專利名稱:一種安全arp的實(shí)現(xiàn)方法及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種安全ARP的實(shí)現(xiàn)方法及網(wǎng)絡(luò)設(shè)備�。
背景技術(shù):
數(shù)據(jù)鏈路上的設(shè)備需要一種方法來發(fā)現(xiàn)鄰居的數(shù)據(jù)鏈路標(biāo)識,即媒體訪問 控制(Media Access Control, MAC)地址�,以便將數(shù)據(jù)傳送到正確的目的地��。 因特網(wǎng)的地址解析協(xié)議(Address Resolution Protocol, ARP)根據(jù)指定的IP地址 來獲取對應(yīng)的MAC地址�����。
根據(jù)因特網(wǎng)標(biāo)準(zhǔn)RFC826����, ARP的機(jī)制是當(dāng)一臺網(wǎng)絡(luò)設(shè)備需要獲取同一鏈 路上的另一臺網(wǎng)絡(luò)設(shè)備的MAC地址時(shí)���,它將組裝ARP請求消息����,在這個(gè)消息 中包括設(shè)備一的MAC地址�����、IP地址和設(shè)備二的IP地址���。然后,ARP請求消 息在數(shù)據(jù)鏈路上被廣播�,即數(shù)據(jù)鏈路上的所有設(shè)備都將收到該幀,并且必須檢 查幀內(nèi)封裝的消息���。IP地址與ARP請求消息中的目標(biāo)IP地址相同的設(shè)備二將 向ARP請求消息的發(fā)送者地址發(fā)送ARP響應(yīng)消息�,以提供自己的MAC地址, 而其他設(shè)備則不會發(fā)送答復(fù)消息���。于是��,地址解析操作的結(jié)果就是發(fā)送源設(shè)備 即設(shè)備一獲得了設(shè)備二的MAC地址����,并且在本地的ARP緩存表中記錄目標(biāo)設(shè) 備即設(shè)備二的MAC地址和IP地址的映射關(guān)系��。
當(dāng)前的ARP通過明文的廣播詢問�����、應(yīng)答��,可以獲得同網(wǎng)段網(wǎng)絡(luò)中所有主機(jī) 的IP與MAC地址的對應(yīng)關(guān)系�����。因此�,只要攻擊設(shè)備能拿到其他設(shè)備的IP-MAC (IP地址與MAC地址)地址的映射關(guān)系,就能對其他i殳備進(jìn)行相應(yīng)的攻擊��。當(dāng) 某接入設(shè)備中毒,導(dǎo)致同網(wǎng)內(nèi)的其他設(shè)備受到攻擊����,這樣的攻擊經(jīng)常發(fā)生在機(jī) 房或者辦公室等同 一個(gè)網(wǎng)段的網(wǎng)絡(luò)中。
隨著全I(xiàn)P網(wǎng)絡(luò)的發(fā)展��,安全問題已經(jīng)越來越受到重視�,在第三代合作伙伴 計(jì)劃(3rd Generation Partnership Project, 3GPP)領(lǐng)域,也定義了比如IP層協(xié)i義安 全結(jié)構(gòu)(Security Architecture for IP network , IPSEC)等IP層以上的安全技術(shù)�����, 形成安全域�,組織安全網(wǎng)絡(luò)。但是這種保護(hù)僅僅能對服務(wù)器程序進(jìn)行保護(hù)�,對設(shè)備本身,尤其是位于同一網(wǎng)段進(jìn)行交互的兩個(gè)設(shè)備��,沒有保護(hù)作用����。請參見
圖1所示����,圖1為采用IPSEC等安全I(xiàn)P手段進(jìn)行對相關(guān)內(nèi)容的保護(hù)���,設(shè)備一要 安全訪問設(shè)備二,設(shè)備一上的客戶程序含有設(shè)備二的IP地址��,該方法實(shí)現(xiàn)方式
設(shè)備一向網(wǎng)絡(luò)廣播普通ARP請求消息�;
設(shè)備二接收到普通ARP請求消息后,將含有MAC地址信息的響應(yīng)消息返回 給設(shè)備一�����;
獲得設(shè)備二的IP-MAC地址映射關(guān)系的設(shè)備一的客戶程序能通過安全I(xiàn)P接口 與設(shè)備二的服務(wù)器程序進(jìn)行通訊��,通訊內(nèi)容受到安全I(xiàn)P的保護(hù)�����。
但與此同時(shí)����,設(shè)備一上的病毒程序也能夠通過普通IP接口,利用ARP緩存表 存儲的IP-MAC地址映射關(guān)系�,攻擊到設(shè)備二。其他設(shè)備也能通過ARP協(xié)議�����,獲 得網(wǎng)絡(luò)中i史備的IP與MAC地址映射關(guān)系,并能實(shí)施攻擊�。
為了實(shí)現(xiàn)對設(shè)備的保護(hù),請參見圖2所示�����,公開了一種在設(shè)備二前放置一臺 防火墻����,通過防火墻的設(shè)置,安全的消息可以通過防火墻�,而攻擊消息將被過 濾掉。但是在每一臺設(shè)備前都放置一臺防火墻�����,不僅需要花費(fèi)巨大的成本����,還 需要進(jìn)行不斷的維護(hù)。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明實(shí)施例提供了一種安全ARP的實(shí)現(xiàn)方法及網(wǎng)絡(luò)設(shè)備�。可 在節(jié)約成本的前提下實(shí)現(xiàn)安全ARP���。
本發(fā)明實(shí)施例提供了 一種安全ARP的實(shí)現(xiàn)方法,該方法至少包括以下步驟
對本端i殳備地址和需請求的目標(biāo)i殳備的地址進(jìn)行加密��;
生成安全ARP請求消息����,所述消息中攜帶有安全標(biāo)識和所述加密后的地址 信息;
通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安全ARP請求�����。 該方法還進(jìn)一步包括
在接收到目標(biāo)設(shè)備的ARP響應(yīng)消息后�,解密所述ARP響應(yīng)消息的地址字段, 獲取所述目標(biāo)i殳備的地址����。
在接收到目標(biāo)設(shè)備的ARP響應(yīng)消息后,還進(jìn)一步包括 判斷所述ARP響應(yīng)消息中是否攜帶有安全標(biāo)識�,如果判斷為是,則解密所 述ARP響應(yīng)消息的地址字段���,獲取所述目標(biāo)設(shè)備的地址�����。 該方法還再進(jìn)一步包括
客戶程序通過安全I(xiàn)P接口以及安全ARP接口獲得所述解密獲取的目標(biāo)設(shè)備 的地址�����。
本發(fā)明實(shí)施例提供了 一種安全ARP的實(shí)現(xiàn)方法���,該方法至少包括以下步驟 接收安全ARP請求����,并解密所述安全APR請求的地址字段�; 解密完成后,將本端設(shè)備的地址信息以及源請求設(shè)備的地址信息進(jìn)行加密�; 生成安全ARP響應(yīng)消息,所述消息中攜帶有安全標(biāo)識和所述加密后的地址 信息�;
通過所述安全ARP響應(yīng)消息向所述ARP請求的源設(shè)備發(fā)送安全ARP響應(yīng)。 在接收到安全ARP請求消息后���,還進(jìn)一步包括
判斷所述ARP請求消息中是否攜帶有安全標(biāo)識�,如果判斷為是���,則解密所 述ARP請求消息的地址字段����,獲取所述ARP請求的源設(shè)備的地址以及需請求的 地址。
本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)設(shè)備�����,該網(wǎng)絡(luò)設(shè)備包括 加密單元��,用于對本端設(shè)備地址和需請求的目標(biāo)設(shè)備的地址進(jìn)行加密���; 生成單元,用于生成安全ARP請求消息��,所述消息中攜帶有安全標(biāo)識和所 述加密后的地址信息����;
發(fā)送單元,用于通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安全ARP請求��。 所述網(wǎng)絡(luò)設(shè)備還包括
接收單元�,用于接收目標(biāo)設(shè)備的ARP響應(yīng)消息;
解密單元�,用于解密所述接收單元"l妄收到的ARP響應(yīng)消息的地址字段,獲 取所述目標(biāo)i殳備的i也址�。 所述網(wǎng)絡(luò)設(shè)備還包括
判斷單元�,用于判斷所述接收單元接收到的ARP響應(yīng)消息中是否攜帶有安 全標(biāo)識���,當(dāng)判斷結(jié)果為是時(shí)�,向所述解密單元輸出肯定的判斷結(jié)果��。 所述網(wǎng)絡(luò)設(shè)備還包括 請求單元��,用于發(fā)起目標(biāo)設(shè)備訪問請求��;
安全接口單元�,用于向所述請求單元發(fā)送所述解密單元解密后的目標(biāo)設(shè)備 地址信息。
所述安全接口單元包括安全I(xiàn)P接口單元和安全ARP接口單元�。 本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)設(shè)備,該網(wǎng)絡(luò)設(shè)備包括 接收單元�,接收安全ARP請求;
解密單元��,用于解密所述接收單元接收到的安全APR請求的地址字段����;
加密單元,用于在所述解密單元解密完成后����,將本端設(shè)備的地址信息以及 源請求設(shè)備的地址信息進(jìn)行加密�����;
生成單元�,用于生成安全ARP響應(yīng)消息�,所述消息中攜帶有安全標(biāo)識和所 述加密后的地址信息;
發(fā)送單元��,用于通過所述安全ARP響應(yīng)消息向所述ARP請求的源設(shè)備發(fā)送 安全ARP響應(yīng)��。
所述網(wǎng)絡(luò)設(shè)備還包括
判斷單元����,用于判斷所述接收單元接收到的ARP請求消息中是否攜帶有安 全標(biāo)識�����,如果判斷為是�,則向所述解密單元輸出肯定的判斷結(jié)果。
本發(fā)明實(shí)施例在通過對本端i殳備地址和需請求的目標(biāo)i更備的地址進(jìn)^f于加密 和生成安全ARP請求消息��,使得IP-MAC地址映射關(guān)系不能通過明文獲得���,而 且通過對信息的加密使設(shè)備的IP-MAC地址映射關(guān)系信息受到有效的保護(hù)��,避 免該設(shè)備受到其他設(shè)備的攻擊�����;而在后續(xù)的通訊時(shí)����,同一設(shè)備上的程序只能通 過安全I(xiàn)P的專用接口,才能訪問ARP緩存表��,這樣這臺設(shè)備的其他程序就無法 利用ARP緩存表的存儲內(nèi)容對其他設(shè)備進(jìn)行攻擊�。本發(fā)明的實(shí)現(xiàn)方法和現(xiàn)有技 術(shù)采用防火墻的方案均可有效保護(hù)網(wǎng)絡(luò)設(shè)備和維護(hù)網(wǎng)絡(luò)安全,但是本發(fā)明實(shí)現(xiàn) 方法具有比所述防火墻的方案簡便����,有效降低成本,節(jié)約資源的優(yōu)點(diǎn)��。
附圖i兌明
圖1為采用安全I(xiàn)P方法實(shí)現(xiàn)網(wǎng)絡(luò)安全的原理示意圖2為采用設(shè)置防火墻方法實(shí)現(xiàn)網(wǎng)絡(luò)安全的原理示意圖3為以太網(wǎng)中的ARP請求或應(yīng)答消息的分組消息的一種格式組成示意
圖4為本發(fā)明實(shí)施例實(shí)現(xiàn)安全ARP的系統(tǒng)示意圖5為本發(fā)明實(shí)施例實(shí)現(xiàn)安全ARP方法的流程圖���。
具體實(shí)施例方式
為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�,以下參照附圖對本發(fā) 明實(shí)施例進(jìn)一步詳細(xì)說明。
請參見圖4所示,圖4為本發(fā)明實(shí)施例實(shí)現(xiàn)安全ARP的系統(tǒng)示意圖��,該系 統(tǒng)包括第 一 網(wǎng)絡(luò)設(shè)備10和第二網(wǎng)絡(luò)設(shè)備20,兩個(gè)設(shè)備通過網(wǎng)絡(luò)進(jìn)行連接����。
其中,第一網(wǎng)絡(luò)i史備10包括請求單元11�����、安全^J妄口單元12���、第一加密 單元13��、第一生成單元14、第一發(fā)送單元15�、第一接收單元16、第一判斷單 元17以及第一解密單元18����。請參照圖4,其中�����,請求單元11和安全接口單元 12相連���;第一加密單元13���、第一生成單元14和第一發(fā)送單元15依次相連��;第 一接收單元16����、第一判斷單元17以及第一解密單元18依次相連�;安全接口單 元12、分別和第一加密單元13以及第一解密單元18連接�。
請求單元ll,用于發(fā)起對第二網(wǎng)絡(luò)設(shè)備20訪問請求����,該單元根據(jù)需客戶程 序的需要發(fā)起對第二網(wǎng)絡(luò)設(shè)備20的訪問請求,在ARP緩存表沒有存儲第二網(wǎng) 絡(luò)設(shè)備20的IP-MAC (具體實(shí)現(xiàn)中����,MAC地址可為設(shè)備的以太網(wǎng)地址)地址映 射關(guān)系的情況下需要獲得該IP-MAC地址映射關(guān)系。
安全接口單元12,該單元進(jìn)一步包括安全I(xiàn)P接口單元121和安全ARP 接口單元122��。所述安全I(xiàn)P接口 121,通過IPSEC等安全I(xiàn)P手段進(jìn)行同網(wǎng)絡(luò)設(shè) 備內(nèi)不同單元或者不同網(wǎng)絡(luò)設(shè)備之間的安全通訊�����;所述安全ARP接口單元122, 是在客戶程序調(diào)用地址信息時(shí)用于保護(hù)獲得的IP-MAC地址映射關(guān)系不被其他 程序盜用,有效避免的含有病毒的程序獲得其他網(wǎng)絡(luò)設(shè)備的IP-MAC地址映射 關(guān)系��,并對其進(jìn)行攻擊�����。
第一加密單元13,用于對第一網(wǎng)絡(luò)設(shè)備10的地址和需請求的第二網(wǎng)絡(luò)設(shè)備 20的地址進(jìn)行加密���,所述的第一網(wǎng)絡(luò)設(shè)備10的地址和需請求的第二網(wǎng)絡(luò)設(shè)備 20的地址包括第一網(wǎng)絡(luò)設(shè)備10的MAC地址���、所述第一網(wǎng)絡(luò)設(shè)備10的IP地址、 所述第二網(wǎng)絡(luò)設(shè)備20的IP地址以及所述第二網(wǎng)絡(luò)設(shè)備的MAC地址��。圖3為以 太網(wǎng)中的ARP請求或應(yīng)答消息的分組消息的一種格式組成示意圖��,本圖中的 MAC地址為設(shè)備的以太網(wǎng)地址�����,如圖3所示�,OP字段之后的發(fā)送端以太網(wǎng)地 址�、發(fā)送端IP地址、目的以太網(wǎng)地址、目的IP地址為需要加密保護(hù)的信息��,具 體實(shí)現(xiàn)中���,可采用靜態(tài)配置加密�,通過第一加密單元13的配置程序?qū)⒚艹着cIP的對應(yīng)關(guān)系進(jìn)行加密�,并將加密后的ARP請求消息發(fā)送到第一生成單元14。另 外����,還可以采用動(dòng)態(tài)獲得密匙加密,由請求單元ll在調(diào)用客戶程序時(shí)向第三方 認(rèn)證服務(wù)器發(fā)出認(rèn)證請求���,再接收到認(rèn)證響應(yīng)后獲得認(rèn)證服務(wù)器返回的密匙�, 請求單元11再通過安全接口單元12將密匙與IP對應(yīng)關(guān)系發(fā)送給第一加密單元 13進(jìn)行加密�����。除了這兩種加密方法在實(shí)際應(yīng)用中還可以根據(jù)安全程度采用其他 的力p密方法���。
第一生成單元14�����,用于生成安全ARP請求消息���,所述消息中攜帶有安全標(biāo) 識和所述加密后的地址信息����。參見圖3所示���,所述的安全標(biāo)識是對原有的OP字 段進(jìn)行擴(kuò)展���,圖3中的OP字段定義操作類型和對應(yīng)的值,按照RFC826的原有 定義如下ARP請求(l)�����, ARP應(yīng)答(2), RARP請求(3)����, RARP應(yīng)答(4),發(fā)送端 以太網(wǎng)地址�����、發(fā)送端IP地址�、目的以太網(wǎng)地址、目的IP地址在原協(xié)議中為明文��。 通過擴(kuò)充將OP字段標(biāo)識如下安全ARP請求(5)��,安全ARP應(yīng)答(6),安全 RARP請求(7)����,安全RARP應(yīng)答(8),其中括號的數(shù)字為操作類型的值���,但 不限于這一種定義方式�,^喿作類型所對應(yīng)的值可以改變����。在完成對加密的ARP 請求消息后生成所述的安全ARP請求消息,本實(shí)施例采用上述對OP字段的擴(kuò) 展進(jìn)行標(biāo)識����,即將OP字段標(biāo)識為安全ARP請求(5),并將標(biāo)識后的消息下 放到第一發(fā)送單元15�����。
第一發(fā)送單元15���,該單元用于通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安 全ARP請求����。
第一接收單元16,用于接收第二網(wǎng)絡(luò)設(shè)備20返回的ARP響應(yīng)消息�。當(dāng)?shù)?二網(wǎng)絡(luò)設(shè)備20返回ARP響應(yīng)消息后,第一網(wǎng)絡(luò)設(shè)備10通過第一接收單元16 接收該響應(yīng)消息����。
第一判斷單元17,用于判斷第一接收單元16接收到的ARP響應(yīng)消息中是 否攜帶有安全標(biāo)識,本實(shí)施例中采用OP字段進(jìn)行安全標(biāo)識����,根據(jù)上述的OP字 段定義,如果第二網(wǎng)絡(luò)設(shè)備20返回ARP響應(yīng)消息的OP字段為安全ARP應(yīng)答 (6)��,則向第一解密單元18輸出肯定的判斷結(jié)果�����,并由第一解密單元18對第 二網(wǎng)絡(luò)i殳備20返回的安全ARP響應(yīng)消息進(jìn)行解密����。
第一解密單元18,用于解密所述第一接收單元16接收到的安全APR響應(yīng) 消息的地址字l殳。
第二網(wǎng)絡(luò)設(shè)備20包括第二接收單元21�����、第二判斷單元22����、第二解密單 元23 、第二加密單元24���、第二生成單元25和第二發(fā)送單元26��。第二接收單元 21���、第二判斷單元22和第二解密單元23—次相連;第二加密單元24�����、第二生 成單元25和第二發(fā)送單元26依次相連����。
第二接收單元21,用于接收第一網(wǎng)絡(luò)設(shè)備10廣播的ARP請求消息����。當(dāng)?shù)?一網(wǎng)絡(luò)設(shè)備10向網(wǎng)絡(luò)中廣播安全ARP請求消息后���,第二網(wǎng)絡(luò)設(shè)備20通過第二 接收單元21接收該請求消息。
第二判斷單元22,用于判斷第二接收單元21接收到的ARP請求消息中是 否攜帶有安全標(biāo)識�,本實(shí)施例中采用OP字段進(jìn)行安全標(biāo)識,根據(jù)上述的OP字 段定義���,如果第一網(wǎng)絡(luò)設(shè)備10向網(wǎng)絡(luò)中廣播的ARP請求消息的OP字段為安全 ARP請求(5),則向第二解密單元23輸出肯定的判斷結(jié)果��,并由第二解密單元 23對第一網(wǎng)絡(luò)設(shè)備10廣播的安全ARP請求消息進(jìn)行解密����。
第二解密單元23,用于解密所述第二接收單元21接收到的安全APR請求 消息的地址字段���。
第二加密單元24,用于在所述解密單元解密完成后����,將第二網(wǎng)絡(luò)i殳備20的 地址信息以及第一網(wǎng)絡(luò)設(shè)備10的地址信息進(jìn)行加密��,所述的第一網(wǎng)絡(luò)設(shè)備10 的地址和需請求的第二網(wǎng)絡(luò)設(shè)備20的地址包括第一網(wǎng)絡(luò)設(shè)備10的MAC地址��、 所述第一網(wǎng)絡(luò)設(shè)備10的IP地址���、所述第二網(wǎng)絡(luò)設(shè)備20的IP地址以及所述第二 網(wǎng)絡(luò)設(shè)備的MAC地址���。參見圖3所示��,OP字段之后的發(fā)送端以太網(wǎng)地址�����、發(fā) 送端IP地址、目的以太網(wǎng)地址����、目的IP地址為需要加密保護(hù)的信息,具體實(shí)現(xiàn) 中��,可采用靜態(tài)配置加密�,通過第二加密單元24的配置程序?qū)⒚艹着cIP的對應(yīng) 關(guān)系進(jìn)行加密,并將加密后的ARP響應(yīng)消息發(fā)送到第二生成單元25�。另外,還 可以采用動(dòng)態(tài)獲得密匙進(jìn)行加密���。由第二網(wǎng)絡(luò)設(shè)備20在調(diào)用相關(guān)程序時(shí)向第三 方認(rèn)證服務(wù)器發(fā)出認(rèn)證請求���,再接收到認(rèn)證響應(yīng)后獲得認(rèn)證服務(wù)器返回的密匙, 將密匙與IP對應(yīng)關(guān)系發(fā)送給第二加密單元24進(jìn)行加密。除了這兩種加密方法在 實(shí)際應(yīng)用中還可以根據(jù)安全程度采用其他的加密方法���。
第二生成單元25,用于生成安全ARP響應(yīng)消息�,所述消息中攜帶有安全標(biāo) 識和所述加密后的地址信息���;本實(shí)施例采用上述的對OP字段擴(kuò)充來標(biāo)識���,根據(jù) 上述操作類型和對應(yīng)的值的定義,將加密的ARP響應(yīng)消息生成為安全ARP響應(yīng) 消息����,即將OP字段標(biāo)識為安全ARP應(yīng)答(6),并將標(biāo)識后的消息下放到第
二發(fā)送單元26���。
第二發(fā)送單元26,用于通過所述安全ARP響應(yīng)消息向所述ARP第 一 網(wǎng)絡(luò) 設(shè)備10發(fā)送安全ARP響應(yīng)消息���。
本實(shí)施例采用對OP字段進(jìn)行安全標(biāo)識,但并不僅限于此�,參見圖3,還可 以以同樣的方式對幀類型��、硬件類型或者協(xié)議類型等進(jìn)行安全標(biāo)識�����。本實(shí)施例 中的第一網(wǎng)絡(luò)設(shè)備10和第二網(wǎng)絡(luò)設(shè)備20在判斷出不是安全ARP交互消息時(shí)還 可以進(jìn)行普通的ARP交互。
具體實(shí)現(xiàn)中���,信息的交互是雙向進(jìn)行的�����,因此所述第一網(wǎng)絡(luò)設(shè)備可同時(shí)包 括所述第二網(wǎng)絡(luò)設(shè)備的功能模塊�,所述第二網(wǎng)絡(luò)設(shè)備也可同時(shí)包括所述第 一 網(wǎng) 絡(luò)設(shè)備的功能模塊�����。
請參見圖5,圖5為本發(fā)明實(shí)施例實(shí)現(xiàn)安全ARP方法的流程圖�,該圖簡要 示出了通過對ARP字段的操作實(shí)現(xiàn)安全ARP方法�,結(jié)合圖5,本發(fā)明實(shí)施例 實(shí)現(xiàn)安全ARP具體步驟描述如下
步驟SIOI,對第一設(shè)備地址和需請求的第二設(shè)備的地址進(jìn)行加密���。所述的 第一網(wǎng)絡(luò)設(shè)備10的地址和需請求的第二網(wǎng)絡(luò)設(shè)備20的地址包括第一網(wǎng)絡(luò)設(shè)備 10的MAC地址�����、所述第一網(wǎng)絡(luò)設(shè)備10的IP地址����、所述第二網(wǎng)絡(luò)設(shè)備20的IP 地址以及所述第二網(wǎng)絡(luò)設(shè)備的MAC地址。參見圖3所示���,OP字段后的發(fā)送端 以太網(wǎng)地址�、發(fā)送端IP地址���、目的以太網(wǎng)地址����、目的IP地址為需要^f呆護(hù)的信息���, 本實(shí)施例采用靜態(tài)配置加密���,通過配置程序?qū)⒚艹着cIP的對應(yīng)關(guān)系進(jìn)行加密。 除此之外����,還可以采用動(dòng)態(tài)獲得密匙加密,在調(diào)用客戶程序時(shí)向第三方認(rèn)證服 務(wù)器發(fā)出認(rèn)證請求��,再接收到認(rèn)證響應(yīng)后獲得認(rèn)證服務(wù)器返回的密匙����,再將密 匙與IP對應(yīng)關(guān)系進(jìn)行加密��。除了這兩種加密方法在實(shí)際應(yīng)用中還可以根據(jù)安全 程度采用其他的加密方法��。
步驟S102,生成安全ARP請求消息�����。請參見圖3所示�,所述的安全標(biāo)識是 通過程序?qū)υ械腛P字段進(jìn)行擴(kuò)展�����,圖3中的OP字段定義操作類型�,定義如 下ARP請求(l), ARP應(yīng)答(2), RARP請求(3)����, RARP應(yīng)答(4),其中括號的數(shù) 字為操作類型的值,但不限于這一種定義方式�����,操作類型和值均可以改變����。發(fā) 送端以太網(wǎng)地址�����、發(fā)送端IP地址����、目的以太網(wǎng)地址��、目的IP地址在原協(xié)議中為 明文�����。通過擴(kuò)充將OP字段標(biāo)識如下安全ARP請求(5 )���,安全ARP應(yīng)答(6), 安全RARP請求(7)���,安全RARP應(yīng)答(8),其中括號的數(shù)字為對應(yīng)操作類型
的值�,但不限于這一種定義方式,操作類型和值均可以改變���。本實(shí)施例采用上
述對OP字段的擴(kuò)展進(jìn)行標(biāo)識�����,即將OP字段標(biāo)識為安全ARP請求(5)���。
步驟S103,通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安全ARP請求����。
步驟S104,第二設(shè)備接收安全ARP請求消息�。第二設(shè)備對接收的廣播請求 進(jìn)行判斷,如果識別出該請求含有安全標(biāo)識的OP字段�����,即含有標(biāo)識為安全ARP 請求(5)的0P字段�,則判斷為安全ARP請求消息,進(jìn)入后續(xù)的處理步驟�����;否 則判斷為非安全廣播請求�����,進(jìn)入普通的ARP過程或者不作響應(yīng)�����。
步驟S105,判斷所述ARP請求消息中是否攜帶有安全標(biāo)識�。本實(shí)施例中采 用OP字段進(jìn)行安全標(biāo)識,根據(jù)上述的OP字段定義��,如果第一設(shè)備向網(wǎng)絡(luò)中廣 播的ARP請求消息的OP字段為安全ARP請求(5)�,則進(jìn)行后續(xù)的解密處理。 如果為非安全ARP請求消息�����,則進(jìn)行普通的ARP交互或者不作響應(yīng)�。
步驟S106,解密所述安全APR請求�。在步驟S105判斷為安全ARP請求后 進(jìn)入步驟S106,對該消息的加密部分進(jìn)行相應(yīng)的解密。如果解密正確�����,則進(jìn)入 后續(xù)的處理步驟����;如果解密錯(cuò)誤,則不作響應(yīng)�����。
步驟S107,將第二設(shè)備的地址信息以及第一設(shè)備的地址信息進(jìn)行加密����。在 經(jīng)過步驟S106解密正確后,第二設(shè)備將IP地址和MAC地址填入ARP響應(yīng)的 相應(yīng)字段���。對第二設(shè)備地址和需響應(yīng)的第一設(shè)備的地址進(jìn)行加密�����。當(dāng)采用靜態(tài) 密碼配置時(shí)����,通過配置程序?qū)λ龅牡诙O(shè)備的地址和需響應(yīng)的第一設(shè)備的地 址進(jìn)行加密��。參見圖3所示�,發(fā)送端以太網(wǎng)地址、發(fā)送端IP地址�、目的以太網(wǎng) 地址、目的IP地址為需要保護(hù)的信息���,本實(shí)施例采用靜態(tài)配置加密�,通過配置 程序?qū)⒚艹着cIP的對應(yīng)關(guān)系進(jìn)行加密�。除此之外,還可以采用動(dòng)態(tài)獲得密匙加 密����,在調(diào)用客戶程序時(shí)向第三方認(rèn)證服務(wù)器發(fā)出認(rèn)證請求,再接收到認(rèn)證響應(yīng) 后獲得認(rèn)證服務(wù)器返回的密匙���,再將密匙與IP對應(yīng)關(guān)系進(jìn)行加密�����。除了這兩種 加密方法在實(shí)際應(yīng)用中還可以根據(jù)安全程度采用其他的加密方法���。
步驟S108,生成安全ARP響應(yīng)消息���。本實(shí)施例采用上述的對OP字段擴(kuò)充 來進(jìn)行安全標(biāo)識��,根據(jù)上述操作類型和對應(yīng)值的定義����,將加密的ARP響應(yīng)消息 生成為安全ARP響應(yīng)消息,即將OP字段標(biāo)識為安全ARP應(yīng)答(6 )�����。
步驟S109,向所述ARP請求的第一設(shè)備發(fā)送安全ARP響應(yīng)���。第二設(shè)備將 帶有加密之后并含有安全標(biāo)識的安全ARP響應(yīng)消息直接發(fā)送給第一設(shè)備�����,因?yàn)?已經(jīng)在安全ARP請求消息獲得了第一設(shè)備的IP-MAC地址映射關(guān)系���,所以這里
第二設(shè)備可以直接將安全ARP響應(yīng)發(fā)送給第一設(shè)備。
步驟SllO��,第一設(shè)備接收到第二設(shè)備的ARP響應(yīng)消息�。
步驟Slll,判斷所述ARP響應(yīng)消息中是否攜帶有安全標(biāo)識。如果識別出該
請求含有安全標(biāo)識的OP字段��,即含有標(biāo)識為安全ARP應(yīng)答(6 )的OP字段����,
則判斷為安全ARP響應(yīng)消息,則進(jìn)入后續(xù)的處理步驟��;否則判斷為非安全ARP
響應(yīng),進(jìn)入普通的ARP過程或者不作響應(yīng)���。
步驟S112,解密所述ARP響應(yīng)消息的地址字段����。在步驟Slll判斷為安全
ARP響應(yīng)后進(jìn)入步驟S112���,對該消息的加密部分進(jìn)行相應(yīng)的解密。如果解密正
確����,則進(jìn)入后續(xù)的處理步驟;如果解密镅-誤���,則不作響應(yīng)��。
步驟S113,客戶程序通過安全I(xiàn)P接口以及安全ARP接口獲得所述解密獲
取的目標(biāo)設(shè)備的地址�����。安全I(xiàn)P通過安全ARP接口獲得目標(biāo)設(shè)備的MAC地址信
息�,可以進(jìn)行進(jìn)一步的通訊���,這樣其他的程序的將無法使用第二設(shè)備的IP-MAC
地址映射關(guān)系信息���。
本實(shí)施例采用對OP字段進(jìn)行安全標(biāo)識���,但并不僅限于此,參見圖3�����,還可
以以同樣的方式對幀類型�、硬件類型或者協(xié)議類型等進(jìn)行安全標(biāo)識。本實(shí)施例
中的第一設(shè)備和第二設(shè)備在判斷出不是安全ARP交互消息時(shí)可以進(jìn)行普通的
ARP交互��。
本發(fā)明實(shí)施例在通過對本端i殳備地址和需請求的目標(biāo)i殳備的地址進(jìn)行加密 和生成安全ARP請求消息���,使得IP-MAC地址映射關(guān)系不能通過明文獲得��,而 且通過對信息的加密使設(shè)備的IP-MAC地址映射關(guān)系信息受到有效的保護(hù)����,避 免該設(shè)備受到其他設(shè)備的攻擊�����;而在后續(xù)的通訊時(shí),同一設(shè)備上的程序只能通 過安全I(xiàn)P的專用接口��,才能訪問ARP緩存表��,這樣這臺設(shè)備的其他程序就無法 利用ARP緩存表的存儲內(nèi)容對其他設(shè)備進(jìn)行攻擊��。本發(fā)明的實(shí)現(xiàn)方法在滿足現(xiàn) 有技術(shù)采用防火墻的方案能夠有效保護(hù)網(wǎng)絡(luò)設(shè)備和維護(hù)網(wǎng)絡(luò)安全的同時(shí)����,具有 比所述防火墻的方案簡便���,有效降低成本�,節(jié)約資源的優(yōu)點(diǎn)����。
以上所列舉的僅為本發(fā)明的較佳實(shí)施例而已,當(dāng)然不能以此來限定本發(fā)明 之權(quán)利范圍�����,因此依本發(fā)明權(quán)利要求所作的等同變化�,仍屬本發(fā)明所涵蓋的范 圍。
權(quán)利要求
1�����、一種安全ARP的實(shí)現(xiàn)方法,其特征在于�,該方法至少包括以下步驟對本端設(shè)備地址和需請求的目標(biāo)設(shè)備的地址進(jìn)行加密;生成安全ARP請求消息����,所述消息中攜帶有安全標(biāo)識和所述加密后的地址信息;通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安全ARP請求��。
2�����、 如權(quán)利要求1所述的安全ARP的實(shí)現(xiàn)方法��,其特征在于�����,該方法還進(jìn) 一步包括在接收到目標(biāo)設(shè)備的ARP響應(yīng)消息后��,解密所述ARP響應(yīng)消息的地址字段�����, 獲取所述目標(biāo)設(shè)備的地址。
3�、 如權(quán)利要求2所述的安全ARP的實(shí)現(xiàn)方法,其特征在于���,在接收到目 標(biāo)設(shè)備的ARP響應(yīng)消息后�����,還進(jìn)一步包括判斷所述ARP響應(yīng)消息中是否攜帶有安全標(biāo)識��,如果判斷為是���,則解密所 述ARP響應(yīng)消息的地址字段����,獲取所述目標(biāo)設(shè)備的地址。
4����、 如權(quán)利要求2或3所述的安全ARP的實(shí)現(xiàn)方法,其特征在于�����,該方法 還進(jìn)一步包括客戶程序通過安全I(xiàn)P接口以及安全ARP接口獲得所述解密獲取的目標(biāo)設(shè)備 的地址。
5���、 一種安全ARP的實(shí)現(xiàn)方法����,其特征在于��,該方法至少包括以下步驟 接收安全ARP請求����,并解密所述安全APR請求的地址字段; 解密完成后�,將本端設(shè)備的地址信息以及源請求設(shè)備的地址信息進(jìn)行加密; 生成安全ARP響應(yīng)消息���,所述消息中攜帶有安全標(biāo)識和所述加密后的地址通過所述安全ARP響應(yīng)消息向所述ARP請求的源設(shè)備發(fā)送安全ARP響應(yīng)�。
6���、 如權(quán)利要求5所述的安全ARP的實(shí)現(xiàn)方法���,其特征在于,在接收到安 全ARP請求消息后�,還進(jìn)一步包括判斷所述ARP請求消息中是否攜帶有安全標(biāo)識���,如果判斷為是,則解密所 述ARP請求消息的地址字段����,獲取所述ARP請求的源設(shè)備的地址以及需請求的 地址。
7���、 一種網(wǎng)絡(luò)設(shè)備��,其特征在于�����,包括加密單元����,用于對本端i殳備地址和需i貪求的目標(biāo)設(shè)備的地址進(jìn)行加密����; 生成單元�����,用于生成安全ARP請求消息,所述消息中攜帶有安全標(biāo)識和所 述加密后的地址信息����;發(fā)送單元,用于通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安全ARP請求�。
8、 如權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述網(wǎng)絡(luò)設(shè)備還包括 接收單元���,用于接收目標(biāo)設(shè)備的ARP響應(yīng)消息�;解密單元�,用于解密所述接收單元接收到的ARP響應(yīng)消息的地址字段,獲 取所述目標(biāo)i殳備的地址�����。
9��、 如權(quán)利要求8所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于,所述網(wǎng)絡(luò)設(shè)備還包括 判斷單元����,用于判斷所述接收單元接收到的ARP響應(yīng)消息中是否攜帶有安全標(biāo)識,當(dāng)判斷結(jié)果為是時(shí)��,向所述解密單元輸出肯定的判斷結(jié)果���;相應(yīng)的���,所述解密單元接收所述肯定的判斷結(jié)果后,解密所述接收單元接 收到的ARP響應(yīng)消息的地址字段����,獲取所述目標(biāo)設(shè)備的地址。
10���、 如權(quán)利要求8或9所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于,所述網(wǎng)絡(luò)設(shè)備還包括請求單元���,用于發(fā)起目標(biāo)設(shè)備訪問請求����;安全接口單元,用于向所述請求單元發(fā)送所述解密單元解密后的目標(biāo)設(shè)備 地址信息��。
11�����、 如權(quán)利要求IO所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述安全接口單元包括安全I(xiàn)P接口單元或安全ARP接口單元�。
12、 一種網(wǎng)絡(luò)設(shè)備�����,其特征在于����,包括 接收單元,接收安全ARP請求�����;解密單元,用于解密所述接收單元接收到的安全APR請求的地址字段���;加密單元��,用于在所述解密單元解密完成后���,將本端設(shè)備的地址信息以及 源請求設(shè)備的地址信息進(jìn)行加密;生成單元���,用于生成安全ARP響應(yīng)消息���,所述消息中攜帶有安全標(biāo)識和所 述加密后的地址信息;發(fā)送單元�����,用于通過所述安全ARP響應(yīng)消息向所述ARP請求的源設(shè)備發(fā)送 安全ARP響應(yīng)���。
13�����、如權(quán)利要求12所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于����,所述網(wǎng)絡(luò)設(shè)備還包括 判斷單元�����,用于判斷所述接收單元接收到的ARP請求消息中是否攜帶有安全標(biāo)識���,如果判斷為是��,則向所述解密單元輸出肯定的判斷結(jié)果����;相應(yīng)的����,所述解密單元接收所述肯定的判斷結(jié)果后,解密所述接收單元接收到的ARP響應(yīng)消息的地址字段�,獲取所述目標(biāo)設(shè)備的地址。
全文摘要
本發(fā)明實(shí)施例公開了一種安全ARP的實(shí)現(xiàn)方法及網(wǎng)絡(luò)設(shè)備���。其中��,安全ARP的實(shí)現(xiàn)方法包括對本端設(shè)備地址和需請求的目標(biāo)設(shè)備的地址進(jìn)行加密���;生成安全ARP請求消息���,所述消息中攜帶有安全標(biāo)識和所述加密后的地址信息;通過所述安全ARP請求消息向網(wǎng)絡(luò)中廣播安全ARP請求�。本發(fā)明實(shí)施例在通過上述的方法使得IP-MAC地址映射關(guān)系不能通過明文獲得,而且通過對信息的加密使設(shè)備的IP-MAC地址映射關(guān)系信息受到有效的保護(hù)�,避免該設(shè)備受到其他設(shè)備的攻擊;本發(fā)明的實(shí)現(xiàn)方法和現(xiàn)有技術(shù)采用防火墻的方案均可有效保護(hù)網(wǎng)絡(luò)設(shè)備和維護(hù)網(wǎng)絡(luò)安全�����,但是本發(fā)明實(shí)現(xiàn)方法具有比所述防火墻的方案簡便�,有效降低成本,節(jié)約資源的優(yōu)點(diǎn)��。
文檔編號H04L29/06GK101197828SQ20071003286
公開日2008年6月11日 申請日期2007年12月25日 優(yōu)先權(quán)日2007年12月25日
發(fā)明者虹 胡 申請人:華為技術(shù)有限公司