CN1477814A - 基于边界网关协议报文的报文安全保护方法 - Google Patents
基于边界网关协议报文的报文安全保护方法 Download PDFInfo
- Publication number
- CN1477814A CN1477814A CNA021291942A CN02129194A CN1477814A CN 1477814 A CN1477814 A CN 1477814A CN A021291942 A CNA021291942 A CN A021291942A CN 02129194 A CN02129194 A CN 02129194A CN 1477814 A CN1477814 A CN 1477814A
- Authority
- CN
- China
- Prior art keywords
- message
- authenticator
- bgp
- sink
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于边界网关协议报文的控制报文安全保护方法,该方法包括报文接收端和接收端之间验证机制和验证字的协商过程,如果验证协商成功,在报文发送时,首先建立BGP连接,然后报文发送端根据验证机制、验证字和要发送的报文内容确定的报文头中的前16字节的标记域并发送BGP报文,报文接收端对收到的BGP报文利用相同的验证机制、验证字和接收到的报文内容对BGP报文头16字节标记域进行验证,如果验证通过,接收该报文,否则抛弃该报文;采用上述方案能够隐藏BGP的报文头,并利用报文头来进行验证,加大了BGP报文被非法截获的难度,同时也易于发现被非法截获后的报文是否被篡改,从而可以有效保护BGP报文内容和网络的安全。
Description
技术领域
本发明涉及网络系统中报文的安全保护方法。
背景技术
互联网(Internet)中的数据安全问题是一个重要的研究课题,对于Internet网的核心协议----边界网关协议(BGP协议,Border GatewayProtocol)来说,由于在域间传送大量路由,保证路由的安全性以及BGP连接的安全性成为重要的问题。具体说,就是要防止对BGP报文截获后的篡改,实现对BGP连接的保护。按照BGP协议,现有的BGP报文由16字节的全一加上BGP具体的报文内容构成,这样如果截获传输控制协议(TCP协议)连接,根据16字节的全1的报文头,只要分析出全1的域,就可以轻易地获取BGP报文内容,这样不但报文没有安全保障,也使整个网络系统失去安全保障。例如,根据BGP报文获取路由信息,根据路由信息进行破坏;在获取BGP信息时,将路由信息更改后重新放2入TCP数据发送流,如果重放一个错误的路由,则会造成路由黑洞,增加某台路由器的流量,将路由器攻击直至重启或死机。因此,现有基于BGP协议的数据局报文的传输机制存在安全隐患。
发明内容
本发明的目的在于提供一种有利于互联网数据报文安全和网络安全的基于边界网关协议报文的报文安全保护方法。
为达到上述目的,本发明提供的基于边界网关协议报文的报文安全保护方法,包括:
a.报文接收端向报文发送端发送包括验证机制和验证字的连接协商报文(OPEN报文);
b.报文发送端根据接收到的连接协商报文和本端的验证能力确定是否支持连接协商报文中的验证机制和验证字,如果支持,向报文接收端反馈支持报文,双方协商成功,否则反馈不支持报文;
c.当报文发送端和报文接收端双方协商成功后,在发送报文时,建立基于边界网关协议的连接,然后报文发送端根据验证机制和验证字确定的报文头发送边界网关协议报文;
d.报文接收端对收到的边界网关协议报文利用报文发送端和报文接收端协商成功的验证机制和验证字对报文进行验证,如果验证通过,接收该报文,否则抛弃该报文。
所述方法还包括:
确定基于信息摘要算法5(MD5,Message Digest Algorithm 5)的验证机制。
确定验证字为16字节的随机数验证字。
所述根据验证机制和验证字确定验证报文发送端发出报文的边界网关协议(BGP协议)报文头按照下述公式完成:
MD5 OPEN类型+密码+16字节随机数+报文信息;
上述密码是报文发送端和报文接收端配置的MD5密码,16字节随机数为验证字,最后的报文信息为不带报文头,即不带16字节的报文头标记的报文全文。
由于本发明根据报文接收端和报文发送端之间的验证机制和相互之间交换的连接协商报文(OPEN报文)来对BGP报文头的标记域进行加密,即使非法截取到BGP报文,由于不能轻易获得BGP报文的头标志,因此很难获得BGP报文内容,使得根据BGP报文内容获得对整个网络攻击的机会大大减少;同时,在利用报文头验证时,将报文的内容作为验证参数之一,即使将报文非法截获后篡改,报文接收端通过对收到的报文根据其内容进行的验证,可以发现上述篡改,从而可以及时将被篡改的报文抛弃;可见,采用本发明可以配合TCP数据流保护报文接收端和报文发送端之间的BGP连接,从而保护BGP报文内容和网络的安全。
附图说明
图1是本发明所述方法的实施例流程图;
图2是图1所述实施例采用的OPEN报文结构图;
图3是图2所述OPEN报文结构图的可选参数字段图。
具体实施方式
本发明的实现就是在建立BGP连接时,BGP报文的发送端和接收端双方通过OPEN报文交换验证字,这样通过对报文验证的能力协商后,改变基于BGP协议的报文头前16字节的标记域,即利用BGP报文头标记域对报文进行动态验证,从而实现对整个BGP报文的保护,并以此来保护BGP连接。使得非法者虽然可以从TCP报文流截获BGP报文,但因为不知道BGP的头,报文没有办法同步,因此不能获得BGP的报文具体内容。
下面结合附图对本发明作进一步详细的描述。
图1是本发明所述方法的实施例流程图。按照图1,首先在步骤1报文接收端向报文发送端发送包括验证机制和验证字的连接协商报文(OPEN报文)。所述OPEN报文实际中可以根据协商的需要确定内容,本例中采用的OPEN报文的格式参考图2。图2所述的OPEN报文是用来建立BGP连接的,从图2看出该报文包括很多参数,本发明利用该报文进行验证机制和验证字的能力协商,利用了该报文的最后一个参数,即可选参数。所述可选参数的格式参考图3,其中验证码用于标识或约定采用的验证机制,16字节的随机数用于作为验证字。OPEN报文的作用在于携带协商的具体内容,即协商验证机制和验证字。本例中验证码值为1,定义为基于MD5验证算法的报文验证机制,随后跟随的16字节是由BGP报文接收端产生的作为验证字的随机数。需要说明,采用的加密算法实际中也可以是其他可能的验证算法,并不局限于MD5算法。
报文发送端在步骤2接收到OPEN报文后,根据OPEN报文和本端的验证能力确定是否支持OPEN报文中的验证机制和验证字,如果支持,向报文接收端反馈支持报文,表明报文发送端和报文接收端双方协商成功,否则反馈不支持报文。报文接收端在步骤3接收到报文发送端反馈的报文,根据反馈报文判断与报文发送端的协商是否成功,即是否支持协商的内容,如果接收到的报文是支持报文,则认为协商成功,继续步骤4,否则协商失败,结束协商。
当报文发送端在步骤4发送报文时,建立BGP连接,然后报文发送端根据验证机制和验证字确定的报文头发送BGP报文;最后在步骤5,报文接收端对收到的BGP报文利用协商确定的验证机制和验证字对BGP报文头进行验证,如果验证通过,接收该报文,否则抛弃该报文。也就是说,报文发送端在BGP连接建立后,发送所有的报文都需要用新的报文头代替BGP协议规定的16字节的全1。报文接收端在收到BGP报文后先验证报文头是否一致,如果不一致,则将该报文丢弃。
上述步骤4和步骤5中,报文接收端和报文发送端都要根据验证机制和验证字确定BGP报文头的内容,报文接收端用该内容验证接收到的BGP报文是否是发送给自己的,报文发送端用该内容发送BGP报文。具体的确定方法按照MD5算法的规定进行,参考下述命令:
MD5(OPEN类型+密码+16字节随机数+报文信息);
上述密码是报文发送端和报文接收端配置的MD5密码,16字节随机数为验证字,最后的报文信息为不带报文头(16字节的报文头标记)的报文全文。由上述命令可知,报文发送端用要发送的BGP报文作为参数确定报文头,报文接收端也用接收到的BGP(不带报文头)报文作为参数确定报文头,因此,当接收到的报文被篡改时,能够被及时发现,从而将被篡改的报文抛弃。
上述步骤中,步骤1到步骤3是协商的过程,在报文发送端和报文接收端之间的BGP连接建立前只需执行一次,而在双方协商成功BGP连接建立后,在报文发送端和报文接收端之间报文发送和接收需要重复执行。
需要说明的是,报文发送端和报文接收端是相对的,无论网络中的哪个节点作为报文接收端,每次与报文发送端协商采用的验证机制和验证字可能是不同的。另外,协商的具体过程也可以由报文发送端发起。
Claims (4)
1、一种基于边界网关协议报文的报文安全保护方法,包括:
a.报文接收端向报文发送端发送包括验证机制和验证字的连接协商报文(OPEN报文);
b.报文发送端根据接收到的连接协商报文和本端的验证能力确定是否支持连接协商报文中的验证机制和验证字,如果支持,向报文接收端反馈支持报文,双方协商成功,否则反馈不支持报文验证机制;
c.当报文发送端和报文接收端双方协商成功后,在发送报文时,建立基于边界网关协议的连接,然后报文发送端根据验证机制和验证字确定的报文头发送边界网关协议报文;
d.报文接收端对收到的边界网关协议报文利用报文发送端和报文接收端协商成功的验证机制和验证字对报文进行验证,如果验证通过,接收该报文,否则抛弃该报文。
2、根据权利要求1所述的报文安全保护方法,其特征在于所述方法还包括:确定基于信息摘要算法5(MD5,Message Digest Algorithm5)的验证机制。
3、根据权利要求2所述的报文安全保护方法,其特征在于所述方法还包括:确定验证字为16字节的随机数验证字。
4、根据权利要求3所述的报文安全保护方法,其特征在于所述根据验证机制和验证字确定验证报文发送端发出报文的边界网关协议(BGP)报文头按照下述公式完成:
MD5 OPEN类型+密码+16字节随机数+报文信息;
上述密码是报文发送端和报文接收端配置的MD5密码,16字节随机数为验证字,最后的报文信息为不带报文头,即,不带16字节的报文头标记的报文全文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02129194 CN1223145C (zh) | 2002-08-20 | 2002-08-20 | 基于边界网关协议报文的报文安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02129194 CN1223145C (zh) | 2002-08-20 | 2002-08-20 | 基于边界网关协议报文的报文安全保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1477814A true CN1477814A (zh) | 2004-02-25 |
| CN1223145C CN1223145C (zh) | 2005-10-12 |
Family
ID=34144048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02129194 Expired - Fee Related CN1223145C (zh) | 2002-08-20 | 2002-08-20 | 基于边界网关协议报文的报文安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1223145C (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454833C (zh) * | 2005-08-19 | 2009-01-21 | 华为技术有限公司 | 一种识别网管接口参数的方法 |
| CN101207555B (zh) * | 2006-12-18 | 2010-07-14 | 中兴通讯股份有限公司 | 一种路由黑洞避免过程中过载位自动清除的方法 |
| CN101399751B (zh) * | 2007-09-25 | 2011-02-09 | 华为技术有限公司 | 一种通信网络中的交换系统和方法 |
| CN101547158B (zh) * | 2009-05-13 | 2013-04-10 | 杭州华三通信技术有限公司 | PPPoE会话中的PADT报文交互方法和设备 |
| CN106487746A (zh) * | 2015-08-26 | 2017-03-08 | 中兴通讯股份有限公司 | 一种bmp报文认证的方法及装置 |
| CN107454069A (zh) * | 2017-07-21 | 2017-12-08 | 河南工程学院 | 基于as安全联盟的域间路由系统拟态防护方法 |
| WO2021208664A1 (zh) * | 2020-04-13 | 2021-10-21 | 华为技术有限公司 | 报文检测的方法、设备以及系统 |
| CN114157419A (zh) * | 2021-11-29 | 2022-03-08 | 军事科学院系统工程研究院网络信息研究所 | 一种基于ospf的安全路由协议方法和系统 |
-
2002
- 2002-08-20 CN CN 02129194 patent/CN1223145C/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454833C (zh) * | 2005-08-19 | 2009-01-21 | 华为技术有限公司 | 一种识别网管接口参数的方法 |
| CN101207555B (zh) * | 2006-12-18 | 2010-07-14 | 中兴通讯股份有限公司 | 一种路由黑洞避免过程中过载位自动清除的方法 |
| CN101399751B (zh) * | 2007-09-25 | 2011-02-09 | 华为技术有限公司 | 一种通信网络中的交换系统和方法 |
| CN101547158B (zh) * | 2009-05-13 | 2013-04-10 | 杭州华三通信技术有限公司 | PPPoE会话中的PADT报文交互方法和设备 |
| CN106487746A (zh) * | 2015-08-26 | 2017-03-08 | 中兴通讯股份有限公司 | 一种bmp报文认证的方法及装置 |
| CN107454069A (zh) * | 2017-07-21 | 2017-12-08 | 河南工程学院 | 基于as安全联盟的域间路由系统拟态防护方法 |
| CN107454069B (zh) * | 2017-07-21 | 2020-04-21 | 河南工程学院 | 基于as安全联盟的域间路由系统拟态防护方法 |
| WO2021208664A1 (zh) * | 2020-04-13 | 2021-10-21 | 华为技术有限公司 | 报文检测的方法、设备以及系统 |
| US11855888B2 (en) | 2020-04-13 | 2023-12-26 | Huawei Technologies Co., Ltd. | Packet verification method, device, and system |
| CN114157419A (zh) * | 2021-11-29 | 2022-03-08 | 军事科学院系统工程研究院网络信息研究所 | 一种基于ospf的安全路由协议方法和系统 |
| CN114157419B (zh) * | 2021-11-29 | 2023-08-08 | 军事科学院系统工程研究院网络信息研究所 | 一种基于ospf的安全路由协议方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1223145C (zh) | 2005-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
| JP2610107B2 (ja) | ネットワークを管理する方法および装置 | |
| JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| FI974665A0 (fi) | Metod foer verifikation av paketernas ursprung trots modifieringar i naetadresser och protokoll | |
| CN1173529C (zh) | 基于边界网关协议报文的控制报文安全保护方法 | |
| CN111726368B (zh) | 一种基于SRv6的域间源地址验证的方法 | |
| EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
| CN115943603B (zh) | 区块链增强路由授权 | |
| CN114389835A (zh) | 一种IPv6选项显式源地址加密安全验证网关及验证方法 | |
| CN1197324C (zh) | 识别因特网用户的方法 | |
| CN1223145C (zh) | 基于边界网关协议报文的报文安全保护方法 | |
| CN112015111B (zh) | 基于主动免疫机理的工业控制设备安全防护系统和方法 | |
| CN113794563B (zh) | 一种通信网络安全控制方法及系统 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| JP4647481B2 (ja) | 暗号化通信装置 | |
| RU2358395C2 (ru) | Способ уменьшения времени прохождения исполняемого файла через контрольную точку | |
| CN105471839B (zh) | 一种判断路由器数据是否被窜改的方法 | |
| CN101753353B (zh) | 基于SNMP的安全管理方法、Trap报文的处理方法及装置 | |
| RU2163745C2 (ru) | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования | |
| CN1764200B (zh) | 一种网络安全访问控制体系结构及实现方法 | |
| CN117879874B (zh) | 一种面向sdwan系统的三重安全防护方法及系统 | |
| CN109257110A (zh) | 面向广域能源互联网的光网络轻量级安全信令交互方法 | |
| CN108270800B (zh) | 一种基于自认证码的报文处理方法和系统 | |
| US8041948B2 (en) | Application level gateway for request verification | |
| CN111565193B (zh) | 一种安全隐蔽访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051012 Termination date: 20110820 |