[发明专利]基于链路层发现协议的信息保护方法和装置

说明书

技术领域

本发明涉及计算机网络数据通信安全领域，尤其是涉及一种基于链路层发现协议的信息保护方法和装置。

背景技术

随着网络拓扑和环境中设备越来越多样化，本端设备不能及时地判断问题故障点，而且由于不了解对端设备，因此无法分析与对端设备间的功能差异，从而导致网络环境更加复杂，维护成本越来越高。

为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息，就需要有一个标准的信息交流平台，LLDP(链路层发现协议)应运而生。它提供了一种标准的链路层发现方式，可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV(类型/长度/值)，并封装在LLDPDU(链路层发现协议数据单元)中发布给与自身直接相连的对端设备。但是在信息交流的同时也存在着潜在的安全隐患，黑客可以通过发送各种非法数据帧，导致电话或交换机崩溃，或者最起码会引起一次拒绝服务攻击。

网络身份验证是网络安全的第一道防线，是指登录用户在安全访问系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统，因此身份认证实在是网络安全的关键。目前LLDP协议中，还没有实现对LLDP报文数据帧进行身份认证，所以当各种非法数据帧的入侵后，LLDP协议运行的安全性不能够得到很好的保护。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种基于链路层发现协议的信息保护方法和装置，将加解密算法引入LLDP协议中，保证协议运行的安全。

为实现上述目的，本发明提出如下技术方案：一种基于链路层发现协议的信息保护方法，本端设备将自身携带的信息组织成若干个不同的TLV报文，所述TLV报文封装到链路层发现协议数据单元中形成LLDP报文，将所述LLDP报文进行封装后发送给与之相邻的邻居设备，在本端设备向邻居设备发送LLDP报文之前，将封装在LLDP报文中的LLDPDU字段抽出，对LLDPDU字段进行加密。

优选地，对LLDPDU字段中的TLV报文进行加密。

所述TLV报文包括TLV报文头和TLV信息字符串，所述TLV报文头中设置用于标识是否对TLV报文进行加密的标识位。

当TLV报文的标识位表示需要对TLV报文进行加密时，TLV报文的加密过程包括以下步骤：

第一步，从TLV信息字符串中取一个字符串，经过MD5算法运算后得到随机数A；

第二步，将所述随机数A与已知的密钥进行乘法运算后得到值B；

第三步，将所述值B进行MD5加密运算后得到密文，将所述密文传送给邻居设备进行信息传输。

所述邻居设备接收到LLDP报文后，对封装在LLDP报文中的TLV报文的标识位进行识别，当标识位表示为加密标识时，对接收到的密文进行解密，解密过程包括以下步骤：

第一步，对接收到的密文进行MD5的反运算，得到值B′；

第二步，将第一步中得到的值B′与上述已知的密钥进行除法运算，得到值A′；

第三步，对第二步中得到的值A′进行MD5的反运算，解密得到从TLV信息字符串中取出的字符串。

本发明还提供了一种基于链路层发现协议的信息保护装置，包括本端设备和与之相邻的邻居设备，所述本端设备将自身携带的信息组织形成若干个不同的TLV报文，并将所述TLV报文封装到链路层发现协议数据单元中形成LLDP报文，将所述LLDP报文进行封装后发送给邻居设备，在本端设备和邻居设备之间设置信息保护单元，所述本端设备携带的信息经所述信息保护单元加密后输出给邻居设备。

优选地，所述信息保护单元将封装在LLDP报文中的LLDPDU字段抽出，对封装在LLDPDU字段中的TLV报文进行加密。

所述TLV报文包括TLV报文头和TLV信息字符串，所述TLV报文头中设置用于标识是否对TLV报文进行加密的标识位。

所述信息保护单元包括第一识别单元和加密单元，所述识别单元用于对所述TLV报文中的标识位进行识别；当识别单元识别到TLV的标识位为加密标识时，所述加密单元对TLV报文中的TLV信息字符串进行加密。

所述邻居设备接收由信息保护单元传送过来的LLDP报文，对封装在LLDP报文中的TLV报文标识位进行识别，当识别到TLV的标识位为加密标识时，则对接收的密文进行解密。