[发明专利]路径转发验证方法、系统、设备及存储介质

说明书

本申请公开了一种路径转发验证方法、系统、设备及存储介质，包括：当通过入口交换接收到数据流时，对数据流中的各数据包进行标记，得到各目标数据包，若通过中间交换机检测到目标数据包存在有验证标签，则基于目标数据包和圆周率，生成目标验证信息，并将目标验证信息上报至所述控制器以及转发目标数据包，通过所述控制器接收目标验证信息，并对目标验证信息进行反验证处理，得到验证结果，若通过出口交换机检测到目标数据包存在有验证标签，则获取通过控制器基于目标数据包下发的验证流表，并基于验证流表，放行或丢弃数据流。本申请解决了仅针对数据流的首部信息进行验证，容易存在数据篡改的安全隐患的技术问题。

技术领域

本申请涉及通信网络技术领域，尤其涉及一种路径转发验证方法、系统、设备及存储介质。

背景技术

SDN(Software Defined Network，软件定义网络)是一种新型网络创新架构，其核心思想是将网络设备的控制层面与转发层面分离，以实现对网络流量的灵活控制，能够适应变化的业务需求。目前，基于SDN网络的路径验证方法通过是对针对数据流的首部信息进行验证，然而，仅针对数据流的首部信息进行验证，容易存在伪造数据流进行验证的情况，也即，存在数据篡改的安全隐患。

发明内容

本申请的主要目的在于提供一种路径转发验证方法、系统、设备及存储介质，旨在解决现有技术中的仅针对数据流的首部信息进行验证，容易存在数据篡改的安全隐患的技术问题。

为实现上述目的，本申请提供一种路径转发验证方法，应用于路径转发验证系统，所述路径转发验证系统包括入口交换机、至少一个中间交换机、出口交换机以及控制器，所述路径转发验证方法包括：

当通过所述入口交换接收到所述控制器下发满足预设数据流标记选项的数据流时，对所述数据流中的各数据包进行标记，得到各目标数据包，并将各所述目标数据包转发至所述中间交换机，其中，所述目标数据包含有验证标签或数据标签的数据包；

当通过所述入口交换接收到所述控制器下发满足预设数据流标记选项的数据流时，对所述数据流中的各数据包进行标记，得到各目标数据包，并将各所述目标数据包转发至所述中间交换机，其中，所述目标数据包含有验证标签或数据标签的数据包；

若通过所述中间交换机检测到所述目标数据包存在有所述验证标签，则基于所述目标数据包以及圆周率，生成目标验证信息，并将所述目标验证信息上报至所述控制器，以及转发所述目标数据包；

通过所述控制器接收所述中间交换机上报的目标验证信息，并对所述目标验证信息进行反验证处理，得到验证结果；

若通过所述出口交换机检测到所述目标数据包存在有所述验证标签，则获取通过所述控制器基于所述目标数据包下发的验证流表，并基于所述验证流表，放行或丢弃所述数据流。

本申请还提供一种路径转发验证系统，所述路径转发验证系统为虚拟系统，所述路径转发验证系统包括入口交换机、至少一个中间交换机、出口交换机以及控制器，其中：

所述入口交换机，用于当接收到所述控制器下发满足预设数据流标记选项的数据流时，对所述数据流中的各个数据包进行标记，得到各目标数据包，并将各所述目标数据包转发至所述中间交换机，其中，所述目标数据包含有验证标签或数据标签的数据包；

所述中间交换机，用于若检测到所述目标数据包存在有所述验证标签，则基于所述目标数据包以及圆周率，生成目标验证信息，并将所述目标验证信息上报至所述控制器，以及转发所述目标数据包；

所述控制器，用于接收所述中间交换机上报的目标验证信息，并对所述目标验证信息进行反验证处理，得到验证结果；

所述出口交换机，用于若机检测到所述目标数据包存在有所述验证标签，则获取通过所述控制器基于所述目标数据包下发的验证流表，并基于所述验证流表，放行或丢弃所述数据流。