檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的方法和裝置制造方法
【專利摘要】本發(fā)明提供一種檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突方法�,該方法包括:計算配置文件的特定信息對應(yīng)的配置文件驗證信息;計算環(huán)回檢測信息��;發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文�;接收第二嗅探報文;當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息�����,確定配置文件沖突���。由此可見�����,本發(fā)明可檢測網(wǎng)絡(luò)中無網(wǎng)管型以太網(wǎng)機是否存在非法拷貝的配置文件���。
【專利說明】檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通訊【技術(shù)領(lǐng)域】����,尤其涉及一種檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的方法和裝置���。
【背景技術(shù)】
[0002]無網(wǎng)管型以太網(wǎng)交換機通常包括CPU�����、存儲器�����、MAC控制器和PHY控制器等器件。其中 EEPROM (Electrically Erasable Programmable Read Only Memory,電子式可抹除可編程只讀內(nèi)存)或容量較小的FLASH (閃存)可作為無網(wǎng)管型以太網(wǎng)交換機的存儲器���。
[0003]無網(wǎng)管型以太網(wǎng)交換機啟動后�,讀取存儲器固定區(qū)域的引導(dǎo)程序進行硬件初始化�,然后通過BootRom程序讀取存儲器中的配置文件����,根據(jù)配置文件的參數(shù)來設(shè)置MAC地址和MAC控制器����,完成整個啟動過程。無網(wǎng)管型以太網(wǎng)交換機不允許由用戶修改設(shè)備配置����。
[0004]無網(wǎng)管型交換機存儲器空間有限,只能運行簡單的BootROM程序����,很難通過網(wǎng)管系統(tǒng)運行特定軟件程序來進行防偽。無網(wǎng)管型以太網(wǎng)交換機的配置程序通常以配置文件方式固化在存儲器中���。仿冒者不需要獲取軟件源代碼����,直接對配置文件進行拷貝��,可獲取與原產(chǎn)品完全相同的MAC寄存器配置��,即相當于可以完整仿冒軟件特性��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種檢測無網(wǎng)管型以太網(wǎng)交換機的配置文件沖突方法和裝置,可檢測到網(wǎng)絡(luò)內(nèi)無網(wǎng)管型以太網(wǎng)交換機上非法拷貝的配置文件引起配置文件沖突�。
[0006]為實現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突方法���,該方法包括:計算配置文件的特定信息對應(yīng)的配置文件驗證信息��;計算環(huán)回檢測信息�����;發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文��;接收第二嗅探報文�����;當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息��,確定配置文件沖突�����。
[0007]為實現(xiàn)上述目的,本發(fā)明還提供了一種檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的裝置����,該裝置包括:計算單元���,用于計算配置文件的特定信息對應(yīng)的配置文件驗證信息,以及計算環(huán)回檢測信息���;發(fā)送單元����,用于發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文��;接收單元��,用于接收第二嗅探報文��;檢測單元�����,用于當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息���,確定配置文件沖突����。
[0008]由此可見,本發(fā)明提供了檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的方法���,用于檢測網(wǎng)絡(luò)中無網(wǎng)管型以太網(wǎng)機是否存在非法拷貝的配置文件���。
【專利附圖】
【附圖說明】
[0009]圖1是本發(fā)明實施例提供的檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的流程圖。
[0010]圖2是本發(fā)明實施方式中嗅探報文結(jié)構(gòu)圖�。[0011]圖3是本發(fā)明實施方式中一種無網(wǎng)管型以太網(wǎng)交換機的防偽裝置的邏輯結(jié)構(gòu)圖?����!揪唧w實施方式】
[0012]為使本發(fā)明的目的����、技術(shù)方案及優(yōu)點更加清楚明白,以下參照附圖并舉實施例��,對本發(fā)明所述方案作進一步地詳細說明���。
[0013]參見圖1��,本發(fā)明提供一種無網(wǎng)管型以太網(wǎng)交換機的防偽方法��,執(zhí)行如下步驟:
[0014]步驟S101���,計算配置文件的特定信息對應(yīng)的配置文件驗證信息以及計算環(huán)回檢測
信息;
[0015]步驟S102�����,發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文�����。
[0016]步驟S103��,接收第二嗅探報文��。
[0017]步驟S104���,當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息��,確定配置文件認證沖突���。
[0018]當無網(wǎng)管型以太網(wǎng)交換機啟動時,可通過現(xiàn)有方式對配置文件進行完整性和合法性校驗�。譬如,設(shè)備廠商在編譯配置文件時,使用特定算法對整個配置文件內(nèi)容進行CRC(Cyclic Redundancy Check,循環(huán)冗余校驗)校驗,將校驗值存儲在配置文件固定位置(例如結(jié)尾處)�。無網(wǎng)管型以太網(wǎng)交換機啟動后,按照同樣算法對配置文件內(nèi)容重新進行CRC校驗����,然后將校驗值與配置文件固定位置的CRC校驗值比較,如果相同則認為配置文件完整��,否則認為該文件不完整�。無網(wǎng)管型以太網(wǎng)交換機校驗配置文件進行合法性和完整性的已有實現(xiàn)方式有很多種,本發(fā)明不再一一詳述�����。
[0019]無網(wǎng)管型以太網(wǎng)交換機完成配置文件完整性和合法性校驗后�,按照預(yù)設(shè)時間周期向當前網(wǎng)絡(luò)發(fā)送攜帶了配置文件驗證信息以及環(huán)回檢測信息的嗅探報文。其中上述預(yù)設(shè)時間周期不宜設(shè)置過短����,否則可能造成網(wǎng)絡(luò)中出現(xiàn)大量嗅探報文,占用網(wǎng)絡(luò)帶寬資源�,并增加設(shè)備負擔。當然預(yù)設(shè)時間周期也不宜設(shè)置過長���,否則可能給環(huán)回檢測帶來困難����。在本實施例中,配置文件驗證信息是使用預(yù)設(shè)算法基于配置文件中具有唯一性的信息計算驗證信息�����。環(huán)回檢測信息可以是無網(wǎng)管型以太網(wǎng)交換機先隨機生成一組字符串�����,然后對隨機生成的字符串進行HASH計算�,得到的Hash值(抽樣值)就可以作為環(huán)回檢測信息����。因此,無網(wǎng)管型以太網(wǎng)交換機根據(jù)配置文件驗證信息���,判斷是否存在一樣的配置文件�,而根據(jù)環(huán)回檢測信息判斷收到的嗅探報文是否為環(huán)回的嗅探報文�����,即判斷一樣的配置文件是否是本設(shè)備的配置文件�,以免誤判配置文件沖突�。
[0020]參見圖2���,嗅探報文可使用二層以太網(wǎng)報文的標準架構(gòu)進行構(gòu)造����。該嗅探報文中的目的MAC為01-80-C2-00-00-XX段的特定保留協(xié)議組播地址���;源MAC地址為設(shè)備本身橋MAC地址����;Type協(xié)議號為特殊標識�����,例如使用0x88DD ;該嗅探報文的報文內(nèi)容中攜帶配置文件驗證信息以及環(huán)回檢測信息����。
[0021]本實施例中,無網(wǎng)管型以太網(wǎng)交換機可以將配置文件中MAC地址作為具有唯一性的特定信息���,根據(jù)預(yù)設(shè)的HASH算法計算配置文件中的MAC地址�����,將計算得到的Hash值作為配置文件驗證信息����。
[0022]無網(wǎng)管型以太網(wǎng)交換機收到網(wǎng)絡(luò)內(nèi)其他無網(wǎng)管型以太網(wǎng)交換機的嗅探報文時,解析收到的嗅探報文內(nèi)的配置文件驗證信息和環(huán)回檢測信息�����,當收到的嗅探報文的配置文件驗證信息與生成的配置文件驗證信息相同就判斷配置文件沖突��;當收到的嗅探報文的配置文件驗證信息和環(huán)回檢測信息與生成的配置文件驗證信息和環(huán)回檢測均相同�,就判斷收到的嗅探報文是其他設(shè)備發(fā)回來的本設(shè)備的嗅探報文�����。
[0023]無網(wǎng)管型以太網(wǎng)交換機還可進一步記錄檢測到的配置文件沖突的次數(shù)��,當檢測到的配置文件沖突的次數(shù)超過預(yù)設(shè)閾值(例如3次)��,判斷防偽認證失敗���,通過預(yù)設(shè)的一系列防偽操作提示用戶���。譬如��,無網(wǎng)管型以太網(wǎng)交換機的部分或全部端口 LED燈按照一定順序亮滅或者閃爍�����;或者無網(wǎng)管型以太網(wǎng)交換機不允許新的端口置使能���;或者無網(wǎng)管型以太網(wǎng)交換機MAC芯片停止轉(zhuǎn)發(fā)報文。
[0024]當無網(wǎng)管型以太網(wǎng)交換機因為防偽認證失敗而停止MAC芯片的數(shù)據(jù)報文轉(zhuǎn)發(fā)�����,這樣拷貝了非法配置文件的無網(wǎng)管型以太網(wǎng)交換機以及存儲正版配置文件的無網(wǎng)管型以太網(wǎng)交換機都無法在網(wǎng)絡(luò)內(nèi)參與數(shù)據(jù)轉(zhuǎn)發(fā)�,則用戶需要在無網(wǎng)管型以太網(wǎng)交換機拷貝正版配置文件,才可使網(wǎng)絡(luò)內(nèi)所有無網(wǎng)管型以太網(wǎng)交換機正常工作��。
[0025]如圖3所示�����,本發(fā)明提供的檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的裝置300包括�����,計算單元301��、發(fā)送單元302、接收單元303��、檢測單元304以及防偽單元305����。
[0026]計算單元301,用于計算配置文件的特定信息對應(yīng)的配置文件驗證信息����,以及計算環(huán)回檢測信息;發(fā)送單元302����,用于發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文;接收單元�����,303�����,用于接收第二嗅探報文����;檢測單元304,用于當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息���,確定配置文件認證沖突��。
[0027]檢測單元304�����,還用于當所述第二嗅探報文的配置文件驗證信息不同于生成的配置文件驗證信息��,確定配置文件不沖突�。
[0028]所述檢測單元304���,還用于當所述第二嗅探報文的配置文件驗證信息和環(huán)回檢測信息與生成的配置文件驗證信息和環(huán)回檢測信息相同��,確定所述第二嗅探報文是環(huán)回的所述第一嗅探報文�����。
[0029]防偽單元305����,用于記錄配置文件沖突的次數(shù),當記錄的配置文件沖突的次數(shù)達到預(yù)設(shè)閾值時���,確定配置文件防偽失敗��。
[0030]所述計算單元是根據(jù)以配置文件中具有唯一性的信息作為特定信息����,譬如配置文件中的設(shè)備MAC地址�。
[0031]防偽單元305還可以進一步提示作提示用戶防偽認證失敗。防偽單元305可將設(shè)備的部分或全部端口 LED燈按照一定順序亮滅或者閃爍��,不允許使能新的端口置使能���,或通知MAC芯片停止轉(zhuǎn)發(fā)報文���。
[0032]通過以上實施例的描述,本領(lǐng)域技術(shù)人員可以理解實施例中裝置中的單元可以合并為一個單元���,也可以進一步拆分成多個子單元。
[0033]以上僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所做的任何修改����、等同替換、改進等����,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。
【權(quán)利要求】
1.一種檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突方法��,其特征在于���,所述方法包括: 計算配置文件的特定信息對應(yīng)的配置文件驗證信息��; 計算環(huán)回檢測信息��; 發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文���; 接收第二嗅探報文; 當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息�,確定配置文件沖突。
2.如權(quán)利要求1所述的方法��,其特征在于,所述方法還包括: 當所述第二嗅探報文的配置文件驗證信息不同于生成的配置文件驗證信息����,確定配置文件不沖突。
3.如權(quán)利要求1所述的方法�����,其特征在于����,所述方法還包括: 當所述第二嗅探報文的配置文件驗證信息和環(huán)回檢測信息與生成的配置文件驗證信息和環(huán)回檢測信息相同,確定所述第二嗅探報文是環(huán)回的所述第一嗅探報文���。
4.如權(quán)利要求1所述的方法��,其特征在于��, 記錄配置文件沖突的次數(shù)����; 當記錄的配置文件沖突的次數(shù)達到預(yù)設(shè)閾值時��,確定配置文件防偽失敗�����。
5.如權(quán)利要求1任一所述的方法��,其特征在于��,所述特定信息是所述配置文件中的唯一'I"生信息����。
6.一種檢測無網(wǎng)管型以太網(wǎng)交換機配置文件沖突的裝置,其特征在于���,所述裝置包括: 計算單元���,用于計算配置文件的特定信息對應(yīng)的配置文件驗證信息,以及計算環(huán)回檢測信息��; 發(fā)送單元�����,用于發(fā)送攜帶了生成的配置文件驗證信息以及環(huán)回檢測信息的第一嗅探報文�����; 接收單元,用于接收第二嗅探報文�����; 檢測單元�����,用于當?shù)诙崽綀笪牡呐渲梦募炞C信息與生成的配置文件驗證信息相同且第二嗅探報文的環(huán)回檢測信息不同于生成的環(huán)回檢測信息�����,確定配置文件沖突���。
7.如權(quán)利要求6所述的裝置��,其特征在于�����, 所述檢測單元���,還用于當所述第二嗅探報文的配置文件驗證信息不同于生成的配置文件驗證信息,確定配置文件不沖突��。
8.如權(quán)利要求6所述的裝置,其特征在于��, 所述檢測單元����,還用于當所述第二嗅探報文的配置文件驗證信息和環(huán)回檢測信息與生成的配置文件驗證信息和環(huán)回檢測信息相同����,確定所述第二嗅探報文是環(huán)回的所述第一嗅探報文。
9.如權(quán)利要求6所述的裝置����,其特征在于,所述防偽單元����,用于記錄配置文件沖突的次數(shù),當記錄的配置文件沖突的次數(shù)達到預(yù)設(shè)閾值時��,確定配置文件防偽失敗����。
10.如權(quán)利要求6任一所述的裝置,其特征在于����,所述特定信息是所述配置文件中的唯一'I"生信息���。
【文檔編號】H04L12/26GK103840984SQ201410071887
【公開日】2014年6月4日 申請日期:2014年2月28日 優(yōu)先權(quán)日:2014年2月28日
【發(fā)明者】唐小虎, 王祝勛 申請人:杭州華三通信技術(shù)有限公司