WO2013120356A1

WO2013120356A1 - 端口控制协议快速恢复方法和装置

Info

Publication number: WO2013120356A1
Application number: PCT/CN2012/082757
Authority: WO
Inventors: 张大成
Original assignee: 华为技术有限公司
Priority date: 2012-02-13
Filing date: 2012-10-11
Publication date: 2013-08-22
Also published as: CN102611571B; CN102611571A

Abstract

本发明实施例提供一种端口控制协议快速恢复方法，该方法中备份PCP服务器通知用户发生PCP服务器切换，备份 PCP服务器接收所述用户发送的令牌Token，并根据接收到的令牌Token生成新的映射信息。本发明实施方式提供的技术方案在进行PCP快速恢复时使用令牌Token验证用户身份的合法性，使得主备用PCP服务器安全可靠地完成快速切换，保证了用户通信业务的正常进行。

Description

端口控制协议快速恢复方法和装置

本申请要求于 2012 年 2 月 13 日提交中国专利局、申请号为 201210031610.9、发明名称为 "端口控制协议快速恢复方法和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，尤其涉及一种端口控制协议快速恢复方法和装置。

背景技术

端口控制协议（ Port Control Protocol, PCP )提供了 IPv6 ( Internet Protocol version 6, 互联网协议第 6版）或 IPv4 ( Internet Protocol version 4 , 互联网协议第 4版）主机控制网络地址转换器（ Network Address Translator, NAT )和防火墙设备如何转换和转发 IPv6或 IPv4分组的机制。 PCP允许应用创建从外部 IP 地址和端口到内部 IP地址和端口的映射。这些映射对于位于 NAT或防火墙后的设备的正常通信是必须的。

PCP协议中提供了快速恢复机制，在主用 PCP服务器出现故障后，另外一个备份 PCP服务器会接替出现故障的 PCP服务器，快速建立起映射关系，从而保持正常的通信。但现有的快速恢复机制存在安全缺陷，恶意攻击者可以利用安全缺陷对网络进行攻击，从而对正常的通信造成很大影响。

发明内容

本发明的实施方式提供的方法和装置，解决目前 PCP协议中快速恢复机制中的安全缺陷问题。

本发明实施例提供一种端口控制协议快速恢复方法，该方法包括：备份 PCP服务器通知用户发生 PCP服务器切换；

所述备份 PCP服务器接收所述用户发送的令牌 Token;

所述备用 PCP服务器根据接收到的所述令牌 Token生成新的映射信息。本发明实施例提供一种端口控制协议快速恢复装置，该装置包括：主用 PCP服务器接收用户发送的 PCP映射请求；

所述主用 PCP服务器生成映射信息，根据所述映射信息生成令牌 Token; 所述主用 PCP服务器将生成的所述令牌 Token发送给所述用户。

与现有技术相比，本发明实施方式提供的技术方案通过对映射信息进行保护得到令牌 Token, 并在进行 PCP快速恢复时使用得到的令牌 Token验证用户身份的合法性，从而在主用 PCP服务器发生故障时，安全可靠地完成主备用 PCP服务器地快速切换，保证了用户通信业务的正常进行。

附图说明

图 1是本发明实施例提供的一种端口控制协议快速恢复方法的流程示意图；

图 2是本发明实施例提供的一种令牌 Token实例的示意图；

图 3是本发明实施例提供的另一种端口控制协议快速恢复方法的流程示意图；

图 4是本发明实施例提供的再一种端口控制协议快速恢复方法的流程示意图；图 5是本发明实施例提供的一种端口控制协议快速恢复装置的结构示意图；

图 6是本发明实施例提供的另一种端口控制协议快速恢复装置的结构示意图；

图 7是本发明实施例提供的再一种端口控制协议快速恢复系统的结构示意图。

具体实施方式

本发明的实施例通过对映射信息进行保护得到令牌 Token,并在进行 PCP 快速恢复时使用得到的令牌 Token验证用户身份的合法性，从而在主用 PCP 服务器发生故障时，安全可靠地完成主备用 PCP服务器地快速切换，保证了用户通信业务的正常进行。

实施例一

根据本发明实施例的一个方面，一种 PCP快速恢复方法，包括：

100, 备份 PCP服务器通知用户发生 PCP服务器切换；

具体地，当正在工作的主用 PCP服务器发生故障，备份 PCP服务器接替发生故障的主用 PCP服务器，并通知用户发生 PCP服务器切换，用户收到通知后向备份 PCP服务器提交 PCP映射请求。例如，网络感受到主用 PCP服务器发生故障后，通知备份 PCP服务器接替发生故障的主用 PCP服务器工作，或者备份 PCP服务器检测主用 PCP服务器的状态，当发现主用 PCP服务器发生故障后接替主用 PCP服务器工作。 102, 备份 PCP服务器接收用户发送的令牌 Token;

用户接收到备份 PCP服务器发送的 PCP服务器发生切换的通知后，向备份 PCP服务器发送一个令牌 Token请求建立映射。举例来说，该令牌 Token可以通过如下方式获得：在用户通过主用 PCP服务器建立映射时，主用 PCP服务器对生成的映射信息进行签名或者釆用消息验证码（ Message Authentication Code, MAC )对映射消息进行保护，得到令牌 Token, 并将得到的令牌 Token发送给用户，用户对令牌 Token进行保存。进行签名的算法例如可以为通用关键字密码算法（ Ron Rivest、 Adi Shamirh和 Len Adleman algorithm, RSA ) , MAC保护的算法例如可以为基于哈希算法的消息验证码 ( Hashed-Base Message Authentication Code , HMAC ) 、 MAC-SHA1或者 MAC-SHA2等，其中 SHA是安全散列算法（ Secure Hash Algorithm ) 的简称。

举例来说，用户向主用 PCP服务器发送建立映射的请求，主用 PCP服务器同意用户发送的建立映射的请求，并对生成的映射信息使用本地保存的密钥进行保护，从而得到对应该映射信息的令牌 Token。上述密钥可以为签名公钥私钥对或者 MAC对称密钥，这个密钥由 PCP主备服务器共享。令牌 Token 的一个实例如图 2所示。其中，该令牌 Token实例中的参数意义如下：

Option Code , 选项码，用于标识选项类型；

Reserved , 保留字段；取值可以由用户和 PCP服务器约定，例如可以设为全 0;

Option Length, 选项长度字段，表示从 Protocol字段到 Signature or MAC 字段的总的长度，以字节为单位；

Protocol,指示与映射信息相关的上层协议，取值可以遵循因特网地址分配组织（Internet Assigned Number Authority, IANA )协议注册表，例 ¾口当该字段取值为 6时代表传输控制协议 ( Transmission Control Protocol, TCP ) ； Algorithm, 对映射信息签名和 MAC保护所使用的算法，用序号表示。举例来说，可以使用序号 1来表示签名算法 RSA, 用序号 2来表示 MAC算法

HMAC , 用序号 3表示 MAC算法 MAC-SHA1 , 用序号 4表示 MAC算法

MAC-SHA2等；

Internal Port, 映射的内部端口的端口号，长度为 16比特；

Assigned External Port: 分配的外部端口的端口号，长度为 16比特； Assigned External IP Address, 分配的外部端口的端口号，长度为 128比特；

Remote Peer Port, 远端通信节点的端口号，长度为 16比特；

Reserved (16 bits) , 保留字段，取值可以由用户和 PCP服务器约定，例如可以设为全 0;

Remote Peer IP Address , 远端通信节点的端口号，长度为 128比特； Signature or MAC , 签名值或者 MAC值。

上述字段中的参数除了 Signature or MAC字段以外的参数的意义和取值均可以遵循 PCP协议的规定。

举例来说，当生成 Token的时候， PCP服务器从生成的 PCP映射信息中得到上述 Token实例中的相应参数值并填入 Token的相应字段，然后在 Algorithm 字段插入签名算法或者 MAC算法的编号，将 Signature or MAC字段填满零 (也可以填满其他取值的数字），然后按照 Algorithm字段对应的算法生成签名值或者 MAC值，将签名值或者 MAC值填入 Signature or MAC字段，从而得到一个完整的 Token。

104, 备用 PCP服务器根据接收到的 token生成新的映射信息。备用 PCP服务器接收到用户发送的 token, 利用本地保存的密钥对 Token 进行签名验证或者 MAC验证，如果验证通过，则从验证通过的 Token中得到映射相关信息从而生成新的映射信息。备用 PCP服务器生成新的映射信息后，用户即可和外部通信节点进行正常的通信。

实施例二

参见图 3 , 根据本发明实施例的另一个方面，提供了一种 PCP快速恢复方法，包括：

300, 主用 PCP服务器接收用户发送的 PCP映射请求；

302, 主用 PCP服务器生成映射信息，根据映射信息生成令牌 Token; 304, 主用 PCP服务器将生成的令牌 Token发送给用户。

举例来说，主用 PCP服务器根据用户发送的映射请求生成映射信息，然后对生成的映射信息进行签名或 MAC保护，从而生成令牌 Token, 并将令牌 Token发送给用户。用户将令牌 Token保存起来供发生主备 PCP服务器切换时使用。进行签名的算法例如可以为通用关键字密码算法（Ron Rivest、 Adi Shamirh和 Len Adleman algorithm, RSA ) , MAC保护的算法例如可以为基于哈希算法的消息验证码 ( Hashed-Base Message Authentication Code , HMAC )、 MAC-SHA1或者 MAC-SHA2等，其中 SHA是安全散列算法（Secure Hash Algorithm )的简称。举例来说，用户向主用 PCP服务器发送建立映射的请求，主用 PCP服务器同意用户发送的建立映射的请求，并对生成的映射信息使用本地保存的密钥进行保护，从而得到对应该映射信息的令牌 Token。上述密钥可以为签名公钥私钥对或者 MAC对称密钥，这个密钥由 PCP主备服务器共享。生成的令牌 Token的一个实施如图 2, 其中的参数的含义和取值和实施例一中相同，在此不再赘述。实施例三

参见图 4, 根据本发明实施例的另一个方面，提供了一种 PCP快速恢复方法，包括：

400, 主用 PCP服务器接收用户发送的 PCP映射请求；

402, 主用 PCP服务器生成映射信息，根据映射信息生成令牌 Token; 举例来说，主用 PCP服务器根据用户发送的映射请求生成映射信息，然后对生成的映射信息进行签名或 MAC保护，从而生成令牌 Token, 并将令牌 Token发送给用户。进行签名的算法例如可以为通用关键字密码算法（Ron Rivest、 Adi Shamirh和 Len Adleman, RSA ) , MAC保护的算法例如可以为基于哈希算法的消息验证码 ( Hashed-Base Message Authentication Code , HMAC )、 MAC-SHAl或者 MAC-SHA2等，其中 SHA是安全散列算法（ Secure Hash Algorithm )的简称。举例来说，用户向主用 PCP服务器发送建立映射的请求，主用 PCP服务器同意用户发送的建立映射的请求，并对生成的映射信息使用本地保存的密钥进行保护，从而得到对应该映射信息的令牌 Token。上述密钥可以为签名公钥私钥对或者 MAC对称密钥，这个密钥由 PCP主备服务器共享。生成的令牌 Token的一个实施如图 2, 其中的参数的含义和取值和实施例一中相同，在此不再赘述。

404, 将令牌 Token发送给用户；

406, 备份 PCP服务器通知用户发生 PCP服务器切换；

具体地，当正在工作的主用 PCP服务器发生故障，备份 PCP服务器接替发生故障的主用 PCP服务器，并通知用户发生 PCP服务器切换。例如，网络感受到主用 PCP服务器发生故障后，通知备份 PCP服务器接替发生故障的主用 PCP服务器工作，或者备份 PCP服务器检测主用 PCP服务器的状态，当发现主用 PCP服务器发生故障后接替主用 PCP服务器工作。

408, 备份 PCP服务器接收用户发送的令牌 Token;

用户接收到备份 PCP服务器发送的 PCP服务器发生切换的通知后，向备份 PCP服务器发送保存的令牌 Token请求建立映射。

410, 备用 PCP服务器根据接收到的 token生成新的映射信息。

备用 PCP服务器接收到用户发送的 token, 利用本地保存的密钥对 Token 进行签名验证或者 MAC验证，如果验证通过，则从验证通过的 Token中得到映射相关信息从而生成新的映射信息。备用 PCP服务器生成新的映射信息后，用户即可和外部通信节点进行正常的通信。

本发明实施例提供的端口控制协议快速恢复方法，通过对映射信息进行保护得到令牌 Token, 并在进行 PCP快速恢复时使用得到的令牌 Token验证用户身份的合法性，从而在主用 PCP服务器发生故障时，安全可靠地完成主备用 PCP服务器地快速切换，保证了用户通信业务的正常进行。

实施例四

参见图 5 , 本发明实施例还提供一种 PCP快速恢复装置 50, 该装置 50例如可以是 PCP协议中的服务器，该装置 50包括：

通知单元 501 , 用于在主用 PCP服务器故障后通知用户发生 PCP服务器切换；

令牌 Token接收单元 502 , 用于接收用户发送的令牌 Token;

映射信息生成单元 503 , 用于根据接收到的令牌 Token生成新的映射信息。

进一步地，装置 50还可以包括主用 PCP服务器故障检测单元，用于检测主用 PCP服务器发生故障或者接收主用 PCP服务器发生故障的通知。进一步地，映射信息生成单元 503具体包括：

签名验证子单元，用于对接收到的用户发送的令牌 Token进行签名验证；得到映射相关信息从而生成新的映射信息。

或者，映射信息生成单元 503具体包括：

MAC验证子单元，用于对接收到的用户发送的令牌 Token进行 MAC验证；

映射信息生成子单元，用于从 MAC验证子单元 MAC验证通过的 Token中得到映射相关信息从而生成新的映射信息。

本发明实施例提供的 PCP快速恢复装置 50可以具体用于执行实施例一对应的方法，其实现原理和技术效果类似，此处不再赘述。

实施例五

参见图 6,本发明实施例还提供一种 PCP快速恢复装置 60,该装置 60包括：映射请求接收单元 601 , 用于接收用户发送的 PCP映射请求；

令牌 Token生成单元 602 , 用于生成映射信息，根据映射信息生成令牌 Token;

令牌 Token发送单元 603 , 用于将令牌 Token发送给用户。

进一步地，所述令牌 Token生成单元 602具体包括：

映射信息生成子单元，用于生成映射信息；

签名生成子单元，用于对映射信息生成子单元生成的映射信息进行签名得到令牌 Token。

或者，所述令牌 Token生成单元 602具体包括：

映射信息生成子单元，用于生成映射信息；消息验证码 MAC生成子单元，用于对映射信息生成子单元生成的所述映射信息进行消息验证码 MAC得到所述令牌 Token。

本发明实施例提供的 PCP快速恢复装置 60可以具体用于执行实施例二对应的方法，其实现原理和技术效果类似，此处不再赘述。

实施例六

参见图 7 , 本发明实施例还提供一种 PCP快速恢复系统 70, 该系统 70包括如实施例四中所述的快速恢复装置 50和实施例五中所述的快速恢复装置 60。

本发明实施例提供的 PCP快速恢复系统 60可以具体用于执行实施例三对应的方法，其实现原理和技术效果类似，此处不再赘述。

本发明实施例提供的端口控制协议快速恢复装置和系统，通过对映射信息进行保护得到令牌 Token, 并在进行 PCP快速恢复时使用得到的令牌 Token 验证用户身份的合法性，从而在主用 PCP服务器发生故障时，安全可靠地完成主备用 PCP服务器地快速切换，保证了用户通信业务的正常进行。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存己忆体 ( Random Access Memory, RAM )等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1. 一种端口控制协议 PCP快速恢复方法，其特征在于，包括：备份 PCP服务器通知用户发生 PCP服务器切换；

所述备份 PCP服务器接收所述用户发送的令牌 Token;

所述备用 PCP服务器根据接收到的所述令牌 Token生成新的映射信息。

2. 如权利要求 1所述的方法，其特征在于，所述令牌 Token由主用 PCP 服务器对映射信息进行签名或者进行消息验证码 MAC保护得到。

3. 如权利要求 1所述的方法，其特征在于，所述备份 PCP服务器通知用户发生 PCP服务器切换具体为：

当正在工作的主用 PCP服务器发生故障，所述备份 PCP服务器接替发生故障的所述主用 PCP服务器，并通知所述用户发生 PCP服务器切换。

4. 如权利要求 1-3任意一项所述的方法，其特征在于，所述备用 PCP服务器根据接收到的令牌 Token生成新的映射信息具体为：

所述备用 PCP服务器接收到所述用户发送的令牌 Token,对 Token进行签名验证或者 MAC验证，如果验证通过，则从验证通过的 Token中得到映射相关信息从而生成新的映射信息。

5. 如权利要求 4所述的方法，其特征在于，所述备份 PCP服务器通知用户发生 PCP服务器切换之前，所述方法进一步包括：

主用 PCP服务器接收用户发送的 PCP映射请求；

6. 一种端口控制协议 PCP快速恢复方法，其特征在于，包括：主用 PCP服务器接收用户发送的 PCP映射请求；

7. 如权利要求 6所述的方法，其特征在于，所述令牌 Token由主用 PCP 服务器对映射信息进行签名或者进行消息验证码 MAC保护得到。

8. 一种端口控制协议 PCP快速恢复装置，其特征在于，包括：通知单元，用于在主用 PCP服务器发生故障后通知用户发生 PCP服务器切换；

令牌 Token接收单元，用于接收所述用户发送的令牌 Token;

映射信息生成单元，用于根据接收到的所述令牌 Token生成新的映射信息。

9. 如权利要求 8所述的装置，其特征在于，所述映射信息生成单元具体包括：

签名验证子单元，用于对接收到的所述用户发送的令牌 Token进行签名验证；牌 Token中得到映射相关信息从而生成新的映射信息。

10. 如权利要求 8所述的装置，其特征在于，所述映射信息生成单元具体包括：

消息验证码 MAC验证子单元，用于对接收到的所述用户发送的令牌 Token进行 MAC验证；

映射信息生成子单元，用于从所述消息验证码 MAC验证子单元 MAC验证通过的令牌 Token中得到映射相关信息从而生成新的映射信息。

11. 一种端口控制协议 PCP快速恢复装置，其特征在于，包括：映射请求接收单元，用于接收用户发送的 PCP映射请求；

令牌 Token生成单元，用于生成映射信息，根据所述映射信息生成令牌 Token;

令牌 Token发送单元，用于将所述令牌 Token发送所述给用户。

12. 如权利要求 11所述的装置，其特征在于，所述令牌 Token生成单元具体包括：

映射信息生成子单元，用于生成映射信息；

签名生成子单元，用于对所述映射信息进行签名得到所述令牌 Token。

13. 如权利要求 10所述的装置，其特征在于，所述令牌 Token生成单元具体包括：

映射信息生成子单元，用于生成映射信息；

消息验证码 MAC生成子单元，用于对所述映射信息进行消息验证码 MAC得到所述令牌 Token。

14. 一种端口控制协议 PCP快速恢复系统，其特征在于，所述系统包括权利要求 8-10任意一项所述的快速恢复装置和权利要求 11-13任意一项所述的快速恢复装置。