专利名称:一种防止网络中的媒介接入控制地址欺骗的方法及装置的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种防止网络中的MAC (Media Access Control,々某介接入控制)地址欺骗的方法及装置。
背景技术:
目前宽带接入网络正朝着基于以太网汇聚的宽带接入网络方向发展,其构 架包括以下几部分用户网络、接入节点(Access Node (AN))、以太网汇 聚网络和宽带网络网关(BroadbandNetwork Gateway (BNG))。其中接入节 点完成用户多形式的接入,如DSLAM (数字用户线接入复用器)等;宽带网 络网关是指可应用带宽和QoS( quality of service,服务质量)策略的IP( Internet Protocol 因净争网协i义)边缘路由器,如BRAS (Broadband Remote Access Server,宽带远程接入服务器)和业务路由器等;以太网汇聚网络完成数据汇 聚和交换的功能。
随着宽带接入网络的迅速发展,其应用也越来越广泛,但是它的安全问题 也成为大家越来越关心的问题。用户、接入节点、宽带网络网关和网络都面临 着各种威胁,特别是来自用户侧的威胁。 一个恶意用户可以假冒使用宽带网络 网关的MAC地址,也就是宽带网络网关MAC地址欺骗,来使得相同的MAC 地址出现在设备的不同端口上,造成MAC地址学习发生紊乱,导致用户无法 上网。对于这种威胁的解决方法,目前主要方法是宽带网络网关MAC地址静 态配置,即手动将宽带网络网关的MAC配置到接入节点的静态MAC地址表 上,这样宽带网络网关MAC地址学习就不会紊乱。这个方法虽然简单,但灵 活性和扩充性都很差。
发明内容
本发明的目的是提供一种防止网络中的媒介接入控制地址欺骗的方法及
装置,解决现有技术在解决MAC地址欺骗的安全问题的同时不能实现MAC 地址的自动配置,不具有良好的灵活性和扩充性的技术问题。
为了实现上述目的,本发明提供了 一种防止网络中的媒介接入控制地址欺 骗的方法,其中,包括如下步骤
步骤一,网络的接入节点自动获得宽带网络网关的々某介接入控制地址;
步骤二,所述接入节点将从所述宽带网络网关得到的所述媒介接入控制地 址配置到所述接入节点的静态媒介接入控制地址表或访问控制列表中。
上述的方法,其中,在所述步骤一中,所述接入节点通过侦听网络侧链路 /接口的下行方向的协议报文,来动态地得到所述宽带网络网关的媒介接入控 制地址。
上述的方法,其中,所述下行方向的协i^艮文属于以下协议中的一个或多 个IPv4 (IP协议的版本号为4)和IPv6 (IP协议的版本号为6 )中的动态主 机配置协议、以太网上的点到点协议、互联网组管理协议、IPv6的组播收听 者发现协议。
上述的方法,其中,在所述步骤一中,所述接入节点动态地得到所述宽带 网络网关的々某介接入控制地址是通过在网络侧链路/接口上启动以下功能的一 个或多个动态主机配置协议或者以太网上的点到点协议的客户端功能、互联 网组管理协议/组播收听者发现协议的主机功能。
上述的方法,其中,在所述步骤一中,所述接入节点通过IPv6的邻居发 现协议来获得所述宽带网络网关的媒介接入控制地址。
上述的方法,其中,在所述步骤一中,所述接入节点通过组播路由器发现 协议来获得所述宽带网络网关的媒介接入控制地址。
上述的方法,其中,在所述步骤一中,所述宽带网络网关通过管理协议配 置接入节点的方式,来使所述接入节点获得宽带网络网关的媒介接入控制地 址。
上述的方法,其中,所述管理协议为简单网络管理协议。
上述的方法,其中,在所述步骤一中,所述宽带网络网关通过动态管理协
议通知接入节点的方式,来使所述接入节点获得宽带网络网关的媒介接入控制地址。 上述的方法,其中,所述动态管理协议为数字用户环路论坛的二层控制机 制,或者是接入节点控制协议,或者是公共开放策略服务协议。
上述的方法,其中,在所述步骤二中,所述访问控制列表是应用在接入节 点的用户侧链路/接口上的基于源媒介接入控制地址的访问控制列表。
上述的方法,其中,所述接入节点将得到的所述宽带网络网关的媒介接入 控制地址配置到所述基于源媒介接入控制地址的访问控制列表后,禁止媒介接 入控制地址与所述宽带网络网关相同的报文访问网络。
上述的方法,其中,所述接入节点包括交换机、数字用户线接入复用器和 光线路终端。
为了实现本发明的目的,本发明还提供了一种防止网络中的媒介接入控制
地址欺骗的装置,其中,包括地址获取模块,用于使网络的接入节点自动 获得宽带网络网关的媒介接入控制地址;配置模块,用于将从所述宽带网络 网关得到的所述媒介接入控制地址配置到所述接入节点的静态媒介接入控制 地址表或访问控制列表中。 本发明的技术效果在于
本发明提供了 一种防止MAC地址欺骗的方法及装置,能够防止宽带网络 网关MAC地址欺骗,在解决宽带网络网关MAC地址欺骗的安全问题的同时 可以保证宽带网络网关MAC地址的自动配置,能够提高宽带接入网络的安全 性、灵活性和扩充性。
图1为本发明提供的用于实现本发明方法实施例的网络结构图; 图2为本发明方法的步骤流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,以下结合附图对本发明的 优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释 本发明,并不用于限定本发明。
图l是才艮据本发明的实施例的网络结构图。
如图1所示,该网络由用户102、非法用户104、 4妄入节点106、以及宽 带网络网关108构成。其中,用户102通过接入节点106的用户侧链路2连接 到接入节点106,非法用户104通过接入节点106的用户侧链路3连接到接入 节点106,接入节点106通过网络侧链路1连接到宽带网络网关108上。在本 实施例中,接入节点106以交换机为例,宽带网络网关108以宽带接入服务器 为例。
图2是本发明用于防止MAC地址欺骗的方法的步骤流程图。本发明中, 所述接入节点包括交换机、数字用户线接入复用器和光线路终端。以下将结合 图1详细描述图2的详细过程,如图2所示,防止MAC地址欺骗的方法包括 以下步骤
步骤S202,接入节点自动获得宽带网络网关的MAC地址。 在此步骤中,接入节点自动获得的宽带网络网关MAC地址可以来自下面 的途径
1)接入节点侦听网络侧链路/接口上的下行方向的协议报文,来动态地得 到宽带网络网关MAC地址。
这里的协议报文包括下面的协议所对应的协议才艮文
a) DHCP (Dynamic Host Configuration Protocol):动态主才几配置协i义。 对于IPv4,协议报文包括
DHCP提供报文(Offer): DHCP发现报文的响应报文。 DHCP确认报文(Ack): DHCP请求报文的响应报文。 对于IPv6,协iU艮文包括
DHCP发布报文(Advertise): DHCP Solicit报文的响应报文。 DHCP响应纟艮文(Reply): DHCP响应报文。 DHCP重新配置报文(Reconfigure): DHCP重新配置报文。 DHCP中继响应报文(Relay-reply )。
b) PPPoE (Point國to-Point Protocol over Ethernet):以太网上的点到点协议。 对应的协议才艮文包括
PADO (PPPoE Active Discovery Offer): PPPoE主动发J见提供才艮文。 PADS (PPPoE Active Discovery Session-confirmation, PPPoE):主动发现 会话确认报文。
c) IGMP (Internet Group Management Protocol):互耳关网组管理协议。对应 的协议报文包括:
Membership Query:成员查询报文,包含通用查询和组地址特定查询才艮文。
d) MLD (Multicast Listener Discovery): IPv6的组播收听者发现协议。对 应的协议报文包括
Multicast Listener Query:组播收听者查询报文,包含通用查询和组地址特 定查询报文。
在本发明的实施例中,接入节点106侦听网络侧链路1上的下行方向的协 议报文,来动态地得到宽带网络网关MAC地址。侦听的报文可以是上面描述 的几种报文。
2) 接入节点在网络侧链路/接口上启动DHCP或者PPPoE客户端功能,或 者IGMP/ MLD主机功能,来动态地获取宽带网络网关的MAC地址。
在本发明的实施例中,接入节点106在网络侧链路1上启动下面的功能, 来动态地得到宽带网络网关MAC地址
a) DHCP客户端功能
对于IPv4:在网络侧链路上,发送DHCP Discover报文,然后在DHCP 服务器回应的Offer报文中提取服务器的MAC地址,来得到宽带网络网关的 MAC地址。
对于IPv6:在网络侧链路上,发送Information-Request或者Solicit报文, 然后在DHCP服务器回应的Reply或者Advertise报文中提取服务器的MAC 地址,来得到宽带网络网关的MAC地址。
b) PPPoE客户端功能
在网络侧链路上,发送PADI报文,然后在PPPoE服务器回应的Offer报 文中提取服务器的MAC地址,来得到宽带网络网关的MAC地址。
c) IGMP/ MLD主机功能
在网络侧链路上,发送Report报文,然后在服务器回应的Query报文中 提取服务器的MAC地址,来得到宽带网络网关的MAC地址。
3) 接入节点通过IPv6的邻居发现协议来获得宽带网络网关的MAC地址。
IPv6的邻居发现协议实现相邻节点(同一链路上的节点)的交互管理, 并在一个子网中保持网络层地址和链路层地址之间的映射。邻居发现协议中定 义了 5种类型的信息路由器宣告、路由器请求、路由重定向、邻居请求和邻 居宣告。接入节点通过上面的消息来得到宽带网络网关的MAC地址。
4) 接入节点通过组插-;洛由器发现协议来获得宽带网络网关的MAC地址。 组播路由器发现协议用来实现组播路由器的发现功能。
5) 宽带网络网关通过管理协议配置接入节点的方式,如SNMP (Simple Network Management Protocol,简单网络管理协议),来使接入节点获得宽带网 络网关的MAC地址。
6) 宽带网络网关通过动态管理协议通知接入节点的方式,如DSL(Digital Subscriber Loop l史字用户环路)i仑坛的L2CM ( Layer 2 Control Mechanism, 二 层控制机制),ANCP (Access Node Control Protocol,接入节点控制协议)协 议和COPS协议(Common Open Policy Service,公共开放策略服务),来使接 入节点获得宽带网络网关的MAC地址。
步骤S204,接入节点将得到的宽带网络网关MAC地址配置到接入节点的 静态MAC地址表中或者访问控制列表中。
在此步骤中,访问控制列表是基于源MAC地址的访问控制列表,应用在 接入节点的用户侧链路/接口上。接入节点将得到的宽带网络网关MAC地址配 置到接入节点的基于源MAC地址的访问控制列表中,禁止与宽带网络网关 MAC地址相同的报文访问网络。
在本发明的实施例中,接入节点106将得到的宽带网络网关MAC地址配 置到接入节点的静态MAC地址表中,或者在用户侧链路2和3上应用基于源 MAC地址的访问控制列表。
对应本发明的方法,本发明还提供了 一种防止网络中的媒介接入控制地址 欺骗的装置,包括地址获取模块和配置模块,地址获取模块用于使网络的接 入节点自动获得宽带网络网关的媒介接入控制地址;配置模块用于将从所述 宽带网络网关得到的所述媒介接入控制地址配置到所述接入节点的静态媒介 接入控制地址表或访问控制列表中。所述地址获取模块和配置模块可以是位于 接入节点中的软件模块,也可以是具有以上功能的硬件模块。
如上所述,本发明实现了防止MAC地址欺骗的方法,也就是防止宽带网 络网关MAC地址欺骗,从而,可以保证宽带网络网关MAC地址自动配置, 解决了宽带网络网关MAC地址欺骗的安全问题,用于提高宽带接入网络的安 全性、灵活性和扩充性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领 域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则 之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之 内。
权利要求
1.一种防止网络中的媒介接入控制地址欺骗的方法,其特征在于,包括如下步骤步骤一,网络的接入节点自动获得宽带网络网关的媒介接入控制地址;步骤二,所述接入节点将从所述宽带网络网关得到的所述媒介接入控制地址配置到所述接入节点的静态媒介接入控制地址表或访问控制列表中。
2. 根据权利要求1所述的方法,其特征在于,在所述步骤一中,所述接 入节点通过侦听网络侧链路/接口的下行方向的协议报文,来动态地得到所述 宽带网络网关的媒介接入控制地址。
3. 根据权利要求2所述的方法,其特征在于,所述下行方向的协议报文 属于以下协议中的一个或多个IPv4和IPv6中的动态主机配置协议、以太网 上的点到点协议、互联网组管理协议、IPv6的组播收听者发现协议。
4. 根据权利要求1所述的方法,其特征在于,在所述步骤一中,所述接入节点动态地得到所述宽带网络网关的媒介接入控制地址是通过在网络侧链路/接口上启动以下功能的一个或多个动态主机配置协议或者以太网上的点到点协议的客户端功能、互联网组管理协议/组播收听者发现协议的主机功 台k
5. 根据权利要求1所述的方法,其特征在于,在所述步骤一中,所述接 入节点通过IPv6的邻居发现协议来获得所述宽带网络网关的媒介接入控制地 址。
6. 根据权利要求1所述的方法,其特征在于,在所述步骤一中,所述接 入节点通过组播路由器发现协议来获得所述宽带网络网关的媒介接入控制地 址。
7. 根据权利要求1所述的方法,其特征在于,在所述步骤一中,所述宽 带网络网关通过管理协议配置接入节点的方式,来使所述接入节点获得宽带网 络网关的媒介接入控制地址。
8. 根据权利要求7所述的方法,其特征在于,所述管理协议为简单网络 管理协议。
9. 根据权利要求1所述的方法,其特征在于,在所述步骤一中,所述宽 带网络网关通过动态管理协议通知接入节点的方式,来使所述接入节点获得宽 带网络网关的媒介接入控制地址。
10. 根据权利要求9所述的方法,其特征在于,所述动态管理协议为数字 用户环路论坛的二层控制机制,或者是接入节点控制协议,或者是公共开放策 略服务协议。
11. 根据权利要求1至10中任意一项权利要求所述的方法,其特征在于, 在所述步骤二中,所述访问控制列表是应用在接入节点的用户侧链路/接口上 的基于源媒介接入控制地址的访问控制列表。
12. 根据权利要求11所述的方法,其特征在于,所述接入节点将得到的 所述宽带网络网关的媒介接入控制地址配置到所述基于源媒介接入控制地址 的访问控制列表后,禁止媒介接入控制地址与所述宽带网络网关相同的报文访 问网络。
13. 根据权利要求11所述的方法,其特征在于,所述接入节点包括交换 机、数字用户线接入复用器和光线路终端。
14. 一种防止网络中的媒介接入控制地址欺骗的装置,其特征在于,包括 地址获^4莫块,用于使网络的接入节点自动获得宽带网络网关的々某介接入控制地址;配置模块,用于将从所述宽带网络网关得到的所述媒介接入控制地址配 置到所述接入节点的静态媒介接入控制地址表或访问控制列表中。
全文摘要
本发明提供一种防止网络中的媒介接入控制地址欺骗的方法及装置,包括步骤一,网络的接入节点自动获得宽带网络网关的媒介接入控制地址;步骤二,所述接入节点将从所述宽带网络网关得到的所述媒介接入控制地址配置到所述接入节点的静态媒介接入控制地址表或访问控制列表中。本发明在解决宽带网络网关MAC地址欺骗的安全问题的同时可以保证宽带网络网关MAC地址的自动配置,能够提高宽带接入网络的安全性、灵活性和扩充性。
文档编号H04L29/06GK101110731SQ200710117629
公开日2008年1月23日 申请日期2007年6月20日 优先权日2007年6月20日
发明者曹文利 申请人:中兴通讯股份有限公司