(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111428207.5 (22)申请日 2021.11.29 (65)同一申请的已公布的文献号 申请公布号 CN 113839778 A (43)申请公布日 2021.12.24 (73)专利权人 军事科学院系统工程研究院网络 信息研究所 地址 100141 北京市丰台区大成路13号院 (72)发明人 杨林　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 代理人 刘光德 (51)Int.Cl. H04L 9/08(2006.01) H04L 41/0246(2022.01)H04L 41/28(2022.01) H04L 69/14(2022.01) H04L 9/40(2022.01) H04L 45/02(2022.01) H04L 47/76(2022.01) (56)对比文件 CN 102447674 A,2012.0 5.09 CN 106685956 A,2017.0 5.17 CN 102694732 A,2012.09.26 CN 110661620 A,2020.01.07 US 2008155252 A1,20 08.06.26 审查员 杨丹 (54)发明名称 一种用于接入路由器的安全虚连接协议方 法和系统 (57)摘要 本发明提出一种用于接入路由器的安全虚 连接协议方法和系统。 所述安全虚连接协议为对 称协议， 用于在路由器 之间建立受控互通的安全 虚连接， 在所述安全虚连接协议中， 一条安全虚 连接支持建立多条虚链路， 所述虚链路为安全接 入路由器之间建立的虚连接链路。 所述方法包 括： 步骤S1、 节点信息交互； 步骤S2、 密钥协商； 步 骤S3、 虚链路建立； 步骤S4、 密钥更新； 步骤S5、 虚 连接带宽更新； 步骤S6、 虚连接 拆除。 权利要求书4页 说明书15页 附图10页 CN 113839778 B 2022.02.18 CN 113839778 B 1.一种用于接入路由器的安全虚连接协议方法， 其特征在于， 所述安全虚连接协议为 对称协议， 用于在路由器之 间建立受控互通的安全虚连接， 在所述安全虚连接协 议中， 一条 安全虚连接支持建立多条虚链路， 所述虚链路为安全接入路由器之间建立的虚连接链路； 所述方法包括： 步骤S1、 节点信息交互： 通过安全接入的路由器的SVLP模块进行所述节点信息交互， 所 述SVLP模块 为安全虚连接协议模块； 步骤S2、 密钥协商： 所述路由器的SVLP模块收到网管发送的安全虚连接配置后  ， 主动 方路由器与被动方路由器通过 各自的路由器的SVLP模块和 加密模块进行 所述密钥协商； 步骤S3、 虚链路建立： 所述主动方路由器与被动方路由器通过各自的所述路由器的 SVLP模块和路由模块进行 所述虚链路建立； 步骤S4、 密钥更新： 所述主动方路由器与被动方路由器通过各自的所述路由器的SVLP 模块和所述加密模块进行 所述密钥更新； 步骤S5、 虚连接带宽更新： 所述主动方路由器与被动方路由器通过各自的所述路由器 的SVLP模块和所述路由模块进行 所述虚连接带宽更新； 步骤S6、 虚连接拆除： 所述主动方路由器与被动方路由器通过各自的所述路由器的 SVLP模块和所述路由模块进行 所述虚连接拆除。 2.根据权利要求1所述的一种用于接入路由器的安全虚连接协议方法， 其特征在于， 在 所述步骤S1中， 所述 通过路由器的SVLP模块进行 所述路由器信息交 互的具体方法包括： 步骤S11、 当所述主动方路由器的SVLP模块收到路由模块报告的实链路信息后， 更新本 路由器的路由器信息； 步骤S12、 所述路由器的SVLP模块将所述路由器信息 同步至配置了虚连接的对端路由 器， 即被动方路由器； 步骤S13、 当所述被动方路由器的SVLP模块收到所述路由器的交互信息后， 更新本地存 储的路由器信息表， 并发送路由器信息交互应答消息给发送端路由器， 即所述主动方路由 器。 3.根据权利要求2所述的一种用于接入路由器的安全虚连接协议方法， 其特征在于， 在 所述步骤S2中， 所述路由器的SV LP模块收到网管发送的安全虚连接配置后  ， 主动方路由器 与被动方路由器通过各自的路由器的SVLP模块和加密模块进行所述密钥协商的具体方法 包括： 步骤S21、 所述路由器的SVLP模块收到 网管发送的安全虚连接配置后， 作 为安全虚连接 的主动方路由器发送密钥协商启动消息给主动方加密模块； 步骤S22、  所述主动方路由器的所述路由器的SVLP模块在收到所述主动方加密模块返 回的密钥协商报文后， 向被动方路由器发送密钥协商请求报文； 步骤S23、 被动方路由器的SVLP模块收到所述密钥协商请求报文后， 进行合法性判决 后， 根据匹配的虚 链路信息， 将所述密钥协商报文发送给被动方加密模块； 步骤S24、 被动方路由器的SVLP模块收到被动方加密模块返回的密钥协商报文后， 由被 动方路由器的SVLP模块构造密钥协商应答报文发送给 所述主动方路由器； 步骤S25、 所述主动方路由器收到密钥协商应答后， 将密钥协商报文发送给主动方加密 模块；权　利　要　求　书 1/4 页 2 CN 113839778 B 2步骤S26、 如此重复步骤S21 ‑步骤S25发送密钥协商消息及应答消息， 直至主动方加密 模块和被动方加密 模块完成密钥协商； 待主动方路由器和被动方路由器收到各自加密 模块 的密钥协商完成消息后， 完成密钥协商。 4.根据权利要求3所述的一种用于接入路由器的安全虚连接协议方法， 其特征在于， 在 所述步骤S 3中， 所述主动方路由器与被动方路由器通过各自的所述路由器的SV LP模块和路 由模块进行 所述虚链路建立的具体方法包括： 步骤S31、 所述主动方路由器的SVLP模块和被动方路由器的SVLP模块分别给各自的路 由模块发送流表配置； 步骤S32、 主动方路由模块和被动方路由模块的流表配置完成后， 向各自的所述路由器 的SVLP模块发送流表配置成功应答； 步骤S33、 所述主动方路由器的SVLP模块向被动方路由器发送 虚链路建立请求消息； 步骤S34、 所述被动方路由器的SVLP模块收到主动方发送的虚链路建立请求后， 完成身 份标识协商， 并发送 虚链路建立应答消息； 步骤S35、 当所述主动方路由器的SVLP模块收到被动方发送的虚链路建立应答消息后， 记录对端协商 身份标识， 完成虚 链路协商； 步骤S36、 虚链路协商完成后， 所述主动方路由器的SVLP模块和所述被动方路由器的 SVLP模块通知本端各自的路 由模块虚连接编号、 协商身份标识信息， 同时判断网管配置的 资源预留标识， 如果需要预留资源， 则申请建立资源预留路径； 步骤S37、 当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自 的路由模块发送的路径建立信息后， 所述虚 链路建立完成； 步骤S38、 当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块封装流表 限流结果， 向各自的路由模块发送流表配置； 步骤S39、 当所述主动方路由器的SVLP模块和所述被动方路由器的SVLP模块收到各自 的路由模块流表配置应答后， 安全虚链路建立成功， 虚连接业务传输基于步骤2协商的密 钥； 步骤S310、 所述主动方路由器的SVLP模块发起虚连接维护请求并等待维护应答报文的 接收， 被动方路由器等待接收虚连接维护请求以判决主动方虚连接的存活。 5.根据权利要求4所述的一种用于接入路由器的安全虚连接协议方法， 其特征在于， 在 所述步骤S4中， 所述主动方路由器与被动方路由器通过各自的所述路由器的SV LP模块和所 述加密模块进行 所述密钥更新的具体方法包括： 步骤S41、 当接入的路由器的密钥 超时后， 所述主动方路由器的SVLP模块给所述主动方 加密模块发送密钥协商启动消息； 步骤S42、 所述主动方路由器的SVLP模块在收到所述主动方加密模块发送的所述密钥 协商报文后， 所述主动方路由器的SVLP模块发送密钥更新请求消息给被动方路由器， 所述 请求消息携带密钥协商内容； 步骤S43、 当被动方路由器收到密钥更新请求消息时， 会给所述被动方加密模块发送密 钥协商， 并向主动方路由器发送密钥更新应答消息； 步骤S44、 主动方路由器将收到的被动方密钥协商的报文发送给主动方加密模块， 直到 收到密钥协商完成通知； 所述被动方加密模块进行密钥协商， 直到收到密钥协商完成通知；权　利　要　求　书 2/4 页 3 CN 113839778 B 3