[发明专利]安全联盟管理方法及设备

说明书

技术领域

本发明涉及通信网络领域中路由安全技术，尤其涉及一种用于基于流量工程扩展的资源预留协议(Resource ReSerVation Protocol-Traffic Engineering，RSVP-TE)的安全联盟(Security Association，SA)管理方法及设备。

背景技术

资源预留协议(Resource ReSerVation Protocol，RSVP)最初是Internet工程任务组(Internet Engineering Task Force，IETF)为服务质量(Quality of Service，QoS)的综合服务模型定义的一个信令协议，用于在流(flow)所经路径上为该流进行资源预留，从而满足该流的QoS要求。

RSVP协议是一个在互联网协议(Internet Protocol，IP)上承载的信令协议，它允许路由器网络任何一端上终端系统或主机在彼此之间建立保留带宽路径，为网络上的数据传输预定和保证QoS。RSVP协议对于需要保证带宽和时延的业务，如语音传输、视频会议等具有十分重要的作用。

RSVP-TE协议是RSVP协议的扩展版本，RSVP-TE协议安全的基本需求是完整性保护和抗重放攻击。RSVP-TE协议需要在节点间交互路由信息，以维护资源预留信息。因为RSVP-TE协议消息在公共网络中传输，传输RSVP-TE协议消息的信道由多个网络节点共享，所以攻击者可以很容易地拦截并伪造/篡改RSVP-TE协议消息；路由器一旦接受这种错误的RSVP-TE协议消息，将会进行错误的资源预留，从而影响RSVP-TE协议的正常工作。为解决这一问题，必须为RSVP-TE协议提供完整性保护机制，以防止攻击者伪造/篡改路由消息。然而，仅仅提供完整性保护机制并不能完全解决攻击者对RSVP协议的攻击问题；攻击者还可能重放一个过时的RSVP-TE协议消息，此时路由器根据过时的RSVP-TE协议消息维护的资源预留信息是错误的，这些问题都将严重影响RSVP-TE协议的正常工作。

针对RSVP-TE协议的安全需求，IETF RFC2747提出了一种RSVP-TE完整性保护和抗重放攻击的机制。其基本思想是：定义RSVP-TE的完整性保护和抗重放攻击对象(INTEGRITY Object)、以及相应的安全联盟；RSVP-TE协议使用这一安全联盟来计算INTEGRITY Object的值，从而达到完整性保护和抗重放攻击的目的。IETF RFC2747定义的INTEGRITY Object如下所示：

其中，序列号(Sequence Number)字段用于抗重放攻击，而加密的消息摘要(Keyed Message Digest)字段则用于存放消息认证码，对消息进行完整性保护；密钥标识(Key Identifier，KeyID)字段则用于查找完整性保护和抗重放攻击对象对应的安全联盟。

RSVP-TE协议定义的安全联盟包含如下字段：认证算法(Authentication Algorithm)、密钥(Key)、生存周期(Lifetime)、接口(Interface)、源地址(Source Address)、最后发送序列号(Latest Sending Sequence Number)、以及最后N个序列号表(List of Last N Sequence Numbers)。这些字段中，Authentication Algorithm、Key和Lifetime字段用于完整性保护；Interface和Source Address字段用于标识一段安全联盟；Latest Sending Sequence Number和List of Last N Sequence Numbers字段用于抗重放攻击。

RSVP-TE协议的这种内部安全机制，可以很好地解决完整性保护和抗重放攻击的问题。然而，仅仅定义安全联盟和认证对象是不够的，RSVP-TE协议安全机制还需要解决如下问题：

(1)每个安全联盟都有生存周期。为提高RSVP-TE协议使用内部认证对象的性能，通常需要使用安全强度低的短密钥来生成RSVP-TE协议认证数据，这种做法使得RSVP协议安全联盟存在一定的生存时间，安全联盟过期后，RSVP-TE协议需要对安全联盟进行更新。

(2)RSVP-TE协议定义的Sequence Number时间长之后会重复出现。当Sequence Number重复出现时，攻击者将可能进行重放攻击，这也要求在RSVP-TE协议的Sequence Number重复出现之前进行安全联盟的更新，即需要进行密钥更新。