认证方法和装置转让专利
申请号 : CN201710796897.7
文献号 : CN107547550B
文献日 : 2020-03-06
发明人 : 徐燕成 , 谢林芳
申请人 : 新华三技术有限公司
摘要 :
本公开涉及一种认证方法和装置。其中,该方法包括:检测接入设备中的数据平面与控制平面之间的通信状态;在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。通过本公开实施例,可以判断CP与DP之间的通信状态是否存在异常,当CP与DP之间的通信状态异常时,DP对请求认证的用户临时认证,实现用户上线过程中的无感知切换,保证异常情况下的用户的正常上线及转发。
权利要求 :
1.一种认证方法,其特征在于,包括:
检测接入设备中的数据平面与控制平面之间的通信状态;
在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。
2.根据权利要求1所述的方法,其特征在于,所述数据平面对请求认证的用户进行临时认证,包括以下方式的任意一种:所述数据平面将收到的用户的认证请求发送至认证服务器进行认证;或者,所述数据平面允许请求认证的限定用户上线;或者,所述数据平面在设定时间段内允许请求认证的用户上线。
3.根据权利要求 2所述的方法,其特征在于,还包括:在所述数据平面与所述控制平面之间的通信状态恢复正常时,所述数据平面将被临时认证上线用户的认证信息发送至所述控制平面进行认证。
4.根据权利要求 3所述的方法,其特征在于,所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,包括:所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,如果认证通过,则将被临时认证上线的用户保持在上线状态;
如果认证不通过,所述数据平面将被临时认证上线的用户进行下线处理。
5.根据权利要求1至4中任一项所述的方法,其特征在于,检测接入设备中的数据平面与控制平面之间的通信状态,包括:统计从所述数据平面发出的报文的第一数量;
统计所述数据平面接收到的控制平面报文的第二数量;
如果第一数量与所述第二数量的差超出容错范围,则表明所述数据平面与所述控制平面之间的通信状态异常。
6.根据权利要求1至4中任一项所述的方法,其特征在于,检测接入设备中的数据平面与控制平面之间的通信状态,包括:检测所述数据平面与所述控制平面之间的开放流连接是否已断开;
如果已断开,则表明所述数据平面与所述控制平面之间的通信状态异常。
7.一种认证装置,其特征在于,包括:
检测模块,用于检测接入设备中的数据平面与控制平面之间的通信状态;
临时认证模块,用于在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。
8.根据权利要求7所述的装置,其特征在于,所述临时认证模块还用于执行以下方式的任意一种:所述数据平面将收到的用户的认证请求发送至认证服务器进行认证;或者,所述数据平面允许请求认证的限定用户上线;或者,所述数据平面在设定时间段内允许请求认证的用户上线。
9.根据权利要求 8所述的装置,其特征在于,还包括:发送模块,用于在所述数据平面与所述控制平面之间的通信状态恢复正常时,所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证。
10.根据权利要求 9所述的装置,其特征在于,所述发送模块还用于:所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,如果认证通过,则将被临时认证上线的用户保持在上线状态;
如果认证不通过,所述数据平面将被临时认证上线的用户进行下线处理。
11.根据权利要求7至10中任一项所述的装置,其特征在于,所述检测模块还用于:统计从所述数据平面发出的报文的第一数量;
统计所述数据平面接收到的控制平面报文的第二数量;
如果第一数量与所述第二数量的差超出容错范围,则表明所述数据平面与所述控制平面之间的通信状态异常。
12.根据权利要求7至10中任一项所述的装置,其特征在于,所述检测模块还用于:检测所述数据平面与所述控制平面之间的开放流连接是否已断开;
如果已断开,则表明所述数据平面与所述控制平面之间的通信状态异常。
说明书 :
认证方法和装置
技术领域
[0001] 本公开涉及通信技术领域,尤其涉及一种认证方法和装置。
背景技术
[0002] 图1是实验室组网的示意图。如图1所示,用户在使用转控分离功能时,主要通过命令配置设备例如BRAS(Broadband Remote Access Server,宽带远程接入服务器)上IPOE(Internet Protocol over Ethernet,基于以太网的互联网协议)的身份角色。BRAS作为DP(Data Plane,数据平面)时,IPOE负责对控制报文和数据报文的分流处理、IPOE表项下发驱动、QOS(Quality of Service,业务质量)下发、ARP(Address Resolution Protocol,地址解析协议)\ND(Neighbor Discover,邻居发现)下发等。经过DP上的IPOE的报文分流后,需要进行认证的报文会发送到作为CP(Controller Plane,控制平面)的BRAS上进行认证。CP上认证处理与未分离时基本一致。CP上的IPOE会将上线后的用户信息通过openflow(开放流)下发给DP,由DP上发驱动、QOS和ARP\ND。
[0003] 当作为CP的设备瘫痪,或者CP与DP之间的某处连接断开时,用户将无法上线,造成大面积的用户无法上网。
发明内容
[0004] 有鉴于此,本公开提出了一种认证方法和装置。
[0005] 根据本公开的一方面,提供了一种认证方法,包括:
[0006] 检测接入设备中的数据平面与控制平面之间的通信状态;
[0007] 在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。
[0008] 根据本公开的另一方面,提供了一种认证装置,包括:
[0009] 检测模块,用于检测接入设备中的数据平面与控制平面之间的通信状态;
[0010] 临时认证模块,用于在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。
[0011] 通过本公开实施例,可以判断CP与DP之间的通信状态是否存在异常,当CP与DP之间的通信状态异常时,DP对请求认证的用户临时认证,实现用户上线过程中的无感知切换,保证异常情况下的用户的正常上线及转发。
[0012] 进一步地,当CP与DP之间的通信状态恢复正常时,DP可以将被临时认证上线的用户的认证信息发送至CP重新进行认证,逃生时用户流量仍可正确统计,并在逃生结束后同步。逃生期间错误上线的用户,将会在逃生结束后自动下线并进入黑名单,后续也将不能再上线。
[0013] 根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
[0014] 包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
[0015] 图1是实验室组网的示意图。
[0016] 图2示出根据本公开一实施例的认证方法的流程图。
[0017] 图3示出根据本公开另一实施例的认证方法的应用场景示意图。
[0018] 图4示出根据本公开另一实施例的认证方法的中逃生机制开启流程图。
[0019] 图5示出根据本公开另一实施例的认证方法的中逃生机制实现流程图。
[0020] 图6示出根据本公开一实施例的一种认证装置的框图。
[0021] 图7示出根据本公开一实施例的一种认证装置的另一框图。
[0022] 图8示出根据本公开一实施例的一种认证装置的框图。
具体实施方式
[0023] 以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
[0024] 在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
[0025] 另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
[0026] 图2示出根据本公开一实施例的认证方法的流程图。如图2所示,该认证方法包括:
[0027] 步骤101、检测接入设备中的数据平面与控制平面之间的通信状态;
[0028] 步骤102、在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。
[0029] 在使用转控分离功能时,通过命令可以配置BRAS上IPOE的身份角色,BRAS中可以包括数据平面(DP)和控制平面(CP)。在DP与CP之间的通信状态正常的情况下,DP将收到的IPOE的报文中需要进行认证的报文发送到CP上进行认证。在DP与CP之间的通信状态异常的情况下,DP可以启动逃生机制,由DP对请求认证的用户进行临时认证。
[0030] 数据平面启动逃生机制后,将自身的工作模式从数据转发模式切换为临时认证模式。在数据平面处于临时认证模式的情况下,可以对请求认证的用户进行临时认证。在一种可能的实现方式中,步骤102中,所述数据平面对请求认证的用户进行临时认证,包括以下方式的任意一种:
[0031] 方式一、数据平面将收到的用户的认证请求发送至认证服务器例如AAA(Authentication、Authorization、Accounting,验证、授权和记账)服务器进行认证。
[0032] 方式二、数据平面允许请求认证的限定用户上线。
[0033] 例如,在DP上可以预先配置限定的用户名的域、地址、网段等信息,如果请求认证的用户是属于预先配置的限定的用户名的域、地址、网段内的用户,则可以允许该用户上线。
[0034] 方式三、数据平面在设定时间段内允许请求认证的用户上线。
[0035] 例如,在DP上可以预先设定在一段时间例如10分钟内允许请求认证的所有用户上线。在这段时间内,如果收到用户的认证请求,直接不对该用户进行认证,就允许该用户上线。过了设定时间段,再收到用户的认证请求,则不允许该用户上线。设定时间段长短可以根据需求灵活限定,最长可以是不限时,直到CP恢复认证功能为止。
[0036] 在本实施例中,DP的工作模式可以包括数据转发模式和临时认证模式。在数据转发模式时,DP主要负责对控制报文和数据报文的分流处理、IPOE表项下发驱动、QOS下发、ARP\ND下发等。在临时认证模式时,DP可以使请求上线的用户经过临时认证后上线。在DP与CP通信状态正常的情况下,DP处于数据转发模式。在DP与CP通信状态异常(例如CP瘫痪、CP与DP之间的某处连接断开等)的情况下,DP处于临时认证模式。
[0037] 在一种可能的实现方式中,如果用户是被临时认证上线的用户,可以记录被临时认证上线的用户的认证信息。然后,该认证方法还包括:所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,如果认证通过,则将被临时认证上线的用户保持在上线状态;如果认证不通过,所述数据平面将被临时认证上线的用户进行下线处理。
[0038] 此外,还可以为被临时认证上线的用户设置临时上线标识(或称为逃生标识)。例如,在一个表中记录具有逃生标识的用户的信息,在CP上线后,DP将该表中的用户的信息发送至CP进行认证。
[0039] 进一步地,DP在向被临时认证上线的用户返回会话信息(session)时,可以带上该逃生标识,以使得用户知道目前处于临时上线阶段,存在被下线的可能,从而做好备份等工作。
[0040] 在本实施例中,DP启动逃生机制后,可以继续检测DP与CP之间的通信状态。如果检测到DP与CP之间的通信状态恢复正常,可以关闭逃生机制,并将被临时认证上线的用户的信息例如:用户名、密码等发送至CP,由CP对这些用户重新进行认证。
[0041] 在一种可能的实现方式中,所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,包括:
[0042] 所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,如果认证通过,则将被临时认证上线的用户保持在上线状态;
[0043] 如果认证不通过,所述数据平面将被临时认证上线的用户进行下线处理。
[0044] 例如,DP关闭逃生机制后,将工作模式从临时认证模式切换回数据转发模式,将具有逃生标识的被临时认证上线的用户的认证信息发送至CP。由CP发送到认证服务器重新进行认证。如果认证通过,则将被临时认证上线的用户保持在上线状态。如果认证不通过,DP将被临时认证上线的用户进行下线处理,并将下线处理的用户的信息记入黑名单。后续,如果DP收到黑名单中的用户的上线请求,可以直接进行上线失败处理。
[0045] 在一种可能的实现方式中,在步骤101中,检测数据平面与控制平面之间的通信状态的方案可以有多种,示例如下:
[0046] 方案一:统计从所述数据平面发出的报文的第一数量;统计所述数据平面接收到的控制平面报文的第二数量;如果第一数量与所述第二数量的差超出容错范围,则表明所述数据平面与所述控制平面之间的通信状态异常。
[0047] 例如,统计从DP发往VXLAN(Virtual Local Area Network,虚拟可扩展局域网)隧道的认证报文的第一数量。统计DP接收到的CP的回应报文的第二数量。如果第一数量与所述第二数量的差距超出容错范围,或间隔设定时长未收到所述CP的回应报文,则DP向所述CP发送ICMP请求报文。如果未收到来自所述CP的ICMP回应报文,表明DP与CP之间通信状态异常。
[0048] 其中,DP可以向CP发送一次ICMP请求报文,如果未收到CP返回的ICMP回应报文,则认为DP与CP通信状态异常。如果DP能够收到来自CP的ICMP回应报文,可以表明DP与CP之间通信状态正常。DP也可以向CP发送多次ICMP请求报文,如果多次均未收到CP返回的ICMP回应报文,则认为DP与CP通信状态异常。如果DP能够收到来自CP的一个或多个ICMP回应报文,可以表明DP与CP之间通信状态正常。DP对CP进行ICMP的次数可以根据实际应用的需求进行设置,本实施例中对此不做限定。
[0049] 方案二:检测所述数据平面与所述控制平面之间的开放流连接是否已断开;如果已断开,则表明所述数据平面与所述控制平面之间的通信状态异常。
[0050] 例如,检测所述DP与所述CP之间的开放流是否已断开;如果已断开,则启动BFD(Bidirectional Forwarding Detection,双向转发检测);如果在设定时长内所述DP与所述CP之间的开放流重连未成功,则表明所述DP与所述CP之间通信状态异常。
[0051] 在本实施例中,可以检测CP与DP之间的通信状态是否存在异常,当CP与DP之间的通信状态异常时,DP可以启动逃生机制,允许请求认证的用户临时上线,实现用户上线过程中的无感知切换,保证异常情况下的用户的正常上线及转发。
[0052] 进一步地,当CP与DP之间的通信状态恢复正常时,DP可以将被临时认证上线的用户的认证信息发送至CP重新进行认证,逃生时用户流量仍可正确统计,并在逃生结束后同步。逃生期间错误上线的用户,将会在逃生结束后自动下线并进入黑名单,后续也将不能再上线。
[0053] 此外,当CP与DP之间的通信状态出现异常时,如果DP收到已上线用户的流量,可以直接转发该用户的流量,因此已上线用户上线可以实现无感转发。
[0054] 图3示出根据本公开另一实施例的认证方法的应用场景示意图。图4示出根据本公开另一实施例的认证方法的中逃生机制开启流程图。图5示出根据本公开另一实施例的认证方法的中逃生机制实现流程图。由于DP可能空闲,且有独立完成认证转发的能力。本公开采用的逃生机制的主要包括:当作为CP,或者CP与DP之间的某处连接断开时,用户可以通过DP进行临时认证上线,并记录表项。当CP恢复正常,或者CP与DP之间中断的通信状态恢复时,用户上线的认证可以正常切换回CP。
[0055] 在本实施例中,认证方法可以包括以下步骤:
[0056] 步骤301、如图4所示,系统通过命令行开关使能逃生机制。
[0057] 步骤302、DP向CP申请500个预留地址段(默认500个,用户可通过命令行进行修改)[0058] 步骤303、DP判断与CP的通信状态是否异常。在本公开中,采用以下两种方案进行示例性说明,但不限于这两种方案。
[0059] 方案一:
[0060] (401)在DP的用户入口处设置计数器1,如图3所示。用户上线后,计数器1用来实时统计发往VXLAN(virtual Extensible LAN虚拟可扩展局域网)隧道认证的报文个数。如图3所示,在DP与CP,或DP与交换机间设置计数器2,用来实时统计CP回应的报文的个数。
[0061] (402)通过DP上的IPOE的报文分流后,需要进行认证的报文会发送到CP上进行认证。CP上的IPOE会将上线后的用户信息通过openflow下发给DP,并将上线用户的表项同步到DP,未认证成功的用户则返回相应的log(日志)信息给DP。
[0062] 例如,DP判断用户是否为新接入用户,如果不是新接入用户,可以直接转发该用户的流量。如果是新接入用户,DP将该用户的报文交给CP进行认证处理。CP可以创建一个IPOE会话,记录用户信息。然后向AAA服务器发送认证请求,如果认证成功,可以生成IPOE会话表项。如果认证失败,可以生成IPOE失败的日志(log)。如果DP收到该失败的日志,计数器2的数值加1。
[0063] (403)计数器2用于统计表项个数(成功登陆的用户数)和失败log条数(认证失败的用户数)的总和sum(sum=表项个数+失败log条数)。
[0064] (404)如果计数器2持续收到来到来自CP的消息(计数器2的计数持续变化),则每隔五分钟(在一种示例中,等待时长默认为5分钟,用户可通过命令行进行修改,其值在1~60,单位为分钟)将计数器1和计数器2的sum值进行比较。
[0065] 例如,比较计数器1减计数器2的值是否超过容错范围(或称为冗余范围)。如果两数值间的差距在容错范围(在一种示例中,容错范围默认为10%,用户也可通过命令进行修改,容错自定义可选范围为0~100)内,则判断通信状态正常(返回继续等待五分钟后再比较)。如果两数值间的差距超过容错范围,或者计数器2在两分钟(在一种示例中,等待时长默认为2分钟,用户可通过命令行进行修改,其值在0~30,单位为分钟)内没有收到来自CP的消息(计数器2的计数长时间不变),DP会主动发送ICMP报文进行探测。
[0066] (405)当DP发出了ICMP的request(请求)报文后,收到了来自CP的reply(回应)报文,则表明通信状态正常。
[0067] 当DP发出了ICMP的request报文后,没有收到来自CP的reply报文,则可能表示通信状态异常。也可以在多次探测后再确定通信状态异常。例如,如果DP没有收到来自CP的reply报文,则再次发出了ICMP的request报文,如果DP连续发出三次(在一种示例中,发出ICMP的request报文的次数默认为3次,可通过命令进行修改)ICMP报文均未收到回应时,表明通信状态异常,可以采用命令行(可以预先定义一些命令行,在出现通信状态异常的情况时,该命令行自动运行)自动切换,开启(启动)逃生机制。
[0068] 方案二:
[0069] DP上判断CP与DP间openflow已断开连接。启动BFD(Bidirectional Forwarding Detection,双向转发检测),如果两分钟(在一种示例中,默认为2分钟,可通过命令进行修改)内,用openflow没有重连成功,表明通信状态异常,命令行自动切换,开启逃生机制。
[0070] 步骤304、启动逃生机制后,DP通过命令行将自己的工作模式切换为临时认证模式。当新的用户上线时,用户在DP上完成临时认证并上线,并将上线用户通过用户名、密码、流量信息等通过符号E(代表escape,表示逃生)进行标识,统一写入例如下表1中。
[0071] 表1被临时认证用户表
[0072]
[0073] 步骤305、如图5所示,DP每五分钟(例如,默认为5分钟,用户可通过命令行进行修改,其值在1~60,单位为分钟)向CP发起一次ICMP探测。
[0074] 步骤306、当CP回应DP时,表明CP与DP间的通信状态恢复正常。DP可以关闭逃生机制。将工作模式切换回data-plane(数据平面)的数据转发模式,并向计数器1和计数器2发送计数清零请求,将计数器1和计数器2的值清零。
[0075] 步骤307、关闭逃生机制后,DP将已标识的被临时认证的用户信息从表中取出。将这些用户的用户名和密码,优先发送到CP上进行认证。如果认证通过,用户保持在线,流量信息进行同步。如果认证不通过,则将DP上未通过认证的用户进行下线处理(步骤309)。此外,还可以将这些下线的用户信息存入DP上的黑名单表中(步骤310)。黑名单中的用户再次使用该用户名和密码上线时,直接进行失败处理,将这些用户下线。
[0076] 其中,关闭逃生机制后,DP判断用户是否为新用户,如果是新用户,则执行步骤308的新用户认证流程。如果不是新用户,且是表1中的未认证上线的用户,将执行步骤307该用户的报文给CP进行重新认证处理。CP可以创建一个IPOE会话,记录用户信息。然后向AAA服务器发送认证请求,如果认证成功,可以生成IPOE会话表项,并同步给DP,使得计数器2数值加1。如果认证失败,可以生成IPOE失败的日志(log)。如果DP收到该失败的日志,计数器2的数值加1。
[0077] 表2黑名单表
[0078]
[0079] 步骤308、新上线用户的IPOE的报文通过DP发送到CP上进行认证,然后通过openflow下发给DP,恢复正常的转发认证(参见图4的步骤401至步骤405)。
[0080] 在本实施例中,可以判断CP与DP之间的通信状态是否存在异常,例如采用计数器1和计数器2分别进行数据统计,并行对比。出现异常时,已上线用户上线可以实现无感转发。
[0081] 进一步地,当CP与DP之间的通信状态异常时,DP及时切换逃生机制,由DP对请求认证的用户临时认证,实现用户上线过程中的无感知切换,保证异常情况下的用户的正常上线及转发。
[0082] 进一步地,当CP与DP之间的通信状态恢复正常时,用户可实现无感知认证和流量统计,并将无法通过认证的用户下线,并记录黑名单。逃生时用户流量仍可正确统计,并在逃生结束后同步。逃生期间错误上线的用户,将会在逃生结束后自动下线并进入黑名单,后续也将不能再上线。
[0083] 图6示出根据本公开一实施例的一种认证装置的框图。如图6所示,该认证装置可以包括:
[0084] 检测模块41,用于检测接入设备中的数据平面与控制平面之间的通信状态;
[0085] 临时认证模块43,用于在所述数据平面与所述控制平面之间通信状态异常时,所述数据平面对请求认证的用户进行临时认证。
[0086] 在一种可能的实现方式中,所述临时认证模块43还用于执行以下方式的任意一种:
[0087] 所述数据平面将收到的用户的认证请求发送至认证服务器进行认证;或者,[0088] 所述数据平面允许请求认证的限定用户上线;或者,
[0089] 所述数据平面在设定时间段内允许请求认证的用户上线。
[0090] 在一种可能的实现方式中,如图7所示,该认证装置还包括:
[0091] 发送模块45,用于在所述数据平面与所述控制平面之间的通信状态恢复正常时,所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证。
[0092] 在一种可能的实现方式中,所述发送模块45还用于:所述数据平面将被临时认证上线的用户的认证信息发送至所述控制平面进行认证,如果认证通过,则将被临时认证上线的用户保持在上线状态;如果认证不通过,所述数据平面将被临时认证上线的用户进行下线处理。
[0093] 例如,关闭逃生机制后,将工作模式从临时认证模式切换回数据平面模式,发送模块45将具有逃生标识的被临时认证上线的用户的认证信息发送至所述控制平面重新进行认证,如果认证通过,则将所述被临时认证上线的用户保持在上线状态。如果认证不通过,将被临时认证上线的用户进行下线处理,并将下线处理的用户的信息记入黑名单。如果收到所述黑名单中的用户的上线请求,进行上线失败处理。
[0094] 在一种可能的实现方式中,所述检测模块41可以采用多种方案来检测数据平面与控制平面之间的通信状态。
[0095] 方案一、所述检测模块41还用于:统计从所述数据平面发出的报文的第一数量;统计所述数据平面接收到的控制平面报文的第二数量;如果第一数量与所述第二数量的差超出容错范围,则表明所述数据平面与所述控制平面之间的通信状态异常。
[0096] 例如,统计从所述数据平面发往VXLAN隧道的认证报文的第一数量;统计所述数据平面接收到的所述控制平面的回应报文的第二数量;如果第一数量与所述第二数量的差距超出容错范围,或间隔设定时长未收到所述控制平面的回应报文,则所述数据平面向所述控制平面发送ICMP请求报文;如果未收到来自所述控制平面的ICMP回应报文,表明所述数据平面与所述控制平面之间通信状态异常。
[0097] 方案二、所述检测模块41还用于:检测所述数据平面与所述控制平面之间的开放流连接是否已断开;如果已断开,则表明所述数据平面与所述控制平面之间的通信状态异常。
[0098] 例如,检测所述数据平面与所述控制平面之间的开放流是否已断开;如果已断开,则启动BFD。如果在设定时长内所述数据平面与所述控制平面之间的开放流重连未成功,则表明所述数据平面与所述控制平面之间通信状态异常。
[0099] 在本实施例中,检测模块41可以检测CP与DP之间的通信状态是否存在异常,当CP与DP之间的通信状态异常时,DP的临时认证模块对请求认证的用户临时认证,实现用户上线过程中的无感知切换,保证异常情况下的用户的正常上线及转发。
[0100] 进一步地,当CP与DP之间的通信状态恢复正常时,DP可以将被临时认证上线的用户的认证信息发送至CP重新进行认证,逃生时用户流量仍可正确统计,并在逃生结束后同步。逃生期间错误上线的用户,将会在逃生结束后自动下线并进入黑名单,后续也将不能再上线。
[0101] 此外,当CP与DP之间的通信状态出现异常时,如果DP收到已上线用户的流量,可以直接转发该用户的流量,因此已上线用户上线可以实现无感转发。
[0102] 关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
[0103] 图8示出根据本公开一实施例的一种认证装置的框图。参照图8,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与认证逻辑对应的机器可执行指令以执行上文所述的认证方法。
[0104] 本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
[0105] 以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。