[發明專利]一種三層虛擬專用網中攻擊防范的方法及裝置有效
| 申請號: | 201010160683.9 | 申請日: | 2010-04-30 |
| 公開(公告)號: | CN101834864A | 公開(公告)日: | 2010-09-15 |
| 發明(設計)人: | 魏小強 | 申請(專利權)人: | 中興通訊股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京元本知識產權代理事務所 11308 | 代理人: | 秦力軍 |
| 地址: | 518057 廣東省深圳市南山*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 三層 虛擬 專用網 攻擊 防范 方法 裝置 | ||
1.一種三層虛擬專用網中攻擊防范的方法,其特征在于,所述方法包括以下步驟:
A.服務端設備將允許接入的客戶端設備的MAC地址范圍配置到地址表中,并配置協議類型表;
B.服務端設備接收到客戶端設備發送的用于請求IP地址的信息時,檢查到客戶端設備的MAC地址在所述地址表中時,服務端設備分配IP地址給所述客戶端設備,并記錄所述客戶端設備的IP地址和MAC地址對應關系到地址表中;
C.服務端設備接收到客戶端設備發送的報文時,通過檢查以太網頭MAC地址判斷所述報文的合法性,當所述報文為合法報文時,則繼續檢查數據鏈路層協議號,當所述報文為非法報文時,則將所述報文丟棄。
2.如權利要求1所述的方法,其特征在于,所述步驟B中檢查到客戶端設備的MAC地址在所述地址表中時,服務端設備分配IP地址給所述客戶端設備具體為:
檢查客戶端設備的MAC地址,當所述MAC地址在所述地址表中時,服務端設備分配IP地址給所述客戶端設備,當所述MAC地址不在所述地址表中時,則結束。
3.如權利要求1所述的方法,其特征在于,所述步驟C中通過檢查以太網頭MAC地址判斷所述報文的合法性具體步驟為:
當服務端設備接收到的報文為非IP廣播報文時,檢查所述報文中的源MAC地址是否在所述地址表中,若是,則所述報文為合法,否則所述報文為非法;
當服務端設備接收到的報文為IP廣播報文時,硬件檢查所述報文中的源MAC地址和源IP地址是否與所述地址表中所記錄的MAC地址和IP地址對應關系相匹配,若匹配,則所述包圍為合法,否則所述報文為非法。
4.如權利要求1所述的方法,其特征在于,所述步驟C中繼續檢查數據鏈路層協議號具體為:
檢查報文中的數據鏈路層協議號是否在所述協議類型表中,若是,則所述報文為合法報文,否則所述報文為非法報文。
5.如權利要求1所述的方法,其特征在于,所述步驟C之后還包括以下步驟:
D.當所述報文為合法報文時,服務端設備通過檢查所述報文中IP頭中的協議字段進一步確定所述報文的合法性,當所述報文為合法報文時,將所述報文送交處理,當所述報文為非法報文時,將所述報文丟棄。
6.如權利要求5所述的方法,其特征在于,所述步驟D中服務端設備通過檢查所述報文中IP頭中的協議字段進一步確定所述報文的合法性具體為:
服務端設備檢查所述報文中IP頭中的協議字段是否與所述地址表中的協議字段相一致,若一致,則所述報文為合法報文,否則所述報文為非法報文。
7.如權利要求5所述的方法,其特征在于,所述步驟D之后還包括以下步驟:
當所述報文為合法報文時,服務端設備通過檢查所述報文中的密文驗證字段是否與所述地址表中的密鑰相一致進一步確定所述報文的合法性,當相一致時,所述報文為合法報文,將所述報文送交處理,當不相一致時,將所述報文丟棄。
8.一種三層虛擬專用網中攻擊防范的裝置,其特征在于,所述裝置包括:
地址表和協議類型表配置單元,用于將允許接入的客戶端設備的MAC地址范圍配置到地址表中,并配置協議類型表;
地址分配單元,用于接收到客戶端設備發送的IP地址請求信息時,檢查到客戶端設備的MAC地址在所述地址表中時,分配IP地址給所述客戶端設備并記錄所述客戶端設備的IP地址和MAC地址對應關系到地址表中;
報文檢查單元,用于檢查接收到的客戶端設備報文的合法性,當所述報文合法時,將其送交處理。
9.如權利要求8所述的裝置,其特征在于,所述地址分配單元進一步包括:
MAC地址檢查單元,用于檢查所述客戶端設備的MAC地址是否在所述地址表中,若是,則分配IP地址給所述客戶端設備;
地址記錄單元,用于記錄所述客戶端設備的IP地址和MAC地址對應關系到所述地址表中。
10.如權利要求8所述的裝置,其特征在于,所述報文檢查單元進一步包括:
以太網頭MAC地址檢查單元,用于通過檢查客戶端設備發送報文的以太網頭MAC地址確定所述報文的合法性,若所述報文為合法報文,則發出觸發信息,否則將所述報文丟棄,當非IP廣播報文的源MAC地址在所述地址表中或者IP廣播報文的源MAC地址在所述地址表中且源MAC地址和源IP地址與所述地址表中所記錄的MAC地址和IP地址對應關系相匹配時,所述報文為合法報文;
數據鏈路層協議號檢查單元,當接收到所述以太網頭MAC地址檢查單元的觸發信息時,檢查所述報文中的數據鏈路層協議號是否在所述協議類型表中,若是,則發送觸發信息,否則將所述報文丟棄;
IP頭協議字段檢查單元,當接收到所述數據鏈路層協議號檢查單元的觸發信息時,進一步檢查所述報文中IP頭中的協議字段是否與所述地址表中的協議字段相一致,若不一致,則將報文丟棄,若一致,當所述報文未含有密文驗證字段時,則送交處理,當所述報文含有密文驗證字段時,發送觸發信息;
密文驗證字段檢查單元,當接收到所述IP頭協議字段檢查單元的觸發信息時,進一步檢查所述報文中密文驗證字段是否與所述地址表中的密鑰相一致,若一致,則將所述報文送交處理,否則將所述報文丟棄。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中興通訊股份有限公司,未經中興通訊股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010160683.9/1.html,轉載請聲明來源鉆瓜專利網。
