一种密码生成方法及设备技术

本发明专利技术公开了一种密码生成方法及设备，第一设备和第二设备设置有全局密码，第一设备的第一端口和第二设备的第二端口上设置有端口密码，第一端口和第二端口在同一链路上，该方法包括：第一设备与第二设备协商第一端口与第二端口之间的全局密码，若协商第一端口与第二端口之间的全局密码成功，则第一设备与第二设备协商所述第一端口与第二端口之间的端口密码；若协商第一端口与第二端口之间的端口密码成功，则第一设备利用协商成功的全局密码和端口密码生成所述第一端口与第二端口之间的邻居密码，利用所述邻居密码为所述第一端口和第二端口之间交互的报文进行加密或解密。能够有效防止由于某台设备的全局密码泄露导致全网设备都处在攻击范围内。

【技术实现步骤摘要】

本专利技术涉及通信
，特别涉及一种密码生成方法及设备。
技术介绍
物理层的检测机制负责进行物理信号和故障的检测。而在单向链路中，由于物理层仍处于连通状态，因此物理层检测机制无法发现设备间的通信异常，从而会导致错误转发、环路等问题。而DLDP(Device Link Detect1n Protocol，设备链路检测协议)能够通过在链路层监控光纤或网线的链路状态，检测链路连接是否正确、链路两端可否正常交互报文。当发现单向链路时，DLDP会根据用户配置自动关闭或由用户手工关闭相关接口，以防止网络问题的发生。DLDP与物理层检测机制协同工作，可以检测并避免物理和逻辑的单向连接。当两台设备通过光纤或网线直接相连时，可以在这两台设备之间启用DLDP来检测单向链路，此时这两台设备的端口互为DLDP邻居。目前DLDP实现过程中为了防止网络攻击和恶意探测，对于使能DLDP的端口，允许用户设置全局的认证模式和认证密码，即同一设备的所有端口的认证模式和认证密码都相同。同时，为了保证DLDP正常连接，两台设备间的端口上配置的认证模式和认证密码相同，否则DLDP将不能正常工作。如此，全网的设备的认证模式和认证密码都将一致，这样，一旦一个端口的认证模式和认证密码被泄露，则整网的认证模式和认证密码都将被泄露，存在恶意攻击的范围将从某个端口蔓延至全网。
技术实现思路
本专利技术的目的在于提供一种密码生成方法及设备，能够有效防止由于某台设备的全局密码泄露导致全网设备都处在攻击范围内。本专利技术实施例提供了一种密码生成方法，第一设备和第二设备设置有全局密码，所述第一设备的第一端口和第二设备的第二端口上设置有端口密码，所述第一端口和第二端口在同一链路上，该方法包括:所述第一设备与所述第二设备协商所述第一端口与第二端口之间的全局密码，若协商所述第一端口与第二端口之间的全局密码成功，则所述第一设备与所述第二设备协商所述第一端口与第二端口之间的端口密码；若协商所述第一端口与第二端口之间的端口密码成功，则所述第一设备利用协商成功的全局密码和端口密码生成所述第一端口与第二端口之间的邻居密码，利用所述邻居密码为所述第一端口和第二端口之间交互的报文进行加密或解密。本专利技术实施例还提供了一种密码生成设备，应用于第一设备，第一设备和第二设备设置有全局密码，所述第一设备的第一端口和第二设备的第二端口上设置有端口密码，所述第一端口和第二端口在同一链路上，该设备包括协商单元，用于与所述第二设备协商所述第一端口与第二端口之间的全局密码，若协商所述第一端口与第二端口之间的全局密码成功，则与所述第二设备协商所述第一端口与第二端口之间的端口密码；生成单元，用于若协商所述第一端口与第二端口之间的端口密码成功，则利用协商成功的全局密码和端口密码生成所述第一端口与第二端口之间的邻居密码，利用所述邻居密码为所述第一端口和第二端口之间交互的报文进行加密或解密。本专利技术的有益效果在于，本专利技术通过全局密码和端口密码，这种两层密码认证机制，与对端设备端口建立确定的DLDP邻居关系，并且，利用全局密码和端口密码，共同生成一个新的密码，作为邻居密码，来维持DLDP邻居关系，检测单向链路等。可以有效防止由于某台设备的全局密码泄露导致全网设备都处在攻击范围内，不仅解决了全网密码相同的问题，而且基本不增加设备负担。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种密码生成方法的流程示意图。图2为本专利技术实施例组网示意图。图3为本专利技术密码生成设备的结构示意图。【具体实施方式】为使本专利技术的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本专利技术进一步详细说明。设备进行DLDP认证，可以防止网络攻击和恶意探测，现有DLDP认证模式包括三类:第一类，非认证模式，DLDP报文发送端将DLDP报文的认证字段置为全0，认证类型字段置为O ;DLDP报文接收端将接收的DLDP报文中的认证信息与本端配置进行比较，若一致则认证通过，否则丢弃该DLDP报文。第二类，明文认证模式，DLDP报文发送端将DLDP报文的认证字段置为用户设置的密码明文，认证类型字段置为I ;DLDP报文接收端将接收的DLDP报文中的认证信息与本端配置进行比较，若一致则认证通过，否则丢弃该DLDP报文。第三类，MD5认证模式，DLDP报文发送端将DLDP报文的认证字段置为用户设置的密码用MD5算法加密后的密码摘要，认证类型字段置为2 ;DLDP报文接收端将接收的DLDP报文中的认证信息与本端配置进行比较，若一致则认证通过，否则丢弃该DLDP报文。根据现有技术的描述，用户无论选择上述哪种认证模式，全网都只有一个认证密码，针对全网中只有一个认证密码易导致攻击的漏洞，本专利技术通过全局密码和端口密码，这种两层密码认证机制，与对端设备端口建立确定的DLDP邻居关系，并且，利用全局密码和端口密码，共同生成一个新的密码，作为邻居密码，来维持DLDP邻居关系，检测单向链路等。可以有效防止由于某台设备的全局密码泄露导致全网设备都处在攻击范围内，不仅解决了全网密码相同的问题，而且基本不增加设备负担。本专利技术中第一设备和第二设备设置有全局密码，所述第一设备的第一端口和第二设备的第二端口上设置有端口密码，所述第一端口和第二端口在同一链路上。本专利技术中，全网中的所有设备配置有相同的全局密码，且同一链路上的两个端口配置有相同的端口密码。基于此，本专利技术提供的密码生成方法的流程示意图如图1所示。步骤11、所述第一设备与所述第二设备协商所述第一端口与第二端口之间的全局密码，若协商所述第一端口与第二端口之间的全局密码成功，则所述第一设备与所述第二设备协商所述第一端口与第二端口之间的端口密码；步骤12、若协商所述第一端口与第二端口之间的端口密码成功，则所述第一设备利用协商成功的全局密码和端口密码生成所述第一端口与第二端口之间的邻居密码，利用所述邻居密码为所述第一端口和第二端口之间交互的报文进行加密或解密。其中，所述第一设备设置有第一全局密码和所述第二设备设置有第二全局密码，且所述第一端口设置有第一端口密码，所述第二端口设置有第二端口密码；所述第一设备与所述第二设备协商所述第一端口与第二端口之间的全局密码，若协商所述第一端口与第二端口之间的全局密码成功，则所述第一设备与所述第二设备之间建立非稳态邻居关系，并与所述第二设备协商所述第一端口与第二端口之间的端口密码，具体包括:所述第一设备通过所述第一端口向所述第二端口发送携带所述第一全局密码和所述第一端口的第一端口信息的第一 DLDP报文，以使所述第二设备在确定所述第一全局密码与所述第二全局密码一致时，记录所述第一端口信息，并通过所述第二端口向所述第一端口发送携带所述第二全局密码、所述第一端口信息和所述第二端口的第二端口信息的第二 DLDP报文；所述第一设备通过第一端口接收到第二 DLDP报文，在确定所述第二全局密码与所述第一全局密码一致时，则确定协商所述第一端口与第二端口之间的全局本文档来自技高网...

【技术保护点】
一种密码生成方法，其特征在于，第一设备和第二设备设置有全局密码，所述第一设备的第一端口和第二设备的第二端口上设置有端口密码，所述第一端口和第二端口在同一链路上，该方法包括：所述第一设备与所述第二设备协商所述第一端口与第二端口之间的全局密码，若协商所述第一端口与第二端口之间的全局密码成功，则所述第一设备与所述第二设备协商所述第一端口与第二端口之间的端口密码；若协商所述第一端口与第二端口之间的端口密码成功，则所述第一设备利用协商成功的全局密码和端口密码生成所述第一端口与第二端口之间的邻居密码，利用所述邻居密码为所述第一端口和第二端口之间交互的报文进行加密或解密。

【技术特征摘要】

【专利技术属性】
技术研发人员：李磊方，王伟，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33