基于SRv6的网络路径验证方法及系统技术方案

本发明专利技术实施例提供一种基于SRv6的网络路径验证方法及系统，该方法包括：根据预设网络路径，获取每个分段路由器的会话密钥和IP地址；根据目标Tag字段和目标Segment List字段，得到初始化后的分段路由头；将初始化后的分段路由头插入到数据包的IP头和TCP头之间，得到目标数据包；根据预设网络路径，获取当前跳分段路由器的IP地址，并根据当前跳分段路由器的IP地址，将目标数据包发送到当前跳分段路由器，以供当前跳分段路由器由器对目标数据包进行网络路径验证。本发明专利技术实施例提供的一种基于SRv6的网络路径验证系统，本发明专利技术实施例节省了包头开销，保护了用户的隐私。

【技术实现步骤摘要】
基于SRv6的网络路径验证方法及系统
本专利技术涉及互联网
，尤其涉及一种基于SRv6的网络路径验证方法及系统。
技术介绍
在互联网中，发送者对网络路径毫不知情，其仅仅需要将目的地址填入数据包然后将包发给路由器即可，网络包在网络中的真实转发路径是由路由器根据路由算法和网络状况来决定的。现有的转发机制虽然保证了互联网的高效运行，但是网络包传输路径未知且不可控，网络传输过程中没有对网络包进行校验，导致现有的转发机制并不能适用于所有的网络场景。尤其是在一些高安全要求的网络传输业务中，需要明确指定网络流的传输路径，并且使路径不可伪造，同时还要保证数据的正确性。一个常见的例子是，公司或者机构购买了云服务器后需要确保自己的业务流按照指定顺序通过一些云上节点，比如，先通过防火墙等安全检测节点后再进入服务器进行进一步处理。通常情况下，并不是网络流路径上所有节点都是被发送方信任的，如何保证自己的网络流在被不可信的节点转发时仍不破坏其原有路径完整性是一个亟需解决的问题。可信的网络路径是因特网的理想属性，已有研究提出了许多基于源路由的新协议包头本文档来自技高网...

【技术保护点】
1.一种基于SRv6的网络路径验证方法，其特征在于，包括：/n根据预设网络路径，获取所述预设网络路径中每个分段路由器的会话密钥和IP地址；/n将分段路由头的Tag字段初始化为路径创建时间，获取目标Tag字段；并根据所述会话密钥，将每个分段路由器节点的安全标识符写入分段路由头的Segment List字段，获取目标Segment List字段，以根据目标Tag字段和所述目标Segment List字段，得到初始化后的分段路由头；/n将所述初始化后的分段路由头插入到数据包的IP头和TCP头之间，得到目标数据包；/n根据所述预设网络路径，获取当前跳分段路由器的IP地址，并根据所述当前跳分段路由器的I...

【技术特征摘要】
1.一种基于SRv6的网络路径验证方法，其特征在于，包括：
根据预设网络路径，获取所述预设网络路径中每个分段路由器的会话密钥和IP地址；
将分段路由头的Tag字段初始化为路径创建时间，获取目标Tag字段；并根据所述会话密钥，将每个分段路由器节点的安全标识符写入分段路由头的SegmentList字段，获取目标SegmentList字段，以根据目标Tag字段和所述目标SegmentList字段，得到初始化后的分段路由头；
将所述初始化后的分段路由头插入到数据包的IP头和TCP头之间，得到目标数据包；
根据所述预设网络路径，获取当前跳分段路由器的IP地址，并根据所述当前跳分段路由器的IP地址，将所述目标数据包发送到所述当前跳分段路由器，以供所述当前跳分段路由器由器根据所述目标Tag字段和目标SegmentList字段对所述目标数据包进行网络路径验证，并将验证通过后的目标数据包发送到下一跳分段路由器。


2.根据权利要求1所述的基于SRv6的网络路径验证方法，其特征在于，所述根据预设网络路径，获取所述预设网络路径中每个分段路由器的会话密钥和IP地址，包括：
根据预设网络路径，获取所述预设网络路径中所有分段路由器的本地密钥和IP地址；
根据每个分段路由器的本地密钥和所述预设网络路径的路径创建时间，获取每个分段路由器的会话密钥。


3.根据权利要求1所述的基于SRv6的网络路径验证方法，其特征在于，所述根据所述会话密钥，将每个分段路由器节点的安全标识符写入分段路由头的SegmentList字段，获取目标SegmentList字段，包括：
根据所述预设网络路径，获取每个分段路由器节点的消息认证码；
根据每个分段路由器节点的会话密钥和消息认证码，按照所述预设网络路径，依次获取每个分段路由器节点的安全标识符，并将每个分段路由器节点的安全标识符写入分段路由头的SegmentList字段，获取目标SegmentList字段。


4.根据权利要求3所述的基于SRv6的网络路径验证方法，其特征在于，所述安全标识符通过以下公式得到：






其中，pktMACii表示第i个分段路由器对应的中间变量，用于防止目标数据包的负载和段列表被篡改；表示第i个分段路由器的会话密钥对应的消息认证码，SL表示临时列表，Payload表示目标数据包的有效负载，||表示字符串拼接操作，SIDi表示第i个分段路由器的安全标识符，IPi+1表示上一跳分段路由器节点的IP地址，IPi-1表示下一跳分段路由器节点的IP地址，T表示路径创建时间，表示抑或操作。


5.一种基于SRv6的网络路径验证方法，其特征在于，包括：
获取目标数据包，所述目标数据包的分段路由头包括Tag字段和SegmentList字段，其中，所述Tag字段为路径创建时间，所述SegmentList字段中包含每个分段路由器节点的安全标识符；
对所述目标数据包的Tag字段进行验证，若所述Tag字段的路径创建时间未过期，则根据当前跳分段路由器的本地密钥和所述...

【专利技术属性】
技术研发人员：李贺武，周江，刘君，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京;11