本發明公開了一種基于BFD協議的接口認證方法及系統，A、BFD會話協商步驟：默認采用主動模式，在建立會話前無論是否收到對端發來的BFD協商報文，都會主動發送本端BFD協商報文；B、BFD認證步驟：在BFD會話協商階段，采用Meticulous Keyed SHA1認證方式，三次認證通過則BFD會話狀態置UP，認證失敗則BFD會話狀態置DOWN；C、BFD周期檢測步驟：周期檢測采用異步模式，通信雙方周期性發送BFD保活報文，如果在檢測周期內沒有收到對端發送的BFD保活報文，則BFD會話狀態置DOWN；D、BFD與接口聯動步驟：設備之間首次建立BFD會話時，如協商失敗需等待設定時間再聯動接口DOWN；當BFD會話狀態置UP以后，如BFD檢測到會話超時或對端配置修改導致認證失敗，則立即觸發接口BFD會話狀態置DOWN。

技術領域

本發明涉及一種基于BFD協議的接口認證方法及系統。

背景技術

隨著計算機技術和網絡通信技術的普遍應用，網絡設備常常受到攻擊，導致人們對網絡的安全性要求越來越高。路由器作為最常用的網絡信息轉發設備，把不同地域的網絡設備連接到一起，位于可信任網絡和不可信任網絡中間。在安全方面，路由器的接口安全是保證網絡安全的第一關，因此也是路由器安全性中最關鍵的一個環節。

目前，OSPF、ISIS、BGP路由協議都有對應的MD5等安全認證方式，認證通過后鄰居才能UP(已認證)并交換路由信息，認證失敗則認為是非法接入，鄰居DOWN(未認證)。但對設備接口而言，業界目前尚無有效的安全控制機制，當攻擊設備接入某個網絡，只要獲取到對端設備接口的IP網段，成功解析ARP(地址解析協議)，攻擊流量就能在網絡中正常轉發。

發明內容

針對上述問題，本發明提供一種基于BFD協議的接口認證方法及系統，通過BFDMSHA1認證協商聯動接口UP/DOWN，為網絡通信設備接口互連安全檢查提供了解決方案；進一步的，結合BFD ms級的周期探測，可防止BFD會話認證協商成功后，正常網絡設備被攻擊設備替換帶來的重放攻擊風險，提高了通信設備互連的安全可靠性。

為實現上述技術目的，達到上述技術效果，本發明通過以下技術方案實現：

一種基于BFD協議的接口認證方法，包括：

A、BFD會話協商步驟：默認采用主動模式，在建立會話前無論是否收到對端發來的BFD協商報文，都會主動發送本端BFD協商報文；

B、BFD認證步驟：在BFD會話協商階段，采用Meticulous Keyed SHA1認證方式，三次認證通過則BFD會話狀態置UP，認證失敗則BFD會話狀態置DOWN；

C、BFD周期檢測步驟：周期檢測采用異步模式，通信雙方周期性發送BFD保活報文，如果在檢測周期內沒有收到對端發送的BFD保活報文，則BFD會話狀態置DOWN；

D、BFD與接口聯動步驟：設備之間首次建立BFD會話時，如協商失敗需等待設定時間再聯動接口DOWN；當BFD會話狀態置UP以后，如BFD檢測到會話超時或對端配置修改導致認證失敗，則立即觸發接口BFD會話狀態置DOWN。

優選，1)首次配置時，若互連設備接口兩端同時配置BFD及認證，且密碼一致，則BFD會話狀態由DOWN置為UP，接口狀態保持UP；

2)首次配置時，若互連設備接口兩端同時配置BFD及認證，且密碼不一致，則建立BFD會話協商失敗，等待N秒再聯動接口狀態置DOWN；

3)首次配置時，若互連設備接口一端配置BFD及認證，另一端只配置BFD，不配置認證，則BFD會話狀態保持DOWN不變，接口狀態等待N秒后由UP置為DOWN；

4)首次配置時，若互連設備接口一端配置BFD及認證，另一端沒有配置，則BFD會話狀態保持DOWN不變，接口狀態等待N秒后由UP置為DOWN。