CN116527405A - 一种srv6报文加密传输方法、装置及电子设备 - Google Patents
一种srv6报文加密传输方法、装置及电子设备 Download PDFInfo
- Publication number
- CN116527405A CN116527405A CN202310801473.0A CN202310801473A CN116527405A CN 116527405 A CN116527405 A CN 116527405A CN 202310801473 A CN202310801473 A CN 202310801473A CN 116527405 A CN116527405 A CN 116527405A
- Authority
- CN
- China
- Prior art keywords
- encryption
- message
- decryption
- node
- srv6
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 277
- 238000000034 method Methods 0.000 title claims abstract description 76
- 230000006870 function Effects 0.000 claims description 42
- 230000015654 memory Effects 0.000 claims description 29
- 238000005538 encapsulation Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 238000004806 packaging method and process Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书公开了一种SRV6报文加密传输方法、装置及电子设备,对报文加密传输的同时保留SRV6技术优势,加密传输更加灵活,实用性强。所述方法应用于数据传输路径中的传输节点,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型。所述方法包括:响应于待传输SRV6报文,读取当前节点配置的所述功能属性信息;在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的内层数据进行加解密处理;根据加解密处理结果与所述待传输SRV6报文中的SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
Description
技术领域
本说明书实施例涉及数据传输安全技术领域,具体涉及一种SRV6报文加密传输方法、装置及电子设备。
背景技术
5G、物联网、云计算等技术飞速发展,第四版互联网协议(Internet-Protocol-Version 4,IPV4)的地址空间已经不够用。IPV6+技术在这样的时代背景下应运而生。IPV6+技术基于第六版互联网协议(Internet-Protocol-Version 6,IPV6)扩展,基于IPv6转发平面的段路由技术(Segment Routing over IPv6,SRV6)是其中最关键技术之一。基于SRV6技术可以带来很多技术优势。SRV6作为对于当前极为热门的IPV6+技术,其网络安全性问题日益重要。
一些相关技术中采用SRV6+IPSEC的技术方案,利用IP安全(IP Security,IPSEC)协议实现对SRV6数据传输的安全保密。但在SRV6+IPSEC技术方案中,IPV6报文中的报文头(Segment Routing Header,SRH)也会被作为数据的一部分进行加密处理,加密后的报文转为普通的IP/IPV6报文,导致丧失了SRV6技术的技术优势,并且这样的加密方式仅适用于通信路径中两相邻节点间的加解密数据传输,路径中加解密节点外其他节点无法正常识别传输报文。这样的加密传输方式存在很大限制,实用性较差。
发明内容
有鉴于此,本说明书实施例提供了一种SRV6报文加密传输方法、装置及电子设备,实现报文加密传输的同时保留SRV6技术优势,加密传输更加灵活,实用性强。
在第一方面,本说明书实施例提供了一种SRV6报文加密传输方法,所述方法应用于数据传输路径中的传输节点,所述数据传输路径中至少包含两个加解密类型的传输节点,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型,所述类型包括加解密类型或者传输类型;所述方法包括:
响应于待传输SRV6报文,读取当前节点配置的所述功能属性信息;所述待传输SRV6报文中包括SRH报文头和内层数据;
在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的所述内层数据进行加解密处理,以生成对应的加解密处理结果;
根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
在另一方面,本说明书实施例还提供了一种SRV6报文加密传输装置,所述装置应用于数据传输路径中的传输节点,所述数据传输路径中至少包含两个加解密类型的传输节点,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型,所述类型包括加解密类型或者传输类型;所述装置包括:
功能属性信息读取模块,用于针对待传输SRV6报文,读取当前节点配置的所述功能属性信息;所述待传输SRV6报文中包括SRH报文头和内层数据;
加解密处理模块,用于在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的所述内层数据进行加解密处理,以生成对应的加解密处理结果;以及
报文更新传输模块,用于根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
本说明书实施例还提供了一种SRV6报文加密传输电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的SRV6报文加密传输方法。
从上面可以看出,本说明书实施例所提供的一种SRV6报文加密传输方法、装置及电子设备,具有如下有益技术效果:
在所述SRV6报文加密传输方法中,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征对应传输节点的类型。在报文传输过程中,当前节点可以根据相应的功能属性信息确定是否为加解密类型,并在确定为加解密类型的传输节点情况下,对所接收到的SRV6报文中SRH头以外的内层数据进行加解密以生成新的SRV6报文发送给下一传输节点。在所述数据传输路径中通过配置功能属性信息灵活选定加解密节点,加解密节点执行加解密处理时保留SRH报文头,可以保证加解密节点外其他传输节点能够正常识别,保留SRV6技术优势的同时实现对SRV6报文的加密传输,加密传输更加灵活,实用性强。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了SRV6报文中SRH报文头的结构示意图;
图2示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法示意图;
图3示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中对所述数据传输路径进行加密安全配置的方法示意图;
图4示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中对报文内层数据进行加解密处理的方法示意图;
图5示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中对未加密报文的内层数据进行加密处理的方法示意图;
图6示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输示意图;
图7示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置结构示意图;
图8示出了本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
5G、物联网、云计算等技术飞速发展,第四版互联网协议(Internet-Protocol-Version 4,IPV4)的地址空间已经不够用。IPV6+技术在这样的时代背景下应运而生。IPV6+技术基于第六版互联网协议(Internet-Protocol-Version 6,IPV6)扩展,基于IPv6转发平面的段路由技术(Segment Routing over IPv6,SRV6)是其中最关键技术之一。基于SRV6基础上又可以扩展出很多其它IPV6+特性,如SRV6 iFit、 SRV6 SFC、SRV6网络切片等。 SRV6是基于源路由理念而设计,通过在IPV6报文中插入一个SRH报文头(Segment RoutingHeader,SRH),在SRH中压入一个显式的IPV6地址栈,并由中间节点不断的进行更新目的地址和偏移地址栈的操作来完成逐跳转发。
如图1所示,为SRH报文头的结构示意图。在SRH报文头中包括段标识SID列表(Segment-List),在SegmentList中记录报文传输路径中多个传输节点相对应的IPV6地址。多个IPV6地址按照报文传输路径中传输节点由远到近的顺序排列,即SegmentList[0]表示路径中最远端传输节点,SegmentList[1]表示路径中倒数第二个传输节点,依次类推SegmentList[n-1]表示路径中的第一个传输节点(数据传输路径中共有n个传输节点)。在报文传输过程中,根据Segment-List中记录的多个节点的IPV6地址,路径中的传输节点可以不断更新目的地址实现逐跳转发。
SRV6作为对于当前极为热门的IPV6+技术,其网络安全性问题日益重要。对数据加解密,是最常用的安全保密手段。
IP安全(IP Security,IPSEC)协议是国际互联网工程任务组(The InternetEngineering TaskForce,IETF)制定的一个开放的IP层安全架构协议,它通过在特性通信方之间建立IPSEC隧道,为网络中传输的数据提供高质量、基于密码学的安全保证。IPSEC安全协议包括认证头(Authentication Header,AH)协议和封装安全载荷(EncapsulatingSecurity Payload,ESP)协议、互联网密钥交换(Internet Key Exchange,IKE)协议以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。SRV6+IPSEC的结合,有重要的应用价值。
在一些相关SRV6+IPSEC技术方案中,IPV6报文中的SRV6 SRH也被作为数据的一部分进行加密处理,所生成的报文转为普通的IP/IPV6报文,丧失了SRV6技术的技术优势。并且这样的加密方式仅适用于通信路径中两相邻节点间的加解密数据传输,路径中加解密节点外其他节点无法正常识别传输报文。这样的加密传输方式存在很大限制,实用性较差 。
针对上述问题,本说明书实施例的目的在于提出一种SRV6报文加密传输方法,设置用于指定加解密节点的新的段标识(Segment Identifier,SID)类型,针对SRV6隧道对应数据传输路径嵌入用于指明加、解密节点的段标识,在数据传输路径中报文传输至加、解密节点时对报文中SRH以外的内层数据对应进行加密、解密操作,从而可以实现在SRV6隧道中对报文进行加密传输的同时保留SRV6技术优势。
基于上述目的,本说明书实施例提供了一种SRV6报文加密传输方法。
如图2所示,本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法, 所述方法应用于数据传输路径中的传输节点,所述数据传输路径中至少包含两个加解密类型的传输节点。所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型,所述类型包括加解密类型或者传输类型。
所述方法包括:
S1:响应于待传输SRV6报文,读取当前节点配置的所述功能属性信息;所述待传输SRV6报文中包括SRH报文头和内层数据。
所述功能属性信息用于表明对应所述传输节点所需要执行的功能。可以通过预先配置功能属性信息的方式,从所述数据传输路径中灵活选取传输节点作为加解密节点,所选取的加解密节点对应的所述功能属性信息表征加解密类型。所述加解密节点针对待传输SRV6报文进行加解密处理并传输。所述数据传输路径中的其他节点则可以对所述待传输SRV6报文进行正常传输。
可以根据实际应用需求以及所述数据传输路径的网络资源情况从所述数据传输路径中灵活选取传输节点作为加解密节点。
需要说明的是,在所述数据传输路径中所选取的两个加解密节点对称配置,所述加解密节点可以执行加密操作也可以执行解密操作,具体所需要执行的操作根据报文在所述数据传输路径中的传输方向确定。在所述数据传输路径中,先接收到报文的一个所述加解密节点作为加密节点执行加密操作,另外一个所述加解密节点则作为解密节点执行解密操作。
所述功能属性信息则通过对所述数据传输路径进行加密安全配置来确定。
对所述数据传输路径进行加密安全配置,其目的在于针对所述数据传输路径配置用于实现报文加密的相关安全协议与安全策略信息,并为所述数据传输路径中的多个所述传输节点设定相应的功能属性信息。
其中,针对所述数据传输路径所配置的相关处理协议可以是IP安全(IPSecurity,IPSEC)协议,其中包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
所述功能属性信息用于表明对应所述传输节点需要执行的功能。可以在设置好功能属性信息的具体内容后将其与相应的传输节点进行关联。一些可选实施方式中,还可以选用段标识(Segment Identifier,SID)作为所述功能属性信息。在SRV6技术中,SID用来定义某种网络功能、代表某种网络指令。SID可以采用IPV6地址形式,通过加密安全配置确定与所述数据传输路径中多个所述传输节点相对应的SID,具体的SID所采用的IPV6地址与相应的所述传输节点关联。
SID中包括Function字段,所述Function字段用于标识对应关联的本地操作指令。其含义可以理解为,SID相对应的所述传输节点在接收到流量后,根据SID中Function字段执行相关操作。因此可以将与所述加解密节点对应的SID的Function字段内容设置为加解密,用于表征加解密类型,以使得所述加解密节点在接收到报文后对报文执行加密或解密的操作。
S2:在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的所述内层数据进行加解密处理,以生成对应的加解密处理结果。
在读取到当前节点配置的所述功能属性信息后,可以确定其所表征的节点类型。所述类型包括加解密类型或者传输类型。
在所述功能属性信息表征加解密类型的情况下,所述当前节点需要针对所述待传输SRV6报文进行加解密处理。在进行加解密处理时,对所述报文中除SRH(Segment RoutingHeader)报文头之外的内层数据进行加解密处理,生成相应的加解密处理结果。
在SRV6技术中,SRV6报文包括SRH报文头以及内层数据,所述内层数据可以包括内层IP头与内存负载,所述内存负载是指SRV6报文要传输的实质性内容信息。
本说明书实施例中在执行SRV6报文加解密处理时,只对所述内层数据进行加解密处理,保留SRV6报文中的SRH报文头,不会对SRV6报文原有的报文结构造成影响,从而可以实现对报文进行加解密处理的同时保留SRV6技术优势。
S3:根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
所述当前节点可以根据所述待传输SRV6报文中的SRH报文头,确定新的SRV6报文的SRH报文头,与加解密处理结果组合生成新的SRV6报文,之后将新的SRV6报文发送到下一个传输节点。
需要说明的是,SRV6报文的SRH报文头中包括数据传输路径信息。在所述数据传输路径中,所述传输路径在接收所述待传输SRV6报文后可以根据所述待传输SRV6报文中SHR报文头中的数据传输路径信息确定路径中的下一个传输节点,从而便于将生成的新的SRV6报文发送至下一个传输节点。
在一些可选实施例中,可以采用以下方法生成新的SRV6报文并将其发送至下一传输节点:根据所述传输路径信息确定所述当前节点的下一传输节点,并针对所述下一传输节点确定新的SRH报文头;将新的SRH报文头与所述加解密处理结果组合生成新的SRV6报文,并将其发送至下一传输节点。
在所述SRV6报文加密传输方法中,可以预先为数据传输路径中的多个传输节点配置功能属性信息,从而从多个传输节点中灵活选定加解密节点。在报文传输过程中,当前节点可以根据相应的功能属性信息确定是否为加解密类型,并在确定为加解密类型传输节点的情况下,对所述待传输SRV6报文中SRH头以外的内层数据进行加解密以生成新的SRV6报文发送给下一传输节点。在所述数据传输路径中通过配置功能属性信息灵活选定加解密节点,加解密节点执行加解密处理时保留SRH报文头,可以保证加解密节点外其他传输节点能够正常识别,保留SRV6技术优势的同时实现对SRV6报文的加密传输,加密传输更加灵活,实用性强。
如图3所示,在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中,所述功能属性信息通过对所述数据传输路径进行加密安全配置确定。
对所述数据传输路径进行加密安全配置,包括:
S201:通过对所述数据传输路径配置加密策略信息为所述加解密节点添加所述功能属性信息。
在配置所述加密策略信息前可以先为所述数据传输路径配置IP安全(IPSecurity,IPSEC)协议。可以采用以下指令执行配置:
Ipsec transform-set 1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm md5
其中,“esp encryption-algorithm aes-cbc-128”表示配置ESP协议采用的加密算法,所选用的加密算法为aes-cbc-128,表示采用CBC模式的AES算法,密钥长度为128比特。“esp authentication-algorithm md5”表示配置ESP协议采用的认证算法, 所选用的算法为md5,表示采用HMAC-MD5认证算法,密钥长度128比特。
配置加密策略信息时,可以采用IKE协商或手动协商的方式。可以采用以下指令执行配置:
Ipsec ipv6-policy p1 1 isakmp
transform-set 1 // 关联IPSEC安全提议
security acl ipV6 3000
local-address ipV6 2001:B::1// 本端加解密sid
remote-address ipV6 2001:D::1// 对端加解密sid
ike-profile IPV6_1// 配置ike协商方式
其中,“transform-set 1”表示所述加密策略信息关联上述配置的IPSEC协议(transform-set 1),“security acl ipV6 3000”表示对访问控制列表ACL进行相关配置,“local-address ipV6 2001:B::1”与“remote-address ipV6 2001:D::1”用于为所述数据传输路径中所选定的加解密节点添加所述功能属性信息,具体的是为所述加解密节点设置SID。
S202:设定加解密属性类型,并将所述加解密属性类型与所述加密策略信息进行关联,以使得所述加解密节点对应的所述功能属性信息表征加解密类型。
一些可选实施例中所述功能属性信息选用段标识(Segment Identifier,SID)。SID包括多种不同类型,不同类型的SID代表不同功能。例如,End SID用于标识网络中的某个目的地址前缀,End.X SID用于标识网络中的某条链路,End.DT4 SID:用于标识网络中的某个IPv4 VPN。对应的转发动作是解封装报文,并且查找IPv4 VPN实例路由表转发。
在本说明书实施例中,针对所述加解密属性类型,为所选定的所述加解密节点可以设定一种新的SID类型:END.IPSEC SID。
将所述加解密属性类型与所述加密策略信息进行关联,可以采用以下指令进行关联:
opcode 1 end-ipsec ipsec-policy p1
其中,“end-ipsec”表示将特定节点对应的SID设置为END.IPSEC SID,表示该特定节点运行时需要执行IPSEC处理,即加解密处理;“ipsec-policy p1”表示特定节点与上述的加密策略“ipv6-policy p1”相关联。
通过执行上述指令,可以将所述数据传输路径中的所述加解密节点对应的SID设置为END.IPSEC类型,从而在传输报文时使所述加解密节点执行加解密操作。
本领域技术人员可以理解的是,所述数据传输路径中,除所选定的加解密节点之外,其他传输节点相应的SID可以默认设置为END.SID类型,相应的所述传输节点不对报文做特殊处理。
S203:将经设置的多个所述传输节点的所述功能属性信息嵌入至所述数据传输路径。
一些可选实施例中,将所述功能性信息嵌入所述数据传输路径,可以采用以下方式:将多个所述传输节点相应的SID写入所述数据传输路径中首节点的SRH报文头中。多个所述传输节点的SID可以构成SRH报文头中的SegmentList。报文传输过程中,所述传输节点可以根据SRH报文头中的SegmentList实现逐条报文传输。
将多个所述传输节点的所述功能属性信息嵌入所述数据传输路径的同时,会将加解密节点相应的加解密属性类型的功能属性信息也嵌入数据传输路径。
如图4所示,在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中,对所述待传输SRV6报文中的所述内层数据进行加解密处理包括:
S301:通过对所述内层数据进行解析,以确定所述待传输SRV6报文是否加密。
对所述内层数据进行加解密处理,需要首先确定具体需要执行加密处理还是需要执行解密处理,即确定所述加解密节点为加密节点还是解密节点。可以结合报文在所述数据传输路径中的传输方向确定当前报文是加密节点还是解密节点。
所述数据传输路径经过配置IPSEC安全协议,则可以根据所述内层数据的封装格式来确定所述待传输SRV6报文是否经过加密。一些可选实施方式中可以采用以下方式确定所述待传输SRV6报文是否加密:通过对所述内层数据进行解析,以确定所述内层数据是否符合AH/ESP的封装格式;响应于所述内层数据符合AH/ESP的封装格式,确定所述待传输SRV6报文为已加密报文;响应于所述内层数据不符合AH/ESP的封装格式,则可以确定所述待传输SRV6报文为未加密报文。
S302:响应于所述待传输SRV6报文为未加密报文,对所述未加密报文中的所述内层数据进行加密处理。
S303:响应于所述待传输SRV6报文为已加密报文,对所述已加密报文中的内层数据进行解密处理。
在一些可选实施方式中,可以通过对所述内层数据进行解析,从而确定所述待传输SRV6报文是否已经经过加密处理。若通过解析确定所述待传输SRV6报文为未加密报文,可以确定当前节点为加密节点,需要对所述内层数据执行加密处理;若通过解析确定所述待传输SRV6报文为已加密报文,则可以确定当前节点为解密节点,需要对所述内层数据执行解密处理。
如图5所示,在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中,对所述未加密报文中的所述内层数据进行加密处理,包括:
S401:判断所述数据传输路径对应的安全联盟(Security Association,SA)是否已建立。
在确定所述SRV6报文为未加密报文的情况下,可以确定所述当前节点为加密节点,需要对所述SRV6报文中的内层数据进行加密。
对内层数据进行加解密操作的前提为所述数据传输路径已经配置了IPSEC安全协议。所述数据传输路径中的加密节点与解密节点之间已经过安全联盟(SecurityAssociation,SA)协商,建立了安全联盟。
因此,为在数据传输路径中对报文进行加密传输的可靠性与稳定性,需要在针对报文进行加密前,确定SA已建立。可以通过查询对应的加密安全策略ipsec-policy下所配置的sip和dip,来确定SA是否已经建立。
S402:响应于所述安全联盟未建立,针对所述数据传输路径进行协商以建立安全联盟。
可以采用有手工配置和IKE自动协商两种生成方式建立SA。其中,手工方式:通过命令行配置SA的所有信息;IKE自动协商方式:在加密节点与解密节点之间通过IKE协议自动协商生成SA,并由IKE协议维护该SA。
S403:响应于所述安全联盟已建立,对所述内层数据进行加密封装。
确定SA已建立,可以按照IPSEC协议以及其中的AH协议、ESP协议对所述内层数据进行加密。
如图6所示,为SRV6报文加密传输示意图。数据传输路径中的传输节点包括:A、B、C、D、E。在数据传输路径中报文的传输方向由A节点指向E节点。其中选取B、D节点作为加解密节点。
通过对所述数据传输路径进行加密安全配置,可以为多个数据传输节点设定相应的SID。参考图6所示,A、B、C、D、E这五个传输节点对应的SID分别为“2001:A::1”、“2001:B::1” “2001:C::1” “2001:D::1” “2001:E::1”,其中加解密节点B、D相应的SID为END.IPSECSID,而其他节点相应的SID为END.SID。
并且通过对所述数据传输路径进行加密安全配置,可以将多个传输节点相应的SID嵌入到首节点A的SRH报文头中。参考图6所示,首节点A所发出SRV6报文的SRH报文头中的SegmentList(其中,SegmentList[0]-[n-1]按从下到上的顺序排列)为:
2001:E::1
2001:D::1
2001:C::1
2001:B::1
在SRH报文头中还包括SL(SegmentLeft)标识。SL用于表明需要查看的下一个SID的编号。报文传输过程中,通过SL递减可以逐跳按照所述数据传输路径对报文进行转发。以A节点为例SL=3,说明下一跳执行SRH头中3(从上之下对应编码为0,1,2,3…)位置,对应2001:B::1,可以确定目的IPV6地址DA(Destination Address)为2001:B::1,A节点需要将报文传输至下一跳的B节点。
B节点相应的SID为END.IPSEC SID,说明B节点为加解密节点,需要对所接收到的SRV6报文中的内层数据进行加解密处理。B节点可以首先对SRV6报文中的内层数据进行解析,确定所述内层数据是否符合AH/ESP的封装格式。可以确定所述内层数据不符合AH/ESP封装格式,从而需要对所述内层数据执行加密处理,可以按照IPSEC协议以及其中的AH协议、ESP协议对所述内层数据进行加密。B节点所接收到的SRV6报文中的内层数据包括内层IP与内存负载,经过加密处理后生成符合AH/ESP封装格式的加密数据。
在对所述内层数据进行加密之后,B节点对所接收到的SRV6报文中的SL递减一,从而确定新的SHR报文头。新的SRH报文头中,SL=2,DA: 2001:C::1。新的SRH报文头与加密数据组合生成新的SRV6报文。B节点需要将新的SRV6报文发送至C节点。
C节点相应的SID为END.SID,为一般节点。因此C节点将SRH报文头中SL递减,DA:2001:D::1,确定新的SRH报文头与加密数据组合生成新的SRV6报文发送至D节点。
D节点相应的SID为END.IPSEC SID,说明D节点为加解密节点,需要对所接收到的SRV6报文中的内层数据进行加解密处理。D节点可以首先对SRV6报文中的内层数据进行解析,确定所述内层数据是否符合AH/ESP的封装格式。可以确定所述内层数据符合AH/ESP封装格式,从而需要对报文中的加密数据执行解密处理,可以按照IPSEC协议以及其中的AH协议、ESP协议对所述内层数据进行解密。D节点通过对加密数据进行解密处理,还原为内层IP与内存负载。
在对所述加密数据进行解密之后,D节点对所接收到的SRV6报文中的SL递减一,从而确定新的SHR报文头。新的SRH报文头中,SL=0,DA: 2001:E::1。新的SRH报文头与加密数据组合生成新的SRV6报文。D节点需要将新的SRV6报文发送至E节点。
E节点相应的SID为END.SID,为一般节点。E节点在接收到SRV6报文后,其中SL=0说明报文传输至E节点已经达到所述数据传输路径的尾节点。尾节点E可以针对所接收到的SRV6报文剥离SRH报文头,得到内层数据,按照所述内层数据中的内层IP对内存负载进行处理。
可以理解的是,在所述数据传输路径中选取加解密节点时,所选取的加解密节点可能是数据传输路径的首、尾节点。首、尾节点处因为位置特殊性在传输报文时可能存在特殊情况。
本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法中,针对所述数据传输路径中的首节点为所述加解密节点的情况,可以确定首节点被选定为加密节点,所述首节点可以先对所述待传输SRV6报文执行入隧道操作后再对所述待传输SRV6报文中的内层数据进行加密处理。所述首节点可以采用基于color的引流、基于bsid引流或基于隧道策略引流的方式执行入隧道操作。
针对所述数据传输路径中的尾节点为所述加解密节点的情况,可以确定所述尾节点被选定为解密节点,所述尾节点对所述待传输SRV6报文中的内层数据进行加解密处理后,无需再生成新的SRH报文头,可以直接剥离SRH报文头,得到内层数据,按照所述内层数据中的内层IP对内存负载进行处理。
可以理解的是,一些相关SRV6+IPSEC技术方案中IPV6报文中的SRV6 SRH也被作为数据的一部分进行加密处理,这样的加密方式需要创建隧道接口,对于硬件访问控制列表(Access Control List,ACL)以及隧道终结表等资源提出较高要求。对此,可以针对数据传输路径具体的网络资源设置选定加解密节点,设置相应的加解密引擎执行报文内容解析。
本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输方法,针对所述数据传输路径中的所述加解密节点设置相应的加解密引擎。在所述数据传输路径中,当SRV6报文传输至加解密节点时,可以将所述加解密节点所接收到的所述SRV6报文引流传输至与所述加解密节点相对应的所述加解密引擎。利用所述加解密引擎对所述SRV6报文中的所述内层数据进行加解密处理。
其中,所述加解密引擎可以是对应的所述传输节点中设置的专门用于加解密的单板/子卡或者是本板CPU。与之相对应的,在一些可选实施例中,针对所述数据传输路径进行加密安全配置时,为所述数据传输路径配置的加密策略信息中还可以包括所述加解密引擎的相关信息。
例如,执行加密策略信息配置的指令还可以包括:
service slot 7
service standby slot 8
上述指令分别用于指定加解密节点相对应的加解密引擎。可以根据实际硬件资源情况选取设定。
所述SRV6报文加密传输方法,通过为加解密节点设置相应加解密引擎,利用加解密引擎执行加解密解析处理任务,能够提高处理效率从而提升数据传输路径传输报文的整体效率。对此,在选取加解密节点时,可以考虑数据传输路径的实际网络硬件资源,合理规划网络,在关键公用路径上部署加解密节点,节省网络成本。SDWAN控制器可以根据网络资源,灵活控制加解密点。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同样的目的,与上述任意实施例方法相对应的,本说明书实施例还提供了一种SRV6报文加密传输装置,所述装置应用于数据传输路径中的传输节点,所述数据传输路径中至少包含两个加解密类型的传输节点,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型,所述类型包括加解密类型或者传输类型。
参考图7,所述SRV6报文加密传输装置,包括:
功能属性信息读取模块,用于针对待传输SRV6报文,读取当前节点配置的所述功能属性信息;所述待传输SRV6报文中包括SRH报文头和内层数据;
加解密处理模块,用于在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的所述内层数据进行加解密处理,以生成对应的加解密处理结果;以及
报文更新传输模块,用于根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置,还包括加密安全配置模块,用于对所述数据传输路径进行加密安全配置。所述加密安全配置模块,用于通过对所述数据传输路径配置加密策略信息为所述加解密节点添加所述功能属性信息;设定加解密属性类型,并将所述加解密属性类型与所述加密策略信息进行关联,以使得所述加解密节点对应的所述功能属性信息表征加解密类型;将经设置的多个所述传输节点的所述功能属性信息嵌入至所述数据传输路径
在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置中,所述加解密处理模块,还用于通过对所述内层数据进行解析,以确定所述待传输SRV6报文是否加密;在所述待传输SRV6报文为未加密报文时,对所述未加密报文中的所述内层数据进行加密处理;在所述待传输SRV6报文为已加密报文时,对所述已加密报文中的内层数据进行解密处理。
在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置中,所述加密安全配置模块对所述数据传输路径进行加密安全配置时为所述数据传输路径配置IPSEC安全协议,所述IPSEC安全协议包括认证头协议与封装安全载荷协议。所述加解密处理模块,还用于通过对所述内层数据进行解析,以确定所述内层数据是否符合所述认证头协议与所述封装安全载荷协议所规定的封装格式;在所述内层数据符合所述认证头协议与所述封装安全载荷协议所规定的封装格式时,确定所述待传输SRV6报文为已加密报文;在所述内层数据不符合所述认证头协议与所述封装安全载荷协议所规定的封装格式时,确定所述待传输SRV6报文为未加密报文。
在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置中,所述加解密处理模块,还用于判断所述数据传输路径对应的安全联盟是否已建立;若所述安全联盟未建立,针对所述数据传输路径进行协商以建立安全联盟;若所述安全联盟已建立,对所述内层数据进行加密封装。
本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置,还包括加解密引擎设置模块。所述加解密引擎设置模块,用于对所述数据传输路径中的所述加解密节点设置相应的加解密引擎。所述报文加解密处理模块,还用于在所述功能属性信息表征加解密类型的情况下,确定所述当前节点为加解密节点;将所述待传输SRV6报文引流传输至与所述加解密节点相对应的所述加解密引擎;利用所述加解密引擎对所述待传输SRV6报文中的所述内层数据进行加解密处理。
在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置中,所述SRH报文头包括数据传输路径信息。所述报文更新传输模块,还用于根据所述传输路径信息确定所述当前节点的下一传输节点,并针对所述下一传输节点确定新的SRH报文头;将新的SRH报文头与所述加解密处理结果组合生成新的SRV6报文,并将其发送至下一传输节点。
在本说明书一个或多个可选实施例所提供的一种SRV6报文加密传输装置中,所述加解密处理模块,还用于在所述数据传输路径中的首节点为所述加解密节点的情况下,对所述首节点的SRV6报文执行入隧道操作后再对所述SRV6报文中的内层数据进行加解密操作;在所述数据传输路径中的尾节点为所述加解密节点的情况下,对所述尾节点所接收到的SRV6报文中的内层数据进行加解密处理后再执行后续处理。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图8示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图, 该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线 1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的SRV6报文加密传输方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带式磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的SRV6报文加密传输方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种SRV6报文加密传输方法,其特征在于,所述方法应用于数据传输路径中的传输节点,所述数据传输路径中至少包含两个加解密类型的传输节点,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型,所述类型包括加解密类型或者传输类型;所述方法包括:
响应于待传输SRV6报文,读取当前节点配置的所述功能属性信息;所述待传输SRV6报文中包括SRH报文头和内层数据;
在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的所述内层数据进行加解密处理,以生成对应的加解密处理结果;
根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
2.根据权利要求1所述的方法,其特征在于,所述功能属性信息通过对所述数据传输路径进行加密安全配置确定;
对所述数据传输路径进行加密安全配置的方法,包括:
通过对所述数据传输路径配置加密策略信息为所述加解密节点添加所述功能属性信息;
设定加解密属性类型,并将所述加解密属性类型与所述加密策略信息进行关联,以使得所述加解密节点对应的所述功能属性信息表征加解密类型;
将经设置的多个所述传输节点的所述功能属性信息嵌入至所述数据传输路径。
3.根据权利要求1所述的方法,其特征在于,对所述待传输SRV6报文中的所述内层数据进行加解密处理,包括:
通过对所述内层数据进行解析,以确定所述待传输SRV6报文是否加密;
响应于所述待传输SRV6报文为未加密报文,对所述未加密报文中的所述内层数据进行加密处理;
响应于所述待传输SRV6报文为已加密报文,对所述已加密报文中的内层数据进行解密处理。
4.根据权利要求3所述的方法,其特征在于,对所述数据传输路径进行加密安全配置时还为所述数据传输路径配置IPSEC安全协议,所述IPSEC安全协议包括认证头协议与封装安全载荷协议;
通过对所述内层数据进行解析,以确定所述待传输SRV6报文是否加密,包括:
通过对所述内层数据进行解析,以确定所述内层数据是否符合所述认证头协议与所述封装安全载荷协议所规定的封装格式;
响应于所述内层数据符合所述认证头协议与所述封装安全载荷协议所规定的封装格式,确定所述待传输SRV6报文为已加密报文;
响应于所述内层数据不符合所述认证头协议与所述封装安全载荷协议所规定的封装格式,确定所述待传输SRV6报文为未加密报文。
5.根据权利要求3所述的方法,其特征在于,对所述未加密报文中的所述内层数据进行加密处理,包括:
判断所述数据传输路径对应的安全联盟是否已建立;
响应于所述安全联盟未建立,针对所述数据传输路径进行协商以建立安全联盟;
响应于所述安全联盟已建立,对所述内层数据进行加密封装。
6.根据权利要求1所述的方法,其特征在于,在所述数据传输路径中,加解密类型的所述传输节点对应设置有加解密引擎;
在所述功能属性信息表征加解密类型的情况下,确定所述当前节点为加解密节点;
将所述待传输SRV6报文引流传输至与所述加解密节点相对应的所述加解密引擎;
利用所述加解密引擎对所述待传输SRV6报文中的所述内层数据进行加解密处理。
7.根据权利要求1所述的方法,其特征在于,所述SRH报文头包括数据传输路径信息;
根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点,包括:
根据所述传输路径信息确定所述当前节点的下一传输节点,并针对所述下一传输节点确定新的SRH报文头;
将新的SRH报文头与所述加解密处理结果组合生成新的SRV6报文,并将其发送至下一传输节点。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述数据传输路径中的首节点为加解密类型,所述首节点对所述待传输SRV6报文执行入隧道操作后再对所述待传输SRV6报文中的内层数据进行加解密操作;
响应于所述数据传输路径中的尾节点为加解密类型,所述尾节点对所述待传输SRV6报文中的内层数据进行加解密处理后再执行后续处理。
9.一种SRV6报文加密传输装置,其特征在于,所述装置应用于数据传输路径中的传输节点,所述数据传输路径中至少包含两个加解密类型的传输节点,所述数据传输路径中的传输节点预先配置有功能属性信息,所述功能属性信息用于表征所述传输节点的类型,所述类型包括加解密类型或者传输类型;所述装置包括:
功能属性信息读取模块,用于针对待传输SRV6报文,读取当前节点配置的所述功能属性信息;所述待传输SRV6报文中包括SRH报文头和内层数据;
加解密处理模块,用于在所述功能属性信息表征加解密类型的情况下,对所述待传输SRV6报文中的所述内层数据进行加解密处理,以生成对应的加解密处理结果;以及
报文更新传输模块,用于根据所述加解密处理结果与所述待传输SRV6报文中的所述SRH报文头生成新的SRV6报文,并将所述新的SRV6报文发送至所述数据传输路径中的下一传输节点。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310801473.0A CN116527405B (zh) | 2023-06-30 | 2023-06-30 | 一种srv6报文加密传输方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310801473.0A CN116527405B (zh) | 2023-06-30 | 2023-06-30 | 一种srv6报文加密传输方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116527405A true CN116527405A (zh) | 2023-08-01 |
| CN116527405B CN116527405B (zh) | 2023-09-05 |
Family
ID=87408606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310801473.0A Active CN116527405B (zh) | 2023-06-30 | 2023-06-30 | 一种srv6报文加密传输方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116527405B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117376036A (zh) * | 2023-12-08 | 2024-01-09 | 无锡沐创集成电路设计有限公司 | 操作系统的启动方法、装置、智能网卡、介质及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112600802A (zh) * | 2020-12-04 | 2021-04-02 | 盛科网络(苏州)有限公司 | 一种SRv6加密报文、SRv6报文的加解密方法及装置 |
| CN113852552A (zh) * | 2021-09-23 | 2021-12-28 | 网络通信与安全紫金山实验室 | 一种网络通讯方法、系统与存储介质 |
| WO2023030160A1 (zh) * | 2021-08-31 | 2023-03-09 | 华为技术有限公司 | 发送报文的方法、网络设备、存储介质及程序产品 |
| CN115865845A (zh) * | 2022-11-25 | 2023-03-28 | 江苏省未来网络创新研究院 | 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法 |
| US20230102984A1 (en) * | 2020-05-19 | 2023-03-30 | Huawei Technologies Co., Ltd. | METHOD AND APPARATUS FOR VERIFYING SRv6 PACKET |
| CN115941227A (zh) * | 2021-08-31 | 2023-04-07 | 华为技术有限公司 | 发送报文的方法、网络设备、存储介质及程序产品 |
-
2023
- 2023-06-30 CN CN202310801473.0A patent/CN116527405B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230102984A1 (en) * | 2020-05-19 | 2023-03-30 | Huawei Technologies Co., Ltd. | METHOD AND APPARATUS FOR VERIFYING SRv6 PACKET |
| CN112600802A (zh) * | 2020-12-04 | 2021-04-02 | 盛科网络(苏州)有限公司 | 一种SRv6加密报文、SRv6报文的加解密方法及装置 |
| WO2023030160A1 (zh) * | 2021-08-31 | 2023-03-09 | 华为技术有限公司 | 发送报文的方法、网络设备、存储介质及程序产品 |
| CN115941227A (zh) * | 2021-08-31 | 2023-04-07 | 华为技术有限公司 | 发送报文的方法、网络设备、存储介质及程序产品 |
| CN113852552A (zh) * | 2021-09-23 | 2021-12-28 | 网络通信与安全紫金山实验室 | 一种网络通讯方法、系统与存储介质 |
| CN115865845A (zh) * | 2022-11-25 | 2023-03-28 | 江苏省未来网络创新研究院 | 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法 |
Non-Patent Citations (1)
| Title |
|---|
| C. LI; Z. LI;HUAWEI;C. XIE; CHINA TELECOM; H. TIAN; CAICT;J. MAO;HUAWEI;: "Security Considerations for SRv6 Networks draft-li-spring-srv6-security-consideration-04", IETF * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117376036A (zh) * | 2023-12-08 | 2024-01-09 | 无锡沐创集成电路设计有限公司 | 操作系统的启动方法、装置、智能网卡、介质及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116527405B (zh) | 2023-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5948001B2 (ja) | 所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー | |
| US20190229903A1 (en) | Hardware offload for quic connections | |
| EP3157225B1 (en) | Encrypted ccnx | |
| JP2009246801A (ja) | 分割されたパケットの暗号化方法、分割暗号化パケットの復号方法、暗号化装置及びプログラム | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN113852552B (zh) | 一种网络通讯方法、系统与存储介质 | |
| CN116527405B (zh) | 一种srv6报文加密传输方法、装置及电子设备 | |
| EP4387190A1 (en) | Packet sending method, network device, storage medium, and program product | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| WO2019076000A1 (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| US11671410B2 (en) | Providing enrichment information using hypertext transfer protocol secure (HTTPS) | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| CN109981820A (zh) | 一种报文转发方法及装置 | |
| CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
| EP4287550A1 (en) | Packet processing method, client end device, server end device, and computer-readable medium | |
| CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| CN107431691A (zh) | 一种数据包传输方法、装置、节点设备以及系统 | |
| CN113141339A (zh) | 一种sr报文传输方法、装置及系统 | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 | |
| CN115941227A (zh) | 发送报文的方法、网络设备、存储介质及程序产品 | |
| CN113497788A (zh) | 数据处理方法及装置 | |
| CN112470438A (zh) | 用于发现中间功能和选择两个通信装置之间的路径的方法 | |
| WO2019076025A1 (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| CN115801656B (zh) | 基于加解密的SRv6路径认证方法、节点、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |