CN106487742B - 用于验证源地址有效性的方法及装置 - Google Patents
用于验证源地址有效性的方法及装置 Download PDFInfo
- Publication number
- CN106487742B CN106487742B CN201510524597.4A CN201510524597A CN106487742B CN 106487742 B CN106487742 B CN 106487742B CN 201510524597 A CN201510524597 A CN 201510524597A CN 106487742 B CN106487742 B CN 106487742B
- Authority
- CN
- China
- Prior art keywords
- terminal
- source address
- dynamic host
- host configuration
- confirmation response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 57
- 238000012790 confirmation Methods 0.000 claims abstract description 24
- 238000012795 verification Methods 0.000 claims abstract description 22
- 238000004088 simulation Methods 0.000 claims description 25
- 230000006872 improvement Effects 0.000 claims description 4
- 230000006855 networking Effects 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000015654 memory Effects 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000005291 magnetic effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供了一种用于验证源地址有效性的方法及装置。所述方法包括:响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的源地址验证提高绑定表项;在本地未保存所述终端的源地址验证提高绑定表项情况下,依据所述终端源地址模拟所述终端发送动态主机配置协议请求给动态主机配置协议服务器;响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效。本申请实现了简化组网配置情况下验证源地址有效性。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种用于验证源地址有效性的方法及装置。
背景技术
传统网络架构下,对报文中携带的终端的源地址有效性进行验证可有效防止源IP的仿冒和伪造,例如手动设置IP地址等情况。其验证原理是:由于源MAC(Media AccessControl,媒体接入控制)地址的安全性检查可以由802.11i(无线安全标准)来完成,因此可以确保MAC地址的安全有效性,验证实体针对一终端的源地址建立SAVI(Source AddressValidation Improvement,源地址验证提高)绑定表项并保存,即建立该终端的源IP地址与源MAC地址的绑定关系,后续该验证实体可基于该SAVI绑定表项来验证该源地址中的源IP地址是否有效。其中的验证实体包括:AP(Access Point,接入点)、AC(Access Control,接入控制器)等。
而在某些情况下,验证实体由于没有终端的SAVI绑定表项而无法对终端的源地址有效性进行验证。针对此情况,已有技术采用建立通道的方法,通过通道实现不同验证实体间终端的SAVI绑定表项的同步。
例如,在集中式WLAN(Wireless Local Area Networks,无线局域网络)架构(AC+FIT AP)下,AP为验证实体时:当终端第一次上线时发起DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)过程,即,向DHCP服务器申请IP地址,AP1侦听DHCP报文并生成SAVI绑定表项,同时上报给AC;当终端跨AC漫游到AP2时,AP2本地查找没有SAVI绑定表项,则需要在AC之间建立一个通道,以便AC之间同步SAVI绑定表项。
又如,在集中式WLAN架构下,AC为验证实体时:AC上侦听DHCP报文并生成SAVI绑定表项,如果终端在AC间漫游,则同样需要在AC间建立通道来同步SAVI绑定表项。
上述方法的缺点在于:由于需要在验证实体间建立用于同步SAVI绑定表项的通道,因此增加了组网复杂度,且一旦通道中断将无法同步SAVI绑定表项,则漫游地验证实体将无法对终端源地址进行验证,因此将该终端的数据报文丢弃,导致终端无法正常通信。
因此,需要发明一种新的源地址验证方案,在简化组网配置基础上验证源地址有效性。
发明内容
本申请解决的技术问题之一是提供一种用于验证源地址有效性的方法及装置,有效实现简化组网配置基础上验证源地址有效性。
根据本申请一方面的一个实施例,提供了一种用于验证源地址有效性的方法,包括:
响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的源地址验证提高绑定表项;
在本地未保存所述终端的源地址验证提高绑定表项情况下,依据所述终端源地址模拟所述终端发送动态主机配置协议请求给动态主机配置协议服务器;
响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效。
根据本申请另一方面的一个实施例,提供了一种用于验证源地址有效性的装置,包括:
判断单元,用于响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的源地址验证提高绑定表项;
模拟发送单元,用于在本地未保存所述终端的源地址验证提高绑定表项情况下,依据所述终端源地址模拟所述终端发送动态主机配置协议请求给动态主机配置协议服务器;
有效性验证单元,用于响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效。
本申请实施例在验证实体需要对终端发送的数据报文中携带的源地址有效性进行验证时,若本地未保存该终端的SAVI绑定表项,则依据数据报文中携带的源地址模拟终端发送DHCP请求给DHCP服务器,以便根据DHCP服务器返回的响应来验证所述终端的源地址的有效性。该过程不需要建立额外的通道来同步SAVI绑定表项,有效简化了组网配置,且模拟过程对终端无感知,实现了简化组网配置同时验证源地址有效性,有效保证了终端的正常通信要求。
本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本申请并不仅限于这些实施例。而是,本申请的范围是广泛的,且意在仅通过后附的权利要求限定本申请的范围。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是根据本申请一个实施例的用于验证源地址有效性的方法的流程图。
图2是根据本申请一个实施例的用于验证源地址有效性的装置的结构示意图。
图3是根据本申请另一个实施例的用于验证源地址有效性的装置的结构示意图。
图4是根据本申请另一实施例的用于验证源地址有效性的装置的结构示意图。
图5是根据本申请另一个实施例的用于验证源地址有效性的装置的结构示意图。
图6是根据本申请另一个实施例的用于验证源地址有效性的装置的结构示意图。
本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本申请并不仅限于这些实施例。而是,本申请的范围是广泛的,且意在仅通过后附的权利要求限定本申请的范围。
具体实施方式
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
应当理解的是,当一个单元被称为“连接”或“耦合”到另一单元时,其可以直接连接或耦合到所述另一单元,或者可以存在中间单元。与此相对,当一个单元被称为“直接连接”或“直接耦合”到另一单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如“处于...之间”相比于“直接处于...之间”,“与...邻近”相比于“与...直接邻近”等等)。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
下面结合附图对本申请的技术方案作进一步详细描述。
图1是根据本申请一个实施例的用于验证源地址有效性的方法的流程图,该方法用于在局域网络环境(同一DHCP服务器,或具有主备关系的双活DHCP服务器)中对终端源IP地址有效性进行验证。该方法主要包括如下步骤:
S110、响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的SAVI(源地址验证提高)绑定表项;
S120、在本地未保存所述终端的SAVI绑定表项情况下,依据所述终端源地址模拟所述终端发送DHCP请求给DHCP服务器;
S130、响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效。
为进一步理解本申请,下面对上述各步骤做进一步详细介绍。
步骤S110中所述的源地址包括:源IP地址和源MAC地址。本申请实施例的目的即为验证数据报文中携带的源地址的有效性。本申请实施例仍采用SAVI绑定表项来验证源地址的有效性,因此在接收到终端发送的携带源地址的数据报文后,判断本地是否保存有该终端的SAVI绑定表项。具体的,可以使用源地址中的源IP地址作为索引在本地保存的SAVI绑定表项中进行查找。
若本地保存有该终端的SAVI绑定表项,则表明该终端的源地址有效,为该终端转发数据报文。
若本地未保存该终端的SAVI绑定表项,则执行步骤S120,依据所述终端源地址模拟所述终端发送DHCP请求给DHCP服务器。
其中,本地未保存该终端的SAVI绑定表项的情况包括但不限于如下两种情况:
一种情况为,终端在无线局域网络(同一DHCP服务器环境,或具有主备关系的双活DHCP服务器环境)中漫游到一个新的验证实体下,且终端没有执行重新获取IP地址的DHCP过程。
另一种情况为,验证实体重启,导致重启前保存的SAVI绑定表项丢失。
本申请实施例在本地未保存终端的SAVI绑定表项情况下,依据所述终端的源地址模拟所述终端向DHCP服务器发送DHCP请求。即根据数据报文中携带的终端源地址构造DHCP请求,所构造的DHCP请求的主要字段如下:
所谓模拟终端发送DHCP请求,即,在构造的DHCP请求中将源地址设置为终端的源地址。另外,需要说明的是,在构造的DHCP请求中不携带server identifier(DHCP服务器标识)选项和requested IP address(请求的IP地址)选项。由于携带上述两个选项情况下,DHCP服务器会为该终端分配新的IP地址并记录,也就是在DHCP服务器中记录有已分配的IP地址与MAC地址的对应关系,以及已分配的IP的有效期限等信息;若不携带上述两个选项,则DHCP服务器不会为该终端分配新的IP地址,而是根据接收的DHCP请求中的CIADDR和CHADDR判断是否存在相应记录。若DHCP服务器中存在CIADDR对应的IP地址,且该IP地址在有效期内,同时CIADDR地址与CHADDR地址对应关系符合DHCP服务器中记录的IP地址与MAC地址的对应关系,则表明该CIADDR对应的IP地址有效,DHCP服务器会返回ACK(确认响应)。否则DHCP服务器返回NAK(非确认响应),或不发送任何响应。例如,DHCP服务器中没有CIADDR对应的IP地址的相关记录,或CIADDR地址与CHADDR地址对应关系不符合DHCP服务器中记录的IP地址与MAC地址的对应关系,或者CIADDR对应的IP地址已超出有效期等等。
因此,通过模拟终端发送DHCP请求给DHCP服务器,依据DHCP服务器的响应可确定该数据报文中的源地址是否有效。
步骤S130为接收到DHCP服务器返回的ACK,则确定所述终端源地址有效。也就是,在发送DHCP请求后,只要接收到DHCP服务器返回的ACK,即确定该终端源地址有效。
另一种实施例可以从发送DHCP请求给DHCP服务器开始计时,若在预设时长范围内接收到DHCP服务器返回的ACK,则确定所述终端源地址有效,否则均认为终端源地址无效,包括:预设时长范围内未接收到ACK,或接收到NAK等等。
另外,本申请实施例由于是模拟终端发送DHCP请求给DHCP服务器,为了与终端真实发送的DHCP请求区分开,可以为模拟发送的DHCP请求建立模拟记录,所述模拟记录可用于记录被模拟的终端的源地址以及模拟发送的DHCP请求的标识。后续在接收到DHCP服务器返回的响应时,可以依据响应携带的标识判断所述响应是否为模拟发送的DHCP请求的响应,所述标识例如可以为DHCP报文中的dhcp transaction id。若是模拟发送的DHCP请求的响应,则不会将该响应发送给终端,并将该模拟记录删除。若不是模拟发送的DHCP请求的响应,则将该响应发送给终端。
通过该模拟记录可将模拟发送的DHCP请求与终端发送的真实的DHCP请求区分开,做到该模拟过程对终端无感知。
本申请实施例在接收到DHCP服务器返回的确认响应后,即可确定该终端的源地址有效,则可建立并保存该终端的SAVI绑定表项,后续可直接依据该SAVI绑定表项来验证终端源地址的有效性。
需要说明的是,本申请实施例在未确定终端的源地址是否有效情况下,在步骤S110接收到终端的数据报文后,将该数据报文缓存,在接收到DHCP服务器返回的确认响应后,发送缓存的所述终端的数据报文。若未接收到DHCP服务器的确认响应或接收到NAK响应,则可将缓存的该终端的数据报文丢弃,并可通过向所述终端发送去认证报文以令所述终端断开当前网络连接,即,将所述终端踢下线。
本申请实施例还提供一种与上述用于验证源地址有效性的方法对应的用于验证源地址有效性的装置,如图2中所示为所述装置结构示意图,该装置主要包括:
判断单元210,用于响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的源地址验证提高绑定表项。
模拟发送单元220,用于在本地未保存所述终端的源地址验证提高绑定表项情况下,依据所述终端源地址模拟所述终端发送动态主机配置协议请求给动态主机配置协议服务器。
有效性验证单元230,用于响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效。
所述装置另一种实施例如图3中所示,该装置还可包括:
计时单元240,用于从发送动态主机配置协议请求给动态主机配置协议服务器开始计时。
所述有效性验证单元230被配置为:
接收到所述动态主机配置服务器返回确认响应以及返回确认响应的时间距离开始计时的时长在预设时长范围内情况下,确定所述终端源地址有效。
如图4中所示,所述装置还可包括:
模拟记录单元250,用于为模拟所述终端发送的动态主机配置协议请求建立模拟记录。
匹配单元260,用于确定所述确认响应为针对所述模拟记录中的模拟所述终端发送的动态主机配置协议请求对应的响应。
删除单元270,用于删除为模拟所述终端发送的动态主机配置协议请求建立的所述模拟记录。
如图5中所示,所述装置还包括:
绑定表项建立及保存单元280,用于在接收到所述动态主机配置服务器返回的确认响应后,建立并保存所述终端的源地址验证提高绑定表项。
如图6中所示,所述装置还包括:
缓存单元290,用于缓存所述数据报文。
发送单元2110,用于在接收到所述动态主机配置服务器返回的确认响应后,发送缓存的所述数据报文。
所述有效性验证单元230被配置为:
若未接收到所述动态主机配置服务器返回的确认响应,或者接收到所述动态主机配置服务器返回的非确认响应,则确定所述终端源地址无效;
相应的所述缓存单元290被配置为:丢弃所述终端的数据报文。以及所述发送单元2110被配置为:向所述终端发送去认证报文。
综上所述,本申请实施例在验证实体需要对终端发送的数据报文中携带的源地址有效性进行验证时,若本地未保存该终端的SAVI绑定表项,则依据数据报文中携带的源地址模拟终端发送DHCP请求给DHCP服务器,以便根据DHCP服务器返回的响应来验证所述终端的源地址的有效性。该过程不需要建立额外的通道来同步SAVI绑定表项,有效简化了组网配置,且模拟过程对终端无感知,实现了简化组网配置同时验证源地址有效性,有效保证了终端的正常通信要求。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (12)
1.一种用于验证源地址有效性的方法,其特征在于,包括:
响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的源地址验证提高绑定表项;
在本地未保存所述终端的源地址验证提高绑定表项情况下,依据所述终端源地址模拟所述终端发送动态主机配置协议请求给动态主机配置协议服务器;
响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效;
为模拟所述终端发送的动态主机配置协议请求建立模拟记录;
接收到所述动态主机配置服务器返回的确认响应后,所述方法还包括:
确定所述确认响应为针对所述模拟记录中的模拟所述终端发送的动态主机配置协议请求对应的响应;
删除为模拟所述终端发送的动态主机配置协议请求建立的所述模拟记录。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
从发送动态主机配置协议请求给动态主机配置协议服务器开始计时;
其中,当接收到所述动态主机配置服务器返回确认响应以及返回确认响应的时间距离开始计时的时长在预设时长范围内情况下,才确定所述终端源地址有效。
3.如权利要求1所述的方法,其特征在于,接收到所述动态主机配置服务器返回的确认响应后,所述方法还包括:
建立并保存所述终端的源地址验证提高绑定表项。
4.如权利要求1所述的方法,其特征在于,在本地未保存所述终端的源地址验证提高绑定表项情况下,所述方法还包括:
缓存所述数据报文;
接收到所述动态主机配置服务器返回的确认响应后,所述方法还包括:
发送缓存的所述数据报文。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
若未接收到所述动态主机配置服务器返回的确认响应,或者接收到所述动态主机配置服务器返回的非确认响应,则确定所述终端源地址无效;
丢弃缓存的所述终端的数据报文。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
向所述终端发送去认证报文。
7.一种用于验证源地址有效性的装置,其特征在于,包括:
判断单元,用于响应于接收到终端发送的携带所述终端源地址的数据报文,判断本地是否保存所述终端的源地址验证提高绑定表项;
模拟发送单元,用于在本地未保存所述终端的源地址验证提高绑定表项情况下,依据所述终端源地址模拟所述终端发送动态主机配置协议请求给动态主机配置协议服务器;
有效性验证单元,用于响应于接收到所述动态主机配置服务器返回的确认响应,确定所述终端源地址有效;
模拟记录单元,用于为模拟所述终端发送的动态主机配置协议请求建立模拟记录;
匹配单元,用于确定所述确认响应为针对所述模拟记录中的模拟所述终端发送的动态主机配置协议请求对应的响应;
删除单元,用于删除为模拟所述终端发送的动态主机配置协议请求建立的所述模拟记录。
8.如权利要求7所述的装置,其特征在于,所述装置还包括:
计时单元,用于从发送动态主机配置协议请求给动态主机配置协议服务器开始计时;
所述有效性验证单元被配置为:
接收到所述动态主机配置服务器返回确认响应,并且返回的确认响应的时间距离开始计时的时长在预设时长范围内情况下,确定所述终端源地址有效。
9.如权利要求7所述的装置,其特征在于,所述装置还包括:
绑定表项建立及保存单元,用于在接收到所述动态主机配置服务器返回的确认响应后,建立并保存所述终端的源地址验证提高绑定表项。
10.如权利要求7所述的装置,其特征在于,所述装置还包括:
缓存单元,用于缓存所述数据报文;
发送单元,用于在接收到所述动态主机配置服务器返回的确认响应后,发送缓存的所述数据报文。
11.如权利要求10所述的装置,其特征在于,所述有效性验证单元被配置为:
若未接收到所述动态主机配置服务器返回的确认响应,或者接收到所述动态主机配置服务器返回的非确认响应,则确定所述终端源地址无效;
相应的所述缓存单元被配置为:丢弃所述终端的数据报文。
12.如权利要求11所述的装置,其特征在于,所述发送单元被配置为:
向所述终端发送去认证报文。
Priority Applications (10)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510524597.4A CN106487742B (zh) | 2015-08-24 | 2015-08-24 | 用于验证源地址有效性的方法及装置 |
| TW105107430A TWI706648B (zh) | 2015-08-24 | 2016-03-10 | 用於驗證源位址有效性的方法及裝置 |
| US15/243,507 US10135784B2 (en) | 2015-08-24 | 2016-08-22 | Verifying source addresses associated with a terminal |
| CA2993282A CA2993282C (en) | 2015-08-24 | 2016-08-23 | Verifying source addresses associated with a terminal |
| BR112018001516-4A BR112018001516A2 (pt) | 2015-08-24 | 2016-08-23 | método, produto de programa de computador e sistema de verificação de endereços fonte associados a um terminal |
| EP16839993.9A EP3342128B1 (en) | 2015-08-24 | 2016-08-23 | Verifying source addresses associated with a terminal |
| JP2018503630A JP6553805B2 (ja) | 2015-08-24 | 2016-08-23 | 端末に関連付けられているソースアドレスの検証 |
| AU2016313650A AU2016313650B2 (en) | 2015-08-24 | 2016-08-23 | Verifying source addresses associated with a terminal |
| KR1020187002299A KR102018490B1 (ko) | 2015-08-24 | 2016-08-23 | 단말기와 연관된 소스 어드레스들을 검증 |
| PCT/US2016/048213 WO2017035151A1 (en) | 2015-08-24 | 2016-08-23 | Verifying source addresses associated with a terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510524597.4A CN106487742B (zh) | 2015-08-24 | 2015-08-24 | 用于验证源地址有效性的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106487742A CN106487742A (zh) | 2017-03-08 |
| CN106487742B true CN106487742B (zh) | 2020-01-03 |
Family
ID=58096232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510524597.4A Active CN106487742B (zh) | 2015-08-24 | 2015-08-24 | 用于验证源地址有效性的方法及装置 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US10135784B2 (zh) |
| EP (1) | EP3342128B1 (zh) |
| JP (1) | JP6553805B2 (zh) |
| KR (1) | KR102018490B1 (zh) |
| CN (1) | CN106487742B (zh) |
| AU (1) | AU2016313650B2 (zh) |
| BR (1) | BR112018001516A2 (zh) |
| CA (1) | CA2993282C (zh) |
| TW (1) | TWI706648B (zh) |
| WO (1) | WO2017035151A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
| CN107222856B (zh) * | 2017-06-16 | 2020-01-21 | 北京星网锐捷网络技术有限公司 | 一种在无线控制器ac间漫游的实现方法和装置 |
| US10547587B2 (en) | 2018-03-19 | 2020-01-28 | Didi Research America, Llc | Method and system for near real-time IP user mapping |
| CN108965241A (zh) * | 2018-05-28 | 2018-12-07 | 清华大学 | 基于无线局域网的源地址验证方法 |
| CN109089263B (zh) * | 2018-07-25 | 2021-07-30 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN109150895A (zh) * | 2018-09-13 | 2019-01-04 | 清华大学 | 一种软件定义网络的域内源地址的验证方法 |
| US11016793B2 (en) * | 2018-11-26 | 2021-05-25 | Red Hat, Inc. | Filtering based containerized virtual machine networking |
| CN111200611B (zh) * | 2020-01-06 | 2021-02-23 | 清华大学 | 基于边界接口等价类的域内源地址验证方法及装置 |
| CN111740961B (zh) * | 2020-05-26 | 2022-02-22 | 北京华三通信技术有限公司 | 通信方法及装置 |
| CN112688958B (zh) * | 2020-12-30 | 2023-03-21 | 联想未来通信科技(重庆)有限公司 | 一种信息处理方法及电子设备 |
| CN112929279B (zh) * | 2021-03-09 | 2021-11-30 | 清华大学 | 互联网域内源地址验证表的分布式生成方法和装置 |
| CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
| CN115002071A (zh) * | 2022-05-25 | 2022-09-02 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
| CN117201050A (zh) * | 2022-06-01 | 2023-12-08 | 华为技术有限公司 | 一种源地址验证的方法、网络设备及通信系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150582A (zh) * | 2007-10-22 | 2008-03-26 | 华为技术有限公司 | 分配配置信息的方法和设备 |
| CN101605070A (zh) * | 2009-07-10 | 2009-12-16 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
| CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
| CN102413044A (zh) * | 2011-11-16 | 2012-04-11 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US5790548A (en) | 1996-04-18 | 1998-08-04 | Bell Atlantic Network Services, Inc. | Universal access multimedia data network |
| US20030208616A1 (en) | 2002-05-01 | 2003-11-06 | Blade Software, Inc. | System and method for testing computer network access and traffic control systems |
| US20040153665A1 (en) * | 2003-02-03 | 2004-08-05 | Logan Browne | Wireless network control and protection system |
| US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7769994B2 (en) | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| JP4320603B2 (ja) * | 2004-02-26 | 2009-08-26 | 日本電気株式会社 | 加入者回線収容装置およびパケットフィルタリング方法 |
| JP2006020085A (ja) * | 2004-07-01 | 2006-01-19 | Fujitsu Ltd | ネットワークシステム、ネットワークブリッジ装置、ネットワーク管理装置およびネットワークアドレス解決方法 |
| JP2006197094A (ja) * | 2005-01-12 | 2006-07-27 | Matsushita Electric Ind Co Ltd | 通信システム |
| GB2423448B (en) | 2005-02-18 | 2007-01-10 | Ericsson Telefon Ab L M | Host identity protocol method and apparatus |
| US7929452B2 (en) * | 2005-06-30 | 2011-04-19 | Intel Corporation | Internet protocol (IP) address sharing and platform dynamic host configuration protocol (DHCP) mediator |
| CN1992736A (zh) * | 2005-12-30 | 2007-07-04 | 西门子(中国)有限公司 | Ip地址分配方法及其应用 |
| US7653063B2 (en) * | 2007-01-05 | 2010-01-26 | Cisco Technology, Inc. | Source address binding check |
| US8756337B1 (en) * | 2007-08-03 | 2014-06-17 | Hewlett-Packard Development Company, L.P. | Network packet inspection flow management |
| JP5174747B2 (ja) * | 2009-06-18 | 2013-04-03 | 株式会社日立製作所 | 計算機システムおよび管理装置 |
| JP5364671B2 (ja) * | 2010-10-04 | 2013-12-11 | アラクサラネットワークス株式会社 | ネットワーク認証における端末接続状態管理 |
| US9112710B2 (en) * | 2010-10-05 | 2015-08-18 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
| WO2013105991A2 (en) * | 2011-02-17 | 2013-07-18 | Sable Networks, Inc. | Methods and systems for detecting and mitigating a high-rate distributed denial of service (ddos) attack |
| US8938528B2 (en) * | 2011-11-08 | 2015-01-20 | Hitachi, Ltd. | Computer system, and method for managing resource pool information |
| US9015852B2 (en) | 2012-04-30 | 2015-04-21 | Cisco Technology, Inc. | Protecting address resolution protocol neighbor discovery cache against denial of service attacks |
| JP2017017631A (ja) * | 2015-07-03 | 2017-01-19 | 富士通株式会社 | パケット伝送装置、通信ネットワークシステム、及び、アドレス割当確認方法 |
-
2015
- 2015-08-24 CN CN201510524597.4A patent/CN106487742B/zh active Active
-
2016
- 2016-03-10 TW TW105107430A patent/TWI706648B/zh not_active IP Right Cessation
- 2016-08-22 US US15/243,507 patent/US10135784B2/en active Active
- 2016-08-23 WO PCT/US2016/048213 patent/WO2017035151A1/en unknown
- 2016-08-23 EP EP16839993.9A patent/EP3342128B1/en active Active
- 2016-08-23 BR BR112018001516-4A patent/BR112018001516A2/pt not_active Application Discontinuation
- 2016-08-23 KR KR1020187002299A patent/KR102018490B1/ko active IP Right Grant
- 2016-08-23 AU AU2016313650A patent/AU2016313650B2/en not_active Ceased
- 2016-08-23 CA CA2993282A patent/CA2993282C/en not_active Expired - Fee Related
- 2016-08-23 JP JP2018503630A patent/JP6553805B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150582A (zh) * | 2007-10-22 | 2008-03-26 | 华为技术有限公司 | 分配配置信息的方法和设备 |
| CN101605070A (zh) * | 2009-07-10 | 2009-12-16 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
| CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
| CN102413044A (zh) * | 2011-11-16 | 2012-04-11 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102018490B1 (ko) | 2019-09-06 |
| AU2016313650A1 (en) | 2018-02-08 |
| US10135784B2 (en) | 2018-11-20 |
| JP2018525907A (ja) | 2018-09-06 |
| KR20180021837A (ko) | 2018-03-05 |
| TWI706648B (zh) | 2020-10-01 |
| EP3342128A4 (en) | 2019-04-17 |
| AU2016313650B2 (en) | 2019-03-21 |
| BR112018001516A2 (pt) | 2020-12-01 |
| JP6553805B2 (ja) | 2019-07-31 |
| US20170063680A1 (en) | 2017-03-02 |
| EP3342128A1 (en) | 2018-07-04 |
| CA2993282C (en) | 2020-04-28 |
| EP3342128B1 (en) | 2021-02-24 |
| WO2017035151A1 (en) | 2017-03-02 |
| CA2993282A1 (en) | 2017-03-02 |
| TW201709698A (zh) | 2017-03-01 |
| CN106487742A (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106487742B (zh) | 用于验证源地址有效性的方法及装置 | |
| CN104137511B (zh) | 用于安全协议的动态选择的方法、设备和客户端设备 | |
| WO2017107732A1 (zh) | 登录状态同步方法和系统 | |
| US20180019961A1 (en) | Message processing method, processing server, terminal, and storage medium | |
| CN105704091B (zh) | 一种基于ssh协议的会话解析方法及系统 | |
| US9774642B2 (en) | Method and device for pushing multimedia resource and display terminal | |
| CN109756896B (zh) | 一种信息处理方法、网络设备及计算机可读存储介质 | |
| JP2019508796A (ja) | データ同期方法、装置及びシステム | |
| KR101341256B1 (ko) | 네트워크의 접속 보안 강화 장치 및 방법 | |
| CN106535219B (zh) | 一种用户信息回填方法及装置 | |
| US8924478B2 (en) | Virtual desktop infrastructure (VDI) login acceleration | |
| CN104168140B (zh) | Vtep异常情况处理方法及装置 | |
| CN112654100B9 (zh) | 一种信息处理方法和相关网络设备 | |
| JP6647410B2 (ja) | データ記憶方法、不揮発性コンピュータ記憶媒体、電子機器、能力開放エンティティ及び基地局 | |
| US10404774B2 (en) | Mobile device and method for controlling transmission to web server in mobile device | |
| US20210051352A1 (en) | Method for video optimization, terminal and network apparatus | |
| US20130024917A1 (en) | Memo synchronization system, mobile system, and method for synchronizing memo data | |
| CN106535156B (zh) | 虚拟用户识别模块卡的迁移方法、终端、服务器、系统 | |
| CN106488534A (zh) | 获取网络接入点的方法及系统 | |
| CN108768961B (zh) | 存储处理方法及家庭网关 | |
| CN108055299A (zh) | Portal页面推送方法、网络接入服务器及Portal认证系统 | |
| CN105991791A (zh) | 报文转发方法及装置 | |
| CN103313245A (zh) | 基于手机终端的网络业务访问方法、设备和系统 | |
| CN103685333A (zh) | 数据同步方法、终端设备、注册服务器和网页服务器 | |
| KR102127028B1 (ko) | 인터넷 프로토콜 멀티미디어 서브시스템 단말의 네트워크 액세스 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211103 Address after: Room 516, floor 5, building 3, No. 969, Wenyi West Road, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee after: Alibaba Dharma Institute (Hangzhou) Technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Patentee before: ALIBABA GROUP HOLDING Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20170308 Assignee: Hangzhou Jinyong Technology Co.,Ltd. Assignor: Alibaba Dharma Institute (Hangzhou) Technology Co.,Ltd. Contract record no.: X2024980001317 Denomination of invention: Method and device for verifying the validity of source addresses Granted publication date: 20200103 License type: Common License Record date: 20240123 Application publication date: 20170308 Assignee: Golden Wheat Brand Management (Hangzhou) Co.,Ltd. Assignor: Alibaba Dharma Institute (Hangzhou) Technology Co.,Ltd. Contract record no.: X2024980001316 Denomination of invention: Method and device for verifying the validity of source addresses Granted publication date: 20200103 License type: Common License Record date: 20240123 Application publication date: 20170308 Assignee: Hangzhou Xinlong Huazhi Trademark Agency Co.,Ltd. Assignor: Alibaba Dharma Institute (Hangzhou) Technology Co.,Ltd. Contract record no.: X2024980001315 Denomination of invention: Method and device for verifying the validity of source addresses Granted publication date: 20200103 License type: Common License Record date: 20240123 |