技術領域

本發明涉及連接到例如以太網的共享介質接入網絡用戶的公共網絡(例如因特網)的安全。

背景技術

當使用因特網時，期望的是通過專用的因特網協議(IP)地址來識別用戶。這有助于識別對例如國家安全有危險的非法業務或行為。但是，如果用戶通過公共以太網絡連接到因特網，則對用戶的識別將變得更加困難，因為在標準網絡中用戶改變他的IP地址和MAC地址(這種行為通常被稱作“電子欺騙”)都不存在技術障礙。術語“公共以太網”指代以太網網絡，其中，核心網絡由構成聚合聚合網絡的自學習交換機或者結點組成。采用分組的目標介質存取控制(MAC)地址完成在聚合網絡上的交換，借助每個結點，隨著相關的目標地址接收和重定向分組，將MAC地址逐漸與相關的目標地址關聯。這可以通過利用地址解析協議(ARP)請求來完成，每次當聚合網絡中的交換機接收到具有新的MAC地址的分組時，該請求被送往網絡中的邊緣結點或路由器。

在以太網接入網絡中實行用戶身份是有可能的，其中要求每個用戶在允許接入網絡之前使用唯一的用戶名和密碼登錄，例如通過點到點協議PPPoE實行。但是，這樣的系統并不總是被人認可，因為每次都要登陸不可避免減慢了接入速度。在這種共享介質中的進一步的技術方案包括在所有用戶之間路由所有業務。但是，這樣做代價昂貴而效率低下。接入結點必須能路由所有業務并且每個用戶必需被有效地分配到至少一個IP子網，IP子網通常包括4個IP地址，不管需要多少IP地址。當以太網接入網絡中沒有這樣的配置或路由限制時，網絡內的安全依賴于互相信任和所有用戶對管理規則的遵守。

考慮到現有技術，本發明的一個目標是在不對網絡自身中的配置或路由作限制的情況下提高以太網接入網絡的安全性。

發明內容

這些或進一步的目的在用于將至少一個用戶連接到以太網網絡的接入結點中實現。該接入結點具有用于存儲被連接用戶的地址信息的表。它還包括過濾模塊，適于識別在所述網絡上接收的數據分組的目標地址，并僅當該分組具有與存儲在所述表中的地址信息對應的目標地址時，才允許向其中一個所述用戶發送該數據分組。

這樣的配置有效地避免了下列情況的發生：用戶發送假的地址信息，導致聚合網絡將業務錯誤地轉向真正的目的地，從而使該用戶接收到指定給另一用戶的信息。但是，該網絡絲毫不受影響并且業務可以通過經過聚合網絡的最短路徑繼續流動。

優選地，接入結點存儲分配給用戶的IP和MAC地址。這可以防止在聚合網絡內因為僅基于MAC地址而錯誤地路由業務。

還可以通過下列方式進一步提高安全級別：設置過濾模塊對接收自其中一個用戶經網絡發送的分組中的源地址信息作進一步的識別，并且僅當該分組源地址信息對應于表中存儲的地址信息時，才允許將這些分組發送到該網絡。

因此可以避免用戶通過錯誤或者出于惡意的目的來非法利用假的或重復的IP地址的任何企圖。

附圖說明

本發明更多的目標和優點從下列以例子的方式給出的優選實施例的描述結合參考附圖將會變得更明顯。附圖中：

圖1示意性地圖示出具有標準以太網交換機和按照本發明的接入節點的標準以太網網絡。

圖2示意性地圖示出根據本發明的接入結點的功能單元，以及

圖3示出流程圖，其圖示出根據本發明的接入結點的過濾功能。

具體實施方式

圖1示出標準以太網網絡10，在本例中其作為到因特網的接入網絡或連接到因特網的另一個外部網絡的接入網絡。到外部網絡的連接由路由器18確保，路由器18連接到由標準自學習以太網交換機14，16組成的聚合網絡。聚合網絡的交換機14，16的結構和功能為本領域所熟知，所以這里就不作進一步討論。如圖所示，兩個用戶、用戶A20-1和用戶B20-2通過接入結點12-1、12-2連接到網絡10。示出的用戶為PC，但是可以理解的使，其他設備也可以構成用戶設備。常規的接入結點12-1、12-2包括由Ericsson制造的Fibre?Ethernet?Access?ELN200或ADSL?Ethernetmoderm?EDA?ESN?312I?PDSLAM。本實施例的接入結點12-1、12-2可基于這些已知設備但包括下述附加的功能和特征。