IPv6传输路径的可定义分段认证方法

互联网的源地址欺骗和传输路径不一致，会引出拒绝服务、非法流量窃取等多种攻击行为，网络安全受到严重威胁.所以，数据包的传输路径验证受到广泛关注.传统的包标记方案主要针对IPv4,在网络层和传输层之间加入新的字段.本文根据IPv6首部特点，提出一种分段的源认证和路径验证方案(Source and Path Verification, SPV),实现源地址真实性验证，数据面的传输路径一致性验证与错位定位.发送端在IPv6头部添加标识，任意选择部分中间路由器作为检查节点.仅由检查节点对上述数据包执行标识字段的识别和验证，无需所有途经节点都具有验证能力，提升了安全验证效率.当检查节点验证失败后，将记录发送给源端.通过新增的标识字段，发送端能够根据回传信息执行高效可靠的故障定位.通过修改标识字段的最高位，可实现自定义的路径验证，仅对某一段路径进行验证.本文通过模拟实验验证了方案的通信开销与故障定位效率，证明了本方案的可行性.