專利名稱:一種安全arp的實現方法及網絡設備的制作方法
技術領域:
本發(fā)明涉及通信領域����,尤其涉及一種安全ARP的實現方法及網絡設備���。
背景技術:
數據鏈路上的設備需要一種方法來發(fā)現鄰居的數據鏈路標識�,即媒體訪問 控制(Media Access Control, MAC)地址�,以便將數據傳送到正確的目的地。 因特網的地址解析協議(Address Resolution Protocol, ARP)根據指定的IP地址 來獲取對應的MAC地址���。
根據因特網標準RFC826�, ARP的機制是當一臺網絡設備需要獲取同一鏈 路上的另一臺網絡設備的MAC地址時,它將組裝ARP請求消息�����,在這個消息 中包括設備一的MAC地址���、IP地址和設備二的IP地址�����。然后�,ARP請求消 息在數據鏈路上被廣播��,即數據鏈路上的所有設備都將收到該幀��,并且必須檢 查幀內封裝的消息���。IP地址與ARP請求消息中的目標IP地址相同的設備二將 向ARP請求消息的發(fā)送者地址發(fā)送ARP響應消息,以提供自己的MAC地址��, 而其他設備則不會發(fā)送答復消息。于是��,地址解析操作的結果就是發(fā)送源設備 即設備一獲得了設備二的MAC地址����,并且在本地的ARP緩存表中記錄目標設 備即設備二的MAC地址和IP地址的映射關系。
當前的ARP通過明文的廣播詢問�、應答,可以獲得同網段網絡中所有主機 的IP與MAC地址的對應關系�����。因此�����,只要攻擊設備能拿到其他設備的IP-MAC (IP地址與MAC地址)地址的映射關系����,就能對其他i殳備進行相應的攻擊。當 某接入設備中毒����,導致同網內的其他設備受到攻擊�,這樣的攻擊經常發(fā)生在機 房或者辦公室等同 一個網段的網絡中。
隨著全IP網絡的發(fā)展����,安全問題已經越來越受到重視��,在第三代合作伙伴 計劃(3rd Generation Partnership Project, 3GPP)領域���,也定義了比如IP層協i義安 全結構(Security Architecture for IP network , IPSEC)等IP層以上的安全技術, 形成安全域��,組織安全網絡���。但是這種保護僅僅能對服務器程序進行保護�,對設備本身��,尤其是位于同一網段進行交互的兩個設備����,沒有保護作用。請參見
圖1所示��,圖1為采用IPSEC等安全IP手段進行對相關內容的保護��,設備一要 安全訪問設備二����,設備一上的客戶程序含有設備二的IP地址��,該方法實現方式
設備一向網絡廣播普通ARP請求消息����;
設備二接收到普通ARP請求消息后�,將含有MAC地址信息的響應消息返回 給設備一;
獲得設備二的IP-MAC地址映射關系的設備一的客戶程序能通過安全IP接口 與設備二的服務器程序進行通訊����,通訊內容受到安全IP的保護。
但與此同時�,設備一上的病毒程序也能夠通過普通IP接口,利用ARP緩存表 存儲的IP-MAC地址映射關系�����,攻擊到設備二���。其他設備也能通過ARP協議���,獲 得網絡中i史備的IP與MAC地址映射關系,并能實施攻擊�����。
為了實現對設備的保護�,請參見圖2所示,公開了一種在設備二前放置一臺 防火墻�,通過防火墻的設置,安全的消息可以通過防火墻���,而攻擊消息將被過 濾掉�����。但是在每一臺設備前都放置一臺防火墻��,不僅需要花費巨大的成本�����,還 需要進行不斷的維護��。
發(fā)明內容
有鑒于此�����,本發(fā)明實施例提供了一種安全ARP的實現方法及網絡設備��?����??在節(jié)約成本的前提下實現安全ARP��。
本發(fā)明實施例提供了 一種安全ARP的實現方法�����,該方法至少包括以下步驟
對本端i殳備地址和需請求的目標i殳備的地址進行加密���;
生成安全ARP請求消息��,所述消息中攜帶有安全標識和所述加密后的地址 信息�;
通過所述安全ARP請求消息向網絡中廣播安全ARP請求��。 該方法還進一步包括
在接收到目標設備的ARP響應消息后���,解密所述ARP響應消息的地址字段���, 獲取所述目標i殳備的地址。
在接收到目標設備的ARP響應消息后�,還進一步包括 判斷所述ARP響應消息中是否攜帶有安全標識�,如果判斷為是�,則解密所 述ARP響應消息的地址字段,獲取所述目標設備的地址���。 該方法還再進一步包括
客戶程序通過安全IP接口以及安全ARP接口獲得所述解密獲取的目標設備 的地址。
本發(fā)明實施例提供了 一種安全ARP的實現方法�,該方法至少包括以下步驟 接收安全ARP請求,并解密所述安全APR請求的地址字段����; 解密完成后,將本端設備的地址信息以及源請求設備的地址信息進行加密���; 生成安全ARP響應消息����,所述消息中攜帶有安全標識和所述加密后的地址 信息�;
通過所述安全ARP響應消息向所述ARP請求的源設備發(fā)送安全ARP響應。 在接收到安全ARP請求消息后�����,還進一步包括
判斷所述ARP請求消息中是否攜帶有安全標識��,如果判斷為是,則解密所 述ARP請求消息的地址字段�,獲取所述ARP請求的源設備的地址以及需請求的 地址。
本發(fā)明實施例提供了一種網絡設備�����,該網絡設備包括 加密單元�,用于對本端設備地址和需請求的目標設備的地址進行加密; 生成單元�,用于生成安全ARP請求消息,所述消息中攜帶有安全標識和所 述加密后的地址信息��;
發(fā)送單元�,用于通過所述安全ARP請求消息向網絡中廣播安全ARP請求。 所述網絡設備還包括
接收單元����,用于接收目標設備的ARP響應消息;
解密單元���,用于解密所述接收單元"l妄收到的ARP響應消息的地址字段���,獲 取所述目標i殳備的i也址。 所述網絡設備還包括
判斷單元���,用于判斷所述接收單元接收到的ARP響應消息中是否攜帶有安 全標識���,當判斷結果為是時���,向所述解密單元輸出肯定的判斷結果。 所述網絡設備還包括 請求單元���,用于發(fā)起目標設備訪問請求;
安全接口單元��,用于向所述請求單元發(fā)送所述解密單元解密后的目標設備 地址信息���。
所述安全接口單元包括安全IP接口單元和安全ARP接口單元����。 本發(fā)明實施例提供了一種網絡設備�����,該網絡設備包括 接收單元��,接收安全ARP請求�;
解密單元��,用于解密所述接收單元接收到的安全APR請求的地址字段��;
加密單元�����,用于在所述解密單元解密完成后�����,將本端設備的地址信息以及 源請求設備的地址信息進行加密�;
生成單元�,用于生成安全ARP響應消息,所述消息中攜帶有安全標識和所 述加密后的地址信息��;
發(fā)送單元��,用于通過所述安全ARP響應消息向所述ARP請求的源設備發(fā)送 安全ARP響應��。
所述網絡設備還包括
判斷單元��,用于判斷所述接收單元接收到的ARP請求消息中是否攜帶有安 全標識���,如果判斷為是�����,則向所述解密單元輸出肯定的判斷結果����。
本發(fā)明實施例在通過對本端i殳備地址和需請求的目標i更備的地址進^f于加密 和生成安全ARP請求消息,使得IP-MAC地址映射關系不能通過明文獲得����,而 且通過對信息的加密使設備的IP-MAC地址映射關系信息受到有效的保護,避 免該設備受到其他設備的攻擊�;而在后續(xù)的通訊時,同一設備上的程序只能通 過安全IP的專用接口��,才能訪問ARP緩存表��,這樣這臺設備的其他程序就無法 利用ARP緩存表的存儲內容對其他設備進行攻擊��。本發(fā)明的實現方法和現有技 術采用防火墻的方案均可有效保護網絡設備和維護網絡安全�,但是本發(fā)明實現 方法具有比所述防火墻的方案簡便�����,有效降低成本,節(jié)約資源的優(yōu)點����。
附圖i兌明
圖1為采用安全IP方法實現網絡安全的原理示意圖2為采用設置防火墻方法實現網絡安全的原理示意圖3為以太網中的ARP請求或應答消息的分組消息的一種格式組成示意
圖4為本發(fā)明實施例實現安全ARP的系統(tǒng)示意圖5為本發(fā)明實施例實現安全ARP方法的流程圖。
具體實施例方式
為使本發(fā)明的目的��、技術方案及優(yōu)點更加清楚明白�����,以下參照附圖對本發(fā) 明實施例進一步詳細說明���。
請參見圖4所示�,圖4為本發(fā)明實施例實現安全ARP的系統(tǒng)示意圖��,該系 統(tǒng)包括第 一 網絡設備10和第二網絡設備20,兩個設備通過網絡進行連接���。
其中�,第一網絡i史備10包括請求單元11�����、安全^J妄口單元12�����、第一加密 單元13、第一生成單元14����、第一發(fā)送單元15、第一接收單元16����、第一判斷單 元17以及第一解密單元18。請參照圖4����,其中,請求單元11和安全接口單元 12相連����;第一加密單元13、第一生成單元14和第一發(fā)送單元15依次相連���;第 一接收單元16、第一判斷單元17以及第一解密單元18依次相連�����;安全接口單 元12、分別和第一加密單元13以及第一解密單元18連接�����。
請求單元ll��,用于發(fā)起對第二網絡設備20訪問請求��,該單元根據需客戶程 序的需要發(fā)起對第二網絡設備20的訪問請求�����,在ARP緩存表沒有存儲第二網 絡設備20的IP-MAC (具體實現中�����,MAC地址可為設備的以太網地址)地址映 射關系的情況下需要獲得該IP-MAC地址映射關系��。
安全接口單元12,該單元進一步包括安全IP接口單元121和安全ARP 接口單元122����。所述安全IP接口 121,通過IPSEC等安全IP手段進行同網絡設 備內不同單元或者不同網絡設備之間的安全通訊;所述安全ARP接口單元122, 是在客戶程序調用地址信息時用于保護獲得的IP-MAC地址映射關系不被其他 程序盜用���,有效避免的含有病毒的程序獲得其他網絡設備的IP-MAC地址映射 關系�,并對其進行攻擊�����。
第一加密單元13,用于對第一網絡設備10的地址和需請求的第二網絡設備 20的地址進行加密��,所述的第一網絡設備10的地址和需請求的第二網絡設備 20的地址包括第一網絡設備10的MAC地址�、所述第一網絡設備10的IP地址、 所述第二網絡設備20的IP地址以及所述第二網絡設備的MAC地址��。圖3為以 太網中的ARP請求或應答消息的分組消息的一種格式組成示意圖���,本圖中的 MAC地址為設備的以太網地址�,如圖3所示���,OP字段之后的發(fā)送端以太網地 址�����、發(fā)送端IP地址�、目的以太網地址����、目的IP地址為需要加密保護的信息,具 體實現中����,可采用靜態(tài)配置加密,通過第一加密單元13的配置程序將密匙與IP的對應關系進行加密����,并將加密后的ARP請求消息發(fā)送到第一生成單元14。另 外���,還可以采用動態(tài)獲得密匙加密�,由請求單元ll在調用客戶程序時向第三方 認證服務器發(fā)出認證請求�,再接收到認證響應后獲得認證服務器返回的密匙, 請求單元11再通過安全接口單元12將密匙與IP對應關系發(fā)送給第一加密單元 13進行加密��。除了這兩種加密方法在實際應用中還可以根據安全程度采用其他 的力p密方法�����。
第一生成單元14��,用于生成安全ARP請求消息����,所述消息中攜帶有安全標 識和所述加密后的地址信息�。參見圖3所示�,所述的安全標識是對原有的OP字 段進行擴展,圖3中的OP字段定義操作類型和對應的值��,按照RFC826的原有 定義如下ARP請求(l)�, ARP應答(2), RARP請求(3), RARP應答(4)����,發(fā)送端 以太網地址、發(fā)送端IP地址�����、目的以太網地址��、目的IP地址在原協議中為明文��。 通過擴充將OP字段標識如下安全ARP請求(5)���,安全ARP應答(6),安全 RARP請求(7)����,安全RARP應答(8),其中括號的數字為操作類型的值���,但 不限于這一種定義方式,^喿作類型所對應的值可以改變��。在完成對加密的ARP 請求消息后生成所述的安全ARP請求消息����,本實施例采用上述對OP字段的擴 展進行標識,即將OP字段標識為安全ARP請求(5)�����,并將標識后的消息下 放到第一發(fā)送單元15����。
第一發(fā)送單元15,該單元用于通過所述安全ARP請求消息向網絡中廣播安 全ARP請求�。
第一接收單元16,用于接收第二網絡設備20返回的ARP響應消息����。當第 二網絡設備20返回ARP響應消息后,第一網絡設備10通過第一接收單元16 接收該響應消息�。
第一判斷單元17,用于判斷第一接收單元16接收到的ARP響應消息中是 否攜帶有安全標識,本實施例中采用OP字段進行安全標識�����,根據上述的OP字 段定義,如果第二網絡設備20返回ARP響應消息的OP字段為安全ARP應答 (6)���,則向第一解密單元18輸出肯定的判斷結果���,并由第一解密單元18對第 二網絡i殳備20返回的安全ARP響應消息進行解密。
第一解密單元18,用于解密所述第一接收單元16接收到的安全APR響應 消息的地址字l殳��。
第二網絡設備20包括第二接收單元21���、第二判斷單元22�、第二解密單 元23 ��、第二加密單元24���、第二生成單元25和第二發(fā)送單元26��。第二接收單元 21�����、第二判斷單元22和第二解密單元23—次相連���;第二加密單元24�、第二生 成單元25和第二發(fā)送單元26依次相連���。
第二接收單元21,用于接收第一網絡設備10廣播的ARP請求消息�。當第 一網絡設備10向網絡中廣播安全ARP請求消息后,第二網絡設備20通過第二 接收單元21接收該請求消息�。
第二判斷單元22,用于判斷第二接收單元21接收到的ARP請求消息中是 否攜帶有安全標識,本實施例中采用OP字段進行安全標識�,根據上述的OP字 段定義,如果第一網絡設備10向網絡中廣播的ARP請求消息的OP字段為安全 ARP請求(5),則向第二解密單元23輸出肯定的判斷結果���,并由第二解密單元 23對第一網絡設備10廣播的安全ARP請求消息進行解密���。
第二解密單元23,用于解密所述第二接收單元21接收到的安全APR請求 消息的地址字段。
第二加密單元24,用于在所述解密單元解密完成后����,將第二網絡i殳備20的 地址信息以及第一網絡設備10的地址信息進行加密,所述的第一網絡設備10 的地址和需請求的第二網絡設備20的地址包括第一網絡設備10的MAC地址�、 所述第一網絡設備10的IP地址、所述第二網絡設備20的IP地址以及所述第二 網絡設備的MAC地址。參見圖3所示�,OP字段之后的發(fā)送端以太網地址、發(fā) 送端IP地址���、目的以太網地址�、目的IP地址為需要加密保護的信息��,具體實現 中�����,可采用靜態(tài)配置加密���,通過第二加密單元24的配置程序將密匙與IP的對應 關系進行加密�����,并將加密后的ARP響應消息發(fā)送到第二生成單元25�����。另外�,還 可以采用動態(tài)獲得密匙進行加密�����。由第二網絡設備20在調用相關程序時向第三 方認證服務器發(fā)出認證請求,再接收到認證響應后獲得認證服務器返回的密匙�, 將密匙與IP對應關系發(fā)送給第二加密單元24進行加密。除了這兩種加密方法在 實際應用中還可以根據安全程度采用其他的加密方法�。
第二生成單元25,用于生成安全ARP響應消息,所述消息中攜帶有安全標 識和所述加密后的地址信息����;本實施例采用上述的對OP字段擴充來標識,根據 上述操作類型和對應的值的定義���,將加密的ARP響應消息生成為安全ARP響應 消息,即將OP字段標識為安全ARP應答(6)�����,并將標識后的消息下放到第
二發(fā)送單元26�。
第二發(fā)送單元26,用于通過所述安全ARP響應消息向所述ARP第 一 網絡 設備10發(fā)送安全ARP響應消息。
本實施例采用對OP字段進行安全標識���,但并不僅限于此��,參見圖3�,還可 以以同樣的方式對幀類型、硬件類型或者協議類型等進行安全標識�。本實施例 中的第一網絡設備10和第二網絡設備20在判斷出不是安全ARP交互消息時還 可以進行普通的ARP交互。
具體實現中����,信息的交互是雙向進行的,因此所述第一網絡設備可同時包 括所述第二網絡設備的功能模塊�,所述第二網絡設備也可同時包括所述第 一 網 絡設備的功能模塊。
請參見圖5,圖5為本發(fā)明實施例實現安全ARP方法的流程圖����,該圖簡要 示出了通過對ARP字段的操作實現安全ARP方法,結合圖5,本發(fā)明實施例 實現安全ARP具體步驟描述如下
步驟SIOI���,對第一設備地址和需請求的第二設備的地址進行加密�。所述的 第一網絡設備10的地址和需請求的第二網絡設備20的地址包括第一網絡設備 10的MAC地址�����、所述第一網絡設備10的IP地址����、所述第二網絡設備20的IP 地址以及所述第二網絡設備的MAC地址。參見圖3所示����,OP字段后的發(fā)送端 以太網地址�����、發(fā)送端IP地址�、目的以太網地址�����、目的IP地址為需要^f呆護的信息�, 本實施例采用靜態(tài)配置加密,通過配置程序將密匙與IP的對應關系進行加密����。 除此之外���,還可以采用動態(tài)獲得密匙加密����,在調用客戶程序時向第三方認證服 務器發(fā)出認證請求�����,再接收到認證響應后獲得認證服務器返回的密匙,再將密 匙與IP對應關系進行加密����。除了這兩種加密方法在實際應用中還可以根據安全 程度采用其他的加密方法。
步驟S102,生成安全ARP請求消息��。請參見圖3所示��,所述的安全標識是 通過程序對原有的OP字段進行擴展��,圖3中的OP字段定義操作類型����,定義如 下ARP請求(l), ARP應答(2), RARP請求(3), RARP應答(4),其中括號的數 字為操作類型的值�,但不限于這一種定義方式,操作類型和值均可以改變��。發(fā) 送端以太網地址��、發(fā)送端IP地址�����、目的以太網地址�、目的IP地址在原協議中為 明文�����。通過擴充將OP字段標識如下安全ARP請求(5 )�,安全ARP應答(6), 安全RARP請求(7)�,安全RARP應答(8),其中括號的數字為對應操作類型
的值���,但不限于這一種定義方式�����,操作類型和值均可以改變�����。本實施例采用上
述對OP字段的擴展進行標識�,即將OP字段標識為安全ARP請求(5)����。
步驟S103,通過所述安全ARP請求消息向網絡中廣播安全ARP請求��。
步驟S104,第二設備接收安全ARP請求消息�。第二設備對接收的廣播請求 進行判斷�,如果識別出該請求含有安全標識的OP字段�����,即含有標識為安全ARP 請求(5)的0P字段�����,則判斷為安全ARP請求消息�����,進入后續(xù)的處理步驟��;否 則判斷為非安全廣播請求����,進入普通的ARP過程或者不作響應。
步驟S105,判斷所述ARP請求消息中是否攜帶有安全標識�����。本實施例中采 用OP字段進行安全標識���,根據上述的OP字段定義����,如果第一設備向網絡中廣 播的ARP請求消息的OP字段為安全ARP請求(5),則進行后續(xù)的解密處理�����。 如果為非安全ARP請求消息���,則進行普通的ARP交互或者不作響應����。
步驟S106�,解密所述安全APR請求。在步驟S105判斷為安全ARP請求后 進入步驟S106,對該消息的加密部分進行相應的解密���。如果解密正確���,則進入 后續(xù)的處理步驟;如果解密錯誤�,則不作響應。
步驟S107��,將第二設備的地址信息以及第一設備的地址信息進行加密��。在 經過步驟S106解密正確后��,第二設備將IP地址和MAC地址填入ARP響應的 相應字段���。對第二設備地址和需響應的第一設備的地址進行加密�。當采用靜態(tài) 密碼配置時�,通過配置程序對所述的第二設備的地址和需響應的第一設備的地 址進行加密。參見圖3所示��,發(fā)送端以太網地址��、發(fā)送端IP地址�����、目的以太網 地址�、目的IP地址為需要保護的信息,本實施例采用靜態(tài)配置加密��,通過配置 程序將密匙與IP的對應關系進行加密�。除此之外,還可以采用動態(tài)獲得密匙加 密�����,在調用客戶程序時向第三方認證服務器發(fā)出認證請求,再接收到認證響應 后獲得認證服務器返回的密匙�����,再將密匙與IP對應關系進行加密���。除了這兩種 加密方法在實際應用中還可以根據安全程度采用其他的加密方法�。
步驟S108��,生成安全ARP響應消息�。本實施例采用上述的對OP字段擴充 來進行安全標識,根據上述操作類型和對應值的定義���,將加密的ARP響應消息 生成為安全ARP響應消息����,即將OP字段標識為安全ARP應答(6 )�����。
步驟S109,向所述ARP請求的第一設備發(fā)送安全ARP響應����。第二設備將 帶有加密之后并含有安全標識的安全ARP響應消息直接發(fā)送給第一設備���,因為 已經在安全ARP請求消息獲得了第一設備的IP-MAC地址映射關系�����,所以這里
第二設備可以直接將安全ARP響應發(fā)送給第一設備����。
步驟SllO,第一設備接收到第二設備的ARP響應消息�����。
步驟Slll,判斷所述ARP響應消息中是否攜帶有安全標識���。如果識別出該
請求含有安全標識的OP字段����,即含有標識為安全ARP應答(6 )的OP字段�,
則判斷為安全ARP響應消息,則進入后續(xù)的處理步驟�����;否則判斷為非安全ARP
響應,進入普通的ARP過程或者不作響應�����。
步驟S112,解密所述ARP響應消息的地址字段����。在步驟Slll判斷為安全
ARP響應后進入步驟S112,對該消息的加密部分進行相應的解密�。如果解密正
確,則進入后續(xù)的處理步驟��;如果解密镅-誤����,則不作響應。
步驟S113,客戶程序通過安全IP接口以及安全ARP接口獲得所述解密獲
取的目標設備的地址����。安全IP通過安全ARP接口獲得目標設備的MAC地址信
息,可以進行進一步的通訊����,這樣其他的程序的將無法使用第二設備的IP-MAC
地址映射關系信息�。
本實施例采用對OP字段進行安全標識����,但并不僅限于此,參見圖3��,還可
以以同樣的方式對幀類型�����、硬件類型或者協議類型等進行安全標識���。本實施例
中的第一設備和第二設備在判斷出不是安全ARP交互消息時可以進行普通的
ARP交互。
本發(fā)明實施例在通過對本端i殳備地址和需請求的目標i殳備的地址進行加密 和生成安全ARP請求消息��,使得IP-MAC地址映射關系不能通過明文獲得���,而 且通過對信息的加密使設備的IP-MAC地址映射關系信息受到有效的保護�����,避 免該設備受到其他設備的攻擊����;而在后續(xù)的通訊時,同一設備上的程序只能通 過安全IP的專用接口����,才能訪問ARP緩存表,這樣這臺設備的其他程序就無法 利用ARP緩存表的存儲內容對其他設備進行攻擊����。本發(fā)明的實現方法在滿足現 有技術采用防火墻的方案能夠有效保護網絡設備和維護網絡安全的同時,具有 比所述防火墻的方案簡便���,有效降低成本�,節(jié)約資源的優(yōu)點��。
以上所列舉的僅為本發(fā)明的較佳實施例而已���,當然不能以此來限定本發(fā)明 之權利范圍���,因此依本發(fā)明權利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范 圍��。
權利要求
1����、一種安全ARP的實現方法�����,其特征在于���,該方法至少包括以下步驟對本端設備地址和需請求的目標設備的地址進行加密;生成安全ARP請求消息����,所述消息中攜帶有安全標識和所述加密后的地址信息;通過所述安全ARP請求消息向網絡中廣播安全ARP請求�。
2�����、 如權利要求1所述的安全ARP的實現方法����,其特征在于,該方法還進 一步包括在接收到目標設備的ARP響應消息后�,解密所述ARP響應消息的地址字段, 獲取所述目標設備的地址���。
3�、 如權利要求2所述的安全ARP的實現方法,其特征在于�����,在接收到目 標設備的ARP響應消息后����,還進一步包括判斷所述ARP響應消息中是否攜帶有安全標識,如果判斷為是���,則解密所 述ARP響應消息的地址字段����,獲取所述目標設備的地址��。
4�����、 如權利要求2或3所述的安全ARP的實現方法���,其特征在于���,該方法 還進一步包括客戶程序通過安全IP接口以及安全ARP接口獲得所述解密獲取的目標設備 的地址����。
5����、 一種安全ARP的實現方法,其特征在于���,該方法至少包括以下步驟 接收安全ARP請求����,并解密所述安全APR請求的地址字段�; 解密完成后,將本端設備的地址信息以及源請求設備的地址信息進行加密�; 生成安全ARP響應消息���,所述消息中攜帶有安全標識和所述加密后的地址通過所述安全ARP響應消息向所述ARP請求的源設備發(fā)送安全ARP響應���。
6、 如權利要求5所述的安全ARP的實現方法�,其特征在于,在接收到安 全ARP請求消息后,還進一步包括判斷所述ARP請求消息中是否攜帶有安全標識�����,如果判斷為是���,則解密所 述ARP請求消息的地址字段����,獲取所述ARP請求的源設備的地址以及需請求的 地址���。
7���、 一種網絡設備,其特征在于�,包括加密單元,用于對本端i殳備地址和需i貪求的目標設備的地址進行加密�; 生成單元,用于生成安全ARP請求消息��,所述消息中攜帶有安全標識和所 述加密后的地址信息��;發(fā)送單元�,用于通過所述安全ARP請求消息向網絡中廣播安全ARP請求。
8、 如權利要求7所述的網絡設備�,其特征在于,所述網絡設備還包括 接收單元���,用于接收目標設備的ARP響應消息�����;解密單元���,用于解密所述接收單元接收到的ARP響應消息的地址字段,獲 取所述目標i殳備的地址�����。
9��、 如權利要求8所述的網絡設備�����,其特征在于�,所述網絡設備還包括 判斷單元���,用于判斷所述接收單元接收到的ARP響應消息中是否攜帶有安全標識��,當判斷結果為是時�����,向所述解密單元輸出肯定的判斷結果����;相應的,所述解密單元接收所述肯定的判斷結果后����,解密所述接收單元接 收到的ARP響應消息的地址字段,獲取所述目標設備的地址�。
10、 如權利要求8或9所述的網絡設備���,其特征在于����,所述網絡設備還包括請求單元�����,用于發(fā)起目標設備訪問請求;安全接口單元����,用于向所述請求單元發(fā)送所述解密單元解密后的目標設備 地址信息。
11��、 如權利要求IO所述的網絡設備���,其特征在于�,所述安全接口單元包括安全IP接口單元或安全ARP接口單元���。
12�、 一種網絡設備���,其特征在于�����,包括 接收單元���,接收安全ARP請求;解密單元����,用于解密所述接收單元接收到的安全APR請求的地址字段;加密單元���,用于在所述解密單元解密完成后�����,將本端設備的地址信息以及 源請求設備的地址信息進行加密��;生成單元���,用于生成安全ARP響應消息,所述消息中攜帶有安全標識和所 述加密后的地址信息���;發(fā)送單元��,用于通過所述安全ARP響應消息向所述ARP請求的源設備發(fā)送 安全ARP響應����。
13����、如權利要求12所述的網絡設備�����,其特征在于�����,所述網絡設備還包括 判斷單元����,用于判斷所述接收單元接收到的ARP請求消息中是否攜帶有安全標識�,如果判斷為是,則向所述解密單元輸出肯定的判斷結果���;相應的���,所述解密單元接收所述肯定的判斷結果后,解密所述接收單元接收到的ARP響應消息的地址字段�,獲取所述目標設備的地址。
全文摘要
本發(fā)明實施例公開了一種安全ARP的實現方法及網絡設備�。其中,安全ARP的實現方法包括對本端設備地址和需請求的目標設備的地址進行加密���;生成安全ARP請求消息����,所述消息中攜帶有安全標識和所述加密后的地址信息;通過所述安全ARP請求消息向網絡中廣播安全ARP請求���。本發(fā)明實施例在通過上述的方法使得IP-MAC地址映射關系不能通過明文獲得,而且通過對信息的加密使設備的IP-MAC地址映射關系信息受到有效的保護��,避免該設備受到其他設備的攻擊�����;本發(fā)明的實現方法和現有技術采用防火墻的方案均可有效保護網絡設備和維護網絡安全�,但是本發(fā)明實現方法具有比所述防火墻的方案簡便,有效降低成本����,節(jié)約資源的優(yōu)點。
文檔編號H04L29/06GK101197828SQ20071003286
公開日2008年6月11日 申請日期2007年12月25日 優(yōu)先權日2007年12月25日
發(fā)明者虹 胡 申請人:華為技術有限公司