专利名称:一种可实现宽带接入设备安全防护稳定性的方法
一种可实现宽带接入设备安全防护稳定性的方法技术4页域本发明涉及宽带接入设备的安全防护领域,尤其涉及一种可实现宽带 接入设备安全防护稳定性的方法。
背景技术:
现有DHCP ( Dynamic Host Configuration Protocol,动态主机配置协议) 是一种常见的宽带接入认证协议,它建立在客户端-服务器(client-server) 模型之上。在认证的初始阶段,客户端用户主机(DHCP client)发起DHCP 请求,发送DHCP DISCOVER报文,目的是发现网络中的认证服务器(DHCP server )。网络中的DHCP server做出回应,发送DHCP OFFER报文。DHCP client可能收到多个服务器的OFFER,选择一个服务器,发送DHCP REQUEST报文。DHCP server若可以分配IP,则通过发送DHCP ACK报 文向该用户主机传送配置参数;若无法分配,就发送DHCPNAK报文。当 用户退出连接时,向server端发送DHCP RELEASE报文,DHCP server回 收之前分配给该用户的IP地址,具体交互过程如附图1所示。现有技术中的DHCP snooping (DHCP监听)功能,记录通过宽带接入 设备申请到IP地址的用户信息,其具体功能包括通过抓包方式提取DHCP 报文,解析报文中的关键信息,创建和维护针对用户端口的绑定数据库 (binding database ),如图2a所示。数据库中的每条记录包括以下字段用 户使用的端口号和永久性虛电路通道(Permanent Virtual Circuit, PVC ); 用户主机MAC地址;用户主机IP地址和IP租用时间;绑定IP标志等。IP安全防护技术(IP Source Guard )功能是在实现DHCP snooping功能 的基础上,通过识别IP地址,对用户报文进行限制和过滤,从而实现宽带
接入设备安全防护的一种方法,请参阅附图2b,其实现流程步骤如下A. 设备启动后,用户在通过DHCP获得合法IP地址前不能访问网络, 此时设备仅捕获DHCP报文,而丢弃其它的所有报文;B. 用户通过DHCP获得合法IP地址,设备上通过DHCP snooping功能记录用户nM也址;C. 设备通过IP地址绑定功能,将用户IP地址与用户端口进行绑定,仅允许地址合法的IP地址报文通过,对于IP地址非法的报文,将 在接收端口就予以丟弃。现有技术中,通过启用DHCP snooping功能和IP Source guard功能, 实现宽带接入设备针对非法IP报文的安全防护技术。但是,鉴于有些 DSLAM设备没有足够的存储空间用于在设备重启时保存绑定数据库中的 全部数据,因此,在设备重启时将会丢失这些数据。故,设备重启后,只 有等待下一次DHCP client发起DHCP请求,才能获得需要的信息,且在这 段时间内,IP Source guard功能将拒绝除DHCP外的任何才艮文通过,这样就 会导致用户无法正常上网。按照协议标准,DHCP client只有在DHCP服务 器分配的IP地址租用时间使用一半时,才会再次发送请求续阻IP地址的 DHCP请求报文(DHCP REQUEST )。通常DHCP服务器分配的IP地址租 用时间很长,所以在这一段时间内,用户合法的IP地址报文将无法通过设 备,从而影响用户正常上网。因此,现有技术有待于完善和发展。发明内容本发明的目的在于提供一种可以缩短IP地址租用时间、提高设备安全 防护稳定性,且可确保客户端用户正常上网的方法。为了解决上述目的,本发明提供了一种可实现宽带接入设备安全防护 稳定性的方法,包括如下步骤A、 启动宽带接入设备的侦听功能,获取服务器端发送的动态主机配 置协议下行报文;B、 所述宽带接入设备获得所述动态主机配置协议下行报文后,修改所述动态主机配置协议下行报文中的合法IP地址租用时间为用 户设定时间值,并将修改的动态主机配置协议下行报文发送到客户端;c、所述客户端接收到所述动态主机配置协议下行报文后,定期向所述服务器发送续租所述合法IP地址的动态主机配置协议续租请 求报文。所述方法,其中,步骤B中包括Bl、所述宽带接入设备获取创建绑定数据库;B2、在所述绑定数据库中记录所述服务器分配的合法IP地址租用时 间,并且在所述宽带接入设备用户端口上绑定合法IP地址;B3、启动所述宽带接入设备上的IP安全防护功能,对所述动态主机 配置协议下行报文中的合法IP地址租用时间进行修改。所述方法,其中,步骤C之后还包括D、所述宽带接入设备获取所述动态主机配置协议续租请求报文,判 断所述客户端实际获得的IP地址租用时间是否大于或等于所述服务器分配 的合法IP地址租用时间的一半时,是则向所述服务器转发所述动态主机配 置协议下行报文,否则丟弃所述动态主机配置协议续租请求报文,并且构 造一个新的动态主机配置协议下行报文发送到所述客户端。所述方法,其中,所述合法IP地址为服务器分配的合法IP地址。 所述方法,其中,所述用户设定时间值为所述宽带接入设备启动时间 的二倍。所述方法,其中,所述客户端实际获得IP地址租用时间的计算方式是 采用所述客户端获得动态主机配置协议续租请求报文的时间减去所述宽带接入设备获取服务器发送的动态主机配置协议下行报文的时间而得到的。所述方法,其中,如果所述宽带接入设备发生重启,并且所述绑定数据库中的数据记录丟失时,步骤D之后还执行如下处理E、所述宽带接入重启恢复后,所述客户端将向该宽带接入设备发送续 租IP地址的动态主机配置协议续租请求报文,并且恢复所述绑定数据库中 的数据记录。所述方法,其中,在所述宽带接入设备设有过滤抓包器,用于获取所 述动态主机配置协议下行报文或动态主机配置协议续租请求报文。与现在技术相比,采用本发明方法,釆用缩短DHCP.ACK报文(动态 主机配置协议下行报文)中的合法IP地址租用时间,改变了 DHCP客户端 发送DHCP请求续租IP地址请求的频率,这样,在宽带接入设备重启时, 就可以避免绑定数据库中记录信息的丢失,确保了客户端用户正常上网; 同时,有效地提高了基于DHCP报文的宽带接入设备安全防护技术的稳定 性。
图1是DHCP中客户端和服务器之间数据报文交互过程示意图; 图2a是现有技术DHCP snooping功能处理客户端IP地址请求方法的实 现流程图;图2b是现有技术IP安全防护功能方法的实现流程图;图3是本发明方法在DSLAM设备上实现DHCP监听功能和IP安全防护功能的实现流程图。
具体实施方式
下面结合附图,对本发明的较佳实施例作进一步详细说明。 本发明的设计原理通过启用宽带接入设备中的DHCP Snooping (DHCP监听)功能和IP Source guard( IP安全防护)功能,截获DHCP server
(DHCP服务器)发送的DHCPACK报文时,在绑定数据库中相应条目中, 记录服务器给出的合法IP租用时间,然后修改DHCP ACK报文中的IP地 址租用时间为宽带接入设备的用户设定时间值,并将该DHCP ACK报文发 送给DHCP client (DHCP客户端)。其中,对于宽带接入设备IP地址的用户设定时间值,可以由用户通过 网管进行修改,该用户设置的IP地址租用时间可以设定为一个较短的时间 值,以缩短DHCP client上的IP租用时间。由于DHCP client —半的IP租用时间作为间隔时间,向DHCP server 发送DHCP REQUEST ( DHCP请求)报文,要求续租IP地址,所以当宽 带接入设备截获DHCP REQUEST报丈后,找到绑定数据库中相应记录,并 根据服务器给出的合法IP租用时间和DHCP client实际获得IP时间进行比 较,判断是否需要转发报文给服务器。如果不需要转发,则丢弃DHCP REQUEST报文,并且构造一个DHCP ACK报文,回复给DHCP client。这时,在宽带接入设备重启后,将会丢失绑定数据库中的所有数据, 然而,由于DHCP client会以用户设置的IP地址租用时间的一半作为间隔 时间,发送DHCP REQUEST续租请求报文,所以绑定数据库中丟失的数据 可以很快得到恢复,几乎不会影响到IP Source Guard的稳定性。本发明实施例中,采用数字用户线路访问多路复用器(Digital Subscriber Line Access Multiplexer,以下简称DSLAM)作为宽带接入设备,在该 DSLAM上通过启用DHCP snooping功能和IP Source guard功能,实现 DSLAM针对非法IP净艮文的安全防护技术。请参阅图3, 一种可实现宽带接入设备安全防护稳定性的方法,其实现 流程步骤如下110、 在DSLAM的线卡上启用DHCP snooping功能及IP Source guard'111、 通过设置再DSLAM线卡上的过滤(filter)抓包器,截获所有通过线卡的DHCP上下行报文,并创建一绑定数据库,用于记录DHCP Client 端口数据信息,即IP客户端口地址、客户端口 IP地址租用时间及所述宽带 才妄入设备的当前运4亍时间;112、 通过DSLAM线卡上的IP绑定技术,将IP地址为0.0.0.0的合法 IP地址绑定到线卡端口上,并作为唯一允i午通过DSLAM的IP地址;113、 DHCP Client接收DSLAM转发来的DHCP上下行报文后,发送 DHCP Request报文(DHCP请求报文),请求合法的IP地址;114、 DSLAM截获DHCP Request报文,并以端口号和介质访问控制 (MAC)地址为索引,在所述绑定数据库中添加一条新记录,并转发该DHCP Request报文给DHCP服务器;115、 所述DHCP服务器接收到DHCP Request报文后,根据报文类型 判断该DHCP服务器分配的IP地址是否合法,如果合法,则转至步骤116, 否则,所述DHCP月良务器向DHCP Client发送DHCP NAK ( DHCP上行) 报文,并由DSLAM截获该DHCP NAK报文后,查找并删除绑定数据库中 所记录的DHCP Client端口数据信息,转至步骤120;116、 所述DHCP服务器向DHCP Client发送DHCP ACK报文;117、 DSLAM截获该DHCP ACK报文后,查找并修改绑定数据库中所 记录的DHCPClient端口数据信息,即客户端口IP地址、客户端口 IP地址 租用时间及所述宽带接入设备的当前运行时间;118、 根据绑定数据库记录的内容,将DHCP服务器分配的合法IP地 址绑定到DSLAM线卡的用户端口,该绑定属性为在用户端口上,仅允许 合法IP'地址的报文通过;119、 在DSLAM上修改截获的DHCP ACK报文中的合法IP地址租用 时间为用户设定时间值;其中,所述用户设定时间值为用于设定租用合法 IP地址的租用时间,该用户设置时间值可以设为DSLAM启动时间的二倍, 目的是加快客户端发送DHCP REQUEST续租报文(DHCP续租请求报文)的频率;120、 DSLAM将修改DHCP ACK报文转发给DHCP Client;其中,所121、 DHCP Client接收到所述修改下行报文后,由定时器机制触发发 送DHCP REQUEST续租报文;其中,定时器触发的间隔时间值为DHCP Client所收到的DHCP ACK报文中IP租用时间的 一半;122、 DSLAM截获所述DHCP REQUEST续租报文,判断DHCP Client 端口实际获得IP地址租用时间是否大于或等于DHCP服务器分配的IP地 址租用时间的一半,如果是,转至步骤123,否则丢弃该DHCP REQUEST 续租报文,并且直接构造一个DHCP ACK报文回应客户端;123、 DSLAM转发DHCP REQUEST续租报文给DHCP服务器,并 返回至步骤115。其中,步骤119中,在DSLAM线卡上,DHCP Client实际获得IP地 址租用时间的计算方式是采用DHCP Client获得的DHCP REQUEST报文 时间减去DSLAM获取DHCP服务器发送的DHCP ACK报文时间而得到的。同时,所述步骤119中还存在另一种情形如果DSLAM判断出所述址租用时间的一半时,则丢弃DHCP请求4艮文,并且构造一个DHCP下行 报文回复DHCP客户端。然而,在执行上述步骤过程时,如果DSLAM发生重启,并在重启过 程中丟失了绑定数据库中的IP地址、IP地址租用时间及所述宽带接入设备 的当前运行时间等数据;在DSLAM重启恢复后,其绑定数据库中是没有 任何数据,这时必须等待并接收DHCP Client发起的DHCP认证,并将会 在短时间内收到DHCP Client的REQUEST续租报文,同时,恢复绑定数据 库中的DHCP Client端口数据信息记录,随后恢复IP Source guard安全防护T^7地
综上所述,采用本发明方法,在获取的DHCPACK报文中重新设置一 较短的合法IP地址租用时间,改变了 DHCP客户端发送DHCP请求续租 IP地,址请求的频率,这样,在宽带接入设备重启时,就可以避免绑定数据 库中记录信息的丟失,确保了客户端用户正常上网;同时,有效地提高了 基于DHCP报文的宽带接入设备安全防护技术的稳定性。应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以 改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护 范围。
权利要求
1、 一种可实现宽带接入设备安全防护稳定性的方法,其特征在于,该方法包括如下步骤A、 启动宽带接入设备的侦听功能,获取服务器端发送的动态主机配 置协议下行报文;B、 所述宽带接入设备获得所述动态主机配置协议下行报文后,修改 所述动态主机配置协议下行报文中的合法IP地址租用时间为用 户设定时间值,并将修改的动态主机配置协议下行报文发送到客 户端;C、 所述客户端接收到所述动态主机配置协议下行报文后,定期向所 述服务器发送续租所述合法IP地址的动态主机配置协议续租请 求报文。
2、 根据权利要求1所述的方法,其特征在于,步骤B中包括 Bl、所述宽带接入设备创建绑定数据库;B2、在所述绑定数据库中记录所述服务器分配的合法IP地址租用时 间,并且在所述宽带接入设备用户端口上绑定合法IP地址;B3、启动所述宽带接入设备上的IP安全防护功能,对所述动态主机 配置协议下行报文中的合法IP地址租用时间进行修改。
3、 根据权利要求2所述的方法,其特征在于,步骤C之后还包括D、 所述宽带接入设备获取所述动态主机配置协议续租请求报文,判的合法IP地址租用时间的一半时,是则向所述服务器转发所述动态主机配 置协议下行报文,否则丢弃所述动态主机配置协议续租请求报文,并且构 造一个新的动态主机配置协议下行报文发送到所述客户端。
4、 根据权利要求3所述的方法,其特征在于,所述合法IP地址为服 务器分配的合法IP地址。
5、 根据权利要求3所述的方法,其特征在于,所述用户设定时间值 为所述宽带接入设备启动时间的二倍。
6、 根据权利要求3所述的方法,其特征在于,所述客户端实际获得IP地址租用时间的计算方式是采用所述客户端获得所述动态主机配置协议 续租请求报文的时间减去所述宽带接入设备获取服务器发送的动态主机配 置协议下行报文的时间而得到的。
7、 根据权利要求3所述的方法,其特征在于,如果所述宽带接入设 备发生重启,并且所述绑定数据库中的数据记录丢失时,步骤D之后还执 行如下处理E、所述宽带接入重启恢复后,所述客户端将向该宽带接入设备发送续 租IP地址的动态主机配置协议续租请求报文,并且恢复所述绑定数据库中 的数据记录。
8、 根据权利要求1至7任一所述的方法,其特征在于,在所述宽带 接入设备设有过滤抓包器,用于获取所述动态主机配置协议下行报文或动 态主机配置协议动态主机配置协议续租请求报文。
全文摘要
本发明公开了一种实现宽带接入设备安全防护稳定性的方法,应用于数据通信领域,该方法包括如下步骤启动宽带接入设备的侦听功能,获取服务器端发送的DHCP下行报文;所述宽带接入设备获得所述DHCP下行报文后,修改所述DHCP下行报文中的合法IP地址租用时间为用户设定时间值,并将修改的DHCP下行报文发送到客户端;所述客户端接收到所述DHCP下行报文后,定期向所述服务器发送续租所述合法IP地址的DHCP续租请求报文。本发明方法通过缩短DHCP下行报文中的IP租用时间,改变了客户端发送DHCP请求续租IP地址的频率,从而确保了客户端的用户正常上网。
文档编号H04L29/06GK101146103SQ20071012418
公开日2008年3月19日 申请日期2007年10月23日 优先权日2007年10月23日
发明者熊文杰, 硕 王, 邢思远 申请人:中兴通讯股份有限公司