[发明专利]双向转发检测协议会话的认证方法、系统和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种双向转发检测协议会话的认证方法、系统和设备。

背景技术

随着技术的发展，现有BFD(Bidirectional Forwarding Detection，双向转发检测)协议本身的安全性问题也随着其应用的推广越来越突出。现有的主要安全问题为BFD的协议状态在收到伪造报文时发生变化，从而引起会话震荡。

首先以图1中所示的BFD单跳会话场景为例：

图1中，RTA(Router A，路由器A)、RTB(Router B，路由器B)为网络中的核心设备，RTA与RTB建立单跳BFD会话，即RTA与RTB直连，BFD与路由协议的邻居关系绑定。BFD根据协议报文的描述符(包括本地描述符与远端描述符)区分不同会话。Hacker(攻击者)通过网络与RTA、RTB相连，如果攻击者向RTA或者RTB发送状态为Down(无效)的BFD协议报文，并对描述符进行遍历，即可以破坏RTA与RTB的会话状态。

该攻击类型的主要特点为：攻击者希望通过破坏核心设备BFD状态而改变网络的拓扑(BFD通常与路由协议的邻居关系或者链路状态绑定)，从而影响网络的正常运行；攻击者可以通过网络诊断工具了解RTA、RTB直连链路所配置的IP地址，从而可以伪造到达RTA或者RTB的IP报文；另外，攻击者处于网络的接入侧，无法截取核心设备之间的数据以及协议报文交互。

该攻击类型的攻击复杂度，即攻击成功所需要花费的时间如下：

假设RTA、RTB接收BFD报文的速率为1000个/秒；遍历BFD协议报文的描述符需要进行的嗅探次数：2^32^2；但由于目前厂商的实现，描述符通常是线性增长的，即从某一个固定值开始线性分配，这使得遍历所需要的次数大大降低；假设RTA、RTB设备本地分配的描述符不超过1000个，那么遍历这些描述符所需要进行的嗅探次数为：1000^2＝1000000；攻击成功所需要的时间为1000^2/1000＝1000秒＝16分40秒。

对于以上应用场景，现有技术中提供了一种防护方法，可以简单地基于IP报文的TTL(Time To Live，生存时间)控制进行防护，通用的方式可以采用GTSM(Generalized TTL Security Mechanism，通用生存时间安全体系)。这一防护方法基于以下考虑：攻击者在网络接入侧，故不能与被保护核心设备直连；因此对于伪造的BFD协议报文达到RTA/RTB时，TTL必然满足：TTL＜＝254；而对于正常的BFD协议报文TTL满足：TTL＝255。因此对于BFD单跳会话场景可以根据TTL进行BFD协议安全性保护。

对于以图2中所示的BFD多跳会话场景，对于BFD多跳会话包括BFD forMPLS(Multi-Protocol Label Switching，多协议标签转发)LSP(Label SwitchingPath，标签转发路径)s。类似于图1的情况，攻击者同样可以对RTA与RTC之间建立的BFD会话进行嗅探攻击。

发明人在实现本发明的过程中，发现现有技术中存在以下问题：

现有BFD协议报文的描述符作为唯一区分会话的标识，其分配为线性增长，因此很容易受到攻击。另外，对于BFD多跳会话协议报文的TTL不满足特定条件，因此对于BFD多跳会话无法进行有效的保护。

发明内容

本发明的实施例提供一种双向转发检测BFD会话的认证方法、系统和设备，用于提升BFD会话应对BFD描述符嗅探攻击的防护能力。

为达到上述目的，本发明的实施例提供一种双向转发检测协议BFD会话的认证方法，包括：

接收对端发送的BFD会话报文，获取所述BFD会话报文中携带的特征字段以及会话描述符；

将所述获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将所述获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较；

所述会话描述符以及所述特征字段的比较结果均为一致时，处理所述BFD会话报文。

本发明的实施例还提供一种网络设备，用于BFD会话的认证，包括：

获取单元，用于接收对端发送的BFD会话报文时，获取所述BFD会话报文中携带的特征字段以及会话描述符；

比较单元，用于将所述获取单元获取的会话描述符与本地预先存储的所述BFD会话的会话描述符进行比较，将所述获取单元获取的特征字段与本地预先存储的所述BFD会话的特征字段进行比较，并将比较结果通知处理单元；