專利名稱:自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法及其裝置的制作方法
技術領域:
本發(fā)明涉及互聯(lián)網(wǎng)寬帶接入技術和網(wǎng)絡安全領域,特別涉及一種自動防 止網(wǎng)絡側媒體接入控制地址被仿冒的方法及其裝置。
背景技術:
隨著互聯(lián)網(wǎng)絡技術的成熟和業(yè)務的不斷推廣,寬帶接入業(yè)務已經(jīng)如火如 茶地開展起來。但是如何保證寬帶用戶使用寬帶業(yè)務的安全性和網(wǎng)絡運營商 的安全性,是一個需要重點解決的問題。例如,接入用戶假冒寬帶接入服務
器(BRAS, Broadband Remote Access Server)的々某體4妄入控制(MAC, Media Access Control)地址發(fā)起以太網(wǎng)點對點協(xié)議(PPPoE, Point-to-Point Protocol over)或動態(tài)主才幾配置協(xié)議(DHCP, Dynamic Host Configuration Protocol)申"i青導 致接入設備上BRAS的MAC地址學習表從網(wǎng)絡側端口遷移到了用戶側端口 , 從而造成其他用戶業(yè)務中斷。
接入設備的主要功能是提供各種接入手段將用戶接入到網(wǎng)絡獲取網(wǎng)絡服 務,接入設備用來接入用戶的端口通常稱為用戶側端口,連接到局域網(wǎng)、城 域網(wǎng)或核心網(wǎng)的端口通常稱為網(wǎng)絡側端口 。MAC地址表分為靜態(tài)表和動態(tài)表, 靜態(tài)表一般手工在設備上配置,這種表的特點是該表一旦配置后一直保存在 設備中,不會隨著時間流逝而刪除。動態(tài)表一般由設備自動學習生成,其特 點是該表保存在設備一段時間后會自動刪除。
就目前寬帶業(yè)務開展模式來說,用戶接入網(wǎng)絡使用寬帶業(yè)務, 一般使用 兩種PPPoE認證和DHCP認證兩種方式。
PPPoE協(xié)議為使用橋接以太網(wǎng)接入的用戶提供了一種寬帶接入手段,同 時還提供方便的接入控制和計費。
DHCP協(xié)議是在根協(xié)議(BOOTP, Bootstrap Protocol)基礎上4是出的,其 作用是在網(wǎng)絡中向主機提供配置信息。DHCP采用客戶端/服務器模式,由客 戶端向服務器提出配置申請,包括分配的IP地址、子網(wǎng)掩碼、缺省網(wǎng)關等參 數(shù),服務器根據(jù)策略返回相應配置信息。
為了解決網(wǎng)絡側媒體接入控制地址被仿冒,而導致其他接入用戶業(yè)務中斷的問題,現(xiàn)有技術提供一種防止網(wǎng)絡側媒體接入控制地址被仿冒的方法,
即在接入設備的用戶側端口上配置源MAC地址過濾功能在接入^殳備的用戶 側端口上手工配置的一個源MAC地址過濾列表,禁止接入用戶使用過濾列表 中的MAC地址作為源地址。如果接入用戶使用了過濾列表中的地址,接入設 備則丟棄該報文。
從上述現(xiàn)有技術提供的方法可以看出當更改BRAS或網(wǎng)絡側的主用 BRAS發(fā)生切換時,用戶側端口的"源MAC地址過慮"需要重新配置,所述 配置功能依賴于上層網(wǎng)絡設備,網(wǎng)絡管理維護工作量大;由于接入用戶端口 數(shù)量很多,逐個用戶端口地配置"源MAC地址過慮,,功能,網(wǎng)絡管理員維護 工作量大。因此,在進行本發(fā)明創(chuàng)造過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術中至少存 在如下問題現(xiàn)有技術提供的防止網(wǎng)絡側媒體接入控制地址被仿冒的方法, 需要在接入設備的用戶側端口上手工配置一個源MAC地址過濾列表且網(wǎng)絡 管理維護工作量大。
發(fā)明內(nèi)容
本發(fā)明實施例要解決的技術問題為提供一種自動防止網(wǎng)絡側媒體接入控 制地址被仿冒的方法及其裝置,能夠自動防止網(wǎng)絡側媒體接入控制地址被仿 冒的方法且便于管理和維護。
為解決上述技術問題,本發(fā)明實施例的目的是通過以下技術方案實現(xiàn)的 本發(fā)明實施例提供一種自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方 法,包括
接入設備獲取用戶設備的媒體接入控制地址;
判斷接入設備所獲取的用戶設備的媒體接入控制地址是否為已獲知的網(wǎng) 絡側設備的媒體接入控制地址,如果否,則學習用戶設備的媒體接入控制地 址;
接入設備學習網(wǎng)絡側設備的媒體接入控制地址,生成媒體接入控制地址 學習表,并防止媒體接入控制地址學習表被遷移。
本發(fā)明實施例還提供一種自動防止網(wǎng)絡側媒體接入控制地址被仿冒的裝 置,包括
獲取單元,用于獲取并保存用戶設備的媒體接入控制地址;判斷單元,用于判斷獲取單元所獲取的用戶設備的媒體接入控制地址是
否為已獲知的網(wǎng)絡側設備的媒體接入控制地址;
學習單元,用于當判斷單元的判斷結果為用戶設備的媒體接入控制地址 不是網(wǎng)絡側設備的媒體接入控制地址時,學習用戶設備的媒體接入控制地址
和網(wǎng)絡側設備的媒體接入控制地址,并生成媒體接入控制地址學習表; 設置單元,用于防止學習單元生成的媒體接入控制地址學習表遷移。 通過本發(fā)明實施例提供的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方 法及其裝置,當用戶設備的媒體接入控制地址不是網(wǎng)絡側設備的媒體接入控 制地址時,才允許接入設備學習用戶設備和網(wǎng)絡側設備的媒體接入控制地址, 并防止媒體接入控制地址學習表被遷移,從而可以自動防止用戶仿冒網(wǎng)絡側 設備接入網(wǎng)絡,且可以防止其他端口學習網(wǎng)絡側設備的々某體接入控制地址, 從而仿冒網(wǎng)絡側設備的媒體接入控制地址,且便于管理和維護。
圖1為本發(fā)明自動防止網(wǎng)絡側々某體接入控制地址被仿冒的方法第 一 實施 例的信令流程圖2為本發(fā)明自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法第二實施 例的信令流程圖3為本發(fā)明自動防止網(wǎng)絡側媒體接入控制地址被仿冒的裝置一個實施 例的結構圖。
具體實施例方式
本發(fā)明實施例提供一種防止接入用戶仿冒其他媒體接入控制地址的方法 及其裝置。為使本發(fā)明的技術方案更加清楚明白,以下參照附圖并列舉實施 例,對本發(fā)明進一步詳細"i兌明。
請參照圖1,為本發(fā)明自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法第 一實施例的信令流程圖。本實施例的應用場景為用戶采用DHCP技術向網(wǎng)絡 側設備申請分配IP地址,且用戶為第 一次接入網(wǎng)絡側設備。所述防止接入用 戶仿冒其他媒體接入控制地址的方法具體過程包括
步驟101:用戶發(fā)送Discover報文給接入設備,用于尋找DHCP服務器;
本實施例中,接入設備為數(shù)字用戶線接入復用設備(DSLAM, DigitalSubscriber Line Access Multiplexer)。。
步驟102:接入設備對接收的Discover報文進行解析,獲取報文的源MAC 地址,即用戶設備的MAC地址;
步驟103:判斷接入設備所獲取的用戶設備的MAC地址是否為已獲知的 網(wǎng)絡側設備的MAC地址,如果是,則進行步驟104,如果否,則進行步驟105;
接入設備可以通過路由協(xié)議或或地址解釋協(xié)議(ARP, Address Resolution Protocol)獲知網(wǎng)絡中的網(wǎng)絡側設備的MAC地址,并將已獲知的網(wǎng)絡側設備的 MAC地址存儲在接入設備中。本實施例中,網(wǎng)絡側設備為DHCP服務器。
步驟104:丟棄所述Discover l艮文。
可以防止用戶仿冒網(wǎng)絡側設備的MAC地址,例如仿冒BRAS的MAC地址。
步驟105:接入設備學習已獲取的用戶設備的MAC地址; 步驟106:接入設備向網(wǎng)絡側設備轉(zhuǎn)發(fā)所述Discover報文; 步驟107:網(wǎng)絡側設備返回Offer報文給接入設備,并攜帶網(wǎng)絡側設備的 信息;
網(wǎng)絡側設備的信息包括網(wǎng)絡側-沒備的IP地址、MAC地址等。
步驟108:接入設備對接收的Offer報文進行解析,獲取Offer報文的源
MAC地址,即網(wǎng)絡側設備的MAC地址;
步驟109:接入設備學習網(wǎng)絡側設備的MAC地址,生成媒體4妄入控制地
址學習表,并且防止MAC地址學習表遷移,以防其它端口學習MAC地址網(wǎng)
絡側設備的地址;
防止媒體接入控制地址學習表被遷移的具體方式為設置所述媒體接入控 制地址學習表為靜態(tài)媒體接入控制地址表或者通過邏輯芯片對其他用戶側端 口使用網(wǎng)絡側的媒體介入控制地址表進行過濾。
步驟110:接入設備將Offer報文轉(zhuǎn)發(fā)給用戶,并攜帶網(wǎng)絡側設備的信息。 步驟111:用戶發(fā)送Request報文給接入設備,用于請求網(wǎng)絡側設備為用 戶分配IP地址;
步驟112:接入設備對接收的Request報文進行解析,獲取報文的源MAC 地址,即用戶設備的MAC地址;步驟113:判斷接入設備所獲取的用戶設備的MAC地址是否為已獲知的 網(wǎng)絡側設備的MAC地址,如果是,則進行步驟114,如果否,則進行步驟115; 步驟114:丟棄所述Request報文,防止用戶仿冒網(wǎng)絡側設備的MAC地址。
步驟115:接入設備學習已獲取的用戶設備的MAC地址; 步驟116:接入設備向網(wǎng)絡側設備轉(zhuǎn)發(fā)所述Request報文; 步驟117:網(wǎng)絡側設備為用戶分配IP地址,返回攜帶為用戶分配的IP地
址的ACK報文給接入設備;
步驟118:接入設備對接收的ACK報文進行解析,獲取ACK報文的源
MAC地址,即網(wǎng)絡側設備的MAC地址;
步驟119:接入設備學習網(wǎng)絡側設備的MAC地址,生成媒體4妄入控制地
址學習表,并且防止MAC地址學習表遷移,以防其它端口學習MAC地址網(wǎng)
絡側設備的地址;
防止媒體接入控制地址學習表被遷移的具體方式為設置所述媒體接入控 制地址學習表為靜態(tài)媒體接入控制地址表或者通過邏輯芯片對其他用戶側端 口使用網(wǎng)絡側的媒體介入控制地址表進行過濾。
步驟120:接入設備將ACK才艮文轉(zhuǎn)發(fā)給用戶,并攜帶網(wǎng)絡側i殳備為用戶 分配的IPi也址。
如果用戶之前已經(jīng)通過網(wǎng)絡側設備的接入認證,那么步驟101到步驟110 可以省略。
請參照圖2,為本發(fā)明自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法第 二實施例的信令流程圖。本實施例的應用場景為用戶采用PPPoE技術請求建 立會話。所述防止接入用戶仿冒其他媒體接入控制地址的方法具體過程包括
步驟201:用戶發(fā)送PADI報文給接入設備,用于請求會話建立服務;
本實施例中,接入設備為數(shù)字用戶線接入復用設備(DSLAM, Digital Subscriber Line Access Multiplexer^
步驟202:接入設備對接收的PADI報文進行解析,獲取報文的源MAC 地址,即用戶設備的MAC地址;
步驟203:判斷接入設備所獲取的用戶設備的MAC地址是否為已獲知的網(wǎng)絡側設備的MAC地址,如果是,則進行步驟204,如果否,則進行步驟205;
接入設備可以通過路由協(xié)議或其他方法學習到網(wǎng)絡側設備的MAC地址。 本實施例中,網(wǎng)絡側設備為BRAS。
步驟204:丟棄所述PADI報文。
可以防止用戶仿冒網(wǎng)絡側設備的MAC地址,例如仿冒BRAS的MAC地址。
步驟205:接入設備學習已獲取的用戶設備的MAC地址; 步驟206:接入設備向網(wǎng)絡側設備轉(zhuǎn)發(fā)所述PADI報文; 步驟207:網(wǎng)絡側設備返回PADO報文給接入設備,并攜帶網(wǎng)絡側設備的 信息;
網(wǎng)絡側設備的信息包括網(wǎng)絡側設備MAC地址等。
步驟208:接入設備對接收的PADO報文進行解析,獲取PADO報文的
源MAC地址,即網(wǎng)絡側設備的MAC地址;
步驟209:接入設備學習網(wǎng)絡側設備的MAC地址,生成媒體接入控制地
址學習表,并且防止MAC地址學習表遷移,以防其它端口學習MAC地址網(wǎng)
絡側設備的地址;
例如,可以將MAC地址學習表設置為靜態(tài)MAC地址表。 步驟210:接入設備將PADO報文轉(zhuǎn)發(fā)給用戶,并攜帶網(wǎng)絡側設備的信息。 步驟211:用戶發(fā)送PADR報文給給接入設備,用于請求會話建立服務; 步驟212:接入設備對接收的PADR報文進行解析,獲取報文的源MAC
地址,即用戶設備的MAC地址;
步驟213:判斷接入設備所獲取的用戶設備的MAC地址是否為已獲知的
網(wǎng)絡側設備的MAC地址,如果是,則進行步驟214,如果否,則進行步驟215;
步驟214:丟棄所述PADR報文,防止用戶仿冒網(wǎng)絡側設備的MAC地址。 步驟215:接入設備學習已獲取的用戶設備的MAC地址; 步驟216:接入設備向網(wǎng)絡側設備轉(zhuǎn)發(fā)所述PADR報文; 步驟217:網(wǎng)絡側設備為用戶提供會話服務建立連接,返回PADS報文給
接入設備;
步驟218:接入設備對接收的PADS報文進行解析,獲取PADS才艮文的源MAC地址,即網(wǎng)絡側設備的MAC地址;
步驟219:接入設備學習網(wǎng)絡側設備的MAC地址,生成媒體接入控制地 址學習表,并且防止MAC地址學習表遷移,以防其它端口學習MAC地址網(wǎng) 絡側設備的地址;
例如,可以將MAC地址學習表設置為靜態(tài)MAC地址表。
步驟220:接入設備將PADS報文轉(zhuǎn)發(fā)給用戶。
通過本發(fā)明實施例提供的防止接入用戶仿冒其他媒體接入控制地址的方法,。
請參照圖3,為本發(fā)明自動防止網(wǎng)絡側媒體接入控制地址被仿冒的裝置一 個實施例的結構圖。所述自動防止網(wǎng)絡側媒體接入控制地址被仿冒的裝置包 括獲取單元31、判斷單元32、學習單元33、設置單元34以及存儲單元35。
所述獲取單元31用于獲取并保存用戶設備的媒體接入控制地址;所述存 儲單元35用于存儲已獲知的網(wǎng)絡側設備的媒體接入控制地址;所述判斷單元 32用于判斷獲取單元31所獲取的用戶設備的媒體接入控制地址是否為存儲單 元35中存儲的網(wǎng)絡側設備的媒體接入控制地址;所述學習單元33用于當判 斷單元32的判斷結果為用戶設備的媒體接入控制地址不是網(wǎng)絡側設備的媒體 接入控制地址時,學習用戶設備的媒體接入控制地址和網(wǎng)絡側設備的媒體接 入控制地址,并生成媒體接入控制地址學習表;所述設置單元34用于防止學 習單元33生成的媒體接入控制地址學習表遷移。
通過上述本發(fā)明實施例提供的自動防止網(wǎng)絡側媒體接入控制地址被仿冒 的方法及其裝置,當用戶設備的媒體接入控制地址不是網(wǎng)絡側設備的媒體接 入控制地址時,才允許接入設備學習用戶設備和網(wǎng)絡側設備的媒體接入控制 地址,并防止媒體接入控制地址學習表被遷移,從而可以防止用戶仿冒網(wǎng)絡 側設備接入網(wǎng)絡,且可以防止其他端口學習網(wǎng)絡側設備的々某體接入控制地址, 從而仿冒網(wǎng)絡側設備的媒體接入控制地址,且便于管理和維護。
以上對本發(fā)明所提供的一種自動防止網(wǎng)絡側媒體接入控制地址被仿冒的 方法及其裝置行了詳細介紹,本文中應用了具體個例對本發(fā)明的原理及實施 方式進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明所揭示的技術 方案;同時,對于本領域的一般技術人員,依據(jù)本發(fā)明的思想,在具體實施方式
及應用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應理解為對 本發(fā)明的限制。
權利要求
1.一種自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法,其特征在于,所述方法包括接入設備獲取用戶設備的媒體接入控制地址;判斷接入設備所獲取的用戶設備的媒體接入控制地址是否為已獲知的網(wǎng)絡側設備的媒體接入控制地址,如果否,則學習用戶設備的媒體接入控制地址;接入設備學習網(wǎng)絡側設備的媒體接入控制地址,生成媒體接入控制地址學習表,并防止媒體接入控制地址學習表被遷移。
2. 根據(jù)權利要求1所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方 法,其特征在于,所述接入設備獲取用戶設備的媒體接入控制地址具體包括用戶設備發(fā)送請求網(wǎng)絡側設備為用戶分配I P地址的報文給接入設備; 接入設備解析所述請求網(wǎng)絡側設備為用戶分配IP地址的報文,獲取報文 的源媒體接入控制地址,即用戶設備的媒體接入控制地址。
3. 根據(jù)權利要求2所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方 法,其特征在于,判斷接入設備所獲取的用戶設備的媒體接入控制地址與已 獲知的網(wǎng)絡側設備的媒體接入控制地址是否相同,如果是,則丟棄請求網(wǎng)絡 側"i殳備為用戶分配IP地址的才艮文。
4. 根據(jù)權利要求2所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方 法,其特征在于,所述接入設備學習網(wǎng)絡側設備的媒體接入控制地址具體包 括接入設備轉(zhuǎn)發(fā)所述請求網(wǎng)絡側設備為用戶分配IP地址或請求會話建立的 報文給網(wǎng)絡側設備;網(wǎng)絡側設備返回攜帶為用戶分配IP地址的確認報文或者會話建立的確認 報文給接入設備;接入設備解析所述攜帶為用戶分配IP地址的確認報文或者會話建立的確 認報文,獲取報文的源媒體接入控制地址,即網(wǎng)絡側設備的媒體接入控制地 址。
5. 根據(jù)權利要求2所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法,其特征在于,所述用戶設備發(fā)送請求網(wǎng)絡側設備為用戶分配IP地址或請 求會話建立的報文給接入設備之前還包括用戶設備發(fā)送尋找網(wǎng)絡側設備或者請求會話建立服務的報文給接入設備;接入設備解析所述報文,獲取報文的源媒體接入控制地址,即用戶設備 的媒體接入控制地址;判斷接入設備所獲取的用戶設備的媒體接入控制地址與已獲知的網(wǎng)絡側 設備的媒體接入控制地址是否相同,如果否,則學習用戶設備的媒體接入控 制地址;接入設備轉(zhuǎn)發(fā)所述報文給網(wǎng)絡側設備;網(wǎng)絡側設備返回攜帶網(wǎng)絡側設備信息的確認報文給接入設備;接入設備解析所述攜帶網(wǎng)絡側設備信息的確認報文,獲取報文的源媒體 接入控制地址,即網(wǎng)絡側設備的媒體接入控制地址。接入設備學習網(wǎng)絡側設備的媒體接入控制地址,并防止媒體接入控制地 址學習表被遷移。
6. 根據(jù)權利要求5所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方 法,其特征在于,判斷接入設備所獲取的用戶設備的媒體接入控制地址與已獲知的網(wǎng)絡側 設備的媒體接入控制地址是否相同,如果是,則丟棄所述報文。
7. 根據(jù)權利要求1至6中任一權利要求所述的自動防止網(wǎng)絡側媒體接入 控制地址被仿冒的方法,其特征在于,防止媒體接入控制地址學習表被遷移 的具體方式為設置所述媒體接入控制地址學習表為靜態(tài)媒體接入控制地址表 或者通過邏輯芯片對其他用戶側端口使用網(wǎng)絡側的媒體介入控制地址表進行 過濾。
8. 根據(jù)權利要求1至6中任一權利要求所述的自動防止網(wǎng)絡側媒體接入 控制地址被仿冒的方法,其特征在于,所述網(wǎng)絡側設備包括寬帶接入服務器 或網(wǎng)關。
9. 根據(jù)權利要求1至6中任一權利要求所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法,其特征在于,所述已獲知的網(wǎng)絡側設備的媒體接入 控制地址由接入設備通過路由協(xié)議或地址解釋協(xié)議獲知并存儲在接入設備 中。
10. —種自動防止網(wǎng)絡側媒體接入控制地址被仿冒的裝置,其特征在于,所述裝置包括獲取單元,用于獲取并保存用戶設備的媒體接入控制地址;判斷單元,用于判斷獲取單元所獲取的用戶設備的媒體接入控制地址是 否為已獲知的網(wǎng)絡側設備的媒體接入控制地址;學習單元,用于當判斷單元的判斷結果為用戶設備的媒體接入控制地址 不是網(wǎng)絡側設備的媒體接入控制地址時,學習用戶設備的媒體接入控制地址 和網(wǎng)絡側設備的媒體接入控制地址,并生成媒體接入控制地址學習表;設置單元,用于防止學習單元生成的媒體接入控制地址學習表遷移。
11. 根據(jù)權利要求10所述的自動防止網(wǎng)絡側媒體接入控制地址被仿冒的 裝置,其特征在于,所述裝置還包括存儲單元,用于存儲已獲知的網(wǎng)絡側設 備的媒體接入控制地址。
全文摘要
本發(fā)明提供一種自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法及其裝置。所述自動防止網(wǎng)絡側媒體接入控制地址被仿冒的方法包括接入設備獲取用戶設備的媒體接入控制地址;判斷接入設備所獲取的用戶設備的媒體接入控制地址是否為已獲知的網(wǎng)絡側設備的媒體接入控制地址,如果否,則學習用戶設備的媒體接入控制地址;接入設備學習網(wǎng)絡側設備的媒體接入控制地址,生成媒體接入控制地址學習表,并防止媒體接入控制地址學習表被遷移。通過本發(fā)明實施例所提供的技術方案,能夠自動完成網(wǎng)絡側設備的媒體接入控制地址被仿冒,且便于管理和維護。
文檔編號H04L9/00GK101321054SQ200710110698
公開日2008年12月10日 申請日期2007年6月8日 優(yōu)先權日2007年6月8日
發(fā)明者群 張, 波 柯 申請人:華為技術有限公司