專利名稱:一種雙向轉發(fā)檢測會話的驗證方法及節(jié)點的制作方法
技術領域:
本發(fā)明涉及通信技術領域,尤其涉及一種雙向轉發(fā)檢測會話的驗證方法及節(jié)點��。
背景技術:
隨著技術的發(fā)展�,現(xiàn)有的BFD (Bidirectional Forwarding Detection,雙向轉發(fā)檢測)協(xié)議本身的安全性問題也隨著其應用的推廣越來越突出。現(xiàn)有的主要安全問題為BFD的協(xié)議狀態(tài)在收到偽造報文時發(fā)生變化����,從而引起會話震蕩。例如以BFD-A節(jié)點和BFD-B節(jié)點建立單跳的BFD會話為例��,當攻擊者通過網(wǎng)絡工具獲取到BFD-A節(jié)點和BFD-B節(jié)點直連鏈路的配置信息時����,該攻擊者就會通過BFD-A節(jié)點和BFD-B節(jié)點中的一個,比如BFD-A相連�,仿造到達BFD-B節(jié)點的報文信息,由于BFD節(jié)點的狀態(tài)是根據(jù)遠端節(jié)點的狀態(tài)進行變化的��,故當重放報文包含錯誤的狀態(tài)信息時�����,就會迫使該BFD-A節(jié)點的狀態(tài)改變其自身狀態(tài)��,從而破壞BFD節(jié)點間的正常會話。
發(fā)明內容
本發(fā)明的實施例提供了雙向轉發(fā)檢測會話的驗證方法及節(jié)點����,對BFD協(xié)議進行了擴展��,減小了攻擊者偽造報文的成功率����,從而有效的防止了重放攻擊。根據(jù)本發(fā)明實施例的一方面�����,一種雙向轉發(fā)檢測BFD會話的驗證方法��,包括生成第一隨機數(shù)����,并將所述第一隨機數(shù)添加到第一 BFD控制報文中發(fā)送給遠端節(jié)占.接收遠端節(jié)點發(fā)送的第二 BFD控制報文,獲取并保存所述第二 BFD控制報文中遠端節(jié)點生成的第二隨機數(shù)�;在后續(xù)的通信中,所述第一隨機數(shù)和第二隨機數(shù)組成的隨機數(shù)對����,或者根據(jù)所述第一隨機數(shù)和第二隨機數(shù)生成的第三隨機數(shù)將隨報文傳遞以完成后續(xù)報文的新鮮性驗證。根據(jù)本發(fā)明實施例的另一方面,一種雙向轉發(fā)檢測會話BFD的驗證方法����,包括接收發(fā)起節(jié)點發(fā)送的第一 BFD控制報文,獲取并保存所述第一 BFD控制報文中所述發(fā)起節(jié)點生成的第一隨機數(shù)���;生成第二隨機數(shù)����,將所述第二隨機數(shù)添加到所述接收到的第一 BFD控制報文中發(fā)送給所述發(fā)起節(jié)點���;在后續(xù)的通信中����,所述第一隨機數(shù)和第二隨機數(shù)組成的隨機數(shù)對�����,或者根據(jù)所述第一隨機數(shù)和第二隨機數(shù)生成的第三隨機數(shù)將隨報文傳遞以完成后續(xù)報文的新鮮性驗證��。根據(jù)本發(fā)明實施例的另一方面����,一種發(fā)起節(jié)點�����,包括第一生成模塊,用于生成第一隨機數(shù)�����;第一添加發(fā)送模塊,用于將所述第一生成模塊生成的所述第一隨機數(shù)添加到第一雙向轉發(fā)檢測BFD控制報文中并發(fā)送給遠端節(jié)點��;第一接收獲取模塊�,用于接收遠端節(jié)點發(fā)送的第二 BFD控制報文,獲取所述第二BFD控制報文中遠端節(jié)點生成的第二隨機數(shù)�����;
第一保存驗證模塊����,用于保存所述第一接收獲取模塊獲取的所述遠端節(jié)點生成的第二隨機數(shù)。根據(jù)本發(fā)明實施例的另一方面�����,一種遠端節(jié)點����,包括第二接收獲取模塊�,用于接收發(fā)起節(jié)點發(fā)送的第一雙向轉發(fā)檢測BFD控制報文�����,并獲取所述第一 BFD控制報文中所述發(fā)起節(jié)點生成的第一隨機數(shù)�����;第二保存驗證模塊���,用于保存所述第二接收獲取模塊獲取的所述發(fā)起節(jié)點生成的第一隨機數(shù)�;第二生成模塊�,用于生成第二隨機數(shù);第二添加發(fā)送模塊�����,用于將所述第二生成模塊生成的所述第二隨機數(shù)添加到所述接收到的第一 BFD控制報文中發(fā)送給所述發(fā)起節(jié)點�。
由上述本發(fā)明的實施例提供的技術方案可以看出,通過添加發(fā)起節(jié)點和遠端節(jié)點生成的隨機數(shù)到BFD控制報文中對BFD協(xié)議進行了擴展����,由于發(fā)起節(jié)點與遠端節(jié)點的每一次會話都會生成不同的隨機數(shù)對�,故減小了攻擊者偽造報文的成功率����,從而有效的防止了重放攻擊。
為了更清楚地說明本發(fā)明實施例的技術方案�����,下面將對實施例描述中所需要使用的附圖作簡單地介紹����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖���。圖I為現(xiàn)有技術中BFD控制報文格式的示意圖;圖2為本發(fā)明實施例提供的一種雙向轉發(fā)檢測會話的驗證方法流程圖�����;圖3為本發(fā)明實施例中BFD控制報文中可選部分和添加部分的格式示意圖;圖4為本發(fā)明實施例提供的發(fā)起節(jié)點的結構示意圖�����;圖5為本發(fā)明實施例提供的遠端節(jié)點的結構示意圖���。
具體實施例方式下面將結合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術方案進行清楚、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例��?��;诒景l(fā)明中的實施例����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍?��,F(xiàn)有的BFD控制報文格式如圖I所示,包括強制部分和可選認證部分�����,其中強制部分各字段依次表示如下Vers :協(xié)議的版本號����,本具體實施例中協(xié)議的版本為O ;Diag :給出本地系統(tǒng)最后一次從“Up”狀態(tài)轉換到其他狀態(tài)的原因及標識碼如表I所示。表I本地系統(tǒng)最后一次從“Up”狀態(tài)轉換到其他狀態(tài)的原因及標識碼
權利要求
1.一種雙向轉發(fā)檢測BFD會話的驗證方法����,其特征在于,包括 生成第一隨機數(shù)����,并將所述第一隨機數(shù)添加到第一 BFD控制報文中發(fā)送給遠端節(jié)點����; 接收遠端節(jié)點發(fā)送的第二 BFD控制報文,獲取并保存所述第二 BFD控制報文中遠端節(jié)點生成的第二隨機數(shù)�; 在后續(xù)的通信中,所述第一隨機數(shù)和第二隨機數(shù)組成的隨機數(shù)對��,或者根據(jù)所述第一隨機數(shù)和第二隨機數(shù)生成的第三隨機數(shù)將隨報文傳遞以完成后續(xù)報文的新鮮性驗證。
2.根據(jù)權利要求I所述的方法���,其特征在于����,所述將所述第一隨機數(shù)添加到第一BFD控制報文中包括 將所述第一隨機數(shù)添加到所述第一 BFD控制報文中的可選認證部分之后���,所述第一BFD控制報文包括強制部分和可選認證部分�。
3.根據(jù)權利要求I所述的方法�,其特征在于,在所述第一隨機數(shù)后添加與所述第一隨機數(shù)相同比特的O后�����,添加到所述第一 BFD控制報文中發(fā)送給遠端節(jié)點�。
4.一種發(fā)起節(jié)點,其特征在于�,包括 第一生成模塊,用于生成第一隨機數(shù)���; 第一添加發(fā)送模塊��,用于將所述第一生成模塊生成的所述第一隨機數(shù)添加到第一雙向轉發(fā)檢測BFD控制報文中并發(fā)送給遠端節(jié)點�; 第一接收獲取模塊,用于接收遠端節(jié)點發(fā)送的第二 BFD控制報文���,獲取所述第二 BFD控制報文中遠端節(jié)點生成的第二隨機數(shù)�����; 第一保存驗證模塊�����,用于保存所述第一接收獲取模塊獲取的所述遠端節(jié)點生成的第二隨機數(shù)�����。
5.根據(jù)權利要求4所述的發(fā)起節(jié)點����,其特征在于��,所述第一添加發(fā)送模塊�����,用于將所述第一隨機數(shù)添加到所述第一 BFD控制報文中的可選認證部分之后�,所述第一 BFD控制報文包括強制部分和可選認證部分。
6.根據(jù)權利要求4所述的發(fā)起節(jié)點���,其特征在于�,所述第一添加發(fā)送模塊�����,還用于在所述第一隨機后添加與所述第一隨機數(shù)相同比特的O后�����,添加到所述第一 BFD控制報文中發(fā)送給遠端節(jié)點�����。
7.一種雙向轉發(fā)檢測會話BFD的驗證方法�����,其特征在于�,包括 接收發(fā)起節(jié)點發(fā)送的第一 BFD控制報文,獲取并保存所述第一 BFD控制報文中所述發(fā)起節(jié)點生成的第一隨機數(shù)�����; 生成第二隨機數(shù),將所述第二隨機數(shù)添加到所述接收到的第一 BFD控制報文中發(fā)送給所述發(fā)起節(jié)點��; 在后續(xù)的通信中����,所述第一隨機數(shù)和第二隨機數(shù)組成的隨機數(shù)對,或者根據(jù)所述第一隨機數(shù)和第二隨機數(shù)生成的第三隨機數(shù)將隨報文傳遞以完成后續(xù)報文的新鮮性驗證����。
8.根據(jù)權利要求7所述的方法,其特征在于�,所述將所述第二隨機數(shù)添加到所述接收到的第一 BFD控制報文中,包括 將所述第二隨機數(shù)添加到所述第一 BFD控制報文中所述發(fā)起節(jié)點生成的第一隨機數(shù)之前�����,所述發(fā)起節(jié)點生成的第一隨機數(shù)在所述第一 BFD控制報文的可選認證部分之后��,所述第一 BFD控制報文包括強制部分和可選認證部分��。
9.一種遠端節(jié)點����,其特征在于,包括第二接收獲取模塊����,用于接收發(fā)起節(jié)點發(fā)送的第一雙向轉發(fā)檢測BFD控制報文,并獲取所述第一 BFD控制報文中所述發(fā)起節(jié)點生成的第一隨機數(shù)�; 第二保存驗證模塊,用于保存所述第二接收獲取模塊獲取的所述發(fā)起節(jié)點生成的第一隨機數(shù)�����; 第二生成模塊�,用于生成第二隨機數(shù); 第二添加發(fā)送模塊�����,用于將所述第二生成模塊生成的所述第二隨機數(shù)添加到所述接收到的第一 BFD控制報文中發(fā)送給所述發(fā)起節(jié)點��。
10.根據(jù)權利要求9所述的遠端節(jié)點�����,其特征在于��,所述第二添加發(fā)送模塊�,用于將所述第二隨機數(shù)添加到所述第一 BFD控制報文中所述發(fā)起節(jié)點生成的第一隨機數(shù)之前���,所述發(fā)起節(jié)點生成的第一隨機數(shù)在所述第一 BFD控制報文的可選認證部分之后,所述第一 BFD控制報文包括強制部分和可選認證部分���。
全文摘要
一種BFD會話的驗證方法及節(jié)點���,涉及通信技術領域。本方法包括發(fā)起節(jié)點將自身生成的第一隨機數(shù)添加到第一BFD控制報文中發(fā)送給遠端節(jié)點���;遠端節(jié)點獲取并保存所述接收到的第一BFD控制報文中發(fā)起節(jié)點生成的第一隨機數(shù)��;遠端節(jié)點將自身生成的第二隨機數(shù)添加到所述接收到的第一BFD控制報文中發(fā)送給發(fā)起節(jié)點����;發(fā)起節(jié)點獲取并保存所述接收到的第二BFD控制報文中遠端節(jié)點生成的第二隨機數(shù)����。在后續(xù)的通信中,所述第一隨機數(shù)和第二隨機數(shù)組成的隨機數(shù)對��,或者根據(jù)所述第一隨機數(shù)和第二隨機數(shù)生成的第三隨機數(shù)將隨報文傳遞以完成后續(xù)報文的新鮮性驗證���。
文檔編號H04L29/06GK102932318SQ201110228700
公開日2013年2月13日 申請日期2011年8月10日 優(yōu)先權日2011年8月10日
發(fā)明者張大成 申請人:華為技術有限公司