CN1173529C - 基于边界网关协议报文的控制报文安全保护方法 - Google Patents
基于边界网关协议报文的控制报文安全保护方法 Download PDFInfo
- Publication number
- CN1173529C CN1173529C CNB021209243A CN02120924A CN1173529C CN 1173529 C CN1173529 C CN 1173529C CN B021209243 A CNB021209243 A CN B021209243A CN 02120924 A CN02120924 A CN 02120924A CN 1173529 C CN1173529 C CN 1173529C
- Authority
- CN
- China
- Prior art keywords
- message
- authentication
- bgp
- gateway protocol
- word
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于边界网关协议报文的控制报文安全保护方法,该方法包括报文接收端和报文接收端之间认证机制和认证的协商过程,如果认证协商成功,报文接收端则根据认证机制和认证字认证报文发送端发出报文的BGP报文头中的16字节的标记域;在BGP连接建立后,报文发送端根据认证机制和认证字确定的报文头中的前16字节的标记域来发送边界网关协议报文,报文接收端对收到的BGP报文利用确定好的BGP报文头16字节标记域进行认证,如果认证通过,接收该报文,否则抛弃该报文;采用上述方案能够对BGP报文头进行加密,即使非法截取到BGP报文,也无法获得BGP报文内容,更无法根据BGP报文内容获得对BGP会话或者整个网络攻击的机会。
Description
技术领域
本发明涉及网络系统中控制报文的安全保护方法。
背景技术
互联网(Internet)中的数据安全问题是一个重要的研究课题,对于Internet网的核心协议----边界网关协议(BGP协议,Border GatewayProtocol)来说,由于在域间传送大量路由,保证路由的安全性以及BGP连接的安全性成为重要的问题。具体说,就是要防止对BGP报文的截获、篡改和重放,实现对BGP连接的保护,进而实现对网络中数据报文的保护。按照BGP协议,现有的BGP数据报文由16字节的全一加上BGP具体的报文内容构成,这样如果截获传输控制协议(TCP协议)连接,根据16字节的全1的报文头,只要分析出全1的域,就可以轻易地获取BGP报文内容,这样不但数据报文的安全没有保障,也使整个网络系统失去安全保障。例如,根据BGP报文获取路由信息,将路由信息更改后重新放入TCP数据发送流,如果重放一个错误的路由信息值,则BGP差错处理就会断连接,在公网上会引起路由振荡。如果重放一个错误的路由,则会造成路由黑洞,增加某台路由器的流量,将路由器攻击直至重启或死机。因此,现有基于BGP协议的数据局报文的传输机制存在安全隐患。
发明内容
本发明的目的在于提供一种有利于互联网数据报文安全和网络安全的基于边界网关协议报文的报文安全保护方法。
为达到上述目的,本发明提供的基于边界网关协议报文的报文安全保护方法,包括:
a.报文接收端向报文发送端发送包括认证机制和认证字的连接协商报文;
b.报文发送端根据接收到的连接协商报文和本端的认证能力确定是否支持连接协商报文中的认证机制和认证字,如果支持,向报文接收端反馈支持报文,双方协商成功,否则反馈不支持报文;
c.当报文接收端如果接收到报文发送端的支持报文,根据认证机制和认证字确定认证报文发送端发出报文的边界网关协议报文头;
d.建立基于边界网关协议的连接,然后报文发送端根据认证机制和认证字确定的报文头发送边界协议报文;
e.报文接收端对接收到的边界网关协议报文利用步骤c确定的边界网关协议报文头进行认证,如果认证通过,接收该报文,否则抛弃该报文。
所述方法还包括:
确定认证机制,所述认证机制基于采用业界标准加密算法的信息摘要算法MD5(Message Digest Algorithm 5)之上。
确定认证字为16字节的随机数认证字。
报文接收端和报文发送端在报文接收端每次接收到边界网关协议报文后,将报文头的前16个字节的标记域再次作为认证字重新确定报文头。
所述一种基于边界网关协议报文的报文安全保护方法的步骤a)中的报文内容包括:BGP报文头,报文长度,连接协商报文类型,版本信息,BGP自治系统号,连接保持时间,BGP识别符,可选参数长度,可选参数类型1,类型1可选参数长度和类型1可选参数内容。
由于本发明根据报文接收端和报文发送端之间的认证机制和相互之间交换的连接协商报文来对BGP报文头的标记域进行加密,即使非法截取到BGP报文,由于不能轻易获得BGP报文的头标志,因此很难获得BGP报文内容,更无法根据BGP报文内容获得对整个网络攻击的机会。因此采用本发明可以配合TCP数据流保护报文接收端和报文发送端之间的BGP连接,从而保护BGP报文内容和网络的安全。
下面结合对连接协商报文中的OPEN报文的控制保护方式来说明本发明所述基于边界网关协议报文的控制报文安全保护方法的具体实现过程。
附图说明
图1是本发明所述方法的实施例流程图;
图2是图1所述实施例采用的OPEN报文结构图;
图3是图2所述OPEN报文结构图的可选参数字段图。
具体实施方式
本发明的实现就是在建立BGP连接时,BGP报文的发送端和接收端双方通过OPEN报文交换认证字,这样通过对报文认证的能力协商后,改变基于BGP协议的报文头前16字节的标记域,即对BGP报文头标记域进行动态加密,从而实现对整个BGP报文的保护,并以此来保护BGP连接。使得非法者虽然可以从TCP报文流截获BGP报文,但因为不知道BGP的头,报文没有办法同步,因此不能获得BGP的报文具体内容。
下面结合附图对本发明作进一步详细的描述。
图1是本发明所述方法的实施例流程图。按照图1,首先在步骤1报文接收端向报文发送端发送包括认证机制和认证字的OPEN报文。所述OPEN报文实际中可以根据协商的需要确定内容,本例中采用的OPEN报文的格式参考图2。图2所述的OPEN报文是用来建立BGP连接的,从图2看出该报文包括很多参数,本发明利用该报文进行认证机制和认证字的能力协商,利用了该报文的最后一个参数,即可选参数。所述可选参数的格式参考图3,其中认证码用于识别约定采用的认证机制,16字节的随机数用于作为认证字。OPEN报文的作用在于携带协商的具体内容,即认证机制和认证字。本例中认证码值为1,定义为基于信息摘要算法MD5的认证算法的报文认证机制,随后跟随的16字节是由BGP报文接收端产生的作为认证字的随即数。
报文发送端在步骤2接收到OPEN报文后,根据OPEN报文和本端的认证能力确定是否支持OPEN报文中的认证机制和认证字,如果支持,向报文接收端反馈支持报文,否则反馈不支持报文。报文接收端在步骤3接收到报文发送端反馈的报文,根据反馈报文判断与报文发送端的协商是否成功,即是否支持协商的内容,如果接收到的报文是支持报文,则认为协商成功,在步骤4根据认证机制和认证字确定认证报文发送端发出报文的BGP报文头,然后继续步骤5,否则协商失败,结束协商。
在步骤5,建立BGP连接,然后报文发送端根据认证机制和认证字确定的报文头发送BGP报文;
上述步骤4和步骤5中,报文接收端和报文发送端都要根据认证机制和认证字确定BGP报文头的内容,报文接收端用该内容认证接收到的BGP报文是否是发送给自己的,报文发送端用该内容发送BGP报文。具体的确定方法按照信息摘要算法MD5的规定进行,参考下述命令:
MD5(OPEN类型+密码+16字节随机数+报文信息);
上述密码是报文发送端和报文接收端配置的信息摘要算法MD5密码,16字节随机数为认证字。
最后在步骤6,报文接收端对收到的BGP报文利用步骤4确定的BGP报文头进行认证,如果认证通过,接收该报文,否则抛弃该报文。也就是说,报文发送端在BGP连接建立后,发送所有的报文都需要用新的报文头代替BGP协议规定的16字节的全1。报文接收端在收到BGP报文后先验证报文头是否一致,如果不一致,则将该报文丢弃。
上述步骤中,步骤1到步骤4是协商的过程,在报文发送端和报文接收端之间的BGP连接建立前只需执行一次,而在双方协商成功BGP连接建立后,在报文发送端和报文接收端之间报文发送和接收需要重复执行。
需要说明的是,报文发送端和报文接收端是相对的,无论网络中的哪个节点作为报文接收端,每次与报文发送端协商采用的认证机制和认证字可能是不同的。另外,协商的具体过程也可以由报文发送端发起。
图1所述实施例的缺点是报文头在连接建立后就不会改变,这有可能通过截取大量报文分析后得出报文头的具体内容,因此,可以通过报文接收端和报文发送端在报文接收端每次接收到BGP报文后,将报文头的前16个字节的标记域再次作为认证字重新确定报文头,以具备自我变换保护能力,就可以克服所述缺点。
Claims (4)
1、一种基于边界网关协议报文的控制报文安全保护方法,包括:
a.报文接收端向报文发送端发送包括验证机制和认证字的连接协商报文;
b.报文发送端根据接收到的连接协商报文和本端的认证能力确定是否支持连接协商报文中的认证机制和认证字,如果支持,向报文接收端反馈支持报文,否则反馈不支持报文;
c.当报文接收端如果接收到报文发送端的支持报文,根据认证机制和认证字确定认证报文发送端发出报文的边界网关协议报文头;
d.建立基于边界网关协议的连接,然后报文发送端根据认证机制和认证字确定的报文头发送边界协议报文;
e.报文接收端对收到的边界网关协议报文利用步骤c确定的边界网关协议报文头进行认证,如果认证通过,接收该报文,否则抛弃该报文。
2、根据权利要求1所述的控制报文安全保护方法,其特征在于所述方法还包括:确定认证机制,所述认证机制基于采用业界标准加密算法的信息摘要算法MD5之上。
3、根据权利要求2所述的控制报文安全保护方法,其特征在于所述方法还包括:确定验证字为16字节的随机数验证字。
4、根据权利要求1、2或3所述的控制报文安全保护方法,其特征在于所述方法还包括:报文接收端和报文发送端在报文接收端每次接收到边界网关协议报文后,将报文头的前16个字节的标记域再次作为认证字重新确定报文头。
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021209243A CN1173529C (zh) | 2002-06-05 | 2002-06-05 | 基于边界网关协议报文的控制报文安全保护方法 |
DE60300912T DE60300912D1 (de) | 2002-06-05 | 2003-05-12 | Verfahren zur Verwaltung von der Sicherheit von Border-Gateway-Protocol-Nachrichten |
AT03101311T ATE298961T1 (de) | 2002-06-05 | 2003-05-12 | Verfahren zur verwaltung von der sicherheit von border-gateway-protocol-nachrichten |
EP03101311A EP1370046B1 (en) | 2002-06-05 | 2003-05-12 | Method based on border gateway protocol message for controlling messages security protection |
US10/443,512 US7216229B2 (en) | 2002-06-05 | 2003-05-22 | Method based on border gateway protocol message for controlling messages security protection |
AU2003204386A AU2003204386B2 (en) | 2002-06-05 | 2003-05-27 | Method based on border gateway protocol message for controlling messages security protection |
JP2003159469A JP2004032744A (ja) | 2002-06-05 | 2003-06-04 | ボーダーゲートウェイプロトコル通信に基づく通信安全保護の統制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021209243A CN1173529C (zh) | 2002-06-05 | 2002-06-05 | 基于边界网关协议报文的控制报文安全保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1416245A CN1416245A (zh) | 2003-05-07 |
CN1173529C true CN1173529C (zh) | 2004-10-27 |
Family
ID=4744848
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB021209243A Expired - Fee Related CN1173529C (zh) | 2002-06-05 | 2002-06-05 | 基于边界网关协议报文的控制报文安全保护方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US7216229B2 (zh) |
EP (1) | EP1370046B1 (zh) |
JP (1) | JP2004032744A (zh) |
CN (1) | CN1173529C (zh) |
AT (1) | ATE298961T1 (zh) |
AU (1) | AU2003204386B2 (zh) |
DE (1) | DE60300912D1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7562390B1 (en) * | 2003-05-21 | 2009-07-14 | Foundry Networks, Inc. | System and method for ARP anti-spoofing security |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US7526640B2 (en) * | 2003-06-30 | 2009-04-28 | Microsoft Corporation | System and method for automatic negotiation of a security protocol |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
CN100365986C (zh) * | 2003-12-17 | 2008-01-30 | 华为技术有限公司 | 边界网关协议路由器的节省路由表内存消耗方法 |
CN1323534C (zh) * | 2004-02-09 | 2007-06-27 | 中兴通讯股份有限公司 | 一种3g分组域边界网关的流控处理方法 |
CN100428688C (zh) * | 2005-06-09 | 2008-10-22 | 杭州华三通信技术有限公司 | 网络攻击的防护方法 |
CN100563246C (zh) | 2005-11-30 | 2009-11-25 | 华为技术有限公司 | 一种基于ip的语音通信边界安全控制系统及方法 |
CN101188608B (zh) * | 2006-11-16 | 2010-09-08 | 华为技术有限公司 | 协商网络认证方式的方法 |
CN114157419B (zh) * | 2021-11-29 | 2023-08-08 | 军事科学院系统工程研究院网络信息研究所 | 一种基于ospf的安全路由协议方法和系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5511122A (en) * | 1994-06-03 | 1996-04-23 | The United States Of America As Represented By The Secretary Of The Navy | Intermediate network authentication |
US5657390A (en) * | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
US6339595B1 (en) * | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
JP3581589B2 (ja) * | 1999-01-11 | 2004-10-27 | 株式会社日立製作所 | 通信ネットワークシステムおよび通信ネットワークシステムにおけるサービス管理方法 |
US6973057B1 (en) * | 1999-01-29 | 2005-12-06 | Telefonaktiebolaget L M Ericsson (Publ) | Public mobile data communications network |
-
2002
- 2002-06-05 CN CNB021209243A patent/CN1173529C/zh not_active Expired - Fee Related
-
2003
- 2003-05-12 DE DE60300912T patent/DE60300912D1/de not_active Expired - Lifetime
- 2003-05-12 EP EP03101311A patent/EP1370046B1/en not_active Expired - Lifetime
- 2003-05-12 AT AT03101311T patent/ATE298961T1/de not_active IP Right Cessation
- 2003-05-22 US US10/443,512 patent/US7216229B2/en active Active
- 2003-05-27 AU AU2003204386A patent/AU2003204386B2/en not_active Expired
- 2003-06-04 JP JP2003159469A patent/JP2004032744A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
US7216229B2 (en) | 2007-05-08 |
US20030236898A1 (en) | 2003-12-25 |
AU2003204386A1 (en) | 2004-01-08 |
EP1370046A1 (en) | 2003-12-10 |
ATE298961T1 (de) | 2005-07-15 |
AU2003204386B2 (en) | 2008-05-22 |
CN1416245A (zh) | 2003-05-07 |
JP2004032744A (ja) | 2004-01-29 |
DE60300912D1 (de) | 2005-08-04 |
EP1370046B1 (en) | 2005-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
CN1173529C (zh) | 基于边界网关协议报文的控制报文安全保护方法 | |
CN101146066B (zh) | 网络接口设备、计算系统及传递数据的方法 | |
CN108429730B (zh) | 无反馈安全认证与访问控制方法 | |
EP0967765B1 (en) | Network connection controlling method and system thereof | |
US20040098620A1 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
JP2003525557A (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
CN113824705A (zh) | 一种Modbus TCP协议的安全加固方法 | |
CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 | |
CN1223145C (zh) | 基于边界网关协议报文的报文安全保护方法 | |
CN111416824B (zh) | 一种网络接入认证控制系统 | |
CN112566121A (zh) | 一种防止攻击的方法及服务器、电子设备、存储介质 | |
CN108400967B (zh) | 一种鉴权方法及鉴权系统 | |
US20030154408A1 (en) | Method and apparatus for secured unified public communication network based on IP and common channel signaling | |
CN109688104A (zh) | 一种实现将网络中的主机隐藏的系统及方法 | |
Cisco | Configuring Network Data Encryption | |
CN110661803A (zh) | 一种闸门加密控制系统及方法 | |
CN111565193B (zh) | 一种安全隐蔽访问控制方法 | |
CN114745138B (zh) | 一种设备认证方法、装置、控制平台及存储介质 | |
CN114640495B (zh) | 一种基于通用浏览器的零信任单包认证系统及方法 | |
WO2021229749A1 (ja) | Ip通信における認証方法および認証システム | |
JP3478962B2 (ja) | 不正リモートアクセス防止方法 | |
CN117395046A (zh) | 一种基于quic的软件定义边界方法与系统 | |
CN115473720A (zh) | 一种保护tcp/ip会话安全性的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20041027 Termination date: 20110605 |