專利名稱:基于邊界網(wǎng)關協(xié)議報文的報文安全保護方法
技術領域:
本發(fā)明涉及網(wǎng)絡系統(tǒng)中報文的安全保護方法��。
為達到上述目的����,本發(fā)明提供的基于邊界網(wǎng)關協(xié)議報文的報文安全保護方法,包括a.報文接收端向報文發(fā)送端發(fā)送包括驗證機制和驗證字的連接協(xié)商報文(OPEN報文)����;b.報文發(fā)送端根據(jù)接收到的連接協(xié)商報文和本端的驗證能力確定是否支持連接協(xié)商報文中的驗證機制和驗證字,如果支持�����,向報文接收端反饋支持報文��,雙方協(xié)商成功�,否則反饋不支持報文�����;c.當報文發(fā)送端和報文接收端雙方協(xié)商成功后���,在發(fā)送報文時,建立基于邊界網(wǎng)關協(xié)議的連接��,然后報文發(fā)送端根據(jù)驗證機制和驗證字確定的報文頭發(fā)送邊界網(wǎng)關協(xié)議報文���;d.報文接收端對收到的邊界網(wǎng)關協(xié)議報文利用報文發(fā)送端和報文接收端協(xié)商成功的驗證機制和驗證字對報文進行驗證��,如果驗證通過��,接收該報文����,否則拋棄該報文����。
所述方法還包括確定基于信息摘要算法5(MD5,Message Digest Algorithm 5)的驗證機制���。
確定驗證字為16字節(jié)的隨機數(shù)驗證字�。
所述根據(jù)驗證機制和驗證字確定驗證報文發(fā)送端發(fā)出報文的邊界網(wǎng)關協(xié)議(BGP協(xié)議)報文頭按照下述公式完成MD5 OPEN類型+密碼+16字節(jié)隨機數(shù)+報文信息;上述密碼是報文發(fā)送端和報文接收端配置的MD5密碼�����,16字節(jié)隨機數(shù)為驗證字���,最后的報文信息為不帶報文頭,即不帶16字節(jié)的報文頭標記的報文全文���。
由于本發(fā)明根據(jù)報文接收端和報文發(fā)送端之間的驗證機制和相互之間交換的連接協(xié)商報文(OPEN報文)來對BGP報文頭的標記域進行加密�����,即使非法截取到BGP報文���,由于不能輕易獲得BGP報文的頭標志,因此很難獲得BGP報文內容����,使得根據(jù)BGP報文內容獲得對整個網(wǎng)絡攻擊的機會大大減少;同時����,在利用報文頭驗證時����,將報文的內容作為驗證參數(shù)之一�����,即使將報文非法截獲后篡改�����,報文接收端通過對收到的報文根據(jù)其內容進行的驗證�����,可以發(fā)現(xiàn)上述篡改�����,從而可以及時將被篡改的報文拋棄��;可見����,采用本發(fā)明可以配合TCP數(shù)據(jù)流保護報文接收端和報文發(fā)送端之間的BGP連接,從而保護BGP報文內容和網(wǎng)絡的安全。
下面結合附圖對本發(fā)明作進一步詳細的描述�。
圖1是本發(fā)明所述方法的實施例流程圖。按照圖1��,首先在步驟1報文接收端向報文發(fā)送端發(fā)送包括驗證機制和驗證字的連接協(xié)商報文(OPEN報文)���。所述OPEN報文實際中可以根據(jù)協(xié)商的需要確定內容��,本例中采用的OPEN報文的格式參考圖2����。圖2所述的OPEN報文是用來建立BGP連接的����,從圖2看出該報文包括很多參數(shù)��,本發(fā)明利用該報文進行驗證機制和驗證字的能力協(xié)商����,利用了該報文的最后一個參數(shù),即可選參數(shù)����。所述可選參數(shù)的格式參考圖3,其中驗證碼用于標識或約定采用的驗證機制����,16字節(jié)的隨機數(shù)用于作為驗證字�����。OPEN報文的作用在于攜帶協(xié)商的具體內容�,即協(xié)商驗證機制和驗證字�。本例中驗證碼值為1,定義為基于MD5驗證算法的報文驗證機制�����,隨后跟隨的16字節(jié)是由BGP報文接收端產(chǎn)生的作為驗證字的隨機數(shù)�����。需要說明���,采用的加密算法實際中也可以是其他可能的驗證算法�����,并不局限于MD5算法�����。
報文發(fā)送端在步驟2接收到OPEN報文后�,根據(jù)OPEN報文和本端的驗證能力確定是否支持OPEN報文中的驗證機制和驗證字,如果支持���,向報文接收端反饋支持報文�,表明報文發(fā)送端和報文接收端雙方協(xié)商成功�,否則反饋不支持報文。報文接收端在步驟3接收到報文發(fā)送端反饋的報文���,根據(jù)反饋報文判斷與報文發(fā)送端的協(xié)商是否成功��,即是否支持協(xié)商的內容,如果接收到的報文是支持報文�����,則認為協(xié)商成功�����,繼續(xù)步驟4���,否則協(xié)商失敗��,結束協(xié)商��。
當報文發(fā)送端在步驟4發(fā)送報文時����,建立BGP連接,然后報文發(fā)送端根據(jù)驗證機制和驗證字確定的報文頭發(fā)送BGP報文���;最后在步驟5�,報文接收端對收到的BGP報文利用協(xié)商確定的驗證機制和驗證字對BGP報文頭進行驗證�,如果驗證通過,接收該報文�,否則拋棄該報文。也就是說�����,報文發(fā)送端在BGP連接建立后���,發(fā)送所有的報文都需要用新的報文頭代替BGP協(xié)議規(guī)定的16字節(jié)的全1�����。報文接收端在收到BGP報文后先驗證報文頭是否一致��,如果不一致��,則將該報文丟棄��。
上述步驟4和步驟5中�����,報文接收端和報文發(fā)送端都要根據(jù)驗證機制和驗證字確定BGP報文頭的內容���,報文接收端用該內容驗證接收到的BGP報文是否是發(fā)送給自己的���,報文發(fā)送端用該內容發(fā)送BGP報文。具體的確定方法按照MD5算法的規(guī)定進行����,參考下述命令MD5(OPEN類型+密碼+16字節(jié)隨機數(shù)+報文信息)���;上述密碼是報文發(fā)送端和報文接收端配置的MD5密碼�����,16字節(jié)隨機數(shù)為驗證字��,最后的報文信息為不帶報文頭(16字節(jié)的報文頭標記)的報文全文���。由上述命令可知�����,報文發(fā)送端用要發(fā)送的BGP報文作為參數(shù)確定報文頭���,報文接收端也用接收到的BGP(不帶報文頭)報文作為參數(shù)確定報文頭,因此��,當接收到的報文被篡改時����,能夠被及時發(fā)現(xiàn),從而將被篡改的報文拋棄�。
上述步驟中,步驟1到步驟3是協(xié)商的過程�,在報文發(fā)送端和報文接收端之間的BGP連接建立前只需執(zhí)行一次,而在雙方協(xié)商成功BGP連接建立后����,在報文發(fā)送端和報文接收端之間報文發(fā)送和接收需要重復執(zhí)行��。
需要說明的是���,報文發(fā)送端和報文接收端是相對的,無論網(wǎng)絡中的哪個節(jié)點作為報文接收端����,每次與報文發(fā)送端協(xié)商采用的驗證機制和驗證字可能是不同的。另外���,協(xié)商的具體過程也可以由報文發(fā)送端發(fā)起���。
權利要求
1.一種基于邊界網(wǎng)關協(xié)議報文的報文安全保護方法,包括a.報文接收端向報文發(fā)送端發(fā)送包括驗證機制和驗證字的連接協(xié)商報文(OPEN報文)�;b.報文發(fā)送端根據(jù)接收到的連接協(xié)商報文和本端的驗證能力確定是否支持連接協(xié)商報文中的驗證機制和驗證字,如果支持���,向報文接收端反饋支持報文����,雙方協(xié)商成功�,否則反饋不支持報文驗證機制�;c.當報文發(fā)送端和報文接收端雙方協(xié)商成功后�����,在發(fā)送報文時�,建立基于邊界網(wǎng)關協(xié)議的連接�����,然后報文發(fā)送端根據(jù)驗證機制和驗證字確定的報文頭發(fā)送邊界網(wǎng)關協(xié)議報文����;d.報文接收端對收到的邊界網(wǎng)關協(xié)議報文利用報文發(fā)送端和報文接收端協(xié)商成功的驗證機制和驗證字對報文進行驗證,如果驗證通過����,接收該報文,否則拋棄該報文�����。
2.根據(jù)權利要求1所述的報文安全保護方法���,其特征在于所述方法還包括確定基于信息摘要算法5(MD5�����,Message Digest Algorithm5)的驗證機制����。
3.根據(jù)權利要求2所述的報文安全保護方法,其特征在于所述方法還包括確定驗證字為16字節(jié)的隨機數(shù)驗證字��。
4.根據(jù)權利要求3所述的報文安全保護方法���,其特征在于所述根據(jù)驗證機制和驗證字確定驗證報文發(fā)送端發(fā)出報文的邊界網(wǎng)關協(xié)議(BGP)報文頭按照下述公式完成MD5 OPEN類型+密碼+16字節(jié)隨機數(shù)+報文信息�;上述密碼是報文發(fā)送端和報文接收端配置的MD5密碼�����,16字節(jié)隨機數(shù)為驗證字�����,最后的報文信息為不帶報文頭��,即����,不帶16字節(jié)的報文頭標記的報文全文。
全文摘要
本發(fā)明公開了一種基于邊界網(wǎng)關協(xié)議報文的控制報文安全保護方法,該方法包括報文接收端和接收端之間驗證機制和驗證字的協(xié)商過程���,如果驗證協(xié)商成功,在報文發(fā)送時�����,首先建立BGP連接���,然后報文發(fā)送端根據(jù)驗證機制���、驗證字和要發(fā)送的報文內容確定的報文頭中的前16字節(jié)的標記域并發(fā)送BGP報文,報文接收端對收到的BGP報文利用相同的驗證機制�����、驗證字和接收到的報文內容對BGP報文頭16字節(jié)標記域進行驗證���,如果驗證通過�����,接收該報文��,否則拋棄該報文��;采用上述方案能夠隱藏BGP的報文頭����,并利用報文頭來進行驗證,加大了BGP報文被非法截獲的難度��,同時也易于發(fā)現(xiàn)被非法截獲后的報文是否被篡改���,從而可以有效保護BGP報文內容和網(wǎng)絡的安全����。
文檔編號H04L9/32GK1477814SQ0212919
公開日2004年2月25日 申請日期2002年8月20日 優(yōu)先權日2002年8月20日
發(fā)明者胡春哲, 倪輝, 鄧秋林 申請人:華為技術有限公司