[发明专利]一种内部网关路由链路安全管理系统及方法

权利要求书

1.一种内部网关路由链路安全管理方法，其特征在于，该方法包括：

步骤1)在内部网关的总线上选定一路由器作为本自治系统的安全协商节点，该安全协商节点存储有基于IKE协议的所有安全关联；

步骤2)利用安全协商节点与待注册路由器节点完成路由数据传输过程中用到的安全关联协商，协商通过后将路由器连接到内部网关路由链路上；

步骤3)对于已注册路由器节点采用RIP2协议向临近路由器节点广播本地更新的路由表，并利用已协商的安全关联对路由器节点之间传送的承载有路由表的报文执行加密和认证。

2.根据权利要求1所述的内部网关路由链路安全管理方法，其特征在于，所述的安全关联协商过程为：

步骤201)以待注册路由器节点作为发起方，向安全协商节点发送若干个IKE安全策略提议，所述的IKE安全策略提议包括：路由器节点认证策略、路由表的加密策略、路由表的认证策略；

步骤202)以安全协商节点作为响应方，查看接收到的IKE安全策略，并尝试在本地寻找与之匹配的安全策略，将匹配的安全策略作为响应消息回传给待注册路由器节点；

步骤203)双方通过步骤202)中协商的安全策略进行密钥信息交换及身份认证，完成路由器节点的注册。

3.根据权利要求2所述的内部网关路由链路安全管理方法，其特征在于，所述的路由器节点及路由表的认证策略包括：

安全协商节点建立由系数a₀，a₁，a₂构成的线性方程f(x_i)：

由线性方程f(x_i)生成共享密钥对(x_i，y_i)，向各路由器节点分发两个唯一的共享密钥对及线性放程f(x_i)，用于实现路由器节点及路由表的认证。

4.根据权利要求2所述的内部网关路由链路安全管理方法，其特征在于，所述的路由表的加密策略包括：

安全协商节点建立m序列生成函数：

其中，c_j表示反馈系数，x表示m序列中的状态变量；

为所有路由器节点共享m序列生成函数和初始状态δ(0)＝(a₀，a₁，...a_n-1)，路由器节点利用m序列生成函数构造任意状态下的m序列，作为当前状态下的路由表的加密密钥。

5.根据权利要求4所述的内部网关路由链路安全管理方法，其特征在于，所述路由表的加密策略的执行过程为：

路由表发送方生成随机数，利用路由表项中记录的距离字段值和m序列生成函数的初始状态计算当前路由表项的状态密钥，计算公式表示为：

其中，δ(r^d)表示状态密钥，T表示状态转移矩阵，d表示目的IP地址到路由表发送方的距离，r_S表示路由表发送方的随机数；

利用状态密钥对路由表项中的目的IP地址、子网掩码、路由表发送方IP地址和上一跳IP地址字段采用对称加密算法加密，将生成的密文数据、随机数r_S与距离字段值以多播方式向临近路由器节点广播RIP报文；

路由表接收方收到RIP报文后，根据路由表项中的距离字段值和随机数r_S重新生成状态密钥，以状态密钥对密文数据解密，获得明文数据。