[发明专利]一种实现数据链路安全的方法、设备和系统

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种实现数据链路安全的方法、设备和系统。

背景技术

网络设备会提供虚拟数据通道给用户，目前，经常会存在不法分子对网络设备提供的虚拟数据通道进行恶意监听，如图1所示，为网络设备正常组网图，其中，PE设备为核心网络边缘设备，P设备为核心设备。用户业务通过该条数据链路正常通信。如图2所示，为出现恶意监听的组网图，具体的，不法分子通过在数据链路上的两个P设备间外接一个交换机，并利用交换机把用户的数据镜像到恶意分配机器上对数据进行分析，从而对用户数据的安全性构成威胁。

所以，当虚拟链接一旦被破坏或者被监听之后，如何立即中断业务的链接，避免用户的业务被恶意监听，保证用户的安全性成为目前亟待解决的技术问题。

发明内容

本发明提供一种实现数据链路安全的方法、设备和系统，用以解决现有技术中在数据链路通道受到安全威胁的情况下，不能中断用户业务保证用户安全的问题。

为了解决上述技术问题，本发明采用的技术方案如下：

一方面，本发明提供一种实现数据链路安全的方法，包括：

数据链路源端和目的端彼此向对端发送保活报文；所述保活报文不能被所述数据链路源端与目的端间外接的其他设备所透穿；

所述数据链路源端和目的端分别检测接收到的所述保活报文个数是否满足配置要求，若不满足，则中断彼此间的通信。

其中，所述保活报文的格式为小于64字节的以太网报文。

进一步地，所述数据链路源端与目的端间通信中断后，当所述数据链路源端和目的端彼此接收到对端发送的所述保活报文时，恢复所述数据链路源端和目的端间的通信。

进一步地，所述配置要求包括设定时间段内接收到的保活报文的个数是否达到设定的数值。

另一方面，本发明还提供一种实现数据链路安全的设备，所述设备可以为数据链路的源端设备和目的端设备中的任意一端，所述设备具体包括：

报文发送模块，用于向数据链路的对端设备发送保活报文；所述保活报文不能被所述数据链路的两端设备间外接的其他设备所透穿；

报文接收模块，用于接收所述数据链路的对端设备发送的保活报文；

检测模块，用于检测所述报文接收模块接收到的所述保活报文个数是否满足配置要求，若不满足，则中断与所述数据链路的对端设备的通信。

其中，所述报文发送模块发送的保活报文的格式为小于64字节的以太网报文。

进一步地，所述中断与所述数据链路的对端设备的通信后，所述检测模块，还用于检测所述报文接收模块是否接收到所述数据链路的对端设备发送的所述保活报文，若是，则恢复与所述数据链路的对端设备的通信。

再一方面，本发明还提供一种实现数据链路安全的系统，包括：数据链路源端和数据链路目的端；

所述数据链路源端，用于向所述数据链路目的端发送保活报文，并接收所述数据链路目的端发送的保活报文，检测接收到的所述保活报文个数是否满足配置要求，若不满足，则中断与所述数据链路目的端间的通信；

所述数据链路目的端，用于向所述数据链路源端发送保活报文，并接收所述数据链路源端发送的保活报文，检测接收到的所述保活报文个数是否满足配置要求，若不满足，则中断与所述数据链路源端间的通信；其中，所述保活报文不能被所述数据链路源端与目的端间外接的其他设备所透穿。

其中，所述数据链路源端和数据链路目的端发送的所述保活报文的格式为小于64字节的以太网报文。

在所述数据链路源端与数据链路目的端间通信中断后，所述数据链路源端和目的端若彼此接收到对端发送的所述保活报文，则恢复彼此间的通信。

本发明有益效果如下：

本发明提供的方法、设备和系统，通过在网络设备间传输特定格式的保活报文，使得在数据链路通道中间加入其他设备，或者被破坏、监听时，能够根据保活报文的接收情况立即中断数据链路通道的链接，保护用户数据的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中网络设备正常组网的结构图；

图2为现有技术中网络设备组网被恶意监听后的结构图；

图3为本发明提供的实现数据链路安全的方法流程图；