(19)中华 人民共和国 国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202111580735.2
(22)申请日 2021.12.2 2
(71)申请人 中国电信股份有限公司
地址 100033 北京市西城区金融大街31号
(72)发明人 范紫君 王锦华 黄铖斌 张建宇
孟阼君
(74)专利代理 机构 中国贸促会专利商标事务所
有限公司 1 1038
代理人 曹蓓
(51)Int.Cl.
H04L 9/08(2006.01)
H04L 9/32(2006.01)
H04L 9/40(2022.01)
(54)发明名称
基于SRv6的安全认证方法、 网络节点和认证
系统
(57)摘要
本公开提出一种基于SRv6的安全认证方法、
网络节点和认证系统, 涉及网络安全技术领域。
本公开的一种基于SRv6的安全认 证方法包括: 源
节点生成密钥对和密钥标识, 密钥对中包括私钥
和公钥; 将公钥和密钥标识通过SRH发送给认证
节点, 以便认证节点通过公钥加密第一随机数,
生成加密随机数; 接收认证节 点反馈的加密随机
数, 并利用 私钥解密加密随机数, 获取第二随机
数; 根据第二随机数和密钥标识生成第一HMAC,
并将第一HMAC发送给认 证节点, 以便认证节点将
基于第一随机数和密钥标识生成的第二HMAC与
第一HMAC匹配; 根据认 证节点反馈的认证成功信
息, 执行数据传输。 通过这样的方法, 提高了通信
的安全性。
权利要求书2页 说明书6页 附图4页
CN 114205083 A
2022.03.18
CN 114205083 A
1.一种基于SRv6的安全认证方法, 包括:
源节点生成密钥对和密钥标识, 所述密钥对中包括私钥和公钥;
将所述公钥和所述密钥标识通过分段路由头部SRH发送给认证节点, 以便所述认证节
点通过公钥加密第一随机数, 生成加密随机数;
接收所述认证节点反馈的加密随机数, 并利用所述私钥解密所述加密随机数, 获取第
二随机数;
根据所述第 二随机数和所述密钥标识生成第一密钥相关的哈希运算消息认证码HMAC,
并将所述第一HMAC发送给所述认证节点, 以便所述认证节点将 基于所述第一随机数和所述
密钥标识生成的第二H MAC与所述第一H MAC匹配;
根据所述认证节点反馈的认证成功信息, 执 行数据传输 。
2.根据权利要求1所述的方法, 其中, 所述将所述公钥和所述密钥标识通过SRH发送给
认证节点包括:
通过第一认证信息的SRH的扩展的第一字段承载 所述公钥;
将所述第一认证信息发送给 所述认证节点。
3.根据权利要求2所述的方法, 其中, 所述接收所述认证节点反馈的加密随机数包括:
接收所述认证节点反馈的第二认证信息;
从所述第二认证信息的第一字段中读取所述加密随机数, 其中, 所述认证节点将所述
加密随机数通过SRH的扩展的第一字段承载, 并通过 所述第二认证信息反馈给 所述源节点。
4.根据权利要求1所述的方法, 还包括: 若对所述加密随机数解密不成功, 则停止当前
安全认证流 程。
5.根据权利要求2所述的方法, 还包括: 若对所述加密随机数解密不成功, 则在所述SRH
的扩展的第二字段写入认证失败记录信息 。
6.根据权利要求1所述的方法, 其中, 所述执 行数据传输包括:
通过所述私钥加密载荷, 并将所述载荷由认证数据字段承载, 通过SRv6报文传输 。
7.一种基于SRv6的安全认证方法, 包括:
认证节点获取来自源节点的公钥和密钥标识;
生成第一随机数, 并通过公钥加密第一随机数, 生成加密随机数;
将所述加密随机数通过分段路由头部SRH发送给源节点, 以便所述源节点利用与所述
公钥相对应的私钥解密所述加密随机数, 获取第二随机数;
根据所述第一随机数和所述密钥标识生成第二密钥相关的哈希运 算消息认证码H MAC;
获取所述源节点反馈的第一HMAC, 其中, 所述源节点根据所述第二随机数和所述密钥
标识生成第一H MAC并发送给 所述认证节点;
匹配所述第一H MAC与所述第二H MAC;
在匹配成功的情况 下, 向所述源节点反馈认证成功信息 。
8.根据权利要求7 所述的方法, 其中,
所述认证节点获取来自源节点的公钥和密钥标识包括:
所述认证节点获取来自所述源节点的第一认证信息;
从所述第一认证信息的SRH的扩展的第一字段获取 所述公钥。
9.根据权利要求8所述的方法, 其中, 所述将所述加密随机数通过SRH发送给源节点包权 利 要 求 书 1/2 页
2
CN 114205083 A
2括:
将所述加密随机数通过SRH的扩展的第一字段承载, 并通过所述第二认证信息反馈给
所述源节点。
10.根据权利要求1所述的方法, 还包括: 在将所述第一HMAC与所述第二HMAC匹配失败
的情况下, 停止当前安全认证流 程。
11.一种数据发送 节点, 包括:
密钥生成单 元, 被配置为生成密钥对和密钥标识, 所述密钥对中包括私钥和公钥;
密钥发送单元, 被配置为将所述公钥和所述密钥标识通过SRH发送给认证节点, 以便所
述认证节点 通过公钥加密第一随机数, 生成加密随机数;
随机数接收单元, 被配置为接收所述认证节点反馈的加密随机数, 并利用所述私钥解
密所述加密随机数, 获取第二随机数;
认证码发送单元, 被配置为根据所述第 二随机数和所述密钥标识生成密钥相关的第 一
哈希运算消 息认证码HMAC, 并将所述第一HMAC发送给所述认证节点, 以便所述认证节点将
基于所述第一随机数和所述密钥标识生成的第二H MAC与所述第一H MAC匹配;
数据传输单 元, 被配置为根据所述认证节点反馈的认证成功信息, 执 行数据传输 。
12.一种认证节点, 包括:
密钥接收单 元, 被配置为获取来自源节点的公钥和密钥标识;
随机数生成单元, 被配置为生成第 一随机数, 并通过公钥加密第一随机数, 生成加密随
机数;
随机数发送单元, 被配置为将所述加密随机数通过SRH发送给源节点, 以便所述源节点
利用与所述公钥相对应的私钥解密所述加密随机数, 获取第二随机数;
认证码生成单元, 被配置为根据所述第 一随机数和所述密钥标识生成第 二哈希运算消
息认证码H MAC;
认证码接收单元, 被配置为获取所述源节点反馈的第一HMAC, 其中, 所述源节点根据所
述第二随机数和所述密钥标识生成第一H MAC并发送给 所述认证节点;
匹配单元, 被配置为匹配所述第一HMAC与所述第二HMAC; 在匹配成功的情况下, 向所述
源节点反馈认证成功信息 。
13.一种基于SRv6的网络节点, 包括:
存储器; 以及
耦接至所述存储器的处理器, 所述处理器被配置为基于存储在所述存储器的指令执行
如权利要求1至10任一项所述的方法。
14.一种非瞬时性计算机可读存储介质, 其上存储有计算机程序指令, 该指令被处理器
执行时实现权利要求1至10任意 一项所述的方法的步骤。
15.一种基于SRv6的认证系统, 包括:
数据发送 节点, 被配置为执 行权利要求1~6任意 一项所述的方法; 和
认证节点, 被 配置为执 行权利要求7~10任意 一项所述的方法。权 利 要 求 书 2/2 页
3
CN 114205083 A
3
专利 基于SRv6的安全认证方法、网络节点和认证系统
文档预览
中文文档
13 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-19 03:05:51上传分享