協商pcc和pce之間安全能力的方法及其網絡系統的製作方法

2023-09-24 04:57:05 4

專利名稱：協商pcc和pce之間安全能力的方法及其網絡系統的製作方法
技術領域：
本發明涉及通信系統，特別涉及在通信系統的流量工程(TE: Traffic Engineering)路徑計算中，協商路徑計算客戶端(PCC: Path Computation Client)與路徑計算單元(PCE: Path Computation Element)之間安全能力 的方法及其網絡系統。
背景技術：
對於在網絡的物理拓撲結構上映射通信流量的過程，以及為這些通信流 量的資源定位就叫做流量工程(TE: Traffic Engineering)。目前，路徑計算單元(PCE: Path Computation Element)是一種用於流 量工程TE路徑計算的新模型。相對於由各路由器來完成流量工程TE路徑計 算的傳統方式，基於路徑計算單元PCE的流量工程TE路徑計算模型將路徑計 算功能分離出來，交由路徑計算單元PCE來完成。所有需要建立流量工程標 籤交換路徑(TE-LSP: Traffic Engineering Label Switched Path)的節點 作為路徑計算客戶端(PCC: Path Computation Client)向路徑計算單元PCE 請求路徑的計算，路徑計算單元PCE根據路徑計算的要求完成路徑計算後， 將相應的結果返回給路徑計算客戶端PCC節點，路徑計算客戶端PCC節點根 據計算結果建立相應的流量工程標籤交換路徑TE-LSP。路徑計算客戶端PCC和路徑計算單元PCE是典型的客戶/伺服器(C/S: Client/Server)模型，在路徑計算客戶端PCC向路徑計算單元PCE發送路徑 計算請求之前，路徑計算客戶端PCC需要知道路徑計算單元PCE的所在。路徑計算單元自動發現(PCED: Path Computation Element Discovery) 是PCE工作組提出用來完成路徑計算單元PCE自動發現的標準協議，PCED通過對最短路徑算法路由協議(0SPF: Open Short Path First)或基於鏈路狀 態的路由協議(ISIS: Intermediate System to Intermediate System)進 行擴展，由OSPF或者ISIS將路徑計算單元PCE的相關信息在一個路由域內 進行泛洪，相當於在這個路由域內進行廣播，該路由域可以是一個路由區域， 或者是一個自治系統。通過上述方法路由域內的所有路徑計算客戶端PCC就 能獲得相關路徑計算單元PCE信息，其中，這些信息包括路徑計算單元PCE 的位置信息、PCE的計算能力、PCE支持的功能、PCE的計算範圍、是否支持 負載分擔、是否處在擁塞狀態等信息。一個路徑計算客戶端PCC可能會收到多個客戶計算單元PCE的信息，路 徑計算客戶端PCC根據收到的路徑計算單元PCE信息，從這些路徑計算單元 PCE中選擇一個合適的路徑計算單元PCE作為其路徑計算的默認PCE。當路徑 計算客戶端PCC在需要計算流量工程TE路徑時，將相關的路徑計算請求發送 給該默認PCE，由其完成流量工程TE路徑計算。路徑計算單元PCE完成路徑 計算然後，將相關的路徑計算結果返回給路徑計算客戶端PCC，路徑計算客戶 端PCC根據路徑計算結果建立相應的流量工程TE路徑。路徑計算客戶端PCC和路徑計算單元PCE之間的通信通過路徑計算單元 通信坊、議(PCEP: Path Computation Element Communication Protocol)來 完成，PCEP是用於PCC-PCE、 PCE-PCE間通信的協議，PCEP採用傳輸控制協 議(TCP: Transmission Control Protocol)作為傳輸協議。PCEP承載了 PCC 和PCE之間各種交互報文，這些報文包括能力協商的報文、PCC向PCE發送 的各種路徑計算請求報文、PCE向PCC發送的相關路徑計算結果以及PCC和 PCE之間傳遞的各種報錯報文等。路徑計算客戶端PCC在向路徑計算單元PCE發送路徑計算請求之前，需 要在PCC和PCE之間建立PCEP連接。這種連接的建立過程為首先建立PCC 和PCE之間的TCP連接，然後進行相關的能力協商；能力協商通過之後，PCC 和PCE之間就建立好了 PCEP連接。其中，路徑計算客戶端PCC和路徑計算單元PCE之間的能力協商包括PCEP協議版本號、PCC和PCE之間連接的保活時間、最大保活時間等內容。如圖1所示，為多個路徑計算單元PCE協作完成流量工程TE路徑計算的 示意圖。如圖1所示，頭節點(HeadEnd) 101作為路徑計算客戶端PCC向其 默認的路徑計算單元PCE 102發送計算請求；默認的路徑計算單元PCE 102 根據路徑計算請求進行路徑計算，並將算路結果返回頭節點101。如果默認 PCE 102不能單獨完成路徑的計算，那麼路徑計算單元PCE 102就會向其它的 PCE，如PCE 103發送路徑計算請求，請求協助路徑的計算，此時，相對於 PCE103，PCE 102就成為路徑計算客戶端PCC。如上所述，路徑計算單元PCE的信息通過OSPF或者ISIS在一個路由域 內泛洪，因此，這個路由域的所有節點都有可能獲得這些PCE信息；同時這 些信息還可能通過某種機制擴散到其它路由域。這樣，會有很多的節點，包 括授信和非授信節點獲知路徑計算單元PCE的信息，並且通過PCEP協議就可 以訪問路徑計算單元PCE。這樣會產生如下一些問題1. 非授信節點非法截取PCE和PCE之間傳遞的計算請求、響應報文；2. 非授信節點假冒PCC或者PCE;3. 非授信節點對PCC或者PCE進行Dos (Deny of Service)攻擊，其中， Dos攻擊是指一種通過拒絕服務來實施的攻擊，例如，若一用戶向sina發送 大量無用的數據包，其他要訪問sina的用戶的請求和該用戶發送的數據包相 比機會可以忽略，這樣其它用戶的請求就會被淹沒在該用戶的攻擊報文中， 這是一種典型的Dos攻擊。上述非授信節點是指沒有得到授權不能信任的節點；授信節點為被授權 可以信任的節點。因此，需要一種安全機制來保證PCC和PCE之間的通信安全，PCEP協議 中提到了可以釆用TCP消息摘要加密算法版本5 (TCP MD5: TCP Message Digest5)籤名、IPSec (網際網路安全協議)加密等多種方法來保證PCC和PCE之間通信的安全、防止路徑計算單元PCE和路徑計算客戶端PCC假冒，也能 在一定程度上減輕Dos攻擊。同時還會提出其它的安全機制來對PCC-PCE通 信進行保護，例如路徑計算單元PCE對路徑計算客戶端PCC進行接入認證。因此，對於路徑計算客戶端PCC和路徑計算單元PCE之間採用何種安全 機制、是否需要安全機制，需要在PCC-PCE之間進行協商，以便確定PCC和 PCE之間通信的安全機制。但在實現本發明過程中，發明人發現目前在PCEP 或者PCED中還沒有一種機制來協商各種安全能力。另外，針對路徑計算客戶端PCC和路徑計算單元PCE之間是否採用安全 機制、是否採用TCP MD5籤名機制、是否對PCC-PCE之間的報文進行IPSec 加密等安全機制，目前只能採取靜態配置的方法。靜態配置就是等路徑計算 客戶端PCC發現並選定一個或多個路徑計算單元PCE作為其路徑計算伺服器 之後，需要逐一靜態的配置PCC和PCE之間的安全機制。在實現本發明過程中，發明人發現釆用靜態配置路徑計算客戶端PCC和 路徑計算單元PCE之間的安全機制的缺點在於配置繁瑣、複雜。發明內容本發明實施例的目的在於提供一種協商PCC和PCE之間安全能力的方法 及其網絡系統。通過本發明實施例，發送攜帶安全策略能力信息的報文來進 行PCC-PCE、 PCC-PCC之間的協商，大大簡化了 PCC-PCE、 PCE-PCE之間安全 策略配置，簡化了路徑計算單元PCE部署的複雜度。本發明實施例提供一種協商PCC和PCE之間安全能力的方法，該方法包 括步驟路徑計算單元發送攜帶安全策略能力信息的報文至路徑計算客戶端; 所述路徑計算客戶端接收所述報文後，獲取所述路徑計算單元支持或要求的 安全策略能力、或者獲取所述路徑計算單元和路徑計算客戶端共同支持的安 全策略能力；所述路徑計算客戶端與路徑計算單元之間根據獲取的安全策略 能力進行連接或通信。本發明實施例還提供一種協商PCC和PCE之間安全能力的網絡系統，該 系統包括至少一個路徑計算單元和路徑計算客戶端；其中，所述路徑計算單元，用於發送攜帶安全策略能力信息的報文至路徑計算 客戶端；所述路徑計算客戶端接收所述報文後，獲取所述路徑計算單元支持或要 求的安全策略能力、或者獲取所述路徑計算單元和路徑計算客戶端共同支持 的安全策略能力，使得所述路徑計算客戶端與路徑計算單元之間根據獲取的 所述安全策略能力進行連接或通信。通過本發明實施例，發送攜帶安全策略能力信息的報文來進行PCC-PCE、 PCC-PCC之間的協商，大大簡化了 PCC-PCE、 PCE-PCE之間安全策略配置，簡 化了路徑計算單元PCE部署的複雜度。


此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部 分，並不構成對本發明的限定。在附圖中圖1為多個PCE協作完成TE路徑計算的示意圖；圖2為本發明實施例協商安全能力的系統結構示意圖；圖3為本發明實施例一的通過PCED協商安全能力的方法流程圖；圖4為本發明實施例二的通過PCEP協商安全能力的方法流程圖。
具體實施方式
為使本發明實施例的目的、技術方案和優點更加清楚明白，下面結合實 施例和附圖，對本發明實施例做進一步詳細說明。在此，本發明的示意性實 施例及其說明用於解釋本發明，但並不作為對本發明的限定。本發明實施例提供一種協商PCC和PCE之間安全能力的方法及其網絡系 統。以下參照附圖對本發明實施例進行詳細說明。本發明實施例提供一種協商PCC和PCE之間安全能力的方法。該方法包括路徑計算單元發送攜帶安全策略能力信息的報文至路徑計算客戶端；所 述路徑計算客戶端接收所述報文後，獲取所述路徑計算單元支持或要求的安 全策略能力、或者所述路徑計算單元和路徑計算客戶端共同支持的安全策略 能力；所述路徑計算客戶端與路徑計算單元之間根據獲取的安全策略能力進 行連接或通信。由上述實施例可知，通過發送攜帶安全策略能力信息的報文來進行 PCC-PCE、 PCOPCC之間的協商，大大簡化了 PCC-PCE、 PCE-PCE之間安全策略 配置，簡化了路徑計算單元PCE部署的複雜度。本實施例中，PCED攜帶的安全策略能力信息包括是否啟用安全機制、 是否採用TCP MD5籤名選項、是否採用IPSec對路徑計算客戶端PCC和路徑 計算單元PCE之間的報文進行加密、是否需要在路徑計算客戶端PCC和路徑 計算單元PCE之間進行認證的信息中的一種或幾種。PCEP攜帶的安全策略能力信息包括是否採用IPSec對路徑計算客戶端 PCC和路徑計算單元PCE之間的報文進行加密、和/或是否需要在路徑計算客 戶端PCC和路徑計算單元PCE之間進行認證的信息。本發明實施例中的路徑計算客戶端PCC為廣義的路徑計算客戶端PCC，在 某些情況下，路徑計算單元PCE也可以為路徑計算客戶端PCC。例如，當要計 算一條跨域的路徑時，可能需要多個路徑計算單元PCE參與路徑計算， 一個 路徑計算單元PCE負責計算一段路徑；但是路徑計算客戶端PCC，作為路徑計 算的發起者，有可能只向第一個PCE發送路徑計算請求，如果第一個PCE不 能獨自完成整個路徑的計算，該PCE就會請求其它PCE協助路徑計算，這時， 第一個PCE就相當於一個PCC向其他的PCE發送路徑計算請求，以便完成路 徑計算。在上述情況下，協商PCC和PCE之間的安全能力為協商PCE和PCE 之間的安全能力。本發明實施例中，通過對PCED和PCEP協議進行擴展，即在PCED或PCEP的相關報文中攜帶上述安全策略能力信息，實現PCC與PCE之間通信安全策 略的動態協商。以下分別以PCED和PCEP攜帶安全策略能力信息為例，對本發明實施例 的方法進行詳細說明。 實施例一下面以PCED攜帶安全策略能力信息和PCEP攜帶安全策略能力信息為例，對本發明實施例的協商安全能力的方法進行詳細說明。如圖3所示，當通過PCED攜帶安全策略能力信息時，在PCE的自動發現 階段通過PCED攜帶的安全策略能力信息來協商PCC和PCE之間安全能力的方 法包括步驟步驟301,路徑計算單元PCE在泛洪安全策略能力信息。本實施例中，路徑計算單元PCE在洪泛自己相關信息時，根據自身的相 關配置、策略，決定是否將安全策略能力信息通過PCED協議泛洪出去。例如，若路徑計算單元PCE希望路徑計算客戶端PCC與其建立PCEP連接 時採用TCP MD5籤名選項，即安全策略能力採用TCP MD5，則路徑計算單元PCE 在安全策略通告中加上這一要求；其它情況類似，此處不再贅述。此外，對某些不需要安全策略的路徑計算客戶端PCC，如授信的路徑計算 客戶端PCC，路徑計算單元PCE可以根據實際情況不洪泛安全策略能力信息。另外，路徑計算單元PCE洪泛的相關信息是指通常情況下，路徑計算 單元PCE通過PCED協議(OSPF或者ISIS擴展)將自己的位置信息、計算能 力、計算範圍等信息泛洪到一個路由域中，該路由域可能是一個路由區域 (area/level)或者是整個路由自治系統(AS: Autonomous System)。若路徑計算單元決定不洪泛安全策略能力信息，則後續路徑計算客戶端 PCC和路徑計算單元PCE建立PCEP連接或進行通信時不採用安全策略。步驟 302，路徑計算客戶端PCC接收攜帶有安全策略能力信息的PCED報文；步驟303，獲取路徑計算單元PCE支持或要求的安全策略能力；具體為，路徑計算客戶端PCC對PCED報文進行解析，以解析出路徑計算 單元PCE支持或要求的安全策略能力；可選地，還可以將解析出的安全策略能力進行保存。上述實施例中，解析的目的是從PCED報文中取出安全策略能力；本實施 例中，通過分析PCED報文中相關欄位、標誌位解析出路徑計算單元PDE支持 或要求的安全策略能力，其中，不同的欄位、不同標誌代表不同的安全策略 能力。步驟304，當路徑計算客戶端PCC要與路徑計算單元PCE建立PCEP連接 或進行通信時，路徑計算客戶端PCC根據所獲得的安全策略能力選擇一種或 多種安全策略和PCE建立PCEP連接或進行通信，即所述路徑計算客戶端PCC 根據路徑計算單元PCE的安全策略支持情況或者要求來選擇相應的安全策略 與路徑計算單元PCE建立PCEP連接或進行通信。例如如果安全策略能力信息中指定採用TCP MD5籤名選項，則路徑計 算客戶端PCC向路徑計算單元PCE建立連接時，就需要通過TCP MD5籤名選 項進行加密。如果安全策略能力信息中指定採用IPSec對PCC-PCE之間的報文進行加 密，則PCC和PCE在進行通信時就需要通過IPSec來進行報文加密。如果安全策略能力信息中指定需要在PCC和PCE之間進行安全認證，則 PCC在向PCE發送路徑計算請求之前需要首先進行安全認證。在上述實施例中，安全策略能力信息由PCED報文中的PCE能力標誌子-類型/長度/值三元組(Sub-TLV)攜帶或者由設置的PCE安全策略子-類型/長 度/值三元組(Sub-TLV)攜帶，但不限於上述情況，還可採用其它方式。由上述實施例可知，通過在PCED報文中攜帶安全策略能力信息，簡化了 PCC-PCE、 PCE-PCE之間安全策略配置，使得配置靈活、並且修改容易。實施例二下面以PCEP攜帶安全策略能力信息為例，對本發明實施例的協商安全能力的方法進行詳細說明。當PCEP攜帶安全策略能力信息時，本實施例中在PCC和PCE建立PCEP 連接時，通過PCEP的打開報文(Open)攜帶安全策略能力信息來協商PCC和 PCE之間的安全能力。
其中，Open報文是PCC和PCE在建立PCEP連接時相互發送的第一個報文， 該Open報文用於PCC和PCE之間交換各種能力參數，然後各自根據自己能力參數以及從對方接收到的能力參數進行協商，以確定雙方都支持的能力。當採用Open報文攜帶安全策略能力信息時，安全策略能力可以通過Open 報文中Open Object (對象)相關標誌位來攜帶，也可以通過向Open Object 中引入新的TLV:安全策略能力TLV來攜帶，但不限於上述兩種情況。
本實施例中，以路徑計算客戶端PCC和路徑計算單元PCE的Open報文均 攜帶安全策略能力信息、且採用安全策略能力TLV來攜帶該安全策略能力信 息為例進行
詳細說明。如圖4所示，當通過PCEP的打開(Open)報文來攜帶安全策略能力信息 時，協商PCC和PCE之間安全能力的方法包括步驟步驟401，路徑計算客戶端PCC和路徑計算單元PCE根據自身的配置、策 略，決定是否在Open報文中攜帶安全策略能力；例如，路徑計算單元PCE配置要求所有路徑計算客戶端PCC和其同時需 要進行IPsec加密，則路徑計算單元PCE就決定將需要支持IPsec加密要求 放在安全策略能力TLV中，通過Open報文發送給路徑計算客戶端PCC;
對於路徑計算客戶端PCC，其決定的方式與路徑計算單元PCE—致，此處 不再贅述。
步驟402，若在步驟401中決定的結果為均攜帶安全策略能力信息，則 PCC和PCE相互發送攜帶安全策略能力信息的Open報文。步驟403， PCC和PCE在接收到對方，即PCE和PCC發送的Open報文後， 對所接收的Open報文進行處理，以獲得對方所支持的或要求的安全策略能力;其中，可採用如下步驟路徑計算客戶端PCC和路徑計算單元PCE對Open報文進行解析，以解析 出對方所支持或要求的安全策略能力；然後保存解析出的所述安全策略能力。 步驟404，路徑計算客戶端PCC和路徑計算單元PCE將所獲得的安全策略能力與自身支持的相關安全策略能力進行對比；步驟405、 406，判斷是否存在共同支持的安全策略能力；若判斷結果為 存在共同支持的安全策略能力，則協商成功，路徑計算客戶端PCC和路徑計 算單元PCE之間的通信根據共同支持的安全策略能力進行。例如，如果安全策略能力中指定採用IPSec對PCC-PCE之間的報文進行 加密，則PCC和PCE在進行通信時就需要通過IPSec來進行報文加密；如果 安全策略能力中指定需要在PCC和PCE之間進行安全認證，則PCC在向PCE 發送路徑計算請求之前需要首先進行安全認證。上述實施例中，在步驟405中，判斷是否有共同支持的安全策略能力時 的判斷結果為沒有共同支持的安全策略能力，則執行步驟407，即PCC和PCE 之間通信時，可以不採用任何安全機制；或者斷開路徑計算客戶端PCC和路 徑計算單元PCE之間的連接，路徑計算客戶端PCC和路徑計算單元PCE不能 繼續進行通信。在步驟401中，若路徑計算客戶端PCC和路徑計算單元PCE決定不在Open報文中攜帶安全策略能力信息，則執行步驟407。下面以安全策略能力中指定採用IPSec為例對上述方法進行說明 首先，如果路徑計算客戶端PCC和路徑計算單元PCE上配置了要求PCC與PCE之間的通信採用IPSec加密，則PCC和PCE將IPSec能力放入安全策略能力TLV中;然後，將安全策略能力TLV編碼在Open報文中，發送給對方； 當收到攜帶安全策略能力信息的Open報文時，對該安全策略能力信息進 行解析，解析出對方所支持或要求的安全策略能力，並進行保存；最後，與其自身支持的安全策略能力進行對比，判斷是否有共同支持的安全策略能力，即判斷是否支持工PSec加密，如果支持，則協商成功，後續 PCC和PCE之間的通信可按照IPsec進行加密。如果安全策略能力中指定需要在PCC和PCE之間進行安全認證，則PCC 在向PCE發送路徑計算請求之前需要首先進行安全認證。具體的步驟流程與 上述類似，此處不再贅述。上述實施例中，PCC和PCE均攜帶相同的IPSec能力，並且PCC和PCE均 配置了要求PCC和PCE之間的通信釆用IPSec加密，因此，判斷結果為具有共同支持的安全策略能力，因此，協商成功。若PCC和PCE攜帶了不同的安全策略能力，如PCC配置要求PCC和PCE 之間的通信採用IPSec加密，則該PCC攜帶IPSec能力；PCE配置要求PCC和 PCE之間的通信需要進行安全認證，則PCE攜帶進行安全認證的能力；當PCC 和PCE互相發送Open報文後，當對該報文進行處理後，判斷結果為沒有共同 支持的安全策略能力，則協商不成功，路徑計算客戶端PCC和路徑計算單元 PCE之間不能進行通信；或者所述路徑計算客戶端PCC和路徑計算單元PCE之 間通信時不釆用任何安全機制。上述實施例中，是以PCC和PCE的Open報文中均攜帶安全策略能力信息 為例進行說明。本發明實施例中，安全策略能力信息還可以是PCE或PCC的 Open報文單獨攜帶。例如，只有路徑計算單元PCE上配置了要求PCC與PCE之間的通信釆用 IPSec加密，則路徑計算單元PCE將IPSec能力放入安全策略能力TLV中；然 後，將安全策略能力TLV編碼在Open報文中，發送給路徑計算客戶端PCC;而路徑計算客戶端PCC發送給路徑計算單元PCE的Open報文中沒有攜帶 安全策略能力；當路徑計算客戶端PCC收到攜帶安全策略能力信息的Open報文時，對該 安全策略能力信息進行解析，解析出對方所支持或要求的安全策略能力，並進行保存；最後，與該路徑計算客戶端PCC自身支持的安全策略能力進行對比，由 於路徑計算客戶端PCC的配置不支持IPSec，則判斷結果是沒有共同支持的安 全策略能力，則協商不成功，此時斷開PCC和PCE之間的連接、或者PCC和 PCE之間不釆用任何安全機制。由上述可知，通過採用PCEP報文攜帶安全策略能力信息，大大簡化了 PCC-PCE，以及PCE-PCE之間安全策略配置，使得配置靈活、並且修改容易。實施例三本發明實施例還提供一種協商PCC和PCE之間安全能力的網絡系統，如 圖2所示，該系統包括至少一個路徑計算單元和路徑計算客戶端；其中，路徑計算單元，用於發送攜帶安全策略能力信息的報文至路徑計算客戶端；路徑計算客戶端接收該報文後，獲取所述路徑計算單元支持或要求的安 全策略能力、或者獲取所述路徑計算單元和路徑計算客戶端共同支持的安全 策略能力，使得所述路徑計算客戶端與路徑計算單元之間根據獲取的所述安 全策略能力進行連接或通信。本實施例中，攜帶安全策略能力信息的報文是路徑計算單元自動發現報 文或路徑計算單元通信協議報文。當所述報文是路徑計算單元自動發現報文時，所述獲取路徑計算單元支 持或要求的安全策略能力是指對路徑計算單元自動發現報文進行解析，解 析出所述路徑計算單元支持或要求的安全策略能力，從而獲取所述安全策略 能力。當所述報文為路徑計算單元通信協議報文時，所述路徑計算客戶端還用 於發送所述報文至所述路徑計算單元；所述路徑計算單元接收所述報文後， 獲取所述路徑計算單元和路徑計算客戶端共同支持的安全策略能力，使得所 述路徑計算客戶端與路徑計算單元之間根據獲取的安全策略能力進行通信。由上述實施例可知，通過在PCED報文中攜帶安全策略能力信息，簡化了PCC-PCE、 PCE-PCE之間安全策略配置，使得配置靈活、並且修改容易。以下分別以PCED和PCEP攜帶安全策略能力信息為例，對本發明實施例的方法進行詳細說明。 實施例四以下報文為PCED報文的情況。本發明實施例還提供一種協商PCC和PCE之間安全能力的網絡系統，包 括至少一個路徑計算單元PCE和路徑計算客戶端PCC;其中，路徑計算單元PCE，用於發送攜帶安全策略能力信息的報文至路徑計算客 戶端PCC;路徑計算客戶端PCC接收該報文後，獲取路徑計算單元PCE支持或 要求的安全策略能力，使得路徑計算客戶端PCC與路徑計算單元PCE之間根據 獲取的安全策略能力進行連接或通信。本實施例中，安全策略能力信息包括是否啟用安全機制、是否採用TCP MD5 籤名選項、是否採用IPSec對路徑計算客戶端和路徑計算單元之間的報文進 行加密、是否需要在路徑計算客戶端和路徑計算單元之間進行認證的信息中 的一種或幾種。上述安全策略能力信息由PCED報文中的PCE能力標誌子-類型/長度/值 三元組(Sub-TLV)攜帶或者由設置的PCE安全策略子-類型/長度/值三元組 (Sub-TLV)攜帶，但不限於上述情況，還可採用其它方式。本實施例的協商安全能力的網絡系統的協商方法與實施例一中的PCED報 文攜帶安全策略能力的方法一致，此處不再贅述。實施例五以下是PCEP報文的情況。本發明實施例還提供一種協商PCC和PCE之間安全能力的網絡系統，包 括至少一個路徑計算單元PCE和路徑計算客戶端PCC;其中，路徑計算單元PCE，用於發送攜帶安全策略能力信息的報文至路徑計算客 戶端PCC;路徑計算客戶端PCC接收該報文後，獲取該路徑計算單元PCE和路徑計算客戶端PCC共同支持的安全策略能力，使得路徑計算客戶端PCC與路 徑計算單元PCE之間根據獲取的安全策略能力進行通信。本實施例中，路徑計算客戶端PCC還用於發送該報文至所述路徑計算單 元PCE;路徑計算單元PCE接收所述報文後，獲取路徑計算單元PCE和路徑計 算客戶端PCC共同支持的安全策略能力，使得路徑計算客戶端PCC與路徑計 算單元PCE之間根據獲取的安全策略能力進行通信。本實施例中，PCEP報文可為打開(Open)報文。路徑計算客戶端PCC和路徑計算單元PCE決定是否在Open報文中攜帶安 全策略能力信息，決定結果為路徑計算客戶端PCC和/或路徑計算單元PCE的 Open報文中攜帶安全策略能力信息；路徑計算客戶端PCC和路徑計算單元PCE互相發送Open報文；當路徑計算客戶端PCC和路徑計算單元PCE收到Open報文時，對Open 報文進行處理，以獲得對方所支持或要求的安全策略能力；將所獲得的安全 策略能力與自身支持的安全策略能力進行對比，判斷是否存在共同支持的安 全策略能力；若判斷結果為存在，則協商成功，路徑計算單元PCE和路徑計 算客戶端PCC之間的通信按照該共同支持的安全策略能力來進行。上述安全策略能力信息包括是否採用IPSec對路徑計算客戶端和路徑計 算單元之間的報文進行加密、和/或是否需要在路徑計算客戶端和路徑計算單 元之間進行認證的信息中。本實施例中，上述安全策略能力信息由PCED報文中的PCE能力標誌子-類型/長度/值三元組(Sub-TLV)攜帶或者由設置的PCE安全策略子-類型/長 度/值三元組(Sub-TLV)攜帶，但不限於上述情況，還可採用其它方式。由上述可知，路徑計算客戶端PCC和路徑計算單元PCE可根據自身的配 置、策略，決定是否在Open報文中攜帶安全策略能力；決定的結果可以是在 PCC和PCE中均攜帶，或者只在PCC或PCE中攜帶。若PCC和PCE均不攜帶安全策略能力時，則PCC和PCE之間的通信不釆用任何機制、或者斷開PCC和PCE之間的通信。當PCC和PCE均攜帶安全策略能力信息、或者只有PCE或PCC攜帶安全 策略能力時，其工作流程如實施例二所述，此處不再贅述。通過上述實施例，通過在PCED報文和PCEP報文中攜帶安全策略能力信 息，大大簡化了 PCC-PCE、 PCE-PCE之間安全策略配置，使得配置靈活、並且 修改容易，簡化了路徑計算單元PCE部署的複雜度。以上所述的具體實施例，對本發明的目的、技術方案和有益效果進行了 進一步詳細說明，所應理解的是，以上所述僅為本發明的具體實施例而已， 並不用於限定本發明的保護範圍，凡在本發明的精神和原則之內，所做的任 何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
1.一種協商PCC和PCE之間安全能力的方法，其特徵在於，該方法包括步驟路徑計算單元發送攜帶安全策略能力信息的報文至路徑計算客戶端；所述路徑計算客戶端接收所述報文後，獲取所述路徑計算單元支持或要求的安全策略能力、或者獲取所述路徑計算單元和路徑計算客戶端共同支持的安全策略能力；所述路徑計算客戶端與路徑計算單元之間根據獲取的安全策略能力進行連接或通信。
2. 根據權利要求1所述的方法，其特徵在於，所述攜帶安全策略能力信息的報文是路徑計算單元自動發現報文或路徑計算單元通信協議報文。
3. 根據權利要求2所述的方法，其特徵在於當所述報文為路徑計算單 元通信協議報文時，該方法還包括所述路徑計算客戶端向所述路徑計算單元發送所述報文； 所述路徑計算單元接收所述報文後，獲取所述路徑計算單元和路徑計算客戶端共同支持的安全策略能力；所述路徑計算客戶端與路徑計算單元之間根據獲取的安全策略能力進行通信。
4. 根據權利要求2或3所述的方法，其特徵在於當所述報文為路徑計算單元通信協議報文時，所述獲取路徑計算單元和路徑計算客戶端共同支持的安全策略能力，包括步驟所述路徑計算客戶端或路徑計算單元獲取對方所支持或要求的安全策略 能力；將所獲取的安全策略能力與自身支持的安全策略能力進行對比，找到共 同支持的安全策略能力。
5. 根據權利要求2所述的方法，其特徵在於，當所述報文為路徑計算單 元自動發現報文時，所述安全策略能力信息包括是否啟用安全機制，和/或是 否採用TCP MD5籤名選項，和/或是否釆用IPSec對路徑計算客戶端和路徑計 算單元之間的報文進行加密，和/或是否需要在路徑計算客戶端和路徑計算單 元之間進行認證的信息；當所述報文為所述路徑計算單元通信協議報文時，所述安全策略能力信 息包括是否採用IPSec對路徑計算客戶端和路徑計算單元之間的報文進行加 密、和/或是否需要在路徑計算客戶端和路徑計算單元之間進行認證的信息。
6. 根據權利要求2所述的方法，其特徵在於當所述報文為路徑計算單 元自動發現報文時，所述安全策略能力信息由所述路徑計算單元自動發現報 文中的路徑計算單元能力標誌子-類型/長度/值三元組攜帶或者由所述路徑 計算單元安全策略子-類型/長度/值三元組攜帶；當所述報文為所述路徑計算單元通信協議報文時，所述安全策略能力信 息由所述打開報文中的打開對象相關標誌位攜帶或者安全策略能力類型/長 度/值三元組來攜帶。
7. —種協商PCC和PCE之間安全能力的網絡系統，其特徵在於包括至 少一個路徑計算單元和路徑計算客戶端；其中，所述路徑計算單元，用於發送攜帶安全策略能力信息的報文至路徑計算 客戶端；所述路徑計算客戶端接收所述報文後，獲取所述路徑計算單元支持或要 求的安全策略能力、或者獲取所述路徑計算單元和路徑計算客戶端共同支持 的安全策略能力，使得所述路徑計算客戶端與路徑計算單元之間根據獲取的 所述安全策略能力進行連接或通信。
8. 根據權利要求7所述的網絡系統，其特徵在於，所述攜帶安全策略能 力信息的報文是路徑計算單元自動發現報文或路徑計算單元通信協議報文。
9. 根據權利要求8所述的網絡系統，其特徵在於當所述報文為路徑計算單元通信協議報文時，所述路徑計算客戶端還用於發送所述報文至所述路徑計算單元；所述路徑計算單元接收所述報文後，獲取所述路徑計算單元和路徑計算 客戶端共同支持的安全策略能力，使得所述路徑計算客戶端與路徑計算單元 之間根據獲取的安全策略能力進行通信。
10.根據權利要求或8或9所述的網絡系統，其特徵在於當所述報文為路徑計算單元通信協議報文時，所述獲取路徑計算單元和路徑計算客戶端共同支持的安全策略能力是指所述路徑計算客戶端或路徑計算單元獲取對方所支持或要求的安全策略 能力；將所獲取的安全策略能力與自身支持的安全策略能力進行對比，找到共同支持的安全策略能力。
全文摘要
本發明提供一種協商PCC和PCE之間安全能力的方法及其網絡系統。該方法包括步驟路徑計算單元發送攜帶安全策略能力信息的報文至路徑計算客戶端；所述路徑計算客戶端接收所述報文後，獲取所述路徑計算單元支持或要求的安全策略能力、或者獲取所述路徑計算單元和路徑計算客戶端共同支持的安全策略能力；所述路徑計算客戶端與路徑計算單元之間根據獲取的安全策略能力進行連接或通信。本發明中，通過發送攜帶安全策略能力信息的報文來進行PCC-PCE、PCC-PCC之間的協商，大大簡化了PCC-PCE、PCE-PCE之間安全策略配置，簡化了路徑計算單元PCE部署的複雜度。
文檔編號H04L12/56GK101335692SQ20071011267
公開日2008年12月31日 申請日期2007年6月27日 優先權日2007年6月27日
發明者陳國義 申請人:華為技術有限公司