CN105847034B - 源验证和路径认证方法及装置 - Google Patents

源验证和路径认证方法及装置 Download PDF

Info

Publication number
CN105847034B
CN105847034B CN201610151004.9A CN201610151004A CN105847034B CN 105847034 B CN105847034 B CN 105847034B CN 201610151004 A CN201610151004 A CN 201610151004A CN 105847034 B CN105847034 B CN 105847034B
Authority
CN
China
Prior art keywords
data packet
destination
source
avf
flowid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610151004.9A
Other languages
English (en)
Other versions
CN105847034A (zh
Inventor
徐恪
吴波
沈蒙
吴建平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201610151004.9A priority Critical patent/CN105847034B/zh
Publication of CN105847034A publication Critical patent/CN105847034A/zh
Application granted granted Critical
Publication of CN105847034B publication Critical patent/CN105847034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/20Hop count for routing purposes, e.g. TTL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种源验证和路径认证方法及装置,其中该方法包括:源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;源端对数据包的头部进行初始化;数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;目的端根据数据包头部的标记,对数据和源地址进行验证;目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径;目的端利用验证与定位机制对路径进行验证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。

Description

源验证和路径认证方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种源验证和路径认证方法。
背景技术
网络安全一直备受关注,网络系统的脆弱性导致网络攻击事件时有发生,尤其当前网络系统中缺少安全、可部署的源验证和路径认证,使得流重定向、路径不一致、DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、源地址哄骗等恶意攻击数见不鲜。
源验证指的是确保接收到的数据包的源地址确实是源端的地址,在数据包传输过程中没有被恶意修改。然而当前网络不支持源地址验证,因为网络始终相信数据包中源地址确实是发送端的地址;若攻击者修改了数据包中的源地址并发送大量数据包,这会使得目的端可能不再接收该源地址所对应的可信终端发送的任何数据包,也可能使得目的端不堪繁重的处理任务而奔溃。路径认证是验证收到的数据包的实际路径的正确性,当前数据包的传输路径以及对应的路由节点都是有网络决定的,数据包路径的改变会增加网络的传输开销、降低网络系统的效率。错误的路径可能使得数据包经过恶意路由节点,导致隐私信息的泄露等各种安全事故。
与此同时,从商业角度来讲,用户、企业及服务提供商可能会有一定偏好,他们更希望自己收发的数据包一定经过(或不经过)某个AS(或中间路由器),所以他们更希望验证数据包的实际路径,并能根据验证结果采取相应的措施来解决源和路径带来的问题。
当前,有很多关于源地址验证和路径认证的研究,但遗憾的是,没有一种方法能够同时兼顾数据包复杂度和路由器开销。
发明内容
本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
为此,本发明的第一个目的在于提出一种源验证和路径认证方法,该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
本发明的第二个目的在于提出一种源验证和路径认证装置。
为达上述目的,本发明第一方面实施例提出了一种源验证和路径认证方法,包括以下步骤:源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;所述源端对数据包的头部进行初始化;所述数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在所述数据包的头部进行标记;所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证;所述目的端根据所述数据包的头部的标记,利用路径恢复机制得到所述数据包实际走过的路径;所述目的端利用验证与定位机制对所述路径进行验证,并实现错误定位。
根据本发明实施例的源验证和路径认证方法,首先源端和目的端实现共享密钥和数据流标识的配送,接着源端对数据包的头部进行初始化,然后数据包在传输过程中每一跳路由器利用随机标记机制以概率P的大小对数据包头部进行标记,其次目的端根据收到的数据包头部的标记,对数据和源地址进行验证,然后目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径,最后目的端利用验证与定位机制对路径进行验证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
在本发明的一个实例中,所述源端和目的端通过密钥交换技术实现共享密钥的配送和数据流标识的发送具体包括:所述源端与所述目的端利用Diffie-Hellman密钥交换技术完成所述共享密钥的配送;所述源端向所述目的端发送包含源地址src和所述数据流标识FlowID的对应关系,即<src,FlowID>的消息。其中,FlowID=H(src_add||src_port||des_port||protocol||KSD),所述FlowID为数据流的唯一标识,其中,src_add为所述数据包的源地址,src_port为所述数据包的源端口,des_port为所述数据包的目的地址,protocol为所述数据包的目的端口,KSD为所述共享密钥。
在本发明的一个实施例中,所述源端对数据包的头部进行初始化具体包括:在所述数据包的TCP头部和IP头部之间增加PRM头部,所述PRM头部包括:PacketID、Time、FlowID和AVFS,其中,PacketID=H(DataHash||TimePoint||KSD,所述PacketID为所述数据包的唯一标识,其中,DataHash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;Time=TimePoint⊕H(KSD),所述Time为所述数据包的时间标签,其中,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;所述AVFS为源端自身标识,其中,src_add为所述数据包的源地址,FlowID为数据流的唯一标识,KSD为所述共享密钥。
在本发明的一个实施例中,所述数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在所述数据包的头部进行标记具体包括:通过AVFi=MACki(src_add||FlowID)作为所述数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki=H(LSI||FlowID)得到,LSI为路由器的隐私信息,src_add为所述数据包的源地址,FlowID为数据流的唯一标识。
在本发明的一个实施例中,所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证具体包括:所述目的端根据接收到数据包头的PacketID与目的端计算得到的PacketID'进行对比,以此进行数据验证,PacketID=PacketID',所述数据包中数据正确,执行源验证:所述FlowID≠FlowID',所述数据包中数据错误,丢弃数据包;所述数据验证正确,所述目的端根据接收到所述数据包的头部的AVFS与所述目的端计算得到的AVF'S进行对比以进行源验证:AVFS=AVF'S,所述数据包中源地址正确;AVFS≠AVF'S,所述数据包中源地址错误。
在本发明的一个实施例中,所述目的端根据所述数据包的头部的标记,利用路径恢复机制得到数据包实际走过的路径,具体包括:所述目的端根据接收到所述数据包头部的FlowID进行分类得到FlowID相同的数据包;所述目的端读取所述FlowID相同的数据包的头部的各个AVFi标记,并建立AVFi与正整数UID的对应表;所述目的端根据每个数据包中各个AVFi标记以及所述对应表,得到每个数据包对应的正整数序列UIDS;所述目的端根据得到的多个UIDS利用拓扑排序的方法进行排序,最终得到包含所有UID的顺序序列UIDSF。
在本发明的一个实施例中,所述目的端利用验证与定位机制对所述路径进行验证,并实现错误定位具体包括:所述目的端获得数据包的期望路径PATHp,以及所述期望路径上所有路由节点的共享密钥Ki;所述目的端根据PATHp、Ki,以及AVFi与正整数UID的对应表,得到期望的UIDSF’;UIDSF=UIDSF',所述数据包的源和路径均正确;所述UIDSF≠UIDSF',且第一个对应位置不相等元素为UIDSFt≠UIDSF't,确定路由器Rt-1修改了源地址或下一跳信息,定位到错误的路由节点,其中,t为路由节点的位置。
为达上述目的,本发明第二方面实施例提出了一种源验证和路径认证装置,包括:配送模块,用于源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;初始化模块,用于所述源端对数据包的头部进行初始化;路由器随机标记机制模块,用于数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;数据和源验证模块,用于所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证;路径恢复机制模块,用于所述目的端根据所述数据包的头部的标记,利用路径恢复机制得到所述数据包实际走过的路径;路径验证与错误定位机制模块,用于所述目的端利用验证与定位机制对所述路径进行验证,并实现错误定位。
根据本发明实施例的源验证和路径认证装置,配送模块首先完成源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;然后初始化模块对对数据包的头部进行初始化;接着数据包在网络系统传输过程中,路由器随机标记机制模块使得每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;然后数据和源验证模块使得目的端根据数据包头部的标记,对数据和源地址进行验证;路径恢复机制模块根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径;最后路径验证与错误定位机制模块利用验证与定位机制对路径进行验证,并实现错误定位。该装置能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
在本发明的一个实施例中,所述配送模块具体用于:所述源端与所述目的端利用Diffie-Hellman密钥交换技术完成所述共享密钥的配送;所述源端向所述目的端发送包含源地址src和数据流标识FlowID的对应关系,即<src,FlowID>的消息,其中,FlowID=H(src_add||src_port||des_port||protocol||KSD),所述FlowID为数据流的唯一标识,其中,src_add为所述数据包的源地址,src_port为所述数据包的源端口,des_port为所述数据包的目的地址,protocol为所述数据包的目的端口,KSD为所述共享密钥。
在本发明的一个实施例中,所述初始化模块具体用于:在所述数据包的TCP头部和IP头部之间增加PRM(Path Reconstruction Mechanism,路径恢复机制)头部,所述PRM头部包括:PacketID、Time、FlowID和AVFS,其中,PacketID=H(DataHash||TimePoint||KSD,所述PacketID为所述数据包的唯一标识,其中,DataHash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;Time=TimePoint⊕H(KSD),所述Time为所述数据包的时间标签,其中,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;所述AVFS为源端自身标识,其中,src_add为所述数据包的源地址,FlowID为数据流的唯一标识,KSD为所述共享密钥。
在本发明的一个实施例中,所述路由器随机标记机制模块具体用于:通过作为所述数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki=H(LSI||FlowID)得到,LSI为路由器的隐私信息,src_add为所述数据包的源地址,FlowID为数据流的唯一标识。
在本发明的一个实施例中,所述数据和源验证模块具体用于:所述目的端根据接收到所述数据包的头部的PacketID与所述目的端计算得到的PacketID'进行对比以进行数据验证:PacketID=PacketID',所述数据包中数据正确,执行源验证;FlowID≠FlowID',所述数据包中数据错误,丢弃数据包;确定所述数据验证通过,所述目的端根据接收到所述数据包的头部的AVFS与所述目的端计算得到的AVF'S进行对比以进行源验证:AVFS=AVF'S,所述数据包中源地址正确;AVFS≠AVF'S,所述数据包中源地址错误。
在本发明的一个实施例中,所述路径恢复机制模块具体用于:所述目的端根据接收到所述数据包头部的FlowID进行分类得到FlowID相同的数据包;所述目的端读取所述FlowID相同的数据包的头部的各个AVFi标记,并建立AVFi与正整数UID的对应表;所述目的端根据每个数据包中各个AVFi标记以及所述对应表,得到所述每个数据包对应的正整数序列UIDS;所述目的端根据得到的多个UIDS利用拓扑排序的方法进行排序,最终得到包含所有UID的顺序序列UIDSF。
在本发明的一个实施例中,所述路径验证与错误定位机制模块具体用于:所述目的端获得数据包的期望路径PATHp,以及所述期望路径上所有路由节点的共享密钥Ki;所述目的端根据PATHp、Ki,以及AVFi与正整数UID的对应表,得到期望的UIDSF’;UIDSF=UIDSF',数据包的源和路径均正确;UIDSF≠UIDSF',且第一个对应位置不相等元素为UIDSFt≠UIDSF't,确定路由器Rt-1修改了源地址或下一跳信息,此定位到错误的路由节点,其中,t为路由节点的位置。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1为根据本发明一个实施例的源验证和路径认证方法的流程图;
图2为根据本发明一个实施例的初始化后的数据包PRM头部示意图;
图3为根据本发明一个实施例的网络结构示意图;
图4为根据本发明一个实施例的数据包转发过程中PRM头部的一种情况;
图5为根据本发明一个实施例的目的端对应表的建立与更新过程;
图6为根据本发明一个实施例的到达目的端数据包1的PRM头部示意图;
图7根据本发明一个实施例的到达目的端数据包2的PRM头部示意图;
图8为根据本发明一个实施例的到达目的端数据包3的PRM头部示意图;
图9为根据本发明一个实施例的到达目的端数据包4的PRM头部示意图;
图10为根据本发明一个实施例的到达目的端数据包5的PRM头部示意图;
图11为根据本发明一个具体实施例的源验证和路径认证方法的流程图;
图12为根据本发明一个实施例的源验证和路径认证装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
在相关技术下,很多研究都是针对源验证或路径验证问题,以及同时解决源验证和路径验证这两个问题,这其中都没有同时兼顾到数据包头部复杂度和路由器存储、计算开销的问题。原因在于这些研究都是使得路由器以不同形式在数据包头部做标记,而随着路径上路由节点数量的增加,数据包头部携带的标记数量会越来越多,这在数据包转发过程中,巨大数量的标记使得数据包“沉重不堪”,头部复杂度也大大增加,影响网络的吞吐量和效率;同时,这些研究都使得路径上每个路由器在接收到的数据包头部做标记以及进行必要的源、路径验证,这都需要一定的计算、存储开销。本发明利用路由器“随机标记”的机制,减少了数据包头部的标记数量,减少了数据包头部的复杂度,提高了网络吞吐量和效率;同时,减少了路由器“做标记”行为,并将源、路径验证转移至目的端,极大地缓解了路由器计算、存储开销,使得路由器具备更加轻量级的开销。
相关一些技术用路由器的哈希计算值替代自身签名的方法降低了数据包复杂度和路由器开销,但哈希计算具备单向性,不能够准确定位出现问题的路由节点。本发明利用路径恢复机制能够较为准确地定位源地址修改或路径改变的路由节点位置,对提升整个网络系统的安全具有重要意义。
下面参考附图描述本发明实施例的源验证和路径认证方法及装置。
图1为根据本发明一个实施例的源验证和路径认证方法的流程图。
如图1所示,该源验证和路径认证方法可以包括:
S1,源端和目的端通过密钥交换技术实现共享密钥的配送以及数据流标识的发送。
具体地,源端通过密钥交换技术发送共享密钥给目的端。
需要说明的是,密钥交换技术可以为Diffie-Hellman密钥交换技术。
源端利用共享密钥对源地址src和数据流标识FlowID进行加密,并发送至目的端。即在发送数据包之前,源向目的端发送包含源地址src和数据流标识FlowID的对应关系,即<src,FlowID>的消息。其中,FlowID=H(src_add||src_port||des_port||protocol||KSD),所述FlowID为数据流的唯一标识,其中,src_add为所述数据包的源地址,src_port为所述数据包的源端口,des_port为所述数据包的目的地址,protocol为所述数据包的目的端口,KSD为所述共享密钥;
S2,源端通过共享密钥对数据包的头部进行初始化。
具体地,在本发明的一个实施例中,在所述数据包的TCP头部和IP头部之间增加PRM头部,所述PRM头部包括:PacketID、Time、FlowID和AVFS,其中,PacketID=H(DataHash||TimePoint||KSD),所述PacketID为所述数据包的唯一标识,其中,DataHash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;Time=TimePoint⊕H(KSD),所述Time为所述数据包的时间标签,其中,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;所述AVFS为源端自身标识,其中,src_add为所述数据包的源地址,FlowID为数据流的唯一标识,KSD为所述共享密钥。
为了使得本领域技术人员能够更加清楚地了解本发明初始化的具体实现,结合图2进行具体说明,如图2所示,源端在获得与目的端的共享密钥之后,对数据包头部做的预处理操作,具体在TCP头部和IP头部之间增加了PRM头部,PRM头部包含四部分:PacketID、Time、FlowID、AVFs
S3,数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记。
具体地,在本发明的一个实施例中,通过Ri自身密钥Ki对数据包中源地址和流标识FlowID求得的MAC值,AVFi=MACki(src_add||FlowID)作为数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki=H(LSI||FlowID)得到,LSI(Local Secret Information)为路由器的隐私信息,src_add为数据包的源地址,FlowID为数据流的唯一标识。
可以理解的是,数据包进行初始化后进入网络系统传输,网络结构可以如图3所示。
需要说明的是,不同路由器的LSI不同。
需要说明的是,概率P可以根据需要进行事先设定,概率P的大小直接影响到目的端恢复实际路径的难易程度,概率P越大,PRM头部的标记就越多,路径恢复越容易。另一方面,概率P的大小也会影响数据包的负载和路由器的开销。
为了使得本领域技术人员能够更加清楚地了解本发明路由器随机标记机制,结合图4进行具体说明。图4表示数据包从源端到目的端转发的过程中,路由器一种可能的标记情况。
S4,目的端根据数据包头部的标记,对数据和源地址进行验证。
具体地,在本发明的实施例中,目的端根据接收到数据包头的PacketID与目的端计算得到的PacketID'进行对比,以此进行数据验证。PacketID=PacketID',数据包中数据正确,执行源验证;FlowID≠FlowID',数据包中数据错误,丢弃数据包。如果数据验证通过,所述目的端根据接收到数据包头的AVFS与目的端计算得到的AVF'S进行对比,以此进行源验证。AVFS=AVF'S,数据包中源地址正确;AVFS≠AVF'S,数据包中源地址错误。
S5,目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径(实际路径)。
具体地,在本发明的实施例中,目的端根据接收到所述数据包头部的FlowID进行分类得到FlowID相同的数据包;目的端读取所述FlowID相同的数据包的头部的各个AVFi标记,并建立AVFi与正整数UID的对应表(Corresponding Table,CT);目的端根据每个数据包中各个AVFi标记以及CT,得到每个数据包对应的正整数序列UIDS;目的端根据得到的多个UIDS并利用拓扑排序的方法对DAG中的UID进行排序,最终得到包含所有UID顺序的序列UIDSF。
需要说明的是,正整数记为UID,正整数序列记为UIDS,包含所有UID顺序的序列记为UIDSF。
为了使得本领域技术人员能够更加清楚地了解本发明对应表CT的建立与更新过程,结合图5进行具体说明。如图5所示,目的端每收到一个数据包(RP),都会更新对应表(CT)中AVFi与正整数UID的对应关系。
S6,目的端利用验证与定位机制对路径进行验证,并实现错误定位。
具体地,在本发明的实施例中,目的端利用现有技术获得数据包的期望路径PATHp,以及该路径上所有路由节点的共享密钥Ki;目的端根据PATHp、Ki,以及CT,得到期望的UIDSF’;UIDSF=UIDSF',数据包的源和路径均正确;UIDSF≠UIDSF',且第一个对应位置不相等元素为UIDSFt≠UIDSF't,则路由器Rt-1修改了源地址或下一跳信息(实际路径),即实现错误定位功能。
根据本发明实施例的源验证和路径认证方法,首先源端和目的端实现共享密钥和数据流标识的配送,接着源端对数据包的头部进行初始化,然后数据包在传输过程中每一跳路由器利用随机标记机制以概率P的大小对数据包头部进行标记,其次目的端根据收到的数据包头部的标记,对数据和源地址进行验证,然后目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径,最后目的端利用验证与定位机制对路径进行验证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
为了使得本领域技术人员能够更加清楚地了解本发明目的端接收数据包头部PRM结构和对应表(CT)的建立的具体实现过程,下面结合图6至图9将针对数据包1-4分别进行描述。
当数据包1到达目的端时,数据包的PRM的结构如图6所示,目的端分别计算PacketID'和AVF'S用于数据和源验证。目的端根据数据包1的PRM头部信息建立AVFi与UID的映射关系,此时映射表如表1所示:
表1数据包1到达后AVF与UID的映射表
此时,UID序列为Q1=<1,2>,Qfinal=<1,2>,AVF序列AVFfinal=<AVF2,AVF4>。
当数据包2到达目的端时,其PRM的结构如图7所示。目的端分别计算PacketID'和AVF'S用于数据和源验证。目的端根据数据包2的PRM头部信息更新AVFi与UID的映射关系,如表2所示:
表2数据包2到达后AVF与UID的映射表
此时,UID序列为Q1=<1,2>、Q2=<1,3>,Qfinal=<1,2(3)>,AVF序列为AVFfinal=<AVF2,AVF4(AVF3)>。其中,括号代表与括号内部与外部暂时无法比较相对位置。
当数据包3到达目的端时,其PRM的结构如图8所示。目的端分别计算PacketID'和AVF'S用于数据和源验证。目的端根据数据包3的PRM头部信息更新AVFi与UID的映射关系,如表3所示:
表3数据包3到达后AVF与UID的映射表
此时,UID序列为Q1=<1,2>、Q2=<1,3>、Q3=<4,1>,Qfinal=<4,1,2(3)>,AVF序列为AVFfinal=<AVF1,AVF2,AVF4(AVF3)>。
当数据包4到达目的端时,其PRM的结构如图9所示。目的端分别计算PacketID'和AVF'S用于数据和源验证。目的端根据数据包4的PRM头部信息更新AVFi与UID的映射关系,如表4所示:
表4数据包4到达后AVF与UID的映射表
此时,UID序列为Q1=<1,2>、Q2=<1,3>、Q3=<4,1>、Q4=<3,2>,Qfinal=<4,1,3,2>,AVF序列为AVFfinal=<AVF1,AVF2,AVF3,AVF4>。
目的端通过现有方法(如SCION、Pathlet routing等)获得数据包的期望路径PATH'=<R1,R2,R3,R4>,并利用现有技术(如Diffie-Hellman密钥交换)获得期望路径PATH'上每个路由节点Ri的密钥K1、K2、K3、K4。利用求得AVF'1、AVF'2、AVF'3、AVF'4,即AVF'final=<AVF'1,AVF'2,AVF'3,AVF'4>。经比较,AVFfinal=AVF'final,说明数据包的源地址没有修改、路径没有变化,目的端可以接受此数据流。
目的端后期也会收到连续不断的数据包,如图10所示。此时,UID序列为Q5=<4,3>符合Qfinal=<4,1,3,2>中元素的相对位置关系,故目的端可以接受该数据包。
从举例而言,路由器的随机标记机制使得每个数据包PRM头部只有2个AVF值,而如果所有路由器在数据包PRM头部做标记,那么每个数据包PRM头部有4个AVF值。相比之下,数据包PRM头部的长度明显变小,复杂度明显降低,这在一定程度上提高了网络吞吐率和效率。路由器的随机标记机制使得数据包到达目的端时仅有2个路由器在PRM头部标记,减少了路由器的计算开销。同时,也使得路由器很大程度上得以“解放”,开销也随之降低。在目的端,利用排序方法进行路径恢复操作,得到数据包的实际路径,并于期望路径进行对比,能够很准确的验证源地址与路径信息,提升了整个网络系统的安全与可信。同时,目的端还能根据恢复的实际路径较为准确地定位到源地址及路径改变的具体位置,为企业、供应商纠正问题节点,改善网络系统具有重要意义。
图11为根据本发明一个具体实施例的源验证和路径认证方法的流程图。
源端和目的端共享密钥以及传送数据流标识(S1101)。然后源端对数据包PRM头部进行预处理(S1102)。每一跳路由器利用随机标记机制以概率P的大小随机地在所述数据包的头部进行标记(S1103)。目的端根据数据包头部的标记,对数据和源地址进行验证(S1104)。目的端根据数据包头部的标记,利用路径恢复机制得到数据包转发过程的实际路径UIDSF和期望路径UIDSF’(S1105)。比较实际路径UIDSF和期望路径UIDSF’(S1106)。若两者相等,源验证和路径认证通过,接收数据包(S1107)。若两者不相等,源验证和路径认证不通过,丢弃数据流和错误定位(S1108)。
根据本发明实施例的源验证和路径认证方法,首先源端和目的端实现共享密钥和数据流标识的配送,接着源端对数据包的头部进行初始化,然后数据包在传输过程中每一跳路由器利用随机标记机制以概率P的大小对数据包头部进行标记,其次目的端根据收到的数据包头部的标记,对数据和源地址进行验证,然后目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径,最后目的端利用验证与定位机制对路径进行验证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
与上述实施例提供的源验证和路径认证方法相对应,本发明的一种实施例还提供一种源验证和路径认证装置,由于本发明实施例提供的源验证和路径认证装置与上述实施例提供的源验证和路径认证方法相对应,因此在前述源验证和路径认证方法的实施方式也适用于本实施例提供的源验证和路径认证装置,在本实施例中不再详细描述。图12为根据本发明一个实施例的源验证和路径认证装置的结构示意图。如图12所示,该装置可以包括:配送模块10、初始化模块20、路由器随机标记机制模块30、数据和源验证模块40、路径恢复机制模块50和路径验证与错误定位机制模块60。
其中,配送模块,用于源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;初始化模块,用于所述源端对数据包的头部进行初始化;路由器随机标记机制模块,用于数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;数据和源验证模块,用于目的端根据数据包头部的标记,对数据和源地址进行验证;路径恢复机制模块,用于目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径;路径验证与错误定位机制模块,用于所述目的端利用验证与定位机制对路径进行验证,并实现错误定位。
在本发明的一个实施例中,所述配送模块10具体用于:在发送数据包之前,源向目的端发送包含源地址src和数据流标识FlowID的对应关系,即<src,FlowID>的消息。其中,FlowID=H(src_add||src_port||des_port||protocol||KSD),所述FlowID为数据流的唯一标识,其中,src_add为所述数据包的源地址,src_port为所述数据包的源端口,des_port为所述数据包的目的地址,protocol为所述数据包的目的端口,KSD为所述共享密钥。
在本发明的一个实施例中,所述初始化模块20具体用于:在所述数据包的TCP头部和IP头部之间增加PRM(Path Reconstruction Mechanism,路径恢复机制)头部,所述PRM头部包括:PacketID、Time、FlowID和AVFS,其中,PacketID=H(DataHash||TimePoint||KSD,所述PacketID为所述数据包的唯一标识,其中,DataHash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;Time=TimePoint⊕H(KSD),所述Time为所述数据包的时间标签,其中,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;所述AVFS为源端自身标识,其中,src_add为所述数据包的源地址,FlowID为数据流的唯一标识,KSD为所述共享密钥。
在本发明的一个实施例中,所述路由器随机标记机制模块30具体用于:通过作为所述数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki=H(LSI||FlowID)得到,LSI为路由器的隐私信息,src_add为所述数据包的源地址,FlowID为数据流的唯一标识。
在本发明的一个实施例中,所述数据和源验证模块40具体用于:所述目的端根据接收到数据包头的PacketID与目的端计算得到的PacketID'进行对比,以此进行数据验证。所述PacketID=PacketID',数据包中数据正确,执行源验证;所述FlowID≠FlowID',数据包中数据错误,丢弃数据包。如果数据验证通过,所述目的端根据接收到数据包头的AVFS与目的端计算得到的AVF'S进行对比,以此进行源验证。所述AVFS=AVF'S,数据包中源地址正确;所述AVFS≠AVF'S,数据包中源地址错误。
在本发明的一个实施例中,所述路径恢复机制模块50具体用于:所述目的端根据接收到所述数据包头部的FlowID进行分类得到FlowID相同的数据包;所述目的端读取所述FlowID相同的数据包的头部的各个AVFi标记,并建立AVFi与正整数UID的对应表(Corresponding Table,CT);所述目的端根据每个数据包中各个AVFi标记以及CT,得到每个数据包对应的正整数序列UIDS;所述目的端根据得到的多个UIDS利用拓扑排序的方法对DAG中的UID进行排序,最终得到包含所有UID的顺序序列UIDSF。
在本发明的一个实施例中,所述路径验证与错误定位机制模块60具体用于:所述目的端利用现有技术获得数据包的期望路径PATHp,以及该路径上所有路由节点的共享密钥Ki;所述目的端根据PATHp、Ki,以及CT,得到期望的UIDSF’;所述UIDSF=UIDSF',数据包的源和路径均正确;所述UIDSF≠UIDSF',且第一个对应位置不相等元素为UIDSFt≠UIDSF't,则路由器Rt-1修改了源地址或下一跳信息(实际路径),以此定位到错误的路由节点。
根据本发明实施例的源验证和路径认证装置,配送模块首先完成源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;然后初始化模块对对数据包的头部进行初始化;接着数据包在网络系统传输过程中,路由器随机标记机制模块使得每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;然后数据和源验证模块使得目的端根据数据包头部的标记,对数据和源地址进行验证;路径恢复机制模块根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径;最后路径验证与错误定位机制模块利用验证与定位机制对路径进行验证,并实现错误定位。该装置能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
在本发明的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (6)

1.一种源验证和路径认证方法,其特征在于,包括以下步骤:
源端利用共享密钥对源地址src和数据流标识FlowID进行加密,并发送至目的端;
在所述数据包的TCP头部和IP头部之间增加PRM头部,所述PRM头部包括:PacketID、Time、FlowID和AVFS,其中,
PacketID=H(DataHash||TimePoint||KSD),所述PacketID为所述数据包的唯一标识,其中,DataHash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;
Time=TimePoint⊕H(KSD),所述Time为所述数据包的时间标签,其中,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;
所述AVFS为源端自身标识,其中,src_add为所述数据包的源地址,FlowID为数据流的唯一标识,KSD为所述共享密钥;
通过作为所述数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki=H(LSI||FlowID)得到,LSI为路由器的隐私信息,src_add为所述数据包的源地址,FlowID为数据流的唯一标识;
所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证;
所述目的端根据接收到所述数据包头部的FlowID进行分类得到FlowID相同的数据包;
所述目的端读取所述FlowID相同的数据包的头部的各个AVFi标记,并建立AVFi与正整数UID的对应表;
所述目的端根据每个数据包中各个AVFi标记以及所述对应表,得到所述每个数据包对应的正整数序列UIDS;
所述目的端根据得到的多个UIDS利用拓扑排序的方法进行排序,最终得到包含所有UID的顺序序列UIDSF;
所述目的端获取述数据包的期望路径PATHp,以及所述期望路径上所有路由节点的共享密钥Ki
所述目的端根据PATHp、Ki,以及AVFi与正整数UID的对应表,得到期望的UIDSF’;
UIDSF=UIDSF',所述数据包的源和路径均正确;
UIDSF≠UIDSF',且第一个对应位置不相等元素为UIDSFt≠UIDSF't,确定路由器Rt-1修改了源地址或下一跳信息,定位到错误的路由节点,其中t为路由节点的位置标号。
2.如权利要求1所述的源验证和路径认证方法,其特征在于,所述源端利用共享密钥对源地址和数据流标识进行加密,并发送至目的端具体包括:
所述源端与所述目的端利用Diffie-Hellman密钥交换技术完成所述共享密钥的配送;
所述源端向所述目的端发送包含源地址src和所述数据流标识FlowID的对应关系,即<src,FlowID>的消息;其中,
FlowID=H(src_add||src_port||des_port||protocol||KSD),所述FlowID为数据流的唯一标识,其中,src_add为所述数据包的源地址,src_port为所述数据包的源端口,des_port为所述数据包的目的地址,protocol为所述数据包的目的端口,KSD为所述共享密钥。
3.如权利要求1所述的源验证和路径认证方法,其特征在于,所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证,具体包括:
所述目的端根据接收到数据包头的PacketID与目的端计算得到的PacketID'进行对比以进行数据验证:
PacketID=PacketID',所述数据包中数据正确,执行源验证;
FlowID≠FlowID',所述数据包中数据错误,丢弃数据包;
所述数据验证正确,所述目的端根据接收到所述数据包的头部的AVFS与所述目的端计算得到的AVF'S进行对比以进行源验证:
AVFS=AVF'S,所述数据包中源地址正确;
AVFS≠AVF'S,所述数据包中源地址错误。
4.一种源验证和路径认证装置,其特征在于,包括:
配送模块,用于源端利用共享密钥对源地址和数据流标识进行加密,并发送至目的端;
初始化模块,用于在所述数据包的TCP头部和IP头部之间增加PRM头部,所述PRM头部包括:PacketID、Time、FlowID和AVFS,其中,PacketID=H(DataHash||TimePoint||KSD),所述PacketID为所述数据包的唯一标识,其中,DataHash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;Time=TimePoint⊕H(KSD),所述Time为所述数据包的时间标签,其中,TimePoint为发送所述数据包的当前时间点的哈希值,KSD为所述共享密钥;所述AVFS为源端自身标识,其中,src_add为所述数据包的源地址,FlowID为数据流的唯一标识,KSD为所述共享密钥;
路由器随机标记机制模块,用于通过作为所述数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki=H(LSI||FlowID)得到,LSI为路由器的隐私信息,src_add为所述数据包的源地址,FlowID为数据流的唯一标识;
数据和源验证模块,用于所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证;
路径恢复机制模块,用于所述目的端根据接收到所述数据包头部的FlowID进行分类得到FlowID相同的数据包;所述目的端读取所述FlowID相同的数据包的头部的各个AVFi标记,并建立AVFi与正整数UID的对应表;所述目的端根据每个数据包中各个AVFi标记以及所述对应表,得到所述每个数据包对应的正整数序列UIDS;所述目的端根据得到的多个UIDS利用拓扑排序的方法进行排序,最终得到包含所有UID的顺序序列UIDSF;
路径验证与错误定位机制模块,用于所述目的端获取述数据包的期望路径PATHp,以及所述期望路径上所有路由节点的共享密钥Ki;所述目的端根据PATHp、Ki,以及AVFi与正整数UID的对应表,得到期望的UIDSF’;UIDSF=UIDSF',所述数据包的源和路径均正确;UIDSF≠UIDSF',且第一个对应位置不相等元素为UIDSFt≠UIDSF't,确定路由器Rt-1修改了源地址或下一跳信息,定位到错误的路由节点,其中t为路由节点的位置标号。
5.如权利要求4所述的源验证和路径认证装置,其特征在于,所述配送模块具体用于:
所述源端与所述目的端利用Diffie-Hellman密钥交换技术完成所述共享密钥的配送;所述源端向所述目的端发送包含源地址src和所述数据流标识FlowID的对应关系的消息,即<src,FlowID>的消息;其中,
FlowID=H(src_add||src_port||des_port||protocol||KSD),所述FlowID为数据流的唯一标识,其中,src_add为所述数据包的源地址,src_port为所述数据包的源端口,des_port为所述数据包的目的地址,protocol为所述数据包的目的端口,KSD为所述共享密钥。
6.如权利要求4所述的源验证和路径认证装置,其特征在于,所述数据和源验证模块具体用于:
所述目的端根据接收到所述数据包的头部的PacketID与所述目的端计算得到的PacketID'进行对比以进行数据验证:
PacketID=PacketID',所述数据包中数据正确,执行源验证;
FlowID≠FlowID',所述数据包中数据错误,丢弃数据包;
确定所述数据验证通过,所述目的端根据接收到所述数据包的头部的AVFS与所述目的端计算得到的AVF'S进行对比以进行源验证:
AVFS=AVF'S,数据包中源地址正确;
AVFS≠AVF'S,数据包中源地址错误。
CN201610151004.9A 2016-03-16 2016-03-16 源验证和路径认证方法及装置 Active CN105847034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610151004.9A CN105847034B (zh) 2016-03-16 2016-03-16 源验证和路径认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610151004.9A CN105847034B (zh) 2016-03-16 2016-03-16 源验证和路径认证方法及装置

Publications (2)

Publication Number Publication Date
CN105847034A CN105847034A (zh) 2016-08-10
CN105847034B true CN105847034B (zh) 2019-02-05

Family

ID=56587186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610151004.9A Active CN105847034B (zh) 2016-03-16 2016-03-16 源验证和路径认证方法及装置

Country Status (1)

Country Link
CN (1) CN105847034B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534070B (zh) * 2016-10-09 2019-06-28 清华大学 一种抵御仿冒的低开销路由器标识生成方法
CN107065512A (zh) * 2017-04-01 2017-08-18 航天恒星空间技术应用有限公司 一种北斗二号定位定时授时终端装置
CN108933763B (zh) 2017-05-25 2020-01-03 华为技术有限公司 一种数据报文发送方法、网络设备、控制设备及网络系统
CN107171956A (zh) * 2017-07-30 2017-09-15 长沙曙通信息科技有限公司 一种广域专网数据包传输优化实现方法
CN110213242B (zh) * 2019-05-09 2020-09-08 浙江大学 一种多路路由背景下的高效路径验证方法
CN110502426A (zh) * 2019-07-08 2019-11-26 中国工商银行股份有限公司 分布式数据处理系统的测试方法和装置
US11558399B2 (en) 2019-09-30 2023-01-17 International Business Machines Corporation Network transmission path verification
CN111541611B (zh) * 2020-04-24 2021-05-28 清华大学 基于认证分片可重组的动态路径验证方法
CN111541696B (zh) * 2020-04-24 2021-10-01 清华大学 随机认证嵌入的快速源和路径验证方法
CN111585984B (zh) * 2020-04-24 2021-10-26 清华大学 面向分组全生存周期的去中心化安全保障方法及装置
CN112491580A (zh) * 2020-10-27 2021-03-12 烽火通信科技股份有限公司 一种路由通过判定及问题定位方法和装置
CN112565253B (zh) * 2020-12-02 2021-11-30 清华大学 域间源地址的验证方法、装置、电子设备及存储介质
CN114499920B (zh) * 2021-11-09 2022-12-06 清华大学 一种基于动态标签的源和路径验证机制

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917341A (zh) * 2010-08-24 2010-12-15 清华大学 用于域间追溯的包标记概率选取方法及装置
CN101931628A (zh) * 2010-08-27 2010-12-29 清华大学 一种域内源地址的验证方法和装置
CN105376098A (zh) * 2015-11-30 2016-03-02 中国互联网络信息中心 一种路由源和路径双重验证方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101699891B (zh) * 2009-10-21 2012-07-25 西安西电捷通无线网络通信股份有限公司 一种传感器网络密钥管理和节点鉴别方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917341A (zh) * 2010-08-24 2010-12-15 清华大学 用于域间追溯的包标记概率选取方法及装置
CN101931628A (zh) * 2010-08-27 2010-12-29 清华大学 一种域内源地址的验证方法和装置
CN105376098A (zh) * 2015-11-30 2016-03-02 中国互联网络信息中心 一种路由源和路径双重验证方法

Also Published As

Publication number Publication date
CN105847034A (zh) 2016-08-10

Similar Documents

Publication Publication Date Title
CN105847034B (zh) 源验证和路径认证方法及装置
CN103621127B (zh) 用于无线认证的接入点控制器、方法及集成电路
CN111585890B (zh) 基于SRv6的网络路径验证方法及系统
CN103701700B (zh) 一种通信网络中的节点发现方法及系统
CN110311883A (zh) 身份管理方法、设备、通信网络及存储介质
EP2329621B1 (en) Key distribution to a set of routers
CN109714168A (zh) 可信远程证明方法、装置和系统
EP1618702B1 (en) Transmission/reception system using message authentication code
CN107078898A (zh) 一种在多路径网络上建立安全私人互连的方法
CN108512848A (zh) 防重放攻击的方法以及相关装置
US11418434B2 (en) Securing MPLS network traffic
CN108933763B (zh) 一种数据报文发送方法、网络设备、控制设备及网络系统
EP2609721A1 (en) Methods and arrangements for secure communication over an ip network
WO2018024001A1 (zh) 一种数据传输方法、集中控制器、转发面设备和通信装置
JP4944904B2 (ja) モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法
CN113329007B (zh) IPv6传输路径分段认证方法以及装置
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
CN106612267A (zh) 一种验证方法及验证装置
CN104579788B (zh) 一种分布式动态路由网络的错误定位方法
CN103297400A (zh) 基于双向转发检测协议的安全联盟管理方法及系统
CN107342964A (zh) 一种报文解析方法及设备
Wong et al. Truth in advertising: Lightweight verification of route integrity
CN106453430A (zh) 验证加密数据传输路径的方法及装置
CN108055285A (zh) 一种基于ospf路由协议的入侵防护方法和装置
WO2023036348A1 (zh) 一种加密通信方法、装置、设备及介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant