專利名稱:一種防止序列號攻擊的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種防止序列號攻擊的方法和設(shè)備。
背景技術(shù):
IS-IS (Intermediate System-to-Intermediate System intra-domain routinginformation exchange protocol,中間系統(tǒng)到中間系統(tǒng)的域內(nèi)路由信息交換協(xié)議) 是 ISO (International Organization for Standardization, 國際標準化組織)為 CLNP (Connectionless Network Protocol,無連接網(wǎng)絡(luò)協(xié)議)設(shè)計的一種動態(tài)路由協(xié) 議。而為了提供對IP(網(wǎng)際互連協(xié)議)的路由支持,IETF (Internet EngineeringTask Force,因特網(wǎng)工程任務(wù)組)對IS-IS進行了擴充和修改,使得IS-IS能夠同時應(yīng)用 在 TCP(Transmission Control Protocol,傳輸控制協(xié)議)/IP 和 0SI(Open System Interconnection,開放系統(tǒng)互聯(lián)模型)環(huán)境中,稱為集成化IS-IS (Integrated IS-IS或 Dual IS-IS)。具體的,IS-IS屬于IGP (Interior Gateway Protocol,內(nèi)部網(wǎng)關(guān)協(xié)議)協(xié)議,用于 自治系統(tǒng)內(nèi)部,且IS-IS是一種鏈路狀態(tài)協(xié)議,通過使用SPF(Shortest PathFirst,最短路 徑優(yōu)先)算法進行路由計算。其中,IS-IS路由協(xié)議的基本術(shù)語包括(1) IS (Intermediate System,中間系統(tǒng)),該IS相當于TCP/IP中的路由器,是 IS-IS協(xié)議中生成路由和傳播路由信息的基本單元。(2) RD (Routing Domain,路由域),在一個路由域中的多個IS通過相同的路由協(xié)
議來交換路由信息。(3)Area(區(qū)域),路由域的細分單元,IS-IS允許將整個路由域分為多個區(qū)域。(4)LSDB(Link State Database,鏈路狀態(tài)數(shù)據(jù)庫),網(wǎng)絡(luò)內(nèi)的所有鏈路狀態(tài)組成 了鏈路狀態(tài)數(shù)據(jù)庫,在每一個IS中都至少有一個LSDB。其中,IS能夠使用SPF算法,并利 用自身的LSDB來生成自身的路由。(5)LSPDU (Link State Protocol Data Unit,鏈路狀態(tài)協(xié)議數(shù)據(jù)單元),簡稱LSP。 其中,在IS-IS中,每一個IS都會生成LSP,該LSP包含了本IS的所有鏈路狀態(tài)信息,而每 個IS將收集本區(qū)域內(nèi)所有的LSP,并與本地生成的LSP構(gòu)成自身的LSDB。進一步的,IS-IS報文直接封裝在數(shù)據(jù)鏈路幀中,包括以下報文類型(1) Hello報文,用于建立和維持鄰接關(guān)系。(2)LSP報文,用于交換鏈路狀態(tài)信息。其中,每個LSP都有一個 SequenceNumber (序列號),而該Sequence Number用于標識LSP的新舊情況,該Sequence Number越大,則說明該LSP越新。(3) SNP (Sequence Number PDUs,時序報文)報文,用于確認鄰居之間最新接收的 LSP。具體的,在IS-IS網(wǎng)絡(luò)中,LSP的交互是通過LSP報文來實現(xiàn)的,各個路由設(shè)備都 會形成一個LSP,該LSP中包含了本地所有鏈路的狀態(tài)信息;然后封裝為LSP報文發(fā)送到IS-IS鄰居路由設(shè)備中;當鄰居路由設(shè)備接收到該LSP報文后,需要通過LSP報文將該LSP 信息擴散到其它鄰居路由設(shè)備中。通過這樣的洪泛機制,使得每個路由設(shè)備所形成的LSP 信息,能夠擴散到網(wǎng)絡(luò)中的其他路由設(shè)備。基于上述情況,在IS-IS網(wǎng)絡(luò)中,每臺路由設(shè)備都會學習到網(wǎng)絡(luò)中所有路由設(shè)備 所產(chǎn)生的LSP,進而了解這些路由設(shè)備的鏈路狀態(tài)信息,從而能夠根據(jù)SPF算法和各個路由 設(shè)備的鏈路狀態(tài)信息計算出到達目的地址所對應(yīng)的路由信息?,F(xiàn)有技術(shù)中,當各個路由設(shè)備接收到來自鄰居的LSP報文后,會將該LSP報文中包 含的每條LSP信息與本地維護的LSP信息進行比較。如果LSP報文中攜帶的LSP序列號比本地維護的LSP序列號小,則該路由設(shè)備認 為本地維護的LSP比來自鄰居的LSP新,此時,該路由設(shè)備不需要更新本地的LSP,并將本地 的LSP通過LSP報文通知給鄰居路由設(shè)備。如果LSP報文中攜帶的LSP序列號比本地維護的LSP序列號大,則該路由設(shè)備認 為來自鄰居的LSP比本地維護的LSP新,此時,該路由設(shè)備需要更新本地的LSP,即需要將新 的LSP更新到自身的LSPDB數(shù)據(jù)庫中,然后發(fā)送新的LSP到所有鄰居路由設(shè)備,而鄰居路由 設(shè)備將再擴散到其它鄰居路由設(shè)備,以此類推。綜上可以看出,LSP的新舊是按照LSP序列號的大小來決定的,而LSP序列號大的 就認為LSP是最新的。其中,當網(wǎng)絡(luò)發(fā)生變化導致路由需要重新進行計算,或路由器定時刷 新時,都產(chǎn)生較新的LSP。在現(xiàn)有的IS-IS協(xié)議中規(guī)定,LSP序列號使用一個32bit長度來表示,按照30秒更 新一次LSP來計算,從1到最大值,需要幾百年時間。如果有一臺路由設(shè)備(例如,路由設(shè) 備A),將最大值的LSP序列號發(fā)送到網(wǎng)絡(luò)時,網(wǎng)絡(luò)中的路由設(shè)備接收到對應(yīng)的LSP報文后, 會將路由設(shè)備A對應(yīng)的LSP刪除,并將該具有最大值LSP序列號的LSP報文擴散到其它路 由設(shè)備中。因此,網(wǎng)絡(luò)中的所有路由設(shè)備都會刪除路由設(shè)備A的LSP,而為了讓網(wǎng)絡(luò)中的所有 路由設(shè)備均有充分的時間來刪除路由設(shè)備A的LSP,需要網(wǎng)絡(luò)中的所有路由設(shè)備在預(yù)設(shè)時 間(例如,21分鐘)內(nèi)不處理路由設(shè)備A所產(chǎn)生的任何LSP。但是,在采用上述方法來刪除路由設(shè)備A的LSP時,并沒有一種保護措施。例如, 路由設(shè)備A本身不需要網(wǎng)絡(luò)中的其他路由設(shè)備刪除該路由設(shè)備A的LSP,而有攻擊者仿冒路 由設(shè)備A來發(fā)送具有最大值LSP序列號的LSP報文時,則網(wǎng)絡(luò)中的所有路由設(shè)備都會刪除 路由設(shè)備A的LSP,并在預(yù)設(shè)時間內(nèi)不處理路由設(shè)備A所產(chǎn)生的任何LSP,從而導致路由設(shè) 備A在網(wǎng)絡(luò)中一直處于不可見狀態(tài),繼而導致該路由設(shè)備不能夠可用。
發(fā)明內(nèi)容
本發(fā)明提供一種防止序列號攻擊的方法和設(shè)備,以防止序列號攻擊,保證路由設(shè) 備的正常使用。為了達到上述目的,本發(fā)明提出了一種防止序列號攻擊的方法,應(yīng)用于包括多個 路由設(shè)備的系統(tǒng)中,各個路由設(shè)備之間通過LSP報文交互鏈路狀態(tài)信息,所述LSP報文中攜 帶了序列號,所述多個路由設(shè)備中包括第三方認證設(shè)備,且所述第三方認證設(shè)備中設(shè)置了 針對序列號的認證域,所述方法包括以下步驟
所述第三方認證設(shè)備接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文;根據(jù)所 述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述LSP報文對應(yīng)的路由設(shè)備進行 LSP確認;并在需要進行LSP確認且LSP確認通過時,維護所述LSP報文對應(yīng)的路由設(shè)備的 LSP確認信息;當各個路由設(shè)備接收到來自其他路由設(shè)備的攜帶了最大值序列號的LSP報文時, 各個路由設(shè)備從所述第三方認證設(shè)備中獲取所述攜帶了最大值序列號的LSP報文對應(yīng)的 路由設(shè)備是否經(jīng)過LSP確認;如果經(jīng)過LSP確認,則各個路由設(shè)備刪除自身存儲的所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備的LSP信息;如果沒有經(jīng)過LSP確認,則各個路由設(shè)備確定不需要刪除自身存儲的所述攜帶了 最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息。根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述LSP報文對應(yīng) 的路由設(shè)備進行LSP確認,具體包括所述第三方認證設(shè)備判斷所述LSP報文中攜帶的序列號是否在所述認證域的范 圍內(nèi);如果在所述認證域的范圍內(nèi),所述第三方認證設(shè)備確定對所述LSP報文對應(yīng)的路 由設(shè)備進行LSP確認;如果不在所述認證域的范圍內(nèi),所述第三方認證設(shè)備確定不需要對所述LSP報文 對應(yīng)的路由設(shè)備進行LSP確認。所述第三方認證設(shè)備確定對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認,之后還 包括所述第三方認證設(shè)備向所述LSP報文對應(yīng)的路由設(shè)備發(fā)送認證請求,所述認證請 求中攜帶了所述LSP報文的信息;由所述LSP報文對應(yīng)的路由設(shè)備根據(jù)所述LSP報文的信 息判斷所述LSP報文是否為自身所發(fā)送的,如果是,則向所述第三方認證設(shè)備發(fā)送確認報 文,否則,向所述第三方認證設(shè)備發(fā)送否認報文;如果所述第三方認證設(shè)備接收到來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文, 則所述第三方認證設(shè)備確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過;如果所述第三方認證設(shè)備接收到來自所述LSP報文對應(yīng)的路由設(shè)備的否認報文, 則所述第三方認證設(shè)備確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認不通過。所述第三方認證設(shè)備中預(yù)先存儲了確認列表;維護所述LSP報文對應(yīng)的路由設(shè)備的LSP確認信息,具體為如果所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過,則所述第三方認證設(shè)備將所 述LSP報文對應(yīng)的路由設(shè)備的設(shè)備ID存儲到所述確認列表;各個路由設(shè)備從所述第三方認證設(shè)備中獲取所述攜帶了最大值序列號的LSP報 文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認,具體包括所述第三方認證設(shè)備接收來自各個路由設(shè)備的設(shè)備ID信息,如果在所述確認列 表中查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID,則向各個路由設(shè)備發(fā)送經(jīng)過LSP確認的回應(yīng) 報文,各個路由設(shè)備確定所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確 認;
8
如果在所述確認列表中沒有查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID,則向各個路 由設(shè)備發(fā)送沒有經(jīng)過LSP確認的回應(yīng)報文,各個路由設(shè)備確定所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認。所述多個路由設(shè)備中還包括所述第三方認證設(shè)備的認證設(shè)備,且所述第三方認證 設(shè)備的認證設(shè)備同樣設(shè)置了認證域;所述方法還包括所述第三方認證設(shè)備的認證設(shè)備接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送 的LSP報文;根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述第三方認 證設(shè)備進行LSP確認;并在需要進行LSP確認且LSP確認通過時,維護所述第三方認證設(shè)備 的LSP確認信息;當各個路由設(shè)備接收到來自所述第三方認證設(shè)備的攜帶了最大值序列號的LSP 報文時,各個路由設(shè)備從所述第三方認證設(shè)備的認證設(shè)備中獲取所述第三方認證設(shè)備是否 經(jīng)過LSP確認;如果經(jīng)過LSP確認,則各個路由設(shè)備刪除自身存儲的所述第三方認證設(shè)備的LSP fn息;如果沒有經(jīng)過LSP確認,則各個路由設(shè)備確定不需要刪除自身存儲的所述第三方 認證設(shè)備的LSP信息。一種防止序列號攻擊的設(shè)備,應(yīng)用于包括多個路由設(shè)備的系統(tǒng)中,各個路由設(shè)備 之間通過LSP報文交互鏈路狀態(tài)信息,所述LSP報文中攜帶了序列號,所述多個路由設(shè)備中 包括第三方認證設(shè)備,且所述第三方認證設(shè)備中設(shè)置了針對序列號的認證域,該設(shè)備進一 步包括收發(fā)模塊,判斷模塊和處理模塊,所述收發(fā)模塊和所述判斷模塊連接,所述處理模 塊與所述判斷模塊連接,其中,當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,所述收發(fā)模塊,用于接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文;并接收 各個路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP報文;所述判斷模塊,用于根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否 對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認;并根據(jù)LSP確認信息判斷所述攜帶了最大 值序列號的LSP報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認;所述處理模塊,用于在需要進行LSP確認且LSP確認通過時,維護所述LSP報文對 應(yīng)的路由設(shè)備的LSP確認信息;并在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序列號 的LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確認時,刪除自身存儲的所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備的LSP信息;在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序 列號的LSP報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認時,確定不需要刪除自身存儲的所述攜 帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息;當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時,所述收發(fā)模塊,用于接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列 號的LSP報文;所述判斷模塊,用于從所述第三方認證設(shè)備中判斷所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認;所述處理模塊,用于當所述判斷模塊的判斷結(jié)果為經(jīng)過LSP確認時,刪除自身存儲的所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息;當所述判斷模塊 的判斷結(jié)果為沒有經(jīng)過LSP確認,確定不需要刪除自身存儲的所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備的LSP信息。當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,所述判斷模塊具體用于,判斷所述LSP報文中攜帶的序列號是否在所述認證域的 范圍內(nèi);如果在所述認證域的范圍內(nèi),則確定對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確 認;如果不在所述認證域的范圍內(nèi),則確定不需要對所述LSP報文對應(yīng)的路由設(shè)備進行LSP 確認。當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,所述收發(fā)模塊還用于,向所述LSP報文對應(yīng)的路由設(shè)備發(fā)送認證請求,所述認證 請求中攜帶了所述LSP報文的信息;由所述LSP報文對應(yīng)的路由設(shè)備根據(jù)所述LSP報文的 信息判斷所述LSP報文是否為自身所發(fā)送的,如果是,則向所述第三方認證設(shè)備發(fā)送確認 報文,否則,向所述第三方認證設(shè)備發(fā)送否認報文;并接收來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文或者接收來自所述LSP報文 對應(yīng)的路由設(shè)備的否認報文;所述判斷模塊還用于,如果接收到來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文 時,則確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過;如果接收到來自所述LSP報文對 應(yīng)的路由設(shè)備的否認報文時,則確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認不通過。所述第三方認證設(shè)備中預(yù)先存儲了確認列表;當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,所述處理模塊還用于,如果所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過,則將所 述LSP報文對應(yīng)的路由設(shè)備的設(shè)備ID存儲到所述確認列表;所述收發(fā)模塊還用于,接收來自各個路由設(shè)備的設(shè)備ID信息,并當在所述確認列 表中查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID時,向各個路由設(shè)備發(fā)送經(jīng)過LSP確認的回應(yīng) 報文;當在所述確認列表中沒有查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID時,向各個路由設(shè)備 發(fā)送沒有經(jīng)過LSP確認的回應(yīng)報文;當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時,所述收發(fā)模塊還用于,向所述第三方認證設(shè)備發(fā)送設(shè)備ID信息;并接收來自所述 第三方認證設(shè)備的經(jīng)過LSP確認的回應(yīng)報文,或者,沒有經(jīng)過LSP確認的回應(yīng)報文;所述判斷模塊還用于,當接收到經(jīng)過LSP確認的回應(yīng)報文時,判斷所述攜帶了最 大值序列號的LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確認;當接收到?jīng)]有經(jīng)過LSP確認的回應(yīng) 報文時,判斷所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認。所述多個路由設(shè)備中還包括所述第三方認證設(shè)備的認證設(shè)備,且所述第三方認證 設(shè)備的認證設(shè)備同樣設(shè)置了認證域;當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備的認證設(shè)備時,所述收發(fā)模塊,用于接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的LSP報文; 并接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP報文;所述判斷模塊,用于根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否 對所述第三方認證設(shè)備進行LSP確認;并根據(jù)LSP確認信息判斷所述第三方認證設(shè)備是否經(jīng)過LSP確認;所述處理模塊,用于在需要進行LSP確認且LSP確認通過時,維護所述第三方認證 設(shè)備的LSP確認信息;并在所述判斷模塊的判斷結(jié)果為所述第三方認證設(shè)備經(jīng)過LSP確認 時,刪除自身存儲的所述第三方認證設(shè)備的LSP信息;在所述判斷模塊的判斷結(jié)果為所述 第三方認證設(shè)備沒有經(jīng)過LSP確認時,確定不需要刪除自身存儲的所述第三方認證設(shè)備的 LSP fp 肩、o與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點通過第三方認證設(shè)備對各個路由設(shè)備進行認證,只有當路由設(shè)備通過認證時,才 會對該路由設(shè)備的攜帶了最大值序列號的LSP報文進行處理,而當路由設(shè)備沒有通過認證 時,不會對該路由設(shè)備的攜帶了最大值序列號的LSP報文進行處理,從而解決攻擊者仿冒 路由設(shè)備發(fā)送最大值序列號的LSP報文導致路由設(shè)備不能正常使用的情況,防止了序列號 的攻擊,并保證路由設(shè)備的正常使用。
圖1為本發(fā)明提出的一種防止序列號攻擊的方法流程圖;圖2為本發(fā)明提出的一種防止序列號攻擊的設(shè)備的結(jié)構(gòu)圖。
具體實施例方式本發(fā)明中,通過第三方認證設(shè)備對各個路由設(shè)備進行認證,只有當路由設(shè)備通過 認證時,才會對該路由設(shè)備的攜帶了最大值序列號的LSP報文進行處理,而當路由設(shè)備沒 有通過認證時,不會對該路由設(shè)備的攜帶了最大值序列號的LSP報文進行處理,從而解決 攻擊者仿冒路由設(shè)備發(fā)送最大值序列號的LSP報文導致路由設(shè)備不能正常使用的情況,防 止了序列號的攻擊,并保證路由設(shè)備的正常使用。基于上述思想,本發(fā)明中提供一種防止序列號攻擊的方法,應(yīng)用于包括多個路由 設(shè)備的系統(tǒng)中,各個路由設(shè)備之間通過LSP報文交互鏈路狀態(tài)信息,所述LSP報文中攜帶了 序列號,所述多個路由設(shè)備中包括第三方認證設(shè)備,且所述第三方認證設(shè)備中設(shè)置了針對 序列號的認證域,如圖1所示,該方法包括以下步驟步驟101,所述第三方認證設(shè)備接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報 文;根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述LSP報文對應(yīng)的路 由設(shè)備進行LSP確認;并在需要進行LSP確認且LSP確認通過時,維護所述LSP報文對應(yīng)的 路由設(shè)備的LSP確認信息。步驟102,當各個路由設(shè)備接收到來自其他路由設(shè)備的攜帶了最大值序列號的 LSP報文時,各個路由設(shè)備從所述第三方認證設(shè)備中獲取所述攜帶了最大值序列號的LSP 報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認。如果經(jīng)過LSP確認,轉(zhuǎn)到步驟103,如果沒有經(jīng)過 LSP確認,轉(zhuǎn)到步驟104。步驟103,各個路由設(shè)備刪除自身存儲的所述攜帶了最大值序列號的LSP報文對 應(yīng)的路由設(shè)備的LSP信息步驟104,各個路由設(shè)備確定不需要刪除自身存儲的所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備的LSP信息。
11
為了更加清楚的說明本發(fā)明提供的技術(shù)方案,以下結(jié)合一種具體的應(yīng)用場景,對 本發(fā)明提供的技術(shù)方案進行詳細闡述。本應(yīng)用場景下,包括了多個路由設(shè)備,分別為路由設(shè) 備A、路由設(shè)備B、路由設(shè)備C、路由設(shè)備D、路由設(shè)備E、路由設(shè)備F、路由設(shè)備G。需要注意的是,在多個路由設(shè)備中,可以靜態(tài)選擇其中一個路由設(shè)備為第三方認 證設(shè)備,也可以動態(tài)選擇(例如,選擇設(shè)備ID最小的路由設(shè)備)其中一個路由設(shè)備為第三 方認證設(shè)備,本發(fā)明中以路由設(shè)備A為第三方認證設(shè)備為例進行說明。具體的,在第三方認證設(shè)備中需要設(shè)置針對序列號的認證域,該認證域為根據(jù) 實際需要由運營商進行選擇的,例如,運營商將范圍(序列號最大值-1000,序列號最大 值-500)設(shè)置為一個認證域,其中,運營商需要將該認證域的信息通知給各個路由設(shè)備,而 在路由設(shè)備A中,需要維護該認證域。在IS-IS協(xié)議中,各個路由設(shè)備之間需要通過LSP報文交互鏈路狀態(tài)信息,當鏈路 狀態(tài)信息發(fā)生變化時,則對應(yīng)的路由設(shè)備需要重新向其他路由設(shè)備發(fā)送LSP報文,而該LSP 報文中攜帶了序列號,而序列號的大小表示LSP報文的新舊。由于各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文是通過洪泛機制進行擴散的, 所以第三方認證設(shè)備能夠接收到各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文。例如,對 于路由設(shè)備C發(fā)送的LSP報文,路由設(shè)備A能夠接收到該路由設(shè)備C發(fā)送的LSP報文。當接收到該路由設(shè)備C發(fā)送的LSP報文時,該路由設(shè)備A需要根據(jù)該LSP報文中 攜帶的序列號以及認證域判斷是否對路由設(shè)備C進行LSP確認;其中,該路由設(shè)備A需要判 斷該LSP報文中攜帶的序列號是否在認證域的范圍內(nèi);如果在認證域的范圍內(nèi),路由設(shè)備A 確定需要對路由設(shè)備C進行LSP確認;如果不在認證域的范圍內(nèi),路由設(shè)備A確定不需要對 路由設(shè)備C進行LSP確認。例如,LSP報文中攜帶的序列號為10,認證域為(100-120),則 不需要對路由設(shè)備C進行LSP確認。具體的,當路由設(shè)備A確定需要對路由設(shè)備C進行LSP確認時,該路由設(shè)備A需要 向路由設(shè)備C發(fā)送認證請求,該認證請求中攜帶了 LSP報文的信息。而路由設(shè)備C接收到 該認證請求后,需要根據(jù)該LSP報文的信息判斷該LSP報文是否為路由設(shè)備C自身所發(fā)送 的,如果是時,則路由設(shè)備C需要向路由設(shè)備A發(fā)送確認報文,否則,路由設(shè)備C需要向路由 設(shè)備A發(fā)送否認報文。當路由設(shè)備A接收到來自路由設(shè)備C的確認報文時,則路由設(shè)備A 確定路由設(shè)備C的LSP確認通過;當路由設(shè)備A接收到來自路由設(shè)備C的否認報文時,則路 由設(shè)備A確定路由設(shè)備C的LSP確認不通過。進一步的,路由設(shè)備C的LSP確認通過時,該路由設(shè)備A還需要維護該路由設(shè)備C 的LSP確認信息。例如,在路由設(shè)備A中預(yù)先存儲確認列表,該確認列表用于存儲所有LSP 確認通過的設(shè)備ID信息。當路由設(shè)備C的LSP確認通過時,則路由設(shè)備A將路由設(shè)備C的 設(shè)備ID(C)存儲到該確認列表。而當確認列表中存儲了路由設(shè)備C的設(shè)備ID時,后續(xù)過程 中,如果路由設(shè)備A再次接收到來自路由設(shè)備C的LSP報文,則不再需要對路由設(shè)備C進行 LSP確認。另外,由于各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文是通過洪泛機制進行擴 散的,所以,當有路由設(shè)備向其他設(shè)備發(fā)送了攜帶了最大值序列號的LSP報文時,各個路由 設(shè)備(包括第三方認證設(shè)備和非第三方認證設(shè)備)均能夠接收到該攜帶了最大值序列號的 LSP報文,本應(yīng)用場景下,以路由設(shè)備C向其他路由設(shè)備發(fā)送攜帶了最大值序列號的LSP報
12文為例進行說明。當路由設(shè)備A接收到該攜帶了最大值序列號的LSP報文時,根據(jù)自身維護的確認 列表,能夠直接判斷該路由設(shè)備C是否經(jīng)過LSP確認,即當確認列表中具有路由設(shè)備C的設(shè) 備ID時,則路由設(shè)備C經(jīng)過LSP確認,否則,路由設(shè)備C沒有經(jīng)過LSP確認。當其他非第三方認證設(shè)備(例如,路由設(shè)備D)接收到該攜帶了最大值序列號的 LSP報文時,該路由設(shè)備D需要從路由設(shè)備A中獲取該路由設(shè)備C是否經(jīng)過LSP確認。其 中,當路由設(shè)備D接收到來自路由設(shè)備C的攜帶了最大值序列號的LSP報文后,需要將路由 設(shè)備C的設(shè)備ID發(fā)送給路由設(shè)備A,而路由設(shè)備A能夠接收來自路由設(shè)備D的設(shè)備ID (路 由設(shè)備C)信息,并根據(jù)該設(shè)備ID信息查找確認列表。如果在確認列表中查找到該設(shè)備ID 信息對應(yīng)的設(shè)備ID,則路由設(shè)備A向路由設(shè)備D發(fā)送路由設(shè)備C經(jīng)過LSP確認的回應(yīng)報文, 此時,路由設(shè)備D確定路由設(shè)備C經(jīng)過LSP確認;如果在確認列表中沒有查找到該設(shè)備ID 信息對應(yīng)的設(shè)備ID,則路由設(shè)備A向路由設(shè)備D發(fā)送路由設(shè)備C沒有經(jīng)過LSP確認的回應(yīng) 報文,此時,路由設(shè)備D確定路由設(shè)備C沒有經(jīng)過LSP確認。進一步的,當路由設(shè)備A和路由設(shè)備D接收到來自路由設(shè)備C的攜帶了最大值序 列號的LSP報文時,如果路由設(shè)備C經(jīng)過LSP確認,則路由設(shè)備A和路由設(shè)備D需要刪除自 身存儲的路由設(shè)備C的LSP信息;如果路由設(shè)備C沒有經(jīng)過LSP確認,則路由設(shè)備A和路由 設(shè)備D確定不需要刪除自身存儲的路由設(shè)備C的LSP信息?;谏鲜銮闆r,通過設(shè)置一個認證域,對于序列號在達到最大值之前的某個認證 域內(nèi)的LSP報文,第三方認證設(shè)備進行相應(yīng)的認證,從而能夠有效的防止最大值序列號的 攻擊。例如,將認證域的范圍設(shè)置一個比較靠近序列號最大值的范圍(序列號最大 值-1000,序列號最大值-500),在正常情況下,各個路由設(shè)備發(fā)送的LSP報文中攜帶的序列 號都不會到達該認證域的范圍,因此,各個路由設(shè)備都不會需要進行LSP確認,也不會在確 認列表中有相應(yīng)的記錄。因此,如果某個攻擊者仿冒路由設(shè)備(例如,路由設(shè)備C)發(fā)送攜帶了最大值序列 號的LSP報文時,則由于路由設(shè)備C還沒有經(jīng)過LSP確認,則確認列表中不會存在路由設(shè)備 C的設(shè)備ID,則各個路由設(shè)備不需要刪除自身存儲的路由設(shè)備C的LSP信息,從而防止了攻 擊者仿冒路由設(shè)備C的攻擊,保證了路由設(shè)備C的正常使用。如果路由設(shè)備(例如,路由設(shè)備C)自身需要發(fā)送攜帶了最大值序列號的LSP報文 時,由于路由設(shè)備c自身知道認證域的范圍(運營商提前通知給各個合法的路由設(shè)備),該 路由設(shè)備c能夠先發(fā)送一個序列號在認證域范圍內(nèi)的LSP報文,之后發(fā)送攜帶了最大值序 列號的LSP報文,此時,由于路由設(shè)備C已經(jīng)經(jīng)過LSP確認,則確認列表中存在路由設(shè)備C 的設(shè)備ID,則各個路由設(shè)備需要刪除自身存儲的路由設(shè)備C的LSP信息,從而保證了路由設(shè) 備C的正常使用。需要說明的是,上述處理過程是路由設(shè)備A作為第三方認證設(shè)備進行相應(yīng)處理 的,但是,在實際應(yīng)用中,還需要對路由設(shè)備A進行相關(guān)的認證過程。此時,還需要為路由設(shè) 備A指定一個認證設(shè)備(即第三方認證設(shè)備的認證設(shè)備),以路由設(shè)備B為該認證設(shè)備為例 進行說明,同樣的,該路由設(shè)備B中也設(shè)置了認證域。具體的,路由設(shè)備B接收到路由設(shè)備A發(fā)送的LSP報文時,該路由設(shè)備B需要根據(jù)該LSP報文中攜帶的序列號以及認證域判斷是否對路由設(shè)備A進行LSP確認;其中,該路由 設(shè)備B需要判斷該LSP報文中攜帶的序列號是否在認證域的范圍內(nèi);如果在認證域的范圍 內(nèi),路由設(shè)備B確定需要對路由設(shè)備A進行LSP確認;如果不在認證域的范圍內(nèi),路由設(shè)備 B確定不需要對路由設(shè)備A進行LSP確認。當路由設(shè)備B確定需要對路由設(shè)備A進行LSP確認時,該路由設(shè)備B需要向路由 設(shè)備A發(fā)送認證請求,而路由設(shè)備A接收到該認證請求后,需要判斷該LSP報文是否為路由 設(shè)備A自身所發(fā)送的,如果是時,則路由設(shè)備A需要向路由設(shè)備B發(fā)送確認報文,否則,路由 設(shè)備A需要向路由設(shè)備B發(fā)送否認報文。當路由設(shè)備B接收到來自路由設(shè)備A的確認報文 時,則路由設(shè)備B確定路由設(shè)備A的LSP確認通過;當路由設(shè)備B接收到來自路由設(shè)備A的 否認報文時,則路由設(shè)備B確定路由設(shè)備A的LSP確認不通過。當路由設(shè)備A的LSP確認 通過時,該路由設(shè)備B還需要維護該路由設(shè)備A的LSP確認信息。進一步的,當路由設(shè)備A向其他設(shè)備發(fā)送了攜帶了最大值序列號的LSP報文時,各 個路由設(shè)備均能夠接收到該攜帶了最大值序列號的LSP報文,路由設(shè)備B接收到該攜帶了 最大值序列號的LSP報文時,根據(jù)自身維護的確認列表,能夠直接判斷該路由設(shè)備A是否經(jīng) 過LSP確認;而其他路由設(shè)備(例如,路由設(shè)備D)接收到該攜帶了最大值序列號的LSP報 文時,該路由設(shè)備D需要從路由設(shè)備B中獲取該路由設(shè)備A是否經(jīng)過LSP確認。如果路由設(shè)備A經(jīng)過LSP確認,則路由設(shè)備B和路由設(shè)備D需要刪除自身存儲的 路由設(shè)備A的LSP信息;如果路由設(shè)備A沒有經(jīng)過LSP確認,則路由設(shè)備B和路由設(shè)備D確 定不需要刪除自身存儲的路由設(shè)備A的LSP信息。在一般情況下,由于認證域的范圍比較靠近序列號最大值,不會出現(xiàn)大量需要認 證的情況出現(xiàn),所以使用一個第三方認證設(shè)備就能夠滿足各個路由設(shè)備的需求。但是,在實際應(yīng)用中,攻擊者可能會發(fā)送大量攜帶了最大值序列號的LSP報文,此 時,所以的路由設(shè)備均會向第三方認證設(shè)備(路由設(shè)備A)查詢該攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備是否在確認列表中,從而使得第三方認證設(shè)備負載過重。而為了保 證第三方認證設(shè)備不會因為突發(fā)性的大量咨詢報文(即查詢該攜帶了最大值序列號的LSP 報文對應(yīng)的路由設(shè)備是否在確認列表中的報文)而負載過重,本發(fā)明中,還可以設(shè)置多個 第三方認證設(shè)備。例如,將路由設(shè)備E和路由設(shè)備F同樣設(shè)置為第三方認證設(shè)備。基于這種情況,當接收到攜帶了最大值序列號的LSP報文時,各個路由設(shè)備可以 根據(jù)自身的ID來進行hash計算,并根據(jù)hash計算的結(jié)果確定需要到哪臺第三方認證設(shè)備 查詢該攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備是否在確認列表中。例如,路由設(shè) 備B經(jīng)過hash計算確定需要到路由設(shè)備A中進行查詢,路由設(shè)備C經(jīng)過hash計算確定需 要到路由設(shè)備E中進行查詢,路由設(shè)備D經(jīng)過hash計算確定需要到路由設(shè)備F中進行查 詢。按照這種方式,可以使得網(wǎng)絡(luò)中的多臺路由設(shè)備分擔突發(fā)性的大量咨詢報文,以減輕突 發(fā)性的過載??梢钥闯?,在設(shè)置了多個第三方認證設(shè)備的情況下,對于第三方認證設(shè)備的認證, 可以直接由其他第三方認證設(shè)備進行認證,例如,如果路由設(shè)備A的LSP序列號到達了認證 域,則由路由設(shè)備E和/或路由設(shè)備F對路由設(shè)備A進行認證。如果非認證設(shè)備(例如,路由設(shè)備C)接收到來自路由設(shè)備A的攜帶了最大值序列 號的LSP報文時,則需要到路由設(shè)備E和/或路由設(shè)備F中進行查詢,如果路由設(shè)備A已經(jīng)通過LSP確認,則需要刪除路由設(shè)備A的LSP信息;如果路由設(shè)備A沒有通過LSP確認,則 不需要刪除路由設(shè)備A的LSP信息,直接丟棄該LSP對應(yīng)的報文。非認證設(shè)備(例如,路由設(shè)備C)在刪除了路由設(shè)備A的LSP信息的期間(即路由 設(shè)備A進行翻轉(zhuǎn)的期間)內(nèi),是不能接收路由設(shè)備A的LSP報文的,該路由設(shè)備A對于其他 路由設(shè)備來說,處于消失階段。在這個時間段內(nèi),非認證設(shè)備需要到路由設(shè)備E和/或路由 設(shè)備F中進行相關(guān)的查詢。一直到路由設(shè)備A恢復(fù)后,非認證設(shè)備才能夠到路由設(shè)備A中 進行相關(guān)的查詢。需要說明的是,在本發(fā)明中,如果路由設(shè)備A被撤銷了,則網(wǎng)絡(luò)中將不再有路由設(shè) 備A的存在。在這種情況下,可以設(shè)置一個定時器,在該定時器到達后,網(wǎng)絡(luò)中所有路由設(shè) 備將重新選舉第三方認證設(shè)備,本發(fā)明中不再詳加贅述?;谂c上述方法同樣的發(fā)明構(gòu)思,本發(fā)明還提出了一種防止序列號攻擊的設(shè)備, 應(yīng)用于包括多個路由設(shè)備的系統(tǒng)中,各個路由設(shè)備之間通過LSP報文交互鏈路狀態(tài)信息, 所述LSP報文中攜帶了序列號,所述多個路由設(shè)備中包括第三方認證設(shè)備,且所述第三方 認證設(shè)備中設(shè)置了針對序列號的認證域,如圖2所示,該設(shè)備進一步包括收發(fā)模塊10,判 斷模塊20和處理模塊30,所述收發(fā)模塊10和所述判斷模塊20連接,所述處理模塊30與所 述判斷模塊20連接,其中,所述收發(fā)模塊10,當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,用 于接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文;并接收各個路由設(shè)備向其他路由設(shè) 備發(fā)送的攜帶了最大值序列號的LSP報文。在確定需要對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認時,所述收發(fā)模塊10需 要向所述LSP報文對應(yīng)的路由設(shè)備發(fā)送認證請求,所述認證請求中攜帶了所述LSP報文的 信息;由所述LSP報文對應(yīng)的路由設(shè)備根據(jù)所述LSP報文的信息判斷所述LSP報文是否為 自身所發(fā)送的,如果是,則向所述第三方認證設(shè)備發(fā)送確認報文,否則,向所述第三方認證 設(shè)備發(fā)送否認報文;在所述LSP報文對應(yīng)的路由設(shè)備回應(yīng)后,所述收發(fā)模塊10接收來自所 述LSP報文對應(yīng)的路由設(shè)備的確認報文或者接收來自所述LSP報文對應(yīng)的路由設(shè)備的否認 報文。需要說明的是,所述第三方認證設(shè)備中預(yù)先存儲了確認列表;所述收發(fā)模塊10還 用于接收來自各個路由設(shè)備的設(shè)備ID信息,并當在所述確認列表中查找到所述設(shè)備ID信 息對應(yīng)的設(shè)備ID時,向各個路由設(shè)備發(fā)送經(jīng)過LSP確認的回應(yīng)報文;當在所述確認列表中 沒有查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID時,向各個路由設(shè)備發(fā)送沒有經(jīng)過LSP確認的 回應(yīng)報文。當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時,所述收發(fā)模塊10 用于接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP報文。當接收到 攜帶了最大值序列號的LSP報文時,所述收發(fā)模塊10還用于向所述第三方認證設(shè)備發(fā)送設(shè) 備ID信息(攜帶了最大值序列號的LSP報文對應(yīng)的設(shè)備ID信息);并接收來自所述第三 方認證設(shè)備的經(jīng)過LSP確認的回應(yīng)報文,或者,沒有經(jīng)過LSP確認的回應(yīng)報文。所述多個路由設(shè)備中還包括所述第三方認證設(shè)備的認證設(shè)備,且所述第三方認證 設(shè)備的認證設(shè)備同樣設(shè)置了認證域;當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè) 備的認證設(shè)備時,所述收發(fā)模塊10用于接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的
15LSP報文;并接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP 報文。所述判斷模塊20,當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,用 于根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述LSP報文對應(yīng)的路由 設(shè)備進行LSP確認;并根據(jù)LSP確認信息判斷所述攜帶了最大值序列號的LSP報文對應(yīng)的 路由設(shè)備是否經(jīng)過LSP確認。在判斷是否需要對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認的過程中,所述判 斷模塊20具體用于判斷所述LSP報文中攜帶的序列號是否在所述認證域的范圍內(nèi);如果在 所述認證域的范圍內(nèi),則確定對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認;如果不在所述 認證域的范圍內(nèi),則確定不需要對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認。在對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認的過程中,所述判斷模塊20用于 如果接收到來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文時,則確定所述LSP報文對應(yīng)的 路由設(shè)備的LSP確認通過;如果接收到來自所述LSP報文對應(yīng)的路由設(shè)備的否認報文時,則 確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認不通過。當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時,所述判斷模塊20 用于從所述第三方認證設(shè)備中判斷所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備 是否經(jīng)過LSP確認。在判斷所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認的 過程中,所述判斷模塊20還用于當接收到經(jīng)過LSP確認的回應(yīng)報文時,判斷所述攜帶了最 大值序列號的LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確認;當接收到?jīng)]有經(jīng)過LSP確認的回應(yīng) 報文時,判斷所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認。當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備的認證設(shè)備時,所述判斷 模塊20用于根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述第三方認 證設(shè)備進行LSP確認;并根據(jù)LSP確認信息判斷所述第三方認證設(shè)備是否經(jīng)過LSP確認。所述處理模塊30,當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,用 于在需要進行LSP確認且LSP確認通過時,維護所述LSP報文對應(yīng)的路由設(shè)備的LSP確認 信息;并在所述判斷模塊20的判斷結(jié)果為所述攜帶了最大值序列號的LSP報文對應(yīng)的路由 設(shè)備經(jīng)過LSP確認時,刪除自身存儲的所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè) 備的LSP信息;在所述判斷模塊20的判斷結(jié)果為所述攜帶了最大值序列號的LSP報文對應(yīng) 的路由設(shè)備沒有經(jīng)過LSP確認時,確定不需要刪除自身存儲的所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備的LSP信息。所述第三方認證設(shè)備中預(yù)先存儲了確認列表;所述處理模塊30還用于如果所述 LSP報文對應(yīng)的路由設(shè)備的LSP確認通過,則將所述LSP報文對應(yīng)的路由設(shè)備的設(shè)備ID存 儲到所述確認列表。當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時,所述處理模塊30 用于當所述判斷模塊20的判斷結(jié)果為經(jīng)過LSP確認時,刪除自身存儲的所述攜帶了最大值 序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息;當所述判斷模塊20的判斷結(jié)果為沒有經(jīng)過 LSP確認,確定不需要刪除自身存儲的所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè) 備的LSP信息。
當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備的認證設(shè)備時,所述處理 模塊30用于在需要進行LSP確認且LSP確認通過時,維護所述第三方認證設(shè)備的LSP確認 信息;并在所述判斷模塊的判斷結(jié)果為所述第三方認證設(shè)備經(jīng)過LSP確認時,刪除自身存 儲的所述第三方認證設(shè)備的LSP信息;在所述判斷模塊的判斷結(jié)果為所述第三方認證設(shè)備 沒有經(jīng)過LSP確認時,確定不需要刪除自身存儲的所述第三方認證設(shè)備的LSP信息。
其中,本發(fā)明裝置的各個模塊可以集成于一體,也可以分離部署。上述模塊可以合 并為一個模塊,也可以進一步拆分成多個子模塊。通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過硬件實現(xiàn),也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)。基于這樣的理解,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在一個非易失性存儲 介質(zhì)(可以是⑶-ROM,U盤,移動硬盤等)中,包括若干指令用以使得一臺計算機設(shè)備(可 以是個人計算機,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的模塊或流 程并不一定是實施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分 布于實施例的裝置中,也可以進行相應(yīng)變化位于不同于本實施例的一個或多個裝置中。上 述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。上述本發(fā)明序號僅僅為了描述,不代表實施例的優(yōu)劣。以上公開的僅為本發(fā)明的幾個具體實施例,但是,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍。
權(quán)利要求
一種防止序列號攻擊的方法,應(yīng)用于包括多個路由設(shè)備的系統(tǒng)中,各個路由設(shè)備之間通過LSP報文交互鏈路狀態(tài)信息,所述LSP報文中攜帶了序列號,其特征在于,所述多個路由設(shè)備中包括第三方認證設(shè)備,且所述第三方認證設(shè)備中設(shè)置了針對序列號的認證域,所述方法包括以下步驟所述第三方認證設(shè)備接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文;根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認;并在需要進行LSP確認且LSP確認通過時,維護所述LSP報文對應(yīng)的路由設(shè)備的LSP確認信息;當各個路由設(shè)備接收到來自其他路由設(shè)備的攜帶了最大值序列號的LSP報文時,各個路由設(shè)備從所述第三方認證設(shè)備中獲取所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認;如果經(jīng)過LSP確認,則各個路由設(shè)備刪除自身存儲的所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息;如果沒有經(jīng)過LSP確認,則各個路由設(shè)備確定不需要刪除自身存儲的所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息。
2.如權(quán)利要求1所述的方法,其特征在于,根據(jù)所述LSP報文中攜帶的序列號以及所述 認證域判斷是否對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認,具體包括所述第三方認證設(shè)備判斷所述LSP報文中攜帶的序列號是否在所述認證域的范圍內(nèi);如果在所述認證域的范圍內(nèi),所述第三方認證設(shè)備確定對所述LSP報文對應(yīng)的路由設(shè) 備進行LSP確認;如果不在所述認證域的范圍內(nèi),所述第三方認證設(shè)備確定不需要對所述LSP報文對應(yīng) 的路由設(shè)備進行LSP確認。
3.如權(quán)利要求2所述的方法,其特征在于,所述第三方認證設(shè)備確定對所述LSP報文對 應(yīng)的路由設(shè)備進行LSP確認,之后還包括所述第三方認證設(shè)備向所述LSP報文對應(yīng)的路由設(shè)備發(fā)送認證請求,所述認證請求中 攜帶了所述LSP報文的信息;由所述LSP報文對應(yīng)的路由設(shè)備根據(jù)所述LSP報文的信息判 斷所述LSP報文是否為自身所發(fā)送的,如果是,則向所述第三方認證設(shè)備發(fā)送確認報文,否 則,向所述第三方認證設(shè)備發(fā)送否認報文;如果所述第三方認證設(shè)備接收到來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文,則所 述第三方認證設(shè)備確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過;如果所述第三方認證設(shè)備接收到來自所述LSP報文對應(yīng)的路由設(shè)備的否認報文,則所 述第三方認證設(shè)備確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認不通過。
4.如權(quán)利要求1所述的方法,其特征在于,所述第三方認證設(shè)備中預(yù)先存儲了確認列表;維護所述LSP報文對應(yīng)的路由設(shè)備的LSP確認信息,具體為如果所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過,則所述第三方認證設(shè)備將所述LSP 報文對應(yīng)的路由設(shè)備的設(shè)備ID存儲到所述確認列表;各個路由設(shè)備從所述第三方認證設(shè)備中獲取所述攜帶了最大值序列號的LSP報文對 應(yīng)的路由設(shè)備是否經(jīng)過LSP確認,具體包括所述第三方認證設(shè)備接收來自各個路由設(shè)備的設(shè)備ID信息,如果在所述確認列表中 查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID,則向各個路由設(shè)備發(fā)送經(jīng)過LSP確認的回應(yīng)報文, 各個路由設(shè)備確定所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確認;如果在所述確認列表中沒有查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID,則向各個路由設(shè) 備發(fā)送沒有經(jīng)過LSP確認的回應(yīng)報文,各個路由設(shè)備確定所述攜帶了最大值序列號的LSP 報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認。
5.如權(quán)利要求1-4任一項所述的方法,其特征在于,所述多個路由設(shè)備中還包括所述 第三方認證設(shè)備的認證設(shè)備,且所述第三方認證設(shè)備的認證設(shè)備同樣設(shè)置了認證域;所述 方法還包括所述第三方認證設(shè)備的認證設(shè)備接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的LSP 報文;根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所述第三方認證設(shè)備 進行LSP確認;并在需要進行LSP確認且LSP確認通過時,維護所述第三方認證設(shè)備的LSP 確認信息;當各個路由設(shè)備接收到來自所述第三方認證設(shè)備的攜帶了最大值序列號的LSP報文 時,各個路由設(shè)備從所述第三方認證設(shè)備的認證設(shè)備中獲取所述第三方認證設(shè)備是否經(jīng)過 LSP確認;如果經(jīng)過LSP確認,則各個路由設(shè)備刪除自身存儲的所述第三方認證設(shè)備的LSP信息;如果沒有經(jīng)過LSP確認,則各個路由設(shè)備確定不需要刪除自身存儲的所述第三方認證 設(shè)備的LSP信息。
6.一種防止序列號攻擊的設(shè)備,應(yīng)用于包括多個路由設(shè)備的系統(tǒng)中,各個路由設(shè)備之 間通過LSP報文交互鏈路狀態(tài)信息,所述LSP報文中攜帶了序列號,其特征在于,所述多個 路由設(shè)備中包括第三方認證設(shè)備,且所述第三方認證設(shè)備中設(shè)置了針對序列號的認證域, 該設(shè)備進一步包括收發(fā)模塊,判斷模塊和處理模塊,所述收發(fā)模塊和所述判斷模塊連接, 所述處理模塊與所述判斷模塊連接,其中,當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,所述收發(fā)模塊,用于接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報文;并接收各個 路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP報文;所述判斷模塊,用于根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所 述LSP報文對應(yīng)的路由設(shè)備進行LSP確認;并根據(jù)LSP確認信息判斷所述攜帶了最大值序 列號的LSP報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認;所述處理模塊,用于在需要進行LSP確認且LSP確認通過時,維護所述LSP報文對應(yīng) 的路由設(shè)備的LSP確認信息;并在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序列號的 LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確認時,刪除自身存儲的所述攜帶了最大值序列號的LSP 報文對應(yīng)的路由設(shè)備的LSP信息;在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序列號 的LSP報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認時,確定不需要刪除自身存儲的所述攜帶了 最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息;當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時,所述收發(fā)模塊,用于接收各個路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP報文;所述判斷模塊,用于從所述第三方認證設(shè)備中判斷所述攜帶了最大值序列號的LSP報 文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認;所述處理模塊,用于當所述判斷模塊的判斷結(jié)果為經(jīng)過LSP確認時,刪除自身存儲的 所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息;當所述判斷模塊的判斷 結(jié)果為沒有經(jīng)過LSP確認,確定不需要刪除自身存儲的所述攜帶了最大值序列號的LSP報 文對應(yīng)的路由設(shè)備的LSP信息。
7.如權(quán)利要求6所述的設(shè)備,其特征在于,當所述防止序列號攻擊的設(shè)備作為所述第 三方認證設(shè)備時,所述判斷模塊具體用于,判斷所述LSP報文中攜帶的序列號是否在所述認證域的范圍 內(nèi);如果在所述認證域的范圍內(nèi),則確定對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認;如 果不在所述認證域的范圍內(nèi),則確定不需要對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認。
8.如權(quán)利要求7所述的設(shè)備,其特征在于,當所述防止序列號攻擊的設(shè)備作為所述第 三方認證設(shè)備時,所述收發(fā)模塊還用于,向所述LSP報文對應(yīng)的路由設(shè)備發(fā)送認證請求,所述認證請求 中攜帶了所述LSP報文的信息;由所述LSP報文對應(yīng)的路由設(shè)備根據(jù)所述LSP報文的信息 判斷所述LSP報文是否為自身所發(fā)送的,如果是,則向所述第三方認證設(shè)備發(fā)送確認報文, 否則,向所述第三方認證設(shè)備發(fā)送否認報文;并接收來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文或者接收來自所述LSP報文對應(yīng) 的路由設(shè)備的否認報文;所述判斷模塊還用于,如果接收到來自所述LSP報文對應(yīng)的路由設(shè)備的確認報文時, 則確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過;如果接收到來自所述LSP報文對應(yīng) 的路由設(shè)備的否認報文時,則確定所述LSP報文對應(yīng)的路由設(shè)備的LSP確認不通過。
9.如權(quán)利要求6所述的設(shè)備,其特征在于,所述第三方認證設(shè)備中預(yù)先存儲了確認列表;當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備時,所述處理模塊還用于,如果所述LSP報文對應(yīng)的路由設(shè)備的LSP確認通過,則將所述 LSP報文對應(yīng)的路由設(shè)備的設(shè)備ID存儲到所述確認列表;所述收發(fā)模塊還用于,接收來自各個路由設(shè)備的設(shè)備ID信息,并當在所述確認列表中 查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID時,向各個路由設(shè)備發(fā)送經(jīng)過LSP確認的回應(yīng)報文; 當在所述確認列表中沒有查找到所述設(shè)備ID信息對應(yīng)的設(shè)備ID時,向各個路由設(shè)備發(fā)送 沒有經(jīng)過LSP確認的回應(yīng)報文;當所述防止序列號攻擊的設(shè)備不作為所述第三方認證設(shè)備時, 所述收發(fā)模塊還用于,向所述第三方認證設(shè)備發(fā)送設(shè)備ID信息;并接收來自所述第三 方認證設(shè)備的經(jīng)過LSP確認的回應(yīng)報文,或者,沒有經(jīng)過LSP確認的回應(yīng)報文;所述判斷模塊還用于,當接收到經(jīng)過LSP確認的回應(yīng)報文時,判斷所述攜帶了最大值 序列號的LSP報文對應(yīng)的路由設(shè)備經(jīng)過LSP確認;當接收到?jīng)]有經(jīng)過LSP確認的回應(yīng)報文 時,判斷所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備沒有經(jīng)過LSP確認。
10.如權(quán)利要求6-9任一項所述的設(shè)備,其特征在于,所述多個路由設(shè)備中還包括所述第三方認證設(shè)備的認證設(shè)備,且所述第三方認證設(shè)備的認證設(shè)備同樣設(shè)置了認證域; 當所述防止序列號攻擊的設(shè)備作為所述第三方認證設(shè)備的認證設(shè)備時, 所述收發(fā)模塊,用于接收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的LSP報文;并接 收所述第三方認證設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號的LSP報文;所述判斷模塊,用于根據(jù)所述LSP報文中攜帶的序列號以及所述認證域判斷是否對所 述第三方認證設(shè)備進行LSP確認;并根據(jù)LSP確認信息判斷所述第三方認證設(shè)備是否經(jīng)過 LSP確認;所述處理模塊,用于在需要進行LSP確認且LSP確認通過時,維護所述第三方認證設(shè)備 的LSP確認信息;并在所述判斷模塊的判斷結(jié)果為所述第三方認證設(shè)備經(jīng)過LSP確認時,刪 除自身存儲的所述第三方認證設(shè)備的LSP信息;在所述判斷模塊的判斷結(jié)果為所述第三方 認證設(shè)備沒有經(jīng)過LSP確認時,確定不需要刪除自身存儲的所述第三方認證設(shè)備的LSP信 肩、o
全文摘要
本發(fā)明公開了一種防止序列號攻擊的方法,包括以下步驟第三方認證設(shè)備根據(jù)LSP報文中攜帶的序列號以及認證域判斷是否對所述LSP報文對應(yīng)的路由設(shè)備進行LSP確認;當接收到攜帶了最大值序列號的LSP報文時,獲取所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備是否經(jīng)過LSP確認;如果經(jīng)過LSP確認,則刪除所述攜帶了最大值序列號的LSP報文對應(yīng)的路由設(shè)備的LSP信息。本發(fā)明中,防止了序列號的攻擊,并保證路由設(shè)備的正常使用。
文檔編號H04L29/06GK101834855SQ201010146398
公開日2010年9月15日 申請日期2010年4月14日 優(yōu)先權(quán)日2010年4月14日
發(fā)明者鄭有勇 申請人:杭州華三通信技術(shù)有限公司