[发明专利]一种用于接入路由器的安全虚连接协议方法和系统

说明书

本发明提出一种用于接入路由器的安全虚连接协议方法和系统。所述安全虚连接协议为对称协议，用于在路由器之间建立受控互通的安全虚连接，在所述安全虚连接协议中，一条安全虚连接支持建立多条虚链路，所述虚链路为安全接入路由器之间建立的虚连接链路。所述方法包括：步骤S1、节点信息交互；步骤S2、密钥协商；步骤S3、虚链路建立；步骤S4、密钥更新；步骤S5、虚连接带宽更新；步骤S6、虚连接拆除。

技术领域

本发明属于通信协议领域，尤其涉及一种用于接入路由器的安全虚连接协议方法和系统。

背景技术

企业网、校园网等是依托、借助互联网安全防护体系与设备建设起来的专用网络，用以传输处理内部信息，担负着重要的安全保密任务。由于网络系统的对外开放性、自身设计的缺陷性和对外防御策略的考虑不足，接入路由器间需要建立安全的虚连接,否则容易遭受外部网络病毒侵入而酿成重大的事故。

随着互联网应用的蓬勃发展，基于隧道的网络扩容技术得到广泛应用。然而，当前使用的连接控制协议只负责维护、终止和配置任务的功能，对双方配置是否适配进行校验，缺乏一种可靠的技术手段，难以完成对等体安全鉴别等工作，给通信双方信息传输的机密性带来潜在威胁。

发明内容

针对上述技术问题，本发明提出了一种用于接入路由器的安全虚连接协议（SVLP，Security Virtual Link Protocol）方案。该方案用于安全接入路由器间建立安全虚连接的控制协议，完成协议对等体安全鉴别、虚连接建立、虚连接维护、密钥协商和控制具有带宽资源保证的路径建立。

本方案提出将密钥协商纳入虚连接过程，提出将路由器之间的虚连接参数信息作为密钥协商合法性判决的技术思路。这一思路的创新体现在三方面：一是将路由器虚连接建立和密钥协商两个过程紧耦合，由虚连接发起的路由器启动密钥协商过程；二是将完成密钥协商作为虚连接建立的先决条件，只有当密钥协商通过之后才能进行虚连接业务传输；三是虚连接传输业务结束后，即刻虚连接拆除、密钥失效，在时间尺度上实现传输安全性和带宽高效性的统一。有效的保证路由器间受控互通、带服务质量保证的安全虚连接。

本发明第一方面公开了一种用于接入路由器的安全虚连接协议方法。所述安全虚连接协议为对称协议，用于在路由器之间建立受控互通的安全虚连接，在所述安全虚连接协议中，一条安全虚连接支持建立多条虚链路，所述虚链路为安全接入路由器之间建立的虚连接链路；所述方法包括：

步骤S1、节点信息交互：通过安全接入的路由器的SVLP模块进行所述节点信息交互，所述SVLP模块为安全虚连接协议模块；

步骤S2、密钥协商：所述路由器的SVLP模块收到网管发送的安全虚连接配置后 ，主动方路由器与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商；

步骤S3、虚链路建立：所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和路由模块进行所述虚链路建立；

步骤S4、密钥更新：所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述加密模块进行所述密钥更新；

步骤S5、虚连接带宽更新：所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接带宽更新；

步骤S6、虚连接拆除：所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP模块和所述路由模块进行所述虚连接拆除。

根据本发明第一方面的方法，在所述步骤S1中，所述通过路由器的SVLP模块进行所述路由器信息交互的具体方法包括：

步骤S11、当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后，更新本路由器的路由器信息；

步骤S12、所述路由器的SVLP模块将所述路由器信息同步至配置了虚连接的对端路由器，即被动方路由器；