一種MPLS?TP中偽線加密方法，可解決現有網絡中缺少專門為偽線設計的端到端加密的解決方案的技術問題。包括以下步驟：S100：在兩個PE設備之間建立偽線PW；S200：在偽線PW上建立關聯通道IKE?Channel；S300：在關聯通道IKE?Channel上傳輸IKE協商報文，通過IKE協商生成安全聯盟參數SEC SA；S400：在偽線PW上建立關聯通道SEC?Channel；S500：用SEC SA中協商的算法和密鑰，進行偽線上業務報文的加密和完整性驗證，在關聯通道SEC?Channel上傳輸加密報文。本發明可以在現有MPLS?TP網絡設備上，實現對現有網絡中的偽線的流量進行加密，提高網絡的安全性，并且能夠和新型的量子加密、國密算法結合起來使用，可以靈活的部署到現有網絡中。

技術領域

本發明涉及通信技術領域，具體涉及一種MPLS-TP中偽線加密方法。

背景技術

MPLS-TP是一種面向連接的分組交換網絡技術，是由ITU-T和IETF聯合提出的傳送需求可擴展的MPLS架構實現，這些擴展被稱為Transport Profile for MPLS(即MPLS-TP)。MPLS-TP通過偽線(PW，Pseudo Wire)承載IP、以太網、ATM、TDM等業務，現有的偽線技術能夠很好的仿真端到端的電路交換，但是報文在偽線上明文傳輸，缺少一種加密方法。

IPSEC(Internet Protocol Security因特網協議安全)是一種開放標準的框架結構，通過使用加密的安全服務以確保在IP網絡上進行保密而安全的通訊。IPSEC通過ISAKMP協議協商安全聯盟SA。ISAKMP(Internet Security Association and Key ManagementProtocol)是IPSec密鑰管理協議，為IPSEC提高身份認證以及密鑰交換技術。安全聯盟SA(Security Association)是IPSec的基礎，是通信雙方建立的一種協定，決定了用來保護數據包的封裝協議、加密和完整性驗證算法、密鑰以及密鑰有效期等。IPSEC有ESP和AH兩種封裝協議，ESP提供數據加密和完整性驗證，AH不進行加密只進行完整性驗證。IPSEC一般工作在網絡層，而偽線工作鏈路層，IPSEC不能直接工作在鏈路層上，所以缺少專門為偽線設計的端到端加密的解決方案。

發明內容

本發明提出的一種MPLS-TP中偽線加密方法，可解決現有網絡中缺少專門為偽線設計的端到端加密的解決方案的技術問題。

為實現上述目的，本發明采用了以下技術方案：

一種MPLS-TP中偽線加密方法，包括以下步驟：

S100：在兩個PE設備之間建立偽線PW；

S200：在偽線PW上建立關聯通道IKE-Channel；

S300：在關聯通道IKE-Channel上傳輸IKE協商報文，通過IKE協商生成安全聯盟參數SEC SA；

S400：在偽線PW上建立關聯通道SEC-Channel；

S500：用SEC SA中協商的算法和密鑰，進行偽線上業務報文的加密和完整性驗證，在關聯通道SEC-Channel上傳輸加密報文。

進一步的,步驟S100可以選擇靜態配置的偽線，或者協議動態建立的偽線。

進一步的，步驟S200包括以下步驟：

S201：IKE-Channel作為IKE協議交互通道，使用PW-ACH(PW Associated ChannelHeader)格式定義偽線的關聯通道封裝格式，IKE-Channel的Channel Type的值可靈活配置，推薦值為99；