【技術實現步驟摘要】
本申請涉及通信,尤其涉及一種通信方法及裝置。
技術介紹
1、目前,基于ipv6轉發平面的段路由(英文:segment?routing?ipv6,簡稱:srv6)作為新型承載協議,可滿足網絡與業務靈活編排,具備較好的應用前景,受到了產業界的廣泛關注。
2、srv6技術以ipv6報文頭為基礎,重新定義了路由擴展報文頭分段路由頭(英文:segment?routing?header,簡稱:srh)封裝srv6段標識(英文:segement?id,簡稱:sid)相關信息。
3、在ietf的文稿中規定了sr網絡需要有明確的網絡邊緣,確定了明確的網絡可信域,在可信域內的網絡設備被認定為是安全的。為了提高srv6報文的安全保障,降低泄露sid到外域帶來的風險,同時也防止srh中封裝了指示srv6報文轉發路徑的sid列表被惡意篡改,因此,非常有必要對srv6報文增加安全性校驗機制。通過對srh進行合法性驗證,以確保srv6報文來自可信數據源,且報文頭未被中間設備非法篡改。
4、在ietf的文稿中為srh定義了一個基于哈希的消息驗證碼(英文:hash-basedmessage?authentication?code,簡稱:hmac)tlv。通過對srh中攜帶的hmac信息,可過濾掉大部分場景下的不安全srv6報文。但是,在srh中定義hmac?tlv也暴露出如下問題:1)對于經srv6頭壓縮后不封裝srh的srv6報文,導致下游srv6節點無法進行安全校驗;2)封裝在srh中的hmac?tlv在每個srv6節點上
技術實現思路
1、有鑒于此,本申請提供了一種通信方法及裝置,用以解決現有srh中攜帶hmac信息出現的下游srv6節點無法進行安全校驗以及影響中間節點轉發性能的問題。
2、第一方面,本申請提供了一種通信方法,所述方法應用于第一節點,所述第一節點處于srv6轉發路徑上,所述方法包括:
3、接收第二節點發送的第一srv6報文,所述第一srv6報文包括第一源ip地址以及第一校驗信息,所述第一校驗信息包括第一密鑰id以及第一摘要;
4、通過所述第一密鑰id對應的第一加密算法,對所述第一源ip地址進行加密計算,得到第二摘要;
5、若所述第二摘要與所述第一摘要相同,則對所述第一srv6報文進行轉發處理。
6、第二方面,本申請提供了一種通信裝置,所述裝置應用于第一節點,所述第一節點處于srv6轉發路徑上,所述裝置包括:
7、接收單元,用于接收第二節點發送的第一srv6報文,所述第一srv6報文包括第一源ip地址以及第一校驗信息,所述第一校驗信息包括第一密鑰id以及第一摘要;
8、加密單元,用于通過所述第一密鑰id對應的第一加密算法,對所述第一源ip地址進行加密計算,得到第二摘要;
9、發送單元,用于若所述第二摘要與所述第一摘要相同,則對所述第一srv6報文進行轉發處理。
10、第三方面,本申請提供了一種網絡設備,包括處理器和機器可讀存儲介質,機器可讀存儲介質存儲有能夠被處理器執行的機器可執行指令,處理器被機器可執行指令促使執行本申請第一方面所提供的方法。
11、因此,通過應用本申請提供的通信方法及裝置,第一節點接收第二節點發送的第一srv6報文,該第一srv6報文包括第一源ip地址以及第一校驗信息,該第一校驗信息包括第一密鑰id以及第一摘要;通過第一密鑰id對應的第一加密算法,第一節點對第一源ip地址進行加密計算,得到第二摘要;若第二摘要與第一摘要相同,則第一節點對第一srv6報文進行轉發處理。
12、如此,無論srv6報文中是否存在srh,也可實現srv6報文的安全校驗處理。通過調整doh與srh之間的封裝位置,可靈活控制中間節點是否進行安全校驗處理。同時,中間節點上也不需專門的配置,既簡化了網絡部署,也提升了只需尾節點進行安全校驗處理的場景下中間節點的轉發性能。解決了現有srh中攜帶hmac信息出現的下游srv6節點無法進行安全校驗以及影響中間節點轉發性能的問題。
本文檔來自技高網...【技術保護點】
1.一種通信方法,其特征在于,所述方法應用于第一節點,所述第一節點處于SRv6轉發路徑上,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述第一SRv6報文還包括第一SRH,所述接收第二節點發送的第一SRv6報文之后,所述方法還包括:
3.根據權利要求2所述的方法,其特征在于,所述方法還包括:
4.根據權利要求1所述的方法,其特征在于,所述方法還包括:
5.根據權利要求4所述的方法,其特征在于,所述根據本地配置的安全校驗策略,生成第四摘要,具體包括:
6.根據權利要求1-5任一項所述的方法,其特征在于,SRv6報文包括目的選項頭DOH,所述DOH包括SRv6安全校驗選項,所述SRv6安全校驗選項用于承載校驗信息;
7.根據權利要求6所述的方法,其特征在于,SRv6報文還包括IPv6基本頭,所述IPv6基本頭包括nextheader字段;
8.根據權利要求7所述的方法,其特征在于,當SRv6報文包括所述SRH時,所述DOH處于所述SRH之前或者之后。
9.根據權利要求8所述的
10.根據權利要求8所述的方法,其特征在于,所述通過所述第一密鑰ID對應的第一加密算法,對所述第一源IP地址以及所述第一SRH進行加密計算,得到第三摘要,具體包括:
11.根據權利要求8所述的方法,其特征在于,所述方法還包括:
12.一種通信裝置,其特征在于,所述裝置應用于第一節點,所述第一節點處于SRv6轉發路徑上,所述裝置包括:
...【技術特征摘要】
1.一種通信方法,其特征在于,所述方法應用于第一節點,所述第一節點處于srv6轉發路徑上,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述第一srv6報文還包括第一srh,所述接收第二節點發送的第一srv6報文之后,所述方法還包括:
3.根據權利要求2所述的方法,其特征在于,所述方法還包括:
4.根據權利要求1所述的方法,其特征在于,所述方法還包括:
5.根據權利要求4所述的方法,其特征在于,所述根據本地配置的安全校驗策略,生成第四摘要,具體包括:
6.根據權利要求1-5任一項所述的方法,其特征在于,srv6報文包括目的選項頭doh,所述doh包括srv6安全校驗選項,所述srv6安全校驗選項用于承載校驗信息;
7.根據權利要求6所述的方法,其特征在...
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。