[发明专利]使用带内元数据的网络路径通过验证

权利要求书

1.一种用于验证网络分组通过了网络中的多个网络节点的通过验证的方法，包括：

获取关于网络中的网络节点处的分组的信息，所述信息包括所述分组的带内元数据，其中，所述带内元数据包括第一值和第二值，所述第一值唯一地标识所述分组并且所述第二值由所述多个网络节点累积地更新；

从所述分组的带内元数据读取验证信息；

根据从所述分组读取的所述验证信息并且基于与所述网络节点相关联的配置信息生成经更新的验证信息，其中，所述配置信息包括所述网络节点的秘密；

将所述经更新的验证信息写回到所述分组中的带内元数据；以及

从所述网络中的所述网络节点转发所述分组；

其中，所述秘密是加密密钥并且所述带内元数据包括第三值，其中，生成所述经更新的验证信息包括：

使用所述加密密钥来加密所述第三值以生成加密结果；以及

将所述加密结果与已经存储在所述带内元数据中的累积加密结果相组合。

2.如权利要求1所述的方法，其中，在所述网络中的多个网络节点中的每一个处执行获取、读取、生成、写入、以及转发。

3.如权利要求2所述的方法，还包括基于所述经更新的验证信息和所述多个网络节点中的每一个的配置信息来验证所述分组在所述网络中的路径通过验证。

4.如权利要求3所述的方法，其中，所述路径是包括多个服务功能的服务链。

5.如权利要求3所述的方法，其中，所述路径是用于流量工程的路线。

6.如权利要求3所述的方法，其中，所述验证信息在所述分组通过网络节点时被累积地更新。

7.如权利要求1所述的方法，其中，所述秘密是根据Shamir秘密共享方案被创建和分发的，并且所述验证在被配置为使用所述带内元数据来验证所述分组经过了所述网络中的路径的出口节点处被执行。

8.如权利要求1所述的方法，其中，所述带内元数据由所述分组的扩展头部或隧道头部运载。

9.如权利要求1所述的方法，还包括所述网络节点从服务器接收所述配置信息。

10.如权利要求1所述的方法，其中，所述验证信息包括用于验证所述网络中的分组的路径的信息。

11.如权利要求10所述的方法，其中，所述带内元数据以下列项的一项或多项来运载：IPv6扩展头部中的选项、目的地选项IPv6扩展头部、逐跳IPv6扩展头部的选项、路由选项IPv6扩展头部、用于分段路由的IPv6扩展头部、用于操作、管理和维护(OAM)的IPv6扩展、隧道头部、伪标签、以及网络服务头部的扩展头部。

12.一种用于验证网络分组通过了网络中的多个网络节点的通过验证的方法，包括：

生成与通过网络中的多个网络节点的路径相关联的秘密，针对所述路径将验证分组已经通过；以及

将所述秘密分发给所述多个网络节点中的相应的网络节点，以使得每个网络节点能够在分组行进通过所述网络中的路径时基于由所述分组运载的带内元数据来生成所述分组的经更新的验证信息，其中，所述带内元数据包括第一值和第二值，所述第一值唯一地标识所述分组并且所述第二值由所述多个网络节点累积地更新；

并且其中，所述秘密是加密密钥并且所述带内元数据包括第三值，其中，生成所述经更新的验证信息包括：

使用所述加密密钥来加密所述第三值以生成加密结果；以及

将所述加密结果与已经存储在所述带内元数据中的累积加密结果相组合。

13.如权利要求12所述的方法，其中，生成包括为所述多个网络节点中的每一个生成新的秘密，并且响应于来自所述多个网络节点中的一个网络节点的请求，将所述新的秘密分发给所述多个网络节点中的相应的网络节点。