本申請(qǐng)涉及通信領(lǐng)域，尤其涉及一種操作管理維護(hù)報(bào)文認(rèn)證的方法及裝置。

背景技術(shù)：

操作管理維護(hù)(英文：operations,administrationandmaintenance，簡(jiǎn)稱：oam)技術(shù)，是一種為網(wǎng)絡(luò)提供鏈路缺陷檢測(cè)以及缺陷糾正的技術(shù)。相互通信的網(wǎng)絡(luò)設(shè)備，通過(guò)發(fā)送oam報(bào)文，檢測(cè)用于通信的通道(英文：channel)是否處于正常狀態(tài)，并且在檢測(cè)到用于通信的通道出現(xiàn)異常時(shí)，通過(guò)相互發(fā)送oam報(bào)文觸發(fā)保護(hù)倒換機(jī)制，將通信倒換到預(yù)先設(shè)置的保護(hù)通道，從而降低由于工作通道異常而造成的丟包，保障業(yè)務(wù)傳輸?shù)姆€(wěn)定性。例如，自動(dòng)保護(hù)倒換(英文：automaticprotectionswitching，簡(jiǎn)稱：aps)報(bào)文是一種oam報(bào)文。網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)相互發(fā)送aps報(bào)文，在通信的通道出現(xiàn)異常時(shí)協(xié)商并共同倒換到保護(hù)通道通信。

當(dāng)oam報(bào)文受到其他設(shè)備的惡意篡改，或者oam報(bào)文是其他網(wǎng)元偽造的，或者網(wǎng)絡(luò)管理員對(duì)參數(shù)的配置錯(cuò)誤時(shí)，接收oam報(bào)文的網(wǎng)絡(luò)設(shè)備可能獲取到不正確的倒換請(qǐng)求，從而使得該網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)不正確的倒換請(qǐng)求，做出錯(cuò)誤的倒換，導(dǎo)致正常通信受到嚴(yán)重影響。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)?zhí)峁┝艘环N操作管理維護(hù)oam報(bào)文認(rèn)證的方法及裝置，用于降低網(wǎng)絡(luò)設(shè)備根據(jù)不正確的oam報(bào)文做出錯(cuò)誤的倒換的風(fēng)險(xiǎn)，提高通信的穩(wěn)定性。

第一方面，提供了一種oam報(bào)文認(rèn)證的方法，所述方法包括：

第一網(wǎng)元接收第一oam報(bào)文，所述第一oam報(bào)文攜帶第一標(biāo)識(shí)和第一認(rèn)證信息；

所述第一網(wǎng)元根據(jù)所述第一標(biāo)識(shí)到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息；

所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配；

如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，所述第一網(wǎng)元確定所述第一oam報(bào)文為非法報(bào)文。

所述第一網(wǎng)元通過(guò)根據(jù)第一標(biāo)識(shí)確定第二認(rèn)證信息，并判斷所述第二認(rèn)證信息與第一oam報(bào)文中的第一認(rèn)證信息是否匹配，判斷所述第一oam報(bào)文是否為合法報(bào)文。因此，在網(wǎng)絡(luò)管理員配置第一標(biāo)識(shí)錯(cuò)誤的情況下，或者第一標(biāo)識(shí)被其他網(wǎng)元惡意篡改或偽造的情況下，所述第一網(wǎng)元可以通過(guò)確定所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，從而識(shí)別出所述第一oam報(bào)文中的信息是錯(cuò)誤的，并避免按照所述第一oam報(bào)文中的信息執(zhí)行錯(cuò)誤的指令，提高通信的安全性和穩(wěn)定性。

可選的，所述第一網(wǎng)元確定所述第一oam報(bào)文為非法報(bào)文之后，還包括：所述第一網(wǎng)元保存所述第一oam報(bào)文。

所述第一網(wǎng)元保存非法的第一oam報(bào)文，可以為網(wǎng)絡(luò)管理員分析接收該非法報(bào)文的原因提供更多的信息。例如，在所述第一認(rèn)證信息和所述第二認(rèn)證信息不匹配，是由于第一標(biāo)識(shí)配置錯(cuò)誤導(dǎo)致的情況下，保存所述第一oam報(bào)文，可以為網(wǎng)絡(luò)管理員分析配置錯(cuò)誤提供信息，從而改正該錯(cuò)誤的配置。例如，在所述第一認(rèn)證信息和所述第二認(rèn)證信息不匹配，是由于所述第一oam報(bào)文是其他網(wǎng)元惡意篡改或偽造的情況下，保存所述第一oam報(bào)文，可以為網(wǎng)絡(luò)管理員查找該網(wǎng)元提供更多的信息，從而提高網(wǎng)絡(luò)的安全性。

可選的，在一種示例中，所述第一認(rèn)證信息為加密信息，所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：所述第一網(wǎng)元根據(jù)所述第一標(biāo)識(shí)到解密算法的映射，確定所述解密算法；所述第一網(wǎng)元根據(jù)所述解密算法對(duì)所述第一認(rèn)證信息做解密運(yùn)算，獲得第三認(rèn)證信息；所述第一網(wǎng)元判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。

可選的，在另一種示例中，所述第一網(wǎng)元與第二網(wǎng)元通過(guò)第一標(biāo)簽交換路徑(英文：labelswitchpath,簡(jiǎn)稱：lsp)通信，所述第一標(biāo)識(shí)為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項(xiàng)：所述第二網(wǎng)元的標(biāo)簽交換路由器(英文：labelswitchrouter,簡(jiǎn)稱：lsr)的標(biāo)識(shí)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第一lsp的標(biāo)識(shí)。

可選的，所述方法還包括：所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息 的映射，獲取所述第四認(rèn)證信息；所述第一網(wǎng)元向所述第三網(wǎng)元發(fā)送第二oam報(bào)文，所述第二oam報(bào)文攜帶所述第四認(rèn)證信息，所述第四認(rèn)證信息用于指示所述第三網(wǎng)元，所述第二oam報(bào)文為合法報(bào)文。

可選的，所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；所述第一網(wǎng)元根據(jù)所述加密算法對(duì)所述第五認(rèn)證信息進(jìn)行加密運(yùn)算，獲得所述第四認(rèn)證信息。

可選的，所述第一網(wǎng)元與所述第三網(wǎng)元通過(guò)第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項(xiàng)信息：所述第三網(wǎng)元的lsr的標(biāo)識(shí)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第二lsp的標(biāo)識(shí)。

第二方面，提供了一種第一網(wǎng)元，包括：處理器和網(wǎng)絡(luò)接口，所述處理器用于：

通過(guò)所述網(wǎng)絡(luò)接口接收第一oam報(bào)文，所述第一oam報(bào)文攜帶第一標(biāo)識(shí)和第一認(rèn)證信息；

根據(jù)所述第一標(biāo)識(shí)到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息；

判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配；

如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，確定所述第一oam報(bào)文為非法報(bào)文。

可選的，所述處理器還用于，在確定所述第一oam報(bào)文為非法報(bào)文之后，保存所述第一oam報(bào)文。

可選的，所述第一認(rèn)證信息為加密信息，所述判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：根據(jù)所述第一標(biāo)識(shí)到解密算法的映射，確定所述解密算法；根據(jù)所述解密算法對(duì)所述第一認(rèn)證信息做解密運(yùn)算，獲得第三認(rèn)證信息；判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。

可選的，所述第一網(wǎng)元與第二網(wǎng)元通過(guò)第一標(biāo)簽交換路徑lsp通信，所述第一標(biāo)識(shí)為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項(xiàng)：所述第二網(wǎng)元的標(biāo)簽交換路由器lsr的標(biāo)識(shí)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第一lsp的標(biāo)識(shí)。

可選的，所述處理器還用于：根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射，獲 取所述第四認(rèn)證信息；通過(guò)所述網(wǎng)絡(luò)接口，向所述第三網(wǎng)元發(fā)送第二oam報(bào)文，所述第二oam報(bào)文攜帶所述第四認(rèn)證信息，所述第四認(rèn)證信息用于指示所述第三網(wǎng)元，所述第二oam報(bào)文為合法報(bào)文。

可選的，所述根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；根據(jù)所述加密算法對(duì)所述第五認(rèn)證信息進(jìn)行加密運(yùn)算，獲得所述第四認(rèn)證信息。

可選的，所述第一網(wǎng)元與所述第三網(wǎng)元通過(guò)第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項(xiàng)信息：所述第三網(wǎng)元的lsr的標(biāo)識(shí)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第二lsp的標(biāo)識(shí)。

附圖說(shuō)明

為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本申請(qǐng)的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請(qǐng)實(shí)施例提供的一種應(yīng)用場(chǎng)景示意圖。

圖2為本申請(qǐng)實(shí)施例提供的一種oam報(bào)文的認(rèn)證方法流程示意圖。

圖3a為本申請(qǐng)實(shí)施例提供的一種oam報(bào)文格式的示意圖。

圖3b為本申請(qǐng)實(shí)施例提供的另一種oam報(bào)文格式的示意圖。

圖4為本申請(qǐng)實(shí)施例提供的另一種oam報(bào)文的認(rèn)證方法流程示意圖。

圖5為本申請(qǐng)實(shí)施例提供的一種第一網(wǎng)元的結(jié)構(gòu)示意圖。

具體實(shí)施方式

本申請(qǐng)實(shí)施例描述的應(yīng)用場(chǎng)景是為了更加清楚的說(shuō)明本申請(qǐng)實(shí)施例的技術(shù)方案，并不構(gòu)成對(duì)于本申請(qǐng)實(shí)施例提供的技術(shù)方案的限定，本領(lǐng)域普通技術(shù)人員可知，隨著網(wǎng)絡(luò)架構(gòu)的演變和新業(yè)務(wù)場(chǎng)景的出現(xiàn)，本申請(qǐng)實(shí)施例提供的技術(shù)方案對(duì)于類(lèi)似的技術(shù)問(wèn)題，同樣適用。

圖1為本申請(qǐng)實(shí)施例提供的一種應(yīng)用場(chǎng)景示意圖。如圖1所示，第一網(wǎng)元101和第二網(wǎng)元102之間的用于通信的通道包括工作通道和保護(hù)通道。

舉例來(lái)說(shuō)，所述第一網(wǎng)元101可以是路由器、網(wǎng)絡(luò)交換機(jī)、防火墻、波分復(fù)用設(shè)備、分組傳送網(wǎng)設(shè)備、基站、基站控制器或者數(shù)據(jù)中心等。所述第二網(wǎng)元102可以是路由器、網(wǎng)絡(luò)交換機(jī)、防火墻、波分復(fù)用設(shè)備、分組傳送網(wǎng)設(shè)備、基站、基站控制器或者數(shù)據(jù)中心等。工作通道或保護(hù)通道可以是偽線(英文：pseudowire，簡(jiǎn)稱：pw)或隧道(英文：tunnel)。

第一網(wǎng)元101和第二網(wǎng)元102之間通過(guò)相互發(fā)送操作管理維護(hù)(英文：operations,administrationandmaintenance，簡(jiǎn)稱：oam)報(bào)文，檢測(cè)用于通信的通道是否處于正常狀態(tài)，并且在檢測(cè)到當(dāng)前用于通信的通道出現(xiàn)異常時(shí)，通過(guò)發(fā)送oam報(bào)文觸發(fā)保護(hù)倒換。

在一種示例中，第一網(wǎng)元101和第二網(wǎng)元102之間采用以太網(wǎng)(英文：ethernet)通信，所述oam報(bào)文可以是itu-ty.1731中規(guī)定的oam報(bào)文。具體來(lái)說(shuō)，所述oam報(bào)文可以是自動(dòng)保護(hù)倒換(英文：automaticprotectionswitching，簡(jiǎn)稱：aps)報(bào)文，例如可以是itu-tg8031/y.1342中規(guī)定的aps報(bào)文。

在另一種示例中，第一網(wǎng)元101和第二網(wǎng)元102之間采用多協(xié)議標(biāo)簽交換(英文：multiprotocollabelswitching，簡(jiǎn)稱：mpls)隧道通信，所述oam報(bào)文可以是itu-ty.1711規(guī)定的報(bào)文。具體來(lái)說(shuō)，所述oam報(bào)文可以是aps報(bào)文。

在通常的通信過(guò)程中，第一網(wǎng)元101接收到oam報(bào)文，通過(guò)所述oam報(bào)文首部中的信息，例如mpls首部中的mpls標(biāo)簽(英文：label)，確定所述oam報(bào)文來(lái)自第二網(wǎng)元102，并查找第一網(wǎng)元101和第二網(wǎng)元102之間用于通信的通道對(duì)應(yīng)的oam狀態(tài)機(jī)，并根據(jù)所述oam報(bào)文中攜帶的請(qǐng)求，對(duì)所述oam狀態(tài)機(jī)的狀態(tài)進(jìn)行相應(yīng)的配置，并進(jìn)一步根據(jù)所述oam狀態(tài)機(jī)的狀態(tài)執(zhí)行相應(yīng)的操作。

上述方案中，第一網(wǎng)元101在接收到oam報(bào)文時(shí)，不對(duì)所述oam報(bào)文的真實(shí)性或正確性進(jìn)行認(rèn)證。因此，如果所述第一網(wǎng)元101接收到的oam報(bào)文是其他網(wǎng)絡(luò)設(shè)備偽造或篡改的，或者，在所述第一網(wǎng)元101使用mpls標(biāo)簽識(shí)別所述oam報(bào)文的來(lái)源的示例中，如果網(wǎng)絡(luò)管理員配置錯(cuò)誤，導(dǎo)致與第一網(wǎng)元101通信的第三網(wǎng)元(圖1中未示出)向第一網(wǎng)元101發(fā)送的oam報(bào)文的mpls標(biāo)簽，與第二網(wǎng)元102向第一網(wǎng)元101發(fā)送的oam報(bào)文的mpls標(biāo)簽的 標(biāo)簽值相同，則第一網(wǎng)元101在接收到來(lái)自第三網(wǎng)元的oam報(bào)文時(shí)，可能會(huì)將來(lái)自第三網(wǎng)元的oam報(bào)文識(shí)別為來(lái)自第二網(wǎng)元102的oam報(bào)文。在出現(xiàn)上述情況時(shí)，第一網(wǎng)元101接收到的oam報(bào)文的來(lái)源或者oam報(bào)文中攜帶的指令可能是不正確的。第一網(wǎng)元101會(huì)根據(jù)不正確的oam報(bào)文執(zhí)行錯(cuò)誤的操作，例如倒換到錯(cuò)誤的通道與第二網(wǎng)元102進(jìn)行通信，導(dǎo)致正常的通信受到影響。

本申請(qǐng)實(shí)施例提供一種oam報(bào)文認(rèn)證的方法，用于降低網(wǎng)絡(luò)設(shè)備根據(jù)不正確的oam報(bào)文做出錯(cuò)誤的倒換的風(fēng)險(xiǎn)，提高通信的穩(wěn)定性。

圖2示出了本申請(qǐng)實(shí)施例提供的一種oam報(bào)文認(rèn)證的方法。舉例來(lái)說(shuō)，所述方法可以應(yīng)用于圖1所示的場(chǎng)景中。圖2所示的方法中的第一網(wǎng)元，可以采用圖1中所示的第一網(wǎng)元101。圖2所示的方法中的第二網(wǎng)元，可以采用圖1中所示的第二網(wǎng)元102。所述方法包括以下步驟。

s201，第一網(wǎng)元接收第一oam報(bào)文，所述第一oam報(bào)文攜帶第一標(biāo)識(shí)和第一認(rèn)證信息。

舉例來(lái)說(shuō)，所述第一oam報(bào)文可以采用圖1中所述的oam報(bào)文。進(jìn)一步地，所述第一oam報(bào)文可以是圖1中所述的aps報(bào)文。

所述第一標(biāo)識(shí)攜帶在所述第一oam報(bào)文的首部中，用于指示所述第一oam報(bào)文的來(lái)源。例如，所述第一oam報(bào)文中包括mpls首部，所述第一標(biāo)識(shí)為所述mpls首部中的標(biāo)簽(英文：label)字段。又例如，所述第一oam報(bào)文中包括虛擬局域網(wǎng)(英文：virtuallocalareanetwork，簡(jiǎn)稱：vlan)標(biāo)簽(英文：vlantag)，所述第一標(biāo)識(shí)為所述vlantag中的vlan標(biāo)識(shí)(英文：vlanidentifier，簡(jiǎn)稱：vid)字段。

所述第一認(rèn)證信息攜帶在所述第一oam報(bào)文的凈荷(英文：payload)中。舉例來(lái)說(shuō)，所述第一認(rèn)證信息可以通過(guò)在所述第一oam報(bào)文的凈荷中定義一個(gè)類(lèi)型-長(zhǎng)度-取值(英文：type-length-value，簡(jiǎn)稱：tlv)實(shí)現(xiàn)，即定義一個(gè)type用于指示所述tlv中的value為所述第一認(rèn)證信息的值。

在一種示例中，在所述第一oam報(bào)文是允許增加擴(kuò)展字段的oam報(bào)文的情況下，例如所述第一oam是itu-tg8031/y.1342中規(guī)定的aps報(bào)文的情況下，所述第一認(rèn)證信息可以攜帶在所述aps報(bào)文的擴(kuò)展字段中。圖3a示出了itu-tg8031/y.1342標(biāo)準(zhǔn)中，不攜帶所述第一認(rèn)證信息的aps報(bào)文的凈荷的 格式示意圖。圖3b示出了通過(guò)在擴(kuò)展字段增加一個(gè)tlv攜帶所述第一認(rèn)證信息的aps報(bào)文的凈荷的格式示意圖。需要說(shuō)明的是，圖3b所示的value字段的長(zhǎng)度僅僅是示意性的，本申請(qǐng)實(shí)施例對(duì)于value字段具體的長(zhǎng)度不做限制。

在另一種示例中，在所述第一oam報(bào)文是不允許增加擴(kuò)展字段的oam報(bào)文的情況下，所述第一認(rèn)證信息可以攜帶在協(xié)議未使用的其他字段中。例如，所述第一oam報(bào)文是itu-ty.1711規(guī)定的報(bào)文的情況下，所述第一認(rèn)證信息可以攜帶在填充(英文：padding)字段中。

s202，所述第一網(wǎng)元根據(jù)所述第一標(biāo)識(shí)到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息。

所述第一網(wǎng)元中存儲(chǔ)了所述第一標(biāo)識(shí)到所述第二認(rèn)證信息的映射。所述第二認(rèn)證信息為網(wǎng)絡(luò)管理員預(yù)先在所述第一網(wǎng)元和所述第二網(wǎng)元中配置的信息。在一種示例中，所述第一標(biāo)識(shí)和所述第二認(rèn)證信息的映射可以直接存儲(chǔ)在標(biāo)識(shí)和認(rèn)證信息的映射表的一個(gè)表項(xiàng)中。在另一種示例中，所述第一網(wǎng)元存儲(chǔ)了所述第一標(biāo)識(shí)到oam狀態(tài)機(jī)的映射，所述第一網(wǎng)元根據(jù)第一標(biāo)識(shí)，確定所述第一oam報(bào)文對(duì)應(yīng)的oam狀態(tài)機(jī)，所述oam狀態(tài)機(jī)用于監(jiān)控所述第一網(wǎng)元和所述第二網(wǎng)元之間的工作通道和保護(hù)通道的工作狀態(tài)。在所述第一oam報(bào)文是aps報(bào)文的示例中，所述狀態(tài)機(jī)也可以是aps狀態(tài)機(jī)。進(jìn)一步地，所述第一網(wǎng)元中還存儲(chǔ)了oam狀態(tài)機(jī)到認(rèn)證信息的映射，所述第一網(wǎng)元根據(jù)所述第一oam報(bào)文對(duì)應(yīng)的oam狀態(tài)機(jī)，查找到所述第二認(rèn)證信息。

s203，所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配。

可選的，在一種可能的示例中，所述第一認(rèn)證信息為加密信息，所述第一網(wǎng)元判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：所述第一網(wǎng)元根據(jù)所述第一標(biāo)識(shí)到解密算法的映射，確定所述解密算法；所述第一網(wǎng)元根據(jù)所述解密算法對(duì)所述第一認(rèn)證信息做解密運(yùn)算，獲得第三認(rèn)證信息；所述第一網(wǎng)元判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。如果所述第三認(rèn)證信息與所述第二認(rèn)證信息相等，則所述第一網(wǎng)元確定所述第一認(rèn)證信息與所述第二認(rèn)證信息匹配。

舉例來(lái)說(shuō)，所述第一網(wǎng)元和所述第二網(wǎng)元被共同配置了加密算法和相應(yīng)的解密算法。所述第一網(wǎng)元和所述第二網(wǎng)元還預(yù)先存儲(chǔ)了所述第二認(rèn)證信息。 所述第二網(wǎng)元在向所述第一網(wǎng)元發(fā)送所述第一oam報(bào)文之前，根據(jù)所述加密算法，對(duì)所述第二認(rèn)證信息進(jìn)行加密運(yùn)算，獲得所述第一認(rèn)證信息。可選的，所述第二網(wǎng)元對(duì)所述第二認(rèn)證信息進(jìn)行加密運(yùn)算的具體過(guò)程包括：所述第二網(wǎng)元生成隨機(jī)數(shù)，所述第二網(wǎng)元使用所述加密算法對(duì)所述隨機(jī)數(shù)和所述第二認(rèn)證信息做加密運(yùn)算，獲得加密參數(shù)。所述第一認(rèn)證信息中包括所述隨機(jī)數(shù)和所述加密參數(shù)。例如，在所述第一認(rèn)證信息通過(guò)自定義的tlv攜帶在第一oam報(bào)文中的情況下，所述tlv可以包括第一子tlv和第二子tlv，所述第一子tlv為中的value為所述隨機(jī)數(shù)的值，所述第二子tlv中的value為所述加密參數(shù)的值。所述第一網(wǎng)元接收到所述第一認(rèn)證信息后，獲取所述隨機(jī)數(shù)和所述加密參數(shù)，根據(jù)所述解密算法對(duì)所述隨機(jī)數(shù)和所述加密參數(shù)進(jìn)行解密運(yùn)算，獲得第三認(rèn)證信息。如果所述第三認(rèn)證信息與所述第二認(rèn)證信息相等，則所述第一網(wǎng)元確定所述第一oam報(bào)文為合法報(bào)文。如果所述第三認(rèn)證信息與所述第二認(rèn)證信息不相等，則所述第一網(wǎng)元確定所述第一oam報(bào)文為非法報(bào)文。

可選的，在另一種可能的示例中，所述第一網(wǎng)元與所述第二網(wǎng)元通過(guò)第一標(biāo)簽交換路徑lsp通信，所述第一標(biāo)識(shí)為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項(xiàng)：所述第二網(wǎng)元的標(biāo)簽交換路由器lsr的標(biāo)識(shí)(英文：indentifier)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第一lsp的標(biāo)識(shí)。所述第一網(wǎng)元的lsr的標(biāo)識(shí)在整個(gè)mpls網(wǎng)絡(luò)中是唯一的。所述第二網(wǎng)元的lsr的標(biāo)識(shí)在整個(gè)mpls網(wǎng)絡(luò)中是唯一的。所述第一lsp的標(biāo)識(shí)在整個(gè)mpls網(wǎng)絡(luò)中是唯一的。

舉例來(lái)說(shuō)，所述第一網(wǎng)元和所述第二網(wǎng)元中均存儲(chǔ)了所述第二網(wǎng)元的lsr的標(biāo)識(shí)。所述第二網(wǎng)元在向第一網(wǎng)元發(fā)送所述第一oam報(bào)文之前，將所述第二網(wǎng)元的lsr的標(biāo)識(shí)作為所述第一認(rèn)證信息，寫(xiě)入所述第一oam報(bào)文。此外，所述第二網(wǎng)元還將預(yù)先設(shè)定的mpls標(biāo)簽作為所述第一標(biāo)識(shí)寫(xiě)入所述第一oam報(bào)文的mpls首部。所述第一網(wǎng)元在接收到所述第一oam報(bào)文之后，根據(jù)所述mpls標(biāo)簽與所述第二認(rèn)證信息的映射，獲取所述第二認(rèn)證信息。所述第二認(rèn)證信息為所述第一網(wǎng)元中存儲(chǔ)的第二網(wǎng)元的lsr的標(biāo)識(shí)。所述第一網(wǎng)元比較所述第一認(rèn)證信息和所述第二認(rèn)證信息，如果所述第一認(rèn)證信息和所述第二認(rèn)證信息相等，則確定所述第一認(rèn)證信息與所述第二認(rèn)證信息匹配。

如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，所述第一網(wǎng)元執(zhí)行s204。

s204，所述第一網(wǎng)元確定所述第一oam報(bào)文為非法報(bào)文。

所述第一網(wǎng)元不根據(jù)所述第一oam報(bào)文中的指示信息執(zhí)行相應(yīng)的操作。

可選的，所述第一網(wǎng)元確定所述第一oam報(bào)文為非法報(bào)文后，所述第一網(wǎng)元保存所述第一oam報(bào)文。

通過(guò)保存非法報(bào)文，所述第一網(wǎng)元可以為網(wǎng)絡(luò)管理員提供非法報(bào)文的信息，以便網(wǎng)絡(luò)管理員確定所述非法報(bào)文的來(lái)源。

可選的，所述第一網(wǎng)元確定所述第一oam報(bào)文為非法報(bào)文后，丟棄所述第一oam報(bào)文。

可選的，如果所述第一認(rèn)證信息與所述第二認(rèn)證信息匹配，所述第一網(wǎng)元執(zhí)行s205。

s205，所述第一網(wǎng)元確定所述第一oam報(bào)文為合法報(bào)文。所述第一網(wǎng)元進(jìn)一步根據(jù)所述第一oam報(bào)文中的指示信息執(zhí)行相應(yīng)的操作。例如，所述第一oam報(bào)文用于指示所述第一網(wǎng)元將通信從工作通道倒換到保護(hù)通道，所述第一網(wǎng)元根據(jù)所述第一oam報(bào)文的指示，將通信從工作通道倒換到保護(hù)通道。

可選地，第一網(wǎng)元也可以在向其他網(wǎng)元發(fā)送oam報(bào)文時(shí)，在所述oam報(bào)文中寫(xiě)入認(rèn)證信息，所述認(rèn)證信息用于指示接收該oam報(bào)文的網(wǎng)元，所述oam報(bào)文為合法報(bào)文。例如，所述第一網(wǎng)元向第三網(wǎng)元發(fā)送第二oam報(bào)文時(shí)，如圖4所示，所述方法進(jìn)一步包括s401和s402。

s401，所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射，獲取所述第四認(rèn)證信息。

可選的，在一種示例中，所述第一網(wǎng)元根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；所述第一網(wǎng)元根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；所述第一網(wǎng)元根據(jù)所述加密算法對(duì)所述第五認(rèn)證信息進(jìn)行加密運(yùn)算，獲得所述第四認(rèn)證信息。

舉例來(lái)說(shuō)，所述第一網(wǎng)元對(duì)所述第五認(rèn)證信息進(jìn)行加密運(yùn)算獲得所述第四認(rèn)證信息的具體實(shí)現(xiàn)方式，可以采用s203中第二網(wǎng)元對(duì)所述第二認(rèn)證信息 進(jìn)行加密運(yùn)算獲得所述第一認(rèn)證信息的具體實(shí)現(xiàn)方式。

可選的，在另一種示例中，所述第一網(wǎng)元與所述第三網(wǎng)元通過(guò)第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項(xiàng)信息：所述第三網(wǎng)元的lsr的標(biāo)識(shí)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第二lsp的標(biāo)識(shí)。

s402，所述第一網(wǎng)元向所述第三網(wǎng)元發(fā)送第二oam報(bào)文，所述第二oam報(bào)文攜帶所述第四認(rèn)證信息。

舉例來(lái)說(shuō)，所述第四認(rèn)證信息在所述第二oam報(bào)文中的格式，可以采用與所述第一認(rèn)證信息在所述第一oam報(bào)文中相同的格式。

舉例來(lái)說(shuō)，所述第三網(wǎng)元根據(jù)所述第四認(rèn)證信息，判斷所述第二oam報(bào)文是否為合法報(bào)文的具體方式，可以采用圖2所述的方法中，所述第一網(wǎng)元根據(jù)所述第一認(rèn)證信息，判斷所述第一oam報(bào)文是否為合法報(bào)文的具體方式。

圖5是本申請(qǐng)實(shí)施例提供的一種第一網(wǎng)元的結(jié)構(gòu)示意圖。如圖5所示，第一網(wǎng)元500包括處理器501以及網(wǎng)絡(luò)接口502?？蛇x的，還包括存儲(chǔ)器503。

處理器501包括但不限于中央處理器(英文：centralprocessingunit，簡(jiǎn)稱：cpu)，網(wǎng)絡(luò)處理器(英文：networkprocessor，簡(jiǎn)稱：np)，專用集成電路(英文：application-specificintegratedcircuit，簡(jiǎn)稱：asic)或者可編程邏輯器件(英文：programmablelogicdevice，縮寫(xiě)：pld)中的一個(gè)或多個(gè)。上述pld可以是復(fù)雜可編程邏輯器件(英文：complexprogrammablelogicdevice，縮寫(xiě)：cpld)，現(xiàn)場(chǎng)可編程邏輯門(mén)陣列(英文：field-programmablegatearray，縮寫(xiě)：fpga)，通用陣列邏輯(英文：genericarraylogic,縮寫(xiě)：gal)或其任意組合。

網(wǎng)絡(luò)接口502可以是有線接口，例如光纖分布式數(shù)據(jù)接口(英文：fiberdistributeddatainterface，簡(jiǎn)稱：fddi)、以太網(wǎng)(英文：ethernet)接口。網(wǎng)絡(luò)接口502也可以是無(wú)線接口，例如無(wú)線局域網(wǎng)接口。

存儲(chǔ)器503用于存儲(chǔ)處理器501執(zhí)行的程序指令。存儲(chǔ)器503包括但不限于內(nèi)容尋址存儲(chǔ)器(英文：content-addressablememory，簡(jiǎn)稱：cam)，例如三態(tài)內(nèi)容尋址存儲(chǔ)器(英文：ternarycam，簡(jiǎn)稱：tcam)，隨機(jī)存取存儲(chǔ)器(英文：random-accessmemory，簡(jiǎn)稱：ram)。

存儲(chǔ)器503也可以集成在處理器501中。如果存儲(chǔ)器503和處理器501 是相互獨(dú)立的器件，存儲(chǔ)器503和處理器501相聯(lián)，例如存儲(chǔ)器503和處理器501可以通過(guò)總線通信。網(wǎng)絡(luò)接口503和處理器501可以通過(guò)總線通信，網(wǎng)絡(luò)接口503也可以與處理器501直連。

處理器501用于執(zhí)行以下操作：通過(guò)所述網(wǎng)絡(luò)接口502接收第一oam報(bào)文，所述第一oam報(bào)文攜帶第一標(biāo)識(shí)和第一認(rèn)證信息；根據(jù)所述第一標(biāo)識(shí)到第二認(rèn)證信息的映射，確定所述第二認(rèn)證信息；判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配；如果所述第一認(rèn)證信息與所述第二認(rèn)證信息不匹配，確定所述第一oam報(bào)文為非法報(bào)文。

可選的，所述處理器501還用于，在確定所述第一oam報(bào)文為非法報(bào)文之后，保存所述第一oam報(bào)文。

可選的，所述第一認(rèn)證信息為加密信息，所述判斷所述第一認(rèn)證信息與所述第二認(rèn)證信息是否匹配，包括：根據(jù)所述第一標(biāo)識(shí)到解密算法的映射，確定所述解密算法；根據(jù)所述解密算法對(duì)所述第一認(rèn)證信息做解密運(yùn)算，獲得第三認(rèn)證信息；判斷所述第三認(rèn)證信息與所述第二認(rèn)證信息是否相等。

可選的，所述第一網(wǎng)元500與第二網(wǎng)元通過(guò)第一標(biāo)簽交換路徑lsp通信，所述第一標(biāo)識(shí)為所述第二網(wǎng)元封裝的多協(xié)議標(biāo)簽交換mpls標(biāo)簽，所述第二認(rèn)證信息包括以下信息中的至少一項(xiàng)：所述第二網(wǎng)元的標(biāo)簽交換路由器lsr的標(biāo)識(shí)；所述第一網(wǎng)元500的lsr的標(biāo)識(shí)；以及所述第一lsp的標(biāo)識(shí)。

可選的，所述處理器501還用于：根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射，獲取所述第四認(rèn)證信息；通過(guò)所述網(wǎng)絡(luò)接口，向所述第三網(wǎng)元發(fā)送第二oam報(bào)文，所述第二oam報(bào)文攜帶所述第四認(rèn)證信息，所述第四認(rèn)證信息用于指示所述第三網(wǎng)元，所述第二oam報(bào)文為合法報(bào)文。

可選的，所述根據(jù)第三網(wǎng)元到第四認(rèn)證信息的映射獲取所述第四認(rèn)證信息，包括：根據(jù)所述第三網(wǎng)元到加密算法的映射，確定所述加密算法；根據(jù)所述第三網(wǎng)元到第五認(rèn)證信息的映射，確定所述第五認(rèn)證信息；根據(jù)所述加密算法對(duì)所述第五認(rèn)證信息進(jìn)行加密運(yùn)算，獲得所述第四認(rèn)證信息。

可選的，所述第一網(wǎng)元500與所述第三網(wǎng)元通過(guò)第二lsp通信，所述第四認(rèn)證信息包括以下信息中的至少一項(xiàng)信息：所述第三網(wǎng)元的lsr的標(biāo)識(shí)；所述第一網(wǎng)元的lsr的標(biāo)識(shí)；以及所述第二lsp的標(biāo)識(shí)。

本實(shí)施例提供的第一網(wǎng)元500可以應(yīng)用于圖2或圖4實(shí)施例的方法中， 實(shí)現(xiàn)其第一網(wǎng)元的功能。所述第一網(wǎng)元可以實(shí)現(xiàn)的其他附加功能，以及與其他網(wǎng)元的交互過(guò)程，請(qǐng)參照方法實(shí)施例中對(duì)第一網(wǎng)元的描述，在這里不再贅述。

本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本申請(qǐng)進(jìn)行各種改動(dòng)和變型而不脫離本申請(qǐng)的范圍。這樣，倘若本申請(qǐng)的這些修改和變型屬于本申請(qǐng)權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請(qǐng)也意圖包含這些改動(dòng)和變型在內(nèi)。