[发明专利]认证方法和路由器

说明书

本发明公开了一种认证方法和路由器，其中，该认证方法包括：接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息，第一数据信息包括：邻居路由器的身份证书和第一协议报文；根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。本发明的技术方案将原本单独进行的身份证书验证和协议报文验证整合为一个验证流程，同时在验证过程中仅需使用一套公私钥对，该认证方法能节省计算开销，提高验证效率。

技术领域

本发明涉及信息技术领域，特别涉及一种认证方法和路由器。

背景技术

开放最短路径优先(Open Shortest Path First，简称OSPF)是一种内部网关协议。该协议规定子网中的路由器包括：指定路由器(Designated Router，简称DR)、备份指定路由器(Back Designated Router，简称BDR)和非指定或备份指定路由器(Not DR or BDR，简称DR Other)。子网中所有路由器的连接状态数据库(Link state database简称LSDB)都是一致的，由DR产生表示该网络的连接状态宣告(Link state advertisement简称LSA)。子网中的路由器需要和DR交换LSDB信息，并由DR为该网络生成一个描述本网络的信息(Network LSA)，并由DR洪泛到子网中所有的路由器。子网中的路由器根据LSDB中的描述路由器节点的信息(Router LSA)和Network LSA，计算出以本端为根节点的最短路径树，并根据最短路径树计算出子网区域内所有的路由。

OSPF协议存在四种常见的攻击方式：hello报文攻击、最大年龄攻击、序列号+1攻击和最大序列号攻击，这四类攻击的本质均是通过修改协议报文中的字段来达到攻击目的。

目前对上述协议报文攻击手段进行防护的方法，主要是报文完整性验证。其中，协议报文完整性验证主要是通过数字签名的方法来实现。数字签名是指通过将协议报文中的一些关键字段先进行摘要值计算(即数字摘要)得到对应的数字摘要值，然后采用加密私钥对数字摘要值加密得到数字签名信息，最后将数字签名信息附加到协议报文中以发送至目标路由器。目标路由器接收到该协议报文和数字签名信息治好后，目标路由器先将协议报文的相同字段进行摘要值计算，并将计算出的数字摘要值与附加的数字签名信息经过解密经解密后得到的数字摘要值进行比较，如果两个摘要值一致，则说明协议报文在传输过程中没有被修改；如果两个摘要值不一致，则说明协议报文在传输过程中被修改过。数字签名方法安全性高，但是需要一定的计算开销。

此外，在一个含有可信第三方的可信网络环境中，当一个路由器设备接入可信网络时，需要经过可信第三方的接入认证，在通过接入认证之后，可信第三方会向该接入的路由器颁布一个身份证书。在可信网络中的不同路由器之间进行交互时，交互双方均需要验证对方的身份证书。

路由器设备和终端在通过接入认证并接入可信网络之后，由于无法保证其行为在接入后的可信，因此在可信网络中，仍然要防范中间人攻击，即需要针对路由器设备之间运行OSPF协议时的可能出现的攻击进行防护。所以在可信网络中运行OSPF协议时，两个通信的路由器不仅需要在初次交互时进行身份证书的验证，还需要在后序的某些时刻进行身份证书的验证。

在现有技术中，协议报文的验证和身份证书的验证为两个独立的验证过程。对应于这两个独立的验证过程，则需要设置两套验证流程和两对公私钥对。在执行上述两个独立验证流程时，路由器中的计算开销会相对较大，路由器的工作效率偏低。

发明内容

本发明提供一种认证方法和路由器，该认证方法能节省路由器的计算开销，提高路由器的验证效率。

为实现上述目的，本发明提供一种认证方法，包括：

接收邻居路由器发送的第一数据信息和所述第一数据信息对应的第一数字签名信息，所述第一数据信息包括：所述邻居路由器的身份证书和第一协议报文；