专利名称:一种实现认证方式平滑过渡的方法及设备的制作方法
技术领域:
本发明涉及通讯领域,尤其涉及一种实现认证方式平滑过渡的方法及设备。
背景技术:
两个网络设备互联,为了加强网络安全,设备通常使用text、 md5等认证方式,只有认证通过的报文,才认为是合法的报文。
目前,在两个建立BGP (Border Gateway Protocol,边界网关协议)邻居关系的网络设备上都配置有相同的认证方式(其认证密钥都为"Red")时,BGP邻居之间能够正常的通讯,具体过程如图1中所示
步骤101:在时刻SIO,网络设备routerj)l向router—02发送报文时,会釆用密钥"Red" , router—02接到报文后采用密钥"Red"进行认证检查,认证成功;
步骤102:在时刻Sll,网络设备router—02向router—01发送报文时,会采用密钥"Red" , router—01接到报文后采用密钥"Red"进行认i緣查,认证成功;
步骤103:在时刻S12、S13,网络设备router—01修改认证密钥为"Green";router一01发送BGP报文时将采用新的密钥"green" , router一02接收到报文后,采用密钥"Red"进行认证检查,发现密钥不同导致认证失败;同样router_02发送BGP报文时将采用密钥"Red" , router—01接收到报文后,采用新的密钥"green"进行认ii^r查,发现密钥不同导致认证失败,这样两个设备就会由于接收不到对端的报文而认为邻居已经无效,此时由原来BGP邻居通告的路由无效,本设备需要向其他邻居通告路由失效信息,在网络上出现大量路由通告;
4设备router—02也把认证密钥修改为"Green",这时候两个网络设备上BGP邻居由于认证方式相同又建立邻居关系,又需要重新通告各自的路由给对端,再次在网络上出现大量路由通告。
由上可以看出,修 文认证密钥的过程中,在短期内由于BGP网络设备之间的^人证方式不同,将导致两个网络设备认证失败,网络链接断开,随后不久这两个网络设备又建立链接,这样会导致大量通告路由信息,占用大量网络带宽。
发明内容
本发明所要解决的技术问题是,提供一种实现认证方式平滑过渡的方法及设备,从而在修改认证方式的过程中,建立有BGP邻居关系的网络设备之间的网络链接不会断开。
为了解决上述问题,本发明公开了一种实现认证方式平滑过渡的方法,包括
当需要将网络设备中报文的认证方式从第一认证方式修改为第二认证方式时,分别为各网络设备配置所述第二认证方式,并为所述第二认证方式配置一延时,用于确定所述第二认证方式的生效时间;
当所述第二认证方式的延时到达时,或者当所述网络设备收到对端网络设备发送的报文采用所述第二认证方式时,将所述网络设备中报文的认证方式修改为第二认证方式,此时,所述网络设备发送的报文均采用所述第二认证方式。
进一步地,上述方法中,为各网络设备配置统一的延时,或者为各网络设备分别配置不同的延时。
其中,当所述第二认证方式的延时未到达,且所述网络设备未收到任何报文,则所述网络设备向对端网络设备发送报文时,所述报文采用所述第一认证方式。
当所述第二认证方式的延时未到达,且所述网络设备收到对端网络设备发送的报文采用所述第一认证方式时,所述网络设备向所述对端网络设备返
5回采用所述第一认证方式的报文。
所述认证方式为认证密钥或者认证类型。
本发明还公开了一种实现认证方式平滑过渡的设备,包括依次连接的配
置单元、判断解析单元和发送单元,其中
所述配置单元,用于存储为该设备配置的第一认证方式,所要^^改的第 二认证方式和所述第二认证方式的延时,所述延时用于确定所述第二i人证方 式的生效时间;
所述判断解析单元,用于读取所述配置单元中第二认证方式的延时,若 判断所述延时已到达,将所述第二认证方式发送到所述发送单元,该单元还 用于解析收到的报文,若判断所收到的报文采用所述第二认证方式时,将所 述第二认证方式发送到所述发送单元;
所述发送单元,用于接收所述判断解析单元发送的认证方式,并向对端 设备发送采用该i人证方式的净艮文。
进一步地,上述设备中,当所述设备需要向对端网络设备发送报文时, 所述判断解析单元,读取所述配置单元中第二认证方式的延时,若判断所述 延时未到达,且所述网络设备未收到任何才艮文,则将所述第一认证方式发送 到所述发送单元。
其中,所述判断解析单元,若判断所述延时未到达,且该单元判断所收 到的报文采用所述第一认证方式时,则将所述第一认证方式发送到所述发送 单元。
所述判断解析单元,若判断所述第二认证方式的延时已到达,或者所收 到的报文采用所述第二认证方式时,该单元还将所述配置单元中所述第一认 证方式修改为失效状态,或者删除所述第一认证方式。
所述认证方式为认证密钥或者认证类型。
采用本发明技术方案,在修改网络设备的认证方式时,可以有效的避免原来连接的网络设备由于认证失败而断开连4秦,并解决了现有技术中恢复连 接时要浪费大量网络带宽的问题。
图1是现有技术中采用BGP协议进行认证方式修改的处理流程图2是本发明设备的结构示意图3是使用本发明认证方式修改的处理流程图4是举例说明BGP协议使用本发明认证方式修改的处理流程图。
具体实施例方式
本发明的主要构思是,考虑到不可能同时为两个网络设备配置新的认证 方式,因此,在为网络设备配置报文的认证方式过程中,可以为新配置的认 证方式定义一个延时(delay),那么对于收到该新配置的认证方式的网络i殳 备而言,新配置的认证方式不会立即生效,而是在达到延时时间才生效,这 样,如果网络设备接收到对端谬备发来报文的认证方式和原来一样(即认证 方式未变化)时,只要新配置的认证方式未生效,本网络设备就可以采用原 来的认证方式与对端设备进行交互;如果网络设备接收到对端设备发来报文 的认证方式不同于原来的认证方式(即认证方式发生了变化)时,本网络i史 备将开始采用新配置的认证方式返回报文以及检查接收的报文是否能通过认 证,其中,认证方式的过渡变化包括同种认证类型中不同的认证密钥之间的 过渡,也包括不同认证类型之间的过渡。
下面结合附图及实施例对本发明技术方案作进一步详细说明。 实施例1
一种实现认证方式平滑过渡的设备,如图2所示,包括依次连接的配置 单元、判断解析单元和发送单元。下面详细介绍各单元的功能。
配置单元,用于存储为该设备配置的第一认证方式,所要修改的第二认证方式和第二i人证方式的延时,其中,延时用于确定第二认证方式的生效时 间;
判断解析单元,用于判断当前设备中所生效的认证方式,并将生效的认 证方式发送到发送单元;
具体地,该判断解析单元,读取配置单元中第二认证方式的延时,并判断 该延时是否到达,若到达,则认为当前设备中所生效的认证方式为第二认证 方式;该单元还用于解析收到的报文,并根据所收到的报文采用的认证方式, 确定当前设备中所生效的认证方式,如收到的报文采用第一认证方式,且未 到达第二认证方式的延时,则确定当前设备中生效的认证方式仍为第一认证 方式;若收到的报文采用第二认证方式,则无论第二认证方式的延时是否到 达,均确定当前设备中生效的认证方式为第二认证方式。
发送单元,用于接收所述判断解析单元发送的认证方式,并向对端设备 发送采用该认证方式的净艮文。
在其它实施例中,当判断解析单元确定了当前设备中生效的认证方式为 所要修改的第二认证方式后,还可以通知配置单元将第一认证方式设置为失 效状态,或者直接删除配置单元中存储的第一认证方式。
实施例2
在实施例1的基础上,假设有两个建立BGP邻居关系的第一网络设备和 第二网络设备,其中,第一网络设备和第二网络设备之间配置有认证方式A, 而第一网络设备收到了新配置的认证方式B,且iU正方式B的延时为IOS, 下面以这两个网络设备为例,说明在这两个网络设备之间实现平滑过渡的认 证过程,如图3所示,包括以下步骤
步骤301:在时刻S20,第一网络设备和第二网络设备配置的认证方式 均为A;
此时,由于认证方式相同,故这两个网络设备之间能够实现正常通讯; 步骤302:在时刻S21,由于某种原因,为第一网络设备新配置了认证方式B,认证方式B的延时(delay)为IOS,此时,第一网络设备向第二网 络设备发送报文的过程中仍使用认证方式A;
图3中B (A)即表示为第一网络设备新配置认证方式B后,该认证 方式B不会立即生效,此时第一网络设备仍然使用认i正方式A;
步骤303:第二网络设备采用认证方式A向第一网络设备返回报文;
步骤304:在时刻S22,为第二网络设备配置认证方式B,但此时,由于 未达到认证方式B的延时,故第二网络设备发送的^JL仍釆用认证方式A;
步骤305:在时刻S23,第 一网络设备判断到达认证方式B的延时(delay), 即认证方式B生效,则第一网络设备釆用认证方式B向第二网络设备发送报
文;
图3中B(A)即表示第一网络设备新配置的认证方式B开始生效。
步骤306:收到上述才艮文的第二网络设备判断自身也已收到认证方式B, 故无需考虑认证方式B的延时是否到达,均采用认证方式B向第一网络设备 发送报文,这样,在时刻S24,第一网络设备和第二网络设备配置的认证方 式均为B,从而实现了不同的认证方式之间的平滑过渡。
当然在其它实施例中,第一网络设备在收到新配置的认证方式B,且认 证方式B未生效的时候,若收到第二网络设备采用认证方式B的报文时,虽 然第 一 网络设备中认证方式B的延时时间未到,但第 一 网络设备判断自身也 已收到了认证方式B,则向第二网络设备返回采用认证方式B的报文。
在其它实施例中,为每种认证方式配置的延时可以统一为一时间点,也 可以为各网络设备分别配置延时。
实施例3
下面再来介绍两个建立BGP邻居的网络设备,这两个网络设备都使用了 MD5认证,认证密钥都是"Red",按照本发明技术方案将这两个网络设备 的认证密钥从"Red"修改为"Green"的过程,如图4所示,包括以下步骤
步骤401:在时刻S30,网络设备router—01向网络设备router—02发送报文时,该报文采用密钥"Red",网络设备routerJ)2接到该报文后采用密钥 "Red"进行认证检查,i人证成功;
步骤402:在时刻S31 ,网络设备router—02向网络设备router—01发送报 文时,该报文采用密钥"Red",网络设备router一01接到该报文后采用密钥 "Red"进行认证检查,i人证成功;
步骤403:在时刻S32,网络设备router—01设备配置新的密钥Green时, 不会马上生效,而是等到该密钥的延时(delay)到期,或者接收到对端网络 设备router—02发送的认证报文采用新的认证密钥Green时,才会使用新的认 i正密钥Green;
步骤404:在时刻S33,网络设备router_02接收到对端设备router—01的 报文,该报文采用了新的认证密钥Green,此时,网络设备router一02发现本 地也有相应的密钥Green,就采用新密钥Green发送BGP报文和检查接收 BGP报文是否能通过认证,即网络设备修改密钥的过程中不会出现认证方式 不同而导致BGP链接断链的问题。
从上实施例可以看出,由于本发明技术方案中为网络设备新配置的认证 方式不会马上生效,而是等到延时(delay)到期后生效,或者接收到对端认 证报文采用新的认证密钥时生效,这样,有效避免了因为修改认证信息而导 致BGP链接断链,节省了大量网络带宽。
当然,本发明还可以有其他多种实施例,在不背离本发明精神及其实质 的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形, 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
10
权利要求
1、一种实现认证方式平滑过渡的方法,其特征在于,包括当需要将网络设备中报文的认证方式从第一认证方式修改为第二认证方式时,分别为各网络设备配置所述第二认证方式,并为所述第二认证方式配置一延时,用于确定所述第二认证方式的生效时间;当所述第二认证方式的延时到达时,或者当所述网络设备收到对端网络设备发送的报文采用所述第二认证方式时,将所述网络设备中报文的认证方式修改为第二认证方式,此时,所述网络设备发送的报文均采用所述第二认证方式。
2、 如权利要求1所述的方法,其特征在于,为各网络设备配置统一的延时,或者为各网络i更备分别配置不同的延时。
3、 如权利要求1或2所述的方法,其特征在于,当所述第二认证方式的延时未到达,且所述网络设备未收到任何报文, 则所述网络设备向对端网络设备发送报文时,所述报文采用所述第一认证方 式。
4、 如权利要求1或2所述的方法,其特征在于,当所述第二认证方式的延时未到达,且所述网络设备收到对端网络设备 发送的报文采用所述第一认证方式时,所述网络设备向所述对端网络设备返 回采用所述第一认证方式的才艮文。
5、 如权利要求1或2所述的方法,其特征在于, 所述认证方式为认证密钥或者认证类型。
6、 一种实现认证方式平滑过渡的设备,其特征在于,该设备包括依次 连接的配置单元、判断解析单元和发送单元,其中所述配置单元,用于存储为该设备配置的第一认证方式,所要修改的第 二认证方式和所述第二认证方式的延时,所述延时用于确定所述第二认证方式的生效时间;所述判断解析单元,用于读取所述配置单元中第二认证方式的延时,若 判断所述延时已到达,将所述第二认证方式发送到所述发送单元,该单元还 用于解析收到的报文,若判断所收到的报文采用所述第二认证方式时,将所 述第二认证方式发送到所述发送单元;所述发送单元,用于接收所述判断解析单元发送的认证方式,并向对端 设备发送采用该认证方式的报文。
7、 如权利要求6所述的设备,其特征在于,当所述设备需要向对端网络设备发送报文时,所述判断解析单元,读取 所述配置单元中第二认证方式的延时,若判断所述延时未到达,且所述网络 设备未收到任何报文,则将所述第一认证方式发送到所述发送单元。
8、 如权利要求6所述的设备,其特征在于,所述判断解析单元,若判断所述延时未到达,且该单元判断所收到的报 文采用所述第一认证方式时,则将所述第一认证方式发送到所述发送单元。
9、 如权利要求6至8任一项所述的设备,其特征在于,所述判断解析单元,若判断所述第二认证方式的延时已到达,或者所收 到的报文采用所述第二认证方式时,该单元还将所述配置单元中所述第一认 证方式修改为失效状态,或者删除所述第一认证方式。
10、 如权利要求6至8任一项所述的设备,其特征在于, 所述认证方式为认证密钥或者认证类型。
全文摘要
本发明公开了一种实现认证方式平滑过渡的方法及设备,涉及通讯领域。本发明方法包括当需要将网络设备中报文的认证方式从第一认证方式修改为第二认证方式时,分别为各网络设备配置所述第二认证方式,并为所述第二认证方式配置一延时,用于确定所述第二认证方式的生效时间;当所述第二认证方式的延时到达时,或者当所述网络设备收到对端网络设备发送的报文采用所述第二认证方式时,将所述网络设备中报文的认证方式修改为第二认证方式,此时,所述网络设备发送的报文均采用所述第二认证方式。在修改网络设备的认证方式时,采用本发明技术方案,可以有效的避免原来连接的网络设备由于认证失败而断开连接。
文档编号H04L9/36GK101465739SQ20091000511
公开日2009年6月24日 申请日期2009年1月15日 优先权日2009年1月15日
发明者吴道揆, 周广腾 申请人:中兴通讯股份有限公司