CN101399814A - 验证数据链路层地址与其发送方关系的方法、系统及装置 - Google Patents
验证数据链路层地址与其发送方关系的方法、系统及装置 Download PDFInfo
- Publication number
- CN101399814A CN101399814A CN200710149993.9A CN200710149993A CN101399814A CN 101399814 A CN101399814 A CN 101399814A CN 200710149993 A CN200710149993 A CN 200710149993A CN 101399814 A CN101399814 A CN 101399814A
- Authority
- CN
- China
- Prior art keywords
- link layer
- data
- layer address
- transmit leg
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Abstract
本发明公开了验证数据链路层地址与其发送方关系的方法、系统及其装置。本发明方法包括:接收报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址;提取所述数据链路层地址;对数据链路层地址对应参数通过第一预置规则进行运算,得到运算结果,所述数据链路层地址对应参数为生成所述数据链路层地址过程中,所用的所有实际参数值的合集;当所述运算结果与所述数据链路层地址对应时,则所述数据链路层地址为所述发送方所有。本发明具有以下效果:本发明通过接收方对发送方的数据链路层地址进行验证,避免假冒数据链路层地址的现象,从而提高数据链路层数据传输的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种验证数据链路层地址与其发送方关系的方法、系统及其装置。
背景技术
在网络通信中,数据链路层作为网络数据传输的必经层面,通信安全要求正在不断的提高,随着无线网络的实用和大规模普及,开放的空中接口带来了威胁链路层数据传输安全的网络攻击。
这些网络攻击主要包括:(1)攻击者通过向网络交换机提供大量的无效媒体访问控制(MAC,Media Access Control)地址,使得内容寻址存储器(CAM,Call Access Management)表格被淹没,导致入侵者看到本地虚拟局域网(VLAN,Virtual Local Area Network)中的信息。(2)攻击者通过攻击生成树协议,迫使生成树协议进行更新,攻击者将自己的系统伪装成该拓扑结构中的根网桥,获得各种各样的数据帧。(3)攻击者仿冒被攻击主机的MAC地址,并发送数据链路层控制报文,改写CAM表格中对应条目,使得交换机将以被攻击主机为目的地址的数据包转发给该攻击者。(4)攻击者通过非法修改交换机上保存的MAC地址和IP地址对应关系获得地址解析协议(ARP,Address Resolution Protocol)表格,实施服务拒绝或者中间人攻击。(5)攻击者通过利用伪造的MAC地址来广播动态主机配置协议(DHCP,DynamicHost Configure Protocol)请求的方式进行攻击,如果所发出的请求足够多,网络攻击者就可以在一段时间内耗竭DHCP服务器所提供的地址空间,然后攻击者在自己的系统中建立虚假的DHCP服务器来对网络上客户发出的新DHCP请求作出反应。
现有技术中,MAC地址是在数据链路层上使用的地址,也叫物理地址或者链路地址,是厂商生产的网卡的物理地址,对于每一台设备是唯一的。以太网中数据链路层的包交换和转发,都是以MAC地址作为标识,在数据链路层上传输的每个报文都含有发送该报文的网卡的MAC地址,MAC地址的绑定和基于MAC地址的认证被应用在数据链路层的各种安全机制中。
这些安全机制主要包括:(a)MAC地址和IP地址的绑定认证机制:在路由器中建立一个IP地址与MAC地址的对应表,只有IP-MAC地址相对应的合法注册机器才能得到正确的网络应答,以此来控制IP-MAC不匹配的主机与外界通讯,达到防止IP地址的盗用。(b)数据链路层访问控制列表(ACL,AccessControl List):访问控制列表实际上就是一系列允许和拒绝匹配准则的集合。数据链路层访问控制列表中的匹配准则是以数据包的目标MAC地址、源MAC地址,端口等项目来区分数据包是否合法的。以此来限制不合法的硬件接入网络。(c)802.1x:通过检验客户端发送来的身份标识,即用户名和口令来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开状态的指令,或者向交换机发出保持特定MAC地址的端口关闭状态的指令。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:网卡驱动在发送数据链路层报文时,并不从硬件记忆设备中读取MAC地址,而是在内存中建立一块缓存区,数据链路层报文从该缓存区中读取源MAC地址。因此,用户可以通过操作系统修改实际发送的数据链路层报文中的源MAC地址。由于MAC地址可以修改,那么基于MAC地址的各种安全机制也就失去了它原有的意义。
另外,现有的数据链路层地址使用和物理硬件相对应的固定地址,没有对该固定地址所有权的认证,极易被同一链路上潜在的攻击者假冒,并且各种数据链路层安全机制,大都以MAC地址是唯一、永久且不可假冒,为前提,但MAC地址是可以伪造的。攻击者可以先假冒MAC地址,再盗用IP地址,就绕过了MAC地址和IP地址的绑定认证机制。攻击者可以把自己的MAC地址改为已知访问控制列表允许的地址,从而欺骗使用访问控制列表的路由器。攻击者可以在合法用户通过802.1x验证后,假冒合法用户的MAC地址和端口,使用已经打开的网络服务。
发明内容
本发明实施例要解决的技术问题是提供一种验证数据链路层地址与其发送方关系的方法、系统及其装置,能够生成内嵌安全机制的数据链路层地址,并对该内嵌安全机制的数据链路层地址与其发送方关系进行验证,从而提高数据链路层数据传输的安全性。
本发明实施例是通过如下技术方案来实现的:
本发明实施例提供了一种验证数据链路层地址与其发送方关系的方法,包括:
接收报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址;
提取所述数据链路层地址;
对数据链路层地址对应参数通过第一预置规则进行运算,得到运算结果,所述数据链路层地址对应参数为生成所述数据链路层地址过程中,所用的所有实际参数值的合集;
当所述运算结果与所述数据链路层地址对应时,则所述数据链路层地址为所述发送方所有。
本发明实施例还提供了一种网络交互系统,包括:
发送端,包括:
发送单元,用于发送报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址;
接收端,包括:
接收单元,用于接收所述报文;
获取单元,用于从所述报文中获取所述发送方的数据链路层地址;
运算单元,用于对所述发送方的数据链路层地址参数通过第一预置规则进行运算,得到运算结果;
地址验证单元,用于比较所述运算结果与所述发送方的数据链路层地址对应时,验证所述数据链路层地址为所述发送方所有。
本发明实施例还提供了一种发送装置,包括:
发送单元,用于发送报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址。
本发明实施例还提供了一种接收装置,包括:
接收单元,用于接收报文;
获取单元,用于从所述报文中获取所述发送方的数据链路层地址;
运算单元,用于对所述发送方的数据链路层地址参数通过第一预置规则进行运算,得到运算结果;
地址验证单元,用于比较所述运算结果与所述发送方的数据链路层地址对应时,验证所述数据链路层地址为所述发送方所有。
以上技术方案可以看出,由于接收的数据报文使用发送方内嵌安全信息的数据链路层地址作为源地址,可提取该数据报文中的内嵌安全信息的数据链路层地址,并且可通过该内嵌安全信息的数据链路层地址对应参数进行运算,当所述运算结果与所述数据链路层地址对应时,则认为所述数据链路层地址为发送方所有。因此,可获知发送数据报文的数据链路层地址是否为发送方所有,从而提高数据链路层数据传输的安全性。
附图说明
图1为本发明实施例提供的方法流程图;
图2为本发明实施例提供的生成数据链路层地址的例一流程图;
图3为本发明实施例提供的验证数据链路层地址的例一流程图;
图4为本发明实施例提供的生成数据链路层地址的例二流程图;
图5为本发明实施例提供的验证数据链路层地址的例二流程图;
图6为本发明实施例提供的系统示意图;
图7为本发明实施例提供的发送装置示意图;
图8为本发明实施例提供的接收装置示意图。
具体实施方式
本发明实施例提供了一种验证数据链路层地址与其发送方关系的方法、系统及其装置,用于网络数据传输时,对发送方与其数据链路层地址的对应关系进行验证,避免假冒数据链路层地址的现象,从而提高数据链路层数据传输的安全性。为了使本发明的技术方案更加清楚明白,下面列举实施例进行详细说明:
参见图1,为本发明实施例提供的方法流程图,包括:
101:接收报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址。所述安全信息包括:发送方公私钥对;或者事先约定好的对称密钥。
102:提取所述数据链路层地址;
103:对数据链路层地址对应参数通过第一预置规则进行运算,得到运算结果。
其中,所述数据链路层地址的生成方法为:发送方预置生成数据链路层地址的安全信息;发送方对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及所述数据链路层地址对应参数。
其中,所述数据链路层地址对应参数为生成所述数据链路层地址过程中,所用的所有实际参数值的合集。
104:当所述运算结果与所述数据链路层地址对应时,则所述数据链路层地址为所述发送方所有。
所述运算结果与所述数据链路层地址对应包括:当所述第一预置规则和所述第二预置规则相同时,则所述运算结果与所述数据链路层地址相同;当所述第一预置规则和所述第二预置规则不同时,则所述运算结果需要与所述数据链路层地址有对应的关系,以便接收方可以通过运算结果对数据链路层地址与发送方的关系进行确认。
其中,所述第一预置规则和/或所述第二预置规则具有可重复性、不可逆等特点,与所述第一预置规则和/或所述第二预置规则相同或相似的描述均属于本发明所保护的特征。
其中,所述报文中还包括:所述数据链路层地址对应参数;相应地,所述对所述数据链路层地址对应参数通过第一预置规则进行运算具体包括:提取所述报文中的数据链路层地址对应参数,对所述参数通过第一预置规则进行运算。
其中,所述报文由所述发送方进行签名;相应地,所述接收报文后具体包括:对所述报文的签名数据进行验证。
下面对本发明实施例提供的数据链路层地址的生成方法,及验证数据链路层地址与数据链路层地址的发送方的对应关系分别进行举例说明:
参见图2,为本发明实施例提供的生成数据链路层地址的例一流程图,包括:
201:网络节点生成一个256位的随机修改值;
202:使用混乱算法SHA-256,对修改值加上1字节的零,再后续附上公钥和扩展参数,形成输入数列,对所述输入数列进行混乱运算,然后取混乱运算结果的最左N位,所述N位至少为(16*安全级数)位。通常情况下,可以直接取112位,作为混乱值2;
203:检测混乱值2的最左(16*安全级数)位是否为全零,全0进入下一步,否则,随机修改值加1,返回步骤202;
其中,16*安全级数为变量,该安全级数取值范围为0到7。
204:将4位的冲突计数值置0;
205:使用混乱算法SHA-256,对修改值加上4位为全1的填充位,再后续附上冲突计数值、公钥和扩展参数,按照由左至右顺序合成的数列进行混乱运算,然后取最左的45位,作为混乱值1;
206:在以3位方式表达的安全级数后面附上混乱值1加上安全级数生成数据链路层地址;
207:使用地址冲突检测方案,检测生成的新地址是否和已有地址冲突,如果冲突,把冲突计数值加1,返回步骤205,连续3次冲突后,中止进程,报告错误;
208:获得有效地址,把修改值、4位1、冲突计数值、公钥和扩展参数顺序由左至右合成数据链路层地址参数。
至此,完成了数据链路层地址及数据链路层地址参数的生成过程,下面对发送方与其数据链路层地址对应关系的验证方法进行描述:
参见图3,对本发明实施例提供的验证数据链路层地址的例一流程图,包括:
301:检查数据链路层地址参数中的冲突计数值是否小于2,也即0、1、2中的一个,若是,执行步骤303,否则,实行步骤302;
302:如为任何该范围外的值,则验证失败,退出验证流程。
303:对数据链路层地址参数使用混乱SHA-256算法,取混乱输出值的最左45位作为混乱值1。
304:比较数据链路层地址的最右45位是否等于混乱值1;不等,执行步骤302,若等,则执行步骤305;
305:从数据链路层地址中,取最左3位,作为安全级数;
306:把数据链路层地址参数中的填充位和冲突计数值都替换为全零,再对该修改过后的数据链路层地址参数使用混乱SHA-256算法,得到混乱值2;
307:校验混乱值2最左的(16*安全级数)位是否为全零;不等,则执行步骤302退出验证流程;相等,则执行步骤308。
其中,16*安全级数为变量,该安全级数取值范围为0到7。
308:验证通过。
参见图4,为本发明实施例提供的生成数据链路层地址的例二流程图,包括:
401:网络节点生成一个128位的随机修改值;
402:使用混乱算法SHA-384,对修改值加上4字节的零,再对公钥和扩展参数按照由左至右顺序合成的数列进行混乱运算,然后取混乱运算结果的最左N位,所述N位至少为(8*安全级数)位。通常情况下,可以直接取然最左的64位,作为混乱值2;
403:检测混乱值2的最左(8*安全级数)位是否为全零,所述安全级数取值范围0到7,全0进入下一步,否则,随机修改值加1,返回步骤402;
其中,8*安全级数为变量,该安全级数取值范围为0到7。
404:将4位的冲突计数值置0;
405:使用混乱算法SHA-384,对修改值加上24位厂商标识,再加上4位为全0的填充位,加上冲突计数值,再后续附上公钥和扩展参数,形成输入数列,对所述输入数列进行混乱运算,然后取最左21位,作为混乱值1;
406:在24位厂商标识后面附上以3位方式表达的安全级数,再在后面附上混乱值1生成数据链路层地址;
407:使用地址冲突检测方案,检测生成的新地址是否和已有地址冲突,如果冲突,把冲突计数值加1,返回步骤405,连续3次冲突后,中止进程,报告错误;
408:获得有效地址,把修改值、4位0、冲突计数值、公钥和扩展参数顺序由左至右合成数据链路层地址参数。
至此,完成了数据链路层地址及数据链路层地址参数的生成过程,下面对发送方与其数据链路层地址冲突对应关系的验证方法进行描述:
参见图5,对本发明实施例提供的验证数据链路层地址的例二流程图,包括:
501:检查数据链路层地址参数中的冲突计数值是否小于2,也即0、1、2中的一个,若是,执行步骤503,否则,实行步骤502;
502:如为任何该范围外的值,则验证失败,退出验证流程。
503:对数据链路层地址参数使用混乱SHA-384算法,取混乱输出值的最左21位作为混乱值1。
504:比较数据链路层地址的最右21位是否等于混乱值1;不等,执行步骤502,或若等,则执行步骤505;
505:从数据链路层地址中,取由左起25-27位,共3位,作为安全级数;
506:把数据链路层地址参数中的厂商标识、填充位和冲突计数值都替换为全零,再对该修改过后的数据链路层地址参数使用混乱SHA-384算法,得到混乱值2;
507:校验其最左的(8*安全级数)位是否为全零;不等,则执行步骤110,302退出验证流程;相等,则执行步骤508。
508:验证通过验证。
上述对本发明实施例提供的方法进行了描述,下面对本发明实施例提供的系统进行描述:
参见图6,为本发明实施例提供的系统示意图,包括:发送端601、接收端602;
所述发送端601包括:
发送单元603,用于发送报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址。所述安全信息包括:发送方公私钥对;或者事先约定好的对称密钥。
所述接收端602包括:
接收单元611,用于接收所述报文;
获取单元604,用于从所述接收单元611获取所述发送方的数据链路层地址。
运算单元605,用于对所述发送方的数据链路层地址参数通过第一预置规则进行运算,得到运算结果。其中,所述数据链路层地址对应参数为生成所述数据链路层地址过程中,所用的所有实际参数值的合集。
地址验证单元606,用于比较所述运算结果与所述发送方的数据链路层地址对应时,验证所述数据链路层地址为所述发送方所有。
其中,所述发送端601进一步包括:
签名单元607,用于对所述报文进行签名;
相应地,
所述接收端602进一步包括:
签名验证单元608,用于对所述报文的签名数据进行验证。
其中,所述发送端601进一步包括:
预置单元609,用于预置生成数据链路层地址的安全信息;
生成单元610,用于对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及所述数据链路层地址对应参数。所述第一预置规则和/或所述第二预置规则为:通过对所述发送方的预置的安全信息使用混乱算法,生成所述数据链路层地址以及所述数据链路层地址对应参数的规则。
其中,所述发送端601进一步包括:信息添加单元612,用于将数据链路层地址对应参数添加到所述报文中;
相应地,获取单元604还包括:提取所述报文中的数据链路层地址对应
参数;运算单元605还包括:对所述参数通过第一预置规则进行运算。
参见图7,为本发明实施例提供的发送装置示意图,包括:
发送端601,包括:
发送单元603,用于发送报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址。所述安全信息包括:发送方公私钥对;或者事先约定好的对称密钥。
其中,所述发送端601进一步包括:
签名单元607,用于对所述报文进行签名;
相应地,
其中,所述发送端601进一步包括:
预置单元609,用于预置生成数据链路层地址的安全信息;
生成单元610,用于对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及所述数据链路层地址对应参数。所述第一预置规则和/或所述第二预置规则为:通过对所述发送方的预置的安全信息使用混乱算法,生成所述数据链路层地址以及所述数据链路层地址对应参数的规则。
其中,所述发送端601进一步包括:信息添加单元612,用于将数据链路层地址对应参数添加到所述报文中。
参见图8,为本发明实施例提供的接收装置示意图,包括:
接收端602,包括:
接收单元611,用于接收所述报文;
获取单元604,用于从所述接收单元611获取所述发送方的数据链路层地址。
运算单元605,用于对所述发送方的数据链路层地址参数通过第一预置规则进行运算,得到运算结果。其中,所述数据链路层地址对应参数为生成所述数据链路层地址过程中,所用的所有实际参数值的合集。
地址验证单元606,用于比较所述运算结果与所述发送方的数据链路层地址对应时,验证所述数据链路层地址为所述发送方所有。
其中,所述接收端602进一步包括:
签名验证单元608,用于对所述报文的签名数据进行验证。
其中,所述获取单元604还包括:提取所述报文中的数据链路层地址对应参数;
相应地,所述运算单元605还包括:对所述参数通过第一预置规则进行运算。
以上实施例可以看出,由于接收的数据报文使用发送方内嵌安全信息的数据链路层地址作为源地址,可提取该数据报文中的内嵌安全信息的数据链路层地址,并且可通过该内嵌安全信息的数据链路层地址对应参数进行运算,当所述运算结果与所述数据链路层地址对应时,则认为所述数据链路层地址为发送方所有。因此,可获知发送数据报文的数据链路层地址是否为发送方所有,从而提高数据链路层数据传输的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种验证数据链路层地址与其发送方关系的方法、系统及其装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (22)
1、一种验证数据链路层地址与其发送方关系的方法,其特征在于,包括:
接收报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址;
提取所述数据链路层地址;
对数据链路层地址对应参数通过第一预置规则进行运算,得到运算结果,所述数据链路层地址对应参数为生成所述数据链路层地址过程中,所用的所有实际参数值的合集;
当所述运算结果与所述数据链路层地址对应时,则所述数据链路层地址为所述发送方所有。
2、根据权利要求1所述的方法,其特征在于,所述报文中还包括:数据链路层地址对应参数;
相应地,所述对数据链路层地址对应参数通过第一预置规则进行运算具体包括:提取所述报文中的数据链路层地址对应参数,对所述参数通过第一预置规则进行运算。
3、根据权利要求1或2所述的方法,其特征在于,所述报文由所述发送方进行签名;
相应地,
所述接收报文后具体包括:
对所述报文的签名数据进行验证。
4、根据权利要求3所述的方法,其特征在于,所述数据链路层地址的生成方法为:
发送方预置生成数据链路层地址的安全信息;
发送方对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及数据链路层地址对应参数。
5、根据权利要求1或2所述的方法,其特征在于,所述数据链路层地址的生成方法为:
发送方预置生成数据链路层地址的安全信息;
发送方对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及数据链路层地址对应参数。
6、根据权利要求4所述的方法,其特征在于,所述第一预置规则和所述第二预置规则相同。
7、根据权利要求5所述的方法,其特征在于,所述第一预置规则和所述第二预置规则相同。
8、根据权利要求4所述的方法,其特征在于,所述安全信息包括发送方的公钥、私钥对;或者所述安全信息包括发送方与接收方的对称密钥。
9、根据权利要求5所述的方法,其特征在于,所述安全信息包括发送方的公钥、私钥对;或者所述安全信息包括发送方与接收方的对称密钥。
10、根据权利要求3所述的方法,其特征在于,所述的所述报文由所述发送方进行签名具体包括:所述报文由所述发送方的私钥进行签名;
相应地,
所述对所述报文的签名数据进行验证具体包括:通过所述发送方的公钥对所述报文进行验证。
11、根据权利要求3所述的方法,其特征在于,所述的所述报文由所述发送方进行签名具体包括:所述报文由所述发送方的对称密钥进行签名;
相应地,
所述对所述报文的签名数据进行验证具体包括:通过所述发送方的对称密钥,对所述报文进行验证。
12、一种网络交互系统,其特征在于,包括:
发送端,包括:
发送单元,用于发送报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址;
接收端,包括:
接收单元,用于接收所述报文;
获取单元,用于从所述报文中获取所述发送方的数据链路层地址;
运算单元,用于对所述发送方的数据链路层地址参数通过第一预置规则进行运算,得到运算结果;
地址验证单元,用于比较所述运算结果与所述发送方的数据链路层地址对应时,验证所述数据链路层地址为所述发送方所有。
13、根据权利要求12所述的系统,其特征在于,所述发送端进一步包括:
签名单元,用于对所述报文进行签名;
相应地,
所述接收端进一步包括:
签名验证单元,用于对所述报文的签名数据进行验证。
14、根据权利要求12或13所述的系统,其特征在于,所述发送端进一步包括:
预置单元,用于预置生成数据链路层地址的安全信息;
生成单元,用于对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及所述数据链路层地址对应参数。
15、根据权利要求12所述的系统,其特征在于,所述发送端进一步包括:信息添加单元,用于将数据链路层地址对应参数添加到所述报文中;
相应地,获取单元还包括:提取所述报文中的数据链路层地址对应参数;运算单元还包括:对所述参数通过第一预置规则进行运算。
16、一种发送装置,其特征在于,包括:
发送单元,用于发送报文,所述报文使用发送方内嵌安全信息的数据链路层地址作为源地址。
17、根据权利要求16所述的发送装置,其特征在于,所述装置进一步包括:
签名单元,用于对所述报文进行签名。
18、根据权利要求16所述的发送装置,其特征在于,所述发送端进一步包括:信息添加单元,用于将数据链路层地址对应参数添加到所述报文中。
19、根据权利要求17或18所述的装置,其特征在于,所述装置进一步包括:
预置单元,用于预置生成数据链路层地址的安全信息;
生成单元,用于对所述安全信息通过第二预置规则进行运算,生成数据链路层地址及所述数据链路层地址对应参数。
20、一种接收装置,其特征在于,包括:
接收单元,用于接收报文;
获取单元,用于从所述报文中获取所述发送方的数据链路层地址;
运算单元,用于对所述发送方的数据链路层地址参数通过第一预置规则进行运算,得到运算结果;
地址验证单元,用于比较所述运算结果与所述发送方的数据链路层地址对应时,验证所述数据链路层地址为所述发送方所有。
21、根据权利要求20所述的接收装置,其特征在于,所述装置进一步包括:
签名验证单元,用于对所述报文的签名数据进行验证。
22、根据权利要求20所述的接收装置,其特征在于,所述获取单元还包括:提取所述报文中的数据链路层地址对应参数;
相应地,所述运算单元还包括:对所述参数通过第一预置规则进行运算。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710149993.9A CN101399814B (zh) | 2007-09-30 | 2007-09-30 | 验证数据链路层地址与其发送方关系的方法、系统及装置 |
| PCT/CN2008/072562 WO2009043304A1 (fr) | 2007-09-30 | 2008-09-27 | Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710149993.9A CN101399814B (zh) | 2007-09-30 | 2007-09-30 | 验证数据链路层地址与其发送方关系的方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101399814A true CN101399814A (zh) | 2009-04-01 |
| CN101399814B CN101399814B (zh) | 2012-08-08 |
Family
ID=40518069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710149993.9A Expired - Fee Related CN101399814B (zh) | 2007-09-30 | 2007-09-30 | 验证数据链路层地址与其发送方关系的方法、系统及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101399814B (zh) |
| WO (1) | WO2009043304A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103840984A (zh) * | 2014-02-28 | 2014-06-04 | 杭州华三通信技术有限公司 | 检测无网管型以太网交换机配置文件冲突的方法和装置 |
| CN105939402A (zh) * | 2016-03-03 | 2016-09-14 | 杭州迪普科技有限公司 | Mac表项的获取方法及装置 |
| CN107005430A (zh) * | 2015-07-22 | 2017-08-01 | 华为技术有限公司 | 一种基于数据链路层的通信方法、设备和系统 |
| CN115292624A (zh) * | 2022-10-08 | 2022-11-04 | 成都同步新创科技股份有限公司 | 基于http协议的通用报文处理方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103618678A (zh) * | 2013-11-18 | 2014-03-05 | 北京星网锐捷网络技术有限公司 | 自适应多链路聚合的方法、装置及系统 |
| CN114025001A (zh) * | 2021-10-25 | 2022-02-08 | 安庆师范大学 | 一种基于云服务的席卡信息传输控制系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2811498B1 (fr) * | 2000-07-07 | 2002-12-06 | Matra Nortel Communications | Procede d'etablissement de communications dans un systeme a commutation de paquets, et passerelle de media pour la mise en oeuvre du procede |
| US7380011B2 (en) * | 2003-10-01 | 2008-05-27 | Santera Systems, Inc. | Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway |
| JP2006129355A (ja) * | 2004-11-01 | 2006-05-18 | Internatl Business Mach Corp <Ibm> | 情報処理装置、データ伝送システム、データ伝送方法、および該データ伝送方法を情報処理装置に対して実行させるためのプログラム |
-
2007
- 2007-09-30 CN CN200710149993.9A patent/CN101399814B/zh not_active Expired - Fee Related
-
2008
- 2008-09-27 WO PCT/CN2008/072562 patent/WO2009043304A1/zh active Application Filing
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103840984A (zh) * | 2014-02-28 | 2014-06-04 | 杭州华三通信技术有限公司 | 检测无网管型以太网交换机配置文件冲突的方法和装置 |
| CN107005430A (zh) * | 2015-07-22 | 2017-08-01 | 华为技术有限公司 | 一种基于数据链路层的通信方法、设备和系统 |
| US10560378B2 (en) | 2015-07-22 | 2020-02-11 | Huawei Technologies Co., Ltd. | Data link layer-based communication method, device, and system |
| CN107005430B (zh) * | 2015-07-22 | 2020-03-31 | 华为技术有限公司 | 一种基于数据链路层的通信方法、设备和系统 |
| US11153207B2 (en) | 2015-07-22 | 2021-10-19 | Huawei Technologies Co., Ltd. | Data link layer-based communication method, device, and system |
| CN105939402A (zh) * | 2016-03-03 | 2016-09-14 | 杭州迪普科技有限公司 | Mac表项的获取方法及装置 |
| CN115292624A (zh) * | 2022-10-08 | 2022-11-04 | 成都同步新创科技股份有限公司 | 基于http协议的通用报文处理方法及装置 |
| CN115292624B (zh) * | 2022-10-08 | 2023-08-04 | 成都同步新创科技股份有限公司 | 基于http协议的通用报文处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101399814B (zh) | 2012-08-08 |
| WO2009043304A1 (fr) | 2009-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AlSa'deh et al. | Secure neighbor discovery: Review, challenges, perspectives, and recommendations | |
| US8082578B2 (en) | Intelligent firewall | |
| CN103297437B (zh) | 一种移动智能终端安全访问服务器的方法 | |
| JP4347335B2 (ja) | ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 | |
| CN101690082B (zh) | 用于为主机节点防御流氓路由器的安全邻居发现路由器 | |
| CN101399814B (zh) | 验证数据链路层地址与其发送方关系的方法、系统及装置 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| CN111988289B (zh) | Epa工业控制网络安全测试系统及方法 | |
| CN105207778A (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| Srinath et al. | Detection and Prevention of ARP spoofing using Centralized Server | |
| Jiang et al. | Secure DHCPv6 Using CGAs | |
| CN114389835A (zh) | 一种IPv6选项显式源地址加密安全验证网关及验证方法 | |
| Guangxue et al. | A quick CGA generation method | |
| Koyama et al. | SOME/IP intrusion detection system using real-time and retroactive anomaly detection | |
| KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| Jian et al. | Internet of things (IOT) cybersecurity based on the hybrid cryptosystem | |
| CN111416887A (zh) | 地址检测的方法、装置、交换机及存储介质 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| CN102769621B (zh) | 一种面向真实用户身份的主机移动方法 | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| CN110401646B (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
| CN114978519A (zh) | 报文发送方法、签名信息的生成方法及设备 | |
| KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
| Bharti et al. | Prevention of Session Hijacking and IP Spoofing With Sensor Nodes and Cryptographic Approach | |
| CN105743647B (zh) | 空间信息网跨域的广播认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180426 Address after: California, USA Patentee after: Global innovation polymerization LLC Address before: London, England Patentee before: GW partnership Co.,Ltd. Effective date of registration: 20180426 Address after: London, England Patentee after: GW partnership Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120808 Termination date: 20210930 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |