[发明专利]设置OAM安全认证的方法及装置

说明书

技术领域

本发明涉及计算机通信技术领域，尤其涉及计算机网络通信技术的CFM协议中设置OAM安全认证的方法及装置。 

背景技术

根据运营商网络运营的实际需要，通常将网络的管理工作划分为3大类：操作(Operation)、管理(Administration)、维护(Maintenance)，简称OAM(Operation Administration and Maintenance)。操作主要完成日常网络和业务进行的分析、预测、规划和配置工作；维护主要是对网络及其业务的测试和故障管理等进行的日常操作活动。 

基于Y.1731的CFM(Continuity Fault Management，连接故障管理)，目前已经被广泛应用于运营商网络。按照CFM的功能区分，可以分为两类：一类为用于差错管理的OAM功能，用来检测、验证、定位和通告网络中不同的故障情况。包括连续性检查、环回、链路跟踪、告警指示、远端故障指示、锁定信号、测试信号、自动保护转换和维护通信通道。另一类为用于性能监测的OAM功能，可以用来测量不同的性能参数，目前主要是针对点对点测量。包括帧丢失的测量、帧时延的测量和通量测量。 

OAM PDU(Protocol Data Unit，协议数据单元)类型的信息单元和格式，满足了上述两类OAM功能的要求，而OAM PDU存在一种共同的格式，如下： 

上述格式中，OpCode是一个字节的字段，其包含了一个表示OAM PDU类型的OpCode，OpCode用于识别OAM PDU中其余部分的内容。这一信息 字段的数值如下表所示： 

然而Y.1731协议本身并没有考虑到安全性。且在真实的运营商网络中，缺乏安全性的协议很容易成为被网络攻击的对象。考虑到OAM在整个运营商网络中的重要地位，急需解决如何识别收到的OAM报文是否真实可靠这个问题。 

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种设置OAM安全认证的方法，其在ME(Maintenance Entity，维护实体)的两端分别对报文进行安全认证，尽可能地屏蔽恶意报文的冲击，以确保CFM协议的通信安全。 

为实现上述目的，本发明提出如下技术方案：一种设置OAM安全认证的方法，包括： 

预先在ME两端的网络设备上分别设置密钥，在一端的网络设备发送的OAM报文中设置身份认证TLV字段，所述身份认证TLV字段包括sequenceID字段和发送端MD5值，所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成； 

ME另一端的网络设备在接收到所述OAM报文时，将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算，得到接收端MD5值；以及 

比较所述发送端MD5值和接收端MD5值，并将两者相同的OAM报文通过OAM认证。 

在同一维护实体组中的所有合法设备上，所述密钥相同。 

所述身份认证TLV字段的长度为sequenceID和MD5值的长度之和。 

所述密钥不在网络上传输。 

所述发送端MD5值和接收端MD5值均由sequenceID字段和对应设备的密钥逻辑与的结果作MD5运算产生。 

对发送端MD5值不同于接收端MD5值的报文不通过认证，并将该报文丢弃。 

所述身份认证TLV的字段位置位于紧邻终了TLV字段之前。 

本发明还提出一种设置OAM安全认证的装置，其包括： 

密钥设置模块，用于预先在ME两端的网络设备上分别设置密钥； 

OAM报文发送模块，用于在报文发送端的网络设备发送的OAM报文中设置身份认证TLV字段，所述身份认证TLV字段包括sequenceID字段和发送端MD5值，所述发送端MD5值是由所述sequenceID字段和所述密钥逻辑运算而成； 

OAM报文接收模块，用于ME另一端的网络设备在接收到所述OAM报文时，将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算，得到接收端MD5值；以及 

MD5值比较模块，用于比较所述发送端MD5值和接收端MD5值，并将两者相同的OAM报文通过OAM认证。 

在同一维护实体组中的所有合法设备上，所述密钥相同。 

所述身份认证TLV的字段位置位于紧邻终了TLV字段之前。