一种基于IPv6密码标识的SRv6通信方法及系统与流程

本发明涉及网络通信，具体地说是一种基于ipv6密码标识的srv6通信方法及系统。

背景技术：

1、ip地址既标志着主机在网络中的位置同时又标识着主机的身份，对移动节点（无论任何因为导致ip地址变化）及其安全性有严重限制：在不中断传输层连接的情况下，直接更改主机地址是不可能的；互联网上没有一致且可信任的匿名或隐私；缺乏对数据报和系统的正确身份验证导致ip欺骗。随着智能设备的的不断出现和无线通信技术的快速发展，ip地址代表“身份”和“位置”的双重属性阻碍了终端移动便利性，也为网络安全带来巨大的隐患。

2、srv6采用ipv6标准规范中定义的路由扩展报头，新定义了一种ipv6的扩展报头—srh（segment routing header），该扩展头指定一个ipv6的显式路径，存储的是ipv6的segment list信息，其作用与sr-mpls里的标签类似，头节点在ipv6报文中增加一个srh扩展头，中间srv6节点就可以按照srh里包含的路径信息进行处理和转发，而非srv6节点只需要按照标准的目的ipv6进行传统转发即可。

3、srv6作为新一代ip承载协议，虽然具有灵活的ipv6扩展头，可实现灵活的网络编程，但基于多sid的数据转发，其本身不具备安全属性，容易引起信息暴露和安全威胁。同时，基于5g的大规模终端连接，在设备安全、隐私安全和数据安全等方面，也带来了巨大的挑战。srv6是ipv6源使用的ipv6的扩展报头，用于列出数据包在到达目的地的路径上要经过的一个或多个中间节点。因此攻击者可以绕过安全系统的访问列表，例如防火墙，然后可以通过使用srh访问受保护的内部系统。以下为具体示例：

4、入口srv6节点攻击：sr域入口负责srh封装的路由器受损。

5、传输节点攻击：在普通转发操作中由分组通过的sr不感知路由器被破坏。更新srh的节点可能尝试用sid来改变ipv6 da，从而操纵sr策略;

6、sr端点攻击：作为具有sr能力的路由器的节点受到损害。sr感知节点负责检查srh、更新srh中的sl字段、更新ipv6报头中的da以及处理有效载荷。此节点上的恶意操作对sr策略和流量重定向有很大影响。

技术实现思路

1、为此，本发明所要解决的技术问题在于提供一种基于ipv6密码标识的srv6通信方法及系统，在ipv6环境下构建基于ipv6密码标识的srv6通信网络，实现ip地址身份与位置属性解耦，保证终端ip地址隐匿性、通信私密性。

2、为解决上述技术问题，本发明提供如下技术方案：

3、一种基于ipv6密码标识的srv6通信方法，原始数据报文始发端和原始数据报文目的端通过srv6通信网络进行通信，原始数据报文始发端和原始数据报文目的端均包括终端设备和应用；在srv6通信网络中，转发节点包括源节点、尾节点和/或中转节点，源节点为与原始数据报文始发端直接通信连接的转发节点，尾节点为与原始数据报文目的端直接通信连接的转发节点，中转节点为srv6报文转发路径中位于源节点与尾节点之间的转发节点；源节点在将来自原始数据报文始发端的原始数据报文封装为srv6报文时将标识连通路径填充至srv6报文的srh扩展头中充当srv6 sid，然后按照下述方式进行srv6报文转发：

4、m1）转发节点按照标识连通路径和存储于源节点上的标识映射表确认下一转发节点的ip地址并进行srv6报文转发；若下一转发节点为中转节点，则中转节点按照标识连通路径和存储于中转节点上的标识映射表确认下一转发节点的ip地址并进行srv6报文转发，若下一转发节点为尾节点，且当原始数据报文目的端支持srv6报文时，尾节点直接将srv6报文转发至原始数据报文目的端，若原始数据报文目的端不支持srv6报文，则由尾节点通过将srv6报文解封获得的原始数据报文转发至原始数据报文目的端；其中，标识连通路径、节点标识和标识映射表均由srv6通信网络的管理平台生成并下发至各个转发节点，在标识映射表中，节点标识与相对应的转发节点ip地址或sid地址存在映射关系；

5、m2）转发节点利用哈希算法和标识连通路径上的下一转发节点的节点标识计算得到该节点标识内所含有的下一转发节点ip地址，并根据下一转发节点ip地址进行srv6报文转发；

6、其中，节点标识为srv6通信网络管理平台利用哈希算法根据人为定义的直接或间接反应转发节点属性信息和转发节点位置信息生成的标识，转发节点属性信息包括mac地址、end、end.x、end.t、end.dt4和end.dt6等srv6节点行为，转发节点位置信息包括ip地址和locator地址等。

7、上述基于ipv6密码标识的srv6通信方法，包括如下步骤：

8、s1）原始数据报文始发端向源节点发送含有qos请求的原始数据报文；

9、s2）接收到原始数据报文后，源节点对原始数据报文进行解析获得qos请求并向管理平台发送qos请求；

10、s3）管理平台根据接收到的qos请求分析本次通信的通信路径，并根据管理平台内存储的终端标识、节点标识和ip地址生成本次通信的标识连通路径，同时根据标识连通路径生成节点标识和ip地址与转发顺序的映射关系并将该映射关系存储与管理平台内；

11、s4）源节点按照标识连通路径以及步骤s3）中得到的映射关系进行srv6报文转发，若下一转发节点为中转节点，则中转节点继续按照标识连通路径以及步骤s3）中得到的映射关系进行srv6报文转发，若下一转发节点为尾节点，且当原始数据报文目的端支持srv6报文时，尾节点直接将srv6报文转发至原始数据报文目的端，若原始数据报文目的端不支持srv6报文，则由尾节点通过将srv6报文解封获得的原始数据报文转发至原始数据报文目的端；

12、s5）原始数据报文目的端接收尾节点转发的srv6报文或者原始数据报文，完成通信。

13、上述基于ipv6密码标识的srv6通信方法，原始数据报文始发端和原始数据报文目的端进行通信之前，原始数据报文始发端和原始数据报文目的端先通过管理平台建立可信通信连接，建立可信通信连接建立之后，原始数据报文始发端和原始数据报文目的端进行直接通信。

14、上述基于ipv6密码标识的srv6通信方法，原始数据报文始发端和原始数据报文目的端之间的可信通信基于可信通信标识实现，可信通信标识和节点标识均为基于ipv6的密码标识。

15、上述基于ipv6密码标识的srv6通信方法，其特征在于，可信通信标识和节点标识均具有有效期。

16、上述基于ipv6密码标识的srv6通信方法，在转发srv6报文时，转发节点向管理平台发送用于确认srv6报文来源可靠性及转发路径正确性的校验信息，管理平台基于存储于管理平台内的终端标识、节点标识、ip地址与转发顺序之间的映射关系对srv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果，转发节点依据校验结果进行srv6报文转发或者停止转发。

17、一种利用上述基于ipv6密码标识的srv6通信方法进行通信的系统，包括管理平台、原始数据报文始发端、原始数据报文目的端和转发节点，转发节点包括源节点、尾节点和/或中转节点且转发节点为支持三层以上解析的数据交换设备；原始数据报文始发端与原始数据报文目的端通过管理平台间接通信或通过转发节点直接通信；原始数据报文始发端与原始数据报文目的端直接通信时，源节点在将来自原始数据报文始发端的原始数据报文封装为srv6报文时将标识连通路径填充至srv6报文的srh扩展头中充当srv6 sid，然后转发节点按照标识连通路径和存储于转发点上的标识映射表确认下一转发节点的ip地址并进行srv6报文转发；其中，在标识映射表中，节点标识与相对应的转发节点ip地址或sid地址存在映射关系，而标识连通路径、节点标识和标识映射表均由srv6通信网络的管理平台生成并下发至各个转发节点。

18、上述系统，管理平台内设置有标识管理组件、ip地址管理组件、路径编排组件、映射管理组件和存储组件；其中，标识管理组件标识生成和分发，标识管理组件生成的标识包括用于代表转发节点的节点标识和用于代表原始数据报文始发端以及原始数据报文目的端的终端标识或应用标识；ip地址管理组件用于ipv6地址的生成与分发，路径编排组件用于根据源节点的qos请求、节点标识以及终端标识和/或应用标识生成通信路径并进行通信路径分发，通信路径包括标识连通路径和基于ip地址的srv6 sid路径；映射管理组件用于依据原始数据报文始发端的ipv6地址与终端标识/应用标识、原始数据报文目的端的ipv6地址与终端标识/应用标识、转发节点的节点标识与ipv6地址生成终端标识/应用标识、节点标识、ip地址与转发顺序之间的映射关系以及ip地址与终端标识/应用标识或节点标识之间的标识映射表并将该标识映射表分别下发至原始数据报文始发端、原始数据报文目的端和转发节点；存储组件用于存储终端标识、节点标识、ip地址与转发顺序之间的映射关系。

19、上述系统，管理平台内还设置有用于根据转发节点发送的校验信息对srv6报文来源可靠性及转发路径正确性进行校验并向转发节点发送校验结果的转发校验组件。

20、上述系统，转发节点为物理数据交换设备和/或软件数据交换设备。

21、本发明的技术方案取得了如下有益的技术效果：

22、1.面向未来5g网络场景的技术升级演进与使用需求，在ipv6环境下构建基于密码标识，实现ip地址身份与位置属性解耦，保证终端ip地址隐匿性、通信私密性。实现在5g网络大规模终端接入环境下、网络边界动态变化条件下的安全能力升级，而不受终端所属的网络位置、ip地址变化影响，

23、2.针对srv6网络在多sid数据转发条件下的安全隐患问题，提出一种基于ipv6密码标识的新型srv6安全转发思路，用于构建无线、有线等融合网络环境下的端到端安全通信。将密码标识体系与srv6 sid相融合，在保留srv6网络可扩展、可编程属性的前提下，强化了数据安全传输过程，为构建端到端安全通信提供有力支撑。