System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 报文转发方法、系统、网络设备、存储介质及程序产品技术方案_技高网
当前位置: 首页 > 专利查询>华为技术有限公司专利>正文

报文转发方法、系统、网络设备、存储介质及程序产品技术方案

技术编号:40077228 阅读:15 留言:0更新日期:2024-01-17 01:38
公开了一种报文转发方法、系统、网络设备、存储介质及程序产品,属于通信技术领域。在该方法中,第一转发节点获取第一报文,第一报文包括第一地址,第一地址在参考位置处的比特值指示第一有效信息,第一有效信息为第一地址所标识的通信端的相关信息;第一转发节点基于第一重组规则将第一地址重组为第二地址,第二地址在参考位置处的比特值不指示第一有效信息;第一转发节点将第一报文中的第一地址替换为第二地址,得到第二报文,并发送第二报文。第一地址可以为第一报文中任一地址,如此能够实现对报文中的任意地址中的有效信息的隐藏。避免了IPsec技术无法对VPN隧道的源地址和目的地址进行保护的问题。

全部详细技术资料下载

【技术实现步骤摘要】

本申请实施例涉及通信,特别涉及一种报文转发方法、系统、网络设备、存储介质及程序产品


技术介绍

1、网络中传输的报文通常携带源地址和目的地址等地址,如此,转发节点在接收到报文时,能够基于这些地址对报文进行处理。比如基于目的地址确定下一跳并将该报文发送至下一跳。为了避免这些地址暴露在网络中从而被恶意攻击者利用,转发节点在转发报文时,可以对报文进行处理,以隐藏报文中的地址。

2、相关技术中,转发节点可以预先和其他转发节点建立虚拟专用网(virtualprivate network,vpn)隧道。如此,该转发节点在接收到报文时,为了避免报文的内层载荷的源地址和目的地址暴露在网络中,可以对该报文进行网络协议安全(internet protocolsecurity,ipsec)加密,然后在加密后的报文外层封装外层报文头,外层报文头携带vpn隧道的源地址和目的地址,以通过vpn隧道传输该报文。

3、上述技术在对报文的内层载荷的源地址和目的地址进行保护后,网络中的恶意攻击者仍然有可能通过分析vpn隧道的源地址和目的地址来获取网络的拓扑等信息,进而导致网络安全受到威胁。


技术实现思路

1、本申请实施例提供了一种报文转发方法、网络设备、存储介质及程序产品,可以提高报文传输过程中的网络安全性。所述技术方案如下:

2、第一方面,提供了一种报文转发方法。在该方法中,第一转发节点获取第一报文,第一报文包括第一地址,第一地址在参考位置处的比特值指示第一有效信息,第一有效信息为第一地址所标识的通信端的相关信息;第一转发节点基于第一重组规则将第一地址重组为第二地址,第二地址在参考位置处的比特值不指示第一有效信息;第一转发节点将第一报文中的第一地址替换为第二地址,得到第二报文,并发送第二报文。

3、在本申请实施例中,第一转发节点在接收到第一报文时,只需要对第一地址进行重组即可实现对第一有效信息的隐藏。并且第一地址可以为第一报文中任一地址,如此通过本申请实施例提供的方法能够实现对报文中的任意地址中的有效信息的隐藏。避免了ipsec技术无法对vpn隧道的源地址和目的地址进行保护的问题。

4、另外,由于第一转发节点无需通过ipsec技术或macsec技术便可实现对第一有效信息的隐藏,从而也就避免了ipsec技术或macsec技术所带来的相关问题,后续实施例中详细说明。

5、基于第一方面提供的方法,在一些实施例中,第一有效信息包括网络前缀和/或主机标识。

6、由于网络前缀能够指示第一地址所标识的通信端所在子网的网络拓扑信息,而主机标识能够用于区分该通信端和同一子网中的其他设备,因此为了提高网络安全性,在进行地址重组时,可以将地址所指示的网络前缀和/或主机标识进行隐藏。

7、基于第一方面提供的方法,在一些实施例中,第一转发节点基于第一重组规则将第一地址重组为第二地址的实现过程可以为:第一转发节点基于第一重组规则将第一地址的前序部分和后序部分相互进行嵌套,得到第二地址;其中,前序部分为第一地址中靠近左侧的比特位部分,后序部分为第一地址中靠近右侧的比特位部分。

8、由于第一地址的前序部分包括网络前缀的部分或全部比特位,因此通过上述的第一重组规则能够打乱ip地址“网络前缀+主机标识”的固有顺序,让网络前缀和主机标识按比特相互嵌套的方式进行重组排列,重组排列后的第二地址的各个比特位按照从前到后的顺序则无法指示网络前缀和主机标识。从而实现对网络前缀和主机标识的隐藏。

9、基于第一方面提供的方法,在一些实施例中,第一重组规则包括第一比特序列,第一比特序列的比特位数量和第一地址的比特位数量相同,且第一比特序列中的n个比特位上的比特值为目标比特值,n大于1或等于1。这种场景下,第一转发节点将第一地址的前序部分和后序部分相互进行嵌套,得到第二地址的实现过程为:第一转发节点获取第一地址中前n个比特位,将n个比特位上的比特值分别放置在第一比特序列中比特值为目标比特值的位置处,将第一地址中其他比特位上的比特值分别放置在第一比特序列中比特值不是目标比特值的位置处,得到第二地址。

10、由于第一比特序列中比特值为目标比特值的n个比特位通常并不是在一起的,因此在将第一地址中前n个比特位上的比特值分别放置在第一比特序列中比特值为目标比特值的位置处后,便可实现将第一地址中前n个比特位分别打散放置在不同的位置处,也即第一地址中前n个比特位被打乱放置在不同的位置处,从而实现将第一地址前序部分嵌套在后序部分中,如此便可实现对第一有效信息的隐藏。

11、基于第一方面提供的方法,在一些实施例中,第一转发节点基于第一重组规则将第一地址重组为第二地址之前,第一转发节点还可以随机生成比特序列,得到第一比特序列。

12、为了提高攻击者的破解难度,针对待发送报文,第一转发节点可以随机生成用于重组待发送报文中的地址的比特序列。

13、基于第一方面提供的方法,在一些实施例中,第一重组规则包括第一元混淆序列,第一元混淆序列包括至少两个比特位。这种场景下,第一转发节点基于第一重组规则将第一地址重组为第二地址的实现过程可以为:第一转发节点基于第一元混淆序列对第一地址进行位操作,得到第二地址。

14、通过上述方式,可以将一个序列和第一地址中的各个比特位进行位操作,从而达到重组第一地址的目的。一方面提高了重组地址的灵活性,另一方面该重组方式通过简单的位操作便可实现,开销较小。

15、基于第一方面提供的方法,在一些实施例中,第一重组规则还包括第一移位次数。这种场景下,第一转发节点基于第一元混淆序列对第一地址进行位操作,得到第二地址的实现过程可以为:第一转发节点基于第一移位次数对第一地址进行移位操作,得到中间地址;第一转发节点将中间地址与第一元混淆序列进行位运算操作,得到第二地址。

16、通过移位操作可以进一步打乱第一地址中原来各个比特位的顺序,进而提高了攻击者基于第二地址分析出第一地址的难度。

17、基于第一方面提供的方法,在一些实施例中,位运算操作为按位异或运算操作。

18、由于按位异或运算操作会影响比特位上的比特值,因此通过按位异或运算操作可以使得第二地址中的0/1统计信息和第一地址中的0/1统计信息不同,以避免攻击者基于第二地址对第一地址所标识的通信端的通信行为进行分析。

19、基于第一方面提供的方法,在一些实施例中,第一转发节点基于第一重组规则将第一地址重组为第二地址之前,第一转发节点还可以获取寻址混淆表lot,lot包括多条重组规则,每条重组规则包括一个元混淆序列;第一转发节点从lot表中选择一个重组规则作为第一重组规则。

20、在本申请实施例中,为了便于快速确定第一重组规则,可以预先在第一转发节点上配置寻址混淆表(locator obfuscate table,lot)。

21、基于第一方面提供的方法,在一些实施例中,第一转发节点还可以获取第三报文,本文档来自技高网...

【技术保护点】

1.一种报文转发方法,其特征在于,所述方法包括:

2.如权利要求1所述的方法,其特征在于,所述第一有效信息包括网络前缀和/或主机标识。

3.如权利要求1或2所述的方法,其特征在于,所述第一转发节点基于第一重组规则将所述第一地址重组为第二地址,包括:

4.如权利要求3所述的方法,其特征在于,所述第一重组规则包括第一比特序列,所述第一比特序列的比特位数量和所述第一地址的比特位数量相同,且所述第一比特序列中的n个比特位上的比特值为目标比特值,所述n大于1或等于1;

5.如权利要求4所述的方法,其特征在于,所述第一转发节点基于第一重组规则将所述第一地址重组为第二地址之前,所述方法还包括:

6.如权利要求1或2所述的方法,其特征在于,所述第一重组规则包括第一元混淆序列,所述第一元混淆序列包括至少两个比特位;

7.如权利要求6所述的方法,其特征在于,所述第一重组规则还包括第一移位次数;

8.如权利要求7所述的方法,其特征在于,所述位运算操作为按位异或运算操作。

9.如权利要求6-8任一所述的方法,其特征在于,所述第一转发节点基于所述第一重组规则将所述第一地址重组为第二地址之前,所述方法还包括:

10.如权利要求1-9任一所述的方法,其特征在于,所述方法还包括:

11.如权利要求10所述的方法,其特征在于,所述第三地址与所述第一地址为同一地址,所述第二有效信息与所述第一有效信息为同一有效信息。

12.如权利要求1-11任一所述的方法,其特征在于,所述第二报文还携带规则信息,所述规则信息指示所述第一重组规则。

13.如权利要求12所述的方法,其特征在于,所述第二报文包括地址字段,所述地址字段用于承载所述第二地址和所述规则信息。

14.如权利要求12所述的方法,其特征在于,所述第二报文包括扩展字段,所述扩展字段用于承载所述规则信息。

15.一种报文转发方法,其特征在于,所述方法包括:

16.一种报文转发系统,其特征在于,所述系统包括第一转发节点和第二转发节点:

17.一种网络设备,其特征在于,所述网络设备包括存储器和处理器;

18.一种网络设备,其特征在于,所述网络设备包括存储器和处理器;

19.一种网络设备,其特征在于,

20.一种网络设备,其特征在于,

21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在处理器上运行时,实现权利要求1-14任一项所述的方法。

22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在处理器上运行时,实现权利要求15所述的方法。

23.一种计算机程序产品,其特征在于,所述计算机程序产品包含指令,所述指令在处理器上运行时,实现权利要求1-14任一项所述的方法。

24.一种计算机程序产品,其特征在于,所述计算机程序产品包含指令,所述指令在处理器上运行时,实现权利要求15所述的方法。

...

【技术特征摘要】

1.一种报文转发方法,其特征在于,所述方法包括:

2.如权利要求1所述的方法,其特征在于,所述第一有效信息包括网络前缀和/或主机标识。

3.如权利要求1或2所述的方法,其特征在于,所述第一转发节点基于第一重组规则将所述第一地址重组为第二地址,包括:

4.如权利要求3所述的方法,其特征在于,所述第一重组规则包括第一比特序列,所述第一比特序列的比特位数量和所述第一地址的比特位数量相同,且所述第一比特序列中的n个比特位上的比特值为目标比特值,所述n大于1或等于1;

5.如权利要求4所述的方法,其特征在于,所述第一转发节点基于第一重组规则将所述第一地址重组为第二地址之前,所述方法还包括:

6.如权利要求1或2所述的方法,其特征在于,所述第一重组规则包括第一元混淆序列,所述第一元混淆序列包括至少两个比特位;

7.如权利要求6所述的方法,其特征在于,所述第一重组规则还包括第一移位次数;

8.如权利要求7所述的方法,其特征在于,所述位运算操作为按位异或运算操作。

9.如权利要求6-8任一所述的方法,其特征在于,所述第一转发节点基于所述第一重组规则将所述第一地址重组为第二地址之前,所述方法还包括:

10.如权利要求1-9任一所述的方法,其特征在于,所述方法还包括:

11.如权利要求10所述的方法,其特征在于,所述第三地址与所述第一地址为同一地址,所述第二有效信息与所述第一有效信息为同一有效信息。

12.如权...

【专利技术属性】
技术研发人员:杨言陈哲王闯
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有