专利名称:在环路拓扑中传输用户信息的方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,具体涉及一种在环路拓扑中传输用户信息的方法及装置。
背景技术:
随着电信级以太网的出现,以太网已成为一种运营商级网络标准。运营商通常用具有高可靠性的以太环网技术来增强以太网的功能。目前常用的以太网环路协议有 弹性以太网协议(Resilient Ethernet Protocol,REP),快速环网保护协议(Rapid Ring Protection Protocol, RRPP),以太网环路保护交换G. 8032协议,智能以太网协议(Smart Ethernet Protocol, SEP),等。在城域网中,对用户认证信息和计费信息的保护十分重要。通常,城域网中,二层网络使用介质访问控制(Medium/Media Access Control, MAC)地址进行寻址,在虚拟局域网(Virtual Local Area Network,VLAN)内转发包含用户认证信息或计费信息的报文。在 VLAN内,报文采用广播方式传输,VLAN内的各种设备都可以收到该报文,因而该报文很容易被窃取或假冒。虽然可以采用加密算法对报文进行加密后再传输,以提高安全性,但是加密算法并不十分可靠,存在被破解的可能。在采用动态主机配置协议(DynamicHost Configuration Protocol, DHCP)的网络中,可以使用DHCP绑定(Snooping)技术,通过建立和维护DHCP Snooping绑定表过滤来自不信任区域的DHCP信息,以隔绝非法的DHCP服务器(server),提高安全性。但是,用户设备的发出的用户认证信息等仍会在VLAN内广播,很容易被窃取或假冒。
发明内容
本发明实施例提供一种在环路拓扑中传输用户信息的方法及装置,可以提高用户信息在传输中的安全性。一种在环路拓扑中传输用户信息的方法,包括第一环路交换机获取来自用户设备的第一用户信息,所述第一环路交换机与所述用户设备连接;将所述第一用户信息封装在第一环路协议报文中;将所述第一环路协议报文通过环路拓扑发送给第二环路交换机,以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。一种在环路拓扑中传输用户信息的方法,包括第二环路交换机接收服务器返回的第二用户信息,所述第二环路交换机与所述服务器连接,所述第二用户信息是所述服务器在收到来自用户设备的第一用户信息后返回的;将所述第二用户信息封装在第二环路协议报文中;将所述第二环路协议报文通过环路拓扑发送给第一环路交换机,以便所述第一环路交换机将所述第二用户信息发送给所述用户设备,所述第一环路交换机与所述用户设备连接。一种环路交换机,包括第一接收单元,用于获取来自用户设备的第一用户信息;第一处理单元,用于将所述第一用户信息封装在第一环路协议报文中;第一发送单元,用于将所述第一环路协议报文通过环路拓扑发送给第二环路交换机,以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。一种环路交换机,包括第二接收单元,用于接收服务器返回的第二用户信息,所述第二用户信息是所述服务器在收到来自用户设备的第一用户信息后返回的;第二处理单元,用于将所述第二用户信息封装在第二环路协议报文中;第二发送单元,用于将所述第二环路协议报文通过环路拓扑发送给第一环路交换机,以便所述第一环路交换机将所述第二用户信息发送给所述用户设备,所述第一环路交换机与所述用户设备连接。本发明实施例采用由环路交换机将用户信息封装在环路协议报文中发送给服务器的技术方案,使得用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,环路交换机以外的其它设备无法获取包含用户信息的环路协议报文,从而,防止了恶意用户的窃听和攻击,保证了用户信息的安全传输。
图1是本发明实施例的环路拓扑的结构示意图;图2是本发明一个实施例的在环路拓扑中传输用户信息的方法的流程图;图3a是本发明另一实施例的在环路拓扑中传输用户信息的方法的流程图;图3b是本发明再一实施例的在环路拓扑中传输用户信息的方法的流程图;图3c是本发明再一实施例的在环路拓扑中传输用户信息的方法的流程图;图4是本发明一个实施例提供的环路交换机的结构示意图;图5a是本发明另一实施例提供的环路交换机的结构示意图;图5b是本发明再一实施例提供的环路交换机的结构示意图。
具体实施例方式本发明实施例提供一种在环路拓扑中传输用户信息的方法和装置,使得用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,其它设备无法获取包含用户认证信息的环路协议报文,从而防止了恶意用户的窃听和攻击,保证了用户认证信息的安全传输。 以下分别进行详细说明。实施例一、本发明实施例提供一种在环路拓扑中传输用户信息的方法。所说的环路拓扑中包括至少两个环路交换机,所述至少两个环路交换机采用环路协议构建环路拓扑。所述环路协议可以是任何一种二层环路协议,例如可以是G. 8032协议,或REP,或RRPP,或SEP等。本实施例以图1所示的包括四个环路交换机的环路拓扑为例进行说明,其中,第一环路交换机与用户设备连接,第二环路交换机与服务器连接。在本发明的实施例中,所述连接可以是指直接相连,也可以是通过其他设备间接相连。以上述的环路拓扑为例,本发明实施例提供的在环路拓扑中传输用户信息的方法,如图2所示,包括101、第一环路交换机获取来自用户设备的第一用户信息,所述第一环路交换机与所述用户设备连接。本实施例方法可以用于认证、计费等各种需要用户设备和服务器进行交互以传输用户信息的场景。例如在认证场景,所述第一用户信息可以是用户认证信息,所述服务器可以是用户认证服务器;在计费场景,所述第一用户信息可以计费信息,所述服务器可以是计费服务器。下面,以认证场景为例进行说明当用户设备需要进行认证(例如用户设备接入环路拓扑)时,发送第一认证请求报文给第一环路交换机,第一认证请求报文中包含用户认证信息,例如用户设备标识等。第一环路交换机通过接收用户设备发送的包含用户认证信息的第一认证请求报文,来获取第一用户信息,在本场景中,即为用户认证信息。在采用不同协议类型的网络中,所说的认证请求报文可以是不同类型的报文,例如可以是DHCP发现(discover)报文,也可以是以太网承载点到点连接协议(Point to Point Protocol over Ethernet,ΡΡΡ0Ε)报文,还可以是其它类型的报文,本文中不做限制。102、将所述第一用户信息封装在第一环路协议报文中。第一环路交换机获取到第一用户信息例如用户认证信息后,将该第一用户信息封装在环路协议报文中,称为第一环路协议报文。具体的,可以利用环路协议报文的类型长度值(type-length-valUe,TLV)机制将第一用户信息携带在环路协议报文的扩展字段中。以认证场景为例,type字段可用于表示认证请求报文的类型,例如用1表示DHCP报文,用2表示PPPOE报文;length字段表示整个扩展字段的长度,例如100字节;value字段中则写入用户认证信息。可以理解,第一环路协议报文中还可以封装其它信息,例如可以封装第一环路交换机的标识。所述第一环路交换机的标识包括第一环路交换机的设备标识,还可以包括第一环路交换机上的第一端口的端口标识,所述第一环路交换机通过第一端口与所述用户设备连接。103、将所述第一环路协议报文通过环路拓扑发送给第二环路交换机,以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。第一环路交换机将封装好的第一环路协议报文通过环路拓扑发送给第二环路交换机。根据环路协议的特性,环路协议报文仅仅在环路交换机构成的环路拓扑中传输,仅仅经过各环路交换机上连接其它环路交换机的环路端口,而不会被分发到非环路端口上。与服务器连接的第二环路交换机可以将其与服务器连接的端口配置为信任模式, 在收到所述第一环路协议报文后,去掉环路协议报文头,获取携带的第一用户信息,然后将第一用户信息通过所述配置为信任模式的端口发送给服务器。例如在认证场景,第二环路交换机可以根据获取的用户认证信息,生成第二认证请求报文通过所述配置为信任模块的端口发送给用户认证服务器。进一步的,在103之后还可以包括接收第二环路交换机发送的第二环路协议报文,该第二环路协议报文携带所述服务器返回的第二用户信息;将第二用户信息发送给所述用户设备。所说的第二用户信息在不同的应用场景中可以是不同类型的用户信息,例如在认证场景,所述第二用户信息可以是用户认证服务器返回的用户应答信息;在计费场景,所述第二用户信息可以是计费服务器返回的计费响应信息。以认证场景为例,用户认证服务器收到来自用户设备的用户认证信息后,根据该用户认证信息对用户设备进行认证,并返回包含用户应答信息的第一认证应答报文给第二环路交换机。第二环路交换机获取第二用户信息例如用户应答信息后,将该第二用户信息封装在第二环路协议报文中,封装方式与第一环路交换机封装第一用户信息相同,然后将携带第二用户信息的第二环路协议报文通过环路拓扑发送给第一环路交换机。第一环路交换机在收到所述第二环路协议报文后,去掉环路协议报文头,获取包含的第二用户信息,然后将第二用户信息发送给用户设备。例如在认证场景,第一环路交换机可以根据用户应答信息生成第二认证应答报文,然后将重新生成的第二认证应答报文发送给用户设备。在采用不同协议类型的网络中,所说的认证应答报文可以是不同类型的报文,例如可以是DHCP报文,也可以是以太网承载点到点连接协议(Point to Point Protocol over Ethernet, ΡΡΡ0Ε)报文,还可以是其它类型的报文,本文中不做限制。综上,本发明实施例提供了一种在环路拓扑中传输用户信息的方法,采用由环路交换机将用户信息封装在环路协议报文中发送给服务器的技术方案,该方案中,用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,而不会被分发到其它设备,其它设备无法获取环路协议报文,从而,防止了恶意用户的窃听和攻击,即,从根源上防止了用户信息被泄露和被破解,保证了用户信息的安全传输。实施例二、以图1所示的环路拓扑为例,本发明实施例还提供一种在环路拓扑中传输用户信息的方法,如图3a所示,包括204、第二环路交换机接收服务器返回的第二用户信息,其中,所述第二用户信息是所述服务器在收到来自用户设备的第一用户信息返回的。以认证场景为例,所述第一用户信息为用户认证信息,所述第二用户信息为用户应答信息,服务器为用户认证服务器。用户认证服务器收到来自用户设备的用户认证信息后,根据用户认证信息对用户设备进行认证,并返回包含用户应答信息的第一认证应答报文给第二环路交换机。该用户应答信息通常包括该用户设备的标识和是否认证通过等信肩、ο205、将所述第二用户信息封装在第二环路协议报文中。第二环路交换机获取第二用户信息例如用户应答信息后,可以将第二用户信息携带在第二环路协议报文的扩展字段中,可选的,封装方式与前一实施例中第一环路交换机将第一用户信息封装在第一环路协议报文中相同。
206、将所述第二环路协议报文发送给第一环路交换机,以便所述第一环路交换机将所述第二用户信息发送给所述用户设备。第二环路交换机将第二环路协议报文通过环路拓扑发送给第一环路交换机,其中,第二环路协议报文携带第二用户信息,例如用户应答信息。根据环路协议的特性,环路协议报文仅仅在环路交换机构成的环路拓扑中传输,仅仅经过各环路交换机上连接其它环路交换机的环路端口,而不会被分发到非环路端口上。第一环路交换机在收到所述第二环路协议报文后,去掉环路协议报文头,获取包含的第二用户信息并发送给用户设备。在认证场景,第一环路交换机获取用户应答信息后, 可以根据用户应答信息生成第二认证应答报文,然后将重新生成的第二认证应答报文发送给用户设备。如图3b所示,204之前还可以包括201、接收第一环路交换机发送的第一环路协议报文,所述第一环路协议报文携带
来自用户设备的第一用户信息。以认证场景为例,第一用户信息为用户认证信息。用户设备需要进行认证时,发送第一认证请求报文给第一环路交换机,所述第一认证请求报文包含用户认证信息。第一环路交换机会将该用户认证信息封装在第一环路协议报文中,然后将第一环路协议报文通过环路拓扑发送给第二环路交换机。所述第一环路协议报文中还可以包含所述用户设备的标识和所述第一环路交换机的标识。所述第一环路交换机的标识包括第一环路交换机的设备标识,还可以包括第一环路交换机上的第一端口的端口标识,所述第一环路交换机通过第一端口与所述用户设备连接。根据环路协议的特性,环路协议报文仅仅在环路交换机构成的环路拓扑中传输, 仅仅经过各环路交换机上连接其它环路交换机的环路端口,而不会被分发到非环路端口上。202、将所述第一用户信息发送给服务器。与服务器连接的第二环路交换机可以将其与服务器连接的端口配置为信任模式, 在收到所述第一环路协议报文后,去掉环路协议报文头,获取包含的第一用户信息,然后将第一用户信息通过所述配置为信任模式的端口发送给服务器。例如在认证场景,第二环路交换机可以根据用户认证信息生成第二认证请求报文,通过所述配置为信任模块的端口发送给用户认证服务器。进一步的,如图3c所示,201之后还可以包括203、学习所述用户设备的标识和所述第一环路交换机的标识,生成用户数据库或更新已有的用户数据库,所述用户数据库中对应保存所述用户设备的标识和所述第一环路交换机的标识。以认证场景为例,将用户设备的标识和所述第一环路交换机的标识对应保存在用户数据库中,后续在收到用户认证服务器返回的包含用户应答信息的第一认证应答报文后,就可以根据该第一认证应答报文中包含的用户设备的标识查询用户数据库中对应保存的第一环路交换机的标识,以便能够将封装了用户应答信息的第一协议报文发送给第一环路交换机。相应的,205中所述的将所述第二用户信息封装在第二环路协议报文中具体可以包括根据第二用户信息例如用户应答信息中包含的用户设备的标识从所述用户数据库中查找对应的第一环路交换机的标识,将所述第二用户信息和所述第一环路交换机的标识封装在第二环路协议报文中。于是,当第二环路协议报文在环路拓扑中传输时,各环路交换机可以通过查询该第二环路协议报文中携带的环路交换机的标识,判断是否是发送给自己的,如果不是,则放弃。第一环路交换机可以收到该发送给自己的第二环路协议报文后,去掉环路协议报文头, 获取包含的第二用户信息并发送给用户设备。在认证场景,第一环路交换机获取用户应答信息后,可以根据用户应答信息生成第二认证应答报文,然后可以根据第二环路协议报文中携带的第一端口的端口标识,将重新生成的第二认证应答报文通过该第一端口发送给用户设备。综上,本发明实施例提供了一种在环路拓扑中传输用户信息的方法,采用由环路交换机将用户信息封装在环路协议报文中发送给用户设备的技术方案,该方案中,用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,而不会被分发到其它设备,其它设备无法获取环路协议报文,从而,防止了恶意用户的窃听和攻击,即,从根源上防止了用户信息被泄露和被破解,保证了用户信息的安全传输。实施例三、请参看图4,本发明实施例提供一种环路交换机,包括第一接收单元401,用于获取来自用户设备的第一用户信息,所述第一环路交换机与所述用户设备连接;第一处理单元402,用于将所述第一用户信息封装在第一环路协议报文中;第一发送单元403,用于将第一所述环路协议报文通过环路拓扑发送给第二环路交换机,以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。其中,所述第一处理单元402,可以具体用于将所述第一用户信息携带在第一环路协议报文的扩展字段中。进一步的所述第一接收单元401,还可以用于接收第二环路交换机发送的第二环路协议报文,所述第二环路协议报文携带所述服务器返回的第二用户信息;所述第一发送单元403,还用于将所述第二用户信息发送给所述用户设备。在认证场景,所述服务器可以是用户认证服务器,所述第一用户信息可以是用户认证信息,所述第二用户信息可以用户应答信息。当然,本发明实施例还可以用于计费等场景。综上,本发明实施例提供了一种环路交换机,该环路交换机可以将用户信息封装在环路协议报文中,通过环路交换机构成的环路拓扑中发送给服务器,使得用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,而不会被分发到其它设备,其它设备无法获取环路协议报文,从而,防止了恶意用户的窃听和攻击,即,从根源上防止了用户认证信息被泄露和被破解,保证了用户认证信息的安全传输。实施例四、
请参看图5a,本发明实施例提供另一种环路交换机,包括第二接收单元501,用于接收服务器返回的第二用户信息,所述第二用户信息是所述服务器在收到来自用户设备的第一用户信息后返回的;第二处理单元502,用于将所述第二用户信息封装在第二环路协议报文中;第二发送单元503,用于将所述第二环路协议报文发送给第一环路交换机,以便所述第一环路交换机将所述第二用户信息发送给所述用户设备,所述第一环路交换机与所述用户设备连接。其中,所述第二处理单元502,可以具体用于将所述第二用户信息携带在第二环路协议报文的扩展字段中。进一步的所述第二接收单元501,还可以用于接收第一环路交换机发送的第一环路协议报文,所述第一环路协议报文携带来自用户设备的第一用户信息;所述第二发送单元503,还可以用于将所述第一用户信息发送给服务器。更进一步的,所述第一环路协议报文中可以包含所述用户设备的标识和所述第一环路交换机的标识。如图5b所示,所述环路交换机还可以包括用户数据库单元504,用于学习所述用户设备的标识和所述第一环路交换机的标识,生成用户数据库或更新已有的用户数据库, 所述用户数据库中对应保存所述用户设备的标识和所述第一环路交换机的标识。进而,所述第二处理单元502,可以进一步用于根据第二用户信息中包含的用户设备的标识从所述用户数据库中查找对应的第一环路交换机的标识,将所述第二用户信息和所述第一环路交换机的标识封装在第二环路协议报文中。综上,本发明实施例提供了一种环路交换机,该环路交换机可以将用户信息封装在环路协议报文中,通过环路交换机构成的环路拓扑发送给用户设备,使得用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,而不会被分发到其它设备,其它设备无法获取环路协议报文,从而,防止了恶意用户的窃听和攻击,即,从根源上防止了用户应答信息被泄露和被破解,保证了用户应答信息的安全传输。本领域普通技术人员可以理解上述实施例各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括只读存储器、随机读取存储器、磁盘或光盘等。以上对本发明实施例所提供的在环路拓扑中传输用户信息的方法以及相应的环路交换机进行了详细介绍,但以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,不应理解为对本发明的限制,本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
权利要求
1.一种在环路拓扑中传输用户信息的方法,其特征在于,包括第一环路交换机获取来自用户设备的第一用户信息,所述第一环路交换机与所述用户设备连接;将所述第一用户信息封装在第一环路协议报文中;将所述第一环路协议报文通过环路拓扑发送给第二环路交换机,以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。
2.根据权利要求1所述的方法,其特征在于,所述将第一用户信息封装在第一环路协议报文中包括将所述第一用户信息携带在第一环路协议报文的扩展字段中。
3.根据权利要求1或2所述的方法,其特征在于,所述将第一环路协议报文通过环路拓扑发送给第二环路交换机之后还包括接收所述第二环路交换机发送的第二环路协议报文,所述第二环路协议报文携带所述服务器返回的第二用户信息;将所述第二用户信息发送给所述用户设备。
4.一种在环路拓扑中传输用户信息的方法,其特征在于,包括第二环路交换机接收服务器返回的第二用户信息,所述第二环路交换机与所述服务器连接,所述第二用户信息是所述服务器在收到来自用户设备的第一用户信息后返回的;将所述第二用户信息封装在第二环路协议报文中;将所述第二环路协议报文通过环路拓扑发送给第一环路交换机,以便所述第一环路交换机将所述第二用户信息发送给所述用户设备,所述第一环路交换机与所述用户设备连接。
5.根据权利要求4所述的方法,其特征在于,所述将第二用户信息封装在第二环路协议报文中包括将所述第二用户信息携带在第二环路协议报文的扩展字段中。
6.根据权利要求4或5所述的方法,其特征在于,所述接收服务器在收到来自用户设备的第一用户信息后返回的第二用户信息之前还包括接收第一环路交换机发送的第一环路协议报文,所述第一环路协议报文携带来自用户设备的第一用户信息;将所述第一用户信息发送给所述服务器。
7.根据权利要求6所述的方法,其特征在于,所述第一环路协议报文中包含所述用户设备的标识和所述第一环路交换机的标识,所述接收第一环路交换机发送的第一环路协议报文之后还包括学习所述用户设备的标识和所述第一环路交换机的标识,生成用户数据库或更新已有的用户数据库,所述用户数据库中对应保存所述用户设备的标识和所述第一环路交换机的标识。
8.根据权利要求7所述的方法,其特征在于,所述将第二用户信息封装在第二环路协议报文中包括根据第二用户信息中包含的用户设备的标识从所述用户数据库中查找对应的第一环路交换机的标识,将所述第二用户信息和所述第一环路交换机的标识封装在第二环路协议报文中。
9.一种环路交换机,其特征在于,包括第一接收单元,用于获取来自用户设备的第一用户信息;第一处理单元,用于将所述第一用户信息封装在第一环路协议报文中;第一发送单元,用于将所述第一环路协议报文通过环路拓扑发送给第二环路交换机, 以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。
10.根据权利要求9所述的环路交换机,其特征在于所述第一接收单元,还用于接收所述第二环路交换机发送的第二环路协议报文,所述第二环路协议报文携带所述服务器返回的第二用户信息;所述第一发送单元,还用于将所述第二用户信息发送给所述用户设备。
11.一种环路交换机,其特征在于,包括第二接收单元,用于接收服务器返回的第二用户信息,所述第二用户信息是所述服务器在收到来自用户设备的第一用户信息后返回的;第二处理单元,用于将所述第二用户信息封装在第二环路协议报文中;第二发送单元,用于将所述第二环路协议报文通过环路拓扑发送给第一环路交换机, 以便所述第一环路交换机将所述第二用户信息发送给所述用户设备,所述第一环路交换机与所述用户设备连接。
12.根据权利要求11所述的环路交换机,其特征在于所述第二接收单元,还用于接收第一环路交换机发送的第一环路协议报文,所述第一环路协议报文携带来自用户设备的第一用户信息;所述第二发送单元,还用于将所述第一用户信息发送给所述服务器。
13.根据权利要求12所述的环路交换机,其特征在于,所述第一环路协议报文中包含所述用户设备的标识和所述第一环路交换机的标识,所述环路交换机还包括用户数据库单元;所述用户数据库单元,用于学习所述用户设备的标识和所述第一环路交换机的标识, 生成用户数据库或更新已有的用户数据库,所述用户数据库中对应保存所述用户设备的标识和所述第一环路交换机的标识。
14.根据权利要求13所述的环路交换机,其特征在于所述第二处理单元,进一步用于根据第二用户信息中包含的用户设备的标识从所述用户数据库中查找对应的第一环路交换机的标识,将所述第二用户信息和所述第一环路交换机的标识封装在第二环路协议报文中。
全文摘要
本发明公开了一种在环路拓扑中传输用户信息的方法,包括第一环路交换机获取来自用户设备的第一用户信息,所述第一环路交换机与所述用户设备连接;将所述第一用户信息封装在第一环路协议报文中;将所述第一环路协议报文通过环路拓扑发送给第二环路交换机,以便所述第二环路交换机将所述第一用户信息发送给服务器,所述第二环路交换机与所述服务器连接。本发明实施例还提供相应的环路交换机。本发明技术方案使得用户信息仅在运营商端的由环路交换机构成的环路拓扑中传输,环路交换机以外的其它设备无法获取包含用户认证信息的环路协议报文,从而,防止了恶意用户的窃听和攻击,保证了用户认证信息的安全传输。
文档编号H04L29/06GK102333034SQ20111028581
公开日2012年1月25日 申请日期2011年9月23日 优先权日2011年9月23日
发明者冯海生, 刘新建, 吴振中, 江莲, 沙福海 申请人:华为数字技术有限公司