CN103152242A - 一种基于rsvp的接收认证关系建立方法和设备 - Google Patents
一种基于rsvp的接收认证关系建立方法和设备 Download PDFInfo
- Publication number
- CN103152242A CN103152242A CN2013100777449A CN201310077744A CN103152242A CN 103152242 A CN103152242 A CN 103152242A CN 2013100777449 A CN2013100777449 A CN 2013100777449A CN 201310077744 A CN201310077744 A CN 201310077744A CN 103152242 A CN103152242 A CN 103152242A
- Authority
- CN
- China
- Prior art keywords
- rsvp
- integrity
- message
- receiving device
- ending equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于RSVP的接收认证关系建立方法和设备,该方法包括:RSVP发送端设备向RSVP接收端设备发送RSVP报文,并在收到来自所述RSVP接收端设备的Integrity Challenge报文时,向所述RSVP接收端设备发送Integrity Response报文,所述Integrity Response报文中携带本发送端设备当前使用的序列号;由所述RSVP接收端设备利用所述Integrity Response报文中携带的序列号建立接收认证关系,并向所述RSVP发送端设备发送Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;所述RSVP发送端设备在收到所述Integrity Ack报文后,利用所述Integrity Ack报文中携带的序列号建立接收认证关系。本发明实施例中,可以提高接收认证关系的建立效率,并缩短建立TE隧道所等待的时间。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于RSVP(Resource ReservationProtocol,资源预留协议)的接收认证关系建立方法和设备。
背景技术
MPLS(Multi-Protocol Label Switching,多协议标签交换)TE(TrafficEngineering,流量工程)使用RSVP通告标签,通过建立到达指定路径的LSP(Label Switch Path,标记交换路径)隧道进行资源预留,以使网络流量绕开拥塞节点,从而达到平衡网络流量的目的。进一步的,RSVP认证功能用于保证RSVP报文不会被篡改,以防止伪造的资源预留请求非法占用网络资源。
RSVP认证功能是指:RSVP发送端设备在发送RSVP报文时,使用MD5算法对认证密钥和报文内容进行计算,得到报文摘要,将报文摘要添加到RSVP报文的Integrity(完整性)对象中;RSVP接收端设备在收到RSVP报文后,使用同样的MD5算法对认证密钥和报文内容进行计算,将计算结果与Integrity对象中的报文摘要进行比较;如果二者一致,则RSVP认证通过,接受该RSVP报文;如果二者不一致,则RSVP认证不通过,丢弃该RSVP报文。
此外,RSVP认证功能还可以通过在RSVP报文中携带序列号来防止报文重放攻击;具体的,RSVP发送端设备在发送RSVP报文时,在RSVP报文的Integrity对象中携带序列号;RSVP接收端设备在收到RSVP报文后,将RSVP报文中携带的序列号与本地记录的序列号进行比较,如果根据比较结果确定RSVP报文中携带的序列号在允许范围内,则接受该RSVP报文,并更新本地记录的序列号为该RSVP报文中携带的序列号;否则丢弃该RSVP报文。
现有技术中,RSVP发送端设备在发送RSVP报文的过程中,会建立和维护发送认证关系,RSVP接收端设备在接收RSVP报文的过程中,会建立和维护接收认证关系;且发送认证关系和接收认证关系中存储了RSVP认证过程中需要的信息,如接收认证关系中需要包括最后一次接收所使用的序列号。
具体的,RSVP接收端设备在建立接收认证关系时,需要通过challenge(挑战)方式,获取RSVP发送端设备目前的序列号,从而确定接收认证关系中的最后一次接收所使用的序列号,继而利用该序列号建立接收认证关系。
以处理Path(路径)报文为例,在初始状态下不存在接收认证关系;RSVP接收端设备在收到Path报文之后,向RSVP发送端设备发送Integrity Challenge报文,以查询RSVP发送端设备目前的序列号;RSVP发送端设备通过IntegrityResponse(响应)报文将当前序列号通知给RSVP接收端设备;RSVP接收端设备在收到该序列号之后,即可建立完成接收认证关系(即接收认证关系中的最后一次接收所使用的序列号为该收到的序列号)。
但是,由于RSVP认证作用仅在邻居设备之间,因此上述方式会导致TE隧道建立时间过长;如图1所示,当需要建立一条从R1到R2的TE隧道时,则:
1、R1发送Path报文给R2,R2收到Path报文后,向R1发送Integrity Challenge报文,R1向R2发送Integrity Response报文,R2收到Integrity Response报文后,建立接收认证关系完成;上述过程中R2未处理收到的Path报文。
2、R1在时间T1内没有收到R2的Resv(预留)报文时,认为TE隧道建立失败,并向R2发送Pathtear(拆除)报文去拆除TE隧道。
3、R1在等待时间T2后重新向R2发送Path报文,以建立TE隧道,R2在收到该Path报文后,由于本地接收认证关系已经建立完成,因此,R2正常处理该Path报文,并在处理完毕后向R1回复Resv报文。
4、R1收到Resv报文后,向R2发送Integrity Challenge报文,R2向R1发送Integrity Response报文,R1在收到Integrity Response报文后,建立接收认证关系完成;上述过程中R1未处理收到的Resv报文。
5、由于R1未处理Resv报文,因此R1认为TE隧道建立失败,并向R2发送Pathtear报文去拆除TE隧道;之后,R1重新向R2发送Path报文以建立TE隧道,R2收到Path报文后,由于本地接收认证关系建立完成,因此R2正常处理该Path报文,并在处理完毕后向R1回复Resv报文;R1收到Resv报文后,由于本地接收认证关系建立完成,因此R1正常处理该Resv报文,正常建立TE隧道。
按照经验数据T1为10秒,T2为2秒,因此按照上述方式建立R1到R2的TE隧道时,需要等待很长时间才能完成TE隧道的建立;而且由于RSVP认证作用仅在邻居设备之间,因此TE隧道经过的节点越多,则等待的时间越长。
发明内容
本发明实施例提供一种基于RSVP的接收认证关系建立方法和设备,以提高接收认证关系的建立效率,并缩短建立TE隧道所等待的时间。
为了达到上述目的,本发明实施例提供一种基于资源预留协议RSVP的接收认证关系建立方法,应用于包括互为邻居设备的RSVP发送端设备和RSVP接收端设备的多协议标签交换MPLS网络中,在建立所述RSVP发送端设备到所述RSVP接收端设备的流量工程TE隧道时,该方法包括以下步骤:
所述RSVP发送端设备向所述RSVP接收端设备发送RSVP报文,并在收到来自所述RSVP接收端设备的完整性挑战Integrity Challenge报文时,向所述RSVP接收端设备发送完整性响应Integrity Response报文,所述IntegrityResponse报文中携带本发送端设备当前使用的序列号;由所述RSVP接收端设备利用所述Integrity Response报文中携带的序列号建立接收认证关系,并向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;
所述RSVP发送端设备在收到所述Integrity Ack报文后,利用所述IntegrityAck报文中携带的序列号建立接收认证关系,并重新向所述RSVP接收端设备发送所述RSVP报文,并接收来自所述RSVP接收端设备的预留Resv报文,以建立所述RSVP发送端设备到所述RSVP接收端设备的TE隧道。
RSVP发送端设备在向RSVP接收端设备发送Integrity Response报文时,在本地保存Integrity Response报文中携带的cookie;
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文中携带的cookie与所述RSVP接收端设备收到的Integrity Response报文中携带的cookie相同;
所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系,具体包括:所述RSVP发送端设备在收到所述Integrity Ack报文之后,如果所述Integrity Ack报文中携带的cookie与本地保存的IntegrityResponse报文中携带的cookie相同,则所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系。
所述RSVP发送端设备在收到所述Integrity Ack报文之后,所述方法还包括:如果所述Integrity Ack报文中携带的cookie与本地保存的IntegrityResponse报文中携带的cookie不同,则所述RSVP发送端设备丢弃所述Integrity Ack报文。
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文的源IP地址为所述RSVP接收端设备的IP地址,目的IP地址为所述RSVP发送端设备的IP地址;
所述RSVP发送端设备重新向所述RSVP接收端设备发送所述RSVP报文,具体包括:所述RSVP发送端设备利用所述Integrity Ack报文的源IP地址查询之前发送给所述RSVP接收端设备的RSVP报文,并重新向所述RSVP接收端设备发送所述RSVP报文。
本发明实施例提供一种路由设备,作为资源预留协议RSVP发送端设备应用于包括互为邻居设备的所述RSVP发送端设备和RSVP接收端设备的多协议标签交换MPLS网络中,所述RSVP发送端设备包括:
第一发送模块,用于向所述RSVP接收端设备发送RSVP报文,并在收到来自所述RSVP接收端设备的完整性挑战Integrity Challenge报文时,向所述RSVP接收端设备发送完整性响应Integrity Response报文,所述IntegrityResponse报文中携带本发送端设备当前使用的序列号;由所述RSVP接收端设备利用所述Integrity Response报文中携带的序列号建立接收认证关系,并向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;
第一建立模块,用于在收到所述Integrity Ack报文后,利用所述IntegrityAck报文中携带的序列号建立接收认证关系;
第二发送模块,用于在收到所述Integrity Ack报文后,重新向所述RSVP接收端设备发送所述RSVP报文;
第二建立模块,用于接收来自所述RSVP接收端设备的预留Resv报文,以建立本发送端设备到所述RSVP接收端设备的TE隧道。
还包括:存储模块,用于在向RSVP接收端设备发送Integrity Response报文时,在本地保存Integrity Response报文中携带的cookie;
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文中携带的cookie与所述RSVP接收端设备收到的Integrity Response报文中携带的cookie相同;
所述第一建立模块,具体用于在收到所述Integrity Ack报文后,如果所述Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie相同,则利用Integrity Ack报文中携带的序列号建立接收认证关系。
还包括:丢弃模块,用于当Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie不同时,丢弃Integrity Ack报文。
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文的源IP地址为所述RSVP接收端设备的IP地址,目的IP地址为所述RSVP发送端设备的IP地址;
所述第二发送模块,具体用于利用所述Integrity Ack报文的源IP地址查询之前发送给所述RSVP接收端设备的RSVP报文,并重新向所述RSVP接收端设备发送所述RSVP报文。
本发明实施例提供一种路由设备,作为资源预留协议RSVP接收端设备应用于包括互为邻居设备的RSVP发送端设备和所述RSVP接收端设备的多协议标签交换MPLS网络中,所述RSVP接收端设备包括:
第一接收模块,用于接收来自所述RSVP发送端设备的RSVP报文;
第一发送模块,用于在收到所述RSVP报文后,向所述RSVP发送端设备发送完整性挑战Integrity Challenge报文;
第二接收模块,用于接收来自所述RSVP发送端设备的完整性响应Integrity Response报文,所述Integrity Response报文中携带所述RSVP发送端设备当前使用的序列号;
建立模块,用于在收到所述Integrity Response报文之后,利用所述IntegrityResponse报文中携带的序列号建立接收认证关系;
第二发送模块,用于在所述收到Integrity Response报文之后,向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;由所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系;
第三接收模块,用于接收所述RSVP发送端设备重新向所述RSVP接收端设备发送的所述RSVP报文;
第三发送模块,用于在收到所述RSVP报文后,向RSVP发送端设备发送预留Resv报文,以建立RSVP发送端设备到RSVP接收端设备的TE隧道。
在向RSVP发送端设备发送的Integrity Ack报文中,携带的cookie与本接收端设备收到的Integrity Response报文中携带的cookie相同;且IntegrityAck报文的源IP地址为RSVP接收端设备的IP地址,目的IP地址为RSVP发送端设备的IP地址。
与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,在建立RSVP发送端设备到RSVP接收端设备的TE隧道时,RSVP发送端设备能够基于Integrity Ack(完整性确认)报文中携带的序列号建立接收认证关系,从而提高接收认证关系的建立效率,并缩短建立TE隧道所等待的时间。
附图说明
图1是现有技术中TE隧道建立的组网示意图;
图2是本发明实施例提供的一种基于RSVP的接收认证关系建立方法流程示意图;
图3是本发明实施例提供的一种基于RSVP的接收认证关系建立设备结构示意图;
图4是本发明实施例提供的另一种基于RSVP的接收认证关系建立设备结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种基于RSVP的接收认证关系建立方法,该方法应用于包括互为邻居设备的RSVP发送端设备和RSVP接收端设备的MPLS网络中,在建立RSVP发送端设备到RSVP接收端设备的TE隧道时,在初始状态下,该RSVP发送端设备上不存在RSVP接收端设备所对应的接收认证关系,且该RSVP接收端设备上不存在RSVP发送端设备所对应的接收认证关系;如图2所示,该方法包括以下步骤:
步骤201,RSVP发送端设备向RSVP接收端设备发送RSVP报文;该RSVP报文用于使RSVP接收端设备建立接收认证关系,如Path报文。
步骤202,RSVP接收端设备在收到该RSVP报文之后,向RSVP发送端设备发送Integrity Challenge(完整性挑战)报文。
具体的,RSVP接收端设备在收到来自RSVP发送端设备的RSVP报文之后,由于本接收端设备当前没有RSVP发送端设备对应的接收认证关系,因此RSVP接收端设备需要向RSVP发送端设备发送Integrity Challenge报文,以请求RSVP发送端设备当前使用的序列号。
步骤203,RSVP发送端设备在收到Integrity Challenge报文之后,向RSVP接收端设备发送Integrity Response(完整性响应)报文;其中,该IntegrityResponse报文中携带了本RSVP发送端设备当前使用的序列号。
本发明实施例中,RSVP发送端设备在向RSVP接收端设备发送IntegrityResponse报文时,还需要在本地保存Integrity Response报文中携带的cookie,以在后续过程中,利用该cookie校验收到的Integrity Ack报文的合法性。
步骤204,RSVP接收端设备在收到Integrity Response报文之后,利用该Integrity Response报文中携带的序列号建立接收认证关系。
步骤205,RSVP接收端设备向RSVP发送端设备发送Integrity Ack报文;其中,该Integrity Ack报文中携带了本RSVP接收端设备当前使用的序列号。
本发明实施例中,RSVP接收端设备在向RSVP发送端设备发送IntegrityAck报文时,Integrity Ack报文中携带的cookie与本接收端设备收到的IntegrityResponse报文中携带的cookie相同;且Integrity Ack报文的源IP地址为RSVP接收端设备的IP地址(即RSVP接收端设备发送接口的IP地址),目的IP地址为RSVP发送端设备的IP地址(即RSVP发送端设备接收接口的IP地址)。
此外,由于当前协议中定义Integrity Challenge报文的MessageType(报文类型)为25,Integrity Response报文的MessageType为26,因此本发明实施例中,可以定义Integrity Ack报文的MessageType为27。
步骤206,RSVP发送端设备在收到Integrity Ack报文之后,利用IntegrityAck报文中携带的序列号建立接收认证关系。
本发明实施例中,RSVP发送端设备在收到Integrity Ack报文之后,如果Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie相同,则利用Integrity Ack报文中携带的序列号建立接收认证关系;如果Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie不同,则直接丢弃收到的Integrity Ack报文。
本步骤中,由于Integrity Ack报文和Resv报文使用相同的接收认证关系,因此利用Integrity Ack报文中携带的序列号建立的接收认证关系可以供后续的Resv报文使用,即不再需要为Resv报文建立相应的接收认证关系。
步骤207,RSVP发送端设备重新向RSVP接收端设备发送RSVP报文。
本步骤中,RSVP发送端设备重新向RSVP接收端设备发送RSVP报文包括:RSVP发送端设备利用Integrity Ack报文的源IP地址查询之前发送给RSVP接收端设备的RSVP报文,并重新向RSVP接收端设备发送RSVP报文。
具体的,RSVP发送端设备在向RSVP接收端设备发送RSVP报文(即步骤201)之后,需要在本地PSB中记录下一跳地址(即RSVP接收端设备的IP地址)和RSVP报文的相关内容;RSVP发送端设备在建立接收认证关系后,可以通过Integrity Ack报文的源IP地址查询本地PSB中记录的下一跳地址,在找到与Integrity Ack报文的源IP地址一致的记录后,可以重新得到之前发送的RSVP报文,并重新向RSVP接收端设备发送RSVP报文。
步骤208,RSVP接收端设备在收到RSVP报文(如Path报文)之后,向RSVP发送端设备发送Resv报文。具体的,RSVP接收端设备在收到来自RSVP发送端设备的RSVP报文之后,由于本接收端设备当前已经有RSVP发送端设备对应的接收认证关系,因此RSVP接收端设备正常处理该RSVP报文,并在处理完毕后向RSVP发送端设备发送Resv报文。
步骤209,RSVP发送端设备接收来自RSVP接收端设备的Resv报文,以建立RSVP发送端设备到RSVP接收端设备的TE隧道。
具体的,RSVP发送端设备在收到来自RSVP接收端设备的Resv报文之后,由于本发送端设备当前已经有RSVP接收端设备对应的接收认证关系,因此RSVP发送端设备正常处理该Resv报文,并正常建立RSVP发送端设备到RSVP接收端设备的TE隧道,至此TE隧道建立完毕。
本发明实施例中,上述过程是以两个设备之间建立TE隧道为例的,对于多个设备之间的TE隧道建立过程,与上述两个设备之间TE隧道建立过程类似;因此,在建立RSVP发送端设备到RSVP接收端设备的TE隧道时,RSVP发送端设备能够基于Integrity Ack报文中携带的序列号建立接收认证关系,从而提高接收认证关系的建立效率,并缩短建立TE隧道所等待的时间。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种路由设备,作为资源预留协议RSVP发送端设备应用于包括互为邻居设备的所述RSVP发送端设备和RSVP接收端设备的多协议标签交换MPLS网络中,如图3所示,所述RSVP发送端设备包括:
第一发送模块11,用于向所述RSVP接收端设备发送RSVP报文,并在收到来自所述RSVP接收端设备的完整性挑战Integrity Challenge报文时,向所述RSVP接收端设备发送完整性响应Integrity Response报文,所述IntegrityResponse报文中携带本发送端设备当前使用的序列号;由所述RSVP接收端设备利用所述Integrity Response报文中携带的序列号建立接收认证关系,并向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;
第一建立模块12,用于在收到所述Integrity Ack报文后,利用所述IntegrityAck报文中携带的序列号建立接收认证关系;
第二发送模块13,用于在收到所述Integrity Ack报文后,重新向所述RSVP接收端设备发送所述RSVP报文;
第二建立模块14,用于接收来自所述RSVP接收端设备的预留Resv报文,以建立本发送端设备到所述RSVP接收端设备的TE隧道。
所述RSVP发送端设备还包括:
存储模块15,用于在向RSVP接收端设备发送Integrity Response报文时,在本地保存Integrity Response报文中携带的cookie;
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文中携带的cookie与所述RSVP接收端设备收到的Integrity Response报文中携带的cookie相同;
所述第一建立模块12,具体用于在收到Integrity Ack报文后,如果所述Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie相同,则利用Integrity Ack报文中携带的序列号建立接收认证关系。
所述RSVP发送端设备还包括:丢弃模块16,用于当所述Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie不同时,直接丢弃所述Integrity Ack报文。
本发明实施例中,RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文的源IP地址为所述RSVP接收端设备的IP地址,目的IP地址为所述RSVP发送端设备的IP地址;所述第二发送模块13,具体用于利用所述Integrity Ack报文的源IP地址查询之前发送给所述RSVP接收端设备的RSVP报文,并重新向所述RSVP接收端设备发送所述RSVP报文。
其中,本发明装臵的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种路由设备,作为资源预留协议RSVP接收端设备应用于包括互为邻居设备的RSVP发送端设备和所述RSVP接收端设备的多协议标签交换MPLS网络中,如图4所示,所述RSVP接收端设备包括:
第一接收模块21,用于接收来自所述RSVP发送端设备的RSVP报文;
第一发送模块22,用于在收到所述RSVP报文后,向所述RSVP发送端设备发送完整性挑战Integrity Challenge报文;
第二接收模块23,用于接收来自所述RSVP发送端设备的完整性响应Integrity Response报文,所述Integrity Response报文中携带所述RSVP发送端设备当前使用的序列号;
建立模块24,用于在收到所述Integrity Response报文之后,利用所述Integrity Response报文中携带的序列号建立接收认证关系;
第二发送模块25,用于在所述收到Integrity Response报文之后,向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;由所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系;
第三接收模块26,用于接收所述RSVP发送端设备重新向所述RSVP接收端设备发送的所述RSVP报文;
第三发送模块27,用于在收到RSVP报文后,向RSVP发送端设备发送预留Resv报文,以建立RSVP发送端设备到RSVP接收端设备的TE隧道。
本发明实施例中,在向RSVP发送端设备发送的Integrity Ack报文中,携带的cookie与本接收端设备收到的Integrity Response报文中携带的cookie相同;且Integrity Ack报文的源IP地址为RSVP接收端设备的IP地址,目的IP地址为RSVP发送端设备的IP地址。
其中,本发明装臵的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装臵中的模块可以按照实施例描述进行分布于实施例的装臵中,也可以进行相应变化位于不同于本实施例的一个或多个装臵中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种基于资源预留协议RSVP的接收认证关系建立方法,应用于包括互为邻居设备的RSVP发送端设备和RSVP接收端设备的多协议标签交换MPLS网络中,其特征在于,在建立所述RSVP发送端设备到所述RSVP接收端设备的流量工程TE隧道时,该方法包括以下步骤:
所述RSVP发送端设备向所述RSVP接收端设备发送RSVP报文,并在收到来自所述RSVP接收端设备的完整性挑战Integrity Challenge报文时,向所述RSVP接收端设备发送完整性响应Integrity Response报文,所述IntegrityResponse报文中携带本发送端设备当前使用的序列号;由所述RSVP接收端设备利用所述Integrity Response报文中携带的序列号建立接收认证关系,并向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;
所述RSVP发送端设备在收到所述Integrity Ack报文后,利用所述IntegrityAck报文中携带的序列号建立接收认证关系,并重新向所述RSVP接收端设备发送所述RSVP报文,并接收来自所述RSVP接收端设备的预留Resv报文,以建立所述RSVP发送端设备到所述RSVP接收端设备的TE隧道。
2.如权利要求1所述的方法,其特征在于,
RSVP发送端设备在向RSVP接收端设备发送Integrity Response报文时,在本地保存Integrity Response报文中携带的cookie;
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文中携带的cookie与所述RSVP接收端设备收到的Integrity Response报文中携带的cookie相同;
所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系,具体包括:所述RSVP发送端设备在收到所述Integrity Ack报文之后,如果所述Integrity Ack报文中携带的cookie与本地保存的IntegrityResponse报文中携带的cookie相同,则所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系。
3.如权利要求2所述的方法,其特征在于,所述RSVP发送端设备在收到所述Integrity Ack报文之后,所述方法还包括:
如果所述Integrity Ack报文中携带的cookie与本地保存的IntegrityResponse报文中携带的cookie不同,则所述RSVP发送端设备丢弃所述Integrity Ack报文。
4.如权利要求1所述的方法,其特征在于,
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文的源IP地址为所述RSVP接收端设备的IP地址,目的IP地址为所述RSVP发送端设备的IP地址;
所述RSVP发送端设备重新向所述RSVP接收端设备发送所述RSVP报文,具体包括:所述RSVP发送端设备利用所述Integrity Ack报文的源IP地址查询之前发送给所述RSVP接收端设备的RSVP报文,并重新向所述RSVP接收端设备发送所述RSVP报文。
5.一种路由设备,作为资源预留协议RSVP发送端设备应用于包括互为邻居设备的所述RSVP发送端设备和RSVP接收端设备的多协议标签交换MPLS网络中,其特征在于,所述RSVP发送端设备包括:
第一发送模块,用于向所述RSVP接收端设备发送RSVP报文,并在收到来自所述RSVP接收端设备的完整性挑战Integrity Challenge报文时,向所述RSVP接收端设备发送完整性响应Integrity Response报文,所述IntegrityResponse报文中携带本发送端设备当前使用的序列号;由所述RSVP接收端设备利用所述Integrity Response报文中携带的序列号建立接收认证关系,并向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;
第一建立模块,用于在收到所述Integrity Ack报文后,利用所述IntegrityAck报文中携带的序列号建立接收认证关系;
第二发送模块,用于在收到所述Integrity Ack报文后,重新向所述RSVP接收端设备发送所述RSVP报文;
第二建立模块,用于接收来自所述RSVP接收端设备的预留Resv报文,以建立本发送端设备到所述RSVP接收端设备的TE隧道。
6.如权利要求5所述的设备,其特征在于,还包括:
存储模块,用于在向RSVP接收端设备发送Integrity Response报文时,在本地保存Integrity Response报文中携带的cookie;
RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的Integrity Ack报文中携带的cookie与所述RSVP接收端设备收到的Integrity Response报文中携带的cookie相同;
所述第一建立模块,具体用于在收到所述Integrity Ack报文后,如果所述Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie相同,则利用Integrity Ack报文中携带的序列号建立接收认证关系。
7.如权利要求6所述的设备,其特征在于,还包括:
丢弃模块,用于当所述Integrity Ack报文中携带的cookie与本地保存的Integrity Response报文中携带的cookie不同时,丢弃所述Integrity Ack报文。
8.如权利要求5所述的设备,其特征在于,RSVP发送端设备接收到的RSVP接收端设备向本发送端设备发送的对应该Integrity Response的IntegrityAck报文的源IP地址为所述RSVP接收端设备的IP地址,目的IP地址为所述RSVP发送端设备的IP地址;
所述第二发送模块,具体用于利用所述Integrity Ack报文的源IP地址查询之前发送给所述RSVP接收端设备的RSVP报文,并重新向所述RSVP接收端设备发送所述RSVP报文。
9.一种路由设备,作为资源预留协议RSVP接收端设备应用于包括互为邻居设备的RSVP发送端设备和所述RSVP接收端设备的多协议标签交换MPLS网络中,其特征在于,所述RSVP接收端设备包括:
第一接收模块,用于接收来自所述RSVP发送端设备的RSVP报文;
第一发送模块,用于在收到所述RSVP报文后,向所述RSVP发送端设备发送完整性挑战Integrity Challenge报文;
第二接收模块,用于接收来自所述RSVP发送端设备的完整性响应Integrity Response报文,所述Integrity Response报文中携带所述RSVP发送端设备当前使用的序列号;
建立模块,用于在收到所述Integrity Response报文之后,利用所述IntegrityResponse报文中携带的序列号建立接收认证关系;
第二发送模块,用于在所述收到Integrity Response报文之后,向所述RSVP发送端设备发送完整性确认Integrity Ack报文,所述Integrity Ack报文中携带了本接收端设备当前使用的序列号;由所述RSVP发送端设备利用所述Integrity Ack报文中携带的序列号建立接收认证关系;
第三接收模块,用于接收所述RSVP发送端设备重新向所述RSVP接收端设备发送的所述RSVP报文;
第三发送模块,用于在收到所述RSVP报文后,向RSVP发送端设备发送预留Resv报文,以建立RSVP发送端设备到RSVP接收端设备的TE隧道。
10.如权利要求9所述的设备,其特征在于,在向RSVP发送端设备发送的Integrity Ack报文中,携带的cookie与本接收端设备收到的IntegrityResponse报文中携带的cookie相同;且Integrity Ack报文的源IP地址为RSVP接收端设备的IP地址,目的IP地址为RSVP发送端设备的IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310077744.9A CN103152242B (zh) | 2013-03-11 | 2013-03-11 | 一种基于rsvp的接收认证关系建立方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310077744.9A CN103152242B (zh) | 2013-03-11 | 2013-03-11 | 一种基于rsvp的接收认证关系建立方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103152242A true CN103152242A (zh) | 2013-06-12 |
| CN103152242B CN103152242B (zh) | 2016-08-10 |
Family
ID=48550115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310077744.9A Active CN103152242B (zh) | 2013-03-11 | 2013-03-11 | 一种基于rsvp的接收认证关系建立方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103152242B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447211B1 (en) * | 2004-03-23 | 2008-11-04 | Avaya Inc. | Method and apparatus of establishing a communication channel using protected network resources |
| US20090041032A1 (en) * | 2005-08-12 | 2009-02-12 | Huawei Technologies Co., Ltd. | Method and a node device for transferring a message based on traffic engineering tunnels |
| CN101616063A (zh) * | 2008-06-26 | 2009-12-30 | 华为技术有限公司 | 一种路由路径建立方法、系统和装置 |
| CN102123088A (zh) * | 2011-02-21 | 2011-07-13 | 杭州华三通信技术有限公司 | 建立te隧道的方法及设备 |
-
2013
- 2013-03-11 CN CN201310077744.9A patent/CN103152242B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447211B1 (en) * | 2004-03-23 | 2008-11-04 | Avaya Inc. | Method and apparatus of establishing a communication channel using protected network resources |
| US20090041032A1 (en) * | 2005-08-12 | 2009-02-12 | Huawei Technologies Co., Ltd. | Method and a node device for transferring a message based on traffic engineering tunnels |
| CN101616063A (zh) * | 2008-06-26 | 2009-12-30 | 华为技术有限公司 | 一种路由路径建立方法、系统和装置 |
| CN102123088A (zh) * | 2011-02-21 | 2011-07-13 | 杭州华三通信技术有限公司 | 建立te隧道的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103152242B (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11089509B2 (en) | Handover method with link failure recovery, a wireless device and a base station for implementing such method | |
| KR101981229B1 (ko) | 머신-대-머신 노드 소거 절차 | |
| US9960923B2 (en) | Handling of digital certificates | |
| CN108833122A (zh) | 车载通信控制器的唤醒方法、装置及存储介质 | |
| JP5815885B2 (ja) | ワイヤレスリンクのセットアップのために鍵のライフタイムへのアクセスを可能にすること | |
| EP2302865A1 (en) | An authentication server and a control method for the mobile communication terminal accessing the virtual private network | |
| US9247465B2 (en) | Method and apparatus for re-establishing radio link | |
| CN104396291A (zh) | 用于wlan初始链路建立的方法和装置 | |
| KR102246978B1 (ko) | 라우팅 방법 및 장치 | |
| CN112995040B (zh) | 一种基于设备标识计算的报文路径溯源方法及装置 | |
| CN114342332A (zh) | 一种通信方法、装置及系统 | |
| CN108966363B (zh) | 一种连接建立方法及装置 | |
| US9191312B2 (en) | Method and system for implementing PW control bit capability negotiation | |
| CN101834855A (zh) | 一种防止序列号攻击的方法和设备 | |
| CN103199990B (zh) | 一种路由协议认证迁移的方法和装置 | |
| CN107277882B (zh) | 一种数据路由方法、装置和基站 | |
| JP2016134861A (ja) | ノード装置、ネットワークシステム及びノード装置の接続方法 | |
| US8068506B2 (en) | Signaling apparatus and signaling method | |
| CN108206853B (zh) | 车辆间通信的方法和装置 | |
| CN104618231A (zh) | 云端Wi-fi系统中的深度报文识别方法、装置和系统 | |
| US9998807B2 (en) | Method and apparatus for establishing trail network | |
| CN102668504B (zh) | 具有改善转换的速度和质量的密钥分配功能的方法和设备 | |
| CN103152242A (zh) | 一种基于rsvp的接收认证关系建立方法和设备 | |
| WO2009114979A1 (zh) | 网络接口重启方法及终端 | |
| US8879382B2 (en) | Partial failure messaging |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |