[发明专利]一种基于链路管理协议安全联盟的消息传送方法及装置

说明书

技术领域

本发明涉及通信网络中的路由安全技术，尤其涉及一种基于链路管理协议(Link Management Protocol，LMP)安全联盟的消息传送方法及装置。

背景技术

LMP使用IP安全协议IPSec作为安全机制，该安全机制具体描述如下：

1、使用IPSec协议的LMP实现必须能支持手动密钥模式。手动密钥模式提供了一种简单的方法来建立IPsec的功能。但是手动密钥模式不能有效地支持重放攻击的保护和自动重置密钥。

2、IPsec封装安全负载(IPsec ESP)支持通道模式下的认证。

3、其实现必须支持已认证的密钥交换协议。

4、其实现必须使用IPsec解释域DOI[RFC2407]。

5、对于IKE协议(Internet Key Exchange，因特网密钥交换协议)，在快速模式下的安全联盟(Security Alliance，SA)代表了节点同意保护的通信量(包含地址空间、协议和端口信息)。

6、必须支持IKE积极模式。

IPSec SA定义在【RFC4301】中，具体所包含的参数如下：

安全参数目录(Security Parameter Index，SPI)——32比特值，由接收端的SA选择，用来唯一标识SA。安全联盟数据库SAD登录到一个外部的SA时，SPI用来构建包的认证头(Authentication Header，AH)或者封装安全载荷(Encapsulating Security Payload，ESP)头部。SAD登录到内部的SA，SPI用来描述到合适的SA的路径。

序列号计数器(Sequence Number Counter)——一个64比特计数器，用来生成AH或ESP头部的序列号。64比特序列号是默认的，但是32位的序列号也是可行的。

序列计数器溢出(Sequence Counter Overflow)——一个标志位，表明序列计数器的溢出是否产生审核事件以及防止其他包在SA上传输，或者是否允许翻转。审核记录应当包含SPI的值，当前时间，本地地址，远端地址和相关SAD入口的选择者。

抗重放窗口(Anti-Replay Window)——一个64比特计数器和一个位图(或等价物)，用来确定一个内部AH或者ESP包是否是重放的。

AH认证算法，密钥(AH Authentication algorithm，key)等——这些只有AH要求。

ESP加密算法，密钥，模式，初始向量(ESP Encryption algorithm，key，mode，IV)等——如果一个结合方式的算法被使用，这个部分将不适用。

ESP完整性算法，密钥(ESP integrity algorithm，keys)等——如果完整性服务为选择，这个部分将不适用。如果一个结合方式的算法被使用，这个部分将不适用。

ESP结合方式算法，密钥(ESP combined mode algorithms，key(s))等——这些数据在结合模式(加密和完整性)算法下使用。如果结合方式算法没有使用，该部分将不适用。

SA的寿命(Lifetime of this SA)——一个时间间隔，当其结束后，一个SA必须被新的SA(以及新的SPI)代替或者被终止。它可以以时间或者字节计算，或者同时使用。一个适应的执行必须支持者两种形式的寿命，也必须支持两者同时使用。

IPSec协议模式(IPSec protocol mode)——隧道或者传输。表明AH或ESP的哪种模式应用在该SA传输中。

状态片段检查标志(Stateful fragment checking flag)——表明状态片段检查是否应用在该SA中。

旁路DF比特(Bypass DF bit(T/F))——可用在隧道模式SA中，当内部和外部头都为IPv4时。差分服务代码点(Differentiated Services Code Point，DSCP)值指明了该SA的包允许的DSCP值。如果没有指定值，无指定DSCP过滤将被应用。如果一个或多个值被指定，将为外部包在一系列与传输选择器匹配的选择器的SA中选择一个。注意这些值不被到达SA的内部传输内容检验。

旁路DSCP(T/F)或者到未受保护的DSCP值(数组)的地图如果需要限制DSCP旁路值——应用在SA隧道模式。