(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210171013.X (22)申请日 2022.02.23 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 吴畏虹　贾竞　刘江　王冰清　 黄韬　 (74)专利代理 机构 北京金咨知识产权代理有限 公司 11612 专利代理师 宋教花 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 69/22(2022.01) (54)发明名称 带内遥测数据验证方法及白盒交换机 (57)摘要 本申请提供一种带内遥测数据验证方法及 白盒交换机， 所述方法包括： 控制面向系统面发 送加密配置信息， 系统面基于加密配置信息以及 时间戳生 成一次性密码， 并将一次性密码对应的 密码插入表项发送至业务面， 业务面对目标带内 遥测数据进行加密封装， 且系统面生成一次性密 码和业务面加密封装目标带内遥测数据的过程 异步执行； 控制面接收业务面发送的加密封装后 的目标带内遥测数据并进行验证。 本申请能够避 免时间戳信息在网络内传播， 杜绝攻击者获取加 密参数信息的情况， 能够提高带内遥测数据上传 的安全性及可靠性； 密码计算与插入异步进行， 对于密码的插入仅需业务面参与， 使得带内遥测 数据加密及验证过程均具备较好的实时性， 满足 线速策略需求。 权利要求书2页 说明书13页 附图3页 CN 114710316 A 2022.07.05 CN 114710316 A 1.一种带内遥测数据验证方法， 其特 征在于， 包括： 向白盒交换机的系统面发送加密配置信 息， 以使该系统面基于所述加密配置信 息以及 自所述白盒交换机的业务面 获取的时间戳生成一次性密码， 并将该一次性密码对应的密码 插入表项发送至所述业务面， 使得业务面基于该密码插入表项和目标带内遥测数据对应的 密码认证报头对所述 目标带内遥测数据进行加密封装， 其中， 所述系统面生成所述一次性 密码和所述 业务面加密封装所述目标 带内遥测数据的过程异步执 行； 接收所述 业务面发送的加密封装后的目标 带内遥测数据并进行验证。 2.根据权利要求1所述的带内遥测数据验证方法， 其特征在于， 所述接收所述业务面发 送的加密封装后的目标 带内遥测数据并进行验证， 包括： 接收所述 业务面经由所述系统面发送的加密封装后的目标 带内遥测数据； 对加密封装后的目标 带内遥测数据中的所述密码认证报头进行解析； 基于本地的状态数据库中的验证信 息对解析后的目标带内遥测数据进行真实性校验， 其中， 所述验证信息包括： 白盒交换机编号、 白盒交换机私钥和白盒交换机纪元时间戳。 3.根据权利要求1所述的带内遥测数据验证方法， 其特征在于， 所述加密配置信息包 括： 时间戳间隔、 一次性密码位数及 TOTP私钥， 以使 所述系统面以所述时间戳间隔作为自所 述业务面 获取所述时间戳以及生成所述一次性密码的时间间隔， 并基于所述一次性密码位 数及TOTP 私钥生成一次性密码； 其中， 所述时间戳 为NPU时间戳。 4.一种带内遥测数据验证方法， 其特 征在于， 包括： 接收白盒交换机的控制面发送的加密配置信息； 根据所述加密配置信息向所述白盒交换机的业务面获取时间戳并在本地生成一次性 密码； 基于预设的上传协议 生成所述 一次性密码对应的密码插 入表项； 将所述密码插入表项发送至所述业务面， 以使该业务面基于该密码插入表项和目标带 内遥测数据对应的密码认证报头对所述目标带内遥测数据进 行加密封装， 并将加密封装后 的目标带内遥测数据发送至所述控制面进行验证， 其中， 本地生成所述一次性密码和所述 业务面加密封装所述目标 带内遥测数据的过程异步执 行。 5.根据权利要求4所述的带内遥测数据验证方法， 其特征在于， 所述加密配置信息包 括： 时间戳间隔、 一次性密码位数及TOTP 私钥； 相对应的， 所述根据 所述加密配置信 息向所述白盒交换机的业务面获取时间戳并在本 地生成一次性密码， 包括： 以所述时间戳间隔作为自所述业务面获取所述时间戳以及生成所述一次性密码 的时 间间隔， 并基于所述 一次性密码位数及TOTP 私钥生成一次性密码； 其中， 所述时间戳 为NPU时间戳。 6.一种带内遥测数据验证方法， 其特 征在于， 包括： 接收白盒交换机的系统面基于加密配置信息发送的时间戳获取请求， 其中， 所述加密 配置信息由所述白盒交换机的控制面预 先发送至所述系统面； 根据所述 时间戳获取请求向所述系统面发送时间戳， 以使所述系统面根据该时间戳和 所述加密配置信息生成一次性密码以及该一次性密码对应的密码插 入表项；权　利　要　求　书 1/2 页 2 CN 114710316 A 2接收所述系统面发送的所述密码插 入表项； 基于所述密码插入表项和目标带内遥测数据对应的密码认证报头对所述目标带内遥 测数据进行加密封装， 并将加密封装后的目标带内遥测数据发送至所述控制面进行验证， 其中， 所述系统面生成所述一次性密码和本地加密封装所述目标带内遥测数据的过程异 步 执行。 7.根据权利要求6所述的带内遥测数据验证方法， 其特征在于， 所述加密配置信息包 括： 时间戳间隔、 一次性密码位数及 TOTP私钥， 以使 所述系统面以所述时间戳间隔作为 获取 所述时间戳以及生 成所述一次性密码的时间间隔， 并基于所述一次性密码位数及 TOTP私钥 生成一次性密码； 其中， 所述时间戳 为NPU时间戳。 8.根据权利要求6所述的带内遥测数据验证方法， 其特征在于， 所述密码认证报头为预 先对IPv6  AH中的字段重新定义后生成的报头； 其中， 所述密码认证报头 中的字段包括： 下一跳报文头编号、 负载长度、 保留字段、 密码 认证标识、 密码值和密码实体标识； 所述下一跳报文头编号用于指示下一个所述密码认证报头的编号， 所述负载长度用于 表示扩展报头的长度， 所述密码认证标识用于标识当前报文头为所述密码认证报头， 所述 密码值用于承载 所述一次性密码的密码值。 9.一种白盒交换机， 其特 征在于， 包括： 控制面， 用于执 行权利要求1至 3任一项所述的带内遥测数据验证方法； 系统面， 用于执 行权利要求 4或5所述的带内遥测数据验证方法； 业务面， 用于执 行权利要求6 至8所述的带内遥测数据验证方法。 10.根据权利要求9所述的白盒交换机， 其特征在于， 所述白盒交换机为可编 程、 具备节 点表示能力和软件定义能力的设备。权　利　要　求　书 2/2 页 3 CN 114710316 A 3