CN111541696B - 随机认证嵌入的快速源和路径验证方法 - Google Patents

Abstract

本发明公开了一种随机认证嵌入的快速源和路径验证方法，包括：数据流源端生成对应的多个分片式信息，并向期望路径上的各个路由节点发送当前数据流的通告信息；数据流源端以相同概率随机选择部分不同的分片式信息嵌入到待发送数据包头部，将待发送数据包发送到期望路径的下一跳路由节点；期望路径上的中间各路由节点对接收到数据包进行验证，验证通过时，向下一路由节点转发该数据包；数据流目的端接收到数据包后，对接收到的数据包进行验证，验证通过后，对期望路径执行解析验证评估分析。该方法有效减少验证结构在数据包中引入的额外通信开销，最大化降低各路由节点对验证结构的处理开销，确保了数据传输中验证过程的简便、高效和可实施性。

Description

随机认证嵌入的快速源和路径验证方法

技术领域

本发明涉及网络安全技术领域，特别涉及一种随机认证嵌入的快速源和路径验证方法。

背景技术

当前互联网的规模正在快速扩张，网络为用户提供的服务内容更加新颖、类型日趋多元化，用户对网络服务安全性、可信可保障能力需求也日益提高。随着网络安全事件的不断曝光，用户逐渐开始关注网络潜在的安全威胁。一些恶意攻击者常常利用中间路由节点缺乏对转发行为的检验而发起数据流重定向攻击，使用户数据包经过除正常路径以外的其它区域(包含攻击者控制的恶意节点)，导致隐私敏感数据信息可能被窃听并且极大地影响了网络传输效率。另外，恶意攻击者还可能仿冒源地址信息在数据包中嵌入恶意代码等有害载荷对目的端进行注入攻击，或者泛洪发起任意的数据流对目的端进行分布式拒绝服务攻击等。源和路径是上述安全问题涉及的两项关键要素，如何在现有网络环境中很好地实现源和路径验证对提升网络传输安全性具有重大意义。

当前，针对数据源进行检验的研究工作较多，例如网络攻击的源抑制、目的端的源过滤防御、安全接入访问控制等，但是同时解决源和路径信息真实性验证问题的研究工作相对缺乏。现有源和路径信息的验证方案主要是基于路由器标记嵌入的方式，即该方案要求数据包经过的路由器计算一个特殊标记并嵌入数据包头部的验证结构中，后续路由节点及最终目的端将根据验证结构完成实际检验。这种方法不仅引入的数据包额外载荷较多增大了网络通信开销，而且每个路由器进行验证所需的复杂计算较多加剧了设备处理开销。特别是当网络中存在隐匿攻击节点时，这些潜在节点不执行验证方案技术要求，对数据包进行异常操作后不添加任何有关自己的标记，后续正常节点以及目的端将很难检测出此类问题。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种随机认证嵌入的快速源和路径验证方法，该方法有效减少验证结构在数据包中引入的额外通信开销，最大化降低各路由节点对验证结构的处理开销，确保了数据传输中验证过程的简便、高效和可实施性。

为达到上述目的，本发明一方面实施例提出了一种随机认证嵌入的快速源和路径验证方法，包括：

数据流源端根据预定路径策略生成对应的期望路径验证结构，并向所述期望路径上的各个路由节点发送当前数据流的通告信息；其中，所述期望路径验证结构包括N片待验证的分片式信息，N为所述期望路径的跳数；

数据流源端以相同概率随机在所述期望路径验证结构中选择m个不同的分片式信息嵌入到数据流的待发送数据包头部，将嵌入分片式信息后的待发送数据包发送到所述期望路径的下一跳路由节点；其中，m大于等于1，小于等于N；

所述期望路径上的中间各路由节点接收到数据包，当接收到的数据包中嵌入了与本路由节点对应的分片式信息时，对对应的分片式信息执行解析验证，验证通过时，向下一路由节点转发该数据包；

在当接收到的数据包中没有嵌入与本路由节点对应的分片式信息时，根据所述通告信息执行简化验证，验证通过时，向下一路由节点转发该数据包；

数据流目的端接收到数据包后，通过所述执行解析验证或所述执行简化验证对接收到的数据包进行验证，验证通过时，则完成数据包在所述期望路径上的验证，接收到的数据包正常，验证未通过时，则丢弃该数据包；

对所述期望路径执行解析验证评估分析，根据不同的安全级别需求，设置不同期望路径解析验证率，实现不同级别的源和路径验证强度。

本发明实施例的随机认证嵌入的快速源和路径验证方法，通过对期望的源和路径信息进行分片式认证，在发送源端按照所需安全级别随机在数据包头部嵌入认证分片，各路由节点及目的端实时依据认证信息对接收到的数据包执行转发状态真实性检验。整个验证过程根据安全级别需求可以有效控制和减少验证结构带来的额外通信开销，同时各路由节点不需要更改数据包头部的验证结构(即不添加任何标记)最大化减少验证所需的复杂计算次数，使得各路由节点完成异常检验的额外开销较小且验证步骤较为简便、快速和高效，确保了网络***中数据传输真实性验证的轻量级和可实施性，另外各路由节点能够及时对异常情况发送报告，帮助进一步发现潜在恶意节点和定位错误转发行为。特别是在软件定义网络架构中，控制节点可以提供不同数据流的认证分片生成服务并提交给发送源端，完成不同数据流通告信息下发，进一步减少发送源端与各转发节点的状态信息交互，同时控制节点还可以高效地收集各转发节点的异常错误报告，更加快速地为核心网络的可信安全性提供信息支撑。

另外，根据本发明上述实施例的随机认证嵌入的快速源和路径验证方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述期望路径上的不同路由节点收到的通告信息不同，所述通告信息包括各路由节点的预期上一跳信息和数据流有效时限，各个路由节点需要通过针对不同数据流的验证对称密钥对所述通告信息进行解析，各个路由节点按照数据流有效时限值临时存储维护所收到的通告信息。

进一步地，在本发明的一个实施例中，所述数据流源端根据所述期望路径上各路由节点的针对不同数据流的验证对称密钥，加密生成所述期望路径验证结构的分片式信息。

进一步地，在本发明的一个实施例中，最后一片分片式信息VS_Last是对数据流目的端R_Last的期望上一跳信息和数据流源端R₀信息根据目的端的数据流验证对称密钥进行了加密处理产生的；

除最后一片分片式信息VS_Last外的分片式信息VS_i是对某个路由节点R_i的期望上一跳信息根据该节点的数据流验证对称密钥进行了加密处理产生的。

进一步地，在本发明的一个实施例中，当接收到的数据包中嵌入了与本路由节点对应的分片式信息时，对对应的分片式信息执行解析验证，包括：

所述期望路径上的中间路由节点利用自己的数据流验证对称密钥对对应的分片式信息执行解析验证，获得当前数据包的期望上一跳信息，判断当前数据包的实际接收端口的上一跳信息与所述期望上一跳信息是否一致，若一致，则验证通过，同时该路由节点以最新解析获得的期望上一跳信息更新替换所述通告信息中临时存储的预期上一跳信息值；若不一致，则验证未通过。

进一步地，在本发明的一个实施例中，当接收到的数据包中没有嵌入与本路由节点对应的分片式信息时，根据所述通告信息执行简化验证，包括：

所述期望路径上的中间路由节点利用所述通告信息中的期望上一跳信息与当前数据包的实际接收端口的上一跳信息进行比较，判断是否一致，若一致，则验证通过；若不一致，则验证未通过。

进一步地，在本发明的一个实施例中，所述期望路径上的中间各路由节点对接收到数据包进行验证，在验证未通过时，则丢弃该数据包，并根据安全级别向数据流源端和数据流目的端分别发送错误报告信息，和\或，预警报告信息。

进一步地，在本发明的一个实施例中，在安全需求级别高于设定值时，各路由节点在数据流有效时限内，以随机时间间隔针对接收到的该数据流数据包主动产生预警报告信息，并分别传送给数据流源端和数据流目的端，所述预警报告信息至少包含在某时间间隔内接收到数据流的该数据包，以及该数据包验证状态是否通过的信息。

进一步地，在本发明的一个实施例中，数据流目的端接收到数据包后，通过所述执行解析验证或所述执行简化验证对接收到的数据包进行验证，包括：

将当前数据包的实际接收端口的上一跳信息与当前数据包的期望上一跳信息进行比较，在一致时，再将当前数据包头部的实际发送源地址信息与期望起始节点信息进行比较，若一致，则验证通过，若不一致，则验证未通过，丢弃数据包。

进一步地，在本发明的一个实施例中，对所述期望路径执行解析验证评估分析，包括：

在数据流的X个数据包已经嵌入了所述期望路径验证结构的全部N片分片式信息至少一次时，中间各路由节点直至数据流目的端接收到所有数据包后至少执行一次解析验证，实现所述期望路径的一次解析验证；

数据流源端将某一分片式信息嵌入到某个数据包中的概率为：

数据流源端已发送了t个数据包，此时数据流源端已将某一分片式信息嵌入到数据包中的概率q_t,i为：

对于所述期望路径验证结构的所有N片分片式信息，数据流源端在已发送的X个数据包中将其全部分片嵌入至少一次时，已发送包数X小于等于t的概率P(X≤t)为：

对于总发送数据包数X，期望值为：

根据P(X≥t)＝1-P(X≤t-1)和公式(2)，总发送数据包数X的期望值为：

对公式(4)进行推导，得到期望值的下限范围为：

期望路径解析验证率为：K＝v/E(X)

其中，K为期望路径的解析验证率，v为数据流的数据包发送速率。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明一个实施例的随机认证嵌入的快速源和路径验证方法流程图；

图2为根据本发明一个实施例的随机认证嵌入的快速源和路径验证方法流程框图；

图3为根据本发明一个实施例的不同期望路径长度和嵌入分片数条件下期望值变化情况。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的随机认证嵌入的快速源和路径验证方法。

本发明依照预定路径策略，设计针对数据流源和路径信息的分片式认证结构，使得各路由节点及目的端能够实时按照认证结构和认证信息，对接收到的数据包执行转发状态真实性检验。

在本发明的实施例中，第一，假设数据流源端(或目的端)可以预先与网络运营商达成一致，并以多种方式提前学***面的路由协议。第二，假设数据流源端和路径策略所涉及的各路由节点R_i之间，最初分别使用安全方法(例如现有方法Diffie-Hellman)完成数据流传输验证所需对称密钥(Key_R_i.Session)的交换，即数据流源端在传输初始化阶段已得知各路由节点针对该数据流的验证对称密钥。第三，数据流源端和各路由节点R_i根据安全需求级别可以使用基于身份的签名***(例如现有以身份ID作为公钥的***)对自己所产生的验证控制报文(即除了数据流实际数据载荷之外的真实性验证过程所需的控制信息)进行签名，包含数据流通告信息、错误报告等。暂不讨论验证控制报文可能丢失的情况，认为验证控制报文在传输通信中具有较高的优先级，且在实际数据包检验过程中验证控制报文可以经过多次或多方向发送来保证它们以非常大的概率被接收到。第四，假设在网络环境中，各网络节点都维护了自己和邻居节点的对应关系，参与某一数据流传输的所有节点均保持松散地时间同步(如采用NTP时间等)。

通过上述说明，下面详细描述本发明的具体方法步骤。

图1为根据本发明一个实施例的随机认证嵌入的快速源和路径验证方法流程图。

如图1所示，该随机认证嵌入的快速源和路径验证方法包括以下步骤：

步骤S1，数据流源端根据预定路径策略生成对应的期望路径验证结构，并向期望路径上的各个路由节点发送当前数据流的通告信息；其中，期望路径验证结构包括N片待验证的分片式信息，N为期望路径的跳数。

进一步地，期望路径上的不同节点收到的通告信息不同，通告信息包括各路由节点的预期上一跳信息和数据流有效时限，各个路由节点需要通过针对不同数据流的验证对称密钥对所述通告信息进行解析，各个路由节点按照数据流有效时限值临时存储维护所收到的通告信息。

具体地，数据流源端依照预定路径策略生成对应的期望路径验证结构(后续称为EPVS结构)，并向期望路径上的各路由节点推送当前数据流的通告信息。

在某数据流传输初始化阶段，数据流源端使用已得知的期望路径上各路由节点的验证对称密钥，加密生成可作为预定路径策略认证的EPVS验证结构。该EPVS验证结构由多个待验证的分片式信息(后续称为VS信息)构成，具体包含的分片个数等于期望路径的跳数(即比期望路径上节点数少一个)，并且某个VS信息是对某个路由节点R_i的期望上一跳信息借助该节点的数据流验证对称密钥进行了加密处理产生的，这里将第i片VS_i信息表示为<R_i-1>，特别地最后一片VS_Last信息是对目的端R_Last的期望上一跳信息和数据流源端信息借助目的端的数据流验证对称密钥进行了加密处理产生的，其被表示为<R_Last-1R₀>。

此外，数据流源端会向期望路径上的各路由节点(包括数据流目的端)发送该数据流的通告信息，这个通告内容主要包含最初期望路径上各网络节点的预期上一跳信息、数据流有效时限等，用于提醒各网络节点为后续该数据流的验证工作做好准备，不同节点接收的通告信息不同，都只能由节点针对该数据流的验证对称密钥进行解析，各路由节点会按照数据流有效时限值临时存储维护所收到的通告信息。

步骤S2，数据流源端以相同概率随机在期望路径验证结构中选择m个不同的分片式信息嵌入到数据流的待发送数据包头部，将嵌入分片式信息后的待发送数据包发送到期望路径的下一跳路由节点；其中，m大于等于1，小于等于N。

具体地，数据流源端以相同概率随机将EPVS验证结构(共N个VS分片)中的m(1≤m≤N)个不同的VS分片嵌入到待发送数据包头部(即IP头部和TCP头部之间)，并将已携带VS分片的数据包发送到下一跳路由节点。

由于每个VS分片被选中的概率相等，那么源端将某一VS_i分片嵌入到某个数据包中的概率为

如果源端已发送了t个数据包，那么此时源端已将某一VS_i分片嵌入到数据包中的概率q_t,i可以按照公式(1)进行计算。对于EPVS验证结构的所有N个VS分片，源端采用上述方式在已发送的X个数据包中将其全部分片嵌入至少一次时，已发送包数X小于等于t的概率P(X≤t)可以按照公式(2)进行计算。

步骤S3，期望路径上的中间各路由节点接收到数据包，当接收到的数据包中嵌入了与本路由节点对应的分片式信息时，对对应的分片式信息执行解析验证，验证通过时，向下一路由节点转发该数据包。

进一步地，当接收到的数据包中嵌入了与本路由节点对应的分片式信息时，对对应的分片式信息执行解析验证，包括：

期望路径上的中间路由节点利用自己的数据流验证对称密钥对对应的分片式信息执行解析验证，获得当前数据包的期望上一跳信息，判断当前数据包的实际接收端口的上一跳信息与期望上一跳信息是否一致，若一致，则验证通过，同时该路由节点以最新解析获得的期望上一跳信息更新替换通告信息中临时存储的预期上一跳信息值，若不一致，则验证未通过。

进一步地，期望路径上的中间各路由节点对接收到数据包进行验证，在验证未通过时，则丢弃该数据包，并根据安全级别向数据流源端和数据流目的端分别发送错误报告信息，和\或，预警报告信息。

具体地，中间各路由节点接收到数据流的数据包后，如果当前数据包头部已嵌入了与自己相对应的VS分片，则通过解析该VS分片完成当前数据包的实际转发状态检验(后续称为执行解析验证)。对于某路由节点R_i，如果接收到的数据包头部携带了VS_i分片信息，那么节点R_i使用自己的验证对称密钥解析该VS_i分片(即<R_i-1>)获得期望上一跳信息是R_i-1，并与当前该数据包的实际转发状态进行比较，即判断该数据包实际接收端口的上一跳信息(用R_i-1’表示)是否与R_i-1一致。如果一致，则表示数据包经过了期望路径认可的上一跳节点，数据包当前转发状态的验证通过，路由节点将继续向后转发该数据包。同时，路由节点R_i以最新解析获得的期望上一跳信息R_i-1更新替换该数据流通告信息中临时存储的预期上一跳信息值。

如果不一致，路由节点R_i发现验证失败，将丢弃该数据包以阻止异常数据包继续向后到达接收端造成安全危害，并且节点R_i需要根据实际情况向数据流源端和目的端发布错误报告信息。当安全需求级别较高时(高于设定值时)，各路由节点还将在数据流有效时限内，以随机时间间隔针对接收到的该数据流数据包主动产生预警报告信息(即预警报告信息描述某时间间隔内收到了该数据流的数据包，其验证状态是否正常等关键内容)，分别传递给相应的数据流源端和目的端。

步骤S4，当接收到的数据包中没有嵌入与本路由节点对应的分片式信息时，根据通告信息执行简化验证，验证通过时，向下一路由节点转发该数据包。

进一步地，当接收到的数据包中没有嵌入与本路由节点对应的分片式信息时，根据通告信息执行简化验证，包括：

期望路径上的中间路由节点利用通告信息中的期望上一跳信息与当前数据包的实际接收端口的上一跳信息进行比较，判断是否一致，若一致，则验证通过，若不一致，则验证未通过。

具体地，如果中间路由节点接收到的数据包头部没有嵌入与自己相对应的VS分片，则通过与临时存储的数据流通告信息中预期上一跳信息值进行比较，完成当前数据包的实际转发状态检验(后续称为执行简化验证)。执行简化验证虽然跳过了使用验证对称密钥解密分片信息的耗时处理操作，但是并没有损失数据包实际转发状态的验证功能。考虑到某数据流传输在网络节点接收几个数据包的较短时间间隔内，期望路径信息(即预定路径策略)发生变化的可能性很小，对于某路由节点R_i+1，如果其接收到的数据包头部没有携带VS_i+1分片信息，那么节点R_i+1借助所存储的数据流通告信息中最新的预期上一跳信息值R_i，判断该数据包实际接收端口的上一跳信息(用R_i’表示)是否与R_i一致。如果一致，该数据包当前转发状态的验证通过，路由节点将继续向后转发该数据包。否则，路由节点R_i发现验证失败，将丢弃该数据包同时按照根据实际情况向数据流源端和目的端发布相应的错误报告信息或预警报告信息。

步骤S5，数据流目的端接收到数据包后，通过执行解析验证或执行简化验证对接收到的数据包进行验证，验证通过时，则完成数据包在期望路径上的验证，接收到的数据包正常，验证未通过时，则丢弃该数据包。

进一步地，数据流目的端接收到数据包后，通过执行解析验证或执行简化验证对接收到的数据包进行验证，包括：

将当前数据包的实际接收端口的上一跳信息与当前数据包的期望上一跳信息进行比较，在一致时，再将当前数据包头部的实际发送源地址信息与期望起始节点信息进行比较，若一致，则验证通过，若不一致，则验证未通过，丢弃数据包。

具体地，数据流目的端接收到数据流的数据包后，依据当前数据包是否嵌入与自己相对应的VS分片，对应采用步骤S3的解析验证或步骤S4的简化验证的方法，比较当前数据包实际接收端口的上一跳信息R_Last-1’是否与解析得到(或通告信息中)的期望上一跳信息R_Last-1一致，还将判断当前数据包头部的发送源地址信息是否与解析得到的(或通告信息中)期望起始节点信息R₀一致。若上述验证均通过，则表示数据包在整个数据流传输路径上的验证工作已完成，接收到的数据包状态正常。否则，接收端发现验证失败，将丢弃该数据包以阻止异常数据包产生更大的安全危害。

步骤S6，对期望路径执行解析验证评估分析，根据不同的安全级别需求，设置不同期望路径解析验证率，实现不同级别的源和路径验证强度。

对期望路径执行解析验证评估分析，包括：

在数据流的X个数据包已经嵌入了期望路径验证结构的全部N片分片式信息至少一次时，中间各路由节点直至数据流目的端接收到所有数据包后至少执行一次解析验证，实现期望路径的一次解析验证；

对于总发送数据包数X，期望值为：

根据P(X≥t)＝1-P(X≤t-1)和公式(2)，总发送数据包数X的期望值为：

对公式(4)进行推导，得到期望值的下限范围为：

期望路径解析验证率为：K＝v/E(X)

其中，K为期望路径的解析验证率，v为数据流的数据包发送速率。

具体地，对整条期望路径被解析验证一次的总发送数据包数评估和期望路径解析验证率进行分析。当发送的X个数据包采用步骤S2方法已嵌入了EPVS验证结构全部N个VS分片至少一次时，中间各网络节点直至目的端接收到这些数据包后可以至少执行一次解析验证，即实现了整条期望路径的一次解析验证。

对于总发送数据包数X，其期望值可以按照公式(3)进行计算。又因为P(X≥t)＝1-P(X≤t-1)且结合公式(2)，总发送数据包数X的期望值进一步按照公式(4)求得。

进一步推导总发送数据包数X的期望值，得到该期望值的下限范围如公式(5)所示。

如果某数据流的数据包发送速率是v(包/秒)，这里定义对数据流传输的整条期望路径的解析验证率为K(次/秒)，则解析验证率K＝v/E(X)。对应于不同的安全需求级别，当已知数据流发包速率v时，通过设置不同的数据包嵌入VS分片数m，即产生不同的总发送数据包数期望值，可以获得一定的期望路径解析验证率。

可以理解的是，求得期望路径解析验证率K之后，数据流源端在数据流的待发送数据包头部(即IP头部和TCP头部之间)嵌入的不同分片式信息数量m，可以考虑不同的安全级别需求，依据期望路径解析验证率K进行设置。

通过上述介绍，本发明实施例的方法提出了一种随机认证嵌入的快速源和路径真实性验证技术，以期望的源和路径信息为依据，重点关注路由转发策略是否被真实执行，通过各路由节点实时对接收的数据包进行检验，判断当前数据包转发状态是否存在异常情况，如果存在异常情况及时丢弃异常数据包，并产生该数据流的异常错误报告，以防止对后续路由节点计算存储资源的恶意消耗，缓解对目的端可能造成的恶意攻击，并且为发现潜在恶意节点和定位错误转发行为提供信息支撑。

特别是在软件定义网络架构中，可以借助控制平面与转发平面通信，更加有效地实现真实性验证信息通告和异常错误信息报告，进一步提升了真实性验证技术相关状态信息传输的可靠性和高效性。与相关技术相比，本本发明的实施例通过优化设计源和路径验证的流程步骤，不仅有效减少验证结构在数据包中引入的额外通信开销，而且最大化降低各路由节点对验证结构的处理开销，确保了数据传输中验证过程的简便、高效和可实施性，进一步为保障高速核心网络的可信安全性奠定基础。

根据图2所示的流程框图及具体实施例对随机认证嵌入的快速源和路径验证方法进行详细说明。

假设某一数据流的预定路径策略对应的期望传输路径为10跳，即从源端节点R₀经中间路由节点R₁至R₉直到目的端R₁₀。

1)数据流源端R₀依照预定路径策略生成对应的期望路径EPVS验证结构，完整的EPVS验证结构可以表示为{VS₁,VS₂,VS₃…VS₁₀}，即{<R₀>,<R₁>,<R₂>…<R₉R₀>}。同时，源端R₀向期望路径上的各路由节点，包括R₁至R₉直到目的端R₁₀，推送当前数据流的通告信息，提醒各网络节点存储通告信息中的预期上一跳信息值、数据流有效时限等内容，为后续该数据流的验证工作做好准备。

2)数据流源端R₀以相同概率P随机将EPVS验证结构共10个VS分片中的某一个VS分片嵌入到待发送数据包头部(即IP头部和TCP头部之间)，并将已携带VS分片的数据包发送到下一跳路由节点。具体地，将某一VS_i分片嵌入到某个数据包中的概率为

3)中间各路由节点接收到数据流的数据包后，如果当前数据包头部已嵌入了与自己相对应的VS分片，则执行解析验证操作。例如，路由节点R₅接收到的数据包头部携带了VS₅分片信息，那么节点R₅使用自己的验证对称密钥解析该VS₅分片获得期望上一跳信息是R₄，并与当前该数据包的实际转发状态进行比较，即判断该数据包实际接收端口的上一跳信息(用R₄’表示)是否与R₄一致。如果一致，则表示数据包经过了期望路径认可的上一跳节点，数据包当前转发状态的验证通过，路由节点将继续向后转发该数据包。同时，路由节点R₅以最新解析获得的期望上一跳信息R₄更新替换该数据流通告信息中临时存储的预期上一跳信息值。

如果不一致，路由节点R₅发现验证失败，将丢弃该数据包以阻止异常数据包继续向后到达接收端造成安全危害，并且节点R₅需要根据实际情况向数据流源端R₀和目的端R₁₀发布错误报告信息。当安全需求级别较高时，各路由节点还将在数据流有效时限内，以随机时间间隔针对接收到的该数据流数据包主动产生预警报告信息(即预警报告信息描述某时间间隔内收到了该数据流的数据包，其验证状态是否正常等关键内容)，分别传递给相应的数据流源端R₀和目的端R₁₀。

4)如果中间路由节点接收到的数据包头部没有嵌入与自己相对应的VS分片，则执行简化验证操作。例如，路由节点R₆接收到的数据包头部没有携带VS₆分片信息，那么节点R₆借助所存储的数据流通告信息中最新的预期上一跳信息值R₅，判断该数据包实际接收端口的上一跳信息(用R₅’表示)是否与R₅一致。如果一致，该数据包当前转发状态的验证通过，路由节点R₆将继续向后转发该数据包。否则，路由节点R₆发现验证失败，将丢弃该数据包同时按照根据实际情况向数据流源端R₀和目的端R₁₀发布相应的错误报告信息或预警报告信息。

5)目的端R₁₀接收到数据流的数据包后，依据当前数据包是否嵌入与自己相对应的VS分片，对应采用解析验证或简化验证的方法，比较当前数据包实际接收端口的上一跳信息R₉’是否与解析得到(或通告信息中)的期望上一跳信息R₉一致，还将判断当前数据包头部的发送源地址信息是否与解析得到的(或通告信息中)期望起始节点信息R₀一致。若上述验证均通过，则表示数据包在整个数据流传输路径上的验证工作已完成，接收到的数据包状态正常。否则，接收端发现验证失败，将丢弃该数据包以阻止异常数据包产生更大的安全危害。

6)整条期望路径执行解析验证的评估分析。在不同期望路径长度和不同的数据包VS分片嵌入数量的条件下，依据公式(4)和(5)，可以得到总发送数据包数期望值E(X)的变化情况如图3所示。其中，当期望路径的长度是10跳，对应EPVS验证结构包含10个VS分片，每次在数据包中嵌入1个VS分片条件下，期望值E(X)大约为27个数据包，而每次在数据包中嵌入3个不同的VS分片条件下，期望值E(X)大约为7个数据包。

如果一个数据流的数据包发送速率是74.9k(包/秒)，且数据流期望路径长度是15跳，对应EPVS验证结构包含15个VS分片，即使每次在数据包中嵌入1个VS分片条件下，期望值E(X)大约为47个数据包，那么该数据流传输的整条期望路径的解析验证率K约为1595(次/秒)，足够达到多数应用场景的安全需求。

根据本发明实施例提出的随机认证嵌入的快速源和路径验证方法，通过对期望的源和路径信息进行分片式认证，在发送源端按照所需安全级别随机在数据包头部嵌入认证分片，各路由节点及目的端实时依据认证信息对接收到的数据包执行转发状态真实性检验。整个验证过程根据安全级别需求可以有效控制和减少验证结构带来的额外通信开销，同时各路由节点不需要更改数据包头部的验证结构(即不添加任何标记)最大化减少验证所需的复杂计算次数，使得各路由节点完成异常检验的额外开销较小且验证步骤较为简便、快速和高效，确保了网络***中数据传输真实性验证的轻量级和可实施性，另外各路由节点能够及时对异常情况发送报告，帮助进一步发现潜在恶意节点和定位错误转发行为。特别是在软件定义网络架构中，控制节点可以提供不同数据流的认证分片生成服务并提交给发送源端，完成不同数据流通告信息下发，进一步减少发送源端与各转发节点的状态信息交互，同时控制节点还可以高效地收集各转发节点的异常错误报告，更加快速地为核心网络的可信安全性提供信息支撑。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (9)

1.一种随机认证嵌入的快速源和路径验证方法，其特征在于，包括以下步骤：

数据流源端根据预定路径策略生成对应的期望路径验证结构，并向所述期望路径上的各个路由节点发送当前数据流的通告信息；其中，所述期望路径验证结构包括N片待验证的分片式信息，N为所述期望路径的跳数；

数据流源端以相同概率随机在所述期望路径验证结构中选择m个不同的分片式信息嵌入到数据流的待发送数据包头部，将嵌入分片式信息后的待发送数据包发送到所述期望路径的下一跳路由节点；其中，m大于等于1，小于等于N；

所述期望路径上的中间各路由节点接收到数据包，当接收到的数据包中嵌入了与本路由节点对应的分片式信息时，对对应的分片式信息执行解析验证，验证通过时，向下一路由节点转发该数据包；

当接收到的数据包中没有嵌入与本路由节点对应的分片式信息时，根据所述通告信息执行简化验证，验证通过时，向下一路由节点转发该数据包；

数据流目的端接收到数据包后，通过所述执行解析验证或所述执行简化验证对接收到的数据包进行验证，验证通过时，则完成数据包在所述期望路径上的验证，接收到的数据包正常，验证未通过时，则丢弃该数据包；

对所述期望路径执行解析验证评估分析，根据不同的安全级别需求，设置不同期望路径解析验证率，实现不同级别的源和路径验证强度，对所述期望路径执行解析验证评估分析，包括：

在数据流的X个数据包已经嵌入了所述期望路径验证结构的全部N片分片式信息至少一次时，中间各路由节点直至数据流目的端接收到所有数据包后至少执行一次解析验证，实现所述期望路径的一次解析验证；

数据流源端将某一分片式信息嵌入到某个数据包中的概率为：

数据流源端已发送了t个数据包，此时数据流源端已将某一分片式信息嵌入到数据包中的概率q_t,i为：

对于所述期望路径验证结构的所有N片分片式信息，数据流源端在已发送的X个数据包中将其全部分片嵌入至少一次时，已发送包数X小于等于t的概率P(X≤t)为：

对于总发送数据包数X，期望值为：

根据P(X≥t)＝1-P(X≤t-1)和公式(2)，总发送数据包数X的期望值为：

对公式(4)进行推导，得到期望值的下限范围为：

期望路径解析验证率为：K＝v/E(X)

其中，K为期望路径的解析验证率，v为数据流的数据包发送速率，对应于不同的安全需求级别，当已知数据流发包速率v时，通过设置不同数据包中嵌入分片式信息的个数m，即产生不同的总发送数据包数期望值，可以获得一定的期望路径解析验证率。

2.根据权利要求1所述的随机认证嵌入的快速源和路径验证方法，其特征在于，所述期望路径上的不同路由节点收到的通告信息不同，所述通告信息包括各路由节点的预期上一跳信息和数据流有效时限，各个路由节点需要通过针对不同数据流的验证对称密钥对所述通告信息进行解析，各个路由节点按照数据流有效时限值临时存储维护所收到的通告信息。

3.根据权利要求1所述的随机认证嵌入的快速源和路径验证方法，其特征在于，所述数据流源端根据所述期望路径上各路由节点的针对不同数据流的验证对称密钥，加密生成所述期望路径验证结构的分片式信息。

4.根据权利要求3所述的随机认证嵌入的快速源和路径验证方法，其特征在于，最后一片分片式信息VS_Last是对数据流目的端R_Last的期望上一跳信息和数据流源端R₀信息根据目的端的数据流验证对称密钥进行了加密处理产生的；

除最后一片分片式信息VS_Last外的分片式信息VS_i是对某个路由节点R_i的期望上一跳信息根据该节点的数据流验证对称密钥进行了加密处理产生的。

5.根据权利要求1的随机认证嵌入的快速源和路径验证方法，其特征在于，当接收到的数据包中嵌入了与本路由节点对应的分片式信息时，对对应的分片式信息执行解析验证，包括：

所述期望路径上的中间路由节点利用自己的数据流验证对称密钥对对应的分片式信息执行解析验证，获得当前数据包的期望上一跳信息，判断当前数据包的实际接收端口的上一跳信息与所述期望上一跳信息是否一致，若一致，则验证通过，同时该路由节点以最新解析获得的期望上一跳信息更新替换所述通告信息中临时存储的预期上一跳信息值；若不一致，则验证未通过。

6.根据权利要求1的随机认证嵌入的快速源和路径验证方法，其特征在于，当接收到的数据包中没有嵌入与本路由节点对应的分片式信息时，根据所述通告信息执行简化验证，包括：

所述期望路径上的中间路由节点利用所述通告信息中的期望上一跳信息与当前数据包的实际接收端口的上一跳信息进行比较，判断是否一致，若一致，则验证通过；若不一致，则验证未通过。

7.根据权利要求5或6所述的随机认证嵌入的快速源和路径验证方法，其特征在于，所述期望路径上的中间各路由节点对接收到数据包进行验证，在验证未通过时，则丢弃该数据包，并根据安全级别向数据流源端和数据流目的端分别发送错误报告信息，和\或，预警报告信息。

8.根据权利要求7所述的随机认证嵌入的快速源和路径验证方法，其特征在于，在安全需求级别高于设定值时，各路由节点在数据流有效时限内，以随机时间间隔针对接收到的该数据流数据包主动产生预警报告信息，并分别传送给数据流源端和数据流目的端，所述预警报告信息至少包含在某时间间隔内接收到数据流的该数据包，以及该数据包验证状态是否通过的信息。

9.根据权利要求5或6的随机认证嵌入的快速源和路径验证方法，其特征在于，数据流目的端接收到数据包后，通过所述执行解析验证或所述执行简化验证对接收到的数据包进行验证，包括：

将当前数据包的实际接收端口的上一跳信息与当前数据包的期望上一跳信息进行比较，在一致时，再将当前数据包头部的实际发送源地址信息与期望起始节点信息进行比较，若一致，则验证通过，若不一致，则验证未通过，丢弃数据包。

Images