本發明公開了一種面向路由報文的集中化安全傳輸與認證方法，首先，新增路由設備通過鄰居表建立與每臺參與路由的設備的鄰居關系；其次，新增路由設備通過集中認證中心進行設備認證；再次，報文發送前，向集中認證中心對鄰居路由設備進行認證確認；從次，鄰居路由設備認證確認完成后，利用非對稱加密技術，將報文加密并發送給鄰居路由設備，最后，鄰居路由設備接收到加密報文后，利用非對稱加密技術解密報文，獲得原始報文供具體路由協議使用。本方法增加了新增路由設備認證的機制，提高了域內每臺路由設備的安全性,并在報文傳輸前，對鄰居路由設備進行認證確認，減少路由設備之間報文傳輸的泄漏風險，大大提高路由設備之間報文傳輸的安全性。

技術領域

本發明涉及網絡通信技術領域，具體為一種面向路由報文的集中化安全傳輸與認證方法。

背景技術

目前互聯網中常見的路由協議有RIP、OSPF、EIGRP、IS-IS、IGRP、BGP等，各種協議的安全性主要依靠各自協議的特有認證方法，各種協議之間的認證互不兼容。然而，在軟件定義的網絡等新型應用中，很多場景下需要對不同路由協議進行統一的安全性管理，目前尚缺乏能夠保證所有路由協議通信安全的通用性方法。

本發明主要用于解決該問題，整體思路是在各種路由協議的路由過程外部建立全新的認證機制，當認證成功后，才進行具體的路由通信。這種方法在傳統路由協議外部進行“加殼”，進而保證能夠與各種傳統路由協議兼容。

發明內容

本發明提供一種面向路由報文的集中化安全傳輸與認證方法，有效提高路由之間報文傳輸的安全性，降低數據泄露的風險。

本發明是以如下技術方案實現的:一種面向路由報文的集中化安全傳輸與認證方法，其特征在于：包括路由設備的鄰居表建立、路由設備的集中認證、鄰居路由設備的認證確認、報文加密傳輸四個過程,具體如下：

首先，新增路由設備通過鄰居表建立與每臺參與路由的設備的鄰居關系；

其次，新增路由設備通過集中認證中心進行設備認證；

再次，報文發送前，向集中認證中心對鄰居路由設備進行認證確認；

從次，鄰居路由設備認證確認完成后，利用加密技術，將報文加密并發送給鄰居路由設備；

最后，鄰居路由設備接收到加密報文后，利用加密技術解密報文，獲得原始報文供具體路由協議使用。

優選的，每臺參與路由的設備建立鄰居表，建立鄰居關系中每個接口經歷5種狀態，分別是：Down狀態、Init狀態、Decide狀態、Success狀態、Fail狀態；具體每個狀態的設計如下：

(1)Down狀態：端口尚未開啟本方法，默認處于Down狀態；

(2)Init狀態：端口開啟本方法，并發送Discover探索協議包，且尚未獲得對方的Coop包，同時，如果收到對方的Discover包，會回復Coop包；

(3)Decide狀態：收到對方發送的Coop包，且尚未判斷出認證是否成功；

(4)Success狀態：經過判斷Coop包中的認證與本機設置的認證相符和，進入Success狀態，在Success狀態下，每收到5個Coop包，檢測一次；

(5)Fail狀態：Coop包中的認證與本機設置的認證不符和，進入Fail狀態，在Fail狀態下，接收3個Coop包認證不符和后，進入Init狀態。

優選的，各種包發包時間周期為：Discover包默認每5秒發送一次，Coop包默認每10秒發送一次，當路由設備在Decide狀態下，Coop包每5秒發送一次，當路由設備在Success狀態下，Coop包每30秒發送一次；

優選的，Discover包格式為：源地址、目的地址、生存時間。