一种用于路由器设备的安全互连协议方法和系统技术方案

本发明专利技术提出一种用于路由器设备的安全互连协议方法和系统。所述方法包括：步骤S1、接入认证及设备维护；步骤S2、通道建立及参数协商；步骤S3、周期密钥更新；步骤S4、通道带宽更新；步骤S5、协议终止；步骤S6、维护超时。上述方法能够实现路由器设备自动发现、安全接入认证、数据封装和抗重放、密文传输等功能，有效防止非法设备接入，避免设备受到从接入控制到报文转发多层面的非法攻击，并提供设备身份安全标识等功能，提供路由器之间控制和业务报文的安全交互手段。全交互手段。全交互手段。

【技术实现步骤摘要】
一种用于路由器设备的安全互连协议方法和系统


[0001]本专利技术属于通信协议领域，尤其涉及一种用于路由器设备的安全互连协议方法和系统。

技术介绍

[0002]网络互联发展的首要因素是人们对信息共享和通信的需要。网络互联离不开网间互联设备的发展，尤其路由器起着至关重要的作用。路由协议的发展也促进了网络互联更大规模地发展。但同时实现路由设备间的互连也面临着各种各样的安全问题，在各种应用场景下越来越需要确保连接安全性，路由协议的安全标准也在不断更新和增强。
[0003]传统的网络互连协议无法有效防止非法设备接入,不能提供适用于路由器的安全交互手段,不能够很好地保证设备互连的安全性，安全程度大大降低，容易对使用者造成损失。

技术实现思路

[0004]针对上述技术问题，本专利技术提出了一种用于路由器设备的安全互连协议（DSCP，Device Security Access Protocol）方案。该方案能够实现路由器设备自动发现、安全接入认证、数据封装和抗重放、密文传输等功能，有效防止非法设备接入。具体的，一是在路由器端口开启后即启动密钥协商过程，根据端口安全策略判决是否安全接入，并由认证发起方发起通道建立和参数协商过程；二是业务传输数据使用协商的密钥进行加密，通过密钥的非超时性鉴别确定业务是否传输，有效密钥成为业务传输的必要条件；三是路由器端口配置删除、设备合法性判决失败或维护超时，拆除连接，及时拆除连接，将加密过程和业务传输过程紧密绑定。安全互连协议中加密机制完全参与，整个过程中没有明文传输，避免设备受到从接入控制到报文转发多层面的非法攻击，并提供设备身份安全标识等功能，提供路由器之间控制和业务报文的安全交互手段。
[0005]本专利技术第一方面公开了一种用于路由器设备的安全互连协议方法。，所述方法包括：步骤S1、接入认证及设备维护：应用发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块进行密钥协商完成所述接入认证及设备维护,所述DSCP模块为设备安全访问协议模块；步骤S2、通道建立及参数协商：接入认证完成后，由所述发起方发送携带IP、带宽参数的通道建立请求消息给所述被发起方，完成所述通道建立及参数协商；步骤S3、周期密钥更新：所述发起方的DSCP模块在密钥更新时间到期后，通过所述发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块，进行所述周期密钥更新；步骤S4、通道带宽更新：当通道带宽配置发生变更时，通过所述发起方的DSCP模块和DSCP通道表与所述被发起方的DSCP模块和DSCP通道表进行所述通道带宽更新；
步骤S5、协议终止：通过所述发起方的DSCP模块与被发起方的DSCP模块进行所述协议终止；步骤S6、维护超时：所述发起方的DSCP模块与被发起方的DSCP模块通过对设备维护应答的接收进行计数，判断设备维护状态。
[0006]根据本专利技术第一方面的方法，在所述步骤S1中，所述应用发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块进行密钥协商完成所述接入认证及设备维护的具体方法包括：步骤S1.1、当路由器端口开启后，发起方的DSCP模块向发起方的加密模块发送密钥协商启动消息；步骤S1.2、所述发起方的加密模块封装密钥协商报文并发送给所述被发起方的加密模块；步骤S1.3、所述被发起方的加密模块接收到密钥协商报文后，进行加密模块自身的处理流程，对合法密钥协商报文进行响应；当所述发起方的加密模块收到首包密钥协商报文请求时，发现所述被发起方的加密模块节点号小于本端加密模块节点号时，直接丢弃密钥协商报文，避免两端密钥协商并发冲突；步骤S1.4、当所述发起方的加密模块和所述被发起方的加密模块间完成链路密钥协商后，通知各自的路由器的DSCP模块密钥协商完成；步骤S1.5所述发起方的DSCP模块和被发起方的DSCP模块收到密钥协商完成消息后，根据端口安全策略配置判决是否完成安全接入，若判决失败，则记录安全事件上报，发送带有失败原因的协议终止请求给对端设备，不进行设备维护；若判决通过，开展设备维护流程，由发起方发起通道建立与协商流程。
[0007]根据本专利技术第一方面的方法，在所述步骤S2中，所述接入认证完成后，由所述发起方发送携带IP、带宽参数的通道建立请求消息给所述被发起方，完成所述通道建立及参数协商的具体方法包括：步骤S2.1、所述接入认证完成后，即触发通道建立和参数协商过程，由所述发起方发送携带IP、带宽参数的通道建立请求消息给所述被发起方；步骤S2.2、所述通道建立请求消在经过发送、接收两侧的加密、安全防护处理后，所述被发起方收到通道建立请求消后，提取所述通道建立请求消中的参数信息；步骤S2.3、所述被发起方发送通道建立应答报文给认证发起方，同时配置两端DSCP模块的通道表并通两端的知路由模块各自的DSCP模块的连接状态和参数信息，完成参数协商；步骤S2.4、完成参数协商后，采用步骤S1的协商的密钥对后续传输进行加密。
[0008]根据本专利技术第一方面的方法，在所述步骤S3中，所述发起方的DSCP模块在密钥更新时间到期后，通过所述发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块，进行所述周期密钥更新的具体方法包括：步骤S3.1、所述发起方的DSCP模块在密钥更新时间到期后，主动触发周期密钥更新流程，发送密钥协商启动消息给所述发起方的加密模块触发新一轮的密钥协商；步骤S3.2、所述发起方的加密模块完成密钥协商后，发送密钥协商完成通知给两端设备的DSCP模块；
步骤S3.3、 所述发起方的DSCP模块基于新的密钥更新发起方的DSCP通道表配置，并使用原有密钥发送密钥更新请求消息给所述被发起方的DSCP模块；步骤S3.4、所述被发起方的收到密钥更新请求后，判断通信对端已完成密钥协商，以新的密钥更新被发起方的DSCP通道表，发送密钥更新应答消息，令所述发起方的DSCP模块停止发送密钥更新请求；步骤S3.5、所述发起方的DSCP模块收到密钥更新应答消息后，更新所述发起方的DSCP通道表，停止发送密钥更新请求。
[0009]根据本专利技术第一方面的方法，在所述步骤S4中，所述当通道带宽配置发生变更时，通过所述发起方的DSCP模块和DSCP通道表与所述被发起方的DSCP模块和DSCP通道表进行所述通道带宽更新的具体方法包括：步骤S4.1、当通道带宽配置发生变更时，相应接口上的所述发起方的DSCP模块发送通道带宽更新请求，其中携带新的通道带宽信息；步骤S4.2、所述被发起方的DSCP模块收到通道更新请求后完成通道协商后，更新被发起方的DSCP通道表，发送通道更新应答给发起方的DSCP模块，发送DSCP连接更新信息给路由实体，更新路由实体中链路带宽信息；步骤S4.3、收到通道更新应答的DSCP模块也同样完成步骤S4.1和步骤S4.2操作。
[0010]根据本专利技术第一方面的方法，在所述步骤S5中，所述通过所述发起方的DSCP模块与被发起方的DSCP模块进行所述协议终止的具体方法包括：基于端口配置删除或DSCP设备合法性判决失败，发起方的DSCP模块通过协本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于路由器设备的安全互连协议方法，其特征在于，所述方法包括：步骤S1、接入认证及设备维护：应用发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块进行密钥协商完成所述接入认证及设备维护,所述DSCP模块为设备安全访问协议模块；步骤S2、通道建立及参数协商：接入认证完成后，由所述发起方发送携带IP、带宽参数的通道建立请求消息给所述被发起方，完成所述通道建立及参数协商；步骤S3、周期密钥更新：所述发起方的DSCP模块在密钥更新时间到期后，通过所述发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块，进行所述周期密钥更新；步骤S4、通道带宽更新：当通道带宽配置发生变更时，通过所述发起方的DSCP模块和DSCP通道表与所述被发起方的DSCP模块和DSCP通道表进行所述通道带宽更新；步骤S5、协议终止：通过所述发起方的DSCP模块与被发起方的DSCP模块进行所述协议终止；步骤S6、维护超时：所述发起方的DSCP模块与被发起方的DSCP模块通过对设备维护应答的接收进行计数，判断设备维护状态。2.根据权利要求1所述的一种用于路由器设备的安全互连协议方法，其特征在于，在所述步骤S1中，所述应用发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块进行密钥协商完成所述接入认证及设备维护的具体方法包括：步骤S1.1、当路由器端口开启后，发起方的DSCP模块向发起方的加密模块发送密钥协商启动消息；步骤S1.2、所述发起方的加密模块封装密钥协商报文并发送给所述被发起方的加密模块；步骤S1.3、所述被发起方的加密模块接收到密钥协商报文后，进行加密模块自身的处理流程，对合法密钥协商报文进行响应；当所述发起方的加密模块收到首包密钥协商报文请求时，发现所述被发起方的加密模块节点号小于本端加密模块节点号时，直接丢弃密钥协商报文，避免两端密钥协商并发冲突；步骤S1.4、当所述发起方的加密模块和所述被发起方的加密模块间完成链路密钥协商后，通知各自的路由器的DSCP模块密钥协商完成；步骤S1.5所述发起方的DSCP模块和被发起方的DSCP模块收到密钥协商完成消息后，根据端口安全策略配置判决是否完成安全接入，若判决失败，则记录安全事件上报，发送带有失败原因的协议终止请求给对端设备，不进行设备维护；若判决通过，开展设备维护流程，由发起方发起通道建立与协商流程。3.根据权利要求2所述的一种用于路由器设备的安全互连协议方法，其特征在于，在所述步骤S2中，所述接入认证完成后，由所述发起方发送携带IP、带宽参数的通道建立请求消息给所述被发起方，完成所述通道建立及参数协商的具体方法包括：步骤S2.1、所述接入认证完成后，即触发通道建立和参数协商过程，由所述发起方发送携带IP、带宽参数的通道建立请求消息给所述被发起方；步骤S2.2、所述通道建立请求消在经过发送、接收两侧的加密、安全防护处理后，所述被发起方收到通道建立请求消后，提取所述通道建立请求消中的参数信息；步骤S2.3、所述被发起方发送通道建立应答报文给认证发起方，同时配置两端DSCP模
块的通道表并通两端的知路由模块各自的DSCP模块的连接状态和参数信息，完成参数协商；步骤S2.4、完成参数协商后，采用步骤S1的协商的密钥对后续传输进行加密。4.根据权利要求1所述的一种用于路由器设备的安全互连协议方法，其特征在于，在所述步骤S3中，所述发起方的DSCP模块在密钥更新时间到期后，通过所述发起方的DSCP模块和加密模块与被发起方的DSCP模块和加密模块，进行所述周期密钥更新的具体方法包括：步骤S3.1、所述发起方的DSCP模块在密钥更新时间到期后，主动触发周期密钥更新流程，发送密钥协商启动消息给所述发起方的加密模块触发新一轮的密钥协商；步骤S3.2、所述发起方的加密模块完成密钥协商后，发送密钥协商完成通知给两端设备的DSCP模块；步骤S3.3、 所述发起方的DSCP模块基于新的密钥更新发起方的DSCP通道表配置，并使用原有密钥发送密钥更新请求消息给所述被发起方的DSCP模块；步骤S3....

【专利技术属性】
技术研发人员：杨林，马琳茹，王雯，苏文蕾，
申请(专利权)人：军事科学院系统工程研究院网络信息研究所，
类型：发明
国别省市：