【技术实现步骤摘要】
安全联盟管理方法及设备
本专利技术涉及通信网络领域中路由安全技术,尤其涉及一种用于基于流量工程扩展的资源预留协议(ResourceReSerVationProtocol-TrafficEngineering,RSVP-TE)的安全联盟(SecurityAssociation,SA)管理方法及设备。
技术介绍
资源预留协议(ResourceReSerVationProtocol,RSVP)最初是Internet工程任务组(InternetEngineeringTaskForce,IETF)为服务质量(QualityofService,QoS)的综合服务模型定义的一个信令协议,用于在流(flow)所经路径上为该流进行资源预留,从而满足该流的QoS要求。RSVP协议是一个在互联网协议(InternetProtocol,IP)上承载的信令协议,它允许路由器网络任何一端上终端系统或主机在彼此之间建立保留带宽路径,为网络上的数据传输预定和保证QoS。RSVP协议对于需要保证带宽和时延的业务,如语音传输、视频会议等具有十分重要的作用。RSVP-TE协议是RSVP协议的扩展版本,RSVP-TE协议安全的基本需求是完整性保护和抗重放攻击。RSVP-TE协议需要在节点间交互路由信息,以维护资源预留信息。因为RSVP-TE协议消息在公共网络中传输,传输RSVP-TE协议消息的信道由多个网络节点共享,所以攻击者可以很容易地拦截并伪造/篡改RSVP-TE协议消息;路由器一旦接受这种错误的RSVP-TE协议消息,将会进行错误的资源预留,从而影响RSVP-TE协议的正常工作。为解决这一 ...
【技术保护点】
一种安全联盟(SA)创建方法,其特征在于,该方法包括:第一路由器从自身的Key?Table中查找到第二路由器对应的记录r,并生成随机数Nonce值;所述第一路由器利用所述Nonce值和所述记录r通过伪随机函数生成密钥标识KeyID和子密钥Ks。
【技术特征摘要】
1.一种安全联盟(SA)创建方法,其特征在于,该方法包括:第一路由器从自身的KeyTable中查找到第二路由器对应的记录r,并生成随机数Nonce值;所述记录r包括:密钥Key、本地密钥标识LocalKeyID和接口Interface;所述第一路由器利用所述Nonce值和所述记录r通过伪随机函数生成RFC2747中定义的RSVP-TE协议的密钥标识KeyID和子密钥Ks。2.根据权利要求1所述的方法,其特征在于,所述第一路由器生成Nonce值之后、生成KeyID和Ks之前,该方法还包括:所述第一路由器将所述记录r中的本地密钥标识LocalKeyID和所述Nonce值作为SMO对象中的KeyIdentifier字段和Nonce字段。3.根据权利要求1或2所述的方法,其特征在于,所述第一路由器生成KeyID和Ks之后,该方法还包括:所述第一路由器将所述生成的KeyID和Ks写入本地RSVP-TESA库。4.根据权利要求1或2所述的方法,其特征在于,所述第一路由器利用所述Nonce值和所述记录r通过伪随机函数生成KeyID和Ks包括:利用所述Nonce值、以及所述记录r中的Key、LocalKeyID和Interface,分别通过伪随机函数KeyID=truncate-48(prf(Key,LocalKeyID,Interface,Nonce))和Ks=truncate(prf(Key,LocalKeyID,Interface,Nonce))生成KeyID和Ks。5.一种SA建立方法,其特征在于,该方法包括:第一路由器创建SA,生成SMO对象;并向第二路由器发送携带SMO对象、INTEGRITY对象的RSVP-TE协议消息;所述第二路由器收到RSVP-TE协议消息后,根据所述RSVP-TE协议消息中携带的SMO对象从第二路由器自身的KeyTable中查找到与第一路由器上相同的记录r,利用第一路由器创建SA时生成的随机数Nonce值和所述的记录r通过伪随机函数生成KeyID和Ks,并使用生成的KeyID和Ks验证所述RSVP-TE协议消息的完整性,然后向第一路由器返回携带所述SMO对象的应答消息;所述记录r包括:Key、LocalKeyID和Interface;所述第一路由器收到所述应答消息后,对所述应答消息进行相应处理。6.根据权利要求5所述的方法,其特征在于,所述第二路由器根据所述RSVP-TE协议消息中携带的SMO对象从第二路由器自身的KeyTable中查找到与第一路由器上相同的记录r包括:所述第二路由器根据所述RSVP-TE协议消息中携带的SMO对象中的KeyIdentifier字段,从第二路由器自身的KeyTable中查找与所述KeyIdentifier字段的内容相对应的对等密钥标识PeerKeyID字段,并根据查找到的PeerKeyID字段从第二路由器自身的KeyTable中查找到与第一路由器上相同的记录r;其中,所述KeyIdentifier字段的内容为第一路由器在创建SA的过程中查找到的第二路由器对应的记录r中的LocalKeyID字段;所述KeyIdentifier字段的长度为16位。7.根据权利要求6所述的方法,其特征在于,所述第二路由器利用Nonce值和所述记录r通过伪随机函数生成KeyID和Ks包括:所述第二路由器将所述记录r中的Key、PeerKeyID和Interface的值、以及Nonce值,分别通过伪随机函数KeyID=truncate-48(prf(Key,LocalKeyID,Interface,Nonce))和Ks=truncate(prf(Key,LocalKeyID,Interface,Nonce))生成KeyID和Ks;其中,LocalKeyID字段对应本地的PeerKeyID字段。8.根据权利要求7所述的方法,其特征在于,所述第二路由器使用生成的KeyID和Ks验证所述RSVP-TE协议消息的完整性包括:所述第二路由器使用生成的KeyID和Ks创建与第一路由器创建的SA对应的SA,然后利用第二路由器自身创建的SA验证所述RSVP-TE协议消息的完整性;验证通过后,使用生成的KeyID和Ks修改本地RSVP-TESA库中相应KeyID和Ks字段的值。9.根据权利要求8所述的方法,其特征在于,所述第一路由器收到所述应答消息后,对所述应答消息进行相应处理包括:所述第一路由器收到所述携带SMO对象的应答消息后,若确认收到的SMO对象中的KeyIdentifier字段与自己发送的一致,则第一路由器与第二路由器成功建立SA。10.根据权利要求7所述的方法,其特征在于,所述第二路由器使用生成的KeyID和Ks验证所述RSVP-TE协议消息的完整性包括:所述第二路由器使用生成的KeyID和Ks创建与第一路由器创建的SA对应的SA,然后使用第二路由器自身创建的SA验证所述RSVP-TE协议消息的完整性;验证通过后,生成随机数Nonce2值,并将所述记录r中的Key、PeerKeyID和Interface的值、以及Nonce值和所述生成的Nonce2值,分别通过伪随机函数KeyID=truncate-48(prf(Key,PeerKeyID,Interface,Nonce,Nonce2))和Ks=truncate(prf(Key,PeerKeyID,Interface,Nonce,Nonce2))生成KeyID和Ks;使用生成的KeyID和Ks修改本地RSVP-TESA库中相应KeyID和Ks字段的值,然后将SMO对象中Nonce字段的值改为Nonce2值;其中,所述Nonce值由第一路由器在创建SA时生成。11.根据权利要求10所述的方法,其特征在于,所述第一路由器收到所述应答消息后,对所述应答消息进行相应处理包括:所述第一路由器收到携带Nonce值和SMO对象的应答消息后,若确认收到的SMO对象中的KeyIdentifier字段与自己发送的一致,则将所述记录r中的Key、PeerKeyID和Interface的值、以及所述Nonce值和所述SMO对象中的Nonce2值,分别通过伪随机函数KeyID=truncate-48(prf(Key,PeerKeyID,Interface,Nonce,Nonce2))和Ks=truncate(prf(Key,PeerKeyID,Interface,Nonce,Nonce2))生成KeyID和Ks,并使用生成的KeyID和Ks修改本地RSVP-TESA库中相应KeyID和Ks字段的值。12.一种SA更新方法,其特征在于,第一路由器和第二路由器已存在相同的SA1;该方法包括:第一路由器创建SA,生成SMO对象;并向第二路由器发送携带SMO对象、INTEGRITY对象的RSVP-TE协议消息;所述第二路由器收到所述第一路由器发送的RSVP-TE协议消息后,使用现有的SA1验证所述RSVP-TE协议消息的完整性;验证通过后,根据所述RSVP-TE协议消息中携带的SMO对象从第二路由器自身的KeyTable中查找到与第一路由器上相同的记录r,利用Nonce值和所述记录r通过伪随机函数生成KeyID和Ks;然后向第一路由器返回携带所述SMO对象的应答消息;所述记录r包括:Key、LocalKeyID和Interface;所述第一路由器收到所述应答消息后,对所述应答消息进行相应处理。13.根据权利要求12所述的方法,其特征在于,所述第二路由器根据所述RSVP-TE协议消息中携带的SMO对象从第二路由器自身的KeyTable中查找到与第一路由器上相同的记录r包括:所述第二路由器根据所述RSVP-TE协议消息中携带的SMO对象中的KeyIdentifier字段,从第二路由器自身的KeyTable中查找与所述KeyIdentifier字段的内容相对应的PeerKeyID字段,并根据查找到的PeerKeyID字段从第二路由器自身的KeyTable中查找到与第一路由器上相同的记录r;其中,所述KeyIdentifier字段的内容为第一路由器在创建SA的过程中查找到的第二路由器对应的记录r中的LocalKeyID字段;所述KeyIdentifier字段的长度为16位。14.根据权利要求13所述的方法,其特征在于,所述第二路由器利用Nonce值和所述记录r通过伪随机函数生成KeyID和Ks包括:所述第二路由器将所述记录r中的Key、PeerKeyID和Interface的值、以及Nonce值,分别通过伪随机函数KeyID=truncate-48(prf(Key,LocalKeyID,Interface,Nonce))和Ks=truncate(prf(Key,LocalKeyID,Interface,Nonce))生成KeyID和Ks;其中,LocalKeyID字段对应本地的PeerKeyID字段;使用生成的KeyID和Ks创建与第一路由器创建的SA对应的SA,并将生成的KeyID和Ks更新本地RSVP-TESA中相应KeyID和Ks字段的值;其中,所述Nonce值由第一路由器在创建SA时生成。15.根据权利要求14所述的方法,其特征在于,所述第一路由器收到所述应答消息后,对所述应答消息进行相应处理包括:所述第一路由器收到所述携带SMO对象的应答消息后,若确认收到的SMO对象中的KeyIdentifier字段与自己发送的一致,则使用生成的KeyID和Ks更新本地RSVP-TESA库中相应KeyID和Ks字段的值。16.根据权利要求13所述的方法,其特征在于,所述第二路由器利用Nonce值和所述记录r通过伪随机函数生成KeyID和Ks包括:所述第二路由器生成Nonce2值,将所述记录r中的Key、PeerKeyID和Interface的值、以及Nonce值和所述生成的Nonce2值,分别通过伪随机函数KeyID=truncate-48(prf(Key,PeerKeyID,Interface,Nonce,Nonce2))和Ks=truncate(prf(Key,PeerKeyID,Interface,Nonce,Nonce2))生成KeyID和Ks;将生成的KeyID和Ks更新本地RSVP-TESA中相应KeyID和Ks字段的值,创建与第一路由器创建的SA对应的...
【专利技术属性】
技术研发人员:韦银星,梁小萍,高峰,万长胜,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。