[发明专利]路由协议安全联盟管理方法、装置及系统

说明书

技术领域

本发明涉及路由协议安全联盟管理技术，尤其涉及一种路由协议安全联盟管理方法、装置及系统。

背景技术

随着计算机网络规模的不断扩大，大型互联网络(如Internet)的迅猛发展，路由技术在网络技术中已逐渐成为关键技术，路由器成为了最重要的网络设备。用户对网络数据高速传输的需求不断推动着路由技术的发展，人们已经不满足于仅在本地网络上共享信息，而希望最大限度地利用全球各个地区、各种类型的网络资源。目前的网络技术，任何一个有一定规模的计算机网络(如企业网、校园网、智能大厦网等)，都离不开路由器。路由器工作在开放式系统互联(OSI，Open System Interconnection)模型中的第三层即网络层。路由器利用网络层定义的IP地址来区分不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而是将广播消息限制在各自的网络内部。发送到其他网络的数据首先被送到路由器，再由路由器转发出去。

为了让路由器具有转发IP报文的能力，路由器之间经常需要交互路由信息。路由器根据收到的路由信息构建网络拓扑结构，从而正确地转发IP报文。路由器之间交互路由信息的协议称为路由协议。路由协议是Internet网络的基础协议。路由器之间交互的路由信息是否正确直接影响着路由能否成功。然而，Internet网络是一个开放的网络。网络中总存在着很多的攻击者。这些攻击者会试图修改路由协议交互的路由信息，或者向路由器发布一个过期的路由信息。导致收到错误路由信息的路由器不能正常转发IP数据包。

为保证交互的路由信息的正确性，必须对路由协议提供完整性保护。现有路由协议几乎都提供了这方面的安全机制，例如RIPv2(Routing InformationProtocol version 2)、OSPFv2(Open Shortest Path First version 2)、IS-IS(Intermediate System-to-Intermediate System)、BFD(Bidirectional ForwardingDetection)、BGP(Border Gateway Protocol)等路由协议使用消息认证码来实现路由协议消息的完整性保护。生成消息认证码的安全材料由安全联盟来定义，而安全联盟通常又是手动配置的。安全联盟是一套密钥材料，用于提供安全服务。路由协议的安全联盟包括：用于标识安全联盟的Key ID，用于标识生成消息认证码的密钥算法的Authentication Algorithm，用于存放生成消息认证码的密钥的Authentication Key，用于标识防止重放攻击的Sequence Number，用于标识生存时间的Life Time等。

手动配置的安全联盟存在诸多问题，尤其是当网络规模很大时，手动更新安全联盟的效率不仅非常慢，而且容易出错。一般而言，在下述情况下需更新安全联盟：当管理路由器的员工离职时，处于安全的考虑一般需要更新安全联盟；每个密钥都存在生存周期，而当生存周期到期时，需要更新；不能很好地使用多种密钥，当用户希望使用新的密码算法时，同样需要更新安全联盟。

IKEv2是为互联网协议第六版(IPv6)IP层的数据安全传输机制(IPsec)而提供的安全联盟协商协议。该协议也支持互联网协议第四版(IPv4)。IKEv2的安全联盟协商过程总共可涉及四类交换，即IKE_SA_INIT交换、IKE_AUTH交换、CREATE_CHILD_SA交换和INFORMATIONAL交换。