一种设备信息交换方法及系统与流程

本发明涉及网络设备技术领域，特别涉及一种设备信息交换方法及系统。

背景技术：

LLDP(Link Layer Discovery Protocol，链路层发现协议)是基于TLV(Type Length Value，类型长度值)的协议，它将网络设备的信息组织成不同类型的TLV信息，并封装在LLDP数据包中发布给与自己直连的邻居设备，邻居设备收到这些信息后将其以标准MIB的形式保存起来，以供网络管理系统查询及判断链路的通信状况。

随着数据中心技术的发展，LLDP的使用日益频繁，TLV的数量也日益增加。LLDP的初始定义规定，单个LLDP数据包可以发送的最大信息是1522字节。然而，目前随着TLV数量的增加，很难将所有的TLV信息压缩在1522字节中，那么如果LLDP数据包中携带太多的TLV，大部分TLV信息就会丢失。而TLV携带着重要信息，若丢失的信息被非法获取，将会影响网络设备的安全性。

综上所述可以看出，如何提高设备信息交换过程中的信息安全性是目前有待解决的问题。

技术实现要素：

有鉴于此，本发明的目的在于提供一种设备信息交换方法及系统，提高了设备信息交换过程中的信息安全性。其具体方案如下：

一种设备信息交换方法，包括：

将第一设备的设备信息发送至第二设备之前，判断所述第二设备是否安全；

若判定所述第二设备不安全，则将所述第一设备的第一类TLV信息发送至所述第二设备；

若判定所述第二设备安全，则将所述第一设备的第二类TLV信息发送至所述第二设备；

其中，所述第一类TLV信息为所述第一设备的非机密设备信息，所述第二类TLV信息包括所述第一设备的机密设备信息。

优选的，所述判断所述第二设备是否安全的过程，包括：

获取所述第二设备发送的设备信息交换请求，其中，所述设备信息交换请求中包括所述第二设备的识别信息；

利用预设的密钥生成算法，计算与所述识别信息对应的认证密钥；

判断所述认证密钥和所述第一设备上的本地预存密钥是否相同，如果是，则判定所述第二设备安全，如果否，则判定所述第二设备不安全。

优选的，所述识别信息为所述第二设备的端口ID或MAC地址。

优选的，所述判断所述第二设备是否安全的过程，包括：

获取所述第二设备发送的设备信息交换请求，其中，所述设备信息交换请求中包括新增的设备描述字段；

判断所述设备描述字段中是否包含预设的用于描述设备安全性的关键字，如果是，则判定所述第二设备安全，如果否，则判定所述第二设备不安全。

优选的，所述第一类TLV信息包括所述第一设备的机箱ID TLV信息、端口ID TLV信息和TTL TLV信息。

优选的，所述将所述第一设备的第二类TLV信息发送至所述第二设备的过程，包括：

若所述设备信息交换请求包含所述第二设备的系统功能TLV信息，则将所述第一设备上的所有类型的TLV信息发送至所述第二设备；

若所述设备信息交换请求不包含所述第二设备的系统功能TLV信息，则根据所述第二设备的系统功能TLV信息，确定出所述第二设备的设备类型，然后将所述第一设备中的与所述第二设备的设备类型对应的TLV信息发送至所述第二设备。

本发明还公开了一种设备信息交换系统，包括：

安全判断模块，用于将第一设备的设备信息发送至第二设备之前，判断所述第二设备是否安全；

第一信息发送模块，用于当所述安全判定模块判定所述第二设备不安全，则将所述第一设备的第一类TLV信息发送至所述第二设备；

第二信息发送模块，用于当所述安全判定模块判定所述第二设备安全，则将所述第一设备的第二类TLV信息发送至所述第二设备；

其中，所述第一类TLV信息为所述第一设备的非机密设备信息，所述第二类TLV信息包括所述第一设备的机密设备信息。

优选的，所述安全判断模块包括：

第一请求获取单元，用于获取所述第二设备发送的设备信息交换请求，其中，所述设备信息交换请求中包括所述第二设备的识别信息；

密钥生成单元，用于利用预设的密钥生成算法，计算与所述识别信息对应的认证密钥；

第一安全判断单元，用于判断所述认证密钥和所述第一设备上的本地预存密钥是否相同，如果是，则判定所述第二设备安全，如果否，则判定所述第二设备不安全。

优选的，所述安全判断模块包括：

第二请求获取单元，用于获取所述第二设备发送的设备信息交换请求，其中，所述设备信息交换请求中包括新增的设备描述字段；

第二安全判断单元，用于判断所述设备描述字段中是否包含预设的用于描述设备安全性的关键字，如果是，则判定所述第二设备安全，如果否，则判定所述第二设备不安全。

优选的，所述第二信息发送模块包括：

第一发送单元，用于当所述设备信息交换请求包含所述第二设备的系统功能TLV信息，则将所述第一设备上的所有类型的TLV信息发送至所述第二设备；

第二发送单元，用于当所述设备信息交换请求不包含所述第二设备的系统功能TLV信息，则根据所述第二设备的系统功能TLV信息，确定出所述第二设备的设备类型，然后将所述第一设备中的与所述第二设备的设备类型对应的TLV信息发送至所述第二设备。

本发明中，设备信息交换方法包括：将第一设备的设备信息发送至第二设备之前，判断第二设备是否安全；若判定第二设备不安全，则将第一设备的第一类TLV信息发送至第二设备；若判定第二设备安全，则将第一设备的第二类TLV信息发送至第二设备；其中，第一类TLV信息为第一设备的非机密设备信息，第二类TLV信息包括第一设备的机密设备信息。可见，本发明中，只有在确定第二设备是安全的情况下，才会将第一设备的机密设备信息发送给第二设备，这样可确保设备信息交换过程的安全性；而在第二设备不安全的情况下，只是将第一设备的非机密设备信息发送给第二设备，这样在第二设备不安全的情况下，能够减少LLDP数据包中所携带TLV信息的信息量，从而能够避免或大幅减少TLV信息的泄漏，从而提高了设备信息交换过程中信息的安全性。综上，本发明提高了设备信息交换过程中的信息安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种设备信息交换方法流程图；

图2为本发明实施例公开的一种设备信息交换系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种设备信息交换方法，参见图1所示，该方法包括：

步骤S11：将第一设备的设备信息发送至第二设备之前，判断第二设备是否安全。

也即，在某一设备需要向邻居设备发送自身的设备信息之前，先对邻居设备的安全性进行判断，以确定出邻居设备是否安全。

可以理解的是，本实施例中的第一设备和第二设备均为网络设备。

步骤S12：若判定第二设备不安全，则将第一设备的第一类TLV信息发送至第二设备。其中，第一类TLV信息为第一设备的非机密设备信息。

可以理解的是，本发明实施例是利用LLDP数据包将上述第一类TLV信息发送至第二设备，也即，将上述第一TLV信息封装到LLDP数据包，然后将该LLDP数据发送至第二设备。

本实施例中，在第二设备不安全的情况下，只将第一设备的第一类TLV信息发送至第二设备，也即，只将第一设备的非机密设备信息发送至第二设备。这样，一方面由于此时只发送非机密设备信息，而没有涉及机密设备信息，所以相应的LLDP数据包中所携带的TLV信息的信息量较少，此时由于TLV信息过多而发生TLV信息丢失的可能性较低，从而可以避免或大幅减少TLV信息的泄漏，并且这样能够节约链路成本；另一方面，由于此时只是将非机密设备信息发送至第二设备，即便在发送过程中出现信息的泄漏，由于泄漏的信息里只有非机密的设备信息，所以这样也不会对网络设备造成安全上的影响。

步骤S13：若判定第二设备安全，则将第一设备的第二类TLV信息发送至第二设备。其中，第二类TLV信息包括第一设备的机密设备信息。

可以理解的是，本发明实施例是利用LLDP数据包将上述第二类TLV信息发送至第二设备的，也即，将上述第二TLV信息封装到LLDP数据包，然后将该LLDP数据发送至第二设备。

本实施例中，在第二设备安全的情况下，由于信息接收方的安全性可以得到保证，所以此时可以将第一设备中的机密设备信息发送至第二设备。

可见，本发明实施例中，只有在确定第二设备是安全的情况下，才会将第一设备的机密设备信息发送给第二设备，这样可确保设备信息交换过程的安全性；而在第二设备不安全的情况下，只是将第一设备的非机密设备信息发送给第二设备，这样在第二设备不安全的情况下，能够减少LLDP数据包中所携带TLV信息的信息量，从而能够避免或大幅减少TLV信息的泄漏，从而提高了设备信息交换过程中信息的安全性。综上，本发明实施例提高了设备信息交换过程中的信息安全性。

本发明实施例公开了一种具体的设备信息交换方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

上一实施例步骤S11中，需要对第二设备的安全性进行判断。本实施例中，判断上述第二设备是否安全的过程，具体可以包括：

获取第二设备发送的设备信息交换请求，其中，设备信息交换请求中包括第二设备的识别信息；然后，利用预设的密钥生成算法，计算与识别信息对应的认证密钥；最后，判断认证密钥和第一设备上的本地预存密钥是否相同，如果是，则判定第二设备安全，如果否，则判定第二设备不安全。

其中，上述识别信息可以是第二设备的端口ID或MAC地址，当然，也可以是IP地址。

当然，除了上述的设备安全判断方式外，也可以采用如下方式来判断第二设备是否安全：获取第二设备发送的设备信息交换请求，其中，设备信息交换请求中包括新增的设备描述字段；然后，判断设备描述字段中是否包含预设的用于描述设备安全性的关键字，如果是，则判定第二设备安全，如果否，则判定第二设备不安全。

上一实施例步骤S12中，在确定第二设备不安全的情况下，会将第一设备的第一类TLV信息发送至第二设备。其中，上述第一类TLV信息具体可以包括第一设备的机箱ID TLV信息、端口ID TLV信息和TTL TLV信息(TTL，即Time To Live，生存时间值)中的任意一种或任意几种的组合。

上一实施例步骤S13中，在第二设备安全的情况下，会将第一设备的第二类TLV信息发送至第二设备。其中，将第一设备的第二类TLV信息发送至第二设备的过程，具体可以包括：

若设备信息交换请求包含第二设备的系统功能TLV信息，则将第一设备上的所有类型的TLV信息发送至第二设备；若设备信息交换请求不包含第二设备的系统功能TLV信息，则根据第二设备的系统功能TLV信息，确定出第二设备的设备类型，然后将第一设备中的与第二设备的设备类型对应的TLV信息发送至第二设备。

也即，在上述设备信息交换请求包含第二设备的系统功能TLV信息的情况下，上述第二类TLV信息包括第一设备的所有类型的TLV信息；而在上述设备信息交换请求不包含第二设备的系统功能TLV信息的情况下，上述第二类TLV信息具体为与第二设备的设备类型对应的TLV信息。

需要说明的是，上述第二设备的系统功能TLV信息是指用来描述第二设备的功能的TLV信息。

相应的，本发明实施例还公开了一种设备信息交换系统，参见图2所示，该系统包括：

安全判断模块21，用于将第一设备的设备信息发送至第二设备之前，判断第二设备是否安全；

第一信息发送模块22，用于当安全判定模块判定第二设备不安全，则将第一设备的第一类TLV信息发送至第二设备；

第二信息发送模块23，用于当安全判定模块判定第二设备安全，则将第一设备的第二类TLV信息发送至第二设备；

其中，第一类TLV信息为第一设备的非机密设备信息，第二类TLV信息包括第一设备的机密设备信息。

可见，本发明实施例中，只有在确定第二设备是安全的情况下，才会将第一设备的机密设备信息发送给第二设备，这样可确保设备信息交换过程的安全性；而在第二设备不安全的情况下，只是将第一设备的非机密设备信息发送给第二设备，这样在第二设备不安全的情况下，能够减少LLDP数据包中所携带TLV信息的信息量，从而能够避免或大幅减少TLV信息的泄漏，从而提高了设备信息交换过程中信息的安全性。综上，本发明实施例提高了设备信息交换过程中的信息安全性。

进一步的，上述安全判断模块具体可以包括第一请求获取单元、密钥生成单元和第一安全判断单元；其中，

第一请求获取单元，用于获取第二设备发送的设备信息交换请求，其中，设备信息交换请求中包括第二设备的识别信息；

密钥生成单元，用于利用预设的密钥生成算法，计算与识别信息对应的认证密钥；

第一安全判断单元，用于判断认证密钥和第一设备上的本地预存密钥是否相同，如果是，则判定第二设备安全，如果否，则判定第二设备不安全。

可见，上述安全判断模块可以基于认证密钥来对第二设备的安全性进行判断。当然，本实施例中也可以基于设备安全性描述来对上述第二设备的安全性进行判断，这种情况下，上述安全判断模块具体包括第二请求获取单元和第二安全判断单元；其中，

第二请求获取单元，用于获取第二设备发送的设备信息交换请求，其中，设备信息交换请求中包括新增的设备描述字段；

第二安全判断单元，用于判断设备描述字段中是否包含预设的用于描述设备安全性的关键字，如果是，则判定第二设备安全，如果否，则判定第二设备不安全。

进一步的，上述第二信息发送模块具体可以包括第一发送单元和第二发送单元；其中，

第一发送单元，用于当上述第一请求获取单元或第二请求获取单元所获取的设备信息交换请求中包含第二设备的系统功能TLV信息，则将第一设备上的所有类型的TLV信息发送至第二设备；

第二发送单元，用于当上述第一请求获取单元或第二请求获取单元所获取的设备信息交换请求中不包含第二设备的系统功能TLV信息，则根据第二设备的系统功能TLV信息，确定出第二设备的设备类型，然后将第一设备中的与第二设备的设备类型对应的TLV信息发送至第二设备。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种设备信息交换方法及系统.进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。