專利名稱:一種實現(xiàn)認證方式平滑過渡的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域����,尤其涉及一種實現(xiàn)認證方式平滑過渡的方法及設(shè)備。
背景技術(shù):
兩個網(wǎng)絡(luò)設(shè)備互聯(lián)�,為了加強網(wǎng)絡(luò)安全,設(shè)備通常使用text��、 md5等認證方式���,只有認證通過的報文���,才認為是合法的報文�。
目前�����,在兩個建立BGP (Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)鄰居關(guān)系的網(wǎng)絡(luò)設(shè)備上都配置有相同的認證方式(其認證密鑰都為"Red")時�,BGP鄰居之間能夠正常的通訊�����,具體過程如圖1中所示
步驟101:在時刻SIO�,網(wǎng)絡(luò)設(shè)備routerj)l向router—02發(fā)送報文時,會釆用密鑰"Red" , router—02接到報文后采用密鑰"Red"進行認證檢查����,認證成功;
步驟102:在時刻Sll����,網(wǎng)絡(luò)設(shè)備router—02向router—01發(fā)送報文時,會采用密鑰"Red" �����, router—01接到報文后采用密鑰"Red"進行認i緣查,認證成功����;
步驟103:在時刻S12、S13�����,網(wǎng)絡(luò)設(shè)備router—01修改認證密鑰為"Green";router一01發(fā)送BGP報文時將采用新的密鑰"green" , router一02接收到報文后���,采用密鑰"Red"進行認證檢查����,發(fā)現(xiàn)密鑰不同導(dǎo)致認證失?���。煌瑯觬outer_02發(fā)送BGP報文時將采用密鑰"Red" ��, router—01接收到報文后����,采用新的密鑰"green"進行認ii^r查���,發(fā)現(xiàn)密鑰不同導(dǎo)致認證失敗,這樣兩個設(shè)備就會由于接收不到對端的報文而認為鄰居已經(jīng)無效��,此時由原來BGP鄰居通告的路由無效�,本設(shè)備需要向其他鄰居通告路由失效信息,在網(wǎng)絡(luò)上出現(xiàn)大量路由通告�����;
4設(shè)備router—02也把認證密鑰修改為"Green"�����,這時候兩個網(wǎng)絡(luò)設(shè)備上BGP鄰居由于認證方式相同又建立鄰居關(guān)系���,又需要重新通告各自的路由給對端,再次在網(wǎng)絡(luò)上出現(xiàn)大量路由通告�����。
由上可以看出�����,修 文認證密鑰的過程中,在短期內(nèi)由于BGP網(wǎng)絡(luò)設(shè)備之間的^人證方式不同����,將導(dǎo)致兩個網(wǎng)絡(luò)設(shè)備認證失敗,網(wǎng)絡(luò)鏈接斷開��,隨后不久這兩個網(wǎng)絡(luò)設(shè)備又建立鏈接���,這樣會導(dǎo)致大量通告路由信息����,占用大量網(wǎng)絡(luò)帶寬��。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是���,提供一種實現(xiàn)認證方式平滑過渡的方法及設(shè)備�,從而在修改認證方式的過程中���,建立有BGP鄰居關(guān)系的網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)鏈接不會斷開�。
為了解決上述問題����,本發(fā)明公開了一種實現(xiàn)認證方式平滑過渡的方法����,包括
當(dāng)需要將網(wǎng)絡(luò)設(shè)備中報文的認證方式從第一認證方式修改為第二認證方式時�,分別為各網(wǎng)絡(luò)設(shè)備配置所述第二認證方式,并為所述第二認證方式配置一延時����,用于確定所述第二認證方式的生效時間;
當(dāng)所述第二認證方式的延時到達時�,或者當(dāng)所述網(wǎng)絡(luò)設(shè)備收到對端網(wǎng)絡(luò)設(shè)備發(fā)送的報文采用所述第二認證方式時,將所述網(wǎng)絡(luò)設(shè)備中報文的認證方式修改為第二認證方式����,此時,所述網(wǎng)絡(luò)設(shè)備發(fā)送的報文均采用所述第二認證方式����。
進一步地����,上述方法中,為各網(wǎng)絡(luò)設(shè)備配置統(tǒng)一的延時����,或者為各網(wǎng)絡(luò)設(shè)備分別配置不同的延時���。
其中,當(dāng)所述第二認證方式的延時未到達����,且所述網(wǎng)絡(luò)設(shè)備未收到任何報文,則所述網(wǎng)絡(luò)設(shè)備向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)送報文時���,所述報文采用所述第一認證方式���。
當(dāng)所述第二認證方式的延時未到達,且所述網(wǎng)絡(luò)設(shè)備收到對端網(wǎng)絡(luò)設(shè)備發(fā)送的報文采用所述第一認證方式時��,所述網(wǎng)絡(luò)設(shè)備向所述對端網(wǎng)絡(luò)設(shè)備返
5回采用所述第一認證方式的報文���。
所述認證方式為認證密鑰或者認證類型��。
本發(fā)明還公開了一種實現(xiàn)認證方式平滑過渡的設(shè)備��,包括依次連接的配
置單元�、判斷解析單元和發(fā)送單元�,其中
所述配置單元,用于存儲為該設(shè)備配置的第一認證方式,所要^^改的第 二認證方式和所述第二認證方式的延時���,所述延時用于確定所述第二i人證方 式的生效時間�;
所述判斷解析單元�����,用于讀取所述配置單元中第二認證方式的延時��,若 判斷所述延時已到達��,將所述第二認證方式發(fā)送到所述發(fā)送單元����,該單元還 用于解析收到的報文,若判斷所收到的報文采用所述第二認證方式時�����,將所 述第二認證方式發(fā)送到所述發(fā)送單元���;
所述發(fā)送單元,用于接收所述判斷解析單元發(fā)送的認證方式��,并向?qū)Χ?設(shè)備發(fā)送采用該i人證方式的凈艮文。
進一步地����,上述設(shè)備中,當(dāng)所述設(shè)備需要向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)送報文時����, 所述判斷解析單元,讀取所述配置單元中第二認證方式的延時��,若判斷所述 延時未到達����,且所述網(wǎng)絡(luò)設(shè)備未收到任何才艮文,則將所述第一認證方式發(fā)送 到所述發(fā)送單元��。
其中����,所述判斷解析單元,若判斷所述延時未到達�,且該單元判斷所收 到的報文采用所述第一認證方式時,則將所述第一認證方式發(fā)送到所述發(fā)送 單元�。
所述判斷解析單元,若判斷所述第二認證方式的延時已到達����,或者所收 到的報文采用所述第二認證方式時�,該單元還將所述配置單元中所述第一認 證方式修改為失效狀態(tài)���,或者刪除所述第一認證方式�。
所述認證方式為認證密鑰或者認證類型��。
采用本發(fā)明技術(shù)方案���,在修改網(wǎng)絡(luò)設(shè)備的認證方式時����,可以有效的避免原來連接的網(wǎng)絡(luò)設(shè)備由于認證失敗而斷開連4秦����,并解決了現(xiàn)有技術(shù)中恢復(fù)連 接時要浪費大量網(wǎng)絡(luò)帶寬的問題。
圖1是現(xiàn)有技術(shù)中采用BGP協(xié)議進行認證方式修改的處理流程圖2是本發(fā)明設(shè)備的結(jié)構(gòu)示意圖3是使用本發(fā)明認證方式修改的處理流程圖4是舉例說明BGP協(xié)議使用本發(fā)明認證方式修改的處理流程圖����。
具體實施例方式
本發(fā)明的主要構(gòu)思是,考慮到不可能同時為兩個網(wǎng)絡(luò)設(shè)備配置新的認證 方式�����,因此,在為網(wǎng)絡(luò)設(shè)備配置報文的認證方式過程中���,可以為新配置的認 證方式定義一個延時(delay),那么對于收到該新配置的認證方式的網(wǎng)絡(luò)i殳 備而言���,新配置的認證方式不會立即生效�,而是在達到延時時間才生效�,這 樣,如果網(wǎng)絡(luò)設(shè)備接收到對端謬備發(fā)來報文的認證方式和原來一樣(即認證 方式未變化)時���,只要新配置的認證方式未生效�,本網(wǎng)絡(luò)設(shè)備就可以采用原 來的認證方式與對端設(shè)備進行交互����;如果網(wǎng)絡(luò)設(shè)備接收到對端設(shè)備發(fā)來報文 的認證方式不同于原來的認證方式(即認證方式發(fā)生了變化)時,本網(wǎng)絡(luò)i史 備將開始采用新配置的認證方式返回報文以及檢查接收的報文是否能通過認 證�����,其中���,認證方式的過渡變化包括同種認證類型中不同的認證密鑰之間的 過渡����,也包括不同認證類型之間的過渡。
下面結(jié)合附圖及實施例對本發(fā)明技術(shù)方案作進一步詳細說明���。 實施例1
一種實現(xiàn)認證方式平滑過渡的設(shè)備�,如圖2所示����,包括依次連接的配置 單元、判斷解析單元和發(fā)送單元��。下面詳細介紹各單元的功能����。
配置單元,用于存儲為該設(shè)備配置的第一認證方式�����,所要修改的第二認證方式和第二i人證方式的延時����,其中,延時用于確定第二認證方式的生效時 間����;
判斷解析單元�����,用于判斷當(dāng)前設(shè)備中所生效的認證方式,并將生效的認 證方式發(fā)送到發(fā)送單元���;
具體地�,該判斷解析單元��,讀取配置單元中第二認證方式的延時���,并判斷 該延時是否到達���,若到達,則認為當(dāng)前設(shè)備中所生效的認證方式為第二認證 方式����;該單元還用于解析收到的報文,并根據(jù)所收到的報文采用的認證方式�����, 確定當(dāng)前設(shè)備中所生效的認證方式,如收到的報文采用第一認證方式�����,且未 到達第二認證方式的延時�����,則確定當(dāng)前設(shè)備中生效的認證方式仍為第一認證 方式��;若收到的報文采用第二認證方式�����,則無論第二認證方式的延時是否到 達���,均確定當(dāng)前設(shè)備中生效的認證方式為第二認證方式��。
發(fā)送單元���,用于接收所述判斷解析單元發(fā)送的認證方式,并向?qū)Χ嗽O(shè)備 發(fā)送采用該認證方式的凈艮文�。
在其它實施例中,當(dāng)判斷解析單元確定了當(dāng)前設(shè)備中生效的認證方式為 所要修改的第二認證方式后,還可以通知配置單元將第一認證方式設(shè)置為失 效狀態(tài)�����,或者直接刪除配置單元中存儲的第一認證方式��。
實施例2
在實施例1的基礎(chǔ)上���,假設(shè)有兩個建立BGP鄰居關(guān)系的第一網(wǎng)絡(luò)設(shè)備和 第二網(wǎng)絡(luò)設(shè)備����,其中�,第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備之間配置有認證方式A����, 而第一網(wǎng)絡(luò)設(shè)備收到了新配置的認證方式B,且iU正方式B的延時為IOS���, 下面以這兩個網(wǎng)絡(luò)設(shè)備為例�����,說明在這兩個網(wǎng)絡(luò)設(shè)備之間實現(xiàn)平滑過渡的認 證過程��,如圖3所示�,包括以下步驟
步驟301:在時刻S20,第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備配置的認證方式 均為A;
此時�����,由于認證方式相同���,故這兩個網(wǎng)絡(luò)設(shè)備之間能夠?qū)崿F(xiàn)正常通訊���; 步驟302:在時刻S21,由于某種原因,為第一網(wǎng)絡(luò)設(shè)備新配置了認證方式B,認證方式B的延時(delay)為IOS��,此時��,第一網(wǎng)絡(luò)設(shè)備向第二網(wǎng) 絡(luò)設(shè)備發(fā)送報文的過程中仍使用認證方式A;
圖3中B (A)即表示為第一網(wǎng)絡(luò)設(shè)備新配置認證方式B后���,該認證 方式B不會立即生效�,此時第一網(wǎng)絡(luò)設(shè)備仍然使用認i正方式A;
步驟303:第二網(wǎng)絡(luò)設(shè)備采用認證方式A向第一網(wǎng)絡(luò)設(shè)備返回報文���;
步驟304:在時刻S22���,為第二網(wǎng)絡(luò)設(shè)備配置認證方式B���,但此時,由于 未達到認證方式B的延時���,故第二網(wǎng)絡(luò)設(shè)備發(fā)送的^JL仍釆用認證方式A;
步驟305:在時刻S23,第 一網(wǎng)絡(luò)設(shè)備判斷到達認證方式B的延時(delay), 即認證方式B生效�����,則第一網(wǎng)絡(luò)設(shè)備釆用認證方式B向第二網(wǎng)絡(luò)設(shè)備發(fā)送報
文��;
圖3中B(A)即表示第一網(wǎng)絡(luò)設(shè)備新配置的認證方式B開始生效���。
步驟306:收到上述才艮文的第二網(wǎng)絡(luò)設(shè)備判斷自身也已收到認證方式B, 故無需考慮認證方式B的延時是否到達,均采用認證方式B向第一網(wǎng)絡(luò)設(shè)備 發(fā)送報文����,這樣�����,在時刻S24�,第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備配置的認證方 式均為B,從而實現(xiàn)了不同的認證方式之間的平滑過渡�。
當(dāng)然在其它實施例中,第一網(wǎng)絡(luò)設(shè)備在收到新配置的認證方式B,且認 證方式B未生效的時候,若收到第二網(wǎng)絡(luò)設(shè)備采用認證方式B的報文時���,雖 然第 一 網(wǎng)絡(luò)設(shè)備中認證方式B的延時時間未到�,但第 一 網(wǎng)絡(luò)設(shè)備判斷自身也 已收到了認證方式B�����,則向第二網(wǎng)絡(luò)設(shè)備返回采用認證方式B的報文���。
在其它實施例中��,為每種認證方式配置的延時可以統(tǒng)一為一時間點����,也 可以為各網(wǎng)絡(luò)設(shè)備分別配置延時����。
實施例3
下面再來介紹兩個建立BGP鄰居的網(wǎng)絡(luò)設(shè)備,這兩個網(wǎng)絡(luò)設(shè)備都使用了 MD5認證�����,認證密鑰都是"Red",按照本發(fā)明技術(shù)方案將這兩個網(wǎng)絡(luò)設(shè)備 的認證密鑰從"Red"修改為"Green"的過程�,如圖4所示���,包括以下步驟
步驟401:在時刻S30,網(wǎng)絡(luò)設(shè)備router—01向網(wǎng)絡(luò)設(shè)備router—02發(fā)送報文時,該報文采用密鑰"Red",網(wǎng)絡(luò)設(shè)備routerJ)2接到該報文后采用密鑰 "Red"進行認證檢查���,i人證成功��;
步驟402:在時刻S31 ��,網(wǎng)絡(luò)設(shè)備router—02向網(wǎng)絡(luò)設(shè)備router—01發(fā)送報 文時��,該報文采用密鑰"Red"���,網(wǎng)絡(luò)設(shè)備router一01接到該報文后采用密鑰 "Red"進行認證檢查,i人證成功���;
步驟403:在時刻S32,網(wǎng)絡(luò)設(shè)備router—01設(shè)備配置新的密鑰Green時��, 不會馬上生效,而是等到該密鑰的延時(delay)到期��,或者接收到對端網(wǎng)絡(luò) 設(shè)備router—02發(fā)送的認證報文采用新的認證密鑰Green時�,才會使用新的認 i正密鑰Green;
步驟404:在時刻S33,網(wǎng)絡(luò)設(shè)備router_02接收到對端設(shè)備router—01的 報文�����,該報文采用了新的認證密鑰Green,此時,網(wǎng)絡(luò)設(shè)備router一02發(fā)現(xiàn)本 地也有相應(yīng)的密鑰Green�,就采用新密鑰Green發(fā)送BGP報文和檢查接收 BGP報文是否能通過認證,即網(wǎng)絡(luò)設(shè)備修改密鑰的過程中不會出現(xiàn)認證方式 不同而導(dǎo)致BGP鏈接斷鏈的問題�。
從上實施例可以看出,由于本發(fā)明技術(shù)方案中為網(wǎng)絡(luò)設(shè)備新配置的認證 方式不會馬上生效���,而是等到延時(delay)到期后生效�����,或者接收到對端認 證報文采用新的認證密鑰時生效�����,這樣�,有效避免了因為修改認證信息而導(dǎo) 致BGP鏈接斷鏈��,節(jié)省了大量網(wǎng)絡(luò)帶寬����。
當(dāng)然,本發(fā)明還可以有其他多種實施例�,在不背離本發(fā)明精神及其實質(zhì) 的情況下���,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形, 但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護范圍���。
10
權(quán)利要求
1��、一種實現(xiàn)認證方式平滑過渡的方法��,其特征在于���,包括當(dāng)需要將網(wǎng)絡(luò)設(shè)備中報文的認證方式從第一認證方式修改為第二認證方式時,分別為各網(wǎng)絡(luò)設(shè)備配置所述第二認證方式���,并為所述第二認證方式配置一延時����,用于確定所述第二認證方式的生效時間�;當(dāng)所述第二認證方式的延時到達時,或者當(dāng)所述網(wǎng)絡(luò)設(shè)備收到對端網(wǎng)絡(luò)設(shè)備發(fā)送的報文采用所述第二認證方式時����,將所述網(wǎng)絡(luò)設(shè)備中報文的認證方式修改為第二認證方式�����,此時,所述網(wǎng)絡(luò)設(shè)備發(fā)送的報文均采用所述第二認證方式����。
2、 如權(quán)利要求1所述的方法�����,其特征在于��,為各網(wǎng)絡(luò)設(shè)備配置統(tǒng)一的延時�����,或者為各網(wǎng)絡(luò)i更備分別配置不同的延時��。
3�����、 如權(quán)利要求1或2所述的方法��,其特征在于���,當(dāng)所述第二認證方式的延時未到達�����,且所述網(wǎng)絡(luò)設(shè)備未收到任何報文����, 則所述網(wǎng)絡(luò)設(shè)備向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)送報文時,所述報文采用所述第一認證方 式��。
4����、 如權(quán)利要求1或2所述的方法,其特征在于�,當(dāng)所述第二認證方式的延時未到達,且所述網(wǎng)絡(luò)設(shè)備收到對端網(wǎng)絡(luò)設(shè)備 發(fā)送的報文采用所述第一認證方式時����,所述網(wǎng)絡(luò)設(shè)備向所述對端網(wǎng)絡(luò)設(shè)備返 回采用所述第一認證方式的才艮文。
5����、 如權(quán)利要求1或2所述的方法,其特征在于, 所述認證方式為認證密鑰或者認證類型��。
6�����、 一種實現(xiàn)認證方式平滑過渡的設(shè)備����,其特征在于�,該設(shè)備包括依次 連接的配置單元、判斷解析單元和發(fā)送單元����,其中所述配置單元,用于存儲為該設(shè)備配置的第一認證方式�,所要修改的第 二認證方式和所述第二認證方式的延時,所述延時用于確定所述第二認證方式的生效時間�����;所述判斷解析單元�����,用于讀取所述配置單元中第二認證方式的延時,若 判斷所述延時已到達��,將所述第二認證方式發(fā)送到所述發(fā)送單元�,該單元還 用于解析收到的報文,若判斷所收到的報文采用所述第二認證方式時���,將所 述第二認證方式發(fā)送到所述發(fā)送單元��;所述發(fā)送單元����,用于接收所述判斷解析單元發(fā)送的認證方式����,并向?qū)Χ?設(shè)備發(fā)送采用該認證方式的報文。
7���、 如權(quán)利要求6所述的設(shè)備��,其特征在于��,當(dāng)所述設(shè)備需要向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)送報文時��,所述判斷解析單元�,讀取 所述配置單元中第二認證方式的延時,若判斷所述延時未到達�,且所述網(wǎng)絡(luò) 設(shè)備未收到任何報文,則將所述第一認證方式發(fā)送到所述發(fā)送單元�����。
8����、 如權(quán)利要求6所述的設(shè)備�,其特征在于,所述判斷解析單元����,若判斷所述延時未到達,且該單元判斷所收到的報 文采用所述第一認證方式時���,則將所述第一認證方式發(fā)送到所述發(fā)送單元���。
9、 如權(quán)利要求6至8任一項所述的設(shè)備���,其特征在于�,所述判斷解析單元,若判斷所述第二認證方式的延時已到達���,或者所收 到的報文采用所述第二認證方式時���,該單元還將所述配置單元中所述第一認 證方式修改為失效狀態(tài),或者刪除所述第一認證方式�。
10、 如權(quán)利要求6至8任一項所述的設(shè)備�����,其特征在于��, 所述認證方式為認證密鑰或者認證類型�����。
全文摘要
本發(fā)明公開了一種實現(xiàn)認證方式平滑過渡的方法及設(shè)備��,涉及通訊領(lǐng)域����。本發(fā)明方法包括當(dāng)需要將網(wǎng)絡(luò)設(shè)備中報文的認證方式從第一認證方式修改為第二認證方式時,分別為各網(wǎng)絡(luò)設(shè)備配置所述第二認證方式���,并為所述第二認證方式配置一延時��,用于確定所述第二認證方式的生效時間�����;當(dāng)所述第二認證方式的延時到達時����,或者當(dāng)所述網(wǎng)絡(luò)設(shè)備收到對端網(wǎng)絡(luò)設(shè)備發(fā)送的報文采用所述第二認證方式時,將所述網(wǎng)絡(luò)設(shè)備中報文的認證方式修改為第二認證方式��,此時���,所述網(wǎng)絡(luò)設(shè)備發(fā)送的報文均采用所述第二認證方式。在修改網(wǎng)絡(luò)設(shè)備的認證方式時�,采用本發(fā)明技術(shù)方案,可以有效的避免原來連接的網(wǎng)絡(luò)設(shè)備由于認證失敗而斷開連接����。
文檔編號H04L9/36GK101465739SQ20091000511
公開日2009年6月24日 申請日期2009年1月15日 優(yōu)先權(quán)日2009年1月15日
發(fā)明者吳道揆, 周廣騰 申請人:中興通訊股份有限公司