CN101098227A - 一种宽带接入设备的用户安全防护方法 - Google Patents

Abstract

本发明公开了一种宽带接入设备的用户安全防护方法，针对现有DHCP的接入方式，在用户申请获得合法的IP地址之前，上层设备无法对来自该端口的报文进行基于IP的ACL安全过滤的问题而发明。步骤A，在数字用户线接入复用器上对动态主机配置协议报文进行侦听，步骤B，通过对IP报文来源的监测，实现对用户报文的通过进行限制和过滤。本发明在较低的层次上实现了对用户数据报文的过滤，实现方案简单，并且通过动态的绑定用户IP和MAC的方式克服了传统基于IP的ACL安全机制的缺陷，对非法用户盗用他人IP上网或发起攻击的情况进行了有效的防护。当二层接入设备采用了本发明中的技术方法后，上层设备减少了报文处理量，降低了系统开发的难度，提高了系统的可靠性。

Description

一种宽带接入设备的用户安全防护方法

技术领域

本发明涉及在二层宽带接入设备上对采用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)方式接入的用户进行安全防护的方法。

背景技术

一、DHCP接入认证

DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)是一种目前较为常见的宽带接入认证方式。它建立在客户端-服务器(client-server)模型之上。在认证的初始阶段，客户端用户主机(DHCP client)发起请求，发送DHCP请求(DHCP DISCOVER)报文，申请网络IP地址。网络中的DHCP服务器(DHCP server)做出回应：若可以分配IP，则通过发送DHCP分配应答(DHCP ACK)报文向用户主机传送配置参数；若无法分配，则发送DHCP拒绝分配(DHCP NAK)报文。当用户退出连接时，向服务器发送DHCP释放(DHCP RELEASE)报文，DHCP server回收之前分配给该用户的IP地址，并可以将它分配给其它发出请求的用户。具体交互过程如附图1所示。

二、访问控制列表技术

访问控制列表(Access Control List)简称为ACL，访问控制列表使用包过滤技术，在网络设备上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，目前部分二层交换机(包括接入设备)也开始提供ACL的支持了。

三、数据报文捕获机制

当前各主流网络处理器(Network Processor，NP)或FPGA芯片均支持对于特定数据报文的捕获功能，其大致工作机制是这样的：程序员可以设定用于捕获特定数据报文的报文过滤器(filter)，每一条filter的内容包括报文处理行为(rule)和报文匹配原则(subrule)。Rule确定行为，具体可以是丢弃报文(drop)、允许通过(allow)等；subrule定义了匹配原则，这个可以多种多样，例如对于本发明中涉及的二层DHCP报文而言，可以是匹配以太网帧头中的帧类型字段，确定是哪一种类型的报文。一条filter设置生效并应用到端口后，当端口接收到与规则匹配的报文后，芯片底层硬件触发中断，开发人员可以在注册fitler的同时指定对应的中断服务程序用于报文捕获后的数据处理。

四、DHCP接入方式存在的安全隐患

采用DHCP的接入方式，主要存在以下安全隐患：在用户申请获得合法的IP地址之前，上层设备无法对来自该端口的报文进行基于IP的ACL安全过滤；而即使用户获得了IP地址，如果有其他非法用户盗用他的IP地址上网，甚至采用地址欺骗的方式发起攻击，单纯的基于IP的ACL安全机制也是无能为力的。目前，对此种安全隐患防范的主要方法是在采用基于IP的ACL包过滤机制的基础上，在用户端口上绑定用户的MAC地址。这样可以有效的防止盗用IP的情形。但同时带来的问题是，如果用户主机发生改变，如更换网卡等，用户的MAC地址发生改变，就无法上网了。这给用户乃至运营商带来了极大的不便。

发明内容

本发明的目的在于，针对现有技术存在的缺陷和不足，提供一种有效地减轻上层网络设备的处理负担，提高设备运行效率的宽带接入设备的用户安全防护方法。

为达到上述目的，本发明采用以下技术方案：本发明一种宽带接入设备的用户安全防护方法，包括如下步骤：

步骤A，在数字用户线接入复用器上对动态主机配置协议报文进行侦听(DHCP snooping)，

步骤B，通过对IP报文来源的监测(IP Source guard)，实现对用户报文的通过进行限制和过滤。

其中，所述步骤A具体为：

步骤A1，开启全局或永久性虚电路通道端口的动态主机配置协议报文侦听功能使能开关；

步骤A2，设置提取动态主机配置协议报文的过滤器；

步骤A3，所述过滤器在同一个端口提取动态主机配置协议报文后，中断服务程序判断报文类型，并作相应处理。

进一步的，所述步骤A3具体为：

步骤A31，如果是上行的动态主机配置协议请求报文，向绑定数据库的空闲记录项中添加一条记录，将用户主机MAC地址和PVC号填入对应字段，状态字段为未启用；

步骤A32，如果是下行的动态主机配置协议分配应答报文，更新绑定数据库对应记录项中的用户主机IP地址字段，同时将状态字段设为启用；

步骤A33，如果是上行的动态主机配置协议释放报文或者下行的拒绝分配报文，在绑定数据库中，找到对应记录项，删除该记录项，并把状态字段设为未启用。

进一步的，所述步骤B具体为：

步骤B1，开启全局或永久性虚电路通道端口的IP报文来源监测功能使能开关；

步骤B2，所述永久性虚电路通道端口设置动态主机配置协议报文过滤器、非动态主机配置协议报文过滤器和匹配过滤器；

步骤B3，所述动态主机配置协议报文过滤器捕获到下行的动态主机配置协议分配应答报文；

步骤B4，在所述永久性虚电路通道端口解除非动态主机配置协议报文过滤器；

步骤B5，启用匹配过滤器，以被捕获报文中的IP+MAC+PVC为关键字字段在所述绑定数据库中查询，如果有与所述关键字字段匹配的记录项，则转发该报文；否则，丢弃该报文；

步骤B6，当所述动态主机配置协议报文过滤器捕获到上行的动态主机配置协议释放报文或者下行的拒绝分配报文，在所述绑定数据库中删除与其对应的相关记录项；

步骤B7，所述永久性虚电路通道端口解除匹配过滤器，重新绑定非动态主机配置协议报文过滤器。

与现有技术相比较，本发明引入了DHCP snooping和IP Source guard的概念，以绑定数据库(binding database)为核心引擎，在较低的层次上实现了对于用户数据报文的过滤，实现方案简单，并且通过动态的绑定用户IP和MAC的方式克服了背景技术中提到的传统基于IP的ACL安全机制的缺陷，对非法用户盗用他人IP上网或发起攻击的情况进行了有效的防护。当二层接入设备采用了本发明中的技术方法后，上层设备减少了报文处理量，并可以专注于其它安全策略的实现，从而降低了系统开发的难度和提高了系统的可靠性。

附图说明

图1是DHCP中客户端和服务器数据报文交互过程示意图；

图2是本发明的DHCP snooping功能实现的流程图；

图3a是本发明的IP Source guard功能启动的流程图；

图3b是IP Source guard功能中filter工作机制实现的流程图。

具体实施方式

在数字用户线接入复用器(Digital Subscribe Loop Access Multiplexer，DSLAM)上实现DHCP snooping功能。其具体功能包括：提取上、下行DHCP报文，创建和维护针对用户端口的绑定数据库(binding database)，数据库中的每个记录项(entry)包括以下字段：用户主机IP地址、用户主机MAC地址、用户使用的永久性虚电路通道(Permanent VirtualCircuit，PVC)和记录状态status(标示该记录是否启用)，其中IP/MAC/PVC为关键字字段。

在实现DHCP snooping功能的基础上，实现IP Source guard功能：对用户报文的通过进行限制和过滤：用户在通过DHCP获得合法IP地址前不能访问网络，此时DSLAM仅捕获DHCP报文，而丢弃其它的所有报文；盗用他人IP地址的非法报文，将在PVC端口就予以丢弃，不允许进入网络；从PVC端口接收到的IP报文，将与binding database中的相关记录项目进行比较，不匹配的将被丢弃。

以上所有功能都支持基于全局和基于PVC端口的使能开关。

由于需要对上下行的报文进行截取、分析、过滤等操作，最佳的实现方式是在DSLAM的线卡上实现DHCP snooping和IP Source guard功能。这主要是利用线卡上网络处理器(NP)或FPGA芯片的filter机制来实现对特定报文的捕获并进而对报文进行处理，正如前文背景技术介绍中所提到的那样。

下面就结合附图重点对线卡上的实现方法进行说明。

如图2所示，在线卡上实现DHCP snooping功能的步骤如下：

步骤1：提供全局和PVC端口的使能开关，初始化设置为关闭(disable)状态。

步骤2：初始化binding database，所有entry的状态(status)字段设置为未启用(notready)。

步骤3：接收主控板下发的端口DHCP snooping功能使能命令，将使能开关置为开启(enable)状态。

步骤4：设置filter提取DHCP报文。

步骤5：提取到DHCP报文后，中断服务程序判断报文类型。

(1)如果是上行的DHCP DISCOVER报文，向binding database的空闲entry中添加一条记录，将MAC地址和PVC号填入对应字段，status字段仍为not ready。

(2)如果是下行的DHCP ACK报文，查询binding database，更新对应entry中的IP地址字段，同时将status字段设为启用(active)。

(3)如果是上行的DHCP RELEASE报文或者下行的DHCP NAK报文，查询binding database，找到对应entry，将所有字段清0(即删除该记录)，并把status字段设为not ready，从而使该entry回到初始状态。

在线卡上实现IP Source guard功能，主要包括如下几个步骤(步骤1-4如图3a所示；步骤5-8如图3b所示)：

步骤1：提供全局和PVC端口的使能开关，初始化设置为关闭(disable)状态。

步骤2：接收主控板下发的端口IP Source guard功能使能命令。

步骤3：判断对应端口的DHCP snooping功能使能开关状态，若为disable，则直接报错退出。

步骤4：在DHCP snooping功能使能的前提下，将该端口的IP Source guard功能使能开关设为开启(enable)状态。

步骤5：刚开始用户尚未通过DHCP认证得到分配的IP，因此status字段为未启用(notready)，此时应用2条filter到PVC端口：filter1捕获DHCP报文，filter2丢弃所有报文。此时可以保证除DHCP报文外所有其他报文都被丢弃。

步骤6：当步骤5中创建的filter1捕获到下行的DHCP ACK报文后，在更新bindingdatabase entry表项的同时在该PVC端口解除原先设置的filter2，添加一条新的filter，进行IP+MAC的匹配，称之为filter3。此时，只有IP和MAC均匹配的报文才能够进入网络，其它报文将被丢弃。同时filter1继续捕获DHCP报文。

步骤7：当filter1捕获到上行DHCP RELEASE报文或下行DHCP NAK报文，从bindingdatabase中删除相关entry的同时，删除步骤6中创建的匹配IP+MAC的filter3，重新绑定步骤5中的filter2，系统拒绝接收除DHCP报文外的所有报文。

步骤8：重复步骤5-7，直到管理员关闭IP Source guard功能。

Claims (4)

1、一种宽带接入设备的用户安全防护方法，包括如下步骤：

步骤A，在数字用户线接入复用器上对动态主机配置协议报文进行侦听，

步骤B，通过对IP报文来源的监测，实现对用户报文的通过进行限制和过滤。

2、根据权利要求1所述的一种宽带接入设备的用户安全防护方法，其特征在于，所述步骤A具体为：

步骤A1，开启全局或永久性虚电路通道端口的动态主机配置协议报文侦听功能使能开关；

步骤A2，设置提取动态主机配置协议报文的过滤器；

步骤A3，所述过滤器在同一个端口提取动态主机配置协议报文后，中断服务程序判断报文类型，并作相应处理。

3、根据权利要求2所述的一种宽带接入设备的用户安全防护方法，其特征在于，所述步骤A3具体为：

步骤A31，如果是上行的动态主机配置协议请求报文，向绑定数据库的空闲记录项中添加一条记录，将用户主机MAC地址和PVC号填入对应字段，状态字段为未启用；

步骤A32，如果是下行的动态主机配置协议分配应答报文，更新绑定数据库对应记录项中的用户主机IP地址字段，同时将状态字段设为启用；

步骤A33，如果是上行的动态主机配置协议释放报文或者下行的拒绝分配报文，在绑定数据库中，找到对应记录项，删除该记录项，并把状态字段设为未启用。

4、根据权利要求1或3所述的一种宽带接入设备的用户安全防护方法，其特征在于，所述步骤B具体为：

步骤B1，开启全局或永久性虚电路通道端口的IP报文来源监测功能使能开关；

步骤B2，所述永久性虚电路通道端口设置动态主机配置协议报文过滤器、非动态主机配置协议报文过滤器和匹配过滤器；

步骤B3，所述动态主机配置协议报文过滤器捕获到下行的动态主机配置协议分配应答报文；

步骤B4，在所述永久性虚电路通道端口解除非动态主机配置协议报文过滤器；

步骤B5，启用匹配过滤器，以被捕获报文中的IP+MAC+PVC为关键字字段在所述绑定数据库中查询，如果有与所述关键字字段匹配的记录项，则转发该报文；否则，丢弃该报文；

步骤B6，当所述动态主机配置协议报文过滤器捕获到上行的动态主机配置协议释放报文或者下行的拒绝分配报文，在所述绑定数据库中删除与其对应的相关记录项；

步骤B7，所述永久性虚电路通道端口解除匹配过滤器，重新绑定非动态主机配置协议报文过滤器。

Images