[发明专利]一种SR报文传输方法、装置及系统

说明书

本申请实施例公开一种SR报文传输方法、装置及系统，涉及通信领域，实现简单低成本的SR报文转发，降低安全网络的资源消耗和部署难度。该方法具体包括：第一节点设备获取第一SR报文，第一SR报文中一个或多个节点设备的SID为隐藏SID；第一节点设备根据第一SR报文，确定第二节点设备的真实SID；第一节点设备按照第二节点设备的真实SID，向第二节点设备发送第二SR报文，第二SR报文中传输路径上第一跳节点至第三节点设备的SID为隐藏SID，第三节点设备为第一节点设备或者第二节点设备。

技术领域

本申请实施例涉及通信领域，尤其涉及一种段路由(segment routing，SR)报文传输方法、装置及系统。

背景技术

随着SR技术的普及，基于互联网协议版本6(internet protocol version 6，IPv6)转发面的SR技术应运而生。基于IPv6转发面的SR称之为IPv6段路由(IPv6 segmentrouting，简称SRv6)，是基于源路由理念而设计的在网络上转发IPv6数据包的方法。

为了在IPv6报文中实现SRv6转发，在IPv6报文中插入一个路由扩展头(segmentrouting header，SRH)，用于进行Segment的编程组合形成SRv6路径。图1示意了一种SRv6的报文封装格式，包括IPv6报文头，SRH以及报文负荷。

如图1所示，SRH中压入了一个显式的路径信息(段列表segment list)，中间节点根据SRH中段索引(segmentleft，SL)的指示，根据显式的路径信息进行逐跳转发，端到端实现隧道可达。

但是，由于SRH头中包含有完整的路径信息，攻击者若能在某个节点上获取到SRv6流量报文，通过解析SRH头即可获取路径信息展开网络攻击。

互联网协议安全性(internet protocol security，IPSec)使用加密的安全服务以确保在互联网协议(internet protocol，IP)网络上进行保密而安全的通讯。但是，若将IPSec应用于SRv6技术，由于IPSec是端到端的加密，中间传输过程是透明的，路由防火墙等基于内容过滤的安全策略将无法存在，且IPSec网络创建维护复杂成本高、路由器资源开销巨大。

因此，如何实现简单低成本的SR报文转发，以降低安全网络的资源消耗和部署难度，成为亟待解决的问题。

发明内容

本申请提供一种一种SR报文传输方法、装置及系统，实现简单低成本的SR报文转发，降低安全网络的资源消耗和部署难度。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种SR报文传输方法，应用于第一节点设备，该第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备，该方法可以包括：第一节点设备获取第一SR报文，该第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识(segment ID，SID)，第一SR报文中部分或全部SID为隐藏SID，N大于或等于2，小于或等于传输路径上除首节点之外节点设备的数量；第一节点设备根据第一SR报文，确定第二节点设备的真实SID，第二节点设备为第一SR报文包括的SID中第一节点设备的下一跳节点设备；第一节点设备按照第二节点设备的真实SID，向第二节点设备发送第二SR报文，第二SR报文包括该N个节点设备的SID，第二SR报文包括的SID中第一个SID至第三节点设备的SID为隐藏SID，第三节点设备为第一节点设备或者第二节点设备。

通过本申请提供的SR报文传输方法，通过在SR报文中携带节点设备的隐藏SID，替代了显示路径信息，攻击者即使获取到SR报文，由于其对隐藏SID无法识别，也就无法获得具体的路径信息，也就进行攻击。在SR报文中携带隐藏SID的方式实现简单、节约资源且成本低，同时提高了SR报文传输的安全性，降低了安全网络的资源消耗和部署难度。