WO2010148605A1 - 一种宽带接入设备中防止用户地址欺骗的方法和装置 - Google Patents

Description

接 各中防止用戶地址欺騙的方法和裝置 木領域

本 涉及 的安全接 方法， 特別涉及 接 各中 防止用戶地址欺騙的方法和裝置。 背景 木

木的 逐步要求 向融合多並各承載的方向 ， 因 此 需要 造 ， 以便承載多 並各。 由于 並各都有 不同的特 ， 在其各 的 中 了不同的接 方式， 目前上 並各通常 用以太 上的 到 連接 ( PPO , o o o oocoOve he e )接 方式， 而 ( PTV, e e Pooco Teevso 、

(VOP VoceOve e e ooco )等並各 用功 配置 ( CP, y amc os Co a o ooco )接 方式， 而 神不同 並各 不同接 方式的情況 在相 長的 段 同內存在。 因此， 在 接 各的用戶端 上同 支持多 接 方式已成 接 各的 介基本功能。

CP最初 在 ( , e e ooco ) 上， PPPO 不同的是， CP 沒有太多的考慮安全性， 在大規模使用中存在較多的 安全 ， 尤其是盜用 P地址 非法操作。 由于盜用 P地址

非法操作 是通 仿冒 P 的， 因此即使安全管理 統 了相

， 也不容 定位 的 者。

前 接 各中用 防止 P/ 休 控制 ( A , edaAccess Co o )地址欺騙的方法， 主要是在 接 各上 P/ AC地址 ， 即 CP ( CPS oop )建立功 和手工配置 P/ AC 地址 ， 非法 P/ AC地址 。

在 方法 ， 現有 木都是在用戶端 上升 地址 欺騙功 能， 然 配置 控制 (AC , Access Co o s )規則，

， CP 以外的所有 P ， 只允許 P/ AC CP S oop g 中的 P/ AC地址的 文通 。 于用 戶端 別的 功能 太 ， 使用 CP的 P ( PSo ce G a )功能 用戶端 只能工作在 CP接 方式下， 滿足目前同 用戶端 支持多 接 方式需求。 內容

本 要解決的 木 是提供 接 各中防止用戶地址欺 騙的方法， 在同 用戶端 下可支持多 接 方式。

了解決上 ， 本 提供了 接 各中防止用戶地址 欺騙的方法， 包括

所迷 接 各力配置的每 介並各配置 介並各 作力承載並 各的 通道， 配置各 各 占用戶端 的 ， 不同並各 各 的並各 信息

接 各 配置的以 CP方式接 的並各， P地址 欺騙功能 收到的 已配置的非 CP方式接 的並 各的所有 ， 都允許 。

步 ， 上 方法近可具有以下特

接 各 于並各 ， 包括配置的 並各的並各 信息和 各的 ， 型包括 CP 文和非 CP

形成的 是 配置的使用 CP方式接 的並各， 只有 CP 文才能 配置的使用其他方式接 的並各， 所有 都允許 。

步 ， 上 方法近可具有以下特 、 AC地址和並各 信息作力

于用戶端 接收到的 P ， 接 各 P 文中的 P地址、 AC地址和並各 信息匹配到 ， 常 ， 否則按照 。

步 ， 上 方法近可具有以下特

各 信息 似 (V A ,V a oca ea ewok、 流量 先 控制 802. P的 先 、永久 (PVC ema e V a C c )或以太 並各的 信息。

步 ， 上 方法近可具有以下特

接 各 到 CP ， 刪除保存的 CP 的 P地址、 AC地址和並各 信息。 本 要解決的另 技木 是提供 方法 的 接 各 中防止用戶地址欺騙的裝置， 在同 用戶端 下可支持多 接 方式。

了解決上 ， 本 提供了 接 各中防止用戶地址 欺騙的裝置， 裝置 配置管理 、 安全控制 和 特

其中，

配置管理 ， 于 每 介並各配置 介並各 ， 作力承載 並各的 通道， 配置各並各 占用戶端 的 ， 不同並各 各 的並各 信息 將 安全控制

安全控制 ， 于 于並各 的 ， 配置的並各的並各 信息和 並各的 ，

型包括 CP 文和非 CP 將 下 到 特

特 ， 于根 安全控制 下 的 形成 ， 配置的以 CP方式接 的並各， P 地址 欺騙功能 收到的 已配置的非 CP方式接 的並各的所有 ， 都允許 。

步 ， 上 裝置近可具有以下特

特 形成的 是 配置的使用 CP方式接 的並各， 只有 CP 文才能 配置的使用其他方 式接 的並各， 所有 都允許 。

步 ， 上 裝置近可具有以下特

裝置近包括 CP

CP CP 保存 到的 CP 的 P 地址、 AC地址和並各 信息作力 ， 安全控制 下 到 特

特 于用戶端 接收到的 P ， P 文 中的 P地址、 AC地址和並各 信息匹配到 ， 常 ， 否則按照 。

步 ， 上 裝置近可具有以下特

配置管理 配置的並各 信息 V A 、 流量 先 控制 802. P的 先 、 VC或以太 並各的 信息。

步 ， 上 裝置近可具有以下特

CP 到 CP ， 刪除保存的 CP 的 P地址、 AC地址和並各 信息。

現有 木相比較， 本 于 CP S oop g功能， 通 並各 信息在並各居次上 了 于用戶 的 ， 在 CP安全接 的同 ， 不 其他接 方式。 本 方案 羊， 克服了 于 用戶端 的缺陷， 滿足了目前 于同 用戶端 支持多 接 方式的 需求， 增強了 接 各的 能力。 說明

1 VC或 F 方式多並各 模型示意囤

囤 2力本 的 流程示意囤

囤 3力本 的 P 匹配 理的流程示意囤 囤 4力本 的相 示意囤。 休 方式

本 在 接 各上 CPS oop g 木 CP 行 監 ， CP 文中的用戶信息， 用戶端 的並各部署， 配置 各 ， 于並各的 。

下面結合 木方案的 步的 。

2力本 的 流程示意囤， 休包括 下步驟

步驟210 接 各用戶端 的並各部署， 允許接 的每 並各分別配置 介並各 作力承載 並各的 通道， 配置並各 占用戶端 的 ， 不同並各 各 的並各 信息

其中， 各部署是指 方式未四分 各， 可以用 V A 、 流 量 先 控制 ( 802 P) 中的 先 、 VC或以太 矣 等 並各， V A 的 都是上 並各 ， V A 2的 是視頻並各 等等。 是 木 T 1 中 介典型的 V A 並各的 。 並各 信息 並各的方式不同而不同， 上 中的上 並各的並各 信息 V A 的 ，用戶接 並各 信息， 接 各 並各 信息 前並各的矣 。 用戶端口可以 VC或第 英里以太 ( F , Ehe e he F s e)封裝方式的接 ，但不限于 。 並各 口是 介承載並各 的 通道， 于並各 的 概念， 建立在 特 的

( 接口 ) 上， 于用戶 多並各接 的配置管理。

本 中的並各 信息以 V A ， 但不限于V A ， 因此 各 信息和並各 ， 介並各 介並各 信息， V A ， 介並各 信息代表 並各 步建立並各 和用 戶端 的 ， 由于 介用戶端口可以 多 並各 ， 因此並 各 和用戶端口 同就形成了多 的 ， 也就是 介用戶端口可以 同 支持多 並各接 。 ， V A A是上 並各 ( PPO 接 方式)， 而 V B是 PTV並各 ( CP接 方式 安全功能)， 並各 A和 V A相 ， 並各 B和V A 相 同 並各 A和並 各 B相 的用戶端 上即可同 支持 並各及 並各 的接 方式。

步驟220 接 各 于並各 口建立 ，

包括並各 信息和 並各的

本 將 分力 CP 文和非 CP 。 形成的 的 是 配置的使用 CP方式接 的並各， 只有 CP 文才能 ， 而配置的使用其他方式接 的並各， 所有 都可以 。

步驟 230 接 各 CP ， 取用戶信息， 建立功 的用戶

， 的用戶 中沒有任何 。 CP 是 介 的 CPS oop g ， 到 CP ， 建立功 的 用戶 所需的用戶信息， 用戶信息建立用戶 ， 中 CP 文中 的用戶信息包括 並各 信息、 用戶端 、 用戶 P地址和 AC地址 用戶 表的信息包括 並各 、 並各 信息 (V A 802. P和以太 等)、 用戶端 、 P地 址和 AC地址。

步驟240 接 各 用戶端 接收到的 P 匹配

接 各的用戶端 接收到 P扳 ，

匹配 ， 包括 目和 。 包 括用戶 中的 P地址、 AC地址和並各 信息。

休的， 于 P 匹配 3所示， 包括 下步驟 步驟241 用戶端 接收到 P扳

步驟242 接 各首先 匹配， 即 文中的 地址+ AC地址十並各 信息" 用戶 ， P 文中的 「 P地址、 AC地址和並各 信息是否可信， 即是否 占用戶 中的 目相匹配 果匹配， 則表示可信， 執行步 驟244 否則力不可信， 執行步驟243

步驟 243 使用 ， 果是使用 CP方式接 的並各的 CP ， 或者是使用非 CP方式接 的並各的 ， 則執 行步驟244 果是使用 CP方式接 的 各的非 CP ， 則執行 步驟245

步驟244 常 ，

步驟245 ，

步驟250 CP用戶通信 ， 刪除用戶 。

接 各 到 CP ， 用戶 ， 刪除 用戶 中的 。 按照以上流程， 不 可以 以 CP方式接 的 的防止用戶 地址欺騙， 近可以允許其他接 方式的 文通 。

上 方法， 因 4洽出了 接 各中 方法的裝置， 包括 配置管理 、 CP 、 安全控制 和 特

，

配置管理 並各 信息 配置並各 ， 建立用戶端 和並各 的 將用戶端 和並各 的 安全 控制

CP 分析 CP ， 提取用戶信息 通 安全 管理建立或刪除

安全控制 管理並各 的 和 CP 的用戶信息， 建立功 的用戶 ， 同 將 下 特 包括 和 其中

包括並各 信息和 ， 型包括 CP和非 CP 包括 P地址、 N C地址和並各 信息

特 接收安全控制 下 的 ， 接 各 收到的 P 匹配 操作 ， 其中匹配 操作 上文 ， 此 不再 。

然， 本 近可有其它多 ， 在不 本 精神及其 的情況下， 本領域 木 可 本 做出各 相 的 和 ，

Claims

要求

1、 接 各中防止用戶地址欺騙的方法，其特 在于， 包括 寬帶接 各 並各配置 介並各 作力承載並各的 通 道， 配置各並各 占用戶端 的 ， 不同並各 各 的並各 信息 P地址 欺騙功能 收到的並各 于非 CP方 式接 的並各的所有 ， 允許 。

2、 要求 1 的方法， 其特 在于， 方法 步包括

接 各 于並各 ， 包括並各的並各 信息和 並各的 ， 型包括 CP 文和非 CP

的 形成 ，

于使用 CP方式接 的並各，只允許 CP 文通 于使用其他方式接 的並各， 所有 都允許 。

3、 要求2 的方法， 其特 在于， 方法 步包括 所迷 接 各 CP ， 保存 到的 CP 的 P 地址、 AC地址和並各 信息作力

于用戶端 接收到的 P ， 接 各 P 文中 的 P地址、 AC地址和並各 信息是否匹配到 ， 果匹配到， 則 常 ， 否則 。

4、 要求 1 的方法， 其特 在于 並各 信息 似 ( A )、 流量 先 控制 802. P的 先 、 永久 ( VC) 或以太 並各的 信息。

5、 要求3 的方法， 其特 在于， 接 各 到 CP ， 刪除保存的 CP 的 P地址、 AC地址 和並各 信息。

6、 接 各中防止用戶地址欺騙的裝置， 其特 在于， 裝置包括 配置管理 、 安全控制 和 特

配置管理 ， 于 並各配置 介並各 ， 作力承載並 各的 通道， 配置各並各 占用戶端 的 ， 不同並各 各 的並各 信息 將 安全控制

安全控制 ， 于 于並各 的 ， 包括並各的並各 信息和 並各的 ， 型包括 CP 文和非 CP 將 下 到 特

特 ， 于根 安全控制 下 的 形成 ， 于以 CP方式接 的並各， P地址 欺騙功能 收到的 于非 CP方式接 的並各的 所有 ， 允許 。

7、 要求6 的裝置， 其特 在于

特 形成的 是 于使用 CP 方式接 的並各， 只有 CP 文才允許 于使用其他方式接 的 並各， 所有 都允許 。

8、 要求7 的裝置， 其特 在于， 裝置近包括 CP CP ， 于 CP ， 保存 到的 CP 的 P地址、 AC地址和並各 信息作力 ， 安全 控制 下 到 特

特 ， 近 于 于用戶端 接收到的 P ， P 文中的 P地址、 AC地址和並各 信息是否匹配到 ， 匹 配到 常 ， 未匹配到 。

9、 要求6 的裝置， 其特 在于 所述配置管理 配置的 並各 信息 V A 、 流量 先 控制 802. P的 先 、 VC 或以太 並各的 信息。

10、 要求 8所述的裝置， 其特 在于， 所述 CP

到 CP ， 刪除保存的 CP 的 P地址、 AC 地址和並各 信息。