一种用于网管和路由器间的安全互连协议方法和系统转让专利
申请号 : CN202111428148.1
文献号 : CN113839776B
文献日 : 2022-02-15
发明人 : 杨林 , 马琳茹 , 王雯 , 苏文蕾
申请人 : 军事科学院系统工程研究院网络信息研究所
摘要 :
本发明提出一种用于网管和路由器间的安全互连协议方法和系统。所述方法包括:步骤S1、接入认证;步骤S2、通道建立及参数协商;步骤S3、周期密钥更新;步骤S4、协议终止;步骤S5、维护超时;从而实现网管和路由器设备自动发现、安全接入认证、数据封装和抗重放、密文传输等功能,有效防止非法设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击,并提供设备身份安全标识等功能,提供网络管理设备和被管理设备之间的安全交互手段。
权利要求 :
1.一种用于网管和路由器间的安全互连协议方法,其特征在于,所述方法包括:步骤S1、接入认证,具体包括:
由网管的DSCP(设备安全访问协议,Device Security Access Protocol)模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
步骤S2、通道建立及参数协商,具体包括:由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
步骤S3、周期密钥更新,具体包括:步骤S3.1、所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
步骤S3.2、所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
步骤S3.3、所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
步骤S3.4、所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
步骤S4、协议终止,具体包括:
所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
步骤S5、维护超时,具体包括:
所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
2.根据权利要求1所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S1具体包括:
步骤S1.1、所述网管的DSCP模块启动密钥协商过程,所述网管的加密模块封装发送密钥协商报文给对端的路由器的加密模块,所述路由器的加密模块接收到密钥协商报文后,与所述网管的加密模块开展密钥协商;
步骤S1.2、当所述网管与所述路由器完成链路密钥协商后,将密钥协商完成消息通知所述网管的DSCP模块密钥;
步骤S1.3、所述网管的DSCP模块收到所述密钥协商完成消息后,根据所述端口安全策略配置判决是否完成安全接入,若判决通过,进入所述设备维护阶段,若判决失败,则记录安全事件。
3.根据权利要求2所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S1还包括:
步骤S1.4、接入认证完成后,所述网管的DSCP模块在协议通道中发送设备维护请求消息,经过加密后发送到所述路由器;
步骤S1.5、当接收到所述设备维护请求消息时,所述路由器的加密模块先进行解密、完整性校验,再完成抗重放处理,将合法的设备维护报文发送给所述路由器的DSCP模块。
4.根据权利要求3所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S2具体包括:
步骤S2.1、所述接入认证完成后,由所述网管发送通道建立请求消息给所述路由器;
步骤S2.2、所述路由器收到通道建立请求后,为所述待建立的通道分配管理通道安全标记、IP地址后,发送通道建立应答报文给所述网管;
步骤S2.3、所述网管的DSCP模块收到通道建立应答报文后,按照通道安全标记配置网管的DSCP通道表,并根据获取的IP地址进行网卡IP、网关地址配置,完成通道建立。
5.根据权利要求4所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S2还包括:
步骤S2.4、完成通道建立后,当所述网关或所述路由器向对方传输报文时,所述网关或所述路由器将各自的待传输的报文发送至各自的DSCP模块,所述各自的DSCP模块在接收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
6.根据权利要求1所述的一种用于网管和路由器间的安全互连协议方法,其特征在于,所述步骤S5具体包括:
步骤S5.1、所述网管的DSCP模块和路由器的DSCP模块在设备维护定时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,所述网管的DSCP模块和路由器的DSCP模块对收到的设备维护请求返回设备维护应答;
步骤S5.2、所述网管的DSCP模块和路由器的DSCP模块对设备维护应答的接收进行计数,在规定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,所述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证决策软件。
7.一种用于网管和路由器间的安全互连协议系统,其特征在于,所述系统包括网管和路由器,所述网管和所述路由器分别包含DSCP(设备安全访问协议,Device Security Access Protocol)模块和加密模块;其中:在接入认证阶段:
由所述网管的DSCP模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
在通道建立及参数协商阶段:
由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
在周期密钥更新阶段:
所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
在协议终止阶段:
调用所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
在维护超时阶段:
调用所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
8.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至6中任一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至6中任一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
说明书 :
一种用于网管和路由器间的安全互连协议方法和系统
技术领域
[0001] 本发明属于通信协议领域,尤其涉及一种用于网管和路由器间的安全互连协议方法和系统。
背景技术
[0002] 随着网络的广泛应用,设备互连也日渐复杂,同样也面临着各种各样的安全问题,越来越需要确保网络连接上的安全性。为了满足新的网络环境对安全和可靠性越来越高的
要求,网络管理和被管设备的安全互连也越来越受到重视,网络管理安全标准和协议也在
不断更新和增强。
要求,网络管理和被管设备的安全互连也越来越受到重视,网络管理安全标准和协议也在
不断更新和增强。
[0003] 传统网络设备间的互连协议无法有效防止非法设备接入,安全程度低,不具有很好的保护性,使用者的通信安全存在很大的隐患,无法保证网管与路由器设备互连的安全
性。
性。
发明内容
[0004] 针对上述技术问题,本发明提出了一种用于网管和路由器间的安全互连协议方案。该方案能够实现网管和路由器设备自动发现、安全接入认证、数据封装和抗重放、密文
传输等功能,有效防止非法设备接入。具体的,一是网管启动向路由器发送协商报文启动接
入认证,网管根据端口安全策略判决路由器是否完成安全接入,若判决通过,则设备维护报
文通过加解密、完整性校验和抗重放处理进行合法性校验;二是密钥有效性与网关报文传
输紧密相关,网管与路由器间报文传输使用协商的密钥进行加密,在密钥超时后,进行密钥
更新协商,新密钥协商过程采用原密钥加密,在密钥更新完成前报文传输处于失效状态;三
是在设备维护失败时,网管发起请求拆除连接。该方案提出的安全互连协议中加密机制完
全参与,整个过程中没有明文传输,避免设备受到从接入控制到报文转发多层面的非法攻
击,并提供设备身份安全标识等功能,提供网络管理设备和被管理设备之间的安全交互手
段。
传输等功能,有效防止非法设备接入。具体的,一是网管启动向路由器发送协商报文启动接
入认证,网管根据端口安全策略判决路由器是否完成安全接入,若判决通过,则设备维护报
文通过加解密、完整性校验和抗重放处理进行合法性校验;二是密钥有效性与网关报文传
输紧密相关,网管与路由器间报文传输使用协商的密钥进行加密,在密钥超时后,进行密钥
更新协商,新密钥协商过程采用原密钥加密,在密钥更新完成前报文传输处于失效状态;三
是在设备维护失败时,网管发起请求拆除连接。该方案提出的安全互连协议中加密机制完
全参与,整个过程中没有明文传输,避免设备受到从接入控制到报文转发多层面的非法攻
击,并提供设备身份安全标识等功能,提供网络管理设备和被管理设备之间的安全交互手
段。
[0005] 本发明第一方面公开了一种用于网管和路由器间的安全互连协议方法。所述方法包括:
[0006] 步骤S1、接入认证,具体包括:
[0007] 由网管的DSCP(设备安全访问协议,Device Security Access Protocol)模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协
商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配
置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配
置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
[0008] 步骤S2、通道建立及参数协商,具体包括:
[0009] 由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
[0010] 步骤S3、周期密钥更新,具体包括:
[0011] 步骤S3.1、所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
[0012] 步骤S3.2、所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
[0013] 步骤S3.3、所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
[0014] 步骤S3.4、所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
[0015] 步骤S4、协议终止,具体包括:
[0016] 所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
[0017] 步骤S5、维护超时,具体包括:
[0018] 所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
[0019] 根据本发明第一方面的方法,所述步骤S1具体包括:
[0020] 步骤S1.1、所述网管的DSCP模块启动密钥协商过程,所述网管的加密模块封装发送密钥协商报文给对端的路由器的加密模块,所述路由器的加密模块接收到密钥协商报文
后,与所述网管的加密模块开展密钥协商;
后,与所述网管的加密模块开展密钥协商;
[0021] 步骤S1.2、当所述网管与所述路由器完成链路密钥协商后,将密钥协商完成消息通知所述网管的DSCP模块密钥;
[0022] 步骤S1.3、所述网管的DSCP模块收到所述密钥协商完成消息后,根据所述端口安全策略配置判决是否完成安全接入,若判决通过,进入所述设备维护阶段,若判决失败,则
记录安全事件。
记录安全事件。
[0023] 根据本发明第一方面的方法,所述步骤S1还包括:
[0024] 步骤S1.4、接入认证完成后,所述网管的DSCP模块在协议通道中发送设备维护请求消息,经过加密后发送到所述路由器;
[0025] 步骤S1.5、当接收到所述设备维护请求消息时,所述路由器的加密模块先进行解密、完整性校验,再完成抗重放处理,将合法的设备维护报文发送给所述路由器的DSCP模
块。
块。
[0026] 根据本发明第一方面的方法,所述步骤S2具体包括:
[0027] 步骤S2.1、所述接入认证完成后,由所述网管发送通道建立请求消息给所述路由器;
[0028] 步骤S2.2、所述路由器收到通道建立请求后,为所述待建立的通道分配管理通道安全标记、IP地址后,发送通道建立应答报文给所述网管;
[0029] 步骤S2.3、所述网管的DSCP模块收到通道建立应答报文后,按照通道安全标记配置网管的DSCP通道表,并根据获取的IP地址进行网卡IP、网关地址配置,完成通道建立。
[0030] 根据本发明第一方面的方法,所述步骤S2还包括:
[0031] 步骤S2.4、完成通道建立后,当所述网关或所述路由器向对方传输报文时,所述网关或所述路由器将各自的待传输的报文发送至各自的DSCP模块,所述各自的DSCP模块在接
收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经
协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经
协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
[0032] 根据本发明第一方面的方法,所述步骤S3具体包括:
[0033] 步骤S3.1、所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
[0034] 步骤S3.2、所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
[0035] 步骤S3.3、所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
[0036] 步骤S3.4、所述路由器收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息。
[0037] 根据本发明第一方面的方法,所述步骤S5具体包括:
[0038] 步骤S5.1、所述网管的DSCP模块和路由器的DSCP模块在设备维护定时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,所述网管的DSCP模块和路
由器的DSCP模块对收到的设备维护请求返回设备维护应答;
由器的DSCP模块对收到的设备维护请求返回设备维护应答;
[0039] 步骤S5.2、所述网管的DSCP模块和路由器的DSCP模块对设备维护应答的接收进行计数,在规定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,所
述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通
知给认证决策软件。
述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通
知给认证决策软件。
[0040] 本发明第二方面公开了一种用于用于网管和路由器间的安全互连协议系统。所述系统包括网管和路由器,所述网管和所述路由器分别包含DSCP模块和加密模块;其中:
[0041] 在接入认证阶段:
[0042] 由所述网管的DSCP模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协商请求后,与路由器的加密模块进行密钥协商,所述密
钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双
方进入设备维护阶段;
钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双
方进入设备维护阶段;
[0043] 在通道建立及参数协商阶段:
[0044] 由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
[0045] 在周期密钥更新阶段:
[0046] 所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
[0047] 所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
[0048] 所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
[0049] 所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
[0050] 在协议终止阶段:
[0051] 调用所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
[0052] 在维护超时阶段:
[0053] 调用所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
[0054] 根据本发明第二方面的系统,在接入认证阶段:
[0055] 所述网管的DSCP模块启动密钥协商过程,所述网管的加密模块封装发送密钥协商报文给对端的路由器的加密模块,所述路由器的加密模块接收到密钥协商报文后,与所述
网管的加密模块开展密钥协商;
网管的加密模块开展密钥协商;
[0056] 当所述网管与所述路由器完成链路密钥协商后,将密钥协商完成消息通知所述网管的DSCP模块密钥;
[0057] 所述网管的DSCP模块收到所述密钥协商完成消息后,根据所述端口安全策略配置判决是否完成安全接入,若判决通过,进入所述设备维护阶段,若判决失败,则记录安全事
件。
件。
[0058] 根据本发明第二方面的系统,在接入认证阶段:
[0059] 接入认证完成后,所述网管的DSCP模块在协议通道中发送设备维护请求消息,经过加密后发送到所述路由器;
[0060] 当接收到所述设备维护请求消息时,所述路由器的加密模块先进行解密、完整性校验,再完成抗重放处理,将合法的设备维护报文发送给所述路由器的DSCP模块。
[0061] 根据本发明第二方面的系统,在通道建立及参数协商阶段:
[0062] 所述接入认证完成后,由所述网管发送通道建立请求消息给所述路由器;
[0063] 所述路由器收到通道建立请求后,为所述待建立的通道分配管理通道安全标记、IP地址后,发送通道建立应答报文给所述网管;
[0064] 所述网管的DSCP模块收到通道建立应答报文后,按照通道安全标记配置网管的DSCP通道表,并根据获取的IP地址进行网卡IP、网关地址配置,完成通道建立。
[0065] 根据本发明第二方面的系统,在通道建立及参数协商阶段:
[0066] 完成通道建立后,当所述网关或所述路由器向对方传输报文时,所述网关或所述路由器将各自的待传输的报文发送至各自的DSCP模块,所述各自的DSCP模块在接收到所述
待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密
钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密
钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
[0067] 根据本发明第二方面的系统,在维护超时阶段:
[0068] 所述网管的DSCP模块和路由器的DSCP模块在设备维护定时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,所述网管的DSCP模块和路由器的DSCP
模块对收到的设备维护请求返回设备维护应答;
模块对收到的设备维护请求返回设备维护应答;
[0069] 所述网管的DSCP模块和路由器的DSCP模块对设备维护应答的接收进行计数,在规定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,所述网管的
DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证
决策软件。
DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证
决策软件。
[0070] 本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任
一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
[0071] 本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的
一种用于网管和路由器间的安全互连协议方法中的步骤。
一种用于网管和路由器间的安全互连协议方法中的步骤。
[0072] 综上,在本发明提出的的技术方案中,经过加密适配、传输处理、认证管理等模块实现了设备自动发现、安全接入认证、数据适配和抗重放、密文传输等功能,有效防止非法
设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击。以上方案:(1)规定了
设备安全互连协议的处理流程等内容;(2)适用于网络安全路由器、网络管理设备上安全接
入认证功能;(3)提供了网管设备和路由器间控制、管理和业务报文的安全交互手段。与现
有的协议相比而言,本发明提出的安全互连协议中加密机制完全参与,整个过程中没有明
文传输,很好地保证网管设备和路由器互连的安全性,安全程度大幅提高。
设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击。以上方案:(1)规定了
设备安全互连协议的处理流程等内容;(2)适用于网络安全路由器、网络管理设备上安全接
入认证功能;(3)提供了网管设备和路由器间控制、管理和业务报文的安全交互手段。与现
有的协议相比而言,本发明提出的安全互连协议中加密机制完全参与,整个过程中没有明
文传输,很好地保证网管设备和路由器互连的安全性,安全程度大幅提高。
附图说明
[0073] 为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的
附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前
提下,还可以根据这些附图获得其他的附图。
附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前
提下,还可以根据这些附图获得其他的附图。
[0074] 图1为根据本发明实施例的网关和路由器之间安全互连协议工作层次的示意图;
[0075] 图2为根据本发明实施例的安全互连协议功能组成的示意图;
[0076] 图3为根据本发明实施例的接入认证及设备维护的流程示意图;
[0077] 图4为根据本发明实施例的通道建立及参数协商的流程示意图;
[0078] 图5为根据本发明实施例的密钥更新的流程示意图;
[0079] 图6为根据本发明实施例的协议终止及维护超时的流程示意图;
[0080] 图7为根据本发明实施例的一种电子设备的结构图。
具体实施方式
[0081] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只
是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人
员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人
员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0082] 本发明第一方面公开了一种用于网管和路由器间的安全互连协议方法。
[0083] 图1为根据本发明实施例的网关和路由器之间安全互连协议工作层次的示意图;如图1所示,安全互连协议工作在链路层,使用以太网作为传输实体,安全互连协议与网络
层间设计了协议适配层,完成将网络层报文与安全互连协议标记的映射。
层间设计了协议适配层,完成将网络层报文与安全互连协议标记的映射。
[0084] 图2为根据本发明实施例的安全互连协议功能组成的示意图;如图2所示,安全互连协议功能由传输纠错、加密接口适配、传输处理、认证管理、链路处理等功能组成。(1)加
密适配,完成硬件接口、格式封装等适配功能,在把链路密钥协商报文发给加密模块之前,
完成速率限制。(2)传输处理,利用网络设备间链路加密、完整性和抗重放为上层控制、管理
协议和业务报文提供链路安全传输功能。(3)认证管理,安全认证用于运行安全互连协议软
件设备的接入认证,通过触发加密模块开展链路密钥协商,基于密钥协商结果和返回的对
端节点号进行认证合法性判决,完成网络设备间安全接入认证功能。
密适配,完成硬件接口、格式封装等适配功能,在把链路密钥协商报文发给加密模块之前,
完成速率限制。(2)传输处理,利用网络设备间链路加密、完整性和抗重放为上层控制、管理
协议和业务报文提供链路安全传输功能。(3)认证管理,安全认证用于运行安全互连协议软
件设备的接入认证,通过触发加密模块开展链路密钥协商,基于密钥协商结果和返回的对
端节点号进行认证合法性判决,完成网络设备间安全接入认证功能。
[0085] 所述方法包括:
[0086] 步骤S1、接入认证,具体包括:
[0087] 由网管的DSCP(设备安全访问协议,Device Security Access Protocol)模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协
商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配
置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
商请求后,与路由器的加密模块进行密钥协商,所述密钥协商的双方根据端口安全策略配
置判决是否完成安全接入,若所述判决通过,则所述双方进入设备维护阶段;
[0088] 步骤S2、通道建立及参数协商,具体包括:
[0089] 由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
[0090] 步骤S3、周期密钥更新,具体包括:
[0091] 步骤S3.1、所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
[0092] 步骤S3.2、所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
[0093] 步骤S3.3、所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
[0094] 步骤S3.4、所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
[0095] 步骤S4、协议终止,具体包括:
[0096] 所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
[0097] 步骤S5、维护超时,具体包括:
[0098] 所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
[0099] 在一些实施例中,所述步骤S1具体包括:
[0100] 步骤S1.1、所述网管的DSCP模块启动密钥协商过程,所述网管的加密模块封装发送密钥协商报文给对端的路由器的加密模块,所述路由器的加密模块接收到密钥协商报文
后,与所述网管的加密模块开展密钥协商;
后,与所述网管的加密模块开展密钥协商;
[0101] 步骤S1.2、当所述网管与所述路由器完成链路密钥协商后,将密钥协商完成消息通知所述网管的DSCP模块密钥;
[0102] 步骤S1.3、所述网管的DSCP模块收到所述密钥协商完成消息后,根据所述端口安全策略配置判决是否完成安全接入,若判决通过,进入所述设备维护阶段,若判决失败,则
记录安全事件。
记录安全事件。
[0103] 在一些实施例中,所述步骤S1还包括:
[0104] 步骤S1.4、接入认证完成后,所述网管的DSCP模块在协议通道中发送设备维护请求消息,经过加密后发送到所述路由器;
[0105] 步骤S1.5、当接收到所述设备维护请求消息时,所述路由器的加密模块先进行解密、完整性校验,再完成抗重放处理,将合法的设备维护报文发送给所述路由器的DSCP模
块。
块。
[0106] 图3为根据本发明实施例的接入认证及设备维护的流程示意图;如图3所示,网管的安全互连协议DSCP模块启动密钥协商过程,加密模块封装发送密钥协商报文给对端安全
路由器加密模块,路由器加密模块接收到密钥协商报文后,与网管加密模块开展密钥协商。
当网管与安全路由器完成链路密钥协商后,会通知DSCP模块密钥协商完成。网管DSCP模块
收到密钥协商完成消息后,根据端口安全策略配置判决是否完成安全接入,若判决失败,则
记录安全事件,上报认证决策软件;若判决通过,进入设备维护流程。接入认证完成后,DSCP
模块在协议通道中发送设备维护请求消息,经过加密后发送到安全路由器。当接收到设备
维护报文时,加密模块先进行解密、完整性校验,再完成抗重放处理,对合法的设备维护报
文将发送给DSCP模块。
路由器加密模块,路由器加密模块接收到密钥协商报文后,与网管加密模块开展密钥协商。
当网管与安全路由器完成链路密钥协商后,会通知DSCP模块密钥协商完成。网管DSCP模块
收到密钥协商完成消息后,根据端口安全策略配置判决是否完成安全接入,若判决失败,则
记录安全事件,上报认证决策软件;若判决通过,进入设备维护流程。接入认证完成后,DSCP
模块在协议通道中发送设备维护请求消息,经过加密后发送到安全路由器。当接收到设备
维护报文时,加密模块先进行解密、完整性校验,再完成抗重放处理,对合法的设备维护报
文将发送给DSCP模块。
[0107] 在一些实施例中,所述步骤S2具体包括:
[0108] 步骤S2.1、所述接入认证完成后,由所述网管发送通道建立请求消息给所述路由器;
[0109] 步骤S2.2、所述路由器收到通道建立请求后,为所述待建立的通道分配管理通道安全标记、IP地址后,发送通道建立应答报文给所述网管;
[0110] 步骤S2.3、所述网管的DSCP模块收到通道建立应答报文后,按照通道安全标记配置网管的DSCP通道表,并根据获取的IP地址进行网卡IP、网关地址配置,完成通道建立。
[0111] 在一些实施例中,所述步骤S2还包括:
[0112] 步骤S2.4、完成通道建立后,当所述网关或所述路由器向对方传输报文时,所述网关或所述路由器将各自的待传输的报文发送至各自的DSCP模块,所述各自的DSCP模块在接
收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经
协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
收到所述待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经
协商的密钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
[0113] 图4为根据本发明实施例的通道建立及参数协商的流程示意图;如图4所示,DSCP安全认证完成后,即触发通道建立和参数协商过程,由网管发送通道建立请求消息给路由
器。路由器收到通道建立请求后,为其分配管理通道安全标记、IP地址后,发送通道建立应
答报文给网管。网管DSCP收到通道建立应答后,按照通道安全标记配置DSCP通道表,并根据
获取的IP地址进行网卡IP、网关地址配置。当报文发送到DSCP模块时,匹配通道并上述协商
的密钥进行封装加密、完整性计算后发送。
器。路由器收到通道建立请求后,为其分配管理通道安全标记、IP地址后,发送通道建立应
答报文给网管。网管DSCP收到通道建立应答后,按照通道安全标记配置DSCP通道表,并根据
获取的IP地址进行网卡IP、网关地址配置。当报文发送到DSCP模块时,匹配通道并上述协商
的密钥进行封装加密、完整性计算后发送。
[0114] 在一些实施例中,所述步骤S3具体包括:
[0115] 步骤S3.1、所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
[0116] 步骤S3.2、所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
[0117] 步骤S3.3、所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
[0118] 步骤S3.4、所述路由器收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息。
[0119] 图5为根据本发明实施例的密钥更新的流程示意图;如图5所示,DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给加密模块触发新
一轮的密钥协商。加密模块完成密钥协商后,发送密钥协商完成通知给两端设备DSCP模块。
网管DSCP模块基于新的密钥更新DSCP通道表配置,并使用原有密钥发送密钥更新请求消息
给对端DSCP模块。对端设备收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密
钥更新DSCP通道表,发送密钥更新应答消息,令发起密钥更新方DSCP停止发送密钥更新请
求。
一轮的密钥协商。加密模块完成密钥协商后,发送密钥协商完成通知给两端设备DSCP模块。
网管DSCP模块基于新的密钥更新DSCP通道表配置,并使用原有密钥发送密钥更新请求消息
给对端DSCP模块。对端设备收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密
钥更新DSCP通道表,发送密钥更新应答消息,令发起密钥更新方DSCP停止发送密钥更新请
求。
[0120] 在一些实施例中,所述步骤S5具体包括:
[0121] 步骤S5.1、所述网管的DSCP模块和路由器的DSCP模块在设备维护定时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,所述网管的DSCP模块和路
由器的DSCP模块对收到的设备维护请求返回设备维护应答;
由器的DSCP模块对收到的设备维护请求返回设备维护应答;
[0122] 步骤S5.2、所述网管的DSCP模块和路由器的DSCP模块对设备维护应答的接收进行计数,在规定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,所
述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通
知给认证决策软件。
述网管的DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通
知给认证决策软件。
[0123] 图6为根据本发明实施例的协议终止及维护超时的流程示意图;如图6所示,网管DSCP模块通过协议终止请求发送来触发DSCP连接信息的删除。两端DSCP模块在设备维护定
时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,DSCP模块对
收到的设备维护请求返回设备维护应答。DSCP模块对设备维护应答的接收进行计数,在规
定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,DSCP模块会删
除DSCP表项,并发送DSCP连接中断状态通知给认证决策软件。
时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,DSCP模块对
收到的设备维护请求返回设备维护应答。DSCP模块对设备维护应答的接收进行计数,在规
定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,DSCP模块会删
除DSCP表项,并发送DSCP连接中断状态通知给认证决策软件。
[0124] 本发明第二方面公开了一种用于用于网管和路由器间的安全互连协议系统。所述系统包括网管和路由器,所述网管和所述路由器分别包含DSCP模块和加密模块;其中:
[0125] 在接入认证阶段:
[0126] 由所述网管的DSCP模块向所述网管的加密模块发送启动密钥协商请求,所述网管的加密模块在接收所述启动密钥协商请求后,与路由器的加密模块进行密钥协商,所述密
钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双
方进入设备维护阶段;
钥协商的双方根据端口安全策略配置判决是否完成安全接入,若所述判决通过,则所述双
方进入设备维护阶段;
[0127] 在通道建立及参数协商阶段:
[0128] 由所述网管向所述路由器发起通道建立请求,所述路由器在接收到所述通道建立请求后,为待建立的通道分配管理通道安全标记、IP地址,所述网管根据所述管理通道安全
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
标记配置DSCP通道表,并根据所述IP地址配置网卡信息;
[0129] 在周期密钥更新阶段:
[0130] 所述网管的DSCP模块在密钥更新时间到期后,主动触发周期密钥更新流程,发送密钥协商启动消息给所述网管的加密模块触发新一轮的密钥协商;
[0131] 所述网管的加密模块完成密钥协商后,发送密钥协商完成通知给两端设备的DSCP模块;
[0132] 所述网管的DSCP模块基于新的密钥更新网管的DSCP通道表配置,并使用原有密钥发送密钥更新请求消息给所述路由器的DSCP模块;
[0133] 所述路由器的DSCP模块收到密钥更新请求后,判断通信对端已完成密钥协商,以新的密钥更新所述路由器的DSCP通道表,发送密钥更新应答消息;
[0134] 在协议终止阶段:
[0135] 调用所述网管的DSCP模块通过向所述路由器发送协议终止请求来触发DSCP连接信息的删除;
[0136] 在维护超时阶段:
[0137] 调用所述网管的DSCP模块和所述路由器的DSCP模块通过发送设备维护请求来维护DSCP连接有效性,维护超时则删除DSCP通道表的对应项。
[0138] 根据本发明第二方面的系统,在接入认证阶段:
[0139] 所述网管的DSCP模块启动密钥协商过程,所述网管的加密模块封装发送密钥协商报文给对端的路由器的加密模块,所述路由器的加密模块接收到密钥协商报文后,与所述
网管的加密模块开展密钥协商;
网管的加密模块开展密钥协商;
[0140] 当所述网管与所述路由器完成链路密钥协商后,将密钥协商完成消息通知所述网管的DSCP模块密钥;
[0141] 所述网管的DSCP模块收到所述密钥协商完成消息后,根据所述端口安全策略配置判决是否完成安全接入,若判决通过,进入所述设备维护阶段,若判决失败,则记录安全事
件。
件。
[0142] 根据本发明第二方面的系统,在接入认证阶段:
[0143] 接入认证完成后,所述网管的DSCP模块在协议通道中发送设备维护请求消息,经过加密后发送到所述路由器;
[0144] 当接收到所述设备维护请求消息时,所述路由器的加密模块先进行解密、完整性校验,再完成抗重放处理,将合法的设备维护报文发送给所述路由器的DSCP模块。
[0145] 根据本发明第二方面的系统,在通道建立及参数协商阶段:
[0146] 所述接入认证完成后,由所述网管发送通道建立请求消息给所述路由器;
[0147] 所述路由器收到通道建立请求后,为所述待建立的通道分配管理通道安全标记、IP地址后,发送通道建立应答报文给所述网管;
[0148] 所述网管的DSCP模块收到通道建立应答报文后,按照通道安全标记配置网管的DSCP通道表,并根据获取的IP地址进行网卡IP、网关地址配置,完成通道建立。
[0149] 根据本发明第二方面的系统,在通道建立及参数协商阶段:
[0150] 完成通道建立后,当所述网关或所述路由器向对方传输报文时,所述网关或所述路由器将各自的待传输的报文发送至各自的DSCP模块,所述各自的DSCP模块在接收到所述
待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密
钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
待传输的报文后,在建立的通道中确定与所述待传输的报文匹配的通道,利用经协商的密
钥执行封装加密和完整性计算,并经由所述匹配的通道进行发送。
[0151] 根据本发明第二方面的系统,在维护超时阶段:
[0152] 所述网管的DSCP模块和路由器的DSCP模块在设备维护定时器触发下,发送设备维护请求给对端设备DSCP模块以维护DSCP连接有效性,所述网管的DSCP模块和路由器的DSCP
模块对收到的设备维护请求返回设备维护应答;
模块对收到的设备维护请求返回设备维护应答;
[0153] 所述网管的DSCP模块和路由器的DSCP模块对设备维护应答的接收进行计数,在规定的设备维护请求重传次数内均未收到设备维护应答则认为设备维护失败,所述网管的
DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证
决策软件。
DSCP模块和路由器的DSCP模块删除各自的DSCP表项,并发送DSCP连接中断状态通知给认证
决策软件。
[0154] 本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任
一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
一项所述的一种用于网管和路由器间的安全互连协议方法中的步骤。
[0155] 图7为根据本发明实施例的一种电子设备的结构图,如图7所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理
器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非
易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作
系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或
无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电
子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显
示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外
接的键盘、触控板或鼠标等。
器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非
易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作
系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或
无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电
子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显
示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外
接的键盘、触控板或鼠标等。
[0156] 本领域技术人员可以理解,图7中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备
可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
[0157] 本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的
一种用于网管和路由器间的安全互连协议方法中的步骤。
一种用于网管和路由器间的安全互连协议方法中的步骤。
[0158] 综上,在本发明提出的的技术方案中,经过加密适配、传输处理、认证管理等模块实现了设备自动发现、安全接入认证、数据适配和抗重放、密文传输等功能,有效防止非法
设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击。以上方案:(1)规定了
设备安全互连协议的处理流程等内容;(2)适用于网络安全路由器、网络管理设备上安全接
入认证功能;(3)提供了网管设备和路由器间控制、管理和业务报文的安全交互手段。与现
有的协议相比而言,本发明提出的安全互连协议中加密机制完全参与,整个过程中没有明
文传输,很好地保证网管设备和路由器互连的安全性,安全程度大幅提高。
设备接入,避免设备受到从接入控制到报文转发多层面的非法攻击。以上方案:(1)规定了
设备安全互连协议的处理流程等内容;(2)适用于网络安全路由器、网络管理设备上安全接
入认证功能;(3)提供了网管设备和路由器间控制、管理和业务报文的安全交互手段。与现
有的协议相比而言,本发明提出的安全互连协议中加密机制完全参与,整个过程中没有明
文传输,很好地保证网管设备和路由器互连的安全性,安全程度大幅提高。
[0159] 请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不
存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实
施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出
的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变
形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求
为准。
存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实
施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出
的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变
形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求
为准。