[发明专利]使用邻居发现来为其它应用创建信任信息的方法和装置

说明书

技术领域

本公开一般地涉及计算机网络，更特别地，涉及在网络组件之间建立信任。

背景技术

网络设备被设计为在网络中彼此互操作以进行服务。为避免未授权的设备的干扰，实施了各种认证协议。这些协议往往与中央认证服务器紧密相连。中央认证服务器接收来自网络设备的认证数据，执行验证和授权，并随后返回一组要采取的授权步骤。授权服务器维持静态的或手动创建的用于验证的设备或者密码的列表。然而，列表的维护可能是繁琐的和/或表现不好，导致网络操作中的困难或者缺乏时效性。

在本地实施的一些协议包括在本地级别处的验证。例如，用于创建虚拟专用网络的应用可以包括验证功能。在设备操作多个协议的情况下，对每个协议的本地验证操作可能浪费网络资源。

发明内容

根据本公开实施例的第一方面，提供了一种用于使用邻居发现来创建信任信息的方法，包括：由计算机网络设备使用邻居发现协议发起邻居发现，邻居发现协议负责对计算机网络设备的每个层2或层3链路上的多个邻居网络设备的发现；在邻居发现期间由计算机网络设备接收来自多个邻居网络设备的邻居发现分组，其中，邻居发现分组是依据邻居发现协议发现多个邻居网络设备的一部分，并且邻居发现分组包括关于每个邻居网络设备的类型的验证数据；根据邻居发现分组，由计算机网络设备判定每个邻居网络设备的验证水平，其中，验证水平是由邻居网络设备的验证数据的类型确定的；在计算机网络设备处，将每个邻居网络设备的验证水平以及验证数据存储在表中；由计算机网络设备操作多个协议；使用表的验证水平以及验证数据针对每个协议建立与一个或多个邻居网络设备的通信权限，其中，每个协议要求特定的验证水平来建立通信权限。

根据本公开实施例的第二方面，提供了一种用于使用邻居发现来创建信任信息的方法，包括：在本地设备处从其他设备接收邻居发现分组，邻居发现分组作为邻居发现协议的一部分而产生，邻居发现协议负责发现层2或层3处的其他设备，其中，邻居发现分组包括用于与其他设备进行通信的验证数据；在本地设备处使用接收到的邻居发现分组和验证数据生成关于其它设备的信任信息数据库；通过在本地设备上运行的应用在本地设备处查阅信任信息数据库；基于所查阅的信任信息，拒绝本地设备建立到其它设备中的第一设备的针对应用中的第一应用的通信链路；以及基于所查阅的信任信息，允许针对应用中的第二应用的通信链路。

根据本公开实施例的第三方面，提供了一种用于使用邻居发现来创建信任信息的装置，包括：存储器，存储器可操作来存储关于多个通信连通的设备的信任信息；处理器，处理器被配置为：在对多个通信连通的设备的初始邻居发现期间从多个通信连通的设备接收邻居发现分组，邻居发现分组包括用于与多个通信连通的设备进行通信的验证数据，其中，初始邻居发现作为邻居发现协议的一部分，邻居发现协议负责发现来自装置的每个链路处的通信连通的设备；在设备的邻居发现期间使用验证数据根据邻居发现分组对信任信息进行判定，其中信任信息确定设备是否处于相同的域中；以及执行多个协议，多个协议使用先前所发现的信任信息以及验证数据判定是否与设备中的各个设备进行通信。

附图说明

为提供对本公开及其特征和优点的更完全的理解，结合附图参考以下描述，其中相同的附图标记代表相同的部件。

图1是使用邻居发现来为其它应用创建信任信息的示例网络环境的简化框图。

图2是信任信息的示例表。

图3是使用邻居发现来为其它应用创建信任信息的网络设备的一个实施例的框图。

图4是使用邻居发现来为其它应用创建信任信息的方法的一个实施例的流程图。

图5是使用邻居发现来为其它应用创建信任信息的方法的另一实施例的流程图。

图6是根据一个实施例由其它应用使用信任信息的方法的流程图。

具体实施方式

邻居发现用于为其它应用创建通用的信任数据库。每个设备使用邻居发现来发现其邻居。在邻居发现期间，每个设备定期地向其它设备发送凭证。接收设备对相邻设备的凭证执行分类和验证。凭证和验证结果存储在本地，而无需对其它应用执行单独的认证。信任数据库与验证的结果作为邻居表而被创建和维护。

然后，通用信任数据库可以被其它协议查阅。邻居发现可以使用各种底层协议中的任何协议，但是产生的表对结果进行统合，使得其它应用或协议可以利用安全身份(identity)的特性而无需实现它们自己的发现过程。发现和验证都可以在本地被实现而不依赖于中央服务器。手动配置可以被避免。