技术实现

　　在数据层面，在信任联盟TA成员间互访的通信场景中，本方法依托扩展MPLS网络为每个MPLS转发等价类（FEC）分配的域内和域间级别的标签，启动标签驱动的路由和转发，报文在源端添加SID，在目的端验证并去除。在其他场景下，数据报文延用传统IP网络即基于目的地址转发。在这一过程中，成员自治域的边界路由器（ABR）根据到达数据报文流向，依据验证规则运行防御和验证处理流程来过滤假冒（其数据层面的处理流程如图2、3所示）。

图2 ABR对来自域内报文的处理流程

图3 ABR对来自域外报文的处理流程

　　在功能层面，本方法在功能上扩展了传统的MPLS，引入了认证源地址真实性和标识数据报文源发性的SID标签，SID始终处在标签栈底，只在报文到达目的端时才出栈验证，SID既作为真实性验证依据，又为假冒追溯提供了可能。数据报文的路由、转发和验证完全是基于MPLS标签驱动的：一方面，路由设备仅根据短而定长的SID来标识地址的源发性和验证地址的真实性，省去了传统基于标签的验证方案中在报文IP 头部的标签添加、验证和解除的计算开销，降低了每单位数据报文的验证复杂度、缩减了验证延迟；另一方面，数据报文依据封装在2.5层MPLS头部的短而定长的域内和域间标签进行转发，省去了传统基于IP转发的软件查找IP路由的复杂过程，排除了网络拓扑、路由路径的影响，无需中间节点参与验证，不给运营网络和域间路由协议带来负面影响，确保了数据报文跨域传输的高速高效。同时，我们构建的跨域扩展MPLS网络继承了传统MPLS的面向连接特性，可以有效实现服务质量提升，根据不同用户需求提供网络资源预留和合理分配，提升网络运营的成本效益比率，避免不必要的网络资源耗费，因此具有一定的部署激励。