專利名稱:協(xié)商pcc和pce之間安全能力的方法及其網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng),特別涉及在通信系統(tǒng)的流量工程(TE: Traffic Engineering)路徑計(jì)算中�����,協(xié)商路徑計(jì)算客戶端(PCC: Path Computation Client)與路徑計(jì)算單元(PCE: Path Computation Element)之間安全能力 的方法及其網(wǎng)絡(luò)系統(tǒng)��。
背景技術(shù):
對于在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)上映射通信流量的過程��,以及為這些通信流 量的資源定位就叫做流量工程(TE: Traffic Engineering)����。目前�,路徑計(jì)算單元(PCE: Path Computation Element)是一種用于流 量工程TE路徑計(jì)算的新模型��。相對于由各路由器來完成流量工程TE路徑計(jì) 算的傳統(tǒng)方式����,基于路徑計(jì)算單元PCE的流量工程TE路徑計(jì)算模型將路徑計(jì) 算功能分離出來����,交由路徑計(jì)算單元PCE來完成。所有需要建立流量工程標(biāo) 簽交換路徑(TE-LSP: Traffic Engineering Label Switched Path)的節(jié)點(diǎn) 作為路徑計(jì)算客戶端(PCC: Path Computation Client)向路徑計(jì)算單元PCE 請求路徑的計(jì)算���,路徑計(jì)算單元PCE根據(jù)路徑計(jì)算的要求完成路徑計(jì)算后�, 將相應(yīng)的結(jié)果返回給路徑計(jì)算客戶端PCC節(jié)點(diǎn)��,路徑計(jì)算客戶端PCC節(jié)點(diǎn)根 據(jù)計(jì)算結(jié)果建立相應(yīng)的流量工程標(biāo)簽交換路徑TE-LSP�。路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE是典型的客戶/服務(wù)器(C/S: Client/Server)模型,在路徑計(jì)算客戶端PCC向路徑計(jì)算單元PCE發(fā)送路徑 計(jì)算請求之前�,路徑計(jì)算客戶端PCC需要知道路徑計(jì)算單元PCE的所在。路徑計(jì)算單元自動發(fā)現(xiàn)(PCED: Path Computation Element Discovery) 是PCE工作組提出用來完成路徑計(jì)算單元PCE自動發(fā)現(xiàn)的標(biāo)準(zhǔn)協(xié)議�����,PCED通過對最短路徑算法路由協(xié)議(0SPF: Open Short Path First)或基于鏈路狀 態(tài)的路由協(xié)議(ISIS: Intermediate System to Intermediate System)進(jìn) 行擴(kuò)展,由OSPF或者ISIS將路徑計(jì)算單元PCE的相關(guān)信息在一個路由域內(nèi) 進(jìn)行泛洪�,相當(dāng)于在這個路由域內(nèi)進(jìn)行廣播,該路由域可以是一個路由區(qū)域�, 或者是一個自治系統(tǒng)。通過上述方法路由域內(nèi)的所有路徑計(jì)算客戶端PCC就 能獲得相關(guān)路徑計(jì)算單元PCE信息�����,其中����,這些信息包括路徑計(jì)算單元PCE 的位置信息、PCE的計(jì)算能力���、PCE支持的功能����、PCE的計(jì)算范圍��、是否支持 負(fù)載分擔(dān)��、是否處在擁塞狀態(tài)等信息����。一個路徑計(jì)算客戶端PCC可能會收到多個客戶計(jì)算單元PCE的信息���,路 徑計(jì)算客戶端PCC根據(jù)收到的路徑計(jì)算單元PCE信息,從這些路徑計(jì)算單元 PCE中選擇一個合適的路徑計(jì)算單元PCE作為其路徑計(jì)算的默認(rèn)PCE����。當(dāng)路徑 計(jì)算客戶端PCC在需要計(jì)算流量工程TE路徑時,將相關(guān)的路徑計(jì)算請求發(fā)送 給該默認(rèn)PCE��,由其完成流量工程TE路徑計(jì)算�。路徑計(jì)算單元PCE完成路徑 計(jì)算然后��,將相關(guān)的路徑計(jì)算結(jié)果返回給路徑計(jì)算客戶端PCC�,路徑計(jì)算客戶 端PCC根據(jù)路徑計(jì)算結(jié)果建立相應(yīng)的流量工程TE路徑。路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE之間的通信通過路徑計(jì)算單元 通信坊�、議(PCEP: Path Computation Element Communication Protocol)來 完成,PCEP是用于PCC-PCE�����、 PCE-PCE間通信的協(xié)議����,PCEP采用傳輸控制協(xié) 議(TCP: Transmission Control Protocol)作為傳輸協(xié)議。PCEP承載了 PCC 和PCE之間各種交互報(bào)文��,這些報(bào)文包括能力協(xié)商的報(bào)文、PCC向PCE發(fā)送 的各種路徑計(jì)算請求報(bào)文�����、PCE向PCC發(fā)送的相關(guān)路徑計(jì)算結(jié)果以及PCC和 PCE之間傳遞的各種報(bào)錯報(bào)文等����。路徑計(jì)算客戶端PCC在向路徑計(jì)算單元PCE發(fā)送路徑計(jì)算請求之前,需 要在PCC和PCE之間建立PCEP連接�����。這種連接的建立過程為首先建立PCC 和PCE之間的TCP連接�����,然后進(jìn)行相關(guān)的能力協(xié)商����;能力協(xié)商通過之后,PCC 和PCE之間就建立好了 PCEP連接���。其中��,路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE之間的能力協(xié)商包括PCEP協(xié)議版本號�、PCC和PCE之間連接的保活時間��、最大?;顣r間等內(nèi)容。如圖1所示�����,為多個路徑計(jì)算單元PCE協(xié)作完成流量工程TE路徑計(jì)算的 示意圖�。如圖1所示,頭節(jié)點(diǎn)(HeadEnd) 101作為路徑計(jì)算客戶端PCC向其 默認(rèn)的路徑計(jì)算單元PCE 102發(fā)送計(jì)算請求�����;默認(rèn)的路徑計(jì)算單元PCE 102 根據(jù)路徑計(jì)算請求進(jìn)行路徑計(jì)算���,并將算路結(jié)果返回頭節(jié)點(diǎn)101。如果默認(rèn) PCE 102不能單獨(dú)完成路徑的計(jì)算�,那么路徑計(jì)算單元PCE 102就會向其它的 PCE,如PCE 103發(fā)送路徑計(jì)算請求�,請求協(xié)助路徑的計(jì)算,此時���,相對于 PCE103���,PCE 102就成為路徑計(jì)算客戶端PCC��。如上所述���,路徑計(jì)算單元PCE的信息通過OSPF或者ISIS在一個路由域 內(nèi)泛洪,因此����,這個路由域的所有節(jié)點(diǎn)都有可能獲得這些PCE信息;同時這 些信息還可能通過某種機(jī)制擴(kuò)散到其它路由域��。這樣���,會有很多的節(jié)點(diǎn)��,包 括授信和非授信節(jié)點(diǎn)獲知路徑計(jì)算單元PCE的信息����,并且通過PCEP協(xié)議就可 以訪問路徑計(jì)算單元PCE��。這樣會產(chǎn)生如下一些問題1. 非授信節(jié)點(diǎn)非法截取PCE和PCE之間傳遞的計(jì)算請求�����、響應(yīng)報(bào)文;2. 非授信節(jié)點(diǎn)假冒PCC或者PCE;3. 非授信節(jié)點(diǎn)對PCC或者PCE進(jìn)行Dos (Deny of Service)攻擊�����,其中��, Dos攻擊是指一種通過拒絕服務(wù)來實(shí)施的攻擊�,例如,若一用戶向sina發(fā)送 大量無用的數(shù)據(jù)包��,其他要訪問sina的用戶的請求和該用戶發(fā)送的數(shù)據(jù)包相 比機(jī)會可以忽略��,這樣其它用戶的請求就會被淹沒在該用戶的攻擊報(bào)文中���, 這是一種典型的Dos攻擊�����。上述非授信節(jié)點(diǎn)是指沒有得到授權(quán)不能信任的節(jié)點(diǎn);授信節(jié)點(diǎn)為被授權(quán) 可以信任的節(jié)點(diǎn)���。因此����,需要一種安全機(jī)制來保證PCC和PCE之間的通信安全,PCEP協(xié)議 中提到了可以釆用TCP消息摘要加密算法版本5 (TCP MD5: TCP Message Digest5)簽名�、IPSec (互聯(lián)網(wǎng)安全協(xié)議)加密等多種方法來保證PCC和PCE之間通信的安全、防止路徑計(jì)算單元PCE和路徑計(jì)算客戶端PCC假冒�����,也能 在一定程度上減輕Dos攻擊�。同時還會提出其它的安全機(jī)制來對PCC-PCE通 信進(jìn)行保護(hù),例如路徑計(jì)算單元PCE對路徑計(jì)算客戶端PCC進(jìn)行接入認(rèn)證�����。因此���,對于路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE之間采用何種安全 機(jī)制���、是否需要安全機(jī)制,需要在PCC-PCE之間進(jìn)行協(xié)商��,以便確定PCC和 PCE之間通信的安全機(jī)制����。但在實(shí)現(xiàn)本發(fā)明過程中���,發(fā)明人發(fā)現(xiàn)目前在PCEP 或者PCED中還沒有一種機(jī)制來協(xié)商各種安全能力。另外�����,針對路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE之間是否采用安全 機(jī)制����、是否采用TCP MD5簽名機(jī)制、是否對PCC-PCE之間的報(bào)文進(jìn)行IPSec 加密等安全機(jī)制�����,目前只能采取靜態(tài)配置的方法�����。靜態(tài)配置就是等路徑計(jì)算 客戶端PCC發(fā)現(xiàn)并選定一個或多個路徑計(jì)算單元PCE作為其路徑計(jì)算服務(wù)器 之后�,需要逐一靜態(tài)的配置PCC和PCE之間的安全機(jī)制。在實(shí)現(xiàn)本發(fā)明過程中����,發(fā)明人發(fā)現(xiàn)釆用靜態(tài)配置路徑計(jì)算客戶端PCC和 路徑計(jì)算單元PCE之間的安全機(jī)制的缺點(diǎn)在于配置繁瑣、復(fù)雜�。發(fā)明內(nèi)容本發(fā)明實(shí)施例的目的在于提供一種協(xié)商PCC和PCE之間安全能力的方法 及其網(wǎng)絡(luò)系統(tǒng)。通過本發(fā)明實(shí)施例���,發(fā)送攜帶安全策略能力信息的報(bào)文來進(jìn) 行PCC-PCE��、 PCC-PCC之間的協(xié)商��,大大簡化了 PCC-PCE����、 PCE-PCE之間安全 策略配置���,簡化了路徑計(jì)算單元PCE部署的復(fù)雜度����。本發(fā)明實(shí)施例提供一種協(xié)商PCC和PCE之間安全能力的方法���,該方法包 括步驟路徑計(jì)算單元發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客戶端; 所述路徑計(jì)算客戶端接收所述報(bào)文后����,獲取所述路徑計(jì)算單元支持或要求的 安全策略能力���、或者獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安 全策略能力����;所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的安全策略 能力進(jìn)行連接或通信。本發(fā)明實(shí)施例還提供一種協(xié)商PCC和PCE之間安全能力的網(wǎng)絡(luò)系統(tǒng)���,該 系統(tǒng)包括至少一個路徑計(jì)算單元和路徑計(jì)算客戶端���;其中,所述路徑計(jì)算單元���,用于發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算 客戶端��;所述路徑計(jì)算客戶端接收所述報(bào)文后����,獲取所述路徑計(jì)算單元支持或要 求的安全策略能力�����、或者獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持 的安全策略能力�����,使得所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的 所述安全策略能力進(jìn)行連接或通信�。通過本發(fā)明實(shí)施例�����,發(fā)送攜帶安全策略能力信息的報(bào)文來進(jìn)行PCC-PCE、 PCC-PCC之間的協(xié)商����,大大簡化了 PCC-PCE、 PCE-PCE之間安全策略配置��,簡 化了路徑計(jì)算單元PCE部署的復(fù)雜度���。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解�,構(gòu)成本申請的一部 分����,并不構(gòu)成對本發(fā)明的限定。在附圖中圖1為多個PCE協(xié)作完成TE路徑計(jì)算的示意圖��;圖2為本發(fā)明實(shí)施例協(xié)商安全能力的系統(tǒng)結(jié)構(gòu)示意圖�����;圖3為本發(fā)明實(shí)施例一的通過PCED協(xié)商安全能力的方法流程圖�����;圖4為本發(fā)明實(shí)施例二的通過PCEP協(xié)商安全能力的方法流程圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�,下面結(jié)合實(shí) 施例和附圖��,對本發(fā)明實(shí)施例做進(jìn)一步詳細(xì)說明����。在此,本發(fā)明的示意性實(shí) 施例及其說明用于解釋本發(fā)明�,但并不作為對本發(fā)明的限定。本發(fā)明實(shí)施例提供一種協(xié)商PCC和PCE之間安全能力的方法及其網(wǎng)絡(luò)系 統(tǒng)����。以下參照附圖對本發(fā)明實(shí)施例進(jìn)行詳細(xì)說明。本發(fā)明實(shí)施例提供一種協(xié)商PCC和PCE之間安全能力的方法����。該方法包括路徑計(jì)算單元發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客戶端;所 述路徑計(jì)算客戶端接收所述報(bào)文后�,獲取所述路徑計(jì)算單元支持或要求的安 全策略能力、或者所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略 能力;所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的安全策略能力進(jìn) 行連接或通信���。由上述實(shí)施例可知��,通過發(fā)送攜帶安全策略能力信息的報(bào)文來進(jìn)行 PCC-PCE�、 PCOPCC之間的協(xié)商�,大大簡化了 PCC-PCE、 PCE-PCE之間安全策略 配置��,簡化了路徑計(jì)算單元PCE部署的復(fù)雜度��。本實(shí)施例中�,PCED攜帶的安全策略能力信息包括是否啟用安全機(jī)制�、 是否采用TCP MD5簽名選項(xiàng)、是否采用IPSec對路徑計(jì)算客戶端PCC和路徑 計(jì)算單元PCE之間的報(bào)文進(jìn)行加密���、是否需要在路徑計(jì)算客戶端PCC和路徑 計(jì)算單元PCE之間進(jìn)行認(rèn)證的信息中的一種或幾種�����。PCEP攜帶的安全策略能力信息包括是否采用IPSec對路徑計(jì)算客戶端 PCC和路徑計(jì)算單元PCE之間的報(bào)文進(jìn)行加密�����、和/或是否需要在路徑計(jì)算客 戶端PCC和路徑計(jì)算單元PCE之間進(jìn)行認(rèn)證的信息��。本發(fā)明實(shí)施例中的路徑計(jì)算客戶端PCC為廣義的路徑計(jì)算客戶端PCC���,在 某些情況下����,路徑計(jì)算單元PCE也可以為路徑計(jì)算客戶端PCC����。例如,當(dāng)要計(jì) 算一條跨域的路徑時���,可能需要多個路徑計(jì)算單元PCE參與路徑計(jì)算�����, 一個 路徑計(jì)算單元PCE負(fù)責(zé)計(jì)算一段路徑��;但是路徑計(jì)算客戶端PCC����,作為路徑計(jì) 算的發(fā)起者��,有可能只向第一個PCE發(fā)送路徑計(jì)算請求,如果第一個PCE不 能獨(dú)自完成整個路徑的計(jì)算��,該P(yáng)CE就會請求其它PCE協(xié)助路徑計(jì)算���,這時�, 第一個PCE就相當(dāng)于一個PCC向其他的PCE發(fā)送路徑計(jì)算請求���,以便完成路 徑計(jì)算���。在上述情況下,協(xié)商PCC和PCE之間的安全能力為協(xié)商PCE和PCE 之間的安全能力����。本發(fā)明實(shí)施例中�,通過對PCED和PCEP協(xié)議進(jìn)行擴(kuò)展,即在PCED或PCEP的相關(guān)報(bào)文中攜帶上述安全策略能力信息��,實(shí)現(xiàn)PCC與PCE之間通信安全策 略的動態(tài)協(xié)商��。以下分別以PCED和PCEP攜帶安全策略能力信息為例��,對本發(fā)明實(shí)施例 的方法進(jìn)行詳細(xì)說明��。 實(shí)施例一下面以PCED攜帶安全策略能力信息和PCEP攜帶安全策略能力信息為例,對本發(fā)明實(shí)施例的協(xié)商安全能力的方法進(jìn)行詳細(xì)說明��。如圖3所示����,當(dāng)通過PCED攜帶安全策略能力信息時,在PCE的自動發(fā)現(xiàn) 階段通過PCED攜帶的安全策略能力信息來協(xié)商PCC和PCE之間安全能力的方 法包括步驟步驟301,路徑計(jì)算單元PCE在泛洪安全策略能力信息����。本實(shí)施例中,路徑計(jì)算單元PCE在洪泛自己相關(guān)信息時����,根據(jù)自身的相 關(guān)配置、策略��,決定是否將安全策略能力信息通過PCED協(xié)議泛洪出去���。例如�����,若路徑計(jì)算單元PCE希望路徑計(jì)算客戶端PCC與其建立PCEP連接 時采用TCP MD5簽名選項(xiàng)�����,即安全策略能力采用TCP MD5�����,則路徑計(jì)算單元PCE 在安全策略通告中加上這一要求��;其它情況類似���,此處不再贅述���。此外,對某些不需要安全策略的路徑計(jì)算客戶端PCC���,如授信的路徑計(jì)算 客戶端PCC�����,路徑計(jì)算單元PCE可以根據(jù)實(shí)際情況不洪泛安全策略能力信息。另外���,路徑計(jì)算單元PCE洪泛的相關(guān)信息是指通常情況下����,路徑計(jì)算 單元PCE通過PCED協(xié)議(OSPF或者ISIS擴(kuò)展)將自己的位置信息、計(jì)算能 力�、計(jì)算范圍等信息泛洪到一個路由域中,該路由域可能是一個路由區(qū)域 (area/level)或者是整個路由自治系統(tǒng)(AS: Autonomous System)���。若路徑計(jì)算單元決定不洪泛安全策略能力信息��,則后續(xù)路徑計(jì)算客戶端 PCC和路徑計(jì)算單元PCE建立PCEP連接或進(jìn)行通信時不采用安全策略�。步驟 302��,路徑計(jì)算客戶端PCC接收攜帶有安全策略能力信息的PCED報(bào)文�;步驟303,獲取路徑計(jì)算單元PCE支持或要求的安全策略能力����;具體為,路徑計(jì)算客戶端PCC對PCED報(bào)文進(jìn)行解析���,以解析出路徑計(jì)算 單元PCE支持或要求的安全策略能力���;可選地,還可以將解析出的安全策略能力進(jìn)行保存����。上述實(shí)施例中���,解析的目的是從PCED報(bào)文中取出安全策略能力;本實(shí)施 例中�����,通過分析PCED報(bào)文中相關(guān)字段�����、標(biāo)志位解析出路徑計(jì)算單元PDE支持 或要求的安全策略能力�,其中,不同的字段�����、不同標(biāo)志代表不同的安全策略 能力�����。步驟304�,當(dāng)路徑計(jì)算客戶端PCC要與路徑計(jì)算單元PCE建立PCEP連接 或進(jìn)行通信時�����,路徑計(jì)算客戶端PCC根據(jù)所獲得的安全策略能力選擇一種或 多種安全策略和PCE建立PCEP連接或進(jìn)行通信,即所述路徑計(jì)算客戶端PCC 根據(jù)路徑計(jì)算單元PCE的安全策略支持情況或者要求來選擇相應(yīng)的安全策略 與路徑計(jì)算單元PCE建立PCEP連接或進(jìn)行通信�����。例如如果安全策略能力信息中指定采用TCP MD5簽名選項(xiàng)���,則路徑計(jì) 算客戶端PCC向路徑計(jì)算單元PCE建立連接時��,就需要通過TCP MD5簽名選 項(xiàng)進(jìn)行加密���。如果安全策略能力信息中指定采用IPSec對PCC-PCE之間的報(bào)文進(jìn)行加 密,則PCC和PCE在進(jìn)行通信時就需要通過IPSec來進(jìn)行報(bào)文加密��。如果安全策略能力信息中指定需要在PCC和PCE之間進(jìn)行安全認(rèn)證��,則 PCC在向PCE發(fā)送路徑計(jì)算請求之前需要首先進(jìn)行安全認(rèn)證�����。在上述實(shí)施例中�����,安全策略能力信息由PCED報(bào)文中的PCE能力標(biāo)志子-類型/長度/值三元組(Sub-TLV)攜帶或者由設(shè)置的PCE安全策略子-類型/長 度/值三元組(Sub-TLV)攜帶�,但不限于上述情況���,還可采用其它方式。由上述實(shí)施例可知��,通過在PCED報(bào)文中攜帶安全策略能力信息��,簡化了 PCC-PCE��、 PCE-PCE之間安全策略配置����,使得配置靈活、并且修改容易�。實(shí)施例二下面以PCEP攜帶安全策略能力信息為例,對本發(fā)明實(shí)施例的協(xié)商安全能力的方法進(jìn)行詳細(xì)說明���。當(dāng)PCEP攜帶安全策略能力信息時���,本實(shí)施例中在PCC和PCE建立PCEP 連接時,通過PCEP的打開報(bào)文(Open)攜帶安全策略能力信息來協(xié)商PCC和 PCE之間的安全能力�。
其中,Open報(bào)文是PCC和PCE在建立PCEP連接時相互發(fā)送的第一個報(bào)文�, 該Open報(bào)文用于PCC和PCE之間交換各種能力參數(shù),然后各自根據(jù)自己能力參數(shù)以及從對方接收到的能力參數(shù)進(jìn)行協(xié)商,以確定雙方都支持的能力�����。當(dāng)采用Open報(bào)文攜帶安全策略能力信息時�����,安全策略能力可以通過Open 報(bào)文中Open Object (對象)相關(guān)標(biāo)志位來攜帶���,也可以通過向Open Object 中引入新的TLV:安全策略能力TLV來攜帶,但不限于上述兩種情況�����。
本實(shí)施例中���,以路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE的Open報(bào)文均 攜帶安全策略能力信息��、且采用安全策略能力TLV來攜帶該安全策略能力信 息為例進(jìn)行
詳細(xì)說明�。如圖4所示�,當(dāng)通過PCEP的打開(Open)報(bào)文來攜帶安全策略能力信息 時,協(xié)商PCC和PCE之間安全能力的方法包括步驟步驟401��,路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE根據(jù)自身的配置、策 略���,決定是否在Open報(bào)文中攜帶安全策略能力���;例如,路徑計(jì)算單元PCE配置要求所有路徑計(jì)算客戶端PCC和其同時需 要進(jìn)行IPsec加密�����,則路徑計(jì)算單元PCE就決定將需要支持IPsec加密要求 放在安全策略能力TLV中���,通過Open報(bào)文發(fā)送給路徑計(jì)算客戶端PCC;
對于路徑計(jì)算客戶端PCC��,其決定的方式與路徑計(jì)算單元PCE—致�����,此處 不再贅述����。
步驟402�,若在步驟401中決定的結(jié)果為均攜帶安全策略能力信息,則 PCC和PCE相互發(fā)送攜帶安全策略能力信息的Open報(bào)文����。步驟403����, PCC和PCE在接收到對方����,即PCE和PCC發(fā)送的Open報(bào)文后���, 對所接收的Open報(bào)文進(jìn)行處理���,以獲得對方所支持的或要求的安全策略能力;其中,可采用如下步驟路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE對Open報(bào)文進(jìn)行解析�,以解析 出對方所支持或要求的安全策略能力;然后保存解析出的所述安全策略能力���。 步驟404���,路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE將所獲得的安全策略能力與自身支持的相關(guān)安全策略能力進(jìn)行對比;步驟405�、 406,判斷是否存在共同支持的安全策略能力��;若判斷結(jié)果為 存在共同支持的安全策略能力,則協(xié)商成功��,路徑計(jì)算客戶端PCC和路徑計(jì) 算單元PCE之間的通信根據(jù)共同支持的安全策略能力進(jìn)行�。例如,如果安全策略能力中指定采用IPSec對PCC-PCE之間的報(bào)文進(jìn)行 加密��,則PCC和PCE在進(jìn)行通信時就需要通過IPSec來進(jìn)行報(bào)文加密����;如果 安全策略能力中指定需要在PCC和PCE之間進(jìn)行安全認(rèn)證,則PCC在向PCE 發(fā)送路徑計(jì)算請求之前需要首先進(jìn)行安全認(rèn)證��。上述實(shí)施例中���,在步驟405中����,判斷是否有共同支持的安全策略能力時 的判斷結(jié)果為沒有共同支持的安全策略能力�,則執(zhí)行步驟407,即PCC和PCE 之間通信時��,可以不采用任何安全機(jī)制�����;或者斷開路徑計(jì)算客戶端PCC和路 徑計(jì)算單元PCE之間的連接,路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE不能 繼續(xù)進(jìn)行通信��。在步驟401中��,若路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE決定不在Open報(bào)文中攜帶安全策略能力信息�,則執(zhí)行步驟407。下面以安全策略能力中指定采用IPSec為例對上述方法進(jìn)行說明 首先���,如果路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE上配置了要求PCC與PCE之間的通信采用IPSec加密,則PCC和PCE將IPSec能力放入安全策略能力TLV中;然后����,將安全策略能力TLV編碼在Open報(bào)文中,發(fā)送給對方��; 當(dāng)收到攜帶安全策略能力信息的Open報(bào)文時���,對該安全策略能力信息進(jìn) 行解析��,解析出對方所支持或要求的安全策略能力�����,并進(jìn)行保存�����;最后�,與其自身支持的安全策略能力進(jìn)行對比,判斷是否有共同支持的安全策略能力�����,即判斷是否支持工PSec加密��,如果支持��,則協(xié)商成功����,后續(xù) PCC和PCE之間的通信可按照IPsec進(jìn)行加密。如果安全策略能力中指定需要在PCC和PCE之間進(jìn)行安全認(rèn)證�,則PCC 在向PCE發(fā)送路徑計(jì)算請求之前需要首先進(jìn)行安全認(rèn)證。具體的步驟流程與 上述類似���,此處不再贅述�����。上述實(shí)施例中�,PCC和PCE均攜帶相同的IPSec能力,并且PCC和PCE均 配置了要求PCC和PCE之間的通信釆用IPSec加密�����,因此���,判斷結(jié)果為具有共同支持的安全策略能力�,因此���,協(xié)商成功��。若PCC和PCE攜帶了不同的安全策略能力,如PCC配置要求PCC和PCE 之間的通信采用IPSec加密�����,則該P(yáng)CC攜帶IPSec能力�����;PCE配置要求PCC和 PCE之間的通信需要進(jìn)行安全認(rèn)證��,則PCE攜帶進(jìn)行安全認(rèn)證的能力�����;當(dāng)PCC 和PCE互相發(fā)送Open報(bào)文后,當(dāng)對該報(bào)文進(jìn)行處理后��,判斷結(jié)果為沒有共同 支持的安全策略能力���,則協(xié)商不成功�,路徑計(jì)算客戶端PCC和路徑計(jì)算單元 PCE之間不能進(jìn)行通信�����;或者所述路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE之 間通信時不釆用任何安全機(jī)制�。上述實(shí)施例中,是以PCC和PCE的Open報(bào)文中均攜帶安全策略能力信息 為例進(jìn)行說明�。本發(fā)明實(shí)施例中,安全策略能力信息還可以是PCE或PCC的 Open報(bào)文單獨(dú)攜帶��。例如�,只有路徑計(jì)算單元PCE上配置了要求PCC與PCE之間的通信釆用 IPSec加密,則路徑計(jì)算單元PCE將IPSec能力放入安全策略能力TLV中��;然 后����,將安全策略能力TLV編碼在Open報(bào)文中���,發(fā)送給路徑計(jì)算客戶端PCC;而路徑計(jì)算客戶端PCC發(fā)送給路徑計(jì)算單元PCE的Open報(bào)文中沒有攜帶 安全策略能力;當(dāng)路徑計(jì)算客戶端PCC收到攜帶安全策略能力信息的Open報(bào)文時�,對該 安全策略能力信息進(jìn)行解析,解析出對方所支持或要求的安全策略能力���,并進(jìn)行保存����;最后����,與該路徑計(jì)算客戶端PCC自身支持的安全策略能力進(jìn)行對比,由 于路徑計(jì)算客戶端PCC的配置不支持IPSec��,則判斷結(jié)果是沒有共同支持的安 全策略能力�,則協(xié)商不成功����,此時斷開PCC和PCE之間的連接、或者PCC和 PCE之間不釆用任何安全機(jī)制�����。由上述可知,通過采用PCEP報(bào)文攜帶安全策略能力信息�,大大簡化了 PCC-PCE,以及PCE-PCE之間安全策略配置����,使得配置靈活、并且修改容易�����。實(shí)施例三本發(fā)明實(shí)施例還提供一種協(xié)商PCC和PCE之間安全能力的網(wǎng)絡(luò)系統(tǒng)�����,如 圖2所示����,該系統(tǒng)包括至少一個路徑計(jì)算單元和路徑計(jì)算客戶端;其中��,路徑計(jì)算單元���,用于發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客戶端���;路徑計(jì)算客戶端接收該報(bào)文后��,獲取所述路徑計(jì)算單元支持或要求的安 全策略能力��、或者獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全 策略能力���,使得所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的所述安 全策略能力進(jìn)行連接或通信。本實(shí)施例中����,攜帶安全策略能力信息的報(bào)文是路徑計(jì)算單元自動發(fā)現(xiàn)報(bào) 文或路徑計(jì)算單元通信協(xié)議報(bào)文。當(dāng)所述報(bào)文是路徑計(jì)算單元自動發(fā)現(xiàn)報(bào)文時�,所述獲取路徑計(jì)算單元支 持或要求的安全策略能力是指對路徑計(jì)算單元自動發(fā)現(xiàn)報(bào)文進(jìn)行解析,解 析出所述路徑計(jì)算單元支持或要求的安全策略能力�����,從而獲取所述安全策略 能力�。當(dāng)所述報(bào)文為路徑計(jì)算單元通信協(xié)議報(bào)文時,所述路徑計(jì)算客戶端還用 于發(fā)送所述報(bào)文至所述路徑計(jì)算單元���;所述路徑計(jì)算單元接收所述報(bào)文后����, 獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略能力�����,使得所 述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的安全策略能力進(jìn)行通信����。由上述實(shí)施例可知,通過在PCED報(bào)文中攜帶安全策略能力信息�����,簡化了PCC-PCE�、 PCE-PCE之間安全策略配置,使得配置靈活��、并且修改容易���。以下分別以PCED和PCEP攜帶安全策略能力信息為例�,對本發(fā)明實(shí)施例的方法進(jìn)行詳細(xì)說明���。 實(shí)施例四以下報(bào)文為PCED報(bào)文的情況�。本發(fā)明實(shí)施例還提供一種協(xié)商PCC和PCE之間安全能力的網(wǎng)絡(luò)系統(tǒng)�,包 括至少一個路徑計(jì)算單元PCE和路徑計(jì)算客戶端PCC;其中���,路徑計(jì)算單元PCE,用于發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客 戶端PCC;路徑計(jì)算客戶端PCC接收該報(bào)文后����,獲取路徑計(jì)算單元PCE支持或 要求的安全策略能力,使得路徑計(jì)算客戶端PCC與路徑計(jì)算單元PCE之間根據(jù) 獲取的安全策略能力進(jìn)行連接或通信�。本實(shí)施例中,安全策略能力信息包括是否啟用安全機(jī)制�����、是否采用TCP MD5 簽名選項(xiàng)�����、是否采用IPSec對路徑計(jì)算客戶端和路徑計(jì)算單元之間的報(bào)文進(jìn) 行加密�、是否需要在路徑計(jì)算客戶端和路徑計(jì)算單元之間進(jìn)行認(rèn)證的信息中 的一種或幾種。上述安全策略能力信息由PCED報(bào)文中的PCE能力標(biāo)志子-類型/長度/值 三元組(Sub-TLV)攜帶或者由設(shè)置的PCE安全策略子-類型/長度/值三元組 (Sub-TLV)攜帶���,但不限于上述情況�����,還可采用其它方式����。本實(shí)施例的協(xié)商安全能力的網(wǎng)絡(luò)系統(tǒng)的協(xié)商方法與實(shí)施例一中的PCED報(bào) 文攜帶安全策略能力的方法一致���,此處不再贅述�����。實(shí)施例五以下是PCEP報(bào)文的情況����。本發(fā)明實(shí)施例還提供一種協(xié)商PCC和PCE之間安全能力的網(wǎng)絡(luò)系統(tǒng)����,包 括至少一個路徑計(jì)算單元PCE和路徑計(jì)算客戶端PCC;其中,路徑計(jì)算單元PCE�����,用于發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客 戶端PCC;路徑計(jì)算客戶端PCC接收該報(bào)文后����,獲取該路徑計(jì)算單元PCE和路徑計(jì)算客戶端PCC共同支持的安全策略能力,使得路徑計(jì)算客戶端PCC與路 徑計(jì)算單元PCE之間根據(jù)獲取的安全策略能力進(jìn)行通信�����。本實(shí)施例中,路徑計(jì)算客戶端PCC還用于發(fā)送該報(bào)文至所述路徑計(jì)算單 元PCE;路徑計(jì)算單元PCE接收所述報(bào)文后�����,獲取路徑計(jì)算單元PCE和路徑計(jì) 算客戶端PCC共同支持的安全策略能力�,使得路徑計(jì)算客戶端PCC與路徑計(jì) 算單元PCE之間根據(jù)獲取的安全策略能力進(jìn)行通信。本實(shí)施例中�,PCEP報(bào)文可為打開(Open)報(bào)文。路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE決定是否在Open報(bào)文中攜帶安 全策略能力信息�,決定結(jié)果為路徑計(jì)算客戶端PCC和/或路徑計(jì)算單元PCE的 Open報(bào)文中攜帶安全策略能力信息;路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE互相發(fā)送Open報(bào)文�;當(dāng)路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE收到Open報(bào)文時,對Open 報(bào)文進(jìn)行處理���,以獲得對方所支持或要求的安全策略能力��;將所獲得的安全 策略能力與自身支持的安全策略能力進(jìn)行對比�,判斷是否存在共同支持的安 全策略能力���;若判斷結(jié)果為存在���,則協(xié)商成功��,路徑計(jì)算單元PCE和路徑計(jì) 算客戶端PCC之間的通信按照該共同支持的安全策略能力來進(jìn)行���。上述安全策略能力信息包括是否采用IPSec對路徑計(jì)算客戶端和路徑計(jì) 算單元之間的報(bào)文進(jìn)行加密、和/或是否需要在路徑計(jì)算客戶端和路徑計(jì)算單 元之間進(jìn)行認(rèn)證的信息中�����。本實(shí)施例中���,上述安全策略能力信息由PCED報(bào)文中的PCE能力標(biāo)志子-類型/長度/值三元組(Sub-TLV)攜帶或者由設(shè)置的PCE安全策略子-類型/長 度/值三元組(Sub-TLV)攜帶,但不限于上述情況����,還可采用其它方式。由上述可知����,路徑計(jì)算客戶端PCC和路徑計(jì)算單元PCE可根據(jù)自身的配 置、策略���,決定是否在Open報(bào)文中攜帶安全策略能力�;決定的結(jié)果可以是在 PCC和PCE中均攜帶��,或者只在PCC或PCE中攜帶。若PCC和PCE均不攜帶安全策略能力時����,則PCC和PCE之間的通信不釆用任何機(jī)制、或者斷開PCC和PCE之間的通信����。當(dāng)PCC和PCE均攜帶安全策略能力信息、或者只有PCE或PCC攜帶安全 策略能力時�,其工作流程如實(shí)施例二所述,此處不再贅述���。通過上述實(shí)施例���,通過在PCED報(bào)文和PCEP報(bào)文中攜帶安全策略能力信 息,大大簡化了 PCC-PCE��、 PCE-PCE之間安全策略配置�����,使得配置靈活��、并且 修改容易,簡化了路徑計(jì)算單元PCE部署的復(fù)雜度��。以上所述的具體實(shí)施例�,對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了 進(jìn)一步詳細(xì)說明���,所應(yīng)理解的是�,以上所述僅為本發(fā)明的具體實(shí)施例而已�����, 并不用于限定本發(fā)明的保護(hù)范圍�����,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任 何修改�����、等同替換��、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種協(xié)商PCC和PCE之間安全能力的方法,其特征在于�����,該方法包括步驟路徑計(jì)算單元發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客戶端��;所述路徑計(jì)算客戶端接收所述報(bào)文后�����,獲取所述路徑計(jì)算單元支持或要求的安全策略能力����、或者獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略能力;所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的安全策略能力進(jìn)行連接或通信�����。
2. 根據(jù)權(quán)利要求1所述的方法����,其特征在于���,所述攜帶安全策略能力信息的報(bào)文是路徑計(jì)算單元自動發(fā)現(xiàn)報(bào)文或路徑計(jì)算單元通信協(xié)議報(bào)文。
3. 根據(jù)權(quán)利要求2所述的方法��,其特征在于當(dāng)所述報(bào)文為路徑計(jì)算單 元通信協(xié)議報(bào)文時���,該方法還包括所述路徑計(jì)算客戶端向所述路徑計(jì)算單元發(fā)送所述報(bào)文����; 所述路徑計(jì)算單元接收所述報(bào)文后��,獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略能力�����;所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的安全策略能力進(jìn)行通信���。
4. 根據(jù)權(quán)利要求2或3所述的方法,其特征在于當(dāng)所述報(bào)文為路徑計(jì)算單元通信協(xié)議報(bào)文時�����,所述獲取路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略能力,包括步驟所述路徑計(jì)算客戶端或路徑計(jì)算單元獲取對方所支持或要求的安全策略 能力���;將所獲取的安全策略能力與自身支持的安全策略能力進(jìn)行對比��,找到共 同支持的安全策略能力���。
5. 根據(jù)權(quán)利要求2所述的方法,其特征在于�,當(dāng)所述報(bào)文為路徑計(jì)算單 元自動發(fā)現(xiàn)報(bào)文時,所述安全策略能力信息包括是否啟用安全機(jī)制�,和/或是 否采用TCP MD5簽名選項(xiàng),和/或是否釆用IPSec對路徑計(jì)算客戶端和路徑計(jì) 算單元之間的報(bào)文進(jìn)行加密���,和/或是否需要在路徑計(jì)算客戶端和路徑計(jì)算單 元之間進(jìn)行認(rèn)證的信息���;當(dāng)所述報(bào)文為所述路徑計(jì)算單元通信協(xié)議報(bào)文時,所述安全策略能力信 息包括是否采用IPSec對路徑計(jì)算客戶端和路徑計(jì)算單元之間的報(bào)文進(jìn)行加 密���、和/或是否需要在路徑計(jì)算客戶端和路徑計(jì)算單元之間進(jìn)行認(rèn)證的信息����。
6. 根據(jù)權(quán)利要求2所述的方法��,其特征在于當(dāng)所述報(bào)文為路徑計(jì)算單 元自動發(fā)現(xiàn)報(bào)文時,所述安全策略能力信息由所述路徑計(jì)算單元自動發(fā)現(xiàn)報(bào) 文中的路徑計(jì)算單元能力標(biāo)志子-類型/長度/值三元組攜帶或者由所述路徑 計(jì)算單元安全策略子-類型/長度/值三元組攜帶�����;當(dāng)所述報(bào)文為所述路徑計(jì)算單元通信協(xié)議報(bào)文時��,所述安全策略能力信 息由所述打開報(bào)文中的打開對象相關(guān)標(biāo)志位攜帶或者安全策略能力類型/長 度/值三元組來攜帶���。
7. —種協(xié)商PCC和PCE之間安全能力的網(wǎng)絡(luò)系統(tǒng)����,其特征在于包括至 少一個路徑計(jì)算單元和路徑計(jì)算客戶端�����;其中�,所述路徑計(jì)算單元,用于發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算 客戶端�����;所述路徑計(jì)算客戶端接收所述報(bào)文后��,獲取所述路徑計(jì)算單元支持或要 求的安全策略能力��、或者獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持 的安全策略能力�����,使得所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的 所述安全策略能力進(jìn)行連接或通信����。
8. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)系統(tǒng),其特征在于��,所述攜帶安全策略能 力信息的報(bào)文是路徑計(jì)算單元自動發(fā)現(xiàn)報(bào)文或路徑計(jì)算單元通信協(xié)議報(bào)文��。
9. 根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)系統(tǒng)���,其特征在于當(dāng)所述報(bào)文為路徑計(jì)算單元通信協(xié)議報(bào)文時����,所述路徑計(jì)算客戶端還用于發(fā)送所述報(bào)文至所述路徑計(jì)算單元��;所述路徑計(jì)算單元接收所述報(bào)文后�,獲取所述路徑計(jì)算單元和路徑計(jì)算 客戶端共同支持的安全策略能力,使得所述路徑計(jì)算客戶端與路徑計(jì)算單元 之間根據(jù)獲取的安全策略能力進(jìn)行通信�。
10.根據(jù)權(quán)利要求或8或9所述的網(wǎng)絡(luò)系統(tǒng),其特征在于當(dāng)所述報(bào)文為路徑計(jì)算單元通信協(xié)議報(bào)文時�,所述獲取路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略能力是指所述路徑計(jì)算客戶端或路徑計(jì)算單元獲取對方所支持或要求的安全策略 能力�;將所獲取的安全策略能力與自身支持的安全策略能力進(jìn)行對比��,找到共同支持的安全策略能力�。
全文摘要
本發(fā)明提供一種協(xié)商PCC和PCE之間安全能力的方法及其網(wǎng)絡(luò)系統(tǒng)。該方法包括步驟路徑計(jì)算單元發(fā)送攜帶安全策略能力信息的報(bào)文至路徑計(jì)算客戶端���;所述路徑計(jì)算客戶端接收所述報(bào)文后�����,獲取所述路徑計(jì)算單元支持或要求的安全策略能力����、或者獲取所述路徑計(jì)算單元和路徑計(jì)算客戶端共同支持的安全策略能力�;所述路徑計(jì)算客戶端與路徑計(jì)算單元之間根據(jù)獲取的安全策略能力進(jìn)行連接或通信。本發(fā)明中�����,通過發(fā)送攜帶安全策略能力信息的報(bào)文來進(jìn)行PCC-PCE�、PCC-PCC之間的協(xié)商,大大簡化了PCC-PCE��、PCE-PCE之間安全策略配置�����,簡化了路徑計(jì)算單元PCE部署的復(fù)雜度���。
文檔編號H04L12/56GK101335692SQ20071011267
公開日2008年12月31日 申請日期2007年6月27日 優(yōu)先權(quán)日2007年6月27日
發(fā)明者陳國義 申請人:華為技術(shù)有限公司