專利名稱：生成樹協(xié)議的報文發(fā)送和接收方法、處理方法及設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域，尤其指一種生成樹協(xié)議的報文發(fā)送和接收方法、處理方法及設(shè)備。
背景技術(shù)：
在橋設(shè)備網(wǎng)絡(luò)中，為防止形成轉(zhuǎn)發(fā)環(huán)路，采用了IEEE標(biāo)準(zhǔn)中802.1D文檔描述的STP(Spanning Tree Protocol，生成樹協(xié)議)。采用了所述STP的橋設(shè)備網(wǎng)絡(luò)通過有選擇性地阻塞網(wǎng)絡(luò)冗余鏈路來達(dá)到消除網(wǎng)絡(luò)二層環(huán)路的目的，從而有效抑制廣播風(fēng)暴的產(chǎn)生。與此同時，STP還具有鏈路備份功能，一旦主用鏈路發(fā)生故障，備用鏈路能夠迅速恢復(fù)連通。
廣義上的生成樹協(xié)議還包括目前應(yīng)用較多的RSTP(Rapid Spanning TreeProtocol，快速生成樹協(xié)議)和MSTP(Multiple Spanning Tree Protocol，多生成樹協(xié)議)。RSTP和MSTP在原有的生成樹基礎(chǔ)上進(jìn)行了改進(jìn)，保證網(wǎng)絡(luò)發(fā)生拓?fù)涓淖兒鬆顟B(tài)能夠快速遷移，盡量降低網(wǎng)絡(luò)業(yè)務(wù)中斷的時間。
生成樹協(xié)議的基本思想在于通過構(gòu)造類似于一棵自然樹的數(shù)據(jù)鏈路達(dá)到裁減網(wǎng)絡(luò)中冗余環(huán)路的目的，當(dāng)網(wǎng)絡(luò)中開啟了生成樹協(xié)議的橋設(shè)備上電或網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化時，生成樹的工作過程就會開始。為了實現(xiàn)生成樹的功能，網(wǎng)橋之間必須要進(jìn)行一些信息的交流，這些信息交流單元就稱為配置消息BPDU(Bridge Protocol Data Unit，網(wǎng)橋協(xié)議數(shù)據(jù)單元)。生成樹協(xié)議中的BPDU是一種二層報文，所有支持生成樹協(xié)議的網(wǎng)橋都會接收并處理收到的BPDU報文。該報文的數(shù)據(jù)區(qū)中攜帶了用于生成樹計算的所有有用信息，包括發(fā)送端的網(wǎng)橋標(biāo)識符和發(fā)送端的端口標(biāo)識符，還包括假定為根橋的網(wǎng)橋和發(fā)送網(wǎng)橋到達(dá)根橋的路徑值，以及BPDU傳播所用的時間等。網(wǎng)橋以一定的時間間隔交換BPDU，如果某一網(wǎng)橋失效，將引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生改變，相鄰的網(wǎng)橋在一定時間內(nèi)就會檢測到配置消息的空缺，并重新初始化生成樹的過程。
上述生成樹的工作網(wǎng)絡(luò)中，如果有新的橋設(shè)備加入，不管是否合法，只要其運行生成樹協(xié)議，都會影響現(xiàn)有網(wǎng)絡(luò)中的拓?fù)?，?dǎo)致生成樹的重新建立，從而引起端口動蕩及網(wǎng)絡(luò)流量的中斷；另外，目前的生成樹協(xié)議報文都是遵照IEEE的標(biāo)準(zhǔn)格式實現(xiàn)的，由于采用公知的標(biāo)準(zhǔn)格式，攻擊者可以很輕易地構(gòu)造一個符合格式要求的生成樹協(xié)議攻擊報文對網(wǎng)絡(luò)進(jìn)行攻擊，對網(wǎng)絡(luò)的穩(wěn)定性產(chǎn)生很大影響。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種生成樹協(xié)議的報文發(fā)送和接收方法、處理方法及設(shè)備，以解決現(xiàn)有技術(shù)中生成樹協(xié)議的可靠性不高的問題。
為達(dá)到上述目的，本發(fā)明提出一種生成樹協(xié)議的報文發(fā)送方法，包括在待發(fā)送的網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU報文中添加密碼字段；根據(jù)報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼；將所述密碼存入所述密碼字段后封裝并發(fā)送報文。
所述根據(jù)報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼的方法包括根據(jù)預(yù)設(shè)的算法對報文中的數(shù)據(jù)字段進(jìn)行加密運算，得到與所述數(shù)據(jù)字段相關(guān)且全網(wǎng)唯一的密碼。
所述進(jìn)行加密運算獲取密碼之后且在所述將密碼封裝入報文之前還包括對所述密碼進(jìn)行二次加密，將經(jīng)過二次加密得到的密碼存入報文的所述密碼字段。
所述進(jìn)行二次加密的方法包括對所述進(jìn)行加密運算得到的密碼進(jìn)行MD5加密，或?qū)λ鲞M(jìn)行加密運算得到的密碼進(jìn)行字符序調(diào)整或偏移。
本發(fā)明還提出一種生成樹協(xié)議的報文接收方法，包括對待接收的BPDU報文進(jìn)行解析，從密碼字段獲取密碼；使用發(fā)送端獲取密碼的方法對待接收報文中發(fā)送端進(jìn)行加密運算所用的數(shù)據(jù)字段進(jìn)行密碼校驗運算；
判斷校驗運算所得的密碼與所述從報文中解析出的密碼是否一致，如果一致則接收并處理報文；否則丟棄報文。
所述對報文進(jìn)行解析之前還包括設(shè)置接收權(quán)限模式，并在接收報文時，根據(jù)所設(shè)置的接收權(quán)限模式對待接收報文進(jìn)行處理。
所述接收權(quán)限模式可設(shè)置為安全模式，在所述安全模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進(jìn)行所述密碼校驗運算，根據(jù)密碼校驗結(jié)果確定對報文進(jìn)行的后續(xù)處理；如果不包括密碼字段，則直接丟棄報文。
所述接收權(quán)限模式可設(shè)置為公共模式，在所述公共模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進(jìn)行所述密碼校驗運算，根據(jù)密碼校驗結(jié)果確定對報文進(jìn)行的后續(xù)處理；如果不包括密碼字段，則直接接收并處理報文，且所回復(fù)的響應(yīng)報文中也不添加密碼字段。
本發(fā)明還提出一種生成樹協(xié)議的報文處理方法，在BPDU報文中添加密碼字段，發(fā)送報文時，根據(jù)待發(fā)送報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼，并存入所述密碼字段，然后發(fā)送；接收報文時，從待接收報文的所述密碼字段獲取密碼，并根據(jù)所述加密運算的算法及待接收報文中加密運算所用的數(shù)據(jù)字段進(jìn)行校驗運算，如果校驗運算結(jié)果與所述密碼一致，則接收并處理報文；否則丟棄報文。
所述進(jìn)行加密運算獲取密碼之后還包括對所述密碼進(jìn)行二次加密，并將經(jīng)過二次加密得到的密碼存入所述密碼字段，然后發(fā)送；則在所述接收報文時，進(jìn)行所述校驗運算后還包括根據(jù)所述二次加密的算法對所述校驗運算結(jié)果進(jìn)行二次校驗運算。
所述進(jìn)行二次加密的方法包括對所述進(jìn)行加密運算得到的密碼進(jìn)行MD5加密，或?qū)λ鲞M(jìn)行加密運算得到的密碼進(jìn)行字符序調(diào)整或偏移。
所述接收報文之前還包括設(shè)置接收權(quán)限模式；則在所述接收報文時，根據(jù)預(yù)設(shè)的接收權(quán)限模式對待接收報文進(jìn)行處理。
本發(fā)明提出一種生成樹協(xié)議的報文發(fā)送設(shè)備，包括報文發(fā)送單元，還包括報文封裝單元及加密運算單元，所述報文封裝單元，在待發(fā)送的BPDU報文中添加密碼字段；所述加密運算單元根據(jù)報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼，將所述密碼存入所述密碼字段后由所述報文封裝單元封裝報文；所述報文發(fā)送單元對封裝后的報文進(jìn)行發(fā)送。
還包括二次加密單元，所述二次加密單元對所述加密運算單元獲取的密碼進(jìn)行二次加密，并將經(jīng)過二次加密得到的密碼存入所述密碼字段。
所述二次加密包括對所述進(jìn)行加密運算得到的密碼進(jìn)行MD5加密，或?qū)λ鲞M(jìn)行加密運算得到的密碼進(jìn)行字符序變化或偏移。
本發(fā)明還提出一種生成樹協(xié)議的報文接收設(shè)備，包括報文處理單元，還包括報文緩存單元及報文解析校驗單元；所述報文緩存單元，存儲待接收的BPDU報文；所述報文解析校驗單元，從待接收報文的密碼字段獲取密碼，并使用發(fā)送端獲取密碼的方法對待接收報文中發(fā)送端進(jìn)行加密運算時所用的數(shù)據(jù)字段進(jìn)行密碼校驗運算，如果校驗運算所得的密碼與所述從報文密碼字段獲取的密碼一致，則轉(zhuǎn)由所述報文處理單元進(jìn)行處理；否則丟棄報文。
還包括權(quán)限設(shè)置單元及報文檢測單元，所述權(quán)限設(shè)置單元，設(shè)置所述報文接收設(shè)備的接收權(quán)限模式；所述報文檢測單元，根據(jù)預(yù)設(shè)的接收權(quán)限模式對所述報文緩存單元中的待接收報文進(jìn)行檢測，確定報文中是否包括密碼，并根據(jù)檢測結(jié)果確定對所述待接收報文進(jìn)行的后續(xù)處理。
所述權(quán)限設(shè)置單元設(shè)置所述報文接收設(shè)備的接收權(quán)限模式為安全模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉(zhuǎn)由所述報文解析校驗單元處理；否則丟棄報文。
所述權(quán)限設(shè)置單元設(shè)置所述報文接收設(shè)備的接收權(quán)限模式為公共模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉(zhuǎn)由所述報文解析校驗單元處理；否則轉(zhuǎn)由所述報文處理單元進(jìn)行處理，所述報文處理單元進(jìn)一步判斷接收的報文是否需要響應(yīng)，如果是則回復(fù)不添加密碼字段的響應(yīng)報文。
與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點本發(fā)明通過在BPDU報文中添加密碼字段實現(xiàn)對生成樹協(xié)議的鑒權(quán)，能夠有效防止惡意攻擊及避免網(wǎng)絡(luò)震蕩，從而提高生成樹協(xié)議在網(wǎng)絡(luò)應(yīng)用中的可靠性。


圖1為本發(fā)明生成樹協(xié)議的報文處理方法的實施例流程圖；圖2為本發(fā)明生成樹協(xié)議的報文發(fā)送方法的實施例流程圖；圖3為本發(fā)明生成樹協(xié)議的報文接收方法的實施例流程圖；圖4為本發(fā)明生成樹協(xié)議的報文發(fā)送設(shè)備的實施例圖；圖5為本發(fā)明生成樹協(xié)議的報文接收設(shè)備的實施例圖。
具體實施例方式
下面以具體實施例結(jié)合附圖對本發(fā)明進(jìn)一步加以闡述。
本發(fā)明公開一種生成樹協(xié)議的報文處理方法，如圖1所示，其一實施例包括如下步驟S101、在待發(fā)送的BPDU報文中添加密碼字段，根據(jù)預(yù)設(shè)的算法對報文的至少一個數(shù)據(jù)字段進(jìn)行加密運算獲取密碼，將該密碼存入密碼字段后封裝并發(fā)送報文。
現(xiàn)有技術(shù)的BPDU報文，以配置BPDU報文為例，其格式如下表所示


本發(fā)明生成樹協(xié)議的報文處理方法通過在BPDU報文中添加密碼字段實現(xiàn)協(xié)議互通性鑒權(quán)。其中的密碼字段并非全網(wǎng)一致，而是按照預(yù)先設(shè)定的加密算法對報文內(nèi)容中一些數(shù)據(jù)字段進(jìn)行運算得出。所述加密運算的方式并無限制，甚至可以手工指定，但是保證密碼與一些關(guān)鍵字段相關(guān)且密碼本身是全網(wǎng)唯一的，例如與上表中的網(wǎng)橋ID和端口ID等參數(shù)相關(guān)，以保證接收報文的生成樹協(xié)議設(shè)備能夠根據(jù)報文內(nèi)容判定密碼的合法性，因此要求同一網(wǎng)絡(luò)中，對所有的生成樹協(xié)議設(shè)備應(yīng)該配置相同的鑒權(quán)密碼計算方式。本實施例中以橋MAC(MediaAccess Control，介質(zhì)訪問控制層)地址+端口索引+端口速率連接成的字符串作為密碼計算方式。設(shè)發(fā)送端的橋MAC地址為000f-e229-0020，端口索引為125，端口速率協(xié)商為100M，則發(fā)送的BPDU報文將帶上的密碼為000fe2290020#0125#000100。
另外，為了進(jìn)一步增加安全性，可對經(jīng)加密運算得到的密碼進(jìn)行二次加密，從而使密碼的內(nèi)容不再顯而易見。該二次加密算法可以是MD5加密，也可以為內(nèi)部實現(xiàn)的一種字符序變化或者偏移。
S102、接收報文前對接收權(quán)限模式進(jìn)行設(shè)置。
經(jīng)過上述的加密處理后，所得包括密碼的BPDU報文發(fā)生改變，與標(biāo)準(zhǔn)的報文不能互通，因此會造成接收端無法同時接收、處理包括密碼的BPDU報文和標(biāo)準(zhǔn)的報文。
對于上述情況，本實施例對某些特定的端口進(jìn)行接收權(quán)限模式的設(shè)定，允許其與標(biāo)準(zhǔn)的報文進(jìn)行交互。本實施例中，將權(quán)限模式分為安全模式和公共模式兩種。當(dāng)接收報文的端口工作于安全模式，則執(zhí)行步驟S103及其后續(xù)步驟處理所接收的報文；當(dāng)接收報文的端口工作于公共模式，則執(zhí)行步驟S105及其后續(xù)步驟處理所接收的報文。但在具體的網(wǎng)絡(luò)應(yīng)用中，可根據(jù)設(shè)備的需要設(shè)置不同安全級別的權(quán)限模式，此處非本發(fā)明的必要技術(shù)特征所在，故不另加以贅述。
S103、當(dāng)接收報文的端口工作于安全模式，則檢測到達(dá)接收端的待接收報文是否包括密碼字段，如果包括則轉(zhuǎn)步驟S104，否則直接丟棄報文。
當(dāng)接收報文的端口工作的權(quán)限模式設(shè)為安全模式時，如果收到標(biāo)準(zhǔn)的BPDU報文，由于該報文不包括任何密碼字段，無法進(jìn)行權(quán)限鑒定，所以將該報文直接丟棄，并將接收端口阻塞一段時間或直接關(guān)閉端口，防止形成環(huán)路。
S104、從到達(dá)接收端的待接收報文的密碼字段獲取密碼，并根據(jù)預(yù)設(shè)的算法對待接收報文加密所用的數(shù)據(jù)字段進(jìn)行校驗運算，如果校驗運算得到的密碼與該密碼一致，則對所接收報文進(jìn)行后續(xù)處理；否則丟棄報文。
校驗運算的算法應(yīng)與加密所用的預(yù)設(shè)算法一致，如果加密時使用了二次加密，則校驗時也必須使用對應(yīng)的二次加密算法進(jìn)行二次校驗。
以上述步驟S101的加密算法為例，假設(shè)有攻擊者從發(fā)送端捕獲了一個BPDU報文，該報文攜帶的密碼即為000fe2290020#0125#000100。如果攻擊者不修改報文直接發(fā)回，則發(fā)送端會檢測到報文為自身發(fā)出的，直接丟棄該報文；如果攻擊者修改了報文中的橋MAC地址或發(fā)包端口，又因為無法得知網(wǎng)絡(luò)中的鑒權(quán)密碼而不對密碼進(jìn)行修改或修改為錯誤的密碼，則接收端可以通過校驗運算得知報文已被修改而丟棄報文，從而達(dá)到防攻擊的目的。
另外，如果有非法的橋設(shè)備加入到現(xiàn)有的生成樹網(wǎng)絡(luò)中，由于其未被配置鑒權(quán)密碼的計算方法，因此該橋設(shè)備發(fā)送的所有報文都將因不能通過網(wǎng)絡(luò)中其它設(shè)備的鑒權(quán)而被直接丟棄，從而不會由于該非法設(shè)備的加入引起生成樹網(wǎng)絡(luò)的重新建立，達(dá)到保持網(wǎng)絡(luò)穩(wěn)定的目的。
S105、如果接收權(quán)限模式設(shè)為公共模式，也首先對待接收的報文進(jìn)行檢測，判斷是否包括密碼字段，如果包括則轉(zhuǎn)S104進(jìn)行處理，否則直接接收并處理該報文，進(jìn)一步轉(zhuǎn)步驟S106。
S106、判斷接收的報文是否需要響應(yīng)，如果需要響應(yīng)則返回不包括密碼字段的響應(yīng)報文。
公共模式下，如果接收端口收到標(biāo)準(zhǔn)格式的BPDU報文，則接收并處理報文，如果需要響應(yīng)，響應(yīng)的報文也為標(biāo)準(zhǔn)格式的BPDU報文。
本發(fā)明公開一種生成樹協(xié)議的報文發(fā)送方法，如圖2所示，其一實施例包括以下步驟S201、在待發(fā)送的BPDU報文中添加密碼字段。
生成樹協(xié)議的鑒權(quán)主要有兩種，一是協(xié)議域內(nèi)的互通鑒權(quán)，即采用私有的KEY值計算域配置摘要，該方法并非本發(fā)明生成樹協(xié)議的報文發(fā)送方法所采用，此處不加以贅述；二是協(xié)議互通性鑒權(quán)，即必須包括特定密碼字段的BPDU報文才被處理。對于協(xié)議互通性的鑒權(quán)，具體可以通過在BPDU報文中增加字段或者修改報文中的reserved(保留)字段來實現(xiàn)，但是由于reserved字段較少，限制了密碼字段的長度，安全性不高。因此本發(fā)明生成樹協(xié)議的報文發(fā)送方法通過在BPDU報文中添加密碼字段實現(xiàn)生成樹協(xié)議的鑒權(quán)。
S202、根據(jù)預(yù)設(shè)的算法對報文中的特定字段進(jìn)行加密運算獲取密碼。
密碼是通過對報文內(nèi)容中預(yù)設(shè)的特定數(shù)據(jù)字段進(jìn)行加密運算得出的，加密運算的方式并不作限制，甚至可以手工指定，但是需要保證所得密碼與報文中的一些關(guān)鍵字段相關(guān)且所得密碼全網(wǎng)惟一，而且接收報文的生成樹設(shè)備能夠根據(jù)報文內(nèi)容判斷報文鑒權(quán)密碼的合法性，因此本發(fā)明在同一網(wǎng)絡(luò)中對所有的生成樹設(shè)備配置相同的鑒權(quán)密碼計算方式。
為進(jìn)一步增強安全性，密碼還可以進(jìn)行二次加密，從而使密碼的內(nèi)容不再顯而易見。該二次加密算法可以是MD5加密，也可以為內(nèi)部實現(xiàn)的一種字符序變化或者偏移。
S203、將密碼存入密碼字段中，封裝并發(fā)送報文。
進(jìn)行上述步驟S202的加密運算后將獲取的密碼存入密碼字段中封裝并發(fā)送報文。如果加密運算后進(jìn)一步進(jìn)行了二次加密，則將二次加密得到的密碼存入密碼字段中封裝并發(fā)送報文。
本發(fā)明還公開一種生成樹協(xié)議的報文接收方法，如圖3所示，其一實施例包括以下步驟S301、設(shè)置接收端的接收權(quán)限模式，如為安全模式則轉(zhuǎn)步驟S302，如為公共模式則轉(zhuǎn)步驟S304。
BPDU報文經(jīng)過加密后，不能與標(biāo)準(zhǔn)的報文互通，因此為了使接收端的某些特定端口實現(xiàn)對標(biāo)準(zhǔn)報文與加密報文的兼容，需要進(jìn)行權(quán)限模式的設(shè)定，允許其與標(biāo)準(zhǔn)的報文進(jìn)行交互。在具體的網(wǎng)絡(luò)應(yīng)用中，可根據(jù)設(shè)備對安全性的不同需求而設(shè)置多種不同級別的權(quán)限模式，并不限于本實施例的安全模式和公共模式兩種。
S302、如果設(shè)置為安全模式，首先判斷待接收的報文是否包括密碼字段，如果包括則轉(zhuǎn)S303；否則直接丟棄報文。
安全模式下如果收到標(biāo)準(zhǔn)的BPDU報文，由于該報文不包括任何密碼字段，不能通過權(quán)限鑒定，因此將其視為無效報文直接丟棄，并將接收端口阻塞一段時間或直接關(guān)閉端口，防止形成環(huán)路。
S303、從待接收報文的密碼字段獲取密碼，并根據(jù)預(yù)設(shè)的算法對待接收報文加密所用的數(shù)據(jù)字段進(jìn)行校驗運算，如果校驗運算結(jié)果與該密碼一致，則接收并處理報文；否則丟棄報文。
校驗運算的算法應(yīng)與加密所用的預(yù)設(shè)算法一致，如果加密時使用了二次加密，則校驗時也必須對應(yīng)使用二次加密的算法對第一次校驗運算的結(jié)果進(jìn)行進(jìn)一步校驗，最終確定報文中的密碼是否能夠通過校驗。通過全網(wǎng)一致的加密算法對待接收的報文進(jìn)行校驗，接收端可以對攻擊報文進(jìn)行過濾，達(dá)到防攻擊的目的。
S304、公共模式下，也首先對待接收的報文進(jìn)行檢測，判斷是否包括密碼字段，如果包括則轉(zhuǎn)步驟S303進(jìn)行處理，否則直接接收并處理該報文，進(jìn)一步轉(zhuǎn)步驟S305。
S305、判斷接收的報文是否需要響應(yīng)，如果需要響應(yīng)則返回不包括密碼字段的響應(yīng)報文。
如果公共模式下的接收端口收到標(biāo)準(zhǔn)格式的BPDU報文，則接收并處理報文，如果需要響應(yīng)，響應(yīng)的報文也為標(biāo)準(zhǔn)格式的BPDU報文。
本發(fā)明公開一種生成樹協(xié)議的報文發(fā)送設(shè)備，其一實施例如圖4所示，包括報文封裝單元41、加密運算單元42及報文發(fā)送單元43。
其中，報文封裝單元41在待發(fā)送的BPDU報文中添加密碼字段；加密運算單元42根據(jù)預(yù)設(shè)的算法對報文的至少一個數(shù)據(jù)字段進(jìn)行加密運算獲取密碼，將密碼存入密碼字段后由報文封裝單元41封裝報文；報文發(fā)送單元43對封裝后的報文進(jìn)行發(fā)送。
上述密碼是通過對報文內(nèi)容中預(yù)設(shè)的特定數(shù)據(jù)字段進(jìn)行運算得出，計算的方式并不作限制，甚至可以由手工指定，但是保證與一些關(guān)鍵字段相關(guān)且全網(wǎng)惟一。例如以橋MAC地址+端口索引+端口速率連接成的字符串作為密碼計算方式，假定發(fā)送設(shè)備的橋MAC地址為000f-ee229-0020，端口索引為125，端口速率協(xié)商為100M，則該報文發(fā)送設(shè)備發(fā)送的所有BPDU報文都將帶上密碼000fe2290020#0125#000100。
為進(jìn)一步增強安全性，本實施例中上述發(fā)送設(shè)備還包括一個二次加密單元44，對上述加密運算單元42獲取的密碼進(jìn)行二次加密，使密碼的內(nèi)容不再顯而易見。該二次加密算法可以是MD5加密，也可以為內(nèi)部實現(xiàn)的一種字符序變化或者偏移。將上述二次加密得到的密碼存入密碼字段后仍由報文封裝單元41封裝報文。
本發(fā)明還公開一種生成樹協(xié)議的報文接收設(shè)備，其一實施例如圖5所示，該報文接收設(shè)備包括報文緩存單元51、報文解析校驗單元52及報文處理單元53。
其中，報文緩存單元51用于存儲待接收的BPDU報文；報文解析校驗單元52，用于從待接收報文的密碼字段獲取密碼，并根據(jù)預(yù)設(shè)的算法對待接收報文中加密所用到的數(shù)據(jù)字段進(jìn)行校驗運算，如果校驗運算結(jié)果與從密碼字段獲取的密碼一致，則由報文處理單元53進(jìn)行處理；否則丟棄報文。
同樣以橋MAC地址+端口索引+端口速率連接成的字符串作為加密方式為例，并假設(shè)報文緩存單元51中的待接收報文是由橋MAC地址為000f-e229-0020、端口索引為125且端口速率協(xié)商為100M的報文發(fā)送設(shè)備發(fā)送的。首先，報文解析校驗單元52從待接收報文中的密碼字段獲取密碼000fe2290020#0125#000100，再根據(jù)同樣的加密算法對報文內(nèi)容中的橋MAC地址、端口索引以及端口速率進(jìn)行校驗運算。如果該報文被攻擊者惡意修改過，并且攻擊者又因為不知道網(wǎng)絡(luò)中的加密算法而未對密碼字段進(jìn)行修改或進(jìn)行錯誤的修改，則報文解析校驗單元52通過上述校驗運算即可得知待接收的報文被修改過，因此丟棄報文，從而該報文接收設(shè)備即達(dá)到防攻擊的目的。
為實現(xiàn)報文接收設(shè)備對加密報文及標(biāo)準(zhǔn)報文的兼容，該設(shè)備還包括權(quán)限設(shè)置單元54及報文檢測單元55。其中，權(quán)限設(shè)置單元54對報文接收設(shè)備的接收權(quán)限模式進(jìn)行設(shè)置；報文檢測單元55則根據(jù)預(yù)設(shè)的接收權(quán)限模式對報文緩存單元51中的待接收報文進(jìn)行檢測，確定報文中是否包括密碼，并根據(jù)檢測結(jié)果進(jìn)一步確定對待接收報文進(jìn)行的后續(xù)處理。
權(quán)限模式可以但不限于分為安全模式及公共模式。如果權(quán)限設(shè)置單元54將報文接收設(shè)備的接收權(quán)限模式設(shè)為安全模式，則報文檢測單元55首先對待接收報文是否包括密碼字段進(jìn)行檢測，如果包括密碼字段則將該報文發(fā)送至報文解析校驗單元52進(jìn)行解析校驗；如果不包括則直接丟棄該報文，同時將接收端口阻塞一段時間或直接關(guān)閉端口，防止形成環(huán)路。如果權(quán)限設(shè)置單元54設(shè)置報文接收設(shè)備的接收權(quán)限模式為公共模式，則同樣由報文檢測單元55對待接收報文是否包括密碼字段進(jìn)行檢測，如果包括密碼字段則將該報文發(fā)送至報文解析校驗單元52進(jìn)行解析校驗；如果不包括則直接將該報文交由報文處理單元53進(jìn)行處理。另外，報文處理單元53還需要根據(jù)所接收的報文格式判斷該設(shè)備端口的響應(yīng)報文是否需要加密，如果公共模式下的該端口收到未添加密碼字段且需要響應(yīng)的標(biāo)準(zhǔn)報文，則在接收并處理后由報文處理單元53返回不添加密碼字段的標(biāo)準(zhǔn)響應(yīng)報文。
以上公開的僅為本發(fā)明的幾個具體實施例，但是，本發(fā)明并非局限于此，任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種生成樹協(xié)議的報文發(fā)送方法，其特征在于，包括在待發(fā)送的網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU報文中添加密碼字段；根據(jù)報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼；將所述密碼存入所述密碼字段后封裝并發(fā)送報文。
2.如權(quán)利要求1所述生成樹協(xié)議的報文發(fā)送方法，其特征在于，所述根據(jù)報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼的方法包括根據(jù)預(yù)設(shè)的算法對報文中的數(shù)據(jù)字段進(jìn)行加密運算，得到與所述數(shù)據(jù)字段相關(guān)且全網(wǎng)唯一的密碼。
3.如權(quán)利要求1或2所述生成樹協(xié)議的報文發(fā)送方法，其特征在于，所述進(jìn)行加密運算獲取密碼之后且在所述將密碼封裝入報文之前還包括對所述密碼進(jìn)行二次加密，將經(jīng)過二次加密得到的密碼存入報文的所述密碼字段。
4.如權(quán)利要求3所述生成樹協(xié)議的報文發(fā)送方法，其特征在于，所述進(jìn)行二次加密的方法包括對所述進(jìn)行加密運算得到的密碼進(jìn)行MD5加密，或?qū)λ鲞M(jìn)行加密運算得到的密碼進(jìn)行字符序調(diào)整或偏移。
5.一種生成樹協(xié)議的報文接收方法，其特征在于，包括對待接收的BPDU報文進(jìn)行解析，從密碼字段獲取密碼；使用發(fā)送端獲取密碼的方法對待接收報文中發(fā)送端進(jìn)行加密運算所用的數(shù)據(jù)字段進(jìn)行密碼校驗運算；判斷校驗運算所得的密碼與所述從報文中解析出的密碼是否一致，如果一致則接收并處理報文；否則丟棄報文。
6.如權(quán)利要求5所述生成樹協(xié)議的報文接收方法，其特征在于，所述對報文進(jìn)行解析之前還包括設(shè)置接收權(quán)限模式，并在接收報文時，根據(jù)所設(shè)置的接收權(quán)限模式對待接收報文進(jìn)行處理。
7.如權(quán)利要求6所述生成樹協(xié)議的報文接收方法，其特征在于，所述接收權(quán)限模式可設(shè)置為安全模式，在所述安全模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進(jìn)行所述密碼校驗運算，根據(jù)密碼校驗結(jié)果確定對報文進(jìn)行的后續(xù)處理；如果不包括密碼字段，則直接丟棄報文。
8.如權(quán)利要求6所述生成樹協(xié)議的報文接收方法，其特征在于，所述接收權(quán)限模式可設(shè)置為公共模式，在所述公共模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進(jìn)行所述密碼校驗運算，根據(jù)密碼校驗結(jié)果確定對報文進(jìn)行的后續(xù)處理；如果不包括密碼字段，則直接接收并處理報文，且所回復(fù)的響應(yīng)報文中也不添加密碼字段。
9.一種生成樹協(xié)議的報文處理方法，其特征在于，在BPDU報文中添加密碼字段，發(fā)送報文時，根據(jù)待發(fā)送報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼，并存入所述密碼字段，然后發(fā)送；接收報文時，從待接收報文的所述密碼字段獲取密碼，并根據(jù)所述加密運算的算法及待接收報文中加密運算所用的數(shù)據(jù)字段進(jìn)行校驗運算，如果校驗運算結(jié)果與所述密碼一致，則接收并處理報文；否則丟棄報文。
10.如權(quán)利要求9所述生成樹協(xié)議的報文處理方法，其特征在于，所述進(jìn)行加密運算獲取密碼之后還包括對所述密碼進(jìn)行二次加密，并將經(jīng)過二次加密得到的密碼存入所述密碼字段，然后發(fā)送；則在所述接收報文時，進(jìn)行所述校驗運算后還包括根據(jù)所述二次加密的算法對所述校驗運算結(jié)果進(jìn)行二次校驗運算。
11.如權(quán)利要求10所述生成樹協(xié)議的報文處理方法，其特征在于，所述進(jìn)行二次加密的方法包括對所述進(jìn)行加密運算得到的密碼進(jìn)行MD5加密，或?qū)λ鲞M(jìn)行加密運算得到的密碼進(jìn)行字符序調(diào)整或偏移。
12.如權(quán)利要求9所述生成樹協(xié)議的報文處理方法，其特征在于，所述接收報文之前還包括設(shè)置接收權(quán)限模式；則在所述接收報文時，根據(jù)預(yù)設(shè)的接收權(quán)限模式對待接收報文進(jìn)行處理。
13.一種生成樹協(xié)議的報文發(fā)送設(shè)備，包括報文發(fā)送單元，其特征在于，還包括報文封裝單元及加密運算單元，所述報文封裝單元，在待發(fā)送的BPDU報文中添加密碼字段；所述加密運算單元根據(jù)報文的數(shù)據(jù)字段進(jìn)行加密運算獲取密碼，將所述密碼存入所述密碼字段后由所述報文封裝單元封裝報文；所述報文發(fā)送單元對封裝后的報文進(jìn)行發(fā)送。
14.如權(quán)利要求13所述生成樹協(xié)議的報文發(fā)送設(shè)備，其特征在于，還包括二次加密單元，所述二次加密單元對所述加密運算單元獲取的密碼進(jìn)行二次加密，并將經(jīng)過二次加密得到的密碼存入所述密碼字段。
15.如權(quán)利要求14所述生成樹協(xié)議的報文發(fā)送設(shè)備，其特征在于，所述二次加密包括對所述進(jìn)行加密運算得到的密碼進(jìn)行MD5加密，或?qū)λ鲞M(jìn)行加密運算得到的密碼進(jìn)行字符序變化或偏移。
16.一種生成樹協(xié)議的報文接收設(shè)備，包括報文處理單元，其特征在于，還包括報文緩存單元及報文解析校驗單元；所述報文緩存單元，存儲待接收的BPDU報文；所述報文解析校驗單元，從待接收報文的密碼字段獲取密碼，并使用發(fā)送端獲取密碼的方法對待接收報文中發(fā)送端進(jìn)行加密運算時所用的數(shù)據(jù)字段進(jìn)行密碼校驗運算，如果校驗運算所得的密碼與所述從報文密碼字段獲取的密碼一致，則轉(zhuǎn)由所述報文處理單元進(jìn)行處理；否則丟棄報文。
17.如權(quán)利要求16所述生成樹協(xié)議的報文接收設(shè)備，其特征在于，還包括權(quán)限設(shè)置單元及報文檢測單元，所述權(quán)限設(shè)置單元，設(shè)置所述報文接收設(shè)備的接收權(quán)限模式；所述報文檢測單元，根據(jù)預(yù)設(shè)的接收權(quán)限模式對所述報文緩存單元中的待接收報文進(jìn)行檢測，確定報文中是否包括密碼，并根據(jù)檢測結(jié)果確定對所述待接收報文進(jìn)行的后續(xù)處理。
18.如權(quán)利要求17所述生成樹協(xié)議的報文接收設(shè)備，其特征在于，所述權(quán)限設(shè)置單元設(shè)置所述報文接收設(shè)備的接收權(quán)限模式為安全模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉(zhuǎn)由所述報文解析校驗單元處理；否則丟棄報文。
19.如權(quán)利要求17所述生成樹協(xié)議的報文接收設(shè)備，其特征在于，所述權(quán)限設(shè)置單元設(shè)置所述報文接收設(shè)備的接收權(quán)限模式為公共模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉(zhuǎn)由所述報文解析校驗單元處理；否則轉(zhuǎn)由所述報文處理單元進(jìn)行處理，所述報文處理單元進(jìn)一步判斷接收的報文是否需要響應(yīng)，如果是則回復(fù)不添加密碼字段的響應(yīng)報文。
全文摘要
本發(fā)明公開了一種生成樹協(xié)議的報文處理方法，包括發(fā)送報文時，在網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU報文中添加密碼字段，并對報文的特定數(shù)據(jù)字段進(jìn)行加密運算獲取密碼存入所述密碼字段；接收報文時，根據(jù)加密運算的算法及加密運算所用的數(shù)據(jù)字段對待接收的報文進(jìn)行密碼校驗運算，進(jìn)一步實現(xiàn)對報文的過濾。本發(fā)明還公開了一種生成樹協(xié)議的報文發(fā)送、接收方法及其設(shè)備。本發(fā)明一種生成樹協(xié)議的報文發(fā)送和接收方法、處理方法及設(shè)備，通過在BPDU報文中添加密碼字段實現(xiàn)對生成樹協(xié)議的鑒權(quán)，可以提高生成樹協(xié)議在網(wǎng)絡(luò)應(yīng)用中的可靠性，能夠有效防止惡意攻擊及避免網(wǎng)絡(luò)震蕩。
文檔編號H04L12/44GK1949750SQ200610145679
公開日2007年4月18日 申請日期2006年11月24日 優(yōu)先權(quán)日2006年11月24日
發(fā)明者徐鵬飛 申請人:杭州華為三康技術(shù)有限公司