(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111580735.2 (22)申请日 2021.12.2 2 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 范紫君　王锦华　黄铖斌　张建宇　 孟阼君　 (74)专利代理 机构 中国贸促会专利商标事务所 有限公司 1 1038 代理人 曹蓓 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于SRv6的安全认证方法、 网络节点和认证 系统 (57)摘要 本公开提出一种基于SRv6的安全认证方法、 网络节点和认证系统， 涉及网络安全技术领域。 本公开的一种基于SRv6的安全认 证方法包括： 源 节点生成密钥对和密钥标识， 密钥对中包括私钥 和公钥； 将公钥和密钥标识通过SRH发送给认证 节点， 以便认证节点通过公钥加密第一随机数， 生成加密随机数； 接收认证节 点反馈的加密随机 数， 并利用 私钥解密加密随机数， 获取第二随机 数； 根据第二随机数和密钥标识生成第一HMAC， 并将第一HMAC发送给认 证节点， 以便认证节点将 基于第一随机数和密钥标识生成的第二HMAC与 第一HMAC匹配； 根据认 证节点反馈的认证成功信 息， 执行数据传输。 通过这样的方法， 提高了通信 的安全性。 权利要求书2页 说明书6页 附图4页 CN 114205083 A 2022.03.18 CN 114205083 A 1.一种基于SRv6的安全认证方法， 包括： 源节点生成密钥对和密钥标识， 所述密钥对中包括私钥和公钥； 将所述公钥和所述密钥标识通过分段路由头部SRH发送给认证节点， 以便所述认证节 点通过公钥加密第一随机数， 生成加密随机数； 接收所述认证节点反馈的加密随机数， 并利用所述私钥解密所述加密随机数， 获取第 二随机数； 根据所述第 二随机数和所述密钥标识生成第一密钥相关的哈希运算消息认证码HMAC， 并将所述第一HMAC发送给所述认证节点， 以便所述认证节点将 基于所述第一随机数和所述 密钥标识生成的第二H MAC与所述第一H MAC匹配； 根据所述认证节点反馈的认证成功信息， 执 行数据传输 。 2.根据权利要求1所述的方法， 其中， 所述将所述公钥和所述密钥标识通过SRH发送给 认证节点包括： 通过第一认证信息的SRH的扩展的第一字段承载 所述公钥； 将所述第一认证信息发送给 所述认证节点。 3.根据权利要求2所述的方法， 其中， 所述接收所述认证节点反馈的加密随机数包括： 接收所述认证节点反馈的第二认证信息； 从所述第二认证信息的第一字段中读取所述加密随机数， 其中， 所述认证节点将所述 加密随机数通过SRH的扩展的第一字段承载， 并通过 所述第二认证信息反馈给 所述源节点。 4.根据权利要求1所述的方法， 还包括： 若对所述加密随机数解密不成功， 则停止当前 安全认证流 程。 5.根据权利要求2所述的方法， 还包括： 若对所述加密随机数解密不成功， 则在所述SRH 的扩展的第二字段写入认证失败记录信息 。 6.根据权利要求1所述的方法， 其中， 所述执 行数据传输包括： 通过所述私钥加密载荷， 并将所述载荷由认证数据字段承载， 通过SRv6报文传输 。 7.一种基于SRv6的安全认证方法， 包括： 认证节点获取来自源节点的公钥和密钥标识； 生成第一随机数， 并通过公钥加密第一随机数， 生成加密随机数； 将所述加密随机数通过分段路由头部SRH发送给源节点， 以便所述源节点利用与所述 公钥相对应的私钥解密所述加密随机数， 获取第二随机数； 根据所述第一随机数和所述密钥标识生成第二密钥相关的哈希运 算消息认证码H MAC； 获取所述源节点反馈的第一HMAC， 其中， 所述源节点根据所述第二随机数和所述密钥 标识生成第一H MAC并发送给 所述认证节点； 匹配所述第一H MAC与所述第二H MAC； 在匹配成功的情况 下， 向所述源节点反馈认证成功信息 。 8.根据权利要求7 所述的方法， 其中， 所述认证节点获取来自源节点的公钥和密钥标识包括： 所述认证节点获取来自所述源节点的第一认证信息； 从所述第一认证信息的SRH的扩展的第一字段获取 所述公钥。 9.根据权利要求8所述的方法， 其中， 所述将所述加密随机数通过SRH发送给源节点包权　利　要　求　书 1/2 页 2 CN 114205083 A 2括： 将所述加密随机数通过SRH的扩展的第一字段承载， 并通过所述第二认证信息反馈给 所述源节点。 10.根据权利要求1所述的方法， 还包括： 在将所述第一HMAC与所述第二HMAC匹配失败 的情况下， 停止当前安全认证流 程。 11.一种数据发送 节点， 包括： 密钥生成单 元， 被配置为生成密钥对和密钥标识， 所述密钥对中包括私钥和公钥； 密钥发送单元， 被配置为将所述公钥和所述密钥标识通过SRH发送给认证节点， 以便所 述认证节点 通过公钥加密第一随机数， 生成加密随机数； 随机数接收单元， 被配置为接收所述认证节点反馈的加密随机数， 并利用所述私钥解 密所述加密随机数， 获取第二随机数； 认证码发送单元， 被配置为根据所述第 二随机数和所述密钥标识生成密钥相关的第 一 哈希运算消 息认证码HMAC， 并将所述第一HMAC发送给所述认证节点， 以便所述认证节点将 基于所述第一随机数和所述密钥标识生成的第二H MAC与所述第一H MAC匹配； 数据传输单 元， 被配置为根据所述认证节点反馈的认证成功信息， 执 行数据传输 。 12.一种认证节点， 包括： 密钥接收单 元， 被配置为获取来自源节点的公钥和密钥标识； 随机数生成单元， 被配置为生成第 一随机数， 并通过公钥加密第一随机数， 生成加密随 机数； 随机数发送单元， 被配置为将所述加密随机数通过SRH发送给源节点， 以便所述源节点 利用与所述公钥相对应的私钥解密所述加密随机数， 获取第二随机数； 认证码生成单元， 被配置为根据所述第 一随机数和所述密钥标识生成第 二哈希运算消 息认证码H MAC； 认证码接收单元， 被配置为获取所述源节点反馈的第一HMAC， 其中， 所述源节点根据所 述第二随机数和所述密钥标识生成第一H MAC并发送给 所述认证节点； 匹配单元， 被配置为匹配所述第一HMAC与所述第二HMAC； 在匹配成功的情况下， 向所述 源节点反馈认证成功信息 。 13.一种基于SRv6的网络节点， 包括： 存储器； 以及 耦接至所述存储器的处理器， 所述处理器被配置为基于存储在所述存储器的指令执行 如权利要求1至10任一项所述的方法。 14.一种非瞬时性计算机可读存储介质， 其上存储有计算机程序指令， 该指令被处理器 执行时实现权利要求1至10任意 一项所述的方法的步骤。 15.一种基于SRv6的认证系统， 包括： 数据发送 节点， 被配置为执 行权利要求1～6任意 一项所述的方法； 和 认证节点， 被 配置为执 行权利要求7～10任意 一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114205083 A 3