专利名称:一种arp缓存条目更新方法及设备的制作方法
技术领域:
本发明涉及ARP(Address Resolution Protocol,地址解析协议)技术领域,尤其涉及一种ARP缓存条目更新方法及设备。
背景技术:
ARP协议是用于主机在发送信息前将目标IP(Internet Protocol,因特网协议)地址转换成目标MAC (Media Access Control,媒体接入控制)地址的协议。每台安装有TCP\IP协议的电脑里都存在一个ARP缓存表,ARP缓存表包含多条ARP缓存条目,其中每条ARP缓存条目记录了一一对应的目标IP地址和目标MAC地址。当源端设备保存的某条ARP缓存条目因达到老化时间而被删除,或者目的端设备主动改变MAC地址时,源端设备与目的端设备之间就需要通过基于ARP协议的报文(简称ARP协议报文)进行交互,从而实 现源端设备与目的端设备中相应ARP缓存条目的重新设置。ARP攻击就是通过伪造IP地址和MAC地址来实现ARP欺骗的过程。到目前为止ARP欺骗依然是一种难以控制的攻击手段,而且经常被病毒、木马程序等利用。目前有很多种ARP防攻击解决方案,其中包括利用交换机进行VLAN(Virtual Local Area Network,虚拟局域网)隔离、双向静态绑定、ARP条目加密、增加DHCP (Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器或ARP服务器维护ARP缓存表等技术,但由于现有技术大多都基于静态认证机制,不能有效地防御相同网段及不同网段的ARP欺骗攻击,因此没能很好得解决ARP协商安全性的问题。
发明内容
本发明提供一种ARP缓存条目更新方法及设备,用以解决现有技术因基于静态认证机制而不能有效防御ARP欺骗攻击的问题。本发明方法包括一种地址解析协议ARP缓存条目更新方法,包括源端设备确定不存在对应目的端设备的缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC (Dynamic SECURITY Characteristic),得到对应目的端设备的缓存条目;源端设备确定存在对应目的端设备的缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,源端设备根据自身存储的对应目的端设备的缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目。一种源端设备,包括缓存条目增加模块,用于确定不存在对应目的端设备的缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的缓存条目;
缓存条目更新模块,用于确定存在对应目的端设备的缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,并根据自身存储的对应目的端设备的缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目。一种目的端设备,包括DSC构造模块,用于在源端设备确定不存在对应目的端设备的ARP缓存条目时,构造动态安全标识DSC ;第一发送模块,用于在构造DSC之后将所述DSC及目的端设备的MAC地址发送给源端设备;第二发送模块,用于在源端设备确定存在对应目的端设备的ARP缓存条目,且目 的端设备的MAC地址发生改变时,向源端设备发送安全标识和目的端设备的新MAC地址。本发明在源端设备中不存在包含目的端设备MAC地址的ARP缓存条目,或目的端设备的MAC地址发生改变时,通过引入动态认证,在源端设备与目的端设备进行ARP缓存条目更新时,认证通过才可更新,认证不通过则不会更新,从而有效地防止了攻击者随意篡改源端设备和目的端设备上对应的ARP缓存条目,提高了源端设备与目的端设备进行ARP缓存条目更新时的网络安全性。
图I为本发明的一种ARP缓存条目更新方法示意图;图2为本发明实施例中源端设备不包含对应ARP缓存条目时的交互流程图;图3为本发明实施例中目的端设备MAC地址改变时的交互流程图;图4为本发明实施例中动态安全标识DSC的封装结构图。
具体实施例方式针对目前ARP缓存条目更新过程的不安全性,本发明提出了一种ARP缓存条目更新方法及设备,利用本发明的动态认证技术,可有效防御ARP欺骗,提高ARP缓存条目更新的可靠性。下面结合附图与实施例对本发明作进一步详细说明。本发明的一种ARP缓存条目更新方法实施例,如图I所示,包括以下步骤步骤101,源端设备判定自身的ARP缓存表中是否存在包含目的端设备MAC地址的ARP缓存条目,若不存在,则执行步骤102,否则,执行步骤104。步骤102,源端设备获取目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,并执行步骤103。步骤103,源端设备将获取的目的端设备的MAC地址、目的端设备的IP地址及目的端设备构造的DSC进行保存,得到对应目的端设备的ARP缓存条目。步骤104,源端设备判定目的端设备的MAC地址是否改变,若没有发生改变,则不与目的端设备使用ARP协议报文进行交互,否则,执行步骤105。步骤105,源端设备获取目的端设备返回的安全标识和目的端设备的新MAC地址,并执行步骤106。
步骤106,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的ARP缓存条目。本发明在ARP缓存条目更新的过程中,利用动态安全标识DSC进行动态认证,认证通过才可更新,认证不通过则不会更新,可有效地防止攻击者随意篡改源端设备和目的端设备上对应的ARP缓存条目,提高了源端设备与目的端设备进行ARP缓存条目更新时的网络安全性。由于动态安全标识DSC是指在源端设备和目的端设备交互时,由目的端设备随机构造的的安全标识,属于自动化配置,因此不需要网络管理员干预,省去了配置方面的工作量。源端设备和目的端设备交互时,动态安全标识随机产生,每两对交互设备之间的DSC互不相同,所以在这种网络环境中即使与可信任设备间进行交互,也不需要为网络中每个可信任设备配置安全标识,即本发明方案以单个设备为单位进行安全保护。因此,应用本 发明方案,其他设备很难利用该类标识进行攻击,从而有效地防御各种形式的的ARP欺骗攻击。优选的,步骤106中源端设备确定所述安全标识与自身存储的对应目的端设备的ARP缓存条目中的DSC —致时,确定对所述安全标识的认证通过。优选的,步骤106中源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证不能通过时,重新执行步骤105,获取目的端设备发送的安全标识和目的端设备的新MAC地址。优选的,源端设备获取了所述目的端设备构造的DSC后,将其存储在对应目的端设备的ARP缓存条目中,并在之后向目的端设备发送的ARP协议报文中都携带有所述DSC。优选的,所述DSC被封装在ARP协议报文的操作字段Opcode和发送方首部字段Sender MAC Address 之间。优选的,源端设备中不存在包含目的端设备MAC地址的ARP缓存条目的情况包括首次与目的端设备建立联系,即源端设备的ARP表中从未保存过包含目的端设备MAC地址的ARP缓存条目;源端设备重启后,ARP缓存条目因属于缓存信息而被清空,需要重新设置;在源端设备的ARP缓存表中,原来保存的包含目的端设备MAC地址的ARP缓存条目,因达到老化时间而被删除或被设置为无效。优选的,步骤102中目的端设备采用随机方法构造所述动态安全标识DSC,并且为了防止所述动态安全标识DSC不容易被ARP攻击者获取,动态安全标识DSC的构造越随机越好。优选的,目的端设备在构造DSC后将所述保存在自身存储的对应源端设备的ARP缓存条目中,即对应源端设备的ARP缓存条目由源端设备的IP地址、源端设备的MAC地址及所述自身构造的DSC。优选的,目的端设备在构造DSC后,向源端设备发送的ARP协议报文中都封装对应源端设备的ARP缓存条目中的DSC,并且在之后接收到源端设备发送的ARP协议报文后,都根据自身存储的对应源端设备的缓存条目中的DSC对来自源端设备发送的ARP协议报文进行认证,即对所述ARP协议报文中携带的DSC进行认证,确定认证通过后,再向源端设备返回安全标识和目的端设备的新MAC地址,所述安全标识为目的端设备中对应源端设备的ARP缓存条目中的DSC。优选的,目的端设备根据自身存储的对应源端设备的ARP缓存条目中的DSC对来自源端设备发送的ARP协议报文进行认证,具体包括目的端设备确定所述ARP协议报文中携带的DSC与自身存储的对应源端设备的ARP缓存条目中的DSC —致时,确定认证通过,否贝U,确定认证没有通过。优选的,目的端设备将DSC封装在ARP协议报文的操作字段Opcode和发送方首部字段 Sender MAC Address 之间。如图2所示,本发明实施例中以报文发送时间作为动态 安全标识DSC,当源端设备确定不存在包含目的端设备MAC地址的ARP缓存条目时,执行如下具体步骤步骤201,源端设备向目的端设备发送ARP初始请求,请求与目的端设备建立联系。所述ARP初始请求中包括源端设备IP地址、源端设备MAC地址、目的端设备IP地址。步骤202,目的端设备接收ARP初始请求后,以响应此次ARP初始请求的本地时间(以4个字节表示的无符号整型数)作为动态安全标识DSC,并将所述动态安全标识DSC和目的端设备的MAC地址封装在ARP初始响应中,返回给源端设备。步骤203,源端设备接收到ARP初始响应,获取ARP初始响应中包含的DSC,并在自身的ARP缓存表中增加一条新的ARP缓存条目,所述ARP缓存条目信息按照所述目的端设备IP地址、所述目的端设备MAC地址和所述动态安全标识DSC的形式存储;同时将所述DSC确定为以后与该目的端设备(所述目的端设备IP地址对应的目的端设备)进行ARP协议报文交互时的认证标识,即在之后向所述目的端设备发送的ARP协议报文中都包含该认证标识,在之后接收到来自目的端设备的ARP协议报文后,都根据该认证标识对其进行认证。步骤204,源端设备向目的端设备发送成功响应。步骤205,目的端设备收到所述成功响应后,如果目的端设备自身的ARP缓存表中原来不包含对应所述源端设备的ARP缓存条目,则增加一条新的对应所述源端设备的ARP缓存条目,所述ARP缓存条目信息按照所述源端设备IP地址、所述源端设备MAC地址和所述DSC的形式存储;同时将所述动态安全标识DSC确定为以后与该源端设备(所述源端设备IP地址对应的源端设备)进行ARP协议报文交互时的认证标识,即在之后向所述源端端设备发送的ARP协议报文中都包含该认证标识,在之后接收到来自源端设备的ARP协议报文后,都根据该认证标识对其进行认证。优选的,步骤205中目的端设备收到所述成功响应后,如果目的端设备自身的ARP缓存表中已经包含对应所述源端设备的ARP缓存条目,则利用所述源端设备IP地址、所述源端设备MAC地址和所述DSC对原有的对应所述源端设备的ARP缓存条目进行更新。如图3所示,本发明实施例中当源端设备按照自身ARP缓存表中的ARP缓存条目,向对应于所述目的端IP地址的目的端MAC地址发送信息,确定因所述目的端设备的MAC地址改变而不能成功发送时,执行如下具体步骤步骤301,源端设备向目的端设备发送ARP更新请求,用于请求目的端设备返回新的MAC地址,所述ARP更新请求中封装了用于与该目的端设备进行ARP协议报文交互时的DSC。步骤302,目的端设备接收所述ARP更新请求后,确定自身的ARP缓存表中包含对应所述源端设备的ARP缓存条目时,利用对应源端设备的ARP缓存条目中的DSC对所述ARP更新请求中携带的DSC进行认证,并确定二者一致时,将所述对应源端设备的ARP缓存条目中的DSC和目的端设备新的MAC地址封装在ARP更新响应中,返回给源端设备,执行步骤303 ;否则,忽略该ARP更新请求,不作任何响应。步骤303,源端设备接收所述ARP更新响应。步骤304,源端设备对所述ARP更新响应包含的DSC进行认证,确定所述DSC与自身存储的对应目的端设备的ARP缓存条目中的DSC —致时,认证成功,根据所述ARP更新响应中包含的目的端设备新的MAC地址,更新自身ARP缓存表中对应的ARP缓存条目;否则,确定认证失败,执行步骤305。步骤305,源端设备忽略所述ARP更新响应,并重新发出ARP更新请求。优选的,步骤302中目的端设备接收所述ARP更新请求后,确定自身的ARP缓存表中原来不包含对应所述源端设备的ARP缓存条目时(例如由于目的端设备中对应所述源端设备的ARP缓存条目达到老化时间而被删除),目的端设备不对所述ARP更新请求中携带的DSC进行认证,并且返回给源端设备的ARP更新响应中携带自身新的MAC地址以及值为空null的DSC ;并且在之后的步骤304中,由于源端设备对所述ARP更新响应包含的DSC(值为空null)进行认证不通过,因此不会利用所述ARP更新响应中包含的目的端设备新的MAC地址去更新自身ARP缓存表中对应的ARP缓存条目,而是等待自身ARP缓存表中对应目的端设备的ARP缓存条目老化后,再向目的端设备发送ARP初始请求以获取目的端设备的新MAC地址。本发明通过采用动态安全标识的认证机制,可有效防御攻击者随意篡改源端设备和目的端设备ARP缓存表中对应的ARP缓存条目现象。如图4所示,本发明实施例中动态安全标识DSC被封装在ARP协议报文的操作字段Opcode和发送方首部字段(八位组O 3) Sender MAC Address之间。基于同一发明构思,本发明实施例中还提供了一种源端设备、一种目的端设备,由 于这些设备解决问题的原理与一种地址解析协议ARP缓存条目更新方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。本发明实施例的一种源端设备,包括以下几个部分 缓存条目增加模块,用于确定不存在对应目的端设备的ARP缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的ARP缓存条目。缓存条目更新模块,用于确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,并根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的ARP缓存条目。源端报文发送模块,用于向目的端设备发送ARP协议报文,并且在获取目的端设备构造的DSC后,向目的端设备发送的ARP协议报文中都封装对应目的端设备的ARP缓存条目中的DSC,所述DSC被封装在ARP协议报文的操作字段Opcode和发送方首部字段Sender MAC Address 之间。源端重新获取模块,用于根据保存的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证不能通过时,重新获取目的端设备返回的安全标识和目的端设备的新MAC地址。本发明的一种目的端设备实施例,包括以下几个部分DSC构造模块,用于源端设备确定不存在对应目的端设备的ARP缓存条目时,构造动态安全标识DSC。 第一发送模块,用于在构造DSC之后将所述DSC及目的端设备的MAC地址发送给源端设备。第二发送模块,用于在源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,向源端设备发送安全标识和目的端设备的新MAC地址。DSC保存模块,用于在构造DSC后将所述DSC保存在自身存储的对应源端设备的ARP缓存条目中。目的端认证模块,用于源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,根据自身存储的对应源端设备的ARP缓存条目中的DSC对源端设备发送的请求进行认证,认证通过后,再向源端设备返回所述安全标识和目的端设备的新MAC地址。优选的,所述DSC构造模块采用随机方法构造DSC。优选的,所述第一发送模块通过ARP协议报文向所述源端设备发送自身MAC地址及目的端设备构造的DSC ;所述第二发送模块通过ARP协议报文向所述源端设备发送安全标识和目的端设备的新MAC地址;所述安全标识为目的端设备自身构造的DSC。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种地址解析协议ARP缓存条目更新方法,其特征在于, 源端设备确定不存在对应目的端设备的ARP缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的ARP缓存条目; 源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目。
2.如权利要求I所述的方法,其特征在于,所述目的端设备在构造DSC后将所述DSC保存在自身存储的对应源端设备的ARP缓存条目中; 源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,向目的端设备发送请求,所述请求携带包含在对应目的端设备的ARP缓存条目中的DSC ; 目的端设备接收到所述请求后,根据自身存储的对应源端设备的缓存条目中的DSC对所述请求认证通过后,再向源端设备返回所述安全标识和目的端设备的新MAC地址,所述安全标识为目的端设备中对应源端设备的ARP缓存条目中的DSC。
3.如权利要求2所述的方法,其特征在于,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过,具体包括 源端设备确定所述安全标识与自身存储的对应目的端设备的ARP缓存条目中的DSC —致时,确定认证通过; 目的端设备根据自身存储的对应源端设备的ARP缓存条目中的DSC对所述请求认证通过,具体包括 目的端设备确定所述请求中携带的DSC与自身存储的对应源端设备的ARP缓存条目中的DSC —致时,确定认证通过。
4.如权利要求I所述的方法,其特征在于,所述源端设备与目的端设备之间通过ARP协议报文进行交互,且源端设备在获取目的端设备构造的DSC后,向目的端设备发送的ARP协议报文中都封装对应目的端设备的ARP缓存条目中的DSC,目的端设备在构造DSC后向源端设备发送的ARP协议报文中都封装对应源端设备的ARP缓存条目中的DSC。
5.如权利要求4所述的方法,其特征在于,所述DSC被封装在ARP协议报文的操作字段Opcode和发送方首部字段Sender MAC Address之间。
6.如权利要求I所述的方法,其特征在于,所述DSC是由目的端设备采用随机方法构造的。
7.如权利要求I所述的方法,其特征在于,源端设备根据保存的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证不能通过时,重新获取目的端设备返回的安全标识和目的端设备的新MAC地址。
8.如权利要求I所述的方法,其特征在于,所述源端设备确定不存在对应目的端设备的ARP缓存条目的情况包括源端设备与目的端设备首次建立联系、源端设备重启后重新与目的端设备建立联系、源端设备原来保存的对应目的端设备的ARP缓存条目达到老化时间。
9.一种源端设备,其特征在于,包括缓存条目增加模块,用于确定不存在对应目的端设备的ARP缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的ARP缓存条目; 缓存条目更新模块,用于确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,并根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的ARP缓存条目。
10. 一种目的端设备,其特征在于,包括 DSC构造模块,用于在源端设备确定不存在对应目的端设备的ARP缓存条目时,构造动态安全标识DSC ; 第一发送模块,用于在构造DSC之后将所述DSC及目的端设备的MAC地址发送给源端 设备; 第二发送模块,用于在源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,向源端设备发送安全标识和目的端设备的新MAC地址。
全文摘要
本发明公开了一种地址解析协议ARP缓存条目更新方法及设备,该方法包括源端设备确定不存在对应目的端设备的ARP缓存条目时,获取并保存目的端设备MAC地址及目的端设备构造的DSC,得到对应目的端设备的ARP缓存条目;源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备新MAC地址,源端设备根据对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述新MAC地址更新对应目的端设备的缓存条目。本发明通过引入动态认证技术,能有效防止攻击者随意篡改设备ARP缓存条目,提高了设备间进行ARP缓存条目更新时的网络安全性。
文档编号H04L29/12GK102857584SQ201110176979
公开日2013年1月2日 申请日期2011年6月28日 优先权日2011年6月28日
发明者邵长春 申请人:中兴通讯股份有限公司