CN101252584B

CN101252584B - 双向转发检测协议会话的认证方法、系统和设备

Info

Publication number: CN101252584B
Application number: CN2008100845924A
Authority: CN
Inventors: 李振华
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2008-04-09
Filing date: 2008-04-09
Publication date: 2011-04-20
Anticipated expiration: 2028-04-09
Also published as: CN101252584A

Abstract

本发明的实施例公开了一种双向转发检测协议BFD的认证方法、系统和设备。该方法包括以下：接收对端发送的BFD会话报文，获取所述BFD会话报文中携带的特征字段以及会话描述符；将所述获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将所述获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较；所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文。通过使用本发明的实施例，使用特征字段与会话描述符相结合进行匹配的方法，可以有效提升设备对于BFD攻击的防护能力，提升网络的安全性。

Description

双向转发检测协议会话的认证方法、系统和设备

技术领域

本发明涉及通信技术领域，尤其涉及一种双向转发检测协议会话的认证方法、系统和设备。

背景技术

随着技术的发展，现有BFD(Bidirectional Forwarding Detection，双向转发检测)协议本身的安全性问题也随着其应用的推广越来越突出。现有的主要安全问题为BFD的协议状态在收到伪造报文时发生变化，从而引起会话震荡。

首先以图1中所示的BFD单跳会话场景为例：

图1中，RTA(Router A，路由器A)、RTB(Router B，路由器B)为网络中的核心设备，RTA与RTB建立单跳BFD会话，即RTA与RTB直连，BFD与路由协议的邻居关系绑定。BFD根据协议报文的描述符(包括本地描述符与远端描述符)区分不同会话。Hacker(攻击者)通过网络与RTA、RTB相连，如果攻击者向RTA或者RTB发送状态为Down(无效)的BFD协议报文，并对描述符进行遍历，即可以破坏RTA与RTB的会话状态。

该攻击类型的主要特点为：攻击者希望通过破坏核心设备BFD状态而改变网络的拓扑(BFD通常与路由协议的邻居关系或者链路状态绑定)，从而影响网络的正常运行；攻击者可以通过网络诊断工具了解RTA、RTB直连链路所配置的IP地址，从而可以伪造到达RTA或者RTB的IP报文；另外，攻击者处于网络的接入侧，无法截取核心设备之间的数据以及协议报文交互。

该攻击类型的攻击复杂度，即攻击成功所需要花费的时间如下：

假设RTA、RTB接收BFD报文的速率为1000个/秒；遍历BFD协议报文的描述符需要进行的嗅探次数：2^32^2；但由于目前厂商的实现，描述符通常是线性增长的，即从某一个固定值开始线性分配，这使得遍历所需要的次数大大降低；假设RTA、RTB设备本地分配的描述符不超过1000个，那么遍历这些描述符所需要进行的嗅探次数为：1000^2＝1000000；攻击成功所需要的时间为1000^2/1000＝1000秒＝16分40秒。

对于以上应用场景，现有技术中提供了一种防护方法，可以简单地基于IP报文的TTL(Time To Live，生存时间)控制进行防护，通用的方式可以采用GTSM(Generalized TTL Security Mechanism，通用生存时间安全体系)。这一防护方法基于以下考虑：攻击者在网络接入侧，故不能与被保护核心设备直连；因此对于伪造的BFD协议报文达到RTA/RTB时，TTL必然满足：TTL＜＝254；而对于正常的BFD协议报文TTL满足：TTL＝255。因此对于BFD单跳会话场景可以根据TTL进行BFD协议安全性保护。

对于以图2中所示的BFD多跳会话场景，对于BFD多跳会话包括BFD forMPLS(Multi-Protocol Label Switching，多协议标签转发)LSP(Label SwitchingPath，标签转发路径)s。类似于图1的情况，攻击者同样可以对RTA与RTC之间建立的BFD会话进行嗅探攻击。

发明人在实现本发明的过程中，发现现有技术中存在以下问题：

现有BFD协议报文的描述符作为唯一区分会话的标识，其分配为线性增长，因此很容易受到攻击。另外，对于BFD多跳会话协议报文的TTL不满足特定条件，因此对于BFD多跳会话无法进行有效的保护。

发明内容

本发明的实施例提供一种双向转发检测BFD会话的认证方法、系统和设备，用于提升BFD会话应对BFD描述符嗅探攻击的防护能力。

为达到上述目的，本发明的实施例提供一种双向转发检测协议BFD会话的认证方法，包括：

与对端建立BFD会话的过程中，获取对端为所述BFD会话分配的特征字段并存储；

接收对端发送的BFD会话报文，获取所述BFD会话报文中携带的特征字段以及会话描述符；

将所述获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将所述获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较；

所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文。

本发明的实施例还提供一种网络设备，用于BFD会话的认证，包括：

获取单元，用于与对端建立BFD会话的过程中，获取对端为所述BFD会话分配的特征字段并存储，接收对端发送的BFD会话报文时，获取所述BFD会话报文中携带的特征字段以及会话描述符；

比较单元，用于将所述获取单元获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将所述获取单元获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较，并将比较结果通知处理单元；

处理单元，用于当所述比较单元对于所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文。

本发明的实施例还提供一种双向转发检测协议BFD会话的认证系统，包括第一设备和第二设备，所述第一设备和第二设备间建立BFD设备且互为对端设备，

所述第一设备以及第二设备，与对端建立BFD会话的过程中，获取对端为所述BFD会话分配的特征字段并存储，接收对端发送的BFD会话报文时，将从所述会话报文中获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将从所述会话报文中获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较；所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文。

与现有技术相比，本发明的实施例具有以下优点：

附图说明

使用特征字段与会话描述符相结合进行匹配的方法，可以有效提升设备对于BFD攻击的防护能力，提升网络的安全性。

图1是现有技术中BFD单跳会话示意图；

图2是现有技术中BFD多跳会话示意图；

图3是本发明的实施例中一种BFD会话的认证方法流程图；

图4是本发明的实施例中使用的BFD协议报文的结构示意图；

图5是本发明的实施例中一种网络设备的结构示意图。

具体实施方式

本发明实施例中提供一种双向转发检测BFD会话的认证方法，如图3所示，包括：

301、本端接收对端发送的BFD会话报文，获取该BFD会话报文中携带的会话描述符以及特征字段。

302、本端将获取的会话描述符与本地预先存储的该BFD会话的会话描述符进行比较，将获取的特征字段与本地预先存储的该BFD会话的特征字段进行比较。

303、会话描述符以及特征字段的比较结果均为一致时，本端处理BFD会话报文，否则丢弃。

以下结合具体的应用场景对上述图3中所述的流程进行详细介绍。

首先对常用的BFD协议报文的格式进行说明。如图4所示，常用的BFD协议报文中各个部分的含义如下：

Vers：BFD协议版本号。

Diag：诊断字，标明本地BFD系统最后一次会话Down的原因。

Sta：BFD本地状态。

P：如果标记该标志，表示参数发生改变或发送系统进行连接时，请求对方立即进行确认和响应。否则，不请求对方进行确认和响应。

F：响应P标志置位的回应报文中必须将F标志置位。

C：转发/控制分离标志，一旦置位，控制平面的变化不影响BFD检测，如：控制平面为ISIS，当ISIS重启/GR时，BFD可以继续监测链路状态。

A：认证标识，置位代表会话需要进行验证。

D：查询请求，置位代表发送方期望采用查询模式对链路进行监测。

R：预留位。

Detect Mult：检测超时倍数，用于检测方计算检测超时时间。

Length：报文长度。

My Discriminator：BFD会话连接本地描述符。

Your Discriminator：BFD会话连接远端描述符。

Desired Min Tx Interval：本地支持的最小BFD报文发送间隔。

Required Min RX Interval：本地支持的最小BFD接收间隔。

Required Min Echo RX Interval：本地支持的最小Echo报文接收间隔(如果本地不支持Echo功能，则设置0)。

Auth Type：认证类型。

Auth Length：认证数据长度。

Authentication Data：认证数据区。

现有技术中使用本地描述符(My Discriminator)以及远端描述符(YourDiscriminator)对会话进行标识。

本发明的实施例中，在本端与对端建立BFD会话时，本端与对端除使用本地描述符与远端描述符对每一会话进行标识外，还使用另外的特征字段对每一会话进行标识。具体的，以本端发起会话建立的流程为例，本端生成本端描述符以及特征字段并添加在BFD协议报文中，并将BFD协议报文中的远端描述符置0，之后本端将BFD协议报文向对端发送。对端接收到本端发送的BFD协议报文后，获取到本端为该会话分配的描述符以及特征字段并存储。之后对端生成向本端发送的BFD协议报文，报文中携带对端为该会话生成的对端描述符以及特征字段。则本端可以获取到该BFD会话的对端描述符以及对端所使用的特征字段。

通过上述交互，本端和对端都获取到了对方对该会话的本地描述符、远端描述符以及特征字段并进行存储。则本端和对端可以根据本地描述符、远端描述符以及特征字段，对之后接收到的与该BFD会话相关的报文进行认证。

上述流程中，BFD会话的本端与对端分别为建立的会话生成特征字段，则在会话过程中本端向对端发送的会话报文中携带的特征字段、与对端向本端发送的会话报文中携带的特征字段不同。当然本端和对端也可以对同一会话使用相同的特征字段，如在本端发起会话的建立时，本端生成特征字段并向对端发送，对端也使用该特征字段用于对该会话的标识。

在BFD会话报文中特征字段的携带方式上，可以采用以下方式：将特征字段直接添加在BFD会话报文中；或将所述特征字段复用在所述BFD会话报文的已有字段中(如回声间隔Echo Interval字段)，并通过一标识位对所述复用进行标识。以下以该特征字段为Magic Number(魔幻数字)为例进行说明。

本发明的实施例在BFD协议报文中引入Magic Number(魔幻数字)，该Magic Number为本端为每一个会话分配的一个随机数(32bit)，远端设备根据会话描述符与本端分配的Magic Number确定一个会话。同样，远端也为每一个会话分配一个Magic Number，本端根据会话描述符以及远端分配的MagicNumber确定一个会话。

本端接收到一个BFD会话报文时，对报文中携带的会话描述符以及特征字段进行匹配，当报文中携带的会话描述符与本端预先存储的该BFD会话的会话描述符匹配一致、且报文中携带的特征字段与本端预先存储的该BFD会话的特征字段匹配一致时，处理该BFD会话报文，如果会话描述符以及特征字段中任意一个不匹配，则丢弃该BFD会话报文。32bit的Magic Number与32bit的本地描述符及32bit的远端描述符同时匹配将提升攻击的复杂度。以上述现有技术中的BFD嗅探攻击为例，应用Magic Number后BFD嗅探攻击的嗅探次数为1000^2×2^32，因此可以有效提升设备应对BFD嗅探攻击的安全性。

引入Magic Number可以有两种不同的方式：

方式一：在现有BFD会话报文后增加32bit，表示为Magic Number：此方式需要改变现有协议格式。

方式二：利用现有格式，对字段进行复用。例如：BFD协议报文中的EchoInterval(回声间隔)字段在BFD多跳会话中很少采用，故可以对Echo Interval字段进行复位，并增加一个标志位M。若M＝1，则后31位表示Magic Number，若M＝0，则后31位表示Echo Interval。

复用前的Echo Interval字段如下：

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Required Min Echo RX Interval |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

复用后的Echo Interval字段如下：

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|M| Required Min Echo RX Interval/Magic Number |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

以本端接收到对端发送的BFD会话报文为例，本端判断标识位M的值，当M＝1时则表示M后面的内容为Magic Number，则本端获取Magic Number用于对该BFD会话报文进行认证；当M＝0时表示M后面的内容为RequiredMin Echo RX Interval。

使用该方式时，Echo Interval在实际应用中通常设置为10ms～1000ms之间，而复用后可以保证31位长度最大为2^31微秒＝2147秒，于是31位足够使用；本发明实施例假设Echo Interval＜2^31永远成立。

通过使用本发明实施例提供的方法，使用特征字段与会话描述符相结合进行匹配的方法，可以有效提升设备应对BFD嗅探攻击的防护能力，提升网络的安全性。另外，该方式利用现有的协议格式进行了改进，能够保持本方法与现有技术的兼容性。

本发明的实施例还提供一种BFD会话的认证系统，包括第一设备和第二设备，所述第一设备和第二设备间建立BFD设备且互为对端设备，

所述第一设备以及第二设备，接收对端发送的BFD会话报文时，将从所述会话报文中获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将从所述会话报文中获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较；所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文。

本发明的实施例还提供一种网络设备，可以作为上述BFD会话认证系统中的第一设备或第二设备，用于BFD会话的认证，如图5所示，包括：

获取单元10，用于接收对端发送的BFD会话报文时，获取所述BFD会话报文中携带的会话描述符以及特征字段。当BFD会话报文中的特征字段通过不同的方式携带时，该获取单元10的具体获取方式不同。具体的，当特征字段直接添加在BFD会话报文中时，该获取单元10进一步包括第一获取子单元，用于获取直接添加在所述BFD会话报文中的特征字段；当特征字段复用在BFD会话的已有字段中时，该获取单元10进一步包括第二获取子单元，用于获取复用在所述BFD会话报文的已有字段中的特征字段。

比较单元20，用于将获取单元10获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将获取单元10获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较，并将比较结果通知处理单元30。

处理单元30，用于当比较单元20对于所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文

另外，该设备还包括：

存储单元40，用于与对端建立BFD会话的过程中，获取对端为所述BFD会话分配的特征字段并存储，并将存储的内容提供给所述比较单元20。

通过使用本发明实施例提供的系统和设备，使用特征字段与会话描述符相结合进行匹配的方法，可以有效提升设备应对BFD嗅探攻击的防护能力，提升网络的安全性。另外，该方式利用现有的协议格式进行了改进，能够保持本方法与现有技术的兼容性。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台设备执行本发明各个实施例所述的方法。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

1.一种双向转发检测协议BFD会话的认证方法，其特征在于，包括：

2.如权利要求1所述BFD会话的认证方法，其特征在于，所述获取所述BFD会话报文中携带的特征字段具体包括：

获取直接添加在所述BFD会话报文中的特征字段。

3.如权利要求1所述BFD会话的认证方法，其特征在于，所述获取所述BFD会话报文中携带的特征字段具体包括：

获取复用在所述BFD会话报文的已有字段中的特征字段。

4.如权利要求4所述BFD会话的认证方法，其特征在于，所述特征字段复用在所述BFD会话报文中的回声间隔Echo Interval字段中，并通过一标识位对所述复用进行标识。

5.一种网络设备，用于BFD会话的认证，其特征在于，包括：

获取单元，用于与对端建立BFD会话的过程中，获取对端为所述BFD会话分配的特征字段并存储；接收对端发送的BFD会话报文时，获取所述BFD会话报文中携带的特征字段以及会话描述符；

6.如权利要求5所述网络设备，其特征在于，还包括：

存储单元，用于与对端建立BFD会话的过程中，获取对端为所述BFD会话分配的特征字段并存储，并将存储的内容提供给所述比较单元。

7.如权利要求5所述网络设备，其特征在于，所述获取单元进一步包括：

第一获取子单元，用于获取直接添加在所述BFD会话报文中的特征字段。

8.如权利要求5所述网络设备，其特征在于，所述获取单元进一步包括：

第二获取子单元，用于获取复用在所述BFD会话报文的已有字段中的特征字段。

9.一种双向转发检测协议BFD会话的认证系统，包括第一设备和第二设备，所述第一设备和第二设备间建立BFD设备且互为对端设备，其特征在于：