[发明专利]控制器生成的网际控制报文协议回声请求的防火墙认证的方法及装置

权利要求书

1.一种由网络防火墙实施的方法，其特征在于，包括：

从网络管理实体获取用于网络测试的第一认证令牌；

接收用于对连接到所述网络防火墙的网元NE进行所述网络测试的测试请求消息；所述测试请求消息是由所述网络管理实体触发并由所述NE转发的；

通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息；以及

当所述第二认证令牌与所述第一认证令牌匹配时，通过将所述测试请求消息转发回所述NE以授权所述NE的所述网络测试，保证所述网络测试继续执行。

2.根据权利要求1所述的方法，其特征在于，还包括当所述第二认证令牌未能匹配所述第二认证令牌时，拒绝所述网络测试。

3.根据权利要求1所述的方法，其特征在于，还包括通过网络从网络管理实体接收认证发起消息，所述认证发起消息指定了与所述第一认证令牌相关的到期时间周期对应的值。

4.根据权利要求3所述的方法，其特征在于，所述认证发起消息还包括所述第一认证令牌，所述第一认证令牌从所述认证发起消息中获取。

5.根据权利要求3所述的方法，其特征在于，获取用于所述网络测试的所述第一认证令牌包括响应所述认证发起消息生成所述第一认证令牌，所述方法还包括发送认证确认消息给所述网络管理实体以指示所述第一认证令牌。

6.根据权利要求3所述的方法，其特征在于，还包括在认证所述测试请求消息之前确定所述第一认证令牌与未过期的到期时间周期相关。

7.根据权利要求3所述的方法，其特征在于，所述网络为软件定义网络SDN，所述网络管理实体为SDN控制器。

8.根据权利要求1所述的方法，其特征在于，所述第一认证令牌包括一个32位随机数字。

9.根据权利要求1所述的方法，其特征在于，所述测试请求消息为扩展网际控制报文协议ICMP回声请求报文，包括：

数据格式版本号字段，指示所述扩展ICMP回声请求报文的版本号；

请求类型字段，指示所述扩展ICMP回声请求消息所请求的信息的类型；以及

防火墙认证令牌字段，识别用于所述网络测试的防火墙认证令牌；以及

所述第二认证令牌携带在所述防火墙认证令牌字段中。

10.根据权利要求1所述的方法，其特征在于，授权所述NE的所述网络测试包括在不修改所述测试请求消息的情况下转发所述测试请求消息给所述NE。

11.一种由网络管理实体实施的方法，其特征在于，包括：

与网络防火墙交换认证令牌来进行网络测试；其中，所述网络管理实体用于监控以及验证网络节点之间的连接性；

将所述认证令牌嵌入到测试请求消息中来对连接到所述网络防火墙的网元NE进行所述网络测试；以及

发送包括所述认证令牌的所述测试请求消息给所述NE。

12.根据权利要求11所述的方法，其特征在于，与所述网络防火墙交换所述认证令牌包括：

发送认证发起消息给所述网络防火墙，以建立用于进行所述网络测试的认证网络测试会话；以及

从所述网络防火墙接收包括所述认证令牌的认证确认消息。

13.根据权利要求11所述的方法，其特征在于，与所述网络防火墙交换所述认证令牌包括：

生成所述认证令牌；以及

发送认证发起消息给所述网络防火墙，以建立进行所述网络测试的认证网络测试会话，所述认证发起消息指示所述认证令牌。