[发明专利]防止伪造报文攻击的方法及其适用的上游设备和下游设备

权利要求书

1.一种防止伪造报文攻击的方法，用于包括下游设备和上游设备的系统中，所送下游设备创建并发送特定报文给所述上游设备，所述特定报文可以使该上游设备进行表项删除的操作，其特征在于，所述方法包括以下步骤：

所述上游设备判断其接收的所述特定报文是否带有安全信息，如果是则所述上游设备对所述特定报文进行安全认证，如果通过安全认证则所述上游设备进行表项删除的操作，如果没有通过安全认证则所述上游设备丢弃所述特定报文。

2.根据权利要求1所述的方法，其特征在于，所述上游设备判断所述特定报文带有安全信息之后，且所述上游设备对所述特定报文进行安全认证之前，所述方法进一步包括：所述上游设备判断所述特定报文是安全信息传递报文还是通知报文；

所述上游设备对所述特定报文进行安全认证，所述上游设备根据安全认证的结果表项删除的操作或者丢弃所述特定报文的具体方法为：

如果是所述安全信息传递报文，则所述上游设备对所述安全信息传递报文进行安全认证，如果认证成功则所述上游设备保存所述安全信息传递报文带有的安全信息，供所述上游设备对以后的所述特定报文进行安全认证使用，否则所述上游设备丢弃该报文；

如果是所述通知报文，所述上游设备对所述通知报文进行安全认证，如果认证成功，则所述上游设备进行表项删除的操作，否则所述上游设备丢弃该报文。

3.根据权利要求2所述的方法，其特征在于，所述特定报文包括第一字段和第二字段；所述第一字段含有的值可以区分所述特定报文是否带有安全信息以及在带有安全信息的情况下区分所述特定报文是安全信息传递报文还是带有安全信息的通知报文；所述第二字段含有安全信息；所述方法具体包括以下步骤：

步骤A：所述上游设备提取所述特定报文中的所述第一字段含有的值；

步骤B：所述上游设备根据所述第一字段含有的值判断所述特定报文是否带有安全信息，如果否则丢弃所述特定报文，如果是是则转到步骤C；

步骤C：所述上游设备根据所述第一字段含有的值判断所述特定报文是所述安全信息传递报文还是所述通知报文，如果是所述安全信息传递报文则转到步骤D，如果是所述通知报文否则转到步骤E；

步骤D：所述上游设备提取所述第二字段中的安全信息，并在本地查找已经储存的安全信息：如查找成功则将本步骤中提取到的安全信息与本地储存的安全信息进行比对，如比对结果一致则保存该本步骤中提取到的安全信息，如比对结果不一致则丢弃所述特定报文；如查找不成功，则将该本步骤中提取到的安全信息储存在本地；

步骤E：所述上游设备提取所述第二字段中的安全信息，判断本步骤中提取到的安全信息与本地储存的安全信息进行比对，如果如比对结果一致则所述上游设备进行表项删除的操作，否则所述上游设备丢弃该报文。

4.根据权利要求1至3任一所述的方法，其特征在于，

所述特定报文为灵活链路组中的Flush报文，或者动态主机设置协议中的RELEASE报文，或者组播中的离开报文；

所述上游设备为灵活链路组中的上游交换机，或者动态主机设置协议中的服务器，或者组播中的服务器。

5.一种上游设备，其可以接收由下游设备发送过来的特定报文，所述特定报文可以使该上游设备进行表项删除的操作，其特征在于，所述上游设备包括判断模块和认证模块：

所述判断模块，与所述认证模块相连接，用于判断所述特定报文是否带有安全信息；

所述认证模块，与所述判断模块相连接，如果所述特定报文带有安全信息，则所述认证模块用于对所述安全信息进行安全认证；该安全认证通过后，所述上游设备进行表项删除的操作。