一种基于APNv6的数据安全管理方法与流程

本发明涉及的是ipv6，数据和网络安全，具体涉及一种基于ipv6的应用感知网络框架—apnv6的数据安全管理方法。

背景技术：

1、随着网络技术的发展与《数据安全法》等法律法规的出台，极大的推动了各行业数据安全的建设与重点系统资产管理工作的开展。目前，对于数据的主动管控手段，识别分析能力相对欠缺。面对海量的应用识别和数据流向管控，如何有效的识别分析其所带的归属和合法目的地址等信息并对对应的信息库进行统计补充成为了大多数企业和组织面临的难题。

2、数据安全问题由来已久，且愈演愈烈，“离散”的补丁式解决方法已不能完全适应企业当前的发展需要。如何整合有效资源，平衡数据保护与业务发展，推动“体系化”数据安全治理建设，是行业与企业需要考虑的问题由此，我们需要一个基于现在和未来网络框架下的，顺应ipv6+和5g，6g时代的数据安全治理框架、治理实践路径。

3、随着ipv6的普及和5g基础设施的快速建设，我们应该提前在这样的平台基础上进行数据安全的规划和研究。在此背景下，一个基于ipv6的应用感知网络框架—apn6，通过将应用的需求信息封装在数据分组中，使网络能感知应用识别和用户权限，便于进行数据安全管理。

技术实现思路

1、针对现有技术上存在的不足，本发明目的是在于提供一种基于apnv6的数据安全管理方法，ipv6作为ipv4的下一代标准，解决了ipv4地址枯竭问题，并对ip地址作出了改进。相较于ipv4的32bit地址，ipv6采用了128bit的地址，地址空间巨大，为srv6提供了灵活的网络编程空间。同时，ipv6支持使用扩展头传输可选信息(如逐跳选项报头、路由选项报头)等。srv6是段路由(segment routing，sr)在ipv6数据平面的应用。

2、为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于apnv6的数据安全管理方法，包括以下步骤：

3、1、app终端提供方与数据安全管理方进行协商，将该app的app id、user id及性能需求信息向应用管理服务器侧报备。

4、2、主机在发送报文时，对报文的ip源地址，apn6数据分组中的appid、user id、pl等应用信息以及时间戳和序列号生成摘要，并使用共享密钥进行签名，生成消息认证码。

5、3、业务感知节点维护ip地址—消息认证密钥列表，对收到的报文携带的消息认证码进行校验，对校验成功且未超时的apn6数据分组进行应用信息的确认。

6、4、对校验签名通过的消息，检验app id及user id的身份等级是否匹配，对符合身份的，映射入srv6路径；对不符合的，将其应用需求更改为所在身份默认等级，映射入srv6路径。

7、用户设备在使用app/终端应用时，将应用信息携带入apn6数据分组头中，由业务感知边缘节点对ip报文进行源地址认证和完整性检测，同时检查apn6信息是否和用户的使用权限匹配。

8、所述的srv6中，一个分段被编码为一个ipv6地址，一个有序的分段被编码为一个有序的ipv6地址列表。活跃分段由报文的目的地址指定，下一个活跃分段由段路由头部中指针指定。在srv6段路由头部中，包含着几个关键字段：routing type，8位路由类型标识符，取值为4；tag，标记报文类别；segment list[0,...,n]，表示第n个分段的128bit的ipv6地址。在段路由网络中，涉及3种类型节点：sr源节点，发起携带分段的ipv6报文的节点；sr传输节点，转发报文到下一分段的节点；sr终端节点，接收到ipv6报文中目的地址被配置为本地分段的节点。在srv6报文处理过程中，sr源节点在srv6报文中携带sr机制，以操纵报文走向，sr传输节点基于其ipv6路由表以及srv6报文中的目的地址转发报文，sr终端节点按照配置策略处理srv6报文。

9、本发明的有益效果：本发明apn6旨在让网络感知应用信息以实现应用数据安全的目标，其中报文携带的应用信息提供网络识别应用、了解应用识别的关键信息，ipv6作为ipv4的下一代标准，解决了ipv4地址枯竭问题，并对ip地址作出了改进。相较于ipv4的32bit地址，ipv6采用了128bit的地址，地址空间巨大，为srv6提供了灵活的网络编程空间。同时，ipv6支持使用扩展头传输可选信息(如逐跳选项报头、路由选项报头)等。srv6是段路由(segment routing，sr)在ipv6数据平面的应用。

技术特征：

1.一种基于apnv6的数据安全管理方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于apnv6的数据安全管理方法，其特征在于，用户设备在使用app/终端应用时，将应用信息携带入apn6数据分组头中，由业务感知边缘节点对ip报文进行源地址认证和完整性检测，同时检查apn6信息是否和用户的使用权限匹配。

3.根据权利要求1所述的一种基于apnv6的数据安全管理方法，其特征在于，所述的srv6中，一个分段被编码为一个ipv6地址，一个有序的分段被编码为一个有序的ipv6地址列表；活跃分段由报文的目的地址指定，下一个活跃分段由段路由头部中指针指定；在srv6段路由头部中，包含着几个关键字段：routing type，8位路由类型标识符，取值为4；tag，标记报文类别；segmentlist[0,...,n]，表示第n个分段的128bit的ipv6地址；在段路由网络中，涉及3种类型节点：sr源节点，发起携带分段的ipv6报文的节点；sr传输节点，转发报文到下一分段的节点；sr终端节点，接收到ipv6报文中目的地址被配置为本地分段的节点；在srv6报文处理过程中，sr源节点在srv6报文中携带sr机制，以操纵报文走向，sr传输节点基于其ipv6路由表以及srv6报文中的目的地址转发报文，sr终端节点按照配置策略处理srv6报文。

技术总结
本发明公开了一种基于APNv6的数据安全管理方法。包括以下步骤：1、App终端提供方与数据安全管理方进行协商，将该App的AppID、user ID及性能需求信息向应用管理服务器侧报备。2、主机在发送报文时，对报文的IP源地址，APN6数据分组中的应用信息以及时间戳和序列号生成摘要，并使用共享密钥进行签名，生成消息认证码。3、业务感知节点维护IP地址—消息认证密钥列表，对收到的报文携带的消息认证码进行校验，对校验成功且未超时的APN6数据分组进行应用信息的确认；4、对校验签名通过的消息，检验AppID及userID的身份等级是否匹配。本发明的IPv6采用了128bit的地址，地址空间巨大，为SRv6提供了灵活的网络编程空间。同时，IPv6支持使用扩展头传输可选信息。

技术研发人员：郭银锋,吴艳,虞雁群,刘彦伸,王曦侃,范希平,王帅
受保护的技术使用者：浙江御安信息技术有限公司
技术研发日：
技术公布日：2024/1/13