WO2023272498A1

WO2023272498A1 - 一种报文转发方法、装置、网络节点及存储介质

Info

Publication number: WO2023272498A1
Application number: PCT/CN2021/103176
Authority: WO
Inventors: 常向青; 雷昭燕; 林涛; 秦娟
Original assignee: 新华三技术有限公司
Priority date: 2021-06-29
Filing date: 2021-06-29
Publication date: 2023-01-05
Also published as: US20240106740A1; JP2023535277A; EP4152728A8; CN113615134A; EP4152728A4; EP4152728A1

Abstract

一种报文转发方法及装置，涉及网络技术领域，应用于网络节点，上述方法包括：获得SRv6报文。若目标SID的功能字段中包括安全认证指令，根据安全认证指令指示的操作，获取目标参数，并依据目标参数，对SRv6报文进行安全认证处理，目标SID为：SRv6报文的报文头携带的分段列表中与网络节点对应的SID，目标参数为：报文头中记录的安全认证指令的参数；向下一跳设备转发处理后的SRv6报文。应用本申请实施例提供的方案转发SRv6报文，可以提高沿SRv6转发路径转发SRv6报文时的安全性。

Description

一种报文转发方法、装置、网络节点及存储介质

技术领域

本申请涉及网络技术领域，特别是涉及一种报文转发方法、装置、网络节点及存储介质。

背景技术

SRv6(Segment Routing IPv6，分段路由互联网协议第6版)技术是一种源路由技术。SRv6技术支持SRv6转发路径的来源网络节点在报文中插入SRv6转发路径的分段信息。为便于描述将插入分段信息后的报文称为SRv6报文。SRv6转发路径的分段信息指示该路径包括的各个网络节点进行报文转发的顺序。这样其他网络节点接收到SRv6报文后，能够按照SRc6报文中携带的分段信息进行报文转发。

然而SRv6转发路径中可能包含不安全网络节点或不安全链路，导致沿SRv6转发路径转发SRv6报文时存在安全性差的问题。

发明内容

本申请实施例的目的在于提供一种报文转发方法及装置，以提高转发SRv6报文的安全性。具体技术方案如下：

第一方面，本申请实施例提供了一种报文转发方法，应用于网络节点，所述方法包括：

获得SRv6报文；

若目标段标识SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数，并依据所述目标参数，对所述SRv6报文进行安全认证处理，其中，所述目标SID为：所述SRv6报文的报文头携带的分段列表中与所述网络节点对应的SID，所述目标参数为：所述报文头中记录的所述安全认证指令的参数；

向下一跳设备转发处理后的SRv6报文。

本申请的一个实施例中，所述SRv6报文为所述SRv6报文的来源网络节点通过以下方式生成的：

接收原始报文；

若确定出需要转发所述原始报文的SRv6转发路径中存在不安全网络节点，则获得安全认证指令的参数，其中，所述安全认证指令指示：所述不安全网络节点对SRv6报文进行安全认证处理；

判断所述安全认证指令的参数的数据量是否大于SID的参数字段的最大数据量；

若为是，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含第一参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述SRv6报文的所述报文头中的扩展字段中包含第二参数，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段和所述报文头中的扩展字段，所述第一参数为：所述安全认证指令的参数中数据量小于等于所述最大数据量的部分参数，所述第二参数为：所述安全认证指令的参数中除所述第一参数之外的参数；

若为否，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含所述安全认证指令的参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段。

本申请的一个实施例中，所述根据所述安全认证指令指示的操作，获取目标参数，包括：

若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段，则从所述目标SID的参数字段包含的参数中，获取目标参数；

若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段和报文头扩展字段，则从所述目标SID的参数字段包含的参数和所述报文头中的扩展字段包含的参数中，获取目标参数。

本申请的一个实施例中，所述安全认证指令包括：加封装指令，所述加封装指令指示对所述SRv6报文的有效载荷进行加封装处理；

所述依据所述目标参数，对所述SRv6报文进行安全认证处理，包括：

依据所述目标参数，对所述SRv6报文的有效载荷进行加封装处理。

本申请的一个实施例中，所述安全认证指令包括：解封装指令，所述解封装指令指示对所述SRv6报文的有效载荷进行解封装处理；

依据所述目标参数，对所述SRv6报文的有效载荷进行解封装处理。

第二方面，本申请实施例提供了一种报文转发装置，应用于网络节点，所述装置包括：

报文获得模块，用于获得SRv6报文；

安全处理模块，用于若目标SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数，并依据所述目标参数，对所述SRv6报文进行安全认证处理，其中，所述目标SID为：所述SRv6报文的报文头携带的分段列表中与所述网络节点对应的SID，所述目标参数为：所述报文头中记录的所述安全认证指令的参数；

报文转发模块，用于向下一跳设备转发处理后的SRv6报文。

接收原始报文；

若所述数据量判断子模块的判断结果为是，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含第一参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述SRv6报文的所述报文头中的扩展字段中包含第二参数，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段和所述报文头中的扩展字段，所述第一参数为：所述安全认证指令的参数中数据量小于等于所述最大数据量的部分参数，所述第二参数为：所述安全认证指令的参数中除所述第一参数之外的参数；

若所述数据量判断子模块的判断结果为否，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含所述安全认证指令的参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段。

本申请的一个实施例中，所述安全处理模块，具体用于：

若目标SID的功能字段中包括安全认证指令，若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段，则从所述目标SID的参数字段包含的参数中，获取目标参数；

若目标SID的功能字段中包括安全认证指令，若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段和报文头扩展字段，则从所述目标SID的参数字段包含的参数和所述报文头中的扩展字段包含的参数中，获取目标参数；

依据所述目标参数，对所述SRv6报文进行安全认证处理。

所述安全处理模块，具体用于：

若目标SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数；

所述安全处理模块，具体用于：

第三方面，本申请实施例提供了一种网络节点，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现第一方面任一所述的方法步骤。

第四方面，本申请实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现第一方面任一所述的方法步骤。

本申请实施例有益效果：

网络节点应用本申请实施例提供的方案转发报文时，获得SRv6报文后，若上述网络节点对应的目标SID的功能字段中包括安全认证指令，则根据安全认证指令指示的操作，获取目标参数，并依据目标参数对SRv6报文进行安全认证处理，再向SRv6转发路径中的下一跳设备转发处理后的SRv6报文。

由以上可见，若网络节点对应的目标SID的功能字段中包括安全认证指令，这种情况下，网络节点并没有直接转发SRv6报文，而是依据目标参数，对SRv6报文进行安全认证指令指示的安全认证处理之后，再转发经过安全认证处理的SRv6报文。由于网络节点对SRv6报文进行了安全认证指令指示的安全认证处理，可以提高SRv6报文的安全性，因此，网络节点应用本申请实施例提供的方案，转发经安全认证处理后的SRv6报文，可以提高转发SRv6报文的安全性。

附图说明

为了更清楚地说明本申请实施例和现有技术的技术方案，下面对实施例和现有技术中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，本领域普通技术人员来讲还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的第一种报文转发方法的流程示意图；

图2为本申请实施例提供的一种SRv6转发路径的示意图；

图3为本申请实施例提供的一种经过加封装处理的SRv6报文的示意图；

图4为本申请实施例提供的一种经过解封装处理的SRv6报文的示意图；

图5为本申请实施例提供的一种SRv6报文生成方法的流程示意图；

图6为本申请实施例提供的第二种报文转发方法的流程示意图；

图7为本申请实施例提供的一种报文转发装置的结构示意图；

图8为本申请实施例提供的一种网络节点的结构示意图。

具体实施方式

为使本申请的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本申请进一步详细说明。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。本领域普通技术人员基于本申请中的实施例所获得的所有其他实施例，都属于本申请保护的范围。

由于现有技术中，若SRv6转发路径中包含不安全网络节点或不安全链路，沿上述SRv6转发路径转发SRv6报文时，存在安全性差的技术问题，为解决这一技术问题，本申请实施例提供了一种报文转发方法、装置、网络节点及存储介质。

本申请的一个实施例中，提供了一种报文转发方法，应用于网络节点，上述方法包括：

获得SRv6报文；

若目标SID的功能字段中包括安全认证指令，根据上述安全认证指令指示的操作，获取目标参数，并依据上述目标参数，对上述SRv6报文进行安全认证处理，其中，上述目标SID为：上述SRv6报文的报文头携带的分段列表中与上述网络节点对应的SID，上述目标参数为：上述报文头中记录的上述安全认证指令的参数；

向下一跳设备转发处理后的SRv6报文。

下面结合图1和图2，对本申请实施例提供的报文转发方法进行说明。

图1为本申请实施例提供的第一种报文转发方法的流程示意图，该方法应用于网络节点。

其中，上述网络节点可以为路由器，交换机等。

图2为本申请实施例提供的一种SRv6转发路径的示意图。

如图2所示，网络中包含网络节点R1-网络节点R7，网络节点之间的实线连线表示实线连线两端的网络节点相互连通，图2中的虚线箭头表示SRv6转发路径。

具体的，图2所示的SRv6转发路径为R1-R2-R3-R5-R6-R7。

例如，可以称R1-R3为第一路径分段，R3-R5为第二路径分段，R5-R7为第三路径分段。

本申请实施例所提供方案的执行主体可以是SRv6转发路径中除来源网络节点之外的任何一个网络节点。基于此，上述图2所示的SRv6转发路径中除来源网络节点R1之外的R2-R7均可以作为本申请实施例所提供方案的执行主体。

上述报文转发方法包括以下步骤S101-S103。

S101：获得SRv6报文。

具体的，网络节点所获得的SRv6报文可以是：SRv6转发路径中位于该网络节点之前且相邻的网络节点转发的SRv6报文。例如，网络节点R3获得的SRv6报文可以是网络节点R2转发的SRv6报文。

其中，上述SRv6报文中包含报文头与有效载荷，上述报文头为SRH(Segment Identifier Header，分段路由报文头)。

具体的，上述SRv6报文的报文头中包含分段列表。上述分段列表中包括SRv6转发路径中除来源网络节点之外的其他网络节点对应的SID，各个网络节点对应的SID在分段列表中的排列顺序与网络节点在SRv6转发路径中的排列顺序相反。

其中，上述SID内包含Locator(定位字段)、Function(功能字段)与Arguments(参数字段)。

上述Locator用于标识上述SID所对应的网络节点在SRv6转发路径中的位置。Locator包含Locator Block(定位块字段)与Locator Node(定位节点字段)。

上述Function中包括上述SID对应的网络节点需要对SRv6报文执行的报文处理指令。具体的，上述Function中可以包含一个或多个报文处理指令。

上述Arguments中包含上述报文处理指令的参数。

另外，SRv6报文的报文头中还包含除分段列表之外的其他字段，其他字段中包含的信息与现有技术相同，本申请实施例对此不再赘述。

再者，上述有效载荷为上述SRv6报文中除报文头之外的字段，其中包含SRv6报文所传输的数据。

本申请的一个实施例中，上述报文头中还包含用于记录上述网络节点对应的SID的编号的编号字段，上述编号字段可以以SL(Segments Left，剩余段)表示。

S102：若目标SID的功能字段中包括安全认证指令，根据上述安全认证指令指示的操作，获取目标参数，并依据上述目标参数，对上述SRv6报文进行安全认证处理。

其中，上述目标SID为：上述SRv6报文的报文头携带的分段列表中与上述网络节点对应的SID。上述目标参数为：上述报文头中记录的上述安全认证指令的参数。

具体的，可以将分段列表中编号为上述编号字段所记录编号的SID确定为上述目标SID。

本申请的一个实施例中，可以从报文头中、上述安全认证指令所指示的位置处获取目标参数，具体的，可以参见下文步骤S102A-S102B，在此暂不详述。

另外，上述安全认证指令可以为指示对SRv6报文的有效载荷进行加封装处理的加封装指令，也可以为指示对SRv6报文的有效载荷进行解封装处理的解封装指令。

具体的，上述安全认证指令可以为指示网络节点基于IPsec(Internet Protocol Security，互联网络层安全协议)和/或HMAC(Hash-based Message Authentication Code，哈希运算消息认证码)对SRv6报文进行安全认证处理的指令。

其中，IPsec协议主要由AH(Authentication Header，认证头)、ESP(Encapsulating Security Payload，封装安全载荷)与SA(Secure Association，安全关联)三部分组成。

上述AH可为SRv6报文提供数据完整性检查、数据源身份验证以及防重放攻击保护等功能，上述ESP可为SRv6报文提供数据加密、数据源身份验证、数据完整性验证以及防重放攻击保护等功能。SA用于在通信两端的网络节点构建单向的安全关系，用于指定IPsec所需的算法和参数等信息。

具体的，可以通过IKE(Internet Key Exchange，互联网秘钥交换)协议建立SA。也可以通过其他方式建立SA。在对SRv6报文进行安全认证处理的过程中，可以单独使用上述AH或ESP对SRv6报文进行安全认证处理，也可以共同使用AH与ESP对SRv6报文进行安全认证处理。

其中，上述IPsec协议为现有技术中的协议，本申请实施例对此不再赘述。

本申请的一个实施例中，在上述安全认证指令中包括上述加封装指令的情况下，可以通过下文所示的步骤A对上述SRv6报文进行安全认证处理，这里暂不详述。

本申请的另一个实施例中，在上述安全认证指令中包括上述解封装指令的情况下，可以通过下文所示的步骤B对上述SRv6报文进行安全认证处理，这里暂不详述。

S103：向下一跳设备转发处理后的SRv6报文。

其中，上述下一跳设备为在上述SRv6转发路径中，位于上述网络节点之后，且与上述网络节点相邻的节点。

例如，参见图2，对于网络节点R3而言，在SRv6转发路径中上述网络节点R5为上述下一跳设备。

本申请的一个实施例中，可以将上述报文头的编号字段中记录的编号减1，得到上述SRv6转发路径中下一跳设备对应的SID的编号，从而确定分段列表中SRv6转发路径内的下一跳设备对应的SID，将上述SRv6报文的目的地址更新为上述SRv6转发路径中下一跳设备对应的SID，并依据上述网络节点记录的路由表，转发上述目的地址变更后的SRv6报文。

具体的，上述网络节点可基于IGP(Interior Gateway Protocols，内部网关协议)将经安全认证处理后的SRv6报文发布到网络中。

另外，上述SRv6转发路径中除来源网络节点之外的网络节点可以通过上述图1所示的实施例对SRv6报文进行安全认证处理。而来源网络节点若确定自身为不安全网络节点，可以直接对原始报文的有效载荷进行安全认证处理之后，再生成并发送上述SRv6报文。

具体的，由于上述来源网络节点为上述SRv6转发路径的起始节点，SRv6转发路径中不存在位于上述来源网络节点之前的网络节点对报文的有效载荷进行加封装处理，因此上述来源网络节点所进行的安全认证处理往往为加封装处理，由SRv6转发路径中的其他网络节点进行后续的解封装处理。

本申请的一个实施例中，可以通过步骤A对上述SRv6报文进行安全认证处理。

步骤A：依据上述目标参数，对上述SRv6报文的有效载荷进行加封装处理。

具体的，可以基于IPsec协议和/或HMAC对上述有效载荷进行加封装处理。在使用IPsec协议对有效载荷进行加封装处理的过程中，可以仅使用AH对有效载荷进行加封装处理，也可以仅使用ESP对有效载荷进行加封装处理，还可以使用AH与ESP共同对有效载荷进行加封装处理。

参见图3，为本申请实施例提供的一种经过加封装处理的SRv6报文的示意图。

与前述图2相对应，上述图3为网络节点R3对SRv6报文的有效载荷进行加封装处理后得到的SRv6报文，图中的每一矩形表示经过加封装处理后得到的SRv6报文中的一个字段。

其中，SA(Source Address，源地址)＝R1表示该SRv6报文的源地址为网络节点R1的地址，DA(Destination or Target Address，目标地址)＝R5表示该SRv6报文按照SRv6转发路径转发的目的地址为网络节点R5的地址。

R7字段、R5字段、R3字段表示上述SRv6转发路径中包含的路径分段分别为R1-R3、R3-R5、R5-R7。

HMAC字段、AH字段、ESP字段为R3使用HMAC、AH与ESP共同对有效载荷进行了加封装处理后，添加至上述SRv6报文中的字段，ESP trailer字段为与ESP字段对应的ESP尾字段，ESP ICV(Integrity check value，完整性度量结果)字段为进行报文认证时所需的参数。

另外，上述图3为经过加封装处理后得到的SRv6报文的示意图，实际得到的SRv6报文中还包括除图3所示的字段之外的其他字段。

本申请的另一个实施例中，可以通过以下步骤B对上述SRv6报文进行安全认证处理。

步骤B：依据上述目标参数，对上述SRv6报文的有效载荷进行解封装处理。

具体的，上述SRv6报文中包含的有效载荷已经过加封装处理。则需要采用与进行上述加封装处理使用的加封装方式相对应的解封装方式对上述有效载荷进行解封装处理。

参见图4，为本申请实施例提供的一种经过解封装处理的SRv6报文的示意图。

其中，上述解封装处理可以是图2所示的网络节点R5进行的，与前述图3所示的实施例相比，HMAC字段、AH字段、ESP字段、ESP trailer字段与ESP ICV字段在经过解封装处理后被去除。并且，按照SRv6转发路径，网络节点R5转发的报文需要被转发至网络节点R7，因此上述经过解封装处理的SRv6报文中记录的DA为网络节点R7的地址。

另外，上述图4为经过解封装处理后得到的SRv6报文的示意图，实际得到的SRv6报文中还包括除图4所示的字段之外的其他字段。

本申请的一个实施例中，上述SRv6报文可以是SRv6报文的来源网络节点生成的，上述来源网络节点可以是SRv6转发路径中的起始节点。

例如，参见图2，上述来源网络节点可以为网络节点R1。

参见图5，为本申请实施例提供的一种SRv6报文生成方法的流程示意图，上述来源网络节点可以通过以下步骤S501-S505生成SRv6报文。

S501：接收原始报文。

具体的，上述原始报文中可以包含有效载荷以及原始报文的报文头。

其中，上述原始报文可以是其他设备发送的报文，也可以是上述来源网络节点生成的报文。

S502：若确定出需要转发上述原始报文的SRv6转发路径中存在不安全网络节点，则获得安全认证指令的参数。

其中，上述安全认证指令指示：上述不安全网络节点对SRv6报文进行安全认证处理。

具体的，上述安全认证指令可以包括加封装指令和解封装指令。

另外，上述不安全网络节点可以为自身存在数据泄露风险的网络节点，也可以是与存在数据泄露风险的不安全链路相连的网络节点。

具体的，上述不安全链路可以为存在数据泄露风险的不安全路径分段，则上述不安全网络节点可以为位于不安全路径分段起始位置处与终止位置处的网络节点。

例如，参见图2，若上述网络节点R3-R5的路径分段为不安全路径分段，则上述不安全网络节点可以为网络节点R3与网络节点R5。

本申请的一个实施例中，上述来源网络节点可以通过表示不安全网络节点的信息确定上述SRv6转发路径中包含的不安全网络节点。上述信息可以是管理员人工向上述来源网络节点下发的，也可以是上述来源网络节点之外的集中控制器或控制节点向上述来源网络节点下发的，也可以是上述来源网络节点自身确定的。来源网络节点确定不安全网络节点的过程属于上述来源网络节点的控制层执行的过程，与报文转发过程可以分别独立完成。

具体的，上述不安全网络节点可以为预设的网络节点。也可以根据上述SRv6转发路径中各个网络节点的历史转发信息，确定发生数据泄露情况的次数较多的网络节点作为上述不安全网络节点。

本申请的另一个实施例中，上述安全认证指令的参数可以是上述来源网络节点在确定上述不安全网络节点之后自身生成的，也可以是集中控制器或控制节点向上述来源网络节点下发的，还可以是管理员人工向上述来源网络节点下发的。

另外，对上述SRv6报文进行安全认证处理可以包括对SRv6报文进行加封装处理与对SRv6报文进行解封装处理两个过程。因此需要SRv6转发路径中包含的一对网络节点分别对SRv6报文进行加封装处理与解封装处理，所以不安全网络节点在上述SRv6转发路径中可以成对出现。在SRv6转发路径中，对SRv6报文进行加封装处理的网络节点位于对SRv6报文进行解封装处理的网络节点之前。

S503：判断上述安全认证指令的参数的数据量是否大于SID的参数字段的最大数据量。

具体的，SRv6报文中预设的上述SID的总数据量为128bit，可以预先将上述128bit的数据量划分给Locator、Function与Arguments，上述参数字段的最大数据量即为划分给Arguments的数据量。

若上述安全认证指令的参数的数据量大于SID的参数字段，则上述安全认证指令的参数难以完整地被存储于上参数字段中，则可以执行步骤S504。若上述安全认证指令的参数的数据量小于等于SID的参数字段，则上述安全认证指令的参数能够被完整地存储于上述参数字段中，则可以执行步骤S505。

S504：针对上述不安全网络节点，生成功能字段中包含上述安全认证指令、且参数字段中包含第一参数的SID，并基于上述原始报文生成上述SRv6报文。

其中，上述SRv6报文的上述报文头中的扩展字段中包含第二参数。

上述安全认证指令还指示：上述安全认证指令的参数存储于上述参数字段和上述报文头中的扩展字段。

由于上述安全认证指令的参数分别存储于参数字段与扩展字段中，因此上述安全认证指令还可以指示上述参数存储于参数字段与扩展字段中，以使得上述不安全网络节点在获取到上述安全认证指令之后可以从上述参数字段与扩展字段中获取得到上述安全认证指令的参数。

另外，上述第一参数为：上述安全认证指令的参数中数据量小于等于上述最大数据量的部分参数。上述第二参数为：上述安全认证指令的参数中除上述第一参数之外的参数。

具体的，由于上述安全认证指令的参数的数据量大于最大数据量，因此参数字段难以完整的存储上述安全认证指令的参数，可以将上述参数中数据量小于等于最大数据量的第一参数存储于SID的参数字段。并将安全认证指令的参数中难以被参数字段存储的、除第一参数之外的第二参数存储于报文头中的扩展字段中。

其中，上述第一参数可以为上述安全认证指令的参数中任意的数据量小于等于上述最大数据量的数据。也可以为从上述安全认证指令的参数的起始字节起，连续字节组成的数据量小于等于上述最大数据量的数据。

上述扩展字段中存储的第二参数可以是TLV(Type Length Value，类型长度值)格式的数据，其中上述扩展字段中记录有第二参数、第二参数对应的参数的类型、上述第二参数的长度、上述第二参数的标识。

参见表1，示出了本申请实施例提供的一种TLV格式数据组。

表1

其中，上述Type表示第二参数对应的参数的类型，上述Length表示第二参数的长度，上述标识表示第二参数的标识。

本申请的一个实施例中，可以按照上述不安全网络节点在SRv6转发路径中的位置，将所生成的SID插入上述原始报文的报文头内的分段列表中，生成上述SRv6报文。具体的，上述分段列表中SID的排列顺序与SID所对应的网络节点在SRv6转发路径的排列顺序相反。

本申请的另一个实施例中，上述加封装指令的标识可以为END.SE，这样标识为END.SE的指令用于指示网络节点对SRv6报文进行加封装处理。上述解封装指令的标识可以为END.SD，这样标识为END.SD的指令用于指示网络节点对SRv6报文进行解封装处理。

例如，所生成的对应第一网络节点的SID中的功能字段中可以包含标识END.SE，以指示第一网络节点对SRv6报文进行加封装处理。所生成的对应第二网络节点的SID中的功能字段中可以包含标识END.SD，以指示第二网络节点对SRv6报文进行解封装处理。

S505：针对上述不安全网络节点，生成功能字段中包含上述安全认证指令、且参数字段中包含上述安全认证指令的参数的SID，并基于上述原始报文生成上述SRv6报文。

其中，上述安全认证指令还指示：上述安全认证指令的参数存储于上述参数字段。

具体的，由于上述安全认证指令的参数的数据量小于等于上述最大数据量，因此上述参数字段能够完整的存储上述安全认证指令的参数，因此可以直接生成功能字段中包含安全认证指令，且参数字段中包含安全认证指令的参数的SID。并将所生成的SID插入上述原始报文的报文头内的分段列表中，生成上述SRv6报文。

另外，上述步骤S505与前述步骤S504相似，本申请实施例对此不再赘述。

由以上可见，由于SID的参数字段能够容纳的最大数据量有限，因此，上述不安全网络节点对应的安全认证指令的参数中，部分参数可以存储于上述参数字段中，另一部分参数可以存储于SRv6报文的报文头包含的扩展字段中。所以，即使安全认证指令的数据量大于参数字段的最大数据量，在大多数情况下，上述安全认证指令也可以被完整的存储于上述SRv6报文中，被完整的发送至上述不安全网络节点，使得上述不安全网络节点可以获取到完整的安全认证指令的参数，并基于完整的参数对SRv6报文完成安全认证处理。

参见图6，为本申请实施例提供的第二种报文转发方法的流程示意图，与前述图1所示的实施例相比，在上述步骤S102可以通过以下步骤S102A-S102B实现。

S102A：若目标SID的功能字段中包括安全认证指令，且上述安全认证指令指示上述安全认证指令的参数存储于上述参数字段，则从上述目标SID的参数字段包含的参数中，获取目标参数，并依据上述目标参数，对上述SRv6报文进行安全认证处理。

由于上述安全认证指令指示上述安全认证指令的参数存储于目标SID的参数字段，因此可以从目标SID的参数字段中获取目标参数。

具体的，上述参数字段在上述目标SID的固定位置处，具有固定的数据长度，因此可以直接确定目标SID中的参数字段，再从参数字段中获取目标参数。

另外，依据上述目标参数，对上述SRv6报文进行安全认证处理与前述步骤S102所示的实施例相似，本申请实施例对此不再赘述。

S102B：若目标SID的功能字段中包括安全认证指令，且上述安全认证指令指示上述安全认证指令的参数存储于上述参数字段和报文头扩展字段，则从上述目标SID的参数字段包含的参数和上述报文头中的扩展字段包含的参数中，获取目标参数，并依据上述目标参数，对上述SRv6报文进行安全认证处理。

由于上述安全认证指令指示上述安全认证指令的参数存储于目标SID的参数字段以及SRv6报文头的扩展字段中，因此可以从目标SID的参数字段包含的参数以及扩展字段包含的参数内分别获取参数。并将从参数字段中获取的参数以及从扩展字段中获取的参数合并，得到目标参数。

由以上可见，由于上述网络节点对应的安全认证指令的参数可以完全存储于参数字段中，也可以部分存储于上述参数字段，另一部分存储于SRv6报文的报文头包含的扩展字段中。可以基于安全认证指令的指示，确定上述参数的存储位置，并从安全认证指令指示的存储位置处获取目标参数，从而可以基于完成的目标参数对SRv6报文进行安全认证处理。

与前述报文转发方法相对应，本申请实施例还提供了一种报文转发装置。

参见图7，为本申请实施例提供的一种报文转发装置的结构示意图，应用于网络节点，上述装置包括：

报文获得模块701，用于获得SRv6报文；

安全处理模块702，用于若目标SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数，并依据所述目标参数，对所述SRv6报文进行安全认证处理，其中，所述目标SID为：所述SRv6报文的报文头携带的分段列表中与所述网络节点对应的SID，所述目标参数为：所述报文头中记录的所述安全认证指令的参数；

报文转发模块703，用于向下一跳设备转发处理后的SRv6报文。

本申请的一个实施例中，所述SRv6报文为所述SRv6报文的来源网络节点通过以下方式生成的。

接收原始报文；

本申请的一个实施例中，上述安全处理模块702，具体用于：

依据所述目标参数，对所述SRv6报文进行安全认证处理。

所述安全处理模块702，具体用于：

本申请实施例还提供了一种网络节点，如图8所示，包括处理器801与机器可读存储介质802，所述机器可读存储介质802存储有能够被所述处理器801执行的机器可执行指令，所述处理器801被所述机器可执行指令促使：实现上述报文转发方法任一所述的方法步骤。

应用本申请实施例提供的网络节点进行报文转发时，若网络节点对应的目标SID的功能字段中包括安全认证指令，这种情况下，网络节点并没有直接转发SRv6报文，而是依据目标参数，对SRv6报文进行安全认证指令指示的安全认证处理之后，再转发经过安全认证处理的SRv6报文。由于网络节点对SRv6报文进行了安全认证指令指示的安全认证处理，可以提高SRv6报文的安全性，因此，网络节点应用本申请实施例提供的方案，转发经安全认证处理后的SRv6报文，可以提高转发SRv6报文的安全性。

机器可读存储介质可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述应用于网络节点的任一报文转发方法的步骤。

执行本申请实施例提供的计算机可读存储介质中存储的计算机程序进行报文转发时，若网络节点对应的目标SID的功能字段中包括安全认证指令，这种情况下，网络节点并没有直接转发SRv6报文，而是依据目标参数，对SRv6报文进行安全认证指令指示的安全认证处理之后，再转发经过安全认证处理的SRv6报文。由于网络节点对SRv6报文进行了安全认证指令指示的安全认证处理，可以提高SRv6报文的安全性，因此，网络节点应用本申请实施例提供的方案，转发经安全认证处理后的SRv6报文，可以提高转发SRv6报文的安全性。

在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中应用于网络节点的任一报文转发方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质和计算机程序产品而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims

一种报文转发方法，其特征在于，应用于网络节点，所述方法包括：

获得SRv6报文；

若目标段标识SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数，并依据所述目标参数，对所述SRv6报文进行安全认证处理，其中，所述目标SID为：所述SRv6报文的报文头携带的分段列表中与所述网络节点对应的SID，所述目标参数为：所述报文头中记录的所述安全认证指令的参数；

向下一跳设备转发处理后的SRv6报文。
根据权利要求1所述的方法，其特征在于，所述SRv6报文为所述SRv6报文的来源网络节点通过以下方式生成的：

接收原始报文；

若确定出需要转发所述原始报文的SRv6转发路径中存在不安全网络节点，则获得安全认证指令的参数，其中，所述安全认证指令指示：所述不安全网络节点对SRv6报文进行安全认证处理；

判断所述安全认证指令的参数的数据量是否大于SID的参数字段的最大数据量；

若为是，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含第一参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述SRv6报文的所述报文头中的扩展字段中包含第二参数，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段和所述报文头中的扩展字段，所述第一参数为：所述安全认证指令的参数中数据量小于等于所述最大数据量的部分参数，所述第二参数为：所述安全认证指令的参数中除所述第一参数之外的参数；

若为否，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含所述安全认证指令的参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段。
根据权利要求2所述的方法，其特征在于，所述根据所述安全认证指令指示的操作，获取目标参数，包括：

若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段，则从所述目标SID的参数字段包含的参数中，获取目标参数；

若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段和报文头扩展字段，则从所述目标SID的参数字段包含的参数和所述报文头中的扩展字段包含的参数中，获取目标参数。
根据权利要求1-3中任一项所述的方法，其特征在于，所述安全认证指令包括：加封装指令，所述加封装指令指示对所述SRv6报文的有效载荷进行加封装处理；

所述依据所述目标参数，对所述SRv6报文进行安全认证处理，包括：

依据所述目标参数，对所述SRv6报文的有效载荷进行加封装处理。
根据权利要求1-3中任一项所述的方法，其特征在于，所述安全认证指令包括：解封装指令，所述解封装指令指示对所述SRv6报文的有效载荷进行解封装处理；

所述依据所述目标参数，对所述SRv6报文进行安全认证处理，包括：

依据所述目标参数，对所述SRv6报文的有效载荷进行解封装处理。
一种报文转发装置，其特征在于，应用于网络节点，所述装置包括：

报文获得模块，用于获得SRv6报文；

安全处理模块，用于若目标SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数，并依据所述目标参数，对所述SRv6报文进行安全认证处理，其中，所述目标SID为：所述SRv6报文的报文头携带的分段列表中与所述网络节点对应的SID，所述目标参数为：所述报文头中记录的所述安全认证指令的参数；

报文转发模块，用于向下一跳设备转发处理后的SRv6报文。
根据权利要求6所述的装置，其特征在于，所述SRv6报文为所述SRv6报文的来源网络节点通过以下方式生成的：

接收原始报文；

若确定出需要转发所述原始报文的SRv6转发路径中存在不安全网络节点，则获得安全认证指令的参数，其中，所述安全认证指令指示：所述不安全网络节点对SRv6报文进行安全认证处理；

判断所述安全认证指令的参数的数据量是否大于SID的参数字段的最大数据量；

若为是，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含第一参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述SRv6报文的所述报文头中的扩展字段中包含第二参数，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段和所述报文头中的扩展字段，所述第一参数为：所述安全认证指令的参数中数据量小于等于所述最大数据量的部分参数，所述第二参数为：所述安全认证指令的参数中除所述第一参数之外的参数；

若为否，则针对所述不安全网络节点，生成功能字段中包含所述安全认证指令、且参数字段中包含所述安全认证指令的参数的SID，并基于所述原始报文生成所述SRv6报文，其中，所述安全认证指令还指示：所述安全认证指令的参数存储于所述参数字段。
根据权利要求7所述的装置，其特征在于，所述安全处理模块，具体用于：

若目标SID的功能字段中包括安全认证指令，若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段，则从所述目标SID的参数字段包含的参数中，获取目标参数；

若目标SID的功能字段中包括安全认证指令，若所述安全认证指令指示所述安全认证指令的参数存储于所述参数字段和报文头扩展字段，则从所述目标SID的参数字段包含的参数和所述报文头中的扩展字段包含的参数中，获取目标参数；

依据所述目标参数，对所述SRv6报文进行安全认证处理。
根据权利要求6-8中任一项所述的装置，其特征在于，所述安全认证指令包括：加封装指令，所述加封装指令指示对所述SRv6报文的有效载荷进行加封装处理；

所述安全处理模块，具体用于：

若目标SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数；

依据所述目标参数，对所述SRv6报文的有效载荷进行加封装处理。
根据权利要求6-8中任一项所述的装置，其特征在于，所述安全认证指令包括：解封装指令，所述解封装指令指示对所述SRv6报文的有效载荷进行解封装处理；

所述安全处理模块，具体用于：

若目标SID的功能字段中包括安全认证指令，根据所述安全认证指令指示的操作，获取目标参数；

依据所述目标参数，对所述SRv6报文的有效载荷进行解封装处理。
一种网络节点，其特征在于，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现权利要求1-5任一所述的方法步骤。
一种机器可读存储介质，其特征在于，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现权利要求1-5任一所述的方法步骤。