一种基于SDN架构的IS-IS路由协议的可信认证方法技术

本发明专利技术公开了一种基于SDN架构的IS‑IS路由协议的可信认证方法，目的是提供一种既能确保接入网络的路由器的可靠性，又能确保路由器之间发送的路由协议消息可信的方法。技术方案是先构建一个由N个可信路由器和一台集中控制服务器构成的网络系统，在Hello数据报文尾部增加设备序列号TLV；集中控制服务器安装有可信路由认证软件，可信路由认证软件由认证数据表，认证模块和配置终端组成；认证模块将认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对，将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器以确定是否通过认证。本发明专利技术既能确保入网的路由器的可靠性，也能确保路由器之间发送的路由协议消息可信。

A trusted authentication method of SDN architecture based on IS routing protocol IS

The invention discloses a trusted authentication method of SDN architecture based on IS routing protocol IS, aims to provide a way to secure the reliability of access network router, and ensure that the method of routing protocol messages sent between trusted routers. The technical scheme is first constructed by a trusted N router and a centralized control server consists of network system, increase the equipment serial number TLV in Hello data packet tail; the central control server installed trusted routing authentication software, trusted routing authentication software by the authentication data table, form authentication module and configure the terminal authentication authentication module; the application in the message sequence number of equipment and equipment serial number authentication data in the table to compare, will get the authentication result value through the authentication result message to send the letter message authentication application router to determine whether through the authentication. The invention not only ensures the reliability of the network router, but also ensures the reliability of the routing protocol message sent by the router.

【技术实现步骤摘要】

本专利技术涉及一种基于SDN(SoftwareDefineNetwork，软件定义网络)架构的IS-IS(IntermediateSystem-IntermediateSystem，中间系统到中间系统)路由协议的可信认证方法。
技术介绍
随着网络规模的扩展，网络安全问题日益突出，路由系统作为网络正常有序工作的基础，其安全问题对通信网络安全至关重要。作为在运营商网络使用最广泛的域内路由协议之一，IS-IS路由协议最初是由ISO(InternationalOrganizationforStandardization，国际标准化组织)为CLNP(ConnectionLessNetworkProtocol，无连接网络协议)设计的一种动态路由协议，为了提供对IP(InternetProtocol，网际协议)路由的支持，通过对IS-IS进行扩充和修改，使IS-IS能够同时应用在TCP/IP(TransmissionControlProtocol/InternetProtocol，传输控制协议/网际协议)和OSI(OpenSystemInterconnection，开发系统互联)环境中，形成了集成化IS-IS，现在提到的IS-IS协议都是指集成化的IS-IS协议。然而IS-IS设计初衷是要在本方所管辖的区域之内运行，并假定本方区域内的所有路由器都是受信设备，因此，运行IS-IS的路由器间的邻接关系建立机制和信息共享机制会尽可能地保持简单、开放，并没有充分考虑路由器接入的可信认证问题，只有一些简单的认证机制保证安全。令网络系统中任意两台运行IS-IS路由协议的路由器为路由器A(简写为：RTA)和路由器B(简写为：RTB)，RTA和RTB之间邻接关系的建立过程如下：1.RTA将运行IS-IS路由协议的接口加入IS-IS路由协议进程，开始使用组播地址发送邻居字段为空的Hello报文。认证类型的选择采用类型选择方式：如果认证类型字段值＝0，IS-IS路由协议不开启认证功能；如果认证类型字段＝1，IS-IS路由协议开启明文认证；如果认证类型字段＝54，则IS-IS路由协议开启MD5认证。2.RTB收到RTA发送的Hello报文后，认证类型的验证采用类型验证方式：如果收到的Hello报文中认证类型字段值＝0，IS-IS路由协议不进行认证验证；如果认证类型字段＝1，IS-IS路由协议进行明文认证验证；如果认证类型字段＝54，则IS-IS路由协议进行MD5认证验证。如果认证验证不通过，IS-IS路由协议直接丢弃收到的Hello报文。如果认证验证通过，IS-IS路由协议为RTA创建一个邻居数据结构(邻居数据结构主要包含如下几项：接口名、系统名、所属层级、状态、保持时间和子网接入点地址)，并且将邻居数据结构的状态字段设置为Init(初始状态)，RTB接着发送一个Hello报文给RTA，照1中的类型选择方式根据认证类型字段的值开启不同的认证并且将RTA的MAC地址包含在要发送的Hello报文的邻居字段中。3.RTA接收到RTB的Hello报文，照2中的类型验证方式进行验证通过后同样为RTB创建一个邻居数据结构，并且将邻居数据结构的状态字段设置为Init，RTA接着再发送一个Hello报文给RTB，照1中的类型选择方式根据认证类型字段的值开启不同的认证并且将RTB的MAC地址包含在报文的邻居字段中。4.当RTB再次接收到RTA发送的Hello报文后，照2中的类型验证方式进行验证通过后检查本地邻居表中已存在RTA的邻居数据结构，同时检测到所接收到的邻居报文的邻居字段中有本地路由器的MAC(MediaAccessControl，介质访问控制)地址，将邻居状态字段设为Full(完成状态)，至此，邻接关系建立完毕，可信认证方法在其中使用两次。从IS-IS路由协议可信认证方法过程来看，其对安全问题的考虑很少，主要的安全手段是一些简单的认证功能，其存在以下弊端与不足：1.当发出的Hello报文的路由器未开启认证功能时,路由器在发送和接收该报文时不做任何额外的身份验证处理,接收方只要校验和无误便接收该Hello报文并与对端路由器正常建立邻接关系。这一验证类型可以认为是没有任何安全性的。2.当启用明文密码认证功能时，需要在相邻的两台路由器上配置相同的密码，交换于邻居双方的路由协议消息都会包含该密码且都以明文方式传送，只要攻击者能接入IS-IS网络内的链路，便能通过捕获路由协议消息来获取密码。这一方案对于在传输过程中的窃听者没有任何安全性可言。窃听者可以很轻松地监听到口令,然后伪造IS-IS的协议报文并发送出去,扰乱正常的路由秩序。3.当使用加密认证时，由于共享密钥不在网络中传输，所以排除了在网络中被窃取的可能。可预防外部窃听、修改路由消息等攻击。相对于明文认证，加密认证就提供了更高级别的安全性，但其缺陷依然很明显，因为加密算法现在已证明能够被破解，当其被破时，攻击者可以成功人侵路由域，实施攻击行为。在目前复杂的网络环境下，这些认证方法既不能充分确保接入网络的路由器的可靠性，也不能满足路由器之间发送的路由协议消息可信的需求。
技术实现思路
本专利技术要解决的技术问题是提供一种基于SDN架构的IS-IS路由协议的可信认证方法，既能确保接入网络的路由器的可靠性，也能满足路由器之间发送的路由协议消息可信的需求。本专利技术的技术方案是：第一步，构建一个集中与分布相结合的网络系统，它由N个可信路由器和一台集中控制服务器构成。可信路由器是安装有IS-IS可信路由协议的路由器。IS-IS可信路由协议与标准IS-IS路由协议的区别在于在Hello数据报文尾部增加了设备序列号TLV，设备序列号TLV由Type，Length，Value三部分组成，Type＝252，Length＝设备序列号TLV的长度，Value＝设备序列号，设备序列号的内容是一串字母和数字交错的字符。集中控制服务器通过网络系统中的一台可信路由器接入网络系统，通过网络系统与网络系统中所有可信路由器进行通信，集中控制服务器和可信路由器之间使用套接字建立UDP(UserDatagramProtocol，用户数据报协议)连接以进行控制报文的传输。控制报文有两类：认证申请报文和认证结果报文。认证申请报文包含形如<路由器A的设备序列号，路由器B的设备序列号>的设备序列号对，认证结果报文包含认证结果字段，当认证结果字段＝0时，代表认证不通过，当认证结果字段＝1时，代表认证通过。集中控制服务器除安装有Linux操作系统，还安装有可信路由认证软件。可信路由认证软件由认证数据表，认证模块和配置终端组成。认证数据表的每个表项为形如<表项序号，路由器A的设备序列号，路由器B的设备序列号>的设备序列号对。认证模块接收可信路由器发过来的认证申请报文，取出认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对，然后将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器。配置终端从用户输入的配置命令获取整个网络系统拓扑的配置信息，将整个网络拓扑的配置信息采用设备序列号对的形式保存到认证数据表中。配置终端通过操作命令对认证数据表进行操作，操作命令包括增加、删除和显示命令。第二步，将本文档来自技高网...

【技术保护点】
一种基于SDN架构的IS‑IS路由协议的可信认证方法，其特征在于包括以下步骤：第一步，构建一个集中与分布相结合的网络系统，它由N个可信路由器和一台集中控制服务器构成，N为正整数；可信路由器是安装有IS‑IS可信路由协议的路由器，IS‑IS可信路由协议与标准IS‑IS路由协议的区别在于在Hello数据报文尾部增加了设备序列号TLV，设备序列号TLV是一串字母和数字交错的字符，由Type，Length，Value三部分组成，Type＝252，Length＝TLV的长度，Value＝设备序列号；集中控制服务器通过网络系统中的一台可信路由器接入网络系统，通过网络系统与网络系统中所有可信路由器进行通信，集中控制服务器和可信路由器之间使用套接字建立UDP连接以进行控制报文的传输；控制报文有两类：认证申请报文和认证结果报文；认证申请报文包含形如<路由器A的设备序列号，路由器B的设备序列号>的设备序列号对，认证结果报文包含认证结果字段，当认证结果字段＝0时，代表认证不通过，当认证结果字段＝1时，代表认证通过；所述UDP指用户数据报协议；集中控制服务器安装有可信路由认证软件，可信路由认证软件由认证数据表，认证模块和配置终端组成；认证数据表的每个表项为形如<表项序号，路由器A的设备序列号，路由器B的设备序列号>的设备序列号对；认证模块接收可信路由器发过来的认证申请报文，取出认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对，然后将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器；配置终端从用户输入的配置命令获取整个网络系统拓扑的配置信息，将整个网络拓扑的配置信息采用设备序列号对的形式保存到认证数据表中；配置终端通过操作命令对认证数据表进行操作，操作命令包括增加、删除和显示命令；第二步，将未接入当前网络系统的非可信路由器RTC与当前网络系统中的任意一台可信路由器RTD进行可信认证，方法如下：2.1.RTC启动IS‑IS路由协议，周期性地向RTD发送Hello数据报文，并接收RTD发送过来的Hello数据报文；2.2.RTD接收RTC发送过来的Hello数据报文，检查接收到的Hello数据报文中是否包含设备序列号TLV，如果收到的Hello数据报文中没有包含设备序列号TLV，RTD将收到的Hello数据报文直接丢弃，转到2.1步；如果收到的Hello数据报文中包含设备序列号TLV，转2.3步；2.3.RTD将接收到的Hello数据报文中的设备序列号TLV中的RTC的设备序列号取出，和自己保存在本地的路由器的设备序列号组成形如<RTC的设备序列号，RTD的设备序列号>的设备序列号对；2.4.RTD将2.3步生成的设备序列号对通过认证申请报文发送给集中控制服务器；2.5.集中控制服务器接收到RTD发送的认证申请报文后将认证申请报文传递给认证模块；2.6.认证模块收到RTD发送的认证申请报文后，取出包含在认证申请报文中的设备序列号对，将取出的设备序列号对和集中控制服务器认证数据表中的表项进行一一比对，如果取出的设备序列号对中的两个设备序列号和认证数据表中的某条表项中的两个设备序列号相同，则将认证结果报文中的认证结果字段设置为1，如果没有匹配的表项，则将认证结果报文中的认证结果字段设置为0；然后认证模块将认证结果报文发送给RTD；2.7.RTD接收到集中控制服务器认证模块发送的认证结果报文后，取出其中的认证结果字段，如果认证结果字段的值为0，则RTD将收到的Hello数据报文直接丢弃，转到2.1步；如果认证结果字段的值为1，则RTD接收到的RTC发送的Hello数据报文通过验证，则接收该Hello数据报文。...

【技术特征摘要】
1.一种基于SDN架构的IS-IS路由协议的可信认证方法，其特征在于包括以下步骤：第一步，构建一个集中与分布相结合的网络系统，它由N个可信路由器和一台集中控制服务器构成，N为正整数；可信路由器是安装有IS-IS可信路由协议的路由器，IS-IS可信路由协议与标准IS-IS路由协议的区别在于在Hello数据报文尾部增加了设备序列号TLV，设备序列号TLV是一串字母和数字交错的字符，由Type，Length，Value三部分组成，Type＝252，Length＝TLV的长度，Value＝设备序列号；集中控制服务器通过网络系统中的一台可信路由器接入网络系统，通过网络系统与网络系统中所有可信路由器进行通信，集中控制服务器和可信路由器之间使用套接字建立UDP连接以进行控制报文的传输；控制报文有两类：认证申请报文和认证结果报文；认证申请报文包含形如<路由器A的设备序列号，路由器B的设备序列号>的设备序列号对，认证结果报文包含认证结果字段，当认证结果字段＝0时，代表认证不通过，当认证结果字段＝1时，代表认证通过；所述UDP指用户数据报协议；集中控制服务器安装有可信路由认证软件，可信路由认证软件由认证数据表，认证模块和配置终端组成；认证数据表的每个表项为形如<表项序号，路由器A的设备序列号，路由器B的设备序列号>的设备序列号对；认证模块接收可信路由器发过来的认证申请报文，取出认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对，然后将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器；配置终端从用户输入的配置命令获取整个网络系统拓扑的配置信息，将整个网络拓扑的配置信息采用设备序列号对的形式保存到认证数据表中；配置终端通过操作命令对认证数据表进行操作，操作命令包括增加、删除和显示命令；第二步，将未接入当前网络系统的非可信路由器RTC与当前网络系统中的任意一台可信路由器...

【专利技术属性】
技术研发人员：王宝生，邓文平，李博，苏金树，陈曙晖，高先明，彭伟，王宏，郦苏丹，唐竹，
申请(专利权)人：中国人民解放军国防科学技术大学，
类型：发明
国别省市：湖南;43