專利名稱:避免狀態(tài)機(jī)被攻擊的方法及服務(wù)器�、交換機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)中心技術(shù)領(lǐng)域,具體涉及避免狀態(tài)機(jī)被攻擊的方法及服務(wù)器��、交換機(jī)�。
背景技術(shù):
隨著數(shù)據(jù)中心業(yè)務(wù)日益增加,用戶需求不斷提高��,數(shù)據(jù)中心的規(guī)模和功能日趨復(fù)雜����,管理難度也越來越高。在這一背景下��,整合數(shù)據(jù)中心����、降低數(shù)據(jù)中心的管理成本,充分挖掘現(xiàn)有資源能力以適應(yīng)更高的業(yè)務(wù)需求�����,成為企業(yè)數(shù)據(jù)中心的重要任務(wù)���。對(duì)數(shù)據(jù)中心資源進(jìn)行虛擬化�,成為目前數(shù)據(jù)中心整合的重要趨勢。虛擬化技術(shù)通過對(duì)物理資源和提供的服務(wù)進(jìn)行抽象化�,讓資源使用者和系統(tǒng)管理者不關(guān)心對(duì)象的物理特征和服務(wù)邊界的細(xì)節(jié),從而降低資源使用和管理的復(fù)雜度�����,提高使用效率�。因而,對(duì)數(shù)據(jù)中心的虛擬化能夠提高數(shù)據(jù)中心的資源利用率��,如中央處理單元(CPU, Central Processing Unit)利用率�����、存儲(chǔ)容量等��,降低系統(tǒng)的能耗,并減少系統(tǒng)的設(shè)計(jì)����、運(yùn)行���、管理�����、維護(hù)成本�����,從而實(shí)現(xiàn)整合的目標(biāo)��。數(shù)據(jù)中心的虛擬化技術(shù)主要包括3方面內(nèi)容:網(wǎng)絡(luò)虛擬化���、存儲(chǔ)虛擬化和服務(wù)器虛擬化���,最主要的是服務(wù)器虛擬化。通過專用的虛擬化軟件(如VMware)管理����,一臺(tái)物理服務(wù)器能虛擬出多臺(tái)虛擬機(jī)(VM, Virtual Machine)。圖1為現(xiàn)有的服務(wù)器虛擬化示意圖��,如圖1所示�,每臺(tái)VM獨(dú)立運(yùn)行,互不影響��,都有自己的操作系統(tǒng)和應(yīng)用程序及虛擬的硬件環(huán)境���,包括虛擬CPU���、內(nèi)存�����、存儲(chǔ)設(shè)備�����、輸入輸出(IO)設(shè)備���、虛擬交換機(jī)等。VM內(nèi)部的交換機(jī)主要用于完成VM與外部網(wǎng)絡(luò)�、VM與VM間的流量交換,這種交換機(jī)稱為虛擬以太網(wǎng)交換機(jī)����。虛擬以太網(wǎng)交換機(jī)(vSwitch)既可以通過軟件實(shí)現(xiàn)�����,也可以通過硬件方式實(shí)現(xiàn)����,如借助網(wǎng)卡硬件�����。但 無論是軟件實(shí)現(xiàn)還是硬件實(shí)現(xiàn)�,由于成本和資源消耗等因素限制�����,虛擬以太網(wǎng)交換機(jī)實(shí)現(xiàn)不可避免存在如下一些較大的局限:I)缺乏流量監(jiān)管能力��,如報(bào)文統(tǒng)計(jì)��、流鏡像功能��、Net Stream等��。2)難以實(shí)施網(wǎng)絡(luò)控制策略��,例如端口安全特性���、服務(wù)質(zhì)量(QoS��,Quality ofService)����、訪問控制列表(ACL, Access Control List)。3)管理困難���,尤其是需要將服務(wù)器內(nèi)部網(wǎng)絡(luò)與外部交換網(wǎng)統(tǒng)一考慮部署時(shí)����。為此�����,電氣和電子工程師協(xié)會(huì)(IEEE,Institute of Electrical and ElectronicsEngineers)802.1工作組著手?jǐn)M定一個(gè)新的標(biāo)準(zhǔn)協(xié)議來解決上述問題��,主要思路是將VM內(nèi)的流量交換和處理(包括同一物理服務(wù)器上的虛擬機(jī)之間的流量交換)都交給服務(wù)器的邊緣交換機(jī)完成��,從而使流量的管理和監(jiān)管成為可能���,也使服務(wù)器內(nèi)部的交換網(wǎng)絡(luò)的部署和管理能統(tǒng)一處理��。該標(biāo)準(zhǔn)稱為802.1Qbg,即邊緣虛擬橋接(EVB, Edge Virtual Bridging)技術(shù)����。EVB的功能由服務(wù)器和邊緣交換機(jī)協(xié)同完成��。EVB技術(shù)分為交換機(jī)(Bridge)EVB技術(shù)和服務(wù)器(Station)EVB技術(shù)�����,兩部分配合完成EVB功能����。EVB服務(wù)器和EVB交換機(jī)之間通過S通道發(fā)現(xiàn)和配置協(xié)議(⑶CP,S-ChannelDiscovery and Configuration Protocol)類型長度值(TLV,Type Length Value)完成S通道創(chuàng)建的協(xié)商��;通過EVB-TLV完成EVB功能參數(shù)的協(xié)商����;且在服務(wù)器創(chuàng)建、遷移和刪除時(shí)��,通過虛擬服務(wù)器接口發(fā)現(xiàn)協(xié)議(VDP,Virtual Station Interface Discovery Protocol)/邊緣控制協(xié)議(ECP, Edge Control Protocol)通知邊緣交換機(jī)進(jìn)行相應(yīng)處理��。⑶CP用于服務(wù)器與邊緣交換機(jī)協(xié)商創(chuàng)建或者刪除S通道�����。該協(xié)議報(bào)文承載于鏈路層發(fā)現(xiàn)協(xié)議(LLDP,Link Layer Discovery Protocol)報(bào)文����,即服務(wù)器和交換機(jī)之間通過LLDP報(bào)文交換⑶CP TLV信息��。如果服務(wù)器支持S通道���,那么將根據(jù)自身虛擬交換機(jī)的配置情況,向邊緣交換機(jī)發(fā)送CDCP TLV,申請(qǐng)創(chuàng)建S通道�。邊緣交換機(jī)根據(jù)當(dāng)前能力,為其創(chuàng)建對(duì)應(yīng)的S通道和S通道對(duì)應(yīng)的接口����。 圖2給出了現(xiàn)有的⑶CP TLV的格式示意圖,如圖2所示����,各字段的格式如下:Type:CDCP TLV 與 LLDP 中其它 dot Iq 的 TLV 一樣,type 取值為 127���,subtype 取值為OxOE �����;角色(Role):取值I時(shí)�,表不本設(shè)備為服務(wù)器(station);取值O時(shí),表不本設(shè)備為交換機(jī)(bridge)���;保留位(Resv):暫不使用��,以O(shè)填充�����;S組件支持能力(SComp):取值I時(shí)����,表示能支持S-虛擬局域網(wǎng)(VLAN)組件�����,取值O時(shí)��,則表示不支持S-VLAN組件����;本設(shè)備支持的S通道數(shù)目(Chncap):這里的S通道包括已經(jīng)成功創(chuàng)建和尚未創(chuàng)建的;SCID/SVID:S通道索引(SCID)和對(duì)應(yīng)的SVID�����。第一個(gè)必須是缺省S通道�,SP〈1,1>���,CDCP報(bào)文最多支持167個(gè)SCID/SVID對(duì)�,其中包括缺省S通道的SCID/SVID。圖3給出了現(xiàn)有的⑶CP TLV的交互過程����,如圖3所示,以太網(wǎng)接口上使能EVB功能后���,邊緣交換機(jī)通過LLDP報(bào)文向外通告S通道狀態(tài)�。當(dāng)服務(wù)器內(nèi)部的VM有創(chuàng)建S通道的請(qǐng)求�,或者原有的請(qǐng)求發(fā)生變化時(shí),向邊緣交換機(jī)發(fā)出S通道請(qǐng)求報(bào)文����,邊緣交換機(jī)為服務(wù)器分配或者釋放SVID,創(chuàng)建或者刪除對(duì)應(yīng)的S通道接口��,隨后回復(fù)響應(yīng)報(bào)文����,通知服務(wù)器分配或者釋放的SVID。服務(wù)器和交換機(jī)都在后續(xù)的報(bào)文中攜帶當(dāng)前存在的S通道的信息作為狀態(tài)通告?��,F(xiàn)有的服務(wù)器(Station)側(cè)�����、交換機(jī)(Bridge)側(cè)分別維護(hù)有CDCP狀態(tài)機(jī)�����,以維護(hù)⑶CP狀態(tài)����。其中����,Station側(cè)的⑶CP狀態(tài)機(jī)包括三個(gè)狀態(tài),依次為:初始(Init)狀態(tài)�、通道請(qǐng)求(ChannelRequest)狀態(tài)和接收SVID (RxSVIDs)狀態(tài),Init狀態(tài)維護(hù)Station初始化過程中的狀態(tài)參數(shù)�����;ChannelRequest狀態(tài)維護(hù)S通道請(qǐng)求過程中的各狀態(tài)參數(shù)��;RxSVIDs狀態(tài)維護(hù)SVID接收過程及接收到后的狀態(tài)參數(shù)�����。Bridge側(cè)的CDCP狀態(tài)機(jī)也包括三個(gè)狀態(tài),依次為=Init狀態(tài)�、ChannelRequest狀態(tài)和發(fā)送SVID (TxSVIDs)狀態(tài),Init狀態(tài)���、ChannelRequest狀態(tài)與Station類似,TxSVIDs狀態(tài)維護(hù)向Station發(fā)送SVID過程及發(fā)送完后的狀態(tài)���。對(duì)于Station來說,當(dāng)滿足條件RemoteRole ! = rwB,即遠(yuǎn)程角色不為Bridge時(shí)�,會(huì)返回到初始的init狀態(tài)。對(duì)于Bridge來說�����,當(dāng)滿足條件RemoteRole ! = rwS,即遠(yuǎn)程角色不為Station時(shí)����,會(huì)返回到初始的init狀態(tài)。目前的⑶CP狀態(tài)機(jī)存在保護(hù)不足的安全問題���。正常情況下��,Station和Bridge之間正常協(xié)商并維持著S通道,Station和Bridge側(cè)的CDCP狀態(tài)機(jī)運(yùn)行正常���。如果在station和Bridge之間有惡意攻擊者�,當(dāng)攻擊者構(gòu)造出一個(gè)CDCP報(bào)文,其中的role = Station,那么當(dāng)Station的CDCP狀態(tài)機(jī)正常運(yùn)行的情況下�,突然接收到該攻擊報(bào)文后,因?yàn)闈M足判斷條件RemoteRole ! = rwB,就會(huì)導(dǎo)致狀態(tài)機(jī)歸為初始的init狀態(tài)�。同理,當(dāng)攻擊者構(gòu)造出一個(gè)CDCP報(bào)文�����,其中的role = Bridge�����,那么當(dāng)Bridge的CDCP狀態(tài)機(jī)正常運(yùn)行的情況下���,突然接收到該攻擊報(bào)文后,因?yàn)闈M足判斷條件RemoteRole ! = rwS,就會(huì)導(dǎo)致狀態(tài)機(jī)歸為初始的init狀態(tài)���。如果惡意攻擊者構(gòu)造出這種role異常的⑶CP報(bào)文�,并不定期發(fā)送給Station或者Bridge,就會(huì)導(dǎo)致出現(xiàn)大量的Station和Bridge狀態(tài)機(jī)運(yùn)行異常的情況,從而導(dǎo)致已經(jīng)協(xié)商出的S通道無法正常運(yùn)行��。出現(xiàn)該問題的原因在于現(xiàn)有技術(shù)方案中��,Station和Bridge狀態(tài)機(jī)缺乏一種安全機(jī)制保證。
發(fā)明內(nèi)容
本發(fā)明提供避免狀態(tài)機(jī)被攻擊的方法及服務(wù)器�����、交換機(jī)���,以避免EVB Station和EVB Bridge之間的惡意攻擊�����。本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:一種避免狀態(tài)機(jī)被攻擊的方法�����,應(yīng)用于邊緣虛擬橋接EVB系統(tǒng)中����,該方法包括:在EVB交換機(jī)上配置共享密鑰和鑒權(quán)算法���;當(dāng)EVB交換機(jī)接收到EVB服務(wù)器發(fā)來的S通道創(chuàng)建請(qǐng)求報(bào)文時(shí)�����,從該報(bào)文中讀取隨機(jī)序列號(hào)SeqNum值和EVB服務(wù)器的媒體接入控制MAC地址���,記錄該SeqNum值與EVB服務(wù)器的MAC地址的對(duì)應(yīng)關(guān)系��;當(dāng)EVB交換機(jī)接收到EVB`服務(wù)器后續(xù)發(fā)來的S通道發(fā)現(xiàn)和配置協(xié)議⑶CP請(qǐng)求報(bào)文時(shí)��,從該報(bào)文中讀取EVB服務(wù)器的MAC地址��,在記錄的SeqNum值與EVB服務(wù)器的MAC地址的對(duì)應(yīng)關(guān)系中���,查找讀取的MAC地址對(duì)應(yīng)的SeqNum值,判斷查找到的SeqNum值與讀取的SeqNum值是否相同�����,若相同�,從報(bào)文中讀取鑒權(quán)值,以所述SeqNum值和共享密鑰作為鑒權(quán)算法的輸入值�����,得到鑒權(quán)值����,判斷該鑒權(quán)值與讀取的鑒權(quán)值是否相同����,若是����,則向EVB服務(wù)器返回CDCP響應(yīng)報(bào)文�����;否則�,將該請(qǐng)求報(bào)文丟棄其中,S通道創(chuàng)建請(qǐng)求報(bào)文中的SeqNum為EVB服務(wù)器采用配置的SeqNum生成算法生成的ADCP請(qǐng)求報(bào)文中的鑒權(quán)值為EVB服務(wù)器以生成的SeqNum和共享密鑰作為鑒權(quán)算法的輸入值計(jì)算得到的�����,該共享密鑰和鑒權(quán)算法與EVB交換機(jī)相同���。所述鑒權(quán)算法為消息摘要MD5算法���。所述方法進(jìn)一步包括:每隔預(yù)設(shè)更新時(shí)長,更新一次所述共享密鑰的值���。所述方法進(jìn)一步包括:在EVB交換機(jī)上配置節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系����,當(dāng)EVB交換機(jī)發(fā)現(xiàn)EVB服務(wù)器上線后,選擇一個(gè)節(jié)點(diǎn)號(hào)��,同時(shí)采用該節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法對(duì)共享密鑰進(jìn)行加密����,將節(jié)點(diǎn)號(hào)和加密結(jié)果發(fā)送給EVB服務(wù)器,以使得:EVB服務(wù)器根據(jù)該節(jié)點(diǎn)號(hào)��,在自身配置的節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中��,查找到對(duì)應(yīng)的加密算法����,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密,得到共享密鑰���,其中����,不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法不同���,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè)。
所述SeqNum值攜帶在⑶CP請(qǐng)求報(bào)文的保留字段I中����,所述鑒權(quán)值攜帶在⑶CP請(qǐng)求報(bào)文的保留字段2中��。一種邊緣虛擬橋接EVB交換機(jī)���,包括:配置模塊:保存共享密鑰和鑒權(quán)算法;鑒權(quán)模塊:當(dāng)接收到S通道發(fā)現(xiàn)和配置協(xié)議CDCP請(qǐng)求報(bào)文時(shí)����,若從該報(bào)文中只讀取到EVB服務(wù)器的媒體接入控制MAC地址和隨機(jī)序列號(hào)SeqNum值,則記錄該MAC地址與該SeqNum值的對(duì)應(yīng)關(guān)系��;若從該報(bào)文中讀取到EVB服務(wù)器的MAC地址���、SeqNum值和鑒權(quán)值����,則根據(jù)報(bào)文中的EVB服務(wù)器的MAC地址���,在自身記錄的MAC地址與SeqNum值的對(duì)應(yīng)關(guān)系中����,查找對(duì)應(yīng)的SeqNum值�����,判斷查找到的SeqNum值與報(bào)文中的SeqNum值是否相同,若相同���,則從配置模塊讀取共享密鑰和鑒權(quán)算法��,以該SeqNum值和共享密鑰作為該鑒權(quán)算法的輸入值��,計(jì)算得到鑒權(quán)值�,判斷計(jì)算得到的鑒權(quán)值與報(bào)文中的鑒權(quán)值是否相同���,若是�,則向EVB服務(wù)器返回CDCP響應(yīng)報(bào)文�;否則,將該請(qǐng)求報(bào)文丟棄����。所述配置模塊進(jìn)一步用于,每隔預(yù)設(shè)更新時(shí)長�����,更新一次所述共享密鑰的值。所述配置模塊進(jìn)一步用于����,保存節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系�����,當(dāng)發(fā)現(xiàn)EVB服務(wù)器上線后�����,選擇一個(gè)節(jié)點(diǎn)號(hào)�����,同時(shí)采用該節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法對(duì)共享密鑰進(jìn)行加密���,將節(jié)點(diǎn)號(hào)和加密結(jié)果發(fā)送給EVB服務(wù)器�,以使得:EVB服務(wù)器根據(jù)該節(jié)點(diǎn)號(hào)��,在自身配置的節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中���,查找到對(duì)應(yīng)的加密算法�,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密,得到共享密鑰�,其中,不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法不同�,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè)。一種邊緣虛擬橋接EVB服務(wù)器����,包括:配置模塊:保存共享密鑰,保存隨機(jī)序列號(hào)SeqNum生成算法���,保存配置的或從EVB交換機(jī)獲取到的鑒權(quán)算法����;
·
請(qǐng)求模塊:當(dāng)要?jiǎng)?chuàng)建S通道時(shí)��,根據(jù)配置模塊中的SeqNum生成算法�����,生成一個(gè)SeqNum值���,向EVB交換機(jī)發(fā)出攜帶該SeqNum值的S通道發(fā)現(xiàn)和配置協(xié)議⑶CP請(qǐng)求報(bào)文���;當(dāng)后續(xù)發(fā)出CDCP請(qǐng)求報(bào)文時(shí),從配置模塊讀取共享密鑰和鑒權(quán)算法,以所述SeqNum值和該共享密鑰作為該鑒權(quán)算法的輸入值���,得到鑒權(quán)值����,將所述SeqNum值和所述鑒權(quán)值放入該⑶CP請(qǐng)求報(bào)文中����。當(dāng)配置模塊保存的鑒權(quán)算法是從EVB交換機(jī)獲取到的時(shí)����,所述配置模塊進(jìn)一步用于,保存節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系����,其中,不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法不同��,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè)����;當(dāng)接收到EVB交換機(jī)發(fā)來的節(jié)點(diǎn)號(hào)和加密結(jié)果時(shí),根據(jù)該節(jié)點(diǎn)號(hào)���,在節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中�,查找到對(duì)應(yīng)的加密算法,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密��,得到共享密鑰�。與現(xiàn)有技術(shù)相比,本發(fā)明能夠避免EVB Station和EVB Bridge之間的惡意攻擊����。
圖1為現(xiàn)有的服務(wù)器虛擬化示意圖;圖2為現(xiàn)有的⑶CP TLV的格式示意圖�;圖3為現(xiàn)有的⑶CP TLV的交互過程示意圖;圖4為本發(fā)明實(shí)施例提供的避免狀態(tài)機(jī)被攻擊的方法流程圖���;圖5為本發(fā)明實(shí)施例提供的EVB交換機(jī)的組成示意圖6為本發(fā)明實(shí)施例提供的EVB服務(wù)器的組成示意圖�����。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明�����。圖4為本發(fā)明實(shí)施例提供的避免狀態(tài)機(jī)被攻擊的方法流程圖�,如圖4所示�,其具體步驟如下:步驟401:在EVB服務(wù)器(Station)和EVB交換機(jī)(Bridge)側(cè)配置相同的共享密鑰和鑒權(quán)算法���,預(yù)先在Station上配置隨機(jī)序列號(hào)(SeqNum)生成算法。在實(shí)際應(yīng)用中��,共享密鑰也可以只配置在Bridge上�����,Station通過與Bridge進(jìn)行交互���,獲得該共享密鑰。具體實(shí)現(xiàn)可如下:步驟01:預(yù)先在EVB Bridge上配置共享密鑰����,同時(shí)在fcidge和Station上配置節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系,其中����,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè),不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法互不相同�����。根據(jù)具體實(shí)現(xiàn)��,加密算法要盡量地復(fù)雜、不易破解�。步驟02:當(dāng)Bridge發(fā)現(xiàn)Station上線后,選擇一個(gè)節(jié)點(diǎn)號(hào)��,同時(shí)采用該節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法對(duì)共享密鑰進(jìn)行加密����,將節(jié)點(diǎn)號(hào)和加密結(jié)果發(fā)送給Station。步驟03 =Station接收節(jié)點(diǎn)號(hào)和加密結(jié)果�����,根據(jù)該節(jié)點(diǎn)號(hào)���,在自身配置的節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中���,查找到對(duì)應(yīng)的加密算法,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密�����,得到共享密鑰���。步驟402:當(dāng)Station有創(chuàng)建S通道的請(qǐng)求時(shí),根據(jù)配置的SeqNum生成算法,生成一個(gè)SeqNum,然后向Bridge發(fā)出⑶CP請(qǐng)求報(bào)文,在該報(bào)文的Resvl字段中攜帶該SeqNum����。SeqNum 用于唯一標(biāo)識(shí)本 Station。SeqNum 由 Station 隨機(jī)生成�,SeqNum 值在一定數(shù)值空間范圍內(nèi)變化,且在盡可能長的時(shí)間周期內(nèi)不會(huì)出現(xiàn)重復(fù)��。隨后該Station和該Bridge之間交互的⑶CP報(bào)文中都攜帶該SeqNum值���。步驟403:Bridge接收該CDCP請(qǐng)求報(bào)文,從該報(bào)文中讀取Station的MAC地址���,同時(shí)從該報(bào)文的Resvl字段讀取SeqNum值,將該Station的MAC地址和SeqNum值記錄在自身的Station列表中。Station列表中包括了各個(gè)Station的MAC地址和SeqNum的對(duì)應(yīng)關(guān)系,舉例如下:
權(quán)利要求
1.一種避免狀態(tài)機(jī)被攻擊的方法���,其特征在于,應(yīng)用于邊緣虛擬橋接EVB系統(tǒng)中���,該方法包括: 在EVB交換機(jī)上配置共享密鑰和鑒權(quán)算法���; 當(dāng)EVB交換機(jī)接收到EVB服務(wù)器發(fā)來的S通道創(chuàng)建請(qǐng)求報(bào)文時(shí),從該報(bào)文中讀取隨機(jī)序列號(hào)SeqNum值和EVB服務(wù)器的媒體接入控制MAC地址���,記錄該SeqNum值與EVB服務(wù)器的MAC地址的對(duì)應(yīng)關(guān)系����; 當(dāng)EVB交換機(jī)接收到EVB服務(wù)器后續(xù)發(fā)來的S通道發(fā)現(xiàn)和配置協(xié)議⑶CP請(qǐng)求報(bào)文時(shí),從該報(bào)文中讀取EVB服務(wù)器的MAC地址�,在記錄的SeqNum值與EVB服務(wù)器的MAC地址的對(duì)應(yīng)關(guān)系中,查找讀取的MAC地址對(duì)應(yīng)的SeqNum值�,判斷查找到的SeqNum值與讀取的SeqNum值是否相同,若相同�����,從報(bào)文中讀取鑒權(quán)值�����,以所述SeqNum值和共享密鑰作為鑒權(quán)算法的輸入值���,得到鑒權(quán)值�,判斷該鑒權(quán)值與讀取的鑒權(quán)值是否相同��,若是�,則向EVB服務(wù)器返回CDCP響應(yīng)報(bào)文;否則���,將該請(qǐng)求報(bào)文丟棄 其中��,S通道創(chuàng)建請(qǐng)求報(bào)文中的SeqNum為EVB服務(wù)器采用配置的SeqNum生成算法生成的KDCP請(qǐng)求報(bào)文中的鑒權(quán)值為EVB服務(wù)器以生成的SeqNum和共享密鑰作為鑒權(quán)算法的輸入值計(jì)算得到的��,該共享密鑰和鑒權(quán)算法與EVB交換機(jī)相同�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述鑒權(quán)算法為消息摘要MD5算法����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述方法進(jìn)一步包括: 每隔預(yù)設(shè)更新時(shí)長�,更新一次所述共享密鑰的值。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于����,所述方法進(jìn)一步包括: 在EVB交換機(jī)上配置節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系,當(dāng)EVB交換機(jī)發(fā)現(xiàn)EVB服務(wù)器上線后��,選擇一個(gè)節(jié)點(diǎn)號(hào)��,同時(shí)采用該節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法對(duì)共享密鑰進(jìn)行加密,將節(jié)點(diǎn)號(hào)和加密結(jié)果發(fā)送給EVB服務(wù)器�,以使得:EVB服務(wù)器根據(jù)該節(jié)點(diǎn)號(hào),在自身配置的節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中�,查找到對(duì)應(yīng)的加密算法,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密��,得至拱享密鑰�����,其中�����,不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法不同����,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè)。
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,所述SeqNum值攜帶在CDCP請(qǐng)求報(bào)文的保留字段I中,所述鑒權(quán)值攜帶在CDCP請(qǐng)求報(bào)文的保留字段2中。
6.一種邊緣虛擬橋接EVB交換機(jī)����,其特征在于,包括: 配置模塊:保存共享密鑰和鑒權(quán)算法�����; 鑒權(quán)模塊:當(dāng)接收到S通道發(fā)現(xiàn)和配置協(xié)議CDCP請(qǐng)求報(bào)文時(shí)����,若從該報(bào)文中只讀取到EVB服務(wù)器的媒體接入控制MAC地址和隨機(jī)序列號(hào)SeqNum值,則記錄該MAC地址與該SeqNum值的對(duì)應(yīng)關(guān)系���;若從該報(bào)文中讀取到EVB服務(wù)器的MAC地址���、SeqNum值和鑒權(quán)值,則根據(jù)報(bào)文中的EVB服務(wù)器的MAC地址���,在自身記錄的MAC地址與SeqNum值的對(duì)應(yīng)關(guān)系中��,查找對(duì)應(yīng)的SeqNum值,判斷查找到的SeqNum值與報(bào)文中的SeqNum值是否相同�,若相同,則從配置模塊讀取共享密鑰和鑒權(quán)算法,以該SeqNum值和共享密鑰作為該鑒權(quán)算法的輸入值����,計(jì)算得到鑒權(quán)值,判斷計(jì)算得到的鑒權(quán)值與報(bào)文中的鑒權(quán)值是否相同���,若是��,則向EVB服務(wù)器返回CDCP響應(yīng)報(bào)文����;否則���,將該請(qǐng)求報(bào)文丟棄�����。
7.根據(jù)權(quán)利要求6所述的交換機(jī)��,其特征在于�����,所述配置模塊進(jìn)一步用于���,每隔預(yù)設(shè)更新時(shí)長��,更新一次所述共享密鑰的值��。
8.根據(jù)權(quán)利要求6所述的交換機(jī)���,其特征在于,所述配置模塊進(jìn)一步用于���,保存節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系�����,當(dāng)發(fā)現(xiàn)EVB服務(wù)器上線后���,選擇一個(gè)節(jié)點(diǎn)號(hào),同時(shí)采用該節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法對(duì)共享密鑰進(jìn)行加密��,將節(jié)點(diǎn)號(hào)和加密結(jié)果發(fā)送給EVB服務(wù)器����,以使得:EVB服務(wù)器根據(jù)該節(jié)點(diǎn)號(hào),在自身配置的節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中��,查找到對(duì)應(yīng)的加密算法,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密�,得到共享密鑰�����,其中���,不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法不同����,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè)�����。
9.一種邊緣虛擬橋接EVB服務(wù)器����,其特征在于,包括: 配置模塊:保存共享密鑰����,保存隨機(jī)序列號(hào)SeqNum生成算法,保存配置的或從EVB交換機(jī)獲取到的鑒權(quán)算法��; 請(qǐng)求模塊:當(dāng)要?jiǎng)?chuàng)建S通道時(shí),根據(jù)配置模塊中的SeqNum生成算法,生成一個(gè)SeqNum值,向EVB交換機(jī)發(fā)出攜帶該SeqNum值的S通道發(fā)現(xiàn)和配置協(xié)議⑶CP請(qǐng)求報(bào)文�;當(dāng)后續(xù)發(fā)出CDCP請(qǐng)求報(bào)文時(shí),從配置模塊讀取共享密鑰和鑒權(quán)算法��,以所述SeqNum值和該共享密鑰作為該鑒權(quán)算法的輸入值���,得到鑒權(quán)值��,將所述SeqNum值和所述鑒權(quán)值放入該⑶CP請(qǐng)求報(bào)文中��。
10.根據(jù)權(quán)利要求9所述的服務(wù)器����,其特征在于�����,當(dāng)配置模塊保存的鑒權(quán)算法是從EVB交換機(jī)獲取到的時(shí)��, 所述配置模塊進(jìn)一步用于�,保存節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系,其中�,不同節(jié)點(diǎn)號(hào)對(duì)應(yīng)的加密算法不同,節(jié)點(diǎn)號(hào)的數(shù)目為多個(gè)��;當(dāng)接收到EVB交換機(jī)發(fā)來的節(jié)點(diǎn)號(hào)和加密結(jié)果時(shí),根據(jù)該節(jié)點(diǎn)號(hào)���,在節(jié)點(diǎn)號(hào)與加密算法的對(duì)應(yīng)關(guān)系中��,查找到對(duì)應(yīng)的加密算法,采用該加密算法對(duì)加密結(jié)果進(jìn)行解密���,得到共享`密鑰���。
全文摘要
本發(fā)明公開了避免狀態(tài)機(jī)被攻擊的方法及服務(wù)器、交換機(jī)�����。方法包括在EVB交換機(jī)上配置共享密鑰和鑒權(quán)算法��;當(dāng)EVB交換機(jī)接收到EVB服務(wù)器發(fā)來的S通道創(chuàng)建請(qǐng)求報(bào)文時(shí)�,記錄報(bào)文中的SeqNum值與EVB服務(wù)器的MAC地址的對(duì)應(yīng)關(guān)系;當(dāng)EVB交換機(jī)接收到EVB服務(wù)器后續(xù)發(fā)來的CDCP請(qǐng)求報(bào)文時(shí)�,在記錄的SeqNum值與EVB服務(wù)器的MAC地址的對(duì)應(yīng)關(guān)系中,查找報(bào)文中的EVB服務(wù)器的MAC地址對(duì)應(yīng)的SeqNum值�����,判斷查找到的SeqNum值與讀取的SeqNum值是否相同,若相同�,從報(bào)文中讀取鑒權(quán)值,以所述SeqNum值和共享密鑰作為鑒權(quán)算法的輸入值�,得到鑒權(quán)值,判斷該鑒權(quán)值與讀取的鑒權(quán)值是否相同�����,若是����,則向EVB服務(wù)器返回CDCP響應(yīng)報(bào)文;否則���,將該請(qǐng)求報(bào)文丟棄��。本發(fā)明避免了EVB交換機(jī)和服務(wù)器之間的惡意攻擊���。
文檔編號(hào)H04L29/06GK103237020SQ20131011732
公開日2013年8月7日 申請(qǐng)日期2013年4月7日 優(yōu)先權(quán)日2013年4月7日
發(fā)明者伊莉娜, 王文巖 申請(qǐng)人:杭州華三通信技術(shù)有限公司