專利名稱:網(wǎng)絡(luò)安全方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于在標(biāo)簽交換網(wǎng)絡(luò)中提供網(wǎng)絡(luò)安全的方法和裝置�。本發(fā)明可以特別應(yīng)用于多協(xié)議標(biāo)簽交換(MPLS)網(wǎng)絡(luò)��。
背景技術(shù):
在當(dāng)今的諸如企業(yè)����、政府部門、組織的社會(huì)實(shí)體中���,個(gè)體經(jīng)常通過使用一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)(例如國(guó)際互聯(lián)網(wǎng))與他們自己或者其它實(shí)體傳送數(shù)據(jù)���。發(fā)送的數(shù)據(jù)可以涉及多種目的中的任意一個(gè),例如文件傳輸�、電子郵件、語音和/或視頻會(huì)議���。
由于技術(shù)已經(jīng)發(fā)展出不同類型的計(jì)算機(jī)網(wǎng)絡(luò)����,并且已經(jīng)開發(fā)和實(shí)現(xiàn)了不同的網(wǎng)絡(luò)通信協(xié)議�。目前在幾乎所有計(jì)算機(jī)網(wǎng)絡(luò)和協(xié)議設(shè)計(jì)中的三個(gè)共同的和首要的考慮是速度 (能夠?qū)崿F(xiàn)多快的數(shù)據(jù)通信)、安全性(傳送的數(shù)據(jù)有多安全)���、和所要求的資源�����。通常這些考慮彼此是不一致的��,在這種情況下與網(wǎng)絡(luò)安全相關(guān)聯(lián)的開銷能夠直接影響到所要求的資源���、處理時(shí)間以及速度���。
標(biāo)簽交換網(wǎng)絡(luò)(特別是MPLS網(wǎng)絡(luò))是目前使用的一種網(wǎng)絡(luò)類型。MPLS網(wǎng)絡(luò)是分組交換網(wǎng)絡(luò)��,如其名稱所暗示的����,使用標(biāo)簽來交換分組并且能夠用于承載不同協(xié)議(例如����, IP、ATM���、SONET�、以太網(wǎng))的網(wǎng)絡(luò)業(yè)務(wù)��。
在IP(國(guó)際互聯(lián)網(wǎng)協(xié)議)或ATM(異步傳輸模式)隧道中通過物理鏈路加密或者通過封裝MPLS數(shù)據(jù)幀能夠在標(biāo)簽交換網(wǎng)絡(luò)中提供安全性。由于這些安全方法均要求相對(duì)多的資源和網(wǎng)絡(luò)開銷���,因此對(duì)網(wǎng)絡(luò)的速度和效率產(chǎn)生影響�。
發(fā)明內(nèi)容
在一個(gè)方面中�����,本發(fā)明提供一種用于對(duì)通過網(wǎng)絡(luò)傳輸?shù)腗PLS幀進(jìn)行安全保護(hù)的方法���,MPLS幀包括MPLS報(bào)頭和MPLS載荷���,該方法包括從源接收MPLS幀;確定MPLS幀是否滿足安全標(biāo)準(zhǔn)����;如果MPLS幀滿足安全標(biāo)準(zhǔn),則對(duì)MPLS載荷進(jìn)行安全保護(hù)并創(chuàng)建包括MPLS 報(bào)頭和安全MPLS載荷的安全MPLS幀���;以及轉(zhuǎn)發(fā)安全MPLS幀��。
安全標(biāo)準(zhǔn)可以包括涉及MPLS報(bào)頭中標(biāo)簽的標(biāo)簽值的標(biāo)準(zhǔn)��。
安全標(biāo)準(zhǔn)可以包括在MPLS報(bào)頭的頂端標(biāo)簽中的標(biāo)簽值大于15�。
MPLS載荷可以通過使用單密鑰加密方法進(jìn)行安全保護(hù)。
可以使用單密鑰加密方法對(duì)從源接收的通過網(wǎng)絡(luò)傳輸?shù)臐M足安全標(biāo)準(zhǔn)的更多的幀進(jìn)行安全保護(hù)���,使用與它們的源或目的地?zé)o關(guān)的相同密鑰對(duì)更多的幀進(jìn)行安全保護(hù)�����。
可以將安全MPLS幀的大小與網(wǎng)絡(luò)的MTU大小進(jìn)行核對(duì)���,以及如果安全MPLS幀超過了網(wǎng)絡(luò)的MTU大小,丟棄安全MPLS幀并且設(shè)置錯(cuò)誤條件標(biāo)記�。
該方法可以進(jìn)一步包括修改MPLS報(bào)頭的ToS字段以創(chuàng)建用于和安全MPLS幀進(jìn)行轉(zhuǎn)發(fā)的經(jīng)修改的MPLS報(bào)頭。
在第二方面中�,本發(fā)明提供一種用于對(duì)MPLS網(wǎng)絡(luò)上的業(yè)務(wù)進(jìn)行安全保護(hù)的安全設(shè)備,安全設(shè)備配置為從第一網(wǎng)絡(luò)設(shè)備接收幀并將幀轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備���,安全設(shè)備包括輸入/輸出接口,用于接收和轉(zhuǎn)發(fā)幀�;存儲(chǔ)器;安全引擎��,用于根據(jù)安全標(biāo)準(zhǔn)分析所接收的幀��,并且保護(hù)滿足安全標(biāo)準(zhǔn)的幀的安全���,安全標(biāo)準(zhǔn)包括幀為MPLS幀�,其中如果所接收的幀滿足安全標(biāo)準(zhǔn)解析來自MPLS幀的MPLS報(bào)頭和MPLS載荷;由安全引擎保護(hù)MPLS載荷的安全以創(chuàng)建安全MPLS載荷���;組合MPLS報(bào)頭和安全MPLS載荷以創(chuàng)建安全MPLS幀�;以及將安全 MPLS幀傳遞給輸入/輸出接口以轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備�。
輸入/輸出接口可以包括用于接收幀的至少一個(gè)輸入端口和用于轉(zhuǎn)發(fā)幀的至少一個(gè)輸出端口。
輸入/輸出接口可以包括專用控制端口���。
安全標(biāo)準(zhǔn)可以進(jìn)一步包括涉及MPLS報(bào)頭中標(biāo)簽的標(biāo)簽值的標(biāo)準(zhǔn)��。
安全標(biāo)準(zhǔn)可以進(jìn)一步包括在MPLS報(bào)頭中頂端標(biāo)簽的標(biāo)簽值大于15���。
安全引擎可以使用單密鑰加密方法保護(hù)MPLS載荷的安全。
在被轉(zhuǎn)發(fā)到第二網(wǎng)絡(luò)設(shè)備之前��,可以將安全MPLS幀封裝到包括以太網(wǎng)報(bào)頭和以太網(wǎng)CRC的以太網(wǎng)幀中�。
可以將以太網(wǎng)幀的大小與網(wǎng)絡(luò)的MTU大小進(jìn)行比較,如果以太網(wǎng)幀的大小超過 MTU大小����,丟棄以太網(wǎng)幀并設(shè)置錯(cuò)誤條件標(biāo)記。
如果幀滿足安全標(biāo)準(zhǔn),可以修改MPLS報(bào)頭中的ToS字段以創(chuàng)建和安全MPLS幀進(jìn)行轉(zhuǎn)發(fā)的經(jīng)修改的MPLS報(bào)頭��。
如果所接收的幀不滿足作為MPLS幀的安全標(biāo)準(zhǔn)�,則安全引擎不處理該幀。
如果所接收的幀滿足作為MPLS幀的安全標(biāo)準(zhǔn)��,并且MPLS報(bào)頭中頂部標(biāo)簽的標(biāo)簽值小于或等于15����,可以將所接收的幀作為控制面(control plane)幀進(jìn)行處理。
在第三方面中�����,本發(fā)明提供一種用于對(duì)通過網(wǎng)絡(luò)傳輸?shù)臉?biāo)簽交換幀進(jìn)行安全保護(hù)的方法�,標(biāo)簽交換幀包括標(biāo)簽交換幀報(bào)頭和標(biāo)簽交換幀載荷,該方法包括從源接收標(biāo)簽交換幀�����;確定標(biāo)簽交換幀是否滿足安全標(biāo)準(zhǔn)��;如果標(biāo)簽交換幀滿足安全標(biāo)準(zhǔn)��,則對(duì)標(biāo)簽交換幀載荷進(jìn)行安全保護(hù)并且創(chuàng)建包括標(biāo)簽交換幀報(bào)頭和安全標(biāo)簽交換幀載荷的安全標(biāo)簽交換幀����;以及轉(zhuǎn)發(fā)安全標(biāo)簽交換幀。
安全標(biāo)準(zhǔn)可以包括涉及標(biāo)簽交換幀報(bào)頭中標(biāo)簽的標(biāo)簽值的標(biāo)準(zhǔn)��。
標(biāo)簽交換幀載荷可以通過使用單密鑰加密方法進(jìn)行安全保護(hù)����。
在第四方面中,本發(fā)明提供一種用于對(duì)標(biāo)簽交換網(wǎng)絡(luò)上的業(yè)務(wù)進(jìn)行安全保護(hù)的安全設(shè)備���,安全設(shè)備配置為從第一網(wǎng)絡(luò)設(shè)備接收幀并且將幀轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備�����,安全設(shè)備包括輸入/輸出接口 ���;存儲(chǔ)器;安全引擎�,用于根據(jù)安全標(biāo)準(zhǔn)分析所接收的幀,并且保護(hù)滿足安全標(biāo)準(zhǔn)的幀的安全�,安全標(biāo)準(zhǔn)包括幀為標(biāo)簽交換幀,其中如果所接收的幀滿足安全標(biāo)準(zhǔn)解析標(biāo)簽交換幀的標(biāo)簽交換幀報(bào)頭和標(biāo)簽交換幀載荷����;由安全引擎保護(hù)標(biāo)簽交換幀載荷的安全以創(chuàng)建安全標(biāo)簽交換幀載荷;組合標(biāo)簽交換幀報(bào)頭和安全標(biāo)簽交換幀載荷以創(chuàng)建安全標(biāo)簽交換幀;以及將安全標(biāo)簽交換幀傳遞給輸入/輸出接口以轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備���。
輸入/輸出接口可以包括用于接收幀的至少一個(gè)輸入端口和用于轉(zhuǎn)發(fā)幀的至少一個(gè)輸出端口�。
安全標(biāo)準(zhǔn)可以進(jìn)一步包括涉及標(biāo)簽交換幀報(bào)頭中標(biāo)簽的標(biāo)簽值的標(biāo)準(zhǔn)�����。
安全引擎可以使用單密鑰加密方法來保護(hù)標(biāo)簽交換幀載荷的安全����。
本發(fā)明的實(shí)施方式現(xiàn)在將參照附圖進(jìn)行說明,其中 圖1提供了根據(jù)本發(fā)明的實(shí)施方式的包括安全設(shè)備的網(wǎng)絡(luò)拓?fù)洌? 圖2提供了根據(jù)本發(fā)明的實(shí)施方式的安全設(shè)備的功能性框圖��; 圖3提供了示出在圖1的網(wǎng)絡(luò)中將分組從源傳輸?shù)侥康牡氐氖疽鈭D�; 圖4提供了概括地描述圖2中所示的安全設(shè)備所承擔(dān)的步驟的流程圖; 圖5示出了分組從第一區(qū)域中的客戶端點(diǎn)到另一區(qū)域中的客戶端點(diǎn)的傳輸���。
圖6A提供了在由如圖2所示的安全設(shè)備進(jìn)行修改之前的數(shù)據(jù)幀的表示��; 圖6B提供了具有加密載荷的數(shù)據(jù)幀的表示��;以及 圖6C提供了具有解密載荷的數(shù)據(jù)幀的表示��。
具體實(shí)施例方式本發(fā)明的描述涉及MPLS網(wǎng)絡(luò)技術(shù)����。從國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(IETF)能夠獲得有關(guān)MPLS網(wǎng)絡(luò)的詳細(xì)信息��。特別是����,IETF RFC 3031描述了標(biāo)準(zhǔn)化的MPLS體系結(jié)構(gòu),并在此將其引入作為參考��。
此外�,盡管可以知道本發(fā)明可以使用可替代的傳輸協(xié)議,本發(fā)明將關(guān)于用于傳輸 MPLS幀的以太網(wǎng)的使用進(jìn)行描述��。
網(wǎng)絡(luò) 圖1提供了適于本發(fā)明使用的網(wǎng)絡(luò)100的描述�。網(wǎng)絡(luò)100包括通過MPLS核心網(wǎng)絡(luò)108互連的第一區(qū)域102、第二區(qū)域104和第三區(qū)域106�����。例如��,區(qū)域102����、104和106可以表示不同的地理位置(例如���,悉尼、東京�����、紐約)并通過MPLS核心網(wǎng)絡(luò)108互連��。每個(gè)區(qū)域102-106可以包括多個(gè)不同的和分離的自有/受控網(wǎng)絡(luò)��,并且每個(gè)網(wǎng)絡(luò)可以是不同的類型�����。
為了便于解釋��,每個(gè)區(qū)域102-106包括(在該實(shí)施例中)2個(gè)不同的用戶存在-用戶A和用戶B���,兩個(gè)用戶都使用MPLS網(wǎng)絡(luò)���。在圖中僅示出了用戶邊緣(CE)路由器110、 112�����、114(用于用戶A)和116、118和120(用于用戶B)�,然而可以理解的是每個(gè)CE路由器 110-120與用戶的局域網(wǎng)(LAN)相連接(用虛線箭頭表示)。典型地�����,CE路由器可位于用戶所在地��,并提供用戶的LAN和MPLS核心網(wǎng)絡(luò)108之間的接口(例如�����,以太網(wǎng))��。
每個(gè)CE路由器(110-120)通過提供商邊緣(PE)路由器122�����、124和126(分別用于區(qū)域102��、104和106)與MPLS核心網(wǎng)絡(luò)108連接����。PE路由器由MPLS核心網(wǎng)絡(luò)108的提供商控制并提供MPLS核心網(wǎng)絡(luò)108的入口 /出口��。PE路由器典型地具有支持不同網(wǎng)絡(luò)協(xié)議(例如,幀中繼�、ATM、以太網(wǎng))的多個(gè)端口�。
當(dāng)通過CE路由器從用戶接收幀時(shí),PE路由器創(chuàng)建用于該幀的適當(dāng)?shù)腗PLS報(bào)頭��, 并將該MPLS報(bào)頭添加到該幀中��。從而��,由用戶發(fā)送的原始幀變?yōu)镸PLS載荷�。
MPLS報(bào)頭包括具有一個(gè)或多個(gè)標(biāo)簽的標(biāo)簽棧,每個(gè)標(biāo)簽包括20比特的標(biāo)簽值�����、3 比特的服務(wù)類型(ToS)字段�、1比特的指示標(biāo)簽是否在棧底部的標(biāo)志、和8比特的存活時(shí)間 (TTL字段)��。MPLS報(bào)頭中的標(biāo)簽允許對(duì)MPLS網(wǎng)絡(luò)中的業(yè)務(wù)進(jìn)行處理���。
一旦PE路由器將MPLS報(bào)頭添加到幀中����,PE路由器將MPLS幀轉(zhuǎn)發(fā)到MPLS網(wǎng)絡(luò)上。 重點(diǎn)地��,下面將描述通過安全設(shè)備傳送從PE路由器轉(zhuǎn)發(fā)到MPLS網(wǎng)絡(luò)的幀(以及從MPLS核心網(wǎng)絡(luò)108傳送到PE路由器的幀)�。
PE路由器122-1 還負(fù)責(zé)通過MPLS核心網(wǎng)絡(luò)108建立標(biāo)簽交換路徑(LSP)。通過網(wǎng)絡(luò)的控制面實(shí)現(xiàn)LSP的建立�����。為了便于說明�����,網(wǎng)絡(luò)的控制面用于指專用于網(wǎng)絡(luò)自身的保持和其它管理功能的網(wǎng)絡(luò)業(yè)務(wù)�,而不是傳送終端用戶數(shù)據(jù)的業(yè)務(wù)����。根據(jù)每個(gè)MPLS網(wǎng)絡(luò)標(biāo)準(zhǔn),可以通過使用標(biāo)簽分配協(xié)議(LDP)建立LSP�����,并且LSP可以是控制驅(qū)動(dòng)(也就是�,在數(shù)據(jù)傳輸之前建立)或者是數(shù)據(jù)驅(qū)動(dòng)(也就是,在接收用于之前未映射目的地的數(shù)據(jù)時(shí)建立)�����。
在本實(shí)施方式中,每個(gè)PE路由器122-1 通過安全設(shè)備1觀_132連接MPLS核心網(wǎng)絡(luò)108�����。下面將詳細(xì)描述安全交換機(jī)128-132的功能��。
MPLS核心網(wǎng)絡(luò)108自身包括多個(gè)提供商(P)路由器134��、136和138�。每個(gè)P路由器是轉(zhuǎn)接路由器(transit router),其接收控制面消息以在MPLS核心網(wǎng)絡(luò)108中建立所需要的LSP(例如��,通過使用標(biāo)簽分配協(xié)議)和根據(jù)MPLS報(bào)頭中的標(biāo)簽和所建立的LSP實(shí)現(xiàn) MPLS核心網(wǎng)絡(luò)108中數(shù)據(jù)分組的交換����。
當(dāng)由P路由器134-138接收到標(biāo)簽分組時(shí),P路由器讀取棧中頂部標(biāo)簽的標(biāo)簽值���, 并在P路由器上存儲(chǔ)的且有P路由器維護(hù)的標(biāo)簽信息庫(kù)(LIB)中查找該值����。對(duì)于每個(gè)標(biāo)簽值,LIB存儲(chǔ)有關(guān)應(yīng)將承載該標(biāo)簽的幀轉(zhuǎn)發(fā)到哪里(也就是��,下一跳)和是否在轉(zhuǎn)發(fā)幀之前需要對(duì)標(biāo)簽棧進(jìn)行任何修改(例如�����,將一個(gè)或多個(gè)新標(biāo)簽加入到棧中�����,用新的頂端標(biāo)簽代替頂端標(biāo)簽�,或者使標(biāo)簽出棧)的信息。
通常����,網(wǎng)絡(luò)100能夠分為可信區(qū)域和不可信區(qū)域�。CE路由器110-112、CE路由器 110-112之外的用戶網(wǎng)絡(luò)�、PE路由器122-126、和安全設(shè)備1觀_132在用戶或MPLS提供商或者用戶的控制之中����,并且從而被認(rèn)為是可信的。另一方面�����,MPLS核心網(wǎng)絡(luò)108的P路由器134-138不需要在MPLS提供商的用戶的控制之中,并且從而被認(rèn)為是不可信的���。因此��, 每個(gè)PE路由器122-1 提供從可信區(qū)域(PE路由器自身和相連的CE路由器)到不可信區(qū)域(MPLS核心網(wǎng)絡(luò)108)的鏈路�����。
安全設(shè)備 現(xiàn)在將參照?qǐng)D2詳細(xì)描述安全設(shè)備128-132的功能���,圖2示出了安全設(shè)備128的功能性框圖。
轉(zhuǎn)到圖2��,提供了一種根據(jù)本發(fā)明的實(shí)施方式的安全設(shè)備128的功能性框圖��。安全設(shè)備1 包括數(shù)據(jù)處理設(shè)備202��,其連接到存儲(chǔ)器206����、安全引擎208、和輸入/輸出接口 204��。
數(shù)據(jù)處理設(shè)備202可以是微處理器、微控制器��、可編程邏輯設(shè)備或者其它合適的設(shè)備��,或者多個(gè)這樣的設(shè)備���,其中每個(gè)設(shè)備執(zhí)行數(shù)據(jù)處理設(shè)備202的部分功能���。控制數(shù)據(jù)處理設(shè)備202的操作的指令和數(shù)據(jù)存儲(chǔ)在存儲(chǔ)器206中����,其中存儲(chǔ)器206與數(shù)據(jù)處理設(shè)備202 進(jìn)行數(shù)據(jù)通信,或者成為數(shù)據(jù)處理設(shè)備202的一部分�。典型地,安全設(shè)備1 可以包括易失性存儲(chǔ)器和非易失性存儲(chǔ)器以及多于每種類型的存儲(chǔ)器的一個(gè)���,這樣的存儲(chǔ)器統(tǒng)稱為存儲(chǔ)器206���。存儲(chǔ)器206還可以用于緩存從輸入/輸出接口 204接收的輸入幀/發(fā)送到輸入/ 輸出接口 204的輸出幀�。
輸入/輸出(I/O)接口 204允許與外部設(shè)備(例如,PE路由器�����、P路由器、和/或可以配置安全設(shè)備128的計(jì)算機(jī))進(jìn)行通信�。在這種情況下,I/O接口 204包括用于接收控制面的幀的控制端口 210�����、用于接收輸入幀的輸入端口���、和用于轉(zhuǎn)發(fā)幀的輸出端口��。當(dāng)然���,各種配置的I/O接口都是可以的。
安全引擎208可以形成數(shù)據(jù)處理設(shè)備202的一部分或者可以成為如圖所示的獨(dú)立的數(shù)據(jù)處理設(shè)備���。安全引擎208可以是微處理器�、微控制器��、可編程邏輯設(shè)備或者其它合適的設(shè)備�。安全引擎208可以配有其自身專用的存儲(chǔ)器,或可以使用存儲(chǔ)器206�����。本實(shí)施方式中,安全引擎包括標(biāo)準(zhǔn)模塊216和加密模塊218����。并且,標(biāo)準(zhǔn)模塊216和加密模塊218中的一個(gè)或者全部可以與安全引擎208(或者�,實(shí)際上,數(shù)據(jù)處理設(shè)備202)結(jié)合��,或者可以成為專用的處理設(shè)備�����。例如����,標(biāo)準(zhǔn)模塊216可以實(shí)現(xiàn)為硬件、固件�����、或者數(shù)據(jù)處理設(shè)備202中的軟件�����。
按照?qǐng)D1中的每個(gè)圖����,將安全設(shè)備128安裝在可信的PE路由器122和不可信的 MPLS核心網(wǎng)絡(luò)108之間(通過P路由器134)。所有的輸出業(yè)務(wù)(也就是����,從可信的PE路由器122傳送到P路由器134的業(yè)務(wù))和所有的輸入業(yè)務(wù)(也就是,從不可信的P路由器 134傳遞到可信的PE路由器122的業(yè)務(wù))通過安全設(shè)備128����。
當(dāng)將幀從CE路由器110通過MPLS網(wǎng)絡(luò)108傳輸?shù)侥康腃E路由器112時(shí),PE路由器122接收該幀����,PE路由器122將MPLS報(bào)頭添加到幀中以創(chuàng)建MPLS幀。于是���,原始幀變?yōu)镸PLS載荷�����。如果之前還沒有建立到達(dá)所要求目的地的路徑�,PE路由器122也會(huì)采取請(qǐng)求建立路徑的動(dòng)作�����。
從而,PE路由器122將幀轉(zhuǎn)發(fā)給安全設(shè)備128�。安全設(shè)備1 在輸入端口 212處接收幀,并且數(shù)據(jù)處理設(shè)備202控制該幀到安全引擎208的傳遞���。安全引擎208的標(biāo)準(zhǔn)模塊216檢測(cè)幀����,以確定幀是否滿足預(yù)定的安全標(biāo)準(zhǔn)�。如下面進(jìn)一步介紹的,對(duì)于不滿足預(yù)定安全標(biāo)準(zhǔn)的任何幀����,安全設(shè)備實(shí)質(zhì)上是透明的。
如果幀滿足預(yù)定的安全標(biāo)準(zhǔn)(標(biāo)準(zhǔn)的部分是幀為MPLS幀)�,安全引擎208解析 MPLS幀以將其分為MPLS報(bào)頭和MPLS載荷。將經(jīng)解析的報(bào)頭存儲(chǔ)在存儲(chǔ)器206中����。隨后, 將MPLS載荷發(fā)送到對(duì)MPLS載荷進(jìn)行安全保護(hù)的加密引擎218�。隨后,安全引擎208重新組合MPLS報(bào)頭和(現(xiàn)在是安全的)MPLS載荷,并將由此產(chǎn)生的幀傳遞給MPLS核心網(wǎng)絡(luò)108����。 如果標(biāo)準(zhǔn)模塊216實(shí)現(xiàn)為數(shù)據(jù)處理設(shè)備202的一部分�����,則還可由數(shù)據(jù)處理設(shè)備202來執(zhí)行解析���。
目的地的安全設(shè)備130對(duì)所有幀執(zhí)行相似的檢測(cè)����。如果幀滿足加密標(biāo)準(zhǔn)���,安全設(shè)備130假設(shè)MPLS幀的載荷已經(jīng)被加密��。如同輸出的幀�����,安全設(shè)備130于是將MPLS報(bào)頭和 MPLS載荷相分離����,將MPLS載荷傳遞給加密弓I擎以進(jìn)行解密��,重新組合MPLS幀并且將幀傳遞給PE路由器124。
如果幀不滿足按標(biāo)準(zhǔn)�����,安全設(shè)備1 確定該幀是不需要加密/解密的幀���,并且在不對(duì)MPLS報(bào)頭和MPLS載荷進(jìn)行分離以及對(duì)載荷進(jìn)行加密/解密的情況下對(duì)幀進(jìn)行交換��。
例如�,下面描述的安全標(biāo)準(zhǔn)是這樣的���,以致于非MPLS幀和涉及控制面業(yè)務(wù)的MPLS 幀將不滿足安全標(biāo)準(zhǔn)��,并且因此安全設(shè)備不進(jìn)行進(jìn)一步處理就進(jìn)行交換���。通過在不進(jìn)行不適當(dāng)處理的情況下交換這些幀,將對(duì)安全設(shè)備(以及整個(gè)網(wǎng)絡(luò))的性能的任何影響保持為最小�����。
不考慮MPLS載荷是否被加密/解密��,在將幀傳遞至下一跳(也就是說,P路由器或者PE路由器)之前�,安全設(shè)備交換以太網(wǎng)幀的源地址和目的地址并且重新計(jì)算用于以太網(wǎng)幀的校驗(yàn)和數(shù)據(jù)。這在PE路由器和P路由器之間提供了無縫集成���。如果需要�����,安全設(shè)備
9也可以減小幀的存活時(shí)間(TTL)字段,并且如果TTL為0����,則丟棄該幀。
圖3提供了安全設(shè)備1 從PE路由器122接收的網(wǎng)絡(luò)業(yè)務(wù)的表示���。如圖所示��, 對(duì)于輸入幀302�,僅僅那些標(biāo)簽值大于15 (業(yè)務(wù)流306)的MPLS類型的幀(業(yè)務(wù)流304)被安全設(shè)備128的加密引擎218處理�。標(biāo)簽值小于或等于15的MPLS幀(業(yè)務(wù)流310)和非 MPLS幀(業(yè)務(wù)流312)均繞過加密引擎218。
一些非MPLS幀可能涉及控制面業(yè)務(wù)并且被安全設(shè)備1 所截取(業(yè)務(wù)流314)����。 這些幀可以或者被安全設(shè)備1 處理并且然后丟棄,或者在處理后被轉(zhuǎn)發(fā)到另一目的地。
安全標(biāo)準(zhǔn) 如上所述�,在安全設(shè)備中使用的安全標(biāo)準(zhǔn)確定安全設(shè)備將加密哪個(gè)幀的載荷,以及哪個(gè)幀在不進(jìn)行載荷加密的情況下進(jìn)行交換���。當(dāng)然����,這些標(biāo)準(zhǔn)可以按照需要進(jìn)行設(shè)置��,然而����,適當(dāng)?shù)臉?biāo)準(zhǔn)(在本實(shí)施方式中)為 ·幀為MPLS以太網(wǎng)幀(也就是,幀的以太網(wǎng)類型是0x8847或0x8848)���;以及 · MPLS報(bào)頭中的頂端標(biāo)簽的標(biāo)簽值大于15 (注意���,根據(jù)IETF共識(shí),標(biāo)簽值0_3已經(jīng)分配��,標(biāo)簽值4-15當(dāng)前預(yù)留給IANA進(jìn)行分配)���。
通過按這種方式設(shè)置安全標(biāo)準(zhǔn)�,安全設(shè)備對(duì)所有的非MPLS幀和處理網(wǎng)絡(luò)管理和維護(hù)的所有MPLS幀(也就是,控制面的幀)是完全透明的����。對(duì)于不滿足安全標(biāo)準(zhǔn)的任何幀, 安全設(shè)備實(shí)質(zhì)上充當(dāng)可信端口和不可信端口之間的第2層以太網(wǎng)交換機(jī)���。
如上所述����,如果幀滿足安全標(biāo)準(zhǔn)�����,將MPLS幀(也就是�,由用戶發(fā)送的原始幀)的 MPLS載荷發(fā)送給加密模塊218以進(jìn)行安全保護(hù)����。如果幀從PE路由器輸出到MPLS網(wǎng)絡(luò),加密模塊218對(duì)MPLS載荷進(jìn)行加密��。如果MPLS載荷從MPLS網(wǎng)絡(luò)輸入到PE路由器���,對(duì)MPLS 載荷進(jìn)行解密��。
雖然任何形式的加密可以用于對(duì)載荷進(jìn)行加密/解密(具體類型取決于所要求的安全級(jí)別)����,諸如三重DES (TDES)的單密鑰加密可適于多種應(yīng)用。使用單密鑰加密方法具有這樣的優(yōu)勢(shì)由于僅需要將單一通用密鑰提供給網(wǎng)絡(luò)上的所有安全設(shè)備�����,從而減小了網(wǎng)絡(luò)開銷�����。
一旦MPLS載荷已經(jīng)加密/解密���,安全設(shè)備128檢測(cè)經(jīng)修改的MPLS載荷以確保其大小不會(huì)導(dǎo)致超過網(wǎng)絡(luò)的最大傳輸單元(MTU)�����。如果經(jīng)修改的MPLS載荷會(huì)導(dǎo)致超過MTU����, 丟棄該幀并通過控制面標(biāo)記錯(cuò)誤����。
對(duì)于安全設(shè)備從可信的PE路由器接收的幀(也就是�����,通過安全設(shè)備傳送到MPLS 核心網(wǎng)絡(luò)108上的幀)���,安全設(shè)備處理幀的算法可以用下面的偽代碼來說明
權(quán)利要求
1.一種用于保護(hù)通過網(wǎng)絡(luò)傳輸?shù)腗PLS幀的安全的方法,MPLS幀包括MPLS報(bào)頭和MPLS 載荷���,該方法包括以下步驟從源接收MPLS幀���;確定MPLS幀是否滿足安全標(biāo)準(zhǔn);如果MPLS幀滿足安全標(biāo)準(zhǔn)��,則對(duì)MPLS載荷進(jìn)行安全保護(hù)并創(chuàng)建包括MPLS報(bào)頭和安全 MPLS載荷的安全MPLS幀��;以及轉(zhuǎn)發(fā)安全MPLS幀����。
2.根據(jù)權(quán)利要求1所述的方法�����,其中安全標(biāo)準(zhǔn)包括與MPLS報(bào)頭中標(biāo)簽的標(biāo)簽值有關(guān)的標(biāo)準(zhǔn)���。
3.根據(jù)權(quán)利要求1或2所述的方法�,其中安全標(biāo)準(zhǔn)包括MPLS報(bào)頭的頂端標(biāo)簽中的標(biāo)簽值大于15。
4.根據(jù)前述任意一項(xiàng)權(quán)利要求所述的方法��,其中MPLS載荷通過使用單密鑰加密方法進(jìn)行安全保護(hù)�����。
5.根據(jù)前述任意一項(xiàng)權(quán)利要求所述的方法����,其中使用單密鑰加密方法對(duì)從源接收的通過網(wǎng)絡(luò)傳輸?shù)臐M足安全標(biāo)準(zhǔn)的更多的幀進(jìn)行安全保護(hù),使用與它們的源或目的地?zé)o關(guān)的相同密鑰對(duì)更多的幀進(jìn)行安全保護(hù)�。
6.根據(jù)前述任意一項(xiàng)權(quán)利要求所述的方法,其中將安全MPLS幀的大小與網(wǎng)絡(luò)的MTU大小進(jìn)行核對(duì)�,以及如果安全MPLS幀超過了網(wǎng)絡(luò)的MTU大小,則丟棄安全MPLS幀并且標(biāo)記錯(cuò)誤條件��。
7.根據(jù)前述任意一項(xiàng)權(quán)利要求所述的方法����,進(jìn)一步包括修改MPLS報(bào)頭的ToS字段以創(chuàng)建用于和安全MPLS幀一起進(jìn)行轉(zhuǎn)發(fā)的經(jīng)修改的MPLS報(bào)頭。
8.一種用于保護(hù)MPLS網(wǎng)絡(luò)上業(yè)務(wù)安全的安全設(shè)備��,安全設(shè)備配置為從第一網(wǎng)絡(luò)設(shè)備接收幀并將幀轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備�,安全設(shè)備包括輸入/輸出接口���,用于接收和轉(zhuǎn)發(fā)幀; 存儲(chǔ)器�;安全引擎,用于根據(jù)安全標(biāo)準(zhǔn)分析所接收的幀�����,并且對(duì)滿足安全標(biāo)準(zhǔn)的幀進(jìn)行安全保護(hù)�����,安全標(biāo)準(zhǔn)包括幀為MPLS幀�,其中如果所接收的幀滿足安全標(biāo)準(zhǔn) 解析來自MPLS幀的MPLS報(bào)頭和MPLS載荷; 由安全引擎保護(hù)MPLS載荷的安全以創(chuàng)建安全MPLS載荷�����; 組合MPLS報(bào)頭和安全MPLS載荷以創(chuàng)建安全MPLS幀�;以及將安全MPLS幀傳遞給輸入/輸出接口以轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備。
9.根據(jù)權(quán)利要求8所述的安全設(shè)備�,其中輸入/輸出接口包括用于接收幀的至少一個(gè)輸入端口和用于轉(zhuǎn)發(fā)幀的至少一個(gè)輸出端口�。
10.根據(jù)權(quán)利要求8或9所述的安全設(shè)備,其中輸入/輸出接口包括專用控制端口���。
11.根據(jù)權(quán)利要求8-10中任意一項(xiàng)所述的安全設(shè)備�,其中安全標(biāo)準(zhǔn)進(jìn)一步包括與MPLS 報(bào)頭中標(biāo)簽的標(biāo)簽值有關(guān)的標(biāo)準(zhǔn)。
12.根據(jù)權(quán)利要求8-11中任意一項(xiàng)所述的安全設(shè)備�����,其中安全標(biāo)準(zhǔn)進(jìn)一步包括MPLS報(bào)頭中頂端標(biāo)簽的標(biāo)簽值大于15�。
13.根據(jù)權(quán)利要求9-12中任意一項(xiàng)所述的安全設(shè)備,其中安全引擎使用單密鑰加密方法保護(hù)MPLS載荷的安全����。
14.根據(jù)權(quán)利要求9-13中任意一項(xiàng)所述的安全設(shè)備,其中在將安全MPLS幀轉(zhuǎn)發(fā)到第二網(wǎng)絡(luò)設(shè)備之前���,將安全MPLS幀封裝到包括以太網(wǎng)報(bào)頭和以太網(wǎng)CRC的以太網(wǎng)幀中�。
15.根據(jù)權(quán)利要求14所述的安全設(shè)備�����,其中將以太網(wǎng)幀的大小與網(wǎng)絡(luò)的MTU大小進(jìn)行比較�����,以及如果以太網(wǎng)幀的大小超過MTU大小,則丟棄以太網(wǎng)幀并標(biāo)記錯(cuò)誤條件�����。
16.根據(jù)權(quán)利要求9-15中任意一項(xiàng)所述的安全設(shè)備����,其中如果幀滿足安全標(biāo)準(zhǔn),則修改MPLS報(bào)頭中的ToS字段以創(chuàng)建和安全MPLS幀一起轉(zhuǎn)發(fā)的經(jīng)修改的MPLS報(bào)頭�����。
17.根據(jù)權(quán)利要求9-16中任意一項(xiàng)所述的安全設(shè)備�����,其中如果所接收的幀不滿足是 MPLS幀的安全標(biāo)準(zhǔn)���,則安全引擎不處理該幀���。
18.根據(jù)權(quán)利要求9-16中任意一項(xiàng)所述的安全設(shè)備,其中如果所接收的幀滿足是MPLS 幀的安全標(biāo)準(zhǔn)�����,并且MPLS報(bào)頭中頂端標(biāo)簽的標(biāo)簽值小于或等于15�,將所接收的幀作為控制面幀進(jìn)行處理。
19.一種用于保護(hù)通過網(wǎng)絡(luò)傳輸?shù)臉?biāo)簽交換幀的安全的方法����,標(biāo)簽交換幀包括標(biāo)簽交換幀報(bào)頭和標(biāo)簽交換幀載荷,該方法包括以下步驟從源接收標(biāo)簽交換幀����;確定標(biāo)簽交換幀是否滿足安全標(biāo)準(zhǔn);如果標(biāo)簽交換幀滿足安全標(biāo)準(zhǔn)�,則對(duì)標(biāo)簽交換幀載荷進(jìn)行安全保護(hù)并且創(chuàng)建包括標(biāo)簽交換幀報(bào)頭和安全標(biāo)簽交換幀載荷的安全標(biāo)簽交換幀;以及轉(zhuǎn)發(fā)安全標(biāo)簽交換幀�����。
20.根據(jù)權(quán)利要求19所述的方法���,其中安全標(biāo)準(zhǔn)包括與標(biāo)簽交換幀報(bào)頭中標(biāo)簽的標(biāo)簽值有關(guān)的標(biāo)準(zhǔn)���。
21.根據(jù)權(quán)利要求19或20所述的方法,其中標(biāo)簽交換幀載荷通過使用單密鑰加密方法進(jìn)行安全保護(hù)���。
22.一種用于保護(hù)標(biāo)簽交換網(wǎng)絡(luò)上業(yè)務(wù)安全的安全設(shè)備����,安全設(shè)備配置為從第一網(wǎng)絡(luò)設(shè)備接收幀并將幀轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備,安全設(shè)備包括輸入/輸出接口���; 存儲(chǔ)器����;安全引擎����,用于根據(jù)安全標(biāo)準(zhǔn)分析所接收的幀,并且保護(hù)滿足安全標(biāo)準(zhǔn)的幀的安全��,安全標(biāo)準(zhǔn)包括幀為標(biāo)簽交換幀����,其中如果所接收的幀滿足安全標(biāo)準(zhǔn) 解析標(biāo)簽交換幀的標(biāo)簽交換幀報(bào)頭和標(biāo)簽交換幀載荷; 由安全引擎保護(hù)標(biāo)簽交換幀載荷的安全以創(chuàng)建安全標(biāo)簽交換幀載荷����; 組合標(biāo)簽交換幀報(bào)頭和安全標(biāo)簽交換幀載荷以創(chuàng)建安全標(biāo)簽交換幀;以及將安全標(biāo)簽交換幀傳遞給輸入/輸出接口以轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備��。
23.根據(jù)權(quán)利要求22所述的安全設(shè)備����,其中輸入/輸出接口包括用于接收幀的至少一個(gè)輸入端口和用于轉(zhuǎn)發(fā)幀的至少一個(gè)輸出端口�。
24.根據(jù)權(quán)利要求22或23所述的安全設(shè)備����,其中安全標(biāo)準(zhǔn)進(jìn)一步包括與標(biāo)簽交換幀報(bào)頭中標(biāo)簽的標(biāo)簽值相關(guān)的標(biāo)準(zhǔn)��。
25.根據(jù)權(quán)利要求22-24中任意一項(xiàng)所述的安全設(shè)備��,其中安全引擎使用單密鑰加密方法保護(hù)標(biāo)簽交換幀載荷的安全���。
全文摘要
一種用于對(duì)通過網(wǎng)絡(luò)傳輸?shù)腗PLS幀進(jìn)行安全保護(hù)的方法����,MPLS幀包括MPLS報(bào)頭和MPLS載荷��。該方法包括從源接收MPLS幀和確定MPLS幀是否滿足安全標(biāo)準(zhǔn)�。如果MPLS幀滿足安全標(biāo)準(zhǔn),則對(duì)MPLS載荷進(jìn)行安全保護(hù)并且創(chuàng)建安全MPLS幀�。安全MPLS幀包括MPLS報(bào)頭和安全MPLS載荷。隨后�,轉(zhuǎn)發(fā)安全MPLS幀。
文檔編號(hào)H04K1/00GK102187614SQ200880131631
公開日2011年9月14日 申請(qǐng)日期2008年10月20日 優(yōu)先權(quán)日2008年10月20日
發(fā)明者C·史密斯 申請(qǐng)人:阿爾卡特朗訊公司