CN1855812B - 防止mac地址仿冒的实现方法和设备 - Google Patents

防止mac地址仿冒的实现方法和设备 Download PDF

Info

Publication number
CN1855812B
CN1855812B CN2005100662366A CN200510066236A CN1855812B CN 1855812 B CN1855812 B CN 1855812B CN 2005100662366 A CN2005100662366 A CN 2005100662366A CN 200510066236 A CN200510066236 A CN 200510066236A CN 1855812 B CN1855812 B CN 1855812B
Authority
CN
China
Prior art keywords
mac address
user
access
information
counterfeit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2005100662366A
Other languages
English (en)
Other versions
CN1855812A (zh
Inventor
吴海军
张军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2005100662366A priority Critical patent/CN1855812B/zh
Priority to ES06722401T priority patent/ES2387315T3/es
Priority to EP06722401A priority patent/EP1863217B1/en
Priority to PCT/CN2006/000782 priority patent/WO2006114053A1/zh
Publication of CN1855812A publication Critical patent/CN1855812A/zh
Priority to US11/924,449 priority patent/US7958541B2/en
Application granted granted Critical
Publication of CN1855812B publication Critical patent/CN1855812B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Abstract

本发明涉及一种防止MAC地址仿冒的实现方法。该方法主要包括:首先,获取请求接入网络的用户终端的媒体接入控制MAC地址信息及对应的端口信息;然后,根据所述获取的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息,将绑定关系中的端口信息与所述对应的端口信息进行比较,如果不同,向相应的接入设备返回认证不成功信息。本发明可以在网络中存在MAC仿冒或者地址冲突问题时采取相应的解决手段,即禁止并删除仿冒MAC地址信息。因此,本发明可以有效解决网络中的MAC地址仿冒的问题,从而保证了原来已经认证成功的接入用户的业务正常使用。

Description

防止MAC地址仿冒的实现方法和设备
技术领域
本发明涉及网络通信技术领域,尤其涉及一种防止MAC地址仿冒的实现方法和设备。
背景技术
目前,采用DSLAM(数字用户线接入复用器)设备、综合接入设备等接入设备提供宽带接入的应用已经十分广泛。可以提供包括ADSL(不对称数字用户线)、SHDSL(单线对高比特率数字用户线)、VDSL(甚高速数字用户线)等的多种宽带接入手段,提供用户的宽带上网以及其他业务的功能,例如,视频业务和IP电话业务等。
为实现针对接入用户的鉴权、计费操作,以及避免非法用户的恶意接入等需要,目前,在很多网络中均采用基于MAC(媒体接入控制)地址对相应的接入用户进行相应的过滤处理。
随着宽带应用的用户的增多,部分非法用户为达到非法接入的目的,便采用了仿冒合法MAC地址的方式接入宽带网络,开展非法业务;或者,采用仿冒MAC地址的方式恶意干扰宽带业务。例如,部分宽带应用的用户利用软件工具,更改部分用户的MAC地址,以对正常使用宽带网络的宽带用户进行攻击,干扰正常的宽带业务。因此,导致宽带接入网络中出现了MAC地址仿冒的问题,为此,需要在宽带接入网络中提供相应的防止MAC地址仿冒的功能。
目前,可以采用源MAC地址和端口绑定来实现防止MAC地址仿冒,源MAC地址和端口绑定指的是在DSLAM和综合接入设备等接入设备中为每个接入用户分配一个或者多个整个接入网络唯一的允许接入源MAC地址。具体为接入设备对用户上来的以太网报文的源MAC地址进行判断,只有源MAC地址为设定的MAC地址的报文才允许通过,转发到上层网络中;其他的源MAC地址不是设定的MAC地址的以太网报文将会被丢弃。这样,便可以有效地防止MAC地址仿冒的问题。
然而,目前采用的防止MAC地址仿冒的方法,虽然可以防止MAC地址仿冒的问题,但是这样需要对每个用户都进行设置,设置其能通过的源MAC地址。由于接入用户的源MAC都是随机分配的,如果接入用户很多,了解用户的MAC地址并在接入设备中进行相应设置的工作量将会非常庞大。
而且,上述防止MAC地址仿冒的处理方法还存在一个很大的缺陷,即:在源MAC地址和端口绑定之后,如果用户更换了一台PC或者更改为另一个正常的MAC地址,其业务也无法正常开展,必须要在接入设备中重新设置一次新的MAC地址。正是因为这个缺陷的存在,导致目前的防止MAC地址仿冒方法无法得到广泛的应用。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种防止MAC地址仿冒的实现方法和设备,以有效解决宽带接入网络中的MAC地址仿冒问题。本发明的目的是通过以下技术方案实现的:
本发明提供了一种防止MAC地址仿冒的实现方法,包括:
A、获取请求接入网络的用户终端的媒体接入控制MAC地址信息及对应的端口信息;
B、根据所述获取的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息,将绑定关系中的端口信息与所述对应的端口信息进行比较,如果不同,向相应的接入设备返回认证不成功信息。
所述的步骤A包括:
A1、用户终端向接入设备发送认证请求报文,报文中携带着用户终端的MAC地址信息;
A2、接入设备获取所述认证请求报文,将认证请求报文和用户终端的端口信息发送给认证设备;
A3、认证设备接收接入设备发送的认证请求报文,并获取用户终端的MAC地址信息及对应的端口信息。
本发明中,步骤A2所述的认证请求报文处理方法包括:
支持在以太网的点对点协议认证报文或者动态主机配置协议DHCP认证报文中增加用户的端口信息后发送给认证设备。
所述的端口信息包括:
用户终端的物理端口信息、用户端口的虚路径标识VPI、虚通道标识VCI信息和/或用户端口的虚拟局域网标识VLAN ID信息。
所述向相应的接入设备返回认证不成功信息之后,所述方法还包括:
接入设备将其保存的所述用户终端的MAC地址信息删除。
所述向相应的接入设备返回认证不成功信息的步骤包括:
当认证设备在设定的时间段内产生的基于同一用户端口认证失败导致的消息超过预定的次数时,则通知接入设备将该用户端口禁止。
所述接入设备将其保存的所述用户终端的MAC地址信息删除包括:
当接入设备在设定的时间段内接收到的基于同一用户端口认证失败导致的消息超过预定的次数时,则将相应的用户端口禁止。
所述根据所述获取的MAC地址信息进行判断的步骤之后,还包括:
如果绑定关系中不存在所述获取的MAC地址信息,在认证设备上保存所述用户终端的MAC地址及其对应的端口信息。
本发明还提供了一种防止MAC地址仿冒的接入设备,包括:
xDSL接入模块,用于提供xDSL接口及相应的xDSL接入功能;
MAC地址仿冒处理模块,用于识别用户终端的认证报文,并且将认证报文和接入用户的端口信息送到上行接口模块,并根据接收到的认证设备下发的由于认证成功导致的消息,将相应的用户接入端口所学习到的MAC地址和该相应的用户接入端口绑定;或者根据接收到的认证设备返回的认证失败的消息,删除相应用户接入端口所学习到的MAC地址;
上行接口模块,用于将认证报文和该接入用户的端口信息送到认证设备以使所述认证设备获取认证报文中的MAC地址和该接入用户的端口信息,根据认获取的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息,将绑定关系中的端口信息与所述认证设备获取的接入用户的端口信息进行比较,如果不同,向接入设备返回认证失败的消息;并支持接收认证设备下发的消息,送到MAC地址仿冒处理模块。
所述的接入设备为只支持宽带接入的宽带接入设备,或为同时支持宽带接入和窄带接入的综合接入设备。
所述的xDSL接口为不对称数字用户线接口,单线对高比特数字用户线接口,或甚高速数字用户线接口。
所述的MAC地址仿冒处理模块还设置有计数器,用于对由于MAC地址仿冒导致的认证不成功的次数进行计数,且当一个用户接入端口在一段时间内出现MAC地址仿冒次数超过预定数值时,除了将所学习到的接入用户的MAC地址删除外,还将相应的用户接入端口关闭。
本发明还提供了一种防止MAC地址仿冒的认证设备,包括:
用户信息存储模块,用于完成用户信息的存储功能;
MAC地址仿冒识别模块,用于接收接入设备发上来的认证报文和用户端口信息,提取用户终端的MAC地址,确认是否存在MAC地址仿冒问题,如果用户为MAC地址仿冒的用户,则向接入设备返回携带端口信息的由于MAC地址仿冒导致认证失败的消息;如果用户为非MAC地址仿冒的用户,则将认证报文提交认证模块,并将用户的信息送到用户信息存储模块进行存储,其中,确认用户为MAC地址仿冒的用户包括:根据认证报文中的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息,将绑定关系中的端口信息与获取的用户端口信息进行比较,如果不同则确定所述用户为MAC地址仿冒的用户;
认证模块,用于完成非MAC地址仿冒的用户的认证报文的认证工作。
所述的MAC地址仿冒识别模块还包括计数器,当一个接入端口在一段时间内所发的MAC地址仿冒报文超过预定的数量时,则通知接入设备将该接入端口关闭或者禁止。
由上述本发明提供的技术方案可以看出,本发明所述的方法使得认证设备可以根据接收到的认证报文及相应的用户信息,以及该用户的MAC地址信息对其进行合法性判断,并在网络中存在MAC仿冒或者地址冲突问题时采取相应的解决手段,即禁止并删除仿冒MAC地址信息。
因此,本发明可以有效解决网络中的MAC地址仿冒的问题,例如:一台认证设备下面带多个接入设备,每个接入设备又带多个接入用户;如果有一个接入用户已经采用一个MAC-A地址认证成功,该认证设备下的另一个接入用户将无法再以MAC-A地址通过相应的认证,从而保证了原来已经认证成功的接入用户的业务正常使用。
附图说明
图1为本发明所述的方法的应用环境示意图;
图2为本发明所述的方法的流程图;
图3为本发明提供的接入设备的结构示意图;
图4为本发明提供的认证设备的结构示意图。
具体实施方式
本发明的目的主要是解决MAC地址仿冒的问题。本发明采用的方法是由认证设备根据收到的认证报文的用户信息及其MAC地址信息,结合其保存的相应信息判断是否存在MAC地址仿冒或者MAC地址冲突的情况,并拒绝存在MAC地址仿冒或MAC地址冲突情况的接入用户接入网络。使用本发明,如果出现地址仿冒的问题,可以通过这种方法对接入设备、认证设备等进行保护,并保证被仿冒用户的正常应用。
本发明所述的方法具体为:接入设备接收到接入用户的认证报文,将认证报文和用户端口信息,送到认证设备中,认证设备根据用户端口信息、源MAC地址与已知情况进行比较,如果没有存在MAC地址仿冒,则认证成功;如果存在地址仿冒的问题,返回认证不成功的信息,接入设备根据返回的不成功信息将所学习到的MAC地址删除。
为对本发明有进一步的理解,下面将结合附图对本发明所述的方法的具体实现方式作进一步的详细说明。
首先介绍一下本发明应用的组网环境。如图1所示,用户A和用户B通过接入设备A接入汇聚网,即接入设备A支持用户的接入,具体包括用户A(其MAC地址为MAC-A)和用户B(其MAC地址为MAC-B);接入设备B则用于支持用户C(其MAC地址为MAC-C)的接入。接入设备A和接入设备B通过汇聚网接到认证设备上进行相应的认证处理。
为实现本发明,图1中相应的接入设备需要包括以下的功能:
完成用户接入的汇聚功能。接入设备可以接入一个或者更多的用户,汇聚之后通过ATM或者IP接口上行接到城域网,直接或者接到认证设备上;
完成用户信息的添加功能。接入设备可以完成用户信息的添加功能,可以在用户发上来的认证报文用户的信息;或者接入设备可以通过其他的协议将认证用户的用户端口信息送到认证设备;
提供上行接口。接入设备可以提供ATM或者IP的上行接口,通过上行接口接到城域网或者直接接到认证设备上,将用户信息上报给认证设备。
接入设备提供和认证设备通讯的功能。接入设备可以根据认证设备下发的由于MAC地址仿冒导致的认证不成功消息后,将该端口学习到的MAC地址删除。
同时,为实现本发明,图1中的认证设备可以为BRAS(宽带接入服务器)认证系统,也可以为DHCP(动态主机配置协议)服务器,但无论是什么样的认证设备均需要包括以下具体功能:
认证设备需要完成一个或者更多用户的用户认证功能。
认证设备上需要支持提取认证报文中带上的用户信息,并进行比较,以确定是否有MAC地址仿冒的问题。或者认证设备支持其他的通讯协议从接入设备中取得认证用户的端口信息;
认证设备提供和接入设备通讯的功能。认证设备可以将认证不成功的消息通过相关的协议送到接入设备。
本发明中,所述的认证设备与接入设备间可以通过城域网连接,也可以直接连接。
本发明中,所述的接入设备可以为支持宽带接入的DSLAM(数字用户线接入复用器)设备,也可以为能够同时支持宽带接入和窄带接入的综合接入设备。
本发明中,用户可以通过ADSL(不对称数字用户线)接入相应的接入设备,也可以通过SHDSL(单线对高比特数字用户线)接入,或者还可以通过VDSL(甚高速数字用户线)接入,等等。
如图2所示,本发明所述的方法在具体实现过程中包括以下步骤:
步骤21:用户向接入设备发送携带着自身MAC地址(即源MAC地址)信息的认证请求报文;
即接入设备对接入用户的认证报文进行捕获,当捕获到相应的认证请求报文后,则执行步骤22;
如图1所示,假设接入设备A下的用户A发起认证过程,则用户A将向接入设备发送认证请求报文;
在该步骤中,所述的认证请求报文可以为PPPOE(基于以太网的点对点协议)报文,也可以为DHCP(动态主机配置协议)报文;
步骤22:当接入设备A接收到用户A的认证请求报文后,在认证请求报文中增加该用户的端口信息,并送到认证设备进行相应的认证处理;或者接入设备A通过其他的通讯协议将该用户的端口信息送到认证设备;
所述的增加的用户的端口信息具体可以为:用户的物理位置信息(即用户的物理端口信息),用户端口的VLAN(虚拟局域网)信息,或者是用户端口VPI(虚路径标识)/VCI(虚通道标识)信息,等等;
具体包括:可以在用户终端送上来的PPPOE认证报文中增加用户的端口信息,可以在用户终端送上来的DHCP认证报文中增加用户的端口信息;也可以在用户终端送上来的PPPOA认证报文中增加用户的端口信息;或者将用户终端送上来的PPPOA报文转换为PPPOE报文后增加用户的端口信息;或者可以支持采用其他协议将用户端口信息送到上行模块;
步骤23:认证设备获取所述认证请求报文中的MAC地址及用户端口信息,并将获取的信息与保存的信息进行比较判断,以判断该接入用户是否为仿冒MAC地址情况(或者判断是否为MAC地址出现冲突情况),如果是,则执行步骤25,否则,执行步骤24,即按照正常的处理过程进行认证处理;
具体为,在认证设备上判断所述获取的MAC地址及用户端口信息对应的存储区域的状态:
如果信息存储区域为空(即认证设备上尚未保存任何MAC地址与用户端口的绑定关系信息),则确定该用户可以合法接入,即未出现MAC地址仿冒或MAC地址冲突情况;
否则,继续判断所述已经存储有信息的存储区域是否有与该接入用户的MAC地址重复的情况,即判断保存的绑定关系中是否已经存在基于该MAC地址的绑定关系信息,如果没有,则仍将执行步骤24,否则,执行步骤25;
在该步骤中,认证设备首先根据MAC地址信息进行判断,如果发现保存的绑定关系中存在该MAC地址信息,则进一步将绑定关系中的端口信息与该MAC地址对应的端口信息进行比较,如果相同(说明是由同一用户发来的认证请求报文),则不作处理,如果不同,则说明存在MAC地址仿冒或冲突,则需要执行步骤25;如果保存的绑定关系中不存在该MAC地址信息,则确定这是一个新的合法用户的认证请求,并执行步骤24;
步骤24:认证设备将接收到的用户端口的信息和该用户送上来的报文中所带的源MAC地址(如用户A的MAC-A地址),以及认证设备的端口号进行绑定,并保存在信息对应存储区域中;
接入设备A下的用户A认证通过后,相应的业务便可以正常开展。
步骤25:当认证设备根据收到的认证请求报文中承载的相应信息确定其MAC地址为仿冒或发生MAC地址冲突时,则向相应的接入设备返回认证不成功信息,即认证失败消息;
仍如图1所示,假设当认证设备接收到用户(例如接入设备A的用户A)的认证请求报文,并根据用户的源MAC地址和认证设备的端口判断确定用户的MAC地址MAC-A和已经正常使用的用户冲突,则确定认证失败,并将失败的信息下发到接入设备上;
步骤26:接入设备根据返回的认证失败的消息,将学习到的该端口MAC地址信息及相应的端口信息均删除;
如果该端口在一段时间内由于MAC地址冲突导致多次认证不通过,认证设备通过相应的信息通知接入设备将相应的端口禁止,即禁止任何信息从该端口进入网络;
或者接入设备在一段时间内接收一定数量的由于MAC地址仿冒导致认证失败信息后,将该端口禁止。
如图1所示,其他的接入设备(例如接入设备B)或者用户(例如用户B和用户C)涉及的相应的认证处理过程与上述过程类似,故不再一一详述。
基于上述本发明所述的方法,本发明还提供了一种防止MAC地址仿冒的接入设备,所述的接入设备可以为只支持宽带接入的宽带接入设备,也可以为同时支持宽带接入和窄带接入的综合接入设备;
如图3所示,所述接入设备具体包括:
xDSL接入模块:用于提供xDSL的接入功能,即用于提供xDSL接口,所述的xDSL接口可以为ADSL接口(包括ADSL2、ADSL2+等),也可以为SHDSL接口,也可以为VDSL接口;
MAC地址仿冒处理模块:用于完成用户接入端口的MAC地址学习功能;该模块可以识别用户终端的认证报文,并且将认证报文和该接入用户的端口信息送到上行接口;该模块可以根据接收到的认证设备下发的认证失败消息,删除相应用户接入端口所学习到的MAC地址;
所述的MAC地址仿冒处理模块还设置有计数器,用于进行由于MAC地址仿冒导致的认证不成功的计数,如果一个端口在一段时间内多次出现MAC地址仿冒的问题,除了可以将所学习到的接入用户的MAC地址删除外,也可以将该接入端口关闭;
上行接口模块:用于将认证报文和该接入用户的端口信息送到认证设备;并支持接收认证设备下发的是否认证成功消息,送到MAC地址仿冒处理模块;所述的上行接口可以为GE接口(可以为光接口或者电接口),可以为FE接口(可以为光接口或者电接口),也可以为STM-1接口(可以为光接口或者电接口)、E1接口、E3接口或STM-4接口。
基于本发明所述的方法,还提供了一种防止地址仿冒的认证设备,如图4所示,所述认证设备具体包括:
用户信息存储模块:用于完成用户信息的存储功能,可以将用户的MAC地址信息、用户的端口信息等存储起来;并可以根据该接入用户是否在线,确定是否删除所储存的该用户的MAC地址信息及对应的端口信息;
MAC地址仿冒识别模块:用于接收接入设备发上来的认证报文和用户端口信息,提取用户终端的MAC地址,确认是否存在MAC地址仿冒的问题,如果用户为MAC地址仿冒的用户,向接入设备返回携带端口信息的由于MAC地址仿冒导致认证失败的消息;如果用户为非MAC地址仿冒用户,将认证报文提交认证模块认证,并将用户的信息送到用户信息存储模块进行存储;所述的MAC地址仿冒识别模块还设置有计数器,根据计数器的计数结果如果确定一个接入端口在一段时间内所发的MAC地址仿冒报文超过一定的数量,由可以下发命令,通知接入设备将该接入端口关闭或者禁止;
所述的MAC地址仿冒识别模块可以支持对PPPOE报文进行判断是否存在MAC地址仿冒;可以支持对PPPOA报文进行判断是否存在MAC地址仿冒;可以支持对DHCP报文进行判断是否存在MAC地址仿冒;还可以支持通过其他认证设备和接入设备之间的通讯协议查;
认证模块:用于完成非MAC地址仿冒的用户的认证报文的认证工作;并且,所述的认证模块可以支持PPPOE的认证,或者可以支持PPPOA的认证,或者可以支持DHCP的认证。
在上述接入设备和认证设备中,所述的MAC地址仿冒处理模块和MAC地址仿冒识别模块配合便可以进行针对仿冒的MAC地址进行有效地识别,从而实现本发明的目的。
综上所述,在本发明提供的防止MAC地址仿冒的方法中,认证设备可以根据接收到的认证报文及相应的用户信息,以及该用户的MAC地址信息,进行判断,判断是否存在MAC地址仿冒或者MAC地址冲突的问题,从而有效防止MAC地址仿冒情况出现。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (14)

1.一种防止媒体接入控制MAC地址仿冒的实现方法,其特征在于,包括:
A、获取请求接入网络的用户终端的MAC地址信息及对应的端口信息;
B、根据所述获取的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息,将绑定关系中的端口信息与所述对应的端口信息进行比较,如果不同,向相应的接入设备返回认证不成功信息。
2.根据权利要求1所述的防止MAC地址仿冒的实现方法,其特征在于,所述的步骤A包括:
A1、用户终端向接入设备发送认证请求报文,报文中携带着用户终端的MAC地址信息;
A2、接入设备获取所述认证请求报文,将认证请求报文和用户终端的端口信息发送给认证设备;
A3、认证设备接收接入设备发送的认证请求报文,并获取用户终端的MAC地址信息及对应的端口信息。
3.根据权利要求2所述的防止MAC地址仿冒的实现方法,其特征在于,步骤A2所述的认证请求报文处理方法包括:
支持在以太网的点对点协议认证报文或者动态主机配置协议DHCP认证报文中增加用户的端口信息后发送给认证设备。
4.根据权利要求1所述的防止MAC地址仿冒的实现方法,其特征在于,所述的端口信息包括:
用户终端的物理端口信息、用户端口的虚路径标识VPI、虚通道标识VCI信息和/或用户端口的虚拟局域网标识VLAN ID信息。
5.根据权利要求1至4任一项所述的防止MAC地址仿冒的实现方法,其特征在于,所述向相应的接入设备返回认证不成功信息之后,所述方法还包括:
接入设备将其保存的所述用户终端的MAC地址信息删除。
6.根据权利要求1至4任一项所述的防止MAC地址仿冒的实现方法,其特征在于,所述向相应的接入设备返回认证不成功信息的步骤包括:
当认证设备在设定的时间段内产生的基于同一用户端口认证失败导致的消息超过预定的次数时,则通知接入设备将该用户端口禁止。
7.根据权利要求5所述的防止MAC地址仿冒的实现方法,其特征在于,所述接入设备将其保存的所述用户终端的MAC地址信息删除包括:
当接入设备在设定的时间段内接收到的基于同一用户端口认证失败导致的消息超过预定的次数时,则将相应的用户端口禁止。
8.根据权利要求1至4任一项所述的防止MAC地址仿冒的实现方法,其特征在于,所述根据所述获取的MAC地址信息进行判断的步骤之后,还包括:
如果绑定关系中不存在所述获取的MAC地址信息,在认证设备上保存所述用户终端的MAC地址及其对应的端口信息。
9.一种防止媒体接入控制MAC地址仿冒的接入设备,其特征在于,包括:
xDSL接入模块,用于提供xDSL接口及相应的xDSL接入功能;
MAC地址仿冒处理模块,用于识别用户终端的认证报文,并且将认证报文和接入用户的端口信息送到上行接口模块,并根据接收到的认证设备下发的由于认证成功导致的消息,将相应的用户接入端口所学习到的MAC地址和该相应的用户接入端口绑定;或者根据接收到的认证设备返回的认证失败的消息,删除相应用户接入端口所学习到的MAC地址;
上行接口模块,用于将认证报文和该接入用户的端口信息送到认证设备以使所述认证设备获取认证报文中的MAC地址和该接入用户的端口信息,根据获取的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息,将绑定关系中的端口信息与所述认证设备获取的接入用户的端口信息进行比较,如果不同,向接入设备返回认证失败的消息;并支持接收认证设备下发的消息,送到MAC地址仿冒处理模块。
10.根据权利要求9所述的防止MAC地址仿冒的接入设备,其特征在于,所述的接入设备为只支持宽带接入的宽带接入设备,或为同时支持宽带接入和窄带接入的综合接入设备。
11.根据权利要求9所述的防止MAC地址仿冒的接入设备,其特征在于,所述的xDSL接口为不对称数字用户线接口,单线对高比特率数字用户线接口,或甚高速数字用户线接口。
12.根据权利要求9所述的防止MAC地址仿冒的接入设备,其特征在于,所述的MAC地址仿冒处理模块还设置有计数器,用于对由于MAC地址仿冒导致的认证不成功的次数进行计数,且当一个用户接入端口在一段时间内出现MAC地址仿冒次数超过预定数值时,除了将所学习到的接入用户的MAC地址删除外,还将相应的用户接入端口关闭。
13.一种防止媒体接入控制MAC地址仿冒的认证设备,其特征在于,包括:
用户信息存储模块,用于完成用户信息的存储功能;
MAC地址仿冒识别模块,用于接收接入设备发上来的认证报文和用户端口信息,提取用户终端的MAC地址,确认是否存在MAC地址仿冒问题,如果用户为MAC地址仿冒的用户,则向接入设备返回携带端口信息的由于MAC地址仿冒导致认证失败的消息;如果用户为非MAC地址仿冒的用户,则将认证报文提交认证模块,并将用户的信息送到用户信息存储模块进行存储,其中,确认用户为MAC地址仿冒的用户包括:根据认证报文中的MAC地址信息进行判断,如果发现保存的MAC地址与用户端口的绑定关系中存在所述提取的MAC地址信息,将绑定关系中的端口信息与接收的用户端口信息进行比较,如果不同则确定所述用户为MAC地址仿冒的用户;
认证模块,用于完成非MAC地址仿冒的用户的认证报文的认证工作。
14.根据权利要求13所述的防止MAC地址仿冒的认证设备,其特征在于,所述的MAC地址仿冒识别模块还包括计数器,当一个接入端口在一段时间内所发的MAC地址仿冒报文超过预定的数量时,则通知接入设备将该接入端口关闭或者禁止。
CN2005100662366A 2005-04-25 2005-04-25 防止mac地址仿冒的实现方法和设备 Expired - Fee Related CN1855812B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN2005100662366A CN1855812B (zh) 2005-04-25 2005-04-25 防止mac地址仿冒的实现方法和设备
ES06722401T ES2387315T3 (es) 2005-04-25 2006-04-25 Un método, sistema y aparato para impedir la falsificación de una dirección MAC
EP06722401A EP1863217B1 (en) 2005-04-25 2006-04-25 A method, system and apparatus for preventing from counterfeiting the mac address
PCT/CN2006/000782 WO2006114053A1 (fr) 2005-04-25 2006-04-25 Procede, systeme et appareil visant a empecher la contrefacon d’une adresse mac
US11/924,449 US7958541B2 (en) 2005-04-25 2007-10-25 Method, system and apparatus for preventing media access control address counterfeiting

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2005100662366A CN1855812B (zh) 2005-04-25 2005-04-25 防止mac地址仿冒的实现方法和设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN 200810185398 Division CN101567883B (zh) 2005-04-25 2005-04-25 防止mac地址仿冒的实现方法

Publications (2)

Publication Number Publication Date
CN1855812A CN1855812A (zh) 2006-11-01
CN1855812B true CN1855812B (zh) 2010-04-28

Family

ID=37195684

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2005100662366A Expired - Fee Related CN1855812B (zh) 2005-04-25 2005-04-25 防止mac地址仿冒的实现方法和设备

Country Status (5)

Country Link
US (1) US7958541B2 (zh)
EP (1) EP1863217B1 (zh)
CN (1) CN1855812B (zh)
ES (1) ES2387315T3 (zh)
WO (1) WO2006114053A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567883B (zh) * 2005-04-25 2013-12-18 华为技术有限公司 防止mac地址仿冒的实现方法

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179420B (zh) * 2006-11-09 2010-09-29 中兴通讯股份有限公司 一种使可插拔光模块不被复制使用的方法
CN101321054B (zh) 2007-06-08 2011-02-09 华为技术有限公司 自动防止网络侧媒体接入控制地址被仿冒的方法及其装置
KR20100045716A (ko) * 2008-10-24 2010-05-04 삼성전자주식회사 정적 식별자 및 동적 식별자를 이용한 정품 인증에 기초한 통신 방법 및 장치
CN102098278B (zh) 2009-12-15 2015-01-21 华为技术有限公司 用户接入方法、系统及接入服务器、接入设备
US8964740B2 (en) 2010-07-28 2015-02-24 CSC Holdings, LLC Group signaling using synthetic media access control addresses
WO2012103708A1 (zh) * 2011-06-27 2012-08-09 华为技术有限公司 媒体访问控制mac地址保护方法和交换机
US9225719B2 (en) * 2011-12-12 2015-12-29 Jpmorgan Chase Bank, N.A. System and method for trusted pair security
KR20130073850A (ko) * 2011-12-23 2013-07-03 삼성전자주식회사 페이크 네트워크의 식별을 위한 방법 및 장치
JP5923982B2 (ja) * 2011-12-28 2016-05-25 株式会社リコー 携帯端末、認証方法、認証プログラム、
CN104125175B (zh) * 2013-04-28 2018-10-12 上海斐讯数据通信技术有限公司 交换设备端口mac地址绑定方法
CN104982004B (zh) * 2013-12-31 2018-08-14 华为技术有限公司 管理网络安全的方法及接入设备
US20150235052A1 (en) 2014-02-17 2015-08-20 Samsung Electronics Co., Ltd. Electronic device and method for protecting users privacy
CN107579955B (zh) * 2017-08-07 2021-07-02 台州市吉吉知识产权运营有限公司 一种动态主机配置协议监听与防护方法和系统
CN107707435B (zh) * 2017-09-14 2020-11-20 新华三技术有限公司 一种报文处理方法和装置
CN109347841B (zh) * 2018-10-26 2021-08-10 深圳市元征科技股份有限公司 Mac地址认证方法、装置、终端、服务器及存储介质
CN111526108B (zh) * 2019-02-01 2021-08-20 华为技术有限公司 防止网络攻击的方法与装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6115376A (en) * 1996-12-13 2000-09-05 3Com Corporation Medium access control address authentication

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW586285B (en) * 2001-12-31 2004-05-01 Inventec Corp System and method for identifying user's physical location
US7234163B1 (en) 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
CN100341305C (zh) * 2002-11-26 2007-10-03 华为技术有限公司 基于802.1x协议的组播控制方法
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
US20050182946A1 (en) * 2004-02-13 2005-08-18 Will Shatford Fast hashing function for pseudo-random generator

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6115376A (en) * 1996-12-13 2000-09-05 3Com Corporation Medium access control address authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567883B (zh) * 2005-04-25 2013-12-18 华为技术有限公司 防止mac地址仿冒的实现方法

Also Published As

Publication number Publication date
US20080134291A1 (en) 2008-06-05
ES2387315T3 (es) 2012-09-20
US7958541B2 (en) 2011-06-07
CN1855812A (zh) 2006-11-01
WO2006114053A1 (fr) 2006-11-02
EP1863217B1 (en) 2012-05-23
EP1863217A4 (en) 2009-03-18
EP1863217A1 (en) 2007-12-05

Similar Documents

Publication Publication Date Title
CN1855812B (zh) 防止mac地址仿冒的实现方法和设备
CN101567883B (zh) 防止mac地址仿冒的实现方法
CN101064714B (zh) 一种业务发放的方法
CN101188614B (zh) 一种用户接入安全控制的方法、系统和设备
CN101527655B (zh) 用于资源访问控制的动态简档系统
US20050204062A1 (en) Subscriber line accommodation device and packet filtering method
CN101374045B (zh) 一种在gpon接入设备上实现用户端口定位的方法
CN107707435B (zh) 一种报文处理方法和装置
CN101888329B (zh) 地址解析协议报文的处理方法、装置及接入设备
CN100388684C (zh) 宽带接入网络中防止点到点协议认证攻击的实现方法
CN101453447A (zh) 动态主机配置协议dhcp用户老化的方法及接入设备
FR2716323A1 (fr) Système sécurisé d'interconnexion de réseaux locaux via un réseau de transmission public.
US7733790B2 (en) Method and apparatus for verifying service provisioning in networks used to provide digital subscriber line services
CN101098290B (zh) 一种在an上实现ip地址防欺骗的装置及其方法
CN101018226A (zh) 一种接入终端与运营商绑定的方法
CN103026687A (zh) 限制被拒绝订户端站所消耗的资源
CN100438446C (zh) 接入控制设备、接入控制系统和接入控制方法
EP2073432B1 (en) Method for binding an access terminal to an operator and corresponding access terminal
CN100397834C (zh) 提供多业务应用的网络
CN101436954B (zh) 业务策略请求验证系统、业务策略申请和撤销方法
CN100550901C (zh) 宽带接入服务器获取宽带用户接入端口信息的方法
CN102790696B (zh) 一种网络接入系统及其网络接入方法
CN101415032B (zh) 三层专线接入方法、装置及系统
CN104982004B (zh) 管理网络安全的方法及接入设备
CN101399678B (zh) 一种对固定ip用户认证计费的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100428

Termination date: 20170425

CF01 Termination of patent right due to non-payment of annual fee