CN101098227A - 一种宽带接入设备的用户安全防护方法 - Google Patents
一种宽带接入设备的用户安全防护方法 Download PDFInfo
- Publication number
- CN101098227A CN101098227A CNA2006100907705A CN200610090770A CN101098227A CN 101098227 A CN101098227 A CN 101098227A CN A2006100907705 A CNA2006100907705 A CN A2006100907705A CN 200610090770 A CN200610090770 A CN 200610090770A CN 101098227 A CN101098227 A CN 101098227A
- Authority
- CN
- China
- Prior art keywords
- message
- filter
- dhcp
- dynamic host
- configuration protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种宽带接入设备的用户安全防护方法,针对现有DHCP的接入方式,在用户申请获得合法的IP地址之前,上层设备无法对来自该端口的报文进行基于IP的ACL安全过滤的问题而发明。步骤A,在数字用户线接入复用器上对动态主机配置协议报文进行侦听,步骤B,通过对IP报文来源的监测,实现对用户报文的通过进行限制和过滤。本发明在较低的层次上实现了对用户数据报文的过滤,实现方案简单,并且通过动态的绑定用户IP和MAC的方式克服了传统基于IP的ACL安全机制的缺陷,对非法用户盗用他人IP上网或发起攻击的情况进行了有效的防护。当二层接入设备采用了本发明中的技术方法后,上层设备减少了报文处理量,降低了系统开发的难度,提高了系统的可靠性。
Description
技术领域
本发明涉及在二层宽带接入设备上对采用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)方式接入的用户进行安全防护的方法。
背景技术
一、DHCP接入认证
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种目前较为常见的宽带接入认证方式。它建立在客户端-服务器(client-server)模型之上。在认证的初始阶段,客户端用户主机(DHCP client)发起请求,发送DHCP请求(DHCP DISCOVER)报文,申请网络IP地址。网络中的DHCP服务器(DHCP server)做出回应:若可以分配IP,则通过发送DHCP分配应答(DHCP ACK)报文向用户主机传送配置参数;若无法分配,则发送DHCP拒绝分配(DHCP NAK)报文。当用户退出连接时,向服务器发送DHCP释放(DHCP RELEASE)报文,DHCP server回收之前分配给该用户的IP地址,并可以将它分配给其它发出请求的用户。具体交互过程如附图1所示。
二、访问控制列表技术
访问控制列表(Access Control List)简称为ACL,访问控制列表使用包过滤技术,在网络设备上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,目前部分二层交换机(包括接入设备)也开始提供ACL的支持了。
三、数据报文捕获机制
当前各主流网络处理器(Network Processor,NP)或FPGA芯片均支持对于特定数据报文的捕获功能,其大致工作机制是这样的:程序员可以设定用于捕获特定数据报文的报文过滤器(filter),每一条filter的内容包括报文处理行为(rule)和报文匹配原则(subrule)。Rule确定行为,具体可以是丢弃报文(drop)、允许通过(allow)等;subrule定义了匹配原则,这个可以多种多样,例如对于本发明中涉及的二层DHCP报文而言,可以是匹配以太网帧头中的帧类型字段,确定是哪一种类型的报文。一条filter设置生效并应用到端口后,当端口接收到与规则匹配的报文后,芯片底层硬件触发中断,开发人员可以在注册fitler的同时指定对应的中断服务程序用于报文捕获后的数据处理。
四、DHCP接入方式存在的安全隐患
采用DHCP的接入方式,主要存在以下安全隐患:在用户申请获得合法的IP地址之前,上层设备无法对来自该端口的报文进行基于IP的ACL安全过滤;而即使用户获得了IP地址,如果有其他非法用户盗用他的IP地址上网,甚至采用地址欺骗的方式发起攻击,单纯的基于IP的ACL安全机制也是无能为力的。目前,对此种安全隐患防范的主要方法是在采用基于IP的ACL包过滤机制的基础上,在用户端口上绑定用户的MAC地址。这样可以有效的防止盗用IP的情形。但同时带来的问题是,如果用户主机发生改变,如更换网卡等,用户的MAC地址发生改变,就无法上网了。这给用户乃至运营商带来了极大的不便。
发明内容
本发明的目的在于,针对现有技术存在的缺陷和不足,提供一种有效地减轻上层网络设备的处理负担,提高设备运行效率的宽带接入设备的用户安全防护方法。
为达到上述目的,本发明采用以下技术方案:本发明一种宽带接入设备的用户安全防护方法,包括如下步骤:
步骤A,在数字用户线接入复用器上对动态主机配置协议报文进行侦听(DHCP snooping),
步骤B,通过对IP报文来源的监测(IP Source guard),实现对用户报文的通过进行限制和过滤。
其中,所述步骤A具体为:
步骤A1,开启全局或永久性虚电路通道端口的动态主机配置协议报文侦听功能使能开关;
步骤A2,设置提取动态主机配置协议报文的过滤器;
步骤A3,所述过滤器在同一个端口提取动态主机配置协议报文后,中断服务程序判断报文类型,并作相应处理。
进一步的,所述步骤A3具体为:
步骤A31,如果是上行的动态主机配置协议请求报文,向绑定数据库的空闲记录项中添加一条记录,将用户主机MAC地址和PVC号填入对应字段,状态字段为未启用;
步骤A32,如果是下行的动态主机配置协议分配应答报文,更新绑定数据库对应记录项中的用户主机IP地址字段,同时将状态字段设为启用;
步骤A33,如果是上行的动态主机配置协议释放报文或者下行的拒绝分配报文,在绑定数据库中,找到对应记录项,删除该记录项,并把状态字段设为未启用。
进一步的,所述步骤B具体为:
步骤B1,开启全局或永久性虚电路通道端口的IP报文来源监测功能使能开关;
步骤B2,所述永久性虚电路通道端口设置动态主机配置协议报文过滤器、非动态主机配置协议报文过滤器和匹配过滤器;
步骤B3,所述动态主机配置协议报文过滤器捕获到下行的动态主机配置协议分配应答报文;
步骤B4,在所述永久性虚电路通道端口解除非动态主机配置协议报文过滤器;
步骤B5,启用匹配过滤器,以被捕获报文中的IP+MAC+PVC为关键字字段在所述绑定数据库中查询,如果有与所述关键字字段匹配的记录项,则转发该报文;否则,丢弃该报文;
步骤B6,当所述动态主机配置协议报文过滤器捕获到上行的动态主机配置协议释放报文或者下行的拒绝分配报文,在所述绑定数据库中删除与其对应的相关记录项;
步骤B7,所述永久性虚电路通道端口解除匹配过滤器,重新绑定非动态主机配置协议报文过滤器。
与现有技术相比较,本发明引入了DHCP snooping和IP Source guard的概念,以绑定数据库(binding database)为核心引擎,在较低的层次上实现了对于用户数据报文的过滤,实现方案简单,并且通过动态的绑定用户IP和MAC的方式克服了背景技术中提到的传统基于IP的ACL安全机制的缺陷,对非法用户盗用他人IP上网或发起攻击的情况进行了有效的防护。当二层接入设备采用了本发明中的技术方法后,上层设备减少了报文处理量,并可以专注于其它安全策略的实现,从而降低了系统开发的难度和提高了系统的可靠性。
附图说明
图1是DHCP中客户端和服务器数据报文交互过程示意图;
图2是本发明的DHCP snooping功能实现的流程图;
图3a是本发明的IP Source guard功能启动的流程图;
图3b是IP Source guard功能中filter工作机制实现的流程图。
具体实施方式
在数字用户线接入复用器(Digital Subscribe Loop Access Multiplexer,DSLAM)上实现DHCP snooping功能。其具体功能包括:提取上、下行DHCP报文,创建和维护针对用户端口的绑定数据库(binding database),数据库中的每个记录项(entry)包括以下字段:用户主机IP地址、用户主机MAC地址、用户使用的永久性虚电路通道(Permanent VirtualCircuit,PVC)和记录状态status(标示该记录是否启用),其中IP/MAC/PVC为关键字字段。
在实现DHCP snooping功能的基础上,实现IP Source guard功能:对用户报文的通过进行限制和过滤:用户在通过DHCP获得合法IP地址前不能访问网络,此时DSLAM仅捕获DHCP报文,而丢弃其它的所有报文;盗用他人IP地址的非法报文,将在PVC端口就予以丢弃,不允许进入网络;从PVC端口接收到的IP报文,将与binding database中的相关记录项目进行比较,不匹配的将被丢弃。
以上所有功能都支持基于全局和基于PVC端口的使能开关。
由于需要对上下行的报文进行截取、分析、过滤等操作,最佳的实现方式是在DSLAM的线卡上实现DHCP snooping和IP Source guard功能。这主要是利用线卡上网络处理器(NP)或FPGA芯片的filter机制来实现对特定报文的捕获并进而对报文进行处理,正如前文背景技术介绍中所提到的那样。
下面就结合附图重点对线卡上的实现方法进行说明。
如图2所示,在线卡上实现DHCP snooping功能的步骤如下:
步骤1:提供全局和PVC端口的使能开关,初始化设置为关闭(disable)状态。
步骤2:初始化binding database,所有entry的状态(status)字段设置为未启用(notready)。
步骤3:接收主控板下发的端口DHCP snooping功能使能命令,将使能开关置为开启(enable)状态。
步骤4:设置filter提取DHCP报文。
步骤5:提取到DHCP报文后,中断服务程序判断报文类型。
(1)如果是上行的DHCP DISCOVER报文,向binding database的空闲entry中添加一条记录,将MAC地址和PVC号填入对应字段,status字段仍为not ready。
(2)如果是下行的DHCP ACK报文,查询binding database,更新对应entry中的IP地址字段,同时将status字段设为启用(active)。
(3)如果是上行的DHCP RELEASE报文或者下行的DHCP NAK报文,查询binding database,找到对应entry,将所有字段清0(即删除该记录),并把status字段设为not ready,从而使该entry回到初始状态。
在线卡上实现IP Source guard功能,主要包括如下几个步骤(步骤1-4如图3a所示;步骤5-8如图3b所示):
步骤1:提供全局和PVC端口的使能开关,初始化设置为关闭(disable)状态。
步骤2:接收主控板下发的端口IP Source guard功能使能命令。
步骤3:判断对应端口的DHCP snooping功能使能开关状态,若为disable,则直接报错退出。
步骤4:在DHCP snooping功能使能的前提下,将该端口的IP Source guard功能使能开关设为开启(enable)状态。
步骤5:刚开始用户尚未通过DHCP认证得到分配的IP,因此status字段为未启用(notready),此时应用2条filter到PVC端口:filter1捕获DHCP报文,filter2丢弃所有报文。此时可以保证除DHCP报文外所有其他报文都被丢弃。
步骤6:当步骤5中创建的filter1捕获到下行的DHCP ACK报文后,在更新bindingdatabase entry表项的同时在该PVC端口解除原先设置的filter2,添加一条新的filter,进行IP+MAC的匹配,称之为filter3。此时,只有IP和MAC均匹配的报文才能够进入网络,其它报文将被丢弃。同时filter1继续捕获DHCP报文。
步骤7:当filter1捕获到上行DHCP RELEASE报文或下行DHCP NAK报文,从bindingdatabase中删除相关entry的同时,删除步骤6中创建的匹配IP+MAC的filter3,重新绑定步骤5中的filter2,系统拒绝接收除DHCP报文外的所有报文。
步骤8:重复步骤5-7,直到管理员关闭IP Source guard功能。
Claims (4)
1、一种宽带接入设备的用户安全防护方法,包括如下步骤:
步骤A,在数字用户线接入复用器上对动态主机配置协议报文进行侦听,
步骤B,通过对IP报文来源的监测,实现对用户报文的通过进行限制和过滤。
2、根据权利要求1所述的一种宽带接入设备的用户安全防护方法,其特征在于,所述步骤A具体为:
步骤A1,开启全局或永久性虚电路通道端口的动态主机配置协议报文侦听功能使能开关;
步骤A2,设置提取动态主机配置协议报文的过滤器;
步骤A3,所述过滤器在同一个端口提取动态主机配置协议报文后,中断服务程序判断报文类型,并作相应处理。
3、根据权利要求2所述的一种宽带接入设备的用户安全防护方法,其特征在于,所述步骤A3具体为:
步骤A31,如果是上行的动态主机配置协议请求报文,向绑定数据库的空闲记录项中添加一条记录,将用户主机MAC地址和PVC号填入对应字段,状态字段为未启用;
步骤A32,如果是下行的动态主机配置协议分配应答报文,更新绑定数据库对应记录项中的用户主机IP地址字段,同时将状态字段设为启用;
步骤A33,如果是上行的动态主机配置协议释放报文或者下行的拒绝分配报文,在绑定数据库中,找到对应记录项,删除该记录项,并把状态字段设为未启用。
4、根据权利要求1或3所述的一种宽带接入设备的用户安全防护方法,其特征在于,所述步骤B具体为:
步骤B1,开启全局或永久性虚电路通道端口的IP报文来源监测功能使能开关;
步骤B2,所述永久性虚电路通道端口设置动态主机配置协议报文过滤器、非动态主机配置协议报文过滤器和匹配过滤器;
步骤B3,所述动态主机配置协议报文过滤器捕获到下行的动态主机配置协议分配应答报文;
步骤B4,在所述永久性虚电路通道端口解除非动态主机配置协议报文过滤器;
步骤B5,启用匹配过滤器,以被捕获报文中的IP+MAC+PVC为关键字字段在所述绑定数据库中查询,如果有与所述关键字字段匹配的记录项,则转发该报文;否则,丢弃该报文;
步骤B6,当所述动态主机配置协议报文过滤器捕获到上行的动态主机配置协议释放报文或者下行的拒绝分配报文,在所述绑定数据库中删除与其对应的相关记录项;
步骤B7,所述永久性虚电路通道端口解除匹配过滤器,重新绑定非动态主机配置协议报文过滤器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006100907705A CN101098227A (zh) | 2006-06-30 | 2006-06-30 | 一种宽带接入设备的用户安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006100907705A CN101098227A (zh) | 2006-06-30 | 2006-06-30 | 一种宽带接入设备的用户安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101098227A true CN101098227A (zh) | 2008-01-02 |
Family
ID=39011771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006100907705A Pending CN101098227A (zh) | 2006-06-30 | 2006-06-30 | 一种宽带接入设备的用户安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101098227A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
CN101931607A (zh) * | 2009-06-23 | 2010-12-29 | 中兴通讯股份有限公司 | 一种宽带接入设备中防止用户地址欺骗的方法和装置 |
CN101483515B (zh) * | 2009-02-26 | 2011-02-02 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
CN101997871A (zh) * | 2010-09-21 | 2011-03-30 | 电子科技大学 | 一种数据快速捕获与过滤转发装置 |
CN101304372B (zh) * | 2008-06-18 | 2011-04-13 | 华为技术有限公司 | 一种配置访问控制列表的方法、设备及系统 |
CN102014142A (zh) * | 2010-12-31 | 2011-04-13 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
CN101465756B (zh) * | 2009-01-14 | 2011-05-04 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
CN102215486A (zh) * | 2010-04-02 | 2011-10-12 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
CN101621513B (zh) * | 2009-07-20 | 2012-06-27 | 清华大学 | 规范接入子网内源地址验证方案的方法 |
CN103647720A (zh) * | 2013-12-26 | 2014-03-19 | 迈普通信技术股份有限公司 | 一种IGMP Snooping的处理方法及装置 |
CN105227275A (zh) * | 2008-04-28 | 2016-01-06 | 奥普蒂斯无线技术有限责任公司 | 具有捆绑窗口中的所指配数据分组的信令的电信系统中的方法和装置 |
CN105262757A (zh) * | 2015-10-29 | 2016-01-20 | 武汉光迅科技股份有限公司 | 一种基于ip保护的数据访问方法 |
CN102137072B (zh) * | 2010-01-27 | 2016-07-06 | 中兴通讯股份有限公司 | 防护网络攻击的方法和系统 |
CN106647293A (zh) * | 2016-08-30 | 2017-05-10 | 杭州鸿雁智能科技有限公司 | 一种基于云服务器的设备联动方法及装置 |
CN108123915A (zh) * | 2016-11-28 | 2018-06-05 | 北京神州泰岳软件股份有限公司 | 一种非法入网设备的检测方法及装置 |
CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
-
2006
- 2006-06-30 CN CNA2006100907705A patent/CN101098227A/zh active Pending
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227275B (zh) * | 2008-04-28 | 2019-07-02 | 奥普蒂斯无线技术有限责任公司 | 具有捆绑窗口中的所指配数据分组的信令的电信系统中的方法和装置 |
CN105227275A (zh) * | 2008-04-28 | 2016-01-06 | 奥普蒂斯无线技术有限责任公司 | 具有捆绑窗口中的所指配数据分组的信令的电信系统中的方法和装置 |
CN101304372B (zh) * | 2008-06-18 | 2011-04-13 | 华为技术有限公司 | 一种配置访问控制列表的方法、设备及系统 |
CN101465756B (zh) * | 2009-01-14 | 2011-05-04 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
CN101483515B (zh) * | 2009-02-26 | 2011-02-02 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
CN101931607A (zh) * | 2009-06-23 | 2010-12-29 | 中兴通讯股份有限公司 | 一种宽带接入设备中防止用户地址欺骗的方法和装置 |
CN101621513B (zh) * | 2009-07-20 | 2012-06-27 | 清华大学 | 规范接入子网内源地址验证方案的方法 |
CN102137072B (zh) * | 2010-01-27 | 2016-07-06 | 中兴通讯股份有限公司 | 防护网络攻击的方法和系统 |
CN102215486B (zh) * | 2010-04-02 | 2014-05-07 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
CN102215486A (zh) * | 2010-04-02 | 2011-10-12 | 华为终端有限公司 | 接入网络的方法及系统、网络认证方法及设备、终端 |
CN101883090A (zh) * | 2010-04-29 | 2010-11-10 | 北京星网锐捷网络技术有限公司 | 一种客户端的接入方法、设备及系统 |
CN101997871B (zh) * | 2010-09-21 | 2013-07-24 | 电子科技大学 | 一种数据快速捕获与过滤转发装置 |
CN101997871A (zh) * | 2010-09-21 | 2011-03-30 | 电子科技大学 | 一种数据快速捕获与过滤转发装置 |
CN102014142B (zh) * | 2010-12-31 | 2013-01-30 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
CN102014142A (zh) * | 2010-12-31 | 2011-04-13 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
CN103647720A (zh) * | 2013-12-26 | 2014-03-19 | 迈普通信技术股份有限公司 | 一种IGMP Snooping的处理方法及装置 |
CN103647720B (zh) * | 2013-12-26 | 2017-04-26 | 迈普通信技术股份有限公司 | 一种IGMP Snooping的处理方法及装置 |
CN105262757A (zh) * | 2015-10-29 | 2016-01-20 | 武汉光迅科技股份有限公司 | 一种基于ip保护的数据访问方法 |
CN106647293A (zh) * | 2016-08-30 | 2017-05-10 | 杭州鸿雁智能科技有限公司 | 一种基于云服务器的设备联动方法及装置 |
CN108123915A (zh) * | 2016-11-28 | 2018-06-05 | 北京神州泰岳软件股份有限公司 | 一种非法入网设备的检测方法及装置 |
CN108123915B (zh) * | 2016-11-28 | 2020-11-20 | 北京神州泰岳软件股份有限公司 | 一种非法入网设备的检测方法及装置 |
CN109391586A (zh) * | 2017-08-04 | 2019-02-26 | 深圳市中兴微电子技术有限公司 | 一种防止静态ip非法上网的装置及方法、onu设备和pon系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101098227A (zh) | 一种宽带接入设备的用户安全防护方法 | |
CN106302397B (zh) | 一种基于设备指纹的设备识别系统 | |
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
WO2015188579A1 (zh) | 分布式虚拟防火墙装置、方法及防火墙控制器 | |
CN101114932B (zh) | 实现远程抓包的方法和系统 | |
CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
CN107707435B (zh) | 一种报文处理方法和装置 | |
CN104601566B (zh) | 认证方法以及装置 | |
US9882965B2 (en) | Techniques for network process identity enablement | |
CN101378395A (zh) | 一种防止拒绝访问攻击的方法及装置 | |
CN108965297B (zh) | 一种门禁设备管理系统 | |
CN101286850A (zh) | 路由器安全防御装置及防御系统和方法 | |
WO2006114053A1 (fr) | Procede, systeme et appareil visant a empecher la contrefacon d’une adresse mac | |
CN1744607A (zh) | 一种阻断蠕虫攻击的系统和方法 | |
CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
CN101471936A (zh) | 建立ip会话的方法、装置及系统 | |
CN101188557A (zh) | 管理用户上网行为的方法、客户端、服务器和系统 | |
CN101378312B (zh) | 基于宽带网络的安全支付控制系统和方法 | |
CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
WO2009018737A1 (fr) | Procédé et dispositif en réseau pour empêcher des attaques dos | |
CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
US20110176437A1 (en) | Traffic volume monitoring system | |
CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080102 |