一种基于软件定义广域网的隧道传输方法及装置与流程

1.本发明涉及通信技术领域，尤其涉及一种基于软件定义广域网的隧道传输方法及装置。


背景技术：

2.现有技术中，ipv6(internet protocol version 6，互联网协议第6版)环境下的软件定义广域网，是将sdn(software defined network，软件定义网络)技术应用到广域网场景中所形成的一种方法。
3.进一步的，ipv6中的srv6是一种基于ipv6数据平面实现的sr(segment routing，分段路由)源路由技术。srv6通过segment list记录ipv6转发地址的前缀列，通过对有限的链路和节点segment的组合生成海量的srv6路径，以此实现ipv6的隧道转发功能。
4.但是，目前的srv6的隧道转发功能无法实现租户隔离功能、防重放功能、认证机制功能和sla功能，导致srv6报文传输的安全性低。


技术实现要素：

5.本发明实施例提供一种基于软件定义广域网的隧道传输方法及装置，用于通过实现srv6报文的租户隔离功能、防重放功能、认证机制功能和sla功能，来提升srv6报文传输的安全性。
6.第一方面，本发明实施例提供一种基于软件定义广域网的隧道传输方法，适用于基于ipv6的平面转发分段路由srv6承载协议，包括：
7.源节点设备接收控制器发送的隧道配置信息；
8.所述源节点设备在确定所述隧道配置信息中设置有租户隔离功能时，在srv6报文的分段路由头中设置租户隔离标志位及在所述分段路由头的tlv可选字段中设置租户信息；
9.所述源节点设备将所述srv6报文通过隧道传输至目标节点设备。
10.上述技术方案中，通过在srv6报文的分段路由头中设置租户隔离标志位及在所述分段路由头的tlv可选字段中设置租户信息使srv6报文实现租户隔离功能，进而提升srv6报文传输的安全性。
11.可选的，还包括：
12.所述源节点设备在确定所述隧道配置信息中设置有防重放功能时，在srv6报文的分段路由头中设置防重放标志位及在所述分段路由头的tlv可选字段中设置发送时间戳和时刻间隔信息；所述发送时间戳和所述时刻间隔信息用于所述目标节点设备在确定所述srv6报文为防重放报文时丢弃所述srv6报文。
13.上述技术方案中，通过在srv6报文的分段路由头中设置防重放标志位及在分段路由头的tlv可选字段中设置发送时间戳和时刻间隔信息实现防重放功能，进而提升srv6报文传输的安全性。
14.可选的，还包括：
15.所述源节点设备在确定所述隧道配置信息中设置有认证机制功能时，在srv6报文的分段路由头中设置认证机制标志位及在所述段路由头的hmac tlv字段中设置针对所述tlv可选字段的第一加密信息；所述第一加密信息用于所述目标节点设备对所述srv6报文进行认证。
16.上述技术方案中，通过在srv6报文的分段路由头中设置认证机制标志位及在段路由头的hmac tlv字段中设置针对tlv可选字段的第一加密信息实现认证机制功能，进而提升srv6报文传输的安全性。
17.可选的，还包括：
18.所述源节点设备在确定所述隧道配置信息中设置有服务等级标志位时，在所述分段路由头的tlv可选字段中设置服务等级协议sla信息；所述sla信息用于为所述srv6报文提供符合所述sla信息的隧道传输质量。
19.上述技术方案中，通过在分段路由头的tlv可选字段中设置服务等级协议sla信息，实现sla功能，提升srv6报文传输的灵活性。
20.可选的，所述租户信息包括租户指示和部门指示；
21.所述租户信息还包括以下至少一项信息：行政区域指示、国家指示及运营商指示。
22.第二方面，本发明实施例提供一种基于软件定义广域网的隧道传输方法，适用于基于ipv6的平面转发分段路由srv6承载协议，包括：
23.目标节点设备接收源节点设备发送的srv6报文；
24.所述目标节点设备确定所述srv6报文的分段路由头中设置有租户隔离标志位、认证机制标志位，及在所述段路由头的tlv可选字段中设置有租户信息和第一加密信息；
25.所述目标节点设备确定第一加密信息与第二加密信息一致时，对所述srv6报文进行处理；所述第二加密信息是所述目标节点设备基于控制器发送的隧道配置信息生成的。
26.可选的，还包括：
27.所述目标节点设备确定所述srv6报文的段路由头中设置有防重放标志位及在所述段路由头的tlv可选字段中设置有发送时间戳和时刻间隔信息；
28.所述目标节点设备确定接收所述srv6报文的接收时间戳与所述发送时间戳之间的传输时长，并在所述传输时长满足所述时刻间隔信息时对所述srv6报文进行处理。
29.第三方面，本发明实施例提供一种基于软件定义广域网的隧道传输方法，适用于基于ipv6的平面转发分段路由srv6承载协议，包括：
30.控制器接收用户设置的租户隔离指示；
31.所述控制器基于所述租户隔离指示，生成携带有租户隔离功能的隧道配置信息并分别发送给源节点设备和目标节点设备。
32.可选的，还包括：
33.所述控制器基于用户的防重放指示和/或认证机制指示，生成携带有防重放功能和/或认证机制功能的隧道配置信息。
34.第四方面，本发明实施例提供一种基于软件定义广域网的隧道传输装置，适用于基于ipv6的平面转发分段路由srv6承载协议，包括：
35.第一获取模块，用于接收控制器发送的隧道配置信息；
36.第一处理模块，用于在确定所述隧道配置信息中设置有租户隔离功能时，在srv6报文的分段路由头中设置租户隔离标志位及在所述分段路由头的tlv可选字段中设置租户信息；
37.将所述srv6报文通过隧道传输至目标节点设备。
38.可选的，所述第一处理模块还用于：
39.在确定所述隧道配置信息中设置有防重放功能时，在srv6报文的分段路由头中设置防重放标志位及在所述分段路由头的tlv可选字段中设置发送时间戳和时刻间隔信息；所述发送时间戳和所述时刻间隔信息用于所述目标节点设备在确定所述srv6报文为防重放报文时丢弃所述srv6报文。
40.可选的，所述第一处理模块还用于：
41.在确定所述隧道配置信息中设置有认证机制功能时，在srv6报文的分段路由头中设置认证机制标志位及在所述段路由头的hmac tlv字段中设置针对所述tlv可选字段的第一加密信息；所述第一加密信息用于所述目标节点设备对所述srv6报文进行认证。
42.可选的，所述第一处理模块还用于：
43.在确定所述隧道配置信息中设置有服务等级标志位时，在所述分段路由头的tlv可选字段中设置服务等级协议sla信息；所述sla信息用于为所述srv6报文提供符合所述sla信息的隧道传输质量。
44.可选的，所述租户信息包括租户指示和部门指示；
45.所述租户信息还包括以下至少一项信息：行政区域指示、国家指示及运营商指示。
46.第五方面，本发明实施例提供一种基于软件定义广域网的隧道传输装置，适用于基于ipv6的平面转发分段路由srv6承载协议，包括：
47.第二获取模块，用于接收源节点设备发送的srv6报文；
48.第二处理模块，用于确定所述srv6报文的分段路由头中设置有租户隔离标志位、认证机制标志位，及在所述段路由头的tlv可选字段中设置有租户信息和第一加密信息；
49.确定第一加密信息与第二加密信息一致时，对所述srv6报文进行处理；所述第二加密信息是所述目标节点设备基于控制器发送的隧道配置信息生成的。
50.可选的，所述第二处理模块还用于：
51.确定所述srv6报文的段路由头中设置有防重放标志位及在所述段路由头的tlv可选字段中设置有发送时间戳和时刻间隔信息；
52.确定接收所述srv6报文的接收时间戳与所述发送时间戳之间的传输时长，并在所述传输时长满足所述时刻间隔信息时对所述srv6报文进行处理。
53.第六方面，本发明实施例提供一种基于软件定义广域网的隧道传输装置，适用于基于ipv6的平面转发分段路由srv6承载协议，包括：
54.接收模块，用于接收用户设置的租户隔离指示；
55.生成模块，用于基于所述租户隔离指示，生成携带有租户隔离功能的隧道配置信息并分别发送给源节点设备和目标节点设备。
56.可选的，所述生成模块还用于：
57.基于用户的防重放指示和/或认证机制指示，生成携带有防重放功能和/或认证机制功能的隧道配置信息。
58.第七方面，本发明实施例还提供一种计算机设备，包括：
59.存储器，用于存储程序指令；
60.处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述基于软件定义广域网的隧道传输方法。
61.第八方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上述基于软件定义广域网的隧道传输方法。
附图说明
62.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
63.图1为本发明实施例提供的一种系统架构示意图；
64.图2为本发明实施例提供的一种基于软件定义广域网的隧道传输方法的流程示意图；
65.图3为本发明实施例提供的一种optional tlv字段的示意图；
66.图4为本发明实施例提供的一种基于软件定义广域网的隧道传输方法的流程示意图；
67.图5为本发明实施例提供的一种基于软件定义广域网的隧道传输方法的流程示意图；
68.图6为本发明实施例提供的一种基于软件定义广域网的隧道传输装置的结构示意图；
69.图7为本发明实施例提供的一种基于软件定义广域网的隧道传输装置的结构示意图；
70.图8为本发明实施例提供的一种基于软件定义广域网的隧道传输装置的结构示意图。
具体实施方式
71.为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
72.为了更好的阐述本发明的技术方案，下面对可能出现的名词进行解释。
73.重放攻击是指通过抓包获取到正常的目的地址接收到的包，再复制包数据对目的地址设备欺骗，目的地址设备会把欺诈数据包当做正常的数据包接收，网络设备接收到较多的欺诈数据包会对正常的业务数据包丢弃。
74.sdn中的sd-wan(software defined wide area network，软件定义广域网)，是将sdn技术应用到广域网场景中所形成的一种服务，该服务用于连接广阔地理范围的企业网
络、数据中心、互联网应用及云服务。该服务的特征是将网络控制能力通过软件方式
‘
云化’，支持应用可感知的网络能力开放。
75.sd-wan继承了“转控分离“的思想，通过统一的中央控制器实现各cpe(customer premise equipment，用户前置设备)设备的统一管控。新开cpe可通过call home自动连接控制器下载配置和策略，真正做到零接触快速开通，且配置变更时只需要在控制器上修改一次，所有分支站点自动同步。通过cpe对流量的深度识别和基于探针的链路状况检测，提升流量选路策略的灵活性，实现策略与网络质量随动，动态流量调度。
76.基于上述描述，ipv6环境下的软件定义广域网，是将sdn技术应用到广域网场景中所形成的一种方法。ipv6中的srv6是一种基于ipv6数据平面实现的sr源路由技术。srv6通过segment list记录ipv6转发地址的前缀列，通过对有限的链路和节点segment的组合生成海量的srv6路径，以此实现ipv6的隧道转发功能；具体的，如下述表1所示的报文头。
77.表1
[0078][0079][0080]
上述表1中，前3行信息为ipv6报文头，其余信息为srv6报文的srh(segment routing header，分段路由头)。其中，“source address”为源节点设备地址，“destination address”为目标节点设备的地址，“segment list”记录ipv6转发地址的前缀列，实现隧道转发功能。
[0081]
但是现有技术中，目前的srv6的隧道转发功能无法实现租户隔离功能、防重放功能、认证机制功能和sla功能，导致srv6报文传输的安全性低。因此，现亟需一种隧道传输方法，通过实现srv6报文的租户隔离功能、防重放功能、认证机制功能和sla功能，来提升srv6报文传输的安全性。
[0082]
图1示例性的示出了本发明实施例所适用的一种系统架构，该系统架构包括控制器110、源节点设备120和目标节点设备130。
[0083]
其中，控制器110，用于接收用户设置的指示信息，生成隧道配置信息，指示信息包
括租户隔离指示、防重放指示、lsa指示和/或认证机制指示；然后将隧道配置信息发送至源节点设备120和目标节点设备130。
[0084]
源节点设备120，用于接收控制器110发送的隧道配置信息，并根据隧道配置信息在srv6报文的分段路由头中设置租户隔离标志位及在分段路由头的tlv可选字段中设置租户信息、在srv6报文的分段路由头中设置防重放标志位及在分段路由头的tlv可选字段中设置发送时间戳和时刻间隔信息、在srv6报文的分段路由头中设置认证机制标志位及在段路由头的hmac tlv字段中设置针对tlv可选字段的第一加密信息和/或在所述分段路由头的tlv可选字段中设置服务等级协议sla信息，进而生成srv6报文；将srv6报文通过隧道传输至目标节点设备130。
[0085]
目标节点设备130，用于接收控制器110发送的隧道配置信息以及源节点设备120发送的srv6报文，并根据隧道配置信息对srv6报文进行验证；其中，源节点设备120和目标节点设备130可以为cpe设备，如路由器等。
[0086]
需要说明的是，上述图1所示的结构仅是一种示例，本发明实施例对此不做限定。
[0087]
基于上述描述，图2示例性的示出了本发明实施例提供的一种基于软件定义广域网的隧道传输方法的流程示意图，该流程可由基于软件定义广域网的隧道传输装置执行。
[0088]
如图2所示，该流程具体包括：
[0089]
步骤210，源节点设备接收控制器发送的隧道配置信息。
[0090]
本发明实施例中，控制器也会将隧道配置信息发送至目标节点设备，隧道配置信息用于指示源节点设备实现特定功能。
[0091]
步骤220，所述源节点设备在确定所述隧道配置信息中设置有租户隔离功能时，在srv6报文的分段路由头中设置租户隔离标志位及在所述分段路由头的tlv可选字段中设置租户信息。
[0092]
本发明实施例中，tlv可选字段为上述表1中的optional tlv字段，也就是上述表1的srh中尾随于最后一个segment listk[n]的字段。
[0093]
步骤230，所述源节点设备将所述srv6报文通过隧道传输至目标节点设备。
[0094]
在步骤210中，隧道配置信息是控制器由用户设置的指示信息生成的；具体的，控制器接收用户设置的租户隔离指示；基于租户隔离指示，生成携带有租户隔离功能的隧道配置信息；
[0095]
示例性的，指示信息还包括防重放指示和/或认证机制指示，生成携带有防重放功能和/或认证机制功能的隧道配置信息。
[0096]
又示例性的，指示信息还包括sla指示，生成携带有sla功能的隧道配置信息。
[0097]
例如，以4bit(字节)信息为指示信息，其中，第0为字节的值表征租户隔离指示、第1为字节的值表征防重放指示、第2为字节的值表征认证机制指示、第3为字节的值表征sla指示。
[0098]
进一步地，第0为字节的值为1时，指示源节点设备添加租户信息，实现租户隔离功能；第1为字节的值为1时，指示源节点设备添加发送时间戳和时刻间隔信息，实现防重放功能；第2为字节的值为1时，指示源节点设备添加第一加密信息，实现认证机制功能；第3为字节的值为1时，指示源节点设备添加sla信息，实现sla功能。
[0099]
在步骤220中，源节点设备会根据隧道配置信息置位标志位信息；标志位信息包括
租户隔离标志位、防重放标志位、认证机制标志位和服务等级标志位。
[0100]
进一步地，在确定隧道配置信息中设置有租户隔离功能时，在srv6报文的分段路由头中设置租户隔离标志位；在确定隧道配置信息中设置有防重放功能时，在srv6报文的分段路由头中设置防重放标志位；在确定隧道配置信息中设置有认证机制功能时，在srv6报文的分段路由头中设置认证机制标志位；在确定隧道配置信息中设置有服务等级标志位时，在srv6报文的分段路由头中设置服务等级标志位。
[0101]
在一种可实施的方式中，源节点设备可以将标志位设置在任一可选字段中。
[0102]
在本发明实施例中，源节点设备将标志位信息设置在上述表1的flags字段中；flags字段中有8bit(字节)的标志位，选取其中4位字节分别对应租户隔离标志位、防重放标志位、认证机制标志位和服务等级标志位。
[0103]
例如，flags字段中第0位字节对应租户隔离标志位、flags字段中第1位字节对应防重放标志位、flags字段中第2位字节对应认证机制标志位、flags字段中第3位字节对应服务等级标志位。
[0104]
也就是说，在确定配置信息中设置有租户隔离功能时，将flags字段中第0位字节的值置位为1；在确定配置信息中设置有防重放功能时，将flags字段中第1位字节的值置位为1；在确定配置信息中设置有认证机制功能时，将flags字段中第2位字节的值置位为1；在确定配置信息中设置有服务等级标志位时，将flags字段中第3位字节的值置位为1。
[0105]
相当于，当对应位字节的值为1时，则表征设置对应信息；例如，第0位字节的值为1时，则源节点设备在分段路由头的tlv可选字段中设置租户信息，相当于启用租户隔离功能；第1位字节的值为1时，则源节点设备在分段路由头的tlv可选字段中设置发送时间戳和时刻间隔信息，相当于启用防重放功能；第2位字节的值为1时，则源节点设备在段路由头的hmac tlv字段中设置针对tlv可选字段的第一加密信息，相当于启用租户隔离功能；第3位字节的值为1时，则源节点设备在分段路由头的tlv可选字段中设置租户信息，相当于启用租户隔离功能；
[0106]
其中，tlv可选字段为上述表1中optional tlv字段，在该optional tlv字段中选取128位字节设置租户信息、时间戳、时刻间隔信息和sla信息；其中，租户信息包括租户指示和部门指示；租户信息还包括以下至少一项信息：行政区域指示、国家指示及运营商指示。
[0107]
为了更好的阐述上述技术方案，图3为本发明示例性示出的一种optional tlv字段的示意图，如图3所示，其中包括租户指示、部门指示、邮编号、城市指示、运营商信息、时间戳、时刻间隔和sla信息。其中，邮编号和城市指示表征国家指示和行政区域指示，例如，城市指示可以选择是否区分行政区域地区、区分区县、市辖区县、市级行政区、省级行政区域。
[0108]
需要说明的是，各指示所占用的字节数量是预设的在此不做限定，例如，租户指示为16位字节、sla信息为9为字节等。
[0109]
在本发明实施例中，第一加密信息是由设置后的信息以及预设源信息通过预设哈希运算得到的，其中，预设源信息为目标节点设备的地址，源节点设备的地址、segmengt list中各地址；预设哈希运包括共享密钥和选择的多个哈希算法，在此不做限定。
[0110]
具体的，确定出隧道配置信息中待配置信息(如租户信息、时间戳等)，根据待配置
信息和预设源信息通过预设哈希运算得到第一加密信息，然后在确定认证机制标志位的值为1时，将第一加密信息设置在上述表1的hmac tlv字段中。
[0111]
在本发明实施例中，对于待配置信息可以分为必选项和可选项，例如租户信息为必选项，时间戳为可选项，在此不做限定。也就是说，待配置信息必须包括租户信息，但时间戳可以由用户进行选择，是否将时间戳作为待配置信息。
[0112]
对于sla信息，sla信息包括不同等级的线路质量与线路；具体的，sla信息分为以下4个等级。
[0113]
第一级，为最优路径(低时延、短路线)，接入运营商pop点，用于承载企业级核心业务(语音、视频等需高质量实时传输)。
[0114]
第二级，为次优路径(无低时延强制要求，即可达为基准)，接入运营商pop点。用于承载企业级重要业务。
[0115]
第三级，为优秀路径(低时延、短路线)，无接入运营商pop点，用于承载企业级普通业务或家庭级业务。
[0116]
第四季，为普通路径(无低时延强制要求，即可达为基准)，无接入运营商pop点，用于承载家庭业务。
[0117]
在步骤230中，源节点设备基于租户信息、时间戳、时刻间隔信息、第一加密信息和sla信息生成srv6报文，并将srv6报文发送至目标节点设备，以使目标节点设备在验证srv6报文通过后，执行srv6报文。
[0118]
为了更好的阐述目标节点设备验证srv6报文，图4为本发明实施例示例性示出的一种基于软件定义广域网的隧道传输方法的流程示意图，如图4所示，流程包括：
[0119]
步骤410，目标节点设备接收源节点设备发送的srv6报文。
[0120]
本发明实施例中，隧道配置信息用于指示目标节点设备对srv6报文进行验证。
[0121]
步骤420，所述目标节点设备确定所述srv6报文的分段路由头中设置有租户隔离标志位、认证机制标志位，及在所述段路由头的tlv可选字段中设置有租户信息和第一加密信息。
[0122]
本发明实施例中，srv6报文的分段路由头中还设置有防重放标志位和sla标志位。
[0123]
步骤430，所述目标节点设备确定第一加密信息与第二加密信息一致时，对所述srv6报文进行处理。
[0124]
本发明实施例中，第二加密信息是目标节点设备基于控制器发送的隧道配置信息生成的。
[0125]
在步骤420中，若确定设置有防重放标志位，则在srv6报文中确定tlv可选字段中设置的发送时间戳；其中，发送时间戳是源节点设备在发送srv6报文是记录在tlv可选字段中的。
[0126]
在验证第一加密信息之前，目标节点设备确定接收srv6报文的接收时间戳与发送时间戳之间的传输时长，并在传输时长满足时刻间隔信息时对srv6报文进行处理。
[0127]
例如，根据接收时间戳与发送时间戳确定srv6报文的传输时长为1ms，时刻间隔为2ms，则确定srv6报文的传输时长满足时刻间隔信息，进而对srv6报文做进一步地处理，也就是说，时刻间隔信息为预设阈值，可以是根据经验预设的值，如3ms、2.5ms等，在此不做限定。
[0128]
在步骤430中，目标节点设备根据隧道配置信息，确定源节点设备添加的待配置信息(如租户信息、时间戳等)，结合预设源信息(如源节点设备的地址等)，使用与源节点设备对应的预设哈希算法进行哈希运算，得到第二哈希值，若第一加密信息与第二加密信息一致，则表征srv6报文未被篡改，因为加密信息中包含时间戳，防止了srv6报文的重放，进而确定srv6报文验证通过。
[0129]
在一种可实施的方式中，为了保证源节点设备和目标节点设备之间报文传输准确性，控制器还会向源节点设备和目标节点设备发送ntp指令，用于指示源节点设备和目标节点设备的时间同步。
[0130]
本发明实施例中，segment list中各地址对应的设备也可以对srv6报文进行验证，在此不做限定与赘述。
[0131]
为了更好的阐述本发明的技术方案，图5示例性的示出了一种基于软件定义广域网的隧道传输方法的流程示意图，如图5所示，流程如下。
[0132]
步骤501、发送隧道配置信息。
[0133]
控制器根据用户设置的指示信息(包括标志位信息、租户隔离指示、防重放指示、认证机制指示和sla指示)，根据指示信息确定隧道配置信息，然后将隧道配置信息分别发送至源节点设备和目标节点设备。
[0134]
步骤502、确定是否启用租户隔离功能。
[0135]
源节点设备基于隧道配置信息中的标志位第0位的值，将隧道配置信息中的标志位第0位的值对应的置位到srv6报文srh的flags字段中，并确定是否启用租户隔离功能；若标志位第0位的值为1，则表征启用，将租户信息(包括租户指示、部门指示、行政区域指示、国家指示及运营商指示等)添加至srv6报文srh的optional tlv字段中；若标志位第0位的值为0，则表征不启用，即不添加租户信息。
[0136]
步骤503、确定是否启用防重放功能。
[0137]
源节点设备基于隧道配置信息中的标志位第1位的值，将隧道配置信息中的标志位第1位的值对应的置位到srv6报文srh的flags字段中，并确定是否启用防重放功能；若标志位第1位的值为1，则表征启用，将时间戳和时刻间隔信息添加至srv6报文srh的optional tlv字段中；若标志位第1位的值为0，则表征不启用，即不添加时间戳和时刻间隔信息。
[0138]
步骤504、确定是否启用认证机制功能。
[0139]
源节点设备基于隧道配置信息中的标志位第2位的值，将隧道配置信息中的标志位第2位的值对应的置位到srv6报文srh的flags字段中，并确定是否启用认证机制功能；若标志位第2位的值为1，则表征启用，将添加在optional tlv字段中的信息(包括租户信息、时间戳和时刻间隔信息)添加至hmac tlv字段中；若标志位第2位的值为0，则表征不启用，即不将optional tlv字段中的信息添加至hmac tlv字段。
[0140]
步骤505、确定是否开启sla功能。
[0141]
源节点设备基于隧道配置信息中的标志位第3位的值，将隧道配置信息中的标志位第3位的值对应的置位到srv6报文srh的flags字段中，并确定是否启用sla功能；若标志位第3位的值为1，则表征启用，将sla信息添加至srv6报文srh的optional tlv字段中；若标志位第3位的值为0，则表征不启用，即不添加sla信息。
[0142]
步骤506、确定第一加密信息。
[0143]
源节点设备根据hmac tlv字段中的值(包括预设源信息(如目标节点地址、segment list中的各地址等)和/或添加在optional tlv字段中的信息(包括租户信息、时间戳和时刻间隔信息))生成第一加密信息，并将第一加密信息添加至srv6报文srh的hmac tlv字段中。
[0144]
步骤507、确定srv6报文。
[0145]
源节点设备封装srv6报文的报文头和业务数据，生成srv6报文。
[0146]
步骤508、发送srv6报文。
[0147]
源节点设备根据上述租户信息区分隧道，根据上述sla信息确定隧道传输质量，然基于区分的隧道以及隧道传输质量将srv6报文发送至目标节点设备，并将发送时间戳记录在optional tlv字段中。
[0148]
步骤509、确定是否满足时刻间隔信息。
[0149]
目标节点设备接收源节点设备发送的srv6报文，并记录srv6报文的接收时间戳；
[0150]
目标节点设备对srv6报文进行解密，得到srv6报文的发送时间戳，然后根据发送时间戳和接收时间戳确定srv6报文的传输时长，若传输时长小于预设的时刻间隔信息，则保留该srv6报文；否则将该srv6报文丢弃。
[0151]
步骤510、确定是否满足验证条件。
[0152]
目标节点设备对于满足时刻间隔信息的srv6报文，基于隧道配置信息确定出srv6报文的待配置信息，即应该添加在optional tlv字段中的信息，然后结合预设源信息生成第二加密信息；确定第一加密信息与第二加密信息是否一致，若是，则对srv6报文进行处理；否则丢弃srv6报文。
[0153]
本发明实施例中，通过租户隔离功能，使不同的租户、甚至租户内的不同部门，通过不同隧道隔离的方式建立链接，每根隧道相对于其他隧道是不可见的，同一租户内的传输数据信息仅隧道内可见，且满足了用户在总部与分支机构的数据传输，保证了隧道内数据不被其他租户探测到，进而提升srv6报文传输的安全性。
[0154]
通过认证机制功能，在隧道建立前确认两端设备的版本信息是否兼容，即源节点设备和目标节点设备是否适合建立隧道链接，是否为合法的建立隧道的设备，保证了srv6报文传输的安全性。
[0155]
通过防重放功能，在目标节点设备验证时间戳，在接收伪造包之前把伪造包丢弃，节约了目标节点设备的资源消耗，防止接收伪造包，提升srv6报文传输的安全性。
[0156]
通过sla功能，区分网络质量等级，进而区分隧道传输质量，实现对网络质量要求较高的用户，在网络拥塞时优先调度空闲线路给予高品质需求；在保证一般用户的最低网络质量要求的条件下，sla功能对不同用户的网络需求做了灵活变动定制化。提升了srv6报文传输的灵活性。
[0157]
基于相同的技术构思，图6示例性的示出了本发明实施例提供的一种基于软件定义广域网的隧道传输装置的结构示意图，该装置可以执行基于软件定义广域网的隧道传输方法的流程。
[0158]
如图6所示，该装置具体包括：
[0159]
第一获取模块610，用于接收控制器发送的隧道配置信息；
[0160]
第一处理模块620，用于在确定所述隧道配置信息中设置有租户隔离功能时，在
srv6报文的分段路由头中设置租户隔离标志位及在所述分段路由头的tlv可选字段中设置租户信息；
[0161]
将所述srv6报文通过隧道传输至目标节点设备。
[0162]
可选的，所述第一处理模块620还用于：
[0163]
在确定所述隧道配置信息中设置有防重放功能时，在srv6报文的分段路由头中设置防重放标志位及在所述分段路由头的tlv可选字段中设置发送时间戳和时刻间隔信息；所述发送时间戳和所述时刻间隔信息用于所述目标节点设备在确定所述srv6报文为防重放报文时丢弃所述srv6报文。
[0164]
可选的，所述第一处理模块620还用于：
[0165]
在确定所述隧道配置信息中设置有认证机制功能时，在srv6报文的分段路由头中设置认证机制标志位及在所述段路由头的hmac tlv字段中设置针对所述tlv可选字段的第一加密信息；所述第一加密信息用于所述目标节点设备对所述srv6报文进行认证。
[0166]
可选的，所述第一处理模块620还用于：
[0167]
在确定所述隧道配置信息中设置有服务等级标志位时，在所述分段路由头的tlv可选字段中设置服务等级协议sla信息；所述sla信息用于为所述srv6报文提供符合所述sla信息的隧道传输质量。
[0168]
可选的，所述租户信息包括租户指示和部门指示；
[0169]
所述租户信息还包括以下至少一项信息：行政区域指示、国家指示及运营商指示。
[0170]
基于相同的技术构思，图7示例性的示出了本发明实施例提供的一种基于软件定义广域网的隧道传输装置的结构示意图，该装置可以执行基于软件定义广域网的隧道传输方法的流程。
[0171]
如图7所示，该装置具体包括：
[0172]
第二获取模块710，用于接收源节点设备发送的srv6报文；
[0173]
第二处理模块720，用于确定所述srv6报文的分段路由头中设置有租户隔离标志位、认证机制标志位，及在所述段路由头的tlv可选字段中设置有租户信息和第一加密信息；
[0174]
确定第一加密信息与第二加密信息一致时，对所述srv6报文进行处理；所述第二加密信息是所述目标节点设备基于控制器发送的隧道配置信息生成的。
[0175]
可选的，所述第二处理模块720还用于：
[0176]
确定所述srv6报文的段路由头中设置有防重放标志位及在所述段路由头的tlv可选字段中设置有发送时间戳和时刻间隔信息；
[0177]
确定接收所述srv6报文的接收时间戳与所述发送时间戳之间的传输时长，并在所述传输时长满足所述时刻间隔信息时对所述srv6报文进行处理。
[0178]
基于相同的技术构思，图8示例性的示出了本发明实施例提供的一种基于软件定义广域网的隧道传输装置的结构示意图，该装置可以执行基于软件定义广域网的隧道传输方法的流程。
[0179]
如图8所示，该装置具体包括：
[0180]
接收模块810，用于接收用户设置的租户隔离指示；
[0181]
生成模块820，用于基于所述租户隔离指示，生成携带有租户隔离功能的隧道配置
信息并分别发送给源节点设备和目标节点设备。
[0182]
可选的，所述生成模块820还用于：
[0183]
基于用户的防重放指示和/或认证机制指示，生成携带有防重放功能和/或认证机制功能的隧道配置信息。
[0184]
基于相同的技术构思，本发明实施例还提供一种计算机设备，包括：
[0185]
存储器，用于存储程序指令；
[0186]
处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述基于软件定义广域网的隧道传输方法。
[0187]
基于相同的技术构思，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上述基于软件定义广域网的隧道传输方法。
[0188]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0189]
本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0190]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0191]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0192]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。