[发明专利]一种基于OSPF路由协议的入侵防护方法和装置

说明书

本申请提供一种基于OSPF路由协议的入侵防护方法和装置，应用于路由器，所述方法包括：当接收到LSU报文时，获取所述LSU报文的报文信息以及获取发送所述LSU报文的路由器的PCR值；读取携带于所述LSU报文中的签名信息；比较对所述LSU报文的报头信息完成hash运算后得到的报头hash值与发送所述LSU报文的路由器的PCR值一起进行hash运算后得到的验证hash值，与基于发送所述LSU报文的路由器的公钥对所述签名信息进行解密后得到的签名hash值是否相同；如果不相同，丢弃所述LSU报文。采用本申请提供的技术方法，可以缓解路由器的运算工作、降低传输带宽以及提高路由器的效率。

技术领域

本申请涉及网络通信技术领域，特别涉及一种基于OSPF路由协议的入侵防护方法和装置。

背景技术

OSPF(Open Shortest Path First，开放式最短路径优先)是路由协议一种内部网关协议，应用于单一自治系统，用于计算路由。路由器基于OSPF路由协议计算路由的过程分为：发现邻居并维护邻居，传递LSA报文(Link State Advertisement，链路状态广播)，基于LSA报文计算路由。其中，LSA报文在传递的过程中携带于LSU(Link State Update，链路状态更新)报文中，同一自治系统内的各路由器的数据库中保存有相同的LSA报文。

在现有技术中，攻击者会在路由器传递LSA报文时拦截LSA报文，通过修改LSA报文头部的内容进而来攻击自治系统，从而影响到网络安全。为了解决这一问题，数字签名技术应运而生。

在采用数字签名技术的OSPF路由协议中，发送LSA报文的路由器需要对LAS报文进行签名，接收到LSA报文的路由器需要对该LSA报文进行验证，只有当该LSA报文通过验证后，才基于该LSA报文对数据库进行更新，其中数据库中保存着自治系统中各路由器生成的LAS报文。

然而，在采用数字签名的OSPF路由协议中，路由器每发送一个LSA报文就需要对该LSA报文进行签名，并且路由器每接收到一个LSA报文就需要对该LSA报文进行验证。路由器对LSA报文进行签名以及对LSA报文进行验证的过程对于路由器的运算要求比较高，传输带宽比较高，因此会对路由器的效率产生较大的影响。

发明内容

有鉴于此，本申请提供一种基于OSPF路由协议的入侵防护方法和装置，应用于路由器，用于缓解路由器的运算工作、降低传输带宽以及提高路由器的效率。

具体地，本申请是通过如下技术方案实现的：

一种基于OSPF路由协议的入侵防护方法，应用于路由器，所述路由器包括可信模块，所述可信模块用于基于可信计算平台进行自己所在的所述路由器进行可信计算得到对应的PCR值，所述路由器与可信第三方连接，所述可信第三方用于保存与其连接的各路由器通过可信计算得到的PCR值，所述方法包括：

当接收到LSU报文时，获取所述LSU报文的报文信息以及获取发送所述LSU报文的路由器的PCR值；

读取携带于所述LSU报文中的签名信息；其中，所述签名信息为发送所述LSU报文的路由器，基于自己的私钥对所述LSU报文的报头信息完成hash运算后得到的报头hash值与自己的PCR值一起进行hash运算后得到的签名hash值进行加密后得到的信息；

比较对所述LSU报文的报头信息完成hash运算后得到的报头hash值与发送所述LSU报文的路由器的PCR值一起进行hash运算后得到的验证hash值，与基于发送所述LSU报文的路由器的公钥对所述签名信息进行解密后得到的签名hash值是否相同；

如果不相同，将所述LSU报文丢弃。