CN110048986B - 一种保证环网协议运行安全的方法及装置 - Google Patents
一种保证环网协议运行安全的方法及装置 Download PDFInfo
- Publication number
- CN110048986B CN110048986B CN201810034033.6A CN201810034033A CN110048986B CN 110048986 B CN110048986 B CN 110048986B CN 201810034033 A CN201810034033 A CN 201810034033A CN 110048986 B CN110048986 B CN 110048986B
- Authority
- CN
- China
- Prior art keywords
- ring
- protocol
- node
- ring network
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种保证环网协议运行安全的方法及装置,涉及网络通信领域,所述方法包括:以太环网中的环节点接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息;所述环节点根据所述加密信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点;若确定所述协议报文的源节点是所述以太环网的其它环节点,则所述环节点对所述协议报文进行处理和转发;若确定所述协议报文的源节点是非环网节点,则所述环节点丢弃所述协议报文。本发明实施例通过对协议报文进行加密解密,能够有效地提高环网协议运行的安全性,避免环网节点因响应伪装的攻击报文而影响环网的稳定。
Description
技术领域
本发明涉及网络通信领域,特别涉及一种保证环网协议运行安全的方法及装置。
背景技术
以太环网是指物理上环形结构组成的以太网,它通过阻塞掉以太环网中的备用链路避免逻辑成环。如果在逻辑上成环,会导致广播信息在环网中无限循环的传播下去,使环网中充斥着大量的广播信息。
在实际工程应用中,有时会出现一些极端情况,譬如受到协议报文的攻击。这些伪装的报文会导致环网状态发生激烈变化,链路快速震荡,并产生大量协议报文,最严重的后果就是协议包逻辑成环,网络瘫痪。因此保证环网运行的稳定性是非常关键的。
发明内容
本发明实施例提供的一种保证环网协议运行安全的方法,解决环网运行的稳定性问题。
根据本发明实施例提供的一种保证环网协议运行安全的方法,包括:
以太环网中的环节点接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息;
所述环节点根据所述加密信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点;
若确定所述协议报文的源节点是所述以太环网的其它环节点,则所述环节点对所述协议报文进行处理和转发;
若确定所述协议报文的源节点是非环网节点,则所述环节点丢弃所述协议报文。
优选地,所述获取所述协议报文携带的用来保证环网协议安全运行的加密信息包括:
所述以太环网中的环节点通过解析收到的所述协议报文,从所述协议报文的保留字段中获取所述加密信息。
优选地,所述环节点根据所述加密信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点包括:
所述环节点对所述加密信息进行解密处理,得到用来保证环网协议安全运行的信息;
所述环节点对所述环网协议安全运行的信息进行合法性校验;
若校验成功,则所述环节点确定所述协议报文的源节点是所述以太环网的其它环节点;
若校验失败,则所述环节点确定所述协议报文的源节点是所述非环网节点。
优选地,所述用来保证环网协议安全运行的信息包括所述源节点的MAC地址、表征所述源节点与所述环节点之间的相对路径数目的有效路径EP、以太环网的环标识和报文类型,所述环节点对所述环网协议安全运行的信息进行合法性校验包括:
若在预先配置的MAC地址与EP表项中找到解密得到的所述MAC地址及对应的所述EP,且预先配置的环标识与解密得到的所述环标识匹配,且所述协议报文的报文类型与解密得到的所述报文类型匹配,则所述环节点确定对所述环网协议安全运行的信息校验成功,否则所述环节点确定对所述环网协议安全运行的信息校验失败。
优选地,所述若确定所述协议报文的源节点是所述以太环网的其它环节点,则所述环节点对所述协议报文进行处理和转发包括:
所述环节点将解密得到的所述EP加1作为新的EP;
所述环节点将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息;
所述环节点将所述新的加密信息填充至所述协议报文的保留字段,并转发携带所述新的加密信息的所述协议报文。
优选地,所述环节点将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息包括:
所述环节点将所述MAC地址与预设密钥进行异或运算,得到第一加密信息;
所述环节点将所述新的EP、所述环标识和所述报文类型进行移位运算,得到第二加密信息;
将所述第一加密信息和所述第二加密信息合并,得到所述新的加密信息。
根据本发明实施例提供的一种保证环网协议运行安全的装置,包括:
报文接收模块,用于接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息;
源节点确定模块,用于根据所述加密信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点;
处理和转发模块,用于若确定所述协议报文的源节点是所述以太环网的其它环节点,则对所述协议报文进行处理和转发;
报文丢弃模块,用于若确定所述协议报文的源节点是非环网节点,则丢弃所述协议报文。
优选地,所述源节点确定模块对所述加密信息进行解密处理,得到用来保证环网协议安全运行的信息,对所述环网协议安全运行的信息进行合法性校验,若校验成功,则确定所述协议报文的源节点是所述以太环网的其它环节点,若校验失败,则确定所述协议报文的源节点是所述非环网节点。
优选地,所述用来保证环网协议安全运行的信息包括所述源节点的MAC地址、表征所述源节点与所述环节点之间的相对路径数目的有效路径EP、以太环网的环标识和报文类型,若在预先配置的MAC地址与EP表项中找到解密得到的所述MAC地址及对应的所述EP,且预先配置的环标识与解密得到的所述环标识匹配,且所述协议报文的报文类型与解密得到的所述报文类型匹配,则所述源节点确定模块确定对所述环网协议安全运行的信息校验成功,否则所述环节点确定对所述环网协议安全运行的信息校验失败。
优选地,所述处理和转发模块将解密得到的所述EP加1作为新的EP,并将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息,然后将所述新的加密信息填充至所述协议报文的保留字段,并转发携带所述新的加密信息的所述协议报文。
本发明实施例提供的技术方案具有如下有益效果:
本发明实施例通过对协议报文进行加密解密,能够有效地提高环网协议运行的安全性,避免环网节点因响应伪装的攻击报文而影响环网的稳定。
附图说明
图1是本发明实施例提供的保证环网协议运行安全的流程图;
图2是本发明实施例提供的保证环网协议运行安全的装置框图;
图3是本发明实施例提供的环网物理拓扑示意图;
图4是本发明实施例提供的环网正向EP有效路径示意图;
图5是本发明实施例提供的环网逆向EP有效路径示意图;
图6是本发明实施例提供的报文保留字段使用示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图1是本发明实施例提供的保证环网协议运行安全的流程图,如图1所示,步骤包括:
步骤S101:以太环网中的环节点接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息。
所述以太环网中的环节点通过解析收到的所述协议报文,从所述协议报文的保留字段中获取所述加密信息。
步骤S102:环节点根据所述加密信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点。
所述环节点对所述加密信息进行解密处理,得到用来保证环网协议安全运行的信息,并对所述环网协议安全运行的信息进行合法性校验,若校验成功,则所述环节点确定所述协议报文的源节点是所述以太环网的其它环节点,若校验失败,则所述环节点确定所述协议报文的源节点是所述非环网节点。
所述用来保证环网协议安全运行的信息包括所述源节点的MAC地址、表征所述源节点与所述环节点之间的相对路径数目的有效路径(Effective Path,EP)、以太环网的环标识(ringID)和报文类型。其中,所述发出协议报文的源MAC地址和EP是由网络物理拓扑结构决定,因此环网部署完成后即可确定每个环节点与其它环节点间的EP。
环节点进行合法性校验时,若在预先配置的MAC地址与EP表项中找到解密得到的所述MAC地址及对应的所述EP,且预先配置的环标识与解密得到的所述环标识匹配,且所述协议报文的报文类型与解密得到的所述报文类型匹配,则所述环节点确定对所述环网协议安全运行的信息校验成功,否则所述环节点确定对所述环网协议安全运行的信息校验失败。
步骤S103:若确定所述协议报文的源节点是所述以太环网的其它环节点,则所述环节点对所述协议报文进行处理和转发。
所述环节点将解密得到的所述EP加1作为新的EP,并将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息。然后所述环节点将所述新的加密信息填充至所述协议报文的保留字段,并转发携带所述新的加密信息的所述协议报文。
其中,可以采用如下加密算法:所述环节点将所述MAC地址与预设密钥进行异或运算,得到第一加密信息,将所述新的EP、所述环标识和所述报文类型进行移位运算,得到第二加密信息,然后将所述第一加密信息和所述第二加密信息合并,得到所述新的加密信息。
对应地,下一环节点得到所述新加密信息后,将加密信息的第一部分(即第一加密信息)与预设密钥进行异或运算,即可得到所述MAC地址,对加密信息的第二部分(即第二加密信息)进行逆向的移位运算,即可得到所述新的EP、所述环标识和所述报文类型。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中。进一步说,本发明还可以提供一种存储介质,该存储介质设置在以太环网的环节点上,所述存储介质上存储有保证环网协议运行安全的程序,所述保证环网协议运行安全的程序被处理器执行时实现上述的保证环网协议运行安全的方法的步骤。其中,所述的存储介质可以包括ROM/RAM、磁碟、光盘、U盘。
图2是本发明实施例提供的保证环网协议运行安全的装置框图,如图2所示,包括:
报文接收模块,用于接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息。具体地说,报文接收模块通过解析收到的所述协议报文,从所述协议报文的保留字段中获取所述加密信息。
源节点确定模块,用于根据所述加密信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点。具体地说,所述源节点确定模块对所述加密信息进行解密处理,得到用来保证环网协议安全运行的信息,包括所述源节点的MAC地址、表征所述源节点与所述环节点之间的相对路径数目的有效路径EP、以太环网的环标识和报文类型。所述源节点确定模块对所述环网协议安全运行的信息进行合法性校验,若在预先配置的MAC地址与EP表项中找到解密得到的所述MAC地址及对应的所述EP,且预先配置的环标识与解密得到的所述环标识匹配,且所述协议报文的报文类型与解密得到的所述报文类型匹配,则校验成功,确定所述协议报文的源节点是所述以太环网的其它环节点,否则校验失败,确定所述协议报文的源节点是所述非环网节点。
处理和转发模块,用于若确定所述协议报文的源节点是所述以太环网的其它环节点,则对所述协议报文进行处理和转发。具体地说,所述处理和转发模块将解密得到的所述EP加1作为新的EP,并将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息,然后将所述新的加密信息填充至所述协议报文的保留字段,并转发携带所述新的加密信息的所述协议报文。
报文丢弃模块,用于若确定所述协议报文的源节点是非环网节点,则丢弃所述协议报文。
所述报文接收模块、所述源节点确定模块、所述处理和转发模块和所述报文丢弃模块的功能可以设置在以太网环的环节点上,可以由所述环节点的处理器执行存储器上存储的保证环网协议运行安全的程序,实现各模块的功能。进一步说,本发明还可以提供一种保证环网协议运行安全的设备,包括:处理器,以及与所述处理器耦接的存储器;所述存储器上存储有可在所述处理器上运行的保证环网协议运行安全的程序,所述保证环网协议运行安全的程序被所述处理器执行时实现上述的保证环网协议运行安全的方法的步骤。
概括地说,本发明实施例提供一种通用的以太环网协议报文的处理算法,以保证只处理和转发应用在环网中的节点(或环节点)发送的报文,对于非环节点(或非环网节点)发出的报文直接丢弃。以太环网部署完毕后,其物理拓扑结构是固定的,各个环节点的源MAC地址(Medium Access Control,物理地址)也是固定的。对于不同的环网协议,这两个元素是不变项,可以提取为通用环网协议的不变元素。运用这两个不变元素,并结合不同协议特有的元素(或可变项、可变元素),通过一定的加密算法,可以保证协议报文的安全性。本发明实施例以G.8032描述的ERPS(Ethernet Ring Protection Switching,以太网多环保护技术)协议为例,选取环ringId(ring identification,逻辑环标识)和报文类型作为可变元素,描述本发明在工程上的应用。
选取环节点源MAC地址以及EP(effective path,本实施例自定义的环网有效路径),结合ERPS实例的ringId和报文类型,通过加密算法,在ERPS协议报文的保留字段中填充生成的密文。假定一个环节点发送协议报文,相邻的环节点收到报文后进行密文解析,计算出以上4种元素,并检查这4种要素的合法性,合法性通过的报文才处理,不通过的协议报文直接丢弃。这样可以大大提高攻击报文伪装的难度,保证环网中报文的安全性,避免环网受到恶意的破坏。
具体可采用如下方案:
1、环网环境部署
所有环节点根据环网部署的角色要求,完成开通ERPS环网业务的配置,并保证正确性。包含的工作有创建ERPS实例,配置ERPS实例的ringId以及配置端口角色等。
除了以上基本配置,每个环节点上还需要配置其他环节点的源MAC地址、正向EP和逆向EP。这里所谓的正向EP,是指不启用RPL链路(Ring Protection Link,备用链路),两个环节点之间的路径数目。所谓的逆向EP,是指启用RPL链路,两个环节点之间的路径数目。同一个环节点在其他环节点上的EP有效路径是不同的,这由网络物理拓扑结构决定。
2、密钥因子选取
根据不变元素环节点源MAC地址和EP有效路径,在每个环节点上生成一张表项,暂且称为MAC-EP表项。对于部署完毕的物理环网拓扑,这个表项在每个环节点上是唯一的。由于一个物理环网上可能配置多个逻辑环(配置多个ERPS实例),因而选取ringId作为可变元素参与生成密文是必要的。此外,再选取报文类型参与密文计算,以增加破解密文的难度。即使有人恶意截获报文,篡改报文也是很困难的。
3、协议报文的结构
与标准的ERPS协议报文一致。目的MAC为01-19-a8-00-00-[instance id],以太网类型8902,version、opcode(在以太网中对应的报文号,在Y.1731中被定义)与ERPS标准协议报文完全一致。有差异的是,在报文的保留字段Reserved 2(24octets)划出一个字段,字段的大小由密文的长度决定,该字段填充由源MAC地址、EP有效路径、ringId以及报文类型生成的合成密文,如图6所示。
4、协议报文的处理
环节点在收到协议报文时,通过解析保留字段的密文,算出源MAC,EP,ringId和报文类型。根据MAC地址,EP查找本地的MAC-EP表项,匹配通过则进行下一步ringId和报文类型的检查。如果这些检查都没有问题,在报文处理完成后,将密文中的EP数值增一,再重新加密打包进行转发,否则丢弃不响应。
5、密钥的选取
原则上不限定特定的加密算法,用户可以根据自身的需要灵活选取。针对前文选取的4项元素参与密文合成,本发明实施例采用的密钥算法有两种。一种是异或运算,另一种是移位运算。MAC地址占用6个字节,选取特定的数字作为密钥,采用异或算法来生成密文,生成后的密文同样占用6个字节。EP可以用一个字节表示,ringId占一个字节,协议报文类型占1个字节,采用移位运算进行加密,大小占用4个字节。密钥的规则是EP左移20位,ringId左移12位,报文类型左移4位。这两部分合成的密文填充在协议报文的保留字段中。
以下结合附图3至图6,对技术方案的实施做进一步的详细描述。本发明实施例对专业技术人员熟知的部分未进行表述或者未进行详细描述,各种操作将按照顺序使用多个分离的步骤进行描述。
本发明实施的一般组网状态如图3,若干台设备组成环网(假定环节点数量为8个,即node1至node8),根据图3中的物理拓扑结构,确定所有环节点的相对正向、逆向EP有效路径。以node4为例,node1节点到node4上的正向EP如图2所示,当不启用RPL链路时,node4与各个环节点之间的路径数目,例如计算node4与node2之间的正向EP,node4与node2之间的链路正常,不启用node1与node8之间的RPL链路,因此node4与node2之间的正向EP为2;逆向EP如图3所示,当启用RPL链路,node4与各个环节点之间的路径数目,例如计算node4与node2之间的逆向EP,node4与node2之间的链路断开,启用node1与node8之间的RPL链路,因此node4与node2之间的逆向EP为6。EP在发送报文的环节点上定为1,每经过一个环节点,EP数值增一。因此,其他环节点在本机的EP有效路径为两个环节点之间的相对路径数目。相邻的环节点EP数值是1。同时结合其他环节点的源MAC地址,在本机生成一张MAC-EP表项,如表1所示,为node4上的MAC-EP表项。这个表项生命周期同ERPS实例,实例删除后表项销毁。环节点的源MAC地址、正向EP和逆向EP需要部署时,用户配置到所有的环节点上。
表1.MAC地址与EP表项(node4)
| 节点 | MAC | 正向EP | 逆向EP |
| node1 | 52-54-00-94-78-39 | 3 | 5 |
| node2 | 52-54-00-94-78-3a | 2 | 6 |
| node3 | 52-54-00-94-78-3b | 1 | 7 |
| node5 | 52-54-00-94-78-3d | 1 | 7 |
| node6 | 52-54-00-94-78-3e | 2 | 6 |
| node7 | 52-54-00-94-78-3f | 3 | 5 |
| node8 | 52-54-00-94-78-40 | 4 | 4 |
其他环节点在node4节点的表项中的位置可以是不定的,按照配置的先后顺序来,但表项的内容一定是唯一的。在所有环节点上,ERPS协议必要配置数据完备后,开启ERPS协议加密功能。
假设当前node4节点在发送协议报文,报文类型为0xb。在填充保留字段时,前6个字节填充本机源MAC地址生成的密文,后4个字节存储由EP有效路径,ringId,报文类型组成的密文。
源MAC地址利用“^”异或运算对6字节进行加密。node4的源MAC地址为52-54-00-94-78-3C,明文就是52540094783C,设定密钥key为数字6(0110),两者做“异或”结果为545206927E3A----这个就是密文(按字节进行异或运算而得到)。Node4节点的EP(1),逻辑环标识ringId(假定为50,即0x32),报文类型(0xb)利用移位运算进行加密。密文大小占4个字节,高4位可填任意值,EP有效路径左移20位,ringId左移12位,报文类型左移4位,低4位可填任意值,生成大小占4字节的整数。高低4位可引入随机值,增加破解密文的难度。假设高4位和低4位填0,算出的密文是001320B0。根据整体的加密方案,最终的密文就是545206927E3A001320B0。
相邻节点node3在收到node4节点发送的协议报文后,首先将保留字段大小占10个字节的密文取出来,进行解密。前6个字节为MAC地址的密文545206927E3A,利用密钥数字6(0110)进行异或操作,算出MAC地址52540094783C——这个就是node4节点的源MAC地址。后4个字节的密文001320B0,利用移位运算,右移20位,取出低位一个字节的整数,值是1,这个就是EP有效路径;右移12位,取出低位一个字节的整数,值是50,这个就是ringId标识;右移4位,取出低位一个字节的整数,值是B,这个就是报文类型。高4位和低4位移位的结果不予考虑。至此,密文解析的过程就完成了。接下来进行密文的有效性检查。
Node3节点将解析出来的EP有效路径,结合源MAC地址52-54-00-94-78-3C查找自身的MAC-EP表项,见表2。
表2.MAC地址与EP表项(node3)
| 节点 | MAC | 正向EP | 逆向EP |
| node1 | 52-54-00-94-78-39 | 2 | 6 |
| node2 | 52-54-00-94-78-3a | 1 | 7 |
| node4 | 52-54-00-94-78-3c | 1 | 7 |
| node5 | 52-54-00-94-78-3d | 2 | 6 |
| node6 | 52-54-00-94-78-3e | 3 | 5 |
| node7 | 52-54-00-94-78-3f | 4 | 4 |
| node8 | 52-54-00-94-78-40 | 5 | 3 |
遍历表项,第3行能够匹配上,表示MAC-EP表项的合法性检查通过。这里需要说明的是,表项中的正向EP和逆向EP只要任一个匹配上,就认为表项检查合法。下一步进行ringId和报文类型的校验。ringId必须和本机ERPS实例的ringId一致,报文类型(0xb)必须和协议报文中的Request/Sate一致。密文校验通过后,本机进行报文的其他处理。最后,node3环节点将密文部分的EP数值增一(即为2),MAC地址52-54-00-94-78-3C,ringId 50,报文类型0xb,再按照上述加密规则重新加密,生成的密文545206927E3A002320B0再次打包,进行转发。
Node2节点收到node3节点的转发报文,同样地,首先将保留字段的密文取出来,进行解析,解析的过程同node3节点。算出的结果源MAC地址52-54-00-94-78-3C,EP有效路径2,ringId标识50,报文类型0xb。查找本地的MAC-EP表项,见表3。
表3.MAC地址与EP表项(node2)
| 节点 | MAC | 正向EP | 逆向EP |
| node1 | 52-54-00-94-78-39 | 1 | 7 |
| node3 | 52-54-00-94-78-3b | 1 | 7 |
| node4 | 52-54-00-94-78-3c | 2 | 6 |
| node5 | 52-54-00-94-78-3d | 3 | 5 |
| node6 | 52-54-00-94-78-3e | 4 | 4 |
| node7 | 52-54-00-94-78-3f | 5 | 3 |
| node8 | 52-54-00-94-78-40 | 6 | 2 |
遍历到表项第3行,发现源MAC地址52-54-00-94-78-3C和正向EP能够匹配上,说明表项检查合法。ringId标识和报文类型校验同node3。密文校验通过后,将EP有效路径再次增一,重新加密再次打包进行转发。
假设当前环网中存在恶意的报文攻击:第一种情况篡改报文的源MAC地址,假设从node4节点截获出协议报文,并从node4节点发出,MAC地址修改为攻击者本机的源MAC地址02-54-00-04-78-48,报文的其他内容不变,那么收到报文的环节点遍历查找本机的MAC-EP表项时就会匹配不上,因为没有一条表项的MAC地址能够和攻击报文的MAC地址一致,可以确定不是环网中的节点发出的报文,这种未知来源的报文会被直接丢弃。第二种情况假定攻击者在node4节点抓到一个正常报文,出于某种考虑,攻击者希望在node6节点发出来,报文的内容完全一致,node7节点在收到攻击报文时,通过密文解析算出的EP值是1,而MAC-EP表项中52-54-00-94-78-3C MAC地址的正向EP值是3,逆向EP值是5(参见表4),和EP值为1都匹配不上,可以确定报文发送的位置不对,这也属于异常报文,直接被丢弃。
表4.MAC地址与EP表项(node7)
| 节点 | MAC | 正向EP | 逆向EP |
| node1 | 52-54-00-94-78-39 | 6 | 2 |
| node2 | 52-54-00-94-78-3a | 5 | 3 |
| node3 | 52-54-00-94-78-3b | 4 | 4 |
| node4 | 52-54-00-94-78-3c | 3 | 5 |
| node5 | 52-54-00-94-78-3d | 2 | 6 |
| node6 | 52-54-00-94-78-3e | 1 | 7 |
| node8 | 52-54-00-94-78-40 | 1 | 7 |
最后一种情况只是修改报文类型,伪造环网的故障报文,从node4抓包,也从node4节点发出,其他部分都保持不变,node3节点在收到攻击报文后,报文类型校验就会失败,报文也会被丢弃。以上只是列举了本发明几种简单的防御报文攻击的实施场景,本发明的效用远不止以上这些。
环网中的所有节点遵循以上的报文处理规则,就可以避免响应伪装的协议攻击报文,从而大大提高环网的稳定性。
综上所述,本发明实施例具有以下技术效果:
本发明实施例是申请涉及网络通信领域一种通用的保证环网协议安全的处理算法,通过合理选取以太环网中的不变元素和可变元素,对协议报文进行加密解密,能够有效地提高环网协议运行的安全性,避免因响应伪装的攻击报文而影响环网的稳定,解决了环网协议报文在工程应用上的明文隐患。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种保证环网协议运行安全的方法,其特征在于,包括:
以太环网中的环节点接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息,其中,所述加密信息是对包括源节点的MAC地址、表征所述源节点与所述环节点之间的相对路径数目的有效路径EP、以太环网的环标识和报文类型的用来保证环网协议安全运行的信息加密而得到的;
所述环节点对所述加密信息进行解密处理,得到包括所述MAC地址、所述EP、所述环标识和所述报文类型的用来保证环网协议安全运行的信息;
所述环节点根据包括所述MAC地址、所述EP、所述环标识和所述报文类型的用来保证环网协议安全运行的信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点;
若确定所述协议报文的源节点是所述以太环网的其它环节点,则所述环节点对所述协议报文进行处理和转发;
若确定所述协议报文的源节点是非环网节点,则所述环节点丢弃所述协议报文。
2.根据权利要求1所述的方法,其特征在于,所述获取所述协议报文携带的用来保证环网协议安全运行的加密信息包括:
所述以太环网中的环节点通过解析收到的所述协议报文,从所述协议报文的保留字段中获取所述加密信息。
3.根据权利要求2所述的方法,其特征在于,所述环节点根据包括所述MAC地址、所述EP、所述环标识和所述报文类型的用来保证环网协议安全运行的信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点包括:
所述环节点对所述环网协议安全运行的信息进行合法性校验;
若校验成功,则所述环节点确定所述协议报文的源节点是所述以太环网的其它环节点;
若校验失败,则所述环节点确定所述协议报文的源节点是所述非环网节点。
4.根据权利要求3所述的方法,其特征在于,所述环节点对所述环网协议安全运行的信息进行合法性校验包括:
若在预先配置的MAC地址与EP表项中找到解密得到的所述MAC地址及对应的所述EP,且预先配置的环标识与解密得到的所述环标识匹配,且所述协议报文的报文类型与解密得到的所述报文类型匹配,则所述环节点确定对所述环网协议安全运行的信息校验成功,否则所述环节点确定对所述环网协议安全运行的信息校验失败。
5.根据权利要求4所述的方法,其特征在于,所述若确定所述协议报文的源节点是所述以太环网的其它环节点,则所述环节点对所述协议报文进行处理和转发包括:
所述环节点将解密得到的所述EP加1作为新的EP;
所述环节点将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息;
所述环节点将所述新的加密信息填充至所述协议报文的保留字段,并转发携带所述新的加密信息的所述协议报文。
6.根据权利要求5所述的方法,其特征在于,所述环节点将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息包括:
所述环节点将所述MAC地址与预设密钥进行异或运算,得到第一加密信息;
所述环节点将所述新的EP、所述环标识和所述报文类型进行移位运算,得到第二加密信息;
将所述第一加密信息和所述第二加密信息合并,得到所述新的加密信息。
7.一种保证环网协议运行安全的装置,其特征在于,应用于以太环网中的环节点,所述装置包括:
报文接收模块,用于接收协议报文,并获取所述协议报文携带的用来保证环网协议安全运行的加密信息,其中,所述加密信息是对包括源节点的MAC地址、表征所述源节点与所述环节点之间的相对路径数目的有效路径EP、以太环网的环标识和报文类型的用来保证环网协议安全运行的信息加密而得到的;
源节点确定模块,用于对所述加密信息进行解密处理,得到包括所述MAC地址、所述EP、所述环标识和所述报文类型的用来保证环网协议安全运行的信息,并根据包括所述MAC地址、所述EP、所述环标识和所述报文类型的用来保证环网协议安全运行的信息,确定所述协议报文的源节点是所述以太环网的其它环节点或是非环网节点;
处理和转发模块,用于若确定所述协议报文的源节点是所述以太环网的其它环节点,则对所述协议报文进行处理和转发;
报文丢弃模块,用于若确定所述协议报文的源节点是非环网节点,则丢弃所述协议报文。
8.根据权利要求7所述的装置,其特征在于,所述源节点确定模块对所述环网协议安全运行的信息进行合法性校验,若校验成功,则确定所述协议报文的源节点是所述以太环网的其它环节点,若校验失败,则确定所述协议报文的源节点是所述非环网节点。
9.根据权利要求8所述的装置,其特征在于,若在预先配置的MAC地址与EP表项中找到解密得到的所述MAC地址及对应的所述EP,且预先配置的环标识与解密得到的所述环标识匹配,且所述协议报文的报文类型与解密得到的所述报文类型匹配,则所述源节点确定模块确定对所述环网协议安全运行的信息校验成功,否则确定对所述环网协议安全运行的信息校验失败。
10.根据权利要求9所述的装置,其特征在于,所述处理和转发模块将解密得到的所述EP加1作为新的EP,并将所述MAC地址、所述新的EP、所述环标识和所述报文类型进行加密处理,得到用来保证环网协议安全运行的新的加密信息,然后将所述新的加密信息填充至所述协议报文的保留字段,并转发携带所述新的加密信息的所述协议报文。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810034033.6A CN110048986B (zh) | 2018-01-15 | 2018-01-15 | 一种保证环网协议运行安全的方法及装置 |
| PCT/CN2019/071745 WO2019137554A1 (zh) | 2018-01-15 | 2019-01-15 | 一种保证环网协议运行安全的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810034033.6A CN110048986B (zh) | 2018-01-15 | 2018-01-15 | 一种保证环网协议运行安全的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110048986A CN110048986A (zh) | 2019-07-23 |
| CN110048986B true CN110048986B (zh) | 2022-02-25 |
Family
ID=67219399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810034033.6A Active CN110048986B (zh) | 2018-01-15 | 2018-01-15 | 一种保证环网协议运行安全的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110048986B (zh) |
| WO (1) | WO2019137554A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112543142B (zh) * | 2019-09-20 | 2023-05-12 | 南京南瑞继保电气有限公司 | 基于fpga实现rstp环网协议的方法和装置 |
| CN112839009B (zh) * | 2019-11-22 | 2023-09-01 | 华为技术有限公司 | 处理报文的方法、装置及系统 |
| CN112637240B (zh) * | 2020-12-31 | 2023-09-12 | 河南信大网御科技有限公司 | 拟态环境下协议报文防篡改方法、系统及可读存储介质 |
| CN112995192B (zh) * | 2021-03-16 | 2022-11-15 | 深圳融安网络科技有限公司 | 白名单生成方法、系统、设备及存储介质 |
| CN115242823B (zh) * | 2021-04-22 | 2024-03-19 | 广州汽车集团股份有限公司 | 一种跨网段通讯中报文数据的处理方法、系统和网关 |
| CN114363041B (zh) * | 2021-12-31 | 2023-08-11 | 河南信大网御科技有限公司 | 基于动态操作系统指纹及协议指纹的内网防护方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030912A (zh) * | 2007-04-06 | 2007-09-05 | 华为技术有限公司 | 基于rrpp的快速环网防攻击的方法、装置和系统 |
| CN101562614A (zh) * | 2009-05-26 | 2009-10-21 | 北京星网锐捷网络技术有限公司 | 以太环网中防攻击的方法、系统和交换设备 |
| CN101567891A (zh) * | 2009-05-31 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 源地址验证方法、装置及系统 |
| CN102957588A (zh) * | 2012-11-05 | 2013-03-06 | 盛科网络(苏州)有限公司 | 防止广播风暴的环网保护实现方法及系统 |
| CN104702444A (zh) * | 2015-03-27 | 2015-06-10 | 杭州华三通信技术有限公司 | Erps协议报文的处理方法和装置 |
| CN104883337A (zh) * | 2014-02-27 | 2015-09-02 | 中兴通讯股份有限公司 | 环网用户安全的实现方法及装置 |
| CN104967513A (zh) * | 2015-05-29 | 2015-10-07 | 西北工业大学 | 具有多重安全属性的基于身份的多接收者环签密方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878061A (zh) * | 2006-07-11 | 2006-12-13 | 杭州华为三康技术有限公司 | 网桥协议数据单元报文验证方法和装置 |
| US8959573B2 (en) * | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
| US9647938B2 (en) * | 2012-06-11 | 2017-05-09 | Radware, Ltd. | Techniques for providing value-added services in SDN-based networks |
-
2018
- 2018-01-15 CN CN201810034033.6A patent/CN110048986B/zh active Active
-
2019
- 2019-01-15 WO PCT/CN2019/071745 patent/WO2019137554A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030912A (zh) * | 2007-04-06 | 2007-09-05 | 华为技术有限公司 | 基于rrpp的快速环网防攻击的方法、装置和系统 |
| CN101562614A (zh) * | 2009-05-26 | 2009-10-21 | 北京星网锐捷网络技术有限公司 | 以太环网中防攻击的方法、系统和交换设备 |
| CN101567891A (zh) * | 2009-05-31 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 源地址验证方法、装置及系统 |
| CN102957588A (zh) * | 2012-11-05 | 2013-03-06 | 盛科网络(苏州)有限公司 | 防止广播风暴的环网保护实现方法及系统 |
| CN104883337A (zh) * | 2014-02-27 | 2015-09-02 | 中兴通讯股份有限公司 | 环网用户安全的实现方法及装置 |
| CN104702444A (zh) * | 2015-03-27 | 2015-06-10 | 杭州华三通信技术有限公司 | Erps协议报文的处理方法和装置 |
| CN104967513A (zh) * | 2015-05-29 | 2015-10-07 | 西北工业大学 | 具有多重安全属性的基于身份的多接收者环签密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019137554A1 (zh) | 2019-07-18 |
| CN110048986A (zh) | 2019-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110048986B (zh) | 一种保证环网协议运行安全的方法及装置 | |
| CN112189323B (zh) | 使用安全分段标识符进行分段路由 | |
| EP2529516B1 (en) | Packet routing in a network by modifying in-packet bloom filter | |
| EP3254418B1 (en) | Packet obfuscation and packet forwarding | |
| JP6488702B2 (ja) | 通信制御装置、通信制御方法、および、通信制御プログラム | |
| US9832175B2 (en) | Group member recovery techniques | |
| CN110383280B (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| US11405407B2 (en) | Data packet sending method, network device, control device, and network system | |
| US7290281B1 (en) | Method and apparatus for cryptographically blocking network denial of service attacks based on payload size | |
| US10911581B2 (en) | Packet parsing method and device | |
| Sakai et al. | Multi-path based avoidance routing in wireless networks | |
| Tennekoon et al. | Prototype implementation of fast and secure traceability service over public networks | |
| CN116827651A (zh) | 通信安全防护方法、装置、计算机设备和存储介质 | |
| Alzahrani et al. | Key management in information centric networking | |
| US20120216036A1 (en) | Encryption methods and systems | |
| US9614720B2 (en) | Notification technique for network reconfiguration | |
| CN111970245B (zh) | 一种异构分层的匿名通信网络构建方法及装置 | |
| CN117375862A (zh) | 报文转发方法、系统、网络设备、存储介质及程序产品 | |
| El Mougy et al. | Preserving privacy in wireless sensor networks using onion routing | |
| CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
| Soltani et al. | Mid-defense: Mitigating protocol-level attacks in TOR using indistinguishability obfuscation | |
| Nachammai et al. | Securing data transmission in MANET using an improved cooperative bait detection approach | |
| Ming-Hao | The security analysis and attacks detection of OSPF routing protocol | |
| WO2023179174A1 (zh) | 一种报文传输方法及相关设备 | |
| Li | Exploring the Application of Data Encryption Technology in Computer Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |