專利名稱:運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊領(lǐng)域,尤其涉及一種運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法。
背景技術(shù):
為了防止IP網(wǎng)絡(luò)中因?yàn)檗D(zhuǎn)發(fā)環(huán)路的存在,而造成報(bào)文在環(huán)路中不斷轉(zhuǎn)發(fā),從而耗費(fèi)大量資源的情況。在IPv4(因特網(wǎng)協(xié)議版本4)報(bào)文頭中設(shè)置了一個(gè)TTL(生存時(shí)間)字段,在IPv6報(bào)文頭中設(shè)置了一個(gè)Hop Limit(跳限制)字段,該兩個(gè)字段的長度、作用和處理完全相同,下面我們介紹一下TTL字段的處理過程。
當(dāng)一臺主機(jī)在創(chuàng)建一個(gè)IPv4報(bào)文的時(shí)候,便給該報(bào)文的TTL字段分配一個(gè)初始值,該初始值為0到255之間的一個(gè)數(shù)值,一般在Linux(一種免費(fèi)的操作系統(tǒng))上該初始值缺省為64,而在WindowS(一種微軟公司的操作系統(tǒng))上該初始值缺省為128。當(dāng)一個(gè)路由器收到一個(gè)上述IPv4報(bào)文時(shí),在轉(zhuǎn)發(fā)該報(bào)文之前先檢查該報(bào)文的TTL字段的值,如果該TTL字段的值=0,則丟棄該報(bào)文,否則將該報(bào)文的TTL字段的值減少1,然后轉(zhuǎn)發(fā)該報(bào)文。這樣,如果網(wǎng)絡(luò)中如果存在轉(zhuǎn)發(fā)環(huán)路,則報(bào)文在環(huán)路中最終會因?yàn)門TL減少到0而被丟棄,而不會不停止地在環(huán)路中轉(zhuǎn)發(fā)。
在現(xiàn)有技術(shù)中有一些安全機(jī)制利用上述TTL的特點(diǎn)來保護(hù)網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)。比如,RFC3286介紹的GTSM(通用的TTL安全機(jī)制)。下面我們以IGP(域內(nèi)路由協(xié)議)協(xié)議為例來說明GTSM。
網(wǎng)絡(luò)鄰居之間稱為對等體,IGP協(xié)議交互只發(fā)生在網(wǎng)絡(luò)鄰居之間,因此,IGP協(xié)議只接受來自于網(wǎng)絡(luò)鄰居的IGP路由協(xié)議報(bào)文,而來自于其他節(jié)點(diǎn)的IGP路由報(bào)文則認(rèn)定是仿冒的,可以不進(jìn)行處理。為了實(shí)現(xiàn)這個(gè)功能,就需要路由器能夠判斷一個(gè)報(bào)文是來自于網(wǎng)絡(luò)鄰居,還是來自于其他節(jié)點(diǎn)。于是,GTSM中規(guī)定網(wǎng)絡(luò)鄰居之間的IGP路由協(xié)議報(bào)文的TTL初始值必須是255,因此,網(wǎng)絡(luò)鄰居之間的IGP路由協(xié)議報(bào)文抵達(dá)目的路由器(即鄰居)的時(shí)候,TTL的值必然為255,如果不是的話,則斷定該報(bào)文并不是來自于一個(gè)網(wǎng)絡(luò)鄰居,可以直接丟棄該報(bào)文。
對GTSM的一種擴(kuò)展是定義一個(gè)TrustRadius(信任半徑),該信任半徑是能夠信任的設(shè)備距離自己的最大跳數(shù),通過TTL來判斷一個(gè)報(bào)文是否來自于信任半徑之內(nèi)。
上述GTSM方案的缺點(diǎn)為其使用范圍受到很大限制。如果將TrustRadius限定為1,即只接受來自鄰居的報(bào)文,則該安全機(jī)制只能用于象IGP這樣的協(xié)議,而不能應(yīng)用到更廣泛的場景中去,比如BGP協(xié)議(邊界網(wǎng)關(guān)協(xié)議)。如果將TrustRadius限定為一個(gè)比較大的值,則增大了安全風(fēng)險(xiǎn),同時(shí)任何確定TrustRadius的值也很困難,給網(wǎng)絡(luò)配置帶來很大的挑戰(zhàn)。另外,由于處于網(wǎng)絡(luò)邊界的設(shè)備或臨近邊界的設(shè)備的TrustRadius的值必須設(shè)置為比較小,因此,限制了該安全機(jī)制的適用范圍。
現(xiàn)有技術(shù)中另一種利用TTL分段實(shí)現(xiàn)骨干網(wǎng)絡(luò)安全保護(hù)的方法為TPSM(TTL Partition Security Mechanism,TTL分區(qū)安全機(jī)制)方法。
在TPSM方法中規(guī)定骨干網(wǎng)絡(luò)設(shè)備不需要同用戶直接進(jìn)行交互,它對來自于用戶的報(bào)文只需要轉(zhuǎn)發(fā),而不需要由IP層以上的協(xié)議進(jìn)行處理,如果報(bào)文來自用戶,并且報(bào)文的目的地址是該骨干網(wǎng)絡(luò)設(shè)備的地址,則該骨干網(wǎng)絡(luò)設(shè)備可以直接丟棄該報(bào)文。
在TPSM方法中,將網(wǎng)絡(luò)分為運(yùn)營商網(wǎng)絡(luò)和客戶網(wǎng)絡(luò),其中運(yùn)營商網(wǎng)絡(luò)由P(運(yùn)營商的核心路由器)和PE(運(yùn)營商網(wǎng)絡(luò)邊緣路由器)兩種設(shè)備組成,PE直接連接客戶的網(wǎng)絡(luò)(如企業(yè)網(wǎng))或者通過二層網(wǎng)絡(luò)同用戶的網(wǎng)絡(luò)或主機(jī),如ADSL(不對稱數(shù)字用戶線)相連,P設(shè)備是運(yùn)營商網(wǎng)絡(luò)的骨干設(shè)備,負(fù)責(zé)將PE路由器連接起來。
TPSM將TTL分為高低兩個(gè)段,其中高段部分(255到255-TrustRadius)分配給運(yùn)營商骨干網(wǎng)使用,骨干網(wǎng)的PE和P設(shè)備之間的通信的TTL只能是在這個(gè)范圍之內(nèi),并且要求骨干網(wǎng)內(nèi)的通信報(bào)文的TTL初始值都設(shè)為255。如果一個(gè)P或PE路由器發(fā)現(xiàn)一個(gè)目的地址為自己的TTL小于255-TrustRadius的報(bào)文,則認(rèn)為該報(bào)文來自客戶網(wǎng)絡(luò),則可以直接丟棄該報(bào)文;如果報(bào)文的TTL大于255-TrustRadius,則進(jìn)行相應(yīng)的處理。
來自一個(gè)客戶網(wǎng)絡(luò)的報(bào)文的TTL可能也大于255-TrustRadius,這樣骨干網(wǎng)的P路由器就可能錯(cuò)誤地接受這個(gè)報(bào)文。為了避免這種情況,需要在骨干網(wǎng)的邊緣,也就是PE設(shè)備上將骨干網(wǎng)的TTL減少到一個(gè)比255-trustRadius還要小的一個(gè)值(TTL USER MAX),這個(gè)值一般是大于128(考慮到Windows的TTL缺省值為128,而Linux為64,所以將報(bào)文的TTL減少到TTL USER MAX的情況的發(fā)生概率是非常低的,因此對網(wǎng)絡(luò)的影響也能夠降到一個(gè)比較低的水平)。
上述TPSM方法的缺點(diǎn)為該方法將網(wǎng)絡(luò)分為客戶網(wǎng)絡(luò)和運(yùn)營商網(wǎng)絡(luò),并且把運(yùn)營商網(wǎng)絡(luò)作為一個(gè)整體,實(shí)際上為一個(gè)客戶提供服務(wù)的網(wǎng)絡(luò)可能涉及到很多運(yùn)營商網(wǎng)絡(luò),這些運(yùn)營商網(wǎng)絡(luò)之間有各種不同的關(guān)系,尤其是一個(gè)運(yùn)營商網(wǎng)絡(luò)可能為另一個(gè)運(yùn)營商網(wǎng)絡(luò)提供骨干網(wǎng)絡(luò)連接,這樣,第二個(gè)運(yùn)營商網(wǎng)絡(luò)對于它的客戶來說是運(yùn)營商,而對于為它提供骨干網(wǎng)絡(luò)連接的運(yùn)營商網(wǎng)絡(luò)來說是客戶。這種情況一般稱為CsC(Carrier’s Carrier,運(yùn)營商的運(yùn)營商),CsC中將提供VPN(虛擬專用網(wǎng))業(yè)務(wù)的運(yùn)營商稱為批發(fā)運(yùn)營商,而將使用批發(fā)業(yè)務(wù)的運(yùn)營商稱為下級運(yùn)營商。CsC的組網(wǎng)示意圖如圖1所示。
在圖1所示的組網(wǎng)中,在批發(fā)運(yùn)營商網(wǎng)絡(luò)A中可以單獨(dú)實(shí)施上述TPSM方法。并且不會對本身網(wǎng)絡(luò)產(chǎn)生不利的影響。
如果在圖1所示的組網(wǎng)中,在下級運(yùn)營商中單獨(dú)實(shí)施TPSM,比如,在下級運(yùn)營商網(wǎng)絡(luò)B中單獨(dú)實(shí)施TPSM,則網(wǎng)絡(luò)B必須決定將批發(fā)運(yùn)營商網(wǎng)絡(luò)A作為客戶網(wǎng)絡(luò)還是僅僅作為是P設(shè)備。如果將A只當(dāng)作客戶網(wǎng)絡(luò),則TPSM只能在網(wǎng)絡(luò)B中的每個(gè)場所中單獨(dú)實(shí)施,不同場所內(nèi)的設(shè)備無法直接通信,這是無法接受的;如果將A僅僅作為P設(shè)備,就需要在網(wǎng)絡(luò)A中的P設(shè)備實(shí)施同網(wǎng)絡(luò)B中的P設(shè)備相同的報(bào)文TTL處理規(guī)則,而這在實(shí)現(xiàn)上基本是不可能的,因?yàn)橐粋€(gè)批發(fā)運(yùn)營商網(wǎng)絡(luò)可能同時(shí)為多個(gè)下級運(yùn)營商提供批發(fā)業(yè)務(wù),而各個(gè)下級運(yùn)營商可能有的實(shí)現(xiàn)了TPSM,也可能沒有,即使實(shí)現(xiàn)了參數(shù)可能也不完全相同,因此,在下級運(yùn)營商網(wǎng)絡(luò)中單獨(dú)實(shí)施TPSM,而在批發(fā)運(yùn)營商網(wǎng)絡(luò)上不實(shí)施TPSM,TPSM正常工作是非常困難的,甚至是不可能的。
如果在圖1所示的組網(wǎng)中,在批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)施TPSM,則必須正確地進(jìn)行各種參數(shù)的設(shè)置,否則,將引起混亂,在現(xiàn)有技術(shù)當(dāng)中,還沒有在批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)施TPSM的具體方案。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,從而可以在CsC組網(wǎng)的情況下,在批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)施TPSM。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的
一種運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,包括A、在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中分別設(shè)置不同的生存時(shí)間分區(qū)安全機(jī)制TPSM參數(shù);B、利用所述設(shè)置的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)現(xiàn)TPSM。
所述的步驟A具體包括當(dāng)下級運(yùn)營商網(wǎng)絡(luò)接受來自批發(fā)運(yùn)營商網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文時(shí),設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)使用的生存時(shí)間TTL的取值范圍為A1_min≤TTL≤255,其中A1_min為批發(fā)運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值;設(shè)置下級運(yùn)營商網(wǎng)絡(luò)使用的TTL的取值范圍為B1_min≤TTL≤255,其中B1_min為下級運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值,B1_min小于A1_min;設(shè)置用戶網(wǎng)絡(luò)使用的TTL的取值范圍為0<TTL≤U1_max,其中U1_max為用戶網(wǎng)絡(luò)允許的TTL最大值,U1_max小于B1_min。
所述的步驟A具體包括當(dāng)下級運(yùn)營商網(wǎng)絡(luò)不接受來自批發(fā)運(yùn)營商網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文時(shí),設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)使用的TTL的取值范圍為A2_min≤TTL≤255,其中A2_min為批發(fā)運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值;設(shè)置下級運(yùn)營商網(wǎng)絡(luò)使用的TTL的取值范圍為B2_min≤TTL≤B2_max,其中B2_max為下級運(yùn)營商網(wǎng)絡(luò)的TTL允許的最大值,B2_min為下級運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值,B2_max小于A2_min;設(shè)置用戶網(wǎng)絡(luò)使用的TTL的取值范圍為0<TTL≤U2_max,其中U2_max為用戶網(wǎng)絡(luò)允許的TTL最大值,U2_max小于B2_min。
所述的步驟B具體包括批發(fā)運(yùn)營商網(wǎng)絡(luò)的邊緣路由器PE檢查每個(gè)進(jìn)入批發(fā)運(yùn)營商網(wǎng)絡(luò)的報(bào)文,當(dāng)該P(yáng)E接收到目的地址不是自己的TTL大于A1_min的報(bào)文,則將該報(bào)文的TTL減少為B1_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
所述的步驟B還包括設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為255,當(dāng)批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于A1_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
所述的步驟B還包括下級運(yùn)營商網(wǎng)絡(luò)的PE檢查每個(gè)進(jìn)入下級運(yùn)營商網(wǎng)絡(luò)的報(bào)文,當(dāng)連接用戶網(wǎng)絡(luò)的PE接收到目的地址不是自己的TTL大于B1_min的報(bào)文,則將該報(bào)文的TTL減少為U1_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā),當(dāng)連接批發(fā)運(yùn)營商網(wǎng)絡(luò)的PE接收到目的地址不是自己的報(bào)文,則將報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
所述的步驟B還包括設(shè)置下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為255,當(dāng)下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于B1_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
所述的步驟B具體包括批發(fā)運(yùn)營商網(wǎng)絡(luò)的PE檢查每個(gè)進(jìn)入批發(fā)運(yùn)營商網(wǎng)絡(luò)的報(bào)文,如果該P(yáng)E接收到目的地址不是自己的TTL大于A2_min的報(bào)文,則將該報(bào)文的TTL減少為B2_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
所述的步驟B還包括設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為255,當(dāng)批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于A2_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
所述的步驟B還包括下級運(yùn)營商網(wǎng)絡(luò)的PE檢查每個(gè)進(jìn)入下級運(yùn)營商網(wǎng)絡(luò)的報(bào)文,當(dāng)連接用戶網(wǎng)絡(luò)的PE接收到目的地址不是自己的TTL大于B2_min的報(bào)文,則將該報(bào)文的TTL減少為U2_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā),當(dāng)連接批發(fā)運(yùn)營商網(wǎng)絡(luò)的PE接收到目的地址不是自己的TTL大于B2_max的報(bào)文,則將該報(bào)文丟棄。
所述的步驟B還包括設(shè)置下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為B2_max,當(dāng)下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于B2_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
所述的方法適用于IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò)。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明通過對現(xiàn)有的TPSM方案進(jìn)行改進(jìn),從而可以在CsC組網(wǎng)的情況下,根據(jù)實(shí)際組成網(wǎng)絡(luò)的不同要求,設(shè)置不同的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)施TPSM,為批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)同時(shí)提供安全保護(hù)機(jī)制。
圖1為CsC的組網(wǎng)示意圖;圖2為本發(fā)明所述方法的具體處理流程圖;圖3為下級運(yùn)營商接受來自批發(fā)運(yùn)營商的網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文的情況下,在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中設(shè)置TPSM參數(shù)的示意圖;圖4為下級運(yùn)營商不接受來自批發(fā)運(yùn)營商的網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文的情況下,在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中設(shè)置TPSM參數(shù)的示意圖。
具體實(shí)施例方式
本發(fā)明提供了一種運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,本發(fā)明的核心為在CsC組網(wǎng)的情況下,根據(jù)實(shí)際組成網(wǎng)絡(luò)的不同要求,設(shè)置不同的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)施TPSM。
下面結(jié)合附圖來詳細(xì)描述本發(fā)明,本發(fā)明所述方法的具體處理流程圖如圖2所示,包括如下步驟步驟2-1在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中設(shè)置不同的TPSM參數(shù)。
本發(fā)明根據(jù)CsC實(shí)際組網(wǎng)的不同要求設(shè)置不同的TPSM參數(shù)。本發(fā)明將CsC實(shí)際組網(wǎng)分為兩種情況第一種情況下級運(yùn)營商接受來自批發(fā)運(yùn)營商的網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文,比如路由更新報(bào)文的情況。
在該情況下,在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中設(shè)置TPSM參數(shù)的示意圖如圖3所示。
如圖3所示,本發(fā)明將TTL分成多個(gè)段,其中批發(fā)運(yùn)營商使用的TTL段是比較高的段,取值范圍為255到A1_min,A1_min為運(yùn)營商A的TTL允許的最小值;而下級運(yùn)營商使用更大的TTL段,取值范圍為255到B1_min,B1_min為運(yùn)營商B的TTL允許的最小值,并且B1_min比A1_min小,因此,該TTL段包含了批發(fā)運(yùn)營商使用的TTL段;用戶網(wǎng)絡(luò)使用的TTL段為U1_max到0,U1_max為用戶網(wǎng)絡(luò)允許的TTL最大值,并且U1_max小于B1_min。
第二種情況下級運(yùn)營商不接受來自批發(fā)運(yùn)營商的網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文,比如,認(rèn)為這類報(bào)文本身也存在安全攻擊的可能的情況。
在該情況下,在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中設(shè)置TPSM參數(shù)的示意圖如圖4所示。
在該情況下本發(fā)明也將TTL分成多個(gè)段,其中批發(fā)運(yùn)營商使用比較高的TTL段,取值范圍為255到A2_min,A2_min為運(yùn)營商A的TTL允許的最小值;而下級運(yùn)營商使用比較低的TTL段,取值范圍為B2_max到A2_min,B2_max為運(yùn)營商B的TTL允許的最大值,B2_min為運(yùn)營商B的TTL允許的最小值,并且B2_max比A2_min小;用戶網(wǎng)絡(luò)使用最低的TTL段,取值范圍為U2_max到0,U2_max為用戶網(wǎng)絡(luò)允許的TTL最大值,并且U2_max小于B2_min。
根據(jù)上述TPSM參數(shù)設(shè)置情況,批發(fā)運(yùn)營商使用的TTL段、下級運(yùn)營商使用的TTL段和用戶網(wǎng)絡(luò)使用的TTL段之間都沒有重疊。
步驟2-2根據(jù)設(shè)置的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)中執(zhí)行相應(yīng)的TPSM處理流程。
在設(shè)置完TPSM參數(shù)后,本發(fā)明便根據(jù)設(shè)置的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)中執(zhí)行相應(yīng)的TPSM處理流程。
針對上述第一種情況,在批發(fā)運(yùn)營商網(wǎng)絡(luò)A中的TPSM處理流程描述如下對于批發(fā)運(yùn)營商網(wǎng)絡(luò)A,可以按照現(xiàn)有的TPSM中規(guī)定的處理流程來實(shí)現(xiàn)TPSM。
網(wǎng)絡(luò)A的PE(邊緣路由器)檢查每個(gè)進(jìn)入網(wǎng)絡(luò)A的報(bào)文,如果PE檢查到一個(gè)報(bào)文的目的地址不是自己,并且報(bào)文的TTL大于A1_min,即TPSM中規(guī)定的255-TrustRadius,則將該報(bào)文的TTL減少為B1_max,對于網(wǎng)絡(luò)A而言,B1_max即是TPSM基本方案中的TTL_USER_MAX。然后,將報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)。
設(shè)置網(wǎng)絡(luò)A中每個(gè)設(shè)備發(fā)出的報(bào)文的TTL初始值為255。網(wǎng)絡(luò)A中每個(gè)設(shè)備(包括網(wǎng)絡(luò)A中的PE)如果收到目的地址是自己的報(bào)文,同時(shí)TTL不大于A1_min,則將該報(bào)文直接丟棄;如果TTL大于或等于A1_min,則根據(jù)事先確定的安全策略、報(bào)文的TTL和網(wǎng)絡(luò)A的TPSM參數(shù),將報(bào)文轉(zhuǎn)上層協(xié)議進(jìn)行處理。
針對上述第一種情況,在下級運(yùn)營商網(wǎng)絡(luò)B中的TPSM處理流程描述如下網(wǎng)絡(luò)B的PE檢查每個(gè)進(jìn)入網(wǎng)絡(luò)B的報(bào)文,當(dāng)連接用戶網(wǎng)絡(luò)的PE檢查到一個(gè)來自用戶網(wǎng)絡(luò)的目的地址不是自己的報(bào)文,并且報(bào)文的TTL大于B1_min,則將該報(bào)文的TTL減少為U1_max,然后,將報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)。當(dāng)連接網(wǎng)絡(luò)A的PE檢查到一個(gè)來自網(wǎng)絡(luò)A的目的地址不是自己的報(bào)文,則直接將報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)。
設(shè)置網(wǎng)絡(luò)B中每個(gè)設(shè)備發(fā)出的報(bào)文的TTL初始值也為255。因此,此時(shí)網(wǎng)絡(luò)B中某個(gè)設(shè)備收到一個(gè)TTL大于A1_min的報(bào)文,也無法確定該報(bào)文是來自網(wǎng)絡(luò)A還是網(wǎng)絡(luò)B。
網(wǎng)絡(luò)B中每個(gè)設(shè)備(包括網(wǎng)絡(luò)B的PE)如果收到目的地址是自己的報(bào)文,同時(shí)TTL不大于B1_min,則認(rèn)為該報(bào)文來自用戶網(wǎng)絡(luò),將該報(bào)文直接丟棄;如果TTL大于或等于B1_min,則根據(jù)事先確定的安全策略、報(bào)文的TTL和網(wǎng)絡(luò)B的TPSM參數(shù),將報(bào)文轉(zhuǎn)上層協(xié)議進(jìn)行處理。
上述第一種情況下的本發(fā)明所述方法的處理流程的特點(diǎn)是實(shí)施簡單,能夠適應(yīng)大多數(shù)的情況,同基本的TPSM差別不大,其中B1_min對于網(wǎng)絡(luò)B來說就是TPSM中的255-TrustRadius。
針對上述第二種情況,在批發(fā)運(yùn)營商網(wǎng)絡(luò)A中的TPSM處理流程如下網(wǎng)絡(luò)A的PE檢查每個(gè)進(jìn)入網(wǎng)絡(luò)A的報(bào)文,如果PE檢查到一個(gè)報(bào)文的目的地址不是自己,并且報(bào)文的TTL大于A2_min,即TPSM中規(guī)定的255-TrustRadius,則將該報(bào)文的TTL減少為B2_max,對于網(wǎng)絡(luò)A而言,B2_max即是TPSM基本方案中的TTL_USER_MAX。然后,將報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)。
設(shè)置網(wǎng)絡(luò)A中每個(gè)設(shè)備發(fā)出的報(bào)文的TTL初始值為255。網(wǎng)絡(luò)A中每個(gè)設(shè)備(包括網(wǎng)絡(luò)A中的PE)如果收到目的地址是自己的報(bào)文,同時(shí)TTL不大于A2_min,則將該報(bào)文直接丟棄;如果TTL大于或等于A2_min,則根據(jù)事先確定的安全策略、報(bào)文的TTL和網(wǎng)絡(luò)A的TPSM參數(shù),將報(bào)文轉(zhuǎn)上層協(xié)議進(jìn)行處理。
針對上述第二種情況,在下級運(yùn)營商網(wǎng)絡(luò)B中的TPSM處理流程描述如下網(wǎng)絡(luò)B的邊緣路由器PE檢查每個(gè)進(jìn)入網(wǎng)絡(luò)B的報(bào)文,當(dāng)連接用戶網(wǎng)絡(luò)的PE檢查到一個(gè)來自用戶網(wǎng)絡(luò)的目的地址不是自己的報(bào)文,并且報(bào)文的TTL大于B2_min,則將該報(bào)文的TTL減少為U2_max,然后,將報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)。當(dāng)連接網(wǎng)絡(luò)A的PE檢查到一個(gè)來自網(wǎng)絡(luò)A的目的地址不是自己的報(bào)文,并且報(bào)文的TTL大于B2_max,則直接將該報(bào)文丟棄。
設(shè)置網(wǎng)絡(luò)B中每個(gè)設(shè)備發(fā)出的報(bào)文的TTL初始值為B_max。網(wǎng)絡(luò)B中每個(gè)設(shè)備(包括網(wǎng)絡(luò)B的PE)如果收到目的地址是自己的報(bào)文,同時(shí)TTL不大于B2_min,則認(rèn)為該報(bào)文來自用戶網(wǎng)絡(luò),將該報(bào)文直接丟棄;如果TTL大于或等于B2_min,則根據(jù)事先確定的安全策略、報(bào)文的TTL和網(wǎng)絡(luò)B的TPSM參數(shù),將報(bào)文轉(zhuǎn)上層協(xié)議進(jìn)行處理。
在上述第一種情況和第二種情況中,選擇B_max和B_min的時(shí)候需要考慮網(wǎng)絡(luò)A的復(fù)雜性,因?yàn)閺木W(wǎng)絡(luò)B的一個(gè)場所經(jīng)網(wǎng)絡(luò)A到達(dá)網(wǎng)絡(luò)B的另外一個(gè)場所的過程中,TTL也是要減少的。因此,理論上規(guī)定B_max-B_min>網(wǎng)絡(luò)A的信任半徑+網(wǎng)絡(luò)B中信任半徑最大的兩個(gè)場所的信任半徑之和。
本發(fā)明所述的方法適用于IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò)。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,包括A、在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中分別設(shè)置不同的生存時(shí)間分區(qū)安全機(jī)制TPSM參數(shù);B、利用所述設(shè)置的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)現(xiàn)TPSM。
2.根據(jù)權(quán)利要求1所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟A具體包括當(dāng)下級運(yùn)營商網(wǎng)絡(luò)接受來自批發(fā)運(yùn)營商網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文時(shí),設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)使用的生存時(shí)間TTL的取值范圍為A1_min≤TTL≤255,其中A1_min為批發(fā)運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值;設(shè)置下級運(yùn)營商網(wǎng)絡(luò)使用的TTL的取值范圍為B1_min≤TTL≤255,其中B1_min為下級運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值,B1_min小于A1_min;設(shè)置用戶網(wǎng)絡(luò)使用的TTL的取值范圍為0<TTL≤U1_max,其中U1_max為用戶網(wǎng)絡(luò)允許的TTL最大值,U1_max小于B1_min。
3.根據(jù)權(quán)利要求1所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟A具體包括當(dāng)下級運(yùn)營商網(wǎng)絡(luò)不接受來自批發(fā)運(yùn)營商網(wǎng)絡(luò)中設(shè)備發(fā)出的報(bào)文時(shí),設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)使用的TTL的取值范圍為A2_min≤TTL≤255,其中A2_min為批發(fā)運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值;設(shè)置下級運(yùn)營商網(wǎng)絡(luò)使用的TTL的取值范圍為B2_min≤TTL≤B2_max,其中B2_max為下級運(yùn)營商網(wǎng)絡(luò)的TTL允許的最大值,B2_min為下級運(yùn)營商網(wǎng)絡(luò)的TTL允許的最小值,B2_max小于A2_min;設(shè)置用戶網(wǎng)絡(luò)使用的TTL的取值范圍為0<TTL≤U2_max,其中U2_max為用戶網(wǎng)絡(luò)允許的TTL最大值,U2_max小于B2_min。
4.根據(jù)權(quán)利要求2所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B具體包括批發(fā)運(yùn)營商網(wǎng)絡(luò)的邊緣路由器PE檢查每個(gè)進(jìn)入批發(fā)運(yùn)營商網(wǎng)絡(luò)的報(bào)文,當(dāng)該P(yáng)E接收到目的地址不是自己的TTL大于A1_min的報(bào)文,則將該報(bào)文的TTL減少為B1_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
5.根據(jù)權(quán)利要求4所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B還包括設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為255,當(dāng)批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于A1_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
6.根據(jù)權(quán)利要求5所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B還包括下級運(yùn)營商網(wǎng)絡(luò)的PE檢查每個(gè)進(jìn)入下級運(yùn)營商網(wǎng)絡(luò)的報(bào)文,當(dāng)連接用戶網(wǎng)絡(luò)的PE接收到目的地址不是自己的TTL大于B1_min的報(bào)文,則將該報(bào)文的TTL減少為U1_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā),當(dāng)連接批發(fā)運(yùn)營商網(wǎng)絡(luò)的PE接收到目的地址不是自己的報(bào)文,則將報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
7.根據(jù)權(quán)利要求6所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B還包括設(shè)置下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為255,當(dāng)下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于B1_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
8.根據(jù)權(quán)利要求3所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B具體包括批發(fā)運(yùn)營商網(wǎng)絡(luò)的PE檢查每個(gè)進(jìn)入批發(fā)運(yùn)營商網(wǎng)絡(luò)的報(bào)文,如果該P(yáng)E接收到目的地址不是自己的TTL大于A2_min的報(bào)文,則將該報(bào)文的TTL減少為B2_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
9.根據(jù)權(quán)利要求8所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B還包括設(shè)置批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為255,當(dāng)批發(fā)運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于A2_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
10.根據(jù)權(quán)利要求9所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B還包括下級運(yùn)營商網(wǎng)絡(luò)的PE檢查每個(gè)進(jìn)入下級運(yùn)營商網(wǎng)絡(luò)的報(bào)文,當(dāng)連接用戶網(wǎng)絡(luò)的PE接收到目的地址不是自己的TTL大于B2_min的報(bào)文,則將該報(bào)文的TTL減少為U2_max,然后,將報(bào)文進(jìn)行轉(zhuǎn)發(fā),當(dāng)連接批發(fā)運(yùn)營商網(wǎng)絡(luò)的PE接收到目的地址不是自己的TTL大于B2_max的報(bào)文,則將該報(bào)文丟棄。
11.根據(jù)權(quán)利要求10所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的步驟B還包括設(shè)置下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備發(fā)出的報(bào)文的TTL初始值為B2_max,當(dāng)下級運(yùn)營商網(wǎng)絡(luò)中的設(shè)備收到目的地址是自己的報(bào)文,如果該報(bào)文的TTL不大于B2_min,則將該報(bào)文丟棄;否則,將報(bào)文轉(zhuǎn)交上層協(xié)議進(jìn)行處理。
12.根據(jù)權(quán)利要求1所述運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,其特征在于,所述的方法適用于IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò)。
全文摘要
本發(fā)明提供了一種運(yùn)營商的運(yùn)營商情況下生存時(shí)間分區(qū)安全機(jī)制的實(shí)現(xiàn)方法,該方法主要包括在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)中分別設(shè)置不同的TPSM(生存時(shí)間分區(qū)安全機(jī)制)參數(shù);利用所述設(shè)置的TPSM參數(shù),在批發(fā)運(yùn)營商網(wǎng)絡(luò)、下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)現(xiàn)TPSM。利用本發(fā)明所述方法,可以在CsC(運(yùn)營商的運(yùn)營商)組網(wǎng)的情況下,在批發(fā)運(yùn)營商網(wǎng)絡(luò)和下級運(yùn)營商網(wǎng)絡(luò)中同時(shí)實(shí)施TPSM。
文檔編號H04L12/56GK1937619SQ20051010550
公開日2007年3月28日 申請日期2005年9月23日 優(yōu)先權(quán)日2005年9月23日
發(fā)明者苗福友 申請人:華為技術(shù)有限公司