【技术实现步骤摘要】
本公开一般涉及网络通信,具体涉及一种基于零信任的srv6报文生成和传输方法。
技术介绍
1、分段路由(segmentrouting,sr)是一种基于源路由转发模式的隧道技术。sr的数据面采用多协议标记交换(multi-protocollabelswitching,mpls)或互联网通信协议第6版(internetprotocolversion6,ipv6)两种方式。基于ipv6方式的sr,称为互联网通信协议第6版分段路由(internetprotocolversion6segmentrouting,ipv6sr)或基于ipv6数据面的分段路由(segmentroutingoveripv6dataplane,srv6)。
2、相关技术中,通常根据srv6的字段中标记访问的网络位置进行安全管控,但是,这样的管控方式无法实现对用户行为进行安全管控。
技术实现思路
1、鉴于现有技术中的上述缺陷或不足,期望提供一种基于零信任的srv6报文生成和传输方法,提高srv6报文的网络安全性。
2、第一方面,本申请实施例提供了一种基于零信任的srv6报文生成方法,应用于客户端,包括:
3、响应于访问请求的触发指令,向控制器发送申请访问目标对象的访问请求;
4、接收控制器响应于所述访问请求发送的安全策略标识,所述安全策略标识对应有安全策略,所述安全策略为用户对所述目标对象的业务访问权限;
5、基于所述安全策略标识生成srv6报文中的option
6、基于所述optional tlv字段,生成所述访问请求对应的srv6报文。
7、在一些实施例中,所述基于所述安全策略标识生成所述srv6报文中的optionaltlv字段,包括:
8、生成所述访问请求对应的所述srv6报文的第一optional tlv字段;
9、将所述安全策略标识插入所述第一optional tlv字段,得到第二optional tlv字段;
10、基于所述第二optional tlv字段生成所述optional tlv字段。
11、在一些实施例中,所述基于所述第二optional tlv字段生成所述optional tlv字段,包括:
12、基于所述第二optional tlv字段进行加密处理,得到验证信息;
13、基于所述第二optional tlv字段和所述验证信息,得到所述optional tlv字段。
14、在一些实施例中,所述基于所述第二optional tlv字段进行加密处理,得到验证信息,包括:
15、获取所述srv6报文的分段列表、时间戳和预置一次性密钥;
16、将所述分段列表、所述时间戳、所述候选optional tlv字段和所述预置一次性密钥进行哈希计算,得到所述验证信息。
17、在一些实施例中,还包括:
18、响应于身份认证的触发指令,向所述控制器发送所述用户身份信息;
19、接收所述控制器响应于所述用户身份信息的认证结果,并在所述认证结果为通过时监听所述访问请求的触发指令。
20、第二方面,本申请实施例提供了一种基于零信任的srv6报文生成方法,应用于控制器,包括:
21、接收客户端发送的访问请求,所述访问请求包括所述控制器申请访问的目标对象;
22、基于所述客户端的登陆用户对所述目标对象的业务访问权限,确定与所述用户对应的安全策略以及所述安全策略对应的安全策略标识;
23、向所述客户端发送安全策略标识。
24、在一些实施例中,向业务功能链中各节点设备发送所述安全策略标识及其对应的安全策略。
25、第三方面,本申请实施例提供了一种基于零信任的srv6报文传输方法,应用于节点设备,所述节点设备支持零信任安全策略,所述方法包括:
26、接收上一节点设备发送的与访问请求对应的srv6报文,所述srv6报文包含所述访问请求对应的安全策略标识,所述安全策略标识对应有安全策略,所述安全策略为用户对所述目标对象的业务访问权限;
27、校验所述安全策略标识有效,将所述srv6报文发送至下一节点设备,所述安全策略标识有效为所述srv6报文中记载的安全策略标识本身未被修改且所述安全策略标识为有效状态。
28、在一些实施例中,在当前节点为业务功能链中的第一节点时,所述上一节点设备为客户端。
29、第四方面,本申请实施例提供了一种基于零信任的srv6报文生成装置,应用于客户端,包括:
30、发送模块,用于响应于访问请求的触发指令,向控制器发送申请访问目标对象的访问请求;
31、接收模块,用于接收控制器响应于所述访问请求发送的安全策略标识,所述安全策略标识对应有安全策略,所述安全策略为用户对所述目标对象的业务访问权限;
32、第一生成模块,用于基于所述安全策略标识生成srv6报文中的optional tlv字段;
33、第二生成模块,用于基于所述optional tlv字段,生成所述访问请求对应的srv6报文。
34、第五方面,本申请实施例提供了一种控制器,包括:
35、接收模块,用于接收客户端发送的访问请求,所述访问请求包括所述控制器申请访问的目标对象;
36、生成模块,用于基于所述客户端的登陆用户对所述目标对象的业务访问权限,确定与所述用户对应的安全策略以及所述安全策略对应的安全策略标识;
37、发送模块,用于向所述客户端发送安全策略标识。
38、第六方面,本申请实施例提供了一种节点设备,所述节点设备支持零信任安全策略,所述节点设备包括:
39、接收模块,用于接收上一节点设备发送的与访问请求对应的srv6报文,所述srv6报文包含所述访问请求对应的安全策略标识,所述安全策略标识对应有安全策略,所述安全策略为用户对所述目标对象的业务访问权限;
40、执行模块,用于校验所述安全策略标识有效,将所述srv6报文发送至下一节点设备,所述安全策略标识有效为所述srv6报文中记载的安全策略标识本身未被修改且所述安全策略标识为有效状态。
41、第七方面,本申请实施例提供了一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行该程序时实现如本申请实施例描述的方法。
42、第八方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例描述的方法。
43、第九方面,本申请实施例提供了一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现如本申请实施例描述的方法。
44、本申请实施例提出的基于零信任的srv6报文生成方法,能够使srv6报本文档来自技高网...
【技术保护点】
1.一种基于零信任的SRv6报文生成方法,其特征在于,应用于客户端,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述安全策略标识生成所述SRv6报文中的Optional TLV字段,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述第二Optional TLV字段生成所述Optional TLV字段,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述第二Optional TLV字段进行加密处理,得到验证信息,包括:
5.根据权利要求1所述的方法,其特征在于,还包括:
6.一种基于零信任的SRv6报文生成方法,其特征在于,应用于控制器,包括:
7.根据权利要求6所述的方法,其特征在于,还包括:
8.一种基于零信任的SRv6报文传输方法,其特征在于,应用于节点设备,所述节点设备支持零信任安全策略,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,在当前节点为业务功能链中的第一节点时,所述上一节点设备为客户端。
10.一种基于零信任的
11.一种控制器,其特征在于,包括:
12.一种节点设备,其特征在于,所述节点设备支持零信任安全策略,所述节点设备包括:
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时,实现如权利要求1-5中任一所述的基于零信任的SRv6报文生成方法,或者权利要求6-7中任一所述的基于零信任的SRv6报文生成方法,或者权利要求8-9所述的基于零信任的SRv6报文传输方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的基于零信任的SRv6报文生成方法,或者权利要求6-7中任一所述的基于零信任的SRv6报文生成方法,或者权利要求8-9所述的基于零信任的SRv6报文传输方法。
...【技术特征摘要】
1.一种基于零信任的srv6报文生成方法,其特征在于,应用于客户端,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述安全策略标识生成所述srv6报文中的optional tlv字段,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述第二optional tlv字段生成所述optional tlv字段,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述第二optional tlv字段进行加密处理,得到验证信息,包括:
5.根据权利要求1所述的方法,其特征在于,还包括:
6.一种基于零信任的srv6报文生成方法,其特征在于,应用于控制器,包括:
7.根据权利要求6所述的方法,其特征在于,还包括:
8.一种基于零信任的srv6报文传输方法,其特征在于,应用于节点设备,所述节点设备支持零信任安全策略,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,在当前节点...
【专利技术属性】
技术研发人员:范端胜,
申请(专利权)人:拓尔思天行网安信息技术有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。