认证的方法及网络装置与流程

本申请涉及通信领域，尤其涉及一种认证的方法及网络装置。

背景技术：

网络装置上电(poweron)后，网络装置通过承担宣誓(pledge)的角色获取并保存本地设备标识(localdeviceidentity，ldevid)。具体来说，网络装置根据通过安全传输进行登记(enrollmentoversecuretransport，est)协议经由电路代理(circuitproxy)获取来自域记录者(domainregistrar)的ldevid，从而使得网络装置加入所述circuitproxy所属的域(domain)。然后，所述网络装置利用ldevid对所述circuitproxy进行认证。关于est协议，可以参考互联网工程任务组(internetengineeringtaskforce，ietf)发布的rfc7030。关于pledge、circuitproxy以及domainregistrar，请参考ietf发布的draft-ietf-anima-bootstrapping-keyinfra-07。关于ldevid，请参考ietf发布的draft-ietf-anima-autonomic-control-plane-08。

已保存了ldevid的网络装置下电(poweroff)后，所述网络装置再次上电时，所述网络装置仍然需要根据est协议请求domainregistrar提供ldevid。由于所述网络装置已获取了ldevid，所述网络装置向domainregistrar提出的请求可能被拒绝。以上导致所述网络装置无法实现对circuitproxy的认证。

技术实现要素：

第一方面，本申请实施例提供了一种认证方法。所述认证方法包括如下步骤。网络装置接收circuitproxy发送的域名，所述circuitproxy发送的域名指示所述circuitproxy所属的域。所述网络装置确定所述circuitproxy发送的域名与所述网络装置已保存的ldevid中的域名是否相同。当所述网络装置确定所述circuitproxy发送的域名与所述ldevid中的域名相同时，所述网络装置确定所述网络装置对所述circuitproxy的认证获得通过。

上述技术方案中，网络装置接收到circuitproxy发送的域名后，网络装置利用所述网络装置已保存的ldevid实现了对circuitproxy的认证。因此，上述方案可以实现网络装置对circuitproxy的认证。

可选地，上述技术方案中，所述网络装置接收所述circuitproxy发送的域名之前，所述方法还包括：所述网络装置上电。所述网络装置上电之后，以及，所述网络装置确定所述网络装置对所述circuitproxy的认证获得通过之前，所述网络装置避免使用通过安全传输进行登记est协议获得来自domainregistrar的ldevid。

上述技术方案中，在所述网络装置已保存了ldevid的情况下，可以避免所述网络装置重新启动后使用est协议请求domainregistrar向所述网络装置分发ldevid。有助于降低所述网络装置的开销。另外，可以避免domainregistrar拒绝向所述网络装置分发ldevid而导致所述网络装置无法对所述circuitproxy进行认证。提高了所述网络装置对所述circuitproxy的认证获得通过的成功率。

可选地，上述技术方案中，所述网络装置已保存的ldevid是所述网络装置在所述网络装置上电之前，所述网络装置使用est协议从所述domainregistrar获得的。

可选地，上述技术方案中，所述circuitproxy发送的域名携带在洪水消息(flood-message)中。

可选地，上述技术方案中，还包括:当所述网络装置确定所述网络装置已保存的ldevid的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时，所述网络装置请求对所述网络装置已保存的ldevid进行更新。

上述技术方案中，所述网络装置已保存的ldevid尚未失效时，所述网络装置请求对所述网络装置已保存的ldevid进行更新。相对于所述网络装置已保存的ldevid处于失效状态时，所述网络装置请求对所述网络装置已保存的ldevid进行更新的技术方案，上述技术方案提前请求对所述网络装置已保存的ldevid进行更新，有助于避免所述网络装置由于已保存的ldevid失效而导致的问题。例如，所述网络装置已保存的ldevid失效可能导致所述网络装置无法接入网络。

第二方面，提供了一种网络装置。所述网络装置包括收发器、处理器以及存储器。其中，所述存储器用于保存ldevid，所述收发器用于接收circuitproxy发送的域名，所述circuitproxy发送的域名指示所述circuitproxy所属的域，所述处理器用于：确定所述circuitproxy发送的域名与所述存储器保存的本地设备标识ldevid中的域名是否相同；当所述circuitproxy发送的域名与所述存储器保存的ldevid中的域名相同时，确定所述网络装置对所述circuitproxy的认证获得通过。

上述技术方案中，网络装置接收到circuitproxy发送的域名后，网络装置利用所述网络装置已保存的ldevid实现了对circuitproxy的认证。因此，上述方案可以实现网络装置对circuitproxy的认证。

可选地，上述技术方案中，所述装置还包括电源适配器。所述电源适配器用于在所述收发器接收所述circuitproxy发送的域名之前，对所述网络装置上电。所述电源适配器对所述网络装置上电之后，以及，所述处理器确定所述circuitproxy发送的域名与所述存储器保存的本地设备标识ldevid中的域名是否相同之前，所述处理器还用于避免使用通过安全传输进行登记est协议获得来自domainregistrar的ldevid。

上述技术方案中，在所述网络装置已保存了ldevid的情况下，可以避免所述网络装置重新启动后使用est协议请求domainregistrar向所述网络装置分发ldevid。有助于降低所述网络装置的开销。另外，可以避免domainregistrar拒绝向所述网络装置分发ldevid而导致所述网络装置无法对所述circuitproxy进行认证。提高了所述网络装置对所述circuitproxy的认证获得通过的成功率。

可选地，上述技术方案中，所述存储器保存的ldevid是所述电源适配器对所述网络装置上电之前，所述处理器使用est协议从所述domainregistrar获得的。

可选地，上述技术方案中，所述circuitproxy发送的域名携带在flood-message中。

可选地，上述技术方案中，所述处理器还用于：当所述存储器中保存的ldevid的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时，请求对所述存储器中保存的ldevid进行更新。

上述技术方案中，所述网络装置已保存的ldevid尚未失效时，所述网络装置请求对所述网络装置已保存的ldevid进行更新。相对于所述网络装置已保存的ldevid处于失效状态时，所述网络装置请求对所述网络装置已保存的ldevid进行更新的技术方案，上述技术方案提前请求对所述网络装置已保存的ldevid进行更新，有助于避免所述网络装置由于已保存的ldevid失效而导致的问题。例如，所述网络装置已保存的ldevid失效可能导致所述网络装置无法接入网络。

第三方面，提供了一种网络装置。所述网络装置包括接收单元、第一确定单元以及第二确定单元。第三方面提供的网络装置可以用于执行第一方面提供的方法。其中，接收单元用于接收circuitproxy发送的域名，所述circuitproxy发送的域名指示所述circuitproxy所属的域；第一确定单元用于确定所述circuitproxy发送的域名与所述网络装置已保存的ldevid中的域名是否相同；第二确定单元用于当所述网络装置确定所述circuitproxy发送的域名与所述ldevid中的域名相同时，确定所述网络装置对所述circuitproxy的认证获得通过。

上述技术方案中，网络装置接收到circuitproxy发送的域名后，网络装置利用所述网络装置已保存的ldevid实现了对circuitproxy的认证。因此，上述方案可以实现网络装置对circuitproxy的认证。

第四方面，提供了一种网络装置。所述网络装置包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口通过通信总线连接。所述存储器用于存储程序。所述处理器根据从所述存储器中读取的程序，执行第一方面提供的方法。

第五方面，提供了一种计算机可读存储介质。所述计算机可读存储介质保存计算机程序。当所述计算机程序被处理器或计算机执行时，可以使得所述处理器或者所述计算机执行第一方面提供的方法。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍。显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种网络的结构示意图。

图2为本申请实施例提供的一种网络装置加入域的流程示意图。

图3为本申请实施例提供的一种认证方法的流程示意图。

图4为本申请实施例提供的一种认证方法的流程示意图。

图5为本申请实施例提供的一种网络装置的结构示意图。

图6为本申请实施例提供的一种网络装置的结构示意图。

图7为本申请实施例提供的一种网络装置的结构示意图。

具体实施方式

图1为本发明实施例提供的一种网络的结构示意图。参见图1，所述网络包括客户边缘设备ce101、ce104、运营商边缘设备pe102、pe103以及服务器105。举例来说，ce可以是customeredgerouter(ce-r)或者customeredgeswitch(ce-s)。pe可以是provideredgerouter(pe-r)或者provideredgeswitch(pe-s)。关于pe、pe-r、pe-s、ce、ce-r以及ce-s的定义及功能可以参考rfc4026。服务器105可以是providerdevice。关于providerdevice的定义及功能，可以参考rfc4031。

上述网络可以用于提供l2vpn业务。所述l2vpn业务可以实现位于不同城市的主机之间的通信。假设ce101、pe102、pe103、ce104位于一个l2vpn中，例如ce101可以位于纽约。ce101可以将位于纽约的多个主机(图中未示出)接入所述l2vpn。例如，ce104可以位于洛杉矶。类似地，ce104可以将位于洛杉矶的多个主机(图中未示出)接入所述l2vpn。进而，实现了位于不同城市的主机之间的通信。

图1所示的网络可以是某个网络运营商建设并运营的。例如，网络运营商可以是comcast、verizon或者telefonica。网络运营商建设网络时，可以将多个网络装置逐个接入到该网络中。为了确保网络安全，每个网络装置接入该l2vpn网络前，可以将网络装置加入到域。当网络装置接收域证书的颁发者颁发的域证书时，网络装置加入了域。例如，自治业务代理(autonomicserviceagent，asa)可以根据通用自治信令协议(genericautonomicsignalingprotocol，grasp)对该网络装置进行发现、认证以及协商。关于grasp，可以参考draft-ietf-anima-grasp-09。

假设网络运营商利用两个阶段将网络装置加入到域证书颁发者所属的域。在第一阶段，网络运营商将pe102、pe103、ce104加入到域证书颁发者所属的域。在第二阶段，网络运营商将ce101加入到域证书颁发者所属的域。

服务器105能够对需要加入到域的网络装置进行管理。具体来说，服务器105能够向需要加入到域的网络装置颁发域证书。服务器105颁发的域证书中包含颁发者的名称(issuername)。域证书中包含的颁发者的名称也可以称为域名。域证书是服务器105颁发的，因此，颁发者的名称是服务器105的标识。当网络装置接收到服务器105颁发的域证书时，网络装置加入到服务器105所属的域。

服务器105具有domainregistrar的功能。在第一阶段中，服务器105承担domainregistrar的角色。pe102、pe103、ce104根据引导远程安全密钥基础设施(bootstrappingremotesecurekeyinfrastructures，brski)，分别与服务器105进行交互，获得服务器105颁发的证书。pe102、pe103、ce104分别获得服务器105颁发的证书后，pe102、pe103、ce104加入到服务器105所属的域。

第一阶段之后，在第二阶段中，服务器105承担domainregistrar的角色，pe102具有circuitproxy的功能。因此，当新的网络装置，比如客户边缘设备101需要经由pe102加入所述服务器105所属的域时，pe102承担circuitproxy的角色。其中，新的网络装置，比如客户边缘设备101加入所述服务器105所属的域的过程中，客户边缘设备101承担pledge的角色。服务器105、pe102以及ce101根据grasp执行发现、认证以及协商。

图2为本申请实施例提供的一种网络装置加入服务器105所属的域的流程示意图。图1中ce101可以是设备提供商向网络运营商提供的。设备提供商可以思科或者华为。ce101中保存了设备提供商为ce101分配的idevid。举例来说，idevid可以是x.509证书。关于idevid，可以参考draft-ietf-anima-autonomic-control-plane-08对idevid的描述，此处不再赘述。

将设备提供商提供的ce101连接到pe102后，网络运营商的工程师可以通过按压ce101的电源按钮(powerbutton)，从而使得ce101上电。所述上电可以是ce101的首次上电。ce101上电后，ce101可以监听m_flood消息。下文结合图1对当ce101承担pledge的角色时，ce101加入域的过程进行说明。

s201.ce101接收pe102发送的m_flood消息。

具体来说，当pe102承担asa的角色时，pe102可以通过graspm_flood机制，周期性地向与pe102通信连接的客户边缘设备发布m_flood消息。关于graspm_flood机制，可以参考draft-ietf-anima-bootstrapping-keyinfra-07的描述。

s202.ce101和服务器105之间建立传输层安全(transportlayersecurity，tls)会话。

ce101可以通过利用pe102发布的m_flood消息，经由pe102建立ce101与服务器105之间tls会话。关于tls会话，可以参考rfc5247。

s203.服务器105与ce101执行双向认证。

具体来说，双向认证包括服务器105对ce101的认证，以及ce101对服务器105的认证。服务器105可以利用ce101与服务器105之间tls会话，对ce101进行认证。服务器105对ce101的认证也可以称为registrartlsserverauthentication。具体包括服务器105向ce101发送ldevid以请求ce101对服务器105进行认证。

所述ldevid可以是服务器105根据x.509协议生成的公钥证书(publickeycertificate)。举例来说，所述ldevid包括证书(certificate)、证书签名算法(certificatesignaturealgorithm)以及证书签名(certificatesignature)。所述证书包括版本号(versionnumber)、序列号(serialnumber)、签名算法标识(signaturealgorithmid)、颁发者的名称(issuername)、有效期(validityperiod)等。ldevid是服务器105颁发的，因此，所述issuername是服务器105的标识。

ce101可以利用ce101与服务器105之间tls会话，对服务器105进行认证。ce101对服务器105的认证也可以称为x.509clientauthentication。具体包括ce101向服务器105发送idevid。关于服务器105与ce101之间的双向认证，可以参考draft-ietf-anima-bootstrapping-keyinfra-07的2.3protocolflow。

s204.服务器105向ce101分发凭证(voucher)。

服务器105可以从提供商业务(vendorservice)获取voucher。服务器105把从vendorservice获取的voucher发送给ce101。voucher是(manufacturerauthorizedsigningauthority，masa)service提供的用于指示服务器105的domainregistrar的密码学身份(cryptographicidentity)的签名的声明(signedstatement)。ce101应当信任服务器105的domainregistrar的密码学身份。关于voucher的格式以及功能，可以参考ietf在2017年7月3日发布的draft-ietf-anima-voucher-04，此处不再赘述。

关于服务器105向ce101分发voucher，可以参考draft-ietf-anima-bootstrapping-keyinfra-07的第2.3节协议流程(protocolflow)。

s205.服务器105向ce101分发ldevid。

具体来说，服务器105可以生成ldevid。服务器105可以根据rfc7030向ce101分发ldevid。ce101接收到ldevid后，可以保存ldevid。例如，ce101将ldevid保存在ce101中的非易失性存储器中。所述非易失性存储器可以是硬盘(harddisc)、紧凑快闪(compactflash)卡或者固态盘(solidstatedisk)。

ce101接收到ldevid则表明ce101接收到domainregistrar颁发的证书。因此，可以认为ce101加入到domainregistra所属的域。

ce101加入domainregistra所属的域后，由于某些原因，ce101可能发生下电。例如，ce101发生故障，ce101需要进行升级等。ce101下电导致ce101离开domainregistra所属的域。ce101下电后，ce101重新上电。所述重新上电可以是对ce101进行重启操作导致的。ce101重新上电后，ce101避免使用est协议获得来自服务器105的ldevid。

图3为本申请实施例提供的一种认证方法的流程示意图。图3所示的方法是在图2所示的方法之后执行的。下文结合图3对ce101重新上电并与pe102通信连接后，ce101对pe102的认证过程进行说明：

s301.ce101监听pe102发送的m_flood消息。

pe102可以通过graspm_flood机制，周期性地向与pe102通信连接的客户边缘设备，比如ce101，发布m_flood消息。pe102承担ce101重新上电后，ce101对pe102发送的m_flood消息进行监听。pe102发送的m_flood消息中包含pe102所属的域的域名。

具体来说，m_flood消息中可以携带pe102颁发的域证书(domainca)。例如，pe102颁发的域证书可以携带在m_flood消息的目标(objective)中。m_flood消息可以包括会话标识(session-id)、发起者(initiator)、生存时间(tt1)以及objective。关于m_flood消息的格式，可以参考draft-ietf-anima-bootstrapping-keyinfra-07的描述。

pe102颁发的域证书是pe102接收到服务器105颁发的域证书后，对服务器105颁发的域证书进行签名生成的。服务器105颁发的域证书中包含了颁发者的名称(issuername)。m_flood消息中包含pe102所属的域的域名，m_flood消息中包含的pe102所述的域的域名可以是服务器105颁发的域证书中包含的issuername。服务器105颁发的域证书的颁发者是服务器105，因此，服务器105颁发的域证书中的issuername是服务器105的标识。

s302.ce101获取m_flood消息中的域名。

ce101可以对m_flood消息进行解析，从而从m_flood消息的objective中获取域名(即颁发者的名称)。m_flood消息中的颁发者的名称是服务器105的标识。

s303.ce101获取ce101保存的ldevid中的域名。

例如，ce101中的中央处理器(centralprocessingunit)可以访问ce101中的非易失性存储器，从而获取ce101中保存的ldevid。ce101保存的ldevid是ce101首次与服务器105基于grasp通信时服务器105颁发给ce101的，因此，ce101保存的ldevid中包含的域名(即颁发者的名称)是服务器105的标识。

s304.ce101确定ce101对pe102的认证获得通过。

ce101将m_flood消息中的域名与ldevid中的域名进行比较。当ce101确定m_flood消息中的域名与ldevid中的域名相同时，所述ce101确定所述ce101对pe102的认证获得通过。

例如，ce101中的cpu可以将m_flood消息中的域名保存在所述cpu的一个寄存器中。ce101中的cpu可以将ldevid中的域名保存在所述cpu的另一个寄存器中。所述cpu的算术逻辑单元可以根据比较指令，对一个寄存器中保存的m_flood消息中的域名以及另一个寄存器中保存的ldevid中的域名进行比较，从而确定m_flood消息中的域名与ldevid中的域名是否相同。

上述技术方案中，ce101重新上电后，ce101没有使用est协议请求服务器105向ce101颁发ldevid。因此，上述技术方案可以避免ce101向服务器105提出的ldevid颁发请求被拒绝。另外，ce101利用已保存的ldevid实现了对pe102的认证。因此，上述方案实现了ce101在没有使用est协议从服务器105获取ldevid的情况下，对pe102的认证。

图4为本申请实施例提供的一种认证方法的流程示意图。参见图4，所述认证方法包括s401至s403。举例来说，所述认证方法的执行主体可以是图3涉及的ce101。具体的，所述认证方法可以通过执行图3所示的方法实现。

s401.网络装置接收circuitproxy发送的域名。

所述circuitproxy发送的域名指示所述circuitproxy所属的域。

举例来说，所述网络装置可以是路由器、网络交换机、防火墙、负载均衡器或者基站。所述circuitproxy可以是路由器。

例如，所述网络装置可以是图3所示的方法涉及的ce101。所述circuitproxy可以是图3所示的方法涉及的pe102。关于s401可以参考图3所示的实施例对s301的描述。

s402.所述网络装置确定所述circuitproxy发送的域名与所述网络装置已保存的ldevid中的域名是否相同。

举例来说，所述网络装置可以获取所述circuitproxy发送的域名，并获取所述网络装置中已保存的ldevid。然后，所述网络装置可以将circuitproxy发送的域名与所述网络装置中已保存的ldevid中的域名进行比较，从而确定所述circuitproxy发送的域名与所述网络装置已保存的ldevid中的域名是否相同。例如，ce101可以执行s302以及s303，从而获取m_flood消息中的域名以及所述网络装置已保存的ldevid中的域名。

s403.当所述网络装置确定所述circuitproxy发送的域名与所述ldevid中的域名相同时，所述网络装置确定所述网络装置对所述circuitproxy的认证获得通过。

例如，ce101可以执行s304，从而确定ce101对pe102的认证获得通过。

上述技术方案中，网络装置接收到circuitproxy发送的域名后，网络装置利用所述网络装置已保存的ldevid实现了对circuitproxy的认证。因此，上述方案可以实现网络装置对circuitproxy的认证。

可选地，上述技术方案中，

s401之前，所述方法还包括：所述网络装置上电。

所述网络装置上电之后，以及s403之前，所述方法还包括：

所述网络装置避免使用est协议获得来自domainregistrar的ldevid。

举例来说，所述网络装置上电具体可以是所述网络装置下电后重新上电。

举例来说，所述domainregistrar可以是服务器105。所述网络装置避免使用est协议获得来自domainregistrar的ldevid具体可以是，所述网络装置避免根据rfc7030请求domainregistrar向所述网络装置分发ldevid。

上述技术方案中，在所述网络装置已保存了ldevid的情况下，可以避免所述网络装置重新启动后使用est协议请求domainregistrar向所述网络装置分发ldevid。有助于降低所述网络装置的开销。另外，可以避免domainregistrar拒绝向所述网络装置分发ldevid而导致所述网络装置无法对所述circuitproxy进行认证。提高了所述网络装置对所述circuitproxy的认证获得通过的成功率。

可选地，上述技术方案中，所述网络装置已保存的ldevid是所述网络装置在所述网络装置上电之前，所述网络装置使用通过安全传输进行登记est协议从所述domainregistrar获得的。

例如，所述网络装置上电具体可以是所述网络装置下电后重新上电。

在所述网络装置上电之前，具体可以是所述网络装置重新上电之前。

所述网络装置使用通过安全传输进行登记est协议从所述domainregistrar获得ldevid具体可以是，所述网络装置根据rfc7030请求domainregistrar向所述网络装置分发ldevid。具体地，可以参考图2所示的实施例对s207的描述。

可选地，上述技术方案中，所述circuitproxy发送的域名携带在洪水消息flood-message中。

具体地，flood-message具体可以是m_flood消息。关于flood-message携带域名，可以参考图3所示的实施例对s301的描述。

可选地，上述技术方案中，所述方法还包括：

当所述网络装置确定所述网络装置已保存的ldevid的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时，所述网络装置请求对所述网络装置已保存的ldevid进行更新。

所述预定的时间间隔为正数。例如，所述预定的时间间隔为1月、1天、1小时或者1分钟。

例如，ldevid可以包含到期日(expirationdate)。举例来说，ldevid包含的到期日的值为2010年1月1日。那么，ldevid的失效时间为2010年1月2日。也就是说，只要当前时间没到2010年1月2日，ldevid处于有效状态。例如，假设当前时间是2010年1月1日23时59分，ldevid处于有效状态。假设当前时间是2010年1月2日0时0分0秒，ldevid处于失效状态。

举例来说，所述网络装置可以根据rfc7030请求domainregistrar向所述网络装置分发新的ldevid。所述网络装置接收到domainregistrar分发的新的ldevid后，所述网络装置可以用所述新的ldevid替换所述网络装置已保存的ldevid。

上述技术方案中，所述网络装置已保存的ldevid尚未失效时，所述网络装置请求对所述网络装置已保存的ldevid进行更新。相对于所述网络装置已保存的ldevid处于失效状态时，所述网络装置请求对所述网络装置已保存的ldevid进行更新的技术方案，上述技术方案提前请求对所述网络装置已保存的ldevid进行更新，有助于避免所述网络装置由于已保存的ldevid失效而导致的问题。例如，所述网络装置已保存的ldevid失效可能导致所述网络装置无法接入网络。

图5为本申请实施例提供的一种网络装置的结构示意图。参见图5，网络装置500包括收发器501、处理器502以及存储器503。收发器501与处理器502耦合。存储器503与处理器502耦合。

举例来说，网络装置500可以用于执行图4所示的方法。具体地，收发器501可以用于执行s401。处理器502可以用于执行s402以及s403。

存储器503用于保存ldevid。

举例来说，存储器503可以是非易失性存储器。所述非易失性存储器可以是硬盘、紧凑快闪卡或者固态盘。网络装置500还可以包括存储控制器。所述存储控制器接收到ldevid后，可以对存储器503执行写操作，从而将ldevid保存在存储器503中。

收发器501用于接收电路代理circuitproxy发送的域名，所述circuitproxy发送的域名指示所述circuitproxy所属的域。

举例来说，收发器501可以包括发送器(transmitter)以及接收器(receiver)。所述发送器和所述接收器被合并。另外，所述发送器和所述接收器共享公共电路(commoncircuitry)或者一个外壳(housing)。

处理器502用于：确定所述circuitproxy发送的域名与存储器503保存的本地设备标识ldevid中的域名是否相同；当所述circuitproxy发送的域名与所述存储器保存的ldevid中的域名相同时，确定所述网络装置对所述circuitproxy的认证获得通过。

举例来说，处理器502可以是cpu。网络装置500可以包括指令存储器。所述指令存储器中存储了计算机程序。处理器502可以通过执行所述计算机程序，执行如下步骤：确定所述circuitproxy发送的域名与存储器503保存的本地设备标识ldevid中的域名是否相同；以及，当所述circuitproxy发送的域名与所述存储器保存的ldevid中的域名相同时，确定所述网络装置对所述circuitproxy的认证获得通过。

可选地，网络装置500还包括电源适配器。

所述电源适配器用于在收发器501接收所述circuitproxy发送的域名之前，对网络装置500上电。

电源适配器对网络装置500上电之后，以及，处理器502确定所述circuitproxy发送的域名与存储器503保存的本地设备标识ldevid中的域名是否相同之前，处理器502还用于避免使用通过安全传输进行登记est协议获得来自域记录者domainregistrar的ldevid。

可选地，存储器503保存的ldevid是所述电源适配器对网络装置500上电之前，处理器502使用通过安全传输进行登记est协议从所述domainregistrar获得的。

可选地，所述circuitproxy发送的域名携带在洪水消息(flood-message)中。

可选地，处理器502还用于：当存储器503中保存的ldevid的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时，请求对存储器503中保存的ldevid进行更新。

图6为本申请实施例提供的一种网络装置的结构示意图。参见图6，网络装置600包括接收单元601、第一确定单元602以及第二确定单元603。

接收单元601用于接收电路代理circuitproxy发送的域名，所述circuitproxy发送的域名指示所述circuitproxy所属的域。

第一确定单元602用于确定所述circuitproxy发送的域名与所述网络装置已保存的本地设备标识ldevid中的域名是否相同。

第二确定单元603用于当所述网络装置确定所述circuitproxy发送的域名与所述ldevid中的域名相同时，确定所述网络装置对所述circuitproxy的认证获得通过。

举例来说，网络装置600可以用于执行图4所示的方法。具体地，接收单元601可以用于执行s401。第一确定单元602可以用于执行s402。第二确定单元603可以用于执行s403。

举例来说，网络装置600可以是网络装置500。具体地，接收单元601可以是收发器501。第一确定单元602可以是处理器502。第二确定单元603可以是处理器502。例如，网络装置600可以包括指令存储器。所述指令存储器中存储了计算机程序。处理器502可以通过执行所述计算机程序，实现第一确定单元602以及第二确定单元603的功能。

上述技术方案中，网络装置600还包括上电单元以及获得单元。

所述上电单元用于在接收单元601接收所述circuitproxy发送的域名之前，对所述网络装置上电。

上电单元对所述网络装置上电之后，以及，第二确定单元603确定所述网络装置对所述circuitproxy的认证获得通过之前，所述获得单元避免使用通过安全传输进行登记est协议获得来自域记录者domainregistrar的ldevid。

上述技术方案中，所述网络装置已保存的ldevid是所述网络装置在所述网络装置上电之前，所述网络装置使用通过安全传输进行登记est协议从所述domainregistrar获得的。

上述技术方案中，所述circuitproxy发送的域名携带在洪水消息flood-message中。

上述技术方案中，网络装置600还包括更新单元。所述更新单元用于当网络装置600确定网络装置600已保存的ldevid的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时，请求对网络装置600已保存的ldevid进行更新。

图7为本申请实施例提供的网络装置的结构示意图。该实施例的网络装置可以与图6对应实施例的网络装置为同一装置。该实施例的控制装置可以执行图4对应的实施例中网络装置所采用的方法。该实施例提供的网络装置包括：处理器701、存储器702和通信接口703。所述处理器701、所述存储器702和所述通信接口703通过通信总线704连接。所述存储器702用于存储程序或指令。所述处理器701根据从所述存储器702中读取的程序或指令，执行上述图4对应的实施例中网络装置所执行的方法步骤。

本申请实施例提供了一种计算机可读存储介质。所述计算机可读存储介质保存计算机程序。当所述计算机程序被处理器或计算机执行时，可以使得所述处理器或者所述计算机执行图4所示的方法。

本申请实施例中提及的“第一”和“第二”不表示先后顺序。本申请实施例中的“第一”和“第二”表示不同的设备和信息。

本领域的技术人员可以对本申请提供的实施例进行各种改动和变型。上述实施例中的处理器可以是微处理器或者该处理器也可以是任何常规的处理器。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。当使用软件实现时，可以将实现上述功能的代码存储在计算机可读介质中。计算机可读介质包括计算机存储介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以是随机存取存储器(randomaccessmemory，ram)、只读存储器(read-onlymemory，rom)、电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其他介质。计算机可读介质可以是压缩光碟(compactdisc，cd)、激光碟、光碟、数字视频光碟(digitalvideodisc，dvd)、软盘或者蓝光光碟。