TWI706648B - 用於驗證源位址有效性的方法及裝置 - Google Patents
用於驗證源位址有效性的方法及裝置 Download PDFInfo
- Publication number
- TWI706648B TWI706648B TW105107430A TW105107430A TWI706648B TW I706648 B TWI706648 B TW I706648B TW 105107430 A TW105107430 A TW 105107430A TW 105107430 A TW105107430 A TW 105107430A TW I706648 B TWI706648 B TW I706648B
- Authority
- TW
- Taiwan
- Prior art keywords
- terminal
- host configuration
- dynamic host
- source address
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本發明提供了一種用於驗證源位址有效性的方法及裝置。所述方法包括:回應於接收到終端發送的攜帶所述終端源位址的資料封包,判斷本地是否保存所述終端的源位址驗證提高綁定表項;在本地未保存所述終端的源位址驗證提高綁定表項情況下,依據所述終端源位址模擬所述終端發送動態主機配置協定請求給動態主機配置協定伺服器;回應於接收到所述動態主機配置伺服器返回的確認回應,確定所述終端源位址有效。本發明實現了簡化組網配置情況下驗證源位址有效性。
Description
本發明係有關互聯網技術領域,尤其有關一種用於驗證源位址有效性的方法及裝置。
傳統網路架構下,對封包中攜帶的終端的源位址有效性進行驗證可有效防止源IP的仿冒和偽造,例如手動設定IP位址等情況。其驗證原理是:由於源MAC(Media Access Control,媒體存取控制)位址的安全性檢查可以由802.11i(無線安全標準)來予以完成,因此可以確保MAC位址的安全有效性,驗證實體針對一終端的源位址而建立SAVI(Source Address Validation Improvement,源位址驗證提高)綁定表項並保存,亦即,建立該終端的源IP位址與源MAC位址的綁定關係,後續該驗證實體可基於該SAVI綁定表項來驗證該源位址中的源IP位址是否有效。其中的驗證實體包括:AP(Access Point,存取點)、AC(Access Control,存取控制器)等。
而在某些情況下,驗證實體由於沒有終端的SAVI綁定表項而無法對終端的源位址有效性進行驗證。針對此情
況,已有技術採用建立通道的方法,透過通道實現不同驗證實體間終端的SAVI綁定表項的同步。
例如,在集中式WLAN(Wireless Local Area Networks,無線區域網路)架構(AC+FIT AP)下,AP為驗證實體時:當終端第一次上線時發起DHCP(Dynamic Host Configuration Protocol,動態主機配置協定)過程,亦即,向DHCP伺服器申請IP位址,API偵聽DHCP封包並產生SAVI綁定表項,同時上報給AC;當終端跨AC漫遊到AP2時,AP2本地查找沒有SAVI綁定表項,則需要在AC之間建立一個通道,以便AC之間同步SAVI綁定表項。
又如,在集中式WLAN架構下,AC為驗證實體時:AC上偵聽DHCP封包並產生SAVI綁定表項,如果終端在AC間漫遊,則同樣需要在AC間建立通道來同步SAVI綁定表項。
上述方法的缺點在於:由於需要在驗證實體間建立用於同步SAVI綁定表項的通道,因此增加了組網複雜度,且一旦通道中斷將無法同步SAVI綁定表項,則漫遊地驗證實體將無法對終端源位址進行驗證,因此將該終端的資料封包丟棄,導致終端無法正常通信。
因此,需要發明一種新的源位址驗證方案,在簡化組網配置基礎上驗證源位址有效性。
本發明解決的技術問題之一在於提供一種用於驗證源位址有效性的方法及裝置,有效實現簡化組網配置基礎上驗證源位址有效性。
根據本發明一態樣的一個實施例,提供了一種用於驗證源位址有效性的方法,包括:回應於接收到終端發送的攜帶所述終端源位址的資料封包,判斷本地是否保存所述終端的源位址驗證提高綁定表項;在本地未保存所述終端的源位址驗證提高綁定表項情況下,依據所述終端源位址模擬所述終端發送動態主機配置協定請求給動態主機配置協定伺服器;回應於接收到所述動態主機配置伺服器返回的確認回應,確定所述終端源位址有效。
根據本發明另一態樣的一個實施例,提供了一種用於驗證源位址有效性的裝置,包括:判斷單元,用以回應於接收到終端發送的攜帶所述終端源位址的資料封包,判斷本地是否保存所述終端的源位址驗證提高綁定表項;模擬發送單元,用以在本地未保存所述終端的源位址驗證提高綁定表項情況下,依據所述終端源位址模擬所述終端發送動態主機配置協定請求給動態主機配置協定伺服器;有效性驗證單元,用以回應於接收到所述動態主機配置伺服器返回的確認回應,確定所述終端源位址有效。
本發明實施例在驗證實體需要對終端發送的資料封包中攜帶的源位址有效性進行驗證時,若本地未保存該終端的SAVI綁定表項,則依據資料封包中攜帶的源位址模擬終端發送DHCP請求給DHCP伺服器,以便根據DHCP伺服器返回的回應來驗證所述終端的源位址的有效性。該過程不需要建立額外的通道來同步SAVI綁定表項,有效簡化了組網配置,且模擬過程對終端無感知,實現了簡化組網配置同時驗證源位址有效性,有效確保了終端的正常通信要求。
本領域普通技術人員將瞭解,雖然下面的詳細說明將參考圖示實施例、附圖而進行,但本發明並不僅限於這些實施例。而是,本發明的範圍是廣泛的,且意在僅透過後附的申請專利範圍來限定本發明的範圍。
210:判斷單元
220:模擬發送單元
230:有效性驗證單元
240:計時單元
250:模擬記錄單元
260:匹配單元
270:刪除單元
280:綁定表項建立及保存單元
290:快取單元
2110:發送單元
透過閱讀參照以下附圖所作之對非限制性實施例所作的詳細描述,本發明的其他特徵、目的和優點將會變得更明顯:圖1是根據本發明一個實施例之用於驗證源位址有效性的方法的流程圖。
圖2是根據本發明一個實施例之用於驗證源位址有效性的裝置的結構示意圖。
圖3是根據本發明另一個實施例之用於驗證源位址有效性的裝置的結構示意圖。
圖4是根據本發明另一實施例之用於驗證源位址有效性的裝置的結構示意圖。
圖5是根據本發明另一個實施例之用於驗證源位址有效性的裝置的結構示意圖。
圖6是根據本發明另一個實施例之用於驗證源位址有效性的裝置的結構示意圖。
本領域普通技術人員將瞭解,雖然下面的詳細說明將參考圖示實施例、附圖而進行,但本發明並不僅限於這些實施例。而是,本發明的範圍是廣泛的,且意在僅透過後附的申請專利範圍來限定本發明的範圍。
在更加詳細地討論示例性實施例之前應當提到的是,一些示例性實施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項操作描述成順序的處理,但是其中的許多操作可以被並行地、併發地或者同時實施。此外,各項操作的順序可以被重新安排。當其操作完成時所述處理可以被終止,但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應於方法、函數、規程、子常式、副程式等等。
所述電腦設備包括用戶設備與網路設備。其中,所述用戶設備包括但不限於電腦、智慧手機、PDA等;所述網路設備包括但不限於單個網路伺服器、多個網路伺服器組成的伺服器組或基於雲端計算(Cloud Computing)的由
大量電腦或網路伺服器構成的雲端,其中,雲端計算是分散式計算的一種,由一群鬆散耦合的電腦集組成的一個超級虛擬電腦。其中,所述電腦設備可單獨運行來實現本發明,也可存取網路並透過與網路中的其他電腦設備的交互操作來實現本發明。其中,所述電腦設備所處的網路包括但不限於互聯網、廣域網、城域網、局域網、VPN網路等。
需要說明的是,所述用戶設備、網路設備和網路等僅為舉例,其他現有的或今後可能出現的電腦設備或網路如可適用於本發明,也應包含在本發明保護範圍以內,並以引用方式包含於此。
後面所討論的方法(其中一些透過流程圖而示出)可以透過硬體、軟體、韌體、中介軟體、微代碼、硬體描述語言或者其任意組合來實施。當用軟體、韌體、中介軟體或微代碼來實施時,用以實施必要任務的程式碼或代碼段可以被儲存在機器或電腦可讀媒體(比如,儲存媒體)中。(一個或多個)處理器可以實施必要的任務。
這裏所公開的具體結構和功能細節僅僅是代表性的,並且是用於描述本發明的示例性實施例的目的。但是本發明可以透過許多替換形式來予以具體實現,並且不應當被解釋成僅僅受限於這裏所闡述的實施例。
應當理解的是,雖然在這裏可能使用了術語“第一”、“第二”等等來描述各個單元,但是這些單元不應當受這些術語限制。使用這些術語僅僅是為了將一個單元與另一個
單元進行區分。舉例來說,在不背離示例性實施例的範圍的情況下,第一單元可以被稱為第二單元,並且類似地第二單元可以被稱為第一單元。這裏所使用的術語“和/或”包括其中一個或更多所列出的相關聯專案的任意和所有組合。
應當理解的是,當一個單元被稱為“連接”或“耦合”到另一單元時,其可以直接連接或耦合到所述另一單元,或者可以存在有中間單元。與此相對,當一個單元被稱為“直接連接”或“直接耦合”到另一單元時,則不存在有中間單元。應當按照類似的方式來解釋被用於描述單元之間的關係的其他詞語(例如“處於...之間”相較於“直接處於...之間”,“與...鄰近”相較於“與...直接鄰近”等等)。
這裏所使用的術語僅僅是為了描述具體實施例而不意圖限制示例性實施例。除非上下文明確地另有所指,否則這裏所使用的單數形式“一個”、“一項”還意圖包括複數。還應當理解的是,這裏所使用的術語“包括”和/或“包含”規定所陳述的特徵、整數、步驟、操作、單元和/或元件的存在,而不排除存在或添加一個或更多其他特徵、整數、步驟、操作、單元、元件和/或其組合。
還應當提到的是,在一些替換實現方式中,所提到的功能/動作可以按照不同於附圖中標示的順序發生。舉例來說,取決於所涉及的功能/動作,相繼示出的兩幅圖實際上可以基本上同時執行或者有時可以按照相反的順序來執行。
下面結合附圖而對本發明的技術方案作進一步詳細描述。
圖1是根據本發明一個實施例之用於驗證源位址有效性的方法的流程圖,該方法用於在區域網路環境(同一個DHCP伺服器,或具有主備關係的雙活DHCP伺服器)中對終端源IP位址有效性進行驗證。該方法主要包括如下步驟:S110、回應於接收到終端發送的攜帶所述終端源位址的資料封包,判斷本地是否保存所述終端的SAVI(源位址驗證提高)綁定表項;S120、在本地未保存所述終端的SAVI綁定表項情況下,依據所述終端源位址模擬所述終端發送DHCP請求給DHCP伺服器;S130、回應於接收到所述動態主機配置伺服器返回的確認回應,確定所述終端源位址有效。
為進一步理解本發明,下面對上述各步驟做進一步詳細介紹。
步驟S110中所述的源位址包括:源IP位址和源MAC位址。本發明實施例的目的即為驗證資料封包中攜帶的源位址的有效性。本發明實施例仍採用SAVI綁定表項來驗證源位址的有效性,因此在接收到終端發送的攜帶源位址的資料封包後,判斷本地是否保存有該終端的SAVI綁定表項。具體地,可以使用源位址中的源IP位址作為索引在本地保存的SAVI綁定表項中進行查找。
若本地保存有該終端的SAVI綁定表項,則表明該終端的源位址有效,為該終端轉發資料封包。
若本地未保存該終端的SAVI綁定表項,則執行步驟S120,依據所述終端源位址模擬所述終端發送DHCP請求給DHCP伺服器。
其中,本地未保存該終端的SAVI綁定表項的情況包括但不限於如下兩種情況:一種情況為,終端在無線區域網路(同一個DHCP伺服器環境,或具有主備關係的雙活DHCP伺服器環境)中漫遊到一個新的驗證實體下,且終端沒有執行重新獲取IP位址的DHCP過程。
另一種情況為,驗證實體重啟,導致重啟前保存的SAVI綁定表項丟失。
本發明實施例在本地未保存終端的SAVI綁定表項情況下,依據所述終端的源位址模擬所述終端向DHCP伺服器發送DHCP請求。亦即,根據資料封包中攜帶的終端源位址構造DHCP請求,所構造的DHCP請求的主要欄位如下:
所謂模擬終端發送DHCP請求,亦即,在構造的DHCP請求中將源位址設定為終端的源位址。另外,需要說明的是,在構造的DHCP請求中不攜帶server identifier(DHCP伺服器標識)選項和requested IP address(請求的IP位址)選項。由於攜帶上述兩個選項情況下,DHCP伺服器會為該終端分配新的IP位址並記錄,也就是在
DHCP伺服器中記錄有已分配的IP位址與MAC位址的對應關係,以及已分配的IP的有效期限等資訊;若不攜帶上述兩個選項,則DHCP伺服器不會為該終端分配新的IP位址,而是根據接收的DHCP請求中的CIADDR和CHADDR判斷是否存在有相應記錄。若DHCP伺服器中存在有CIADDR對應的IP位址,且該IP位址在有效期內,同時CIADDR位址與CHADDR位址對應關係符合DHCP伺服器中記錄的IP位址與MAC位址的對應關係,則表明該CIADDR對應的IP位址有效,DHCP伺服器會返回ACK(確認回應)。否則DHCP伺服器返回NAK(非確認回應),或不發送任何回應。例如,DHCP伺服器中沒有CIADDR對應的IP位址的相關記錄,或CIADDR位址與CHADDR位址對應關係不符合DHCP伺服器中記錄的IP位址與MAC位址的對應關係,或者CIADDR對應的IP位址已超出有效期等等。
因此,透過模擬終端發送DHCP請求給DHCP伺服器,依據DHCP伺服器的回應可確定該資料封包中的源位址是否有效。
步驟S130為接收到DHCP伺服器返回的ACK,則確定所述終端源位址有效。也就是說,在發送DHCP請求後,只要接收到DHCP伺服器返回的ACK,即確定該終端源位址有效。
另一種實施例可以從發送DHCP請求給DHCP伺服器開始計時,若在預設時長範圍內接收到DHCP伺服器返回
的ACK,則確定所述終端源位址有效,否則均認為終端源位址無效,包括:預設時長範圍內未接收到ACK,或接收到NAK等等。
另外,本發明實施例由於是模擬終端發送DHCP請求給DHCP伺服器,為了與終端真實發送的DHCP請求區分開,可以為模擬發送的DHCP請求建立模擬記錄,所述模擬記錄可用於記錄被模擬的終端的源位址以及模擬發送的DHCP請求的標識。後續在接收到DHCP伺服器返回的回應時,可以依據回應攜帶的標識判斷所述回應是否為模擬發送的DHCP請求的回應,所述標識例如可以為DHCP封包中的dhcp transaction id。若是模擬發送的DHCP請求的回應,則不會將該回應發送給終端,並將該模擬記錄刪除。若不是模擬發送的DHCP請求的回應,則將該回應發送給終端。
透過該模擬記錄可將模擬發送的DHCP請求與終端發送的真實的DHCP請求區分開,做到該模擬過程對終端無感知。
本發明實施例在接收到DHCP伺服器返回的確認回應後,即可確定該終端的源位址有效,則可建立並保存該終端的SAVI綁定表項,後續可直接依據該SAVI綁定表項來驗證終端源位址的有效性。
需要說明的是,本發明實施例在未確定終端的源位址是否有效情況下,在步驟S110接收到終端的資料封包後,將該資料封包快取,在接收到DHCP伺服器返回的確
認回應後,發送快取的所述終端的資料封包。若未接收到DHCP伺服器的確認回應或接收到NAK回應,則可將快取的該終端的資料封包丟棄,並可透過向所述終端發送去認證封包以令所述終端斷開目前網路連接,亦即,將所述終端踢下線。
本發明實施例還提供一種與上述用於驗證源位址有效性的方法對應之用於驗證源位址有效性的裝置,如圖2中所示為所述裝置結構示意圖,該裝置主要包括:判斷單元210,用以回應於接收到終端發送的攜帶所述終端源位址的資料封包,判斷本地是否保存所述終端的源位址驗證提高綁定表項。
模擬發送單元220,用以在本地未保存所述終端的源位址驗證提高綁定表項情況下,依據所述終端源位址模擬所述終端發送動態主機配置協定請求給動態主機配置協定伺服器。
有效性驗證單元230,用以回應於接收到所述動態主機配置伺服器返回的確認回應,確定所述終端源位址有效。
所述裝置另一種實施例如圖3中所示,該裝置還可包括:計時單元240,用以從發送動態主機配置協定請求給動態主機配置協定伺服器開始計時。
所述有效性驗證單元230被配置成:接收到所述動態主機配置伺服器返回確認回應以及返
回確認回應的時間距離開始計時的時長在預設時長範圍內情況下,確定所述終端源位址有效。
如圖4中所示,所述裝置還可包括:模擬記錄單元250,用以為模擬所述終端發送的動態主機配置協定請求建立模擬記錄。
匹配單元260,用以確定所述確認回應為針對所述模擬記錄中的模擬所述終端發送的動態主機配置協定請求對應的回應。
刪除單元270,用以刪除為模擬所述終端發送的動態主機配置協定請求建立的所述模擬記錄。
如圖5中所示,所述裝置還包括:綁定表項建立及保存單元280,用以在接收到所述動態主機配置伺服器返回的確認回應後,建立並保存所述終端的源位址驗證提高綁定表項。
如圖6中所示,所述裝置還包括:快取單元290,用以快取所述資料封包。
發送單元2110,用以在接收到所述動態主機配置伺服器返回的確認回應後,發送快取的所述資料封包。
所述有效性驗證單元230被配置成:若未接收到所述動態主機配置伺服器返回的確認回應,或者接收到所述動態主機配置伺服器返回的非確認回應,則確定所述終端源位址無效;相應的所述快取單元290被配置成:丟棄所述終端的資料封包。以及所述發送單元2110被配置成:向所述終
端發送去認證封包。
綜上所述,本發明實施例在驗證實體需要對終端發送的資料封包中攜帶的源位址有效性進行驗證時,若本地未保存該終端的SAVI綁定表項,則依據資料封包中攜帶的源位址模擬終端發送DHCP請求給DHCP伺服器,以便根據DHCP伺服器返回的回應來驗證所述終端的源位址的有效性。該過程不需要建立額外的通道來同步SAVI綁定表項,有效簡化了組網配置,且模擬過程對終端無感知,實現了簡化組網配置同時驗證源位址有效性,有效確保了終端的正常通信要求。
需要注意的是,本發明可在軟體和/或軟體與硬體的組合體中被實施,例如,可採用特殊應用積體電路(ASIC)、通用電腦或任何其他類似硬體設備來予以實現。在一個實施例中,本發明的軟體程式可以透過處理器執行以實現上文所述步驟或功能。同樣地,本發明的軟體程式(包括相關的資料結構)可以被儲存到電腦可讀記錄媒體中,例如,RAM記憶體,磁或光驅動器或軟碟及類似設備。另外,本發明的一些步驟或功能可採用硬體來予以實現,例如,作為與處理器配合從而執行各個步驟或功能的電路。
另外,本發明的一部分可被應用為電腦程式產品,例如電腦程式指令,當其被電腦執行時,透過該電腦的操作,可以調用或提供根據本發明的方法和/或技術方案。而調用本發明的方法的程式指令,可能被儲存在固定的或
可移動的記錄媒體中,和/或透過廣播或其他信號承載媒體中的資料流程而被傳輸,和/或被儲存在根據所述程式指令運行的電腦設備的工作記憶體中。在此,根據本發明的一個實施例包括一個裝置,該裝置包括用以儲存電腦程式指令的記憶體和用以執行程式指令的處理器,其中,當該電腦程式指令被該處理器所執行時,觸發該裝置運行基於前述根據本發明的多個實施例的方法和/或技術方案。
對於本領域技術人員而言,顯然本發明不限於上述示範性實施例的細節,而且在不背離本發明的精神或基本特徵的情況下,能夠以其他的具體形式實現本發明。因此,無論從哪一點來看,均應將實施例看作是示範性的,而且是非限制性的,本發明的範圍由所附加之申請專利範圍而不是上述說明來予以限定,因此旨在將落在申請專利範圍的等同要件的含義和範圍內的所有變化涵括在本發明內。不應將申請專利範圍中的任何附圖標記視為限制所涉及的申請專利範圍。此外,顯然“包括”一詞不排除其他單元或步驟,單數不排除複數。系統申請專利範圍中陳述的多個單元或裝置也可以由一個單元或裝置透過軟體或者硬體來予以實現。第一,第二等詞語被用來表示名稱,而並不表示任何特定的順序。
Claims (14)
- 一種用於驗證源位址有效性的方法,其特徵在於,包括:回應於接收到終端發送的攜帶該終端的源位址的資料封包,判斷本地是否保存該終端的源位址驗證提高綁定表項;在本地未保存該終端的源位址驗證提高綁定表項情況下,依據該終端的源位址模擬該終端發送動態主機配置協定請求給動態主機配置協定伺服器;回應於接收到該動態主機配置伺服器返回的確認回應,確定該終端的源位址有效;以及為模擬該終端發送的動態主機配置協定請求建立模擬記錄;接收到該動態主機配置伺服器返回的確認回應後,該方法還包括:確定該確認回應為針對該模擬記錄中的模擬該終端發送的動態主機配置協定請求對應的回應;以及刪除為模擬該終端發送的動態主機配置協定請求建立的該模擬記錄。
- 如申請專利範圍第1項所述的方法,其中,該方法還包括:從發送動態主機配置協定請求給動態主機配置協定伺服器開始計時;其中,當接收到該動態主機配置伺服器返回確認回應 以及返回確認回應的時間距離開始計時的時長在預設時長範圍內情況下,才確定該終端的源位址有效。
- 如申請專利範圍第1項所述的方法,其中,接收到該動態主機配置伺服器返回的確認回應後,該方法還包括:建立並保存該終端的源位址驗證提高綁定表項。
- 如申請專利範圍第1項所述的方法,其中,在本地未保存該終端的源位址驗證提高綁定表項情況下,該方法還包括:快取該資料封包;接收到該動態主機配置伺服器返回的確認回應後,該方法還包括:發送快取的該資料封包。
- 如申請專利範圍第4項所述的方法,其中,該方法還包括:若未接收到該動態主機配置伺服器返回的確認回應,或者接收到該動態主機配置伺服器返回的非確認回應,則確定該終端的源位址無效;以及丟棄快取的該終端的資料封包。
- 如申請專利範圍第5項所述的方法,其中,該方法還包括:向該終端發送去認證封包。
- 如申請專利範圍第1項所述的方法,其中,該動態主機配置協定請求中不攜帶動態主機配置協定伺服器標識 選項和請求的IP位址選項。
- 一種用於驗證源位址有效性的裝置,其特徵在於,包括:判斷單元,用以回應於接收到終端發送的攜帶該終端的源位址的資料封包,判斷本地是否保存該終端的源位址驗證提高綁定表項;模擬發送單元,用以在本地未保存該終端的源位址驗證提高綁定表項情況下,依據該終端的源位址模擬該終端發送動態主機配置協定請求給動態主機配置協定伺服器;有效性驗證單元,用以回應於接收到該動態主機配置伺服器返回的確認回應,確定該終端的源位址有效;模擬記錄單元,用以為模擬該終端發送的動態主機配置協定請求建立模擬記錄;匹配單元,用以確定該確認回應為針對該模擬記錄中的模擬該終端發送的動態主機配置協定請求對應的回應;以及刪除單元,用以刪除為模擬該終端發送的動態主機配置協定請求建立的該模擬記錄。
- 如申請專利範圍第8項所述的裝置,其中,該裝置還包括:計時單元,用以從發送動態主機配置協定請求給動態主機配置協定伺服器開始計時;該有效性驗證單元被配置成:接收到該動態主機配置伺服器返回確認回應,並且返 回的確認回應的時間距離開始計時的時長在預設時長範圍內情況下,確定該終端的源位址有效。
- 如申請專利範圍第8項所述的裝置,其中,該裝置還包括:綁定表項建立及保存單元,用以在接收到該動態主機配置伺服器返回的確認回應後,建立並保存該終端的源位址驗證提高綁定表項。
- 如申請專利範圍第8項所述的裝置,其中,該裝置還包括:快取單元,用以快取該資料封包;以及發送單元,用以在接收到該動態主機配置伺服器返回的確認回應後,發送快取的該資料封包。
- 如申請專利範圍第11項所述的裝置,其中,該有效性驗證單元被配置成:若未接收到該動態主機配置伺服器返回的確認回應,或者接收到該動態主機配置伺服器返回的非確認回應,則確定該終端的源位址無效;以及相應的該快取單元被配置成:丟棄該終端的資料封包。
- 如申請專利範圍第12項所述的裝置,其中,該發送單元被配置成:向該終端發送去認證封包。
- 如申請專利範圍第8項所述的裝置,其中,該動態主機配置協定請求中不攜帶動態主機配置協定伺服器標 識選項和請求的IP位址選項。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510524597.4A CN106487742B (zh) | 2015-08-24 | 2015-08-24 | 用于验证源地址有效性的方法及装置 |
| CN201510524597.4 | 2015-08-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201709698A TW201709698A (zh) | 2017-03-01 |
| TWI706648B true TWI706648B (zh) | 2020-10-01 |
Family
ID=58096232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105107430A TWI706648B (zh) | 2015-08-24 | 2016-03-10 | 用於驗證源位址有效性的方法及裝置 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US10135784B2 (zh) |
| EP (1) | EP3342128B1 (zh) |
| JP (1) | JP6553805B2 (zh) |
| KR (1) | KR102018490B1 (zh) |
| CN (1) | CN106487742B (zh) |
| AU (1) | AU2016313650B2 (zh) |
| BR (1) | BR112018001516A2 (zh) |
| CA (1) | CA2993282C (zh) |
| TW (1) | TWI706648B (zh) |
| WO (1) | WO2017035151A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
| CN107222856B (zh) * | 2017-06-16 | 2020-01-21 | 北京星网锐捷网络技术有限公司 | 一种在无线控制器ac间漫游的实现方法和装置 |
| US10547587B2 (en) * | 2018-03-19 | 2020-01-28 | Didi Research America, Llc | Method and system for near real-time IP user mapping |
| CN108965241A (zh) * | 2018-05-28 | 2018-12-07 | 清华大学 | 基于无线局域网的源地址验证方法 |
| CN109089263B (zh) * | 2018-07-25 | 2021-07-30 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN109150895A (zh) * | 2018-09-13 | 2019-01-04 | 清华大学 | 一种软件定义网络的域内源地址的验证方法 |
| US11016793B2 (en) * | 2018-11-26 | 2021-05-25 | Red Hat, Inc. | Filtering based containerized virtual machine networking |
| CN111200611B (zh) * | 2020-01-06 | 2021-02-23 | 清华大学 | 基于边界接口等价类的域内源地址验证方法及装置 |
| CN111740961B (zh) * | 2020-05-26 | 2022-02-22 | 北京华三通信技术有限公司 | 通信方法及装置 |
| CN112688958B (zh) * | 2020-12-30 | 2023-03-21 | 联想未来通信科技(重庆)有限公司 | 一种信息处理方法及电子设备 |
| CN112929279B (zh) * | 2021-03-09 | 2021-11-30 | 清华大学 | 互联网域内源地址验证表的分布式生成方法和装置 |
| CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
| CN115002071A (zh) * | 2022-05-25 | 2022-09-02 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
| CN117201050A (zh) * | 2022-06-01 | 2023-12-08 | 华为技术有限公司 | 一种源地址验证的方法、网络设备及通信系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080165778A1 (en) * | 2007-01-05 | 2008-07-10 | Cisco Technology, Inc. (A California Corporation) | Source address binding check |
| US20090006585A1 (en) * | 2005-12-30 | 2009-01-01 | Ling Chen | Ip Address Allocation Method |
| CN102413044A (zh) * | 2011-11-16 | 2012-04-11 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
| US20140146816A1 (en) * | 2010-10-05 | 2014-05-29 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US5790548A (en) | 1996-04-18 | 1998-08-04 | Bell Atlantic Network Services, Inc. | Universal access multimedia data network |
| US20030208616A1 (en) | 2002-05-01 | 2003-11-06 | Blade Software, Inc. | System and method for testing computer network access and traffic control systems |
| US20040153665A1 (en) * | 2003-02-03 | 2004-08-05 | Logan Browne | Wireless network control and protection system |
| US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7769994B2 (en) | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| JP4320603B2 (ja) * | 2004-02-26 | 2009-08-26 | 日本電気株式会社 | 加入者回線収容装置およびパケットフィルタリング方法 |
| JP2006020085A (ja) * | 2004-07-01 | 2006-01-19 | Fujitsu Ltd | ネットワークシステム、ネットワークブリッジ装置、ネットワーク管理装置およびネットワークアドレス解決方法 |
| JP2006197094A (ja) * | 2005-01-12 | 2006-07-27 | Matsushita Electric Ind Co Ltd | 通信システム |
| GB2423448B (en) | 2005-02-18 | 2007-01-10 | Ericsson Telefon Ab L M | Host identity protocol method and apparatus |
| US7929452B2 (en) * | 2005-06-30 | 2011-04-19 | Intel Corporation | Internet protocol (IP) address sharing and platform dynamic host configuration protocol (DHCP) mediator |
| US8756337B1 (en) * | 2007-08-03 | 2014-06-17 | Hewlett-Packard Development Company, L.P. | Network packet inspection flow management |
| CN101150582A (zh) * | 2007-10-22 | 2008-03-26 | 华为技术有限公司 | 分配配置信息的方法和设备 |
| JP5174747B2 (ja) * | 2009-06-18 | 2013-04-03 | 株式会社日立製作所 | 計算機システムおよび管理装置 |
| CN101605070B (zh) * | 2009-07-10 | 2011-09-14 | 清华大学 | 基于控制报文监听的源地址验证方法及装置 |
| CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
| JP5364671B2 (ja) * | 2010-10-04 | 2013-12-11 | アラクサラネットワークス株式会社 | ネットワーク認証における端末接続状態管理 |
| EP2676402A4 (en) * | 2011-02-17 | 2015-06-03 | Sable Networks Inc | METHOD AND SYSTEMS FOR DETECTING AND WEAKENING A DISTRIBUTED HIGH FREQUENCY DENIAL OF SERVICE (DDOS) ATTACK |
| WO2013069051A1 (en) * | 2011-11-08 | 2013-05-16 | Hitachi, Ltd. | Computer system, and method for managing resource pool information |
| US9015852B2 (en) | 2012-04-30 | 2015-04-21 | Cisco Technology, Inc. | Protecting address resolution protocol neighbor discovery cache against denial of service attacks |
| JP2017017631A (ja) * | 2015-07-03 | 2017-01-19 | 富士通株式会社 | パケット伝送装置、通信ネットワークシステム、及び、アドレス割当確認方法 |
-
2015
- 2015-08-24 CN CN201510524597.4A patent/CN106487742B/zh active Active
-
2016
- 2016-03-10 TW TW105107430A patent/TWI706648B/zh not_active IP Right Cessation
- 2016-08-22 US US15/243,507 patent/US10135784B2/en active Active
- 2016-08-23 CA CA2993282A patent/CA2993282C/en not_active Expired - Fee Related
- 2016-08-23 AU AU2016313650A patent/AU2016313650B2/en not_active Ceased
- 2016-08-23 WO PCT/US2016/048213 patent/WO2017035151A1/en unknown
- 2016-08-23 BR BR112018001516-4A patent/BR112018001516A2/pt not_active Application Discontinuation
- 2016-08-23 KR KR1020187002299A patent/KR102018490B1/ko active IP Right Grant
- 2016-08-23 EP EP16839993.9A patent/EP3342128B1/en active Active
- 2016-08-23 JP JP2018503630A patent/JP6553805B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090006585A1 (en) * | 2005-12-30 | 2009-01-01 | Ling Chen | Ip Address Allocation Method |
| US20080165778A1 (en) * | 2007-01-05 | 2008-07-10 | Cisco Technology, Inc. (A California Corporation) | Source address binding check |
| US20140146816A1 (en) * | 2010-10-05 | 2014-05-29 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
| CN102413044A (zh) * | 2011-11-16 | 2012-04-11 | 华为技术有限公司 | 一种DHCP Snooping绑定表生成的方法、装置、设备及系统 |
Non-Patent Citations (2)
| Title |
|---|
| J. Bi, J.Wu , G. YAo (Tsinghua Univ),F. Baker (CISCO)^&rn^,"Source Address Validation Improvement (SAVI) Solution for DHCP",IETF,May 2015. |
| J. Bi, J.Wu , G. YAo (Tsinghua Univ),F. Baker (CISCO)^&rn^,"Source Address Validation Improvement (SAVI) Solution for DHCP",IETF,May 2015. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106487742A (zh) | 2017-03-08 |
| EP3342128A1 (en) | 2018-07-04 |
| AU2016313650A1 (en) | 2018-02-08 |
| AU2016313650B2 (en) | 2019-03-21 |
| KR20180021837A (ko) | 2018-03-05 |
| US20170063680A1 (en) | 2017-03-02 |
| CN106487742B (zh) | 2020-01-03 |
| WO2017035151A1 (en) | 2017-03-02 |
| JP6553805B2 (ja) | 2019-07-31 |
| BR112018001516A2 (pt) | 2020-12-01 |
| CA2993282C (en) | 2020-04-28 |
| EP3342128B1 (en) | 2021-02-24 |
| TW201709698A (zh) | 2017-03-01 |
| KR102018490B1 (ko) | 2019-09-06 |
| US10135784B2 (en) | 2018-11-20 |
| JP2018525907A (ja) | 2018-09-06 |
| EP3342128A4 (en) | 2019-04-17 |
| CA2993282A1 (en) | 2017-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI706648B (zh) | 用於驗證源位址有效性的方法及裝置 | |
| CN104137511B (zh) | 用于安全协议的动态选择的方法、设备和客户端设备 | |
| US9323554B2 (en) | Method, device, and system for migrating configuration information during live migration of virtual machine | |
| CN106302595B (zh) | 一种对服务器进行健康检查的方法及设备 | |
| JP2015511743A5 (zh) | ||
| WO2016180171A1 (zh) | 一种信任登录方法和装置 | |
| CN103475751B (zh) | 一种ip地址切换的方法及装置 | |
| US11366803B2 (en) | Method for providing relational decentralized identifier service and blockchain node using the same | |
| CN103841560A (zh) | 增强sim卡可靠性的方法及设备 | |
| WO2015062228A1 (zh) | 一种访问共享内存的方法和装置 | |
| CN104168140B (zh) | Vtep异常情况处理方法及装置 | |
| WO2017041562A1 (zh) | 一种识别终端设备用户身份的方法和装置 | |
| WO2018045994A1 (zh) | 网络访问控制 | |
| WO2013071747A1 (zh) | 一种获取文件的方法和装置 | |
| WO2023045313A1 (zh) | 会话建立方法、装置、客户端设备和计算机存储介质 | |
| CN105208058A (zh) | 基于web会话共享的信息交互系统 | |
| JP2017130923A5 (zh) | ||
| CN105592083B (zh) | 终端利用令牌访问服务器的方法和装置 | |
| WO2016107612A1 (zh) | 一种对虚拟卡片进行处理的方法和装置 | |
| JP2012146083A (ja) | セッション管理システム、セッション管理装置、サーバ装置およびセッション管理方法 | |
| US20210409407A1 (en) | Access authenticating | |
| KR20210044281A (ko) | 클라우드 저하 모드에서 지속적인 디바이스 동작 안정성을 보장하기 위한 방법 및 장치 | |
| CN106161611A (zh) | 直播平台上传和获取图像的系统及其方法 | |
| CN106790176A (zh) | 一种访问网络的方法及系统 | |
| WO2018000825A1 (zh) | 一种数据处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |