技術領域

本發明涉及計算機網絡數據通信安全領域，尤其是涉及一種基于鏈路層發現協議的信息保護方法和裝置。

背景技術

隨著網絡拓撲和環境中設備越來越多樣化，本端設備不能及時地判斷問題故障點，而且由于不了解對端設備，因此無法分析與對端設備間的功能差異，從而導致網絡環境更加復雜，維護成本越來越高。

為了使不同廠商的設備能夠在網絡中相互發現并交互各自的系統及配置信息，就需要有一個標準的信息交流平臺，LLDP(鏈路層發現協議)應運而生。它提供了一種標準的鏈路層發現方式，可以將本端設備的主要能力、管理地址、設備標識、接口標識等信息組織成不同的TLV(類型/長度/值)，并封裝在LLDPDU(鏈路層發現協議數據單元)中發布給與自身直接相連的對端設備。但是在信息交流的同時也存在著潛在的安全隱患，黑客可以通過發送各種非法數據幀，導致電話或交換機崩潰，或者最起碼會引起一次拒絕服務攻擊。

網絡身份驗證是網絡安全的第一道防線，是指登錄用戶在安全訪問系統之前，首先經過身份認證系統識別身份，然后訪問監控器根據用戶的身份和授權數據庫決定用戶是否能夠訪問某個資源。身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴于它。一旦身份認證系統被攻破，那么系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統，因此身份認證實在是網絡安全的關鍵。目前LLDP協議中，還沒有實現對LLDP報文數據幀進行身份認證，所以當各種非法數據幀的入侵后，LLDP協議運行的安全性不能夠得到很好的保護。

發明內容

本發明的目的在于克服現有技術的缺陷，提供一種基于鏈路層發現協議的信息保護方法和裝置，將加解密算法引入LLDP協議中，保證協議運行的安全。

為實現上述目的，本發明提出如下技術方案：一種基于鏈路層發現協議的信息保護方法，本端設備將自身攜帶的信息組織成若干個不同的TLV報文，所述TLV報文封裝到鏈路層發現協議數據單元中形成LLDP報文，將所述LLDP報文進行封裝后發送給與之相鄰的鄰居設備，在本端設備向鄰居設備發送LLDP報文之前，將封裝在LLDP報文中的LLDPDU字段抽出，對LLDPDU字段進行加密。

優選地，對LLDPDU字段中的TLV報文進行加密。

所述TLV報文包括TLV報文頭和TLV信息字符串，所述TLV報文頭中設置用于標識是否對TLV報文進行加密的標識位。

當TLV報文的標識位表示需要對TLV報文進行加密時，TLV報文的加密過程包括以下步驟：

第一步，從TLV信息字符串中取一個字符串，經過MD5算法運算后得到隨機數A；

第二步，將所述隨機數A與已知的密鑰進行乘法運算后得到值B；

第三步，將所述值B進行MD5加密運算后得到密文，將所述密文傳送給鄰居設備進行信息傳輸。

所述鄰居設備接收到LLDP報文后，對封裝在LLDP報文中的TLV報文的標識位進行識別，當標識位表示為加密標識時，對接收到的密文進行解密，解密過程包括以下步驟：

第一步，對接收到的密文進行MD5的反運算，得到值B′；

第二步，將第一步中得到的值B′與上述已知的密鑰進行除法運算，得到值A′；

第三步，對第二步中得到的值A′進行MD5的反運算，解密得到從TLV信息字符串中取出的字符串。

本發明還提供了一種基于鏈路層發現協議的信息保護裝置，包括本端設備和與之相鄰的鄰居設備，所述本端設備將自身攜帶的信息組織形成若干個不同的TLV報文，并將所述TLV報文封裝到鏈路層發現協議數據單元中形成LLDP報文，將所述LLDP報文進行封裝后發送給鄰居設備，在本端設備和鄰居設備之間設置信息保護單元，所述本端設備攜帶的信息經所述信息保護單元加密后輸出給鄰居設備。

優選地，所述信息保護單元將封裝在LLDP報文中的LLDPDU字段抽出，對封裝在LLDPDU字段中的TLV報文進行加密。

所述TLV報文包括TLV報文頭和TLV信息字符串，所述TLV報文頭中設置用于標識是否對TLV報文進行加密的標識位。

所述信息保護單元包括第一識別單元和加密單元，所述識別單元用于對所述TLV報文中的標識位進行識別；當識別單元識別到TLV的標識位為加密標識時，所述加密單元對TLV報文中的TLV信息字符串進行加密。

所述鄰居設備接收由信息保護單元傳送過來的LLDP報文，對封裝在LLDP報文中的TLV報文標識位進行識別，當識別到TLV的標識位為加密標識時，則對接收的密文進行解密。