CN117896177B - 一种基于IPv6密码标识的SRv6通信方法及系统 - Google Patents
一种基于IPv6密码标识的SRv6通信方法及系统 Download PDFInfo
- Publication number
- CN117896177B CN117896177B CN202410277802.0A CN202410277802A CN117896177B CN 117896177 B CN117896177 B CN 117896177B CN 202410277802 A CN202410277802 A CN 202410277802A CN 117896177 B CN117896177 B CN 117896177B
- Authority
- CN
- China
- Prior art keywords
- node
- forwarding
- original data
- srv
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 178
- 238000004891 communication Methods 0.000 title claims abstract description 177
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000013507 mapping Methods 0.000 claims description 77
- 238000012795 verification Methods 0.000 claims description 24
- 238000012546 transfer Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 5
- 101100264195 Caenorhabditis elegans app-1 gene Proteins 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000004064 recycling Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000008846 dynamic interplay Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于IPv6密码标识的SRv6通信方法及系统,其中,所述系统包括管理平台、原始数据报文始发端、原始数据报文目的端和转发节点,转发节点包括源节点、尾节点和/或中转节点;原始数据报文始发端与原始数据报文目的端通过管理平台间接通信或通过转发节点直接通信。本发明在IPv6环境下构建基于IPv6密码标识的SRv6通信网络,实现IP地址身份与位置属性解耦,保证终端IP地址隐匿性、通信私密性。
Description
技术领域
本发明涉及网络通信技术领域,具体地说是一种基于IPv6密码标识的SRv6通信方法及系统。
背景技术
IP地址既标志着主机在网络中的位置同时又标识着主机的身份,对移动节点(无论任何因为导致IP地址变化)及其安全性有严重限制:在不中断传输层连接的情况下,直接更改主机地址是不可能的;互联网上没有一致且可信任的匿名或隐私;缺乏对数据报和系统的正确身份验证导致IP欺骗。随着智能设备的的不断出现和无线通信技术的快速发展,IP地址代表“身份”和“位置”的双重属性阻碍了终端移动便利性,也为网络安全带来巨大的隐患。
SRv6采用IPv6标准规范中定义的路由扩展报头,新定义了一种IPv6的扩展报头—SRH(Segment Routing Header),该扩展头指定一个IPv6的显式路径,存储的是IPv6的Segment List信息,其作用与SR-MPLS里的标签类似,头节点在IPv6报文中增加一个SRH扩展头,中间SRv6节点就可以按照SRH里包含的路径信息进行处理和转发,而非SRv6节点只需要按照标准的目的IPv6进行传统转发即可。
SRv6作为新一代IP承载协议,虽然具有灵活的IPv6扩展头,可实现灵活的网络编程,但基于多SID的数据转发,其本身不具备安全属性,容易引起信息暴露和安全威胁。同时,基于5G的大规模终端连接,在设备安全、隐私安全和数据安全等方面,也带来了巨大的挑战。SRv6是IPv6源使用的IPv6的扩展报头,用于列出数据包在到达目的地的路径上要经过的一个或多个中间节点。因此攻击者可以绕过安全系统的访问列表,例如防火墙,然后可以通过使用SRH访问受保护的内部系统。以下为具体示例:
入口SRv6节点攻击:SR域入口负责SRH封装的路由器受损。
传输节点攻击:在普通转发操作中由分组通过的SR不感知路由器被破坏。更新SRH的节点可能尝试用SID来改变IPv6 DA,从而操纵SR策略;
SR端点攻击:作为具有SR能力的路由器的节点受到损害。SR感知节点负责检查SRH、更新SRH中的SL字段、更新IPv6报头中的DA以及处理有效载荷。此节点上的恶意操作对SR策略和流量重定向有很大影响。
发明内容
为此,本发明所要解决的技术问题在于提供一种基于IPv6密码标识的SRv6通信方法及系统,在IPv6环境下构建基于IPv6密码标识的SRv6通信网络,实现IP地址身份与位置属性解耦,保证终端IP地址隐匿性、通信私密性。
为解决上述技术问题,本发明提供如下技术方案:
一种基于IPv6密码标识的SRv6通信方法,原始数据报文始发端和原始数据报文目的端通过SRv6通信网络进行通信,原始数据报文始发端和原始数据报文目的端均包括终端设备和应用;在SRv6通信网络中,转发节点包括源节点、尾节点和/或中转节点,源节点为与原始数据报文始发端直接通信连接的转发节点,尾节点为与原始数据报文目的端直接通信连接的转发节点,中转节点为SRv6报文转发路径中位于源节点与尾节点之间的转发节点;源节点在将来自原始数据报文始发端的原始数据报文封装为SRv6报文时将标识连通路径填充至SRv6报文的SRH扩展头中充当SRv6 SID,然后按照下述方式进行SRv6报文转发:
M1)转发节点按照标识连通路径和存储于源节点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发;若下一转发节点为中转节点,则中转节点按照标识连通路径和存储于中转节点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发,若下一转发节点为尾节点,且当原始数据报文目的端支持SRv6报文时,尾节点直接将SRv6报文转发至原始数据报文目的端,若原始数据报文目的端不支持SRv6报文,则由尾节点通过将SRv6报文解封获得的原始数据报文转发至原始数据报文目的端;其中,标识连通路径、节点标识和标识映射表均由SRv6通信网络的管理平台生成并下发至各个转发节点,在标识映射表中,节点标识与相对应的转发节点IP地址或SID地址存在映射关系;
M2)转发节点利用哈希算法和标识连通路径上的下一转发节点的节点标识计算得到该节点标识内所含有的下一转发节点IP地址,并根据下一转发节点IP地址进行SRv6报文转发;
其中,节点标识为SRv6通信网络管理平台利用哈希算法根据人为定义的直接或间接反应转发节点属性信息和转发节点位置信息生成的标识,转发节点属性信息包括MAC地址、end、end.x、end.t、end.dt4和end.dt6等SRv6节点行为,转发节点位置信息包括IP地址和locator地址等。
上述基于IPv6密码标识的SRv6通信方法,包括如下步骤:
S1)原始数据报文始发端向源节点发送含有qos请求的原始数据报文;
S2)接收到原始数据报文后,源节点对原始数据报文进行解析获得qos请求并向管理平台发送qos请求;
S3)管理平台根据接收到的qos请求分析本次通信的通信路径,并根据管理平台内存储的终端标识、节点标识和IP地址生成本次通信的标识连通路径,同时根据标识连通路径生成节点标识和IP地址与转发顺序的映射关系并将该映射关系存储与管理平台内;
S4)源节点按照标识连通路径以及步骤S3)中得到的映射关系进行SRv6报文转发,若下一转发节点为中转节点,则中转节点继续按照标识连通路径以及步骤S3)中得到的映射关系进行SRv6报文转发,若下一转发节点为尾节点,且当原始数据报文目的端支持SRv6报文时,尾节点直接将SRv6报文转发至原始数据报文目的端,若原始数据报文目的端不支持SRv6报文,则由尾节点通过将SRv6报文解封获得的原始数据报文转发至原始数据报文目的端;
S5)原始数据报文目的端接收尾节点转发的SRv6报文或者原始数据报文,完成通信。
上述基于IPv6密码标识的SRv6通信方法,原始数据报文始发端和原始数据报文目的端进行通信之前,原始数据报文始发端和原始数据报文目的端先通过管理平台建立可信通信连接,建立可信通信连接建立之后,原始数据报文始发端和原始数据报文目的端进行直接通信。
上述基于IPv6密码标识的SRv6通信方法,原始数据报文始发端和原始数据报文目的端之间的可信通信基于可信通信标识实现,可信通信标识和节点标识均为基于IPv6的密码标识。
上述基于IPv6密码标识的SRv6通信方法,其特征在于,可信通信标识和节点标识均具有有效期。
上述基于IPv6密码标识的SRv6通信方法,在转发SRv6报文时,转发节点向管理平台发送用于确认SRv6报文来源可靠性及转发路径正确性的校验信息,管理平台基于存储于管理平台内的终端标识、节点标识、IP地址与转发顺序之间的映射关系对SRv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果,转发节点依据校验结果进行SRv6报文转发或者停止转发。
一种利用上述基于IPv6密码标识的SRv6通信方法进行通信的系统,包括管理平台、原始数据报文始发端、原始数据报文目的端和转发节点,转发节点包括源节点、尾节点和/或中转节点且转发节点为支持三层以上解析的数据交换设备;原始数据报文始发端与原始数据报文目的端通过管理平台间接通信或通过转发节点直接通信;原始数据报文始发端与原始数据报文目的端直接通信时,源节点在将来自原始数据报文始发端的原始数据报文封装为SRv6报文时将标识连通路径填充至SRv6报文的SRH扩展头中充当SRv6 SID,然后转发节点按照标识连通路径和存储于转发点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发;其中,在标识映射表中,节点标识与相对应的转发节点IP地址或SID地址存在映射关系,而标识连通路径、节点标识和标识映射表均由SRv6通信网络的管理平台生成并下发至各个转发节点。
上述系统,管理平台内设置有标识管理组件、IP地址管理组件、路径编排组件、映射管理组件和存储组件;其中,标识管理组件标识生成和分发,标识管理组件生成的标识包括用于代表转发节点的节点标识和用于代表原始数据报文始发端以及原始数据报文目的端的终端标识或应用标识;IP地址管理组件用于IPv6地址的生成与分发,路径编排组件用于根据源节点的qos请求、节点标识以及终端标识和/或应用标识生成通信路径并进行通信路径分发,通信路径包括标识连通路径和基于IP地址的SRv6 SID路径;映射管理组件用于依据原始数据报文始发端的IPv6地址与终端标识/应用标识、原始数据报文目的端的IPv6地址与终端标识/应用标识、转发节点的节点标识与IPv6地址生成终端标识/应用标识、节点标识、IP地址与转发顺序之间的映射关系以及IP地址与终端标识/应用标识或节点标识之间的标识映射表并将该标识映射表分别下发至原始数据报文始发端、原始数据报文目的端和转发节点;存储组件用于存储终端标识、节点标识、IP地址与转发顺序之间的映射关系。
上述系统,管理平台内还设置有用于根据转发节点发送的校验信息对SRv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果的转发校验组件。
上述系统,转发节点为物理数据交换设备和/或软件数据交换设备。
本发明的技术方案取得了如下有益的技术效果:
1.面向未来5G网络场景的技术升级演进与使用需求,在IPv6环境下构建基于密码标识,实现IP地址身份与位置属性解耦,保证终端IP地址隐匿性、通信私密性。实现在5G网络大规模终端接入环境下、网络边界动态变化条件下的安全能力升级,而不受终端所属的网络位置、IP地址变化影响,
2.针对SRv6网络在多SID数据转发条件下的安全隐患问题,提出一种基于IPv6密码标识的新型SRv6安全转发思路,用于构建无线、有线等融合网络环境下的端到端安全通信。将密码标识体系与SRv6 SID相融合,在保留SRv6网络可扩展、可编程属性的前提下,强化了数据安全传输过程,为构建端到端安全通信提供有力支撑。
附图说明
图1为本发明中基于IPv6密码标识的SRv6通信系统的工作原理图;
图2为本发明中SRv6网络结构示意图;
图3为本发明中原始数据报文始发端与原始数据报文目的端利用本发明进行SRv6通信的流程示意图;
图4为5G场景下利用发明进行SRv6通信的网络示意图;
图5为5G场景下利用本发明进行SRv6通信的网络拓扑示意图;
图6为现有SRv6报文的SRH扩展头的结构示意图;
图7为本发明中SRv6报文的SRH扩展头的结构示意图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
实施例1
如图1所示,本发明基于IPv6密码标识的SRv6通信系统,包括管理平台、原始数据报文始发端、原始数据报文目的端和转发节点,转发节点包括源节点、尾节点和/或中转节点;原始数据报文始发端与原始数据报文目的端通过管理平台间接通信或通过转发节点直接通信;原始数据报文始发端与原始数据报文目的端直接通信时,源节点在将来自原始数据报文始发端的原始数据报文封装为SRv6报文时将标识连通路径填充至SRv6报文的SRH扩展头中充当SRv6 SID,然后转发节点按照标识连通路径和存储于转发点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发;其中,在标识映射表中,节点标识与相对应的转发节点IP地址或SID地址存在映射关系,而标识连通路径、节点标识和标识映射表均由SRv6通信网络的管理平台生成并下发至各个转发节点。
本实施例中,管理平台用于对本发明中所使用的标识信息以及IP地址信息进行统一管理,并对原始数据报文始发端与原始数据报文目的端之间的通信进行路径编排,同时与原始数据报文始发端、原始数据报文目的端、转发节点进行信息交互;管理平台内设置有标识管理组件、IP地址管理组件、路径编排组件、映射管理组件、存储组件和转发校验组件;其中,标识管理组件标识生成和分发,标识管理组件生成的标识包括用于代表转发节点的节点标识和用于代表原始数据报文始发端以及原始数据报文目的端的终端标识或应用标识,在管理平台覆盖的SRv6网域范围内,对于管理平台辖下的设备(包括原始数据报文始发端、原始数据报文目的端和转发节点)的标识规则、标识结构模板、标识信息、标识与IP地址的映射关系等进行全生命周期管理(下发、使用、变更、回收、弃用等);IP地址管理组件用于IPv6地址的生成与分发,在管理平台覆盖的网域范围内,对于管理平台辖下的设备(包括原始数据报文始发端、原始数据报文目的端和转发节点)的IP地址、地址段或地址池进行全生命周期管理(下发、使用、变更、回收、弃用等);路径编排组件用于根据源节点的qos请求、节点标识以及终端标识和/或应用标识生成通信路径并进行通信路径分发,对于IPv6数据转发进行基于IPv6密码标识的端到端路径编排(包括标识连通路径及基于SRv6 SID路径的编排);映射管理组件用于依据原始数据报文始发端的IPv6地址与终端标识/应用标识、原始数据报文目的端的IPv6地址与终端标识/应用标识、转发节点的节点标识与IPv6地址生成终端标识/应用标识、节点标识、IP地址与转发顺序之间的映射关系以及IP地址与终端标识/应用标识或节点标识之间的标识映射表并将该标识映射表分别下发至原始数据报文始发端、原始数据报文目的端和转发节点;存储组件用于存储终端标识、节点标识、IP地址与转发顺序之间的映射关系;转发校验组件用于根据转发节点发送的校验信息对SRv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果。
原始数据报文始发端和原始数据报文目的端不局限于电脑、手机等物理设备或服务器内的虚拟设备,可以是任何一种能够构建端-端通信的任何存在形式,例如手机、电脑、服务器等物理设备以及物理设备上的虚拟机或者应用程序。
转发节点指在IPv6/SRv6转发路径上的支持三层以上解析的数据交换设备,包括但不限于路由器、三层交换机、具有数据转发能力的防火墙等。
本发明中,原始数据报文始发端和原始数据报文目的端和转发节点中均内置有数据接收与反馈组件和转发执行组件。其中,数据接收与反馈组件用于接收管理平台下发的相关数据,同时定期向管理平台上报本地相关数据信息,管理平台下发的相关数据包括但不限于系统统计数据、标识数据、IP地址数据、路由转发数据、安全告警类数据等数据信息;转发执行组件基于管理平台下发的标识信息与转发路径信息执行数据转发。
本发明中,终端标识和节点标识均为基于IPv6的密码标识。基于IPv6的密码标识是用于在网络通信中代表终端/用户、应用、节点、网络等的符号,由基本规则(由使用该密码标识的系统进行预定义的通用规则、人为设定的特殊规则)、影响因子(身份信息、设备信息、信任程度、访问权限、环境因素、人为因素等)以及生成算法(运算方法、运算次数、加密程度等)协同作用形成。
本发明中的基于IPv6的密码标识是通过加密算法与相应规则(其中人为的特殊规则可由用户自行设定)形成的定长128比特位标识信息,其类型包括但不限于以下几类:
(一)可用于直接通信的标识(通信标识)
1)终端标识(或用户标识):携带终端/用户身份等固有属性的标识(包括但不限于用户参数、人体特征参数、终端硬件参数、系统软件参数等),体现终端/用户真实身份信息;其中,终端标识仅仅指在通信过程中标识物理终端或虚拟终端(不包括应用程序)身份的标识;
2)应用标识:用于表示平台、系统、服务等可建立端到端通信的业务应用标识,其中,业务应用为物理终端或虚拟终端上安装设置的应用程序;
(二)不可用于直接通信的标识(映射标识)
1)节点标识:人为定义的直接或间接反应转发节点属性信息和位置信息的标识;
2)网络标识:人为定义的直接或间接用于区分网络区域或不同子网的标识。
本发明中的终端标识(用户标识)、应用标识、节点标识和网络标识会因生成规则、影响因子、生成算法的变化而发生变化,并不局限于一种形式或者格式或者模式。
本发明中,如图2所示,管理平台位于SRv6网络的控制平面,是整个SRv6网络的策略制定者,且策略解释也完全由管理平台进行处理,而且由管理平台为数据平面中原始数据报文始发端、原始数据报文目的端以及转发节点授予的标识和基于上述标识的SRv6转发策略具有实时性,超过授予期限需重新进行标识生成与授予;原始数据报文始发端和原始数据报文目的端以及转发节点位于SRv6网络的数据平面,原始数据报文始发端和原始数据报文目的端之间通过转发节点进行基于IPv6密码标识的SRv6转发路径及端到端可信通信。本发明中,数据平面和控制平面之间具备安全交互机制,包括但不限于特定交互协议、有效交互凭证、动态交互口令等,最大程度减轻网络物理攻击。
在本发明中,如图3所示,原始数据报文始发端和原始数据报文目的端利用本发明基于IPv6密码标识的SRv6通信系统进行端到端通信时,通过如下步骤实现通信:
S1)原始数据报文始发端向源节点发送含有qos请求的原始数据报文;
S2)接收到原始数据报文后,源节点对原始数据报文进行解析获得qos请求并向管理平台发送qos请求;
S3)管理平台根据接收到的qos请求分析本次通信的通信路径,并根据管理平台内存储的终端标识、节点标识和IP地址生成本次通信的标识连通路径,同时根据标识连通路径生成节点标识和IP地址与转发顺序的映射关系并将该映射关系存储与管理平台内;
S4)源节点按照标识连通路径以及步骤S3)中得到的映射关系进行SRv6报文转发,若下一转发节点为中转节点,则中转节点继续按照标识连通路径以及步骤S3)中得到的映射关系进行SRv6报文转发,若下一转发节点为尾节点,且当原始数据报文目的端支持SRv6报文时,尾节点直接将SRv6报文转发至原始数据报文目的端,若原始数据报文目的端不支持SRv6报文,则由尾节点通过将SRv6报文解封获得的原始数据报文转发至原始数据报文目的端;
S5)原始数据报文目的端接收尾节点转发的SRv6报文或者原始数据报文,完成通信。
利用本发明进行端到端通信的关键在于,将SRv6报文的SRH扩展头中的SRv6 SID信息替换为转发节点的节点标识,或直接将管理平台基于转发节点的节点标识生成的标识连通路径封装在SRH扩展头中,以确保不能够直接从SRv6报文的SRH扩展头中获知SRv6报文的转发路径。
在原始数据报文始发端和原始数据报文目的端进行通信之前,原始数据报文始发端和原始数据报文目的端先通过管理平台建立基于可信通信标识的可信通信连接,建立可信通信连接建立之后,原始数据报文始发端和原始数据报文目的端进行直接通信,其中,可信通信标识也为基于IPv6的密码标识且具有有效期,超过有效期需要重新获取。并且,当原始数据报文始发端和原始数据报文目的端重新建立通信时,仍需重新获取可信通信标识。
在转发SRv6报文时,转发节点向管理平台发送用于确认SRv6报文来源可靠性及转发路径正确性的校验信息,管理平台基于存储于管理平台内的终端标识、节点标识、IP地址与转发顺序之间的映射关系对SRv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果,转发节点依据校验结果进行SRv6报文转发或者停止转发。
本发明可以用于5G场景下的SRv6网络通信,如图4所示,具体可以将5G场景下的SRv6网络划分为接入网、承载网和核心网。原始数据报文始发端通过5G无线网络连接接入网设备(基站及边缘侧网元等转发节点),接入网设备通过有线承载网连接核心网设备,承载网主要涉及城域网、广域网、骨干网的节点设备(路由器、三层交换机等),核心网是基于网元(核心网设备网元,主要包括AMF、SMF和UPF等)功能虚拟化和微服务架构形成的面向服务的网络(原始数据报文目的端),最终与运营商数据网络(DN)连接。
本实施例将以本发明在如图5所示的5G场景中的应用对本发明进行说明。
在将本发明应用于现有的5G场景下的SRv6网络中时,首先进行标识选定,再进行标识映射,最后基于终端标识、节点标识以及标识映射实现端到端的通信。
一、标识选定
管理平台通过标识管理组件生成终端标识、应用标识、节点标识、网络标识等各种标识,其中,终端标识用于标识用户终端设备(UE,即原始数据报文始发端),应用标识用于标识应用服务(Service)及终端设备内的APP应用,管理平台根据预先设定标识结构模板(即128比特位构成形式)生成标识映射表(含通信标识和映射标识)下发至各终端设备、应用和转发节点,完成标识选定后,管理平台更新标识信息表并将选定的标识发送给相应终端设备(包括原始数据报文始发端和原始数据报文始发端)、应用和转发节点。
在进行标识选定时应注意如下事项:
(1)每次当原始数据报文始发端向原始数据报文始发端发起通信时,由管理平台协助两端经加密通道生成本次会话所用的通信标识,再以此通信标识为模板(具备公共属性,能够被终端/应用/节点分辨并确认是本次端到端通信所用的标识),生成用于多个节点标识和网络标识映射的映射标识池。
(2)通信标识是由通信两端经由管理平台协商生成的加密标识,仅两端完全可见。转发节点仅可见到通信标识的状态信息,即可以识别到:a.是否已完成通信标识选定,以及;b.是否基于已选定的通信标识形成的数据流经该节点。若不同时满足上述条件,则切断本次转发路径,丢弃标识相关所有信息。
(3)对于映射标识(包括节点标识和网络标识),转发节点收到管理平台发送的标识映射表(该表内信息来自映射标识池)进行标识选择,并通过与管理平台发送加密报文实现信息交互,最终由转发节点与管理平台完成标识选定。选定的映射标识与SRv6 SID做映射关联,实现Overlay网络信息与Underlay网络信息的双向安全转换。
二、标识映射
按照如图6所示的SRv6 Segment List转发基本规则,SRv6节点路径(SID路径):第一个是Segment List[n]、然后是Segment List[n-1]……Segment List[1]、最后一个是Segment List[0]。
在进行SRv6报文转发时,按照表1所示的标识映射表将SRv6 SID与节点标识、网络标识进行映射,以确定SRv6报文转发的下一节点
表1 标识映射表
终端标识和应用标识不需要执行标识映射;节点标识与SRv6 SID一一对应,节点标识携带SID节点行为属性信息;网络标识需要根据网段/子网的选择来确定涵盖的SID范围。
当SRv6报文转发至尾节点时,尾节点可以通过管理平台获悉SRv6报文中封装的原始数据报文的接收端的IP地址,即原始数据报文目的端的IP地址,然后再由尾节点根据原始数据报文目的端的IP地址将原始数据报文转发至原始数据报文目的端。而当原始数据报文目的端支持SRv6时,尾节点可以直接根据SRv6报文中的SRH扩展头的标识连通路径将SRv6报文转发至原始数据报文目的端。而当原始数据始发端与原始数据报文目的端均支持SRv6时,则可由原始数据始发端向管理平台发出qos请求,然后将原始数据始发端的终端标识(或应用标识)与原始数据报文目的端的终端标识(或应用标识)加入到标识连通路径内,然后由原始数据始发端与原始数据报文目的端及转发节点根据标识连通路径进行SRv6报文的转发。
而SRH扩展头中SRv6 SID可替换为当前转发路径中对应的节点标识的原因为:
1、SRv6 SID与节点标识均为128bit,数据结构、表达形式与空间大小一致;
2、基于标识的SRv6报文转发,没有改变原SID转发的报文头结构,只是做了定义的调整和数据替换;
3、SRv6 SID、节点标识及SRv6报文转发规则均由管理平台定义,不会出现转发规则不统一、转发节点不能识别的情况;形成基于标识的SRv6报文转发路径表,在通信过程中,转发节点只能看见如图7所示的转发路径表,SRv6报文转发均按照图7所示的转发路径表进行。
三、端到端通信
端到端通信的发起、会话的构建、虚拟网络服务的实现均基于标识完成(Overlay网络),标识对于外界终端与攻击不可见也无法识别,保障通信的安全性、隐匿性和威胁不扩散性,结合标识-SID映射关系引导真实数据的基于IP的安全转发(Underlay网络)。
端到端通信路径形成条件:一是完成标识选定和标识映射过程,二是目标路径上的每个终端设备/应用/转发节点感知到基于已选定的标识的数据流经该节点且路径顺序正确,则可以构建通信标识(发起端)-映射标识(1-2-3-……-N)-通信标识(响应端)的标识连通路径,通过标识连通路径与SRv6 SID路径关联关系,引导真实数据按需转发。端到端通信路径的编排由管理平台路径编排组件完成。
结合本发明涉及的通信场景示意图,对于端到端通信路径分为下述4个场景举例说明:
场景1
场景1的通信路径为UE1-gNB1-Node1-gNB2-UE2。在该场景下,标识连通路径为:终端标识1(UE1)-节点标识1(gNB1)-节点标识2(Node1)-节点标识3(gNB2)-终端标识2(UE2);IP转发路径为:终端IP1(UE1)-转发节点IP1(gNB1)-转发节点IP2(Node1)-转发节点IP3(gNB2)-转发终端IP3(UE2)。
场景2
场景2通信路径为UE1 APP1-gNB1-Node1-Node2-Node4-Node6-Service1。该场景下,标识连通路径为:应用标识1(UE1的APP1)-节点标识1(gNB1)-节点标识2(Node1)-节点标识3(Node2)--节点标识4(Node4)-节点标识5(Node6)-应用标识2(Service1);IP转发路径为:应用IP1(UE1的APP1)-转发节点IP1(gNB1)-转发节点IP2(Node1)-转发节点IP3(Node2)-转发节点IP4(Node4)-转发节点IP5(Node6)-应用IP2(Service1)。
场景3
场景3的通信路径为:UE2 APP2-gNB1-Node1-Node2-Node5-Node6- Service2-Node10-Node9-Node8-Node7-gNB3-UE3APP2。该场景下,标识连通路径为:应用标识1(UE2的APP2)-节点标识1(gNB1)-节点标识2(Node1)-节点标识3(Node2)-节点标识4(Node5)-节点标识5(Node6)-应用标识2(Service1)-节点标识6(Node10)-节点标识7(Node9)-节点标识8(Node8)-节点标识9(Node7)-节点标识10(gNB3)-应用标识3(UE3的APP2);IP转发路径为:应用IP1(UE2的APP2)-转发节点IP1(gNB1)-转发节点IP2(Node1)-转发节点IP3(Node2)-转发节点IP4(Node5)-转发节点IP5(Node6)-应用IP2(Service1)-转发节点IP6(Node10)-转发节点IP7(Node9)-转发节点IP8(Node8)-转发节点IP9(Node7)-转发节点IP10(gNB3)-应用IP3(UE3的APP2)。
场景4
场景4通信路径为: UE1 APP1-gNB1-Node1-Node2-Node4-Node6-Service1。将该场景覆盖的通信区域指定为特定的网络域,执行特定终端APP与数据中心应用服务的双向数据传输。标识连通路径为:终端标识1(UE1)-网络标识1(起始)-应用标识1(UE1的APP1)-节点标识1(gNB1)-节点标识2(Node1)-节点标识3(Node2)--节点标识4(Node4)-节点标识5(Node6)-应用标识2(Service1)-网络标识1(终止);IP转发路径为:应用IP1(UE1的APP1)-转发节点IP1(gNB1)-转发节点IP2(Node1)-转发节点IP3(Node2)-转发节点IP4(Node4)-转发节点IP5(Node6)-应用IP2(Service1)。
针对于场景1~3的数据转发过程:
第一步,当终端设备/应用支持SRv6协议时,则由终端设备/应用向管理平台发送qos请求,当终端设备/应用不支持SRv6协议时,则由终端设备/应用向源节点发送携带有qos请求的报文,然后由源节点解析出qos请求并将qos请求发送至管理平台,管理平台收到qos请求后,分析得知本次通信场景路径,再结合管理平台内标识信息和IP地址信息规划当前通信场景的标识连通路径,并明确所涉及的通信标识与映射标识的数量、位置、顺序以及与IP地址和SRv6 SID和对应关系,然后将规划好的标识连通路径下发至相应的设备。其中,当终端设备/应用支持SRv6协议时,管理平台将规划好的标识连通路径下发至终端设备/应用,反之,则将规划好的标识连通路径下发至源节点。
第二步,管理平台确认承载网中转发节点、映射标识(包括节点标识和/或网络标识)、SRv6 SID之间关系。一般情况下,一个转发节点会有多个映射标识,一个转发节点也会存在多个SRv6SID(转发节点为共用设备,可能同时存在多个SRv6 Local SID节点行为,不同的节点行为对应不同的转发功能,例如指定节点转发,指定出接口转发,解封装报文等,因此在不同的转发路径中SRv6 SID转发属性也可能不同),因此需要确定当前转发路径中标识与SRv6 SID的唯一对应关系。
第三步,管理平台基于标识连通路径明确接入网和核心网转发路径及始末位置,并告知指定终端/应用。
第四步,管理平台基于标识连通路径及标识(包括节点标识、网络标识、终端标识/用户标识、应用标识)与SRv6 SID对应关系明确承载网基于标识的SRv6转发路径,并将转发策略下发到承载网指定转发节点(源节点)上,承载网中各转发节点按照转发策略逐跳转发。
上述过程完成后,管理平台向终端设备/应用发送反馈信息,告知可以进入数据转发阶段,终端设备/应用基于标识构建会话连接,再按照规划路径执行端到端IPv6数据安全转发。
而针对于场景4的数据转发过程为:
该场景存在网络标识,与场景1~3略有不同。
在第一步时,管理平台按照终端/应用生成的qos请求,规划标识路径包括网络标识:①需要在第三步时将网络标识信息告知相应的终端设备/应用,以便于终端设备/应用提供资源以满足该网络标识覆盖的转发路径业务功能需求;②需要在第四步时将网络标识信息随转发策略下发到承载网指定转发节点(源节点),以便于所有转发节点提供资源以满足该网络标识覆盖的转发路径的网络服务需求。
为了提高数据传输的安全性,在转发SRv6报文时,每个SRv6报文转发路径上的终端设备/应用/转发节点向管理平台发送加密校验信息(校验信息包括上一个终端设备/应用/转发节点的标识、IP地址及转发顺序等),管理平台基于存储在平台内终端设备/应用/转发节点的标识、IP与转发顺序的对应关系进行校验,以确实数据来源可靠性及转发路径正确性。确认无误,继续转发,直至按路径顺序完成端到端转发。其中:
a.标识连通路径上的每个终端设备/应用/转发节点执行报文转发过程前,均需要执行校验过程;
b.当前终端设备/应用/转发节点通过提取流经本节点的相关报文信息获取上一个终端设备/应用/转发节点的标识、IP地址及转发顺序信息;
c.本发明所涉及的校验不包括数据本身内容的真实性校验。
实施例2
本实施例中的基于IPv6密码标识的SRv6通信系统架构上相同,都具有管理平台、原始数据报文始发端、原始数据报文目的端和转发节点,区别在于:本实施例中的转发节点具有利用哈希算法和标识连通路径中的节点标识计算出生成该节点标识所用的IP地址的算力。
在本实施例中,转发节点利用哈希算法和标识连通路径上的下一转发节点的节点标识计算得到该节点标识内所含有的下一转发节点IP地址,并根据下一转发节点IP地址进行SRv6报文转发。通过哈希算法和节点标识计算生成该节点标识时所用的转发节点的IP地址,可以使SRv6报文转发过程中对转发节点、原始数据报文始发端以及原始报文目的端的IP地址进行隐藏,进一步提高SRv6报文转发过程中的安全性。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (10)
1.一种基于IPv6密码标识的SRv6通信方法,原始数据报文始发端和原始数据报文目的端通过SRv6通信网络进行通信,原始数据报文始发端和原始数据报文目的端均包括终端设备和应用;在SRv6通信网络中,转发节点包括源节点、尾节点和/或中转节点,源节点为与原始数据报文始发端直接通信连接的转发节点,尾节点为与原始数据报文目的端直接通信连接的转发节点,中转节点为SRv6报文转发路径中位于源节点与尾节点之间的转发节点;其特征在于,源节点在将来自原始数据报文始发端的原始数据报文封装为SRv6报文时将标识连通路径填充至SRv6报文的SRH扩展头中充当SRv6 SID,然后按照下述方式进行SRv6报文转发:
M1)转发节点按照标识连通路径和存储于源节点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发;若下一转发节点为中转节点,则中转节点按照标识连通路径和存储于中转节点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发,若下一转发节点为尾节点,且当原始数据报文目的端支持SRv6报文时,尾节点直接将SRv6报文转发至原始数据报文目的端,若原始数据报文目的端不支持SRv6报文,则由尾节点通过将SRv6报文解封获得的原始数据报文转发至原始数据报文目的端;其中,标识连通路径、节点标识和标识映射表均由SRv6通信网络的管理平台生成并下发至各个转发节点,在标识映射表中,节点标识与相对应的转发节点IP地址或SID地址存在映射关系;
M2)转发节点利用哈希算法和标识连通路径上的下一转发节点的节点标识计算得到该节点标识内所含有的下一转发节点IP地址,并根据下一转发节点IP地址进行SRv6报文转发;
其中,节点标识为SRv6通信网络管理平台利用哈希算法根据转发节点属性信息和转发节点位置信息生成的标识,转发节点属性信息包括MAC地址、end、end.x、end.t、end.dt4和end.dt6,转发节点位置信息包括IP地址和locator地址。
2.根据权利要求1所述的基于IPv6密码标识的SRv6通信方法,其特征在于,包括如下步骤:
S1)原始数据报文始发端向源节点发送含有qos请求的原始数据报文;
S2)接收到原始数据报文后,源节点对原始数据报文进行解析获得qos请求并向管理平台发送qos请求;
S3)管理平台根据接收到的qos请求分析本次通信的通信路径,并根据管理平台内存储的终端标识、节点标识和IP地址生成本次通信的标识连通路径,同时根据标识连通路径生成节点标识和IP地址与转发顺序的映射关系并将该映射关系存储与管理平台内;
S4)源节点按照标识连通路径以及步骤S3)中得到的映射关系进行SRv6报文转发,若下一转发节点为中转节点,则中转节点继续按照标识连通路径以及步骤S3)中得到的映射关系进行SRv6报文转发,若下一转发节点为尾节点,且当原始数据报文目的端支持SRv6报文时,尾节点直接将SRv6报文转发至原始数据报文目的端,若原始数据报文目的端不支持SRv6报文,则由尾节点通过将SRv6报文解封获得的原始数据报文转发至原始数据报文目的端;
S5)原始数据报文目的端接收尾节点转发的SRv6报文或者原始数据报文,完成通信。
3.根据权利要求1所述的基于IPv6密码标识的SRv6通信方法,其特征在于,原始数据报文始发端和原始数据报文目的端进行通信之前,原始数据报文始发端和原始数据报文目的端先通过管理平台建立可信通信连接,建立可信通信连接建立之后,原始数据报文始发端和原始数据报文目的端进行直接通信。
4.根据权利要求3所述的基于IPv6密码标识的SRv6通信方法,其特征在于,原始数据报文始发端和原始数据报文目的端之间的可信通信基于可信通信标识实现,可信通信标识和节点标识均为基于IPv6的密码标识。
5.根据权利要求4所述的基于IPv6密码标识的SRv6通信方法,其特征在于,可信通信标识和节点标识均具有有效期。
6.根据权利要求2所述的方法,其特征在于,在转发SRv6报文时,转发节点向管理平台发送用于确认SRv6报文来源可靠性及转发路径正确性的校验信息,管理平台基于存储于管理平台内的终端标识、节点标识、IP地址与转发顺序之间的映射关系对SRv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果,转发节点依据校验结果进行SRv6报文转发或者停止转发。
7.一种利用权利要求1所述的基于IPv6密码标识的SRv6通信方法进行通信的系统,其特征在于,包括管理平台、原始数据报文始发端、原始数据报文目的端和转发节点,转发节点包括源节点、尾节点和/或中转节点且转发节点为支持三层以上解析的数据交换设备;原始数据报文始发端与原始数据报文目的端通过管理平台间接通信或通过转发节点直接通信;原始数据报文始发端与原始数据报文目的端直接通信时,源节点在将来自原始数据报文始发端的原始数据报文封装为SRv6报文时将标识连通路径填充至SRv6报文的SRH扩展头中充当SRv6 SID,然后转发节点按照标识连通路径和存储于转发点上的标识映射表确认下一转发节点的IP地址并进行SRv6报文转发;其中,在标识映射表中,节点标识与相对应的转发节点IP地址或SID地址存在映射关系,而标识连通路径、节点标识和标识映射表均由SRv6通信网络的管理平台生成并下发至各个转发节点。
8.根据权利要求7所述的系统,其特征在于,管理平台内设置有标识管理组件、IP地址管理组件、路径编排组件、映射管理组件和存储组件;其中,标识管理组件标识生成和分发,标识管理组件生成的标识包括用于代表转发节点的节点标识和用于代表原始数据报文始发端以及原始数据报文目的端的终端标识或应用标识;IP地址管理组件用于IPv6地址的生成与分发,路径编排组件用于根据源节点的qos请求、节点标识以及终端标识和/或应用标识生成通信路径并进行通信路径分发,通信路径包括标识连通路径和基于IP地址的SRv6SID路径;映射管理组件用于依据原始数据报文始发端的IPv6地址与终端标识/应用标识、原始数据报文目的端的IPv6地址与终端标识/应用标识、转发节点的节点标识与IPv6地址生成终端标识/应用标识、节点标识、IP地址与转发顺序之间的映射关系以及IP地址与终端标识/应用标识或节点标识之间的标识映射表并将该标识映射表分别下发至原始数据报文始发端、原始数据报文目的端和转发节点;存储组件用于存储终端标识、节点标识、IP地址与转发顺序之间的映射关系。
9.根据权利要求8所述的系统,其特征在于,管理平台内还设置有用于根据转发节点发送的校验信息对SRv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果的转发校验组件。
10.根据权利要求8所述的系统,其特征在于,转发节点为物理数据交换设备和/或软件数据交换设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410277802.0A CN117896177B (zh) | 2024-03-12 | 2024-03-12 | 一种基于IPv6密码标识的SRv6通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410277802.0A CN117896177B (zh) | 2024-03-12 | 2024-03-12 | 一种基于IPv6密码标识的SRv6通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117896177A CN117896177A (zh) | 2024-04-16 |
| CN117896177B true CN117896177B (zh) | 2024-05-14 |
Family
ID=90652004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410277802.0A Active CN117896177B (zh) | 2024-03-12 | 2024-03-12 | 一种基于IPv6密码标识的SRv6通信方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117896177B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935014A (zh) * | 2020-10-19 | 2020-11-13 | 网络通信与安全紫金山实验室 | 基于SRv6网络的报文转发方法、装置、存储介质及电子设备 |
| CN113411259A (zh) * | 2021-06-30 | 2021-09-17 | 新华三技术有限公司 | 一种报文转发方法、装置及设备 |
| CN113949667A (zh) * | 2021-12-07 | 2022-01-18 | 新华三大数据技术有限公司 | 分段网络中的报文处理方法及节点设备 |
| WO2022078509A1 (zh) * | 2020-10-15 | 2022-04-21 | 中兴通讯股份有限公司 | IPv6报文的扩展头封装方法及装置 |
| WO2024000137A1 (zh) * | 2022-06-28 | 2024-01-04 | 新华三技术有限公司 | 报文处理 |
-
2024
- 2024-03-12 CN CN202410277802.0A patent/CN117896177B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022078509A1 (zh) * | 2020-10-15 | 2022-04-21 | 中兴通讯股份有限公司 | IPv6报文的扩展头封装方法及装置 |
| CN111935014A (zh) * | 2020-10-19 | 2020-11-13 | 网络通信与安全紫金山实验室 | 基于SRv6网络的报文转发方法、装置、存储介质及电子设备 |
| CN113411259A (zh) * | 2021-06-30 | 2021-09-17 | 新华三技术有限公司 | 一种报文转发方法、装置及设备 |
| CN113949667A (zh) * | 2021-12-07 | 2022-01-18 | 新华三大数据技术有限公司 | 分段网络中的报文处理方法及节点设备 |
| WO2024000137A1 (zh) * | 2022-06-28 | 2024-01-04 | 新华三技术有限公司 | 报文处理 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117896177A (zh) | 2024-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8576845B2 (en) | Method and apparatus for avoiding unwanted data packets | |
| EP2347560B1 (en) | Secure access in a communication network | |
| EP2426885B1 (en) | Method, device and system for mobile virtual private network communication | |
| JP2012517766A (ja) | モバイル・ネットワークにおけるセキュア・ネットワークベースのルート最適化のための方法 | |
| WO2010053416A1 (en) | Method and apparatus for forwarding data packets using aggregating router keys | |
| CN104917605B (zh) | 一种终端设备切换时密钥协商的方法和设备 | |
| KR20110021945A (ko) | 네트워크 인증을 위한 방법, 장치, 시스템 및 서버 | |
| CN104852891B (zh) | 一种密钥生成的方法、设备及系统 | |
| JP4468453B2 (ja) | 往復経路確認の最適化 | |
| JP2008509614A (ja) | 高速ネットワーク接続機構 | |
| CN116963050B (zh) | 一种基于端到端IPv6密码标识的可信通信方法及系统 | |
| CN102740290B (zh) | 一种预认证和预配置方法及其系统 | |
| JP4944120B2 (ja) | 接続を確立するための基地局の方法及び装置 | |
| CN114338522A (zh) | 基于标识管理的IPv6编址与组网方法 | |
| CN117896177B (zh) | 一种基于IPv6密码标识的SRv6通信方法及系统 | |
| CN105264839A (zh) | 基于软件定义网络的组网方法及设备 | |
| El Bouabidi et al. | Design and analysis of secure host-based mobility protocol for wireless heterogeneous networks | |
| Glebke et al. | Service-based forwarding via programmable dataplanes | |
| Wan et al. | Identity based security for authentication and mobility in future ID oriented networks | |
| Aiash et al. | Security and QoS integration for protecting service providers in hterogeneous environments | |
| Lee et al. | Cross-layered architecture for securing IPv6 ITS communication: example of pseudonym change | |
| WO2012075768A1 (zh) | 身份位置分离网络的监听方法和系统 | |
| JP5180085B2 (ja) | 接続を確立するための無線端末の方法および装置 | |
| Liang et al. | A SDN-Based Hierarchical Authentication Mechanism for IPv6 Address | |
| US20230328620A1 (en) | Multipath communication and control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |