一種仿冒判斷方法本申請是第200910151956.0號申請的分案申請，原申請的申請日為2009年07月08日，申請?zhí)枮?00910151956.0，名稱為“一種虛擬路由冗余協(xié)議的鑒權方法及仿冒判斷方法”。技術領域本發(fā)明涉及數(shù)據(jù)通訊領域，具體涉及虛擬路由冗余協(xié)議VRRP(VirtualRouterRedundancyProtocol)的鑒權方法及仿冒判斷方法。

背景技術：
在基于TCP/IP協(xié)議的網(wǎng)絡中，為了保證不直接物理連接的設備之間的通信，必須指定路由。目前常用的指定路由的方法有兩種：一種是通過路由協(xié)議(比如：內(nèi)部路由協(xié)議RIP和OSPF)動態(tài)學習；另一種是靜態(tài)配置。在每一個終端都運行動態(tài)路由協(xié)議是不現(xiàn)實的，大多客戶端操作系統(tǒng)平臺都不支持動態(tài)路由協(xié)議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。因此普遍采用對終端IP設備靜態(tài)路由配置，一般是給終端設備指定一個或者多個默認網(wǎng)關(DefaultGateway)。靜態(tài)路由的方法簡化了網(wǎng)絡管理的復雜度和減輕了終端設備的通信開銷，但是它仍然有一個缺點：如果作為默認網(wǎng)關的路由器損壞，所有使用該網(wǎng)關為下一跳主機的通信必然要中斷。即便配置了多個默認網(wǎng)關，如不重新啟動終端設備，也不能切換到新的網(wǎng)關。采用虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，簡稱VRRP)可以很好的避免靜態(tài)指定網(wǎng)關的缺陷。在VRRP協(xié)議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運行VRRP的路由器，是物理實體，虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。一組VRRP路由器協(xié)同工作，共同構成一臺虛擬路由器。該虛擬路由器對外表現(xiàn)為一個具有唯一 固定IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負責處理ARP(AddreeRequireProtocol，地址請求協(xié)議)和轉發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。當由于某種原因主控路由器發(fā)生故障時，備份路由器能在幾秒鐘的時延后升級為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址，故對終端使用者系統(tǒng)是透明的。下面對VRRP協(xié)議的基本概念與工作機制做一下簡要介紹：基本概念：VRRP組VRRP組是指配置了相同VRID(VirtualRouterID)，并具有相同虛擬地址，工作在一個廣播域內(nèi)的一組路由器，一般一個VRRP組由兩個或者兩個以上的路由器組成，并且在一個VRRP組中只有一臺設備的VRPP處于主用狀態(tài)，其他設備都是處于備用狀態(tài)。VRRP狀態(tài)DISABLE(關閉)狀態(tài)：某一VRRP組沒有配置主虛擬IP地址，初始配置處于該狀態(tài)；INITIAL(初始)狀態(tài)：某一VRRP組配置了主虛擬IP地址，但其接口Down或沒有接口IP地址。MASTER(主)狀態(tài)：主用VRRP路由器，處于該狀態(tài)的路由器具有VRRP虛擬IP地址和虛擬MAC,響應目的為虛擬IP和MAC的請求，并且定時發(fā)送VRRP協(xié)議報文給其他VRRP設備。BACKUP(備份)狀態(tài)：備份VRRP路由器，該狀態(tài)下的路由器接收VRRP報文，如果在一定時間內(nèi)沒有收到主設備的通告報文，該狀態(tài)可以變成MASTER狀態(tài)。PRIORITY(優(yōu)先級)：VRRP優(yōu)先級，每一個VRRP路由器都具有自己的優(yōu)先級(1-255)，并通過該優(yōu)先級進行主備競選，優(yōu)先級高的為主用設備。協(xié)議規(guī)定VRRP組默認優(yōu)先級為100。ADVERTISE_TIME(通告時間)：VRRP通告時間，處于主用狀態(tài)的VRRP組需要在一個通告時間周期內(nèi)發(fā)送一個通告報文，VRRP協(xié)議規(guī)定通告時間默認通告時間為1秒。MASTER_DOWN_TIME(主服務器失效時間)：處于備用狀態(tài)的VRRP組，如果在MASTER_DOWN_TIME內(nèi)沒有收到優(yōu)先級比自己高的報文，需要把主機切換到主用狀態(tài)。MASTER_DOWN_TIME的計算公式如下：SKEW_TIME＝(255–PRIORITY)/255；MASTER_DOWN_TIME＝3*ADVERTISE_TIME+SKEW_TIME；其中SKEW_TIME為協(xié)議規(guī)定的斜率時間。VRRPTrack策略：VRRP跟蹤鏈路狀態(tài)(接口UP/DOWN，路由，BFD等)，根據(jù)鏈路狀態(tài)采取一定的動作策略。VRRP的版本RFC2338種定義了三種鑒權模式，如圖1所示，在AuthType(鑒權類型)字段中來體現(xiàn)簽權模式：0、無鑒權模式；1、明文密碼鑒權；2、IP報文頭鑒權(HMAC-MD5-96)鑒權。而在新的版本RFC3768中，重新定義了三種鑒權模式：0、無鑒權模式；1、預留方式；2、預留方式。上述VRRP的2個版本——RFC2388和RFC3768中都保留了AuthType字段，這個字段在RFC3768中保留下來是為了與RFC2388兼容。在RFC2388和RFC3768中定義的不做鑒權(AuthType字段值為0)，若本VLAN上的設備仿冒主路由器發(fā)送VRRP通告報文，當主路由器失效的時候，后備路由器收到仿冒的VRRP通告報文，會認為主路由器還在正常工作，不發(fā)起主備競選，從而使業(yè)務中斷。而RFC2388中定義的明文密碼，同樣會出現(xiàn)上述問題。當其他設備仿冒主路由器發(fā)送VRRP報文的時候，在主路由器失效的時候，后備路由器收到仿冒的VRRP通告報文，認為路由器還在工作，不發(fā)起主備競選，從而使業(yè)務中斷。而RFC2388中定義的MD5加密方法在每個周期都進行鑒權計算，可以避免VRRP通告報文被仿冒，避免上述問題的存在。但是由于MD5算法繁瑣，每個通告周期都進行MD5加密的運算，會加重路主路由器和備份路由器的負荷。

技術實現(xiàn)要素：
本發(fā)明要解決的技術問題是提供一種虛擬路由冗余協(xié)議的鑒權方法及仿冒判斷方法，較為安全的且不會加重主備路由器負擔的鑒權方法。為解決上述技術問題，本發(fā)明提供了一種虛擬路由冗余協(xié)議的鑒權方法，包括：為主備路由器配置鑒權參數(shù)M，M為自然數(shù)，M≥2；主備路由器根據(jù)所述鑒權參數(shù)按照下式計算鑒權周期T：T＝M*通告時間周期；主路由器在所述鑒權周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，用以指示各備份路由器進行鑒權，n為自然數(shù)且1≤n≤M。進一步地，備份路由器每收到通告報文后，均判斷該通告報文是否攜帶有鑒權標志，如果是，則進行鑒權操作。進一步地，備份路由器計算出鑒權周期后，在鑒權周期到達時進行以下 判斷，當滿足下列判斷條件任意之一時，發(fā)起主備競選：該鑒權周期內(nèi)收到的通告報文數(shù)目M’大于M；在該鑒權周期內(nèi)未收到帶有鑒權標志的通告報文；該鑒權周期內(nèi)收到的通告報文數(shù)目M’大于M，且在該鑒權周期內(nèi)未收到帶有鑒權標志的通告報文；主備競選后產(chǎn)生的主路由器在所述鑒權周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，用以指示各備份路由器進行鑒權，n為自然數(shù)且1≤n≤M。進一步地，主路由器在鑒權周期的第一個通告時間周期發(fā)送的通告報文中攜帶鑒權標志。進一步地，主路由器在鑒權周期內(nèi)發(fā)送攜帶有鑒權標志的通告報文的次數(shù)為1次。進一步地，所述主路由器在通告報文AuthType字段中攜帶鑒權標志。為解決仿冒判斷的技術問題，本發(fā)明還提供了一種仿冒的判斷方法，包括：為主備路由器配置參數(shù)M，M為自然數(shù)，M≥2；主備路由器根據(jù)所述參數(shù)按照下式計算周期T：T＝M*通告時間周期；備份路由器計算出周期后，每當周期到達時判斷該周期內(nèi)收到的通告報文數(shù)目M’是否大于M，如果是，則判斷有仿冒者存在。進一步地，所述備份路由器在判斷有仿冒者存在后，發(fā)起主備競選；主備競選后產(chǎn)生的主路由器在所述鑒權周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，用以指示各備份路由器進行鑒權，n為自然數(shù)且1≤n≤M。本發(fā)明的鑒權方法，適用于以太網(wǎng)絡和IP通信網(wǎng)絡中，通過設置鑒權周 期，以及在AuthType字段中攜帶鑒權標志位，來控制備路由器的鑒權操作，保證了鑒權效果的同時，有效地減少了復雜鑒權運算的次數(shù)，避免每個通告時間周期都行鑒權給主備路由器帶來的負擔。并且通過設置主備競選的條件，即便有設備仿冒主路由器發(fā)送通告報文，備份路由器仍然會發(fā)起主備競選，避免業(yè)務中斷。附圖說明此處所說明的附圖用來提供對本發(fā)明的進一步理解，構成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構成對本發(fā)明的不當限定。在附圖中：圖1為VRRP報文的格式圖；圖2為在高六位進行標志的示例圖；圖3為備份路由器進行鑒權的流程圖；圖4為主路由器設置AuthType的流程圖。具體實施方式本發(fā)明的發(fā)明構思是：為主備路由器配置鑒權參數(shù)M，M為自然數(shù)，M≥2；主備路由器根據(jù)鑒權參數(shù)按照下式計算鑒權周期T：T＝M*通告時間周期；主路由器在鑒權周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，用以指示各備份路由器進行鑒權，n為自然數(shù)且1≤n≤M。備份路由器每收到通告報文后，均判斷該通告報文是否攜帶有鑒權標志，如果是，則進行鑒權操作。備份路由器在計算出鑒權周期后，還進行以下判斷，當滿足下列判斷條件任意之一時，發(fā)起主備競選：該鑒權周期內(nèi)收到的通告報文數(shù)目M’大于M；在該鑒權周期內(nèi)未收到帶有鑒權標志的通告報文；該鑒權周期內(nèi)收到的通告報文數(shù)目M’大于M，且在該鑒權周期內(nèi)未收到帶有鑒權標志的通告報文。主備競選后產(chǎn)生的主路由器在所述鑒權周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，用以指示各備份路由器進行鑒權。主路由器可以在鑒權周期的第一個通告時間周期發(fā)送的通告報文中攜帶鑒權標志，這樣備份路由器當收到該通告報文后即可知道一個鑒權周期開始；或者備份路由器也可以在計算出鑒權周期后便開始計時，當鑒權周期到達后進行上述判斷，這樣可以防止備份路由器由于未收到首次通告報文而導致無法進行判斷的情況發(fā)生。主路由器在鑒權周期內(nèi)發(fā)送攜帶有鑒權標志的通告報文的次數(shù)優(yōu)選為1次，這樣不會給備份路由器帶來比較重的負擔，但該次數(shù)根據(jù)M的值也可進行調(diào)整，例如，當M值較大時，即一個鑒權周期內(nèi)包含的通告時間周期較多時，也可允許在一個周期內(nèi)發(fā)送多次攜帶有鑒權標志的通告報文。鑒權標志可以采用AuthType字段的高六位實現(xiàn)，例如設置其中某一位作為鑒權標志，當該位的值為有效時表示需要進行鑒權，否則表示不需要進行鑒權。當然，該鑒權標志也可復用其他字段中的某一位或者幾位，只要主備路由器之間約定好即可。主路由器和備份路由器可以約定，當鑒權標志有效時備份路由器所采用的鑒權方式，或者也可以由主路由器通過鑒權模式字段指示備份路由器鑒權的方式，例如當備份路由器接收到的VRRP通告報文中AuthType字段高六位中的標志位為有效時，根據(jù)低兩位中的數(shù)值所指示的鑒權方式進行鑒權運算，如采用IP報文頭鑒權方式進行鑒權。對主備路由器參數(shù)的配置可以由網(wǎng)管實現(xiàn)，或者由主備路由器的上層網(wǎng)元配置。當判斷M’大于M時可以確定有主路由器的仿冒者存在，因此仿冒的判斷方法包括：為主備路由器配置參數(shù)M，M為自然數(shù)，M≥2；主備路由器根據(jù)所述參數(shù)按照下式計算周期T：T＝M*通告時間周期；備份路由器計算出 周期后，每當周期到達時判斷該周期內(nèi)收到的通告報文數(shù)目M’是否大于M，如果是，則判斷有仿冒者存在。所述備份路由器可在判斷有仿冒者存在后，發(fā)起主備競選，主備競選后產(chǎn)生的主路由器在所述周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，用以指示各備份路由器進行鑒權，n為自然數(shù)且1≤n≤M。本發(fā)明的實施方式如圖2所示，將AuthType的高六位中的某一位a作為標志位。主備路由器事先約定表示有效的值(例如1表示有效)；主路由器根據(jù)事先配置的鑒權參數(shù)M計算鑒權周期，在每個鑒權周期中的第一通告時間周期的通告報文中將AuthType字段高六位中預定的標志位a設置為有效；在其他M-1個通告周期的通告報文中將AuthType字段高六位中預定的標志位a設置為無效；當備份路由器接收到的VRRP通告報文中AuthType字段高六位中的標志位a為有效時，根據(jù)低兩位中的數(shù)值進行鑒權運算。以一個備份路由器進行鑒權的流程為例進行說明，其他備份路由器的流程相同，如圖3所示，包括以下步驟：步驟310，根據(jù)鑒權參數(shù)M計算鑒權周期；鑒權周期T：T＝M*通告時間周期。步驟320，計數(shù)器清零；該計數(shù)器用于對收到的通告報文的個數(shù)進行計數(shù)。步驟330，開始計時；該計時器計時鑒權周期，以用于判斷鑒權周期是否到達。步驟340，接收到VRRP通告報文；步驟350，計數(shù)值M’加1；步驟360，判斷該通告報文中的鑒權標志值是否有效，如果是，進行鑒權，返回步驟340，否則，執(zhí)行下一步；當鑒權標志值為無效時，默認鑒權成功。步驟370，根據(jù)計時器判斷是否到達鑒權周期，如果是執(zhí)行下一步，否則返回步驟340；步驟380，判斷是否滿足主備競選條件，如果是，則執(zhí)行下一步，否則返回步驟320；在本實施例中，主備競選條件為：M’大于M且在該鑒權周期內(nèi)未收到過攜帶有鑒權標志的通告報文。在其他實施例中，主備競選條件可以僅為在該鑒權周期內(nèi)未收到過攜帶有鑒權標志的通告報文，或者僅為M’大于M。通過判斷M’是否大于M可以確定是否有仿冒者存在。如果備份路由器在鑒權周期內(nèi)沒有收到任何帶有鑒權標志的VRRP通告時，認為主路由器失效，則發(fā)起主備競選。步驟390，發(fā)起主備競選。該備份路由器向其他路由器發(fā)送主備競選通告。主備競選后產(chǎn)生的主備路由器繼續(xù)上述流程，其中新的主路由器在計算得到的周期中的第n個通告時間周期發(fā)送通告報文時，在該通告報文中攜帶鑒權標志，以指示其他新的備份路由器進行鑒權。以在第一個通告時間周期的通告報文中攜帶鑒權標志為例說明主路由器設置AuthType字段的步驟，如圖4所示，包括：步驟410，根據(jù)鑒權參數(shù)M計算鑒權周期；鑒權周期T：T＝M*通告時間周期。步驟420，設置鑒權周期內(nèi)第一個通告時間周期的通告報文中AuthType字段中鑒權標志位為有效；步驟430，發(fā)送該VRRP通告報文。以上所述僅為本發(fā)明的優(yōu)選實施例而已，并不用于限制本發(fā)明，對于本領域的技術人員來說，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。