[发明专利]基于认证分片可重组的动态路径验证方法

权利要求书

1.一种基于认证分片可重组的动态路径验证方法，其特征在于，包括以下步骤：

通过担保服务节点向数据包发送端发送初始期望路径验证结构，向初始期望路径上的各路由节点发送通告信息；数据包发送端将所述初始期望路径验证结构插入待发送数据包，按照初始期望路径将插入后的数据包发送到下一跳路由节点；所述初始期望路径上的路由节点接收到数据包后，根据本路由节点的会话对称密钥和所述初始期望路径验证结构对数据包执行解析验证，在验证通过时，继续向下一路由节点发送该数据包；

所述初始期望路径发生变化，所述初始期望路径更新为新的期望路径，所述数据包发送端重新向所述担保服务节点发送申请，所述担保服务节点根据所述新的期望路径生成新的期望路径验证结构，将所述新的期望路径验证结构发送给所述数据包发送端和迁移节点，并向各路由节点发送新的通告信息；

所述数据包发送端将所述新的期望路径验证结构插入后续的待发送数据包，并发送到下一跳路由节点，除所述迁移节点外的其他中间路由节点对接收到的数据包执行解析验证，验证通过后，将该数据包转发到下一跳路由节点；

所述迁移节点对接收到的数据包执行解析验证，验证通过后，判断该数据包插入的是否为所述新的期望路径验证结构，若不是所述新的期望路径验证结构，则利用所述新的期望路径验证结构替换该数据包插入的所述初始期望路径验证结构，若是所述新的期望路径验证结构，则将该数据包发送至新的期望路径上的下一跳路由节点继续进行验证；

数据包接收端对接收到数据包执行解析验证，在验证通过时，再判断当前数据包头部的发送源地址信息与期望起始节点信息是否一致，若一致，则完成数据包在会话传输路径上的验证，接收到的数据包正常，若不一致，则丢弃该数据包。

2.根据权利要求1所述的基于认证分片可重组的动态路径验证方法，其特征在于，所述担保服务节点根据期望路径上的各个节点的期望上一跳信息和期望下一跳信息，并借助会话对称密钥进行加密生成期望路径验证结构，所述期望路径验证结构包括多个与期望路径上的路由节点对应的待验证的分片信息。

3.根据权利要求1所述的基于认证分片可重组的动态路径验证方法，其特征在于，期望路径上的不同节点收到的通告信息不同，通告信息包括各路由节点的预期上一跳信息和会话的有效时限，通过各个节点的会话对称密钥对通告信息进行解析。

4.根据权利要求1所述的基于认证分片可重组的动态路径验证方法，其特征在于，期望路径上的路由节点接收到数据包后，提取该数据包中的期望路径验证结构，利用本节点的会话对称密钥解析期望路径验证结构中与本节点对应的分片信息，获得当前数据包的期望上一跳信息，判断当前数据包的实际接收端口的上一跳信息与所述期望上一跳信息是否一致，若一致，则验证通过，若不一致，则验证未通过。

5.根据权利要求4所述的基于认证分片可重组的动态路径验证方法，其特征在于，期望路径上的各路由节点对接收到数据包执行解析验证，在验证未通过时，则丢弃该数据包，并向该路由节点对应的担保服务节点、数据包发送端和数据包接收端发布错误报告信息。

6.根据权利要求5所述的基于认证分片可重组的动态路径验证方法，其特征在于，在验证未通过，且安全需求级别高于设定值时，各路由节点在会话有效时限内，以随机时间间隔针对接收到的会话数据包主动产生预警报告信息，并分别传送给所述担保服务节点、所述数据包发送端和所述数据包接收端，所述预警报告信息内容至少包含在某时间间隔内接收到会话的该数据包，以及该数据包验证状态是否通过的信息。

7.根据权利要求1所述的基于认证分片可重组的动态路径验证方法，其特征在于，在会话数据包传输验证过程中，所述初始期望路径发生变化，所述数据包发送端将重新向所述担保服务节点发送申请，所述申请内容至少包括该会话新的期望路径信息、更新的会话有效时限值。

8.根据权利要求1所述的基于认证分片可重组的动态路径验证方法，其特征在于，所述迁移节点为所述初始期望路径与所述新的期望路径的第一个交叉节点。