专利名称:基于边界网关协议报文的报文安全保护方法
技术领域:
本发明涉及网络系统中报文的安全保护方法。
为达到上述目的,本发明提供的基于边界网关协议报文的报文安全保护方法,包括a.报文接收端向报文发送端发送包括验证机制和验证字的连接协商报文(OPEN报文);b.报文发送端根据接收到的连接协商报文和本端的验证能力确定是否支持连接协商报文中的验证机制和验证字,如果支持,向报文接收端反馈支持报文,双方协商成功,否则反馈不支持报文;c.当报文发送端和报文接收端双方协商成功后,在发送报文时,建立基于边界网关协议的连接,然后报文发送端根据验证机制和验证字确定的报文头发送边界网关协议报文;d.报文接收端对收到的边界网关协议报文利用报文发送端和报文接收端协商成功的验证机制和验证字对报文进行验证,如果验证通过,接收该报文,否则抛弃该报文。
所述方法还包括确定基于信息摘要算法5(MD5,Message Digest Algorithm 5)的验证机制。
确定验证字为16字节的随机数验证字。
所述根据验证机制和验证字确定验证报文发送端发出报文的边界网关协议(BGP协议)报文头按照下述公式完成MD5 OPEN类型+密码+16字节随机数+报文信息;上述密码是报文发送端和报文接收端配置的MD5密码,16字节随机数为验证字,最后的报文信息为不带报文头,即不带16字节的报文头标记的报文全文。
由于本发明根据报文接收端和报文发送端之间的验证机制和相互之间交换的连接协商报文(OPEN报文)来对BGP报文头的标记域进行加密,即使非法截取到BGP报文,由于不能轻易获得BGP报文的头标志,因此很难获得BGP报文内容,使得根据BGP报文内容获得对整个网络攻击的机会大大减少;同时,在利用报文头验证时,将报文的内容作为验证参数之一,即使将报文非法截获后篡改,报文接收端通过对收到的报文根据其内容进行的验证,可以发现上述篡改,从而可以及时将被篡改的报文抛弃;可见,采用本发明可以配合TCP数据流保护报文接收端和报文发送端之间的BGP连接,从而保护BGP报文内容和网络的安全。
下面结合附图对本发明作进一步详细的描述。
图1是本发明所述方法的实施例流程图。按照图1,首先在步骤1报文接收端向报文发送端发送包括验证机制和验证字的连接协商报文(OPEN报文)。所述OPEN报文实际中可以根据协商的需要确定内容,本例中采用的OPEN报文的格式参考图2。图2所述的OPEN报文是用来建立BGP连接的,从图2看出该报文包括很多参数,本发明利用该报文进行验证机制和验证字的能力协商,利用了该报文的最后一个参数,即可选参数。所述可选参数的格式参考图3,其中验证码用于标识或约定采用的验证机制,16字节的随机数用于作为验证字。OPEN报文的作用在于携带协商的具体内容,即协商验证机制和验证字。本例中验证码值为1,定义为基于MD5验证算法的报文验证机制,随后跟随的16字节是由BGP报文接收端产生的作为验证字的随机数。需要说明,采用的加密算法实际中也可以是其他可能的验证算法,并不局限于MD5算法。
报文发送端在步骤2接收到OPEN报文后,根据OPEN报文和本端的验证能力确定是否支持OPEN报文中的验证机制和验证字,如果支持,向报文接收端反馈支持报文,表明报文发送端和报文接收端双方协商成功,否则反馈不支持报文。报文接收端在步骤3接收到报文发送端反馈的报文,根据反馈报文判断与报文发送端的协商是否成功,即是否支持协商的内容,如果接收到的报文是支持报文,则认为协商成功,继续步骤4,否则协商失败,结束协商。
当报文发送端在步骤4发送报文时,建立BGP连接,然后报文发送端根据验证机制和验证字确定的报文头发送BGP报文;最后在步骤5,报文接收端对收到的BGP报文利用协商确定的验证机制和验证字对BGP报文头进行验证,如果验证通过,接收该报文,否则抛弃该报文。也就是说,报文发送端在BGP连接建立后,发送所有的报文都需要用新的报文头代替BGP协议规定的16字节的全1。报文接收端在收到BGP报文后先验证报文头是否一致,如果不一致,则将该报文丢弃。
上述步骤4和步骤5中,报文接收端和报文发送端都要根据验证机制和验证字确定BGP报文头的内容,报文接收端用该内容验证接收到的BGP报文是否是发送给自己的,报文发送端用该内容发送BGP报文。具体的确定方法按照MD5算法的规定进行,参考下述命令MD5(OPEN类型+密码+16字节随机数+报文信息);上述密码是报文发送端和报文接收端配置的MD5密码,16字节随机数为验证字,最后的报文信息为不带报文头(16字节的报文头标记)的报文全文。由上述命令可知,报文发送端用要发送的BGP报文作为参数确定报文头,报文接收端也用接收到的BGP(不带报文头)报文作为参数确定报文头,因此,当接收到的报文被篡改时,能够被及时发现,从而将被篡改的报文抛弃。
上述步骤中,步骤1到步骤3是协商的过程,在报文发送端和报文接收端之间的BGP连接建立前只需执行一次,而在双方协商成功BGP连接建立后,在报文发送端和报文接收端之间报文发送和接收需要重复执行。
需要说明的是,报文发送端和报文接收端是相对的,无论网络中的哪个节点作为报文接收端,每次与报文发送端协商采用的验证机制和验证字可能是不同的。另外,协商的具体过程也可以由报文发送端发起。
权利要求
1.一种基于边界网关协议报文的报文安全保护方法,包括a.报文接收端向报文发送端发送包括验证机制和验证字的连接协商报文(OPEN报文);b.报文发送端根据接收到的连接协商报文和本端的验证能力确定是否支持连接协商报文中的验证机制和验证字,如果支持,向报文接收端反馈支持报文,双方协商成功,否则反馈不支持报文验证机制;c.当报文发送端和报文接收端双方协商成功后,在发送报文时,建立基于边界网关协议的连接,然后报文发送端根据验证机制和验证字确定的报文头发送边界网关协议报文;d.报文接收端对收到的边界网关协议报文利用报文发送端和报文接收端协商成功的验证机制和验证字对报文进行验证,如果验证通过,接收该报文,否则抛弃该报文。
2.根据权利要求1所述的报文安全保护方法,其特征在于所述方法还包括确定基于信息摘要算法5(MD5,Message Digest Algorithm5)的验证机制。
3.根据权利要求2所述的报文安全保护方法,其特征在于所述方法还包括确定验证字为16字节的随机数验证字。
4.根据权利要求3所述的报文安全保护方法,其特征在于所述根据验证机制和验证字确定验证报文发送端发出报文的边界网关协议(BGP)报文头按照下述公式完成MD5 OPEN类型+密码+16字节随机数+报文信息;上述密码是报文发送端和报文接收端配置的MD5密码,16字节随机数为验证字,最后的报文信息为不带报文头,即,不带16字节的报文头标记的报文全文。
全文摘要
本发明公开了一种基于边界网关协议报文的控制报文安全保护方法,该方法包括报文接收端和接收端之间验证机制和验证字的协商过程,如果验证协商成功,在报文发送时,首先建立BGP连接,然后报文发送端根据验证机制、验证字和要发送的报文内容确定的报文头中的前16字节的标记域并发送BGP报文,报文接收端对收到的BGP报文利用相同的验证机制、验证字和接收到的报文内容对BGP报文头16字节标记域进行验证,如果验证通过,接收该报文,否则抛弃该报文;采用上述方案能够隐藏BGP的报文头,并利用报文头来进行验证,加大了BGP报文被非法截获的难度,同时也易于发现被非法截获后的报文是否被篡改,从而可以有效保护BGP报文内容和网络的安全。
文档编号H04L9/32GK1477814SQ0212919
公开日2004年2月25日 申请日期2002年8月20日 优先权日2002年8月20日
发明者胡春哲, 倪辉, 邓秋林 申请人:华为技术有限公司