带内遥测数据验证方法及白盒交换机

1.本技术涉及带内遥测技术领域，尤其涉及带内遥测数据验证方法及白盒交换机。


背景技术：

2.下一代网络愈发强调细粒度的流量工程与调度，以满足不同业务的不同需求。而细粒度的流量调度需要同样细粒度可信的网络监测为调度策略提供充足的、可信的监测信息，以支撑调度策略的计算。因此，业界提出了带内遥测(in-band telemetry)。带内遥测数据的上传过程中，尤其可以采用白盒交换机。
3.目前，基于白盒交换机的带内遥测数据双侧方式，为了获得更好的资源效率，并且适应运营商网络的特点，其大多采用udp协议为基础，新设计应用层协议进行上传，由此对于上传数据的真实性带来了隐患。攻击者能够伪造测量数据包，封装入虚假的数据并发往控制面，干扰网络的策略计算，使得下发策略混乱，并最终破坏网络的正常运转。而基于证书与http(s)等的验证方案，例如ssl等，因其消耗计算资源大、耗时长等问题，也无法适用于在白盒交换机场景下对于业务面上传数据包进行验证。


技术实现要素：

4.鉴于此，本技术实施例提供了带内遥测数据验证方法及白盒交换机，以消除或改善现有技术中存在的一个或更多个缺陷。
5.本技术的一个方面提供了一种第一带内遥测数据验证方法，包括：
6.向白盒交换机的系统面发送加密配置信息，以使该系统面基于所述加密配置信息以及自所述白盒交换机的业务面获取的时间戳生成一次性密码，并将该一次性密码对应的密码插入表项发送至所述业务面，使得业务面基于该密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥测数据进行加密封装，其中，所述系统面生成所述一次性密码和所述业务面加密封装所述目标带内遥测数据的过程异步执行；
7.接收所述业务面发送的加密封装后的目标带内遥测数据并进行验证。
8.在本技术的一些实施例中，所述接收所述业务面发送的加密封装后的目标带内遥测数据并进行验证，包括：
9.接收所述业务面经由所述系统面发送的加密封装后的目标带内遥测数据；
10.对加密封装后的目标带内遥测数据中的所述密码认证报头进行解析；
11.基于本地的状态数据库中的验证信息对解析后的目标带内遥测数据进行真实性校验，其中，所述验证信息包括：白盒交换机编号、白盒交换机私钥和白盒交换机纪元时间戳。
12.在本技术的一些实施例中，所述加密配置信息包括：时间戳间隔、一次性密码位数及totp私钥，以使所述系统面以所述时间戳间隔作为自所述业务面获取所述时间戳以及生成所述一次性密码的时间间隔，并基于所述一次性密码位数及totp私钥生成一次性密码；
13.其中，所述时间戳为npu时间戳。
14.本技术的另一个方面提供了一种第二带内遥测数据验证方法，包括：
15.接收白盒交换机的控制面发送的加密配置信息；
16.根据所述加密配置信息向所述白盒交换机的业务面获取时间戳并在本地生成一次性密码；
17.基于预设的上传协议生成所述一次性密码对应的密码插入表项；
18.将所述密码插入表项发送至所述业务面，以使该业务面基于该密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥测数据进行加密封装，并将加密封装后的目标带内遥测数据发送至所述控制面进行验证，其中，本地生成所述一次性密码和所述业务面加密封装所述目标带内遥测数据的过程异步执行。
19.在本技术的一些实施例中，所述加密配置信息包括：时间戳间隔、一次性密码位数及totp私钥；
20.相对应的，所述根据所述加密配置信息向所述白盒交换机的业务面获取时间戳并在本地生成一次性密码，包括：
21.以所述时间戳间隔作为自所述业务面获取所述时间戳以及生成所述一次性密码的时间间隔，并基于所述一次性密码位数及totp私钥生成一次性密码；
22.其中，所述时间戳为npu时间戳。
23.本技术的另一个方面提供了一种第三带内遥测数据验证方法，包括：
24.接收白盒交换机的系统面基于加密配置信息发送的时间戳获取请求，其中，所述加密配置信息由所述白盒交换机的控制面预先发送至所述系统面；
25.根据所述时间戳获取请求向所述系统面发送时间戳，以使所述系统面根据该时间戳和所述加密配置信息生成一次性密码以及该一次性密码对应的密码插入表项；
26.接收所述系统面发送的所述密码插入表项；
27.基于所述密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥测数据进行加密封装，并将加密封装后的目标带内遥测数据发送至所述控制面进行验证，其中，所述系统面生成所述一次性密码和本地加密封装所述目标带内遥测数据的过程异步执行。
28.在本技术的一些实施例中，所述加密配置信息包括：时间戳间隔、一次性密码位数及totp私钥，以使所述系统面以所述时间戳间隔作为获取所述时间戳以及生成所述一次性密码的时间间隔，并基于所述一次性密码位数及totp私钥生成一次性密码；
29.其中，所述时间戳为npu时间戳。
30.在本技术的一些实施例中，所述密码认证报头为预先对ipv6 ah中的字段重新定义后生成的报头；
31.其中，所述密码认证报头中的字段包括：下一跳报文头编号、负载长度、保留字段、密码认证标识、密码值和密码实体标识；
32.所述下一跳报文头编号用于指示下一个所述密码认证报头的编号，所述负载长度用于表示扩展报头的长度，所述密码认证标识用于标识当前报文头为所述密码认证报头，所述密码值用于承载所述一次性密码的密码值。
33.本技术的另一个方面提供了一种白盒交换机，包括：
34.控制面，用于执行第一带内遥测数据验证方法；
35.系统面，用于执行第二带内遥测数据验证方法；
36.业务面，用于执行第三带内遥测数据验证方法。
37.在本技术的一些实施例中，所述白盒交换机为可编程、具备节点表示能力和软件定义能力的设备。
38.本技术提供的第一带内遥测数据验证方法，控制面通过向白盒交换机的系统面发送加密配置信息，以使系统面基于所述加密配置信息以及自所述白盒交换机的业务面获取的时间戳生成一次性密码，并将该一次性密码对应的密码插入表项发送至所述业务面，能够有效避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，能够有效提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；所述系统面生成所述一次性密码和所述业务面封装所述目标带内遥测数据的过程异步执行，且对于密码的插入只需要业务面参与，使得带内遥测数据加密及验证过程均具备较好的实时性，并且能满足线速策略的需求。
39.本技术的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本技术的实践而获知。本技术的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。
40.本领域技术人员将会理解的是，能够用本技术实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本技术能够实现的上述和其他目的。
附图说明
41.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，并不构成对本技术的限定。附图中的部件不是成比例绘制的，而只是为了示出本技术的原理。为了便于示出和描述本技术的一些部分，附图中对应部分可能被放大，即，相对于依据本技术实际制造的示例性装置中的其它部件可能变得更大。在附图中：
42.图1为白盒交换机的passport模式及postcard模式的对比示意图。
43.图2为白盒交换机的基本架构示意图。
44.图3为本技术一实施例中的第一带内遥测数据验证方法的流程示意图。
45.图4为本技术一实施例中的第二带内遥测数据验证方法的流程示意图。
46.图5为本技术一实施例中的第三带内遥测数据验证方法的流程示意图。
47.图6为本技术应用实例提供的面向白盒交换机的带内遥测数据验证方法的功能架构图。
48.图7为本技术应用实例提供的pah字段图。
49.图8为本技术应用实例提供的密码插入表项示例图。
50.图9为本技术应用实例提供的密码验证过程示意图。
具体实施方式
51.为使本技术的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本技术做进一步详细说明。在此，本技术的示意性实施方式及其说明用于解释本技术，但并不作为对本技术的限定。
52.在此，还需要说明的是，为了避免因不必要的细节而模糊了本技术，在附图中仅仅示出了与根据本技术的方案密切相关的结构和/或处理步骤，而省略了与本技术关系不大的其他细节。
53.应该强调，术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在，但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
54.在此，还需要说明的是，如果没有特殊说明，术语“连接”在本文不仅可以指直接连接，也可以表示存在中间物的间接连接。
55.在下文中，将参考附图描述本技术的实施例。在附图中，相同的附图标记代表相同或类似的部件，或者相同或类似的步骤。
56.带内遥测是一类测量体系，包含不同的遥测方案。带内遥测具有相似的处理逻辑，即将测量指令封装进业务数据包内部，并伴随业务数据包一起传输。在传输的过程中，中间节点能够根据业务数据包中的测量指令完成测量操作，获得测量数据并进行上传。带内遥测的上传模式包含passport模式与postcard模式。在passport模式中，测量数据会被插入业务数据包中一起传输，并且在末尾节点处将所有测量数据单独提出，并构造数据包上传；在postcard模式中，每一个网络节点获取到测量数据之后，单独用测量数据构造上传数据包并上传，不对于业务数据包进行修改。passport模式与postcard模式示例参见图1。
57.白盒交换机是下一代网络的重要支撑设备，在网络可编程性、灵活性与可扩展性上具有较大的优势。白盒交换机也是细粒度调度方案与带内遥测方案的主要应用设备。白盒交换机的基本架构参见图2。
58.白盒交换机在逻辑上可以分为三个部分：
59.1.业务面：白盒交换机业务面即实际承载与数据用户的业务流量数据包的实体部分，包括端口、线卡、网络处理芯片(npu，network processing unit)等。
60.2.系统面：白盒交换机系统面包括cpu与操作系统，主要对于白盒交换机进行配置与管理，例如端口的启动配置、npu的驱动、表项的写入等。
61.3.控制面：白盒交换机控制面与软件定义网络控制面含义类似，主要负责测量数据的接收与分析、策略的计算与下发。
62.基于证书与http(s)等的验证方案，例如ssl等，无法适用于在白盒交换机场景下对于业务面上传数据包进行验证。第一个原因是进行验证涉及到数据加密的相关计算，涉及到应用层的处理，例如加密等，需要消耗较大的计算资源；第二个原因是基于应用层呈现出同步趋势，即先进行数据包构建，在进行ssl加密的处理，较大的处理流程会对于测量数据的性能会造成较大影响，尤其是对于逐包测量业务无法保证测量数据流的线速，进而影响特殊业务的测量实时性；第三个原因是在部分白盒交换机或者交换机操作系统中，业务面与系统面被严格隔离。由于验证需要进行应用层处理，并且需要验证证书，因此涉及到操作系统级别的计算，而此类白盒交换机业务面与系统面相互独立，而测量数据的产生与上传通过业务面实现，因此无法进行数据证书相关的验证。
63.为了获得更好的资源效率，并且适应运营商网络的特点，现有的带内遥测方法大多采用udp协议为基础，新设计应用层协议进行上传，由此对于上传数据的真实性带来了隐患。攻击者能够伪造测量数据包，封装入虚假的数据并发往控制面，干扰网络的策略计算，使得下发策略混乱，并最终破坏网络的正常运转。因此，本方案提出了一种面向白盒交换机
的带内遥测数据验证方法，使得控制面能够对于收到的数据进行验证判定，决定是否进行接收。
64.基于此，为了避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，并同时避免带内遥测数据加密及验证过程造成的资源消耗大及耗时长等问题，本技术方案用于解决在白盒交换机中对于带内遥测数据的验证问题，以提升白盒交换机网络系统的安全性。主要解决在白盒交换机设备中的带内遥测数据安全验证问题，即在接收到数据平面上传的带内遥测测量数据包之后，对于测量数据包的真实性进行验证，判断其是否为真实的由白盒交换机产生的测量数据，以防御攻击者伪造的上传数据包。
65.第一方面，为了避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，并同时避免带内遥测数据加密及验证过程造成的资源消耗大及耗时长等问题，本技术实施例提供一种由控制面执行的带内遥测数据验证方法，可以定义为第一带内遥测数据验证方法，参见图3，所述第一带内遥测数据验证方法具体包含有如下内容：
66.步骤110：向白盒交换机的系统面发送加密配置信息，以使该系统面基于所述加密配置信息以及自所述白盒交换机的业务面获取的时间戳生成一次性密码，并将该一次性密码对应的密码插入表项发送至所述业务面，使得业务面基于该密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥测数据进行加密封装，其中，所述系统面生成所述一次性密码和所述业务面加密封装所述目标带内遥测数据的过程异步执行。
67.步骤120：接收所述业务面发送的加密封装后的目标带内遥测数据并进行验证。
68.具体来说，可以利用一次性密码对于上传的数据包进行验证。将一次性密码的生成计算操作与数据上传的密码插入封装操作进行解耦，实现异步的密码计算与密码封装。具体而言，利用白盒交换机操作系统进行密码计算；通过npu直接进行“匹配-插入密码”的快捷密码封装，提升实时性。为了降低因为私钥泄露而造成的安全风险，方案采用npu时间戳作为当前时间戳参数进行totp(time-based one-time password，基于时间的一次性密码算法)验证。设计了新的ipv6 ah(authentication header，认证报头)对于一次性密码进行承载，并通过密码插入表项进行插入。
69.从上述描述可知，本技术实施例提供的第一带内遥测数据验证方法，控制面通过向白盒交换机的系统面发送加密配置信息，以使系统面基于所述加密配置信息以及自所述白盒交换机的业务面获取的时间戳生成一次性密码，并将该一次性密码对应的密码插入表项发送至所述业务面，能够有效避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，能够有效提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；所述系统面生成所述一次性密码和所述业务面封装所述目标带内遥测数据的过程异步执行，且对于密码的插入只需要业务面参与，使得带内遥测数据加密及验证过程均具备较好的实时性，并且能满足线速策略的需求。
70.为了进一步实现在白盒交换机中对带内遥测数据的验证，在本技术的第一带内遥测数据验证方法的一个实施例中，所述步骤120还具体包含有如下内容：
71.步骤121：接收所述业务面经由所述系统面发送的加密封装后的目标带内遥测数据；
72.步骤122：对加密封装后的目标带内遥测数据中的所述密码认证报头进行解析；
73.步骤123：基于本地的状态数据库中的验证信息对解析后的目标带内遥测数据进行真实性校验，其中，所述验证信息包括：白盒交换机编号、白盒交换机私钥和白盒交换机纪元时间戳。
74.具体来说，状态数据库用以存储与网络中白盒交换机设备相关的状态信息，用以在接收到白盒交换机产生的上传测量数据之后，对于上传数据进行计算校验。
75.存储的验证信息包括白盒交换机编号、白盒交换机私钥、白盒交换机纪元(epoch)时间戳。
76.(1)白盒交换机编号：方案中用e表示，按照e0、e1等进行编号。用以标识白盒交换机，需要在协议中进行承载，以指示上传数据包来自于哪一台白盒交换机。方案需要通过白盒交换机编号索引私钥与纪元时间戳。
77.(2)白盒交换机私钥：方案中用k表示，表示控制面下发给白盒交换机的一次性密码的生成私钥，根据对应的白盒交换机编号不同，通过ke0，ke1等编号与对应。
78.(3)白盒交换机纪元时间戳：方案中用te表示，表示白盒交换机中npu芯片启动/驱动时候的unix时间戳。由网络控制器或者是运维人员通过运维过程进行记录，不在网络中进行暴露传输，在交换机重启/重置之后置0。通过te0，te1等进行编号与对应。
79.从上述描述可知，本技术实施例提供的第一带内遥测数据验证方法，通过设计由控制面承载的状态数据库，能够对于白盒交换机的需要的状态参数进行记录，以在收到上传数据包之后进行验证，进而能够进一步实现在白盒交换机中对带内遥测数据的验证，以提升白盒交换机网络系统的安全性。
80.为了进一步提高面向白盒交换机的带内遥测数据上传的安全性及可靠性，在本技术的第一带内遥测数据验证方法的一个实施例中，所述加密配置信息包括：时间戳间隔、一次性密码位数及totp私钥，以使所述系统面以所述时间戳间隔作为自所述业务面获取所述时间戳以及生成所述一次性密码的时间间隔，并基于所述一次性密码位数及totp私钥生成一次性密码；
81.其中，所述时间戳为npu时间戳。
82.从上述描述可知，本技术实施例提供的第一带内遥测数据验证方法，通过控制面向所述系统面发送时间戳间隔、一次性密码位数及totp私钥，使得所述系统面能够定时生成一次性密码并能够保证一次性密码的安全性、可靠性及有效性，进而能够进一步提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；以及，通过采用npu时间戳进行一次性密码的计算，在私钥的基础上再引入了npu时间戳作为变量，降低了密码信息泄露之后被伪造密码的可能性，提升了安全性。
83.第二方面，为了避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，并同时避免带内遥测数据加密及验证过程造成的资源消耗大及耗时长等问题，本技术实施例提供一种由系统面执行的带内遥测数据验证方法，可以定义为第二带内遥测数据验证方法，参见图4，所述第二带内遥测数据验证方法具体包含有如下内容：
84.步骤210：接收白盒交换机的控制面发送的加密配置信息；
85.步骤220：根据所述加密配置信息向所述白盒交换机的业务面获取时间戳并在本地生成一次性密码；
86.步骤230：基于预设的上传协议生成所述一次性密码对应的密码插入表项；
87.步骤240：将所述密码插入表项发送至所述业务面，以使该业务面基于该密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥测数据进行加密封装，并将加密封装后的目标带内遥测数据发送至所述控制面进行验证，其中，本地生成所述一次性密码和所述业务面加密封装所述目标带内遥测数据的过程异步执行。
88.从上述描述可知，本技术实施例提供的第二带内遥测数据验证方法，系统面基于控制面发送的加密配置信息以及自所述白盒交换机的业务面获取的时间戳生成一次性密码，并将该一次性密码对应的密码插入表项发送至所述业务面，能够有效避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，能够有效提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；所述系统面生成所述一次性密码和所述业务面封装所述目标带内遥测数据的过程异步执行，且对于密码的插入只需要业务面参与，使得带内遥测数据加密及验证过程均具备较好的实时性，并且能满足线速策略的需求。
89.为了进一步提高面向白盒交换机的带内遥测数据上传的安全性及可靠性，在本技术的第二带内遥测数据验证方法的一个实施例中，所述加密配置信息包括：时间戳间隔、一次性密码位数及totp私钥；
90.相对应的，所述步骤220具体包含有如下内容：
91.步骤221：以所述时间戳间隔作为自所述业务面获取所述时间戳以及生成所述一次性密码的时间间隔，并基于所述一次性密码位数及totp私钥生成一次性密码；
92.其中，所述时间戳为npu时间戳。
93.从上述描述可知，本技术实施例提供的第二带内遥测数据验证方法，系统面通过接收控制面发送的时间戳间隔、一次性密码位数及totp私钥，使得所述系统面能够定时生成一次性密码并能够保证一次性密码的安全性、可靠性及有效性，进而能够进一步提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；以及，通过采用npu时间戳进行一次性密码的计算，在私钥的基础上再引入了npu时间戳作为变量，降低了密码信息泄露之后被伪造密码的可能性，提升了安全性。
94.第三方面，为了避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，并同时避免带内遥测数据加密及验证过程造成的资源消耗大及耗时长等问题，本技术实施例提供一种由业务面执行的带内遥测数据验证方法，可以定义为第三带内遥测数据验证方法，参见图5，所述第三带内遥测数据验证方法具体包含有如下内容：
95.步骤310：接收白盒交换机的系统面基于加密配置信息发送的时间戳获取请求，其中，所述加密配置信息由所述白盒交换机的控制面预先发送至所述系统面。
96.步骤320：根据所述时间戳获取请求向所述系统面发送时间戳，以使所述系统面根据该时间戳和所述加密配置信息生成一次性密码以及该一次性密码对应的密码插入表项。
97.步骤330：接收所述系统面发送的所述密码插入表项。
98.步骤340：基于所述密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥测数据进行加密封装，并将加密封装后的目标带内遥测数据发送至所述控制面进行验证，其中，所述系统面生成所述一次性密码和本地加密封装所述目标带内遥测数据的过程异步执行。
99.从上述描述可知，本技术实施例提供的第三带内遥测数据验证方法，业务面根据所述时间戳获取请求向所述系统面发送时间戳，以使所述系统面根据该时间戳和所述加密配置信息生成一次性密码以及该一次性密码对应的密码插入表项，能够有效避免时间戳信息在网络内传播，杜绝攻击者通过抓包等行为获取加密参数信息的情况，能够有效提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；所述系统面生成所述一次性密码和所述业务面封装所述目标带内遥测数据的过程异步执行，且对于密码的插入只需要业务面参与，使得带内遥测数据加密及验证过程均具备较好的实时性，并且能满足线速策略的需求。
100.为了进一步提高面向白盒交换机的带内遥测数据上传的安全性及可靠性，在本技术的第三带内遥测数据验证方法的一个实施例中，所述加密配置信息包括：时间戳间隔、一次性密码位数及totp私钥，以使所述系统面以所述时间戳间隔作为获取所述时间戳以及生成所述一次性密码的时间间隔，并基于所述一次性密码位数及totp私钥生成一次性密码；
101.其中，所述时间戳为npu时间戳。
102.从上述描述可知，本技术实施例提供的第三带内遥测数据验证方法，系统面通过接收控制面发送的时间戳间隔、一次性密码位数及totp私钥，使得所述系统面能够定时生成一次性密码并能够保证一次性密码的安全性、可靠性及有效性，进而能够进一步提高面向白盒交换机的带内遥测数据上传的安全性及可靠性；以及，通过采用npu时间戳进行一次性密码的计算，在私钥的基础上再引入了npu时间戳作为变量，降低了密码信息泄露之后被伪造密码的可能性，提升了安全性。
103.为了实现通过密码插入表项进行密码认证报头的封装插入，在本技术的第三带内遥测数据验证方法的一个实施例中，所述密码认证报头为预先对ipv6 ah中的字段重新定义后生成的报头；
104.其中，所述密码认证报头中的字段包括：下一跳报文头编号、负载长度、保留字段、密码认证标识、密码值和密码实体标识；
105.所述下一跳报文头编号用于指示下一个所述密码认证报头的编号，所述负载长度用于表示扩展报头的长度，所述密码认证标识用于标识当前报文头为所述密码认证报头，所述密码值用于承载所述一次性密码的密码值。
106.从上述描述可知，本技术实施例提供的第三带内遥测数据验证方法，通过对于ipv6ah中的字段进行重定义，设计了新的ah报头格式对于生成的密码进行承载，能够实现通过密码插入表项进行密码认证报头的封装插入，对于密码的插入只需要业务面参与，使得带内遥测数据加密及验证过程均具备较好的实时性，并且能满足线速策略的需求。
107.基于上述实施例提供的第一带内遥测数据验证方法至第三带内遥测数据验证方法，本技术还提供一种白盒交换机的实施例，所述白盒交换机具体包含有如下内容：
108.控制面，用于执行第一带内遥测数据验证方法；
109.系统面，用于执行第二带内遥测数据验证方法；
110.业务面，用于执行第三带内遥测数据验证方法。
111.在白盒交换机的一个具体实施例中，所述白盒交换机为可编程、具备节点表示能力和软件定义能力的设备。具体说明如下：
112.1、可编程性：方案需要白盒交换机设备具备可编程性，能够支持对于验证密码的
数据包插入操作。
113.2、节点标识能力：方案所适用的带内遥测上传协议需要支持节点标识，即需要能够在上传数据包中对于产生上传数据的白盒交换机进行标记。
114.3、软件定义能力：白盒交换机需要有软件定义能力，即能够接收来自于控制面的控制信息与配置信息。
115.为了进一步说明本方案，本技术还提供一种面向白盒交换机的带内遥测数据验证方法的具体应用实例，方案基于白盒交换机的典型架构，设计能够适应白盒交换机的测量数据验证方案，直接在白盒交换机业务平面完成密码相关的操作，提升实时性。
116.本技术应用实例利用一次性密码对于上传的数据包进行验证。将一次性密码的生成计算操作与数据上传的密码插入封装操作进行解耦，实现异步的密码计算与密码封装。具体而言，利用白盒交换机操作系统进行密码计算；通过npu直接进行“匹配-插入密码”的快捷密码封装，提升实时性。为了降低因为私钥泄露而造成的安全风险，方案采用npu时间戳作为当前时间戳参数进行totp(time-based one-time password，基于时间的一次性密码算法)验证。设计了新的ipv6 ah(authentication header，认证报头)对于一次性密码进行承载，并通过密码插入表项进行插入。具体说明如下：
117.(一)方案架构
118.本应用实例的架构参见图6，包含密码生成、密码承载、状态数据库与密码验证，共4个功能模块。
119.1)密码生成功能：由交换机操作系统承载，负责接收来自于控制面的配置信息，读取白盒交换机npu时间戳信息，并进行密码的生成计算，并从交换机操作系统中下发密码规则至白盒交换机业务面。
120.2)密码承载功能：由交换机业务面承载，负责根据密码生成功能的配置，通过表项匹配直接将计算生成的当前的一次性密码写入上传数据包中的指定位置。特别的，密码承载功能与密码生成功能异步进行，密码承载无需等待密码生成与密码更新的处理过程。
121.3)状态数据库功能：由控制面承载，需要对于白盒交换机的需要的状态参数进行记录，以在收到上传数据包之后进行验证。
122.4)密码验证功能：由控制面承载，需要基于状态数据库与收到的上传数据包中的信息对于所携带的密码进行验证，判断是否接受该上传测量数据包。
123.本技术应用实例提供的面向白盒交换机的带内遥测数据验证方法的主要工作流程为：
124.在控制面，将面向白盒交换机下发需要的一次性密码需要生成的参数，白盒交换机操作系统独立的进行一次性验证密码的计算生成，并以表项形式写入交换机网络芯片。
125.在白盒交换机中，1)收到带内遥测指令之后，会按照指令要求进行上传数据采集，并生成上传数据包。2)上传数据包会经由密码承载功能处理，将计算好的一次性验证密码插入上传数据包中，并通过业务面上传至控制面。3)控制面接收到上传的数据包后，对于上传数据包进行解析，并通过状态数据库对于数据包中的一次性密码进行计算验证，判断是否需要接受该数据包的测量数据。
126.其中，下述分别从密码生成、密码承载、状态数据库及密码验证几个方面详细说明：
number field字段，用以进行一次性密码值的承载，密码值的数学值需要小于等于2
32-1，即最大的密码值可以支持4294967295。
148.6、密码实体标识：password entity identity，128bit，重构自ah中的变长icv(integrity check value)字段，将icv字段重定义，并定长为128bit字长。
149.其中，密码认证标识由网络管理员确定，用以标识该ah报文头为pah报文头，具体的值本方案不做定义，能够在网络内独立可识别即可(即没有歧义)。密码值进行密码的承载，总字长为32bit，方案推荐采用9位即以下的密码，即可以完备支持0到999999999的密码值。密码实体标识表示封装该验证密码的节点的标识，由于不同的白盒设备具有不同的标识体系，因此采用了较长的128bit进行承载，能够承载通过例如mac地址(48bit)，openflow dpid(64bit)、srv6 local sid(128bit)的标识方式。对于pah的填充，本方案不做叙述，在pah之后通过补0保证pah长度合法即可。
150.方案需要对于白盒交换机进行可编程扩展，通过密码插入表项进行pah的封装插入。密码插入表项以管理员定义的字段为匹配，即对于测量数据的数据包进行识别，通过密码生成功能对于表项需要插入的具体值进行指定。在密码插入表项匹配命中之后，会对于在命中的数据包中插入该节点的pah，对于节点标识与密码值进行承载。其中，密码插入表项示例参见图8。
151.(四)状态数据库
152.状态数据库用以存储与网络中白盒交换机设备相关的状态信息，用以在接收到白盒交换机产生的上传测量数据之后，对于上传数据进行计算校验。
153.存储的验证信息包括白盒交换机编号、白盒交换机私钥、白盒交换机纪元(epoch)时间戳。
154.1)白盒交换机编号：方案中用e表示，按照e0、e1等进行编号。用以标识白盒交换机，需要在协议中进行承载，以指示上传数据包来自于哪一台白盒交换机。方案需要通过白盒交换机编号索引私钥与纪元时间戳。
155.2)白盒交换机私钥：方案中用k表示，表示控制面下发给白盒交换机的一次性密码的生成私钥，根据对应的白盒交换机编号不同，通过k
e0
，k
e1
等编号与对应。
156.3)白盒交换机纪元时间戳：方案中用te表示，表示白盒交换机中npu芯片启动/驱动时候的unix时间戳。由网络控制器或者是运维人员通过运维过程进行记录，不在网络中进行暴露传输，在交换机重启/重置之后置0。通过t
e0
，t
e1
等进行编号与对应。
157.白盒交换机的编号e通过运维人员或者是控制器提前配置指定，需要与上传协议相配合，并且在pah中对于交换机编号进行嵌入。
158.控制面需要对于白盒交换机设备下发私钥k进行一次性密码的生成。面对不同的白盒交换机允许下发不同的私钥以提升安全性，也可以下发相同的私钥以节省资源。
159.白盒交换机纪元时间戳te在其进行启动/驱动之后，控制面需要记录当前的unix时间戳，标记为te。
160.表1展示了数据中进行存储白盒交换机参数条目的示例，其中e，k，te存在对应关系，能够进行索引。
161.表1
162.白盒交换机编号私钥纪元时间戳
e0k
e0
t
e0
e1k
e1
t
e1
ꢀꢀꢀ
e2k
e2
t
e2
163.控制面允许对于白盒交换机进行集群以减少数据库空间占用，即多个白盒交换机共享同一个私钥，并在较短的时间差内进行启动/驱动。由此带来的时间差需要加密算法进行平滑，对于加密算法的平滑本方案不涉及。
164.(五)密码验证
165.控制面在接收到网络节点产生的测量数据之后，会对于数据包中的pah进行读取解析，并进行验证。在接收到测量数据的数据包之后，控制面按照以下的步骤进行验证：
166.1、记录接收数据包时刻的unix时间戳，标记为tu。解析上传数据包，读取白盒交换机编号，标记为et，并解析上传数据包中的一次性密码，标记为pt。然后执行步骤2。
167.2、根据et值对于数据库进行索引，读取et值对应的私钥(kt)与纪元时间戳(t
et
)，执行步骤3。
168.3、计算运维时间戳t
mt
，其中t
mt
＝t
u-t
et
。跳转至步骤4。
169.4、以k与t
mt
为输入，按照与数据平面一次性密码算法相同的算法、相同的设定位数d、相同的时间戳间隔t
x
，进行验证密码pv的计算。进行计算的公式如下所示，计算完成之后执行步骤5。
[0170][0171]
5、利用pv对于pt进行验证，如果相同则接收该数据包的测量数据，反之则拒绝。密码验证结束。
[0172]
对于密码的验证过程如图9所示。
[0173]
对比现有方案，本技术应用实例提供的面向白盒交换机的带内遥测数据验证方法存在以下的优势：
[0174]
1.避免了时间戳信息在网络内传播，杜绝通过攻击者通过抓包等行为获取加密参数信息的情况。
[0175]
2.方案的密码计算与插入异步进行，对于密码的插入只需要业务面参与，具备较好的实时性，并且能满足线速策略的需求。
[0176]
3.方案采用npu时间戳进行一次性密码的计算，在私钥的基础上再引入了npu时间戳作为变量，降低了密码信息泄露之后被伪造密码的可能性，提升了安全性。
[0177]
本领域普通技术人员应该可以明白，结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法，能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(asic)、适当的固件、插
件、功能卡等等。当以软件方式实现时，本技术的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。
[0178]
需要明确的是，本技术并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本技术的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本技术的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。
[0179]
本技术中，针对一个实施方式描述和/或例示的特征，可以在一个或更多个其它实施方式中以相同方式或以类似方式使用，和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
[0180]
以上所述仅为本技术的优选实施例，并不用于限制本技术，对于本领域的技术人员来说，本技术实施例可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。