WO2019128468A1

WO2019128468A1 - 一种认证方法、设备及系统

Info

Publication number: WO2019128468A1
Application number: PCT/CN2018/113932
Authority: WO
Inventors: 季叶一; 臧亮; 蔡文娟; 张玉磊
Original assignee: 华为技术有限公司
Priority date: 2017-12-27
Filing date: 2018-11-05
Publication date: 2019-07-04
Also published as: CN109981534B; EP3713185A1; EP3713185B1; EP3713185A4; US20200322174A1; US11418354B2; CN109981534A

Abstract

一种认证方法、设备及系统。所述方法包括，第一网络设备向所述第二网络设备发送第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一PKI证书信息。并且，所述第一网络设备接收所述第二网络设备发送的第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。从而，在NHRP网络中，Spoke设备和Hub设备之间通过采用PKI证书进行认证，有助于减少认证配置的工作量和提高认证的安全性。

Description

一种认证方法、设备及系统

本申请要求于2017年12月27日提交中国专利局、申请号为201711451058.8、发明名称为“一种认证方法、设备及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种认证方法、设备及系统。

背景技术

下一跳解析协议(next hop resolution protocol，NHRP)也可以被称为非广播多重访问下一跳解析协议(NBMA Next Hop Resolution Protocol，NHRP)，其中，NBMA的全称是：non-broadcast multiple access。NHRP用于连接到NBMA子网的源站(主机或路由器)确定到达目标站的网络互联层地址(internetworking layer address)和“NBMA下一跳”的NBMA子网地址。如果目的地与NBMA子网连接，NBMA下一跳就是目标站自身；否则，NBMA下一跳是从NBMA子网到目标站最近的出口路由器。NHRP被设计用于NBMA子网下的多重协议网络互联层环境中。

在实现场景中，NHRP可以和通用路由封装(generic routing encapsulation，GRE)，组成多点GRE(multipoint generic routing encapsulation，mGRE)互通方案。也就是说，在NHRP网络中通过mGRE隧道实现各个NHRP站点的互通。mGRE隧道使得一个GRE接口可以支持多个GRE隧道，简化了配置复杂性。GRE隧道也支持互联网协议(Internet Protocol，IP)组播和非IP协议。

例如，在NHRP网络场景中，NHRP网络可以包括枢纽(Hub)设备和分支(Spoke)设备。Hub设备与Spoke设备之间可以经由mGRE隧道实现互通。

在实际的应用场景中，NHRP网络中的Spoke设备需要向Hub设备进行注册，并且在进行注册时，需要进行密码认证。但是，当Spoke设备和Hub设备之间的认证密码需要改变时，或者，当NHRP网络的拓扑发生变更时，增加了认证密码配置的工作量，并且降低了安全性。

发明内容

有鉴于此，本申请实施例提供了一种认证方法、设备及系统，在NHRP网络中，Spoke设备和Hub设备之间通过采用公共密钥基础设施(public key infrastructure，PKI)证书进行认证，有助于减少认证配置的工作量和提高认证的安全性。

本申请实施例提供的技术方案如下。

第一方面，提供了一种认证方法，所述认证方法应用在NHRP网络中，所述NHRP网络包括第一网络设备和第二网络设备。所述方法包括，所述第一网络设备向所述第二网络设备发送第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一PKI证书信息。并且，所述第一网络设备接收所述第二网络设备发送的第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。

基于实施例提供的方案，在NHRP网络中，Spoke设备和Hub设备之间通过采用PKI证书进行认证，有助于减少认证配置的工作量和提高认证的安全性。

在第一方面的一种可能的实现方式中，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥。在所述第一网络设备向所述第二网络设备发送第一NHRP注册请求消息之前，所述方法还包括，所述第一网络设备根据固定部分字段和强制部分字段确定第一摘要，所述第一NHRP注册请求消息包括所述固定部分字段和所述强制部分字段。以及，所述第一网络设备使用第一私有密钥对所述第一摘要加密，得到所述第一数字签名，所述第一私有密钥与所述第一公有密钥对称。

在第一方面的又一种可能的实现方式中，所述方法还包括，所述第一网络设备接收所述第二网络设备发送的第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息。所述第一网络设备根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证。所述第一网络设备向所述第二网络设备发送第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。

在第一方面的再一种可能的实现方式中，所述第二PKI证书信息包括第二数字证书、第二数字签名和第二公开密钥。所述第一网络设备根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证，包括，所述第一网络设备根据所述第二NHRP注册请求消息携带的固定部分字段和强制部分字段确定第二摘要。所述第一网络设备根据所述第二公开密钥解密所述第二数字签名，得到第三摘要。所述第一网络设备确定所述第二摘要与所述第三摘要相同，并且确定所述第二PKI证书信息包括的所述第二数字证书与所述第一网络设备存储的所述第一数字证书属于相同证书链。

可选的，所述第二NHRP注册请求消息包括第二认证扩展字段和第二证书扩展字段，其中，所述第二认证扩展字段包括所述第二数字签名，所述第二证书扩展字段包括所述第二数字证书和所述第二公开密钥。

第二方面，提供了一种认证方法，其特征在于，所述认证方法应用在NHRP网络中，所述NHRP网络包括第一网络设备和第二网络设备。所述方法包括，所述第二网络设备接收所述第一网络设备发送的第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一PKI证书信息。然后，所述第二网络设备根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证。并且，所述第二网络设备向所述第一网络设备发送第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。

在第二方面的一种可能的实现方式中，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥。所述第二网络设备根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证，包括，所述第二网络设备根据所述第一NHRP注册请求消息携带的固定部分字段和强制部分字段确定第一摘要。所述第二网络设备根据所述第一公开密钥解密所述第一数字签名，得到第二摘要。所述第二网络设备确定所述第一摘要与所述第二摘要相同，并且确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链。

在第二方面的又一种可能的实现方式中，所述方法还包括，所述第二网络设备向所述第一网络设备发送第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息。所述第二网络设备接收所述第一网络设备发送的第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。

在上述第一方面或第二方面中，可选的，所述第二NHRP注册请求消息和所述第一NHRP注册回复消息是同一个消息。

第三方面，提供了一种第一网络设备，所述第一网络设备具有实现上述方法中第一网络设备行为的功能。所述功能可以基于硬件实现，也可以基于硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，第一网络设备的结构中包括处理器和接口，所述处理器被配置为支持第一网络设备执行上述方法中相应的功能。所述接口用于支持第一网络设备与第二网络设备之间的通信，向第二网络设备发送上述方法中所涉及的信息或者指令，或者从第二网络设备接收上述方法中所涉及的信息或者指令。所述第一网络设备还可以包括存储器，所述存储器用于与处理器耦合，其保存第一网络设备必要的程序指令和数据。

在另一个可能的设计中，所述第一网络设备包括：处理器、发送器、接收器、随机存取存储器、只读存储器以及总线。其中，处理器通过总线分别耦接发送器、接收器、随机存取存储器以及只读存储器。其中，当需要运行第一网络设备时，通过固化在只读存储器中的基本输入/输出系统或者嵌入式系统中的bootloader引导系统进行启动，引导第一网络设备进入正常运行状态。在第一网络设备进入正常运行状态后，在随机存取存储器中运行应用程序和操作系统，使得该处理器执行第一方面或第一方面的任意可能的实现方式中的方法。

第四方面，提供一种第一网络设备，所述第一网络设备包括：主控板和接口板，进一步，还可以包括交换网板。所述第一网络设备用于执行第一方面或第一方面的任意可能的实现方式中的方法。具体地，所述第一网络设备包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的模块。

第五方面，提供一种第一网络设备，所述第一网络设备包括控制器和第一转发子设备。所述第一转发子设备包括：接口板，进一步，还可以包括交换网板。所述第一转发子设备用于执行第四方面中的接口板的功能，进一步，还可以执行第四方面中交换网板的功能。所述控制器包括接收器、处理器、发送器、随机存取存储器、只读存储器以及总线。其中，处理器通过总线分别耦接接收器、发送器、随机存取存储器以及只读存储器。其中，当需要运行控制器时，通过固化在只读存储器中的基本输入/输出系统或者嵌入式系统中的bootloader引导系统进行启动，引导控制器进入正常运行状态。在控制器进入正常运行状态后，在随机存取存储器中运行应用程序和操作系统，使得该处理器执行第四方面中主控板的功能。

第六方面，提供了一种计算机存储介质，用于储存为上述第一网络设备所用的程序、代码或指令，当处理器或硬件设备执行这些程序、代码或指令时可以完成上述方面中第一网络设备的功能或步骤。

第七方面，提供了一种第二网络设备，所述第二网络设备具有实现上述方法中第二网络设备行为的功能。所述功能可以基于硬件实现，也可以基于硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，第二网络设备的结构中包括处理器和接口，所述处理器被配置为支持第二网络设备执行上述方法中相应的功能。所述接口用于支持第二网络设备与第一网络设备之间的通信，向第一网络设备发送上述方法中所涉及的信息或者指令，或者从第一网络设备接收上述方法中所涉及的信息或者指令。所述第二网络设备还可以包括存储器，所述存储器用于与处理器耦合，其保存第二网络设备必要的程序指令和数据。

在另一个可能的设计中，所述第二网络设备包括：处理器、发送器、接收器、随机存取存储器、只读存储器以及总线。其中，处理器通过总线分别耦接发送器、接收器、随机存取存储器以及只读存储器。其中，当需要运行第二网络设备时，通过固化在只读存储器中的基本输入/输出系统或者嵌入式系统中的bootloader引导系统进行启动，引导第二网络设备进入正常运行状态。在第二网络设备进入正常运行状态后，在随机存取存储器中运行应用程序和操作系统，使得该处理器执行第二方面或第二方面的任意可能的实现方式中的方法。

第八方面，提供一种第二网络设备，所述第二网络设备包括：主控板和接口板，进一步，还可以包括交换网板。所述第二网络设备用于执行第二方面或第二方面的任意可能的实现方式中的方法。具体地，所述第二网络设备包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的模块。

第九方面，提供一种第二网络设备，所述第二网络设备包括控制器和第二转发子设备。所述第二转发子设备包括：接口板，进一步，还可以包括交换网板。所述第二转发子设备用于执行第八方面中的接口板的功能，进一步，还可以执行第八方面中交换网板的功能。所述控制器包括接收器、处理器、发送器、随机存取存储器、只读存储器以及总线。其中，处理器通过总线分别耦接接收器、发送器、随机存取存储器以及只读存储器。其中，当需要运行控制器时，通过固化在只读存储器中的基本输入/输出系统或者嵌入式系统中的bootloader引导系统进行启动，引导控制器进入正常运行状态。在控制器进入正常运行状态后，在随机存取存储器中运行应用程序和操作系统，使得该处理器执行第八方面中主控板的功能。

第十方面，提供了一种计算机存储介质，用于储存为上述第二网络设备所用的程序、代码或指令，当处理器或硬件设备执行这些程序、代码或指令时可以完成上述方面中第二网络设备的功能或步骤。

第十一方面，提供一种NHRP网络系统，所述NHRP网络系统包括第一网络设备和第二网络设备，所述第一网络设备为前述第三方面或第四方面或第五方面中的第一网络设备，所述第二网络设备为前述第七方面或第八方面或第九方面中的第二网络设备。

通过上述方案，本申请实施例提供的认证方法、设备及系统。在NHRP网络中，Spoke设备和Hub设备之间通过采用PKI证书进行数字证书认证，Spoke设备和Hub设备根据PKI证书服务器签发的数字证书自动的生成本地数字证书和对应的证书链，从而减少了认证配置的工作量。并且，Spoke设备和Hub设备可以采用证书链匹配和加密解密的方式处理NHRP注册请求消息，提高了认证的安全性。另外，当NHRP网络的拓扑发生变更时，无需对Spoke设备和Hub设备进行重新配置。

附图说明

图1为本申请实施例的一种NHRP网络结构示意图；

图2为本申请实施例的一种认证方法流程图；

图3为本申请实施例的一种证书扩展字段的报文格式图；

图4为本申请实施例的一种NHRP注册请求消息的报文格式图；

图5为本申请实施例的第一网络设备的结构示意图；

图6为本申请实施例的第一网络设备的硬件结构示意图；

图7为本申请实施例的另第一网络设备的硬件结构示意图；

图8为本申请实施例的第二网络设备的结构示意图；

图9为本申请实施例的第二网络设备的硬件结构示意图；

图10为本申请实施例的另第二网络设备的硬件结构示意图。

具体实施方式

下面通过具体实施例，分别进行详细的说明。

图1为本申请实施例的一种NHRP网络结构示意图。如图1所示，所述NHRP网络包括三级级联结构。其中，第一级包括Hub-1设备，第二级包括Hub-01设备和Hub-02设备，第三级包括Spoke-01设备、Spoke-02设备、Spoke-03设备和Spoke-04设备。第一级中的网络设备与第二级中的网络设备之间、第二级中的网络设备与第三级中的网络设备之间、以及第三级中的网络设备之间通过mGRE隧道通信。图1中的Hub设备和Sopke设备可以是路由器或三层交换机。在图1所示的三级级联结构中，所述Hub-01设备和Hub-02设备是所述第一级包括Hub-1设备的下一级设备，所述Spoke-01设备、Spoke-02设备、Spoke-03设备和Spoke-04设备是所述Hub-01设备和Hub-02设备的下一级设备。

应当理解，图1示意性的示出了三级级联结构。在实际网络场景中，可以采用二级级联结构或者多于三级的级联结构，例如，采用四级级联结构。而且，在每一级中，网络设备的数量并不限定，可以是任意数量。例如，通过将图1所示的网络结构中的第一级删除，可以变换成二级级联结构。在该二级级联结构中，第一级包括Hub-01设备和Hub-02设备，第二级包括Spoke-01设备、Spoke-02设备、Spoke-03设备和Spoke-04设备。再例如，通过在图1所示的网络结构中增加第四级，可以变换成四级级联结构。在四级级联结构，第一级、第二级和第三级的结构如图1所示；第四级位于第三级的下一级，所述第四级包括至少一台Spoke设备。这样，第三级中的Spoke设备可以看成第四级中的Spoke设备的Hub设备。图1中，各个网络设备之间的隧道类型并不限定，例如，还可以采用点到多点的虚拟扩展局域网(virtual extensible local area network，VXLAN)隧道。

图1中的Hub-01设备和Hub-02设备相对于第三级中的Spoke设备是Hub设备，相对于第一级中的Hub-1设备是Spoke设备。因此，Spoke设备是Hub设备的下一级网络设备。每个Sopke设备可以连接一个或多个终端设备，例如，Spoke-01设备连接3台终端设备。第三级中的Sopke设备还可以连接下一级的Spoke设备。例如，图1中还包括第四级，第四级中包括Spoke-001设备和Spoke-002设备。Spoke-001设备和Spoke-002设备与第三级中的Spoke-01设备通信。这样，Spoke-01设备相对于Hub-01设备是Spoke设备，相对于Spoke-001设备和Spoke-002设备是Hub设备。

在NHRP网络中，Spoke设备需要向Hub设备进行注册。以图1为例，Hub-01设备和Hub-02设备是Hub-1设备的spoke设备，因此，Hub-01设备和Hub-02设备需要向Hub-1设备进行注册。Spoke-01设备、Spoke-02设备、Spoke-03设备和Spoke-04设备是Hub-01设备和Hub-02设备的spoke设备，因此，Spoke-01设备、Spoke-02设备、Spoke-03设备和Spoke-04设备需要向Hub-01设备和Hub-02设备进行注册。

Spoke设备和Hub设备在进行注册时，可以采用密码认证的方式进行注册。在一种可能的实现方式中，NHRP网络中的所有Spoke设备和Hub设备都采用相同的密码。这种方式虽然可以减少配置的工作量，但是无法保证安全性。在另一种可能的实现方式中，NHRP网络中的每一级的网络设备采用相同的密码。这样方式相对于上述方式，虽然适当提高了安全性，但是增加了配置的工作量。而且，如果NHRP网络发生拓扑更新，将导致配置的工作量增加。例如，图1中的第三级中的Spoke-01设备变为第二级中的Hub设备，管理员需要对Spoke-01设备的密码进行重新配置，并且需要获知第二级对应的密码。进一步，随着NHRP网络的复杂程度不断提高，NHRP网络中的网络设备的数量不断增加，上述两种实现方式存在的缺陷被放大。

在本申请的实施方式中，Spoke设备和Hub设备之间通过采用公共密钥基础设施(public key infrastructure，PKI)证书进行认证。举例说明，图1所示的NHRP网络中还包括PKI证书服务器(图1中未示出)，PKI证书服务器分别与第一级中的网络设备、第二级中的网络设备和第三级中的网络设备进行通信。PKI证书服务器分别向第一级中的网络设备、第二级中的网络设备和第三级中的网络设备签发数字证书。当Spoke设备向Hub设备进行注册时，所述Spoke设备向所述Hub设备发送NHRP注册请求消息。其中，所述NHRP注册请求消息携带PKI证书信息，所述NHRP注册请求消息用于所述Spoke设备向所述Hub设备请求数字证书认证。所述Hub设备接收到NHRP注册请求消息后，根据所述NHRP注册请求消息中的PKI证书信息确定Spoke设备是否通过认证。如果所述Spoke设备通过了所述Hub设备的认证，所述Hub设备向所述Spoke设备发送NHRP注册回复消息，所述NHRP注册回复消息用于指示所述Spoke设备通过所述Hub设备的数字证书认证。所述Spoke设备接收到NHRP注册回复消息后，所述Spoke设备和所述Hub设备可以开始传送数据报文。

在一种可能的实现方式中，Spoke设备和Hub设备还可以依据上述类似的实现方式进行双向数字证书认证，也就是说，Spoke设备向Hub设备进行数字证书认证，并且，Hub设备还向Spoke设备进行数字证书认证。当双向数字证书认证通过后，所述Spoke设备和所述Hub设备可以开始传送数据报文。

通过上述实施方式，在NHRP网络中，Spoke设备和Hub设备之间通过采用PKI证书进行数字证书认证，Spoke设备和Hub设备根据PKI证书服务器签发的数字证书自动的生成本地数字证书和对应的证书链，从而减少了认证配置的工作量。并且，Spoke设备和Hub设备可以采用证书链匹配和加密解密的方式处理NHRP注册请求消息，提高了认证的安全性。另外，当NHRP网络的拓扑发生变更时，无需对Spoke设备和Hub设备进行重新配置。其中，Spoke设备向Hub设备进行数字证书认证的具体实现方式可以参见本申请后续实施例的说明。

图2为申请实施例的一种认证方法流程图。图2所示的方法可以应用于图1所示的NHRP网络中。所述NHRP网络包括第一网络设备和第二网络设备。举例说明，在图1中，所述第一网络设备可以是Spoke设备，所述第二网络设备可以是Hub设备。具体的，当第三级中的网络设备与第二级中的网络设备之间进行数字证书认证时，所述第一网络设备可以是Spoke-01设备、Spoke-02设备、Spoke-03设备或Spoke-04设备，所述第二网络设备可以是Hub-01设备或Hub-02设备。当第二级中的网络设备与第一级中的网络设备之间进行数字证书认证时，所述第一网络设备可以是Hub-01设备或Hub-02设备，所述第二网络设备可以是Hub-1设备。图2所示的方法包括S101至S105。

S101、所述第一网络设备向所述第二网络设备发送第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一PKI证书信息。

举例说明，所述第一网络设备是Spoke设备，所述第二网络设备是Hub设备，所述第一网络设备是所述第二网络设备的下一级设备。在传输数据报文之前，Spoke设备需要向Hub设备进行注册。在本申请实施方式中，所述Spoke设备在向所述Hub设备的注册过程中，实现所述Hub设备对所述Spoke设备的数字证书认证。具体的，所述Spoke设备生成第一NHRP注册请求消息，所述第一NHRP注册请求报文携带有第一PKI证书信息。所述第一NHRP注册请求消息用于所述Spoke设备向所述Hub设备请求数字证书认证。所述Spoke设备生成所述第一NHRP注册请求消息后，向所述Hub设备发送所述第一NHRP注册请求消息。

举例说明，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥。所述第一NHRP注册请求消息可以包括第一认证扩展(authentication extension)字段和第一证书扩展(certificate extension)字段。可选的，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥。所述第一证书扩展字段的格式可以参见图3所示。如图3所示，标志C表示compulsory，具体的表明了该证书扩展字段是否被接收方识别，例如该标志C被置为1时表示该证书扩展字段需要被接收方识别。U表示预留字段。类型(Type)表示扩展字段的类型，例如Type＝11，表示扩展字段的类型为证书扩展字段。长度(Length)表示扩展载荷的长度。数据(Data)是证书扩展字段的载荷部分。例如，Data用于携带所述第一数字证书和所述第一公开密钥。类似的，所述第一认证扩展字段的格式与所述第一证书扩展字段的格式相同，此处不再进行赘述。所述第一数字签名被携带在所述第一认证扩展字段的Data中。

所述第一NHRP注册请求消息还可以包括固定部分(fixed part)字段和强制部分(mandatory part)字段。所述第一NHRP注册请求消息的格式可以参见图4所示。其中，固定部分字段和强制部分字段的具体格式可以参见因特网工程任务组(Internet Engineering Task Force)请求注解(request for comments，RFC)2332的相关定义。

所述第一数字证书来自PKI证书服务器。具体的，所述第一数字证书可以包括本地证书授权(certification authority，CA)数字证书、级联CA数字证书和根CA数字证书。并且，所述第一数字证书还包括本地CA数字证书、级联CA数字证书和根CA数字证书之间的关联关系，这种关联关系可以被称为证书链。其中，所述根CA数字证书是由所述PKI证书服务器签发的CA数字证书。所述级联CA数字证书和本地CA数字证书均是根据根CA数字证书衍生出来的CA数字证书。所述级联CA数字证书用于指示NHRP网络中的层级(第一级、第二级或第三级)对应的CA数字证书。所述本地CA数字证书用于指示NHRP网络中网络设备对应的CA数字证书。其中，所述级联CA数字证书可能包括多个级联CA数字证书。例如，图1中的Hub-01设备的数字证书包括本地CA数字证书、级联CA数字证书和根CA数字证书。其中，级联CA数字证书包括级联CA数字证书1和级联CA数字证书2，所述级联CA数字证书1是Hub-1设备的数字证书中的级联CA数字证书，所述级联CA数字证书2是Hub-1设备的数字证书中的本地CA数字证书。

可选的，所述第一数字签名可以按照S201和S202的方式实现：

S201、所述第一网络设备根据固定部分字段和强制部分字段确定第一摘要，所述第一NHRP注册请求消息包括所述固定部分字段和所述强制部分字段。

S202、所述第一网络设备使用第一私有密钥对所述第一摘要加密，得到第一数字签名，所述第一私有密钥与所述第一公开密钥对称。

举例说明，所述Spoke设备在生成所述第一NHRP注册请求消息过程中，所述Spoke设备将固定部分字段和强制部分字段进行合并操作，所述合并操作可以是将所固述定头字段包括的值与所述强制部分字段包括的值进行首尾拼接，得到合并值。然后，所述Spoke设备将所述合并值进行哈希(hash)运算，得到所述第一摘要。

所述Spoke设备在确定所述第一摘要后，所述Spoke设备使用所述第一私有密钥对所述第一摘要进行加密。具体的，所述第一数字证书包括加密算法标识，所述加密算法标识用于标识加密算法。所述Spoke设备配置有多种加密算法。所述Spoke设备通过识别所述第一数字证书中的加密算法标识确定对应的加密算法。在另一种实现方式中，所述第一数字证书不包括加密算法标识，所述Spoke设备只配置一种加密算法。应当理解，NHRP网络中的Hub设备的加密算法的设置方式和上述Spoke设备一致，此处不进行赘述。所述加密算法例如可以是数据加密标准(data encryption standard，DES)，三重数据加密标准(triple data encryption standard，3DES)或高级加密标准128(advanced encryption standard 128，AES128)等。所述Spoke设备获得加密算法后，使用加密算法和所述第一私有密钥对所述第一摘要进行加密，得到所述第一数字签名。其中，所述第一私有密钥是由所述Spoke设备根据密钥生成算法生成的。所述Spoke设备在生成所述第一私有密钥时，还会生成与所述第一私有密钥对称的第一公开密钥。当所述第一NHRP注册请求消息被传输到Hub设备后，所述第一公开密钥被所述Hub设备用于对所述第一数字签名的解密操作中。

S102、所述第二网络设备接收所述第一网络设备发送的所述第一NHRP注册请求消息。

S103、所述第二网络设备根据所述第一PKI证书信息确定所述第一网络设备通过数字认证。

举例说明，所述Hub设备接收所述Spoke设备发送的所述第一NHRP注册请求消息。根据前述实施方式，所述Spoke设备与所述Hub设备通过隧道的方式通信，从而传送所述第一NHRP注册请求消息。在一种可能的实现方式中，基于mGRE隧道实现NHRP网路中的隧道，具体的，所述Hub设备经由GRE隧道接收所述Spoke设备发送的所述第一NHRP注册请求消息。所述第一NHRP注册请求消息被所述Spoke设备封装为GRE报文，并且，通过GRE隧道发送到所述Hub设备。在另一种可能的实现方式中，基于点到多点的VXLAN隧道实现NHRP网路中的隧道，具体的，所述Hub设备经由VXLAN隧道接收所述Spoke设备发送的所述第一NHRP注册请求消息。所述第一NHRP注册请求消息被所述Spoke设备封装为VXLAN报文，并且，通过VXLAN隧道发送到所述Hub设备。

所述Hub设备接收到所述第一NHRP注册请求消息后，从所述第一NHRP注册请求消息中获取所述第一PKI证书信息。所述Hub设备根据所述第一PKI证书信息确定所述Spoke设备是否可以通过所述Hub设备的数字认证。

根据前述实施方式，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥。可选的，所述第二网络设备根据所述第一PKI证书信息确定所述第一网络设备通过数字认证可以包括S301-S303。

S301、所述第二网络设备根据所述第一NHRP注册请求消息携带的固定部分字段和强制部分字段确定第二摘要。

S302、所述第二网络设备根据所述第一公开密钥解密所述第一数字签名，得到所述第一摘要。

S303、所述第二网络设备确定所述第一摘要和所述第二摘要相同，并且确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链。

举例说明，根据前述实施方式，所述第一NHRP注册请求消息包括固定部分字段和强制部分字段。所述Hub设备在获得所述第一NHRP注册请求消息后，根据所述第一NHRP注册请求消息携带的固定部分字段和强制部分字段确定第二摘要。也就是说，类似前述S201的实现方式，所述Hub设备将固定部分字段和强制部分字段进行合并操作，得到合并值，再将所述合并值进行哈希运算，得到所述第二摘要。具体实现方式可以参见前述对S201的解释，此处不进行赘述。

所述第一PKI证书信息包括的第一公开密钥与所述Spoke设备生成所述第一数字签名使用的所述第一私有密钥是对称关系。因此，所述Hub设备可以根据所述第一公开密钥解密所述第一数字签名，得到所述第一摘要。上述解密的过程是加密操作的逆向操作，实现方式类似前述S202的具体解释，此处不进行赘述。需要说明的是，S202中提及的加密算法标识，在解密操作中被称为解密算法标识，通过这个标识，所述Hub设备可以确定对应的解密算法。另外，当只存在一种算法时，可以不使用解密算法标识。

所述Hub设备确定经过计算得到的所述第二摘要与经过解密得到的所述第一摘要是否相同；并且，所述Hub设备还确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链。如果所述Hub设备确定所述第一摘要和所述第二摘要相同，并且确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链，则所述Hub设备可以确定所述Spoke设备通过了认证。

所述Hub设备确定证书链是否相同的实现方式可以参考以下实例。假设所述Hub设备是图1中的Hub-01设备，所述Spoke设备是图1中的Spoke-01设备。所述Hub-01设备本地存储的数字证书包括本地CA数字证书、级联CA数字证书1、级联CA数字证书2和根CA数字证书，并且，所述Hub-01设备本地存储的数字证书还包括上述证书的关联关系，称为证书链1。其中，所述级联CA数字证书1是Hub-1设备的数字证书中的级联CA数字证书，所述级联CA数字证书2是Hub-1设备的数字证书中的本地CA数字证书。所述Hub-01设备接收所述Spoke-01设备发送的数字证书包括本地CA数字证书、级联CA数字证书1、级联CA数字证书2、级联CA数字证书3和根CA数字证书，并且，所述Spoke-01设备发送的数字证书还包括上述证书的关联关系，称为证书链2。其中，所述级联CA数字证书3是所述Hub-01设备的数字证书中的本地CA数字证书。所述Hub-01设备可以确定证书链1和证书链2是相互匹配的，因此确定证书链1和证书链2属于相同证书链。

S104、所述第二网络设备向所述第一网络设备发送第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。

S105、所述第一网络设备接收所述第二网络设备发送的所述第一NHRP注册回复消息。

举例说明，所述Hub设备在确定所述Spoke设备通过了所述Hub设备的数字证书认证后，可以向所述Spoke设备发送所述第一NHRP注册回复消息。其中，所述第一NHRP注册回复消息用于指示所述Spoke设备通过所述Hub设备的数字证书认证。具体的，所述第一NHRP注册回复消息包括通过数字证书认证的标识，例如，所述通过数字证书认证的标识被置位为1时，表示所述Hub设备在确定所述Spoke设备通过了所述Hub设备的数字证书认证。所述第一NHRP注册回复消息的格式可以参见图4，例如，所述第一NHRP注册回复消息包括固定部分字段、强制部分字段和认证扩展字段，所述认证扩展字段用于携带所述通过数字证书认证的标识。

所述Spoke设备接收到所述第一NHRP注册回复消息，通过获取所述通过数字证书认证的标识的值确定所述Spoke设备通过了所述Hub设备的数字证书认证。当数字证书认证通过后，所述Spoke设备和所述Hub设备开始传输数据流量。

通过上述实现方式，在NHRP网络中，Sopke设备向Hub设备发送NHRP注册请求消息，所述NHRP注册请求消息用于所述Sopke设备向所述Hub设备请求数字证书认证，当数字证书认证通过后，所述Sopke设备接收所述Hub设备发送的NHRP注册回复消息。从而，Spoke设备和Hub设备之间通过采用PKI证书进行认证，有助于减少认证配置的工作量和提高认证的安全性。

根据前述实施方式的描述，所述第一网络设备可以向所述第二网络设备发起数字证书认证的请求，并获得相应的回复消息。可选的，所述第二网络设备在确定所述第一网络设备通过了所述第二网络设备的数字证书认证后，所述第二网络设备还可以继续发起向所述第一网络设备的数字证书认证的请求。也就是说，所述方法还包括：

S106、所述第二网络设备向所述第一网络设备发送第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息。

举例说明，所述Hub设备在通过所述Spoke设备的数字证书认证的请求后，还可以向所述Spoke设备发送所述第二NHRP注册请求消息，所述第二NHRP注册请求消息用于所述Hub设备向所述Spoke设备请求数字证书认证，所述第二NHRP注册请求消息包括所述第二PKI证书信息。其中，所述第二NHRP注册请求消息和所述第二PKI证书信息的具体实现方式可以参见前述S101中所述第一NHRP注册请求消息和所述第一PKI证书信息的实现方式，此处不进行赘述。

在一种可能的实现方式中，所述Hub设备可以在通过所述Spoke设备的数字证书认证的请求后，所述Hub设备向所述Spoke设备发送所述第一NHRP注册回复消息，并且，所述Hub设备还向所述Spoke设备发送所述第二NHRP注册请求消息。

在另一种可能的实现方式中，所述第二NHRP注册请求消息是所述第一NHRP注册回复消息。也就是说，所述Hub设备在通过所述Spoke设备的数字证书认证的请求后，不再向所述Spoke设备发送新的NHRP注册请求消息，而是将所述第二PKI证书信息携带在所述第一NHRP注册回复消息中。如此这样，所述第一NHRP注册回复消息包括所述第二PKI证书信息和所述通过数字证书认证的标识。例如，所述第二PKI证书信息包括第二数字证书、第二数字签名和第二公开密钥。所述第一NHRP注册回复消息可以包括第二认证扩展字段和第二证书扩展字段。可选的，所述第二认证扩展字段包括所述第二数字签名和所述通过数字证书认证的标识，所述第二证书扩展字段包括所述第二数字证书和所述第二公开密钥。通过这种实现方式，可以减少所述Hub设备和所述Spoke设备之间的信令数量，节省网络带宽占用。

S107、所述第一网络设备接收所述第二网络设备发送的所述第二NHRP注册请求消息。

S108、所述第一网络设备根据所述第二PKI证书信息确定所述第二网络设备通过数字认证。

举例说明，所述Spoke设备接收到所述第二NHRP注册请求消息后，从所述第二NHRP注册请求消息中获取所述第二PKI证书信息。所述Spoke设备根据所述第二PKI证书信息确定所述Hub设备是否可以通过所述Spoke设备的数字认证。所述Spoke设备接收所述第二NHRP注册请求消息并且根据所述第二PKI证书信息确定所述Hub设备通过数字认证的具体实现方式可以参见前述S102和S103的解释，此处不再进行赘述。

S109、所述第一网络设备向所述第二网络设备发送第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。

S110、所述第二网络设备接收所述第一网络设备发送的所述第二NHRP注册回复消息。

举例说明，所述Spoke设备在确定所述Hub设备通过了所述Spoke设备的数字证书认证后，可以向所述Hub设备发送所述第二NHRP注册回复消息。所述Hub设备接收所述第二NHRP注册回复消息。其中，所述第二NHRP注册回复消息的具体实现方式可以参见前述S104和S105的解释，此处不进行赘述。

通过上述实现方式，在NHRP网络中，当所述Spoke设备通过了所述Hub设备的数字证书认证后，所述Hub设备继续向所述Spoke设备请求数字证书认证，从而进一步提高了认证的安全性。

图5为本申请实施例的第一网络设备1000的结构示意图。图5所示的第一网络设备1000可以执行上述实施例的方法中第一网络设备执行的相应步骤。所述第一网络设备被部署在NHRP网络中，所述NHRP网络还包括第二网络设备。如图5所示，所述第一网络设备1000包括发送单元1002、处理单元1004和接收单元1006。

所述处理单元1004，用于生成第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一PKI证书信息；

所述发送单元1002，用于向所述第二网络设备发送所述第一NHRP注册请求消息；

所述接收单元1006，用于接收所述第二网络设备发送的第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。

可选的，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥；所述处理单元1004还用于：

根据固定部分字段和强制部分字段确定第一摘要，所述第一NHRP注册请求消息包括所述固定部分字段和所述强制部分字段；

使用第一私有密钥对所述第一摘要加密，得到所述第一数字签名，所述第一私有密钥与所述第一公有密钥对称。

可选的，所述接收单元1006还用于接收所述第二网络设备发送的第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息；所述处理单元1004还用于根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证；所述发送单元1002还用于向所述第二网络设备发送第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。

可选的，所述第二PKI证书信息包括第二数字证书、第二数字签名和第二公开密钥；在所述处理单元1004用于根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证中，所述处理单元1004具体用于：

根据所述第二NHRP注册请求消息携带的固定部分字段和强制部分字段确定第二摘要；

根据所述第二公开密钥解密所述第二数字签名，得到第三摘要；

确定所述第二摘要与所述第三摘要相同，并且确定所述第二PKI证书信息包括的所述第二数字证书与所述第一网络设备存储的所述第一数字证书属于相同证书链。

可选的，所述第二NHRP注册请求消息和所述第一NHRP注册回复消息是同一个消息。

图5所示的第一网络设备可以执行上述实施例的方法中第一网络设备执行的相应步骤。应用在NHRP网络场景中，Spoke设备和Hub设备之间通过采用PKI证书进行数字证书认证，Spoke设备和Hub设备根据PKI证书服务器签发的数字证书自动的生成本地数字证书和对应的证书链，从而减少了认证配置的工作量。并且，Spoke设备和Hub设备可以采用证书链匹配和加密解密的方式处理NHRP注册请求消息，提高了认证的安全性。另外，当NHRP网络的拓扑发生变更时，无需对Spoke设备和Hub设备进行重新配置。

图6为本申请实施例的第一网络设备1100的硬件结构示意图。图6所示的第一网络设备1100可以执行上述实施例的方法中第一网络设备执行的相应步骤。

如图6所示，所述第一网络设备1100包括处理器1101、存储器1102、接口1103和总线1104。其中接口1103可以通过无线或有线的方式实现，具体来讲可以是网卡。上述处理器1101、存储器1102和接口1103通过总线1104连接。

所述接口1103具体可以包括发送器和接收器，用于第一网络设备与上述实施例中的第二网络设备之间收发信息。例如，所述接口1103用于支持向所述第二网络设备发送第一NHRP注册请求消息，还用于支持接收所述第二网络设备发送的第一NHRP注册回复消息。作为举例，所述接口1103用于支持图2中的过程S101和S105。所述处理器1101用于执行上述实施例中由第一网络设备进行的处理。例如，所述处理器1101用于生成第一NHRP注册请求消息；和/或用于本文所描述的技术的其他过程。存储器1102包括操作系统11021和应用程序11022，用于存储程序、代码或指令，当处理器或硬件设备执行这些程序、代码或指令时可以完成方法实施例中涉及第一网络设备的处理过程。可选的，所述存储器1102可以包括只读存储器(英文：Read-only Memory，缩写：ROM)和随机存取存储器(英文：Random Access Memory，缩写：RAM)。其中，所述ROM包括基本输入/输出系统(英文：Basic Input/Output System，缩写：BIOS)或嵌入式系统；所述RAM包括应用程序和操作系统。当需要运行第一网络设备1100时，通过固化在ROM中的BIOS或者嵌入式系统中的bootloader引导系统进行启动，引导第一网络设备1100进入正常运行状态。在第一网络设备1100进入正常运行状态后，运行在RAM中的应用程序和操作系统，从而，完成方法实施例中涉及第一网络设备的处理过程。

可以理解的是，图6仅仅示出了第一网络设备1100的简化设计。在实际应用中，第一网络设备可以包含任意数量的接口，处理器或者存储器。

图7为本申请实施例的另一种第一网络设备1200的硬件结构示意图。图7所示的第一网络设备1200可以执行上述实施例的方法中第一网络设备执行的相应步骤。

如图7所述，第一网络设备1200包括：主控板1210、接口板1230、交换网板1220和接口板1240。主控板1210、接口板1230和1240，以及交换网板1220之间通过系统总线与系统背板相连实现互通。其中，主控板1210用于完成系统管理、设备维护、协议处理等功能。交换网板1220用于完成各接口板(接口板也称为线卡或业务板)之间的数据交换。接口板1230和1240用于提供各种业务接口(例如，POS接口、GE 接口、ATM接口等)，并实现数据包的转发

接口板1230可以包括中央处理器1231、转发表项存储器1234、物理接口卡1233和网络处理器1232。其中，中央处理器1231用于对接口板进行控制管理并与主控板上的中央处理器进行通信。转发表项存储器1234用于保存转发表项。物理接口卡1233用于完成流量的接收和发送。网络存储器1232用于根据所述转发表项控制物理接口卡1233收发流量。

具体的，物理接口卡1233用于向所述第二网络设备发送第一NHRP注册请求消息，以及接收所述第二网络设备发送的第一NHRP注册回复消息。

中央处理器1211用于生成所述第一NHRP注册请求消息，并且触发物理接口卡1233向所述第二网络设备发送所述第一NHRP注册请求消息。

中央处理器1211还用于处理所述第一NHRP注册回复消息。

中央处理器1211将所述第一NHRP注册请求消息经由中央处理器1231向物理接口卡1233发送。物理接口卡1233向所述第二网络设备发送所述第一NHRP注册请求消息。

中央处理器1231还用于控制网络存储器1232获取转发表项存储器1234中的转发表项，并且，中央处理器1231还用于控制网络存储器1232经由物理接口卡1233完成流量的接收和发送。

应理解，本发明实施例中接口板1240上的操作与所述接口板1230的操作一致，为了简洁，不再赘述。应理解，本实施例的第一网络设备1200可对应于上述方法实施例所具有的功能和/或所实施的各种步骤，在此不再赘述。

此外，需要说明的是，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，第一网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，第一网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，第一网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。所以，分布式架构的第一网络设备的数据接入和处理能力要大于集中式架构的设备。具体采用哪种架构，取决于具体的组网部署场景，此处不做任何限定。

图8为本申请实施例的第二网络设备2000的结构示意图。图8所示的第二网络设备2000可以执行上述实施例的方法中第二网络设备执行的相应步骤。所述第二网络设备被部署在NHRP网络中，所述NHRP网络还包括第一网络设备。如图8所示，所述第二网络设备2000包括接收单元2002，处理单元2004和发送单元2006。

所述接收单元2002，用于接收所述第一网络设备发送的第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一PKI证书信息；

所述处理单元2004，用于根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证；

所述发送单元2006，用于向所述第一网络设备发送第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。

可选的，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥；在处理单元2004用于根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证中，所述处理单元2004具体用于：

根据所述第一NHRP注册请求消息携带的固定部分字段和强制部分字段确定第一摘要；

根据所述第一公开密钥解密所述第一数字签名，得到第二摘要；

确定所述第一摘要与所述第二摘要相同，并且确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链。

可选的，所述发送单元2006还用于向所述第一网络设备发送第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息；所述接收单元2002还用于接收所述第一网络设备发送的第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。

图8所示的第二网络设备可以执行上述实施例的方法中第二网络设备执行的相应步骤。应用在NHRP网络场景中，Spoke设备和Hub设备之间通过采用PKI证书进行数字证书认证，Spoke设备和Hub设备根据PKI证书服务器签发的数字证书自动的生成本地数字证书和对应的证书链，从而减少了认证配置的工作量。并且，Spoke设备和Hub设备可以采用证书链匹配和加密解密的方式处理NHRP注册请求消息，提高了认证的安全性。另外，当NHRP网络的拓扑发生变更时，无需对Spoke设备和Hub设备进行重新配置。

图9为本申请实施例的第二网络设备2100的硬件结构示意图。图9所示的第二网络设备2100可以执行上述实施例的方法中第二网络设备执行的相应步骤。

如图9所示，所述第二网络设备2100包括处理器2101、存储器2102、接口2103和总线2104。其中接口2103可以通过无线或有线的方式实现，具体来讲可以是网卡。上述处理器2101、存储器2102和接口2103通过总线2104连接。

所述接口2103具体可以包括发送器和接收器，用于第二网络设备与上述实施例中的第一网络设备之间收发信息。例如，所述接口2103用于支持向所述第一网络设备发送第一NHRP注册回复消息，还用于支持接收所述第一网络设备发送的第一NHRP注册请求消息。作为举例，所述接口2103用于支持图2中的过程S102和S104。所述处理器2101用于执行上述实施例中由第二网络设备进行的处理。例如，所述处理器2101用于处理所述第一NHRP注册请求消息，还用于生成所述第一NHRP注册回复消息；和/或用于本文所描述的技术的其他过程。作为举例，所述处理器2101用于支持图2中的过程S103。存储器2102包括操作系统21021和应用程序21022，用于存储程序、代码或指令，当处理器或硬件设备执行这些程序、代码或指令时可以完成方法实施例中涉及第二网络设备的处理过程。可选的，所述存储器2102可以包括只读存储器(英文：Read-only Memory，缩写：ROM)和随机存取存储器(英文：Random Access Memory，缩写：RAM)。其中，所述ROM包括基本输入/输出系统(英文：Basic Input/Output System，缩写：BIOS)或嵌入式系统；所述RAM包括应用程序和操作系统。当需要运行第二网络设备2100时，通过固化在ROM中的BIOS或者嵌入式系统中的bootloader引导系统进行启动，引导第二网络设备2100进入正常运行状态。在第二网络设备2100进入正常运行状态后，运行在RAM中的应用程序和操作系统，从而，完成方法实施例中涉及第二网络设备的处理过程。

可以理解的是，图9仅仅示出了第二网络设备2100的简化设计。在实际应用中，第二网络设备可以包含任意数量的接口，处理器或者存储器。

图10为本申请实施例的另一种第二网络设备2200的硬件结构示意图。图10所示的第二网络设备2200可以执行上述实施例的方法中第二网络设备执行的相应步骤。

如图10所述，第二网络设备2200包括：主控板2210、接口板2230、交换网板2220和接口板2240。主控板2210、接口板2230和2240，以及交换网板2220之间通过系统总线与系统背板相连实现互通。其中，主控板2210用于完成系统管理、设备维护、协议处理等功能。交换网板2220用于完成各接口板(接口板也称为线卡或业务板)之间的数据交换。接口板2230和2240用于提供各种业务接口(例如，POS接口、GE接口、ATM接口等)，并实现数据包的转发

接口板2230可以包括中央处理器2231、转发表项存储器2234、物理接口卡2233和网络处理器2232。其中，中央处理器2231用于对接口板进行控制管理并与主控板上的中央处理器进行通信。转发表项存储器2234用于保存转发表项。物理接口卡2233用于完成流量的接收和发送。网络存储器2232用于根据所述转发表项控制物理接口卡2233收发流量。

具体的，物理接口卡2233用于接收所述第一网络设备发送的第一NHRP注册请求消息，或者用于向所述第一网络设备发送第一NHRP注册回复消息。

中央处理器2211用于处理所述第一NHRP注册请求消息；还用于生成所述第一NHRP注册回复消息。

中央处理器2211将所述第一NHRP注册回复消息经由中央处理器2231向物理接口卡2233发送。物理接口卡2233向所述第一网络设备发送所述第一NHRP注册回复消息。

中央处理器2231还用于控制网络存储器2232获取转发表项存储器2234中的转发表项，并且，中央处理器2231还用于控制网络存储器2232经由物理接口卡2233完成流量的接收和发送。

应理解，本发明实施例中接口板2240上的操作与所述接口板2230的操作一致，为了简洁，不再赘述。应理解，本实施例的第二网络设备2200可对应于上述方法实施例所具有的功能和/或所实施的各种步骤，在此不再赘述。

此外，需要说明的是，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，第二网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，第二网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，第二网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。所以，分布式架构的第二网络设备的数据接入和处理能力要大于集中式架构的设备。具体采用哪种架构，取决于具体的组网部署场景，此处不做任何限定。

另外，本申请实施例提供了一种计算机存储介质，用于储存为上述第一网络设备所用的计算机软件指令，其包含用于执行上述方法实施例所设计的程序。

另外，本申请实施例提供了一种计算机存储介质，用于储存为上述第二网络设备所用的计算机软件指令，其包含用于执行上述方法实施例所设计的程序。

本申请实施例还包括一种NHRP网络系统，所述NHRP网络系统包括第一网络设备和第二网络设备，所述第一网络设备为前述图5或图6或图7中的第一网络设备，所述第二网络设备为前述图8或图9或图10中的第二网络设备。

结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于用户设备中。当然，处理器和存储介质也可以作为分立组件存在于用户设备中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明。所应理解的是，以上所述仅为本申请的具体实施方式而已。

Claims

一种认证方法，其特征在于，所述认证方法应用在下一跳解析协议NHRP网络中，所述NHRP网络包括第一网络设备和第二网络设备，所述方法包括：

所述第一网络设备向所述第二网络设备发送第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一公共密钥基础设施PKI证书信息；

所述第一网络设备接收所述第二网络设备发送的第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。
根据权利要求1所述的方法，其特征在于，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥，在所述第一网络设备向所述第二网络设备发送第一NHRP注册请求消息之前，所述方法还包括：

所述第一网络设备根据固定部分字段和强制部分字段确定第一摘要，所述第一NHRP注册请求消息包括所述固定部分字段和所述强制部分字段；

所述第一网络设备使用第一私有密钥对所述第一摘要加密，得到所述第一数字签名，所述第一私有密钥与所述第一公有密钥对称。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述第一网络设备接收所述第二网络设备发送的第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息；

所述第一网络设备根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证；

所述第一网络设备向所述第二网络设备发送第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。
根据权利要求3所述的方法，其特征在于，所述第二PKI证书信息包括第二数字证书、第二数字签名和第二公开密钥，所述第一网络设备根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证，包括：

所述第一网络设备根据所述第二NHRP注册请求消息携带的固定部分字段和强制部分字段确定第二摘要；

所述第一网络设备根据所述第二公开密钥解密所述第二数字签名，得到第三摘要；

所述第一网络设备确定所述第二摘要与所述第三摘要相同，并且确定所述第二PKI证书信息包括的所述第二数字证书与所述第一网络设备存储的所述第一数字证书属于相同证书链。
根据权利要求4所述的方法，其特征在于，所述第二NHRP注册请求消息包括第二认证扩展字段和第二证书扩展字段，其中，所述第二认证扩展字段包括所述第二数字签名，所述第二证书扩展字段包括所述第二数字证书和所述第二公开密钥。
根据权利要求3-5中任一项所述的方法，其特征在于，所述第二NHRP注册请求消息和所述第一NHRP注册回复消息是同一个消息。
一种认证方法，其特征在于，所述认证方法应用在下一跳解析协议NHRP网络中，所述NHRP网络包括第一网络设备和第二网络设备，所述方法包括：

所述第二网络设备接收所述第一网络设备发送的第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一公共密钥基础设施PKI证书信息；

所述第二网络设备根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证；

所述第二网络设备向所述第一网络设备发送第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。
根据权利要求7所述的方法，其特征在于，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥，所述第二网络设备根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证，包括：

所述第二网络设备根据所述第一NHRP注册请求消息携带的固定部分字段和强制部分字段确定第一摘要；

所述第二网络设备根据所述第一公开密钥解密所述第一数字签名，得到第二摘要；

所述第二网络设备确定所述第一摘要与所述第二摘要相同，并且确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链。
根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述第二网络设备向所述第一网络设备发送第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息；

所述第二网络设备接收所述第一网络设备发送的第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。
根据权利要求9所述的方法，其特征在于，所述第二NHRP注册请求消息和所述第一NHRP注册回复消息是同一个消息。
一种第一网络设备，其特征在于，所述第一网络设备应用在下一跳解析协议NHRP网络中，所述NHRP网络还包括第二网络设备，所述第一网络设备包括：

处理器，用于生成第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一公共密钥基础设施PKI证书信息；

发送器，用于向所述第二网络设备发送所述第一NHRP注册请求消息；

接收器，用于接收所述第二网络设备发送的第一NHRP注册回复消息，所述第一NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。
根据权利要求11所述的第一网络设备，其特征在于，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥；所述处理器还用于：

根据固定部分字段和强制部分字段确定第一摘要，所述第一NHRP注册请求消息包括所述固定部分字段和所述强制部分字段；

使用第一私有密钥对所述第一摘要加密，得到所述第一数字签名，所述第一私有密钥与所述第一公有密钥对称。
根据权利要求12所述的第一网络设备，其特征在于，

所述接收器还用于接收所述第二网络设备发送的第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息；

所述处理器还用于根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证；

所述发送器还用于向所述第二网络设备发送第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。
根据权利要求13所述的第一网络设备，其特征在于，所述第二PKI证书信息包括第二数字证书、第二数字签名和第二公开密钥；在所述处理器用于根据所述第二PKI证书信息确定所述第二网络设备通过数字证书认证中，所述处理器具体用于：

根据所述第二NHRP注册请求消息携带的固定部分字段和强制部分字段确定第二摘要；

根据所述第二公开密钥解密所述第二数字签名，得到第三摘要；

确定所述第二摘要与所述第三摘要相同，并且确定所述第二PKI证书信息包括的所述第二数字证书与所述第一网络设备存储的所述第一数字证书属于相同证书链。
根据权利要求14所述的第一网络设备，其特征在于，所述第二NHRP注册请求消息包括第二认证扩展字段和第二证书扩展字段，其中，所述第二认证扩展字段包括所述第二数字签名，所述第二证书扩展字段包括所述第二数字证书和所述第二公开密钥。
根据权利要求13-15中任一项所述的第一网络设备，其特征在于，所述第二NHRP注册请求消息和所述第一NHRP注册回复消息是同一个消息。
一种第二网络设备，其特征在于，所述第二网络设备应用在下一跳解析协议NHRP网络中，所述NHRP网络还包括第一网络设备，所述第二网络设备包括：

接收器，用于接收所述第一网络设备发送的第一NHRP注册请求消息，所述第一NHRP注册请求消息用于请求所述第二网络设备对所述第一网络设备进行数字证书认证，所述第一NHRP注册请求消息包括第一公共密钥基础设施PKI证书信息；

处理器，用于根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证；

发送器，用于向所述第一网络设备发送第一NHRP注册回复消息，所述第一 NHRP注册回复消息用于指示所述第一网络设备通过所述第二网络设备的数字证书认证。
根据权利要求17所述的第二网络设备，其特征在于，所述第一PKI证书信息包括第一数字证书、第一数字签名和第一公开密钥，所述第一NHRP注册请求消息包括第一认证扩展字段和第一证书扩展字段，其中，所述第一认证扩展字段包括所述第一数字签名，所述第一证书扩展字段包括所述第一数字证书和所述第一公开密钥；在处理器用于根据所述第一PKI证书信息确定所述第一网络设备通过数字证书认证中，所述处理器具体用于：

根据所述第一NHRP注册请求消息携带的固定部分字段和强制部分字段确定第一摘要；

根据所述第一公开密钥解密所述第一数字签名，得到第二摘要；

确定所述第一摘要与所述第二摘要相同，并且确定所述第一PKI证书信息包括的所述第一数字证书与所述第二网络设备存储的第二数字证书属于相同证书链。
根据权利要求17或18所述的第二网络设备，其特征在于，

所述发送器还用于向所述第一网络设备发送第二NHRP注册请求消息，所述第二NHRP注册请求消息用于请求所述第一网络设备对所述第二网络设备进行数字证书认证，所述第二NHRP注册请求消息包括第二PKI证书信息；

所述接收器还用于接收所述第一网络设备发送的第二NHRP注册回复消息，所述第二NHRP注册回复消息用于指示所述第二网络设备通过所述第一网络设备的数字证书认证。
根据权利要求19所述的第二网络设备，其特征在于，所述第二NHRP注册请求消息和所述第一NHRP注册回复消息是同一个消息。
一种下一跳解析协议NHRP网络系统，所述NHRP网络系统包括第一网络设备和第二网络设备，所述第一网络设备为权利要求11至16中任一所述的第一网络设备，所述第二网络设备为权利要求17至20中任一所述的第二网络设备。