CN101335692A - 协商pcc和pce之间安全能力的方法及其网络系统 - Google Patents
协商pcc和pce之间安全能力的方法及其网络系统 Download PDFInfo
- Publication number
- CN101335692A CN101335692A CNA200710112676XA CN200710112676A CN101335692A CN 101335692 A CN101335692 A CN 101335692A CN A200710112676X A CNA200710112676X A CN A200710112676XA CN 200710112676 A CN200710112676 A CN 200710112676A CN 101335692 A CN101335692 A CN 101335692A
- Authority
- CN
- China
- Prior art keywords
- path computation
- security policy
- path
- pce
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004364 calculation method Methods 0.000 claims description 44
- 238000004891 communication Methods 0.000 claims description 34
- 230000007246 mechanism Effects 0.000 claims description 19
- ABEXEQSGABRUHS-UHFFFAOYSA-N 16-methylheptadecyl 16-methylheptadecanoate Chemical compound CC(C)CCCCCCCCCCCCCCCOC(=O)CCCCCCCCCCCCCCC(C)C ABEXEQSGABRUHS-UHFFFAOYSA-N 0.000 description 4
- 241000764238 Isis Species 0.000 description 4
- 238000005417 image-selected in vivo spectroscopy Methods 0.000 description 4
- 238000012739 integrated shape imaging system Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000006424 Flood reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 244000089409 Erythrina poeppigiana Species 0.000 description 2
- 235000009776 Rathbunia alamosensis Nutrition 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/645—Splitting route computation layer and forwarding layer, e.g. routing according to path computational element [PCE] or based on OpenFlow functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种协商PCC和PCE之间安全能力的方法及其网络系统。该方法包括步骤:路径计算单元发送携带安全策略能力信息的报文至路径计算客户端;所述路径计算客户端接收所述报文后,获取所述路径计算单元支持或要求的安全策略能力、或者获取所述路径计算单元和路径计算客户端共同支持的安全策略能力;所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行连接或通信。本发明中,通过发送携带安全策略能力信息的报文来进行PCC-PCE、PCC-PCC之间的协商,大大简化了PCC-PCE、PCE-PCE之间安全策略配置,简化了路径计算单元PCE部署的复杂度。
Description
技术领域
本发明涉及通信系统,特别涉及在通信系统的流量工程(TE:TrafficEngineering)路径计算中,协商路径计算客户端(PCC:Path ComputationClient)与路径计算单元(PCE:Path Computation Element)之间安全能力的方法及其网络系统。
背景技术
对于在网络的物理拓扑结构上映射通信流量的过程,以及为这些通信流量的资源定位就叫做流量工程(TE:Traffic Engineering)。
目前,路径计算单元(PCE:Path Computation Element)是一种用于流量工程TE路径计算的新模型。相对于由各路由器来完成流量工程TE路径计算的传统方式,基于路径计算单元PCE的流量工程TE路径计算模型将路径计算功能分离出来,交由路径计算单元PCE来完成。所有需要建立流量工程标签交换路径(TE-LSP:Traffic Engineering Label Switched Path)的节点作为路径计算客户端(PCC:Path Computation Client)向路径计算单元PCE请求路径的计算,路径计算单元PCE根据路径计算的要求完成路径计算后,将相应的结果返回给路径计算客户端PCC节点,路径计算客户端PCC节点根据计算结果建立相应的流量工程标签交换路径TE-LSP。
路径计算客户端PCC和路径计算单元PCE是典型的客户/服务器(C/S:Client/Server)模型,在路径计算客户端PCC向路径计算单元PCE发送路径计算请求之前,路径计算客户端PCC需要知道路径计算单元PCE的所在。
路径计算单元自动发现(PCED:Path Computation Element Discovery)是PCE工作组提出用来完成路径计算单元PCE自动发现的标准协议,PCED通过对最短路径算法路由协议(OSPF:Open Short Path First)或基于链路状态的路由协议(ISIS:Intermediate System to Intermediate System)进行扩展,由OSPF或者ISIS将路径计算单元PCE的相关信息在一个路由域内进行泛洪,相当于在这个路由域内进行广播,该路由域可以是一个路由区域,或者是一个自治系统。通过上述方法路由域内的所有路径计算客户端PCC就能获得相关路径计算单元PCE信息,其中,这些信息包括路径计算单元PCE的位置信息、PCE的计算能力、PCE支持的功能、PCE的计算范围、是否支持负载分担、是否处在拥塞状态等信息。
一个路径计算客户端PCC可能会收到多个客户计算单元PCE的信息,路径计算客户端PCC根据收到的路径计算单元PCE信息,从这些路径计算单元PCE中选择一个合适的路径计算单元PCE作为其路径计算的默认PCE。当路径计算客户端PCC在需要计算流量工程TE路径时,将相关的路径计算请求发送给该默认PCE,由其完成流量工程TE路径计算。路径计算单元PCE完成路径计算然后,将相关的路径计算结果返回给路径计算客户端PCC,路径计算客户端PCC根据路径计算结果建立相应的流量工程TE路径。
路径计算客户端PCC和路径计算单元PCE之间的通信通过路径计算单元通信协议(PCEP:Path Computation Element Communication Protocol)来完成,PCEP是用于PCC-PCE、PCE-PCE间通信的协议,PCEP采用传输控制协议(TCP:Transmission Control Protocol)作为传输协议。PCEP承载了PCC和PCE之间各种交互报文,这些报文包括:能力协商的报文、PCC向PCE发送的各种路径计算请求报文、PCE向PCC发送的相关路径计算结果以及PCC和PCE之间传递的各种报错报文等。
路径计算客户端PCC在向路径计算单元PCE发送路径计算请求之前,需要在PCC和PCE之间建立PCEP连接。这种连接的建立过程为:首先建立PCC和PCE之间的TCP连接,然后进行相关的能力协商;能力协商通过之后,PCC和PCE之间就建立好了PCEP连接。其中,路径计算客户端PCC和路径计算单元PCE之间的能力协商包括:PCEP协议版本号、PCC和PCE之间连接的保活时间、最大保活时间等内容。
如图1所示,为多个路径计算单元PCE协作完成流量工程TE路径计算的示意图。如图1所示,头节点(Head End)101作为路径计算客户端PCC向其默认的路径计算单元PCE 102发送计算请求;默认的路径计算单元PCE 102根据路径计算请求进行路径计算,并将算路结果返回头节点101。如果默认PCE 102不能单独完成路径的计算,那么路径计算单元PCE 102就会向其它的PCE,如PCE 103发送路径计算请求,请求协助路径的计算,此时,相对于PCE103,PCE 102就成为路径计算客户端PCC。
如上所述,路径计算单元PCE的信息通过OSPF或者ISIS在一个路由域内泛洪,因此,这个路由域的所有节点都有可能获得这些PCE信息;同时这些信息还可能通过某种机制扩散到其它路由域。这样,会有很多的节点,包括授信和非授信节点获知路径计算单元PCE的信息,并且通过PCEP协议就可以访问路径计算单元PCE。这样会产生如下一些问题:
1.非授信节点非法截取PCE和PCE之间传递的计算请求、响应报文;
2.非授信节点假冒PCC或者PCE;
3.非授信节点对PCC或者PCE进行Dos(Deny of Service)攻击,其中,Dos攻击是指一种通过拒绝服务来实施的攻击,例如,若一用户向sina发送大量无用的数据包,其他要访问sina的用户的请求和该用户发送的数据包相比机会可以忽略,这样其它用户的请求就会被淹没在该用户的攻击报文中,这是一种典型的Dos攻击。
上述非授信节点是指没有得到授权不能信任的节点;授信节点为被授权可以信任的节点。
因此,需要一种安全机制来保证PCC和PCE之间的通信安全,PCEP协议中提到了可以采用TCP消息摘要加密算法版本5(TCP MD5:TCP MessageDigest5)签名、IPSec(互联网安全协议)加密等多种方法来保证PCC和PCE之间通信的安全、防止路径计算单元PCE和路径计算客户端PCC假冒,也能在一定程度上减轻Dos攻击。同时还会提出其它的安全机制来对PCC-PCE通信进行保护,例如:路径计算单元PCE对路径计算客户端PCC进行接入认证。
因此,对于路径计算客户端PCC和路径计算单元PCE之间采用何种安全机制、是否需要安全机制,需要在PCC-PCE之间进行协商,以便确定PCC和PCE之间通信的安全机制。但在实现本发明过程中,发明人发现目前在PCEP或者PCED中还没有一种机制来协商各种安全能力。
另外,针对路径计算客户端PCC和路径计算单元PCE之间是否采用安全机制、是否采用TCP MD5签名机制、是否对PCC-PCE之间的报文进行IPSec加密等安全机制,目前只能采取静态配置的方法。静态配置就是等路径计算客户端PCC发现并选定一个或多个路径计算单元PCE作为其路径计算服务器之后,需要逐一静态的配置PCC和PCE之间的安全机制。
在实现本发明过程中,发明人发现采用静态配置路径计算客户端PCC和路径计算单元PCE之间的安全机制的缺点在于:配置繁琐、复杂。
发明内容
本发明实施例的目的在于提供一种协商PCC和PCE之间安全能力的方法及其网络系统。通过本发明实施例,发送携带安全策略能力信息的报文来进行PCC-PCE、PCC-PCC之间的协商,大大简化了PCC-PCE、PCE-PCE之间安全策略配置,简化了路径计算单元PCE部署的复杂度。
本发明实施例提供一种协商PCC和PCE之间安全能力的方法,该方法包括步骤:路径计算单元发送携带安全策略能力信息的报文至路径计算客户端;所述路径计算客户端接收所述报文后,获取所述路径计算单元支持或要求的安全策略能力、或者获取所述路径计算单元和路径计算客户端共同支持的安全策略能力;所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行连接或通信。
本发明实施例还提供一种协商PCC和PCE之间安全能力的网络系统,该系统包括至少一个路径计算单元和路径计算客户端;其中,
所述路径计算单元,用于发送携带安全策略能力信息的报文至路径计算客户端;
所述路径计算客户端接收所述报文后,获取所述路径计算单元支持或要求的安全策略能力、或者获取所述路径计算单元和路径计算客户端共同支持的安全策略能力,使得所述路径计算客户端与路径计算单元之间根据获取的所述安全策略能力进行连接或通信。
通过本发明实施例,发送携带安全策略能力信息的报文来进行PCC-PCE、PCC-PCC之间的协商,大大简化了PCC-PCE、PCE-PCE之间安全策略配置,简化了路径计算单元PCE部署的复杂度。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为多个PCE协作完成TE路径计算的示意图;
图2为本发明实施例协商安全能力的系统结构示意图;
图3为本发明实施例一的通过PCED协商安全能力的方法流程图;
图4为本发明实施例二的通过PCEP协商安全能力的方法流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本发明实施例提供一种协商PCC和PCE之间安全能力的方法及其网络系统。以下参照附图对本发明实施例进行详细说明。
本发明实施例提供一种协商PCC和PCE之间安全能力的方法。该方法包括:路径计算单元发送携带安全策略能力信息的报文至路径计算客户端;所述路径计算客户端接收所述报文后,获取所述路径计算单元支持或要求的安全策略能力、或者所述路径计算单元和路径计算客户端共同支持的安全策略能力;所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行连接或通信。
由上述实施例可知,通过发送携带安全策略能力信息的报文来进行PCC-PCE、PCC-PCC之间的协商,大大简化了PCC-PCE、PCE-PCE之间安全策略配置,简化了路径计算单元PCE部署的复杂度。
本实施例中,PCED携带的安全策略能力信息包括:是否启用安全机制、是否采用TCP MD5签名选项、是否采用IPSec对路径计算客户端PCC和路径计算单元PCE之间的报文进行加密、是否需要在路径计算客户端PCC和路径计算单元PCE之间进行认证的信息中的一种或几种。
PCEP携带的安全策略能力信息包括:是否采用IPSec对路径计算客户端PCC和路径计算单元PCE之间的报文进行加密、和/或是否需要在路径计算客户端PCC和路径计算单元PCE之间进行认证的信息。
本发明实施例中的路径计算客户端PCC为广义的路径计算客户端PCC,在某些情况下,路径计算单元PCE也可以为路径计算客户端PCC。例如,当要计算一条跨域的路径时,可能需要多个路径计算单元PCE参与路径计算,一个路径计算单元PCE负责计算一段路径;但是路径计算客户端PCC,作为路径计算的发起者,有可能只向第一个PCE发送路径计算请求,如果第一个PCE不能独自完成整个路径的计算,该PCE就会请求其它PCE协助路径计算,这时,第一个PCE就相当于一个PCC向其他的PCE发送路径计算请求,以便完成路径计算。在上述情况下,协商PCC和PCE之间的安全能力为协商PCE和PCE之间的安全能力。
本发明实施例中,通过对PCED和PCEP协议进行扩展,即在PCED或PCEP的相关报文中携带上述安全策略能力信息,实现PCC与PCE之间通信安全策略的动态协商。
以下分别以PCED和PCEP携带安全策略能力信息为例,对本发明实施例的方法进行详细说明。
实施例一
下面以PCED携带安全策略能力信息和PCEP携带安全策略能力信息为例,对本发明实施例的协商安全能力的方法进行详细说明。
如图3所示,当通过PCED携带安全策略能力信息时,在PCE的自动发现阶段通过PCED携带的安全策略能力信息来协商PCC和PCE之间安全能力的方法包括步骤:
步骤301,路径计算单元PCE在泛洪安全策略能力信息。
本实施例中,路径计算单元PCE在洪泛自己相关信息时,根据自身的相关配置、策略,决定是否将安全策略能力信息通过PCED协议泛洪出去。
例如,若路径计算单元PCE希望路径计算客户端PCC与其建立PCEP连接时采用TCP MD5签名选项,即安全策略能力采用TCP MD5,则路径计算单元PCE在安全策略通告中加上这一要求;其它情况类似,此处不再赘述。
此外,对某些不需要安全策略的路径计算客户端PCC,如授信的路径计算客户端PCC,路径计算单元PCE可以根据实际情况不洪泛安全策略能力信息。
另外,路径计算单元PCE洪泛的相关信息是指:通常情况下,路径计算单元PCE通过PCED协议(OSPF或者ISIS扩展)将自己的位置信息、计算能力、计算范围等信息泛洪到一个路由域中,该路由域可能是一个路由区域(area/level)或者是整个路由自治系统(AS:Autonomous System)。
若路径计算单元决定不洪泛安全策略能力信息,则后续路径计算客户端PCC和路径计算单元PCE建立PCEP连接或进行通信时不采用安全策略。步骤302,路径计算客户端PCC接收携带有安全策略能力信息的PCED报文;
步骤303,获取路径计算单元PCE支持或要求的安全策略能力;
具体为,路径计算客户端PCC对PCED报文进行解析,以解析出路径计算单元PCE支持或要求的安全策略能力;
可选地,还可以将解析出的安全策略能力进行保存。
上述实施例中,解析的目的是从PCED报文中取出安全策略能力;本实施例中,通过分析PCED报文中相关字段、标志位解析出路径计算单元PDE支持或要求的安全策略能力,其中,不同的字段、不同标志代表不同的安全策略能力。
步骤304,当路径计算客户端PCC要与路径计算单元PCE建立PCEP连接或进行通信时,路径计算客户端PCC根据所获得的安全策略能力选择一种或多种安全策略和PCE建立PCEP连接或进行通信,即所述路径计算客户端PCC根据路径计算单元PCE的安全策略支持情况或者要求来选择相应的安全策略与路径计算单元PCE建立PCEP连接或进行通信。
例如:如果安全策略能力信息中指定采用TCP MD5签名选项,则路径计算客户端PCC向路径计算单元PCE建立连接时,就需要通过TCP MD5签名选项进行加密。
如果安全策略能力信息中指定采用IPSec对PCC-PCE之间的报文进行加密,则PCC和PCE在进行通信时就需要通过IPSec来进行报文加密。
如果安全策略能力信息中指定需要在PCC和PCE之间进行安全认证,则PCC在向PCE发送路径计算请求之前需要首先进行安全认证。
在上述实施例中,安全策略能力信息由PCED报文中的PCE能力标志子-类型/长度/值三元组(Sub-TLV)携带或者由设置的PCE安全策略子-类型/长度/值三元组(Sub-TLV)携带,但不限于上述情况,还可采用其它方式。
由上述实施例可知,通过在PCED报文中携带安全策略能力信息,简化了PCC-PCE、PCE-PCE之间安全策略配置,使得配置灵活、并且修改容易。
实施例二
下面以PCEP携带安全策略能力信息为例,对本发明实施例的协商安全能力的方法进行详细说明。
当PCEP携带安全策略能力信息时,本实施例中在PCC和PCE建立PCEP连接时,通过PCEP的打开报文(Open)携带安全策略能力信息来协商PCC和PCE之间的安全能力。
其中,Open报文是PCC和PCE在建立PCEP连接时相互发送的第一个报文,该Open报文用于PCC和PCE之间交换各种能力参数,然后各自根据自己能力参数以及从对方接收到的能力参数进行协商,以确定双方都支持的能力。
当采用Open报文携带安全策略能力信息时,安全策略能力可以通过Open报文中Open Object(对象)相关标志位来携带,也可以通过向Open Object中引入新的TLV:安全策略能力TLV来携带,但不限于上述两种情况。
本实施例中,以路径计算客户端PCC和路径计算单元PCE的Open报文均携带安全策略能力信息、且采用安全策略能力TLV来携带该安全策略能力信息为例进行详细说明。
如图4所示,当通过PCEP的打开(Open)报文来携带安全策略能力信息时,协商PCC和PCE之间安全能力的方法包括步骤:
步骤401,路径计算客户端PCC和路径计算单元PCE根据自身的配置、策略,决定是否在Open报文中携带安全策略能力;
例如,路径计算单元PCE配置要求所有路径计算客户端PCC和其同时需要进行IPsec加密,则路径计算单元PCE就决定将需要支持IPsec加密要求放在安全策略能力TLV中,通过Open报文发送给路径计算客户端PCC;
对于路径计算客户端PCC,其决定的方式与路径计算单元PCE一致,此处不再赘述。
步骤402,若在步骤401中决定的结果为均携带安全策略能力信息,则PCC和PCE相互发送携带安全策略能力信息的Open报文。
步骤403,PCC和PCE在接收到对方,即PCE和PCC发送的Open报文后,对所接收的Open报文进行处理,以获得对方所支持的或要求的安全策略能力;其中,可采用如下步骤:
路径计算客户端PCC和路径计算单元PCE对Open报文进行解析,以解析出对方所支持或要求的安全策略能力;然后保存解析出的所述安全策略能力。
步骤404,路径计算客户端PCC和路径计算单元PCE将所获得的安全策略能力与自身支持的相关安全策略能力进行对比;
步骤405、406,判断是否存在共同支持的安全策略能力;若判断结果为存在共同支持的安全策略能力,则协商成功,路径计算客户端PCC和路径计算单元PCE之间的通信根据共同支持的安全策略能力进行。
例如,如果安全策略能力中指定采用IPSec对PCC-PCE之间的报文进行加密,则PCC和PCE在进行通信时就需要通过IPSec来进行报文加密;如果安全策略能力中指定需要在PCC和PCE之间进行安全认证,则PCC在向PCE发送路径计算请求之前需要首先进行安全认证。
上述实施例中,在步骤405中,判断是否有共同支持的安全策略能力时的判断结果为没有共同支持的安全策略能力,则执行步骤407,即PCC和PCE之间通信时,可以不采用任何安全机制;或者断开路径计算客户端PCC和路径计算单元PCE之间的连接,路径计算客户端PCC和路径计算单元PCE不能继续进行通信。
在步骤401中,若路径计算客户端PCC和路径计算单元PCE决定不在Open报文中携带安全策略能力信息,则执行步骤407。
下面以安全策略能力中指定采用IPSec为例对上述方法进行说明:
首先,如果路径计算客户端PCC和路径计算单元PCE上配置了要求PCC与PCE之间的通信采用IPSec加密,则PCC和PCE将IPSec能力放入安全策略能力TLV中;
然后,将安全策略能力TLV编码在Open报文中,发送给对方;
当收到携带安全策略能力信息的Open报文时,对该安全策略能力信息进行解析,解析出对方所支持或要求的安全策略能力,并进行保存;
最后,与其自身支持的安全策略能力进行对比,判断是否有共同支持的安全策略能力,即判断是否支持IPSec加密,如果支持,则协商成功,后续PCC和PCE之间的通信可按照IPsec进行加密。
如果安全策略能力中指定需要在PCC和PCE之间进行安全认证,则PCC在向PCE发送路径计算请求之前需要首先进行安全认证。具体的步骤流程与上述类似,此处不再赘述。
上述实施例中,PCC和PCE均携带相同的IPSec能力,并且PCC和PCE均配置了要求PCC和PCE之间的通信采用IPSec加密,因此,判断结果为具有共同支持的安全策略能力,因此,协商成功。
若PCC和PCE携带了不同的安全策略能力,如PCC配置要求PCC和PCE之间的通信采用IPSec加密,则该PCC携带IPSec能力;PCE配置要求PCC和PCE之间的通信需要进行安全认证,则PCE携带进行安全认证的能力;当PCC和PCE互相发送Open报文后,当对该报文进行处理后,判断结果为没有共同支持的安全策略能力,则协商不成功,路径计算客户端PCC和路径计算单元PCE之间不能进行通信;或者所述路径计算客户端PCC和路径计算单元PCE之间通信时不采用任何安全机制。
上述实施例中,是以PCC和PCE的Open报文中均携带安全策略能力信息为例进行说明。本发明实施例中,安全策略能力信息还可以是PCE或PCC的Open报文单独携带。
例如,只有路径计算单元PCE上配置了要求PCC与PCE之间的通信采用IPSec加密,则路径计算单元PCE将IPSec能力放入安全策略能力TLV中;然后,将安全策略能力TLV编码在Open报文中,发送给路径计算客户端PCC;
而路径计算客户端PCC发送给路径计算单元PCE的Open报文中没有携带安全策略能力;
当路径计算客户端PCC收到携带安全策略能力信息的Open报文时,对该安全策略能力信息进行解析,解析出对方所支持或要求的安全策略能力,并进行保存;
最后,与该路径计算客户端PCC自身支持的安全策略能力进行对比,由于路径计算客户端PCC的配置不支持IPSec,则判断结果是没有共同支持的安全策略能力,则协商不成功,此时断开PCC和PCE之间的连接、或者PCC和PCE之间不采用任何安全机制。
由上述可知,通过采用PCEP报文携带安全策略能力信息,大大简化了PCC-PCE,以及PCE-PCE之间安全策略配置,使得配置灵活、并且修改容易。
实施例三
本发明实施例还提供一种协商PCC和PCE之间安全能力的网络系统,如图2所示,该系统包括至少一个路径计算单元和路径计算客户端;其中,
路径计算单元,用于发送携带安全策略能力信息的报文至路径计算客户端;路径计算客户端接收该报文后,获取所述路径计算单元支持或要求的安全策略能力、或者获取所述路径计算单元和路径计算客户端共同支持的安全策略能力,使得所述路径计算客户端与路径计算单元之间根据获取的所述安全策略能力进行连接或通信。
本实施例中,携带安全策略能力信息的报文是路径计算单元自动发现报文或路径计算单元通信协议报文。
当所述报文是路径计算单元自动发现报文时,所述获取路径计算单元支持或要求的安全策略能力是指:对路径计算单元自动发现报文进行解析,解析出所述路径计算单元支持或要求的安全策略能力,从而获取所述安全策略能力。
当所述报文为路径计算单元通信协议报文时,所述路径计算客户端还用于发送所述报文至所述路径计算单元;所述路径计算单元接收所述报文后,获取所述路径计算单元和路径计算客户端共同支持的安全策略能力,使得所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行通信。
由上述实施例可知,通过在PCED报文中携带安全策略能力信息,简化了PCC-PCE、PCE-PCE之间安全策略配置,使得配置灵活、并且修改容易。
以下分别以PCED和PCEP携带安全策略能力信息为例,对本发明实施例的方法进行详细说明。
实施例四
以下报文为PCED报文的情况。
本发明实施例还提供一种协商PCC和PCE之间安全能力的网络系统,包括至少一个路径计算单元PCE和路径计算客户端PCC;其中,
路径计算单元PCE,用于发送携带安全策略能力信息的报文至路径计算客户端PCC;路径计算客户端PCC接收该报文后,获取路径计算单元PCE支持或要求的安全策略能力,使得路径计算客户端PCC与路径计算单元PCE之间根据获取的安全策略能力进行连接或通信。
本实施例中,安全策略能力信息包括是否启用安全机制、是否采用TCP MD5签名选项、是否采用IPSec对路径计算客户端和路径计算单元之间的报文进行加密、是否需要在路径计算客户端和路径计算单元之间进行认证的信息中的一种或几种。
上述安全策略能力信息由PCED报文中的PCE能力标志子-类型/长度/值三元组(Sub-TLV)携带或者由设置的PCE安全策略子-类型/长度/值三元组(Sub-TLV)携带,但不限于上述情况,还可采用其它方式。
本实施例的协商安全能力的网络系统的协商方法与实施例一中的PCED报文携带安全策略能力的方法一致,此处不再赘述。
实施例五
以下是PCEP报文的情况。
本发明实施例还提供一种协商PCC和PCE之间安全能力的网络系统,包括至少一个路径计算单元PCE和路径计算客户端PCC;其中,
路径计算单元PCE,用于发送携带安全策略能力信息的报文至路径计算客户端PCC;路径计算客户端PCC接收该报文后,获取该路径计算单元PCE和路径计算客户端PCC共同支持的安全策略能力,使得路径计算客户端PCC与路径计算单元PCE之间根据获取的安全策略能力进行通信。
本实施例中,路径计算客户端PCC还用于发送该报文至所述路径计算单元PCE;路径计算单元PCE接收所述报文后,获取路径计算单元PCE和路径计算客户端PCC共同支持的安全策略能力,使得路径计算客户端PCC与路径计算单元PCE之间根据获取的安全策略能力进行通信。
本实施例中,PCEP报文可为打开(Open)报文。
路径计算客户端PCC和路径计算单元PCE决定是否在Open报文中携带安全策略能力信息,决定结果为路径计算客户端PCC和/或路径计算单元PCE的Open报文中携带安全策略能力信息;
路径计算客户端PCC和路径计算单元PCE互相发送Open报文;
当路径计算客户端PCC和路径计算单元PCE收到Open报文时,对Open报文进行处理,以获得对方所支持或要求的安全策略能力;将所获得的安全策略能力与自身支持的安全策略能力进行对比,判断是否存在共同支持的安全策略能力;若判断结果为存在,则协商成功,路径计算单元PCE和路径计算客户端PCC之间的通信按照该共同支持的安全策略能力来进行。
上述安全策略能力信息包括是否采用IPSec对路径计算客户端和路径计算单元之间的报文进行加密、和/或是否需要在路径计算客户端和路径计算单元之间进行认证的信息中。
本实施例中,上述安全策略能力信息由PCED报文中的PCE能力标志子-类型/长度/值三元组(Sub-TLV)携带或者由设置的PCE安全策略子-类型/长度/值三元组(Sub-TLV)携带,但不限于上述情况,还可采用其它方式。
由上述可知,路径计算客户端PCC和路径计算单元PCE可根据自身的配置、策略,决定是否在Open报文中携带安全策略能力;决定的结果可以是在PCC和PCE中均携带,或者只在PCC或PCE中携带。
若PCC和PCE均不携带安全策略能力时,则PCC和PCE之间的通信不采用任何机制、或者断开PCC和PCE之间的通信。
当PCC和PCE均携带安全策略能力信息、或者只有PCE或PCC携带安全策略能力时,其工作流程如实施例二所述,此处不再赘述。
通过上述实施例,通过在PCED报文和PCEP报文中携带安全策略能力信息,大大简化了PCC-PCE、PCE-PCE之间安全策略配置,使得配置灵活、并且修改容易,简化了路径计算单元PCE部署的复杂度。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种协商PCC和PCE之间安全能力的方法,其特征在于,该方法包括步骤:
路径计算单元发送携带安全策略能力信息的报文至路径计算客户端;
所述路径计算客户端接收所述报文后,获取所述路径计算单元支持或要求的安全策略能力、或者获取所述路径计算单元和路径计算客户端共同支持的安全策略能力;
所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行连接或通信。
2.根据权利要求1所述的方法,其特征在于,所述携带安全策略能力信息的报文是路径计算单元自动发现报文或路径计算单元通信协议报文。
3.根据权利要求2所述的方法,其特征在于:当所述报文为路径计算单元通信协议报文时,该方法还包括:
所述路径计算客户端向所述路径计算单元发送所述报文;
所述路径计算单元接收所述报文后,获取所述路径计算单元和路径计算客户端共同支持的安全策略能力;
所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行通信。
4.根据权利要求2或3所述的方法,其特征在于:当所述报文为路径计算单元通信协议报文时,所述获取路径计算单元和路径计算客户端共同支持的安全策略能力,包括步骤:
所述路径计算客户端或路径计算单元获取对方所支持或要求的安全策略能力;
将所获取的安全策略能力与自身支持的安全策略能力进行对比,找到共同支持的安全策略能力。
5.根据权利要求2所述的方法,其特征在于,当所述报文为路径计算单元自动发现报文时,所述安全策略能力信息包括是否启用安全机制,和/或是否采用TCP MD5签名选项,和/或是否采用IPSec对路径计算客户端和路径计算单元之间的报文进行加密,和/或是否需要在路径计算客户端和路径计算单元之间进行认证的信息;
当所述报文为所述路径计算单元通信协议报文时,所述安全策略能力信息包括是否采用IPSec对路径计算客户端和路径计算单元之间的报文进行加密、和/或是否需要在路径计算客户端和路径计算单元之间进行认证的信息。
6.根据权利要求2所述的方法,其特征在于:当所述报文为路径计算单元自动发现报文时,所述安全策略能力信息由所述路径计算单元自动发现报文中的路径计算单元能力标志子-类型/长度/值三元组携带或者由所述路径计算单元安全策略子-类型/长度/值三元组携带;
当所述报文为所述路径计算单元通信协议报文时,所述安全策略能力信息由所述打开报文中的打开对象相关标志位携带或者安全策略能力类型/长度/值三元组来携带。
7.一种协商PCC和PCE之间安全能力的网络系统,其特征在于:包括至少一个路径计算单元和路径计算客户端;其中,
所述路径计算单元,用于发送携带安全策略能力信息的报文至路径计算客户端;
所述路径计算客户端接收所述报文后,获取所述路径计算单元支持或要求的安全策略能力、或者获取所述路径计算单元和路径计算客户端共同支持的安全策略能力,使得所述路径计算客户端与路径计算单元之间根据获取的所述安全策略能力进行连接或通信。
8.根据权利要求7所述的网络系统,其特征在于,所述携带安全策略能力信息的报文是路径计算单元自动发现报文或路径计算单元通信协议报文。
9.根据权利要求8所述的网络系统,其特征在于:当所述报文为路径计算单元通信协议报文时,所述路径计算客户端还用于发送所述报文至所述路径计算单元;
所述路径计算单元接收所述报文后,获取所述路径计算单元和路径计算客户端共同支持的安全策略能力,使得所述路径计算客户端与路径计算单元之间根据获取的安全策略能力进行通信。
10.根据权利要求或8或9所述的网络系统,其特征在于:当所述报文为路径计算单元通信协议报文时,所述获取路径计算单元和路径计算客户端共同支持的安全策略能力是指:
所述路径计算客户端或路径计算单元获取对方所支持或要求的安全策略能力;将所获取的安全策略能力与自身支持的安全策略能力进行对比,找到共同支持的安全策略能力。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710112676XA CN101335692B (zh) | 2007-06-27 | 2007-06-27 | 协商pcc和pce之间安全能力的方法及其网络系统 |
| PCT/CN2008/070781 WO2009000178A1 (fr) | 2007-06-27 | 2008-04-23 | Procédé et système de réseau visant à négocier une capacité de sécurité entre un pcc et un pce |
| US12/437,847 US8127129B2 (en) | 2007-06-27 | 2009-05-08 | Method and network system for negotiating a security capability between a PCC and a PCE |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710112676XA CN101335692B (zh) | 2007-06-27 | 2007-06-27 | 协商pcc和pce之间安全能力的方法及其网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101335692A true CN101335692A (zh) | 2008-12-31 |
| CN101335692B CN101335692B (zh) | 2013-03-13 |
Family
ID=40185187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710112676XA Active CN101335692B (zh) | 2007-06-27 | 2007-06-27 | 协商pcc和pce之间安全能力的方法及其网络系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8127129B2 (zh) |
| CN (1) | CN101335692B (zh) |
| WO (1) | WO2009000178A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010148695A1 (zh) * | 2009-11-12 | 2010-12-29 | 中兴通讯股份有限公司 | 多层网络中区域边界控制的方法、建立连接的方法和系统 |
| WO2011017940A1 (zh) * | 2009-08-13 | 2011-02-17 | 中兴通讯股份有限公司 | 计算层间路径的方法 |
| CN103581017A (zh) * | 2012-07-23 | 2014-02-12 | 中兴通讯股份有限公司 | 路径段信息的传递方法及装置 |
| CN104579946A (zh) * | 2013-10-21 | 2015-04-29 | 华为技术有限公司 | 确定路径计算单元的方法及通信设备 |
| WO2016095699A1 (zh) * | 2014-12-16 | 2016-06-23 | 中兴通讯股份有限公司 | 一种标签交换路径状态的获取方法及装置 |
| CN103581017B (zh) * | 2012-07-23 | 2018-02-09 | 中兴通讯股份有限公司 | 路径段信息的传递方法及装置 |
| WO2018108169A1 (zh) * | 2016-12-15 | 2018-06-21 | 中兴通讯股份有限公司 | 一种实现pcep的通信方法和装置 |
| CN108574636A (zh) * | 2017-03-13 | 2018-09-25 | 中兴通讯股份有限公司 | 一种隧道授权信息处理方法及路径计算单元 |
| WO2018188663A1 (zh) * | 2017-04-13 | 2018-10-18 | 中兴通讯股份有限公司 | 信息通告方法及装置 |
| CN110290151A (zh) * | 2019-07-16 | 2019-09-27 | 迈普通信技术股份有限公司 | 报文发送方法、装置及可读取存储介质 |
| CN114745420A (zh) * | 2020-12-23 | 2022-07-12 | 华为技术有限公司 | 能力协商的方法、装置、系统及存储介质 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101425107B1 (ko) * | 2010-10-29 | 2014-08-01 | 한국전자통신연구원 | 네트워크 도메인간 보안정보 공유 장치 및 방법 |
| US8924573B2 (en) * | 2012-03-12 | 2014-12-30 | Microsoft Corporation | Secure capability negotiation between a client and server |
| CN102624745B (zh) * | 2012-04-10 | 2015-01-28 | 中兴通讯股份有限公司 | 一种路径计算单元通信协议会话建立方法及装置 |
| WO2014042638A1 (en) * | 2012-09-13 | 2014-03-20 | Siemens Aktiengesellschaft | Industrial control system with internal generation for secure network communications |
| US8942226B2 (en) * | 2012-10-05 | 2015-01-27 | Ciena Corporation | Software defined networking systems and methods via a path computation and control element |
| CN112822108A (zh) * | 2015-12-30 | 2021-05-18 | 华为技术有限公司 | 建立lsp的方法、服务器及路由器 |
| US11895159B2 (en) * | 2021-06-30 | 2024-02-06 | International Business Machines Corporation | Security capability determination |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6983325B1 (en) * | 2000-12-28 | 2006-01-03 | Mcafee, Inc. | System and method for negotiating multi-path connections through boundary controllers in a networked computing environment |
| US7558276B2 (en) * | 2004-11-05 | 2009-07-07 | Cisco Technology, Inc. | System and method for retrieving computed paths from a path computation element using a path key |
| US7496105B2 (en) * | 2004-11-05 | 2009-02-24 | Cisco Technology, Inc. | System and method for retrieving computed paths from a path computation element using encrypted objects |
| US7599302B2 (en) * | 2005-07-19 | 2009-10-06 | Cisco Technology, Inc. | Dynamic enforcement of MPLS-TE inter-domain policy and QoS |
| CN100486220C (zh) * | 2005-10-14 | 2009-05-06 | 华为技术有限公司 | Pce发现协议的实现方法 |
| US7710872B2 (en) * | 2005-12-14 | 2010-05-04 | Cisco Technology, Inc. | Technique for enabling traffic engineering on CE-CE paths across a provider network |
| CN100399739C (zh) * | 2005-12-26 | 2008-07-02 | 北京航空航天大学 | 基于协商通信实现信任认证的方法 |
| US7701940B2 (en) * | 2007-03-09 | 2010-04-20 | Cisco Technology, Inc. | Inter-domain point-to-multipoint path computation in a computer network |
-
2007
- 2007-06-27 CN CN200710112676XA patent/CN101335692B/zh active Active
-
2008
- 2008-04-23 WO PCT/CN2008/070781 patent/WO2009000178A1/zh active Application Filing
-
2009
- 2009-05-08 US US12/437,847 patent/US8127129B2/en active Active
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011017940A1 (zh) * | 2009-08-13 | 2011-02-17 | 中兴通讯股份有限公司 | 计算层间路径的方法 |
| US8670328B2 (en) | 2009-08-13 | 2014-03-11 | Zte Corporation | Method for calculating interlayer path |
| US8837475B2 (en) | 2009-11-12 | 2014-09-16 | Zte Corporation | Method for controlling area boundary, method and system for establishing connection in multilayer network |
| WO2010148695A1 (zh) * | 2009-11-12 | 2010-12-29 | 中兴通讯股份有限公司 | 多层网络中区域边界控制的方法、建立连接的方法和系统 |
| CN103581017B (zh) * | 2012-07-23 | 2018-02-09 | 中兴通讯股份有限公司 | 路径段信息的传递方法及装置 |
| CN103581017A (zh) * | 2012-07-23 | 2014-02-12 | 中兴通讯股份有限公司 | 路径段信息的传递方法及装置 |
| CN104579946A (zh) * | 2013-10-21 | 2015-04-29 | 华为技术有限公司 | 确定路径计算单元的方法及通信设备 |
| US11128611B2 (en) | 2013-10-21 | 2021-09-21 | Huawei Technologies Co., Ltd. | Method for determining path computation element and communications device |
| CN104579946B (zh) * | 2013-10-21 | 2018-01-16 | 华为技术有限公司 | 确定路径计算单元的方法及通信设备 |
| WO2015058627A1 (zh) * | 2013-10-21 | 2015-04-30 | 华为技术有限公司 | 确定路径计算单元的方法及通信设备 |
| US10110581B2 (en) | 2013-10-21 | 2018-10-23 | Huawei Technologies Co., Ltd. | Method for determining path computation element and communications device |
| CN105763447A (zh) * | 2014-12-16 | 2016-07-13 | 中兴通讯股份有限公司 | 一种标签交换路径状态的获取方法及装置 |
| WO2016095699A1 (zh) * | 2014-12-16 | 2016-06-23 | 中兴通讯股份有限公司 | 一种标签交换路径状态的获取方法及装置 |
| WO2018108169A1 (zh) * | 2016-12-15 | 2018-06-21 | 中兴通讯股份有限公司 | 一种实现pcep的通信方法和装置 |
| CN108574636A (zh) * | 2017-03-13 | 2018-09-25 | 中兴通讯股份有限公司 | 一种隧道授权信息处理方法及路径计算单元 |
| CN108574636B (zh) * | 2017-03-13 | 2022-04-05 | 中兴通讯股份有限公司 | 一种隧道授权信息处理方法及路径计算单元 |
| WO2018188663A1 (zh) * | 2017-04-13 | 2018-10-18 | 中兴通讯股份有限公司 | 信息通告方法及装置 |
| CN108737127A (zh) * | 2017-04-13 | 2018-11-02 | 中兴通讯股份有限公司 | 一种信息通告方法及装置 |
| CN108737127B (zh) * | 2017-04-13 | 2022-07-22 | 中兴通讯股份有限公司 | 一种信息通告方法及装置 |
| CN110290151A (zh) * | 2019-07-16 | 2019-09-27 | 迈普通信技术股份有限公司 | 报文发送方法、装置及可读取存储介质 |
| CN110290151B (zh) * | 2019-07-16 | 2021-10-08 | 迈普通信技术股份有限公司 | 报文发送方法、装置及可读取存储介质 |
| CN114745420A (zh) * | 2020-12-23 | 2022-07-12 | 华为技术有限公司 | 能力协商的方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090217347A1 (en) | 2009-08-27 |
| US8127129B2 (en) | 2012-02-28 |
| CN101335692B (zh) | 2013-03-13 |
| WO2009000178A1 (fr) | 2008-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101335692B (zh) | 协商pcc和pce之间安全能力的方法及其网络系统 | |
| Conti et al. | A survey of man in the middle attacks | |
| US11122116B2 (en) | Load balancing system, method, and apparatus | |
| US8201233B2 (en) | Secure extended authentication bypass | |
| US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
| US20150207793A1 (en) | Feature Enablement or Disablement Based on Discovery Message | |
| EP1665723B1 (en) | TTL exploration technique for determining capabilities and configuration of a peer router | |
| CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
| CN109698791B (zh) | 一种基于动态路径的匿名接入方法 | |
| CN109936515A (zh) | 接入配置方法、信息提供方法及装置 | |
| US20220141027A1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
| US10447549B2 (en) | Neighbor establishment method and system, and device | |
| JP2006185194A (ja) | サーバ装置、通信制御方法及びプログラム | |
| Kwon et al. | SVLAN: Secure & scalable network virtualization | |
| Wang et al. | A data plane security model of segmented routing based on SDP trust enhancement architecture | |
| EP2139198A1 (fr) | Routeur associé à un dispositif sécurisé | |
| CN114338508A (zh) | 一种检测路由环路的方法、设备及系统 | |
| CN110933674A (zh) | 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 | |
| JP2004328298A (ja) | 通信システム、通信装置及びその動作制御方法 | |
| WO2023221742A1 (zh) | 一种路由选择方法、网络设备及系统 | |
| Zúquete et al. | A security architecture for protecting LAN interactions | |
| US20230412371A1 (en) | Quantum cryptography in an internet key exchange procedure | |
| Zhang et al. | CustRouting: Trusted and Customized Routing in Integrated Heterogeneous Networks | |
| Pali et al. | S2DN: Design of robust authentication protocol with session key establishment in multi-controller based software-defined VANETs | |
| WO2023183925A1 (en) | Serverless mutual authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |