[发明专利]一种基于OSPF路由协议的入侵防护方法和装置

权利要求书

1.一种基于OSPF路由协议的入侵防护方法，应用于路由器，其特征在于，所述路由器包括可信模块，所述可信模块用于基于可信计算平台进行自己所在的所述路由器进行可信计算得到对应的PCR值，所述路由器与可信第三方连接，所述可信第三方用于保存与其连接的各路由器通过可信计算得到的PCR值，所述方法包括：

当接收到LSU报文时，获取所述LSU报文的报文信息以及获取发送所述LSU报文的路由器的PCR值；在接入网络且作为攻击者的路由器无法进行可信计算得到PCR值的情况下，如果未从所述可信第三方获取到发送所述LSU报文的路由器的PCR值，丢弃所述LSU报文；

如果可以从所述可信第三方获取到发送所述LSU报文的路由器的PCR值，读取携带于所述LSU报文中的签名信息；其中，所述签名信息为发送所述LSU报文的路由器，基于自己的私钥对所述LSU报文的报头信息完成hash运算后得到的报头hash值与自己的PCR值一起进行hash运算后得到的签名hash值进行加密后得到的信息；

比较对所述LSU报文的报头信息完成hash运算后得到的报头hash值与发送所述LSU报文的路由器的PCR值一起进行hash运算后得到的验证hash值，与基于发送所述LSU报文的路由器的公钥对所述签名信息进行解密后得到的签名hash值是否相同；

如果不相同，将所述LSU报文丢弃；

当所述验证hash值与所述签名hash值相同时，基于所述LSU报文对本地的数据库中的LSA报文进行更新，以便于防范作为攻击者的路由器攻击本地的数据库中的LSA报文；其中，所述LSU报文中携带了LSA报文。

2.根据权利要求1所述的方法，其特征在于，所述获取发送所述LSU报文的路由器的PCR值，包括：

判断接收到的所述LSU报文是否为发送所述LSU报文的路由器首次发送的LSU报文；

如果是，从所述可信第三方获取发送所述LSU报文的路由器的PCR值；

如果否，从本地记录的若干路由器的PCR值中获取发送所述LSU报文的路由器的PCR值。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当生成LSU报文时，获取所述LSU报文的报头信息；

对所述LSU报文的报头信息进行hash运算得到报头hash值；

对所述报头hash值与自己的PCR值一起进行hash运算，得到签名hash值；

基于自己的私钥对所述签名hash值进行加密得到签名信息，并将所述签名信息携带于所述LSU报文后将发送所述LSU报文。

4.一种基于OSPF路由协议的入侵防护装置，应用于路由器，其特征在于，所述路由器包括可信模块，所述可信模块用于基于可信计算平台进行自己所在的所述路由器进行可信计算得到对应的PCR值，所述路由器与可信第三方连接，所述可信第三方用于保存与其连接的各路由器通过可信计算得到的PCR值，所述装置包括：

获取单元，用于当接收到LSU报文时，获取所述LSU报文的报文信息以及获取发送所述LSU报文的路由器的PCR值；在接入网络且作为攻击者的路由器无法进行可信计算得到PCR值的情况下，如果未从所述可信第三方获取到发送所述LSU报文的路由器的PCR值，丢弃所述LSU报文；

读取单元，用于如果可以从所述可信第三方获取到发送所述LSU报文的路由器的PCR值，读取携带于所述LSU报文中的签名信息；其中，所述签名信息为发送所述LSU报文的路由器，基于自己的私钥对所述LSU报文的报头信息完成hash运算后得到的报头hash值与自己的PCR值一起进行hash运算后得到的签名hash值进行加密后得到的信息；

比较单元，用于比较对所述LSU报文的报头信息完成hash运算后得到的报头hash值与发送所述LSU报文的路由器的PCR值一起进行hash运算后得到的验证hash值，与基于发送所述LSU报文的路由器的公钥对所述签名信息进行解密后得到的签名hash值是否相同；

丢弃单元，用于如果不相同，将所述LSU报文丢弃；当所述验证hash值与所述签名hash值相同时，基于所述LSU报文对本地的数据库中的LSA报文进行更新，以便于防范作为攻击者的路由器攻击本地的数据库中的LSA报文；其中，所述LSU报文中携带了LSA报文。