Vxlan隧道中內(nèi)層信息的加密方法
【專利摘要】本發(fā)明公開了一種VXLAN隧道中內(nèi)層信息的加密方法，其采用分別在VXLAN的頭部和不同VXLAN域的內(nèi)層數(shù)據(jù)報文上進行兩層加密，加密密鑰分別是根據(jù)各自的初始密鑰與VXLAN的網(wǎng)絡標識字段邏輯運算后再進行MD5運算生成的動態(tài)密鑰，加密密文是所述加密密鑰與VXLAN隧道中需要加密部分的報文數(shù)據(jù)進一步邏輯運算的值，使得VXLAN報文在廣域網(wǎng)中傳輸時即使被攔截也無法被解析，保障了VXLAN報文的安全性，同時，通過VXLAN頭部中預留的至少一個比特來標識是否經(jīng)過加密。本發(fā)明加密方法是通VXLAN頭本身實現(xiàn)的，而不需要額外的開銷，從而提高了帶寬的利用率。
【專利說明】VXLAN隧道中內(nèi)層信息的加密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡通信【技術(shù)領(lǐng)域】的通信傳輸技術(shù)，尤其涉及在VXLAN隧道中為提高數(shù)據(jù)傳輸安全性而對內(nèi)層信息進行加密的方法。
【背景技術(shù)】
[0002]隨著IT組織面向服務的模式轉(zhuǎn)移，人們逐漸發(fā)現(xiàn)目前的數(shù)據(jù)中心網(wǎng)絡連接體系結(jié)構(gòu)是一個限制因素。為了解決此難題，Cisco與VMware等公司在2011年推出了VXLAN(Virtual extensible Local Area Network,虛擬可擴展的局域網(wǎng))標準,致力于解決數(shù)據(jù)中心網(wǎng)絡中VLAN數(shù)目不足的問題，以支持地理分散的數(shù)據(jù)中心之間實現(xiàn)遠距離虛擬機遷移。VXLAN擴展了 LAN的數(shù)目，由原VLAN中的2~ 12=4094個增加到2~24個。并且，它包含的隧道特性也支持LAN的擴展，可以跨WAN進行LAN的擴展。
[0003]然而由于VXLAN缺乏安全保障機制，在外層VXLAN頭攜帶報文通過廣域網(wǎng)WAN時，數(shù)據(jù)包可能被截獲、解析，從而利用獲取的信息對內(nèi)層的廣播域發(fā)起攻擊。如采用傳統(tǒng)VPN網(wǎng)絡使用的IPsec (Internet Protocol Security,以太網(wǎng)協(xié)議安全性)進行安全加密，貝丨J需要通過額外增加IPsec頭的方式實現(xiàn)加密，這對于VXLAN報文來說，因VXLAN頭本身已經(jīng)有至少50個byte，如使用IPsec會進一步提高開銷，因此，有必要提供一種新的加密方法來提高VXLAN的安全性。

【發(fā)明內(nèi)容】

[0004]本發(fā)明的目的就是提供一種VXLAN隧道中內(nèi)層信息的加密方法，其通過擴展VXLAN頭，對VXLAN報文的頭部及內(nèi)層信息分別進行加密處理，使得整個VXLAN報文在廣播域中不可解析，同時，在VXLAN頭部中使用一個預留比特來標識是否經(jīng)過加密，且不額外增加外層頭。
[0005]為實現(xiàn)上述目的，本發(fā)明提出如下技術(shù)方案:一種VXLAN隧道中內(nèi)層信息的加密方法，所述VXLAN隧道中包括VXLAN頭部和數(shù)個不同VXLAN域的內(nèi)層數(shù)據(jù)報文，所述VXLAN隧道內(nèi)層信息的加密方法采用分別在所述VXLAN頭部和內(nèi)層數(shù)據(jù)報文上進行加密，且其加密密鑰分別是根據(jù)各自的初始密鑰與VXLAN的網(wǎng)絡標識字段邏輯運算后再進行MD5運算生成的動態(tài)密鑰。
[0006]更進一步地，所述加密的密文是所述加密密鑰與VXLAN隧道中需要加密部分的報文數(shù)據(jù)進行邏輯運算的值。
[0007]當所述加密的部分是VXLAN頭部時，所述密文SD為:
[0008]SD=f2 (Data, P)
[0009]其中，Data是VXLAN頭部中需要加密的部分，P是所述的加密密鑰，f2是Data和P的邏輯運算，所述加密密鑰P為:
[0010]P=MD5 {f I (K, S)}
[0011]其中，所述K是通信雙方互知的初始密鑰，所述S是VXLAN外層IP頭的標識字段，所述fl是K和S的邏輯運算。
[0012]當所述加密的部分是VXLAN隧道中的內(nèi)層數(shù)據(jù)報文時，所述密文為SDn:
[0013]SDn=f2 (Packet, Pn)
[0014]其中，所述SDn是不同VXLAN域內(nèi)層數(shù)據(jù)報文的密文，Packet是需要加密的內(nèi)層數(shù)據(jù)報文，Pn是不同VXLAN域內(nèi)層數(shù)據(jù)報文對應的加密密鑰，f2是Packet和P的邏輯運算，所述加密密鑰Pn為:
[0015]Pn=MD5{fl(Kn, S)}
[0016]其中，所述Kn是通信雙方互知的不同內(nèi)層數(shù)據(jù)報文的初始密鑰，所述S是VXLAN外層IP頭的標識字段，所述fl是Kn和S的邏輯運算。
[0017]而VXLAN隧道中的內(nèi)層信息是否加密是通過在VXLAN頭部中預留的至少一個比特來標識的。
[0018]所述初始密鑰通信雙方互知，且不會在網(wǎng)絡中傳輸。
[0019]所述內(nèi)層數(shù)據(jù)報文根據(jù)VXLAN的網(wǎng)絡標識符的不同使用不同的初始密鑰進行加密，所述不同的初始密鑰在VXLAN隧道端點上可根據(jù)所述網(wǎng)絡標識符進行設定，且一對相互通信的VXLAN隧道端點間使用同一個初始密鑰。
[0020]通過本發(fā)明的VXLAN隧道的內(nèi)層信息的加密方法，不僅保障了 VXLAN報文在網(wǎng)絡傳輸中的安全性，同時該方法通過擴展VXLAN頭本身進行加密，避免了額外開銷，從而提高了帶寬的利用率。
【專利附圖】

【附圖說明】
[0021]圖1是本發(fā)明VXLAN隧道中內(nèi)層信息的加密方法的流程圖；
[0022]圖2是本發(fā)明實施例中所涉及的VXLAN報文外層頭格式的示意圖；
[0023]圖3是本發(fā)明實施例中所涉及的VXLAN報文頭及內(nèi)層報文格式的示意圖。
【具體實施方式】
[0024]下面將結(jié)合本發(fā)明的附圖，對本發(fā)明優(yōu)選實施例中的技術(shù)方案進行清楚、完整的描述。
[0025]本發(fā)明所揭示的VXLAN隧道中內(nèi)層信息的加密方法，其通過分別對VXLAN頭部及數(shù)個不同VXLAN域的內(nèi)層數(shù)據(jù)報文進行兩級加密來實現(xiàn)，如圖2所示，為本實施例中所涉及的VXLAN協(xié)議報文的外層頭的格式的示意圖，結(jié)合圖1所示，在對VXLAN頭部進行加密時，將通信雙方互知的初始密鑰定義為K,該初始密鑰K僅為通信雙方知道,而不會在網(wǎng)絡中傳輸。
[0026]而實際對VXLAN頭加密所使用的加密密鑰P采用以下方式運算得到，即:
[0027]P=MD5 {fl (K，S)}
[0028]其中S為VXLAN報文外層IP頭的標識(Identification)字段。fl可選自初始密鑰K和VXLAN報文外層IP頭標識字段S經(jīng)過一定的邏輯運算的值，比如是K和S的異或運算，然后再對fl進行MD5的算法得到實際加密所使用的加密密鑰P。加密密鑰P的長度可以自行定義，由于VXLAN報文外層IP頭的標識字段S是變化的，因此可保證實際進行加密所使用的加密密鑰P —直在變，且由于MD5不可逆，故通過這種加密方法得到的加密密鑰P可防止暴力破解。
[0029]接下來，定義VXLAN頭部中需加密的部分為Data，加密后的密文為SD，則:
[0030]SD=f2 (Data, P)
[0031]其中f 2可選自VXLAN頭部中需加密的部分Data和密鑰P經(jīng)過一定的邏輯運算的值，比如可以是Data和P的按位異或。
[0032]由于f2為可逆運算，通信雙方均可由互知的初始密鑰K及VXLAN報文外層IP頭的標識字段S得到加密密鑰P，并用加密密鑰P對密文SD進行解密。
[0033]上述加密方法適用于互相通信的VTEP (VXLAN隧道端點)之間，目的是對VXLAN的網(wǎng)絡標識符VNI字段進行加密，一對VXLAN隧道端點之間使用同一個K。
[0034]接下來，對不同VXLAN域的內(nèi)層數(shù)據(jù)報文進行加密，結(jié)合圖2所示，定義內(nèi)層數(shù)據(jù)報文為Packet (內(nèi)層數(shù)據(jù)包)，內(nèi)層數(shù)據(jù)包按VXLAN的網(wǎng)絡標識符VNI的不同使用不同的密鑰進行加密，在VTEP上可根據(jù)VNI來設定獨立的密鑰。則對于不同的網(wǎng)絡標識符{VNI1，VNI2, , VNIn}，則有不同的初始密鑰{Kl，K2，…，Kn}，類似于上述對VXLAN報文頭的加密方法,可使用
[0035]SDn=f2 (Packet, Pn)
[0036]得到不同網(wǎng)絡標識符的密文SDl, SD2，.....SDn，其中加密密鑰PI, P2，....Pn也
采用與上述VXLAN頭加密相同的方法，SP:
[0037]Pn=MD5{fl(Kn, S)}
[0038]由于每個網(wǎng)絡標識符VNI1，VNI2,...，VNIn的初始密鑰Kl，K2，...，Kn各不相
同，因此，加密密鑰Pl，P2，......Pn也各不相同且動態(tài)變化，因此，每個網(wǎng)絡標示符VNIl，
VNI2，..? ,VNIn的密文SDl, SD2,.....SDn也各不相同且動態(tài)變化，從而保證了每個VNI的
內(nèi)層數(shù)據(jù)僅對本VNI可見。
[0039]如圖3所示,在VXLAN頭的bitmap中預留的7個bit,用其中的I到2個bit來標示是否加密及加密方法，例如2個比特值“00”表示未加密，“01”表示使用采用本發(fā)明所揭示的加密進行加密，“10”和“11”預留兼容其他加密形式，從而通過VXLAN頭中預留的比特將VXLAN報文是否經(jīng)過加密標識出來。
[0040]本發(fā)明的技術(shù)內(nèi)容及技術(shù)特征已揭示如上，然而熟悉本領(lǐng)域的技術(shù)人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾，因此，本發(fā)明保護范圍應不限于實施例所揭示的內(nèi)容，而應包括各種不背離本發(fā)明的替換及修飾，并為本專利申請權(quán)利要求所涵蓋。
【權(quán)利要求】
1.一種VXLAN隧道中內(nèi)層信息的加密方法，所述VXLAN隧道中包括VXLAN頭部和數(shù)個內(nèi)層數(shù)據(jù)報文，其特征在于:所述VXLAN隧道內(nèi)層信息的加密方法采用分別在所述VXLAN頭部和內(nèi)層數(shù)據(jù)報文上進行加密，且其加密密鑰是根據(jù)各自的初始密鑰與VXLAN報文外層IP頭的網(wǎng)絡標識字段邏輯運算后再進行MD5運算生成的動態(tài)密鑰。
2.根據(jù)權(quán)利要求1所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:所述加密的密文是所述加密密鑰與VXLAN隧道中需要加密部分的報文數(shù)據(jù)進行邏輯運算的值。
3.根據(jù)權(quán)利要求2所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:當所述加密的部分是VXLAN頭部時，所述密文SD為:
SD=f2(Data, P) 其中，Data是VXLAN頭部中需要加密的部分，P是所述的加密密鑰，f2是Data和P的邏輯運算。
4.根據(jù)權(quán)利要求3所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:所述加密密鑰P為:
P=MD5{fl (K，S)} 其中，所述K是通信雙方互知的初始密鑰，所述S是VXLAN外層IP頭的標識字段，所述fl是K和S的邏輯運算。
5.根據(jù)權(quán)利要求2所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:當所述加密的部分是VXLAN隧道中的內(nèi)層數(shù)據(jù)報文時，所述密文為SDn:
SDn=f2(Packet, Pn) 其中，所述SDn是不同VXLAN域內(nèi)層數(shù)據(jù)報文的密文，Packet是需要加密的內(nèi)層數(shù)據(jù)報文，Pn是不同VXLAN域內(nèi)層數(shù)據(jù)報文對應的加密密鑰，f2是Packet和P的邏輯運算。
6.根據(jù)權(quán)利要求5所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:所述加密密鑰Pn為:
Pn=MD5{fl(Kn, S)} 其中，所述Kn是通信雙方互知的不同內(nèi)層數(shù)據(jù)報文的初始密鑰，所述S是VXLAN外層IP頭的標識字段，所述fl是Kn和S的邏輯運算。
7.根據(jù)權(quán)利要求1所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:通過在VXLAN頭部中預留的至少一個比特來標識所述VXLAN隧道中的內(nèi)層信息是否加密。
8.根據(jù)權(quán)利要求1所述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:所述初始密鑰通信雙方互知，且不會在網(wǎng)絡中傳輸。
9.根據(jù)權(quán)利要求1所 述的VXLAN隧道中內(nèi)層信息的加密方法，其特征在于:所述內(nèi)層數(shù)據(jù)報文根據(jù)VXLAN的網(wǎng)絡標識符的不同使用不同的初始密鑰進行加密，所述不同的初始密鑰在VXLAN隧道的端點上可根據(jù)所述網(wǎng)絡標識符進行設定。
【文檔編號】H04L9/06GK103618596SQ201310666638
【公開日】2014年3月5日 申請日期:2013年12月10日 優(yōu)先權(quán)日:2013年5月15日
【發(fā)明者】龔海東 申請人:盛科網(wǎng)絡（蘇州）有限公司