基于配置信息的认证方法、装置、交换机、网络和介质与流程

基于配置信息的认证方法、装置、交换机、网络和介质
1.本技术是申请号为“201810401268.4”，申请日为“2018年04月28日”，题目为“基于配置信息的认证方法、服务器、交换机和存储介质”的中国专利申请的分案申请。
技术领域
2.本发明实施例涉及网络通信技术，尤其涉及一种基于配置信息的认证方法、装置、交换机、网络和介质。


背景技术：

3.可信交换网络系统要求每个接入用户进行认证与控制，保证通信实体之间的可信关系和控制。对于现有的终端设备，现有的电气和电子工程师协会(institute of electrical and electronics engineers，简称：ieee)802.1x协议已经进行了规范和实现。ieee802.1x协议称为基于端口的访问控制协议，主要目的是为了解决无线局域网用户的接入认证问题，达到接收合法用户输入，保护网络安全的目的。
4.图1为现有ieee802.1x认证体系的组成结构示意图。如图1所示，基于ieee802.1x协议的认证体系包括以下三个组成部分：申请者(supplicant)、认证设备(authenticator)和认证服务器(authentication server)，其中，申请者：申请者需要安装一个客户端软件，用户通过启动这个客户端软件发起ieee802.1x认证。为了支持基于端口的接入控制，申请者需要支持基于局域网的扩展认证协议(eap over lan，简称：eapol)；认证设备：在申请者和认证服务器之间起到代理作用，能够将来自申请者的eapol认证请求报文转为远程用户拨号认证服务(remote authentication dial in user service，简称：radius)报文发到认证服务器，将认证服务器返回的radius报文转为eapol报文发送给申请者。认证设备根据认证服务器对申请者的认证请求结果，来决定是否将申请者的接入物理端口打开；认证服务器：认证服务器是指能够具备处理入网身份认证和访问权限检查能力的专用服务器，通常为radius服务器，认证服务器能够检查申请者和认证设备的身份、类型和网络访问权限，并且通过认证设备向申请者返回身份认证应答结果。认证设备和认证服务器之间通过承载于radius协议之上的扩展认证协议(extensible authentication protocol，简称：eap)进行通信。
5.在实现本发明的过程中，发明人发现现有技术中至少存在如下问题：
6.网络接入认证设备通过判断待接入的设备是否拥有认证协议需要的口令和/或密钥来确认是否允许该待接入设备接入，其目的就是为了保证接入网络的是一个安全的设备，而不是一个攻击者。
7.但是，目前大部分网络通信设备(包括二层交换机、三层交换机以及各种网关设备)自身并未进行有效的安全检查，例如，交换机一个很重要的功能就是虚拟局域网(virtual local area network，简称：vlan)，vlan实现了在物理拓扑结构不变的前提下逻辑拓扑结构的不同划分，同一个端口在不同vlan下将实现完全不同的网络接入。因此，一旦有人非法修改了网络通信设备的配置，将造成重大安全隐患。


技术实现要素：

8.本发明实施例提供一种基于配置信息的认证方法、服务器、交换机和存储介质，以保证交换机按照网络管理员预定的设置进行工作，有效降低了由配置信息的篡改造成安全隐患的可能性。
9.第一方面，本发明实施例提供了一种基于配置信息的认证方法，所述方法适用于第一交换机作为申请者向认证服务器申请加入第二交换机所在网络的场景，所述方法包括：
10.所述认证服务器对所述第一交换机的身份认证通过后，通过所述第二交换机向所述第一交换机发送报告配置的请求报文；
11.所述认证服务器通过所述第二交换机接收所述第一交换机的配置响应报文，所述配置响应报文包括所述第一交换机根据所述请求报文查询得到的配置信息；
12.所述认证服务器将所述配置信息与设定的交换机配置信息进行匹配，当匹配成功后，向所述第二交换机发送认证成功的报文，以使所述第二交换机开启与所述第一交换机相连接的端口。
13.可选的，在所述认证服务器向所述第二交换机发送认证成功的报文之后，还包括：
14.所述认证服务器通过所述第二交换机接收所述第一交换机主动发送的状态响应报文，所述状态响应报文包括所述第一交换机的配置信息；或者，
15.所述认证服务器通过所述第二交换机定期向所述第一交换机发送状态查询报文，接收所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文，所述状态响应报文包括所述第一交换机根据所述状态查询报文查询得到的配置信息。
16.可选的，在所述认证服务器接收所述第一交换机主动发送的状态响应报文之后，或者，在所述认证服务器接收所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文之后，还包括：
17.所述认证服务器将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配，当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后，向所述第二交换机发送网络断开的报文，以使所述第二交换机断开与所述第一交换机相连接的端口。
18.可选的，所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败，包括：
19.所述状态响应报文中的配置信息发生变化，使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致；或者，所述当前设定的交换机配置信息发生变化，使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
20.可选的，在所述认证服务器向所述第二交换机发送认证成功的报文之前，还包括：
21.所述认证服务器通过所述第二交换机逐次向所述第一交换机发送所述请求报文，各所述请求报文所请求的配置信息各不相同；
22.对应于各次的请求报文，所述认证服务器通过所述第二交换机接收配置响应报文，所述配置响应报文包括与当前请求报文对应的配置信息；
23.所述认证服务器将各次的配置信息分别与设定的交换机配置信息进行匹配，当全部匹配成功后，向所述第二交换机发送认证成功的报文。
24.可选的，在所述认证服务器向所述第二交换机发送认证成功的报文之后，还包括：
25.所述认证服务器通过所述第二交换机逐次向所述第一交换机发送状态查询报文，各所述状态查询报文所请求的配置信息各不相同；
26.对应于各次的状态查询报文，所述认证服务器通过所述第二交换机接收状态响应报文，所述状态响应报文包括与当前状态查询报文对应的配置信息；
27.对应于各次的状态查询报文，所述认证服务器将接收到的配置信息与设定的交换机配置信息进行匹配，当匹配失败后，向所述第二交换机发送网络断开的报文，以使所述第二交换机断开与所述第一交换机相连接的端口。
28.第二方面，本发明实施例提供了一种基于配置信息的认证方法，包括：
29.第一交换机通过认证服务器的身份认证后通过第二交换机接收所述认证服务器发送的报告配置的请求报文；
30.所述第一交换机根据所述请求报文查询得到对应的配置信息；
31.所述第一交换机通过所述第二交换机向所述认证服务器发送配置响应报文，所述配置响应报文包括所述配置信息。
32.可选的，所述方法还包括：
33.所述第一交换机在配置信息发生改变时，通过所述第二交换机向所述认证服务器发送状态响应报文，所述状态响应报文包括改变后的配置信息；或者，
34.所述第一交换机在接收到所述认证服务器发送的状态查询报文时，通过所述第二交换机向所述认证服务器发送状态响应报文，所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
35.第三方面，本发明实施例提供了一种服务器，包括：
36.发送模块，用于对第一交换机的身份认证通过后，通过第二交换机向所述第一交换机发送报告配置的请求报文；
37.接收模块，用于通过所述第二交换机接收所述第一交换机的配置响应报文，所述配置响应报文包括所述第一交换机根据所述请求报文查询得到的配置信息；
38.认证模块，用于将所述配置信息与设定的交换机配置信息进行匹配；
39.所述发送模块，还用于当匹配成功后，向所述第二交换机发送认证成功的报文，以使所述第二交换机开启与所述第一交换机相连接的端口。
40.可选的，所述接收模块，还用于通过所述第二交换机接收所述第一交换机主动发送的状态响应报文，所述状态响应报文包括所述第一交换机的配置信息。
41.可选的，所述发送模块，还用于通过所述第二交换机定期向所述第一交换机发送状态查询报文；
42.所述接收模块，还用于通过所述第二交换机接收所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文，所述状态响应报文包括所述第一交换机根据所述状态查询报文查询得到的配置信息。
43.可选的，所述认证模块，还用于将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配；
44.所述发送模块，还用于当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后，向所述第二交换机发送网络断开的报文，以使所述第二交换机断开与
所述第一交换机相连接的端口。
45.可选的，所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败，包括：
46.所述状态响应报文中的配置信息发生变化，使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致；或者，所述当前设定的交换机配置信息发生变化，使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
47.可选的，所述发送模块，还用于通过所述第二交换机逐次向所述第一交换机发送所述请求报文，各所述请求报文所请求的配置信息各不相同；
48.所述接收模块，还用于对应于各次的请求报文，通过所述第二交换机接收配置响应报文，所述配置响应报文包括与当前请求报文对应的配置信息；
49.所述认证模块，还用于将各次的配置信息分别与设定的交换机配置信息进行匹配；
50.所述发送模块，还用于当全部匹配成功后，向所述第二交换机发送认证成功的报文。
51.可选的，所述发送模块，还用于通过所述第二交换机逐次向所述第一交换机发送状态查询报文，各所述状态查询报文所请求的配置信息各不相同；
52.所述接收模块，还用于对应于各次的状态查询报文，通过所述第二交换机接收状态响应报文，所述状态响应报文包括与当前状态查询报文对应的配置信息；
53.所述认证模块，还用于对应于各次的状态查询报文，将接收到的配置信息与设定的交换机配置信息进行匹配；
54.所述发送模块，还用于当匹配失败后，向所述第二交换机发送网络断开的报文，以使所述第二交换机断开与所述第一交换机相连接的端口。
55.可选的，所述配置信息包括以下任一种或多种信息：协议配置信息、端口配置信息和过滤转发配置信息，其中，所述协议配置信息包括路由协议信息、组播协议信息和stp协议信息，所述端口配置信息包括风暴控制信息、端口聚合信息、端口镜像信息、端口隔离信息、流量控制信息和vlan配置信息，所述过滤转发配置信息包括访问控制列表的配置。
56.第四方面，本发明实施例提供了一种交换机，包括：
57.接收模块，用于通过认证服务器的身份认证后通过第二交换机接收所述认证服务器发送的报告配置的请求报文；
58.查询模块，用于根据所述请求报文查询得到对应的配置信息；
59.发送模块，用于通过所述第二交换机向所述认证服务器发送配置响应报文，所述配置响应报文包括所述配置信息。
60.可选的，所述发送模块，还用于在配置信息发生改变时，通过所述第二交换机向所述认证服务器发送状态响应报文，所述状态响应报文包括改变后的配置信息；或者，在接收到所述认证服务器发送的状态查询报文时，通过所述第二交换机向所述认证服务器发送状态响应报文，所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
61.第五方面，本发明实施例提供了一种服务器，所述服务器包括：
62.一个或多个处理器；
63.存储装置，用于存储一个或多个程序；
64.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如上述第一方面中任一所述的基于配置信息的认证方法。
65.第六方面，本发明实施例提供了一种交换机，所述交换机包括：
66.一个或多个处理器；
67.存储装置，用于存储一个或多个程序；
68.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如上述第二方面中任一所述的基于配置信息的认证方法。
69.第七方面，本发明实施例提供了一种包含可执行指令的存储介质，所述可执行指令在由处理器执行时用于执行如上述第一方面或第二方面中任一所述的基于配置信息的认证方法。
70.本发明实施例通过在对作为申请者的交换机进行身份认证后，再对该交换机的自身配置信息进行认证，实现远程集中监控网络环境中处于数据传输节点的交换机的配置信息安全检测，保证交换机按照预定的设置进行工作，一旦其网络配置被修改，将禁止该交换机接入网络，有效降低了由配置信息的篡改造成的安全隐患的可能性。
附图说明
71.图1为现有ieee802.1x认证体系的组成结构示意图；
72.图2为本发明实施例一提供的基于配置信息的认证方法的流程图；
73.图3为本发明实施例二提供的基于配置信息的认证方法的流程图；
74.图4为本发明实施例二提供的配置信息查询过程的示意图；
75.图5为本发明实施例三提供的网络拓扑的组成结构示意图；
76.图6为本发明实施例四提供的服务器的结构示意图；
77.图7为本发明实施例五提供的交换机的结构示意图；
78.图8为本发明实施例六提供的一种设备的结构示意图。
具体实施方式
79.下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明实施例，而非对本发明实施例的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明实施例相关的部分而非全部结构。
80.实施例一
81.图2为本发明实施例一提供的基于配置信息的认证方法的流程图，本实施例可适用于图1所示的ieee802.1x认证体系，其中，第一交换机作为申请者向认证服务器申请加入第二交换机所在网络，例如图1所示，第二交换机将来自第一交换机的eapol报文转为radius报文发到认证服务器，将认证服务器返回的radius报文转为eapol报文发送给第一交换机。基于配置信息的认证方法具体包括如下步骤：
82.步骤101、认证服务器对第一交换机的身份认证通过后，通过第二交换机向第一交换机发送报告配置的请求报文；
83.例如图1所示，第一交换机发起身份认证，将自己的用户名和密码发送给第二交换机，可以采用eap的类型-长度-值(type-length-value，简称：tlv)格式封装该报文。第二交
换机将接收到的eap extensible authentication protocol，扩展认证协议)报文经过协议状态转换，转化为radius(remote authentication dial in user service)报文发送给认证服务器。认证服务器接收到第二交换机发送来的radius报文，和预先存储的数据信息进行匹配，一旦匹配成功，认证服务器通过第二交换机向第一交换机发送报告配置的请求报文。
84.步骤102、认证服务器通过第二交换机接收第一交换机的配置响应报文，该配置响应报文包括第一交换机根据请求报文查询得到的配置信息；
85.第一交换机在通过第二交换机接收到来自认证服务器的请求报文后，根据请求报文中请求的内容，查询自己的配置，并将查询到的配置信息封装成配置响应报文通过第二交换机发送给认证服务器。
86.可选的，认证服务器通过第二交换机逐次向第一交换机发送请求报文，各请求报文所请求的配置信息各不相同；对应于各次的请求报文，认证服务器通过第二交换机接收配置响应报文，配置响应报文包括与当前请求报文对应的配置信息；认证服务器将各次的配置信息分别与设定的交换机配置信息进行匹配，当全部匹配成功后，向第二交换机发送认证成功的报文。
87.上述方法可以分多次获取第一交换机的配置信息，如果一次请求查询的配置信息较多，可能会造成配置响应报文过长，但是网络传输中对报文的长度是有限制的，过长的查询结果无法通过一个报文携带。因此，将过长的报文拆分开多次发送可以降低解析报文的难度，加快响应速度。
88.上述过程可以有两种实现方案，一种是认证服务器逐次向第一交换机发出请求报文，对应于各请求报文的配置信息都接收到后，认证服务器再匹配各次的配置信息；另一种是认证服务器对上一次请求报文请求的配置信息匹配成功之后，再发下一个请求报文，如果上一次匹配失败，则不会再发下一个请求报文。
89.在第一交换机接入网络的认证过程中，认证服务器可以要求第一交换机分类别逐次发送其配置信息，例如，按照配置信息的类别、重要性进行划分，认证服务器一次只要求第一交换机反馈其中的一个或多个配置信息，每次认证服务器将接收到的报文中的配置信息与设定的交换机配置信息进行匹配，如果匹配成功则请求第一交换机发送另一批配置信息再进行匹配。这样多次报文往返后，认证服务器可以查询完所有需要检测的配置信息。而在该过程中，一旦认证服务器发现出现信息不一致的情况，则认证失败,认证服务器不会通知第二交换机打开与第一交换机相连接的端口。认证服务器的上述过程的长短取决于认证服务器对第一交换机所要查询的配置信息的多少。
90.步骤103、认证服务器将配置信息与设定的交换机配置信息进行匹配，当匹配成功后，向第二交换机发送认证成功的报文，以使第二交换机开启与第一交换机相连接的端口。
91.认证服务器接收到配置响应报文后，从中解析出配置信息，将该配置信息与设定的交换机配置信息进行匹配，如果匹配成功，认证服务器发送一个认证成功的报文，第二交换机接收到该报文后开启与第一交换机相连接的端口，允许第一交换机接入网络。配置信息包括以下任一种或多种信息：协议配置信息、端口配置信息和过滤转发配置信息，其中，协议配置信息包括路由协议信息、组播协议信息和stp协议信息，端口配置信息包括风暴控制信息、端口聚合信息、端口镜像信息、端口隔离信息、流量控制信息和vlan配置信息，过滤
转发配置信息包括访问控制列表的配置。其中，端口聚合是指例如一个交换机上的两个端口a和b，服务器要求该交换机的配置是a端口和b端口聚合成一个端口；vlan配置信息包括认证服务器可以要求交换机哪个端口在哪个vlan，或者是哪几个端口组成一个vlan。认证服务器对第一交换机的配置认证通过后，第二交换机打开与第一交换机相连接的端口，此时申请者(即第一交换机)可以向代理者(即第二交换机)传输tcp、udp等业务报文，而如果第二交换机没有打开与第一交换机相连接的端口，申请者(即第一交换机)只能向代理者(即第二交换机)传eapol报文。认证服务器对第二交换机的配置认证通过后，会向第一交换机发送一个eapol形式的认证成功报文。
92.本实施例的技术方案，通过在对作为申请者的交换机进行身份认证后，再对该交换机的自身配置信息进行认证，实现远程集中监控网络环境中处于数据传输节点的交换机的配置信息安全检测，保证交换机按照预定的设置进行工作，一旦其网络配置被修改，将禁止该交换机接入网络，有效降低了由配置信息的篡改造成安全隐患的可能性。
93.在上述技术方案的基础上，在认证服务器向第二交换机发送认证成功的报文之后，为避免通过认证后第一交换机的配置信息发生变化，或者，认证服务器设定的交换机配置信息发生变化，导致第一交换机的配置信息与认证服务器设定的交换机配置信息不一致，造成安全隐患，可以采用两种方式检测第一交换机的配置信息是否有发生改变，避免上述问题发生：认证服务器通过第二交换机接收第一交换机主动发送的状态响应报文，状态响应报文包括第一交换机的配置信息；或者，认证服务器通过第二交换机定期向第一交换机发送状态查询报文，接收第一交换机根据定期接收到的状态查询报文反馈的状态响应报文，状态响应报文包括第一交换机根据状态查询报文查询得到的配置信息。认证服务器将状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配，当匹配失败后，向第二交换机发送网络断开的报文，以使第二交换机断开与第一交换机相连接的端口。
94.认证服务器在第一交换机接入了网络之后，可以采用两种方式检测第一交换机的配置信息是否有发生改变，一种是第一交换机主动发送状态响应报文，该报文是由第一交换机的配置信息发生改变的事件触发的，另一种是认证服务器定期向第一交换机发送状态查询报文，第一交换机响应该报文发送状态响应报文。比较而言，定期查询的方式占用的系统资源较大，并且实时性不高，但优点是认证服务器可以根据交换机的响应来判断交换机的状态，即使交换机不给出响应，认证服务器也可以将其隔离；主动上报的方式具有很好的实时性，能够及时的发现交换机的配置发生变化，反应速度更快，但缺点是一旦交换机的数据收集或发送功能发生故障，认证服务器将一直认为该交换机处于可信状态。根据本发明实施例提供的方法可以采用这两种方式结合的方式在第一交换机接入网络后继续检测其配置信息。
95.通过上述两种方式，认证服务器一旦发现第一交换机的配置信息发生改变(状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败)，就向第二交换机发送网络断开的报文，以使第二交换机断开与第一交换机相连接的端口。状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败包括：状态响应报文中的配置信息发生变化，使得状态响应报文中的配置信息与当前设定的交换机配置信息不一致；或者，当前设定的交换机配置信息发生变化，使得状态响应报文中的配置信息与当前设定的交换机配置信息不一致。例如，认证服务器在刚开始接入认证的时候，要求第一交换机报告tcp21端口的状
态，并要求tcp21端口为打开，而在运行一段时间后，认证服务器又被设定为希望tcp21端口关闭，若认证服务器感知到第一交换机的tcp21端口打开时，会发送报文给第二交换机，断开与第一交换机相连接的端口。这样可以实现远程集中监控网络环境中处于数据传输节点的交换机的配置信息安全检测，保证交换机按照网络管理员预定的设置进行工作，一旦其网络配置被修改，将断开该交换机接入网络的端口，禁止其接入网络。
96.在认证服务器向第二交换机发送认证成功的报文之后，还可采用第三种方式检测第一交换机的配置信息是否有发生改变，具体而言，认证服务器通过第二交换机逐次向第一交换机发送状态查询报文，各状态查询报文所请求的配置信息各不相同；对应于各次的状态查询报文，认证服务器通过第二交换机接收状态响应报文，状态响应报文包括与当前状态查询报文对应的配置信息；对应于各次的状态查询报文，认证服务器将接收到的配置信息与设定的交换机配置信息进行匹配，当匹配失败后，向第二交换机发送网络断开的报文，以使第二交换机断开与第一交换机相连接的端口。
97.上述方法可以分多次获取第一交换机的配置信息，如果一次请求查询的配置信息较多，可能会造成配置响应报文过长，但是网络传输中对报文的长度是有限制的，过长的查询结果一个报文携带不了。因此，将过长的报文拆分开多次处理可以降低解析报文的难度，加快响应速度。
98.上述过程可以有两种实现方案，一种是认证服务器逐次向第一交换机发出状态查询报文，对应于各状态查询报文的配置信息都收到后，认证服务器再分别匹配各次的配置信息；另一种是认证服务器对上一次状态查询报文请求的配置信息匹配成功之后，再发下一个状态查询报文，如果上一次匹配失败，则不会再发下一个状态查询报文。
99.在第一交换机接入网络后的再检测过程，认证服务器要求第一交换机分类别逐次发送其配置信息可以，例如，按照配置信息的类别、重要性进行划分，认证服务器一次只要求第一交换机反馈其中的一个或多个配置信息，每次认证服务器将接收到的报文中的配置信息与设定的交换机配置信息进行匹配，如果匹配成功则请求第一交换机发送另一批配置信息再进行匹配。这样多次报文往返后，认证服务器可以查询完所有需要检测的配置信息。而在该过程中，一旦认证服务器发现出现信息不一致的情况，就会及时向第二交换机发送网络断开的报文，以使第二交换机断开与第一交换机相连接的端口。认证服务器的上述过程的长短取决于认证服务器对第一交换机所要查询的配置信息的多少。
100.实施例二
101.图3为本发明实施例二提供的基于配置信息的认证方法的流程图，本实施例可适用于图1所示的ieee802.1x认证体系，其中，第一交换机作为申请者向认证服务器申请加入第二交换机所在网络，例如图1所示，第二交换机将来自第一交换机的eapol报文转为radius报文发到认证服务器，将认证服务器返回的radius报文转为eapol报文发送给第一交换机。基于配置信息的认证方法具体包括如下步骤：
102.步骤201、第一交换机通过认证服务器的身份认证后通过第二交换机接收认证服务器发送的报告配置的请求报文；
103.第一交换机发起身份认证，将自己的用户名和密码发送给第二交换机，可以采用eap的tlv格式封装该报文。第二交换机将接收到的eap报文经过协议状态转换，转化为radius报文发送给认证服务器。认证服务器接收到第二交换机发送来的radius报文，和预
先存储的数据信息进行匹配，一旦匹配成功，认证服务器通过第二交换机向第一交换机发送报告配置的请求报文。
104.步骤202、第一交换机根据请求报文查询得到对应的配置信息；
105.图4为本发明实施例二提供的配置信息查询过程的示意图，第一交换机在通过第二交换机接收到来自认证服务器的请求报文后，根据请求报文中请求的内容，从自身的各个配置模块中查询自己的配置，并将查询到的配置信息封装成配置响应报文通过第二交换机发送给认证服务器。
106.步骤203、第一交换机通过第二交换机向认证服务器发送配置响应报文，该配置响应报文包括配置信息。
107.配置信息包括以下任一种或多种信息：协议配置信息、端口配置信息和过滤转发配置信息，其中，协议配置信息包括路由协议信息、组播协议信息和stp协议信息，端口配置信息包括风暴控制信息、端口聚合信息、端口镜像信息、端口隔离信息、流量控制信息和vlan配置信息，过滤转发配置信息包括访问控制列表的配置。
108.本实施例的技术方案，通过在对作为申请者的交换机进行身份认证后，再对该交换机的自身配置信息进行认证，实现远程集中监控网络环境中处于数据传输节点的交换机的配置信息安全检测，保证交换机按照网络管理员预定的设置进行工作，一旦其网络配置被修改，将禁止该交换机接入网络，降低了由配置信息的篡改造成安全隐患的可能性。
109.实施例三
110.图5为本发明实施例三提供的网络拓扑的组成结构示意图，参照图5，共采用了3台交换机和1台服务器，其中，可信交换机1和可信交换机2作为申请者(相当于上述第一交换机)，可信任交换机3作为代理者(相当于上述第二交换机)，可信交换机1和可信交换机2和服务器之间通过可信任交换机3进行报文中转。可信交换机1和可信交换机2连接下层终端网络设备，但为了防止各个终端网络设备之间直接的互相访问，分别在可信交换机1和可信交换机2的1、2、3端口(port)分别设置了vlan，将3个端口划分到不同的局域网中。可信交换机1和可信交换机2的配置信息可以由管理员以配置文件的形式保存在服务器，由服务器的认证任务查询使用。可信交换机1在发起认证之后，服务器和可信交换机1按照上述方法实施例中的步骤进行信息交互，服务器会要求可信交换机1将自己的端口所属的vlan信息发送上来，可信交换机1将端口1属于vlan1，端口2属于vlan2，端口3属于vlan3等信息以tlv格式封装起来，发送给服务器。服务器将接收的配置信息和设定的交换机配置信息匹配后认定一致，则认证得以通过，可信交换机1接入网络。服务器会在后续的过程中定期的通过可信交换机3向可信交换机1发送状态查询报文，如果发现可信交换机1的端口1的vlan值发生改变，服务器会立刻断开可信交换机3上与可信交换机1连接的端口，将可信交换机1从网络中断开。
111.实施例四
112.图6为本发明实施例四提供的服务器的结构示意图，参照图6，该服务器包括：发送模块11、接收模块12和认证模块13，其中，发送模块11，用于对第一交换机的身份认证通过后，通过第二交换机向所述第一交换机发送报告配置的请求报文；接收模块12，用于通过所述第二交换机接收所述第一交换机的配置响应报文，所述配置响应报文包括所述第一交换机根据所述请求报文查询得到的配置信息；认证模块13，用于将所述配置信息与设定的交
换机配置信息进行匹配；所述发送模块11，还用于当匹配成功后，向所述第二交换机发送认证成功的报文，以使所述第二交换机开启与所述第一交换机相连接的端口。
113.在上述技术方案的基础上，所述接收模块12，还用于通过所述第二交换机接收所述第一交换机主动发送的状态响应报文，所述状态响应报文包括所述第一交换机的配置信息。
114.在上述技术方案的基础上，所述发送模块11，还用于通过所述第二交换机定期向所述第一交换机发送状态查询报文；所述接收模块12，还用于通过所述第二交换机接收所述第一交换机根据定期接收到的状态查询报文反馈的状态响应报文，所述状态响应报文包括所述第一交换机根据所述状态查询报文查询得到的配置信息。
115.在上述技术方案的基础上，所述认证模块13，还用于将所述状态响应报文中的配置信息与当前设定的交换机配置信息进行匹配；所述发送模块11，还用于当所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败后，向所述第二交换机发送网络断开的报文，以使所述第二交换机断开与所述第一交换机相连接的端口。
116.在上述技术方案的基础上，所述状态响应报文中的配置信息与当前设定的交换机配置信息匹配失败，包括：所述状态响应报文中的配置信息发生变化，使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致；或者，所述当前设定的交换机配置信息发生变化，使得所述状态响应报文中的配置信息与所述当前设定的交换机配置信息不一致。
117.在上述技术方案的基础上，所述发送模块11，还用于通过所述第二交换机逐次向所述第一交换机发送所述请求报文，各所述请求报文所请求的配置信息各不相同；所述接收模块12，还用于对应于各次的请求报文，通过所述第二交换机接收配置响应报文，所述配置响应报文包括与当前请求报文对应的配置信息；所述认证模块13，还用于将各次的配置信息分别与设定的交换机配置信息进行匹配；所述发送模块11，还用于当全部匹配成功后，向所述第二交换机发送认证成功的报文。
118.在上述技术方案的基础上，所述发送模块11，还用于通过所述第二交换机逐次向所述第一交换机发送状态查询报文，各所述状态查询报文所请求的配置信息各不相同；所述接收模块12，还用于对应于各次的状态查询报文，通过所述第二交换机接收状态响应报文，所述状态响应报文包括与当前状态查询报文对应的配置信息；所述认证模块13，还用于对应于各次的状态查询报文，将接收到的配置信息与设定的交换机配置信息进行匹配；所述发送模块11，还用于当匹配失败后，向所述第二交换机发送网络断开的报文，以使所述第二交换机断开与所述第一交换机相连接的端口。
119.在上述技术方案的基础上，所述配置信息包括以下任一种或多种信息：协议配置信息、端口配置信息和过滤转发配置信息，其中，所述协议配置信息包括路由协议信息、组播协议信息和stp协议信息，所述端口配置信息包括风暴控制信息、端口聚合信息、端口镜像信息、端口隔离信息、流量控制信息和vlan配置信息，所述过滤转发配置信息包括访问控制列表的配置。
120.本发明实施例所提供的服务器可执行本发明任意实施例所提供的基于配置信息的认证方法，具备执行方法相应的功能模块和有益效果。
121.实施例五
122.图7为本发明实施例五提供的交换机的结构示意图，参照图7，该交换机包括：接收模块21、查询模块22和发送模块23，其中，接收模块21，用于通过所述认证服务器的身份认证后通过所述第二交换机接收所述认证服务器发送的报告配置的请求报文；查询模块22，用于根据所述请求报文查询得到对应的配置信息；发送模块23，用于通过所述第二交换机向所述认证服务器发送配置响应报文，所述配置响应报文包括所述配置信息。
123.在上述技术方案的基础上，所述发送模块23，还用于在配置信息发生改变时，通过所述第二交换机向所述认证服务器发送状态响应报文，所述状态响应报文包括改变后的配置信息；或者，在接收到所述认证服务器发送的状态查询报文时，通过所述第二交换机向所述认证服务器发送状态响应报文，所述状态响应报文包括根据所述状态查询报文查询得到对应的配置信息。
124.本发明实施例所提供的交换机可执行本发明任意实施例所提供的基于配置信息的认证方法，具备执行方法相应的功能模块和有益效果。
125.实施例六
126.图8为本发明实施例六提供的一种设备的结构示意图，如图8所示，该设备可以是实施例五中的服务器，也可以是实施例六中的交换机，该设备包括处理器30、存储器31、输入装置32和输出装置33；设备中处理器30的数量可以是一个或多个，图8中以一个处理器30为例；设备中的处理器30、存储器31、输入装置32和输出装置33可以通过总线或其他方式连接，图8中以通过总线连接为例。
127.存储器31作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的基于配置信息的认证方法对应的程序指令/模块。处理器30通过运行存储在存储器31中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的基于配置信息的认证方法。
128.存储器31可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器31可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器31可进一步包括相对于处理器30远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
129.输入装置32可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置33可包括显示屏等显示设备。
130.实施例七
131.本发明实施例七还提供一种包含可执行指令的存储介质，所述可执行指令在由处理器执行时用于执行本发明任意实施例所提供的基于配置信息的认证方法中的相关操作。
132.通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明实施例可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台
计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明实施例各个实施例所述的方法。
133.值得注意的是，上述装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明实施例的保护范围。
134.注意，上述仅为本发明实施例的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明实施例不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明实施例的保护范围。因此，虽然通过以上实施例对本发明实施例进行了较为详细的说明，但是本发明实施例不仅仅限于以上实施例，在不脱离本发明实施例构思的情况下，还可以包括更多其他等效实施例，而本发明实施例的范围由所附的权利要求范围决定。