验证的第一MD5值、第一密钥消息以及目标数据的ID一起传输。而目的节点可以将用于身份验证的第二MD5值、根据第一密钥信息加密的第二密钥消息以及根据第二密钥信息加密后的目标数据一起传输。因此本公开实施例仅通过一次数据传输即可完成身份验证,在确保数据传输的安全性与可靠性的同时,提高了数据传输的效率。
在一些实施例中,第一SRv6数据包的TLV字段中还包括第一安全标签信息、第一安全级别信息,其中,第一安全标签信息用于指示第一SRv6数据包的TLV字段用于安全验证业务,第一安全级别信息用于指示请求节点的安全级别,方法还包括:当目的节点的安全级别高于请求节点,且第一SRv6数据包为加密数据包时,获取认证中心下发的第四密钥信息;根据第四密钥信息对第一SRv6数据包进行解密,得到第一密钥信息与第一MD5值。
在一些实施例中,认证中心可以下发用于对加密后的第一SRv6数据包进行解密的第四密钥信息。当目的节点获取加密后的第一SRv6数据包后,则可以通过该第四密钥信息对第一SRv6数据包中被第三密钥信息加密的第一密钥信息与第一MD5值进行解密。
S606,目的节点通过目的节点生成的第二密钥信息对目标数据进行加密,得到加密后的目标数据,通过第一密钥信息对第二密钥信息进行加密,得到加密后的第二密钥信息,并将加密后的目标数据与加密后的第二密钥信息封装于第二SRv6数据包。
在一些实施例中,该目的节点可以生成一个第二密钥信息,并通过第一SRv6数据包中的第一密钥信息对第二密钥信息进行加密。示例性地,该第二密钥信息可以基于第一SRv6数据包段列表字段中的变量字段中包括的安全数据处理参数进行确定。本公开实施例不对该第二密钥信息的类型进行限定。另外,该目的节点获取目标数据后,可以通过该第二密钥信息对目标数据进行加密,并将加密后的目标数据与加密后的第二密钥信息封装于第二SRv6数据包。
S608,目的节点将第二SRv6数据包返回请求节点。
示例性地,目的节点可以通过请求节点发送第一SRv6数据包的路径,来返回第二SRv6数据包。
本公开的实施例所提供的方法,对SRv6数据的TLV字段进行了自定义,从而将第一密钥信息封装在向目的节点请求目标数据的第一SRv6数据包的TLV字段中,该第一密钥信息用于对第二密钥信息进行加密。并且,在接收到目的节点返回的第二SRv6数据包后,可以通过第一密钥信息对加密后的第二密钥信息解密得到获取第二密钥信息,该加密后的第二密钥信息位于第二SRv6数据包的TLV字段中。之后即可以通过第二密钥信息解密得到目标数据。因此,本公开实施例可以进一步确保数据传输的安全性与可靠性。
在一些实施例中,一种数据传输方法的过程示意图可以如图7所示。
在图7中,可以令R1为请求节点,R2为中间节点,R3为目的节点,R4为数据库节点。其中,R1的IPv6地址为A1:11,R2的IPv6地址为A2:22,R3的IPv6地址为A3:33,R4的IPv6地址为A4:44。
示例性地,当R1需要对R4中的目标数据进行获取,R1则可以封装得到第一SRv6数据包,该第一SRv6数据包中包括目标数据的ID。并且,该第一SRv6数据包中的段列表字段可以包括SID为A4:44的Segment List[0],SID为A3:33的Segment List[1]以及SID为A2:22的Segment List[2]。并且,第一SRv6数据包的TLV字段可以如表2所示。其中,TLV字段中的安全标签字段、安全级别字段、身份信息字段以及密钥信息字段。该身份信息字段的内容可以为通过第三密钥信息加密后的第一MD5,而密钥信息字段的内容可以为通过第三密钥信息加密后的第一密钥信息。
表2
Figure BDA0003823367120000161
因而,R1可以以DA可以为A2:22,SA为A1:11发送第一SRv6数据包至R2。R2接收第一SRv6数据包后可以读取第一SRv6数据包的功能字段以确定R2对应的功能定义信息,示例性地,R2对应的功能定义信息可以为表1中的End.ST0。因此,R2可以直接以DA可以为A3:33,SA为A1:11发送第一SRv6数据包至R3。
示例性地,R3接收第一SRv6数据包后可以读取第一SRv6数据包的功能字段以确定R3对应的功能定义信息,示例性地,R3对应的功能定义信息可以为表1中的End.ST1。因此,R3可以以对第一SRv6数据包进行身份验证。并当身份验证通过后,以DA为A4:44,SA为A1:11发送第一SRv6数据包至R4。
示例性地,R4接收第一SRv6数据包后可以读取第一SRv6数据包的功能字段以确定R4对应的功能定义信息,例如,R4对应的功能定义信息可以为表1中的End.ST2。因而R4可以对第一SRv6数据包进行解析,得到目标数据的ID,根据目标数据的ID查询得到数据库中的目标数据。并将目标数据返回R3。
在一些实施例中,该返回目标数据的数据传输方法可以如图8所示。在图8中,R4可以将目标数据返回至R3。R3接收该目标数据,并将该目标数据进行封装得到第二SRv6数据包。在一种可能的实施方式中,该第二SRv6数据包的格式可以如表3所示。其中,TLV字段中的安全标签字段、安全级别字段、身份信息字段以及密钥信息字段。该身份信息字段的内容可以为第二MD5,而密钥信息字段的内容可以为通过第一密钥信息加密后的第二密钥信息。
表3
Figure BDA0003823367120000171
因而,R3可以以DA可以为A2:22,SA为A3:33发送第二SRv6数据包至R2。R2接收第二SRv6数据包后可以读取第二SRv6数据包的功能字段以确定R2对应的功能定义信息,示例性地,R2对应的功能定义信息可以为表1中的End.ST1。因此,R2可以以对第二SRv6数据包进行身份验证。并当身份验证通过后,R2可以以DA可以为A1:11,SA为A3:33发送第二SRv6数据包至R1。
示例性地,R1接收第二SRv6数据包后可以读取第二SRv6数据包的功能字段以确定R1对应的功能定义信息,示例性地,R1对应的功能定义信息可以为表1中的End.ST2。因此,R1可以通过第一密钥信息对第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过第二密钥信息对第二SRv6数据包进行解密,得到目标数据。
在一些实施例中,一种可能的数据传输系统可以如图9所示。
在图9中,任一节点(或称网络设备)可以包括网络通信接口、SRv6数据包封装与解析模块、MD5值计算模块、密钥信息生成模块以及密钥信息加解密模块。
其中,SRv6数据包封装模块可以用于根据本公开实施例提供的TLV字段格式以及对应的功能定义信息,对SRv6数据包对应进行封装或解析。网络通信接口用于对SRv6数据包进行发送与接收。密钥信息生成模块可以用于生成对称密钥或非对称密钥等密钥参数,并将该密钥参数作为第一密钥信息或第二密钥信息。密钥信息加解密模块可以用于根据第一密钥信息对相应数据进行加密操作,也可根据第二密钥信息对收到的报文中的加密部分进行解密,该密钥信息加解密模块以计算资源为主。MD5值计算模块可以用于计算相应节点的MD5值,因MD5值具有唯一性,因此可用于身份认证。
基于同一发明构思,本公开实施例中还提供了一种数据传输装置,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图10示出本公开实施例中一种数据传输装置示意图,如图10所示,该装置包括:
第一SRv6数据包封装模块1001,用于将该请求节点生成的第一密钥信息封装在第一SRv6数据包的TLV字段中,该第一SRv6数据包用于向目的节点请求目标数据;
第一SRv6数据包发送模块1002,用于向该目的节点发送该第一SRv6数据包;
第二SRv6数据包接收模块1003,用于接收该目的节点返回的第二SRv6数据包,该第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,该第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息;
目标数据获取模块1004,用于通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据。
在本公开的一些实施例中,第一SRv6数据包封装模块1001,还用于根据该请求节点的身份信息生成第一MD5值,该第一MD5值用于目的节点对该第一SRv6数据包进行身份验证;将该第一MD5值封装在该第一SRv6数据包的TLV字段中。
在本公开的一些实施例中,第二SRv6数据包TLV字段中还包括通过该目的节点的身份信息生成的第二MD5值,该装置还包括:第二SRv6数据包验证模块,用于根据该第二MD5值对该第二SRv6数据包进行身份验证;目标数据获取模块1004,用于当该第二SRv6数据包身份验证通过时,通过该第一密钥信息对该第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过该第二密钥信息对该第二SRv6数据包进行解密,得到目标数据。
在本公开的一些实施例中,第一SRv6数据包封装模块1001,还用于将第一安全标签信息、第一安全级别信息封装在该第一SRv6数据包的TLV字段中,其中,该第一安全标签信息用于指示该第一SRv6数据包的TLV字段用于安全验证业务,该第一安全级别信息用于指示该请求节点的安全级别。
在本公开的一些实施例中,目的节点的安全级别高于该请求节点,该装置还包括:第一SRv6数据包加密模块,用于获取认证中心下发的第三密钥信息;根据该第三密钥信息对该第一SRv6数据包中的该第一密钥信息与该第一MD5值进行加密,得到加密后的第一SRv6数据包;
第一SRv6数据包发送模块1002,用于向该目的节点发送该加密后的第一SRv6数据包。
在本公开的一些实施例中,该第一SRv6数据包的段列表字段中的功能字段中包括功能定义信息,该功能定义信息用于指示该目的节点,根据该第一MD5值对该第一SRv6数据包进行身份验证。
图11示出本公开实施例中一种数据传输装置示意图,如图11所示,该装置包括:
第一SRv6数据包接收模块1101,用于接收请求节点发送的第一SRv6数据包,该第一SRv6数据包的TLV字段中包括第一密钥信息;
目标数据获取模块1102,用于根据该第一SRv6数据包,查询得到目标数据;
第二SRv6数据包封装模块1103,用于通过该目的节点生成的第二密钥信息对该目标数据进行加密,得到加密后的目标数据,通过第一密钥信息对该第二密钥信息进行加密,得到加密后的第二密钥信息,并将该加密后的目标数据与该加密后的第二密钥信息封装于第二SRv6数据包;
第二SRv6数据包发送模块1104,用于将该第二SRv6数据包返回该请求节点。
在本公开的一些实施例中,第一SRv6数据包的TLV字段中还包括第一MD5值,该装置还包括:第一SRv6数据包验证模块,用于根据该第一MD5值对该第一SRv6数据包进行身份验证;
目标数据获取模块1102,用于当该第一SRv6数据包身份验证通过时,根据该第一SRv6数据包,查询得到目标数据。
在本公开的一些实施例中,该第一SRv6数据包的TLV字段中还包括第一安全标签信息、第一安全级别信息,其中,该第一安全标签信息用于指示该第一SRv6数据包的TLV字段用于安全验证业务,该第一安全级别信息用于指示该请求节点的安全级别,该装置还包括:第一SRv6数据包解密模块,用于当该目的节点的安全级别高于该请求节点,且该第一SRv6数据包为加密数据包时,获取认证中心下发的第四密钥信息;根据该第四密钥信息对该第一SRv6数据包进行解密,得到该第一密钥信息与该第一MD5值。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
本公开的实施例所提供的装置,对SRv6数据的TLV字段进行了自定义,从而将第一密钥信息封装在向目的节点请求目标数据的第一SRv6数据包的TLV字段中,该第一密钥信息用于对第二密钥信息进行加密。并且,在接收到目的节点返回的第二SRv6数据包后,可以通过第一密钥信息对加密后的第二密钥信息解密得到获取第二密钥信息,该加密后的第二密钥信息位于第二SRv6数据包的TLV字段中。之后即可以通过第二密钥信息解密得到目标数据。因此,本公开实施例可以进一步确保数据传输的安全性与可靠性。
下面参照图12来描述根据本公开的这种实施方式的电子设备1200。图12显示的电子设备1200仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图12所示,电子设备1200以通用计算设备的形式表现。电子设备1200的组件可以包括但不限于:上述至少一个处理单元1210、上述至少一个存储单元1220、连接不同系统组件(包括存储单元1220和处理单元1210)的总线1230。
其中,该存储单元存储有程序代码,该程序代码可以被该处理单元1210执行,使得该处理单元1210执行本说明书上述“具体实施方式”部分中描述的根据本公开各种示例性实施方式的步骤。
存储单元1220可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)12201和/或高速缓存存储单元12202,还可以进一步包括只读存储单元(ROM)12203。
存储单元1220还可以包括具有一组(至少一个)程序模块12205的程序/实用工具12204,这样的程序模块12205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1230可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1200也可以与一个或多个外部设备1240(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1200交互的设备通信,和/或与使得该电子设备1200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1250进行。并且,电子设备1200还可以通过网络适配器1260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1260通过总线1230与电子设备1200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当该程序产品在终端设备上运行时,该程序代码用于使该终端设备执行本说明书上述“具体实施方式”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围由所附的权利要求指出。

Claims (13)

1.一种数据传输方法,其特征在于,由请求节点执行,包括:
将所述请求节点生成的第一密钥信息封装在第一SRv6数据包的类型长度值TLV字段中,所述第一SRv6数据包用于向目的节点请求目标数据;
向所述目的节点发送所述第一SRv6数据包;
接收所述目的节点返回的第二SRv6数据包,所述第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,所述第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息;
通过所述第一密钥信息对所述第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过所述第二密钥信息对所述第二SRv6数据包进行解密,得到目标数据。
2.根据权利要求1所述的数据传输方法,其特征在于,所述向所述目的节点发送所述第一SRv6数据包之前,所述方法还包括:
根据所述请求节点的身份信息生成第一MD5值,所述第一MD5值用于目的节点对所述第一SRv6数据包进行身份验证;
将所述第一MD5值封装在所述第一SRv6数据包的TLV字段中。
3.根据权利要求2所述的数据传输方法,其特征在于,所述第二SRv6数据包TLV字段中还包括通过所述目的节点的身份信息生成的第二MD5值,所述方法还包括:
根据所述第二MD5值对所述第二SRv6数据包进行身份验证;
所述通过所述第一密钥信息对所述第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过所述第二密钥信息对所述第二SRv6数据包进行解密,得到目标数据,包括:
当所述第二SRv6数据包身份验证通过时,通过所述第一密钥信息对所述第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过所述第二密钥信息对所述第二SRv6数据包进行解密,得到目标数据。
4.根据权利要求2所述的数据传输方法,其特征在于,所述方法还包括:
将第一安全标签信息、第一安全级别信息封装在所述第一SRv6数据包的TLV字段中,其中,所述第一安全标签信息用于指示所述第一SRv6数据包的TLV字段用于安全验证业务,所述第一安全级别信息用于指示所述请求节点的安全级别。
5.根据权利要求4所述的数据传输方法,其特征在于,所述目的节点的安全级别高于所述请求节点,所述方法还包括:
获取认证中心下发的第三密钥信息;
根据所述第三密钥信息对所述第一SRv6数据包中的所述第一密钥信息与所述第一MD5值进行加密,得到加密后的第一SRv6数据包;
所述向所述目的节点发送所述第一SRv6数据,包括:
向所述目的节点发送所述加密后的第一SRv6数据包。
6.根据权利要求5所述的数据传输方法,其特征在于,所述第一SRv6数据包的段列表字段中的功能字段中包括功能定义信息,所述功能定义信息用于指示所述目的节点,根据所述第一MD5值对所述第一SRv6数据包进行身份验证。
7.一种数据传输方法,其特征在于,由目的节点执行,包括:
接收请求节点发送的第一SRv6数据包,所述第一SRv6数据包的类型长度值TLV字段中包括第一密钥信息;
根据所述第一SRv6数据包,查询得到目标数据;
通过所述目的节点生成的第二密钥信息对所述目标数据进行加密,得到加密后的目标数据,通过第一密钥信息对所述第二密钥信息进行加密,得到加密后的第二密钥信息,并将所述加密后的目标数据与所述加密后的第二密钥信息封装于第二SRv6数据包;
将所述第二SRv6数据包返回所述请求节点。
8.根据权利要求7所述的数据传输方法,其特征在于,所述第一SRv6数据包的TLV字段中还包括第一MD5值,所述方法还包括:
根据所述第一MD5值对所述第一SRv6数据包进行身份验证;
所述根据所述第一SRv6数据包,查询得到目标数据,包括:
当所述第一SRv6数据包身份验证通过时,根据所述第一SRv6数据包,查询得到目标数据。
9.根据权利要求8所述的数据传输方法,其特征在于,所述第一SRv6数据包的TLV字段中还包括第一安全标签信息、第一安全级别信息,其中,所述第一安全标签信息用于指示所述第一SRv6数据包的TLV字段用于安全验证业务,所述第一安全级别信息用于指示所述请求节点的安全级别,所述方法还包括:
当所述目的节点的安全级别高于所述请求节点,且所述第一SRv6数据包为加密数据包时,获取认证中心下发的第四密钥信息;
根据所述第四密钥信息对所述第一SRv6数据包进行解密,得到所述第一密钥信息与所述第一MD5值。
10.一种数据传输装置,其特征在于,应用于请求节点,包括:
第一SRv6数据包封装模块,用于将所述请求节点生成的第一密钥信息封装在第一SRv6数据包的类型长度值TLV字段中,所述第一SRv6数据包用于向目的节点请求目标数据;
第一SRv6数据包发送模块,用于向所述目的节点发送所述第一SRv6数据包;
第二SRv6数据包接收模块,用于接收所述目的节点返回的第二SRv6数据包,所述第二SRv6数据包包括通过第二密钥信息进行加密的目标数据,所述第二SRv6数据包的TLV字段中包括通过第一密钥信息进行加密的第二密钥信息;
目标数据获取模块,用于通过所述第一密钥信息对所述第二SRv6数据包的TLV字段进行解密,得到第二密钥信息,通过所述第二密钥信息对所述第二SRv6数据包进行解密,得到目标数据。
11.一种数据传输装置,其特征在于,应用于目的节点,包括:
第一SRv6数据包接收模块,用于接收请求节点发送的第一SRv6数据包,所述第一SRv6数据包的类型长度值TLV字段中包括第一密钥信息;
目标数据获取模块,用于根据所述第一SRv6数据包,查询得到目标数据;
第二SRv6数据包封装模块,用于通过所述目的节点生成的第二密钥信息对所述目标数据进行加密,得到加密后的目标数据,通过第一密钥信息对所述第二密钥信息进行加密,得到加密后的第二密钥信息,并将所述加密后的目标数据与所述加密后的第二密钥信息封装于第二SRv6数据包;
第二SRv6数据包发送模块,用于将所述第二SRv6数据包返回所述请求节点。
12.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~9中任意一项所述数据传输方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~9中任意一项所述的数据传输方法。
CN202211049857.3A 2022-08-30 2022-08-30 数据传输方法、装置、电子设备及存储介质 Pending CN115412240A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211049857.3A CN115412240A (zh) 2022-08-30 2022-08-30 数据传输方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211049857.3A CN115412240A (zh) 2022-08-30 2022-08-30 数据传输方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115412240A true CN115412240A (zh) 2022-11-29

Family

ID=84164134

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211049857.3A Pending CN115412240A (zh) 2022-08-30 2022-08-30 数据传输方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115412240A (zh)

Similar Documents

Publication Publication Date Title
JP4061288B2 (ja) Webサービス・システム、リクエスタ、soapメッセージ用中間処理装置、リクエスタのリクエスト用soapメッセージ処理方法、リクエスタのレスポンス用soapメッセージ処理方法、soapメッセージ用中間処理装置のリクエスト用soapメッセージ処理方法、soapメッセージ用中間処理装置のレスポンス用soapメッセージ処理方法、及びプログラム
CN111131278B (zh) 数据处理方法及装置、计算机存储介质、电子设备
HU223910B1 (hu) Eljárás információadat továbbítására küldőtől fogadóhoz átkódolón keresztül, eljárás információadat átkódolására, eljárás átkódolt információadat fogadására, küldő, fogadó és átkódoló
CN109194669B (zh) 一种轻量级节点的数据传输方法、装置、设备和介质
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN111600914B (zh) 一种数据传输方法、服务端和客户端
CN110620762A (zh) 基于rdma的数据传输方法、网卡、服务器及介质
CN115333839B (zh) 数据安全传输方法、系统、设备及存储介质
CN108769743B (zh) 一种视频播放控制方法、系统、节点和计算机存储介质
CN112689014A (zh) 一种双全工通信方法、装置、计算机设备和存储介质
CN115296818A (zh) 认证方法及装置、存储介质及电子设备
CN113613227B (zh) 蓝牙设备的数据传输方法和装置、存储介质及电子装置
CN112689003A (zh) 服务请求转发方法、装置、设备及存储介质
CN115589316B (zh) 一种数据加密传输方法、装置、电子设备及存储介质
CN114840739B (zh) 信息检索方法、装置、电子设备及存储介质
US9071596B2 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
CN113784354B (zh) 基于网关的请求转换方法和装置
CN113992734A (zh) 会话连接方法及装置、设备
CN115412240A (zh) 数据传输方法、装置、电子设备及存储介质
CN116830525A (zh) 数据传输方法、装置、系统、电子设备及可读介质
CN114428973A (zh) 去标识化的信息传输方法、装置、设备和计算机可读介质
CN113489723A (zh) 数据传输方法、系统、计算机设备及存储介质
CN111404901A (zh) 信息验证方法及装置
CN114828140B (zh) 业务流量报文转发方法及装置、存储介质及电子设备
CN115801656B (zh) 基于加解密的SRv6路径认证方法、节点、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination