专利名称:路由协议安全联盟管理方法、装置及系统的制作方法
技术领域:
本发明涉及路由协议安全联盟管理技术,尤其涉及一种路由协议安全联盟管理方法、装置及系统。
背景技术:
随着计算机网络规模的不断扩大,大型互联网络(如Internet)的迅猛发展,路由技术在网络技术中已逐渐成为关键技术,路由器成为了最重要的网络设备。用户对网络数据高速传输的需求不断推动着路由技术的发展,人们已经不满足于仅在本地网络上共享信息,而希望最大限度地利用全球各个地区、各种类型的网络资源。目前的网络技术,任何一个有一定规模的计算机网络(如企业网、校园网、智能大厦网等),都离不开路由器。路由器工作在开放式系统互联(OSI,Open System Interconnection)模型中的第三层即网络层。 路由器利用网络层定义的IP地址来区分不同的网络,实现网络的互连和隔离,保持各个网络的独立性。路由器不转发广播消息,而是将广播消息限制在各自的网络内部。发送到其他网络的数据首先被送到路由器,再由路由器转发出去。为了让路由器具有转发IP报文的能力,路由器之间经常需要交互路由信息。路由器根据收到的路由信息构建网络拓扑结构,从而正确地转发IP报文。路由器之间交互路由信息的协议称为路由协议。路由协议是hternet网络的基础协议。路由器之间交互的路由信息是否正确直接影响着路由能否成功。然而,Internet网络是一个开放的网络。网络中总存在着很多的攻击者。这些攻击者会试图修改路由协议交互的路由信息,或者向路由器发布一个过期的路由信息。导致收到错误路由信息的路由器不能正常转发IP数据包。为保证交互的路由信息的正确性,必须对路由协议提供完整性保护。现有路由协议几乎都提供了这方面的安全机制,例如RIPv2 (Routing InformationProtocol version 2)、0SPFv2(Open Shortest Path First version 2)、IS-IS(Intermediate System-to-intermediate System)> BFD(Bidirectional ForwardingDetection)、 BGP(Border Gateway Protocol)等路由协议使用消息认证码来实现路由协议消息的完整性保护。生成消息认证码的安全材料由安全联盟来定义,而安全联盟通常又是手动配置的。 安全联盟是一套密钥材料,用于提供安全服务。路由协议的安全联盟包括用于标识安全联盟的Key ID,用于标识生成消息认证码的密钥算法的Authentication Algorithm,用于存放生成消息认证码的密钥的Authentication Key,用于标识防止重放攻击的kquence Number,用于标识生存时间的Life Time等。手动配置的安全联盟存在诸多问题,尤其是当网络规模很大时,手动更新安全联盟的效率不仅非常慢,而且容易出错。一般而言,在下述情况下需更新安全联盟当管理路由器的员工离职时,处于安全的考虑一般需要更新安全联盟;每个密钥都存在生存周期, 而当生存周期到期时,需要更新;不能很好地使用多种密钥,当用户希望使用新的密码算法时,同样需要更新安全联盟。IKEv2是为互联网协议第六版(IPv6) IP层的数据安全传输机制(IPsec)而提供的安全联盟协商协议。该协议也支持互联网协议第四版(IPv4)。IKEv2的安全联盟协商过程总共可涉及四类交换,即IKE_SA_INIT交换、IKE_AUTH交换、CREATE_CHILD_SA交换和 INFORMATIONAL 交换。IKEv2 中的交换(Exchange)由一个请求(request)和一个响应(response)组成,发生在两个网络对等体(peer)之间,其中发起请求的peer称为发起者(Initiator, 通常用i表示),回应的peer称为回应者(Responder,通常用r表示)。IKE_SA_INIT 交换协商通过密码算法(Crytographic Algorithms)、交换随机数(nonces)等进行 Diffie-Hellman(D-H)交换,为两个peer协商安全参数以生成IKE_SA,为其后的交换提供安全通道。IKE_AUTH交换对peer身份进行认证,并协商生成第一个CHILD_SA,为 IPsec 的封装安全载荷(ESP,Encapsulating Security Payload)或 / 和认证头(AH, Authentication Header)提供安全联盟。CREATE_CHILD_SA交换用于生成其他的CHILD_ SA,用于更新上述交换生成的安全联盟,或供ESP或/和AH使用。INFORMATIONAL交换用作传输控制信息,包括报错和事件通知。但是,IKEv2并没有针对路由协议提供安全联盟的协商和生成,又因为路由协议的安全联盟与ESP及AH的安全联盟内容不同,不能直接使用IKEv2来为路由协议协商安全联盟;另外,IKEv2只提供端到端(或称为点到点、单播(imicast))的安全联盟协商机制,无法为路由协议用到的组播(multicast)机制提供安全联盟;因此,IKEv2既无法为路由协议提供单播安全联盟,也无法为路由协议提供组播安全联盟。
发明内容
有鉴于此,本发明的主要目的在于提供一种路由协议安全联盟管理方法、装置及系统,网络中的网元能在单播或组播情况下为网元间或组播网元自动确定路由协议安全联
rf^· ο为达到上述目的,本发明的技术方案是这样实现的一种路由协议安全联盟管理方法,在网元中设置用于协商路由协议安全联盟的代理模块;所述方法还包括在网元中设置用于协商路由协议安全联盟的代理模块;所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟;在所建立的所述安全联盟的保护下,设置所述代理模块的网元与路由协议安全联盟的协商发起者协商路由协议安全联盟;通过预置或设定的安全通道,设置所述代理模块的网元发送协商出来的所述路由协议安全联盟。优选地,所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟后,进行身份认证。优选地,所述方法还包括设置所述代理模块的网元将其支持的所有路由协议安全联盟通知所述路由协议安全联盟的协商发起者;设置所述代理模块的网元接收所述路由协议安全联盟的协商发起者选定的路由协议安全联盟。
5
优选地,所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者首次协商并且所述代理模块预置有安全通道时,设置所述代理模块的网元通过所述安全通道发送协商出来的所述路由协议安全联盟。优选地,所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者非首次协商时,通过上一次与该路由协议安全联盟的协商发起者协商出来的路由协议安全联盟,在所述代理模块设定安全通道,通过所述安全通道发送协商出来的所述路由协议安全联盟。优选地,所述方法还包括设置用于承载路由协议安全联盟的专用载荷、用于协商路由协议安全联盟的交换类型;以及用于分发路由协议安全联盟的交换类型。优选地,设置所述代理模块的网元将所述网元支持的路由协议安全联盟承载于所述专用载荷中,通过所述的用于协商路由协议安全联盟的交换类型,通知路由协议安全联盟的协商发起者。优选地,所述专用载荷用于承载路由协议安全联盟中的以下至少一项路由协议标识符、安全联盟密钥标识符长度、安全联盟生存时间长度、安全联盟起始顺序号长度、安全联盟密钥标识符、安全联盟生存时间、安全联盟起始顺序号、认证算法标识符、认证密钥长度、认证密钥。一种路由协议安全联盟管理系统,包括设置代理模块的网元、路由协议安全联盟的协商发起者;所述设置代理模块的网元,用于与路由协议安全联盟的协商发起者建立安全联盟;在所建立的所述安全联盟的保护下,与路由协议安全联盟的协商发起者协商路由协议安全联盟;通过预置或设定的安全通道,发送协商出来的所述路由协议安全联盟;所述路由协议安全联盟的协商发起者,用于与设置代理模块的网元建立安全联盟;在所建立的所述安全联盟的保护下,与设置代理模块的网元协商路由协议安全联盟。一种路由协议安全联盟管理装置,所述装置中设置代理模块,所述代理模块包括建立安全联盟模块、协商路由协议安全联盟模块、发送模块;所述建立安全联盟模块,用于设置代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟;所述协商路由协议安全联盟模块,用于在所建立的所述安全联盟的保护下,设置所述代理模块的网元与路由协议安全联盟的协商发起者协商路由协议安全联盟;所述发送模块,用于通过预置或设定的安全通道,设置所述代理模块的网元发送协商出来的所述路由协议安全联盟。本发明中,通过设置承载路由协议安全联盟的新载荷,从而在协商路由协议安全联盟时,通过新设置的载荷即可实现单播情况以及组播情况下的路由协议安全联盟的协商;本发明,通过设置用于协商路由协议安全联盟的交换类型,和设置用于分发路由协议安全联盟的交换类型,来协商路由协议安全联盟和分发路由协议安全联盟;由于本发明仅是通过在IKEv2中增设相关载荷和交换类型来实现路由协议安全联盟的协商和发送,因此对现有的基础设施与协议改动不大,有较佳的通用性。另外,本发明通过在相关网元中设置代理模块,兼容了对组播及单播情况下的路由协议安全联盟的协商。本发明基于IKEv2和代理机制的路由协议安全联盟管理的技术方案,能够实现路由协议单播和组播安全联盟的协商、更新和管理,从而解决了路由协议安全联盟只能手动配置、安全隐患大的问题,使得路由信息的传输更为安全可靠。
图1为本发明应用的场景图;图2为本发明新增路由协议安全联盟载荷RPhfo的提议子结构的示意图;图3为本发明路由协议安全联盟管理方法的流程图;图4为本发明代理模块的功能组成示意图;图5为本发明路由协议安全联盟管理装置的组成结构示意图。
具体实施例方式本发明的基本思想为本发明主要提供基于IKEv2和代理机制的路由协议安全联盟管理的实现方案。本发明通过增加新的载荷(payload)来承载路由协议安全联盟, 该新增载荷标记为RPhfo (Routing Protocol Information),所述RPhfo载荷的结构主要包括提议子结构(Proposal Substructure),所述提议子结构包含提议长度(Proposal Length)、提议号(Proposal#)、路由协议标识符(Routing Protocol ID)、安全联盟密钥标识符长度(Length of Key ID)、安全联盟生存时间长度(Length of Life Time)、安全联盟起始顺序号长度(Length ofSequence Number)、安全联盟密钥标识符(Key ID)、安全联盟生存时间(LifeTime)、安全联盟起始顺序号(kquence Number)、认证算法标识符 (Authentication Algorithm ID)、认证密钥长度(Length of Authentication key)、认证密钥(Authentication key)等。为了将路由协议安全联盟单播和组播应用的协商统一于一个系统内,引入代理机制,在每台路由器上配置代理模块(代理模块),所述代理模块在单播网络情况下代表KMP响应者与KMP发起者协商路由协议安全联盟,所述代理模块与KMP 响应者(网元,单播情况下为路由器,组播情况下为网关、服务器或设具有组播控制功能的路由器)位于同一路由器内,所述代理模块在组播网络情况下代表KMP响应者与KMP发起者协商路由协议安全联盟,所述代理模块只在指定配置的路由器(作为网关、服务器的路由器,或具有组播控制功能的路由器)上起作用,组播网内其他路由器的代理模块不起作用,所述起作用的代理模块为组播网络预置组播安全通道或设立安全通道,主要是用于加密和/或完整性认证的算法和密钥。所述代理模块在IKEv2协商生成的IKE_SA保护下通过新增的载荷、代表KMP响应者(即单播或组播接收路由协议安全联盟协商请求的路由器) 与KMP发起者通过新增的交换类型协商路由协议安全联盟,所述代理模块同样通过新增的载荷,通过新增的交换类型将协商好的路由协议安全联盟发送给KMP响应者,在单播网络的情况下,所述代理模块可直接将协商好的单播安全联盟交付KMP响应者,不需要安全通道的保护,在组播网路的情况下,所述代理模块将协商好的组播安全联盟在代理模块预置 (首次协商时)或设立(非首次协商)的组播安全通道下发送给所有组播成员(组播网元)°
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。图1为本发明应用的场景图,如图1所示,本发明中,新增加的载荷用来承载路由协议安全联盟,标记为RPhfo,在协议安全联盟协议帧中的Nextl^ayload Type的IANA保留值09-127)中取其Next Payload Type值为51,所述RPhfo的总结构如图1所示,主要包括RPhf0的提议子结构!Proposals,载荷长度等。图1中,新增路由协议安全联盟载荷 RPhfo的其他结构与现有的协议帧中载荷结构完全相同。图2为本发明新增路由协议安全联盟载荷RPhfo的提议子结构的示意图,如图2 所示,本发明新增路由协议安全联盟载荷RPhfo的提议子结构包含但不限于以下内容路由协议标识符具体的路由协议,例如RIPv2、0SPFv2、IS_IS、BFD、BGP的 Routing Protocol ID 值分别为 1、2、3、4、5 ;安全联盟密钥标识符长度Key ID的长度,用字节数来表示,例如RIPv2、0SPFv2、 IS-IS、BFD、BGPv4 的 Routing Protocol ID 值分别为 1、1、2、2、1 ;安全联盟生存时间长度Life Time的长度,取决于生存时间参数的表达格式和个数,也有可能是0,比如ISIS和BFD,这两个路由协议没有在安全联盟中定义生存时间;安全联盟起始顺序号长度Sequence Number的长度,用字节数来表示,一般为32 位共4字节;安全联盟密钥标识符Key ID值,可由KMP决定;安全联盟生存时间Life Time,不同的路由协议其生存时间参数不同,比如RIPv2 的生存时间包括Mart Time和Mop Time,而0SPFv2的生存时间参数包括Key Start Accept、Key Start Generate> Key Stop Generate 禾口 Key Stop Accept ;安全联盟起始顺序号Sequence Number,可由KMP决定,,用于抵抗重放攻击;认证算法标识符Authentication Algorithm ID,用于标识路由协议使用、支持的认证算法,例如 KEYED-MD5、Keyed SHA-U HMAC-SHA-U HMAC-SHA-224、HMAC-SHA-256、 HMAC-SHA-384、HMAC-SHA-512、AES-128-CMAC-96 的值分别为 1、2、3、4、5、6、7、8 ;认证密钥长度Authentication Key的长度,以比特数表示,主要取决于采用的认证算法;认证密钥Authentication Key,由KMP采用伪随机函数生成的密钥值。上述凡是涉及IANA分配值的,只是举例说明,最后的定值视IANA对保留值的分配结果为准。以下基于前述的路由协议安全联盟载荷,如何实现路由器之间的路由协议安全联
盟的自动管理。图3为本发明路由协议安全联盟管理方法的流程图,如图3所示,KMP发起者(路由协议安全联盟协商发起者)、代理模块和KMP响应者(路由协议安全联盟协商响应者)的之间路由协议安全联盟的协商流程具体包括以下步骤步骤100,KMP发起者向代理模块发出IKE_SA_INIT请求,IKE_SA_INIT请求中携带有皿1 、5411、1(&、附;即发起路由协议安全联盟的协商,这里,路由协议安全联盟的协商即适用于单播情况,也适用于组播情况,具体的,在单播情况下,路由协议安全联盟的协商在二路由器之间进行,即进行信息交互的二网元之间进行。此时,代理模块位于KMP响应者中;而在组播情况下,路由协议安全联盟的协商在KMP发起者与组播控制节点(如前述的网关或服务器)之间进行,此时,代理模块位于组播控制节点中。步骤102,代理模块向KMP发起者答复IKE_SA_INIT响应,其中,IKE_SA_INIT响应中携带有 HDR、SAr 1、KEr、Nr、[CERTREQ];步骤100和步骤102主要是进行IKE_SA的协商,以得到代理模块和KMP发起者之间进行身份认证时的保护用密码IKE_SA。步骤104,KMP发起者向代理模块发出IKE_AUTH请求,IKE_AUTH请求消息使用 IKE_SA 进行加密;其中,IKE_AUTH 请求中包含 HDR、SK {IDi,[CERT, ] [CERTREQ, ] [IDr,] AUTH, SAi2, TSi,TSr}。步骤106,代理模块向KMP发起者答复IKE_AUTH响应,IKE_AUTH响应中携带有 HDR、SK{IDr, [CERT, ]AUTH, SAr2,TSi, TSr}。步骤104和步骤106主要是在协商出的密码IKE_SA的保护下进行身份认证。步骤108,代理功块向KMP发起者发出RP_SA_PULL请求(这里,RP_SA_PULL是新增的用于路由协议安全联盟协商的交换类型),RP_SA_PULL请求中携带有HDR、SK{RPInfo}; 即在IKE_SA的保护下进行路由协议安全联盟的协商,即协商出RPhfo中的相关内容,确定出路由协议安全联盟。步骤110,KMP发起者向代理功能模块答复RP_SA_PULL响应,RP_SA_PULL响应中携带有 HDR、SK{RPhfo}。步骤112a,代理模块向所代表网元KMP响应者发出RP_SA_PUSH消息(RP_SA_ PUSH是新增的用于路由协议安全联盟协商的单向交换类型),RP_SA_PUSH消息中携带HDR、 RPInfo,即在单播情况下,直接向KMP响应者交付RPhfo,即使在组播情况下,代理模块仍需要向所代表网元KMP响应者直接交付RPhfo。步骤112b,在组播情况下,代理模块向KMP响应者发出RP_SA_PUSH消息,RP_SA_ PUSH消息中携带HDR、SKp {RPInfo}。本发明中,在组播中代理模块如果是首次与KMP发起者协商路由协议安全联盟,这种情况包括了新加入的KMP发起者(指新加入的网元),则发送 RP_SA_PUSH消息时,由于其他网元尚未接收到路由协议的安全联盟,因此,在预置的组播安全通道保护下向组播中的未参与路由协议协商的网元分发RPhfo ;在组播中代理模块如果是非首次与KMP发起者协商路由协议安全联盟,这种情况包括了用于组播的路由协议安全联盟的更新,则其发送的RP_SA_PUSH消息中,携带HDR、SK1 {RPInfo},即这种情况下的分发使用上一次协商好的RP^fo来建立安全通道,在该安全通道保护下分发本次协商好的新的RPhfo。对于组播的情况,运行OSPF和ISIS等路由协议的网元具有双重身份,一是作为组播网内的组播消息发送者,需要将路由协议组播安全联盟通知组内所有组员;二是作为组播网内的组播消息接收者,需要从组播消息发送者那里获知路由协议组播安全联盟。本发明中,路由协议安全联盟的载荷中所承载的信息都是来自IKEv2的定义,其中HDR是IKE头部,SAil是KMP发起者发出的第一个SA载荷,SArl表示响应者答复的第一个SA载荷,用于IKE_SA的协商;KEi是发起者的密钥交换(即D-H交换)载荷,KEr是响应者的密钥交换(即D-H交换)载荷;Ni是发起者生成的随机数载荷,Nr是响应者生成的随机数载荷;IDi和IDr分别表示发起者和响应者的身份载荷,TSi和TSr分别表示发起者和响应者的流选择子(traffic selector)载荷;AUTH表示认证载荷,由IKEv2定规的计算方法得到;CERTREQ表示证书请求载荷;[]方括号表示括号内的载荷是可选的,不是必需的; SKO表示花括号中的载荷都是使用该方向(图3中箭头所指)的SA进行加密和完整性保护的。SKp表示代理模块预置的组播安全通道,即对{}内的内容进行加密和/或认证,比如使用预置的组播I^e-shared Key进行加密和/或认证,SKl表示使用上一次协商生成并成功分发的RPhfo建立的安全通道,比如将RPhfo的认证密钥作为加密密钥使用,对所发送的本次协商好的RP^fo进行加密。预置的安全通道信息并至少上一次的协商内容需要保存和更新。本发明中,KMP发起者先与KMP响应者的代理模块建立IKE_SA,在IKE_SA的保护下,KMP发起者先与KMP响应者的代理模块进行身份认证,继续在IKE_SA的保护下,KMP响应者的代理模块代表KMP响应者与KMP发起者协商路由协议安全联盟,KMP响应者的代理模块将KMP响应者所能提供的安全联盟方案罗列于RPhfo载荷中,KMP响应者的代理模块通过RP_SA_PULL请求将所述RPhfo载荷发给KMP发起者,KMP发起者从列表中选择一种支持的安全联盟方案,KMP发起者将所选择的安全联盟方案装载于RPhfo载荷中,KMP发起者通过RP_SA_PULL响应发送RPhfo表示确认接受。本发明的技术方案使得路由协议安全联盟可以基于IKEv2和代理模块在单播和组播网络情况下实现协商、更新等管理,满足路由安全自动密钥管理和更新的需要,从而满足了路由消息安全传输的需要。图4为本发明代理模块的功能组成示意图,如图4所示,本发明代理模块主要实现建立安全联盟、协商路由协议安全联盟、设立安全通道和发送路由协议安全联盟四部分功能,具体的,所述代理模块在进行路由协议安全联盟协商之前,与路由协议安全联盟的协商发起者建立安全联盟,在所建立的安全联盟的保护下,所述代理模块与所述路由协议安全联盟的协商发起者协商路由协议安全联盟,所述代理模块采用预置或设立的安全通道,将协商好的路由协议安全联盟发送给所述网元和/或组播组中的其他网元。图5为本发明路由协议安全联盟管理装置的组成结构示意图,如图5所示,本发明路由协议安全联盟管理装置,所述装置中设置代理模块,所述代理模块包括建立安全联盟模块、协商路由协议安全联盟模块、发送模块;所述建立安全联盟模块,用于设置代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟;所述协商路由协议安全联盟模块,用于在所建立的所述安全联盟的保护下,设置所述代理模块的网元与路由协议安全联盟的协商发起者协商路由协议安全联盟;所述发送模块,用于通过预置或设定的安全通道,设置所述代理模块的网元发送协商出来的所述路由协议安全联盟。所述代理模块在接收到路由协议安全联盟的协商请求后,将该代理模块所属网元能提供的所有路由协议安全联盟方案通知路由协议安全联盟的协商发起者;以及,在接收到协议安全联盟的协商发起者选定的路由协议安全联盟方案后,通知所述网元和/或组播组中的其他网元。上述代理模块将所述网元能提供的路由协议安全联盟方案承载于所述专用载荷中,通知路由协议安全联盟的协商发起者;所述协议安全联盟的协商发起者将选定的路由协议安全联盟方案承载于所述专用载荷中,发送给代理模块。所述专用载荷用于承载路由协议安全联盟中的以下至少一项路由协议标识符、 安全联盟密钥标识符长度、安全联盟生存时间长度、安全联盟起始顺序号长度、安全联盟密钥标识符、安全联盟生存时间、安全联盟起始顺序号、认证算法标识符、认证密钥长度、认证密钥。本领域技术人员应当理解,本发明路由协议安全联盟管理装置是为实现前述的路由协议安全联盟管理方法而设计的,上述各单元的实现功能可参照前述方法的相关描述而理解。图中的各处理单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。本发明同时记载了一种路由协议安全联盟管理系统,包括设置代理模块的网元、 路由协议安全联盟的协商发起者;所述设置代理模块的网元,用于与路由协议安全联盟的协商发起者建立安全联盟;在所建立的所述安全联盟的保护下,与路由协议安全联盟的协商发起者协商路由协议安全联盟;通过预置或设定的安全通道,发送协商出来的所述路由协议安全联盟;所述路由协议安全联盟的协商发起者,用于与设置代理模块的网元建立安全联盟;在所建立的所述安全联盟的保护下,与设置代理模块的网元协商路由协议安全联盟。上述系统的结构与现有的网络结构类似,只是,网络中的网元设置有具有上述功能的代理模块。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种路由协议安全联盟管理方法,其特征在于,在网元中设置用于协商路由协议安全联盟的代理模块;所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟;在所建立的所述安全联盟的保护下,设置所述代理模块的网元与路由协议安全联盟的协商发起者协商路由协议安全联盟;通过预置或设定的安全通道,设置所述代理模块的网元发送协商出来的所述路由协议安全联盟。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟后,进行身份认证。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括设置所述代理模块的网元将其支持的所有路由协议安全联盟通知所述路由协议安全联盟的协商发起者;设置所述代理模块的网元接收所述路由协议安全联盟的协商发起者选定的路由协议安全联盟。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者首次协商并且所述代理模块预置有安全通道时,设置所述代理模块的网元通过所述安全通道发送协商出来的所述路由协议安全联盟。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者非首次协商时,通过上一次与该路由协议安全联盟的协商发起者协商出来的路由协议安全联盟,在所述代理模块设定安全通道,通过所述安全通道发送协商出来的所述路由协议安全联盟。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括设置用于承载路由协议安全联盟的专用载荷、用于协商路由协议安全联盟的交换类型;以及用于分发路由协议安全联盟的交换类型。
7.根据权利要求6所述的方法,其特征在于,设置所述代理模块的网元将所述网元支持的路由协议安全联盟承载于所述专用载荷中,通过所述的用于协商路由协议安全联盟的交换类型,通知路由协议安全联盟的协商发起者。
8.根据权利要求6所述的方法,其特征在于,所述专用载荷用于承载路由协议安全联盟中的以下至少一项路由协议标识符、安全联盟密钥标识符长度、安全联盟生存时间长度、安全联盟起始顺序号长度、安全联盟密钥标识符、安全联盟生存时间、安全联盟起始顺序号、认证算法标识符、认证密钥长度、认证密钥。
9.一种路由协议安全联盟管理系统,其特征在于,包括设置代理模块的网元、路由协议安全联盟的协商发起者;所述设置代理模块的网元,用于与路由协议安全联盟的协商发起者建立安全联盟;在所建立的所述安全联盟的保护下,与路由协议安全联盟的协商发起者协商路由协议安全联盟;通过预置或设定的安全通道,发送协商出来的所述路由协议安全联盟;所述路由协议安全联盟的协商发起者,用于与设置代理模块的网元建立安全联盟;在所建立的所述安全联盟的保护下,与设置代理模块的网元协商路由协议安全联盟。
10. 一种路由协议安全联盟管理装置,其特征在于,所述装置中设置代理模块,所述代理模块包括建立安全联盟模块、协商路由协议安全联盟模块、发送模块;所述建立安全联盟模块,用于设置代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟;所述协商路由协议安全联盟模块,用于在所建立的所述安全联盟的保护下,设置所述代理模块的网元与路由协议安全联盟的协商发起者协商路由协议安全联盟;所述发送模块,用于通过预置或设定的安全通道,设置所述代理模块的网元发送协商出来的所述路由协议安全联盟。
全文摘要
本发明公开了一种路由协议安全联盟管理方法,在网元中设置用于协商路由协议安全联盟的代理模块;所述方法还包括设置所述代理模块的网元与路由协议安全联盟的协商发起者建立安全联盟;在所建立的所述安全联盟的保护下,设置所述代理模块的网元与路由协议安全联盟的协商发起者协商路由协议安全联盟;通过预置或设定的安全通道,设置所述代理模块的网元发送协商出来的所述路由协议安全联盟。本发明同时公开了一种路由协议安全联盟管理装置以及系统。本发明能够实现路由协议单播和组播安全联盟的协商、更新和管理,从而解决了路由协议安全联盟只能手动配置、安全隐患大的问题,使得路由信息的传输更为安全可靠。
文档编号H04L29/06GK102469063SQ201010531229
公开日2012年5月23日 申请日期2010年11月3日 优先权日2010年11月3日
发明者梁小萍, 王鸿彦, 韦银星 申请人:中兴通讯股份有限公司