CN1909448A - 在mpls vpn网络中实现端到端加密传输的方法 - Google Patents

Abstract

本发明涉及一种在MPLS VPN网络中实现端到端加密传输的方法。该方法主要包括：首先，在MPLS VPN网络中的网络设备上配置需要对数据进行加密传输的路由及加密参数信息；之后，当需要通过所述的路由进行数据传输时，则在所述路由的两端根据所述这的加密参数信息对数据进行加密传输。本发明可以为不同的VPN选用不同的安全服务，同时，在一个VPN内部，也可以为不同的站点、不同的路由选择不同的安全服务。另外，本发明还可以解决现有技术中路由配置和维护过程中的N平方问题。

Description

在MPLS VPN网络中实现端到端加密传输的方法

技术领域

本发明涉及网络通信技术领域，尤其涉及一种在MPLS VPN网络中实现端到端加密传输的方法。

背景技术

随着网络技术的发展，用户对网络安全的要求日益提高，要求运营商提供安全、可靠的承载通道，对承载数据进行加密。IPsec(互联网协议安全)技术是一种普遍使用的加密技术，它通过创建点到点隧道的方式，对隧道中承载的数据实施加密。

通常有两种IPsec部署方案：

(1)在CE端到端部署IPsec；

(2)在PE端到端部署端到端IPsec；

受到技术、成本、管理能力的限制，CE端到端部署IPsec对大多数用户而言都比较困难，而由运营商提供PE设备之间的端到端安全通道，则相对更容易实施。

随着MPLS VPN(多协议标签交换虚拟专用网)技术的发展，运营商更多的使用MPLS VPN来承载用户，当MPLS VPN与IPsec技术结合以期提供更好的安全性能时，MPLS VPN基于最长前缀的灵活选路策略与IPsec的点到点隧道方式使得他们难以无缝衔接在一起，传统的IPsec作为最外层的隧道也难以为不同的MPLS VPN用户选择不同的加密方法，或者部分VPN用户加密，部分VPN用户不加密。

在MPLS VPN衔接时，传统技术是将IPsec作为外层隧道，当数据进入IPsec隧道时，实施加密；当数据离开IPsec隧道时，则实施解密，该过程对于VPN用户是透明的。

当一个VPN分跨多个PE节点时，每两个PE节点之间都需要事先建立一条IPsec隧道，当PE节点数量众多时，其配置工作量和维护工作量将成平方增长，这就是著名的N方问题，对网络规模扩展的适应能力非常差。

另外，由于IPsec作为外层隧道，通常，同一对PE之间的不同VPN选择相同的外层隧道，这样，就无法为不同的VPN提供不同的安全服务。

发明内容

鉴于上述现有技术所存在的问题，本发明的目的是提供一种在MPLSVPN网络中实现端到端加密传输的方法，从而可以实现为不同的VPN或同一VPN内不同的路由选择不同的安全服务，有效避免建立加密隧道过程中的N平方问题。

本发明的目的是通过以下技术方案实现的：

本发明提供了一种在MPLS VPN网络中实现端到端加密传输的方法，包括：

A、在MPLS VPN网络中的网络设备上保存需要对数据进行加密传输的路由及加密参数信息；

B、当需要通过所述路由进行数据传输时，则在所述路由的两端根据所述这的加密参数信息对数据进行加密传输。

所述的加密参数信息包括：加密算法信息和密钥信息。

所述的步骤A包括：

A1、由多协议标签交换MPLS骨干网络中的运营商边界设备PE将需要进行加密的路由及相应的加密参数信息在网络中发布；

A2、PE设备收到并记录所述路由及相应的加密参数信息。

所述的步骤A1包括：

通过多协议扩展边界网关协议MP-BGP扩展的两个属性或一个属性发布所述的加密参数信息；

或者，

通过发布约定的代表加密参数信息的MP-BGP属性信息，路由设备根据收到的属性信息确定具体的加密参数信息。

所述的步骤A2包括：

PE设备接收所述的加密参数信息后，将其保存于路由表中，并在所述的路由成为活跃路由时，将所述的加密参数信息保存于路由转发表中。

所述的步骤B包括：

B1、当需要通过所述路由进行数据传送时，则在数据发送端根据所述的加密参数信息对所述数据进行加密处理；

B2、在数据接收端接收所述数据后，根据所述的加密参数信息进行解密处理获得相应的数据。

所述的步骤B1还包括：

对加密处理后的数据分别加上内层标签和外层标签封装，且内层标签中设置加密标识信息，用于标识内层标签中的数据为加密数据。

所述的加密标识信息设置于内层标签的高位比特。

所述的步骤B2包括：

接收数据的PE设备当发现内层标签中设置了加密标识信息时，则根据所述的内层标签信息查找对应的加密参数信息；

根据所述的加密参数信息对接收到的内层标签内的数据进行解密，获得加密前的数据。

本发明所述的方法还包括：

在VPN路由分配内层标签时，除分配传统的内层标签外，还为需要加密传输的数据分配对应的加密内层标签；

且所述的步骤B1还包括：

将加密处理后的数据加上加密内层标签和外层标签，或者，加上加密内层标签、传统的内层标签和外层标签。

本发明所述的方法还包括：

C、当需要更新路由的加密参数信息时，则重新发布相应的路由及加密参数信息。

所述的步骤C还包括：

在重新发布相应的路由及加密参数信息时，还为该路由重新分配一个新的内层标签信息，原内层标签信息在保留预定的时间后收回。

由上述本发明提供的技术方案可以看出，本发明所述的方法提供的加密数据的处理过程对外层隧道透明，因此，本发明可以选用不同的外层隧道，并可以支持MPLS TE FRR(MPLS流量工程快速路径恢复)和LDP FRR(标签分发协议快速路径恢复)的快速倒换保护。

而且，本发明中，采用扩展属性背负加密算法和密钥，因此，可以为不同的VPN选用不同的安全服务，同时，在一个VPN内部，也可以为不同的站点、不同的路由选择不同的安全服务策略。

另外，本发明还利用路由反射器功能，解决配置和维护上的N平方问题，不再需要在两两PE之间建立加密隧道进行数据的加密传输。

附图说明

图1为MPLS VPN网络的结构示意图；

图2为本发明所述的方法的处理流程示意图。

具体实施方式

本发明的实现主要是借助MP-BGP的扩展属性，基于内层标签创建不同的加密隧道，采用不同的加密服务，即为不同的VPN及同一VPN的不同路由提供不同的安全服务，因此，有效解决了现有技术所存在的配置路由过程中可能出现的N平方问题。

本发明所述方法应用的典型的MPLS VPN组网如图1所示，在图中，中间位置是MPLS骨干区，包括四个PE设备，即PE-A/B/C/D；图中包括两个VPN，每个VPN中有3个CE设备，第一个VPN包含的CE设备为CE-1/2/3，第二个VPN包含的CE设备为CE-A/B/C。

本发明所述的方法的具体实现方案如图2所示，具体包括以下步骤：

步骤201：为MP-BGP(多协议扩展边界网关协议)扩展两个新属性：

(1)一个是加密算法属性，设属性类型为17，目前，只支持RSA公开密钥算法，属性值为1；

(2)一个是密钥属性，表示加密系统使用的密钥，设属性类型为18。例如，对于RSA公开密钥算法属性，属性值对应RSA密钥系统的公开密钥；

当然，也可以选用其他约定的任何加密算法和密钥；

步骤202：在PE-A向MBGP邻居发布一个VPN的VPNv4(基于IPv4的VPN)路由和内层标签时，使用匹配策略决定需要进行加密的路由信息，即确定需要为哪些路由设置加密算法属性和密钥属性，并将所述的需要加密的路由信息及相应的加密算法属性和密钥属性信息随VPNv4路由和内层标签一同发布；

使用所述的匹配策略确定需要进行加密的路由信息具体为：在网络中根据运营需要确定需要进行加密的业务，根据路由设置中已有的匹配策略确定传输所述业务的实际路由信息；

在该步骤中，由于本发明中是基于路由信息设置相应的加密服务，因此，允许为不同的VPN或者同一个VPN内的不同路由设置不同的加密算法属性和不同的密钥属性，或者，不设置相应的两个加密属性(即不为相应的路由提供加密服务)；

在该步骤中，为便于接收数据的PE设备区分是否采用了加密服务，在分配相应的内层标签时，需要采用以下两种方法中的一种：

(1)对于支持加密服务的PE设备，其对外分配的内层标签高位bit为0，该高位bit用于区分是否提供了加密服务；当然也可以将该高位bit设置为1，只要能够区分出提供了加密服务或未提供加密服务即可；或者，还可以采用内层标签的其他一位或多位区分是否提供了加密服务，以便于进行解密处理获得真实的数据；

或者，

(2)还可以在为VPNv4路由分配内层标签时，分配两个标签，对于不支持加密算法的远端PE设备压入传统的内层标签，对于支持加密算法的远端PE设备压入加密的内层标签，或者同时压入两层标签，表示内层标签之内封装的报文是加密的，这样，就可以不使用检查内层标签高bit的办法来判断是否需要对内层标签封装的报文解密；

除分配内层标签过程的特殊处理外，在该支持加密服务的PE设备上，即在发布加密参数信息(加密算法和密钥)的PE设备上，还需要在设置了密钥算法属性的路由对应的内层标签的入方向信息表中，扩展其表项，用于保存相应的加密算法和密钥，以便于当接收到加密传送来的数据时可以根据该加密参数信息进行解密处理，以获得真实的数据信息；以RSA公开密钥算法为例，增加的基本结构包括加密算法类型和私有密钥。

步骤203：MPLS VPN网络中其他PE设备接收PE-A发布的信息，并保存所述的需要加密的路由信息及相应的加密参数信息；

例如：当PE-B和PE-C设备接收到带有加密算法属性和密钥属性的VPNv4路由之后，如果本设备支持所述的两个属性，则记录路由携带的这两个属性，存储在路由表中；当带有所述的两个特殊属性的路由优选成为活跃路由时，则在路由转发表的转发项的扩展结构中保存加密参数信息：加密算法和密钥，这样，当通过该路由发送数据时，便可以利用所述的加密参数信息对待发送的数据进行加密处理，之后，再发送；

如果收到相应信息的PE设备不支持所述的两个扩展属性，则直接忽略相应的信息，即不作任何处理；

步骤204：当需要通过需要加密的路由进行数据传输时，则根据路由转发表中记录的加密算法和密钥对待发送的数据进行加密处理，之后加上内层标签和外层标签封装，并发送该加密、封装处理后的报文；

仍以上例，当PE-B、PE-C向PE-A转发数据时，如果查找命中的路由转发表的转发项中加密算法和密钥属性有效，则根据加密算法和密钥对原始报文进行加密，之后加上内层标签和外层标签封装，将报文从隧道发送出去；此处，为了区分内层标签以内的数据是否进行了加密，将内层标签的高位置1，以表示内层标签以内的数据进行了加密处理；

在该步骤中，对于不支持加密算法属性和密钥属性的PE设备，则按照正常的转发流程进行转发即可；

步骤205：接收到设备接收所述加密后的数据后，根据所述内层标签确定相应的加密算法和密钥，并根据所述加密算法和密钥对数据进行解密处理，获得加密前的实际数据；

仍参见上例，在PE-A设备，使用内层标签查找Insegment表，首先判断内层标签的高位是否为1，如果不为1，则表示报文未加密，则按照传统的流程处理；否则，使用内层标签的低19bit查表，根据表项信息说明的加密算法和解密密钥进行解密，还原数据报文，再按照传统的处理流程转发所述的数据，即将所述报文交给CE-A。

本发明中，当用户希望在PE-A上修改某一条指定的VPNv4路由在发布时携带的加密参数信息，即加密算法属性和密钥属性时，为了防止在数据更新过程中由于PE端到端两侧的加密算法和密钥不匹配导致的业务中断，系统将使用新的属性重新发布此路由，并分配一个新的内层标签，在PE-A设备本地，原来的内层标签将保留一段时间再回收。

本发明中，由于加密数据封装在内层标签之内，对外透明，因此，在外层隧道的选择方面，可以是LDP LSP(标签分发协议标签交换路径)、可以是TE Tunnel(流量工作隧道)，也可以是GRE等传统VPN隧道，针对外层隧道实现的MPLS TE FRR(MPLS流量工程快速路径恢复)、LDP FRR(标签分发协议快速路径恢复)等技术均可以直接在本发明描述的加密隧道方案上应用。

需要说明的是，本发明中，还可以只使用一个MP-BGP扩展属性同时携带相应的加密算法和密钥信息，进行相应的加密参数信息的发布。

VPNv4路由还可以只使用现有的扩展属性，在接收端通过匹配扩展属性设置不同的加密算法和密钥，例如，约定某一扩展属性代表的加密算法和密钥信息，当路由设备接收到VPNv4路由后，则可以根据约定的某一扩展属性查找本地保存的扩展属性与加密算法和密钥的对应关系，从而确定基于该路由传输的数据的加密参数信息。

本发明的实现还可以利用传统的路由反射器功能，解决配置和维护上的N平方问题。所述的路由反射器(RR，Route Reflector)，是BGP中的一个传统技术，利用该技术，不需要每个PE设备之间建立MP-BGP邻居，而是PE设备都与RR建立MP-BGP邻居关系，RR收集所有的PE发布的路由信息，再转发给其他的PE设备。在本发明里面，PE将携带了加密属性的路由发布给RR，再由RR反射给其他PE，这样，当在一个部署了RR的MPLS VPN网络中，新加入一个PE设备的时候，只要配置新PE和RR的MP-BGP邻居关系，新PE就能够收到携带了加密属性的路由。

由于RR是MPLS L3 VPN网络中广法使用的技术，因此，本发明的思想在部署了RR的网络中同样适用，并且利用了RR的这个特点，可以在新增加PE时，不用对老的PE做配置方面的修改，同时，利用RR技术，只要PE与RR建立了MP-BGP邻居关系，就可以得到路由中的加密属性，而不用像传统的IPSEC Tunnel技术那样，在每两个PE之间建立一条点到点的IPSEC隧道。这就是本发明解决N平方配置问题的一个关键技术所在。

综上所述，本发明可以为不同的VPN选用不同的安全服务，同时，在一个VPN内部，也可以为不同的站点、不同的路由选择不同的安全服务。另外，本发明还可以解决现有技术中路由配置和维护过程中的N平方问题。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (12)

1、一种在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，包括：

A、在MPLS VPN网络中的网络设备上保存需要对数据进行加密传输的路由及加密参数信息；

B、当需要通过所述路由进行数据传输时，则在所述路由的两端根据所述这的加密参数信息对数据进行加密传输。

2、根据权利要求1所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的加密参数信息包括：加密算法信息和密钥信息。

3、根据权利要求1所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤A包括：

A1、由多协议标签交换MPLS骨干网络中的运营商边界设备PE将需要进行加密的路由及相应的加密参数信息在网络中发布；

A2、PE设备收到并记录所述路由及相应的加密参数信息。

4、根据权利要求3所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤A1包括：

通过多协议扩展边界网关协议MP-BGP扩展的两个属性或一个属性发布所述的加密参数信息；

或者，

通过发布约定的代表加密参数信息的MP-BGP属性信息，路由设备根据收到的属性信息确定具体的加密参数信息。

5、根据权利要求3所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤A2包括：

PE设备接收所述的加密参数信息后，将其保存于路由表中，并在所述的路由成为活跃路由时，将所述的加密参数信息保存于路由转发表中。

6、根据权利要求1至5任一项所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤B包括：

B1、当需要通过所述路由进行数据传送时，则在数据发送端根据所述的加密参数信息对所述数据进行加密处理；

B2、在数据接收端接收所述数据后，根据所述的加密参数信息进行解密处理获得相应的数据。

7、根据权利要求6所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤B1还包括：

对加密处理后的数据分别加上内层标签和外层标签封装，且内层标签中设置加密标识信息，用于标识内层标签中的数据为加密数据。

8、根据权利要求7所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的加密标识信息设置于内层标签的高位比特。

9、根据权利要求7所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤B2包括：

接收数据的PE设备当发现内层标签中设置了加密标识信息时，则根据所述的内层标签信息查找对应的加密参数信息；

根据所述的加密参数信息对接收到的内层标签内的数据进行解密，获得加密前的数据。

10、根据权利要求6所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，该方法还包括：

在VPN路由分配内层标签时，除分配传统的内层标签外，还为需要加密传输的数据分配对应的加密内层标签；

且所述的步骤B1还包括：

将加密处理后的数据加上加密内层标签和外层标签，或者，加上加密内层标签、传统的内层标签和外层标签。

11、根据权利要求1至5任一项所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，该方法还包括：

C、当需要更新路由的加密参数信息时，则重新发布相应的路由及加密参数信息。

12、根据权利要求11所述的在MPLS VPN网络中实现端到端加密传输的方法，其特征在于，所述的步骤C还包括：

在重新发布相应的路由及加密参数信息时，还为该路由重新分配一个新的内层标签信息，原内层标签信息在保留预定的时间后收回。