(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111388850.X (22)申请日 2021.11.22 (71)申请人 迈普通信技 术股份有限公司 地址 610041 四川省成 都市高新区天府三 街288号1栋15 -24层 (72)发明人 严云龙　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 安全控制方法、 装置， 交换机， 服务器及网络 系统 (57)摘要 本申请提供一种安全控制方法、 装置， 交换 机， 服务器及网络系统。 该方法包括： 对第一交换 机预先配置的系统MAC地址进行加密， 得到第一 加密地址； 构建携带第一加密地址的第一LA CPDU 报文； 将第一LACPDU报文发送至服务器， 以使服 务器在同一聚合链路的不同端口接收到第一 LACPDU报文及第二交换机发送的第二LACPDU报 文时， 对第一LA CPDU报文及第二LA CPDU报文进行 聚合验证。 通过该方式， 使得即使攻击者预先获 取到了原始的系统MAC地址， 由于无法获取配置 的加密方式， 因此也无法采用相同加密方式进行 加密伪造， 通过该方式可以提高两台交换机与服 务器之间聚合的安全性。 权利要求书3页 说明书12页 附图4页 CN 114070636 A 2022.02.18 CN 114070636 A 1.一种安全控制方法， 其特征在于， 应用于网络系统中的第 一交换机， 所述网络系统还 包括第二交换机和服务器， 所述服务器分别与所述第一交换机及所述第二交换机通信连 接， 所述方法包括： 对所述第一交换机预 先配置的系统MAC地址进行加密， 得到第一加密地址； 构建携带 所述第一加密地址的第一链路汇聚控制协议数据单 元LACPDU报文； 将所述第一LACPDU报文发送至所述服务器， 以使所述服务器在同一聚合链路的不同端 口接收到所述第一LACPDU报文及所述第二交换机发送的携带第二加密地址的第二LACPDU 报文时， 对所述第一 LACPDU报文及所述第二 LACPDU报文进行聚合验证。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述第一交换机预先配置的系统 MAC地址进行加密， 得到第一加密地址， 包括： 基于第一加密算法及第一加密 密钥对所述系统MAC地址进行加密， 得到第一加密地址； 所述构建携带 所述第一加密地址的第一 LACPDU报文， 包括： 将所述第一加密地址填充至所述第一 LACPDU报文中的Actor_System字段； 基于第二加密算法及第二加密密钥对所述第一LACPDU报文中的Actor_System字段进 行加密， 得到加密字符串； 基于所述加密字符串构建所述第一 LACPDU报文。 3.根据权利要求2所述的方法， 其特征在于， 所述基于所述加密字符串构建所述第一 LACPDU报文， 包括： 将所述加密字符串调整为第一字节长度； 基于调整字节长度后的加密字符串构建所述第一 LACPDU报文； 或者 所述基于所述加密字符串构建所述第一 LACPDU报文， 包括： 基于所述加密字符串以及填充标识信息的目标字段， 构 建所述第一LACPDU报文； 其中， 所述标识信息表征所述第一LACPDU报文中的Actor_System字段所携带的信息需解密后获 取。 4.一种安全控制方法， 其特征在于， 应用于网络系统中的服务器， 所述网络系统还包括 第一交换机和第二交换机， 所述服务器分别与所述第一交换机和所述第二交换机通信连 接， 所述方法包括： 当通过同一聚合链路的不同端口接收到第一LACPDU报文及第二LACPDU报文时， 对所述 第一LACPDU报文及所述第二LACPDU报文进行聚合验证； 其中， 所述第一LACPDU报文为所述 第一交换机发送的报文， 所述第一LACPDU报文 中的Actor_System字段携带第一加密地址， 所述第一加密地址为所述第一交换机对系统MAC地址进行加密得到； 所述第二LACPDU报文 为所述第二交换机发送的报文； 所述第二LACPDU报文中的Actor_System字段携带第二加密 地址， 所述第二加密地址为所述第二交换机对所述系统MAC地址进行加密得到； 当所述第一LACPDU报文中的Actor_System字段所携带的信息与所述第二LACPDU报文 中的Actor_System字段所携带的信息一致时， 则确定所述第一交换机及所述第二交换机与 所述服务器聚合成功。 5.根据权利 要求4所述的方法， 其特征在于， 在所述对所述第一LACPDU报文及所述第二 LACPDU报文进行聚合验证之前， 所述方法还 包括： 基于第二加密算法及第二加密密钥对所述第一LACPDU报文中的加密字符串及所述第权　利　要　求　书 1/3 页 2 CN 114070636 A 2二LACPDU报文中的加密字符串进行解密； 其中， 所述第一LACPDU报文中的加密字符串为所 述第一交换机通过将所述第一加密地址填充至所述第一LACPDU报文 中的Actor_System字 段； 再基于所述第二加密算法及所述第二加密密钥对所述第一LACPDU报文中的Actor_ System字段进 行加密后得到； 所述第一加密地址为所述第一交换机基于第一加密算法及第 一加密密钥对所述系统MAC地址进行加密得到； 所述第二LACPDU报文中的加密字符串为所 述第二交换机通过将所述第二加密地址填充至所述第二LACPDU报文 中的Actor_System字 段； 再基于所述第二加密算法及所述第二加密密钥对所述第二LACPDU报文中的Actor_ System字段进 行加密后得到； 所述第二加密地址为所述第二交换机基于所述第一加密算法 及所述第一加密 密钥对所述系统MAC地址进行加密得到； 所述当所述第一LACPDU报文中的Actor_System字段所携带的信息与所述第二LACPDU 报文中的Actor_System字段所携带的信息一致时， 则确定所述第一交换机及所述第二交换 机与所述 服务器聚合成功， 包括： 当所述第一LACPDU报文经解密后得到的Actor_System字段所携带的信息与所述第二 LACPDU报文经解密后得到的Actor_System字段所携带的信息一致时， 则确定所述第一交换 机及所述第二交换机与所述 服务器聚合成功。 6.根据权利要求5所述的方法， 其特征在于， 在所述基于第 二加密算法及第 二加密密钥 对所述第一LACPDU报文中的加密字符串及所述第二LACPDU报文中的加密字符串进行解密 之前， 所述方法还 包括： 将所述第一LACPDU报文中的加密字符串及所述第二LACPDU报文中的加密字符串还原 为第二字节长度； 所述基于第二加密算法及第二加密密钥对所述第一LACPDU报文中的加密字符串及所 述第二LACPDU报文中的加密字符串 进行解密， 包括： 基于所述第二加密算法及第二加密密钥对所述第一LACPDU报文中还原为所述第二字 节长度后的加密字符串及所述第二LACPDU报文中还原为所述第二字节长度后的加密字符 串进行解密； 或者 在所述基于第二加密算法及第二加密密钥对所述第一LACPDU报文中的加密字符串及 所述第二 LACPDU报文中的加密字符串 进行解密之前， 所述方法还 包括： 确定所述第一LACPDU报文中的目标字段包含标识信息及所述第二LACPDU报文中的目 标字段包含所述标识信息； 其中， 所述标识信息表征Actor_System字段所携带的信息需解 密后获取。 7.一种安全控制装置， 其特征在于， 应用于网络系统中的第 一交换机， 所述网络系统还 包括第二交换机和服务器， 所述服务器分别与所述第一交换机及所述第二交换机通信连 接， 所述装置包括： 加密模块， 用于对所述第一交换机预先配置的系统MAC地址进行加密， 得到第一加密地 址； 构建模块， 用于构建携带所述第一加密地址的第一链路汇聚控制协议数据单元LACPDU 报文； 发送模块， 用于将所述第一LACPDU报文发送至所述服务器， 以使所述服务器在同一聚 合链路的不同端口接收到所述第一LACPDU报文及所述第二交换机发送的携带第二加密地权　利　要　求　书 2/3 页 3 CN 114070636 A 3