本发明专利技术公开了一种报文交互方法及装置,该方法包括:使用扩展的PIM协议报文进行认证协商;使用与认证协商对应的数据进行报文交互。本发明专利技术可以解决相关技术中需要提前在有可能进行报文交互的所有DR和所有RP之间配置IPSec业务,从而会大幅增加RP的业务负担的问题,进而可以消除使用IPSec方法带来的额外通信开销。
【技术实现步骤摘要】
报文交互方法及装置
本专利技术涉及通信领域,具体而言,涉及一种报文交互方法及装置。
技术介绍
目前,PIM-SM是域内组播的公认标准,随着网络和组播业务的发展,其安全可靠性越来越受公众的关注。现有的PIM-SM安全策略主要是通过IPSec提供协议报文的数据完整性和数据源身份认证。相关技术中,IPSec对本链路的报文(如Hello、Join/Prune、Assert)需要配置一个SA和SPI。例如,对于注册报文,RFC4601中建议域内所有PIM路由器使用同种认证算法和参数,包括所有DR和所有RP。由此可见,IPSec的配置需要感知到报文收发两端的组网,即需要提前在有可能进行报文交互的所有DR和所有RP之间配置IPSec业务。显然,这将大幅增加RP的业务负担。
技术实现思路
针对相关技术中需要提前在有可能进行报文交互的所有DR和所有RP之间配置IPSec业务,从而会大幅增加RP的业务负担的问题而提出本专利技术,为此,本专利技术的主要目的在于提供一种报文交互方法及装置,以解决上述问题。为了实现上述目的,根据本专利技术的一个方面,提供了一种报文交互方法。根据本专利技术的报文交互方法包括:使用扩展的PIM协议报文进行认证协商;使用与认证协商对应的数据,进行报文交互。优选地,对于链路内多个路由器之间的报文交互,扩展的PIM协议报文包括:定义有认证选项的Hello报文;定义有认证数据的PIM报文。优选地,Hello报文中定义的认证选项包括以下至少之一:认证选项的选项类型;认证选项中的认证数据的长度;认证选项中的认证数据的值。优选地,认证数据的值包括以下至少之一:认证数据的值的认证类型;认证数据的值的密钥标识号;认证数据的值的加密序列号;认证数据的值的密钥。优选地,使用与认证协商对应的认证数据,进行报文交互包括:多个路由器中的任一路由器发送携带有认证数据的Hello报文,其中,认证数据中携带有密钥以及与密钥对应的密钥标识号;多个路由器中的其它路由器接收到该Hello报文;其它路由器根据本地认证配置以及密钥标识号验证接收的Hello报文;其它路由器根据验证结果,对接收的Hello报文进行协议处理或者丢弃。优选地,使用与认证协商对应的认证数据,进行报文交互还包括:其它路由器判断接收收的Hello报文中的加密序列号是否大于上次保存的收到发送报文路由器的加密序列号;如果判断结果为是,则对接收的PIM报文进行协议处理,否则丢弃接收的PIM报文。优选地,使用加密序列号,对PIM协议报文中的PIM-LAN部分和PIM协议报文中的PIM-UNICAST部分统一排序,每发送一次PIM协议报文加密序列号递增。优选地,在使用扩展的PIM协议报文进行认证协商之前,上述方法还包括:在PIM协议报文中增加PA标记,其中PA标记用于指示接收报文具有认证字段。优选地,对于域内DR与RP之间的单播报文交互,扩展的PIM协议报文包括:定义有认证选项的Register和Register-Stop报文;对于域内C-RP与BSR之间的单播报文交互,扩展的PIM协议报文包括:定义有认证选项的Candidate-RP-Adv报文;对于域内BSR泛洪的组播报文交互,扩展的PIM协议报文包括:定义有认证选项的BSM报文。优选地,在使用扩展的PIM协议报文进行认证协商之前,上述方法还包括:在PIM协议报文中增加DA标记,其中DA标记用于指示发送报文的设备具备认证协商功能。为了实现上述目的,根据本专利技术的另一个方面,提供了一种报文交互装置。根据本专利技术的报文交互装置包括:认证协商模块,用于使用扩展的PIM协议报文进行认证协商;报文交互模块,用于使用与认证协商对应的数据,进行报文交互。通过本专利技术,把认证协商流程附带于报文交互过程中,从而可以消除使用IPSec方法带来的额外通信开销。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的报文交互方法的流程图;图2是根据本专利技术实施例的扩展后的PIM报文格式的示意图;图3是根据本专利技术优选实施例的Hello报文中的认证选项的示意图;图4是根据本专利技术优选实施例的认证数据的格式的示意图;图5是根据本专利技术优选实施例的PA标记和DA标记的示意图;图6是根据本专利技术实施例的BSM中A标记位置的示意图;图7是根据本专利技术优选实施例的报文交互系统的示意图;图8是根据本专利技术实施例的报文交互装置的结构框图。具体实施方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本专利技术。图1是根据本专利技术实施例的报文交互方法的流程图,如图1所示,包括如下的步骤S102至步骤S104。步骤S102,使用扩展的PIM协议报文进行认证协商。步骤S104,使用与认证协商对应的认证数据,进行报文交互。相关技术中,需要提前在有可能进行报文交互的所有DR和所有RP之间配置IPSec业务,从而会大幅增加RP的业务负担。本专利技术实施例中,把认证协商流程附带于报文交互过程中,从而可以消除使用IPSec方法带来的额外通信开销。图2是根据本专利技术实施例的扩展后的PIM报文格式的示意图,其描述了在PIM报文尾部追加认证数据,其在PIM报文的位置如图2所示。优选地,对于链路内多个路由器之间的报文交互,扩展的PIM协议报文包括:定义有认证选项的Hello报文;定义有认证数据的PIM报文。优选地,Hello报文中定义的认证选项包括以下至少之一:认证选项的选项类型;认证选项中的认证数据的长度;认证选项中的认证数据的值。图3是根据本专利技术优选实施例的Hello报文中的认证选项的示意图,如图3所示,选项类型(OptionType)为24,OptionLength用于指示认证数据的长度,OptionValue用于指示认证数据的值。进一步地,图4是根据本专利技术优选实施例的认证数据的格式的示意图,如图4所示,本地设备的PIM邻居发送Hello报文时按照此认证数据的格式携带认证数据。优选地,使用与认证协商对应的认证数据,进行报文交互包括:多个路由器中的任一路由器发送携带有认证数据的Hello报文,其中,认证数据中携带有密钥以及与密钥对应的密钥标识号;多个路由器中的其它路由器接收到该Hello报文;其它路由器根据本地认证配置以及密钥标识号验证接收的Hello报文;其它路由器根据验证结果,对接收的Hello报文进行协议处理或者丢弃。本优选实施例中验证认证数据的值所用的认证算法由本地策略决定,其计算步骤如下:首先,输入如下的参数:H:特定的Hash算法,比如MD5和SHA-256K:PIM-SM的认证密钥Ko:Hash算法的密钥B:H的内部块大小,单位为字节,比如SHA-256,其B=64L:Hash的长度,单位为字节XOR:异或操作Opad:循环B次的0x5cIpad:循环B次的0x36Apad:长度等同于Hash输入或者摘要长度的值,其前4或16个字节为PIM-SM的源地址,后面填补(L-4)/4或者(L-16)/4个0x878FE1F3。其次,按照如下的步骤(1)至步骤(3)进行计算。(1)、准备Key值,Ko长度为L,若K的长度等于L,则Ko本文档来自技高网...
【技术保护点】
1.一种报文交互方法,其特征在于,包括:使用扩展的PIM协议报文进行认证协商;使用与所述认证协商对应的数据,进行报文交互。
【技术特征摘要】
1.一种报文交互方法,其特征在于,包括:使用扩展的PIM协议报文进行认证协商,其中,所述扩展的PIM协议报文包括:定义有认证选项的Hello报文,定义有认证数据的PIM报文;使用与所述认证协商对应的数据,进行报文交互。2.根据权利要求1所述的方法,其特征在于,所述Hello报文中定义的认证选项包括以下至少之一:所述认证选项的选项类型;所述认证选项中的所述认证数据的长度;所述认证选项中的所述认证数据的值。3.根据权利要求2所述的方法,其特征在于,所述认证数据的值包括以下至少之一:所述认证数据的值的认证类型;所述认证数据的值的密钥标识号;所述认证数据的值的加密序列号;所述认证数据的值的密钥。4.根据权利要求3所述的方法,其特征在于,使用与所述认证协商对应的认证数据,进行报文交互包括:对于链路内多个路由器之间的报文交互,所述多个路由器中的任一路由器发送携带有所述认证数据的所述Hello报文,其中,所述认证数据中携带有所述密钥以及与所述密钥对应的密钥标识号;所述多个路由器中的其它路由器接收到该Hello报文;所述其它路由器根据本地认证配置以及密钥标识号验证所述接收的Hello报文;所述其它路由器根据所述验证结果,对所述接收的Hello报文进行协议处理或者丢弃。5.根据权利要求4所述的方法,其特征在于,使用与所述认证协商对应的认证数据,进行报文交互还包括:所述其它路由器判断接收的Hello报文中的所述加密序列号是否大于上次保存的收到所述任一路由器发送报文的加密序列号;如果判断结果为是,则对所述接收的Hell...
【专利技术属性】
技术研发人员:郭三军,徐本崇,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。