(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111338317.2 (22)申请日 2021.11.12 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 王鸿　沈雷　姚晓辉　 (74)专利代理 机构 中国贸促会专利商标事务所 有限公司 1 1038 代理人 王云飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 防旁路劫持方法和系统、 入口和出口交换 机、 安全网元 (57)摘要 本公开涉及一种防旁路劫持方法和系统、 入 口和出口交换机、 安全网元。 该防旁路劫持方法 包括： 入口交换机根据IP数据包需要经过的安全 网元的安全 策略信息生成加密字段； 入口交换机 将所述加密字段加入到IP数据包可选字段中； 安 全网元对所述加密字段进行解密， 并将解密数据 回填到IP数据包中； 出口交换机提取所述解密数 据； 出口交换机通过判断所述解密数据是否与安 全网元的安全策略信息一致， 确定IP数据包是否 被劫持。 本公开可以利用SDN控制器与虚拟交换 机的北向接口增加IP数据包头部验证， 确保数据 包经过预设的安全服务链， 达到过滤非法数据的 目的。 权利要求书2页 说明书8页 附图4页 CN 114124491 A 2022.03.01 CN 114124491 A 1.一种防旁路劫持方法， 其特 征在于， 包括： 入口交换机根据IP数据包需要经 过的安全网元的安全策略信息生成加密字段； 入口交换机将所述加密字段加入到IP数据包可选 字段中； 安全网元对所述加密字段进行解密， 并将解密数据回填到IP数据包中； 出口交换机提取 所述解密数据； 出口交换机通过判断所述解密数据是否与安全 网元的安全策略信 息一致， 确定IP数据 包是否被劫持。 2.根据权利要求1所述的防旁路劫持方法， 其特征在于， 所述出口交换机通过判断所述 解密数据是否与安全网元的安全策略信息一 致， 确定IP数据包是否被劫持包括： 若所述解密数据与安全网元的安全策略信 息一致， 则判定该IP数据包按要求经过安全 网元过滤； 若所述解密数据与安全网元的安全策略信 息一致， 则判定该IP数据被劫持并向控制器 报告安全风险。 3.根据权利要求2所述的防旁路劫持方法， 其特征在于， 所述IP数据包可选字段为IP数 据包包头的可选 字段。 4.根据权利要求1 ‑3中所述的防旁路劫持方法， 其特征在于， 所述加密字段为根据安全 网元的安全策略信息生成数字摘要并进行 数字签名后的数据。 5.根据权利要求1 ‑3中所述的防旁路劫持方法， 其特征在于， 所述IP数据包需要经过的 安全网元的数量有至少一个。 6.根据权利要求1 ‑3中所述的防旁路劫持方法， 其特征在于， 所述安全 网元对所述加密 字段进行解密包括： 安全网元使用公钥对所述加密字段进行解密。 7.一种入口交换机， 其特 征在于， 包括： 加密字段生成模块， 根据IP数据包需要经过的安全网元的安全策略信息生成加密字 段； 加密字段添加模块， 入口交换机将所述加密字段加入到IP数据包可选字段中， 以便安 全网元对所述加密字段进行解密， 并将解密数据回填到IP数据包中， 出口交换机提取所述 解密数据， 通过判断所述解密数据是否与安全网元的安全策略信息一致， 确定IP数据包是 否被劫持。 8.一种安全网元， 其特 征在于， 包括： 解密模块， 用于对IP数据包可选字段中的加密字段进行解密， 生成解密数据， 其中， 所 述加密字段 是入口交换机根据IP数据包需要经 过的安全网元的安全策略信息生成的； 数据回填模块， 用于将解密数据回填到IP数据包中， 以便出口交换机提取所述解密数 据， 通过判断所述解密数据是否与安全网元的安全策略信息一致， 确定IP数据包是否被劫 持。 9.一种出口交换机， 其特 征在于， 包括： 解密数据提取模块， 用于提取安全 网元解密加密字段并回填到IP数据包可选字段中的 解密数据， 其中， 所述加密字段是入口交换机根据IP数据包需要经过的安全网元的安全策 略信息生成的；权　利　要　求　书 1/2 页 2 CN 114124491 A 2判断模块， 用于通过判断所述解密数据是否与安全网元的安全策略信息一致， 确定IP 数据包是否被劫持。 10.一种防旁路劫持系统， 其特征在于， 包括如权利要求7所述的入口交换机、 如权利要 求8所述的安全网元和如权利要求9所述的出口交换机 。 11.一种非瞬时性计算机可读存储介质， 其特征在于， 所述非瞬时性计算机可读存储介 质存储有计算机指令， 所述指令被处理器执行时实现如权利要求1 ‑6中任一项所述的防旁 路劫持方法。权　利　要　求　书 2/2 页 3 CN 114124491 A 3