CN103647777B - 一种安全认证方法和双向转发检测bfd设备 - Google Patents
一种安全认证方法和双向转发检测bfd设备 Download PDFInfo
- Publication number
- CN103647777B CN103647777B CN201310686766.5A CN201310686766A CN103647777B CN 103647777 B CN103647777 B CN 103647777B CN 201310686766 A CN201310686766 A CN 201310686766A CN 103647777 B CN103647777 B CN 103647777B
- Authority
- CN
- China
- Prior art keywords
- bfd
- token values
- equipment
- chain
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种安全认证方法,BFD设备的控制面接收对端BFD设备的控制面发送的携带随机数的第一BFD报文;所述控制面根据所述随机数生成第一token值;所述控制面将所述第一token值发送到数据面;所述数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括随机数;所述数据面根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二token值,并比较所述第二token值和所述第一token值是否一致,如果一致,则所述数据面通过对所述第二BFD报文的认证。可以实现BFD设备数据面的NP也能进行较高安全级别的安全认证。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种安全认证方法和双向转发检测BFD设备。
背景技术
双向转发检测(Bidirectional Forwarding Detection,BFD)协议能快速检测到与相邻网络设备间的通信故障,网络设备能够根据快速检测出的故障将流量切换至备份链路以加快网络收敛速度,从而保证业务继续进行,减小设备故障或链路故障对业务的影响、提高网络的可用性。BFD设备包括由通用CPU处理器构成的控制面和由网络处理器(networkprocessor,NP)构成的数据面。为防止网络攻击,在控制面,BFD协议支持的安全认证方式有三种:1)基于简单密码的认证方式;2)基于消息摘要算法第五版(message digestalgorithm5,MD5)认证;3)基于安全散列算法第一版(security hash algorithm1,SHA1)认证;但是,在数据面,现有技术还没有NP对BFD报文的安全认证方式。
发明内容
为了实现BFD设备数据面的NP也能进行安全认证,本发明实施例提供一种安全认证方法和双向转发检测BFD设备。
第一方面,提供一种安全认证方法,包括:
本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
所述本端BFD设备的控制面根据所述随机数生成第一令牌token值;
所述本端BFD设备的控制面将所述第一token值发送到所述本端BFD设备的数据面;
所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括随机数;
所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二token值,并比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
结合第一方面,在第一种可能的实现方式中,所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成所述第二token值,包括:
所述本端BFD设备的数据面根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述本端BFD设备的控制面相同的计算方法生成所述第二token值。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述认证信息中还包括token值,
在所述本端BFD设备的数据面通过对所述第二BFD报文的认证之前,所述方法还包括:
所述本端BFD设备的数据面比较所述认证信息中包括的所述token值和所述第一token值是否一致;
所述如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证,包括:
如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
结合第一方面或第一方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,在所述本端BFD设备的控制面生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,所述方法还包括:
所述本端BFD设备的控制面发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
结合第一方面或第一方面的第一种至第三种任一可能的实现方式,在第四种可能的实现方式中,所述本端BFD设备的控制面采用哈希算法生成所述第一token值。
结合第一方面或第一方面的第一种至第四种任一可能的实现方式,在第五种可能的实现方式中,所述本端BFD设备的数据面采用和所述本端BFD设备的控制面相同的哈希算法生成所述第二token值。
结合第一方面或第一方面的第一种至第五种任一可能的实现方式,在第六种可能的实现方式中,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述随机数生成所述第一token值包括所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数、所述第一BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一token值;
结合第一方面或第一方面的第一种至第六种任一可能的实现方式,在第七种可能的实现方式中,所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器);所述本端BFD设备或者对端BFD设备的数据面也叫转发面,包括网络处理器NP。
结合第一方面或第一方面的第一种至第七种任一可能的实现方式,在第八种可能的实现方式中,所述随机数通过扩展所述第一BFD报文和第二BFD报文的字段携带。
结合第一方面或第一方面的第一种至第八种任一可能的实现方式,在第九种可能的实现方式中,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述本端BFD设备的控制面对所述第一BFD报文认证通过后,根据所述随机数生成第一令牌token值。
第二方面,提供一种安全认证方法,包括:
本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
所述本端BFD设备的控制面根据所述随机数生成第一令牌token值;
所述本端BFD设备的控制面将所述第一token值发送到所述本端BFD设备的数据面;
所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括第二token值;
所述本端BFD设备的数据面比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
结合第二方面,在第一种可能的实现方式中,在所述本端BFD设备的控制面生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,所述方法还包括:
所述本端BFD设备的控制面发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
则所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
结合第二方面或第二方面的第一种可能的实现方式,在第三种可能的实现方式中,
所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
结合第二方面的第二种可能的实现方式,在第四种可能的实现方式中,
所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数和所述密码采用第一哈希算法生成所述第一token值。
结合第二方面或第二方面的第一种或第三种可能的实现方式,在第五种可能的实现方式中,
所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址采用第二哈希算法生成所述第一token值。
结合第二方面的第二种或第四种可能的实现方式,在第六种可能的实现方式中,
所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数、所述密码和所述过期时间生成所述第一token值。
结合第二方面或第二方面的第一种或第三种或第五种可能的实现方式,在第七种可能的实现方式中,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数、所述第一BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一token值。
结合第二方面的第二种或第四种或第六种可能的实现方式,在第八种可能的实现方式中,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数、所述密码和所述过期时间采用第三哈希算法生成所述第一token值。
结合第二方面或第二方面的第一种或第三种或第五种或第七种可能的实现方式,在第九种可能的实现方式中,所述第一BFD报文中还携带所述token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数、所述第一BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间采用第四哈希算法生成所述第一token值。
结合第二方面或第二方面的第一种至第九种任一可能的实现方式,在第十种可能的实现方式中,所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器);所述本端BFD设备或者对端BFD设备的数据面也叫转发面,包括网络处理器NP。
结合第二方面或第二方面的第一种至第十种任一可能的实现方式,在第十一种可能的实现方式中,所述随机数通过扩展所述第一BFD报文字段携带。
结合第二方面或第二方面的第一种至第十一种任一可能的实现方式,在第十二种可能的实现方式中,所述第二token值通过扩展所述第二BFD报文字段携带。
结合第二方面或第二方面的第一种至第十二种任一可能的实现方式,在第十三种可能的实现方式中,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述本端BFD设备的控制面对所述第一BFD报文认证通过后,根据所述随机数生成第一令牌token值。
第三方面,提供一种双向转发检测BFD设备,包括:控制面和数据面,
所述控制面,用于接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;并用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述数据面;
所述数据面,用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括随机数;并用于根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二token值,并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
结合第三方面,在第一种可能的实现方式中,所述控制面具体用于根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
所述数据面具体用于根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二token值。
结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述认证信息中还包括token值,所述数据面还用于在通过对所述第二BFD报文的认证之前,比较所述认证信息中包括的所述token值和所述第一token值是否一致;如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则通过对所述第二BFD报文的认证。
结合第三方面或第三方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,
所述控制面包括通用CPU处理器;所述数据面包括网络处理器NP。
第四方面,提供一种双向转发检测BFD设备,包括:控制面和数据面,
所述控制面,用于接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;并用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述数据面;
所述数据面,用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括第二token值;并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
结合第四方面,在第一种可能的实现方式中,所述控制面还用于在生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
结合第四方面或第四方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
所述控制面具体用于根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
结合第四方面或第四方面的第一种可能的实现方式,在第三种可能的实现方式中,
所述控制面具体用于根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
结合第四方面或第四方面的第一种至第三种任一可能的实现方式,在第四种可能的实现方式中,
所述控制面包括通用CPU处理器;所述数据面包括网络处理器NP。
本发明实施例在BFD设备的数据面通过token值对第二BFD报文进行token认证,可以实现BFD设备数据面的NP也能进行安全认证。
附图说明
图1为本发明实施例提供的一种安全认证方法流程图;
图2为本发明实施例提供的另一种安全认证方法流程图;
图3为本发明实施例提供的一种原始的数据面发送的BFD报文示意图;
图4为本发明实施例提供的一种原始的控制面发送的BFD报文示意图;
图5为本发明实施例提供的一种原始的控制面发送的BFD报文里的MD5认证字段示意图;
图6为本发明实施例提供的一种原始的控制面发送的BFD报文里的SHA1认证字段示意图;
图7为本发明实施例提供的一种携带随机数的扩展控制面发送的BFD报文示意图;
图8为本发明实施例提供的一种携带随机数和/或token值的扩展数据面发送的BFD报文示意图;
图9为本发明实施例提供的一种安全认证方法的流程示意图;
图10为本发明实施例提供的一种安全认证方法的流程示意图;
图11为本发明实施例提供的一种双向转发检测BFD设备的结构示意图;
图12为本发明实施例提供的一种双向转发检测BFD设备的结构示意图;
图13为本发明实施例提供的一种双向转发检测BFD设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合说明书附图对本发明实施例作进一步详细描述。
本发明实施例提供了一种安全认证方法,参阅图1所示,该方法包括如下操作:
101:本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
102:所述本端BFD设备的控制面根据所述随机数生成第一令牌token值;
103:所述本端BFD设备的控制面将所述第一token值发送到所述本端BFD设备的数据面;
104:所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括随机数;
105:所述本端BFD设备的数据面对所述第二BFD报文进行token认证,所述本端BFD设备的数据面对所述第二BFD报文进行token认证包括:根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二token值,并比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
本发明实施例在BFD设备的数据面通过token值对第二BFD报文进行token认证,可以实现BFD设备数据面的NP也能进行安全认证。
可选地,所述本端BFD设备的控制面根据所述随机数生成所述token值,包括:
所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成所述第二token值,包括:
所述本端BFD设备的数据面根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述本端BFD设备的控制面相同的计算方法生成所述第二token值。
可选地,所述认证信息中还包括token值,
在所述本端BFD设备的数据面通过对所述第二BFD报文的认证之前,所述方法还包括:
所述本端BFD设备的数据面比较所述认证信息中包括的所述token值和所述第一token值是否一致;
所述如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证,包括:
如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
可选地,在所述本端BFD设备的控制面生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,所述方法还包括:
所述本端BFD设备的控制面发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
可选地,所述本端BFD设备的控制面采用哈希算法生成所述第一token值。
可选地,所述本端BFD设备的数据面采用和所述本端BFD设备的控制面相同的哈希算法生成所述第二token值。
可选地,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述随机数生成所述第一token值包括所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数、所述第一BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一token值;
可选地,所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器);所述本端BFD设备或者对端BFD设备的数据面也叫转发面,包括网络处理器NP。
可选地,所述随机数通过扩展所述第一BFD报文和第二BFD报文的字段携带。
可选地,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述本端BFD设备的控制面对所述第一BFD报文认证通过后,根据所述随机数生成第一令牌token值。
本发明实施例提供了另一种安全认证方法,参阅图2所示,该方法包括如下操作:
201:本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
202:所述本端BFD设备的控制面根据所述随机数生成第一令牌token值;
203:所述本端BFD设备的控制面将所述第一token值发送到所述本端BFD设备的数据面;
204:所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括第二token值;
205:所述本端BFD设备的数据面对所述第二BFD报文进行token认证,所述本端BFD设备的数据面对所述第二BFD报文进行token认证包括:所述本端BFD设备的数据面比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
在所述本端BFD设备的控制面生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,所述方法还包括:
所述本端BFD设备的控制面发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
则所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
可选地,所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
可选地,所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数和所述标准认证请求信息中包括的密码采用第一哈希算法生成所述第一token值。
可选地,所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址采用第二哈希算法生成所述第一token值。
可选地,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数、所述密码和所述过期时间生成所述第一token值。
可选地,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数、所述第一BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一token值。
可选地,所述第一BFD报文中还携带所述第一token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数、所述密码和所述过期时间采用第三哈希算法生成所述第一token值。
可选地,所述第一BFD报文中还携带所述token值的过期时间,所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数、所述第一BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间采用第四哈希算法生成所述第一token值。
可选地,所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器);所述本端BFD设备或者对端BFD设备的数据面也叫转发面,包括网络处理器NP。
可选地,所述随机数通过扩展所述第一BFD报文字段携带。
可选地,所述第二token值通过扩展所述第二BFD报文字段携带。
可选地,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述本端BFD设备的控制面对所述第一BFD报文认证通过后,根据所述随机数生成第一令牌token值。
如图3所示,为原始的数据面发送的BFD报文;如图4所示,为原始的控制面发送的BFD报文,该报文和图3所示的原始的数据面发送的BFD报文的区别是报文里增加了MD5/SHA1认证字段;如图5和图6所示,是对图4所示BFD报文中的认证字段的详细展示;如图7所示,本发明实施例扩展控制面发送的BFD报文,携带随机数:在原有的认证类型(例如基于MD5的或者SHA1的Auth Type为2/3/4/5)中增加随机数Random nonce字段,为了和老的协议兼容,把原来8bit的预留字段留出一个1bit R,用来表示Random nonce,即如果R值为1表示有Random nonce;一个bit的M表示消息类型:请求Request消息,或者响应Response消息;如图8所示,本发明实施例扩展数据面发送的BFD报文,使其携带随机数和token值中的至少一个:新增一种新的认证类型Auth Type:Token Auth,例如类型为6,在这个类型中有Randomnonce和Token字段的一个或者二个同时存在,同时还可能有Expiration Time或者Sequence Number。
下面结合图9,对本发明实施例提供的一种安全认证方法进行说明:
步骤1:对端BFD设备的控制面向本端BFD设备的控制面发送包括标准认证请求信息(例如基于MD5的或者SHA1的Auth Type为2/3/4/5)的第一BFD报文,所述第一BFD报文中还携带所述对端BFD设备生成的随机数,所述第一BFD报文中还可以携带过期时间Expiration Time或者Sequence Number;
步骤2:本端BFD设备的控制面对所述第一BFD报文认证通过后,根据所述随机数通过哈希算法计算一个第一token值,该第一token值可以根据所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成,也可以根据所述随机数、所述第二BFD报文中的源IP地址和目的IP地址、以及所述过期时间生成;
步骤3:本端BFD设备的控制面把所述第一token值发送到本端BFD设备的数据面;
步骤:4:本端BFD设备的控制面通过第一BFD报文的响应报文把所述第一token值发送到对端BFD设备的控制面--本步骤可选,即可以不发送;
步骤5:对端BFD设备的控制面把收到的第一token值发送到数据面--本步骤也可选,如果没有步骤3,也就没有步骤4;
步骤6:BFD会话up后,对端BFD设备的数据面把封装了所述随机数Random nonce的第二BFD报文发送到本端BFD设备的数据面;
当有步骤4和步骤5的时候,所述第二BFD报文也可以包括token值;
步骤7:所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二token值,并比较所述第二token值和所述第一token值是否一致,如果一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
所述本端BFD设备的数据面可以根据所述认证信息中包括的随机数以及所述第二BFD报文中的源IP地址和目的IP地址采用和控制面相同的哈希算法生成所述第二token值,或者,所述本端BFD设备的数据面根据所述认证信息中包括的所述随机数、所述第二BFD报文中的源IP地址和目的IP地址、以及所述过期时间采用和控制面相同的哈希算法生成所述第二token值。
当所述认证信息中还包括token值时,在所述本端BFD设备的数据面通过对所述第二BFD报文的认证之前,所述方法还包括:
所述本端BFD设备的数据面比较所述认证信息中包括的token值和所述本端BFD设备的控制面发送的所述第一token值是否一致,如果两个比较结果都一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
当所述第一token值过期后,重新执行上述步骤1-7。
下面结合图10,对本发明实施例提供的另一种安全认证方法进行说明:
步骤1:对端BFD设备的控制面向本端BFD设备的控制面发送包括标准认证请求信息(例如基于MD5的或者SHA1的Auth Type为2/3/4/5)的第一BFD报文,所述第一BFD报文中还携带所述对端BFD设备生成的随机数,所述第一BFD报文中还可以携带过期时间Expiration Time或者Sequence Number;
步骤2:本端BFD设备的控制面对所述第一BFD报文认证通过后,根据所述随机数通过哈希算法计算一个第一token值,该第一token值的生成可以根据所述随机数和所述标准认证请求信息中包括的密码生成,也可以根据所述随机数、所述标准认证请求信息中包括的密码和所述过期时间Expiration Time生成;
步骤3:本端BFD设备的控制面把所述第一token值发送到本端BFD设备的数据面;
步骤4:本端BFD设备的控制面通过第一BFD报文的响应报文把所述第一token值发送到对端BFD设备的控制面;
上述步骤3和4的顺序可以调换,本发明实施例不对之进行限制,都属于本发明实施例的保护范围。
步骤5:对端BFD设备的控制面把收到的所述第一token值发送到数据面;
步骤6:BFD会话up后,对端BFD设备的数据面把封装了第二token值的第二BFD报文发送到本端BFD设备的数据面;
步骤7:本端BFD设备的数据面比较所述第二token值和收到的控制面发面的所述第一token值是否一致,如果如果一致,则所述本端BFD设备的数据面对所述第二BFD报文认证通过。
当所述token过期后,重新执行上述步骤1-7。
如图11所示,本发明实施例还提供一种双向转发检测BFD设备1100,包括:控制面1101和数据面1102,
所述控制面1101用于接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;并用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述数据面1102;
所述数据面1102,用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括随机数;并用于根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二token值,并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
可选地,所述控制面具体用于根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
所述数据面具体用于根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二token值。
可选地,所述认证信息中还包括token值,所述数据面还用于在通过对所述第二BFD报文的认证之前,比较所述认证信息中包括的所述token值和所述第一token值是否一致;如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则通过对所述第二BFD报文的认证。
可选地,所述控制面包括通用CPU处理器;所述数据面包括网络处理器NP。
本发明实施例还提供一种双向转发检测BFD设备,包括:控制面和数据面,
所述控制面,用于接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;并用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述数据面;
所述数据面,用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括第二token值;并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
可选地,所述控制面还用于在生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
可选地,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
所述控制面具体用于根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
可选地,所述控制面具体用于根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
可选地,所述控制面包括通用CPU处理器;所述数据面包括网络处理器NP。
如图12所示,本发明的实施例还提供一种双向转发检测BFD设备,包括:接口1201、通用CPU处理器1202、网络处理器1203和总线1204,该接口1201、通用CPU处理器1202和网络处理器1203通过总线1204连接并完成相互间的通信,其中:
该总线1204可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
接口1201,接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
通用CPU处理器1202,用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述网络处理器1203;
接口1201,还用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括随机数;
网络处理器1203,用于根据所述认证信息中包括的随机数采用和所述通用CPU处理器1202相同的计算方法生成第二token值,并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
可选地,所述通用CPU处理器1202,具体用于根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
可选地,所述网络处理器1203,具体用于根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二token值。
可选地,所述认证信息中还包括token值,所述网络处理器1203,还用于在通过对所述第二BFD报文的认证之前,比较所述认证信息中包括的所述token值和所述第一token值是否一致;如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则通过对所述第二BFD报文的认证。
本发明的实施例还提供一种双向转发检测BFD设备,包括:接口1301、通用CPU处理器1302、网络处理器1303和总线1304,该接口1301、通用CPU处理器1302和网络处理器1303通过总线1304连接并完成相互间的通信,其中:
该总线1304可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
接口1301,接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
通用CPU处理器1302,用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述网络处理器1303;
接口1301,还用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括token值;
网络处理器1303,用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
可选地,所述通用CPU处理器1302,还用于在生成所述第一token值之后,在所述网络处理器1303接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
可选地,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
所述通用CPU处理器1302具体用于根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
可选地,所述通用CPU处理器1302,具体用于根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
本发明实施例在BFD设备的数据面通过token值对第二BFD报文进行token认证,可以实现BFD设备数据面的NP也能进行安全认证。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述功能模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读网络处理器(ROM,Read-Only Memory)、随机存取网络处理器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实现方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (16)
1.一种安全认证方法,其特征在于,包括:
本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
所述本端BFD设备的控制面根据所述随机数生成第一令牌token值;
所述本端BFD设备的控制面将所述第一token值发送到所述本端BFD设备的数据面;
所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括所述随机数;
所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二token值,并比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
2.根据权利要求1所述的方法,其特征在于,
所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成所述第二token值,包括:
所述本端BFD设备的数据面根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述本端BFD设备的控制面相同的计算方法生成所述第二token值。
3.根据权利要求1或2所述的方法,其特征在于,所述认证信息中还包括token值,
在所述本端BFD设备的数据面通过对所述第二BFD报文的认证之前,所述方法还包括:
所述本端BFD设备的数据面比较所述认证信息中包括的所述token值和所述第一token值是否一致;
所述如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证,包括:
如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
4.一种安全认证方法,其特征在于,包括:
本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;
所述本端BFD设备的控制面根据所述随机数生成第一令牌token值;
所述本端BFD设备的控制面将所述第一token值发送到所述本端BFD设备的数据面;
所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括第二token值;
所述本端BFD设备的数据面比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则所述本端BFD设备的数据面通过对所述第二BFD报文的认证。
5.根据权利要求4所述的方法,其特征在于,
在所述本端BFD设备的控制面生成所述第一token值之后,在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,所述方法还包括:
所述本端BFD设备的控制面发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;
所述第二token值为所述第二BFD报文中封装的所述第一token值。
6.根据权利要求4或5所述的方法,其特征在于,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
则所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
7.根据权利要求4或5所述的方法,其特征在于,所述本端BFD设备的控制面根据所述随机数生成所述第一token值,包括:
所述本端BFD设备的控制面根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
8.一种双向转发检测BFD设备,其特征在于,包括:控制面和数据面,所述控制面,用于接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;并用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述数据面;
所述数据面,用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括所述随机数;并用于根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二token值,并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
9.根据权利要求8所述的BFD设备,其特征在于,
所述控制面具体用于根据所述第一BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值;
所述数据面具体用于根据所述认证信息中包括的随机数以及所述第二BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二token值。
10.根据权利要求8或9所述的BFD设备,其特征在于,
所述认证信息中还包括token值,所述数据面还用于在通过对所述第二BFD报文的认证之前,比较所述认证信息中包括的所述token值和所述第一token值是否一致;如果所述第二token值和所述第一token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则通过对所述第二BFD报文的认证。
11.根据权利要求8或9任一所述的BFD设备,其特征在于,所述控制面包括通用CPU处理器;所述数据面包括网络处理器NP。
12.一种双向转发检测BFD设备,其特征在于,包括:控制面和数据面,所述控制面,用于接收对端BFD设备的控制面发送的第一BFD报文,所述第一BFD报文中携带所述对端BFD设备生成的随机数;并用于根据所述随机数生成第一令牌token值;并用于将所述第一token值发送到所述数据面;
所述数据面,用于接收所述对端BFD设备的数据面发送的第二BFD报文,所述第二BFD报文中携带认证信息,所述认证信息包括第二token值;并用于比较所述第二token值和所述第一token值是否一致,如果所述第二token值和所述第一token值一致,则用于通过对所述第二BFD报文的认证。
13.根据权利要求12所述的BFD设备,其特征在于,所述控制面还用于在生成所述第一token值之后,在所述数据面接收所述对端BFD设备的数据面发送的所述第二BFD报文之前,发送所述第一BFD报文的响应报文到所述对端BFD设备的控制面,所述响应报文中携带所述第一token值;所述第二token值为所述第二BFD报文中封装的所述第一token值。
14.根据权利要求12或13所述的BFD设备,其特征在于,所述第一BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHA1认证请求信息中的至少一种,所述标准认证请求消息中包括密码,
所述控制面具体用于根据所述第一BFD报文中携带的所述随机数和所述密码生成所述第一token值。
15.根据权利要求12或13所述的BFD设备,其特征在于,所述控制面具体用于根据所述第一BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一token值。
16.根据权利要求12或13任一所述的BFD设备,其特征在于,所述控制面包括通用CPU处理器;所述数据面包括网络处理器NP。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310686766.5A CN103647777B (zh) | 2013-12-13 | 2013-12-13 | 一种安全认证方法和双向转发检测bfd设备 |
PCT/CN2014/091340 WO2015085848A1 (zh) | 2013-12-13 | 2014-11-18 | 一种安全认证方法和双向转发检测bfd设备 |
EP14869208.0A EP3068093B1 (en) | 2013-12-13 | 2014-11-18 | Security authentication method and bidirectional forwarding detection method |
US15/178,770 US10097530B2 (en) | 2013-12-13 | 2016-06-10 | Security authentication method and bidirectional forwarding detection BFD device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310686766.5A CN103647777B (zh) | 2013-12-13 | 2013-12-13 | 一种安全认证方法和双向转发检测bfd设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103647777A CN103647777A (zh) | 2014-03-19 |
CN103647777B true CN103647777B (zh) | 2017-04-12 |
Family
ID=50252933
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310686766.5A Active CN103647777B (zh) | 2013-12-13 | 2013-12-13 | 一种安全认证方法和双向转发检测bfd设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10097530B2 (zh) |
EP (1) | EP3068093B1 (zh) |
CN (1) | CN103647777B (zh) |
WO (1) | WO2015085848A1 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103647777B (zh) * | 2013-12-13 | 2017-04-12 | 华为技术有限公司 | 一种安全认证方法和双向转发检测bfd设备 |
CN104980449B (zh) * | 2015-08-03 | 2018-05-08 | 上海携程商务有限公司 | 网络请求的安全认证方法及系统 |
CN105592058A (zh) * | 2015-09-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种提高网络通信安全的方法和装置 |
CN106100929B (zh) * | 2016-06-22 | 2019-06-21 | 新华三技术有限公司 | 双向转发检测认证安全切换的方法和装置 |
CN107277058B (zh) * | 2017-08-07 | 2020-03-20 | 南京南瑞集团公司 | 一种基于bfd协议的接口认证方法及系统 |
CN108769718B (zh) * | 2018-04-10 | 2020-12-15 | 武汉斗鱼网络科技有限公司 | 一种弹幕验证方法、计算机设备和存储介质 |
CN108769720B (zh) * | 2018-04-10 | 2020-10-16 | 武汉斗鱼网络科技有限公司 | 一种弹幕验证方法、计算机设备和存储介质 |
CN108769719B (zh) * | 2018-04-10 | 2020-12-15 | 武汉斗鱼网络科技有限公司 | 一种弹幕验证方法、计算机设备和存储介质 |
CN108989283A (zh) * | 2018-05-31 | 2018-12-11 | 努比亚技术有限公司 | 一种数据请求、控制方法、服务器、客户终端及存储介质 |
US11296881B2 (en) * | 2019-10-30 | 2022-04-05 | Microsoft Technology Licensing, Llc | Using IP heuristics to protect access tokens from theft and replay |
CN112653699B (zh) * | 2020-12-22 | 2022-08-12 | 迈普通信技术股份有限公司 | 一种bfd认证方法、装置及电子设备 |
US12067422B2 (en) | 2021-03-17 | 2024-08-20 | Microsoft Technology Licensing, Llc | Dynamically acquiring scoped permissions to perform operations in compute capacity and resources |
CN113453262B (zh) * | 2021-06-29 | 2023-10-20 | 新华三大数据技术有限公司 | 一种双向转发检测bfd方法及装置 |
CN113825135A (zh) * | 2021-09-18 | 2021-12-21 | 江苏亨鑫众联通信技术有限公司 | 微基站架构搭建认证方法、fpga及单元产品 |
CN115051984B (zh) * | 2021-11-22 | 2023-03-28 | 厦门大学 | 一种分布式数据平面验证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252584A (zh) * | 2008-04-09 | 2008-08-27 | 华为技术有限公司 | 双向转发检测协议会话的认证方法、系统和设备 |
CN102932318A (zh) * | 2011-08-10 | 2013-02-13 | 华为技术有限公司 | 一种双向转发检测会话的验证方法及节点 |
CN103297400A (zh) * | 2012-03-01 | 2013-09-11 | 中兴通讯股份有限公司 | 基于双向转发检测协议的安全联盟管理方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080172582A1 (en) * | 2007-01-12 | 2008-07-17 | David Sinicrope | Method and system for providing peer liveness for high speed environments |
US8437272B2 (en) * | 2007-08-16 | 2013-05-07 | Cisco Technology, Inc. | Distinguishing between connectivity verification availability and forwarding protocol functionality in a computer network |
CN103647777B (zh) * | 2013-12-13 | 2017-04-12 | 华为技术有限公司 | 一种安全认证方法和双向转发检测bfd设备 |
-
2013
- 2013-12-13 CN CN201310686766.5A patent/CN103647777B/zh active Active
-
2014
- 2014-11-18 WO PCT/CN2014/091340 patent/WO2015085848A1/zh active Application Filing
- 2014-11-18 EP EP14869208.0A patent/EP3068093B1/en active Active
-
2016
- 2016-06-10 US US15/178,770 patent/US10097530B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252584A (zh) * | 2008-04-09 | 2008-08-27 | 华为技术有限公司 | 双向转发检测协议会话的认证方法、系统和设备 |
CN102932318A (zh) * | 2011-08-10 | 2013-02-13 | 华为技术有限公司 | 一种双向转发检测会话的验证方法及节点 |
CN103297400A (zh) * | 2012-03-01 | 2013-09-11 | 中兴通讯股份有限公司 | 基于双向转发检测协议的安全联盟管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2015085848A1 (zh) | 2015-06-18 |
CN103647777A (zh) | 2014-03-19 |
EP3068093B1 (en) | 2017-08-30 |
US20160285850A1 (en) | 2016-09-29 |
EP3068093A1 (en) | 2016-09-14 |
EP3068093A4 (en) | 2016-11-09 |
US10097530B2 (en) | 2018-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103647777B (zh) | 一种安全认证方法和双向转发检测bfd设备 | |
CN110391900A (zh) | 基于sm2算法的私钥处理方法、终端及密钥中心 | |
CN107888381A (zh) | 一种密钥导入的实现方法、装置及系统 | |
CN111181723B (zh) | 物联网设备间离线安全认证的方法和装置 | |
CN105471917A (zh) | 数据传输方法及系统 | |
CN105656669B (zh) | 电子设备的远程修复方法、设备、被修复设备和系统 | |
CN105162756A (zh) | 一种政府虚拟化办公平台的实现方法 | |
CN103345453A (zh) | 支持sata接口的硬盘数据加密卡及加解密方法 | |
CN105491011A (zh) | 一种数据安全单向导出系统及方法 | |
CN104579558A (zh) | 一种数据传输过程中完整性检测方法 | |
CN113055380A (zh) | 报文处理方法、装置、电子设备及介质 | |
CN111490874B (zh) | 一种配网安全防护方法、系统、装置及存储介质 | |
CN103270546A (zh) | 签名生成装置、签名生成方法以及记录介质 | |
CN103401906B (zh) | 一种安全联锁装置的远程配置方法 | |
CN104993932A (zh) | 一种提高签名安全性的方法 | |
CN110737725A (zh) | 电子信息检验方法、装置、设备、介质及系统 | |
CN108055268A (zh) | 一种基于PCIe链路数据透传加解密的方法 | |
CN112583594A (zh) | 数据处理方法、采集设备和网关、可信平台及存储介质 | |
CN104393985A (zh) | 一种基于多网卡技术的密码机 | |
CN103425922A (zh) | 基于csp获取远端加密指令的方法及系统 | |
CN104219160A (zh) | 生成输入参数的方法及设备 | |
CN111949996A (zh) | 安全私钥的生成方法、加密方法、系统、设备及介质 | |
CN102523221A (zh) | 数据报文的检测方法及网络安全检测设备 | |
CN111130788B (zh) | 数据处理方法和系统、数据读取方法和iSCSI服务器 | |
CN107135261A (zh) | 一种基于网络配置多服务器系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |