国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法及其系統(tǒng)的制作方法

      文檔序號(hào):7657738閱讀:145來(lái)源:國(guó)知局

      專利名稱::防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法及其系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      :本發(fā)明涉及數(shù)據(jù)通信網(wǎng)絡(luò),特別涉及數(shù)據(jù)通信網(wǎng)絡(luò)的通信安全,具體地講涉及一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法及其系統(tǒng)。
      背景技術(shù)
      :目前,局域網(wǎng)中通過(guò)地址解析協(xié)議(ARP:AddressResolutionProtocol)將IP地址轉(zhuǎn)換為二層物理地址,即媒體訪問(wèn)控制(MAC:MediaAccessControl)地址。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?幀",幀里有目標(biāo)主機(jī)的MAC地址。在以太網(wǎng)中,一個(gè)主機(jī)要與另一個(gè)主機(jī)直接通信,必須獲知目標(biāo)主機(jī)的MAC地址,此目標(biāo)主機(jī)的MAC地址通過(guò)地址解析協(xié)議ARP獲得。所謂"地址解析"就是主機(jī)在發(fā)送"幀"之前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。在每臺(tái)主機(jī)中都有一個(gè)地址解析協(xié)議ARP緩存表,表內(nèi)的IP地址與MAC地址--對(duì)應(yīng),如表一所示表一<table>complextableseeoriginaldocumentpage9</column></row><table>下面以主機(jī)A(192.168.203.4)向主機(jī)B(192.168.203.5)發(fā)送數(shù)據(jù)為例進(jìn)行說(shuō)明。當(dāng)發(fā)送數(shù)據(jù)時(shí),主機(jī)A會(huì)在自己的ARP緩存表中尋找是否存在目標(biāo)IP地址。如果存在,則直接把該目標(biāo)IP地址所對(duì)應(yīng)的MAC地址作為目標(biāo)MAC地址寫(xiě)入幀里面,然后發(fā)出該幀。如果在ARP緩存表中不存在對(duì)應(yīng)的IP地址,主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播,目標(biāo)MAC地址是"FF.FF.FF.FF.FF.FF",這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)-"192.168.203.5的MAC地址是什么",網(wǎng)絡(luò)上的其它主機(jī)并不響應(yīng)ARP詢問(wèn),只有主機(jī)B接收到這個(gè)幀時(shí),才向主機(jī)A做出這樣的回應(yīng)"192.168.203.5的MAC地址是bb-bb-bb-bb-bb-bb"。通過(guò)這種方式,主機(jī)A可獲得主機(jī)B的MAC地址,主機(jī)A就可向主機(jī)B發(fā)送信息。同時(shí)主機(jī)A還進(jìn)行自學(xué)習(xí),更新其ARP緩存表,當(dāng)主機(jī)A再向主機(jī)B發(fā)送信息時(shí),可從ARP緩存表里直接查找MAC地址。ARP緩存表采用老化機(jī)制,在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用,該行的數(shù)據(jù)就會(huì)被刪除,這樣可以大大減少ARP緩存表的長(zhǎng)度,加快查詢速度。但是,因?yàn)樯鲜龅刂方馕龊妥詫W(xué)習(xí)動(dòng)態(tài)進(jìn)行,所以網(wǎng)絡(luò)中存在著利用該特性進(jìn)行欺騙的現(xiàn)象,例如,主要是通過(guò)發(fā)送虛假的IP,MAC映射關(guān)系,以達(dá)到欺騙目的主機(jī)或者網(wǎng)絡(luò)設(shè)備的目的。通過(guò)該方式,就能夠竊取或者阻斷該用戶的報(bào)文通信。以下分別對(duì)現(xiàn)有技術(shù)中存在的ARP欺騙攻擊方式進(jìn)行詳細(xì)說(shuō)明。第一種局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙如圖1所示,主機(jī)A101,其IP地址表示為IPA,MAC地址標(biāo)識(shí)為MACA;主機(jī)B102,其IP地址表示為IPB,MAC地址標(biāo)識(shí)為MACB;主機(jī)C103,其IP地址表示為IPC,MAC地址標(biāo)識(shí)為MACC。主機(jī)AIOI與網(wǎng)關(guān)C103通信時(shí),需要知道網(wǎng)關(guān)C103的MAC地址,如果主機(jī)B102假冒網(wǎng)關(guān)C103時(shí),告訴主機(jī)AIOI網(wǎng)關(guān)C103的MAC地址是MACB,或者干脆告訴主機(jī)AIOI,網(wǎng)關(guān)C103的MAC地址是MACX。這樣,主機(jī)A101就受騙了,主機(jī)AIOI的數(shù)據(jù)就無(wú)法發(fā)送到網(wǎng)關(guān)C103,造成主機(jī)A101上網(wǎng)斷線。例如,主機(jī)B102發(fā)送ARP欺騙報(bào)文給主機(jī)AlOl,則主機(jī)A101在ARP表中保存了網(wǎng)關(guān)C103的IP地址IPC,但是MAC地址卻是MACB。當(dāng)主機(jī)AIOI要同網(wǎng)關(guān)C103進(jìn)行通信時(shí),例如上網(wǎng),則主機(jī)AIOI通過(guò)網(wǎng)關(guān)C103的IP地址IPC檢索到相應(yīng)的MAC地址MACB,則主機(jī)A101就無(wú)法同真正的網(wǎng)關(guān)C通信,因?yàn)樗械木W(wǎng)絡(luò)報(bào)文都被發(fā)送到主機(jī)B102的網(wǎng)卡了。這樣,主機(jī)B就實(shí)現(xiàn)了對(duì)主機(jī)A的網(wǎng)關(guān)欺騙。第二種局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)網(wǎng)絡(luò)通信是一個(gè)雙向的過(guò)程,也就是說(shuō),只有保證主機(jī)AIOI到網(wǎng)關(guān)CIO3,以及網(wǎng)關(guān)C103到主機(jī)A101都沒(méi)有問(wèn)題,才能保證通信正常。假如,主機(jī)B102冒充主機(jī)A101,且告訴網(wǎng)關(guān)C103主機(jī)A的MAC地址是MACB,網(wǎng)關(guān)就受騙了。那么,主機(jī)AIOI到網(wǎng)關(guān)C103沒(méi)有問(wèn)題,可是,網(wǎng)關(guān)C103的報(bào)文到不了主機(jī)AIOI,因而造成網(wǎng)絡(luò)斷線。例如,如圖1所示,合法主機(jī)A101通過(guò)網(wǎng)關(guān)C103與外界通信,在網(wǎng)關(guān)C103上建立動(dòng)態(tài)ARP表項(xiàng)IPA-MACA。攻擊者主機(jī)B102偽造合法主機(jī)A101的ARP,假設(shè)其偽造的IP地址為IPA,而MAC地址為MACB或其它無(wú)效MAC地址,當(dāng)網(wǎng)關(guān)C103收到主機(jī)B102的ARP報(bào)文后,根據(jù)該報(bào)文學(xué)習(xí)到IP地址為IPA對(duì)應(yīng)的MAC地址為MACB,從而修改ARP表項(xiàng),即主機(jī)B102通過(guò)偽造的ARP報(bào)文篡改網(wǎng)關(guān)C103上的主機(jī)A101對(duì)應(yīng)的ARP表項(xiàng),這樣,網(wǎng)關(guān)C103收到需要發(fā)送主機(jī)AIOI的報(bào)文后,根據(jù)該篡改后的ARP表項(xiàng)就會(huì)發(fā)送至主機(jī)B102,從而使網(wǎng)關(guān)C103與主機(jī)B102的通信失敗。第三種ARP泛洪攻擊該攻擊能夠通過(guò)不斷的往網(wǎng)關(guān)設(shè)備發(fā)送不同IP(帶有虛假M(fèi)AC地址)的ARP欺騙報(bào)文,使網(wǎng)關(guān)設(shè)備的ARP表項(xiàng)耗盡,從而使網(wǎng)關(guān)設(shè)備不再具有ARP學(xué)習(xí)能力,達(dá)到ARP欺騙攻擊的目的。以上幾種ARP欺騙攻擊,尤其是第二種類(lèi)型的欺騙,目前更為常見(jiàn)。在現(xiàn)有技術(shù)中,針對(duì)ARP欺騙攻擊,目前主要的保護(hù)方法有以下兩種現(xiàn)有技術(shù)一發(fā)送免費(fèi)ARP由交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備,不停地向局域網(wǎng)以廣播方式發(fā)送ARP響應(yīng)報(bào)文,使局域網(wǎng)中的個(gè)人PC不停地刷新自己的網(wǎng)關(guān)IP、MAC對(duì)應(yīng)關(guān)系。使用這種方式,能夠緩解局域網(wǎng)中主機(jī)冒充網(wǎng)關(guān)進(jìn)行的ARP欺騙,即告訴將要被欺騙的主機(jī)一個(gè)假的網(wǎng)關(guān)MAC地址。雖然現(xiàn)有技術(shù)一能夠緩解局域網(wǎng)中主機(jī)冒充網(wǎng)關(guān)進(jìn)行的ARP欺騙,即告訴將要被欺騙的主機(jī)一個(gè)假的網(wǎng)關(guān)MAC地址,但是上述方式還存在以下缺點(diǎn)如果局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙的頻率高于免費(fèi)ARP的廣播,則還是無(wú)法避免局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙。如果提高免費(fèi)ARP的發(fā)送頻率,則最終將導(dǎo)致局域網(wǎng)中充滿了免費(fèi)ARP報(bào)文,嚴(yán)重影響網(wǎng)絡(luò)的報(bào)文轉(zhuǎn)發(fā)和傳輸。同時(shí),使用這種方式無(wú)法解決局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)的問(wèn)題。現(xiàn)有技術(shù)二靜態(tài)配置地址解析協(xié)議映射關(guān)系(以下簡(jiǎn)稱靜態(tài)ARP綁定)如上所述,地址解析協(xié)議映射關(guān)系是動(dòng)態(tài)生成的,正因?yàn)槭莿?dòng)態(tài)生成的,所以給惡意攻擊提供了機(jī)會(huì),惡意攻擊者可以發(fā)送虛假的地址解析報(bào)文,使動(dòng)態(tài)生成的地址解析協(xié)議映射關(guān)系是假的。而配置靜態(tài)的地址解析協(xié)議映射關(guān)系,是指由用戶手動(dòng)配置生成IP地址和硬件地址的映射關(guān)系,而這個(gè)關(guān)系不會(huì)隨著時(shí)間的改變,也不會(huì)隨著ARP報(bào)文中所攜帶的信息而改變,靜態(tài)ARP優(yōu)先級(jí)高于動(dòng)態(tài)的地址解析協(xié)議映射。靜態(tài)配置的地址解析協(xié)議映射關(guān)系,雖然可以有效的解決ARP欺騙攻擊造成的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)被阻斷的問(wèn)題,但是,現(xiàn)有技術(shù)二的缺點(diǎn)在于靜態(tài)配置的地址解析協(xié)議映射關(guān)系必須要由人工生成,需要維護(hù)大量的IP地址和MAC地址映射,并且還具有以下問(wèn)題1)對(duì)于大規(guī)模的網(wǎng)絡(luò)來(lái)說(shuō),由于要維護(hù)的數(shù)據(jù)量巨大,要管理員維護(hù)正確的IP地址和硬件地址映射關(guān)系幾乎是不可操作的。2)靜態(tài)綁定的地址解析協(xié)議映射關(guān)系,無(wú)論是在個(gè)人PC還是在網(wǎng)關(guān)設(shè)備上,不管用戶是否使用網(wǎng)絡(luò),是否在線均會(huì)占用相應(yīng)的ARP表項(xiàng)。由于使用地址解析協(xié)議的設(shè)備允許配置的靜態(tài)綁定地址有限,導(dǎo)致靜態(tài)綁定的地址解析表項(xiàng)可能無(wú)法覆蓋網(wǎng)絡(luò)中的所有設(shè)備地址。3)當(dāng)網(wǎng)絡(luò)中的拓?fù)浠蛘呔W(wǎng)卡等設(shè)備發(fā)生變更,如網(wǎng)關(guān)設(shè)備發(fā)生變更、個(gè)人PC的網(wǎng)絡(luò)拓?fù)?,網(wǎng)卡硬件地址發(fā)生變更,均需要重新進(jìn)行靜態(tài)地址解析協(xié)議的映射,對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō),維護(hù)的工作量將是巨大的。4)當(dāng)前,越來(lái)越多的網(wǎng)關(guān)設(shè)備采用將第一次學(xué)習(xí)到的IP、MAC、端口等信息作為正確的信息進(jìn)行靜態(tài)綁定,但是使用這種方式學(xué)習(xí)到的信息是不可靠的,有可能導(dǎo)致更加嚴(yán)重的ARP欺騙后果,即如果靜態(tài)綁定了錯(cuò)誤的信息,則用戶完全無(wú)法上網(wǎng),除非在網(wǎng)關(guān)設(shè)備手動(dòng)進(jìn)行刪除該靜態(tài)綁定,個(gè)人PC即使是重新進(jìn)行ARP動(dòng)態(tài)更新也沒(méi)有作用。5)使用靜態(tài)綁定地址解析協(xié)議映射關(guān)系,最多只能夠使惡意的ARP攻擊報(bào)文失效,但是還是無(wú)法杜絕ARP欺騙報(bào)文在網(wǎng)絡(luò)中傳播,影響網(wǎng)絡(luò)帶寬、用戶網(wǎng)絡(luò)使用和網(wǎng)絡(luò)設(shè)備性能。'
      發(fā)明內(nèi)容-本發(fā)明實(shí)施例的目的在于提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法及其系統(tǒng)。通過(guò)本發(fā)明實(shí)施例,可防止局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙,防止局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)和ARP洪泛攻擊。本發(fā)明實(shí)施例提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法,該方法包括當(dāng)主機(jī)接入網(wǎng)絡(luò)時(shí),所述主機(jī)的安全認(rèn)證客戶端通過(guò)網(wǎng)絡(luò)與認(rèn)證計(jì)費(fèi)單元進(jìn)行IX認(rèn)證;認(rèn)證通過(guò)后,認(rèn)證計(jì)費(fèi)單元將獲得的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元,其中該主機(jī)信息至少包括IP地址和MAC地址;安全管理單元判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則所述安全管理單元根據(jù)該網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至所述主機(jī),其中,所述網(wǎng)關(guān)信息至少包括網(wǎng)關(guān)IP地址和MAC地址;所述主機(jī)的安全認(rèn)證客戶端通過(guò)網(wǎng)絡(luò)接收所述網(wǎng)關(guān)信息后,進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定。本發(fā)明實(shí)施例還提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的系統(tǒng),該系統(tǒng)還包括至少一個(gè)主機(jī)、'認(rèn)證計(jì)費(fèi)單元和安全管理單元;其中,所述主機(jī),至少包括安全認(rèn)證客戶端,該安全認(rèn)證客戶端用于發(fā)出ix認(rèn)證請(qǐng)求至所述認(rèn)證計(jì)費(fèi)單元;通過(guò)網(wǎng)絡(luò)接收所述安全管理單元發(fā)送的網(wǎng)關(guān)信息,進(jìn)行所述網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定;所述認(rèn)證計(jì)費(fèi)單元,用于通過(guò)網(wǎng)絡(luò)對(duì)所述主機(jī)進(jìn)行認(rèn)證,獲得主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,并且認(rèn)證通過(guò)后,將所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元;所述安全管理單元,用于接收所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則所述安全管理單元根據(jù)所述網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中査找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至所述主機(jī);其中,所述網(wǎng)關(guān)信息至少包括網(wǎng)關(guān)IP地址和MAC地址。本發(fā)明實(shí)施例的有益效果在于,通過(guò)在主機(jī)綁定正確的網(wǎng)關(guān)IP地址和MAC地址,并且在網(wǎng)關(guān)正確的端口上綁定正確的主機(jī)IP地址和MAC地址,從而徹底的阻止現(xiàn)有技術(shù)中的存在的ARP攻擊的問(wèn)題。此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,并不構(gòu)成對(duì)本發(fā)明的限定。在附圖中-圖1是現(xiàn)有技術(shù)中利用ARP報(bào)文進(jìn)行ARP攻擊的示意圖2是本發(fā)明實(shí)施例的防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的系統(tǒng)結(jié)構(gòu)示意圖3是圖2中的安全管理單元的構(gòu)成示意圖4是本發(fā)明實(shí)施例的防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法的流程示意圖5為本發(fā)明實(shí)施例主機(jī)進(jìn)行1X認(rèn)證流程圖6為本發(fā)明實(shí)施例的交換機(jī)的結(jié)構(gòu)示意圖7為本發(fā)明實(shí)施例的網(wǎng)關(guān)的結(jié)構(gòu)示意圖8為本發(fā)明實(shí)施例的安全認(rèn)證客戶端的結(jié)構(gòu)示意圖。具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下面結(jié)合實(shí)施例和附圖,對(duì)本發(fā)明實(shí)施例做進(jìn)一步詳細(xì)說(shuō)明。在此,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,但并不作為對(duì)本發(fā)明的限定。本發(fā)明實(shí)施例提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊方法和系統(tǒng)。以下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。首先對(duì)本發(fā)明實(shí)施例中的幾個(gè)概念進(jìn)行說(shuō)明1.ARP表項(xiàng)為IP和MAC的映射關(guān)系,即通過(guò)IP地址索引到相應(yīng)的MAC地址。在標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中,ARP表項(xiàng)有兩種類(lèi)型動(dòng)態(tài)ARP表項(xiàng),即能夠通過(guò)ARP請(qǐng)求或者響應(yīng)報(bào)文來(lái)更新IP和MAC的映射關(guān)系;靜態(tài)ARP表項(xiàng),即無(wú)法通過(guò)ARP請(qǐng)求或者響應(yīng)報(bào)文來(lái)更新IP和MAC的映射關(guān)系。2.可信任ARP:可信任ARP也是一種IP和MAC的映射關(guān)系,為本發(fā)明實(shí)施例定義的一類(lèi)特殊ARP,添加在安全網(wǎng)關(guān)的ARP表中。只用于防范ARP欺騙攻擊,該類(lèi)型的IP和MAC映射關(guān)系有不能被ARP請(qǐng)求和響應(yīng)報(bào)文動(dòng)態(tài)更新,能夠被靜態(tài)ARP覆蓋的特性。因此,可信任ARP同時(shí)具有靜態(tài)ARP和動(dòng)態(tài)ARP兩者的特征,其優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng),并且低于靜態(tài)ARP表項(xiàng)。可信任ARP具有類(lèi)似于動(dòng)態(tài)ARP的老化機(jī)制通過(guò)記錄和刷新每個(gè)表項(xiàng)的老化時(shí)間來(lái)判斷該表項(xiàng)是否需要老化??尚湃蜛RP具有靜態(tài)ARP的相關(guān)特征,即不被動(dòng)態(tài)ARP所覆蓋。3.IX認(rèn)證主機(jī)安全接入交換機(jī)和認(rèn)證計(jì)費(fèi)單元使用802.lx和Radius協(xié)議進(jìn)行用戶網(wǎng)絡(luò)接入認(rèn)證和計(jì)費(fèi)。在主機(jī)進(jìn)行認(rèn)證的過(guò)程交換機(jī)和認(rèn)證計(jì)費(fèi)單元均能夠獲取主機(jī)的IP地址,MAC地址和網(wǎng)關(guān)IP地址。實(shí)施例一本發(fā)明實(shí)施例提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的系統(tǒng),如圖2所示,該系統(tǒng)還包括至少一個(gè)主機(jī)、認(rèn)證計(jì)費(fèi)單元204和安全管理單元205;其中,主機(jī),至少包括安全認(rèn)證客戶端,該安全認(rèn)證客戶端用于發(fā)出IX認(rèn)證請(qǐng)求至認(rèn)證計(jì)費(fèi)單元204;通過(guò)網(wǎng)絡(luò)接收安全管理單元205發(fā)送的網(wǎng)關(guān)信息,進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定;認(rèn)證計(jì)費(fèi)單元204,用于通過(guò)網(wǎng)絡(luò)對(duì)主機(jī)進(jìn)行認(rèn)證,獲得主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,并且在認(rèn)證通過(guò)后,將主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元205;安全管理單元205,用于接收主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則安全管理單元205根據(jù)該主機(jī)所在網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至主機(jī);其中,網(wǎng)關(guān)信息至少包括網(wǎng)關(guān)IP地址和MAC地址;上述實(shí)施例中,如果主機(jī)和認(rèn)證計(jì)費(fèi)單元204同在一個(gè)子網(wǎng)的情況下,則主機(jī)在認(rèn)證時(shí)不需要經(jīng)過(guò)網(wǎng)關(guān),本實(shí)施例中,主機(jī)可通過(guò)交換機(jī)202直接與認(rèn)證計(jì)費(fèi)單元204進(jìn)行認(rèn)證,如圖2所示。另外,上述實(shí)施例中,如果認(rèn)證計(jì)費(fèi)單元204同主機(jī)不在同一個(gè)子網(wǎng)的情況下,則進(jìn)行認(rèn)證時(shí),交換機(jī)202使用的RADIUS報(bào)文需要通過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)到認(rèn)證計(jì)費(fèi)單元204上。此時(shí)網(wǎng)關(guān)203起到路由的作用,該路由作用同具體認(rèn)證沒(méi)有關(guān)系,網(wǎng)關(guān)起的作用就是將報(bào)文轉(zhuǎn)發(fā)到正確的子網(wǎng)。對(duì)于網(wǎng)關(guān)203來(lái)說(shuō),RADIUS只是普通的UDP報(bào)文。因此,在這種情況下,該系統(tǒng)還包括網(wǎng)關(guān)203。以下以認(rèn)證計(jì)費(fèi)單元204與主機(jī)屬于同一個(gè)子網(wǎng)的情況進(jìn)行說(shuō)明。因此,該系統(tǒng)還包括交換機(jī)202,至少包括1X認(rèn)證單元,該1X認(rèn)證單元與主機(jī)和認(rèn)證計(jì)費(fèi)單元204連接,用于接收主機(jī)的安全認(rèn)證客戶端發(fā)出的認(rèn)證請(qǐng)求,啟動(dòng)認(rèn)證過(guò)程,在認(rèn)證過(guò)程中所述認(rèn)證計(jì)費(fèi)單元204通過(guò)該交換機(jī)202與主機(jī)進(jìn)行信息交互;并且認(rèn)證過(guò)程中,學(xué)習(xí)主機(jī)信息,其中主機(jī)信息至少包括IP地址和MAC地址。本實(shí)施例中,如圖2所示,主機(jī)為多個(gè),如主機(jī)A201a和主機(jī)B201b,每個(gè)主機(jī)都安裝有安全認(rèn)證客戶端,并且當(dāng)主機(jī)的安全認(rèn)證客戶端接收到安全管理單元205發(fā)送的網(wǎng)關(guān)信息時(shí),進(jìn)行靜態(tài)ARP綁定。其中,本實(shí)施例中,安全認(rèn)證客戶端在進(jìn)行靜態(tài)ARP綁定時(shí),因?yàn)榭紤]到主機(jī)對(duì)于ARP報(bào)文的處理時(shí)通過(guò)操作系統(tǒng)的ARP協(xié)議進(jìn)行的,所以將靜態(tài)ARP綁定到主機(jī)的Windows操作系統(tǒng)的存儲(chǔ)單元的ARP表中。同時(shí),為了進(jìn)行靜態(tài)ARP綁定的檢査,安全認(rèn)證客戶端也將網(wǎng)關(guān)的IP和MAC映射關(guān)系放到該安全認(rèn)證客戶端的ARP表中,而且類(lèi)型是靜態(tài)的,以避免該IP和MAC的對(duì)應(yīng)關(guān)系被ARP攻擊報(bào)文動(dòng)態(tài)更新,以達(dá)到防范ARP攻擊的目的。如表1所示,為IP和MAC的映射關(guān)系<table>complextableseeoriginaldocumentpage17</column></row><table>表l中static類(lèi)型就是靜態(tài)綁定,無(wú)法被動(dòng)態(tài)更新。dynamic就是能夠動(dòng)態(tài)被ARP攻擊報(bào)文更新。若主機(jī)A201a認(rèn)證通過(guò)后,認(rèn)證計(jì)費(fèi)單元204發(fā)送該主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址給安全管理單元205,安全管理單元205判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則下發(fā)該用戶所對(duì)應(yīng)的網(wǎng)關(guān)IP和區(qū)C地址給主機(jī)A201a,由主機(jī)A201a進(jìn)行網(wǎng)關(guān)IP地址、MAC地址的ARP靜態(tài)綁定。通過(guò)在主機(jī)A201a進(jìn)行網(wǎng)關(guān)的靜態(tài)ARP綁定,使用這種靜態(tài)ARP綁定方式,能夠防止局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙。本實(shí)施例中,該靜態(tài)ARP綁定為主機(jī)自動(dòng)進(jìn)行的靜態(tài)綁定,該綁定是自動(dòng)進(jìn)行的,并且該網(wǎng)關(guān)信息能夠自動(dòng)更新,每次主機(jī)接入網(wǎng)絡(luò)時(shí),都會(huì)進(jìn)行自動(dòng)的靜態(tài)ARP綁定,相對(duì)于以往的手動(dòng)綁定并且需要手動(dòng)更新的方式,本發(fā)明上述實(shí)施例的自動(dòng)靜態(tài)ARP綁定不需要主機(jī)用戶的干預(yù),并且綁定的網(wǎng)關(guān)信息由安全管理單元204下發(fā),完全可靠。如圖3所示,安全管理單元205至少包括接收單元301、靜態(tài)ARP綁定通知單元302;其中,接收單元301,用于接收認(rèn)證計(jì)費(fèi)單元204發(fā)送的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,并判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則傳送所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址至靜態(tài)ARP綁定通知單元302;靜態(tài)ARP綁定通知單元302,用于根據(jù)所述網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息通過(guò)網(wǎng)絡(luò),本發(fā)明實(shí)施例中,通過(guò)交換機(jī)202傳送至主機(jī)A201a。如圖3所示,安全管理單元205還包括安全網(wǎng)關(guān)配置單元305和存儲(chǔ)單元304;其中,安全網(wǎng)關(guān)配置單元305,用于配置所要管理的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息存儲(chǔ)于存儲(chǔ)單元304中;其中,該網(wǎng)關(guān)MAC地址可為管理員手動(dòng)配置,但不限于此,并且還可以采用如下方式,如管理員在安全管理單元上添加安全網(wǎng)關(guān)的IP地址,并且通過(guò)網(wǎng)絡(luò)協(xié)議從安全網(wǎng)關(guān)上獲取到該安全網(wǎng)關(guān)的區(qū)C地址,然后保存在存儲(chǔ)單元304中;存儲(chǔ)單元304,用于儲(chǔ)存安全網(wǎng)關(guān)配置單元305配置的所述網(wǎng)關(guān)信息,并且儲(chǔ)存接收單元301傳送的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址。本實(shí)施例中,存儲(chǔ)單元304將接收到的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址儲(chǔ)存在該存儲(chǔ)單元304中的數(shù)據(jù)庫(kù)表中,如表2所示表2<table>complextableseeoriginaldocumentpage19</column></row><table>本實(shí)施中,配置網(wǎng)關(guān)信息時(shí),管理員在安全管理單元205上添加網(wǎng)關(guān)的IP地址,并且通過(guò)網(wǎng)絡(luò)協(xié)議從該網(wǎng)關(guān)上獲取該網(wǎng)關(guān)對(duì)應(yīng)的網(wǎng)關(guān)MAC地址,或者手動(dòng)輸入網(wǎng)關(guān)MAC地址,然后保存在安全管理單元205的存儲(chǔ)單元304的數(shù)據(jù)庫(kù)表中,如表3所示。表3<table>complextableseeoriginaldocumentpage19</column></row><table><table>complextableseeoriginaldocumentpage20</column></row><table>本發(fā)明實(shí)施例中,如圖2所示,該系統(tǒng)還包括網(wǎng)關(guān)203,與交換機(jī)202和安全管理單元205連接;其中,如圖3所示,安全管理單元205還包括可信任ARP操作單元303,該可信任ARP操作單元303與接收單元301連接,用于接收該接收單元301傳送的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,根據(jù)該主機(jī)所在網(wǎng)關(guān)的IP地址,將該主機(jī)信息發(fā)送至相應(yīng)的網(wǎng)關(guān)203;網(wǎng)關(guān)203,用于接收主機(jī)信息,判斷是否進(jìn)行綁定操作類(lèi)型,若判斷的結(jié)果為是,則進(jìn)行該主機(jī)IP地址和MAC地址的綁定,此綁定的類(lèi)型為可信任ARP綁定。若所述接收單元301判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型為離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型,則刪除存儲(chǔ)單元304中儲(chǔ)存的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址;并且發(fā)送該主機(jī)的主機(jī)信息至所述網(wǎng)關(guān)203;網(wǎng)關(guān)203接收主機(jī)信息,判斷是否進(jìn)行綁定刪除操作類(lèi)型,若判斷結(jié)果為是,則網(wǎng)關(guān)203刪除該主機(jī)IP地址和MAC地址的綁定,即刪除該主機(jī)對(duì)應(yīng)的可信任ARP綁定,即存在于ARP表中的IP地址和MAC地址的映射關(guān)系。本實(shí)施例中,網(wǎng)關(guān)203相應(yīng)的端口,即接入主機(jī)間接(通過(guò)網(wǎng)線或其它網(wǎng)絡(luò)設(shè)備)或直接(通過(guò)網(wǎng)線)同網(wǎng)關(guān)連接的端口進(jìn)行主機(jī)的IP地址、MAC地址的綁定為可信任的ARP綁定,該綁定自動(dòng)進(jìn)行,而且綁定的是可信任的ARP綁定,并且綁定的主機(jī)IP地址和MAC地址是可靠的,通過(guò)此方式可防止局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)。此方式同主機(jī)靜態(tài)ARP綁定相結(jié)合,能夠達(dá)到雙綁定的效果。在上述實(shí)施例中,安全管理單元205判斷接收的該主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址的信息類(lèi)型時(shí),采用上線標(biāo)識(shí)或下線標(biāo)識(shí)進(jìn)行判斷,該上線標(biāo)識(shí)或下線標(biāo)識(shí)與主機(jī)信息和該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)IP地址一起由認(rèn)證計(jì)費(fèi)單元204傳送至安全管理單元205中,本實(shí)施例中由接收單元301根據(jù)該上線標(biāo)識(shí)或下線標(biāo)識(shí)進(jìn)行判斷,若為上線標(biāo)識(shí),則說(shuō)明該信息類(lèi)型為接入網(wǎng)絡(luò)的信息類(lèi)型,若為下線標(biāo)識(shí),則說(shuō)明該信息類(lèi)型為離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型。圖6為本發(fā)明實(shí)施例的交換機(jī)的構(gòu)成示意圖。如圖6所示,交換機(jī)202至少包括1X認(rèn)證單元605,用于接收所述主機(jī)發(fā)出的認(rèn)證請(qǐng)求,啟動(dòng)認(rèn)證過(guò)程,并在認(rèn)證過(guò)程中與認(rèn)證計(jì)費(fèi)單元204和主機(jī)進(jìn)行信息交互,并且在認(rèn)證成功后學(xué)習(xí)主機(jī)信息。此外,如圖6所示,該交換機(jī)202還包括信息操作單元606,與1X認(rèn)證單元605連接,接收IX認(rèn)證單元605傳送的主機(jī)信息和端口信息并傳送至存儲(chǔ)單元607。該交換機(jī)202還包括存儲(chǔ)單元607,儲(chǔ)存信息綁定表,用于接收信息操作單元傳送的所述主機(jī)信息和該端口信息,并將所述主機(jī)信息和該端口信息存入所述信息綁定表中。另外,在主機(jī)離開(kāi)網(wǎng)絡(luò),即主機(jī)下線時(shí),該IX認(rèn)證單元605進(jìn)行主機(jī)下線處理,并將相應(yīng)的主機(jī)信息和端口信息發(fā)送給信息操作單元606,該信息操作單元606將該主機(jī)信息和端口信息從存儲(chǔ)單元607中的信息綁定表中刪除。該交換機(jī)202還包括過(guò)濾單元603和報(bào)文轉(zhuǎn)發(fā)單元604;其中,過(guò)濾單元603,與存儲(chǔ)單元607連接,根據(jù)存儲(chǔ)單元607存儲(chǔ)的端口信息獲取相應(yīng)的主機(jī)信息,將接收到的ARP報(bào)文中源IP地址和源MAC地址與所獲取的主機(jī)信息進(jìn)行比較,若比較結(jié)果不一致,則丟棄該ARP報(bào)文;若比較結(jié)果一致,則將該ARP報(bào)文送入報(bào)文轉(zhuǎn)發(fā)單元604;報(bào)文轉(zhuǎn)發(fā)單元604,與過(guò)濾單元603相連接,接收過(guò)濾單元603傳送的ARP報(bào)文,并發(fā)送該ARP報(bào)文至相應(yīng)的端口。上述實(shí)施例中,通過(guò)設(shè)置ARP過(guò)濾單元603來(lái)過(guò)濾從認(rèn)證口發(fā)送上來(lái)的ARP欺騙報(bào)文。如圖6所示,交換機(jī)202還包括ARP限速單元601和ARP數(shù)據(jù)單元602;其巾,ARP限速單元603,用于接收ARP報(bào)文,檢查該ARP報(bào)文處理速率是否超過(guò)限制值,若檢查的結(jié)果為超過(guò),則直接丟棄該ARP報(bào)文;若檢查的結(jié)果為未超過(guò),則將該ARP報(bào)文送入ARP數(shù)據(jù)單元602;ARP數(shù)據(jù)單元602,與ARP限速單元601和603過(guò)濾單元連接,用于接收ARP限速單元601傳送的報(bào)文,并將該ARP報(bào)文傳送至ARP過(guò)濾單元603。上述實(shí)施例中,當(dāng)由ARP報(bào)文進(jìn)入時(shí),ARP限速單元601首先檢查ARP報(bào)文處理速率是否己經(jīng)超過(guò)最大限制值,如本實(shí)施例中是否已經(jīng)超過(guò)IOO個(gè)/秒,若超過(guò)則丟棄,通過(guò)該限速功能,可防止由于ARP欺騙攻擊報(bào)文過(guò)多影響網(wǎng)絡(luò)設(shè)備性能。圖7為本發(fā)明實(shí)施例的網(wǎng)關(guān)構(gòu)成示意圖。如圖7所示,網(wǎng)關(guān)203至少包括可信任ARP命令接收單元706、可信任ARP操作單元705和存儲(chǔ)單元704;其中,可信任ARP命令接收單元706,用于接收安全管理單元中的可信任ARP操作單元303傳送的主機(jī)信息;網(wǎng)關(guān)的可信任ARP操作單元705,與可信任ARP命令接收單元706連接,用于接收可信任ARP命令接收單元706傳送的主機(jī)信息,判斷是否為綁定操作類(lèi)型,若為綁定操作類(lèi)型,則將該主機(jī)信息送入存儲(chǔ)單元704中的可信任ARP地址表704b中;若為綁定刪除操作類(lèi)型,則可信任ARP操作單元704將該主機(jī)信息從存儲(chǔ)單元中的可信任ARP地址表704b中刪除;存儲(chǔ)單元704,與可信任ARP操作單元705連接,用于儲(chǔ)存可信任ARP地址表、靜態(tài)ARP地址表和動(dòng)態(tài)ARP地址表。如圖7所示,網(wǎng)關(guān)還包括ARP限速單元701、ARP數(shù)據(jù)單元702和ARP處理單元703;其中,ARP限速單元701,用于接收ARP報(bào)文,檢查該ARP報(bào)文處理速率是否超過(guò)限制值,若檢查的結(jié)果為超過(guò),則直接丟棄該ARP報(bào)文;若檢查的結(jié)果為未超過(guò),則將該ARP報(bào)文送入ARP數(shù)據(jù)單元702;ARP數(shù)據(jù)單元702,用于接收ARP限速單元701傳輸?shù)乃鯝RP報(bào)文,并傳送至ARP處理單元703;ARP處理單元703,用于接收ARP數(shù)據(jù)單元702傳送的ARP報(bào)文,ARP處理單元703以該ARP報(bào)文中的源IP地址為索引到所述靜態(tài)ARP地址表704a中進(jìn)行查詢,若在靜態(tài)ARP地址表704a中存在以該IP地址為索引的靜態(tài)ARP,貝ljARP處理單元703結(jié)束該ARP報(bào)文的處理,不進(jìn)行任何后續(xù)動(dòng)作;若不存在以該IP地址為索引的靜態(tài)ARP,則該ARP處理單元703以該ARP報(bào)文中的源IP地址為索引到所述可信任ARP地址表704b中進(jìn)行査詢,若在可信任ARP地址表704b中存在以該IP地址為索引的可信任ARP,則該ARP處理單元703結(jié)束該ARP報(bào)文的處理;若不存在以該IP地址為索引的可信任ARP,則該ARP處理單元703以該ARP報(bào)文中的源IP地址為索引到所述動(dòng)態(tài)ARP地址表704c中進(jìn)行查詢,若在動(dòng)態(tài)ARP地址表704c中存在以該IP地址為索引的動(dòng)態(tài)ARP,則該ARP處理單元703使用該ARP報(bào)文中的源IP地址和源MAC地址覆蓋該動(dòng)態(tài)ARP,如果不存在以該IP地址為索引的動(dòng)態(tài)ARP,該ARP處理單元703將該ARP報(bào)文中的源IP地址和源MAC地址以動(dòng)態(tài)ARP的類(lèi)型存入動(dòng)態(tài)ARP表704c中。通過(guò)ARP限速單元701的限速功能,可防止由于ARP欺騙攻擊報(bào)文過(guò)多影響網(wǎng)絡(luò)設(shè)備性能。圖8為本發(fā)明實(shí)施例主機(jī)的安全認(rèn)證客戶端的構(gòu)成示意圖。如圖8所示,安全認(rèn)證客戶端至少包括IX認(rèn)證單元801和靜態(tài)ARP操作單元802;其中,1X認(rèn)證單元801,用于發(fā)出1X認(rèn)證請(qǐng)求至所述認(rèn)證計(jì)費(fèi)單元;靜態(tài)ARP操作單元802,通過(guò)網(wǎng)絡(luò)接收所述安全管理單元發(fā)送的網(wǎng)關(guān)信息,進(jìn)行所述網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定,因?yàn)榭紤]到主機(jī)對(duì)于ARP報(bào)文的處理時(shí)通過(guò)操作系統(tǒng)的ARP協(xié)議進(jìn)行的,所以本實(shí)施例中,將靜態(tài)ARP綁定到主機(jī)的Windows操作系統(tǒng)的存儲(chǔ)單元的靜態(tài)ARP綁定表中。在本實(shí)施例中,該安全認(rèn)證客戶端還包括存儲(chǔ)器803,該存儲(chǔ)器803儲(chǔ)存靜態(tài)ARP綁定表,用于接收的所述網(wǎng)關(guān)信息并儲(chǔ)存在所述靜態(tài)綁定表中,以定時(shí)檢查ARP靜態(tài)綁定信息是否被更改。在本實(shí)施例中,安全認(rèn)證客戶端還包括ARP綁定檢查單元804,用于檢査檢測(cè)所綁定的所述網(wǎng)關(guān)網(wǎng)關(guān)信息是否被更改;若檢測(cè)的結(jié)果為被更改,則重新進(jìn)行所述網(wǎng)關(guān)IP地址和MAC地址的綁定。其中,本實(shí)施例中,定時(shí)1分鐘對(duì)存儲(chǔ)器803中儲(chǔ)存的網(wǎng)關(guān)IP地址、MAC地址進(jìn)行檢查,若發(fā)現(xiàn)已經(jīng)綁定到該主機(jī)的Windows操作系統(tǒng)中的網(wǎng)關(guān)IP地址、MAC地址與存儲(chǔ)器803中的IP地址、MAC地址不一致,則重新進(jìn)行一次靜態(tài)綁定。若主機(jī)離開(kāi)網(wǎng)絡(luò),即下線時(shí),靜態(tài)ARP操作單元802還用于刪除綁定的網(wǎng)關(guān)IP地址和MAC地址。此外,若在網(wǎng)關(guān)203上對(duì)可信任ARP的地址空間進(jìn)行了預(yù)留,足夠支持本網(wǎng)絡(luò)的所有主機(jī),以保證交換機(jī)即使遭受"ARP洪泛攻擊",主機(jī)也能夠正常上網(wǎng)。實(shí)施例二本發(fā)明實(shí)施例還提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊方法。以下以實(shí)施例--的系統(tǒng)為例,對(duì)本發(fā)明實(shí)施例的方法進(jìn)行詳細(xì)說(shuō)明。預(yù)備工作管理員通過(guò)安全管理單元205上的安全網(wǎng)關(guān)配置單元305添加網(wǎng)關(guān)的IP地址,并且通過(guò)網(wǎng)絡(luò)協(xié)議從該網(wǎng)關(guān)上獲取該網(wǎng)關(guān)對(duì)應(yīng)的網(wǎng)關(guān)MAC地址,或者手動(dòng)輸入網(wǎng)關(guān)MAC地址,然后保存在安全管理單元205的存儲(chǔ)單元304的數(shù)據(jù)庫(kù)表中,如表3所示。下面以主機(jī)A201a為例進(jìn)行說(shuō)明。該方法包括當(dāng)主機(jī)A201a接入網(wǎng)絡(luò),即主機(jī)A201a上線時(shí),主機(jī)201a的安全認(rèn)證客戶端的1X認(rèn)證單元801通過(guò)交換機(jī)203的IX認(rèn)證單元605與認(rèn)證計(jì)費(fèi)單元204進(jìn)行IX認(rèn)證;認(rèn)證通過(guò)后,認(rèn)證計(jì)費(fèi)單元204將獲得的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元205,其中該主機(jī)信息至少包括IP地址和MAC地址;安全管理單元205接收所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則根據(jù)該網(wǎng)關(guān)的IP地址從存儲(chǔ)單元304中存儲(chǔ)的預(yù)先配置的網(wǎng)關(guān)信息中査找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至主機(jī)A201a,其中,網(wǎng)關(guān)信息至少包括網(wǎng)關(guān)IP地址和MAC地址;其中,安全管理單元205的接收單元301接收所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則根據(jù)該網(wǎng)關(guān)的IP地址從存儲(chǔ)單元304中存儲(chǔ)的預(yù)先配置的網(wǎng)關(guān)信息中査找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息通過(guò)靜態(tài)ARP綁定單元302傳送至主機(jī)A201a的靜態(tài)ARP操作單元802;主機(jī)A201a的安全認(rèn)證客戶端的靜態(tài)ARP操作單元802接收到網(wǎng)關(guān)信息后,進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定,因?yàn)榭紤]到主機(jī)對(duì)于ARP報(bào)文的處理時(shí)通過(guò)操作系統(tǒng)的ARP協(xié)議進(jìn)行的,所以本實(shí)施例中,將靜態(tài)ARP綁定到主機(jī)的Windows操作系統(tǒng)的存儲(chǔ)單元的靜態(tài)ARP綁定表中,而且類(lèi)型是靜態(tài)的,以避免該IP和MAC的對(duì)應(yīng)關(guān)系被ARP攻擊報(bào)文動(dòng)態(tài)更新,以達(dá)到防范ARP攻擊的目的,如表l所示。由上述實(shí)施例可知,若主機(jī)A201a認(rèn)證通過(guò)后,認(rèn)證計(jì)費(fèi)單元204發(fā)送該主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址給安全管理單元205,安全管理單元205判斷接收的該主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址為接入網(wǎng)絡(luò)信息類(lèi)型,則下發(fā)該用戶所對(duì)應(yīng)的網(wǎng)關(guān)IP和MAC地址給主機(jī)A201a,由主機(jī)A201a的靜態(tài)ARP操作單元802進(jìn)行網(wǎng)關(guān)IP地址、MAC地址的ARP靜態(tài)綁定。通過(guò)在主機(jī)A201a進(jìn)行網(wǎng)關(guān)的靜態(tài)ARP綁定,使用這種靜態(tài)ARP綁定方式,能夠防止局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙。本實(shí)施例中,該靜態(tài)ARP綁定為主機(jī)自動(dòng)進(jìn)行的靜態(tài)綁定,該綁定是自動(dòng)進(jìn)行的,并且該網(wǎng)關(guān)信息能夠自動(dòng)更新,每次主機(jī)接入網(wǎng)絡(luò)時(shí),都會(huì)進(jìn)行自動(dòng)的靜態(tài)ARP綁定,相對(duì)于以往的手動(dòng)綁定并且需要手動(dòng)更新的方式,本發(fā)明上述實(shí)施例的自動(dòng)靜態(tài)ARP綁定不需要主機(jī)用戶的干預(yù),并且綁定的網(wǎng)關(guān)信息由安全管理單元204下發(fā),完全可靠。本實(shí)施例中,安全管理單元205的接收單元301判斷接收的該主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址的信息類(lèi)型時(shí),采用上線標(biāo)識(shí)進(jìn)行判斷,該上線標(biāo)識(shí)與主機(jī)信息和該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)IP地址一起由認(rèn)證計(jì)費(fèi)單元204傳送至安全管理單元205中。本實(shí)施例中,安全管理單元205的接收單元301判斷接收到的主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址為接入網(wǎng)絡(luò)信息類(lèi)型后,即接收到上線標(biāo)識(shí)后,還包括步驟儲(chǔ)存所述主機(jī)信息和該網(wǎng)關(guān)的工P地址至存儲(chǔ)單元304中,如表2中。本實(shí)施例中,主機(jī)A201a進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的綁定后,還包括步驟:將網(wǎng)關(guān)IP地址和MAC地址存儲(chǔ)在該安全認(rèn)證客戶端的存儲(chǔ)器803中,該存儲(chǔ)器803儲(chǔ)存靜態(tài)ARP綁定表,用于接收的所述網(wǎng)關(guān)IP地址和MAC地址并儲(chǔ)存在所述靜態(tài)綁定表中,以定時(shí)檢查ARP靜態(tài)綁定信息是否被更改。此外,在本實(shí)施例中,還包括步驟安全認(rèn)證客戶端的ARP綁定檢查單元804,用于檢查檢測(cè)所綁定的所述網(wǎng)關(guān)網(wǎng)關(guān)信息是否被更改;若檢測(cè)的結(jié)果為被更改,則重新進(jìn)行所述網(wǎng)關(guān)IP地址和MAC地址的綁定。其中,本實(shí)施例中,定時(shí)1分鐘對(duì)存儲(chǔ)器803中儲(chǔ)存的網(wǎng)關(guān)IP地址、MAC地址進(jìn)行檢查,若發(fā)現(xiàn)己經(jīng)綁定到該主機(jī)的Windows操作系統(tǒng)中的網(wǎng)關(guān)IP地址、MAC地址與存儲(chǔ)器803中的IP地址、MAC地址不一致,則重新進(jìn)行一次靜態(tài)綁定。其中,主機(jī)A201a定時(shí)對(duì)該靜態(tài)綁定進(jìn)行檢測(cè),以防止一些木馬程序以合法的方式對(duì)該靜態(tài)綁定進(jìn)行更改。本實(shí)施例中,如表l所示,只要IP地址、MAC地址和ARP類(lèi)型其中之一改變,均認(rèn)為該靜態(tài)綁定被更改,該更改可以是用戶使用軟件進(jìn)行改變,也可能是由病毒引起的改變。本實(shí)施例中,當(dāng)主機(jī)A201a離開(kāi)網(wǎng)絡(luò),即下線時(shí),認(rèn)證計(jì)費(fèi)單元204將主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元205;安全管理單元205的接收單元301判斷是否屬于離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型;若判斷結(jié)果為是,則刪除儲(chǔ)存在存儲(chǔ)單元304中的主機(jī)信息和該網(wǎng)關(guān)的IP地址。本實(shí)施例中,安全管理單元205的接收單元301判斷接收的該主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址的信息類(lèi)型,采用下線標(biāo)識(shí)進(jìn)行判斷,該下線標(biāo)識(shí)與主機(jī)信息和該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)IP地址一起由認(rèn)證計(jì)費(fèi)單元204傳送至安全管理單元205中。本實(shí)施例中,若主機(jī)A201a離開(kāi)網(wǎng)絡(luò),還包括步驟,主機(jī)A201a的安全認(rèn)證客戶端的靜態(tài)ARP操作單元802自動(dòng)刪除所述網(wǎng)關(guān)IP地址和MAC地址的綁定。本實(shí)施例中,安全管理單元205接收到主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址后,還包括步驟可信任ARP操作單元303根據(jù)主機(jī)A201a所在網(wǎng)關(guān)的工P地址,將主機(jī)信息發(fā)送至相應(yīng)的網(wǎng)關(guān)203;網(wǎng)關(guān)203的可信任ARP命令接收單元706收到所述主機(jī)信息后,判斷是否為綁定操作類(lèi)型;若判斷的結(jié)果為是,則將該主機(jī)信息送至可信任ARP操作單元705進(jìn)行所述主機(jī)IP地址和MAC地址的可信任ARP綁定,并將綁定信息送至存儲(chǔ)單元704中的可信任ARP地址表704b中。由上述實(shí)施例可知,網(wǎng)關(guān)203相應(yīng)的端口,即接入主機(jī)間接(通過(guò)網(wǎng)線或其它網(wǎng)絡(luò)設(shè)備)或直接(通過(guò)網(wǎng)線)同網(wǎng)關(guān)203連接的端口進(jìn)行主機(jī)的IP地址、MAC地址的綁定為可信任的ARP綁定,該綁定自動(dòng)進(jìn)行,而且綁定的是可信任的ARP綁定,并且綁定的主機(jī)IP地址和MAC地址是可靠的,通過(guò)此方式可防止局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)。并且,此方式與主機(jī)靜態(tài)ARP綁定相結(jié)合,能夠達(dá)到雙綁定的效果。本實(shí)施例中,當(dāng)主機(jī)A201a離開(kāi)網(wǎng)絡(luò),即下線時(shí),認(rèn)證計(jì)費(fèi)單元204將主機(jī)A201a離幵網(wǎng)絡(luò)的消息通知安全管理單元205,并將主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元205;安全管理單元205的接收單元301判斷是否屬于離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型;若判斷結(jié)果為是,發(fā)送所述主機(jī)信息至網(wǎng)關(guān)203;網(wǎng)關(guān)203接收到主機(jī)信息后,可信任ARP命令接收單元706判斷是否進(jìn)行刪除綁定操作類(lèi)型;若判斷結(jié)果為是,則通過(guò)可信任ARP操作單元705刪除儲(chǔ)存在可信任ARP地址表704b中所述主機(jī)IP地址和MAC地址的可信任ARP綁定。其中,判斷是否為離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型的判斷方式如上所述,此處不再贅述。此外,在本實(shí)施例中,在主機(jī)A201a認(rèn)證過(guò)程中,交換機(jī)202的IX認(rèn)證單元605還學(xué)習(xí)所述IP地址和MAC地址,并將學(xué)習(xí)到的IP地址和MAC地址通過(guò)信息操作單元606存入存儲(chǔ)單元606中。在主機(jī)A201a進(jìn)行認(rèn)證通過(guò)后,交換機(jī)202的ARP過(guò)濾單元603還能夠根據(jù)在IX認(rèn)證時(shí)主機(jī)A201a獲取的主機(jī)工P地址和MAC地址,即存儲(chǔ)單元607存儲(chǔ)的主機(jī)IP地址和MAC地址進(jìn)行相應(yīng)端口的ARP報(bào)文合法性校驗(yàn),其中,相應(yīng)端口是指交換機(jī)202上的所有端口,校驗(yàn)可釆用如下方式進(jìn)行校驗(yàn)-交換機(jī)202會(huì)在所有端口上接收ARP報(bào)文,如果在某個(gè)端口接收到ARP報(bào)文后,交換機(jī)202的ARP過(guò)濾單元603根據(jù)在認(rèn)證過(guò)程中獲得的主機(jī)信息對(duì)相應(yīng)端口的ARP報(bào)文的各個(gè)字段進(jìn)行校驗(yàn);若校驗(yàn)的結(jié)果為該ARP報(bào)文中源IP地址和源MAC地址不符合獲得的IP地址和MAC地址,即發(fā)現(xiàn)這些字段的內(nèi)容同獲得的IP地址和MAC地址不一致,則認(rèn)為所述ARP報(bào)文非法;此時(shí),交換機(jī)202丟棄該ARP報(bào)文。由此可知,交換機(jī)202對(duì)通過(guò)1X認(rèn)證所獲取的用戶信息進(jìn)行接入認(rèn)證主機(jī)各種類(lèi)型的ARP欺騙報(bào)文過(guò)濾,由于該用戶信息是從主機(jī)獲得,因此完全可靠。為了解決ARP欺騙報(bào)文所引起的網(wǎng)絡(luò)設(shè)備性能問(wèn)題,徹底消除ARP欺騙對(duì)網(wǎng)絡(luò)帶來(lái)的任何影響,本實(shí)施中還對(duì)交換機(jī)202和網(wǎng)關(guān)203進(jìn)行ARP報(bào)文限速。交換機(jī)202的ARP限速單元601、網(wǎng)關(guān)203的ARP限速單元601對(duì)ARP報(bào)文進(jìn)行限速,具體如實(shí)施例一所述,此處不再贅述。為了解決ARP洪泛攻擊,本發(fā)明實(shí)施例采用如下方式在網(wǎng)關(guān)203上預(yù)留ARP表項(xiàng)數(shù)量,足夠支持本網(wǎng)絡(luò)的所有用戶,以保證交換機(jī)202即使遭受ARP洪泛攻擊,主機(jī)也能夠正常上網(wǎng)。因?yàn)閷?duì)于網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備而言,因?yàn)樾阅芑蛘邘挼脑颍軌蛑С值纳暇W(wǎng)用戶和設(shè)備都是有限的。而且網(wǎng)絡(luò)設(shè)備的硬件資源,如cpu和內(nèi)存也是有限的,因此所有的網(wǎng)絡(luò)設(shè)備都只會(huì)預(yù)先分配一定的內(nèi)存給ARP表。比如每個(gè)IP地址和MAC地址的映射關(guān)系需要耗費(fèi)lk的內(nèi)存,如果分配1M的內(nèi)存給ARP表,則該ARP表能夠保存1024個(gè)IP和MAC的映射關(guān)系(即ARP表項(xiàng))。舉例說(shuō)明如下1.某安全網(wǎng)關(guān)設(shè)備支持4000的ARP表項(xiàng)。2.某惡意用戶使用工具發(fā)送了4000個(gè)假的動(dòng)態(tài)ARP表項(xiàng)。根據(jù)ARP協(xié)議和動(dòng)態(tài)ARP自動(dòng)學(xué)習(xí)的特點(diǎn)。則該網(wǎng)關(guān)設(shè)備的4000個(gè)ARP表項(xiàng)已經(jīng)被用完。3.此時(shí),有真正的用戶要上網(wǎng),并且發(fā)出了ARP請(qǐng)求報(bào)文。但是由于網(wǎng)關(guān)設(shè)備的ARP表項(xiàng)已經(jīng)用完,網(wǎng)關(guān)設(shè)備無(wú)法將該用戶的IP和MAC映射關(guān)系存入ARP表中,則后續(xù)該用戶的所有報(bào)文均無(wú)法通過(guò)網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。這樣,該用戶就不能上網(wǎng)了。使用可信任ARP的容量預(yù)留1.某安全網(wǎng)關(guān)設(shè)備支持4000的ARP表項(xiàng),同時(shí)預(yù)留了4000個(gè)可信任ARP表項(xiàng)。2.某惡意用戶使用工具發(fā)送了8000個(gè)假的動(dòng)態(tài)ARP表項(xiàng)。根據(jù)ARP協(xié)議和動(dòng)態(tài)ARP自動(dòng)學(xué)習(xí)的特點(diǎn)。則該網(wǎng)關(guān)設(shè)備的4000個(gè)ARP表項(xiàng)已經(jīng)被用完,其余的4000個(gè)假的動(dòng)態(tài)ARP表項(xiàng)被丟棄。可信任ARP表項(xiàng)是預(yù)留給可信任ARP的,所以不會(huì)被這種動(dòng)態(tài)ARP表項(xiàng)使用。3.此時(shí),有真正的用戶要上網(wǎng)。通過(guò)1X進(jìn)行認(rèn)證后,在預(yù)留的可信任ARP表中添加該用戶的可信任ARP信息。該用戶己經(jīng)有了網(wǎng)關(guān)的IP和MAC映射信息,網(wǎng)關(guān)也有了該用戶的IP和MAC映射信息,則根本就不需要進(jìn)行ARP請(qǐng)求。該用戶已經(jīng)能夠上網(wǎng)了,使用ARP欺騙方案,相當(dāng)于由本發(fā)明的方案接管了IP和MAC對(duì)應(yīng)關(guān)系的學(xué)習(xí)功能,能夠從根本上解決ARP欺騙攻擊。由上述可知,本發(fā)明實(shí)施例中,針對(duì)ARP協(xié)議動(dòng)態(tài)學(xué)習(xí),自動(dòng)更新的缺陷,在主機(jī)進(jìn)行靜態(tài)ARP綁定,在網(wǎng)關(guān)進(jìn)行可信任ARP綁定,并且在網(wǎng)關(guān)預(yù)留ARP地址空間,可解決現(xiàn)有技術(shù)中局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙、局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)、ARP洪泛攻擊的問(wèn)題。以下結(jié)合附圖2、3、4對(duì)該方法進(jìn)行詳細(xì)說(shuō)明。步驟401,預(yù)備階段,管理員在安全管理單元205上添加網(wǎng)關(guān)的IP地址,并且通過(guò)網(wǎng)絡(luò)協(xié)議從該網(wǎng)關(guān)上獲取該網(wǎng)關(guān)對(duì)應(yīng)的網(wǎng)關(guān)MAC地址,或者手動(dòng)輸入網(wǎng)關(guān)MAC地址,然后保存在安全管理單元205的存儲(chǔ)單元304的數(shù)據(jù)庫(kù)表中,如表3所示。步驟402、403、404,當(dāng)主機(jī)A201a接入網(wǎng)絡(luò),即主機(jī)A201a上線時(shí),主機(jī)A201a通過(guò)交換機(jī)203與認(rèn)證計(jì)費(fèi)單元204進(jìn)行l(wèi)X認(rèn)證;其中,主機(jī)A201a發(fā)出認(rèn)證請(qǐng)求,交換機(jī)202啟動(dòng)認(rèn)證過(guò)程,認(rèn)證計(jì)費(fèi)單元204完成主機(jī)認(rèn)證,并且在認(rèn)證過(guò)程中獲得該主機(jī)A201a的IP地址、MAC地址和網(wǎng)關(guān)IP地址,并且認(rèn)證通過(guò)后將該IP地址和MAC地址、網(wǎng)關(guān)IP地址發(fā)送至安全管理單元205。同時(shí),交換機(jī)還進(jìn)行自學(xué)習(xí),將學(xué)習(xí)到的主機(jī)IP地址、MAC地址進(jìn)行儲(chǔ)存。并且,本實(shí)施例中,交換機(jī)202學(xué)習(xí)主機(jī)A201a的IP地址和MAC地址。步驟405、406,安全管理單元205判斷為接入網(wǎng)絡(luò)的信息類(lèi)型時(shí),將接收到的主機(jī)IP地址、MAC地址傳送至主機(jī)A201a,該主機(jī)A201a收到主機(jī)IP地址、MAC地址后,進(jìn)行主機(jī)IP地址、MAC地址的靜態(tài)ARP綁定;其中,可采用如下步驟-安全管理單元205中的接收單元301接收主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址,判斷是否為接入網(wǎng)絡(luò)的信息類(lèi)型,若判斷結(jié)果為是,則傳送主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址至靜態(tài)ARP綁定單元302中,靜態(tài)ARP綁定單元302根據(jù)該網(wǎng)關(guān)的IP地址從存儲(chǔ)單元304中存儲(chǔ)的預(yù)先配置的網(wǎng)關(guān)IP地址、MAC地址中査找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)IP地址、MAC地址,并將該網(wǎng)關(guān)IP地址、MAC地址通過(guò)交換機(jī)202傳送至主機(jī)A201a;主機(jī)A201a接收到網(wǎng)關(guān)IP地址、MAC地址后,進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定。通過(guò)在主機(jī)A201a進(jìn)行網(wǎng)關(guān)的靜態(tài)ARP綁定,使用這種靜態(tài)ARP綁定方式,能夠防止局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行ARP欺騙。步驟407、408,安全管理單元205判斷為離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型時(shí),將接收到的主機(jī)IP地址、MAC地址發(fā)送至網(wǎng)關(guān)203,網(wǎng)關(guān)203進(jìn)行可信任ARP綁定。本實(shí)施例中,可采用如下方式安全管理單元205中的接收單元301接收主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP地址后,判斷是否為離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型,若判斷結(jié)果為是,則將該主機(jī)工P地址、MAC地址和網(wǎng)關(guān)IP地址傳送至可信任ARP操作單元303,可信任ARP操作單元303獲知該主機(jī)所在網(wǎng)關(guān)的IP地址后,通過(guò)網(wǎng)絡(luò)協(xié)議發(fā)送主機(jī)IP地址和MAC地址至網(wǎng)關(guān)203;網(wǎng)關(guān)203收到主機(jī)IP地址、MAC地址后,判斷是否為綁定操作類(lèi)型;若判斷的結(jié)果為是,則進(jìn)行主機(jī)IP地址和MAC地址的綁定。由上述實(shí)施例可知,網(wǎng)關(guān)203相應(yīng)的端口,即與主機(jī)直接或間接相連的端口進(jìn)行主機(jī)的IP地址、MAC地址的綁定為可信任的ARP綁定,該綁定自動(dòng)進(jìn)行,而且綁定的是可信任的ARP綁定,并且綁定的主機(jī)IP地址和MAC地址是可靠的,通過(guò)此方式可防止局域網(wǎng)主機(jī)冒充其它主機(jī)欺騙網(wǎng)關(guān)。并且,此方式與主機(jī)靜態(tài)ARP綁定相結(jié)合,能夠達(dá)到雙綁定的效果。在步驟405、407中,還可包括步驟安全管理單元205判斷屬于接入網(wǎng)絡(luò)的信息類(lèi)型時(shí),還包括步驟儲(chǔ)存所述主機(jī)信息和該網(wǎng)關(guān)的IP地址至存儲(chǔ)單元304中。在步驟406主機(jī)A201a進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的綁定后,還包括步驟檢測(cè)所述靜態(tài)綁定是否被更改;若檢測(cè)的結(jié)果為被更改,則重新進(jìn)行所述網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定。其中,主機(jī)A201a定時(shí)對(duì)該靜態(tài)綁定進(jìn)行檢測(cè),以防止一些木馬程序以合法的方式對(duì)該靜態(tài)綁定進(jìn)行更改。步驟409,當(dāng)主機(jī)A201a離幵網(wǎng)絡(luò),即下線時(shí),主機(jī)自動(dòng)刪除靜態(tài)ARP綁定,網(wǎng)關(guān)203也刪除可信任ARP綁定。本實(shí)施例中,可采用如下步驟-主機(jī)A201a通過(guò)lx認(rèn)證的下線報(bào)文,在認(rèn)證計(jì)費(fèi)單元204上發(fā)起下線的流程,此流程可采用現(xiàn)有技術(shù)中的一種來(lái)實(shí)現(xiàn),此處不再贅述。認(rèn)證計(jì)費(fèi)單元204在處理完下線流程后,將主機(jī)A201a下線消息發(fā)送至安全管理單元205,安全管理單元205的接收單元301接收該下線主機(jī)A201a的IP地址、MAC地址和網(wǎng)關(guān)IP地址,并解析到是主機(jī)下線的信息類(lèi)型;安全管理單元205的可信任ARP操作單元303通過(guò)網(wǎng)絡(luò)協(xié)議發(fā)送下線主機(jī)的IP地址、MAC地址給網(wǎng)關(guān)203,網(wǎng)關(guān)203在接收到主機(jī)的IP地址、MAC地址后,進(jìn)行解析后若發(fā)現(xiàn)是可信任ARP刪除操作類(lèi)型,則進(jìn)行可信任ARP此外,主機(jī)A201a下線成功,自動(dòng)將其靜態(tài)ARP綁定刪除。本實(shí)施例中,在步驟409中,還可包括若安全管理單元205的接收單元301判斷接收到的主機(jī)IP地址、MAC地址和網(wǎng)關(guān)IP是否屬于離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型;若判斷結(jié)果為是,則刪除儲(chǔ)存在存儲(chǔ)單元304中的主機(jī)信息和該網(wǎng)關(guān)的IP地址。本實(shí)施例中,上述主機(jī)的1X認(rèn)證過(guò)程可釆用現(xiàn)有技術(shù)中的任意一種,本實(shí)施例中采用MD5-Challenge的認(rèn)證方式,如圖5所示,即使用由幾種報(bào)文交互方式來(lái)實(shí)現(xiàn),但不限于上述方式,可釆用其它方式。如圖5所示,為認(rèn)證會(huì)話流程圖,采用的認(rèn)證機(jī)制是MD5-Challenge。(1)主機(jī)發(fā)送一個(gè)EAPoL-Start報(bào)文發(fā)起認(rèn)證過(guò)程。(2)交換機(jī)202收到EAPoL-Start后,發(fā)送一個(gè)EAP-Request報(bào)文響應(yīng)主機(jī)的認(rèn)證請(qǐng)求,請(qǐng)求用戶ID。(3)主機(jī)以一個(gè)EAP-Response報(bào)文響應(yīng)EAP-Request,將用戶ID封裝在EAP報(bào)文中發(fā)給交換機(jī)202。(4)交換機(jī)202將主機(jī)送來(lái)的EAP-Request報(bào)文與本交換機(jī)202的IP和端口信息一起封裝在RADIUSAccess-Request報(bào)文中發(fā)給認(rèn)證計(jì)費(fèi)單元204,本實(shí)施例中可為認(rèn)證服務(wù)器(AuthenticationServer)。(5)認(rèn)證計(jì)費(fèi)單元204收到RADIUSAccess-Request報(bào)文后,將用戶ID提取出來(lái)在數(shù)據(jù)庫(kù)中進(jìn)行查找。如果找不到該用戶ID,則直接丟棄該報(bào)文;如果該用戶ID存在,認(rèn)證計(jì)費(fèi)單元204會(huì)提取出用戶的密碼等信息,用一個(gè)隨機(jī)生成的加密字進(jìn)行MD5加密,生成密文。同時(shí),將這個(gè)隨機(jī)加密字封裝在一個(gè)EAP-ChallengeRequest報(bào)文中,再將該EAP報(bào)文封裝在RADIUSAccess-Challenge報(bào)文的EAP-Message屬性中發(fā)給交換機(jī)202。(6)交換機(jī)202收到RADIUSAccess-Challenge報(bào)文后,將封裝在該報(bào)文中的EAP-ChallengeRequest報(bào)文發(fā)送給主機(jī)。(7)主機(jī)用認(rèn)證計(jì)費(fèi)單元204發(fā)來(lái)的隨機(jī)加密字對(duì)用戶名密碼等信息進(jìn)行相同的MD5加密運(yùn)算生成密文,將密文封裝在一個(gè)EAP-ChallengeResponse報(bào)文中發(fā)給交換機(jī)202。(8)交換機(jī)202收到EAP-ChallengeResponse報(bào)文后,將其封裝在一個(gè)RADIUSAccess-Request報(bào)文的EAP-Message屬性中發(fā)給認(rèn)證計(jì)費(fèi)單元204。(9)認(rèn)證計(jì)費(fèi)單元204拆開(kāi)封裝,將主機(jī)發(fā)回的密文與自己在第(5)步中生成的密文進(jìn)行對(duì)比。如果不一致,則認(rèn)證失敗,認(rèn)證計(jì)費(fèi)單元204將返回一條RADIUSAccess-Reject信息,同時(shí)保持端口關(guān)閉狀態(tài);如果一致,則認(rèn)證通過(guò),認(rèn)證計(jì)費(fèi)單元204將一條EAP-Success消息封裝在RADIUSAccess-Acc印t報(bào)文的屬性中發(fā)送給交換機(jī)202。(10)交換機(jī)202在接到認(rèn)證計(jì)費(fèi)單元發(fā)來(lái)的RADIUSAccess-Acc印t之后,將端口狀態(tài)更改為"已授權(quán)",同時(shí)將RADIUSAccess-Acc印t中的EAP-Success報(bào)文拆出來(lái)發(fā)送給主機(jī)。上述實(shí)施例中,主機(jī)安裝有安全認(rèn)證客戶端(RG-Supplicant),用于使用IX進(jìn)行認(rèn)證。交換機(jī)202為認(rèn)證者(Authenticator),本實(shí)施例中可為支持802.IX的網(wǎng)絡(luò)設(shè)備,并進(jìn)行ARP報(bào)文過(guò)濾,還提供限速功能,可采用銳捷網(wǎng)絡(luò)的S2100系列交換機(jī)。認(rèn)證計(jì)費(fèi)單元204,根據(jù)交換機(jī)202傳達(dá)的認(rèn)證信息對(duì)用戶合法性進(jìn)行驗(yàn)證,可采用銳捷網(wǎng)絡(luò)公司的RG-SAM認(rèn)證服務(wù)器。作為1X認(rèn)證的服務(wù)器,可釆用認(rèn)證服務(wù)器(AuthenticationServer),使用RADIUS協(xié)議完成主機(jī)的認(rèn)證和計(jì)費(fèi)。在本實(shí)施例中,保證主機(jī)只有通過(guò)1X認(rèn)證后才能接入網(wǎng)絡(luò),并且提供主機(jī)的網(wǎng)絡(luò)配置信息給安全管理單元205。安全管理單元205,作為核心服務(wù)器,通過(guò)與交換機(jī)202、網(wǎng)關(guān)203、認(rèn)證計(jì)費(fèi)單元204、主機(jī)等交互信息,控制主機(jī)和網(wǎng)關(guān)設(shè)備的可信任ARP的綁定由上述實(shí)施例可知,將基于1X認(rèn)證的主機(jī)信息認(rèn)為是可信任的,通過(guò)主機(jī)的上線和下線,由可信任的安全管理單元?jiǎng)討B(tài)的在主機(jī)和網(wǎng)關(guān)綁定和刪除非動(dòng)態(tài)ARP(個(gè)人PC上綁定靜態(tài)ARP,網(wǎng)關(guān)設(shè)備上綁定可信任ARP),并且通過(guò)在交換機(jī)上進(jìn)行基于IX認(rèn)證信息的ARP報(bào)文過(guò)濾,在交換機(jī)和網(wǎng)關(guān)設(shè)備進(jìn)行ARP報(bào)文限速功能,達(dá)到完全防止ARP欺騙,阻止ARP欺騙報(bào)文在網(wǎng)絡(luò)中傳播影響網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備的性能。通過(guò)本實(shí)施例,由認(rèn)證計(jì)費(fèi)單元收集接入主機(jī)的IP,MAC和網(wǎng)關(guān)IP地址等信息。然后由安全管理單元通過(guò)簡(jiǎn)單的配置,將接入用戶的IP、MAC和端口綁定到網(wǎng)關(guān)上,將網(wǎng)關(guān)的工P、MAC在主機(jī)上進(jìn)行靜態(tài)綁定。以防止由于惡意的ARP欺騙攻擊導(dǎo)致的用戶上網(wǎng)掉線,信息被竊取的問(wèn)題。對(duì)于大規(guī)模的網(wǎng)絡(luò)來(lái)說(shuō),由于1X認(rèn)證能夠提供接入主機(jī)的IP,MAC,網(wǎng)關(guān)等信息,因此管理員不需要手動(dòng)維護(hù)IP地址和MAC地址的映射關(guān)系。由于使用安全管理單元進(jìn)行主機(jī)ARP靜態(tài)綁定,網(wǎng)關(guān)可信任ARP綁定。因此只有當(dāng)前在線的主機(jī)的IP,MAC映射關(guān)系才會(huì)添加到網(wǎng)關(guān)上。因此,網(wǎng)關(guān)的地址解析表項(xiàng)能夠完全覆蓋網(wǎng)絡(luò)中的所有設(shè)備地址。由于主機(jī)上線時(shí)才進(jìn)行IP,MAC映射關(guān)系的綁定,接入主機(jī)每次進(jìn)行1X認(rèn)證均能夠提供正確的IP,MAC和網(wǎng)關(guān)地址。因此網(wǎng)關(guān)設(shè)備發(fā)生變更,主機(jī)的網(wǎng)絡(luò)拓?fù)?,網(wǎng)卡硬件地址發(fā)生變更時(shí),相應(yīng)的IP,MAC地址的映射關(guān)系也會(huì)發(fā)生改變。不需要用戶手動(dòng)干預(yù)。由于1X認(rèn)證時(shí),主機(jī)的IP地址,MAC地址和網(wǎng)關(guān)IP地址。因此所有的這些信息都是可信的,不可能出現(xiàn)IP地址,MAC地址出現(xiàn)錯(cuò)誤,導(dǎo)致IP,MAC地址解析協(xié)議映射關(guān)系錯(cuò)誤的情況。在交換機(jī),由于采用了基于1X認(rèn)證的ARP報(bào)文過(guò)濾,由于1X能夠提供可信的接入用戶IP,MAC地址信息,因此交換機(jī)所進(jìn)行的ARP報(bào)文過(guò)濾是完全可靠的。通過(guò)過(guò)濾,能夠完全阻斷ARP欺騙報(bào)文在網(wǎng)絡(luò)中的傳播和泛濫。需要說(shuō)明的是,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),包括上述方法的步驟;所述的存儲(chǔ)介質(zhì),如R0M/RAM、磁碟、光盤(pán)等。以上所述的具體實(shí)施例,對(duì)本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實(shí)施例而已,并不用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1.一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法,其特征在于,該方法包括當(dāng)主機(jī)接入網(wǎng)絡(luò)時(shí),所述主機(jī)的安全認(rèn)證客戶端通過(guò)網(wǎng)絡(luò)與認(rèn)證計(jì)費(fèi)單元進(jìn)行1X認(rèn)證;認(rèn)證通過(guò)后,認(rèn)證計(jì)費(fèi)單元將獲得的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元,其中該主機(jī)信息至少包括IP地址和媒體訪問(wèn)控制地址;安全管理單元判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則所述安全管理單元根據(jù)該網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至所述主機(jī),其中,所述網(wǎng)關(guān)信息至少包括網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址;所述主機(jī)的安全認(rèn)證客戶端通過(guò)網(wǎng)絡(luò)接收所述網(wǎng)關(guān)信息后,進(jìn)行網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的靜態(tài)綁定。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述安全管理單元判斷為接入網(wǎng)絡(luò)信息類(lèi)型后,還包括步驟儲(chǔ)存所述主機(jī)信息和該網(wǎng)關(guān)的IP地址。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述主機(jī)的安全認(rèn)證客戶端進(jìn)行網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的靜態(tài)綁定后,還包括步驟檢測(cè)所綁定的所述網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址是否被更改;若檢測(cè)的結(jié)果為被更改,則重新進(jìn)行所述網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的綁定。4.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括步驟當(dāng)所述主機(jī)離開(kāi)網(wǎng)絡(luò)時(shí),認(rèn)證計(jì)費(fèi)單元將所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至所述安全管理單元;所述安全管理單元判斷是否屬于離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型;若判斷結(jié)果為是,則刪除儲(chǔ)存的所述主機(jī)信息和該網(wǎng)關(guān)的IP地址。5.根據(jù)權(quán)利要求4所述的方法,其特征在于,若所述主機(jī)成功離開(kāi)網(wǎng)絡(luò),還包括步驟,所述主機(jī)自動(dòng)刪除所述網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的綁定。6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述安全管理單元接收到所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址后,還包括步驟根據(jù)所述主機(jī)所在網(wǎng)關(guān)的IP地址,將所述主機(jī)信息發(fā)送至相應(yīng)的網(wǎng)關(guān);所述網(wǎng)關(guān)收到所述主機(jī)信息后,判斷是否為綁定操作類(lèi)型;若判斷的結(jié)果為是,則進(jìn)行所述主機(jī)IP地址和媒體訪問(wèn)控制地址的可信任ARP綁定。7.根據(jù)權(quán)利要求6所述的方法,其特征在于,還包括步驟當(dāng)所述主機(jī)離開(kāi)網(wǎng)絡(luò)時(shí),認(rèn)證計(jì)費(fèi)單元將所述主機(jī)離開(kāi)網(wǎng)絡(luò)的消息通知所述安全管理單元,并將所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至所述安全管理單元;所述安全管理單元判斷是否屬于離開(kāi)網(wǎng)絡(luò)的信息類(lèi)型;若判斷結(jié)果為是,發(fā)送所述主機(jī)信息至所述網(wǎng)關(guān);所述網(wǎng)關(guān)接收到所述主機(jī)信息后,判斷是否進(jìn)行刪除綁定操作類(lèi)型;若判斷結(jié)果為是,則刪除所述主機(jī)IP地址和媒體訪問(wèn)控制地址的可信任地址解析協(xié)議綁定。8.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證計(jì)費(fèi)單元通過(guò)交換機(jī)對(duì)所述主機(jī)進(jìn)行IX認(rèn)證。9.根據(jù)權(quán)利要求8所述的方法,其特征在于,還包括步驟認(rèn)證成功后,所述交換機(jī)學(xué)習(xí)所述IP地址和媒體訪問(wèn)控制地址。10.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述主機(jī)認(rèn)證成功后,還包括步驟所述交換機(jī)根據(jù)在認(rèn)證過(guò)程中獲得的所述主機(jī)信息對(duì)接收到的地址解析協(xié)議報(bào)文進(jìn)行校驗(yàn);若校驗(yàn)的結(jié)果為該地址解析協(xié)議報(bào)文中源工P地址和源媒體訪問(wèn)控制地址不符合獲得的IP地址和媒體訪問(wèn)控制地址,則認(rèn)為所述地址解析協(xié)議報(bào)文非法;所述交換機(jī)丟棄該ARP報(bào)文。11.根據(jù)權(quán)利要求1或6所述的方法,其特征在于,還包括步驟對(duì)所述交換機(jī)和所述網(wǎng)關(guān)進(jìn)行地址解析協(xié)議報(bào)文限速。12.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括步驟在所述網(wǎng)關(guān)上預(yù)留地址解析協(xié)議表項(xiàng)數(shù)量。13.—種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的系統(tǒng),其特征在于,該系統(tǒng)還包括至少一個(gè)主機(jī)、認(rèn)證計(jì)費(fèi)單元和安全管理單元;其中,所述主機(jī),至少包括安全認(rèn)證客戶端,該安全認(rèn)證客戶端用于發(fā)出1X認(rèn)證請(qǐng)求至所述認(rèn)證計(jì)費(fèi)單元;通過(guò)網(wǎng)絡(luò)接收所述安全管理單元發(fā)送的網(wǎng)關(guān)信息,進(jìn)行所述網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的靜態(tài)綁定;所述認(rèn)證計(jì)費(fèi)單元,用于通過(guò)網(wǎng)絡(luò)對(duì)所述主機(jī)進(jìn)行認(rèn)證,獲得主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,并且認(rèn)證通過(guò)后,將所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元;所述安全管理單元,用于接收所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若該信息類(lèi)型為接入網(wǎng)絡(luò)信息類(lèi)型,則所述安全管理單元根據(jù)所述網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至所述主機(jī);其中,所述網(wǎng)關(guān)信息至少包括網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址。14.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,還包括交換機(jī),該交換機(jī)至少包括1X認(rèn)證單元,與所述主機(jī)和認(rèn)證計(jì)費(fèi)單元連接,用于接收所述主機(jī)的安全認(rèn)證客戶端發(fā)出的認(rèn)證請(qǐng)求,啟動(dòng)認(rèn)證過(guò)程,在認(rèn)證過(guò)程中所述認(rèn)證計(jì)費(fèi)單元通過(guò)該交換機(jī)與所述主機(jī)進(jìn)行信息交互;并且認(rèn)證過(guò)程中,學(xué)習(xí)所述主機(jī)信息。15.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,所述安全管理單元至少包括接收單元、靜態(tài)地址解析協(xié)議綁定通知單元;其中,所述接收單元,用于接收所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,并判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若為接入網(wǎng)絡(luò)信息類(lèi)型,則傳送所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址至所述靜態(tài)地址解析協(xié)議綁定通知單元;所述靜態(tài)地址解析協(xié)議綁定通知單元,用于根據(jù)所述網(wǎng)關(guān)的IP地址從預(yù)先配置的網(wǎng)關(guān)信息中查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息通過(guò)網(wǎng)絡(luò)傳送至所述主機(jī)。16.根據(jù)權(quán)利要求15所述的系統(tǒng),其特征在于,所述安全管理單元還包括安全網(wǎng)關(guān)配置單元和存儲(chǔ)單元;其中,所述安全網(wǎng)關(guān)配置單元,用于配置所要管理的網(wǎng)關(guān)信息,并將所述網(wǎng)關(guān)信息儲(chǔ)存至所述存儲(chǔ)單元;所述存儲(chǔ)單元,用于儲(chǔ)存預(yù)先配置的所述網(wǎng)關(guān)信息,并儲(chǔ)存所述接收單元傳送的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址。17.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于,該系統(tǒng)還包括網(wǎng)關(guān),與所述交換機(jī)和安全管理單元連接;所述安全管理單元還包括可信任地址解析協(xié)議操作單元,所述可信任地址解析協(xié)議操作單元與所述接收單元連接,用于接收所述接收單元傳送的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址,并根據(jù)所述主機(jī)所在網(wǎng)關(guān)的IP地址,將所述主機(jī)信息發(fā)送至相應(yīng)的網(wǎng)關(guān);所述網(wǎng)關(guān),用于接收所述主機(jī)信息,判斷是否進(jìn)行綁定操作類(lèi)型,若判斷的結(jié)果為是,則進(jìn)行所述主機(jī)IP地址和媒體訪問(wèn)控制地址的可信任地址解析協(xié)議綁定;若判斷的結(jié)果為綁定刪除操作類(lèi)型,則所述網(wǎng)關(guān)刪除所述主機(jī)IP地址和媒體訪問(wèn)控制地址的綁定。18.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于,所述交換機(jī)還包括信息操作單元,與所述ix認(rèn)證單元連接,接收所述IX認(rèn)證單元傳送的所述主機(jī)信息和該交換機(jī)的端口信息并傳送至存儲(chǔ)單元;存儲(chǔ)單元,儲(chǔ)存信息綁定表,用于接收所述信息操作單元傳送的所述主機(jī)信息和該端口信息,并將所述主機(jī)信息和該端口信息存入所述信息綁定表中;并且,在主機(jī)離開(kāi)網(wǎng)絡(luò)時(shí),所述1X認(rèn)證單元將所述主機(jī)信息和端口信息發(fā)送給信息操作單元,該信息操作單元將該主機(jī)信息和端口信息從存儲(chǔ)單元中的信息綁定表中刪除。19.根據(jù)權(quán)利要求18所述的系統(tǒng),其特征在于,所述交換機(jī)還包括過(guò)濾單元和報(bào)文轉(zhuǎn)發(fā)單元;其中,所述過(guò)濾單元,與所述存儲(chǔ)單元連接,根據(jù)所述存儲(chǔ)單元存儲(chǔ)的端口信息獲取相應(yīng)的主機(jī)信息,將接收到的地址解析協(xié)議報(bào)文中源IP地址和源媒體訪問(wèn)控制地址與所獲取的主機(jī)信息進(jìn)行比較,若比較結(jié)果不一致,則丟棄該地址解析協(xié)議報(bào)文;若比較結(jié)果一致,則將該地址解析協(xié)議報(bào)文送入報(bào)文轉(zhuǎn)發(fā)單元;所述報(bào)文轉(zhuǎn)發(fā)單元,與所述過(guò)濾單元相連接,接收所述過(guò)濾單元傳送的地址解析協(xié)議報(bào)文,并發(fā)送該地址解析協(xié)議報(bào)文至相應(yīng)的端口。20.根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于,所述交換機(jī)還包括地址解析協(xié)議限速單元和地址解析協(xié)議數(shù)據(jù)單元;其中,所述地址解析協(xié)議限速單元,用于接收所述地址解析協(xié)議報(bào)文,檢查該地址解析協(xié)議報(bào)文處理速率是否超過(guò)限制值,若檢查的結(jié)果為超過(guò),則直接丟棄該地址解析協(xié)議報(bào)文;若檢查的結(jié)果為未超過(guò),則將該地址解析協(xié)議報(bào)文送入地址解析協(xié)議數(shù)據(jù)單元;所述地址解析協(xié)議數(shù)據(jù)單元,與所述地址解析協(xié)議限速單元和所述過(guò)濾單元連接,用于接收所述地址解析協(xié)議限速單元傳送的報(bào)文,并將該地址解析協(xié)議報(bào)文傳送至所述地址解析協(xié)議過(guò)濾單元。21.根據(jù)權(quán)利要求17所述的系統(tǒng),其特征在于,所述網(wǎng)關(guān)至少包括可信任地址解析協(xié)議命令接收單元、網(wǎng)關(guān)的可信任地址解析協(xié)議操作單元和存儲(chǔ)單元;其中,可信任地址解析協(xié)議命令接收單元,用于接收所述安全管理單元中的可信任地址解析協(xié)議操作單元傳送的所述主機(jī)信息;網(wǎng)關(guān)的可信任地址解析協(xié)議操作單元,用于接收可信任地址解析協(xié)議命令接收單元傳送的所述主機(jī)信息,判斷是否為綁定操作類(lèi)型,若為綁定操作類(lèi)型,則將該主機(jī)信息送入存儲(chǔ)單元中的可信任地址解析協(xié)議地址表中;若為綁定刪除操作類(lèi)型,則所述網(wǎng)關(guān)的可信任地址解析協(xié)議操作單元將該主機(jī)信息從所述存儲(chǔ)單元中的可信任地址解析協(xié)議地址表中刪除;存儲(chǔ)單元,與所述網(wǎng)關(guān)的可信任地址解析協(xié)議操作單元連接,用于儲(chǔ)存可信任地址解析協(xié)議地址表、靜態(tài)地址解析協(xié)議地址表和動(dòng)態(tài)地址解析協(xié)議地址表。22.根據(jù)權(quán)利要求21所述的系統(tǒng),其特征在于,所述網(wǎng)關(guān)還包括地址解析協(xié)議限速單元、地址解析協(xié)議數(shù)據(jù)單元和地址解析協(xié)議處理單元;其中,所述地址解析協(xié)議限速單元,用于接收地址解析協(xié)議報(bào)文,檢查該地址解析協(xié)議報(bào)文處理速率是否超過(guò)限制值,若檢查的結(jié)果為超過(guò),則直接丟棄該地址解析協(xié)議報(bào)文;若檢查的結(jié)果為未超過(guò),則將該地址解析協(xié)議報(bào)文送入地址解析協(xié)議數(shù)據(jù)單元;所述地址解析協(xié)議數(shù)據(jù)單元,用于接收所述地址解析協(xié)議限速單元傳輸?shù)乃龅刂方馕鰠f(xié)議報(bào)文,并傳送至地址解析協(xié)議處理單元;所述地址解析協(xié)議處理單元,用于接收所述地址解析協(xié)議數(shù)據(jù)單元傳送的所述地址解析協(xié)議報(bào)文,地址解析協(xié)議處理單元以該地址解析協(xié)議報(bào)文中的源IP地址為索引到所述靜態(tài)地址解析協(xié)議地址表中進(jìn)行查詢,若在靜態(tài)地址解析協(xié)議地址表中存在以該IP地址為索引的靜態(tài)地址解析協(xié)議,則地址解析協(xié)議處理單元結(jié)束該地址解析協(xié)議報(bào)文的處理;若不存在以該IP地址為索引的靜態(tài)地址解析協(xié)議,則該地址解析協(xié)議處理單元以該地址解析協(xié)議報(bào)文中的源IP地址為索引到所述可信任地址解析協(xié)議地址表中進(jìn)行查詢,若在可信任地址解析協(xié)議地址表中存在以該IP地址為索引的可信任地址解析協(xié)議,則該地址解析協(xié)議處理單元結(jié)束該地址解析協(xié)議報(bào)文的處理;若不存在以該IP地址為索引的可信任地址解析協(xié)議,則該地址解析協(xié)議處理單元以該地址解析協(xié)議報(bào)文中的源IP地址為索引到所述動(dòng)態(tài)地址解析協(xié)議地址表中進(jìn)行查詢,若在動(dòng)態(tài)地址解析協(xié)議地址表中存在以該IP地址為索引的動(dòng)態(tài)地址解析協(xié)議,則該地址解析協(xié)議處理單元使用該地址解析協(xié)議報(bào)文中的源IP地址和源媒體訪問(wèn)控制地址覆蓋該動(dòng)態(tài)地址解析協(xié)議,如果不存在以該IP地址為索引的動(dòng)態(tài)地址解析協(xié)議,該地址解析協(xié)議處理單元將該地址解析協(xié)議報(bào)文中的源工P地址和源媒體訪問(wèn)控制地址以動(dòng)態(tài)地址解析協(xié)議的類(lèi)型存入動(dòng)態(tài)地址解析協(xié)議表中。23.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,所述安全認(rèn)證客戶端至少包括1X認(rèn)證單元和靜態(tài)地址解析協(xié)議操作單元;其中,所述1X認(rèn)證單元,用于發(fā)出1X認(rèn)證請(qǐng)求至所述認(rèn)證計(jì)費(fèi)單元;所述靜態(tài)地址解析協(xié)議操作單元,通過(guò)網(wǎng)絡(luò)接收所述安全管理單元發(fā)送的網(wǎng)關(guān)信息,進(jìn)行所述網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的靜態(tài)綁定。24.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于,所述安全認(rèn)證客戶端還包括存儲(chǔ)器,儲(chǔ)存靜態(tài)綁定表,用于接收的所述網(wǎng)關(guān)信息并儲(chǔ)存在所述靜態(tài)綁定表中。25.根據(jù)權(quán)利要求24所述的系統(tǒng),其特征在于,所述安全認(rèn)證客戶端還包括地址解析協(xié)議綁定檢查單元,用于檢查檢測(cè)所綁定的所述網(wǎng)關(guān)網(wǎng)關(guān)信息是否被更改;若檢測(cè)的結(jié)果為被更改,則重新進(jìn)行所述網(wǎng)關(guān)IP地址和媒體訪問(wèn)控制地址的綁定。全文摘要本發(fā)明提供一種防止利用地址解析協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊的方法和系統(tǒng)。該方法包括當(dāng)主機(jī)接入網(wǎng)絡(luò)時(shí),主機(jī)的安全認(rèn)證客戶端通過(guò)網(wǎng)絡(luò)與認(rèn)證計(jì)費(fèi)單元進(jìn)行1X認(rèn)證;認(rèn)證通過(guò)后,認(rèn)證計(jì)費(fèi)單元將獲得的主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址傳送至安全管理單元;安全管理單元判斷接收的所述主機(jī)信息和該主機(jī)所在網(wǎng)關(guān)的IP地址的信息類(lèi)型,若為接入網(wǎng)絡(luò)信息類(lèi)型,則安全管理單元查找該主機(jī)對(duì)應(yīng)的網(wǎng)關(guān)信息,并將該網(wǎng)關(guān)信息傳送至所述主機(jī);主機(jī)的安全認(rèn)證客戶端通過(guò)網(wǎng)絡(luò)接收所述網(wǎng)關(guān)信息后,進(jìn)行網(wǎng)關(guān)IP地址和MAC地址的靜態(tài)綁定。通過(guò)在主機(jī)綁定網(wǎng)關(guān)IP地址和MAC地址,并且在網(wǎng)關(guān)正確的端口上綁定正確的主機(jī)IP地址和MAC地址,從而徹底的阻止現(xiàn)有技術(shù)中的存在的ARP攻擊的問(wèn)題。文檔編號(hào)H04L9/32GK101345743SQ20071012816公開(kāi)日2009年1月14日申請(qǐng)日期2007年7月9日優(yōu)先權(quán)日2007年7月9日發(fā)明者林雁敏,湧王申請(qǐng)人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1