基于RRPP的快速环网防攻击的方法、装置和系统
专利汇可以提供基于RRPP的快速环网防攻击的方法、装置和系统专利检索,专利查询,专利分析的服务。并且本 发明 提供了一种基于RRPP的快速环网防攻击的方法、装置和系统,属于网络通讯领域。所述方法包括:接收携带有认证信息的RRPP报文;读取RRPP报文中的认证信息,与本地的认证信息进行比较,若一致则处理RRPP报文,否则丢弃RRPP报文。所述装置包括:用于接收带有认证信息的RRPP报文的报文接收模 块 与用于读取和处理该RRPP报文的报文处理模块。所述系统包括:用于发送带有认证信息的RRPP报文的第一 节点 与用于接收、读取和处理该RRPP报文的第二节点。本发明提高了RRPP防攻击的能 力 ,增强了RRPP环网的安全性和 稳定性 ,有效阻止了伪造的RRPP报文的攻击,避免了系统的混乱以及产生链路振荡和环路的可能。,下面是基于RRPP的快速环网防攻击的方法、装置和系统专利的具体信息内容。
1.一种基于快速环网保护协议RRPP的快速环网防攻击的方法,其特征在于,所述方法 包括:
RRPP节点接收RRPP报文,所述RRPP报文中携带有认证信息,所述认证信息包括认证 类型信息和认证密钥信息;
所述RRPP节点读取所述RRPP报文中的认证类型信息和认证密钥信息,根据所述认证 类型信息,将所述认证密钥信息与本地的认证密钥信息直接进行比较,或者利用所述RRPP 报文中指定的数据段和MD5算法进行运算得到MD5校验和,与利用本地的数据段和MD5 算法进行运算得到MD5校验和进行比较,如果一致,则处理所述RRPP报文,否则丢弃所述 RRPP报文。
2.根据权利要求1所述的基于RRPP的快速环网防攻击的方法,其特征在于,所述方法 还包括:
预先在发送所述RRPP报文的节点上保存所述携带的认证信息,在接收所述RRPP报文 的节点上保存相同的认证信息。
3.根据权利要求1所述的基于RRPP的快速环网防攻击的方法,其特征在于,通过在所 述RRPP报文中增加认证类型字段、认证长度字段和认证密钥字段的方式来携带所述认证信 息,所述认证类型字段中填充有所述认证类型信息,所述认证长度字段中填充有所述认证密 钥信息的长度,所述认证密钥字段中填充有所述认证密钥信息。
4.根据权利要求3所述的基于RRPP的快速环网防攻击的方法,其特征在于,所述RRPP 节点读取所述RRPP报文中的认证信息,与本地的认证信息进行比较的步骤具体为:
所述RRPP节点读取所述RRPP报文中认证类型字段的值,所述认证类型字段的值为密 码认证类型,读取所述RRPP报文中认证长度字段的值,根据所述认证长度字段的值读取所 述认证密钥字段中的认证密钥信息,所述认证密钥信息为预设的密码,对所述认证密钥信息 与本地的密码进行比较。
5.根据权利要求3所述的基于RRPP的快速环网防攻击的方法,其特征在于,所述RRPP 节点读取所述RRPP报文中的认证信息,与本地的认证信息进行比较的步骤具体为:
所述RRPP节点读取所述RRPP报文中认证类型字段的值,所述认证类型字段的值为MD5 认证类型,读取所述RRPP报文中认证长度字段的值,根据所述认证长度字段的值读取所述 认证密钥字段中的认证密钥信息,所述认证密钥信息为所述RRPP报文中指定的数据段和 MD5算法,利用所述指定的数据段和MD5算法进行运算得到MD5校验和,与利用本地的数 据段和MD5算法进行运算得到MD5校验和进行比较。
6.一种基于快速环网保护协议RRPP的快速环网防攻击的装置,其特征在于,所述装置 包括:
报文接收模块,用于接收RRPP报文,所述RRPP报文中携带有认证信息,所述认证信 息包括认证类型信息和认证密钥信息;
报文处理模块,用于读取所述报文接收模块收到的RRPP报文中的认证类型信息和认证 密钥信息,根据所述认证类型信息,将所述认证密钥信息与本地的认证密钥信息直接进行比 较,或者利用所述RRPP报文中指定的数据段和MD5算法进行运算得到MD5校验和,与利 用本地的数据段和MD5算法进行运算得到MD5校验和进行比较,如果一致,则处理所述 RRPP报文,否则丢弃所述RRPP报文。
7.根据权利要求6所述的基于RRPP的快速环网防攻击的装置,其特征在于,所述报文 处理模块具体包括:
读取单元,用于读取所述RRPP报文中认证类型字段的值,所述认证类型字段的值为密 码认证类型,读取所述RRPP报文中认证长度字段的值,根据所述认证长度字段的值读取所 述认证密钥字段中的认证密钥信息,所述认证密钥信息为预设的密码;
比较单元,用于对所述读取单元读出的认证密钥信息与本地的密码进行比较。
8.根据权利要求6所述的基于RRPP的快速环网防攻击的装置,其特征在于,所述报文 处理模块具体包括:
读取单元,用于读取所述RRPP报文中认证类型字段的值,所述认证类型字段的值为MD5 认证类型,读取所述RRPP报文中认证长度字段的值,根据所述认证长度字段的值读取所述 认证密钥字段中的认证密钥信息,所述认证密钥信息为所述RRPP报文中指定的数据段和 MD5算法;
比较单元,用于利用所述指定的数据段和MD5算法进行运算得到MD5校验和,并与利 用本地的数据段和MD5算法进行运算得到MD5校验和进行比较。
9.一种基于快速环网保护协议RRPP的快速环网防攻击的系统,其特征在于,所述系统 至少包括:
第一节点,用于在RRPP环网中发送携带有认证信息的RRPP报文,所述认证信息包括 认证类型信息和认证密钥信息;
第二节点,用于接收所述第一节点发来的RRPP报文,读取所述RRPP报文中的认证类 型信息和认证密钥信息,根据所述认证类型信息,将所述认证密钥信息与本地的认证密钥信 息直接进行比较,或者利用所述RRPP报文中指定的数据段和MD5算法进行运算得到MD5 校验和,与利用本地的数据段和MD5算法进行运算得到MD5校验和进行比较,如果一致, 则处理所述RRPP报文,否则丢弃所述RRPP报文。
10.根据权利要求9所述的基于RRPP的快速环网防攻击的系统,其特征在于,所述第 一节点包括:
扩展模块,用于在RRPP报文中增加认证类型字段、认证长度字段和认证密钥字段,并 在所述认证类型字段中填充认证类型信息,在所述认证密钥字段中填充认证密钥信息,在所 述认证长度字段中填充所述认证密钥信息的长度;
发送模块,用于发送所述扩展模块处理后的RRPP报文。
11.根据权利要求10所述的基于RRPP的快速环网防攻击的系统,其特征在于,所述第 二节点具体包括:
接收模块,用于接收所述第一节点发来的RRPP报文;
读取模块,用于读取所述接收模块收到的RRPP报文中认证类型字段的值,所述认证类 型字段的值为密码认证类型,读取所述RRPP报文中认证长度字段的值,根据所述认证长度 字段的值读取所述认证密钥字段中的认证密钥信息,所述认证密钥信息为预设的密码;
比较模块,用于对所述读取模块读出的认证密钥信息与本地的密码进行比较。
12.根据权利要求10所述的基于RRPP的快速环网防攻击的系统,其特征在于,所述第 二节点具体包括:
接收模块,用于接收所述第一节点发来的RRPP报文;
读取模块,用于读取所述接收模块收到的RRPP报文中认证类型字段的值,所述认证类 型字段的值为MD5认证类型,读取所述RRPP报文中认证长度字段的值,根据所述认证长度 字段的值读取所述认证密钥字段中的认证密钥信息,所述认证密钥信息为所述RRPP报文中 指定的数据段和MD5算法;
比较模块,用于利用所述指定的数据段和MD5算法进行运算得到MD5校验和,并与利 用本地的数据段和MD5算法进行运算得到MD5校验和进行比较。
技术领域
本发明涉及网络通讯领域,特别涉及一种基于RRPP的快速环网防攻击的方法、装置和 系统。
背景技术
以太网环上每一台交换机都称为一个节点,每个RRPP环上有一个且只有一个主节点, 它是RRPP环上的主要决策和控制节点。RRPP环上除主节点之外的其它节点都可以称为传输 节点。主节点是Polling机制(环网状态主动检测机制)的发起者,也是网络拓扑发生改变后 执行操作的决策者。传输节点负责监测自己的直连RRPP链路的状态,并把链路变化通知主 节点,然后由主节点来决策如何处理。
主节点和传输节点接入以太网环的两个端口中,一个为主端口,另一个为副端口,端口 的角色由用户的配置决定。主节点有两种状态:Complete(完整)状态和Failed(故障)状态。 Complete状态说明RRPP环网上所有的链路都处于UP状态,Failed状态说明RRPP环网上有 的链路处于Down状态。传输节点有三种状态:Link-Up状态、Link-Down状态和Preforwarding (临时阻塞)状态。Link-Up状态说明传输节点的主端口和副端口都处于UP状态,Link-Down 状态说明传输节点的主端口或副端口处于Down状态,Preforwarding状态说明传输节点的主 端口或副端口处于阻塞状态。
现有技术中通过发送RRPP报文来维持RRPP环网的状态正常。RRPP报文有很多种类型, 例如,HELLO(环路状态检测)报文、LINK-UP(链路UP)报文、LINK-DOWN(链路DOWN) 报文、COMMON-FLUSH-FDB(刷新FDB)报文、COMPLETE-FLUSH-FDB(环网恢复刷新 FDB)报文等等。
RRPP报文的格式如表1所示。
表1
参见图1,RRPP环中节点4是主节点,节点1、节点2、节点3、节点5和节点6是传 输节点,主节点的主端口为41,副端口为42。Polling机制的原理如下:主节点4周期性地从 其主端口41发送环路状态检测报文,即HELLO报文,依次经过各传输节点在环上传播;如 果主节点4能够从副端口42收到自己发送的HELLO报文,说明RRPP环网链路完整,此时 主节点4会阻塞副端口以防止数据报文在环路拓扑上形成广播环路;如果主节点4在规定时 间内未收到HELLO报文,说明RRPP环网发生链路故障,此时主节点4放开副端口以保证 环网上各节点通信不被中断。
参见图2,假设节点1和节点2之间的链路发生故障,则主节点4处于Failed状态;当 RRPP环网中的链路故障恢复时,处于Failed状态的主节点4从副端口42收到自己发送的 HELLO报文,立即将状态迁移到Complete状态,堵塞副端口并刷新FDB(MAC地址转发表), 而且还会从主端口41发送COMPLETE_FLUSH_FDB报文通知所有传输节点放开临时阻塞端 口和刷新FDB。
上述现有技术的RRPP环网防攻击能力不强,在RRPP环中,一旦用户伪造RRPP报文, 则会导致整个RRPP环状态异常,异常结果会造成数据转发不通,或者造成整个链路形成环 路从而引发广播风暴。
发明内容
所述方法包括:
RRPP节点接收RRPP报文,所述RRPP报文中携带有认证信息,所述认证信息包括认证 类型信息和认证密钥信息;
所述RRPP节点读取所述RRPP报文中的认证类型信息和认证密钥信息,根据所述认证 类型信息,将所述认证密钥信息与本地的认证密钥信息直接进行比较,或者利用所述RRPP 报文中指定的数据段和MD5算法进行运算得到MD5校验和,与利用本地的数据段和MD5 算法进行运算得到MD5校验和进行比较,如果一致,则处理所述RRPP报文,否则丢弃所述 RRPP报文。
所述装置包括:
报文接收模块,用于接收RRPP报文,所述RRPP报文中携带有认证信息,所述认证信 息包括认证类型信息和认证密钥信息;
报文处理模块,用于读取所述报文接收模块收到的RRPP报文中的认证类型信息和认证 密钥信息,根据所述认证类型信息,将所述认证密钥信息与本地的认证密钥信息直接进行比 较,或者利用所述RRPP报文中指定的数据段和MD5算法进行运算得到MD5校验和,与利 用本地的数据段和MD5算法进行运算得到MD5校验和进行比较,如果一致,则处理所述 RRPP报文,否则丢弃所述RRPP报文。
所述系统至少包括:
第一节点,用于在RRPP环网中发送携带有认证信息的RRPP报文,所述认证信息包括 认证类型信息和认证密钥信息;
第二节点,用于接收所述第一节点发来的RRPP报文,读取所述RRPP报文中的认证类 型信息和认证密钥信息,根据所述认证类型信息,将所述认证密钥信息与本地的认证密钥信 息直接进行比较,或者利用所述RRPP报文中指定的数据段和MD5算法进行运算得到MD5 校验和,与利用本地的数据段和MD5算法进行运算得到MD5校验和进行比较,如果一致, 则处理所述RRPP报文,否则丢弃所述RRPP报文。
本发明实施例通过扩展RRPP报文,以及发送和接收RRPP报文时采用认证的机制,使 携带认证信息的RRPP报文在RRPP环内传输,并在认证通过后才进行RRPP报文处理,从 而保证了RRPP环内的各节点正常工作,极大地提高了RRPP防攻击的能力,增强了RRPP 环网的安全性和稳定性,有效地阻止了伪造的RRPP报文的攻击,避免了因此造成的系统混 乱以及产生链路振荡和环路的可能。
附图说明
图1是现有技术中RRPP环网中主节点完整状态时的结构示意图;
图2是现有技术中RRPP环网中链路故障恢复时的结构示意图;
图3是本发明实施例提供的基于RRPP的快速环网防攻击的方法流程图;
图4是本发明实施例提供的基于RRPP的快速环网防攻击的装置结构图;
图5是本发明实施例提供的基于RRPP的快速环网防攻击的系统结构图。
具体实施方式
本发明实施例通过扩展RRPP报文,以及发送和接收RRPP报文时采用认证的机制,使 携带认证信息的RRPP报文在RRPP环内传输,并在认证通过后才进行RRPP报文处理,从 而保证了RRPP环内的各节点正常工作,有效地阻止了伪造的RRPP报文的攻击。
参见图3,本发明实施例提供了一种基于RRPP的快速环网防攻击的方法,具体包括以 下步骤:
步骤101:在RRPP环网中的一个RRPP节点上预存认证信息,认证信息包括认证类型信 息、认证密钥信息,所述RRPP节点可以是主节点,也可以是传输节点。
本实施例中设置认证类型有两种:密码认证和MD5(Message Digest Version 5)认证, 可以通过将认证类型信息的值设置成不同的值来表示不同的认证类型,例如,设置认证类型 信息为1时为密码认证方式,设置认证类型信息为2时为MD5认证方式。认证类型不同时, 对应的认证密钥信息的内容也不同,当认证类型为密码认证方式时,认证密钥信息为密码; 当认证类型为MD5认证方式时,认证密钥信息为RRPP报文中指定的数据段与MD5算法。
步骤102:该RRPP节点对RRPP报文进行扩展,在标准RRPP报文中增加三个字段:认 证类型(AUTHTYPE)、认证长度(AUTHLEN)和认证密钥(Authentication Data)。
参见表2,在RRPP报文中认证类型字段占用1个字节,认证长度字段占用1个字节, 认证密钥字段占用16个字节;即认证密钥信息的长度在1~16个字节之间,最大长度不能超 过16个字节;当认证类型字段中设置认证类型为密码认证方式时,认证密钥字段中存储的是 认证时使用的密码,密码长度在1~16字节之间;当认证类型字段中设置认证类型为MD5 认证方式时,认证密钥字段中存储的是RRPP报文中指定的数据段和MD5算法,其总长度不 超过16个字节。无论哪种认证类型,认证长度字段中存储的都是认证密钥信息的长度,即或 者为密码的长度,或者为RRPP报文中指定的数据段和MD5算法的总长度。
例如,认证密钥信息为密码“12345678”,其长度为8个字节,则认证长度字段中的值为 8。
表2
步骤103:该RRPP节点将本地预存的认证信息填充到扩展的RRPP报文的相应字段中, 然后按照预设的规则发送扩展后的RRPP报文;
例如,将预存的认证类型信息“1”,即密码认证方式填充到RRPP报文的认证类型字段 中;将预存的认证密钥信息密码“12345678”填充到RRPP报文的认证密钥字段中;该密码 的长度为8个字节,则将“8”填充到RRPP报文的认证长度字段中。
例如,将预存的认证类型信息“2”,即MD5认证方式填充到RRPP报文的认证类型字段 中;将预存的RRPP报文中指定的数据段,发送报文节点使用的Hello定时器的超时时间字 段和发送报文节点使用的Fail定时器的超时时间字段,与MD5算法共同填充到RRPP报文的 认证密钥字段中;并将上述指定的数据段和MD5算法的总长度填充到RRPP报文的认证长度 字段中。
预设的规则可以为定时发送,也可以为由指定的事件触发发送,例如,LINK-UP事件触 发和LINK-DOWN事件触发等。
在实际应用中,也可以不在节点上预存认证信息,而是在扩展RRPP报文时配置认证信 息,然后再填充到RRPP报文的相应字段中。
步骤104:RRPP环网中的其他RRPP节点在收到上述扩展后的RRPP报文后,先判断收 到的RRPP报文是标准的RRPP报文,还是扩展的RRPP报文,如果是标准的RRPP报文, 则执行步骤105;如果是扩展的RRPP报文,则执行步骤106。
判断收到的报文是否为扩展的RRPP报文可以通过检查报文的长度或是否有新增的字段 等多种方式来判断。
步骤105:收到RRPP报文的节点按照标准RRPP协议处理流程处理所述RRPP报文,然 后结束。
步骤106:收到RRPP报文的节点读取所述RRPP报文中的扩展字段,即认证类型字段、 认证长度字段和认证密钥字段,并进行认证;
读取及认证的过程具体如下:读取认证类型字段,并按照读取的认证长度字段中的值读 取认证密钥字段;如果读取的认证类型信息为密码认证类型,读取的认证密钥信息为密码, 则将读取到的密码与本地预存的密码进行比较,如果一致,则认证通过,如果不一致,则认 证失败;如果读取的认证类型信息为MD5认证类型,读取的认证密钥信息为指定的数据段和 MD5算法,则利用读取到的数据段和MD5算法进行运算得到MD5校验和,并利用本地预存 的指定数据段和MD5算法进行运算也得到MD5校验和,然后将两个MD5校验和进行比较, 如果一致,则认证通过,如果不一致,则认证失败。
步骤107:如果认证通过,则按照标准处理流程处理RRPP报文;如果认证未通过,则 认为收到的RRPP报文为非法报文,丢弃该RRPP报文,然后结束。
参见图4,本发明实施例还提供了一种基于RRPP的快速环网防攻击的装置,具体包括:
(1)报文接收模块,用于接收RRPP报文,RRPP报文中携带有认证信息;
(2)报文处理模块,用于读取报文接收模块收到的RRPP报文中的认证信息,与本地的 认证信息进行比较,如果一致,则处理RRPP报文,否则丢弃RRPP报文。
报文处理模块可以具体包括:
1)读取单元,用于读取RRPP报文中认证类型字段的值,认证类型字段的值为密码认证 类型,读取RRPP报文中认证长度字段的值,根据认证长度字段的值读取认证密钥字段中的 认证密钥信息,认证密钥信息为预设的密码;
2)比较单元,用于对读取单元读出的认证密钥信息与本地的密码进行比较。
报文处理模块也可以具体包括:
1)读取单元,用于读取RRPP报文中认证类型字段的值,认证类型字段的值为MD5认 证类型,读取RRPP报文中认证长度字段的值,根据认证长度字段的值读取认证密钥字段中 的认证密钥信息,认证密钥信息为RRPP报文中指定的数据段和MD5算法;
2)比较单元,用于利用指定的数据段和MD5算法进行运算得到MD5校验和,并与利 用本地的数据段和MD5算法进行运算得到MD5校验和进行比较。
参见图5,本发明实施例还提供了一种基于RRPP的快速环网防攻击的系统,至少包括:
(1)第一节点,用于在RRPP环网中发送携带有认证信息的RRPP报文;
(2)第二节点,用于接收第一节点发来的RRPP报文,读取RRPP报文中的认证信息, 并与本地的认证信息进行比较,如果一致,则处理RRPP报文,否则丢弃RRPP报文。
第一节点可以具体包括:
1)扩展模块,用于在RRPP报文中增加认证类型字段、认证长度字段和认证密钥字段, 并在认证类型字段中填充认证类型信息,在认证密钥字段中填充认证密钥信息,在认证长度 字段中填充认证密钥信息的长度;
2)发送模块,用于发送扩展模块处理后的RRPP报文。
第二节点可以具体包括:
1)接收模块,用于接收第一节点发来的RRPP报文;
2)读取模块,用于读取接收模块收到的RRPP报文中认证类型字段的值,认证类型字段 的值为密码认证类型,读取RRPP报文中认证长度字段的值,根据认证长度字段的值读取认 证密钥字段中的认证密钥信息,认证密钥信息为预设的密码;
3)比较模块,用于对读取模块读出的认证密钥信息与本地的密码进行比较。
第二节点也可以具体包括:
1)接收模块,用于接收第一节点发来的RRPP报文;
2)读取模块,用于读取接收模块收到的RRPP报文中认证类型字段的值,认证类型字段 的值为MD5认证类型,读取RRPP报文中认证长度字段的值,根据认证长度字段的值读取认 证密钥字段中的认证密钥信息,认证密钥信息为RRPP报文中指定的数据段和MD5算法;
3)比较模块,用于利用指定的数据段和MD5算法进行运算得到MD5校验和,并与利 用本地的数据段和MD5算法进行运算得到MD5校验和进行比较。
本发明实施例可以利用软件实现,如利用C、C++或JAVA等语言编程实现,相应的软件 可以存储在可读取的存储介质中,例如,交换机或路由器的内存或缓存中。
本发明实施例通过扩展RRPP报文,以及发送和接收RRPP报文时采用认证的机制,极 大地提高了RRPP防攻击的能力,增强了RRPP环网的安全性和稳定性;通过判断RRPP报 文是扩展协议报文还是标准协议报文,增强了RRPP系统的兼容性。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技 术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于内存保护类型监控的恶意代码跟踪识别方法 | 2020-05-12 | 815 |
| 针对继电保护的线路模型与互感器类型的匹配方法 | 2020-05-13 | 654 |
| 具有交替导电类型的区域的用于静电放电保护的半导体装置 | 2020-05-13 | 8 |
| 在采用可变比特率的系统中健壮的帧类型保护方法与系统 | 2020-05-13 | 181 |
| 用于提供具有热保护的辅助和焊接类型电源的方法和设备 | 2020-05-13 | 101 |
| 针对继电保护的线路模型与互感器类型的匹配方法 | 2020-05-12 | 898 |
| 参与式感知中可验证的隐私保护数据类型匹配方法 | 2020-05-13 | 951 |
| 一种带电流保护类型的棒型电感结构 | 2020-05-11 | 721 |
| 一种由四类型节电器构成的综合节电保护装置 | 2020-05-12 | 653 |
| 电极和包括该电极的类型I浪涌电压保护器 | 2020-05-12 | 867 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
