一種防mac地址仿冒的裝置及方法

專利名稱：一種防mac地址仿冒的裝置及方法
技術領域：
本發明涉及通信領域，特別涉及一種接入設備上防MAC地址仿冒的裝置及方法。
背景技術：
接入設備的發展從ATM到IP的演進是當今業界的一種趨勢，在ATM向IP遷移過程中，設備組網形態也發生變化，如今比較流行的接入Internet的方式是把主機通過局域網組織在一起，然后再通過交換機和Internet相連接。這樣一來就出現了如何區分具體用戶，防止盜用的問題。標識網絡中的一臺計算機，一般至少有三種方法，最常用的是域名地址、IP地址和MAC(介質訪問控制)地址，分別對應應用層、網絡層、物理層。網絡管理一般就是在網絡層針對IP地址進行管理，但由于一臺計算機的IP地址可以由用戶自行設定，管理起來相對困難，而MAC地址則不然，它是固化在網卡里面的。從理論上講，除非盜來硬件(網卡)，否則是沒有辦法冒名頂替的。
基于MAC地址的這種特點，局域網采用了用MAC地址來標識具體用戶的方法，即基于MAC地址劃分VLAN(虛擬局域網)的機制。基于MAC地址的VLAN，就是通過查詢并記錄端口所連計算機上網卡的MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機設定為屬于VLAN“10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，該端口都會被劃分到VLAN10中去。計算機連在端口1時，端口1屬于VLAN10；而計算機連在端口2時，則端口2屬于VLAN10。這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組，這種方式的VLAN允許網絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。在報文轉發時采用VLAN+MAC一起查表，這樣即使MAC是一樣的，由于VLAN不同，兩個用戶也是無法互相影響，但是當網絡側MAC被用戶仿冒并發到IP接入設備和上層的二層網絡上時，會導致MAC+VLAN的學習和轉發陷入混亂，導致大量用戶業務中斷；而用戶MAC地址仿冒會導致該用戶業務全部轉發到仿冒的用戶上，導致用戶業務中斷甚至信息泄漏。
MAC仿冒情況分為用戶主動仿冒和組網錯誤導致的兩種情況，用戶主動仿冒就是用戶模擬網絡側設備或者用戶的MAC地址作為自己的SMAC地址(源MAC地址)，發送以太網報文到IP接入設備和以太網絡上，導致網絡癱瘓；組網錯誤一種最典型情況就是用戶側CPE(用戶駐地設備)端組成一個環網，將網絡側發給用戶的報文直接環回發送到網絡上，此時一樣會導致網絡問題；從網絡上來看，兩種仿冒結果基本一樣，所以處理的方法也是基本一樣。

發明內容
有鑒于此，本發明的主要目的在于提供一種基于對用戶側及網絡側MAC地址管理和認證來實現防MAC地址仿冒的實現方法及裝置。
為實現上述目的，本發明提供了一種IP接入設備上防MAC仿冒處理裝置，該裝置包括MAC地址管理模塊，所述MAC地址管理模塊設置MAC地址表用于存儲用戶側及網絡側報文的SMAC，以及MAC+VLAN表用于寫入用戶側報文的SMAC+VLAN，并為網絡側報文的DMAC+VLAN提供查表依據；所述裝置還包括報文轉發控制模塊用于控制用戶側報文的處理，接收用戶側報文后通過該報文的連接判斷該報文是否已送MAC地址管理模塊進行SMAC認證，將用戶側報文的SMAC與MAC地址管理模塊中的MAC地址表進行比較，若有重復MAC則丟棄該報文，若沒有則認為該報文合法并轉發該報文；且將合法報文的SMAC配置到MAC地址管理模塊的MAC表中，并將該報文的SMAC+VLAN寫入MAC地址管理模塊的MAC+VLAN表中作為網絡側報文DMAC+VLAN的查表依據；所述裝置還包括SMAC檢查模塊用于將已認證報文的SMAC與其配置的合法SMAC進行比較，如果一致則轉發該報文，若不一致則直接丟棄；所述裝置還包括MAC協議處理模塊，用于將網絡側報文的SMAC上報給MAC地址管理模塊，以及將網絡側報文的DMAC+VLAN上報MAC地址管理模塊進行查表轉發；所述網絡側報文的SMAC送MAC地址管理模塊與已有的MAC表進行比較，若沒有重復MAC則將所述SMAC添加到該MAC表中；若有重復MAC則將報文中的DMAC+VLAN查找MAC地址管理模塊的MAC+VLAN表中已有的用戶側SMAC+VLAN，若有匹配表現，則轉發該報文，若沒有則丟棄該報文或VLAN內廣播。
本發明提出了一種在接入設備上解決MAC地址仿冒的技術，通過對所有用戶側及網絡側MAC地址的管理及檢查來保證用戶側及網絡側MAC地址的合法性；通過此技術可以解決用戶制作假MAC地址攻擊和用戶側組環網導致的MAC地址仿冒，并進一步防止MAC地址仿冒導致的業務中斷、網絡癱瘓、轉發混亂和信息泄漏等網絡安全問題；而且在整個組網是二層或者三層設備時不受影響，對VLAN的分配也沒有限制。


圖1是本發明接入設備防MAC仿冒處理框圖。
圖2是本發明從用戶側到網絡側防MAC仿冒處理流程圖。
圖3是本發明從網絡側到用戶側防MAC仿冒處理流程圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明作進一步地詳細描述。
本發明的核心思想為在IP接入設備防MAC(介質訪問控制)地址仿冒的處理裝置上設置一MAC地址管理模塊用于對從用戶側或網絡側接收報文中的MAC地址進行認證及管理，對不符合要求的報文直接丟棄，對符合要求的報文進行轉發，實現MAC地址的合法性。
圖1為本發明IP接入設備防MAC地址仿冒處理框圖，本發明將IP接入設備防MAC仿冒處理分為兩個方向，從用戶側到網絡側為上行，從網絡側到用戶側為下行。本發明防MAC地址仿冒處理裝置主要涉及四個模塊報文轉發控制模塊1、SMAC檢查模塊2、MAC地址管理模塊3及MAC協議處理模塊4。上述四個模塊功能如下報文轉發控制模塊1用于控制用戶上行報文的處理；SMAC檢查模塊2用于將從用戶側接收到的報文的SMAC與其內置合法SMAC表進行比較；MAC地址管理模塊3是將上下行業務聯系在一起的模塊，用于將用戶側或網絡側接收報文的MAC進行認證，內置兩個表，一個是已有MAC表，存儲所有用戶側和網絡側已接收報文的SMAC；另一個是VLAN+MAC的轉發表，這是二層轉發必須的表項。
MAC協議處理模塊4接收網絡側以太網報文，將報文中的SMAC上報給MAC地址管理模塊，同時將DMAC(目標MAC)+VLAN送MAC地址管理模塊3做二層轉發查表。
其中需要特別指出的是所述從用戶側接收到報文的SMAC與從網絡側接收到報文的DMAC一致，均指的是用戶側設備MAC地址。
請參照圖2所示，圖2為上行防MAC地址仿冒處理流程，其步驟如下Step1報文轉發控制模塊1接收用戶報文后根據此報文的連接(端口或者ATM的PVC(永久虛擬通道)信息等)判斷此用戶是否已經有報文送MAC地址管理模塊3進行過SMAC認證，如果沒有認證過，則進入步驟2；若認證過，則進入步驟3；Step2MAC地址管理模塊3接收需要認證的報文，將該報文中的SMAC與其內置的MAC表進行匹配比較，如果有重復的MAC則認為從該端口上來的報文中的SMAC非法，丟棄該報文不作其他處理；如果沒有重復的MAC，則認為該報文中的SMAC合法，并進入步驟4；Step3將已認證的報文送至SMAC檢查模塊2，SMAC檢查模塊2接收報文后，將該報文中的SMAC與其內置的該連接的合法SMAC進行比較，如果一致則認為是合法報文轉發出去，不一致則直接丟棄。
Step4修改報文轉發控制模塊1連接的配置為已認證，將SMAC配置到SMAC檢查模塊2添加作為該連接合法SMAC，將SMAC添加到MAC地址管理模塊3中已有MAC表中，并將VLAN+SMAC配置到VLAN+MAC轉發表作為下行轉發查表依據。
請參照圖3所示，圖3為下行防MAC仿冒處理流程，其步驟如下Step1MAC協議處理模塊4接收網絡側以太網報文，將該報文中的SMAC上報(上報可以理解為主動上報，也可以理解為MAC地址管理模塊3的查詢處理信息)給MAC地址管理模塊3，同時將DMAC+VLAN送MAC地址管理模塊3做二層轉發查表；Step2MAC地址管理模塊3將網絡側接收到的報文中的SMAC與其內置MAC地址表比較，若沒有重復MAC，則將該SMAC添加到已有MAC表中，作為MAC認證依據；若有重復MAC，則進入步驟3；
Step3MAC地址管理模塊3將DMAC+VLAN與其內置的已有的SMAC+VLAN進行匹配比較，查找對應下行轉發連接，若有匹配表現，返回MAC協議處理模塊4匹配連接結果，并根據連接結果轉發報文；若沒有，則返回MAC協議處理模塊4無匹配連接結果，并丟棄報文或VLAN內廣播處理。
本發明基于對用戶MAC的管理認證來實現對用戶MAC合法性的判斷，整個模塊劃分是基于邏輯模塊功能劃分的，不一定是實際實現的模塊劃分形式。
本發明通過對MAC地址的管理和認證這樣一種方法，解決了用戶側組環網導致MAC環回的問題，同時解決了用戶仿冒網絡或者其他用戶MAC的問題，解決了二層組網時的MAC類攻擊導致的安全問題，而且不需要使用其他資源如VLAN來幫助實現，實現代價小。另外，本發明實現機制簡單，可以應用在各種二層組網設備上，并且不需要耗費其他資源就可以實現。
雖然通過參照本發明的某些優選實施例，已經對本發明進行了圖示和描述，但本領域的普通技術人員應該明白，可以在形式上和細節上對其作各種改變，而不偏離本發明的精神和范圍。
權利要求
1.一種防MAC地址仿冒處理裝置，其特征在于包括MAC地址管理模塊，所述MAC地址管理模塊設置MAC地址表用于存儲用戶側及網絡側報文的SMAC，并對用戶側及網絡側報文的SMAC進行匹配比較；以及MAC+VLAN表用于寫入用戶側報文的SMAC+VLAN，并為網絡側報文的DMAC+VLAN提供查表依據。
2.如權利要求1所述的一種防MAC仿冒處理裝置，其特征在于還包括報文轉發控制模塊用于控制用戶側報文的處理，接收用戶側報文后通過該報文的連接判斷該報文是否已送MAC地址管理模塊進行SMAC認證。
3.如權利要求2所述的一種防MAC仿冒處理裝置，其特征在于所述用戶側報文送MAC地址管理模塊進行SMAC認證，將用戶側報文的SMAC與MAC地址管理模塊中的MAC地址表進行比較，若有重復MAC則丟棄該報文，若沒有則認為該報文合法并轉發該報文。
4.如權利要求3所述的一種防MAC仿冒處理裝置，其特征在于將合法報文的SMAC配置到MAC地址管理模塊的MAC表中，并將該報文的SMAC+VLAN寫入MAC地址管理模塊的MAC+VLAN表中作為網絡側報文DMAC+VLAN的查表依據。
5.如權利要求2所述的一種防MAC仿冒處理裝置，其特征在于還包括SMAC檢查模塊用于將已認證報文的SMAC與其配置的合法SMAC進行比較，如果一致則轉發該報文，若不一致則直接丟棄。
6.如權利要求1所述的一種防MAC仿冒處理裝置，其特征在于還包括MAC協議處理模塊，用于將網絡側報文的SMAC上報給MAC地址管理模塊，以及將網絡側報文的DMAC+VLAN上報MAC地址管理模塊進行查表轉發。
7.如權利要求6所述的一種防MAC仿冒處理裝置，其特征在于所述網絡側報文的SMAC送MAC地址管理模塊與已有的MAC表進行比較，若沒有重復MAC則將所述SMAC添加到該MAC表中；若有重復MAC則將報文中的DMAC+VLAN查找MAC地址管理模塊的MAC+VLAN表中已有的用戶側報文的SMAC+VLAN，若有匹配表現，則轉發該報文，若沒有則丟棄該報文或VLAN內廣播。
8.如權利要求1、4、7所述的一種防MAC仿冒處理裝置，其特征在于所述用戶側的SMAC與網絡側的DMAC均為用戶側設備MAC地址。
9.一種防MAC地址仿冒處理方法，其特征在于，包括以下步驟a報文轉發控制模塊判斷接收到的用戶側報文是否經過SMAC認證，若認證過，進入步驟c，若沒有，進入步驟b；b將該報文中的SMAC與MAC地址管理模塊中已有MAC地址表進行匹配比較，如果有重復的MAC則認為該SMAC非法，丟棄報文；如果沒有重復的MAC，則認為該SMAC合法，轉發該報文并將該SMAC配置到已有MAC地址表；c將已認證報文中的SMAC與SMAC檢查模塊中配置的合法SMAC進行比較，如果一致則認為是合法報文轉發出去，不一致則直接丟棄。
10.如權利要求9所述的一種防MAC仿冒處理方法，其特征在于，所述步驟c還包括修改報文轉發控制模塊連接的配置為已認證，將SMAC配置到SMAC檢查模塊中作為連接合法的SMAC，將SMAC添加到MAC地址管理模塊已有MAC表中，并將VLAN+SMAC配置到VLAN+MAC轉發表作為下行轉發查表依據。
11.一種防MAC地址仿冒處理方法，其特征在于，包括以下步驟a將從網絡側接收到的報文的SMAC與已有的MAC地址表進行比較，若有重復的MAC，則進入步驟b，若沒有，則將該SMAC配置到已有的MAC地址表中；b將網絡側報文的DMAC+VLAN與已有的MAC+VLAN表進行比較，若有匹配表現，則轉發該報文，若沒有則丟棄該報文或在虛擬局域網VLAN內廣播。
全文摘要
本發明涉及一種防MAC地址仿冒處理方法及裝置，包括MAC地址管理模塊，內置MAC地址表用于存儲用戶側及網絡側報文的SMAC，以及MAC+VLAN表。所述用戶側報文的SMAC與MAC地址表進行匹配比較，若沒有重復的MAC則轉發該報文，并將SMAC+VLAN配置到MAC+VLAN表中，若有重復則丟棄該報文。所述網絡側報文的SMAC與MAC地址表進行匹配比較，若沒有重復MAC則將該SMAC配置到所述MAC地址表，若有重復MAC，則將網絡側報文的DMAC+VLAN與MAC+VLAN表中已有的用戶側報文的SMAC+VLAN進行匹配比較，若有匹配表現則轉發該報文，若沒有則丟棄該報文或VLAN內廣播。
文檔編號H04L29/12GK101043330SQ20061006129
公開日2007年9月26日 申請日期2006年6月22日 優先權日2006年6月22日
發明者趙求鵬, 謝衛平 申請人:華為技術有限公司