基于隔离ip地址的独立链路式通信处理方法和系统的制作方法
【专利摘要】本发明公开了一种基于隔离IP地址的独立链路式通信处理方法,包括在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。本发明彻底阻断用户之间的网段内通信,增加安全性;并且利用链路生成树协议,增加量网络连接的灵活性、安全性,抑制广播风暴增加网络稳定可靠性。
【专利说明】
基于隔离IP地址的独立链路式通信处理方法和系统
技术领域
[0001]本发明属于通信技术领域,涉及信息安全技术,具体为一种基于隔离IP地址的独立链路式通信处理方法,可应用于包括免费商业WiFi路由器的网络构架;本发明还提高了实现该处理方法的系统。
【背景技术】
[0002]现在的IP安全策略大多采用只开放一个IP地址,以阻断服务器以外的协议相应,外部请求的数据包虽然也会到达服务器,但是由于数据包里的IP地址不符合IP安全策略,服务器对收到的数据包将直接进行丢弃。但是这种方法无法阻止网络内部的通信监听,无法全面的保障用户的上网安全。
[0003]而另一种AP隔离(AP Isolat1n),指开启后,是各个连接的电脑之间不能相互访问,起到隔离的作用,来保护不用用户之间的数据安全,适合大型的会议室、酒店、机场等公用场所的无线网络建设。现在的隔离方式大多采用AP隔离,是由路由器的设置决定的,而这种方式是将接入点进行隔离。路由器只应答和路由器有关的访问,用户之间不能进行异地访问,比如设备IP地址192.168.1.3的用户不能访问设备IP地址192.168.1.5的用户,但是两者都可以和设备IP地址192.168.1.1的路由器进行通信。该技术舍得每一个IP通道都有一个网络,都有一个独立的路由,而所有的信息都要发给终端设备,也就是路由器;在终端设备上,依然可以和各个用户之间实现通信,这就给系统留下了安全隐患,也就是说如果站在终端设备上的话,又实现了明文传输,所以需要进行链路隔离。
[0004]有鉴于此,特提出本发明。
【发明内容】
[0005]本发明要解决的技术问题在于克服现有技术的不足,提供一种基于隔离IP地址的独立链路式通信处理方法和系统,通过构建独立链路传输实现网络通信的安全性,可靠性。
[0006]为解决上述技术问题,本发明采用技术方案的基本构思是:
[0007]—种基于隔离IP地址的独立链路式通信处理方法,包括
[0008]在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及
[0009]在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。
[0010]进一步的,上述处理方法中,所述在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议包括:根据用户设备的身份为该用户设备生成一个单独的虚拟链路,不同的用户设备被分别分配到不同的通信接口从而形成独立链路。
[0011]进一步的,上述处理方法中,所述链路生成树协议的实现步骤包括:路由器接收用户设备通过交换机或网桥接口发送的MAC地址,并向服务器发送包含MAC地址与时间戳的请求消息,以使得服务器接收到所述请求消息后生成密钥,并将所述密钥发送给路由器;
[0012]所述路由器根据所述MAC地址和所述密钥生成链路ID,并将所述链路ID发送给所述服务器,以使得所述服务器根据所述链路ID生成独立链路,并将所述独立链路发送给所述路由器;
[0013]所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手。
[0014]进一步的,上述处理方法中,所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路与所述用户设备进行握手之后,所述方法还包括:
[0015]所述路由器将握手结果发送至所述服务器。
[0016]进一步的,上述处理方法中,在一条所述独立链路中的用户设备对应一个交换机或网桥接口,由交换机或网桥的端口直接控制数据的转发以及链路的断开与连接,接口接收并发送BPDU报文,进行该用户设备MAC地址学习。
[0017]进一步的,上述处理方法中,所述路由器和交换机接口上配置ACL策略。
[0018]进一步的,上述处理方法中,所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手后,所述方法还包括
[0019]所述路由器向所述服务器发送包含链路ID的请求消息,以使得所述服务器根据所述包含链路ID的请求消息生成一个虚拟IP地址,并通过所述路由器将所述虚拟IP地址分配给所述用户设备且将所述虚拟IP地址映射到所述路由器所在网段内的一个未被分配的IP地址上。
[0020]进一步的,上述处理方法中,所述未被分配的IP地址为所述路由器所在网段内的一个未被分配的随机IP地址。
[0021]本发明还包括一种实现上述处理方法的处理系统,包括依次通信连接的服务器、路由器、交换机和/或网桥、以及用户设备。
[0022]采用上述技术方案后,本发明与现有技术相比具有以下有益效果:
[0023]彻底阻隔客户端之间的网段内通信,来防止主动式的扫描与ARP欺骗监听;
[0024]1>增加了网络连接的灵活性
[0025]本发明能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN—样方便、灵活、有效。独立链路可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了独立链路后,这部分管理费用大大降低;
[0026]2>控制网络上的广播
[0027]可以将某个交换端口或用户赋于某一个特定的链路组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个链路中的广播不会送到链路之外。同样,相邻的端口不会收到其他链路产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生;
[0028]3>增加网络的安全性
[0029]独立链路就是一个单独的广播域,链路之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。本发明还可以将网络分段成几个不同的广播组,网络管理员限制了 VLAN中用户的数量,禁止未经允许而访问链路中的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性链路中;
[0030]4>抑制广播风暴
[0031]生成树协议可以有效的抑制广播风暴。开启生成树协议后抑制广播风暴,网络将会更加稳定,可靠性、安全性会大大增强。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。当未启用该功能或广播帧未累计到门限时,广播帧将被正常广播到交换机的其它端口。借助于对端口的广播风暴控制,可以有效地避免硬件损坏或链路故障导致的网络瘫痪。
【附图说明】
[0032]图1是本发明提供的基于隔离IP地址的独立链路式通信处理方法流程图;
[0033]图2是本发明中链路生成树协议的实施流程图;
[0034]图3是本发明提供的基于隔离IP地址的独立链路式通信处理系统结构图。
【具体实施方式】
[0035]下面结合附图和具体实施例,对本发明作进一步说明,以助于理解本发明的内容。
[0036]本发明可以用于各种WIFI设备涉及的网络架构,如常见的免费商业WIFI,图3所示为本发明实施例涉及的网络拓扑图,具体包括依次通信连接的服务器、路由器、交换机和/或网桥接口、以及用户设备,该服务器可以是普通的物理服务器,但优选采用云服务器,以实现快速部署并根据用户业务规模进行配置;路由器可作为免费WIFI热点,路由器通过交换机和/或网桥供多个用户设备(User Equipment)接入。
[0037]一种在上述网络拓扑结构上实施的基于隔离IP地址的独立链路式通信处理方法,如图1-2所示,包括:
[0038]S101.在路由内部分配给每一个用户设备不同的IP地址,使得所有用户设备均在不同的网段上;以及
[0039]在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。
[0040]1、具体的,本发明改变现有技术中路由器的网段到网段的IP路由方式,使每个终端设备工作在独立的单IP地址网段上;即在路由内部分配给所有用户设备均不同的IP地址,使得每一个用户设备工作在不同的网段上,从而他们之间的通信被隔离,禁止内部网络数据直接通信,所有用户设备到用户设备通信(比如用户手机到笔记本之间的通信)完全交给应用层业务进行路由交换,彻底阻断客户端之间的网段内通信,来防止主动式的扫描与ARP(Address Resolut1n Protocol)欺骗监听。
[0041 ] 2、链路生成树协议生产全集独立链路:
[0042]当终端设备完成认证和访问安全的通信环境时,基本已经达到了标准的业务和家庭WiFi热点的安全性。为了进一步加强用户信息的安全,本发明将独立生成链路协议,即所述链路生成树协议。
[0043]在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。根据用户设备的身份为该用户设备生成一个单独的虚拟链路,不同的用户设备被分配到独立的通信接口从而形成独立链路是在一个通信接口的不同用户。
[0044]具体的,上述链路生成树协议实现步骤包括:
[0045]S102.路由器接收用户设备通过交换机或网桥接口发送的MAC地址,并向服务器发送包含MAC地址与时间戳的请求消息,以使得服务器接收到所述请求消息后生成密钥,并将所述密钥发送给路由器;
[0046]这里生成密钥的方法可以采用认证与密钥协商协议(Authenticat1n and KeyAgreement, AKA)或者其他的密钥协商方法和协议。
[0047]这里的路由器将带有MAC地址和时间戳的请求消息发送至服务器端,使得服务器根据用户设备的独有标识生成密钥,此外,路由器还可以转发用户设备的用户标识(UserID)、设备标识符(Device ID)和定位符(Locator)等,以便服务器获取更多用户设备信息。上述标识符和定位符也可以包含在路由器发送的请求消息当中。
[0048]S103,路由器根据所述MAC地址和所述密钥生成链路ID,并将所述链路ID发送给所述服务器,以使得所述服务器根据所述链路ID生成独立链路,并将所述独立链路发送给所述路由器;
[0049]S104,路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手。
[0050]综上,不同用户设备在不同网段通过路由器接入服务器进行认证过程中,在数据链路层获得了唯一的独立链路ID以及完全独立的数据链路,经交换机或网桥下发到用户设备接入的WIFI热点(路由器)中,实现了各个用户设备与路由器的独立连接以及用户之间的隔离。
[0051 ] 这里的握手过程遵循IEEE802.1X协议。
[0052]本发明上述方法,在一条独立链路中,每个用户设备对应一个交换机或网桥接口,可以由交换机或网桥的接口直接控制数据的转发和链路的断开和连接,接口接收并发送BPDU报文,进行MAC地址学习,以到达既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
[0053]本发明是将传统的Hub广播转变成类似物理层的VLAN式传播,形成的链路是在IP层以下,在物理层和数据链路层以上,在“VLAN”上只能听到此条链路上的信息,而不能听到其他线路的信息。链路与链路之间的通信要进行加密,进行授权。
[0054]3、并且,所述路由器和交换机接口上配置ACL策略。具体的,在数据包传送过程中,路由器和交换机接口上执行ACL(即访问控制列表,Access Control List,ACL)策略,每个接口上配置的ACL策略可以根据实际需要编写,这是本领域成熟技术,此处不做多余赘述;一个接口执行哪条ACL根据其列表中的条件语句进行判断;如果该接口收到的数据包的报头跟列表中的某个条件判断语句相匹配,那么列表中后面的语句将被忽略,不再进行检查。
[0055]上述数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较,如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据包都会立即发送到目的端口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出现,则该数据包将视为被拒绝而被丢弃。其中ACL不能对本路由器产生的数据包进行控制。
[0056]如果接口设备使用了TCAM( ternary content addressable memory),例如auteU3052交换机,那么接口上的所有ACL都是并行执行的;也就是说,如果一个接口设定了多条ACL策略语句,数据包并不是逐条匹配,而是一次执行所有语句。
[0057]基于此,在不同用户设备之间由于均属于不同的网段内,故用户设备之间的通信就被隔离了,保证内网的安全性,保障非授权用户设备只能访问特定的网络资源,从而达到对访问进行控制的目的。
[0058]本发明能够达到:彻底阻隔客户端之间的网段内通信,来防止主动式的扫描与ARP欺骗监听。
[0059]1>增加了网络连接的灵活性
[0060]本发明能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN—样方便、灵活、有效。独立链路可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了独立链路后,这部分管理费用大大降低。
[0061 ] 2>控制网络上的广播
[0062]可以将某个交换端口或用户赋于某一个特定的链路组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个链路中的广播不会送到链路之外。同样,相邻的端口不会收到其他链路产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
[0063]3>增加网络的安全性
[0064]独立链路就是一个单独的广播域,链路之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。本发明还可以将网络分段成几个不同的广播组,网络管理员限制了 VLAN中用户的数量,禁止未经允许而访问链路中的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性链路中。
[0065]4>抑制广播风暴
[0066]生成树协议可以有效的抑制广播风暴。开启生成树协议后抑制广播风暴,网络将会更加稳定,可靠性、安全性会大大增强。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。当未启用该功能或广播帧未累计到门限时,广播帧将被正常广播到交换机的其它端口。借助于对端口的广播风暴控制,可以有效地避免硬件损坏或链路故障导致的网络瘫痪。
[0067]本发明上述方法基于每个用户设备网卡对应唯一的上述MAC地址和链路的MAC地址跟踪,这种独立链路允许网络中的用户设从一个物理位置移动到另一个物理位置时,自动保留了链路的成员,让免费WiFi热点集线器无线中继站通信模式,切换转发的点对点连接的独立交换机交换,进一步提高用户信息的隐私性和安全性。
[0068]S105,路由器将握手结果发送至所述服务器。
[0069]S106,路由器向所述服务器发送包含链路ID的请求消息(如DHCP请求),以使得所述服务器根据所述包含链路ID的请求消息生成一个虚拟IP地址,并通过所述路由器将所述虚拟IP地址分配给所述用户设备且将所述虚拟IP地址映射到所述路由器所在网段内的一个未被分配的IP地址上。分配IP地址的规则和策略包括多种,本实施例中是将IP地址映射到所述路由器所在网段内的一个未被分配的随机IP地址上。
[0070]除了通过步骤S103为用户设备与路由器在链路层建立独立链路外,在网络层,月艮务器还为用户设备提供一个虚拟的IP地址,对用户信息进行进一步隐藏。例如,通过虚拟IP地址的分配和映射,在路由器看来该用户设备的IP地址是192.168.1.5时,在用户看来用户设备的地址可以是10.10.10.10。
[0071]本实施例提供的网络信息保护方法,根据用户设备的MAC地址和时间戳在链路层为用户设备与路由器建立的独立链路,并在网络为用户设备分配虚拟IP,实现了用户设备之间的通信隔离,保证所有业务交互通过路由器中的防火墙过滤,保护了信息安全和隐私,降低了用户设备、路由器被恶意攻击的可能性。
[0072]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种基于隔离IP地址的独立链路式通信处理方法,其特征在于:包括 在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及 在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。2.根据权利要求1所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议包括:根据用户设备的身份为该用户设备生成一个单独的虚拟链路,不同的用户设备被分别分配到不同的通信接口从而形成独立链路。3.根据权利要求2所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述链路生成树协议的实现步骤包括:路由器接收用户设备通过交换机或网桥接口发送的MAC地址,并向服务器发送包含MAC地址与时间戳的请求消息,以使得服务器接收到所述请求消息后生成密钥,并将所述密钥发送给路由器; 所述路由器根据所述MAC地址和所述密钥生成链路ID,并将所述链路ID发送给所述服务器,以使得所述服务器根据所述链路ID生成独立链路,并将所述独立链路发送给所述路由器; 所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手。4.根据权利要求3所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路与所述用户设备进行握手之后,所述方法还包括: 所述路由器将握手结果发送至所述服务器。5.根据权利要求2-3任一项所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:在一条所述独立链路中的用户设备对应一个交换机或网桥接口,由交换机或网桥的端口直接控制数据的转发以及链路的断开与连接,接口接收并发送BPDU报文,进行该用户设备MAC地址学习。6.根据权利要求2-3任一项所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述路由器和交换机接口上配置ACL策略。7.根据权利要求4所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于: 所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手后,所述方法还包括 所述路由器向所述服务器发送包含链路ID的请求消息,以使得所述服务器根据所述包含链路ID的请求消息生成一个虚拟IP地址,并通过所述路由器将所述虚拟IP地址分配给所述用户设备且将所述虚拟IP地址映射到所述路由器所在网段内的一个未被分配的IP地址上。8.根据权利要求7所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述未被分配的IP地址为所述路由器所在网段内的一个未被分配的随机IP地址。9.一种实现权利要求1-8所述的处理方法的处理系统,包括依次通信连接的服务器、路由器、交换机和/或网桥、以及用户设备。
【文档编号】H04L29/12GK106027491SQ201610284558
【公开日】2016年10月12日
【申请日】2016年4月29日
【发明人】梁肇亮, 张寿权, 王洋, 杨勇健
【申请人】天津赞普科技股份有限公司