[发明专利]防止环网协议报文攻击设备CPU的方法及装置

说明书

技术领域

本发明涉及工业以太网技术领域，尤其涉及一种防止环网协议报文攻击设备CPU的方法及装置。

背景技术

为了保证工业以太网的安全性，使用具有快速倒换能力的环网协议进行网络规划是比较普遍的现象。环网协议是网络正常通信的保障，如果环网协议发生异常，对整个网络的正常通信将会造成很大的冲击，严重的可能会导致网络瘫痪，因此环网协议的安全性对整个网络是非常重要的。

在对环网协议的攻击中，一种较严重的攻击是仿冒大量的环网协议报文冲击环网中设备的CPU。在这种攻击中，攻击者通过抓取环网中的报文，获取环网协议的特征值，仿冒该特征值的报文，或者直接将抓取的报文向设备的端口发送。虽然设备的CPU会进行报文合理性的判断，但是该攻击方法还是会对环网中设备的CPU造成一定的冲击。

在现有技术中为了解决这种冲击，采用了以下方式：

环网中每台设备的CPU检测从每个端口接收到的环网协议报文的数量，当从某一端口接收到大量的环网协议报文时，将该端口关闭一段时间。但是这种关闭端口的方法，将会终止该端口的正常通信，影响环网的正常运行。

或者，还可以是环网中每台设备的CPU检测从每个端口接收到的环网协议报文的数量，当从某一端口接收到大量的环网协议报文时，对该端口上报CPU进行处理的特定协议报文进行限速，从而减小对CPU的冲击。但是采用该方法时，如果此时有大量的该特定协议报文通过该端口上报CPU，而该端口此时被限速，很多真实的该特定协议报文将被淹没，导致环网协议异常。

发明内容

本发明实施例提供一种防止环网协议报文攻击设备CPU的方法及装置，用以解决现有技术防止环网协议报文攻击设备CPU时，影响环网的正常运行及造成环网协议异常的问题。

本发明实施例提供一种防止环网协议报文攻击设备CPU的方法，所述方法包括：

第一环网设备检测经自身处理的环网协议报文是否超速；

当检测到超速时，生成用于生成环网协议特征值的随机值，将所述随机值发送给环网中的其他设备；

并向环网中其他设备发送启动新的特征值的通知信息，使环网中的每台设备的硬件根据生成的新的特征值对环网协议报文进行检测，其中所述新的特征值根据所述随机值、报文类型信息、每台设备的地址信息及每台设备中保存的加密算法生成。

本发明实施例提供一种防止环网协议报文攻击设备CPU的装置，所述装置包括：

检测模块，用于检测经自身处理的环网协议报文是否超速；

第一发送模块，用于当检测到超速时，生成用于生成环网协议特征值的随机值，将所述随机值发送给环网中的其他设备；

第二发送模块，用于向环网中其他设备发送启动新的特征值的通知信息，使环网中的每台设备的硬件根据生成的新的特征值对环网协议报文进行检测，其中所述新的特征值根据所述随机值、报文类型信息、每台设备的地址信息及每台设备中保存的加密算法生成。

本发明实施例提供一种防止环网协议报文攻击设备CPU的方法及装置，该方法包括：当环网中的某一设备检测自身处理的环网协议报文的数量超速时，生成用于生成环网协议特征值的随机值，并将该随机值发送到环网中的每台设备中，以便环网中的每台设备的硬件在接收到该设备发送的启动新的特征值的通知后，采用该生成的新的特征值对接收到的环网协议报文进行检测，只有检测该报文非攻击报文时，才将报文发送到CPU进行处理。由于在本发明实施例中当检测到自身处理的环网协议报文超速时，开始更新环网中每台设备中的环网协议特征值，从而可以及时的过滤掉攻击报文，通过硬件进行判断的方法，可以有效防止环网协议报文对设备CPU的攻击。

附图说明

图1为本发明实施例提供的一种防止环网协议报文攻击设备CPU的过程示意图；

图2为本发明实施例提供的该防止环网协议报文攻击设备CPU的一具体实施过程示意图；

图3为本发明实施例提供的该防止环网协议报文攻击设备CPU的另一具体实施过程示意图；

图4为本发明实施例提供的环网中各设备的组网结构示意图；

图5为本发明实施例提供的基于图4的该防止环网协议报文攻击设备CPU的详细实施过程；

图6为本发明实施例提供的一种防止环网协议报文攻击设备CPU的装置，的结构示意图。

具体实施方式

本发明为了有效的过滤攻击报文，防止环网协议报文对设备CPU的攻击，保证环网的正常运行，提供了一种防止环网协议报文攻击设备CPU的方法及装置。