一种SR报文传输方法、装置及系统制造方法及图纸

本申请实施例公开一种SR报文传输方法、装置及系统，涉及通信领域，实现简单低成本的SR报文转发，降低安全网络的资源消耗和部署难度。该方法具体包括：第一节点设备获取第一SR报文，第一SR报文中一个或多个节点设备的SID为隐藏SID；第一节点设备根据第一SR报文，确定第二节点设备的真实SID；第一节点设备按照第二节点设备的真实SID，向第二节点设备发送第二SR报文，第二SR报文中传输路径上第一跳节点至第三节点设备的SID为隐藏SID，第三节点设备为第一节点设备或者第二节点设备。

【技术实现步骤摘要】
一种SR报文传输方法、装置及系统
本申请实施例涉及通信领域，尤其涉及一种段路由(segmentrouting，SR)报文传输方法、装置及系统。
技术介绍
随着SR技术的普及，基于互联网协议版本6(internetprotocolversion6，IPv6)转发面的SR技术应运而生。基于IPv6转发面的SR称之为IPv6段路由(IPv6segmentrouting，简称SRv6)，是基于源路由理念而设计的在网络上转发IPv6数据包的方法。为了在IPv6报文中实现SRv6转发，在IPv6报文中插入一个路由扩展头(segmentroutingheader，SRH)，用于进行Segment的编程组合形成SRv6路径。图1示意了一种SRv6的报文封装格式，包括IPv6报文头，SRH以及报文负荷。如图1所示，SRH中压入了一个显式的路径信息(段列表segmentlist)，中间节点根据SRH中段索引(segmentleft，SL)的指示，根据显式的路径信息进行逐跳转发，端到端实现隧道可达。但是，由于SRH头中包含有完整的路径信息，攻击者若能在某个节点上获取到SRv6流量报文，通过解析SRH头即可获取路径信息展开网络攻击。互联网协议安全性(internetprotocolsecurity，IPSec)使用加密的安全服务以确保在互联网协议(internetprotocol，IP)网络上进行保密而安全的通讯。但是，若将IPSec应用于SRv6技术，由于IPSec是端到端的加密，中间传输过程是透明的，路由防火墙等基于内容过滤的安全策略将无法存在，且IPSec网络创建维护复杂成本高、路由器资源开销巨大。因此，如何实现简单低成本的SR报文转发，以降低安全网络的资源消耗和部署难度，成为亟待解决的问题。
技术实现思路
本申请提供一种一种SR报文传输方法、装置及系统，实现简单低成本的SR报文转发，降低安全网络的资源消耗和部署难度。为达到上述目的，本申请采用如下技术方案：第一方面，提供一种SR报文传输方法，应用于第一节点设备，该第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备，该方法可以包括：第一节点设备获取第一SR报文，该第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识(segmentID，SID)，第一SR报文中部分或全部SID为隐藏SID，N大于或等于2，小于或等于传输路径上除首节点之外节点设备的数量；第一节点设备根据第一SR报文，确定第二节点设备的真实SID，第二节点设备为第一SR报文包括的SID中第一节点设备的下一跳节点设备；第一节点设备按照第二节点设备的真实SID，向第二节点设备发送第二SR报文，第二SR报文包括该N个节点设备的SID，第二SR报文包括的SID中第一个SID至第三节点设备的SID为隐藏SID，第三节点设备为第一节点设备或者第二节点设备。通过本申请提供的SR报文传输方法，通过在SR报文中携带节点设备的隐藏SID，替代了显示路径信息，攻击者即使获取到SR报文，由于其对隐藏SID无法识别，也就无法获得具体的路径信息，也就进行攻击。在SR报文中携带隐藏SID的方式实现简单、节约资源且成本低，同时提高了SR报文传输的安全性，降低了安全网络的资源消耗和部署难度。其中，第一节点设备可以为传输路径上首节点或中间节点。第二SR报文中除路径信息(可以理解为SID列表部分)之外的其他部分，与第一SR报文中除路径信息之外的其他部分相同。结合第一方面，在一种可能的实现方式中，第一SR报文与第二SR报文包括的SID对应，包括的SID对应的节点相同。结合第一方面，在一种可能的实现方式中，上述N个节点设备为支持SR技术的节点设备。进一步的，第一节点设备可以为支持SR报文的安全传输。结合第一方面或上述任一种可能的实现方式，在一种可能的实现方式中，隐藏SID可以包括下述类型中的一种或多种：指定SID，或者，根据真实SID转译的SID、或者，根据真实SID偏移后的SID。可以根据实际需求配置安全传输模式，不同的安全传输模式中定义不同的隐藏SID类型，以提高方案灵活性。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，指定SID可以为全零。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，根据真实SID转译的SID，可以包括：真实SID叠加安全转译SID，该安全转译SID可以为安全地址池中节点设备的安全标识指示的SID。根据转译关系，可以实现路径溯源，为有路径溯源需求的业务提供了还原机制。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，根据真实SID偏移后的SID，可以包括：真实SID基础上偏移安全偏移值，该安全偏移值包括节点设备的安全标识。根据偏移关系，可以实现路径溯源，为有路径溯源需求的业务提供了还原机制。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，SR报文中不同节点设备的隐藏SID可以为不同类型。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，第一SR报文包括的SID中，第一个SID至第三节点设备的SID为隐藏SID，第二SR报文可以为第一SR报文。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，本申请提供的SR报文传输方法还可以包括：第一节点设备将第一SR报文包括的SID中，第一个SID至第三节点设备的SID中部分或全部SID替换为隐藏SID，得到第二SR报文。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，第一SR报文包括的SID中，第一个SID至第三节点设备的SID的上一个SID为第一类型的隐藏SID，第三节点设备及之后的节点的SID为第二类型的隐藏SID，第一节点设备将第一SR报文包括的SID中，第一个SID至第三节点设备的SID中部分或全部SID替换为隐藏SID，具体可以实现为：第一节点设备可以将第一SR报文中第三节点设备的SID替换为第一类型的隐藏SID。第一类型与第二类型不同。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，第一SR报文包括的SID中，第一个SID至第三节点设备的SID的上一个SID为第三类型的隐藏SID，第一SR报文包括SID中，第三节点设备及之后的节点的SID为真实SID，第一节点设备将第一SR报文包括的SID中，第一个SID至第三节点设备的SID中部分或全部SID替换为隐藏SID，具体可以实现为：第一节点设备可以将第一SR报文中第三节点设备的SID替换为第三类型的隐藏SID。结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，隐藏SID包括根据真实SID偏移后的SID，第一SR报文中第二节点设备的SID为隐藏SID，第一节点设备根据第一SR报文，确定第二节点设备的真实SID，具体可以实现为：第一节点设备在第二节点设备的隐藏SID上，反偏移第二节点设备的安全偏移值，得到第二节点设本文档来自技高网...

【技术保护点】
1.一种段路由SR报文传输方法，其特征在于，应用于第一节点设备，所述第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备，所述方法包括：/n所述第一节点设备获取第一SR报文，所述第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识SID，所述第一SR报文中部分或全部SID为隐藏SID，所述N大于或等于2，小于或等于所述传输路径上除所述首节点之外节点设备的数量；/n所述第一节点设备根据所述第一SR报文，确定第二节点设备的真实SID，所述第二节点设备为所述第一SR报文包括的SID中所述第一节点设备的下一跳节点设备；/n所述第一节点设备按照所述第二节点设备的真实SID，向所述第二节点设备发送第二SR报文，所述第二SR报文包括所述N个节点设备的SID，所述第二SR报文包括的SID中第一个SID至第三节点设备的SID为隐藏SID，所述第三节点设备为所述第一节点设备或者所述第二节点设备。/n

【技术特征摘要】
1.一种段路由SR报文传输方法，其特征在于，应用于第一节点设备，所述第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备，所述方法包括：
所述第一节点设备获取第一SR报文，所述第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识SID，所述第一SR报文中部分或全部SID为隐藏SID，所述N大于或等于2，小于或等于所述传输路径上除所述首节点之外节点设备的数量；
所述第一节点设备根据所述第一SR报文，确定第二节点设备的真实SID，所述第二节点设备为所述第一SR报文包括的SID中所述第一节点设备的下一跳节点设备；
所述第一节点设备按照所述第二节点设备的真实SID，向所述第二节点设备发送第二SR报文，所述第二SR报文包括所述N个节点设备的SID，所述第二SR报文包括的SID中第一个SID至第三节点设备的SID为隐藏SID，所述第三节点设备为所述第一节点设备或者所述第二节点设备。


2.根据权利要求1所述的方法，其特征在于，所述隐藏SID包括下述类型中的一种或多种：
指定SID，或者，根据真实SID转译的SID、或者，根据真实SID偏移后的SID。


3.根据权利要求2所述的方法，其特征在于，
所述根据真实SID转译的SID，包括：真实SID叠加安全转译SID，所述安全转译SID包括安全地址池中节点设备的安全标识指示的SID；
所述根据真实SID偏移后的SID，包括：真实SID基础上偏移安全偏移值，所述安全偏移值包括节点设备的安全标识。


4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：
所述第一节点设备将所述第一SR报文包括的SID中，第一个SID至所述第三节点设备的SID中部分或全部SID替换为隐藏SID，得到所述第二SR报文。


5.根据权利要求1-4任一项所述的方法，其特征在于，所述隐藏SID包括根据真实SID偏移后的SID，所述第一SR报文中所述第二节点设备的SID为隐藏SID，所述第一节点设备根据所述第一SR报文，确定第二节点设备的真实SID，包括：
所述第一节点设备在所述第二节点设备的隐藏SID上，反偏移所述第二节点设备的安全偏移值，得到所述第二节点设备的真实SID。


6.根据权利要求1-5任一项所述的方法，其特征在于，所述第一SR报文包括安全传输标志位，所述第二SR报文包括所述安全传输标志位，所述安全传输标志位用于指示报文进行安全传输。


7.根据权利要求6所述的方法，其特征在于，所述安全传输标志位包括：
报文头中的比特位，或者，位于栈底的安全SID。


8.根据权利要求1-7任一项所述的方法，其特征在于，所述方法还包括：
在所述第一节点设备根据所述第一SR报文，确定第二节点设备的真实SID之前，所述第一节点设备将所述第一SR报文解密；
在所述第一节点设备按照所述第二节点设备的真实SID，向所述第二节点设备发送第二SR报文之前，所述第一节点设备将所述第二SR报文加密。


9.根据权利要求1-8任一项所述的方法，其特征在于，所述方法还包括：
所述第一节点设备从第四节点设备接收泛洪报文，所述泛洪报文包括指示所述第四节点设备支持安全传输的能力信息和/或所述第四节点设备的安全标识；
其中，所述第四节点设备为网络中所述第一节点设备之外的支持安全传输的任一节点设备。


10.根据权利要求9所述的方法，其特征在于，所述泛洪报文还包括下述信息中一项或多项：
所述第四节点设备的安全SID，或，安全模式指示信息，或，鉴权模式信息；
其中，安全模式指示信息用于指示安全传输的模式；所述鉴权模式信息用于指示SR报文的加密方式。


11.根据权利要求9或10所述的方法，其特征在于，所述第一节点设备从第四节点设备接收泛洪报文，包括：
所述第一节点设备采用中间系统到中间系统ISIS协议或者开放最短路径优先OSFP协议，从所述第四节点设备接收所述泛洪报文。


12.根据权利要求1-8任一项所述的方法，其特征在于，所述方法还包括：
所述第一节点设备向控制器发送能力报文，所述能力报文包括指示所述第一节点设备支持安全传输的能力信息及所述第一节点设备的安全标识。


13.根据权利要求12所述的方法，其特征在于，所述能力报文还包括下述信息中一项或多项：
协议指示信息，或者，鉴权模式信息；
其中，协议指示信息用于指示节点设备间通信的协议类型；所述鉴权模式信息用于指示SR报文加密方式。


14.一种段路由SR报文传输装置，其特征在于，所述装置部署于第一节点设备，所述第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备，所述装置包括：
获取单元，用于获取第一SR报文，所述第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识SID，所述第一SR报文中部分或全部SID为隐藏SID，所述N大于或...

【专利技术属性】
技术研发人员：邰博，吕金生，张耀坤，尹伟，李呈，薛奇，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44