一种对生成树进行明文认证的方法

摘要

本发明涉及一种对生成树进行明文认证的方法，属于数据通信技术领域。该方法首先在配置报文中设置认证标志位、存储生成树认证字，在拓扑变化报文中存储生成树认证字，接收报文时，判断报文的类型，若为配置报文，检查该报文的认证标志位及生成树认证字，若与桥接设备中的相一致，则接受报文，否则丢弃报文，若为拓扑变化报文，检查生成树认证字，若与桥接设备中的认证字相一致，则接受报文，否则丢弃报文。发送配置报文和拓扑变化报文时，将桥接设备中的生成树认证标志复制到报文中，然后发送。本发明的方法，增强了生成树协议的安全性，可以有效地防止未授权的桥接设备影响网络拓扑结构。

说明书

技术领域

本发明涉及一种对生成树进行明文认证的方法，属网络通信技术领域。

背景技术

在多个桥设备组成的网络中，为了防止形成转发环路，采用了IEEE标准中的802.1D文档描述的生成树协议(Spanning tree protocol)。每台运行生成树的设备定期发送hello报文，通过选择规则，最终形成无转发环路的树型拓扑结构。但是，由于桥设备直接与局域网相连，生成树协议本身又没有任何的认证机制，因而在安全生方面缺乏保护。任何生成树报文都会参与到拓扑的选择活动中来。

生成树消除连接循环的过程如图1所示。生成树协议要求每一个网桥都有一个唯一的标识符，通常标识符由网桥的以太网地址(以下简称MAC地址)与网桥的优先级组成(在网桥中各个项目的ID数越小，其优先级越高)，同时，每一个网桥内的每一个端口也有唯一的标识符，通常是由端口号与该端口优先级组成。最后，每一个网桥端口与一个路径值联系起来，路径值表示通过该端口将数据桢传递到局域网的代价。一般路径值＝1000/相连局域网的速度，所以，与该端口相连的局域网的速度越大，则该端口的路径值越小。

上述生成树的消除网络连接循环过程为：

1、选择根桥，通常根桥就是具有最低网桥标识符的网桥，在图1中网桥2是根桥。

2、决定所有除根桥以外的网桥的根端口，通过根端口达到根桥时，路径值最小，达到根桥的最小路径值称为根路径值。

3、决定指定网桥和指定网桥的指定端口，指定网桥就是每一个局域网中提供最小根路径值的网桥，每一个局域网中的指定网桥是唯一能够为当前局域网转发和接收数据桢的网桥。每一个局域网的指定端口是连接LAN到指定网桥使用的端口。

在某些情况下，两个或多个网桥可能具有相同的根路径值，在这种情况下使用网桥标识符来决定谁是指定桥。例如图2中，网桥4和网桥5到达网桥1(根桥)的路径值均为10，这种情况就根据网桥ID来选择，于是网桥4的局域网V端口而不是网桥5的局域网V端口被选择为指定端口。

图2是运行生成树协议后的网络，该网络的拓扑消除了网络循环。当开启网桥的电源或者检测到网络的拓扑结构发生变化时，生成树的工作过程就会开始。生成树的工作过程需要生成树网桥之间的通讯来配合，通过网桥协议数据单元(以下简称BPDU)来完成。BPDU中包含有假定为根桥的网桥和发送网桥达到根桥的路径值等，还包含发送端的网桥标识符和发送端的端口标识符，以及BPDU传播所用的时间。网桥以一定的时间间隔交换BPDU，如果某一网桥失效，将引起网络拓扑结构发生改变，相邻的网桥在一定时间内就会检测到配置消息的空缺，并重新初始化生成树的计算过程。

在上述网络中，若有新的桥设备加入，不管是否合法，只要运行生成树协议，都会影响现有网络中的拓扑，导致生成树的重新建立。建立生成树过程中，在未收敛之前，端口的动荡会导致现有网络流量的中断。

发明内容

本发明的目的是提出一种对生成树进行明文认证的方法，以保护生成树网络，防止非法设备的干扰。

本发明提出的对生成树进行明文认证的方法，法包括以下步骤：

(1)为桥接设备配置认证字；

(2)在将配置报文的标志字段的保留位中的任何选一位设置为生成树的认证标志位，在报文的最后附加字节，用以存储桥接设备的生成树认证字；

(3)在拓扑变化报文的最后附加字节，用以存储桥接设备的生成树认证字。。

上述方法中的桥接设备的认证字由设备管理人员配置。

上述方法中，配置报文的认证标志由设备管理人员配置，配置报文和拓扑变化报文的附加字节由设备管理人员配置。

上述方法中的配置是在局域网相邻的桥接设备中都进行相同的配置。

上述方法在认证中接收报文时，其过程如下：

(1)接收报文时，判断报文的类型，若为配置报文，首先检查该报文标志字段中的认证标志位是否为设置位，若不为设置位，则丢弃报文，若为设置位，则转入第二步；

(2)检查报文的最后字节中的生成树认证字，若与上述桥接设备上配置的生成树认证字相一致，则接受报文，否则丢弃报文；

(3)若为拓扑变化报文，检查报文的最后字节中的生成树认证字，若与上述桥接设备上配置的生成树认证字相一致，则接受报文，否则丢弃报文。

上述的配置报文和拓扑变化报文是在消除网络循环的生成树协议下接收的。

上述方法在认证中发送报文时，其过程如下：

(1)发送配置报文时，首先将该报文标志字段中的认证标志位设置为一个定值，再将上述配置的认证字复制到上述报文扩展的最后字节中，然后发送；

(2)发送拓扑变化报文时，将上述配置的认证字复制到报文扩展的最后字节中，然后发送。

上述配置报文和拓扑变化报文是在消除网络循环的生成树协议下发送的。

本发明提出的对生成树进行明文认证的方法，增强了生成树协议的安全性，可以有效地防止未授权的桥设备影响网络拓扑结构，加强了网络的稳定性和安全生，同时为网络管理人员提供了实现桥接设备安全互通的一种手段。在使用生成树明文认证的网络中，当加入新的桥设备时，如果没有通过认证，也不会影响原来的网络中的生成树协议，因而有效地保护了生成树网络。

附图说明

图1是具有网络连接循环的网络示意图，一种可能的情况是局域网X上的广播报文通过网桥3转发到局域网V以后，又通过网桥4转发回局域网X。

图2是运行生成树协议以后的网络示意图，网桥3和网桥4与局域网V相连接的端口(图中虚线部分)不转发报文，避免网络循环。

图3是本发明方法的流程图。

具体实施方式

本发明提出的对生成树进行明文认证的方法如下：首先在桥接设备上配置认证字，本实施例认证字为2个字节(也可为其他)；将配置报文的标志字段中的第三位(也可以为其他保留位)作为生成树的认证标志位，在报文的最后附加两个字节(字节数与认证字相同)，用以存储配置在桥接设备上的生成树的认证字；在拓扑变化报文的最后附加两个字节(字节数与认证字相同)，用以存储配置在桥接设备上的生成树的认证字。这些配置是由设备管理人员进行配置的，并且对局域网中的相邻桥接设备进行相同的配置。这样当加入新的桥设备时，如果没有进行相应的配置，则不能通过认证，不会影响原来的网络拓扑结构。在认证过程中，包括接收和发送报文，流程如图3所示，以下分别说明。

用本发明的方法在生成树协议下接收报文时，首先判断报文的类型，若为配置报文，首先检查该报文标志字段中的认证标志位是否为1，若不为1，则丢弃报文，若为1，则进一步检查报文的最后两个字节中的生成树认证字，若与桥接设备配置的生成树认证字相一致，则接受报文，否则丢弃报文；若为拓扑变化报文，检查报文的最后两个字节中的生成树认证字，若与桥接设备配置的生成树认证字相一致，则接受报文，否则丢弃报文。

上述方法中的配置报文和拓扑变化报文是在消除网络循环的生成树协议下发送的。

用本发明的方法在生成树协议下发送报文时，首先在桥接设备上配置认证字；将配置报文的标志字段中的第三位作为生成树的认证标志位，在报文的最后附加两个字节，用以存储配置在桥接设备上的生成树的认证字；在拓扑变化报文的最后附加两个字节，用以存储配置在桥接设备上的生成树的认证字；在生成树协议下发送配置报文时，首先将该报文标志字段中的认证标志位设置为数值1，再将桥接设备中配置的认证字复制到报文中扩展的最后两个字节中，然后发送；发送拓扑变化报文时，将桥接设备中配置的认证字复制到报文中扩展的最后两个字节中，然后发送。

以下为本发明的一个实施例：

配置报文格式如下：

字段字节数协议标识2总为0版本1总为0BPDU类型1总为0标志字段1只有前两位有用，第1位是拓扑改变标志，第2位是拓扑改变认可标志根桥ID8根桥的ID跟路径花费4根路径值网桥ID8该桥的ID端口ID2端口的ID消息寿命2消息的寿命值最大寿命2最大寿命值hello间隔2Hello时间状态转换延时2端口状态转换延迟

明文认证使用标志字段中的第三位，当该位为1时，表示进行明文认证，收此报文的桥设备对报文进行认证。当使用认证时，同时在报文最后加入两个字节的认证字：

认证字2认证字

对于拓扑变化报文，只在报文最后进行扩展，扩展后的拓扑变化报文格式如下：

字段字节数含义协议标识2总为0版本1总为0BPDU类型1总为10000000(二进制)认证字2认证字

在生成树模块接收到报文时，首先判断本地是否配置了明文认证；如果配置了明文认证，则检查报文相应的扩展字段：

如果接收的是配置报文，首先检查标志字段的标志位，如果未设置则丢弃报文；否则，检查扩展字段的认证字是否与本地配置一致；如果不一致，丢弃报文；否则进行正常的处理流程。

如果接受的是拓扑变化报文，检查扩展字段的认证字是否与本地配置一致；如果不一致，丢弃报文；否则进行正常的处理流程。