一种用于网管和路由器间的安全互连协议方法和系统转让专利
申请号 : CN202111428148.1
文献号 : CN113839776B
文献日 : 2022-02-15
发明人 : 杨林 , 马琳茹 , 王雯 , 苏文蕾
申请人 : 军事科学院系统工程研究院网络信息研究所
摘要 :
权利要求 :
1.一种用于网管和路由器间的安全互连协议方法,其特征在于,所述方法包括:步骤S1、接入认证,具体包括:
由网管的DSCP(设备安全访问协议,Device Security Access Protocol)模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
步骤S2、通道建立及参数协商,具体包括:由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
步骤S3、周期密钥更新,具体包括:步骤S3.1、所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
步骤S3.2、所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
步骤S3.3、所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
步骤S3.4、所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
步骤S4、协议终止,具体包括:
所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
步骤S5、维护超时,具体包括:
所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
2.根据权利要求1所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S1具体包括:
步骤S1.1、所述网管的DSCP模块启动密钥协商过程,所述网管的加密模块封装发送密钥协商报文给对端的路由器的加密模块,所述路由器的加密模块接收到密钥协商报文后,与所述网管的加密模块开展密钥协商;
步骤S1.2、当所述网管与所述路由器完成链路密钥协商后,将密钥协商完成消息通知所述网管的DSCP模块密钥;
步骤S1.3、所述网管的DSCP模块收到所述密钥协商完成消息后,根据所述端口安全策略配置判决是否完成安全接入,若判决通过,进入所述设备维护阶段,若判决失败,则记录安全事件。
3.根据权利要求2所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S1还包括:
步骤S1.4、接入认证完成后,所述网管的DSCP模块在协议通道中发送设备维护请求消息,经过加密后发送到所述路由器;
步骤S1.5、当接收到所述设备维护请求消息时,所述路由器的加密模块先进行解密、完整性校验,再完成抗重放处理,将合法的设备维护报文发送给所述路由器的DSCP模块。
4.根据权利要求3所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S2具体包括:
步骤S2.1、所述接入认证完成后,由所述网管发送通道建立请求消息给所述路由器;
步骤S2.2、所述路由器收到通道建立请求后,为所述待建立的通道分配管理通道安全标记、IP地址后,发送通道建立应答报文给所述网管;
步骤S2.3、所述网管的DSCP模块收到通道建立应答报文后,按照通道安全标记配置网管的DSCP通道表,并根据获取的IP地址进行网卡IP、网关地址配置,完成通道建立。
5.根据权利要求4所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S2还包括:
步骤S2.4、完成通道建立后,当所述网关或所述路由器向对方传输报文时,所述网关或所述路由器将各自的待传输的报文发送至各自的DSCP模块,所述各自的DSCP模块在接收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
6.根据权利要求1所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S5具体包括:
步骤S5.1、所述网管的DSCP模块和路由器的DSCP模块在设备维护定时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,所述网管的DSCP模块和路由器的DSCP模块对收到的设备维护请求返回设备维护应答;
步骤S5.2、所述网管的DSCP模块和路由器的DSCP模块对设备维护应答的接收进行计数,在规定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,所述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证决策软件。
7.一种用于网管和路由器间的安全互连协议系统,其特征在于,所述系统包括网管和路由器,所述网管和所述路由器分别包含DSCP(设备安全访问协议,Device Security Access Protocol)模块和加密模块;其中:在接入认证阶段:
由所述网管的DSCP模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
在通道建立及参数协商阶段:
由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
在周期密钥更新阶段:
所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
在协议终止阶段:
调用所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
在维护超时阶段:
调用所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
8.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至6中任一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至6中任一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
说明书 :
一种用于网管和路由器间的安全互连协议方法和系统
技术领域
背景技术
要求,网络管理和被管设备的安全互连也越来越受到重视,网络管理安全标准和协议也在
不断更新和增强。
性。
发明内容
传输等功能,有效防止非法设备接入。具体的,一是网管启动向路由器发送协商报文启动接
入认证,网管根据端口安全策略判决路由器是否完成安全接入,若判决通过,则设备维护报
文通过加解密、完整性校验和抗重放处理进行合法性校验;二是密钥有效性与网关报文传
输紧密相关,网管与路由器间报文传输使用协商的密钥进行加密,在密钥超时后,进行密钥
更新协商,新密钥协商过程采用原密钥加密,在密钥更新完成前报文传输处于失效状态;三
是在设备维护失败时,网管发起请求拆除连接。该方案提出的安全互连协议中加密机制完
全参与,整个过程中没有明文传输,避免设备受到从接入控制到报文转发多层面的非法攻
击,并提供设备身份安全标识等功能,提供网络管理设备和被管理设备之间的安全交互手
段。
商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配
置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
后,与所述网管的加密模块开展密钥协商;
记录安全事件。
块。
收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经
协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
由器的DSCP模块对收到的设备维护请求返回设备维护应答;
述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通
知给认证决策软件。
钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双
方进入设备维护阶段;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
网管的加密模块开展密钥协商;
件。
待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密
钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
模块对收到的设备维护请求返回设备维护应答;
DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证
决策软件。
一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
一种用于网管和路由器间的安全互连协议方法中的步骤。
设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击。以上方案:(1)规定了
设备安全互连协议的处理流程等内容;(2)适用于网络安全路由器、网络管理设备上安全接
入认证功能;(3)提供了网管设备和路由器间控制、管理和业务报文的安全交互手段。与现
有的协议相比而言,本发明提出的安全互连协议中加密机制完全参与,整个过程中没有明
文传输,很好地保证网管设备和路由器互连的安全性,安全程度大幅提高。
附图说明
附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前
提下,还可以根据这些附图获得其他的附图。
具体实施方式
是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人
员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
层间设计了协议适配层,完成将网络层报文与安全互连协议标记的映射。
密适配,完成硬件接口、格式封装等适配功能,在把链路密钥协商报文发给加密模块之前,
完成速率限制。(2)传输处理,利用网络设备间链路加密、完整性和抗重放为上层控制、管理
协议和业务报文提供链路安全传输功能。(3)认证管理,安全认证用于运行安全互连协议软
件设备的接入认证,通过触发加密模块开展链路密钥协商,基于密钥协商结果和返回的对
端节点号进行认证合法性判决,完成网络设备间安全接入认证功能。
商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配
置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
后,与所述网管的加密模块开展密钥协商;
记录安全事件。
块。
路由器加密模块,路由器加密模块接收到密钥协商报文后,与网管加密模块开展密钥协商。
当网管与安全路由器完成链路密钥协商后,会通知DSCP模块密钥协商完成。网管DSCP模块
收到密钥协商完成消息后,根据端口安全策略配置判决是否完成安全接入,若判决失败,则
记录安全事件,上报认证决策软件;若判决通过,进入设备维护流程。接入认证完成后,DSCP
模块在协议通道中发送设备维护请求消息,经过加密后发送到安全路由器。当接收到设备
维护报文时,加密模块先进行解密、完整性校验,再完成抗重放处理,对合法的设备维护报
文将发送给DSCP模块。
收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经
协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
器。路由器收到通道建立请求后,为其分配管理通道安全标记、IP地址后,发送通道建立应
答报文给网管。网管DSCP收到通道建立应答后,按照通道安全标记配置DSCP通道表,并根据
获取的IP地址进行网卡IP、网关地址配置。当报文发送到DSCP模块时,匹配通道并上述协商
的密钥进行封装加密、完整性计算后发送。
一轮的密钥协商。加密模块完成密钥协商后,发送密钥协商完成通知给两端设备DSCP模块。
网管DSCP模块基于新的密钥更新DSCP通道表配置,并使用原有密钥发送密钥更新请求消息
给对端DSCP模块。对端设备收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密
钥更新DSCP通道表,发送密钥更新应答消息,令发起密钥更新方DSCP停止发送密钥更新请
求。
由器的DSCP模块对收到的设备维护请求返回设备维护应答;
述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通
知给认证决策软件。
时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,DSCP模块对
收到的设备维护请求返回设备维护应答。DSCP模块对设备维护应答的接收进行计数,在规
定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,DSCP模块会删
除DSCP表项,并发送DSCP连接中断状态通知给认证决策软件。
钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双
方进入设备维护阶段;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
网管的加密模块开展密钥协商;
件。
待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密
钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
模块对收到的设备维护请求返回设备维护应答;
DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证
决策软件。
一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非
易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作
系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或
无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电
子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显
示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外
接的键盘、触控板或鼠标等。
可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
一种用于网管和路由器间的安全互连协议方法中的步骤。
设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击。以上方案:(1)规定了
设备安全互连协议的处理流程等内容;(2)适用于网络安全路由器、网络管理设备上安全接
入认证功能;(3)提供了网管设备和路由器间控制、管理和业务报文的安全交互手段。与现
有的协议相比而言,本发明提出的安全互连协议中加密机制完全参与,整个过程中没有明
文传输,很好地保证网管设备和路由器互连的安全性,安全程度大幅提高。
存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实
施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出
的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变
形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求
为准。