一种防止重放攻击的实现方法和设备的制作方法
【专利摘要】本发明公开了一种防止重放攻击的实现方法和设备,该方法包括:网络设备在需要发送IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过所述本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;所述网络设备发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号。本发明实施例中,可以防止攻击者利用IS-IS协议报文进行报文重放攻击。
【专利说明】一种防止重放攻击的实现方法和设备
【技术领域】
[0001]本发明涉及通信【技术领域】,尤其是一种防止重放攻击的实现方法和设备。
【背景技术】
[0002]随着网络规模需求的日益增长,IS-1S(Intermediate System-to-1ntermediateSystem,中间系统到中间系统)作为一种内部网关动态路由协议,已经逐步得到广泛的应用。在IS-1S网络中,为了建立邻居关系,网络设备之间会交互Hello报文。此外,为了更新LSPDU (Link State Protocol Data Unit,链路状态协议数据单元)报文(简称LSP报文),网络设备之间会交互 CSNP (Complete Sequence Numbers Protocol Data Unit,完整序号协议数据单兀)报文和 / 或 PSNP (Partial Sequence Numbers Protocol Data Unit,部分序号协议数据单元)报文。
[0003]现有技术中,攻击者一旦截获Hello报文/LSPDU报文/CSNP报文/PSNP报文,即可利用Hello报文/LSPDU报文/CSNP报文/PSNP报文进行报文重放攻击。
[0004]具体的,(I)在网络设备建立邻居关系之前,攻击者截获Hello报文,在网络设备建立邻居关系之后,攻击者通过将之前截获的Hello报文打入网络,以利用截获的Hello报文进行报文重放攻击,从而导致邻居震荡,路由震荡等问题,并进一步导致路由不可达,流量中断等问题。(2)攻击者通过截获CSNP报文,并将截获的CSNP报文打入网络,以利用截获的CSNP报文进行报文重放攻击,且由于截获的CSNP报文中包含的LSP摘要较旧,因此导致网络设备发送PSNP报文进行请求,并对LSP进行同步,继而导致带宽资源紧张。(3)攻击者通过截获PSNP报文,并将截获的PSNP报文打入网络,以利用截获的PSNP报文进行报文重放攻击,从而导致LSP不必要的大量泛洪,并导致网络拥塞。(4)攻击者通过截获Lsrou报文,并将截获的LSPDU报文打入网络,以利用截获的CSNP报文进行报文重放攻击,导致路由重新下刷,流量中断。
【发明内容】
[0005]本发明实施例提供一种防止重放攻击的实现方法和设备,以防止攻击者利用Hello报文/LSPDU报文/CSNP报文/PSNP报文进行报文重放攻击。
[0006]为了达到上述目的,本发明实施例提供一种防止重放攻击的实现方法,所述方法包括以下步骤:网络设备在需要发送中间系统到中间系统IS-1S协议报文时,从配置库中获得所述IS-1S协议报文上次使用的序列号,并确定所述IS-1S协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;所述网络设备发送所述IS-1S协议报文,且所述IS-1S协议报文中携带所述本次使用的序列号;由收到所述IS-1S协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
[0007]所述IS-1S协议报文为:基于IS-1S协议的Hello报文、或基于IS-1S协议的链路状态协议数据单元LSPDU报文、或基于IS-1S协议的完整序号协议数据单元CSNP报文、或基于IS-1S协议的部分序号协议数据单元PSNP报文。
[0008]所述方法进一步包括:在IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,所述网络设备在所述配置库中为每个接口下的每个Level分别维护序列号;其中,所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的接口下的Level所对应的序列号;在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,所述网络设备在所述配置库中为每个Level分别维护序列号;其中,所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的Level所对应的序列号。
[0009]本发明实施例提供一种防止重放攻击的实现方法,该方法包括以下步骤:
[0010]网络设备接收来自其它网络设备的中间系统到中间系统IS-1S协议报文,且所述IS-1S协议报文中携带了所述IS-1S协议报文本次使用的序列号;
[0011]所述网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则所述网络设备确定所述IS-1S协议报文为合法报文,并通过所述本次使用的序列号更新本地存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则所述网络设备确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
[0012]所述IS-1S协议报文为:基于IS-1S协议的Hello报文、或基于IS-1S协议的链路状态协议数据单元LSPDU报文、或基于IS-1S协议的完整序号协议数据单元CSNP报文、或基于IS-1S协议的部分序号协议数据单元PSNP报文。
[0013]所述方法进一步包括:在所述IS-1S协议报文为基于IS-1S协议的CSNP报文或者基于IS-1S协议的PSNP报文时,所述网络设备在本地存储的配置库中为每个接口下的每个Level分别维护序列号;本地存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的接口下的Level所对应的序列号;在所述IS-1S协议报文为基于IS-1S协议的He I 1报文时,所述网络设备在所述其它网络设备对应的邻居信息下维护序列号;本地存储的所述IS-1S协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;在所述IS-1S协议报文为基于IS-1S协议的LSrou报文时,所述网络设备在本地存储的配置库中为每个Level分别维护序列号;其中,本地存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的Level所对应的序列号。
[0014]本发明实施例提供一种网络设备,所述网络设备具体包括:
[0015]处理模块,用于在需要发送中间系统到中间系统IS-1S协议报文时,从配置库中获得所述IS-1S协议报文上次使用的序列号,并确定所述IS-1S协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;
[0016]发送模块,用于发送所述IS-1S协议报文,且所述IS-1S协议报文中携带所述本次使用的序列号;由收到所述IS-1S协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
[0017]所述IS-1S协议报文具体为:基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSPDU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,在所述配置库中为每个接口下的每个Level分别维护序列号,且所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,在所述配置库中为每个Level分别维护序列号,且所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的Level所对应的序列号。
[0018]本发明实施例提供一种网络设备,所述网络设备具体包括:
[0019]接收模块,用于接收来自其它网络设备的中间系统到中间系统IS-1S协议报文,且所述IS-1S协议报文中携带了所述IS-1S协议报文本次使用的序列号;
[0020]处理模块,用于比较所述本次使用的序列号以及所述网络设备存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,并通过所述本次使用的序列号更新所述网络设备存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
[0021]所述IS-1S协议报文具体为:基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSPDU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的CSNP报文或者基于IS-1S协议的PSNP报文时,在所述网络设备存储的配置库中为每个接口下的每个Level分别维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的Hello报文时,在所述其它网络设备对应的邻居信息下维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,在所述网络设备存储的配置库中为每个Level分别维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的Level所对应的序列号。
[0022]与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,通过在IS-1S协议报文中携带序列号,以利用IS-1S协议报文中携带的序列号防止攻击者利用IS-1S协议报文进行报文重放攻击。具体的,通过在Hello报文中携带序列号,以利用Hello报文中携带的序列号防止攻击者利用Hello报文进行重放攻击,以避免邻居震荡,路由震荡等问题,并进一步避免路由不可达,流量中断等问题。通过在CSNP报文中携带序列号,以利用CSNP报文中携带的序列号防止攻击者利用CSNP报文进行重放攻击,以避免带宽资源紧张等问题。通过在PSNP报文中携带序列号,以利用PSNP报文中携带的序列号防止攻击者利用PSNP报文进行重放攻击,以避免导致网络拥塞。通过在LSPDU报文中携带序列号,以利用LSPDU报文中携带的序列号防止攻击者利用LSPDU报文进行重放攻击,以避免路由重新下刷,流量中断等问题。此外,采用本发明实施例提供的技术方案不存在兼容的问题。
【专利附图】
【附图说明】
[0023]图1是本发明实施例提供的一种防止重放攻击的实现方法流程示意图;
[0024]图2是本发明实施例中提供的报文序列号TLV的格式示意图;
[0025]图3是本发明实施例提供的一种网络设备的结构示意图;
[0026]图4是本发明实施例提供的另一种网络设备的结构示意图。
【具体实施方式】
[0027]本发明实施例提供一种防止重放攻击的实现方法,该方法应用于包括多个网络设备的IS-1S网络中,如图1所示,该方法可以包括以下步骤:
[0028]步骤101,网络设备在需要发送IS-1S协议报文时,从配置库中获得该IS-1S协议报文上次使用的序列号,并确定该IS-1S协议报文本次使用的序列号,并通过本次使用的序列号更新配置库中记录的上次使用的序列号。
[0029]其中,IS-1S协议报文本次使用的序列号大于该IS-1S协议报文上次使用的序列号。基于此,网络设备在从配置库中获得该IS-1S协议报文上次使用的序列号之后,在确定该IS-1S协议报文本次使用的序列号时,只要保证IS-1S协议报文本次使用的序列号大于该IS-1S协议报文上次使用的序列号即可,如:网络设备确定该IS-1S协议报文本次使用的序列号为上次使用的序列号+1。
[0030]本发明实施例中,IS-1S协议报文具体可以包括但不限于:基于IS-1S协议的He 11 ο报文、或者,基于IS-1S协议的LSTOU报文、或者,基于IS-1S协议的CSNP报文、或者,基于IS-1S协议的PSNP报文。在IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,网络设备在配置库中为每个接口下的每个Level (级别)分别维护序列号;基于此,IS-1S协议报文上次使用的序列号具体为:配置库中记录的用于发送该IS-1S协议报文的接口下的Level所对应的序列号。在IS-1S协议报文为基于IS-1S协议的LSPDU报文时,网络设备在配置库中为每个Level分别维护序列号;基于此,IS-1S协议报文上次使用的序列号具体为:配置库中记录的用于发送该IS-1S协议报文的Level所对应的序列号。
[0031]进一步的,针对基于IS-1S协议的Hello报文、或者,基于IS-1S协议的LSPDU报文、或者,基于IS-1S协议的CSNP报文、或者,基于IS-1S协议的PSNP报文,不同类型的IS-1S协议报文的序列号均单独维护,无任何关联。
[0032]步骤102,网络设备发送IS-1S协议报文,该IS-1S协议报文中携带IS-1S协议报文本次使用的序列号。在包含多个网络设备的IS-1S网络中,互为邻居的两个网络设备之间会交互IS-1S协议报文,即发送端的网络设备会向接收端的网络设备发送IS-1S协议报文,该IS-1S协议报文中携带本次使用的序列号。
[0033]在本发明实施例的一种具体实现方式中,可以在IS-1S协议报文中增加报文序列号TLV (Type-Length-Value,类型-长度-数值),并基于该报文序列号TLV携带IS-1S协议报文本次使用的序列号。如图2所示,为一种报文序列号TLV的格式示意图。进一步的,考虑到基于IS-1S协议的Hello报文的发送间隔较短,缺省为10s,且考虑到基于IS-1S协议的CSNP报文和基于IS-1S协议的PSNP报文的缺省发送间隔为IOs,为了避免序列号在较短时间内发生翻转,并导致网络不稳定等情况,本发明实施例中,还可以设计该报文序列号TLV的序列号取值为8个字节,以避免序列号在较短时间内发生翻转。
[0034]步骤103,网络设备接收来自其它网络设备的IS-1S协议报文,且该IS-1S协议报文中携带了该IS-1S协议报文本次使用的序列号。
[0035]具体的,在包含多个网络设备的IS-1S网络中,互为邻居的两个网络设备之间会交互IS-1S协议报文,即发送端的网络设备会向接收端的网络设备发送IS-1S协议报文,且接收端的网络设备会收到来自发送端的网络设备的IS-1S协议报文,并且该IS-1S协议报文中携带IS-1S协议报文 本次使用的序列号。
[0036]步骤104,网络设备比较本次使用的序列号(即IS-1S协议报文中携带的本次使用的序列号)以及本地存储的IS-1S协议报文上次使用的序列号。
[0037]步骤105,如果本次使用的序列号大于上次使用的序列号,网络设备确定IS-1S协议报文为合法报文,并通过本次使用的序列号更新本地存储的IS-1S协议报文上次使用的序列号;如果本次使用的序列号不大于上次使用的序列号,网络设备确定IS-1S协议报文为重放攻击报文,并丢弃IS-1S协议报文。
[0038]本发明实施例中,IS-1S协议报文包括但不限于:基于IS-1S协议的Hello报文、或基于13-13协议的1^^^报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文。在IS-1S协议报文为基于IS-1S协议的CSNP报文或基于IS-1S协议的PSNP报文时,网络设备在本地存储的配置库中为每个接口下的每个Level分别维护序列号;基于此,本地存储的IS-1S协议报文上次使用的序列号具体为:配置库中记录的接收到IS-1S协议报文的接口下的Level所对应的序列号。在IS-1S协议报文为基于IS-1S协议的Hello报文时,网络设备在发送IS-1S协议报文的其它网络设备对应的邻居信息下维护序列号;基于此,本地存储的IS-1S协议报文上次使用的序列号具体为:发送IS-1S协议报文的其它网络设备对应的邻居信息下记录的序列号。在IS-1S协议报文为基于IS-1S协议的LSPDU报文时,网络设备在本地存储的配置库中为每个Level分别维护序列号;基于此,本地存储的IS-1S协议报文上次使用的序列号具体为:配置库中记录的接收到IS-1S协议报文的Level所对应的序列号。
[0039]进一步的,针对基于IS-1S协议的Hello报文、或者,基于IS-1S协议的LSPDU报文、或者,基于IS-1S协议的CSNP报文、或者,基于IS-1S协议的PSNP报文,不同类型的IS-1S协议报文的序列号均单独维护,无任何关联。
[0040]本发明实施例中,网络设备在发送IS-1S协议报文时,还可以对携带IS-1S协议报文本次使用的序列号的IS-1S协议报文进行加密处理,以保证IS-1S协议报文的安全性,继而使得攻击者无法对IS-1S协议报文进行修改。[0041]本发明实施例中,针对发送端的网络设备,在IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,网络设备在配置库中为每个接口下的每个Level分别维护序列号;在IS-1S协议报文为基于IS-1S协议的LSPDU报文时,网络设备在配置库中为每个Level分别维护序列号;在此情况下,当对网络设备进行在线软件升级,或进行GR (Graceful Restart,平滑重启)重启,或进行NSR(Nonstop Routing,不间断路由)重启后,网络设备能够直接基于配置库中维护的序列号继续发送IS-1S协议报文,而不会导致网络设备无法获知序列号的情况。
[0042]考虑到序列号取值为8个字节仍然存在翻转的可能,本发明实施例中,在IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,当IS-1S协议报文的序列号翻转时,将该IS-1S协议报文对应接口静默一段时间(如将IS-1S协议报文对应接口静默网络设备自身的HoldTime (维持时间)时间),等待邻居网络设备维护的本网络设备的邻居超时down掉时,本网络设备清除保存的序列号信息之后,重新恢复正常工作,序列号再从I开始。在IS-1S协议报文为基于IS-1S协议的LSPDU报文时,当IS-1S协议报文的序列号翻转时,可以在等待邻居网络设备将IS-1S协议报文老化掉之后,重新恢复正常工作,序列号再从I开始。
[0043]综上所述,本发明实施例中,通过在IS-1S协议报文中携带序列号,从而可以利用IS-1S协议报文中携带的序列号防止攻击者利用IS-1S协议报文进行报文重放攻击。具体的,(I)通过在Hello报文中携带序列号,以利用Hello报文中携带的序列号防止攻击者利用Hello报文进行重放攻击,以避免邻居震荡,路由震荡等问题,并进一步避免路由不可达,流量中断等问题。(2)通过在CSNP报文中携带序列号,以利用CSNP报文中携带的序列号防止攻击者利用CSNP报文进行重放攻击,以避免带宽资源紧张等问题。(3)通过在PSNP报文中携带序列号,以利用PSNP报文中携带的序列号防止攻击者利用PSNP报文进行重放攻击,以避免导致网络拥塞。(4)通过在LSPDU报文中携带序列号,以利用LSPDU报文中携带的序列号防止攻击者利用LSPDU报文进行重放攻击,以避免路由重新下刷,流量中断等问题。此外,本发明实施例中,由于只是在IS-1S协议报文中增加报文序列号TLV,不支持本发明实施例提供技术方案的网络设备收到携带该报文序列号TLV的IS-1S协议报文时,忽略该报文序列号TLV即可,因此不存在兼容的问题。
[0044]基于与上述方法同样的发明构思,本发明实施例中还提供了一种网络设备,如图3所示,所述网络设备具体包括:
[0045]处理模块11,用于在需要发送中间系统到中间系统IS-1S协议报文时,从配置库中获得所述IS-1S协议报文上次使用的序列号,并确定所述IS-1S协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;所述本次使用的序列号大于所述上次使用的序列号;
[0046]发送模块12,用于发送所述IS-1S协议报文,且所述IS-1S协议报文中携带所述本次使用的序列号;由收到所述IS-1S协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。[0047]所述IS-1S协议报文具体为:基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSPDU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文;所述处理模块11,还用于在所述IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,在所述配置库中为每个接口下的每个Level分别维护序列号,且所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的接口下的Level所对应的序列号;所述处理模块11,还用于在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,在所述配置库中为每个Level分别维护序列号,且所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的Level所对应的序列号。
[0048]其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0049]基于与上述方法同样的发明构思,本发明实施例中还提供了一种网络设备,如图4所示,所述网络设备具体包括:
[0050]接收模块21,用于接收来自其它网络设备的中间系统到中间系统IS-1S协议报文,且IS-1S协议报文中携带了所述IS-1S协议报文本次使用的序列号;
[0051]处理模块22,用于比较所述本次使用的序列号以及所述网络设备存储的所述
IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,并通过所述本次使用的序列号更新所述网络设备存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
[0052]所述IS-1S协议报文具体为:基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSPDU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文;所述处理模块22,还用于在所述IS-1S协议报文为基于IS-1S协议的CSNP报文或者基于IS-1S协议的PSNP报文时,在所述网络设备存储的配置库中为每个接口下的每个Level分别维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的接口下的Level所对应的序列号;所述处理模块22,还用于在所述IS-1S协议报文为基于IS-1S协议的Hello报文时,在所述其它网络设备对应的邻居信息下维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;所述处理模块22,还用于在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,在所述网络设备存储的配置库中为每个Level分别维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为所述配置库中记录的接收到所述IS-1S协议报文的Level所对应的序列号。
[0053]其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0054]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0055]本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0056]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0057]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0058]以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【权利要求】
1.一种防止重放攻击的实现方法,其特征在于,所述方法包括以下步骤: 网络设备在需要发送中间系统到中间系统IS-1S协议报文时,从配置库中获得所述IS-1S协议报文上次使用的序列号,并确定所述IS-1S协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号; 所述网络设备发送所述IS-1S协议报文,且所述IS-1S协议报文中携带所述本次使用的序列号;由收到所述IS-1S协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
2.如权利要求1所述的方法,其特征在于,所述IS-1S协议报文具体为: 基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSTOU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文。
3.如权利要求2所述的方法,其特征在于,所述方法进一步包括: 在所述IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,所述网络设备在所述配置库中为每个接口下的每个Level分别维护序列号;其中,所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的接口下的Level所对应的序列号;在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,所述网络设备在所述配置库中为每个Level分别维护序列号;其中,所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的Leve`l所对应的序列号。
4.一种防止重放攻击的实现方法,其特征在于,所述方法包括以下步骤: 网络设备接收来自其它网络设备的中间系统到中间系统IS-1S协议报文,且所述IS-1S协议报文中携带了所述IS-1S协议报文本次使用的序列号; 所述网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则所述网络设备确定所述IS-1S协议报文为合法报文,并通过所述本次使用的序列号更新本地存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则所述网络设备确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
5.如权利要求4所述的方法,其特征在于,所述IS-1S协议报文具体为: 基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSTOU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文。
6.如权利要求5所述的方法,其特征在于,所述方法进一步包括: 在所述IS-1S协议报文为基于IS-1S协议的CSNP报文或者基于IS-1S协议的PSNP报文时,所述网络设备在本地存储的配置库中为每个接口下的每个Level分别维护序列号;其中,本地存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的接口下的Level所对应的序列号;在所述IS-1S协议报文为基于IS-1S协议的Hello报文时,所述网络设备在所述其它网络设备对应的邻居信息下维护序列号;其中,本地存储的所述IS-1S协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,所述网络设备在本地存储的配置库中为每个Level分别维护序列号;其中,本地存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的Level所对应的序列号。
7.—种网络设备,其特征在于,所述网络设备具体包括: 处理模块,用于在需要发送中间系统到中间系统IS-1S协议报文时,从配置库中获得所述IS-1S协议报文上次使用的序列号,并确定所述IS-1S协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号; 发送模块,用于发送所述IS-1S协议报文,且所述IS-1S协议报文中携带所述本次使用的序列号;由收到所述IS-1S协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-1S协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
8.如权利要求7所述的网络设备,其特征在于,所述IS-1S协议报文具体为:基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSPDU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文; 所述处理模块,还用于在 所述IS-1S协议报文为基于IS-1S协议的Hello报文、或基于IS-1S协议的CSNP报文、或基于IS-1S协议的PSNP报文时,在所述配置库中为每个接口下的每个Level分别维护序列号,且所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,在所述配置库中为每个Level分别维护序列号,且所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-1S协议报文的Level所对应的序列号。
9.一种网络设备,其特征在于,所述网络设备具体包括: 接收模块,用于接收来自其它网络设备的中间系统到中间系统IS-1S协议报文,且所述IS-1S协议报文中携带了所述IS-1S协议报文本次使用的序列号; 处理模块,用于比较所述本次使用的序列号以及所述网络设备存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-1S协议报文为合法报文,并通过所述本次使用的序列号更新所述网络设备存储的所述IS-1S协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-1S协议报文为重放攻击报文,并丢弃所述IS-1S协议报文。
10.如权利要求9所述的网络设备,其特征在于,所述IS-1S协议报文具体为:基于IS-1S协议的Hello报文、或者,基于IS-1S协议的链路状态协议数据单元LSPDU报文、或者,基于IS-1S协议的完整序号协议数据单元CSNP报文、或者,基于IS-1S协议的部分序号协议数据单元PSNP报文; 所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的CSNP报文或者基于IS-1S协议的PSNP报文时,在所述网络设备存储的配置库中为每个接口下的每个Level分别维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的Hello报文时,在所述其它网络设备对应的邻居信息下维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;所述处理模块,还用于在所述IS-1S协议报文为基于IS-1S协议的LSPDU报文时,在所述网络设备存储的配置库中为每个Level分别维护序列号;其中,所述网络设备存储的所述IS-1S协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-1S协议报文的Level所对应的序列号。`
【文档编号】H04L29/06GK103856489SQ201410093050
【公开日】2014年6月11日 申请日期:2014年3月13日 优先权日:2014年3月13日
【发明者】刘畅, 晁军显 申请人:杭州华三通信技术有限公司