CN102857521A - 设置oam安全认证的方法及装置 - Google Patents
设置oam安全认证的方法及装置 Download PDFInfo
- Publication number
- CN102857521A CN102857521A CN2012103843842A CN201210384384A CN102857521A CN 102857521 A CN102857521 A CN 102857521A CN 2012103843842 A CN2012103843842 A CN 2012103843842A CN 201210384384 A CN201210384384 A CN 201210384384A CN 102857521 A CN102857521 A CN 102857521A
- Authority
- CN
- China
- Prior art keywords
- value
- oam
- field
- message
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示了一种设置OAM安全认证的方法及装置,其包括预先在ME两端的网络设备上设置密钥,在一端的网络设备发送OAM报文时,在发送的OAM报文中增加一个身份验证TLV字段,所述字段包括发送端MD5值,该发送端MD5值由sequenceID字段和所述密钥逻辑运算组成;ME另一端的网络设备在收到所述OAM报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到接收端MD5值;并将两MD5值相比较,相同的OAM报文则通过认证,不同则将报文丢弃,如此,保证了OAM的通信安全,使得运行CFM协议的设备不易受到来自互联网的恶意攻击。
Description
技术领域
本发明涉及计算机通信技术领域,尤其涉及计算机网络通信技术的CFM协议中设置OAM安全认证的方法及装置。
背景技术
根据运营商网络运营的实际需要,通常将网络的管理工作划分为3大类:操作(Operation)、管理(Administration)、维护(Maintenance),简称OAM(Operation Administration and Maintenance)。操作主要完成日常网络和业务进行的分析、预测、规划和配置工作;维护主要是对网络及其业务的测试和故障管理等进行的日常操作活动。
基于Y.1731的CFM(Continuity Fault Management,连接故障管理),目前已经被广泛应用于运营商网络。按照CFM的功能区分,可以分为两类:一类为用于差错管理的OAM功能,用来检测、验证、定位和通告网络中不同的故障情况。包括连续性检查、环回、链路跟踪、告警指示、远端故障指示、锁定信号、测试信号、自动保护转换和维护通信通道。另一类为用于性能监测的OAM功能,可以用来测量不同的性能参数,目前主要是针对点对点测量。包括帧丢失的测量、帧时延的测量和通量测量。
OAM PDU(Protocol Data Unit,协议数据单元)类型的信息单元和格式,满足了上述两类OAM功能的要求,而OAM PDU存在一种共同的格式,如下:
上述格式中,OpCode是一个字节的字段,其包含了一个表示OAM PDU类型的OpCode,OpCode用于识别OAM PDU中其余部分的内容。这一信息 字段的数值如下表所示:
然而Y.1731协议本身并没有考虑到安全性。且在真实的运营商网络中,缺乏安全性的协议很容易成为被网络攻击的对象。考虑到OAM在整个运营商网络中的重要地位,急需解决如何识别收到的OAM报文是否真实可靠这个问题。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种设置OAM安全认证的方法,其在ME(Maintenance Entity,维护实体)的两端分别对报文进行安全认证,尽可能地屏蔽恶意报文的冲击,以确保CFM协议的通信安全。
为实现上述目的,本发明提出如下技术方案:一种设置OAM安全认证的方法,包括:
预先在ME两端的网络设备上分别设置密钥,在一端的网络设备发送的OAM报文中设置身份认证TLV字段,所述身份认证TLV字段包括sequenceID字段和发送端MD5值,所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成;
ME另一端的网络设备在接收到所述OAM报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到接收端MD5值;以及
比较所述发送端MD5值和接收端MD5值,并将两者相同的OAM报文通过OAM认证。
在同一维护实体组中的所有合法设备上,所述密钥相同。
所述身份认证TLV字段的长度为sequenceID和MD5值的长度之和。
所述密钥不在网络上传输。
所述发送端MD5值和接收端MD5值均由sequenceID字段和对应设备的密钥逻辑与的结果作MD5运算产生。
对发送端MD5值不同于接收端MD5值的报文不通过认证,并将该报文丢弃。
所述身份认证TLV的字段位置位于紧邻终了TLV字段之前。
本发明还提出一种设置OAM安全认证的装置,其包括:
密钥设置模块,用于预先在ME两端的网络设备上分别设置密钥;
OAM报文发送模块,用于在报文发送端的网络设备发送的OAM报文中设置身份认证TLV字段,所述身份认证TLV字段包括sequenceID字段和发送端MD5值,所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成;
OAM报文接收模块,用于ME另一端的网络设备在接收到所述OAM报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到接收端MD5值;以及
MD5值比较模块,用于比较所述发送端MD5值和接收端MD5值,并将两者相同的OAM报文通过OAM认证。
在同一维护实体组中的所有合法设备上,所述密钥相同。
所述身份认证TLV的字段位置位于紧邻终了TLV字段之前。
与现有技术相比,本发明通过在OAM报文中引入身份认证机制,保证了OAM的通信安全,使得运行CFM协议的设备不易受到来自互联网的恶意攻击影响,进而提高了运营商网络的稳定性。
附图说明
图1是本发明中设置OAM安全认证的方法的流程图;
图2是本发明中的OAM PDU报文的组成示意图;
图3是本发明中设置OAM安全认证的装置的框架图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
如图1所示,本发明提出的设置OAM安全认证的方法,其预先为ME两端的网络设备定义一个密钥,此密钥不会在网络中传输,而是保存在设备内部。在ME一端的网络设备发送的OAM报文中设置一个身份认证TLV(Type Length Value,类型长度数值)的字段,该身份认证TLV字段包括一个MD5(Message-Digest Algorithm 5,信息摘要算法第五版)值以及sequenceID,该MD5值为发送端的MD5值,其由OAM报文中的sequenceID和密钥进行“逻辑与”运算而得出的结果。
ME另一端的网络设备在接收到OAM报文时,将OAM报文中的sequenceID与本地密钥进行“逻辑与”运算得到接收端MD5值,通过将此接收端MD5值与收到的OAM报文中的发送端MD5值进行比较,将两者相等的OAM报文认证通过,否则认证失败,丢弃该报文。
所述身份认证TLV的报文格式如表一所示:
表一身份认证TLV报文格式
该身份认证TLV字段格式符合Y.1731对于TLV的一般格式要求,其中TLV类型编号需要由IEEE802.1或是ITU-T同一分配,本发明中优选63。TLV长度值为固定为20(0x14),为sequenceID和MD5值的长度之和。sequenceID是本地产生的32bit序列值,可以是一个递增的序号,初始值是一个随机数,当递增到”FF FF FF FF”之后,重新从“00 00 00 00 00”开始计数,也可以随机产生。虽然在有的OAM报文(例如CCM和LBM)中,已经包含了sequenceID,但是这个sequenceID和身份认证TLV字段中的sequenceID没有任何关系,而且并不要求ME两端的sequenceID同步。
如图2所示为本发明的OAM报文的组成,该OAM报文除了本身的OAM报文内容外,还包括了身份认证TLV字段的信息,该身份认证TLV字段包括TLV类型,TLV长度以及身份认证字段MD5值,将身份认证TLV字段添加到OAM PDU后形成的报文格式如表二所示:
表二添加身份认证TLV后的OAM PDU报文格式
在OAM报文中,身份认证TLV的报文位置必须在终了TLV之前,且不能有其他的TLV夹在他们中间。
更进一步地,设置安全认证时,同一MEG(Maintenance Entity Group,维护实体组)的所有合法同步设备使用同一个密钥,该密钥在部署网络时事先给定,且永不在网络上传输。
所述MEG中包括能满足不同条件的不同ME,具体为存在于同一个管理域的边界之内ME,具有同样的MEG的ME以及属于同一个点到点的以太网连接或者多点的以太网连通性的ME。对于一个点到点的ETH(以太网MAC层网络)连接,一个MEG仅包含单个ME。对于一个有n个端点的多点的ETH 连通性,一个MEG包含n*(n-1)/2个ME。
如图3所示,本发明所揭示的OAM安全认证的装置,其包括密钥设置模块,OAM报文发送模块,OAM报文接收模块,以及MD5值比较模块。所述密钥设置模块用于预先在ME两端的网络设备上分别设置密钥,所述OAM报文发送模块用于在一端的网络设备发送的OAM报文中设置身份认证TLV字段,所述身份认证TLV字段包括sequenceID字段和发送端MD5值,所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成。
所述OAM报文接收模块用于ME另一端的网络设备在接收到所述OAM报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到接收端MD5值;
所述MD5值比较模块用于比较所述发送端MD5值和接收端MD5值,并将两者相同的OAM报文通过OAM认证。
本发明在实际使用中,由于在OAM报文中引入了身份认证TLV,使得原来的OAM报文的长度得以增加,在应用本发明时,要保证包含认证TLV的OAM报文长度不能超过链路上的最小MTU(MaximumTransmission Unit,最大传输单元)。同时,由于目前大多数网络设备的MD5运算是基于软件的,而OAM中CCM的最短间隔很短,因此,本发明不推荐对CCM报文添加认证TLV字段。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种设置OAM安全认证的方法,其特征在于包括:
预先在ME两端的网络设备上分别设置密钥,在一端的网络设备发送的OAM报文中设置身份认证TLV字段,所述身份认证TLV字段包括sequenceID字段和发送端MD5值,所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成;
ME另一端的网络设备在接收到所述OAM报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到接收端MD5值;以及
比较所述发送端MD5值和接收端MD5值,并将两者相同的OAM报文通过OAM认证。
2.根据权利要求1所述的方法,其特征在于:在同一维护实体组中的所有合法设备上,所述密钥相同。
3.根据权利要求1所述的方法,其特征在于:所述身份认证TLV字段的长度为sequenceID和MD5值的长度之和。
4.根据权利要求1所述的方法,其特征在于:所述密钥不在网络上传输。
5.根据权利要求1所述的方法,其特征在于:所述发送端MD5值和接收端MD5值均由sequenceID字段和对应设备的密钥逻辑与的结果作MD5运算产生。
6.根据权利要求1所述的方法,其特征在于:对发送端MD5值不同于接收端MD5值的报文不通过认证,并将该报文丢弃。
7.根据权利要求1所述的方法,其特征在于:所述身份认证TLV的字段位置位于紧邻终了TLV字段之前。
8.一种设置OAM安全认证的装置,其特征在于包括:
密钥设置模块,用于预先在ME两端的网络设备上分别设置密钥;
OAM报文发送模块,用于在报文发送端的网络设备发送的OAM报文中设置身份认证TLV字段,所述身份认证TLV字段包括sequenceID字段和发送端MD5值,所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成;
OAM报文接收模块,用于ME另一端的网络设备在接收到所述OAM报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到接收端MD5值;以及
MD5值比较模块,用于比较所述发送端MD5值和接收端MD5值,并将两者相同的OAM报文通过OAM认证。
9.根据权利要求8所述的方法,其特征在于:在同一维护实体组中的所有合法设备上,所述密钥相同。
10.根据权利要求8所述的方法,其特征在于:所述身份认证TLV的字段位置位于紧邻终了TLV字段之前。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103843842A CN102857521A (zh) | 2012-10-12 | 2012-10-12 | 设置oam安全认证的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103843842A CN102857521A (zh) | 2012-10-12 | 2012-10-12 | 设置oam安全认证的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102857521A true CN102857521A (zh) | 2013-01-02 |
Family
ID=47403714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103843842A Pending CN102857521A (zh) | 2012-10-12 | 2012-10-12 | 设置oam安全认证的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102857521A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684792A (zh) * | 2013-12-23 | 2014-03-26 | 加弘科技咨询(上海)有限公司 | 一种oam的安全认证方法以及oam报文发送/接收装置 |
| US9537846B2 (en) | 2014-04-15 | 2017-01-03 | Ciena Corporation | Integrity check optimization systems and methods in live connectivity frames |
| CN106487746A (zh) * | 2015-08-26 | 2017-03-08 | 中兴通讯股份有限公司 | 一种bmp报文认证的方法及装置 |
| CN107086959A (zh) * | 2016-02-16 | 2017-08-22 | 华为技术有限公司 | 操作管理维护报文认证的方法及装置 |
| WO2018095256A1 (en) * | 2016-11-26 | 2018-05-31 | Huawei Technologies Co., Ltd. | System, method and devices for mka negotiation between the devices |
| CN108259442A (zh) * | 2016-12-29 | 2018-07-06 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
| CN109474446A (zh) * | 2017-09-08 | 2019-03-15 | 中兴通讯股份有限公司 | 一种协商同步的方法及装置 |
| CN115242736A (zh) * | 2022-07-15 | 2022-10-25 | 杭州云合智网技术有限公司 | 轻载荷报文的传输方法 |
| CN117424752A (zh) * | 2023-12-07 | 2024-01-19 | 佛山市顺德弘金电器科技有限公司 | 一种通信加密解密方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854256A (zh) * | 2010-05-28 | 2010-10-06 | 中兴通讯股份有限公司 | 一种锁定指示的实现方法及系统 |
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
-
2012
- 2012-10-12 CN CN2012103843842A patent/CN102857521A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
| CN101854256A (zh) * | 2010-05-28 | 2010-10-06 | 中兴通讯股份有限公司 | 一种锁定指示的实现方法及系统 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684792A (zh) * | 2013-12-23 | 2014-03-26 | 加弘科技咨询(上海)有限公司 | 一种oam的安全认证方法以及oam报文发送/接收装置 |
| CN103684792B (zh) * | 2013-12-23 | 2019-05-14 | 加弘科技咨询(上海)有限公司 | 一种oam的安全认证方法以及oam报文发送/接收装置 |
| US9537846B2 (en) | 2014-04-15 | 2017-01-03 | Ciena Corporation | Integrity check optimization systems and methods in live connectivity frames |
| CN106487746A (zh) * | 2015-08-26 | 2017-03-08 | 中兴通讯股份有限公司 | 一种bmp报文认证的方法及装置 |
| CN107086959B (zh) * | 2016-02-16 | 2020-11-06 | 华为技术有限公司 | 操作管理维护报文认证的方法及装置 |
| CN107086959A (zh) * | 2016-02-16 | 2017-08-22 | 华为技术有限公司 | 操作管理维护报文认证的方法及装置 |
| WO2017140199A1 (zh) * | 2016-02-16 | 2017-08-24 | 华为技术有限公司 | 操作管理维护报文认证的方法及装置 |
| WO2018095256A1 (en) * | 2016-11-26 | 2018-05-31 | Huawei Technologies Co., Ltd. | System, method and devices for mka negotiation between the devices |
| CN110024325B (zh) * | 2016-11-26 | 2021-01-29 | 华为技术有限公司 | 用于设备之间mka协商的系统、方法和设备 |
| CN110024325A (zh) * | 2016-11-26 | 2019-07-16 | 华为技术有限公司 | 用于设备之间mka协商的系统、方法和设备 |
| EP3535926A4 (en) * | 2016-11-26 | 2019-09-11 | Huawei Technologies Co., Ltd. | SYSTEM, METHOD AND DEVICES FOR MKA NEGOTIATION BETWEEN DEVICES |
| US10904368B2 (en) | 2016-11-26 | 2021-01-26 | Huawei Technologies Co., Ltd. | System, method and devices for MKA negotiation between the devices |
| CN108259442A (zh) * | 2016-12-29 | 2018-07-06 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
| US10728260B2 (en) | 2016-12-29 | 2020-07-28 | Huawei Technologies Co., Ltd. | Slow protocol packet processing method and related apparatus |
| CN108259442B (zh) * | 2016-12-29 | 2021-02-12 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
| CN112887312A (zh) * | 2016-12-29 | 2021-06-01 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
| US11038898B2 (en) | 2016-12-29 | 2021-06-15 | Huawei Technologies Co., Ltd. | Slow protocol packet processing method and related apparatus |
| CN112887312B (zh) * | 2016-12-29 | 2022-07-22 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
| CN109474446A (zh) * | 2017-09-08 | 2019-03-15 | 中兴通讯股份有限公司 | 一种协商同步的方法及装置 |
| CN109474446B (zh) * | 2017-09-08 | 2021-11-19 | 中兴通讯股份有限公司 | 一种协商同步的方法及装置 |
| CN115242736A (zh) * | 2022-07-15 | 2022-10-25 | 杭州云合智网技术有限公司 | 轻载荷报文的传输方法 |
| CN115242736B (zh) * | 2022-07-15 | 2024-04-12 | 云合智网(上海)技术有限公司 | 轻载荷报文的传输方法 |
| CN117424752A (zh) * | 2023-12-07 | 2024-01-19 | 佛山市顺德弘金电器科技有限公司 | 一种通信加密解密方法及装置 |
| CN117424752B (zh) * | 2023-12-07 | 2024-03-15 | 佛山市顺德弘金电器科技有限公司 | 一种通信加密解密方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102857521A (zh) | 设置oam安全认证的方法及装置 | |
| KR102183897B1 (ko) | 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템 | |
| Fioccola et al. | Alternate-marking method for passive and hybrid performance monitoring | |
| US8953456B2 (en) | Ethernet OAM performance management | |
| US20050099954A1 (en) | Ethernet OAM network topography discovery | |
| US20050099949A1 (en) | Ethernet OAM domains and ethernet OAM frame format | |
| US20050099955A1 (en) | Ethernet OAM fault isolation | |
| Yang et al. | Stateful intrusion detection for IEC 60870-5-104 SCADA security | |
| US20050099951A1 (en) | Ethernet OAM fault detection and verification | |
| CN105634840B (zh) | 一种丢包的测量方法及装置 | |
| US20150036510A1 (en) | Method and device for measuring ethernet performance | |
| CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
| US9154409B2 (en) | Method for debugging private VLAN | |
| CN105897580B (zh) | 一种协议无关转发网络快速故障检测与流量保护切换方法 | |
| CN100561954C (zh) | 控制连通性检测的方法、系统和设备 | |
| WO2016082509A1 (zh) | 一种检测标签交换路径连通性的方法及装置 | |
| Bujosa et al. | The Effects of Clock Synchronization in TSN Networks with Legacy End-Stations | |
| CN116170110B (zh) | 面向时间敏感网络的时间同步架构、安全方法及装置 | |
| CN102752169B (zh) | 传输监控方法及装置 | |
| Huang et al. | Optimized Cross-Path Attacks via Adversarial Reconnaissance | |
| Kim et al. | Protection switching methods for point‐to‐multipoint connections in packet transport networks | |
| Zeng et al. | Hop-by-Hop Verification mechanism of Packet Forwarding Path Oriented to Programmable Data Plane | |
| Uijterwaal | A One-Way Packet Duplication Metric | |
| Cociglio et al. | RFC 9341: Alternate-Marking Method | |
| CN113055284B (zh) | 一种路径选择的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130102 |