-
公开(公告)号:CN113206790A
公开(公告)日:2021-08-03
申请号:CN202110484975.6
申请日:2021-04-30
Applicant: 网络通信与安全紫金山实验室
IPC: H04L12/721 , H04L29/06 , G06F21/44
Abstract: 本发明涉及网络通信技术领域,尤其是基于时间周期的SRv6传输路径认证方法、系统及存储介质,现提出如下方案,认证方法,包括如下步骤:控制器按照指定的时间周期向预置路径上的所有SR节点下发专属于此预置路径的Authen‑SID并向预置路径SR头节点下发用于控制报文转发路径的SegmentList,SegmentList能够携带在报文中并随着报文转发,所述SR头节点在发送报文时,利用所述SegmentList和所述预置路径对应的Authen‑SID进行计算并生成报文SRH的第一认证码,SR中间节点和SR尾节点在转发所述报文时需要对第一认证码进行认证。本发明通过周期性变化的认证SID,既校验了SegmentList的完整性(防止被非法篡改),又能防止重放攻击,保证报文沿着控制器预定的转发路径转发,降低被非法攻击的风险。
-
公开(公告)号:CN111614538A
公开(公告)日:2020-09-01
申请号:CN202010364666.0
申请日:2020-04-30
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明提供一种基于IPsec封装协议的报文转发方法,该方法基于一种带拓展控制字段的封装协议,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议头,并封装对应的TLV控制头,基于IPsec隧道封装功能的扩展协议,提升隧道的控制能力,为上层应用提供必要的信息,能够实现指定路径的流量调度策略。
-
公开(公告)号:CN111614463A
公开(公告)日:2020-09-01
申请号:CN202010366790.0
申请日:2020-04-30
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明提供一种基于IPsec封装功能的密钥更新方法及装置,该方法基于一种新的IPsec封装协议,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头。在更新密钥时,先通过确认是否接收到含有更新密钥控制协议的IPsec报文,再确认是否接收到新的密钥,在未接收到含有更新密钥控制协议的IPsec报文时,继续使用旧的密钥发送和接收原来的数据报文,保证转发面仍然正常加解密,直到含有更新密钥控制协议的IPsec报文和新的密钥都接收到之后,才使用新的密钥来发送和接收原来的数据报文,保证IPsec隧道两端的转发流量不会因为密钥的刷新问题而出现断流。
-
公开(公告)号:CN111614796B
公开(公告)日:2023-03-24
申请号:CN202010365418.8
申请日:2020-04-30
Applicant: 网络通信与安全紫金山实验室
IPC: H04L61/256 , H04L12/46 , H04L61/2503 , H04L69/22 , H04L101/663
Abstract: 本发明提供一种使用手工密钥配置IPsec隧道穿越NAT的方法及装置,该方法基于一种新的IPsec封装协议,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头,通过使用基于IPsec封装的扩展协议,定义TLV,结合设计流程,保证在NAT场景下,使用手工配置的IPsec端点之间可以互通。
-
公开(公告)号:CN112468357A
公开(公告)日:2021-03-09
申请号:CN202011154284.1
申请日:2020-10-26
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明公开一种IPsec隧道连通性快速检测方法、检测系统及存储介质,检测方法包括以下步骤:步骤一,连通性检测参数协商,IPsec隧道两端发送检测参数控制报文,进行检测参数协商,所述连通性检测控制报文用于隧道两侧对检测参数的通告,以及参数协商结果应答;步骤二,IPsec隧道连通性检测,参数协商成功后,按协商参数定时发送连通性检测报文进行隧道的连通性检测。本发明通过使用基于IPsec封装的扩展协议,使手工配置密钥的IPsec端点间隧道连通性能够快速检测。
-
Patent Agency Ranking
公开(公告)号:CN113242181B
公开(公告)日:2023-04-18
申请号:CN202110064048.9
申请日:2021-01-18
Applicant: 网络通信与安全紫金山实验室
IPC: H04L45/50 , H04L45/745
Abstract: 本发明提供了一种基于ESP封装和压缩IP在overlay层实现源路由的报文及发送方法,IPv4选路头的地址均从相同的IPv4地址网段中分配,这些IP地址都具有相同的地址前缀Prefix,若IP头的目的地址已经携带了公共前缀,那么list中的IPv4地址只携带差异部分。地址更新时,将差异部分更新到IPv4报文头的目的地址中,恢复原来的IPv4地址。本发明基于ESP封装,通过扩展定义ESP的SPI语义,结合现有的SR技术和压缩IP地址方案,提供了IPv4中overlay层面的源路由功能,且当分段比较多时,增加的负荷比较少。
-
公开(公告)号:CN113206790B
公开(公告)日:2022-10-18
申请号:CN202110484975.6
申请日:2021-04-30
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明涉及网络通信技术领域,尤其是基于时间周期的SRv6传输路径认证方法、系统及存储介质,现提出如下方案,认证方法,包括如下步骤:控制器按照指定的时间周期向预置路径上的所有SR节点下发专属于此预置路径的Authen‑SID并向预置路径SR头节点下发用于控制报文转发路径的SegmentList,SegmentList能够携带在报文中并随着报文转发,所述SR头节点在发送报文时,利用所述SegmentList和所述预置路径对应的Authen‑SID进行计算并生成报文SRH的第一认证码,SR中间节点和SR尾节点在转发所述报文时需要对第一认证码进行认证。本发明通过周期性变化的认证SID,既校验了SegmentList的完整性(防止被非法篡改),又能防止重放攻击,保证报文沿着控制器预定的转发路径转发,降低被非法攻击的风险。
-
公开(公告)号:CN112350941B
公开(公告)日:2021-08-24
申请号:CN202010958347.2
申请日:2020-09-14
Applicant: 网络通信与安全紫金山实验室
IPC: H04L12/723 , H04L12/733 , H04L12/721 , H04L12/751 , H04L12/46
Abstract: 本发明涉及用于ESP在overlay层实现源路由的报文封装方法及发送方法,基于ESP封装,对其SPI字段做语义扩展,结合现有的SR技术,实现IPv4中Overlay层的分段路由,并具体设计了MPLS标签栈分段路由与基于IP分段路由的两种SR的实现方式,同时通过在SR头中使用认证尾,结合控制器下发节点间的密钥,对Segment List进行认证,防止中间人篡改,保障了SR路径的安全,能够有效提高报文传输的安全性;此外本发明设计中,IPsec隧道端点之间只需要加解密一次,即不用因为分段路由选路的原因导致中间路径分段加解密而引起性能下降。
-
公开(公告)号:CN112350941A
公开(公告)日:2021-02-09
申请号:CN202010958347.2
申请日:2020-09-14
Applicant: 网络通信与安全紫金山实验室
IPC: H04L12/723 , H04L12/733 , H04L12/721 , H04L12/751 , H04L12/46
Abstract: 本发明涉及基于ESP在overlay层实现源路由的封装报文及发送方法,基于ESP封装,对其SPI字段做语义扩展,结合现有的SR技术,实现IPv4中Overlay层的分段路由,并具体设计了MPLS标签栈分段路由与基于IP分段路由的两种SR的实现方式,同时通过在SR头中使用认证尾,结合控制器下发节点间的密钥,对Segment List进行认证,防止中间人篡改,保障了SR路径的安全,能够有效提高报文传输的安全性;此外本发明设计中,IPsec隧道端点之间只需要加解密一次,即不用因为分段路由选路的原因导致中间路径分段加解密而引起性能下降。
-
公开(公告)号:CN113852552B
公开(公告)日:2023-04-18
申请号:CN202111113185.3
申请日:2021-09-23
Applicant: 网络通信与安全紫金山实验室
IPC: H04L45/00 , H04L45/745 , H04L9/40 , H04L101/659
Abstract: 本发明公开了一种基于SRv6的网络通讯方法与系统,属于IP网络领域。一种网络通讯方法,包括以下步骤:在首节点中,报文根据SR引流策略匹配分段路由策略;判断所述分段路由策略中是否有安全关联索引,若有,则使用匹配的安全关联加密所述包报文,再使用SR引流策略处理所述报文;若无,则使用SR引流策略处理所述报文;尾节点接收所述报文,并做SR处理;判断SID是否携带解密属性,若有,则使用所述解密的属性中指定的安全关联解密所述报文,再使用SID的END动作尾节点处理所述报文;若无,则使用SID的END动作尾节点处理所述报文。
-
-
-
-
-
-
-
-
-
Search Results
20
records
(took 0.044 seconds)
