CN103237020A - 避免状态机被攻击的方法及服务器、交换机 - Google Patents
避免状态机被攻击的方法及服务器、交换机 Download PDFInfo
- Publication number
- CN103237020A CN103237020A CN2013101173215A CN201310117321A CN103237020A CN 103237020 A CN103237020 A CN 103237020A CN 2013101173215 A CN2013101173215 A CN 2013101173215A CN 201310117321 A CN201310117321 A CN 201310117321A CN 103237020 A CN103237020 A CN 103237020A
- Authority
- CN
- China
- Prior art keywords
- evb
- server
- seqnum
- value
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了避免状态机被攻击的方法及服务器、交换机。方法包括:在EVB交换机上配置共享密钥和鉴权算法;当EVB交换机接收到EVB服务器发来的S通道创建请求报文时,记录报文中的SeqNum值与EVB服务器的MAC地址的对应关系;当EVB交换机接收到EVB服务器后续发来的CDCP请求报文时,在记录的SeqNum值与EVB服务器的MAC地址的对应关系中,查找报文中的EVB服务器的MAC地址对应的SeqNum值,判断查找到的SeqNum值与读取的SeqNum值是否相同,若相同,从报文中读取鉴权值,以所述SeqNum值和共享密钥作为鉴权算法的输入值,得到鉴权值,判断该鉴权值与读取的鉴权值是否相同,若是,则向EVB服务器返回CDCP响应报文;否则,将该请求报文丢弃。本发明避免了EVB交换机和服务器之间的恶意攻击。
Description
技术领域
本发明涉及数据中心技术领域,具体涉及避免状态机被攻击的方法及服务器、交换机。
背景技术
随着数据中心业务日益增加,用户需求不断提高,数据中心的规模和功能日趋复杂,管理难度也越来越高。在这一背景下,整合数据中心、降低数据中心的管理成本,充分挖掘现有资源能力以适应更高的业务需求,成为企业数据中心的重要任务。对数据中心资源进行虚拟化,成为目前数据中心整合的重要趋势。
虚拟化技术通过对物理资源和提供的服务进行抽象化,让资源使用者和系统管理者不关心对象的物理特征和服务边界的细节,从而降低资源使用和管理的复杂度,提高使用效率。因而,对数据中心的虚拟化能够提高数据中心的资源利用率,如中央处理单元(CPU,Central Processing Unit)利用率、存储容量等,降低系统的能耗,并减少系统的设计、运行、管理、维护成本,从而实现整合的目标。
数据中心的虚拟化技术主要包括3方面内容:网络虚拟化、存储虚拟化和服务器虚拟化,最主要的是服务器虚拟化。通过专用的虚拟化软件(如VMware)管理,一台物理服务器能虚拟出多台虚拟机(VM,Virtual Machine)。图1为现有的服务器虚拟化示意图,如图1所示,每台VM独立运行,互不影响,都有自己的操作系统和应用程序及虚拟的硬件环境,包括虚拟CPU、内存、存储设备、输入输出(IO)设备、虚拟交换机等。
VM内部的交换机主要用于完成VM与外部网络、VM与VM间的流量交换,这种交换机称为虚拟以太网交换机。虚拟以太网交换机(vSwitch)既可以通过软件实现,也可以通过硬件方式实现,如借助网卡硬件。但无论是软件实现还是硬件实现,由于成本和资源消耗等因素限制,虚拟以太网交换机实现不可避免存在如下一些较大的局限:
1)缺乏流量监管能力,如报文统计、流镜像功能、Net Stream等。
2)难以实施网络控制策略,例如端口安全特性、服务质量(QoS,Qualityof Service)、访问控制列表(ACL,Access Control List)。
3)管理困难,尤其是需要将服务器内部网络与外部交换网统一考虑部署时。
为此,电气和电子工程师协会(IEEE,Institute of Electrical and ElectronicsEngineers)802.1工作组着手拟定一个新的标准协议来解决上述问题,主要思路是将VM内的流量交换和处理(包括同一物理服务器上的虚拟机之间的流量交换)都交给服务器的边缘交换机完成,从而使流量的管理和监管成为可能,也使服务器内部的交换网络的部署和管理能统一处理。该标准称为802.1Qbg,即边缘虚拟桥接(EVB,Edge Virtual Bridging)技术。EVB的功能由服务器和边缘交换机协同完成。
EVB技术分为交换机(Bridge)EVB技术和服务器(Station)EVB技术,两部分配合完成EVB功能。
EVB服务器和EVB交换机之间通过S通道发现和配置协议(CDCP,S-Channel Discovery and Configuration Protocol)类型长度值(TLV,TypeLength Value)完成S通道创建的协商;通过EVB-TLV完成EVB功能参数的协商;且在服务器创建、迁移和删除时,通过虚拟服务器接口发现协议(VDP,Virtual Station Interface Discovery Protocol)/边缘控制协议(ECP,Edge Control Protocol)通知边缘交换机进行相应处理。
CDCP用于服务器与边缘交换机协商创建或者删除S通道。该协议报文承载于链路层发现协议(LLDP,Link Layer Discovery Protocol)报文,即服务器和交换机之间通过LLDP报文交换CDCP TLV信息。如果服务器支持S通道,那么将根据自身虚拟交换机的配置情况,向边缘交换机发送CDCPTLV,申请创建S通道。边缘交换机根据当前能力,为其创建对应的S通道和S通道对应的接口。
图2给出了现有的CDCP TLV的格式示意图,如图2所示,各字段的格式如下:
Type:CDCP TLV与LLDP中其它dot1q的TLV一样,type取值为127,subtype取值为0x0E;
角色(Role):取值1时,表示本设备为服务器(station);取值0时,表示本设备为交换机(bridge);
保留位(Resv):暂不使用,以0填充;
S组件支持能力(SComp):取值1时,表示能支持S-虚拟局域网(VLAN)组件,取值0时,则表示不支持S-VLAN组件;
本设备支持的S通道数目(Chncap):这里的S通道包括已经成功创建和尚未创建的;
SCID/SVID:S通道索引(SCID)和对应的SVID。第一个必须是缺省S通道,即<1,1>,CDCP报文最多支持167个SCID/SVID对,其中包括缺省S通道的SCID/SVID。
图3给出了现有的CDCP TLV的交互过程,如图3所示,以太网接口上使能EVB功能后,边缘交换机通过LLDP报文向外通告S通道状态。当服务器内部的VM有创建S通道的请求,或者原有的请求发生变化时,向边缘交换机发出S通道请求报文,边缘交换机为服务器分配或者释放SVID,创建或者删除对应的S通道接口,随后回复响应报文,通知服务器分配或者释放的SVID。服务器和交换机都在后续的报文中携带当前存在的S通道的信息作为状态通告。
现有的服务器(Station)侧、交换机(Bridge)侧分别维护有CDCP状态机,以维护CDCP状态。其中,Station侧的CDCP状态机包括三个状态,依次为:初始(Init)状态、通道请求(ChannelRequest)状态和接收SVID(RxSVIDs)状态,Init状态维护Station初始化过程中的状态参数;ChannelRequest状态维护S通道请求过程中的各状态参数;RxSVIDs状态维护SVID接收过程及接收到后的状态参数。Bridge侧的CDCP状态机也包括三个状态,依次为:Init状态、ChannelRequest状态和发送SVID(TxSVIDs)状态,Init状态、ChannelRequest状态与Station类似,TxSVIDs状态维护向Station发送SVID过程及发送完后的状态。
对于Station来说,当满足条件RemoteRole!=rwB,即远程角色不为Bridge时,会返回到初始的init状态。对于Bridge来说,当满足条件RemoteRole!=rwS,即远程角色不为Station时,会返回到初始的init状态。
目前的CDCP状态机存在保护不足的安全问题。正常情况下,Station和Bridge之间正常协商并维持着S通道,Station和Bridge侧的CDCP状态机运行正常。如果在station和Bridge之间有恶意攻击者,当攻击者构造出一个CDCP报文,其中的role=Station,那么当Station的CDCP状态机正常运行的情况下,突然接收到该攻击报文后,因为满足判断条件RemoteRole!=rwB,就会导致状态机归为初始的init状态。同理,当攻击者构造出一个CDCP报文,其中的role=Bridge,那么当Bridge的CDCP状态机正常运行的情况下,突然接收到该攻击报文后,因为满足判断条件RemoteRole!=rwS,就会导致状态机归为初始的init状态。
如果恶意攻击者构造出这种role异常的CDCP报文,并不定期发送给Station或者Bridge,就会导致出现大量的Station和Bridge状态机运行异常的情况,从而导致已经协商出的S通道无法正常运行。出现该问题的原因在于现有技术方案中,Station和Bridge状态机缺乏一种安全机制保证。
发明内容
本发明提供避免状态机被攻击的方法及服务器、交换机,以避免EVB Station和EVB Bridge之间的恶意攻击。
本发明的技术方案是这样实现的:
一种避免状态机被攻击的方法,应用于边缘虚拟桥接EVB系统中,该方法包括:
在EVB交换机上配置共享密钥和鉴权算法;
当EVB交换机接收到EVB服务器发来的S通道创建请求报文时,从该报文中读取随机序列号SeqNum值和EVB服务器的媒体接入控制MAC地址,记录该SeqNum值与EVB服务器的MAC地址的对应关系;
当EVB交换机接收到EVB服务器后续发来的S通道发现和配置协议CDCP请求报文时,从该报文中读取EVB服务器的MAC地址,在记录的SeqNum值与EVB服务器的MAC地址的对应关系中,查找读取的MAC地址对应的SeqNum值,判断查找到的SeqNum值与读取的SeqNum值是否相同,若相同,从报文中读取鉴权值,以所述SeqNum值和共享密钥作为鉴权算法的输入值,得到鉴权值,判断该鉴权值与读取的鉴权值是否相同,若是,则向EVB服务器返回CDCP响应报文;否则,将该请求报文丢弃
其中,S通道创建请求报文中的SeqNum为EVB服务器采用配置的SeqNum生成算法生成的;CDCP请求报文中的鉴权值为EVB服务器以生成的SeqNum和共享密钥作为鉴权算法的输入值计算得到的,该共享密钥和鉴权算法与EVB交换机相同。
所述鉴权算法为消息摘要MD5算法。
所述方法进一步包括:
每隔预设更新时长,更新一次所述共享密钥的值。
所述方法进一步包括:
在EVB交换机上配置节点号与加密算法的对应关系,当EVB交换机发现EVB服务器上线后,选择一个节点号,同时采用该节点号对应的加密算法对共享密钥进行加密,将节点号和加密结果发送给EVB服务器,以使得:EVB服务器根据该节点号,在自身配置的节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥,其中,不同节点号对应的加密算法不同,节点号的数目为多个。
所述SeqNum值携带在CDCP请求报文的保留字段1中,所述鉴权值携带在CDCP请求报文的保留字段2中。
一种边缘虚拟桥接EVB交换机,包括:
配置模块:保存共享密钥和鉴权算法;
鉴权模块:当接收到S通道发现和配置协议CDCP请求报文时,若从该报文中只读取到EVB服务器的媒体接入控制MAC地址和随机序列号SeqNum值,则记录该MAC地址与该SeqNum值的对应关系;若从该报文中读取到EVB服务器的MAC地址、SeqNum值和鉴权值,则根据报文中的EVB服务器的MAC地址,在自身记录的MAC地址与SeqNum值的对应关系中,查找对应的SeqNum值,判断查找到的SeqNum值与报文中的SeqNum值是否相同,若相同,则从配置模块读取共享密钥和鉴权算法,以该SeqNum值和共享密钥作为该鉴权算法的输入值,计算得到鉴权值,判断计算得到的鉴权值与报文中的鉴权值是否相同,若是,则向EVB服务器返回CDCP响应报文;否则,将该请求报文丢弃。
所述配置模块进一步用于,每隔预设更新时长,更新一次所述共享密钥的值。
所述配置模块进一步用于,保存节点号与加密算法的对应关系,当发现EVB服务器上线后,选择一个节点号,同时采用该节点号对应的加密算法对共享密钥进行加密,将节点号和加密结果发送给EVB服务器,以使得:EVB服务器根据该节点号,在自身配置的节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥,其中,不同节点号对应的加密算法不同,节点号的数目为多个。
一种边缘虚拟桥接EVB服务器,包括:
配置模块:保存共享密钥,保存随机序列号SeqNum生成算法,保存配置的或从EVB交换机获取到的鉴权算法;
请求模块:当要创建S通道时,根据配置模块中的SeqNum生成算法,生成一个SeqNum值,向EVB交换机发出携带该SeqNum值的S通道发现和配置协议CDCP请求报文;当后续发出CDCP请求报文时,从配置模块读取共享密钥和鉴权算法,以所述SeqNum值和该共享密钥作为该鉴权算法的输入值,得到鉴权值,将所述SeqNum值和所述鉴权值放入该CDCP请求报文中。
当配置模块保存的鉴权算法是从EVB交换机获取到的时,
所述配置模块进一步用于,保存节点号与加密算法的对应关系,其中,不同节点号对应的加密算法不同,节点号的数目为多个;当接收到EVB交换机发来的节点号和加密结果时,根据该节点号,在节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥。
与现有技术相比,本发明能够避免EVB Station和EVB Bridge之间的恶意攻击。
附图说明
图1为现有的服务器虚拟化示意图;
图2为现有的CDCP TLV的格式示意图;
图3为现有的CDCP TLV的交互过程示意图;
图4为本发明实施例提供的避免状态机被攻击的方法流程图;
图5为本发明实施例提供的EVB交换机的组成示意图;
图6为本发明实施例提供的EVB服务器的组成示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图4为本发明实施例提供的避免状态机被攻击的方法流程图,如图4所示,其具体步骤如下:
步骤401:在EVB服务器(Station)和EVB交换机(Bridge)侧配置相同的共享密钥和鉴权算法,预先在Station上配置随机序列号(SeqNum)生成算法。
在实际应用中,共享密钥也可以只配置在Bridge上,Station通过与Bridge进行交互,获得该共享密钥。具体实现可如下:
步骤01:预先在EVB Bridge上配置共享密钥,同时在Bridge和Station上配置节点号与加密算法的对应关系,其中,节点号的数目为多个,不同节点号对应的加密算法互不相同。
根据具体实现,加密算法要尽量地复杂、不易破解。
步骤02:当Bridge发现Station上线后,选择一个节点号,同时采用该节点号对应的加密算法对共享密钥进行加密,将节点号和加密结果发送给Station。
步骤03:Station接收节点号和加密结果,根据该节点号,在自身配置的节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥。
步骤402:当Station有创建S通道的请求时,根据配置的SeqNum生成算法,生成一个SeqNum,然后向Bridge发出CDCP请求报文,在该报文的Resv1字段中携带该SeqNum。
SeqNum用于唯一标识本Station。SeqNum由Station随机生成,SeqNum值在一定数值空间范围内变化,且在尽可能长的时间周期内不会出现重复。随后该Station和该Bridge之间交互的CDCP报文中都携带该SeqNum值。
步骤403:Bridge接收该CDCP请求报文,从该报文中读取Station的MAC地址,同时从该报文的Resv1字段读取SeqNum值,将该Station的MAC地址和SeqNum值记录在自身的Station列表中。
Station列表中包括了各个Station的MAC地址和SeqNum的对应关系,举例如下:
| ID | SeqNum | MAC地址 |
| 40032 | 2 | 0c:da:00:ef:08:01 |
| 40033 | 3 | 62:9c:02:ad:41:b0 |
| 40034 | 4 | ef:31:5b:00:62:f1 |
| 40035 | 5 | a4:31:b5:62:00:b7 |
表1Station列表示例
步骤404:对于Station随后发出的每个CDCP请求报文,Station根据配置的鉴权算法,以SeqNum和配置的共享密钥作为该鉴权算法的输入参数,得到鉴权值,将SeqNum和鉴权值分别放入CDCP请求报文的Resv1、Resv2字段。
鉴权算法可采用RFC1321中描述的消息摘要(MD,Message Digest)5算法。
步骤405:当Bridge接收到Station后续发出的CDCP请求报文时,从报文中读取Station的MAC地址,同时从报文的Resv1、Resv2字段读取SeqNum和鉴权值,根据Station的MAC地址在自身维护的Station列表中查找到对应的SeqNum。
步骤406:Bridge判断查找到的SeqNum与从报文中读取的SeqNum是否相同,若是,执行步骤407;否则,转至步骤410。
步骤407:Bridge根据配置的鉴权算法,以该SeqNum和配置的共享密钥作为该鉴权算法的输入参数,得到鉴权值。
步骤408:Bridge判断计算得到的鉴权值与从报文中读取的鉴权值是否相同,若是,执行步骤409;否则,执行步骤410。
步骤409:Bridge构造CDCP响应报文,分别将该SeqNum和该鉴权值放入该报文的Resv1、Resv2字段,将该报文返回给Station,本流程结束。
步骤410:Bridge丢弃该报文。
SeqNum的长度建议为16bit以上,这样其取值空间为216,该值对于目前的上线用户的实际可能数量来说已经足够大了。
如果需要更强的安全保证,可以增加SeqNum的位数,还可以根据SeqNum的取值空间2n(n为SeqNum的位数)被分配完毕的周期,在Station和Bridge侧进行共享密钥的更新。
图5为本发明实施例提供的EVB交换机的组成示意图,如图5所示,其主要包括:配置模块51和鉴权模块52,其中:
配置模块51:保存共享密钥和鉴权算法。
配置模块51可进一步用于,每隔预设更新时长,更新一次共享密钥的值。
配置模块51可进一步用于,保存节点号与加密算法的对应关系,当发现Station上线后,选择一个节点号,同时采用该节点号对应的加密算法对共享密钥进行加密,将节点号和加密结果发送给Station。
鉴权模块52:当接收到CDCP请求报文时,若从该报文中只读取到EVB服务器的MAC地址和SeqNum值,则记录该MAC地址与该SeqNum值的对应关系;若从该报文中读取到EVB服务器的MAC地址、SeqNum值和鉴权值,则根据读取的EVB服务器的MAC地址,在自身记录的EVB服务器的MAC地址与SeqNum值的对应关系中,查找到对应的SeqNum值,判断查找到的SeqNum值与从CDCP请求报文读取的SeqNum值是否相同,若是,从配置模块51读取共享密钥和鉴权算法,以该SeqNum值和该共享密钥作为该鉴权算法的输入参数,得到鉴权值,判断计算得到的鉴权值与从CDCP请求报文读取的鉴权值是否相同,若相同,确定鉴权通过,构造CDCP响应报文,分别将该SeqNum和该鉴权值放入该报文的Resv1、Resv2字段,将该报文返回给EVB服务器;否则,确定鉴权失败,丢弃该请求报文。
图6为本发明实施例提供的EVB服务器的组成示意图,如图6所示,其主要包括:配置模块61和请求模块62,其中:
配置模块61:保存共享密钥、鉴权算法和SeqNum生成算法,该共享密钥为配置的或从EVB交换机获取到的。
配置模块61可进一步用于,每隔预设更新时长,更新一次共享密钥的值。
当共享密钥为从EVB交换机获取到的时,配置模块61进一步用于,保存节点号与加密算法的对应关系,当接收到EVB交换机发来的节点号和加密结果时,根据该节点号,在节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到并保存共享密钥。
请求模块62:当要创建S通道时,根据配置模块61中的SeqNum生成算法,生成一个SeqNum值,将该SeqNum值放入CDCP请求报文的Resv1字段,向EVB交换机发出该CDCP请求报文;当后续发出CDCP请求报文时,从配置模块61读取共享密钥和鉴权算法,以该SeqNum值和该共享密钥作为该鉴权算法的输入值,得到鉴权值,将该SeqNum值和该鉴权值分别放入该CDCP请求报文的Resv1、Resv2字段。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种避免状态机被攻击的方法,其特征在于,应用于边缘虚拟桥接EVB系统中,该方法包括:
在EVB交换机上配置共享密钥和鉴权算法;
当EVB交换机接收到EVB服务器发来的S通道创建请求报文时,从该报文中读取随机序列号SeqNum值和EVB服务器的媒体接入控制MAC地址,记录该SeqNum值与EVB服务器的MAC地址的对应关系;
当EVB交换机接收到EVB服务器后续发来的S通道发现和配置协议CDCP请求报文时,从该报文中读取EVB服务器的MAC地址,在记录的SeqNum值与EVB服务器的MAC地址的对应关系中,查找读取的MAC地址对应的SeqNum值,判断查找到的SeqNum值与读取的SeqNum值是否相同,若相同,从报文中读取鉴权值,以所述SeqNum值和共享密钥作为鉴权算法的输入值,得到鉴权值,判断该鉴权值与读取的鉴权值是否相同,若是,则向EVB服务器返回CDCP响应报文;否则,将该请求报文丢弃
其中,S通道创建请求报文中的SeqNum为EVB服务器采用配置的SeqNum生成算法生成的;CDCP请求报文中的鉴权值为EVB服务器以生成的SeqNum和共享密钥作为鉴权算法的输入值计算得到的,该共享密钥和鉴权算法与EVB交换机相同。
2.根据权利要求1所述的方法,其特征在于,所述鉴权算法为消息摘要MD5算法。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
每隔预设更新时长,更新一次所述共享密钥的值。
4.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
在EVB交换机上配置节点号与加密算法的对应关系,当EVB交换机发现EVB服务器上线后,选择一个节点号,同时采用该节点号对应的加密算法对共享密钥进行加密,将节点号和加密结果发送给EVB服务器,以使得:EVB服务器根据该节点号,在自身配置的节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥,其中,不同节点号对应的加密算法不同,节点号的数目为多个。
5.根据权利要求1所述的方法,其特征在于,所述SeqNum值携带在CDCP请求报文的保留字段1中,所述鉴权值携带在CDCP请求报文的保留字段2中。
6.一种边缘虚拟桥接EVB交换机,其特征在于,包括:
配置模块:保存共享密钥和鉴权算法;
鉴权模块:当接收到S通道发现和配置协议CDCP请求报文时,若从该报文中只读取到EVB服务器的媒体接入控制MAC地址和随机序列号SeqNum值,则记录该MAC地址与该SeqNum值的对应关系;若从该报文中读取到EVB服务器的MAC地址、SeqNum值和鉴权值,则根据报文中的EVB服务器的MAC地址,在自身记录的MAC地址与SeqNum值的对应关系中,查找对应的SeqNum值,判断查找到的SeqNum值与报文中的SeqNum值是否相同,若相同,则从配置模块读取共享密钥和鉴权算法,以该SeqNum值和共享密钥作为该鉴权算法的输入值,计算得到鉴权值,判断计算得到的鉴权值与报文中的鉴权值是否相同,若是,则向EVB服务器返回CDCP响应报文;否则,将该请求报文丢弃。
7.根据权利要求6所述的交换机,其特征在于,所述配置模块进一步用于,每隔预设更新时长,更新一次所述共享密钥的值。
8.根据权利要求6所述的交换机,其特征在于,所述配置模块进一步用于,保存节点号与加密算法的对应关系,当发现EVB服务器上线后,选择一个节点号,同时采用该节点号对应的加密算法对共享密钥进行加密,将节点号和加密结果发送给EVB服务器,以使得:EVB服务器根据该节点号,在自身配置的节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥,其中,不同节点号对应的加密算法不同,节点号的数目为多个。
9.一种边缘虚拟桥接EVB服务器,其特征在于,包括:
配置模块:保存共享密钥,保存随机序列号SeqNum生成算法,保存配置的或从EVB交换机获取到的鉴权算法;
请求模块:当要创建S通道时,根据配置模块中的SeqNum生成算法,生成一个SeqNum值,向EVB交换机发出携带该SeqNum值的S通道发现和配置协议CDCP请求报文;当后续发出CDCP请求报文时,从配置模块读取共享密钥和鉴权算法,以所述SeqNum值和该共享密钥作为该鉴权算法的输入值,得到鉴权值,将所述SeqNum值和所述鉴权值放入该CDCP请求报文中。
10.根据权利要求9所述的服务器,其特征在于,当配置模块保存的鉴权算法是从EVB交换机获取到的时,
所述配置模块进一步用于,保存节点号与加密算法的对应关系,其中,不同节点号对应的加密算法不同,节点号的数目为多个;当接收到EVB交换机发来的节点号和加密结果时,根据该节点号,在节点号与加密算法的对应关系中,查找到对应的加密算法,采用该加密算法对加密结果进行解密,得到共享密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310117321.5A CN103237020B (zh) | 2013-04-07 | 2013-04-07 | 避免状态机被攻击的方法及服务器、交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310117321.5A CN103237020B (zh) | 2013-04-07 | 2013-04-07 | 避免状态机被攻击的方法及服务器、交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103237020A true CN103237020A (zh) | 2013-08-07 |
| CN103237020B CN103237020B (zh) | 2016-08-17 |
Family
ID=48885037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310117321.5A Active CN103237020B (zh) | 2013-04-07 | 2013-04-07 | 避免状态机被攻击的方法及服务器、交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103237020B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227494A (zh) * | 2015-10-28 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于以太网交换机的数据安全交互方法及装置 |
| CN105263141A (zh) * | 2015-10-30 | 2016-01-20 | 广东美的制冷设备有限公司 | 家用电器及家用电器的控制方法 |
| CN107409066A (zh) * | 2015-02-26 | 2017-11-28 | 思科技术公司 | 用于自动检测和配置服务器上行链路网络接口的系统和方法 |
| CN111182171A (zh) * | 2019-12-16 | 2020-05-19 | 成都信息工程大学 | 一种分阶段解密的图像秘密共享信息处理方法及系统 |
| CN111385278A (zh) * | 2018-12-29 | 2020-07-07 | 西安华为技术有限公司 | 一种报文转发方法及装置 |
| CN114726518A (zh) * | 2022-03-31 | 2022-07-08 | 阿里云计算有限公司 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050195840A1 (en) * | 2004-03-02 | 2005-09-08 | Steven Krapp | Method and system for preventing denial of service attacks in a network |
| CN101707604A (zh) * | 2009-11-20 | 2010-05-12 | 杭州华三通信技术有限公司 | 一种防恶意攻击的方法、系统及装置 |
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
-
2013
- 2013-04-07 CN CN201310117321.5A patent/CN103237020B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050195840A1 (en) * | 2004-03-02 | 2005-09-08 | Steven Krapp | Method and system for preventing denial of service attacks in a network |
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
| CN101707604A (zh) * | 2009-11-20 | 2010-05-12 | 杭州华三通信技术有限公司 | 一种防恶意攻击的方法、系统及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107409066A (zh) * | 2015-02-26 | 2017-11-28 | 思科技术公司 | 用于自动检测和配置服务器上行链路网络接口的系统和方法 |
| CN107409066B (zh) * | 2015-02-26 | 2020-10-30 | 思科技术公司 | 用于自动检测和配置服务器上行链路网络接口的系统和方法 |
| CN105227494A (zh) * | 2015-10-28 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于以太网交换机的数据安全交互方法及装置 |
| CN105227494B (zh) * | 2015-10-28 | 2018-11-27 | 成都卫士通信息产业股份有限公司 | 一种基于以太网交换机的数据安全交互方法及装置 |
| CN105263141A (zh) * | 2015-10-30 | 2016-01-20 | 广东美的制冷设备有限公司 | 家用电器及家用电器的控制方法 |
| CN111385278A (zh) * | 2018-12-29 | 2020-07-07 | 西安华为技术有限公司 | 一种报文转发方法及装置 |
| CN111385278B (zh) * | 2018-12-29 | 2021-11-30 | 西安华为技术有限公司 | 一种报文转发方法及装置 |
| CN111182171A (zh) * | 2019-12-16 | 2020-05-19 | 成都信息工程大学 | 一种分阶段解密的图像秘密共享信息处理方法及系统 |
| CN111182171B (zh) * | 2019-12-16 | 2022-03-15 | 成都信息工程大学 | 一种分阶段解密的图像秘密共享信息处理方法及系统 |
| CN114726518A (zh) * | 2022-03-31 | 2022-07-08 | 阿里云计算有限公司 | 用于云网络系统的通信方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103237020B (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tayyaba et al. | Software defined network (sdn) based internet of things (iot) a road ahead | |
| Alam et al. | Autonomic computation offloading in mobile edge for IoT applications | |
| US10616133B2 (en) | Resource configuration method and network device thereof | |
| US20190123963A1 (en) | Method and apparatus for managing resources of network slice | |
| Sodhro et al. | Towards blockchain-enabled security technique for industrial internet of things based decentralized applications | |
| CN103237020A (zh) | 避免状态机被攻击的方法及服务器、交换机 | |
| CN104685507A (zh) | 向虚拟云基础结构提供虚拟安全装置架构 | |
| Rao et al. | A paradigm shift from cloud to fog computing | |
| Hwang et al. | Dynamic access control scheme for iot devices using blockchain | |
| CN105024842A (zh) | 服务器的扩容方法及装置 | |
| EP3821589B1 (en) | Session management in a forwarding plane | |
| Xie et al. | Resource-efficient DAG blockchain with sharding for 6G networks | |
| CN109964507A (zh) | 网络功能的管理方法、管理单元及系统 | |
| CN102402466A (zh) | 一种解决虚拟化平台多边冲突的方法及系统 | |
| CN105704042A (zh) | 报文处理方法、bng及bng集群系统 | |
| Rath et al. | MAQ system development in mobile ad-hoc networks using mobile agents | |
| Balakrishna et al. | ESBL: design and implement a cloud integrated framework for IoT load balancing | |
| Jalasri et al. | Managing data security in fog computing in IoT devices using noise framework encryption with power probabilistic clustering algorithm | |
| Lin et al. | Security function virtualization based moving target defense of SDN-enabled smart grid | |
| Apat et al. | Review on QoS aware resource management in fog computing environment | |
| Hakiri et al. | A Blockchain architecture for SDN-enabled tamper-resistant IoT networks | |
| CN107408058B (zh) | 一种虚拟资源的部署方法、装置及系统 | |
| Liang et al. | Collaborative intrusion detection as a service in cloud computing environment | |
| CN104683476A (zh) | 一种存储数据迁移方法 | |
| CN108134778B (zh) | 一种基于密码系统虚拟化切片的多用途密码系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |