專利名稱:一種防止序列號(hào)攻擊的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,特別是涉及一種防止序列號(hào)攻擊的方法和設(shè)備��。
背景技術(shù):
IS-IS (Intermediate System-to-Intermediate System intra-domain routinginformation exchange protocol,中間系統(tǒng)到中間系統(tǒng)的域內(nèi)路由信息交換協(xié)議) 是 ISO (International Organization for Standardization, 國(guó)際標(biāo)準(zhǔn)化組織)為 CLNP (Connectionless Network Protocol,無(wú)連接網(wǎng)絡(luò)協(xié)議)設(shè)計(jì)的一種動(dòng)態(tài)路由協(xié) 議���。而為了提供對(duì)IP(網(wǎng)際互連協(xié)議)的路由支持,IETF (Internet EngineeringTask Force,因特網(wǎng)工程任務(wù)組)對(duì)IS-IS進(jìn)行了擴(kuò)充和修改�����,使得IS-IS能夠同時(shí)應(yīng)用 在 TCP(Transmission Control Protocol,傳輸控制協(xié)議)/IP 和 0SI(Open System Interconnection��,開(kāi)放系統(tǒng)互聯(lián)模型)環(huán)境中�,稱為集成化IS-IS (Integrated IS-IS或 Dual IS-IS)�。具體的�,IS-IS屬于IGP (Interior Gateway Protocol,內(nèi)部網(wǎng)關(guān)協(xié)議)協(xié)議���,用于 自治系統(tǒng)內(nèi)部,且IS-IS是一種鏈路狀態(tài)協(xié)議,通過(guò)使用SPF(Shortest PathFirst�,最短路 徑優(yōu)先)算法進(jìn)行路由計(jì)算��。其中�,IS-IS路由協(xié)議的基本術(shù)語(yǔ)包括(1) IS (Intermediate System�����,中間系統(tǒng))���,該IS相當(dāng)于TCP/IP中的路由器��,是 IS-IS協(xié)議中生成路由和傳播路由信息的基本單元���。(2) RD (Routing Domain��,路由域)�,在一個(gè)路由域中的多個(gè)IS通過(guò)相同的路由協(xié)
議來(lái)交換路由信息��。(3)Area(區(qū)域)��,路由域的細(xì)分單元,IS-IS允許將整個(gè)路由域分為多個(gè)區(qū)域����。(4)LSDB(Link State Database����,鏈路狀態(tài)數(shù)據(jù)庫(kù)),網(wǎng)絡(luò)內(nèi)的所有鏈路狀態(tài)組成 了鏈路狀態(tài)數(shù)據(jù)庫(kù)�,在每一個(gè)IS中都至少有一個(gè)LSDB���。其中���,IS能夠使用SPF算法��,并利 用自身的LSDB來(lái)生成自身的路由����。(5)LSPDU (Link State Protocol Data Unit����,鏈路狀態(tài)協(xié)議數(shù)據(jù)單元)�����,簡(jiǎn)稱LSP。 其中,在IS-IS中,每一個(gè)IS都會(huì)生成LSP����,該LSP包含了本IS的所有鏈路狀態(tài)信息����,而每 個(gè)IS將收集本區(qū)域內(nèi)所有的LSP,并與本地生成的LSP構(gòu)成自身的LSDB。進(jìn)一步的�,IS-IS報(bào)文直接封裝在數(shù)據(jù)鏈路幀中��,包括以下報(bào)文類型(1) Hello報(bào)文���,用于建立和維持鄰接關(guān)系。(2)LSP報(bào)文��,用于交換鏈路狀態(tài)信息����。其中����,每個(gè)LSP都有一個(gè) SequenceNumber (序列號(hào)),而該Sequence Number用于標(biāo)識(shí)LSP的新舊情況,該Sequence Number越大�����,則說(shuō)明該LSP越新。(3) SNP (Sequence Number PDUs�,時(shí)序報(bào)文)報(bào)文��,用于確認(rèn)鄰居之間最新接收的 LSP�。具體的���,在IS-IS網(wǎng)絡(luò)中,LSP的交互是通過(guò)LSP報(bào)文來(lái)實(shí)現(xiàn)的,各個(gè)路由設(shè)備都 會(huì)形成一個(gè)LSP��,該LSP中包含了本地所有鏈路的狀態(tài)信息;然后封裝為L(zhǎng)SP報(bào)文發(fā)送到IS-IS鄰居路由設(shè)備中��;當(dāng)鄰居路由設(shè)備接收到該LSP報(bào)文后����,需要通過(guò)LSP報(bào)文將該LSP 信息擴(kuò)散到其它鄰居路由設(shè)備中����。通過(guò)這樣的洪泛機(jī)制,使得每個(gè)路由設(shè)備所形成的LSP 信息�,能夠擴(kuò)散到網(wǎng)絡(luò)中的其他路由設(shè)備�?��;谏鲜銮闆r,在IS-IS網(wǎng)絡(luò)中��,每臺(tái)路由設(shè)備都會(huì)學(xué)習(xí)到網(wǎng)絡(luò)中所有路由設(shè)備 所產(chǎn)生的LSP�,進(jìn)而了解這些路由設(shè)備的鏈路狀態(tài)信息�,從而能夠根據(jù)SPF算法和各個(gè)路由 設(shè)備的鏈路狀態(tài)信息計(jì)算出到達(dá)目的地址所對(duì)應(yīng)的路由信息。現(xiàn)有技術(shù)中,當(dāng)各個(gè)路由設(shè)備接收到來(lái)自鄰居的LSP報(bào)文后,會(huì)將該LSP報(bào)文中包 含的每條LSP信息與本地維護(hù)的LSP信息進(jìn)行比較�����。如果LSP報(bào)文中攜帶的LSP序列號(hào)比本地維護(hù)的LSP序列號(hào)小,則該路由設(shè)備認(rèn) 為本地維護(hù)的LSP比來(lái)自鄰居的LSP新��,此時(shí)���,該路由設(shè)備不需要更新本地的LSP�����,并將本地 的LSP通過(guò)LSP報(bào)文通知給鄰居路由設(shè)備���。如果LSP報(bào)文中攜帶的LSP序列號(hào)比本地維護(hù)的LSP序列號(hào)大,則該路由設(shè)備認(rèn) 為來(lái)自鄰居的LSP比本地維護(hù)的LSP新���,此時(shí)����,該路由設(shè)備需要更新本地的LSP�����,即需要將新 的LSP更新到自身的LSPDB數(shù)據(jù)庫(kù)中����,然后發(fā)送新的LSP到所有鄰居路由設(shè)備����,而鄰居路由 設(shè)備將再擴(kuò)散到其它鄰居路由設(shè)備,以此類推���。綜上可以看出���,LSP的新舊是按照LSP序列號(hào)的大小來(lái)決定的,而LSP序列號(hào)大的 就認(rèn)為L(zhǎng)SP是最新的�。其中,當(dāng)網(wǎng)絡(luò)發(fā)生變化導(dǎo)致路由需要重新進(jìn)行計(jì)算��,或路由器定時(shí)刷 新時(shí)����,都產(chǎn)生較新的LSP�����。在現(xiàn)有的IS-IS協(xié)議中規(guī)定�����,LSP序列號(hào)使用一個(gè)32bit長(zhǎng)度來(lái)表示,按照30秒更 新一次LSP來(lái)計(jì)算,從1到最大值��,需要幾百年時(shí)間�����。如果有一臺(tái)路由設(shè)備(例如�����,路由設(shè) 備A),將最大值的LSP序列號(hào)發(fā)送到網(wǎng)絡(luò)時(shí)�����,網(wǎng)絡(luò)中的路由設(shè)備接收到對(duì)應(yīng)的LSP報(bào)文后, 會(huì)將路由設(shè)備A對(duì)應(yīng)的LSP刪除,并將該具有最大值LSP序列號(hào)的LSP報(bào)文擴(kuò)散到其它路 由設(shè)備中。因此��,網(wǎng)絡(luò)中的所有路由設(shè)備都會(huì)刪除路由設(shè)備A的LSP�����,而為了讓網(wǎng)絡(luò)中的所有 路由設(shè)備均有充分的時(shí)間來(lái)刪除路由設(shè)備A的LSP���,需要網(wǎng)絡(luò)中的所有路由設(shè)備在預(yù)設(shè)時(shí) 間(例如�����,21分鐘)內(nèi)不處理路由設(shè)備A所產(chǎn)生的任何LSP�����。但是���,在采用上述方法來(lái)刪除路由設(shè)備A的LSP時(shí),并沒(méi)有一種保護(hù)措施。例如���, 路由設(shè)備A本身不需要網(wǎng)絡(luò)中的其他路由設(shè)備刪除該路由設(shè)備A的LSP�����,而有攻擊者仿冒路 由設(shè)備A來(lái)發(fā)送具有最大值LSP序列號(hào)的LSP報(bào)文時(shí),則網(wǎng)絡(luò)中的所有路由設(shè)備都會(huì)刪除 路由設(shè)備A的LSP�,并在預(yù)設(shè)時(shí)間內(nèi)不處理路由設(shè)備A所產(chǎn)生的任何LSP���,從而導(dǎo)致路由設(shè) 備A在網(wǎng)絡(luò)中一直處于不可見(jiàn)狀態(tài)����,繼而導(dǎo)致該路由設(shè)備不能夠可用���。
發(fā)明內(nèi)容
本發(fā)明提供一種防止序列號(hào)攻擊的方法和設(shè)備�,以防止序列號(hào)攻擊�����,保證路由設(shè) 備的正常使用�����。為了達(dá)到上述目的���,本發(fā)明提出了一種防止序列號(hào)攻擊的方法,應(yīng)用于包括多個(gè) 路由設(shè)備的系統(tǒng)中,各個(gè)路由設(shè)備之間通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息��,所述LSP報(bào)文中攜 帶了序列號(hào)���,所述多個(gè)路由設(shè)備中包括第三方認(rèn)證設(shè)備����,且所述第三方認(rèn)證設(shè)備中設(shè)置了 針對(duì)序列號(hào)的認(rèn)證域���,所述方法包括以下步驟
所述第三方認(rèn)證設(shè)備接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文�;根據(jù)所 述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行 LSP確認(rèn);并在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí)��,維護(hù)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的 LSP確認(rèn)信息����;當(dāng)各個(gè)路由設(shè)備接收到來(lái)自其他路由設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文時(shí)��, 各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備中獲取所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的 路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn);如果經(jīng)過(guò)LSP確認(rèn),則各個(gè)路由設(shè)備刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�;如果沒(méi)有經(jīng)過(guò)LSP確認(rèn)�����,則各個(gè)路由設(shè)備確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了 最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�。根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng) 的路由設(shè)備進(jìn)行LSP確認(rèn)���,具體包括所述第三方認(rèn)證設(shè)備判斷所述LSP報(bào)文中攜帶的序列號(hào)是否在所述認(rèn)證域的范 圍內(nèi)��;如果在所述認(rèn)證域的范圍內(nèi),所述第三方認(rèn)證設(shè)備確定對(duì)所述LSP報(bào)文對(duì)應(yīng)的路 由設(shè)備進(jìn)行LSP確認(rèn);如果不在所述認(rèn)證域的范圍內(nèi)��,所述第三方認(rèn)證設(shè)備確定不需要對(duì)所述LSP報(bào)文 對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)�����。所述第三方認(rèn)證設(shè)備確定對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn),之后還 包括所述第三方認(rèn)證設(shè)備向所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備發(fā)送認(rèn)證請(qǐng)求,所述認(rèn)證請(qǐng) 求中攜帶了所述LSP報(bào)文的信息;由所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備根據(jù)所述LSP報(bào)文的信 息判斷所述LSP報(bào)文是否為自身所發(fā)送的,如果是,則向所述第三方認(rèn)證設(shè)備發(fā)送確認(rèn)報(bào) 文��,否則�,向所述第三方認(rèn)證設(shè)備發(fā)送否認(rèn)報(bào)文����;如果所述第三方認(rèn)證設(shè)備接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文��, 則所述第三方認(rèn)證設(shè)備確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò);如果所述第三方認(rèn)證設(shè)備接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的否認(rèn)報(bào)文����, 則所述第三方認(rèn)證設(shè)備確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)不通過(guò)。所述第三方認(rèn)證設(shè)備中預(yù)先存儲(chǔ)了確認(rèn)列表��;維護(hù)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)信息�����,具體為如果所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò)����,則所述第三方認(rèn)證設(shè)備將所 述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的設(shè)備ID存儲(chǔ)到所述確認(rèn)列表���;各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備中獲取所述攜帶了最大值序列號(hào)的LSP報(bào) 文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)��,具體包括所述第三方認(rèn)證設(shè)備接收來(lái)自各個(gè)路由設(shè)備的設(shè)備ID信息�,如果在所述確認(rèn)列 表中查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID��,則向各個(gè)路由設(shè)備發(fā)送經(jīng)過(guò)LSP確認(rèn)的回應(yīng) 報(bào)文���,各個(gè)路由設(shè)備確定所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確 認(rèn)�;
8
如果在所述確認(rèn)列表中沒(méi)有查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID���,則向各個(gè)路 由設(shè)備發(fā)送沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文����,各個(gè)路由設(shè)備確定所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)�。所述多個(gè)路由設(shè)備中還包括所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備�����,且所述第三方認(rèn)證 設(shè)備的認(rèn)證設(shè)備同樣設(shè)置了認(rèn)證域;所述方法還包括所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送 的LSP報(bào)文;根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述第三方認(rèn) 證設(shè)備進(jìn)行LSP確認(rèn);并在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí)��,維護(hù)所述第三方認(rèn)證設(shè)備 的LSP確認(rèn)信息;當(dāng)各個(gè)路由設(shè)備接收到來(lái)自所述第三方認(rèn)證設(shè)備的攜帶了最大值序列號(hào)的LSP 報(bào)文時(shí)�,各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備中獲取所述第三方認(rèn)證設(shè)備是否 經(jīng)過(guò)LSP確認(rèn);如果經(jīng)過(guò)LSP確認(rèn),則各個(gè)路由設(shè)備刪除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP fn息�����;如果沒(méi)有經(jīng)過(guò)LSP確認(rèn)�,則各個(gè)路由設(shè)備確定不需要?jiǎng)h除自身存儲(chǔ)的所述第三方 認(rèn)證設(shè)備的LSP信息。一種防止序列號(hào)攻擊的設(shè)備,應(yīng)用于包括多個(gè)路由設(shè)備的系統(tǒng)中,各個(gè)路由設(shè)備 之間通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息�,所述LSP報(bào)文中攜帶了序列號(hào),所述多個(gè)路由設(shè)備中 包括第三方認(rèn)證設(shè)備�,且所述第三方認(rèn)證設(shè)備中設(shè)置了針對(duì)序列號(hào)的認(rèn)證域,該設(shè)備進(jìn)一 步包括收發(fā)模塊,判斷模塊和處理模塊���,所述收發(fā)模塊和所述判斷模塊連接���,所述處理模 塊與所述判斷模塊連接����,其中,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí)��,所述收發(fā)模塊����,用于接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文���;并接收 各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文�����;所述判斷模塊��,用于根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否 對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn);并根據(jù)LSP確認(rèn)信息判斷所述攜帶了最大 值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn);所述處理模塊�����,用于在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí),維護(hù)所述LSP報(bào)文對(duì) 應(yīng)的路由設(shè)備的LSP確認(rèn)信息�����;并在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序列號(hào) 的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確認(rèn)時(shí)����,刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�����;在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序 列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)時(shí),確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜 帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息;當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)����,所述收發(fā)模塊��,用于接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列 號(hào)的LSP報(bào)文;所述判斷模塊,用于從所述第三方認(rèn)證設(shè)備中判斷所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)��;所述處理模塊,用于當(dāng)所述判斷模塊的判斷結(jié)果為經(jīng)過(guò)LSP確認(rèn)時(shí)���,刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息��;當(dāng)所述判斷模塊 的判斷結(jié)果為沒(méi)有經(jīng)過(guò)LSP確認(rèn)�,確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�����。當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí)��,所述判斷模塊具體用于���,判斷所述LSP報(bào)文中攜帶的序列號(hào)是否在所述認(rèn)證域的 范圍內(nèi)��;如果在所述認(rèn)證域的范圍內(nèi)��,則確定對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確 認(rèn)�����;如果不在所述認(rèn)證域的范圍內(nèi),則確定不需要對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP 確認(rèn)��。當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí)����,所述收發(fā)模塊還用于���,向所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備發(fā)送認(rèn)證請(qǐng)求,所述認(rèn)證 請(qǐng)求中攜帶了所述LSP報(bào)文的信息�;由所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備根據(jù)所述LSP報(bào)文的 信息判斷所述LSP報(bào)文是否為自身所發(fā)送的�����,如果是����,則向所述第三方認(rèn)證設(shè)備發(fā)送確認(rèn) 報(bào)文,否則�,向所述第三方認(rèn)證設(shè)備發(fā)送否認(rèn)報(bào)文�;并接收來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文或者接收來(lái)自所述LSP報(bào)文 對(duì)應(yīng)的路由設(shè)備的否認(rèn)報(bào)文��;所述判斷模塊還用于,如果接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文 時(shí),則確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò);如果接收到來(lái)自所述LSP報(bào)文對(duì) 應(yīng)的路由設(shè)備的否認(rèn)報(bào)文時(shí)����,則確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)不通過(guò)。所述第三方認(rèn)證設(shè)備中預(yù)先存儲(chǔ)了確認(rèn)列表;當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí),所述處理模塊還用于,如果所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò)���,則將所 述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的設(shè)備ID存儲(chǔ)到所述確認(rèn)列表;所述收發(fā)模塊還用于���,接收來(lái)自各個(gè)路由設(shè)備的設(shè)備ID信息�����,并當(dāng)在所述確認(rèn)列 表中查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID時(shí)��,向各個(gè)路由設(shè)備發(fā)送經(jīng)過(guò)LSP確認(rèn)的回應(yīng) 報(bào)文�����;當(dāng)在所述確認(rèn)列表中沒(méi)有查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID時(shí)����,向各個(gè)路由設(shè)備 發(fā)送沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文�����;當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)���,所述收發(fā)模塊還用于����,向所述第三方認(rèn)證設(shè)備發(fā)送設(shè)備ID信息�;并接收來(lái)自所述 第三方認(rèn)證設(shè)備的經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文,或者��,沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文;所述判斷模塊還用于,當(dāng)接收到經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文時(shí)����,判斷所述攜帶了最 大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確認(rèn);當(dāng)接收到?jīng)]有經(jīng)過(guò)LSP確認(rèn)的回應(yīng) 報(bào)文時(shí)��,判斷所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)�����。所述多個(gè)路由設(shè)備中還包括所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備�,且所述第三方認(rèn)證 設(shè)備的認(rèn)證設(shè)備同樣設(shè)置了認(rèn)證域�;當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備時(shí),所述收發(fā)模塊���,用于接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文��; 并接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文��;所述判斷模塊����,用于根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否 對(duì)所述第三方認(rèn)證設(shè)備進(jìn)行LSP確認(rèn);并根據(jù)LSP確認(rèn)信息判斷所述第三方認(rèn)證設(shè)備是否經(jīng)過(guò)LSP確認(rèn);所述處理模塊����,用于在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí)���,維護(hù)所述第三方認(rèn)證 設(shè)備的LSP確認(rèn)信息���;并在所述判斷模塊的判斷結(jié)果為所述第三方認(rèn)證設(shè)備經(jīng)過(guò)LSP確認(rèn) 時(shí)����,刪除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP信息��;在所述判斷模塊的判斷結(jié)果為所述 第三方認(rèn)證設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)時(shí)��,確定不需要?jiǎng)h除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的 LSP fp 肩�、o與現(xiàn)有技術(shù)相比����,本發(fā)明具有以下優(yōu)點(diǎn)通過(guò)第三方認(rèn)證設(shè)備對(duì)各個(gè)路由設(shè)備進(jìn)行認(rèn)證�,只有當(dāng)路由設(shè)備通過(guò)認(rèn)證時(shí)�����,才 會(huì)對(duì)該路由設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文進(jìn)行處理,而當(dāng)路由設(shè)備沒(méi)有通過(guò)認(rèn)證 時(shí)��,不會(huì)對(duì)該路由設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文進(jìn)行處理��,從而解決攻擊者仿冒 路由設(shè)備發(fā)送最大值序列號(hào)的LSP報(bào)文導(dǎo)致路由設(shè)備不能正常使用的情況,防止了序列號(hào) 的攻擊�����,并保證路由設(shè)備的正常使用。
圖1為本發(fā)明提出的一種防止序列號(hào)攻擊的方法流程圖�����;圖2為本發(fā)明提出的一種防止序列號(hào)攻擊的設(shè)備的結(jié)構(gòu)圖。
具體實(shí)施例方式本發(fā)明中����,通過(guò)第三方認(rèn)證設(shè)備對(duì)各個(gè)路由設(shè)備進(jìn)行認(rèn)證�,只有當(dāng)路由設(shè)備通過(guò) 認(rèn)證時(shí)��,才會(huì)對(duì)該路由設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文進(jìn)行處理�����,而當(dāng)路由設(shè)備沒(méi) 有通過(guò)認(rèn)證時(shí)���,不會(huì)對(duì)該路由設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文進(jìn)行處理�,從而解決 攻擊者仿冒路由設(shè)備發(fā)送最大值序列號(hào)的LSP報(bào)文導(dǎo)致路由設(shè)備不能正常使用的情況���,防 止了序列號(hào)的攻擊����,并保證路由設(shè)備的正常使用����。基于上述思想,本發(fā)明中提供一種防止序列號(hào)攻擊的方法��,應(yīng)用于包括多個(gè)路由 設(shè)備的系統(tǒng)中�����,各個(gè)路由設(shè)備之間通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息����,所述LSP報(bào)文中攜帶了 序列號(hào)�,所述多個(gè)路由設(shè)備中包括第三方認(rèn)證設(shè)備��,且所述第三方認(rèn)證設(shè)備中設(shè)置了針對(duì) 序列號(hào)的認(rèn)證域����,如圖1所示,該方法包括以下步驟步驟101�,所述第三方認(rèn)證設(shè)備接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào) 文���;根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng)的路 由設(shè)備進(jìn)行LSP確認(rèn)��;并在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí),維護(hù)所述LSP報(bào)文對(duì)應(yīng)的 路由設(shè)備的LSP確認(rèn)信息��。步驟102���,當(dāng)各個(gè)路由設(shè)備接收到來(lái)自其他路由設(shè)備的攜帶了最大值序列號(hào)的 LSP報(bào)文時(shí)��,各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備中獲取所述攜帶了最大值序列號(hào)的LSP 報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)。如果經(jīng)過(guò)LSP確認(rèn)�,轉(zhuǎn)到步驟103,如果沒(méi)有經(jīng)過(guò) LSP確認(rèn),轉(zhuǎn)到步驟104。步驟103,各個(gè)路由設(shè)備刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì) 應(yīng)的路由設(shè)備的LSP信息步驟104,各個(gè)路由設(shè)備確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�。
11
為了更加清楚的說(shuō)明本發(fā)明提供的技術(shù)方案����,以下結(jié)合一種具體的應(yīng)用場(chǎng)景����,對(duì) 本發(fā)明提供的技術(shù)方案進(jìn)行詳細(xì)闡述。本應(yīng)用場(chǎng)景下����,包括了多個(gè)路由設(shè)備�����,分別為路由設(shè) 備A����、路由設(shè)備B��、路由設(shè)備C����、路由設(shè)備D����、路由設(shè)備E����、路由設(shè)備F、路由設(shè)備G。需要注意的是�����,在多個(gè)路由設(shè)備中�,可以靜態(tài)選擇其中一個(gè)路由設(shè)備為第三方認(rèn) 證設(shè)備���,也可以動(dòng)態(tài)選擇(例如��,選擇設(shè)備ID最小的路由設(shè)備)其中一個(gè)路由設(shè)備為第三 方認(rèn)證設(shè)備,本發(fā)明中以路由設(shè)備A為第三方認(rèn)證設(shè)備為例進(jìn)行說(shuō)明��。具體的���,在第三方認(rèn)證設(shè)備中需要設(shè)置針對(duì)序列號(hào)的認(rèn)證域��,該認(rèn)證域?yàn)楦鶕?jù) 實(shí)際需要由運(yùn)營(yíng)商進(jìn)行選擇的���,例如�,運(yùn)營(yíng)商將范圍(序列號(hào)最大值-1000,序列號(hào)最大 值-500)設(shè)置為一個(gè)認(rèn)證域�����,其中���,運(yùn)營(yíng)商需要將該認(rèn)證域的信息通知給各個(gè)路由設(shè)備,而 在路由設(shè)備A中,需要維護(hù)該認(rèn)證域�����。在IS-IS協(xié)議中��,各個(gè)路由設(shè)備之間需要通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息�,當(dāng)鏈路 狀態(tài)信息發(fā)生變化時(shí)�,則對(duì)應(yīng)的路由設(shè)備需要重新向其他路由設(shè)備發(fā)送LSP報(bào)文,而該LSP 報(bào)文中攜帶了序列號(hào)���,而序列號(hào)的大小表示LSP報(bào)文的新舊。由于各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文是通過(guò)洪泛機(jī)制進(jìn)行擴(kuò)散的����, 所以第三方認(rèn)證設(shè)備能夠接收到各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文。例如�,對(duì) 于路由設(shè)備C發(fā)送的LSP報(bào)文,路由設(shè)備A能夠接收到該路由設(shè)備C發(fā)送的LSP報(bào)文����。當(dāng)接收到該路由設(shè)備C發(fā)送的LSP報(bào)文時(shí)��,該路由設(shè)備A需要根據(jù)該LSP報(bào)文中 攜帶的序列號(hào)以及認(rèn)證域判斷是否對(duì)路由設(shè)備C進(jìn)行LSP確認(rèn)�����;其中���,該路由設(shè)備A需要判 斷該LSP報(bào)文中攜帶的序列號(hào)是否在認(rèn)證域的范圍內(nèi)�����;如果在認(rèn)證域的范圍內(nèi)����,路由設(shè)備A 確定需要對(duì)路由設(shè)備C進(jìn)行LSP確認(rèn)�����;如果不在認(rèn)證域的范圍內(nèi)����,路由設(shè)備A確定不需要對(duì) 路由設(shè)備C進(jìn)行LSP確認(rèn)�。例如�,LSP報(bào)文中攜帶的序列號(hào)為10�,認(rèn)證域?yàn)?100-120)��,則 不需要對(duì)路由設(shè)備C進(jìn)行LSP確認(rèn)。具體的,當(dāng)路由設(shè)備A確定需要對(duì)路由設(shè)備C進(jìn)行LSP確認(rèn)時(shí),該路由設(shè)備A需要 向路由設(shè)備C發(fā)送認(rèn)證請(qǐng)求,該認(rèn)證請(qǐng)求中攜帶了 LSP報(bào)文的信息���。而路由設(shè)備C接收到 該認(rèn)證請(qǐng)求后,需要根據(jù)該LSP報(bào)文的信息判斷該LSP報(bào)文是否為路由設(shè)備C自身所發(fā)送 的,如果是時(shí)�,則路由設(shè)備C需要向路由設(shè)備A發(fā)送確認(rèn)報(bào)文,否則���,路由設(shè)備C需要向路由 設(shè)備A發(fā)送否認(rèn)報(bào)文。當(dāng)路由設(shè)備A接收到來(lái)自路由設(shè)備C的確認(rèn)報(bào)文時(shí)��,則路由設(shè)備A 確定路由設(shè)備C的LSP確認(rèn)通過(guò)����;當(dāng)路由設(shè)備A接收到來(lái)自路由設(shè)備C的否認(rèn)報(bào)文時(shí)�,則路 由設(shè)備A確定路由設(shè)備C的LSP確認(rèn)不通過(guò)。進(jìn)一步的��,路由設(shè)備C的LSP確認(rèn)通過(guò)時(shí),該路由設(shè)備A還需要維護(hù)該路由設(shè)備C 的LSP確認(rèn)信息�����。例如��,在路由設(shè)備A中預(yù)先存儲(chǔ)確認(rèn)列表,該確認(rèn)列表用于存儲(chǔ)所有LSP 確認(rèn)通過(guò)的設(shè)備ID信息���。當(dāng)路由設(shè)備C的LSP確認(rèn)通過(guò)時(shí),則路由設(shè)備A將路由設(shè)備C的 設(shè)備ID(C)存儲(chǔ)到該確認(rèn)列表。而當(dāng)確認(rèn)列表中存儲(chǔ)了路由設(shè)備C的設(shè)備ID時(shí)�����,后續(xù)過(guò)程 中,如果路由設(shè)備A再次接收到來(lái)自路由設(shè)備C的LSP報(bào)文���,則不再需要對(duì)路由設(shè)備C進(jìn)行 LSP確認(rèn)�。另外���,由于各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文是通過(guò)洪泛機(jī)制進(jìn)行擴(kuò) 散的,所以�����,當(dāng)有路由設(shè)備向其他設(shè)備發(fā)送了攜帶了最大值序列號(hào)的LSP報(bào)文時(shí)�����,各個(gè)路由 設(shè)備(包括第三方認(rèn)證設(shè)備和非第三方認(rèn)證設(shè)備)均能夠接收到該攜帶了最大值序列號(hào)的 LSP報(bào)文���,本應(yīng)用場(chǎng)景下,以路由設(shè)備C向其他路由設(shè)備發(fā)送攜帶了最大值序列號(hào)的LSP報(bào)
12文為例進(jìn)行說(shuō)明�����。當(dāng)路由設(shè)備A接收到該攜帶了最大值序列號(hào)的LSP報(bào)文時(shí)��,根據(jù)自身維護(hù)的確認(rèn) 列表,能夠直接判斷該路由設(shè)備C是否經(jīng)過(guò)LSP確認(rèn)����,即當(dāng)確認(rèn)列表中具有路由設(shè)備C的設(shè) 備ID時(shí)�����,則路由設(shè)備C經(jīng)過(guò)LSP確認(rèn),否則�,路由設(shè)備C沒(méi)有經(jīng)過(guò)LSP確認(rèn)�����。當(dāng)其他非第三方認(rèn)證設(shè)備(例如,路由設(shè)備D)接收到該攜帶了最大值序列號(hào)的 LSP報(bào)文時(shí)���,該路由設(shè)備D需要從路由設(shè)備A中獲取該路由設(shè)備C是否經(jīng)過(guò)LSP確認(rèn)���。其 中��,當(dāng)路由設(shè)備D接收到來(lái)自路由設(shè)備C的攜帶了最大值序列號(hào)的LSP報(bào)文后��,需要將路由 設(shè)備C的設(shè)備ID發(fā)送給路由設(shè)備A�,而路由設(shè)備A能夠接收來(lái)自路由設(shè)備D的設(shè)備ID (路 由設(shè)備C)信息�,并根據(jù)該設(shè)備ID信息查找確認(rèn)列表��。如果在確認(rèn)列表中查找到該設(shè)備ID 信息對(duì)應(yīng)的設(shè)備ID����,則路由設(shè)備A向路由設(shè)備D發(fā)送路由設(shè)備C經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文��, 此時(shí),路由設(shè)備D確定路由設(shè)備C經(jīng)過(guò)LSP確認(rèn);如果在確認(rèn)列表中沒(méi)有查找到該設(shè)備ID 信息對(duì)應(yīng)的設(shè)備ID����,則路由設(shè)備A向路由設(shè)備D發(fā)送路由設(shè)備C沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng) 報(bào)文,此時(shí)�����,路由設(shè)備D確定路由設(shè)備C沒(méi)有經(jīng)過(guò)LSP確認(rèn)。進(jìn)一步的�,當(dāng)路由設(shè)備A和路由設(shè)備D接收到來(lái)自路由設(shè)備C的攜帶了最大值序 列號(hào)的LSP報(bào)文時(shí)��,如果路由設(shè)備C經(jīng)過(guò)LSP確認(rèn)��,則路由設(shè)備A和路由設(shè)備D需要?jiǎng)h除自 身存儲(chǔ)的路由設(shè)備C的LSP信息�����;如果路由設(shè)備C沒(méi)有經(jīng)過(guò)LSP確認(rèn)����,則路由設(shè)備A和路由 設(shè)備D確定不需要?jiǎng)h除自身存儲(chǔ)的路由設(shè)備C的LSP信息�。基于上述情況���,通過(guò)設(shè)置一個(gè)認(rèn)證域�,對(duì)于序列號(hào)在達(dá)到最大值之前的某個(gè)認(rèn)證 域內(nèi)的LSP報(bào)文���,第三方認(rèn)證設(shè)備進(jìn)行相應(yīng)的認(rèn)證,從而能夠有效的防止最大值序列號(hào)的 攻擊。例如����,將認(rèn)證域的范圍設(shè)置一個(gè)比較靠近序列號(hào)最大值的范圍(序列號(hào)最大 值-1000����,序列號(hào)最大值-500)���,在正常情況下�,各個(gè)路由設(shè)備發(fā)送的LSP報(bào)文中攜帶的序列 號(hào)都不會(huì)到達(dá)該認(rèn)證域的范圍���,因此,各個(gè)路由設(shè)備都不會(huì)需要進(jìn)行LSP確認(rèn)�����,也不會(huì)在確 認(rèn)列表中有相應(yīng)的記錄。因此�,如果某個(gè)攻擊者仿冒路由設(shè)備(例如�����,路由設(shè)備C)發(fā)送攜帶了最大值序列 號(hào)的LSP報(bào)文時(shí)�����,則由于路由設(shè)備C還沒(méi)有經(jīng)過(guò)LSP確認(rèn)�����,則確認(rèn)列表中不會(huì)存在路由設(shè)備 C的設(shè)備ID���,則各個(gè)路由設(shè)備不需要?jiǎng)h除自身存儲(chǔ)的路由設(shè)備C的LSP信息,從而防止了攻 擊者仿冒路由設(shè)備C的攻擊,保證了路由設(shè)備C的正常使用��。如果路由設(shè)備(例如�,路由設(shè)備C)自身需要發(fā)送攜帶了最大值序列號(hào)的LSP報(bào)文 時(shí),由于路由設(shè)備c自身知道認(rèn)證域的范圍(運(yùn)營(yíng)商提前通知給各個(gè)合法的路由設(shè)備)�,該 路由設(shè)備c能夠先發(fā)送一個(gè)序列號(hào)在認(rèn)證域范圍內(nèi)的LSP報(bào)文��,之后發(fā)送攜帶了最大值序 列號(hào)的LSP報(bào)文�,此時(shí)����,由于路由設(shè)備C已經(jīng)經(jīng)過(guò)LSP確認(rèn)��,則確認(rèn)列表中存在路由設(shè)備C 的設(shè)備ID,則各個(gè)路由設(shè)備需要?jiǎng)h除自身存儲(chǔ)的路由設(shè)備C的LSP信息����,從而保證了路由設(shè) 備C的正常使用。需要說(shuō)明的是���,上述處理過(guò)程是路由設(shè)備A作為第三方認(rèn)證設(shè)備進(jìn)行相應(yīng)處理 的����,但是,在實(shí)際應(yīng)用中,還需要對(duì)路由設(shè)備A進(jìn)行相關(guān)的認(rèn)證過(guò)程���。此時(shí),還需要為路由設(shè) 備A指定一個(gè)認(rèn)證設(shè)備(即第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備),以路由設(shè)備B為該認(rèn)證設(shè)備為例 進(jìn)行說(shuō)明,同樣的��,該路由設(shè)備B中也設(shè)置了認(rèn)證域。具體的,路由設(shè)備B接收到路由設(shè)備A發(fā)送的LSP報(bào)文時(shí),該路由設(shè)備B需要根據(jù)該LSP報(bào)文中攜帶的序列號(hào)以及認(rèn)證域判斷是否對(duì)路由設(shè)備A進(jìn)行LSP確認(rèn)�����;其中�����,該路由 設(shè)備B需要判斷該LSP報(bào)文中攜帶的序列號(hào)是否在認(rèn)證域的范圍內(nèi);如果在認(rèn)證域的范圍 內(nèi),路由設(shè)備B確定需要對(duì)路由設(shè)備A進(jìn)行LSP確認(rèn);如果不在認(rèn)證域的范圍內(nèi)��,路由設(shè)備 B確定不需要對(duì)路由設(shè)備A進(jìn)行LSP確認(rèn)��。當(dāng)路由設(shè)備B確定需要對(duì)路由設(shè)備A進(jìn)行LSP確認(rèn)時(shí)��,該路由設(shè)備B需要向路由 設(shè)備A發(fā)送認(rèn)證請(qǐng)求���,而路由設(shè)備A接收到該認(rèn)證請(qǐng)求后��,需要判斷該LSP報(bào)文是否為路由 設(shè)備A自身所發(fā)送的��,如果是時(shí)���,則路由設(shè)備A需要向路由設(shè)備B發(fā)送確認(rèn)報(bào)文,否則�,路由 設(shè)備A需要向路由設(shè)備B發(fā)送否認(rèn)報(bào)文��。當(dāng)路由設(shè)備B接收到來(lái)自路由設(shè)備A的確認(rèn)報(bào)文 時(shí),則路由設(shè)備B確定路由設(shè)備A的LSP確認(rèn)通過(guò)���;當(dāng)路由設(shè)備B接收到來(lái)自路由設(shè)備A的 否認(rèn)報(bào)文時(shí)�����,則路由設(shè)備B確定路由設(shè)備A的LSP確認(rèn)不通過(guò)��。當(dāng)路由設(shè)備A的LSP確認(rèn) 通過(guò)時(shí),該路由設(shè)備B還需要維護(hù)該路由設(shè)備A的LSP確認(rèn)信息��。進(jìn)一步的,當(dāng)路由設(shè)備A向其他設(shè)備發(fā)送了攜帶了最大值序列號(hào)的LSP報(bào)文時(shí),各 個(gè)路由設(shè)備均能夠接收到該攜帶了最大值序列號(hào)的LSP報(bào)文�,路由設(shè)備B接收到該攜帶了 最大值序列號(hào)的LSP報(bào)文時(shí)��,根據(jù)自身維護(hù)的確認(rèn)列表�����,能夠直接判斷該路由設(shè)備A是否經(jīng) 過(guò)LSP確認(rèn);而其他路由設(shè)備(例如��,路由設(shè)備D)接收到該攜帶了最大值序列號(hào)的LSP報(bào) 文時(shí),該路由設(shè)備D需要從路由設(shè)備B中獲取該路由設(shè)備A是否經(jīng)過(guò)LSP確認(rèn)�。如果路由設(shè)備A經(jīng)過(guò)LSP確認(rèn)�,則路由設(shè)備B和路由設(shè)備D需要?jiǎng)h除自身存儲(chǔ)的 路由設(shè)備A的LSP信息�����;如果路由設(shè)備A沒(méi)有經(jīng)過(guò)LSP確認(rèn),則路由設(shè)備B和路由設(shè)備D確 定不需要?jiǎng)h除自身存儲(chǔ)的路由設(shè)備A的LSP信息�����。在一般情況下,由于認(rèn)證域的范圍比較靠近序列號(hào)最大值��,不會(huì)出現(xiàn)大量需要認(rèn) 證的情況出現(xiàn),所以使用一個(gè)第三方認(rèn)證設(shè)備就能夠滿足各個(gè)路由設(shè)備的需求。但是����,在實(shí)際應(yīng)用中�,攻擊者可能會(huì)發(fā)送大量攜帶了最大值序列號(hào)的LSP報(bào)文����,此 時(shí)���,所以的路由設(shè)備均會(huì)向第三方認(rèn)證設(shè)備(路由設(shè)備A)查詢?cè)摂y帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否在確認(rèn)列表中�,從而使得第三方認(rèn)證設(shè)備負(fù)載過(guò)重���。而為了保 證第三方認(rèn)證設(shè)備不會(huì)因?yàn)橥话l(fā)性的大量咨詢報(bào)文(即查詢?cè)摂y帶了最大值序列號(hào)的LSP 報(bào)文對(duì)應(yīng)的路由設(shè)備是否在確認(rèn)列表中的報(bào)文)而負(fù)載過(guò)重�,本發(fā)明中�����,還可以設(shè)置多個(gè) 第三方認(rèn)證設(shè)備���。例如��,將路由設(shè)備E和路由設(shè)備F同樣設(shè)置為第三方認(rèn)證設(shè)備。基于這種情況���,當(dāng)接收到攜帶了最大值序列號(hào)的LSP報(bào)文時(shí)����,各個(gè)路由設(shè)備可以 根據(jù)自身的ID來(lái)進(jìn)行hash計(jì)算��,并根據(jù)hash計(jì)算的結(jié)果確定需要到哪臺(tái)第三方認(rèn)證設(shè)備 查詢?cè)摂y帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否在確認(rèn)列表中。例如���,路由設(shè) 備B經(jīng)過(guò)hash計(jì)算確定需要到路由設(shè)備A中進(jìn)行查詢,路由設(shè)備C經(jīng)過(guò)hash計(jì)算確定需 要到路由設(shè)備E中進(jìn)行查詢����,路由設(shè)備D經(jīng)過(guò)hash計(jì)算確定需要到路由設(shè)備F中進(jìn)行查 詢。按照這種方式,可以使得網(wǎng)絡(luò)中的多臺(tái)路由設(shè)備分擔(dān)突發(fā)性的大量咨詢報(bào)文�,以減輕突 發(fā)性的過(guò)載?��?梢钥闯?���,在設(shè)置了多個(gè)第三方認(rèn)證設(shè)備的情況下,對(duì)于第三方認(rèn)證設(shè)備的認(rèn)證�����, 可以直接由其他第三方認(rèn)證設(shè)備進(jìn)行認(rèn)證���,例如��,如果路由設(shè)備A的LSP序列號(hào)到達(dá)了認(rèn)證 域��,則由路由設(shè)備E和/或路由設(shè)備F對(duì)路由設(shè)備A進(jìn)行認(rèn)證���。如果非認(rèn)證設(shè)備(例如���,路由設(shè)備C)接收到來(lái)自路由設(shè)備A的攜帶了最大值序列 號(hào)的LSP報(bào)文時(shí),則需要到路由設(shè)備E和/或路由設(shè)備F中進(jìn)行查詢��,如果路由設(shè)備A已經(jīng)通過(guò)LSP確認(rèn)����,則需要?jiǎng)h除路由設(shè)備A的LSP信息����;如果路由設(shè)備A沒(méi)有通過(guò)LSP確認(rèn)����,則 不需要?jiǎng)h除路由設(shè)備A的LSP信息,直接丟棄該LSP對(duì)應(yīng)的報(bào)文�。非認(rèn)證設(shè)備(例如,路由設(shè)備C)在刪除了路由設(shè)備A的LSP信息的期間(即路由 設(shè)備A進(jìn)行翻轉(zhuǎn)的期間)內(nèi)�,是不能接收路由設(shè)備A的LSP報(bào)文的����,該路由設(shè)備A對(duì)于其他 路由設(shè)備來(lái)說(shuō)�,處于消失階段��。在這個(gè)時(shí)間段內(nèi),非認(rèn)證設(shè)備需要到路由設(shè)備E和/或路由 設(shè)備F中進(jìn)行相關(guān)的查詢��。一直到路由設(shè)備A恢復(fù)后���,非認(rèn)證設(shè)備才能夠到路由設(shè)備A中 進(jìn)行相關(guān)的查詢。需要說(shuō)明的是�,在本發(fā)明中�,如果路由設(shè)備A被撤銷了�����,則網(wǎng)絡(luò)中將不再有路由設(shè) 備A的存在。在這種情況下,可以設(shè)置一個(gè)定時(shí)器�,在該定時(shí)器到達(dá)后����,網(wǎng)絡(luò)中所有路由設(shè) 備將重新選舉第三方認(rèn)證設(shè)備�����,本發(fā)明中不再詳加贅述���?��;谂c上述方法同樣的發(fā)明構(gòu)思�����,本發(fā)明還提出了一種防止序列號(hào)攻擊的設(shè)備���, 應(yīng)用于包括多個(gè)路由設(shè)備的系統(tǒng)中,各個(gè)路由設(shè)備之間通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息�, 所述LSP報(bào)文中攜帶了序列號(hào),所述多個(gè)路由設(shè)備中包括第三方認(rèn)證設(shè)備,且所述第三方 認(rèn)證設(shè)備中設(shè)置了針對(duì)序列號(hào)的認(rèn)證域,如圖2所示���,該設(shè)備進(jìn)一步包括收發(fā)模塊10,判 斷模塊20和處理模塊30,所述收發(fā)模塊10和所述判斷模塊20連接�,所述處理模塊30與所 述判斷模塊20連接,其中,所述收發(fā)模塊10��,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí)�,用 于接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文;并接收各個(gè)路由設(shè)備向其他路由設(shè) 備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文�����。在確定需要對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)時(shí)�,所述收發(fā)模塊10需 要向所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備發(fā)送認(rèn)證請(qǐng)求����,所述認(rèn)證請(qǐng)求中攜帶了所述LSP報(bào)文的 信息����;由所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備根據(jù)所述LSP報(bào)文的信息判斷所述LSP報(bào)文是否為 自身所發(fā)送的,如果是,則向所述第三方認(rèn)證設(shè)備發(fā)送確認(rèn)報(bào)文,否則�����,向所述第三方認(rèn)證 設(shè)備發(fā)送否認(rèn)報(bào)文�;在所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備回應(yīng)后���,所述收發(fā)模塊10接收來(lái)自所 述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文或者接收來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的否認(rèn) 報(bào)文����。需要說(shuō)明的是,所述第三方認(rèn)證設(shè)備中預(yù)先存儲(chǔ)了確認(rèn)列表;所述收發(fā)模塊10還 用于接收來(lái)自各個(gè)路由設(shè)備的設(shè)備ID信息,并當(dāng)在所述確認(rèn)列表中查找到所述設(shè)備ID信 息對(duì)應(yīng)的設(shè)備ID時(shí)����,向各個(gè)路由設(shè)備發(fā)送經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文�;當(dāng)在所述確認(rèn)列表中 沒(méi)有查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID時(shí)���,向各個(gè)路由設(shè)備發(fā)送沒(méi)有經(jīng)過(guò)LSP確認(rèn)的 回應(yīng)報(bào)文���。當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)����,所述收發(fā)模塊10 用于接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文。當(dāng)接收到 攜帶了最大值序列號(hào)的LSP報(bào)文時(shí)��,所述收發(fā)模塊10還用于向所述第三方認(rèn)證設(shè)備發(fā)送設(shè) 備ID信息(攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的設(shè)備ID信息)�����;并接收來(lái)自所述第三 方認(rèn)證設(shè)備的經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文,或者���,沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文。所述多個(gè)路由設(shè)備中還包括所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備�,且所述第三方認(rèn)證 設(shè)備的認(rèn)證設(shè)備同樣設(shè)置了認(rèn)證域���;當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè) 備的認(rèn)證設(shè)備時(shí)����,所述收發(fā)模塊10用于接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的
15LSP報(bào)文�����;并接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP 報(bào)文��。所述判斷模塊20��,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí)�����,用 于根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由 設(shè)備進(jìn)行LSP確認(rèn)����;并根據(jù)LSP確認(rèn)信息判斷所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的 路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)。在判斷是否需要對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)的過(guò)程中����,所述判 斷模塊20具體用于判斷所述LSP報(bào)文中攜帶的序列號(hào)是否在所述認(rèn)證域的范圍內(nèi);如果在 所述認(rèn)證域的范圍內(nèi),則確定對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)�����;如果不在所述 認(rèn)證域的范圍內(nèi)��,則確定不需要對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)�。在對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)的過(guò)程中�����,所述判斷模塊20用于 如果接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文時(shí),則確定所述LSP報(bào)文對(duì)應(yīng)的 路由設(shè)備的LSP確認(rèn)通過(guò);如果接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的否認(rèn)報(bào)文時(shí)�����,則 確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)不通過(guò)。當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)��,所述判斷模塊20 用于從所述第三方認(rèn)證設(shè)備中判斷所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備 是否經(jīng)過(guò)LSP確認(rèn)��。在判斷所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)的 過(guò)程中,所述判斷模塊20還用于當(dāng)接收到經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文時(shí)���,判斷所述攜帶了最 大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確認(rèn);當(dāng)接收到?jīng)]有經(jīng)過(guò)LSP確認(rèn)的回應(yīng) 報(bào)文時(shí),判斷所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)��。當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備時(shí),所述判斷 模塊20用于根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述第三方認(rèn) 證設(shè)備進(jìn)行LSP確認(rèn)�����;并根據(jù)LSP確認(rèn)信息判斷所述第三方認(rèn)證設(shè)備是否經(jīng)過(guò)LSP確認(rèn)。所述處理模塊30�,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí),用 于在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí)���,維護(hù)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn) 信息���;并在所述判斷模塊20的判斷結(jié)果為所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由 設(shè)備經(jīng)過(guò)LSP確認(rèn)時(shí)���,刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè) 備的LSP信息��;在所述判斷模塊20的判斷結(jié)果為所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng) 的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)時(shí),確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息。所述第三方認(rèn)證設(shè)備中預(yù)先存儲(chǔ)了確認(rèn)列表�����;所述處理模塊30還用于如果所述 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò),則將所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的設(shè)備ID存 儲(chǔ)到所述確認(rèn)列表。當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)��,所述處理模塊30 用于當(dāng)所述判斷模塊20的判斷結(jié)果為經(jīng)過(guò)LSP確認(rèn)時(shí)�,刪除自身存儲(chǔ)的所述攜帶了最大值 序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息;當(dāng)所述判斷模塊20的判斷結(jié)果為沒(méi)有經(jīng)過(guò) LSP確認(rèn)��,確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè) 備的LSP信息。
當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備時(shí),所述處理 模塊30用于在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí)���,維護(hù)所述第三方認(rèn)證設(shè)備的LSP確認(rèn) 信息����;并在所述判斷模塊的判斷結(jié)果為所述第三方認(rèn)證設(shè)備經(jīng)過(guò)LSP確認(rèn)時(shí)���,刪除自身存 儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP信息����;在所述判斷模塊的判斷結(jié)果為所述第三方認(rèn)證設(shè)備 沒(méi)有經(jīng)過(guò)LSP確認(rèn)時(shí),確定不需要?jiǎng)h除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP信息。
其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體����,也可以分離部署。上述模塊可以合 并為一個(gè)模塊�,也可以進(jìn)一步拆分成多個(gè)子模塊���。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過(guò)硬件實(shí)現(xiàn)�,也可以借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)���?�;谶@樣的理解,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)���,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ) 介質(zhì)(可以是⑶-ROM�,U盤�,移動(dòng)硬盤等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可 以是個(gè)人計(jì)算機(jī)��,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖��,附圖中的模塊或流 程并不一定是實(shí)施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中����。上 述實(shí)施例的模塊可以合并為一個(gè)模塊��,也可以進(jìn)一步拆分成多個(gè)子模塊�����。上述本發(fā)明序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣�。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例���,但是,本發(fā)明并非局限于此��,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍���。
權(quán)利要求
一種防止序列號(hào)攻擊的方法,應(yīng)用于包括多個(gè)路由設(shè)備的系統(tǒng)中��,各個(gè)路由設(shè)備之間通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息����,所述LSP報(bào)文中攜帶了序列號(hào)�,其特征在于,所述多個(gè)路由設(shè)備中包括第三方認(rèn)證設(shè)備��,且所述第三方認(rèn)證設(shè)備中設(shè)置了針對(duì)序列號(hào)的認(rèn)證域,所述方法包括以下步驟所述第三方認(rèn)證設(shè)備接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文;根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn);并在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí),維護(hù)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)信息;當(dāng)各個(gè)路由設(shè)備接收到來(lái)自其他路由設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文時(shí),各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備中獲取所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)����;如果經(jīng)過(guò)LSP確認(rèn)�����,則各個(gè)路由設(shè)備刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息;如果沒(méi)有經(jīng)過(guò)LSP確認(rèn)�����,則各個(gè)路由設(shè)備確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息���。
2.如權(quán)利要求1所述的方法,其特征在于,根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述 認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)���,具體包括所述第三方認(rèn)證設(shè)備判斷所述LSP報(bào)文中攜帶的序列號(hào)是否在所述認(rèn)證域的范圍內(nèi)�;如果在所述認(rèn)證域的范圍內(nèi)��,所述第三方認(rèn)證設(shè)備確定對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè) 備進(jìn)行LSP確認(rèn)�����;如果不在所述認(rèn)證域的范圍內(nèi)���,所述第三方認(rèn)證設(shè)備確定不需要對(duì)所述LSP報(bào)文對(duì)應(yīng) 的路由設(shè)備進(jìn)行LSP確認(rèn)。
3.如權(quán)利要求2所述的方法,其特征在于���,所述第三方認(rèn)證設(shè)備確定對(duì)所述LSP報(bào)文對(duì) 應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)���,之后還包括所述第三方認(rèn)證設(shè)備向所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備發(fā)送認(rèn)證請(qǐng)求����,所述認(rèn)證請(qǐng)求中 攜帶了所述LSP報(bào)文的信息;由所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備根據(jù)所述LSP報(bào)文的信息判 斷所述LSP報(bào)文是否為自身所發(fā)送的,如果是��,則向所述第三方認(rèn)證設(shè)備發(fā)送確認(rèn)報(bào)文��,否 則,向所述第三方認(rèn)證設(shè)備發(fā)送否認(rèn)報(bào)文��;如果所述第三方認(rèn)證設(shè)備接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文,則所 述第三方認(rèn)證設(shè)備確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò)�;如果所述第三方認(rèn)證設(shè)備接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的否認(rèn)報(bào)文����,則所 述第三方認(rèn)證設(shè)備確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)不通過(guò)�����。
4.如權(quán)利要求1所述的方法���,其特征在于�,所述第三方認(rèn)證設(shè)備中預(yù)先存儲(chǔ)了確認(rèn)列表����;維護(hù)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)信息,具體為如果所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò),則所述第三方認(rèn)證設(shè)備將所述LSP 報(bào)文對(duì)應(yīng)的路由設(shè)備的設(shè)備ID存儲(chǔ)到所述確認(rèn)列表;各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備中獲取所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì) 應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn),具體包括所述第三方認(rèn)證設(shè)備接收來(lái)自各個(gè)路由設(shè)備的設(shè)備ID信息,如果在所述確認(rèn)列表中 查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID��,則向各個(gè)路由設(shè)備發(fā)送經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文����, 各個(gè)路由設(shè)備確定所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確認(rèn);如果在所述確認(rèn)列表中沒(méi)有查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID�,則向各個(gè)路由設(shè) 備發(fā)送沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文���,各個(gè)路由設(shè)備確定所述攜帶了最大值序列號(hào)的LSP 報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)。
5.如權(quán)利要求1-4任一項(xiàng)所述的方法��,其特征在于�,所述多個(gè)路由設(shè)備中還包括所述 第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備�,且所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備同樣設(shè)置了認(rèn)證域�;所述 方法還包括所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的LSP 報(bào)文;根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所述第三方認(rèn)證設(shè)備 進(jìn)行LSP確認(rèn)����;并在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí)�����,維護(hù)所述第三方認(rèn)證設(shè)備的LSP 確認(rèn)信息���;當(dāng)各個(gè)路由設(shè)備接收到來(lái)自所述第三方認(rèn)證設(shè)備的攜帶了最大值序列號(hào)的LSP報(bào)文 時(shí)�,各個(gè)路由設(shè)備從所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備中獲取所述第三方認(rèn)證設(shè)備是否經(jīng)過(guò) LSP確認(rèn)���;如果經(jīng)過(guò)LSP確認(rèn)���,則各個(gè)路由設(shè)備刪除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP信息;如果沒(méi)有經(jīng)過(guò)LSP確認(rèn)����,則各個(gè)路由設(shè)備確定不需要?jiǎng)h除自身存儲(chǔ)的所述第三方認(rèn)證 設(shè)備的LSP信息�。
6.一種防止序列號(hào)攻擊的設(shè)備���,應(yīng)用于包括多個(gè)路由設(shè)備的系統(tǒng)中,各個(gè)路由設(shè)備之 間通過(guò)LSP報(bào)文交互鏈路狀態(tài)信息,所述LSP報(bào)文中攜帶了序列號(hào)����,其特征在于����,所述多個(gè) 路由設(shè)備中包括第三方認(rèn)證設(shè)備�����,且所述第三方認(rèn)證設(shè)備中設(shè)置了針對(duì)序列號(hào)的認(rèn)證域, 該設(shè)備進(jìn)一步包括收發(fā)模塊,判斷模塊和處理模塊,所述收發(fā)模塊和所述判斷模塊連接���, 所述處理模塊與所述判斷模塊連接,其中�����,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí),所述收發(fā)模塊�,用于接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文����;并接收各個(gè) 路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文���;所述判斷模塊��,用于根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所 述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)����;并根據(jù)LSP確認(rèn)信息判斷所述攜帶了最大值序 列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn);所述處理模塊��,用于在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí),維護(hù)所述LSP報(bào)文對(duì)應(yīng) 的路由設(shè)備的LSP確認(rèn)信息���;并在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序列號(hào)的 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確認(rèn)時(shí),刪除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP 報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�;在所述判斷模塊的判斷結(jié)果為所述攜帶了最大值序列號(hào) 的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)時(shí)��,確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了 最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�����;當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)���,所述收發(fā)模塊����,用于接收各個(gè)路由設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文;所述判斷模塊,用于從所述第三方認(rèn)證設(shè)備中判斷所述攜帶了最大值序列號(hào)的LSP報(bào) 文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)���;所述處理模塊���,用于當(dāng)所述判斷模塊的判斷結(jié)果為經(jīng)過(guò)LSP確認(rèn)時(shí)����,刪除自身存儲(chǔ)的 所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息;當(dāng)所述判斷模塊的判斷 結(jié)果為沒(méi)有經(jīng)過(guò)LSP確認(rèn)���,確定不需要?jiǎng)h除自身存儲(chǔ)的所述攜帶了最大值序列號(hào)的LSP報(bào) 文對(duì)應(yīng)的路由設(shè)備的LSP信息���。
7.如權(quán)利要求6所述的設(shè)備,其特征在于�����,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第 三方認(rèn)證設(shè)備時(shí),所述判斷模塊具體用于����,判斷所述LSP報(bào)文中攜帶的序列號(hào)是否在所述認(rèn)證域的范圍 內(nèi)��;如果在所述認(rèn)證域的范圍內(nèi)����,則確定對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)�����;如 果不在所述認(rèn)證域的范圍內(nèi),則確定不需要對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn)�����。
8.如權(quán)利要求7所述的設(shè)備�����,其特征在于,當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第 三方認(rèn)證設(shè)備時(shí),所述收發(fā)模塊還用于�����,向所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備發(fā)送認(rèn)證請(qǐng)求,所述認(rèn)證請(qǐng)求 中攜帶了所述LSP報(bào)文的信息���;由所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備根據(jù)所述LSP報(bào)文的信息 判斷所述LSP報(bào)文是否為自身所發(fā)送的���,如果是�,則向所述第三方認(rèn)證設(shè)備發(fā)送確認(rèn)報(bào)文����, 否則�����,向所述第三方認(rèn)證設(shè)備發(fā)送否認(rèn)報(bào)文����;并接收來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文或者接收來(lái)自所述LSP報(bào)文對(duì)應(yīng) 的路由設(shè)備的否認(rèn)報(bào)文;所述判斷模塊還用于,如果接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的確認(rèn)報(bào)文時(shí)�����, 則確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò);如果接收到來(lái)自所述LSP報(bào)文對(duì)應(yīng) 的路由設(shè)備的否認(rèn)報(bào)文時(shí)�����,則確定所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)不通過(guò)����。
9.如權(quán)利要求6所述的設(shè)備�,其特征在于�����,所述第三方認(rèn)證設(shè)備中預(yù)先存儲(chǔ)了確認(rèn)列表����;當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備時(shí)�����,所述處理模塊還用于��,如果所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP確認(rèn)通過(guò),則將所述 LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的設(shè)備ID存儲(chǔ)到所述確認(rèn)列表;所述收發(fā)模塊還用于,接收來(lái)自各個(gè)路由設(shè)備的設(shè)備ID信息��,并當(dāng)在所述確認(rèn)列表中 查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID時(shí)�����,向各個(gè)路由設(shè)備發(fā)送經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文��; 當(dāng)在所述確認(rèn)列表中沒(méi)有查找到所述設(shè)備ID信息對(duì)應(yīng)的設(shè)備ID時(shí),向各個(gè)路由設(shè)備發(fā)送 沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文����;當(dāng)所述防止序列號(hào)攻擊的設(shè)備不作為所述第三方認(rèn)證設(shè)備時(shí)�����, 所述收發(fā)模塊還用于��,向所述第三方認(rèn)證設(shè)備發(fā)送設(shè)備ID信息��;并接收來(lái)自所述第三 方認(rèn)證設(shè)備的經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文���,或者,沒(méi)有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文��;所述判斷模塊還用于,當(dāng)接收到經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文時(shí)�����,判斷所述攜帶了最大值 序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備經(jīng)過(guò)LSP確認(rèn)��;當(dāng)接收到?jīng)]有經(jīng)過(guò)LSP確認(rèn)的回應(yīng)報(bào)文 時(shí)�,判斷所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)。
10.如權(quán)利要求6-9任一項(xiàng)所述的設(shè)備��,其特征在于����,所述多個(gè)路由設(shè)備中還包括所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備���,且所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備同樣設(shè)置了認(rèn)證域; 當(dāng)所述防止序列號(hào)攻擊的設(shè)備作為所述第三方認(rèn)證設(shè)備的認(rèn)證設(shè)備時(shí)�, 所述收發(fā)模塊���,用于接收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的LSP報(bào)文;并接 收所述第三方認(rèn)證設(shè)備向其他路由設(shè)備發(fā)送的攜帶了最大值序列號(hào)的LSP報(bào)文��;所述判斷模塊,用于根據(jù)所述LSP報(bào)文中攜帶的序列號(hào)以及所述認(rèn)證域判斷是否對(duì)所 述第三方認(rèn)證設(shè)備進(jìn)行LSP確認(rèn)����;并根據(jù)LSP確認(rèn)信息判斷所述第三方認(rèn)證設(shè)備是否經(jīng)過(guò) LSP確認(rèn)����;所述處理模塊���,用于在需要進(jìn)行LSP確認(rèn)且LSP確認(rèn)通過(guò)時(shí),維護(hù)所述第三方認(rèn)證設(shè)備 的LSP確認(rèn)信息���;并在所述判斷模塊的判斷結(jié)果為所述第三方認(rèn)證設(shè)備經(jīng)過(guò)LSP確認(rèn)時(shí)�����,刪 除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP信息��;在所述判斷模塊的判斷結(jié)果為所述第三方 認(rèn)證設(shè)備沒(méi)有經(jīng)過(guò)LSP確認(rèn)時(shí)���,確定不需要?jiǎng)h除自身存儲(chǔ)的所述第三方認(rèn)證設(shè)備的LSP信 肩���、o
全文摘要
本發(fā)明公開(kāi)了一種防止序列號(hào)攻擊的方法����,包括以下步驟第三方認(rèn)證設(shè)備根據(jù)LSP報(bào)文中攜帶的序列號(hào)以及認(rèn)證域判斷是否對(duì)所述LSP報(bào)文對(duì)應(yīng)的路由設(shè)備進(jìn)行LSP確認(rèn);當(dāng)接收到攜帶了最大值序列號(hào)的LSP報(bào)文時(shí)��,獲取所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備是否經(jīng)過(guò)LSP確認(rèn)�����;如果經(jīng)過(guò)LSP確認(rèn)�����,則刪除所述攜帶了最大值序列號(hào)的LSP報(bào)文對(duì)應(yīng)的路由設(shè)備的LSP信息�。本發(fā)明中��,防止了序列號(hào)的攻擊�����,并保證路由設(shè)備的正常使用。
文檔編號(hào)H04L29/06GK101834855SQ201010146398
公開(kāi)日2010年9月15日 申請(qǐng)日期2010年4月14日 優(yōu)先權(quán)日2010年4月14日
發(fā)明者鄭有勇 申請(qǐng)人:杭州華三通信技術(shù)有限公司