本申請涉及通信領(lǐng)域，尤其涉及一種操作管理維護(hù)報文認(rèn)證的方法及裝置。

背景技術(shù)：

操作管理維護(hù)(英文：operations,administrationandmaintenance，簡稱：oam)技術(shù)，是一種為網(wǎng)絡(luò)提供鏈路缺陷檢測以及缺陷糾正的技術(shù)。相互通信的網(wǎng)絡(luò)設(shè)備，通過發(fā)送oam報文，檢測用于通信的通道(英文：channel)是否處于正常狀態(tài)，并且在檢測到用于通信的通道出現(xiàn)異常時，通過相互發(fā)送oam報文觸發(fā)保護(hù)倒換機制，將通信倒換到預(yù)先設(shè)置的保護(hù)通道，從而降低由于工作通道異常而造成的丟包，保障業(yè)務(wù)傳輸?shù)姆€(wěn)定性。例如，自動保護(hù)倒換(英文：automaticprotectionswitching，簡稱：aps)報文是一種oam報文。網(wǎng)絡(luò)節(jié)點通過相互發(fā)送aps報文，在通信的通道出現(xiàn)異常時協(xié)商并共同倒換到保護(hù)通道通信。

當(dāng)oam報文受到其他設(shè)備的惡意篡改，或者oam報文是其他網(wǎng)元偽造的，或者網(wǎng)絡(luò)管理員對參數(shù)的配置錯誤時，接收oam報文的網(wǎng)絡(luò)設(shè)備可能獲取到不正確的倒換請求，從而使得該網(wǎng)絡(luò)節(jié)點根據(jù)不正確的倒換請求，做出錯誤的倒換，導(dǎo)致正常通信受到嚴(yán)重影響。

技術(shù)實現(xiàn)要素：

本申請?zhí)峁┝艘环N操作管理維護(hù)oam報文認(rèn)證的方法及裝置，用于降低網(wǎng)絡(luò)設(shè)備根據(jù)不正確的oam報文做出錯誤的倒換的風(fēng)險，提高通信的穩(wěn)定性。

第一方面，提供了一種oam報文認(rèn)證的方法，所述方法包括：

第一網(wǎng)元接收第一oam報文，所述第一oam報文攜帶第一標(biāo)識和第一認(rèn)證信息；

所述第一網(wǎng)元根據(jù)所述第一標(biāo)識到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息；

所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配；

如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，所述第一網(wǎng)元確定所述第一oam報文為非法報文。

所述第一網(wǎng)元通過根據(jù)第一標(biāo)識確定第二認(rèn)證信息，并判斷所述第二認(rèn)證信息與第一oam報文中的第一認(rèn)證信息是否匹配，判斷所述第一oam報文是否為合法報文。因此，在網(wǎng)絡(luò)管理員配置第一標(biāo)識錯誤的情況下，或者第一標(biāo)識被其他網(wǎng)元惡意篡改或偽造的情況下，所述第一網(wǎng)元可以通過確定所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，從而識別出所述第一oam報文中的信息是錯誤的，并避免按照所述第一oam報文中的信息執(zhí)行錯誤的指令，提高通信的安全性和穩(wěn)定性。

可選的，所述第一網(wǎng)元確定所述第一oam報文為非法報文之后，還包括：所述第一網(wǎng)元保存所述第一oam報文。

所述第一網(wǎng)元保存非法的第一oam報文，可以為網(wǎng)絡(luò)管理員分析接收該非法報文的原因提供更多的信息。例如，在所述第一認(rèn)證信息和所述第二認(rèn)證信息不匹配，是由于第一標(biāo)識配置錯誤導(dǎo)致的情況下，保存所述第一oam報文，可以為網(wǎng)絡(luò)管理員分析配置錯誤提供信息，從而改正該錯誤的配置。例如，在所述第一認(rèn)證信息和所述第二認(rèn)證信息不匹配，是由于所述第一oam報文是其他網(wǎng)元惡意篡改或偽造的情況下，保存所述第一oam報文，可以為網(wǎng)絡(luò)管理員查找該網(wǎng)元提供更多的信息，從而提高網(wǎng)絡(luò)的安全性。

可選的，在一種示例中，所述第一認(rèn)證信息為加密信息，所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：所述第一網(wǎng)元根據(jù)所述第一標(biāo)識到解密算法的映射，確定所述解密算法；所述第一網(wǎng)元根據(jù)所述解密算法對所述第一認(rèn)證信息做解密運算，獲得第三認(rèn)證信息；所述第一網(wǎng)元判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。

可選的，在另一種示例中，所述第一網(wǎng)元與第二網(wǎng)元通過第一標(biāo)簽交換路徑(英文：labelswitchpath,簡稱：lsp)通信，所述第一標(biāo)識為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項：所述第二網(wǎng)元的標(biāo)簽交換路由器(英文：labelswitchrouter,簡稱：lsr)的標(biāo)識；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第一lsp的標(biāo)識。

可選的，所述方法還包括：所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息 的映射，獲取所述第四認(rèn)證信息；所述第一網(wǎng)元向所述第三網(wǎng)元發(fā)送第二oam報文，所述第二oam報文攜帶所述第四認(rèn)證信息，所述第四認(rèn)證信息用于指示所述第三網(wǎng)元，所述第二oam報文為合法報文。

可選的，所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；所述第一網(wǎng)元根據(jù)所述加密算法對所述第五認(rèn)證信息進(jìn)行加密運算，獲得所述第四認(rèn)證信息。

可選的，所述第一網(wǎng)元與所述第三網(wǎng)元通過第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項信息：所述第三網(wǎng)元的lsr的標(biāo)識；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第二lsp的標(biāo)識。

第二方面，提供了一種第一網(wǎng)元，包括：處理器和網(wǎng)絡(luò)接口，所述處理器用于：

通過所述網(wǎng)絡(luò)接口接收第一oam報文，所述第一oam報文攜帶第一標(biāo)識和第一認(rèn)證信息；

根據(jù)所述第一標(biāo)識到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息；

判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配；

如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，確定所述第一oam報文為非法報文。

可選的，所述處理器還用于，在確定所述第一oam報文為非法報文之后，保存所述第一oam報文。

可選的，所述第一認(rèn)證信息為加密信息，所述判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：根據(jù)所述第一標(biāo)識到解密算法的映射，確定所述解密算法；根據(jù)所述解密算法對所述第一認(rèn)證信息做解密運算，獲得第三認(rèn)證信息；判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。

可選的，所述第一網(wǎng)元與第二網(wǎng)元通過第一標(biāo)簽交換路徑lsp通信，所述第一標(biāo)識為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項：所述第二網(wǎng)元的標(biāo)簽交換路由器lsr的標(biāo)識；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第一lsp的標(biāo)識。

可選的，所述處理器還用于：根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射，獲 取所述第四認(rèn)證信息；通過所述網(wǎng)絡(luò)接口，向所述第三網(wǎng)元發(fā)送第二oam報文，所述第二oam報文攜帶所述第四認(rèn)證信息，所述第四認(rèn)證信息用于指示所述第三網(wǎng)元，所述第二oam報文為合法報文。

可選的，所述根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；根據(jù)所述加密算法對所述第五認(rèn)證信息進(jìn)行加密運算，獲得所述第四認(rèn)證信息。

可選的，所述第一網(wǎng)元與所述第三網(wǎng)元通過第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項信息：所述第三網(wǎng)元的lsr的標(biāo)識；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第二lsp的標(biāo)識。

附圖說明

為了更清楚地說明本申請實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本申請的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請實施例提供的一種應(yīng)用場景示意圖。

圖2為本申請實施例提供的一種oam報文的認(rèn)證方法流程示意圖。

圖3a為本申請實施例提供的一種oam報文格式的示意圖。

圖3b為本申請實施例提供的另一種oam報文格式的示意圖。

圖4為本申請實施例提供的另一種oam報文的認(rèn)證方法流程示意圖。

圖5為本申請實施例提供的一種第一網(wǎng)元的結(jié)構(gòu)示意圖。

具體實施方式

本申請實施例描述的應(yīng)用場景是為了更加清楚的說明本申請實施例的技術(shù)方案，并不構(gòu)成對于本申請實施例提供的技術(shù)方案的限定，本領(lǐng)域普通技術(shù)人員可知，隨著網(wǎng)絡(luò)架構(gòu)的演變和新業(yè)務(wù)場景的出現(xiàn)，本申請實施例提供的技術(shù)方案對于類似的技術(shù)問題，同樣適用。

圖1為本申請實施例提供的一種應(yīng)用場景示意圖。如圖1所示，第一網(wǎng)元101和第二網(wǎng)元102之間的用于通信的通道包括工作通道和保護(hù)通道。

舉例來說，所述第一網(wǎng)元101可以是路由器、網(wǎng)絡(luò)交換機、防火墻、波分復(fù)用設(shè)備、分組傳送網(wǎng)設(shè)備、基站、基站控制器或者數(shù)據(jù)中心等。所述第二網(wǎng)元102可以是路由器、網(wǎng)絡(luò)交換機、防火墻、波分復(fù)用設(shè)備、分組傳送網(wǎng)設(shè)備、基站、基站控制器或者數(shù)據(jù)中心等。工作通道或保護(hù)通道可以是偽線(英文：pseudowire，簡稱：pw)或隧道(英文：tunnel)。

第一網(wǎng)元101和第二網(wǎng)元102之間通過相互發(fā)送操作管理維護(hù)(英文：operations,administrationandmaintenance，簡稱：oam)報文，檢測用于通信的通道是否處于正常狀態(tài)，并且在檢測到當(dāng)前用于通信的通道出現(xiàn)異常時，通過發(fā)送oam報文觸發(fā)保護(hù)倒換。

在一種示例中，第一網(wǎng)元101和第二網(wǎng)元102之間采用以太網(wǎng)(英文：ethernet)通信，所述oam報文可以是itu-ty.1731中規(guī)定的oam報文。具體來說，所述oam報文可以是自動保護(hù)倒換(英文：automaticprotectionswitching，簡稱：aps)報文，例如可以是itu-tg8031/y.1342中規(guī)定的aps報文。

在另一種示例中，第一網(wǎng)元101和第二網(wǎng)元102之間采用多協(xié)議標(biāo)簽交換(英文：multiprotocollabelswitching，簡稱：mpls)隧道通信，所述oam報文可以是itu-ty.1711規(guī)定的報文。具體來說，所述oam報文可以是aps報文。

在通常的通信過程中，第一網(wǎng)元101接收到oam報文，通過所述oam報文首部中的信息，例如mpls首部中的mpls標(biāo)簽(英文：label)，確定所述oam報文來自第二網(wǎng)元102，并查找第一網(wǎng)元101和第二網(wǎng)元102之間用于通信的通道對應(yīng)的oam狀態(tài)機，并根據(jù)所述oam報文中攜帶的請求，對所述oam狀態(tài)機的狀態(tài)進(jìn)行相應(yīng)的配置，并進(jìn)一步根據(jù)所述oam狀態(tài)機的狀態(tài)執(zhí)行相應(yīng)的操作。

上述方案中，第一網(wǎng)元101在接收到oam報文時，不對所述oam報文的真實性或正確性進(jìn)行認(rèn)證。因此，如果所述第一網(wǎng)元101接收到的oam報文是其他網(wǎng)絡(luò)設(shè)備偽造或篡改的，或者，在所述第一網(wǎng)元101使用mpls標(biāo)簽識別所述oam報文的來源的示例中，如果網(wǎng)絡(luò)管理員配置錯誤，導(dǎo)致與第一網(wǎng)元101通信的第三網(wǎng)元(圖1中未示出)向第一網(wǎng)元101發(fā)送的oam報文的mpls標(biāo)簽，與第二網(wǎng)元102向第一網(wǎng)元101發(fā)送的oam報文的mpls標(biāo)簽的 標(biāo)簽值相同，則第一網(wǎng)元101在接收到來自第三網(wǎng)元的oam報文時，可能會將來自第三網(wǎng)元的oam報文識別為來自第二網(wǎng)元102的oam報文。在出現(xiàn)上述情況時，第一網(wǎng)元101接收到的oam報文的來源或者oam報文中攜帶的指令可能是不正確的。第一網(wǎng)元101會根據(jù)不正確的oam報文執(zhí)行錯誤的操作，例如倒換到錯誤的通道與第二網(wǎng)元102進(jìn)行通信，導(dǎo)致正常的通信受到影響。

本申請實施例提供一種oam報文認(rèn)證的方法，用于降低網(wǎng)絡(luò)設(shè)備根據(jù)不正確的oam報文做出錯誤的倒換的風(fēng)險，提高通信的穩(wěn)定性。

圖2示出了本申請實施例提供的一種oam報文認(rèn)證的方法。舉例來說，所述方法可以應(yīng)用于圖1所示的場景中。圖2所示的方法中的第一網(wǎng)元，可以采用圖1中所示的第一網(wǎng)元101。圖2所示的方法中的第二網(wǎng)元，可以采用圖1中所示的第二網(wǎng)元102。所述方法包括以下步驟。

s201，第一網(wǎng)元接收第一oam報文，所述第一oam報文攜帶第一標(biāo)識和第一認(rèn)證信息。

舉例來說，所述第一oam報文可以采用圖1中所述的oam報文。進(jìn)一步地，所述第一oam報文可以是圖1中所述的aps報文。

所述第一標(biāo)識攜帶在所述第一oam報文的首部中，用于指示所述第一oam報文的來源。例如，所述第一oam報文中包括mpls首部，所述第一標(biāo)識為所述mpls首部中的標(biāo)簽(英文：label)字段。又例如，所述第一oam報文中包括虛擬局域網(wǎng)(英文：virtuallocalareanetwork，簡稱：vlan)標(biāo)簽(英文：vlantag)，所述第一標(biāo)識為所述vlantag中的vlan標(biāo)識(英文：vlanidentifier，簡稱：vid)字段。

所述第一認(rèn)證信息攜帶在所述第一oam報文的凈荷(英文：payload)中。舉例來說，所述第一認(rèn)證信息可以通過在所述第一oam報文的凈荷中定義一個類型-長度-取值(英文：type-length-value，簡稱：tlv)實現(xiàn)，即定義一個type用于指示所述tlv中的value為所述第一認(rèn)證信息的值。

在一種示例中，在所述第一oam報文是允許增加擴展字段的oam報文的情況下，例如所述第一oam是itu-tg8031/y.1342中規(guī)定的aps報文的情況下，所述第一認(rèn)證信息可以攜帶在所述aps報文的擴展字段中。圖3a示出了itu-tg8031/y.1342標(biāo)準(zhǔn)中，不攜帶所述第一認(rèn)證信息的aps報文的凈荷的 格式示意圖。圖3b示出了通過在擴展字段增加一個tlv攜帶所述第一認(rèn)證信息的aps報文的凈荷的格式示意圖。需要說明的是，圖3b所示的value字段的長度僅僅是示意性的，本申請實施例對于value字段具體的長度不做限制。

在另一種示例中，在所述第一oam報文是不允許增加擴展字段的oam報文的情況下，所述第一認(rèn)證信息可以攜帶在協(xié)議未使用的其他字段中。例如，所述第一oam報文是itu-ty.1711規(guī)定的報文的情況下，所述第一認(rèn)證信息可以攜帶在填充(英文：padding)字段中。

s202，所述第一網(wǎng)元根據(jù)所述第一標(biāo)識到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息。

所述第一網(wǎng)元中存儲了所述第一標(biāo)識到所述第二認(rèn)證信息的映射。所述第二認(rèn)證信息為網(wǎng)絡(luò)管理員預(yù)先在所述第一網(wǎng)元和所述第二網(wǎng)元中配置的信息。在一種示例中，所述第一標(biāo)識和所述第二認(rèn)證信息的映射可以直接存儲在標(biāo)識和認(rèn)證信息的映射表的一個表項中。在另一種示例中，所述第一網(wǎng)元存儲了所述第一標(biāo)識到oam狀態(tài)機的映射，所述第一網(wǎng)元根據(jù)第一標(biāo)識，確定所述第一oam報文對應(yīng)的oam狀態(tài)機，所述oam狀態(tài)機用于監(jiān)控所述第一網(wǎng)元和所述第二網(wǎng)元之間的工作通道和保護(hù)通道的工作狀態(tài)。在所述第一oam報文是aps報文的示例中，所述狀態(tài)機也可以是aps狀態(tài)機。進(jìn)一步地，所述第一網(wǎng)元中還存儲了oam狀態(tài)機到認(rèn)證信息的映射，所述第一網(wǎng)元根據(jù)所述第一oam報文對應(yīng)的oam狀態(tài)機，查找到所述第二認(rèn)證信息。

s203，所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配。

可選的，在一種可能的示例中，所述第一認(rèn)證信息為加密信息，所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：所述第一網(wǎng)元根據(jù)所述第一標(biāo)識到解密算法的映射，確定所述解密算法；所述第一網(wǎng)元根據(jù)所述解密算法對所述第一認(rèn)證信息做解密運算，獲得第三認(rèn)證信息；所述第一網(wǎng)元判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。如果所述第三認(rèn)證信息與所述第二認(rèn)證信息相等，則所述第一網(wǎng)元確定所述第一認(rèn)證信息與所述第二認(rèn)證信息匹配。

舉例來說，所述第一網(wǎng)元和所述第二網(wǎng)元被共同配置了加密算法和相應(yīng)的解密算法。所述第一網(wǎng)元和所述第二網(wǎng)元還預(yù)先存儲了所述第二認(rèn)證信息。 所述第二網(wǎng)元在向所述第一網(wǎng)元發(fā)送所述第一oam報文之前，根據(jù)所述加密算法，對所述第二認(rèn)證信息進(jìn)行加密運算，獲得所述第一認(rèn)證信息?？蛇x的，所述第二網(wǎng)元對所述第二認(rèn)證信息進(jìn)行加密運算的具體過程包括：所述第二網(wǎng)元生成隨機數(shù)，所述第二網(wǎng)元使用所述加密算法對所述隨機數(shù)和所述第二認(rèn)證信息做加密運算，獲得加密參數(shù)。所述第一認(rèn)證信息中包括所述隨機數(shù)和所述加密參數(shù)。例如，在所述第一認(rèn)證信息通過自定義的tlv攜帶在第一oam報文中的情況下，所述tlv可以包括第一子tlv和第二子tlv，所述第一子tlv為中的value為所述隨機數(shù)的值，所述第二子tlv中的value為所述加密參數(shù)的值。所述第一網(wǎng)元接收到所述第一認(rèn)證信息后，獲取所述隨機數(shù)和所述加密參數(shù)，根據(jù)所述解密算法對所述隨機數(shù)和所述加密參數(shù)進(jìn)行解密運算，獲得第三認(rèn)證信息。如果所述第三認(rèn)證信息與所述第二認(rèn)證信息相等，則所述第一網(wǎng)元確定所述第一oam報文為合法報文。如果所述第三認(rèn)證信息與所述第二認(rèn)證信息不相等，則所述第一網(wǎng)元確定所述第一oam報文為非法報文。

可選的，在另一種可能的示例中，所述第一網(wǎng)元與所述第二網(wǎng)元通過第一標(biāo)簽交換路徑lsp通信，所述第一標(biāo)識為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項：所述第二網(wǎng)元的標(biāo)簽交換路由器lsr的標(biāo)識(英文：indentifier)；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第一lsp的標(biāo)識。所述第一網(wǎng)元的lsr的標(biāo)識在整個mpls網(wǎng)絡(luò)中是唯一的。所述第二網(wǎng)元的lsr的標(biāo)識在整個mpls網(wǎng)絡(luò)中是唯一的。所述第一lsp的標(biāo)識在整個mpls網(wǎng)絡(luò)中是唯一的。

舉例來說，所述第一網(wǎng)元和所述第二網(wǎng)元中均存儲了所述第二網(wǎng)元的lsr的標(biāo)識。所述第二網(wǎng)元在向第一網(wǎng)元發(fā)送所述第一oam報文之前，將所述第二網(wǎng)元的lsr的標(biāo)識作為所述第一認(rèn)證信息，寫入所述第一oam報文。此外，所述第二網(wǎng)元還將預(yù)先設(shè)定的mpls標(biāo)簽作為所述第一標(biāo)識寫入所述第一oam報文的mpls首部。所述第一網(wǎng)元在接收到所述第一oam報文之后，根據(jù)所述mpls標(biāo)簽與所述第二認(rèn)證信息的映射，獲取所述第二認(rèn)證信息。所述第二認(rèn)證信息為所述第一網(wǎng)元中存儲的第二網(wǎng)元的lsr的標(biāo)識。所述第一網(wǎng)元比較所述第一認(rèn)證信息和所述第二認(rèn)證信息，如果所述第一認(rèn)證信息和所述第二認(rèn)證信息相等，則確定所述第一認(rèn)證信息與所述第二認(rèn)證信息匹配。

如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，所述第一網(wǎng)元執(zhí)行s204。

s204，所述第一網(wǎng)元確定所述第一oam報文為非法報文。

所述第一網(wǎng)元不根據(jù)所述第一oam報文中的指示信息執(zhí)行相應(yīng)的操作。

可選的，所述第一網(wǎng)元確定所述第一oam報文為非法報文后，所述第一網(wǎng)元保存所述第一oam報文。

通過保存非法報文，所述第一網(wǎng)元可以為網(wǎng)絡(luò)管理員提供非法報文的信息，以便網(wǎng)絡(luò)管理員確定所述非法報文的來源。

可選的，所述第一網(wǎng)元確定所述第一oam報文為非法報文后，丟棄所述第一oam報文。

可選的，如果所述第一認(rèn)證信息與所述第二認(rèn)證信息匹配，所述第一網(wǎng)元執(zhí)行s205。

s205，所述第一網(wǎng)元確定所述第一oam報文為合法報文。所述第一網(wǎng)元進(jìn)一步根據(jù)所述第一oam報文中的指示信息執(zhí)行相應(yīng)的操作。例如，所述第一oam報文用于指示所述第一網(wǎng)元將通信從工作通道倒換到保護(hù)通道，所述第一網(wǎng)元根據(jù)所述第一oam報文的指示，將通信從工作通道倒換到保護(hù)通道。

可選地，第一網(wǎng)元也可以在向其他網(wǎng)元發(fā)送oam報文時，在所述oam報文中寫入認(rèn)證信息，所述認(rèn)證信息用于指示接收該oam報文的網(wǎng)元，所述oam報文為合法報文。例如，所述第一網(wǎng)元向第三網(wǎng)元發(fā)送第二oam報文時，如圖4所示，所述方法進(jìn)一步包括s401和s402。

s401，所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射，獲取所述第四認(rèn)證信息。

可選的，在一種示例中，所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；所述第一網(wǎng)元根據(jù)所述加密算法對所述第五認(rèn)證信息進(jìn)行加密運算，獲得所述第四認(rèn)證信息。

舉例來說，所述第一網(wǎng)元對所述第五認(rèn)證信息進(jìn)行加密運算獲得所述第四認(rèn)證信息的具體實現(xiàn)方式，可以采用s203中第二網(wǎng)元對所述第二認(rèn)證信息 進(jìn)行加密運算獲得所述第一認(rèn)證信息的具體實現(xiàn)方式。

可選的，在另一種示例中，所述第一網(wǎng)元與所述第三網(wǎng)元通過第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項信息：所述第三網(wǎng)元的lsr的標(biāo)識；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第二lsp的標(biāo)識。

s402，所述第一網(wǎng)元向所述第三網(wǎng)元發(fā)送第二oam報文，所述第二oam報文攜帶所述第四認(rèn)證信息。

舉例來說，所述第四認(rèn)證信息在所述第二oam報文中的格式，可以采用與所述第一認(rèn)證信息在所述第一oam報文中相同的格式。

舉例來說，所述第三網(wǎng)元根據(jù)所述第四認(rèn)證信息，判斷所述第二oam報文是否為合法報文的具體方式，可以采用圖2所述的方法中，所述第一網(wǎng)元根據(jù)所述第一認(rèn)證信息，判斷所述第一oam報文是否為合法報文的具體方式。

圖5是本申請實施例提供的一種第一網(wǎng)元的結(jié)構(gòu)示意圖。如圖5所示，第一網(wǎng)元500包括處理器501以及網(wǎng)絡(luò)接口502?？蛇x的，還包括存儲器503。

處理器501包括但不限于中央處理器(英文：centralprocessingunit，簡稱：cpu)，網(wǎng)絡(luò)處理器(英文：networkprocessor，簡稱：np)，專用集成電路(英文：application-specificintegratedcircuit，簡稱：asic)或者可編程邏輯器件(英文：programmablelogicdevice，縮寫：pld)中的一個或多個。上述pld可以是復(fù)雜可編程邏輯器件(英文：complexprogrammablelogicdevice，縮寫：cpld)，現(xiàn)場可編程邏輯門陣列(英文：field-programmablegatearray，縮寫：fpga)，通用陣列邏輯(英文：genericarraylogic,縮寫：gal)或其任意組合。

網(wǎng)絡(luò)接口502可以是有線接口，例如光纖分布式數(shù)據(jù)接口(英文：fiberdistributeddatainterface，簡稱：fddi)、以太網(wǎng)(英文：ethernet)接口。網(wǎng)絡(luò)接口502也可以是無線接口，例如無線局域網(wǎng)接口。

存儲器503用于存儲處理器501執(zhí)行的程序指令。存儲器503包括但不限于內(nèi)容尋址存儲器(英文：content-addressablememory，簡稱：cam)，例如三態(tài)內(nèi)容尋址存儲器(英文：ternarycam，簡稱：tcam)，隨機存取存儲器(英文：random-accessmemory，簡稱：ram)。

存儲器503也可以集成在處理器501中。如果存儲器503和處理器501 是相互獨立的器件，存儲器503和處理器501相聯(lián)，例如存儲器503和處理器501可以通過總線通信。網(wǎng)絡(luò)接口503和處理器501可以通過總線通信，網(wǎng)絡(luò)接口503也可以與處理器501直連。

處理器501用于執(zhí)行以下操作：通過所述網(wǎng)絡(luò)接口502接收第一oam報文，所述第一oam報文攜帶第一標(biāo)識和第一認(rèn)證信息；根據(jù)所述第一標(biāo)識到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息；判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配；如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，確定所述第一oam報文為非法報文。

可選的，所述處理器501還用于，在確定所述第一oam報文為非法報文之后，保存所述第一oam報文。

可選的，所述第一認(rèn)證信息為加密信息，所述判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：根據(jù)所述第一標(biāo)識到解密算法的映射，確定所述解密算法；根據(jù)所述解密算法對所述第一認(rèn)證信息做解密運算，獲得第三認(rèn)證信息；判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。

可選的，所述第一網(wǎng)元500與第二網(wǎng)元通過第一標(biāo)簽交換路徑lsp通信，所述第一標(biāo)識為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項：所述第二網(wǎng)元的標(biāo)簽交換路由器lsr的標(biāo)識；所述第一網(wǎng)元500的lsr的標(biāo)識；以及所述第一lsp的標(biāo)識。

可選的，所述處理器501還用于：根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射，獲取所述第四認(rèn)證信息；通過所述網(wǎng)絡(luò)接口，向所述第三網(wǎng)元發(fā)送第二oam報文，所述第二oam報文攜帶所述第四認(rèn)證信息，所述第四認(rèn)證信息用于指示所述第三網(wǎng)元，所述第二oam報文為合法報文。

可選的，所述根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；根據(jù)所述加密算法對所述第五認(rèn)證信息進(jìn)行加密運算，獲得所述第四認(rèn)證信息。

可選的，所述第一網(wǎng)元500與所述第三網(wǎng)元通過第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項信息：所述第三網(wǎng)元的lsr的標(biāo)識；所述第一網(wǎng)元的lsr的標(biāo)識；以及所述第二lsp的標(biāo)識。

本實施例提供的第一網(wǎng)元500可以應(yīng)用于圖2或圖4實施例的方法中， 實現(xiàn)其第一網(wǎng)元的功能。所述第一網(wǎng)元可以實現(xiàn)的其他附加功能，以及與其他網(wǎng)元的交互過程，請參照方法實施例中對第一網(wǎng)元的描述，在這里不再贅述。

本說明書中的各個實施例均采用遞進(jìn)的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統(tǒng)實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

顯然，本領(lǐng)域的技術(shù)人員可以對本申請進(jìn)行各種改動和變型而不脫離本申請的范圍。這樣，倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請也意圖包含這些改動和變型在內(nèi)。