CN102843338B - 一种保护数据链路安全的方法、装置及系统 - Google Patents

一种保护数据链路安全的方法、装置及系统 Download PDF

Info

Publication number
CN102843338B
CN102843338B CN201110167113.7A CN201110167113A CN102843338B CN 102843338 B CN102843338 B CN 102843338B CN 201110167113 A CN201110167113 A CN 201110167113A CN 102843338 B CN102843338 B CN 102843338B
Authority
CN
China
Prior art keywords
time delay
delay value
data link
test
benchmark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110167113.7A
Other languages
English (en)
Other versions
CN102843338A (zh
Inventor
明海山
郁志勇
苏卉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201110167113.7A priority Critical patent/CN102843338B/zh
Publication of CN102843338A publication Critical patent/CN102843338A/zh
Application granted granted Critical
Publication of CN102843338B publication Critical patent/CN102843338B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Maintenance And Management Of Digital Transmission (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种保护数据链路安全的方法、装置及系统,所述方法包括以下步骤:定期检测设备之间收发报文的时延值;当所述时延值大于预先设定的基准时延值时,则中断传输数据报文的数据链路。本发明通过检测设备之间收发报文的时延值,来判断用户的业务是否被监听,当判定被监听时,立即中断数据链路,避免用户的业务被恶意监听,进而保证了用户的安全性。

Description

一种保护数据链路安全的方法、装置及系统
技术领域
本发明涉及通讯技术领域,特别是涉及一种保护数据链路安全的方法、装置及系统。
背景技术
随着通讯技术的发展,人们生活正变得越来越便捷,越来越美好。但是,有些人总是会将一些先进技术应用于一些非法目上,用于获取个人利益。例如,用户在通讯过程,一些不法人员利用监听设备,对用户的通讯进行监听,以获取用户的私人信息。
出于安全性考虑,一些用户对安全性要求比较高,在网络设备提供虚拟数据通道给用户,用户希望虚拟链接一旦被破坏,或者被监听之后,立即中断业务的链接,避免用户的业务被恶意监听,保证用户的安全性。
发明内容
本发明要解决的技术问题是提供一种保护数据链路安全的方法、装置及系统,用以解决现有技术中用户的业务容易被恶意监听的问题。
为解决上述技术问题,一方面,本发明提供一种保护数据链路安全的方法,所述方法包括以下步骤:
定期检测设备之间收发报文的时延值;
当所述时延值大于预先设定的基准时延值时,则中断传输数据报文的数据链路。
进一步,在中断传输数据报文的数据链路之后,还包括以下步骤:
在数据链路中断后检测设备之间收发报文的时延值;
当数据链路中断后的时延值小于等于所述基准时延值时,则恢复所述数据链路。
进一步,预先设定基准时延值,具体包括以下步骤:
测试所述设备相邻时彼此间收发报文的测试时延值;
根据所述测试时延值,设置所述基准时延值。
进一步,所述基准时延值等于所述测试时延值乘以冗余参数;所述冗余参数大于等于1。
另一方面,本发明还提供一种保护数据链路安全的装置,所述装置包括:
时延值检测单元,用于定期检测设备之间收发报文的时延值;
链路中断单元,用于当所述时延值大于预先设定的基准时延值时,中断传输数据报文的数据链路。
进一步,所述装置还包括:
链路恢复单元,用于在数据链路中断后通过所述时延值检测单元检测设备之间收发报文的时延值,当数据链路中断后的时延值小于等于所述基准时延值时,恢复所述数据链路。
进一步,所述装置还包括:
设置单元,用于通过所述时延值检测单元测试所述设备相邻时彼此间收发报文的测试时延值,根据所述测试时延值,设置所述基准时延值。
再一方面,本发明还提供一种保护数据链路安全的系统,所述系统包括多个用于转发报文的设备,系统中的一个或多个所述设备安装有保护数据链路安全的装置,所述装置包括:
时延值检测单元,用于定期检测设备之间收发报文的时延值;
链路中断单元,用于当所述时延值大于预先设定的基准时延值时,中断传输数据报文的数据链路。
进一步,所述装置还包括:
链路恢复单元,用于在数据链路中断后通过所述时延值检测单元检测设备之间收发报文的时延值,当数据链路中断后的时延值小于等于所述基准时延值时,恢复所述数据链路。
进一步,所述装置还包括:
设置单元,用于通过所述时延值检测单元测试所述设备相邻时彼此间收发报文的测试时延值,根据所述测试时延值,设置所述基准时延值。
本发明有益效果如下:
本发明通过检测设备之间收发报文的时延值,来判断用户的业务是否被监听,当判定被监听时,立即中断数据链路,避免用户的业务被恶意监听,进而保证了用户的安全性。
附图说明
图1是本发明实施例中一种保护数据链路安全的方法的流程图;
图2是本发明实施例中一种保护数据链路安全的装置的结构示意图;
图3是本发明实施例中一种保护数据链路安全的系统的结构示意图;
图4是本发明实施例中一种保护数据链路安全的系统没有被恶意监听的组网图;
图5是本发明实施例中一种保护数据链路安全的系统被恶意监听的组网图。
具体实施方式
为了解决现有技术中用户的业务容易被恶意监听的问题,本发明提供了一种保护数据链路安全的方法、装置及系统,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
如图1所示,本发明实施例涉及一种保护数据链路安全的方法,该方法的主要原理是运用时延监测机制,来判断在数据通道中间是否加入了其他设备(例如,监听设备)。如果数据通道中间加入了其他设备,加入的设备处理数据报文,必定会增大数据报文的转发时延,因此,当设备之间的收发报文时延值增大,则可以判定数据通道中间加入了其他设备,存在被监听的危险。
上述方法具体包括以下步骤:
步骤S101,定期检测设备之间收发报文的时延值;本步骤中的设备是指组网中,组成用户数据链路的设备。
步骤S102,当所述时延值大于预先设定的基准时延值时,则中断传输数据报文的数据链路。
本步骤中,基准时延值是预先设定的。在转发报文的数据通道建立之后,在数据链路经过的每个设备之间都需要测试时延值,这个测试时延值作为一个基准值,根据这个基准值就可以设置基准时延值。由于除了数据通道中间加入其他设备会增大数据报文的转发时延之外,还有其它一些因素可能会造成数据报文的转发时延少许增大,因此,设置基准时延值时,就需要考虑上述情况,需要设置基准时延值稍稍大于测试时延值。通常情况下,令测试时延值乘以大于等于1的冗余参数即可得到基准时延值。冗余参数可以根据经验数据获得,也可以经过多次测试、反复调整获得。
通常,数据链路是一条LSP(Label Switch Path,标签交换路径),其上承载有多条业务流向,包括多个用户的业务。因此,在中断数据链路时,可以中断所有用户的数据链路;也可以只中断预先设置有中断请求的用户的数据链路。
另外,在中断传输数据报文的数据链路之后,还包括以下步骤:
继续检测设备之间收发报文的时延值;当数据链路中断后的时延值小于等于基准时延值时,则判定数据通道中间没有其他设备,或其它设备已经不在组网中,因此可以恢复数据链路,以恢复用户的业务。
需要指出的是,数据链路中断之后,只是停止转发数据报文,对于测试报文任然可以转发,因此,在数据链路中断后,任然可以检测设备之间收发报文的时延值。
如图2所示,本发明实施例还涉及一种保护数据链路安全的装置,包括:
设置单元201,用于通过时延值检测单元202测试设备相邻时彼此间收发报文的测试时延值,根据该测试时延值,设置基准时延值;
时延值检测单元202,用于定期检测设备之间收发报文的时延值;
链路中断单元203,用于当时延值检测单元202定期检测的时延值大于设置单元201设置的基准时延值时,中断传输数据报文的数据链路;
链路恢复单元204,用于在数据链路中断后通过时延值检测单元202检测设备之间收发报文的时延值,当数据链路中断后的时延值小于等于设置单元201设置的基准时延值时,恢复所述数据链路。
如图3所示,本发明还涉及一种实现上述方法的保护数据链路安全的系统,所述系统包括多个用于转发报文的设备,所述系统中的一个或多个设备安装有保护数据链路安全的装置,图3中,只给出了安装有保护数据链路安全装置的设备A301和设备B302,其它设备由于属于本领域组网中的公知常识,且在本专利实施例中在功能和结构上未有任何变化,因此,图3中未示出。安装在设备A301上的保护数据链路安全装置包括设置单元3011、时延值检测单元3012、链路中断单元3013和链路恢复单元3014。安装在设备B302上的保护数据链路安全装置包括设置单元3021、时延值检测单元3022、链路中断单元3023和链路恢复单元3024,由于安装在设备A301和设备B302上的保护数据链路安全装置完全相同,因此,以下对其进行统一描述,不再分开描述。
设置单元,用于通过时延值检测单元测试设备相邻时彼此间收发报文的测试时延值,根据该测试时延值,设置基准时延值。
时延值检测单元,用于定期检测设备之间收发报文的时延值;
链路中断单元,用于当时延值检测单元定期检测的时延值大于预先设定的基准时延值时,中断传输数据报文的数据链路。
链路恢复单元,用于在数据链路中断后通过时延值检测单元检测设备之间收发报文的时延值,当数据链路中断后的时延值小于等于所述基准时延值时,恢复所述数据链路。
下面给出一个具体实施例,以进一步说明本专利。如图4、图5所示,设备PE1、P1、P2、PE2组成一个用户的数据链路,在本例中这个数据链路是一条LSP(Label Switch Path,标签交换路径)。其中,设备PE1、PE2是运营商边缘路由器,P1、P2是运营商骨干路由器。
设备故障描述:本例中,在设备P1、P2设备中间加入一台交换机,并且利用交换机把用户的数据镜像到恶意分配机器上对数据进行分析,这台交换机同时把数据也向P1、P2转发,在不采用本专利方案的情况下,P1、P2设备无法感知交换机的存在,用户的安全受到威胁。
在P1、P2安装保护数据链路安全装置,则通过以下方法可以保证用户的安全:
步骤1:数据链路建立成功之后,测试P1、P2设备之间转发报文的时延值。
步骤2:根据步骤1监测到的时延值,设置基准时延值;并且绑定需要保护的用户数据链路,即设置哪些用户的数据链路需要中断。
步骤3:P1、P2点通过时延值检测单元实时监测时延值的变化。
步骤4:当P1、P2点被加入恶意监听的交换机,这时可以监测到时延值大于基准时延值,通过链路中断单元中断用户的数据链路,保证用户数据的安全性。
步骤5,当P1、P2点加入的恶意监听的交换机离网之后,这时可以监测到时延值小于等于基准时延值,通过链路恢复单元恢复用户的数据链路,保证用户数据的正常使用。
由上述实施例可以看出,本发明通过检测设备之间收发报文的时延值,来判断用户的业务是否被监听,当判定被监听时,立即中断数据链路,避免用户的业务被恶意监听,进而保证了用户的安全性。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (7)

1.一种保护数据链路安全的方法,其特征在于,所述方法包括以下步骤:
定期检测设备之间收发测试报文的时延值;
当所述时延值大于预先设定的基准时延值时,则中断传输数据报文的数据链路;
在中断传输数据报文的数据链路之后,还包括以下步骤:
在数据链路中断后检测设备之间收发测试报文的时延值;
当数据链路中断后的时延值小于等于所述基准时延值时,则恢复所述数据链路。
2.如权利要求1所述的保护数据链路安全的方法,其特征在于,预先设定基准时延值,具体包括以下步骤:
测试所述设备相邻时彼此间收发报文的测试时延值;
根据所述测试时延值,设置所述基准时延值。
3.如权利要求2所述的保护数据链路安全的方法,其特征在于,所述基准时延值等于所述测试时延值乘以冗余参数;所述冗余参数大于等于1。
4.一种保护数据链路安全的装置,其特征在于,所述装置包括:
时延值检测单元,用于定期检测设备之间收发测试报文的时延值;
链路中断单元,用于当所述时延值大于预先设定的基准时延值时,中断传输数据报文的数据链路;
链路恢复单元,用于在数据链路中断后通过所述时延值检测单元检测设备之间收发测试报文的时延值,当数据链路中断后的时延值小于等于所述基准时延值时,恢复所述数据链路。
5.如权利要求4所述的保护数据链路安全的装置,其特征在于,所述装置还包括:
设置单元,用于通过所述时延值检测单元测试所述设备相邻时彼此间收发报文的测试时延值,根据所述测试时延值,设置所述基准时延值。
6.一种保护数据链路安全的系统,所述系统包括多个用于转发报文的设备,其特征在于,系统中的一个或多个所述设备安装有保护数据链路安全的装置,所述装置包括:
时延值检测单元,用于定期检测设备之间收发测试报文的时延值;
链路中断单元,用于当所述时延值大于预先设定的基准时延值时,中断传输数据报文的数据链路;
链路恢复单元,用于在数据链路中断后通过所述时延值检测单元检测设备之间收发测试报文的时延值,当数据链路中断后的时延值小于等于所述基准时延值时,恢复所述数据链路。
7.如权利要求6所述的保护数据链路安全的系统,其特征在于,所述装置还包括:
设置单元,用于通过所述时延值检测单元测试所述设备相邻时彼此间收发报文的测试时延值,根据所述测试时延值,设置所述基准时延值。
CN201110167113.7A 2011-06-21 2011-06-21 一种保护数据链路安全的方法、装置及系统 Active CN102843338B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110167113.7A CN102843338B (zh) 2011-06-21 2011-06-21 一种保护数据链路安全的方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110167113.7A CN102843338B (zh) 2011-06-21 2011-06-21 一种保护数据链路安全的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN102843338A CN102843338A (zh) 2012-12-26
CN102843338B true CN102843338B (zh) 2017-12-08

Family

ID=47370403

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110167113.7A Active CN102843338B (zh) 2011-06-21 2011-06-21 一种保护数据链路安全的方法、装置及系统

Country Status (1)

Country Link
CN (1) CN102843338B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110149220B (zh) 2014-12-30 2022-07-29 华为技术有限公司 一种管理数据传输通道的方法及装置
CN115766229A (zh) * 2022-11-16 2023-03-07 珠海格力电器股份有限公司 异常的检测方法、装置及系统、服务器、存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101562531A (zh) * 2008-04-15 2009-10-21 中国移动通信集团公司 一种网络故障处理方法、系统及路由器
CN101836215A (zh) * 2007-10-22 2010-09-15 夏普株式会社 重放装置、便携通信装置、管理服务器、以及内容发布系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101836215A (zh) * 2007-10-22 2010-09-15 夏普株式会社 重放装置、便携通信装置、管理服务器、以及内容发布系统
CN101562531A (zh) * 2008-04-15 2009-10-21 中国移动通信集团公司 一种网络故障处理方法、系统及路由器

Also Published As

Publication number Publication date
CN102843338A (zh) 2012-12-26

Similar Documents

Publication Publication Date Title
CN101286937B (zh) 一种网络流量控制方法、装置及系统
US20070074272A1 (en) Network security apparatus, network security control method and network security system
CN100385891C (zh) 在mpls网络中实现组保护的方法及装置
CN103051557A (zh) 数据流处理方法及系统、控制器、交换设备
CN100393071C (zh) 配置访问控制列表的方法及其应用
CN102195843A (zh) 一种流量控制系统和方法
KR102088298B1 (ko) 패킷 전달 시스템에서의 보호 절체 방법 및 장치
CN101123583A (zh) 网络节点设备及其方法
CN107888455A (zh) 一种数据检测方法、装置和系统
WO2005093574A3 (en) Anomaly management scheme for a multi-agent system
CN101296135A (zh) 故障信息的处理方法和装置
CN101640818B (zh) 光网络保护装置和保护方法
CN101854255A (zh) 分组传送网中复用段保护的方法及系统
CN102065020B (zh) 一种mpls网络中使用隧道组传输l2vpn业务的方法及装置
EP1487232A3 (en) Intelligent fault recovery in a line card with control plane and data plane separation
CN110505248A (zh) 一种内网nat流量的定位方法及系统
CN103109560A (zh) 一种操作维护通道的故障恢复方法和网络管理终端
CN101291276A (zh) 一种基于业务的隧道保护方法和系统
CN102843338B (zh) 一种保护数据链路安全的方法、装置及系统
CN102217248B (zh) 分布式分组流检查和处理
CN102739529A (zh) 一种伪线保护组的保护方法及装置
CN110417687A (zh) 一种报文发送与接收方法及装置
CN103636168B (zh) 一种故障恢复的方法、节点和路径计算单元
CN102882779A (zh) Vrrp通告链路保护方法及系统
CN106534399A (zh) Vsm分裂的检测方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant