[发明专利]IPv6传输路径分段认证方法以及装置

说明书

本申请提出一种IPv6传输路径分段认证方法及装置，其中，方法包括：获取数据包的初始化包头信息，包头信息包括签名、多个参考标记字段以及检查点组；当路径中的节点收到数据包时，根据检查点组判断节点是否为检查点；若当前节点不是检查点，则根据检查点组更新签名并转发数据包；若当前节点是检查点，则将该节点作为目标检查点，并从多个参考标记字段中找到与目标检查点对应的目标参考标记字段，并根据目标参考标记字段及检查点组，对当前路径段进行验证；若验证失败，则控制目标检查点丢弃数据包，并向源端发送第一报文；其中，源端根据第一报文，进行故障定位。本申请不仅适用于IPv6网络，且实现了源地址验证和路径验证，提升了网络的吞吐量。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种IPv6(Internet Protocol Version6，互联网协议第六版)传输路径分段认证方法以及装置。

背景技术

现有互联网体系结构面向性能的设计，由于没有考虑安全需求，缺乏用户与网络的信任根基，导致了互联网的源地址欺骗和传输路径不一致等的问题。以上问题会引出源地址欺骗，拒绝服务，非法流量窃取等多种攻击，致使网络安全受到巨大的威胁，给互联网及相关经济，社会和军事系统带来极大破坏。

发明内容

本申请旨在提供一种IPv6传输路径分段认证方法以及装置。

根据本申请的第一方面，提出了一种IPv6传输路径分段认证方法，包括：

获取数据包的初始化包头信息，所述包头信息包括签名、多个参考标记字段以及检查点组；其中，所述检查点组是指检查点的集合；所述检查点是指路径中需要检查的节点；

当所述路径中的节点收到所述数据包时，根据所述检查点组判断所述节点是否为所述检查点；

若所述节点不是所述检查点，则根据所述检查点组更新签名并转发数据包；

若所述节点是所述检查点，则将所述节点作为目标检查点，并从所述多个参考标记字段中找到与所述目标检查点对应的目标参考标记字段，并根据所述目标参考标记字段及所述检查点组，对当前路径段进行验证；

若验证失败，则控制所述目标检查点丢弃数据包，并向源端发送第一报文；其中，所述源端根据所述第一报文，进行故障定位。

在本申请实施例中，所述签名的计算公式如下：

其中，Sign_i为路径中第i个节点的签名，Ki为源端与路径中第i个节点的共享对称密钥，是以密钥Ki加密的伪随机函数，Ri表示路径中第i个节点，src为源地址，dst为目的地址；

所述参考标记字段的计算公式如下：

T＝Sign_k||Sign_k+1||Sign_…||Sign_n，

其中，n表示当前检查点在路径中是第n个节点，SegInfo_n为当前检查点的标记字段，Kn为源端与当前检查点的共享对称密钥，为以密钥Kn的消息验证码，PacketId为数据包标识，Checks为检查点组，T为当前检查点与上一检查点的路径上所有节点的签名的集合，k表示上一个检查点在路径中是第k个节点,Sign_k为上一个检查点的签名，Sign_k+1为路径上第k+1个节点的签名，为以密钥K_SD的消息验证码，K_SD为源端与中间节点及目的端的共享对称密钥，flow是IPv6固定头部中的流标签，src为源地址，dst为目的地址。

需要说明的是，在所述初始化包头信息中，所述检查点组包括标记位，所述标记位的初始值为第一标记值或者第二标记值。