【技术实现步骤摘要】
基于SRoU的业务加密方法、系统、设备及存储介质
本专利技术涉及互联网通信安全
,尤其涉及一种基于SRoU的业务加密方法、系统、设备及存储介质。
技术介绍
传统的IPSec安全方案中,主要包含的协议是:认证头AH(AuthenticationHeader)和封装安全载荷ESP(EncapsulatingSecurityPayload)。AH用于保证数据完整性/防止重放攻击;ESP除了保证数据完整性/防止重放攻击,还提供数据加密。SRH最新的标准RFC8754中,认为SR是可信域,没有细节讨论安全场景。但是预留了在SRH中扩展实用AH(AuthenticationHeader)实现安全加密。但IPSec把加密作为公网IPSec隧道的属性,无法实现细粒度的基于业务的加密。
技术实现思路
技术目的:针对现有技术中无法实现细粒度的基于业务加密的缺陷,本专利技术公开了一种基于SRoU的业务加密方法、系统、设备及存储介质,通过在SDWAN场景下,引入SRoU为不同业务生成端到端的SR路径,并在SRoU的...
【技术保护点】
1.一种基于SRoU的业务加密方法,其特征在于,包括:/nS1、在SDWAN场景中,在本地用户端和远端用户端之间引入基于UDP协议的分段路由,即SRoU,通过引入SRoU生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;/nS2、本地用户端和远端用户端之间通过SRoU路径传送SRoU报文,并在SRoU报文头中增加ES TLV字段实现基于业务的双向安全加密功能,所述ES TLV字段中携带安全参数索引SPI,所述安全参数索引SPI用于匹配流策略,支持后期扩展。/n
【技术特征摘要】
1.一种基于SRoU的业务加密方法,其特征在于,包括:
S1、在SDWAN场景中,在本地用户端和远端用户端之间引入基于UDP协议的分段路由,即SRoU,通过引入SRoU生成端到端的SRoU路径,并通过映射方式绑定本地用户端和远端用户端的流策略;
S2、本地用户端和远端用户端之间通过SRoU路径传送SRoU报文,并在SRoU报文头中增加ESTLV字段实现基于业务的双向安全加密功能,所述ESTLV字段中携带安全参数索引SPI,所述安全参数索引SPI用于匹配流策略,支持后期扩展。
2.根据权利要求1所述的一种基于SRoU的业务加密方法,其特征在于:所述在步骤S1中,生成端到端的SRoU路径的具体过程为:
S11、获取本地用户端、远端用户端和本地用户端和远端用户端之间所有中转站的基本信息,根据本地用户端和远端用户端的基本信息建立流策略数据库;
S12、基于UDP协议和业务需求选取本地用户端和远端用户端之间的若干个中转站,依据本地用户端、若干中转站和远端用户端顺序生成端到端的SRoU路径;
S13、根据步骤S11中本地用户端和远端用户端各自的流策略数据库,通过将两个流策略数据库中相同的流策略建立映射关系,实现本地用户端和远端用户端之间流策略的绑定。
3.根据权利要求2所述的一种基于SRoU的业务加密方法,其特征在于:每个流策略只有唯一一个用于匹配的安全参数索引SPI,所述步骤S13中本地用户端和远端用户端之间流策略的绑定,即本地用户端和远端用户端之间安全参数索引SPI的绑定。
4.根据权利要求1所述的一种基于SRoU的业务加密方法,其特征在于:所述步骤S2中,本地用户端和远端用户端之间通过SRoU路径传送SRoU报文的具体过程为:
S21、本地用户端接收用户侧业务流量,根据业务流量需求确定本地流策略,并根据本地流策略配置的安全属性加密SRoU报文;
S22、根据远端用户端中与本地流策略绑定的远端流策略,获取远端流策略对应的唯一的远端安全参数索引SPI;本地用户端将远端安全参数索引SPI字段写入ESTLV字段,并将所述ESTLV字段封装在SRoU报文头中;本地用户端将SRoU报文
S23、所述SRoU报文从本地用户端处开始转发,经过SRoU路径上的所有中转站,最终转发至远端用户端;
S24、远端用户端接收所述SRoU报文,解析S...
【专利技术属性】
技术研发人员:苗青,张晨,黄韬,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。