[发明专利]数据链路层安全通信中交换路由探寻方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种能够兼容常规交换设备与TLSec交换设备的网络安全通信中交换路由探寻方法。

背景技术

局域网数据链路层安全是网络通信的重大研究课题，目前国际上IEEE发布了数据链路层安全IEEE802.1AE标准即Media Access Control(MAC)Security，该标准定义了数据链路层的加密。IEEE802.1AF(开发中)定义了用于802.1AE的密钥协商和管理。IEEE802.1AR(开发中)定义了网络和网络连接的设备如何鉴别和验证彼此身份的协议。IEEE802.1AE、IEEE802.1AF和IEEE802.1AR构成了以太网网络接入控制的新架构。

我们对该课题进行了研究，克服目前IEEE802.1AE解决方案中存在中间人攻击、网络部署复杂等问题，提出一种能实现用户与网络之间的单/双向认证、接入控制及数据机密等功能的局域网媒体访问控制安全TLSec(TePA-based LAN MAC Security)方法。具体来说TLSec方法包括基于TePA的局域网鉴别协议TLA(TePA-based LAN Authentication Protocol)以及基于TLA协议的局域网保密通信协议TLP(TLA-based LAN Privacy Protocol)。TLA协议为局域网节点合法访问提供保障，TLP协议为局域网节点之间保密数据通信提供保障。

TLSec设备是指，采用了TLSec方法的设备，即在常规设备的基础上增加了身份鉴别机制和加解密数据的功能，能够实现节点间的保密通信。当TLSec设备接入网络时，通过三元对等架构，来进行身份鉴别，即请求者与鉴别访问控制器之间通过鉴别服务器提供的服务，进行双向和单向的身份鉴别。对于鉴别成功的TLSec设备可以成功接入网络并可以和其它接入网络的TLSec设备通过对数据加解密来进行保密通信。TLSec方法可用在交换设备即TLSec交换设备，也可用在用户终端。常规交换设备不具备身份鉴别机制和加解密数据的功能。

TLSec交换设备可以实现局域网中节点间的保密通信，节点间的保密通信需要通过保密操作来实现，而保密方式的选取是通过交换路由探寻这一过程实现的。交换路由探寻过程，是指源节点向目的节点发送交换路由探寻请求分组，目的节点收到交换路由探寻请求分组后向源节点发送交换路由探寻响应分组，各节点接收交换路由探寻响应分组，根据交换路由探寻的情况，选择不同的保密通信方式，从而为节点间保密通信提供信息。

当局域网中只存在常规交换设备时，因为不存在TLSec交换设备，所以不需要交换路由探寻过程。

当局域网中只存在TLSec交换设备时，源节点知道自身信息、目的节点信息以及邻居TLSec交换设备的信息，所以在构造交换路由探寻请求分组时，源节点、目的节点以及通往目的节点的链路中第一个TLSec交换设备的标识位是已知的。在交换路由探寻请求分组过程中，最后一个TLSec交换设备的标识位始终是未知的。只有当目的节点收到交换路由探寻请求分组后，构造交换路由探寻响应分组时，才能确定最后一个TLSec交换设备的信息。

当局域网中同时存在常规交换设备和TLSec交换设备时，源节点会有多个邻居TLSec交换设备，源节点只知道自身信息和目的节点信息，因为源节点无法确定通往目的节点的链路中第一个TLSec交换设备的信息，所以，源节点在构造交换路由探寻清求分组时，上述针对局域网中只存在TLSec交换设备的方法失效。

发明内容

本发明解决的问题就是对于常规交换设备和TLSec交换设备同时存在的网络，提出一种数据链路层安全通信中交换路由探寻方法，解决当源节点存在多个邻居TLSec交换设备的情况下交换路由信息的获取，为不同的网络拓扑结构选择不同的保密方式提供依据，进而完成节点间的保密通信。

本发明的目的是通过下述技术方案实现的：一种数据链路层安全通信中交换路由探寻方法，包括发送源节点Node_Source、目的节点Node_Destination、以及从源节点到目的节点的数据包所经过的交换设备SW，SW包括常规交换设备和TLSec交换设备。所述数据链路层安全通信中交换路由探寻方法包括以下步骤，如图1所示：

①交换路由探寻请求过程：源节点Node_Source向目的节点Node_Destiantion发送交换路由探寻请求分组；