[发明专利]基于加解密的SRv6路径认证方法、节点、系统、设备及介质

说明书

本公开提供了一种基于加解密的SRv6路径认证方法、节点、系统、设备及介质，涉及通信技术领域。该方法包括：根据发送节点的加密密钥对各个SR节点的认证明文进行加密，得到各个SR节点的认证密文，将各个SR节点的认证密文压入SRH头部的SID中；提取接收节点的SID中的Locator字段和功能字段；根据发送节点的加密密钥加密接收节点的功能字段，得到功能字段密文，将接收节点的功能字段密文与Locator字段合并得到SID密文，将SID密文压入IPv6头部，SRv6数据包封装完毕转发至接收节点，以使接收节点根据认证密文以及SID密文实现节点认证，本公开能够有效防止潜在攻击方伪造SRv6数据包，提升系统安全性。

技术领域

本公开涉及涉及通信技术领域，尤其涉及一种基于加解密的SRv6路径认证方法、接收节点、发送节点、基于加解密的SRv6路径认证系统、电子设备及计算机可读存储介质。

背景技术

5G与云网融合时代，以人工智能、物联网、工业互联网等为代表的新技术持续加速发展，传统IP网络“尽力而为”的网络服务模式已难以满足新业务发展需求，提供智能化、差异化的高品质服务保障成为网络发展的重点。SRv6技术与SDN技术融合支持网络可编程，通过简化网络部署进一步赋能产业链，为以IPv6为基础的网络“新基建”注入新动力，推进IPv6+产业加速发展。

SRv6是以源路由技术为基础、基于IPv6扩展头实现的标签转发技术。SRv6通过新定义路由扩展头实现报文转发路径的显示封装。基于源路由的分段路由SRv6协议提供了一种高效灵活的管控手段，具有部署简单、灵活扩展的特点，可以更好的实现流量调度和路径优化，并大幅度提升网络带宽的利用率，同时，在众多行业中，可以利用SRv6协议的可编程、可定制的传输路径的特点实现业务需要，SRV6协议使网络更加简化，并具有良好的可扩展性。

SRv6协议通过在报文头SRH中插入有顺序的段列表(Segment List)，以指导转发设备按照指定的转发路径进行报文转发。SRv6数据包在转发路径中，经由多个网络设备，现在网络节点中，广泛部署DPI设备对往来的数据包进行分析，而SRH头中Segment List清楚标记了所有转发节点的功能要求及参数，这些信息通常是透明的，同时潜在的攻击者可以伪造SRv6的数据包给接收者，存在安全隐患。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开提供一种基于加解密的SRv6路径认证方法、系统、设备及介质，至少在一定程度上克服相关技术中SRv6转发数据包存在安全隐患的技术问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供了一种基于加解密的SRv6路径认证方法，应用于发送节点，所述方法包括：根据所述发送节点的加密密钥加密预设转发路径中所述各个分段路由SR节点的认证明文，得到所述各个SR节点的认证密文，将所述各个SR节点的认证密文压入SRH头部的段列表SID中，其中，所述各个SR节点的认证明文根据所述各个SR节点的SID与所述发送节点的节点认证参数得到；提取接收节点的SID中的Locator字段和功能字段，其中，所述接收节点为所述发送节点的下一跳SR节点；根据所述发送节点的加密密钥加密所述接收节点的功能字段，得到所述接收节点的功能字段密文，将所述接收节点的功能字段密文与所述Locator字段合并得到SID密文；将所述SID密文压入IPv6头部，SRv6数据包封装完毕转发至所述接收节点，以使所述接收节点根据所述认证密文以及所述SID密文实现节点认证。

在本公开的一个实施例中，在所述根据所述发送节点的加密密钥加密预设转发路径中所述各个分段路由SR节点的认证明文，得到所述各个SR节点的认证密文之前，包括：生成种子密钥，根据所述种子密钥与所述发送节点的预配置密钥，得到所述发送节点的加密密钥。