技術領域

本發明涉及通信網絡中的路由安全技術，尤其涉及一種基于鏈路管理協議(Link?Management?Protocol，LMP)安全聯盟的消息傳送方法及裝置。

背景技術

LMP使用IP安全協議IPSec作為安全機制，該安全機制具體描述如下：

1、使用IPSec協議的LMP實現必須能支持手動密鑰模式。手動密鑰模式提供了一種簡單的方法來建立IPsec的功能。但是手動密鑰模式不能有效地支持重放攻擊的保護和自動重置密鑰。

2、IPsec封裝安全負載(IPsec?ESP)支持通道模式下的認證。

3、其實現必須支持已認證的密鑰交換協議。

4、其實現必須使用IPsec解釋域DOI[RFC2407]。

5、對于IKE協議(Internet?Key?Exchange，因特網密鑰交換協議)，在快速模式下的安全聯盟(Security?Alliance，SA)代表了節點同意保護的通信量(包含地址空間、協議和端口信息)。

6、必須支持IKE積極模式。

IPSec?SA定義在【RFC4301】中，具體所包含的參數如下：

安全參數目錄(Security?Parameter?Index，SPI)——32比特值，由接收端的SA選擇，用來唯一標識SA。安全聯盟數據庫SAD登錄到一個外部的SA時，SPI用來構建包的認證頭(Authentication?Header，AH)或者封裝安全載荷(Encapsulating?Security?Payload，ESP)頭部。SAD登錄到內部的SA，SPI用來描述到合適的SA的路徑。

序列號計數器(Sequence?Number?Counter)——一個64比特計數器，用來生成AH或ESP頭部的序列號。64比特序列號是默認的，但是32位的序列號也是可行的。

序列計數器溢出(Sequence?Counter?Overflow)——一個標志位，表明序列計數器的溢出是否產生審核事件以及防止其他包在SA上傳輸，或者是否允許翻轉。審核記錄應當包含SPI的值，當前時間，本地地址，遠端地址和相關SAD入口的選擇者。

抗重放窗口(Anti-Replay?Window)——一個64比特計數器和一個位圖(或等價物)，用來確定一個內部AH或者ESP包是否是重放的。

AH認證算法，密鑰(AH?Authentication?algorithm，key)等——這些只有AH要求。

ESP加密算法，密鑰，模式，初始向量(ESP?Encryption?algorithm，key，mode，IV)等——如果一個結合方式的算法被使用，這個部分將不適用。

ESP完整性算法，密鑰(ESP?integrity?algorithm，keys)等——如果完整性服務為選擇，這個部分將不適用。如果一個結合方式的算法被使用，這個部分將不適用。

ESP結合方式算法，密鑰(ESP?combined?mode?algorithms，key(s))等——這些數據在結合模式(加密和完整性)算法下使用。如果結合方式算法沒有使用，該部分將不適用。

SA的壽命(Lifetime?of?this?SA)——一個時間間隔，當其結束后，一個SA必須被新的SA(以及新的SPI)代替或者被終止。它可以以時間或者字節計算，或者同時使用。一個適應的執行必須支持者兩種形式的壽命，也必須支持兩者同時使用。

IPSec協議模式(IPSec?protocol?mode)——隧道或者傳輸。表明AH或ESP的哪種模式應用在該SA傳輸中。

狀態片段檢查標志(Stateful?fragment?checking?flag)——表明狀態片段檢查是否應用在該SA中。

旁路DF比特(Bypass?DF?bit(T/F))——可用在隧道模式SA中，當內部和外部頭都為IPv4時。差分服務代碼點(Differentiated?Services?Code?Point，DSCP)值指明了該SA的包允許的DSCP值。如果沒有指定值，無指定DSCP過濾將被應用。如果一個或多個值被指定，將為外部包在一系列與傳輸選擇器匹配的選擇器的SA中選擇一個。注意這些值不被到達SA的內部傳輸內容檢驗。

旁路DSCP(T/F)或者到未受保護的DSCP值(數組)的地圖如果需要限制DSCP旁路值——應用在SA隧道模式。