專利名稱：基于邊界網(wǎng)關(guān)協(xié)議報(bào)文的控制報(bào)文安全保護(hù)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)系統(tǒng)中控制報(bào)文的安全保護(hù)方法。
本發(fā)明的目的在于提供一種有利于互聯(lián)網(wǎng)數(shù)據(jù)報(bào)文安全和網(wǎng)絡(luò)安全的基于邊界網(wǎng)關(guān)協(xié)議報(bào)文的控制報(bào)文安全保護(hù)方法。
為達(dá)到上述目的，本發(fā)明提供的基于邊界網(wǎng)關(guān)協(xié)議報(bào)文的控制報(bào)文安全保護(hù)方法，包括a.報(bào)文接收端向報(bào)文發(fā)送端發(fā)送包括認(rèn)證機(jī)制和認(rèn)證字的連接協(xié)商報(bào)文(OPEN報(bào)文)；b.報(bào)文發(fā)送端根據(jù)接收到的連接協(xié)商報(bào)文和本端的認(rèn)證能力確定是否支持連接協(xié)商報(bào)文中的認(rèn)證機(jī)制和認(rèn)證字，如果支持，向報(bào)文接收端反饋支持報(bào)文，否則反饋不支持報(bào)文；c.報(bào)文接收端如果接收到報(bào)文發(fā)送端的支持報(bào)文，根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定認(rèn)證報(bào)文發(fā)送端發(fā)出報(bào)文的邊界網(wǎng)關(guān)協(xié)議(BGP協(xié)議)報(bào)文頭；d.在基于邊界網(wǎng)關(guān)協(xié)議的連接建立后，報(bào)文發(fā)送端根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定的報(bào)文頭發(fā)送邊界網(wǎng)關(guān)協(xié)議報(bào)文；e.報(bào)文接收端對(duì)收到的邊界網(wǎng)關(guān)協(xié)議報(bào)文利用步驟c確定的邊界網(wǎng)關(guān)協(xié)議報(bào)文頭進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，接收該報(bào)文，否則拋棄該報(bào)文。
所述方法還包括確定基于信息摘要算法5(MD5，Message Digest Algorithm 5)的認(rèn)證機(jī)制。
確定認(rèn)證字為16字節(jié)的隨機(jī)數(shù)認(rèn)證字。
報(bào)文接收端和報(bào)文發(fā)送端在報(bào)文接收端每次接收到邊界網(wǎng)關(guān)協(xié)議報(bào)文后，將報(bào)文頭的前16個(gè)字節(jié)的標(biāo)記域再次作為認(rèn)證字重新確定報(bào)文頭。
由于本發(fā)明根據(jù)報(bào)文接收端和報(bào)文發(fā)送端之間的認(rèn)證機(jī)制和相互之間交換的連接協(xié)商報(bào)文(OPEN報(bào)文)來(lái)對(duì)BGP報(bào)文頭的標(biāo)記域進(jìn)行加密，即使非法截取到BGP報(bào)文，由于不能獲得BGP報(bào)文的頭標(biāo)志，因此無(wú)法獲得BGP報(bào)文內(nèi)容，更無(wú)法根據(jù)BGP報(bào)文內(nèi)容獲得對(duì)整個(gè)網(wǎng)絡(luò)攻擊的機(jī)會(huì)。因此采用本發(fā)明可以配合TCP數(shù)據(jù)流保護(hù)報(bào)文接收端和報(bào)文發(fā)送端之間的BGP連接，從而保護(hù)BGP報(bào)文內(nèi)容和網(wǎng)絡(luò)的安全。
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)的描述。


圖1是本發(fā)明所述方法的實(shí)施例流程圖。按照?qǐng)D1，首先在步驟1報(bào)文接收端向報(bào)文發(fā)送端發(fā)送包括認(rèn)證機(jī)制和認(rèn)證字的連接協(xié)商報(bào)文(OPEN報(bào)文)。所述OPEN報(bào)文實(shí)際中可以根據(jù)協(xié)商的需要確定內(nèi)容，本例中采用的OPEN報(bào)文的格式參考圖2。圖2所述的OPEN報(bào)文是用來(lái)建立BGP連接的，從圖2看出該報(bào)文包括很多參數(shù)，本發(fā)明利用該報(bào)文進(jìn)行認(rèn)證機(jī)制和認(rèn)證字的能力協(xié)商，利用了該報(bào)文的最后一個(gè)參數(shù)，即可選參數(shù)。所述可選參數(shù)的格式參考圖3，其中認(rèn)證碼用于標(biāo)識(shí)或約定采用的認(rèn)證機(jī)制，16字節(jié)的隨機(jī)數(shù)用于作為加密認(rèn)證字。OPEN報(bào)文的作用在于攜帶協(xié)商的具體內(nèi)容，即認(rèn)證機(jī)制和認(rèn)證字。本例中認(rèn)證碼值為1，定義為基于MD5加密算法的報(bào)文認(rèn)證機(jī)制，隨后跟隨16字節(jié)是由BGP報(bào)文接收端產(chǎn)生的作為認(rèn)證字的隨機(jī)數(shù)。
報(bào)文發(fā)送端在步驟2接收到OPEN報(bào)文后，根據(jù)OPEN報(bào)文和本端的認(rèn)證能力確定是否支持OPEN報(bào)文中的認(rèn)證機(jī)制和認(rèn)證字，如果支持，向報(bào)文接收端反饋支持報(bào)文，否則反饋不支持報(bào)文。報(bào)文接收端在步驟3接收到報(bào)文發(fā)送端反饋的報(bào)文，根據(jù)反饋報(bào)文判斷與報(bào)文發(fā)送端的協(xié)商是否成功，即是否支持協(xié)商的內(nèi)容，如果接收到的報(bào)文是支持報(bào)文，則認(rèn)為協(xié)商成功，在步驟4根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定認(rèn)證報(bào)文發(fā)送端發(fā)出報(bào)文的BGP報(bào)文頭，然后繼續(xù)步驟5，否則協(xié)商失敗，結(jié)束協(xié)商。
在步驟5，建立BGP連接，然后報(bào)文發(fā)送端根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定的報(bào)文頭發(fā)送BGP報(bào)文；上述步驟4和步驟5中，報(bào)文接收端和報(bào)文發(fā)送端都要根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定BGP報(bào)文頭的內(nèi)容，報(bào)文接收端用該內(nèi)容認(rèn)證接收到的BGP報(bào)文是否是發(fā)送給自己的，報(bào)文發(fā)送端用該內(nèi)容發(fā)送BGP報(bào)文。具體的確定方法按照MD5算法的規(guī)定進(jìn)行，參考下述命令MD5(OPEN類型+密碼+16字節(jié)隨機(jī)數(shù))；上述密碼是報(bào)文發(fā)送端和報(bào)文接收端配置的MD5密碼，最后的16字節(jié)隨機(jī)數(shù)為認(rèn)證字。
最后在步驟6，報(bào)文接收端對(duì)收到的BGP報(bào)文利用步驟4確定的BGP報(bào)文頭進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，接收該報(bào)文，否則拋棄該報(bào)文。也就是說(shuō)，報(bào)文發(fā)送端在BGP連接建立后，發(fā)送所有的報(bào)文都需要用新的報(bào)文頭代替BGP協(xié)議規(guī)定的16字節(jié)的全1。報(bào)文接收端在收到BGP報(bào)文后先驗(yàn)證報(bào)文頭是否一致，如果不一致，則將該報(bào)文丟棄。
上述步驟中，步驟1到步驟4是協(xié)商的過(guò)程，在報(bào)文發(fā)送端和報(bào)文接收端之間的BGP連接建立前只需執(zhí)行一次，而在雙方協(xié)商成功BGP連接建立后，在報(bào)文發(fā)送端和報(bào)文接收端之間報(bào)文發(fā)送和接收需要重復(fù)執(zhí)行。
需要說(shuō)明的是，報(bào)文發(fā)送端和報(bào)文接收端是相對(duì)的，無(wú)論網(wǎng)絡(luò)中的哪個(gè)節(jié)點(diǎn)作為報(bào)文接收端，每次與報(bào)文發(fā)送端協(xié)商采用的認(rèn)證機(jī)制和認(rèn)證字可能是不同的。另外，協(xié)商的具體過(guò)程也可以由報(bào)文發(fā)送端發(fā)起。
圖1所述實(shí)施例的缺點(diǎn)是報(bào)文頭在連接建立后就不會(huì)改變，這有可能通過(guò)截取大量報(bào)文分析后得出報(bào)文頭的具體內(nèi)容，因此，可以通過(guò)報(bào)文接收端和報(bào)文發(fā)送端在報(bào)文接收端每次接收到BGP報(bào)文后，將報(bào)文頭的前16個(gè)字節(jié)的標(biāo)記域再次作為認(rèn)證字重新確定報(bào)文頭，以具備自我變換保護(hù)能力，就可以克服所述缺點(diǎn)。
權(quán)利要求
1.一種基于邊界網(wǎng)關(guān)協(xié)議報(bào)文的控制報(bào)文安全保護(hù)方法，包括a.報(bào)文接收端向報(bào)文發(fā)送端發(fā)送包括認(rèn)證機(jī)制和認(rèn)證字的連接協(xié)商報(bào)文(OPEN報(bào)文)；b.報(bào)文發(fā)送端根據(jù)接收到的連接協(xié)商報(bào)文和本端的認(rèn)證能力確定是否支持連接協(xié)商報(bào)文中的認(rèn)證機(jī)制和認(rèn)證字，如果支持，向報(bào)文接收端反饋支持報(bào)文，否則反饋不支持報(bào)文；c.報(bào)文接收端如果接收到報(bào)文發(fā)送端的支持報(bào)文，根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定認(rèn)證報(bào)文發(fā)送端發(fā)出報(bào)文的邊界網(wǎng)關(guān)協(xié)議(BGP協(xié)議)報(bào)文頭；D.建立基于邊界網(wǎng)關(guān)協(xié)議的連接，然后報(bào)文發(fā)送端根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定的報(bào)文頭發(fā)送邊界網(wǎng)關(guān)協(xié)議報(bào)文；e.報(bào)文接收端對(duì)收到的邊界網(wǎng)關(guān)協(xié)議報(bào)文利用步驟c確定的邊界網(wǎng)關(guān)協(xié)議報(bào)文頭進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，接收該報(bào)文，否則拋棄該報(bào)文。
2.根據(jù)權(quán)利要求1所述的控制報(bào)文安全保護(hù)方法，其特征在于所述方法還包括確定基于信息摘要算法5(MD5，Message Digest Algorithm5)的認(rèn)證機(jī)制。
3.根據(jù)權(quán)利要求2所述的控制報(bào)文安全保護(hù)方法，其特征在于所述方法還包括確定認(rèn)證字為16字節(jié)的隨機(jī)數(shù)認(rèn)證字。
4.根據(jù)權(quán)利要求1、2或3所述的控制報(bào)文安全保護(hù)方法，其特征在于所述方法還包括報(bào)文接收端和報(bào)文發(fā)送端在報(bào)文接收端每次接收到邊界網(wǎng)關(guān)協(xié)議報(bào)文后，將報(bào)文頭的前16個(gè)字節(jié)的標(biāo)記域再次作為認(rèn)證字重新確定報(bào)文頭。
全文摘要
本發(fā)明公開(kāi)了一種基于邊界網(wǎng)關(guān)協(xié)議報(bào)文的控制報(bào)文安全保護(hù)方法，該方法包括報(bào)文接收端和報(bào)文接收端之間認(rèn)證機(jī)制和認(rèn)證的協(xié)商過(guò)程，如果認(rèn)證協(xié)商成功，報(bào)文接收端則根據(jù)認(rèn)證機(jī)制和認(rèn)證字認(rèn)證報(bào)文發(fā)送端發(fā)出報(bào)文的BGP報(bào)文頭中的16字節(jié)的標(biāo)記域；在BGP連接建立后，報(bào)文發(fā)送端根據(jù)認(rèn)證機(jī)制和認(rèn)證字確定的報(bào)文頭中的前16字節(jié)的標(biāo)記域來(lái)發(fā)送邊界網(wǎng)關(guān)協(xié)議報(bào)文，報(bào)文接收端對(duì)收到的BGP報(bào)文利用確定好的BGP報(bào)文頭16字節(jié)標(biāo)記域進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，接收該報(bào)文，否則拋棄該報(bào)文；采用上述方案能夠?qū)GP報(bào)文頭進(jìn)行加密，即使非法截取到BGP報(bào)文，也無(wú)法獲得BGP報(bào)文內(nèi)容，更無(wú)法根據(jù)BGP報(bào)文內(nèi)容獲得對(duì)BGP會(huì)話或者整個(gè)網(wǎng)絡(luò)攻擊的機(jī)會(huì)。
文檔編號(hào)H04L9/32GK1416245SQ0212092
公開(kāi)日2003年5月7日 申請(qǐng)日期2002年6月5日 優(yōu)先權(quán)日2002年6月5日
發(fā)明者胡春哲 申請(qǐng)人:華為技術(shù)有限公司