分段路由基于源路由的特性存在安全漏洞,攻击者掌握分段路由网络的拓扑信息后,可以构造攻击数据报文对网络进行精准攻击。为解决该问题,提出了分段路由确定性安全的转发方法,通过定义分段路由的安全性架构,扩展控制器功能以支持确定性路径的安全策略计算,扩展网络设备功能用于对安全策略的执行。实验结果表明,网络设备转发数据时进行安全策略检查,保证了所转发的数据包都是确定和可信的,解决了分段路由网络基于源路由特性的漏洞,弥补了当前基于分段路由的安全策略方面的缺失。

• 单位
  中国人民解放军战略支援部队信息工程大学