CN113315764A - 防arp攻击的数据包发送方法、装置、路由器及存储介质 - Google Patents

防arp攻击的数据包发送方法、装置、路由器及存储介质 Download PDF

Info

Publication number
CN113315764A
CN113315764A CN202110570271.0A CN202110570271A CN113315764A CN 113315764 A CN113315764 A CN 113315764A CN 202110570271 A CN202110570271 A CN 202110570271A CN 113315764 A CN113315764 A CN 113315764A
Authority
CN
China
Prior art keywords
label
client host
server
data packet
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110570271.0A
Other languages
English (en)
Other versions
CN113315764B (zh
Inventor
郑如刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OneConnect Financial Technology Co Ltd Shanghai
Original Assignee
OneConnect Financial Technology Co Ltd Shanghai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OneConnect Financial Technology Co Ltd Shanghai filed Critical OneConnect Financial Technology Co Ltd Shanghai
Priority to CN202110570271.0A priority Critical patent/CN113315764B/zh
Publication of CN113315764A publication Critical patent/CN113315764A/zh
Application granted granted Critical
Publication of CN113315764B publication Critical patent/CN113315764B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及病毒攻击防护技术领域,揭露了一种防ARP的攻击方法,包括:利用ARP协议生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;响应服务器向客户端主机发送IP数据包的指令,利用客户端主机的私钥和服务器的公钥和公私密钥对,对所述客户端主机进行身份验证;若验证未通过,拒绝转发所述IP数据包;若验证通过,则将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。本发明实施例可以防止ARP攻击,提升所述局域网内数据传输的安全性。

Description

防ARP攻击的数据包发送方法、装置、路由器及存储介质
技术领域
本发明涉及病毒攻击防护技术领域,尤其涉及一种防ARP攻击的数据包发送方法、装置、路由器及计算机可读存储介质。
背景技术
局域网普遍应用于企业、学校、医院等组织,用于实现组织内部资源的共享和管理。例如某企业用于内部办公的局域网,所述局域网可以包括一台服务器,提供考勤、财务等服务,多台客户端主机用于员工个人办公,多台打印机客户端主机,一台或多台路由器,提供所述局域网内数据包的路由和转发功能。通常所述路由器在转发所述局域网内的数据包时,是将所述数据包对应的目标IP地址转换成目标MAC(Media Access ControlAddress,介质访问控制)地址后,再通过所述目标MAC地址进行数据包的传输。
当前针对所述局域网的数据传输特点,存在恶意的ARP(Address Resol utionProtocol,基于以太网地址解析协议)攻击问题。所述ARP攻击是指通过伪造IP地址和MAC地址的方式,获取所述局域网内的通信信息,并引起所述局域网内部通信故障。针对所述ARP攻击,现有技术中,一种是对所述局域网中的每台客户端主机进行病毒扫描,但是这种方式不能预防非病毒性的ARP攻击。另一种是通过查询ARP报文中的IP地址以及MAC地址是否存在历史欺骗记录来防恶意攻击,这种方式工作量大,效率低,不能完全杜绝ARP攻击。
发明内容
本发明提供一种防ARP攻击的数据包发送方法、装置、路由器及计算机可读存储介质,目的在于预防ARP攻击,提升局域网内数据传输的安全性。
为实现上述目的,本发明提供的一种防ARP攻击的数据包发送方法,包括:
利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;
响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证;
若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
若所述客户端主机身份验证通过,则将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
可选地,所述利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,包括:
获取路由表,根据所述路由表得到所述局域网中服务器、客户端主机和路由器对应的IP地址;
利用多协议标签交换协议,将所述IP地址分别映射为标签,并得到所述IP地址和所述标签的映射表。
可选地,所述通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表,包括:
构建从所述服务器到所述客户端主机的IP单播路由包;
通过IP单播路由的方式,将所述IP单播路由包路由到所述客户端主机,得到对应的路由转发表;
在所述映射表中,查找与所述路由转发表中的IP地址对应的标签,将所述路由转发表中的IP地址替换为所述IP地址对应的标签,得到标签转发表。
可选地,所述将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,包括:
从所述IP数据包的IP报头中分别获取所述服务器IP地址和所述客户端主机IP地址;
在所述映射表中查找与所述服务器IP地址和所述客户端主机IP地址分别对应的标签;
将与所述服务器IP地址对应的标签作为源端标签,将与所述客户端主机对应的标签作为目的端标签,并将所述源端标签和所述目的端标签插入到所述IP数据包中,得到所述标签数据包。
可选地,所述利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机,包括:
在所述标签转发表中查找与所述标签数据包中的所述源端标签和所述目的地标签同时匹配的标签转发路径;
按照所述标签转发路径,将所述标签数据包从所述服务器路由到所述客户端主机。
可选地,所述利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥,包括:
利用加解密算法,生成一对公钥和私钥,并将所述公钥和私钥结合,生成公私密钥对;
将所述公钥和公私密钥对发送到所述服务器,将所述私钥发送到所述客户端主机。
可选地,所述利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,包括:
利用加解密算法,将所述服务器的公钥和所述客户端主机的私钥结合,生成一个密钥;
将所述密钥与所述服务器的公私密钥对进行匹配;
若匹配成功,则所述客户端主机身份验证成功;
若匹配失败,则所述客户端主机的身份验证失败。
为了解决上述问题,本发明还提供一种防ARP攻击的数据包发送装置,所述装置包括:
标签生成及分发模块,用于利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
客户端主机身份验证模块,用于利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
数据包路由模块,用于若所述客户端身份验证通过,则将所述服务器的多协议标签交换协议的标签和所述客户端主机的多协议标签交换协议的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
为了解决上述问题,本发明还提供一种标签转发路由器,所述标签转发路由器包括:
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1至7中任意一项所述防ARP攻击的数据包发送方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的防ARP攻击的数据包发送方法。本发明实施例通过将多协议标签交换协议(Multi-Protocol Label Switching,MPLS)应用于局域网中的路由器,实现所述路由器在转发所述局域网内的数据包时,根据所述数据包中的标签信息进行数据包的传输,不再依赖IP地址和MAC(Media Access Control Address,介质访问控制)地址传输数据包,同时在进行所述数据包的传输前,通过加解密算法,对所述数据包的目的端主机进行身份校验,对所述局域网内数据包的传输又增加了一道保护措施,因此本发明实施例提供的防ARP攻击的数据包发送方法、装置、路由器及计算机存储介质,可以防止ARP攻击,提升所述局域网内数据传输的安全性。
附图说明
图1为本发明一实施例提供的防ARP攻击的数据包发送方法的流程示意图;
图2为本发明一实施例提供的标签生成和分发的流程示意图;
图3为本发明一实施例提供的对客户端主机进行身份验证方法的流程示意图;
图4为本发明一实施例提供的数据包路由方法的流程示意图;
图5为本发明一实施例提供的防ARP攻击的数据包发送装置的功能模块示意图;
图6为本发明一实施例提供的实现所述防ARP攻击的数据包发送方法的标签转发路由器结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种防ARP攻击的数据包发送方法。所述防ARP攻击的数据包发送方法应用于局域网中。本发明实施例中,所述局域网可以由数量不等的服务器、路由器和客户端主机组成。例如,某企业用于内部办公的局域网,所述局域网可以由一台考勤服务器、一台财务服务器、多台员工办公客户端主机、多台会议室客户端主机、多台打印机客户端主机、一台或多台路由器等组成。
所述服务器是用来提供应用程序或数据的共享功能,是公共服务或公共数据的唯一来源,所述客户端主机是指提供本地服务或本地数据的设备,所述路由器为所述局域网内的数据传输提供寻找最佳传输路径,并将所述数据有效地传送到目的地的功能。
参照图1所示,为本发明一实施例提供的防ARP攻击的数据包发送方法的流程示意图。在本实施例中,所述防ARP攻击的数据包发送方法运行于所述局域网的任一路由器中,包括:
S1、利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
本发明实施例中,相较于原始的基于IP地址进行数据包转发的方式,所述多协议标签交换协议(Multi-Protocol Label Switching,MPLS)提供了一种基于标签进行数据包转发的机制。所述标签是一个长度固定的短标识符,用于唯一标识一个或一组以相同方式、通过相同路径转发处理的数据包。
本发明实施例中,在所述局域网中,所述IP单播路由是指所述服务器与所述客户端主机之间建立一个单独的数据通道,所述服务器发出的数据包只能传输到一台所述客户端主机的路由方式。与之相对的概念为组播路由,即所述服务器发出的数据包可以同时传输到多台所述客户端主机。所述IP单播路由是基于IP地址进行数据包的转发。
所述路由转发表,记录了所述IP单播路由路径中所经过的所有节点的信息,例如,包括源端、目的端、路由器的IP地址等信息。
详细地,参阅图2所示,本发明实施例中,所述S1,包括:
S11、获取路由表,根据所述路由表得到所述局域网中服务器、客户端主机和路由器对应的IP地址;
S12、利用多协议标签交换协议,将所述IP地址分别映射为标签,并得到所述IP地址和所述标签的映射表;
S13、构建从所述服务器到所述客户端主机的IP单播路由包;
S14、通过IP单播路由的方式,将所述IP数据包路由到所述客户端主机,得到对应的路由转发表;
S15、在所述映射表中,查找与所述路由转发表中的IP地址对应的标签,将所述路由转发表中的IP地址替换为所述IP地址对应的标签,得到标签转发表。
本发明实施例中,所述路由表存贮在所述路由器中,用来记录所述局域网中各种传输路径的相关信息,例如,所述局域网中路由器的个数、各个终端的标志等信息。
所述IP单播路由包是指包含源端和目的端IP地址信息的IP数据包,本发明实施例中,所述源端是指所述服务器,所述目的端是指所述客户端主机。通常所述IP数据包可以分为两部分,一部分为IP报头,包含所述IP地址信息,一部分为内容载荷部分,所述IP单播路由包对应的内容载荷部分可以为空。
S2、利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;
本发明实施例中,所述加解密算法可以采用DES(Data Encryption Stan dard,数据加密标准)、AES(Advanced Encryption Standard,高级加密标准)等加解密算法。
所述公私密钥对是利用所述加解密算法将所述公钥和所述私钥相结合得到的一个密钥对。所述公钥是所述公私密钥对中公开的部分,所述私钥是所述公私密钥对中非公开的部分。
详细地,所述利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥,包括:
利用加解密算法,生成一对公钥和私钥,并将所述公钥和私钥结合,生成公私密钥对;将所述公钥和公私密钥对发送到所述服务器,将所述私钥发送到所述客户端主机。
本发明实施例中,所述局域网中的每一台所述客户端主机都得到一个所述私钥,用于后续与所述服务器的公私密钥进行匹配。
S3、响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,并判断所述客户端主机身份验证是否通过;
本发明实施例中,为防止攻击者伪造所述客户端主机的身份,非法获取所述服务器的数据,当所述服务器向所述客户端主机发送IP数据包时,需要对所述客户端主机的身份进行验证。
详细地,参阅图3所示,所述利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,包括:
S31、利用所述加解密算法,对所述服务器的公钥进行分割,得到分割后的公钥;
S32、将所述客户端主机的私钥插入到所述分割后的公钥中,得到新密钥;
S33、将所述新密钥与所述公私密钥对进行匹配。
S34、根据所述匹配对所述客户端主机进行身份验证。
本发明实施例中,当所述匹配成功时,所述客户端主机身份验证通过;及当所述匹配不成功时,所述客户端主机身份验证未通过。
若所述客户端主机身份验证未通过,执行S4、拒绝转发所述IP数据包;
进一步地,本发明实施例中,若所述新密钥与所述公私密钥匹配不成功,表示所述客户端主机身份验证未通过,则拒绝转发所述IP数据包到所述客户端主机;
若所述客户端主机身份验证通过,则执行S5、将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
本发明实施例中,所述标签数据包相较于所述IP数据包,是在所述IP数据包的基础上增加了标签部分,即所述标签数据包包含标签、IP报头和内容载荷三部分。
所述标签转发表(label Forwarding Information Base,LFIB)存贮在所述路由器,在所述标签转发表中,所有转发路径中的每个节点均用对应的标签来标识。本发明实施例中,所述路由器根据所述标签数据包中的标签,在所述标签转发表内查找对应的标签转发路径(Lable Switching Path,LSP),按照所述标签转发路径对所述标签数据包进行转发。
详细地,参阅图4所示,本发明实施例中,所述将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机,包括:
S51、从所述IP数据包的IP报头中分别获取所述服务器IP地址和所述客户端主机IP地址;
S52、在所述映射表中查找与所述服务器IP地址和所述客户端主机IP地址分别对应的标签;
S53、将与所述服务器IP地址对应的标签作为源端标签,将与所述客户端主机对应的标签作为目的端标签,并将所述源端标签和所述目的端标签插入到所述IP数据包中,得到所述标签数据包;
S54、在所述标签转发表中查找与所述标签数据包中的所述源端标签和所述目的地标签同时匹配的标签转发路径;
S55、按照所述标签转发路径,将所述标签数据包从所述服务器路由到所述客户端主机。
本发明实施例通过将多协议标签交换协议(Multi-Protocol Label Switchi ng,MPLS)应用于局域网中的路由器,实现所述路由器在转发所述局域网内的数据包时,根据所述数据包中的标签信息进行数据包的传输,不再依赖IP地址和MAC(Media Access ControlAddress,介质访问控制)地址传输数据包,同时在进行所述数据包的传输前,通过加解密算法,对所述数据包的目的端主机进行身份校验,对所述局域网内数据包的传输又增加了一道保护措施,因此本发明实施例提供的防ARP攻击的数据包发送方法、装置、路由器及计算机存储介质,可以防止ARP攻击,提升所述局域网内数据传输的安全性。
如图5所示,是本发明一实施例提供的防ARP攻击的数据包发送装置的功能模块图。
本发明所述防ARP攻击的数据包发送装置100可以安装于电子设备中。根据实现的功能,所述防ARP攻击的数据包发送装置100可以包括标签生成及分发模块101、客户端主机身份验证模块102、数据包路由模块103。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
所述标签生成及分发模块101,用于利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
所述客户端主机身份验证模块102,用于利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
所述数据包路由模块103,用于若所述客户端身份验证通过,则将所述服务器的多协议标签交换协议的标签和所述客户端主机的多协议标签交换协议的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
详细地,本发明实施例中所述防ARP攻击的数据包发送装置100中的各个模块在使用时采用与上述的图1至图4中所述的防ARP攻击的数据包发送方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图6所示,是本发明实现防ARP攻击的数据包发送的标签转发路由器的结构示意图。
所述标签转发路由器1可以包括处理器10、存储器11和总线,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如防ARP攻击的数据包发送程序。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如防ARP攻击的数据包发送程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如防ARP攻击的数据包发送程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图6仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图6示出的结构并不构成对所述标签转发路由器1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述标签转发路由器1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述标签转发路由器1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述标签转发路由器1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该标签转发路由器1与其他电子设备之间建立通信连接。
可选地,该标签转发路由器1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在标签转发路由器1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述标签转发路由器1中的所述存储器11存储的防ARP攻击的数据包发送程序是多个计算机程序的组合,在所述处理器10中运行时,可以实现:
利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;
响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证;
若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
若所述客户端主机身份验证通过,则将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
进一步地,所述标签转发路由器1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
进一步地,所述计算机可用存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;
响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证;
若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
若所述客户端主机身份验证通过,则将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图表记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种防ARP攻击的数据包发送方法,其特征在于,所述方法包括:
利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;
响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证;
若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
若所述客户端主机身份验证通过,则将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
2.如权利要求1所述的防ARP攻击的数据包发送方法,其特征在于,所述利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,包括:
获取路由表,根据所述路由表得到所述局域网中服务器、客户端主机和路由器对应的IP地址;
利用多协议标签交换协议,将所述IP地址分别映射为标签,并得到所述IP地址和所述标签的映射表。
3.如权利要求2所述的防ARP攻击的数据包发送方法,其特征在于,所述通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表,包括:
构建从所述服务器到所述客户端主机的IP单播路由包;
通过IP单播路由的方式,将所述IP单播路由包路由到所述客户端主机,得到对应的路由转发表;
在所述映射表中,查找与所述路由转发表中的IP地址对应的标签,将所述路由转发表中的IP地址替换为所述IP地址对应的标签,得到标签转发表。
4.如权利要求2所述的防ARP攻击的数据包发送方法,其特征在于,所述将所述服务器的标签和所述客户端主机的标签封装到所述IP数据包中,得到标签数据包,包括:
从所述IP数据包的IP报头中分别获取所述服务器IP地址和所述客户端主机IP地址;
在所述映射表中查找与所述服务器IP地址和所述客户端主机IP地址分别对应的标签;
将与所述服务器IP地址对应的标签作为源端标签,将与所述客户端主机对应的标签作为目的端标签,并将所述源端标签和所述目的端标签插入到所述IP数据包中,得到所述标签数据包。
5.如权利要求4所述的防ARP攻击的数据包发送方法,其特征在于,所述利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机,包括:
在所述标签转发表中查找与所述标签数据包中的所述源端标签和所述目的地标签同时匹配的标签转发路径;
按照所述标签转发路径,将所述标签数据包从所述服务器路由到所述客户端主机。
6.如权利要求1至5中任意一项所述的防ARP攻击的数据包发送方法,其特征在于,所述利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥,包括:
利用加解密算法,生成一对公钥和私钥,并将所述公钥和私钥结合,生成公私密钥对;
将所述公钥和公私密钥对发送到所述服务器,将所述私钥发送到所述客户端主机。
7.如权利要求6所述的防ARP攻击的数据包发送方法,其特征在于,所述利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,包括:
利用加解密算法,将所述服务器的公钥和所述客户端主机的私钥结合,生成一个密钥;
将所述密钥与所述服务器的公私密钥对进行匹配;
若匹配成功,则所述客户端主机身份验证成功;
若匹配失败,则所述客户端主机的身份验证失败。
8.一种防ARP攻击的数据包发送的装置,其特征在于,所述装置安装在局域网中的一台路由器中,包括:
标签生成及分发模块,用于利用多协议标签交换协议,分别生成局域网中服务器、客户端主机和路由器的标签,并通过IP单播路由的方式,将所述标签分发到所述单播路由对应的路由转发表中,得到标签转发表;
客户端主机身份验证模块,用于利用加解密算法,生成所述服务器的公钥和公私密钥对及所述客户端主机的私钥;响应所述服务器向所述客户端主机发送IP数据包的指令,利用所述客户端主机的私钥和所述服务器的公钥和公私密钥对,对所述客户端主机进行身份验证,若所述客户端主机身份验证未通过,拒绝转发所述IP数据包;
数据包路由模块,用于若所述客户端身份验证通过,则将所述服务器的多协议标签交换协议的标签和所述客户端主机的多协议标签交换协议的标签封装到所述IP数据包中,得到标签数据包,并利用所述标签转发表,将所述标签数据包从所述服务器路由到所述客户端主机。
9.一种标签转发路由器,其特征在于,所述标签转发路由器包括:
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1至7中任意一项所述防ARP攻击的数据包发送方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述防ARP攻击的数据包发送方法。
CN202110570271.0A 2021-05-25 2021-05-25 防arp攻击的数据包发送方法、装置、路由器及存储介质 Active CN113315764B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110570271.0A CN113315764B (zh) 2021-05-25 2021-05-25 防arp攻击的数据包发送方法、装置、路由器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110570271.0A CN113315764B (zh) 2021-05-25 2021-05-25 防arp攻击的数据包发送方法、装置、路由器及存储介质

Publications (2)

Publication Number Publication Date
CN113315764A true CN113315764A (zh) 2021-08-27
CN113315764B CN113315764B (zh) 2023-03-10

Family

ID=77374501

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110570271.0A Active CN113315764B (zh) 2021-05-25 2021-05-25 防arp攻击的数据包发送方法、装置、路由器及存储介质

Country Status (1)

Country Link
CN (1) CN113315764B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848161A (zh) * 2010-05-31 2010-09-29 杭州华三通信技术有限公司 一种mpls l2vpn和mpls l3vpn的通信方法和设备
CN101977189A (zh) * 2010-10-22 2011-02-16 青海师范大学 Mpls网络的可信认证及安全接入控制方法
WO2014083449A1 (en) * 2012-11-27 2014-06-05 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing
CN104780165A (zh) * 2015-03-27 2015-07-15 杭州华三通信技术有限公司 一种报文入标签的安全验证方法和设备
US20160344725A1 (en) * 2014-04-02 2016-11-24 William B. SEVERIN Signal haystacks
CN110661784A (zh) * 2019-08-28 2020-01-07 视联动力信息技术股份有限公司 一种用户的认证方法、装置和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848161A (zh) * 2010-05-31 2010-09-29 杭州华三通信技术有限公司 一种mpls l2vpn和mpls l3vpn的通信方法和设备
CN101977189A (zh) * 2010-10-22 2011-02-16 青海师范大学 Mpls网络的可信认证及安全接入控制方法
WO2014083449A1 (en) * 2012-11-27 2014-06-05 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing
US20160344725A1 (en) * 2014-04-02 2016-11-24 William B. SEVERIN Signal haystacks
CN104780165A (zh) * 2015-03-27 2015-07-15 杭州华三通信技术有限公司 一种报文入标签的安全验证方法和设备
CN110661784A (zh) * 2019-08-28 2020-01-07 视联动力信息技术股份有限公司 一种用户的认证方法、装置和存储介质

Also Published As

Publication number Publication date
CN113315764B (zh) 2023-03-10

Similar Documents

Publication Publication Date Title
CN1823514B (zh) 使用基于角色的访问控制来提供网络安全的方法和装置
US7533409B2 (en) Methods and systems for firewalling virtual private networks
US8661252B2 (en) Secure network address provisioning
US7668954B1 (en) Unique identifier validation
US8214482B2 (en) Remote log repository with access policy
FI118619B (fi) Menetelmä ja järjestelmä tiedon salaamiseksi ja tallentamiseksi
US7613826B2 (en) Methods and apparatus for providing multiple policies for a virtual private network
CN102195957B (zh) 一种资源共享方法、装置及系统
US8843751B2 (en) IP address delegation
US8301753B1 (en) Endpoint activity logging
US20040210754A1 (en) Shared security transform device, system and methods
US10432636B2 (en) Securing mDNS in enterprise networks
CN1829150B (zh) 一种基于cpk的网关认证装置及方法
CN116684869B (zh) 一种基于IPv6的园区无线网可信接入方法、系统及介质
CN113315764B (zh) 防arp攻击的数据包发送方法、装置、路由器及存储介质
US8364949B1 (en) Authentication for TCP-based routing and management protocols
CN101997875B (zh) 一种安全的多方网络通信平台及其构建方法、通信方法
CN111741014A (zh) 消息发送方法、装置、服务器及存储介质
CN116668408A (zh) 一种IPv6容器云平台真实地址编码验证与溯源方法及系统
CN111541663A (zh) 一种基于国家密码标准的链路交换加密系统
US11659384B2 (en) Data center 5G network encrypted multicast-based authority authentication method and system
US11729187B2 (en) Encrypted overlay network for physical attack resiliency
US8036218B2 (en) Technique for achieving connectivity between telecommunication stations
CN106470248A (zh) Dnssec签名服务的热备方法及系统
CN1448851A (zh) 采用硬件加解密的虚拟私有网络

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40049984

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant