【技术实现步骤摘要】
本申请涉及云网安全,特别涉及一种数据传输方法及路由器。
技术介绍
1、随着云计算网络的普及,对服务链(service function chain,sfc)技术的要求日益增加,服务链技术也就是云网中的安全服务链技术,例如为用户提供防火墙、入侵检测系统和入侵防御系统等安全功能;
2、现有技术中,srv6(segment routing ipv6)是一种基于互联网协议第六版ipv6的分段路由协议,srv6在网络可编程方面的技术突破,简化了sfc的节点配置和策略部署,但是由于传输和配置过程的透明化,数据传输路径可能会受到攻击者的监听、篡改等攻击,且在攻击者窃取数据,对其进行篡改后,会影响管理模块对服务链配置的决策,造成业务瘫痪。
技术实现思路
1、本申请提供一种数据传输方法及路由器,用以解决现有技术中服务链易受到攻击的问题。
2、第一方面,本申请实施例提供一种数据传输方法,应用于服务链中路由器组中的路由器,所述方法包括:
3、基于交换机发送的用户流量,从多个引流策略中选择目标引流策略,并基于公钥字典中的公钥,对所述目标引流策略中携带的第二本地标识符进行加密,生成第一标识符加密集合;
4、基于所述用户流量和报头,生成目标报文,其中,所述报头是基于所述第一标识符加密集合得到的;
5、基于私钥字典,对所述目标报文的报头中的第一标识符加密集合中的第一个元素进行解密,将解密后的本地标识符与所述多个第一本地标识符进行匹配,根据匹配结果选择第
6、其中,所述私钥字典、所述公钥字典、所述多个第一本地标识符和所述多个引流策略是由管理模块发送的,所述私钥字典包括所述路由器对应的第一本地标识符与第一私钥的对应关系,所述公钥字典包括所述路由器组对应的第一本地标识符与公钥的对应关系。
7、在一种可能的实现方式中,所述基于所述公钥字典中的公钥,对所述目标引流策略中携带的第二本地标识符进行加密,生成第一标识符加密集合,包括:
8、针对每个第二本地标识符,选择与所述第二本地标识符对应的目标公钥;
9、基于所述目标公钥,对所述第二本地标识符和五元组信息进行加密,得到加密后的本地标识符,其中,所述五元组信息为所述用户流量的五元组信息;
10、将得到的加密后的本地标识符作为所述第一标识符加密集合。
11、在一种可能的实现方式中,所述将解密后的本地标识符与所述多个第一本地标识符进行匹配,根据匹配结果选择第一目标安全网元,包括:
12、遍历所述多个第一本地标识符,查找与所述解密后的本地标识符相同的目标第一本地标识符;
13、将所述目标第一本地标识符对应的安全网元作为所述第一目标安全网元。
14、在一种可能的实现方式中,在所述查找与所述解密后的本地标识符相同的目标第一本地标识符之后,所述将所述目标第一本地标识符对应的安全网元作为所述第一目标安全网元之前,还包括:
15、将目标五元组信息与所述用户流量的五元组信息进行比较;
16、确定比较结果为相同;
17、其中,所述目标五元组信息为对所述第一标识符加密集合进行解密得到的。
18、在一种可能的实现方式中,该方法还包括:
19、若从所述多个引流策略中未选择到目标引流策略,则向所述交换机发送所述用户流量,以使所述交换机向所述路由器组中的其他路由器发送所述用户流量。
20、在一种可能的实现方式中,该方法还包括:
21、基于所述私钥字典,对所述目标报文的报头中的第一标识符加密集合进行解密,若解密失败,则向所述交换机发送所述目标报文,以使所述交换机向所述路由器组中的其他路由器发送所述目标报文,所述其他路由器基于与所述其他路由器对应的私钥字典,对所述目标报文的报头中的第一标识符加密集合进行解密,将解密后的本地标识符与所述其他路由器对应的多个第一本地标识符进行匹配,根据匹配结果选择第一目标安全网元,向所述第一目标安全网元发送所述用户流量。
22、在一种可能的实现方式中,所述向所述第一目标安全网元发送所述用户流量后,还包括:
23、接收所述第一目标安全网元发送的处理后的用户流量;
24、基于所述私钥字典,对所述目标报文的报头中的第一标识符加密集合中的第二个元素进行解密;
25、将解密后的本地标识符与所述多个第一本地标识符进行匹配,根据匹配结果选择第二目标安全网元,向所述第二目标安全网元发送所述处理后的用户流量,直到所述第一标识符加密集合中的最后一个元素为止。
26、在一种可能的实现方式中,所述根据匹配结果选择第一目标安全网元后,还包括:
27、确定所述第一目标安全网元故障后,确定目标安全网元组中第三目标安全网元对应的第一本地标识符;
28、将解密后的本地标识符修改为所述第三目标安全网元对应的第一本地标识符;
29、向修改后的第一本地标识符对应的第三目标安全网元发送所述用户流量。
30、在一种可能的实现方式中,所述方法还包括:
31、接收所述管理模块发送的第一临时公钥;
32、基于所述第一临时公钥,对所述多个第一本地标识符进行加密,得到第二标识符加密集合,向所述管理模块发送所述第二标识符加密集合,以使所述管理模块接收到所述第二标识符加密集合后,基于与所述第一临时公钥对应的第一临时私钥,对所述第二标识符加密集合中的元素进行解密,得到多个解密后的本地标识符,基于所述多个解密后的本地标识符,确认所述路由器为合法路由器。
33、在一种可能的实现方式中,所述方法还包括:
34、针对所述多个第一本地标识符对应的安全网元,向所述安全网元发送与所述第一本地标识符对应的公钥,以使所述安全网元基于所述公钥对所述安全网元的第一本地标识符进行加密,得到加密标识符;
35、接收所述安全网元发送的所述加密标识符后,基于与所述第一本地标识符对应的私钥对所述加密标识符进行解密,若解密成功,则确定所述安全网元合法。
36、第二方面,本申请实施例提供一种路由器,包括:
37、加密模块,用于基于交换机发送的用户流量,从多个引流策略中选择目标引流策略,并基于公钥字典中的公钥,对所述目标引流策略中携带的第二本地标识符进行加密,生成第一标识符加密集合;
38、生成模块,用于基于所述用户流量和报头,生成目标报文,其中,所述报头是基于所述第一标识符加密集合得到的;
39、解密模块,用于基于私钥字典,对所述目标报文的报头中的第一标识符加密集合中的第一个元素进行解密,将解密后的本地标识符与所述多个第一本地标识符进行匹配,根据匹配结果选择第一目标安全网元,向所述第一目标安全网元发送所述用户流量;
40、其中,所述私钥字典、所述公钥字典、所述多个第一本地标识本文档来自技高网...
【技术保护点】
1.一种数据传输方法,其特征在于,应用于服务链中路由器组中的路由器,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于所述公钥字典中的公钥,对所述目标引流策略中携带的第二本地标识符进行加密,生成第一标识符加密集合,包括:
3.如权利要求2所述的方法,其特征在于,所述将解密后的本地标识符与所述多个第一本地标识符进行匹配,根据匹配结果选择第一目标安全网元,包括:
4.如权利要求3所述的方法,其特征在于,在所述查找与所述解密后的本地标识符相同的目标第一本地标识符之后,所述将所述目标第一本地标识符对应的安全网元作为所述第一目标安全网元之前,还包括:
5.如权利要求1所述的方法,其特征在于,该方法还包括:
6.如权利要求1所述的方法,其特征在于,该方法还包括:
7.如权利要求1所述的方法,其特征在于,所述向所述第一目标安全网元发送所述用户流量后,还包括:
8.如权利要求1所述的方法,其特征在于,所述根据匹配结果选择第一目标安全网元后,还包括:
9.如权利要求1~8任一所述的方法,其
10.如权利要求9所述方法,其特征在于,所述方法还包括:
11.一种路由器,其特征在于,所述路由器包括:
12.一种路由器,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
...【技术特征摘要】
1.一种数据传输方法,其特征在于,应用于服务链中路由器组中的路由器,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于所述公钥字典中的公钥,对所述目标引流策略中携带的第二本地标识符进行加密,生成第一标识符加密集合,包括:
3.如权利要求2所述的方法,其特征在于,所述将解密后的本地标识符与所述多个第一本地标识符进行匹配,根据匹配结果选择第一目标安全网元,包括:
4.如权利要求3所述的方法,其特征在于,在所述查找与所述解密后的本地标识符相同的目标第一本地标识符之后,所述将所述目标第一本地标识符对应的安全网元作为所述第一目标安全网元之前,还包括:
5.如权利要...
【专利技术属性】
技术研发人员:王芷晴,王影新,方宇,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。