一种MPLS-TP中伪线加密方法技术

一种MPLS‑TP中伪线加密方法，可解决现有网络中缺少专门为伪线设计的端到端加密的解决方案的技术问题。包括以下步骤：S100：在两个PE设备之间建立伪线PW；S200：在伪线PW上建立关联通道IKE‑Channel；S300：在关联通道IKE‑Channel上传输IKE协商报文，通过IKE协商生成安全联盟参数SEC SA；S400：在伪线PW上建立关联通道SEC‑Channel；S500：用SEC SA中协商的算法和密钥，进行伪线上业务报文的加密和完整性验证，在关联通道SEC‑Channel上传输加密报文。本发明专利技术可以在现有MPLS‑TP网络设备上，实现对现有网络中的伪线的流量进行加密，提高网络的安全性，并且能够和新型的量子加密、国密算法结合起来使用，可以灵活的部署到现有网络中。

A Pseudo-Line Encryption Method in MPLS-TP

A pseudo-line encryption method in MPLS TP can solve the technical problem that there is no end-to-end encryption solution specially designed for pseudo-lines in the existing network. It includes the following steps: S100: establishing pseudo-line PW between two PE devices; S200: establishing correlation channel IKE Channel on pseudo-line PW; S300: transmitting IKE negotiation message on connection channel IKE Channel, generating security alliance parameter SEC SA through IKE negotiation; S400: establishing Association channel SEC Channel on pseudo-line PW; S500: using algorithm and key negotiated in SEC SA to carry out pseudo-line. Encryption and integrity verification of the above business message, and transmission of the encrypted message on the associated channel SEC Channel. The invention can encrypt the flow of pseudo-wires in the existing network on the existing MPLS TP network equipment, improve the security of the network, and can be combined with the new quantum encryption and state-secret algorithm, and can be flexibly deployed to the existing network.

【技术实现步骤摘要】
一种MPLS-TP中伪线加密方法
本专利技术涉及通信
，具体涉及一种MPLS-TP中伪线加密方法。
技术介绍
MPLS-TP是一种面向连接的分组交换网络技术，是由ITU-T和IETF联合提出的传送需求可扩展的MPLS架构实现，这些扩展被称为TransportProfileforMPLS(即MPLS-TP)。MPLS-TP通过伪线(PW，PseudoWire)承载IP、以太网、ATM、TDM等业务，现有的伪线技术能够很好的仿真端到端的电路交换，但是报文在伪线上明文传输，缺少一种加密方法。IPSEC(InternetProtocolSecurity因特网协议安全)是一种开放标准的框架结构，通过使用加密的安全服务以确保在IP网络上进行保密而安全的通讯。IPSEC通过ISAKMP协议协商安全联盟SA。ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)是IPSec密钥管理协议，为IPSEC提高身份认证以及密钥交换技术。安全联盟SA(SecurityAssociation)是IPSec的基础，是通信双方建立的一种协定，决定本文档来自技高网...

【技术保护点】
1.一种MPLS‑TP中伪线加密方法，其特征在于，包括以下步骤：S100：在两个PE设备之间建立伪线PW；S200：在伪线PW上建立关联通道IKE‑Channel；S300：在关联通道IKE‑Channel上传输IKE协商报文，通过IKE协商生成安全联盟参数SEC SA；S400：在伪线PW上建立关联通道SEC‑Channel；S500：用SEC SA中协商的算法和密钥，进行伪线上业务报文的加密和完整性验证，在关联通道SEC‑Channel上传输加密报文。

【技术特征摘要】
1.一种MPLS-TP中伪线加密方法，其特征在于，包括以下步骤：S100：在两个PE设备之间建立伪线PW；S200：在伪线PW上建立关联通道IKE-Channel；S300：在关联通道IKE-Channel上传输IKE协商报文，通过IKE协商生成安全联盟参数SECSA；S400：在伪线PW上建立关联通道SEC-Channel；S500：用SECSA中协商的算法和密钥，进行伪线上业务报文的加密和完整性验证，在关联通道SEC-Channel上传输加密报文。2.根据权利要求1所述的MPLS-TP中伪线加密方法，其特征在于：所述步骤S100中的伪线PW为静态配置的伪线，或者协议动态建立的伪线。3.根据权利要求1所述的MPLS-TP中伪线加密方法，其特征在于：所述步骤S200包括：S201：IKE-Channel作为IKE协议交互通道，使用PW-ACH格式定义伪线的关联通道封装格式；S202：IKE-Channel上传输报文的完整封装格式从底层到外层依次是：外层MPLS标签、内层MPLS标签、PW-ACH头、IP头、UDP头、ISAKMP头和ISAKMP载荷，其中IP头的地址为两端PE设备的接口地址或loopback地址。4.根据权利要求1所述的MPLS-TP中伪线加密方法，其特征在于步骤S300包括以下步骤：S301：两端PE分别作为IKE的发起端和响应端，进行IKE协商；S302：IKE协议版本支持IKEv1、IKEv2、IKE国密、IKE量子四种协议版本中的任何一种；S303：PE发出的IKE报文，按照PW-ACH格式封装；S304：PE收到的IKE报文，按照PW-ACH格式解封装；S305：PE发出和收到IKE报文，由IKE软...

【专利技术属性】
技术研发人员：林晨，
申请(专利权)人：安徽皖通邮电股份有限公司，
类型：发明
国别省市：安徽,34