[发明专利]基于双向转发检测协议的安全联盟管理方法及系统

权利要求书

1.一种基于双向转发检测协议的安全联盟管理方法，其特征在于，在第一路由器和第二路由器之间交互的控制报文中设置Type字段、Nonce字段和keyidentifier字段，该方法包括：

第一路由器和第二路由器根据所述控制报文完成安全联盟的创建及更新。

2.根据权利要求1所述的方法，其特征在于，所述第一路由器和第二路由器根据所述控制报文完成安全联盟的创建为：

第一路由器从本地密钥表获取第二路由器对应的记录，并生成一随机数nonce1；

第一路由器根据所述第二路由器对应的记录以及nonce1，生成并存储安全联盟；

第一路由器根据所述安全联盟向第二路由器发送第一控制报文，其中，所述第一控制报文认证部分的key identifier字段填充第二路由器对应的记录中LocalKeyID字段的内容，Nonce字段填充所述nonce1，Type字段指示该消息为基于个人Nonce创建安全联盟的请求消息；

第二路由器根据所述第一控制报文中的key identifier字段在本地密钥表中找到对应的记录，则根据所述对应的记录以及nonce1生成并存储对应的安全联盟，根据所述安全联盟验证第一控制报文完整后，根据所述安全联盟向第一路由器发送第二控制报文，其中，所述第二控制报文认证部分的key identifier字段和Nonce字段与第一控制报文相同，Type字段指示该消息为基于个人Nonce创建安全联盟的应答消息；

第一路由器根据所述第二控制报文判定第二路由器认可了自己生成的安全联盟，则安全联盟创建成功。

3.根据权利要求2所述的方法，其特征在于，所述第一路由器或第二路由器生成安全联盟时，根据下式确定K和Auth Key ID：

K＝trancate(prf(Key，LocalKeyID，interface，nonce1))，

Auth Key ID＝trancate-16(prf(Key，LocalKeyID，interface，nonce1))，

其中，Key为所述从本地key table中获取的记录中的key，LocalKeyID为所述从本地key table中获取的记录中的字段，trancate-16表示从prf函数生成的结果中截取前面的16位。生成K时的trancate表示根据安全联盟中算法需要截取相应长度的密钥。

4.根据权利要求1所述的方法，其特征在于，所述第一路由器和第二路由器根据所述控制报文完成安全联盟的创建为：

第一路由器从本地密钥表获取第二路由器对应的记录，并生成一随机数nonce2；

第一路由器根据所述第二路由器对应的记录以及nonce2，生成并存储安全联盟；

第一路由器根据所述安全联盟向第二路由器发送第三控制报文，其中，所述第三控制报文认证部分的key identifier字段填充第二路由器对应的记录中LocalKeyID字段的内容，Nonce字段填充所述nonce2，Type字段指示该消息为基于双方Nonce创建安全联盟的请求消息；

第二路由器根据所述第三控制报文中的key identifier字段从本地密钥表找到对应的记录，则根据所述对应的记录以及nonce2生成并存储对应的安全联盟，根据所述安全联盟验证第三控制报文完整后，生成一随机数nonce3，并根据所述对应的记录、nonce2和nonce3修改本地存储的安全联盟；

第二路由器根据所述修改后的安全联盟向第一路由器发送第四控制报文，其中，所述第四控制报文认证部分的key identifier字段与第三控制报文相同，Nonce字段填充为nonce3，Type字段指示该消息为基于双方Nonce创建安全联盟的应答消息；

第一路由器根据所述第四控制报文判定第二路由器认可了自己生成的安全联盟，则根据本地密钥表中第二路由器对应的记录、nonce2和nonce3修改本地存储的安全联盟，安全联盟创建成功。