技術領域

本發明涉及通信網絡中的路由安全技術，尤其涉及一種基于雙向轉發檢測(Bidirectional?Forwarding?Detection，BFD)協議的安全聯盟(security?association，SA)管理方法及系統。

背景技術

BFD協議是為了解決現有檢測機制的不足而產生的，它是一套全網統一的檢測機制，用于快速檢測、監控網絡中鏈路或者IP路由的轉發連通狀況，保證鄰居之間能夠快速檢測到通信故障，從而快速建立起備用通道恢復通信。BFD提供了一個通用的、標準化的、介質無關、協議無關的快速故障檢測機制，可以為各上層協議如路由協議、MPLS等統一地快速檢測兩臺路由器間雙向轉發路徑的故障。BFD本身并沒有發現機制，而是靠被服務的上層協議通知其該與誰建立會話，會話建立后如果在檢測時間內沒有收到對端的BFD控制報文則認為發生故障，通知被服務的上層協議，上層協議進行相應的處理。

BFD協議安全的基本需求是完整性和抗重放攻擊。攻擊者攔截并偽造/篡改BFD消息，路由器一旦接受這種錯誤的BFD消息，將向上層協議提供錯誤的狀況通知。為解決這一問題，必須為BFD協議提供完整性保護機制，以防止攻擊者偽造/篡改消息。攻擊者還可能重放一個過時的BFD消息，也將影響BFD協議的正常工作。

BFD協議制定的保護數據完整性和抗重放攻擊的標準(現有的安全機制)中：

BFD協議不包含一個用來創建或者管理BFD?SA的帶內(in-band)機制。一個BFD?SA包含一系列由兩個合法的BFD路由器共享的參數。BFD協議使用這一安全聯盟來計算完整性保護對象中的值，從而達到完整性保護的目的。BFD的規范包含了五種不同類型的認證方案：簡單密碼，Keyed?MD5，MeticulousKeyed?MD5，Keyed?SHA-1和Meticulous?SHA-1，其中，在Keyed?MD5和Meticulous?Keyed?MD5中，BFD路由器共享一個秘密的密鑰，這個密鑰被用來為每個包生成keyed?MD5摘要，并且一個單調增的序號機制用來防止重放攻擊。在Keyed?SHA-1和Meticulous?SHA-1中，BFD路由器共享一個秘密密鑰，這個密鑰被用來為每個包生成keyed?SHA-1摘要，并且一個單調增的序號機制用來防止重放攻擊。

另外，BFD?SA關聯的參數包括：

Authentication?Key?Identifier(Key?ID)認證密鑰標識-兩個8位字節的無符號整數用來唯一標識BFD?SA，由網絡操作員手動地設置(或者未來有可能是IETF定義的一些密鑰管理協議設置)。Key?ID字段是SA的索引字段：接收者通過觀察收到數據包的該字段找到對應的SA，并使用該SA驗證收到的數據包的完整性，發送者根據Key?ID值找到對應的SA，并使用該SA生成認證數據(authentication?data)。使用Key?ID使維持協議操作時改變密鑰變得方便。每個Key?ID規定了兩個獨立的部分，認證協議和認證密鑰。通常一個執行過程允許網絡操作者在一個密鑰鏈中設置一系列的密鑰，鏈中的每個密鑰有固定的壽命。注意到每個Key?ID能夠指明不同的認證協議的密鑰。這就允許在不同的時間使用多個認證機制而不中斷BFD會話，包含對新的認證機制的介紹。

Authentication?Algorithm認證算法-表明BFD?SA使用的認證算法。以下的值可用：Keyed?MD5，Keyed?SHA-1，HMAC-SHA-1，HMAC-SHA-256，HMAC-SHA-384?and?HMAC-SHA-512。

Authentication?Key認證密鑰-表示與該BFD?SA關聯的加密密鑰。密鑰的長度可變且由BFD?SA指定的認證算法決定。操作者必須保證密鑰不會通過任何協議以明文在網絡上傳輸。而且必須保證選擇的密鑰是不可預測的，同時避免任意使用算法已知的弱密鑰。

BFD認證部分格式如圖1所示，其中：

Auth?Type：認證類型，為6(密碼認證)或7(Meticulous密碼認證)。

Auth?Len：認證字段的長度。

Auth?Key?ID：認證密鑰標識。允許多個密鑰同時活躍。

Sequence?Number：該包的序號。對密碼認證，該值有時增加。對Meticulous密碼認證，該值在每次會話成功地傳輸包時增加。

Authentication?Data：該字段攜帶了密碼認證算法計算的摘要。