一种OAM的安全认证方法以及OAM报文发送/接收装置与流程

本发明涉及计算机通信技术领域，特别是涉及一种OAM的安全认证方法以及OAM报文发送/接收装置。

背景技术：

根据运营商网络运营的实际需要，通常将网络的管理工作划分为3大类：操作（Operation）、管理（Administration）、维护（Maintenance），简称OAM。操作主要完成日常网络和业务进行的分析、预测、规划和配置工作；维护主要是对网络及其业务的测试和故障管理等进行的日常操作活动。

以太网OAM技术是分级实现，分为以下两个级别：1）链路级以太网OAM技术：多应用于网络的PE设备-CE设备-用户设备之间（也叫最后一公里）的以太网物理链路，用于监测用户网络与运营商网络之间的链路状态，典型协议为EFM OAM协议。用户通过在两个点到点连接的设备上启用以太网OAM功能，可以监控这两台设备之间的链路状态。2）网络级以太网OAM技术：多应用于网络的接入汇聚层，用于监测整个网络的连通性、定位网络的连通性故障，典型协议为CFD（Connectivity Fault Detection）协议。

由于CFD协议本身的很可能成为被网络攻击的对象，因此，如何识别收到的CFD报文是否真实可靠的问题亟待得到解决。

技术实现要素：

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种OAM的安全认证方法以及OAM报文发送/接收装置，用于解决现有技术中OAM报文容易成为被网络攻击的对象，需要识别收到的OAM报文是否真实可靠的的问题。

为实现上述目的及其他相关目的，本发明提供一种OAM安全认证的方法，所述方法包括：在OAM报文的接收端设置本地随机数，OAM报文的发送端设置发送端随机数，所述本地随机数和所述发送端随机数相同；所述发送端发送的OAM报文中添加了随机数TLV，所述随机数TLV字段的值为所述发送端随机数；所述接收端接收到所述OAM报文时，将所述随机数TLV字段中的值与所述本地随机数比较是否相同，相同则表明随机数认证成功。

所述方法还包括：所述发送端发送的OAM报文中还添加了认证码TLV；所述接收端在对接收的OAM报文进行所述随机数认证成功后将进行认证码认证；比较所述认证码TLV中的值与接收端获取的认证码是否相同，不相同则所述认证码认证失败，对认证失败次数进行+1计数；当所述认证失败次数大于阈值时，对所述随机数进行更改。

所述方法中的认证码TLV包括MD5码TLV，所述发送的OMA报文中MD5码TLV的值是对所述发送的OAM报文运用MD5算法产生的MD5码；所述接收端获取的认证码包括所述接收端对所述接收的OAM报文运用MD5算法产生的MD5码。

对所述随机数进行更改的方法包括：在所述接收端生成新的随机数；将所述新随机数通知所述发送端；所述发送端采用新随机数作为所述发送端随机数；所述接收端接收到第一个所述随机数TLV的值为所述新随机数的OAM报文时，更改所述本地随机数为所述新随机数，将所述认证失败次数设置为零。

所述接收端将所述新随机数通知所述发送端的方法包括：所述接收端在发送的CCM报文中加入新随机数TLV，所述新随机数TLV的值为新随机数。

一种OAM报文发送装置，包括随机数TLV添加模块，用于在发送的OAM报文中添加随机数TLV。

所述OAM报文发送装置还包括认证码TLV添加模块，用于在发送的OAM报文中添加认证码TLV。

所述认证码TLV包括MD5码TLV，将所述OAM报文运用MD5算法生成MD5码作为所述MD5码TLV的值。

所述OAM报文发送装置还包括新随机数接收模块，用于在接收的CCM报文中得到新随机数TLV的值并作为所述发送端随机数保存。

一种OAM报文接收装置，包括随机数认证模块，用于对接收的OAM报文进行随机数认证，比较本地随机数与所述接收的OAM报文中的随机数TLV的值是否相同，相同则随机数认证成功。

所述OAM报文接收装置还包括认证码认证模块，用于对接收的OAM报文进行认证码认证；所述接收装置在对接收的OAM报文进行所述随机数认证成功后将进行认证码认证，比较所述认证码TLV中的值与接收装置获取的认证码是否相同，不相同则所述认证码认证失败，对认证失败次数进行+1计数。

所述认证码TLV包括MD5码TLV，所述接收装置获取的认证码包括所述接收装置对所述接收的OAM报文运用MD5算法产生的MD5码。

所述OAM报文接收装置还包括随机数更新模块，比较所述认证失败次数与阈值的大小，如果所述认证失败次数大于所述阈值，则生成新的随机数，并通过在CCM报文中添加新随机数TLV将新随机数发送到OAM报文的发送端；增加对接收的OAM报文的新随机数预处理，比较所述接收的OAM报文中随机数TLV的值和所述新随机数是否相同，相同则更改所述本地随机数为所述新随机数，停止所述新随机数预处理，设置所述认证失败次数为0。

如上所述，本发明的一种OAM的安全认证方法以及OAM报文发送/接收装置，具有以下有益效果：提高OAM报文的安全性，防止恶意用户利用认证的耗时特点，随意构造OAM报文形成DOS攻击。

附图说明

图1显示为本发明一种OAM的安全认证方法及装置的随机数认证流程图。

图2显示为本发明一种OAM的安全认证方法及装置的MD5码认证流程图。

图3显示为本发明一种OAM的安全认证方法及装置的随机数更新流程图。

图4显示为本发明一种OAM的安全认证方法及装置的OAM报文发送装置模块图。

图5显示为本发明一种OAM的安全认证方法及装置的OAM报文接收装置模块图。

元件标号说明

1 OAM报文发送装置

11 随机数TLV添加模块

12 认证码TLV添加模块

13 新随机数接收模块

2 OAM报文接收装置

21 随机数认证模块

22 认证码认证模块

23 随机数更新模块

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。

需要说明的是，本实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

本发明提供一种OAM安全认证的方法，参见图1所示，所述方法包括以下步骤：

在OAM报文的接收端设置本地随机数，OAM报文的发送端设置发送端随机数，所述本地随机数和所述发送端随机数相同。具体的实现方法可以包括：1，在OAM报文的接收端产生本地随机数。具体地，可以直接调用相关的随机数生成函数产生本地随机数，或者采用随机数生成的相关算法生成本地随机数。2，所述接收端将所述本地随机数通知OAM报文发送端。具体地，所述接收端在发送的CCM报文中加入新随机数TLV（包括Type-Length-Value三个字段），TLV的值或TLV字段的值都是指TLV字段中Value字段的值。所述新随机数TLV的值为所述本地随机数。3，所述发送端采用所述本地随机数作为发送端随机数。具体地，所述发送端接收到所述CCM报文后，将获取所述新随机数TLV的值，并采用所述新随机数TLV的值（即所述本地随机数）作为发送端随机数。

所述发送端发送的OAM报文中添加了随机数TLV字段，所述随机数TLV字段的值为所述发送端随机数。具体地，所述OAM报文中随机数TLV字段的值为所述发送端接收到的所述CCM报文中新随机数TLV的值，也就是说，所述发送端随机数与所述接收端的所述本地随机数相同。

所述接收端接收到所述OAM报文时，将所述OAM报文中的随机数TLV的值与所述本地随机数比较是否相同，相同则表明随机数认证成功，进行后续处理。如果不相同，则表明随机数认证失败，丢弃所述OAM报文。具体地，所述接收端接收到所述OAM报文时，从所述OAM报文中提取随机数TLV的值，得到发送端随机数，比较所述发送端随机数与本地随机数是否相同，如果相同，则表明随机数认证成功，进行后续处理。如果不相同，则表明所述OAM报文被纂改，随机数认证失败，所述OAM报文为无效报文，丢弃所述OAM报文。

如图3所示，所述方法还可以包括以下步骤：

所述发送端发送的OAM报文中还添加了认证码TLV。具体地，所述认证码TLV可以包括MD5码TLV，所述MD5码TLV的值为对所述发送的OAM报文运用MD5算法产生的MD5码。

所述接收端在对接收的OAM报文进行所述随机数认证成功后将进行认证码认证；比较所述认证码TLV中的值与接收端获取的认证码是否相同，不相同所述认证码认证失败，对认证失败次数进行+1计数。具体地，所述认证码认证可以包括MD5码认证等认证方式，当所述认证码包括MD5码时，所述接收端获取的MD5码是所述接收端对所述接收的OAM报文运用MD5算法产生的MD5码。对所述MD5码TLV中的值与接收端获取的MD5码进行比较，如果相同，则所述认证码认证成功，进行后续处理。如果不相同，则表明OAM报文被纂改，丢弃所述接收的OAM报文，所述认证码认证失败，对认证失败次数进行+1计数。当所述认证码仅仅包括MD5码时，所述认证码TLV即为MD5码TLV。

如果所述认证失败次数大于阈值，则对所述随机数进行更改。如果所述认证失败次数小于或等于阈值，则认证结束。具体地，所述接收端为认证码认证设置了一个阈值，每当出现认证码认证失败时，所述认证失败次数+1，然后将所述认证失败次数与所述阈值相比较，如果所述认证失败次数大于阈值，则对所述随机数进行更改。如果所述认证失败次数小于或等于阈值，则认证结束。

对所述随机数进行更改的方法包括以下步骤：

在所述接收端生成新的随机数，将所述新随机数通知所述发送端。具体地，可以直接调用相关的随机数生成函数产生新的随机数，或者采用随机数生成的相关算法生成新的随机数。所述接收端在发送的CCM（Continuity Check Message，连续性检测消息）报文中加入新随机数TLV，所述新随机数TLV的值为新的随机数。

所示发送端接收到所述CCM报文后，将记录所述新随机数TLV的值并作为所述发送端随机数保存。即所述发送端以后采用新随机数作为发送的OAM报文的随机数TLV的值。

所述接收端接收到第一个所述随机数TLV的值为所述新随机数的OAM报文时，更改所述本地随机数为所述新随机数，将所述认证失败次数设置为零。具体地，从所述接收端生成新的随机数，将所述新随机数通知所述发送端后，所述接收端对接收的OAM报文增加预处理-新随机数检查：即对所述OAM报文中的随机数TLV的值与所述新随机数进行比较，如果不相同，则预处理结束，依照原有的方法对所述OAM报文进行处理。如果所述OAM报文中的随机数TLV的值与所述新随机数相同，则更改本地随机数为新随机数，重置认证失败次数为0，取消对接收的OAM报文的预处理-新随机数检查，在发出的CCM报文中取消新随机数TLV，即不再在CCM报文中添加新随机数TLV。预处理结束，依照原有的方法对所述OAM报文进行处理。所述预处理-新随机数检查是在所述随机数认证之前进行的。

以上方法中的TLV的类型都采用协议预留的TLV类型，如随机数TLV类型可采用61，新随机数TLV类型可采用62，MD5码协议类型可采用63。

图2中描述了当认证码是MD5码时，MD5码的认证流程。发送端对所发送的OAM报文生成MD5码；发送端将所述MD5码写入到所述OAM报文中的MD5码TLV中发送给接收端；接收端从接收的OAM报文中提取MD5码TLV中的发送端MD5码，并对接收的OAM报文生成接收端MD5码；比较发送端MD5码和接收端MD5码是否相同，如果相同，则MD5码认证成功，否则，MD5码认证失败。

如图4，本发明还提供了一种OAM报文发送装置，OAM报文发送装置至少包括随机数TLV添加模块，用于在发送的OAM报文中添加随机数TLV。具体地，随机数TLV添加模块在所发送的OAM报文中添加随机数TLV，以和OAM报文接收装置约定的随机数为所述OAM报文的随机数TLV的值。

所述OAM报文发送装置还包括认证码TLV添加模块，用于在发送的OAM报文中添加认证码TLV。具体地，认证码TLV添加模块在发送的OAM报文中添加认证码TLV，所述认证码TLV采用和OAM报文接收装置约定的认证方法。具体地，所述认证码TLV包括MD5码TLV，所述OAM报文发送装置和OAM报文接收装置约定了MD5码认证方法。认证码TLV添加模块将所述OAM报文运用MD5算法生成MD5码作为所述发送的OAM报文中添加的MD5码TLV的值。

所述OAM报文发送装置还包括新随机数接收模块，用于在接收的CCM报文中得到新随机数TLV的值并保存，将所述值作为以后发送的OAM报文中随机数TLV的值。具体地，所述新随机数接收模块用于在接收的CCM报文中得到新随机数TLV的值并保存为发送端随机数，将所述发送端随机数作为以后发送的OAM报文中添加的随机数TLV的值。

如图5，本发明还提供了一种OAM报文接收装置，OAM报文接收装置至少包括随机数认证模块，用于对接收的OAM报文进行随机数认证，比较本地随机数与所述接收的OAM报文中的随机数TLV的值是否相同，相同则随机数认证成功。具体地，所述随机数认证模块对接收的OAM报文进行随机数认证，比较本地随机数与所述接收的OAM报文中的随机数TLV的值是否相同，相同则随机数认证成功；如果不相同，则表明所述OAM报文被纂改，随机数认证失败，丢弃所述OAM报文。

所述OAM报文接收装置还包括认证码认证模块，用于对接收的OAM报文进行认证码认证；所述OAM报文接收装置在对接收的OAM报文进行所述随机数认证成功后将进行认证码认证，比较所述认证码TLV中的值与OAM报文接收装置获取的认证码是否相同，不相同则所述认证码认证失败，对认证失败次数进行+1计数。所述认证码TLV包括MD5码TLV，所述OAM报文接收装置获取的认证码包括所述接收装置对所述接收的OAM报文运用MD5算法产生的MD5码。具体地，当所述认证码包括MD5码时，所述认证码认证模块获取的MD5码是所述认证码认证模块对所述接收的OAM报文运用MD5算法产生的MD5码。对所述MD5码TLV中的值与认证码认证模块获取的MD5码进行比较，如果相同，则所述认证码认证成功，进行后续处理。如果不相同，则丢弃所述接收的OAM报文，所述认证码认证失败，对认证失败次数进行+1计数。

所述OAM报文接收装置还包括随机数更新模块，比较所述认证失败次数与阈值的大小，如果所述认证失败次数大于所述阈值，则生成新的随机数，并通过在CCM报文中添加新随机数TLV将新随机数发送到OAM报文的发送端；增加对接收的OAM报文的新随机数预处理，比较所述接收的OAM报文中随机数TLV的值和所述新随机数是否相同，相同则更改所述本地随机数为所述新随机数，停止所述新随机数预处理，设置所述认证失败次数为0。具体地，所述OAM报文接收装置生成新的随机数，并通过在CCM报文中添加新随机数TLV将新随机数发送到OAM报文的发送端后，所述OAM报文接收装置对接收的OAM报文增加预处理-新随机数检查，所述预处理-新随机数检查是在所述随机数认证之前进行的。所述预处理：对所述OAM报文中的随机数TLV的值与所述新随机数进行比较，如果不相同，则预处理结束，依照原有的方法对所述OAM报文进行处理。如果所述OAM报文中的随机数TLV的值与所述新随机数相同，则更改本地随机数为新随机数，重置认证失败次数为0，取消对接收的OAM报文的预处理-新随机数检查，在发出的CCM报文中取消新随机数TLV，即不再在CCM报文中添加新随机数TLV。预处理结束，依照原有的方法对所述OAM报文进行处理。

综上所述，本发明的一种OAM的安全认证方法以及OAM报文发送/接收装置，对OAM报文采用了随机数认证和认证码认证，并对认证码认证失败次数设置了阈值，当发生的失败次数超过了所述阈值时，对随机数认证采用的随机数进行更新。这样可以发现恶意用户构造的OAM报文以及被纂改的OAM报文，提高OAM报文的安全性，防止恶意用户利用认证的耗时特点，随意构造OAM报文形成DOS（Denial of Service）攻击。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。