专利名称:一种连通性故障告警方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种连通性故障告警方法及装置。
背景技术:
电气和电子工程师协会(IEEE, Institute of Electrical and ElectronicsEngineers)802. lag协议主要是用于以太网操作、管理与维护(0ΑΜ, Operations,Administration and Maintenance)中的故障管理,其中定义了连通性检测报文(CCM,Continuity Check Message),用于检测链路的连通性故障。802. lag定义的CCM 检测,在检测到故障后上报的告警有以下几种1号告警远端故障指示(RDI,Remote Defect Indication)告警。当收到携带 RDI的CCM时上报这种告警。2号告警桥设备MAC层状态(MAC Status)告警。在收到携带接口状态 TLV (interface status TLV,包括 Up,Down 等状态)或端口状态 TLV (portstatus TLV,主要显示转发层的阻塞状态或连通状态等)的CCM时会上报这种告警。3号告警链路出现中断故障。4号告警两端的频率不一致或收到CCM中的源MAC和期望的不一致。5 号告警两端的维护域(MD,Maintenance Domain)和维护联盟(MA,Maintenane Association)的名字配置不一致。1号,2号,4号和5号告警,都是由于CCM中携带的某些字段引起的,而这些告警最后都会导致协议的会话连接中断(即会话down),如果配置了 802. lag协议和其他保护协议联动,则会触发保护协议的倒换。现有技术的方案中对于一台设备的维护终结点(MEP,Maintenanceassociation End Point),预先配置好远端维护终结点(RMEP,RemoteMaintenance association End Point)表,用于接收期望收到其他设备的MEP发送的CCM,对于每个RMEP都预先绑定好MAC 地址,和其他设备相对应的MEP的MAC地址一致。当RMEP收到的CCM中的源MAC和本端 RMEP绑定的MAC地址不一致时,则认为该CCM是非法报文。除了由于故障正常触发上述告警之外,还有其他一些意外的方式会导致触发上述告警,例如1)恶意攻击网络上有攻击者仿冒CCM,修改其中的某些字段,比如MD和MA名字, 就会导致对端的远端维护终结点(RMEP,RemoteMaintenance association End Point)连接中断(即对端设备配置的RMEP显示会话Down),如果配置了联动功能,则还会触发链路的误倒换。如图1中所示,A设备和B设备都配置相同的MD+MA名字,例如为“Admin”,两台设备之间互相发送的CCM中都携带MD+MA为“Admin”的字段。当攻击者仿冒A设备的CCM,仅修改MD+MA为“Hacker”,连续发送给设备B时,当B设备收到攻击报文后,校验和本端配置不一致,则上报告警,触发RMEP Down,破坏了 A设备和B设备之间的CCM检测。2)废弃的配置会导致出现不需要的告警所述废弃的配置包括网络升级或重新规划时已经废弃,但由于人为失误没有删除的配置,而该废弃的配置仍然会发送CCM,由于该配置已经废弃,该废弃的配置发送的CCM中源MAC地址(SMAC)会被接收设备识别为错误的,或者该废弃的配置发送的CCM中MD和MA名字会被接收设备识别为错误的,因此接收设备接收到该CCM后会发出不必要的告警,扰乱接收设备正常的CCM检测过程。发明人在实现本发明过程中发现,现有方案至少存在如下缺点现有的802. lag告警方案会产生一些不必要的告警,例如,废弃的配置导致的告警,以及攻击者侦听后仿冒MAC、修改其他字段进行攻击导致的告警,这些不必要的告警会引起其他相关联业务出现严重问题,且影响正常CCM检测过程。
发明内容
本发明实施例提供一种连通性故障告警方法及装置,对802. lag的CCM检测过程进行安全认证,避免触发不必要的告警。本发明实施例是通过以下技术方案实现的本发明实施例提供一种连通性故障告警方法,包括接收连通性检测报文CCM,判断所述CCM中是否携带安全认证信息;若所述CCM中携带安全认证信息,则根据所述安全认证信息验证所述CCM是否为合法报文;对验证为合法的CCM进行检测,根据检测结果确定是否触发告警。本发明实施例提供一种连通性故障告警装置,包括接收单元,用于接收连通性检测报文CCM ;第一判断单元,用于判断所述CCM中是否携带安全认证信息;第二判断单元,用于在所述第一判断单元判断所述CCM中携带所述安全认证信息的情况下,根据所述安全认证信息验证所述CCM是否为合法报文;合法报文检测单元,用于对验证为合法的CCM进行检测,根据检测结果确定是否
触发告警。本发明实施例提供一种告警报文发送方法,包括构造连通性检测报文CCM,在所述CCM中添加安全认证信息;所述安全认证信息用于验证所述CCM是否为合法报文;发送添加安全认证信息的CCM。本发明实施例提供一种告警报文发送装置,包括构造单元,用于构造连通性检测报文CCM,在所述CCM中添加安全认证信息;所述安全认证信息用于验证所述CCM是否为合法报文;发送单元,用于发送添加安全认证信息的CCM。由上述本发明实施例提供的技术方案可以看出,本发明实施例解决了 802. lag安全性薄弱的问题,对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。
图1为现有技术恶意攻击导致告警示意图;图2为本发明一个实施例连通性故障告警方法流程图;图3为本发明一个实施例CCM报文结构示意图;图4为本发明一个实施例TLV结构示意图;图5为本发明一个实施例连通性故障告警装置结构示意图;图6为本发明一个实施例连通性故障告警装置中第二判断单元结构示意图;图7为本发明一个实施例告警报文发送方法流程图;图8为本发明一个实施例告警报文发送装置结构示意图;图9为本发明一个实施例告警报文发送装置中构造单元结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明一个实施例提供一种连通性故障告警方法,以图2中所示为例,该方法包括如下步骤步骤10 接收 CCM ;该CCM为用于检测链路的连通性故障的报文。步骤11 判断所述CCM中是否存在安全认证信息;本发明实施例CCM报文结构如图3中所示,其中灰色处字段为会触发告警的字段, 即当这些字段中的一个或多个与期望的不一致时则会触发告警。本发明实施例所述安全认证信息用于验证所述CCM是否为合法报文;该安全认证信息中包括摘要,该摘要为发送该 CCM的设备计算并添加在该CCM中。本发明一个实施例所述安全认证信息可以包含一种TLV,该TLV是一种编码方式, 通过类型,长度,值三元组来编码,一种可选的TLV结构如图4中所示,包括如下字段类型Type 1个字节,用于表示该TLV是用于进行安全认证的TLV。长度Length字段2个字节,该Length字段用于表示加密认证模式及验证码或摘要字段的总共长度,即CodeType字段加上Key or Digest字段的长度; CodeType 1个字节,表示加密认证模式;Key or Digest 变长,长度是Length-I个字节,该字段携带验证码或摘要。若所述CCM中没有携带安全认证信息,则确定所述CCM为非法报文,可以丢弃该非法报文;若所述CCM中携带安全认证信息,则执行步骤12 ;步骤12 根据所述安全认证信息验证所述CCM是否为合法报文;CCM接收方接收的CCM中的安全认证信息可以包括摘要,该摘要为CCM发送方利用收发CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算的。 CCM发送方在CCM中添加包括该摘要的安全认证信息,并将该CCM发送给CCM接收方。本发明实施例所述收发CCM的双方协商的密钥为针对一种配置的密钥,也就是每次更新配置就会相应更新密钥。CCM接收方利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算摘要,将计算得到的摘要与安全认证信息中包含的摘要比对, 若一致,则确定所述CCM为合法报文。例如,以安全认证信息包括TLV,并且摘要计算方式为MD5固定密钥认证模式为例,两端预先协商确定配置的密钥,两端均采用CCM中的SMAC 字段、Flag 字段(包含 RDI 比特位)、MD+MA name、Port status TLV、Interface status TLV、序列号和预先协商的密钥一起计算摘要,发送CCM的一端将计算的摘要添加到Keyor Digest中,接收端按照同样方法计算得到的摘要与Key or Digest字段中的摘要比对,若一致则表明本次接收的CCM为合法报文,否则为非法报文。上述所列举的仅为一种实施例,实际应用中也可以采用其他加密认证模式,例如采用SHA-I等算法,其基本的认证思路同采用MD5的方案,只是用SHA-I等其他加密算法来替代MD5加密算法。本发明实施例将RDI,SMAC, MD+MA等会触发告警的字段均加入加密计算过程,攻击者即使修改这些字段,但是由于没有密钥,也无法生成相匹配的摘要,从而无法仿冒,有效实现了防攻击,且将序列号加入计算,使得生成的摘要也在动态变化,攻击者侦听后再仿冒的已经是过时的报文。对于废弃的配置,由于其设置的密钥已经无效,因此CCM接收方会验证出该废弃的配置发送的CCM为非法报文,可选地作丢弃处理,因此不会触发不必要的告警。还可以采用明文认证模式,本发明实施例的一个具体应用场景中令CodeType取值为1表明加密认证模式为明文认证模式,CodeType取值为2表明加密认证模式为MD5固定密钥认证模式。若TLV中的加密认证模式表明为明文认证模式,则Key or Digest字段中将包含对应的验证码,验证TLV中包含的验证码是否与本端配置的验证码一致,若不一致,则确定所述CCM为非法报文,若一致则确定所述CCM为合法报文;也就是本发明实施例两端设备需要预先确定并配置相同的验证码。该明文认证模式实现简单,可以适用于计算性能相对较低的设备。可选地,本发明实施例收发CCM双方可以协商定期更新计算摘要使用的密钥。对于攻击者侦听正常触发告警的CCM报文后,长时间仿冒攻击发送的报文,可以提示给用户。步骤13 对验证为合法的CCM进行检测,根据检测结果确定是否触发告警。本发明实施例对验证为合法的CCM可以进行检测,确定是否告警,具体检测合法 CCM确定是否告警的方法本发明实施例对此不做具体限定,例如可以检测CCM中是否携带 RDI,若携带则触发1号告警等等。避免了由于恶意攻击或地址配置错误触发告警引起的其他相关联业务出现严重问题。本发明实施例提供的连通性故障告警方法解决了 802. lag安全性薄弱的问题,对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。本发明实施例可以通过硬件实现,例如利用专用集成电路(ASIC,Application Specific Integrated Circuit)芯片或元件可编程逻辑门阵列(FieldProgrammable GateArray, FPGA)芯片根据CCM中固定的字段计算偏移,因为CCM中所有会触发告警的字段都是固定偏移且固定长度的,在ASIC芯片或FPGA芯片设计专门的MD5计算模块,可以实现快速加密计算(计算摘要),令安全认证过程达到毫秒级,或者也可以采用多核中央处理器 (CentralProcessing Unit, CPU),利用 CPU 的多核资源进行 MD5 计算。本发明实施例还提供一种连通性故障告警装置,如图5所示,包括接收单元50,用于接收连通性检测报文CCM ;第一判断单元51,用于判断所述CCM中是否携带安全认证信息;第二判断单元52,用于在所述第一判断单元51判断所述CCM中携带安全认证信息情况下,根据所述安全认证信息验证所述CCM是否为合法报文;合法报文检测单元53,用于检测验证为合法的CCM,根据检测结果确定是否触发口目。如图6中所示,所述第二判断单元52可进一步包括摘要验证子单元521,用于利用收发所述CCM的双方协商的密钥和CCM报文中所有会触发告警的字段按照预定的计算方法计算摘要,将计算得到的摘要与安全认证信息TLV 中包含的摘要比对,若一致,则确定所述CCM为合法报文。可选地,该第二判断单元52还包括密钥更新子单元522,用于定期更新计算摘要所用的密钥。本发明实施例提供的连通性故障告警装置可以设置于CCM报文接收端设备。本发明实施例提供的连通性故障告警装置解决了 802. lag安全性薄弱的问题,对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。本发明实施例还提供一种告警报文发送方法,如图7中所示,包括如下步骤步骤70 构造CCM,在所述CCM中添加安全认证信息;所述安全认证信息用于验证所述CCM是否为合法报文;一个具体实施例所述安全认证信息具体包括利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算的摘要。本发明一个实施例所述安全认证信息可以包含一种TLV, 该TLV —种可选的TLV结构如图4中所示,此处不再赘述。本发明实施例收发CCM的双方可以预先协商使用的密钥,可以协商使用一个密钥,也可以协商定期更新使用的密钥,这样能够更加有效的避免报文被仿冒。步骤71 发送添加安全认证信息的CCM。本发明实施例通过在发送的CCM中添加安全认证信息,解决了 802. lag安全性薄弱的问题,使CCM接收端可以根据该安全认证信息对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM 报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。本发明一个实施例还一种告警报文发送装置,如图8中所示,该装置包括构造单元80,用于构造CCM,在所述CCM中添加安全认证信息;所述安全认证信息用于验证所述CCM是否为合法报文;一个具体实施例所述安全认证信息具体包括利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算的
8摘要。本发明一个实施例所述安全认证信息可以包含一种TLV,该TLV —种可选的TLV结构如图4中所示,此处不再赘述。发送单元81,用于发送添加安全认证信息的CCM。如图9所示,该构造单元80可以进一步包括计算子单元801,用于利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算摘要,作为安全认证信息添加在CCM中。更新子单元802,用于定期更新计算摘要使用的密钥。本发明实施例所述告警报文发送装置通过在发送的CCM中添加安全认证信息,解决了 802. lag安全性薄弱的问题,使CCM接收端可以根据该安全认证信息对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。综上所述,本发明实施例解决了 802. lag安全性薄弱的问题,对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。同时,本发明实施例将会触发告警的字段加入加密计算过程,攻击者即使修改这些字段,但是由于没有密钥,也无法生成相匹配的摘要,从而无法仿冒,有效实现了防攻击。另外,本发明实施例将序列号加入加密计算,使得生成的摘要也在动态变化,攻击者侦听后再仿冒已经是过时的报文,有效实现了防攻击。本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一计算机可读存储介质中,例如只读存储器(简称ROM)、随机存取存储器(简称RAM)、磁盘、光盘等。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种连通性故障告警方法,其特征在于,包括接收连通性检测报文CCM,判断所述CCM中是否携带安全认证信息; 若所述CCM中携带安全认证信息,则根据所述安全认证信息验证所述CCM是否为合法报文;对验证为合法的CCM进行检测,根据检测结果确定是否触发告警。
2.如权利要求1所述的方法,其特征在于,所述安全认证信息中包含摘要,所述根据所述安全认证信息验证所述CCM是否为合法报文包括利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算摘要,将计算得到的摘要与安全认证信息中包含的摘要比对,若一致,则确定所述 CCM为合法报文。
3.如权利要求2所述的方法,其特征在于,所述方法还包括 收发所述CCM的双方协商定期更新计算摘要使用的密钥。
4.一种连通性故障告警装置,其特征在于,包括 接收单元,用于接收连通性检测报文CCM ;第一判断单元,用于判断所述CCM中是否携带安全认证信息; 第二判断单元,用于在所述第一判断单元判断所述CCM中携带所述安全认证信息的情况下,根据所述安全认证信息验证所述CCM是否为合法报文;合法报文检测单元,用于对验证为合法的CCM进行检测,根据检测结果确定是否触发口目。
5.如权利要求4所述的装置,其特征在于,所述安全认证信息中包含摘要,所述第二判断单元进一步包括摘要验证子单元,用于利用收发所述CCM的双方协商的密钥和CCM报文中所有会触发告警的字段按照预定的计算方法计算摘要,将计算得到的摘要与安全认证信息TLV中包含的摘要比对,若一致,则确定所述CCM为合法报文。
6.如权利要求5所述的装置,其特征在于,所述第二判断单元还包括 密钥更新子单元,用于定期更新计算摘要使用的密钥。
7.一种告警报文发送方法,其特征在于,包括构造连通性检测报文CCM,在所述CCM中添加安全认证信息;所述安全认证信息用于验证所述CCM是否为合法报文;发送添加安全认证信息的CCM。
8.如权利要求7所述的方法,其特征在于,所述安全认证信息具体包括利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算的摘要。
9.一种告警报文发送装置,其特征在于,包括构造单元,用于构造连通性检测报文CCM,在所述CCM中添加安全认证信息;所述安全认证信息用于验证所述CCM是否为合法报文; 发送单元,用于发送添加安全认证信息的CCM。
10.如权利要求9所述的装置,其特征在于,所述构造单元进一步包括计算子单元,用于利用收发所述CCM的双方协商的密钥和CCM中所有会触发告警的字段按照预定的计算方法计算摘要,作为安全认证信息添加在CCM中; 更新子单元,用于定期更新计算摘要使用的密钥。
全文摘要
本发明实施例涉及通信领域一种连通性故障告警方法,包括接收连通性检测报文CCM,判断所述CCM中是否携带安全认证信息;若所述CCM中携带安全认证信息,则根据所述安全认证信息验证所述CCM是否为合法报文;对验证为合法的CCM进行检测,根据检测结果确定是否触发告警。本发明实施例还提供一种连通性故障告警装置以及一种告警报文发送方法及装置。本发明实施例解决了802.1ag安全性薄弱的问题,对接收的CCM先进行安全认证,在认证为合法的情况下,再确定是否需要告警,在现网的应用中可以有效防御由攻击者恶意仿冒CCM报文触发告警以及废弃的配置触发的告警引起的其他相关联业务出现严重问题。
文档编号H04L12/24GK102164042SQ20101011096
公开日2011年8月24日 申请日期2010年2月21日 优先权日2010年2月21日
发明者岳坚飞, 钱锋, 韩涛 申请人:华为技术有限公司