本發明公開了一種基于SDN架構的IS?IS路由協議的可信認證方法，目的是提供一種既能確保接入網絡的路由器的可靠性，又能確保路由器之間發送的路由協議消息可信的方法。技術方案是先構建一個由N個可信路由器和一臺集中控制服務器構成的網絡系統，在Hello數據報文尾部增加設備序列號TLV；集中控制服務器安裝有可信路由認證軟件，可信路由認證軟件由認證數據表，認證模塊和配置終端組成；認證模塊將認證申請報文中的設備序列號對與認證數據表中的設備序列號對進行比對，將得到的認證結果字段的值通過認證結果報文發送給發送認證申請報文的可信路由器以確定是否通過認證。本發明既能確保入網的路由器的可靠性，也能確保路由器之間發送的路由協議消息可信。

技術領域

本發明涉及一種基于SDN(Software Define Network，軟件定義網絡)架構的IS-IS(Intermediate System-Intermediate System，中間系統到中間系統)路由協議的可信認證方法。

背景技術

隨著網絡規模的擴展，網絡安全問題日益突出，路由系統作為網絡正常有序工作的基礎，其安全問題對通信網絡安全至關重要。作為在運營商網絡使用最廣泛的域內路由協議之一，IS-IS路由協議最初是由ISO(International Organization forStandardization，國際標準化組織)為CLNP(ConnectionLess Network Protocol，無連接網絡協議)設計的一種動態路由協議，為了提供對IP(Internet Protocol，網際協議)路由的支持，通過對IS-IS進行擴充和修改，使IS-IS能夠同時應用在TCP/IP(TransmissionControl Protocol/Internet Protocol，傳輸控制協議/網際協議)和OSI(Open SystemInterconnection，開發系統互聯)環境中，形成了集成化IS-IS，現在提到的IS-IS協議都是指集成化的IS-IS協議。然而IS-IS設計初衷是要在本方所管轄的區域之內運行，并假定本方區域內的所有路由器都是受信設備，因此，運行IS-IS的路由器間的鄰接關系建立機制和信息共享機制會盡可能地保持簡單、開放，并沒有充分考慮路由器接入的可信認證問題，只有一些簡單的認證機制保證安全。

令網絡系統中任意兩臺運行IS-IS路由協議的路由器為路由器A(簡寫為：RTA)和路由器B(簡寫為：RTB)，RTA和RTB之間鄰接關系的建立過程如下：

1.RTA將運行IS-IS路由協議的接口加入IS-IS路由協議進程，開始使用組播地址發送鄰居字段為空的Hello報文。認證類型的選擇采用類型選擇方式：如果認證類型字段值＝0，IS-IS路由協議不開啟認證功能；如果認證類型字段＝1，IS-IS路由協議開啟明文認證；如果認證類型字段＝54，則IS-IS路由協議開啟MD5認證。

2.RTB收到RTA發送的Hello報文后，認證類型的驗證采用類型驗證方式：如果收到的Hello報文中認證類型字段值＝0，IS-IS路由協議不進行認證驗證；如果認證類型字段＝1，IS-IS路由協議進行明文認證驗證；如果認證類型字段＝54，則IS-IS路由協議進行MD5認證驗證。如果認證驗證不通過，IS-IS路由協議直接丟棄收到的Hello報文。如果認證驗證通過，IS-IS路由協議為RTA創建一個鄰居數據結構(鄰居數據結構主要包含如下幾項：接口名、系統名、所屬層級、狀態、保持時間和子網接入點地址)，并且將鄰居數據結構的狀態字段設置為Init(初始狀態)，RTB接著發送一個Hello報文給RTA，照1中的類型選擇方式根據認證類型字段的值開啟不同的認證并且將RTA的MAC地址包含在要發送的Hello報文的鄰居字段中。

3.RTA接收到RTB的Hello報文，照2中的類型驗證方式進行驗證通過后同樣為RTB創建一個鄰居數據結構，并且將鄰居數據結構的狀態字段設置為Init，RTA接著再發送一個Hello報文給RTB，照1中的類型選擇方式根據認證類型字段的值開啟不同的認證并且將RTB的MAC地址包含在報文的鄰居字段中。