CN104486082A - 认证方法和路由器 - Google Patents
认证方法和路由器 Download PDFInfo
- Publication number
- CN104486082A CN104486082A CN201410779625.2A CN201410779625A CN104486082A CN 104486082 A CN104486082 A CN 104486082A CN 201410779625 A CN201410779625 A CN 201410779625A CN 104486082 A CN104486082 A CN 104486082A
- Authority
- CN
- China
- Prior art keywords
- router
- identity
- letter
- data message
- local terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种认证方法和路由器,其中,该认证方法包括:接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息,第一数据信息包括:邻居路由器的身份证书和第一协议报文;根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。本发明的技术方案将原本单独进行的身份证书验证和协议报文验证整合为一个验证流程,同时在验证过程中仅需使用一套公私钥对,该认证方法能节省计算开销,提高验证效率。
Description
技术领域
本发明涉及信息技术领域,特别涉及一种认证方法和路由器。
背景技术
开放最短路径优先(Open Shortest Path First,简称OSPF)是一种内部网关协议。该协议规定子网中的路由器包括:指定路由器(Designated Router,简称DR)、备份指定路由器(Back DesignatedRouter,简称BDR)和非指定或备份指定路由器(Not DR or BDR,简称DR Other)。子网中所有路由器的连接状态数据库(Link statedatabase简称LSDB)都是一致的,由DR产生表示该网络的连接状态宣告(Link state advertisement简称LSA)。子网中的路由器需要和DR交换LSDB信息,并由DR为该网络生成一个描述本网络的信息(Network LSA),并由DR洪泛到子网中所有的路由器。子网中的路由器根据LSDB中的描述路由器节点的信息(Router LSA)和Network LSA,计算出以本端为根节点的最短路径树,并根据最短路径树计算出子网区域内所有的路由。
OSPF协议存在四种常见的攻击方式:hello报文攻击、最大年龄攻击、序列号+1攻击和最大序列号攻击,这四类攻击的本质均是通过修改协议报文中的字段来达到攻击目的。
目前对上述协议报文攻击手段进行防护的方法,主要是报文完整性验证。其中,协议报文完整性验证主要是通过数字签名的方法来实现。数字签名是指通过将协议报文中的一些关键字段先进行摘要值计算(即数字摘要)得到对应的数字摘要值,然后采用加密私钥对数字摘要值加密得到数字签名信息,最后将数字签名信息附加到协议报文中以发送至目标路由器。目标路由器接收到该协议报文和数字签名信息治好后,目标路由器先将协议报文的相同字段进行摘要值计算,并将计算出的数字摘要值与附加的数字签名信息经过解密经解密后得到的数字摘要值进行比较,如果两个摘要值一致,则说明协议报文在传输过程中没有被修改;如果两个摘要值不一致,则说明协议报文在传输过程中被修改过。数字签名方法安全性高,但是需要一定的计算开销。
此外,在一个含有可信第三方的可信网络环境中,当一个路由器设备接入可信网络时,需要经过可信第三方的接入认证,在通过接入认证之后,可信第三方会向该接入的路由器颁布一个身份证书。在可信网络中的不同路由器之间进行交互时,交互双方均需要验证对方的身份证书。
路由器设备和终端在通过接入认证并接入可信网络之后,由于无法保证其行为在接入后的可信,因此在可信网络中,仍然要防范中间人攻击,即需要针对路由器设备之间运行OSPF协议时的可能出现的攻击进行防护。所以在可信网络中运行OSPF协议时,两个通信的路由器不仅需要在初次交互时进行身份证书的验证,还需要在后序的某些时刻进行身份证书的验证。
在现有技术中,协议报文的验证和身份证书的验证为两个独立的验证过程。对应于这两个独立的验证过程,则需要设置两套验证流程和两对公私钥对。在执行上述两个独立验证流程时,路由器中的计算开销会相对较大,路由器的工作效率偏低。
发明内容
本发明提供一种认证方法和路由器,该认证方法能节省路由器的计算开销,提高路由器的验证效率。
为实现上述目的,本发明提供一种认证方法,包括:
接收邻居路由器发送的第一数据信息和所述第一数据信息对应的第一数字签名信息,所述第一数据信息包括:所述邻居路由器的身份证书和第一协议报文;
根据本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证。
可选地,所述根据本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证的步骤包括:
比较所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书是否一致,若比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书一致时,则所述第一数据信息中的身份证书通过验证;
在所述第一数据信息中的身份证书通过验证之后,根据所述解密公钥对所述第一数字签名信息进行解密,得到所述第一数据信息的第一摘要值;
对所述第一数据信息进行数字摘要,得到所述第一数据信息的第二摘要值;
比较所述第一摘要值与所述第二摘要值是否一致,若比较出所述第一摘要值与所述第二摘要值一致时,则所述第一数据信息中的协议报文通过验证。
可选地,在所述比较所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书是否一致的步骤中,若比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书不一致时,则所述本端路由器向所述可信第三方请求所述邻居路由器当前对应的身份证书,以对所述本端路由器中存储的所述邻居路由器的身份证书进行更新,并根据所述本端路由器中存储的所述邻居路由器更新后的身份证书以对所述第一数据信息中的身份证书进行验证。
可选地,还包括:
向所述邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数字签名信息,所述第二数据信息包括:本端路由器的身份证书和第二协议报文。
可选地,所述向所述邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数字签名信息的步骤之前还包括:
根据所述本端路由器的加密私钥对第二数据信息进行数字签名,生成所述第二数据信息对应的第二数字签名信息。
可选地,所述根据所述本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证的步骤之前还包括:
判断所述邻居路由器是否为本端路由器的邻居,若判断出所述邻居路由器不为所述本端路由器的邻居,则所述本端路由器向可信第三方请求所述邻居路由器的解密公钥和身份证书,并进行存储。
为实现上述目的,本发明还提供一种路由器,包括:
接收单元,用于接收邻居路由器发送的第一数据信息和所述第一数据信息对应的第一数字签名信息,所述第一数据信息包括:所述邻居路由器的身份证书和第一协议报文;
验证单元,用于根据本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证。
可选地,所述验证单元包括:
第一比较模块,用于比较所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书是否一致,若比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书一致时,则所述第一数据信息中的身份证书通过验证;
解密模块,用于在所述第一数据信息中的身份证书通过验证之后,根据所述解密公钥对所述第一数字签名信息进行解密,得到所述第一数据信息的第一摘要值;
数字摘要模块,用于对所述第一数据信息进行数字摘要,得到所述第一数据信息的第二摘要值;
第二比较模块,用于比较所述第一摘要值与所述第二摘要值是否一致,若比较出所述第一摘要值与所述第二摘要值一致时,则所述第一数据信息中的协议报文通过验证。
可选地,还包括:
第一请求单元,用于在所述第一比较模块比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书不一致时,向所述可信第三方请求所述邻居路由器当前对应的身份证书,并对所述本端路由器中存储的所述邻居路由器的身份证书进行更新。
可选地,还包括:
发送单元,用于向所述邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数字签名信息,所述第二数据信息包括:本端路由器的身份证书和第二协议报文。
可选地,还包括:
数字签名单元,用于根据所述本端路由器的加密私钥对第二数据信息进行数字签名,生成所述第二数据信息对应的第二数字签名信息。
可选地,还包括:
判断单元,用于在所述接收单元接收到所述第一数据信息和所述第一数字签名信息时,判断所述邻居路由器是否为本端路由器的邻居;
第二请求单元,用于在所述判断单元判断出所述邻居路由器不为所述本端路由器的邻居时,向可信第三方请求所述邻居路由器的解密公钥和身份证书。
本发明具有以下有益效果:
本发明提供了一种认证方法和路由器,其中,该认证方法包括:接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息,第一数据信息包括:邻居路由器的身份证书和第一协议报文;根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。本发明的技术方案将原本单独进行的身份证书验证和协议报文验证整合为一个验证流程,同时在验证过程中仅需使用一套公私钥对,该认证方法能节省计算开销,提高验证效率。
附图说明
图1为本发明实施例一提供的认证方法的流程图;
图2为本发明实施例二提供的认证方法的流程图;
图3为本发明实施例三提供的认证方法的流程图;
图4为本发明实施例四提供的路由器的结构框图;
图5为图4中验证单元的结构框图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的认证方法和路由器进行详细描述。
图1为本发明实施例一提供的认证方法的流程图,如图1所示,该认证方法包括:
步骤101:接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息,第一数据信息包括:邻居路由器的身份证书和第一协议报文。
需要说明的是,本实施例给出的是本端路由器对邻居路由器的身份证书以及协议报文的验证过程,本实施例中的各步骤均由本端路由器来执行。本实施提供的认证方法适用于能够作为DR或BDR的路由器,尤其适用于处理性能和资源优先的小型路由器。
本发明中第一协议报文具体可以为:握手报文(HELLO报文)、数据库描述报文(DBD报文)、链路状态请求报文(LSR报文)、链路状态更新报文(LSU报文)或链路状态应答报文(LSA报文)。
在步骤101中,邻居路由器将由可信第三方颁发的身份证书和预发送的第一协议报文所组成的第一数据信息以进行数字签名(即对身份证书和第一协议报文进行共同数字签名),生成第一数字签名信息,并将该第一数据信息和第一数字签名信息发送至本端路由器,本端路由器接收第一数据信息和第一数字签名信息。
步骤102:根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。
可选地,步骤102具体包括:
步骤1021:比较本端路由器中存储的邻居路由器对应的身份证书与第一数据信息中的身份证书是否一致。
在步骤1021中,若比较出本端路由器中存储的邻居路由器对应的身份证书与第一数据信息中的身份证书不一致时,则说明邻居路由器的身份证书不通过验证,邻居路由器无法与本端路由器通信。流程结束。
若比较出本端路由器中存储的邻居路由器对应的身份证书与第一数据信息中的身份证书一致时,则说明邻居路由器的身份证书通过验证,继续执行步骤1022。
步骤1022:根据解密公钥对第一数字签名信息进行解密,得到第一数据信息的第一摘要值。
在步骤1022中,当邻居路由器的身份证书通过验证后,本端路由器根据存储的邻居路由器所对应的解密公钥对第一数字签名信息进行解密,得到第一数据信息的第一摘要值。
步骤1023:对第一数据信息进行数字摘要,得到第一数据信息的第二摘要值;
在步骤1023中,本端路由器对第一数据信息进行数字摘要,得到第一数据信息的第二摘要值。
步骤1024:比较第一摘要值与第二摘要值是否一致。
在步骤1024中,若比较出第一摘要值与第二摘要值一致时,则说明第一数据信息中的身份证书和第一协议报文均没有被攻击,相应地,第一数据信息中的第一协议报文通过验证,即邻居路由器的身份证书和第一协议报文均通过验证。
若比较出第一摘要值与第二摘要值不一致时,则说明第一数据信息在传递过程中被攻击(身份证书和/或协议报文被修改),本端路由器将第一数据信息丢弃。
本发明实施例一提供了一种认证方法,该认证方法将可信网络下的身份证书验证和协议报文验证相结合,达到了身份证书验证与协议报文共同签名、共同验证的效果。本发明的技术方案将原本单独进行的身份证书验证和协议报文验证整合为一个验证流程,同时在验证过程中仅需使用一套公私钥对,该认证方法能节省计算开销,提高验证效率。
实施例二
本发明实施例二提供了一种认证方法,其用于在新接入路由器与可信网络中的指定路由器之间建立邻居关系时的对身份证书和HELLO报文的验证。
在本实施例中,邻居路由器具体为新接入路由器,该新接入路由器需要接入至可信网络中,本端路由器具体为可信网络中的指定路由器(DR)。新接入路由器预发出的第一协议报文具体为第一HELLO报文,指定路由器预发出的第二协议报文具体为第二HELLO报文。
图2为本发明实施例二提供的认证方法的流程图,如图2所示,该认证方法包括:
步骤201:新接入路由器向可信第三方发送解密公钥以及接入认证信息,以向可信第三方请求身份证书。
在新接入路由器并入可信网络之前,需要向可信网络中的可信第三方请求发送对应的解密公钥以及接入可信网络所需要的接入认证信息,以向可信第三方请求一个身份证书。
步骤202:可信第三方根据接入认证信息对新接入路由器的进行认证,并在接入认证信息通过认证后生成新接入路由器对应的身份证书,同时对新接入路由器的身份证书和解密公钥进行存储。
可信第三方对新接入路由器的接入认证过程为本领域的现有技术,此处不再赘述。
步骤203:可信第三方向新接入路由器下发身份证书。
通过上述步骤201~步骤203,新接入路由器可从可信第三方获取到在可信网络中的身份证书。
在新接入路由器接收到身份证书后,新接入路由器需要与可信网络中的指定路由器建立邻居关系,以便在可信网络中与指定路由器进行通信。在新接入路由器与指定路由器建立邻居的过程中,需要双方互相验证身份证书和HELLO报文。
步骤204:新接入路由器将由可信第三方下发的身份证书和预发送的第一HELLO报文所组成的第一数据信息以进行数字签名,生成第一数字签名信息。
在步骤204中,新接入路由器将由其自身的身份证书和预发送的第一HELLO报文所组成的第一数据信息以进行数字签名,并生成第一数字签名信息。
步骤205:新接入路由器将第一数据信息和第一数字签名信息发送至指定路由器。
在步骤205中,新接入路由器将第一数据信息和第一数字签名信息发送至指定路由器,以让指定路由器进行验证。
步骤206:指定路由器判断新接入路由器是否为指定路由器的邻居。
在步骤206中,当指定路由器接收到第一数据信息和第一数字签名信息后,指定路由器通过查询其自身的邻居列表中是否存在该新接入路由器的相关信息(如:新接入路由器的标识信息、邻居理由器的优先级信息),以判断该新接入路由器是否为指定路由器的邻居。
具体地,当邻居列表中存在新接入路由器的相关信息时,则说明该新接入路由器为指定路由器的邻居,相应地,指定路由器中必然存在该新接入路由器的解密公钥和身份证书,则在步骤206结束后执行步骤209。
当邻居列表中不存在新接入路由器的相关信息时,则说明该新接入路由器不为指定路由器的邻居,相应地,指定路由器中必然不存在该新接入路由器的解密公钥和身份证书,则在步骤206结束后执行步骤207。
需要说明的是,在实际的操作中,由于新接入路由器暂时还未处于可信网络中,因此指定路由器的邻居列表中必然不会存在新接入路由器,因此指定路由器会判断出新接入路由器不是指定路由器的邻居。
步骤207:指定路由器向可信第三方请求新接入路由器的解密公钥和身份证书。
在步骤207中,由于新接入路由器不是指定路由器的邻居,因此在指定路由器中没有存储新接入路由器的解密公钥和身份证书,则指定路由器需要向可信第三方请求新接入路由器的解密公钥和身份证书。
步骤208:可信第三方向指定路由器下发新接入路由器的解密公钥和身份证书。
在步骤208中,可信第三方接收到指定路由器的请求后,可信第三方向指定路由器下发新接入路由器的解密公钥和身份证书,以供指定路由器进行存储。
步骤209:指定路由器根据存储的新接入路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一HELLO报文进行验证。
在步骤209中,指定路由器根据存储的新接入路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一HELLO报文进行验证,该验证过程可参见上述实施例一中对步骤104的描述,此处不再赘述。
当第一数据信息中的身份证书和第一HELLO报文存在至少一个没有通过验证时,则指定路由器将该第一数据信息丢弃,流程结束。当第一数据信息中的身份证书和第一HELLO报文均通过验证时,则指定路由器在其自身的邻居列表中添加新接入路由器,继续执行步骤210。
通过上述步骤204~步骤209,指定路由器可对新接入路由器的身份证书和第一HELLO报文进行验证。
步骤210:指定路由器将由指定路由器的身份证书和预发送的第二HELLO报文所组成的第二数据信息以进行数字签名,生成第二数字签名信息。
在新接入路由器的身份证书和第二HELLO报文均通过指定路由器的验证后,新接入路由器还需要对指定路由器的身份证书和第二HELLO报文进行验证。
在步骤210中,指定入路由器将由其自身的身份证书和预发送的第二HELLO报文所组成的第二数据信息以进行数字签名,并生成第二数字签名信息。
步骤211:指定路由器将第二数据信息和第二数字签名信息发送至新接入路由器。
在步骤211中,指定路由器将第二数据信息和第二数字签名信息发送至指定路由器,以让新接入路由器进行验证。
步骤212:新接入路由器判断指定路由器是否为新接入路由器的邻居。
在步骤212中,新接入路由器通过其自身的邻居列表可以判断指定接入路由器是否为新接入路由器的邻居,具体判断过程可参见上述实施例一中对步骤102的描述。当判断出指定路由器为新接入路由器的邻居时,则执行步骤215;当判断出指定由器不为新接入路由器的邻居时,则继续执行步骤213。
需要说明的是,在实际的操作中,由于新接入路由器暂时还未处于可信网络中,因此指定路由器必然会判断出指定路由器不是新接入路由器的邻居。
步骤213:新接入路由器向可信第三方请求指定路由器的解密公钥和身份证书。
在步骤213中,由于指定路由器不是新接入路由器的邻居,因此在新接入路由器中没有存储指定路由器的解密公钥和身份证书,则新接入路由器需要向可信第三方请求指定路由器的解密公钥和身份证书。
步骤214:可信第三方向新接入路由器下发指定路由器的解密公钥和身份证书。
在步骤214中,可信第三方接收到新接入路由器的请求后,可信第三方向指定路由器下发新指定路由器的解密公钥和身份证书,以供新接入路由器进行存储。
步骤215:新接入路由器根据存储的指定路由器对应的解密公钥和身份证书以对第二数据信息中的身份证书和第二HELLO进行验证。
在步骤215中,新接入路由器根据存储的指定入路由器对应的解密公钥和身份证书以对第二数据信息中的身份证书和第二HELLO报文进行验证,该验证过程可参见上述实施例一中对步骤104的描述,此处不再赘述。
当第二数据信息中的身份证书和第二HELLO报文至少一个没有通过验证时,则新接入路由器将该第二数据信息丢弃,流程结束。当第二数据信息中的身份证书和第二HELLO报文均通过验证时,则新接入路由器在其自身的邻居列表中添加指定路由器,新接入路由器与指定路由器之间完成邻居关系的建立,流程结束。
通过上述步骤210~步骤215,新接入路由器可对指定入路由器的身份证书和第二HELLO报文进行验证。
需要说明的是,本实施例中上述步骤210~步骤215可先于步骤204执行,即先进行新接入路由器可对指定入路由器的身份证书和第二HELLO报文进行验证,再进行指定路由器可对新接入路由器的身份证书和第一HELLO报文进行验证。
实施例三
本发明实施例三提供了一种认证方法,其用于在可信网络中的非指定或备份指定路由器(DR Other)的身份证书过期并向可信第三方重新申请到新身份证书之后,可信网络中的指定路由器(DR)对非指定或备份指定路由器的新身份证书和协议报文进行验证。在本实施例中,邻居路由器具体为非指定或备份指定路由器(其邻居列表中存在指定路由器),本端路由器为指定路由器(其邻居列表中存在非指定或备份指定路由器)。
图3为本发明实施例三提供的认证方法的流程图,如图3所示,该认证方法包括:
步骤301:非指定或备份指定路由器向可信第三方请求新身份证书。
步骤302:可信第三方生成非指定或备份指定路由器的新身份证书,并对之前存储的非指定或备份指定路由器的身份证书进行更新。
步骤303:可信第三方向非指定或备份指定路由器下发新身份证书。
通过上述步骤301~步骤303,非指定或备份指定路由器完成对身份证书的更新。
步骤304:非指定或备份指定路由器将由更新后的身份证书和预发送的第一协议报文所组成的第一数据信息以进行数字签名,生成第一数字签名信息。
在步骤304中,非指定或备份指定路由器将由其自身的新身份证书和预发送的第一协议报文所组成的第一数据信息以进行数字签名,并生成第一数字签名信息。
需要说明的是,本实施例中第一协议报文可以为HELLO报文、DBD报文、LSR报文、LSU报文和LSA报文中的任意一种。
步骤305:非指定或备份指定路由器将第一数据信息和第一数字签名信息发送至指定路由器。
在步骤305中,非指定或备份指定路由器将第一数据信息和第一数字签名信息发送至指定路由器,以让指定路由器进行验证。
步骤306:指定路由器识别出非指定或备份指定路由器为指定路由器的邻居。
在步骤306中,由于指定路由器在非指定或备份指定路由器接入可信网络时已将非指定或备份指定路由器添加至邻居列表,因此指定路由器可很快识别出非指定或备份指定路由器为指定路由器的邻居。但是,此时指定路由器中存储的非指定或备份指定路由器所对应身份证书为更新前的旧身份证书。
步骤307:指定路由器比较指定路由器中存储的非指定或备份指定路由器对应的身份证书与第一数据信息中的身份证书是否一致。
在步骤307中,若比较出指定路由器中存储的非指定或备份指定路由器对应的身份证书与第一数据信息中的身份证书一致时,则说明非指定或备份指定路由器的身份证书通过验证,在步骤307结束后执行步骤311。
在步骤307中,若比较出指定路由器中存储的非指定或备份指定路由器对应的身份证书与第一数据信息中的身份证书不一致时,则说明非指定或备份指定路由器的身份证书不通过验证,在步骤307之后执行步骤308。
需要说明的是,在实际的操作中,由于指定路由器中存储的非指定或备份指定路由器所对应身份证书为更新前的旧身份证书,而第一数据信息中的身份证书为新身份证书,指定路由器会比较出指定路由器中存储的非指定或备份指定路由器对应的身份证书与第一数据信息中的身份证书不一致。
步骤308:指定路由器向可信第三方请求非指定或备份指定路由器当前对应的身份证书。
在步骤308中,当指定路由器比较出指定路由器中存储的非指定或备份指定路由器对应的身份证书与第一数据信息中的身份证书不一致之后,指定路由器向可信第三方请求非指定或备份指定路由器当前对应的身份证书,即更新后的新身份证书。
步骤309:可信第三方向指定路由器下发非指定或备份指定路由器当前对应的身份证书。
在步骤309中,可信第三方向指定路由器下发非指定或备份指定路由器的新身份证书。
步骤310:指定路由器对存储的非指定或备份指定路由器的身份证书进行更新,并根据更新后的身份证书以对第一数据信息中的身份证书进行验证。
在步骤310中,指定路由器根据可信第三方下发的非指定或备份指定路由器的新身份证书以对存储的旧身份证书进行更新。同时,指定路由器比较存储的非指定或备份指定路由器所对应更新后的身份证书与第一数据信息中的身份证书是否一致。
若比较出指定路由器存储的非指定或备份指定路由器所对应更新后的身份证书与第一数据信息中的身份证书是不一致,则第一数据信息中的身份证书不通过验证,流程结束。
若比较出指定路由器存储的非指定或备份指定路由器所对应更新后的身份证书与第一数据信息中的身份证书一致,则第一数据信息中的身份证书通过验证,在步骤310结束后执行步骤311。
需要说明的是,在实际的操作中,指定路由器存储的身份证书和第一数据信息中的身份证书均为更新后的新身份证书,因此第一数据信息中的身份证书在未被攻击的前提下会通过验证。
需要进一步说明的是,本实施例中的步骤307与上述实施例一中的步骤1021不同的是,本实施例中的步骤307在第一次判断出本端路由器中存储的非指定或备份指定路由器(对应于实施例一中的邻居路由器)对应的身份证书与第一数据信息中的身份证书不一致时,本端路由器回向可信第三方请求非指定或备份指定路由器当前的身份证书以对存储的非指定或备份指定路由器的身份证书进行更新,并根据更新后的身份证书对第一数据信息中的身份证书进行第二次认证,该认证过程可提高对身份证书验证的精确度。
步骤311:指定路由器根据解密公钥对第一数字签名信息进行解密,得到第一数据信息的第一摘要值。
在步骤311中,当非指定或备份指定路由器的身份证书通过验证后,指定路由器根据解密公钥对第一数字签名信息进行解密,得到第一数据信息的第一摘要值。
步骤312:指定路由器对第一数据信息进行数字摘要,得到第一数据信息的第二摘要值;
在步骤312中,指定路由器对第一数据信息进行数字摘要,得到第一数据信息的第二摘要值。
步骤313:指定路由器比较第一摘要值与第二摘要值是否一致。
在步骤313中,若指定路由器比较出第一摘要值与第二摘要值一致时,则说明第一数据信息中的身份证书和第一协议报文均没有被攻击,相应地,第一数据信息中的第一协议报文通过验证,即邻居路由器的身份证书和第一协议报文均通过验证。
若比较出第一摘要值与第二摘要值不一致时,则说明第一数据信息在传递过程中被攻击(身份证书和/或协议报文被修改),本端路由器将第一数据信息丢弃。
实施例四
图4为本发明实施例四提供的路由器的结构框图,图5为图4中验证单元的结构框图,如图4和图5所示,该路由器包括:接收单元1和验证单元2,其中接收单元1用于接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息,第一数据信息包括:邻居路由器的身份证书和第一协议报文;验证单元2用于根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。
在本实施例提供的路由器中,将可信网络下的身份证书验证和协议报文验证相结合,使得原本单独进行的身份证书验证和协议报文验证整合为一个验证流程,从而能节省计算开销,提高验证效率。
在本实施例中,验证单元2具体包括:第一比较模块21、解密模块22、数字摘要模块23和第二比较模块24,其中,第一比较模块21用于比较本端路由器中存储的邻居路由器对应的身份证书与第一数据信息中的身份证书是否一致,若比较出本端路由器中存储的邻居路由器对应的身份证书与第一数据信息中的身份证书一致时,则第一数据信息中的身份证书通过验证;解密模块22用于在所述第一数据信息中的身份证书通过验证之后,根据解密公钥对第一数字签名信息进行解密,得到第一数据信息的第一摘要值;数字摘要模块23用于对第一数据信息进行数字摘要,得到第一数据信息的第二摘要值;第二比较模块24用于比较第一摘要值与第二摘要值是否一致,若比较出第一摘要值与第二摘要值一致时,则第一数据信息中的协议报文通过验证。
进一步可选地,该路由器还包括:第一请求单元3,第一请求单元3用于在第一比较模块21比较出本端路由器中存储的邻居路由器对应的身份证书与第一数据信息中的身份证书不一致时,向可信第三方请求邻居路由器当前对应的解密公钥和身份证书,并对本端路由器中存储的邻居路由器的解密公钥和身份证书进行更新。
本实施例中,可选地,该路由器还包括:判断单元4和第二请求单元5,判断单元4用于在接收单元1接收到第一数据信息和第一数字签名信息时,判断邻居路由器是否为本端路由器的邻居;第二请求单元5用于在判断单元4判断出邻居路由器不为本端路由器的邻居时,向可信第三方请求邻居路由器的解密公钥和身份证书。
可选地,该路由器还包括:数字签名单元6和发送单元7,数字签名单元6用于根据本端路由器的加密私钥对第二数据信息进行数字签名,生成第二数据信息对应的第二数字签名信息,发送单元7用于向邻居路由器发送的第二数据信息和第二数据信息对应的第二数字签名信息,第二数据信息包括:本端路由器的身份证书和第二协议报文。
本实施例提供的路由器可用于实现上述实施例一、实施例二以及实施例三所提供的认证方法,该路由器中各模块和单元的执行过程可参照上述实施例一、实施例二以及实施例三中对应步骤的描述,此处不再赘述。
本发明实施例四提供了一种路由器,该路由器包括:接收单元和验证单元,其中,接收单元用于接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息,第一数据信息包括:邻居路由器的身份证书和第一协议报文;验证单元用于根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。本实施例提供的路由器可将可信网络下的身份证书验证和协议报文验证相结合,达到了身份证书与协议报文共同签名、共同验证的效果。本发明的技术方案将原本单独进行的身份证书验证和协议报文验证整合为一个验证流程,同时在验证过程中仅需使用一套公私钥对,因此该路由器的可降低验证过程中的计算开销,提升验证效率。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (12)
1.一种认证方法,其特征在于,包括:
接收邻居路由器发送的第一数据信息和所述第一数据信息对应的第一数字签名信息,所述第一数据信息包括:所述邻居路由器的身份证书和第一协议报文;
根据本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证。
2.根据权利要求1所述的认证方法,其特征在于,所述根据本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证的步骤包括:
比较所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书是否一致,若比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书一致时,则所述第一数据信息中的身份证书通过验证;
在所述第一数据信息中的身份证书通过验证之后,根据所述解密公钥对所述第一数字签名信息进行解密,得到所述第一数据信息的第一摘要值;
对所述第一数据信息进行数字摘要,得到所述第一数据信息的第二摘要值;
比较所述第一摘要值与所述第二摘要值是否一致,若比较出所述第一摘要值与所述第二摘要值一致时,则所述第一数据信息中的协议报文通过验证。
3.根据权利要求2所述的认证方法,其特征在于,在所述比较所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书是否一致的步骤中,若比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书不一致时,则所述本端路由器向所述可信第三方请求所述邻居路由器当前对应的身份证书,以对所述本端路由器中存储的所述邻居路由器的身份证书进行更新,并根据所述本端路由器中存储的所述邻居路由器更新后的身份证书以对所述第一数据信息中的身份证书进行验证。
4.根据权利要求2所述的认证方法,其特征在于,还包括:
向所述邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数字签名信息,所述第二数据信息包括:本端路由器的身份证书和第二协议报文。
5.根据权利要求4所述的认证方法,其特征在于,所述向所述邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数字签名信息的步骤之前还包括:
根据所述本端路由器的加密私钥对第二数据信息进行数字签名,生成所述第二数据信息对应的第二数字签名信息。
6.根据权利要求1所述的认证方法,其特征在于,所述根据所述本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证的步骤之前还包括:
判断所述邻居路由器是否为本端路由器的邻居,若判断出所述邻居路由器不为所述本端路由器的邻居,则所述本端路由器向可信第三方请求所述邻居路由器的解密公钥和身份证书,并进行存储。
7.一种路由器,其特征在于,包括:
接收单元,用于接收邻居路由器发送的第一数据信息和所述第一数据信息对应的第一数字签名信息,所述第一数据信息包括:所述邻居路由器的身份证书和第一协议报文;
验证单元,用于根据本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协议报文进行验证。
8.根据权利要求7所述的路由器,其特征在于,所述验证单元包括:
第一比较模块,用于比较所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书是否一致,若比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书一致时,则所述第一数据信息中的身份证书通过验证;
解密模块,用于在所述第一数据信息中的身份证书通过验证之后,根据所述解密公钥对所述第一数字签名信息进行解密,得到所述第一数据信息的第一摘要值;
数字摘要模块,用于对所述第一数据信息进行数字摘要,得到所述第一数据信息的第二摘要值;
第二比较模块,用于比较所述第一摘要值与所述第二摘要值是否一致,若比较出所述第一摘要值与所述第二摘要值一致时,则所述第一数据信息中的协议报文通过验证。
9.根据权利要求8所述的路由器,其特征在于,还包括:
第一请求单元,用于在所述第一比较模块比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中的身份证书不一致时,向所述可信第三方请求所述邻居路由器当前对应的身份证书,并对所述本端路由器中存储的所述邻居路由器的身份证书进行更新。
10.根据权利要求7所述的路由器,其特征在于,还包括:
发送单元,用于向所述邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数字签名信息,所述第二数据信息包括:本端路由器的身份证书和第二协议报文。
11.根据权利要求10所述的路由器,其特征在于,还包括:
数字签名单元,用于根据所述本端路由器的加密私钥对第二数据信息进行数字签名,生成所述第二数据信息对应的第二数字签名信息。
12.根据权利要求7所述的路由器,其特征在于,还包括:
判断单元,用于在所述接收单元接收到所述第一数据信息和所述第一数字签名信息时,判断所述邻居路由器是否为本端路由器的邻居;
第二请求单元,用于在所述判断单元判断出所述邻居路由器不为所述本端路由器的邻居时,向可信第三方请求所述邻居路由器的解密公钥和身份证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410779625.2A CN104486082B (zh) | 2014-12-15 | 2014-12-15 | 认证方法和路由器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410779625.2A CN104486082B (zh) | 2014-12-15 | 2014-12-15 | 认证方法和路由器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104486082A true CN104486082A (zh) | 2015-04-01 |
| CN104486082B CN104486082B (zh) | 2018-07-31 |
Family
ID=52760590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410779625.2A Active CN104486082B (zh) | 2014-12-15 | 2014-12-15 | 认证方法和路由器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104486082B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108055285A (zh) * | 2018-01-09 | 2018-05-18 | 杭州迪普科技股份有限公司 | 一种基于ospf路由协议的入侵防护方法和装置 |
| CN111092878A (zh) * | 2019-12-13 | 2020-05-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
| CN111431858A (zh) * | 2020-02-27 | 2020-07-17 | 徐州医科大学 | 一种面向路由报文的集中化安全传输与认证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106470A (zh) * | 2007-06-30 | 2008-01-16 | 华为技术有限公司 | 一种组播方法、网络设备及系统 |
| CN101145915A (zh) * | 2007-10-10 | 2008-03-19 | 中国科学院计算技术研究所 | 一种可信路由器认证系统和方法 |
| CN201479154U (zh) * | 2009-07-16 | 2010-05-19 | 福建星网锐捷网络有限公司 | Bgp路由系统和设备 |
| CN102480429A (zh) * | 2010-11-26 | 2012-05-30 | 华为数字技术有限公司 | 报文处理方法、装置和系统 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
-
2014
- 2014-12-15 CN CN201410779625.2A patent/CN104486082B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106470A (zh) * | 2007-06-30 | 2008-01-16 | 华为技术有限公司 | 一种组播方法、网络设备及系统 |
| CN101145915A (zh) * | 2007-10-10 | 2008-03-19 | 中国科学院计算技术研究所 | 一种可信路由器认证系统和方法 |
| CN201479154U (zh) * | 2009-07-16 | 2010-05-19 | 福建星网锐捷网络有限公司 | Bgp路由系统和设备 |
| CN102480429A (zh) * | 2010-11-26 | 2012-05-30 | 华为数字技术有限公司 | 报文处理方法、装置和系统 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108055285A (zh) * | 2018-01-09 | 2018-05-18 | 杭州迪普科技股份有限公司 | 一种基于ospf路由协议的入侵防护方法和装置 |
| CN108055285B (zh) * | 2018-01-09 | 2020-12-04 | 杭州迪普科技股份有限公司 | 一种基于ospf路由协议的入侵防护方法和装置 |
| CN111092878A (zh) * | 2019-12-13 | 2020-05-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
| CN111092878B (zh) * | 2019-12-13 | 2022-03-01 | 北京小米移动软件有限公司 | 中间人劫持的测试方法、装置、设备及可读存储介质 |
| CN111431858A (zh) * | 2020-02-27 | 2020-07-17 | 徐州医科大学 | 一种面向路由报文的集中化安全传输与认证方法 |
| CN111431858B (zh) * | 2020-02-27 | 2022-07-12 | 徐州医科大学 | 一种面向路由报文的集中化安全传输与认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104486082B (zh) | 2018-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11934525B2 (en) | Network security by integrating mutual attestation | |
| CN113596828B (zh) | 端对端服务层认证 | |
| US9189632B2 (en) | Method for protecting security of data, network entity and communication terminal | |
| Chen et al. | An enhanced direct anonymous attestation scheme with mutual authentication for network-connected UAV communication systems | |
| EP3259928B1 (en) | Establishing and managing identities for constrained devices | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
| US9356776B2 (en) | Key managing system and method for sensor network security | |
| WO2021103772A1 (zh) | 数据传输方法和装置 | |
| CA2881575C (en) | Network element authentication in communication networks | |
| CN104486082A (zh) | 认证方法和路由器 | |
| JP2023535474A (ja) | アソシエーション制御方法及び関連装置 | |
| US8031596B2 (en) | Router associated to a secure device | |
| CN112887979A (zh) | 一种网络接入方法及相关设备 | |
| Songshen et al. | Hash-Based Signature for Flexibility Authentication of IoT Devices | |
| CN109039841A (zh) | 加入级联组网的方法、装置及刀箱 | |
| CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
| Ranaweera et al. | A Novel Authentication Protocol for 5 G gNodeBs in Service Migration Scenarios of MEC | |
| CN114978519A (zh) | 报文发送方法、签名信息的生成方法及设备 | |
| KR101960583B1 (ko) | 인증서 발급 방법 | |
| CN107516044A (zh) | 一种识别方法、装置和系统 | |
| Jain et al. | SAP: a low-latency protocol for mitigating evil twin attacks and high computation overhead in WI-FI networks | |
| CN111917746B (zh) | 一种路由协议接入认证方法、设备及介质 | |
| Sani et al. | Towards secure energy internet communication scheme: An identity-based key bootstrapping protocol supporting unicast and multicast | |
| CN118432826B (zh) | 群组设备的注册与身份认证方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |