[发明专利]一种校验SRv6报文的方法及装置

说明书

本申请实施例公开了一种校验SRv6报文的方法，IPSec隧道的出口节点可以接收SRv6报文，该SRv6报文为采用IPSec传输模式封装的报文。该SRv6报文包括AH和至少一个SRH。SRv6报文中携带有第一指示信息，该第一指示信息用于指示出口节点对SRv6报文进行AH校验。AH校验的校验范围包括该至少一个SRH。该方法可以避免网络黑客利用SRH进行网络攻击。例如可以避免网络黑客通过篡改SRH或者插入新的SRH来进行网络攻击。而且，该方案还具备资源消耗少、可以防止重放攻击并支持密钥协商、可以在利用SRH进行SRv6报文转发的前提下，对SRv6报文的SRH进行验证等优点。

本申请要求于2020年05月19日提交中国专利局、申请号为202010424481.4、发明名称为“一种采用AH校验SRv6报文的方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种校验SRv6报文的方法及装置。

背景技术

互联网协议第6版段路由(Segment Routing Internet Protocol Version 6，SRv6)技术，可以将分段路由(segment routing，SR)技术应用于互联网协议第六版(internet protocol version 6，IPv6)报文的转发。

目前，利用SRv6技术进行报文转发时，存在一定的安全隐患。

发明内容

本申请实施例提供了一种校验SRv6报文的方法及装置，可以降低利用SRv6技术转发报文时的安全隐患。

第一方面，本申请实施例提供了一种校验SRv6报文的方法，该方法可以由IPv6因特网协议安全(Internet protocol security，IPSec)隧道的出口节点执行，以验证在IPSec隧道中传输的SRv6报文是否被篡改。可选地，出口节点接收SRv6报文，该SRv6报文为采用IPSec传输模式封装的报文。该SRv6报文包括分段路由头(segment routing header，SRH)和认证头(Authentication Header，AH)。在本申请实施例中，SRv6报文中携带有第一指示信息，该第一指示信息用于指示出口节点对SRv6报文进行AH校验。出口节点接收到SRv6报文之后，不仅仅可以利用SRH指导SRv6报文转发，还可以根据该第一指示信息和AH对SRv6报文进行AH校验。在本申请实施例中，AH校验的校验范围包括至少一个SRH。由此可见，利用申请实施例的方案，可以采用IPSec传输模式封装SRv6报文，并利用AH校验对SRv6报文的至少一个SRH进行校验。该方法与采用HMAC校验对SRH进行校验而言，可以减少对SRH进行校验所带来的资源消耗，可以防止重放攻击并支持密钥协商，并且，可以防止网络黑客通过新增SRH的方式进行网络攻击。该方法与利用AH校验对采用IPSec隧道模式封装的SRv6报文进行校验而言，可以在利用SRH进行SRv6报文转发的前提下，对SRv6报文的至少一个SRH进行验证。该方法相对于传统的利用AH校验对采用IPSec传输模式封装的IPv6报文进行校验而言，可以对至少一个SRH进行校验。利用该方法，可以避免网络黑客利用SRH进行网络攻击。此处提及的利用SRH进行网络攻击，包括篡改SRH和/或插入新的SRH来进行网络攻击。

另外，采用AH校验对SRH进行校验，还可以支持密钥协商和防止重放攻击。

在一种实现方式中，该IPSec隧道的出口节点为所述SRv6报文转发路径上的一个中间节点。

在一种实现方式中，在该IPSec隧道中，该SRv6报文基于SRH进行转发。

在一种实现方式中，SRv6报文中的第一指示信息可以通过SRH来携带。