CN102014174B - 网络接入方法及网络设备 - Google Patents
网络接入方法及网络设备 Download PDFInfo
- Publication number
- CN102014174B CN102014174B CN201010547191.5A CN201010547191A CN102014174B CN 102014174 B CN102014174 B CN 102014174B CN 201010547191 A CN201010547191 A CN 201010547191A CN 102014174 B CN102014174 B CN 102014174B
- Authority
- CN
- China
- Prior art keywords
- address
- network equipment
- user
- message
- user data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种报文转发方法及网络设备,该方法包括:网络设备接收到来自认证用户的待转发的报文;网络设备获取待转发的报文中的源地址和目的地址;网络设备确定预先建立的用户数据表中包括与源地址匹配的第一地址数据;网络设备确定用户数据表中包括与目的地址匹配的第二地址数据;网络设备转发待转发的报文。本发明可以保证网络安全。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种网络接入方法及网络设备。
背景技术
网络环境日趋复杂,计算机容易受到针对链路层和网络层的攻击和欺骗,网络安全是所有网络设备制造商所必须考虑的。
IEEE提出的Port-Based Network Access Control,即802.1X解决方案作为一种局域网接入方法被广泛采用。802.1X利用IEEE 802局域网物理接入特点,提供了一种接入局域网的认证、授权等方案。
802.1X协议起源于802.11协议,该协议的初衷是为了解决无线局域网用户的接入认证问题。在IEEE 802LAN所定义的局域网环境中,网络用户无需获得授权即可网络。802.1X协议提供了一种连接到局域网的认证机制,网络用户只有通过该协议认证才能够获得接入网络的权利。
但是,802.1X技术是一种“认证后不管”的技术,即,用户认证通过并接入网络之后,网络设备在转发报文的过程中不再去判断该用户是否合法,这会给网络安全带来隐患。
发明内容
针对相关技术中用户认证通过并接入网络之后,网络设备在转发报文的过程中不再判断该用户是否合法的问题而提出本发明,为此,本发明的主要目的在于提供一种报文转发方法及网络设备,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种报文转发方法。
根据本发明的报文转发方法包括:网络设备接收到来自认证用户的待转发的报文;网络设备获取待转发的报文中的源地址和目的地址;网络设备确定预先建立的用户数据表中包括与源地址匹配的第一地址数据;网络设备确定用户数据表中包括与目的地址匹配的第二地址数据;网络设备转发待转发的报文。
进一步地,网络设备确定预先建立的用户数据表中包括与源地址匹配的第一地址数据包括:网络设备使用源地址,在用户数据表中查找是否存在匹配的第一地址数据;如果判断结果为是,则确定预先建立的用户数据表中包括与源地址匹配的第一地址数据。
进一步地,网络设备确定用户数据表中包括与目的地址匹配的第二地址数据包括:网络设备使用目的地址,在用户数据表中查找是否存在匹配的第二地址数据;如果判断结果为是,则确定用户数据表中包括与目的地址匹配的第二地址数据。
进一步地,如果判断结果为是,上述方法还包括:判断第一地址数据或第二地址数据对应的用户是否处于激活状态;如果判断结果为否,则丢弃待转发的报文。
进一步地,如果判断结果为是,上述方法还包括:判断第一地址数据或第二地址数据是否包含特殊处理标志位,其中特殊处理标志位用于指示对待转发的报文进行特殊处理;如果判断结果为是,则对待转发的报文进行与特殊处理标志位对应的处理。
进一步地,如果判断结果为否,则丢弃待转发的报文。
进一步地,在网络设备获取待转发的报文中的源地址和目的地址之前,上述方法还包括:网络设备在用户数据表中配置用户名、密码和地址池;网络设备接收到来自用户的用户名和密码;网络设备根据用户名和密码,确定用户通过认证;网络设备从地址池中为用户分配源地址。
进一步地,源地址包括以下至少之一:源MAC、源IP、端口号、vlan ID;目的地址包括以下至少之一:目的MAC、目的IP。
进一步地,报文包括以下之一:二层单播报文、三层单播报文、ARP报文。
为了实现上述目的,根据本发明的另一个方面,提供了一种网络设备。
根据本发明的网络设备包括:接收模块,用于接收来自认证用户的待转发的报文;获取模块,用于获取待转发的报文中的源地址和目的地址;第一确定模块,用于确定预先建立的用户数据表中包括与源地址匹配的第一地址数据;第二确定模块,用于确定用户数据表中包括与目的地址匹配的第二地址数据;转发模块,用于转发待转发的报文。
通过本发明,采用网络设备在转发报文的过程中均对用户的源地址与目标地址进行匹配,解决了相关技术中用户认证通过并接入网络之后,网络设备在转发报文的过程中不再判断该用户是否合法的问题,进而可以保证网络安全。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的报文转发方法的流程图;
图2是根据本发明实施例的简单应用场景的示意图;
图3是根据本发明实施例的用户接入的流程图;
图4是根据本发明实施例的报文处理的流程图;
图5是根据本发明实施例的网络设备的结构框图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
根据本发明的实施例,提供了一种报文转发方法,图1是根据本发明实施例的报文转发方法的流程图,如图1所示,包括如下的步骤S102至步骤S110。
步骤S102,网络设备接收到来自认证用户的待转发的报文。
步骤S104,网络设备获取待转发的报文中的源地址和目的地址。
步骤S106,网络设备确定预先建立的用户数据表中包括与源地址匹配的第一地址数据。
步骤S108,网络设备确定用户数据表中包括与目的地址匹配的第二地址数据。
步骤S110,网络设备转发待转发的报文。
相关技术中,用户认证通过并接入网络之后,网络设备在转发报文的过程中不再去判断该用户是否合法。本发明是实例中,网络设备在转发报文的过程中均对用户的源地址与目标地址进行匹配,从而可以保证该用户是合法用户,进而可以保证网络安全。
优选的,网络设备确定预先建立的用户数据表中包括与源地址匹配的第一地址数据包括:网络设备使用源地址,在用户数据表中查找是否存在匹配的第一地址数据;如果查找结果为是,则确定预先建立的用户数据表中包括与源地址匹配的第一地址数据。
优选的,网络设备确定用户数据表中包括与目的地址匹配的第二地址数据包括:网络设备使用目的地址,在用户数据表中查找是否存在匹配的第二地址数据;如果查找结果为是,则确定用户数据表中包括与目的地址匹配的第二地址数据。
优选的,如果查找结果为是,上述方法还包括:判断第一地址数据或第二地址数据对应的用户是否处于激活状态;如果判断结果为否,则丢弃待转发的报文。
优选的,如果查找结果为是,上述方法还包括:判断第一地址数据或第二地址数据是否包含特殊处理标志位,其中特殊处理标志位用于指示对待转发的报文进行特殊处理;如果判断结果为是,则对待转发的报文进行与特殊处理标志位对应的处理。
本优选实施例中,可以根据需求对特定源地址或者目的地址的报文进行特殊处理。同时,为了实现该特殊处理,在用户数据表项增加了“操作”表项,主要是根据源地址、目的地址的不同进行相应的操作。
优选的,如果查找结果为否,则丢弃待转发的报文。
优选的,在网络设备获取待转发的报文中的源地址和目的地址之前,上述方法还包括:网络设备在用户数据表中配置用户名、密码和地址池;网络设备接收到来自用户的用户名和密码;网络设备根据用户名和密码,确定用户通过认证;网络设备从地址池中为用户分配源地址。
具体的,网络设备创建802.1X用户数据库和IP地址池,并且实现二者之间的关联。然后,当用户通过802.1X的端口认证,根据相应算法为通过802.1X认证的用户分配一个IP地址实现绑定,并建立MAC地址、IP地址、端口、vlan等组成的用户数据表项。当用户通过DHCP协议获得IP地址后,该表项处于激活状态。
优选的,源地址包括以下至少之一:源MAC、源IP、端口号、vlan ID;目的地址包括以下至少之一:目的MAC、目的IP。
需要说明的是,源地址、目的地址还可以包括其它能够有效说明报文的源和目的的相关信息。
优选的,报文包括以下之一:二层单播报文、三层单播报文、ARP报文。
本发明可以根据实际需要,对不同报文的进行不同处理。下面分别对其进行描述。
①对于二层单播报文、三层单播报文,分别与用户数据表项进行源地址、目的地址的匹配,只有源地址和目的地址均匹配,才按照用户数据表项进行转发,否则,将报文直接丢弃。
②对于ARP报文,如果为ARP请求报文,则将源地址与用户数据表项进行匹配,如果无匹配表项,则直接将该报文丢弃;如果匹配,再以请求的IP地址为索引在用户数据表中进行匹配,如果有匹配表项,则根据表项进行ARP应答,否则将给ARP请求丢弃。
③如果为ARP应答报文,则直接将该报文丢弃。
本发明利用802.1X和DHCP技术,建立一个可信任的用户数据表,以该信任的表项为基础,对报文的源地址(包括源MAC和源IP)和目的地址(报文目的MAC和目的IP)检测,以及对ARP报文的嗅探,提高网络安全。
下面将结合实例对本发明实施例的实现过程进行详细描述。
图2是根据本发明实施例的简单应用场景的示意图,如图2所示,普通用户通过网络设备接入网络,本发明的目的就是实现用户的安全接入,并且在接入后进行报文控制。
表1是IP地址池表,如表1所示,可以配置DHCP的IP地址池名称、配置所属网络地址范围,对于静态绑定表和租期时可选配置。如果需要对特定MAC进行绑定,可以进行手工配置。租期是根据需要进行配置。同时,需要支持DHCP相关选项。图3只设定了几个关键的参数,可以根据具体情况和需要对表项进行扩充。
表1IP地址池表
举例说明,在表1中,配置了一个名称为ZTE的DHCP地址池,网络范围为10.0.0.0/8,为MAC为0023.1234.1234的用户静态绑定10.0.0.1的IP地址,租期为1天1个小时1分钟1秒。
表2是802.1X用户表,如表2所示,可以创建本地用户名,并为其配置密码、所属vlan、从哪个port接入、用户MAC地址、绑定地址池以及用户IP租期等。其中,用户名、密码和绑定地址池是必须配置的,其他表项可以有选择性配置。例如:规定用户必须从某个vlan、port、MAC上线,则对其进行相应配置。
表2802.1X用户表
举例说明,在图4中,创建一个用户名为User1、密码为123456的用户,属于Group1,需要从ZTE地址池中分配IP地址。该用户的可以从任意vlan、port接入,无需匹配MAC,租期根据地址池中的租期设置。可以创建一个用户组,通过对用户组参数配置,实现对该组内用户的批量参数配置。
图3是根据本发明实施例的用户接入的流程图,如图3所示,包括如下的步骤S302至步骤S306。
步骤S302,用户通过专业客户端,输入相关信息向设备发起接入请求,用户信息包括用户名和密码等信息。
步骤S304,网络设备根据用户输入的用户信息进行认证。目前,认证信息匹配主要有两种方式:网络设备本地认证和服务器远程认证。如果输入的用户信息与预先设定的用户信息一致,则用户通过认证。
步骤S306,用户通过认证后,触发网络设备为其分配相应的IP地址,该IP地址是与该用户或者该用户组相关联的IP地址池通过某些算法分配的IP。用户通过端口认证,并且获得合法IP地址后,则允许用户接入并建立用户数据表项。相对来说,该用户数据表项是可靠的。
表3是用户数据表,如表3所示,用户数据表项需要在通过802.1X认证和获得IP地址后建立,该用户数据表项在认证有效期内或者IP租期内有效。当用户由于某种原因下线或者IP租期到期,则应该删除该用户数据表项。如果用户需要再次接入网络,则需要重新进行认证、网络设备为期绑定IP,建立用户数据表项。此时,该用户表项处于未激活状态。
表3用户数据表
用户名 | 密码 | MAC | IP | Port | Vlan | Group | 状态 | Lease | |
0/1 |
当用户端发起DHCP的请求报文时,网络设备首先对DHCP报文进行解析,并提取DHCP的源地址信息与尚未激活的用户数据表项匹配。如果没有相关匹配表项,则不对DHCP报文进一步处理,如果有匹配表项则按照用户数据表项中的IP地址进行应答,完成和用户端的DHCP交互过程。此时,用户数据表项处于激活状态。
对于非静态绑定的用户数据表,如果用户没有通过802.1X认证,则不为用户分配IP地址,更不会建立用户数据表项。对于管理员静态绑定的用户数据表,当手动绑定完成后,该表项即为激活状态,用户只需按照相应的绑定条件静态配置IP地址即可,无需进行802.1X认证。
图4是根据本发明实施例的报文处理的流程图,包括如下的步骤S402至步骤S420。
步骤S402,当用户的报文进入网络设备后,首先对报文进行解析和校验,以实现对报文的合法性检查和分类处理。
经过报文分析,该报文为IP单播报文或者二层单播报文的处理流程,
当进入网络设备的报文经过步骤S402报文解析是ARP报文,则交付步骤S410作进一步处理。
步骤S404,匹配源MAC、源IP、端口号、vlan ID等源地址是否与用户数据表项一致,若不一致,则直接丢弃;若一致,检查用户数据表项是否处于激活状态,是否有特殊处理标志位等,根据相关标志为进程处理。如果有特殊处理标志位,交付步骤S416作进一步处理。
步骤S406,源地址与用户数据表项一致,并且处于激活状态和无特殊处理,则匹配目的MAC或目的IP等目的地址信息,若无匹配条目,则将该报文丢弃;如有,判断目的地址信息是否处于激活状态且无特殊处理。如果有特殊处理标志位,交付步骤S416作进一步处理。
步骤S408,源地址和目的地址在用户数据表中并处于激活状态和无特殊处理,需要进行转发。此时,只需按照用户数据表项中目的地址的端口和vlan进行转发。
步骤S410,ARP报文处理模块进行ARP报文类型的判断,如果该ARP报文为应答报文,则直接丢弃。
如果该报文是ARP请求报文,则匹配ARP的发送者的MAC、IP、port、vlan ID等源地址信息是否与用户数据表一致,如果用户数据表项中无匹配表目,则直接丢弃;如果能够匹配到相应数据表项,则检查是否处于激活状态,如果处于非激活状态则将该报文丢弃,如果有特殊处理要求则交付步骤S416进行处理。如果该表项处于激活状态并且无特殊处理要求,则交付步骤S412处理。
步骤S412,对ARP报文所要请求的目的地址进行匹配,若没有目的地址的相关表项,则直接丢弃该报文,若有则确认相应表项是否处于激活状态和有无特殊处理要求。如果该表项处于非激活状态,则直接将该报文丢弃,若处于激活状态且有特殊处理要求,则交付步骤S416进行特殊处理;如果处于激活状态但无特殊处理要求,则进入步骤S414。
注意,如果该报文为免费ARP,网络设备只需以发送者的源地址信息在用户数据表中查找,如果有匹配表项且处于激活状态和无特殊处理,说明该表项正常,无需进行处理;如果无相关匹配表项,或者相关表项处于非激活状态则告知ARP冲突;如果用户数据表项处于激活状态且有特殊处理要求,则交付步骤S416作进一步处理。
步骤S414,按照该用户数据表项直接对该ARP请求进行回答。
步骤S416,对特殊处理报文的处理。包括对特殊报文的处理和对报文的特殊处理。当对于特殊报文,如OSPF等路由协议报文等,可进行特殊处理。对于一般报文的具体处理需要根据具体需要和情况进行配置。
步骤S418,对需要特殊处理报文的匹配。可以根据源或者目的IP、MAC、端口、vlan等,对报文进行规则匹配。例如:可以对源地址、目的地址、或者仅对端口等进行规则匹配。
步骤S420,对已经匹配规则的进行相应处理。
例如:可以配置这样的规则:对于来自端口1的源MAC为0023.1234.1234、源IP是1.1.1.1的报文直接重定向到端口x。
根据本发明的实施例,还提供了一种网络设备,图5是根据本发明实施例的网络设备的结构框图,包括接收模块51,获取模块52,第一确定模块53,第二确定模块54,转发模块55。下面对其结构进行详细描述。
接收模块51,用于接收来自认证用户的待转发的报文;获取模块52,连接至接收模块51,用于获取接收模块51接收的待转发的报文中的源地址和目的地址;第一确定模块53,连接至获取模块52,用于确定预先建立的用户数据表中包括与获取模块52获取的源地址匹配的第一地址数据;第二确定模块54,连接至获取模块52,用于确定用户数据表中包括与获取模块52获取的目的地址匹配的第二地址数据;
转发模块55,连接至第一确定模块53和第二确定模块54,用于在第一确定模块53确定预先建立的用户数据表中包括与获取模块52获取的源地址匹配的第一地址数据,并且第二确定模块54确定用户数据表中包括与获取模块52获取的目的地址匹配的第二地址数据时,转发待转发的报文。
相关技术中,用户认证通过并接入网络之后,网络设备在转发报文的过程中不再去判断该用户是否合法。本发明是实例中,网络设备在转发报文的过程中均对用户的源地址与目标地址进行匹配,从而可以保证该用户是合法用户,进而可以保证网络安全。
综上所述,根据本发明的上述实施例,提供了一种报文转发方法及网络设备。采用网络设备在转发报文的过程中均对用户的源地址与目标地址进行匹配,解决了相关技术中用户认证通过并接入网络之后,网络设备在转发报文的过程中不再判断该用户是否合法的问题,利用本发明,可以有效防止二层、三层攻击,并提高网络安全。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种报文转发方法,其特征在于,包括:
网络设备接收到来自认证用户的待转发的报文;
所述网络设备获取所述待转发的报文中的源地址和目的地址;
所述网络设备确定预先建立的用户数据表中包括与所述源地址匹配的第一地址数据;
所述网络设备确定所述用户数据表中包括与所述目的地址匹配的第二地址数据;
所述网络设备转发所述待转发的报文;
其中,在所述网络设备获取所述待转发的报文中的所述源地址和所述目的地址之前,所述方法还包括:所述网络设备在所述用户数据表中配置用户名、密码和地址池;所述网络设备接收到来自用户的用户名和密码;所述网络设备根据所述用户名和所述密码,确定所述用户通过认证;所述网络设备从所述地址池中为所述用户分配所述源地址;具体的,网络设备创建802.1X用户数据库和IP地址池,并且实现二者之间的关联,当用户通过802.1X的端口认证,根据相应算法为通过802.1X认证的用户分配一个IP地址实现绑定,并建立MAC地址、IP地址、端口、vlan组成的用户数据表项;当用户通过DHCP协议获得IP地址后,该表项处于激活状态。
2.根据权利要求1所述的方法,其特征在于,所述网络设备确定所述预先建立的用户数据表中包括与所述源地址匹配的所述第一地址数据包括:
所述网络设备使用所述源地址,在所述用户数据表中查找是否存在匹配的所述第一地址数据;
如果判断结果为是,则确定所述预先建立的用户数据表中包括与所述源地址匹配的所述第一地址数据。
3.根据权利要求1所述的方法,其特征在于,所述网络设备确定所述用户数据表中包括与所述目的地址匹配的第二地址数据包括:
所述网络设备使用所述目的地址,在所述用户数据表中查找是否存在匹配的所述第二地址数据;
如果判断结果为是,则确定所述用户数据表中包括与所述目的地址匹配的所述第二地址数据。
4.根据权利要求2或3所述的方法,其特征在于,如果判断结果为是,所述方法还包括:
判断所述第一地址数据或所述第二地址数据对应的用户是否处于激活状态;
如果判断结果为否,则丢弃所述待转发的报文。
5.根据权利要求2或3所述的方法,其特征在于,如果判断结果为是,所述方法还包括:
判断所述第一地址数据或所述第二地址数据是否包含特殊处理标志位,其中所述特殊处理标志位用于指示对所述待转发的报文进行特殊处理;
如果判断结果为是,则对所述待转发的报文进行与所述特殊处理标志位对应的处理。
6.根据权利要求2或3所述的方法,其特征在于,如果判断结果为否,则丢弃所述待转发的报文。
7.根据权利要求1所述的方法,其特征在于,
所述源地址包括以下至少之一:
源媒体接入控制MAC、源互联网协议IP、端口号、虚拟局域网标识vlan ID;
所述目的地址包括以下至少之一:
目的MAC、目的IP。
8.根据权利要求1所述的方法,其特征在于,所述报文包括以下之一:
二层单播报文、三层单播报文、ARP报文。
9.一种网络设备,其特征在于,包括:
接收模块,用于接收来自认证用户的待转发的报文;
获取模块,用于获取所述待转发的报文中的源地址和目的地址;
第一确定模块,用于确定预先建立的用户数据表中包括与所述源地址匹配的第一地址数据;
第二确定模块,用于确定所述用户数据表中包括与所述目的地址匹配的第二地址数据;
转发模块,用于转发所述待转发的报文;
其中,在获取所述待转发的报文中的所述源地址和所述目的地址之前,所述网络设备在所述用户数据表中配置用户名、密码和地址池;所述网络设备接收到来自用户的用户名和密码;所述网络设备根据所述用户名和所述密码,确定所述用户通过认证;所述网络设备从所述地址池中为所述用户分配所述源地址;具体的,网络设备创建802.1X用户数据库和IP地址池,并且实现二者之间的关联,当用户通过802.1X的端口认证,根据相应算法为通过802.1X认证的用户分配一个IP地址实现绑定,并建立MAC地址、IP地址、端口、vlan组成的用户数据表项;当用户通过DHCP协议获得IP地址后,该表项处于激活状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010547191.5A CN102014174B (zh) | 2010-11-16 | 2010-11-16 | 网络接入方法及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010547191.5A CN102014174B (zh) | 2010-11-16 | 2010-11-16 | 网络接入方法及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102014174A CN102014174A (zh) | 2011-04-13 |
CN102014174B true CN102014174B (zh) | 2014-09-10 |
Family
ID=43844181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010547191.5A Active CN102014174B (zh) | 2010-11-16 | 2010-11-16 | 网络接入方法及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102014174B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105472054B (zh) * | 2014-09-05 | 2019-05-24 | 华为技术有限公司 | 一种报文发送方法及接入设备 |
CN105681255A (zh) * | 2014-11-18 | 2016-06-15 | 中兴通讯股份有限公司 | 网元间媒体流数据发送、接收方法及发送、接收装置 |
CN108156092B (zh) * | 2017-12-05 | 2021-07-23 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
CN110636083B (zh) * | 2019-11-07 | 2021-06-18 | 迈普通信技术股份有限公司 | 网络地址复用方法、装置、网络设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1474563A (zh) * | 2002-08-06 | 2004-02-11 | ��Ϊ��������˾ | 网络通信中组播报文的转发方法 |
CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
CN101577723A (zh) * | 2009-06-03 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防止邻居发现协议报文攻击的方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096273B1 (en) * | 2001-04-25 | 2006-08-22 | Cisco Technology, Inc. | DHCP over mobile IP |
CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
US8745253B2 (en) * | 2006-03-08 | 2014-06-03 | Alcatel Lucent | Triggering DHCP actions from IEEE 802.1x state changes |
CN1889430A (zh) * | 2006-06-21 | 2007-01-03 | 南京联创网络科技有限公司 | 基于802.1x的终端宽带接入的安全认证控制方法 |
CN101370019B (zh) * | 2008-09-26 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
-
2010
- 2010-11-16 CN CN201010547191.5A patent/CN102014174B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1474563A (zh) * | 2002-08-06 | 2004-02-11 | ��Ϊ��������˾ | 网络通信中组播报文的转发方法 |
CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
CN101577723A (zh) * | 2009-06-03 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防止邻居发现协议报文攻击的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102014174A (zh) | 2011-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10257161B2 (en) | Using neighbor discovery to create trust information for other applications | |
US7342906B1 (en) | Distributed wireless network security system | |
US10708780B2 (en) | Registration of an internet of things (IoT) device using a physically uncloneable function | |
US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
EP1994673B1 (en) | Role aware network security enforcement | |
JP5372711B2 (ja) | 複数認証サーバを有効利用する装置、システム | |
US8139521B2 (en) | Wireless nodes with active authentication and associated methods | |
US8209529B2 (en) | Authentication system, network line concentrator, authentication method and authentication program | |
US9215234B2 (en) | Security actions based on client identity databases | |
CN101136746A (zh) | 一种认证方法及系统 | |
JP2008153905A (ja) | ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 | |
CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
US20120240209A1 (en) | Secure information distribution between nodes (network devices) | |
WO2012075873A1 (zh) | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 | |
US20060112269A1 (en) | Level-specific authentication system and method in home network | |
US7788707B1 (en) | Self-organized network setup | |
CN102014174B (zh) | 网络接入方法及网络设备 | |
CN1984077A (zh) | 移动设备到ip通信网络的接入控制 | |
US20050129236A1 (en) | Apparatus and method for data source authentication for multicast security | |
JP5869552B2 (ja) | 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス | |
JP2007018081A (ja) | ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体 | |
WO2014197128A1 (en) | Methods and systems for single sign-on while protecting user privacy | |
US7904940B1 (en) | Automated environmental policy awareness | |
CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 | |
US11212279B1 (en) | MAC address theft detection in a distributed link layer switched network based on trust level comparison |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |