YD_T 4431-2023 域间路径验证（IDPV ) 技术要求 数据平面.docx

ICS33.(M4MOCCS1.79YD中华人民共和国通信行业标准YDfr44312023域间路径验证(IDPV)技术要求数据平面Therequirementsfortheinter-domainpathverification(IDPV)Datap1.ane2023T1.-O1.实施2023-07-28发布中华人民共和国工业和信息化部发布前言111范围12规范性引用文件I3术语与缩略语14缩略语35总体机制36动态标签同步机制47传输策略生成58娜初始化数据包头68.1 数据包的报文格式68.2 海用户初始化数据包89中间路由节点的处理流程109.1 总体要求IO9.2 总体机制IO9.3 被选中中间路由节点验证及更新认证码I1.9.4 未被选中中间路由节点验证及更新认证码19.5 数据包转发I1.9.6 最后一跳路由节点处理1110目的用户的处理流程110.1 获取动态标签I10.2 路径脱证12I1.根密钥和动态标签更新13本文件按照GB"1.1-2020f标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件是E域间路径验证UDPV）技术要求系列标准之一,本系列标准的名称和结构如下：尚坪面；娜平面.清注愈本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。木文件由中国通信标准化协会归口.本文件起草单位：清华大学、中国信息通信研究院、中国电信集团有限公司、华为技术有限公司、新华三技术有限公司。本文件主要起草人：徐恪、王晓亮、付松涛、吴建平、赵锋、史凡'陈国义、万晓兰.I1.1.域间路径验证(IDPV)技术要求数据平面1Sf1.本文件规定了在域间路径验证(IDPV)中数据平面的技术要求,包括动态标签同步、源用户路径股证策略生成与实现、路由节点认证码计算及脸证、目的用户执行路径证等内容。本文件适用于IR6互联网管理域之间其实路径验证方案.2期£性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款，其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.IETFRFC8200互联网协议第6版(IPV6)规苑(ImernCtProtocoItVcniion6(IPv6)Spccification)3术语与潮下列术语和定义适HJr本文件。3.1城间路径验证inter-d<>nuinpathvcri11cati(>n用于源和目的用户验证数据包传输过程实际经过的路由节点是否符合用户预期。3.2管理域administrativedomain路径验证的是本单位，可以是一个自治系统，或一个子网。33由"分发JR纲Ikey(Iistri1.)UtMM)SerVer每个管理域配区的一台(或多台)服务器,用于管理域间主密钥的同步，以及为验证实体(路由节点及用户)生成及分发密钥。3.4用户user包拈源用户和目的用户，源用户与目的用户可以是端节点，也可以是边界路由节点，当源用户为端节点时，目的用户也为端节点：源用户为边界路由节点时，目的用户也为边界路由节点.3.5路由节点ADWigero1.1.ter从源用户到目的用户的每个管理域入口边界路由节点，在控制平面与K1.)S通信接收标签，在数据平面完成越丁动态标签的认证码计算、聘证以及更新操作。3.6路由节点标很符ERidentifier路由节点对应前缀或其他能在管理域唯一标识该设备的编号。3.7用户标识将Useridentifier当用户为端节点时.用户标识符为用户IPv6地址：当用户为路由节点时,用户标识符为源和目的用户的路由节点标识符。3.8涌息认证码messageauthenticationCUde为使用特定算法生成的定数破的比特位，可用于验证认证码生成者的身份。3.9动态标签dynamictag动态的设备标识，在同一时隙,两个设备实体共享一个动态标签,生成及验证认证码时使用该标签作为输入之一.3.10synchronizingtimes1.ot网络动态标签根据时隙变化，全网控制面保持秒级的同步，以确保任意两个设备之间的时隙相差不超过一个完整的时隙。3.11时间片epoch源和目的用户执行验证策略的暴本单位，每个时间片传输一定数后的数据包。3.12策略po1.icy源和目的用户共享的验证参数，如每个!时间片内有多少数据包，每个中间路由节点验证多少比例的数据包.3.13部署dep1.oyment将动态标签从控制面下发到路由节点，爵路径验证程序部署到路由节点及用户.3.14应答包acknow1.edge目的用户向源用户发送脸证结果的数据包.3.15共享时间片sharedtimes1.ot网络时间同步后，设备之间仍可能在:在苻微小的时间误差，因此设置一个共享时间片，在该共享时间片内，有多于一个标签同时有效.3.16管理城前霰信息/KDprefixinformation各管理域所拥有的地址前缀的信息.4g语卜列缩略语适用于本文件。AD管理域AdministrativeI)OnKIinACK肯定应答包Acknow1.edgeAER边界路由节点ADEdgeRouterIDPV域间跄径验证Inter-domainPathVerificationIP互联网协议InternetPr<Xrc>1.IPvf.互联网协议第6版InternetPro<oco1.vcsion6KDS密钥分发服务器KeyDistributionScncrMAC消息认证码MessageAiHhcnticaiionCadCRid路由节点标识符AERNodeIdentifierTag动态标签DynamicTagTS时隙TimeS1.otUid用户标识符UserIdentitier5总体机域间路径验证方案UDPV)是在管理域(AdminiMMiVeDOmain.AD)通过密钥分发服务器(KeyDistributionServer,KDS)建立动态共享的标卷，并把动态标签部署到管理域边界路山节.点上.源用户为每个数据包嵌入新增包头，通过包头字段指示路由节点完成把F标签的认证码生成、数据包过滤及认证码更新操作,目的用户根据包头字段和标签脸证数据包险证以时间片为单位,每个时间片结束后，眼据通过验证的数据包数量，和源、目的用户通过会话标卷生成的传输策略验证各边界路由节点传输行为，在数据而实现数据包管理域粒度传输路径验证，目的用户在每个时间片结束后，通过验证策略验证路Ihw点是否按照定路径传输了约定数量的数据包，并计算正常传输数据包的比例，当低于一定阈值时，目的用户通过肯定应答报文（Acknow1.edgedmentACK）通知海用户路径险证失败：岛F阈色时表示路由节点按预定策略传输了数据包.目的用户使用ACK通知源用户脸证成功.IDIJV包括动态标签同步，源用户验证策珞规划，路由节点认证码计算及脸证、更新，目的用户监证.用于路径验证过程的步骤如图1所示，S、D为源和目的用户，1.-2-3-4为中间的4跳路由苗点.路径验证数据面处理过程包括源用户初始化数据包（第8节），路由节点验证、更新数据包（笫9节），口的用户节点计数及驶证位输策略（第10节）3个基本步骤。在IDPV中，各管理域使用监钥服务器来生成和管理标签.首先，各管理域密钥服务器两两共享一个根密钥（128位）,即管理域i与管理域j共享密钥RK;.该报密引仅管理域i和管理域j的密钥服务器拥有，井以大为单位进行更新。Rid为路由节点标识，默认采用6",7JPv6地址前缀（也可以单独编号），对管理域i中的路由节点k的标识符为RidIk1.在每个时隙TS,与管理%中的标识符为Rid1.m）的路由节点m共享的动态标篮为：Tdfhn=MACek.iRi<1.kJRidnjTS11cif）其中，“1”表示符号申联，Ridk与Ridm中较小的一个标识号位于前面，F1.即为一个8biI的带钥类型标志，比如F1.ag=O表示路由节点之间相互脸证时使用的动态标签Rag=I表示端节点与路由节点相互验证时使用的标签，采用该方式，每两个路由节点之间根据不同时限派生出不同的动态标签。在得到TS号的情况下，路由节点m可以根据路由节点k的标识号取出预先存储的动态标签。MACo采用AES加密算法。当源（三）和日的用户（d）为路由节点时，各管理域保持时钟同步同步精度为秒级）,所有动态标签均由KDS提前写入路由节点。公式（D计算出的动态标签作为源路由节点（目的路由节点）与中间路由节点（m）的动态标签Tagkm1.也作为源（三）和目的用户（d）之间的标签Tag（Sd.当源（三）和目的用户（d）为端节点时,标签生成屈理一致,为了区分用户,加入F1.ow（流标签）作为其中一个输入,确保不同的用户得到不同流标签对应的密钥，默认情况下取F1.oW为全0.标识符使用源和目的端节点本次会话所在域边界路由器标识符，即Rid与Rid1.n为S和m所在管理域的标识号，RK:为S和m所在管理域的根密钥.默认情况下取F1.oW为全0:（9）T*jh11-MACRk,<Ri1.Hk）RidnITSHndFuw）源和目的用户湘节点还需要一个共享的对称密钥TaMSd用于协商险证策略，标识号使用源和目的端节点的标识符（IP地址）：Tagsd1.=MACRk.（UidIsUk1.d）ITSF1.ag11ow）（3）其中，RKy海和目的端节点所在管理域的收密钥，Uid1.S1.和UidIm为源和目的端节点的IP地址，同样，也将IP地址值较小的一个置于前面。端节点用户需要使用的动态标签由用户向KDS申请。在通信前由源端节点发起查询请求KDS向源端节点发送本次通信所在时隙的动态标签（端节点T（Igsd和路由节点的THgsm）;目的端节点作收到笫一个数据包后，向本域KDS直询对应的动态标叁,实现动态标签共享.由于全网并不能保证精确的时间同步，每个路由啰点需要存储2个时隙对应的动态标签，时隙以分钟为单位进行更新.7 mm½传输策略以时间片（EPoCh）为单位，即一个时间片内包含的数据包数量和每个数据包需要多少跳路由节点验证。本方案默认采用每个数树包由源端选挂其中跳路由节点验证，选挣的方式为均匀随机极率，即对于有5个中间路由节点的链路，每个路由节点以1/5的概率验证及添加认证码并进行验证.因此，传输策略主要指每个时间片内数据包的总成。源和目的需要协商每个时间片的数据包总量，协商并不需要源和目的用户通过公话协商,而是直接司源和目的用户的会话标篮Tagsd与当前时间片EpoCh经过运算（可使用消息认证吗算法）得到一个数由N-M4C7WhmA)(4)其中，EPoCh字段在数掳包中定义8位，到255后从0里新开始，而公式(4)中EpOCh则取128位，F1.采用连续取值，即255之后为256,依次类推，确保每个时间片的数据包数量具有随机性.设傩个时间片的基准数m为M,取N的最低16位2进制数对H取模.得到一个数值M_ADD.H+MADD即为当前时间片的数据包数;匕这样，目的用户可以从所在管理域KPS斛到Tagsd,计算出同样的M+N1.ADD通过这样的方式，目的用户可以验证本时间片的数据包数法是否符合要求，从而实现对重放攻击、丢弃数据包等行为的校测。8 IM1.初始化IM包头8.1 敷据包的报文格式本方案针对使用IPv6的网络迸行设计，RFC8200中IPv6数据包的NeXtHeader字段为43时，表示下一个扩展包头是一个R。UIing包头。用于验证的数据包头加入IPv6的Rou1.ing包头中,该扩展包头包含IDPV字段，其格式如图2所示。SextHeaderIWrEX1.1.eniRstfngTypeRidM1.1.iUnEntryF1.agF1.OVTaDedUiwUoAde1.ne88Rid0/Ridn-1/TypeethNSe1.EntryISpochSequenceSe1.HarkPathhrkIIWding/图2WIDPV含有IDPV字段的RoUIing包头(以下简称IDPv包头)各个字段的名称、长度、含义、赋值等内容见表】。«1含利DPV字段的R。Uting包头字访义名称长度含义NextHeader8bits下一包头标识与IP协设必定相同*1含箱DPV字段的R。Uting包头字段弊义SD幺称长度含义HdrExt1.en8bitsRoUIiru?实际K或根iKRou1.ingheader实际长便确定，以8个字节为单位，不包括前面固定的8个字节RoutingType8bits包头类A!乜头类型标识符，M假为7Rid1.eft8bitsRid列表料余节点跳数从。开始编号,衣示当前Rid的索引他1.nstEntry8bitsRid列表Ai后-恸索弓I从。开蛤损,表示传输路径上共4多少跳路由节点F1.ag8bits标志心区位定义路径验证参数：0:«.目的用户为路由节点1：源、目的用户为端打点次饪2位定义路径验证参数：00;Rid为16bits01:Rid为32bits10;Rid为64bitsU;Rid为128bits创数第1位定义普通数据包和ACK包I0:普通数据包I:ACK包其他未分配F1.owTag16bits标笠信息用于标识流的标卷侑&DtfNiinationAddress128bits目的地址临时存储数榭包H的地址RidH)每个Rid16/32M128bits路由节点id列表对n跳中间节点,第一跳为RidnT餐后一跳为RidO,每一跳对BERiMRid1.eft,根据F1.ag不同,可以选择16位,32位,61位和128位Type8bits生成认证码的方式及使用标签类里后3位定义生成认证码的方式，0:CRC32;1:AES：用数第4位定义路径验证方式I0：可i测路由节点行为的路径验UE.目的用户根据SeIMark和PathMark验证数据包.并记录计数器追潮将由节点依证情况：1：轻量级路径验证,目的用户仅对仅根IRSe1.Mark和PaIhMark对用个数榭包进行验证不更新计数器及追溯路由节点脍证情况I犬他未分配«1含初IPV字皎的RoUting包头字段馨义（蛭名为长度含义Wtf1.1.ength8bits认证码长度JH2（指示SeIJforkH1.JNhJferk的长度.Se1.Mark和PthJhik供认长度为32位，实际认证内长度为状从长度的21.cngt11倍：地6位：以8字行为携本单位,从SeIMark到PHthMIUk的总长度IS16bits时Rt信息以2秒为粒度对全天进行时隙分别，共43200个时WU对应十六进制为OXA88,TS取值从O-OXA8IWSe1.Entry8bits源用户选中对本数据包添加及4证认证码的路由节点索引。到nT中的某个数欣Kpoch8bits时间片编号从0-255循环编号SGqUenCe16bits序列号从O1.MW1）循环洞号（N为每个时间片内妁定的数据包总uSe1.Mark变长源用户为选中路由节点计算的认it码，中间路由节点验证后.更新为中间节点认证码.供日的节点及证根据动态标签和数据包头生成.默认32bitsPathMark变长路/所有中何节点更新的认证码根据动态标签和数据包头生成,每跳路由节点计算出来后，与数榭包中已有的Path的rk坪或运算后.更新为新的PathMark.默认32bitsPadding变长全0填充0填充以符合HdrEXt1.en烧定的字节数8.28.2.1 添加含IDPV的ROUting包头对源用户为珞由节点的情况，源路由节点高要根据以下情况对报文做修改.第一种：原报文中不含有ROUIing包头。方法：按照RFC8200加入RCUting包头，袋我IDPV包头.根据IPv6的相关协议，IDPV包头需要进行填充使其长度为8字节的整数倍（IDPV包头已设计为8字节的整数倍），对IDPV包头的NextHeader、HdrEXt1.en、FIag域，以及IPv6报文头部的NeX1.HeadeN43）、Pay1.oad1.engthtft.上层协议头（如TCP、UDP等）的CheCkSUm域进行必要的改写。第二种：原报文中含有RoUIing包头，但不是IDPV包头。方法：该情况下，原ROUIingTyPe字段与包含IDPV的ROUnng包头中RoutingTyPe字段不同，按照RFC8200.在原ROU1.ing包头中修改RoU1.ingTyPe字段为IDPV对应的字段，并在原R。UIing包头的尾部初始化IDPV中Type到PathMm的字段，添加必要的Padding.修改HdrExt1.en字段对应的长度值，同时时IPv6报文头部的Pay1.Oad1.ength域，以及上层协议头（如TCP、UDP等）的CheCkSUm域进行必要的改写。第二种：原报文中含有IDPV包头。方法：对于含有IDPV字段ROUting包头的报文，原RoUtingTyPC字段与包含IDPv的RCUting包头RoUtingTypC字段相同。分为两种情况，一种是通过RoUting包头中F1.ag判断该包头由湘节点源用户添加.此时源路由节点仅执行转发操作，不需要添加及脸证认证码：另一种是一些实脸性报文中携带的RoUting包头，通过RoUting包头中Hag判断该包头应该由路由节点源用户添加，但路由节点源用户并没有添加这种报文，这种情况下，对于不认识的ROUting包头，按照RFC8200规定，路由节点源用户丢弃该数据包,并向数据包海地址发送互联网捽制消息协议（InICnWtCtmt11）1.MessagesPnMocoUCMP）参数（PammCtCr）问题数据包，代码（COdC）0.指出这是一个不认识的ROUting包头.财源用户为端节点的情况，海用户直接对数据包按IDPV包头添加各字段，添加方法与路由节点为源用户的笫一种情况（厚报文中不含R。U1.ing包头）相同。8.2.2源用户首先将路由节点标识符依次写入Rid（j（|一个管理域的入口路由节点标识符位于列表最后一项）,并将卜一个管理城Rid1.as1.En对应的路由节点IPv6地址写在IPv6数据包目的地址字段.将I¾II,6目的地址写入IDPV包头Dt?S1.ina1.ionAddreSS字段。因为IPv6目的地址己经包含在DeS1.inatiUnAddreSS字段,Rid列表不包括目的管理域路由节点.然后,源用户初始化NeXIHCader.HdrExt1.en和RoU1.ingTyPC字段,在F1.ag字段表明这是一个端节点（写入1）或路由节点（写入0）路径验证的数据包，TyPe为所选生成认证玛的方式，1.ength字段为4,EpoCh字段为当前的时间片编号,SeqUenCe为序列号（从。开始，最大值为小M_ADD-1）,TS为当前时隙,以2秒为单位将24小时分为OxA8C0个单位，如以300秒为一个时隙,则第一个时隙为0,第二个时隙为0x96.以此类推,全网保持秒级的同步即可.山子无法实现精确同步，路由节点存储两个时隙的动态标签，即便-部分源用户在时限0,另一部分源用户已处于时隙0x96时，由于路由节点同时存储门忖隙。和0x96两个时隙时应的动态标签，不影响取出并使用正确的标签.对每个数据包，源用户为路径上选中的跳路由节点i通过公式（5）计算认证码：mark=MACTag1.a（cst_pkt|H（Ridi-1.Ridi1.pay1.oad）（5）其中Tag网为源用户与路由节点共享的动态标签，c“_pkt表示包头中NCXtHeader,HdrExtIxn,RoutingTyPe.1.astEntry.FIag.Epoch,Sequence1TStSe1.EncntType8个字段，共12个字节，cs（_pkt字段在传输过程中保持不变，Ridi-1（对第一个路由节点，该字段置零）和RidU为路径上路由节点标识，pay1.oad为数据包负载第1个字节（无负我或不足时补全0）,H（.）表示CRC32哈希运克,共4个字节，-共16个字节，通过动态标签进行MAC运算（如AES加密）,得到超过32位（如128位）的比特申，取堆低32位作为认证码,即0:32J表示从第0位开始,使用第0-31位，共32K1.Se1.Mark字段的初始（ft为mark_Mic:mark_src=ntark/0:321.（6）需要说明的是，当淞和目的用户为端节,点时，Hag字段为I;当验证淞和目的用户为路由节点时，Hag字段为0。源用户根据端节点验证和路由节点验证选择对应的动态标签，更新完mark_Src后，源用户将PathMaA字段置为全0,然后根据数据包中目的地址发送数据包，并增加SeqUCrKt准备下一个数据包“当SeqUCnCe到达最大值(M+M_ADDd)时，进入下一个Ep(»ch;当EPoCh为255时,下一个EPOCh从0开始。9中间由节点的EauI9.1 总体要求为了正确对报文进行操作,以完成认证码的计算、验证及更新.和报文的转发,需要对中间路Ih节点(AE1.o的端口(接口)进行分类.AER的任何一个已连接的泄口必须隔于且仅期于下面一类潴口：一IngressPort:连接到其他AI)的入端1.I：-EgressPort:连接到其他AD的出端口，或者本AS中路由节点(IFIDPV)的端口(一般连接到域内IGP路由节点3所有的操作在AER的IngressPort完成.路由节点包括被选中路由节点和未被选中路由节点两种，分别执行如下流程：链路检者、认证码操作、数据收发.9.2 总体机制链路检位根据Rid1.Cn字段得到Rid列表中的Rid1.Rid1.cf1.并I；本路由节点Rid比较.相同则将下一个管理域入口边界路由器IPv6地址拷贝至IPv6目的地址,否则丢弃数据包.整个雁路检查过程如KIf(Rid1.cftX1.astEn1.ry+1)1(Rid1.ef1.=O)触(IpVeH的地址不属木域)«向源地址发送ICMP昼故(Pammdb)间IS数据包，代玛(Qxfe)O,指向Rid1.Cf1.字段,并丢弃数据包：Hsc1.f<RidRid1.dr=RidM向诲地址发送ICMP每数RramcMf，烟散抠包.代码(Cafcn指向Rid1.Cft字段,并丢弃数据包：If(Rid1.eft>O)(RkI1.eft=Rid1.eftk皆询Rk1.IRid1.dU对应管理域入OAER的IPv6地址,拷贝至数抠包IPv6目的地址：E1.seIf<Rid1.en=OH将DevirM1.i«1Addt0字段46地址，拷贝至数据包IpV6”的地址IPv6Hop1.imi1.=IPv6Hop1.imit-1;in时一个数据包而言，认证玛探:作区分为选中节点和未选中节点，在9.3及9.4节中实现。9.3 中中间路由节点It证及更新认i三码被选中中间路由节,点根据数据包头字段和动态标签，通过公式(5)、(6)计算认证码，科到一个新的认证码，与数据包中收到的Se1.Mark字段认证码相比，相同则数据包合法：不相同则会证数据包为不合法，向源地址发送ICMP参数(Parameter)问题数据包，代码(COdC)0,指向SC1.Mark字段，井过泄数据包,不进行后续操作。然后，中间节点进行Se1.Mark字段进行认证码更新,与公式(5)相比,仅表现为公式(7)使用的动态标签Tag1.di1.为目的用户与路由节点共享的动态标签：mark2=MACr峪Uj<cu_PkUH(Ridi1.HRid1.i1.1.gyhKU1.)(7)对Se1.Mark字段的更新为：mark_se1.=mark20:32(8)设深有PathMark字段的认证码为markr.通过公式(9)更jmarkrnew到PathMark认证码字段，向下一跳传送。markrnew,=mark2(0:32憎nark_r其中表示异或运算。9.4 未检选中中丽由节点IHE及更新设国未被选中中间路由节点根据公式(7)计并给目的用户的认证码,根据公式(9)更新Pa1.hMark认证码字段。9.5 敷发处理完成后，AER将数据包按照目的IPv6地M向下一个管理域转发。9.6 JHM由节点处理Rid1.ef1.等于Oj1.IPV6字段目的地址为本管理域地址时,珞由节点为最后一跳管理域入口节点.最后一跳路由节点向目的地址传送数据包.对端节点作为用户节点的脱证，最后-跳路由-H点直接转发数据包至目的用户时路由节点作为源和目的用户的验证,目的路由节点按照笫1。节执行路径验证，在转发数据包之前.需要整体移除IDPV包头，同时,还要对IPv6报文头中的NeX1.H三Jer字段、Pay1.md1.engIh字段，以及上层协议头(如TCP、UDP等)的Checksum域进行必要的改写。10目的用户的姻幽110.1 禁取动态标签目的用户包括端节点或边界路由节点两种情况。对端节点用户,收到第一个数据包后向密钥分配服务器请求本次传输路径上路由节点的动态标签.以及本次会话与源端H点的动态标签.对路由节点用户,直接从本地控制面取出与各中间路由节点共享的动态标签,以及与源用户共享的动态标签。10.2目的端执行数据验证包括两种情况,分别对应轻量级路径验证(TyPC对应标识位为D和可追溯路由节.点行为的路径验证(Type对应标识位为0).轻量级路径验证对每个数据包，目的节点根据包头信息和动态标签，由公式(9)计算markr,认证码正确则进行下一步，否则过/该数据包：然后，由公式(8)计算mark_sd,正确则接收数据包，否则过港该数据包.过港数据包之前，向源地址发送IeMP参数(Pan三1.er)问题数据包.代码(Code)0,指向SU1.Mark或Pa1.hMark字段.可追溯路由节点行为的路径验证对衽个数据包,，目的用户节点为每个会话的每个中间路由苗点保持一个计数器,SeoUnterk,记录一个时间片成功的数据包总量；为整个会话保持一个计数器，fCounter,记录该时片舱证失败的数据包总量，根据包头信息和动态标签，由公式(9)计算mark-认证码正确则进行下一步，否则过渡该数据包，且(Counier加1;由公式计算marijse1.,正确则对应选择路由节点k的SCoUnterk加I,否则过滤该数据包.且FCoumermi.与轻及级路径脸证不同，过浓数据包之后不需要发送ICMP数据包.个时间片结束后，目的端根据公式(4)得到该时间片内的传输策略(总的数据包成为(Mi1.ADD),验证本时间片传输数据包总3是否符合传输策略，即时所有SeOuntCrk的总h；Ts.M去fC。UnICr的总量Tf,是否满足：(M+MADp)×(RT-T<(M+M-ADD)×O(10)其中。0)表示上下限阈值，可分别设置为1.05和0.95.每个时间片结束，目的用户向源用户发一个KK确认信息包，信息由应用层承载.符合传检策略.则发送一个成功标志(128位全0);不符合则发送SCoUntCrk和fC。UntCr对应的数值，每个计数器占用16位,如果有5跳路由节点.财发送96位计数甥数值,后面补充32位全0,共发送128位数值：如果有10跳路由节点，财共发送176位计数器数值，后面80位补全0(共256位)。确认信息使用Ta/sd作为密钥，采用AES加密信息后传输。为区分普通数据包和AeK信息，在F1.ag字段对应位设置为I表示ACK.置。表示普通数据包(见表1)。恶意用户无法修改数据包头Rag值，因为这样会导致基于包头佶息和标签生成的认证码不一致，即使恶意用户根据F1.ag丢弃了ACK.也无法影响路径验证，因为源端连续3个时间片收不到ACK.则判定当前路径存在恶意节点，视为路径验证失败.目的节点保存两个时间片对应的计数器信息，可以同时处理两个时间片的数据包,发送完ACK后，目的用户清空该时间片对应的验证记录.源用户根据路径验证结果，对验证失败和不按期更执行路应验证第珞的节点，通过重新规划路径的策略规避这些节点，确保数据传输过程的安全性.ii»和布标签莫新根密钥以天为单位Jfi行更新，住根密切更新期间，由于各服务器及路由节点无法保持精准同步,由旧板密钥和新根密钥生成的动态标签都可以使用，这个切换时间称为共享时间片。在切换时间通过在IDPV包头TS字段对应的漏号为笫二天第一个时随编号,表示需要用新根密钥生成的标签验证：TS字段对应编号为上一天最后一个时隙编号，表示使用旧根密钥生成的标签验证.动态标签更新与根密钥更新的方式一致,通过IDPV包头TS字段取出相应的标塞,在共享时间片内,两个标签都俄使用。