CN115801656A - 基于加解密的SRv6路径认证方法、节点、系统、设备及介质 - Google Patents
基于加解密的SRv6路径认证方法、节点、系统、设备及介质 Download PDFInfo
- Publication number
- CN115801656A CN115801656A CN202211357941.1A CN202211357941A CN115801656A CN 115801656 A CN115801656 A CN 115801656A CN 202211357941 A CN202211357941 A CN 202211357941A CN 115801656 A CN115801656 A CN 115801656A
- Authority
- CN
- China
- Prior art keywords
- node
- authentication
- ciphertext
- sid
- receiving node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 103
- 238000003825 pressing Methods 0.000 claims abstract description 24
- 230000006870 function Effects 0.000 claims description 109
- 238000003860 storage Methods 0.000 claims description 21
- 241000465502 Tobacco latent virus Species 0.000 claims description 16
- 238000013075 data extraction Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 238000005538 encapsulation Methods 0.000 description 5
- 238000005242 forging Methods 0.000 description 4
- 230000018109 developmental process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 101150093826 par1 gene Proteins 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种基于加解密的SRv6路径认证方法、节点、系统、设备及介质,涉及通信技术领域。该方法包括:根据发送节点的加密密钥对各个SR节点的认证明文进行加密,得到各个SR节点的认证密文,将各个SR节点的认证密文压入SRH头部的SID中;提取接收节点的SID中的Locator字段和功能字段;根据发送节点的加密密钥加密接收节点的功能字段,得到功能字段密文,将接收节点的功能字段密文与Locator字段合并得到SID密文,将SID密文压入IPv6头部,SRv6数据包封装完毕转发至接收节点,以使接收节点根据认证密文以及SID密文实现节点认证,本公开能够有效防止潜在攻击方伪造SRv6数据包,提升系统安全性。
Description
技术领域
本公开涉及涉及通信技术领域,尤其涉及一种基于加解密的SRv6路径认证方法、接收节点、发送节点、基于加解密的SRv6路径认证系统、电子设备及计算机可读存储介质。
背景技术
5G与云网融合时代,以人工智能、物联网、工业互联网等为代表的新技术持续加速发展,传统IP网络“尽力而为”的网络服务模式已难以满足新业务发展需求,提供智能化、差异化的高品质服务保障成为网络发展的重点。SRv6技术与SDN技术融合支持网络可编程,通过简化网络部署进一步赋能产业链,为以IPv6为基础的网络“新基建”注入新动力,推进IPv6+产业加速发展。
SRv6是以源路由技术为基础、基于IPv6扩展头实现的标签转发技术。SRv6通过新定义路由扩展头实现报文转发路径的显示封装。基于源路由的分段路由SRv6协议提供了一种高效灵活的管控手段,具有部署简单、灵活扩展的特点,可以更好的实现流量调度和路径优化,并大幅度提升网络带宽的利用率,同时,在众多行业中,可以利用SRv6协议的可编程、可定制的传输路径的特点实现业务需要,SRV6协议使网络更加简化,并具有良好的可扩展性。
SRv6协议通过在报文头SRH中插入有顺序的段列表(Segment List),以指导转发设备按照指定的转发路径进行报文转发。SRv6数据包在转发路径中,经由多个网络设备,现在网络节点中,广泛部署DPI设备对往来的数据包进行分析,而SRH头中Segment List清楚标记了所有转发节点的功能要求及参数,这些信息通常是透明的,同时潜在的攻击者可以伪造SRv6的数据包给接收者,存在安全隐患。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种基于加解密的SRv6路径认证方法、系统、设备及介质,至少在一定程度上克服相关技术中SRv6转发数据包存在安全隐患的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供了一种基于加解密的SRv6路径认证方法,应用于发送节点,所述方法包括:根据所述发送节点的加密密钥加密预设转发路径中所述各个分段路由SR节点的认证明文,得到所述各个SR节点的认证密文,将所述各个SR节点的认证密文压入SRH头部的段列表SID中,其中,所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到;提取接收节点的SID中的Locator字段和功能字段,其中,所述接收节点为所述发送节点的下一跳SR节点;根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文;将所述SID密文压入IPv6头部,SRv6数据包封装完毕转发至所述接收节点,以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证。
在本公开的一个实施例中,在所述根据所述发送节点的加密密钥加密预设转发路径中所述各个分段路由SR节点的认证明文,得到所述各个SR节点的认证密文之前,包括:生成种子密钥,根据所述种子密钥与所述发送节点的预配置密钥,得到所述发送节点的加密密钥。
在本公开的一个实施例中,在所述生成种子密钥之后,所述方法还包括:将所述种子密钥压入所述发送节点的SRH头部的可选TLVs字段中。
在本公开的一个实施例中,在所述生成种子密钥之前,所述方法还包括:构建节点配置表,其中,所述节点配置表包括各个SR节点与预配置密钥和节点认证参数之间的对应关系;将所述节点配置表预先存储于所述各个SR节点。
在本公开的一个实施例中,所述各个SR节点的认证明文通过以下方式得到:对所述各个SR节点的SID与所述发送节点的节点认证参数进行异或操作,得到所述各个SR节点的认证明文。
在本公开的一个实施例中,所述根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,包括:通过所述加密密钥对所述接收节点的功能字段进行RC4流加密算法的加密操作,得到所述接收节点的功能字段密文,其中,所述功能字段密文和所述功能字段的长度相同。
在本公开的一个实施例中,所述将所述SID密文压入IPv6头部,包括:将所述SID密文压入IPv6头部的目标地址段。
根据本公开的另一个方面,还提供了一种基于加解密的SRv6路径认证方法,应用于接收节点,所述方法包括:在发送节点下发的SRv6数据包中IPv6头部提取所述接收节点的SID密文,所述SID密文包括未加密Locator字段和功能字段密文;根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段,将所述功能字段与所述未加密Locator字段合并,得到所述接收节点的SID;提取所述SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;根据所述接收节点的解密密钥解密所述接收节点的认证密文,得到所述接收节点的认证明文,根据所述接收节点的节点认证参数和所述认证明文,得到所述接收节点的待验证SID;比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果。
在本公开的一个实施例中,所述方法还包括:提取所述SRH头部的可选TLVs字段的值,得到种子密钥;根据所述种子密钥和所述接收节点的预配置密钥,生成所述接收节点的解密密钥。
在本公开的一个实施例中,在所述根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段之前,所述方法还包括:基于所述接收节点预先存储的节点配置表和所述未加密Locator字段,查询与所述接收节点匹配的预配置密钥和节点认证参数;若无法查询到与所述接收节点匹配的预配置密钥和节点认证参数,则对所述发送节点认证失败,结束转发;若查询到与所述接收节点匹配的预配置密钥和节点认证参数,则执行所述根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段的操作。
在本公开的一个实施例中,所述比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果,包括:若所述接收节点的SID和所述待验证SID一致,则对所述接收节点认证成功,转发至下一跳SR接收节点继续进行认证;若所述接收节点的SID和所述待验证SID不一致,则对所述发送节点认证失败,结束转发。
根据本公开的另一个方面,还提供了一种发送节点,包括:第一加密模块,用于根据所述发送节点的加密密钥对预设转发路径中所述各个SR节点的认证明文进行加密,得到所述各个SR节点的认证密文,将所述各个SR节点的认证密文压入SRH头部的段列表SID中,其中,所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到;字段提取模块,用于提取接收节点的SID中的Locator字段和功能字段,其中,所述接收节点为所述发送节点的下一跳SR节点;第二加密模块,用于根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文;数据下发模块,用于将所述SID密文压入IPv6头部,SRv6数据包封装完毕转发至所述接收节点,以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证。
根据本公开的另一个方面,还提供了一种接收节点,包括:数据提取模块,用于在发送节点下发的SRv6数据包中IPv6头部提取所述接收节点的SID密文,所述SID密文包括未加密Locator字段和功能字段密文;第一解密模块,用于根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段,将所述功能字段与所述未加密Locator字段合并,得到所述接收节点的SID;所述数据提取模块,还用于提取所述SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;第二解密模块,用于根据所述接收节点的解密密钥解密所述接收节点的认证密文,得到所述接收节点的认证明文,根据所述接收节点的节点认证参数和所述认证明文,得到所述接收节点的待验证SID;节点认证模块,用于比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果。
根据本公开的另一个方面,还提供了一种基于加解密的SRv6路径认证系统,包括发送节点和接收节点,其中,所述发送节点,用于根据所述发送节点的加密密钥对预设转发路径中所述各个分段路由SR节点的认证明文进行加密,得到所述各个SR节点的认证密文,将所述各个SR节点的认证密文压入SRH头部的段列表SID中,其中,所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到;提取接收节点的SID中的Locator字段和功能字段,其中,所述接收节点为所述发送节点的下一跳SR节点;根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文;将所述SID密文压入IPv6头部,SRv6数据包封装完毕转发至所述接收节点,以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证;所述接收节点,用于在发送节点下发的SRv6数据包中IPv6头部提取所述接收节点的SID密文,所述SID密文包括未加密Locator字段和功能字段密文;根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段,将所述功能字段与所述未加密Locator字段合并,得到所述接收节点的SID;提取所述SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;根据所述接收节点的解密密钥解密所述接收节点的认证密文,得到所述接收节点的认证明文,根据所述接收节点的节点认证参数和所述认证明文,得到所述接收节点的待验证SID;比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果。
根据本公开的另一个方面,还提供了一种电子设备,包括处理器以及存储器,存储器用于存储所述处理器的可执行指令,其中,所述处理器配置为经由执行所述可执行指令来执行上述的基于加解密的SRv6路径认证方法。
根据本公开的另一个方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的基于加解密的SRv6路径认证方法。
根据本公开的另一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述的基于加解密的SRv6路径认证方法。
本公开的实施例所提供的基于加解密的SRv6路径认证方法、节点、系统、设备及介质,发送节点采用加密密钥对各个SR节点的认证明文进行加密,得到各个SR节点的认证密文,并压入SID中,通过该发送节点的加密密钥加密对应的接收节点的功能字段,得到功能字段密文,并将功能字段密文与Locator字段合并,得到SID密文,并压入IPv6头部的目的地址段,完成SRv6数据包封装并转发至对应的接收节点,使接收节点可以根据认证密文和SID密文实现节点认证,在对功能参数加密保护的基础上,对发送节点认证,有效防止潜在攻击方伪造SRv6数据包,提升系统安全性,在网络转发层即可实现对SRv6数据包的安全防护,该方法能够在结构简单的网卡ASIC资源中实现,避免处理数据包造成额外的转发时延。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中提供的一种SRv6数据包结构示意图;
图2示出本公开实施例中提供的一种应用于发送节点的基于加解密的SRv6路径认证方法流程图;
图3示出本公开实施例中提供的又一种基于加解密的SRv6路径认证方法流程图;
图4示出本公开实施例中提供的生成认证密文的流程图;
图5示出本公开实施例中提供的生成SID密文的流程图;
图6示出本公开实施例中提供的一种应用于接收节点的基于加解密的SRv6路径认证方法流程图;
图7示出本公开实施例中提供的一种基于加解密的SRv6路径认证方法的具体示例流程图;
图8示出本公开实施例中提供的另一种基于加解密的SRv6路径认证方法具体示例流程图;
图9示出本公开实施例中提供的又一种基于加解密的SRv6路径认证方法具体示例流程图;
图10示出本公开实施例中提供的发送节点结构示意图;
图11示出本公开实施例中提供的接收节点结构示意图;
图12示出本公开实施例中提供的基于加解密的SRv6路径认证系统示意图;
图13示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
为便于理解,在介绍本公开实施例之前,首先对本公开实施例中涉及到的几个名词进行解释如下:
SRv6:Segment Routing IPv6,基于IPv6转发平面的Locator路由,是基于源路由理念而设计的在网络上转发IPv6数据包的一种协议。
SID:Segment ID,段标识,用于标识SRv6中的每个Segment;SID是一种特殊的IPv6地址,既有普通IPv6地址的路由能力,又有SRv6特有的行为能力。SID一般包括Locator和Function两部分。前者可变长,具有定位功能,可路由可聚合,一般要求在SRv6域内唯一。可选的,SID还包括Args。
TLV:Type-Length-Value,T字段表示报文类型,L字段表示报文长度、V字段往往用来存放报文内容。SRv6数据包在网络中传送时,需要在转发面封装一些非规则的信息,可通过SRH中TLV的灵活组合来完成,即应用可编辑。
SRv6数据包的包头是在原IPv6头部后增加了一个SRH头部。如图1所示,SRv6数据结构的前部是IPv6头部(IPv6 Header),后部是SRH头部(SR Header),其中,SRH头部用于进行Segment的编程组合形成SRv6路径。
SRH头部中,Segment List的字段中是一系列的SID,SID定制了IPv6数据包的转发路径中的每一个转发设备,即每一个中间节点。在SRv6中,通过段列表(Segment List)指定一条SRv6路径,一条SRv6路径包括多个Segment,通过SID标识每个Segment,SID是一种特殊的IPv6地址,段列表也称为段标识(Segment Identification,SID)。SID一般包括路由信息的Locator以及功能要求的Function字段和Args字段。其中,Locator用于标识SRv6节点;Function字段和Args字段指定接收端对数据包的处理以及参数,SID中的Function和Args字段可编程,不参与数据包的路由。
如图1所示,具体地:IPv6 Header:IPv6头部,包括IPv6源地址(Source Address)和IPv6目的地址(Destination Address);
Next Header:下一个头部,长度为8bit,定义头部协议类型;
Hdr Ext Len:长度为8bit,用于描述SRH基本头部的长度;
Type:路由头部类型,SRv6中Type=4;
Segment Left:分段剩余量,表示剩余段的数量,在每个段被处理后,值减1;
Last Entry:最后入口,指示段列表中的最后一个段;
Flags:标记,长度为8bit;
Tag:用于表示该数据包属于的类型或组;
Segment List[n]:长度为128bit的IPv6地址,用于表示段列表中的第n个段;
Optional TLVs:可选TLVs字段,描述类型、长度和值;
Data Payload:数据负载,或称报文负荷。
在SRv6数据包的转发路径中,通常包括起始节点、一个或多个中间节点、以及结束节点,其中,中间节点的数量可以根据实际情况而定。
需要说明的是,本公开实施例中各个SR节点之间通过提供通信链路的介质进行数据传输,通信链路可以是有线网络,也可以是无线网络。
可选地,上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(Hyper Text Mark-up Language,HTML)、可扩展标记语言(ExtensibleMarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(InternetProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
在相关技术中,通过广泛部署的深度报文检测(Deep Packet Inspection,DPI)设备对往来的SPv6数据包进行分析,而SRH头部中的Segment List清楚标记了所有转发节点的功能要求及相关参数,上述信息通常是透明的,潜在的功能者可以伪造SRv6数据包发送至接收节点,对于安全要求较高的场景和应用存在安全隐患。例如,自动驾驶领域、家庭智能控制领域、金融领域和物流领域等。
基于此,本公开提供了一种基于加解密的SRv6路径认证方法,发送节点采用加密密钥对各个SR节点的认证明文进行加密,得到各个SR节点的认证密文,并压入SID中,通过该发送节点的加密密钥加密对应的接收节点的功能字段,得到功能字段密文,并将功能字段密文与Locator字段合并,得到SID密文,并压入IPv6头部的目的地址段,完成SRv6数据包封装并转发至对应的接收节点,使接收节点可以根据认证密文和SID密文实现节点认证,在对功能参数加密保护的基础上,对发送节点认证,有效防止潜在攻击方伪造SRv6数据包,提升系统安全性,在网络转发层即可实现对SRv6数据包的安全防护,该方法能够在结构简单的网卡ASIC资源中实现,避免处理数据包造成额外的转发时延。
在上述系统架构下,本公开实施例中提供了一种基于加解密的SRv6路径认证方法,该方法可以由任意具备计算处理能力的电子设备执行。
在一些实施例中,本公开实施例中提供的基于加解密的SRv6路径认证方法可以由上述的起始节点执行;在另一些实施例中,本公开实施例中提供的基于加解密的SRv6路径认证方法可以由与上述结束节点执行;在其他的实施例中,本公开实施例中提供的基于加解密的SRv6路径认证方法还可以由上述的与起始节点连接的其他设备执行。
图2示出本公开实施例中一种应用于起始算力节点的基于加解密的SRv6路径认证方法流程图。如图2所示,本公开实施例中提供的基于加解密的SRv6路径认证方法,应用于发送节点,包括如下步骤:
S202、根据发送节点的加密密钥加密预设转发路径中各个分段路由SR节点的认证明文,得到各个SR节点的认证密文,将各个SR节点的认证密文压入SRH头部的段列表SID中,其中,各个SR节点的认证明文根据各个SR节点的SID与发送节点的节点认证参数得到。
转发路径可以根据网络拓扑关系预先设定,在网络拓扑关系中的分段路由(Segment Routing,SR)节点包括起始节点、至少一个中间节点、以及结束节点,其中,中间节点也可根据实际情况增减,从而根据中间节点的增减修正转发路径。
上述的发送节点可以包括起始节点、至少一个中间节点,发送节点为向下一跳SR节点发送SRv6数据包的节点,即数据发送方。与发送节点相对的,SR节点还可以包括接收节点,接收节点可以包括至少一个中间节点、或者结束节点,接收节点为接收上一发送节点发送的SRv6数据包的节点,即数据接收方。
在一个实施例中,发送节点的加密密钥用于对各个SR节点的认证明文进行加密处理,得到SR节点的认证密文,对数据包加密的方式可以采用可逆加密、非对称加密、或者混合加密等方式。
上述的各个SR节点的认证明文可以根据各个SR节点的SID与发送节点的节点认证参数得到,具体通过以下方式得到:对各个SR节点的SID与发送节点的节点认证参数进行异或操作,得到各个SR节点的认证明文。
在一些实施例中,可以预先构建节点配置表,节点配置表中包括各个SR节点与节点认证参数之间的对应关系,从而使发送节点能够方便、快速地查找节点配置表,从而确定该发送节点的节点认证参数,以根据查找得到的节点认证参数与各个SR节点的SID进行异或操作,得到各个SR节点的认证明文。
示例性的,在节点配置表中,各个SR节点可以采用节点标识、SR设备的Loctor标识等方式描述。需要说明的是,节点配置表可以预先存储于各个SR节点的配置数据库中,通过设置配置数据库,能够持久保存各个发送节点的关键信息数据。
S204、提取接收节点的SID中的Locator字段和功能字段,其中,接收节点为发送节点的下一跳SR节点。
在接收节点的SID中包括Locator字段和功能字段。其中,Locator字段是设备的网络地址,是路由转发的一句,作为该SR设备的标识,通过Locator字段的内容能够识别定位SR设备;功能字段包括Function字段和Args字段,用于指定接收节点对数据包的处理以及参数。
在SRv6数据包转发过程中,为了保证在全部路径转发过程中均实现节点认证和提升安全性,需要在SRv6数据包每一跳均安全可靠,故与发送节点相对的接收节点定义为该发送节点的下一跳SR节点。
S206、根据发送节点的加密密钥加密接收节点的功能字段,得到接收节点的功能字段密文,将接收节点的功能字段密文与Locator字段合并得到SID密文。
在一个实施例中,上述的根据发送节点的加密密钥加密接收节点的功能字段,得到接收节点的功能字段密文,包括:通过加密密钥对接收节点的功能字段进行RC4流加密算法的加密操作,得到接收节点的功能字段密文,其中,功能字段密文和功能字段的长度相同。
示例性的,采用发送节点的加密密钥对接收节点的功能字段(Function字段和Args字段)的内容进行RC4流加密算法的加密操作,形成接收节点的功能字段密文,RC4流加密后的功能字段密文内容与功能字段的长度一致,同时,Locator字段内容是用于路由转发的,未对Locator字段内容加密,从而保证SRv6数据包的正常转发。
在得到接收节点的功能字段密文的情况下,对接收节点的功能字段密文与Locator字段合并,得到SID密文,在SID密文中,Locator字段内容与接收节点的原始SID中的Locator字段内容相同,使SRv6数据包能够正常转发,而功能字段进行加密,在转发过程中,消除安全隐患,提升安全性和可靠性。
S208、将SID密文压入IPv6头部,SRv6数据包封装完毕转发至接收节点,以使接收节点根据认证密文以及SID密文实现节点认证。
在一个实施例中,将SID密文压入IPv6头部的目的地址段内,将认证码密文压入SRH头部的SID内,从而完成SRv6数据包的封装,可以转发至下一跳SR节点,接收节点对接收到的SRv6数据包进行解析,进而实现节点认证。
本公开实施例提供的一种基于加解密的SRv6路径认证方法,发送节点采用加密密钥对各个SR节点的认证明文进行加密,得到各个SR节点的认证密文,并压入SID中,通过该发送节点的加密密钥加密对应的接收节点的功能字段,得到功能字段密文,并将功能字段密文与Locator字段合并,得到SID密文,并压入IPv6头部的目的地址段,完成SRv6数据包封装并转发至对应的接收节点,使接收节点可以根据认证密文和SID密文实现节点认证,在对功能参数加密保护的基础上,对发送节点认证,有效防止潜在攻击方伪造SRv6数据包,提升系统安全性,在网络转发层即可实现对SRv6数据包的安全防护,该方法能够在结构简单的网卡ASIC资源中实现,避免处理数据包造成额外的转发时延。
图3示出本公开实施例提供的又一种基于加解密的SRv6路径认证方法流程图。在图2实施例的基础上,在S202之前增加S201,以确定发送节点的加密密钥。如图3所示,本实施例的基于加解密的SRv6路径认证方法,包括S201~S208,具体的,该方法包括:
S201、生成种子密钥,根据种子密钥与发送节点的预配置密钥,得到发送节点的加密密钥。
需要说明的是,本实施例的S202~S208与上述实施例的具体实现方式相同,此处不再赘述。
在一个实施例中,种子密钥通过发送节点调用随机种子密钥生成器生成的,其中,种子密钥为128个比特位,将用于对预设路径上各个SR节点的SID的加密,对于段列表中的每个SID的加密,均采用本节点的预配置密钥以及节点认证参数来完成。
示例性的,将种子密钥与预配置密钥进行异或操作生成加密密钥,这样能够保证每次操作使用的加密密钥均不相同。
在上述生成种子密钥之后,将种子密钥压入发送节点的SRH头部的可选TLVs字段中,以供接收节点解析SRv6数据包得到种子密钥,进而生成接收节点的解密密钥。
在一个实施例中,在生成种子密钥之前,该方法还包括:构建节点配置表,其中,节点配置表包括各个SR节点与预配置密钥和节点认证参数之间的对应关系;将节点配置表预先存储于各个SR节点。
发送节点基于节点配置表,通过查表查找与本节点标识(Locator标识)对应的预配置密钥,得到发送节点的预配置密钥,进而与种子密钥进行异或操作生成加密密钥。
在参与SRv6数据包转发的SR节点配置预配置密钥,并且每个SR节点均存储其他SR节点的预配置密钥,通过预配置密钥以实现SID的加密保护、解密转发,每个SR节点均存储一张节点配置表,表1示出了节点配置表。
表1节点配置表
| SR节点标识 | 预配置密钥 | 节点认证参数 |
| Locator_1 | Pre_key_1 | Auth_Par_1 |
| Locator_2 | Pre_key_2 | Auth_Par_2 |
| … | … | … |
| Locator_i | Pre_key_i | Auth_Par_i |
如表1所示,SID的Locator字段是设备的网络地址,是路由转发依据,作为该SR节点的标识,通过表中Locator_1~Locator_i信息识别定位SR节点。预配置密钥Pre_key_1~Pre_key_i用来生成对应SR节点的SID加密密钥,节点认证参数Auth_Par_1~Auth_Par_i是生成接收节点的认证明文时使用的参数,预配置密钥和节点认证参数都是128位。
本公开通过发送节点调用随机种子密钥生成器生成种子密钥,根据种子密钥与发送节点的预配置密钥得到发送节点的加密密钥,从而保证相邻SR节点在网络转发曾即可实现对SRv6数据包的安全防护,有效避免数据包的处理产生额外的转发时延,提升安全性和可靠性。
图4示出本公开实施例提供的生成认证密文的流程图。如图4所示,该流程具体包括:
S402、发送节点调用随机密钥种子生成器生成种子密钥Seed_key;
S404、将种子密钥Seed_key与发送节点的预配置密钥Pre_Key_i进行异或操作,得到该发送节点的加密密钥Key;
S406、提取预设路径的各个SR节点的SID,将各个SR节点的SID与该发送节点的节点认证参数进行异或操作,得到各个SR节点的认证明文;
S408、通过加密密钥Key依次对各个SR节点的认证明文进行RC4流加密算法,输出各个SR节点的认证密文,并将各个SR节点的认证密文按照顺序压入SRH头部的SID中。
需要说明的是,也可以将上述步骤S406调节至S402~S404之前,只要能够实现通过加密密钥加密认证明文功能,上述步骤的顺序可以进行适当调整。
图5示出本公开实施例提供的生成SID密文的流程图。如图5所示,该流程具体包括:
S402、发送节点调用随机密钥种子生成器生成种子密钥Seed_key;
S404、将种子密钥Seed_key与发送节点的预配置密钥Pre_Key_i进行异或操作,得到该发送节点的加密密钥Key;
S502、发送节点对接收节点的SID解析提取,得到接收节点的功能字段和Locator字段;
S504、通过加密密钥Key对接收节点的功能字段进行RC4流加密,得到功能字段密文;
S506、将功能字段密文和Locator字段进行SID合并,得到SID密文,并将SID密文压入IPv6头部的目的地址段内。
图6示出本公开实施例中提供的一种应用于接收节点的基于加解密的SRv6路径认证方法流程图。如图6所示,一种基于加解密的SRv6路径认证方法,应用于接收节点,该方法包括:
S602、在发送节点下发的SRv6数据包中IPv6头部提取接收节点的SID密文,SID密文包括未加密Locator字段和功能字段密文;
S604、根据接收节点的解密密钥解密功能字段密文,得到接收节点的功能字段,将功能字段与未加密Locator字段合并,得到接收节点的SID;
S606、提取SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;根据接收节点的解密密钥解密接收节点的认证密文,得到接收节点的认证明文,根据接收节点的节点认证参数和认证明文,得到接收节点的待验证SID;
S608、比较接收节点的SID和待验证SID,根据比较结果,得到发送节点的认证结果。
在接收节点接收到SRv6数据包的情况下,通过DPI对SRv6数据包进行解析,提取IPv6头部的接收节点的SID密文,由于发送节点通过发送节点的加密密钥仅对接收节点的功能字段进行加密,故接收节点提取到的SID密文中Locator字段是未加密的,而另一部分为功能字段密文。
在一个实施例中,通过提取SRH头部的可选TLVs字段的值,得到种子密钥;根据种子密钥和接收节点的预配置密钥,生成接收节点的解密密钥。需要说明的是,发送节点将其调用随机种子密钥生成器生成的密钥压入SRH头部的可选TLVs字段内,故接收节点提取SRH头部的可选TLVs字段的值,即可得到发送节点的种子密钥。
根据种子密钥与接收节点的预配置密钥进行异或操作生成接收节点的解密密钥。
本公开实施例提供的基于加解密的SRv6路径认证方法,接收节点提取IPv6头部的SID密文,通过接收节点的解密密钥解密SID密文中的功能字段密文,得到接收节点的功能字段,并与SID密文中的未加密Locator字段合并,得到接收节点的SID;通过提取SRv6数据包中SRH头部的SID,得到各个SR节点的认证密文,通过解密密钥解密认证密文得到认证明文,进而根据节点认证参数和认证明文,得到待验证SID,根据接收节点的SID和待验证SID的比较结果,对发送节点进行认证,在对功能参数加密保护的基础上,对发送节点认证,有效防止潜在攻击方伪造SRv6数据包,提升系统安全性,在网络转发层即可实现对SRv6数据包的安全防护,该方法能够在结构简单的网卡ASIC资源中实现,避免处理数据包造成额外的转发时延。
在一个实施例中,在根据接收节点的解密密钥解密功能字段密文,得到接收节点的功能字段之前,该方法还包括:基于接收节点预先存储的节点配置表和未加密Locator字段,查询与接收节点匹配的预配置密钥和节点认证参数;若无法查询到与接收节点匹配的预配置密钥和节点认证参数,则对发送节点认证失败,结束转发。
可选的,该方法还包括:若查询到与接收节点匹配的预配置密钥和节点认证参数,则执行根据接收节点的解密密钥解密所述功能字段密文,得到接收节点的功能字段的操作。
接收节点预先配置节点配置表,其中,节点配置表内包括各个SR节点与预配置密钥、节点认证参数之间的对应关系,接收节点根据本节点的Locator标识,查找节点配置表,确定接收节点的预配置密钥。
接收节点在查找节点配置表的过程中,根据Locator查找节点配置表,若可以查找到与Locator对应的预配置密钥和节点认证参数,则判定接收到的SRv6数据包为发送节点正常发送至接收节点的,对发送节点认证成功;若无法查找到与Locator对应的预配置密钥和节点认证参数,则判定发送节点认证失败,接收节点结束转发该SRv6数据包。
本公开接收节点通过Locator查找节点配置表的查表结果,实现对发送节点认证,无需对SRv6数据包进行复杂的处理,避免增加转发时延。
在一个实施例中,上述的S608比较接收节点的SID和待验证SID,根据比较结果,得到发送节点的认证结果,包括:若接收节点的SID和待验证SID一致,则对发送节点认证成功,转发至下一跳SR接收节点继续进行认证;若接收节点的SID和待验证SID不一致,则对发送节点认证失败,结束转发。
需要说明的是,在接收节点的SID和待验证SID一致的情况下,对发送节点认证成功,此时,为了完成SRv6数据包的转发,接收节点将作为下一次转发的发送节点,继续对SRv6进行加密处理,发送节点的处理方式与上述实施例类似,此处不再赘述。
为了加深对本公开实施例的进一步了解,下面结合图7~图9的具体示例进行说明。
图7示出本公开实施例中提供的一种基于加解密的SRv6路径认证方法的具体示例流程图。如图7所示,该流程为起始节点作为发送节点时的流程,具体包括:
S701、确定SRv6转发路径中SR节点的SID;
S702、调用随机种子密钥生成器生成种子密钥Seed_key,并与起始节点的预配置密钥Pre_Key_i进行异或操作,生成加密密钥Key;
S703、对各个SR节点的SID分别与该节点的节点认证参数进行异或操作,并逐一进行RC4流算法加密生成认证密文;
S704、将各个SR节点的认证密文按顺序压入SRH头部中的Segment List中,Seed_key压入可选TLVs字段中;
S705、提取接收节点的SID,分别提取出Locator字段和功能字段Function&Args内容;
S706、采用加密密钥Key对功能字段进行加密,得到功能字段密文,并与Locator合并形成SID密文;
S707、将SID密文压入IPV6头部的目标地址段中,SRV6数据包封装完毕,下发至接收节点。
需要说明的是,上述步骤可以根据实际情况进行调整,例如,步骤S705~S706与S701~S704可以并行执行,只要能够实现加密密钥对功能字段加密,生成SID密文的功能即可,本公开不做具体限定。
图8示出本公开实施例中提供的另一种基于加解密的SRv6路径认证方法具体示例流程图。如图8所示,该流程为接收节点的流程,具体包括:
S801、接收SRv6数据包;
S802、提取SRv6数据包的源地址,得到SID密文;提取SRv6数据包SRH头部中可选TLVs字段的值,得到种子密钥Seed_key;
S803、以SID密文中的Locator字段在该接收节点的节点配置表中检索预配置密钥和节点认证参数;
S804、判断是否能检索到,若是,则执行S805;若否,则执行S809;
S805、预配置密钥与种子密钥进行异或操作生成解密密钥,对Segment List中的SID进行RC4流算法的解密操作,得到待验证SID;
S806、提取SID密文中的功能字段密文,以解密密钥解密,得到功能字段,将功能字段与Locator字段合并,得到接收节点的SID;
S807、将接收节点的SID与待验证SID进行对比;
S808、判断两者是否相同,若相同,则执行S810;若不同,则执行S809;
S809、对发送节点认证失败,结束转发;
S810、将该接收节点作为发送节点,处理SRv6数据包,直至到达结束节点。
需要说明的是,上述步骤可以根据实际情况进行调整,例如,步骤S805和S806可以并行执行,也可以交换两个步骤的顺序,只要能够实现解密密钥对功能字段密文和认证密文解密即可,本公开不做具体限定。
图9示出本公开实施例中提供的又一种基于加解密的SRv6路径认证方法具体示例流程图。如图9所示,该流程为接收节点作为发送节点处理SRv6数据包实现进一步转发的流程,该流程具体包括:
S901、提取该发送节点的预配置密钥以及节点认证参数;
S902、调用随机种子密钥生成器生成种子密钥Seed_key,并与该发送节点的预配置密钥进行异或操作,生成加密密钥Key;
S903、采用加密密钥对各个SR节点的SID加密,生成认证密文,并压入SegmentList中;
S904、采用加密密钥对下一接收节点的SID的功能字段加密,形成新的SID密文,替换SRv6数据包中目标IPv6地址;
S905、将种子密钥Seed_key替换SRv6数据包SRH头部的可选TLVs字段,完成SRv6数据包的再封装;
S906、将SRv6数据包转发至下一接收节点。
需要说明的是,上述步骤可以根据实际情况进行调整,本公开不做具体限定。
基于同一发明构思,本公开实施例中还提供了一种发送节点和接收节点,如下面的实施例所述。由于该节点实施例解决问题的原理与上述方法实施例相似,因此该节点实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图10示出本公开实施例中一种发送节点结构示意图。如图10所示,在一个实施例中,发送节点包括第一加密模块1010、字段提取模块1020、第二加密模块1030和数据下发模块1040。
其中,第一加密模块1010,用于根据发送节点的加密密钥对预设转发路径中各个SR节点的认证明文进行加密,得到各个SR节点的认证密文,将各个SR节点的认证密文压入SRH头部的段列表SID中,其中,各个SR节点的认证明文根据各个SR节点的SID与发送节点的节点认证参数得到;
字段提取模块1020,用于提取接收节点的SID中的Locator字段和功能字段,其中,接收节点为发送节点的下一跳SR节点;
第二加密模块1030,用于根据发送节点的加密密钥加密接收节点的功能字段,得到接收节点的功能字段密文;
数据下发模块1040,用于将接收节点的功能字段密文与Locator字段合并得到SID密文,将SID密文压入IPv6头部,SRv6数据包封装完毕转发至接收节点,以使接收节点根据认证密文以及SID密文实现节点认证。
在一个实施例中,该节点还包括未显示在附图中的随机密钥种子生成器和加密密钥生成模块,其中,随机密钥种子生成器用于生成种子密钥;加密密钥生成模块,用于根据种子密钥与发送节点的预配置密钥,得到发送节点的加密密钥。
在一个实施例中,该节点还包括未显示在附图中的SRv6数据包处理模块,用于将种子密钥压入发送节点的SRH头部的可选TLVs字段中。
在一个实施例中,该节点还包括未显示在附图中的配置参数构建模块,用于构建节点配置表,其中,节点配置表包括各个SR节点与预配置密钥和节点认证参数之间的对应关系;将节点配置表预先存储于各个SR节点。具体的,发送节点设置配置数据库,该配置数据库能够持久保存各个发送节点的关键信息数据,包括设备的Locator标识、预配置密钥以及节点认证参数等。
在一个实施例中,该节点还包括未显示在附图中的数据处理模块,用于得到各个SR节点的认证明文,具体的用于对各个SR节点的SID与发送节点的节点认证参数进行异或操作,得到各个SR节点的认证明文。
在一个实施例中,第二加密模块1030,具体用于通过加密密钥对接收节点的功能字段进行RC4流加密算法的加密操作,得到接收节点的功能字段密文,其中,功能字段密文和功能字段的长度相同。
在一个实施例中,数据下发模块1040,具体用于将SID密文压入IPv6头部的目标地址段。
图11示出本公开实施例中提供的一种接收节点结构示意图。如图11所示,在一个实施例中,接收节点包括数据提取模块1110、第一解密模块1120、第二解密模块1130和节点认证模块1140.
其中,数据提取模块1110,用于在发送节点下发的SRv6数据包中IPv6头部提取接收节点的SID密文,SID密文包括未加密Locator字段和功能字段密文;
第一解密模块1120,用于根据接收节点的解密密钥解密功能字段密文,得到接收节点的功能字段,将功能字段与未加密Locator字段合并,得到接收节点的SID;
数据提取模块1110,还用于提取SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;
第二解密模块1130,用于根据接收节点的解密密钥解密接收节点的认证密文,得到接收节点的认证明文,根据接收节点的节点认证参数和认证明文,得到接收节点的待验证SID;
节点认证模块1140,用于比较接收节点的SID和待验证SID,根据比较结果,得到发送节点的认证结果。
在一个实施例中,数据提取模块1110,还用于提取SRH头部的可选TLVs字段的值,得到种子密钥;
该节点还包括未显示在附图中的解密密钥生成模块,解密密钥生成模块,用于根据种子密钥和接收节点的预配置密钥,生成接收节点的解密密钥。
在一个实施例中,该节点还包括未显示在附图中的参数查询模块,用于基于接收节点预先存储的节点配置表和未加密Locator字段,查询与接收节点匹配的预配置密钥和节点认证参数;
节点认证模块1140,具体用于若无法查询到与接收节点匹配的预配置密钥和节点认证参数,则对发送节点认证失败,结束转发;
若查询到与接收节点匹配的预配置密钥和节点认证参数,则对发送节点认证成功;
第二解密模块1130,用于在对发送节点认证成功的情况下,根据接收节点的解密密钥解密功能字段密文,得到接收节点的功能字段。
在一个实施例中,节点认证模块1140,具体用于若接收节点的SID和待验证SID一致,则对发送节点认证成功,转发至下一跳SR接收节点继续进行认证;若接收节点的SID和待验证SID不一致,则对发送节点认证失败,结束转发。
基于同一发明构思,本公开实施例中还提供了一种基于加解密的SRv6路径认证系统,如下面的实施例所述。由于该系统实施例解决问题的原理与上述方法实施例相似,因此该系统实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图12示出本公开实施例中一种基于加解密的SRv6路径认证系统示意图,如图12所示,该系统包括发送节点1210和接收节点1220。
其中,发送节点1210,用于根据发送节点1210的加密密钥对预设转发路径中各个分段路由SR节点的认证明文进行加密,得到各个SR节点的认证密文,将各个SR节点的认证密文压入SRH头部的段列表SID中,其中,各个SR节点的认证明文根据各个SR节点的SID与发送节点1210的节点认证参数得到;提取接收节点1220的SID中的Locator字段和功能字段,其中,接收节点1220为发送节点1210的下一跳SR节点;根据发送节点1210的加密密钥加密接收节点1220的功能字段,得到接收节点1220的功能字段密文,将接收节点1220的功能字段密文与Locator字段合并得到SID密文,将SID密文压入IPv6头部,SRv6数据包封装完毕转发至接收节点1220,以使接收节点1220根据认证密文以及SID密文实现节点认证;接收节点1220,用于在发送节点1210下发的SRv6数据包中IPv6头部提取接收节点1220的SID密文,SID密文包括未加密Locator字段和功能字段密文;根据接收节点1220的解密密钥解密功能字段密文,得到接收节点1220的功能字段,将功能字段与未加密Locator字段合并,得到接收节点1220的SID;提取SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;根据接收节点1220的解密密钥解密接收节点1220的认证密文,得到接收节点1220的认证明文,根据接收节点1220的节点认证参数和认证明文,得到接收节点1220的待验证SID;比较接收节点的SID和待验证SID,根据比较结果,得到接收节点1220的认证结果。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图13来描述根据本公开的这种实施方式的电子设备1300。图13显示的电子设备1300仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图13所示,电子设备1300以通用计算设备的形式表现。电子设备1300的组件可以包括但不限于:上述至少一个处理单元1310、上述至少一个存储单元1320、连接不同系统组件(包括存储单元1320和处理单元1310)的总线1330。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1310执行,使得所述处理单元1310执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元1310可以执行上述方法实施例的如下步骤:根据发送节点的加密密钥加密预设转发路径中各个分段路由SR节点的认证明文,得到各个SR节点的认证密文,将各个SR节点的认证密文压入SRH头部的段列表SID中,其中,各个SR节点的认证明文根据各个SR节点的SID与发送节点的节点认证参数得到;提取接收节点的SID中的Locator字段和功能字段,其中,接收节点为发送节点的下一跳SR节点;根据发送节点的加密密钥加密接收节点的功能字段,得到接收节点的功能字段密文;将接收节点的功能字段密文与Locator字段合并得到SID密文,将SID密文压入IPv6头部,SRv6数据包封装完毕转发至接收节点,以使接收节点根据认证密文以及SID密文实现节点认证。
示例性的,所述处理单元1310还可以执行上述方法实施例的如下步骤:在发送节点下发的SRv6数据包中IPv6头部提取接收节点的SID密文,SID密文包括未加密Locator字段和功能字段密文;根据接收节点的解密密钥解密功能字段密文,得到接收节点的功能字段,将功能字段与未加密Locator字段合并,得到接收节点的SID;提取SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;根据接收节点的解密密钥解密接收节点的认证密文,得到接收节点的认证明文,根据接收节点的节点认证参数和认证明文,得到接收节点的待验证SID;比较所述接收节点的SID和待验证SID,根据比较结果,得到发送节点的认证结果。
存储单元1320可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)13201和/或高速缓存存储单元13202,还可以进一步包括只读存储单元(ROM)13203。
存储单元1320还可以包括具有一组(至少一个)程序模块13205的程序/实用工具13204,这样的程序模块13205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1330可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1300也可以与一个或多个外部设备1340(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1300交互的设备通信,和/或与使得该电子设备1300能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1350进行。并且,电子设备1300还可以通过网络适配器1360与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1360通过总线1330与电子设备1300的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1300使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一项的非激活态安全配置信息下发方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。该计算机可读存储介质上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (16)
1.一种基于加解密的SRv6路径认证方法,应用于发送节点,其特征在于,所述方法包括:
根据所述发送节点的加密密钥加密预设转发路径中所述各个分段路由SR节点的认证明文,得到所述各个SR节点的认证密文,将所述各个SR节点的认证密文压入SRH头部的段列表SID中,其中,所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到;
提取接收节点的SID中的Locator字段和功能字段,其中,所述接收节点为所述发送节点的下一跳SR节点;
根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文;
将所述SID密文压入IPv6头部,SRv6数据包封装完毕转发至所述接收节点,以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述发送节点的加密密钥加密预设转发路径中所述各个分段路由SR节点的认证明文,得到所述各个SR节点的认证密文之前,包括:
生成种子密钥,根据所述种子密钥与所述发送节点的预配置密钥,得到所述发送节点的加密密钥。
3.根据权利要求2所述的方法,其特征在于,在所述生成种子密钥之后,所述方法还包括:
将所述种子密钥压入所述发送节点的SRH头部的可选TLVs字段中。
4.根据权利要求2所述的方法,其特征在于,在所述生成种子密钥之前,所述方法还包括:
构建节点配置表,其中,所述节点配置表包括各个SR节点与预配置密钥和节点认证参数之间的对应关系;
将所述节点配置表预先存储于所述各个SR节点。
5.根据权利要求1所述的方法,其特征在于,所述各个SR节点的认证明文通过以下方式得到:
对所述各个SR节点的SID与所述发送节点的节点认证参数进行异或操作,得到所述各个SR节点的认证明文。
6.根据权利要求1所述的方法,其特征在于,所述根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,包括:
通过所述加密密钥对所述接收节点的功能字段进行RC4流加密算法的加密操作,得到所述接收节点的功能字段密文,其中,所述功能字段密文和所述功能字段的长度相同。
7.根据权利要求1~6任一项所述的方法,其特征在于,所述将所述SID密文压入IPv6头部,包括:
将所述SID密文压入IPv6头部的目标地址段。
8.一种基于加解密的SRv6路径认证方法,应用于接收节点,其特征在于,所述方法包括:
在发送节点下发的SRv6数据包中IPv6头部提取所述接收节点的SID密文,所述SID密文包括未加密Locator字段和功能字段密文;
根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段,将所述功能字段与所述未加密Locator字段合并,得到所述接收节点的SID;
提取所述SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;
根据所述接收节点的解密密钥解密所述接收节点的认证密文,得到所述接收节点的认证明文,根据所述接收节点的节点认证参数和所述认证明文,得到所述接收节点的待验证SID;
比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
提取所述SRH头部的可选TLVs字段的值,得到种子密钥;
根据所述种子密钥和所述接收节点的预配置密钥,生成所述接收节点的解密密钥。
10.根据权利要求8所述的方法,其特征在于,在所述根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段之前,所述方法还包括:
基于所述接收节点预先存储的节点配置表和所述未加密Locator字段,查询与所述接收节点匹配的预配置密钥和节点认证参数;
若无法查询到与所述接收节点匹配的预配置密钥和节点认证参数,则对所述发送节点认证失败,结束转发;
若查询到与所述接收节点匹配的预配置密钥和节点认证参数,则执行所述根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段的操作。
11.根据权利要求8~10任一项所述的方法,其特征在于,所述比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果,包括:
若所述接收节点的SID和所述待验证SID一致,则对所述接收节点认证成功,转发至下一跳SR接收节点继续进行认证;
若所述接收节点的SID和所述待验证SID不一致,则对所述发送节点认证失败,结束转发。
12.一种发送节点,其特征在于,包括:
第一加密模块,用于根据所述发送节点的加密密钥对预设转发路径中所述各个SR节点的认证明文进行加密,得到所述各个SR节点的认证密文,将所述各个SR节点的认证密文压入SRH头部的段列表SID中,其中,所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到;
字段提取模块,用于提取接收节点的SID中的Locator字段和功能字段,其中,所述接收节点为所述发送节点的下一跳SR节点;
第二加密模块,用于根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文;
数据下发模块,用于将所述SID密文压入IPv6头部,SRv6数据包封装完毕转发至所述接收节点,以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证。
13.一种接收节点,其特征在于,包括:
数据提取模块,用于在发送节点下发的SRv6数据包中IPv6头部提取所述接收节点的SID密文,所述SID密文包括未加密Locator字段和功能字段密文;
第一解密模块,用于根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段,将所述功能字段与所述未加密Locator字段合并,得到所述接收节点的SID;
所述数据提取模块,还用于提取所述SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;
第二解密模块,用于根据所述接收节点的解密密钥解密所述接收节点的认证密文,得到所述接收节点的认证明文,根据所述接收节点的节点认证参数和所述认证明文,得到所述接收节点的待验证SID;
节点认证模块,用于比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果。
14.一种基于加解密的SRv6路径认证系统,其特征在于,包括发送节点和接收节点,
其中,所述发送节点,用于根据所述发送节点的加密密钥对预设转发路径中所述各个分段路由SR节点的认证明文进行加密,得到所述各个SR节点的认证密文,将所述各个SR节点的认证密文压入SRH头部的段列表SID中,其中,所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到;提取接收节点的SID中的Locator字段和功能字段,其中,所述接收节点为所述发送节点的下一跳SR节点;根据所述发送节点的加密密钥加密所述接收节点的功能字段,得到所述接收节点的功能字段密文,将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文;将所述SID密文压入IPv6头部,SRv6数据包封装完毕转发至所述接收节点,以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证;
所述接收节点,用于在发送节点下发的SRv6数据包中IPv6头部提取所述接收节点的SID密文,所述SID密文包括未加密Locator字段和功能字段密文;根据所述接收节点的解密密钥解密所述功能字段密文,得到所述接收节点的功能字段,将所述功能字段与所述未加密Locator字段合并,得到所述接收节点的SID;提取所述SRv6数据包中SRH头部的SID,得到预设转发路径中各个SR节点的认证密文;根据所述接收节点的解密密钥解密所述接收节点的认证密文,得到所述接收节点的认证明文,根据所述接收节点的节点认证参数和所述认证明文,得到所述接收节点的待验证SID;比较所述接收节点的SID和所述待验证SID,根据比较结果,得到所述发送节点的认证结果。
15.一种电子设备,其特征在于,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7中任意一项所述的基于加解密的SRv6路径认证方法,或者执行权利要求8~11中任意一项所述的基于加解密的SRv6路径认证方法。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任意一项所述的基于加解密的SRv6路径认证方法,或者实现权利要求8~11中任意一项所述的基于加解密的SRv6路径认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211357941.1A CN115801656B (zh) | 2022-11-01 | 2022-11-01 | 基于加解密的SRv6路径认证方法、节点、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211357941.1A CN115801656B (zh) | 2022-11-01 | 2022-11-01 | 基于加解密的SRv6路径认证方法、节点、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115801656A true CN115801656A (zh) | 2023-03-14 |
| CN115801656B CN115801656B (zh) | 2024-05-14 |
Family
ID=85434859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211357941.1A Active CN115801656B (zh) | 2022-11-01 | 2022-11-01 | 基于加解密的SRv6路径认证方法、节点、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801656B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111683011A (zh) * | 2019-03-11 | 2020-09-18 | 华为技术有限公司 | 报文处理方法、装置、设备及系统 |
| CN112615878A (zh) * | 2020-12-25 | 2021-04-06 | 网络通信与安全紫金山实验室 | 基于加解密的SRv6路径认证方法、系统、设备及介质 |
| WO2021155759A1 (zh) * | 2020-02-07 | 2021-08-12 | 中国移动通信有限公司研究院 | 分段标识的处理方法及设备 |
| CN113347092A (zh) * | 2021-05-27 | 2021-09-03 | 大连理工大学 | 一种基于IPv6的SRv6数据处理方法 |
-
2022
- 2022-11-01 CN CN202211357941.1A patent/CN115801656B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111683011A (zh) * | 2019-03-11 | 2020-09-18 | 华为技术有限公司 | 报文处理方法、装置、设备及系统 |
| WO2021155759A1 (zh) * | 2020-02-07 | 2021-08-12 | 中国移动通信有限公司研究院 | 分段标识的处理方法及设备 |
| CN112615878A (zh) * | 2020-12-25 | 2021-04-06 | 网络通信与安全紫金山实验室 | 基于加解密的SRv6路径认证方法、系统、设备及介质 |
| CN113347092A (zh) * | 2021-05-27 | 2021-09-03 | 大连理工大学 | 一种基于IPv6的SRv6数据处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115801656B (zh) | 2024-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| CN107534665B (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
| EP3157225B1 (en) | Encrypted ccnx | |
| CN110335043B (zh) | 一种基于区块链系统的交易隐私保护方法、设备以及系统 | |
| CN111614683B (zh) | 一种数据处理方法、装置、系统及一种网卡 | |
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| WO2018120938A1 (zh) | 密钥离线传输方法、终端和存储介质 | |
| KR101452124B1 (ko) | 사물간 통신 네트워크에서 암호화 기반 기기 인증 및 세션키 생성 방법 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN114828140A (zh) | 业务流量报文转发方法及装置、存储介质及电子设备 | |
| CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
| CN102904792B (zh) | 业务承载的方法及路由器 | |
| CN111246407A (zh) | 用于短信传输的数据加密、解密方法及装置 | |
| CN116527405B (zh) | 一种srv6报文加密传输方法、装置及电子设备 | |
| CN107431691A (zh) | 一种数据包传输方法、装置、节点设备以及系统 | |
| CN115801656B (zh) | 基于加解密的SRv6路径认证方法、节点、系统、设备及介质 | |
| CN114679324B (zh) | 一种数据交换方法、工具、系统、设备及介质 | |
| Alnahawi et al. | SoK: Post-Quantum TLS Handshake | |
| CN115086048A (zh) | 数据处理方法、装置、电子设备及可读存储介质 | |
| KR102377265B1 (ko) | 네트워크 내의 장치 | |
| CN113158218B (zh) | 数据加密方法、装置及数据解密方法、装置 | |
| CN114915503A (zh) | 基于安全芯片的数据流拆分处理加密方法及安全芯片装置 | |
| CN115695278A (zh) | 报文转发方法、控制器及报文转发系统 | |
| CN104737571A (zh) | 保护在通信网络中发送的有效载荷 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |