一种路由协议接入认证方法、设备及介质
技术领域
本发明涉及通信领域,特别涉及一种路由协议接入认证方法、设备及介质。
背景技术
相关技术中,邻居路由器验证新加入路由器向其发送的建立邻居关系的配置上的密码(口令),当密码通过验证则允许邻居关系建立,将新的路由向加入到网络中。若邻居路由向密码泄露,使得获知邻居路由向密码的任意路由向均可以加入到网络中,获知网络拓扑及路由信息,严重影响到网络安全。
发明内容
本发明一些实施例提供了一种路由协议接入认证方法、设备及介质,用以提升路由认证的可靠性,提升网络安全性。
根据示例性的实施方式中的第一方面,提供一种路由协议接入认证方法,应用认证控制路由器,方法包括:
接收请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
向路由器组中的路由器发送认证交易消息,以使路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证;
根据验证通过的路由器的数量,在确定待认证路由器的路由协议接入认证成功后,将待认证路由器加入区块链的网络域中。
上述实施例中,待认证路由器通过包含多个路由器组的认证密码的哈希值的路由协议接入认证交易消息发起认证,认证控制路由器将该认证交易消息发送至各路由器组中的路由器,由多个路由器根据路由器组的认证密码对该认证交易消息进行验证。若发生某个路由器的认证密码被泄露的情况,因还需要区块链中其它路由器组对该认证交易消息进行验证,根据验证通过的路由器的数量,确定待认证路由器的路由协议接入过程认证成功,避免了非法路由器通过泄露的认证密码加入区块链的网络域,提升了网络的安全性,以及路由器加入网络的接入认证过程的可靠性。
在一些示例性的实施方式中,接收请求加入区块链的待认证路由器的路由协议接入认证交易消息之后,方法还包括:
根据认证控制路由器的认证密码,对认证交易消息中与认证控制路由器对应的哈希值进行验证。
上述实施例中,认证控制路由器也可以对待认证路由器进行验证,通过验证认证控制路由器的认证密码,验证认证交易消息中与认证控制路由器对应的哈希值。
在一些示例性的实施方式中,根据认证控制路由器的认证密码,对认证交易消息中与认证控制路由器对应的哈希值进行验证,包括:
根据认证交易消息中多个认证密码的哈希值的排列顺序,确定认证控制路由器所属的路由器组对应的哈希值;
根据认证控制路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
上述实施例中,认证交易消息中的各组路由器的认证密码的哈希值按照约定的顺序排列的,认证控制路由器根据其所属路由器组的认证密码,对认证交易消息与其对应次序的认证密码的哈希值进行验证。避免了认证控制路由器的认证密码泄露的情况下,但因认证交易消息中的各路由器组的认证密码的哈希值是按照约定顺序排列,非法路由器无法获知认证控制路由器对应的次序,也无法加入网络,进一步提升网络的安全性。
在一些示例性的实施方式中,确定待认证路由器的路由协议接入认证成功,包括:
若验证通过的路由器的数量大于设定路由器数量,确定待认证路由器的路由协议接入认证成功;
或,若验证通过的路由器的数量与路由器的数量的比值大于设定数值,确定待认证路由器的路由协议接入认证成功。
上述实施例中,根据验证通过的路由器的数量,判定待认证路由器是否认证成功,由网络中的路由器对待认证路由器进行验证,通过分布式验证的方式,提升路由器加入网络的接入认证过程的可靠性及安全性。
在一些示例性的实施方式中,将待认证路由器加入区块链的网络域中,包括:
接收认证成功的待认证路由器发送的路由信息;
向认证成功的待认证路由器发送网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
上述实施例中,认证控制路由器确定待认证路由器通过认证后,可以将通过认证的路由器接入网络中,与通过认证的路由器传递认证控制路由器的路由信息,使认证控制路由器与通过认证的路由器建立邻居关系,并使通过认证的路由器获知全网或者通过认证路由器所属组的路由信息。
根据示例性的实施方式中的第二方面,一种路由协议接入认证方法,应用于验证路由器,方法包括:
接收认证控制路由器发送的请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息中包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证。
上述实施例中,由验证路由器根据所属的路由器组的认证密码对待认证路由器的路由协议接入认证交易消息进行验证。每个验证路由器仅根据其所属路由器组的认证密码验证认证交易消息对应的哈希值进行验证。若发生某个路由器的认证密码被泄露的情况,因还需要区块链中其它路由器组对认证交易消息进行验证,通过分布式验证的方式,提升路由器接入认证过程的可靠性及安全性。
在一些示例性的实施方式中,根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证,包括:
根据认证交易消息中多个认证密码的哈希值的排列顺序,确定验证路由器所属的路由器组对应的哈希值;
根据验证路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
上述实施例中,认证交易消息中的各组路由器的认证密码的哈希值按照约定的顺序排列的,验证路由器根据其所属路由器组的认证密码,对认证交易消息与其对应次序的认证密码的哈希值进行验证。避免了认证密码泄露的情况下,但因认证交易消息中的各路由器组的认证密码的哈希值是按照约定顺序排列,非法路由器无法获知每个路由器组认证密码对应的次序,也无法加入网络,进一步提升网络的安全性,以及提升路由器接入认证过程的可靠性。
在一些示例性的实施方式中,根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证,还包括:
确定认证密码对应的哈希值与确定的哈希值相同,验证通过;
或,确定认证密码对应的哈希值与确定的哈希值,验证不通过。
上述实施例中,认证交易消息中包含各路由器组认证密码的哈希值,由于确定认证密码的哈希值还需要相应的哈希算法,若非法路由器获知各路由器组的认证密码,也会因无法确定各认证密码对应的哈希值,而无法加入网络中,保护网络安全,以及提升路由器的接入认证可靠性。
根据示例性的实施方式中的第三方面,提供一种路由协议接入认证方法,应用于待认证路由器,方法包括:
确定请求加入区块链的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
向区块链的认证控制路由器发送认证交易消息,以使区块链中的路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
上述实施例中,待认证路由器通过包含多个路由器组的认证密码的哈希值的路由协议接入认证交易消息发起认证,使区块链中的路由器利用所属的路由器组的认证密码对认证交易消息进行验证,通过分布式验证的方式,避免了非法路由器通过泄露的认证控制路由器的认证密码加入区块链中,提升了网络的安全性,以及认证可靠性。
在一些示例性的实施方式中,确定请求加入区块链的路由协议接入认证交易消息,还包括:
根据配置的各路由器组对应的序号,确定认证交易消息中多个认证密码的哈希值的排列顺序。
上述实施例中,认证交易消息中的各组路由器的认证密码的哈希值按照约定的顺序排列的,区块链中的路由器根据其所属的路由器组的认证密码,对认证交易消息与其对应次序的认证密码的哈希值进行验证。避免了某个或某些路由器的认证密码泄露的情况下,但因认证交易消息中的各路由器组的认证密码的哈希值是按照约定顺序排列,非法路由器无法获知认证控制路由器对应的次序,也无法加入网络,进一步提升网络的安全性。
在一些示例性的实施方式中,方法还包括:
向认证控制路由器发送待认证路由器的路由信息;
接收认证控制路由器确认待认证路由器的路由协议接入认证成功后发送的区块链的网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
上述实施例中,待认证路由器通过认证后,与可接收认证控制路由器的路由信息,与认证控制路由器建立邻居关系,也可以获知全网或者通过认证路由器所属组的路由信息。
根据示例性的实施方式中的第四方面,提供一种路由协议接入认证设备,设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器用于执行指令以实现如第一方面中任一项的路由协议接入认证方法。
根据示例性的实施方式中的第五方面,提供一种路由协议接入认证设备,设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器用于执行指令以实现如第二方面中任一项的路由协议接入认证方法。
根据示例性的实施方式中的第六方面,提供一种路由协议接入认证设备,设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器用于执行指令以实现如第三方面中任一项的路由协议接入认证方法。
根据示例性的实施方式中的第七方面,提供一种路由协议接入认证装置,应用于认证控制路由器侧,包括:
接收单元,用于接收请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
发送单元,用于向路由器组中的路由器发送认证交易消息,以使路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证;
处理单元,根据验证通过的路由器的数量,在确定待认证路由器的路由协议接入认证成功后,将待认证路由器加入区块链的网络域中。
根据示例性的实施方式中的第八方面,提供一种路由协议接入认证装置应用于验证路由器侧,包括:
接收单元,用于接收认证控制路由器发送的请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息中包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
处理单元,用于根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证。
根据示例性的实施方式中的第九方面,提供一种路由协议接入认证装置,应用于待认证路由器侧,包括:
处理单元,用于确定请求加入区块链的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
发送单元,用于向区块链的认证控制路由器发送认证交易消息,以使区块链中的路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
根据示例性的实施方式中的第十方面,一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面、第二方面、第三方面方法的步骤。另外,第四至九方面中任一种实现方式所带来的技术效果可参见第一方面、第二方面、第三方面中不同实现方式所带来的技术效果,此处不再赘述。
附图说明
图1为本发明一些实施例提供的网络结构示意图;
图2为根据一示例性实施例示出的待认证路由器、认证控制路由器及验证路由器进行路由认证的示意流程图;
图3为根据一示例性实施例示出的一种路由协议接入认证方法示意流程图;
图4为根据一示例性实施例示出的另一种路由协议接入认证方法示意流程图;
图5为根据一示例性实施例示出的又一种路由协议接入认证方法示意流程图;
图6为根据一示例性实施例示出了一种路由协议接入认证设备结构示意图;
图7为根据一示例性实施例示出了另一种路由协议接入认证设备结构示意图;
图8为根据一示例性实施例示出了又种路由协议接入认证设备结构示意图;
图9为根据一示例性实施例示出了又种路由协议接入认证设备结构示意图;
图10为根据一示例性实施例示出了又种路由协议接入认证设备结构示意图;
图11为根据一示例性实施例示出了又种路由协议接入认证设备结构示意图;
图12为根据一示例性实施例示出了一种路由协议接入认证装置结构示意图;
图13为根据一示例性实施例示出了另一种路由协议接入认证装置结构示意图;
图14为根据一示例性实施例示出了又种路由协议接入认证装置结构示意图。
具体实施方式
为使本发明一些实施例的目的、技术方案和优点更加清楚,下面将结合本发明一些实施例的附图,对本发明一些实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及附图中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要注意的是,附图中各图形的尺寸和形状不反映真实比例,目的只是示意说明本发明内容。并且自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。
路由协议是一种指定数据包转送方式的网上协议。Internet网络的主要节点设备是路由器,路由器通过路由表来转发接收到的数据。转发策略可以是人工指定的(通过静态路由、策略路由等方法)。但在规模较大的网络中(如跨国企业网络、ISP网络),如果通过人工指定转发策略,将会给网络管理员带来巨大的工作量,并且在管理、维护路由表上也变得十分困难。为了解决这个问题,动态路由协议应运而生。
动态路由协议可以让路由器自动学习到其他路由器的网络,并且网络拓扑发生改变后自动更新路由表。网络管理员只需要配置动态路由协议即可,相比人工指定转发策略,工作量大大减少。路由协议通过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递,确保所有路由器知道到其它路由器的路径。通过路由协议创建的路由表,可以描述网络拓扑结构。路由协议与路由器协同工作,实现路由选择和数据包转发功能。可见,路由协议技术是网络得以持续运转的关键所在。常见的路由协议由路由信息协议(Routing Information Protocol,RIP)、开放最短路径优先(Open Shortest PathFirst,OSPF)、中间系统与中间系统间路由协议(Intermediate System-IntermediateSystem,IS-IS)、边界网关协议(Border Gateway Protocol,BGP),每种路由协议根据自己的技术特性的不同,分别适用于不同规模的网络。
现有的路由协议接入认证技术中,通过在邻居路由器上配置认证密码的方式来实现。具体地,在一个已有网络区域当中,当有新的路由器加入这一网络区域,直接按照相关的网络信息,完成路由协议的相关配置后,可以通过配置密码认证的方式来实现邻接路由器对新加入路由器的认证,通过邻居路由器的密码认证,新加入路由器和邻居路由器的邻居关系就可以建立,进而完成对这一网络区域内的加入,新加入路由器送自己的路由信息给邻居,并从邻居获取到全网的路由信息。例如,OSPF路由协议中的相关认证配置:ospfauthentication-mode md5 1cipher%%c{JCOn7tp!mUQ),6(c5y]w-%。再例如,BGP路由协议中的相关配置:nei 10.1.255.2password super123。
上述认证技术可以理解为单点认证的过程,新的路由器的加入由邻居路由器单一认证,单点认证且单一密码认证,一旦密码泄露,新的路由器加入到网络当中,将获得全网的拓扑和路由信息,网络信息全部泄露,会严重影响到网络安全。此外,如果网络内的一台路由器被攻破,就完全可以获取到该台路由器的IP地址和路由协议认证密码等信息,非法路由器(或者窃取网络信息的路由器模拟器)完全可以通过这台被破解的路由器加入到网络当中。现有认证技术存在较大的网络隐患,无法提升网络安全性。
有鉴于此,本发明为解决现有认证技术网络安全性低、因单点认证带来的网络隐患等问题,将区块链技术与路由协议认证技术相结合,利用区块链的去中心化分布式验证的技术特征实现安全性高的路由协议认证过程。
本发明实施例中,将网络中的路由器加入到一个区块链中,作为区块链的节点,对新加入网络中路由的路由协议的接入认证交易消息进行验证。
图1为本发明实施例中的网络结构示意图。本发明实施例中的网络包括多个路由器组101,其中每个路由器组中至少包括一个路由102。
在一些示例中,多个路由器组101在同一网络中,其中同一网络中的路由器之间可以进行数据交互,也即不同路由器组中的路由器之间可以进行数据交互,并且各路由器之间的数据可以是免密共享。网络中的路由器可以作为节点加入公有区块链或私有区块链,使得网络中的路由器之间也可以通过区块链交易信息进行数据交互。
在一些示例中,多个路由器组101属于不同局域网,每个局域网中的路由器之间可以进行数据交互,不同局域网中的路由器之间不进行数据交互,也即不同局域网中的数据是不共享的。每个路由器组中的路由器可以作为节点加入公有区块链,使得不同路由器组中的路由器之间可以通过区块链交易信息进行数据交互。
在一些示例中,多个路由器组101在同一网络中,每个路由器组中的路由器可以作为节点加入联盟区块链,使得网络中的路由器之间可以通过区块链交易信息进行数据交互。每个路由器组属于联盟区块链中的不同机构,同一网络机构中的路由器之间可以进行数据交互,不同机构之间的数据可以共享或者经授权后共享。
待认证路由器n1通过网络中的任意一个路由器,例如路由器m1,申请加入网络,路由器m1可视为该待认证路由器n1申请加入网络时的认证控制路由器103,网络中的其它路由器可视为待认证路由器n1的验证路由器。待认证路由器n2通过网络中路由器m2申请加入网络,路由器m2可视为该待认证路由器n2申请加入网络时的认证控制路由器103,网络中的其它路由器可视为待认证路由器n2的验证路由器。换句话说,本申请实施例示出的认证控制路由器并非固定的路由器,网络中的任意一个路由器均具备本申请实施例中提供的认证控制路由器以及验证路由器的功能。
另外,在实际应用场景中,网络中可以同步或者异步处理多个申请加入网络的待认证路由器的认证。
图2为根据一示例性实施例示出的待认证路由器、认证控制路由器及验证路由器进行路由认证的示意流程图。
步骤S201,待认证路由器确定请求加入区块链的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由。
具体实施时,待认证路由器将区块链中各路由器组的认证密码的哈希值组成路由协议接入认证交易消息。其中,路由器组中包括的路由的认证密码是相同的。不同路由器组的认证密码是互不同的。
步骤S202,待认证路由器向区块链的认证控制路由器发送认证交易消息,以使区块链中的路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
具体实施时,待认证路由器将认证交易消息通过打包到区块链的认证交易的方式,将认证交易消息发送给认证控制路由器。
步骤S203,认证控制路由器向路由器组中的路由发送认证交易消息,以使路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
具体实施时,区块链中的认证控制路由器用于接收所有待认证路由器的路由协议接入认证交易消息,请求加入区块链中的路由器需要与认证控制路由器进行通信,通过认证控制路由器发起路由协议接入认证过程。
认证控制路由器在接收到路由协议接入认证交易消息后,将认证交易消息发送给各路由器组中的路由器,也即将认证交易消息发送给网络中其它路由器,以使其它路由器可以对认证交易消息进行验证。
步骤S204,验证路由器根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证。
具体实施时,每个验证路由器都对认证交易消息中,与其对应的哈希值,进行验证。验证路由器的认证密码为其所属路由器组的认证密码,例如认证交易消息中携带路由器组1以及路由器组2认证密码的哈希值。路由器组1包括路由器A和路由器B,路由器组2包括路由器C和路由器D。路由器A对应的哈希值为其所属路由器组1的认证密码的哈希值,路由器A验证认证交易消息时,对认证交易消息中路由器组1的认证密码的哈希值进行验证。同样的道理,路由器D对认证交易消息中与路由器D对应的路由器组2的认证密码的哈希值进行验证。
一种可能的实施方式中,认证交易消息中的各路由器组的认证密码的哈希值是按照约定次序排列的。例如路由器组1的认证密码的哈希值在第1字节中,路由器组2的认证密码的哈希值在第2字节中。路由器A对认证交易消息验证时,可以从认证交易消息的第1字节中提取哈希值进行验证。路由器D对认证交易消息验证时,可以从认证交易消息的第2字节中提取哈希值进行验证。
验证路由器对哈希值进行的验证时,可以确定验证路由器的认证密码的哈希值与认证交易消息中携带的与验证路由器对应的哈希值是否一致,若一致,验证路由器确定该待认证路由器验证通过或验证成功,若不一致,确定该待认证路由器验证不通过或验证失败。
一种可能的实施方式中,验证路由器向认证控制路由器发送该待认证路由器验证成功消息,也可以向网络广播该待认证路由器验证成功消息。当然,验证路由器对认证交易消息验证失败时,也可以向认证控制路由器发送该待认证路由器验证失败消息,或者向网络广播该待认证路由器验证失败消息,以使认证控制路由器或其它路由器可以获知该验证路由器与网络连接正常。
步骤S205,认证控制路由器根据验证通过的路由器的数量,在确定待认证路由器的路由协议接入认证成功后,将待认证路由器加入区块链的网络域中。
具体实施时,认证控制路由器可以通过接收到的验证路由器发送的验证通过消息或验证成功消息,确定验证通过路由器的数量。判定验证路由器对认证交易消息进行验证通过的验证路由器的数量,满足一定的条件,可以确定待认证路由器的路由协议接入认证成功,可以加入区块链的网络域中。
一种可能的实施方式中,验证通过的路由器数量大于设定路由器数量,确定待认证路由器认证成功。例如网络中全部路由器数量为100,设定路由数量为80,验证通过的路由器数量大于80,可确定待认证路由器的路由协议接入认证成功。反之,验证通过的路由器数量为79,小于设定路由器数量,确定待认证路由器的路由协议接入认证失败。
一种可能的实施方式中,验证通过的路由器的数量与路由器的数量的比值大于设定数值,确定待认证路由器认证成功。例如,网络中全部路由器数量为100,设定数值为0.75,验证通过的路由器的数量80与网络中全部路由器数量100的比值为0.8,大于设定数值,确定待认证路由器的路由协议接入认证成功。反之,验证通过的路由器数量60与网络中全部路由器数量100的比值为0.6,小于设定数值,确定待认证路由器的路由协议接入认证失败。
步骤S206,待认证路由器向认证控制路由器发送待认证路由器的路由信息。
具体实施时,在待认证路由器可以在通过认证后向认证控制路由器发送路由信息,与认证控制路由器建立邻居关系。待认证路由器也可以在向认证控制路由器发送认证交易消息后将路由消息发送给认证控制路由器,等待通过认证后,认证控制路由器根据待认证路由器的路由消息,建立邻居关系。
步骤S207,认证控制路由器向认证成功的待认证路由器发送区块链的网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
具体实施时,认证控制路由器与通过认证的路由器建立邻居关系,并将网络的路由信息,或者将该路由器加入的路由器组的路由信息发送给通过认证的路由器,完成路由器加入网络的过程。
在实际应用场景中,若认证控制路由器确定待认证路由器未通过路由协议接入认证,该待认证路由器可视为非法路由器,并由认证控制路由器可以发起网络预警。将待认证路由器未通过认证的信息发送给网络管理员使用的管理终端。该管理终端具有追查非法路由器信息、核查认证控制路由器(邻居路由器)配置及安全状态、更新对非法路由器验证通过的路由器所属路由器组的认证密码等网络安全管理功能,以主动增强网络安全防御能力。
图3为根据一示例性实施例示出的一种路由协议接入认证方法示意流程图,应用于认证控制路由器侧,如图3所示,方法包括如下步骤。
步骤S301,接收请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器。
具体实施时,为了实现高可靠的分布式认证,将网络内的路由器在区块链中进行分组,并且每个路由器组的认证密码不同。当有路由器申请加入网络时,需要通过认证控制路由器发起多密码认证。
认证控制路由器接收到请求加入区块链(或者网络)的待认证路由器的路由协议接入认证交易消息,认证交易消息中携带各路由器组认证密码的哈希值,通过密码不明文传送进行认证,各路由器组无法知道其它路由器组的认证密码,提升网络安全性,可以避免因网络中某个路由器被非法攻破获取网络中其它路由器组的认证密码的情形。
步骤S302,向路由器组中的路由器发送认证交易消息,以使路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
具体实施时,认证控制路由器将接收到的认证交易消息发送至网络中其它路由器进行认证。可以通过区块链中的认证交易的方式,将认证交易消息发送给网络中的其它路由器。
步骤S303,根据验证通过的路由器的数量,在确定待认证路由器的路由协议接入认证成功后,将待认证路由器加入区块链的网络域中。
具体实施时,认证控制路由器可以收到其它路由器对认证交易消息的验证结果。根据验证结果为验证通过的验证路由器的数量,确定待认证路由器的路由协议接入认证是否成功。
例如,验证通过的路由器的数量大于设定路由器数量,确定待认证路由器的路由协议接入认证成功。或者验证通过的路由器的数量与全网路由器的数量的比值大于设定数值,确定待认证路由器的路由协议接入认证成功。
在一些示例性的实施方式中,接收请求加入区块链的待认证路由器的路由协议接入认证交易消息之后,方法还包括:
根据认证控制路由器的认证密码,对认证交易消息中与认证控制路由器对应的哈希值进行验证。
具体实施时,认证控制路由器也属于网络中的某一个路由器组中,认证控制路由器也可以对认证交易信息进行验证。例如,根据认证交易消息中多个认证密码的哈希值的排列顺序,确定认证控制路由器所属的路由器组对应的哈希值,根据认证控制路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
认证交易消息的多个认证密码的哈希值可以是按照约定顺序排列的,便于其它验证路由器从获取对应的哈希值。预先配置每个路由器组认证密码哈希值的次序,验证路由器验证其所属路由器组对应次序上的哈希值。
在一些示例性的实施方式中,将待认证路由器加入区块链,包括:
接收认证成功的待认证路由器发送的路由信息;
向认证成功的待认证路由器发送网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
具体实施时,认证控制路由器确定待认证路由器通过认证后,可以向该待认证路由器发送通知消息以使该待认证路由器获知通过认证,或者向该待认证路由器直接发送区块链的网络域的路由信息或者请求加入的路由器组的路由信息,以使该待认证路由器根据路由信息,生成路由表,开始转发流量。
需要说明的是,待认证路由器向认证控制路由器发送其路由信息,可以在通过认证之前,也可以在通过认证之后。若在通过认证之前向认证控制路由器发送路由信息,可以由认证控制路由器在认证通过后根据待认证路由器的路由信息建立邻居关系。也可以在收到认证控制路由器发送的认证通过消息后,向认证控制路由器发送路由信息。
图4为根据一示例性实施例示出的一种路由协议接入认证方法示意流程图,应用于验证路由器侧,如图4所示,方法包括如下步骤。
步骤S401,接收认证控制路由器发送的请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息中包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器。
具体实施时,当认证控制路由器发起认证时,每个验证路由器接收到待认证路由器的认证交易消息。在认证过程中,由网络中的路由器参与验证,避免现有技术中单点认证存在的隐患。通过本发明提供的路由协议接入认证方法,进行分布式验证,提升该网络安全性,以及认证可靠性。
步骤S402,根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证。
具体实施时,每个验证路由器的认证密码为其所属路由器组的认证密码,认证密码可以存储在验证路由器本地。各路由器组的认证密码可以是预先配置的。为进一步提升网络安全,认证密码也可以进行变化,某个路由器组的认证密码变化时,在该路由器组内广播密码,以使路由器组内的全部路由获知更新后的认证密码。
在一些示例性的实施方式中,认证交易消息中的各路由器组认证密码的哈希值是根据约定的次序排列的。验证路由器对认证交易消息中与验证路由器对应的哈希值进行验证过程中,可以根据认证交易消息中多个认证密码的哈希值的排列顺序,确定约定的次序上的哈希值为验证路由器所属的路由器组对应的哈希值。然后根据验证路由器所属的路由器组的认证密码,对确定的哈希值进行验证。确定验证路由器所属路由器组的认证密码的哈希值与认证交易消息中对应次序上的哈希值是否一致,若确定认证密码对应的哈希值与确定的哈希值相同,验证通过反之,若确定认证密码对应的哈希值与确定的哈希值,验证不通过。
一种可能的实施方式中,验证路由器将对认证交易消息的验证结果通知认证控制路由器,或者在网络中广播验证结果。
图5为根据一示例性实施例示出的一种路由协议接入认证方法示意流程图,应用于待认证路由器侧,如图5所示,方法包括如下步骤。
步骤S501,确定请求加入区块链的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器。
待认证路由器可以根据配置的各路由器组对应的序号,确定路由协议接入认证交易消息中多个认证密码的哈希值的排列顺序。申请加入网络中的待认证路由器可以按照约定次序排列将各路由器组的认证密码的哈希值,不需要认证交易消息中携带各路由器组的认证密码。通过非明文验证,进一步提升认证可靠性。
一种可能的实施方式中,认证交易消息中可以携带的各路由器组的认证密码的哈希值,是根据各路由器组的认证密码以及待认证路由器的信息通过哈希计算生成的。认证交易消息中还携带有待认证路由器的信息。各验证路由器接收到认证交易消息后,根据本地存储的认证密码以及认证交易消息中待认证路由器的信息,通过哈希算法得到哈希值,将计算得到的哈希值与认证交易消息中与验证路由器对应的哈希值进行验证,若一致,则验证通过。反之,若不一致,验证不通过。
步骤S502,向区块链的认证控制路由器发送认证交易消息,以使区块链中的路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
具体实施时,将确定好的认证交易消息,通过区块链的认证交易发送至区块链的认证控制路由器。由认证控制路由器向区块链中的路由发起认证。
在一些示例性的实施方式中,方法还包括:
向认证控制路由器发送待认证路由器的路由信息;
接收认证控制路由器确认待认证路由器的路由协议接入认证成功后发送的区块链的网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
具体实施时,在待认证路由器通过认证后,可以与认证控制路由器建立邻居关系,向区块链的网络域发布自己的路由信息,以及接收区块链的网络域的路由信息。
图6根据一示例性实施例示出了一种路由协议接入认证设备结构示意图,如图6所示,设备600包括:
处理器601;
用于存储处理器601可执行指令的存储器602;
处理器601用于执行指令以实现如下过程:
接收请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
向路由器组中的路由器发送认证交易消息,以使路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证;
根据验证通过的路由器的数量,在确定待认证路由器的路由协议接入认证成功后,将待认证路由器加入区块链的网络域中。
在一些示例性的实施方式中,处理器601还用于:
根据认证控制路由器的认证密码,对认证交易消息中与认证控制路由器对应的哈希值进行验证。
在一些示例性的实施方式中,处理器601具体用于:
根据认证交易消息中多个认证密码的哈希值的排列顺序,确定认证控制路由器所属的路由器组对应的哈希值;
根据认证控制路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
在一些示例性的实施方式中,处理器601具体用于:
若验证通过的路由器的数量大于设定路由器数量,确定待认证路由器的路由协议接入认证成功;
或,若验证通过的路由器的数量与路由器的数量的比值大于设定数值,确定待认证路由器的路由协议接入认证成功。
在一些示例性的实施方式中,处理器601具体用于:
接收认证成功的待认证路由器发送的路由信息;
向认证成功的待认证路由器发送网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
图7根据一示例性实施例示出了一种路由协议接入认证设备结构示意图,该路由协议接入认证设备可以包括处理器701以及存储有计算机程序指令的存储器702。
具体地,上述处理器701可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器702可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器702可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器702可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器702可在数据处理装置的内部或外部。在特定实施例中,存储器702是非易失性固态存储器。在特定实施例中,存储器702包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器701通过读取并执行存储器702中存储的计算机程序指令,以实现上述路由协议接入认证设备处理器601执行的过程。
在一个示例中,该路由协议接入认证设备还可包括通信接口703和总线710。其中,如图7所示,处理器701、存储器702、通信接口703通过总线710连接并完成相互间的通信。
通信接口703,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线710包括硬件、软件或两者,将该路由协议接入认证设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其它图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其它合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线710可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
图8根据一示例性实施例示出了一种路由协议接入认证设备结构示意图,如图8所示,设备800包括:
处理器801;
用于存储处理器801可执行指令的存储器802;
处理器801用于执行指令以实现如下过程:
接收认证控制路由器发送的请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息中包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证。
在一些示例性的实施方式中,处理器801具体用于:
根据认证交易消息中多个认证密码的哈希值的排列顺序,确定验证路由器所属的路由器组对应的哈希值;
根据验证路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
在一些示例性的实施方式中,处理器801还用于:
确定认证密码对应的哈希值与确定的哈希值相同,验证通过;
或,确定认证密码对应的哈希值与确定的哈希值,验证不通过。
图9根据一示例性实施例示出了一种路由协议接入认证设备结构示意图,该路由协议接入认证设备可以包括处理器901以及存储有计算机程序指令的存储器902。
具体地,上述处理器901可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器902可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器902可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器902可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器902可在数据处理装置的内部或外部。在特定实施例中,存储器902是非易失性固态存储器。在特定实施例中,存储器902包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器901通过读取并执行存储器902中存储的计算机程序指令,以实现上述路由协议接入认证设备处理器801执行的过程。
在一个示例中,该路由协议接入认证设备还可包括通信接口903和总线910。其中,如图9所示,处理器901、存储器902、通信接口903通过总线910连接并完成相互间的通信。
通信接口903,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线910包括硬件、软件或两者,将该路由协议接入认证设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其它图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其它合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线910可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
图10根据一示例性实施例示出了一种路由协议接入认证设备结构示意图,如图10所示,设备1000包括:
处理器1001;
用于存储处理器1001可执行指令的存储器1002;
处理器1001用于执行指令以实现如下过程:
确定请求加入区块链的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
向区块链的认证控制路由器发送认证交易消息,以使区块链中的路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
在一些示例性的实施方式中,处理器1001还用于:
根据配置的各路由器组对应的序号,确定认证交易消息中多个认证密码的哈希值的排列顺序。
在一些示例性的实施方式中,处理器1001还用于:
向认证控制路由器发送待认证路由器的路由信息;
接收认证控制路由器确认待认证路由器的路由协议接入认证成功后发送的区块链的网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
图11根据一示例性实施例示出了一种路由协议接入认证设备结构示意图,该路由协议接入认证设备可以包括处理器1101以及存储有计算机程序指令的存储器1102。
具体地,上述处理器1101可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器1102可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器1102可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器1102可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器1102可在数据处理装置的内部或外部。在特定实施例中,存储器1102是非易失性固态存储器。在特定实施例中,存储器1102包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器1101通过读取并执行存储器1102中存储的计算机程序指令,以实现上述路由协议接入认证设备处理器1001执行的过程。
在一个示例中,该路由协议接入认证设备还可包括通信接口1102和总线1110。其中,如图11所示,处理器1101、存储器1102、通信接口1102通过总线1110连接并完成相互间的通信。
通信接口1102,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线1110包括硬件、软件或两者,将该路由协议接入认证设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其它图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其它合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线1110可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
图12根据一示例性实施例示出了一种路由协议接入认证装置结构示意图,应用于认证控制路由器侧,如图12所示,装置包括:
接收单元1201,用于接收请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
发送单元1202,用于向路由器组中的路由器发送认证交易消息,以使路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证;
处理单元1203,根据验证通过的路由器的数量,在确定待认证路由器的路由协议接入认证成功后,将待认证路由器加入区块链的网络域中。
在一些示例性的实施方式中,处理单元1203,还用于:
根据认证控制路由器的认证密码,对认证交易消息中与认证控制路由器对应的哈希值进行验证。
在一些示例性的实施方式中,处理单元1203,具体用于:
根据认证交易消息中多个认证密码的哈希值的排列顺序,确定认证控制路由器所属的路由器组对应的哈希值;
根据认证控制路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
在一些示例性的实施方式中,处理单元1203,具体用于:
若验证通过的路由器的数量大于设定路由器数量,确定待认证路由器的路由协议接入认证成功;
或,若验证通过的路由器的数量与路由器的数量的比值大于设定数值,确定待认证路由器的路由协议接入认证成功。
在一些示例性的实施方式中,处理单元1203,具体用于:
接收认证成功的待认证路由器发送的路由信息;
向认证成功的待认证路由器发送网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
图13根据一示例性实施例示出了一种路由协议接入认证装置,应用于验证路由器侧,如图13所示,装置包括:
接收单元1301,用于接收认证控制路由器发送的请求加入区块链的待认证路由器的路由协议接入认证交易消息,认证交易消息中包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
处理单元1302,用于根据验证路由器所属的路由器组的认证密码,对认证交易消息中与验证路由器对应的哈希值进行验证。
在一些示例性的实施方式中,处理单元1302,具体用于:
根据认证交易消息中多个认证密码的哈希值的排列顺序,确定验证路由器所属的路由器组对应的哈希值;
根据验证路由器所属的路由器组的认证密码,对确定的哈希值进行验证。
在一些示例性的实施方式中,处理单元1302,还用于:
确定认证密码对应的哈希值与确定的哈希值相同,验证通过;
或,确定认证密码对应的哈希值与确定的哈希值,验证不通过。
图14根据一示例性实施例示出了一种路由协议接入认证装置,应用于待认证路由器侧,如图14所示,装置包括:
处理单元1401,用于确定请求加入区块链的路由协议接入认证交易消息,认证交易消息包括区块链中各路由器组的认证密码的哈希值,路由器组中至少包括一个路由器;
发送单元1402,用于向区块链的认证控制路由器发送认证交易消息,以使区块链中的路由器利用所属的路由器组的认证密码,对认证交易消息中对应的哈希值进行验证。
在一些示例性的实施方式中,处理单元1401,还用于:
根据配置的各路由器组对应的序号,确定认证交易消息中多个认证密码的哈希值的排列顺序。
在一些示例性的实施方式中,发送单元1402,还用于:
向认证控制路由器发送待认证路由器的路由信息;
接收认证控制路由器确认待认证路由器的路由协议接入认证成功后发送的区块链的网络域的路由信息,网络域的路由信息中包含待认证路由器所加入的路由器组的路由信息,或者包含网络域中全部路由器的路由信息。
另外,结合上述是实施例中的路由协议接入认证方法,本发明还提供一种计算机可读存储介质,当存储介质中的指令在计算机上运行时,使得计算机执行上述任意一项路由协议接入认证方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
