The invention discloses a trusted authentication method of SDN architecture based on IS routing protocol IS, aims to provide a way to secure the reliability of access network router, and ensure that the method of routing protocol messages sent between trusted routers. The technical scheme is first constructed by a trusted N router and a centralized control server consists of network system, increase the equipment serial number TLV in Hello data packet tail; the central control server installed trusted routing authentication software, trusted routing authentication software by the authentication data table, form authentication module and configure the terminal authentication authentication module; the application in the message sequence number of equipment and equipment serial number authentication data in the table to compare, will get the authentication result value through the authentication result message to send the letter message authentication application router to determine whether through the authentication. The invention not only ensures the reliability of the network router, but also ensures the reliability of the routing protocol message sent by the router.
【技术实现步骤摘要】
本专利技术涉及一种基于SDN(SoftwareDefineNetwork,软件定义网络)架构的IS-IS(IntermediateSystem-IntermediateSystem,中间系统到中间系统)路由协议的可信认证方法。
技术介绍
随着网络规模的扩展,网络安全问题日益突出,路由系统作为网络正常有序工作的基础,其安全问题对通信网络安全至关重要。作为在运营商网络使用最广泛的域内路由协议之一,IS-IS路由协议最初是由ISO(InternationalOrganizationforStandardization,国际标准化组织)为CLNP(ConnectionLessNetworkProtocol,无连接网络协议)设计的一种动态路由协议,为了提供对IP(InternetProtocol,网际协议)路由的支持,通过对IS-IS进行扩充和修改,使IS-IS能够同时应用在TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)和OSI(OpenSystemInterconnection,开发系统互联)环境中,形成了集成化IS-IS,现在提到的IS-IS协议都是指集成化的IS-IS协议。然而IS-IS设计初衷是要在本方所管辖的区域之内运行,并假定本方区域内的所有路由器都是受信设备,因此,运行IS-IS的路由器间的邻接关系建立机制和信息共享机制会尽可能地保持简单、开放,并没有充分考虑路由器接入的可信认证问题,只有一些简单的认证机制保证安全。令网络系统中任意两台运行IS-IS路由协议的路由器为路 ...
【技术保护点】
一种基于SDN架构的IS‑IS路由协议的可信认证方法,其特征在于包括以下步骤:第一步,构建一个集中与分布相结合的网络系统,它由N个可信路由器和一台集中控制服务器构成,N为正整数;可信路由器是安装有IS‑IS可信路由协议的路由器,IS‑IS可信路由协议与标准IS‑IS路由协议的区别在于在Hello数据报文尾部增加了设备序列号TLV,设备序列号TLV是一串字母和数字交错的字符,由Type,Length,Value三部分组成,Type=252,Length=TLV的长度,Value=设备序列号;集中控制服务器通过网络系统中的一台可信路由器接入网络系统,通过网络系统与网络系统中所有可信路由器进行通信,集中控制服务器和可信路由器之间使用套接字建立UDP连接以进行控制报文的传输;控制报文有两类:认证申请报文和认证结果报文;认证申请报文包含形如<路由器A的设备序列号,路由器B的设备序列号>的设备序列号对,认证结果报文包含认证结果字段,当认证结果字段=0时,代表认证不通过,当认证结果字段=1时,代表认证通过;所述UDP指用户数据报协议;集中控制服务器安装有可信路由认证软件,可信路由认证软件 ...
【技术特征摘要】
1.一种基于SDN架构的IS-IS路由协议的可信认证方法,其特征在于包括以下步骤:第一步,构建一个集中与分布相结合的网络系统,它由N个可信路由器和一台集中控制服务器构成,N为正整数;可信路由器是安装有IS-IS可信路由协议的路由器,IS-IS可信路由协议与标准IS-IS路由协议的区别在于在Hello数据报文尾部增加了设备序列号TLV,设备序列号TLV是一串字母和数字交错的字符,由Type,Length,Value三部分组成,Type=252,Length=TLV的长度,Value=设备序列号;集中控制服务器通过网络系统中的一台可信路由器接入网络系统,通过网络系统与网络系统中所有可信路由器进行通信,集中控制服务器和可信路由器之间使用套接字建立UDP连接以进行控制报文的传输;控制报文有两类:认证申请报文和认证结果报文;认证申请报文包含形如<路由器A的设备序列号,路由器B的设备序列号>的设备序列号对,认证结果报文包含认证结果字段,当认证结果字段=0时,代表认证不通过,当认证结果字段=1时,代表认证通过;所述UDP指用户数据报协议;集中控制服务器安装有可信路由认证软件,可信路由认证软件由认证数据表,认证模块和配置终端组成;认证数据表的每个表项为形如<表项序号,路由器A的设备序列号,路由器B的设备序列号>的设备序列号对;认证模块接收可信路由器发过来的认证申请报文,取出认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对,然后将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器;配置终端从用户输入的配置命令获取整个网络系统拓扑的配置信息,将整个网络拓扑的配置信息采用设备序列号对的形式保存到认证数据表中;配置终端通过操作命令对认证数据表进行操作,操作命令包括增加、删除和显示命令;第二步,将未接入当前网络系统的非可信路由器RTC与当前网络系统中的任意一台可信路由器...
【专利技术属性】
技术研发人员:王宝生,邓文平,李博,苏金树,陈曙晖,高先明,彭伟,王宏,郦苏丹,唐竹,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。