專利名稱:一種實現(xiàn)數(shù)據(jù)鏈路安全的方法、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域,尤其涉及一種實現(xiàn)數(shù)據(jù)鏈路安全的方法、設(shè)備和系統(tǒng)。
背景技術(shù):
網(wǎng)絡(luò)設(shè)備會提供虛擬數(shù)據(jù)通道給用戶,目前,經(jīng)常會存在不法分子對網(wǎng)絡(luò)設(shè)備提供的虛擬數(shù)據(jù)通道進(jìn)行惡意監(jiān)聽,如圖I所示,為網(wǎng)絡(luò)設(shè)備正常組網(wǎng)圖,其中,PE設(shè)備為核心網(wǎng)絡(luò)邊緣設(shè)備,P設(shè)備為核心設(shè)備。用戶業(yè)務(wù)通過該條數(shù)據(jù)鏈路正常通信。如圖2所示,為出現(xiàn)惡意監(jiān)聽的組網(wǎng)圖,具體的,不法分子通過在數(shù)據(jù)鏈路上的兩個P設(shè)備間外接一個交換機(jī),并利用交換機(jī)把用戶的數(shù)據(jù)鏡像到惡意分配機(jī)器上對數(shù)據(jù)進(jìn)行分析,從而對用戶
數(shù)據(jù)的安全性構(gòu)成威脅。所以,當(dāng)虛擬鏈接一旦被破壞或者被監(jiān)聽之后,如何立即中斷業(yè)務(wù)的鏈接,避免用戶的業(yè)務(wù)被惡意監(jiān)聽,保證用戶的安全性成為目前亟待解決的技術(shù)問題。
發(fā)明內(nèi)容
本發(fā)明提供一種實現(xiàn)數(shù)據(jù)鏈路安全的方法、設(shè)備和系統(tǒng),用以解決現(xiàn)有技術(shù)中在數(shù)據(jù)鏈路通道受到安全威脅的情況下,不能中斷用戶業(yè)務(wù)保證用戶安全的問題。為了解決上述技術(shù)問題,本發(fā)明采用的技術(shù)方案如下一方面,本發(fā)明提供一種實現(xiàn)數(shù)據(jù)鏈路安全的方法,包括數(shù)據(jù)鏈路源端和目的端彼此向?qū)Χ税l(fā)送?;顖笪?;所述?;顖笪牟荒鼙凰鰯?shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿;所述數(shù)據(jù)鏈路源端和目的端分別檢測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷彼此間的通信。其中,所述?;顖笪牡母袷綖樾∮?4字節(jié)的以太網(wǎng)報文。進(jìn)一步地,所述數(shù)據(jù)鏈路源端與目的端間通信中斷后,當(dāng)所述數(shù)據(jù)鏈路源端和目的端彼此接收到對端發(fā)送的所述?;顖笪臅r,恢復(fù)所述數(shù)據(jù)鏈路源端和目的端間的通信。進(jìn)一步地,所述配置要求包括設(shè)定時間段內(nèi)接收到的?;顖笪牡膫€數(shù)是否達(dá)到設(shè)定的數(shù)值。另一方面,本發(fā)明還提供一種實現(xiàn)數(shù)據(jù)鏈路安全的設(shè)備,所述設(shè)備可以為數(shù)據(jù)鏈路的源端設(shè)備和目的端設(shè)備中的任意一端,所述設(shè)備具體包括報文發(fā)送模塊,用于向數(shù)據(jù)鏈路的對端設(shè)備發(fā)送?;顖笪?;所述?;顖笪牟荒鼙凰鰯?shù)據(jù)鏈路的兩端設(shè)備間外接的其他設(shè)備所透穿;報文接收模塊,用于接收所述數(shù)據(jù)鏈路的對端設(shè)備發(fā)送的保活報文;檢測模塊,用于檢測所述報文接收模塊接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路的對端設(shè)備的通信。其中,所述報文發(fā)送模塊發(fā)送的保活報文的格式為小于64字節(jié)的以太網(wǎng)報文。
進(jìn)一步地,所述中斷與所述數(shù)據(jù)鏈路的對端設(shè)備的通信后,所述檢測模塊,還用于檢測所述報文接收模塊是否接收到所述數(shù)據(jù)鏈路的對端設(shè)備發(fā)送的所述?;顖笪模羰?,則恢復(fù)與所述數(shù)據(jù)鏈路的對端設(shè)備的通信。再一方面,本發(fā)明還提供一種實現(xiàn)數(shù)據(jù)鏈路安全的系統(tǒng),包括數(shù)據(jù)鏈路源端和數(shù)據(jù)鏈路目的端;所述數(shù)據(jù)鏈路源端,用于向所述數(shù)據(jù)鏈路目的端發(fā)送?;顖笪模⒔邮账鰯?shù)據(jù)鏈路目的端發(fā)送的?;顖笪模瑱z測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路目的端間的通信;所述數(shù)據(jù)鏈路目的端,用于向所述數(shù)據(jù)鏈路源端發(fā)送保活報文,并接收所述數(shù)據(jù) 鏈路源端發(fā)送的?;顖笪模瑱z測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路源端間的通信;其中,所述保活報文不能被所述數(shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿。其中,所述數(shù)據(jù)鏈路源端和數(shù)據(jù)鏈路目的端發(fā)送的所述?;顖笪牡母袷綖樾∮?4字節(jié)的以太網(wǎng)報文。在所述數(shù)據(jù)鏈路源端與數(shù)據(jù)鏈路目的端間通信中斷后,所述數(shù)據(jù)鏈路源端和目的端若彼此接收到對端發(fā)送的所述?;顖笪?,則恢復(fù)彼此間的通信。本發(fā)明有益效果如下本發(fā)明提供的方法、設(shè)備和系統(tǒng),通過在網(wǎng)絡(luò)設(shè)備間傳輸特定格式的?;顖笪?,使得在數(shù)據(jù)鏈路通道中間加入其他設(shè)備,或者被破壞、監(jiān)聽時,能夠根據(jù)?;顖笪牡慕邮涨闆r立即中斷數(shù)據(jù)鏈路通道的鏈接,保護(hù)用戶數(shù)據(jù)的安全性。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I為現(xiàn)有技術(shù)中網(wǎng)絡(luò)設(shè)備正常組網(wǎng)的結(jié)構(gòu)圖;圖2為現(xiàn)有技術(shù)中網(wǎng)絡(luò)設(shè)備組網(wǎng)被惡意監(jiān)聽后的結(jié)構(gòu)圖;圖3為本發(fā)明提供的實現(xiàn)數(shù)據(jù)鏈路安全的方法流程圖;圖4為本發(fā)明中保活報文的結(jié)構(gòu)圖;圖5為本發(fā)明提供的實現(xiàn)數(shù)據(jù)鏈路安全的設(shè)備結(jié)構(gòu)圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。為了解決現(xiàn)有技術(shù)中當(dāng)虛擬數(shù)據(jù)鏈路一旦被破壞或者被監(jiān)聽之后,如何立即中斷業(yè)務(wù),避免用戶的業(yè)務(wù)被惡意監(jiān)聽,保證用戶安全性的問題,本發(fā)明提供一種實現(xiàn)數(shù)據(jù)鏈路安全的方法、設(shè)備和系統(tǒng)。如圖3所示,本發(fā)明提供一種實現(xiàn)數(shù)據(jù)鏈路安全的方法,具體包括步驟S301、數(shù)據(jù)鏈路源端和目的端彼此向?qū)Χ税l(fā)送?;顖笪?;其中,保活報文不能被數(shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿;步驟S302、數(shù)據(jù)鏈路源端和目的端分別檢測接收到的?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷彼此間的通信。其中,不滿足配置要求可以表現(xiàn)為數(shù)據(jù)鏈路源端或數(shù)據(jù)鏈路目的端在設(shè)定時間段內(nèi)接收到的保活報文的個數(shù)不滿足設(shè)定的數(shù)值。具體的,本發(fā)明所述方法,通過設(shè)定特定格式的保活報文,使得該?;顖笪膬H能被源端和目的端識別。此時,當(dāng)有惡意設(shè)備接入源端和目的端之間時,由于該報文不能被外接的惡意設(shè)備透穿,所以導(dǎo)致報文接收對端接收到的報文個數(shù)不符合預(yù)先設(shè)置的配置需求, 進(jìn)而產(chǎn)生報警并中斷鏈路。其中,實現(xiàn)保活報文不能被外接設(shè)備透穿可以通過設(shè)置特定格式的報文來實現(xiàn),本發(fā)明優(yōu)選地將所述?;顖笪母袷皆O(shè)計成一種小于64字節(jié)的以太網(wǎng)報文,當(dāng)惡意設(shè)備接收到這種小于64字節(jié)的?;顖笪闹螅凑諈f(xié)議標(biāo)準(zhǔn)應(yīng)該丟棄,進(jìn)而實現(xiàn)所述保活報文不能被外接設(shè)備透穿。當(dāng)本發(fā)明采用小于64字節(jié)的以太網(wǎng)報文時,可以通過對802. 3ah報文格式進(jìn)行調(diào)整得到。具體實現(xiàn)時,可以對802. 3ah報文格式中的code字段進(jìn)行更改,設(shè)置不同的值,使802. 3ah報文小于64字節(jié),具體結(jié)構(gòu)如圖4所示。當(dāng)然,需要說明的是通過設(shè)計成小于64字節(jié)的以太網(wǎng)報文,只是實現(xiàn)保活報文不被外接中間設(shè)備透穿的一種實現(xiàn)方式,對于“?;睢眻笪倪€有多種形式,也在本發(fā)明的保護(hù)范圍之內(nèi),其他形式的“?;睢眻笪陌幌抻谙铝行问?I)以太網(wǎng)CRC錯誤的報文;(2)自定義的以太網(wǎng)TYPE字段的報文;(3) MAC地址是全零的報文等。為了更清楚的表述本發(fā)明所述方法的具體實現(xiàn)過程,下面通過一具體示例進(jìn)行詳細(xì)說明。本發(fā)明示例提供的實現(xiàn)數(shù)據(jù)鏈路安全的方法如下繼續(xù)如圖1、2所示,網(wǎng)路環(huán)境描述設(shè)備A,B, C,D組成一個用戶的數(shù)據(jù)鏈路,在本例中這個數(shù)據(jù)鏈路是一條LSP (Label Switch Path,標(biāo)記交換路徑)。其中,設(shè)備A、D是PE (Provider Edge,核心網(wǎng)絡(luò)邊緣)設(shè)備,B、C為P設(shè)備(Provider,核心設(shè)備)。設(shè)備故障描述本示例中,在設(shè)備B、C設(shè)備中間加入一臺交換機(jī),并且利用交換機(jī)把用戶的數(shù)據(jù)鏡像到惡意分配機(jī)器上對數(shù)據(jù)進(jìn)行分析,這臺交換機(jī)同時把數(shù)據(jù)也向B,C轉(zhuǎn)發(fā),在不采用本方案的情況下,B、C設(shè)備無法感知交換機(jī)的存在,用戶的安全受到威脅。當(dāng)采用本發(fā)明所述方法時,設(shè)定B、C設(shè)備為數(shù)據(jù)鏈路的源端和目的端,所述B、C設(shè)備間互相發(fā)送保活報文,這個?;顖笪慕粨Q機(jī)無法轉(zhuǎn)發(fā)。在加入交換機(jī)之后,B、C設(shè)備無法收到對方發(fā)過來的?;顖笪?,此時,B、C設(shè)備分別把發(fā)向交換機(jī)的用戶數(shù)據(jù)中斷,從而達(dá)到保護(hù)用戶數(shù)據(jù)安全的效果。綜上所述,本發(fā)明提供的方法、通過在網(wǎng)絡(luò)設(shè)備間傳輸特定格式的?;顖笪?,使得在數(shù)據(jù)鏈路通道中間加入其他設(shè)備,或者被破壞、監(jiān)聽時,能夠根據(jù)?;顖笪牡慕邮涨闆r立即中斷數(shù)據(jù)鏈路通道的鏈接,保護(hù)用戶數(shù)據(jù)的安全性。
如圖5所示,本發(fā)明還提供一種實現(xiàn)數(shù)據(jù)鏈路安全的設(shè)備,該設(shè)備可以為數(shù)據(jù)鏈路的源端設(shè)備和目的端設(shè)備中的任意一端,所述設(shè)備具體包括報文發(fā)送模塊,用于向數(shù)據(jù)鏈路的對端設(shè)備發(fā)送?;顖笪?;所述保活報文不能被所述數(shù)據(jù)鏈路的兩端設(shè)備間外接的其他設(shè)備所透穿;報文接收模塊,用于接收所述數(shù)據(jù)鏈路的對端設(shè)備發(fā)送的?;顖笪?;檢測模塊,用于檢測所述報文接收模塊接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路的對端設(shè)備的通信。其中,所述報文發(fā)送模塊發(fā)送的?;顖笪牡母袷絻?yōu)選但不限于為小于64字節(jié)的以太網(wǎng)報文。
進(jìn)一步地,當(dāng)與所述數(shù)據(jù)鏈路的對端設(shè)備的通信中斷后,檢測模塊,還用于檢測報文接收模塊是否接收到數(shù)據(jù)鏈路的對端設(shè)備發(fā)送的?;顖笪?,若是,則恢復(fù)與數(shù)據(jù)鏈路的對端設(shè)備的通信。本發(fā)明提供的實現(xiàn)數(shù)據(jù)鏈路安全的設(shè)備,通過在網(wǎng)絡(luò)設(shè)備間傳輸特定格式的?;顖笪模沟迷跀?shù)據(jù)鏈路通道中間加入其他設(shè)備,或者被破壞、監(jiān)聽時,能夠根據(jù)?;顖笪牡慕邮涨闆r立即中斷數(shù)據(jù)鏈路通道的鏈接,保護(hù)用戶數(shù)據(jù)的安全性。本發(fā)明還提供一種實現(xiàn)數(shù)據(jù)鏈路安全的系統(tǒng),包括數(shù)據(jù)鏈路源端和數(shù)據(jù)鏈路目的端;所述數(shù)據(jù)鏈路源端,用于向所述數(shù)據(jù)鏈路目的端發(fā)送?;顖笪模⒔邮账鰯?shù)據(jù)鏈路目的端發(fā)送的?;顖笪模瑱z測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路目的端間的通信;所述數(shù)據(jù)鏈路目的端,用于向所述數(shù)據(jù)鏈路源端發(fā)送?;顖笪?,并接收所述數(shù)據(jù)鏈路源端發(fā)送的保活報文,檢測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路源端間的通信;其中,所述?;顖笪牟荒鼙凰鰯?shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿。其中,所述數(shù)據(jù)鏈路源端和數(shù)據(jù)鏈路目的端發(fā)送的所述?;顖笪牡母袷絻?yōu)選但不限于為小于64字節(jié)的以太網(wǎng)報文。進(jìn)一步地,在所述數(shù)據(jù)鏈路源端與數(shù)據(jù)鏈路目的端間通信中斷后,所述數(shù)據(jù)鏈路源端和目的端若彼此接收到對端發(fā)送的所述保活報文,則恢復(fù)彼此間的通信。本發(fā)明提供的實現(xiàn)數(shù)據(jù)鏈路安全的系統(tǒng),通過在網(wǎng)絡(luò)設(shè)備間傳輸特定格式的?;顖笪?,使得在數(shù)據(jù)鏈路通道中間加入其他設(shè)備,或者被破壞、監(jiān)聽時,能夠根據(jù)?;顖笪牡慕邮涨闆r立即中斷數(shù)據(jù)鏈路通道的鏈接,保護(hù)用戶數(shù)據(jù)的安全性。顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1.一種實現(xiàn)數(shù)據(jù)鏈路安全的方法,其特征在于,包括 數(shù)據(jù)鏈路源端和目的端彼此向?qū)Χ税l(fā)送?;顖笪模凰霰;顖笪牟荒鼙凰鰯?shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿; 所述數(shù)據(jù)鏈路源端和目的端分別檢測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷彼此間的通信。
2.如權(quán)利要求I所述的方法,其特征在于,所述?;顖笪牡母袷綖樾∮?4字節(jié)的以太網(wǎng)報文。
3.如權(quán)利要求I或2所述的方法,其特征在于,所述數(shù)據(jù)鏈路源端與目的端間通信中斷后,當(dāng)所述數(shù)據(jù)鏈路源端和目的端彼此接收到對端發(fā)送的所述?;顖笪臅r,恢復(fù)所述數(shù)據(jù)鏈路源端和目的端間的通信。
4.如權(quán)利要求I或2所述的方法,其特征在于,所述配置要求包括設(shè)定時間段內(nèi)接收到的?;顖笪牡膫€數(shù)是否達(dá)到設(shè)定的數(shù)值。
5.一種實現(xiàn)數(shù)據(jù)鏈路安全的設(shè)備,其特征在于,所述設(shè)備可以為數(shù)據(jù)鏈路的源端設(shè)備和目的端設(shè)備中的任意一端,所述設(shè)備具體包括 報文發(fā)送模塊,用于向數(shù)據(jù)鏈路的對端設(shè)備發(fā)送?;顖笪?;所述?;顖笪牟荒鼙凰鰯?shù)據(jù)鏈路的兩端設(shè)備間外接的其他設(shè)備所透穿; 報文接收模塊,用于接收所述數(shù)據(jù)鏈路的對端設(shè)備發(fā)送的?;顖笪?; 檢測模塊,用于檢測所述報文接收模塊接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路的對端設(shè)備的通信。
6.如權(quán)利要求5所述的設(shè)備,其特征在于,所述報文發(fā)送模塊發(fā)送的?;顖笪牡母袷綖樾∮?4字節(jié)的以太網(wǎng)報文。
7.如權(quán)利要求5或6所述的設(shè)備,其特征在于, 所述中斷與所述數(shù)據(jù)鏈路的對端設(shè)備的通信后,所述檢測模塊,還用于檢測所述報文接收模塊是否接收到所述數(shù)據(jù)鏈路的對端設(shè)備發(fā)送的所述?;顖笪?,若是,則恢復(fù)與所述數(shù)據(jù)鏈路的對端設(shè)備的通信。
8.一種實現(xiàn)數(shù)據(jù)鏈路安全的系統(tǒng),其特征在于,包括數(shù)據(jù)鏈路源端和數(shù)據(jù)鏈路目的端; 所述數(shù)據(jù)鏈路源端,用于向所述數(shù)據(jù)鏈路目的端發(fā)送?;顖笪模⒔邮账鰯?shù)據(jù)鏈路目的端發(fā)送的?;顖笪?,檢測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路目的端間的通信; 所述數(shù)據(jù)鏈路目的端,用于向所述數(shù)據(jù)鏈路源端發(fā)送?;顖笪?,并接收所述數(shù)據(jù)鏈路源端發(fā)送的保活報文,檢測接收到的所述保活報文個數(shù)是否滿足配置要求,若不滿足,則中斷與所述數(shù)據(jù)鏈路源端間的通信;其中,所述保活報文不能被所述數(shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于,所述數(shù)據(jù)鏈路源端和數(shù)據(jù)鏈路目的端發(fā)送的所述?;顖笪牡母袷綖樾∮?4字節(jié)的以太網(wǎng)報文。
10.如權(quán)利要求8或9所述的系統(tǒng),其特征在于,在所述數(shù)據(jù)鏈路源端與數(shù)據(jù)鏈路目的端間通信中斷后,所述數(shù)據(jù)鏈路源端和目的端若彼此接收到對端發(fā)送的所述?;顖笪?,則恢復(fù)彼此間的通信。
全文摘要
本發(fā)明公開了一種實現(xiàn)數(shù)據(jù)鏈路安全的方法、設(shè)備和系統(tǒng),所述方法包括數(shù)據(jù)鏈路源端和目的端彼此向?qū)Χ税l(fā)送保活報文;所述?;顖笪牟荒鼙凰鰯?shù)據(jù)鏈路源端與目的端間外接的其他設(shè)備所透穿;所述數(shù)據(jù)鏈路源端和目的端分別檢測接收到的所述?;顖笪膫€數(shù)是否滿足配置要求,若不滿足,則中斷彼此間的通信。本發(fā)明所述設(shè)備包括報文發(fā)送模塊、報文接收模塊和檢測模塊。本發(fā)明所述方法、設(shè)備和系統(tǒng)能夠根據(jù)?;顖笪牡慕邮涨闆r,立即中斷被監(jiān)聽或被破壞的數(shù)據(jù)鏈路通道,保護(hù)用戶數(shù)據(jù)的安全性。
文檔編號H04L12/56GK102821024SQ201110150600
公開日2012年12月12日 申請日期2011年6月7日 優(yōu)先權(quán)日2011年6月7日
發(fā)明者明海山, 趙福川 申請人:中興通訊股份有限公司