[发明专利]控制器生成的网际控制报文协议回声请求的防火墙认证的方法及装置

说明书

一种由网络防火墙实施的方法，包括：获取用于网络测试的第一认证令牌，接收用于对连接到该网络防火墙的网元(network element，NE)进行网络测试的测试请求消息，通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证该测试请求消息，以及当所述第二认证令牌与第一认证令牌匹配时，授权所述NE的所述网络测试。

交叉申请

本申请要求2015年5月11日提交的发明名称为“控制器生成的网际控制报文协议(ICMP)回声请求的防火墙认证(Firewall Authentication of Controller-GeneratedInternet Control Message Protocol(ICMP)Echo Requests)”的第14/709,180号美国专利申请的优先权，该在先申请的全部内容以引入的方式并入本文本中。

背景技术

随着因特网广泛用于现代通信，例如电子邮件、内容共享、在线购物和/或银行交易，网络安全正变得越来越重要。但是，因特网同时也为恶意通信或安全攻击提供了许多可乘之机。防火墙为网络安全系统的一个示例，其基于所应用规则集控制网络或联网域的输入和/或输出业务。防火墙在可信安全的内部网络与因特网等被认为不可信且不安全的另一外部网络之间建立屏障。防火墙可以实施为软件解决方案或硬件设施。某些在网络间传送数据的路由器与防火墙组件集成在一起。反之，某些防火墙与基础路由功能集成在一起。

发明内容

在一项实施例中，本发明包括一种由网络防火墙实施的方法，包括：获取网络测试的第一认证令牌，接用于对连接到网络防火墙的网元 (network element，NE)进行网络测试的测试请求消息，通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息，以及当所述第二认证令牌与第一认证令牌匹配时，授权所述NE的所述网络测试。

在另一项实施例中，本发明包括一种由网络管理实体实施的方法，包括：与网络防火墙交换认证令牌来进行网络测试，生成用于对连接到所述网络防火墙的NE进行网络测试的网络请求消息，将所述认证令牌嵌入到所述测试请求消息中，以及向所述NE发送包括所述认证令牌的所述测试请求消息。

在又一项实施例中，本发明包括连接到网络防火墙的NE，包括：用于耦合到网络的接收器、用于耦合到所述网络的发射器以及耦合到所述接收器和所述发射器的的处理器，其中，所述处理器用于：通过所述接收器从指示连接性测试请求的网络管理实体接收第一测试请求消息，其中所述第一测试请求消息包括认证令牌；向所述网络防火墙转发所述第一测试请求消息，以通过所述网络防火墙请求认证所述认证令牌；当所述第一测试请求消息的认证令牌成功认证时，从所述网络防火墙接收到第二测试请求消息；以及在从所述网络防火墙接收到所述第二测试请求消息后，通过所述发射器向所述网络管理实体发送测试回复消息。

在另一项实施例中，本发明包括一种装置，所述装置包括：接收器，用于接收用于对连接到所述装置的NE进行网络测试的第一请求消息；以及处理器，耦合到所述接收器并用于获取用于所述网络测试的第一认证令牌，通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息，以及当所述第二认证令牌与所述第一认证令牌匹配时，授权所述NE的所述网络测试。

在另一项实施例中，本发明包括一种装置，所述装置包括发射器、接收器，以及耦合到所述发射器和所述接收器的处理器，其中，所述处理器用于：通过所述发射器和接收器与网络防火墙交换认证令牌来进行网络测试；将所述认证令牌嵌入到用于对连接到所述网络防火墙的NE进行网络测试的测试请求消息；以及通过发射器向所述NE发送包括该认证令牌的测试请求消息。