本公開提出一種基于SRv6的安全認證方法、網絡節點和認證系統，涉及網絡安全技術領域。本公開的一種基于SRv6的安全認證方法包括：源節點生成密鑰對和密鑰標識，密鑰對中包括私鑰和公鑰；將公鑰和密鑰標識通過SRH發送給認證節點，以便認證節點通過公鑰加密第一隨機數，生成加密隨機數；接收認證節點反饋的加密隨機數，并利用私鑰解密加密隨機數，獲取第二隨機數；根據第二隨機數和密鑰標識生成第一HMAC，并將第一HMAC發送給認證節點，以便認證節點將基于第一隨機數和密鑰標識生成的第二HMAC與第一HMAC匹配；根據認證節點反饋的認證成功信息，執行數據傳輸。通過這樣的方法，提高了通信的安全性。

技術領域

本公開涉及網絡安全技術領域，特別是一種基于SRv6(Segment Router IPv6，基于IPv6的分段路由)的安全認證方法、網絡節點和認證系統。

背景技術

SRv6是基于IPv6數據包的協議，需要在IPv6報文中插入擴展頭SRH(SegmentRouter Header，分段路由頭部)，并在SRH中壓入一個顯式的IPv6地址棧，在中間節點通過更新目的地址和偏移地址棧的操作來完成逐跳轉發。

SRv6技術的尋址方式是根據顯式地址報文轉發，目前對于源地址驗證采用SRH擴展頭中的TLV(Tag Length Value，標簽-長度-取值)可變字段中的HMAC(Hash-basedMessage Authentication Code，密鑰相關的哈希運算消息認證碼)TLV字段來驗證，通過比對端設備驗證節點與源節點的HMAC值是否一致，以校驗是否允許報文的源頭在報文的DA(DestinationAddress，目的地址)中使用當前分段，并確保相關信息在傳輸時沒有被修改。。HMAC字段的生成方式為以密鑰ID標識以及預共享密鑰作為哈希算法的輸入的元素之一，得到固定長度(32個8位長度的位組)的摘要信息，作為HMAC。

發明內容

本公開的一個目的在于如何提高基于SRv6的通信驗證的安全性。

根據本公開的一些實施例的一個方面，提出一種基于SRv6的安全認證方法，包括：源節點生成密鑰對和密鑰標識，密鑰對中包括私鑰和公鑰；將公鑰和密鑰標識通過SRH發送給認證節點，以便認證節點通過公鑰加密第一隨機數，生成加密隨機數；接收認證節點反饋的加密隨機數，并利用私鑰解密加密隨機數，獲取第二隨機數；根據第二隨機數和密鑰標識生成第一HMAC，并將第一HMAC發送給認證節點，以便認證節點將基于第一隨機數和密鑰標識生成的第二HMAC與第一HMAC匹配；根據認證節點反饋的認證成功信息，執行數據傳輸。

在一些實施例中，將公鑰和密鑰標識通過SRH發送給認證節點包括：通過第一認證信息的SRH的擴展的第一字段承載公鑰；將第一認證信息發送給認證節點。

在一些實施例中，接收認證節點反饋的加密隨機數包括：接收認證節點反饋的第二認證信息；從第二認證信息的第一字段中讀取加密隨機數，其中，認證節點將加密隨機數通過SRH的擴展的第一字段承載，并通過第二認證信息反饋給源節點。

在一些實施例中，基于SRv6的安全認證方法還包括：若對加密隨機數解密不成功，則停止當前安全認證流程。

在一些實施例中，基于SRv6的安全認證方法還包括：若對加密隨機數解密不成功，則在SRH的擴展的第二字段寫入認證失敗記錄信息。

在一些實施例中，執行數據傳輸包括：通過私鑰加密載荷，并將載荷由認證數據字段承載，通過SRv6報文傳輸。