认证方法和路由器.pdf

本发明公开了一种认证方法和路由器，其中，该认证方法包括：接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数字签名信息，第一数据信息包括：邻居路由器的身份证书和第一协议报文；根据本端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息中的身份证书和第一协议报文进行验证。本发明的技术方案将原本单独进行的身份证书验证和协议报文验证整合为一个验证流程，同时在验证过程中仅需使用一套公私钥对，该认证方法能节省计算开销，提高验证效率。

权利要求书1.  一种认证方法，其特征在于，包括： 接收邻居路由器发送的第一数据信息和所述第一数据信息对应 的第一数字签名信息，所述第一数据信息包括：所述邻居路由器的身 份证书和第一协议报文； 根据本端路由器中存储的所述邻居路由器对应的解密公钥和身 份证书以对所述第一数据信息中的身份证书和第一协议报文进行验 证。 2.  根据权利要求1所述的认证方法，其特征在于，所述根据本 端路由器中存储的所述邻居路由器对应的解密公钥和身份证书以对 所述第一数据信息中的身份证书和第一协议报文进行验证的步骤包 括： 比较所述本端路由器中存储的所述邻居路由器对应的身份证书 与所述第一数据信息中的身份证书是否一致，若比较出所述本端路由 器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中 的身份证书一致时，则所述第一数据信息中的身份证书通过验证； 在所述第一数据信息中的身份证书通过验证之后，根据所述解 密公钥对所述第一数字签名信息进行解密，得到所述第一数据信息的 第一摘要值； 对所述第一数据信息进行数字摘要，得到所述第一数据信息的 第二摘要值； 比较所述第一摘要值与所述第二摘要值是否一致，若比较出所 述第一摘要值与所述第二摘要值一致时，则所述第一数据信息中的协 议报文通过验证。 3.  根据权利要求2所述的认证方法，其特征在于，在所述比较 所述本端路由器中存储的所述邻居路由器对应的身份证书与所述第 一数据信息中的身份证书是否一致的步骤中，若比较出所述本端路由 器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中 的身份证书不一致时，则所述本端路由器向所述可信第三方请求所述 邻居路由器当前对应的身份证书，以对所述本端路由器中存储的所述 邻居路由器的身份证书进行更新，并根据所述本端路由器中存储的所 述邻居路由器更新后的身份证书以对所述第一数据信息中的身份证 书进行验证。 4.  根据权利要求2所述的认证方法，其特征在于，还包括： 向所述邻居路由器发送的第二数据信息和所述第二数据信息对 应的第二数字签名信息，所述第二数据信息包括：本端路由器的身份 证书和第二协议报文。 5.  根据权利要求4所述的认证方法，其特征在于，所述向所述 邻居路由器发送的第二数据信息和所述第二数据信息对应的第二数 字签名信息的步骤之前还包括： 根据所述本端路由器的加密私钥对第二数据信息进行数字签 名，生成所述第二数据信息对应的第二数字签名信息。 6.  根据权利要求1所述的认证方法，其特征在于，所述根据所 述本端路由器中存储的所述邻居路由器对应的解密公钥和身份证书 以对所述第一数据信息中的身份证书和第一协议报文进行验证的步 骤之前还包括： 判断所述邻居路由器是否为本端路由器的邻居，若判断出所述 邻居路由器不为所述本端路由器的邻居，则所述本端路由器向可信第 三方请求所述邻居路由器的解密公钥和身份证书，并进行存储。 7.  一种路由器，其特征在于，包括： 接收单元，用于接收邻居路由器发送的第一数据信息和所述第 一数据信息对应的第一数字签名信息，所述第一数据信息包括：所述 邻居路由器的身份证书和第一协议报文； 验证单元，用于根据本端路由器中存储的所述邻居路由器对应 的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一 协议报文进行验证。 8.  根据权利要求7所述的路由器，其特征在于，所述验证单元 包括： 第一比较模块，用于比较所述本端路由器中存储的所述邻居路 由器对应的身份证书与所述第一数据信息中的身份证书是否一致，若 比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与 所述第一数据信息中的身份证书一致时，则所述第一数据信息中的身 份证书通过验证； 解密模块，用于在所述第一数据信息中的身份证书通过验证之 后，根据所述解密公钥对所述第一数字签名信息进行解密，得到所述 第一数据信息的第一摘要值； 数字摘要模块，用于对所述第一数据信息进行数字摘要，得到 所述第一数据信息的第二摘要值； 第二比较模块，用于比较所述第一摘要值与所述第二摘要值是 否一致，若比较出所述第一摘要值与所述第二摘要值一致时，则所述 第一数据信息中的协议报文通过验证。 9.  根据权利要求8所述的路由器，其特征在于，还包括： 第一请求单元，用于在所述第一比较模块比较出所述本端路由 器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中 的身份证书不一致时，向所述可信第三方请求所述邻居路由器当前对 应的身份证书，并对所述本端路由器中存储的所述邻居路由器的身份 证书进行更新。 10.  根据权利要求7所述的路由器，其特征在于，还包括： 发送单元，用于向所述邻居路由器发送的第二数据信息和所述 第二数据信息对应的第二数字签名信息，所述第二数据信息包括：本 端路由器的身份证书和第二协议报文。 11.  根据权利要求10所述的路由器，其特征在于，还包括： 数字签名单元，用于根据所述本端路由器的加密私钥对第二数 据信息进行数字签名，生成所述第二数据信息对应的第二数字签名信 息。 12.  根据权利要求7所述的路由器，其特征在于，还包括： 判断单元，用于在所述接收单元接收到所述第一数据信息和所 述第一数字签名信息时，判断所述邻居路由器是否为本端路由器的邻 居； 第二请求单元，用于在所述判断单元判断出所述邻居路由器不 为所述本端路由器的邻居时，向可信第三方请求所述邻居路由器的解 密公钥和身份证书。

说明书认证方法和路由器
技术领域
本发明涉及信息技术领域，特别涉及一种认证方法和路由器。
背景技术
开放最短路径优先(Open Shortest Path First，简称OSPF)是 一种内部网关协议。该协议规定子网中的路由器包括：指定路由器 (Designated Router，简称DR)、备份指定路由器(Back Designated  Router，简称BDR)和非指定或备份指定路由器(Not DR or BDR，简 称DR Other)。子网中所有路由器的连接状态数据库(Link state  database简称LSDB)都是一致的，由DR产生表示该网络的连接状 态宣告(Link state advertisement简称LSA)。子网中的路由器需 要和DR交换LSDB信息，并由DR为该网络生成一个描述本网络的 信息(Network LSA)，并由DR洪泛到子网中所有的路由器。子网中 的路由器根据LSDB中的描述路由器节点的信息(Router LSA)和 Network LSA，计算出以本端为根节点的最短路径树，并根据最短路 径树计算出子网区域内所有的路由。
OSPF协议存在四种常见的攻击方式：hello报文攻击、最大年 龄攻击、序列号+1攻击和最大序列号攻击，这四类攻击的本质均是 通过修改协议报文中的字段来达到攻击目的。
目前对上述协议报文攻击手段进行防护的方法，主要是报文完 整性验证。其中，协议报文完整性验证主要是通过数字签名的方法来 实现。数字签名是指通过将协议报文中的一些关键字段先进行摘要值 计算(即数字摘要)得到对应的数字摘要值，然后采用加密私钥对数 字摘要值加密得到数字签名信息，最后将数字签名信息附加到协议报 文中以发送至目标路由器。目标路由器接收到该协议报文和数字签名 信息治好后，目标路由器先将协议报文的相同字段进行摘要值计算， 并将计算出的数字摘要值与附加的数字签名信息经过解密经解密后 得到的数字摘要值进行比较，如果两个摘要值一致，则说明协议报文 在传输过程中没有被修改；如果两个摘要值不一致，则说明协议报文 在传输过程中被修改过。数字签名方法安全性高，但是需要一定的计 算开销。
此外，在一个含有可信第三方的可信网络环境中，当一个路由 器设备接入可信网络时，需要经过可信第三方的接入认证，在通过接 入认证之后，可信第三方会向该接入的路由器颁布一个身份证书。在 可信网络中的不同路由器之间进行交互时，交互双方均需要验证对方 的身份证书。
路由器设备和终端在通过接入认证并接入可信网络之后，由于 无法保证其行为在接入后的可信，因此在可信网络中，仍然要防范中 间人攻击，即需要针对路由器设备之间运行OSPF协议时的可能出现 的攻击进行防护。所以在可信网络中运行OSPF协议时，两个通信的 路由器不仅需要在初次交互时进行身份证书的验证，还需要在后序的 某些时刻进行身份证书的验证。
在现有技术中，协议报文的验证和身份证书的验证为两个独立 的验证过程。对应于这两个独立的验证过程，则需要设置两套验证流 程和两对公私钥对。在执行上述两个独立验证流程时，路由器中的计 算开销会相对较大，路由器的工作效率偏低。
发明内容
本发明提供一种认证方法和路由器，该认证方法能节省路由器 的计算开销，提高路由器的验证效率。
为实现上述目的，本发明提供一种认证方法，包括：
接收邻居路由器发送的第一数据信息和所述第一数据信息对应 的第一数字签名信息，所述第一数据信息包括：所述邻居路由器的身 份证书和第一协议报文；
根据本端路由器中存储的所述邻居路由器对应的解密公钥和身 份证书以对所述第一数据信息中的身份证书和第一协议报文进行验 证。
可选地，所述根据本端路由器中存储的所述邻居路由器对应的 解密公钥和身份证书以对所述第一数据信息中的身份证书和第一协 议报文进行验证的步骤包括：
比较所述本端路由器中存储的所述邻居路由器对应的身份证书 与所述第一数据信息中的身份证书是否一致，若比较出所述本端路由 器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中 的身份证书一致时，则所述第一数据信息中的身份证书通过验证；
在所述第一数据信息中的身份证书通过验证之后，根据所述解 密公钥对所述第一数字签名信息进行解密，得到所述第一数据信息的 第一摘要值；
对所述第一数据信息进行数字摘要，得到所述第一数据信息的 第二摘要值；
比较所述第一摘要值与所述第二摘要值是否一致，若比较出所 述第一摘要值与所述第二摘要值一致时，则所述第一数据信息中的协 议报文通过验证。
可选地，在所述比较所述本端路由器中存储的所述邻居路由器 对应的身份证书与所述第一数据信息中的身份证书是否一致的步骤 中，若比较出所述本端路由器中存储的所述邻居路由器对应的身份证 书与所述第一数据信息中的身份证书不一致时，则所述本端路由器向 所述可信第三方请求所述邻居路由器当前对应的身份证书，以对所述 本端路由器中存储的所述邻居路由器的身份证书进行更新，并根据所 述本端路由器中存储的所述邻居路由器更新后的身份证书以对所述 第一数据信息中的身份证书进行验证。
可选地，还包括：
向所述邻居路由器发送的第二数据信息和所述第二数据信息对 应的第二数字签名信息，所述第二数据信息包括：本端路由器的身份 证书和第二协议报文。
可选地，所述向所述邻居路由器发送的第二数据信息和所述第 二数据信息对应的第二数字签名信息的步骤之前还包括：
根据所述本端路由器的加密私钥对第二数据信息进行数字签 名，生成所述第二数据信息对应的第二数字签名信息。
可选地，所述根据所述本端路由器中存储的所述邻居路由器对 应的解密公钥和身份证书以对所述第一数据信息中的身份证书和第 一协议报文进行验证的步骤之前还包括：
判断所述邻居路由器是否为本端路由器的邻居，若判断出所述 邻居路由器不为所述本端路由器的邻居，则所述本端路由器向可信第 三方请求所述邻居路由器的解密公钥和身份证书，并进行存储。
为实现上述目的，本发明还提供一种路由器，包括：
接收单元，用于接收邻居路由器发送的第一数据信息和所述第 一数据信息对应的第一数字签名信息，所述第一数据信息包括：所述 邻居路由器的身份证书和第一协议报文；
验证单元，用于根据本端路由器中存储的所述邻居路由器对应 的解密公钥和身份证书以对所述第一数据信息中的身份证书和第一 协议报文进行验证。
可选地，所述验证单元包括：
第一比较模块，用于比较所述本端路由器中存储的所述邻居路 由器对应的身份证书与所述第一数据信息中的身份证书是否一致，若 比较出所述本端路由器中存储的所述邻居路由器对应的身份证书与 所述第一数据信息中的身份证书一致时，则所述第一数据信息中的身 份证书通过验证；
解密模块，用于在所述第一数据信息中的身份证书通过验证之 后，根据所述解密公钥对所述第一数字签名信息进行解密，得到所述 第一数据信息的第一摘要值；
数字摘要模块，用于对所述第一数据信息进行数字摘要，得到 所述第一数据信息的第二摘要值；
第二比较模块，用于比较所述第一摘要值与所述第二摘要值是 否一致，若比较出所述第一摘要值与所述第二摘要值一致时，则所述 第一数据信息中的协议报文通过验证。
可选地，还包括：
第一请求单元，用于在所述第一比较模块比较出所述本端路由 器中存储的所述邻居路由器对应的身份证书与所述第一数据信息中 的身份证书不一致时，向所述可信第三方请求所述邻居路由器当前对 应的身份证书，并对所述本端路由器中存储的所述邻居路由器的身份 证书进行更新。
可选地，还包括：
发送单元，用于向所述邻居路由器发送的第二数据信息和所述 第二数据信息对应的第二数字签名信息，所述第二数据信息包括：本 端路由器的身份证书和第二协议报文。
可选地，还包括：
数字签名单元，用于根据所述本端路由器的加密私钥对第二数 据信息进行数字签名，生成所述第二数据信息对应的第二数字签名信 息。
可选地，还包括：
判断单元，用于在所述接收单元接收到所述第一数据信息和所 述第一数字签名信息时，判断所述邻居路由器是否为本端路由器的邻 居；
第二请求单元，用于在所述判断单元判断出所述邻居路由器不 为所述本端路由器的邻居时，向可信第三方请求所述邻居路由器的解 密公钥和身份证书。
本发明具有以下有益效果：
本发明提供了一种认证方法和路由器，其中，该认证方法包括： 接收邻居路由器发送的第一数据信息和第一数据信息对应的第一数 字签名信息，第一数据信息包括：邻居路由器的身份证书和第一协议 报文；根据本端路由器中存储的邻居路由器对应的解密公钥和身份证 书以对第一数据信息中的身份证书和第一协议报文进行验证。本发明 的技术方案将原本单独进行的身份证书验证和协议报文验证整合为 一个验证流程，同时在验证过程中仅需使用一套公私钥对，该认证方 法能节省计算开销，提高验证效率。
附图说明
图1为本发明实施例一提供的认证方法的流程图；
图2为本发明实施例二提供的认证方法的流程图；
图3为本发明实施例三提供的认证方法的流程图；
图4为本发明实施例四提供的路由器的结构框图；
图5为图4中验证单元的结构框图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案，下面结 合附图对本发明提供的认证方法和路由器进行详细描述。
图1为本发明实施例一提供的认证方法的流程图，如图1所示， 该认证方法包括：
步骤101：接收邻居路由器发送的第一数据信息和第一数据信息 对应的第一数字签名信息，第一数据信息包括：邻居路由器的身份证 书和第一协议报文。
需要说明的是，本实施例给出的是本端路由器对邻居路由器的 身份证书以及协议报文的验证过程，本实施例中的各步骤均由本端路 由器来执行。本实施提供的认证方法适用于能够作为DR或BDR的 路由器，尤其适用于处理性能和资源优先的小型路由器。
本发明中第一协议报文具体可以为：握手报文(HELLO报文)、 数据库描述报文(DBD报文)、链路状态请求报文(LSR报文)、链 路状态更新报文(LSU报文)或链路状态应答报文(LSA报文)。
在步骤101中，邻居路由器将由可信第三方颁发的身份证书和 预发送的第一协议报文所组成的第一数据信息以进行数字签名(即对 身份证书和第一协议报文进行共同数字签名)，生成第一数字签名信 息，并将该第一数据信息和第一数字签名信息发送至本端路由器，本 端路由器接收第一数据信息和第一数字签名信息。
步骤102：根据本端路由器中存储的邻居路由器对应的解密公钥 和身份证书以对第一数据信息中的身份证书和第一协议报文进行验 证。
可选地，步骤102具体包括：
步骤1021：比较本端路由器中存储的邻居路由器对应的身份证 书与第一数据信息中的身份证书是否一致。
在步骤1021中，若比较出本端路由器中存储的邻居路由器对应 的身份证书与第一数据信息中的身份证书不一致时，则说明邻居路由 器的身份证书不通过验证，邻居路由器无法与本端路由器通信。流程 结束。
若比较出本端路由器中存储的邻居路由器对应的身份证书与第 一数据信息中的身份证书一致时，则说明邻居路由器的身份证书通过 验证，继续执行步骤1022。
步骤1022：根据解密公钥对第一数字签名信息进行解密，得到 第一数据信息的第一摘要值。
在步骤1022中，当邻居路由器的身份证书通过验证后，本端路 由器根据存储的邻居路由器所对应的解密公钥对第一数字签名信息 进行解密，得到第一数据信息的第一摘要值。
步骤1023：对第一数据信息进行数字摘要，得到第一数据信息 的第二摘要值；
在步骤1023中，本端路由器对第一数据信息进行数字摘要，得 到第一数据信息的第二摘要值。
步骤1024：比较第一摘要值与第二摘要值是否一致。
在步骤1024中，若比较出第一摘要值与第二摘要值一致时，则 说明第一数据信息中的身份证书和第一协议报文均没有被攻击，相应 地，第一数据信息中的第一协议报文通过验证，即邻居路由器的身份 证书和第一协议报文均通过验证。
若比较出第一摘要值与第二摘要值不一致时，则说明第一数据 信息在传递过程中被攻击(身份证书和/或协议报文被修改)，本端 路由器将第一数据信息丢弃。
本发明实施例一提供了一种认证方法，该认证方法将可信网络 下的身份证书验证和协议报文验证相结合，达到了身份证书验证与协 议报文共同签名、共同验证的效果。本发明的技术方案将原本单独进 行的身份证书验证和协议报文验证整合为一个验证流程，同时在验证 过程中仅需使用一套公私钥对，该认证方法能节省计算开销，提高验 证效率。
实施例二
本发明实施例二提供了一种认证方法，其用于在新接入路由器 与可信网络中的指定路由器之间建立邻居关系时的对身份证书和 HELLO报文的验证。
在本实施例中，邻居路由器具体为新接入路由器，该新接入路 由器需要接入至可信网络中，本端路由器具体为可信网络中的指定路 由器(DR)。新接入路由器预发出的第一协议报文具体为第一HELLO 报文，指定路由器预发出的第二协议报文具体为第二HELLO报文。
图2为本发明实施例二提供的认证方法的流程图，如图2所示， 该认证方法包括：
步骤201：新接入路由器向可信第三方发送解密公钥以及接入认 证信息，以向可信第三方请求身份证书。
在新接入路由器并入可信网络之前，需要向可信网络中的可信 第三方请求发送对应的解密公钥以及接入可信网络所需要的接入认 证信息，以向可信第三方请求一个身份证书。
步骤202：可信第三方根据接入认证信息对新接入路由器的进行 认证，并在接入认证信息通过认证后生成新接入路由器对应的身份证 书，同时对新接入路由器的身份证书和解密公钥进行存储。
可信第三方对新接入路由器的接入认证过程为本领域的现有技 术，此处不再赘述。
步骤203：可信第三方向新接入路由器下发身份证书。
通过上述步骤201～步骤203，新接入路由器可从可信第三方获 取到在可信网络中的身份证书。
在新接入路由器接收到身份证书后，新接入路由器需要与可信 网络中的指定路由器建立邻居关系，以便在可信网络中与指定路由器 进行通信。在新接入路由器与指定路由器建立邻居的过程中，需要双 方互相验证身份证书和HELLO报文。
步骤204：新接入路由器将由可信第三方下发的身份证书和预发 送的第一HELLO报文所组成的第一数据信息以进行数字签名，生成第 一数字签名信息。
在步骤204中，新接入路由器将由其自身的身份证书和预发送 的第一HELLO报文所组成的第一数据信息以进行数字签名，并生成第 一数字签名信息。
步骤205：新接入路由器将第一数据信息和第一数字签名信息发 送至指定路由器。
在步骤205中，新接入路由器将第一数据信息和第一数字签名 信息发送至指定路由器，以让指定路由器进行验证。
步骤206：指定路由器判断新接入路由器是否为指定路由器的邻 居。
在步骤206中，当指定路由器接收到第一数据信息和第一数字 签名信息后，指定路由器通过查询其自身的邻居列表中是否存在该新 接入路由器的相关信息(如：新接入路由器的标识信息、邻居理由器 的优先级信息)，以判断该新接入路由器是否为指定路由器的邻居。
具体地，当邻居列表中存在新接入路由器的相关信息时，则说 明该新接入路由器为指定路由器的邻居，相应地，指定路由器中必然 存在该新接入路由器的解密公钥和身份证书，则在步骤206结束后执 行步骤209。
当邻居列表中不存在新接入路由器的相关信息时，则说明该新 接入路由器不为指定路由器的邻居，相应地，指定路由器中必然不存 在该新接入路由器的解密公钥和身份证书，则在步骤206结束后执行 步骤207。
需要说明的是，在实际的操作中，由于新接入路由器暂时还未 处于可信网络中，因此指定路由器的邻居列表中必然不会存在新接入 路由器，因此指定路由器会判断出新接入路由器不是指定路由器的邻 居。
步骤207：指定路由器向可信第三方请求新接入路由器的解密公 钥和身份证书。
在步骤207中，由于新接入路由器不是指定路由器的邻居，因 此在指定路由器中没有存储新接入路由器的解密公钥和身份证书，则 指定路由器需要向可信第三方请求新接入路由器的解密公钥和身份 证书。
步骤208：可信第三方向指定路由器下发新接入路由器的解密公 钥和身份证书。
在步骤208中，可信第三方接收到指定路由器的请求后，可信 第三方向指定路由器下发新接入路由器的解密公钥和身份证书，以供 指定路由器进行存储。
步骤209：指定路由器根据存储的新接入路由器对应的解密公钥 和身份证书以对第一数据信息中的身份证书和第一HELLO报文进行 验证。
在步骤209中，指定路由器根据存储的新接入路由器对应的解 密公钥和身份证书以对第一数据信息中的身份证书和第一HELLO报 文进行验证，该验证过程可参见上述实施例一中对步骤104的描述， 此处不再赘述。
当第一数据信息中的身份证书和第一HELLO报文存在至少一个 没有通过验证时，则指定路由器将该第一数据信息丢弃，流程结束。 当第一数据信息中的身份证书和第一HELLO报文均通过验证时，则指 定路由器在其自身的邻居列表中添加新接入路由器，继续执行步骤 210。
通过上述步骤204～步骤209，指定路由器可对新接入路由器的 身份证书和第一HELLO报文进行验证。
步骤210：指定路由器将由指定路由器的身份证书和预发送的第 二HELLO报文所组成的第二数据信息以进行数字签名，生成第二数字 签名信息。
在新接入路由器的身份证书和第二HELLO报文均通过指定路由 器的验证后，新接入路由器还需要对指定路由器的身份证书和第二 HELLO报文进行验证。
在步骤210中，指定入路由器将由其自身的身份证书和预发送 的第二HELLO报文所组成的第二数据信息以进行数字签名，并生成第 二数字签名信息。
步骤211：指定路由器将第二数据信息和第二数字签名信息发送 至新接入路由器。
在步骤211中，指定路由器将第二数据信息和第二数字签名信 息发送至指定路由器，以让新接入路由器进行验证。
步骤212：新接入路由器判断指定路由器是否为新接入路由器的 邻居。
在步骤212中，新接入路由器通过其自身的邻居列表可以判断 指定接入路由器是否为新接入路由器的邻居，具体判断过程可参见上 述实施例一中对步骤102的描述。当判断出指定路由器为新接入路由 器的邻居时，则执行步骤215；当判断出指定由器不为新接入路由器 的邻居时，则继续执行步骤213。
需要说明的是，在实际的操作中，由于新接入路由器暂时还未 处于可信网络中，因此指定路由器必然会判断出指定路由器不是新接 入路由器的邻居。
步骤213：新接入路由器向可信第三方请求指定路由器的解密公 钥和身份证书。
在步骤213中，由于指定路由器不是新接入路由器的邻居，因 此在新接入路由器中没有存储指定路由器的解密公钥和身份证书，则 新接入路由器需要向可信第三方请求指定路由器的解密公钥和身份 证书。
步骤214：可信第三方向新接入路由器下发指定路由器的解密公 钥和身份证书。
在步骤214中，可信第三方接收到新接入路由器的请求后，可 信第三方向指定路由器下发新指定路由器的解密公钥和身份证书，以 供新接入路由器进行存储。
步骤215：新接入路由器根据存储的指定路由器对应的解密公钥 和身份证书以对第二数据信息中的身份证书和第二HELLO进行验证。
在步骤215中，新接入路由器根据存储的指定入路由器对应的 解密公钥和身份证书以对第二数据信息中的身份证书和第二HELLO 报文进行验证，该验证过程可参见上述实施例一中对步骤104的描 述，此处不再赘述。
当第二数据信息中的身份证书和第二HELLO报文至少一个没有 通过验证时，则新接入路由器将该第二数据信息丢弃，流程结束。当 第二数据信息中的身份证书和第二HELLO报文均通过验证时，则新接 入路由器在其自身的邻居列表中添加指定路由器，新接入路由器与指 定路由器之间完成邻居关系的建立，流程结束。
通过上述步骤210～步骤215，新接入路由器可对指定入路由器 的身份证书和第二HELLO报文进行验证。
需要说明的是，本实施例中上述步骤210～步骤215可先于步骤 204执行，即先进行新接入路由器可对指定入路由器的身份证书和第 二HELLO报文进行验证，再进行指定路由器可对新接入路由器的身份 证书和第一HELLO报文进行验证。
实施例三
本发明实施例三提供了一种认证方法，其用于在可信网络中的 非指定或备份指定路由器(DR Other)的身份证书过期并向可信第三 方重新申请到新身份证书之后，可信网络中的指定路由器(DR)对非 指定或备份指定路由器的新身份证书和协议报文进行验证。在本实施 例中，邻居路由器具体为非指定或备份指定路由器(其邻居列表中存 在指定路由器)，本端路由器为指定路由器(其邻居列表中存在非指 定或备份指定路由器)。
图3为本发明实施例三提供的认证方法的流程图，如图3所示， 该认证方法包括：
步骤301：非指定或备份指定路由器向可信第三方请求新身份证 书。
步骤302：可信第三方生成非指定或备份指定路由器的新身份证 书，并对之前存储的非指定或备份指定路由器的身份证书进行更新。
步骤303：可信第三方向非指定或备份指定路由器下发新身份证 书。
通过上述步骤301～步骤303，非指定或备份指定路由器完成对 身份证书的更新。
步骤304：非指定或备份指定路由器将由更新后的身份证书和预 发送的第一协议报文所组成的第一数据信息以进行数字签名，生成第 一数字签名信息。
在步骤304中，非指定或备份指定路由器将由其自身的新身份 证书和预发送的第一协议报文所组成的第一数据信息以进行数字签 名，并生成第一数字签名信息。
需要说明的是，本实施例中第一协议报文可以为HELLO报文、 DBD报文、LSR报文、LSU报文和LSA报文中的任意一种。
步骤305：非指定或备份指定路由器将第一数据信息和第一数字 签名信息发送至指定路由器。
在步骤305中，非指定或备份指定路由器将第一数据信息和第 一数字签名信息发送至指定路由器，以让指定路由器进行验证。
步骤306：指定路由器识别出非指定或备份指定路由器为指定路 由器的邻居。
在步骤306中，由于指定路由器在非指定或备份指定路由器接 入可信网络时已将非指定或备份指定路由器添加至邻居列表，因此指 定路由器可很快识别出非指定或备份指定路由器为指定路由器的邻 居。但是，此时指定路由器中存储的非指定或备份指定路由器所对应 身份证书为更新前的旧身份证书。
步骤307：指定路由器比较指定路由器中存储的非指定或备份指 定路由器对应的身份证书与第一数据信息中的身份证书是否一致。
在步骤307中，若比较出指定路由器中存储的非指定或备份指 定路由器对应的身份证书与第一数据信息中的身份证书一致时，则说 明非指定或备份指定路由器的身份证书通过验证，在步骤307结束后 执行步骤311。
在步骤307中，若比较出指定路由器中存储的非指定或备份指 定路由器对应的身份证书与第一数据信息中的身份证书不一致时，则 说明非指定或备份指定路由器的身份证书不通过验证，在步骤307 之后执行步骤308。
需要说明的是，在实际的操作中，由于指定路由器中存储的非 指定或备份指定路由器所对应身份证书为更新前的旧身份证书，而第 一数据信息中的身份证书为新身份证书，指定路由器会比较出指定路 由器中存储的非指定或备份指定路由器对应的身份证书与第一数据 信息中的身份证书不一致。
步骤308：指定路由器向可信第三方请求非指定或备份指定路由 器当前对应的身份证书。
在步骤308中，当指定路由器比较出指定路由器中存储的非指 定或备份指定路由器对应的身份证书与第一数据信息中的身份证书 不一致之后，指定路由器向可信第三方请求非指定或备份指定路由器 当前对应的身份证书，即更新后的新身份证书。
步骤309：可信第三方向指定路由器下发非指定或备份指定路由 器当前对应的身份证书。
在步骤309中，可信第三方向指定路由器下发非指定或备份指 定路由器的新身份证书。
步骤310：指定路由器对存储的非指定或备份指定路由器的身份 证书进行更新，并根据更新后的身份证书以对第一数据信息中的身份 证书进行验证。
在步骤310中，指定路由器根据可信第三方下发的非指定或备 份指定路由器的新身份证书以对存储的旧身份证书进行更新。同时， 指定路由器比较存储的非指定或备份指定路由器所对应更新后的身 份证书与第一数据信息中的身份证书是否一致。
若比较出指定路由器存储的非指定或备份指定路由器所对应更 新后的身份证书与第一数据信息中的身份证书是不一致，则第一数据 信息中的身份证书不通过验证，流程结束。
若比较出指定路由器存储的非指定或备份指定路由器所对应更 新后的身份证书与第一数据信息中的身份证书一致，则第一数据信息 中的身份证书通过验证，在步骤310结束后执行步骤311。
需要说明的是，在实际的操作中，指定路由器存储的身份证书 和第一数据信息中的身份证书均为更新后的新身份证书，因此第一数 据信息中的身份证书在未被攻击的前提下会通过验证。
需要进一步说明的是，本实施例中的步骤307与上述实施例一 中的步骤1021不同的是，本实施例中的步骤307在第一次判断出本 端路由器中存储的非指定或备份指定路由器(对应于实施例一中的邻 居路由器)对应的身份证书与第一数据信息中的身份证书不一致时， 本端路由器回向可信第三方请求非指定或备份指定路由器当前的身 份证书以对存储的非指定或备份指定路由器的身份证书进行更新，并 根据更新后的身份证书对第一数据信息中的身份证书进行第二次认 证，该认证过程可提高对身份证书验证的精确度。
步骤311：指定路由器根据解密公钥对第一数字签名信息进行解 密，得到第一数据信息的第一摘要值。
在步骤311中，当非指定或备份指定路由器的身份证书通过验 证后，指定路由器根据解密公钥对第一数字签名信息进行解密，得到 第一数据信息的第一摘要值。
步骤312：指定路由器对第一数据信息进行数字摘要，得到第一 数据信息的第二摘要值；
在步骤312中，指定路由器对第一数据信息进行数字摘要，得 到第一数据信息的第二摘要值。
步骤313：指定路由器比较第一摘要值与第二摘要值是否一致。
在步骤313中，若指定路由器比较出第一摘要值与第二摘要值 一致时，则说明第一数据信息中的身份证书和第一协议报文均没有被 攻击，相应地，第一数据信息中的第一协议报文通过验证，即邻居路 由器的身份证书和第一协议报文均通过验证。
若比较出第一摘要值与第二摘要值不一致时，则说明第一数据 信息在传递过程中被攻击(身份证书和/或协议报文被修改)，本端 路由器将第一数据信息丢弃。
实施例四
图4为本发明实施例四提供的路由器的结构框图，图5为图4 中验证单元的结构框图，如图4和图5所示，该路由器包括：接收单 元1和验证单元2，其中接收单元1用于接收邻居路由器发送的第一 数据信息和第一数据信息对应的第一数字签名信息，第一数据信息包 括：邻居路由器的身份证书和第一协议报文；验证单元2用于根据本 端路由器中存储的邻居路由器对应的解密公钥和身份证书以对第一 数据信息中的身份证书和第一协议报文进行验证。
在本实施例提供的路由器中，将可信网络下的身份证书验证和 协议报文验证相结合，使得原本单独进行的身份证书验证和协议报文 验证整合为一个验证流程，从而能节省计算开销，提高验证效率。
在本实施例中，验证单元2具体包括：第一比较模块21、解密 模块22、数字摘要模块23和第二比较模块24，其中，第一比较模块 21用于比较本端路由器中存储的邻居路由器对应的身份证书与第一 数据信息中的身份证书是否一致，若比较出本端路由器中存储的邻居 路由器对应的身份证书与第一数据信息中的身份证书一致时，则第一 数据信息中的身份证书通过验证；解密模块22用于在所述第一数据 信息中的身份证书通过验证之后，根据解密公钥对第一数字签名信息 进行解密，得到第一数据信息的第一摘要值；数字摘要模块23用于 对第一数据信息进行数字摘要，得到第一数据信息的第二摘要值；第 二比较模块24用于比较第一摘要值与第二摘要值是否一致，若比较 出第一摘要值与第二摘要值一致时，则第一数据信息中的协议报文通 过验证。
进一步可选地，该路由器还包括：第一请求单元3，第一请求单 元3用于在第一比较模块21比较出本端路由器中存储的邻居路由器 对应的身份证书与第一数据信息中的身份证书不一致时，向可信第三 方请求邻居路由器当前对应的解密公钥和身份证书，并对本端路由器 中存储的邻居路由器的解密公钥和身份证书进行更新。
本实施例中，可选地，该路由器还包括：判断单元4和第二请 求单元5，判断单元4用于在接收单元1接收到第一数据信息和第一 数字签名信息时，判断邻居路由器是否为本端路由器的邻居；第二请 求单元5用于在判断单元4判断出邻居路由器不为本端路由器的邻居 时，向可信第三方请求邻居路由器的解密公钥和身份证书。
可选地，该路由器还包括：数字签名单元6和发送单元7，数字 签名单元6用于根据本端路由器的加密私钥对第二数据信息进行数 字签名，生成第二数据信息对应的第二数字签名信息，发送单元7 用于向邻居路由器发送的第二数据信息和第二数据信息对应的第二 数字签名信息，第二数据信息包括：本端路由器的身份证书和第二协 议报文。
本实施例提供的路由器可用于实现上述实施例一、实施例二以 及实施例三所提供的认证方法，该路由器中各模块和单元的执行过程 可参照上述实施例一、实施例二以及实施例三中对应步骤的描述，此 处不再赘述。
本发明实施例四提供了一种路由器，该路由器包括：接收单元 和验证单元，其中，接收单元用于接收邻居路由器发送的第一数据信 息和第一数据信息对应的第一数字签名信息，第一数据信息包括：邻 居路由器的身份证书和第一协议报文；验证单元用于根据本端路由器 中存储的邻居路由器对应的解密公钥和身份证书以对第一数据信息 中的身份证书和第一协议报文进行验证。本实施例提供的路由器可将 可信网络下的身份证书验证和协议报文验证相结合，达到了身份证书 与协议报文共同签名、共同验证的效果。本发明的技术方案将原本单 独进行的身份证书验证和协议报文验证整合为一个验证流程，同时在 验证过程中仅需使用一套公私钥对，因此该路由器的可降低验证过程 中的计算开销，提升验证效率。
可以理解的是，以上实施方式仅仅是为了说明本发明的原理而 采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的 普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做 出各种变型和改进，这些变型和改进也视为本发明的保护范围。