[发明专利]一种基于RSVP的接收认证关系建立方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于RSVP（Resource Reservation Protocol，资源预留协议）的接收认证关系建立方法和设备。

背景技术

MPLS（Multi-Protocol Label Switching，多协议标签交换）TE（Traffic Engineering，流量工程）使用RSVP通告标签，通过建立到达指定路径的LSP（Label Switch Path，标记交换路径）隧道进行资源预留，以使网络流量绕开拥塞节点，从而达到平衡网络流量的目的。进一步的，RSVP认证功能用于保证RSVP报文不会被篡改，以防止伪造的资源预留请求非法占用网络资源。

RSVP认证功能是指：RSVP发送端设备在发送RSVP报文时，使用MD5算法对认证密钥和报文内容进行计算，得到报文摘要，将报文摘要添加到RSVP报文的Integrity（完整性）对象中；RSVP接收端设备在收到RSVP报文后，使用同样的MD5算法对认证密钥和报文内容进行计算，将计算结果与Integrity对象中的报文摘要进行比较；如果二者一致，则RSVP认证通过，接受该RSVP报文；如果二者不一致，则RSVP认证不通过，丢弃该RSVP报文。

此外，RSVP认证功能还可以通过在RSVP报文中携带序列号来防止报文重放攻击；具体的，RSVP发送端设备在发送RSVP报文时，在RSVP报文的Integrity对象中携带序列号；RSVP接收端设备在收到RSVP报文后，将RSVP报文中携带的序列号与本地记录的序列号进行比较，如果根据比较结果确定RSVP报文中携带的序列号在允许范围内，则接受该RSVP报文，并更新本地记录的序列号为该RSVP报文中携带的序列号；否则丢弃该RSVP报文。

现有技术中，RSVP发送端设备在发送RSVP报文的过程中，会建立和维护发送认证关系，RSVP接收端设备在接收RSVP报文的过程中，会建立和维护接收认证关系；且发送认证关系和接收认证关系中存储了RSVP认证过程中需要的信息，如接收认证关系中需要包括最后一次接收所使用的序列号。

具体的，RSVP接收端设备在建立接收认证关系时，需要通过challenge（挑战）方式，获取RSVP发送端设备目前的序列号，从而确定接收认证关系中的最后一次接收所使用的序列号，继而利用该序列号建立接收认证关系。

以处理Path（路径）报文为例，在初始状态下不存在接收认证关系；RSVP接收端设备在收到Path报文之后，向RSVP发送端设备发送Integrity Challenge报文，以查询RSVP发送端设备目前的序列号；RSVP发送端设备通过Integrity Response（响应）报文将当前序列号通知给RSVP接收端设备；RSVP接收端设备在收到该序列号之后，即可建立完成接收认证关系（即接收认证关系中的最后一次接收所使用的序列号为该收到的序列号）。

但是，由于RSVP认证作用仅在邻居设备之间，因此上述方式会导致TE隧道建立时间过长；如图1所示，当需要建立一条从R1到R2的TE隧道时，则：

1、R1发送Path报文给R2，R2收到Path报文后，向R1发送Integrity Challenge报文，R1向R2发送Integrity Response报文，R2收到Integrity Response报文后，建立接收认证关系完成；上述过程中R2未处理收到的Path报文。

2、R1在时间T1内没有收到R2的Resv（预留）报文时，认为TE隧道建立失败，并向R2发送Pathtear（拆除）报文去拆除TE隧道。

3、R1在等待时间T2后重新向R2发送Path报文，以建立TE隧道，R2在收到该Path报文后，由于本地接收认证关系已经建立完成，因此，R2正常处理该Path报文，并在处理完毕后向R1回复Resv报文。

4、R1收到Resv报文后，向R2发送Integrity Challenge报文，R2向R1发送Integrity Response报文，R1在收到Integrity Response报文后，建立接收认证关系完成；上述过程中R1未处理收到的Resv报文。