[发明专利]通信方法及装置

说明书

本发明公开了一种通信方法及装置，其中通信方法包括：网络设备接收SDN控制器下发的SID认证信息库；网络设备提取LSDB中的路由信息和设备标识；根据路由信息在SID认证信息库中查找是否存在对应的路由，当找到对应的认证信息且设备标识是相同时，生成前缀路由表；提取LSDB中SID信息，将路由信息和SID信息的组合，在SID认证信息库中查找是否存在对应的路由和SID值，当找到对应的认证信息且设备标识是相同时，生成MPLS标签表；本发明通过在控制器侧实现SID认证信息的集中管理和下发，定义了认证信息所包含的字段和内容，并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。

技术领域

本发明涉及网络通信领域，特别涉及一种SR网络中通信方法及装置。

背景技术

由于SID信息通过IGP协议的扩展进行泛洪和学习，因此SR域内的路由器节点会学习到SR域内所有节点产生的Prefix-SID、Node-SID和Adjacency-SID。SR域中任何一个设备新接入了未授信的设备，并使能IGP for SR，会导致SR网络拓扑和Prefix-SID、Node-SID和Adjacency-SID泄露给未授信的设备；此外，部分网络设备可能被攻击者攻破，或者存在后门，此时攻击者就可以收集到SR域内各节点生成的Prefix-SID、Node-SID和Adjacency-SID。在SR域内网络中，如果SID信息被攻击者恶意使用，可以构造控制面的SID欺骗，导致业务流程异常甚至中断。

参照图1，在SR网络域中，各节点按照网络拓扑关系，通过IGP for SR实现控制面的协商和业务表项生成，某业务正常流量路径为1-2-3-6；节点7作为SR域的未授信设备，或者节点7被攻击者管理面攻破、或者节点7存在恶意后门程序时，由于节点7和节点3之间存在IGP for SR的协议邻居，因此节点7可以获取整个SR网络域的拓扑信息以及各节点和链路的SID信息；节点7了解到节点3邻居节点6的SID为6，故意构造重复的SID信息6，通过IGPfor SR的协议扩展，攻击节点7将Node-SID 6通告给节点3；节点3接收到重复的Node-SID6，路径3-6的metric等于50，而路径3-7的metric等于20，进行择优排序时优选metric低的路径，因此Node-SID 6生成的MPLS标签表的下一跳为设备7；此后经过设备3的SR MPLS数据包，当MPLS栈顶标签为对应Node-SID 6的标签时，原来预计转发到节点6的流量，将被转发到节点7，流量路径变为1-2-3-7，流量被恶意牵引，导致业务中断或被窃取信息。

上述场景描述的攻击节点，通过正常的IGP for SR扩展来通告路由前缀和SID信息，协议泛洪和协议选路层面完全符合协议的标准和规范，从单个节点看路由表项和MPLS表项等信息也完全正确；但是从整个SR网络域看，业务流量已经被影响，严重影响到了SR网络域内业务的安全。控制面IGP for SR协议的认证、加密，能保证两两节点之间协议通道的安全，防止协议信息被窃取，以及防止被攻击者伪造协议报文进行攻击；无法保证通过IGPfor SR通告的SID信息是否合法和正确可信。

发明内容

为了解决上述问题，本发明提供一种能够解决SR域的未授信设备接入、设备管理面被攻破、存在恶意后门程序等情况下的安全问题，保证了SR域内通过IGP for SR扩散的信息是安全和可信的，提升分段路由功能的完整性的通信方法及装置。

为了实现上述目的，本发明一方面提供一种通信方法，应用于SR网络，包括：

网络设备接收SDN控制器下发的SID认证信息库；所述SID认证信息库包括注册的网络设备的SID值、路由前缀、以及设备标识；

网络设备提取LSDB中的路由信息和设备标识；

根据路由信息在SID认证信息库中查找是否存在对应的路由，当找到对应的认证信息且设备标识是相同时，生成前缀路由表；