[发明专利]路径转发验证方法、系统、设备及存储介质

权利要求书

1.一种路径转发验证方法，其特征在于，所述方法应用于路径转发验证系统，所述路径转发验证系统包括入口交换机、至少一个中间交换机、出口交换机以及控制器，所述路径转发验证方法包括：

当通过所述入口交换接收到所述控制器下发满足预设数据流标记选项的数据流时，对所述数据流中的各数据包进行标记，得到各目标数据包，并将各所述目标数据包转发至所述中间交换机，其中，所述目标数据包含有验证标签或数据标签的数据包；

若通过所述中间交换机检测到所述目标数据包存在有所述验证标签，则基于所述目标数据包以及圆周率，生成目标验证信息，并将所述目标验证信息上报至所述控制器，以及转发所述目标数据包；

通过所述控制器接收所述中间交换机上报的目标验证信息，并对所述目标验证信息进行反验证处理，得到验证结果；

若通过所述出口交换机检测到所述目标数据包存在有所述验证标签，则获取通过所述控制器基于所述目标数据包下发的验证流表，并基于所述验证流表，放行或丢弃所述数据流。

2.如权利要求1所述的路径转发验证方法，其特征在于，所述基于所述目标数据包以及圆周率，生成目标验证信息，并将所述目标验证信息上报至所述控制器的步骤包括：

通过所述中间交换机对所述目标数据包的数据段内容进行HMAC哈希运算消息认证码处理，得到数据摘要，其中，所述数据摘要为通过预设进制的编码数值表示；

按照预设切割数量，将所述摘要信息进行切割，得到若干个切割数据；

查找各所述切割数据在所述圆周率对应的位置，得到各坐标位置，并将各所述坐标位置转换为所述预设进制的数值，得到验证码信息；

将所述目标数据包、所述数据摘要和所述验证码信息封装形成所述目标验证信息；

基于预设上报机制，通过所述中间交换机将所述目标验证信息上传至所述控制器中。

3.如权利要求1所述的路径转发验证方法，其特征在于，所述对所述数据流中的各数据包进行标记，得到各目标数据包的步骤包括：

按照预设验证抽取比例，抽取预设数量的数据包标注上所述验证标签，并为其余各数据包标注上所述数据标签，得到各所述目标数据包。

4.如权利要求1所述的路径转发验证方法，其特征在于，所述对所述目标验证信息进行反验证处理，得到验证结果的步骤包括：

通过所述控制器对目标验证信息进行解析，得到解析信息，其中，所述解析信息包括所述目标数据包的数据首部信息、数据摘要以及验证码信息；

对所述数据首部信息、所述数据摘要以及所述验证码信息进行反验证；

若反验证成功，则存储所述数据摘要对应的验证成功结果；

若反验证失败，则存储所述数据摘要对应的验证失败结果。

5.如权利要求1所述的路径转发验证方法，其特征在于，所述验证流表包括丢弃流表和放行流表，

在所述获取通过所述控制器基于所述目标数据包下发的验证流表的步骤之前，还包括：

通过所述出口交换机将所述目标数据包上报至所述控制器；

通过所述控制器对所述目标数据包进行哈希处理，得到待验证数据摘要，并查询所述待验证数据摘要对应的验证结果；

若所述验证结果存在验证失败结果，则下发所述丢弃流表至所述出口交换机；

若所述验证结果不存在验证失败结果，则下发所述放行流表至所述出口交换机。

6.如权利要求1所述的路径转发验证方法，其特征在于，所述在所述将各所述目标数据包转发至所述中间交换机的步骤之后，还包括：

若通过所述中间交换机检测到所述目标数据包存在有所述数据标签，则转发所述目标数据包；

若通过所述中间交换机检测到所述目标数据包不存在有所述数据标签或所述验证标签，则将所述目标数据包上传至所述控制器，并丢弃所述目标数据包。

7.如权利要求3所述的路径转发验证方法，其特征在于，所述解析信息包括所述中间交换机的识别标签，

在所述通过所述控制器对目标验证信息进行解析，得到解析信息的步骤之后，还包括：

通过所述控制器基于所述目标验证信息中的中间交换机的识别标签，形成所述数据流的转发路径。