[发明专利]一种网络通讯方法、系统与存储介质

说明书

本发明公开了一种基于SRv6的网络通讯方法与系统，属于IP网络领域。一种网络通讯方法，包括以下步骤：在首节点中，报文根据SR引流策略匹配分段路由策略；判断所述分段路由策略中是否有安全关联索引，若有，则使用匹配的安全关联加密所述包报文，再使用SR引流策略处理所述报文；若无，则使用SR引流策略处理所述报文；尾节点接收所述报文，并做SR处理；判断SID是否携带解密属性，若有，则使用所述解密的属性中指定的安全关联解密所述报文，再使用SID的END动作尾节点处理所述报文；若无，则使用SID的END动作尾节点处理所述报文。

技术领域

本发明涉及网络通信领域，具体涉及一种基于SRV6的网络通讯方法、系统与存储介质。

背景技术

当前IPv6网络中，若要实现IP报文的加密认证，又要实现对报文做路径选择，通常是将SRv6(Segment Routing)和IPsec(IP security)结合使用。以SRv6和IPsec隧道方式的ESP结合为例，其报文结构如图1所示。

现有方式中，如果将以上两个业务结合起来，会有如下问题：

1、两种业务均提供隧道封装业务，当需要两者结合时，转发面串行的业务处理将会导致报文对外层IP头的封装错误。

2、转发流程中，在尾结点需要先处理SRv6的SID指令，然后再处理IPsec业务，但SRv6业务的尾结点的动作中，End等动作要求使用内层IP报文进行转发处理，此时内层报文均为密文，无法做进一步的处理。

发明内容

针对现有技术的不足，本发明提出了一种基于SRv6的网络通讯方法、系统与存储介质。

作为本申请的一个方面，提供一种网络通讯方法，包括以下步骤：

在首节点，报文根据SR引流策略配置分段路由策略，若所述分段路由策略有与IPsec安全关联相对应的索引和与SRv6相关的SID，则通过所述索引所对应的安全关联加密所述首节点报文并发送加密报文至中间节点；尾节点接收经中间节点转发的加密报文，通过SID携带的解密属性解密加密报文。

可选的，分段路由策略依据SR引流策略进行配置。

可选的，安全关联中配置有SPI、解密密钥或解密算法。

可选的，中间节点按照分段路由策略所提供的路径信息进行加密报文的转发。

可选的，SID为IPv6格式。

可选的，首节点的报文中封装SRv6头部与ESP尾部，分段路由策略配置在SRv6头部中。

可选的，解密属性通过加密报文的索引指向的安全关联解密加密报文。

作为本申请的另一个方面，提供一种网络通讯系统，包括：发送端与接收端；与发送端连接的首节点；与接收端连接的尾节点；以及耦合在首节点与尾节点之间用于转发报文的若干中间节点，在首节点中，报文被分段路由策略中的安全关联的索引指向的安全关联所加密，分段路由策略指明与IPsec安全关联相对应的索引和与SRv6相关的SID；在尾节点中，报文被SRv6中的解密属性所解密。

优选的，首节点的报文中封装SRv6头部与ESP尾部，分段路由策略配置在SRv6头部中。可选地，所述安全关联中配置有SPI、解密密钥或解密算法。

可选地，所述解密属性中指明所述的安全关联的索引。

可选地，所述报文封装有SRv6头部与ESP尾部。

上述的方法或者系统还能够应用在设备中，例如：一种计算机可读的存储介质，包括存储有指令，所述指令执行时实现上述任一网络通讯方法。