本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其是基于時(shí)間周期的SRv6傳輸路徑認(rèn)證方法、系統(tǒng)及存儲(chǔ)介質(zhì)，現(xiàn)提出如下方案，認(rèn)證方法，包括如下步驟：控制器按照指定的時(shí)間周期向預(yù)置路徑上的所有SR節(jié)點(diǎn)下發(fā)專屬于此預(yù)置路徑的Authen?SID并向預(yù)置路徑SR頭節(jié)點(diǎn)下發(fā)用于控制報(bào)文轉(zhuǎn)發(fā)路徑的SegmentList，SegmentList能夠攜帶在報(bào)文中并隨著報(bào)文轉(zhuǎn)發(fā)，所述SR頭節(jié)點(diǎn)在發(fā)送報(bào)文時(shí)，利用所述SegmentList和所述預(yù)置路徑對(duì)應(yīng)的Authen?SID進(jìn)行計(jì)算并生成報(bào)文SRH的第一認(rèn)證碼，SR中間節(jié)點(diǎn)和SR尾節(jié)點(diǎn)在轉(zhuǎn)發(fā)所述報(bào)文時(shí)需要對(duì)第一認(rèn)證碼進(jìn)行認(rèn)證。本發(fā)明通過(guò)周期性變化的認(rèn)證SID，既校驗(yàn)了SegmentList的完整性(防止被非法篡改)，又能防止重放攻擊，保證報(bào)文沿著控制器預(yù)定的轉(zhuǎn)發(fā)路徑轉(zhuǎn)發(fā)，降低被非法攻擊的風(fēng)險(xiǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域，尤其是基于時(shí)間周期的SRv6傳輸路徑認(rèn)證方法、系統(tǒng)及存儲(chǔ)介質(zhì)。

背景技術(shù)

Segment Routing(SR)作為SDN(Software Defined Network，軟件定義網(wǎng)絡(luò))關(guān)鍵技術(shù)之一，通過(guò)在報(bào)文中插入有順序的段列表(Segment List)來(lái)指導(dǎo)轉(zhuǎn)發(fā)設(shè)備按照指定的轉(zhuǎn)發(fā)路徑進(jìn)行報(bào)文轉(zhuǎn)發(fā)，SR使網(wǎng)絡(luò)更加簡(jiǎn)化，并具有良好的可擴(kuò)展性；SRv6即SR技術(shù)在IPv6網(wǎng)絡(luò)平面的應(yīng)用。SRv6技術(shù)在IPv6報(bào)文中新增SRH(Segment Routing Header)報(bào)頭，用于存儲(chǔ)128bit IPv6地址格式的SRv6 SID(segment ID)列表。

SR在提供網(wǎng)絡(luò)轉(zhuǎn)發(fā)路徑可控，取代路由最短路徑優(yōu)先的同時(shí)，也需要增加相應(yīng)的Segment Routing Header(SRH)存儲(chǔ)各個(gè)SR節(jié)點(diǎn)，用于控制轉(zhuǎn)發(fā)路徑，在不進(jìn)行認(rèn)證的情況下，無(wú)法確保實(shí)際報(bào)文的轉(zhuǎn)發(fā)路徑是按照SR指定的轉(zhuǎn)發(fā)路徑進(jìn)行轉(zhuǎn)發(fā)，無(wú)法防止報(bào)文被非法篡改，無(wú)法滿足流量安全可控的需求，為網(wǎng)絡(luò)流量的正常調(diào)度引入了潛在的風(fēng)險(xiǎn)，因而需要對(duì)各個(gè)SR節(jié)點(diǎn)進(jìn)行認(rèn)證，以確保網(wǎng)絡(luò)通信流量的正確調(diào)度和轉(zhuǎn)發(fā)路徑安全可控，為此，本發(fā)明提出了基于時(shí)間周期的SRv6傳輸路徑認(rèn)證方法、系統(tǒng)及存儲(chǔ)介質(zhì)。

發(fā)明內(nèi)容

為解決現(xiàn)有技術(shù)中的問(wèn)題，本發(fā)明提出了基于時(shí)間周期的SRv6傳輸路徑認(rèn)證方法、系統(tǒng)及存儲(chǔ)介質(zhì)。

本發(fā)明針對(duì)SRv6報(bào)文SRH頭部的可認(rèn)證要求，提出一種SRH頭部完整性認(rèn)證方法，用于對(duì)報(bào)文轉(zhuǎn)發(fā)路徑進(jìn)行認(rèn)證，并通過(guò)引入周期性變化的隱藏式認(rèn)證SID(不在報(bào)文中可見(jiàn)，對(duì)預(yù)置傳輸路徑上所有SR節(jié)點(diǎn)可見(jiàn))參與計(jì)算認(rèn)證碼來(lái)防止重放攻擊。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用了如下技術(shù)方案：

一種基于時(shí)間周期的SRv6傳輸路徑認(rèn)證方法，包括如下步驟：

控制器按照指定的周期向預(yù)置路徑上的所有SR節(jié)點(diǎn)下發(fā)專屬于此預(yù)置路徑的Authen-SID并向SR頭節(jié)點(diǎn)下發(fā)用于控制報(bào)文轉(zhuǎn)發(fā)路徑的Segment List，所述Segment List能夠攜帶在報(bào)文中并隨著報(bào)文轉(zhuǎn)發(fā)；

所述SR頭節(jié)點(diǎn)在發(fā)送報(bào)文時(shí)，利用所述Segment List和所述預(yù)置路徑的Authen-SID進(jìn)行計(jì)算并生成報(bào)文SRH的第一認(rèn)證碼；

SR中間節(jié)點(diǎn)和SR尾節(jié)點(diǎn)在轉(zhuǎn)發(fā)所述報(bào)文時(shí)需要對(duì)第一認(rèn)證碼進(jìn)行認(rèn)證。

在一些實(shí)施例中，所述認(rèn)證的過(guò)程包括SR中間節(jié)點(diǎn)和SR尾節(jié)點(diǎn)利用所述SegmentList和所述預(yù)置路徑的Authen-SID進(jìn)行計(jì)算并得到第二認(rèn)證碼；

若第二認(rèn)證碼和第一認(rèn)證碼一致，則所述SR中間節(jié)點(diǎn)或SR尾節(jié)點(diǎn)轉(zhuǎn)發(fā)所述報(bào)文；

若第二認(rèn)證碼和第一認(rèn)證碼不一致，則所述SR中間節(jié)點(diǎn)或SR尾節(jié)點(diǎn)丟棄所述報(bào)文。