一种安全认证方法和双向转发检测bfd设备的制作方法

一种安全认证方法和双向转发检测bfd设备的制作方法
【专利摘要】本申请公开了一种安全认证方法，BFD设备的控制面接收对端BFD设备的控制面发送的携带随机数的第一BFD报文；所述控制面根据所述随机数生成第一token值；所述控制面将所述第一token值发送到数据面；所述数据面接收所述对端BFD设备的数据面发送的第二BFD报文，所述第二BFD报文中携带认证信息，所述认证信息包括随机数；所述数据面根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二token值，并比较所述第二token值和所述第一token值是否一致，如果一致，则所述数据面通过对所述第二BFD报文的认证。可以实现BFD设备数据面的NP也能进行较高安全级别的安全认证。
【专利说明】一种安全认证方法和双向转发检测BFD设备
【技术领域】
[0001]本发明涉及通信【技术领域】，特别涉及一种安全认证方法和双向转发检测BFD设备。
【背景技术】
[0002]双向转发检测(BidirectionalForwarding Detection, BFD)协议能快速检测到与相邻网络设备间的通信故障，网络设备能够根据快速检测出的故障将流量切换至备份链路以加快网络收敛速度，从而保证业务继续进行，减小设备故障或链路故障对业务的影响、提高网络的可用性。BFD设备包括由通用CPU处理器构成的控制面和由网络处理器(network processor, NP)构成的数据面。为防止网络攻击,在控制面，BFD协议支持的安全认证方式有三种:1)基于简单密码的认证方式；2)基于消息摘要算法第五版(messagedigest algorithm5,MD5)认证；3)基于安全散列算法第一版(security hash algorithml,SHAl)认证；但是，在数据面，现有技术还没有NP对BFD报文的安全认证方式。

【发明内容】

[0003]为了实现BFD设备数据面的NP也能进行安全认证，本发明实施例提供一种安全认证方法和双向转发检测BFD设备。
[0004]第一方面，提供一种安全认证方法，包括:
[0005]本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；
[0006]所述本端BFD设备的控制面根据所述随机数生成第一令牌token值；
[0007]所述本端BFD设备的控制面将所述第一 token值发送到所述本端BFD设备的数据面；
[0008]所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括随机数；
[0009]所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二 token值,并比较所述第二 token值和所述第一token值是否一致,如果所述第二 token值和所述第一 token值一致,则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0010]结合第一方面，在第一种可能的实现方式中，所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0011 ] 所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值；
[0012]所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成所述第二 token值，包括:
[0013]所述本端BFD设备的数据面根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述本端BFD设备的控制面相同的计算方法生成所述第二 token值。
[0014]结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述认证信息中还包括token值，
[0015]在所述本端BFD设备的数据面通过对所述第二 BFD报文的认证之前，所述方法还包括:
[0016]所述本端BFD设备的数据面比较所述认证信息中包括的所述token值和所述第一token值是否一致；
[0017]所述如果所述第二 token值和所述第一 token值一致,则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证，包括:
[0018]如果所述第二 token值和所述第一 token值一致，并且所述认证信息中包括的token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0019]结合第一方面或第一方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，在所述本端BFD设备的控制面生成所述第一 token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，所述方法还包括:
[0020]所述本端BFD设备的控制面发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
[0021]结合第一方面或第一方面的第一种至第三种任一可能的实现方式，在第四种可能的实现方式中，所述本端BFD设备的控制面采用哈希算法生成所述第一 token值。
[0022]结合第一方面或第一方面的第一种至第四种任一可能的实现方式，在第五种可能的实现方式中，所述本端BFD设备的数据面采用和所述本端BFD设备的控制面相同的哈希算法生成所述第二 token值。
[0023]结合第一方面或第一方面的第一种至第五种任一可能的实现方式，在第六种可能的实现方式中，所述第一 BFD报文中还携带所述第一 token值的过期时间,所述本端BFD设备的控制面根据所述随机数生成所述第一 token值包括所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数、所述第一 BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一 token值；
[0024]结合第一方面或第一方面的第一种至第六种任一可能的实现方式，在第七种可能的实现方式中，所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器)；所述本端BFD设备或者对端BFD设备的数据面也叫转发面，包括网络处理器NP。
[0025]结合第一方面或第一方面的第一种至第七种任一可能的实现方式，在第八种可能的实现方式中，所述随机数通过扩展所述第一 BFD报文和第二 BFD报文的字段携带。
[0026]结合第一方面或第一方面的第一种至第八种任一可能的实现方式，在第九种可能的实现方式中，所述第一 BFD报文还包括标准认证请求信息,所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述本端BFD设备的控制面对所述第一 BFD报文认证通过后，根据所述随机数生成第一令牌token值。
[0027]第二方面，提供一种安全认证方法，包括:
[0028]本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；
[0029]所述本端BFD设备的控制面根据所述随机数生成第一令牌token值；
[0030]所述本端BFD设备的控制面将所述第一 token值发送到所述本端BFD设备的数据面；
[0031]所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括第二 token值；
[0032]所述本端BFD设备的数据面比较所述第二 token值和所述第一 token值是否一致，如果所述第二 token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0033]结合第二方面，在第一种可能的实现方式中，在所述本端BFD设备的控制面生成所述第一 token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，所述方法还包括:
[0034]所述本端BFD设备的控制面发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
[0035]结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，
[0036]所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码，
[0037]则所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0038]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
[0039]结合第二方面或第二方面的第一种可能的实现方式，在第三种可能的实现方式中，
[0040]所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0041 ] 所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
[0042]结合第二方面的第二种可能的实现方式，在第四种可能的实现方式中，
[0043]所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0044]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数和所述密码采用第一哈希算法生成所述第一 token值。
[0045]结合第二方面或第二方面的第一种或第三种可能的实现方式，在第五种可能的实现方式中，
[0046]所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:[0047]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址采用第二哈希算法生成所述第一 token值。
[0048]结合第二方面的第二种或第四种可能的实现方式，在第六种可能的实现方式中，
[0049]所述第一 BFD报文中还携带所述第一 token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数、所述密码和所述过期时间生成所述第
一token 值。
[0050]结合第二方面或第二方面的第一种或第三种或第五种可能的实现方式，在第七种可能的实现方式中，所述第一 BFD报文中还携带所述第一 token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数、所述第一 BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一 token值。
[0051]结合第二方面的第二种或第四种或第六种可能的实现方式，在第八种可能的实现方式中，所述第一 BFD报文中还携带所述第一 token值的过期时间,所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数、所述密码和所述过期时间采用第三哈希算法生成所述第一 token值。
[0052]结合第二方面或第二方面的第一种或第三种或第五种或第七种可能的实现方式，在第九种可能的实现方式中，所述第一 BFD报文中还携带所述token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数、所述第一 BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间采用第四哈希算法生成所述第一 token值。
[0053]结合第二方面或第二方面的第一种至第九种任一可能的实现方式，在第十种可能的实现方式中，所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器)；所述本端BFD设备或者对端BFD设备的数据面也叫转发面，包括网络处理器NP。
[0054]结合第二方面或第二方面的第一种至第十种任一可能的实现方式，在第十一种可能的实现方式中，所述随机数通过扩展所述第一 BFD报文字段携带。
[0055]结合第二方面或第二方面的第一种至第十一种任一可能的实现方式，在第十二种可能的实现方式中，所述第二 token值通过扩展所述第二 BFD报文字段携带。
[0056]结合第二方面或第二方面的第一种至第十二种任一可能的实现方式，在第十三种可能的实现方式中，所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述本端BFD设备的控制面对所述第一 BFD报文认证通过后，根据所述随机数生成第一令牌token值。
[0057]第三方面，提供一种双向转发检测BFD设备，包括:控制面和数据面，
[0058]所述控制 面，用于接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；并用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述数据面；
[0059]所述数据面，用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二BFD报文中携带认证信息，所述认证信息包括随机数；并用于根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二 token值，并用于比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第二 BFD报文的认证。
[0060]结合第三方面，在第一种可能的实现方式中，所述控制面具体用于根据所述第一BFD报文中携带的所述随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值；
[0061]所述数据面具体用于根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二 token 值。
[0062]结合第三方面或第三方面的第一种可能的实现方式，在第二种可能的实现方式中，
[0063]所述认证信息中还包括token值，所述数据面还用于在通过对所述第二 BFD报文的认证之前，比较所述认证信息中包括的所述token值和所述第一 token值是否一致；如果所述第二 token值和所述第一 token值一致,并且所述认证信息中包括的token值和所述第一 token值一致,则通过对所述第二 BFD报文的认证。
[0064]结合第三方面或第三方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，
[0065]所述控制面包括通用CPU处理器；所述数据面包括网络处理器NP。
[0066]第四方面，提供一种双向转发检测BFD设备，包括:控制面和数据面，
[0067]所述控制面，用于接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；并用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述数据面；
[0068]所述数据面，用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二BFD报文中携带认证信息,所述认证信息包括第二 token值；并用于比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第二 BFD报文的认证。
[0069]结合第四方面，在第一种可能的实现方式中，所述控制面还用于在生成所述第一token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第
二BFD报文之前，发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第
一token 值。
[0070]结合第四方面或第四方面的第一种可能的实现方式，在第二种可能的实现方式中，
[0071 ] 所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码，
[0072]所述控制面具体用于根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
[0073]结合第四方面或第四方面的第一种可能的实现方式，在第三种可能的实现方式中，
[0074]所述控制面具体用于根据所述第一 BFD报文中携带的随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
[0075]结合第四方面或第四方面的第一种至第三种任一可能的实现方式，在第四种可能的实现方式中，
[0076]所述控制面包括通用CPU处理器；所述数据面包括网络处理器NP。
[0077]本发明实施例在BFD设备的数据面通过token值对第二 BFD报文进行token认证，可以实现BFD设备数据面的NP也能进行安全认证。
【专利附图】

【附图说明】
[0078]图1为本发明实施例提供的一种安全认证方法流程图；
[0079]图2为本发明实施例提供的另一种安全认证方法流程图；
[0080]图3为本发明实施例提供的一种原始的数据面发送的BFD报文示意图；
[0081]图4为本发明实施例提供的一种原始的控制面发送的BFD报文示意图；
[0082]图5为本发明实施例提供的一种原始的控制面发送的BFD报文里的MD5认证字段示意图；
[0083]图6为本发明实施例提供的一种原始的控制面发送的BFD报文里的SHAl认证字段示意图；
[0084]图7为本发明实施例提供的一种携带随机数的扩展控制面发送的BFD报文示意图；
[0085]图8为本发明实施例提供的一种携带随机数和/或token值的扩展数据面发送的BFD报文示意图；
[0086]图9为本发明实施例提供的一种安全认证方法的流程示意图；
[0087]图10为本发明实施例提供的一种安全认证方法的流程示意图；
[0088]图11为本发明实施例提供的一种双向转发检测BFD设备的结构示意图；
[0089]图12为本发明实施例提供的一种双向转发检测BFD设备的结构示意图；
[0090]图13为本发明实施例提供的一种双向转发检测BFD设备的结构示意图。
具体实现方式
[0091]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0092]下面结合说明书附图对本发明实施例作进一步详细描述。
[0093]本发明实施例提供了一种安全认证方法，参阅图1所示，该方法包括如下操作:
[0094]101:本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；
[0095]102:所述本端BFD设备的控制面根据所述随机数生成第一令牌token值；
[0096]103:所述本端BFD设备的控制面将所述第一 token值发送到所述本端BFD设备的数据面；
[0097]104:所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括随机数；
[0098]105:所述本端BFD设备的数据面对所述第二 BFD报文进行token认证，所述本端BFD设备的数据面对所述第二 BFD报文进行token认证包括:根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二 token值，并比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0099]本发明实施例在BFD设备的数据面通过token值对第二 BFD报文进行token认证，可以实现BFD设备数据面的NP也能进行安全认证。
[0100]可选地，所述本端BFD设备的控制面根据所述随机数生成所述token值，包括:
[0101]所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0102]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值；
[0103]所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成所述第二 token值，包括:
[0104]所述本端BFD设备的数据面根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述本端BFD设备的控制面相同的计算方法生成所述第二 token值。
[0105]可选地，所述认证信息中还包括token值，
[0106]在所述本端BFD设备的数据面通过对所述第二 BFD报文的认证之前，所述方法还包括:
[0107]所述本端BFD设备的数据面比较所述认证信息中包括的所述token值和所述第一token值是否一致；
[0108]所述如果所述第二 token值和所述第一 token值一致,则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证，包括:
[0109]如果所述第二 token值和所述第一 token值一致，并且所述认证信息中包括的token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0110]可选地，在所述本端BFD设备的控制面生成所述第一 token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，所述方法还包括:
[0111]所述本端BFD设备的控制面发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
[0112]可选地,所述本端BFD设备的控制面采用哈希算法生成所述第一 token值。
[0113]可选地，所述本端BFD设备的数据面采用和所述本端BFD设备的控制面相同的哈希算法生成所述第二 token值。
[0114]可选地，所述第一 BFD报文中还携带所述第一 token值的过期时间，所述本端BFD设备的控制面根据所述随机数生成所述第一 token值包括所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数、所述第一 BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一 token值；
[0115]可选地，所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器)；所述本端BFD设备或者对端BFD设备的数据面也叫转发面，包括网络处理器NP。
[0116]可选地，所述随机数通过扩展所述第一 BFD报文和第二 BFD报文的字段携带。
[0117]可选地，所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述本端BFD设备的控制面对所述第一 BFD报文认证通过后，根据所述随机数生成第一令牌token值。
[0118]本发明实施例提供了另一种安全认证方法，参阅图2所示，该方法包括如下操作:
[0119]201:本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；
[0120]202:所述本端BFD设备的控制面根据所述随机数生成第一令牌token值；
[0121]203:所述本端BFD设备的控制面将所述第一 token值发送到所述本端BFD设备的数据面；
[0122]204:所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括第二 token值；
[0123]205:所述本端BFD设备的数据面对所述第二 BFD报文进行token认证，所述本端BFD设备的数据面对所述第二 BFD报文进行token认证包括:所述本端BFD设备的数据面比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0124]在所述本端BFD设备的控制面生成所述弟一 token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，所述方法还包括:
[0125]所述本端BFD设备的控制面发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
[0126]所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码，
[0127]则所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0128]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
[0129]可选地，所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0130]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
[0131]可选地，所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:[0132]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数和所述标准认证请求信息中包括的密码采用第一哈希算法生成所述第一 token值。
[0133]可选地，所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括:
[0134]所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址采用第二哈希算法生成所述第一 token值。
[0135]可选地，所述第一 BFD报文中还携带所述第一 token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数、所述密码和所述过期时间生成所述第一 token值。
[0136]可选地，所述第一 BFD报文中还携带所述第一 token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数、所述第一 BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间生成所述第一 token值。
[0137]可选地，所述第一 BFD报文中还携带所述第一 token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数、所述密码和所述过期时间采用第三哈希算法生成所述第一 token值。
[0138]可选地，所述第一 BFD报文中还携带所述token值的过期时间，所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数、所述第一 BFD报文中包括的源IP地址和目的IP地址、以及所述过期时间采用第四哈希算法生成所述第一 token值。
[0139]可选地，所述本端BFD设备或者对端BFD设备的控制面包括通用CPU处理器(例如X86处理器)；所述本端BFD设备或者对端BFD设备的数据面也叫转发面，包括网络处理器NP。
[0140]可选地，所述随机数通过扩展所述第一 BFD报文字段携带。
[0141]可选地，所述第二 token值通过扩展所述第二 BFD报文字段携带。
[0142]可选地，所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述本端BFD设备的控制面对所述第一 BFD报文认证通过后，根据所述随机数生成第一令牌token值。
[0143]如图3所示，为原始的数据面发送的BFD报文；如图4所示，为原始的控制面发送的BFD报文，该报文和图3所示的原始的数据面发送的BFD报文的区别是报文里增加了MD5/SHA1认证字段；如图5和图6所示,是对图4所示BFD报文中的认证字段的详细展示；如图7所示，本发明实施例扩展控制面发送的BFD报文，携带随机数:在原有的认证类型(例如基于MD5的或者SHAl的Auth Type为2/3/4/5)中增加随机数Random nonce字段，为了和老的协议兼容，把原来8bit的预留字段留出一个Ibit R,用来表示Random nonce,即如果R值为I表示有Random nonce ;一个bit的M表示消息类型:请求Request消息,或者响应Response消息；如图8所示，本发明实施例扩展数据面发送的BFD报文，使其携带随机数和token值中的至少一个:新增一种新的认证类型Auth Type:Token Auth,例如类型为
6,在这个类型中有Random nonce和Token字段的一个或者二个同时存在，同时还可能有Expiration Time 或者 Sequence Number。
[0144]下面结合图9，对本发明实施例提供的一种安全认证方法进行说明:[0145]步骤1:对端BFD设备的控制面向本端BFD设备的控制面发送包括标准认证请求信息(例如基于MD5的或者SHAl的Auth Type为2/3/4/5)的第一 BFD报文，所述第一 BFD报文中还携带所述对端BFD设备生成的随机数，所述第一 BFD报文中还可以携带过期时间Expiration Time 或者 Sequence Number ；
[0146]步骤2:本端BFD设备的控制面对所述第一 BFD报文认证通过后，根据所述随机数通过哈希算法计算一个第一 token值,该第一 token值可以根据所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成，也可以根据所述随机数、所述第二 BFD报文中的源IP地址和目的IP地址、以及所述过期时间生成；
[0147]步骤3:本端BFD设备的控制面把所述第一 token值发送到本端BFD设备的数据面；
[0148]步骤:4:本端BFD设备的控制面通过第一 BFD报文的响应报文把所述第一 token值发送到对端BFD设备的控制面一本步骤可选，即可以不发送；
[0149]步骤5:对端BFD设备的控制面把收到的第一 token值发送到数据面一本步骤也可选，如果没有步骤3，也就没有步骤4 ；
[0150]步骤6:BFD会话up后,对端BFD设备的数据面把封装了所述随机数Random nonce的第二 BFD报文发送到本端BFD设备的数据面；
[0151]当有步骤4和步骤5的时候,所述第二 BFD报文也可以包括token值；
[0152]步骤7:所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二 token值,并比较所述第二 token值和所述第一 token值是否一致，如果一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0153]所述本端BFD设备的数据面可以根据所述认证信息中包括的随机数以及所述第
二BFD报文中的源IP地址和目的IP地址采用和控制面相同的哈希算法生成所述第二token值，或者，所述本端BFD设备的数据面根据所述认证信息中包括的所述随机数、所述第二 BFD报文中的源IP地址和目的IP地址、以及所述过期时间采用和控制面相同的哈希算法生成所述第二 token值。
[0154]当所述认证信息中还包括token值时，在所述本端BFD设备的数据面通过对所述第二 BFD报文的认证之前，所述方法还包括:
[0155]所述本端BFD设备的数据面比较所述认证信息中包括的token值和所述本端BFD设备的控制面发送的所述第一 token值是否一致，如果两个比较结果都一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
[0156]当所述第一 token值过期后，重新执行上述步骤1_7。
[0157]下面结合图10，对本发明实施例提供的另一种安全认证方法进行说明:
[0158]步骤1:对端BFD设备的控制面向本端BFD设备的控制面发送包括标准认证请求信息(例如基于MD5的或者SHAl的Auth Type为2/3/4/5)的第一 BFD报文，所述第一 BFD报文中还携带所述对端BFD设备生成的随机数，所述第一 BFD报文中还可以携带过期时间Expiration Time 或者 Sequence Number ；
[0159]步骤2:本端BFD设备的控制面对所述第一 BFD报文认证通过后，根据所述随机数通过哈希算法计算一个第一 token值,该第一 token值的生成可以根据所述随机数和所述标准认证请求信息中包括的密码生成，也可以根据所述随机数、所述标准认证请求信息中包括的密码和所述过期时间Expiration Time生成；
[0160]步骤3:本端BFD设备的控制面把所述第一 token值发送到本端BFD设备的数据面；
[0161]步骤4:本端BFD设备的控制面通过第一 BFD报文的响应报文把所述第一 token值发送到对端BFD设备的控制面；
[0162]上述步骤3和4的顺序可以调换，本发明实施例不对之进行限制，都属于本发明实施例的保护范围。
[0163]步骤5:对端BFD设备的控制面把收到的所述第一 token值发送到数据面；
[0164]步骤6 =BFD会话up后，对端BFD设备的数据面把封装了第二 token值的第二 BFD报文发送到本端BFD设备的数据面；
[0165]步骤7:本端BFD设备的数据面比较所述第二 token值和收到的控制面发面的所述第一 token值是否一致，如果如果一致，则所述本端BFD设备的数据面对所述第二 BFD报文认证通过。
[0166]当所述token过期后,重新执行上述步骤1_7。
[0167]如图11所示，本发明实施例还提供一种双向转发检测BFD设备1100，包括:控制面1101和数据面1102，
[0168]所述控制面1101用于接收对端BFD设备的控制面发送的第一 BFD报文，所述第
一BFD报文中携带所述对端BFD设备生成的随机数；并用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述数据面1102 ；
[0169]所述数据面1102，用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括随机数；并用于根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二 token值，并用于比较所述第二token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致，则用于通过对所述第二 BFD报文的认证。
[0170]可选地，所述控制面具体用于根据所述第一 BFD报文中携带的所述随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值；
[0171]所述数据面具体用于根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二 token 值。
[0172]可选地，所述认证信息中还包括token值，所述数据面还用于在通过对所述第二BFD报文的认证之前，比较所述认证信息中包括的所述token值和所述第一 token值是否一致；如果所述第二 token值和所述第一 token值一致,并且所述认证信息中包括的token值和所述第一 token值一致，则通过对所述第二 BFD报文的认证。
[0173]可选地，所述控制面包括通用CPU处理器；所述数据面包括网络处理器NP。
[0174]本发明实施例还提供一种双向转发检测BFD设备，包括:控制面和数据面，
[0175]所述控制面，用于接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；并用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述数据面；[0176]所述数据面，用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二BFD报文中携带认证信息,所述认证信息包括第二 token值；并用于比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第二 BFD报文的认证。
[0177]可选地，所述控制面还用于在生成所述第一 token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
[0178]可选地，所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码，
[0179]所述控制面具体用于根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
[0180]可选地，所述控制面具体用于根据所述第一 BFD报文中携带的随机数以及所述第
一BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
[0181]可选地，所述控制面包括通用CPU处理器；所述数据面包括网络处理器NP。
[0182]如图12所示，本发明的实施例还提供一种双向转发检测BFD设备，包括:接口1201、通用CPU处理器1202、网络处理器1203和总线1204，该接口 1201、通用CPU处理器1202和网络处理器1203通过总线1204连接并完成相互间的通信，其中:
[0183]该总线1204可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component, PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线 1204 可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。
[0184]接口 1201，接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；
[0185]通用CPU处理器1202，用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述网络处理器1203 ；
[0186]接口 1201，还用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二BFD报文中携带认证信息，所述认证信息包括随机数；
[0187]网络处理器1203，用于根据所述认证信息中包括的随机数采用和所述通用CPU处理器1202相同的计算方法生成第二 token值，并用于比较所述第二 token值和所述第一token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第
二BFD报文的认证。
[0188]可选地，所述通用CPU处理器1202，具体用于根据所述第一 BFD报文中携带的所述随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值；
[0189]可选地，所述网络处理器1203，具体用于根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二 token值。[0190]可选地，所述认证信息中还包括token值，所述网络处理器1203，还用于在通过对所述第二BFD报文的认证之前，比较所述认证信息中包括的所述token值和所述第一 token值是否一致；如果所述第二 token值和所述第一 token值一致，并且所述认证信息中包括的token值和所述第一 token值一致,则通过对所述第二 BFD报文的认证。
[0191]本发明的实施例还提供一种双向转发检测BFD设备，包括:接口 1301、通用CPU处理器1302、网络处理器1303和总线1304，该接口 1301、通用CPU处理器1302和网络处理器1303通过总线1304连接并完成相互间的通信，其中:
[0192]该总线1304可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component, PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线 1204 可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。
[0193]接口 1301，接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；
[0194]通用CPU处理器1302，用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述网络处理器1303 ；
[0195]接口 1301，还用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二BFD报文中携带认证信息,所述认证信息包括token值；
[0196]网络处理器1303,用于比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第二 BFD报文的认证。
[0197]可选地，所述通用CPU处理器1302，还用于在生成所述第一 token值之后，在所述网络处理器1303接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
[0198]可选地，所述第一 BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码，
[0199]所述通用CPU处理器1302具体用于根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
[0200]可选地，所述通用CPU处理器1302，具体用于根据所述第一 BFD报文中携带的随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
[0201]本发明实施例在BFD设备的数据面通过token值对第二 BFD报文进行token认证，可以实现BFD设备数据面的NP也能进行安全认证。
[0202]本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0203]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0204]在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述功能模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0205]所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0206]另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。
[0207]所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读网络处理器(ROM, Read-Only Memory)、随机存取网络处理器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0208]以上所述，仅为本发明的具体实现方式，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。
【权利要求】
1.一种安全认证方法，其特征在于，包括: 本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数； 所述本端BFD设备的控制面根据所述随机数生成第一令牌token值； 所述本端BFD设备的控制面将所述第一 token值发送到所述本端BFD设备的数据面；所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括随机数； 所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成第二 token值,并比较所述第二 token值和所述第一 token值是否一致，如果所述第二 token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
2.根据权利要求1所述的方法，其特征在于， 所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括: 所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数以及所述第一BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值； 所述本端BFD设备的数据面根据所述认证信息中包括的随机数采用和所述本端BFD设备的控制面相同的计算方法生成所述第二 token值，包括: 所述本端BFD设备的数据面根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述本端BFD设备的控制面相同的计算方法生成所述第二 token值。
3.根据权利要求1或2所述的方法，其特征在于，所述认证信息中还包括token值， 在所述本端BFD设备的数据面通过对所述第二 BFD报文的认证之前，所述方法还包括: 所述本端BFD设备的数据面比较所述认证信息中包括的所述token值和所述第一token值是否一致； 所述如果所述第二 token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证，包括: 如果所述第二 token值和所述第一 token值一致,并且所述认证信息中包括的token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
4.一种安全认证方法，其特征在于，包括: 本端双向转发检测BFD设备的控制面接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数； 所述本端BFD设备的控制面根据所述随机数生成第一令牌token值； 所述本端BFD设备的控制面将所述第一 token值发送到所述本端BFD设备的数据面；所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括第二 token值； 所述本端BFD设备的数据面比较所述第二 token值和所述第一 token值是否一致，如果所述第二 token值和所述第一 token值一致，则所述本端BFD设备的数据面通过对所述第二 BFD报文的认证。
5.根据权利要求4所述的方法，其特征在于， 在所述本端BFD设备的控制面生成所述第一 token值之后，在所述本端BFD设备的数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，所述方法还包括: 所述本端BFD设备的控制面发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值； 所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
6.根据权利要求4或5所述的方法，其特征在于，所述第一BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码， 则所述本端BFD设备的控制面根据所述随机数生成所述第一 token值，包括: 所述本端BFD设备的控制面根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
7.根据权利要求4或5所述的方法，其特征在于，所述本端BFD设备的控制面根据所述随机数生成所述第一 token值,包括: 所述本端BFD设备的控制面根据所述第一 BFD报文中携带的随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
8.一种双向转发检测BFD设备，其特征在于，包括:控制面和数据面， 所述控制面，用于接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；并用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述数据面； 所述数据面，用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括随机数；并用于根据所述认证信息中包括的随机数采用和所述控制面相同的计算方法生成第二 token值，并用于比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第二 BFD报文的认证。
9.根据权利要求8所述的BFD设备，其特征在于， 所述控制面具体用于根据所述第一 BFD报文中携带的所述随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值； 所述数据面具体用于根据所述认证信息中包括的随机数以及所述第二 BFD报文中包括的源IP地址和目的IP地址采用和所述BFD设备的控制面相同的计算方法生成所述第二token 值。
10.根据权利要求8或9所述的BFD设备，其特征在于， 所述认证信息中还包括token值，所述数据面还用于在通过对所述第二 BFD报文的认证之前，比较所述认证信息中包括的所述token值和所述第一 token值是否一致；如果所述第二 token值和所述第一 token值一致,并且所述认证信息中包括的token值和所述第一token值一致,则通过对所述第二 BFD报文的认证。
11.根据权利要求8-10任一所述的BFD设备，其特征在于，所述控制面包括通用CPU处理器；所述数据面包括网络处理器NP。
12.—种双向转发检测BFD设备，其特征在于，包括:控制面和数据面， 所述控制面，用于接收对端BFD设备的控制面发送的第一 BFD报文，所述第一 BFD报文中携带所述对端BFD设备生成的随机数；并用于根据所述随机数生成第一令牌token值；并用于将所述第一 token值发送到所述数据面； 所述数据面，用于接收所述对端BFD设备的数据面发送的第二 BFD报文，所述第二 BFD报文中携带认证信息，所述认证信息包括第二 token值；并用于比较所述第二 token值和所述第一 token值是否一致,如果所述第二 token值和所述第一 token值一致,则用于通过对所述第二 BFD报文的认证。
13.根据权利要求12所述的BFD设备，其特征在于，所述控制面还用于在生成所述第一 token值之后，在所述数据面接收所述对端BFD设备的数据面发送的所述第二 BFD报文之前，发送所述第一 BFD报文的响应报文到所述对端BFD设备的控制面，所述响应报文中携带所述第一 token值；所述第二 token值为所述第二 BFD报文中封装的所述第一 token值。
14.根据权利要求12或13所述的BFD设备，其特征在于，所述第一BFD报文还包括标准认证请求信息，所述标准认证请求信息包括基于消息摘要算法第五版MD5认证请求信息和基于安全散列算法第一版SHAl认证请求信息中的至少一种，所述标准认证请求消息中包括密码， 所述控制面具体用于根据所述第一 BFD报文中携带的所述随机数和所述密码生成所述第一 token值。
15.根据权利要求12或13所述的BFD设备，其特征在于，所述控制面具体用于根据所述第一 BFD报文中携带的随机数以及所述第一 BFD报文中包括的源IP地址和目的IP地址生成所述第一 token值。
16.根据权利要求12-15任一所述的BFD设备，其特征在于，所述控制面包括通用CPU处理器；所述数据面包括网络处理器NP。
【文档编号】H04L29/06GK103647777SQ201310686766
【公开日】2014年3月19日 申请日期:2013年12月13日 优先权日:2013年12月13日
【发明者】杨佩林, 韩涛 申请人:华为技术有限公司