本發明公開了一種基于設備標識計算的報文發送方法及裝置以及一種基于設備標識計算的報文路徑溯源方法及裝置，通過報文轉發設備在報文中附加設備標識，可以保證在數據平面上完成對報文的準確追蹤；同時，通過報文接收設備在本地利用散列算法進行標識計算完成報文路徑溯源，可以降低報文中存儲路徑信息對存儲空間和傳輸帶寬的需求。

技術領域

本發明涉及互聯網通信技術領域，特別涉及一種基于設備標識計算的報文發送方法及裝置以及一種基于設備標識計算的報文路徑溯源方法及裝置。

背景技術

互聯網技術的高速發展在推動社會進步的同時，也帶來了許多隱患。由于網絡在構建之初追求開放性和自由性，IP報文在設計階段并沒有把與身份驗證相關的功能考慮在內，這導致了大量的網絡攻擊難以避免和溯源。為解決報文在傳播路徑上的身份驗證問題，人們開始關注路徑溯源技術。在網絡攻擊的過程中或結束后，人們可以借助路徑溯源技術來獲取網絡報文經過的相關路由器信息，通過分析這些信息，人們可以定位到網絡攻擊的發起源頭，從而從來源上減輕或消除網絡攻擊的影響，為進一步追究網絡攻擊發起者的責任提供依據。

現有技術中，應對網絡攻擊主要的路徑溯源方法傾向于構建在數據平面上的探測，以DdoS（英文名稱：Distributed denial of service attack；中文全稱：分布式拒絕服務攻擊）攻擊下的溯源技術為例，主要包括入口調試法、受控洪泛法、ICMP（英文名稱：Internet Control Message Protocol；中文全稱：網絡控制報文協議）報文法、日志記錄法和包標記法。然而，在上述關于路徑溯源的研究中，由于受多種路由策略的影響，通過控制平面探測到的報文路徑可能與實際報文通過的路徑不相符，而利用主動發起的反向探測報文或流量洪泛進行路徑探測則會占用網絡帶寬，影響正常報文的傳輸。

發明內容

為解決上述技術問題，本發明提供一種基于設備標識計算的報文發送方法及裝置以及一種基于設備標識計算的報文路徑溯源方法及裝置，能夠在數據平面上完成對報文的準確追蹤，同時降低報文中存儲路徑信息對存儲空間和傳輸帶寬的需求。

本發明第一方面提供一種基于設備標識計算的報文發送方法，應用于第一設備，所述方法包括：

接收上一跳設備發送的待轉發報文；

從所述待轉發報文中，獲取所述上一跳設備對應的散列值標識；

將所述第一設備的設備標識與所述上一跳設備對應的散列值標識進行邏輯運算，并對邏輯運算后的運算結果進行哈希運算，得到所述第一設備對應的散列值標識；

在所述待轉發報文中，以所述第一設備對應的散列值標識替換所述上一跳設備對應的散列值標識；

發送所述待轉發報文。

優選地，所述將所述第一設備的設備標識與所述上一跳設備對應的散列值標識進行邏輯運算，并對邏輯運算后的運算結果進行哈希運算，得到所述第一設備對應的散列值標識，包括：

當所述上一跳設備對應的散列值標識為空時，將所述第一設備的設備標識進行哈希運算，得到所述第一設備對應的散列值標識；

當所述上一跳設備對應的散列值標識不為空時，將所述第一設備的設備標識與所述上一跳設備對應的散列值標識進行異或運算，并對異或運算后的運算結果進行哈希運算，得到所述第一設備對應的散列值標識。

本發明第二方面提供一種基于設備標識計算的報文路徑溯源方法，應用于第二設備，所述方法包括：

獲取待溯源報文中的散列值標識；

查找所述待溯源報文的源IP地址與目的IP地址之間的所有路徑；

分別將每條所述路徑中的第一跳設備的設備標識進行哈希運算，得到每條所述路徑中的第一跳設備對應的散列值標識；