專利名稱：提高局域網(wǎng)通信安全的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信，特別涉及網(wǎng)絡(luò)通信協(xié)議的地址解析協(xié)議(ARP)和逆向地址解析協(xié)議(RARP)。
背景技術(shù)：
目前局域網(wǎng)中經(jīng)常有病毒利用ARP欺騙的原理，偷聽(tīng)數(shù)據(jù)、復(fù)制自己。由于這些病毒利用ARP的報(bào)文格式，亂發(fā)MAC-IP地址綁定關(guān)系，修改網(wǎng)絡(luò)中別的主機(jī)或網(wǎng)關(guān)的ARP表，這就使得其它機(jī)器無(wú)法上網(wǎng)，或不能正常通信，干擾整個(gè)局域網(wǎng)的正常運(yùn)行。
現(xiàn)有技術(shù)中，解決以上問(wèn)題的常見(jiàn)方法是在出口路由器上對(duì)局域網(wǎng)內(nèi)的所有機(jī)器做靜態(tài)ARP設(shè)置，人工設(shè)置MAC-IP綁定關(guān)系，并且在每臺(tái)PC機(jī)上配置靜態(tài)ARP，設(shè)置路由器IP地址對(duì)應(yīng)的MAC地址。這種方法的最大的問(wèn)題在于管理工作量大，如果一個(gè)小區(qū)有幾千臺(tái)機(jī)器，對(duì)于僅有幾個(gè)維護(hù)人員的ISP來(lái)說(shuō)，這幾乎是一個(gè)不能完成的任務(wù)。還有一種方法是用DHCP服務(wù)器來(lái)動(dòng)態(tài)綁定的，雖然可以減少人工配置的任務(wù)，但對(duì)于需要固定IP的局域網(wǎng)環(huán)境又不能適用了，而且它只能解決在網(wǎng)關(guān)處的ARP表項(xiàng)混亂的問(wèn)題，還不能解決局域網(wǎng)的其它主機(jī)的ARP表項(xiàng)混亂問(wèn)題。
還有一種解決方法是用PPPoE認(rèn)證，這樣寬帶小區(qū)的所有PC與運(yùn)營(yíng)商的出口BAS之間在邏輯上都是點(diǎn)對(duì)點(diǎn)連接，不存在ARP欺騙的問(wèn)題。但對(duì)于某些局域網(wǎng)內(nèi)的PC之間有互通需求的環(huán)境也不適合使用這種方式，如辦公網(wǎng)。
以上問(wèn)題的關(guān)鍵就是因?yàn)锳RP本身是一個(gè)無(wú)安全控制的協(xié)議，任何人如果用標(biāo)準(zhǔn)的ARP報(bào)文格式發(fā)錯(cuò)誤的MAC綁定信息，那么局域網(wǎng)中的主機(jī)或網(wǎng)關(guān)都要受到影響。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題，就是針對(duì)ARP安全性差的問(wèn)題，提供一種利用安全認(rèn)證提高ARP處理過(guò)程安全性的方法，防止ARP被惡意修改。
本發(fā)明解決上述技術(shù)問(wèn)題，采用的技術(shù)方案是，提高局域網(wǎng)通信安全的方法，包括如下步驟a.在地址解析協(xié)議中增加用戶信息；b.設(shè)置認(rèn)證服務(wù)器，對(duì)地址解析協(xié)議中的用戶信息進(jìn)行認(rèn)證；c.通過(guò)認(rèn)證則作出響應(yīng)，否則不作響應(yīng)。
本發(fā)明的有益效果是，能夠有效區(qū)分ARP報(bào)文的合法性，從而使得主機(jī)不會(huì)受非法ARP報(bào)文影響而修改MAC綁定信息，ARP信息的影響是受控的，從根本上解決了ARP的安全性問(wèn)題，提高了局域網(wǎng)通信的安全性。另外，因?yàn)槭褂昧苏J(rèn)證服務(wù)器對(duì)用戶進(jìn)行認(rèn)證，很容易擴(kuò)展出計(jì)費(fèi)等其它功能，增強(qiáng)局域網(wǎng)的可管理性。


圖1是實(shí)施例的發(fā)送接收流程圖。
具體實(shí)施例方式
下面結(jié)合附圖及實(shí)施例，詳細(xì)描述本發(fā)明的技術(shù)方案。
本發(fā)明在ARP中增加用戶認(rèn)證信息，網(wǎng)絡(luò)中增加認(rèn)證服務(wù)器，利用ARP處理過(guò)程中用戶信息的認(rèn)證，提高網(wǎng)絡(luò)的安全性。
本發(fā)明的技術(shù)方案是，提高局域網(wǎng)通信安全的方法，其特征在于包括如下步驟a.在地址解析協(xié)議中增加用戶信息；b.設(shè)置認(rèn)證服務(wù)器，對(duì)地址解析協(xié)議中的用戶信息進(jìn)行認(rèn)證；c.通過(guò)認(rèn)證則作出響應(yīng)，否則不作響應(yīng)；具體的用戶信息是由用戶名長(zhǎng)度，用戶名字段，隨機(jī)數(shù)字段，摘要長(zhǎng)度字段及摘要內(nèi)容字段組成；進(jìn)一步的是所述摘要內(nèi)容字段是用摘要算法將用戶名，隨機(jī)數(shù)和用戶密碼進(jìn)行摘要計(jì)算形成的；具體的認(rèn)證過(guò)程是b1.認(rèn)證服務(wù)器根據(jù)接收的地址解析協(xié)議中的用戶名，從數(shù)據(jù)庫(kù)中提取用戶密碼；b2.將上述用戶密碼加上接收的地址解析協(xié)議中的隨機(jī)數(shù)，采用同樣的摘要算法進(jìn)行摘要計(jì)算；b3.將計(jì)算結(jié)果與接收的地址解析協(xié)議中的摘要內(nèi)容進(jìn)行對(duì)比，相同則通過(guò)認(rèn)證，否則認(rèn)證不通過(guò)；具體的摘要算法為單向不可逆的摘要算法；如MD5算法；上述作出響應(yīng)是指所述作出響應(yīng)是指收到安全ARP請(qǐng)求，則發(fā)安全ARP應(yīng)答；收到安全ARP應(yīng)答，則修改本地的ARP信息表；收到安全的RARP請(qǐng)求，則發(fā)安全RARP應(yīng)答；收到安全RARP應(yīng)答，則修改自己的ARP信息表；更具體的是所述認(rèn)證服務(wù)器設(shè)置在網(wǎng)關(guān)上。
實(shí)施例為便于敘述，下面將增加了用戶信息的ARP稱為安全ARP，其報(bào)文為安全ARP報(bào)文。
本發(fā)明將安全ARP報(bào)文的區(qū)別字符設(shè)置在操作類型字段中，安全ARP報(bào)文的一種格式如表1所示，其中增加的用戶信息格式是自定義的，目前還沒(méi)標(biāo)準(zhǔn)化。
表1

表1第1欄中1表示以太；第2欄中0x0800表示IP；第5欄中1表示常規(guī)ARP請(qǐng)求，2表示常規(guī)ARP應(yīng)答，3表示常規(guī)RARP請(qǐng)求，4表示常規(guī)RARP應(yīng)答，21表示安全ARP請(qǐng)求，22表示安全ARP應(yīng)答，23表示安全RARP請(qǐng)求，24表示安全RARP應(yīng)答。表1中第9～14欄為增加的用戶信息。
局域網(wǎng)中使用安全ARP需要局域網(wǎng)的所有主機(jī)和網(wǎng)關(guān)都能支持安全ARP；同時(shí)在本地配置或輸入自己的用戶名，密碼和認(rèn)證服務(wù)器地址。認(rèn)證服務(wù)器可以是標(biāo)準(zhǔn)的AAA服務(wù)器，也可以是自己開(kāi)發(fā)的帶用戶密碼數(shù)據(jù)庫(kù)的服務(wù)器。認(rèn)證服務(wù)器可以單獨(dú)存在也可以設(shè)置在網(wǎng)關(guān)上。
主機(jī)在發(fā)送ARP請(qǐng)求，ARP應(yīng)答或RARP請(qǐng)求，RARP應(yīng)答時(shí)，需要用安全ARP報(bào)文發(fā)送；當(dāng)接收端配置了安全ARP，收到傳統(tǒng)ARP報(bào)文，不作任何響應(yīng)動(dòng)作；收到安全ARP報(bào)文后，先將報(bào)文中的用戶信息提取出來(lái)，然后發(fā)到認(rèn)證服務(wù)器進(jìn)行認(rèn)證；認(rèn)證服務(wù)器根據(jù)用戶名從數(shù)據(jù)庫(kù)中提取密碼，再加上收到的隨機(jī)數(shù)，用同樣的摘要算法進(jìn)行摘要計(jì)算，比較計(jì)算結(jié)果，計(jì)算結(jié)果與服務(wù)器收到的摘要內(nèi)容一致則認(rèn)證通過(guò)，否則不通過(guò)；如果認(rèn)證通過(guò)則對(duì)安全ARP報(bào)文做出響應(yīng)動(dòng)作；如果認(rèn)證不通過(guò)，則不做任何響應(yīng)動(dòng)作。
收到安全ARP報(bào)文并認(rèn)證通過(guò)后的響應(yīng)動(dòng)作主要有收到安全ARP請(qǐng)求，則發(fā)安全ARP應(yīng)答；收到安全ARP應(yīng)答，則修改本地的ARP信息表；如果收到安全的RARP請(qǐng)求，則發(fā)安全RARP應(yīng)答；如果收到安全的RARP應(yīng)答，則修改自己的ARP信息表。
整個(gè)安全ARP協(xié)議的接收和發(fā)送過(guò)程參見(jiàn)圖1。
現(xiàn)在的受控局域網(wǎng)，一般都有客戶端軟件來(lái)控制用戶的上網(wǎng)動(dòng)作，如網(wǎng)吧和Internet服務(wù)提供商都有上網(wǎng)客戶端軟件，所以可以在客戶端軟件上增加安全ARP功能，網(wǎng)關(guān)設(shè)備上也增加安全ARP功能，那么前面提到的病毒亂發(fā)ARP報(bào)文和人為的偽IP非法行為都能解決，沒(méi)有多少的配置工作量，也不會(huì)像PPPoE的使用哪樣影響主機(jī)間的通信。
權(quán)利要求
1.提高局域網(wǎng)通信安全的方法，其特征在于包括如下步驟a.在地址解析協(xié)議中增加用戶信息；b.設(shè)置認(rèn)證服務(wù)器，對(duì)地址解析協(xié)議中的用戶信息進(jìn)行認(rèn)證；c.通過(guò)認(rèn)證則作出響應(yīng)，否則不作響應(yīng)。
2.根據(jù)權(quán)利要求1所述的提高局域網(wǎng)通信安全的方法，其特征在于所述用戶信息由用戶名長(zhǎng)度，用戶名字段，隨機(jī)數(shù)字段，摘要長(zhǎng)度字段及摘要內(nèi)容字段組成。
3.根據(jù)權(quán)利要求2所述的提高局域網(wǎng)通信安全的方法，其特征在于所述摘要內(nèi)容字段是用摘要算法將用戶名，隨機(jī)數(shù)和用戶密碼進(jìn)行摘要計(jì)算形成的。
4.根據(jù)權(quán)利要求3所述的提高局域網(wǎng)通信安全的方法，其特征在于所述步驟b為b1.認(rèn)證服務(wù)器根據(jù)接收的地址解析協(xié)議中的用戶名，從數(shù)據(jù)庫(kù)中提取用戶密碼；b2.將上述用戶密碼加上接收的地址解析協(xié)議中的隨機(jī)數(shù)，采用同樣的摘要算法進(jìn)行摘要計(jì)算；b3.將計(jì)算結(jié)果與接收的地址解析協(xié)議中的摘要內(nèi)容進(jìn)行對(duì)比，相同則通過(guò)認(rèn)證，否則認(rèn)證不通過(guò)。
5.根據(jù)權(quán)利要求3或4所述的提高局域網(wǎng)通信安全的方法，其特征在于所述摘要算法為單向不可逆的摘要算法。
6.根據(jù)權(quán)利要求5所述的提高局域網(wǎng)通信安全的方法，其特征在于所述摘要算法為MD5。
7.根據(jù)權(quán)利要求1所述的提高局域網(wǎng)通信安全的方法，其特征在于步驟c中，所述作出響應(yīng)是指收到安全ARP請(qǐng)求，則發(fā)安全ARP應(yīng)答；收到安全ARP應(yīng)答，則修改本地的ARP信息表；收到安全的RARP請(qǐng)求，則發(fā)安全RARP應(yīng)答；收到安全RARP應(yīng)答，則修改自己的ARP信息表。
8.根據(jù)權(quán)利要求1所述的提高局域網(wǎng)通信安全的方法，其特征在于所述認(rèn)證服務(wù)器設(shè)置在網(wǎng)關(guān)上。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)通信，特別涉及網(wǎng)絡(luò)通信協(xié)議的地址解析協(xié)議(ARP)和逆向地址解析協(xié)議(RARP)。本發(fā)明解決了ARP安全性差的問(wèn)題，公開(kāi)了一種利用安全認(rèn)證提高ARP處理過(guò)程安全性的方法，防止ARP被惡意修改。本發(fā)明的技術(shù)方案是，提高局域網(wǎng)通信安全的方法，包括如下步驟a.在地址解析協(xié)議中增加用戶信息；b.設(shè)置認(rèn)證服務(wù)器，對(duì)地址解析協(xié)議中的用戶信息進(jìn)行認(rèn)證；c.通過(guò)認(rèn)證則作出響應(yīng)，否則不作響應(yīng)。本發(fā)明的有益效果是，能夠有效區(qū)分ARP報(bào)文的合法性，從而使得主機(jī)不會(huì)受非法ARP報(bào)文影響而修改MAC綁定信息，ARP信息的影響是受控的，從根本上解決了ARP的安全性問(wèn)題，提高了局域網(wǎng)通信的安全性。
文檔編號(hào)H04L12/24GK1825853SQ20061002062
公開(kāi)日2006年8月30日 申請(qǐng)日期2006年3月30日 優(yōu)先權(quán)日2006年3月30日
發(fā)明者黃巖, 劉洋 申請(qǐng)人:邁普(四川)通信技術(shù)有限公司