以太网数据防伪保护方法及系统与流程

文档序号:14993432发布日期:2018-07-20 22:59阅读:177来源:国知局

本发明涉及以太网数据通信技术领域,具体涉及一种以太网数据防伪保护方法及系统。



背景技术:

目前网络信息安全解决方案的重点集中在网络边界处,通过在网络边界处增加下一代防火墙、ips/ids、隔离网闸等安全设备提高网络边界的安全防护能力,这类方案的特点是防御来自外网的攻击,但是忽视了内网中特别是以太网的安全。

以太网数据通信在设计之初主要考虑传输的可靠性,并未考虑以太网数据完整性保护和防篡改的安全需求,导致以太网存在如下安全隐患:ip地址伪造、mac地址伪造、arp报文伪造、stp攻击、dns攻击、dhcp攻击等,这些安全隐患会导致非法接入、网络瘫痪等问题。



技术实现要素:

有鉴于此,本申请提供一种以太网数据防伪保护方法及系统,应用在以太网交换机,增强以太网数据通信安全,增强交换机的安全特性。

为解决以上技术问题,本发明提供的技术方案是一种以太网数据防伪保护方法,应用于以太网交换机,包括:

接收外部的以太网数据,对以太网数据中的mac字段进行检查,检查通过则将以太网数据中的报文递交到下一步,检查未通过则丢弃该以太网数据;

对递交的报文进行检查,检查通过则将该报文递交到下一步,检查未通过则丢弃该报文;

对递交的报文进行防伪计算,将防伪计算结果与以太网数据中的防伪字段进行比较,若一致,则防伪校验通过,将以太网数据中的防伪字段剥离,将处理后的报文递交到下一步,若不一致,则防伪校验未通过,丢弃该报文;

将递交的处理后的报文在以太网交换机内正常转发。

更优地,所述对递交的报文进行防伪计算的方法,包括:根据密钥表项中的密钥,对递交的报文进行防伪计算。

更优地,以太网数据防伪保护方法还包括对以太网交换机物理接口接收的报文进行统计。

本发明还提供一种以太网数据防伪保护方法,应用于以太网交换机,包括:

接收内部的以太网数据,将以太网数据中的报文递交到下一步;

对递交的报文进行防伪计算,将防伪计算结果添加到以太网数据中的防伪字段,将处理后的以太网数据递交到下一步;

发送递交的处理后的以太网数据。

更优地,所述对递交的报文进行防伪计算的方法,包括:根据密钥表项中的密钥,对递交的报文进行防伪计算。

更优地,以太网数据防伪保护方法还包括对以太网交换机物理接口发送的报文进行统计。

本发明还提供一种以太网数据防伪保护系统,应用于以太网交换机,包括:

第一mac核模块,用于接收外部的以太网数据,对以太网数据中的mac字段进行检查,检查通过则将以太网数据中的报文递交到以太网数据调度模块,检查未通过则丢弃该以太网数据;

以太网数据调度模块,用于对第一mac核模块递交的报文进行检查,检查通过则将该报文递交到安全处理模块,检查未通过则丢弃该报文;还用于将安全处理模块递交的处理后的报文,递交到第二mac核模块;

安全处理模块,用于对以太网数据调度模块递交的报文进行防伪计算,将防伪计算结果与以太网数据中的防伪字段进行比较,若一致,则防伪校验通过,将以太网数据中的防伪字段剥离,将处理后的报文递交到以太网数据调度模块,若不一致,则防伪校验未通过,丢弃该报文;

第二mac核模块,用于将以太网数据调度模块递交的处理后的报文在以太网交换机内正常转发。

本发明还提供一种以太网数据防伪保护系统,应用于以太网交换机,包括:

第二mac核模块,用于接收内部的以太网数据,将以太网数据中的报文递交到以太网数据调度模块;

以太网数据调度模块,用于将第二mac核模块递交的报文传递到安全处理模块;还用于将安全处理模块递交的处理后的以太网数据,递交到第一mac核模块;

安全处理模块,用于对以太网数据调度模块递交的报文进行防伪计算,将防伪计算结果添加到以太网数据中的防伪字段,将修改后的以太网数据传递到以太网数据调度模块;

第一mac核模块,用于发送以太网数据调度模块递交的处理后的以太网数据。

更优地,以太网数据防伪保护系统还包括密钥表项模块,用于提供安全处理模块进行防伪计算使用的密钥。

更优地,以太网数据防伪保护系统还包括信息统计模块,用于对以太网交换机物理接口处理的报文进行统计。

本申请与现有技术相比,其有益效果详细说明如下:本发明提供了一种以太网数据防伪保护方法及系统,应用在以太网交换机上,通过对以太网交换机的所有端口收到的以太网数据进行防伪校验,如果防伪校验通过则剥离防伪字段,在以太网交换机内正常转发,如果未通过防伪校验,说明是伪造的以太网数据,则丢弃该以太网数据。该以太网数据防伪保护方法和系统能够有效的解决在以太网中存在的ip地址伪造、mac地址伪造、arp报文伪造、stp攻击、dns攻击、dhcp攻击等安全隐患,增强以太网数据通信安全,增强交换机的安全特性,提供以太网数据的完整性保护和防篡改功能。

附图说明

图1为本发明实施例一接收以太网数据防伪保护方法流程示意图;

图2为本发明实施例二发送以太网数据防伪保护方法流程示意图;

图3为本发明实施例三以太网数据防伪保护系统结构示意图;

图4为本发明实施例四以太网数据防伪保护系统结构示意图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案,下面结合附图和具体实施例对本发明作进一步的详细说明。

如图1所示,本发明实施例一提供一种以太网数据防伪保护方法,应用于以太网交换机接收以太网数据,包括:

s11:接收外部的以太网数据,对以太网数据中的mac字段进行检查,检查通过则将以太网数据中的报文递交到下一步,检查未通过则丢弃该以太网数据;

s12:对递交的报文进行检查,检查通过则将该报文递交到下一步,检查未通过则丢弃该报文;

s13:对递交的报文进行防伪计算,将防伪计算结果与以太网数据中的防伪字段进行比较,若一致,则防伪校验通过,将以太网数据中的防伪字段剥离,将处理后的报文递交到下一步,若不一致,则防伪校验未通过,丢弃该报文;

s14:将递交的处理后的报文在以太网交换机内正常转发。

这里,通过以太网交换机对从所有端口收到的以太网数据进行防伪校验,检查以太网数据中增加的防伪字段是否伪造,如果通过防伪校验则剥离防伪字段,在以太网交换机内正常转发,如果未通过防伪校验,则说明是伪造的以太网数据,则丢弃该报文的方法,能够有效的解决接收的以太网数据中存在的ip地址伪造、mac地址伪造、arp报文伪造、stp攻击、dns攻击、dhcp攻击等安全隐患。

其中,对递交的报文进行防伪计算的方法,包括:根据密钥表项中的密钥,对递交的报文进行防伪计算。可以采用sm3杂凑算法进行防伪计算。

其中,该以太网数据防伪保护方法还包括对以太网交换机物理接口接收的报文进行统计。

如图2所示,本发明实施例二提供一种以太网数据防伪保护方法,应用于以太网交换机发送以太网数据,包括:

s21:接收内部的以太网数据,将以太网数据中的报文递交到下一步;

s22:对递交的报文进行防伪计算,将防伪计算结果添加到以太网数据中的防伪字段,将处理后的以太网数据递交到下一步;

s23:发送递交的处理后的以太网数据。

这里,以太网交换机在从所有端口发送的以太网数据中增加一个防伪字段再发送的方法,通过该防伪字段对以太网数据提供完整性和防篡改保护,该方法能够有效的解决接收的以太网数据中存在的ip地址伪造、mac地址伪造、arp报文伪造、stp攻击、dns攻击、dhcp攻击等安全隐患。

其中对递交的报文进行防伪计算的方法,包括:根据密钥表项中的密钥,对递交的报文进行防伪计算。可以采用sm3杂凑算法进行防伪计算。

其中,该以太网数据防伪保护方法还包括对以太网交换机物理接口发送的报文进行统计。

如图3所示,本发明实施例三提供一种以太网数据防伪保护系统,包括第一mac核模块、第二mac核模块、以太网数据调度模块和安全处理模块。

当该以太网数据防伪保护系统应用于以太网交换机接收以太网数据时:

第一mac核模块,用于接收外部的以太网数据,对以太网数据中的mac字段进行检查,检查通过则将以太网数据中的报文递交到以太网数据调度模块,检查未通过则丢弃该以太网数据。

以太网数据调度模块,用于对第一mac核模块递交的报文进行检查,检查通过则将该报文递交到安全处理模块,检查未通过则丢弃该报文;还用于将安全处理模块递交的处理后的报文,递交到第二mac核模块。

安全处理模块,用于对以太网数据调度模块递交的报文进行防伪计算,将防伪计算结果与以太网数据中的防伪字段进行比较,若一致,则防伪校验通过,将以太网数据中的防伪字段剥离,将处理后的报文递交到以太网数据调度模块,若不一致,则防伪校验未通过,丢弃该报文。

第二mac核模块,用于将以太网数据调度模块递交的处理后的报文在以太网交换机内正常转发。

当该以太网数据防伪保护系统应用于以太网交换机发送以太网数据时:

第二mac核模块,用于接收内部的以太网数据,将以太网数据中的报文递交到以太网数据调度模块。

以太网数据调度模块,用于将第二mac核模块递交的报文传递到安全处理模块;还用于将安全处理模块递交的处理后的以太网数据,递交到第一mac核模块。

安全处理模块,用于对以太网数据调度模块递交的报文进行防伪计算,将防伪计算结果添加到以太网数据中的防伪字段,将修改后的以太网数据传递到以太网数据调度模块。

第一mac核模块,用于发送以太网数据调度模块递交的处理后的以太网数据。

需要具体说明的是,在接收以太网数据时,第一mac核模块按照以太网数据格式规范负责对以太网数据中的mac字段进行检查,如果mac字段非法则丢弃该报文,如果检查通过则将该报文递交到以太网数据调度模块进行处理。在发送以太网数据时,第一mac核模块负责发送以太网数据调度模块递交的处理后的以太网数据。

其中,在接收以太网数据时,以太网数据调度模块负责检查第一mac核模块送来的报文,如果检查未通过则丢弃该报文,如果检查通过则将该报文递交安全处理模块进行处理,同时负责将安全处理模块处理后的报文递交第一mac核模块进行处理。在发送以太网数据时,以太网数据调度模块负责将第二mac核模块递交的报文传递到安全处理模块;还用于将安全处理模块递交的处理后的以太网数据,递交到第一mac核模块。

其中,安全处理模块负责在收到以太网数据调度模块送来的报文后,对报文进行防伪计算或者防伪校验。具体的,在发送以太网数据时,安全处理模块根据密钥表项中的密钥进行防伪计算,并将计算结果添加到以太网数据中的防伪字段,并将修改后的以太网数据递交以太网数据调度模块处理。在接收以太网数据时,安全处理模块根据密钥表项中的密钥进行防伪计算,并将计算结果和以太网数据中的防伪字段进行比较,一致则防伪校验通过,将防伪字段剥离并递交以太网数据调度模块处理,防伪校验未通过丢弃该报文。

其中,在接收以太网数据时,第二mac核模块用于将以太网数据调度模块递交的处理后的报文在以太网交换机内正常转发;在发送以太网数据时,第二mac核模块用于接收内部的以太网数据,将以太网数据中的报文递交到以太网数据调度模块。

如图4所示,本发明实施例四提供另一种以太网数据防伪保护系统,在实施例三的基础上,该以太网数据防伪保护系统还包括密钥表项模块,用于提供安全处理模块进行防伪计算使用的密钥。具体的,密钥表项提供防伪计算和防伪校验使用的密钥。

该以太网数据防伪保护系统还包括信息统计模块,用于对以太网交换机物理接口接收和发送的报文进行统计。具体的,信息统计模块提供以太网交换机物理接口的报文统计。

其中,防伪计算和防伪校验可以采用sm3杂凑算法,也可以采用其他算法。生成的防伪字段的方法为采用sm3杂凑算法对整个以太网数据进行摘要计算,生成消息摘要信息,并将该信息填充到以太网数据的防伪字段,通过该防伪字段对以太网数据提供完整性和防篡改保护。其中,也可以对以太网数据采用商密sm3杂凑算法计算防伪字段。

具体的,可以在以太网交换机的业务数据处理系统中增加以太网数据防伪保护系统,该以太网数据防伪保护方法及系统可通过内嵌交换芯片或采用独立的可编程器件实现。

以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1