ES2583410T3 - Método y aparato para impedir que sea falsificada una dirección de control de acceso al soporte en el lado de la red - Google Patents

Método y aparato para impedir que sea falsificada una dirección de control de acceso al soporte en el lado de la red Download PDF

Info

Publication number
ES2583410T3
ES2583410T3 ES14185769.8T ES14185769T ES2583410T3 ES 2583410 T3 ES2583410 T3 ES 2583410T3 ES 14185769 T ES14185769 T ES 14185769T ES 2583410 T3 ES2583410 T3 ES 2583410T3
Authority
ES
Spain
Prior art keywords
mac address
equipment
access
user
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14185769.8T
Other languages
English (en)
Inventor
Qun Zhang
Bo Ke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2583410T3 publication Critical patent/ES2583410T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método para impedir que sea falsificada una dirección de control de acceso al soporte, MAC, del lado de la red que comprende: la recepción (101), por un puerto del lado del usuario perteneciente a un equipo de acceso, de un mensaje Discover procedente de un equipo de usuario, UE, y el análisis sintáctico del mensaje Discover del UE para obtener una dirección MAC del equipo UE (102), caracterizado por cuanto que el método comprende, además: el aprendizaje (105), por el equipo de acceso, de la dirección MAC del equipo de usuario UE y el reenvío del mensaje Discover al equipo del lado de la red si la dirección MAC del equipo UE es diferente de una dirección MAC conocida de un equipo del lado de la red; la recepción (107), por el equipo de acceso, de un mensaje Offer procedente del equipo del lado de la red, en donde el mensaje Offer incluye una dirección MAC del equipo del lado de la red; el aprendizaje, por el equipo de acceso, de la dirección MAC del equipo del lado de la red; y la configuración, por el equipo de acceso, de un circuito integrado lógico del equipo de acceso para utilizar la dirección MAC aprendida con el fin de filtrar mensajes que contienen direcciones MAC origen idénticas con la dirección MAC del equipo del lado de la red y que proceden de otros puertos del lado del usuario.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo y aparato para impedir que sea falsificada una direccion de control de acceso al soporte en el lado de la red CAMPO DE LA INVENCION
La presente invencion se refiere a una tecnologfa de acceso de banda ancha de Internet y al campo de la seguridad de la red y mas en particular, a un metodo y aparato para impedir que sea falsificada una direccion de control de acceso al soporte del lado de la red.
ANTECEDENTES DE LA INVENCION
Con el desarrollo de la tecnologfa de Internet y la popularizacion continua de los servicios, se ha desarrollado con rapidez el servicio de acceso de banda ancha. Sin embargo, como garantizar la seguridad de los usuarios de banda ancha en la utilizacion del servicio de banda ancha y la seguridad de operadores de la red es un problema importante que es preciso resolver. A modo de ejemplo, un usuario de acceso falsifica una direccion de control de acceso al soporte (MAC) de un servidor de acceso a distancia de banda ancha (BRAS) para iniciar una aplicacion de un protocolo del tipo punto a punto a traves de Ethernet (PPPoE) o un protocolo de configuracion de host dinamico (DHCP), que causa una migracion de una tabla de aprendizaje de direccion MAC del servidor de acceso a distancia de banda ancha (BRAS) en un equipo de acceso desde un puerto del lado de la red a un puerto del lado del usuario y de este modo, se da lugar a la interrupcion de los servicios de otros usuarios.
Considerando el modo de desarrollo actual del servicio de banda ancha, un usuario accede a una red para utilizar el servicio de banda ancha en generalmente dos maneras, a saber, autenticacion de PPPoE y autenticacion de DHCP.
El protocolo PPPoE proporciona un medio de acceso de banda ancha para un usuario que utilice una via Ethernet puenteada para acceder y al mismo tiempo, proporciona un control del acceso adecuado y su facturacion.
El protocolo DHCP se reenvfa sobre la base de un protocolo de iniciacion del sistema operativo (BOOTP) y su funcion es proporcionar informacion de configuracion para un concentrador host en la red. El protocolo DHCP emplea un modo de cliente/servidor, en el que un cliente inicia para un servidor una aplicacion de configuracion que incluye una direccion IP asignada, una mascara de sub-net, una pasarela por defecto y otros parametros y el servidor reenvfa informacion de configuracion correspondiente en conformidad con las poltticas establecidas.
Con el fin de resolver el problema de que se falsifique una direccion MAC en el lado de la red, lo que da lugar a que se interrumpa el servicio de otros usuarios del acceso, una funcion de filtro de direcciones MAC origen esta configurada en el puerto del lado del usuario del equipo de acceso en la tecnica convencional, esto es, una tabla de filtro de direcciones MAC origen se configura manualmente en el puerto del lado del usuario del equipo de acceso para prohibir a un usuario del acceso utilizar una direccion MAC en la tabla de filtros como una direccion origen. Si el usuario del acceso utiliza una direccion en la tabla de filtrado, el equipo de acceso rechaza el mensaje.
Como puede deducirse del metodo anterior dado a conocer en la tecnica convencional, cuando el servidor BRAS es cambiado o se transfiere un servidor BRAS activo en el lado de la red, la tabla de filtrado de direcciones MAC origen del puerto del lado del usuario necesita ser reconfigurada. La configuracion es dependiente de una direccion MAC espedfica de un equipo de red de capa superior, esto es, la tabla de filtrado de direcciones MAC origen memoriza la direccion MAC del equipo de la capa superior. Si se cambia el equipo de la capa superior, la tabla de filtrado de direcciones MAC origen del equipo de acceso necesita modificarse, lo que origina una importante carga de trabajo de administracion y mantenimiento de la red. Puesto que existen un gran numero de puertos de usuario de acceso, la funcion de filtrado de direcciones MAC origen esta configurada para los puertos del lado del usuario uno a uno, lo que da lugar a una importante carga de trabajo de mantenimiento del administrador de la red. Por lo tanto, en la creacion de la presente invencion, el inventor encuentra que la tecnica convencional al menos tiene el problema siguiente: una tabla de filtrado de direcciones MAC origen necesita configurarse manualmente en un puerto del lado del usuario del equipo de acceso, lo que da lugar a una importante carga de trabajo de administracion y mantenimiento de la red.
El documento US 2006/013221 A1 describe un metodo para asegurar la comunicacion en un conmutador de red de area local (AN) que comprende una interfaz de usuario (UI) y una interfaz de red (NI), comprendiendo las etapas de extraccion de una direccion origen (MACi) desde cada paquete recibido por dicho conmutador de red de area local (AN) y la memorizacion de dicha direccion (MACi) junto con la informacion asociada en una tabla de reenvfo de direcciones (FT).
El documento US 6115376 A describe un metodo para mejorar la seguridad de la red en una red que incluye un dispositivo de interconexion configurado en estrella tal como un repetidor, un puente o un conmutador, que tiene una pluralidad de puertos adaptados para la conexion a los respectivos dispositivos de la capa de MAC que incluye la memorizacion de datos de autenticacion en el dispositivo de interconexion configurado en estrella que efectua el mapeado de puesta en correspondencia de las direcciones MAC de las estaciones extremas en la red a puertos
5
10
15
20
25
30
35
40
45
50
55
60
65
particulares en el dispositivo de interconexion configurado en estrella.
El documento WO 2004/025926 A describe un metodo para impedir la falsificacion de direcciones de red. Se establece un vinculo entre una direccion MAC de protocolo Internet (IP), una direccion de control de acceso al soporte (MAC) y un puerto.
SUMARIO DE LA INVENCION
Con el fin de resolver los problemas tecnicos, varias formas de realizacion de la presente invencion dan a conocer un metodo y aparato para impedir que se falsifique una direccion de control de acceso al soporte (MAC) en el lado de la red, lo que impide automaticamente que sea falsificada la direccion MAC del lado de la red y mejora la conveniencia para administracion y mantenimiento.
En una forma de realizacion, se da a conocer un metodo para impedir la falsificacion de una direccion MAC en el lado de la red. El metodo incluye las etapas siguientes.
la recepcion (101), por un puerto del lado del usuario de un equipo de acceso, un mensaje Discover procedente de un equipo de usuario, UE, y el analisis sintactico del mensaje Discover procedente del equipo UE para obtener una direccion MAC del equipo UE (102);
el aprendizaje (105), por el equipo de acceso, de la direccion MAC del equipo de usuario UE y el reenvfo del mensaje Discover al equipo del lado de la red si la direccion MAC del equipo de usuario UE es diferente de una direccion MAC conocida de un equipo del lado de la red;
la recepcion (107), por el equipo de acceso, de un mensaje Offer procedente del equipo del lado de la red, en donde el mensaje Offer comprende una direccion MAC del equipo del lado de la red;
el aprendizaje, por el equipo de acceso, de la direccion MAC del equipo del lado de la red; y
la configuracion, por el equipo de acceso, de un circuito integrado logico del equipo de acceso para utilizar la direccion MAC aprendida para filtrar mensajes que tengan direcciones MAC origen identicas a la direccion MAC del equipo del lado de la red y procedentes de otros puertos del lado del usuario.
En una forma de realizacion, se da a conocer un metodo para impedir que se falsifique una direccion MAC en el lado de la red. El metodo incluye las etapas siguientes:
la recepcion (201), por un puerto del lado del usuario de un mensaje de inicializacion de descubrimiento activo de PPPoE, PADI, del equipo de acceso, procedente de un equipo de usuario, UE, y el analisis sintactico del mensaje PADI del equipo de usuario UE para obtener una direccion mAc del equipo UE (202);
el aprendizaje, por el equipo de acceso, de la direccion MAC del equipo UE y el reenvfo del mensaje PADI al equipo del lado de la red si la direccion MAC del equipo de usuario UE es diferente de una direccion MAC conocida de un equipo del lado de la red,
la recepcion (207), por el equipo de acceso, de un mensaje de oferta de descubrimiento activo de PPPoE, PADO, procedente del equipo del lado de la red, en donde el mensaje PADO comprende una direccion MAC del equipo del lado de la red;
el aprendizaje, por equipo de acceso, de la direccion MAC del equipo del lado de la red; y
la configuracion, por el equipo de acceso, de un circuito integrado logico del equipo de acceso para utilizar la direccion MAC aprendida para filtrar mensajes que tengan direcciones MAC origen identicas con la direccion MAC del equipo del lado de la red y procedentes de otros puertos del lado del usuario.
En una forma de realizacion, se da a conocer un equipo de acceso, comprendiendo dicho equipo de acceso:
una unidad de adquisicion (31), configurada para adquirir una direccion MAC de un equipo de usuario, UE, por intermedio de un mensaje de descubrimiento recibido por un puerto del lado del usuario del equipo de acceso;
una unidad de aprendizaje (33), configurada para aprender la direccion MAC del equipo UE si la direccion MAC del equipo UE es diferente de una direccion MAC conocida de un equipo del lado de la red y aprender una direccion MAC del equipo de la red por intermedio de un mensaje Offer enviado desde el equipo del lado de la red;
una unidad de establecimiento (34), configurada para configurar la direccion MAC aprendida en un circuito integrado logico de una unidad de filtro (37); y
5
10
15
20
25
30
35
40
45
50
55
60
65
la unidad de filtro (37), configurada para realizar una funcion de filtrado de direcciones MAC origen por el circuito integrado logico.
En una forma de realizacion, se da a conocer un equipo de acceso, en donde el equipo de acceso comprende:
una unidad de adquisicion (31), configurada para adquirir una direccion MAC de un equipo de usuario, UE, por intermedio de un mensaje de inicializacion de descubrimiento activo de PPPoE, PADI, recibido por un puerto del lado del usuario del equipo de acceso;
una unidad de aprendizaje (33), configurada para aprender la direccion MAC del equipo UE si la direccion MAC del equipo UE es diferente de una direccion MAC conocida de un equipo del lado de la red y para aprender una direccion MAC del equipo de la red por intermedio de un mensaje de oferta de descubrimiento activo de PPPoE, PADO, enviado desde el equipo del lado de la red;
una unidad de establecimiento (34), configurada para configurar la direccion MAC aprendida en un circuito integrado logico de una unidad de filtro (37); y
la unidad de filtro (37), configurada para realizar una funcion de filtrado de direcciones MAC origen mediante el circuito integrado logico.
En una forma de realizacion, se da a conocer un metodo para impedir la falsificacion de una direccion MAC del lado de la red. El metodo incluye las etapas siguientes.
Un mensaje procedente de un equipo de usuario (UE) se recibe, y el mensaje del equipo UE se resuelve para obtener una direccion MAC del equipo UE.
La direccion MAC del equipo de usuario UE se aprende si la direccion MAC del equipo de usuario UE es diferente de una direccion MAC conocida de un equipo del lado de la red.
La direccion MAC del equipo del lado de la red es objeto de aprendizaje.
Una tabla de aprendizaje de direcciones MAC se genera utilizando la direccion MAC aprendida del equipo del lado de la red y la tabla de aprendizaje de direcciones MAC generadas se establece para ser una tabla de direcciones estaticas y/o mensajes procedentes de otros puertos del lado del usuario y con direcciones MAC origen siendo la direccion MAC del equipo del lado de la red se filtran utilizando la direccion MAC aprendida del equipo del lado de la red.
En una forma de realizacion, se da a conocer un aparato para impedir la falsificacion de la direccion MAC del lado de la red. Este aparato incluye una unidad de adquisicion, una unidad de determinacion y una unidad de aprendizaje.
La unidad de adquisicion esta adaptada para adquirir una direccion MAC de un equipo de usuario UE.
La unidad de determinacion esta adaptada para determinar si la direccion MAC del equipo de usuario UE que se adquiere por la unidad de adquisicion es una direccion MAC conocida de un equipo del lado de la red.
La unidad de aprendizaje esta adaptada para aprender la direccion MAC del equipo de usuario UE y la direccion MAC del equipo del lado de la red cuando un resultado de la determinacion de la unidad de determinacion es que la direccion MAC del equipo de usuario UE no es la direccion MAC conocida del equipo del lado de la red.
El aparato incluye, ademas, una unidad de generacion de tabla de direcciones y/o una unidad de filtro.
La unidad de generacion de tabla de direcciones esta adaptada para generar una tabla de aprendizaje de direcciones MAC basada en la direccion MAC aprendida del equipo del lado de la red, en donde la tabla de aprendizaje de direcciones MAC se establece para ser una tabla de direcciones MAC estatica.
La unidad de filtro esta adaptada para filtrar mensajes procedentes de otros puertos del lado del usuario y con direcciones MAC origen siendo la direccion MAC del equipo del lado de la red utilizando la direccion MAC aprendida del equipo del lado de la red.
En una forma de realizacion, un equipo de acceso que conecta un usuario a una red se da a conocer para obtener servicios de la red. El equipo de acceso incluye una unidad de adquisicion, una unidad de determinacion y una unidad de aprendizaje.
La unidad de adquisicion esta adaptada para recibir un mensaje procedente de un equipo de usuario UE y para resolver el mensaje desde el equipo UE para obtener una direccion MAC del equipo de usuario UE.
5
10
15
20
25
30
35
40
45
50
55
60
65
La unidad de determinacion esta adaptada para determinar si la direccion MAC del equipo de usuario UE adquirida por la unidad de adquisicion es una direccion MAC conocida de un equipo del lado de la red.
La unidad de aprendizaje esta adaptada para aprender la direccion MAC del equipo de usuario UE y para aprender la direccion mAc del equipo del lado de la red para generar una tabla de aprendizaje de direcciones MAC que incluye la direccion MAC del equipo del lado de la red cuando un resultado de determinacion de la unidad de determinacion es que la direccion MAC del equipo de usuario UE no es la direccion MAC conocida del equipo del lado de la red.
El aparato incluye, ademas, una unidad de generacion de tablas de direcciones y/o una unidad de filtro.
La unidad de generacion de tabla de direcciones esta adaptada para generar la tabla de aprendizaje de direcciones MAC basada en la direccion MAC aprendida del equipo del lado de la red, en donde la tabla de aprendizaje de direcciones MAC se establece para ser una tabla de direcciones MAC estatica.
La unidad de filtro esta adaptada para filtrar mensajes procedentes de otros puertos del lado del usuario y con direcciones MAC origen que son la direccion MAC del equipo del lado de la red utilizando la direccion MAC aprendida del equipo del lado de la red.
Con el metodo y aparato para impedir la falsificacion de la direccion MAC del lado de la red, dado a conocer en las formas de realizacion de la presente invencion, cuando la direccion MAC del equipo de usuario UE no es la direccion MAC del equipo del lado de la red, se permite al equipo de acceso aprender las direcciones MAC del equipo de usuario UE y del equipo del lado de la red con el fin de impedir que se reubique la tabla de aprendizaje de direcciones MAC, con lo que se impide automaticamente la falsificacion por el usuario del equipo del lado de la red para acceder a la red, impidiendo que otros puertos, a partir del aprendizaje de la direccion MAC del equipo del lado de la red, puedan falsificar la direccion MAC del equipo del lado de la red y ser mas conveniente para tareas de administracion y mantenimiento.
BREVE DESCRIPCION DE LOS DIBUJOS
La presente invencion se entendera mas completamente a partir de la descripcion detallada aqrn dada a conocer, a continuacion, para iluminacion solamente, cuando se toma con referencia a los dibujos adjuntos entre los que:
La Figura 1 es un diagrama de flujo de senalizacion de un metodo para impedir que una direccion MAC del lado de la red sea falsificada en conformidad con una primera forma de realizacion de la presente invencion;
La Figura 2 es un diagrama de flujo de senalizacion de un metodo para impedir que una direccion MAC del lado de la red sea falsificada en conformidad con una segunda forma de realizacion de la presente invencion; y
La Figura 3 es una vista estructural de un aparato para impedir la falsificacion de una direccion MAC del lado de la red en conformidad con una forma de realizacion de la presente invencion.
DESCRIPCION DETALLADA DE LA INVENCION
Con el fin de hacer mas clara la solucion tecnica de la presente invencion, se ilustra en detalle, a continuacion, mediante formas de realizacion haciendo referencia a los dibujos adjuntos. La Figura 1 es un diagrama de flujo de senalizacion de un metodo para impedir la falsificacion de la direccion MAC del lado de la red en conformidad con una primera forma de realizacion de la presente invencion. Un escenario operativo de aplicacion de esta forma de realizacion es que un usuario solicite al equipo del lado de la red la asignacion de una direccion IP utilizando la tecnologfa DHCP y el usuario accede al equipo del lado de la red por primera vez. El proceso principal del metodo incluye las etapas siguientes.
En la etapa 101, un equipo de usuario UE envfa un mensaje Discover a un equipo de acceso para encontrar un servidor DhCP.
En esta forma de realizacion, el equipo de acceso es un multiplexor de acceso de lmea de abonado digital (DSLAM).
En la etapa 102, el equipo de acceso realiza un analisis sintactico del mensaje Discover recibido para adquirir una direccion MAC origen a partir del mensaje Discover recibido, esto es, una direccion MAC del equipo de usuario UE.
En la etapa 103, se determina si la direccion MAC del equipo de usuario UE adquirida por el equipo de acceso es una direccion MAC conocida del equipo del lado de la red. Si la direccion MAC del equipo de usuario UE es una direccion MAC conocida del equipo del lado de la red, se realiza la etapa 104; de no ser asf, se realiza la etapa 105.
La direccion MAC conocida del equipo del lado de la red puede ser una direccion MAC de un equipo del lado de la red registrada en el equipo de acceso. A modo de ejemplo, el equipo de acceso puede adquirir la direccion MAC del
5
10
15
20
25
30
35
40
45
50
55
60
65
equipo del lado de la red en la red en virtud de un protocolo de enrutamiento o un protocolo de resolucion de direccion (ARP) y memorizar la direccion MAC adquirida del equipo del lado de la red en el equipo de acceso. En esta forma de realizacion, el equipo del lado de la red es el servidor DHCP.
En la etapa 104, el mensaje Discover es rechazo con el fin de impedir que el usuario falsifique la direccion MAC del equipo del lado de la red, a modo de ejemplo, falsificando una direccion MAC de un servidor BRAS.
En la etapa 105, el equipo de acceso aprende la direccion MAC adquirida del equipo de usuario UE.
En la etapa 106, el equipo de acceso reenvfa el mensaje Discover al equipo del lado de la red.
En la etapa 107, el equipo del lado de la red reenvfa un mensaje Offer al equipo de acceso, con el mensaje Offer incluyendo informacion del equipo del lado de la red.
La informacion del equipo del lado de la red incluye una direccion IP del equipo del lado de la red, una direccion MAC del equipo del lado de la red, etc.
En la etapa 108, el equipo de acceso realiza un analisis sintactico del mensaje Offer recibido para adquirir una direccion MAC origen del mensaje Offer, esto es, una direccion MAC del equipo del lado de la red.
En la etapa 109, el equipo de acceso aprende la direccion MAC del equipo del lado de la red, registra la direccion MAC aprendida del equipo del lado de la red en el equipo de acceso y realiza una operacion para impedir que la tabla de aprendizaje de direcciones MAC sea reubicada con el fin de impedir el aprendizaje de la direccion MAC del equipo del lado de la red con procedencia de otros puertos.
La operacion de impedir que la tabla de aprendizaje de direcciones MAC sea reubicada espedficamente incluye: la generacion de la tabla de aprendizaje de direcciones MAC utilizando la direccion MAC del equipo del lado de la red, en donde la tabla de aprendizaje de direcciones MAC se establece para ser una tabla de direcciones MAC estatica, de modo que la direccion MAC del equipo del lado de la red le sea impedido suprimir la direccion MAC aprendida en el transcurso del tiempo; y/o configurar un circuito integrado logico para filtrar mensajes que tienen direcciones MAC origen identicas con la direccion MAC del equipo del lado de la red y que procedan de otros puertos del lado del usuario utilizando la direccion MAC aprendida del equipo del lado de la red, a modo de ejemplo, estableciendo la direccion MAC aprendida del equipo del lado de la red en una tabla de filtrado de direcciones MAC del circuito integrado logico o memorizando la direccion MAC aprendida en el equipo de acceso para proporcionar funciones de filtrado y consulta de direcciones MAC.
En la etapa 110, el equipo de acceso reenvfa el mensaje Offer al equipo de usuario UE, con el mensaje Offer incluyendo informacion del equipo del lado de la red.
En la etapa 111, el equipo de usuario UE envfa un mensaje de Demanda Request al equipo de acceso para demandar al equipo del lado de la red que asigne una direccion IP para el usuario.
En la etapa 112, el equipo de acceso realiza un analisis sintactico del mensaje de Demanda Request recibido para adquirir una direccion MAC origen del mensaje Request recibido, esto es, una direccion MAC del equipo de usuario UE.
En la etapa 113, se determina si la direccion MAC del equipo de usuario UE adquirida por el equipo de acceso es la direccion MAC conocida del equipo del lado de la red. Si la direccion MAC del equipo de usuario UE la direccion MAC conocida del equipo del lado de la red, se realiza la etapa 114; de no ser asf, se realiza la etapa 115.
En la etapa 114, el mensaje Request se rechaza para impedir la falsificacion por el usuario de la direccion MAC del equipo del lado de la red.
En la etapa 115, el equipo de acceso aprender la direccion MAC adquirida del equipo de usuario UE.
En la etapa 116, el equipo de acceso reenvfa el mensaje Request al equipo del lado de la red.
En la etapa 117, el equipo del lado de la red asigna una direccion IP para el usuario y reenvfa un mensaje de
confirmacion ACK que incluye la direccion IP asignada para el usuario para el equipo de acceso.
En la etapa 118, el equipo de acceso realiza un analisis sintactico del mensaje ACK recibido para adquirir una
direccion MAC origen del mensaje de confirmacion ACK, esto es, una direccion MAC del equipo del lado de la red.
En la etapa 119, el equipo de acceso aprende la direccion MAC del equipo del lado de la red, registra la direccion MAC aprendida del equipo del lado de la red en el equipo de acceso y realiza una operacion de impedir que la tabla de aprendizaje de direcciones MAC sea reubicada con el fin de impedir el aprendizaje de la direccion MAC del
5
10
15
20
25
30
35
40
45
50
55
60
65
equipo del lado de la red procedente de otros puertos.
La operacion de impedir que la tabla de aprendizaje de direcciones MAC sea reubicada espedficamente incluye: la generacion de la tabla de aprendizaje de direcciones MAC utilizando la direccion MAC del equipo del lado de la red, en donde la tabla de aprendizaje de direcciones MAC se establece para ser una tabla de direcciones MAC estatica, de modo que la direccion MAC del equipo del lado de la red sea bloqueada para impedir que la direccion MAC aprendida sea suprimida en el transcurso del tiempo; y/o la configuracion del circuito integrado logico para filtrar mensajes que tengan direcciones MAC origen siendo la direccion MAC del equipo del lado de la red y procedentes de otros puertos del lado del usuario utilizando la direccion MAC aprendida del equipo del lado de la red, a modo de ejemplo, estableciendo la direccion MAC aprendida del equipo del lado de la red en una tabla de filtrado de direcciones MAC del circuito integrado logico o memorizando la direccion MAC aprendida en el equipo de acceso para proporcionar funciones de consulta y filtrado de direcciones MAC.
En la etapa 120, el equipo de acceso reenvfa el mensaje ACK al equipo de usuario UE, con el mensaje ACK incluyendo la direccion IP asignada por el equipo del lado de la red para el usuario.
Si el usuario ha realizado satisfactoriamente una autenticacion de acceso del equipo del lado de la red con anterioridad, las etapas 101 a 110 pueden omitirse.
La Figura 2 es un diagrama de flujo de senalizacion de un metodo para impedir la falsificacion de una direccion MAC del lado de la red en conformidad con una segunda forma de realizacion de la presente invencion. Un escenario operativo de aplicacion de esta forma de realizacion es que un usuario demande un establecimiento de una sesion empleando la tecnologfa PPPoE. El proceso principal del metodo incluye las etapas siguientes.
En la etapa 201, un equipo de usuario UE envfa un mensaje de inicializacion de descubrimiento activo de PPPoE (PADI) a un equipo de acceso para demandar servicios de establecimiento de sesion.
En esta forma de realizacion, el equipo de acceso es un multiplexor de acceso de lmea de abonado digital (DSLAM).
En la etapa 202, el equipo de acceso recibe el mensaje PADI procedente del equipo de usuario UE, y realiza el analisis sintactico del mensaje PADI recibido para adquirir una direccion MAC origen del mensaje PADl recibido, esto es, una direccion MAC del equipo de usuario UE.
En la etapa 203, se determina si la direccion MAC del equipo de usuario UE adquirida por el equipo de acceso es una direccion MAC conocida del equipo del lado de la red. Si la direccion MAC del equipo de usuario UE es una direccion MAC conocida del equipo del lado de la red, se realiza la etapa 204; de no ser asf, se realiza la etapa 205.
El equipo de acceso puede aprender una direccion MAC del equipo del lado de la red en virtud de un protocolo de enrutamiento u otros metodos. En esta forma de realizacion, el equipo del lado de la red es un servidor BRAS.
En la etapa 204, el mensaje PADI se rechaza con el fin de impedir que se falsifique por el usuario la direccion MAC del equipo del lado de la red, a modo de ejemplo, falsificando una direccion MAC del servidor BRAS.
En la etapa 205, el equipo de acceso aprende la direccion MAC adquirida del equipo de usuario UE.
En la etapa 206, el equipo de acceso reenvfa el mensaje PADI al equipo del lado de la red.
En la etapa 207, el equipo del lado de la red reenvfa un mensaje de oferta de descubrimiento activo de PPPoE (PADO) al equipo de acceso, con el mensaje PADO incluyendo informacion del equipo del lado de la red.
La informacion del equipo del lado de la red incluye una direccion MAC del equipo del lado de la red, etc.
En la etapa 208, el equipo de acceso realiza un analisis sintactico del mensaje PADO recibido para adquirir una direccion MAC origen del mensaje PADO, esto es, una direccion MAC del equipo del lado de la red.
En la etapa 209, el equipo de acceso aprende la direccion MAC del equipo del lado de la red, registral a direccion MAC aprendida del equipo del lado de la red en el equipo de acceso, y realiza una operacion de impedir que una tabla de aprendizaje de direcciones MAC sea reubicada con el fin de impedir que la direccion MAC del equipo del lado de la red sea objeto de aprendizaje desde otros puertos.
A modo de ejemplo, puede generarse una tabla de aprendizaje de direcciones MAC estatica, o un circuito integrado logico puede configurarse de modo que el circuito integrado logico filtre mensajes que tengan direcciones MAC origen identicas con la direccion MAC del equipo del lado de la red y procedan de otros puertos del lado del usuario utilizando la direccion MAC aprendida del equipo del lado de la red o la tabla de direcciones MAC generada.
En la etapa 210, el equipo de acceso reenvfa el mensaje PADO al equipo de usuario UE, con el mensaje PADO
5
10
15
20
25
30
35
40
45
50
55
60
65
incluyendo informacion del equipo del lado de la red.
En la etapa 211, el equipo de usuario UE envfa un mensaje de demanda de descubrimiento activo de PPPoE (PADR) al equipo de acceso para demandar los servicios de establecimiento de sesion.
En la etapa 212, el equipo de acceso realiza un analisis sintactico del mensaje PADR recibido para adquirir una direccion MAC origen del mensaje PADR recibido, esto es, una direccion MAC del equipo de usuario UE.
En la etapa 213, se determina si la direccion MAC del equipo de usuario UE adquirida por el equipo de acceso es la direccion MAC conocida del equipo del lado de la red. Si el equipo de acceso es una direccion MAC conocida del equipo del lado de la red, se realiza la etapa 214; de no ser asf, se realiza la etapa 215.
En la etapa 214, el mensaje PADR se rechaza con el fin de impedir la falsificacion por el usuario de la direccion MAC del equipo del lado de la red.
En la etapa 215, el equipo de acceso aprende la direccion MAC adquirida del equipo de usuario UE.
En la etapa 216, el equipo de acceso reenvfa el mensaje PADR al equipo del lado de la red.
En la etapa 217, el equipo del lado de la red proporciona una conexion de establecimiento de servicio de sesion al usuario y reenvfa un mensaje de confirmacion-sesion de descubrimiento activo de PPPoE (PADS) al equipo de acceso.
En la etapa 218, el equipo de acceso realiza el analisis del mensaje PADS recibido para adquirir una direccion MAC origen del mensaje PADS, esto es, una direccion MAC del equipo del lado de la red.
En la etapa 219, el equipo de acceso aprende la direccion MAC del equipo del lado de la red, genera la tabla de aprendizaje de direcciones MAC y realiza una operacion para impedir que la tabla de aprendizaje de direcciones MAC sea reubicada con el fin de impedir que la direccion MAC del equipo del lado de la red sea objeto de aprendizaje desde otros puertos.
A modo de ejemplo, la tabla de aprendizaje de direcciones MAC puede establecerse para ser una tabla de direcciones mAc estatica, de modo que la direccion MAC del equipo del lado de la red sea bloqueada para impedir que la direccion MAC aprendida del equipo del lado de la red sea suprimida en el transcurso del tiempo y/o un circuito integrado logico esta configurado para filtrar mensajes que tengan direcciones MAC origen identicas con la direccion MAC del equipo del lado de la red y procedentes de otros puertos del lado del usuario utilizando la direccion MAC aprendida del equipo del lado de la red o la tabla de direcciones MAC generada que incluye la direccion MAC del equipo del lado de la red.
En la etapa 220, el equipo de acceso reenvfa el mensaje PADS al usuario.
La Figura 3 es una vista estructural de un aparato para impedir que una direccion MAC del lado de la red sea falsificada en conformidad con una forma de realizacion de la presente invencion.
El aparato incluye una unidad de adquisicion 31, una unidad de determinacion 32, una unidad de aprendizaje 33 y puede incluir, ademas, una unidad de establecimiento 34, una unidad de memorizacion 35, una unidad de generacion de tabla de direcciones 36 y una unidad de filtro 37.
La unidad de adquisicion 31 esta adaptada para adquirir y memorizar una direccion MAC de un equipo de usuario UE. La unidad de memorizacion 35 esta adaptada para memorizar una direccion MAC adquirida del equipo del lado de la red. La unidad de determinacion 32 esta adaptada para determinar si la direccion MAC del equipo de usuario UE adquirida por la unidad de adquisicion 31 es la direccion MAC del equipo del lado de la red que se memoriza en la unidad de memorizacion 35. La unidad de aprendizaje 33 esta adaptada para aprender la direccion MAC del equipo de usuario UE y la direccion MAC del equipo del lado de la red cuando un resultado de determinacion de la unidad de determinacion 32 es que la direccion MAC del equipo de usuario UE no es la direccion MAC del equipo del lado de la red. Mas concretamente, la direccion MAC del equipo del lado de la red puede ser objeto de aprendizaje en al menos una de las maneras operativas siguientes: adquiriendo la direccion MAC del equipo del lado de la red mediante un protocolo de enrutamiento; adquiriendo la direccion MAC del equipo del lado de la red mediante un ARP; y adquiriendo la direccion MAC del equipo del lado de la red a partir de un mensaje de respuesta del equipo del lado de la red. La unidad de generacion de tabla de direcciones 36 esta adaptada para generar una tabla de aprendizaje de direcciones MAC utilizando la direccion MAC aprendida por la unidad de aprendizaje 33. La unidad de establecimiento 34 esta adaptada para establecer la tabla de aprendizaje de direcciones MAC para ser una tabla de direcciones MAC estatica con el fin de impedir que la tabla de aprendizaje de direcciones MAC generada por la unidad de aprendizaje 33 sea objeto de reubicacion. La unidad de establecimiento 34 puede configurar tambien la direccion MAC del lado de la red aprendida en la unidad de filtro 37. La unidad de filtro 37 realiza una funcion de filtrado de direcciones MAC origen mediante un circuito integrado logico. El circuito integrado
5
10
15
20
25
30
35
40
45
50
55
60
65
logico de la unidad de filtro 37 registra una tabla de filtrado de direcciones MAC y puede configurarse para filtrar mensajes que tengan direcciones MAC origen que sean la direccion MAC del equipo del lado de la red y procedente de otros puertos del lado del usuario utilizando la tabla de filtrado de direcciones MAC. O bien, a modo de ejemplo, la unidad de filtro 37 puede tener una funcion de motor para obtener mediante consulta de la direccion MAC del equipo del lado de la red procedente de la tabla de aprendizaje de direcciones MAC con el fin de ser filtrada. La unidad de generacion de tabla de direcciones 36 puede configurarse para establecer directamente un atributo de la tabla de aprendizaje de direcciones MAC para ser estatica durante la generacion de la tabla de aprendizaje de direcciones MAC en conformidad con la direccion MAC aprendida del equipo de red.
Haciendo referencia a las Figuras 1, 2 y 3, el sistema de comunicaciones dado a conocer en las formas de realizacion de la presente invencion incluye el equipo de acceso, el equipo de usuario UE y el equipo del lado de la red. El equipo de acceso esta adaptado principalmente para proporcionar una diversidad de medios de acceso para acceder el usuario a la red con el fin de adquirir servicios de la red. El equipo de usuario UE esta principalmente adaptado para proporcionar una funcion de cliente de acceso del usuario. El equipo del lado de la red esta adaptado principalmente para proporcionar informacion pertinente de los servicios de la red.
El equipo de acceso, a modo de ejemplo, el DSLAM, proporciona un puerto del lado del usuario y un puerto del lado de la red. El puerto del lado del usuario esta adaptado para la conexion del usuario y el puerto del lado de la red esta conectado a una red de area local (LAN), una red de area metropolitana (MAN) o una red base. El equipo de acceso tiene tablas de direcciones memorizadas e incluye una tabla de direcciones estatica y una tabla de direcciones dinamica. La tabla de direcciones estatica suele estar configurada en el equipo manualmente y esta caracterizada por cuanto que la tabla se memoriza en el equipo en todo momento una vez que este configurada y no sea suprimida en el transcurso del tiempo. La tabla de direcciones dinamica se suele generar por el equipo mediante un aprendizaje automatico y se caracteriza por cuanto que la tabla se suprime automaticamente despues de memorizarse en el equipo durante un periodo de tiempo. En conformidad con las formas de realizacion de la presente invencion, el equipo de acceso puede generar la tabla de direcciones MAC estatica en conformidad con la direccion MAC del lado de la red aprendida con el fin de impedir que la tabla de aprendizaje de direcciones MAC sea objeto de reubicacion, y/o el equipo de acceso puede configurarse para filtrar mensajes que tengan direcciones MAC origen que sean la direccion MAC del equipo del lado de la red y procedentes de otros puertos del lado del usuario utilizando la direccion MAC aprendida del equipo del lado de la red. El equipo de acceso puede aprender la direccion MAC del equipo del lado de la red en al menos una de las maneras operativas siguientes: adquisicion de la direccion MAC del equipo del lado de la red mediante un protocolo de enrutamiento; la adquisicion de la direccion MAC del equipo del lado de la red por un ARP; y la recepcion de un mensaje de respuesta del equipo del lado de la red y la adquisicion de la direccion MAC del equipo del lado de la red.
El equipo del lado de la red es, a modo de ejemplo, el servidor DHCP ilustrado en la Figura 1 y el servidor BRAS ilustrado en la Figura 2. Segun se ilustra en la Figura 1, un modo de servidor/cliente se utiliza entre el servidor DHCP y el equipo de usuario UE, en donde un cliente presenta a un servidor una solicitud de configuracion incluyendo la direccion IP asignada, una mascara de sub-red, una pasarela por defecto y otros parametros, y el servidor reenvfa la informacion de configuracion correspondiente incluyendo la direccion IP asignada, la mascara de sub-red, la pasarela por defecto y otros parametros en conformidad con las poltticas establecidas. Con el metodo y aparato anteriores para impedir automaticamente que se falsifique la direccion MAC del lado de la red, dados a conocer en las formas de realizacion de la presente invencion, solamente cuando la direccion MAC del equipo de usuario UE no es la direccion MAC del equipo del lado de la red, al equipo de acceso le esta permitido aprender las direcciones MAC del equipo de usuario UE y el equipo del lado de la red para impedir que la tabla de aprendizaje de direcciones MAC sea objeto de reubicacion, con lo que se impide que el usuario falsifique el equipo del lado de la red para acceder a la red, con lo que se impide el aprendizaje de la direccion MAC del equipo del lado de la red procedente de otros puertos para falsificar la direccion MAC del equipo del lado de la red y ser mas conveniente para las tareas de administracion y mantenimiento.
Un metodo y aparato para impedir que se falsifique la direccion MAC del lado de la red, dados a conocer en la presente invencion, se describieron en detalle con anterioridad. Instancias operativas espedficas se aplican en esta descripcion para elaborar los principios y la puesta en practica de la presente invencion, pero la ilustracion de las formas de realizacion anteriores esta simplemente prevista para ayudar a entender las soluciones tecnicas dadas a conocer en la presente invencion. Asimismo, es evidente para los expertos en esta tecnica que se pueden realizar cambios en la puesta en practica espedfica y el alcance de aplicacion de la presente invencion sobre la base del concepto de la invencion. Considerando lo que antecede, los contenidos de la especificacion no se consideraran como una limitacion de la presente invencion.

Claims (10)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para impedir que sea falsificada una direccion de control de acceso al soporte, MAC, del lado de la red que comprende:
    la recepcion (101), por un puerto del lado del usuario perteneciente a un equipo de acceso, de un mensaje Discover procedente de un equipo de usuario, UE, y el analisis sintactico del mensaje Discover del UE para obtener una direccion MAC del equipo UE (102), caracterizado por cuanto que el metodo comprende, ademas:
    el aprendizaje (105), por el equipo de acceso, de la direccion MAC del equipo de usuario UE y el reenvfo del mensaje Discover al equipo del lado de la red si la direccion MAC del equipo UE es diferente de una direccion MAC conocida de un equipo del lado de la red;
    la recepcion (107), por el equipo de acceso, de un mensaje Offer procedente del equipo del lado de la red, en donde el mensaje Offer incluye una direccion MAC del equipo del lado de la red;
    el aprendizaje, por el equipo de acceso, de la direccion MAC del equipo del lado de la red; y
    la configuracion, por el equipo de acceso, de un circuito integrado logico del equipo de acceso para utilizar la direccion MAC aprendida con el fin de filtrar mensajes que contienen direcciones MAC origen identicas con la direccion MAC del equipo del lado de la red y que proceden de otros puertos del lado del usuario.
  2. 2. El metodo segun la reivindicacion 1, que comprende, ademas:
    el rechazo del mensaje Discover del equipo de usuario UE si la direccion MAC del equipo de usuario UE es la misma que la direccion MAC conocida del equipo del lado de la red.
  3. 3. Un metodo para impedir que sea falsificada una direccion de control de acceso al soporte, MAC, del lado de la red, que comprende:
    la recepcion (201), por un puerto del lado del usuario perteneciente a un equipo de acceso, de un mensaje de inicializacion de descubrimiento activo al protocolo PPPoE, PADI, procedente de un equipo de usuario UE, y el analisis sintactico del mensaje de inicializacion PADI del equipo de usuario UE con el fin de obtener una direccion MAC del equipo de usuario UE (202), caracterizado por cuanto que el metodo comprende, ademas:
    el aprendizaje, por el equipo de acceso, de la direccion MAC del equipo de usuario UE y el reenvfo del mensaje de inicializacion PADI hacia el equipo del lado de la red si la direccion MAC del equipo de usuario UE es diferente de una direccion MAC conocida de un equipo del lado de la red;
    la recepcion (207), por el equipo de acceso, de un mensaje de oferta de descubrimiento activo al protocolo PPPoE, PADO, procedente del equipo del lado de la red, en donde el mensaje PADO comprende una direccion MAC perteneciente al equipo del lado de la red;
    el aprendizaje, por el equipo de acceso, de la direccion MAC del equipo del lado de la red; y
    la configuracion, por el equipo de acceso, de un circuito integrado logico del equipo de acceso para utilizar la direccion MAC aprendida para filtrar mensajes que tengan direcciones MAC origen identicas con la direccion MAC del equipo del lado de la red y que procedan de otros puertos del lado del usuario.
  4. 4. El metodo segun la reivindicacion 3, en donde el metodo comprende, ademas:
    rechazar, por el equipo de acceso, el mensaje PADI si la direccion MAC del equipo de usuario UE es la misma que la direccion MAC conocida del equipo del lado de la red.
  5. 5. Un equipo de acceso, que comprende:
    una unidad de adquisicion (31), configurada para adquirir una direccion MAC de un equipo de usuario, UE, por intermedio de un mensaje Discover recibido por un puerto del lado del usuario del equipo de acceso y enviado a partir del equipo de usuario UE, caracterizado por cuanto que el equipo de acceso comprende, ademas:
    una unidad de aprendizaje (33), configurada para aprender la direccion MAC del equipo de usuario UE si la direccion MAC del equipo de usuario UE es diferente de una direccion MAC conocida de un equipo del lado de la red y para aprender una direccion MAC del equipo del lado de la red por intermedio de un mensaje Offer enviado a partir del equipo del lado de la red;
    una unidad de establecimiento (34), configurada para configurar la direccion MAC aprendida en un circuito integrado
    5
    10
    15
    20
    25
    30
    35
    logico de una unidad de filtro (37); y
    la unidad de filtro (37), configurada para realizar una funcion de filtrado de direccion MAC origen gracias al circuito integrado logico, con el objeto de filtrar mensajes que tengan una direccion MAC origen identica a la direccion MAC del equipo del lado de la red y que procedan de otros puertos del lado del usuario.
  6. 6. El equipo de acceso segun la reivindicacion 5, en donde el circuito integrado logico de la unidad de filtro (37) filtra los mensajes que tengan direcciones MAC origen que sean identicas a la direccion MAC del equipo del lado de la red y procedente de otros puertos del lado del usuario utilizando una tabla de filtrado de direcciones MAC.
  7. 7. El equipo de acceso segun la reivindicacion 5 o 6, en donde el equipo de acceso es un Multiplexor de Acceso de Lmea de Abonado Digital.
  8. 8. Un equipo de acceso que comprende:
    una unidad de adquisicion (31), configurada para adquirir una direccion MAC de un equipo de usuario, UE, por intermedio de un mensaje de inicializacion de descubrimiento activo de PPPoE, PADI, recibido por un puerto del lado del usuario del equipo de acceso y enviado desde el equipo de usuario UE, caracterizado por cuanto que el equipo de acceso comprende, ademas:
    una unidad de aprendizaje (33), configurada para aprender la direccion MAC del equipo de usuario UE si la direccion MAC del equipo de usuario UE es diferente de una direccion MAC conocida de un equipo del lado de la red y para aprender una direccion MAC del equipo de la red por intermedio de un mensaje de oferta de descubrimiento activo de PPPoE, PADO, enviado desde el equipo del lado de la red;
    una unidad de establecimiento (34), configurada para configurar la direccion MAC aprendida en un circuito integrado logico de una unidad de filtro (37); y
    la unidad de filtro (37), configurada para realizar una funcion de filtro de direccion MAC origen mediante el circuito integrado logico, con el fin de filtrar mensajes que tengan una direccion MAC origen identica con la direccion MAC del equipo del lado de la red y las que proceden de otros puertos del lado del usuario.
  9. 9. El equipo de acceso segun la reivindicacion 8, en donde el circuito integrado logico de la unidad de filtro (37) filtra mensajes que tengan direcciones MAC origen que sean la direccion MAC del equipo del lado de la red y procedentes de otros puertos del lado del usuario utilizando una tabla de filtrado de direcciones MAC.
  10. 10. El equipo de acceso segun la reivindicacion 8 o 9, en donde el equipo de acceso es un Multiplexor de Acceso de Lmea de Abonado Digital.
ES14185769.8T 2007-06-08 2008-06-05 Método y aparato para impedir que sea falsificada una dirección de control de acceso al soporte en el lado de la red Active ES2583410T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2007101106982A CN101321054B (zh) 2007-06-08 2007-06-08 自动防止网络侧媒体接入控制地址被仿冒的方法及其装置
CN200710110698 2007-06-08

Publications (1)

Publication Number Publication Date
ES2583410T3 true ES2583410T3 (es) 2016-09-20

Family

ID=40129246

Family Applications (2)

Application Number Title Priority Date Filing Date
ES14185769.8T Active ES2583410T3 (es) 2007-06-08 2008-06-05 Método y aparato para impedir que sea falsificada una dirección de control de acceso al soporte en el lado de la red
ES08757607.0T Active ES2527132T3 (es) 2007-06-08 2008-06-05 Método y dispositivo para impedir que una dirección de control de acceso del medio en el lado de la red sea falseada

Family Applications After (1)

Application Number Title Priority Date Filing Date
ES08757607.0T Active ES2527132T3 (es) 2007-06-08 2008-06-05 Método y dispositivo para impedir que una dirección de control de acceso del medio en el lado de la red sea falseada

Country Status (5)

Country Link
US (1) US8005963B2 (es)
EP (2) EP2838242B9 (es)
CN (1) CN101321054B (es)
ES (2) ES2583410T3 (es)
WO (1) WO2008151548A1 (es)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103171277B (zh) * 2011-12-21 2016-06-01 北大方正集团有限公司 印刷设备的授权方法和装置
WO2014037028A1 (en) * 2012-09-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) A method of operating a switch or access node in a network and a processing apparatus configured to implement the same
US9344527B2 (en) * 2013-04-18 2016-05-17 Avaya Inc. System and method for network migration
CN104038424B (zh) * 2014-06-03 2018-02-09 新华三技术有限公司 一种下线报文的处理方法和设备
CN113923650A (zh) * 2017-04-18 2022-01-11 华为技术有限公司 网络接入方法、装置和通信系统
CN108965363B (zh) * 2017-05-19 2021-05-04 华为技术有限公司 一种处理报文的方法和设备
CN107888467B (zh) * 2017-11-20 2021-01-01 新华三技术有限公司 基于pppoe的报文转发方法、装置、bras和交换机
CN111131532B (zh) * 2019-11-27 2022-08-16 深圳震有科技股份有限公司 自动更改mac地址方法及系统、计算机设备、介质
CN114124566B (zh) * 2021-12-07 2022-04-19 广州尚航信息科技股份有限公司 一种交换机组的网络攻击远程实时监测方法及系统

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6115376A (en) * 1996-12-13 2000-09-05 3Com Corporation Medium access control address authentication
JP3255596B2 (ja) * 1997-10-16 2002-02-12 日本電信電話株式会社 Macブリッジング装置
US7320070B2 (en) * 2002-01-08 2008-01-15 Verizon Services Corp. Methods and apparatus for protecting against IP address assignments based on a false MAC address
CN1233135C (zh) * 2002-06-22 2005-12-21 华为技术有限公司 一种动态地址分配中防止ip地址欺骗的方法
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7562390B1 (en) * 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
DE602004006251T2 (de) * 2004-07-16 2008-01-10 Alcatel Lucent Verfahren zur Sicherung der Kommunikation in einer Lokalnetz-Vermittlungsstelle
US20060114863A1 (en) * 2004-12-01 2006-06-01 Cisco Technology, Inc. Method to secure 802.11 traffic against MAC address spoofing
US20060209818A1 (en) * 2005-03-18 2006-09-21 Purser Jimmy R Methods and devices for preventing ARP cache poisoning
CN1855812B (zh) * 2005-04-25 2010-04-28 华为技术有限公司 防止mac地址仿冒的实现方法和设备

Also Published As

Publication number Publication date
EP2838242B1 (en) 2016-04-20
CN101321054B (zh) 2011-02-09
EP2093949A4 (en) 2010-01-20
WO2008151548A1 (fr) 2008-12-18
ES2527132T3 (es) 2015-01-20
US8005963B2 (en) 2011-08-23
US20090282152A1 (en) 2009-11-12
EP2838242B9 (en) 2016-09-28
EP2093949A1 (en) 2009-08-26
EP2093949B1 (en) 2014-10-22
EP2838242A1 (en) 2015-02-18
CN101321054A (zh) 2008-12-10

Similar Documents

Publication Publication Date Title
ES2583410T3 (es) Método y aparato para impedir que sea falsificada una dirección de control de acceso al soporte en el lado de la red
ES2383804T3 (es) Método de acceso de banda ancha con gran capacidad y su sistema asociado
ES2454569T3 (es) Método y sistema para poner en práctica la gestión de configuración de dispositivos en una red
US9992271B2 (en) ENF selection for NFVI
US6189102B1 (en) Method for authentication of network devices in a data-over cable system
US8165156B1 (en) Ethernet DSL access multiplexer and method providing dynamic service selection and end-user configuration
EP1753180B1 (en) Server for routing a connection to a client device
US7986649B2 (en) Method, apparatus and system for virtual network configuration and partition handover
ES2398591T3 (es) Sistema y método para un acceso multiservicio
US20090129386A1 (en) Operator Shop Selection
BRPI0715779A2 (pt) mÉtodo e dispositivo para identificar e selecionar uma interface para acessar uma rede
JP5987122B2 (ja) デバイス固有のトラフィックフローステアリングのためのネットワークアドレス変換されたデバイスの特定
JP5536780B2 (ja) 多重インターネット・アクセスを提供する方法およびゲートウェイ
JP2007221533A (ja) Pppゲートウェイ装置
ES2359259T3 (es) Método y sistema de realización de la gestión de acceso a dispositivos de red.
EP3850906A1 (en) Registration of legacy fixed network residential gateway (fn-rg) to a 5g core network
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP6532975B1 (ja) Ipネットワーク接続システム、ipネットワーク接続装置、ipネットワーク接続方法、及びプログラム
Cisco Configuring Legacy DDR Spokes
Cisco Configuring Legacy DDR Spokes
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
WO2001075626A1 (en) Bridge configuration over ip/web
JP2003244245A (ja) ゲートウェイ装置及びそれによる通信方法