CN107277058A - 一种基于bfd协议的接口认证方法及系统 - Google Patents

一种基于bfd协议的接口认证方法及系统 Download PDF

Info

Publication number
CN107277058A
CN107277058A CN201710664811.5A CN201710664811A CN107277058A CN 107277058 A CN107277058 A CN 107277058A CN 201710664811 A CN201710664811 A CN 201710664811A CN 107277058 A CN107277058 A CN 107277058A
Authority
CN
China
Prior art keywords
bfd
interface
session
certification
status
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710664811.5A
Other languages
English (en)
Other versions
CN107277058B (zh
Inventor
胡婷
黄鑫
李芹
何晓阳
李文猛
张鑫
卞宝银
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing NARI Group Corp
State Grid Electric Power Research Institute
Original Assignee
Nanjing NARI Group Corp
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing NARI Group Corp, State Grid Electric Power Research Institute filed Critical Nanjing NARI Group Corp
Priority to CN201710664811.5A priority Critical patent/CN107277058B/zh
Publication of CN107277058A publication Critical patent/CN107277058A/zh
Application granted granted Critical
Publication of CN107277058B publication Critical patent/CN107277058B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于BFD协议的接口认证方法及系统,A、BFD会话协商步骤:默认采用主动模式,在建立会话前无论是否收到对端发来的BFD协商报文,都会主动发送本端BFD协商报文;B、BFD认证步骤:在BFD会话协商阶段,采用Meticulous Keyed SHA1认证方式,三次认证通过则BFD会话状态置UP,认证失败则BFD会话状态置DOWN;C、BFD周期检测步骤:周期检测采用异步模式,通信双方周期性发送BFD保活报文,如果在检测周期内没有收到对端发送的BFD保活报文,则BFD会话状态置DOWN;D、BFD与接口联动步骤:设备之间首次建立BFD会话时,如协商失败需等待设定时间再联动接口DOWN;当BFD会话状态置UP以后,如BFD检测到会话超时或对端配置修改导致认证失败,则立即触发接口BFD会话状态置DOWN。

Description

一种基于BFD协议的接口认证方法及系统
技术领域
本发明涉及一种基于BFD协议的接口认证方法及系统。
背景技术
随着计算机技术和网络通信技术的普遍应用,网络设备常常受到攻击,导致人们对网络的安全性要求越来越高。路由器作为最常用的网络信息转发设备,把不同地域的网络设备连接到一起,位于可信任网络和不可信任网络中间。在安全方面,路由器的接口安全是保证网络安全的第一关,因此也是路由器安全性中最关键的一个环节。
目前,OSPF、ISIS、BGP路由协议都有对应的MD5等安全认证方式,认证通过后邻居才能UP(已认证)并交换路由信息,认证失败则认为是非法接入,邻居DOWN(未认证)。但对设备接口而言,业界目前尚无有效的安全控制机制,当攻击设备接入某个网络,只要获取到对端设备接口的IP网段,成功解析ARP(地址解析协议),攻击流量就能在网络中正常转发。
发明内容
针对上述问题,本发明提供一种基于BFD协议的接口认证方法及系统,通过BFDMSHA1认证协商联动接口UP/DOWN,为网络通信设备接口互连安全检查提供了解决方案;进一步的,结合BFD ms级的周期探测,可防止BFD会话认证协商成功后,正常网络设备被攻击设备替换带来的重放攻击风险,提高了通信设备互连的安全可靠性。
为实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
一种基于BFD协议的接口认证方法,包括:
A、BFD会话协商步骤:默认采用主动模式,在建立会话前无论是否收到对端发来的BFD协商报文,都会主动发送本端BFD协商报文;
B、BFD认证步骤:在BFD会话协商阶段,采用Meticulous Keyed SHA1认证方式,三次认证通过则BFD会话状态置UP,认证失败则BFD会话状态置DOWN;
C、BFD周期检测步骤:周期检测采用异步模式,通信双方周期性发送BFD保活报文,如果在检测周期内没有收到对端发送的BFD保活报文,则BFD会话状态置DOWN;
D、BFD与接口联动步骤:设备之间首次建立BFD会话时,如协商失败需等待设定时间再联动接口DOWN;当BFD会话状态置UP以后,如BFD检测到会话超时或对端配置修改导致认证失败,则立即触发接口BFD会话状态置DOWN。
优选,1)首次配置时,若互连设备接口两端同时配置BFD及认证,且密码一致,则BFD会话状态由DOWN置为UP,接口状态保持UP;
2)首次配置时,若互连设备接口两端同时配置BFD及认证,且密码不一致,则建立BFD会话协商失败,等待N秒再联动接口状态置DOWN;
3)首次配置时,若互连设备接口一端配置BFD及认证,另一端只配置BFD,不配置认证,则BFD会话状态保持DOWN不变,接口状态等待N秒后由UP置为DOWN;
4)首次配置时,若互连设备接口一端配置BFD及认证,另一端没有配置,则BFD会话状态保持DOWN不变,接口状态等待N秒后由UP置为DOWN。
优选,互连设备接口BFD会话协商完成后,当BFD会话状态为UP时,同时进入BFD周期检测步骤,两端周期发送BFD保活报文维持设备会话状态。
优选,N的范围为1s至10000s。
相应的,一种基于BFD协议的接口认证系统,包括:
BFD认证控制模块:维护BFD会话状态机及认证控制,根据接收的报文、认证结果和当前的状态判断下一步的处理动作,控制BFD会话状态迁移及接口状态转变;
定时器模块:包括协商定时器模块与保活定时器模块,与BFD认证控制模块交互工作:
BFD会话协商步骤开启将激活协商定时器模块,当本端发送BFD协商报文后,协商定时器开始计时,每次收到对端的协商报文后,协商定时器清零并重新开始计时;若在规定时间内未收到对端的BFD协商报文,则认为协商定时器超时,BFD会话状态置DOWN;三次握手协商成功后,BFD会话状态置UP,同时关闭协商定时器,会话进入BFD周期检测步骤,保活定时器模块开始工作:通过周期发送保活报文探测对端BFD状态,每次收到对端发送的保活报文后,保活定时器将自动清零;在规定检测周期内未收到对端的保活报文,则认为超时,触发BFD会话重新协商,关闭保活定时器,同时进入BFD会话协商步骤,开启协商定时器;
配置管理模块:负责BFD配置命令的集中管理和传送工作,解析BFD会话参数及认证密码配置,根据配置命令内容生成全局配置信息数据结构,供BFD认证控制模块进行查询和使用;
认证接口模块:维护及管理不同接口下对应的BFD会话及接口协议状态,根据BFD认证控制模块的指示,保持或触发接口状态更新;
认证管理模块:对不同BFD会话的Meticulous Keyed SHA1密码进行分类存储及合法性检查;
报文收发模块:进行报文的收发、封装、分类统计及控制管理,对接收的BFD会话报文,提取报文中的信息给认证管理模块及BFD认证控制模块。
优选,认证管理模块包括SHA1密码库和SequenceNum计数器,其中,SHA1密码库对发送的报文进行摘要信息的生成,对收到的BFD认证摘要进行合法性检查;SequenceNum计数器对收发报文进行序列号的维护与检查,本端发送的报文序列号则按顺序递增,若对端BFD会话前后接收的报文序列号不连续,则认为是非法报文并进行丢弃处理。
优选,报文收发模块提取报文中的认证摘要、参数、状态信息给认证管理模块及BFD认证控制模块。
本发明的有益效果是:
本发明采用BFD组播方式及单跳检测机制,通过BFD MSHA1认证联动接口UP/DOWN,为网络通信设备接口互连安全检查提供了解决方案。此外,结合ms级的周期探测,可防止BFD会话认证协商成功后,正常网络设备被攻击设备替换带来的重放攻击风险,提高了通信设备互连安全可靠性。
附图说明
图1是本发明一种基于BFD协议的接口认证方法流程图;
图2是本发明状态转化的示意图;
图3是本发明一种基于BFD协议的接口认证系统的示意图。
具体实施方式
下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
BFD(Bidirectional Forwarding Detection)是一种双向转发检测机制,可以提供毫秒级的检测,通过与上层路由协议联动,实现路由的快速收敛,确保业务的永续性。我们利用BFD的周期检测机制和协商机制,实现一种基于BFD协议的接口安全性认证的方法与系统。其中,RFC5880中提到的BFD允许支持的认证方式有五种,分别是Simple Password、Keyed MD5、Meticulous Keyed MD5、Keyed SHA1、Meticulous Keyed SHA1。其中,SHA1相比MD5摘要长32比特,抗攻击能力强于MD5。而SHA1与MSHA1(Meticulous Keyed SHA1)认证的操作方式主要是在Sequence Num上的区别,SHA1发送的报文,序列号保持不变,MSHA1的报文序列号每报文加1,MSHA1的抗重放报文攻击能力优于SHA1,因此,本方法采用安全性最高的MSHA1方式实现接口安全认证。
另外,传统的BFD协议都是在两端BFD会话UP以后,再开启链路状态周期探测机制,如发现BFD DOWN则联动路由快速收敛。但如果BFD会话一直保持DOWN,未出现过UP状态,则说明BFD未在工作,业务不能根据BFD状态进行保护,不应联动其它动作。与我们所要实现的基于接口的安全认证需求不同,比如在本端配置了BFD及认证,对端什么都不配或者配置错误认证密码的情况下,BFD DOWN仍需联动接口DOWN操作,因为这可能是某台攻击设备的非法接入。
如图1-3所示,一种基于BFD协议的接口认证方法,包括:
A、BFD会话协商步骤:默认采用主动模式,在建立会话前无论是否收到对端发来的BFD协商报文,都会主动发送本端BFD协商报文。另外,该方法应用在直连的三层设备上,采用单跳检测机制,报文所使用的UDP目的端口号为3784,不涉及多跳检测环境,如果接收到的BFD控制报文,其TTL或Hop count不为255,必须丢弃。
BFD会话协商步骤中,当两端都为主动角色时,两端的系统都要向对端发送YourDiscriminator为0的BFD报文,直到两端学到对端的Discriminator,然后开始建立会话;当一端为主动角色、一端为被动角色时,是由应用来决定谁是主动角色、谁是被动角色的,主动方首先发送报文,然后由应用把对端的Discriminator携带回来给主动方,被动方在收到主动方的报文后也开始发送报文,以后主动方和被动方发送的报文中Your Discriminator都不为零,每端都依据相应的Discriminator把报文分离到本端相应的会话上。会话建立过程是一个三次握手的过程,经过此过程后两端的会话变为UP状态,在此过程中同时协商好相应的参数。当本端状态为DOWN/INIT(未认证/双向认证等待)时,将打开协商报文定时器,协商超时时间公式如下:协商周期=本端协商报文检测倍数Dm_Neg*本端协商报文发送间隔,其中,协商报文发送间隔应不小于1s,默认设置为10s,Dm_Neg默认为3,但若收到对端的协商报文则应立即回复BFD报文。
在BFD会话协商步骤中,状态变化机制如图2所示,其中,DOWN代表未认证,INIT代表双向认证等待,UP代表已认证。当本端为状态DOWN时,收到对端发送的DOWN报文,且认证通过,则进入INIT状态;如收到对端的INIT报文且认证通过,则进入UP状态;如认证失败、收到UP/AdminDown报文或协商定时器超时,则保持DOWN状态。当本端为状态INIT时,收到对端发送的DOWN报文,且认证通过,则保持INIT状态;如收到对端的INIT/UP报文且认证通过,则进入UP状态;如认证失败、协商定时器超时或收到AdminDown报文,则切换为DOWN状态。当本端为状态UP时,如收到对端发送的INIT/UP保活报文,则保持UP状态;如收到DOWN/AdminDown报文或保活定时器超时,则切换为DOWN状态。
B、BFD认证步骤:在BFD会话协商阶段,采用安全性最高的Meticulous Keyed SHA1认证方式,三次认证通过则BFD会话状态置UP,认证失败则BFD会话状态置DOWN。
Meticulous Keyed SHA1认证中的摘要为32位的序列号,会话开始建立时,设备发送的初始认证报文序列号为某个随机数,之后的报文进行加1递增,避免重放报文攻击。
C、BFD周期检测步骤:互连设备接口BFD会话协商完成后,当BFD会话状态为UP时,同时进入BFD周期检测步骤,两端周期发送BFD保活报文维持设备会话状态。
周期检测采用异步模式,通信双方周期性发送BFD保活报文,如果在检测周期内没有收到对端发送的BFD保活报文,则BFD会话状态置DOWN。
通信双方周期发送BFD保活报文维持设备会话状态,BFD周期检测实际发送间隔=max(本端最小发送间隔min-tx-interval,对端最小接收间隔min-rx-interval),实际接收间隔=max(本端最小接收间隔min-rx-interval,对端最小发送间隔min-tx-interval)。采用异步模式,检测的位置是在对端,对端检测超时时间公式如下:检测周期=对端检测倍数Dm_Det*max(对端min-tx-interval,本端min-rx-interval),其中,Dm_Det默认为3。
D、BFD与接口联动步骤:设备之间首次建立BFD会话时,如协商失败需等待设定时间再联动接口DOWN;当BFD会话状态置UP以后,如BFD检测到会话超时或对端配置修改导致认证失败,则立即触发接口BFD会话状态置DOWN,无需按照首次的等待N秒来执行。
首次建立BFD会话协商失败需等待N秒再联动接口DOWN,等待时间N可配置范围是1s至10000s。该条命令配置后才使能BFD联动接口DOWN生效,不配置的情况下无法联动接口DOWN。可防止当前设备有业务流量,且无法对两台设备同时下配置的情况下BFD协商失败导致业务中断的情况。BFD UP以后,如果BFD配置修改导致会话重新协商,协商失败需立即触发接口DOWN,无需按照首次的等待N秒来执行。
如图1所示,优选,1)首次配置时,若互连设备接口两端同时配置BFD及认证,且密码一致,则BFD会话状态由DOWN置为UP,接口状态保持UP。
BFD UP以后,如BFD检测到保活定时器超时或对端配置修改导致认证失败,需立即触发接口DOWN,无需等待N秒。另外BFD状态联动接口DOWN指的是接口协议层状态DOWN,由于BFD报文发送的是目的地址为组播地址,因此,在本地接口协议层DOWN的情况下,依旧可以保证BFD报文的正常转发,不影响BFD会话的再次协商。
2)首次配置时,若互连设备接口两端同时配置BFD及认证,且密码不一致,则建立BFD会话协商失败,等待N秒再联动接口状态置DOWN。即BFD会话DOWN状态保持不变,接口状态变化:等待N秒后UP→DOWN。当对端修改密码为正确时,可触发BFD会话重新协商,BFD会话状态变化:DOWN→INIT→UP,接口状态变化:DOWN→UP。
3)首次配置时,若互连设备接口一端配置BFD及认证,另一端只配置BFD,不配置认证,则BFD会话状态保持DOWN不变,接口状态等待N秒后由UP置为DOWN。
当对端配置BFD认证且密码为正确时,应能重新进行BFD会话协商,BFD会话状态变化:DOWN→INIT→UP,接口状态变化:DOWN→UP。如对端配置BFD认证但密码不正确时,BFD及接口状态应保持DOWN。
4)首次配置时,若互连设备接口一端配置BFD及认证,另一端没有配置,则BFD会话状态保持DOWN不变,接口状态等待N秒后由UP置为DOWN。
当对端配置BFD及认证且密码为正确时,应能重新进行BFD会话协商,BFD会话状态变化:DOWN→INIT→UP,接口状态变化:DOWN→UP。如对端配置BFD但不配置认证或配置认证但密码不正确时,BFD及接口状态应保持DOWN。
相应的,如图3所示,一种基于BFD协议的接口认证系统,包括:
BFD认证控制模块:维护BFD会话状态机及认证控制,根据接收的报文、认证结果和当前的状态判断下一步的处理动作,控制BFD会话状态迁移及接口状态变化,其中BFD会话状态迁移见图2,接口状态变化见图1。
定时器模块:包括协商定时器模块与保活定时器模块,与BFD认证控制模块交互工作:
BFD会话协商步骤开启将激活协商定时器模块,当本端发送BFD协商报文后,协商定时器开始计时,每次收到对端的协商报文后,协商定时器清零并重新开始计时;若在规定时间内未收到对端的BFD协商报文,则认为协商定时器超时,BFD会话状态置DOWN;三次握手协商成功后,BFD会话状态置UP,同时关闭协商定时器,会话进入BFD周期检测步骤,保活定时器模块开始工作:通过周期发送保活报文探测对端BFD状态,每次收到对端发送的保活报文后,保活定时器将自动清零;在规定检测周期内未收到对端的保活报文,则认为超时,触发BFD会话重新协商,关闭保活定时器,同时进入BFD会话协商步骤,开启协商定时器;
配置管理模块:负责BFD配置命令的集中管理和传送工作,解析BFD会话参数及认证密码配置,根据配置命令内容生成全局配置信息数据结构,供BFD认证控制模块进行查询和使用;
认证接口模块:维护及管理不同接口下对应的BFD会话及接口协议状态,根据BFD认证控制模块的指示,保持或触发接口状态更新;BFD认证控制模块通过多个认证接口模块与各接口相连。
认证管理模块:对不同BFD会话的Meticulous Keyed SHA1密码进行分类存储及合法性检查;
报文收发模块:进行报文的收发、封装、分类统计及控制管理,对接收的BFD会话报文,提取报文中的信息给认证管理模块及BFD认证控制模块。
优选,认证管理模块包括SHA1密码库和SequenceNum计数器,其中,SHA1密码库对发送的报文进行摘要信息的生成,对收到的BFD认证摘要进行合法性检查;SequenceNum计数器对收发报文进行序列号的维护与检查,本端发送的报文序列号则按顺序递增,若对端BFD会话前后接收的报文序列号不连续,则认为是非法报文并进行丢弃处理。
优选,报文收发模块提取报文中的认证摘要、参数、状态信息等给认证管理模块及BFD认证控制模块。
本发明使用BFD组播方式及单跳检测机制,提供了一种路由设备接口安全认证方法及系统。通过BFD MSHA1认证协商联动接口UP/DOWN,为网络通信设备接口互连安全检查提供了解决方案。同时结合BFD ms级的周期探测,可防止BFD会话认证协商成功后,正常网络设备被攻击设备替换带来的重放攻击风险,提高了通信设备互连安全可靠性。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或者等效流程变换,或者直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (7)

1.一种基于BFD协议的接口认证方法,其特征在于,包括:
A、BFD会话协商步骤:默认采用主动模式,在建立会话前无论是否收到对端发来的BFD协商报文,都会主动发送本端BFD协商报文;
B、BFD认证步骤:在BFD会话协商阶段,采用Meticulous Keyed SHA1认证方式,三次认证通过则BFD会话状态置UP,认证失败则BFD会话状态置DOWN;
C、BFD周期检测步骤:周期检测采用异步模式,通信双方周期性发送BFD保活报文,如果在检测周期内没有收到对端发送的BFD保活报文,则BFD会话状态置DOWN;
D、BFD与接口联动步骤:设备之间首次建立BFD会话时,如协商失败需等待设定时间再联动接口DOWN;当BFD会话状态置UP以后,如BFD检测到会话超时或对端配置修改导致认证失败,则立即触发接口BFD会话状态置DOWN。
2.根据权利要求1所述的一种基于BFD协议的接口认证方法,其特征在于:
1)首次配置时,若互连设备接口两端同时配置BFD及认证,且密码一致,则BFD会话状态由DOWN置为UP,接口状态保持UP;
2)首次配置时,若互连设备接口两端同时配置BFD及认证,且密码不一致,则建立BFD会话协商失败,等待N秒再联动接口状态置DOWN;
3)首次配置时,若互连设备接口一端配置BFD及认证,另一端只配置BFD,不配置认证,则BFD会话状态保持DOWN不变,接口状态等待N秒后由UP置为DOWN;
4)首次配置时,若互连设备接口一端配置BFD及认证,另一端没有配置,则BFD会话状态保持DOWN不变,接口状态等待N秒后由UP置为DOWN。
3.根据权利要求2所述的一种基于BFD协议的接口认证方法,其特征在于,互连设备接口BFD会话协商完成后,当BFD会话状态为UP时,同时进入BFD周期检测步骤,两端周期发送BFD保活报文维持设备会话状态。
4.根据权利要求2所述的一种基于BFD协议的接口认证方法,其特征在于,N的范围为1s至10000s。
5.一种基于BFD协议的接口认证系统,其特征在于,包括:
BFD认证控制模块:维护BFD会话状态机及认证控制,根据接收的报文、认证结果和当前的状态判断下一步的处理动作,控制BFD会话状态迁移及接口状态转变;
定时器模块:包括协商定时器模块与保活定时器模块,与BFD认证控制模块交互工作:
BFD会话协商步骤开启将激活协商定时器模块,当本端发送BFD协商报文后,协商定时器开始计时,每次收到对端的协商报文后,协商定时器清零并重新开始计时;若在规定时间内未收到对端的BFD协商报文,则认为协商定时器超时,BFD会话状态置DOWN;三次握手协商成功后,BFD会话状态置UP,同时关闭协商定时器,会话进入BFD周期检测步骤,保活定时器模块开始工作:通过周期发送保活报文探测对端BFD状态,每次收到对端发送的保活报文后,保活定时器将自动清零;在规定检测周期内未收到对端的保活报文,则认为超时,触发BFD会话重新协商,关闭保活定时器,同时进入BFD会话协商步骤,开启协商定时器;
配置管理模块:负责BFD配置命令的集中管理和传送工作,解析BFD会话参数及认证密码配置,根据配置命令内容生成全局配置信息数据结构,供BFD认证控制模块进行查询和使用;
认证接口模块:维护及管理不同接口下对应的BFD会话及接口协议状态,根据BFD认证控制模块的指示,保持或触发接口状态更新;
认证管理模块:对不同BFD会话的Meticulous Keyed SHA1密码进行分类存储及合法性检查;
报文收发模块:进行报文的收发、封装、分类统计及控制管理,对接收的BFD会话报文,提取报文中的信息给认证管理模块及BFD认证控制模块。
6.根据权利要求5所述的一种基于BFD协议的接口认证系统,其特征在于,认证管理模块包括SHA1密码库和SequenceNum计数器,其中,SHA1密码库对发送的报文进行摘要信息的生成,对收到的BFD认证摘要进行合法性检查;SequenceNum计数器对收发报文进行序列号的维护与检查,本端发送的报文序列号则按顺序递增,若对端BFD会话前后接收的报文序列号不连续,则认为是非法报文并进行丢弃处理。
7.根据权利要求5所述的一种基于BFD协议的接口认证系统,其特征在于,报文收发模块提取报文中的认证摘要、参数、状态信息给认证管理模块及BFD认证控制模块。
CN201710664811.5A 2017-08-07 2017-08-07 一种基于bfd协议的接口认证方法及系统 Active CN107277058B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710664811.5A CN107277058B (zh) 2017-08-07 2017-08-07 一种基于bfd协议的接口认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710664811.5A CN107277058B (zh) 2017-08-07 2017-08-07 一种基于bfd协议的接口认证方法及系统

Publications (2)

Publication Number Publication Date
CN107277058A true CN107277058A (zh) 2017-10-20
CN107277058B CN107277058B (zh) 2020-03-20

Family

ID=60076683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710664811.5A Active CN107277058B (zh) 2017-08-07 2017-08-07 一种基于bfd协议的接口认证方法及系统

Country Status (1)

Country Link
CN (1) CN107277058B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400911A (zh) * 2018-02-27 2018-08-14 盛科网络(苏州)有限公司 一种实现Micro-BFD协议的装置及方法
CN108418798A (zh) * 2018-02-01 2018-08-17 烽火通信科技股份有限公司 一种bfd慢协商实现系统及实现方法
CN109889411A (zh) * 2019-03-22 2019-06-14 新华三技术有限公司 一种数据传输的方法及装置
CN110830485A (zh) * 2019-11-13 2020-02-21 苏州盛科科技有限公司 一种点到多点双向转发检测的芯片实现方法及装置
WO2022022366A1 (zh) * 2020-07-30 2022-02-03 中兴通讯股份有限公司 隧道bfd会话建立方法及装置

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101163060A (zh) * 2007-11-30 2008-04-16 杭州华三通信技术有限公司 Bfd会话建立方法、bfd会话建立装置及路由设备
US20080172582A1 (en) * 2007-01-12 2008-07-17 David Sinicrope Method and system for providing peer liveness for high speed environments
CN101296126A (zh) * 2007-04-29 2008-10-29 华为技术有限公司 一种链路故障通告方法、接口管理单元和路由器
US20090010171A1 (en) * 2007-07-05 2009-01-08 Cisco Technology, Inc. Scaling BFD sessions for neighbors using physical / sub-interface relationships
CN103166915A (zh) * 2011-12-12 2013-06-19 迈普通信技术股份有限公司 用于单向路径检测的bfd会话建立方法及bfd会话系统
CN103401754A (zh) * 2013-07-30 2013-11-20 杭州华三通信技术有限公司 一种堆叠链路建立方法、设备及系统
CN103647777A (zh) * 2013-12-13 2014-03-19 华为技术有限公司 一种安全认证方法和双向转发检测bfd设备
US20140307564A1 (en) * 2012-11-13 2014-10-16 Huawei Technologies Co., Ltd. Bidirectional forwarding detection bfd session negotiation method, device, and system
WO2014169735A1 (en) * 2013-04-16 2014-10-23 Hangzhou H3C Technologies Co., Ltd. Routing protocol authentication migration
CN106559280A (zh) * 2015-09-28 2017-04-05 中兴通讯股份有限公司 双向转发检测方法和装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080172582A1 (en) * 2007-01-12 2008-07-17 David Sinicrope Method and system for providing peer liveness for high speed environments
CN101296126A (zh) * 2007-04-29 2008-10-29 华为技术有限公司 一种链路故障通告方法、接口管理单元和路由器
US20090010171A1 (en) * 2007-07-05 2009-01-08 Cisco Technology, Inc. Scaling BFD sessions for neighbors using physical / sub-interface relationships
CN101163060A (zh) * 2007-11-30 2008-04-16 杭州华三通信技术有限公司 Bfd会话建立方法、bfd会话建立装置及路由设备
CN103166915A (zh) * 2011-12-12 2013-06-19 迈普通信技术股份有限公司 用于单向路径检测的bfd会话建立方法及bfd会话系统
US20140307564A1 (en) * 2012-11-13 2014-10-16 Huawei Technologies Co., Ltd. Bidirectional forwarding detection bfd session negotiation method, device, and system
WO2014169735A1 (en) * 2013-04-16 2014-10-23 Hangzhou H3C Technologies Co., Ltd. Routing protocol authentication migration
CN103401754A (zh) * 2013-07-30 2013-11-20 杭州华三通信技术有限公司 一种堆叠链路建立方法、设备及系统
CN103647777A (zh) * 2013-12-13 2014-03-19 华为技术有限公司 一种安全认证方法和双向转发检测bfd设备
CN106559280A (zh) * 2015-09-28 2017-04-05 中兴通讯股份有限公司 双向转发检测方法和装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418798A (zh) * 2018-02-01 2018-08-17 烽火通信科技股份有限公司 一种bfd慢协商实现系统及实现方法
CN108418798B (zh) * 2018-02-01 2020-10-30 烽火通信科技股份有限公司 一种bfd慢协商实现系统及实现方法
CN108400911A (zh) * 2018-02-27 2018-08-14 盛科网络(苏州)有限公司 一种实现Micro-BFD协议的装置及方法
CN108400911B (zh) * 2018-02-27 2021-04-09 盛科网络(苏州)有限公司 一种实现Micro-BFD协议的装置及方法
CN109889411A (zh) * 2019-03-22 2019-06-14 新华三技术有限公司 一种数据传输的方法及装置
CN110830485A (zh) * 2019-11-13 2020-02-21 苏州盛科科技有限公司 一种点到多点双向转发检测的芯片实现方法及装置
CN110830485B (zh) * 2019-11-13 2021-10-22 苏州盛科科技有限公司 一种点到多点双向转发检测的芯片实现方法及装置
WO2022022366A1 (zh) * 2020-07-30 2022-02-03 中兴通讯股份有限公司 隧道bfd会话建立方法及装置

Also Published As

Publication number Publication date
CN107277058B (zh) 2020-03-20

Similar Documents

Publication Publication Date Title
CN107277058A (zh) 一种基于bfd协议的接口认证方法及系统
US7624181B2 (en) Techniques for authenticating a subscriber for an access network using DHCP
Durham et al. The COPS (common open policy service) protocol
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
US9015855B2 (en) Secure tunneling platform system and method
US8886934B2 (en) Authorizing physical access-links for secure network connections
JP3844762B2 (ja) Eponにおける認証方法及び認証装置
CN100358280C (zh) 一种网络安全装置及其实现方法
EP1502463B1 (en) Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network
CN100437550C (zh) 一种以太网认证接入的方法
CN101420455A (zh) 反向http网关数据传输系统和/或方法及其网络
US10250581B2 (en) Client, server, radius capability negotiation method and system between client and server
CN102255918A (zh) 一种基于DHCP Option 82的用户接入权限控制方法
WO2019237683A1 (zh) 一种协议报文以及虚拟客户终端设备的管理方法
WO2003081839A1 (fr) Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x
US20050157722A1 (en) Access user management system and access user management apparatus
CN106603512B (zh) 一种基于sdn架构的is-is路由协议的可信认证方法
CN1658553B (zh) 一种采用公开密钥密码算法加密模式的强鉴别方法
CN102075567B (zh) 认证方法、客户端、服务器、直通服务器及认证系统
JP2005122695A (ja) 認証方法、サーバ計算機、クライアント計算機、および、プログラム
CN100356725C (zh) 一种网络设备的管理方法
CN100428667C (zh) 一种采用公开密钥密码算法数字签名模式的强鉴别方法
Cisco Feature Guide for Cisco IOS Release 11.2 F
WO2008037213A1 (fr) Terminal d'accès et procédé de liaison entre ce terminal et l'opérateur
CN100490375C (zh) 一种基于对称密码算法的强鉴别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant