一种路径选择的方法、装置和系统

本申请是向中国国家知识产权局提交的申请日为2016年12月24日、申请号为201611210906.1、发明名称为“一种路径选择的方法、装置和系统”的申请的分案申请。

技术领域

本发明涉及通信技术领域，特别涉及一种路径选择的方法、装置和系统。

背景技术

网络中的业务传输过程中的自动保护倒换(英文：Automatic ProtectionSwitching，APS)是指使用一条保护通道为一条或多条工作通道提供保护。当工作通道出现故障，原来在工作通道上传输的业务可以自动倒换到保护通路上来，从而最大限度地保障用户数据不被丢失，提高网络的可靠性。APS协议用于在双向保护倒换时协调源宿双方的动作，使得源宿双方通过配合，共同完成保护倒换、倒换延迟、等待恢复等功能。这里的源宿端分别可以为数据传输网(例如IPRAN(英文：Internet Protocol Radio Access Network)/城域网,PTN(英文：Packet Transport Network)、光传输网等)中的两端的源端运营商边缘(英文：Provider Edge，PE)节点/设备和远端或者对端PE。

APS作为一种保护机制为标签交换路径(英文：Label Switched Path，LSP)或伪线(英文：Pseudo Wire,PW)等提供端到端的保护。通过预先建立保护路径，以便当工作路径(节点)失效时切换使用，尽量减少由于工作路径的失效而造成流量中断的损失。

源端PE中的APS状态机根据路径当前的缺陷状态，远端APS报文，或者进一步综合其他条件，诸如配置下发的手工倒换命令和/或WRT或者Hold-Off Timer确定倒换的路径。目前识别APS报文的唯一键值为业务标签，业务标签相同的APS报文被认为是同一个业务对应的APS报文。如果APS报文来源错误，则会导致APS决策错误，从而影响路径切换的正确性或效率。

发明内容

本申请实施例提供了一种应用于APS的路径选择的方法、装置、系统和存储介质，可以减少APS报文来源错误，从而提高路径切换的正确性或效率。本申请实施例还提供了一种应用于APS的报文校验的方法、装置、系统和存储介质，可以减少APS报文来源错误，提高APS决策正确性。

第一方面，本发明实施例提供了一种选择路径的方法，所述方法应用于APS网络，所述网络包括运第一网络设备和第二网络设备，所述第一网络设备和第二网络设备之间建立有主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述方法包括：所述第一网络设备接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括流量走向决策信息和动态加密校验信息，根据所述的动态加密验证信息对所述第一流量决策报文进行加密校验，并在校验通过后根据所述流量走向决策信息选择向所述第二网络设备发送流量的路径。

通过使用包括了动态随机生成的随机Key值的动态加密验证信息对所述第一流量决策报文进行加密校验，从而可以防止该流量决策报文为来源于黑客或者非法第三方攻击的APS报文，或该流量决策报文为来源于第三网络设备发送的基于残留APS配置或者错误配置的APS报文，提高了APS报文来源的正确性，从而可以根据正确的APS报文中的流量走向决策信息进行路径切换决策，提高了APS决策的正确性，进而提高了路径切换的正确性或效率。

结合第一方面，在第一种可能的实现方式中，该方法还包括:所述第一网络设备向所述第二网络设备发送加密协商报文，所述加密协商报文携带所述第一网络设备的加密能力和加密算法；接收所述第二网络设备返回的加密协商回复报文，所述加密协商回复报文携带所述第二网络设备的加密能力和加密算法；并记录所述第二网络设备的加密能力和加密算法。

通过加密能力和加密算法的协商而不是系统直接配置，增加了加密和解密校验的灵活性。

结合第一方面，在第二种可能的实现方式中，该方法还包括:所述动态加密校验信息包括随机Key值以及使用所述第二网络设备的加密算法计算所述随机Key值和所述第二网络设备获取的配置信息所得到的第一摘要，所述配置信息包括下述信息之一：隧道信息和OAM信息；所述第一网络设备使用所述加密算法计算所述Key值和所述第一网络设备获取的所述配置信息所得到的第二摘要，校验所述第二摘要和所述第一摘要。

结合第一方面，在第三种可能的实现方式中，该方法还包括:所述动态加密校验信息包括随机Key值、配置信息以及使用所述第二网络设备的加密算法计算所述Key值和配置信息得到的第一摘要，所述配置信息包括至少下述信息之一：隧道信息和OAM信息；第一网络设备使用所述加密算法计算所述Key值和配置信息得到第二摘要，校验所述第二摘要和所述第一摘要。

上述第二和第三种可能的实现方式中，通过进一步将配置信息(例如隧道信息和/或OAM信息)纳入加密摘要的计算，进一步提高了APS报文来源的正确性，进而提供了路径选择的正确性。因为不管是隧道信息还是OAM信息都是仅为所述主/备路径两端的网络设备所知而不为第三方所知的信息，进一步提高了第三方发送非法APS报文的难度。并且通过上述两种可能的实现方式提供了灵活多样的获取用于计算加密摘要的配置信息的方式，从而有助于支持各种不同设备的加密校验方式。

第二方面，本发明实施例提供了一种校验报文的方法，所述的方法应用于APS网络，所述网络包括运第一网络设备和第二网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，所述方法包括:所述第一网络设备接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值、以及第一摘要，所述第一摘要是使用所述第二网络设备的加密算法计算所述Key值以及配置信息所得到的，所述配置信息包括至少下述信息之一：隧道信息和OAM信息；所述第一网络设备使用所述加密算法计算所述Key值和配置信息得到第二摘要，校验所述第二摘要和所述第一摘要；在所述第二摘要和所述第一摘要一致的情况下，所述第一网络设备根据所述流量走向决策信息选择从所述第一网络设备向所述第二网络设备传输流量的路径。在所述第二摘要和所述第一摘要不一致的情况下，所述第一网络设备忽略所述第一流量决策报文。

通过使用动态随机生成的随机Key值以及受保护的配置信息对所述第一流量决策报文进行加密摘要计算，并通过校验两端计算的加密摘要进行流量决策报文的加密校验，从而可以防止该流量决策报文为来源于黑客或者非法第三方攻击的APS报文，或该流量决策报文为来源于第三网络设备发送的基于残留APS配置或者错误配置的APS报文，提高了APS报文来源的正确性，从而可以根据正确的APS报文中的流量走向决策信息进行路径切换决策，提高了APS决策的正确性。

结合第二方面，在第一种可能的实现方式中，该方法还包括:向所述第二网络设备发送加密协商报文，所述加密协商报文携带所述第一网络设备的加密能力和加密算法；接收所述第二网络设备返回的加密协商回复报文，所述加密协商回复报文携带所述第二网络设备的加密能力和加密算法；记录所述第二网络设备的加密能力和加密算法。

通过加密能力和加密算法的协商而不是系统直接配置，增加了加密和解密校验的灵活性。

结合第二方面，在第二种可能的实现方式中，在所述第二摘要和所述第一摘要不一致的情况下，记录所述第二网络设备发送的所述Key值，形成屏蔽名单。

通过记录错误的Key值形成黑名单，后续如果收到携带同样Key值的流量决策报文(例如APS报文)，则可以直接忽略该APS报文，从而提高了APS校验的速度和效率。

结合第二方面，在第三种可能的实现方式中，所述计算所述第一摘要和第二摘要用的配置信息携带在所述第一流量决策报文、通过所述加密协商报文和加密协商回复报文中协商确定、或者存储在所述第一网络设备和第二网络设备中。

通过上述该实现方式提供了灵活多样的获取用于计算加密摘要的配置信息的方式，从而有助于支持各种不同设备的加密校验方式。

第三方面，本发明实施例提供了一种选择路径的装置，所述的装置应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述选择路径的装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述第一网络设备包括：收发单元，用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括流量走向决策信息和动态加密校验信息；路径选择单元，用于根据所述动态加密验证信息对所述第一流量决策报文进行加密校验，并在校验通过后根据所述流量走向决策信息选择向所述第二网络设备发送流量的路径。

通过使用包括了动态随机生成的随机Key值的动态加密验证信息对所述第一流量决策报文进行加密校验，从而可以防止该流量决策报文为来源于黑客或者非法第三方攻击的APS报文，或该流量决策报文为来源于第三网络设备发送的基于残留APS配置或者错误配置的APS报文，提高了APS报文来源的正确性，从而可以根据正确的APS报文中的流量走向决策信息进行路径切换决策，提高了APS决策的正确性，进而提高了路径切换的正确性或效率。

第四方面，本发明实施例提供了一种选择路径的装置，所述的装置应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述的装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述第一网络设备包括：收发器，用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括流量走向决策信息和动态加密校验信息；处理器，用于根据所述动态加密验证信息对所述第一流量决策报文进行加密校验，并在校验通过后根据所述流量走向决策信息选择向所述第二网络设备发送流量的路径。

第五方面，本发明实施例提供了一种验证报文的装置，所述的装置应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，所述装置包括：收发单元，用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值、以及第一摘要，所述第一摘要是使用所述第二网络设备的加密算法计算所述Key值以及配置信息所得到的，所述配置信息包括至少下述信息之一：隧道信息和OAM信息；处理单元，用于使用所述加密算法计算所述Key值和配置信息得到第二摘要，校验所述第二摘要和所述第一摘要，并在所述第二摘要和所述第一摘要一致的情况下，根据所述流量走向决策信息选择从所述第一网络设备向所述第二网络设备传输流量的路径，以及在所述第二摘要和所述第一摘要不一致的情况下，忽略所述第一流量决策报文。

第六方面，本发明实施例提供了一种验证报文的装置，所述的装置应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，所述装置包括：收发器，用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值以及第一摘要，所述第一摘要是使用所述第二网络设备的加密算法计算所述Key值以及配置信息所得到的，所述配置信息包括至少下述信息之一：隧道信息和OAM信息；处理器，用于使用所述加密算法计算所述Key值和配置信息得到第二摘要，校验所述第二摘要和所述第一摘要，并在所述第二摘要和所述第一摘要一致的情况下，根据所述流量走向决策信息选择从所述第一网络设备向所述第二网络设备传输流量的路径，以及在所述第二摘要和所述第一摘要不一致的情况下，忽略所述第一流量决策报文。

第七方面，本申请实施例提供了一种校验报文的方法，所述的方法应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，所述方法由所述第二网络设备执行，所述方法包括：获取流量走向决策信息、配置信息和随机Key值，所述配置信息包括下述信息中的至少一种：OAM信息和隧道信息；使用加密算法计算所述随机Key值和所述配置信息得到第一摘要；向所述第一网络设备发送第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值以及所述第一摘要；其中所述配置信息、随机Key值以及第一摘要由所述第一网络设备用于校验所述所述第一流量决策报文，所述流量走向决策信息由所述第一网络设备用于在所述校验通过后选择向所述第二网络设备传输流量的传输路径。

通过使用动态随机生成的随机Key值以及受保护的配置信息(OAM信息和/或隧道信息)对所述第一流量决策报文进行加密摘要计算，将该随机Key值和该加密摘要发送至对端网络设备，这样对端网络设备就可以使用该随机Key值采用协商一致的加密摘要计算第二加密摘要来进行流量决策报文的加密校验，从而可以防止该流量决策报文为来源于黑客或者非法第三方攻击的APS报文，或该流量决策报文为来源于第三网络设备发送的基于残留APS配置或者错误配置的APS报文，提高了APS报文来源的正确性，从而可以根据正确的APS报文中的流量走向决策信息进行路径切换决策，提高了APS决策的正确性。

结合第七方面，在第一种可能的实现方式中，所述方法进一步包括：所述第二网络设备向所述第一网络设备发送加密协商报文，所述加密协商报文携带所述第一网络设备的加密能力和加密算法；接收所述第一网络设备返回的加密协商回复报文，所述加密协商回复报文携带所述第一网络设备的加密能力和加密算法；记录所述第一网络设备的加密能力和加密算法。

通过加密能力和加密算法的协商而不是系统直接配置，增加了加密和解密校验的灵活性。

第八方面，本申请实施例提供了一种验证报文的装置，所述的装置应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述装置为所述第二网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，所述装置包括：获取单元，用于获取流量走向决策信息、配置信息和随机Key值，所述配置信息包括下述信息中的至少一种：OAM信息和隧道信息；处理单元，用于使用加密算法计算所述随机Key值和所述配置信息得到第一摘要；收发单元，用于向所述第一网络设备发送第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值以及所述第一摘要；其中所述配置信息、随机Key值以及第一摘要由所述第一网络设备用于校验所述所述第一流量决策报文，所述流量走向决策信息由所述第一网络设备用于在所述校验通过后选择向所述第二网络设备传输流量的传输路径。

第九方面，本申请实施例提供了一种验证报文的装置，所述的装置应用于APS网络，所述网络包括第一网络设备和第二网络设备，所述装置为所述第二网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，，所述装置包括：处理器和收发器；所述处理器用于获取流量走向决策信息、配置信息和随机Key值，所述配置信息包括下述信息中的至少一种：OAM信息和隧道信息，并使用加密算法计算所述随机Key值和所述配置信息得到第一摘要；所述收发器用于向所述第一网络设备发送第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值以及所述第一摘要；其中所述配置信息、随机Key值以及第一摘要由所述第一网络设备用于校验所述所述第一流量决策报文，所述流量走向决策信息由所述第一网络设备用于在所述校验通过后选择向所述第二网络设备传输流量的传输路径。

第十方面，本申请实施例提供了一种计算机可读存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第十一方面，本申请实施例提供了一种计算机可读存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第二方面或第二方面的任意可能的实现方式中的方法。

第十二方面，本申请实施例提供了一种计算机可读存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第七方面或第七方面的任意可能的实现方式中的方法。

第十三方面，本申请实施例提供了一种验证报文的系统，应用于APS网络，该系统包括上述第三至第六方面中任一实现方式中的第一网络设备以及相应的第二网络设备。

第十四方面，本申请实施例提供了一种验证报文的系统，应用于APS网络，该系统包括上述第八至或第九方面中的第二网络设备以及相应的第一网络设备。

第十四方面，本申请实施例提供了一种验证报文的系统，应用于APS网络，该系统包括上述第三至第六方面中任一实现方式中的第一网络设备以及上述第八至或第九方面中的第二网络设备。

附图说明

图1为本发明实施例提供的一种APS保护场景组网架构示意图；

图2为本发明实施例提供的一种APS系统切换工作原理图；

图3为本发明实施例提供的一种APS从主切换至备路径工作原理图；

图4为本发明实施例提供的一种异常APS报文处理示意图；

图5为本发明实施例提供的一种路径选择流程示意图；

图6为本发明实施例提供的一种APS报文校验流程示意图；

图7为本发明实施例提供的一种APS报文扩展方式示意图；

图8为本发明实施例提供的一种APS报文Payload组成示意图；

图9为本发明实施例提供的一种对APS报文动态加密和校验流程示意图；

图10为本发明实施例提供的一种路径选择装置结构示意图；

图11为本发明实施例提供的一种报文校验装置结构示意图；

图12为本发明实施例提供的另一种报文校验装置结构示意图；

图13为本发明实施例提供的一种应用于APS的网络设备结构示意图；

图14为本发明实施例提供的一种APS系统结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

参见图1为本发明实施例提供的一种APS保护场景系统组网架构示意图，该网络系统可以为例如IPRAN(英文：Internet Protocol Radio Access Network)/城域网,PTN(英文：Packet Transport Network)、SDH(英文：Synchronous Optical Networking)网络、光传输网等数据传输网或承载网。该网络系统包括运营商边缘节点或设备PE1、运营商(Provider，P)设备P1、运营商(Provider，P)设备P2以及PE2。需要说明的是，本申请实施例以运营商运营商边缘节点为例说明，后续实施方式中也主要用第一PE、设备和第二PE设备为例说明，本发明不限于此，本发明也可以适用于在其他网络场景下的APS应用，因此，可以将各种网络场景下的源宿两端设备称为第一网络设备和第二网络设备。该第一网络设备和第二网络设备具体可以为交路由器、交换机等转发业务流量的设备，而且还包括在SDN(Software Defined Network)场景下的交换机，在SDN情况下，该网络设备可以是由控制器以及相应的转发设备一起组合而成。其中PE1与PE2之间包括两条路径，其中工作路径(英文：work path)(或者称为主路径，本申请全文可以互换使用)由PE1-P1-PE2组成，保护路径(英文：protection path)(或者称为备路径，本申请全文可以互换使用)由PE1-P2-PE2组成。主路径可以为LSP、PW等路径，备路径也可以为LSP、PW等路径。当主路径出现故障时，PE设备将业务流量从主路径倒换(或切换，本申请全文可以互换使用)至备路径，从而不中断相应的业务。该主备路径可以位于同一隧道中，也可以位于不同的隧道中。需要说明的是，图1所示的系统仅仅是本申请实施例的一种应用场景，不应对本申请的应用场景构成限定。

如图2提供了一种APS切换原理的具体实施方式示意图，在该实施方式中，端到端业务节点设备上的源端PE设备和宿端PE都包括操作、管理和维护(英文：OperationAdministration and Maintenance，OAM)状态机和APS状态机，其中OAM状态机包括工作路径OAM状态机和保护路径OAM状态机。(为了方便说明，本申请将源端PE设备称为第一PE设备，将宿端或源端PE设备称为第二PE设备)。通过两端PE设备的OAM和APS状态机的交互以及各端设备内部OAM和APS状态机的交互完成APS路径切换过程。OAM报文在主备路径上进行发送和接收以此来检测主备路径的故障。OAM状态机通过定设备内交互报文期通知APS状态机各路径状态。两端PE设备的APS状态机通过APS报文在备用路径上运行来协调两端的APS决策结果。下面以本申请实施例提供的APS从主路径切换到备路径为例进一步说明APS的工作过程。

参见图3，APS从主路径切换到备路径的具体工作过程如下：

1)第一PE设备和第二PE设备之间的主路径故障后，第一PE设备中的主路径的OAM状态机感知到主路径上的路径报文收发出现问题。第一PE设备中的主路径的OAM状态机通过该设备内交互报文通知该第一PE设备中的的APS状态机主路径故障走备路径。同理，第二PE设备中的主路径的OAM状态机感知到该主路径上的路径报文收发出现问题，第二PE设备中的主路径的OAM状态机通过该设备内交互报文通知该第二PE设备中的的APS状态机主路径故障走备路径。

2)第一PE设备中的备路径的OAM状态机通过该设备内交互报文通知该第一PE设备中的的APS状态机备路径正常，同理，第二PE设备中的备路径的OAM状态机通过该设备内交互报文通知该第二PE设备中的的APS状态机备路径正常，

3)第二PE设备中的APS状态机向第一PE设备中的APS状态机发送APS报文通告走备路径，该APS报文中包括业务标签以及流量走向决策信息。其中流量走向决策信息具体可以包括那些会影响APS决策结果和流量切换状态的信息，例如指示业务流量应该走在主路径上还是在备路径上的信息，以及进一步还可以包括其他影响流量决策的信息，具体参考下图5中的实施方式，业务标签用于指示所述APS报文关联对应的业务，第一PE设备收到该APS报文后如果确认业务标签相同，则采用该APS报文中的流量走向决策信息作为路径决策的参考。

4)第一PE设备中的APS状态机综合OAM状态机的通知状态以及第二PE设备APS报文内容，决策流量应该走备路径。

5)第一PE设备中的APS状态机刷新转发路径状态走备路径。

6)第一PE设备中的APS状态机通过APS报文通知第二PE设备的APS状态机该第一PE设备走备路径，第二PE设备中的APS状态机收到此报文后也决策走备路径。

在上述路径切换决策过程中，识别APS报文的唯一标识为业务标签，业务标签相同的APS报文认为是同一个业务对应的APS报文。如上述第二PE想第一PE发送的APS报文中携带的业务标签与该待切换流量对应的业务的正常标签一样，例如都为100，则第一PE设备在进行路径切换决策时将会参考第二PE设备发送的APS报文中携带的内容，如果APS报文来源错误，则会导致APS决策错误。采用唯一的业务标签标识APS报文，在实践中可能会引起以下问题：

静态场景下，设备上残留APS配置或者配置错误的APS，如果残留或者错误配置的APS报文静态标签重复，这种情况会导致PE设备收到错误APS报文，进而影响APS的决策结果。

恶意攻击场景下：恶意构造模拟的携带非法状态的APS PayLoad报文并携带正常业务标签，则这种APS报文也会被PE接收并处理，进而会导致APS决策错误，从而影响路径切换的正确性。

上述恶意构造的APS报文导致的结果跟残留或者错误配置APS产生的问题类似，都会引起APS因为错误输入源问题而导致路径决策结果不准确或者错误，进而影响路径切换的正确性。

如图4所示，PE2上的APS状态机收到PE1设备APS报文，该APS报文中携带的业务标签与PE2上APS的正常标签一样，例如都为100，该APS报文中流量走向决策信息指示走备。此外，该PE2还不断收到来自PE3的APS报文(该APS报文为PE3残留或者错误配置发送)，该APS报文中的业务标签也与APS正常业务标签一样，报文中携带的流量走向决策信息为走备路径，而且还是收到来自Hacker的APS报文，该APS报文中的业务标签也与APS正常业务标签一样，而且携带的流量走向决策信息为走备路径，上述三个APS报文均会触发PE2进行路径决策，并且决策结果分别是走备路径或者走主路径，则PE2的APS决策结果在不断震荡，影响路径切换的正确性或效率。

为了解决上述问题，本发明实施例提供了一种路径选择的方法，参见图5，结合图1-4中的的网络场景，本实施例中的PE可以为图1-4的PE，该方法的括如下步内容：

502：PE1获取路径缺陷状态。

在一个具体的实施方式中，PE1获取PE1与PE2设备之间的主路径和备路径的路径缺陷状态，为了方便说明，本申请将PE1称为第一PE设备，将PE2称为第二PE设备。具体可以由所述第一PE设备中的主路径OAM状态机监测主路径的缺陷状态，由所述第一PE设备中的备路径OAM状态机监测备路径的缺陷状态，具体状态包括故障状态和正常状态。可以理解，在另外的实施方式中，也可以由一个OAM状态机同时监测主路径和备路径的缺陷状态。OAM状态机将监测的结果定期通告该该第一PE设备的APS状态机，从而获取主路径和备路径的缺陷状态。具体可以参考上述图2和3中的实施例。可以理解本发明可以采用现有的其他方式监测第一PE设备上的主备路径的缺陷状态，并不限于OAM状态机和APS状态机的交互方式。

504：接收PE2发送的第一流量决策报文，所述第一流量决策报文包括流量走向决策信息和动态加密校验信息。

在一个具体的实施方式中，可以由第一PE设备的APS状态机与第二PE设备的APS状态机通过状态为正常的路径交互，第二PE设备的APS状态机向第一PE设备的APS状态机发送第一流量决策报文，该流量决策报文具体可以是APS报文，采用的协议为APS协议，MPLS协议或者TP协议，或者也可以采用以后新产生的协议。具体可以参考上述图2和3对应实施例中描述的具体方式，此处不再赘述。该第一流量决策报文中包括流量走向决策信息和动态加密校验信息。参考如图6和图7，本申请提供的一种实施例中所述动态加密校验信息可以包括随机Key值以及加密摘要，或者包括随机Key值、配置信息以及加密摘要。本实施方式以其中该动态加密校验信息包括随机Key值、配置信息以及加密摘要为例说明。可以理解的是，加密摘要也可以仅以随机Key值计算得到，这种情况下，PE1和PE2都可以不用获取配置信息。在加密摘要需要利用配置信息计算的场合，计算加密摘要用的配置信息的获取方式可已包括以下几种：(1)PE1和PE2本地存储上有双方协商的配置信息，系统直接配置采用计算加密摘要的配置信息；(2)通过加密协商报文和加密协商回复报文中指定计算加密摘要用的配置信息；(3)将计算加密摘要用的配置信息携带在所述第一流量决策报文中(如本实施例和图9的实施方式)。

其中配置信息包括OAM信息和/或隧道信息。隧道信息指的是上述主备路径所在的隧道的隧道信息，如前所述，该主备路径既可位于同一隧道中，也可以位于不同的隧道中，本发明对此不做限定。该隧道信息可以是标识业务的一些信息，对于不同的业务，都有一些专属于这个业务的一些信息，例如可以使用标识隧道转发路径的关键元素标识隧道信息，如转发标签、业务ID(如LSP业务的lable switched path-ID或PW业务的Virtual Circuit-ID等)、目的地址，路由器的标识ID、或loopback地址等。OAM信息为与所述两个PE设备上所配置的OAM组成的一个维护实体组(英文：(maintenance entity group,MEG)相关的信息，MEG中有两个维护终端点(英文：Maintenance End Point，MEP)，使用mep-id和remote-mep-id分别用于标识本地的MEP和远端MEP，也就是说，OAM信息可以包括MEG、mep-id、remote-mep-id信息，还可以包括OAM报文的发送频率等信息。

随机Key值为所述PE2随机生成并填充至所述第一流量决策报文(如APS报文)中。加密摘要由所述PE2使用该PE2支持的加密算法计算该随机Key值和配置信息得到。如图7所示，提供了一种携带所述动态加密校验信息的方式，该动态加密校验信息可以通过扩展APS报文TLV获得，具体可以在Value下增加support、code type、Key以及摘要字段，support字段指示是否支持动态加密，code type字段指示加密类型，例如可以为MD5(Message DigestAlgorithm MD5)或SHA-1(Secure Hash Algorithm SHA-1)，AES(Advanced EncryptionStandard)等加密类型，Key字段填充PE生成的随机Key值，摘要字段填充PE利用其支持的加密算法计算所述Key值和配置信息所得到的加密摘要。如前所述，在需要由所述第一流量决策报文携带该配置信息的场合下，所述的配置信息也可以由所述Key字段携带，即Key字段中的一部分用于携带所述随机Key值，一部分用于携带所述配置信息。可以理解，以上扩展方式携带所述态加密校验信息仅是其中一种示例，该示例并不构成本发明的限定。在采用MPLS协议或者TP协议的情况下，可以扩展该MPLS协议或者TP协议报文相应的字段携带上述信息，此处不一一赘述。

如图8所示，本申请提供的一种实施例中所述的流量走向决策信息具体可以包括那些会影响APS决策结果和流量切换状态的信息。例如：APS报文中的Requested Signal信息，其填充的是是否希望对端从备路径发送流量，如果此字段填充0x01，则对端决策走备路径。此外，所述的流量走向决策信息还可以包括APS标准报文中的State、ABDR、RequestedSignal、Bridged Signal等字段均是APS状态机的输入，会影响APS决策结果。其中“state”指示了远端传送过来的APS的请求类型。该请求和本端倒换请求一起作用，产生本端最终的倒换状态。ABDR字段分别包括如下：1)A：有无APS通道。2)B：桥接模式，例如是1:1还是1+1。3)D：倒换模式，单端倒换还是双端倒换。4)R：回切模式，可回切还是不可回切。RequestedSignal和Bridged Signal用来承载本端的桥接和倒换状态并传送给远端。同时，也用来和收到的远端的桥接倒换状态进行一致性比较。可以理解，在采用MPLS协议或者TP协议的情况下，该流量走向决策信息可以由MPLS协议或者TP协议报文相应的字段携带，此处不一一赘述。

506：对第一流量决策报文进行加密校验。

在一个具体的实施方式中，PE1接收到PE2发送的第一流量决策报文后，根据所述动态加密验证信息对所述第一流量决策报文进行加密校验，具体可以参考图9，PE1利用其双方协商一致的加密算法计算所述PE2发送的第一流量决策报文中携带的所述随机Key值和所述配置信息得到第二摘要(为了方便说明，本申请实施例将PE2计算得到的携带在PE2发送的第一流量决策报文中的摘要称为第一摘要，PE1计算得到的摘要称为第二摘要)，通过对比第二摘要和第一摘要，如果一致则验证通过，否则为验证不通过。可以理解的是，上述加密校验仅是本发明提供的一种实施方式，其并不构成对本发明的限定，本领域技术人员在阅读本申请文件的基础上可以想到采用其他的校验方式都在本发明的保护范围之内。

508：如果校验通过，PE1根据所述路径缺陷状态以及所述流量走向决策信息选择路径。

参考上述图2和3中的实施方式，PE1根据其获得的路径状态信息以及PE2返回的流量走向决策信息选择向所述PE2传输流量的路径。在一个具体实施例中，如图8所示，如果所述流量走向决策信息包括可以有多条可以选择的备路径，则可以进一步包括每条备路径的状态，例如负载，优先级等影响路径选择的信息，PE1根据收到的这些信息结合路径缺陷状态综合分析选择一条传输流量的路径，从而可以进一步选择出更适合的路径用来传输流量，进而提供流量传输效率。可以理解，PE1也可以在综合分析后选择两条或以上路径作为向PE2传输流量的路径，从而可以进一步提高路径选择的灵活性并改善流量传输的负载均衡。

510：如果校验不通过，则忽略所述的第一流量决策报文。

具体实施方式中，当PE1在校验第一流量决策报文不通过后，可以丢弃所述第一流量决策报文或者忽略第一流量决策报文中的流量走向决策信息，不利用其作为选择路径的决策因素。

512：通过PE1选择的路径向所述PE2发送流量。

PE1利用其所选择的路径向所述的PE2传输流量。

在一个具体的实施方式中，所述的PE1还可以进一步记录所述第二网络设备发送的所述Key值，形成屏蔽名单，即在解密失败后，把错误的Key数值记录下来加到黑名单中，下次再来同样Key的报文，直接不再解析处理。

本实施例通过对PE2发送的流量决策报文增加动态加密校验信息，该动态加密校验信息具有随机性和动态变化特点，根据该动态加密校验信息对该流量决策报文进行校验，并于校验通过后才利用该流量决策报文中的流量走向决策信息作为路径选择的决策因素或依据，可以很大程度上避免获取错误的APS报文进而获得错误的流量走向决策信息作为作为路径选择的决策因素或依据，进而可以避免因APS错误输入源问题而导致的路径决策结果不准确或者错误的问题。

参考图6，为本申请实施例提供的一种APS报文动态加密及校验方法，结合图1-4中的的网络场景，本实施例中的PE可以为图1-4的PE，该方法具体包括如下内容：

602：填充APS加密协商报文。

在一个具体的实施方式中，PE1将其自身的加密能力以及其自身支持的加密算法填充至APS加密协商报文，具体如图7所示，利用扩展APS报文TLV，扩展support字段以及code type字段，在所述的扩展support字段以及code type字段分别填充其自身的加密能力以及其自身支持的加密算法，产生APS加密协商报文。例如，如果support取值为1标识所述PE1支持APS报文加密，取值为0表示所述PE1不支持APS报文加密，code type取值为1表示支持MD5加密算法，取值为2表示支持SHA-1加密算法。可以理解，也可以采取其他的取值方式，或者扩展APS报文其他字段或利用预留未用字段携带该加密能力和加密算法。本发明对此不做限定。

604：PE1向PE2发送APS加密协商报文，所述APS加密协商报文携带协商参数包括PE1的加密能力和PE1支持的加密算法。

PE1将上述步骤602产生的APS加密协商报文向PE2发送，协商双方的加密能力和加密算法，PE2收到该APS加密协商报文后记录该PE1的加密能力和加密算法。

606：PE2填充APS加密协商报文。

具体实施方式，参考上述步骤602。

608：PE2向PE1返回APS加密协商回复报文携带协商参数包括PE2的加密能力和PE2支持的加密算法。

具体实施方式，参考上述步骤604，PE1收到该APS加密协商回复报文后记录PE2的加密能力和加密算法。

经过步骤602-608，PE1和PE2之间完成APS加密协商过程。两端互相知道对端的加密能力和所支持的加密算法。在该APS加密协商的基础上，进行后续正常的APS通讯报文的收发。具体参考步骤610-616。

610：PE1向PE2发送正常的APS通讯报文，该APS报文携带PE1获得的随机Key值、配置信息以及加密摘要。

在前述加密协商的基础上，PE1获知PE2的加密能力和支持的加密算法，例如，获知PE2支持APS报文加密且支持的加密算法为MD5。PE1获得随机Key值，具体可以是PE1随机生成的Key值或者通过其他方式获得随机Key值，并获得配置信息，所述配置信息可以包括OAM信息和/或隧道信息，然后利用双方都支持的加密算法(如MD5)计算该随机Key值和所述的配置信息得到加密摘要。通过将被保护的OAM信息和/或隧道信息等字配置信息加入密码计算，攻击者修改这些信息后将会导致和加密摘要不匹配，致使攻击者的APS报文被丢弃或者其中携带的流量走向决策信息不被考虑，从而不会产生异常APS报文影响路径选择的准确性。此外，通过随机产生的Key值加入密码计算，生成的面摘要在不断的动态变化，即使攻击者获得报文，获得报文中的配置信息，由于Key值的动态性，也会导致和加密摘要不匹配，致使攻击者的APS报文被丢弃或者其中携带的流量走向决策信息不被考虑，从而降低获得异常APS报文或者APS错误输入源的概率，进而降低路径决策结果不准确或者错误的情况发生。

612：PE2校验所述PE1发送的所述APS报文。

具体实施方式可以参考图9，以及图5中步骤506，PE2利用双方协商一致的加密算法(如MD5)计算所述PE1发送的APS通讯报文中携带的所述随机Key值和所述配置信息得到摘要和所述PE1发送的APS通讯报文中携带的摘要进行比较，如果比较结果为一致，则验证通过，否则为验证不通过。可以理解的是，上述APS校验仅是本发明提供的一种实施方式，其并不构成对本发明的限定，本领域技术人员在阅读本申请文件的基础上可以想到采用其他的校验方式都在本发明的保护范围之内。

614：PE2向PE1发送正常的APS通讯报文，该APS报文携带PE2获得的随机Key值、配置信息以及加密摘要。

具体实施方式，参考上述步骤610，这里不再赘述。

616：PE1校验所述PE2发送的APS报文。

具体实施方式，参考上述步骤612，这里不再赘述。

参考图9，为本申请实施例提供的一种对APS报文动态加密和校验的方法，结合图1-4中的的网络场景，本实施例中的PE可以为图1-4的PE，该方法具体包括如下内容：

902：PE1接收第一流量决策报文，其中携带随机Key值、配置信息和第一摘要。

在一个具体的实现方式中，PE1接收PE2发送的第一流量决策报文，例如APS报文，其中携带流量走向决策信息、所述PE2生成的随机Key值、配置信息，以及所述PE2利用其支持的加密算法计算所述随机Key值和配置信息得到的第一摘要。其中所述的流量走向决策信息可以参考图5步骤504。随机Key值、配置信息和第一摘要等具体参考图5和图6中的相关步骤，这里不再赘述。本实施方式以计算加密摘要的配置信息携带在所述第一流量决策报文，如上图5步骤504的描述中，在计算加密摘要的配置信息通过上述其他两种方式获取的情况下，该第一流量决策报文将不包括所述的配置信息。

904：PE1计算第二摘要。

在一个具体的实施方式中，PE1获取所述PE2发送的第一流量决策报文，获取其中携带的随机Key值以及配置信息，利用双方协商一致的加密算法计算该获得的随机Key值和配置信息得到第二摘要。在计算加密摘要的配置信息通过上述其他两种方式获取的情况下，PE1可以根据系统配置的计算加密摘要的配置信息直接从本地存储的双方协商的配置信息中获取；或者通过加密协商报文和加密协商回复报文中携带指定计算加密摘要用的配置信息获取计算加密摘要用的配置信息。

906：校验第一摘要和第二摘要。

在一个具体的实施方式中，主要采用比较所述第一摘要和所述第二摘要来进行校验。

908：校验不通过，忽略所述第一流量决策报文。

具体实施方式中，该忽略所述第一流量决策报文可以为：丢弃所述第一流量决策报文或者忽略第一流量决策报文中的流量走向决策信息，不利用其作为选择路径的决策因素。具体可以参考图5步骤512。

910：校验通过，PE1根据所述的流量走向决策信息选择传输流量的路径。

具体参考图5步骤508，此处不再赘述。

912：PE1利用所选择的路径想第二PE传输流量。

具体参考图5步骤512，此处不再赘述。

图10是根据本申请实施例的实施APS的一种路径选择装置1000示意性框图，图10所示的装置可以为前述方法实施例中(如图1-6中)的PE设备，可以实现上述PE设备的功能。所述装置应用于APS网络场景，所述网络包括包括第一网络设备(例如上述第一PE)和第二网络设备(如上述第二PE)，所述选择路径的装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，该路径选择装置包括获取单元1002、收发单元1004和路径选择单元1006。

获取单元1002，用于获取所述第一网络设备与第二网络设备之间的所述主路径和备路径的路径缺陷状态；

收发单元1004，用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括流量走向决策信息和动态加密校验信息；

路径选择单元1006，用于根据所述动态加密验证信息对所述第一流量决策报文进行加密校验，并在校验通过后根据所述路径缺陷状态以及所述流量走向决策信息选择向所述第二网络设备发送流量的路径。

在一种具体实施方式中，所述获取单元1002获取所述第一网络设备与第二网络设备之间的所述主路径和备路径的路径缺陷状态具体可以参考图2和3中采用OAM状态机和APS状态机的内部交互方式获取所述第一网络设备与第二网络设备之间的所述主路径和备路径的路径缺陷状态。可以理解所述获取单元1002也可以采用本领域技术人员通过本申请后想到的其他获取所述第一网络设备与第二网络设备之间的主路径和备路径的路径缺陷状态的方式，本发明对此不做限定。

具体实施方式中，所述收发单元1004以及所述路径选择单元1006的具体实施方式可以参考图5-9中两个PE之间的APS加密协商过程、加密协商过程中交互的信息以及协商之后正常APS通讯以及校验过程，为了简洁，不再赘述。

图11是根据本申请实施例的实施APS的一种报文校验装置1100示意性框图，图11所示的装置可以为前述方法实施例中(如图1-6中)的PE设备，可以实现上述PE设备的功能。所述装置应用于APS网络场景，所述网络包括包括第一网络设备(例如上述第一PE)和第二网络设备(如上述第二PE)，所述报文验证装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间的协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，该报文验证装置包括收发单元1102和处理单元1104。

收发单元1102，用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值、以及第一摘要，所述第一摘要是使用所述第二网络设备的加密算法计算所述Key值以及配置信息所得到的，所述配置信息包括至少下述信息之一：隧道信息和OAM信息；

处理单元1104，用于使用所述加密算法计算所述Key值和配置信息得到第二摘要，校验所述第二摘要和所述第一摘要，并在所述第二摘要和所述第一摘要一致的情况下，根据所述流量走向决策信息选择从所述第一网络设备向所述第二网络设备传输流量的路径，以及在所述第二摘要和所述第一摘要不一致的情况下，忽略所述第一流量决策报文。

具体实施方式中，所述收发单元1102的具体实施方式可以参考图5-9中两个PE之间的APS加密协商过程、加密协商过程中交互的信息以及协商之后正常APS通讯以及校验过程，为了简洁，不再赘述。所述所述处理单元1104的具体实施方式可以参考图5-9中所述第一PE在APS加密协商过程之后的APS报文交互以及APS校验处理，为了简洁，不再赘述。

图12是根据本申请实施例的实施APS的一种报文校验装置1200示意性框图，图12所示的装置可以为前述方法实施例中(如图1-6中)的PE设备，可以实现上述PE设备的功能。所述装置应用于APS网络场景，所述网络包括第一网络设备(例如上述第一PE)和第二网络设备(如上述第二PE)，所述报文验证装置为所述第二网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，所述流量决策报文用于在所述第一网络设备和所述第二网络设备之间的协商流量走向决策信息，所述第一网络设备和第二网络设备根据所述流量走向决策信息选择流量传输的路径，所述装置包括：

获取单元1202，用于获取流量走向决策信息、配置信息和随机Key值，所述配置信息包括下述信息中的至少一种：OAM信息和隧道信息；

处理单元1204，用于使用加密算法计算所述随机Key值和所述配置信息得到第一摘要；

收发单元1206，用于向所述第一网络设备发送第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值以及所述第一摘要；其中所述配置信息、随机Key值以及第一摘要由所述第一网络设备用于校验所述所述第一流量决策报文，所述流量走向决策信息由所述第一网络设备用于在所述校验通过后选择向所述第二网络设备传输流量的传输路径。

在一个具体的实施方式中，所述收发单元1204进一步用于向所述第一网络设备发送加密协商报文，所述加密协商报文携带所述第一网络设备的加密能力和加密算法以及接收所述第一网络设备返回的加密协商回复报文，所述加密协商回复报文携带所述第一网络设备的加密能力和加密算法；所述处理单元1206进一步用于记录所述第一网络设备的加密能力和加密算法。

具体实施方式中，所述收发单元1202，所述处理单元1204以及所述收发单元1206的具体实施方式可以参考图5-9中所述第二PE的功能和实施的步骤，为了简洁，不再赘述。

图13是根据本申请实施例的实施APS的一种网络设备1300示意性结构图，图13所示的装置可以为前述方法实施例中(如图1-6中)的PE设备，可以实现上述PE设备的功能。所述装置应用于APS网络场景，所述网络包括包括第一网络设备(例如上述第一PE)和第二网络设备(如上述第二PE)，所述选择路径的装置为所述第一网络设备，所述第一网络设备和第二网络设备之间建立路径，所述路径包括主路径和备路径，所述第一网络设备和第二网络设备之间传输流量决策报文，如图13所示，该装置1300包括处理器1302、存储器1304和收发器1308，以及连接该处理器1302、存储器1304和收发器1308的各种连接线1310。收发器1306用于该装置与外界进行通信，存储器1304用于存放程序指令或程序1306，存储器1304可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器，处理器1302可以调用存储器1304中存放的程序指令执行相应功能。

在一种具体的实施方式中：

所述收发器1308用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括流量走向决策信息和动态加密校验信息；

所述处理器1302用于获取所述第一网络设备与第二网络设备之间的所述主路径和备路径的路径缺陷状态，根据所述动态加密验证信息对所述第一流量决策报文进行加密校验，并在校验通过后根据所述路径缺陷状态以及所述流量走向决策信息选择向所述第二网络设备发送流量的路径。

该具体实施方式中，所述收发器1308和所述护理器1302的具体实现可以参考图5-9中所述第一PE的功能和实施的步骤，为了简洁，不再赘述。

在另一种具体实施方式中：

所述收发器1308用于接收所述第二网络设备发送的第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值、以及第一摘要，所述第一摘要是使用所述第二网络设备的加密算法计算所述Key值以及配置信息所得到的，所述配置信息包括至少下述信息之一：隧道信息和OAM信息；

所述处理器1302用于使用所述加密算法计算所述Key值和配置信息得到第二摘要，校验所述第二摘要和所述第一摘要，并在所述第二摘要和所述第一摘要一致的情况下，根据所述流量走向决策信息选择从所述第一网络设备向所述第二网络设备传输流量的路径，以及在所述第二摘要和所述第一摘要不一致的情况下，忽略所述第一流量决策报文。

该具体实施方式中，所述收发器1308和所述护理器1302的具体实现可以参考图5-9中所述第一PE的功能和实施的步骤，为了简洁，不再赘述。

在再一种具体实施方式中：

所述处理器1302用于获取流量走向决策信息、配置信息和随机Key值，所述配置信息包括下述信息中的至少一种：OAM信息和隧道信息，并使用加密算法计算所述随机Key值和所述配置信息得到第一摘要；

所述收发器1308用于向所述第一网络设备发送第一流量决策报文，所述第一流量决策报文包括所述流量走向决策信息、随机Key值以及所述第一摘要；其中所述配置信息、随机Key值以及第一摘要由所述第一网络设备用于校验所述所述第一流量决策报文，所述流量走向决策信息由所述第一网络设备用于在所述校验通过后选择向所述第二网络设备传输流量的传输路径。

在该具体实施方式中，所述处理器1302和所述收发器1308的具体实施方式可以参考图5-9中所述第二PE的功能和处理步骤，为了简洁，不再赘述。

需要说明的是，该实施方式中，除了上述几种通过处理器执行存储器上的程序代码指令方式等常规方式之外，本实施方式也可以基于物理服务器结合网络功能虚拟化NFV技术实现的虚拟第一网络设备和第二网络设备，所述虚拟第一网络设备为虚拟路由器或交换机。本领域技术人员通过阅读本申请即可结合NFV技术在物理服务器上虚拟出具有上述功能的多个PE设备。此处不再赘述。

图14是根据本申请实施例的实施APS的一种网络系统1400示意性结构图，图14所示的系统包括的第一网络设备和第二网络设备可以为图1-6以及图9-13中的第一PE和第二PE。具体参考上述各实施方式，此处不再赘述。

在本申请所提供的几个实施例中，应该理解到，所公开的系统和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。上述集成的模块既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、随机存取存储器(英文全称：RandomAccess Memory，简称：RAM)、磁碟或者光盘等各种可以存储数据的介质。