基于arp协议的设备接入感知方法

基于arp协议的设备接入感知方法
【专利摘要】本发明公开了一种基于ARP协议的设备接入感知方法，包括：阻断自身操作系统的ARP广播和应答功能；构造私有ARP请求报文，私有ARP请求报文为在原ARP请求报文基础上增加相应的具有签名的私有标识的报文；将私有ARP请求报文进行广播，同时接收其他主机设备发送的私有ARP请求报文，并返回私有ARP应答报文；检测其他主机设备发送的私有ARP请求报文中是否含有具有签名的私有标识；若其他主机设备发送的私有ARP请求报文中含有具有签名的私有标识且签名正确，则其他主机设备判定为合法接入设备，正常通信；否则其他主机设备判定为非法接入设备，并阻断非法接入设备的通信；将非法接入设备信息上报给服务端。本发明可以快速及时发现设备接入，有效阻挡非法接入设备通信。
【专利说明】基于ARP协议的设备接入感知方法

【技术领域】
[0001]本发明涉及计算机网络数据通信【技术领域】，尤其涉及一种基于ARP协议的接入识别方法。

【背景技术】
[0002]随着网络的日益普及，各企事业单位也都建立了自己的内部网络，如何及时识别接入内部网络的设备，并阻断非法接入设备通信，保护内部网络的信息安全成为网络管理面临的亟待解决的问题。
[0003]目前对设备接入感知常用的方法基本是:对于非法设备接入主要通过ACL控制其进行网络通信。但是通过ACL控制设备的网络通信，对于非法设备伪装、欺骗合法设备无法进行有效的检测。
[0004]其中，地址解析协议，即ARP (Address Resolut1n Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。当一台主机设备接入网络后会主动广播ARP报文，并对收到的ARP报文进行解析。ARP协议进行地址解析时，首先以广播的形式向广播域内的所有主机发送一个ARP请求报文，当广播域内的主机收到请求报文后,检查请求包中的目的地址IP是否与本机IP相同，若不同则丢弃此数据报文，若相同就向源主机发送一个应答报文。应答报文中源IP、MAC地址为本机的地址，目的IP、MAC地址为请求报文的IP、MAC地址。发送请求报文的主机收到应答报文后提取应答报文中的源MAC地址，然后进行数据的发送。


【发明内容】

[0005]本发明所要解决的技术问题在于，提供一种基于ARP协议的设备接入感知方法，实现快速、及时发现设备接入，有效阻挡非法设备接入的通信。
[0006]为了解决上述技术问题，本发明提供了一种基于ARP协议的设备接入感知方法，包括:
[0007]主机设备阻断自身操作系统的ARP广播和应答功能；
[0008]所述主机设备构造私有ARP请求报文，其中，所述私有ARP请求报文为在原ARP请求报文基础上增加相应的具有签名的私有标识的报文；
[0009]所述主机设备将所述私有ARP请求报文进行广播，同时接收其他主机设备发送的私有ARP请求报文，并返回私有ARP应答报文；
[0010]所述主机设备检测所述其他主机设备发送的私有ARP请求报文中是否含有具有签名的私有标识；
[0011]若所述其他主机设备发送的私有ARP请求报文中含有具有签名的私有标识，且签名正确，则所述其他主机设备判定为合法接入设备，正常通信；否则，所述其他主机设备判定为非法接入设备，并阻断所述非法接入设备的通信；
[0012]所述主机设备将所述非法接入设备信息上报给服务端，其中，所述非法接入设备信息包括非法接入设备IP。
[0013]进一步的，还包括:
[0014]服务端不断接收主机设备消息，并根据是否收到消息判断主机设备是否在线，其中，若预设时长内未收到主机设备消息，则当前主机设备被判定为离线状态；
[0015]所述服务端在数据库中查找是否存在当前主机设备IP，并根据查找结果判断当前主机设备原状态的合法性、是否为新接入主机设备，以及根据判断结果对所述原状态进行相应修改；
[0016]所述服务端判断接收的所述主机设备消息中是否存在非法接入设备信息，若存在，则生成告警信息；
[0017]所述服务端在数据库中查找是否存在所述非法接入设备IP、其原状态是否合法以及是否有其他主机设备上报，并根据查找结果判断是否发出所述告警信息。
[0018]其中，所述服务端在数据库中查找是否存在当前主机设备IP，并根据查找结果判断当前主机设备原状态的合法性、是否为新接入主机设备，以及根据判断结果对所述原状态进行相应修改，具体包括:
[0019]所述服务端在数据库中查找是否存在当前主机设备IP ；
[0020]若所述数据库中不存在当前主机设备IP，则所述服务端将当前主机设备判定为新的合法接入设备，并将其状态更新为合法在线；否则
[0021]所述服务端判断当前主机设备IP的原状态是否为合法状态；
[0022]若当前主机设备IP的原状态为非法，则将当前主机设备IP的状态更新为合法在线；否则
[0023]所述服务端判断当前主机设备IP的原状态是否为在线状态；
[0024]若当前主机设备IP的原状态为离线，则将当前主机设备IP的状态更新为合法在线状态。
[0025]其中，所述服务端在数据库中查找是否存在所述非法接入设备IP、其原状态是否合法以及是否有其他主机设备上报，并根据查找结果判断是否发出所述告警信息，具体包括:
[0026]所述服务端在数据库中查找是否存在所述非法接入设备IP ；
[0027]若所述数据库中不存在所述非法接入设备IP，则发出所述告警信息；否则
[0028]所述述服务端在数据库中查找所述非法接入设备IP的原状态是否为合法；
[0029]若所述非法接入设备IP的原状态为合法，则将所述原状态更新为非法状态，并发出所述告警信息；否则
[0030]所述服务端查看是否有其他主机设备已上报所述非法接入设备IP ；
[0031]若没有其他主机设备上报所述非法接入设备IP，则将所述原状态更新为非法状态，并发出所述告警信息。
[0032]其中，所述主机设备上安装有代理模块，所述主机设备的处理步骤都是通过所述代理模块实现的。
[0033]其中，所述主机设备阻断自身操作系统的ARP广播和应答功能，具体包括:
[0034]所述主机设备通过底层驱动阻断自身操作系统的ARP广播和应答功能。
[0035]其中，所述阻断所述非法接入设备的通信，具体包括:
[0036]所述主机设备向所述非法接入设备发送ARP应答报文，其中，所述ARP应答报文的发送端IP为非法接入设备的IP，发送端的MAC为一个伪造的、不存在的MAC地址，从而阻断非法接入设备的通信。
[0037]实施本发明，具有如下有益效果:
[0038]1、当有设备接入时可以快速、及时的发现接入的设备，当设备离线时正确感知离线状态；
[0039]2、非法设备接入时产生告警，网络管理员可以及时知晓；
[0040]3、防止非法设备通过旁路侦听技术捕获私有ARP后伪造非法ARP接入网络；
[0041]4、网络管理员可以方便、快捷的知晓合法设备IP的在线状态及非法设备接入告
自目 I I=I ο

【专利附图】

【附图说明】
[0042]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0043]图1是本发明提供的基于ARP协议的设备接入感知方法的一个实施例的流程示意图；
[0044]图2是本发明提供的基于ARP协议的设备接入感知方法的另一实施例的服务端处理步骤的流程示意图；
[0045]图3是图2中步骤S202的具体步骤的流程示意图；
[0046]图4是图2中步骤S205的具体步骤的流程示意图。

【具体实施方式】
[0047]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0048]图1是本发明提供的基于ARP协议的设备接入感知方法的一个实施例的流程示意图，本实施例是基于主机设备一端描述的，所述主机设备上安装有代理模块，以下主机设备的处理步骤都是通过所述代理模块实现的。如图1所示，本发明实施例包括步骤:
[0049]S101、主机设备阻断自身操作系统的ARP广播和应答功能。
[0050]其中，SlOl具体包括:所述主机设备通过底层驱动阻断自身操作系统的ARP广播和应答功能。
[0051]S102、所述主机设备构造私有ARP请求报文。
[0052]其中，所述私有ARP请求报文为在原ARP请求报文基础上增加相应的具有签名的私有标识的报文。
[0053]其中，私有ARP请求报文的构造方法为:在ARP报文中未使用的18字节中填充私有标记，同时对该私有标记进行签名，防止他人通过旁路侦听技术捕获合法私有标记后构造伪造的私有标记。
[0054]S103、所述主机设备将所述私有ARP请求报文进行广播，同时接收其他主机设备发送的私有ARP请求报文，并返回私有ARP应答报文。
[0055]S104、所述主机设备检测所述其他主机设备发送的私有ARP请求报文中是否含有具有签名的私有标识。若所述其他主机设备发送的私有ARP请求报文中含有具有签名的私有标识，且签名正确，则执行步骤S105，否则执行步骤S106。
[0056]S105、所述其他主机设备判定为合法接入设备，正常通信。
[0057]S106、所述其他主机设备判定为非法接入设备，并阻断所述非法接入设备的通信。
[0058]具体的，对其他主机设备发送的私有ARP请求报文进行解析，取出私有标记，使用一定的加密算法及局域网内所有主机的共享密钥对私有标记进行合法性和完整性检查。如果检查通过，说明是安装代理模块的合法接入设备，则可以进行通信；如果检查不通过，说明是非法接入设备。
[0059]其中，阻断所述非法接入设备的通信具体包括步骤:所述主机设备向所述非法接入设备发送ARP应答报文，其中，所述ARP应答报文的发送端IP为非法接入设备的IP，发送端的MAC为一个伪造的、不存在的MAC地址，从而阻断非法接入设备的通信。
[0060]S107、所述主机设备将所述非法接入设备信息上报给服务端。
[0061]其中，所述非法接入设备信息包括非法接入设备IP。
[0062]本发明实施例中，当有设备接入时可以快速、及时的发现接入的设备，阻断非法接入设备通信，并有效防止非法设备通过旁路侦听技术捕获私有ARP后伪造非法ARP接入网络。
[0063]本实施例是基于主机设备和服务端两端描述的，主机设备上安装有代理模块，主机设备的处理步骤都是通过所述代理模块实现的。本实施例与上一实施例的不同点是本实施例还包括服务端的处理步骤，主机设备的处理步骤与上一实施例完全相同，因此，本实施例仅对不同点进行描述，即服务端的处理步骤，如图2所示，本发明实施例服务端的处理步骤包括:
[0064]S201、服务端不断接收主机设备消息，并根据是否收到消息判断主机设备是否在线。
[0065]其中，若预设时长内未收到主机设备消息，则当前主机设备被判定为离线状态。
[0066]S202、所述服务端在数据库中查找是否存在当前主机设备IP，并根据查找结果判断当前主机设备原状态的合法性、是否为新接入主机设备，以及根据判断结果对所述原状态进行相应修改。
[0067]其中，如图3所示，步骤S202具体包括步骤:
[0068]S2021、所述服务端在数据库中查找是否存在当前主机设备IP。若否，执行步骤S2022，若是，执行步骤S2023。
[0069]S2022、所述服务端将当前主机设备判定为新的合法接入设备，并将其状态更新为合法在线。
[0070]S2023、所述服务端判断当前主机设备IP的原状态是否为合法状态。若否，执行步骤S2024，若是执行步骤S2025。
[0071]S2024、所述服务端将当前主机设备IP的状态更新为合法在线。
[0072]其中，若当前主机设备IP的原状态为非法，则表明当前主机设备IP曾经被非法接入设备接入使用，现已合法使用，则将该IP状态标记为合法在线。
[0073]S2025、所述服务端判断当前主机设备IP的原状态是否为在线状态。若否，执行步骤S2024，否则结束。
[0074]其中，若当前主机设备IP的原状态为离线，说明是曾经的合法设备重新接入，将其状态标记为在线状态。
[0075]S203、所述服务端判断接收的所述主机设备消息中是否存在非法接入设备信息。若存在，则执行步骤S204。
[0076]S204、生成告警信息。
[0077]S205、所述服务端在数据库中查找是否存在所述非法接入设备IP、其原状态是否合法以及是否有其他主机设备上报，并根据查找结果判断是否发出所述告警信息。
[0078]具体的，如图4所示，步骤S205包括步骤:
[0079]S2051、所述服务端在数据库中查找是否存在所述非法接入设备IP。若否，执行步骤S2052，若是执行步骤S2053。
[0080]S2052、发出所述告警信息。
[0081]S2053、所述述服务端在数据库中查找所述非法接入设备IP的原状态是否为合法。若是，执行步骤S2054，否则执行步骤S2055。
[0082]S2054、将所述原状态更新为非法状态，并发出所述告警信息。
[0083]其中，若所述非法接入设备IP的原状态为合法，说明此IP曾经是合法接入设备使用，现在有非法接入设备使用，则将其更新为非法状态，并发出告警信息。
[0084]S2055、所述服务端查看是否有其他主机设备已上报所述非法接入设备IP。若否，则执行步骤S2054，否则结束。
[0085]本发明实施例中，当有设备接入时可以快速、及时的发现接入的设备，当设备离线时正确感知离线状态；非法设备接入时产生告警，网络管理员可以及时知晓；可以防止非法设备通过旁路侦听技术捕获私有ARP后伪造非法ARP接入网络；网络管理员可以方便、快捷的知晓合法设备IP的在线状态及非法设备接入告警信息。
[0086]需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0087]上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0088]在本申请所提供的几个实施例中，应该理解到，所揭露的系统和方法可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0089]专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0090]结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或【技术领域】内所公知的任意其它形式的存储介质中。
[0091]对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【权利要求】
1.一种基于八即协议的设备接入感知方法，其特征在于，包括: 主机设备阻断自身操作系统的八即广播和应答功能； 所述主机设备构造私有八即请求报文，其中，所述私有八即请求报文为在原八即请求报文基础上增加相应的具有签名的私有标识的报文； 所述主机设备将所述私有八即请求报文进行广播，同时接收其他主机设备发送的私有八请求报文，并返回私有4卩？应答报文； 所述主机设备检测所述其他主机设备发送的私有八即请求报文中是否含有具有签名的私有标识； 若所述其他主机设备发送的私有八即请求报文中含有具有签名的私有标识，且签名正确，则所述其他主机设备判定为合法接入设备，正常通信；否则，所述其他主机设备判定为非法接入设备，并阻断所述非法接入设备的通信； 所述主机设备将所述非法接入设备信息上报给服务端，其中，所述非法接入设备信息包括非法接入设备I？。
2.如权利要求1所述的基于八即协议的设备接入感知方法，其特征在于，还包括: 服务端不断接收主机设备消息，并根据是否收到消息判断主机设备是否在线，其中，若预设时长内未收到主机设备消息，则当前主机设备被判定为离线状态； 所述服务端在数据库中查找是否存在当前主机设备I？，并根据查找结果判断当前主机设备原状态的合法性、是否为新接入主机设备，以及根据判断结果对所述原状态进行相应修改； 所述服务端判断接收的所述主机设备消息中是否存在非法接入设备信息，若存在，贝0生成告警信息； 所述服务端在数据库中查找是否存在所述非法接入设备I？、其原状态是否合法以及是否有其他主机设备上报，并根据查找结果判断是否发出所述告警信息。
3.如权利要求2所述的基于八协议的设备接入感知方法，其特征在于，所述服务端在数据库中查找是否存在当前主机设备I？，并根据查找结果判断当前主机设备原状态的合法性、是否为新接入主机设备，以及根据判断结果对所述原状态进行相应修改，具体包括: 所述服务端在数据库中查找是否存在当前主机设备I？； 若所述数据库中不存在当前主机设备I？，则所述服务端将当前主机设备判定为新的合法接入设备，并将其状态更新为合法在线；否则 所述服务端判断当前主机设备I？的原状态是否为合法状态； 若当前主机设备I？的原状态为非法，则将当前主机设备I？的状态更新为合法在线；否则 所述服务端判断当前主机设备I？的原状态是否为在线状态； 若当前主机设备I？的原状态为离线，则将当前主机设备I？的状态更新为合法在线状态。
4.如权利要求2所述的基于八协议的设备接入感知方法，其特征在于，所述服务端在数据库中查找是否存在所述非法接入设备I？、其原状态是否合法以及是否有其他主机设备上报，并根据查找结果判断是否发出所述告警信息，具体包括: 所述服务端在数据库中查找是否存在所述非法接入设备I？； 若所述数据库中不存在所述非法接入设备I？，则发出所述告警信息；否则 所述述服务端在数据库中查找所述非法接入设备I？的原状态是否为合法； 若所述非法接入设备I？的原状态为合法，则将所述原状态更新为非法状态，并发出所述告警信息；否则 所述服务端查看是否有其他主机设备已上报所述非法接入设备I？； 若没有其他主机设备上报所述非法接入设备I？，则将所述原状态更新为非法状态，并发出所述告警信息。
5.如权利要求1或2所述的基于八协议的设备接入感知方法，其特征在于，所述主机设备上安装有代理模块，所述主机设备的处理步骤都是通过所述代理模块实现的。
6.如权利要求1或2所述的基于八协议的设备接入感知方法，其特征在于，所述主机设备阻断自身操作系统的八广播和应答功能，具体包括: 所述主机设备通过底层驱动阻断自身操作系统的八即广播和应答功能。
7.如权利要求1或2所述的基于八协议的设备接入感知方法，其特征在于，所述阻断所述非法接入设备的通信，具体包括: 所述主机设备向所述非法接入设备发送八即应答报文，其中，所述八即应答报文的发送端I？为非法接入设备的I？，发送端的傲0为一个伪造的、不存在的傲0地址，从而阻断非法接入设备的通信。
【文档编号】H04L29/06GK104410642SQ201410763301
【公开日】2015年3月11日 申请日期:2014年12月11日 优先权日:2014年12月11日
【发明者】刘嘉华, 陈玉慧, 韩少聪, 江淞, 康睿, 王琪 申请人:国家电网公司, 南京南瑞集团公司, 南京南瑞信息通信科技有限公司, 江苏省电力公司, 江苏省电力公司信息通信分公司