生成樹協議的報文發送和接收方法、處理方法及設備的制作方法

專利名稱：生成樹協議的報文發送和接收方法、處理方法及設備的制作方法
技術領域：
本發明涉及數據通信技術領域，尤其指一種生成樹協議的報文發送和接收方法、處理方法及設備。
背景技術：
在橋設備網絡中，為防止形成轉發環路，采用了IEEE標準中802.1D文檔描述的STP(Spanning Tree Protocol，生成樹協議)。采用了所述STP的橋設備網絡通過有選擇性地阻塞網絡冗余鏈路來達到消除網絡二層環路的目的，從而有效抑制廣播風暴的產生。與此同時，STP還具有鏈路備份功能，一旦主用鏈路發生故障，備用鏈路能夠迅速恢復連通。
廣義上的生成樹協議還包括目前應用較多的RSTP(Rapid Spanning TreeProtocol，快速生成樹協議)和MSTP(Multiple Spanning Tree Protocol，多生成樹協議)。RSTP和MSTP在原有的生成樹基礎上進行了改進，保證網絡發生拓撲改變后狀態能夠快速遷移，盡量降低網絡業務中斷的時間。
生成樹協議的基本思想在于通過構造類似于一棵自然樹的數據鏈路達到裁減網絡中冗余環路的目的，當網絡中開啟了生成樹協議的橋設備上電或網絡的拓撲結構發生變化時，生成樹的工作過程就會開始。為了實現生成樹的功能，網橋之間必須要進行一些信息的交流，這些信息交流單元就稱為配置消息BPDU(Bridge Protocol Data Unit，網橋協議數據單元)。生成樹協議中的BPDU是一種二層報文，所有支持生成樹協議的網橋都會接收并處理收到的BPDU報文。該報文的數據區中攜帶了用于生成樹計算的所有有用信息，包括發送端的網橋標識符和發送端的端口標識符，還包括假定為根橋的網橋和發送網橋到達根橋的路徑值，以及BPDU傳播所用的時間等。網橋以一定的時間間隔交換BPDU，如果某一網橋失效，將引起網絡拓撲結構發生改變，相鄰的網橋在一定時間內就會檢測到配置消息的空缺，并重新初始化生成樹的過程。
上述生成樹的工作網絡中，如果有新的橋設備加入，不管是否合法，只要其運行生成樹協議，都會影響現有網絡中的拓撲，導致生成樹的重新建立，從而引起端口動蕩及網絡流量的中斷；另外，目前的生成樹協議報文都是遵照IEEE的標準格式實現的，由于采用公知的標準格式，攻擊者可以很輕易地構造一個符合格式要求的生成樹協議攻擊報文對網絡進行攻擊，對網絡的穩定性產生很大影響。

發明內容
本發明的目的是提供一種生成樹協議的報文發送和接收方法、處理方法及設備，以解決現有技術中生成樹協議的可靠性不高的問題。
為達到上述目的，本發明提出一種生成樹協議的報文發送方法，包括在待發送的網橋協議數據單元BPDU報文中添加密碼字段；根據報文的數據字段進行加密運算獲取密碼；將所述密碼存入所述密碼字段后封裝并發送報文。
所述根據報文的數據字段進行加密運算獲取密碼的方法包括根據預設的算法對報文中的數據字段進行加密運算，得到與所述數據字段相關且全網唯一的密碼。
所述進行加密運算獲取密碼之后且在所述將密碼封裝入報文之前還包括對所述密碼進行二次加密，將經過二次加密得到的密碼存入報文的所述密碼字段。
所述進行二次加密的方法包括對所述進行加密運算得到的密碼進行MD5加密，或對所述進行加密運算得到的密碼進行字符序調整或偏移。
本發明還提出一種生成樹協議的報文接收方法，包括對待接收的BPDU報文進行解析，從密碼字段獲取密碼；使用發送端獲取密碼的方法對待接收報文中發送端進行加密運算所用的數據字段進行密碼校驗運算；
判斷校驗運算所得的密碼與所述從報文中解析出的密碼是否一致，如果一致則接收并處理報文；否則丟棄報文。
所述對報文進行解析之前還包括設置接收權限模式，并在接收報文時，根據所設置的接收權限模式對待接收報文進行處理。
所述接收權限模式可設置為安全模式，在所述安全模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進行所述密碼校驗運算，根據密碼校驗結果確定對報文進行的后續處理；如果不包括密碼字段，則直接丟棄報文。
所述接收權限模式可設置為公共模式，在所述公共模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進行所述密碼校驗運算，根據密碼校驗結果確定對報文進行的后續處理；如果不包括密碼字段，則直接接收并處理報文，且所回復的響應報文中也不添加密碼字段。
本發明還提出一種生成樹協議的報文處理方法，在BPDU報文中添加密碼字段，發送報文時，根據待發送報文的數據字段進行加密運算獲取密碼，并存入所述密碼字段，然后發送；接收報文時，從待接收報文的所述密碼字段獲取密碼，并根據所述加密運算的算法及待接收報文中加密運算所用的數據字段進行校驗運算，如果校驗運算結果與所述密碼一致，則接收并處理報文；否則丟棄報文。
所述進行加密運算獲取密碼之后還包括對所述密碼進行二次加密，并將經過二次加密得到的密碼存入所述密碼字段，然后發送；則在所述接收報文時，進行所述校驗運算后還包括根據所述二次加密的算法對所述校驗運算結果進行二次校驗運算。
所述進行二次加密的方法包括對所述進行加密運算得到的密碼進行MD5加密，或對所述進行加密運算得到的密碼進行字符序調整或偏移。
所述接收報文之前還包括設置接收權限模式；則在所述接收報文時，根據預設的接收權限模式對待接收報文進行處理。
本發明提出一種生成樹協議的報文發送設備，包括報文發送單元，還包括報文封裝單元及加密運算單元，所述報文封裝單元，在待發送的BPDU報文中添加密碼字段；所述加密運算單元根據報文的數據字段進行加密運算獲取密碼，將所述密碼存入所述密碼字段后由所述報文封裝單元封裝報文；所述報文發送單元對封裝后的報文進行發送。
還包括二次加密單元，所述二次加密單元對所述加密運算單元獲取的密碼進行二次加密，并將經過二次加密得到的密碼存入所述密碼字段。
所述二次加密包括對所述進行加密運算得到的密碼進行MD5加密，或對所述進行加密運算得到的密碼進行字符序變化或偏移。
本發明還提出一種生成樹協議的報文接收設備，包括報文處理單元，還包括報文緩存單元及報文解析校驗單元；所述報文緩存單元，存儲待接收的BPDU報文；所述報文解析校驗單元，從待接收報文的密碼字段獲取密碼，并使用發送端獲取密碼的方法對待接收報文中發送端進行加密運算時所用的數據字段進行密碼校驗運算，如果校驗運算所得的密碼與所述從報文密碼字段獲取的密碼一致，則轉由所述報文處理單元進行處理；否則丟棄報文。
還包括權限設置單元及報文檢測單元，所述權限設置單元，設置所述報文接收設備的接收權限模式；所述報文檢測單元，根據預設的接收權限模式對所述報文緩存單元中的待接收報文進行檢測，確定報文中是否包括密碼，并根據檢測結果確定對所述待接收報文進行的后續處理。
所述權限設置單元設置所述報文接收設備的接收權限模式為安全模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉由所述報文解析校驗單元處理；否則丟棄報文。
所述權限設置單元設置所述報文接收設備的接收權限模式為公共模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉由所述報文解析校驗單元處理；否則轉由所述報文處理單元進行處理，所述報文處理單元進一步判斷接收的報文是否需要響應，如果是則回復不添加密碼字段的響應報文。
與現有技術相比，本發明具有以下優點本發明通過在BPDU報文中添加密碼字段實現對生成樹協議的鑒權，能夠有效防止惡意攻擊及避免網絡震蕩，從而提高生成樹協議在網絡應用中的可靠性。


圖1為本發明生成樹協議的報文處理方法的實施例流程圖；圖2為本發明生成樹協議的報文發送方法的實施例流程圖；圖3為本發明生成樹協議的報文接收方法的實施例流程圖；圖4為本發明生成樹協議的報文發送設備的實施例圖；圖5為本發明生成樹協議的報文接收設備的實施例圖。
具體實施例方式
下面以具體實施例結合附圖對本發明進一步加以闡述。
本發明公開一種生成樹協議的報文處理方法，如圖1所示，其一實施例包括如下步驟S101、在待發送的BPDU報文中添加密碼字段，根據預設的算法對報文的至少一個數據字段進行加密運算獲取密碼，將該密碼存入密碼字段后封裝并發送報文。
現有技術的BPDU報文，以配置BPDU報文為例，其格式如下表所示


本發明生成樹協議的報文處理方法通過在BPDU報文中添加密碼字段實現協議互通性鑒權。其中的密碼字段并非全網一致，而是按照預先設定的加密算法對報文內容中一些數據字段進行運算得出。所述加密運算的方式并無限制，甚至可以手工指定，但是保證密碼與一些關鍵字段相關且密碼本身是全網唯一的，例如與上表中的網橋ID和端口ID等參數相關，以保證接收報文的生成樹協議設備能夠根據報文內容判定密碼的合法性，因此要求同一網絡中，對所有的生成樹協議設備應該配置相同的鑒權密碼計算方式。本實施例中以橋MAC(MediaAccess Control，介質訪問控制層)地址+端口索引+端口速率連接成的字符串作為密碼計算方式。設發送端的橋MAC地址為000f-e229-0020，端口索引為125，端口速率協商為100M，則發送的BPDU報文將帶上的密碼為000fe2290020#0125#000100。
另外，為了進一步增加安全性，可對經加密運算得到的密碼進行二次加密，從而使密碼的內容不再顯而易見。該二次加密算法可以是MD5加密，也可以為內部實現的一種字符序變化或者偏移。
S102、接收報文前對接收權限模式進行設置。
經過上述的加密處理后，所得包括密碼的BPDU報文發生改變，與標準的報文不能互通，因此會造成接收端無法同時接收、處理包括密碼的BPDU報文和標準的報文。
對于上述情況，本實施例對某些特定的端口進行接收權限模式的設定，允許其與標準的報文進行交互。本實施例中，將權限模式分為安全模式和公共模式兩種。當接收報文的端口工作于安全模式，則執行步驟S103及其后續步驟處理所接收的報文；當接收報文的端口工作于公共模式，則執行步驟S105及其后續步驟處理所接收的報文。但在具體的網絡應用中，可根據設備的需要設置不同安全級別的權限模式，此處非本發明的必要技術特征所在，故不另加以贅述。
S103、當接收報文的端口工作于安全模式，則檢測到達接收端的待接收報文是否包括密碼字段，如果包括則轉步驟S104，否則直接丟棄報文。
當接收報文的端口工作的權限模式設為安全模式時，如果收到標準的BPDU報文，由于該報文不包括任何密碼字段，無法進行權限鑒定，所以將該報文直接丟棄，并將接收端口阻塞一段時間或直接關閉端口，防止形成環路。
S104、從到達接收端的待接收報文的密碼字段獲取密碼，并根據預設的算法對待接收報文加密所用的數據字段進行校驗運算，如果校驗運算得到的密碼與該密碼一致，則對所接收報文進行后續處理；否則丟棄報文。
校驗運算的算法應與加密所用的預設算法一致，如果加密時使用了二次加密，則校驗時也必須使用對應的二次加密算法進行二次校驗。
以上述步驟S101的加密算法為例，假設有攻擊者從發送端捕獲了一個BPDU報文，該報文攜帶的密碼即為000fe2290020#0125#000100。如果攻擊者不修改報文直接發回，則發送端會檢測到報文為自身發出的，直接丟棄該報文；如果攻擊者修改了報文中的橋MAC地址或發包端口，又因為無法得知網絡中的鑒權密碼而不對密碼進行修改或修改為錯誤的密碼，則接收端可以通過校驗運算得知報文已被修改而丟棄報文，從而達到防攻擊的目的。
另外，如果有非法的橋設備加入到現有的生成樹網絡中，由于其未被配置鑒權密碼的計算方法，因此該橋設備發送的所有報文都將因不能通過網絡中其它設備的鑒權而被直接丟棄，從而不會由于該非法設備的加入引起生成樹網絡的重新建立，達到保持網絡穩定的目的。
S105、如果接收權限模式設為公共模式，也首先對待接收的報文進行檢測，判斷是否包括密碼字段，如果包括則轉S104進行處理，否則直接接收并處理該報文，進一步轉步驟S106。
S106、判斷接收的報文是否需要響應，如果需要響應則返回不包括密碼字段的響應報文。
公共模式下，如果接收端口收到標準格式的BPDU報文，則接收并處理報文，如果需要響應，響應的報文也為標準格式的BPDU報文。
本發明公開一種生成樹協議的報文發送方法，如圖2所示，其一實施例包括以下步驟S201、在待發送的BPDU報文中添加密碼字段。
生成樹協議的鑒權主要有兩種，一是協議域內的互通鑒權，即采用私有的KEY值計算域配置摘要，該方法并非本發明生成樹協議的報文發送方法所采用，此處不加以贅述；二是協議互通性鑒權，即必須包括特定密碼字段的BPDU報文才被處理。對于協議互通性的鑒權，具體可以通過在BPDU報文中增加字段或者修改報文中的reserved(保留)字段來實現，但是由于reserved字段較少，限制了密碼字段的長度，安全性不高。因此本發明生成樹協議的報文發送方法通過在BPDU報文中添加密碼字段實現生成樹協議的鑒權。
S202、根據預設的算法對報文中的特定字段進行加密運算獲取密碼。
密碼是通過對報文內容中預設的特定數據字段進行加密運算得出的，加密運算的方式并不作限制，甚至可以手工指定，但是需要保證所得密碼與報文中的一些關鍵字段相關且所得密碼全網惟一，而且接收報文的生成樹設備能夠根據報文內容判斷報文鑒權密碼的合法性，因此本發明在同一網絡中對所有的生成樹設備配置相同的鑒權密碼計算方式。
為進一步增強安全性，密碼還可以進行二次加密，從而使密碼的內容不再顯而易見。該二次加密算法可以是MD5加密，也可以為內部實現的一種字符序變化或者偏移。
S203、將密碼存入密碼字段中，封裝并發送報文。
進行上述步驟S202的加密運算后將獲取的密碼存入密碼字段中封裝并發送報文。如果加密運算后進一步進行了二次加密，則將二次加密得到的密碼存入密碼字段中封裝并發送報文。
本發明還公開一種生成樹協議的報文接收方法，如圖3所示，其一實施例包括以下步驟S301、設置接收端的接收權限模式，如為安全模式則轉步驟S302，如為公共模式則轉步驟S304。
BPDU報文經過加密后，不能與標準的報文互通，因此為了使接收端的某些特定端口實現對標準報文與加密報文的兼容，需要進行權限模式的設定，允許其與標準的報文進行交互。在具體的網絡應用中，可根據設備對安全性的不同需求而設置多種不同級別的權限模式，并不限于本實施例的安全模式和公共模式兩種。
S302、如果設置為安全模式，首先判斷待接收的報文是否包括密碼字段，如果包括則轉S303；否則直接丟棄報文。
安全模式下如果收到標準的BPDU報文，由于該報文不包括任何密碼字段，不能通過權限鑒定，因此將其視為無效報文直接丟棄，并將接收端口阻塞一段時間或直接關閉端口，防止形成環路。
S303、從待接收報文的密碼字段獲取密碼，并根據預設的算法對待接收報文加密所用的數據字段進行校驗運算，如果校驗運算結果與該密碼一致，則接收并處理報文；否則丟棄報文。
校驗運算的算法應與加密所用的預設算法一致，如果加密時使用了二次加密，則校驗時也必須對應使用二次加密的算法對第一次校驗運算的結果進行進一步校驗，最終確定報文中的密碼是否能夠通過校驗。通過全網一致的加密算法對待接收的報文進行校驗，接收端可以對攻擊報文進行過濾，達到防攻擊的目的。
S304、公共模式下，也首先對待接收的報文進行檢測，判斷是否包括密碼字段，如果包括則轉步驟S303進行處理，否則直接接收并處理該報文，進一步轉步驟S305。
S305、判斷接收的報文是否需要響應，如果需要響應則返回不包括密碼字段的響應報文。
如果公共模式下的接收端口收到標準格式的BPDU報文，則接收并處理報文，如果需要響應，響應的報文也為標準格式的BPDU報文。
本發明公開一種生成樹協議的報文發送設備，其一實施例如圖4所示，包括報文封裝單元41、加密運算單元42及報文發送單元43。
其中，報文封裝單元41在待發送的BPDU報文中添加密碼字段；加密運算單元42根據預設的算法對報文的至少一個數據字段進行加密運算獲取密碼，將密碼存入密碼字段后由報文封裝單元41封裝報文；報文發送單元43對封裝后的報文進行發送。
上述密碼是通過對報文內容中預設的特定數據字段進行運算得出，計算的方式并不作限制，甚至可以由手工指定，但是保證與一些關鍵字段相關且全網惟一。例如以橋MAC地址+端口索引+端口速率連接成的字符串作為密碼計算方式，假定發送設備的橋MAC地址為000f-ee229-0020，端口索引為125，端口速率協商為100M，則該報文發送設備發送的所有BPDU報文都將帶上密碼000fe2290020#0125#000100。
為進一步增強安全性，本實施例中上述發送設備還包括一個二次加密單元44，對上述加密運算單元42獲取的密碼進行二次加密，使密碼的內容不再顯而易見。該二次加密算法可以是MD5加密，也可以為內部實現的一種字符序變化或者偏移。將上述二次加密得到的密碼存入密碼字段后仍由報文封裝單元41封裝報文。
本發明還公開一種生成樹協議的報文接收設備，其一實施例如圖5所示，該報文接收設備包括報文緩存單元51、報文解析校驗單元52及報文處理單元53。
其中，報文緩存單元51用于存儲待接收的BPDU報文；報文解析校驗單元52，用于從待接收報文的密碼字段獲取密碼，并根據預設的算法對待接收報文中加密所用到的數據字段進行校驗運算，如果校驗運算結果與從密碼字段獲取的密碼一致，則由報文處理單元53進行處理；否則丟棄報文。
同樣以橋MAC地址+端口索引+端口速率連接成的字符串作為加密方式為例，并假設報文緩存單元51中的待接收報文是由橋MAC地址為000f-e229-0020、端口索引為125且端口速率協商為100M的報文發送設備發送的。首先，報文解析校驗單元52從待接收報文中的密碼字段獲取密碼000fe2290020#0125#000100，再根據同樣的加密算法對報文內容中的橋MAC地址、端口索引以及端口速率進行校驗運算。如果該報文被攻擊者惡意修改過，并且攻擊者又因為不知道網絡中的加密算法而未對密碼字段進行修改或進行錯誤的修改，則報文解析校驗單元52通過上述校驗運算即可得知待接收的報文被修改過，因此丟棄報文，從而該報文接收設備即達到防攻擊的目的。
為實現報文接收設備對加密報文及標準報文的兼容，該設備還包括權限設置單元54及報文檢測單元55。其中，權限設置單元54對報文接收設備的接收權限模式進行設置；報文檢測單元55則根據預設的接收權限模式對報文緩存單元51中的待接收報文進行檢測，確定報文中是否包括密碼，并根據檢測結果進一步確定對待接收報文進行的后續處理。
權限模式可以但不限于分為安全模式及公共模式。如果權限設置單元54將報文接收設備的接收權限模式設為安全模式，則報文檢測單元55首先對待接收報文是否包括密碼字段進行檢測，如果包括密碼字段則將該報文發送至報文解析校驗單元52進行解析校驗；如果不包括則直接丟棄該報文，同時將接收端口阻塞一段時間或直接關閉端口，防止形成環路。如果權限設置單元54設置報文接收設備的接收權限模式為公共模式，則同樣由報文檢測單元55對待接收報文是否包括密碼字段進行檢測，如果包括密碼字段則將該報文發送至報文解析校驗單元52進行解析校驗；如果不包括則直接將該報文交由報文處理單元53進行處理。另外，報文處理單元53還需要根據所接收的報文格式判斷該設備端口的響應報文是否需要加密，如果公共模式下的該端口收到未添加密碼字段且需要響應的標準報文，則在接收并處理后由報文處理單元53返回不添加密碼字段的標準響應報文。
以上公開的僅為本發明的幾個具體實施例，但是，本發明并非局限于此，任何本領域的技術人員能思之的變化都應落入本發明的保護范圍。
權利要求
1.一種生成樹協議的報文發送方法，其特征在于，包括在待發送的網橋協議數據單元BPDU報文中添加密碼字段；根據報文的數據字段進行加密運算獲取密碼；將所述密碼存入所述密碼字段后封裝并發送報文。
2.如權利要求1所述生成樹協議的報文發送方法，其特征在于，所述根據報文的數據字段進行加密運算獲取密碼的方法包括根據預設的算法對報文中的數據字段進行加密運算，得到與所述數據字段相關且全網唯一的密碼。
3.如權利要求1或2所述生成樹協議的報文發送方法，其特征在于，所述進行加密運算獲取密碼之后且在所述將密碼封裝入報文之前還包括對所述密碼進行二次加密，將經過二次加密得到的密碼存入報文的所述密碼字段。
4.如權利要求3所述生成樹協議的報文發送方法，其特征在于，所述進行二次加密的方法包括對所述進行加密運算得到的密碼進行MD5加密，或對所述進行加密運算得到的密碼進行字符序調整或偏移。
5.一種生成樹協議的報文接收方法，其特征在于，包括對待接收的BPDU報文進行解析，從密碼字段獲取密碼；使用發送端獲取密碼的方法對待接收報文中發送端進行加密運算所用的數據字段進行密碼校驗運算；判斷校驗運算所得的密碼與所述從報文中解析出的密碼是否一致，如果一致則接收并處理報文；否則丟棄報文。
6.如權利要求5所述生成樹協議的報文接收方法，其特征在于，所述對報文進行解析之前還包括設置接收權限模式，并在接收報文時，根據所設置的接收權限模式對待接收報文進行處理。
7.如權利要求6所述生成樹協議的報文接收方法，其特征在于，所述接收權限模式可設置為安全模式，在所述安全模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進行所述密碼校驗運算，根據密碼校驗結果確定對報文進行的后續處理；如果不包括密碼字段，則直接丟棄報文。
8.如權利要求6所述生成樹協議的報文接收方法，其特征在于，所述接收權限模式可設置為公共模式，在所述公共模式下接收報文時，判斷待接收報文中是否包括密碼字段，如果包括密碼字段，則進行所述密碼校驗運算，根據密碼校驗結果確定對報文進行的后續處理；如果不包括密碼字段，則直接接收并處理報文，且所回復的響應報文中也不添加密碼字段。
9.一種生成樹協議的報文處理方法，其特征在于，在BPDU報文中添加密碼字段，發送報文時，根據待發送報文的數據字段進行加密運算獲取密碼，并存入所述密碼字段，然后發送；接收報文時，從待接收報文的所述密碼字段獲取密碼，并根據所述加密運算的算法及待接收報文中加密運算所用的數據字段進行校驗運算，如果校驗運算結果與所述密碼一致，則接收并處理報文；否則丟棄報文。
10.如權利要求9所述生成樹協議的報文處理方法，其特征在于，所述進行加密運算獲取密碼之后還包括對所述密碼進行二次加密，并將經過二次加密得到的密碼存入所述密碼字段，然后發送；則在所述接收報文時，進行所述校驗運算后還包括根據所述二次加密的算法對所述校驗運算結果進行二次校驗運算。
11.如權利要求10所述生成樹協議的報文處理方法，其特征在于，所述進行二次加密的方法包括對所述進行加密運算得到的密碼進行MD5加密，或對所述進行加密運算得到的密碼進行字符序調整或偏移。
12.如權利要求9所述生成樹協議的報文處理方法，其特征在于，所述接收報文之前還包括設置接收權限模式；則在所述接收報文時，根據預設的接收權限模式對待接收報文進行處理。
13.一種生成樹協議的報文發送設備，包括報文發送單元，其特征在于，還包括報文封裝單元及加密運算單元，所述報文封裝單元，在待發送的BPDU報文中添加密碼字段；所述加密運算單元根據報文的數據字段進行加密運算獲取密碼，將所述密碼存入所述密碼字段后由所述報文封裝單元封裝報文；所述報文發送單元對封裝后的報文進行發送。
14.如權利要求13所述生成樹協議的報文發送設備，其特征在于，還包括二次加密單元，所述二次加密單元對所述加密運算單元獲取的密碼進行二次加密，并將經過二次加密得到的密碼存入所述密碼字段。
15.如權利要求14所述生成樹協議的報文發送設備，其特征在于，所述二次加密包括對所述進行加密運算得到的密碼進行MD5加密，或對所述進行加密運算得到的密碼進行字符序變化或偏移。
16.一種生成樹協議的報文接收設備，包括報文處理單元，其特征在于，還包括報文緩存單元及報文解析校驗單元；所述報文緩存單元，存儲待接收的BPDU報文；所述報文解析校驗單元，從待接收報文的密碼字段獲取密碼，并使用發送端獲取密碼的方法對待接收報文中發送端進行加密運算時所用的數據字段進行密碼校驗運算，如果校驗運算所得的密碼與所述從報文密碼字段獲取的密碼一致，則轉由所述報文處理單元進行處理；否則丟棄報文。
17.如權利要求16所述生成樹協議的報文接收設備，其特征在于，還包括權限設置單元及報文檢測單元，所述權限設置單元，設置所述報文接收設備的接收權限模式；所述報文檢測單元，根據預設的接收權限模式對所述報文緩存單元中的待接收報文進行檢測，確定報文中是否包括密碼，并根據檢測結果確定對所述待接收報文進行的后續處理。
18.如權利要求17所述生成樹協議的報文接收設備，其特征在于，所述權限設置單元設置所述報文接收設備的接收權限模式為安全模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉由所述報文解析校驗單元處理；否則丟棄報文。
19.如權利要求17所述生成樹協議的報文接收設備，其特征在于，所述權限設置單元設置所述報文接收設備的接收權限模式為公共模式，則所述報文檢測單元檢測所述待接收報文是否包括密碼字段，如果包括則轉由所述報文解析校驗單元處理；否則轉由所述報文處理單元進行處理，所述報文處理單元進一步判斷接收的報文是否需要響應，如果是則回復不添加密碼字段的響應報文。
全文摘要
本發明公開了一種生成樹協議的報文處理方法，包括發送報文時，在網橋協議數據單元BPDU報文中添加密碼字段，并對報文的特定數據字段進行加密運算獲取密碼存入所述密碼字段；接收報文時，根據加密運算的算法及加密運算所用的數據字段對待接收的報文進行密碼校驗運算，進一步實現對報文的過濾。本發明還公開了一種生成樹協議的報文發送、接收方法及其設備。本發明一種生成樹協議的報文發送和接收方法、處理方法及設備，通過在BPDU報文中添加密碼字段實現對生成樹協議的鑒權，可以提高生成樹協議在網絡應用中的可靠性，能夠有效防止惡意攻擊及避免網絡震蕩。
文檔編號H04L12/44GK1949750SQ200610145679
公開日2007年4月18日 申請日期2006年11月24日 優先權日2006年11月24日
發明者徐鵬飛 申請人:杭州華為三康技術有限公司