收藏
下载资源 加入会员免费下载

一种工作模式切换方法及PE设备.pdf

上传人:62****3 文档编号:4897514 上传时间:2018-11-24 格式:PDF 页数:10 大小:1,013.80KB
返回 下载 相关 举报
摘要
申请专利号:

CN201410692567.X

 申请日:

2014.11.26
公开号:

CN104468540A

 公开日:

2015.03.25
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||著录事项变更IPC(主分类):H04L 29/06变更事项:申请人变更前:杭州华三通信技术有限公司变更后:新华三技术有限公司变更事项:地址变更前:310052 浙江省杭州市滨江区长河路466号变更后:310052 浙江省杭州市滨江区长河路466号|||实质审查的生效IPC(主分类):H04L 29/06申请日:20141126|||公开
IPC分类号:

H04L29/06

 主分类号:

H04L29/06
申请人:

杭州华三通信技术有限公司
发明人:

詹恬峰; 焦雪松
地址:

310052浙江省杭州市滨江区长河路466号
优先权:

专利代理机构:

北京鑫媛睿博知识产权代理有限公司11297

 代理人:

龚家骅
PDF下载: PDF下载
内容摘要

本发明公开了一种工作模式切换方法及PE设备。该方法包括:PE设备在接收到来自CB设备的切换探测报文时,将自身的加密参数携带在切换探测响应报文中发送给CB设备;若在预设时间内接收到来自CB设备的切换探测确认报文,则根据自身的加密参数、或者自身的加密参数及切换探测报文中携带的CB设备的加密参数,对切换探测确认报文中携带的第一验证数据进行鉴权;在鉴权通过后,将自身的工作模式由独立运行模式切换为端口扩展运行模式。本发明使运行在独立运行模式的PE设备避免了因受网络中仿冒切换探测报文的攻击导致的工作模式切换,提高了工作模式切换的安全性。

权利要求书

权利要求书1.  一种工作模式切换方法,其特征在于,所述方法应用于包括有端口扩展PE设备和控制桥CB设备的系统中,所述方法包括:所述PE设备在接收到来自所述CB设备的切换探测报文时,将自身的加密参数携带在切换探测响应报文中发送给所述CB设备;若在预设时间内接收到来自所述CB设备的切换探测确认报文,则根据自身的加密参数、或者自身的加密参数及所述切换探测报文中携带的所述CB设备的加密参数,对所述切换探测确认报文中携带的第一验证数据进行鉴权,所述第一验证数据为所述CB设备根据所述切换探测响应报文中携带的所述PE设备的加密参数、或者所述PE设备的加密参数及自身的加密参数生成的;在鉴权通过后,将自身的工作模式由独立运行模式切换为端口扩展运行模式。2.  如权利要求1所述的方法,其特征在于,所述PE设备根据自身的加密参数、或者自身的加密参数及所述切换探测报文中携带的所述CB设备的加密参数,对所述切换探测确认报文中携带的第一验证数据进行鉴权,具体包括:若所述PE设备的加密参数为所述PE设备在接收到所述切换探测报文时产生的随机数、所述PE设备在接收到所述切换探测报文时产生的时间戳、及所述PE设备接收到所述切换探测报文的端口的地址信息中的至少两个加密参数,则所述PE设备根据自身的加密参数、或者自身的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地址信息,对所述切换探测确认报文中携带的第一验证数据进行鉴权;若所述PE设备的加密参数为所述随机数和所述时间戳其中之一,则所述PE设备根据自身的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地址信息,对所述切换探测确认报文中携带的第一验证数据进行鉴权。3.  如权利要求2所述的方法,其特征在于,所述PE设备通过下述方式对所述第二验证数据进行鉴权:所述PE设备将根据自身的加密参数、或者自身的加密参数及所述CB设备的加密参数生成的第二验证数据,与所述第一验证数据比对;在比对结果符合预设条件时,确定所述第一验证数据通过鉴权。4.  如权利要求2所述的方法,其特征在于,所述PE设备通过下述方式对所述第二验证数据进行鉴权:所述PE设备利用自身的加密参数、或者自身的加密参数及所述CB设备的加密参数中的部分参数,对所述第一验证数据进行解密;利用自身的加密参数、或者自身的加密参数及所述CB设备的加密参数中除部分参数之外的参数,对解密后的数据进行鉴权。5.  如权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:所述PE设备在所述预设时间内未接收到来自所述CB设备的切换探测确认报文,或者在鉴权未通过时,保持当前的独立运行模式。6.  一种端口扩展PE设备,其特征在于,所述PE设备应用于包括有自身和控制桥CB设备的系统中,包括:响应模块,用于在接收到来自所述CB设备的切换探测报文时,将所述PE设备的加密参数携带在切换探测响应报文中发送给所述CB设备;鉴权模块,用于在预设时间内接收到来自所述CB设备的切换探测确认报文时,则根据所述PE设备的加密参数、或者所述PE设备的加密参数及所述切换探测报文中携带的所述CB设备的加密参数,对所述切换探测确认报文中携带的第一验证数据进行鉴权,所述第一验证数据为所述CB设备根据所述切换探测响应报文中携带的所述PE设备的加密参数、或者所述PE设备的加密参数及自身的加密参数生成的;切换模块,用于在所述鉴权模块确认鉴权通过后,将所述PE设备的工作模式由独立运行模式切换为端口扩展运行模式。7.  如权利要求6所述的设备,其特征在于,所述鉴权模块,具体用于在所述PE设备的加密参数为所述PE设备在接收到所述切换探测报文时产生的随机数、所述PE设备在接收到所述切换探测报文时产生的时间戳、及所述PE设备接收到所述切换探测报文的端口的地址信息中的至少两个加密参数时,根据所述PE设备的加密参数、或者所述PE设备的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地址信息,对所述切换探测确认报文中携带的第一验证数据进行鉴权;或者,在所述PE设备的加密参数为所述随机数和所述时间戳其中之一时,根据所述PE设备的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地址信息,对所述切换探测确认报文中携带的第一验证数据进行鉴权。8.  如权利要求7所述的设备,其特征在于,所述鉴权模块,具体用于将根据所述PE设备的加密参数、或者所述PE设备的加密参数及所述CB设备的加密参数生成的第二验证数据,与所述第一验证数据比对,并在比对结果符合预设条件时,确定所述第一验证数据通过鉴权。9.  如权利要求7所述的设备,其特征在于,所述鉴权模块,具体用于利用所述PE设备的加密参数、或者所述PE设备的加密参数及所述CB设备的加密参数中的部分参数,对所述第一验证数据进行解密,并利用所述PE设备的加密参数、或者所述PE设备的加密参数及所述CB设备的加密参数中除部分参数之外的参数,对解密后的数据进行鉴权。10.  如权利要求6-9任一项所述的设备,其特征在于,所述切换模块,还用于在所述预设时间内未接收到来自所述CB设备的切换探测确认报文,或者在所述鉴权模块确认鉴权未通过时,保持当前的独立运行模式。

说明书

说明书一种工作模式切换方法及PE设备
技术领域
本发明涉及通信技术领域,特别涉及一种工作模式切换方法。本发明同时还涉及一种PE(Port extender Device,端口扩展)设备。
背景技术
IRF(Intelligent Resilient Framework,智能弹性架构)是一种新型的软件虚拟化技术。其中,纵向(Enhanced)IRF的核心思想是将多台PE设备连接到父设备(即控制桥(Control Bridge)设备)上,进行必要的配置后,将每台PE设备虚拟化成父设备的一块远程接口板,由父设备统一管理。使用这种虚拟化技术,可以以较低的成本提高父设备的端口密度,简化网络拓扑。
在实际应用中,PE设备可以支持两种工作模式,一种工作模式是独立运行模式,在该工作模式下,PE设备作为一台交换机运行,不受CB设备的管理;另一种工作模式是端口扩展运行模式,该工作模式运行在纵向IRF系统中,在该工作模式下,PE设备被虚拟为CB设备的远程接口板,作为CB设备的一块业务板运行。
目前,为了方便用户使用,通常采用下述方式实现上述两种工作模式的切换:初始时,PE设备缺省处于独立运行模式,并且支持即插即用;后续一旦收到CB设备发来的切换探测报文,就对其进行检查,在检查结果满足工作模式切换要求时,立刻将自身的工作模式由独立运行模块切换为端口扩展运行模式,即,自动重启并进入端口扩展运行模式。在这里,该切换探测报文是CB设备在完成纵向堆叠配置后周期性通过纵向堆叠端口发过来的。
但是,上述这种工作模式的切换方式很容易被网络攻击者攻击,例如网络攻击者仿冒切换探测报文对PE设备进行攻击,使得PE设备在不应该切换工 作模式时自动切换到端口扩展运行模式,导致IRF系统业务存在很大的安全隐患,可见,这种工作模式的切换方式的安全性较差。
发明内容
本发明提供了一种工作模式切换方法及PE设备,用以解决现有的工作模式切换方式的安全性较差的问题。
具体地,本发明的工作模式切换方法应用于包括有PE设备和CB设备的系统中,所述方法包括:
所述PE设备在接收到来自所述CB设备的切换探测报文时,将自身的加密参数携带在切换探测响应报文中发送给所述CB设备;
若在预设时间内接收到来自所述CB设备的切换探测确认报文,则根据自身的加密参数、或者自身的加密参数及所述切换探测报文中携带的所述CB设备的加密参数,对所述切换探测确认报文中携带的第一验证数据进行鉴权,所述第一验证数据为所述CB设备根据所述切换探测响应报文中携带的所述PE设备的加密参数、或者所述PE设备的加密参数及自身的加密参数生成的;
在鉴权通过后,将自身的工作模式由独立运行模式切换为端口扩展运行模式。
相应地,本发明还提出了一种PE设备,该PE设备应用于包括有自身和CB设备的系统中,包括:
响应模块,用于在接收到来自所述CB设备的切换探测报文时,将所述PE设备的加密参数携带在切换探测响应报文中发送给所述CB设备;
鉴权模块,用于在预设时间内接收到来自所述CB设备的切换探测确认报文时,则根据所述PE设备的加密参数、或者所述PE设备的加密参数及所述切换探测报文中携带的所述CB设备的加密参数,对所述切换探测确认报文中携带的第一验证数据进行鉴权,所述第一验证数据为所述CB设备根据所述切 换探测响应报文中携带的所述PE设备的加密参数、或者所述PE设备的加密参数及自身的加密参数生成的;
切换模块,用于在所述鉴权模块确认鉴权通过后,将所述PE设备的工作模式由独立运行模式切换为端口扩展运行模式。
由此可见,通过应用本发明的技术方案,PE设备在接收到来自CB设备的切换探测报文时,将自身的加密参数携带在切换探测响应报文中发送给所述CB设备,结合自身的加密参数、或者自身的加密参数及CB设备的加密参数,对在预设时间内接收到的来自CB设备的切换探测确认报文中携带的第一验证数据进行鉴权,并在鉴权通过后才将自身的工作模式由独立运行模式切换为端口扩展运行模式。从而使运行在独立运行模式的PE设备避免了因受网络中仿冒切换探测报文的攻击而导致的工作模式切换,在保证PE设备即插即用简便性及易用性的基础上提高了PE设备工作模式切换的安全性。
附图说明
图1为本发明提出的一种工作模式切换方法的流程示意图;
图2为本发明提出的一种PE设备的结构示意图。
具体实施方式
为解决背景技术中所提出的问题,本发明提出了一种工作模式切换方法,通过指示PE设备对收到的切换探测报文进行安全鉴权,提高了PE设备工作模式切换的安全性。
如图1所示,为本发明提出的一种模式切换方法的流程示意图,该方法应用于包括PE设备和CB设备的IRF系统中,该方法包括以下步骤:
S101,PE设备在接收到来自CB设备的切换探测报文时,将自身的加密参数携带在切换探测响应报文中发送给CB设备。
在此步骤中,PE设备收到切换探测报文之后,并不再像现有技术那样,直接对切换探测报文进行检查,而是先响应CB设备,即,向CB设备发一个切换探测响应报文,此响应报文中携带着自身设置的一些加密参数,以便后续CB设备至少依据这些加密参数再回应一个切换探测确认报文,自身对此切换探测确认报文进行相关处理后,才决定是否需要进行工作模式的切换,以提高切换方式的安全性。
S102,若PE设备在预设时间内接收到来自CB设备的切换探测确认报文,则PE设备根据自身的加密参数、或者自身的加密参数及切换探测报文中携带的CB设备的加密参数,对切换探测确认报文中携带的第一验证数据进行鉴权。
在这里,上述第一验证数据为CB设备根据切换探测响应报文中携带的PE设备的加密参数、或者PE设备的加密参数及自身的加密参数生成的。
具体地,在上述步骤S102中,对于PE设备来说,它将切换探测响应报文发给CB设备之后,即启动自身的定时器,如果在定时的预设时间(可根据网络的实际情况取值)内未收到CB设备发过来的切换探测确认报文,则视为此次工作模式的切换探测为非法探测,此时,PE设备仍保持当前的独立运行模式,并将切换探测报文做丢弃处理;如果在定时的预设时间内收到CB设备发过来的切换探测确认报文,则对其进行鉴权处理(具体处理过程后续进行说明)后,再决定是否需要进行工作模式的切换。
进一步地,在上述步骤S102中,对于PE设备来说,在收到切换探测确认报文后,可以采用以下两种方案实现对切换探测确认报文中携带的第一验证数据的鉴权操作:
第一种方案,仅依据PE设备的加密参数,对切换探测确认报文中携带的第一验证数据进行鉴权。
在这种方案下,基于切换方式安全性能的考虑,PE设备的加密参数可以 为PE设备在接收到切换探测报文时产生的随机数、PE设备在接收到切换探测报文时产生的时间戳、及PE设备接收到切换探测报文的端口的地址信息(例如地址信息为端口的MAC地址)中的至少两个加密参数。例如,PE设备可以将随机数及时间戳、随机数及MAC地址等携带在切换探测响应报文中发送给CB设备。
第二种方案,同时依据PE设备的加密参数,和CB设备的加密参数,对切换探测确认报文中携带的第一验证数据进行鉴权。
在这种方案下,由于PE设备和CB设备双方均提供了加密参数,那么,PE设备的加密参数可以为一个或多个,CB设备的加密参数也可以为一个或多个。
下面以CB设备的加密参数为一个为例,对设备双方的具体加密参数进行说明:
在第二种方案下,CB设备的加密参数可以为切换探测报文的来源端口(即CB设备发送切换探测报文的端口)的地址信息,例如来源端口的MAC地址,此参数是携带在切换探测报文中的,后续由PE设备从切换探测报文中提取得到。
在这种情况下,PE设备的加密参数可以为多个,例如,可以为上述第一种方案中随机数、时间戳、及PE设备接收到切换探测报文的端口的地址信息中的至少两个加密参数;PE设备的加密参数也可以为一个,例如,可以为上述第一种方案中随机数、时间戳、及PE设备接收到切换探测报文的端口的地址信息中的一个加密参数。
在这里,考虑到PE设备的加密参数为PE设备接收到切换探测报文的端口的地址信息时,是一个固定参数,此时,CB设备的加密参数也是一个固定参数,后续依据这两个参数对第一验证数据进行鉴权,很容易被网络攻击者仿冒,基于此,在本发明的一种优选实施例中,PE设备的加密参数为上述第 一种方案中随机数和时间戳其中之一。
需要说明的是,本发明并不仅限于上述两种方案中提及的参数作为加密参数,对第一验证数据进行鉴权,还可采用其他参数作为加密参数,在此不再一一列举。
更进一步地,在上述步骤S102中,对于PE设备来说,不管采用上述哪一种方案对第一验证数据进行鉴权,具体的鉴权方式可以有以下两种:
第一种鉴权方式,PE设备将根据自身的加密参数、或者自身的加密参数及CB设备的加密参数生成的第二验证数据,与第一验证数据比对;在比对结果符合预设条件时,确定第一验证数据通过鉴权。
在这种鉴权方式下,PE设备可以在向CB设备发送切换探测响应报文后生成上述第二验证数据,也可以在后续需要对第一验证数据进行鉴权时再生成上述第二验证数据。例如,在仅由PE设备提供加密参数且加密参数为上述第一种方案中的随机数和时间戳时,PE设备可以在向CB设备发送切换探测响应报文后,对相应随机数和时间戳进行加密处理生成第二验证数据,相应地,后续CB设备在收到切换探测响应报文后,也会对相应随机数和时间戳进行加密处理生成第一验证数据。
需要说明的是,在本发明实施例中,事先在PE设备和CB设备上内置了相同的加密规则,因此,PE设备生成第二验证数据和CB设备生成第一验证数据的具体生成过程相同,这就避免了网络攻击者的攻击,因为网络攻击者虽然可以仿冒切换探测报文,但它无法知晓具体的加密规则,即使可以响应PE设备,携带的第一验证数据也无法通过鉴权,这就提高了切换工作模式的安全性。
另外,对于第一验证数据和第二验证数据的具体生成过程,可以采用现有多种加密算法生成,在此不再详述。
下面结合一具体应用场景对第一种鉴权方式进行示例性说明:
假设PE设备收到切换探测报文R后,向CB设备发送的切换探测响应报文P中携带有PE设备收到切换探测报文R的端口的MAC地址(称为SMAC1)、PE设备在接收到切换探测报文R时产生的随机数A以及PE设备在接收到切换探测报文R时产生的时间戳B,之后,启动定时器,在定时的预设时间内等待CB设备的回应。
与此同时,PE设备从收到的切换探测报文R中提取出CB设备发送该切换探测报文R的端口的MAC地址(称为SMAC2),并根据内置的加密规则,应用某种加密算法将随机数A及SMAC2进行加密得到字符串A’(A’=S1(A,SMAC2),S1为某种加密算法),应用另一种加密算法将时间戳B及SMAC1进行加密得到字符串B’(B’=S2(B,SMAC1),S2为另一种加密算法,例如HASH算法)。最后对A’及B’进行加密得到字符串X(X=D(A’,B’),D为某种加密算法),将字符串X作为第二验证数据。
相应地,CB设备收到切换探测响应报文P后,CB设备会从收到的报文P中提取出SMAC1、随机数A以及时间戳B,根据内置的加密规则,并应用S1对随机数A及SMAC2进行加密得到字符串A’(A’=S1(A,SMAC2),SMAC2为CB设备发送切换探测报文R的端口的MAC地址),应用S2对时间戳B及SMAC1进行加密得到字符串B’(B’=S2(B,SMAC1))。随后,CB设备通过某加密算法对字符串A’及字符串B’进行加密得到字符串Y(Y=E(A’,B’),E为某种加密算法),将此字符串作为第一验证数据携带在切换探测确认报文Q中进行回应。
之后,PE设备在收到切换探测确认报文Q后,会将自身生成的X和切换探测确认报文Q中的Y进行比对,若比对结果符合预设条件(此预设条件是根据相应的加密算法事先设置的),则确定第一验证数据通过鉴权,进行后续的工作模式切换动作;若比对结果不符合预设条件,也视为此次工作模式的切换探测为非法探测,后续PE设备仍保持当前的独立运行模式,并将切换探 测报文做丢弃处理。在这里,此预设条件可为第一验证数据和第二验证数据完全相同,也可是二者符合一定的运算规则。
第二种鉴权方式,PE设备利用自身的加密参数、或者自身的加密参数及CB设备的加密参数中的部分参数,对第一验证数据进行解密;利用自身的加密参数、或者自身的加密参数及CB设备的加密参数中除部分参数之外的参数,对解密后的数据进行鉴权。
在这种鉴权方式下,如果PE设备是依据两个加密参数,对第一验证数据进行鉴权,那么,PE设备可以先从这两个加密参数中选择一个,对第一验证数据进行解密,之后,再将这两个加密参数中除选择的参数之外的参数,与解密后的加密参数进行比对,例如比对二者是否一致,并根据比对结果决定第一验证数据是否通过鉴权。
如果PE设备是依据两个以上的加密参数,对第一验证数据进行鉴权,那么,PE设备可以根据两个以上的加密参数中部分参数生成的验证数据,对第一验证数据进行解密,之后,再将两个以上的加密参数中除部分参数之外的参数生成的验证数据,与解密后的数据进行比对,并根据比对结果决定第一验证数据是否通过鉴权。
当然,在这种情况下,PE设备也可以根据两个以上的加密参数中的某个参数,对第一验证数据进行解密,之后,再将两个以上的加密参数中除某个参数之外的参数生成的验证数据,与解密后的数据进行比对,并根据比对结果决定第一验证数据是否通过鉴权。
下面结合第一种鉴权方式下的应用场景对第二种鉴权方式进行示例性说明:
与第一种鉴权方式下的应用场景相同的是:CB设备生成Y的过程。与第一种鉴权方式下的应用场景不同的是:PE设备收到切换探测报文后,没有生成X的过程。
在这种场景下,PE设备在收到切换探测确认报文Q后,会应用某种解密算法对切换探测确认报文Q中携带的Y进行解密得出A”(A”=D(Y,B’),D为某种解密算法),之后,PE设备再对A”和通过算法S1将随机数A及SMAC2进行加密得到的字符串A’(A’=S1(A,SMAC2),S1为某种算法)进行比对,若比对结果符合预设条件,则确定第一验证数据通过鉴权,进行后续的工作模式切换动作;若比对结果不符合预设条件,也视为此次工作模式的切换探测为非法探测,后续PE设备仍保持当前的独立运行模式,并将切换探测报文做丢弃处理。
S103,在鉴权通过后,将自身的工作模式由独立运行模式切换为端口扩展运行模式。
通过以上流程可以看出,本发明的PE设备在接收到来自CB设备的切换探测报文时,将自身的加密参数携带在切换探测响应报文中发送给CB设备,结合自身的加密参数、或者自身的加密参数及CB设备的加密参数,对在预设时间内接收到的来自CB设备的切换探测确认报文中携带的第一验证数据进行鉴权,并在鉴权通过后才将自身的工作模式由独立运行模式切换为端口扩展运行模式。从而使运行在独立运行模式的PE设备避免了因受网络中仿冒切换探测报文的攻击而导致的工作模式切换,在保证PE设备即插即用简便性及易用性的基础上提高了PE设备工作模式切换的安全性。
为达到以上目的,本发明还提出了一种PE设备,如图2所示,PE设备应用于包括有自身和CB设备的系统中,包括:
响应模块210,用于在接收到来自CB设备的切换探测报文时,将PE设备的加密参数携带在切换探测响应报文中发送给CB设备;
鉴权模块220,用于在预设时间内接收到来自CB设备的切换探测确认报文时,则根据PE设备的加密参数、或者PE设备的加密参数及切换探测报文 中携带的CB设备的加密参数,对切换探测确认报文中携带的第一验证数据进行鉴权,第一验证数据为CB设备根据切换探测响应报文中携带的PE设备的加密参数、或者PE设备的加密参数及自身的加密参数生成的;
切换模块230,用于在鉴权模块220确认鉴权通过后,将PE设备的工作模式由独立运行模式切换为端口扩展运行模式。
在具体的应用场景中,上述鉴权模块220,具体用于在PE设备的加密参数为PE设备在接收到切换探测报文时产生的随机数、PE设备在接收到切换探测报文时产生的时间戳、及PE设备接收到切换探测报文的端口的地址信息中的至少两个加密参数时,根据PE设备的加密参数、或者PE设备的加密参数及切换探测报文中携带的切换探测报文的来源端口的地址信息,对切换探测确认报文中携带的第一验证数据进行鉴权;或者,在PE设备的加密参数为随机数和时间戳其中之一时,根据PE设备的加密参数及切换探测报文中携带的切换探测报文的来源端口的地址信息,对切换探测确认报文中携带的第一验证数据进行鉴权。
在具体的应用场景中,上述鉴权模块220,具体用于将根据PE设备的加密参数、或者PE设备的加密参数及CB设备的加密参数生成的第二验证数据,与第一验证数据比对,并在比对结果符合预设条件时,确定第一验证数据通过鉴权。
在具体的应用场景中,上述鉴权模块220,具体用于利用PE设备的加密参数、或者PE设备的加密参数及CB设备的加密参数中的部分参数,对第一验证数据进行解密,并利用PE设备的加密参数、或者PE设备的加密参数及CB设备的加密参数中除部分参数之外的参数,对解密后的数据进行鉴权。
在具体的应用场景中,上述切换模块230,还用于在预设时间内未接收到来自CB设备的切换探测确认报文,或者在鉴权模块220确认鉴权未通过时,保持当前的独立运行模式。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

一种工作模式切换方法及PE设备.pdf_第1页
第1页 / 共10页
一种工作模式切换方法及PE设备.pdf_第2页
第2页 / 共10页
一种工作模式切换方法及PE设备.pdf_第3页
第3页 / 共10页
点击查看更多>>
资源描述

《一种工作模式切换方法及PE设备.pdf》由会员分享,可在线阅读,更多相关《一种工作模式切换方法及PE设备.pdf(10页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 (43)申请公布日 (21)申请号 201410692567.X (22)申请日 2014.11.26 H04L 29/06(2006.01) (71)申请人 杭州华三通信技术有限公司 地址 310052 浙江省杭州市滨江区长河路 466 号 (72)发明人 詹恬峰 焦雪松 (74)专利代理机构 北京鑫媛睿博知识产权代理 有限公司 11297 代理人 龚家骅 (54) 发明名称 一种工作模式切换方法及 PE 设备 (57) 摘要 本发明公开了一种工作模式切换方法及 PE 设备。该方法包括 : PE 设备在接收到来自 CB 设备 的切换探测报文时, 将自身的加密参数携带在切 。

2、换探测响应报文中发送给 CB 设备 ; 若在预设时间 内接收到来自 CB 设备的切换探测确认报文, 则根 据自身的加密参数、 或者自身的加密参数及切换 探测报文中携带的 CB 设备的加密参数, 对切换探 测确认报文中携带的第一验证数据进行鉴权 ; 在 鉴权通过后, 将自身的工作模式由独立运行模式 切换为端口扩展运行模式。本发明使运行在独立 运行模式的 PE 设备避免了因受网络中仿冒切换 探测报文的攻击导致的工作模式切换, 提高了工 作模式切换的安全性。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书6页 附图1页 (10)申请公布号 。

3、CN 104468540 A (43)申请公布日 2015.03.25 CN 104468540 A 1/2 页 2 1. 一种工作模式切换方法, 其特征在于, 所述方法应用于包括有端口扩展 PE 设备和控 制桥 CB 设备的系统中, 所述方法包括 : 所述 PE 设备在接收到来自所述 CB 设备的切换探测报文时, 将自身的加密参数携带在 切换探测响应报文中发送给所述 CB 设备 ; 若在预设时间内接收到来自所述 CB 设备的切换探测确认报文, 则根据自身的加密参 数、 或者自身的加密参数及所述切换探测报文中携带的所述 CB 设备的加密参数, 对所述切 换探测确认报文中携带的第一验证数据进行鉴。

4、权, 所述第一验证数据为所述 CB 设备根据 所述切换探测响应报文中携带的所述 PE 设备的加密参数、 或者所述 PE 设备的加密参数及 自身的加密参数生成的 ; 在鉴权通过后, 将自身的工作模式由独立运行模式切换为端口扩展运行模式。 2.如权利要求1所述的方法, 其特征在于, 所述PE设备根据自身的加密参数、 或者自身 的加密参数及所述切换探测报文中携带的所述 CB 设备的加密参数, 对所述切换探测确认 报文中携带的第一验证数据进行鉴权, 具体包括 : 若所述 PE 设备的加密参数为所述 PE 设备在接收到所述切换探测报文时产生的随机 数、 所述PE设备在接收到所述切换探测报文时产生的时间戳。

5、、 及所述PE设备接收到所述切 换探测报文的端口的地址信息中的至少两个加密参数, 则所述 PE 设备根据自身的加密参 数、 或者自身的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地 址信息, 对所述切换探测确认报文中携带的第一验证数据进行鉴权 ; 若所述 PE 设备的加密参数为所述随机数和所述时间戳其中之一, 则所述 PE 设备根据 自身的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地址信息, 对所述切换探测确认报文中携带的第一验证数据进行鉴权。 3. 如权利要求 2 所述的方法, 其特征在于, 所述 PE 设备通过下述方式对所述第二验证 数据进行鉴权 : 。

6、所述 PE 设备将根据自身的加密参数、 或者自身的加密参数及所述 CB 设备的加密参数 生成的第二验证数据, 与所述第一验证数据比对 ; 在比对结果符合预设条件时, 确定所述第一验证数据通过鉴权。 4. 如权利要求 2 所述的方法, 其特征在于, 所述 PE 设备通过下述方式对所述第二验证 数据进行鉴权 : 所述 PE 设备利用自身的加密参数、 或者自身的加密参数及所述 CB 设备的加密参数中 的部分参数, 对所述第一验证数据进行解密 ; 利用自身的加密参数、 或者自身的加密参数及所述 CB 设备的加密参数中除部分参数 之外的参数, 对解密后的数据进行鉴权。 5. 如权利要求 1-4 任一项所。

7、述的方法, 其特征在于, 所述方法还包括 : 所述 PE 设备在所述预设时间内未接收到来自所述 CB 设备的切换探测确认报文, 或者 在鉴权未通过时, 保持当前的独立运行模式。 6. 一种端口扩展 PE 设备, 其特征在于, 所述 PE 设备应用于包括有自身和控制桥 CB 设 备的系统中, 包括 : 响应模块, 用于在接收到来自所述CB设备的切换探测报文时, 将所述PE设备的加密参 数携带在切换探测响应报文中发送给所述 CB 设备 ; 权 利 要 求 书 CN 104468540 A 2 2/2 页 3 鉴权模块, 用于在预设时间内接收到来自所述 CB 设备的切换探测确认报文时, 则根据 所述。

8、 PE 设备的加密参数、 或者所述 PE 设备的加密参数及所述切换探测报文中携带的所述 CB 设备的加密参数, 对所述切换探测确认报文中携带的第一验证数据进行鉴权, 所述第一 验证数据为所述 CB 设备根据所述切换探测响应报文中携带的所述 PE 设备的加密参数、 或 者所述 PE 设备的加密参数及自身的加密参数生成的 ; 切换模块, 用于在所述鉴权模块确认鉴权通过后, 将所述 PE 设备的工作模式由独立运 行模式切换为端口扩展运行模式。 7. 如权利要求 6 所述的设备, 其特征在于, 所述鉴权模块, 具体用于在所述 PE 设备的加密参数为所述 PE 设备在接收到所述切换 探测报文时产生的随机。

9、数、 所述 PE 设备在接收到所述切换探测报文时产生的时间戳、 及所 述 PE 设备接收到所述切换探测报文的端口的地址信息中的至少两个加密参数时, 根据所 述 PE 设备的加密参数、 或者所述 PE 设备的加密参数及所述切换探测报文中携带的所述切 换探测报文的来源端口的地址信息, 对所述切换探测确认报文中携带的第一验证数据进行 鉴权 ; 或者, 在所述 PE 设备的加密参数为所述随机数和所述时间戳其中之一时, 根据所述 PE 设备 的加密参数及所述切换探测报文中携带的所述切换探测报文的来源端口的地址信息, 对所 述切换探测确认报文中携带的第一验证数据进行鉴权。 8. 如权利要求 7 所述的设备。

10、, 其特征在于, 所述鉴权模块, 具体用于将根据所述PE设备的加密参数、 或者所述PE设备的加密参数 及所述 CB 设备的加密参数生成的第二验证数据, 与所述第一验证数据比对, 并在比对结果 符合预设条件时, 确定所述第一验证数据通过鉴权。 9.如权利要求7所述的设备, 其特征在于, 所述鉴权模块, 具体用于利用所述PE设备的 加密参数、 或者所述PE设备的加密参数及所述CB设备的加密参数中的部分参数, 对所述第 一验证数据进行解密, 并利用所述PE设备的加密参数、 或者所述PE设备的加密参数及所述 CB 设备的加密参数中除部分参数之外的参数, 对解密后的数据进行鉴权。 10. 如权利要求 6。

11、-9 任一项所述的设备, 其特征在于, 所述切换模块, 还用于在所述预设时间内未接收到来自所述 CB 设备的切换探测确认 报文, 或者在所述鉴权模块确认鉴权未通过时, 保持当前的独立运行模式。 权 利 要 求 书 CN 104468540 A 3 1/6 页 4 一种工作模式切换方法及 PE 设备 技术领域 0001 本发明涉及通信技术领域, 特别涉及一种工作模式切换方法。本发明同时还涉及 一种 PE(Port extender Device, 端口扩展 ) 设备。 背景技术 0002 IRF(Intelligent Resilient Framework, 智能弹性架构)是一种新型的软件虚拟。

12、 化技术。其中, 纵向 (Enhanced)IRF 的核心思想是将多台 PE 设备连接到父设备 ( 即控制桥 (Control Bridge) 设备 ) 上, 进行必要的配置后, 将每台 PE 设备虚拟化成父设备的一块远 程接口板, 由父设备统一管理。 使用这种虚拟化技术, 可以以较低的成本提高父设备的端口 密度, 简化网络拓扑。 0003 在实际应用中, PE 设备可以支持两种工作模式, 一种工作模式是独立运行模式, 在 该工作模式下, PE 设备作为一台交换机运行, 不受 CB 设备的管理 ; 另一种工作模式是端口 扩展运行模式, 该工作模式运行在纵向IRF系统中, 在该工作模式下, PE。

13、设备被虚拟为CB设 备的远程接口板, 作为 CB 设备的一块业务板运行。 0004 目前, 为了方便用户使用, 通常采用下述方式实现上述两种工作模式的切换 : 初始 时, PE 设备缺省处于独立运行模式, 并且支持即插即用 ; 后续一旦收到 CB 设备发来的切换 探测报文, 就对其进行检查, 在检查结果满足工作模式切换要求时, 立刻将自身的工作模式 由独立运行模块切换为端口扩展运行模式, 即, 自动重启并进入端口扩展运行模式。在这 里, 该切换探测报文是 CB 设备在完成纵向堆叠配置后周期性通过纵向堆叠端口发过来的。 0005 但是, 上述这种工作模式的切换方式很容易被网络攻击者攻击, 例如网。

14、络攻击者 仿冒切换探测报文对 PE 设备进行攻击, 使得 PE 设备在不应该切换工作模式时自动切换到 端口扩展运行模式, 导致 IRF 系统业务存在很大的安全隐患, 可见, 这种工作模式的切换方 式的安全性较差。 发明内容 0006 本发明提供了一种工作模式切换方法及 PE 设备, 用以解决现有的工作模式切换 方式的安全性较差的问题。 0007 具体地, 本发明的工作模式切换方法应用于包括有PE设备和CB设备的系统中, 所 述方法包括 : 0008 所述 PE 设备在接收到来自所述 CB 设备的切换探测报文时, 将自身的加密参数携 带在切换探测响应报文中发送给所述 CB 设备 ; 0009 若。

15、在预设时间内接收到来自所述 CB 设备的切换探测确认报文, 则根据自身的加 密参数、 或者自身的加密参数及所述切换探测报文中携带的所述 CB 设备的加密参数, 对所 述切换探测确认报文中携带的第一验证数据进行鉴权, 所述第一验证数据为所述 CB 设备 根据所述切换探测响应报文中携带的所述 PE 设备的加密参数、 或者所述 PE 设备的加密参 数及自身的加密参数生成的 ; 说 明 书 CN 104468540 A 4 2/6 页 5 0010 在鉴权通过后, 将自身的工作模式由独立运行模式切换为端口扩展运行模式。 0011 相应地, 本发明还提出了一种 PE 设备, 该 PE 设备应用于包括有自。

16、身和 CB 设备的 系统中, 包括 : 0012 响应模块, 用于在接收到来自所述CB设备的切换探测报文时, 将所述PE设备的加 密参数携带在切换探测响应报文中发送给所述 CB 设备 ; 0013 鉴权模块, 用于在预设时间内接收到来自所述 CB 设备的切换探测确认报文时, 则 根据所述 PE 设备的加密参数、 或者所述 PE 设备的加密参数及所述切换探测报文中携带的 所述 CB 设备的加密参数, 对所述切换探测确认报文中携带的第一验证数据进行鉴权, 所述 第一验证数据为所述 CB 设备根据所述切换探测响应报文中携带的所述 PE 设备的加密参 数、 或者所述 PE 设备的加密参数及自身的加密参。

17、数生成的 ; 0014 切换模块, 用于在所述鉴权模块确认鉴权通过后, 将所述 PE 设备的工作模式由独 立运行模式切换为端口扩展运行模式。 0015 由此可见, 通过应用本发明的技术方案, PE 设备在接收到来自 CB 设备的切换探测 报文时, 将自身的加密参数携带在切换探测响应报文中发送给所述 CB 设备, 结合自身的加 密参数、 或者自身的加密参数及CB设备的加密参数, 对在预设时间内接收到的来自CB设备 的切换探测确认报文中携带的第一验证数据进行鉴权, 并在鉴权通过后才将自身的工作模 式由独立运行模式切换为端口扩展运行模式。从而使运行在独立运行模式的 PE 设备避免 了因受网络中仿冒切。

18、换探测报文的攻击而导致的工作模式切换, 在保证 PE 设备即插即用 简便性及易用性的基础上提高了 PE 设备工作模式切换的安全性。 附图说明 0016 图 1 为本发明提出的一种工作模式切换方法的流程示意图 ; 0017 图 2 为本发明提出的一种 PE 设备的结构示意图。 具体实施方式 0018 为解决背景技术中所提出的问题, 本发明提出了一种工作模式切换方法, 通过指 示 PE 设备对收到的切换探测报文进行安全鉴权, 提高了 PE 设备工作模式切换的安全性。 0019 如图 1 所示, 为本发明提出的一种模式切换方法的流程示意图, 该方法应用于包 括 PE 设备和 CB 设备的 IRF 系。

19、统中, 该方法包括以下步骤 : 0020 S101, PE 设备在接收到来自 CB 设备的切换探测报文时, 将自身的加密参数携带在 切换探测响应报文中发送给 CB 设备。 0021 在此步骤中, PE 设备收到切换探测报文之后, 并不再像现有技术那样, 直接对切换 探测报文进行检查, 而是先响应CB设备, 即, 向CB设备发一个切换探测响应报文, 此响应报 文中携带着自身设置的一些加密参数, 以便后续 CB 设备至少依据这些加密参数再回应一 个切换探测确认报文, 自身对此切换探测确认报文进行相关处理后, 才决定是否需要进行 工作模式的切换, 以提高切换方式的安全性。 0022 S102, 若 。

20、PE 设备在预设时间内接收到来自 CB 设备的切换探测确认报文, 则 PE 设 备根据自身的加密参数、 或者自身的加密参数及切换探测报文中携带的 CB 设备的加密参 数, 对切换探测确认报文中携带的第一验证数据进行鉴权。 说 明 书 CN 104468540 A 5 3/6 页 6 0023 在这里, 上述第一验证数据为 CB 设备根据切换探测响应报文中携带的 PE 设备的 加密参数、 或者 PE 设备的加密参数及自身的加密参数生成的。 0024 具体地, 在上述步骤 S102 中, 对于 PE 设备来说, 它将切换探测响应报文发给 CB 设 备之后, 即启动自身的定时器, 如果在定时的预设时。

21、间(可根据网络的实际情况取值)内未 收到 CB 设备发过来的切换探测确认报文, 则视为此次工作模式的切换探测为非法探测, 此 时, PE 设备仍保持当前的独立运行模式, 并将切换探测报文做丢弃处理 ; 如果在定时的预 设时间内收到CB设备发过来的切换探测确认报文, 则对其进行鉴权处理(具体处理过程后 续进行说明 ) 后, 再决定是否需要进行工作模式的切换。 0025 进一步地, 在上述步骤S102中, 对于PE设备来说, 在收到切换探测确认报文后, 可 以采用以下两种方案实现对切换探测确认报文中携带的第一验证数据的鉴权操作 : 0026 第一种方案, 仅依据 PE 设备的加密参数, 对切换探测。

22、确认报文中携带的第一验证 数据进行鉴权。 0027 在这种方案下, 基于切换方式安全性能的考虑, PE 设备的加密参数可以为 PE 设备 在接收到切换探测报文时产生的随机数、 PE 设备在接收到切换探测报文时产生的时间戳、 及 PE 设备接收到切换探测报文的端口的地址信息 ( 例如地址信息为端口的 MAC 地址 ) 中 的至少两个加密参数。例如, PE 设备可以将随机数及时间戳、 随机数及 MAC 地址等携带在 切换探测响应报文中发送给 CB 设备。 0028 第二种方案, 同时依据 PE 设备的加密参数, 和 CB 设备的加密参数, 对切换探测确 认报文中携带的第一验证数据进行鉴权。 002。

23、9 在这种方案下, 由于 PE 设备和 CB 设备双方均提供了加密参数, 那么, PE 设备的加 密参数可以为一个或多个, CB 设备的加密参数也可以为一个或多个。 0030 下面以 CB 设备的加密参数为一个为例, 对设备双方的具体加密参数进行说明 : 0031 在第二种方案下, CB 设备的加密参数可以为切换探测报文的来源端口 ( 即 CB 设 备发送切换探测报文的端口)的地址信息, 例如来源端口的MAC地址, 此参数是携带在切换 探测报文中的, 后续由 PE 设备从切换探测报文中提取得到。 0032 在这种情况下, PE 设备的加密参数可以为多个, 例如, 可以为上述第一种方案中随 机数。

24、、 时间戳、 及 PE 设备接收到切换探测报文的端口的地址信息中的至少两个加密参数 ; PE 设备的加密参数也可以为一个, 例如, 可以为上述第一种方案中随机数、 时间戳、 及 PE 设 备接收到切换探测报文的端口的地址信息中的一个加密参数。 0033 在这里, 考虑到 PE 设备的加密参数为 PE 设备接收到切换探测报文的端口的地址 信息时, 是一个固定参数, 此时, CB 设备的加密参数也是一个固定参数, 后续依据这两个参 数对第一验证数据进行鉴权, 很容易被网络攻击者仿冒, 基于此, 在本发明的一种优选实施 例中, PE 设备的加密参数为上述第一种方案中随机数和时间戳其中之一。 0034。

25、 需要说明的是, 本发明并不仅限于上述两种方案中提及的参数作为加密参数, 对 第一验证数据进行鉴权, 还可采用其他参数作为加密参数, 在此不再一一列举。 0035 更进一步地, 在上述步骤 S102 中, 对于 PE 设备来说, 不管采用上述哪一种方案对 第一验证数据进行鉴权, 具体的鉴权方式可以有以下两种 : 0036 第一种鉴权方式, PE 设备将根据自身的加密参数、 或者自身的加密参数及 CB 设备 的加密参数生成的第二验证数据, 与第一验证数据比对 ; 在比对结果符合预设条件时, 确定 说 明 书 CN 104468540 A 6 4/6 页 7 第一验证数据通过鉴权。 0037 在这。

26、种鉴权方式下, PE 设备可以在向 CB 设备发送切换探测响应报文后生成上述 第二验证数据, 也可以在后续需要对第一验证数据进行鉴权时再生成上述第二验证数据。 例如, 在仅由 PE 设备提供加密参数且加密参数为上述第一种方案中的随机数和时间戳时, PE 设备可以在向 CB 设备发送切换探测响应报文后, 对相应随机数和时间戳进行加密处理 生成第二验证数据, 相应地, 后续 CB 设备在收到切换探测响应报文后, 也会对相应随机数 和时间戳进行加密处理生成第一验证数据。 0038 需要说明的是, 在本发明实施例中, 事先在PE设备和CB设备上内置了相同的加密 规则, 因此, PE 设备生成第二验证数。

27、据和 CB 设备生成第一验证数据的具体生成过程相同, 这就避免了网络攻击者的攻击, 因为网络攻击者虽然可以仿冒切换探测报文, 但它无法知 晓具体的加密规则, 即使可以响应 PE 设备, 携带的第一验证数据也无法通过鉴权, 这就提 高了切换工作模式的安全性。 0039 另外, 对于第一验证数据和第二验证数据的具体生成过程, 可以采用现有多种加 密算法生成, 在此不再详述。 0040 下面结合一具体应用场景对第一种鉴权方式进行示例性说明 : 0041 假设 PE 设备收到切换探测报文 R 后, 向 CB 设备发送的切换探测响应报文 P 中携 带有 PE 设备收到切换探测报文 R 的端口的 MAC 。

28、地址 ( 称为 SMAC1)、 PE 设备在接收到切换 探测报文 R 时产生的随机数 A 以及 PE 设备在接收到切换探测报文 R 时产生的时间戳 B, 之 后, 启动定时器, 在定时的预设时间内等待 CB 设备的回应。 0042 与此同时, PE 设备从收到的切换探测报文 R 中提取出 CB 设备发送该切换探测报 文R的端口的MAC地址(称为SMAC2), 并根据内置的加密规则, 应用某种加密算法将随机数 A 及 SMAC2 进行加密得到字符串 A (A S1(A, SMAC2), S1 为某种加密算法 ), 应用另一种 加密算法将时间戳 B 及 SMAC1 进行加密得到字符串 B (B S。

29、2(B, SMAC1), S2 为另一种加 密算法, 例如 HASH 算法 )。最后对 A 及 B 进行加密得到字符串 X(X D(A , B ), D 为某 种加密算法 ), 将字符串 X 作为第二验证数据。 0043 相应地, CB 设备收到切换探测响应报文 P 后, CB 设备会从收到的报文 P 中提取出 SMAC1、 随机数A以及时间戳B, 根据内置的加密规则, 并应用S1对随机数A及SMAC2进行加 密得到字符串 A (A S1(A, SMAC2), SMAC2 为 CB 设备发送切换探测报文 R 的端口的 MAC 地址 ), 应用 S2 对时间戳 B 及 SMAC1 进行加密得到字。

30、符串 B (B S2(B, SMAC1)。随后, CB 设备通过某加密算法对字符串 A 及字符串 B 进行加密得到字符串 Y(Y E(A , B ), E 为某种加密算法 ), 将此字符串作为第一验证数据携带在切换探测确认报文 Q 中进行回应。 0044 之后, PE 设备在收到切换探测确认报文 Q 后, 会将自身生成的 X 和切换探测确认 报文 Q 中的 Y 进行比对, 若比对结果符合预设条件 ( 此预设条件是根据相应的加密算法事 先设置的 ), 则确定第一验证数据通过鉴权, 进行后续的工作模式切换动作 ; 若比对结果不 符合预设条件, 也视为此次工作模式的切换探测为非法探测, 后续 PE 。

31、设备仍保持当前的独 立运行模式, 并将切换探测报文做丢弃处理。 在这里, 此预设条件可为第一验证数据和第二 验证数据完全相同, 也可是二者符合一定的运算规则。 0045 第二种鉴权方式, PE 设备利用自身的加密参数、 或者自身的加密参数及 CB 设备的 加密参数中的部分参数, 对第一验证数据进行解密 ; 利用自身的加密参数、 或者自身的加密 说 明 书 CN 104468540 A 7 5/6 页 8 参数及 CB 设备的加密参数中除部分参数之外的参数, 对解密后的数据进行鉴权。 0046 在这种鉴权方式下, 如果 PE 设备是依据两个加密参数, 对第一验证数据进行鉴 权, 那么, PE 设。

32、备可以先从这两个加密参数中选择一个, 对第一验证数据进行解密, 之后, 再 将这两个加密参数中除选择的参数之外的参数, 与解密后的加密参数进行比对, 例如比对 二者是否一致, 并根据比对结果决定第一验证数据是否通过鉴权。 0047 如果 PE 设备是依据两个以上的加密参数, 对第一验证数据进行鉴权, 那么, PE 设 备可以根据两个以上的加密参数中部分参数生成的验证数据, 对第一验证数据进行解密, 之后, 再将两个以上的加密参数中除部分参数之外的参数生成的验证数据, 与解密后的数 据进行比对, 并根据比对结果决定第一验证数据是否通过鉴权。 0048 当然, 在这种情况下, PE 设备也可以根据。

33、两个以上的加密参数中的某个参数, 对第 一验证数据进行解密, 之后, 再将两个以上的加密参数中除某个参数之外的参数生成的验 证数据, 与解密后的数据进行比对, 并根据比对结果决定第一验证数据是否通过鉴权。 0049 下面结合第一种鉴权方式下的应用场景对第二种鉴权方式进行示例性说明 : 0050 与第一种鉴权方式下的应用场景相同的是 : CB 设备生成 Y 的过程。与第一种鉴权 方式下的应用场景不同的是 : PE 设备收到切换探测报文后, 没有生成 X 的过程。 0051 在这种场景下, PE 设备在收到切换探测确认报文 Q 后, 会应用某种解密算法对切 换探测确认报文 Q 中携带的 Y 进行解。

34、密得出 A” (A” D(Y, B ), D 为某种解密算法 ), 之后, PE 设备再对 A” 和通过算法 S1 将随机数 A 及 SMAC2 进行加密得到的字符串 A (A S1(A, SMAC2), S1 为某种算法 ) 进行比对, 若比对结果符合预设条件, 则确定第一验证数据通过鉴 权, 进行后续的工作模式切换动作 ; 若比对结果不符合预设条件, 也视为此次工作模式的切 换探测为非法探测, 后续 PE 设备仍保持当前的独立运行模式, 并将切换探测报文做丢弃处 理。 0052 S103, 在鉴权通过后, 将自身的工作模式由独立运行模式切换为端口扩展运行模 式。 0053 通过以上流程可以。

35、看出, 本发明的 PE 设备在接收到来自 CB 设备的切换探测报文 时, 将自身的加密参数携带在切换探测响应报文中发送给 CB 设备, 结合自身的加密参数、 或者自身的加密参数及 CB 设备的加密参数, 对在预设时间内接收到的来自 CB 设备的切换 探测确认报文中携带的第一验证数据进行鉴权, 并在鉴权通过后才将自身的工作模式由独 立运行模式切换为端口扩展运行模式。从而使运行在独立运行模式的 PE 设备避免了因受 网络中仿冒切换探测报文的攻击而导致的工作模式切换, 在保证 PE 设备即插即用简便性 及易用性的基础上提高了 PE 设备工作模式切换的安全性。 0054 为达到以上目的, 本发明还提出。

36、了一种 PE 设备, 如图 2 所示, PE 设备应用于包括 有自身和 CB 设备的系统中, 包括 : 0055 响应模块 210, 用于在接收到来自 CB 设备的切换探测报文时, 将 PE 设备的加密参 数携带在切换探测响应报文中发送给 CB 设备 ; 0056 鉴权模块 220, 用于在预设时间内接收到来自 CB 设备的切换探测确认报文时, 则 根据 PE 设备的加密参数、 或者 PE 设备的加密参数及切换探测报文中携带的 CB 设备的加密 参数, 对切换探测确认报文中携带的第一验证数据进行鉴权, 第一验证数据为 CB 设备根据 切换探测响应报文中携带的 PE 设备的加密参数、 或者 PE。

37、 设备的加密参数及自身的加密参 说 明 书 CN 104468540 A 8 6/6 页 9 数生成的 ; 0057 切换模块230, 用于在鉴权模块220确认鉴权通过后, 将PE设备的工作模式由独立 运行模式切换为端口扩展运行模式。 0058 在具体的应用场景中, 上述鉴权模块 220, 具体用于在 PE 设备的加密参数为 PE 设 备在接收到切换探测报文时产生的随机数、 PE 设备在接收到切换探测报文时产生的时间 戳、 及PE设备接收到切换探测报文的端口的地址信息中的至少两个加密参数时, 根据PE设 备的加密参数、 或者 PE 设备的加密参数及切换探测报文中携带的切换探测报文的来源端 口的。

38、地址信息, 对切换探测确认报文中携带的第一验证数据进行鉴权 ; 或者, 在 PE 设备的 加密参数为随机数和时间戳其中之一时, 根据 PE 设备的加密参数及切换探测报文中携带 的切换探测报文的来源端口的地址信息, 对切换探测确认报文中携带的第一验证数据进行 鉴权。 0059 在具体的应用场景中, 上述鉴权模块 220, 具体用于将根据 PE 设备的加密参数、 或 者PE设备的加密参数及CB设备的加密参数生成的第二验证数据, 与第一验证数据比对, 并 在比对结果符合预设条件时, 确定第一验证数据通过鉴权。 0060 在具体的应用场景中, 上述鉴权模块 220, 具体用于利用 PE 设备的加密参数。

39、、 或者 PE 设备的加密参数及 CB 设备的加密参数中的部分参数, 对第一验证数据进行解密, 并利用 PE 设备的加密参数、 或者 PE 设备的加密参数及 CB 设备的加密参数中除部分参数之外的参 数, 对解密后的数据进行鉴权。 0061 在具体的应用场景中, 上述切换模块 230, 还用于在预设时间内未接收到来自 CB 设备的切换探测确认报文, 或者在鉴权模块 220 确认鉴权未通过时, 保持当前的独立运行 模式。 0062 通过以上的实施方式的描述, 本领域的技术人员可以清楚地了解到本发明可以通 过硬件实现, 也可以借助软件加必要的通用硬件平台的方式来实现。 基于这样的理解, 本发 明的。

40、技术方案可以以软件产品的形式体现出来, 该软件产品可以存储在一个非易失性存储 介质 ( 可以是 CD-ROM, U 盘, 移动硬盘等 ) 中, 包括若干指令用以使得一台计算机设备 ( 可 以是个人计算机, 服务器, 或者网络设备等 ) 执行本发明各个实施场景所述的方法。 0063 本领域技术人员可以理解附图只是一个优选实施场景的示意图, 附图中的模块或 流程并不一定是实施本发明所必须的。 0064 本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进 行分布于实施场景的装置中, 也可以进行相应变化位于不同于本实施场景的一个或多个装 置中。上述实施场景的模块可以合并为一个模块, 也可以进一步拆分成多个子模块。 0065 上述本发明序号仅仅为了描述, 不代表实施场景的优劣。 0066 以上公开的仅为本发明的几个具体实施场景, 但是, 本发明并非局限于此, 任何本 领域的技术人员能思之的变化都应落入本发明的保护范围。 说 明 书 CN 104468540 A 9 1/1 页 10 图 1 图 2 说 明 书 附 图 CN 104468540 A 10 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1