CN109756487B - 一种认证的方法、装置、设备及存储介质 - Google Patents
一种认证的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109756487B CN109756487B CN201811592523.4A CN201811592523A CN109756487B CN 109756487 B CN109756487 B CN 109756487B CN 201811592523 A CN201811592523 A CN 201811592523A CN 109756487 B CN109756487 B CN 109756487B
- Authority
- CN
- China
- Prior art keywords
- router
- authentication
- identifier
- target
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了认证的方法、装置、设备及存储介质,包括:获取目标路由器的目标路由器标识和目标接口标识;从预先收集的认证信息列表中,获取的目标密钥标识;利用目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新密钥加密获得第二认证报文,发送至目标路由器,对目标路由器进行开放最短路径优先OSPF认证。由于存在认证信息列表,能够获知路由器与目标路由器之间,目标接口对应的链路通信时所采用的旧密钥,仅需要发送两个认证报文,一个是采用旧密钥加密的认证报文,一个是该路由器配置的新密钥加密的认证报文,无需发送该路由器维护的其它密钥加密的认证报文。因此,极大的减少了认证报文发送的数量,节省了网络带宽。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种认证的方法、装置、设备及存储 介质。
背景技术
开放最短路径优先(Open Shortest Path First,OSPF)是一个基于链路状态 的网关协议。采用该OSPF协议的路由器之间,通过交互链路状态报告(Link StateAdvertisement,LSA),用以交互各路由器中的路由信息。进而,各路由器之间 可以维护一个相同的链路状态数据库(Link State Database,LSDB),并基于该 LSDB确定到达目的网络设备的最短路径。
为了确保安全的交互LSA,避免存在恶意的仿造LSA,确保LSDB中的链 路状态数据真实,在交互LSA前,相邻的路由器(路由间隔为一跳)之间需要 先进行OSPF认证,以协商相互通信所采用的密钥。
对于一个路由器来说,存在多个相邻的路由器,该路由器与不同的相邻的 路由器之间,可以采用同一个密钥,也可以采用不同的密钥。并且,一个路由 器与同一个相邻的路由器之间,可以存在多条链路,其中,不同的链路之间, 可以采用同一个密钥,也可以采用不同的密钥。因此,一般情况下,一个路由 器会同时使用多个密钥,以实现对不同链路交互的LSA进行加密,或对不同的邻 居的路由器交互的LSA进行加密。
若一个路由器上配置了一个新密钥替换一个旧密钥,该路由器会与相邻的 路由器进行OSPF认证,以确保采用该旧密钥的相邻的路由器,也采用了该新密 钥。进行OSPF认证时,该路由器将所要发送的认证报文进行复制获得多个认证 报文副本,采用其正在维护的所有密钥,分别对该认证报文副本进行加密,不 同的认证报文副本所采用的加密的密钥不同,然后,将加密后的多个认证报文 副本发送至一个相邻的路由器,以认证路由器与该相邻的路由器之间采用的密 钥。
由上述内容可知,一个路由器上配置了一个新密钥,路由器与相邻的路由 器所采用的密钥不完全一致时,该路由器需要给每一个相邻的路由器,都发送 一套上述方式获得的多个认证报文副本,直至确认采用该旧密钥的相邻的路由 器,也采用了该新密钥为止。在此期间,需要大量的重复发送认证报文副本, 浪费网络带宽。
发明内容
本申请提供一种认证的方法、装置、设备及存储介质,减少发送认证报文 副本的个数,节省网络带宽。
具体地,本申请是通过如下技术方案实现的:
本申请第一方面提供一种认证的方法,所述方法包括:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口 标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和 密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新 密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识 的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF 认证。
可选的,所述预先收集所述认证信息列表包括:
接收相邻的第一路由器发送的第一认证通过报文;
根据所述第一认证通过报文,获取所述第一路由器的路由器标识,接口标 识和新密钥标识;
从所述认证信息列表中查询所述路由器标识和所述接口标识对应的原密钥 标识;
当所述认证信息列表中不存在所述路由器标识和所述接口标识对应的原密 钥标识时,将所述路由器标识,所述接口标识和所述新密钥标识的对应关系添 加至所述认证信息列表。
可选的,
当所述新密钥标识和所述原密钥标识不一致时,利用所述新密钥标识替换 所述原密钥标识。
可选的,所述方法还包括:
当与相邻的第二路由器的链接超时,从所述认证信息列表中,删除所述相 邻的第二路由器的路由器标识对应的表项。
可选的,所述方法还包括:
接收相邻的第三路由器发送的第三认证报文,根据所述第三认证报文获取 所述第三路由器的认证路由器标识和认证接口标识;
从所述认证信息列表中,获取与所述认证路由器标识和所述认证接口标识 对应的认证密钥标识;
获取所述认证密钥标识对应的认证密钥对所述第三路由器进行OSPF认证;
当认证通过时,向所述相邻的第三路由器返回第二认证通过报文。
本申请第二方面提供一种认证的装置,所述装置包括:
第一获取模块,用于获取目标路由器的目标路由器标识和目标接口标识;
第二获取模块,用于从预先收集的认证信息列表中,获取所述目标路由器 标识和所述目标接口标识对应的目标密钥标识,所述认证信息列表中包括路由 器标识,接口标识和密钥标识的对应关系;
加密模块,用于利用所述目标密钥标识对应的旧密钥加密获得第一认证报 文,并且利用新密钥加密获得第二认证报文;
发送模块,用于将所述第一认证报文和所述第二认证报文,通过所述目标 接口标识所标识的接口发送至所述目标路由器,对所述目标路由器进行开放最 短路径优先OSPF认证。
可选的,所述装置还包括:
第一接收模块,用于接收相邻的第一路由器发送的第一认证通过报文;
第三获取模块,用于根据所述第一认证通过报文,获取所述第一路由器的 路由器标识,接口标识和新密钥标识;
查询模块,用于从所述认证信息列表中查询所述路由器标识和所述接口标 识对应的原密钥标识;
添加模块,用于当所述认证信息列表中不存在所述路由器标识和所述接口 标识对应的原密钥标识时,将所述路由器标识,所述接口标识和所述新密钥标 识的对应关系添加至所述认证信息列表。
可选的,所述装置还包括:
替换模块,用于当所述新密钥标识和所述原密钥标识不一致时,利用所述 新密钥标识替换所述原密钥标识。
可选的,所述装置还包括:
删除模块,用于当与相邻的第二路由器的链接超时,从所述认证信息列表 中,删除所述相邻的第二路由器的路由器标识对应的表项。
可选的,所述装置还包括:
第二接收模块,用于接收相邻的第三路由器发送的第三认证报文,根据所 述第三认证报文获取所述第三路由器的认证路由器标识和认证接口标识;
第四获取模块,用于从所述认证信息列表中,获取与所述认证路由器标识 和所述认证接口标识对应的认证密钥标识;
认证模块,用于获取所述认证密钥标识对应的认证密钥对所述第三路由器 进行OSPF认证;
响应模块,用于当认证通过时,向所述相邻的第三路由器返回第二认证通 过报文。
本申请第三方面提供一种认证的设备,所述设备包括:内部总线,以及通 过内部总线连接的存储器、处理器和外部接口;其中,
所述存储器,用于存储文件存储的控制逻辑对应的机器可读指令;
所述处理器,用于读取所述存储器上的所述机器可读指令,并执行所述指 令以实现如下操作:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口 标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和 密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新 密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识 的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF 认证。
本申请第四方面提供一种机器可读存储介质,所述机器可读存储介质上 存储有若干计算机指令,所述计算机指令被执行时进行如下处理:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口 标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和 密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新 密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识 的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF 认证。
由上述内容可知,本申请存在如下有益效果:
获取目标路由器的目标路由器标识和目标接口标识;从预先收集的认证信 息列表中,获取目标路由器标识和目标接口标识对应的目标密钥标识;利用目 标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新密钥加密获得第 二认证报文;将第一认证报文和第二认证报文,通过目标接口标识所标识的接 口发送至目标路由器,对目标路由器进行开放最短路径优先OSPF认证。
路由器与一个目标路由器进行OSPF认证时,由于存在认证信息列表, 能够获知路由器与目标路由器之间,目标接口对应的链路通信时所采用的旧 密钥,仅需要发送两个认证报文,一个是采用旧密钥加密的认证报文,一个 是该路由器配置的新密钥加密的认证报文,无需发送该路由器维护的其它密 钥加密的认证报文。因此,极大的减少了认证报文发送的数量,节省了网络 带宽。
附图说明
图1是本申请实施例提供的认证的方法流程图;
图2是本申请实施例提供的认证的装置结构示意图;
图3是本申请实施例提供的认证的设备结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描 述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。 以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方 式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一 致的装置和方法的例子。
下面先对本申请涉及的背景内容进行介绍。
OSPF是一个基于链路状态的网关协议。采用该OSPF协议的路由器之间, 通过交互LSA,用以交互各路由器中的路由信息。进而,各路由器之间可以维 护一个相同的LSDB,并基于该LSDB确定到达目的网络设备的最短路径。
OSPF协议支持下述5种类型的报文:
Hello报文:路由器周期性发送,用来发现和维持OSPF邻居关系。Hello报 文内容包括:路由器接口链接超时时间,核心路由器(Designated Router,DR)、 备份路由器(Backup Designated Router,BDR)、以及已知的相邻的路由器。
数据库描述(Database Description,DD)报文:路由器中LSDB中每一条 LSA的摘要信息,用于与相邻的路由器进行数据库同步。
链路状态请求(Link State Request,LSR)报文:向相邻的路由器请求所需 的LSA。
链路状态更新(Link State Update,LSU)报文:向相邻的路由器发送其所 需要的LSA。
链路状态确认(Link State Acknowledgment,LSAck)报文:用来发送至相 邻的路由器,对收到的LSA报文进行确认。
基于上述5种类型的报文,OSPF协议包括三方面内容:
(1)邻居关系建立
OSPF路由器从启用了OSPF协议的接口向外发送Hello报文,用来确定相 连链路上是否存在OSPF邻居。收到Hello报文的OSPF路由器,根据所接收到 的hello报文中的内容进行协商,双方协商一致就会形成邻居关系。
OSPF路由器必须与其邻居建立邻接关系之后才能共享信息。形成邻居的 OSPF路由器会发送DD报文来交换路由信息摘要。
DD报文交互完成后,OSPF路由器通过发送LSR报文向相邻的路由器索取 缺少的路由信息。相邻的路由器通过LSU报文返回路由信息。为了保证LSA交 互的可靠性,OSPF路由器接收到LSU报文后,向相邻的路由器返回LSAck报 文,对所接收到的LSU报文进行应答,表明已经收到了相邻的路由器发送的 LSU报文。
当路由器和其相邻的路由器之间交换了DD报文,交换LSA并达到LSDB 的同步之后,便建立了的邻居的邻接关系。
(2)链路状态信息交互
邻接关系建立后,每台OSPF路由器根据其周围的网络拓扑结构生成LSA, OSPF路由器之间开始交换LSA。LSA包含了每条直连链路的状态和开销。路由 器将LSA泛洪给相邻的路由器。接收到LSA的相邻的路由器立即将LSA泛洪 给其它的相邻的路由器,直到区域中的所有路由器都有相同的LSA为止。收到 LSA后,OSPF路由器会基于该LSA构建LSDB。最终,相同区域中的OSPF 路由器将拥有包含相同网络拓扑信息的LSDB。
(3)最优路径计算
OSPF路由器会将LSDB转换成一张有向图,这张有向图能够真实的反映整 个网络拓扑结构。各个路由器所得到的有向图是完全相同的。每台OSPF路由器 会根据有向图,使用SPF算法计算出一棵以自身为根的最短路径树,并把最短 路径树中的最优路径放入到路由表中,以基于路由表作出路由决策。
为了确保安全的交互LSA,在交互LSA前,相邻的路由器(路由间隔为一跳) 之间需要先进行OSPF认证,以协商通信所采用的密钥。路由器向一个相邻的路 由器发送采用密钥加密的认证报文,相邻的路由器接收到该认证报文后,根据 认证报文中的密钥标识获取密钥进行认证,认证通过后,相邻的路由器返回认 证通过报文。类似的,相邻的路由器也会给该路由器发送采用密钥加密的认证 报文,路由器认证通过后,也会给相邻的路由器返回认证通过报文。从而实现 路由器和相邻路由器之间的OSPF认证。
这里需要说明的是,本申请中所述的OSPF认证,可以采用消息摘要算法第 五版(Message-Digest Algorithm 5,MD5),进行OSPF认证。当然还可以采用MD2、 MD4等算法,这里不进行具体限定。
密钥使用一段时间后,为了确保安全,可以配置新密钥,代替旧密钥。若 在一个路由器上配置了一个新密钥替换一个旧密钥,该路由器会与相邻的路由 器重新进行OSPF认证,以确保采用该旧密钥的相邻的路由器,也采用了该新密 钥,以采用新密钥替换旧密钥。
进行OSPF认证时,为了确保路由器和相邻的路由器之间OSPF认证成功,路 由器不仅需要向相邻的路由器发送采用新密钥加密的认证报文,还需要向相邻 的路由器发送采用旧密钥加密的认证报文。因此,即使相邻的路由器没有配置 新密钥,或者该相邻的路由器的旧密钥并没有被新密钥替换,路由器与相邻的 路由器也可以采用旧密钥加密的认证报文,确保OSPF认证成功,避免出现OSPF 认证失败所导致的网络故障。
由于路由器并不能确定,其与某个相邻的路由器之间采用哪个密钥,因此, 路由器需要将所要发送的认证报文进行复制,获得多个认证报文副本,采用其 正在维护的所有密钥(包括新密钥),分别对该认证报文副本进行加密,不同的 认证报文副本所采用的加密的密钥不同。然后,将加密后的多个认证报文副本 发送至每一个相邻的路由器,以认证路由器与各相邻的路由器之间采用的密钥。
举例说明:路由器A与路由器B互为邻居,使用密钥ab进行OSPF认证; 路由器A与路由器C互为邻居。使用密钥ac进行钥认证。在路由器A上新增 一个新密钥x,作为路由器A与路由器B之间的新密钥。此时,路由器A生成 3个认证报文副本,分别采用密钥ab,密钥ac,以及新密钥x对该认证报文副 本进行加密。由于路由器A重新进行OSPF认证时,不确定与哪个相邻的路由 器采用哪个密钥,因此,需要将加密后的3个认证报文副本发送至路由器B,也需要将加密后的3个认证报文副本发送至路由器C。直至路由器B也配置了该 新密钥x后,向路由器A返回密钥ab和新密钥x都认证通过的认证通过报文。 在这期间,路由器A和路由器C之间,始终都只能采用密钥ac实现认证。此时, 删除路由器A上的密钥ab,路由器采用新密钥x与路由器B进行OSPF认证, 认证通过后,路由器B与路由器A之间后续采用新密钥x对通信进行加密。
由上述内容可知,一个路由器上配置了一个新密钥,路由器与相邻的路由 器所采用的密钥不完全一致时,该路由器需要给每一个相邻的路由器,都发送 一套上述方式获得的多个认证报文副本,直至确认采用该旧密钥的相邻的路由 器,也采用了该新密钥为止。在此期间,需要大量的重复发送认证报文副本, 浪费网络带宽。
为了解决上述问题,本申请实施例提供的认证的方案,可以减少认证报文 的发送个数,节省网络带宽,下面详细描述。
示例性方法
图1为本申请实施例提供的认证的方法流程图,应用于任意一个采用OSPF 协议的路由器,包括:
101:获取目标路由器的目标路由器标识和目标接口标识。
102:从预先收集的认证信息列表中,获取目标路由器标识和目标接口标识 对应的目标密钥标识,认证信息列表中包括路由器标识,接口标识和密钥标识 的对应关系。
路由器上配置了一个新密钥时,从与该路由器相邻的路由器中选择一个邻 居作为目标路由器。获取该目标路由器的标识(router ID)作为目标路由器标识, 获取该路由器上,与目标路由器进行通信的一个链路对应的接口标识,作为目 标接口标识。
根据目标路由器标识,目标接口标识,从预先收集的认证信息列表中,获 取目标路由器标识和目标接口标识对应的目标密钥标识,以确定该路由器与目 标路由器,在通过该目标接口标识所标识的接口所对应的链路进行通信时,所 采用的密钥,即目标密钥标识对应的密钥。
其中,认证信息列表时预先收集的,该认证信息列表中每一条表项,都包 括路由器标识,接口标识和密钥标识的对应关系。
下面对如何预先收集该认证信息列表进行详细说明。
在一个例子中,所述预先收集所述认证信息列表包括:
接收相邻的第一路由器发送的第一认证通过报文;
根据第一认证通过报文,获取第一路由器的路由器标识,接口标识和新密 钥标识;
从认证信息列表中查询路由器标识和接口标识对应的原密钥标识;
当认证信息列表中不存在路由器标识和接口标识对应的原密钥标识时,将 路由器标识,接口标识和新密钥标识的对应关系添加至所述认证信息列表。
路由器接收到相邻的第一路由器发送的第一认证通过报文时,表示该路由 器与第一路由器之间的OSPF认证通过,该路由器与第一路由器之间通信,可以 采用单一认证通过报文中携带的密钥。
从第一认证通过报文的OSPF报文头中,获取“Source OSPF Router”字段 携带的第一路由器的路由器标识;获取“Auth Key ID”字段携带的密钥标识; 并记录接收该第一认证通过报文的接口,确定接口标识。
从认证信息列表中,查询是否存在路由器标识和接口标识对应的原密钥标 识,即查询认证信息列表中,是否记录有路由器和第一路由器之间,由该接口 标识对应的进行通信的链路上所采用的密钥标识。
如果该认证信息列表中不存在路由器标识和接口标识对应的原密钥标识, 则表示该认证信息列表中,并未记录路由器和第一路由器之间,由该接口标识 对应的进行通信的链路上所采用的密钥标识。此时,将路由器标识,接口标识 和新密钥标识的对应关系添加至所述认证信息列表。即在认证信息列表中,记 录路由器和第一路由器,由该接口标识对应的进行通信的链路上所采用的密钥 标识。
按照上述方式,该路由器还会接收到其它相邻的路由器发送的认证通过报 文,认证信息列表中不存在该认证通过报文携带的路由器标识和接口标识对应 的原密钥标识时,在该认证信息列表中添加路由器标识,接口标识和新密钥标 识的对应关系。进而,认证信息列表中,将会包括多个表项,每个表项用于指 示该路由器与相邻的路由器,在一个接口对应的通信链路上,所采用的密钥。
在另一个示例中,当新密钥标识和原密钥标识不一致时,利用新密钥标识 替换原密钥标识。
另一种场景下,认证信息列表中,存在路由器标识和接口标识对应的原密 钥标识,即该路由器与第一路由器,在该接口标识对应的链路通信时,存在原 密钥。此时,比较新密钥标识和原密钥标识是否相同。
若新密钥标识与原密钥标识相同,则表示该路由器与第一路由器,在该接 口标识对应的链路通信时,密钥没有发生变化。若新密钥标识和原密钥标识不 相同,则表示该路由器与第一路由器,在该接口标识对应的链路通信时,密钥 发生了变化,在该路由器和第一路由器上配置了新密钥。此时,在认证信息列 表中,采用新密钥标识替换原密钥标识,获得路由器标识,接口标识与新密钥 标识的对应关系。
则在路由器上配置了新密钥,并且在该路由器相邻的第一路由器上也配置 了新密钥时,该路由器和第一路由器之间采用新密钥进行SOPF认证通过后,该 路由器接收到第一认证通过报文,此时,对认证信息列表进行更新,利用新密 钥标识替换原密钥标识,以表征该路由器与第一路由器,在接口标识对应的链 路通信时,采用新密钥。
这里需要说明的是,路由器可以是网络中的任意一个路由器,第一路由器, 则为该路由器任意一个相邻的路由器。都可以采用上述方式,生成认证信息列 表中的表项,或者更新认证信息列表中的表项。
采用上述方式,在每个路由器中维护一个认证信息列表,其中,该认证信 息列表中的表项,能够表征该路由器与相邻的各路由器进行通信的链路上,所 采用的密钥。
103:利用目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新 密钥加密获得第二认证报文。
104:将第一认证报文和第二认证报文,通过目标接口标识所标识的接口发 送至目标路由器,对目标路由器进行开放最短路径优先OSPF认证。
从认证信息列表中,查询到目标路由器标识和目标接口标识对应的目标密 钥标识,获取目标密钥标识对应的旧密钥。再获取该路由器上配置的新密钥。 利用旧密钥加密获得第一认证报文,利用新密钥加密获得第二认证报文,将第 一认证报文和第二认证报文,通过目标接口标识对应的链路发送至目标路由器, 对目标路由器进行OSPF认证。
可以理解的是,路由器与一个目标路由器进行OSPF认证时,由于存在认证 信息列表,能够获知路由器与目标路由器之间,目标接口对应的链路通信时所 采用的旧密钥,仅需要发送两个认证报文,一个是采用旧密钥加密的认证报文, 一个是该路由器配置的新密钥加密的认证报文,无需发送该路由器维护的其它 密钥加密的认证报文。因此,极大的减少了认证报文发送的数量,节省了网络 带宽。
上述第一路由器,可以是与执行上述方法的路由器的任意一个相邻的路由 器。
在一个示例中,所述方法还包括:当与相邻的第二路由器的链接超时,从 认证信息列表中,删除相邻的第二路由器的路由器标识对应的表项。
路由器与其相邻的第二路由器之间的通信连接,存在链接超时时间,则该 路由器中的认证信息列表中,表征路由器与该第二路由器之间通信的密钥的表 项,也存在相同的超时时间。
因此,当路由器与相邻的第二路由器之间链接超时,该路由器与相邻的第 二路由器之间通信所采用的密钥也会过期,该路由器与相邻的第二路由器之间 的通信不能继续采用该密钥。此时,从认证信息列表中,删除第二路由器的路 由器标识对应的表项。
类似的,上述示例中,路由器可以是网络中的任意一个路由器,第二路由 器,可以是该路由器任意一个相邻的路由器。
在一个示例中,所述方法还包括:
接收相邻的第三路由器发送的第三认证报文,根据第三认证报文获取第三 路由器的认证路由器标识和认证接口标识;
从认证信息列表中,获取与认证路由器标识和认证接口标识对应的认证密 钥标识;
获取认证密钥标识对应的认证密钥对所述第三路由器进行OSPF认证;
当认证通过时,向相邻的第三路由器返回第二认证通过报文。
在该示例中,对于执行上述示例的路由器来说,还会接收到与该路由器相 邻的第三路由器发送的第三认证报文。从第三认证报文中可以获得认证路由器 标识,还可以获取接收该第三认证报文的接口的认证接口标识。认证路由器标 识用于标识发送该第三认证报文的相邻的第三路由器。认证接口标识用于标识 路由器与第三路由器进行通信的链路,在该路由器上所采用的接口。
在认证信息列表中,获取认证路由标识和认证接口标识对应的认证密钥标 识,获取该认证密钥标识对应的认证密钥。采用该认证密钥对第三路由器进行 OSPF认证,当认证通过时,通过该认证接口标识所标识的接口,向第三路由器 返回第二认证通过报文。
可以理解的是,上述示例指出了,一个路由器还会接收到其相邻的路由器 发送的认证报文,其相邻的路由器也需要对该路由器进行OSPF认证,认证通过 时,该路由器也需要向相邻的路由器返回认证通过报文。
类似的,上述示例中,路由器可以是网络中的任意一个路由器,第二路由 器,可以是该路由器任意一个相邻的路由器。
由上述内容可知,本申请上述示例所述的路由器,会向其相邻的路由器 发送认证报文,对其相邻的路由器进行OSPF认证;也会接收到其相邻的路 由器发送的认证报文,对该路由器进行OSPF认证。路由器与一个目标路由 器进行OSPF认证时,由于存在认证信息列表,能够获知路由器与目标路由 器之间,目标接口对应的链路通信时所采用的旧密钥,仅需要发送两个认证 报文,一个是采用旧密钥加密的认证报文,一个是该路由器配置的新密钥加 密的认证报文,无需发送该路由器维护的其它密钥加密的认证报文。因此, 极大的减少了认证报文发送的数量,节省了网络带宽。
示例性装置
图2为本申请提供的认证的装置结构示意图,包括:
第一获取模块201,用于获取目标路由器的目标路由器标识和目标接口标 识。
第二获取模块202,用于从预先收集的认证信息列表中,获取所述目标路由 器标识和所述目标接口标识对应的目标密钥标识,所述认证信息列表中包括路 由器标识,接口标识和密钥标识的对应关系。
加密模块203,用于利用所述目标密钥标识对应的旧密钥加密获得第一认证 报文,并且利用新密钥加密获得第二认证报文。
发送模块204,用于将所述第一认证报文和所述第二认证报文,通过所述目 标接口标识所标识的接口发送至所述目标路由器,对所述目标路由器进行开放 最短路径优先OSPF认证。
可选的,所述装置还包括:
第一接收模块,用于接收相邻的第一路由器发送的第一认证通过报文;
第三获取模块,用于根据所述第一认证通过报文,获取所述第一路由器的 路由器标识,接口标识和新密钥标识;
查询模块,用于从所述认证信息列表中查询所述路由器标识和所述接口标 识对应的原密钥标识;
添加模块,用于当所述认证信息列表中不存在所述路由器标识和所述接口 标识对应的原密钥标识时,将所述路由器标识,所述接口标识和所述新密钥标 识的对应关系添加至所述认证信息列表。
可选的,所述装置还包括:
替换模块,用于当所述新密钥标识和所述原密钥标识不一致时,利用所述 新密钥标识替换所述原密钥标识。
可选的,所述装置还包括:
删除模块,用于当与相邻的第二路由器的链接超时,从所述认证信息列表 中,删除所述相邻的第二路由器的路由器标识对应的表项。
可选的,所述装置还包括:
第二接收模块,用于接收相邻的第三路由器发送的第三认证报文,根据所 述第三认证报文获取所述第三路由器的认证路由器标识和认证接口标识;
第四获取模块,用于从所述认证信息列表中,获取与所述认证路由器标识 和所述认证接口标识对应的认证密钥标识;
认证模块,用于获取所述认证密钥标识对应的认证密钥对所述第三路由器 进行OSPF认证;
响应模块,用于当认证通过时,向所述相邻的第三路由器返回第二认证通 过报文。
图2所示的装置是与图1所示的方法所对应的装置,具体实现方式类似, 参考图1所示的方法的描述,这里不再赘述。
参见图3,为本申请认证的设备的一个实施例示意图,该认证的设备可以包 括:内部总线310,以及通过内部总线310连接的存储器320、处理器330和外 部接口340。
其中,所述存储器320,用于存储文件存储的控制逻辑对应的机器可读指令;
所述处理器330,用于读取所述存储器上的所述机器可读指令,并执行所述 指令以实现如下操作:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口 标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和 密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新 密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识 的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF 认证。
此外,本申请实施例示出的认证的方法流程还可以被包括在计算机可读存 储介质中,该存储介质可以与执行指令的处理设备连接,该存储介质上存储有 文件存储的控制逻辑对应的机器可读指令,这些指令能够被处理设备执行,上 述机器可读指令用于实现如下操作:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口 标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和 密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新 密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识 的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF 认证。
在本申请实施例中,计算机可读存储介质可以是多种形式,比如,在不同 的例子中,所述机器可读存储介质可以是:RAM(Radom Access Memory,随机 存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动 器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质, 或者它们的组合。特殊的,所述的计算机可读介质还可以是纸张或者其他合适 的能够打印程序的介质。使用这些介质,这些程序可以被通过电学的方式获取 到(例如,光学扫描)、可以被以合适的方式编译、解释和处理,然后可以被存 储到计算机介质中。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申 请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申 请保护的范围之内。
Claims (12)
1.一种认证的方法,其特征在于,预先收集认证信息列表;所述方法包括:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF认证。
2.根据权利要求1所述的方法,其特征在于,所述预先收集所述认证信息列表包括:
接收相邻的第一路由器发送的第一认证通过报文;
根据所述第一认证通过报文,获取所述第一路由器的路由器标识,接口标识和新密钥标识;
从所述认证信息列表中查询所述路由器标识和所述接口标识对应的原密钥标识;
当所述认证信息列表中不存在所述路由器标识和所述接口标识对应的原密钥标识时,将所述路由器标识,所述接口标识和所述新密钥标识的对应关系添加至所述认证信息列表。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述认证信息列表中存在所述路由器标识和所述接口标识对应的原密钥标识时,比较新密钥标识与原密钥标识是否一致;当所述新密钥标识和所述原密钥标识不一致时,利用所述新密钥标识替换所述原密钥标识。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当与相邻的第二路由器的链接超时,从所述认证信息列表中,删除所述相邻的第二路由器的路由器标识对应的表项。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述方法还包括:
接收相邻的第三路由器发送的第三认证报文,根据所述第三认证报文获取所述第三路由器的认证路由器标识和认证接口标识;
从所述认证信息列表中,获取与所述认证路由器标识和所述认证接口标识对应的认证密钥标识;
获取所述认证密钥标识对应的认证密钥对所述第三路由器进行OSPF认证;
当认证通过时,向所述相邻的第三路由器返回第二认证通过报文。
6.一种认证的装置,其特征在于,所述装置包括:
收集模块,用于预先收集认证信息列表;
第一获取模块,用于获取目标路由器的目标路由器标识和目标接口标识;
第二获取模块,用于从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和密钥标识的对应关系;
加密模块,用于利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新密钥加密获得第二认证报文;
发送模块,用于将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF认证。
7.根据权利要求6所述的装置,其特征在于,所述收集模块具体包括:
第一接收子模块,用于接收相邻的第一路由器发送的第一认证通过报文;
第三获取子模块,用于根据所述第一认证通过报文,获取所述第一路由器的路由器标识,接口标识和新密钥标识;
查询子模块,用于从所述认证信息列表中查询所述路由器标识和所述接口标识对应的原密钥标识;
添加子模块,用于当所述认证信息列表中不存在所述路由器标识和所述接口标识对应的原密钥标识时,将所述路由器标识,所述接口标识和所述新密钥标识的对应关系添加至所述认证信息列表。
8.根据权利要求7所述的装置,其特征在于,所述收集模块还包括:
替换子模块,用于当所述认证信息列表中存在所述路由器标识和所述接口标识对应的原密钥标识时,比较新密钥标识与原密钥标识是否一致;当所述新密钥标识和所述原密钥标识不一致时,利用所述新密钥标识替换所述原密钥标识。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
删除模块,用于当与相邻的第二路由器的链接超时,从所述认证信息列表中,删除所述相邻的第二路由器的路由器标识对应的表项。
10.根据权利要求6-9任意一项所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收相邻的第三路由器发送的第三认证报文,根据所述第三认证报文获取所述第三路由器的认证路由器标识和认证接口标识;
第四获取模块,用于从所述认证信息列表中,获取与所述认证路由器标识和所述认证接口标识对应的认证密钥标识;
认证模块,用于获取所述认证密钥标识对应的认证密钥对所述第三路由器进行OSPF认证;
响应模块,用于当认证通过时,向所述相邻的第三路由器返回第二认证通过报文。
11.一种认证的设备,其特征在于,所述设备包括:内部总线,以及通过内部总线连接的存储器、处理器和外部接口;其中,
所述存储器,用于存储文件存储的控制逻辑对应的机器可读指令;
所述处理器,用于读取所述存储器上的所述机器可读指令,并执行所述指令以实现如下操作:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF认证。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被执行时进行如下处理:
获取目标路由器的目标路由器标识和目标接口标识;
从预先收集的认证信息列表中,获取所述目标路由器标识和所述目标接口标识对应的目标密钥标识,所述认证信息列表中包括路由器标识,接口标识和密钥标识的对应关系;
利用所述目标密钥标识对应的旧密钥加密获得第一认证报文,并且利用新密钥加密获得第二认证报文;
将所述第一认证报文和所述第二认证报文,通过所述目标接口标识所标识的接口发送至所述目标路由器,对所述目标路由器进行开放最短路径优先OSPF认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811592523.4A CN109756487B (zh) | 2018-12-25 | 2018-12-25 | 一种认证的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811592523.4A CN109756487B (zh) | 2018-12-25 | 2018-12-25 | 一种认证的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109756487A CN109756487A (zh) | 2019-05-14 |
| CN109756487B true CN109756487B (zh) | 2021-07-23 |
Family
ID=66404015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811592523.4A Active CN109756487B (zh) | 2018-12-25 | 2018-12-25 | 一种认证的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109756487B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237462A (zh) * | 2008-03-13 | 2008-08-06 | 杭州华三通信技术有限公司 | 一种处理ospf报文乱序的方法及ospf路由器 |
| US8364949B1 (en) * | 2005-11-01 | 2013-01-29 | Juniper Networks, Inc. | Authentication for TCP-based routing and management protocols |
| CN103199990A (zh) * | 2013-04-16 | 2013-07-10 | 杭州华三通信技术有限公司 | 一种路由协议认证迁移的方法和装置 |
| CN106100929A (zh) * | 2016-06-22 | 2016-11-09 | 杭州华三通信技术有限公司 | 双向转发检测认证安全切换的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8995667B2 (en) * | 2013-02-21 | 2015-03-31 | Telefonaktiebolaget L M Ericsson (Publ) | Mechanism for co-ordinated authentication key transition for IS-IS protocol |
-
2018
- 2018-12-25 CN CN201811592523.4A patent/CN109756487B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8364949B1 (en) * | 2005-11-01 | 2013-01-29 | Juniper Networks, Inc. | Authentication for TCP-based routing and management protocols |
| CN101237462A (zh) * | 2008-03-13 | 2008-08-06 | 杭州华三通信技术有限公司 | 一种处理ospf报文乱序的方法及ospf路由器 |
| CN103199990A (zh) * | 2013-04-16 | 2013-07-10 | 杭州华三通信技术有限公司 | 一种路由协议认证迁移的方法和装置 |
| CN106100929A (zh) * | 2016-06-22 | 2016-11-09 | 杭州华三通信技术有限公司 | 双向转发检测认证安全切换的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| F. Baker."Rfc 2082:RIP-2 MD5 Authentication".《IETF》.1997, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109756487A (zh) | 2019-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7774837B2 (en) | Securing network traffic by distributing policies in a hierarchy over secure tunnels | |
| EP3235209B1 (en) | Trusted routing between communication network systems | |
| CN105847158B (zh) | 用于处理路由数据的方法和系统 | |
| EP2329621B1 (en) | Key distribution to a set of routers | |
| US11362837B2 (en) | Generating trustable RPL messages having root-signed rank values | |
| WO2013072973A1 (ja) | 通信ノード、通信制御方法、および通信ノードの制御プログラム | |
| JP4902878B2 (ja) | リンク管理システム | |
| WO2016082275A1 (zh) | 一种基于逐跳监督的bgp路由验证方法 | |
| US11558194B2 (en) | Secured protection of advertisement parameters in a zero trust low power and lossy network | |
| WO2004045133A1 (en) | Key distribution across networks | |
| CN113726795A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN113395247B (zh) | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 | |
| CN114095423B (zh) | 基于mpls的电力通信骨干网数据安全防护方法及系统 | |
| US20160142213A1 (en) | Authentication service and certificate exchange protocol in wireless ad hoc networks | |
| CN112887278B (zh) | 一种私有云和公有云的互联系统及方法 | |
| JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| CN109756487B (zh) | 一种认证的方法、装置、设备及存储介质 | |
| US7864770B1 (en) | Routing messages in a zero-information nested virtual private network | |
| CN101567886A (zh) | 表项安全管理方法及设备 | |
| CN111431858B (zh) | 一种面向路由报文的集中化安全传输与认证方法 | |
| JP2005065004A (ja) | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム | |
| JP3821990B2 (ja) | 暗号通信方法及びシステム | |
| Vasic et al. | Security Agility Solution Independent of the Underlaying Protocol Architecture. | |
| Carpinteiro et al. | Chain-of-Trust Packet Marking | |
| Li et al. | An Operational Approach to Validate the Path of BGP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |