[发明专利]一种基于SDN架构的IS-IS路由协议的可信认证方法

摘要

本发明公开了一种基于SDN架构的IS‑IS路由协议的可信认证方法，目的是提供一种既能确保接入网络的路由器的可靠性，又能确保路由器之间发送的路由协议消息可信的方法。技术方案是先构建一个由N个可信路由器和一台集中控制服务器构成的网络系统，在Hello数据报文尾部增加设备序列号TLV；集中控制服务器安装有可信路由认证软件，可信路由认证软件由认证数据表，认证模块和配置终端组成；认证模块将认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对，将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器以确定是否通过认证。本发明既能确保入网的路由器的可靠性，也能确保路由器之间发送的路由协议消息可信。

主权项

1.一种基于SDN架构的IS‑IS路由协议的可信认证方法，其特征在于包括以下步骤：第一步，构建一个集中与分布相结合的网络系统，它由N个可信路由器和一台集中控制服务器构成，N为正整数；可信路由器是安装有IS‑IS可信路由协议的路由器，IS‑IS可信路由协议与标准IS‑IS路由协议的区别在于在Hello数据报文尾部增加了设备序列号字段TLV，设备序列号字段TLV由Type，Length，Value三部分组成，Type＝252，Length＝TLV的长度，Value＝设备序列号，设备序列号是一串字母和数字交错的字符；集中控制服务器通过网络系统中的一台可信路由器接入网络系统，通过网络系统与网络系统中所有可信路由器进行通信，集中控制服务器和可信路由器之间使用套接字建立UDP连接以进行控制报文的传输；控制报文有两类：认证申请报文和认证结果报文；认证申请报文包含形如<路由器A的设备序列号，路由器B的设备序列号>的设备序列号对，认证结果报文包含认证结果字段，当认证结果字段＝0时，代表认证不通过，当认证结果字段＝1时，代表认证通过；所述UDP指用户数据报协议；集中控制服务器安装有可信路由认证软件，可信路由认证软件由认证数据表，认证模块和配置终端组成；认证数据表的每个表项为形如<表项序号，路由器A的设备序列号，路由器B的设备序列号>的设备序列号对；认证模块接收可信路由器发过来的认证申请报文，取出认证申请报文中的设备序列号对与认证数据表中的设备序列号对进行比对，然后将得到的认证结果字段的值通过认证结果报文发送给发送认证申请报文的可信路由器；配置终端从用户输入的配置命令获取整个网络系统拓扑的配置信息，将整个网络拓扑的配置信息采用设备序列号对的形式保存到认证数据表中；配置终端通过操作命令对认证数据表进行操作，操作命令包括增加、删除和显示命令；第二步，将未接入当前网络系统的非可信路由器RTC与当前网络系统中的任意一台可信路由器RTD进行可信认证，方法如下：2.1.RTC启动IS‑IS路由协议，周期性地向RTD发送Hello数据报文，并接收RTD发送过来的Hello数据报文；2.2.RTD接收RTC发送过来的Hello数据报文，检查接收到的Hello数据报文中是否包含设备序列号字段TLV，如果收到的Hello数据报文中没有包含设备序列号字段TLV，RTD将收到的Hello数据报文直接丢弃，转到2.1步；如果收到的Hello数据报文中包含设备序列号字段TLV，转2.3步；2.3.RTD将接收到的Hello数据报文中的设备序列号字段TLV中的RTC的设备序列号取出，和自己保存在本地的路由器的设备序列号组成形如<RTC的设备序列号，RTD的设备序列号>的设备序列号对；2.4.RTD将2.3步生成的设备序列号对通过认证申请报文发送给集中控制服务器；2.5.集中控制服务器接收到RTD发送的认证申请报文后将认证申请报文传递给认证模块；2.6.认证模块收到RTD发送的认证申请报文后，取出包含在认证申请报文中的设备序列号对，将取出的设备序列号对和集中控制服务器认证数据表中的表项进行一一比对，如果取出的设备序列号对中的两个设备序列号和认证数据表中的某条表项中的两个设备序列号相同，则将认证结果报文中的认证结果字段设置为1，如果没有匹配的表项，则将认证结果报文中的认证结果字段设置为0；然后认证模块将认证结果报文发送给RTD；2.7.RTD接收到集中控制服务器认证模块发送的认证结果报文后，取出其中的认证结果字段，如果认证结果字段的值为0，则RTD将收到的Hello数据报文直接丢弃，转到2.1步；如果认证结果字段的值为1，则RTD接收到的RTC发送的Hello数据报文通过验证，则接收该Hello数据报文。