本申請提供一種防止對SRv6HMAC校驗進行重放攻擊的方法和裝置。該方法包括，網絡設備在接收到SRv6報文后，獲取報文中攜帶的防重放攻擊校驗信息，根據所述防重放攻擊校驗信息進行防重放攻擊驗證，對于通過驗證的報文繼續執行HMAC哈希計算，丟棄未通過驗證的報文。通過該方法，在攻擊者向網絡設備發送大量重放攻擊報文時，有效減少了現有技術中針對大量重放攻擊報文進行HMAC校驗時所執行的哈希計算，節省了設備計算資源，提高了對正常報文的處理效率。

本申請要求于2020年03月11日提交中國專利局、申請號為202010165217.3、發明名稱為“一種針對SRv6 HMAC校驗抗重放攻擊的方法和設備”的中國專利申請的優先權，其全部內容通過引用結合在本申請中。

技術領域

本申請涉及通信技術領域，尤其涉及一種防止對第六版因特網協議段路由(英文：Internet Protocol version，IPv6)段路由(IPv6 segment routing，SRv6)秘鑰相關的哈希運算消息認證碼(英文：keyed hashed message authentication code，HMAC)校驗進行重放攻擊的方法和設備。

背景技術

SRv6是基于源路由理念而設計的在網絡上轉發IPv6數據包的一種方法。通過在IPv6報文中插入一個路由擴展頭(英文：Segment Routing Header，SRH)，在SRH中壓入一個顯式的IPv6地址棧，通過中間節點不斷的進行更新目的地址和偏移地址棧的操作來完成逐跳轉發。

利用SRv6技術轉發報文時，中間節點基于SID list進行報文轉發，網絡黑客可以通過惡意篡改SID list的方式來進行網絡攻擊，影響網絡安全。為防止SRH被篡改以及仿冒，因特網工程任務組(英文：internet engineering task framework，IETF)推薦采用HMAC對SRH進行校驗，丟棄未通過HMAC校驗的報文，防止SRv6報文頭被仿冒、篡改。但是，HMAC校驗在執行HMAC計算時占用計算資源較多，當攻擊者向網絡節點發送大量重放攻擊報文時，網絡節點需要對大量的重放攻擊報文進行HMAC校驗，導致嚴重占用計算資源，使得正常報文無法得到有效處理，嚴重影響網絡節點的正常工作。

發明內容

有鑒于此，本申請實施例提供了一種防止對SRv6 HMAC校驗進行重放攻擊的方法，裝置和系統。

第一方面，本申請提供了一種防止對第六版互聯網協議段路由秘鑰相關的哈希運算消息認證碼SRv6 HMAC校驗進行重放攻擊的方法，該方法由第一網絡設備執行。第一網絡設備從第二網絡設備或者攻擊者設備接收第一SRv6報文，所述第一SRv6報文的報文頭中包括防重放攻擊校驗信息。第一網絡設備根據所述防重放攻擊校驗信息，對所述第一SRv6報文進行防重放攻擊驗證，用來確定所述第一SRv6報文是否是重放攻擊報文。如果所述第一SRv6報文通過所述驗證，則第一網絡設備對通過驗證所述第一SRv6報文進行HMAC計算。如果所述第一SRv6報文未通過所述驗證，則第一網絡設備丟棄所述第一SRv6報文，不再進行HMAC計算。

根據上述方法，第一網絡設備接收到SRv6報文后，在執行HMAC計算之前，根據所述SRv6報文中攜帶的防重放攻擊校驗信息，對接收到的所述SRv6報文進行驗證，及時丟棄未通過驗證的報文。由此，可以在執行HMAC計算之前，能夠有效識別并丟棄大量重放攻擊報文，能夠有效減少節點計算資源的消耗，從而減少大量重放攻擊報文占用的網絡轉發資源，能夠有力的防護重放攻擊對正常業務的影響。

第二方面，本申請提供了一種防止對第六版互聯網協議段路由秘鑰相關的哈希運算消息認證碼SRv6 HMAC校驗進行重放攻擊的方法，該方法由第二網絡設備執行。該方法包括：第二網絡設備生成第一SRv6報文，所述第一SRv6報文的報文頭中包括防重放攻擊校驗信息。所述第二網絡設備向第一網絡設備發送所述第一SRv6報文，所述防重放攻擊校驗信息被所述第一網絡設備用于在進行HMAC計算之前，驗證所述第一SRv6報文是否是重放攻擊報文。