[发明专利]基于时间周期的SRv6传输路径认证方法、系统及存储介质

说明书

本发明涉及网络通信技术领域，尤其是基于时间周期的SRv6传输路径认证方法、系统及存储介质，现提出如下方案，认证方法，包括如下步骤：控制器按照指定的时间周期向预置路径上的所有SR节点下发专属于此预置路径的Authen‑SID并向预置路径SR头节点下发用于控制报文转发路径的SegmentList，SegmentList能够携带在报文中并随着报文转发，所述SR头节点在发送报文时，利用所述SegmentList和所述预置路径对应的Authen‑SID进行计算并生成报文SRH的第一认证码，SR中间节点和SR尾节点在转发所述报文时需要对第一认证码进行认证。本发明通过周期性变化的认证SID，既校验了SegmentList的完整性(防止被非法篡改)，又能防止重放攻击，保证报文沿着控制器预定的转发路径转发，降低被非法攻击的风险。

技术领域

本发明涉及网络通信领域，尤其是基于时间周期的SRv6传输路径认证方法、系统及存储介质。

背景技术

Segment Routing(SR)作为SDN(Software Defined Network，软件定义网络)关键技术之一，通过在报文中插入有顺序的段列表(Segment List)来指导转发设备按照指定的转发路径进行报文转发，SR使网络更加简化，并具有良好的可扩展性；SRv6即SR技术在IPv6网络平面的应用。SRv6技术在IPv6报文中新增SRH(Segment Routing Header)报头，用于存储128bit IPv6地址格式的SRv6 SID(segment ID)列表。

SR在提供网络转发路径可控，取代路由最短路径优先的同时，也需要增加相应的Segment Routing Header(SRH)存储各个SR节点，用于控制转发路径，在不进行认证的情况下，无法确保实际报文的转发路径是按照SR指定的转发路径进行转发，无法防止报文被非法篡改，无法满足流量安全可控的需求，为网络流量的正常调度引入了潜在的风险，因而需要对各个SR节点进行认证，以确保网络通信流量的正确调度和转发路径安全可控，为此，本发明提出了基于时间周期的SRv6传输路径认证方法、系统及存储介质。

发明内容

为解决现有技术中的问题，本发明提出了基于时间周期的SRv6传输路径认证方法、系统及存储介质。

本发明针对SRv6报文SRH头部的可认证要求，提出一种SRH头部完整性认证方法，用于对报文转发路径进行认证，并通过引入周期性变化的隐藏式认证SID(不在报文中可见，对预置传输路径上所有SR节点可见)参与计算认证码来防止重放攻击。

为了实现上述目的，本发明采用了如下技术方案：

一种基于时间周期的SRv6传输路径认证方法，包括如下步骤：

控制器按照指定的周期向预置路径上的所有SR节点下发专属于此预置路径的Authen-SID并向SR头节点下发用于控制报文转发路径的Segment List，所述Segment List能够携带在报文中并随着报文转发；

所述SR头节点在发送报文时，利用所述Segment List和所述预置路径的Authen-SID进行计算并生成报文SRH的第一认证码；

SR中间节点和SR尾节点在转发所述报文时需要对第一认证码进行认证。

在一些实施例中，所述认证的过程包括SR中间节点和SR尾节点利用所述SegmentList和所述预置路径的Authen-SID进行计算并得到第二认证码；

若第二认证码和第一认证码一致，则所述SR中间节点或SR尾节点转发所述报文；

若第二认证码和第一认证码不一致，则所述SR中间节点或SR尾节点丢弃所述报文。