WO2023125993A1

WO2023125993A1 - 隧道加密，转发和解密方法以及装置

Info

Publication number: WO2023125993A1
Application number: PCT/CN2022/144248
Authority: WO
Inventors: 成伟; 王俊杰; 龚海东
Original assignee: 苏州盛科通信股份有限公司
Priority date: 2021-12-31
Filing date: 2022-12-30
Publication date: 2023-07-06
Also published as: CN116418537A

Abstract

本申请公开了一种隧道加密，转发和解密方法以及装置，其中所述隧道加密方法包括：于隧道加密报文的预设字段中添加未做修改的原始转发信息；所述原始转发信息用于中间转发节点的路径计算选择，服务质量控制，安全策略执行，不同加密粒度的选择等。通过所述方法和装置，可以解决现有数据中心端到端加密方案部署的挑战，如ECMP多路径负载分担选路不一致，端到端服务质量难以部署，安全策略配置实施复杂，无法灵活选择加密粒度，以及传统加密隧道报文格式扩展性等问题。

Description

隧道加密，转发和解密方法以及装置

本申请要求于2021年12月31日提交中国专利局、申请号为202111673386.9、发明名称“隧道加密，转发和解密方法以及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络通信技术，特别是涉及一种隧道加密，转发和解密方法以及装置。

背景技术

现有基于VXLAN(Virtual Extensible Local Area Network，虚拟扩展局域网)隧道的加解密协议，能够实现数据中心端到端的加密能力，将虚拟机或物理服务器组装的原始报文后发出，在途经的网络设备上接收到该报文后，需要先进行解密和加密操作，使用报文的MAC(Media Access Control Address，媒体存取控制位址)地址，IP(Internet Protocol，网络之间互连的协议)地址等信息进行转发，到达目的地后由解密VXLAN密文，并发送给虚拟机或物理服务器。在VXLAN协议中，加密节点负责VXLAN数据包明文加密，解密节点负责VXLAN数据包密文解密，中间节点基于VXLAN数据包密文进行路由转发。

如图1所示，当HOST A(主机A)与HOST B(主机B)在同一网段，分布在不同的VXLAN隧道端点(VXLAN Tunnel End Point，VTEP(VXLAN Tunnel Endpoint))下面，物理服务器组装的原始报文后发出，在途经的网络设备上接收到该报文后，需要先进行解密以及解封装，和加密以及加封装)操作。以HOST A与HOST B的通信为例，可选的处理过程详细如下：

1.HOST A与HOST B处于同一网段，在HOST A请求并获得HOST B的MAC地址；

2.报文到达VTEP-1后，交换机根据报文解析结果MAC，IP等信息进行转发表项查找和转发处理。如果是二层转发，就查找FDB(Forwarding Data Base，转发数据库)表项；如果是三层转发，就查找路由表。

以L2转发为例，根据查找的结果中的下一跳信息对原始报文执行加密和VXLAN加封装处理，最终将报文转发出去。VTEP-1的出口报文MAC_DA为Router-1(路由器)的设备MAC-2；MAC_SA为VTEP-1的设备MAC-1；外层IP_DA为VTEP-2的IP-4，IP_SA为VTEP-1的IP-1；增加的外层UDP Header(User Datagram Protocol Header，用户数据报协议首部格式)中的L4DstPort为特定预留数值，而不是VXLAN UDP port(该标识为VXLAN数据包密文特征之一)；

3.如果VXLAN网络中的设备不具备VXLAN加解密功能，加密报文在网络上依然可以根据VXLAN外层IP地址进行路由转发，最终到达VTEP-2；

4.VTEP-2收到报文后，根据报文解析结果识别为VXLAN数据包密文(如图四所示)，在交换机内部首先进行VXLAN数据包密文的解密处理，完成解密后的报文为正常的VXLAN数据包明文。交换机会根据VXLAN报文解析结果中的IP_DA，IP_SA，VNI(虚拟网络设备接口模块)进行VXLAN Tunnel解封装表项查找，并根据查找结果，执行VXLAN报文的解封装处理和内层报文解析。根据内层报文MAC_DA判断执行Bridging转发或者Routing转发，并查找对应的芯片表项。根据查找结果的下一跳信息进行报文出口编辑，最终将该报文转发给HOSTB。

传统的隧道加密方案在数据中心的部署，存在以下问题：

1.由于VXLAN加密报文格式的设计是基于UDP Header的，加密时会将用于表示VXLAN加密的特定标识替换掉原始的L4 Dst Port，因此需要更新UDP Length，导致在加密节点需要对UDP Checksum进行重新计算，带来两个风险：一是用于ECMP(Equal Cost Multi-path，等价多路径路由)负载均衡计算的HASH因子中，如果包含UDP Dst Port，会导致在加密前和加密后的路径不一致；二是在穿越中间网络的转发节点时，如果一旦 Checksum未被正确更新，VXLAN数据包密文的转发就存在被丢弃的风险；

传统的VXLAN，NVGRE(Network Virtualization using Generic Routing Encapsulation，使用通用路由协议封装的网络虚拟化)等多种协议在设计之初对加密的考虑不足，导致数据中心部署端到端加密方案使得报文关键信息被加密，无法用于转发，此外，这些隧道协议报文在加密报文格式的定义上扩展性差，难以携带多种信息，无法配合网络的运维和安全策略，导致在部署加密后，需要全网对加密数据流的下发转发配置，运维挑战大，并且加密后导致部分转发信息丢失，中间节点难以部署精细化的安全策略，难以统一实现整网的安全保障。

发明内容

本申请实施例所要解决的技术问题是解决数据中心的部署端到端加密方案ECMP多路径负载均衡在加密前后的转发路径一致，避免带来数据流的报文乱序问题，以及通过统一的加密协议数据格式满足多种Overlay(覆盖)隧道数据中心应用需求，避免为VXLAN，NVGRE多种隧道协议定制不同的加密方案，从而保证数据中心网络的简洁性。

为了解决上述的技术问题，本申请实施例提供了一种隧道加密方法，包括：于隧道加密报文的预设字段中添加未做修改的原始转发信息，以及芯片转发与配置信息；所述原始转发信息用于中间转发节点ECMP多路径负载分担计算与路径一致性，服务质量控制，安全策略执行，以及不同加密粒度的选择。

上述的隧道加密方法中，所述预设字段的插入位于IP数据包L3Header之后的位置，从而形成特定IP Protocol作为加密后的隧道报文特征；所述原始转发信息包括以下至少一个转发信息：L4 Dst Port，L4 Src Port，IP Protocol，VNI，Security Index(安全索引)，DSCP(Differentiated Services Code Point，差分服务代码点)，SGT ID，Inner HASH(内层哈希)。

为了解决上述的技术问题，本申请还公开了一种隧道转发方法，包括：接收到根据如上述的隧道加密实现方法生成的隧道加密报文；识别所述报文为隧道加密报文；根据所述隧道加密报文预设字段中的原始转发信息进行转发路径计算并转发。

为了解决上述的技术问题，本申请还公开了一种隧道解密方法，包括：接收到根据如上述的隧道转发方法发送的隧道加密报文；识别所述报文为隧道加密报文，并解密；对解密后的隧道加密报文进行转发。

为了解决上述的技术问题，本申请还公开了一种隧道加密装置，包括：加密节点，于隧道加密报文的预设字段中添加未做修改的原始转发信息；所述原始转发信息用于中间转发节点ECMP多路径负载分担计算与路径一致性，服务质量控制，安全策略执行，以及不同加密粒度的选择。

上述的隧道加密装置中，所述预设字段的插入位于IP数据包L3Header之后的位置，从而形成特定IP Protocol作为加密后的隧道报文特征；所述原始转发信息包括以下至少一个转发信息：L4 Dst Port，L4 Src Port，IP Protocol，VNI，Security Index，DSCP，SGT ID，Inner HASH。

为了解决上述的技术问题，本申请还公开了一种隧道转发装置，包括：转发节点，用于接收到根据如上述的隧道加密实现装置生成的隧道加密报文；识别所述报文为隧道加密报文；以及，根据所述隧道加密报文预设字段中的原始转发信息进行转发路径计算并转发。

为了解决上述的技术问题，本申请还公开了一种隧道解密装置，包括：接收到根据上述的隧道转发装置发送的隧道加密报文；识别所述报文为隧道加密报文，并解密；对解密后的隧道加密报文进行转发。

本申请针对现有技术中的问题，通过在隧道加密数据报文中定义一保留的预设字段，所述预设字段中添加未做修改的原始转发信息，如VXLAN的L4 Dst Port，可使中间转发节点通过读取该预设字段中的原始转发信息，实现正常的报文ECMP多路径负载均衡计算和转发；如VXLAN内层IP DSCP，可使中间转发节点读取该预设字段中的原始转发信息，实现不同的服务质量；如VXLAN SGT安全组，可使中间转发节点读取该预设字段中的原始转发信息，实现基于SGT安全组的安全策略等。本申请通过定义加密协议及其报文格式，经由预设字段携带原始转发信息，实现了通用的隧道加密方案，从而解决了隧道端到端加密中存在的问题。

附图说明

图1是现有基于VXLAN加密数据包进行路由转发的拓扑示意图；

图2是实施例1的隧道报文结构示意图；

图3是实施例1的隧道报文结构示意图；

图4是实施例2的隧道报文结构示意图。

具体实施方式

本申请实施例基于IP协议对报文封装。

在加密起始节点，基于本申请实施例的交换机将VXLAN报文加密处理后的报文格式如图2和图3所示。IP头部的IP Protocol字段，由于进行如VXLAN数据包的加密操作，会被更新为New IP Protocol，New IP Protocol为公认的特殊标识，这样就能够被统一识别为报文进行了VXLAN数据包密文的标识。如图2所示，加密后的报文在IP头部后插入了一预设字段X-SEC Header，这样，本实施例就形成了有别于现有普通第三层网络层IP协议的特定IP协议，并以此特定IP Protocol作为加密后的隧道报文特征之一。在X-SEC Header中，支持携带上述一个或多个转发信息，如携带了原始报文的IP Protocol。

在X-SEC Header中，包括如下两个标识类型的字段：

(1)Type：8bit，标识X-SEC Header的类型，用于区分携带不同信息；

(2)Next Header：8bit，标识X-SEC Header的内层报文头部的解析；

X-SEC Header支持携带一个或多个转发信息，其包含但不限于下列的转发信息字段：

(1)L4 Dst Port：16bit，标识原始内层或者外层L4 Dst Port；

(2)L4 Src Port：16bit，标识原始内层或者外层L4 Src Port；

(3)IP Protocol：8bit，标识原始IP Protocol；

(4)Security Index：16bit，用于加解密的Key索引，可灵活映射精细业务；

(5)SGT ID：16bit，用于全局加解密Key，可灵活映射精细业务；

(6)DSCP：6bit，标识IP DSCP优先级；

(7)VNI：24bit，标识VXLAN VNI或者GRE VSI；

(8)Inner HASH：16bit，标识基于隧道内层报文特征的HASH计算结果，用于参与ECMP负载均衡转发。

在中间转发节点，首先进行解析处理，根据结果获取到报文的特征，比如：IPSA，IPDA，New IP Protocol，以及X-SEC Header等字段。因此，中间节点在转发表项查找，会根据IPDA查找路由表项，并根据New IP Protocol区分出是加密后的报文(这与现有做法相同)。与现有技术不同的是，在识别出为加密报文后，中间节点可以根据X-SEC Header携带的转发信息原始IP Protocol，参与ECMP HASH计算，使得中间节点ECMP转发在加密前和加密后所提取的HASH因子保持不变，满足ECMP HASH选路一致性。

在解密节点，交换机接收到加密后的报文后，同样首先进行解析处理，从而根据结果获取到报文的特征，比如：IPSA，IPDA，New IP Protocol，以及X-SEC Header等字段。然后根据New IP Protocol区分出是加密后的，因此，首先查找到用于匹配解密的ACL的表项来进行该数据报文的解密处理，并根据解密后的VXLAN报文的IPDA查找路由表项，最终对解密后的报文进行ECMP转发。

本实施例将预设字段X-SEC Header插入位于IP数据包L3Header之后的位置，通过实施一套加密方案满足数据中心多种Overlay隧道协议组网。所述原始转发信息用于中间转发节点ECMP多路径负载分担计算与路径一致性，服务质量控制，安全策略执行，不同加密粒度的选择等。所述预设字段X-SEC中添加未做修改的原始转发信息，如携带VXLAN的L4Dst Port，可使中间转发节点通过读取该预设字段中的原始转发信息，实现正常的报文ECMP多路径负载均衡计算和转发；再如，携带VXLAN内层IP DSCP，可使中间转发节点读取该预设字段中的原始转发信息，实现不同的服务质量；还有，携带如VXLAN SGT安全组，可使中间转发节点读取该预设字段中的原始转发信息，实现基于SGT安全组的安全策略等。

本申请实施例通过GRE隧道进行数据的加解密和转发。

在加密起始节点，基于本申请实施例的交换机将VXLAN报文加密处理后的报文格式如图4所示。IP头部的IP Protocol字段，由于进行如GRE/NVGRE数据包的加密操作，会被更新为New IP Protocol，New IP Protocol为特殊标识，被统一识别为报文进行了GRE/NVGRE数据包密文的标识。

为了避免中间节点ECMP转发时，无法提取到加密后的报文中的原始GRE内层IP五元组信息参与ECMP HASH计算，在解密起始节点会从加密前的原始GRE内层报文中的IP五元组等字段，在加密起始加点提前完成ECMP HASH计算，并将ECMP HASH计算结果抽取到X-SEC Header的Inner HASH字段。如图4所示，加密后的报文在IP头部后面插入了X-SEC Header，在X-SEC Header中，支持携带上述一个或多个转发信息，如携带了原始报文的Inner HASH。

在中间转发节点，首先进行解析处理，根据结果获取到报文的特征，比如：IPSA，IPDA，New IP Protocol，以及X-SEC Header等字段。因此，中间节点在转发表项查找，会根据IPDA查找路由表项，并根据New IP Protocol区分出是加密后的报文。在识别出为加密报文后，可以根据X-SEC Header携带的转发信息Inner HASH参与ECMP HASH计算，使得中间节点ECMP转发在加密前和加密后所提取的HASH因子保持不变，满足ECMP HASH选路一致性。

在解密节点，交换机接收到加密后的报文后，同样首先进行解析处理，从而根据结果获取到报文的特征，比如：IPSA，IPDA，New IP Protocol，以及X-SEC Header等字段。然后根据New IP Protocol区分出是加密后的，因此，首先查找到用于匹配解密的ACL的表项来进行该数据报文的解密处理，并根据解密后的GRE报文的IPDA查找路由表项，最终对解密后的报文进行ECMP转发。

综合上述的实施例一至实施例二，通过本申请的隧道加密协议能够支持多种隧道，包含但不限于如：VXLAN，GRE/NVGRE，IPv4/IPv6Tunnel，SRv6，GENEVE，实现了基于IP Header加密方案，在部署时支持穿越中间IP三层网络，简化了中间节点能力要求，具备实现端到端安全加密的部署能力。同时，发明设计通过设计X-SEC Header携带一种或者多种转发信息，增强了加密协议的扩展性，解决了ECMP多路径负载分担转发路径一致性，服务质量，安全策略与运维管理，精细化加密粒度等问题。

本实施例公开了一种隧道加密，转发以及解密装置，包括：

加密节点，于隧道加密报文的预设字段中添加未做修改的原始转发信息，以及芯片转发与配置信息；所述原始转发信息用于中间转发节点ECMP多路径负载分担计算与路径一致性，服务质量控制，安全策略执行，以及不同加密粒度的选择。

在可选实施中，所述预设字段的插入位于IP数据包L3Header之后的位置。所述原始转发信息包括以下至少一个转发信息：L4 Dst Port，L4 Src Port，VNI，Security Index，DSCP，SGT ID，Inner HASH。

在可选实施中，所述隧道包括VXLAN，GRE/NVGRE，IPv4/IPv6Tunnel，SRv6，GENEVE。

本实施例的隧道转发装置，包括：转发节点，用于接收到上述的隧道加密实现装置生成的隧道加密报文；识别所述报文为隧道加密报文；以及，根据所述隧道加密报文预设字段中的原始转发信息进行转发路径计算并转发。

本实施例的隧道解密装置，包括：接收到根据如上述的隧道转发装置发送的隧道加密报文；识别所述报文为隧道加密报文，并解密；对解密后的隧道加密报文进行转发。

本领域技术人员可以理解的是，本实施例四的一种隧道加密，转发以及解密装置与实施例一至三的隧道加密，转发以及解密方法为基于同一发明构思，因此关于相关本实施例的内容可以参照前文相应内容处，此处不再赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：ROM(Read-Only Memory，只读存储器)、RAM(Random Access Memory，随机存取存储器)、磁盘或光盘等。

虽然本申请披露如上，但本申请并非限定于此。任何本领域技术人员，在不脱离本申请的精神和范围内，均可作各种更动与修改，因此本申请的保护范围应当以权利要求所限定的范围为准。

Claims

一种隧道加密方法，包括：

于隧道加密报文的预设字段中添加未做修改的原始转发信息；所述原始转发信息用于中间转发节点ECMP多路径负载分担计算与路径一致性，服务质量控制，安全策略执行，以及不同加密粒度的选择。
如权利要求1所述的隧道加密方法，其中，

所述预设字段的插入位于IP数据包L3 Header之后的位置，从而形成特定IP Protocol作为加密后的隧道报文特征；

所述原始转发信息包括以下至少一个转发信息：L4 Dst Port，L4 Src Port，IP Protocol，VNI，Security Index，DSCP，SGT ID，Inner HASH。
一种隧道转发方法，包括：

接收到根据如权利要求1或2所述的隧道加密实现方法生成的隧道加密报文；

识别所述报文为隧道加密报文；

根据所述隧道加密报文预设字段中的原始转发信息进行转发路径计算并转发。
一种隧道解密方法，包括：

接收到根据如权利要求3所述的隧道转发方法发送的隧道加密报文；

识别所述报文为隧道加密报文，并解密；

对解密后的隧道加密报文进行转发。
一种隧道加密装置，包括：

加密节点，于隧道加密报文的预设字段中添加未做修改的原始转发信息，以及芯片转发与配置信息；所述原始转发信息用于中间转发节点ECMP多路径负载分担计算与路径一致性，服务质量控制，安全策略执行，以及不同加密粒度的选择。
如权利要求5所述的隧道加密装置，其中，

所述预设字段的插入位于IP数据包L3 Header之后的位置，从而形成特定IP Protocol作为加密后的隧道报文特征；

所述原始转发信息包括以下至少一个转发信息：L4 Dst Port，L4 Src Port，IP Protocol，VNI，Security Index，DSCP，SGT ID，Inner HASH。
一种隧道转发装置，包括：

转发节点，用于接收到根据如权利要求5或6所述的隧道加密实现装置生成的隧道加密报文；

识别所述报文为隧道加密报文；以及，

根据所述隧道加密报文预设字段中的原始转发信息进行转发路径计算并转发。
一种隧道解密装置，包括：

接收到根据如权利要求7所述的隧道转发装置发送的隧道加密报文；

识别所述报文为隧道加密报文，并解密；

对解密后的隧道加密报文进行转发。