CN101820425A - Rsvp认证的方法和系统 - Google Patents
Rsvp认证的方法和系统 Download PDFInfo
- Publication number
- CN101820425A CN101820425A CN201010148524A CN201010148524A CN101820425A CN 101820425 A CN101820425 A CN 101820425A CN 201010148524 A CN201010148524 A CN 201010148524A CN 201010148524 A CN201010148524 A CN 201010148524A CN 101820425 A CN101820425 A CN 101820425A
- Authority
- CN
- China
- Prior art keywords
- rsvp
- authentication
- message
- interface
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种RSVP认证的方法和系统,在MPLS TE FRR组网中获取保护链路的头尾节点,通过配置该头尾节点的发送混合认证属性与接收混合认证属性,实现一条或者多条主链路的RSVP协议报文通过该首末节点之间的保护链路进行传输时的跨设备RSVP认证。
Description
技术领域
本发明涉及通信领域,尤其涉及一种RSVP认证的方法和系统。
背景技术
RSVP(Resource Reservation Protocol,资源预留协议)认证技术(RFC2747)是为了防止伪造资源预留请求非法占用网络资源而实现的加密技术。两台设备之间进行RSVP认证时,需要在链路两端的接口上分别使能认证,且必须保持认证配置一致。RSVP认证是通过RSVP协议报文中携带认证对象来实现的,基本的RSVP协议报文格式如表1所示:
表1
其中,Message Type字段为协议消息字段,代表不同的RSVP协议消息类型(Path、Hello、ResvConf等多种);Object class字段为对象字段,代表不同的对象类型。RSVP协议报文可以通过携带不同的对象字段,来实现不同的功能,认证对象所对应的Object Class(对象编号)为4,C-Type为1。
RFC2747协议为端到端认证协议,只支持直连设备的认证,不支持跨设备的认证。协议对RSVP认证接口的认证属性做了如下规定:
使能RSVP认证的接口为认证接口,认证接口发送RSVP协议报文一律要封装认证对象,接收到含有认证对象的RSVP协议报文要进行认证处理,接收到不含有认证对象的RSVP协议报文则必须丢弃。以上规则对RSVP协议报文的各种消息类型生效,Challenge消息除外;没有使能RSVP认证的接口为非认证接口,非认证接口发送RSVP协议报文时不能带有认证对象,接收到有认证对象的报文要进行丢弃。
MPLS TE(Multiprotocol Label Switching Traffic Engineering,多协议标记交换流程工程)FRR(Fast Re Route,快速重路由)是MPLS TE中一套用于链路保护和节点保护的机制。当LSP主链路或者节点失败时,在发现失败的节点进行保护,这样可以允许流量继续从保护链路或者节点的隧道中通过以使得数据传输不至于发生中断。同时头节点就可以在数据传输不受影响的同时继续发起主路径的重建。
MPLS TE FRR的基本原理是用一条预先建立的LSP来保护一条或多条LSP的某段链路和节点。预先建立的LSP称为Bypass LSP(备份LSP),被保护的LSP称为Primary LSP(主LSP)。MPLS TE FRR的最终目的就是利用Bypass LSP隧道绕过失败的链路或者节点,从而达到保护主路径的功能。
MPLS TE FRR是基于RSVP TE的实现,遵循RFC4090。各种RSVP的相关协议都可以在MPLS TE FRR组网上应用,包括RSVP认证技术。
如图1所示的MPLS TE FRR组网中,配置两条TE隧道,其中Primary LSP经过路径:Router A---Router B---Router C---Router D,Bypass LSP经过路径:Router B---Router F---Router C,Router B为PLR节点,Router C为MP节点,Bypass LSP(非直连跨设备链路,后面简称为保护链路)对PLR和MP节点之间的链路(Primary LSP的一条中间链路,后面简称为主链路)进行保护。为了更好的保护PLR和MP间的主链路,图1所示的组网中还对PLR和MP节点之间的主链路接口(Eth1和Eth2)两端使能RSVP认证,达到对Primary LSP的RSVP协议报文进行RSVP认证的目的。根据RFC2747协议对RSVP认证接口的属性规定,Eth1和Eth2只能处理RSVP协议报文,不能处理非RSVP协议报文,且主链路两端接口的RSVP配置必须一致。为了保证MPLS FRR切换后的保证网络的安全性,理论上应该对Bypass LSP同样也配置RSVP认证,即在BypassLSP的所有链路的两端接口都配置RSVP认证,且必须保证接口两端配置一致。
需要说明的是:MPLS TE FRR组网中,一条保护链路可以同时保护多条主链路,这些主链路分别属于不同的Primary LSP,保护多条主链路的原理和保护一条的完全相同,只是数量上的累加,图1只对保护一条主链路的情况进行示例,本文后续也不对多条链路做重复说明。另外,Bypass LSP只要保证首尾节点和主链路相同,图1只对Bypass LSP中间只经过一个节点的情况进行示例,Bypass LSP的中间节点有多个的情况和只有一个的情况完全相同,本文后续不做重复说明。
RSVP协议报文在PLR节点和MP节点配置了认证的主链路上进行传输时,通过RSVP协议报文携带认证对象的方法进行认证,所携带的认证对象的格式如图2所示。其中,Key Identifier和发送接口的IP地址可以作为RSVP认证的安全团体(Security Association)的索引。安全团体存储了接口RSVP认证的各种属性,用来进行RSVP协议报文认证对象的填充和接收报文的认证。安全团体由以下字段构成:认证算法和认证模式、Authentication Key、KEY的生存时间(一般不用)、发送接口(发送端专用)、对端发送接口IP(接收端专用)、使用本安全团体发送的最近1个报文的序列号(发送端专用)以及使用本安全团体接收的最近N个报文的序列号(接收端专用)。序列号(Sequence Number)字段和安全团体相关,每个安全团体每发送一个报文,序列号加一。加密消息摘要(Keyed Message Digest)字段是根据安全团体配置的Authentication Key和配置的密码算法,对发送的消息进行计算得到。
RSVP认证的过程包括:接收到携带认证对象的RSVP协议报文的接口首先根据报文中的Key Identifier和发送接口的IP地址查找对应的安全团体;然后获取该安全团体中存储的Sequence Number,若RSVP协议报文中携带的Sequence Number大于安全团体中存储的Sequence Number,Sequence Number认证通过,认证通过后,本地刷新安全团体中存储的接收序列号,供下次认证时使用;接收到RSVP协议报文的接口还根据该安全团体存储的Authentication Key和密码计算方法对RSVP协议报文进行密码计算,获取Keyed Message Digest,使用该Keyed Message Digest与RSVP协议报文中携带的Keyed Message Digest比较,若两者相同,则Keyed Message Digest认证通过,RSVP认证成功。
图1所示的组网中发生MPLS TE FRR切换后,Primary LSP的RSVP协议报文通过Bypass LSP隧道进行跨设备透传,Bypass LSP隧道首尾节点会对报文进行处理,隧道中间节点不会对报文进行处理。由于RSVP认证协议是端到端的认证协议,不支持跨设备(节点)的认证,被保护的主链路和Bypass隧道的认证配置,以及Bypass隧道两端接口(非直连)的认证配置可能会不同,在大多数情况下,会导致切换后RSVP协议报文不能通过认证,最终导致MPLS TEFRR切换后,Primary LSP隧道DOWN,其承载的业务中断。具体分析如下:
情况1:Bypass LSP的内部链路部分使能认证:
例如,PLR Eth3到Router F的链路接口使能认证,Authentication Key为KEY1,算法为MD5;Router F到MP Eth4的链路接口没有使能认证。此时,MPLS TE FRR切换前,由于RSVP协议的端到端特性,所有隧道都可以正常工作。但是,MPLS TE FRR切换后,Primary LSP的RSVP协议报文从Bypass LSP透传,出PLR Eth3接口,发送的协议报文带认证对象,报文通过Bypass隧道透传后到达MP Eth4口时,仍然带认证对象,Eth4口没有使能认证,丢弃带认证对象的协议报文,一段时间后,Primary LSP因为无法刷新而DOWN掉,MPLSTE FRR切换失败。
情况2:Bypass LSP的内部链路全部使能认证,但是各链路认证码不同:
PLR Eth3到Router F使能认证,Authentication Key为KEY1,算法为MD5。Router F到MP Eth4口使能认证,Authentication Key为KEY2,算法为MD5。MPLS TE FRR切换前,由于RSVP协议的端到端特性,所有隧道都可以正常工作。但是,MPLS TE FRR切换后,Primary LSP的RSVP协议报文从PLR Eth3口发送,发送的协议报文带认证对象,使用KEY1进行报文封装,报文通过Bypass隧道透传,MP Eth4口接收报文,使用接口上配置的KEY2进行报文认证,由于两个接口的Authentication Key不同,因此协议报文被丢弃,一段时间后,Primary LSP因为无法刷新而DOWN掉,MPLS TE FRR切换失败。
情况3:Bypass LSP的内部链路全部使能认证,所有链路配置一致:
PLR Eth3到Router F使能认证,Authentication Key为KEY1,算法为MD5。Router F到MP Eth4口使能认证,Authentication Key为KEY1,算法为MD5。MPLS TE FRR切换后Primary LSP的RSVP协议报文从PLR Eth3口发送,发送的协议报文携带认证对象,使用KEY1进行报文封装,报文通过Bypass隧道透传,MP Eth4口接收报文,使用接口上配置的KEY1进行报文认证。同时,BypassLSP本身的RSVP协议报文,从Router F的接口发送到MP口的Eth4接口,认证KEY为KEY1。
此时,两个来自不同设备的RSVP协议报文的序列号不同,如果接收方没有对发送报文接口的源IP进行识别,就会导致MP Eth4接口对这两个来自不同设备的协议报文做了统一的序列号认证,MP Eth4会因为序列号混乱,将Bypass LSP和Primary LSP的协议报文全部丢弃,一段时间后,Primary LSP和Bypass LSP都会因为无法刷新而DOWN掉,MPLS TE FRR切换失败。
即使接收方对发送报文的接口IP进行识别,但是由于切换后的协议报文从不同的接口发出,序列号会重新计算,此时很难保证序列号发送和接收的一致性,特别是MPLS TE FRR回切后,又再次很难保证序列号发送和接收的一致性,两种情况下均可能会导致序列号认证失败。
综上所述,申请人认为现有技术的缺点在于:
必须禁止在Bypass LSP的链路上配置任何RSVP认证,才能保证MPLS TEFRR功能的正常运作,对MPLS TE FRR组网有较大的限制。
发明内容
本发明提供了一种RSVP认证的方法和系统,在MPLS TE FRR组网中,MPLS TE FRR切换后,Primary LSP的RSVP协议报文通过Bypass LSP隧道跨设备透传时,仍然使用主链路原来的RSVP认证属性进行报文发送和接收认证,从而实现主链路报文通过隧道进行RSVP认证的功能。
本发明提供了一种应用于包括头节点与尾节点的系统中,所述头节点与尾节点之间通过一条或者多条主链路连接,所述一条或者多条主链路配置有保护链路,该方法包括:
在所述头节点上配置所述保护链路的入接口的发送混合认证属性,绑定所述一条或者多条主链路入接口的发送RSVP认证属性;在所述尾节点上配置所述保护链路的出接口的接收混合认证属性,绑定所述一条或者多条主链路出接口的接收RSVP认证属性;
当所述一条或者多条主链路故障后,所述头节点通过绑定故障主链路RSVP认证属性的保护链路发送所述故障主链路的RSVP协议报文,根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段;
所述尾节点通过所述保护链路的出接口接收RSVP协议报文后,判断该报文是否携带认证对象,并在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证。
所述根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段包括:
在所述RSVP协议报文的Key Identifier字段填充所述故障主链路的入接口IP地址;
根据所述故障主链路的入接口对应的安全团体中存储的序列号填充所述RSVP协议报文的序列号字段;
根据所述安全团体中的认证密钥获取认证摘要信息,并填写到所述RSVP协议报文的认证摘要信息字段。
在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证包括:
根据所述RSVP协议报文中Key Identifier字段的取值查找绑定的所述一条或者多条主链路出接口的安全团体;
若所述Key Identifier字段的取值与其中一个安全团体存储的源IP地址相同,则使用所述安全团体对所述RSVP协议报文进行认证;
若没有找到与所述Key Identifier字段的取值相同的源IP地址,则使用所述保护链路的出接口自身的安全团体对所述RSVP协议报文进行认证。
若所述报文没有携带认证对象,判断所述保护链路的出接口和其绑定的所有主链路出接口中是否有一个未配置RSVP认证,是则接收报文,不进行认证处理,否则丢弃报文。
本发明提供一种资源预留协议RSVP认证的系统,包括头节点与尾节点,所述头节点与尾节点之间通过一条或者多条主链路连接,所述一条或者多条主链路配置有保护链路,
所述头节点,用于配置所述保护链路的入接口的发送混合认证属性,绑定所述一条或者多条主链路入接口的发送RSVP认证属性;当所述一条或者多条主链路故障后,通过绑定故障主链路RSVP认证属性的保护链路发送主链路的RSVP协议报文,根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段;
所述尾节点,用于配置所述保护链路的出接口的接收混合认证属性,绑定所述一条或者多条主链路出接口的接收RSVP认证属性;通过所述保护链路的出接口接收RSVP协议报文后,判断该报文是否携带认证对象,并在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证。
所述头节点还用于:
在所述RSVP协议报文的Key Identifier字段填充所述故障主链路的入接口IP地址;
根据所述故障主链路的入接口对应的安全团体中存储的序列号填充所述RSVP协议报文的序列号字段;
根据所述安全团体中的认证密钥获取认证摘要信息,并填写到所述RSVP协议报文的认证摘要信息字段。
所述尾节点还用于:
判断所述RSVP协议报文是否携带认证对象。
所述尾节点还用于:
根据所述RSVP协议报文中Key Identifier字段的取值查找绑定的所述一条或者多条主链路出接口的安全团体;
若所述Key Identifier字段的取值与其中一个安全团体存储的源IP地址相同,则使用所述安全团体对所述RSVP协议报文进行认证;
若没有找到与所述Key Identifier字段的取值相同的源IP地址,则使用所述保护链路的出接口自身的安全团体对所述RSVP协议报文进行认证。
所述尾节点还用于:
若所述报文没有携带认证对象,判断所述保护链路的出接口和其绑定的所有主链路出接口中是否有一个未配置RSVP认证,是则接收报文,不进行认证处理,否则丢弃报文。
与现有技术相比,本发明至少具有以下优点:
本发明中,配置首尾节点保护链路接口的发送混合认证属性与接收混合认证属性,从而无论保护链路上的内部各节点之间是否配置RSVP认证,主链路RSVP协议报文都能够通过Bypass LSP隧道进行RSVP认证。
附图说明
图1是现有技术中MPLS TE FRR组网方式示意图;
图2是现有技术中RSVP协议报文的认证对象的格式示意图;
图3是本发明提供的RSVP认证的方法的流程示意图;
图4是本发明应用场景提供的RSVP认证的方法的流程示意图;
图5是图4所示场景中现有技术提供的携带认证对象的RSVP协议报文的发送过程示意图;
图6是本发明提供的RSVP认证的系统结构示意图(以一条保护链路和一条主链路为例)。
具体实施方式
本发明的核心思想是:定义发送混合认证属性与接收混合认证属性,并在MPLS TE FRR组网中配置其保护链路的发送混合认证属性与接收混合认证属性,以实现在保护链路上携带认证对象的主链路RSVP协议报文的发送和接收认证。
本发明提供一种资源预留协议RSVP认证的方法,应用于包括头节点与尾节点的系统中,所述头节点与尾节点之间通过一条或者多条主链路连接,所述一条或者多条主链路配置有保护链路,如图3所示,该方法包括以下步骤:
步骤301,在所述头节点上配置所述保护链路的入接口的发送混合认证属性,绑定所述一条或者多条主链路入接口的发送RSVP认证属性;在所述尾节点上配置所述保护链路的出接口的接收混合认证属性,绑定所述一条或者多条主链路出接口的接收RSVP认证属性;
步骤302,当所述一条或者多条主链路故障后,所述头节点通过绑定故障主链路RSVP认证属性的保护链路发送RSVP协议报文,根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段;
步骤303,所述尾节点通过所述保护链路的出接口接收RSVP协议报文后,判断该报文是否携带认证对象,并在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证。
下面结合具体应用场景详细介绍本发明提供的RSVP认证的方法。
按照RFC2747协议规定,接口分为认证接口和非认证接口两种,一个接口发送和接收报文必须使用相同的认证属性,认证属性的应用是没有方向的。一个接口不能同时处理认证和非认证报文。一个接口如果配置了RSVP认证,则从这个接口发送报文必须使用本接口的认证配置进行报文的认证对象的封装。一个接口接收到认证报文,也必须使用本接口的认证配置进行报文认证。
本发明应用场景中,对接口认证属性进行如下扩展:
1)、增加接口认证属性的方向
将接口认证属性区分方向,分为接口认证发送属性和接口认证接收属性,接口发送认证报文和接收认证报文的行为可以分开定义。
2)增加接口认证行为属性
扩展接口的认证行为属性,一个接口可以有条件的选择是否认证或者使用何种手段进行认证。
其中,发送混合认证属性的定义如下:
一个接口绑定其他接口的认证属性(发送方向),该接口则具有发送混合认证属性,具有发送混合认证属性的接口称为发送混合认证接口。保护链路入接口可以配置发送混合认证,绑定其保护的Primary LSP在PLR节点的主链路入接口的发送认证属性。需要说明的是一个保护链路入接口可以绑定一个或者多个其保护的主链路入接口的发送认证属性。
发送混合认证接口可以按照一定规则选取是按照绑定的接口的认证配置还是按照接口本身的认证配置填充认证对象,例如根据报文中携带的链路标识。发送混合认证接口按照绑定的接口的RSVP配置填充认证对象时,序列号和加密消息摘要在绑定接口的安全团体中进行计算,Key Identifier字段填充绑定接口的接口IP信息,如果绑定接口未配置认证,则发送的RSVP协议报文不携带认证对象。发送混合认证接口也可以按照接口本身的配置填充认证对象,即按照接口本身的安全团体填充认证对象,按照正常规则填充KeyIdentifier字段(一般填0),序列号和加密消息摘要在本接口的安全团体中进行计算。如果接口本身未配置认证,则发送的RSVP协议报文不携带认证对象。
接收混合认证属性的定义如下:
一个接口绑定其他接口的认证属性(接收方向),该接口则具有接收混合认证属性,具有接收混合认证属性的接口称为接收混合认证接口。MP节点的保护链路出接口可以配置接收混合认证,绑定主链路在MP节点的出接口的接收认证属性。需要说明的是:一个接口可以绑定一个或者多个接口的接收认证属性。
该接口进行RSVP协议报文接收处理时,如果收到的是携带认证对象的报文,通过一定规则(主要是Key Identifier和发送接口源IP地址)按照本接口的安全团体或者按照绑定接口的安全团体进行认证。如果收到非认证报文,只要本接口和绑定接口其中之一是未配置认证的,则可以接收并且进行后续协议处理,如果所有接口都配置了认证,报文才会丢弃。
下面结合图1所示的MPLS TE FRR组网对本发明提供的RSVP认证的方法进行进一步介绍,具体的,如图4所示,该方法包括以下步骤:
步骤401,配置保护链路入接口的发送混合认证属性。
安全团体涉及到报文发送的内容包括:
认证算法和认证模式(简称为AA)
Authentication Key(简称为Key)
发送接口(简称为SendIntf)
发送的最近1个报文的序列号(简称为Seq)。
具体的,在图1所示的MPLS TE FRR组网中,Bypass LSP隧道(保护链路)在首节点Router B的接口为Eth3,被保护的Primary LSP在Router B上的主链路的接口为Eth1。Eth1配置的Authentication Key为KEY1,Eth3配置的Authentication Key为KEY2。Primary LSP的PATH等RSVP协议报文从Eth1口发送,使用Eth1口的KEY1产生加密消息摘要,产生相关序列号,KeyIdentifier字段为0,具体发送情况如图5所示。Bypass LSP的RSVP协议报文从Eth3口发送,使用Eth3口的KEY2产生加密消息摘要,产生相关序列号,Key Identifier字段为0。
配置保护链路的入接口的发送混合认证属性的方法是将Eth3绑定Eth1的RSVP发送认证属性。
配置发送混合认证属性后,在未发生MPLS TE FRR切换之前,协议报文的发送情况没有任何改变。
MPLS TE FRR切换后,从Eth3口发送Primary LSP链路的RSVP协议报文时,在现有技术下,原本是使用Eth3口的RSVP认证配置(安全团体)进行报文封装,在本发明中,改为仍然使用被绑定的Primary LSP的主链路的入接口-Eth1口的RSVP认证配置(安全团体)进行报文封装,即使用KEY1产生加密消息摘要,使用Eth1口的安全团体产生相关序列号等,报文中的KeyIdentifier字段设置为Eth1接口的IP。
需要说明的是,在本发明中,Eth3接口绑定其他接口(如Eth1)的发送认证属性后,Eth3发送Bypass LSP隧道的RSVP协议报文的方式不受影响。
步骤402,配置Bypass LSP隧道在MP节点的接口的接收混合认证属性。
Bypass LSP隧道在MP节点的接口,配置接收混合认证属性,即手工绑定其他被保护链路的相关接口的认证属性,绑定其他接口的接口称为接收认证备用接口。被绑定的其他接口称为接收认证关联接口。
接收认证关联接口必须在其接口安全团体中保存对端发送接口的IP。
接口的安全团体涉及到报文接收的内容为(只包括关键内容):
认证算法和认证模式(简称为AA)
Authentication Key(简称为Key)
发送接口IP(简称为SendIP)
接收到的最近1个报文的序列号(简称为Seq)
具体的,在图1所示的MPLS TE FRR组网中,Bypass LSP隧道在尾节点Router C的接口为Eth4,被保护的Primary LSP的主链路尾节点Router C的接口为Eth2。Eth2配置的Authentication Key为KEY1,Eth4配置的AuthenticationKey为KEY3。配置Eth4接口的接收混合认证属性,将Eth4绑定Eth2的接收RSVP认证属性,被绑定后,Eth2接口必须在本接口安全团体中记录对端接口的IP地址(即Eth1的IP地址)。
步骤403,RouterB需要通过Bypass LSP隧道的Eth3接口发送Primary LSP的RSVP协议报文时,判断Eth3口是否配置RSVP认证,如果否,执行步骤404;如果是,执行步骤405。
步骤404,RouterB通过Eth3直接发送不携带认证对象的RSVP协议报文。
步骤405,RouterB查找Eth3绑定的Eth1的RSVP认证属性(安全团体)填充携带认证对象的RSVP协议报文,向RouterC发送该RSVP协议报文。
具体的,MPLS TE FRR切换前,被保护的Primary LSP链路通过Eth1发送RSVP协议报文时,使用本身的物理出接口(Eth1)的安全团体填充认证对象,其中Key Identifier填写为0。
发生MPLS TE FRR切换后,RouterB查找Eth3绑定的Eth1接口的RSVP认证属性,使用Eth1的安全团体配置进行Primary LSP的RSVP协议报文的认证对象填充,Key Identifier填写为Eth1的IP地址。
步骤406,RouterC接收RouterB通过保护链路发送的报文,判断报文是否为携带认证对象的RSVP协议报文,如果是,执行步骤407;否则,执行步骤408。
步骤407,RouterC根据Eth4配置的接收混合认证属性,查找与Eth3对应的RSVP认证属性进行报文认证。
具体的,如果报文携带的Key Identifier==0,则报文是正常发送的报文,按照本接口接收安全团体对报文进行密码和序列号验证;如果Key Identifier!=0,该报文可能为通过隧道传输的跨设备的报文,则使用报文中的KeyIdentifier作为发送接口的IP地址,逐一查找各绑定接口的安全团体表项,如果某个绑定接口的安全团体表项中存储的SendIP==Key Identifier,则根据该绑定接口的安全团体中的密码和认证序列号对收到的报文进行校验。如果KeyIdentifier无法查找到,则仍然按照本接口接收安全团体配置对报文进行密码和序列号验证。举例说明:图1中所示的Eth4绑定Eth3的接收RSVP认证属性,如果收到的RSVP协议报文的认证对象的Key Identifier=Eth1 IP,则Eth4可以据此查找到Eth3的安全团体,根据Eth3的安全团体对RSVP协议报文进行认证,具体动作如下:使用Key1产生加密消息摘要,并与RSVP协议报文中携带的加密消息摘要进行比较,两者相同时认证成功;查找Eth3对应的安全团体中存储的序列号与RSVP协议报文中携带的序列号进行比较,当RSVP协议报文中携带的序列号较大时认证成功。
步骤408,RouterC获取Eth4和其所有绑定接口的RSVP认证属性,在本例中只绑定了Eth3一个,当Eth3和Eth4都配置有RSVP认证时,丢弃不携带认证对象的RSVP协议报文,否则,接收不携带认证对象的RSVP协议报文,不进行报文认证,直接进行后续处理。
通过采用本发明提供的方法,在MPLS TE FRR组网中获取主链路的保护链路的首末节点的入接口和出接口,配置其发送混合认证属性与接收混合认证属性,从而实现MPLS TE FRR组网中主链路RSVP协议报文通过保护链路进行跨设备的RSVP认证。
本发明提供一种资源预留协议RSVP认证的系统,包括头节点与尾节点,所述头节点与尾节点之间通过一条或者多条主链路连接,所述一条或者多条主链路配置有保护链路,如图6所示,
所述头节点,用于配置所述保护链路的入接口的发送混合认证属性,绑定所述一条或者多条主链路入接口的发送RSVP认证属性;当所述一条或者多条主链路故障后,通过绑定故障主链路RSVP认证属性的保护链路发送所述故障主链路的RSVP协议报文,根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段;
所述尾节点,用于配置所述保护链路的出接口的接收混合认证属性,绑定所述一条或者多条主链路出接口的接收RSVP认证属性;通过所述保护链路的出接口接收RSVP协议报文后,判断该报文是否携带认证对象,并在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证。
具体的,所述头节点还用于:
在所述RSVP协议报文的Key Identifier字段填充所述故障主链路的入接口IP地址;
根据所述故障主链路的入接口对应的安全团体中存储的序列号填充所述RSVP协议报文的序列号字段;
根据所述安全团体中的认证密钥获取认证摘要信息,并填写到所述RSVP协议报文的认证摘要信息字段。
所述尾节点还用于:
判断接收到的RSVP协议报文是否携带认证对象。
如果报文携带认证对象,根据所述RSVP协议报文中Key Identifier字段的取值查找绑定的所述一条或者多条主链路出接口的安全团体;
若所述Key Identifier字段的取值与其中一个安全团体存储的源IP地址相同,则使用所述安全团体对所述RSVP协议报文进行认证;
若没有找到与所述Key Identifier字段的取值相同的源IP地址,则使用所述保护链路的出接口自身的安全团体对所述RSVP协议报文进行认证,或者丢弃所述RSVP协议报文。
若所述报文没有携带认证对象,判断所述尾节点的出接口和其所有绑定的接口中是否存在出接口未配置RSVP认证,是则接收报文进行后续处理,否则丢弃报文。
通过采用本发明提供的系统,在MPLS TE FRR组网中获取主链路的保护链路的首末节点的入出接口,配置其发送混合认证属性与接收混合认证属性,从而实现MPLS TE FRR组网中主链路RSVP协议报文通过保护链路进行跨设备的RSVP认证。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (9)
1.一种资源预留协议RSVP认证的方法,应用于包括头节点与尾节点的系统中,所述头节点与尾节点之间通过一条或者多条主链路连接,所述一条或者多条主链路配置有保护链路,其特征在于,该方法包括:
在所述头节点上配置所述保护链路的入接口的发送混合认证属性,绑定所述一条或者多条主链路入接口的发送RSVP认证属性;在所述尾节点上配置所述保护链路的出接口的接收混合认证属性,绑定所述一条或者多条主链路出接口的接收RSVP认证属性;
当所述一条或者多条主链路故障后,所述头节点通过绑定故障主链路RSVP认证属性的保护链路发送所述故障主链路的RSVP协议报文,根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段;
所述尾节点通过所述保护链路的出接口接收RSVP协议报文后,判断该报文是否携带认证对象,并在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证。
2.如权利要求1所述的方法,其特征在于,所述根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段包括:
在所述RSVP协议报文的Key Identifier字段填充所述故障主链路的入接口IP地址;
根据所述故障主链路的入接口对应的安全团体中存储的序列号填充所述RSVP协议报文的序列号字段;
根据所述安全团体中的认证密钥获取认证摘要信息,并填写到所述RSVP协议报文的认证摘要信息字段。
3.如权利要求1所述的方法,其特征在于,在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证包括:
根据所述RSVP协议报文中Key Identifier字段的取值查找绑定的所述一条或者多条主链路出接口的安全团体;
若所述Key Identifier字段的取值与其中一个安全团体存储的源IP地址相同,则使用所述安全团体对所述RSVP协议报文进行认证;
若没有找到与所述Key Identifier字段的取值相同的源IP地址,则使用所述保护链路的出接口自身的安全团体对所述RSVP协议报文进行认证,或者丢弃所述RSVP协议报文。
4.如权利要求1所述的方法,其特征在于,所述判断该报文是否携带认证对象之后还包括:
若所述报文没有携带认证对象,判断所述保护链路的出接口和其绑定的所有主链路出接口中是否存在出接口未配置RSVP认证,如果是则接收报文进行后续处理,否则丢弃报文。
5.一种资源预留协议RSVP认证的系统,包括头节点与尾节点,所述头节点与尾节点之间通过一条或者多条主链路连接,所述一条或者多条主链路配置有保护链路,其特征在于,
所述头节点,用于配置所述保护链路的入接口的发送混合认证属性,绑定所述一条或者多条主链路入接口的发送RSVP认证属性;当所述一条或者多条主链路故障后,通过绑定故障主链路RSVP认证属性的保护链路发送所述故障主链路的RSVP协议报文,根据所述故障主链路的RSVP认证属性在所述RSVP协议报文中填充认证对象字段;
所述尾节点,用于配置所述保护链路的出接口的接收混合认证属性,绑定所述一条或者多条主链路出接口的接收RSVP认证属性;通过所述保护链路的出接口接收RSVP协议报文后,判断该报文是否携带认证对象,并在所述RSVP协议报文中携带认证对象时根据绑定的所述一条或者多条主链路出接口的接收RSVP认证属性对所述RSVP协议报文进行认证。
6.如权利要求5所述的系统,其特征在于,所述头节点还用于:
在所述RSVP协议报文的Key Identifier字段填充所述故障主链路的入接口IP地址;
使用所述故障主链路的入接口对应的安全团体中存储的序列号填充所述RSVP协议报文的序列号字段;
根据所述安全团体中的认证密钥获取认证摘要信息,并填写到所述RSVP协议报文的认证摘要信息字段。
7.如权利要求5所述的系统,其特征在于,所述尾节点还用于:
判断接收到的RSVP协议报文是否携带认证对象。
8.如权利要求5所述的系统,其特征在于,所述尾节点还用于:
若所述RSVP报文携带认证对象,根据所述RSVP协议报文中KeyIdentifier字段的取值查找绑定的所述一条或者多条主链路出接口的安全团体;
若所述Key Identifier字段的取值与其中一个安全团体存储的源IP地址相同,则使用所述安全团体对所述RSVP协议报文进行认证;
若没有找到与所述Key Identifier字段的取值相同的源IP地址,则使用所述保护链路的出接口自身的安全团体对所述RSVP协议报文进行认证,或者丢弃所述RSVP协议报文。
9.如权利要求5所述的系统,其特征在于,所述尾节点还用于:
若所述报文没有携带认证对象,判断所述尾节点的出接口和其所有绑定的接口中是否存在出接口未配置RSVP认证,是则接收报文进行后续处理,否则丢弃报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101485247A CN101820425B (zh) | 2010-04-16 | 2010-04-16 | Rsvp认证的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101485247A CN101820425B (zh) | 2010-04-16 | 2010-04-16 | Rsvp认证的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101820425A true CN101820425A (zh) | 2010-09-01 |
| CN101820425B CN101820425B (zh) | 2013-07-03 |
Family
ID=42655373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101485247A Active CN101820425B (zh) | 2010-04-16 | 2010-04-16 | Rsvp认证的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101820425B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223372A (zh) * | 2011-06-21 | 2011-10-19 | 中兴通讯股份有限公司 | Rsvp认证方法及装置 |
| CN103023821A (zh) * | 2012-12-04 | 2013-04-03 | 杭州华三通信技术有限公司 | 一种rsvp中认证关系的维护方法和设备 |
| CN104468208A (zh) * | 2014-11-28 | 2015-03-25 | 杭州华三通信技术有限公司 | 通信故障的检测恢复方法及装置 |
| CN106027571A (zh) * | 2016-07-21 | 2016-10-12 | 曹蕊 | 一种应用于集群中的网络安全方法及网络安全服务器 |
| CN108243099A (zh) * | 2016-12-24 | 2018-07-03 | 华为技术有限公司 | 一种路径选择的方法、装置和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921456A (zh) * | 2006-09-13 | 2007-02-28 | 华为技术有限公司 | 标签交换路径保护方法及其系统 |
| CN101369958A (zh) * | 2007-08-15 | 2009-02-18 | 华为技术有限公司 | 一种快速重路由方法及标签交换路由器 |
| CN101640888A (zh) * | 2009-09-07 | 2010-02-03 | 华为技术有限公司 | 快速重路由资源预留认证方法、装置及系统 |
-
2010
- 2010-04-16 CN CN2010101485247A patent/CN101820425B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921456A (zh) * | 2006-09-13 | 2007-02-28 | 华为技术有限公司 | 标签交换路径保护方法及其系统 |
| CN101369958A (zh) * | 2007-08-15 | 2009-02-18 | 华为技术有限公司 | 一种快速重路由方法及标签交换路由器 |
| CN101640888A (zh) * | 2009-09-07 | 2010-02-03 | 华为技术有限公司 | 快速重路由资源预留认证方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杨雪娇等: "一种基于RSVP-TE的MPLS网络FRR机制", 《无线电工程》, vol. 39, no. 6, 31 December 2009 (2009-12-31) * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223372A (zh) * | 2011-06-21 | 2011-10-19 | 中兴通讯股份有限公司 | Rsvp认证方法及装置 |
| WO2012174901A1 (zh) * | 2011-06-21 | 2012-12-27 | 中兴通讯股份有限公司 | Rsvp认证方法及装置 |
| CN103023821A (zh) * | 2012-12-04 | 2013-04-03 | 杭州华三通信技术有限公司 | 一种rsvp中认证关系的维护方法和设备 |
| CN103023821B (zh) * | 2012-12-04 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种rsvp中认证关系的维护方法和设备 |
| CN104468208A (zh) * | 2014-11-28 | 2015-03-25 | 杭州华三通信技术有限公司 | 通信故障的检测恢复方法及装置 |
| CN106027571A (zh) * | 2016-07-21 | 2016-10-12 | 曹蕊 | 一种应用于集群中的网络安全方法及网络安全服务器 |
| CN106027571B (zh) * | 2016-07-21 | 2019-07-02 | 西南联合产权交易所有限责任公司 | 一种应用于集群中的网络安全方法及网络安全服务器 |
| CN108243099A (zh) * | 2016-12-24 | 2018-07-03 | 华为技术有限公司 | 一种路径选择的方法、装置和系统 |
| CN108243099B (zh) * | 2016-12-24 | 2021-03-23 | 华为技术有限公司 | 一种路径选择的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101820425B (zh) | 2013-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11456956B2 (en) | Systems and methods for dynamic connection paths for devices connected to computer networks | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| KR101097548B1 (ko) | 디지털 오브젝트 타이틀 인증 | |
| CN104601550B (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
| CN101820425B (zh) | Rsvp认证的方法和系统 | |
| US11418434B2 (en) | Securing MPLS network traffic | |
| CN101599968B (zh) | 可靠匿名传输方法及系统 | |
| US11677614B2 (en) | Method and apparatus for protecting stateful service function paths | |
| CN104038505B (zh) | 一种IPSec防重放的方法和装置 | |
| US20190166042A1 (en) | Method for data transmitting, centralized controller, forwarding plane device and communication apparatus | |
| CN110690962B (zh) | 一种服务节点的应用方法与装置 | |
| CN101572644B (zh) | 一种数据封装方法和设备 | |
| CN113141365B (zh) | 分布式微服务数据传输的方法、装置、系统和电子设备 | |
| CN106506354A (zh) | 一种报文传输方法和装置 | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| US9319222B2 (en) | Two factor authentication of ICR transport and payload for interchassis redundancy | |
| CN114142995B (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
| CN110290151B (zh) | 报文发送方法、装置及可读取存储介质 | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| CN101640888A (zh) | 快速重路由资源预留认证方法、装置及系统 | |
| CN102223372A (zh) | Rsvp认证方法及装置 | |
| CN102833174B (zh) | 隧道转发方法、装置及网络设备 | |
| CN109462591A (zh) | 一种数据传输方法、接收方法、装置及系统 | |
| CN114268499B (zh) | 数据传输方法、装置、系统、设备和存储介质 | |
| CN108243099B (zh) | 一种路径选择的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |