WO2021098380A1

WO2021098380A1 - 处理报文的方法、装置及系统

Info

Publication number: WO2021098380A1
Application number: PCT/CN2020/118030
Authority: WO
Inventors: 周文锋
Original assignee: 华为技术有限公司
Priority date: 2019-11-22
Filing date: 2020-09-27
Publication date: 2021-05-27
Also published as: US20220286469A1; EP4044547A1; CN112839009B; CN112839009A; EP4044547A4

Abstract

本申请公开了一种处理报文的方法、装置及系统，属于通信领域。所述方法包括：第一设备接收第二设备发送的第一报文，所述第一报文包括以太网环的标识信息和第一认证信息，所述第一设备是所述以太网环的边缘设备，所述第二设备为所述以太网环之外的设备；所述第一设备根据所述标识信息和第一认证信息校验所述第一报文的合法性；所述第一设备在校验出所述第一报文合法时处理所述第一报文。本申请能够提高以太网环的安全性。

Description

处理报文的方法、装置及系统

本申请要求于2019年11月22日提交中国国家知识产权局、申请号为201911158377.9、申请名称为“处理报文的方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，特别涉及一种处理报文的方法、装置及系统。

背景技术

以太网环是由一组配置了相同的虚拟局域网(virtual local area network，VLAN)设备构成，并且相邻设备连接。例如，参见图1，假设存在设备A、B、C和D，在设备A、B、C和D上配置同一VLAN的标识信息，设备A与B之间建立有连接，设备B和C之间建立有连接，设备C和D之间建立有连接以及设备D和A之间建立有连接，这样设备A、B、C和D组成了以太网环，且该以太网环可用于传输该VLAN的报文。

位于同一以太网环内的设备位于同一以太网中，但该以太网环中可能存在两个设备，该两个设备之间没有线路相连，但该两个设备可能连接到该以太网之外的第三方网络，该两个设备可以在第三方网络中建立连接，该两个设备是该以太网环的边缘设备。例如，参见图2，设备A和D之间没有线路相连，设备A和D分别连接到第三方网络，设备A和D在第三方网络中建立连接。如此设备A、B、C、D也能组成以太网环，且设备A和D为该以太网环的边缘设备。

然而，由于两个边缘设备之间的连接是在第三方网络中建立的，这样黑客可以在第三方网络中伪造该以太网环中的报文，通过该两个边缘设备之间的连接向以太网环发送报文，并使用该报文攻击以太网环，导致以太网环的安全性较低。

发明内容

本申请提供了一种处理报文的方法、装置及系统，以提高以太网环的安全性。所述技术方案如下：

第一方面，本申请提供了一种处理报文的方法，在所述方法中，第一设备是以太网环的边缘设备，第二设备为以太网环之外的设备，第一设备接收第二设备发送的第一报文，第一报文包括以太网环的标识信息和第一认证信息。第一设备根据该标识信息和第一认证信息校验第一报文的合法性，在校验出第一报文合法时处理第一报文。

由于第一报文中包括以太网环的标识信息和第一认证信息，这样第一设备根据该标识信息和第一认证信息校验第一报文的合法性，在第一报文是黑客伪造的用于攻击以太网环的报文的情况下，由于黑客无法获得以太网环对应的真实认证信息，这样第一报文中的第一认证信息与以太网环对应的真实认证信息不同，根据第一报文中的以太网环的标识信息和第一认证信息可以校验出第一报文不合法，从而有效地校验出伪造的用于攻击以太网环的报文，提高了以太网环的安全性。

在一种可能的实现方式中，第一设备根据该标识信息获取以太网环的第二认证信息；根据第一认证信息和第二认证信息校验第一报文的合法性。由于根据该标识信息获取的第二认证信息是以太网环对应的真实认证信息，根据第二认证信息和第一报文的第一认证信息可以准确地对第一报文进行校验，如此不仅实现了基于以太网环的标识信息和第一认证信息检验第一报文的合法性，还提高了校验的精度。

在另一种可能的实现方式中，第一设备根据该标识信息，从标识信息与环配置信息的对应关系中获取所述以太网环的环配置信息；第一设备对该环配置信息进行加密，得到以太网环的第二认证信息。由于对环配置信息进行加密得到以太网环的第二认证信息，这样保证了第一报文中的第一认证信息也是经过加密，这样即使第一报文被黑客截获时黑客也无法得到以太网的环配置信息，更无法得到以太网环对应的真实认证信息，如此提高了以太网环的安全性，还实现了基于该标识信息获取到以太网环的第二认证信息。

在另一种可能的实现方式中，第一设备从第一报文中去除第一认证信息，得到第二报文；向以太网上的第三设备发送第二报文。这样对于不具有校验功能的第三设备，不具有校验功能的第三设备可能无法识别包括第一认证信息的第一报文，但可以识别去除第一认证信息后的第二报文，保证第三设备在接收到第二报文时可以识别并处理第二报文，提高了以太网环的兼容性。

在另一种可能的实现方式中，第一设备获取第三报文，第三报文包括以太网环的标识信息和以太网环的第二认证信息；向以太网上的第四设备发送第三报文。由于第三报文中包括以太网环的标识信息和以太网环的第二认证信息，这样保证了第四设备可以对第三报文进行合法性校验，以提高以太网环的安全性。

在另一种可能的实现方式中，第一设备从以太网环上的第五设备接收第四报文，第四报文包括以太网环的标识信息；根据该标识信息获取以太网环的第二认证信息；在第四报文中添加第二认证信息，得到第三报文。由于根据该标识信息获取的第二认证信息是以太网环对应的真实认证信息，保证了第三报文包括以太网对应的真实认证信息，保证接收第三报文的第四设备能够对第三报文校验通过。

在另一种可能的实现方式中，以太网环的环配置信息包括密钥信息、以太网环的环标识、以太网环对应的虚拟局域网VLAN的网络标识、以太网环包括的设备的设备标识、以太网环的维护关联边缘节点MEP值和以太网环对应的协议版本信息中的至少一个。由于不同的以太网环对应的密钥信息、VLAN的网格标识、环标识和MEP值等配置参数不同，即不同的以太网环的环配置信息不同，这样保证得到的不同的以太网环对应的真实认证信息不同，从而保证基于该环配置信息得到的认证信息仅对属于该以太网环的报文检验通过，提高了校验准确性。

在另一种可能的实现方式中，第一报文为以太网保护倒换ERPS协议报文。由于第一报文是ERPS协议报文，也就是说第一设备对ERPS协议报文进行合法性校验，避免杜绝了黑客通过ERPS协议报文攻击以太网的可能性，提高了以太网环的安全性。

第二方面，本申请提供了一种处理报文的装置，用于执行第一方面或第一方面的任意一种可能实现方式中的方法。具体地，所述装置包括用于执行第一方面或第一方面的任意一种可能实现方式的方法的单元。

第三方面，本申请实施例提供了一种处理报文的装置，所述装置包括：处理器、存储器和通信接口。其中，所述处理器、所述存储器和所述通信接口之间可以通过总线系统相连。所述存储器用于存储一个或多个程序，所述处理器用于执行所述存储器中的一个或多个程序，完成第一方面或第一方面的任意可能实现方式中的方法。

第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质中存储有程序，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意可能实现方式中的方法。

第五方面，本申请提供了一种包含程序的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意可能实现方式中的方法。

第六方面，本申请提供了一种处理报文的系统，所述系统包括：第一设备和第二设备，第一设备是以太网环的边缘设备，第二设备为以太网环之外的设备。第二设备用于向第一设备发送第一报文，第一报文包括以太网环的标识信息和第一认证信息。第一设备用于接收第一报文，根据该标识信息和第一认证信息校验第一报文的合法性；在校验出第一报文合法时处理第一报文。由于第一报文中包括以太网环的标识信息和第一认证信息，这样第一设备根据该标识信息和第一认证信息校验第一报文的合法性，从而有效地校验出伪造的用于攻击以太网环的报文，在校验出合法的情况下才处理第一报文，提高了以太网环的安全性。

附图说明

图1是本申请实施例提供的一种封闭的以太网环结构示意图；

图2是本申请实施例提供的一种非封闭的以太网环结构示意图；

图3是本申请实施例提供的一种处理报文的方法流程图；

图4是本申请实施例提供的一种第一报文的结构示意图；

图5是本申请实施例提供的一种类型长度内容字段的结构示意图；

图6是本申请实施例提供的另一种处理报文的方法流程图；

图7是本申请实施例提供的一种处理报文的装置结构示意图；

图8是本申请实施例提供的另一种处理报文的装置结构示意图；

图9是本申请实施例提供的一种处理报文的系统结构示意图。

具体实施方式

下面将结合附图对本申请实施方式作进一步地详细描述。

以太网是一种计算机局域网技术，以太网的拓扑结构多种多样，其中有一种拓扑结构是环形结构。对于环形结构的以太网，该以太网中的任意相邻两个设备之间可以建立有连接，以形成以太网环。以太网环是一种逻辑网络，该以太网环与VLAN相对应，可用于传输该VLAN的报文。

可选的，上述设备为路由器、交换机或接入传输网络(access to transmission network，ATN)等用于传输报文的设备。

参见图1所示的环形结构的以太网，该以太网包括设备1、2、3和4，在该以太网中相邻两个设备之间存在物理线路相连。这样在设备1与设备2之间的物理线路上建立连接，该连接用于连接设备1上的第一端口P11和设备2的第一端口P21；在设备2与设备3之间的物理线路上建立连接，该连接用于连接设备2上的第二端口P22和设备3的第一端口P31；在设备3与设备4之间的物理线路上建立连接，该连接用于连接设备3上的第二端口P32和设备4的第一端口P41；在设备4与设备1之间的物理线路上建立连接，该连接用于连接设备4上的第二端口P42和设备1的第二端口P12，这样可以形成一个以太网环。

在设备1的第一端口P11和第二端口P12，设备2的第一端口P21和第二端口P22，设备3的第一端口P31和第二端口P32，设备4的第一端口P41和第二端口P42上配置同一VLAN，如此该以太网环可以用于传输该VLAN的报文。

为了避免以太网环形成环路，导致在以太网环中产生广播风暴，目前可以阻塞以太网环中的某个设备上的端口，该被阻塞的端口可被称为该以太网环的环保护链路所有者(ring protection link owner，RPL owner)端口。

对于该以太网环中的任一个设备，在该设备需要向以太网环中的其他设备发送报文时，该设备通过其第一端口向该其他设备发送报文，以及通过其第二端口向该其他设备发送报文。即该设备会向该其他设备发送两个报文，但由于该以太网环中的某个端口被阻塞，所以只有一个报文能够被传输至该其他设备，而另一个报文会被该端口中断传输。例如，对于图1所示的以太网环，可以将设备3的第二端口P32阻塞。这样对于以太网环中的任一需要发送报文的设备，假设设备4需要向设备2发送报文，设备4从第一端口41向设备2发送报文，以及从第二端口P42向设备2发送报文。由于设备3的第二端口P32被阻塞，所以从第一端口P41发送的报文会被设备3阻断，从第二端口P42发送的报文会被传输至设备3，如此避免环路形成。

对于某些以太网，该以太网中可能存在某两个设备之间没有物理线路相连，但该两个设备连接到除该以太网之外的第三方网络，这样该两个设备可以在该第三方网络中建立连接，如此使该以太网络中的设备也可以形成以太网环，该两个设备是以太网环的边缘设备。第三方网络可以是广域网、物理局域网或另一个以太网环。

例如，参见图2的所示的以太网，与图1所示的以太网相比。图2所示的以太网包括的设备1与设备2之间没有直接的物理线路相连，但设备1和设备2均连接到第三方网络，这样在第三方网络中，设备1和设备2之间可以建立有连接，该连接连接设备1的第一端口P11和设备2的第一端口P21，这样设备1、2、3和4也可以形成一个以太网环。其中，设备1和设备2是该以太网环的边缘设备。

在第三方网络是另一个以太网环时，该以太网环的边缘设备连到该另一个以太网环，并在该另一以太网环中建立连接，此时该以太网环与另一个以太网环相交。

图1所示的以太网环是封闭网环，该以太网环中的任意相邻的两个设备之间存在物理线路相连，整个以太网环位于以太网中。图2所示的以太网环是非封闭网环，该以太网环存在一部分位于以太网中，还存在另一部分位于第三方网络中。这样黑客可以在第三方网络中伪造该以太网环中的报文，通过该两个边缘设备之间的连接向该以太网环发送报文，并使用该报文攻击该以太网环。为了保护以太网环，以太网环中的设备在从第三方网络中接收到报文时，校验该报文的合法性，详细实现过程可以参见后续图3或图6所示的实施例，在此先不详细说明。

另外，在一个以太网中可以形成多个以太网环，不同以太网环对应的VLAN不同。也就是说，对于以太网中任意相邻的两个设备，在该两个设备之间建立有与每个以太网环对应的连接。对于该两个设备中的任一个设备，该设备包括每个以太网环对应的端口，每个以太网环对应的端口分别与每个以太网对应的连接相连，每个以太网环对应的端口上分别配置有每个以太网环对应的VLAN。

在设备的端口上配置以太网环对应的VLAN可以是技术人员配置的，有时技术人员可能在该设备的某个以太网环对应的端口上配置了另一个以太网环对应的VLAN，这样该设备在该以太网环上发送报文时，该报文包括该另一个以太网环对应的VLAN的网络标识。对于该以太网环中的其他设备，其他设备在从该以太网环中接收到该报文时，发现该报文中的VLAN的网络标识不是该以太网环对应的VLAN的网络标识，会在该以太网环中广播该报文，这样可能会导致该以太网环产生广播风暴。此种情况下，也可以使用后续图6所示的实施例，来避免该以太网环产生广播风暴。

在执行后续图3或图6所示的实施例之前，需要在以太网环的边缘设备中保存标识信息与环配置信息的对应关系，或者，在以太网环中的每个设备中保存标识信息与环配置信息的对应关系。该对应关系中的任一条记录中保存有一个以太网环的标识信息和该以太网环的环配置信息。

在形成以太网环时，对于以太网环的任一个边缘设备，该任一个边缘设备获取以太网环的标识信息和环配置信息，将该以太网络环的标识信息和环配置信息对应保存在该标识信息与环配置信息的对应关系中。或者，对于以太网中的任一个设备，该任一个设备获取以太网环的标识信息和环配置信息，将该以太网络环的标识信息和环配置信息对应保存在该标识信息与环配置信息的对应关系中。

可选的，技术人员可以在该任一个边缘设备或该任一个设备上配置以太网环的环配置信息，这样该任一个边缘设备或该任一个设备获取技术人员配置的该环配置信息。

可选的，以太网环的标识信息包括以太网环的环标识和以太网环对应的VLAN的网络标识等中的至少一个。也就是说，以太网环的标识信息可以为以太网环的环标识，或者，以太网环的标识信息可以为以太网环对应的VLAN的网络标识，或者，以太网环的标识信息可以包括以太网环的环标识和以太网环对应的VLAN的网络标识。

以太网环的环标识的长度可以为一个或多个字节，例如可以为一个字节。VLAN的网络标识的长度可以为多个字节，例如可以为两个字节。

以太网环的环配置信息包括密钥信息、以太网环的环标识、以太网环对应的VLAN的网络标识、以太网环的维护关联边缘节点(maintenance association end point，MEP)值、以太网环对应的协议版本信息、以太网环包括的设备的设备标识或者与该以太网环相交的另一以太网环的环配置信息等中的至少一个。

可选的，在以太网环的标识信息包括该以太网环的环标识的情况下，与该标识信息相对应的环配置信息可以不包括该以太网环的环标识。在以太网环的标识信息包括该以太网环的对应的VLAN的网络标识的情况下，与该标识信息相对应的环配置信息可以不包括该以太网环对应的VLAN的网络标识。

可选的，以太网环对应的VLAN包括两个，其中一个VLAN可以称为控制VLAN，控制VLAN是该以太网环中的控制面报文所使用的VLAN，控制面报文的报文头中包括控制VLAN的网络标识。另一个VLAN可以称为保护VLAN，保护VLAN是该以太网环中的数据面报文所使用的VLAN，数据面报文的报文头包括保护VLAN的网络标识。VLAN的网络标识包括该控制VLAN的网络标识或保护VLAN的网络标识。

密钥信息可以是预设信息，其长度可以为一个或多个字节，例如其长度可以大于或等于1个字节且小于或等于127个字节，如其长度可以为20、30或50字节等，另外为不同的以太网环预设的可以密钥信息不同。控制VLAN的网络标识的长度可以为多个字节，例如可以为两个字节。保护VLAN的网络标识的长度可以为多个字节，例如可以为两个字节。

本申请实施例提供了一种处理报文的方法，该方法可以应用于图2所示的非封闭的以太网环，在该方法中，第一设备在第三方网络中接收报文，并检测该报文的合法性，该报文可以是第二设备发送的，第一设备是以太网环的边缘设备，第二设备是以太网环的另一个边缘设备。参见图3，该方法包括：

步骤201：第二设备获取第一报文，第一报文包括以太网环的标识信息和第一认证信息，第二设备是该以太网环中除第一设备之外的另一个边缘设备。

第二设备包括第一端口和第二端口，第二设备通过第一端口连接到第三方网络，通过第二端口与以太网内的其他设备相连。例如，假设第二设备是图2 所示的以太网环中的设备2，设备2包括第一端口P21和第二端口P22，设备2通过第一端口P21连接到第三方网络，通过第二端口P22与以太网环中的设备3相连。

可选的，第一报文可以为以太网环的控制面报文或数据面报文。控制面报文可以为以太网保护倒换以太环网保护倒换(ethernet ring protection switching，ERPS)协议报文等。

第二设备在如下两种情况下获取第一报文，该两种情况分别为：

第一种，当第二设备需要向该以太网环中的某个设备发送报文时，第二设备可以获取该以太网环的标识信息和第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

在第一种情况中，第二设备可以获取该以太网环的标识信息，根据该以太环网的标识信息，从标识信息与环配置信息的对应关系中获取该以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到该以太网环的第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

例如，参见图2，假设设备2需要向设备4发送报文，设备2根据该以太网环的标识信息，从标识信息与环配置信息的对应关系中获取该以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到该以太网环的第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

第二种，第二设备从该以太网环对应的以太网中接收第二报文，第二报文包括该以太网环的标识信息，根据该以太网环的标识信息，获取该以太网环的第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

在第二种情况中，第二报文可以是该以太网环中的除第二设备之外的其他设备发送的，第二设备可以通过第二接口接收第二报文。第二设备可以从第二报文中获取以太网环的标识信息，根据该以太环网的标识信息，从标识信息与环配置信息的对应关系中获取该以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到该以太网环的第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

可选的，第二报文中可以包括VLAN标签(VLAN TAG)字段，该VLAN TAG字段包括该以太网环对应的VLAN的网络标识。第二设备在接收到第二报文后，从第二报文的VLAN TAG字段中获取该以太网环对应的VLAN的网络标识作为以太网环的标识信息。

可选的，上述加密算法可以为信息摘要算法第五版(message-digest algorithm5，MD5)算法、消息认证码算法(message authentication code，HMAC)196或HMAC256等。

例如，参见图2，假设设备3需要向设备4发送包括该以太网环的标识信息的第二报文，设备3通过第一端口P31发送第二报文，以及通过第二端口P32发送第二报文。由于第二端口P32被阻塞，所以无法成功从第二端口P32发出第二报文，而从第一端口P31发出的第二报文会传输至设备2，设备2通过第二接口P22接收第二报文。然后设备2根据第二报文包括的该以太网环的标识信息，从标识信息与环配置信息的对应关系中获取以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到以太网环的第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

可选的，第二设备使用加密算法对该环配置信息进行加密的操作，可以为：

第二设备可以从该环配置信息中选择至少一个配置参数组成摘要信息，使用加密算法对该摘要信息数进行加密，得到以太网环的第一认证信息。

可选的，第二设备组成的摘要信息可以包括两种，第一种摘要信息包括该以太网环的环标识、控制VLAN的网络标识和密钥信息。

可选的，第二设备还可以获取第一报文的源设备的设备标识，在第一种摘要信息的基础上加上该源设备的设备标识，得到第二种摘要信息。即将该设备标识、该以太网环的环标识、控制VLAN的网络标识和密钥信息组成第二种摘要信息。第二种摘要信息包括的信息多于第一种摘要信息，进一步提高以太网环的安全性。

可选的，该设备标识可以为媒体介入控制层(media access control，MAC)地址或网际互连协议(internet protocol，IP)地址等。

在上述第一种情况下，第一报文的源设备为第二设备，第二设备获取的第一报文的源设备的设备标识为第二设备的设备标识。在上述第二种情况下，第二报文中包括源设备的设备标识，第二设备可以从第二报文中提取该源设备的设备标识。

第二设备还可以选择该以太网环的保护VLAN的网络标识、该以太网环的MEP值或该以太网环对应的协议版本信息等中的至少一个，第二种摘要信息还可以包括该以太网环的保护VLAN的网络标识、该以太网环的MEP值或该以太网环对应的协议版本信息等中的至少一个。

可选的，参见图4所示的第一报文的结构，第一报文包括维护实体组等级(maintenance entity group level，MEL)字段、版本(Version)字段、操作码(operate code，OpCode)字段、标识(Flag)字段、类型长度内容偏移(type length value，TLVOffset)字段、环自动保护切换特定信息(ring auto protection switching specific information，R-APS specific information)字段、可选TLV(optional TLV)字段和结尾TLV(end TLV)字段。

可选的，end TLV字段可以包括该以太网环的第一认证信息。

可选的，参见图5所示的end TLV字段，end TLV字段包括Type字段、Length字段和Value字段。Type字段可以包括认证指示，Length字段包括Value字段的长度，Value字段包括该以太网环的第一认证信息。该认证指示用于指示Value字段包括的内容是第一认证信息。

可选的，该认证指示可以为0xFFF0或0xFFF1等值。

步骤202：第二设备向第三方网络发送第一报文。

第二设备通过第一接口向第三方网络发送第一报文。

第二设备的第一端口与该以太网环中的另一边缘设备的第一端口之间建立有连接，为了便于说明称该另一边缘设备为第一设备，即第二设备的第一端口与第一设备的第一端口在第三方网络中建立有连接。第二设备通过第一端口向第三方网络发送第一报文后，第一报文经过该连接传输至第一设备的第一端口。

在上述第一种情况下，第二设备除了通过第一端口向第三方网络发送第一报文，还可以通过第二端口向该以太网发送第一报文，向以太网中发送的第一报文可以不包括该以太网环的第一认证信息。

例如，参见图2，设备2的第一端口P21与设备1的第一端口P11之间在第三方网络中建立有连接，设备2通过第一端口P11向第三方网络发送第一报文，第一报文经过该连接传输至设备1的第一端口P11。如果第一报文是设备2生成的报文，即在上述第一种情况下，设备2还通过第二端口P21向以太网发送第一报文，这样位于以太网中的设备3接收该第一报文，由于设备3的第二端口P32被阻塞，所以设备3会停止继续转发该第一报文。

步骤203：第一设备从第三方网络中接收第一报文，根据第一报文包括的以太网环的标识信息获取该以太网环的第二认证信息。

第一设备包括第一端口和第二端口，第一设备通过第一端口连接到第三方网络，通过第二端口与以太网内的其他设备相连。例如，假设第一设备是图2所示的以太网环中的设备1，设备1包括第一端口P11和第二端口P12，设备1通过第一端口P11连接到第三方网络，通过第二端口P12与以太网环中的设备4相连。

第一设备可以通过第一接口接收第一报文，从第一报文中获取以太网环的标识信息，根据该以太环网的标识信息，从标识信息与环配置信息的对应关系中获取该以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到该以太网环的第二认证信息。

可选的，第一设备可以从该环配置信息中选择至少一个配置参数组成摘要信息，使用加密算法对该摘要信息数进行加密，得到以太网环的第二认证信息。

可选的，第一设备和第二设备可以事先约定从该以太网环的环配置信息中选择组成摘要信息的配置参数。所以在本步骤中，第一设备从该以太网环的环配置信息选择的配置参数与第二设备从该以太网环的环配置信息选择的配置参数相同，这样保证第一设备组成的摘要信息与第二设备组成的摘要信息相同。以及，保证第一设备对其组成的摘要信息进行加密得到的第二认证信息与第二设备对其组成的摘要信息进行加密得到的第二认证信息相同。

步骤204：第一设备根据第一报文包括的第一认证信息，以及该以太网环的第二认证信息，校验第一报文的合法性。

第一设备可以从第一报文中获取第一认证信息，比较第一认证信息和第二认证信息，如果两者相同，则校验出第一报文合法，如果两者不同，则校验出第一报文不合法。

在校验出第一报文不合法时，第一设备直接丢弃第一报文，在校验出第一报文合法时，第一设备执行如下步骤205的操作。

可选的，参见图5，第一报文包括end TLV字段，读取该end TLV字段中的Type字段包括的内容，如果读取的内容是认证指示，根据该认证指示确定该 end TLV字段中的Value字段包括的内容为第一认证信息，并从该Value字段中读取第一认证信息。

步骤205：第一设备在校验出第一报文合法时处理第一报文，在校验出第一报文不合法时丢弃第一报文。

在第一报文的目的设备是第一设备的情况下，第一设备去除第一报文中的第一认验信息得到第二报文，第一设备的处理器处理第二报文。在第一报文的目的设备不是第一设备的情况下，第一设备去除第一报文中的第一认验信息得到第二报文，第一设备通过第二端口向以太网发送第二报文。

第一报文中包括目的设备的设备标识，第一设备从第一报文中获取目的设备的设备标识，根据该目的设备的设备标识，确定该目的设备是否为第一设备。

例如，假设设备1校验出第一报文合法，由于该第一报文是设备2发送给设备4的报文，该第一报文包括的目的设备的设备标识为设备4的设备标识，所以设备1去除第一报文中第一认证信息得到第二报文，通过第二端口P11向设备4发送第二报文。

可选的，第一设备也可能接收到除该以太网环之外的设备发送的报文，该报文可能是该以太网环之外的设备伪造的报文，由于该设备无法得到以太网环的真实认证信息，所以第一设备根据该报文中的以太网环的标识信息和认证信息对该报文检验时一定校验出不合法，并丢弃该报文，从而阻止了该报文攻击以太网环。

在本申请实施列中，第二设备为位于以太网环的边缘设备，第二设备在向第三方网络发送第一报文时，在第一报文中包括该以太网环的第一认证信息。第一设备为位于该以太网环的另一个边缘设备，第一设备从第三方网络接收第一报文，根据第一报文中包括的该以太网环的标识信息，获取该以太网环的第二认证信息，根据该以太网环的第二认证信息和该第一报文包括的第一认证信息，校验第一报文的合法性，在校验出第一报文合法的情况下，处理第一报文，这样可以有效避免黑客通过第三方网络攻击以太网环，提高了以太网环的安全性。在第一设备不是第一报文的目的设备的情况下，第一设备去除第一报文中的第一认证信息得到第二报文，向以太网发送第二报文，这样对于以太网环中不支持认证功能的其他设备接收到第二报文可以对第二报文进行处理，兼容了不支持认证的设备。

本申请实施例提供了一种处理报文的方法，该方法可以应用于图1所示的封闭的以太网环或图2所示的非封闭的以太网环，在该方法中，第一设备在接收到发送给自身的报文时，检测该报文的合法性，该报文可以是第二设备发送的报文，第一设备是以太网环的任一设备，第二设备是以太网环的另一个设备。参见图6，该方法包括：

步骤301：第二设备生成待发送给第一设备的第一报文，第一报文包括以太网环的标识信息和第一认证信息，第二设备是该以太网环中除第一设备之外的任一设备。

可选的，第一报文可以为以太网保护倒换ERPS协议报文等

可选的，当第二设备需要向第一设备发送报文时，第二设备可以获取该以太网环的标识信息和第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

可选的，第二设备可以获取该以太网环的标识信息，根据该以太环网的标识信息，从标识信息与环配置信息的对应关系中获取该以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到该以太网环的第一认证信息，生成包括该以太网环的标识信息和第一认证信息的第一报文。

其中，第一设备组成摘要信息的实现方式与图3所示实施例中的第二设备组成摘要信息的实现方式相同，在此不再详细说明。

可选的，在该以太网环对应的标识信息是该以太网环对应的VLAN的网络标识时，如果在第二设备中技术人员将该以太网环对应的VLAN配置成其他以太网环的VLAN，这样在第二设备中保存的该VLAN的网络标识对应的环配置信息是该以太网环对应的环配置信息。而在该以太网环的其他设备中保存的该VLAN的网络标识对应的环配置信息是该其他以太网环的环配置信息。

可选的，第二设备生成的第一报文中包括end TLV字段，该end TLV字段可以包括该以太网环的第一认证信息。

可选的，该认证指示可以为0xFFF0或0xFFF1等值。

步骤302：第二设备向第一设备发送第一报文。

在该以太网环中第二设备的第一端口连接到以太网环的一侧，第二设备的第二端口连接到以太网环的另一侧，第二设备通过第一端口向第一设备发送第一报文，通过第二端口向第一设备发送第一报文。由于在该以太网环中的某个设备的端口被阻塞，所以第二设备从两个端口发出去的两个第一报文中，只有一个第一报文能够成功传输到第一设备。

第二设备发送的第一报文中包括源设备的设备标识和目的设备的设备标识。

对于位于第二设备与第一设备之间的其他设备，该其他设备从一个端口接收到第一报文，根据第一报文包括的目的设备的设备标识确定该第一报文不是发给自身的报文，则通过另一端口发送该第一报文。

例如，参见图2，设备2的第一端口P21与设备1的第一端口P11之间在第三方网络中建立有连接，设备2通过第一端口P11向第三方网络发送第一报文，第一报文经过该连接传输至设备1的第一端口P11。设备2的第二端口P22与设备3的第一端口P31之间建立有连接，设备2还通过第二端口P21向设备3发送第一报文。其中，设备2发送的第一报文包括源设备的设备标识为设备2的设备标识，以及目的设备的设备标识为设备4的设备标识。

设备1通过第一端口P11接收第一报文，根据第一报文中包括的目的设备的设备标识确定第一报文不是发送给自身的报文，通过第二端口P12向设备4发送第一报文。同样，设备3通过第一端口P31接收第一报文，根据第一报文中包括的目的设备的设备标识确定第一报文不是发送给自身的报文，由于其第二端口P32被阻塞，因此中断继续发送第一报文。

步骤303：第一设备接收第一报文，根据第一报文包括的以太网环的标识信息获取该以太网环的第二认证信息。

在本步骤中，第一设备接收第一报文，从第一报文中获取以太网环的标识信息，根据该以太环网的标识信息，从标识信息与环配置信息的对应关系中获取该以太网环的环配置信息；使用加密算法对该环配置信息进行加密，得到该以太网环的第二认证信息。

可选的，以及网环中的各设备可以事先约定从该以太网环的环配置信息中选择组成摘要信息的配置参数。所以在本步骤中，第一设备从该以太网环的环配置信息选择的配置参数与第二设备从该以太网环的环配置信息选择的配置参数相同，这样保证第一设备组成的摘要信息与第二设备组成的摘要信息相同。以及，保证第一设备对其组成的摘要信息进行加密得到的第二认证信息与第二设备对其组成的摘要信息进行加密得到的第二认证信息相同。

其中，第一设备组成摘要信息的实现方式与第二设备组成摘要信息的实现方式相同，在此不再详细说明。

步骤304：第一设备根据第一报文包括的第一认证信息，以及该以太网环的第二认证信息，校验第一报文的合法性。

在校验出第一报文不合法时，第一设备直接丢弃第一报文，在校验出第一报文合法时，第一设备执行如下步骤305的操作。

可选的，参见图5，第一报文包括end TLV字段，读取该end TLV字段中的Type字段包括的内容，如果读取的内容是认证指示，根据该认证指示确定该end TLV字段中的Value字段包括的内容为第一认证信息，并从该Value字段中读取第一认证信息。

步骤305：第一设备在校验出第一报文合法时处理第一报文，在校验出第一报文不合法时丢弃第一报文。

第一设备去除第一报文中的第一认验信息得到第二报文，第一设备的处理器处理第二报文。

例如，假设设备4校验出第一报文合法，去除第一报文中第一认证信息得到第二报文，设备4的处理器对第二报文进行处理。

可选的，在该以太网环对应的标识信息是该以太网环对应的VLAN的网络标识时，如果在第二设备中技术人员将该以太网环对应的VLAN配置成其他以太网环的VLAN，则第一设备根据该VLAN的网络标识获取的环配置信息是其他以太网环的环配置信息，基于该其他以太网环的环配置信息得到的该其他以太网环的第二认证信息，此时该第二认证信息与第一报文中的第一认证信息不同，第一设备会校验出第一报文不合法，并丢弃第一报文，这样避免了第一报文继续在该以太网环中广播，避免发生广播风暴。

在本申请实施列中，第二设备需要向位于以太网环的第一设备发送报文时，第二设备生成包括该以太网环的第一认证信息的第一报文，在该以太网环中向第一设备发送第一报文。第一设备接收第一报文，根据第一报文中包括的该以太网环的标识信息，获取该以太网环的第二认证信息，根据该以太网环的第二认证信息和该第一报文包括的第一认证信息，校验第一报文的合法性，在校验出第一报文合法的情况下，处理第一报文，这样可以有效避免黑客通过第三方网络攻击以太网环，提高了以太网环的安全性。

参见图7，本申请实施例提供了一种处理报文的装置400，所述装置400是以太网环的边缘设备，所述装置400可以部署在上述任意实施例中的第一设备上，例如可以部署在上述图3或图6所示实施例的第一设备上，包括：接收单元401和处理单元402。

第二设备可以生成包括以太网环的标识信息和第一认证信息的第一报文，第二设备为以太网环之外的设备，向该以太网环内的设备发送第一报文。

由于所述装置400是以太网环的边缘设备，所以所述装置400的接收单元401接收该第一报文；

然后，处理单元402根据该标识信息和第一认证信息校验第一报文的合法性；在校验出第一报文合法时处理第一报文。

可选的，处理单元402检验第一报文的合法性的详细实现过程，可以参见图3所示实施例的步骤204或图6所示实施例的步骤304中的相关内容。

可选的，处理单元402对第一报文的校验过程可以为：根据该标识信息获取以太网环对应的真实认证信息，将获取的认证信息称为第二认证信息；根据该第一认证信息和该第二认证信息校验第一报文的合法性。

可选的，处理单元402获取第二认证信息的详细实现过程，可以参见图3 所示实施例的步骤203或图6所示实施例的步骤303中的相关内容。

处理单元402根据该第一认证信息和该第二认证信息校验第一报文的合法性的详细实现过程，可以参见图3所示实施例的步骤204或图6所示实施例的步骤304中的相关内容。

可选的，处理单元402获取第二认证信息的过程可以为：根据该标识信息，从标识信息与环配置信息的对应关系中获取以太网环的环配置信息；对该环配置信息包括的部分或全部配置参数进行加密，得到以太网环对应的真实认证信息，即得到第二认证信息。

可选的，处理单元402对环配置信息进行加密的详细实现过程，可以参见图3所示实施例的步骤201或图6所示实施例的步骤301中的第二设备加密环配置信息的相关内容。

可选的，所述装置400还包括发送单元403，在第一报文对应的目的设备是以太网上的第三设备的情况下，处理单元402从第一报文中去除第一认证信息，得到第二报文；

发送单元403向以太网上的第三设备发送第二报文。

可选的，在所述装置400需要向以太网上的第四设备发送报文的情况下，处理单元402获取第三报文，第三报文包括以太网环的标识信息和以太网环的第二认证信息；

发送单元403向以太网上的第四设备发送第三报文。

可选的，处理单元402获取第三报文的详细实现过程，可以参见图3所示实施例的步骤201或图6所示实施例的步骤301中的第二设备获取第一报文的相关内容。

可选的，接收单元401从以太网环上的第五设备接收第四报文，第四报文包括以太网环的标识信息；

处理单元402根据该标识信息获取以太网环的第二认证信息；在第四报文中添加第二认证信息，得到第三报文。

可选的，处理单元402获取以太网环的第二认证信息的详细实现过程，可以参见图3所示实施例的步骤201或图6所示实施例的步骤301中的第二设备获取第一认证信息的相关内容。

可选的，以太网环的环配置信息包括密钥信息、以太网环的环标识、以太网环对应的虚拟局域网VLAN的网络标识、以太网环包括的设备的设备标识、以太网环的维护关联边缘节点MEP值和以太网环对应的协议版本信息中的至少一个。

在本申请实施例中，接收单元接收第二设备发送的第一报文，第一报文包括以太网环的标识信息和第一认证信息。处理单元根据该标识信息和第一认证信息校验第一报文的合法性，在校验出所述第一报文合法时处理第一报文。由于第一报文中包括以太网环的标识信息和第一认证信息，这样处理单元根据该标识信息和第一认证信息校验第一报文的合法性，从而有效地校验出伪造的用于攻击以太网环的报文，在校验出合法的情况下才处理第一报文，提高了以太网环的安全性。

参见图8，本申请实施例提供了一种处理报文的装置500示意图。该装置500可以是上述任一实施例中的第一设备，例如可以是如图3或图6所示实施例中的第一设备。该装置500包括至少一个处理器501，总线系统502，存储器503以及至少一个通信接口504。

该装置500是一种硬件结构的装置，可以用于实现图7所述的装置400中的功能模块。例如，本领域技术人员可以想到图7所示的装置400中的处理单元402可以通过该至少一个处理器501调用存储器503中的代码来实现，图7所示的装置400中的接收单元401和发送单元403可以通过该通信接口504来实现。

可选的，处理器501用于执行上述图3所述实施例中步骤201中的第二设备执行的操作，步骤203至205中的第一设备执行的操作；或者，执行上述图6所述实施例中步骤301中的第二设备执行的操作，步骤303至305中的第一设备执行的操作。

可选的，该装置500还可用于实现上述任一实施例中采集分析设备的功能。

可选的，上述处理器501可以是一个通用中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

上述总线系统502可包括一通路，在上述组件之间传送信息。

上述通信接口504，用于与其他设备或通信网络通信。

上述存储器503可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器503用于存储执行本申请方案的应用程序代码，并由处理器501来控制执行。处理器501用于执行存储器503中存储的应用程序代码，从而实现本专利方法中的功能。

在具体实现中，作为一种实施例，处理器501可以包括一个或多个CPU，例如图8中的CPU0和CPU1。

在具体实现中，作为一种实施例，该装置500可以包括多个处理器，例如图8中的处理器501和处理器507。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

参见图9，本申请实施例提供了一种处理报文的系统600，所述系统600包括：

第一设备601和第二设备602，第一设备601是以太网环的边缘设备，第二设备602为以太网环之外的设备；

第二设备602，用于向第一设备601发送第一报文，第一报文包括以太网环的标识信息和第一认证信息；

第一设备601，用于接收第一报文，根据该标识信息和第一认证信息校验第一报文的合法性；在校验出第一报文合法时处理第一报文。

在本申请实施例中，第一设备接收第二设备发送的第一报文，第一报文包括以太网环的标识信息和第一认证信息。第一设备根据该标识信息和第一认证信息校验第一报文的合法性，在校验出第一报文合法时处理第一报文。由于第一报文中包括以太网环的标识信息和第一认证信息，这样第一设备根据该标识信息和第一认证信息校验第一报文的合法性，从而有效地校验出伪造的用于攻击以太网环的报文，在校验出合法的情况下才处理第一报文，提高了以太网环的安全性。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

一种处理报文的方法，其特征在于，所述方法包括：

第一设备接收第二设备发送的第一报文，所述第一报文包括以太网环的标识信息和第一认证信息，所述第一设备是所述以太网环的边缘设备，所述第二设备为所述以太网环之外的设备；

所述第一设备根据所述标识信息和第一认证信息校验所述第一报文的合法性；

所述第一设备在校验出所述第一报文合法时处理所述第一报文。
如权利要求1所述的方法，其特征在于，所述第一设备根据所述标识信息和第一认证信息校验所述第一报文的合法性，包括：

所述第一设备根据所述标识信息获取所述以太网环的第二认证信息；

所述第一设备根据所述第一认证信息和所述第二认证信息校验所述第一报文的合法性。
如权利要求2所述的方法，其特征在于，所述第一设备根据所述以太网环的标识信息获取所述以太网环的第二认证信息，包括：

所述第一设备根据所述标识信息，从标识信息与环配置信息的对应关系中获取所述以太网环的环配置信息；

所述第一设备对所述环配置信息进行加密，得到所述以太网环的第二认证信息。
如权利要求1至3任一权利要求所述的方法，其特征在于，所述第一设备处理所述第一报文，包括：

所述第一设备从所述第一报文中去除所述第一认证信息，得到第二报文；

所述第一设备向所述以太网上的第三设备发送所述第二报文。
如权利要求1至4任一项权利要求所述的方法，其特征在于，所述方法还包括：

所述第一设备获取第三报文，所述第三报文包括所述以太网环的标识信息和所述以太网环的第二认证信息；

所述第一设备向所述以太网上的第四设备发送所述第三报文。
如权利要求5所述的方法，其特征在于，所述第一设备获取第三报文，包括：

所述第一设备从所述以太网环上的第五设备接收第四报文，所述第四报文包括所述以太网环的标识信息；

所述第一设备根据所述标识信息获取所述以太网环的第二认证信息；

所述第一设备在所述第四报文中添加所述第二认证信息，得到所述第三报文。
如权利要求3-6任一项权利要求所述的方法，其特征在于，所述以太网环的环配置信息包括密钥信息、所述以太网环的环标识、所述以太网环对应的虚拟局域网VLAN的网络标识、所述以太网环包括的设备的设备标识、所述以太网环的维护关联边缘节点MEP值和所述以太网环对应的协议版本信息中的至少一个。
一种处理报文的装置，其特征在于，所述装置包括：

接收单元，用于接收第二设备发送的第一报文，所述第一报文包括以太网环的标识信息和第一认证信息，所述装置是所述以太网环的边缘设备，所述第二设备为所述以太网环之外的设备；

处理单元，用于根据所述标识信息和第一认证信息校验所述第一报文的合法性；

所述处理单元，还用于在校验出所述第一报文合法时处理所述第一报文。
如权利要求8所述的装置，其特征在于，所述处理单元，用于：

根据所述标识信息获取所述以太网环的第二认证信息；

根据所述第一认证信息和所述第二认证信息校验所述第一报文的合法性。
如权利要求9所述的装置，其特征在于，所述处理单元，用于：

根据所述标识信息，从标识信息与环配置信息的对应关系中获取所述以太网环的环配置信息；

对所述环配置信息进行加密，得到所述以太网环的第二认证信息。
如权利要求8至10任一权利要求所述的装置，其特征在于，所述装置还包括第一发送单元，

所述处理单元，用于从所述第一报文中去除所述第一认证信息，得到第二报文；

所述第一发送单元，用于向所述以太网上的第三设备发送所述第二报文。
如权利要求8至11任一项权利要求所述的装置，其特征在于，所述装置还包括：第二发送单元，

所述处理单元，还用于获取第三报文，所述第三报文包括所述以太网环的标识信息和所述以太网环的第二认证信息；

所述第二发送单元，用于向所述以太网上的第四设备发送所述第三报文。
如权利要求12所述的装置，其特征在于，

所述接收单元，还用于从所述以太网环上的第五设备接收第四报文，所述第四报文包括所述以太网环的标识信息；

所述处理单元，用于根据所述标识信息获取所述以太网环的第二认证信息；在所述第四报文中添加所述第二认证信息，得到所述第三报文。
如权利要求10-13任一项权利要求所述的装置，其特征在于，所述以太网环的环配置信息包括密钥信息、所述以太网环的环标识、所述以太网环对应的虚拟局域网VLAN的网络标识、所述以太网环包括的设备的设备标识、所述以太网环的维护关联边缘节点MEP值和所述以太网环对应的协议版本信息中的至少一个。
一种处理报文的系统，其特征在于，所述系统包括：第一设备和第二设备，所述第一设备是以太网环的边缘设备，所述第二设备为所述以太网环之外的设备；

所述第二设备，用于向所述第一设备发送第一报文，所述第一报文包括所述以太网环的标识信息和第一认证信息；

所述第一设备，用于接收所述第一报文，根据所述标识信息和第一认证信息校验所述第一报文的合法性；在校验出所述第一报文合法时处理所述第一报文。