專利名稱:在mpls vpn網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?br>
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,尤其涉及一種在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒ā?br>
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�,用戶對(duì)網(wǎng)絡(luò)安全的要求日益提高����,要求運(yùn)營商提供安全、可靠的承載通道�����,對(duì)承載數(shù)據(jù)進(jìn)行加密�。IPsec(互聯(lián)網(wǎng)協(xié)議安全)技術(shù)是一種普遍使用的加密技術(shù),它通過創(chuàng)建點(diǎn)到點(diǎn)隧道的方式�,對(duì)隧道中承載的數(shù)據(jù)實(shí)施加密。
通常有兩種IPsec部署方案(1)在CE端到端部署IPsec���;(2)在PE端到端部署端到端IPsec�;受到技術(shù)、成本�、管理能力的限制,CE端到端部署IPsec對(duì)大多數(shù)用戶而言都比較困難����,而由運(yùn)營商提供PE設(shè)備之間的端到端安全通道,則相對(duì)更容易實(shí)施�����。
隨著MPLS VPN(多協(xié)議標(biāo)簽交換虛擬專用網(wǎng))技術(shù)的發(fā)展���,運(yùn)營商更多的使用MPLS VPN來承載用戶�����,當(dāng)MPLS VPN與IPsec技術(shù)結(jié)合以期提供更好的安全性能時(shí)����,MPLS VPN基于最長前綴的靈活選路策略與IPsec的點(diǎn)到點(diǎn)隧道方式使得他們難以無縫銜接在一起�����,傳統(tǒng)的IPsec作為最外層的隧道也難以為不同的MPLS VPN用戶選擇不同的加密方法,或者部分VPN用戶加密�,部分VPN用戶不加密。
在MPLS VPN銜接時(shí)�����,傳統(tǒng)技術(shù)是將IPsec作為外層隧道���,當(dāng)數(shù)據(jù)進(jìn)入IPsec隧道時(shí)����,實(shí)施加密����;當(dāng)數(shù)據(jù)離開IPsec隧道時(shí)�����,則實(shí)施解密�����,該過程對(duì)于VPN用戶是透明的��。
當(dāng)一個(gè)VPN分跨多個(gè)PE節(jié)點(diǎn)時(shí),每兩個(gè)PE節(jié)點(diǎn)之間都需要事先建立一條IPsec隧道�����,當(dāng)PE節(jié)點(diǎn)數(shù)量眾多時(shí)�,其配置工作量和維護(hù)工作量將成平方增長,這就是著名的N方問題�����,對(duì)網(wǎng)絡(luò)規(guī)模擴(kuò)展的適應(yīng)能力非常差���。
另外����,由于IPsec作為外層隧道�,通常,同一對(duì)PE之間的不同VPN選擇相同的外層隧道���,這樣��,就無法為不同的VPN提供不同的安全服務(wù)���。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問題��,本發(fā)明的目的是提供一種在MPLSVPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?���,從而可以?shí)現(xiàn)為不同的VPN或同一VPN內(nèi)不同的路由選擇不同的安全服務(wù)���,有效避免建立加密隧道過程中的N平方問題����。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明提供了一種在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?,包括A、在MPLS VPN網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備上保存需要對(duì)數(shù)據(jù)進(jìn)行加密傳輸?shù)穆酚杉凹用軈?shù)信息�����;B�、當(dāng)需要通過所述路由進(jìn)行數(shù)據(jù)傳輸時(shí),則在所述路由的兩端根據(jù)所述這的加密參數(shù)信息對(duì)數(shù)據(jù)進(jìn)行加密傳輸���。
所述的加密參數(shù)信息包括加密算法信息和密鑰信息。
所述的步驟A包括A1����、由多協(xié)議標(biāo)簽交換MPLS骨干網(wǎng)絡(luò)中的運(yùn)營商邊界設(shè)備PE將需要進(jìn)行加密的路由及相應(yīng)的加密參數(shù)信息在網(wǎng)絡(luò)中發(fā)布����;
A2�、PE設(shè)備收到并記錄所述路由及相應(yīng)的加密參數(shù)信息。
所述的步驟A1包括通過多協(xié)議擴(kuò)展邊界網(wǎng)關(guān)協(xié)議MP-BGP擴(kuò)展的兩個(gè)屬性或一個(gè)屬性發(fā)布所述的加密參數(shù)信息����;或者,通過發(fā)布約定的代表加密參數(shù)信息的MP-BGP屬性信息��,路由設(shè)備根據(jù)收到的屬性信息確定具體的加密參數(shù)信息���。
所述的步驟A2包括PE設(shè)備接收所述的加密參數(shù)信息后��,將其保存于路由表中�����,并在所述的路由成為活躍路由時(shí)�,將所述的加密參數(shù)信息保存于路由轉(zhuǎn)發(fā)表中���。
所述的步驟B包括B1�、當(dāng)需要通過所述路由進(jìn)行數(shù)據(jù)傳送時(shí)���,則在數(shù)據(jù)發(fā)送端根據(jù)所述的加密參數(shù)信息對(duì)所述數(shù)據(jù)進(jìn)行加密處理�;B2、在數(shù)據(jù)接收端接收所述數(shù)據(jù)后���,根據(jù)所述的加密參數(shù)信息進(jìn)行解密處理獲得相應(yīng)的數(shù)據(jù)����。
所述的步驟B1還包括對(duì)加密處理后的數(shù)據(jù)分別加上內(nèi)層標(biāo)簽和外層標(biāo)簽封裝�,且內(nèi)層標(biāo)簽中設(shè)置加密標(biāo)識(shí)信息,用于標(biāo)識(shí)內(nèi)層標(biāo)簽中的數(shù)據(jù)為加密數(shù)據(jù)��。
所述的加密標(biāo)識(shí)信息設(shè)置于內(nèi)層標(biāo)簽的高位比特�����。
所述的步驟B2包括接收數(shù)據(jù)的PE設(shè)備當(dāng)發(fā)現(xiàn)內(nèi)層標(biāo)簽中設(shè)置了加密標(biāo)識(shí)信息時(shí)���,則根據(jù)所述的內(nèi)層標(biāo)簽信息查找對(duì)應(yīng)的加密參數(shù)信息��;根據(jù)所述的加密參數(shù)信息對(duì)接收到的內(nèi)層標(biāo)簽內(nèi)的數(shù)據(jù)進(jìn)行解密����,獲得加密前的數(shù)據(jù)����。
本發(fā)明所述的方法還包括
在VPN路由分配內(nèi)層標(biāo)簽時(shí),除分配傳統(tǒng)的內(nèi)層標(biāo)簽外�,還為需要加密傳輸?shù)臄?shù)據(jù)分配對(duì)應(yīng)的加密內(nèi)層標(biāo)簽;且所述的步驟B1還包括將加密處理后的數(shù)據(jù)加上加密內(nèi)層標(biāo)簽和外層標(biāo)簽��,或者�����,加上加密內(nèi)層標(biāo)簽�、傳統(tǒng)的內(nèi)層標(biāo)簽和外層標(biāo)簽。
本發(fā)明所述的方法還包括C����、當(dāng)需要更新路由的加密參數(shù)信息時(shí),則重新發(fā)布相應(yīng)的路由及加密參數(shù)信息��。
所述的步驟C還包括在重新發(fā)布相應(yīng)的路由及加密參數(shù)信息時(shí)��,還為該路由重新分配一個(gè)新的內(nèi)層標(biāo)簽信息�����,原內(nèi)層標(biāo)簽信息在保留預(yù)定的時(shí)間后收回。
由上述本發(fā)明提供的技術(shù)方案可以看出�,本發(fā)明所述的方法提供的加密數(shù)據(jù)的處理過程對(duì)外層隧道透明,因此�,本發(fā)明可以選用不同的外層隧道,并可以支持MPLS TE FRR(MPLS流量工程快速路徑恢復(fù))和LDP FRR(標(biāo)簽分發(fā)協(xié)議快速路徑恢復(fù))的快速倒換保護(hù)�����。
而且�,本發(fā)明中,采用擴(kuò)展屬性背負(fù)加密算法和密鑰�,因此,可以為不同的VPN選用不同的安全服務(wù)���,同時(shí)���,在一個(gè)VPN內(nèi)部,也可以為不同的站點(diǎn)�、不同的路由選擇不同的安全服務(wù)策略。
另外�,本發(fā)明還利用路由反射器功能,解決配置和維護(hù)上的N平方問題�����,不再需要在兩兩PE之間建立加密隧道進(jìn)行數(shù)據(jù)的加密傳輸。
圖1為MPLS VPN網(wǎng)絡(luò)的結(jié)構(gòu)示意圖���;圖2為本發(fā)明所述的方法的處理流程示意圖。
具體實(shí)施例方式
本發(fā)明的實(shí)現(xiàn)主要是借助MP-BGP的擴(kuò)展屬性�,基于內(nèi)層標(biāo)簽創(chuàng)建不同的加密隧道,采用不同的加密服務(wù)��,即為不同的VPN及同一VPN的不同路由提供不同的安全服務(wù)���,因此��,有效解決了現(xiàn)有技術(shù)所存在的配置路由過程中可能出現(xiàn)的N平方問題����。
本發(fā)明所述方法應(yīng)用的典型的MPLS VPN組網(wǎng)如圖1所示�����,在圖中�����,中間位置是MPLS骨干區(qū)�����,包括四個(gè)PE設(shè)備,即PE-A/B/C/D��;圖中包括兩個(gè)VPN�����,每個(gè)VPN中有3個(gè)CE設(shè)備����,第一個(gè)VPN包含的CE設(shè)備為CE-1/2/3,第二個(gè)VPN包含的CE設(shè)備為CE-A/B/C�����。
本發(fā)明所述的方法的具體實(shí)現(xiàn)方案如圖2所示�,具體包括以下步驟步驟201為MP-BGP(多協(xié)議擴(kuò)展邊界網(wǎng)關(guān)協(xié)議)擴(kuò)展兩個(gè)新屬性(1)一個(gè)是加密算法屬性,設(shè)屬性類型為17�����,目前���,只支持RSA公開密鑰算法�����,屬性值為1�;(2)一個(gè)是密鑰屬性,表示加密系統(tǒng)使用的密鑰�����,設(shè)屬性類型為18�。例如��,對(duì)于RSA公開密鑰算法屬性���,屬性值對(duì)應(yīng)RSA密鑰系統(tǒng)的公開密鑰��;當(dāng)然���,也可以選用其他約定的任何加密算法和密鑰;步驟202在PE-A向MBGP鄰居發(fā)布一個(gè)VPN的VPNv4(基于IPv4的VPN)路由和內(nèi)層標(biāo)簽時(shí)�,使用匹配策略決定需要進(jìn)行加密的路由信息,即確定需要為哪些路由設(shè)置加密算法屬性和密鑰屬性���,并將所述的需要加密的路由信息及相應(yīng)的加密算法屬性和密鑰屬性信息隨VPNv4路由和內(nèi)層標(biāo)簽一同發(fā)布���;使用所述的匹配策略確定需要進(jìn)行加密的路由信息具體為在網(wǎng)絡(luò)中根據(jù)運(yùn)營需要確定需要進(jìn)行加密的業(yè)務(wù)��,根據(jù)路由設(shè)置中已有的匹配策略確定傳輸所述業(yè)務(wù)的實(shí)際路由信息�����;在該步驟中���,由于本發(fā)明中是基于路由信息設(shè)置相應(yīng)的加密服務(wù),因此��,允許為不同的VPN或者同一個(gè)VPN內(nèi)的不同路由設(shè)置不同的加密算法屬性和不同的密鑰屬性��,或者��,不設(shè)置相應(yīng)的兩個(gè)加密屬性(即不為相應(yīng)的路由提供加密服務(wù))���;在該步驟中���,為便于接收數(shù)據(jù)的PE設(shè)備區(qū)分是否采用了加密服務(wù),在分配相應(yīng)的內(nèi)層標(biāo)簽時(shí)��,需要采用以下兩種方法中的一種(1)對(duì)于支持加密服務(wù)的PE設(shè)備����,其對(duì)外分配的內(nèi)層標(biāo)簽高位bit為0���,該高位bit用于區(qū)分是否提供了加密服務(wù);當(dāng)然也可以將該高位bit設(shè)置為1����,只要能夠區(qū)分出提供了加密服務(wù)或未提供加密服務(wù)即可;或者����,還可以采用內(nèi)層標(biāo)簽的其他一位或多位區(qū)分是否提供了加密服務(wù)�����,以便于進(jìn)行解密處理獲得真實(shí)的數(shù)據(jù)����;或者,(2)還可以在為VPNv4路由分配內(nèi)層標(biāo)簽時(shí)��,分配兩個(gè)標(biāo)簽����,對(duì)于不支持加密算法的遠(yuǎn)端PE設(shè)備壓入傳統(tǒng)的內(nèi)層標(biāo)簽��,對(duì)于支持加密算法的遠(yuǎn)端PE設(shè)備壓入加密的內(nèi)層標(biāo)簽�,或者同時(shí)壓入兩層標(biāo)簽����,表示內(nèi)層標(biāo)簽之內(nèi)封裝的報(bào)文是加密的,這樣�,就可以不使用檢查內(nèi)層標(biāo)簽高bit的辦法來判斷是否需要對(duì)內(nèi)層標(biāo)簽封裝的報(bào)文解密;除分配內(nèi)層標(biāo)簽過程的特殊處理外���,在該支持加密服務(wù)的PE設(shè)備上�����,即在發(fā)布加密參數(shù)信息(加密算法和密鑰)的PE設(shè)備上�,還需要在設(shè)置了密鑰算法屬性的路由對(duì)應(yīng)的內(nèi)層標(biāo)簽的入方向信息表中���,擴(kuò)展其表項(xiàng)�,用于保存相應(yīng)的加密算法和密鑰��,以便于當(dāng)接收到加密傳送來的數(shù)據(jù)時(shí)可以根據(jù)該加密參數(shù)信息進(jìn)行解密處理��,以獲得真實(shí)的數(shù)據(jù)信息���;以RSA公開密鑰算法為例����,增加的基本結(jié)構(gòu)包括加密算法類型和私有密鑰。
步驟203MPLS VPN網(wǎng)絡(luò)中其他PE設(shè)備接收PE-A發(fā)布的信息����,并保存所述的需要加密的路由信息及相應(yīng)的加密參數(shù)信息;例如當(dāng)PE-B和PE-C設(shè)備接收到帶有加密算法屬性和密鑰屬性的VPNv4路由之后����,如果本設(shè)備支持所述的兩個(gè)屬性,則記錄路由攜帶的這兩個(gè)屬性����,存儲(chǔ)在路由表中���;當(dāng)帶有所述的兩個(gè)特殊屬性的路由優(yōu)選成為活躍路由時(shí)�����,則在路由轉(zhuǎn)發(fā)表的轉(zhuǎn)發(fā)項(xiàng)的擴(kuò)展結(jié)構(gòu)中保存加密參數(shù)信息加密算法和密鑰���,這樣���,當(dāng)通過該路由發(fā)送數(shù)據(jù)時(shí),便可以利用所述的加密參數(shù)信息對(duì)待發(fā)送的數(shù)據(jù)進(jìn)行加密處理�,之后,再發(fā)送��;如果收到相應(yīng)信息的PE設(shè)備不支持所述的兩個(gè)擴(kuò)展屬性�����,則直接忽略相應(yīng)的信息��,即不作任何處理��;步驟204當(dāng)需要通過需要加密的路由進(jìn)行數(shù)據(jù)傳輸時(shí)�����,則根據(jù)路由轉(zhuǎn)發(fā)表中記錄的加密算法和密鑰對(duì)待發(fā)送的數(shù)據(jù)進(jìn)行加密處理����,之后加上內(nèi)層標(biāo)簽和外層標(biāo)簽封裝,并發(fā)送該加密����、封裝處理后的報(bào)文����;仍以上例����,當(dāng)PE-B、PE-C向PE-A轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)�,如果查找命中的路由轉(zhuǎn)發(fā)表的轉(zhuǎn)發(fā)項(xiàng)中加密算法和密鑰屬性有效,則根據(jù)加密算法和密鑰對(duì)原始報(bào)文進(jìn)行加密�����,之后加上內(nèi)層標(biāo)簽和外層標(biāo)簽封裝��,將報(bào)文從隧道發(fā)送出去����;此處,為了區(qū)分內(nèi)層標(biāo)簽以內(nèi)的數(shù)據(jù)是否進(jìn)行了加密�,將內(nèi)層標(biāo)簽的高位置1�����,以表示內(nèi)層標(biāo)簽以內(nèi)的數(shù)據(jù)進(jìn)行了加密處理;在該步驟中���,對(duì)于不支持加密算法屬性和密鑰屬性的PE設(shè)備�,則按照正常的轉(zhuǎn)發(fā)流程進(jìn)行轉(zhuǎn)發(fā)即可���;步驟205接收到設(shè)備接收所述加密后的數(shù)據(jù)后���,根據(jù)所述內(nèi)層標(biāo)簽確定相應(yīng)的加密算法和密鑰,并根據(jù)所述加密算法和密鑰對(duì)數(shù)據(jù)進(jìn)行解密處理����,獲得加密前的實(shí)際數(shù)據(jù);仍參見上例�,在PE-A設(shè)備,使用內(nèi)層標(biāo)簽查找Insegment表��,首先判斷內(nèi)層標(biāo)簽的高位是否為1����,如果不為1,則表示報(bào)文未加密�����,則按照傳統(tǒng)的流程處理;否則�����,使用內(nèi)層標(biāo)簽的低19bit查表�,根據(jù)表項(xiàng)信息說明的加密算法和解密密鑰進(jìn)行解密,還原數(shù)據(jù)報(bào)文��,再按照傳統(tǒng)的處理流程轉(zhuǎn)發(fā)所述的數(shù)據(jù)���,即將所述報(bào)文交給CE-A��。
本發(fā)明中�����,當(dāng)用戶希望在PE-A上修改某一條指定的VPNv4路由在發(fā)布時(shí)攜帶的加密參數(shù)信息��,即加密算法屬性和密鑰屬性時(shí)�,為了防止在數(shù)據(jù)更新過程中由于PE端到端兩側(cè)的加密算法和密鑰不匹配導(dǎo)致的業(yè)務(wù)中斷�,系統(tǒng)將使用新的屬性重新發(fā)布此路由,并分配一個(gè)新的內(nèi)層標(biāo)簽�����,在PE-A設(shè)備本地�,原來的內(nèi)層標(biāo)簽將保留一段時(shí)間再回收。
本發(fā)明中�����,由于加密數(shù)據(jù)封裝在內(nèi)層標(biāo)簽之內(nèi)�,對(duì)外透明,因此�����,在外層隧道的選擇方面�����,可以是LDP LSP(標(biāo)簽分發(fā)協(xié)議標(biāo)簽交換路徑)���、可以是TE Tunnel(流量工作隧道)�,也可以是GRE等傳統(tǒng)VPN隧道�,針對(duì)外層隧道實(shí)現(xiàn)的MPLS TE FRR(MPLS流量工程快速路徑恢復(fù))、LDP FRR(標(biāo)簽分發(fā)協(xié)議快速路徑恢復(fù))等技術(shù)均可以直接在本發(fā)明描述的加密隧道方案上應(yīng)用���。
需要說明的是����,本發(fā)明中,還可以只使用一個(gè)MP-BGP擴(kuò)展屬性同時(shí)攜帶相應(yīng)的加密算法和密鑰信息����,進(jìn)行相應(yīng)的加密參數(shù)信息的發(fā)布。
VPNv4路由還可以只使用現(xiàn)有的擴(kuò)展屬性����,在接收端通過匹配擴(kuò)展屬性設(shè)置不同的加密算法和密鑰,例如�,約定某一擴(kuò)展屬性代表的加密算法和密鑰信息,當(dāng)路由設(shè)備接收到VPNv4路由后�,則可以根據(jù)約定的某一擴(kuò)展屬性查找本地保存的擴(kuò)展屬性與加密算法和密鑰的對(duì)應(yīng)關(guān)系,從而確定基于該路由傳輸?shù)臄?shù)據(jù)的加密參數(shù)信息�。
本發(fā)明的實(shí)現(xiàn)還可以利用傳統(tǒng)的路由反射器功能,解決配置和維護(hù)上的N平方問題�����。所述的路由反射器(RR�,Route Reflector),是BGP中的一個(gè)傳統(tǒng)技術(shù)���,利用該技術(shù)��,不需要每個(gè)PE設(shè)備之間建立MP-BGP鄰居���,而是PE設(shè)備都與RR建立MP-BGP鄰居關(guān)系����,RR收集所有的PE發(fā)布的路由信息��,再轉(zhuǎn)發(fā)給其他的PE設(shè)備�����。在本發(fā)明里面�����,PE將攜帶了加密屬性的路由發(fā)布給RR�����,再由RR反射給其他PE�����,這樣����,當(dāng)在一個(gè)部署了RR的MPLS VPN網(wǎng)絡(luò)中,新加入一個(gè)PE設(shè)備的時(shí)候���,只要配置新PE和RR的MP-BGP鄰居關(guān)系�,新PE就能夠收到攜帶了加密屬性的路由��。
由于RR是MPLS L3 VPN網(wǎng)絡(luò)中廣法使用的技術(shù)����,因此,本發(fā)明的思想在部署了RR的網(wǎng)絡(luò)中同樣適用��,并且利用了RR的這個(gè)特點(diǎn)����,可以在新增加PE時(shí),不用對(duì)老的PE做配置方面的修改�����,同時(shí)�,利用RR技術(shù),只要PE與RR建立了MP-BGP鄰居關(guān)系��,就可以得到路由中的加密屬性,而不用像傳統(tǒng)的IPSEC Tunnel技術(shù)那樣���,在每兩個(gè)PE之間建立一條點(diǎn)到點(diǎn)的IPSEC隧道�。這就是本發(fā)明解決N平方配置問題的一個(gè)關(guān)鍵技術(shù)所在�����。
綜上所述����,本發(fā)明可以為不同的VPN選用不同的安全服務(wù)�����,同時(shí)��,在一個(gè)VPN內(nèi)部�,也可以為不同的站點(diǎn)、不同的路由選擇不同的安全服務(wù)����。另外,本發(fā)明還可以解決現(xiàn)有技術(shù)中路由配置和維護(hù)過程中的N平方問題�。
以上所述�,僅為本發(fā)明較佳的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換�,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此�,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?���,其特征在于,包括A���、在MPLS VPN網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備上保存需要對(duì)數(shù)據(jù)進(jìn)行加密傳輸?shù)穆酚杉凹用軈?shù)信息�����;B��、當(dāng)需要通過所述路由進(jìn)行數(shù)據(jù)傳輸時(shí)���,則在所述路由的兩端根據(jù)所述這的加密參數(shù)信息對(duì)數(shù)據(jù)進(jìn)行加密傳輸����。
2.根據(jù)權(quán)利要求1所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?�,其特征在于�,所述的加密參?shù)信息包括加密算法信息和密鑰信息��。
3.根據(jù)權(quán)利要求1所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?,其特征在于,所述的步驟A包括A1�����、由多協(xié)議標(biāo)簽交換MPLS骨干網(wǎng)絡(luò)中的運(yùn)營商邊界設(shè)備PE將需要進(jìn)行加密的路由及相應(yīng)的加密參數(shù)信息在網(wǎng)絡(luò)中發(fā)布����;A2、PE設(shè)備收到并記錄所述路由及相應(yīng)的加密參數(shù)信息。
4.根據(jù)權(quán)利要求3所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?����,其特征在于��,所述的步驟A1包括通過多協(xié)議擴(kuò)展邊界網(wǎng)關(guān)協(xié)議MP-BGP擴(kuò)展的兩個(gè)屬性或一個(gè)屬性發(fā)布所述的加密參數(shù)信息�����;或者���,通過發(fā)布約定的代表加密參數(shù)信息的MP-BGP屬性信息�,路由設(shè)備根據(jù)收到的屬性信息確定具體的加密參數(shù)信息���。
5.根據(jù)權(quán)利要求3所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?��,其特征在于,所述的步驟A2包括PE設(shè)備接收所述的加密參數(shù)信息后�,將其保存于路由表中,并在所述的路由成為活躍路由時(shí)���,將所述的加密參數(shù)信息保存于路由轉(zhuǎn)發(fā)表中���。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?����,其特征在于����,所述的步驟B包括B1�、當(dāng)需要通過所述路由進(jìn)行數(shù)據(jù)傳送時(shí),則在數(shù)據(jù)發(fā)送端根據(jù)所述的加密參數(shù)信息對(duì)所述數(shù)據(jù)進(jìn)行加密處理���;B2�、在數(shù)據(jù)接收端接收所述數(shù)據(jù)后�,根據(jù)所述的加密參數(shù)信息進(jìn)行解密處理獲得相應(yīng)的數(shù)據(jù)。
7.根據(jù)權(quán)利要求6所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?�,其特征在于�,所述的步驟B1還包括對(duì)加密處理后的數(shù)據(jù)分別加上內(nèi)層標(biāo)簽和外層標(biāo)簽封裝�����,且內(nèi)層標(biāo)簽中設(shè)置加密標(biāo)識(shí)信息�,用于標(biāo)識(shí)內(nèi)層標(biāo)簽中的數(shù)據(jù)為加密數(shù)據(jù)。
8.根據(jù)權(quán)利要求7所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒ǎ涮卣髟谟?�,所述的加密?biāo)識(shí)信息設(shè)置于內(nèi)層標(biāo)簽的高位比特�����。
9.根據(jù)權(quán)利要求7所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?,其特征在于,所述的步驟B2包括接收數(shù)據(jù)的PE設(shè)備當(dāng)發(fā)現(xiàn)內(nèi)層標(biāo)簽中設(shè)置了加密標(biāo)識(shí)信息時(shí)�,則根據(jù)所述的內(nèi)層標(biāo)簽信息查找對(duì)應(yīng)的加密參數(shù)信息;根據(jù)所述的加密參數(shù)信息對(duì)接收到的內(nèi)層標(biāo)簽內(nèi)的數(shù)據(jù)進(jìn)行解密�,獲得加密前的數(shù)據(jù)。
10.根據(jù)權(quán)利要求6所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?��,其特征在于�����,該方法還包括在VPN路由分配內(nèi)層標(biāo)簽時(shí)�����,除分配傳統(tǒng)的內(nèi)層標(biāo)簽外��,還為需要加密傳輸?shù)臄?shù)據(jù)分配對(duì)應(yīng)的加密內(nèi)層標(biāo)簽����;且所述的步驟B1還包括將加密處理后的數(shù)據(jù)加上加密內(nèi)層標(biāo)簽和外層標(biāo)簽,或者����,加上加密內(nèi)層標(biāo)簽、傳統(tǒng)的內(nèi)層標(biāo)簽和外層標(biāo)簽���。
11.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?,其特征在于�,該方法還包括C、當(dāng)需要更新路由的加密參數(shù)信息時(shí)��,則重新發(fā)布相應(yīng)的路由及加密參數(shù)信息�。
12.根據(jù)權(quán)利要求11所述的在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒ǎ涮卣髟谟?����,所述的步驟C還包括在重新發(fā)布相應(yīng)的路由及加密參數(shù)信息時(shí)�����,還為該路由重新分配一個(gè)新的內(nèi)層標(biāo)簽信息�,原內(nèi)層標(biāo)簽信息在保留預(yù)定的時(shí)間后收回。
全文摘要
本發(fā)明涉及一種在MPLS VPN網(wǎng)絡(luò)中實(shí)現(xiàn)端到端加密傳輸?shù)姆椒?���。該方法主要包括首先,在MPLS VPN網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備上配置需要對(duì)數(shù)據(jù)進(jìn)行加密傳輸?shù)穆酚杉凹用軈?shù)信息����;之后,當(dāng)需要通過所述的路由進(jìn)行數(shù)據(jù)傳輸時(shí)���,則在所述路由的兩端根據(jù)所述這的加密參數(shù)信息對(duì)數(shù)據(jù)進(jìn)行加密傳輸��。本發(fā)明可以為不同的VPN選用不同的安全服務(wù)�,同時(shí)����,在一個(gè)VPN內(nèi)部,也可以為不同的站點(diǎn)�、不同的路由選擇不同的安全服務(wù)。另外���,本發(fā)明還可以解決現(xiàn)有技術(shù)中路由配置和維護(hù)過程中的N平方問題�����。
文檔編號(hào)H04L9/14GK1909448SQ20051009120
公開日2007年2月7日 申請(qǐng)日期2005年8月5日 優(yōu)先權(quán)日2005年8月5日
發(fā)明者熊怡 申請(qǐng)人:華為技術(shù)有限公司