ES2387315T3 - Un método, sistema y aparato para impedir la falsificación de una dirección MAC - Google Patents

Un método, sistema y aparato para impedir la falsificación de una dirección MAC Download PDF

Info

Publication number
ES2387315T3
ES2387315T3 ES06722401T ES06722401T ES2387315T3 ES 2387315 T3 ES2387315 T3 ES 2387315T3 ES 06722401 T ES06722401 T ES 06722401T ES 06722401 T ES06722401 T ES 06722401T ES 2387315 T3 ES2387315 T3 ES 2387315T3
Authority
ES
Spain
Prior art keywords
mac address
access port
authentication
source mac
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06722401T
Other languages
English (en)
Inventor
Haijun Wu
Jun Zhang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2387315T3 publication Critical patent/ES2387315T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método para impedir la falsificación de una dirección de Control de Acceso al Medio (MAC), caracterizadoporque comprende:recibir, mediante un dispositivo de autenticación, una dirección MAC fuente e información de puerto de acceso de unpuerto de acceso desde un dispositivo de acceso, en donde la dirección MAC fuente y la información de puerto deacceso están asociadas con una demanda de autenticación desde el puerto de acceso recibida por el dispositivo deacceso;determinar, mediante el dispositivo de autenticación, si la dirección MAC fuente recibida es una dirección MAC falsificadaen función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información depuerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida ysi la dirección MAC fuente recibida es una dirección MAC falsificada, rechazar, por el dispositivo de autenticación, lademanda de autenticación.

Description

Un método, sistema y aparato para impedir la falsificación de una dirección MAC
CAMPO DE LA INVENCIÓN
La presente invención se refiere a las comunicaciones de redes y en particular, a un método, sistema y aparato para impedir la falsificación de dirección de Control de Acceso al Medio.
ANTECEDENTES DE LA INVENCIÓN
Actualmente, dispositivos de acceso tales como Multiplexor de Acceso a la Línea Digital de Abonado (DSLAM) y un Dispositivo de Acceso Integrado se han aplicado, en gran medida, para proporcionar acceso de banda ancha. Dichos dispositivos de acceso pueden proporcionar una diversidad de accesos de banda ancha tales como Bucle de Abonado Digital Asimétrico (ADSL), Línea de Abonado Digital de Alta Tasa de Transferencia de Línea Única (SHDSL), Bucle de Abonado Digital de muy Alta Tasa de Transferencia (VDSL), etc., para permitir a los usuarios acceder a Internet de banda ancha de acceso y para realizar otros servicios tales como servicios de vídeo y servicios de telefonía de IP (Protocolo de Internet).
Actualmente, con el fin de poner en práctica la autenticación y facturación para usuarios y para evitar un acceso malintencionado de usuarios ilícitos, se emplean criterios de filtro basados en la dirección de Control de Acceso al Medio (MAC) para filtrar a los usuarios que acceden a la red.
Sin embargo, con el aumento de los usuarios de banda ancha, algunos usuarios ilícitos acceden ilegalmente a la red de banda ancha por medio de la falsificación de direcciones MAC legales y pueden prestar sus servicios ilícitos o interferir, de forma malintencionada, con los servicios normales en la red de banda ancha. Por ejemplo, algunos usuarios ilícitos pueden cambiar las direcciones MAC de los usuarios legales utilizando herramientas de software para atacar a los usuarios legales e interferir con los servicios de banda ancha normales. Por lo tanto, la red de acceso de banda ancha necesita capacidades para impedir la falsificación de dirección MAC.
Una solución para evitar la falsificación de dirección MAC está vinculada a una dirección MAC fuente con un puerto de origen. Según esta solución, a cada usuario que tiene acceso a la red se le asigna una o más direcciones MAC fuente y se memoriza una relación entre una dirección MAC fuente y un puerto de acceso. De este modo, a la recepción de un paquete de Ethernet enviado desde un usuario a través de un puerto de acceso, un dispositivo de acceso determina si la dirección MAC fuente del paquete coincide con el puerto de acceso. Si la dirección MAC fuente del paquete coincide con el puerto de acceso, el dispositivo de acceso reenvía el paquete a una capa superior de la red de banda ancha; de no ser así, el dispositivo de acceso desecha el paquete. Según esta solución, a cada uno de los puertos de acceso necesita asignarse al menos una dirección MAC fuente correspondiente y esta operación se realiza de forma aleatoria. Cuando existe un gran número de puertos de acceso en la red de banda ancha, la carga de trabajo para proporcionar una o más direcciones MAC fuente para cada uno de los puertos de acceso es bastante pesada. Además, puesto que la dirección MAC fuente está vinculada con el puerto de acceso, si el usuario tiene un nuevo PC o desea cambiar la dirección MAC actual a otra dirección MAC legal, el usuario ha de efectuar la reposición de la dirección MAC fuente en el dispositivo de acceso para prestar servicios, lo que resulta bastante complejo y por ello, esta solución es difícil de aplicarse ampliamente.
El documento US 6.115.376 da a conocer un método para mejorar la seguridad de la red en una red. A la recepción de un paquete en un puerto particular, el proceso implica determinar si el paquete soporta una dirección fuente con la que los datos de autenticación establecen una correspondencia, o mapeo, con el puerto particular. Si el paquete soporta una dirección fuente con la que los datos de autenticación establecen una correspondencia con el puerto particular, en tal caso, se acepta el paquete y en caso contrario, se ejecuta un protocolo de autenticación en el puerto para determinar si la dirección tiene su origen, o no, en un emisor autorizado.
SUMARIO DE LA INVENCIÓN
Un método, un sistema y un aparato para impedir la falsificación de dirección MAC se dan a conocer por las formas de realización de esta invención, con el fin de evitar la falsificación de la dirección MAC y aligerar la carga de trabajo del sistema sin asignar una o más direcciones MAC a cada puerto de acceso.
Un método para impedir la falsificación de dirección MAC comprende:
recibir, por un dispositivo de autenticación, una dirección MAC fuente e información de puerto de acceso de un puerto de acceso desde un dispositivo de acceso, en donde la dirección MAC fuente y la información de puerto de acceso están asociadas con una demanda de autenticación desde el puerto de acceso recibida por el dispositivo de acceso;
determinar, por el dispositivo de autenticación, si la dirección MAC fuente recibida es una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida y
si la dirección MAC fuente recibida es una dirección MAC falsificada, rechazar, por el dispositivo de autenticación, la demanda de autenticación.
La recepción, por el dispositivo de autenticación, de la dirección MAC fuente y de la información de puerto de acceso del puerto de acceso comprende:
añadir por un dispositivo de acceso, la información de puerto de acceso a la demanda de autenticación después de recibir la demanda de autenticación que soporta la dirección MAC fuente desde el puerto de acceso y
recibir, por el dispositivo de autenticación, la demanda de autenticación que soporta la dirección MAC fuente y la información de puerto de acceso desde el dispositivo de acceso.
En otra forma de realización, la recepción, por el dispositivo de autenticación, de la dirección MAC fuente y de la información de puerto de acceso del puerto de acceso comprende:
recibir, por el dispositivo de autenticación, la demanda de autenticación que soporta la dirección MAC fuente desde un dispositivo de acceso que recibe la demanda de autenticación que soporta la dirección MAC fuente desde el puerto de acceso;
enviar un mensaje de interrogación que soporta la dirección MAC fuente al dispositivo de acceso para consultar la información de puerto de acceso del puerto de acceso y
recibir la información de puerto de acceso desde el dispositivo de acceso.
El rechazo de la demanda de autenticación comprende:
el envío, por el dispositivo de autenticación, al dispositivo de acceso de un mensaje que indica que una autenticación correspondiente a la demanda de autenticación es fallida e incluyendo la información de puerto de acceso del puerto de acceso que envía la demanda de autenticación.
La determinación de si la dirección MAC fuente recibida es una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y que corresponde a la dirección MAC fuente recibida, comprende:
determinar, por el dispositivo de autenticación, si la dirección MAC fuente recibida ha sido memorizada, o no, en el dispositivo de autenticación;
si la dirección MAC fuente recibida no se memoriza en el dispositivo de autenticación, la determinación, por el dispositivo de autenticación, de que la dirección MAC fuente recibida no es una dirección MAC falsificada y la memorización de una relación entre la dirección MAC fuente y la información de puerto de acceso recibida;
si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación, la determinación, por el dispositivo de autenticación, de si la información de puerto de acceso recibida es coherente, o no, con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida; si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, la determinación de que la dirección MAC fuente recibida no es una dirección MAC falsificada; si la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, la determinación de que la dirección MAC fuente es una dirección MAC falsificada.
El método puede comprender, además:
el registro, por el dispositivo de autenticación, del número de fallos de autenticación que se producen en el puerto de acceso y la notificación al dispositivo de acceso del cierre del puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido.
El método puede comprender, además:
después de recibir la información de puerto de acceso del puerto de acceso, el registro, por el dispositivo de acceso, del número de los fallos de autenticación que se producen en el puerto de acceso y el cierre del puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido.
El método puede comprender, además:
5 memorizar, por el dispositivo de acceso, una relación entre la información MAC fuente y la información de puerto de acceso.
El método puede comprender, además:
10 la supresión, por el dispositivo de acceso, de la información MAC fuente correspondiente a la información de puerto de acceso recibida, que se memoriza en el propio dispositivo de acceso después de recibir la información de puerto de acceso del puerto de acceso, en donde ocurre un fallo de autenticación.
15 Un sistema para impedir la falsificación de la dirección MAC, comprende:
un dispositivo de acceso, configurado para recibir una demanda de autenticación desde un puerto de acceso y para enviar una dirección MAC fuente e información de puerto de acceso asociada con la demanda de autenticación y
20 un dispositivo de autenticación, configurado para recibir la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación desde el dispositivo de acceso, para determinar si la dirección MAC fuente recibida es una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida y si la dirección MAC fuente recibida es una dirección MAC falsificada,
25 para rechazar la demanda de autenticación.
El dispositivo de autenticación puede comprender:
un módulo identificador de falsificación de dirección MAC, configurado para determinar si la dirección MAC fuente 30 recibida se memoriza en el dispositivo de autenticación;
si la dirección MAC fuente recibida no se memoriza en el dispositivo de autenticación, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada y memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso;
35 si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación, determinar si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida; si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la
40 dirección MAC fuente recibida, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada; si la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, determinar que la dirección MAC fuente es una dirección MAC falsificada.
45 El dispositivo de acceso puede comprender un primer módulo de conteo, configurado para registrar el número de fallos de autenticación que se producen en el puerto de acceso después de recibir un mensaje que indica que una autenticación correspondiente a la demanda de autenticación es fallida y para cerrar el puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso, satisface una condición.
50 El dispositivo de autenticación puede comprender:
un segundo módulo de conteo, configurado para registrar el número de fallos de autenticación que se producen en el puerto de acceso y para notificar al dispositivo de acceso el cierre del puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso, satisface una condición.
55 Un dispositivo de acceso para impedir la falsificación de la dirección MAC puede comprender:
un módulo de acceso, configurado para recibir una demanda de autenticación que soporta una dirección MAC fuente desde un puerto de acceso y para enviar la demanda de autenticación;
60 un módulo de procesamiento de dirección MAC, configurado para recibir la demanda de autenticación desde el módulo de acceso y para enviar la dirección MAC fuente y la información de puerto de acceso del puerto de acceso, en donde la dirección MAC fuente y la información de puerto de acceso están asociadas con la demanda de autenticación y
un módulo de interfaz de enlace ascendente, configurado para recibir la dirección MAC fuente y la información de puerto de acceso desde el módulo de procesamiento de dirección MAC y para enviar la dirección MAC fuente y la información de puerto de acceso a un dispositivo de autenticación.
El módulo de procesamiento de dirección MAC comprende un módulo de conteo, configurado para registrar el número de fallos de autenticación que se producen en el puerto de acceso después de recibir un mensaje que indica que resultó fallida una autenticación correspondiente a la demanda de autenticación y para cerrar el puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso, satisface una condición.
Un dispositivo de autenticación para impedir la falsificación de dirección MAC comprende:
un módulo de interfaz, configurado para recibir una dirección MAC fuente e información de puerto de acceso de un puerto de acceso, en donde la dirección MAC fuente y la información de puerto de acceso están asociadas con una demanda de autenticación desde un dispositivo de acceso;
un módulo de procesamiento, configurado para determinar si la dirección MAC fuente recibida es una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida y si la dirección MAC fuente recibida es una dirección MAC falsificada, para rechazar la demanda de autenticación.
El módulo de procesamiento comprende:
un módulo de memorización de información de usuario, configurado para memorizar la dirección MAC fuente y la información de puerto de acceso; configurado para determinar si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación;
si la dirección MAC fuente recibida no se memoriza en el dispositivo de autenticación, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada y memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso;
si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación, determinar si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida; si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC recibida, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada; si la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, para enviar un mensaje que indica que la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida;
un módulo identificador de falsificación de dirección MAC, configurado para enviar un mensaje de interrogación que soporta la dirección MAC fuente y la información de puerto de acceso al módulo de memorización de información de usuario; a la recepción del mensaje que indica que la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, para enviar un mensaje de fallo de autenticación al dispositivo de acceso; de no ser así, para enviar la demanda de autenticación a un módulo de autenticación y
el módulo de autenticación, configurado para recibir la demanda de autenticación desde el módulo identificador de falsificación de dirección MAC y para realizar una autenticación.
El módulo identificador de falsificación de dirección MAC comprende:
un módulo de conteo, configurado para registrar el número de fallos de autenticación que se producen en el puerto de acceso y para notificar al dispositivo de acceso el cierre del puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso, satisface una condición. En conformidad con la solución ofrecida por las formas de realización de esta invención, a la recepción de la dirección MAC fuente y de la información de puerto de acceso asociada con una demanda de autenticación, el dispositivo de autenticación determina si la dirección MAC fuente es una dirección MAC falsificada, o no lo es. Si la dirección MAC fuente es una dirección MAC falsificada, el dispositivo de autenticación reenvía al dispositivo de acceso un mensaje de fallo de autenticación. Según esta solución, el dispositivo de acceso no necesita asignar una o más direcciones MAC a cada puerto de acceso, con lo que se libera la carga de trabajo del sistema. Además, aún cuando un usuario cambie un puerto de acceso o una dirección MAC fuente, el dispositivo de acceso no necesita reasignar nuevas direcciones MAC, con lo que se libera la carga de trabajo del sistema y se simplifican las operaciones. Por al menos los motivos anteriores, la solución ofrecida por formas de realización de esta invención se pueden utilizar ampliamente.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
La Figura 1 es un diagrama de flujo de un sistema para impedir la falsificación de dirección MAC según una forma de realización de esta invención;
La Figura 2 es un diagrama esquemático que ilustra un sistema para evitar la falsificación de dirección MAC según una forma de realización de esta invención;
La Figura 3 es un diagrama esquemático que ilustra un dispositivo de acceso para impedir la falsificación de dirección MAC según una forma de realización de esta invención;
La Figura 4 es un diagrama esquemático que ilustra un dispositivo de autenticación para impedir la falsificación de dirección MAC según una forma de realización de esta invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN
La presente invención se describirá, a continuación, en detalle haciendo referencia a los dibujos adjuntos y a sus formas de realización.
La Figura 1 representa un diagrama de flujo para impedir la falsificación de dirección MAC según una forma de realización de esta invención. Según se representa en la Figura 1, se pueden incluir varios bloques funcionales.
Bloque 101: Un usuario envía una demanda de autenticación a un dispositivo de acceso por intermedio de un puerto de acceso. La demanda de autenticación soporta una dirección MAC (esto es, una dirección MAC fuente) del puerto de acceso.
Cuando el usuario A, que accede a la red de banda ancha a través del dispositivo de acceso A, inicia un proceso de autenticación, el usuario A envía al dispositivo de acceso A una demanda de autenticación. La demanda de autenticación puede ser un mensaje de Protocolo Punto a Punto sobre Ethernet (PPPOE) o un mensaje de Protocolo de Configuración Dinámica de Hosts (DHCP).
Bloque 102: Después de recibir la demanda de autenticación desde el puerto de acceso, el dispositivo de acceso envía a un dispositivo de autenticación la dirección MAC fuente y la información de puerto de acceso del puerto de acceso relacionada con la demanda de autenticación y memoriza una relación entre la dirección MAC fuente y la información de puerto de acceso del puerto de acceso.
Más concretamente, el dispositivo de acceso puede añadir la información de puerto de acceso en la demanda de autenticación y enviar la demanda de autenticación al dispositivo de autenticación o enviar la información de puerto de acceso al dispositivo de autenticación por intermedio de un protocolo de comunicación especial. Por ejemplo, el dispositivo de acceso envía la demanda de autenticación al dispositivo de autenticación. A la recepción de la demanda de autenticación, si el dispositivo de autenticación detecta que la demanda de autenticación no soporta la información de puerto de acceso, el dispositivo de autenticación envía al dispositivo de acceso un mensaje de interrogación que soporta la dirección MAC fuente. A la recepción del mensaje de interrogación de puerto, el dispositivo de acceso envía al dispositivo de autenticación la información de puerto de acceso correspondiente a la dirección MAC fuente.
El dispositivo de acceso puede añadir también la información de puerto de acceso en un PPPOE o un DHCP o un mensaje de autenticación de PPPOA o convertir el mensaje de PPPOA en el mensaje PPPOE y añadir la información de puerto de acceso en el mensaje PPPOE.
La información de puerto de acceso es información de dirección física del puerto de acceso, tal como información de puerto física del puerto de acceso, información de Red de Área Local Virtual (VLAN) del puerto de acceso, identificador de Canal Virtual/Identificador de Ruta Virtual (VPI/VCI) del puerto de acceso, etc.
Bloque 103: El dispositivo de autenticación recibe la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación.
Bloque 104: El dispositivo de autenticación determina si la dirección MAC fuente se memoriza en el dispositivo de autenticación. Si la dirección MAC fuente se memoriza en el dispositivo de autenticación, se puede realizar el bloque 106; de no ser así, se puede realizar el bloque 105.
Bloque 105: El dispositivo de autenticación determina que la dirección MAC fuente no es una dirección MAC falsificada y se transmite autenticación y se memoriza una relación de la dirección MAC fuente, la información de puerto de acceso y la información de puerto del dispositivo de autenticación.
Si la dirección MAC fuente no se memoriza en el dispositivo de autenticación, ello indica que la demanda de autenticación se inicia por un nuevo usuario.
Bloque 106: El dispositivo de autenticación recupera la información de puerto de acceso en función de la relación entre la dirección MAC fuente memorizada y la información de puerto de acceso y determina si la información de puerto de acceso enviada por el dispositivo de acceso es coherente, o no, con la información de puerto de acceso recuperada. Si la información de puerto de acceso enviada por el dispositivo de acceso es coherente con la información de puerto de acceso recuperada, el dispositivo de autenticación determina que la dirección MAC fuente es una dirección MAC legal y se transmite la autenticación; de no ser así, se puede realizar el bloque 107.
Si la información de puerto de acceso, en la demanda de autenticación, es coherente con la información de puerto de acceso memoriza en el dispositivo de autenticación, ello indica que la demanda de autenticación se envía por un usuario que ha accedido a la red.
Bloque 107: El dispositivo de autenticación determina que la dirección MAC fuente es una dirección MAC falsificada y reenvía al dispositivo de acceso un mensaje de fallo de autenticación que transmite la información de puerto de acceso.
Además, después de que el dispositivo de acceso determine que la dirección MAC fuente es una dirección MAC falsificada, el número de fallos de autenticación en el puerto de acceso que corresponde a la dirección MAC fuente se registra en el dispositivo de autenticación. Si el número de fallos de autenticación, que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido, el dispositivo de autenticación notifica al dispositivo de acceso la operación del cierre del puerto de acceso, es decir, para inhibir cualquier información que pretenda entrar en la red a través del puerto de acceso.
Bloque 108: A la recepción del mensaje de fallo de autenticación, el dispositivo de acceso suprime la dirección MAC fuente que se memoriza y corresponde a la información de puerto de acceso soportada en el mensaje de fallo de autenticación.
Además, a la recepción del mensaje de fallo de autenticación, el dispositivo de acceso registra el número de fallos de autenticación que se producen en el puerto de acceso. Si el número de fallos de autenticación que se producen en el puerto de acceso, dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido, el dispositivo de acceso cierra el puerto de acceso.
La Figura 2 representa un diagrama esquemático que ilustra un sistema para impedir la falsificación de dirección MAC según una forma de realización de la presente invención. Según se indica en la Figura 2, el sistema puede incluir un dispositivo de acceso 21 y un dispositivo de autenticación 22.
Un dispositivo de acceso 21 está configurado para recibir una demanda de autenticación que soporta una dirección MAC fuente que se envía por un usuario por intermedio de un puerto de acceso, para enviar al dispositivo de autenticación 22 la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación y para memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso. A la recepción de un mensaje de fallo de autenticación, que soporta la información de puerto de acceso y se envía por el dispositivo de autenticación 22, el dispositivo de acceso 21 está configurado para suprimir la dirección MAC fuente memorizada correspondiente a la información del puerto de acceso.
El dispositivo de acceso 21 puede incluir un primer módulo de conteo configurado para recibir un mensaje de fallo de autenticación que soporta la información de puerto de acceso y se envía por el dispositivo de autenticación 22, para registrar el número de fallos de autenticación que se producen en el puerto de acceso correspondiente a la información de puerto de acceso y para cerrar el puerto de acceso si el número de fallos de autenticación que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido.
El dispositivo de acceso puede ser un dispositivo DSLAM que soporta el acceso de banda ancha o un dispositivo de acceso integrado que soporta los accesos de banda ancha y de banda estrecha.
El usuario puede acceder al dispositivo de acceso a través de dichos puertos de acceso como puertos ADSL o SHDSL o VDSL.
El dispositivo de acceso 21 y el dispositivo de autenticación 22 pueden comunicarse entre sí a través de una Red deÁrea Metropolitana o comunicarse entre sí directamente. El dispositivo de acceso 21 puede conectarse con la Red deÁrea Metropolitana o con el dispositivo de autenticación 22 a través de su interfaz de Modo de Transferencia Asíncrona (ATM) o la interfaz de Protocolo de Internet (IP).
El dispositivo de autenticación 22 está configurado para recibir la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación enviada por el dispositivo de acceso 21 y determina si la dirección MAC fuente está memorizada en el dispositivo de autenticación 22. Si la dirección MAC fuente está memorizada en el dispositivo de autenticación 22, dicho dispositivo de autenticación 22 determina si la información de puerto de acceso correspondiente a la dirección MAC fuente memorizada es coherente con la información del puerto de acceso enviada por el dispositivo de acceso 21. Si la información de puerto de acceso correspondiente a la dirección MAC fuente
memorizada no es coherente con la información de puerto de acceso enviada por el dispositivo de acceso 21, el dispositivo de autenticación 22 reenvía al dispositivo de acceso 21 un mensaje de fallo de autenticación que soporta la información de puerto de acceso; de no ser así, el dispositivo de autenticación 22 memoriza una relación de la dirección MAC fuente y la información de puerto de acceso.
El dispositivo de autenticación 22 puede incluir un segundo módulo de conteo configurado para registrar el número de fallos de autenticación que se producen en el puerto de acceso después de que se detecte un fallo de autenticación y para enviar un mensaje de cierre de puerto que soporta la información de puerto de acceso al dispositivo de acceso 21 si el número de fallos de autenticación, que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido.
El dispositivo de autenticación 22 puede ser un servidor de acceso remoto de banda ancha (BRAS) o un servidor DHCP.
La Figura 3 representa un diagrama esquemático que ilustra una estructura de un dispositivo de acceso para evitar la falsificación de dirección MAC según una forma de realización de esta invención. Según se representa en la Figura 3, el dispositivo de acceso 21 puede incluir un módulo de acceso 211, un módulo de procesamiento de dirección MAC 212 y un módulo de interfaz de enlace ascendente 213.
El módulo de acceso 211 está configurado para recibir una demanda de autenticación que soporta una dirección MAC fuente y se envía por un usuario y para enviar la demanda de autenticación al módulo de procesamiento de dirección MAC 212.
El módulo de acceso 211 está configurado con una interfaz xDSL, que puede ser una interfaz ADSL que incluye ADSL2, ADSL2+, etc., o una interfaz SHDSL o una interfaz VDSL.
El módulo de procesamiento de dirección MAC 212 está configurado para recibir la demanda de autenticación que soporta la dirección MAC fuente desde el módulo de acceso 211, para memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso y para enviar la información de puerto de acceso y la dirección MAC fuente asociada con la demanda de autenticación al módulo de interfaz de enlace ascendente 213. A la recepción de un mensaje de fallo de autenticación, que soporta la información de puerto de acceso enviada desde el módulo de interfaz de enlace ascendente 213, el módulo de procesamiento de dirección MAC 212 suprime la dirección MAC fuente que está memorizada en dicho módulo, en donde la dirección MAC fuente memorizada en el módulo de procesamiento de dirección MAC 212 está vinculada con la información de puerto de acceso soportada en el mensaje de fallo de autenticación.
El módulo de procesamiento de dirección MAC 212 puede incluir un módulo de conteo configurado para recibir un mensaje de fallo de autenticación que soporta la información de puerto de acceso desde el módulo de interfaz de enlace ascendente 213, para registrar el número de fallos de autenticación que se producen en el puerto de acceso correspondiente a la información de puerto de acceso soportada en el mensaje de fallo de autenticación y para cerrar el puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido.
El módulo de interfaz de enlace ascendente 213 está configurado para enviar a un dispositivo de autenticación 22 la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación desde el módulo de procesamiento de dirección MAC 212 y para enviar al módulo de procesamiento de dirección MAC 212 el mensaje de fallo de autenticación que soporta la información de puerto de acceso recibida desde el dispositivo de autenticación 22.
El módulo de interfaz de enlace ascendente 213 puede estar configurado con dichas interfaces de enlace ascendente tal como interfaz de Ethernet Gigabit (GE) (p.e., interfaz de GE óptica o interfaz de GE eléctrica), interfaz de Fast Ethernet (FE) (p.e., interfaz FE óptica o interfaz FE eléctrica), interfaz de Modo de Transferencia Síncrona (STM) -1 (p.e., interfaz óptica STM-1 o interfaz eléctrica STM-1), la interfaz E1, la interfaz E3 o la interfaz STM-4.
La Figura 4 representa un diagrama esquemático que ilustra una estructura de un dispositivo de autenticación para impedir la falsificación de dirección MAC según una forma de realización de la invención. Según se representa en la Figura 4, el dispositivo de autenticación 22 puede incluir un módulo de memorización de información de usuario 221, un módulo identificador de falsificación de dirección MAC 222 y un módulo de autenticación 223.
El módulo de memorización de información de usuario 221 está configurado para memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso. A la recepción de un mensaje de interrogación que soporta la dirección MAC fuente y la información de puerto de acceso desde el módulo identificador de falsificación de dirección MAC 222, si el módulo de memorización de información de usuario 221 detecta que la dirección MAC fuente, soportada en el mensaje de interrogación, no está memorizada en el módulo de memorización de información de usuario 221, dicho módulo de memorización de información de usuario 221 envía al módulo identificador de falsificación de dirección MAC 222 un mensaje que indica que no existe la dirección MAC fuente y memoriza una relación de la dirección MAC fuente, la información de puerto de acceso y la información de puerto del dispositivo de autenticación. Si el módulo de memorización de información de usuario 221 detecta que la dirección MAC fuente, transmitida en el mensaje de
interrogación, está memorizada en el módulo de memorización de información de usuario 221 y la información de puerto de acceso memorizada, que está vinculada con la dirección MAC fuente, no es coherente con la información de puerto de acceso enviada por el módulo identificador de falsificación de dirección MAC 222, el módulo de memorización de información de usuario 221 reenvía al módulo identificador de falsificación de dirección MAC 222 un mensaje que indica que la información de puerto de acceso desde el módulo identificador de falsificación de dirección MAC 222 no es coherente con la información de puerto de acceso memorizada en el módulo de memorización de información de usuario
221. Si el módulo de memorización de información de usuario 221 detecta que la dirección MAC fuente está memorizada en el módulo de memorización de información de usuario 221 y la información de puerto de acceso memorizada, que está vinculada con la dirección MAC fuente, es coherente con la información de puerto de acceso enviada por el módulo identificador de falsificación de dirección MAC 222, el módulo de memorización de información de usuario 221 reenvía al módulo identificador de falsificación de dirección MAC 222 un mensaje que indica que la información del puerto de acceso desde el módulo identificador de falsificación de dirección MAC 222 es coherente con la información de puerto de acceso memorizada en el módulo de memorización de información de usuario 221.
El módulo identificador de falsificación de dirección MAC 222 está configurado para recibir la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación desde el dispositivo de acceso 21 y para enviar al módulo de memorización de información de usuario 221 un mensaje de interrogación que soporta la dirección MAC fuente y la información de puerto de acceso. A la recepción del mensaje que indica que la información de dirección MAC fuente no existe o el mensaje que indica que la información de puerto de acceso desde el módulo identificador de falsificación de dirección MAC 222 es coherente con la información de puerto de acceso memorizada en el módulo de memorización de información de usuario 221, el módulo identificador de falsificación de dirección MAC 222 determina que la dirección MAC fuente no es una dirección MAC falsificada y envía la demanda de autenticación al módulo de autenticación 223. A la recepción del mensaje que indica que la información de puerto de acceso desde el módulo identificador de falsificación de dirección MAC 222 no es coherente con la información de puerto de acceso memorizada en el módulo de memorización de información de usuario 221, el módulo identificador de falsificación de dirección MAC 222 reenvía al dispositivo de acceso 21 un mensaje de fallo de autenticación que soporta la información de puerto de acceso que está incluida en el mensaje de interrogación.
El módulo identificador de falsificación de dirección MAC 222 puede incluir un módulo de conteo configurado para contar el número de fallos de autenticación que se producen en el puerto de acceso después de que se detecte un fallo de autenticación y notifica al dispositivo de acceso 21 el cierre del puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso dentro de un periodo de tiempo preestablecido, es mayor que un número preestablecido.
El módulo identificador de falsificación de dirección MAC 222 soporta mensajes de PPPOE, mensajes de PPPOA, mensajes de DHCP, etc.
El módulo de autenticación 223 está configurado para recibir la demanda de autenticación desde el módulo identificador de falsificación de dirección MAC 222 y para realizar una autenticación.
El módulo de autenticación soporta también mensajes PPPOE, mensajes PPPOA, mensajes DHCP, etc.
La descripción anterior de las formas de realización, dadas a conocer en la presente invención, se proporciona para habilitar a los expertos en esta técnica a hacer o utilizar la presente invención. Varias modificaciones a estas formas de realización serán fácilmente evidentes para los expertos en esta materia y los principios genéricos aquí definidos se pueden aplicar a otras formas de realización sin desviarse por ello del alcance de protección de la invención. De este modo, la presente invención no está prevista que esté limitada a las formas de realización aquí descritas si no que admite el más amplio alcance de protección coherente con los principios e ideas inventivas aquí dadas a conocer.

Claims (16)

  1. REIVINDICACIONES
    1. Un método para impedir la falsificación de una dirección de Control de Acceso al Medio (MAC), caracterizado porque comprende:
    recibir, mediante un dispositivo de autenticación, una dirección MAC fuente e información de puerto de acceso de un puerto de acceso desde un dispositivo de acceso, en donde la dirección MAC fuente y la información de puerto de acceso están asociadas con una demanda de autenticación desde el puerto de acceso recibida por el dispositivo de acceso;
    determinar, mediante el dispositivo de autenticación, si la dirección MAC fuente recibida es una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida y
    si la dirección MAC fuente recibida es una dirección MAC falsificada, rechazar, por el dispositivo de autenticación, la demanda de autenticación.
  2. 2. El método según la reivindicación 1, en donde la recepción, por el dispositivo de autenticación, de la dirección MAC fuente y de la información de puerto de acceso del puerto de acceso comprende:
    la adición, por un dispositivo de acceso, de información de puerto de acceso a la demanda de autenticación después de recibir la demanda de autenticación que transmite la dirección MAC fuente desde el puerto de acceso y
    la recepción, por el dispositivo de autenticación, de la demanda de autenticación que transmite la dirección MAC fuente y de la información de puerto de acceso desde el dispositivo de acceso.
  3. 3. El método según la reivindicación 1, en donde la recepción, por el dispositivo de autenticación, de la dirección MAC fuente y de la información de puerto de acceso del puerto de acceso comprende:
    la recepción, por el dispositivo de autenticación, de la demanda de autenticación que transmite la dirección MAC fuente desde un dispositivo de acceso que recibe la demanda de autenticación que transmite la dirección MAC fuente desde el puerto de acceso;
    el envío de un mensaje de interrogación que transmite la dirección MAC fuente al dispositivo de acceso para demandar la información de puerto de acceso del puerto de acceso y
    la recepción de la información de puerto de acceso desde el dispositivo de acceso.
  4. 4.
    El método según la reivindicación 2 o 3, en donde el rechazo de la demanda de autenticación comprende:
    el envío, por el dispositivo de autenticación, al dispositivo de acceso de un mensaje que indica un fallo de autenticación correspondiente a la demanda de autenticación e incluye la información de puerto de acceso del puerto de acceso que envía la demanda de autenticación.
  5. 5.
    El método según la reivindicación 1, 2 o 3, en donde la determinación de si la dirección MAC fuente recibida es una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y que corresponde a la dirección MAC fuente recibida comprende:
    determinar, por el dispositivo de autenticación, si la dirección MAC fuente recibida ha sido memorizada, o no, en el dispositivo de autenticación;
    si la dirección MAC fuente recibida no se memoriza en el dispositivo de autenticación, la determinación, por el dispositivo de autenticación, de que la dirección MAC fuente recibida no es una dirección MAC falsificada y la memorización de una relación entre la dirección MAC fuente y la información de puerto de acceso recibida;
    si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación, determinar, por el dispositivo de autenticación, si la información de puerto de acceso recibida es coherente, o no, con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y que corresponde a la dirección MAC fuente recibida; si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, la determinación de que la dirección MAC fuente recibida no es una dirección MAC falsificada; si la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, la determinación de que la dirección MAC fuente es una dirección MAC falsificada.
  6. 6. El método según la reivindicación 2 o 3, que comprende, además:
    el registro, por el dispositivo de autenticación, del número de fallos de autenticación que ocurren en el puerto de acceso y la notificación al dispositivo de acceso el cierre del puerto de acceso si el número de fallos de autenticación, que ocurren en el puerto de acceso dentro de un periodo de tiempo preestablecido, es superior a un número preestablecido.
  7. 7.
    El método según la reivindicación 4 que comprende, además:
    después de recibir la información de puerto de acceso del puerto de acceso, el registro, por el dispositivo de acceso, del número de fallos de autenticación que se producen al nivel del puerto de acceso y el cierre del puerto de acceso si el número de fallos de autenticación, que se producen a nivel del puerto de acceso en un periodo de tiempo preestablecido, es superior a un número preestablecido.
  8. 8.
    El método según cualquiera de las reivindicaciones 2 a 7 que comprende, además:
    la memorización, por el dispositivo de acceso, de una relación entre la información MAC fuente y la información de puerto de acceso.
  9. 9.
    El método según la reivindicación 4 o 7, que comprende, además:
    la supresión, por el dispositivo de acceso, de la dirección MAC fuente correspondiente a la información de puerto de acceso recibida que se memoriza en el propio dispositivo de acceso después de recibir la información de puerto de acceso del puerto de acceso, en donde ocurre un fallo de autenticación.
  10. 10.
    Un sistema para impedir la falsificación de dirección de Control de Acceso al Medio (MAC) caracterizado porque comprende:
    un dispositivo de acceso, configurado para recibir una demanda de autenticación desde un puerto de acceso y para enviar una dirección MAC fuente e información de puerto de acceso asociada con la demanda de autenticación y
    un dispositivo de autenticación, configurado para recibir la dirección MAC fuente y la información de puerto de acceso asociada con la demanda de autenticación desde el dispositivo de acceso, para determinar si la dirección MAC fuente recibida es, o no, una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida y si la dirección MAC fuente recibida es una dirección MAC falsificada, rechazar la demanda de autenticación.
  11. 11. El sistema según la reivindicación 10, en donde el dispositivo de autenticación comprende:
    un módulo identificador de falsificación de dirección MAC, configurado para determinar si la dirección MAC fuente recibida está memorizada, o no, en el dispositivo de autenticación;
    si la dirección MAC fuente recibida no está memoriza en el dispositivo de autenticación, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada y memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso;
    si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación, determinar si la información de puerto de acceso recibida es coherente, o no, con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida; si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada; si la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, determinar que la dirección MAC fuente es una dirección MAC falsificada.
  12. 12.
    El sistema según la reivindicación 10 o 11, en donde el dispositivo de acceso comprende un primer módulo de conteo, configurado para registrar el número de fallos de autenticación que ocurren en el puerto de acceso después de recibir un mensaje que indica que una autenticación correspondiente a la demanda de autenticación está fallida y para cerrar el puerto de acceso si el número de fallos de autenticación, que ocurren en el puerto de acceso, satisface una condición.
  13. 13.
    El sistema según la reivindicación 10 o 11, en donde el dispositivo de autenticación comprende:
    un segundo módulo de conteo, configurado para registrar el número de fallos de autenticación que ocurren en el puerto de acceso y para notificar al dispositivo de acceso el cierre del puerto de acceso si el número de fallos de autenticación, que ocurren en el puerto de acceso, satisface una condición.
  14. 14.
    Un dispositivo de acceso para impedir la falsificación de una dirección de Control de Acceso al Medio (MAC), caracterizado porque comprende:
    un módulo de acceso, configurado para recibir una demanda de autenticación que transmite una dirección MAC fuente 5 desde un puerto de acceso y para enviar la demanda de autenticación;
    un módulo de procesamiento de dirección MAC, configurado para recibir la demanda de autenticación desde el módulo de acceso y para enviar la dirección MAC fuente y la información de puerto de acceso del puerto de acceso, en donde la dirección MAC fuente y la información de puerto de acceso están asociadas con la demanda de autenticación y
    10 un módulo de interfaz de enlace ascendente, configurado para recibir la dirección MAC fuente y la información e información de puerto de acceso desde el módulo de procesamiento de dirección MAC y para enviar la dirección MAC fuente y la información de puerto de acceso a un dispositivo de autenticación.
    15 15. El dispositivo de acceso según la reivindicación 14, en donde el módulo de procesamiento de dirección MAC comprende un módulo de conteo, configurado para registrar el número de fallos de autenticación que ocurren en el puerto de acceso después de recibir un mensaje que indica que se produjo un fallo en una autenticación correspondiente a la demanda de autenticación y para cerrar el puerto de acceso si el número de fallos de autenticación, que ocurren en el puerto de acceso, satisface una condición.
  15. 16. Un dispositivo de autenticación para impedir la falsificación de dirección de Control de Acceso al Medio (MAC) caracterizado porque comprende:
    un módulo de interfaz, configurado para recibir una dirección MAC fuente e información de puerto de acceso de un
    25 puerto de acceso, en donde la dirección MAC fuente y la información de puerto de acceso están asociadas con una demanda de autenticación desde un dispositivo de acceso;
    un módulo de procesamiento, configurado para determinar si la dirección MAC fuente recibida es, o no, una dirección MAC falsificada en función de la dirección MAC fuente recibida, de la información de puerto de acceso recibida y de la
    30 información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida y si la dirección MAC fuente recibida es una dirección MAC falsificada, rechazar la demanda de autenticación.
  16. 17. El dispositivo de autenticación según la reivindicación 16, en donde el módulo de procesamiento comprende:
    35 un módulo de memorización de información de usuario, configurado para memorizar la dirección MAC fuente y la información de puerto de acceso; configurado para determinar si la dirección MAC fuente recibida se memoriza, o no, en el dispositivo de autenticación;
    40 si la dirección MAC fuente recibida no se memoriza en el dispositivo de autenticación, determinar que la dirección MAC fuente recibida no es una dirección MAC falsificada y memorizar una relación entre la dirección MAC fuente y la información de puerto de acceso;
    si la dirección MAC fuente recibida se memoriza en el dispositivo de autenticación, determinar si la información de puerto
    45 de acceso recibida es coherente, o no, con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida;
    si la información de puerto de acceso recibida es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, determinar que la dirección MAC fuente
    50 recibida no es una dirección MAC falsificada; si la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida, para enviar un mensaje que indica que la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC fuente recibida;
    55 un módulo identificador de falsificación de dirección MAC, configurado para enviar un mensaje de interrogación que transmite la dirección MAC fuente y la información de puerto de acceso al módulo de memorización de información de usuario; al recibo del mensaje que indica que la información de puerto de acceso recibida no es coherente con la información de puerto de acceso que se memoriza en el dispositivo de autenticación y corresponde a la dirección MAC
    60 fuente recibida, para enviar un mensaje de fallo de autenticación al dispositivo de acceso; de no ser así, para enviar la demanda de autenticación a un módulo de autenticación y
    el módulo de autenticación, configurado para recibir la demanda de autenticación desde el módulo identificador de falsificación de dirección MAC y para realizar una autenticación.
    65 18. El dispositivo de autenticación según la reivindicación 17, en donde el módulo identificador de falsificación de dirección MAC comprende:
    un módulo de conteo, configurado para registrar el número de fallos de autenticación que se producen en el puerto de acceso y para notificar al dispositivo de acceso el cierre del puerto de acceso si el número de fallos de autenticación, que se producen en el puerto de acceso, satisface una condición.
    Un usuario envía una demanda de autenticación que soporta una dirección MAC fuente a un dispositivo de acceso por intermedio de un puerto de acceso
    El dispositivo de acceso envía la dirección MAC fuente y la información de puerto de acceso correspondiente al puerto asociado con la demanda de autenticación a un dispositivo de autenticación y memoriza una relación entre la dirección MAC fuente y la información de puerto de acceso
    El dispositivo de autenticación recibe la información MAC fuente y la información de puerto de acceso correspondiente al puerto de acceso asociado con la demanda de autenticación
    ¿Está memorizada la dirección MAC fuente en el dispositivo de autenticación?
    ¿Es la información del puerto de acceso coherente con la información de puerto de acceso memorizada correspondiente a la dirección MAC fuente?
    No
    Reenviar mensaje fallo autenticación al dispositivo de acceso
    El dispositivo de acceso suprime la dirección MAC fuente asociada con la información de puerto de acceso
    No
    Transmitir la autenticación y memorizar una relación de la dirección MAC fuente, la información de puerto de acceso y la información de puerto del dispositivo de autenticación
    Transmitir la autenticación
    Figura 1
    Demanda de autenticación
    Demanda de autenticación Dispositivo de acceso
    Figura 2
    Dispositivo de acceso
    Módulo de acceso
    Módulo procesamiento dirección MAC
    Módulo interface enlace ascendente
    Figura 3
    Dispositivo de autenticación
    Dispositivo de autenticación
    Módulo memorización información usuario
    Módulo identificador falsificación dirección MAC
    Módulo de autenticación
    Figura 4
ES06722401T 2005-04-25 2006-04-25 Un método, sistema y aparato para impedir la falsificación de una dirección MAC Active ES2387315T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200510066236 2005-04-25
CN2005100662366A CN1855812B (zh) 2005-04-25 2005-04-25 防止mac地址仿冒的实现方法和设备
PCT/CN2006/000782 WO2006114053A1 (fr) 2005-04-25 2006-04-25 Procede, systeme et appareil visant a empecher la contrefacon d’une adresse mac

Publications (1)

Publication Number Publication Date
ES2387315T3 true ES2387315T3 (es) 2012-09-20

Family

ID=37195684

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06722401T Active ES2387315T3 (es) 2005-04-25 2006-04-25 Un método, sistema y aparato para impedir la falsificación de una dirección MAC

Country Status (5)

Country Link
US (1) US7958541B2 (es)
EP (1) EP1863217B1 (es)
CN (1) CN1855812B (es)
ES (1) ES2387315T3 (es)
WO (1) WO2006114053A1 (es)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567883B (zh) * 2005-04-25 2013-12-18 华为技术有限公司 防止mac地址仿冒的实现方法
CN101179420B (zh) * 2006-11-09 2010-09-29 中兴通讯股份有限公司 一种使可插拔光模块不被复制使用的方法
CN101321054B (zh) * 2007-06-08 2011-02-09 华为技术有限公司 自动防止网络侧媒体接入控制地址被仿冒的方法及其装置
KR20100045716A (ko) * 2008-10-24 2010-05-04 삼성전자주식회사 정적 식별자 및 동적 식별자를 이용한 정품 인증에 기초한 통신 방법 및 장치
CN102098278B (zh) * 2009-12-15 2015-01-21 华为技术有限公司 用户接入方法、系统及接入服务器、接入设备
US8964740B2 (en) 2010-07-28 2015-02-24 CSC Holdings, LLC Group signaling using synthetic media access control addresses
WO2012103708A1 (zh) * 2011-06-27 2012-08-09 华为技术有限公司 媒体访问控制mac地址保护方法和交换机
US9225719B2 (en) * 2011-12-12 2015-12-29 Jpmorgan Chase Bank, N.A. System and method for trusted pair security
KR20130073850A (ko) * 2011-12-23 2013-07-03 삼성전자주식회사 페이크 네트워크의 식별을 위한 방법 및 장치
JP5923982B2 (ja) * 2011-12-28 2016-05-25 株式会社リコー 携帯端末、認証方法、認証プログラム、
CN104125175B (zh) * 2013-04-28 2018-10-12 上海斐讯数据通信技术有限公司 交换设备端口mac地址绑定方法
CN104982004B (zh) * 2013-12-31 2018-08-14 华为技术有限公司 管理网络安全的方法及接入设备
US20150235052A1 (en) 2014-02-17 2015-08-20 Samsung Electronics Co., Ltd. Electronic device and method for protecting users privacy
CN107579955B (zh) * 2017-08-07 2021-07-02 台州市吉吉知识产权运营有限公司 一种动态主机配置协议监听与防护方法和系统
CN107707435B (zh) * 2017-09-14 2020-11-20 新华三技术有限公司 一种报文处理方法和装置
CN109347841B (zh) * 2018-10-26 2021-08-10 深圳市元征科技股份有限公司 Mac地址认证方法、装置、终端、服务器及存储介质
CN111526108B (zh) * 2019-02-01 2021-08-20 华为技术有限公司 防止网络攻击的方法与装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6115376A (en) * 1996-12-13 2000-09-05 3Com Corporation Medium access control address authentication
TW586285B (en) * 2001-12-31 2004-05-01 Inventec Corp System and method for identifying user's physical location
US7234163B1 (en) 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
CN100341305C (zh) * 2002-11-26 2007-10-03 华为技术有限公司 基于802.1x协议的组播控制方法
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
US20050182946A1 (en) * 2004-02-13 2005-08-18 Will Shatford Fast hashing function for pseudo-random generator

Also Published As

Publication number Publication date
US7958541B2 (en) 2011-06-07
EP1863217B1 (en) 2012-05-23
EP1863217A1 (en) 2007-12-05
CN1855812B (zh) 2010-04-28
CN1855812A (zh) 2006-11-01
EP1863217A4 (en) 2009-03-18
US20080134291A1 (en) 2008-06-05
WO2006114053A1 (fr) 2006-11-02

Similar Documents

Publication Publication Date Title
ES2387315T3 (es) Un método, sistema y aparato para impedir la falsificación de una dirección MAC
US8966608B2 (en) Preventing spoofing
ES2381857T3 (es) Método, sistema y servidor para poner en práctica la asignación de seguridad de dirección de protocolo DHCP
CA2636780C (en) Method and device for anonymous encrypted mobile data and speech communication
US7801123B2 (en) Method and system configured for facilitating residential broadband service
CN102143136B (zh) 接入业务批发网络的方法、设备、服务器和系统
US20020131436A1 (en) System and method for broadband roaming connectivity using DSL
EP1936883B1 (en) Service provisioning method and system thereof
KR101183825B1 (ko) 종단 디바이스 mac 어드레스의 동적 학습을 위한 에지 라우터 및 방법
ES2326914T5 (es) Procedimiento para la transmisión de mensaje en capa 2,y dispositivo de acceso
BRPI0719682A2 (pt) Interceptando comunicações de voz via ip e outras comunicações de dados
EP2838242B9 (en) Method and apparatus for preventing network-side media access control address from being counterfeited
BRPI0722112B1 (pt) nó de acesso, infraestrutura de rede de telecomunicação, e método e memória lida por computador para comunicação em uma rede de telecomunicação
CN101834864B (zh) 一种三层虚拟专用网中攻击防范的方法及装置
RU2006103355A (ru) Система и способ установления того, что сервер и корреспондент имеют согласованную защищенную почту
WO2012068915A1 (zh) 接入节点的业务控制方法和装置
CN102487344B (zh) 身份位置分离网络的监听方法和系统
Cisco Cisco IOS Command References Master Index
CN100550901C (zh) 宽带接入服务器获取宽带用户接入端口信息的方法
Cisco Cisco IOS Command Reference Master Index Release 12.2
US20100263019A1 (en) Secure exchange of messages
CN101662456A (zh) 发放终端业务的方法和系统
CN101399678B (zh) 一种对固定ip用户认证计费的方法
US20050220119A1 (en) Method and apparatus for securely establishing L3-SVC connections
CN104917751B (zh) 电子欺骗的防止