接入认证方法、装置、电子设备及计算机可读存储介质与流程

1.本技术涉及链路汇聚组技术领域，具体而言，涉及一种接入认证方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.随着网络应用越来越丰富多样，lacp(link aggregation control protocol，链路汇聚控制协议)技术在网络中的应用越来越广泛，通过lacp建立链路汇聚组的优势明显，可以做到链路级备份或者扩展链路带宽。
3.在实际应用中，lacp常常应用于网络的核心层、汇聚层、接入层等各个层级，从数据重要性和安全性的角度而言，核心层》汇聚层》接入层。在采用lacp的组网中，当lacp应用在上下层级之间(如汇聚层和接入层之间)时，客户总是希望重要性更高的上层网络得到更多的安全保障。比如金融行业，数据中心网络的安全性、重要性更高，处于核心层网络，那么对于接入层的设备而言，其想要访问数据中心网络时，客户总希望其能通过汇聚网络的安全控制应用检验后才允许其接入，而非任何设备只要接入都能访问核心层网络。
4.但是当前的链路汇聚组技术没有安全控制策略，作为动态路由协议在交互过程中容易受到伪造报文的攻击，在安全级别有更高需求的场景中，链路汇聚组技术具有较高的应用风险。


技术实现要素：

5.本技术实施例的目的在于提供一种接入认证方法、装置、电子设备及计算机可读存储介质，用以提高动态链路汇聚场景中的安全性。
6.本技术实施例提供了一种接入认证方法，应用于上层设备，包括：根据待接入的下层设备的设备属性，认证所述下层设备是否合法；若认证所述下层设备为非法设备，拒绝所述下层设备接入；若认证所述下层设备为合法设备，根据所述下层设备的接口属性，认证所述上层设备与所述下层设备之间的汇聚组成员接口所在的每一条链路是否安全；如有汇聚组成员接口所在的链路认证为不安全，则关闭该汇聚组成员接口所在的物理链路。
7.应理解，在实际应用过程中，当下层设备想要访问上层设备的数据时，如果它们之间没有任何安全控制策略，那么会存在两个问题：1、任何处于下层网络的下层设备都能接入并访问上层设备的数据，导致存在设备级风险。2、下层设备与上层设备之间的动态链路汇聚链路也容易受到伪造的报文攻击，导致存在链路级安全风险。在上述实现过程中，通过先根据待接入的下层设备的设备属性，认证该下层设备的合法性，进而在该下层设备为非法设备时，直接拒绝该下层设备接入，从而实现了设备级的安全认证，降低了设备级的接入风险。而在该下层设备合法性认证通过时，通过该下层设备的接口属性，认证上层设备与该下层设备之间的汇聚组成员接口所在的每一条链路是否安全，并将链路认证为不安全的汇聚组成员接口的物理链路关闭，从而实现了链路级的安全认证，降低了链路级的接入风险。这样，即有效解决了上述两个问题，既保证了下层设备通过链路汇聚组技术接入上层网络
时，接入进来的下层设备(即设备级)的安全性，又保证了上层设备与下层设备之间用于信息交互的链路(即链路级)的安全性，提高了动态链路汇聚场景中的安全性，降低了在安全级别有更高需求的场景中，链路汇聚组技术的应用风险。
8.进一步地，在根据待接入的下层设备的设备属性之前，所述方法还包括：从各所述链路汇聚组成员接口中选取出主接口；接收所述下层设备通过所述主接口返回的设备属性和主接口属性；根据所述下层设备的接口属性，认证所述上层设备与所述下层设备之间的每一条链路是否安全，包括：根据所述主接口属性，认证所述上层设备与所述下层设备之间的主链路是否安全；所述主链路为所述主接口对应的链路；分别通过所述上层设备与所述下层设备之间的各从接口，接收所述下层设备上报的各从接口的从接口属性；所述从接口为所述上层设备与所述下层设备之间的链路汇聚组所有成员接口中，除所述主接口以外的其他接口；根据各所述从接口属性，分别认证所述上层设备与所述下层设备之间的各从链路是否安全；所述从链路为所述从接口对应的链路。
9.在上述实现过程中，通过先从各链路汇聚组成员接口中选取出主接口，从而通过主接口获取到下层设备的设备属性和主接口属性，从而可以实现设备级认证以及主接口的链路级认证。然后通过各从接口获取下层设备的各从接口的从接口属性，从而实现各从接口的链路级认证。这样，即可以有效实现了对于下层设备的设备级与链路级认证，提高了动态链路汇聚场景中的安全性，降低了在安全级别有更高需求的场景中，链路汇聚组技术的应用风险。
10.进一步地，从各所述链路汇聚组成员接口中选取出主接口，包括：获取各所述链路汇聚组成员接口的接口优先级；选取出接口优先级最高的目标链路汇聚组成员接口；所述目标链路汇聚组成员接口为所述主接口。
11.在上述实现过程中，基于接口优先级来实现对于主接口的选取，从而可以保证用于获取下层设备的设备属性和接口属性的主接口是接入后使用优先级最高的汇聚组成员接口，从而实现对于优先级最高的主接口的优先认证。
12.进一步地，在所述目标链路汇聚组成员接口为多个时，所述方法还包括：获取各所述目标链路汇聚组成员接口的接口身份标识，选取接口身份标识最小或最大的所述目标链路汇聚组成员接口为所述主接口；或，获取各所述目标链路汇聚组成员接口的mac(media access control，媒体访问控制)地址，选取mac地址值最小或最大的所述目标链路汇聚组成员接口为所述主接口。
13.在上述实现过程中，基于汇聚组成员接口的接口身份标识或mac地址，可以快速实现对于主接口的确定，从而保证方案的正常执行。
14.进一步地，根据待接入的下层设备的设备属性，认证所述下层设备是否合法，包括：在预设的可认证列表中，查询是否存在与所述设备属性相匹配的可信表项；若存在，确定所述下层设备为合法设备；若不存在，确定所述下层设备为非法设备。
15.在上述实现方式中，通过配置可认证列表，进而基于可认证列表和设备属性实现下层设备的合法性验证，该方案可控性高，且实现简单，利于在工业应用中推广。
16.进一步地，根据所述下层设备的接口属性，认证所述上层设备与所述下层设备之间的每一条链路是否安全，包括：根据所述下层设备的接口属性计算出，每一条链路对应的目标认证参考值；接收所述下层设备通过每一条链路分别传来的接口认证参考值；所述接
口认证参考值为所述下层设备中，各链路对应的链路汇聚组成员接口根据所述下层设备的接口属性计算出的值；针对每一条链路，判断通过该链路接收到的所述下层设备传来的接口认证参考值，是否与该链路对应的目标认证参考值一致；若一致，确定该链路安全；否则，确定该链路不安全。
17.在上述实现方式中，通过比对接口认证参考值和链路对应的目标认证参考值是否一致，可以有效识别出该链路中传输的数据是否被篡改，从而实现对于链路的安全认证。该方案实现简单、可靠，利于工业推广。
18.进一步地，所述接口属性包括：接口身份标识；所述接口认证参考值为所述下层设备中，所述链路汇聚组成员接口按照预设认证算法对所述下层设备的接口身份标识以及所述下层设备中预设的认证密码进行计算得到的值；所述目标认证参考值为所述上层设备按照预设的所述认证算法对所述下层设备的接口身份标识以及预设的所述认证密码进行计算得到的值。
19.在上述实现方式中，通过预设认证算法的方式，基于接口身份标识和认证密码计算得到接口认证参考值和目标认证参考值，可以实现上层设备与下层设备之间的有效认证，保证链路级的认证可靠性。
20.进一步地，所述方法还包括：在监测到所述下层设备由合法设备变为非法设备时，断开所述下层设备的接入。
21.在上述实现方式中，当监测到下层设备由合法设备变为非法设备时，自动断开该下层设备的接入，可以实现设备级的自动化安全控制，从而保证上层设备的信息安全性。
22.进一步地，所述方法还包括：在监测到任一链路的认证结果由安全切换为不安全时，关闭该链路对应的汇聚组成员接口所在的物理链路。
23.在上述实现方式中，在任一链路的认证结果由安全切换为不安全时，即关闭该链路对应的汇聚组成员接口所在的物理链路，从而可以实现对于存在风险的链路的有效控制，保证下层设备接入过程中的链路可靠性。
24.本技术实施例还提供了一种接入认证方法，应用于下层设备，包括：向上层设备发送自身的设备属性与接口属性，以供所述上层设备根据所述设备属性认证所述下层设备是否合法，以及根据所述接口属性认证所述上层设备与所述下层设备之间的每一条链路是否安全。
25.在上述实现过程中，通过向上层设备发送自身的设备属性与接口属性，从而可以使得上层设备得以根据该设备属性认证下层设备的合法性，实现设备级认证，并根据接口属性认证下层设备与上层设备之间的各链路的安全性，从而在实现链路级安全认证的同时，也实现了设备级的合法性认证，从而提高了动态链路汇聚场景中的安全性，降低了在安全级别有更高需求的场景中，链路汇聚组技术的应用风险。
26.进一步地，所述方法还包括：在通过与所述上层设备之间的任一链路接收到认证请求时，根据自身的接口属性计算出接口认证参考值；通过该链路向所述上层设备发送所述接口认证参考值，以供所述上层设备认证该链路是否安全。
27.在上述实现过程中，通过各链路向上层设备上报计算出的接口认证参考值，从而可以使得上层设备得以根据各链路传来的接口认证参考值，准确确定出该链路的安全性，从而保证了接入过程的链路级安全。
28.本技术实施例还提供了一种接入认证装置，应用于上层设备，包括：认证模块和接入控制模块；所述认证模块，用于根据待接入的下层设备的设备属性，认证所述下层设备是否合法；以及用于，在认证所述下层设备为合法设备时，根据所述下层设备的接口属性，认证所述上层设备与所述下层设备之间的每一条链路是否安全；所述接入控制模块，用于若认证所述下层设备为非法设备，拒绝所述下层设备接入；以及用于关闭目标链路对应的链路汇聚组成员接口的数据转发能力；所述目标链路为认证结果为不安全的链路。
29.本技术实施例还提供了一种接入认证装置，应用于下层设备，包括：发送模块，用于向上层设备发送自身的设备属性与接口属性，以供所述上层设备根据所述设备属性认证所述下层设备是否合法，以及根据所述接口属性认证所述上层设备与所述下层设备之间的每一条链路是否安全。
30.本技术实施例还提供了一种电子设备，包括处理器、存储器及通信总线；所述通信总线用于实现处理器和存储器之间的连接通信；所述处理器用于执行存储器中存储的一个或者多个程序，以实现上述任一种的接入认证方法。
31.本技术实施例中还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述任一种的接入认证方法。
附图说明
32.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
33.图1为本技术实施例提供的一种接入认证方法的流程示意图；
34.图2为本技术实施例提供的一种链路级认证过程的流程示意图；
35.图3为本技术实施例提供的一种应用于上层设备上的接入认证装置的结构示意图；
36.图4为本技术实施例提供的一种应用于下层设备上的接入认证装置的结构示意图；
37.图5为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
38.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
39.实施例一：
40.当前的链路汇聚组技术没有安全控制策略，作为动态路由协议在交互过程中容易受到伪造报文的攻击。
41.在实际应用过程中，链路汇聚组中的下层设备想要访问上层设备的数据时，如果它们之间没有任何安全控制策略，那么会存在两个问题：1、任何处于下层网络的下层设备都能接入并访问上层设备的数据，导致存在设备级风险。2、下层设备与上层设备之间的动态链路汇聚链路也容易受到伪造的报文攻击，导致存在链路级安全风险。
42.因此，需要提高动态链路汇聚场景中上层设备与下层设备之间的接入安全性。为此，本技术实施例中提供了一种接入认证方法。
43.在本技术实施例提供的接入认证方法中，上层设备在接收到下层设备的接入请求时，即针对该下层设备进行设备的合法性认证，并针对与该下层设备之间的每一条链路进行链路安全认证。
44.应理解，链路汇聚组技术常常应用于网络的核心层、汇聚层、接入层等各个层级，从数据重要性和安全性的角度而言，核心层》汇聚层》接入层。在本技术实施例中，上层设备是指数据重要性和安全性需求更高的网络中的设备，而下层设备是指数据重要性和安全性需求相对更低的网络中的设备。比如，对于接入层和汇聚层的设备而言，接入层设备是汇聚层设备的下层设备，汇聚层设备是接入层设备的上层设备。而对于汇聚层和核心层的设备而言，汇聚层设备是核心层设备的下层设备，核心层设备是汇聚层设备的上层设备。
45.应理解，上层设备与下层设备是一个相对的概念。比如，对于接入层和汇聚层的设备而言，接入层设备是汇聚层设备的下层设备，汇聚层设备是接入层设备的上层设备。而对于汇聚层和核心层的设备而言，汇聚层设备是核心层设备的下层设备，核心层设备是汇聚层设备的上层设备。
46.还需要说明的是，在本技术实施例所提供的方案中，在下层设备请求接入上层设备时，应当对上层设备与下层设备之间的每一个汇聚组成员接口都进行接口认证，以验证各汇聚组成员接口对应的链路是否安全。
47.在本技术实施例中，可以参见图1所示，图1为示出了本技术实施例中提供的接入认证方法的基本流程，包括：
48.s101：待接入的下层设备向上层设备发送自身的设备属性与接口属性。
49.需要说明的是，在实际应用过程中，待接入的下层设备可以首先向希望接入的上层设备发送接入请求。而上层设备在接收到该接入请求后，可以向该待接入的下层设备发送认证请求，以请求下层设备上报自身的设备属性与接口属性。
50.在本技术实施例中，设备属性可以包括设备类型、设备身份标识等信息。在本技术实施例中，接口属性可以包括接口身份标识、接口优先级、接口的mac地址等信息中的一种或多种。
51.s102：上层设备根据待接入的下层设备的设备属性，认证该下层设备是否合法。若认证该下层设备为非法设备，则执行步骤s103；若认证该下层设备为合法设备，则执行步骤s104。
52.在本技术实施例中，上层设备中可以预先配置一个可认证列表，在该列表中，可以预先写入各合法设备的设备属性。进而在判断下层设备是否为合法设备时，可以在预设的可认证列表中，查询是否存在与该下层设备的设备属性相匹配的可信表项。若存在，即可确定该下层设备为合法设备；若不存在，则确定该下层设备为非法设备。
53.应理解，上述认证下层设备是否为合法设备的方式仅为本技术实施例提供的一种可行实现方式，不作为对于本技术实施例方案的限制。
54.s103：拒绝该下层设备接入。
55.在本技术实施例中，在确定该下层设备为非法设备时，即可以直接拒绝该下层设备的接入，从而保证上层设备的安全。此时可以无需再进行后续步骤。即无需再进行链路级
的认证。
56.s104：根据该下层设备的接口属性，认证上层设备与该下层设备之间的汇聚组成员接口所在的每一条链路是否安全。
57.需要注意的是，在本技术实施例中，上层设备在接收到下层设备的接入请求时，可以先从各汇聚组成员接口中选取出主接口，进而通过该主接口向该待接入的下层设备发送认证请求。
58.在本技术实施例中，认证请求中可以携带有要求该下层设备上报设备属性和主接口属性的请求信息。
59.可选的，在认证请求中还可以携带认证属性，该认证属性中包括表征进行主认证的认证方式信息，以便下层设备知晓需要认证设备合法性和认证主接口所在的主链路的安全性。
60.下层设备可以通过该主接口所在的主链路，返回自身的设备属性和主接口属性，从而基于设备属性进行设备级的合法性认证，在设备级认证通过后(即确定该下层设备为合法设备)后，基于主接口属性，认证上层设备与下层设备之间的主链路是否安全，实现对于主链路的安全性认证。
61.在主链路的安全性认证结束后，再通过上层设备与下层设备之间的各从接口，接收下层设备上报的各从接口的从接口属性。进而根据各从接口属性，分别认证上层设备与下层设备之间的各从链路是否安全，实现完整的链路级认证。
62.需要说明的是，在本技术实施例中，从接口为上层设备与下层设备之间的链路汇聚组所有成员接口中，除主接口以外的其他接口，而从链路为从接口对应的链路。
63.还需要说明的是，在针对各从链路进行链路级认证时，上层设备可以通过各从链路向该下层设备分别下发认证请求。
64.而在该认证请求中，可以携带要求该下层设备上报该从链路对应的从接口属性的请求信息，而不携带要求该下层设备上报设备属性的请求信息。
65.可选的，在认证请求中还可以携带认证属性，该认证属性中包括表征进行从认证的认证方式信息，以便下层设备知晓需要认证该从链路的安全性。
66.在本技术实施例中，为选取出主接口，可以首先获取各汇聚组成员接口的接口优先级；选取出接口优先级最高的目标汇聚组成员接口，以该目标汇聚组成员接口为主接口。
67.在目标汇聚组成员接口为多个时，可以获取各目标汇聚组成员接口的接口身份标识，选取接口身份标识最小或最大的目标汇聚组成员接口为主接口。或者，也可以获取各目标汇聚组成员接口的mac地址，选取mac地址值最小或最大的目标汇聚组成员接口为主接口。
68.在本技术实施例中，对于汇聚组成员接口的接口优先级、接口身份标识以及mac地址等信息，可以由上层设备在选取前主动向各汇聚组成员接口请求获取得到。
69.在本技术实施例中，针对每一条链路，参见图2所示，通过以下方式认证是否安全：
70.s201：上层设备根据该下层设备各链路汇聚组成员接口的接口属性计算出，每一条链路对应的目标认证参考值。
71.s202：通过各链路，分别向该下层设备发送认证请求。
72.s203：下层设备根据接收到认证请求的链路对应的链路汇聚组成员接口的接口属
性，计算出接口认证参考值。
73.s204：通过该接收到认证请求的链路向上层设备发送该接口认证参考值。
74.需要说明的是，步骤s201与步骤s202至s204之间没有时序限制关系，步骤s201只需要在步骤s205之前执行即可。
75.s205：针对每一条链路，判断通过该链路接收到的该下层设备传来的接口认证参考值，是否与该链路对应的目标认证参考值一致。若一致，确定该链路安全；否则，确定该链路不安全。
76.在本技术实施例中，在认证请求中还可以携带有认证属性，认证属性中包含有认证算法或认证算法标识，从而使得下层设备得以知晓应当按照何种认证算法进行接口认证参考值的计算。需要注意的是，若下层设备中仅设置有一种认证算法，那么认证请求中也可以不携带认证属性，下层设备在收到认证请求中后即自动采用该认证算法进行接口认证参考值的计算。
77.在本技术实施例中，认证算法可以采用md5(message digest algorithm，消息摘要算法)、sm3密码杂凑算法等实现，在本技术实施例中不做限制。
78.在计算接口认证参考值时，可以采用接口属性的接口身份标识或mac地址来进行计算。
79.可选的，可以根据当前传输认证请求的汇聚组成员接口的接口身份标识来计算得到接口认证参考值，或者也可以根据该下层设备的所有汇聚组成员接口的接口身份标识集合来计算得到一个接口认证参考值，或者也可以根据当前传输认证请求的汇聚组成员接口的mac地址来计算得到接口认证参考值，或者也可以根据该下层设备的所有汇聚组成员接口的mac地址集合来计算得到一个接口认证参考值。在本技术实施例中，对于用于计算得到接口认证参考值的接口属性内容并不做限制。
80.可选的，为保证数据安全性以及认证的可靠性，在本技术实施例中，在计算接口属性内容时，还可以结合预设的认证密码进行计算。示例性的，可以按照预设的认证算法，对当前传输认证请求的汇聚组成员接口的接口身份标识以及该下层设备中预设的认证密码进行计算得到的该汇聚组成员接口对应的接口认证参考值。
81.需要说明的是，认证密码可以是工程师预先在各设备中配置的，也可以是下层设备在上级网络中进行注册时，设定并分别保存在下层设备以及上级网络中相关可接入该下层设备的上层设备中的。本技术实施例中对于认证密码的具体设定以及获取方式不做限制。
82.需要说明的是，目标认证参考值为上层设备根据下层设备的接口属性计算出的值。其计算所采用的认证算法以及用于计算的具体内容，应当与要求下层设备计算接口认证参考值时的认证算法以及用于计算的具体内容一致。比如，要求下层设备采用md5算法对当前这一汇聚组成员接口的接口身份标识以及认证密码进行计算得到接口认证参考值时，那么本次用于对该汇聚组成员接口进行认证的目标认证参考值，则也应当采用md5算法对当前这一汇聚组成员接口的接口身份标识以及认证密码进行计算得到。
83.需要注意的是，若下层设备中用于计算各链路对应的接口认证参考值的接口属性不同，那么下层设备需要根据不同的接口属性分别计算出各链路的目标认证参考值。
84.比如，各链路的接口认证参考值是基于各链路对应的汇聚组成员接口自身的接口
身份标识计算出的，那么在计算目标认证参考值时，需要根据各链路的汇聚组成员接口的接口身份标识，分别计算出各链路对应的目标认证参考值。
85.此时，需要按照各链路分别进行相应接口认证参考值和目标认证参考值的比对。
86.但是，若各链路用于计算接口认证参考值的接口属性相同，那么只需计算出一个目标认证参考值即可。
87.比如，各链路的接口认证参考值都是基于下层设备的所有汇聚组成员接口的接口身份标识集合计算出的，那么在计算目标认证参考值时，上层设备只需要根据该下层设备的所有汇聚组成员接口的接口身份标识集合，计算出目标认证参考值即可。
88.s105：如有汇聚组成员接口所在的链路认证为不安全，则关闭该汇聚组成员接口所在的物理链路。
89.在本技术实施例中，在确定汇聚组成员接口所在的链路认证为安全后，即可控制该汇聚组成员接口的的物理链路保持在开启状态，从而具有数据转发能力，从而可以通过该汇聚组成员接口所在的链路实现该上层设备与该下层设备之间的数据通信。
90.相反，若确定汇聚组成员接口所在的链路认证为不安全，则需要关闭该汇聚组成员接口所在的物理链路，以确保该链路不具有数据转发能力，从而防止该上层设备与该下层设备之间的数据通过该汇聚组成员接口对应的链路，避免出现链路级的数据传输风险。
91.考虑到在实际应用过程中，在受到外部攻击、或者在用户或工程师修改了设备的某些信息(比如修改了接口身份标识)等情况时，会导致原有的认证结果不再适用。为此，在本技术实施例中，在出现上述情况时，可以将发生相应情况的汇聚组成员接口所在链路的认证结果由安全切换为不安全，并在监测到任一链路的认证结果由安全切换为不安全时，关闭该链路对应的汇聚组成员接口所在的物理链路，以保证设备接入的安全性。
92.此外，为保证安全性，在本技术实施例中可以为各认证结果设定一个保活时长，从而在保护时长达到时，自动将相应的汇聚组成员接口所在链路的认证结果由安全切换为不安全，从而关闭该链路对应的汇聚组成员接口所在的物理链路，然后重新按照上述方式进行认证。
93.类似的，在实际应用过程中，在受到外部攻击、或者在用户或工程师修改了设备的某些信息(比如修改了设备身份标识)等情况时，会导致原有的针对下层设备合法性的认证结果不再适用。为此，在本技术实施例中，在出现上述情况时，可以将该下层设备的状态从合法设备变更为非法设备，并在监测到下层设备由合法设备变为非法设备时，断开该下层设备的接入，以保证上层设备的数据安全。此时，可以重新执行上述图1的过程，重新进行接入认证。
94.此外，为保证安全性，在本技术实施例中可以为对于下层设备是否为合法设备的认证结果设定一个保活时长，从而在保护时长达到时，自动该下层设备的状态从合法设备变更为非法设备，断开该下层设备的接入，然后重新按照上述图1的过程，重新进行接入认证。
95.需要注意的是，在实际应用中，不同的场景往往具有不同的安全需求。为此，在本技术实施例中还可以提供相应的功能启用接口，从而使得用户可以根据功能启用接口，选择是否启用本技术的方案，以满足不同的场景需求。
96.本技术实施例所提供的接入认证方法，通过先根据待接入的下层设备的设备属
性，认证该下层设备的合法性，进而在该下层设备为非法设备时，直接拒绝该下层设备接入，从而实现了设备级的安全认证，降低了设备级的接入风险。而在该下层设备合法性认证通过时，通过该下层设备的接口属性，认证上层设备与该下层设备之间的汇聚组成员接口所在的每一条链路是否安全，并将链路认证为不安全的汇聚组成员接口的物理链路关闭，从而实现了链路级的安全认证，降低了链路级的接入风险。这样，即有效解决了上述两个问题，既保证了下层设备通过链路汇聚组技术接入上层网络时，接入进来的下层设备(即设备级)的安全性，又保证了上层设备与下层设备之间用于信息交互的链路(即链路级)的安全性，提高了动态链路汇聚场景中的安全性，降低了在安全级别有更高需求的场景中，链路汇聚组技术的应用风险。
97.实施例二：
98.基于同一发明构思，本技术实施例中还提供了两种接入认证装置300和400。应理解，装置300和装置400具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。装置300和装置400包括至少一个能以软件或固件的形式存储于存储器中或固化在装置300、装置400的操作系统中的软件功能模块。具体地：
99.参见图3所示，装置300应用于上层设备，包括：认证模块301和接入控制模块302。其中：
100.所述认证模块301，用于根据待接入的下层设备的设备属性，认证所述下层设备是否合法；以及用于，在认证所述下层设备为合法设备时，根据所述下层设备的接口属性，认证所述上层设备与所述下层设备之间的每一条链路是否安全；
101.所述接入控制模块302，用于若认证所述下层设备为非法设备，拒绝所述下层设备接入；以及用于关闭目标链路对应的链路汇聚组成员接口的数据转发能力；所述目标链路为认证结果为不安全的链路。
102.在本技术实施例的一种可行实施方式中，装置300还包括选取模块，用于在所述认证模块301根据待接入的下层设备的设备属性之前，从各所述链路汇聚组成员接口中选取出主接口。
103.装置300还包括接收模块，用于接收所述下层设备通过所述主接口返回的设备属性和主接口属性。
104.所述认证模块301具体用于，根据所述主接口属性，认证所述上层设备与所述下层设备之间的主链路是否安全；所述主链路为所述主接口对应的链路；分别通过所述上层设备与所述下层设备之间的各从接口，接收所述下层设备上报的各从接口的从接口属性；所述从接口为所述上层设备与所述下层设备之间的链路汇聚组所有成员接口中，除所述主接口以外的其他接口；根据各所述从接口属性，分别认证所述上层设备与所述下层设备之间的各从链路是否安全；所述从链路为所述从接口对应的链路。
105.在本可行实施方式的一种可行示例中，所述选取模块具体用于，获取各所述汇聚组成员接口的接口优先级；选取出接口优先级最高的目标汇聚组成员接口；所述目标汇聚组成员接口为所述主接口。
106.在本可行示例中，在所述目标汇聚组成员接口为多个时，所述选取模块还用于，获取各所述目标汇聚组成员接口的接口身份标识，选取接口身份标识最小或最大的所述目标汇聚组成员接口为所述主接口；或，获取各所述目标汇聚组成员接口的mac地址，选取mac地
址值最小或最大的所述目标汇聚组成员接口为所述主接口。
107.在本技术实施例中，所述认证模块301具体用于，在预设的可认证列表中，查询是否存在与所述设备属性相匹配的可信表项；若存在，确定所述下层设备为合法设备；若不存在，确定所述下层设备为非法设备。
108.在本技术实施例的一种可行实施方式中，所述认证模块301具体用于，根据所述下层设备的接口属性计算出，每一条链路对应的目标认证参考值；接收所述下层设备通过每一条链路分别传来的接口认证参考值；所述接口认证参考值为所述下层设备中，各链路对应的链路汇聚组成员接口根据所述下层设备的接口属性计算出的值；针对每一条链路，判断通过该链路接收到的所述下层设备传来的接口认证参考值，是否与该链路对应的目标认证参考值一致；若一致，确定该链路安全；否则，确定该链路不安全
109.在本可行实施方式中，所述接口属性包括：接口身份标识；所述接口认证参考值为所述下层设备中，所述链路汇聚组成员接口按照预设认证算法对所述下层设备的接口身份标识以及所述下层设备中预设的认证密码进行计算得到的值；所述目标认证参考值为所述上层设备按照预设的所述认证算法对所述下层设备的接口身份标识以及预设的所述认证密码进行计算得到的值。
110.在本技术实施例中，所述接入控制模块302还用于，在监测到所述下层设备由合法设备变为非法设备时，断开所述下层设备的接入。
111.在本技术实施例中，所述接入控制模块302还用于，在监测到任一链路的认证结果由安全切换为不安全时，关闭该链路对应的汇聚组成员接口所在的物理链路。
112.参见图4所示，装置400应用于下层设备，包括：
113.发送模块401，用于向上层设备发送自身的设备属性与接口属性，以供所述上层设备根据所述设备属性认证所述下层设备是否合法，以及根据所述接口属性认证所述上层设备与所述下层设备之间的每一条链路是否安全。
114.在本技术实施例的一种可行实施方式中，装置400还包括计算模块402，用于在通过与所述上层设备之间的任一链路接收到认证请求时，根据自身的接口属性计算出接口认证参考值。
115.所述发送模块还用于通过该链路向所述上层设备发送所述接口认证参考值，以供所述上层设备认证该链路是否安全。
116.需要理解的是，出于描述简洁的考量，部分实施例一中描述过的内容在本实施例中不再赘述。
117.实施例三：
118.本实施例提供了一种电子设备，参见图5所示，其包括处理器501、存储器502以及通信总线503。其中：
119.通信总线503用于实现处理器501和存储器502之间的连接通信。
120.处理器501用于执行存储器502中存储的一个或多个程序，以实现上述实施例一中上层设备所执行的接入认证方法的各步骤，或实现上述实施例一中下层设备所执行的接入认证方法的各步骤。
121.可以理解，图5所示的结构仅为示意，电子设备还可包括比图5中所示更多或者更少的组件，或者具有与图5所示不同的配置。比如，电子设备还包括外部连接接口等组件。
122.本实施例还提供了一种计算机可读存储介质，如软盘、光盘、硬盘、闪存、u盘、sd(secure digital memory card，安全数码卡)卡、mmc(multimedia card，多媒体卡)卡等，在该计算机可读存储介质中存储有实现上述各个步骤的一个或者多个程序，这一个或者多个程序可被一个或者多个处理器执行，以实现上述实施例一中上层设备所执行的接入认证方法的各步骤，或实现上述实施例一中下层设备所执行的接入认证方法的各步骤。在此不再赘述。
123.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
124.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
125.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
126.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
127.在本文中，多个是指两个或两个以上。
128.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。