CN103199990B - 一种路由协议认证迁移的方法和装置 - Google Patents

一种路由协议认证迁移的方法和装置 Download PDF

Info

Publication number
CN103199990B
CN103199990B CN201310132266.7A CN201310132266A CN103199990B CN 103199990 B CN103199990 B CN 103199990B CN 201310132266 A CN201310132266 A CN 201310132266A CN 103199990 B CN103199990 B CN 103199990B
Authority
CN
China
Prior art keywords
authentication information
certification
routing
new authentication
migration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310132266.7A
Other languages
English (en)
Other versions
CN103199990A (zh
Inventor
林长望
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201310132266.7A priority Critical patent/CN103199990B/zh
Publication of CN103199990A publication Critical patent/CN103199990A/zh
Priority to PCT/CN2014/073278 priority patent/WO2014169735A1/en
Priority to US14/769,020 priority patent/US20160028716A1/en
Priority to EP14786063.9A priority patent/EP2987268A4/en
Application granted granted Critical
Publication of CN103199990B publication Critical patent/CN103199990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种路由协议认证迁移方法和装置,技术方案为:将认证迁移分为三个阶段。在第一阶段,将新认证信息的认证方向设置为接收方向,路由设备开始接收携带新认证信息的协议报文;在第二阶段,将原有生效认证信息的认证方向设置为接收方向并将新认证信息的认证方向设置为接收方向和发送方向,开始接收和发送携带新认证信息的协议报文,同时还接收携带原有生效认证信息的协议报文;在第三阶段,认证迁移过程结束。本发明中,认证迁移过程中仅采用一个认证信息的认证密码发送协议报文,可以减少协议报文发送量,提高路由设备的处理性能。

Description

一种路由协议认证迁移的方法和装置
技术领域
本申请涉及通信技术领域,特别涉及一种路由协议认证迁移的方法和装置。
背景技术
基于安全考虑,一般需要在路由协议中配置认证,路由协议认证包括简单认证模式和加密认证模式,常用的加密认证算法包括hmac-md5、hmac-sha1-12、hmac-sha1-20-md5、sha-1等。
在实际应用中,可以修改协议认证的认证模式(也即认证算法)及认证密码,这就涉及到路由协议认证迁移,下面以OSPF协议为例对路由协议认证迁移过程进行说明。
参见图1,图1是现有技术OSPF协议认证迁移过程示意图,假设OSPF协议采用MD5认证方式,其具体迁移过程如下:
正常状态下,路由设备通过使用MD5认证方式的OSPF使能接口发送协议报文时,协议报文中携带生效认证密码(也即最新MD5认证密码);
当需要修改原有生效认证密码时,先增加新的MD5认证密码配置,触发MD5认证迁移过程;在认证迁移过程中路由设备针对已配置的各MD5认证密码,发送携带该MD5认证密码的协议报文;当路由设备接收到其它路由设备发送的协议报文时,则使用本地已配置的认证信息进行验证,只要验证通过其中一个认证信息,则报文认证通过;
当收到所有邻居路由设备发送的携带新的MD5认证密码的报文时,认证迁移过程结束,恢复到正常状态,新的MD5认证密码成为生效认证密码。
在上述协议认证迁移过程中,需要发送多份协议报文,导致瞬间的协议报文过多,影响设备的处理性能。
发明内容
有鉴于此,本发明的目的在于提供一种路由协议认证迁移方法,该方法可以减少认证迁移过程中协议报文发送量,提高路由设备的处理性能。
为实现上述目的,本发明提供的技术方案为:
一种路由协议认证迁移方法,应用于一路由设备,包括:
接收管理设备发送的第一迁移指令,根据第一迁移指令在本路由设备上配置新认证信息,将新认证信息的认证方向仅设置为接收方向,用以使能接收携带新认证信息的协议报文;
接收管理设备在确定网络中所有路由设备均配置了新认证信息后发送的第二迁移指令,将原有生效认证信息的认证方向仅设置为接收方向并将新认证信息的认证方向设置为接收方向和发送方向,用以使能接收携带原有生效认证信息的协议报文并使能接收和发送携带新认证信息的协议报文;
使能接收携带新认证信息的协议报文后,如果接收到所有邻居路由设备发送的携带新认证信息的协议报文,则结束认证迁移过程;
其中,所述认证信息包括认证模式、认证密码。
一种路由协议认证迁移装置,应用于一路由设备,包括:接收单元,认证迁移单元、认证结束单元;
接收单元,用于接收第一迁移指令;用于接收第二迁移指令;用于接收携带认证信息的协议报文;
所述认证迁移单元,用于接收单元接收到管理设备发送的第一迁移指令时,根据第一迁移指令在本路由设备上配置新认证信息,将新认证信息的认证方向仅设置为接收方向,用以使能接收携带新认证信息的协议报文;用于接收单元接收到管理设备在确定网络中所有路由设备均配置了新认证信息后发送的第二迁移指令时,将原有生效认证信息的认证方向仅设置为接收方向并将新认证信息的认证方向设置为接收方向和发送方向,用以仅使能接收携带原有生效认证信息的协议报文并使能接收和发送携带新认证信息的协议报文;
所述认证结束单元,用于认证迁移单元使能接收携带新认证信息的协议报文后,如果接收单元接收到所有邻居路由设备发送的携带新认证信息的协议报文,则结束认证迁移过程;
其中,所述认证信息包括认证模式、认证密码。
综上所述,本发明中通过在第一认证迁移阶段设置新认证信息的认证方向为接收,在第二认证迁移阶段将新认证信息的认证方向设置为接收和发送并将原有生效认证信息的认证方向设置为接收,在第三认证迁移阶段结束认证迁移过程,使得在认证迁移过程中仅使用一个认证信息发送协议报文,可以避免在认证迁移过程中发送大量协议报文,能够有效提高设备的处理性能。
附图说明
图1是现有技术OSPF协议认证迁移过程示意图;
图2是本发明实施例路由协议认证迁移方法的流程示意图;
图3是本发明实施例一种简单组网示意图;
图4是本发明实施例路由协议认证迁移装置的结构示意图;
图5是本发明实施例路由协议认证迁移方法和装置所应用的路由设备的硬件架构图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。
参见图2,图2是本发明实施例路由协议认证迁移方法的流程示意图,主要包括以下步骤:
步骤201、接收第一迁移指令,根据第一迁移指令在本路由设备上配置新认证信息,将新认证信息的认证方向仅设置为接收方向,用以仅使能本路由设备接收携带新认证信息的协议报文的功能。
新认证信息中包括新认证模式以及新认证密码。
可以由管理设备向所有路由设备发送第一迁移指令,使各路由设备进入认证迁移第一阶段。本步骤中,路由设备在接收到第一迁移指令并根据第一迁移指令在本路由设备上配置新认证信息之后,可以返回配置成功确认报文,以使管理设备确定本路由设备已成功配置了新认证信息。
将新认证信息的认证方向设置为接收方向后,本路由设备开始允许接收携带新认证信息的协议报文,同时,原有生效认证信息的认证方向仍为发送方向和接收方向,因此,向外发送的协议报文中携带的认证密码仍为原有生效认证信息。这里,原有生效认证信息包括原有生效认证模式以及原有生效认证密码。
步骤202、接收第二迁移指令,将原有生效认证信息的认证方向仅设置为接收方向,用以使能本路由设备接收携带原有生效认证信息的协议报文的功能,并将新认证信息的认证方向设置为接收方向和发送方向,用以使能本路由设备接收和发送携带新认证信息的协议报文的功能。
在实际应用中,路由设备需要先配置新认证信息,然后才能够对携带新认证信息的协议报文进行成功认证,为了保证原有认证信息向新认证信息切换过程中不丢包,需要保证网络中所有路由设备都配置了新认证信息后,再进入认证迁移第二阶段,在认证迁移第二阶段将原有认证信息切换到新认证信息,开始允许发送携带新认证信息的协议报文。
可以由管理设备在确认网络中所有路由设备均配置了新认证信息后控制所有路由设备进入认证迁移第二阶段。
管理设备至少可以通过以下两种方法确认所有路由设备均配置了新认证信息:
第一种方法:管理设备在向网络中各路由设备发送第一迁移指令后,如果接收全所有路由设备返回的配置成功确认报文,则可以确认网络中所有路由设备均配置了新认证信息。
第二种方法:管理设备在向网络中各路由设备发送第一迁移指令后启动一个定时器,该定时器的超时时长应该可以保证所有路由设备都能够成功接收到第一迁移指令并根据第一迁移指令成功配置好新认证信息,这样,当定时器超时时,就可以确认网络中所有路由设备均配置了新认证信息。
本实施例中,管理设备在确认网络中所有路由设备均配置了新认证信息后,通过向所有路由设备发送第二迁移指令,使的各路由设备根据第二迁移指令进入认证迁移第二阶段。
路由设备接收到管理设备的第二迁移指令后,开始进入第二阶段的迁移过程,在第二阶段迁移过程中,将用新认证信息取代原有生效认证信息,在发送的协议报文中携带新认证信息而非原有生效认证信息,为此,需要将新认证信息的认证方向设置为接收方向和发送方向,从而使本路由设备可以发送和接收携带新认证信息的协议报文,同时,还需要将原有生效认证信息的认证方向设置为接收方向,从而使本路由设备只能接收携带原有生效认证信息的协议报文,而不能再继续发送携带原有生效认证信息的协议报文。进入认证迁移第二阶段以后,路由设备发送的协议报文中携带的认证信息从原有生效认证信息转变为新认证信息。
步骤203、使能接收携带新认证信息的协议报文后,如果接收到所有邻居路由设备发送的携带新认证信息的协议报文,则结束认证迁移过程。
路由设备进入认证迁移第二阶段后,会向邻居路由设备发送携带新认证信息的协议报文,同时也会接收邻居路由设备发送的携带新认证信息的协议报文,当路由设备接收全所有邻居路由设备发送的携带新认证信息的协议报文后,就可以确定认证迁移过程结束,然而,由于一些网络因素(例如网络故障)可能会导致路由设备不能及时接收全所有邻居路由设备,这就需要强制结束认证迁移过程,为此,可以在将新认证信息的认证方向设置为接收方向和发送方向时,进一步设置一个平滑迁移定时器,如果平滑迁移定时器超时也未能接收全所有邻居设备发送的携带新认证信息的协议报文,此时也可以结束认证迁移过程。
认证迁移结束后,还可以进一步删除原有生效认证信息,以避免浪费存储资源。
图2所示本发明实施例中,当需要执行认证迁移时,新认证信息可以携带在第一迁移指令中,当路由设备接收到管理设备发送的第一迁移指令时,可以将第一迁移指令中携带的认证信息作为新认证信息配置在本路由设备上。实际上,也可以在路由设备中预先存储认证信息列表,认证信息列表中包括新认证信息,并将新认证信息的标识携带在第一迁移指令中,当路由设备接收到管理设备发送的第一迁移指令时,可以从预先存储的认证信息列表中查找第一迁移指令中携带的认证信息标识对应的认证信息,将查找得到的认证信息作为新认证信息配置在本路由设备上。
设置认证信息的认证方向的方法可以是设置认证信息中的认证密码的认证方向。
在实际应用中,协议认证可以有多种实现方式,包括基于接口的协议认证基于TCP连接的协议认证、基于设备的协议认证、基于域的协议认证,其中,
当协议认证基于接口时,步骤203中所述的邻居路由设备是指本路由设备在该接口上的所有邻居路由设备;RIP、BFD、OSPF、IS-IS等路由协议均可以支持基于接口的协议认证。
当协议认证基于TCP连接时,步骤203中所述的邻居路由设备是指本路由设备该TCP连接关联的对端邻居设备;BGP协议可以支持基于TCP连接的协议认证。
当协议认证基于设备时,步骤203中所述的邻居路由设备是指与本路由设备直接相连的所有路由设备;RIP、BFD、OSPF、IS-IS、BGP等路由协议均可以支持基于设备的协议认证。
当协议认证基于域时,步骤203中所述的邻居路由设备是指与本路由设备位于同一域的所有路由设备;OSPF以及IS-IS路由协议可以支持基于域的协议认证。
下面结合图3,对图2所示本发明实施例路由协议认证迁移方法进行举例说明。
图3是本发明实施例一种简单组网示意图,如图3所示,路由设备R1和路由设备R2直接相连,假设该组网中路由设备采用基于接口的协议认证,在初始状态下,路由设备R1和R2的认证模式是简单明文,认证密码:123。
未发生认证迁移时,R1和R2向对端发送的协议报文中携带当前生效认证信息(认证模式:简单明文,认证密码:123)。同时,R1和R2也接收对端发送的携带当前生肖认证信息的协议报文,并使用本地配置的明文密码123对接收到的协议报文进行验证,验证通过后,对报文进行正常处理。
当需要把R1和R2的认证密码从明文模式改为MD5加密的认证模式时(假设新认证密码为abc),则认证迁移过程具体分为三个阶段:
第一阶段:在各路由设备中配置新认证信息,新认证信息中包括新认证模式:MD5、新认证密码:abc等信息,并对新认证信息进行认证方向设置,使设备可以接收携带新认证信息的协议报文。
第一阶段由管理设备触发,通过向各路由设备发送第一迁移指令,使各路由设备根据第一迁移指令配置新认证信息。
具体到图3,在路由设备中新认证信息的配置包括:R1和R2接收到管理设备的第一迁移指令之后,各自配置新认证信息,其中的新认证模式为MD5,新认证密码为abc。配置新认证信息之后,还需将新认证信息的认证方向设置为接收,进入认证迁移第一阶段,在认证迁移第一阶段中,R1和R2都可以接收携带新认证信息的协议报文以及携带原有生效认证信息(认证模式:简单明文,认证密码:123)的协议报文,同时向外发送的协议报文中携带原有生效认证信息。
第二阶段:重新设置原有生效认证信息和新认证信息的认证方向,使R1和R2发送协议报文时携带新认证信息,同时还可以接收携带新认证信息的协议报文以及携带原有生效认证信息的协议报文。
第二阶段由管理设备触发,通过向各路由设备发送第二迁移指令,使各路由设备对新认证信息和原有生效认证信息的认证方向进行重新设置。
具体到图3,R1和R2接收到管理设备的第二迁移指令之后,均重新设置路由设备中新认证信息(认证模式:MD5,认证密码:abc)和原有生效认证信息(认证模式:简单明文,认证密码:123)的认证方向包括:分别修改各自的配置,将新认证密码信息的认证方向设置为接收和发送并启动平滑迁移定时器,将原有生效认证信息的认证方向设置为接收,进入认证迁移第二阶段,在认证迁移第二阶段中,R1和R2发送的协议报文都携带新认证信息,同时R1和R2都能够接收携带新认证信息的协议报文以及携带原有生效认证信息的协议报文。
第三阶段:认证迁移结束,删除原有生效认证信息,接收和发送携带新认证信息的协议报文。
第三阶段在路由设备确定认证迁移结束时开始,当路由设备接收全所有邻居路由设备发送的携带新认证信息的协议报文,或者平滑迁移定时器超时后,可以确定认证迁移结束。
具体到图3,当R1接收到R2发送的携带新认证信息(认证模式:MD5,认证密码:abc)的协议报文后,确定R2后续的报文都会采用新认证信息发送,由于R1在连接R2的接口上只有一个邻居路由设备R2,因此确定认证迁移结束,可以在R1上删除原有生效认证信息,后续R1采用认证模式为MD5、认证密码为abc的认证方式进行协议报文的发送和接收,不能接收处理采用其它认证方式的协议报文。同样,当R2接收到R1发送的携带新认证信息的协议报文后,确定R1后续的报文都会采用新认证信息发送,由于R2在连接R1的接口上只有一个邻居路由设备R1,因此确定认证迁移结束,可以在R2上删除原有生效认证信息,后续R2采用认证模式为MD5、认证密码为abc的认证方式进行协议报文的发送和接收,不能接收处理采用其它认证方式的协议报文。
在上述认证迁移的三个阶段中,路由设备发送协议报文仅用一个认证密码,其中在第一阶段采用原有生效认证信息中的认证密码,第二、三阶段采用新认证信息中的认证密码,相对于现有技术采用多个认证密码发送协议报文,可以有效避免迁移期间同时发送多份携带不同认证密码的协议报文,因而能够减少认证报文的发送,进而提高设备的处理性能。
以上对本发明实施例路由协议认证迁移方法进行了详细说明,本发明还提供了一种路由协议认证迁移装置,下面结合图4进行详细说明。
图4为本发明实施例路由协议认证迁移装置的结构示意图,该装置应用于路由设备,包括:接收单元401,认证迁移单元402、认证结束单元403;其中,
接收单元401,用于接收第一迁移指令;用于接收第二迁移指令;用于接收携带认证信息的协议报文;
认证迁移单元402,用于接收单元401接收到第一迁移指令时,根据第一迁移指令在本路由设备上配置新认证信息,将新认证信息的认证方向设置为接收方向,用以仅使能接收携带新认证信息的协议报文;用于接收单元401接收到第二迁移指令时,将原有生效认证信息的认证方向设置为接收方向并将新认证信息的认证方向设置为接收方向和发送方向,用以仅使能接收携带原有生效认证信息的协议报文并使能接收和发送携带新认证信息的协议报文;
认证结束单元403,用于认证迁移单元402使能接收携带新认证信息的协议报文后,如果接收单元401接收到所有邻居路由设备发送的携带新认证信息的协议报文,则结束认证迁移过程;
其中,所述认证信息包括认证模式、认证密码。
上述装置中,
所述第一迁移指令中携带认证信息;
所述认证迁移单元402在根据第一迁移指令在本路由设备上配置新认证信息时,用于:将第一迁移指令中携带的认证信息作为新认证信息配置在本路由设备上;
或者,
所述第一迁移指令中携带认证信息标识;
所述认证迁移单元402在根据第一迁移指令在本路由设备上配置新认证信息时,用于:从预先存储的认证信息列表中查找第一迁移指令中携带的认证信息标识对应的认证信息,将查找到的认证信息作为新认证信息配置在本路由设备上。
上述装置中,
所述认证迁移单元402在将新认证信息的认证方向设置为接收方向和发送方向时,进一步设置平滑迁移定时器;
所述认证结束单元403,用于如果认证迁移单元402设置的平滑迁移定时器超时,则结束认证迁移过程。
上述装置中,
所述认证结束单元403在结束认证迁移过程时,进一步删除原有生效认证信息。
上述装置中,
所述认证基于接口;
所述路由协议为RIP、BFD、OSPF、或IS-IS;
所述所有邻居路由设备为协议使能接口上的所有邻居设备;
或者,
所述认证基于TCP连接;
所述路由协议为BGP;
所述所有邻居路由设备为TCP连接关联的对端邻居设备;
或者,
所述认证基于设备;
所述路由协议为RIP、BFD、OSPF、IS-IS、BGP;
所述所有邻居路由设备为与本路由设备直接相连的所有路由设备;
或者,
所述认证基于域;
所述路由协议为OSPF、或IS-IS;
所述所有邻居路由设备为与本路由设备位于同一域的所有路由设备。
在实际应用中,本发明实施例中用于实现路由协议认证迁移方法和装置时,需要基于应用该方法和装置的路由设备所具有的硬件架构来最终实现。
图5为应用本发明实施例所基于的硬件架构示意图。如图5所示,本发明实施例中用于实现路由协议认证迁移方法和装置所应用的路由设备500的硬件架构包括:存储器510,处理器520,通信接口530,以及耦合存储器510、处理器520和通信接口530的互连机构540;其中,
存储器510,用于存储本机所有的认证信息(包括原有生效认证信息和新认证信息)。
处理器520,通常为CPU,其中设置有接收单元,认证迁移单元和认证结束单元,接收单元用于通过通信接口接收管理设备的第一迁移指令和第二迁移指令,以及邻居路由设备发送的携带新认证信息或原有认证信息的协议报文;认证迁移单元用于根据接收单元接收到的第一迁移指令、第二迁移指令执行认证信息的配置和修改等相关处理;认证结束单元用于根据接收单元是否接收全邻居路由设备发送的携带新认证信息的协议报文,判定是否需要结束认证迁移过程。
通信接口530负责将来自管理设备的第一迁移指令、第二迁移指令,以及邻居路由设备发送的携带认证信息的协议报文交由处理器中的接收单元处理。
基于上述硬件架构中的功能划分,即可明确本发明实施例中用于实现路由协议认证迁移方法的相应步骤、以及装置的相应模块如何分布在上述硬件架构中。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种路由协议认证迁移方法,应用于一路由设备,其特征在于,该方法包括:
接收管理设备发送的第一迁移指令,根据第一迁移指令在本路由设备上配置新认证信息,返回配置成功确认报文,并将新认证信息的认证方向仅设置为接收方向,用以使能接收携带新认证信息的协议报文;
接收管理设备在确定网络中所有路由设备均配置了新认证信息后发送的第二迁移指令,将原有生效认证信息的认证方向仅设置为接收方向并将新认证信息的认证方向设置为接收方向和发送方向,用以使能接收携带原有生效认证信息的协议报文并使能接收和发送携带新认证信息的协议报文;
使能接收携带新认证信息的协议报文后,如果接收到所有邻居路由设备发送的携带新认证信息的协议报文,则结束认证迁移过程;
其中,所述认证信息包括认证模式和认证密码;
管理设备接收到网络中所有路由设备返回的配置成功确认报文,则确定网络中所有路由设备均配置了新认证信息;或者,管理设备在发送第一迁移指令时启动的定时器超时,则确定网络中所有路由设备均配置了新认证信息。
2.根据权利要求1所述的路由协议认证迁移方法,其特征在于,
所述第一迁移指令中携带认证信息;
根据第一迁移指令在本路由设备上配置新认证信息的方法为:将第一迁移指令中携带的认证信息作为新认证信息配置在本路由设备上;
或者,
所述第一迁移指令中携带认证信息标识;
根据第一迁移指令在本路由设备上配置新认证信息的方法为:从预先存储的认证信息列表中查找第一迁移指令中携带的认证信息标识对应的认证信息,将查找到的认证信息作为新认证信息配置在本路由设备上。
3.根据权利要求1所述的路由协议认证迁移方法,其特征在于,
将新认证信息的认证方向设置为接收方向和发送方向时,进一步设置平滑迁移定时器,如果平滑迁移定时器超时,则结束认证迁移过程。
4.根据权利要求1、2、或3所述的路由协议认证迁移方法,其特征在于,
结束认证迁移过程时,进一步删除原有生效认证信息。
5.根据权利要求1所述的路由协议认证迁移方法,其特征在于,
所述认证基于接口;
所述路由协议为RIP、BFD、OSPF、或IS-IS;
所述所有邻居路由设备为协议使能接口上的所有邻居设备;
或者,
所述认证基于TCP连接;
所述路由协议为BGP;
所述所有邻居路由设备为TCP连接关联的对端邻居设备;
或者,
所述认证基于设备;
所述路由协议为RIP、BFD、OSPF、IS-IS、或BGP;
所述所有邻居路由设备为与本路由设备直接相连的所有路由设备;
或者,
所述认证基于域;
所述路由协议为OSPF、或IS-IS;
所述所有邻居路由设备为与本路由设备位于同一域的所有路由设备。
6.一种路由协议认证迁移装置,应用于一路由设备,其特征在于,该装置包括:接收单元、认证迁移单元、和认证结束单元;
接收单元,用于接收第一迁移指令;用于接收第二迁移指令;用于接收携带认证信息的协议报文;
所述认证迁移单元,用于接收单元接收到管理设备发送的第一迁移指令时,根据第一迁移指令在本路由设备上配置新认证信息,返回配置成功确认报文,并将新认证信息的认证方向仅设置为接收方向,用以使能接收携带新认证信息的协议报文;用于接收单元接收到管理设备在确定网络中所有路由设备均配置了新认证信息后发送的第二迁移指令时,将原有生效认证信息的认证方向仅设置为接收方向并将新认证信息的认证方向设置为接收方向和发送方向,用以仅使能接收携带原有生效认证信息的协议报文并使能接收和发送携带新认证信息的协议报文;
所述认证结束单元,用于认证迁移单元使能接收携带新认证信息的协议报文后,如果接收单元接收到所有邻居路由设备发送的携带新认证信息的协议报文,则结束认证迁移过程;
其中,所述认证信息包括认证模式和认证密码;
管理设备接收到网络中所有路由设备返回的配置成功确认报文,则确定网络中所有路由设备均配置了新认证信息;或者,管理设备在发送第一迁移指令时启动的定时器超时,则确定网络中所有路由设备均配置了新认证信息。
7.根据权利要求6所述的路由协议认证迁移装置,其特征在于,
所述第一迁移指令中携带认证信息;
所述认证迁移单元在根据第一迁移指令在本路由设备上配置新认证信息时,用于:将第一迁移指令中携带的认证信息作为新认证信息配置在本路由设备上;
或者,
所述第一迁移指令中携带认证信息标识;
所述认证迁移单元在根据第一迁移指令在本路由设备上配置新认证信息时,用于:从预先存储的认证信息列表中查找第一迁移指令中携带的认证信息标识对应的认证信息,将查找到的认证信息作为新认证信息配置在本路由设备上。
8.根据权利要求6所述的路由协议认证迁移装置,其特征在于,
所述认证迁移单元在将新认证信息的认证方向设置为接收方向和发送方向时,进一步设置平滑迁移定时器;
所述认证结束单元,用于如果认证迁移单元设置的平滑迁移定时器超时,则结束认证迁移过程。
9.根据权利要求6、7、或8所述的路由协议认证迁移装置,其特征在于,
所述认证结束单元在结束认证迁移过程时,进一步删除原有生效认证信息。
10.根据权利要求6所述的路由协议认证迁移装置,其特征在于,
所述认证基于接口;
所述路由协议为RIP、BFD、OSPF、或IS-IS;
所述所有邻居路由设备为协议使能接口上的所有邻居设备;
或者,
所述认证基于TCP连接;
所述路由协议为BGP;
所述所有邻居路由设备为TCP连接关联的对端邻居设备;
或者,
所述认证基于设备;
所述路由协议为RIP、BFD、OSPF、IS-IS、或BGP;
所述所有邻居路由设备为与本路由设备直接相连的所有路由设备;
或者,
所述认证基于域;
所述路由协议为OSPF、或IS-IS;
所述所有邻居路由设备为与本路由设备位于同一域的所有路由设备。
CN201310132266.7A 2013-04-16 2013-04-16 一种路由协议认证迁移的方法和装置 Active CN103199990B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201310132266.7A CN103199990B (zh) 2013-04-16 2013-04-16 一种路由协议认证迁移的方法和装置
PCT/CN2014/073278 WO2014169735A1 (en) 2013-04-16 2014-03-12 Routing protocol authentication migration
US14/769,020 US20160028716A1 (en) 2013-04-16 2014-03-12 Routing protocol authentication migration
EP14786063.9A EP2987268A4 (en) 2013-04-16 2014-03-12 ROUTING PROTOCOL AUTHENTICATION MIGRATION

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310132266.7A CN103199990B (zh) 2013-04-16 2013-04-16 一种路由协议认证迁移的方法和装置

Publications (2)

Publication Number Publication Date
CN103199990A CN103199990A (zh) 2013-07-10
CN103199990B true CN103199990B (zh) 2016-04-06

Family

ID=48722357

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310132266.7A Active CN103199990B (zh) 2013-04-16 2013-04-16 一种路由协议认证迁移的方法和装置

Country Status (4)

Country Link
US (1) US20160028716A1 (zh)
EP (1) EP2987268A4 (zh)
CN (1) CN103199990B (zh)
WO (1) WO2014169735A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103199990B (zh) * 2013-04-16 2016-04-06 杭州华三通信技术有限公司 一种路由协议认证迁移的方法和装置
CN106487746A (zh) * 2015-08-26 2017-03-08 中兴通讯股份有限公司 一种bmp报文认证的方法及装置
WO2017067599A1 (en) 2015-10-22 2017-04-27 Siemens Aktiengesellschaft Device for use in a network, controller, network and method
CN107277058B (zh) * 2017-08-07 2020-03-20 南京南瑞集团公司 一种基于bfd协议的接口认证方法及系统
CN109756487B (zh) * 2018-12-25 2021-07-23 杭州迪普科技股份有限公司 一种认证的方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360027A (zh) * 2007-07-30 2009-02-04 华为技术有限公司 获知注册结果、及路由器迁移的方法、装置及系统
CN101465739A (zh) * 2009-01-15 2009-06-24 中兴通讯股份有限公司 一种实现认证方式平滑过渡的方法及设备
US7607010B2 (en) * 2003-04-12 2009-10-20 Deep Nines, Inc. System and method for network edge data protection
CN101997756A (zh) * 2009-08-19 2011-03-30 华为技术有限公司 迁移路由信息的方法、装置及系统
CN102158487A (zh) * 2011-04-01 2011-08-17 福建星网锐捷网络有限公司 网络接入控制方法、系统及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237113B2 (en) * 2000-12-11 2007-06-26 Intel Corporation Keyed authentication rollover for routers
US7266201B1 (en) * 2002-09-17 2007-09-04 Foundry Networks, Inc. Non-disruptive authentication administration
US7581093B2 (en) * 2003-12-22 2009-08-25 Nortel Networks Limited Hitless manual cryptographic key refresh in secure packet networks
US9112681B2 (en) * 2007-06-22 2015-08-18 Fujitsu Limited Method and apparatus for secure information transfer to support migration
US8630416B2 (en) * 2009-12-21 2014-01-14 Intel Corporation Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications
US8724815B1 (en) * 2011-09-29 2014-05-13 Amazon Technologies, Inc. Key management in a distributed system
CN103199990B (zh) * 2013-04-16 2016-04-06 杭州华三通信技术有限公司 一种路由协议认证迁移的方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607010B2 (en) * 2003-04-12 2009-10-20 Deep Nines, Inc. System and method for network edge data protection
CN101360027A (zh) * 2007-07-30 2009-02-04 华为技术有限公司 获知注册结果、及路由器迁移的方法、装置及系统
CN101465739A (zh) * 2009-01-15 2009-06-24 中兴通讯股份有限公司 一种实现认证方式平滑过渡的方法及设备
CN101997756A (zh) * 2009-08-19 2011-03-30 华为技术有限公司 迁移路由信息的方法、装置及系统
CN102158487A (zh) * 2011-04-01 2011-08-17 福建星网锐捷网络有限公司 网络接入控制方法、系统及装置

Also Published As

Publication number Publication date
CN103199990A (zh) 2013-07-10
WO2014169735A1 (en) 2014-10-23
US20160028716A1 (en) 2016-01-28
EP2987268A4 (en) 2016-12-28
EP2987268A1 (en) 2016-02-24

Similar Documents

Publication Publication Date Title
US11895157B2 (en) Network security management method, and apparatus
CN101232372B (zh) 认证方法、认证系统和认证装置
CN105635084B (zh) 终端认证装置及方法
CN103199990B (zh) 一种路由协议认证迁移的方法和装置
CN108833122A (zh) 车载通信控制器的唤醒方法、装置及存储介质
CN103370955A (zh) 无缝wi-fi订购修复
CN104009925A (zh) 路由器的桥接建立方法、装置和路由器
CN102685730B (zh) 一种ue上下文信息发送方法及mme
CN109413649A (zh) 一种接入认证方法及装置
CN108966363B (zh) 一种连接建立方法及装置
CN105007164A (zh) 一种集中式安全控制方法及装置
CN109104475A (zh) 连接恢复方法、装置及系统
CN102752752B (zh) 基站维护方法和设备
CN102905290B (zh) 基站维护方法和设备
CN108900441B (zh) 网络切换方法、第一电子设备及可读存储介质
CA2881575C (en) Network element authentication in communication networks
CN102811153B (zh) Vlan状态的协商方法及边缘设备
CN110545253B (zh) 一种信息处理方法、装置、设备及计算机可读存储介质
CN105933333A (zh) 一种企业网认证计费的方法和出口网关
CN101296113B (zh) 网元设备、网管系统及网元设备注册接入网管系统的方法
CN109842484A (zh) 一种下一跳链计数器更新方法、装置及设备
CN104243465A (zh) 一种基于wlan的ipsec的实现方法及装置
WO2016127583A1 (zh) 认证处理方法及装置
CN106330415A (zh) 一种容灾方法、装置及通信系统
CN105050127A (zh) 灾备启动控制方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.