CN1949750A - 生成树协议的报文发送和接收方法、处理方法及设备 - Google Patents
生成树协议的报文发送和接收方法、处理方法及设备 Download PDFInfo
- Publication number
- CN1949750A CN1949750A CNA2006101456799A CN200610145679A CN1949750A CN 1949750 A CN1949750 A CN 1949750A CN A2006101456799 A CNA2006101456799 A CN A2006101456799A CN 200610145679 A CN200610145679 A CN 200610145679A CN 1949750 A CN1949750 A CN 1949750A
- Authority
- CN
- China
- Prior art keywords
- message
- password
- spanning
- unit
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种生成树协议的报文处理方法,包括:发送报文时,在网桥协议数据单元BPDU报文中添加密码字段,并对报文的特定数据字段进行加密运算获取密码存入所述密码字段;接收报文时,根据加密运算的算法及加密运算所用的数据字段对待接收的报文进行密码校验运算,进一步实现对报文的过滤。本发明还公开了一种生成树协议的报文发送、接收方法及其设备。本发明一种生成树协议的报文发送和接收方法、处理方法及设备,通过在BPDU报文中添加密码字段实现对生成树协议的鉴权,可以提高生成树协议在网络应用中的可靠性,能够有效防止恶意攻击及避免网络震荡。
Description
技术领域
本发明涉及数据通信技术领域,尤其指一种生成树协议的报文发送和接收方法、处理方法及设备。
背景技术
在桥设备网络中,为防止形成转发环路,采用了IEEE标准中802.1D文档描述的STP(Spanning Tree Protocol,生成树协议)。采用了所述STP的桥设备网络通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,从而有效抑制广播风暴的产生。与此同时,STP还具有链路备份功能,一旦主用链路发生故障,备用链路能够迅速恢复连通。
广义上的生成树协议还包括目前应用较多的RSTP(Rapid Spanning TreeProtocol,快速生成树协议)和MSTP(Multiple Spanning Tree Protocol,多生成树协议)。RSTP和MSTP在原有的生成树基础上进行了改进,保证网络发生拓扑改变后状态能够快速迁移,尽量降低网络业务中断的时间。
生成树协议的基本思想在于通过构造类似于一棵自然树的数据链路达到裁减网络中冗余环路的目的,当网络中开启了生成树协议的桥设备上电或网络的拓扑结构发生变化时,生成树的工作过程就会开始。为了实现生成树的功能,网桥之间必须要进行一些信息的交流,这些信息交流单元就称为配置消息BPDU(Bridge Protocol Data Unit,网桥协议数据单元)。生成树协议中的BPDU是一种二层报文,所有支持生成树协议的网桥都会接收并处理收到的BPDU报文。该报文的数据区中携带了用于生成树计算的所有有用信息,包括发送端的网桥标识符和发送端的端口标识符,还包括假定为根桥的网桥和发送网桥到达根桥的路径值,以及BPDU传播所用的时间等。网桥以一定的时间间隔交换BPDU,如果某一网桥失效,将引起网络拓扑结构发生改变,相邻的网桥在一定时间内就会检测到配置消息的空缺,并重新初始化生成树的过程。
上述生成树的工作网络中,如果有新的桥设备加入,不管是否合法,只要其运行生成树协议,都会影响现有网络中的拓扑,导致生成树的重新建立,从而引起端口动荡及网络流量的中断;另外,目前的生成树协议报文都是遵照IEEE的标准格式实现的,由于采用公知的标准格式,攻击者可以很轻易地构造一个符合格式要求的生成树协议攻击报文对网络进行攻击,对网络的稳定性产生很大影响。
发明内容
本发明的目的是提供一种生成树协议的报文发送和接收方法、处理方法及设备,以解决现有技术中生成树协议的可靠性不高的问题。
为达到上述目的,本发明提出一种生成树协议的报文发送方法,包括:
在待发送的网桥协议数据单元BPDU报文中添加密码字段;
根据报文的数据字段进行加密运算获取密码;
将所述密码存入所述密码字段后封装并发送报文。
所述根据报文的数据字段进行加密运算获取密码的方法包括:
根据预设的算法对报文中的数据字段进行加密运算,得到与所述数据字段相关且全网唯一的密码。
所述进行加密运算获取密码之后且在所述将密码封装入报文之前还包括:
对所述密码进行二次加密,将经过二次加密得到的密码存入报文的所述密码字段。
所述进行二次加密的方法包括:
对所述进行加密运算得到的密码进行MD5加密,或对所述进行加密运算得到的密码进行字符序调整或偏移。
本发明还提出一种生成树协议的报文接收方法,包括:
对待接收的BPDU报文进行解析,从密码字段获取密码;
使用发送端获取密码的方法对待接收报文中发送端进行加密运算所用的数据字段进行密码校验运算;
判断校验运算所得的密码与所述从报文中解析出的密码是否一致,如果一致则接收并处理报文;否则丢弃报文。
所述对报文进行解析之前还包括:设置接收权限模式,并在接收报文时,根据所设置的接收权限模式对待接收报文进行处理。
所述接收权限模式可设置为安全模式,在所述安全模式下接收报文时,判断待接收报文中是否包括密码字段,
如果包括密码字段,则进行所述密码校验运算,根据密码校验结果确定对报文进行的后续处理;
如果不包括密码字段,则直接丢弃报文。
所述接收权限模式可设置为公共模式,在所述公共模式下接收报文时,判断待接收报文中是否包括密码字段,
如果包括密码字段,则进行所述密码校验运算,根据密码校验结果确定对报文进行的后续处理;
如果不包括密码字段,则直接接收并处理报文,且所回复的响应报文中也不添加密码字段。
本发明还提出一种生成树协议的报文处理方法,在BPDU报文中添加密码字段,
发送报文时,根据待发送报文的数据字段进行加密运算获取密码,并存入所述密码字段,然后发送;
接收报文时,从待接收报文的所述密码字段获取密码,并根据所述加密运算的算法及待接收报文中加密运算所用的数据字段进行校验运算,如果校验运算结果与所述密码一致,则接收并处理报文;否则丢弃报文。
所述进行加密运算获取密码之后还包括:对所述密码进行二次加密,并将经过二次加密得到的密码存入所述密码字段,然后发送;则在所述接收报文时,进行所述校验运算后还包括:根据所述二次加密的算法对所述校验运算结果进行二次校验运算。
所述进行二次加密的方法包括:
对所述进行加密运算得到的密码进行MD5加密,或对所述进行加密运算得到的密码进行字符序调整或偏移。
所述接收报文之前还包括:设置接收权限模式;则在所述接收报文时,根据预设的接收权限模式对待接收报文进行处理。
本发明提出一种生成树协议的报文发送设备,包括报文发送单元,还包括报文封装单元及加密运算单元,
所述报文封装单元,在待发送的BPDU报文中添加密码字段;
所述加密运算单元根据报文的数据字段进行加密运算获取密码,将所述密码存入所述密码字段后由所述报文封装单元封装报文;
所述报文发送单元对封装后的报文进行发送。
还包括二次加密单元,所述二次加密单元对所述加密运算单元获取的密码进行二次加密,并将经过二次加密得到的密码存入所述密码字段。
所述二次加密包括:对所述进行加密运算得到的密码进行MD5加密,或对所述进行加密运算得到的密码进行字符序变化或偏移。
本发明还提出一种生成树协议的报文接收设备,包括报文处理单元,还包括报文缓存单元及报文解析校验单元;
所述报文缓存单元,存储待接收的BPDU报文;
所述报文解析校验单元,从待接收报文的密码字段获取密码,并使用发送端获取密码的方法对待接收报文中发送端进行加密运算时所用的数据字段进行密码校验运算,如果校验运算所得的密码与所述从报文密码字段获取的密码一致,则转由所述报文处理单元进行处理;否则丢弃报文。
还包括权限设置单元及报文检测单元,
所述权限设置单元,设置所述报文接收设备的接收权限模式;
所述报文检测单元,根据预设的接收权限模式对所述报文缓存单元中的待接收报文进行检测,确定报文中是否包括密码,并根据检测结果确定对所述待接收报文进行的后续处理。
所述权限设置单元设置所述报文接收设备的接收权限模式为安全模式,则所述报文检测单元检测所述待接收报文是否包括密码字段,如果包括则转由所述报文解析校验单元处理;否则丢弃报文。
所述权限设置单元设置所述报文接收设备的接收权限模式为公共模式,则所述报文检测单元检测所述待接收报文是否包括密码字段,如果包括则转由所述报文解析校验单元处理;否则转由所述报文处理单元进行处理,所述报文处理单元进一步判断接收的报文是否需要响应,如果是则回复不添加密码字段的响应报文。
与现有技术相比,本发明具有以下优点:
本发明通过在BPDU报文中添加密码字段实现对生成树协议的鉴权,能够有效防止恶意攻击及避免网络震荡,从而提高生成树协议在网络应用中的可靠性。
附图说明
图1为本发明生成树协议的报文处理方法的实施例流程图;
图2为本发明生成树协议的报文发送方法的实施例流程图;
图3为本发明生成树协议的报文接收方法的实施例流程图;
图4为本发明生成树协议的报文发送设备的实施例图;
图5为本发明生成树协议的报文接收设备的实施例图。
具体实施方式
下面以具体实施例结合附图对本发明进一步加以阐述。
本发明公开一种生成树协议的报文处理方法,如图1所示,其一实施例包括如下步骤:
S101、在待发送的BPDU报文中添加密码字段,根据预设的算法对报文的至少一个数据字段进行加密运算获取密码,将该密码存入密码字段后封装并发送报文。
现有技术的BPDU报文,以配置BPDU报文为例,其格式如下表所示:
| 字段 | 字节数 | |
| 协议标识 | 2 | 总为0 |
| 版本 | 1 | 总为0 |
| BPDU类型 | 1 | 总为0 |
| 标志字段 | 1 | 只有前两位有用,第1位是拓扑改变标志,第2位是拓扑改变认可标志 |
| 根桥ID | 8 | 根桥的ID |
| 根路径花费 | 4 | 根路径值 |
| 网桥ID | 8 | 该桥的ID |
| 端口ID | 2 | 端口的ID |
| 消息寿命 | 2 | 消息的寿命值 |
| 最大寿命 | 2 | 消息的最大寿命值 |
| Hello间隔 | 2 | Hello时间 |
| 状态转换延时 | 2 | 端口状态转换延迟 |
本发明生成树协议的报文处理方法通过在BPDU报文中添加密码字段实现协议互通性鉴权。其中的密码字段并非全网一致,而是按照预先设定的加密算法对报文内容中一些数据字段进行运算得出。所述加密运算的方式并无限制,甚至可以手工指定,但是保证密码与一些关键字段相关且密码本身是全网唯一的,例如与上表中的网桥ID和端口ID等参数相关,以保证接收报文的生成树协议设备能够根据报文内容判定密码的合法性,因此要求同一网络中,对所有的生成树协议设备应该配置相同的鉴权密码计算方式。本实施例中以桥MAC(MediaAccess Control,介质访问控制层)地址+端口索引+端口速率连接成的字符串作为密码计算方式。设发送端的桥MAC地址为000f-e229-0020,端口索引为125,端口速率协商为100M,则发送的BPDU报文将带上的密码为:000fe2290020#0125#000100。
另外,为了进一步增加安全性,可对经加密运算得到的密码进行二次加密,从而使密码的内容不再显而易见。该二次加密算法可以是MD5加密,也可以为内部实现的一种字符序变化或者偏移。
S102、接收报文前对接收权限模式进行设置。
经过上述的加密处理后,所得包括密码的BPDU报文发生改变,与标准的报文不能互通,因此会造成接收端无法同时接收、处理包括密码的BPDU报文和标准的报文。
对于上述情况,本实施例对某些特定的端口进行接收权限模式的设定,允许其与标准的报文进行交互。本实施例中,将权限模式分为安全模式和公共模式两种。当接收报文的端口工作于安全模式,则执行步骤S103及其后续步骤处理所接收的报文;当接收报文的端口工作于公共模式,则执行步骤S105及其后续步骤处理所接收的报文。但在具体的网络应用中,可根据设备的需要设置不同安全级别的权限模式,此处非本发明的必要技术特征所在,故不另加以赘述。
S103、当接收报文的端口工作于安全模式,则检测到达接收端的待接收报文是否包括密码字段,如果包括则转步骤S104,否则直接丢弃报文。
当接收报文的端口工作的权限模式设为安全模式时,如果收到标准的BPDU报文,由于该报文不包括任何密码字段,无法进行权限鉴定,所以将该报文直接丢弃,并将接收端口阻塞一段时间或直接关闭端口,防止形成环路。
S104、从到达接收端的待接收报文的密码字段获取密码,并根据预设的算法对待接收报文加密所用的数据字段进行校验运算,如果校验运算得到的密码与该密码一致,则对所接收报文进行后续处理;否则丢弃报文。
校验运算的算法应与加密所用的预设算法一致,如果加密时使用了二次加密,则校验时也必须使用对应的二次加密算法进行二次校验。
以上述步骤S101的加密算法为例,假设有攻击者从发送端捕获了一个BPDU报文,该报文携带的密码即为000fe2290020#0125#000100。如果攻击者不修改报文直接发回,则发送端会检测到报文为自身发出的,直接丢弃该报文;如果攻击者修改了报文中的桥MAC地址或发包端口,又因为无法得知网络中的鉴权密码而不对密码进行修改或修改为错误的密码,则接收端可以通过校验运算得知报文已被修改而丢弃报文,从而达到防攻击的目的。
另外,如果有非法的桥设备加入到现有的生成树网络中,由于其未被配置鉴权密码的计算方法,因此该桥设备发送的所有报文都将因不能通过网络中其它设备的鉴权而被直接丢弃,从而不会由于该非法设备的加入引起生成树网络的重新建立,达到保持网络稳定的目的。
S105、如果接收权限模式设为公共模式,也首先对待接收的报文进行检测,判断是否包括密码字段,如果包括则转S104进行处理,否则直接接收并处理该报文,进一步转步骤S106。
S106、判断接收的报文是否需要响应,如果需要响应则返回不包括密码字段的响应报文。
公共模式下,如果接收端口收到标准格式的BPDU报文,则接收并处理报文,如果需要响应,响应的报文也为标准格式的BPDU报文。
本发明公开一种生成树协议的报文发送方法,如图2所示,其一实施例包括以下步骤:
S201、在待发送的BPDU报文中添加密码字段。
生成树协议的鉴权主要有两种,一是协议域内的互通鉴权,即采用私有的KEY值计算域配置摘要,该方法并非本发明生成树协议的报文发送方法所采用,此处不加以赘述;二是协议互通性鉴权,即必须包括特定密码字段的BPDU报文才被处理。对于协议互通性的鉴权,具体可以通过在BPDU报文中增加字段或者修改报文中的reserved(保留)字段来实现,但是由于reserved字段较少,限制了密码字段的长度,安全性不高。因此本发明生成树协议的报文发送方法通过在BPDU报文中添加密码字段实现生成树协议的鉴权。
S202、根据预设的算法对报文中的特定字段进行加密运算获取密码。
密码是通过对报文内容中预设的特定数据字段进行加密运算得出的,加密运算的方式并不作限制,甚至可以手工指定,但是需要保证所得密码与报文中的一些关键字段相关且所得密码全网惟一,而且接收报文的生成树设备能够根据报文内容判断报文鉴权密码的合法性,因此本发明在同一网络中对所有的生成树设备配置相同的鉴权密码计算方式。
为进一步增强安全性,密码还可以进行二次加密,从而使密码的内容不再显而易见。该二次加密算法可以是MD5加密,也可以为内部实现的一种字符序变化或者偏移。
S203、将密码存入密码字段中,封装并发送报文。
进行上述步骤S202的加密运算后将获取的密码存入密码字段中封装并发送报文。如果加密运算后进一步进行了二次加密,则将二次加密得到的密码存入密码字段中封装并发送报文。
本发明还公开一种生成树协议的报文接收方法,如图3所示,其一实施例包括以下步骤:
S301、设置接收端的接收权限模式,如为安全模式则转步骤S302,如为公共模式则转步骤S304。
BPDU报文经过加密后,不能与标准的报文互通,因此为了使接收端的某些特定端口实现对标准报文与加密报文的兼容,需要进行权限模式的设定,允许其与标准的报文进行交互。在具体的网络应用中,可根据设备对安全性的不同需求而设置多种不同级别的权限模式,并不限于本实施例的安全模式和公共模式两种。
S302、如果设置为安全模式,首先判断待接收的报文是否包括密码字段,如果包括则转S303;否则直接丢弃报文。
安全模式下如果收到标准的BPDU报文,由于该报文不包括任何密码字段,不能通过权限鉴定,因此将其视为无效报文直接丢弃,并将接收端口阻塞一段时间或直接关闭端口,防止形成环路。
S303、从待接收报文的密码字段获取密码,并根据预设的算法对待接收报文加密所用的数据字段进行校验运算,如果校验运算结果与该密码一致,则接收并处理报文;否则丢弃报文。
校验运算的算法应与加密所用的预设算法一致,如果加密时使用了二次加密,则校验时也必须对应使用二次加密的算法对第一次校验运算的结果进行进一步校验,最终确定报文中的密码是否能够通过校验。通过全网一致的加密算法对待接收的报文进行校验,接收端可以对攻击报文进行过滤,达到防攻击的目的。
S304、公共模式下,也首先对待接收的报文进行检测,判断是否包括密码字段,如果包括则转步骤S303进行处理,否则直接接收并处理该报文,进一步转步骤S305。
S305、判断接收的报文是否需要响应,如果需要响应则返回不包括密码字段的响应报文。
如果公共模式下的接收端口收到标准格式的BPDU报文,则接收并处理报文,如果需要响应,响应的报文也为标准格式的BPDU报文。
本发明公开一种生成树协议的报文发送设备,其一实施例如图4所示,包括报文封装单元41、加密运算单元42及报文发送单元43。
其中,报文封装单元41在待发送的BPDU报文中添加密码字段;加密运算单元42根据预设的算法对报文的至少一个数据字段进行加密运算获取密码,将密码存入密码字段后由报文封装单元41封装报文;报文发送单元43对封装后的报文进行发送。
上述密码是通过对报文内容中预设的特定数据字段进行运算得出,计算的方式并不作限制,甚至可以由手工指定,但是保证与一些关键字段相关且全网惟一。例如以桥MAC地址+端口索引+端口速率连接成的字符串作为密码计算方式,假定发送设备的桥MAC地址为000f-ee229-0020,端口索引为125,端口速率协商为100M,则该报文发送设备发送的所有BPDU报文都将带上密码:000fe2290020#0125#000100。
为进一步增强安全性,本实施例中上述发送设备还包括一个二次加密单元44,对上述加密运算单元42获取的密码进行二次加密,使密码的内容不再显而易见。该二次加密算法可以是MD5加密,也可以为内部实现的一种字符序变化或者偏移。将上述二次加密得到的密码存入密码字段后仍由报文封装单元41封装报文。
本发明还公开一种生成树协议的报文接收设备,其一实施例如图5所示,该报文接收设备包括报文缓存单元51、报文解析校验单元52及报文处理单元53。
其中,报文缓存单元51用于存储待接收的BPDU报文;报文解析校验单元52,用于从待接收报文的密码字段获取密码,并根据预设的算法对待接收报文中加密所用到的数据字段进行校验运算,如果校验运算结果与从密码字段获取的密码一致,则由报文处理单元53进行处理;否则丢弃报文。
同样以桥MAC地址+端口索引+端口速率连接成的字符串作为加密方式为例,并假设报文缓存单元51中的待接收报文是由桥MAC地址为000f-e229-0020、端口索引为125且端口速率协商为100M的报文发送设备发送的。首先,报文解析校验单元52从待接收报文中的密码字段获取密码000fe2290020#0125#000100,再根据同样的加密算法对报文内容中的桥MAC地址、端口索引以及端口速率进行校验运算。如果该报文被攻击者恶意修改过,并且攻击者又因为不知道网络中的加密算法而未对密码字段进行修改或进行错误的修改,则报文解析校验单元52通过上述校验运算即可得知待接收的报文被修改过,因此丢弃报文,从而该报文接收设备即达到防攻击的目的。
为实现报文接收设备对加密报文及标准报文的兼容,该设备还包括权限设置单元54及报文检测单元55。其中,权限设置单元54对报文接收设备的接收权限模式进行设置;报文检测单元55则根据预设的接收权限模式对报文缓存单元51中的待接收报文进行检测,确定报文中是否包括密码,并根据检测结果进一步确定对待接收报文进行的后续处理。
权限模式可以但不限于分为安全模式及公共模式。如果权限设置单元54将报文接收设备的接收权限模式设为安全模式,则报文检测单元55首先对待接收报文是否包括密码字段进行检测,如果包括密码字段则将该报文发送至报文解析校验单元52进行解析校验;如果不包括则直接丢弃该报文,同时将接收端口阻塞一段时间或直接关闭端口,防止形成环路。如果权限设置单元54设置报文接收设备的接收权限模式为公共模式,则同样由报文检测单元55对待接收报文是否包括密码字段进行检测,如果包括密码字段则将该报文发送至报文解析校验单元52进行解析校验;如果不包括则直接将该报文交由报文处理单元53进行处理。另外,报文处理单元53还需要根据所接收的报文格式判断该设备端口的响应报文是否需要加密,如果公共模式下的该端口收到未添加密码字段且需要响应的标准报文,则在接收并处理后由报文处理单元53返回不添加密码字段的标准响应报文。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (19)
1、一种生成树协议的报文发送方法,其特征在于,包括:
在待发送的网桥协议数据单元BPDU报文中添加密码字段;
根据报文的数据字段进行加密运算获取密码;
将所述密码存入所述密码字段后封装并发送报文。
2、如权利要求1所述生成树协议的报文发送方法,其特征在于,所述根据报文的数据字段进行加密运算获取密码的方法包括:
根据预设的算法对报文中的数据字段进行加密运算,得到与所述数据字段相关且全网唯一的密码。
3、如权利要求1或2所述生成树协议的报文发送方法,其特征在于,所述进行加密运算获取密码之后且在所述将密码封装入报文之前还包括:
对所述密码进行二次加密,将经过二次加密得到的密码存入报文的所述密码字段。
4、如权利要求3所述生成树协议的报文发送方法,其特征在于,所述进行二次加密的方法包括:
对所述进行加密运算得到的密码进行MD5加密,或对所述进行加密运算得到的密码进行字符序调整或偏移。
5、一种生成树协议的报文接收方法,其特征在于,包括:
对待接收的BPDU报文进行解析,从密码字段获取密码;
使用发送端获取密码的方法对待接收报文中发送端进行加密运算所用的数据字段进行密码校验运算;
判断校验运算所得的密码与所述从报文中解析出的密码是否一致,如果一致则接收并处理报文;否则丢弃报文。
6、如权利要求5所述生成树协议的报文接收方法,其特征在于,所述对报文进行解析之前还包括:设置接收权限模式,并在接收报文时,根据所设置的接收权限模式对待接收报文进行处理。
7、如权利要求6所述生成树协议的报文接收方法,其特征在于,所述接收权限模式可设置为安全模式,在所述安全模式下接收报文时,判断待接收报文中是否包括密码字段,
如果包括密码字段,则进行所述密码校验运算,根据密码校验结果确定对报文进行的后续处理;
如果不包括密码字段,则直接丢弃报文。
8、如权利要求6所述生成树协议的报文接收方法,其特征在于,所述接收权限模式可设置为公共模式,在所述公共模式下接收报文时,判断待接收报文中是否包括密码字段,
如果包括密码字段,则进行所述密码校验运算,根据密码校验结果确定对报文进行的后续处理;
如果不包括密码字段,则直接接收并处理报文,且所回复的响应报文中也不添加密码字段。
9、一种生成树协议的报文处理方法,其特征在于,在BPDU报文中添加密码字段,
发送报文时,根据待发送报文的数据字段进行加密运算获取密码,并存入所述密码字段,然后发送;
接收报文时,从待接收报文的所述密码字段获取密码,并根据所述加密运算的算法及待接收报文中加密运算所用的数据字段进行校验运算,如果校验运算结果与所述密码一致,则接收并处理报文;否则丢弃报文。
10、如权利要求9所述生成树协议的报文处理方法,其特征在于,所述进行加密运算获取密码之后还包括:对所述密码进行二次加密,并将经过二次加密得到的密码存入所述密码字段,然后发送;则在所述接收报文时,进行所述校验运算后还包括:根据所述二次加密的算法对所述校验运算结果进行二次校验运算。
11、如权利要求10所述生成树协议的报文处理方法,其特征在于,所述进行二次加密的方法包括:
对所述进行加密运算得到的密码进行MD5加密,或对所述进行加密运算得到的密码进行字符序调整或偏移。
12、如权利要求9所述生成树协议的报文处理方法,其特征在于,所述接收报文之前还包括:设置接收权限模式;则在所述接收报文时,根据预设的接收权限模式对待接收报文进行处理。
13、一种生成树协议的报文发送设备,包括报文发送单元,其特征在于,还包括报文封装单元及加密运算单元,
所述报文封装单元,在待发送的BPDU报文中添加密码字段;
所述加密运算单元根据报文的数据字段进行加密运算获取密码,将所述密码存入所述密码字段后由所述报文封装单元封装报文;
所述报文发送单元对封装后的报文进行发送。
14、如权利要求13所述生成树协议的报文发送设备,其特征在于,还包括二次加密单元,所述二次加密单元对所述加密运算单元获取的密码进行二次加密,并将经过二次加密得到的密码存入所述密码字段。
15、如权利要求14所述生成树协议的报文发送设备,其特征在于,所述二次加密包括:对所述进行加密运算得到的密码进行MD5加密,或对所述进行加密运算得到的密码进行字符序变化或偏移。
16、一种生成树协议的报文接收设备,包括报文处理单元,其特征在于,还包括报文缓存单元及报文解析校验单元;
所述报文缓存单元,存储待接收的BPDU报文;
所述报文解析校验单元,从待接收报文的密码字段获取密码,并使用发送端获取密码的方法对待接收报文中发送端进行加密运算时所用的数据字段进行密码校验运算,如果校验运算所得的密码与所述从报文密码字段获取的密码一致,则转由所述报文处理单元进行处理;否则丢弃报文。
17、如权利要求16所述生成树协议的报文接收设备,其特征在于,还包括权限设置单元及报文检测单元,
所述权限设置单元,设置所述报文接收设备的接收权限模式;
所述报文检测单元,根据预设的接收权限模式对所述报文缓存单元中的待接收报文进行检测,确定报文中是否包括密码,并根据检测结果确定对所述待接收报文进行的后续处理。
18、如权利要求17所述生成树协议的报文接收设备,其特征在于,所述权限设置单元设置所述报文接收设备的接收权限模式为安全模式,则所述报文检测单元检测所述待接收报文是否包括密码字段,如果包括则转由所述报文解析校验单元处理;否则丢弃报文。
19、如权利要求17所述生成树协议的报文接收设备,其特征在于,所述权限设置单元设置所述报文接收设备的接收权限模式为公共模式,则所述报文检测单元检测所述待接收报文是否包括密码字段,如果包括则转由所述报文解析校验单元处理;否则转由所述报文处理单元进行处理,所述报文处理单元进一步判断接收的报文是否需要响应,如果是则回复不添加密码字段的响应报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101456799A CN1949750A (zh) | 2006-11-24 | 2006-11-24 | 生成树协议的报文发送和接收方法、处理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101456799A CN1949750A (zh) | 2006-11-24 | 2006-11-24 | 生成树协议的报文发送和接收方法、处理方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1949750A true CN1949750A (zh) | 2007-04-18 |
Family
ID=38019137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101456799A Pending CN1949750A (zh) | 2006-11-24 | 2006-11-24 | 生成树协议的报文发送和接收方法、处理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1949750A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051910B (zh) * | 2007-05-21 | 2010-06-23 | 中兴通讯股份有限公司 | 认证授权计费服务器识别客户端软件的方法和装置 |
| CN107404463A (zh) * | 2016-05-19 | 2017-11-28 | 北京京东尚科信息技术有限公司 | 鉴权方法和装置 |
| CN109792451A (zh) * | 2018-08-22 | 2019-05-21 | 袁振南 | 通讯通道加密、解密和建立方法及装置、存储器和终端 |
| CN112543142A (zh) * | 2019-09-20 | 2021-03-23 | 南京南瑞继保电气有限公司 | 基于fpga实现rstp环网协议的方法和装置 |
-
2006
- 2006-11-24 CN CNA2006101456799A patent/CN1949750A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051910B (zh) * | 2007-05-21 | 2010-06-23 | 中兴通讯股份有限公司 | 认证授权计费服务器识别客户端软件的方法和装置 |
| CN107404463A (zh) * | 2016-05-19 | 2017-11-28 | 北京京东尚科信息技术有限公司 | 鉴权方法和装置 |
| CN109792451A (zh) * | 2018-08-22 | 2019-05-21 | 袁振南 | 通讯通道加密、解密和建立方法及装置、存储器和终端 |
| WO2020037577A1 (zh) * | 2018-08-22 | 2020-02-27 | 袁振南 | 通讯通道加密、解密和建立方法及装置、存储器和终端 |
| CN109792451B (zh) * | 2018-08-22 | 2022-11-18 | 袁振南 | 通讯通道加密、解密和建立方法及装置、存储器和终端 |
| CN112543142A (zh) * | 2019-09-20 | 2021-03-23 | 南京南瑞继保电气有限公司 | 基于fpga实现rstp环网协议的方法和装置 |
| CN112543142B (zh) * | 2019-09-20 | 2023-05-12 | 南京南瑞继保电气有限公司 | 基于fpga实现rstp环网协议的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1567808A (zh) | 一种网络安全装置及其实现方法 | |
| EP3070902B1 (en) | Mitigating neighbor discovery-based denial of service attacks | |
| CN1879348A (zh) | 控制网络中设备之间通信的方法及其装置 | |
| CN1750538B (zh) | 基于p2p高速下载软件产生流量的发现及控制方法 | |
| CN1756234A (zh) | 服务器、vpn客户机、vpn系统及软件 | |
| CN1949765A (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
| CN101060498A (zh) | 实现网关Mac绑定的方法、组件、网关和二层交换机 | |
| CN1728671A (zh) | 服务器设备及其控制方法和使用该服务器建立连接的方法 | |
| CN102377524B (zh) | 分片处理的方法和系统 | |
| CN1620034A (zh) | 认证网关及其数据处理方法 | |
| CN1722661A (zh) | 认证系统、网络线路级联器、认证方法和认证程序 | |
| CN101056171A (zh) | 一种加密通信方法和装置 | |
| CN1874218A (zh) | 一种许可证管理方法、系统及装置 | |
| CN101060485A (zh) | 拓扑改变报文的处理方法和处理装置 | |
| CN101030912A (zh) | 基于rrpp的快速环网防攻击的方法、装置和系统 | |
| CN1816036A (zh) | 移动ip网络中设备间实现协议版本兼容的方法 | |
| CN1949750A (zh) | 生成树协议的报文发送和接收方法、处理方法及设备 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| CN105337890A (zh) | 一种控制策略生成方法以及装置 | |
| CN1878125A (zh) | 提高骨干网络安全性的实现方法 | |
| CN1647486A (zh) | 数据过滤器管理装置 | |
| CN1716944A (zh) | 网络路径最大传输长度发现方法 | |
| CN108650237B (zh) | 一种基于存活时间的报文安全检查方法及系统 | |
| Zhang et al. | Detecting selective forwarding attacks in WSNs using watermark | |
| CN1878061A (zh) | 网桥协议数据单元报文验证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070418 |