CN101834855A - 一种防止序列号攻击的方法和设备 - Google Patents
一种防止序列号攻击的方法和设备 Download PDFInfo
- Publication number
- CN101834855A CN101834855A CN201010146398A CN201010146398A CN101834855A CN 101834855 A CN101834855 A CN 101834855A CN 201010146398 A CN201010146398 A CN 201010146398A CN 201010146398 A CN201010146398 A CN 201010146398A CN 101834855 A CN101834855 A CN 101834855A
- Authority
- CN
- China
- Prior art keywords
- lsp
- routing device
- party
- message
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止序列号攻击的方法,包括以下步骤:第三方认证设备根据LSP报文中携带的序列号以及认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;当接收到携带了最大值序列号的LSP报文时,获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;如果经过LSP确认,则删除所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。本发明中,防止了序列号的攻击,并保证路由设备的正常使用。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种防止序列号攻击的方法和设备。
背景技术
IS-IS(Intermediate System-to-Intermediate System intra-domain routinginformation exchange protocol,中间系统到中间系统的域内路由信息交换协议)是ISO(International Organization for Standardization,国际标准化组织)为CLNP(ConnectionLess Network Protocol,无连接网络协议)设计的一种动态路由协议。而为了提供对IP(网际互连协议)的路由支持,IETF(Internet EngineeringTask Force,因特网工程任务组)对IS-IS进行了扩充和修改,使得IS-IS能够同时应用在TCP(Transmission Control Protocol,传输控制协议)/IP和OSI(Open System Interconnection,开放系统互联模型)环境中,称为集成化IS-IS(Integrated IS-IS或Dual IS-IS)。
具体的,IS-IS属于IGP(Interior Gateway Protocol,内部网关协议)协议,用于自治系统内部,且IS-IS是一种链路状态协议,通过使用SPF(Shortest PathFirst,最短路径优先)算法进行路由计算。其中,IS-IS路由协议的基本术语包括:
(1)IS(Intermediate System,中间系统),该IS相当于TCP/IP中的路由器,是IS-IS协议中生成路由和传播路由信息的基本单元。
(2)RD(Routing Domain,路由域),在一个路由域中的多个IS通过相同的路由协议来交换路由信息。
(3)Area(区域),路由域的细分单元,IS-IS允许将整个路由域分为多个区域。
(4)LSDB(Link State Database,链路状态数据库),网络内的所有链路状态组成了链路状态数据库,在每一个IS中都至少有一个LSDB。其中,IS能够使用SPF算法,并利用自身的LSDB来生成自身的路由。
(5)LSPDU(Link State Protocol Data Unit,链路状态协议数据单元),简称LSP。其中,在IS-IS中,每一个IS都会生成LSP,该LSP包含了本IS的所有链路状态信息,而每个IS将收集本区域内所有的LSP,并与本地生成的LSP构成自身的LSDB。
进一步的,IS-IS报文直接封装在数据链路帧中,包括以下报文类型:
(1)Hello报文,用于建立和维持邻接关系。
(2)LSP报文,用于交换链路状态信息。其中,每个LSP都有一个SequenceNumber(序列号),而该Sequence Number用于标识LSP的新旧情况,该Sequence Number越大,则说明该LSP越新。
(3)SNP(Sequence Number PDUs,时序报文)报文,用于确认邻居之间最新接收的LSP。
具体的,在IS-IS网络中,LSP的交互是通过LSP报文来实现的,各个路由设备都会形成一个LSP,该LSP中包含了本地所有链路的状态信息;然后封装为LSP报文发送到IS-IS邻居路由设备中;当邻居路由设备接收到该LSP报文后,需要通过LSP报文将该LSP信息扩散到其它邻居路由设备中。通过这样的洪泛机制,使得每个路由设备所形成的LSP信息,能够扩散到网络中的其他路由设备。
基于上述情况,在IS-IS网络中,每台路由设备都会学习到网络中所有路由设备所产生的LSP,进而了解这些路由设备的链路状态信息,从而能够根据SPF算法和各个路由设备的链路状态信息计算出到达目的地址所对应的路由信息。
现有技术中,当各个路由设备接收到来自邻居的LSP报文后,会将该LSP报文中包含的每条LSP信息与本地维护的LSP信息进行比较。
如果LSP报文中携带的LSP序列号比本地维护的LSP序列号小,则该路由设备认为本地维护的LSP比来自邻居的LSP新,此时,该路由设备不需要更新本地的LSP,并将本地的LSP通过LSP报文通知给邻居路由设备。
如果LSP报文中携带的LSP序列号比本地维护的LSP序列号大,则该路由设备认为来自邻居的LSP比本地维护的LSP新,此时,该路由设备需要更新本地的LSP,即需要将新的LSP更新到自身的LSPDB数据库中,然后发送新的LSP到所有邻居路由设备,而邻居路由设备将再扩散到其它邻居路由设备,以此类推。
综上可以看出,LSP的新旧是按照LSP序列号的大小来决定的,而LSP序列号大的就认为LSP是最新的。其中,当网络发生变化导致路由需要重新进行计算,或路由器定时刷新时,都产生较新的LSP。
在现有的IS-IS协议中规定,LSP序列号使用一个32bit长度来表示,按照30秒更新一次LSP来计算,从1到最大值,需要几百年时间。如果有一台路由设备(例如,路由设备A),将最大值的LSP序列号发送到网络时,网络中的路由设备接收到对应的LSP报文后,会将路由设备A对应的LSP删除,并将该具有最大值LSP序列号的LSP报文扩散到其它路由设备中。
因此,网络中的所有路由设备都会删除路由设备A的LSP,而为了让网络中的所有路由设备均有充分的时间来删除路由设备A的LSP,需要网络中的所有路由设备在预设时间(例如,21分钟)内不处理路由设备A所产生的任何LSP。
但是,在采用上述方法来删除路由设备A的LSP时,并没有一种保护措施。例如,路由设备A本身不需要网络中的其他路由设备删除该路由设备A的LSP,而有攻击者仿冒路由设备A来发送具有最大值LSP序列号的LSP报文时,则网络中的所有路由设备都会删除路由设备A的LSP,并在预设时间内不处理路由设备A所产生的任何LSP,从而导致路由设备A在网络中一直处于不可见状态,继而导致该路由设备不能够可用。
发明内容
本发明提供一种防止序列号攻击的方法和设备,以防止序列号攻击,保证路由设备的正常使用。
为了达到上述目的,本发明提出了一种防止序列号攻击的方法,应用于包括多个路由设备的系统中,各个路由设备之间通过LSP报文交互链路状态信息,所述LSP报文中携带了序列号,所述多个路由设备中包括第三方认证设备,且所述第三方认证设备中设置了针对序列号的认证域,所述方法包括以下步骤:
所述第三方认证设备接收各个路由设备向其他路由设备发送的LSP报文;根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;并在需要进行LSP确认且LSP确认通过时,维护所述LSP报文对应的路由设备的LSP确认信息;
当各个路由设备接收到来自其他路由设备的携带了最大值序列号的LSP报文时,各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;
如果经过LSP确认,则各个路由设备删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;
如果没有经过LSP确认,则各个路由设备确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认,具体包括:
所述第三方认证设备判断所述LSP报文中携带的序列号是否在所述认证域的范围内;
如果在所述认证域的范围内,所述第三方认证设备确定对所述LSP报文对应的路由设备进行LSP确认;
如果不在所述认证域的范围内,所述第三方认证设备确定不需要对所述LSP报文对应的路由设备进行LSP确认。
所述第三方认证设备确定对所述LSP报文对应的路由设备进行LSP确认,之后还包括:
所述第三方认证设备向所述LSP报文对应的路由设备发送认证请求,所述认证请求中携带了所述LSP报文的信息;由所述LSP报文对应的路由设备根据所述LSP报文的信息判断所述LSP报文是否为自身所发送的,如果是,则向所述第三方认证设备发送确认报文,否则,向所述第三方认证设备发送否认报文;
如果所述第三方认证设备接收到来自所述LSP报文对应的路由设备的确认报文,则所述第三方认证设备确定所述LSP报文对应的路由设备的LSP确认通过;
如果所述第三方认证设备接收到来自所述LSP报文对应的路由设备的否认报文,则所述第三方认证设备确定所述LSP报文对应的路由设备的LSP确认不通过。
所述第三方认证设备中预先存储了确认列表;
维护所述LSP报文对应的路由设备的LSP确认信息,具体为:
如果所述LSP报文对应的路由设备的LSP确认通过,则所述第三方认证设备将所述LSP报文对应的路由设备的设备ID存储到所述确认列表;
各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认,具体包括:
所述第三方认证设备接收来自各个路由设备的设备ID信息,如果在所述确认列表中查找到所述设备ID信息对应的设备ID,则向各个路由设备发送经过LSP确认的回应报文,各个路由设备确定所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认;
如果在所述确认列表中没有查找到所述设备ID信息对应的设备ID,则向各个路由设备发送没有经过LSP确认的回应报文,各个路由设备确定所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认。
所述多个路由设备中还包括所述第三方认证设备的认证设备,且所述第三方认证设备的认证设备同样设置了认证域;所述方法还包括:
所述第三方认证设备的认证设备接收所述第三方认证设备向其他路由设备发送的LSP报文;根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述第三方认证设备进行LSP确认;并在需要进行LSP确认且LSP确认通过时,维护所述第三方认证设备的LSP确认信息;
当各个路由设备接收到来自所述第三方认证设备的携带了最大值序列号的LSP报文时,各个路由设备从所述第三方认证设备的认证设备中获取所述第三方认证设备是否经过LSP确认;
如果经过LSP确认,则各个路由设备删除自身存储的所述第三方认证设备的LSP信息;
如果没有经过LSP确认,则各个路由设备确定不需要删除自身存储的所述第三方认证设备的LSP信息。
一种防止序列号攻击的设备,应用于包括多个路由设备的系统中,各个路由设备之间通过LSP报文交互链路状态信息,所述LSP报文中携带了序列号,所述多个路由设备中包括第三方认证设备,且所述第三方认证设备中设置了针对序列号的认证域,该设备进一步包括:收发模块,判断模块和处理模块,所述收发模块和所述判断模块连接,所述处理模块与所述判断模块连接,其中,
当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述收发模块,用于接收各个路由设备向其他路由设备发送的LSP报文;并接收各个路由设备向其他路由设备发送的携带了最大值序列号的LSP报文;
所述判断模块,用于根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;并根据LSP确认信息判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;
所述处理模块,用于在需要进行LSP确认且LSP确认通过时,维护所述LSP报文对应的路由设备的LSP确认信息;并在所述判断模块的判断结果为所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认时,删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;在所述判断模块的判断结果为所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认时,确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;
当所述防止序列号攻击的设备不作为所述第三方认证设备时,
所述收发模块,用于接收各个路由设备向其他路由设备发送的携带了最大值序列号的LSP报文;
所述判断模块,用于从所述第三方认证设备中判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;
所述处理模块,用于当所述判断模块的判断结果为经过LSP确认时,删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;当所述判断模块的判断结果为没有经过LSP确认,确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述判断模块具体用于,判断所述LSP报文中携带的序列号是否在所述认证域的范围内;如果在所述认证域的范围内,则确定对所述LSP报文对应的路由设备进行LSP确认;如果不在所述认证域的范围内,则确定不需要对所述LSP报文对应的路由设备进行LSP确认。
当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述收发模块还用于,向所述LSP报文对应的路由设备发送认证请求,所述认证请求中携带了所述LSP报文的信息;由所述LSP报文对应的路由设备根据所述LSP报文的信息判断所述LSP报文是否为自身所发送的,如果是,则向所述第三方认证设备发送确认报文,否则,向所述第三方认证设备发送否认报文;
并接收来自所述LSP报文对应的路由设备的确认报文或者接收来自所述LSP报文对应的路由设备的否认报文;
所述判断模块还用于,如果接收到来自所述LSP报文对应的路由设备的确认报文时,则确定所述LSP报文对应的路由设备的LSP确认通过;如果接收到来自所述LSP报文对应的路由设备的否认报文时,则确定所述LSP报文对应的路由设备的LSP确认不通过。
所述第三方认证设备中预先存储了确认列表;
当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述处理模块还用于,如果所述LSP报文对应的路由设备的LSP确认通过,则将所述LSP报文对应的路由设备的设备ID存储到所述确认列表;
所述收发模块还用于,接收来自各个路由设备的设备ID信息,并当在所述确认列表中查找到所述设备ID信息对应的设备ID时,向各个路由设备发送经过LSP确认的回应报文;当在所述确认列表中没有查找到所述设备ID信息对应的设备ID时,向各个路由设备发送没有经过LSP确认的回应报文;
当所述防止序列号攻击的设备不作为所述第三方认证设备时,
所述收发模块还用于,向所述第三方认证设备发送设备ID信息;并接收来自所述第三方认证设备的经过LSP确认的回应报文,或者,没有经过LSP确认的回应报文;
所述判断模块还用于,当接收到经过LSP确认的回应报文时,判断所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认;当接收到没有经过LSP确认的回应报文时,判断所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认。
所述多个路由设备中还包括所述第三方认证设备的认证设备,且所述第三方认证设备的认证设备同样设置了认证域;
当所述防止序列号攻击的设备作为所述第三方认证设备的认证设备时,
所述收发模块,用于接收所述第三方认证设备向其他路由设备发送的LSP报文;并接收所述第三方认证设备向其他路由设备发送的携带了最大值序列号的LSP报文;
所述判断模块,用于根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述第三方认证设备进行LSP确认;并根据LSP确认信息判断所述第三方认证设备是否经过LSP确认;
所述处理模块,用于在需要进行LSP确认且LSP确认通过时,维护所述第三方认证设备的LSP确认信息;并在所述判断模块的判断结果为所述第三方认证设备经过LSP确认时,删除自身存储的所述第三方认证设备的LSP信息;在所述判断模块的判断结果为所述第三方认证设备没有经过LSP确认时,确定不需要删除自身存储的所述第三方认证设备的LSP信息。
与现有技术相比,本发明具有以下优点:
通过第三方认证设备对各个路由设备进行认证,只有当路由设备通过认证时,才会对该路由设备的携带了最大值序列号的LSP报文进行处理,而当路由设备没有通过认证时,不会对该路由设备的携带了最大值序列号的LSP报文进行处理,从而解决攻击者仿冒路由设备发送最大值序列号的LSP报文导致路由设备不能正常使用的情况,防止了序列号的攻击,并保证路由设备的正常使用。
附图说明
图1为本发明提出的一种防止序列号攻击的方法流程图;
图2为本发明提出的一种防止序列号攻击的设备的结构图。
具体实施方式
本发明中,通过第三方认证设备对各个路由设备进行认证,只有当路由设备通过认证时,才会对该路由设备的携带了最大值序列号的LSP报文进行处理,而当路由设备没有通过认证时,不会对该路由设备的携带了最大值序列号的LSP报文进行处理,从而解决攻击者仿冒路由设备发送最大值序列号的LSP报文导致路由设备不能正常使用的情况,防止了序列号的攻击,并保证路由设备的正常使用。
基于上述思想,本发明中提供一种防止序列号攻击的方法,应用于包括多个路由设备的系统中,各个路由设备之间通过LSP报文交互链路状态信息,所述LSP报文中携带了序列号,所述多个路由设备中包括第三方认证设备,且所述第三方认证设备中设置了针对序列号的认证域,如图1所示,该方法包括以下步骤:
步骤101,所述第三方认证设备接收各个路由设备向其他路由设备发送的LSP报文;根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;并在需要进行LSP确认且LSP确认通过时,维护所述LSP报文对应的路由设备的LSP确认信息。
步骤102,当各个路由设备接收到来自其他路由设备的携带了最大值序列号的LSP报文时,各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认。如果经过LSP确认,转到步骤103,如果没有经过LSP确认,转到步骤104。
步骤103,各个路由设备删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息
步骤104,各个路由设备确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
为了更加清楚的说明本发明提供的技术方案,以下结合一种具体的应用场景,对本发明提供的技术方案进行详细阐述。本应用场景下,包括了多个路由设备,分别为路由设备A、路由设备B、路由设备C、路由设备D、路由设备E、路由设备F、路由设备G。
需要注意的是,在多个路由设备中,可以静态选择其中一个路由设备为第三方认证设备,也可以动态选择(例如,选择设备ID最小的路由设备)其中一个路由设备为第三方认证设备,本发明中以路由设备A为第三方认证设备为例进行说明。
具体的,在第三方认证设备中需要设置针对序列号的认证域,该认证域为根据实际需要由运营商进行选择的,例如,运营商将范围(序列号最大值-1000,序列号最大值-500)设置为一个认证域,其中,运营商需要将该认证域的信息通知给各个路由设备,而在路由设备A中,需要维护该认证域。
在IS-IS协议中,各个路由设备之间需要通过LSP报文交互链路状态信息,当链路状态信息发生变化时,则对应的路由设备需要重新向其他路由设备发送LSP报文,而该LSP报文中携带了序列号,而序列号的大小表示LSP报文的新旧。
由于各个路由设备向其他路由设备发送的LSP报文是通过洪泛机制进行扩散的,所以第三方认证设备能够接收到各个路由设备向其他路由设备发送的LSP报文。例如,对于路由设备C发送的LSP报文,路由设备A能够接收到该路由设备C发送的LSP报文。
当接收到该路由设备C发送的LSP报文时,该路由设备A需要根据该LSP报文中携带的序列号以及认证域判断是否对路由设备C进行LSP确认;其中,该路由设备A需要判断该LSP报文中携带的序列号是否在认证域的范围内;如果在认证域的范围内,路由设备A确定需要对路由设备C进行LSP确认;如果不在认证域的范围内,路由设备A确定不需要对路由设备C进行LSP确认。例如,LSP报文中携带的序列号为10,认证域为(100-120),则不需要对路由设备C进行LSP确认。
具体的,当路由设备A确定需要对路由设备C进行LSP确认时,该路由设备A需要向路由设备C发送认证请求,该认证请求中携带了LSP报文的信息。而路由设备C接收到该认证请求后,需要根据该LSP报文的信息判断该LSP报文是否为路由设备C自身所发送的,如果是时,则路由设备C需要向路由设备A发送确认报文,否则,路由设备C需要向路由设备A发送否认报文。当路由设备A接收到来自路由设备C的确认报文时,则路由设备A确定路由设备C的LSP确认通过;当路由设备A接收到来自路由设备C的否认报文时,则路由设备A确定路由设备C的LSP确认不通过。
进一步的,路由设备C的LSP确认通过时,该路由设备A还需要维护该路由设备C的LSP确认信息。例如,在路由设备A中预先存储确认列表,该确认列表用于存储所有LSP确认通过的设备ID信息。当路由设备C的LSP确认通过时,则路由设备A将路由设备C的设备ID(C)存储到该确认列表。而当确认列表中存储了路由设备C的设备ID时,后续过程中,如果路由设备A再次接收到来自路由设备C的LSP报文,则不再需要对路由设备C进行LSP确认。
另外,由于各个路由设备向其他路由设备发送的LSP报文是通过洪泛机制进行扩散的,所以,当有路由设备向其他设备发送了携带了最大值序列号的LSP报文时,各个路由设备(包括第三方认证设备和非第三方认证设备)均能够接收到该携带了最大值序列号的LSP报文,本应用场景下,以路由设备C向其他路由设备发送携带了最大值序列号的LSP报文为例进行说明。
当路由设备A接收到该携带了最大值序列号的LSP报文时,根据自身维护的确认列表,能够直接判断该路由设备C是否经过LSP确认,即当确认列表中具有路由设备C的设备ID时,则路由设备C经过LSP确认,否则,路由设备C没有经过LSP确认。
当其他非第三方认证设备(例如,路由设备D)接收到该携带了最大值序列号的LSP报文时,该路由设备D需要从路由设备A中获取该路由设备C是否经过LSP确认。其中,当路由设备D接收到来自路由设备C的携带了最大值序列号的LSP报文后,需要将路由设备C的设备ID发送给路由设备A,而路由设备A能够接收来自路由设备D的设备ID(路由设备C)信息,并根据该设备ID信息查找确认列表。如果在确认列表中查找到该设备ID信息对应的设备ID,则路由设备A向路由设备D发送路由设备C经过LSP确认的回应报文,此时,路由设备D确定路由设备C经过LSP确认;如果在确认列表中没有查找到该设备ID信息对应的设备ID,则路由设备A向路由设备D发送路由设备C没有经过LSP确认的回应报文,此时,路由设备D确定路由设备C没有经过LSP确认。
进一步的,当路由设备A和路由设备D接收到来自路由设备C的携带了最大值序列号的LSP报文时,如果路由设备C经过LSP确认,则路由设备A和路由设备D需要删除自身存储的路由设备C的LSP信息;如果路由设备C没有经过LSP确认,则路由设备A和路由设备D确定不需要删除自身存储的路由设备C的LSP信息。
基于上述情况,通过设置一个认证域,对于序列号在达到最大值之前的某个认证域内的LSP报文,第三方认证设备进行相应的认证,从而能够有效的防止最大值序列号的攻击。
例如,将认证域的范围设置一个比较靠近序列号最大值的范围(序列号最大值-1000,序列号最大值-500),在正常情况下,各个路由设备发送的LSP报文中携带的序列号都不会到达该认证域的范围,因此,各个路由设备都不会需要进行LSP确认,也不会在确认列表中有相应的记录。
因此,如果某个攻击者仿冒路由设备(例如,路由设备C)发送携带了最大值序列号的LSP报文时,则由于路由设备C还没有经过LSP确认,则确认列表中不会存在路由设备C的设备ID,则各个路由设备不需要删除自身存储的路由设备C的LSP信息,从而防止了攻击者仿冒路由设备C的攻击,保证了路由设备C的正常使用。
如果路由设备(例如,路由设备C)自身需要发送携带了最大值序列号的LSP报文时,由于路由设备C自身知道认证域的范围(运营商提前通知给各个合法的路由设备),该路由设备C能够先发送一个序列号在认证域范围内的LSP报文,之后发送携带了最大值序列号的LSP报文,此时,由于路由设备C已经经过LSP确认,则确认列表中存在路由设备C的设备ID,则各个路由设备需要删除自身存储的路由设备C的LSP信息,从而保证了路由设备C的正常使用。
需要说明的是,上述处理过程是路由设备A作为第三方认证设备进行相应处理的,但是,在实际应用中,还需要对路由设备A进行相关的认证过程。此时,还需要为路由设备A指定一个认证设备(即第三方认证设备的认证设备),以路由设备B为该认证设备为例进行说明,同样的,该路由设备B中也设置了认证域。
具体的,路由设备B接收到路由设备A发送的LSP报文时,该路由设备B需要根据该LSP报文中携带的序列号以及认证域判断是否对路由设备A进行LSP确认;其中,该路由设备B需要判断该LSP报文中携带的序列号是否在认证域的范围内;如果在认证域的范围内,路由设备B确定需要对路由设备A进行LSP确认;如果不在认证域的范围内,路由设备B确定不需要对路由设备A进行LSP确认。
当路由设备B确定需要对路由设备A进行LSP确认时,该路由设备B需要向路由设备A发送认证请求,而路由设备A接收到该认证请求后,需要判断该LSP报文是否为路由设备A自身所发送的,如果是时,则路由设备A需要向路由设备B发送确认报文,否则,路由设备A需要向路由设备B发送否认报文。当路由设备B接收到来自路由设备A的确认报文时,则路由设备B确定路由设备A的LSP确认通过;当路由设备B接收到来自路由设备A的否认报文时,则路由设备B确定路由设备A的LSP确认不通过。当路由设备A的LSP确认通过时,该路由设备B还需要维护该路由设备A的LSP确认信息。
进一步的,当路由设备A向其他设备发送了携带了最大值序列号的LSP报文时,各个路由设备均能够接收到该携带了最大值序列号的LSP报文,路由设备B接收到该携带了最大值序列号的LSP报文时,根据自身维护的确认列表,能够直接判断该路由设备A是否经过LSP确认;而其他路由设备(例如,路由设备D)接收到该携带了最大值序列号的LSP报文时,该路由设备D需要从路由设备B中获取该路由设备A是否经过LSP确认。
如果路由设备A经过LSP确认,则路由设备B和路由设备D需要删除自身存储的路由设备A的LSP信息;如果路由设备A没有经过LSP确认,则路由设备B和路由设备D确定不需要删除自身存储的路由设备A的LSP信息。
在一般情况下,由于认证域的范围比较靠近序列号最大值,不会出现大量需要认证的情况出现,所以使用一个第三方认证设备就能够满足各个路由设备的需求。
但是,在实际应用中,攻击者可能会发送大量携带了最大值序列号的LSP报文,此时,所以的路由设备均会向第三方认证设备(路由设备A)查询该携带了最大值序列号的LSP报文对应的路由设备是否在确认列表中,从而使得第三方认证设备负载过重。而为了保证第三方认证设备不会因为突发性的大量咨询报文(即查询该携带了最大值序列号的LSP报文对应的路由设备是否在确认列表中的报文)而负载过重,本发明中,还可以设置多个第三方认证设备。例如,将路由设备E和路由设备F同样设置为第三方认证设备。
基于这种情况,当接收到携带了最大值序列号的LSP报文时,各个路由设备可以根据自身的ID来进行hash计算,并根据hash计算的结果确定需要到哪台第三方认证设备查询该携带了最大值序列号的LSP报文对应的路由设备是否在确认列表中。例如,路由设备B经过hash计算确定需要到路由设备A中进行查询,路由设备C经过hash计算确定需要到路由设备E中进行查询,路由设备D经过hash计算确定需要到路由设备F中进行查询。按照这种方式,可以使得网络中的多台路由设备分担突发性的大量咨询报文,以减轻突发性的过载。
可以看出,在设置了多个第三方认证设备的情况下,对于第三方认证设备的认证,可以直接由其他第三方认证设备进行认证,例如,如果路由设备A的LSP序列号到达了认证域,则由路由设备E和/或路由设备F对路由设备A进行认证。
如果非认证设备(例如,路由设备C)接收到来自路由设备A的携带了最大值序列号的LSP报文时,则需要到路由设备E和/或路由设备F中进行查询,如果路由设备A已经通过LSP确认,则需要删除路由设备A的LSP信息;如果路由设备A没有通过LSP确认,则不需要删除路由设备A的LSP信息,直接丢弃该LSP对应的报文。
非认证设备(例如,路由设备C)在删除了路由设备A的LSP信息的期间(即路由设备A进行翻转的期间)内,是不能接收路由设备A的LSP报文的,该路由设备A对于其他路由设备来说,处于消失阶段。在这个时间段内,非认证设备需要到路由设备E和/或路由设备F中进行相关的查询。一直到路由设备A恢复后,非认证设备才能够到路由设备A中进行相关的查询。
需要说明的是,在本发明中,如果路由设备A被撤销了,则网络中将不再有路由设备A的存在。在这种情况下,可以设置一个定时器,在该定时器到达后,网络中所有路由设备将重新选举第三方认证设备,本发明中不再详加赘述。
基于与上述方法同样的发明构思,本发明还提出了一种防止序列号攻击的设备,应用于包括多个路由设备的系统中,各个路由设备之间通过LSP报文交互链路状态信息,所述LSP报文中携带了序列号,所述多个路由设备中包括第三方认证设备,且所述第三方认证设备中设置了针对序列号的认证域,如图2所示,该设备进一步包括:收发模块10,判断模块20和处理模块30,所述收发模块10和所述判断模块20连接,所述处理模块30与所述判断模块20连接,其中,
所述收发模块10,当所述防止序列号攻击的设备作为所述第三方认证设备时,用于接收各个路由设备向其他路由设备发送的LSP报文;并接收各个路由设备向其他路由设备发送的携带了最大值序列号的LSP报文。
在确定需要对所述LSP报文对应的路由设备进行LSP确认时,所述收发模块10需要向所述LSP报文对应的路由设备发送认证请求,所述认证请求中携带了所述LSP报文的信息;由所述LSP报文对应的路由设备根据所述LSP报文的信息判断所述LSP报文是否为自身所发送的,如果是,则向所述第三方认证设备发送确认报文,否则,向所述第三方认证设备发送否认报文;在所述LSP报文对应的路由设备回应后,所述收发模块10接收来自所述LSP报文对应的路由设备的确认报文或者接收来自所述LSP报文对应的路由设备的否认报文。
需要说明的是,所述第三方认证设备中预先存储了确认列表;所述收发模块10还用于接收来自各个路由设备的设备ID信息,并当在所述确认列表中查找到所述设备ID信息对应的设备ID时,向各个路由设备发送经过LSP确认的回应报文;当在所述确认列表中没有查找到所述设备ID信息对应的设备ID时,向各个路由设备发送没有经过LSP确认的回应报文。
当所述防止序列号攻击的设备不作为所述第三方认证设备时,所述收发模块10用于接收各个路由设备向其他路由设备发送的携带了最大值序列号的LSP报文。当接收到携带了最大值序列号的LSP报文时,所述收发模块10还用于向所述第三方认证设备发送设备ID信息(携带了最大值序列号的LSP报文对应的设备ID信息);并接收来自所述第三方认证设备的经过LSP确认的回应报文,或者,没有经过LSP确认的回应报文。
所述多个路由设备中还包括所述第三方认证设备的认证设备,且所述第三方认证设备的认证设备同样设置了认证域;当所述防止序列号攻击的设备作为所述第三方认证设备的认证设备时,所述收发模块10用于接收所述第三方认证设备向其他路由设备发送的LSP报文;并接收所述第三方认证设备向其他路由设备发送的携带了最大值序列号的LSP报文。
所述判断模块20,当所述防止序列号攻击的设备作为所述第三方认证设备时,用于根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;并根据LSP确认信息判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认。
在判断是否需要对所述LSP报文对应的路由设备进行LSP确认的过程中,所述判断模块20具体用于判断所述LSP报文中携带的序列号是否在所述认证域的范围内;如果在所述认证域的范围内,则确定对所述LSP报文对应的路由设备进行LSP确认;如果不在所述认证域的范围内,则确定不需要对所述LSP报文对应的路由设备进行LSP确认。
在对所述LSP报文对应的路由设备进行LSP确认的过程中,所述判断模块20用于如果接收到来自所述LSP报文对应的路由设备的确认报文时,则确定所述LSP报文对应的路由设备的LSP确认通过;如果接收到来自所述LSP报文对应的路由设备的否认报文时,则确定所述LSP报文对应的路由设备的LSP确认不通过。
当所述防止序列号攻击的设备不作为所述第三方认证设备时,所述判断模块20用于从所述第三方认证设备中判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认。
在判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认的过程中,所述判断模块20还用于当接收到经过LSP确认的回应报文时,判断所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认;当接收到没有经过LSP确认的回应报文时,判断所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认。
当所述防止序列号攻击的设备作为所述第三方认证设备的认证设备时,所述判断模块20用于根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述第三方认证设备进行LSP确认;并根据LSP确认信息判断所述第三方认证设备是否经过LSP确认。
所述处理模块30,当所述防止序列号攻击的设备作为所述第三方认证设备时,用于在需要进行LSP确认且LSP确认通过时,维护所述LSP报文对应的路由设备的LSP确认信息;并在所述判断模块20的判断结果为所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认时,删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;在所述判断模块20的判断结果为所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认时,确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
所述第三方认证设备中预先存储了确认列表;所述处理模块30还用于如果所述LSP报文对应的路由设备的LSP确认通过,则将所述LSP报文对应的路由设备的设备ID存储到所述确认列表。
当所述防止序列号攻击的设备不作为所述第三方认证设备时,所述处理模块30用于当所述判断模块20的判断结果为经过LSP确认时,删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;当所述判断模块20的判断结果为没有经过LSP确认,确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
当所述防止序列号攻击的设备作为所述第三方认证设备的认证设备时,所述处理模块30用于在需要进行LSP确认且LSP确认通过时,维护所述第三方认证设备的LSP确认信息;并在所述判断模块的判断结果为所述第三方认证设备经过LSP确认时,删除自身存储的所述第三方认证设备的LSP信息;在所述判断模块的判断结果为所述第三方认证设备没有经过LSP确认时,确定不需要删除自身存储的所述第三方认证设备的LSP信息。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种防止序列号攻击的方法,应用于包括多个路由设备的系统中,各个路由设备之间通过LSP报文交互链路状态信息,所述LSP报文中携带了序列号,其特征在于,所述多个路由设备中包括第三方认证设备,且所述第三方认证设备中设置了针对序列号的认证域,所述方法包括以下步骤:
所述第三方认证设备接收各个路由设备向其他路由设备发送的LSP报文;根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;并在需要进行LSP确认且LSP确认通过时,维护所述LSP报文对应的路由设备的LSP确认信息;
当各个路由设备接收到来自其他路由设备的携带了最大值序列号的LSP报文时,各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;
如果经过LSP确认,则各个路由设备删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;
如果没有经过LSP确认,则各个路由设备确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
2.如权利要求1所述的方法,其特征在于,根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认,具体包括:
所述第三方认证设备判断所述LSP报文中携带的序列号是否在所述认证域的范围内;
如果在所述认证域的范围内,所述第三方认证设备确定对所述LSP报文对应的路由设备进行LSP确认;
如果不在所述认证域的范围内,所述第三方认证设备确定不需要对所述LSP报文对应的路由设备进行LSP确认。
3.如权利要求2所述的方法,其特征在于,所述第三方认证设备确定对所述LSP报文对应的路由设备进行LSP确认,之后还包括:
所述第三方认证设备向所述LSP报文对应的路由设备发送认证请求,所述认证请求中携带了所述LSP报文的信息;由所述LSP报文对应的路由设备根据所述LSP报文的信息判断所述LSP报文是否为自身所发送的,如果是,则向所述第三方认证设备发送确认报文,否则,向所述第三方认证设备发送否认报文;
如果所述第三方认证设备接收到来自所述LSP报文对应的路由设备的确认报文,则所述第三方认证设备确定所述LSP报文对应的路由设备的LSP确认通过;
如果所述第三方认证设备接收到来自所述LSP报文对应的路由设备的否认报文,则所述第三方认证设备确定所述LSP报文对应的路由设备的LSP确认不通过。
4.如权利要求1所述的方法,其特征在于,所述第三方认证设备中预先存储了确认列表;
维护所述LSP报文对应的路由设备的LSP确认信息,具体为:
如果所述LSP报文对应的路由设备的LSP确认通过,则所述第三方认证设备将所述LSP报文对应的路由设备的设备ID存储到所述确认列表;
各个路由设备从所述第三方认证设备中获取所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认,具体包括:
所述第三方认证设备接收来自各个路由设备的设备ID信息,如果在所述确认列表中查找到所述设备ID信息对应的设备ID,则向各个路由设备发送经过LSP确认的回应报文,各个路由设备确定所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认;
如果在所述确认列表中没有查找到所述设备ID信息对应的设备ID,则向各个路由设备发送没有经过LSP确认的回应报文,各个路由设备确定所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认。
5.如权利要求1-4任一项所述的方法,其特征在于,所述多个路由设备中还包括所述第三方认证设备的认证设备,且所述第三方认证设备的认证设备同样设置了认证域;所述方法还包括:
所述第三方认证设备的认证设备接收所述第三方认证设备向其他路由设备发送的LSP报文;根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述第三方认证设备进行LSP确认;并在需要进行LSP确认且LSP确认通过时,维护所述第三方认证设备的LSP确认信息;
当各个路由设备接收到来自所述第三方认证设备的携带了最大值序列号的LSP报文时,各个路由设备从所述第三方认证设备的认证设备中获取所述第三方认证设备是否经过LSP确认;
如果经过LSP确认,则各个路由设备删除自身存储的所述第三方认证设备的LSP信息;
如果没有经过LSP确认,则各个路由设备确定不需要删除自身存储的所述第三方认证设备的LSP信息。
6.一种防止序列号攻击的设备,应用于包括多个路由设备的系统中,各个路由设备之间通过LSP报文交互链路状态信息,所述LSP报文中携带了序列号,其特征在于,所述多个路由设备中包括第三方认证设备,且所述第三方认证设备中设置了针对序列号的认证域,该设备进一步包括:收发模块,判断模块和处理模块,所述收发模块和所述判断模块连接,所述处理模块与所述判断模块连接,其中,
当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述收发模块,用于接收各个路由设备向其他路由设备发送的LSP报文;并接收各个路由设备向其他路由设备发送的携带了最大值序列号的LSP报文;
所述判断模块,用于根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述LSP报文对应的路由设备进行LSP确认;并根据LSP确认信息判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;
所述处理模块,用于在需要进行LSP确认且LSP确认通过时,维护所述LSP报文对应的路由设备的LSP确认信息;并在所述判断模块的判断结果为所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认时,删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;在所述判断模块的判断结果为所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认时,确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;
当所述防止序列号攻击的设备不作为所述第三方认证设备时,
所述收发模块,用于接收各个路由设备向其他路由设备发送的携带了最大值序列号的LSP报文;
所述判断模块,用于从所述第三方认证设备中判断所述携带了最大值序列号的LSP报文对应的路由设备是否经过LSP确认;
所述处理模块,用于当所述判断模块的判断结果为经过LSP确认时,删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息;当所述判断模块的判断结果为没有经过LSP确认,确定不需要删除自身存储的所述携带了最大值序列号的LSP报文对应的路由设备的LSP信息。
7.如权利要求6所述的设备,其特征在于,当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述判断模块具体用于,判断所述LSP报文中携带的序列号是否在所述认证域的范围内;如果在所述认证域的范围内,则确定对所述LSP报文对应的路由设备进行LSP确认;如果不在所述认证域的范围内,则确定不需要对所述LSP报文对应的路由设备进行LSP确认。
8.如权利要求7所述的设备,其特征在于,当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述收发模块还用于,向所述LSP报文对应的路由设备发送认证请求,所述认证请求中携带了所述LSP报文的信息;由所述LSP报文对应的路由设备根据所述LSP报文的信息判断所述LSP报文是否为自身所发送的,如果是,则向所述第三方认证设备发送确认报文,否则,向所述第三方认证设备发送否认报文;
并接收来自所述LSP报文对应的路由设备的确认报文或者接收来自所述LSP报文对应的路由设备的否认报文;
所述判断模块还用于,如果接收到来自所述LSP报文对应的路由设备的确认报文时,则确定所述LSP报文对应的路由设备的LSP确认通过;如果接收到来自所述LSP报文对应的路由设备的否认报文时,则确定所述LSP报文对应的路由设备的LSP确认不通过。
9.如权利要求6所述的设备,其特征在于,所述第三方认证设备中预先存储了确认列表;
当所述防止序列号攻击的设备作为所述第三方认证设备时,
所述处理模块还用于,如果所述LSP报文对应的路由设备的LSP确认通过,则将所述LSP报文对应的路由设备的设备ID存储到所述确认列表;
所述收发模块还用于,接收来自各个路由设备的设备ID信息,并当在所述确认列表中查找到所述设备ID信息对应的设备ID时,向各个路由设备发送经过LSP确认的回应报文;当在所述确认列表中没有查找到所述设备ID信息对应的设备ID时,向各个路由设备发送没有经过LSP确认的回应报文;
当所述防止序列号攻击的设备不作为所述第三方认证设备时,
所述收发模块还用于,向所述第三方认证设备发送设备ID信息;并接收来自所述第三方认证设备的经过LSP确认的回应报文,或者,没有经过LSP确认的回应报文;
所述判断模块还用于,当接收到经过LSP确认的回应报文时,判断所述携带了最大值序列号的LSP报文对应的路由设备经过LSP确认;当接收到没有经过LSP确认的回应报文时,判断所述携带了最大值序列号的LSP报文对应的路由设备没有经过LSP确认。
10.如权利要求6-9任一项所述的设备,其特征在于,所述多个路由设备中还包括所述第三方认证设备的认证设备,且所述第三方认证设备的认证设备同样设置了认证域;
当所述防止序列号攻击的设备作为所述第三方认证设备的认证设备时,
所述收发模块,用于接收所述第三方认证设备向其他路由设备发送的LSP报文;并接收所述第三方认证设备向其他路由设备发送的携带了最大值序列号的LSP报文;
所述判断模块,用于根据所述LSP报文中携带的序列号以及所述认证域判断是否对所述第三方认证设备进行LSP确认;并根据LSP确认信息判断所述第三方认证设备是否经过LSP确认;
所述处理模块,用于在需要进行LSP确认且LSP确认通过时,维护所述第三方认证设备的LSP确认信息;并在所述判断模块的判断结果为所述第三方认证设备经过LSP确认时,删除自身存储的所述第三方认证设备的LSP信息;在所述判断模块的判断结果为所述第三方认证设备没有经过LSP确认时,确定不需要删除自身存储的所述第三方认证设备的LSP信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010146398.1A CN101834855B (zh) | 2010-04-14 | 2010-04-14 | 一种防止序列号攻击的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010146398.1A CN101834855B (zh) | 2010-04-14 | 2010-04-14 | 一种防止序列号攻击的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101834855A true CN101834855A (zh) | 2010-09-15 |
CN101834855B CN101834855B (zh) | 2014-03-19 |
Family
ID=42718786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010146398.1A Active CN101834855B (zh) | 2010-04-14 | 2010-04-14 | 一种防止序列号攻击的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101834855B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102647473A (zh) * | 2012-04-11 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 信息同步方法、装置和通讯设备 |
CN102739543A (zh) * | 2012-06-29 | 2012-10-17 | 杭州华三通信技术有限公司 | 一种lsp分片的最大序列号翻转的处理方法和装置 |
CN102916875A (zh) * | 2012-09-21 | 2013-02-06 | 杭州华三通信技术有限公司 | 一种基于isis网络的序列号翻转方法和设备 |
CN103475582A (zh) * | 2013-09-18 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种lsp数据的同步方法和设备 |
CN105337868A (zh) * | 2015-12-09 | 2016-02-17 | 上海斐讯数据通信技术有限公司 | 一种trill网络mac地址学习的方法及装置 |
WO2016123938A1 (zh) * | 2015-02-04 | 2016-08-11 | 中兴通讯股份有限公司 | 一种lsp序列号翻转的处理方法、装置及路由网桥rb |
CN107948065A (zh) * | 2017-12-29 | 2018-04-20 | 杭州迪普科技股份有限公司 | 一种链路状态信息获取方法及装置 |
CN111669320A (zh) * | 2016-12-20 | 2020-09-15 | 华为技术有限公司 | 一种处理报文的方法及网络设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060262735A1 (en) * | 2005-05-23 | 2006-11-23 | James Guichard | Hierarchical label distribution for inter-area summarization of edge-device addresses |
CN101394354A (zh) * | 2008-10-17 | 2009-03-25 | 杭州华三通信技术有限公司 | 一种避免中间系统邻居关系震荡的方法和一种中间系统 |
CN101599961A (zh) * | 2009-06-10 | 2009-12-09 | 南京邮电大学 | 针对最优链路状态路由协议的特定攻击及其防御方法 |
-
2010
- 2010-04-14 CN CN201010146398.1A patent/CN101834855B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060262735A1 (en) * | 2005-05-23 | 2006-11-23 | James Guichard | Hierarchical label distribution for inter-area summarization of edge-device addresses |
CN101394354A (zh) * | 2008-10-17 | 2009-03-25 | 杭州华三通信技术有限公司 | 一种避免中间系统邻居关系震荡的方法和一种中间系统 |
CN101599961A (zh) * | 2009-06-10 | 2009-12-09 | 南京邮电大学 | 针对最优链路状态路由协议的特定攻击及其防御方法 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102647473A (zh) * | 2012-04-11 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 信息同步方法、装置和通讯设备 |
CN102739543A (zh) * | 2012-06-29 | 2012-10-17 | 杭州华三通信技术有限公司 | 一种lsp分片的最大序列号翻转的处理方法和装置 |
CN102739543B (zh) * | 2012-06-29 | 2015-02-18 | 杭州华三通信技术有限公司 | 一种lsp分片的最大序列号翻转的处理方法和装置 |
CN102916875B (zh) * | 2012-09-21 | 2016-06-29 | 杭州华三通信技术有限公司 | 一种基于isis网络的序列号翻转方法和设备 |
CN102916875A (zh) * | 2012-09-21 | 2013-02-06 | 杭州华三通信技术有限公司 | 一种基于isis网络的序列号翻转方法和设备 |
CN103475582B (zh) * | 2013-09-18 | 2016-08-31 | 杭州华三通信技术有限公司 | 一种lsp数据的同步方法和设备 |
CN103475582A (zh) * | 2013-09-18 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种lsp数据的同步方法和设备 |
WO2016123938A1 (zh) * | 2015-02-04 | 2016-08-11 | 中兴通讯股份有限公司 | 一种lsp序列号翻转的处理方法、装置及路由网桥rb |
CN105991556A (zh) * | 2015-02-04 | 2016-10-05 | 中兴通讯股份有限公司 | 一种lsp序列号翻转的处理方法、装置及路由网桥rb |
CN105991556B (zh) * | 2015-02-04 | 2019-12-31 | 中兴通讯股份有限公司 | 一种lsp序列号翻转的处理方法、装置及路由网桥rb |
CN105337868A (zh) * | 2015-12-09 | 2016-02-17 | 上海斐讯数据通信技术有限公司 | 一种trill网络mac地址学习的方法及装置 |
CN105337868B (zh) * | 2015-12-09 | 2018-03-30 | 上海斐讯数据通信技术有限公司 | 一种trill网络mac地址学习的方法及装置 |
CN111669320A (zh) * | 2016-12-20 | 2020-09-15 | 华为技术有限公司 | 一种处理报文的方法及网络设备 |
CN111669320B (zh) * | 2016-12-20 | 2023-04-21 | 华为技术有限公司 | 一种处理报文的方法及网络设备 |
CN107948065A (zh) * | 2017-12-29 | 2018-04-20 | 杭州迪普科技股份有限公司 | 一种链路状态信息获取方法及装置 |
CN107948065B (zh) * | 2017-12-29 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种链路状态信息获取方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101834855B (zh) | 2014-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101834855B (zh) | 一种防止序列号攻击的方法和设备 | |
Ramezan et al. | A blockchain-based contractual routing protocol for the internet of things using smart contracts | |
CN102845027B (zh) | 用于在diameter节点处提供优先级路由的方法、系统和装置 | |
CN102986169B (zh) | 用于在diameter节点处提供对等路由的方法、系统 | |
CN105009509A (zh) | 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议 | |
US11362837B2 (en) | Generating trustable RPL messages having root-signed rank values | |
CN106332067A (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
US8737616B2 (en) | Method and apparatus for identifying CGA public key, and method, apparatus, and system for determining CGA public key | |
EP3136664B1 (en) | Method for caching data, corresponding forwarding device and corresponding controller | |
KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
CN105847158A (zh) | 用于处理路由数据的方法和系统 | |
CN103179100A (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
Sandhya Venu et al. | Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks | |
CN101023647A (zh) | 返回路由的优化 | |
US20160212010A1 (en) | Node device, network system, and connection method for node devices | |
Khan et al. | Black hole attack prevention in mobile ad-hoc network (MANET) using ant colony optimization technique | |
US9998807B2 (en) | Method and apparatus for establishing trail network | |
CN104038420A (zh) | 一种路由计算方法和设备 | |
JP2010212850A (ja) | 無線通信端末及び無線通信システム | |
CN109450849B (zh) | 一种基于区块链的云服务器组网方法 | |
CN105592054B (zh) | 一种lsp报文的处理方法和装置 | |
CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
JP2005136739A (ja) | データ中継方法、データ中継装置、データ中継システム | |
CN107787020A (zh) | 一种sfc网络中同步拓扑信息的方法及路由网元 | |
CN105207911A (zh) | 一种is-is协议报文认证方法及其系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |