[发明专利]一种基于BFD协议的接口认证方法及系统

说明书

本发明公开了一种基于BFD协议的接口认证方法及系统，A、BFD会话协商步骤：默认采用主动模式，在建立会话前无论是否收到对端发来的BFD协商报文，都会主动发送本端BFD协商报文；B、BFD认证步骤：在BFD会话协商阶段，采用Meticulous Keyed SHA1认证方式，三次认证通过则BFD会话状态置UP，认证失败则BFD会话状态置DOWN；C、BFD周期检测步骤：周期检测采用异步模式，通信双方周期性发送BFD保活报文，如果在检测周期内没有收到对端发送的BFD保活报文，则BFD会话状态置DOWN；D、BFD与接口联动步骤：设备之间首次建立BFD会话时，如协商失败需等待设定时间再联动接口DOWN；当BFD会话状态置UP以后，如BFD检测到会话超时或对端配置修改导致认证失败，则立即触发接口BFD会话状态置DOWN。

技术领域

本发明涉及一种基于BFD协议的接口认证方法及系统。

背景技术

随着计算机技术和网络通信技术的普遍应用，网络设备常常受到攻击，导致人们对网络的安全性要求越来越高。路由器作为最常用的网络信息转发设备，把不同地域的网络设备连接到一起，位于可信任网络和不可信任网络中间。在安全方面，路由器的接口安全是保证网络安全的第一关，因此也是路由器安全性中最关键的一个环节。

目前，OSPF、ISIS、BGP路由协议都有对应的MD5等安全认证方式，认证通过后邻居才能UP(已认证)并交换路由信息，认证失败则认为是非法接入，邻居DOWN(未认证)。但对设备接口而言，业界目前尚无有效的安全控制机制，当攻击设备接入某个网络，只要获取到对端设备接口的IP网段，成功解析ARP(地址解析协议)，攻击流量就能在网络中正常转发。

发明内容

针对上述问题，本发明提供一种基于BFD协议的接口认证方法及系统，通过BFDMSHA1认证协商联动接口UP/DOWN，为网络通信设备接口互连安全检查提供了解决方案；进一步的，结合BFD ms级的周期探测，可防止BFD会话认证协商成功后，正常网络设备被攻击设备替换带来的重放攻击风险，提高了通信设备互连的安全可靠性。

为实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种基于BFD协议的接口认证方法，包括：

A、BFD会话协商步骤：默认采用主动模式，在建立会话前无论是否收到对端发来的BFD协商报文，都会主动发送本端BFD协商报文；

B、BFD认证步骤：在BFD会话协商阶段，采用Meticulous Keyed SHA1认证方式，三次认证通过则BFD会话状态置UP，认证失败则BFD会话状态置DOWN；

C、BFD周期检测步骤：周期检测采用异步模式，通信双方周期性发送BFD保活报文，如果在检测周期内没有收到对端发送的BFD保活报文，则BFD会话状态置DOWN；

D、BFD与接口联动步骤：设备之间首次建立BFD会话时，如协商失败需等待设定时间再联动接口DOWN；当BFD会话状态置UP以后，如BFD检测到会话超时或对端配置修改导致认证失败，则立即触发接口BFD会话状态置DOWN。

优选，1)首次配置时，若互连设备接口两端同时配置BFD及认证，且密码一致，则BFD会话状态由DOWN置为UP，接口状态保持UP；

2)首次配置时，若互连设备接口两端同时配置BFD及认证，且密码不一致，则建立BFD会话协商失败，等待N秒再联动接口状态置DOWN；

3)首次配置时，若互连设备接口一端配置BFD及认证，另一端只配置BFD，不配置认证，则BFD会话状态保持DOWN不变，接口状态等待N秒后由UP置为DOWN；

4)首次配置时，若互连设备接口一端配置BFD及认证，另一端没有配置，则BFD会话状态保持DOWN不变，接口状态等待N秒后由UP置为DOWN。