[发明专利]一种解决RSTP假冒根桥攻击的方法

说明书

本发明公开了一种解决RSTP假冒根桥攻击的方法，该方法包括：步骤S1，为每个端口创建一个记录空间；步骤S2，为每个记录空间开启一个定时器；步骤S3，判断定时器是否到期，如果定时器超时则跳转执行步骤S5；如果定时器未超时则执行步骤S4；步骤S4，对端口接收到的报文进行检测并利用该记录空间对相关事件进行记录；步骤S5，判断记录空间条目数是否超过阈值，如果记录空间条目数超过阈值，则存在此端口下存在假冒根桥攻击行为，进行防护；如果记录空间条目数未超过阈值，则清除记录空间的所有记录，跳转步骤S2。本发明能够准备检测假冒根桥的攻击行为，并进行及时的防护，进而提高了机载网络的通信安全。

技术领域

本发明涉及机载网络安全技术领域，具体涉及一种解决RSTP假冒根桥攻击的方法。

背景技术

飞机机载设备多达上百个，在机载环境下需要尽量减少线缆使用量，降低重量，同时要求组网有冗余链路来提高可靠性。因此环形组网方式在飞机机载组网中得到广泛应用，网络中环路动态检测和链路劣化自动倒换多采用IEEE 802.1D 2004RSTP协议。

如图1所示，RSTP协议根据用户的配置(如桥优先级)和网桥本身的一些独一无二的元素(如MAC地址)，将这些元素通过一定规则构成每个网桥特有的BPDU生成树报文。具体的，网桥ID结构中Priority为可配置的桥优先级，包括Octet 0的前四位，对桥ID的影响值最大，规范定义中为用户可配置部分；System ID为不可配置的system ID号，由本地系统赋予，对桥ID有第二高的影响值，包括Octet 0的后四位和Octet 1的整个字节，该值一般为固定值；MAC地址为桥所在的交换设备的MAC地址，对桥ID影响最小，主要目的是基于网络中MAC唯一的特性，保证每个交换设备的桥ID是唯一的，包括Octet 2到Octet 7。且字节编号越低对桥ID数值影响越大，数值越小优先级越高。BPDU报文通过网桥间的不停交换，各网桥将收到的更优BPDP报文的部分字段替换本身的BPDU再发送。通过这样的方式，最终全网对根桥的选举达成一致，即拥有最高桥ID优先级的网桥成为根桥。

BPDU报文目的MAC地址是一个特殊的多播MAC地址01-80-C2-00-00-00，此地址是预留给RSTP协议专用的。飞机机载组网环境下，部分设备需要提供网络接入口给用户使用，工作在RSTP协议上的设备将按协议规定的hello time间隔时间(一般为2秒)定时向外发送BPDU报文。用户接入网络并正常使用的情况下会收到此BPDU包，因为用户不是网桥所以不会处理BPDU而是直接丢弃此报文。但如果用户将BPDU报文捕获后分析提取出当前网络中根桥的优先级，然后构造一个具有更高桥ID优先级的BPDU并回复，这将触发原网络中重新选举根桥。RSTP协议在重新选择根桥的过程中，设备上的端口状态会相应的发生改变(转发，阻塞，学习这三种端口状态相互转换)。根据飞机机载网络规模的一般大小，根桥重新选举带来的网络中断时间一般在1～2秒左右。如果用户以以下方式攻击网络，可导致网络基本瘫痪不可用。攻击方法(见图2)：发送假冒根桥信息，导致网络重新选举(网络中断1～2秒)，停止发送假冒根桥信息，根桥信息超时重新选举(超时门限为hello time值的3倍)，网络再中断1～2秒，重新发送假冒根桥信息，如此循环可以让网络反复间歇性中断，从而严重影响整个网络的通信。在飞机机载网络环境下，此种情况显然不然接受，需要提供一种方法阻止这种网络攻击。

发明内容

为了解决现有机载网络容易遭受网络攻击，从而影响整个网络的通信安全的技术问题，本发明提出了一种解决RSTP假冒根桥攻击的方法。

本发明通过下述技术方案实现：

一种解决RSTP假冒根桥攻击的方法，该方法包括以下步骤：

步骤S1，为每个端口创建一个记录空间；

步骤S2，为每个记录空间开启一个定时器；

步骤S3，判断定时器是否到期，如果定时器超时则跳转执行步骤S5；如果定时器未超时则执行步骤S4；