CN116846566A - 一种报文传输方法及相关设备 - Google Patents

一种报文传输方法及相关设备 Download PDF

Info

Publication number
CN116846566A
CN116846566A CN202210288718.XA CN202210288718A CN116846566A CN 116846566 A CN116846566 A CN 116846566A CN 202210288718 A CN202210288718 A CN 202210288718A CN 116846566 A CN116846566 A CN 116846566A
Authority
CN
China
Prior art keywords
node
edge node
security
sid
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210288718.XA
Other languages
English (en)
Inventor
史玉林
韩涛
赵凤华
赵宇萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huawei Digital Technologies Co Ltd
Original Assignee
Beijing Huawei Digital Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huawei Digital Technologies Co Ltd filed Critical Beijing Huawei Digital Technologies Co Ltd
Priority to CN202210288718.XA priority Critical patent/CN116846566A/zh
Priority to PCT/CN2023/070317 priority patent/WO2023179174A1/zh
Publication of CN116846566A publication Critical patent/CN116846566A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种报文传输方法及相关设备,用于基于隧道路径安全策略灵活编排分段路由列表,更加灵活地增强网络安全。本申请实施例方法包括:根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息。根据转发拓扑信息和分段路由隧道的安全策略生成增强安全功能分段路由信息。将第一路径压入分段路由列表。确定分段路由列表中的多个增强安全功能SID通过规则检查。发送分组报文,分组报文包括第一增强安全功能SID。

Description

一种报文传输方法及相关设备
技术领域
本申请实施例涉及数据传输领域,尤其涉及一种报文传输方法及相关设备。
背景技术
网际协议版本4(Internet Protocol version 4,IPv4)技术发展遇到了可扩展性问题,设计之初没有想到会有这么多的设备接入IP网络,由此触发了网际协议版本6(Internet Protocol version 6,IPv6)技术的发展。
为了解决IPv4和IPv6的兼容性问题,现有的技术方案是采用互联网安全协议(Internet Protocol Security,IPSec)这一网络协议,IPSec用来为IPv4和IPv6提供可互操作的、高质量的、基于加密的安全服务。IPSec提供的安全服务是在IP层提供的,是以标准的方式,对IP层和承载在IP层上的所有协议提供保护。使用IPsec可以保护在一对主机之间、一对安全网关之间、一个安全网关与一个主机之间的一条或多条路径。在IPSec支持的隧道模式下,把需要保护的整个IP数据包封装在新的IP包中,作为新报文的载荷,然后再在外部增加一个新的IP头。
现有的IPSec技术是一种点到点的隧道加密技术,例如对于IPv6分段路由(Segment Routing IPv6,SRv6)Policy隧道,仅能在隧道的首节点和尾节点进行部署隧道加密。在实际部署过程中,SRv6隧道可能穿越多个信任域,对于不同的信任域有不同的安全要求。
发明内容
本申请实施例提供了一种报文传输方法及相关设备,用于基于隧道路径安全策略灵活编排分段路由列表,更加灵活地增强网络安全。
本申请实施例第一方面提供了一种报文传输方法,该方法应用于分段路由网络,分段路由网络包括控制器、第一边缘节点、至少一个中心节点和第二边缘节点,第一边缘节点、至少一个中心节点和第二边缘节点依次连接建成分段路由隧道,该方法包括:第一边缘节点根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息;第一边缘节点根据转发拓扑信息和分段路由隧道的安全策略生成增强安全功能分段路由信息,增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,第一增强安全功能SID与第二边缘节点的安全联盟SA标识匹配;第一边缘节点将第一路径压入分段路由列表;第一边缘节点确定分段路由列表中的多个增强安全功能SID通过规则检查,多个增强安全功能SID包括第一增强安全功能SID和至少一个中心节点和第二边缘节点分别发送的增强安全功能SID;第一边缘节点发送分组报文,分组报文包括第一增强安全功能SID。
该种可能的实现方式中,分段路由节点发布增强安全功能SID,第一边缘节点可以基于隧道路径安全策略灵活编排分段路由列表,通过使用增强安全功能SID对现有网络系统改动少,容易部署,可以灵活地增强网络的安全性能。
在第一方面的一种可能的实现方式中,在上述第一边缘节点根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息之前,上述方法还包括:第一边缘节点分别与至少一个中心节点和第二边缘节点协商构建安全联盟;第一边缘节点生成第一增强安全功能SID;第一边缘节点将第一增强安全功能SID发送给控制器、至少一个中心节点和第二边缘节点;第一边缘节点接收至少一个中心节点和第二边缘节点分别发送的多个增强安全功能SID。
在第一方面的一种可能的实现方式中,上述第一边缘节点将第一路径压入分段路由列表,包括:第一边缘节点根据多个增强安全功能SID生成第一路径,并将第一路径压入分段路由列表;或述第一边缘节点将第一增强安全功能SID发送给控制器,以使得控制器根据转发逻辑生成第一路径,并将第一路径下发到第一边缘节点。
在第一方面的一种可能的实现方式中,上述方法还包括:若第一边缘节点确定安全联盟的安全能力减弱,第一边缘节点向至少一个中心节点、第二边缘节点和/或控制器发送SID撤销信息,SID撤销信息指示至少一个中心节点、第二边缘节点和/或控制器撤销第一增强安全功能SID。
在第一方面的一种可能的实现方式中,上述第一边缘节点确定安全联盟的安全能力减弱包括:第一边缘节点确定安全联盟中的网络节点设备关系变更和/或安全联盟的关键参数变更;第一边缘节点根据安全联盟关键参数和SID的增强安全功能能力确定安全联盟的安全能力减弱。
在第一方面的一种可能的实现方式中,上述第一增强安全功能SID包括定位符网络节点标识、功能编码和参数,其中定位符网络节点标识为网络拓扑中用于路由和转发报文到一个网络节点的节点标识;功能编码包括设备预先设定的设备指令,功能编码实现增强安全功能、加密、解密、联合加密和完整性、联合解密和完整性、认证添加、认证验证能力和安全增强等功能;参数用于定义安全增强能力的服务信息;或定位符网络节点标识为网络拓扑中一个网络节点的标识,用于路由和转发报文到该节点,功能编码包括设备预先设定的设备指令,参数用于定义安全增强能力的服务信息,服务信息用于实现增强安全功能、加密、解密、联合加密和完整性、联合解密和完整性、认证添加、认证验证能力和安全增强等功能。
在第一方面的一种可能的实现方式中,上述分组报文包括IPv6标准报文头、分段路由报文头、至少一个封装安全负载扩展头、至少一个扩展头、IP分组报文有效载荷、至少一个封装安全负载尾和至少一个分组报文完整性校验值ICV;或分组报文包括IPv6标准报文头、分段路由报文头、至少一个封装安全负载扩展头、至少一个扩展头和IP分组报文有效载荷。
在第一方面的一种可能的实现方式中,上述方法还包括:第一边缘节点对分组报文进行至少一次联合加密和完整性增强。
在第一方面的一种可能的实现方式中,上述第一边缘节点对分组报文进行联合加密和完整性增强,包括:第一边缘节点根据安全联盟SA构造安全负载扩展选项头关键信息;第一边缘节点插入安全扩展选项头;第一边缘节点构造封装安全负载尾,并添加到原始报文尾部,和原始IP分组报文净荷组成新的分组报文有效载荷;第一边缘节点使用SA中的密钥和对应算法对分组报文有效载荷加密,若加密算法需要使用初始向量IV,则可以IV={SPI||SN},其中SPI为安全参数,SN为报文安全序列号;第一边缘节点对分组报文进行分组报文完整性校验值ICV计算添加到分组报文尾部;第一边缘节点更新分组报文相关域。
本申请实施例第二方面提供了一种报文传输方法,该方法应用于分段路由网络,分段路由网络包括第一边缘节点、至少一个中心节点和第二边缘节点,第一边缘节点、至少一个中心节点和第二边缘节点依次连接建成分段路由隧道,目标网络节点为至少一个中心节点和第二边缘节点中的任一个,该方法包括:目标网络节点接收第一边缘节点发送的分组报文,目标网络节点为至少一个中心节点和第二边缘节点中的任一个;目标网络节点解析分组报文的扩展头RH为封装安全负载扩展头;目标网络节点提取封装安全扩展头中的信息;目标网络节点通过安全联盟SA关联的密钥和加密算法对分组报文进行解密完整性计算,并将计算的完整性值和报文携带的完整性校验值ICV进行比较进行完整性验证;若比较结果一致确定完整性验证通过;若完整性验证通过,目标网络节点根据SA关联的密钥和加密算法对分组报文进行解密;目标网络节点移除分组报文相关联的封装安全负载扩展头和封装安全负载尾,并更新分组报文相关域。
在第二方面的一种可能的实现方式中,在上述目标网络节点解析分组报文的扩展头RH为封装安全负载扩展头之前,上述方法还包括:目标网络节点解析分段路由剩余分段SL是否合法;若SL合法,则目标网络节点使用IPv6标准报文头中查找IPv6 FIB表,若发现DIP是本地路由,则目标网络节点使用分段路由扩展头SRH当前SID继续查找本地SID;若目标网络节点命中本地SID,则目标网络节点按照命中的SID中的转发动作功能定义和参数关联到相关的SA,或目标网络节点直接通过SID关联到相关的SA;目标网络节点根据SID转发动作功能定义和SA确定具体执行行为。
在第二方面的一种可能的实现方式中,上述目标网络节点通过SA关联的密钥和加密算法对分组报文进行解密完整性计算,包括:目标网络节点确定分组报文的认证计算字域范围,认证计算字域范围包括分组报文的IPv6标准头、所有增强安全功能分段路由列表和封装认证扩展头;目标网络节点通过SA关联的密钥和加密算法,根据认证计算字域范围对分组报文进行解密完整性计算,其中,对于认证计算字域范围中的可变字段,目标网络节点通过预置对应值进行解密完整性计算。
在第二方面的一种可能的实现方式中,上述认证计算字域范围还包括:至少一个扩展头和IP分组报文有效载荷。
本申请第三方面提供一种第一边缘节点,该第一边缘节点具有实现上述第一方面或第一方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块,例如:生成模块。
本申请第四方面提供一种目标网络节点,该目标网络节点具有实现上述第二方面或第二方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块,例如:接收模块。
本申请第五方面提供一种第一边缘节点,该第一边缘节点包括至少一个处理器、存储器、输入/输出(input/output,I/O)接口以及存储在存储器中并可在处理器上运行的计算机执行指令,当计算机执行指令被处理器执行时,处理器执行如上述第一方面或第一方面任意一种可能的实现方式的方法。
本申请第六方面提供一种目标网络节点,该目标网络节点包括至少一个处理器、存储器、输入/输出(input/output,I/O)接口以及存储在存储器中并可在处理器上运行的计算机执行指令,当计算机执行指令被处理器执行时,处理器执行如上述第二方面或第二方面任意一种可能的实现方式的方法。
本申请第七方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质,当计算机执行指令被处理器执行时,处理器执行如上述第一方面或第一方面任意一种可能的实现方式的方法。
本申请第八方面提供一种存储一个或多个计算机执行指令的计算机可读存储介质,当计算机执行指令被处理器执行时,处理器执行如上述第二方面或第二方面任意一种可能的实现方式的方法。
本申请第九方面提供一种存储一个或多个计算机执行指令的计算机程序产品,当计算机执行指令被处理器执行时,处理器执行如上述第一方面或第一方面任意一种可能的实现方式的方法。
本申请第十方面提供一种存储一个或多个计算机执行指令的计算机程序产品,当计算机执行指令被处理器执行时,处理器执行如上述第二方面或第二方面任意一种可能的实现方式的方法。
本申请第十一方面提供了一种芯片系统,该芯片系统包括至少一个处理器,至少一个处理器用于实现上述第一方面或第一方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中,芯片系统还可以包括存储器,存储器,用于保存处理人工智能模型的装置必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
本申请第十二方面提供了一种芯片系统,该芯片系统包括至少一个处理器,至少一个处理器用于实现上述第二方面或第二方面任意一种可能的实现方式中所涉及的功能。在一种可能的设计中,芯片系统还可以包括存储器,存储器,用于保存处理人工智能模型的装置必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例中,分段路由节点发布增强安全功能SID,第一边缘节点可以基于隧道路径安全策略灵活编排分段路由列表,通过使用增强安全功能SID对现有网络系统改动少,容易部署,可以灵活地增强网络的安全性能。
附图说明
图1为隧道模式下的一个报文结构示意图;
图2为SRv6网络系统的一个网络架构图;
图3为本申请实施例中通信机构的一个结构示意图;
图4为本申请实施例中线卡或者业务卡的一个结构示意图;
图5为本申请实施例中SRv6网络系统的一个网络架构图;
图6为本申请实施例中报文传输方法的一个流程示意图;
图7为本申请实施例中增强安全功能段列表身份SID的一个编码方式示意图;
图8为本申请实施例中增强安全功能段列表身份SID的另一个编码方式示意图;
图9为本申请实施例中撤销增强安全功能段列表身份SID的一个流程示意图;
图10为本申请实施例中将分段路由信息压入分段路由列表的一个流程示意图;
图11为本申请实施例中分组报文的一个格式示意图;
图12为本申请实施例中二次联合加密和完整性增强的一个流程示意图;
图13a为本申请实施例中分组报文的一个格式示意图;
图13b为本申请实施例中分组报文的另一个格式示意图;
图14为本申请实施例中报文传输方法的另一个流程示意图;
图15为本申请实施例中解析分段路由剩余分段SL是否合法的一个流程示意图;
图16为本申请实施例中解密和完整性处理的一个流程示意图;
图17为本申请实施例中网络拓扑的一个架构示意图;
图18a和18b为本申请实施例中报文传输的第一个信号流程图;
图19a和19b为本申请实施例中报文传输的第二个信号流程图;
图20a和20b为本申请实施例中报文传输的第三个信号流程图;
图21a和21b为本申请实施例中报文传输的第四个信号流程图;
图22为本申请实施例中第一边缘节点的一个结构示意图;
图23为本申请实施例中目标网络节点的一个结构示意图;
图24为本申请实施例中第一边缘节点的另一个结构示意图;
图25为本申请实施例中目标网络节点的另一个结构示意图。
具体实施方式
本申请实施例提供了一种报文传输方法及相关设备,用于基于隧道路径安全策略灵活编排分段路由列表,更加灵活地增强网络安全。
下面结合附图,对本申请的实施例进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着技术的发展和新场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为隧道模式下的一个报文结构示意图。如图1所示,网际协议版本4(InternetProtocol version 4,IPv4)技术发展遇到了可扩展性问题,设计之初没有想到会有这么多的设备接入IP网络,由此触发了网际协议版本6(Internet Protocol version 6,IPv6)技术的发展。为了解决IPv4和IPv6的兼容性问题,现有的技术方案是采用互联网安全协议(Internet Protocol Security,IPSec)这一网络协议,IPSec用来为IPv4和IPv6提供可互操作的、高质量的、基于加密的安全服务。IPSec提供的安全服务是在IP层提供的,是以标准的方式,对IP层和承载在IP层上的所有协议提供保护。使用IPsec可以保护在一对主机之间、一对安全网关之间、一个安全网关与一个主机之间的一条或多条路径。如图1所示,在IPSec支持的隧道模式下,把需要保护的整个IP数据包封装在新的IP包中,作为新报文的载荷,然后再在外部增加一个新的IP头。
图2为SRv6网络系统的一个网络架构图。如图2所示,现有的IPSec技术是一种点到点的隧道加密技术,例如对于SRv6 Policy隧道,仅能在隧道的首节点和尾节点进行部署隧道加密。如图2所示,在SRv6网络系统实际部署过程中,SRv6隧道可能穿越多个信任域,多个信任域可以是指客户网络穿越多个运营商的网络,每个运营商网络可以认为是一个信任域,对于不同的信任域有不同的安全要求。
图3为本申请实施例中通信机构的一个结构示意图。如图3所示,本申请实施例中的报文传输方法应用于一种通信机构,该通信机构可以是第一边缘节点、至少一个中心节点、第二边缘节点和/或控制器,该通信机构包括至少一个路由处理器、线卡和业务处理卡,该路由处理器可以根据交换信息的路由协议和路由信息库(Routing Information Base,RIB)等进行业务处理;该线卡可以包括一个或多个网络处理器,一个或多个专用集成电路(Application Specific Integrated Circuit,ASIC),例如数据转发转发表(ForwardingInformation base,FIB);该业务处理卡可以包括一个或多个异构处理器,该异构处理器具有加密、解密和认证等安全处理引擎或软件处理能力。
图4为本申请实施例中线卡或者业务卡的一个结构示意图。如图4所示,该线卡或者业务卡包括一个或多个处理器、一个或多个存储有应用程序或者业务数据的存储器、加密和解密引擎、一个或多个网络数据接口和一个或多个网络处理器。
图5为本申请实施例中SRv6网络系统的一个网络架构图。如图5所示,本申请实施例提供了一种报文传输方法,该方法应用于分段路由网络,该分段路由网络包括控制器、第一边缘节点、至少一个中心节点和第二边缘节点,第一边缘节点、至少一个中心节点和第二边缘节点依次连接建成分段路由隧道,该分段路由网络应用于IPv6分段路由(SegmentRouting IPv6,SRv6)网络系统。该SRv6网络系统还包括报文传输的源节点和目的节点,第一边缘节点根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息;第一边缘节点根据转发拓扑信息和分段路由隧道的安全策略生成增强安全功能分段路由信息,增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,第一增强安全功能SID与第二边缘节点的安全联盟SA标识匹配;第一边缘节点将第一增强安全功能SID压入分段路由列表;或第一边缘节点将第一增强安全功能SID发送给控制器,以使得控制器根据第一增强安全功能SID所指示的增强安全功能转发逻辑控制报文转发;第一边缘节点确定分段路由列表中的多个增强安全功能SID通过规则检查,多个增强安全功能SID包括第一增强安全功能SID和至少一个中心节点和第二边缘节点分别发送的增强安全功能SID;然后第一边缘节点接收到源节点发送的分组报文后,将该分组报文进行相应处理后发送给第二边缘节点,处理后的分组报文包括第一增强安全功能SID然后第二边缘节点进行相应处理后再发送给目的节点。具体的处理方法详见后面的步骤。可以理解的是,源节点与第一边缘节点之间可以直接连接,也可以通过至少一个网络节点连接;第二边缘节点与目的节点之间可以直接连接,也可以通过至少一个网络节点连接,具体此处不做限制。
基于包括上述分段路由网络和SRv6网络系统,下面对本申请实施例中的第一边缘节点执行的报文传输方法进行描述。
图6为本申请实施例中报文传输方法的一个流程示意图。请参阅图6,本申请实施例中报文传输方法的一个流程包括:
601、分段路由网络中的网络节点协商构建安全联盟。
分段路由网络中的网络节点即第一边缘节点、至少一个中心节点和第二边缘节点之间协商组成安全联盟(Security Alliance,SA),分段路由网络中的网络节点可以通过协议进行协商组成安全联盟,也可以通过控制器手动配置组成安全联盟。分段路由发起节点即第一边缘节点也可以通过控制器通告其他相关分段路由节点安全相关信息。
协商成功后的安全联盟SA包括:用于加密或认证完整性计算密钥、安全联盟SA的ID、密钥更新策略、加密算法、完整性计算算法、用于加密算法的IV、安全参数索引(security parameter index,SPI)、加密方式和认证方式等安全联盟信息。
602、网络路由节点生成第一增强安全功能SID。
安全联盟SA中的的任意两个分段路由节点在本地生成按照业务需要生成一个或多个携带增强安全功能的SID,例如,相同网络节点标识Locator、生成一个不具备加密功能的SID、生成一个具备加密功能的SID、生成一个具备认证方式的SID和具备加密功能的SID。
图7为本申请实施例中增强安全功能段列表身份SID的一个编码方式示意图。如图7所示,一种可能的实现方式中,该携带增强安全功能的SID可以包括分段路由节点标识Locator:长度X,是网络拓扑中一个网络节点的标识,用于路由和转发报文到该节点;功能编码即转发动作功能定义Function,长度Y,代表设备的指令Instruction,这些指令都由设备预先设定,功能编码增强安全功能,安全增强包含,加密,解密,联合加密和完整性,联合解密和完整性,认证添加,认证验证能力,安全增强功能等能力,只要是能够增强网络安全的能力都可以作为增强功能编码实现。参数args:长度Z,通过Arguments字段定义安全增强能力的服务信息,例如,不同分段路由节点形成的安全联盟SA标识,安全增强参数用于安全增强功能实现的附加服务信息。
图8为本申请实施例中增强安全功能段列表身份SID的另一个编码方式示意图。如图8所示,一种可能的实现方式中,该携带增强安全功能的SID定位符网络节点标识Locator:长度X,是网络拓扑中一个网络节点的标识,用于路由和转发报文到该节点。功能编码(转发动作功能定义Function):长度Y,代表设备的指令(Instruction),这些指令都由设备预先设定,和无增强安全功能分段编码方式一致。参数(Args):长度Z,通过Arguments字段定义增强安全功能信息,例如,不同分段路由节点形成的安全联盟SA标识,安全功能编码:加密,解密,联合加密和完整性,联合解密和完整性,认证添加,认证验证编码。
本申请实施例中,该携带增强安全功能的SID可以是上述图7和图8两种编码方式中的任一种,除此之外,也可以是其他类型的编码方式,具体此处不做限定。
603、分段路由节点将增强安全功能SID发布到分段路由网络中。
分段路由网络中的每个分段路由节点将自身生成的增强安全功能SID发布到分段路由网络中,即发送给其他分段路由节点或者控制器。例如第一边缘节点可以将第一增强安全功能SID发送给至少一个中心节点和第二边缘节点,或者发送给分段路由网络中的控制器;
具体地,分段路由节点将生成的具备加密功能的SID通过协议发布到网络其他分段路由节点和/或控制器,对于链路SID一般通过协议发布给控制器,对于节点SID一般通过协议发布给分段路由网络中其他节点,该协议可以是IGP、BGP或其他用于发布SID的协议。相应地,分段路由节点接收到其他节点发布的SID,对于链路SID,控制器将全网链路SID和网络拓扑进行关联管理,对于节点SID,接收的分段路由节点按照路由优选策略形成节点SID的出接口信息。
图9为本申请实施例中撤销增强安全功能段列表身份SID的一个流程示意图。一种可能的实现方式中,如图9所示,分段路由节点还可以撤销已经发布的SID,具体如下步骤所示:
a、第一边缘节点确定安全联盟中的网络节点设备关系变更和/或安全联盟的关键参数变更。
具体地,若第一边缘节点确定安全联盟中的网络节点设备关系变更,则分段路由节点将安全联盟SA相关的增强安全功能SID通过协议进行撤销;若第一边缘节点确定安全联盟的关键参数变更,则执行步骤b。
b、第一边缘节点确定安全联盟的安全能力减弱。
第一边缘节点根据安全联盟的关键参数和已经发布的SID的增强安全功能能力确定安全联盟的安全能力减弱,且减弱的能力已经通过增强安全功能SID发布。
一种可能的实现方式中,若第一边缘节点确定安全联盟的安全能力增强,则不更新增强安全功能SID。
c、若第一边缘节点确定安全联盟的安全能力减弱,第一边缘节点向至少一个中心节点、第二边缘节点和/或控制器发送SID撤销信息,SID撤销信息指示至少一个中心节点、第二边缘节点和/或控制器撤销SID。
相应地,第一边缘节点接收至少一个中心节点和第二边缘节点分别发送的多个增强安全功能SID。
604、第一边缘节点确定转发拓扑信息。
第一边缘节点根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息。
605、第一边缘节点建立分段路由隧道。
第一边缘节点建立分段路由隧道,该分段路由隧道用于承担分组报文的转发。第一边缘节点根据隧道转发路径业务要求,建立源到远端目的分段路由节点(尾节点PE)转发拓扑。
具体地,一种可能的实现方式中,分段路由网络中的分段路由节点会将分段路由信息通过内部网关协议(Interior Gateway Protocol,IGP)发布到分段路由网络中,该分段路由信息可以用于帮助其他节点设备将报文转发到发布该网络节点标识Locator的节点。
然后接收到分段路由信息的第一边缘节点,根据学习到的全网分段路由段列表身份(Segment ID list,SID)和隧道目的选择可达路径,确定分段路由列表,该分段路由列表包括分组报文可到达的转发路径,从而第一边缘节点可以根据分段路由列表指导IP分组报文转发路径。然后第一边缘节点根据分段路由列表确定分组报文的转发路径,从而建立分段路由隧道。分段路由网络第一边缘节点根据隧道转发路径业务要求,建立源到远端第二边缘节点转发拓扑。
具体地,一种可能的实现方式中,分段路由网络中的每个分段路由节点会将分段路由信息通过边界网关协议(Border Gateway Protocol,BGP)发送给分段路由网络中的控制器,从而使得控制器可以收集到整个网络中的分段网络节点标识Locator路由。然后控制器根据学习到的全网分段路由SID,计算符合IP分组报文转发的隧道路径,通过BGP SR-Policy下发到第一边缘节点。
分段路由网络第一边缘节点根据隧道转发路径业务要求,建立源到远端第二边缘节点转发拓扑。第一边缘节点接收控制器发送的分组报文的转发路径,分组报文的转发路径为控制器根据分段路由列表确定的,全网分段路由列表为控制器根据分段路由信息确定的,从而建立分段路由隧道。
606、第一边缘节点生成增强安全功能分段路由信息。
第一边缘节点根据转发拓扑信息和分段路由隧道的安全策略生成增强安全功能分段路由信息,增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,第一增强安全功能SID与第二边缘节点的安全联盟SA标识匹配。
607、第一边缘节点确定分段路由列表中的多个增强安全功能SID通过规则检查。
第一边缘节点确定分段路由列表中的多个增强安全功能SID通过规则检查,多个增强安全功能SID包括第一增强安全功能SID和至少一个中心节点和第二边缘节点分别发送的增强安全功能SID。
第一边缘节点进行增强安全功能SID列表规则检查,若规则检查通过,则发送包含增强安全功能SID分段路由信息的分组报文;若规则检查不通过,则隧道建立失败。
本申请实施例中第一边缘节点进行规则检查可以包括:1、检查所有增强安全功能SID是否成对匹配(包含隐式表达分段路由SID),数量能被2整除,且增强安全功能SID中参数信息匹配;2、检查匹配SID之间关系,不同参数信息匹配的增强安全功能SID不允许出现交叉,例如,不允许1-2-1-2方式交叉,允许以1-1-2-2或1-2-2-1形式出现。除此之外,也可以是其他规则检查方式,具体此处不做限制。
608、第一边缘节点将第一路径压入分段路由列表。
第一边缘节点将第一路径压入分段路由列表,该第一路径为第一边缘节点发送报文的路径。
第一边缘节点根据所述多个增强安全功能SID生成第一路径,并将所述第一路径压入所述分段路由列表;或第一边缘节点将第一增强安全功能SID发送给控制器,以使得控制器根据转发逻辑生成第一路径,并将第一路径下发到第一边缘节点。
图10为本申请实施例中将分段路由信息压入分段路由列表的一个流程示意图。如图10,第一边缘节点将分段路由压入分段路由列表,若是分段路由首节点,可选两种方式,一种是压入分段路由列表,使用分段路由列表显式的表达增强安全功能SID,另外一种方式,不显式压入分段路由列表,通过控制面管理隐式表达增强安全功能转发逻辑。
然后第一边缘节点判断是否还有剩余分段路由信息没有压入分段路由头列表,若还有,则继续进行安全策略构建增强安全功能SID;若没有剩余分段路由信息,则对整个完整的分段路由列表中包含增强安全功能SID进行规则检查。
609、第一边缘节点对分组报文进行联合加密和完整性增强。
第一边缘节点对分组报文进行至少一次联合加密和完整性增强。
具体地,第一边缘节点可以通过以下步骤对分组报文进行联合加密和完整性增强。
第一边缘节点根据安全联盟SA构造安全负载扩展选项头关键信息。
第一边缘节点插入安全扩展选项头。
第一边缘节点构造封装安全负载尾,并添加到原始报文尾部,和原始IP分组报文净荷组成新的分组报文有效载荷。
第一边缘节点使用SA中的密钥和对应算法对分组报文有效载荷加密,若加密算法需要使用初始向量IV,则可以IV={SPI||SN},其中SPI为安全参数,SN为报文安全序列号。
第一边缘节点对分组报文进行分组报文完整性校验值ICV计算添加到分组报文尾部。
第一边缘节点更新分组报文相关域。
本申请实施例中,分段路由网络中的网络节点会对分组报文进行至少一次联合加密和完整性增强,相应地,也会进行相对应地至少一次联合解密和完整性处理。例如当分段路由网络中的网路节点进行两次联合加密和完整性增强,相应地进行两次联合解密和完整性处理,这两次联合加密和完整性增强和两次联合解密和完整性处理不允许A-B-a-b方式交叉,允许以A-a-B-b或A-B-b-a组合形式出现,(此处的A为第一次联合加密和完整性增强,B为第二次联合加密和完整性增强,a为第一次联合解密和完整性处理,b为联合解密和完整性处理)。除此之外,也可以是其他组合形式,具体此处不做限制。
图11为本申请实施例中分组报文的一个格式示意图。如图11所示,源节点会对报文进行第一次联合加密和完整性增强安全功能生成分组报文,一次加密数据范围从可选的一个或多个扩展头到封装安全负载尾No.1,完整性计算附加认证数据为封装安全负载扩展头No.1,其他数据为一次加密数据密文;完整性计算值ICVNo.1明文追加在封装安全负载尾No.1后面。然后源节点将分组报文发送给第一边缘节点。
第一边缘节点对分组报文进行第二次联合加密和完整性增强安全功能,二次加密数据范围从封装安全负载扩展头No.1到封装安全负载尾No.2,其中包括第一次计算产生的密文及ICVNo.1,完整性计算附加认证数据为封装安全负载扩展头No.2,其他数据为第二次加密数据密文;完整性计算值ICVNo.2明文追加在封装安全负载尾No.2后面。
图12为本申请实施例中二次联合加密和完整性增强的一个流程示意图。如图12所示,第一边缘节点对分组报文进行第二次联合加密和完整性增强安全功能可以包括如下步骤:
a、根据安全联盟SA构造安全负载扩展选项头关键信息,例如SPI,SN组成封装安全负载扩展头,扩展头可以是标准加密扩展头,也可以是自己定义的扩展头。
b、在RH后插入安全扩展选项头。
c、构造封装安全负载尾,并添加到原始报文尾部,和原始IP分组报文净荷组成新的分组报文Payload。本申请实施例中,也可以不执行步骤c,具体此处不做限定。
d、使用SA中的密钥和对应算法对分组报文Payload加密,若加密算法需要使用IV,例如AES-GCM算法,则可以IV={SPI||SN},不额外增加IV在报文中传输,节省报文额外负荷。
e、对分组报文进行ICV计算添加到分组报文尾部。
f、更新分组报文相关域,IPv6标准头中的Total Length、RH扩展头中的NEXTHeader等。
610、第一边缘节点发送分组报文。
第一边缘节点发送分组报文给至少一个中心节点和第二边缘节点,分组报文包括第一增强安全功能SID。
分组报文包括IPv6标准报文头、分段路由报文头、至少一个封装安全负载扩展头、至少一个扩展头、IP分组报文有效载荷、至少一个封装安全负载尾和至少一个分组报文完整性校验值ICV;或分组报文包括IPv6标准报文头、分段路由报文头、至少一个封装安全负载扩展头、至少一个扩展头和IP分组报文有效载荷。
图13a为本申请实施例中分组报文的一个格式示意图。本申请实施例中,如图13a所示,SRv6分组报文可以包括如下格式:
a、IPv6标准报文头:包括IPv6版本号、流标记、IPv6净荷长度,下一跳扩展头,跳数限制,IPv6源IP,IPv6目的IP。
b、分段路由报文头:报文头承载在路由可选扩展头RH,路由类型4,分段路由报文头主要包含,剩余分段SL,最后分段索引,分段路由标志,组标签;分段列表包含一个或多个携带增强安全功能分段。
c、一个或多个封装安全负载扩展头,此扩展头包含安全参数SPI,报文安全序列号SN,一个或多个封装安全负载扩展头和实际增强安全功能分段的实施相关。
d、一个或多个扩展头,此扩展头为可选,此处扩展头可以是目的可选扩展头。
e、IP分组报文有效载荷,为客户IP分组报文安全处理后的净荷,若增强安全功能是加密,则有效载荷为加密后的密文。
e、一个或多个封装安全负载尾,包含padding填充,填充主要目的是,一为了适应相关的加密/完整性安全算法;另外为了保证ICV 8字节对齐,其中Next header为原始路由扩展头中Next header。
f、一个或多个分组报文完整性校验值ICV,属于可选字段,此字段在使用联合加密和完整性增强安全功能下,对安全负载扩展头及客户IP分组报文完整性计算值,或使用认证添加功能下,对安全负载扩展头及客户IP分组报文完整性计算值。
图13b为本申请实施例中分组报文的另一个格式示意图。本申请实施例中,如图13b所示,SRv6分组报文还可以包括如下格式:
a、IPv6标准报文头:包括IPv6版本号、流标记、IPv6净荷长度,下一跳扩展头,跳数限制,IPv6源IP,IPv6目的IP。
b、分段路由报文头:报文头承载在路由可选扩展头RH,路由类型4,分段路由报文头主要包含,剩余分段SL,最后分段索引,分段路由标志,组标签;分段列表包含一个或多个携带增强安全功能分段。
c、一个或多个封装认证扩展头,此扩展头包含Next Header,安全参数SPI,报文安全序列号SN,一个或多个封装认证扩展头和实际增强安全功能分段的实施相关。
d、一个或多个扩展头,此扩展头为可选,此处扩展头可以是目的可选扩展头。
e、IP分组报文有效载荷,为客户IP分组报文。
基于包括上述分段路由网络和SRv6网络系统,下面对本申请实施例中目标网络节点执行的报文传输方法进行描述,目标网络节点为至少一个中心节点和第二边缘节点中的任一个:
图14为本申请实施例中报文传输方法的另一个流程示意图。请参阅图14,本申请实施例中报文传输方法的一个流程包括:
1401、目标网络节点接收第一边缘节点发送的分组报文。
1402、目标网络节点解析分段路由剩余分段SL是否合法。
图15为本申请实施例中解析分段路由剩余分段SL是否合法的一个流程示意图。如图15所示,目标网络节点接收到源节点发送的分组报文后,早对分组报文加密和完整性增强前,目标网络节点解析分段路由SL,若SL不合法,则丢弃报文,若SL合法,进入SID查找。
然后目标网络节点使用IPv6标准报文头中的DIP查找IPv6 FIB表,若发现DIP是本地路由,则使用SRH当前SID继续查找本地SID。
目标网络节点命中本地SID,按照命中SID中的转发动作功能定义转发动作功能定义Function和参数Args关联到相关的SA,或直接通过SID关联到相关的SA。
目标网络节点根据SID转发动作功能定义FUNCTION和SA确定具体安全行为,最后的执行行为以SID:转发动作功能定义Function为准,例如,SID:转发动作功能定义Function是加密,SA定义了加密和认证,则最后执行按照加密执行。
1403、目标网络节点对分组报文进行联合解密和认证完整性。
图16为本申请实施例中解密和完整性处理的一个流程示意图。如图16所示,具体地,目标网络节点根据分组报文通过解密和完整性处理生成分组报文如下步骤所示:
a、目标网络节点解析分组报文的扩展头RH Next header为封装安全负载扩展头类型。
b、目标网络节点提取封装安全扩展头中的SPI,SN等信息,若加密算法需要使用IV,例如AES-GCM算法,则可以IV={SPI||SN},不额外增加IV在报文中传输,节省报文额外负荷。
c、目标网络节点根据SA关联的密钥和加密算法对报文进行解密完整性计算,并将计算的完整性值和报文携带的ICV进行比较,若比较结果一致,完整性验证通过,若比较结果不一致,则完整性验证不通过,直接丢弃报文。
具体地,本申请实施例中,计算使用增强安全功能的认证完整性值包括如下步骤:
a、认证计算字域范围,该认证计算字域范围包括源地址,目的地址,下一个扩展头,载荷长度,流标记,分段路由扩展头,下一个扩展头,扩展头长度,路由类型,剩余分段数目,最后分段条目(Last Entry),Flags,Tag和所有分段路由列表等信息。
b、封装认证扩展头中不变字段。
c、历史封装认证扩张头字段,例如封装认证扩展头[n],一个或多个扩展头中不变动字段,IP分组报文有效载荷。
其中,IPv6标准头中的目的地址,载荷长度,流标记在有路由扩展头,转发处理过程中可能会被变化,这里参加计算可以通过预置对应值进行计算的方式,例如,转发到分段路由列表[1]时,封装认证扩展头[1]时,预置目的地址为认证扩展头验证安全联盟分段路由节点[0],IPv6目的地址=分段路由列表[0],载荷长度和流标记也是按照类似通过预置分段路由节点[0]对应值方式进行计算。
分段路由扩展头中对于可变字段,剩余分段数目,Tag,计算采用预置对应值进行计算的方式,例如,转发到分段路由列表[1]时,封装认证扩展头[1]时,预置剩余分段数目为认证扩展头验证安全联盟分段路由节点[0],剩余分段数目=0,Tag也是按照类似通过预置分段路由节点[0]对应值方式进行计算。
本申请实施例中,计算使用增强安全功能的认证完整性值也可以是如下计算方式:
a、认证计算字域范围,该认证计算字域范围包括源地址,目的地址,下一个扩展头,载荷长度,流标记,分段路由扩展头,下一个扩展头,扩展头长度,路由类型,剩余分段数目,最后分段条目(Last Entry),Flags,Tag和所有分段路由列表等信息。
b、封装认证扩展头中不变字段。
c、历史封装认证扩张头字段,例如封装认证扩展头[n]。
其中,IPv6标准头中的目的地址,载荷长度,流标记在有路由扩展头,转发处理过程中可能会被变化,这里参加计算可以通过预置对应值进行计算的方式,例如,转发到分段路由列表[1]时,封装认证扩展头[1]时,预置目的地址为认证扩展头验证安全联盟分段路由节点[0],IPv6目的地址=分段路由列表[0],载荷长度和流标记也是按照类似通过预置分段路由节点[0]对应值方式进行计算。
分段路由扩展头中对于可变字段,剩余分段数目,Tag,计算采用预置对应值进行计算的方式,例如,转发到分段路由列表[1]时,封装认证扩展头[1]时,预置剩余分段数目为认证扩展头验证安全联盟分段路由节点[0],剩余分段数目=0,Tag也是按照类似通过预置分段路由节点[0]对应值方式进行计算。
d、目标网络节点根据SA关联的密钥和加密算法对报文进行解密。
若完整性验证通过,目标网络节点根据SA关联的密钥和加密算法对分组报文进行解密。
e、目标网络节点移除相关联的封装安全负载扩展头和封装安全负载尾,并更新分组报文相关域,例如IPv6标准头中的Total Length等。
目标网络节点移除分组报文相关联的封装安全负载扩展头和封装安全负载尾,并更新分组报文相关域。
本申请实施例为分段路由的一种报文传输方法提供如下四个实施例:
实施例一:图17为本申请实施例中网络拓扑的一个架构示意图。一个分段路由网络拓扑如图17所示。
RA至RE之间建立SRv6隧道,其中源节点T1和目的节点T2是客户IP分组报文发出和接收端。
RA分段路由节点A::1::50表示增强安全功能SID,转发动作功能定义Function=1代表联合加密和完整性,参数Args=50代表和安全联盟50关联,RE分段路由节点E::2::50表示增强安全功能SID,转发动作功能定义Function=2代表联合解密和完整性,参数Args=50代表和安全联盟50关联。
图18a和18b为本申请实施例中报文传输的第一信号流程图。如图18a和图18b所示,具体地,报文传输如下步骤所示。
源节点T1->路由节点RA:源节点T1发出原始IP分组报文。
路由节点RA(即第一边缘节点)->路由节点RB:路由节点RA即第一边缘节点根据隧道安全策略建立分段路由隧道,路由节点RA和路由节点RE使用安全联盟50形成加密配对分段路由节点,路由节点RB和路由节点RC使用安全联盟20形成加密配对分段路由节点;路由节点RA隧道首节点使用不显示压入分段路由A::1::50方式建立分段路由列表<E::2::50,D::,C::2::20,B::1::20>,路由节点RA同时根据安全联盟50对原始IP报文进行先加密后计算完整性,并添加外层IPv6标准头和S路由节点RH(S路由节点RH中压入根据安全策略形成的带增强安全功能的分段路由列表),并转发到路由节点RB。
路由节点RB->路由节点RC:命中B::1::20SID,路由节点RB依据安全联盟20按照上述两次联合加密和完整性增强安全功能报文处理进行处理,同时SL减1并转发到路由节点RC。
路由节点RC->路由节点RD:命中C::2::20SID,路由节点RB依据安全联盟20和封装安全扩展头20中的有效信息(例如,SPI,SN,单不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,同时SL减1并转发到路由节点RD。
路由节点RD->路由节点RE(即第二边缘节点):命中D::SID,无增强安全功能,按照正常S路由节点Rv6转发处理,转发到路由节点RE。
路由节点RE->目的节点T2:命中E::2::50SID,路由节点RB依据安全联盟50和封装安全扩展头50中的有效信息(例如,SPI,SN,单不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,去除外层IPv6封装,并转发到目的节点T2。
实施例二:一个分段路由网络拓扑如图17所示。
RA和RE之间建立SRv6隧道,其中源节点T1和目的节点T2是客户IP分组报文发出和接收端。
图19a和19b为本申请实施例中报文传输的第二信号流程图。如图19a和图19b所示,具体地,报文传输如下步骤所示。
源节点T1->路由节点RA:源节点T1发出原始IP分组报文。
路由节点RA->路由节点RB:RA根据隧道安全策略建立分段路由隧道,RA和RE使用安全联盟50形成加密配对分段路由节点,RB和RC使用安全联盟20形成加密配对分段路由节点;RA隧道首节点使用显示压入分段路由A::1::50方式建立分段路由列表<E::2::50,D::,C::2::20,B::1::20,A::1::50>,SL=4,RA上行转发命中A::1::50SID,根据安全联盟50对原始IP报文进行先加密后计算完整性,并添加外层IPv6标准头和SRH(SRH中压入根据安全策略形成的带增强安全功能的分段路由列表),SL减1查找B::1::20路由转发到RB。
路由节点RB->路由节点RC:命中B::1::20SID,RB依据安全联盟20按照上述两次联合加密和完整性增强安全功能报文处理进行处理,同时SL减1并转发到RC。
路由节点RC->路由节点RD:命中C::2::20SID,RB依据安全联盟20和封装安全扩展头20中的有效信息(例如,SPI,SN,单不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,同时SL减1并转发到RD。
路由节点RD->路由节点RE:命中D::SID,无增强安全功能,按照正常SRv6转发处理,转发到RE。
路由节点RE->路由节点T2:命中E::2::50SID,RB依据安全联盟50和封装安全扩展头50中的有效信息(例如,SPI,SN,不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,去除外层IPv6封装,并转发到T2。
实施例三:一个分段路由网络拓扑如图17所示:RA至RE之间建立SRv6隧道,其中源节点T1和目的节点T2是客户IP分组报文发出和接收端。
图20a和20b为本申请实施例中报文传输的第三个信号流程图。如图20a和图20b所示,具体地,报文传输如下步骤所示:
源节点T1->路由节点RA:源节点T1发出原始IP分组报文。
路由节点RA->路由节点RB:RA根据隧道安全策略建立分段路由隧道,RD和RE使用安全联盟50形成加密配对分段路由节点,RB和RC使用安全联盟20形成加密配对分段路由节点;RA隧道首节点建立分段路由列表<E::2::40,D::1::40,C::2::20,B::1::20>,并添加外层IPv6标准头和SRH(SRH中压入根据安全策略形成的带增强安全功能的分段路由列表),SL=3,并转发到RB。
路由节点RB->路由节点RC:命中B::1::20SID,RB依据安全联盟20按照图7(分段路由节点处理流程)对报文进行联合加密和完整性进行处理,同时SL减1并转发到RC。
路由节点RC->路由节点RD:命中C::2::20SID,RB依据安全联盟20和封装安全扩展头20中的有效信息(例如,SPI,SN,不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,同时SL减1并转发到RD。
路由节点RD->路由节点RE:命中D::1::40SID,RD依据安全联盟40按照上述分段路由节点处理流程对报文进行联合加密和完整性进行处理,同时SL减1并转发到RC。
路由节点RE->目的节点T2:命中E::2::40SID,RB依据安全联盟40和封装安全扩展头40中的有效信息(例如,SPI,SN,单不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,去除外层IPv6封装,并转发到T2。
实施例四:一个分段路由网络拓扑如图17所示:RA至RE之间建立SRv6隧道,其中源节点T1和目的节点T2是客户IP分组报文发出和接收端。
图21a和21b为本申请实施例中报文传输的第四个信号流程图。如图21a和图21b所示,具体地,报文传输如下步骤所示。
源节点T1->路由节点RA:源节点T1发出原始IP分组报文。
路由节点RA->路由节点RB:RA根据隧道安全策略建立分段路由隧道,RA和RE使用安全联盟50形成加密配对分段路由节点,RB和RC使用安全联盟20形成加密配对分段路由节点;RA隧道首节点使用不显示压入分段路由A::1::50方式建立分段路由列表<T2::,E::2::50,D::,C::2::20,B::1::20>,RA同时根据安全联盟50对原始IP报文净荷进行先加密后计算完整性,并将SRH(SRH中压入根据安全策略形成的带增强安全功能的分段路由列表)插入到IPv6标准头(IPv6 SA=T1::,IPv6 DA=B::1::20),SL=4,并转发到RB。
路由节点RB->路由节点RC:命中B::1::20SID,RB依据安全联盟20按照上述两次联合加密和完整性增强安全功能报文处理进行处理,同时SL减1并转发到RC。
路由节点RC->路由节点RD:命中C::2::20SID,RB依据安全联盟20和封装安全扩展头20中的有效信息(例如,SPI,SN,单不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,同时SL减1并转发到RD。
路由节点RD->路由节点RE:命中D::SID,无增强安全功能,按照正常SRv6转发处理,转发到RE。
路由节点RE->目的节点T2:命中E::2::50SID,RB依据安全联盟50和封装安全扩展头50中的有效信息(例如,SPI,SN,单不仅限于此两个信息,也可以扩展其他信息),依据上述分段路由节点处理流程对报文进行联合解密和完整性验证,去除压入的SRH,并转发到目的节点T2。
下面对本申请实施例中的第一边缘节点进行描述,图22为本申请实施例中第一边缘节点的一个结构示意图。请参阅图22,本申请实施例提供的一种第一边缘节点2200,该接入网设备可以为上述图6中第一边缘节点,第一边缘节点应用于分段路由网络,分段路由网络包括第一边缘节点、至少一个中心节点和第二边缘节点,第一边缘节点、至少一个中心节点和第二边缘节点依次连接建成分段路由隧道,该第一边缘节点2200包括:
构建模块2201,用于分别与至少一个中心节点和第二边缘节点协商构建安全联盟;具体实现方式,请参考图6所示实施例中步骤601:分段路由网络中的网络节点协商构建安全联盟,这里不再赘述。
第二生成模块2202,用于生成第一增强安全功能SID;具体实现方式,请参考图6所示实施例中步骤602:网络路由节点生成第一增强安全功能SID,这里不再赘述。
第二发送模块2203,用于将第一增强安全功能SID发送给控制器、至少一个中心节点和第二边缘节点;具体实现方式,请参考图6所示实施例中步骤603:分段路由节点将增强安全功能SID发布到分段路由网络中,这里不再赘述。
第三发送模块2204,用于若第一边缘节点确定安全联盟的安全能力减弱,向至少一个中心节点、第二边缘节点和/或控制器发送SID撤销信息,SID撤销信息指示至少一个中心节点、第二边缘节点和/或控制器撤销第一增强安全功能SID。具体实现方式,请参考图6所示实施例中步骤603:分段路由节点将增强安全功能SID发布到分段路由网络中,这里不再赘述。
一种可能的实现方式中,第三发送模块2204包括:
第一确定单元2205,用于确定安全联盟中的网络节点设备关系变更和/或安全联盟的关键参数变更;具体实现方式,请参考图6所示实施例中步骤603:分段路由节点将增强安全功能SID发布到分段路由网络中,这里不再赘述。
第二确定单元2206,用于根据安全联盟关键参数和SID的增强安全功能能力确定安全联盟的安全能力减弱。具体实现方式,请参考图6所示实施例中步骤603:分段路由节点将增强安全功能SID发布到分段路由网络中,这里不再赘述。
接收模块2207,用于至少一个中心节点和第二边缘节点分别发送的多个增强安全功能SID。具体实现方式,请参考图6所示实施例中步骤603:分段路由节点将增强安全功能SID发布到分段路由网络中,这里不再赘述。
第一确定模块2208,用于根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息;具体实现方式,请参考图6所示实施例中步骤604:第一边缘节点确定转发拓扑信息,这里不再赘述。
第一生成模块2209,用于根据转发拓扑信息和分段路由隧道的安全策略生成增强安全功能分段路由信息,增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,第一增强安全功能SID与第二边缘节点的安全联盟SA标识匹配;具体实现方式,请参考图6所示实施例中步骤606:第一边缘节点生成增强安全功能分段路由信息,这里不再赘述。
压入模块2210,用于将第一路径压入分段路由列表;具体实现方式,请参考图6所示实施例中步骤608:第一边缘节点将第一路径压入分段路由列表,这里不再赘述。
一种可能的实现方式中,上述压入模块2210具体用于:第一边缘节点根据多个增强安全功能SID生成第一路径,并将第一路径压入分段路由列表;第一边缘节点将第一增强安全功能SID发送给控制器,以使得控制器根据转发逻辑生成第一路径,并将第一路径下发到第一边缘节点。
第二确定模块2211,用于确定分段路由列表中的多个增强安全功能SID通过规则检查,多个增强安全功能SID包括第一增强安全功能SID和至少一个中心节点和第二边缘节点分别发送的增强安全功能SID;具体实现方式,请参考图6所示实施例中步骤607:第一边缘节点确定分段路由列表中的多个增强安全功能SID通过规则检查,这里不再赘述。
联合加密和完整性增强模块2212,用于对分组报文进行至少一个联合加密和完整性增强。具体实现方式,请参考图6所示实施例中步骤609:第一边缘节点对分组报文进行联合加密和完整性增强,这里不再赘述。
联合加密和完整性增强模块2212具体用于:根据安全联盟SA构造安全负载扩展选项头关键信息;插入安全扩展选项头;构造封装安全负载尾,并添加到原始报文尾部,和原始IP分组报文净荷组成新的分组报文有效载荷;使用SA中的密钥和对应算法对分组报文有效载荷加密,若加密算法需要使用初始向量IV,则可以IV={SPI||SN},其中SPI为安全参数,SN为报文安全序列号;对分组报文进行分组报文完整性校验值ICV计算,并添加到分组报文尾部;更新分组报文相关域。具体实现方式,请参考图6所示实施例中步骤609:第一边缘节点对分组报文进行联合加密和完整性增强,这里不再赘述。
第一发送模块2213,用于发送分组报文,分组报文包括第一增强安全功能SID。具体实现方式,请参考图6所示实施例中步骤610:第一边缘节点发送分组报文,这里不再赘述。
本实施例中,第一边缘节点可以执行前述图6中任一项所示实施例中第一边缘节点所执行的操作,具体此处不再赘述。
下面对本申请实施例中的目标网络节点进行描述,目标网络节点为至少一个中心节点和第二边缘节点中的任一个,请参阅图23,本申请实施例提供的一种目标网络节点2300,该目标网络节点可以为上述图14中目标网络节点,目标网络节点应用于分段路由网络,分段路由网络包括第一边缘节点、至少一个中心节点和目标网络节点,第一边缘节点、至少一个中心节点和目标网络节点依次连接建成分段路由隧道,该目标网络节点2300包括:
接收模块2301,用于接收第一边缘节点发送的分组报文;具体实现方式,请参考图14所示实施例中步骤1401:目标网络节点接收第一边缘节点发送的分组报文,这里不再赘述。
第二解析模块2302,用于解析分段路由剩余分段SL是否合法;具体实现方式,请参考图14所示实施例中步骤1402:目标网络节点解析分段路由剩余分段SL是否合法,这里不再赘述。
查找模块2303,用于若SL合法,则使用IPv6标准报文头中查找IPv6 FIB表,若发现DIP是本地路由,则目标网络节点使用分段路由扩展头SRH当前SID继续查找本地SID;具体实现方式,请参考图14所示实施例中步骤1402:目标网络节点解析分段路由剩余分段SL是否合法,这里不再赘述。
关联模块2304,用于若目标网络节点命中本地SID,则按照命中的SID中的转发动作功能定义和参数关联到相关的SA,或目标网络节点直接通过SID关联到相关的SA;具体实现方式,请参考图14所示实施例中步骤1402:目标网络节点解析分段路由剩余分段SL是否合法,这里不再赘述。
确定模块2305,用于根据SID转发动作功能定义和SA确定具体执行行为。具体实现方式,请参考图14所示实施例中步骤1402:目标网络节点解析分段路由剩余分段SL是否合法,这里不再赘述。
第一解析模块2306,用于解析分组报文的扩展头RH为封装安全负载扩展头;具体实现方式,请参考图14所示实施例中步骤1403:目标网络节点对分组报文进行联合解密和认证完整性,这里不再赘述。
提取模块2307,用于提取封装安全扩展头中的信息;具体实现方式,请参考图14所示实施例中步骤1403:目标网络节点对分组报文进行联合解密和认证完整性,这里不再赘述。
解密完整性计算模块2308,用于通过安全联盟SA关联的密钥和加密算法对分组报文进行解密完整性计算,并将计算的完整性值和报文携带的完整性校验值ICV进行比较进行完整性验证;若比较结果一致确定完整性验证通过;具体实现方式,请参考图14所示实施例中步骤1403:目标网络节点对分组报文进行联合解密和认证完整性,这里不再赘述。
解密完整性计算模块2308包括:
确定单元2309,用于确定分组报文的认证计算字域范围,认证计算字域范围包括分组报文的IPv6标准头、所有增强安全功能分段路由列表和封装认证扩展头;具体实现方式,请参考图14所示实施例中步骤1403:目标网络节点对分组报文进行联合解密和认证完整性,这里不再赘述。
解密完整性计算单元2310,用于通过SA关联的密钥和加密算法,根据认证计算字域范围对分组报文进行解密完整性计算,其中,对于认证计算字域范围中的可变字段,目标网络节点通过预置对应值进行解密完整性计算。具体实现方式,请参考图14所示实施例中步骤1403:目标网络节点对分组报文进行联合解密和认证完整性,这里不再赘述。
本实施例中,目标网络节点可以执行前述图14中任一项所示实施例中目标网络节点所执行的操作,具体此处不再赘述。
图24是本申请实施例提供的一种第一边缘节点结构示意图,该第一边缘节点2400可以包括一个或一个以上中央处理器(central processing units,CPU)2401和存储器2405,该存储器2405中存储有一个或一个以上的应用程序或数据。
其中,存储器2405可以是易失性存储或持久存储。存储在存储器2405的程序可以包括一个或一个以上模块,每个模块可以包括对第一边缘节点中的一系列指令操作。更进一步地,中央处理器2401可以设置为与存储器2405通信,在第一边缘节点2400上执行存储器2405中的一系列指令操作。
其中,中央处理器2401用于执行存储器2405中的计算机程序,以使得第一边缘节点2400用于执行:第一边缘节点根据分段路由隧道转发路径的业务要求确定第一边缘节点至第二边缘节点的转发拓扑信息;第一边缘节点根据转发拓扑信息和分段路由隧道的安全策略生成增强安全功能分段路由信息,增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,第一增强安全功能SID与第二边缘节点的安全联盟SA标识匹配;第一边缘节点将第一路径压入分段路由列表;第一边缘节点确定分段路由列表中的多个增强安全功能SID通过规则检查,多个增强安全功能SID包括第一增强安全功能SID和至少一个中心节点和第二边缘节点分别发送的增强安全功能SID;第一边缘节点发送分组报文,分组报文包括第一增强安全功能SID;具体实现方式,请参考图6所示实施例中步骤601-610,此处不再赘述。
第一边缘节点2400还可以包括一个或一个以上电源2402,一个或一个以上有线或无线网络接口2403,一个或一个以上输入输出接口2404,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该第一边缘节点2400可以执行前述图6所示实施例中第一边缘节点所执行的操作,具体此处不再赘述。
图25是本申请实施例提供的一种目标网络节点结构示意图,该目标网络节点2500可以包括一个或一个以上中央处理器(central processing units,CPU)2501和存储器2505,该存储器2505中存储有一个或一个以上的应用程序或数据。
其中,存储器2505可以是易失性存储或持久存储。存储在存储器2505的程序可以包括一个或一个以上模块,每个模块可以包括对第一边缘节点中的一系列指令操作。更进一步地,中央处理器2501可以设置为与存储器2505通信,在第一边缘节点2500上执行存储器2505中的一系列指令操作。
其中,中央处理器2501用于执行存储器2505中的计算机程序,以使得第一边缘节点2500用于执行:目标网络节点接收第一边缘节点发送的分组报文,目标网络节点为至少一个中心节点和第二边缘节点中的任一个;目标网络节点解析分组报文的扩展头RH为封装安全负载扩展头;目标网络节点提取封装安全扩展头中的信息;目标网络节点通过安全联盟SA关联的密钥和加密算法对分组报文进行解密完整性计算,并将计算的完整性值和报文携带的完整性校验值ICV进行比较进行完整性验证;若比较结果一致确定完整性验证通过;若完整性验证通过,目标网络节点根据SA关联的密钥和加密算法对分组报文进行解密;目标网络节点移除分组报文相关联的封装安全负载扩展头和封装安全负载尾,并更新分组报文相关域;具体实现方式,请参考图14所示实施例中步骤1401-1403,此处不再赘述。
目标网络节点2500还可以包括一个或一个以上电源2502,一个或一个以上有线或无线网络接口2503,一个或一个以上输入输出接口2504,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该目标网络节点2500可以执行前述图25所示实施例中目标网络节点所执行的操作,具体此处不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,read-only memory)、随机存取存储器(RAM,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (27)

1.一种报文传输方法,其特征在于,所述方法应用于分段路由网络,所述分段路由网络包括控制器、第一边缘节点、至少一个中心节点和第二边缘节点,所述第一边缘节点、所述至少一个中心节点和所述第二边缘节点依次连接建成分段路由隧道,所述方法包括:
所述第一边缘节点根据所述分段路由隧道转发路径的业务要求确定所述第一边缘节点至所述第二边缘节点的转发拓扑信息;
所述第一边缘节点根据所述转发拓扑信息和所述分段路由隧道的安全策略生成增强安全功能分段路由信息,所述增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,所述第一增强安全功能SID与所述第二边缘节点的安全联盟SA标识匹配;
所述第一边缘节点将第一路径压入分段路由列表;
所述第一边缘节点确定所述分段路由列表中的多个增强安全功能SID通过规则检查,所述多个增强安全功能SID包括所述第一增强安全功能SID和所述至少一个中心节点和所述第二边缘节点分别发送的增强安全功能SID;
所述第一边缘节点发送分组报文,所述分组报文包括所述第一增强安全功能SID。
2.根据权利要求1所述的方法,其特征在于,在所述第一边缘节点根据所述分段路由隧道转发路径的业务要求确定所述第一边缘节点至所述第二边缘节点的转发拓扑信息之前,所述方法还包括:
所述第一边缘节点分别与所述至少一个中心节点和所述第二边缘节点协商构建安全联盟;
所述第一边缘节点生成所述第一增强安全功能SID;
所述第一边缘节点将所述第一增强安全功能SID发送给所述控制器、所述至少一个中心节点和所述第二边缘节点;
所述第一边缘节点接收所述至少一个中心节点和所述第二边缘节点分别发送的多个增强安全功能SID。
3.根据权利要求2所述的方法,其特征在于,所述第一边缘节点将第一路径压入分段路由列表,包括:
所述第一边缘节点根据所述多个增强安全功能SID生成第一路径,并将所述第一路径压入所述分段路由列表;或
所述第一边缘节点将所述第一增强安全功能SID发送给所述控制器,以使得所述控制器根据转发逻辑生成第一路径,并将所述第一路径下发到所述第一边缘节点。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述第一边缘节点确定所述安全联盟的安全能力减弱,所述第一边缘节点向所述至少一个中心节点、所述第二边缘节点和/或控制器发送SID撤销信息,所述SID撤销信息指示所述至少一个中心节点、所述第二边缘节点和/或控制器撤销所述第一增强安全功能SID。
5.根据权利要求4所述的方法,其特征在于,所述第一边缘节点确定所述安全联盟的安全能力减弱包括:
所述第一边缘节点确定所述安全联盟中的网络节点设备关系变更和/或所述安全联盟的关键参数变更;
所述第一边缘节点根据所述安全联盟关键参数和所述SID的增强安全功能能力确定所述所述安全联盟的安全能力减弱。
6.根据权利要求5所述的方法,其特征在于,所述第一增强安全功能SID包括定位符网络节点标识、功能编码和参数,其中所述定位符网络节点标识为网络拓扑中用于路由和转发报文到一个网络节点的节点标识;所述功能编码包括设备预先设定的设备指令,所述功能编码实现增强安全功能、加密、解密、联合加密和完整性、联合解密和完整性、认证添加、认证验证能力和安全增强等功能;所述参数用于定义安全增强能力的服务信息;或
所述定位符网络节点标识为网络拓扑中一个网络节点的标识,用于路由和转发报文到该节点,所述功能编码包括设备预先设定的设备指令,所述参数用于定义安全增强能力的服务信息,所述服务信息用于实现增强安全功能、加密、解密、联合加密和完整性、联合解密和完整性、认证添加、认证验证能力和安全增强等功能。
7.根据权利要求6所述的方法,其特征在于,所述分组报文包括IPv6标准报文头、分段路由报文头、至少一个封装安全负载扩展头、至少一个扩展头、IP分组报文有效载荷、至少一个封装安全负载尾和至少一个分组报文完整性校验值ICV;或
所述分组报文包括IPv6标准报文头、分段路由报文头、至少一个封装安全负载扩展头、至少一个扩展头和IP分组报文有效载荷。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述第一边缘节点对所述分组报文进行至少一次联合加密和完整性增强。
9.根据权利要求8所述的方法,其特征在于,所述第一边缘节点对所述分组报文进行联合加密和完整性增强,包括:
所述第一边缘节点根据所述安全联盟SA构造安全负载扩展选项头关键信息;
所述第一边缘节点插入安全扩展选项头;
所述第一边缘节点构造封装安全负载尾,并添加到原始报文尾部,和原始IP分组报文净荷组成新的分组报文有效载荷;
所述第一边缘节点使用SA中的密钥和对应算法对分组报文有效载荷加密,若加密算法需要使用初始向量IV,则可以IV={SPI||SN},其中SPI为安全参数,SN为报文安全序列号;
所述第一边缘节点对所述分组报文进行分组报文完整性校验值ICV计算添加到分组报文尾部;
所述第一边缘节点更新分组报文相关域。
10.一种报文传输方法,其特征在于,所述方法应用于分段路由网络,所述分段路由网络包括第一边缘节点、至少一个中心节点和第二边缘节点,所述第一边缘节点、所述至少一个中心节点和所述第二边缘节点依次连接建成分段路由隧道,所述方法包括:
所述目标网络节点接收第一边缘节点发送的分组报文,所述目标网络节点为所述至少一个中心节点和所述第二边缘节点中的任一个;
所述目标网络节点解析所述分组报文的扩展头RH为封装安全负载扩展头;
所述目标网络节点提取所述封装安全扩展头中的信息;
所述目标网络节点通过安全联盟SA关联的密钥和加密算法对所述分组报文进行解密完整性计算,并将计算的完整性值和报文携带的完整性校验值ICV进行比较进行完整性验证;若比较结果一致确定完整性验证通过;
若完整性验证通过,所述目标网络节点根据SA关联的密钥和加密算法对所述分组报文进行解密;
所述目标网络节点移除所述分组报文相关联的封装安全负载扩展头和封装安全负载尾,并更新所述分组报文相关域。
11.根据权利要求10所述的方法,其特征在于,在所述目标网络节点解析所述分组报文的扩展头RH为封装安全负载扩展头之前,所述方法还包括:
所述目标网络节点解析分段路由剩余分段SL是否合法;
若所述SL合法,则所述目标网络节点使用IPv6标准报文头中查找IPv6 FIB表,若发现DIP是本地路由,则所述目标网络节点使用分段路由扩展头SRH当前SID继续查找本地SID;
若所述目标网络节点命中本地SID,则所述目标网络节点按照命中的SID中的转发动作功能定义和参数关联到相关的SA,或所述目标网络节点直接通过SID关联到相关的SA;
所述目标网络节点根据SID转发动作功能定义和SA确定具体执行行为。
12.根据权利要求11所述的方法,其特征在于,所述目标网络节点通过SA关联的密钥和加密算法对所述分组报文进行解密完整性计算,包括:
所述目标网络节点确定所述分组报文的认证计算字域范围,所述认证计算字域范围包括所述分组报文的IPv6标准头、所有增强安全功能分段路由列表和封装认证扩展头;
所述目标网络节点通过SA关联的密钥和加密算法,根据所述认证计算字域范围对所述分组报文进行解密完整性计算,其中,对于所述认证计算字域范围中的可变字段,所述目标网络节点通过预置对应值进行解密完整性计算。
13.根据权利要求12所述的方法,其特征在于,所述认证计算字域范围还包括:至少一个扩展头和IP分组报文有效载荷。
14.一种第一边缘节点,其特征在于,所述第一边缘节点应用于分段路由网络,所述分段路由网络包括第一边缘节点、至少一个中心节点和第二边缘节点,所述第一边缘节点、所述至少一个中心节点和所述第二边缘节点依次连接建成分段路由隧道,所述第一边缘节点包括:
第一确定模块,用于根据所述分段路由隧道转发路径的业务要求确定所述第一边缘节点至所述第二边缘节点的转发拓扑信息;
第一生成模块,用于根据所述转发拓扑信息和所述分段路由隧道的安全策略生成增强安全功能分段路由信息,所述增强安全功能分段路由信息包含第一增强安全功能段列表身份SID,所述第一增强安全功能SID与所述第二边缘节点的安全联盟SA标识匹配;
压入模块,用于将第一路径压入分段路由列表;
第二确定模块,用于确定所述分段路由列表中的多个增强安全功能SID通过规则检查,所述多个增强安全功能SID包括所述第一增强安全功能SID和所述至少一个中心节点和所述第二边缘节点分别发送的增强安全功能SID;
第一发送模块,用于发送分组报文,所述分组报文包括所述第一增强安全功能SID。
15.根据权利要求14所述的第一边缘节点,其特征在于,所述第一边缘节点还包括:
构建模块,用于分别与所述至少一个中心节点和所述第二边缘节点协商构建安全联盟;
第二生成模块,用于生成所述第一增强安全功能SID;
第二发送模块,用于将所述第一增强安全功能SID发送给所述控制器、所述至少一个中心节点和所述第二边缘节点;
接收模块,用于所述至少一个中心节点和所述第二边缘节点分别发送的多个增强安全功能SID。
16.根据权利要求15所述的第一边缘节点,其特征在于,所述压入模块具体用于:
根据所述多个增强安全功能SID生成第一路径,并将所述第一路径压入所述分段路由列表;或
将所述第一增强安全功能SID发送给所述控制器,以使得所述控制器根据转发逻辑生成第一路径,并将所述第一路径下发到所述第一边缘节点。
17.根据权利要求16所述的第一边缘节点,其特征在于,所述第一边缘节点还包括:
第三发送模块,用于若所述第一边缘节点确定所述安全联盟的安全能力减弱,向所述至少一个中心节点、所述第二边缘节点和/或控制器发送SID撤销信息,所述SID撤销信息指示所述至少一个中心节点、所述第二边缘节点和/或控制器撤销所述第一增强安全功能SID。
18.根据权利要求17所述的第一边缘节点,其特征在于,所述第三发送模块包括:
第一确定单元,用于确定所述安全联盟中的网络节点设备关系变更和/或所述安全联盟的关键参数变更;
第二确定单元,用于根据所述安全联盟关键参数和所述SID的增强安全功能能力确定所述所述安全联盟的安全能力减弱。
19.根据权利要求18所述的第一边缘节点,其特征在于,所述第一边缘节点还包括:
联合加密和完整性增强模块,用于对所述分组报文进行至少一次联合加密和完整性增强。
20.一种目标网络节点,其特征在于,所述目标网络节点应用于分段路由网络,所述分段路由网络包括第一边缘节点、至少一个中心节点和第二边缘节点,所述目标网络节点为所述至少一个中心节点和所述第二边缘节点中的任一个,所述第一边缘节点、所述至少一个中心节点和所述第二边缘节点依次连接建成分段路由隧道,所述目标网络节点包括:
接收模块,用于接收第一边缘节点发送的分组报文;
第一解析模块,用于解析所述分组报文的扩展头RH为封装安全负载扩展头;
提取模块,用于提取所述封装安全扩展头中的信息;
解密完整性计算模块,用于通过安全联盟SA关联的密钥和加密算法对所述分组报文进行解密完整性计算,并将计算的完整性值和报文携带的完整性校验值ICV进行比较进行完整性验证;若比较结果一致确定完整性验证通过;
解密模块,用于若完整性验证通过,根据SA关联的密钥和加密算法对所述分组报文进行解密;
移除模块,用于移除所述分组报文相关联的封装安全负载扩展头和封装安全负载尾,并更新所述分组报文相关域。
21.根据权利要求20所述的目标网络节点,其特征在于,所述目标网络节点还包括:
第二解析模块,用于解析分段路由剩余分段SL是否合法;
查找模块,用于若所述SL合法,则使用IPv6标准报文头中查找IPv6 FIB表,若发现DIP是本地路由,则所述目标网络节点使用分段路由扩展头SRH当前SID继续查找本地SID;
关联模块,用于若所述目标网络节点命中本地SID,则按照命中的SID中的转发动作功能定义和参数关联到相关的SA,或所述目标网络节点直接通过SID关联到相关的SA;
确定模块,用于根据SID转发动作功能定义和SA确定具体执行行为。
22.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-9任一项所述的方法。
23.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求10-13任一项所述的方法。
24.一种控制器,其特征在于,包括处理器和存储有计算机程序的计算机可读存储介质;
所述处理器与所述计算机可读存储介质耦合,所述计算机程序被所述处理器执行时实现如权利要求1-9任一项所述的方法。
25.一种控制器,其特征在于,包括处理器和存储有计算机程序的计算机可读存储介质;
所述处理器与所述计算机可读存储介质耦合,所述计算机程序被所述处理器执行时实现如权利要求10-13任一项所述的方法。
26.一种芯片系统,其特征在于,包括处理器,所述处理器被调用用于执行如权利要求1-9任一项所述的方法。
27.一种芯片系统,其特征在于,包括处理器,所述处理器被调用用于执行如权利要求10-13任一项所述的方法。
CN202210288718.XA 2022-03-23 2022-03-23 一种报文传输方法及相关设备 Pending CN116846566A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210288718.XA CN116846566A (zh) 2022-03-23 2022-03-23 一种报文传输方法及相关设备
PCT/CN2023/070317 WO2023179174A1 (zh) 2022-03-23 2023-01-04 一种报文传输方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210288718.XA CN116846566A (zh) 2022-03-23 2022-03-23 一种报文传输方法及相关设备

Publications (1)

Publication Number Publication Date
CN116846566A true CN116846566A (zh) 2023-10-03

Family

ID=88099783

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210288718.XA Pending CN116846566A (zh) 2022-03-23 2022-03-23 一种报文传输方法及相关设备

Country Status (2)

Country Link
CN (1) CN116846566A (zh)
WO (1) WO2023179174A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11019075B2 (en) * 2018-06-26 2021-05-25 Cisco Technology, Inc. Providing processing and network efficiencies in protecting internet protocol version 6 segment routing packets and functions using security segment identifiers
US11412071B2 (en) * 2019-05-13 2022-08-09 Juniper Networks, Inc. Compressed routing header information for networks
EP4117227A4 (en) * 2020-04-02 2023-08-02 Huawei Technologies Co., Ltd. BOUNDARY FILTERING METHOD AND APPARATUS FOR AN SRV6 TRUST DOMAIN
CN113691490B (zh) * 2020-05-19 2024-10-22 华为技术有限公司 一种校验SRv6报文的方法及装置

Also Published As

Publication number Publication date
WO2023179174A1 (zh) 2023-09-28

Similar Documents

Publication Publication Date Title
CN111585890B (zh) 基于SRv6的网络路径验证方法及系统
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
EP3157225B1 (en) Encrypted ccnx
KR101097548B1 (ko) 디지털 오브젝트 타이틀 인증
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
CN114844729B (zh) 一种网络信息隐藏方法及系统
CN113726795A (zh) 报文转发方法、装置、电子设备及可读存储介质
CN114915583A (zh) 报文处理方法、客户端设备、服务器端设备和介质
CN115567205A (zh) 采用量子密钥分发实现网络会话数据流加解密方法及系统
CN114095423B (zh) 基于mpls的电力通信骨干网数据安全防护方法及系统
CN102904792B (zh) 业务承载的方法及路由器
CN115225414B (zh) 基于ipsec的加密策略匹配方法、装置及通信系统
CN111416791B (zh) 数据传输方法、设备与系统
CN113810173A (zh) 一种校验应用信息的方法、报文处理方法及装置
CN115733683A (zh) 采用量子密钥分发的以太链路自组织加密隧道实现方法
CN114338116B (zh) 加密传输方法、装置及sd-wan网络系统
CN116846566A (zh) 一种报文传输方法及相关设备
CN116112202A (zh) 采用自学习自组织方式实现以太数据加解密的方法
CN101616005A (zh) 签名方法、装置以及签名验证方法、装置和系统
CN109194558B (zh) 隧道报文认证转发方法及系统
CN115801656B (zh) 基于加解密的SRv6路径认证方法、节点、系统、设备及介质
CN115277164B (zh) 基于二层组网环境的报文处理方法及装置
CN115766063B (zh) 数据传输方法、装置、设备及介质
CN115967717B (zh) 基于中继集群的通信方法和装置
US12088562B1 (en) Tunneling of MACsec frames

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication