专利名称::无状态地址配置的安全控制方法及装置的制作方法
技术领域:
:本发明涉及数据通信
技术领域:
,具体而言,涉及一种无状态地址配置的安全控制方法及装置。
背景技术:
:第6版本的互联网协议(InternetProtocolVersion6,简称为IPv6)中的地址配置主要采用自动配置方法。常用的自动配置技术分为有状态自动配置协议和无状态自动配置协议。其中,IPv6的无状态地址自动配置主要包括步骤如下首先进行自动配置的网络节点必须确认自己的接口标识(例如,IEEE中的EUI-64);然后根据接口标识生成自己的本地链路地址(例如,在64位的接口标识添加fe80::/10的网络前缀);在完成对该地址的重复检测之后,该网络节点已经具有本地链路范围内的网络层通信能力;如果该网络节点需要接入范围更大的网络(例如,Internet),该网络节点需要向本地链路上的路由器请求分配网络前缀,即发送路由器请求(RouterSolicitation,简称为RS)报文,在获得路由器的携带网络前缀的路由器通告(RouterAdvertisement,简称为RA)报文之后,该网络节点生成自己的全球地址(包括本地地址)。由于在上述配置过程中,数据报文都是明文传送的,因此,在实际应用中可能存在伪造路由器、仿冒其他网络节点发送报文等安全隐患。目前,相关技术中提出的解决方案包括在接入网络设备中嗅探网络的邻居请求(NeighborSolicitation,简称为NS)报文,建立安全的IP地址、媒介访问控制(MediaAccessControl,简称为MAC)地址和端口的映射表,在后续接收到该IP的NS报文时,检查其是否和记录的端口、MAC地址相一致,来实现对“中间人欺骗”的防御。发明人发现,在上述解决方案中,通过嗅探邻居请求来获取相对安全的映射表以进行安全防御,因此要求接收到的NS报文必须是安全的(即来自安全的网络节点)。但是接收到的NS报文有可能是“中间人”伪造的,导致建立的映射表本身就是错误的,从而仍然存在“中间人欺骗”的问题。
发明内容本发明的主要目的在于提供一种无状态地址配置的安全控制方法及装置,以至少解决上述问题之一。根据本发明的一个方面,提供了一种无状态地址配置的安全控制方法,包括接入交换设备对接入网络的网络节点使用的媒介访问控制MAC地址及网络节点接入的端口的合法性进行认证;认证通过,建立MAC地址与端口的端口标识的对应关系;根据对应关系对接收到的数据报文进行过滤。根据本发明的另一方面,提供了一种无状态地址配置的安全控制装置,包括接口标识认证模块,用于对接入网络的网络节点使用的MAC地址及网络节点接入的端口的合法性进行认证,认证通过后,建立MAC地址以及端口的端口标识的对应关系;邻居报文处理模块,用于根据对应关系对接收到的数据报文进行过滤。通过本发明,通过在网络节点接入网络时,对网络节点使用的MAC地址及其接入的端口进行认证,并将认证通过的MAC地址和端口进行绑定,根据该绑定关系对后续接收到的数据报文进行过滤,从而可以解决中间人欺骗的问题,进而提高了网络的安全性。此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1为根据本发明实施例一的无状态地址配置的安全控制装置的结构示意图;图2为根据本发明实施例一的无状态地址配置的安全控制方法的流程图;图3为根据本发明实施例的一种网络架构示意图;图4为根据本发明实施例二的无状态地址配置的安全控制装置的结构示意图;以及图5为根据本发明实施例二的无状态地址配置的安全控制方法的流程图。具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。实施例一图1为根据本发明实施例一的无状态地址配置的安全控制装置的结构示意图,该装置可以位于接入交换机层。该装置包括接口标识认证模块10和邻居报文处理模块20。其中,接口标识认证模块10,用于对接入网络的网络节点使用的MAC地址及其接入的端口的合法性进行认证,认证通过后,建立该MAC地址以及该端口的端口标识的对应关系;邻居报文处理模块20,用于根据上述对应关系对接收到的数据报文进行过滤。例如,接口标识认证模块10可以采用DOTlXdEEE802.Ix协议)进行IPv6的接入认证控制。由于相关技术中是通过嗅探邻居请求来获取相对安全的绑定表进行安全防御,其安全性取决于网络的稳定性和用户的可靠性,具有很大的被动性,而本实施例提供的上述装置在网络节点接入网络时对网络节点进行认证,在认证成功后,其MAC地址静态绑定到相应的接入端口,从而可以防止基于DAD的DOS攻击,杜绝邻居发现协议中针对地址解析的中间人欺骗。图2为根据本发明实施例一的无状态地址配置的安全控制方法的流程图,该方法包括以下步骤(步骤S202-步骤S204)步骤S202,接入交换设备对接入网络的网络节点使用的MAC地址及该网络节点接入的端口的合法性进行认证,认证通过,建立该MAC地址与该端口的端口标识的对应关系;例如,接入交换设备可以通过DOTlX对网络节点进行接入认证。认证通过后,网络节点根据其48位MAC地址生成接口标识EUI-64,Global位置1,在中间加入16位FFFE,并根据接口标识生成链路本地地址(Link-Local);步骤S204,接入交换设备根据上述对应关系对接收到的数据报文进行过滤。例如,网络节点在认证通过后,根据其48位MAC地址生成接口标识(EUI-64),Global位置1,在中间加入16位FFFE,并根据接口标识生成链路本地地址(Link-Local);同时,可以向本地链路内所有路由器发送路由器请求(RS)报文,接入交换设备接收到该路由器请求报文后,解析出其源MAC地址,根据上述对应关系确定该MAC已经通过DOTlX认证,获取其认证合法的端口,通过EUI-64生成算法得到该MAC地址对应的接口标识,并建立该接口标识、MAC地址和端口的端口标识(例如,端口号)的绑定关系,处理完毕后,将该RS报文正常洪泛到本链路内的所有端口;对于接入交换设备接收到的本地路由器发送的路由器通告(RA)报文,接入设备解析出该报文中携带的网络前缀、前缀优选使用时间、前缀可用时间等相关参数,并将该报文正常向本地链路范围内所有端口洪泛。并且,接入交换设备将该报文中网络前缀信息添加到上述绑定关系中的所有本地链路范围内的接口链上,如表1所示。在实际应用中,当网络前缀信息发生更新时,为了保证数据的实时性,接入交换设备在获取到更新后的网络前缀信息时(包括网络前缀和/或网络前缀的相关参数)对上述绑定关系进行更新。表1.<table>tableseeoriginaldocumentpage7</column></row><table>本地链路范围内的各个网络节点接收到路由通告请求报文后,使用根据其通过认证的MAC地址生成的接口标识及该路由通告请求报文中的网络前缀组成该网络节点的IP地址,在后续发送邻居请求报文及邻居通告报文时使用该IP地址。对于邻居请求(NS)报文和邻居通告(NA)报文,以图3所示的架构为例,当PCl请求PC2的MAC地址时,PCl发出的邻居请求(NS)报文首先到达接入交换设备。接入交换设备解析出该报文的源MAC地址(为了便于描述,将该源MAC地址称作MAC地址A)和源IP地址(IP地址A),并获取接收该NA报文的端口的端口标识(例如,端口号A),然后检查上述绑定关系的映射表项,判断MAC地址A、IP地址A和端口号A是否与绑定关系中的某项映射表项匹配,如果是则在本地链路范围内洪泛,否则丢弃该NS报文。PC2在接收到这个报文之后,回复邻居通告(NA)报文给PC1。接入交换设备接收到该NA报文,解析出该NA报文的源MAC地址(MAC地址B)、源IP地址(IP地址B)和邻居通告(NA)报文选项中的目标MAC地址。在检查目标MAC地址与MAC地址A—致后,再检查MAC地址B和IP地址B是否能与上述绑定关系中的某表项匹配,如果是,则将该NA报文转发给PCl,否则丢弃该NA报文。在本实施例中,网络节点的IP地址可以由网络前缀和该网络节点的MAC地址组成;另外,在本实施例中,当网络节点的位置发生变化时,其MAC认证信息也会相应发生变化,在网络节点使用新的MAC地址向接入交换设备发送路由器请求报文时,接入交换设备从中解析出该网络节点的新的MAC地址,并获取该网络节点当前接入的端口的端口标识,对该新的MAC地址和端口的合法性进行认证,认证通过后,更新MAC地址与端口的对应关系,并使用该新的MAC地址生成新的接口标识,以该新的MAC地址、新的接口标识及端口标识对上述绑定关系进行更新,从而可以实现安全数据的动态变化,从而不致影响用户在新位置的IPv6接入服务;另外,在本实施例中,当网络节点从网络中离线或老化时,接入交换设备将删除与该网络节点使用的MAC地址对应的绑定关系,以及与该MAC地址对应的上述对应关系,从而避免安全表项为其它用户使用,进一步确保了网络的安全。采用上述报文的处理方式,对于图3中的PC3,虽然它也能够接收到PCl的邻居请求报文,但如果其试图以PC2的MAC地址伪造邻居通告报文发送给PC1,因为其使用的MAC地址和IP地址不能与绑定关系中的任意表项匹配,而被丢弃;或者,如果PC3在接收到PCl的邻居请求报文之后,伪造该邻居请求报文再发送给PC2时,由于其使用MAC地址和IP地址对不能够通过检测,而被丢弃,从而不能被发送到PC2,从而可以有效地杜绝中间人欺骗。由于相关技术中是通过嗅探邻居请求来获取相对安全的绑定表进行安全防御,其安全性取决于网络的稳定性和用户的可靠性,具有很大的被动性,而本实施例中,在网络节点接入网络时对网络节点进行认证,在认证成功后,其MAC地址静态绑定到相应的接入端口,从而可以防止基于DAD的DOS攻击,杜绝邻居发现协议中针对地址解析的中间人欺骗。实施例二图4为根据本发明实施例二的无状态地址配置的安全控制装置的结构示意图,该装置与实施例一的区别在于,该装置还包括存储模块30,用于存储经过认证的MAC地址与端口的端口标识的对应关系;而邻居报文处理模块20进一步用于接收路由器请求报文,解析出该路由器请求报文的源MAC地址,并获取接收该路由器请求报文的端口的端口标识,将获取的源MAC地址和端口标识发送给接口标识认证模块10;接口标识认证模块10还用于判断邻居报文处理模块20输入的源MAC地址和端口标识是否满足上述对应关系,如果是,则通知邻居报文处理模块20洪泛该路由器请求报文,并根据该MAC地址生成该网络节点的接口标识,在存储模块30中建立上述MAC地址、接口标识及端口标识的绑定关系,否贝U,通知邻居报文处理模块20丢弃该路由器请求报文。优选地,如图4所示,该装置还包括网络前缀添加模块40。邻居报文处理模块20还用于接收路由器通告报文,从该路由器通告报文中解析出网络前缀以及该网络前缀的相关参数(例如,该网络前缀优选使用时间、该网络前缀可用时间等参数),将该网络前缀及该网络前缀的相关参数发送给网络前缀添加模块40,并将该路由器通告报文洪泛转发;网络前缀添加模块40,用于将上述网络前缀及该网络前缀的相关参数记录到存储模块30存储的绑定关系中(如珍1所示)。如图3示,当PCl的MAC地址经过接入交换设备的接口标识认证模块10认证之后,存储模块30将接口标识0219:c6ff:fe05:9fcl,MAC地址0019.c605.9fcl和端口Gei_3/7添加到绑定表中;在网络前缀添加模块40获取到网络前缀20011da810011/64和2001:lda8:lda8:a::/64之后,将这两个前缀添加端口Gei_3/7相应的绑定表中,这样就形成了两个IP地址和MAC地址以及端口的绑定关系,即2001lda8100110219c6fffe059fcl->0019.c605.9fcl->gei_3/72001:lda8:1001:a:0219:c6ff:fe05:9fcl->0019.c605.9fcl->gei_3/7优选地,邻居报文处理模块20还用于接收第一网络节点的邻居请求报文,解析出该邻居请求报文的第一源MAC地址和第一源IP地址,以及接收该邻居请求报文的端口的第一端口标识,并判断第一源MAC地址、第一源IP地址及第一端口标识是否匹配存储模块30中存储的上述绑定关系,如果是,则将该邻居请求报文进行洪泛转发,否则丢弃该邻居请求报文。并且,邻居报文处理模块20还可以用于接收第二网络节点的邻居通告报文,解析出该邻居通告报文的第二源MAC地址、第二源IP地址和选项目标MAC地址,判断该选项目标MAC地址与上述第一MAC地址是否一致,如果是,则判断第二源MAC地址、第二源IP地址及接收该NA报文的端口的第二端口标识是否匹配存储模块30中存储的绑定关系,如果是,则按照选项目标MAC地址将该邻居通告报文向相应的端口进行转发。在实际应用中,可以通过数据库存储上述绑定关系,则邻居报文处理模块20可以通过调用该数据库判断NS或NA报文是否合法,而该数据库可以根据邻居报文处理模块20的调用,对NS进行基于源MAC+源IP+端口标识+网络前缀的匹配检查,对NA报文先核对NS报文的源MAC地址和NA报文中的目标MAC地址是否一致,然后进行基于源MAC+源IP+端口标识+网络前缀的匹配检查,检查成功,返回给邻居报文处理模块20返回0K。通过本实施例的上述装置,通过对报文的严格一致性检查,可以进一步杜绝了中间人欺骗。图5为根据本发明实施例二的无状态地址配置的安全控制方法的流程图,包括以下处理步骤501,邻居报文处理模块20接收到报文,对接收到的报文进行解析,根据对报文的解析结果进行分发处理。对于接收到的路由器请求(RS)报文,洪泛报文,并解析出该RS报文的源MAC地址,执行步骤502;对于接收到的RA报文,洪泛报文,并需要解析其路由器通告选项中的网络前缀以及前缀可用时间参数,然后执行步骤511的处理;对于接收到的邻居请求(NS)报文,解析出其源MAC地址和源IP地址,执行步骤521的处理;对于接收到的邻居通告(NA)报文,解析源MAC、源IP和选项目标MAC地址,执行步骤531的处理;步骤502,获取报文的源MAC地址,然后执行步骤503的处理;步骤503、对MAC地址进行合法性检查,通过检查Dotlx认证MAC表(即上述MAC地址与端口标识的对应关系),检查MAC地址和端口号是否匹配,检查成功执行步骤504的处理,否则跳出执行,丢弃该RS报文;步骤504、根据MAC地址生成接口标识,并将接口标识、MAC地址和端口号添加到数据库中的绑定表中;步骤511、获取路由器通告报文中的网络前缀和前缀可用时间等参数,执行步骤512的处理;步骤512、将网络缀及其可用时间等参数添加到本地链路范围内的相应端口的绑定表中;步骤521、获取NS报文的源MAC地址、源IP地址和接收该NS报文的端口号,执行步骤522的处理步骤522、在数据库的绑定表对MAC地址、IP地址和端口进行匹配检查,检查失败,直接丢弃报文,检查成功,执行步骤523的处理;步骤523、在本地链路范围内洪泛该邻居请求报文;步骤531、获取该邻居通告(NA)报文的源MAC、源IP、选项目标MAC地址和接收该NA报文的端口,如果选项目标MAC地址与NS报文的源MAC地址不一致,直接丢弃报文,如果一致,则执行步骤532的处理;步骤532、在数据库的绑定表对NA报文的源MAC地址、源IP地址和端口进行匹配检查,检查失败,直接丢弃报文,检查成功,执行步骤533的处理;步骤533、根据该NA报文的选项目标MAC地址转发该报文;步骤541、Dotlx认证MAC地址更新(漂移,老化或者离线),触发接口标识和相应MAC地址在绑定表中更新或者删除;步骤551、获取网络前缀更新(包括可用时间变化等),对绑定表中的网络前缀进行维护更新。通过本实施例,可以接入交换设备可以根据接收到的不同的报文进行不同的处理,从而可以保证网络的安全。从以上的描述中,可以看出,本发明实施例的方案中,通过主动使用认证的接口标识来控制IPv6无状态地址配置协议,增强了该协议的安全性,不仅解决了传统解决方案中依赖客户地址解析的被动性,接入网络中的“中间人欺骗”题和DOS攻击问题,而且,由于未改变主机侧的无状态配置协议以及MAC生成接口标识算法使用的普通性,能很好在当前IPv6网络进行普及使用;另外通过与Dotlx结合使用,还为下一步IPv6商用中的运营商提供了认证和计费的安全性。综上所述,与现有技术相比,本发明通过在网络节点接入网络时,对网络节点使用的MAC地址及其接入的端口进行认证,并将认证通过的MAC地址和端口进行绑定,根据该绑定关系对后续接收到的数据报文进行过滤,从而可以解决中间人欺骗的问题,进而提高了网络的安全性。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求一种无状态地址配置的安全控制方法,其特征在于,包括接入交换设备对接入网络的网络节点使用的媒介访问控制MAC地址及所述网络节点接入的端口的合法性进行认证;认证通过,建立所述MAC地址与所述端口的端口标识的对应关系;根据所述对应关系对接收到的数据报文进行过滤。2.根据权利要求1所述的方法,其特征在于,所述接入交换设备根据所述对应关系对接收到的数据报文进行过滤包括所述接入交换设备接收所述网络节点的路由器请求报文;所述接入交换设备获取接收所述路由器请求报文的端口的端口标识,并解析出所述路由器请求报文的源MAC地址;所述接入交换设备判断获取的所述端口的端口标识及所述源MAC地址是否满足所述对应关系,如果是,则根据所述MAC地址生成所述网络节点的接口标识,建立所述MAC地址、所述接口标识及所述端口标识的绑定关系,并洪泛所述路由器请求报文;否则所述接入交换设备丢弃所述路由器请求报文。3.根据权利要求2所述的方法,其特征在于,还包括所述接入交换设备接收本地路由器发送的路由器通告请求报文;所述接入交换设备从所述路由器通告请求中解析出网络前缀;所述接入交换设备将所述网络前缀添加到所述绑定关系中;所述接入交换设备向本地链路范围内所有端口洪泛所述路由器通告请求报文。4.根据权利要求3所述的方法,其特征在于,还包括所述网络节点接收所述路由通告请求报文,使用根据所述MAC地址生成的接口标识及所述路由通告请求报文中的所述网络前缀组成所述网络节点的IP地址;所述网络节点使用所述IP地址发送邻居请求报文;所述接入交换设备根据所述对应关系对接收到的数据报文进行过滤包括所述接入交换设备接收来自第一网络节点的邻居请求报文;所述接入交换设备获取接收所述邻居请求报文的端口的第一端口标识,并解析出所述邻居请求报文的第一源MAC地址及第一源IP地址;所述接入交换设备判断获取的所述第一端口标识、所述第一源MAC地址和组成所述第一源IP地址的网络前缀及接口标识是否满足所述绑定关系,如果是,则洪泛所述邻居请求报文,否则,丢弃所述邻居请求报文。5.根据权利要求4所述的方法,其特征在于,所述接入交换设备根据所述对应关系对接收到的数据报文进行过滤包括所述接入交换设备接收来自另一网络节点的邻居通告报文;所述接入交换设备获取接收所述邻居通告报文的端口的第二端口标识,解析出所述邻居通告报文的第二源MAC地址、第二源IP地址及选项目标MAC地址;所述接入交换设备判断所述选项目标MAC地址与所述第一源MAC地址一致;所述接入交换设备判断接第二端口标识、所述第二源MAC地址及组成所述第二源IP地址的网络前缀和接口标识是否满足所述绑定关系,如果是,则将所述邻居通告报文转发给所述选项目标MAC地址对应的网络节点,否则,丢弃所述邻居通告报文。6.根据权利要求2至5中任一项所述的方法,其特征在于,还包括所述网络前缀发生更新,所述接入交换设备获取更新后的所述网络前缀,对所述绑定关系中的所述网络前缀进行更新。7.根据权利要求2至5中任一项所述的方法,其特征在于,还包括所述网络节点的位置发生变化,使用新的MAC地址向所述接入交换设备发送路由请求报文;所述接入交换设备对所述新的MAC地址及所述网络节点当前接入的端口的合法性进行认证,认证通过,更新所述对应关系,并使用所述新的MAC地址生成新的接口标识;所述接入交换设备利用所述新的MAC地址、所述新的接口标识及所述网络节点当前接入的端口的端口标识更新所述绑定关系。8.根据权利要求2至5中任一项所述的方法,其特征在于,还包括所述网络节点从网络中离线或到达预定的老化时间,所述接入交换设备删除与所述网络节点使用的MAC地址对应的所述绑定关系,以及与所述网络节点使用的MAC地址对应的所述对应关系。9.一种无状态地址配置的安全控制装置,其特征在于,包括接口标识认证模块,用于对接入网络的网络节点使用的MAC地址及所述网络节点接入的端口的合法性进行认证,认证通过后,建立所述MAC地址以及所述端口的端口标识的对应关系;邻居报文处理模块,用于根据所述对应关系对接收到的数据报文进行过滤。10.根据权利要求9所述的装置,其特征在于,还包括存储模块,用于存储所述MAC地址与所述端口标识的对应关系;所述邻居报文处理模块用于接收路由器请求报文,解析出所述路由器请求报文的源MAC地址,并获取接收所述路由器请求报文的端口的端口标识,将获取的所述源MAC地址和所述端口标识发送给所述接口标识认证模块;所述接口标识认证模块还用于判断所述邻居报文处理模块输入的所述源MAC地址和所述端口标识是否满足所述对应关系,如果是,则通知所述邻居报文处理模块洪泛所述路由器请求报文,并根据所述MAC地址生成所述网络节点的接口标识,在所述存储模块中建立所述MAC地址、所述接口标识及所述端口标识的绑定关系,否则,通知所述邻居报文处理模块丢弃所述路由器请求报文。11.根据权利要求10所述的装置,其特征在于,还包括网络前缀添加模块;所述邻居报文处理模块还用于接收路由器通告报文,从所述路由器通告报文中解析出网络前缀以及所述网络前缀的相关参数,将所述网络前缀及所述网络前缀的相关参数发送给所述网络前缀添加模块,并将所述路由器通告报文洪泛转发;所述网络前缀添加模块,用于将所述网络前缀及所述网络前缀的相关参数记录到所述存储模块存储的所述绑定关系中。12.根据权利要求11所述的装置,其特征在于,所述邻居报文处理模块还用于接收第一网络节点的邻居请求报文,解析出所述邻居请求报文的第一源MAC地址和第一源IP地址,以及接收所述邻居请求报文的端口的第一端口标识,并判断所述第一源MAC地址、所述第一源IP地址及所述第一端口标识是否匹配所述存储模块中存储的所述绑定关系,如果是,则将所述邻居请求报文进行洪泛转发,否则丢弃所述邻居请求报文。13.根据权利要求12所述的装置,其特征在于,所述邻居报文处理模块还用于接收第二网络节点的邻居通告报文,解析出所述邻居通告报文的第二源MAC地址、第二源IP地址和选项目标MAC地址,判断所述选项目标MAC地址与所述第一MAC地址是否一致,如果是,则判断第二源MAC地址、第二源IP地址以及接收所述邻居通告报文的端口的第二端口标识是否匹配所述存储模块中存储的所述绑定关系,如果是,则按照所述选项目标MAC地址将所述邻居通告报文向相应的端口进行转发。全文摘要本发明公开了一种无状态地址配置的安全控制方法及装置,上述方法包括接入交换设备对接入网络的网络节点使用的媒介访问控制MAC地址及网络节点接入的端口的合法性进行认证;认证通过,建立MAC地址与端口的端口标识的对应关系;根据对应关系对接收到的数据报文进行过滤。通过本发明,通过在网络节点接入网络时,对网络节点使用的MAC地址及其接入的端口进行认证,并将认证通过的MAC地址和端口进行绑定,根据该绑定关系对后续接收到的数据报文进行过滤,从而可以解决中间人欺骗的问题,进而提高了网络的安全性。文档编号H04L29/12GK101820432SQ20101018339公开日2010年9月1日申请日期2010年5月12日优先权日2010年5月12日发明者刘晓东申请人:中兴通讯股份有限公司