CN113839778B - 一种用于接入路由器的安全虚连接协议方法和系统 - Google Patents
一种用于接入路由器的安全虚连接协议方法和系统 Download PDFInfo
- Publication number
- CN113839778B CN113839778B CN202111428207.5A CN202111428207A CN113839778B CN 113839778 B CN113839778 B CN 113839778B CN 202111428207 A CN202111428207 A CN 202111428207A CN 113839778 B CN113839778 B CN 113839778B
- Authority
- CN
- China
- Prior art keywords
- router
- module
- svlp
- passive
- active
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
本发明提出一种用于接入路由器的安全虚连接协议方法和系统。所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路。所述方法包括:步骤S1、节点信息交互;步骤S2、密钥协商;步骤S3、虚链路建立;步骤S4、密钥更新;步骤S5、虚连接带宽更新;步骤S6、虚连接拆除。
Description
技术领域
本发明属于通信协议领域,尤其涉及一种用于接入路由器的安全虚连接协议方法和系统。
背景技术
企业网、校园网等是依托、借助互联网安全防护体系与设备建设起来的专用网络,用以传输处理内部信息,担负着重要的安全保密任务。由于网络系统的对外开放性、自身设计的缺陷性和对外防御策略的考虑不足,接入路由器间需要建立安全的虚连接,否则容易遭受外部网络病毒侵入而酿成重大的事故。
随着互联网应用的蓬勃发展,基于隧道的网络扩容技术得到广泛应用。然而,当前使用的连接控制协议只负责维护、终止和配置任务的功能,对双方配置是否适配进行校验,缺乏一种可靠的技术手段,难以完成对等体安全鉴别等工作,给通信双方信息传输的机密性带来潜在威胁。
发明内容
针对上述技术问题,本发明提出了一种用于接入路由器的安全虚连接协议(SVLP,Security Virtual Link Protocol)方案。该方案用于安全接入路由器间建立安全虚连接的控制协议,完成协议对等体安全鉴别、虚连接建立、虚连接维护、密钥协商和控制具有带宽资源保证的路径建立。
本方案提出将密钥协商纳入虚连接过程,提出将路由器之间的虚连接参数信息作为密钥协商合法性判决的技术思路。这一思路的创新体现在三方面:一是将路由器虚连接建立和密钥协商两个过程紧耦合,由虚连接发起的路由器启动密钥协商过程;二是将完成密钥协商作为虚连接建立的先决条件,只有当密钥协商通过之后才能进行虚连接业务传输;三是虚连接传输业务结束后,即刻虚连接拆除、密钥失效,在时间尺度上实现传输安全性和带宽高效性的统一。有效的保证路由器间受控互通、带服务质量保证的安全虚连接。
本发明第一方面公开了一种用于接入路由器的安全虚连接协议方法。所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路;所述方法包括:
步骤S1、节点信息交互:通过安全接入的路由器的SVLP模块进行所述节点信息交互,所述SVLP模块为安全虚连接协议模块;
步骤S2、密钥协商:所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商;
步骤S3、虚链路建立:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立;
步骤S4、密钥更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新;
步骤S5、虚连接带宽更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新;
步骤S6、虚连接拆除:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。
根据本发明第一方面的方法,在所述步骤S1中,所述通过路由器的SVLP模块进行所述路由器信息交互的具体方法包括:
步骤S11、当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后,更新本路由器的路由器信息;
步骤S12、所述路由器的SVLP模块将所述路由器信息同步至配置了虚连接的对端路由器,即被动方路由器;
步骤S13、当所述被动方路由器的SVLP模块收到所述路由器信息的交互信息后,更新本地存储的路由器信息表,并发送路由器信息交互应答消息给发送端路由器,即所述主动方路由器。
根据本发明第一方面的方法,在所述步骤S2中,所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商的具体方法包括:
步骤S21、所述路由器的SVLP模块收到网管发送的安全虚连接配置后,作为安全虚连接的主动方路由器发送密钥协商启动消息给主动方加密模块;
步骤S22、 所述主动方路由器的所述路由器的SVLP模块在收到所述主动方加密模块返回的密钥协商报文后,向被动方路由器发送密钥协商请求报文;
步骤S23、被动方路由器的SVLP模块收到所述密钥协商请求报文后,进行合法性判决后,根据匹配的虚链路信息,将所述密钥协商报文发送给被动方加密模块;
步骤S24、被动方路由器的SVLP模块收到被动方加密模块返回的密钥协商报文后,由被动方路由器的SVLP模块构造密钥协商应答报文发送给所述主动方路由器;
步骤S25、所述主动方路由器收到密钥协商应答后,将密钥协商报文发送给主动方加密模块;
步骤S26、如此重复步骤S21-步骤S25发送密钥协商消息及应答消息,直至主动方加密模块和被动方加密模块完成密钥协商;待主动方路由器和被动方路由器收到各自加密模块的密钥协商完成消息后,完成密钥协商。
根据本发明第一方面的方法,在所述步骤S3中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立的具体方法包括:
步骤S31、所述主动方路由器的SVLP模块和被动方路由器的SVLP模块分别给各自的路由模块发送流表配置;
步骤S32、主动方路由模块和被动方路由模块的流表配置完成后,向各自的所述路由器的SVLP模块发送流表配置成功应答;
步骤S33、所述主动方路由器的SVLP模块向被动方路由器发送虚链路建立请求消息;
步骤S34、所述被动方路由器的SVLP模块收到主动方发送的虚链路建立请求后,完成身份标识协商,并发送虚链路建立应答消息;
步骤S35、当所述主动方路由器的SVLP模块收到被动方发送的虚链路建立应答消息后,记录对端协商身份标识,完成虚链路协商;
步骤S36、虚链路协商完成后,所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块通知本端各自的路由模块虚连接编号、协商身份标识信息,同时判断网管配置的资源预留标识,如果需要预留资源,则申请建立资源预留路径;
步骤S37、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块发送的路径建立信息后,所述虚链路建立完成;
步骤S38、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块封装流表限流结果,向各自的路由模块发送流表配置;
步骤S39、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块流表配置应答后,安全虚链路建立成功,虚连接业务传输基于步骤2协商的密钥;
步骤S310、所述主动方路由器的SVLP模块发起虚连接维护请求并等待维护应答报文的接收,被动方路由器等待接收虚连接维护请求以判决主动方虚连接的存活。
根据本发明第一方面的方法,在所述步骤S4中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新的具体方法包括:
步骤S41、当接入的路由器的密钥超时后,所述主动方路由器的SVLP模块给所述主动方加密模块发送密钥协商启动消息;
步骤S42、所述主动方路由器的SVLP模块在收到所述主动方加密模块发送的所述密钥协商报文后,所述主动方路由器的SVLP模块发送密钥更新请求消息给被动方路由器,所述请求消息携带密钥协商内容;
步骤S43、当被动方路由器收到密钥更新请求消息时,会给所述被动方加密模块发送密钥协商,并向主动方路由器发送密钥更新应答消息;
步骤S44、主动方路由器将收到的被动方密钥协商的报文发送给主动方加密模块,直到收到密钥协商完成通知;所述被动方加密模块进行密钥协商,直到收到密钥协商完成通知;
步骤S45、当所述主动方路由器的SVLP模块完成密钥协商后,设置密钥更新请求中密钥协商状态值发送给所述被动方路由器的SVLP模块;
步骤S46、所述被动方路由器的SVLP模块收到协商成功的密钥更新请求后,将本端密钥状态在密钥更新应答中发给主动方路由器,同时更新虚连接对应的流表配置;
步骤S47、发起密钥更新的所述被动方路由器收到更新成功状态的密钥更新应答报文后,也更新所述虚连接对应的流表配置;
步骤S48、所述主动方路由器和所述被动方路由器完成密钥更新后,虚连接的传输基于新的密钥。
根据本发明第一方面的方法,在所述步骤S5中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新的具体方法包括:
步骤S51、当所述主动方路由器的SVLP模块或者所述被动方路由器的SVLP模块收到带宽配置更改时,通知各自的路由模块路径带宽更新请求;
步骤S52、 所述主动方路由模块和被动方路由模块收到路径带宽更新请求,对虚连接带宽进行配置,并发送路径带宽更新应答消息;
步骤S53、所述主动方路由模块和被动方路由模块给路由设备下发流表配置,并向各自的路由器的SVLP模块回复流表配置应答。
根据本发明第一方面的方法,在所述步骤S6中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除的具体方法包括:
步骤S61、当所述主动方路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息给被动方路由器;
步骤S62、当所述被动方路由器收到虚连接释放请求时,在对虚连接消息序号、源身份合法鉴别后,发送虚连接释放应答给所述主动方路由器;
步骤S63、所述主动方路由器和所述被动方路由器分别给各自的路由模块发送链路拆链、流表删除请求;
步骤S64、所述主动方路由模块和所述被动方路由模块完成链路拆链、流表删除后,向各自的路由器的SVLP模块发送链路拆链应答后,虚连接拆除完成。
本发明第二方面公开了一种用于接入路由器的安全虚连接协议系统。所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路;所述系统包括:
第一处理单元,被配置为执行节点信息交互:通过安全接入的路由器的SVLP模块进行所述节点信息交互,所述SVLP模块为安全虚连接协议模块;
第二处理单元,被配置为执行密钥协商:所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商;
第三处理单元,被配置为执行虚链路建立:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立;
第四处理单元,被配置为执行密钥更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新;
第五处理单元,被配置为执行虚连接带宽更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新;
第六处理单元,被配置为执行虚连接拆除:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。
根据本发明第二方面的系统,所述第一处理单元具体被配置为执行以下步骤:
步骤S11、当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后,更新本路由器的路由器信息;
步骤S12、所述路由器的SVLP模块将所述路由器信息同步至配置了虚连接的对端路由器,即被动方路由器;
步骤S13、当所述被动方路由器的SVLP模块收到所述路由器的交互信息后,更新本地存储的路由器信息表,并发送路由器信息交互应答消息给发送端路由器,即所述主动方路由器。
根据本发明第二方面的系统,所述第二处理单元具体被配置为执行以下步骤:
步骤S21、所述路由器的SVLP模块收到网管发送的安全虚连接配置后,作为安全虚连接的主动方路由器发送密钥协商启动消息给主动方加密模块;
步骤S22、所述主动方路由器的所述路由器的SVLP模块在收到所述主动方加密模块返回的密钥协商报文后,向被动方路由器发送密钥协商请求报文;
步骤S23、被动方路由器的SVLP模块收到所述密钥协商请求报文后,进行合法性判决后,根据匹配的虚链路信息,将所述密钥协商报文发送给被动方加密模块;
步骤S24、被动方路由器的SVLP模块收到被动方加密模块返回的密钥协商报文后,由被动方路由器的SVLP模块构造密钥协商应答报文发送给所述主动方路由器;
步骤S25、所述主动方路由器收到密钥协商应答后,将密钥协商报文发送给主动方加密模块;
步骤S26、如此重复步骤S21-步骤S25发送密钥协商消息及应答消息,直至主动方加密模块和被动方加密模块完成密钥协商;待主动方路由器和被动方路由器收到各自加密模块的密钥协商完成消息后,完成密钥协商。
根据本发明第二方面的系统,所述第三处理单元具体被配置为执行以下步骤:
步骤S31、所述主动方路由器的SVLP模块和被动方路由器的SVLP模块分别给各自的路由模块发送流表配置;
步骤S32、主动方路由模块和被动方路由模块的流表配置完成后,向各自的所述路由器的SVLP模块发送流表配置成功应答;
步骤S33、所述主动方路由器的SVLP模块向被动方路由器发送虚链路建立请求消息;
步骤S34、所述被动方路由器的SVLP模块收到主动方发送的虚链路建立请求后,完成身份标识协商,并发送虚链路建立应答消息;
步骤S35、当所述主动方路由器的SVLP模块收到被动方发送的虚链路建立应答消息后,记录对端协商身份标识,完成虚链路协商;
步骤S36、虚链路协商完成后,所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块通知本端各自的路由模块虚连接编号、协商身份标识信息,同时判断网管配置的资源预留标识,如果需要预留资源,则申请建立资源预留路径;
步骤S37、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块发送的路径建立信息后,所述虚链路建立完成;
步骤S38、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块封装流表限流结果,向各自的路由模块发送流表配置;
步骤S39、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块流表配置应答后,安全虚链路建立成功,虚连接业务传输基于步骤2协商的密钥;
步骤S310、所述主动方路由器的SVLP模块发起虚连接维护请求并等待维护应答报文的接收,被动方路由器等待接收虚连接维护请求以判决主动方虚连接的存活。
根据本发明第二方面的系统,所述第四处理单元具体被配置为执行以下步骤:
步骤S41、当接入的路由器的密钥超时后,所述主动方路由器的SVLP模块给所述主动方加密模块发送密钥协商启动消息;
步骤S42、所述主动方路由器的SVLP模块在收到所述主动方加密模块发送的所述密钥协商报文后,所述主动方路由器的SVLP模块发送密钥更新请求消息给被动方路由器,所述请求消息携带密钥协商内容;
步骤S43、当被动方路由器收到密钥更新请求消息时,会给所述被动方加密模块发送密钥协商,并向主动方路由器发送密钥更新应答消息;
步骤S44、主动方路由器将收到的被动方密钥协商的报文发送给主动方加密模块,直到收到密钥协商完成通知;所述被动方加密模块进行密钥协商,直到收到密钥协商完成通知;
步骤S45、当所述主动方路由器的SVLP模块完成密钥协商后,设置密钥更新请求中密钥协商状态值发送给所述被动方路由器的SVLP模块;
步骤S46、所述被动方路由器的SVLP模块收到协商成功的密钥更新请求后,将本端密钥状态在密钥更新应答中发给主动方路由器,同时更新虚连接对应的流表配置;
步骤S47、发起密钥更新的所述被动方路由器收到更新成功状态的密钥更新应答报文后,也更新所述虚连接对应的流表配置;
步骤S48、所述主动方路由器和所述被动方路由器完成密钥更新后,虚连接的传输基于新的密钥。
根据本发明第二方面的系统,所述第五处理单元具体被配置为执行以下步骤:
步骤S51、当所述主动方路由器的SVLP模块或者所述被动方路由器的SVLP模块收到带宽配置更改时,通知各自的路由模块路径带宽更新请求;
步骤S52、 所述主动方路由模块和被动方路由模块收到路径带宽更新请求,对虚连接带宽进行配置,并发送路径带宽更新应答消息;
步骤S53、所述主动方路由模块和被动方路由模块给路由设备下发流表配置,并向各自的路由器的SVLP模块回复流表配置应答。
根据本发明第二方面的系统,所述第六处理单元具体被配置为执行以下步骤:
步骤S61、当所述主动方路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息给被动方路由器;
步骤S62、当所述被动方路由器收到虚连接释放请求时,在对虚连接消息序号、源身份合法鉴别后,发送虚连接释放应答给所述主动方路由器;
步骤S63、所述主动方路由器和所述被动方路由器分别给各自的路由模块发送链路拆链、流表删除请求;
步骤S64、所述主动方路由模块和所述被动方路由模块完成链路拆链、流表删除后,向各自的路由器的SVLP模块发送链路拆链应答后,虚连接拆除完成。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种用于接入路由器的安全虚连接协议方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种用于接入路由器的安全虚连接协议方法中的步骤。
综上,在本发明提出的的技术方案中,当安全接入路由器的SVLP模块收到实链路信息后,会更新路由器的节点信息,并将路由器节点信息同步至与其配置了虚连接的其它节点;接入路由器SVLP收到网管的安全虚连接表配置后,根据安全虚连接建立参数,发送密钥协商消息及应答消息完成密钥协商;完成密钥协商流程后,两方路由器会分别给路由模块发送流表配置,建立虚链路;当接入路由器密钥超时后,会重新进行密钥协商;同时网管可对虚连接带宽配置进行修改;当主动方接入路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息,拆除虚链路。
以上方案实现了:(1)基于设备通道传输来提供安全防护和源身份合法鉴别,与安全接入路由器中多个模块有功能接口;(2)规定了网络系统安全虚连接协议的处理流程等内容;(3)为安全接入路由器之间建立受控互通、带服务质量保证的安全虚连接。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的安全虚连接协议在路由设备中的层次示意图;
图2为根据本发明实施例的安全虚连接协议的功能组成示意图;
图3为根据本发明实施例的一种用于接入路由器的安全虚连接协议方法的流程图;
图4为根据本发明实施例的节点信息交互的流程示意图;
图5为根据本发明实施例的密钥协商的流程示意图;
图6为根据本发明实施例的虚链路建立的流程示意图;
图7为根据本发明实施例的密钥更新的流程示意图;
图8为根据本发明实施例的虚连接带宽更新的流程示意图;
图9为根据本发明实施例的虚连接拆除的流程示意图;
图10为根据本发明实施例的一种用于接入路由器的安全虚连接协议系统的结构图;
图11为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种用于接入路由器的安全虚连接协议方法。所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路。
图1为根据本发明实施例的安全虚连接协议在路由设备中的层次示意图;如图1所示,安全虚连接协议是一个对称协议,即协议通信的两个通信实体之间关系是对等的。协议主要为路由器之间建立受控互通、带服务质量保证的安全虚连接。在安全虚连接协议中,一条虚连接支持建立多条虚链路,虚链路指安全接入路由器之间建立的虚连接链路,安全标记是安全虚连接协议与路由器关联的虚链路标识。
图2为根据本发明实施例的安全虚连接协议的功能组成示意图;如图2所示,安全虚连接协议主要由报文处理、虚链路控制、密钥协商、策略管理组成。
1)报文处理利用设备间安全加密和抗重放提供安全传输功能,包含报文封装、解封装、抗重放功能。
2)虚链路控制建立策略表,维护管理虚连接状态并控制虚连接的建立、删除和更新操作。
3)密钥协商通过与加密模块交互,控制完成虚连接建立过程的密钥协商,并在安全虚连接建立后,控制完成安全虚连接周期密钥更换。
4)策略管控主要建立安全虚连接策略表并进行配置、管理和控制,根据虚连接配置、两端设备状态信息,控制虚链路的建立、重建等功能。
图3为根据本发明实施例的一种用于接入路由器的安全虚连接协议方法的流程图;如图3所示,所述方法包括:
步骤S1、节点信息交互:通过安全接入的路由器的SVLP模块进行所述节点信息交互,所述SVLP模块为安全虚连接协议模块;
步骤S2、密钥协商:所述路由器的SVLP模块收到网管发送的安全虚连接配置后,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商;
步骤S3、虚链路建立:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立;
步骤S4、密钥更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新;
步骤S5、虚连接带宽更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新;
步骤S6、虚连接拆除:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。
在一些实施例中,在所述步骤S1中,所述通过路由器的SVLP模块进行所述路由器信息交互的具体方法包括:
步骤S11、当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后,更新本路由器的路由器信息;
步骤S12、所述路由器的SVLP模块将所述路由器信息同步至配置了虚连接的对端路由器,即被动方路由器;
步骤S13、当所述被动方路由器的SVLP模块收到所述路由器的交互信息后,更新本地存储的路由器信息表,并发送路由器信息交互应答消息给发送端路由器,即所述主动方路由器。
图4为根据本发明实施例的节点信息交互的流程示意图;如图4所示,当安全接入路由器的SVLP模块收到路由模块报告的实链路信息后,更新本路由器的节点信息。SVLP模块将路由器节点信息同步至与其配置了虚连接的对端节点。当SVLP模块收到对端路由器节点信息交互信息后,更新本地存储的路由器节点信息表,并发送节点信息交互应答消息给发送端路由器。
在一些实施例中,在所述步骤S2中,所述路由器的SVLP模块收到网管发送的安全虚连接配置后,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商的具体方法包括:
步骤S21、所述路由器的SVLP模块收到网管发送的安全虚连接配置后,作为安全虚连接的主动方路由器发送密钥协商启动消息给主动方加密模块;
步骤S22、所述主动方路由器的所述路由器的SVLP模块在收到所述主动方加密模块返回的密钥协商报文后,向被动方路由器发送密钥协商请求报文;
步骤S23、被动方路由器的SVLP模块收到所述密钥协商请求报文后,进行合法性判决后,根据匹配的虚链路信息,将所述密钥协商报文发送给被动方加密模块;
步骤S24、被动方路由器的SVLP模块收到被动方加密模块返回的密钥协商报文后,由被动方路由器的SVLP模块构造密钥协商应答报文发送给所述主动方路由器;
步骤S25、所述主动方路由器收到密钥协商应答后,将密钥协商报文发送给主动方加密模块;
步骤S26、如此重复步骤S21-步骤S25发送密钥协商消息及应答消息,直至主动方加密模块和被动方加密模块完成密钥协商;待主动方路由器和被动方路由器收到各自加密模块的密钥协商完成消息后,完成密钥协商。
图5为根据本发明实施例的密钥协商的流程示意图;如图5所示,接入路由器SVLP收到网管发送的安全虚连接配置后,作为安全虚连接主动方发送密钥协商启动消息给加密模块。SVLP在收到加密模块返回的密钥协商报文后,向被动方接入路由器发送密钥协商请求报文。被动方接入路由器SVLP收到密钥协商请求报文后,进行合法性判决后,根据匹配的虚链路信息,将密钥协商报文发送给加密模块。SVLP收到加密模块返回的密钥协商报文后,由SVLP构造密钥协商应答报文发送给主动方接入路由器。主动方接入路由器收到密钥协商应答后,将密钥协商报文发送给加密模块。如此重复发送密钥协商消息及应答消息,直至主、被动方的接入路由器加密模块完成密钥协商。待两端接入路由器收到加密模块的密钥协商完成消息后,完成密钥协商流程。
在一些实施例中,在所述步骤S3中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立的具体方法包括:
步骤S31、所述主动方路由器的SVLP模块和被动方路由器的SVLP模块分别给各自的路由模块发送流表配置;
步骤S32、主动方路由模块和被动方路由模块的流表配置完成后,向各自的所述路由器的SVLP模块发送流表配置成功应答;
步骤S33、所述主动方路由器的SVLP模块向被动方路由器发送虚链路建立请求消息;
步骤S34、所述被动方路由器的SVLP模块收到主动方发送的虚链路建立请求后,完成身份标识协商,并发送虚链路建立应答消息;
步骤S35、当所述主动方路由器的SVLP模块收到被动方发送的虚链路建立应答消息后,记录对端协商身份标识,完成虚链路协商;
步骤S36、虚链路协商完成后,所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块通知本端各自的路由模块虚连接编号、协商身份标识信息,同时判断网管配置的资源预留标识,如果需要预留资源,则申请建立资源预留路径;
步骤S37、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块发送的路径建立信息后,所述虚链路建立完成;
步骤S38、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块封装流表限流结果,向各自的路由模块发送流表配置;
步骤S39、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块流表配置应答后,安全虚链路建立成功,虚连接业务传输基于步骤2协商的密钥;
步骤S310、所述主动方路由器的SVLP模块发起虚连接维护请求并等待维护应答报文的接收,被动方路由器等待接收虚连接维护请求以判决主动方虚连接的存活。
图6为根据本发明实施例的虚链路建立的流程示意图;如图6所示,主动、被动方接入路由器SVLP分别给各自的路由模块发送流表配置。路由模块流表配置完成后,向SVLP发送流表配置成功应答。主动方接入路由器SVLP向被动方接入路由器发送虚链路建立请求消息。被动方接入路由器SVLP收到主动方发送的虚链路建立请求后,完成身份标识协商,并发送虚链路建立应答消息。当主动方接入路由器SVLP收到被动方发送的虚链路建立应答消息后,记录对端协商身份标识,完成虚链路协商。虚链路协商完成后,主、被动方接入路由器SVLP通知本端路由模块虚连接编号、协商身份标识等信息,同时判断网管配置的资源预留标识,如果需要预留资源,则申请建立资源预留路径。当SVLP收到路由模块发送的路径建立信息后,路径建立完成。主、被动方接入路由器SVLP封装流表限流结果,向路由模块发送流表配置。当SVLP收到路由模块流表配置应答后,安全虚链路建立成功,虚连接业务传输基于步骤2协商的密钥。主动方SVLP发起虚连接维护请求并等待维护应答报文的接收,被动方等待接收虚连接维护请求以判决主动方虚连接的存活。
在一些实施例中,在所述步骤S4中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新的具体方法包括:
步骤S41、当接入的路由器的密钥超时后,所述主动方路由器的SVLP模块给所述主动方加密模块发送密钥协商启动消息;
步骤S42、所述主动方路由器的SVLP模块在收到所述主动方加密模块发送的所述密钥协商报文后,所述主动方路由器的SVLP模块发送密钥更新请求消息给被动方路由器,所述请求消息携带密钥协商内容;
步骤S43、当被动方路由器收到密钥更新请求消息时,会给所述被动方加密模块发送密钥协商,并向主动方路由器发送密钥更新应答消息;
步骤S44、主动方路由器将收到的被动方密钥协商的报文发送给主动方加密模块,直到收到密钥协商完成通知;所述被动方加密模块进行密钥协商,直到收到密钥协商完成通知;
步骤S45、当所述主动方路由器的SVLP模块完成密钥协商后,设置密钥更新请求中密钥协商状态值发送给所述被动方路由器的SVLP模块;
步骤S46、所述被动方路由器的SVLP模块收到协商成功的密钥更新请求后,将本端密钥状态在密钥更新应答中发给主动方路由器,同时更新虚连接对应的流表配置;
步骤S47、发起密钥更新的所述被动方路由器收到更新成功状态的密钥更新应答报文后,也更新所述虚连接对应的流表配置;
步骤S48、所述主动方路由器和所述被动方路由器完成密钥更新后,虚连接的传输基于新的密钥。
图7为根据本发明实施例的密钥更新的流程示意图;如图7所示,当接入路由器密钥超时后,SVLP给加密模块发送密钥协商启动消息。在收到加密模块发送的密钥协商报文后,SVLP发送密钥更新建立请求给被动方,该消息携带密钥协商内容。当被动方接入路由器收到密钥更新请求消息时,会给加密模块发送密钥协商,并向主动方接入路由器发送密钥更新应答消息。主动方接入路由器将收到的被动方密钥协商报文发送给加密模块,直到收到密钥协商完成通知;被动方接入路由器加密模块进行密钥协商,直到收到密钥协商完成通知。当发起密钥更新方SVLP完成密钥协商后,设置密钥更新请求中密钥协商状态值发送给对端SVLP。被动方SVLP收到协商成功的密钥更新请求后,将本端密钥状态在密钥更新应答中发给主动方,同时更新该虚连接对应的流表配置。发起密钥更新方收到更新成功状态的密钥更新应答报文后,也更新该虚连接对应的流表配置。主动方、被动方完成密钥更新,其虚连接业务传输基于新的密钥。
在一些实施例中,在所述步骤S5中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新的具体方法包括:
步骤S51、当所述主动方路由器的SVLP模块或者所述被动方路由器的SVLP模块收到带宽配置更改时,通知各自的路由模块路径带宽更新请求;
步骤S52、 所述主动方路由模块和被动方路由模块收到路径带宽更新请求,对虚连接带宽进行配置,并发送路径带宽更新应答消息;
步骤S53、所述主动方路由模块和被动方路由模块给路由设备下发流表配置,并向各自的路由器的SVLP模块回复流表配置应答。
图8为根据本发明实施例的虚连接带宽更新的流程示意图;如图8所示,网管虚连接带宽配置进行修改,当接入路由器SVLP模块收到带宽配置更改时,通知路由模块路径带宽更新请求。路由模块收到路径带宽更新请求,对虚连接带宽进行配置,并发送路径带宽更新应答消息。路由模块给路由设备下发流表配置,并向SVLP回复流表配置应答。
在一些实施例中,在所述步骤S6中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除的具体方法包括:
步骤S61、当所述主动方路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息给被动方路由器;
步骤S62、当所述被动方路由器收到虚连接释放请求时,在对虚连接消息序号、源身份合法鉴别后,发送虚连接释放应答给所述主动方路由器;
步骤S63、所述主动方路由器和所述被动方路由器分别给各自的路由模块发送链路拆链、流表删除请求;
步骤S64、所述主动方路由模块和所述被动方路由模块完成链路拆链、流表删除后,向各自的路由器的SVLP模块发送链路拆链应答后,虚连接拆除完成。
图9为根据本发明实施例的虚连接拆除的流程示意图;如图9所示,当主动方接入路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息给被动方接入路由器。当被动方接入路由器收到虚连接释放请求时,在对虚连接消息序号、源身份合法鉴别后,发送虚连接释放应答给主动方接入路由器,主、被动方分别给路由模块发送链路拆链、流表删除请求。路由模块完成链路拆链、流表删除后,向SVLP发送链路拆链应答后,虚连接拆除完成。
本发明第二方面公开了一种用于接入路由器的安全虚连接协议系统。所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路。
图10为根据本发明实施例的一种用于接入路由器的安全虚连接协议系统的结构图;如图10所示,所述系统100包括:
第一处理单元101,被配置为执行节点信息交互:通过安全接入的路由器的SVLP模块进行所述节点信息交互,所述SVLP模块为安全虚连接协议模块;
第二处理单元102,被配置为执行密钥协商:所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商;
第三处理单元103,被配置为执行虚链路建立:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立;
第四处理单元104,被配置为执行密钥更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新;
第五处理单元105,被配置为执行虚连接带宽更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新;
第六处理单元106,被配置为执行虚连接拆除:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。
根据本发明第二方面的系统,所述第一处理单元101具体被配置为执行以下步骤:
步骤S11、当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后,更新本路由器的路由器信息;
步骤S12、所述路由器的SVLP模块将所述路由器信息同步至配置了虚连接的对端路由器,即被动方路由器;
步骤S13、当所述被动方路由器的SVLP模块收到所述路由器的交互信息后,更新本地存储的路由器信息表,并发送路由器信息交互应答消息给发送端路由器,即所述主动方路由器。
根据本发明第二方面的系统,所述第二处理单元102具体被配置为执行以下步骤:
步骤S21、所述路由器的SVLP模块收到网管发送的安全虚连接配置后,作为安全虚连接的主动方路由器发送密钥协商启动消息给主动方加密模块;
步骤S22、所述主动方路由器的所述路由器的SVLP模块在收到所述主动方加密模块返回的密钥协商报文后,向被动方路由器发送密钥协商请求报文;
步骤S23、被动方路由器的SVLP模块收到所述密钥协商请求报文后,进行合法性判决后,根据匹配的虚链路信息,将所述密钥协商报文发送给被动方加密模块;
步骤S24、被动方路由器的SVLP模块收到被动方加密模块返回的密钥协商报文后,由被动方路由器的SVLP模块构造密钥协商应答报文发送给所述主动方路由器;
步骤S25、所述主动方路由器收到密钥协商应答后,将密钥协商报文发送给主动方加密模块;
步骤S26、如此重复步骤S21-步骤S25发送密钥协商消息及应答消息,直至主动方加密模块和被动方加密模块完成密钥协商;待主动方路由器和被动方路由器收到各自加密模块的密钥协商完成消息后,完成密钥协商。
根据本发明第二方面的系统,所述第三处理单元103具体被配置为执行以下步骤:
步骤S31、所述主动方路由器的SVLP模块和被动方路由器的SVLP模块分别给各自的路由模块发送流表配置;
步骤S32、主动方路由模块和被动方路由模块的流表配置完成后,向各自的所述路由器的SVLP模块发送流表配置成功应答;
步骤S33、所述主动方路由器的SVLP模块向被动方路由器发送虚链路建立请求消息;
步骤S34、所述被动方路由器的SVLP模块收到主动方发送的虚链路建立请求后,完成身份标识协商,并发送虚链路建立应答消息;
步骤S35、当所述主动方路由器的SVLP模块收到被动方发送的虚链路建立应答消息后,记录对端协商身份标识,完成虚链路协商;
步骤S36、虚链路协商完成后,所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块通知本端各自的路由模块虚连接编号、协商身份标识信息,同时判断网管配置的资源预留标识,如果需要预留资源,则申请建立资源预留路径;
步骤S37、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块发送的路径建立信息后,所述虚链路建立完成;
步骤S38、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块封装流表限流结果,向各自的路由模块发送流表配置;
步骤S39、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块流表配置应答后,安全虚链路建立成功,虚连接业务传输基于步骤2协商的密钥;
步骤S310、所述主动方路由器的SVLP模块发起虚连接维护请求并等待维护应答报文的接收,被动方路由器等待接收虚连接维护请求以判决主动方虚连接的存活。
根据本发明第二方面的系统,所述第四处理单元104具体被配置为执行以下步骤:
步骤S41、当接入的路由器的密钥超时后,所述主动方路由器的SVLP模块给所述主动方加密模块发送密钥协商启动消息;
步骤S42、所述主动方路由器的SVLP模块在收到所述主动方加密模块发送的所述密钥协商报文后,所述主动方路由器的SVLP模块发送密钥更新请求消息给被动方路由器,所述请求消息携带密钥协商内容;
步骤S43、当被动方路由器收到密钥更新请求消息时,会给所述被动方加密模块发送密钥协商,并向主动方路由器发送密钥更新应答消息;
步骤S44、主动方路由器将收到的被动方密钥协商的报文发送给主动方加密模块,直到收到密钥协商完成通知;所述被动方加密模块进行密钥协商,直到收到密钥协商完成通知;
步骤S45、当所述主动方路由器的SVLP模块完成密钥协商后,设置密钥更新请求中密钥协商状态值发送给所述被动方路由器的SVLP模块;
步骤S46、所述被动方路由器的SVLP模块收到协商成功的密钥更新请求后,将本端密钥状态在密钥更新应答中发给主动方路由器,同时更新虚连接对应的流表配置;
步骤S47、发起密钥更新的所述被动方路由器收到更新成功状态的密钥更新应答报文后,也更新所述虚连接对应的流表配置;
步骤S48、所述主动方路由器和所述被动方路由器完成密钥更新后,虚连接的传输基于新的密钥。
根据本发明第二方面的系统,所述第五处理单元105具体被配置为执行以下步骤:
步骤S51、当所述主动方路由器的SVLP模块或者所述被动方路由器的SVLP模块收到带宽配置更改时,通知各自的路由模块路径带宽更新请求;
步骤S52、 所述主动方路由模块和被动方路由模块收到路径带宽更新请求,对虚连接带宽进行配置,并发送路径带宽更新应答消息;
步骤S53、所述主动方路由模块和被动方路由模块给路由设备下发流表配置,并向各自的路由器的SVLP模块回复流表配置应答。
根据本发明第二方面的系统,所述第六处理单元106具体被配置为执行以下步骤:
步骤S61、当所述主动方路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息给被动方路由器;
步骤S62、当所述被动方路由器收到虚连接释放请求时,在对虚连接消息序号、源身份合法鉴别后,发送虚连接释放应答给所述主动方路由器;
步骤S63、所述主动方路由器和所述被动方路由器分别给各自的路由模块发送链路拆链、流表删除请求;
步骤S64、所述主动方路由模块和所述被动方路由模块完成链路拆链、流表删除后,向各自的路由器的SVLP模块发送链路拆链应答后,虚连接拆除完成。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种用于接入路由器的安全虚连接协议方法中的步骤。
图11为根据本发明实施例的一种电子设备的结构图,如图11所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种用于接入路由器的安全虚连接协议方法中的步骤。
综上,在本发明提出的的技术方案中,当安全接入路由器的SVLP模块收到实链路信息后,会更新路由器的节点信息,并将路由器节点信息同步至与其配置了虚连接的其它节点;接入路由器SVLP收到网管的安全虚连接表配置后,根据安全虚连接建立参数,发送密钥协商消息及应答消息完成密钥协商;完成密钥协商流程后,两方路由器会分别给路由模块发送流表配置,建立虚链路;当接入路由器密钥超时后,会重新进行密钥协商;同时网管可对虚连接带宽配置进行修改;当主动方接入路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息,拆除虚链路。
以上方案实现了:(1)基于设备通道传输来提供安全防护和源身份合法鉴别,与安全接入路由器中多个模块有功能接口;(2)规定了网络系统安全虚连接协议的处理流程等内容;(3)为安全接入路由器之间建立受控互通、带服务质量保证的安全虚连接。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种用于接入路由器的安全虚连接协议方法,其特征在于,所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路;所述方法包括:
步骤S1、节点信息交互:通过安全接入的路由器的SVLP模块进行所述节点信息交互,所述SVLP模块为安全虚连接协议模块;
步骤S2、密钥协商:所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商;
步骤S3、虚链路建立:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立;
步骤S4、密钥更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新;
步骤S5、虚连接带宽更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新;
步骤S6、虚连接拆除:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。
2.根据权利要求1所述的一种用于接入路由器的安全虚连接协议方法,其特征在于,在所述步骤S1中,所述通过路由器的SVLP模块进行所述路由器信息交互的具体方法包括:
步骤S11、当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后,更新本路由器的路由器信息;
步骤S12、所述路由器的SVLP模块将所述路由器信息同步至配置了虚连接的对端路由器,即被动方路由器;
步骤S13、当所述被动方路由器的SVLP模块收到所述路由器的交互信息后,更新本地存储的路由器信息表,并发送路由器信息交互应答消息给发送端路由器,即所述主动方路由器。
3.根据权利要求2所述的一种用于接入路由器的安全虚连接协议方法,其特征在于,在所述步骤S2中,所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商的具体方法包括:
步骤S21、所述路由器的SVLP模块收到网管发送的安全虚连接配置后,作为安全虚连接的主动方路由器发送密钥协商启动消息给主动方加密模块;
步骤S22、 所述主动方路由器的所述路由器的SVLP模块在收到所述主动方加密模块返回的密钥协商报文后,向被动方路由器发送密钥协商请求报文;
步骤S23、被动方路由器的SVLP模块收到所述密钥协商请求报文后,进行合法性判决后,根据匹配的虚链路信息,将所述密钥协商报文发送给被动方加密模块;
步骤S24、被动方路由器的SVLP模块收到被动方加密模块返回的密钥协商报文后,由被动方路由器的SVLP模块构造密钥协商应答报文发送给所述主动方路由器;
步骤S25、所述主动方路由器收到密钥协商应答后,将密钥协商报文发送给主动方加密模块;
步骤S26、如此重复步骤S21-步骤S25发送密钥协商消息及应答消息,直至主动方加密模块和被动方加密模块完成密钥协商;待主动方路由器和被动方路由器收到各自加密模块的密钥协商完成消息后,完成密钥协商。
4.根据权利要求3所述的一种用于接入路由器的安全虚连接协议方法,其特征在于,在所述步骤S3中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立的具体方法包括:
步骤S31、所述主动方路由器的SVLP模块和被动方路由器的SVLP模块分别给各自的路由模块发送流表配置;
步骤S32、主动方路由模块和被动方路由模块的流表配置完成后,向各自的所述路由器的SVLP模块发送流表配置成功应答;
步骤S33、所述主动方路由器的SVLP模块向被动方路由器发送虚链路建立请求消息;
步骤S34、所述被动方路由器的SVLP模块收到主动方发送的虚链路建立请求后,完成身份标识协商,并发送虚链路建立应答消息;
步骤S35、当所述主动方路由器的SVLP模块收到被动方发送的虚链路建立应答消息后,记录对端协商身份标识,完成虚链路协商;
步骤S36、虚链路协商完成后,所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块通知本端各自的路由模块虚连接编号、协商身份标识信息,同时判断网管配置的资源预留标识,如果需要预留资源,则申请建立资源预留路径;
步骤S37、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块发送的路径建立信息后,所述虚链路建立完成;
步骤S38、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块封装流表限流结果,向各自的路由模块发送流表配置;
步骤S39、当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自的路由模块流表配置应答后,安全虚链路建立成功,虚连接业务传输基于步骤2协商的密钥;
步骤S310、所述主动方路由器的SVLP模块发起虚连接维护请求并等待维护应答报文的接收,被动方路由器等待接收虚连接维护请求以判决主动方虚连接的存活。
5.根据权利要求4所述的一种用于接入路由器的安全虚连接协议方法,其特征在于,在所述步骤S4中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新的具体方法包括:
步骤S41、当接入的路由器的密钥超时后,所述主动方路由器的SVLP模块给所述主动方加密模块发送密钥协商启动消息;
步骤S42、所述主动方路由器的SVLP模块在收到所述主动方加密模块发送的所述密钥协商报文后,所述主动方路由器的SVLP模块发送密钥更新请求消息给被动方路由器,所述请求消息携带密钥协商内容;
步骤S43、当被动方路由器收到密钥更新请求消息时,会给所述被动方加密模块发送密钥协商,并向主动方路由器发送密钥更新应答消息;
步骤S44、主动方路由器将收到的被动方密钥协商的报文发送给主动方加密模块,直到收到密钥协商完成通知;所述被动方加密模块进行密钥协商,直到收到密钥协商完成通知;
步骤S45、当所述主动方路由器的SVLP模块完成密钥协商后,设置密钥更新请求中密钥协商状态值发送给所述被动方路由器的SVLP模块;
步骤S46、所述被动方路由器的SVLP模块收到协商成功的密钥更新请求后,将本端密钥状态在密钥更新应答中发给主动方路由器,同时更新虚连接对应的流表配置;
步骤S47、发起密钥更新的所述被动方路由器收到更新成功状态的密钥更新应答报文后,也更新所述虚连接对应的流表配置;
步骤S48、所述主动方路由器和所述被动方路由器完成密钥更新后,虚连接的传输基于新的密钥。
6.根据权利要求5所述的一种用于接入路由器的安全虚连接协议方法,其特征在于,在所述步骤S5中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新的具体方法包括:
步骤S51、当所述主动方路由器的SVLP模块或者所述被动方路由器的SVLP模块收到带宽配置更改时,通知各自的路由模块路径带宽更新请求;
步骤S52、 所述主动方路由模块和所述被动方路由模块收到路径带宽更新请求,对虚连接带宽进行配置,并发送路径带宽更新应答消息;
步骤S53、所述主动方路由模块和被动方路由模块给路由设备下发流表配置,并向各自的路由器的SVLP模块回复流表配置应答。
7.根据权利要求6所述的一种用于接入路由器的安全虚连接协议方法,其特征在于,在所述步骤S6中,所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除的具体方法包括:
步骤S61、当所述主动方路由器收到网管配置关闭或删除需连接时,发送虚连接释放请求消息给被动方路由器;
步骤S62、当所述被动方路由器收到虚连接释放请求时,在对虚连接消息序号、源身份合法鉴别后,发送虚连接释放应答给所述主动方路由器;
步骤S63、所述主动方路由器和所述被动方路由器分别给各自的路由模块发送链路拆链、流表删除请求;
步骤S64、所述主动方路由模块和所述被动方路由模块完成链路拆链、流表删除后,向各自的路由器的SVLP模块发送链路拆链应答后,虚连接拆除完成。
8.一种用于接入路由器的安全虚连接协议系统,其特征在于,所述安全虚连接协议为对称协议,用于在路由器之间建立受控互通的安全虚连接,在所述安全虚连接协议中,一条安全虚连接支持建立多条虚链路,所述虚链路为安全接入路由器之间建立的虚连接链路;所述系统包括:
第一处理单元,被配置为执行节点信息交互:通过安全接入的路由器的SVLP模块进行所述节点信息交互,所述SVLP模块为安全虚连接协议模块;
第二处理单元,被配置为执行密钥协商:所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ,主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商;
第三处理单元,被配置为执行虚链路建立:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立;
第四处理单元,被配置为执行密钥更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新;
第五处理单元,被配置为执行虚连接带宽更新:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新;
第六处理单元,被配置为执行虚连接拆除:所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至7中任一项所述的一种用于接入路由器的安全虚连接协议方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至7中任一项所述的一种用于接入路由器的安全虚连接协议方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111428207.5A CN113839778B (zh) | 2021-11-29 | 2021-11-29 | 一种用于接入路由器的安全虚连接协议方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111428207.5A CN113839778B (zh) | 2021-11-29 | 2021-11-29 | 一种用于接入路由器的安全虚连接协议方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113839778A CN113839778A (zh) | 2021-12-24 |
CN113839778B true CN113839778B (zh) | 2022-02-18 |
Family
ID=78971843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111428207.5A Active CN113839778B (zh) | 2021-11-29 | 2021-11-29 | 一种用于接入路由器的安全虚连接协议方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113839778B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447674A (zh) * | 2010-10-08 | 2012-05-09 | 中兴通讯股份有限公司 | 一种安全协商的方法及装置 |
CN102694732A (zh) * | 2012-05-31 | 2012-09-26 | 中国科学院计算技术研究所 | 一种基于局部虚拟化的虚拟网构建方法和系统 |
CN106685956A (zh) * | 2016-12-27 | 2017-05-17 | 上海斐讯数据通信技术有限公司 | 一种路由器的vpn网络连接方法及系统 |
CN110661620A (zh) * | 2019-09-06 | 2020-01-07 | 成都量安区块链科技有限公司 | 一种基于虚拟量子链路的共享密钥协商方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8161543B2 (en) * | 2006-12-22 | 2012-04-17 | Aruba Networks, Inc. | VLAN tunneling |
-
2021
- 2021-11-29 CN CN202111428207.5A patent/CN113839778B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447674A (zh) * | 2010-10-08 | 2012-05-09 | 中兴通讯股份有限公司 | 一种安全协商的方法及装置 |
CN102694732A (zh) * | 2012-05-31 | 2012-09-26 | 中国科学院计算技术研究所 | 一种基于局部虚拟化的虚拟网构建方法和系统 |
CN106685956A (zh) * | 2016-12-27 | 2017-05-17 | 上海斐讯数据通信技术有限公司 | 一种路由器的vpn网络连接方法及系统 |
CN110661620A (zh) * | 2019-09-06 | 2020-01-07 | 成都量安区块链科技有限公司 | 一种基于虚拟量子链路的共享密钥协商方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113839778A (zh) | 2021-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11895157B2 (en) | Network security management method, and apparatus | |
RU2755258C2 (ru) | Вторичная аутентификация пользовательского устройства | |
CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
EP3585095B1 (en) | Method and device for controlling qos, smf, upf, ue, pcf and an | |
RU2336665C2 (ru) | Способ обработки сообщения защиты в системе мобильной связи | |
US8806608B2 (en) | Authentication server and method for controlling mobile communication terminal access to virtual private network | |
CN109831548B (zh) | 虚拟内容分发网络vCDN节点建立方法及服务器 | |
US20220232413A1 (en) | Method and device for configuring redundant protocol data unit session | |
CN111742529B (zh) | 基于服务的架构(sba)中的安全协商 | |
KR20190103382A (ko) | 라우팅 방법 및 장치 | |
CN109936515B (zh) | 接入配置方法、信息提供方法及装置 | |
CN103199990B (zh) | 一种路由协议认证迁移的方法和装置 | |
EP3703462A1 (en) | Communication method and apparatus | |
CN113839778B (zh) | 一种用于接入路由器的安全虚连接协议方法和系统 | |
CN102316086A (zh) | 业务数据的中继方法及中继节点系统 | |
WO2022068669A1 (zh) | 会话建立方法、装置、接入网设备及存储介质 | |
CN113839787B (zh) | 一种双向认证的局域网安全接入协议方法和系统 | |
CN113839969B (zh) | 一种双向认证的网络管理协议方法和系统 | |
CN113839776B (zh) | 一种用于网管和路由器间的安全互连协议方法和系统 | |
CN116506407B (zh) | 语音通信方法、系统、存储介质及电子设备 | |
WO2024001889A1 (zh) | V2x策略请求方法及装置 | |
CN113348715B (zh) | 数据传输方法、装置和终端 | |
EP4191950A1 (en) | Communication method and apparatus | |
CN115150089A (zh) | 区块链上链方法、装置、电子设备和存储介质 | |
CN117394999A (zh) | 一种量子安全局域网的组网系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |