本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，具體而言，涉及一種arp認(rèn)證方法、裝置及系統(tǒng)。

背景技術(shù)：

arp(addressresolutionprotocol，地址解析協(xié)議)用于把ip地址解析成lan(localareanetwork，局域網(wǎng))硬件使用的mac地址。ip數(shù)據(jù)包通常通過(guò)以太網(wǎng)發(fā)送，但以太網(wǎng)設(shè)備并不識(shí)別32位ip地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把ip目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。arp協(xié)議用于將網(wǎng)絡(luò)中的ip地址解析為目標(biāo)硬件地址(mac地址)，以保證通信的順利進(jìn)行。

由于arp協(xié)議本身沒(méi)有做任何安全考慮，不會(huì)對(duì)arp報(bào)文進(jìn)行合法性驗(yàn)證，使得在以太交換網(wǎng)絡(luò)中攻擊者很容易實(shí)現(xiàn)arp攻擊。為防止arp攻擊采用的很多安全措施都很難有效地建立正確的arp表項(xiàng)，無(wú)法保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆€(wěn)定性、安全性。

目前企業(yè)網(wǎng)，特別是金融行業(yè)客戶，中、農(nóng)、工、建、交等各大銀行，對(duì)局域網(wǎng)的安全性要求非常高，正在逐步的部署安全接入控制機(jī)制，因此需要一種有效的方法來(lái)防止arp攻擊。但是，當(dāng)前以太交換網(wǎng)絡(luò)防止arp攻擊所采用的方法，例如關(guān)閉arp動(dòng)態(tài)學(xué)習(xí)而配置靜態(tài)arp，或采用動(dòng)態(tài)arp監(jiān)測(cè)(dynamicarpinspection)等技術(shù)，不是效率大幅度降低，就是使用有局限性、不能從根本上解決arp攻擊。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供一種arp認(rèn)證方法、裝置及系統(tǒng)，以改善上述問(wèn)題。

本發(fā)明較佳實(shí)施例提供一種arp認(rèn)證方法，應(yīng)用于請(qǐng)求端，所述方法包括：生成地址解析協(xié)議arp請(qǐng)求報(bào)文并將其進(jìn)行廣播，所述arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入特定組播硬件地址，所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能；接收被請(qǐng)求端響應(yīng)于所述arp請(qǐng)求報(bào)文而返回的arp響應(yīng)報(bào)文；根據(jù)arp響應(yīng)報(bào)文中攜帶的chap認(rèn)證的挑戰(zhàn)信息對(duì)被請(qǐng)求端進(jìn)行認(rèn)證，并將認(rèn)證結(jié)果寫入認(rèn)證響應(yīng)報(bào)文發(fā)送至所述被請(qǐng)求端。

相應(yīng)的，本發(fā)明另一較佳實(shí)施例提供一種arp認(rèn)證方法，應(yīng)用于請(qǐng)求端，所述方法包括：接收請(qǐng)求端發(fā)送的地址解析協(xié)議arp請(qǐng)求報(bào)文，所述arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入特定組播硬件地址，所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能；響應(yīng)于所述arp請(qǐng)求報(bào)文而生成挑戰(zhàn)握手認(rèn)證協(xié)議chap認(rèn)證的挑戰(zhàn)信息；將所述chap認(rèn)證的挑戰(zhàn)信息寫入arp響應(yīng)報(bào)文發(fā)送至所述請(qǐng)求端，以使所述請(qǐng)求端響應(yīng)于所述chap認(rèn)證的挑戰(zhàn)信息而生成認(rèn)證響應(yīng)報(bào)文；接收請(qǐng)求端返回的攜帶有認(rèn)證結(jié)果的認(rèn)證響應(yīng)報(bào)文。

本發(fā)明另一較佳實(shí)施例提供一種arp認(rèn)證裝置，應(yīng)用于請(qǐng)求端，所述裝置包括：arp模塊，用于生成地址解析協(xié)議arp請(qǐng)求報(bào)文，并交由報(bào)文發(fā)送模塊，所述arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入特定組播硬件地址，所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能；報(bào)文發(fā)送模塊，用于將所述arp請(qǐng)求報(bào)文進(jìn)行廣播；報(bào)文接收模塊，用于接收被請(qǐng)求端響應(yīng)于所述arp請(qǐng)求報(bào)文而返回的arp響應(yīng)報(bào)文；認(rèn)證模塊，用于根據(jù)arp響應(yīng)報(bào)文中攜帶的chap認(rèn)證信息對(duì)被請(qǐng)求端進(jìn)行認(rèn)證，并將認(rèn)證結(jié)果通知給所述arp模塊；所述arp模塊，還用于將所述認(rèn)證結(jié)果寫入認(rèn)證響應(yīng)報(bào)文發(fā)；所述報(bào)文發(fā)送模塊，還用于將所述認(rèn)證響應(yīng)報(bào)文發(fā)送至所述被請(qǐng)求端。

相應(yīng)的，本發(fā)明另一較佳實(shí)施例提供一種arp認(rèn)證裝置，應(yīng)用于被請(qǐng)求端，所述裝置包括：報(bào)文接收模塊，用于接收請(qǐng)求端發(fā)送的地址解析協(xié)議arp請(qǐng)求報(bào)文，所述arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入有特定組播硬件地址，所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能；認(rèn)證模塊，用于響應(yīng)于所述arp請(qǐng)求報(bào)文而生成挑戰(zhàn)握手認(rèn)證協(xié)議chap認(rèn)證信息；arp模塊，用于將所述chap認(rèn)證的挑戰(zhàn)信息寫入arp響應(yīng)報(bào)文；報(bào)文發(fā)送模塊，用于將所述arp響應(yīng)報(bào)文發(fā)送至所述請(qǐng)求端，以使所述請(qǐng)求端響應(yīng)于chap認(rèn)證的挑戰(zhàn)信息而生成認(rèn)證響應(yīng)報(bào)文；所述報(bào)文接收模塊，還用于接收請(qǐng)求端返回的攜帶有認(rèn)證結(jié)果的認(rèn)證響應(yīng)報(bào)文。

相應(yīng)的，本發(fā)明另一較佳實(shí)施例提供了一種arp認(rèn)證系統(tǒng)，包括：請(qǐng)求端和被請(qǐng)求端，其中，所述請(qǐng)求端包括本發(fā)明的應(yīng)用于請(qǐng)求端的arp認(rèn)證裝置，所述被請(qǐng)求端包括本發(fā)明的應(yīng)用于被請(qǐng)求端的arp認(rèn)證裝置。

本發(fā)明實(shí)施例提供的arp認(rèn)證方法、裝置及系統(tǒng)，通過(guò)基于arp報(bào)文的chap(challengehandshakeauthenticationprotocol，挑戰(zhàn)握手認(rèn)證協(xié)議)認(rèn)證過(guò)程確定arp報(bào)文的合法性，可以有效的過(guò)濾arp欺騙報(bào)文，防止arp報(bào)文欺騙，這種認(rèn)證方法的實(shí)現(xiàn)代價(jià)小，能極大提升arp學(xué)習(xí)過(guò)程的安全性。而且，對(duì)于未開(kāi)啟arp認(rèn)證的以太網(wǎng)設(shè)備(如交換機(jī)或終端)，其傳統(tǒng)的arp學(xué)習(xí)過(guò)程不會(huì)受到任何影響。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，應(yīng)當(dāng)理解，以下附圖僅示出了本發(fā)明的某些實(shí)施例，因此不應(yīng)被看作是對(duì)范圍的限定，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。

圖1為本發(fā)明實(shí)施例提供的一種arp認(rèn)證方法的應(yīng)用場(chǎng)景圖；

圖2為本發(fā)明實(shí)施例提供的一種應(yīng)用于請(qǐng)求端的arp認(rèn)證方法的流程圖；

圖3為本發(fā)明實(shí)施例提供的arp報(bào)文的部分結(jié)構(gòu)示意圖；

圖4為本發(fā)明實(shí)施例提供的一種應(yīng)用于被請(qǐng)求端的arp認(rèn)證方法的流程圖；

圖5為本發(fā)明實(shí)施例提供的應(yīng)用于請(qǐng)求端的arp認(rèn)證裝置的功能模塊示意圖；

圖6為本發(fā)明實(shí)施例提供的應(yīng)用于被請(qǐng)求端的arp認(rèn)證裝置的功能模塊示意圖。

圖標(biāo)：100-請(qǐng)求端；200-被請(qǐng)求端；110、210-arp認(rèn)證裝置；112-arp模塊；114-報(bào)文發(fā)送模塊；116-報(bào)文接收模塊；118-認(rèn)證模塊；212-報(bào)文接收模塊；214-認(rèn)證模塊；216-arp模塊；218-報(bào)文發(fā)送模塊。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來(lái)布置和設(shè)計(jì)。

因此，以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

請(qǐng)參閱圖1，是本發(fā)明實(shí)施例提供的一種arp認(rèn)證方法的應(yīng)用場(chǎng)景圖。如圖所示，該arp認(rèn)證方法可以應(yīng)用于以太網(wǎng)絡(luò)中兩端存在通信交互的設(shè)備，其中一端為arp(addressresolutionprotocol，地址解析協(xié)議)報(bào)文的請(qǐng)求端100，另一端為arp報(bào)文的響應(yīng)端(被請(qǐng)求端200)。作為一種非限制性實(shí)施方式，請(qǐng)求端100可以是以太網(wǎng)交換機(jī)，相應(yīng)地，被請(qǐng)求端200可以是以太網(wǎng)主機(jī)。

請(qǐng)參閱圖2，是本發(fā)明實(shí)施例提供的一種應(yīng)用于請(qǐng)求端100的arp認(rèn)證方法的流程圖。所應(yīng)說(shuō)明的是，本實(shí)施例中的方法不以圖2及以下所述的具體順序?yàn)橄拗?。下面?duì)圖2中所示的各步驟進(jìn)行詳細(xì)闡述。

步驟101，預(yù)先啟用請(qǐng)求端100的arp報(bào)文主動(dòng)認(rèn)證功能，并配置用于認(rèn)證的被請(qǐng)求端的arp認(rèn)證信息。

本實(shí)施例中，以請(qǐng)求端100為以太網(wǎng)交換機(jī)為示例，在以太網(wǎng)交換機(jī)的全局和相應(yīng)端口啟用arp報(bào)文主動(dòng)認(rèn)證功能，并配置被請(qǐng)求端的arp認(rèn)證信息，如用戶名及密碼。

步驟s103，生成arp請(qǐng)求報(bào)文并將其進(jìn)行廣播。

如圖3所示，是arp報(bào)文的部分結(jié)構(gòu)示意圖。傳統(tǒng)的arp請(qǐng)求報(bào)文中，sendermacaddress(發(fā)送方硬件地址)字段寫入的是請(qǐng)求端100的硬件地址，senderipaddress(發(fā)送方ip地址)字段寫入的是請(qǐng)求端100的ip地址，targetmacaddress(目標(biāo)硬件地址)字段由全0填充，targetipaddress(目標(biāo)ip地址)字段寫入的是被請(qǐng)求端200的ip地址。

本實(shí)施例中，當(dāng)請(qǐng)求端100需要添加或刪除被請(qǐng)求端200的arp表項(xiàng)時(shí)，則生成一arp請(qǐng)求報(bào)文并將其進(jìn)行廣播。該arp請(qǐng)求報(bào)文的諸如targetmacaddress字段中寫有特定組播硬件地址。換言之，在targetmacaddress字段中用該特定組播硬件地址代替?zhèn)鹘y(tǒng)的全0填充。該特定組播硬件地址可以用于指示被請(qǐng)求端200開(kāi)啟被動(dòng)認(rèn)證功能。

作為一種實(shí)施方式，所述特定組播硬件地址可以用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的添加arp表項(xiàng)，相應(yīng)地，該特定組播地址可以是0100.5e00.0001，但不限制于此。

作為一種實(shí)施方式，所述特定組播硬件地址可以用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的刪除arp表項(xiàng)，相應(yīng)地，該特定組播地址可以是0100.5e00.0002，但不限制于此。

當(dāng)被請(qǐng)求端200接收到上述arp請(qǐng)求報(bào)文后，可以根據(jù)目標(biāo)硬件地址字段中的特定組播硬件地址(例如，0100.5e00.0001或0100.5e00.0002)的指示開(kāi)啟被動(dòng)認(rèn)證功能，并相應(yīng)地配置arp認(rèn)證信息(如用戶名及密碼，不限于此)。當(dāng)被請(qǐng)求端200接收到上述arp請(qǐng)求報(bào)文后，可以根據(jù)arp請(qǐng)求報(bào)文中的sendermacaddress及senderipaddress字段信息建立對(duì)應(yīng)于請(qǐng)求端100的臨時(shí)arp表項(xiàng)。

s105，接收被請(qǐng)求端200響應(yīng)于所述arp請(qǐng)求報(bào)文而返回的arp響應(yīng)報(bào)文。

本實(shí)施例中，被請(qǐng)求端200返回的arp響應(yīng)報(bào)文中包含有被請(qǐng)求端200的硬件地址信息。由此，請(qǐng)求端100可以根據(jù)從arp響應(yīng)報(bào)文中獲得的被請(qǐng)求端200的ip地址(即從arp響應(yīng)報(bào)文中獲取的發(fā)送方ip地址)以及硬件地址(即從arp響應(yīng)報(bào)文中獲取的發(fā)送方硬件地址)生成對(duì)應(yīng)于被請(qǐng)求端200的臨時(shí)arp表項(xiàng)。

另外，本實(shí)施例中，被請(qǐng)求端200返回的arp響應(yīng)報(bào)文中攜帶有chap(challengehandshakeauthenticationprotocol，挑戰(zhàn)握手認(rèn)證協(xié)議)認(rèn)證的挑戰(zhàn)信息。被請(qǐng)求端200可以將chap認(rèn)證的挑戰(zhàn)信息寫入arp響應(yīng)報(bào)文。例如，被請(qǐng)求端100可以將chap認(rèn)證的挑戰(zhàn)信息寫在arp響應(yīng)報(bào)文中的目標(biāo)ip地址字段之后，然后將攜帶有chap認(rèn)證的挑戰(zhàn)信息的arp響應(yīng)報(bào)文發(fā)送至請(qǐng)求端100。具體地，被請(qǐng)求端200可以依據(jù)之前建立的對(duì)應(yīng)于請(qǐng)求端100的臨時(shí)arp表項(xiàng)將攜帶有chap認(rèn)證的挑戰(zhàn)信息的arp響應(yīng)報(bào)文發(fā)送至請(qǐng)求端100。

在本發(fā)明實(shí)施例中，被請(qǐng)求端200會(huì)預(yù)先配置認(rèn)證用的arp認(rèn)證信息，被請(qǐng)求端200所使用的chap認(rèn)證的挑戰(zhàn)信息是基于該arp認(rèn)證信息生成的。在本步驟s101中已說(shuō)明，請(qǐng)求端100上已預(yù)先配置該被請(qǐng)求端的arp認(rèn)證信；也就是說(shuō)請(qǐng)求端100與被請(qǐng)求端200都擁有被請(qǐng)求端200的arp認(rèn)證信息。

步驟s107，根據(jù)arp響應(yīng)報(bào)文中攜帶的chap認(rèn)證的挑戰(zhàn)信息對(duì)被請(qǐng)求端進(jìn)行認(rèn)證，并將認(rèn)證結(jié)果寫入認(rèn)證響應(yīng)報(bào)文發(fā)送至所述被請(qǐng)求端。

本實(shí)施例中，當(dāng)所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的添加arp表項(xiàng)時(shí)，作為一種實(shí)施方式，請(qǐng)求端100可以獲取arp響應(yīng)報(bào)文中攜帶的chap認(rèn)證的挑戰(zhàn)信息，再根據(jù)本地預(yù)先配置的被請(qǐng)求端的arp認(rèn)證信息同樣生成chap認(rèn)證的挑戰(zhàn)信息，根據(jù)chap認(rèn)證的挑戰(zhàn)信息是否相同，判斷所述被請(qǐng)求端是否合法。若認(rèn)證結(jié)果為合法，則將所述臨時(shí)arp表項(xiàng)寫入靜態(tài)arp表項(xiàng)，并將認(rèn)證成功指示信息寫入認(rèn)證響應(yīng)報(bào)文發(fā)送至所述被請(qǐng)求端；若認(rèn)證結(jié)果為不合法，則將認(rèn)證失敗指示信息寫入認(rèn)證響應(yīng)報(bào)文，根據(jù)臨時(shí)arp表項(xiàng)將所述認(rèn)證響應(yīng)報(bào)文發(fā)送至所述被請(qǐng)求端后，刪除所述臨時(shí)arp表項(xiàng)。

當(dāng)所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的刪除arp表項(xiàng)時(shí)，作為一種實(shí)施方式，請(qǐng)求端100可以獲取arp響應(yīng)報(bào)文中攜帶的chap認(rèn)證的挑戰(zhàn)信息，再根據(jù)本地預(yù)先配置的被請(qǐng)求端的arp認(rèn)證信息，同樣生成chap認(rèn)證的挑戰(zhàn)信息，根據(jù)chap認(rèn)證的挑戰(zhàn)信息是否相同，判斷所述被請(qǐng)求端是否合法。若認(rèn)證結(jié)果為合法，則刪除與所述arp請(qǐng)求報(bào)文相關(guān)的目標(biāo)靜態(tài)arp表項(xiàng)，若認(rèn)證結(jié)果為不合法，則不刪除與所述arp請(qǐng)求報(bào)文相關(guān)的目標(biāo)靜態(tài)arp表項(xiàng)。

需要說(shuō)明的是，本發(fā)明實(shí)施例中，當(dāng)arp報(bào)文被認(rèn)證為欺騙報(bào)文，或者認(rèn)證時(shí)間超時(shí)(例如，超過(guò)預(yù)設(shè)時(shí)間)時(shí)，均可以判定arp報(bào)文的認(rèn)證結(jié)果為“不合法”。

可以理解的是，在其他實(shí)施例中，上述步驟s101可以是預(yù)先完成的。在預(yù)先完成的基礎(chǔ)上，圖2中所示的方法可以直接由步驟s103開(kāi)始執(zhí)行。

本發(fā)明實(shí)施例提供的arp認(rèn)證方法，通過(guò)在arp響應(yīng)報(bào)文中攜帶chap認(rèn)證的挑戰(zhàn)信息以認(rèn)證arp報(bào)文的合法性，可以有效的過(guò)濾arp欺騙報(bào)文，有效的防止arp報(bào)文欺騙。這種arp驗(yàn)證方法不但實(shí)現(xiàn)代價(jià)小，而且能極大提升arp學(xué)習(xí)過(guò)程的安全性。對(duì)于未開(kāi)啟arp認(rèn)證的以太網(wǎng)設(shè)備(例如，交換機(jī)或終端)，其arp學(xué)習(xí)過(guò)程不會(huì)受任何影響。

請(qǐng)參閱圖4，是本發(fā)明實(shí)施例提供的一種應(yīng)用于被請(qǐng)求端200的arp認(rèn)證方法的流程圖。下面將對(duì)圖4中所示的各步驟進(jìn)行詳細(xì)描述。

步驟s301，接收請(qǐng)求端100發(fā)送的arp請(qǐng)求報(bào)文。該arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入有特定的組播硬件地址，該組播硬件地址可以用于指示被請(qǐng)求端200開(kāi)啟被動(dòng)認(rèn)證功能。

作為一種實(shí)施方式，所述特定組播硬件地址可以用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的添加arp表項(xiàng)，相應(yīng)地，該特定組播地址可以是0100.5e00.0001，但不限制于此。

作為一種實(shí)施方式，所述特定組播硬件地址可以用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的刪除arp表項(xiàng)，相應(yīng)地，該特定組播地址可以是0100.5e00.0002，但不限制于此。

步驟s303，響應(yīng)于所述arp請(qǐng)求報(bào)文而生成chap認(rèn)證的挑戰(zhàn)信息。

本實(shí)施例中，被請(qǐng)求端200開(kāi)啟被動(dòng)認(rèn)證功能并響應(yīng)于arp請(qǐng)求報(bào)文生成chap認(rèn)證的挑戰(zhàn)信息。

步驟s305，將所述chap認(rèn)證的挑戰(zhàn)信息寫入arp響應(yīng)報(bào)文發(fā)送至請(qǐng)求端100，以使請(qǐng)求端100響應(yīng)于chap認(rèn)證的挑戰(zhàn)信息而生成認(rèn)證響應(yīng)報(bào)文。

步驟s307，接收請(qǐng)求端100返回的攜帶有認(rèn)證結(jié)果的認(rèn)證響應(yīng)報(bào)文。

本實(shí)施例中，在接收到請(qǐng)求端100發(fā)送的arp請(qǐng)求報(bào)文之后，以及在響應(yīng)于所述arp請(qǐng)求報(bào)文而生成挑戰(zhàn)握手認(rèn)證協(xié)議chap認(rèn)證的挑戰(zhàn)信息之前，被請(qǐng)求端200還可以根據(jù)從所述arp請(qǐng)求報(bào)文中獲得的請(qǐng)求端100的ip地址(即從arp響應(yīng)報(bào)文中獲取的發(fā)送方ip地址)以及硬件地址(即從arp響應(yīng)報(bào)文中獲取的發(fā)送方硬件地址)生成臨時(shí)arp表項(xiàng)，以便根據(jù)該臨時(shí)arp表項(xiàng)將攜帶chap認(rèn)證的挑戰(zhàn)信息的arp響應(yīng)報(bào)文發(fā)送至請(qǐng)求端100。

當(dāng)所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的添加arp表項(xiàng)時(shí)，被請(qǐng)求端200在接收到請(qǐng)求端100返回的攜帶有認(rèn)證結(jié)果的認(rèn)證響應(yīng)報(bào)文后，若認(rèn)證結(jié)果為合法，則將所述臨時(shí)arp表項(xiàng)寫入靜態(tài)arp表項(xiàng)；若認(rèn)證結(jié)果為不合法，則刪除所述臨時(shí)arp表項(xiàng)。

當(dāng)所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能的刪除arp表項(xiàng)時(shí)，被請(qǐng)求端200在接收到請(qǐng)求端100返回的攜帶有認(rèn)證結(jié)果的認(rèn)證響應(yīng)報(bào)文之后，若認(rèn)證結(jié)果為合法，則刪除與所述arp請(qǐng)求報(bào)文相關(guān)的目標(biāo)靜態(tài)arp表項(xiàng)，若認(rèn)證結(jié)果為不合法，則不刪除與所述arp請(qǐng)求報(bào)文相關(guān)的目標(biāo)靜態(tài)arp表項(xiàng)。

本實(shí)施例中提供的應(yīng)用于被請(qǐng)求端200的arp認(rèn)證方法中，每個(gè)步驟的具體操作方法可以對(duì)應(yīng)參照?qǐng)D2所示方法中相應(yīng)步驟的詳細(xì)闡述，在此不再一一贅述。

請(qǐng)參閱圖5，是本發(fā)明實(shí)施例提供的應(yīng)用于請(qǐng)求端100的arp認(rèn)證裝置110的功能模塊示意圖。該arp認(rèn)證裝置110包括arp模塊112、報(bào)文發(fā)送模塊114、報(bào)文接收模塊116、認(rèn)證模塊118。

arp模塊112，用于生成arp請(qǐng)求報(bào)文，并交由報(bào)文發(fā)送模塊，所述arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入特定組播硬件地址，所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能。

報(bào)文發(fā)送模塊114，用于將所述arp請(qǐng)求報(bào)文進(jìn)行廣播。

報(bào)文接收模塊116，用于接收被請(qǐng)求端200響應(yīng)于所述arp請(qǐng)求報(bào)文而返回的arp響應(yīng)報(bào)文。

認(rèn)證模塊118，用于根據(jù)arp響應(yīng)報(bào)文中攜帶的chap認(rèn)證的挑戰(zhàn)信息對(duì)被請(qǐng)求端進(jìn)行認(rèn)證，并將認(rèn)證結(jié)果通知給所述arp模塊。

所述arp模塊112，還用于將所述認(rèn)證結(jié)果寫入認(rèn)證響應(yīng)報(bào)文。

所述報(bào)文發(fā)送模塊114，還用于將所述認(rèn)證響應(yīng)報(bào)文發(fā)送至所述被請(qǐng)求端。

本發(fā)明實(shí)施例所提供的arp認(rèn)證裝置，其實(shí)現(xiàn)原理及產(chǎn)生的技術(shù)效果和圖2所示的方法實(shí)施例相同，為簡(jiǎn)要描述，裝置實(shí)施例部分未提及之處，可參考前述方法實(shí)施例中相應(yīng)內(nèi)容。

請(qǐng)參閱圖6，是本發(fā)明實(shí)施例提供的應(yīng)用于被請(qǐng)求端200的arp認(rèn)證裝置210的功能模塊示意圖。arp認(rèn)證裝置210包括報(bào)文接收模塊212、認(rèn)證模塊214、arp模塊216、報(bào)文發(fā)送模塊218。

報(bào)文接收模塊212，用于接收請(qǐng)求端100發(fā)送的arp請(qǐng)求報(bào)文，所述arp請(qǐng)求報(bào)文的目標(biāo)硬件地址字段中寫入有特定組播硬件地址，所述特定組播硬件地址用于指示所述被請(qǐng)求端開(kāi)啟被動(dòng)認(rèn)證功能。

認(rèn)證模塊214，用于響應(yīng)于所述arp請(qǐng)求報(bào)文而生成挑戰(zhàn)握手認(rèn)證協(xié)議chap認(rèn)證的挑戰(zhàn)信息。

arp模塊216，用于將所述chap認(rèn)證的挑戰(zhàn)信息寫入arp響應(yīng)報(bào)文。

報(bào)文發(fā)送模塊218，用于將所述arp響應(yīng)報(bào)文發(fā)送至所述請(qǐng)求端，以使所述請(qǐng)求端響應(yīng)于所述chap認(rèn)證的挑戰(zhàn)信息而生成認(rèn)證響應(yīng)報(bào)文。

所述報(bào)文接收模塊218，還用于接收請(qǐng)求端返回的攜帶有認(rèn)證結(jié)果的認(rèn)證響應(yīng)報(bào)文。

以上各模塊可以是由軟件代碼實(shí)現(xiàn)，此時(shí)，上述的各模塊可存儲(chǔ)于請(qǐng)求端或被請(qǐng)求端的存儲(chǔ)器內(nèi)。以上各模塊同樣可以由硬件例如集成電路芯片實(shí)現(xiàn)。

需要說(shuō)明的是，本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可。

本發(fā)明實(shí)施例所提供的arp認(rèn)證裝置，其實(shí)現(xiàn)原理及產(chǎn)生的技術(shù)效果和圖4所示的方法實(shí)施例相同，為簡(jiǎn)要描述，裝置實(shí)施例部分未提及之處，可參考前述方法實(shí)施例中相應(yīng)內(nèi)容。

最后，本發(fā)明實(shí)施例還提供一種arp認(rèn)證系統(tǒng)，該系統(tǒng)包括上述的請(qǐng)求端100和被請(qǐng)求端。其中，請(qǐng)求端100可以用于執(zhí)行上述arp認(rèn)證裝置110，被請(qǐng)求端可以用于執(zhí)行上述arp認(rèn)證裝置210，具體的執(zhí)行方法可參照上述方法實(shí)施例或裝置實(shí)施例中的具體描述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的裝置和方法，也可以通過(guò)其它的方式實(shí)現(xiàn)。以上所描述的裝置實(shí)施例僅僅是示意性的，例如，附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個(gè)實(shí)施例的裝置、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作。在這點(diǎn)上，流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意，在有些作為替換的實(shí)現(xiàn)方式中，方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生。例如，兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行，它們有時(shí)也可以按相反的順序執(zhí)行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個(gè)方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或動(dòng)作的專用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn)，或者可以用專用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一起形成一個(gè)獨(dú)立的部分，也可以是各個(gè)模塊單獨(dú)存在，也可以兩個(gè)或兩個(gè)以上模塊集成形成一個(gè)獨(dú)立的部分。

所述功能如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、移動(dòng)硬盤、只讀存儲(chǔ)器、隨機(jī)存取存儲(chǔ)器、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。需要說(shuō)明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。