[发明专利]基于端口认证的方法及网络设备

说明书

技术领域

本发明涉及网络通信技术，尤其涉及一种基于端口认证的方法及网络设备。

背景技术

随着互联网业务的迅猛发展，互联网中网络设备的安全性成为备受关注的问题。网络设备的安全可以分为几类：基础安全、接入安全、安全连接和威胁保护。其中，在接入安全方面，主要包括认证、授权、记账（Authentication、Authorization、Accounting，简称为AAA）、远程用户拨号认证（RemoteAuthentication Dial In User Service，简称为RADIUS）、终端访问控制器访问控制系统（Terminal Access Controller Access-Control System，简称为TACACS）等技术手段，这些技术手段绝大多数是针对接入用户的。对于网络设备之间的交互，大多是在交互过程中进行认证或者采用对交互信息加密的方式来保证接入的安全性。

但是在网络设备私接的情况下，通常网络设备之间是没有认证和加密的，所以很容易出现安全问题。

发明内容

本发明实施例提供一种基于端口认证的方法及网络设备，用以提高网络设备的安全性。

第一方面提供一种基于端口认证的方法，包括：

第一网络设备在监测到所述第一网络设备上与第二网络设备连接的端口物理可用时，在指定时间内监听所述端口，以等待接收所述第二网络设备发送的链路层发现协议LLDP报文，所述LLDP报文包括所述第二网络设备的标识信息和所述第二网络设备的安全证书；

如果在所述指定时间内接收到所述LLDP报文，所述第一网络设备判断预先存储的可信任网络设备中是否存在标识信息和安全证书分别与所述第二网络设备的标识信息和所述第二网络设备的安全证书相匹配的可信任网络设备；

如果预先存储的可信任网络设备中存在标识信息和安全证书分别与所述第二网络设备的标识信息和所述第二网络设备的安全证书相匹配的可信任网络设备，所述第一网络设备将所述端口的状态置为连接状态。

在第一方面的第一种可能的实现方式中，所述基于端口认证的方法还包括：如果在所述指定时间内未接收到所述LLDP报文，或者在所述指定时间内接收到所述LLDP但预先存储的可信任网络设备中不存在标识信息和安全证书分别与所述第二网络设备的标识信息和所述第二网络设备的安全证书相匹配的可信任网络设备，所述第一网络设备保持所述端口的状态为网不可用状态。

在第一方面的第二种可能的实现方式中，所述基于端口认证的方法还包括：所述第一网络设备周期性的根据认证服务器上的可信任网络设备列表，更新本地存储的可信任网络设备的标识信息和安全证书，所述可信任网络设备列表包括通过所述认证服务器认证的网络设备的标识信息和安全证书。

结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述第一网络设备判断预先存储的可信任网络设备中是否存在标识信息和安全证书分别与所述第二网络设备的标识信息和所述第二网络设备的安全证书相匹配的可信任网络设备包括：

所述第一网络设备对所述第二网络设备的标识信息和所述第二网络设备的安全证书进行解密；

所述第一网络设备判断预先存储的可信任网络设备中是否存在标识信息和安全证书分别与所述第二网络设备的解密后的标识信息和所述第二网络设备的解密后的安全证书相匹配的可信任网络设备。

第二方面提供一种基于端口认证的方法，包括：

第二网络设备在监测到所述第二网络设备上与第一网络设备连接的端口物理可用时，生成链路层发现协议LLDP报文，所述LLDP报文包括所述第二网络设备的标识信息和所述第二网络设备的安全证书；

所述第二网络设备通过所述端口向所述第一网络设备发送所述LLDP报文，以使所述第一网络设备根据所述LLDP报文中的所述第二网络设备的标识信息和所述第二网络设备的安全证书以及所述第一网络设备本地预先存储的可信任网络设备的标识信息和所述可信任网络设备的安全证书设置所述第一网络设备上与所述第二网络设备连接的端口的状态。

在第二方面的第一种可能的实现方式中，所述第二网络设备生成所述LLDP报文包括：

所述第二网络设备对所述第二网络设备的标识信息和所述第二网络设备的安全证书进行加密；

所述第二网络设备将所述第二网络设备的加密后的标识信息和所述第二网络设备的加密后的安全证书封装在所述LLDP报文中。