专利名称:一种宽带接入设备中防止用户地址欺骗的方法和装置的制作方法
技术领域:
本发明涉及网络通讯的安全接入方法,特别涉及一种宽带接入设备中防止用户地 址欺骗的方法和装置。
背景技术:
宽带技术的发展逐步要求网络架构向融合多业务承载的方向发展,因此运营商 需要优化改造网络架构,以便承载多种业务。由于每种业务都有不同的特点,在其各自 的发展过程中采用了不同的接入方式,如目前上网业务通常采用以太网上的点到点连接 协议(PPPOE :Point to Point Protocol over Ethernet)接入方式,而网络电视(IPTV : Internet Protocol Television) >(VOIP :Voice over Internet Protocol) 务采用动态主机配置协议(DHCP :Dynamic Host Configuration Protocol)接入方式,而这 种不同业务采用不同接入方式的情况会在相当长的一段时间内存在。因此,在宽带接入设 备的用户端口上同时支持多种接入方式已成为宽带接入设备的一个基本功能。DHCP最初设计在网际协议(IP =Internet Protocol)网络上,与PPPOE不同的是, DHCP并没有太多的考虑安全性,在大规模使用中存在较多安全隐患,尤其是盗用IP地址进 行网络非法操作。由于盗用IP地址进行网络非法操作时是通过仿冒IP进行的,因此即使 安全管理系统获取了相关操作日志,也不容易定位真实的攻击者。当前宽带接入设备中用来防止IP/介质访问控制(MAC :Media Access Control) 地址欺骗的方法,主要是在宽带接入设备上进行IP/MAC地址过滤,即通过DHCP监听(DHCP Snooping)建立动态表和手工配置IP/MAC地址静态绑定表,对非法IP/MAC地址报文进行过
滤ο在实现这一方法时,现有技术都是在用户端口上开启IP地址防欺骗功能,然后配 置访问控制表(ACL:ACCesS Control List)规则,对初始报文过滤时,丢弃除DHCP报文以 外的所有IP报文,之后只允许源IP/MAC地址为DHCP Snooping表项中的IP/MAC地址的后 续报文通过。这种基于用户端口级别的功能粒度太粗,当使用DHCP的IP源防护(IP Source Guard)功能时,用户端口只能工作在DHCP接入方式下,无法满足目前同一用户端口支持多 种接入方式需求。
发明内容
本发明要解决的技术问题是提供一种宽带接入设备中防止用户地址欺骗的方法, 在同一用户端口下可支持多种接入方式。为了解决上述问题,本发明提供了一种宽带接入设备中防止用户地址欺骗的方 法,包括所述宽带接入设备为配置的每一个业务配置一个业务端口作为承载业务的逻辑 通道,并配置各业务端口与用户端口的关联关系,不同业务采用各自的业务标识信息区 分;
4
所述宽带接入设备对配置的以动态主机配置协议(DHCP)方式接入的业务,开启 IP地址防欺骗功能对收到的报文进行过滤处理;对已配置的非DHCP方式接入的业务的所 有报文,都允许通过。进一步地,上述方法还可具有以下特点 所述宽带接入设备基于业务端口设置初始报文过滤条目,包括配置的业务的业务 标识信息和该业务的初始报文类型,所述初始报文类型包括DHCP报文和非DHCP报文;形成的初始报文过滤条件是对配置的使用DHCP方式接入的业务,只有DHCP报文 才能通过;对配置的使用其他方式接入的业务,所有报文都允许通过。进一步地,上述方法还可具有以下特点所述宽带接入设备监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地址 和业务标识信息作为过滤条目;对于用户端口接收到的IP报文,宽带接入设备如判断所述IP报文中的IP地址、 MAC地址和业务标识信息匹配到某个过滤条目,进行正常处理,否则按照所述初始报文过滤 条件进行过滤。进一步地,上述方法还可具有以下特点所述业务标识信息为虚拟局域网(VLAN)、流量优先权控制标准IEEE802. IP的优 先级、永久虚电路(PVC)或以太网业务的标识信息。进一步地,上述方法还可具有以下特点所述宽带接入设备监听到DHCP结束报文后,删除保存的该DHCP结束报文的IP地 址、MAC地址和业务标识信息。本发明要解决的另一技术问题是提供一种与方法对应的宽带接入设备中防止用 户地址欺骗的装置,在同一用户端口下可支持多种接入方式。为了解决上述问题,本发明提供了一种宽带接入设备中防止用户地址欺骗的装 置,所述装置包括配置管理模块、安全控制模块和底层转发模块;其中,所述配置管理模块,用于为每一个业务配置一个业务端口,作为承载业务的逻辑 通道,并配置各业务端口与用户端口的关联关系,不同业务采用各自的业务标识信息区分; 并将所述关联关系发送给安全控制模块;所述安全控制模块,用于设置基于业务端口的初始报文过滤条目,包括配置的业 务的业务标识信息和该业务的初始报文类型,所述初始报文类型包括动态主机配置协议 (DHCP)报文和非DHCP报文;并将所述初始报文过滤条目下发到所述底层转发模块;所述底层转发模块,用于根据所述安全控制模块下发的初始报文过滤条目形成初 始报文过滤条件,对配置的以DHCP方式接入的业务,开启IP地址防欺骗功能对收到的报文 进行过滤处理;对已配置的非DHCP方式接入的业务的所有报文,都允许通过。进一步地,上述装置还可具有以下特点所述底层转发模块形成的所述初始报文过滤条件是对配置的使用DHCP方式接 入的业务,只有DHCP报文才能通过;对配置的使用其他方式接入的业务,所有报文都允许 通过。进一步地,上述装置还可具有以下特点所述装置还包括DHCP监听模块;
所述DHCP监听模块监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地 址和业务标识信息作为过滤条目,并通过所述安全控制模块下发到所述底层转发模块;所述底层转发模块对于用户端口接收到的IP报文,如判断所述IP报文中的IP地 址、MAC地址和业务标识信息匹配到某个过滤条目,进行正常处理,否则按照所述初始报文 过滤条件进行过滤。进一步地,上述装置还可具有以下特点所述配置管理模块配置的业务标识信息为虚拟局域网(VLAN)、流量优先权控制标 准IEEE 802. IP的优先级、永久虚电路(PVC)或以太网业务的标识信息。进一步地,上述装置还可具有以下特点所述DHCP监听模块监听到DHCP结束报文后,删除保存的该DHCP结束报文的IP 地址、MAC地址和业务标识信息。与现有技术相比较,本发明基于DHCP Snooping功能,通过业务标识信息在业务 层次上实现了对于用户数据报文的过滤,在保证DHCP安全接入的同时,不影响其他接入方 式。本发明实现方案简单,克服了传统基于用户端口实现的缺陷,满足了目前对于同一用户 端口支持多种接入方式的需求,增强了宽带接入设备的处理能力。
图1为PVC或EFM方式多业务组网模型示意图;图2为本发明实施例的处理流程示意图;图3为本发明实施例的IP报文进行匹配过滤处理的流程示意图;图4为本发明实施例的相关模块示意图。
具体实施例方式本发明在宽带接入设备上采用DHCP Snooping技术对DHCP报文进行监听,获取 DHCP报文中的用户信息,根据用户端口的业务部署,配置业务端口,进行基于业务的报文过
滤ο下面结合附图对技术方案的实施作进一步的详细描述。图2为本发明实施例的处理流程示意图,具体包括如下步骤步骤210 根据宽带接入设备用户端口的业务部署,为允许接入的每一种业务分 别配置一个业务端口作为承载该业务的逻辑通道,并配置业务端口与用户端口的关联关 系,不同业务用各自的业务标识信息来区分;其中,业务部署是指采用何种方式来区分业务,如可以用虚拟局域网(VLAN: Virtual Local Area Network)、流量优先权控制标准(IEEE 802. IP)中的优先级、永久虚 电路(PVC Permanent Virtual Circuit)或以太网类型等来区分业务,如VLANl的报文都 是上网业务流,VLAN2的是视频业务流等等。图1是DSL论坛技术报告TR101中一个典型 的通过VLAN来区分业务的示例。业务标识信息根据区分业务的方式不同而不同,如上述示 例中的上网业务其业务标识信息为VLANl的标识,用户接入时需携带业务标识信息,宽带 接入设备根据该业务标识信息获知当前业务的类型。用户端口可以为PVC或第一英里以太网(EFM Ethernet in the First Mile)封装方式的接入端口,但不限于这些端口。业务端口是一个承载业务的逻辑通道,为基于业务 层面的逻辑概念,建立在二层转发层面的逻辑端口(称为桥接口)之上,用于用户侧多业务 接入的配置管理。本实施例中的业务标识信息以VLAN为例,但不限于VLAN,因此业务标识信息和业 务端口关联之后,一个业务端口对应一个业务标识信息,如VLAN,一个业务标识信息代表一 种业务;当进一步建立业务端口和用户端口的关联关系后,由于一个用户端口可以关联多 个业务端口,因此业务端口和用户端口之间就形成了多对一的关系,也就是一个用户端口 可以同时支持多种业务接入。如,VLAN A是上网业务(ΡΡΡ0Ε接入方式),而VLAN B是IPTV 业务(DHCP接入方式并启用安全功能),业务端口 A和VLAN A相关联,业务端口 B和VLAN B相关联;同时与业务端口 A和业务端口 B相关联的用户端口上即可同时支持这两种业务 及这两种业务对应的接入方式。步骤220 宽带接入设备基于业务端口建立初始报文过滤表项,初始报文过滤表 项包括业务标识信息和该业务的初始报文类型;本实施例将初始报文类型分为两种DHCP和非DHCP报文。这样形成的对初始报 文的过滤条件是对配置的使用DHCP方式接入的业务,只有DHCP报文才能通过,而配置的 使用其他方式接入的业务,所有报文都可以通过。步骤230 宽带接入设备监听DHCP报文,获取用户信息,建立动态的用户绑定关系 表;初始时,动态的用户绑定关系表中没有任何表项。监听DHCP报文是一个标准的 DHCP Snooping过程,监听到DHCP报文后,获取建立动态的用户绑定关系表所需的用户信 息,根据用户信息建立用户绑定关系表,其中从DHCP报文中获取的用户信息包括业务标 识信息、用户端口、用户IP地址和用户MAC地址;用户绑定关系表的信息包括业务端口、 业务标识信息(VLAN、IEEE 802. IP和以太网类型等)、用户端口、用户IP地址和用户MAC地 址。步骤240 宽带接入设备对用户端口接收到的IP报文进行匹配过滤处理;当宽带接入设备的用户端口接收到IP报文后,根据报文过滤表项进行匹配处理, 报文过滤表项包括过滤条目和初始报文过滤表项。过滤条目包括用户绑定关系表中的用户 IP地址、MAC地址和业务标识信息。具体的,对于IP报文进行匹配过滤处理如图3所示,包括如下步骤步骤241 用户端口接收到IP报文;步骤242 宽带接入设备首先进行过滤条目匹配,即用IP报文中的“用户IP地址 +MAC地址+业务标识信息”为关键字查询用户绑定关系表,判断IP报文中的用户IP地址、 MAC地址和业务标识信息是否可信,即是否与用户绑定关系表中的过滤条目相匹配;如果 匹配则表示可信,则执行步骤244 ;否则为不可信,执行步骤243 ;步骤243 使用初始过滤表项进行过滤,如果是使用DHCP方式接入的业务的DHCP 报文,或者是使用非DHCP方式接入的业务的报文,则执行步骤244 ;如果是使用DHCP方式 接入的业务的非DHCP报文,执行步骤245 ;步骤244 正常处理,结束;步骤245 丢弃该报文,结束;
步骤250 当DHCP用户通信结束,动态删除用户绑定关系表。当宽带接入设备检测到DHCP结束报文,如用户离线时,删除该用户绑定关系表项 中的过滤条目。按照以上流程,不仅可以实现对以DHCP方式接入的报文的防止用户地址欺骗,还 可以允许其他接入方式的报文通过。根据上述方法,图4给出了一种宽带接入设备中实现该方法的装置,包括配置管 理模块、DHCP监听模块、安全控制模块和底层转发模块;其中配置管理模块根据业务标识信息静态配置业务端口,建立用户端口和业务端口 的关联关系,并将用户端口和业务端口的关联关系发送给安全控制模块;DHCP监听模块分析DHCP协议报文,提取用户信息并通知安全控制模块管理建立 或删除过滤条目;安全控制模块管理业务端口的数据和DHCP监听获取的用户信息,并建立动态的 用户绑定关系表,同时负责将报文过滤表项下发给底层转发模块;报文过滤表项包括初始 报文过滤表项和过滤条目;其中初始报文过滤表项包括业务标识信息和报文类型,报文类 型包括DHCP和非DHCP报文;过滤条目包括用户IP地址、用户MAC地址和业务标识信息;底层转发模块接收安全控制模块下发的过滤条目,对宽带接入设备收到的IP报 文进行匹配过滤操作处理,其中匹配过滤操作如上文所述,此处不再赘述。当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,本 领域技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应 属于发明的权利要求的保护范围。
8
权利要求
一种宽带接入设备中防止用户地址欺骗的方法,包括所述宽带接入设备为配置的每一个业务配置一个业务端口作为承载业务的逻辑通道,并配置各业务端口与用户端口的关联关系,不同业务采用各自的业务标识信息区分;所述宽带接入设备对配置的以动态主机配置协议(DHCP)方式接入的业务,开启IP地址防欺骗功能对收到的报文进行过滤处理;对已配置的非DHCP方式接入的业务的所有报文,都允许通过。
2.如权利要求1所述的方法,其特征在于所述宽带接入设备基于业务端口设置初始报文过滤条目,包括配置的业务的业务标识 信息和该业务的初始报文类型,所述初始报文类型包括DHCP报文和非DHCP报文;形成的初始报文过滤条件是对配置的使用DHCP方式接入的业务,只有DHCP报文才能 通过;对配置的使用其他方式接入的业务,所有报文都允许通过。
3.如权利要求2所述的方法,其特征在于所述宽带接入设备监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地址和业 务标识信息作为过滤条目;对于用户端口接收到的IP报文,宽带接入设备如判断所述IP报文中的IP地址、MAC地 址和业务标识信息匹配到某个过滤条目,进行正常处理,否则按照所述初始报文过滤条件 进行过滤。
4.如权利要求1所述的方法,其特征在于所述业务标识信息为虚拟局域网(VLAN)、流量优先权控制标准IEEE802. IP的优先级、 永久虚电路(PVC)或以太网业务的标识信息。
5.如权利要求1或2或3所述的方法,其特征在于,所述宽带接入设备监听到DHCP结 束报文后,删除保存的该DHCP结束报文的IP地址、MAC地址和业务标识信息。
6.一种宽带接入设备中防止用户地址欺骗的装置,其特征在于,所述装置包括配置 管理模块、安全控制模块和底层转发模块;所述配置管理模块,用于为每一个业务配置一个业务端口,作为承载业务的逻辑通道, 并配置各业务端口与用户端口的关联关系,不同业务采用各自的业务标识信息区分;并将 所述关联关系发送给安全控制模块;所述安全控制模块,用于设置基于业务端口的初始报文过滤条目,包括配置的业务的 业务标识信息和该业务的初始报文类型,所述初始报文类型包括动态主机配置协议(DHCP) 报文和非DHCP报文;并将所述初始报文过滤条目下发到所述底层转发模块;所述底层转发模块,用于根据所述安全控制模块下发的初始报文过滤条目形成初始报 文过滤条件,对配置的以DHCP方式接入的业务,开启IP地址防欺骗功能对收到的报文进行 过滤处理;对已配置的非DHCP方式接入的业务的所有报文,都允许通过。
7.如权利要求6所述的装置,其特征在于所述底层转发模块形成的所述初始报文过滤条件是对配置的使用DHCP方式接入的 业务,只有DHCP报文才能通过;对配置的使用其他方式接入的业务,所有报文都允许通过。
8.如权利要求7所述的装置,其特征在于,所述装置还包括DHCP监听模块;所述DHCP监听模块监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地址和 业务标识信息作为过滤条目,并通过所述安全控制模块下发到所述底层转发模块;所述底层转发模块对于用户端口接收到的IP报文,如判断所述IP报文中的IP地址、 MAC地址和业务标识信息匹配到某个过滤条目,进行正常处理,否则按照所述初始报文过滤 条件进行过滤。
9.如权利要求6所述的装置,其特征在于所述配置管理模块配置的业务标识信息为虚拟局域网(VLAN)、流量优先权控制标准 IEEE 802. IP的优先级、永久虚电路(PVC)或以太网业务的标识信息。
10.如权利要求6或7或8所述的装置,其特征在于,所述DHCP监听模块监听到DHCP 结束报文后,删除保存的该DHCP结束报文的IP地址、MAC地址和业务标识信息。
全文摘要
一种宽带接入设备中防止用户地址欺骗的方法,包括所述宽带接入设备为配置的每一个业务配置一个业务端口作为承载业务的逻辑通道,并配置各业务端口与用户端口的关联关系,不同业务采用各自的业务标识信息区分;所述宽带接入设备对配置的以DHCP方式接入的业务,开启IP地址防欺骗功能对收到的报文进行过滤处理;对已配置的非DHCP方式接入的业务的所有报文,都允许通过。相应地,本发明还提供了一种宽带接入设备中防止用户地址欺骗的装置,所述装置包括配置管理模块、安全控制模块和底层转发模块。本发明实现方案简单,克服了传统基于用户端口实现的缺陷,满足了目前对于同一用户端口支持多种接入方式的需求。
文档编号H04L12/26GK101931607SQ200910142230
公开日2010年12月29日 申请日期2009年6月23日 优先权日2009年6月23日
发明者姚华银 申请人:中兴通讯股份有限公司