本發明公開了一種認證方法和路由器，其中，該認證方法包括：接收鄰居路由器發送的第一數據信息和第一數據信息對應的第一數字簽名信息，第一數據信息包括：鄰居路由器的身份證書和第一協議報文；根據本端路由器中存儲的鄰居路由器對應的解密公鑰和身份證書以對第一數據信息中的身份證書和第一協議報文進行驗證。本發明的技術方案將原本單獨進行的身份證書驗證和協議報文驗證整合為一個驗證流程，同時在驗證過程中僅需使用一套公私鑰對，該認證方法能節省計算開銷，提高驗證效率。

技術領域

本發明涉及信息技術領域，特別涉及一種認證方法和路由器。

背景技術

開放最短路徑優先(Open Shortest Path First，簡稱OSPF)是一種內部網關協議。該協議規定子網中的路由器包括：指定路由器(Designated Router，簡稱DR)、備份指定路由器(Back Designated Router，簡稱BDR)和非指定或備份指定路由器(Not DR or BDR，簡稱DR Other)。子網中所有路由器的連接狀態數據庫(Link state database簡稱LSDB)都是一致的，由DR產生表示該網絡的連接狀態宣告(Link state advertisement簡稱LSA)。子網中的路由器需要和DR交換LSDB信息，并由DR為該網絡生成一個描述本網絡的信息(Network LSA)，并由DR洪泛到子網中所有的路由器。子網中的路由器根據LSDB中的描述路由器節點的信息(Router LSA)和Network LSA，計算出以本端為根節點的最短路徑樹，并根據最短路徑樹計算出子網區域內所有的路由。

OSPF協議存在四種常見的攻擊方式：hello報文攻擊、最大年齡攻擊、序列號+1攻擊和最大序列號攻擊，這四類攻擊的本質均是通過修改協議報文中的字段來達到攻擊目的。

目前對上述協議報文攻擊手段進行防護的方法，主要是報文完整性驗證。其中，協議報文完整性驗證主要是通過數字簽名的方法來實現。數字簽名是指通過將協議報文中的一些關鍵字段先進行摘要值計算(即數字摘要)得到對應的數字摘要值，然后采用加密私鑰對數字摘要值加密得到數字簽名信息，最后將數字簽名信息附加到協議報文中以發送至目標路由器。目標路由器接收到該協議報文和數字簽名信息治好后，目標路由器先將協議報文的相同字段進行摘要值計算，并將計算出的數字摘要值與附加的數字簽名信息經過解密經解密后得到的數字摘要值進行比較，如果兩個摘要值一致，則說明協議報文在傳輸過程中沒有被修改；如果兩個摘要值不一致，則說明協議報文在傳輸過程中被修改過。數字簽名方法安全性高，但是需要一定的計算開銷。

此外，在一個含有可信第三方的可信網絡環境中，當一個路由器設備接入可信網絡時，需要經過可信第三方的接入認證，在通過接入認證之后，可信第三方會向該接入的路由器頒布一個身份證書。在可信網絡中的不同路由器之間進行交互時，交互雙方均需要驗證對方的身份證書。

路由器設備和終端在通過接入認證并接入可信網絡之后，由于無法保證其行為在接入后的可信，因此在可信網絡中，仍然要防范中間人攻擊，即需要針對路由器設備之間運行OSPF協議時的可能出現的攻擊進行防護。所以在可信網絡中運行OSPF協議時，兩個通信的路由器不僅需要在初次交互時進行身份證書的驗證，還需要在后序的某些時刻進行身份證書的驗證。

在現有技術中，協議報文的驗證和身份證書的驗證為兩個獨立的驗證過程。對應于這兩個獨立的驗證過程，則需要設置兩套驗證流程和兩對公私鑰對。在執行上述兩個獨立驗證流程時，路由器中的計算開銷會相對較大，路由器的工作效率偏低。

發明內容

本發明提供一種認證方法和路由器，該認證方法能節省路由器的計算開銷，提高路由器的驗證效率。

為實現上述目的，本發明提供一種認證方法，包括：

接收鄰居路由器發送的第一數據信息和所述第一數據信息對應的第一數字簽名信息，所述第一數據信息包括：所述鄰居路由器的身份證書和第一協議報文；