CN106453364A - 一种检测链路中串接非法设备的方法及装置 - Google Patents
一种检测链路中串接非法设备的方法及装置 Download PDFInfo
- Publication number
- CN106453364A CN106453364A CN201610951665.XA CN201610951665A CN106453364A CN 106453364 A CN106453364 A CN 106453364A CN 201610951665 A CN201610951665 A CN 201610951665A CN 106453364 A CN106453364 A CN 106453364A
- Authority
- CN
- China
- Prior art keywords
- ethernet device
- delay
- ethernet
- moment
- delay response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种检测链路中串接非法设备的方法及装置,包括:检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
Description
技术领域
本发明涉及以太网领域中的非法设备检测技术,尤其涉及一种检测链路中串接非法设备的方法及装置。
背景技术
在目前的各种数据通信网络解决方案中,以太网以其协议简单、设备成本低廉、支持广播和组播通信,得到了越来越多的应用。但数据通信网络特别是以太网的安全问题一直是网络运营商、网络解决方案提供商、网络设备商关心的重中之重。
为了解决以太网的可信问题,引入了各种解决方案,终端设备认证方案就是其中的一种,如图1所示,图1是可信计算组织(TCG,Trusted Computing Group)提出的可信网络连接(TNC,Trusted Network Connection)架构,接入请求者(AR,Access Requester)经过策略决定者(PDP,Policy Decision Point)的用户合法性认证和平台完整性认证后,PDP下发接入指令给策略执行者(PEP,Policy Enforcement Point)将AR接入网络,这里,PEP为图1中的以太网设备A。
TNC架构实际上是建立在网络设备可信的基础上,通过对终端接入设备进行安全检查来提高整个网络的安全性。
但是以太网设备的身份合法性如何得到认证,在大型网络中如何保证不发生如图2所示的非法以太网设备C接入的问题仍需考虑。由于以太网设备的多样性(包括路由器、交换机等)以及设备表项容量和性能的问题,一般不会在以太网设备B上再重复在以太网设备A上的认证过程,例如在交换机上对AR的介质访问控制(MAC,Media Access Control)地址的认证。
常见的解决方案是在以太网设备A和以太网设备B之间的链路上进行以太网设备身份验证,验证通过后以太网设备A和以太网设备B对应的端口打开,可以相互间进行后续的通信。但是,以太网设备C可以以二层协议透明的方式工作,此时,以太网设备A和以太网设备B之间通过现有的通信协议无法感知以太网设备C的存在,如图3所示。而事实上,非法攻击者可以通过以太网设备C进行网络攻击或网络监听。因此,现有的技术方案不能解决非法设备以二层协议透明的方式串接在链路上的问题。
发明内容
为解决上述技术问题,本发明实施例提供了一种检测链路中串接非法设备的方法及装置。
本发明实施例提供的检测链路中串接非法设备的方法,包括:
检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;
获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
本发明实施例中,所述获取第一以太网设备与第二以太网设备之间的测量通信时延,包括:
第一以太网设备向第二以太网设备发送时延请求报文,其中,所述第一以太网设备记录所述时延请求报文的发送时刻T1,所述第二以太网设备记录所述时延请求报文的接收时刻T2;
第一以太网设备接收第二以太网设备发送的携有时刻T2的时延响应报文,其中,所述第二以太网设备记录所述时延响应报文的发送时刻T3,所述第一以太网设备记录所述时延响应报文的接收时刻T4;
第一以太网设备接收第二以太网设备发送的携有时刻T3的时延响应后续报文;
第一以太网设备根据所述时刻T1、时刻T2、时刻T3和时刻T4,计算第一以太网设备与第二以太网设备之间的测量通信时延。
本发明实施例中,所述方法还包括:
基于公钥基础设施(PKI,Public Key Infrastructure)机制对所述时延响应报文和时延响应后续报文中携带的时刻进行安全保护。
在一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用公钥加密算法对时延响应报文或时延响应后续报文中携带的时刻进行加密保护;第一以太网设备接收时延响应报文或时延响应后续报文时,采用私钥解密算法解密时延响应报文或时延响应后续报文中携带的时刻。
在另一实施方式中,所述方法还包括:
第二以太网设备发送时延响应报文或时延响应后续报文时,采用摘要算法和私钥签名机制对所述时延响应报文和时延响应后续报文中携带的时刻进行数据完整性保护;第一以太网设备接收时延响应报文或时延响应后续报文时,采用摘要认证和公钥认证机制对所述时延响应报文和时延响应后续报文中携带的时刻的数据完整性进行确认。
本发明实施例中,所述方法还包括:
周期性地对所述第一类非法设备和所述第二类非法设备进行检测。
本发明实施例提供的检测链路中串接非法设备的装置,包括:
第一检测单元,用于检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;
第二检测单元,用于获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
本发明实施例中,所述第二检测单元包括:
发送子单元,用于向第二以太网设备发送时延请求报文,其中,所述第一以太网设备记录所述时延请求报文的发送时刻T1,所述第二以太网设备记录所述时延请求报文的接收时刻T2;
接收子单元,用于接收第二以太网设备发送的携有时刻T2的时延响应报文,其中,所述第二以太网设备记录所述时延响应报文的发送时刻T3,所述第一以太网设备记录所述时延响应报文的接收时刻T4;接收第二以太网设备发送的携有时刻T3的时延响应后续报文;
计算子单元,用于根据所述时刻T1、时刻T2、时刻T3和时刻T4,计算第一以太网设备与第二以太网设备之间的测量通信时延。
本发明实施例中,所述装置还包括:安全保护单元,用于基于PKI机制对所述时延响应报文和时延响应后续报文中携带的时刻进行安全保护。
在一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用公钥加密算法对时延响应报文或时延响应后续报文中携带的时刻进行加密保护;第一以太网设备接收时延响应报文或时延响应后续报文时,采用私钥解密算法解密时延响应报文或时延响应后续报文中携带的时刻。
在另一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用摘要算法和私钥签名机制对所述时延响应报文和时延响应后续报文中携带的时刻进行数据完整性保护;第一以太网设备接收时延响应报文或时延响应后续报文时,采用摘要认证和公钥认证机制对所述时延响应报文和时延响应后续报文中携带的时刻的数据完整性进行确认。
本发明实施例中,所述第一检测单元,还用于周期性地对所述第一类非法设备进行检测;
所述第二检测单元,还用于周期性地对所述第二类非法设备进行检测。
本发明实施例的技术方案中,检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。如此,可以使以太网设备感知在以太网链路上是否存在二层协议透明的非法转发设备,从而解决了可信网络认证中存在的非法设备透明串接的问题。
附图说明
图1为TNC架构示意图;
图2为非法设备串接在以太网链路中的示意图一;
图3为非法设备串接在以太网链路中的示意图二;
图4为本发明实施例的检测链路中串接非法设备的方法的流程示意图;
图5为本发明实施例的获取测量通信时延的流程示意图一;
图6为本发明实施例的获取测量通信时延的流程示意图二;
图7为本发明实施例的获取测量通信时延的流程示意图三;
图8为本发明实施例的检测链路中串接非法设备的装置的结构组成示意图一;
图9为本发明实施例的检测链路中串接非法设备的装置的结构组成示意图二。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
在以太网链路中,可以实现二层协议透明转发的设备有两种:一种是集线器(HUB),这是一种基于物理层信号中继转发的设备。另一种是基于存储转发式的以太网设备,称为存储转发设备。本发明实施例的技术方案主要针对这两种类型的转发设备进行检测,其中,HUB称为第一类非法设备,存储转发设备称为第二类非法设备。基于此,提出本发明实施例的以下技术方案。
图4为本发明实施例的检测链路中串接非法设备的方法的流程示意图,如图4所示,所述检测链路中串接非法设备的方法包括以下步骤:
步骤401:检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接。
这里,第一类非法设备具体是指HUB,HUB的工作方式是基于总线共享的,因此连接在HUB上的以太网设备的端口自协商结果只能是半双工模式。基于此,以太网设备可以通过检测端口的自协商结果是否为半双工模式来确定链路是否被串接HUB,以便网络管理员进行相应的检查。
本发明实施例中,第一以太网设备以及下文中的第二以太网设备均泛指以太网链路中的任意使用全双工工作方式的以太网设备,可以是交换机、路由器等等。
本发明实施例中,可以周期性地对所述第一类非法设备进行检测。检测周期可以根据需要设置,例如:基于性能和检测及时性综合考虑,一般基于分钟级检测即可。
步骤402:获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
本发明实施例中,第二类非法设备具体是指存储转发设备,存储转发设备在转发报文时会引入相应的时延(一般至少为3-5us),如果可以精确测量出第一以太网设备(如图3中的以太网设备A)和第二以太网设备(如图3中的以太网设备B)之间的通信时延(称为测量通信时延),则可以通过对比第一以太网设备和第二以太网设备之间的参考通信时延与测量通信时延感知是否存在二层透明转发设备,也即第二类非法设备。
上述方案中,参考通信时延可以通过链路距离计算得到,例如:电口传输距离通常不超过100米,则线路时延小于1us;再例如:光纤可以按每公里5us计算线路时延。
上述方案中,由于存储转发设备引入的转发时延换算成光纤传输距离的话(3-5us时延对应距离为600-1000米)远大于光纤链路距离测量误差(光纤测距仪误差一般<10米),因此通过时延来检测第一以太网设备与第二以太网设备之间是否串接存储转发设备可行。
本发明实施例中,可以周期性地对所述第二类非法设备进行检测。检测周期可以根据需要设置,例如:基于性能和检测及时性综合考虑,一般基于分钟级检测即可。
在以太网网络中,精确时钟同步协议(PTP,Precision Time Protocol)是一种应用在以太网上的时间同步协议,它借助于集成在以太网端口的硬件时间戳机制,来完成亚微秒级精度的时间同步。
以图2中的以太网设备A和以太网设备B为例,时间同步的基本原理是:通过测量以太网设备A和以太网设备B相连端口之间的线路时延来进行时间补偿。例如:将以太网设备A的时间同步至以太网设备B的时间,则以太网设备A可以从以太网设备B发过来的时间同步报文(Sync-B)来获取以太网设备B发送报文的时间,由于Sync-B报文从以太网设备B传到以太网设备A时经过了线路的延迟,因此,以太网设备A需要将从Sync-B中获得的时间再加上以太网设备B到以太网设备A之间线路延迟时间,从而得到以太网设备B的当前时间,实现以太网设备A与以太网设备B的时间同步。
PTP协议体系比较复杂,对于时钟源的精度要求也较高,本发明实施例不局限于在以太网设备间布署PTP协议,还可以只利用以太网设备端口的PTP硬件时间戳功能而不进行以太网设备间的时间同步。对时钟源的精度使用以太网设备的硬件参考时钟即可。
值得注意的是,本发明实施例中的步骤401和步骤402并没有先后执行顺序。
PTP协议中规定了Pdelay时延测量方法,PTP协议对报文时间戳的处理有两种方式,一种是one-step方式,另一种是two-step方式,one-step方式对于时间戳的生成和修正等由硬件处理;two-step方式端口硬件主要完成PTP报文收发的时间戳的记录,后续报文中的时间戳生成和修正工作主要由软件处理,硬件实现简单,软件扩展性较好。本发明实施例的技术方案由于需要对时间戳进行安全保护,保护算法需要在PTP的安全机制基础上进行私有扩展,因此采用two-step机制实现。基于此,提出本发明实施例的以下技术方案。
图5为本发明实施例的获取测量通信时延的流程示意图一,如图5所示,所述获取测量通信时延的流程包括以下步骤:
步骤501:第一以太网设备向第二以太网设备发送时延请求报文,其中,所述第一以太网设备记录所述时延请求报文的发送时刻T1,所述第二以太网设备记录所述时延请求报文的接收时刻T2。
步骤502:第一以太网设备接收第二以太网设备发送的携有时刻T2的时延响应报文,其中,所述第二以太网设备记录所述时延响应报文的发送时刻T3,所述第一以太网设备记录所述时延响应报文的接收时刻T4。
步骤503:第一以太网设备接收第二以太网设备发送的携有时刻T3的时延响应后续报文。
步骤504:第一以太网设备根据所述时刻T1、时刻T2、时刻T3和时刻T4,计算第一以太网设备与第二以太网设备之间的测量通信时延。
本发明实施例中,基于PKI机制对所述时延响应报文和时延响应后续报文中携带的时刻进行安全保护。
在一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用公钥加密算法对时延响应报文或时延响应后续报文中携带的时刻进行加密保护;第一以太网设备接收时延响应报文或时延响应后续报文时,采用私钥解密算法解密时延响应报文或时延响应后续报文中携带的时刻。
在另一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用摘要算法和私钥签名机制对所述时延响应报文和时延响应后续报文中携带的时刻进行数据完整性保护;第一以太网设备接收时延响应报文或时延响应后续报文时,采用摘要认证和公钥认证机制对所述时延响应报文和时延响应后续报文中携带的时刻的数据完整性进行确认。
上述方案中,在PTP协议中定义了时间参数(也称为时间戳)的完整性安全保护基制,主要采用数据摘要算法和安全哈希算法(SHA,Secure Hash Algorithm)防止时间戳被非法设备篡改,该算法基于共享密钥方式。由于本发明实施例的方案是基于对端网络设备不可信需要身份验证的环境,因此,不宜与对端设备采用预共享密钥机制来对时间参数进行加密或完整性保护。由于以太网设备之间身份认证通常采用基于PKI证书的方案,因此本发明实施例采用公钥加密算法对时间参数进行加密保护,而对端则采用私钥解密算法来获取时间参数。此外,在加密算法中需要同时引入数据摘要算法或预定义一段明文等办法来保证加密数据的完整性,相应地,解密后数据摘要正确或预定义明文得到解密。
基于以上方案,需要对PTP协议安全机制AUTHENTICATION TLV中定义的算法进行扩展,使用特定实现(Implementation-specific)的算法标识(algorithmId)取值范围(0x81-0xFF)来定义私有算法的algorithmId。然后,在以太网设备采用本发明实施例的技术方案时,则可根据私有算法的algorithmId来处理报文,可见,本发明实施例的技术方案可以同时与现有的PTP协议共存布署,兼容性更强。
图6为本发明实施例的获取测量通信时延的流程示意图二,如图6所示,所述获取测量通信时延的流程包括:
步骤601:以太网设备A发送Pdelay_Req报文给以太网设备B,以太网设备A在发送Pdelay_Req报文时记录下发送时间t1,以太网设备B收到Pdelay_Req报文后记录收到Pdelay_Req报文的时间t2。
步骤602:以太网设备B向以太网设备A发送Pdelay_Resp报文将t2告诉给以太网设备A,同时以太网设备B记录Pdelay_Resp报文的发送时间t3,以太网设备A收到Pdelay_Resp报文后记录收到Pdelay_Resp报文的时间t4。
步骤603:以太网设备B通过Pdelay_Resp follow-up报文将Pdelay_Resp报文的发送时间t3告诉以太网设备A。
以上报文的交换中,凡是报文中带有时间参数的(主要是Pdelay_Resp报文和Pdelay_Resp follow-up报文)都需要采用本发明实施例的安全机制。
至此,以太网设备A就有了t1、t2、t3、t4四个时间,其中t1、t4是以太网设备A自己记录的,t2、t3是以太网设备B通过安全的方法告诉给以太网设备A的,以太网设备A据此可以通过计算获得以太网设备A到以太网设备B的时延:
Pdelay=(t4-t1-(t3-t2))/2
其中,Pdelay代表以太网设备A到以太网设备B的链路时延。
以太网设备A在测得链路时延(也即测量通信时延)后,可以根据预定义的参考通信时延判断是否可能存在非法设备。同理,以太网设备B也可以发起时延测量来进行非法设备的检测。
图7为本发明实施例的获取测量通信时延的流程示意图三,如图7所示,所述获取测量通信时延的流程包括:
步骤701:以太网设备在端口发起链路时延测量,得到测量通信时延。
步骤702:将测量通信时延与参考通信时延进行比较。
步骤703:判断测量通信时延相对于所述参考通信时延的误差是否大于等于预设阈值,是时,执行步骤704,否时,结束本流程。
步骤704:输出非法设备串接告警的提示信息。
图8为本发明实施例的检测链路中串接非法设备的装置的结构组成示意图一,如图8所示,所述装置包括:
第一检测单元81,用于检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;
第二检测单元82,用于获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
本领域技术人员应当理解,图8所示的检测链路中串接非法设备的装置中的各单元的实现功能可参照前述检测链路中串接非法设备的方法的相关描述而理解。图8所示的检测链路中串接非法设备的装置中的各单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
图9为本发明实施例的检测链路中串接非法设备的装置的结构组成示意图二,如图9所示,所述装置包括:
第一检测单元91,用于检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;
第二检测单元92,用于获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
在一实施方式中,所述第二检测单元92包括:
发送子单元921,用于向第二以太网设备发送时延请求报文,其中,所述第一以太网设备记录所述时延请求报文的发送时刻T1,所述第二以太网设备记录所述时延请求报文的接收时刻T2;
接收子单元922,用于接收第二以太网设备发送的携有时刻T2的时延响应报文,其中,所述第二以太网设备记录所述时延响应报文的发送时刻T3,所述第一以太网设备记录所述时延响应报文的接收时刻T4;接收第二以太网设备发送的携有时刻T3的时延响应后续报文;
计算子单元923,用于根据所述时刻T1、时刻T2、时刻T3和时刻T4,计算第一以太网设备与第二以太网设备之间的测量通信时延。
所述装置还包括:安全保护单元93,用于基于PKI机制对所述时延响应报文和时延响应后续报文中携带的时刻进行安全保护。
在一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用公钥加密算法对时延响应报文或时延响应后续报文中携带的时刻进行加密保护;
相应地,所述安全保护单元93,还用于第一以太网设备接收时延响应报文或时延响应后续报文时,采用私钥解密算法解密时延响应报文或时延响应后续报文中携带的时刻。
在另一实施方式中,第二以太网设备发送时延响应报文或时延响应后续报文时,采用摘要算法和私钥签名机制对所述时延响应报文和时延响应后续报文中携带的时刻进行数据完整性保护;
相应地,所述安全保护单元93,还用于第一以太网设备接收时延响应报文或时延响应后续报文时,采用摘要认证和公钥认证机制对所述时延响应报文和时延响应后续报文中携带的时刻的数据完整性进行确认。
本发明实施例中,所述第一检测单元91,还用于周期性地对所述第一类非法设备进行检测;
所述第二检测单元92,还用于周期性地对所述第二类非法设备进行检测。
本发明实施例的技术方案中,通过对HUB的检测和存储转发设备的检测较好地解决了二层协议透明以太网设备非法串接在以太网链路上的问题,使得以太网设备间的可信认证解决方案更为安全和有效,并且可与基于PKI的以太网设备安全认证方案完美结合,同时利用现有设备的PTP硬件能力,不需要增加专用硬件,对本方案在现网的应用部署具有积极的意义。
本领域技术人员应当理解,图9所示的检测链路中串接非法设备的装置中的各单元的实现功能可参照前述检测链路中串接非法设备的方法的相关描述而理解。图9所示的检测链路中串接非法设备的装置中的各单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个第二处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种检测链路中串接非法设备的方法,其特征在于,所述方法包括:
检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;
获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
2.根据权利要求1所述的检测链路中串接非法设备的方法,其特征在于,所述获取第一以太网设备与第二以太网设备之间的测量通信时延,包括:
第一以太网设备向第二以太网设备发送时延请求报文,其中,所述第一以太网设备记录所述时延请求报文的发送时刻T1,所述第二以太网设备记录所述时延请求报文的接收时刻T2;
第一以太网设备接收第二以太网设备发送的携有时刻T2的时延响应报文,其中,所述第二以太网设备记录所述时延响应报文的发送时刻T3,所述第一以太网设备记录所述时延响应报文的接收时刻T4;
第一以太网设备接收第二以太网设备发送的携有时刻T3的时延响应后续报文;
第一以太网设备根据所述时刻T1、时刻T2、时刻T3和时刻T4,计算第一以太网设备与第二以太网设备之间的测量通信时延。
3.根据权利要求2所述的检测链路中串接非法设备的方法,其特征在于,所述方法还包括:
基于公钥基础设施PKI机制对所述时延响应报文和时延响应后续报文中携带的时刻进行安全保护。
4.根据权利要求3所述的检测链路中串接非法设备的方法,其特征在于,
第二以太网设备发送时延响应报文或时延响应后续报文时,采用公钥加密算法对时延响应报文或时延响应后续报文中携带的时刻进行加密保护;
第一以太网设备接收时延响应报文或时延响应后续报文时,采用私钥解密算法解密时延响应报文或时延响应后续报文中携带的时刻。
5.根据权利要求3所述的检测链路中串接非法设备的方法,其特征在于,第二以太网设备发送时延响应报文或时延响应后续报文时,采用摘要算法和私钥签名机制对所述时延响应报文和时延响应后续报文中携带的时刻进行数据完整性保护;
第一以太网设备接收时延响应报文或时延响应后续报文时,采用摘要认证和公钥认证机制对所述时延响应报文和时延响应后续报文中携带的时刻的数据完整性进行确认。
6.根据权利要求1至5任一项所述的检测链路中串接非法设备的方法,其特征在于,所述方法还包括:
周期性地对所述第一类非法设备和所述第二类非法设备进行检测。
7.一种检测链路中串接非法设备的装置,其特征在于,所述装置包括:
第一检测单元,用于检测第一以太网设备端口的自协商结果,当所述自协商结果为半双工模式时,确定所述第一以太网设备与第一类非法设备串接;
第二检测单元,用于获取第一以太网设备与第二以太网设备之间的测量通信时延和参考通信时延,当所述测量通信时延相对于所述参考通信时延的误差大于等于预设阈值时,确定所述第一以太网设备与第二以太网设备之间串接有第二类非法设备。
8.根据权利要求7所述的检测链路中串接非法设备的装置,其特征在于,所述第二检测单元包括:
发送子单元,用于向第二以太网设备发送时延请求报文,其中,所述第一以太网设备记录所述时延请求报文的发送时刻T1,所述第二以太网设备记录所述时延请求报文的接收时刻T2;
接收子单元,用于接收第二以太网设备发送的携有时刻T2的时延响应报文,其中,所述第二以太网设备记录所述时延响应报文的发送时刻T3,所述第一以太网设备记录所述时延响应报文的接收时刻T4;接收第二以太网设备发送的携有时刻T3的时延响应后续报文;
计算子单元,用于根据所述时刻T1、时刻T2、时刻T3和时刻T4,计算第一以太网设备与第二以太网设备之间的测量通信时延。
9.根据权利要求8所述的检测链路中串接非法设备的装置,其特征在于,所述装置还包括:安全保护单元,用于基于PKI机制对所述时延响应报文和时延响应后续报文中携带的时刻进行安全保护。
10.根据权利要求9所述的检测链路中串接非法设备的装置,其特征在于,第二以太网设备发送时延响应报文或时延响应后续报文时,采用公钥加密算法对时延响应报文或时延响应后续报文中携带的时刻进行加密保护;
相应地,所述安全保护单元,还用于第一以太网设备接收时延响应报文或时延响应后续报文时,采用私钥解密算法解密时延响应报文或时延响应后续报文中携带的时刻。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610951665.XA CN106453364B (zh) | 2016-10-27 | 2016-10-27 | 一种检测链路中串接非法设备的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610951665.XA CN106453364B (zh) | 2016-10-27 | 2016-10-27 | 一种检测链路中串接非法设备的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106453364A true CN106453364A (zh) | 2017-02-22 |
| CN106453364B CN106453364B (zh) | 2018-08-31 |
Family
ID=58179269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610951665.XA Active CN106453364B (zh) | 2016-10-27 | 2016-10-27 | 一种检测链路中串接非法设备的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453364B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491870A (zh) * | 2020-11-25 | 2021-03-12 | 江苏中安智信通信科技股份有限公司 | 一种以太网物理层防物理入侵检测方法和系统 |
| CN112866115A (zh) * | 2020-12-31 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种实现透明串接的方法、装置、电子设备及存储介质 |
| CN112994820A (zh) * | 2019-12-16 | 2021-06-18 | 华为技术有限公司 | 一种光纤链路检测方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1960295A (zh) * | 2006-11-09 | 2007-05-09 | 华为技术有限公司 | 一种工作模式检测和告警方法及装置 |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102201944A (zh) * | 2010-03-26 | 2011-09-28 | 上海傲蓝通信技术有限公司 | 以太网接口工作在半双工模式下时自环的检测办法 |
| CN102684897A (zh) * | 2011-03-14 | 2012-09-19 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
| CN102821097A (zh) * | 2012-07-17 | 2012-12-12 | 浙江宇视科技有限公司 | 一种接入检测方法及装置 |
| CN103916387A (zh) * | 2014-03-18 | 2014-07-09 | 汉柏科技有限公司 | 一种防护ddos攻击的方法及系统 |
| WO2015106548A1 (zh) * | 2014-01-20 | 2015-07-23 | 华为技术有限公司 | 监控网络设备的方法和装置 |
-
2016
- 2016-10-27 CN CN201610951665.XA patent/CN106453364B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1960295A (zh) * | 2006-11-09 | 2007-05-09 | 华为技术有限公司 | 一种工作模式检测和告警方法及装置 |
| CN102201944A (zh) * | 2010-03-26 | 2011-09-28 | 上海傲蓝通信技术有限公司 | 以太网接口工作在半双工模式下时自环的检测办法 |
| CN102684897A (zh) * | 2011-03-14 | 2012-09-19 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102821097A (zh) * | 2012-07-17 | 2012-12-12 | 浙江宇视科技有限公司 | 一种接入检测方法及装置 |
| WO2015106548A1 (zh) * | 2014-01-20 | 2015-07-23 | 华为技术有限公司 | 监控网络设备的方法和装置 |
| CN103916387A (zh) * | 2014-03-18 | 2014-07-09 | 汉柏科技有限公司 | 一种防护ddos攻击的方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112994820A (zh) * | 2019-12-16 | 2021-06-18 | 华为技术有限公司 | 一种光纤链路检测方法及装置 |
| WO2021120956A1 (zh) * | 2019-12-16 | 2021-06-24 | 华为技术有限公司 | 一种光纤链路检测方法及装置 |
| CN112491870A (zh) * | 2020-11-25 | 2021-03-12 | 江苏中安智信通信科技股份有限公司 | 一种以太网物理层防物理入侵检测方法和系统 |
| CN112866115A (zh) * | 2020-12-31 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种实现透明串接的方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106453364B (zh) | 2018-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11956273B2 (en) | Discovering trustworthy devices using attestation and mutual attestation | |
| EP4078919B1 (en) | Attestation service gateway | |
| US20200358764A1 (en) | System and method for generating symmetric key to implement media access control security check | |
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| US11985148B2 (en) | Physical layer rogue device detection | |
| US20090210699A1 (en) | Method and apparatus for secure network enclaves | |
| US11838283B2 (en) | Network enclave attestation for network and compute devices | |
| CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
| CN110912921B (zh) | 一种工业控制系统安全数据校验系统及方法 | |
| Zhang et al. | A security scheme for intelligent substation communications considering real-time performance | |
| US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
| CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
| CN106453364B (zh) | 一种检测链路中串接非法设备的方法及装置 | |
| CN111526001B (zh) | 时钟同步方法、装置和系统 | |
| US20200322224A1 (en) | Establishing trust relationships of ipv6 neighbors using attestation-based methods in ipv6 neighbor discovery | |
| US20200322334A1 (en) | Authentication of network devices based on extensible access control protocols | |
| CN116170110B (zh) | 面向时间敏感网络的时间同步架构、安全方法及装置 | |
| Garg et al. | LiSA: A lightweight and secure authentication mechanism for smart metering infrastructure | |
| Alharbi et al. | {CSProp}: ciphertext and signature propagation {Low-Overhead}{Public-Key} cryptosystem for {IoT} environments | |
| US20220321605A1 (en) | Verifying trust postures of heterogeneous confidential computing clusters | |
| US11122346B1 (en) | Attestation in optical transport network environments | |
| Basic et al. | Trust your BMS: Designing a Lightweight Authentication Architecture for Industrial Networks | |
| Yilmaz et al. | A two-flights mutual authentication for energy-constrained iot devices | |
| Heigl et al. | A resource-preserving self-regulating Uncoupled MAC algorithm to be applied in incident detection | |
| Wang et al. | ZbSR: A Data Plane Security Model of SR-BE/TE based on Zero-Trust Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |