[发明专利]IPv6传输路径分段认证方法以及装置

权利要求书

1.一种IPv6传输路径分段认证方法，其特征在于，包括：

获取数据包的初始化包头信息，所述包头信息包括签名、多个参考标记字段以及检查点组；其中，所述检查点组是指检查点的集合；所述检查点是指路径中需要检查的节点；

当所述路径中的节点收到所述数据包时，根据所述检查点组判断所述节点是否为所述检查点；

若所述节点不是所述检查点，则根据所述检查点组更新签名并转发数据包；

若所述节点是所述检查点，则将所述节点作为目标检查点，并从所述多个参考标记字段中找到与所述目标检查点对应的目标参考标记字段，并根据所述目标参考标记字段及所述检查点组，对当前路径段进行验证；

若验证失败，则控制所述目标检查点丢弃数据包，并向源端发送第一报文；其中，所述源端根据所述第一报文，进行故障定位;

其中，所述签名的计算公式如下：

其中，Sign_i为路径中第i个节点的签名，K_i为源端与路径中第i个节点的共享对称密钥，是以密钥K_i加密的伪随机函数，R_i表示路径中第i个节点，src为源地址，dst为目的地址；

所述参考标记字段的计算公式如下：

其中，n表示当前检查点在路径中是第n个节点，SegInfo_n为当前检查点的标记字段，Kn为源端与当前检查点的共享对称密钥，为以密钥Kn的消息验证码，PacketId为数据包标识，Checks为检查点组，T为当前检查点与上一检查点的路径上所有节点的签名的集合，k表示上一个检查点在路径中是第k个节点,Sign_k为上一个检查点的签名，Sign_k+1为路径上第k+1个节点的签名，Sign_n表示当前检查点的签名，为以密钥K_SD的消息验证码，K_SD为源端与中间节点及目的端的共享对称密钥，flow是IPv6固定头部中的流标签，src为源地址，dst为目的地址。

2.根据权利要求1所述的方法，其特征在于，在所述初始化包头信息中，所述检查点组包括标记位，所述标记位的初始值为第一标记值或者第二标记值。

3.根据权利要求2所述的方法，其特征在于，若所述标记位的初始值为第二标记值时，则所述根据所述检查点组更新签名并转发数据包，包括：

根据所述检查点组，判断当前标记位的值是否为第一标记值；

若所述当前标记位的值是所述第一标记值，则更新签名并转发数据包；

若所述当前标记位的值不是所述第一标记值，则仅转发数据包。

4.根据权利要求2所述的方法，其特征在于，若所述标记位的初始值为第一标记值，则所述根据所述目标参考标记字段及所述检查点组，进行当前路径段的验证，包括：

获取所述目标检查点的实际签名；

根据所述目标检查点的实际签名，获取所述目标检查点的实际标记字段；

将所述目标检查点的实际标记字段与所述目标参考标记字段进行比对；若所述目标检查点的实际标记字段与所述目标参考标记字段相同，则当前路径段验证通过；若所述目标检查点的实际标记字段与所述目标参考标记字段不相同，则当前路径段验证失败；其中，所述当前路径段是指所述目标检查点与上一个检查点之间的路径；

若验证通过，则更新签名并转发数据包。