[发明专利]用于路由协议的密钥管理方法和系统

说明书

技术领域

本发明涉及通信网络中的路由安全技术，具体而言，涉及一种用于路由协议的密钥管理方法和系统。

背景技术

路由器是现代IP网路最重要和核心的组成设备，为数据包的传输提供路由信息。路由器依靠在其上运行的路由协议进行路由信息的收集并计算和管理最佳路由。由于路由信息在网络中是明文传播的，伪造和篡改路由消息包非常容易。如果路由器接受这种路由消息包，将产生错误的路由，导致部分或全部网络数据包无法到达指定目的地或接收者，数据业务无法正常进行。因此，需要对路由消息进行完整性保护。

目前绝大部分的路由协议都提供完整性保护机制，而实施该机制需要一套密钥材料，被称之为安全联盟(SA)，对于路由协议而言，主要包括完整性算法和密钥。当前主要使用的路由协议都没有提供SA的协商机制，而是靠被称之为管理员(administrator)的人进行手动配置和更新。人手动配置和更新存在的问题是，一方面不可靠、容易出错，另一方面速度慢，不适用于现代大规模网络。随着攻击者计算能力的提高和攻击技术的层出不穷，网络遭受攻击和破坏的概率和频率也越来越高，而业务价值快速增长的现代网络为此付出的代价也越来越大，因此，网络运营者一方面要预防网络攻击和破坏，另一方面在网络遭受攻击和破坏的情况下要快速恢复和修复，这就需要为路由器及路由协议提供自动密钥管理的功能，实现密钥材料的自动配置、更新和协商，也即实现路由安全的密钥管理协议(KMP)。

可见，根据现有的技术，无法通过由系统自动实现路由协议的SA的协商和生成，从而降低了配置SA时的效率和正确性。

发明内容

针对现有技术中用于路由协议的SA的协商方法导致的效率和正确性较低的问题而提出本发明，为此，本发明的主要目的在于提供一种用于路由协议的密钥管理方法和系统，以解决上述问题至少之一。

为了实现上述目的，根据本发明的一个方面，提供了一种用于路由协议的密钥管理方法，其包括：扩展互联网密钥交换协议第二版IKEv2；使用扩展后的上述IKEv2协商生成用于路由协议的安全联盟SA；使用生成的上述SA对路由协议进行密钥管理，并对基于上述路由协议的路由消息的传输实施保护。

进一步地，上述扩展互联网密钥交换协议第二版IKEv2的步骤包括以下之一：在上述IKEv2的原有SA载荷中增加与路由协议相关的字段；或者在上述IKEv2中增加用于路由协议的SA载荷，其中，上述用于路由协议的SA载荷中携带与路由协议相关的字段。

进一步地，在上述IKEv2的原有SA载荷中增加与路由协议相关的字段包括：在上述原有SA载荷中的提议子结构ProposalSubstructure中增加用于路由协议的协议标识符字段和密钥标识符字段；在上述原有SA载荷中的变换子结构Transform Substructure中增加用于路由协议的变换类型字段、变换标识符字段；在上述变换子结构Transform Substructure中属性类型中增加用于路由协议的密钥长度字段和SA的生存时间字段。

进一步地，上述扩展互联网密钥交换协议第二版IKEv2的步骤还包括：在上述IKEv2中增加用于路由协议的交换类型，其中，上述交换类型用于指示在上述交换类型对应的交换中使用增加了与路由协议相关的字段的上述原有SA载荷。

进一步地，在上述IKEv2中增加用于路由协议的SA载荷包括：构建与上述原有SA载荷的结构相同的SA载荷；在上述构建的SA载荷中的提议子结构Proposal Substructure中增加用于路由协议的SA的生存时间字段以及上述生存时间长度字段；在上述构建的SA载荷中的提议子结构Proposal Substructure中将SPI大小字段替换成用于路由协议的密钥标识符字段，并将SPI字段替换成用于路由协议的密钥标识符字段。

进一步地，上述扩展互联网密钥交换协议第二版IKEv2的步骤还包括：在上述IKEv2中增加用于路由协议的交换类型，其中，上述交换类型用于指示在上述交换类型对应的交换中使用上述增加的用于路由协议的SA载荷。

进一步地，使用扩展后的上述IKEv2协商生成用于路由协议的安全联盟SA的步骤包括：使用上述IKEv2协商生成用于建立安全通道的SA；使用生成的SA建立安全通道；在上述安全通道上使用扩展后的IKEv2协商生成用于路由协议的安全联盟SA。