操作管理维护报文认证的方法及装置与流程
本申请涉及通信领域,尤其涉及一种操作管理维护报文认证的方法及装置。
背景技术:
操作管理维护(英文:operations,administrationandmaintenance,简称:oam)技术,是一种为网络提供链路缺陷检测以及缺陷纠正的技术。相互通信的网络设备,通过发送oam报文,检测用于通信的通道(英文:channel)是否处于正常状态,并且在检测到用于通信的通道出现异常时,通过相互发送oam报文触发保护倒换机制,将通信倒换到预先设置的保护通道,从而降低由于工作通道异常而造成的丢包,保障业务传输的稳定性。例如,自动保护倒换(英文:automaticprotectionswitching,简称:aps)报文是一种oam报文。网络节点通过相互发送aps报文,在通信的通道出现异常时协商并共同倒换到保护通道通信。
当oam报文受到其他设备的恶意篡改,或者oam报文是其他网元伪造的,或者网络管理员对参数的配置错误时,接收oam报文的网络设备可能获取到不正确的倒换请求,从而使得该网络节点根据不正确的倒换请求,做出错误的倒换,导致正常通信受到严重影响。
技术实现要素:
本申请提供了一种操作管理维护oam报文认证的方法及装置,用于降低网络设备根据不正确的oam报文做出错误的倒换的风险,提高通信的稳定性。
第一方面,提供了一种oam报文认证的方法,所述方法包括:
第一网元接收第一oam报文,所述第一oam报文携带第一标识和第一认证信息;
所述第一网元根据所述第一标识到第二认证信息的映射,确定所述第二认证信息;
所述第一网元判断所述第一认证信息与所述第二认证信息是否匹配;
如果所述第一认证信息与所述第二认证信息不匹配,所述第一网元确定所述第一oam报文为非法报文。
所述第一网元通过根据第一标识确定第二认证信息,并判断所述第二认证信息与第一oam报文中的第一认证信息是否匹配,判断所述第一oam报文是否为合法报文。因此,在网络管理员配置第一标识错误的情况下,或者第一标识被其他网元恶意篡改或伪造的情况下,所述第一网元可以通过确定所述第一认证信息与所述第二认证信息不匹配,从而识别出所述第一oam报文中的信息是错误的,并避免按照所述第一oam报文中的信息执行错误的指令,提高通信的安全性和稳定性。
可选的,所述第一网元确定所述第一oam报文为非法报文之后,还包括:所述第一网元保存所述第一oam报文。
所述第一网元保存非法的第一oam报文,可以为网络管理员分析接收该非法报文的原因提供更多的信息。例如,在所述第一认证信息和所述第二认证信息不匹配,是由于第一标识配置错误导致的情况下,保存所述第一oam报文,可以为网络管理员分析配置错误提供信息,从而改正该错误的配置。例如,在所述第一认证信息和所述第二认证信息不匹配,是由于所述第一oam报文是其他网元恶意篡改或伪造的情况下,保存所述第一oam报文,可以为网络管理员查找该网元提供更多的信息,从而提高网络的安全性。
可选的,在一种示例中,所述第一认证信息为加密信息,所述第一网元判断所述第一认证信息与所述第二认证信息是否匹配,包括:所述第一网元根据所述第一标识到解密算法的映射,确定所述解密算法;所述第一网元根据所述解密算法对所述第一认证信息做解密运算,获得第三认证信息;所述第一网元判断所述第三认证信息与所述第二认证信息是否相等。
可选的,在另一种示例中,所述第一网元与第二网元通过第一标签交换路径(英文:labelswitchpath,简称:lsp)通信,所述第一标识为所述第二网元封装的多协议标签交换mpls标签,所述第二认证信息包括以下信息中的至少一项:所述第二网元的标签交换路由器(英文:labelswitchrouter,简称:lsr)的标识;所述第一网元的lsr的标识;以及所述第一lsp的标识。
可选的,所述方法还包括:所述第一网元根据第三网元到第四认证信息 的映射,获取所述第四认证信息;所述第一网元向所述第三网元发送第二oam报文,所述第二oam报文携带所述第四认证信息,所述第四认证信息用于指示所述第三网元,所述第二oam报文为合法报文。
可选的,所述第一网元根据第三网元到第四认证信息的映射获取所述第四认证信息,包括:所述第一网元根据所述第三网元到加密算法的映射,确定所述加密算法;所述第一网元根据所述第三网元到第五认证信息的映射,确定所述第五认证信息;所述第一网元根据所述加密算法对所述第五认证信息进行加密运算,获得所述第四认证信息。
可选的,所述第一网元与所述第三网元通过第二lsp通信,所述第四认证信息包括以下信息中的至少一项信息:所述第三网元的lsr的标识;所述第一网元的lsr的标识;以及所述第二lsp的标识。
第二方面,提供了一种第一网元,包括:处理器和网络接口,所述处理器用于:
通过所述网络接口接收第一oam报文,所述第一oam报文携带第一标识和第一认证信息;
根据所述第一标识到第二认证信息的映射,确定所述第二认证信息;
判断所述第一认证信息与所述第二认证信息是否匹配;
如果所述第一认证信息与所述第二认证信息不匹配,确定所述第一oam报文为非法报文。
可选的,所述处理器还用于,在确定所述第一oam报文为非法报文之后,保存所述第一oam报文。
可选的,所述第一认证信息为加密信息,所述判断所述第一认证信息与所述第二认证信息是否匹配,包括:根据所述第一标识到解密算法的映射,确定所述解密算法;根据所述解密算法对所述第一认证信息做解密运算,获得第三认证信息;判断所述第三认证信息与所述第二认证信息是否相等。
可选的,所述第一网元与第二网元通过第一标签交换路径lsp通信,所述第一标识为所述第二网元封装的多协议标签交换mpls标签,所述第二认证信息包括以下信息中的至少一项:所述第二网元的标签交换路由器lsr的标识;所述第一网元的lsr的标识;以及所述第一lsp的标识。
可选的,所述处理器还用于:根据第三网元到第四认证信息的映射,获 取所述第四认证信息;通过所述网络接口,向所述第三网元发送第二oam报文,所述第二oam报文携带所述第四认证信息,所述第四认证信息用于指示所述第三网元,所述第二oam报文为合法报文。
可选的,所述根据第三网元到第四认证信息的映射获取所述第四认证信息,包括:根据所述第三网元到加密算法的映射,确定所述加密算法;根据所述第三网元到第五认证信息的映射,确定所述第五认证信息;根据所述加密算法对所述第五认证信息进行加密运算,获得所述第四认证信息。
可选的,所述第一网元与所述第三网元通过第二lsp通信,所述第四认证信息包括以下信息中的至少一项信息:所述第三网元的lsr的标识;所述第一网元的lsr的标识;以及所述第二lsp的标识。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种应用场景示意图。
图2为本申请实施例提供的一种oam报文的认证方法流程示意图。
图3a为本申请实施例提供的一种oam报文格式的示意图。
图3b为本申请实施例提供的另一种oam报文格式的示意图。
图4为本申请实施例提供的另一种oam报文的认证方法流程示意图。
图5为本申请实施例提供的一种第一网元的结构示意图。
具体实施方式
本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
图1为本申请实施例提供的一种应用场景示意图。如图1所示,第一网元101和第二网元102之间的用于通信的通道包括工作通道和保护通道。
举例来说,所述第一网元101可以是路由器、网络交换机、防火墙、波分复用设备、分组传送网设备、基站、基站控制器或者数据中心等。所述第二网元102可以是路由器、网络交换机、防火墙、波分复用设备、分组传送网设备、基站、基站控制器或者数据中心等。工作通道或保护通道可以是伪线(英文:pseudowire,简称:pw)或隧道(英文:tunnel)。
第一网元101和第二网元102之间通过相互发送操作管理维护(英文:operations,administrationandmaintenance,简称:oam)报文,检测用于通信的通道是否处于正常状态,并且在检测到当前用于通信的通道出现异常时,通过发送oam报文触发保护倒换。
在一种示例中,第一网元101和第二网元102之间采用以太网(英文:ethernet)通信,所述oam报文可以是itu-ty.1731中规定的oam报文。具体来说,所述oam报文可以是自动保护倒换(英文:automaticprotectionswitching,简称:aps)报文,例如可以是itu-tg8031/y.1342中规定的aps报文。
在另一种示例中,第一网元101和第二网元102之间采用多协议标签交换(英文:multiprotocollabelswitching,简称:mpls)隧道通信,所述oam报文可以是itu-ty.1711规定的报文。具体来说,所述oam报文可以是aps报文。
在通常的通信过程中,第一网元101接收到oam报文,通过所述oam报文首部中的信息,例如mpls首部中的mpls标签(英文:label),确定所述oam报文来自第二网元102,并查找第一网元101和第二网元102之间用于通信的通道对应的oam状态机,并根据所述oam报文中携带的请求,对所述oam状态机的状态进行相应的配置,并进一步根据所述oam状态机的状态执行相应的操作。
上述方案中,第一网元101在接收到oam报文时,不对所述oam报文的真实性或正确性进行认证。因此,如果所述第一网元101接收到的oam报文是其他网络设备伪造或篡改的,或者,在所述第一网元101使用mpls标签识别所述oam报文的来源的示例中,如果网络管理员配置错误,导致与第一网元101通信的第三网元(图1中未示出)向第一网元101发送的oam报文的mpls标签,与第二网元102向第一网元101发送的oam报文的mpls标签的 标签值相同,则第一网元101在接收到来自第三网元的oam报文时,可能会将来自第三网元的oam报文识别为来自第二网元102的oam报文。在出现上述情况时,第一网元101接收到的oam报文的来源或者oam报文中携带的指令可能是不正确的。第一网元101会根据不正确的oam报文执行错误的操作,例如倒换到错误的通道与第二网元102进行通信,导致正常的通信受到影响。
本申请实施例提供一种oam报文认证的方法,用于降低网络设备根据不正确的oam报文做出错误的倒换的风险,提高通信的稳定性。
图2示出了本申请实施例提供的一种oam报文认证的方法。举例来说,所述方法可以应用于图1所示的场景中。图2所示的方法中的第一网元,可以采用图1中所示的第一网元101。图2所示的方法中的第二网元,可以采用图1中所示的第二网元102。所述方法包括以下步骤。
s201,第一网元接收第一oam报文,所述第一oam报文携带第一标识和第一认证信息。
举例来说,所述第一oam报文可以采用图1中所述的oam报文。进一步地,所述第一oam报文可以是图1中所述的aps报文。
所述第一标识携带在所述第一oam报文的首部中,用于指示所述第一oam报文的来源。例如,所述第一oam报文中包括mpls首部,所述第一标识为所述mpls首部中的标签(英文:label)字段。又例如,所述第一oam报文中包括虚拟局域网(英文:virtuallocalareanetwork,简称:vlan)标签(英文:vlantag),所述第一标识为所述vlantag中的vlan标识(英文:vlanidentifier,简称:vid)字段。
所述第一认证信息携带在所述第一oam报文的净荷(英文:payload)中。举例来说,所述第一认证信息可以通过在所述第一oam报文的净荷中定义一个类型-长度-取值(英文:type-length-value,简称:tlv)实现,即定义一个type用于指示所述tlv中的value为所述第一认证信息的值。
在一种示例中,在所述第一oam报文是允许增加扩展字段的oam报文的情况下,例如所述第一oam是itu-tg8031/y.1342中规定的aps报文的情况下,所述第一认证信息可以携带在所述aps报文的扩展字段中。图3a示出了itu-tg8031/y.1342标准中,不携带所述第一认证信息的aps报文的净荷的 格式示意图。图3b示出了通过在扩展字段增加一个tlv携带所述第一认证信息的aps报文的净荷的格式示意图。需要说明的是,图3b所示的value字段的长度仅仅是示意性的,本申请实施例对于value字段具体的长度不做限制。
在另一种示例中,在所述第一oam报文是不允许增加扩展字段的oam报文的情况下,所述第一认证信息可以携带在协议未使用的其他字段中。例如,所述第一oam报文是itu-ty.1711规定的报文的情况下,所述第一认证信息可以携带在填充(英文:padding)字段中。
s202,所述第一网元根据所述第一标识到第二认证信息的映射,确定所述第二认证信息。
所述第一网元中存储了所述第一标识到所述第二认证信息的映射。所述第二认证信息为网络管理员预先在所述第一网元和所述第二网元中配置的信息。在一种示例中,所述第一标识和所述第二认证信息的映射可以直接存储在标识和认证信息的映射表的一个表项中。在另一种示例中,所述第一网元存储了所述第一标识到oam状态机的映射,所述第一网元根据第一标识,确定所述第一oam报文对应的oam状态机,所述oam状态机用于监控所述第一网元和所述第二网元之间的工作通道和保护通道的工作状态。在所述第一oam报文是aps报文的示例中,所述状态机也可以是aps状态机。进一步地,所述第一网元中还存储了oam状态机到认证信息的映射,所述第一网元根据所述第一oam报文对应的oam状态机,查找到所述第二认证信息。
s203,所述第一网元判断所述第一认证信息与所述第二认证信息是否匹配。
可选的,在一种可能的示例中,所述第一认证信息为加密信息,所述第一网元判断所述第一认证信息与所述第二认证信息是否匹配,包括:所述第一网元根据所述第一标识到解密算法的映射,确定所述解密算法;所述第一网元根据所述解密算法对所述第一认证信息做解密运算,获得第三认证信息;所述第一网元判断所述第三认证信息与所述第二认证信息是否相等。如果所述第三认证信息与所述第二认证信息相等,则所述第一网元确定所述第一认证信息与所述第二认证信息匹配。
举例来说,所述第一网元和所述第二网元被共同配置了加密算法和相应的解密算法。所述第一网元和所述第二网元还预先存储了所述第二认证信息。 所述第二网元在向所述第一网元发送所述第一oam报文之前,根据所述加密算法,对所述第二认证信息进行加密运算,获得所述第一认证信息。可选的,所述第二网元对所述第二认证信息进行加密运算的具体过程包括:所述第二网元生成随机数,所述第二网元使用所述加密算法对所述随机数和所述第二认证信息做加密运算,获得加密参数。所述第一认证信息中包括所述随机数和所述加密参数。例如,在所述第一认证信息通过自定义的tlv携带在第一oam报文中的情况下,所述tlv可以包括第一子tlv和第二子tlv,所述第一子tlv为中的value为所述随机数的值,所述第二子tlv中的value为所述加密参数的值。所述第一网元接收到所述第一认证信息后,获取所述随机数和所述加密参数,根据所述解密算法对所述随机数和所述加密参数进行解密运算,获得第三认证信息。如果所述第三认证信息与所述第二认证信息相等,则所述第一网元确定所述第一oam报文为合法报文。如果所述第三认证信息与所述第二认证信息不相等,则所述第一网元确定所述第一oam报文为非法报文。
可选的,在另一种可能的示例中,所述第一网元与所述第二网元通过第一标签交换路径lsp通信,所述第一标识为所述第二网元封装的多协议标签交换mpls标签,所述第二认证信息包括以下信息中的至少一项:所述第二网元的标签交换路由器lsr的标识(英文:indentifier);所述第一网元的lsr的标识;以及所述第一lsp的标识。所述第一网元的lsr的标识在整个mpls网络中是唯一的。所述第二网元的lsr的标识在整个mpls网络中是唯一的。所述第一lsp的标识在整个mpls网络中是唯一的。
举例来说,所述第一网元和所述第二网元中均存储了所述第二网元的lsr的标识。所述第二网元在向第一网元发送所述第一oam报文之前,将所述第二网元的lsr的标识作为所述第一认证信息,写入所述第一oam报文。此外,所述第二网元还将预先设定的mpls标签作为所述第一标识写入所述第一oam报文的mpls首部。所述第一网元在接收到所述第一oam报文之后,根据所述mpls标签与所述第二认证信息的映射,获取所述第二认证信息。所述第二认证信息为所述第一网元中存储的第二网元的lsr的标识。所述第一网元比较所述第一认证信息和所述第二认证信息,如果所述第一认证信息和所述第二认证信息相等,则确定所述第一认证信息与所述第二认证信息匹配。
如果所述第一认证信息与所述第二认证信息不匹配,所述第一网元执行s204。
s204,所述第一网元确定所述第一oam报文为非法报文。
所述第一网元不根据所述第一oam报文中的指示信息执行相应的操作。
可选的,所述第一网元确定所述第一oam报文为非法报文后,所述第一网元保存所述第一oam报文。
通过保存非法报文,所述第一网元可以为网络管理员提供非法报文的信息,以便网络管理员确定所述非法报文的来源。
可选的,所述第一网元确定所述第一oam报文为非法报文后,丢弃所述第一oam报文。
可选的,如果所述第一认证信息与所述第二认证信息匹配,所述第一网元执行s205。
s205,所述第一网元确定所述第一oam报文为合法报文。所述第一网元进一步根据所述第一oam报文中的指示信息执行相应的操作。例如,所述第一oam报文用于指示所述第一网元将通信从工作通道倒换到保护通道,所述第一网元根据所述第一oam报文的指示,将通信从工作通道倒换到保护通道。
可选地,第一网元也可以在向其他网元发送oam报文时,在所述oam报文中写入认证信息,所述认证信息用于指示接收该oam报文的网元,所述oam报文为合法报文。例如,所述第一网元向第三网元发送第二oam报文时,如图4所示,所述方法进一步包括s401和s402。
s401,所述第一网元根据第三网元到第四认证信息的映射,获取所述第四认证信息。
可选的,在一种示例中,所述第一网元根据第三网元到第四认证信息的映射获取所述第四认证信息,包括:所述第一网元根据所述第三网元到加密算法的映射,确定所述加密算法;所述第一网元根据所述第三网元到第五认证信息的映射,确定所述第五认证信息;所述第一网元根据所述加密算法对所述第五认证信息进行加密运算,获得所述第四认证信息。
举例来说,所述第一网元对所述第五认证信息进行加密运算获得所述第四认证信息的具体实现方式,可以采用s203中第二网元对所述第二认证信息 进行加密运算获得所述第一认证信息的具体实现方式。
可选的,在另一种示例中,所述第一网元与所述第三网元通过第二lsp通信,所述第四认证信息包括以下信息中的至少一项信息:所述第三网元的lsr的标识;所述第一网元的lsr的标识;以及所述第二lsp的标识。
s402,所述第一网元向所述第三网元发送第二oam报文,所述第二oam报文携带所述第四认证信息。
举例来说,所述第四认证信息在所述第二oam报文中的格式,可以采用与所述第一认证信息在所述第一oam报文中相同的格式。
举例来说,所述第三网元根据所述第四认证信息,判断所述第二oam报文是否为合法报文的具体方式,可以采用图2所述的方法中,所述第一网元根据所述第一认证信息,判断所述第一oam报文是否为合法报文的具体方式。
图5是本申请实施例提供的一种第一网元的结构示意图。如图5所示,第一网元500包括处理器501以及网络接口502。可选的,还包括存储器503。
处理器501包括但不限于中央处理器(英文:centralprocessingunit,简称:cpu),网络处理器(英文:networkprocessor,简称:np),专用集成电路(英文:application-specificintegratedcircuit,简称:asic)或者可编程逻辑器件(英文:programmablelogicdevice,缩写:pld)中的一个或多个。上述pld可以是复杂可编程逻辑器件(英文:complexprogrammablelogicdevice,缩写:cpld),现场可编程逻辑门阵列(英文:field-programmablegatearray,缩写:fpga),通用阵列逻辑(英文:genericarraylogic,缩写:gal)或其任意组合。
网络接口502可以是有线接口,例如光纤分布式数据接口(英文:fiberdistributeddatainterface,简称:fddi)、以太网(英文:ethernet)接口。网络接口502也可以是无线接口,例如无线局域网接口。
存储器503用于存储处理器501执行的程序指令。存储器503包括但不限于内容寻址存储器(英文:content-addressablememory,简称:cam),例如三态内容寻址存储器(英文:ternarycam,简称:tcam),随机存取存储器(英文:random-accessmemory,简称:ram)。
存储器503也可以集成在处理器501中。如果存储器503和处理器501 是相互独立的器件,存储器503和处理器501相联,例如存储器503和处理器501可以通过总线通信。网络接口503和处理器501可以通过总线通信,网络接口503也可以与处理器501直连。
处理器501用于执行以下操作:通过所述网络接口502接收第一oam报文,所述第一oam报文携带第一标识和第一认证信息;根据所述第一标识到第二认证信息的映射,确定所述第二认证信息;判断所述第一认证信息与所述第二认证信息是否匹配;如果所述第一认证信息与所述第二认证信息不匹配,确定所述第一oam报文为非法报文。
可选的,所述处理器501还用于,在确定所述第一oam报文为非法报文之后,保存所述第一oam报文。
可选的,所述第一认证信息为加密信息,所述判断所述第一认证信息与所述第二认证信息是否匹配,包括:根据所述第一标识到解密算法的映射,确定所述解密算法;根据所述解密算法对所述第一认证信息做解密运算,获得第三认证信息;判断所述第三认证信息与所述第二认证信息是否相等。
可选的,所述第一网元500与第二网元通过第一标签交换路径lsp通信,所述第一标识为所述第二网元封装的多协议标签交换mpls标签,所述第二认证信息包括以下信息中的至少一项:所述第二网元的标签交换路由器lsr的标识;所述第一网元500的lsr的标识;以及所述第一lsp的标识。
可选的,所述处理器501还用于:根据第三网元到第四认证信息的映射,获取所述第四认证信息;通过所述网络接口,向所述第三网元发送第二oam报文,所述第二oam报文携带所述第四认证信息,所述第四认证信息用于指示所述第三网元,所述第二oam报文为合法报文。
可选的,所述根据第三网元到第四认证信息的映射获取所述第四认证信息,包括:根据所述第三网元到加密算法的映射,确定所述加密算法;根据所述第三网元到第五认证信息的映射,确定所述第五认证信息;根据所述加密算法对所述第五认证信息进行加密运算,获得所述第四认证信息。
可选的,所述第一网元500与所述第三网元通过第二lsp通信,所述第四认证信息包括以下信息中的至少一项信息:所述第三网元的lsr的标识;所述第一网元的lsr的标识;以及所述第二lsp的标识。
本实施例提供的第一网元500可以应用于图2或图4实施例的方法中, 实现其第一网元的功能。所述第一网元可以实现的其他附加功能,以及与其他网元的交互过程,请参照方法实施例中对第一网元的描述,在这里不再赘述。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!