[发明专利]一种防止序列号攻击的方法和设备

权利要求书

1.一种防止序列号攻击的方法，应用于包括多个路由设备的系统中，各个路由设备之间通过LSP报文交互链路状态信息，所述LSP报文中携带了序列号，其特征在于，所述多个路由设备中包括第三方认证设备，且所述第三方认证设备中设置了针对序列号的认证域，所述方法包括以下步骤：

所述第三方认证设备接收各个路由设备向其他路由设备发送的LSP报文；根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认；并在需要进行LSP确认且LSP确认通过时，维护所述LSP报文对应的路由设备的LSP确认信息；

当各个路由设备接收到来自其他路由设备的携带了最大值序列号的LSP报文时，各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认；

如果经过LSP确认，则各个路由设备删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息；

如果没有经过LSP确认，则各个路由设备确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。

2.如权利要求1所述的方法，其特征在于，根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认，具体包括：

所述第三方认证设备判断所述LSP报文中携带的序列号是否在所述认证域的范围内；

如果在所述认证域的范围内，所述第三方认证设备确定对所述LSP报文对应的路由设备进行LSP确认；

如果不在所述认证域的范围内，所述第三方认证设备确定不需要对所述LSP报文对应的路由设备进行LSP确认。

3.如权利要求2所述的方法，其特征在于，所述第三方认证设备确定对所述LSP报文对应的路由设备进行LSP确认，之后还包括：

所述第三方认证设备向所述LSP报文对应的路由设备发送认证请求，所述认证请求中携带了所述LSP报文的信息；由所述LSP报文对应的路由设备根据所述LSP报文的信息判断所述LSP报文是否为自身所发送的，如果是，则向所述第三方认证设备发送确认报文，否则，向所述第三方认证设备发送否认报文；

如果所述第三方认证设备接收到来自所述LSP报文对应的路由设备的确认报文，则所述第三方认证设备确定所述LSP报文对应的路由设备的LSP确认通过；

如果所述第三方认证设备接收到来自所述LSP报文对应的路由设备的否认报文，则所述第三方认证设备确定所述LSP报文对应的路由设备的LSP确认不通过。

4.如权利要求1所述的方法，其特征在于，所述第三方认证设备中预先存储了确认列表；

维护所述LSP报文对应的路由设备的LSP确认信息，具体为：

如果所述LSP报文对应的路由设备的LSP确认通过，则所述第三方认证设备将所述LSP报文对应的路由设备的设备ID存储到所述确认列表；

各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认，具体包括：

所述第三方认证设备接收来自各个路由设备的设备ID信息，如果在所述确认列表中查找到所述设备ID信息对应的设备ID，则向各个路由设备发送经过LSP确认的回应报文，各个路由设备确定所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认；

如果在所述确认列表中没有查找到所述设备ID信息对应的设备ID，则向各个路由设备发送没有经过LSP确认的回应报文，各个路由设备确定所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认。