专利名称:一种对生成树进行明文认证的方法
技术领域:
本发明涉及一种对生成树进行明文认证的方法,属网络通信技术领域。
生成树消除连接循环的过程如
图1所示。生成树协议要求每一个网桥都有一个唯一的标识符,通常标识符由网桥的以太网地址(以下简称MAC地址)与网桥的优先级组成(在网桥中各个项目的ID数越小,其优先级越高),同时,每一个网桥内的每一个端口也有唯一的标识符,通常是由端口号与该端口优先级组成。最后,每一个网桥端口与一个路径值联系起来,路径值表示通过该端口将数据桢传递到局域网的代价。一般路径值=1000/相连局域网的速度,所以,与该端口相连的局域网的速度越大,则该端口的路径值越小。
上述生成树的消除网络连接循环过程为1、选择根桥,通常根桥就是具有最低网桥标识符的网桥,在图1中网桥2是根桥。
2、决定所有除根桥以外的网桥的根端口,通过根端口达到根桥时,路径值最小,达到根桥的最小路径值称为根路径值。
3、决定指定网桥和指定网桥的指定端口,指定网桥就是每一个局域网中提供最小根路径值的网桥,每一个局域网中的指定网桥是唯一能够为当前局域网转发和接收数据桢的网桥。每一个局域网的指定端口是连接LAN到指定网桥使用的端口。
在某些情况下,两个或多个网桥可能具有相同的根路径值,在这种情况下使用网桥标识符来决定谁是指定桥。例如图2中,网桥4和网桥5到达网桥1(根桥)的路径值均为10,这种情况就根据网桥ID来选择,于是网桥4的局域网V端口而不是网桥5的局域网V端口被选择为指定端口。
图2是运行生成树协议后的网络,该网络的拓扑消除了网络循环。当开启网桥的电源或者检测到网络的拓扑结构发生变化时,生成树的工作过程就会开始。生成树的工作过程需要生成树网桥之间的通讯来配合,通过网桥协议数据单元(以下简称BPDU)来完成。BPDU中包含有假定为根桥的网桥和发送网桥达到根桥的路径值等,还包含发送端的网桥标识符和发送端的端口标识符,以及BPDU传播所用的时间。网桥以一定的时间间隔交换BPDU,如果某一网桥失效,将引起网络拓扑结构发生改变,相邻的网桥在一定时间内就会检测到配置消息的空缺,并重新初始化生成树的计算过程。
在上述网络中,若有新的桥设备加入,不管是否合法,只要运行生成树协议,都会影响现有网络中的拓扑,导致生成树的重新建立。建立生成树过程中,在未收敛之前,端口的动荡会导致现有网络流量的中断。
本发明提出的对生成树进行明文认证的方法,法包括以下步骤(1)为桥接设备配置认证字;
(2)在将配置报文的标志字段的保留位中的任何选一位设置为生成树的认证标志位,在报文的最后附加字节,用以存储桥接设备的生成树认证字;(3)在拓扑变化报文的最后附加字节,用以存储桥接设备的生成树认证字。。
上述方法中的桥接设备的认证字由设备管理人员配置。
上述方法中,配置报文的认证标志由设备管理人员配置,配置报文和拓扑变化报文的附加字节由设备管理人员配置。
上述方法中的配置是在局域网相邻的桥接设备中都进行相同的配置。
上述方法在认证中接收报文时,其过程如下(1)接收报文时,判断报文的类型,若为配置报文,首先检查该报文标志字段中的认证标志位是否为设置位,若不为设置位,则丢弃报文,若为设置位,则转入第二步;(2)检查报文的最后字节中的生成树认证字,若与上述桥接设备上配置的生成树认证字相一致,则接受报文,否则丢弃报文;(3)若为拓扑变化报文,检查报文的最后字节中的生成树认证字,若与上述桥接设备上配置的生成树认证字相一致,则接受报文,否则丢弃报文。
上述的配置报文和拓扑变化报文是在消除网络循环的生成树协议下接收的。
上述方法在认证中发送报文时,其过程如下(1)发送配置报文时,首先将该报文标志字段中的认证标志位设置为一个定值,再将上述配置的认证字复制到上述报文扩展的最后字节中,然后发送;(2)发送拓扑变化报文时,将上述配置的认证字复制到报文扩展的最后字节中,然后发送。
上述配置报文和拓扑变化报文是在消除网络循环的生成树协议下发送的。
本发明提出的对生成树进行明文认证的方法,增强了生成树协议的安全性,可以有效地防止未授权的桥设备影响网络拓扑结构,加强了网络的稳定性和安全生,同时为网络管理人员提供了实现桥接设备安全互通的一种手段。在使用生成树明文认证的网络中,当加入新的桥设备时,如果没有通过认证,也不会影响原来的网络中的生成树协议,因而有效地保护了生成树网络。
图2是运行生成树协议以后的网络示意图,网桥3和网桥4与局域网V相连接的端口(图中虚线部分)不转发报文,避免网络循环。
图3是本发明方法的流程图。
用本发明的方法在生成树协议下接收报文时,首先判断报文的类型,若为配置报文,首先检查该报文标志字段中的认证标志位是否为1,若不为1,则丢弃报文,若为1,则进一步检查报文的最后两个字节中的生成树认证字,若与桥接设备配置的生成树认证字相一致,则接受报文,否则丢弃报文;若为拓扑变化报文,检查报文的最后两个字节中的生成树认证字,若与桥接设备配置的生成树认证字相一致,则接受报文,否则丢弃报文。
上述方法中的配置报文和拓扑变化报文是在消除网络循环的生成树协议下发送的。
用本发明的方法在生成树协议下发送报文时,首先在桥接设备上配置认证字;将配置报文的标志字段中的第三位作为生成树的认证标志位,在报文的最后附加两个字节,用以存储配置在桥接设备上的生成树的认证字;在拓扑变化报文的最后附加两个字节,用以存储配置在桥接设备上的生成树的认证字;在生成树协议下发送配置报文时,首先将该报文标志字段中的认证标志位设置为数值1,再将桥接设备中配置的认证字复制到报文中扩展的最后两个字节中,然后发送;发送拓扑变化报文时,将桥接设备中配置的认证字复制到报文中扩展的最后两个字节中,然后发送。
以下为本发明的一个实施例配置报文格式如下
明文认证使用标志字段中的第三位,当该位为1时,表示进行明文认证,收此报文的桥设备对报文进行认证。当使用认证时,同时在报文最后加入两个字节的认证字
对于拓扑变化报文,只在报文最后进行扩展,扩展后的拓扑变化报文格式如下
在生成树模块接收到报文时,首先判断本地是否配置了明文认证;如果配置了明文认证,则检查报文相应的扩展字段如果接收的是配置报文,首先检查标志字段的标志位,如果未设置则丢弃报文;否则,检查扩展字段的认证字是否与本地配置一致;如果不一致,丢弃报文;否则进行正常的处理流程。
如果接受的是拓扑变化报文,检查扩展字段的认证字是否与本地配置一致;如果不一致,丢弃报文;否则进行正常的处理流程。
权利要求
1.一种对生成树进行明文认证的方法,其特征在于该方法包括以下步骤(1)为桥接设备配置认证字;(2)在配置报文的标志字段的保留位中任选一位设置为生成树的认证标志位,在报文的最后附加字节,用以存储桥接设备的生成树认证字;(3)在拓扑变化报文的最后附加字节,用以存储桥接设备的生成树认证字。
2.如权利要求1所述的方法,其特征在于其中所述的桥接设备认证字由设备管理人员配置。
3.如权利要求1所述的方法,其特征在于其中所述的配置报文的认证标志由设备管理人员配置,配置报文的附加字节由设备管理人员配置。
4.如权利要求1所述的方法,其特征在于其中所述的拓扑变化报文的附加字节由设备管理人员配置。
5.如权利要求2或3或4所述的方法,其特征在于所述的配置是在局域网相邻的桥接设备中都进行相同的配置。
6.如权利要求1所述的方法,其特征在于在认证过程中包括如下步骤(1)接收报文时,判断报文的类型,若为配置报文,首先检查该报文标志字段中的认证标志位是否置位,若没有置位,则丢弃报文,若置位,则转入第二步;(2)检查报文的最后字节中的生成树认证字,若与上述桥接设备上配置的生成树认证字相一致,则接受报文,否则丢弃报文;(3)若为拓扑变化报文,检查报文的最后字节中的生成树认证字,若与上述桥接设备上配置的生成树认证字相一致,则接受报文,否则丢弃报文。
7.如权利要求6所述的方法,其特征在于其中所述的配置报文在消除网络循环的生成树协议下发送。
8.如权利要求6所述的方法,其特征在于其中所述的拓扑变化报文在消除网络循环的生成树协议下接收。
9.如权利要求1所述的方法,其特征在于认证过程中还包括以下各步骤(1)发送配置报文时,首先将该报文标志字段中的认证标志位设置为一个定值,再将上述配置的认证字复制到上述报文扩展的最后字节中,然后发送;(2)发送拓扑变化报文时,将上述配置的认证字复制到报文扩展的最后字节中,然后发送。
10.如权利要求9所述的方法,其特征在于其中所述的配置报文在消除网络循环的生成树协议下发送。
11.如权利要求9所述的方法,其特征在于其中所述的拓扑变化报文在消除网络循环的生成树协议下发送。
全文摘要
本发明涉及一种对生成树进行明文认证的方法,属于数据通信技术领域。该方法首先在配置报文中设置认证标志位、存储生成树认证字,在拓扑变化报文中存储生成树认证字,接收报文时,判断报文的类型,若为配置报文,检查该报文的认证标志位及生成树认证字,若与桥接设备中的相一致,则接受报文,否则丢弃报文,若为拓扑变化报文,检查生成树认证字,若与桥接设备中的认证字相一致,则接受报文,否则丢弃报文。发送配置报文和拓扑变化报文时,将桥接设备中的生成树认证标志复制到报文中,然后发送。本发明的方法,增强了生成树协议的安全性,可以有效地防止未授权的桥接设备影响网络拓扑结构。
文档编号H04L12/24GK1477824SQ02128398
公开日2004年2月25日 申请日期2002年8月20日 优先权日2002年8月20日
发明者杨磊, 唐正斌, 陈智贵, 刘华新, 杨 磊 申请人:华为技术有限公司