一种会话建立方法、系统及LSP出口节点及入口节点技术方案

本发明专利技术实施例提供了一种会话建立方法、系统及LSP出口节点及入口节点，属于数据通信技术领域。本发明专利技术在LSP入口节点发送的包含BFD鉴别值TLV的MPLS echo request报文中增加认证信息TLV。LSP出口节点使用认证信息TLV对LSP入口节点发送的包含BFD鉴别值TLV的MPLS echo request报文进行认证，认证通过后LSP出口节点才创建BFD会话。从而解决现有技术方案中，LSP出口节点通过接收包含BFD鉴别值TLV的MPLS echo request报文触发创建BFD会话的安全性问题。

Session establishment method, system and LSP export node and entrance node

The embodiment of the invention provides a session establishment method, a system and an LSP exit node and an ingress node, belonging to the field of data communication technology. The present invention in the LSP entrance node contains BFD identification authentication information TLV TLV increased MPLS echo request message. LSP exit node uses authentication information to TLV LSP entrance node contains BFD TLV MPLS echo differential value request message authentication, certification through the LSP exit node to create a BFD session. In order to solve the existing technical scheme, LSP exit node by receiving the differential value of TLV MPLS including BFD echo request message triggered the creation of the BFD session security issues.

【技术实现步骤摘要】
一种会话建立方法、系统及LSP出口节点及入口节点
本专利技术涉及数据通信
，具体而言，涉及一种会话建立方法、系统及LSP出口节点及入口节点。
技术介绍
双向转发检测(BidirectionalForwardingDetection，简称BFD)是一种用于快速检测网络中的路径连通状况的检测协议，可为各上层路由协议和多协议标签交换(MultiprotocolLabelSwitching，简称MPLS)等提供统一、持续及快速的故障检测能力。其中，使用BFD检测MPLS标签交换路径(LabelSwitchedPath，简称LSP)时，出口节点的BFD会话建立方式为：入口节点建立会话后，向出口节点发送包含BFD鉴别值TLV(Type-Length-Value，类型-长度-值)的MPLSechorequest报文，出口节点接收到该MPLSechorequest报文后，通过其中的BFD鉴别值TLV获取到入口节点的会话鉴别值，然后创建本端BFD会话。上述出口节点的会话建立方式存在一定的安全性问题。如果网络中存在攻击者，恶意向出口节点持续大量的发送包含BFD鉴别值TLV的MPLSechorequest报文，会导致出口节点的BFD会话资源耗尽，从而无法创建BFD会话。专利技术人在研究中发现，针对该安全性问题主要存在以下两种解决方案：通过配置命令设置全局开关状态进行控制和通过配置ACL(AccessControlList，访问控制列表)规则来控制MPLSechorequest报文的接收。其中，第一种方案无法适用于需要使用BFD检测MPLSLSP功能的情况。第二种方案可以控制只允许接收满足规则限定条件的MPLSechorequest报文，比如限定报文的源IP地址，或限定报文的接收接口，但是存在部署复杂、安全性不高的缺点。
技术实现思路
本专利技术提供了一种会话建立方法、系统及LSP出口节点及入口节点，旨在有效提高使用BFD检测MPLSLSP时，LSP出口节点建立BFD会话的安全性。第一方面，本专利技术实施例提供的一种会话建立方法，包括：LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLSechorequest报文，并对该MPLSechorequest报文进行解析，得到解析结果；根据所述解析结果判断所述MPLSechorequest报文是否包含BFD鉴别值TLV；当所述MPLSechorequest报文包含BFD鉴别值TLV时，判断所述MPLSechorequest报文是否包含认证信息TLV；当所述MPLSechorequest报文包含认证信息TLV时，按照预先配置的认证类型和认证密钥判断所述MPLSechorequest报文是否通过认证；当所述MPLSechorequest报文通过认证时，所述LSP出口节点创建本端BFD会话，并发送一MPLSechoreply报文给所述LSP入口节点。第二方面，本专利技术实施例提供的一种LSP出口节点，与LSP入口节点通信连接，其中，所述LSP出口节点包括：解析模块，用于接收LSP入口节点在创建本端BFD会话后发送的MPLSechorequest报文，并对该MPLSechorequest报文进行解析，得到解析结果；判断模块，用于根据所述解析结果判断所述MPLSechorequest报文是否包含BFD鉴别值TLV，及当所述MPLSechorequest报文包含BFD鉴别值TLV时，判断所述MPLSechorequest报文是否包含认证信息TLV；认证模块，用于当所述MPLSechorequest报文包含认证信息TLV时，按照预先配置的认证类型和认证密钥对所述MPLSechorequest报文进行认证；会话创建模块，用于在所述MPLSechorequest报文通过认证时，所述LSP出口节点创建本端BFD会话，并发送一MPLSechoreply报文给所述LSP入口节点。优选地，所述LSP出口节点还包括，启动模块，用于开启所述LSP出口节点的针对包含BFD鉴别值TLV的MPLSechorequest报文的认证功能，并设置认证类型和认证密钥；第三方面，本专利技术实施例提供一种LSP入口节点包括配置模块、生成模块和发送模块；所述配置模块，用于根据所述LSP出口节点设置的认证类型和认证密钥对该LSP入口节点的认证类型和认证密钥进行配置，并创建本端BFD会话；所述生成模块，用于根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLSechorequest报文；针对该MPLSechorequest报文按照所述LSP入口节点的认证类型和认证密钥生成认证信息TLV，并将该认证信息TLV封装到所述MPLSechorequest报文中；所述发送模块，用于将包含BFD鉴别值TLV和认证信息TLV的MPLSechorequest报文发送给所述LSP出口节点。第四方面，本专利技术实施例提供的一种会话建立系统，包括以上第二方面LSP出口节点以及第三方面的LSP入口节点，所述LSP出口节点与所述LSP入口节点通信连接。本专利技术实施例提供的一种会话建立方法及系统、LSP出口节点，在LSP入口节点创建本端BFD会话后生成MPLSechorequest报文发送给LSP出口节点，该LSP出口节点对该MPLSechorequest报文进行解析，当判断出所述MPLSechorequest报文同时包含BFD鉴别值TLV、认证信息TLV以及通过认证时，所述LSP出口节点才创建本端BFD会话，从而有效提高了所述LSP出口节点建立本端BFD会话的安全性。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应该看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1是本专利技术实施方式提供的一种会话建立系统的应用环境示意图。图2示出了图1中的LSP出口节点的功能模块框图。图3是一种认证信息TLV的格式示意图。图4是认证类型为KeyedMD5时认证信息TLV的格式示意图。图5示出了图1中的LSP入口节点的功能模块框图。图6是本专利技术实施方式提供的一种会话建立方法的流程图。图7是本专利技术实施方式提供的一种LSP入口节点在创建本端BFD会话的步骤之前的流程图。图中标记分别为：图标：100-会话建立系统；101-LSP出口节点；102-LSP入口节点；1011-解析模块；1012-判断模块；1013-认证模块1014-会话创建模块；1015-启动模块；1021-配置模块；1022-生成模块；1023-发送模块。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则本文档来自技高网...

【技术保护点】
一种会话建立方法，其特征在于，所述方法包括：LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文，并对该MPLS echo request报文进行解析，得到解析结果；根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV；当所述MPLS echo request报文包含BFD鉴别值TLV时，判断所述MPLS echo request报文是否包含认证信息TLV；当所述MPLS echo request报文包含认证信息TLV时，按照预先配置的认证类型和认证密钥判断所述MPLS echo request报文是否通过认证；当所述MPLS echo request报文通过认证时，所述LSP出口节点创建本端BFD会话，并发送MPLS echo reply报文给所述LSP入口节点。

【技术特征摘要】
1.一种会话建立方法，其特征在于，所述方法包括：LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLSechorequest报文，并对该MPLSechorequest报文进行解析，得到解析结果；根据所述解析结果判断所述MPLSechorequest报文是否包含BFD鉴别值TLV；当所述MPLSechorequest报文包含BFD鉴别值TLV时，判断所述MPLSechorequest报文是否包含认证信息TLV；当所述MPLSechorequest报文包含认证信息TLV时，按照预先配置的认证类型和认证密钥判断所述MPLSechorequest报文是否通过认证；当所述MPLSechorequest报文通过认证时，所述LSP出口节点创建本端BFD会话，并发送MPLSechoreply报文给所述LSP入口节点。2.根据权利要求1所述的会话建立方法，其特征在于，在所述LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLSechorequest报文的步骤之前，该方法还包括：开启所述LSP出口节点的针对包含BFD鉴别值TLV的MPLSechorequest报文的认证功能，并设置认证类型和认证密钥；所述LSP入口节点根据所述LSP出口节点设置的认证类型和认证密钥对该LSP入口节点的认证类型和认证密钥进行配置，并创建本端BFD会话；根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLSechorequest报文；针对该MPLSechorequest报文按照所述LSP入口节点的认证类型和认证密钥生成认证信息TLV，并将该认证信息TLV封装到所述MPLSechorequest报文中；将包含BFD鉴别值TLV和认证信息TLV的MPLSechorequest报文发送给所述LSP出口节点。3.根据权利要求1所述的会话建立方法，其特征在于，该方法还包括：当所述MPLSechorequest报文未包含BFD鉴别值TLV时，发送一MPLSechoreply报文给所述入口节点。4.根据权利要求1所述的会话建立方法，其特征在于，所述方法还包括：当所述MPLSechorequest报文未包含认证信息TLV时，所述LSP出口节点丢弃所述MPLSechorequest报文。5.根据权利要求1所述的会话建立方法，其特征在于，所述方法还包括：当所述MPLSechorequest报文未通过认证时，所述LSP出口节点丢弃所述MPLSechorequest报文。6.一种LSP出口节点，其特征在于，所述出口节点与LSP入口节点通信连接，所述LSP出口节点包括：解析模块，用于接收LSP入口节点在创建本端BFD会...

【专利技术属性】
技术研发人员：秦川，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51