一種PPPoE接入方法及設備的制作方法

一種PPPoE接入方法及設備的制作方法
【專利摘要】本發明的實施例提供一種PPPoE接入方法及設備，涉及通信領域，能夠避免用戶設備與偽裝的接入設備進行PPPoE接入，從而有效地保證了用戶信息的安全性。該方法可以包括：廣播PADI報文；若在第一預定時間內，接收到M個接入設備分別回復的M個PADO報文，則根據M個PADO報文生成驗證報文；其中，每個PADO報文中攜帶各接入設備的地址信息；驗證報文包括M個接入設備的地址信息；M＞1；根據M個接入設備的地址信息，將驗證報文向M個接入設備發送，以便第一接入設備根據驗證報文屏蔽掉其余M-1個接入設備發送的報文；若在第二預定時間內，僅接收第一接入設備發送的PADO報文，則與第一接入設備完成PPPoE接入。
【專利說明】一種PPPoE接入方法及設備

【技術領域】
[0001] 本發明涉及通信領域，尤其涉及一種PPPoE接入方法及設備。

【背景技術】
[0002] 目前，在網絡接入技術中，采用的認證技術主要有PPPoE(Point to Point Protocol over Ethernet,以太網的點對點協議）接入技術、802. IX及Web認證等，其中，以 PPPoE接入技術在通信【技術領域】中使用得最普遍。
[0003] 現有技術中，PPPoE接入過程可分為兩個階段：發現階段和PPP (Point to Point Protocol，點對點協議）會話階段。其中，發現階段具體包括：
[0004] (1)、用戶設備廣播 PADI (PPPoE Active Discovery Initiation)報文。
[0005] (2)、用戶設備接收到一個或多個接入設備回復的PAD0(PPPoE Active Discovery Offer)報文。其中，PAD0報文中攜帶有接入設備的MAC地址。
[0006] (3)、用戶設備將第一個回復PAD0報文的接入設備確定為選定的接入設備，向其 發送 PADR(PPPoE Active Discovery Request)報文。
[0007] (4)、用戶設備接收選定的接入設備回復的PADS(PAD Session-confirmation)報 文，完成PPP會話的建立。其中，PADS報文中攜帶有PPP會話標識。
[0008] 會話階段具體為：用戶設備根據該PPP會話標識及選定的接入設備的MAC地址， 與選定的接入設備進行PPP會話，并與選定的接入設備進行PPPoE接入，實現用戶設備與選 定的接入設備之間的數據通信。
[0009] 然而，在現有的PPPoE接入過程的發現階段中，用戶設備在廣播PADI報文后，會直 接將第一個回復PAD0報文的接入設備確定為選定的接入設備，這存在著很大的隱患。如果 有攻擊者偽裝成接入設備接收到該PADI報文后，從真正的接入設備（合法的接入設備）處 獲取回復的PAD0報文，并將該PAD0報文第一個回復至用戶設備，那么，用戶設備就會誤將 該偽裝的接入設備確定為選定的接入設備，完成PPPoE接入。進而就會讓偽裝的接入設備 非法獲取到該用戶設備的相關信息。


【發明內容】

[0010] 本發明的實施例提供一種PPPoE接入方法及設備，能夠避免用戶設備與偽裝的接 入設備進行PPPoE接入，從而有效地保證了用戶信息的安全性。
[0011] 為達到上述目的，本發明的實施例采用如下技術方案：
[0012] 第一方面，本發明實施例提供一種PPPoE接入方法，應用于用戶設備，包括：
[0013] 廣播PADI報文；
[0014] 若在第一預定時間內，接收到Μ個接入設備分別回復的Μ個PAD0報文，則根據所 述Μ個PAD0報文生成驗證報文；其中，每個PAD0報文中均攜帶有接入設備的地址信息；所 述驗證報文包括Μ個接入設備的地址信息；所述Μ > 1 ;
[0015] 根據Μ個接入設備各自的地址信息，將所述驗證報文向所述Μ個接入設備發送，以 便第一接入設備根據所述驗證報文屏蔽掉其余M-1個接入設備發送的報文，所述第一接入 設備為真正的接入設備；
[0016] 若在第二預定時間內，僅接收所述第一接入設備發送的PAD0報文，則與所述第一 接入設備完成PPPoE接入，則與所述第一接入設備完成PPPoE接入。
[0017] 在第一方面的第一種可能的實現方式中，所述與所述第一接入設備完成PPPoE接 入之后，所述方法還包括：存儲所述第一接入設備的地址信息；
[0018] 再次進行PPPoE接入時，若確定存儲有所述第一接入設備的地址信息，則根據所 述第一接入設備的地址信息向所述第一接入設備發送PADI報文；若在所述第一預定時間 內，接收到所述第一接入設備回復的PAD0報文，則與所述第一接入設備完成PPPoE接入。
[0019] 結合前述的第一方面或第一方面的第一種可能的實現方式，在第二種可能的實現 方式中，所述再次進行PPPoE接入時，若確定存儲有所述第一接入設備的地址信息，則根據 所述第一接入設備的地址信息向所述第一接入設備發送PADI報文之后，所述方法還包括：
[0020] 若在所述第一預定時間內，未接收到所述第一接入設備回復的PAD0報文，則廣播 PADI報文。
[0021] 第二方面，本發明實施例提供一種PPPoE接入方法，應用于接入設備，包括：
[0022] 接收用戶設備發送的PADI報文；
[0023] 向所述用戶設備發送PAD0報文；所述PAD0報文中攜帶有自身的地址信息；
[0024] 接收所述用戶設備發送的驗證報文；所述驗證報文中攜帶有所述接入設備自身的 地址信息、以及N個其他接入設備的地址信息；所述N > 1 ;
[0025] 根據所述N個其他接入設備的地址信息，屏蔽掉所述N個其他接入設備發送的報 文；
[0026] 向所述用戶設備發送所述PAD0報文；
[0027] 與所述用戶設備完成PPPoE接入。
[0028] 在第二方面的第一種可能的實現方式中，所述根據所述N個其他接入設備的地址 信息，屏蔽掉所述N個其他接入設備發送的報文，包括：
[0029] 構造測試用PADI報文；
[0030] 根據所述N個其他接入設備的地址信息，將所述測試用PADI報文向所述N個其他 接入設備發送；
[0031] 接收所述N個其他接入設備回復的測試用PAD0報文；
[0032] 根據所述N個其他接入設備的地址信息，向所述N個其他接入設備連接的交換機 發送指令，指示所述交換機屏蔽掉所述N個其他接入設備的PPPoE數據報文。
[0033] 結合第二方面的第一種可能的實現方式，在第二種可能的實現方式中，構造的所 述測試用PADI報文所在的數據幀中攜帶有隨機生成的地址信息。
[0034] 第三方面，本發明實施例提供一種用戶設備，包括：
[0035] 發送單元，用于廣播PADI報文；
[0036] 接收單元，用于接收每個接入設備分別回復的PAD0報文；
[0037] 生成單元，用于若在第一預定時間內，所述接收單元接收到Μ個接入設備分別回 復的Μ個PAD0報文，則根據所述Μ個PAD0報文生成驗證報文；其中，每個PAD0報文中均攜 帶有接入設備的地址信息；所述驗證報文包括Μ個接入設備的地址信息；所述Μ > 1 ;
[0038] 所述發送單元，還用于根據所述接收單元接收的Μ個接入設備各自的地址信息， 將所述生成單元生成的所述驗證報文向所述Μ個接入設備發送，以便第一接入設備根據 所述驗證報文屏蔽掉其余Μ-1個接入設備發送的報文，所述第一接入設備為真正的接入設 備；
[0039] 所述接收單元，還用于接收所述第一接入設備發送的PAD0報文；
[0040] 接入單元，用于若在第二預定時間內，所述接收單元接收了所述第一接入設備發 送的PAD0報文，則與所述第一接入設備完成PPPoE接入。
[0041] 在第三方面的第一種可能的實現方式中，所述用戶設備還包括存儲單元，
[0042] 所述存儲單元，用于所述接入單元與所述第一接入設備完成PPPoE接入之后，存 儲所述接收單元接收的所述第一接入設備的地址信息；
[0043] 所述發送單元，還用于再次進行PPPoE接入時，若確定所述存儲單元存儲有所述 第一接入設備的地址信息，則根據所述第一接入設備的地址信息向所述第一接入設備發送 PADI報文；
[0044] 所述接入單元，還用于若在所述第一預定時間內，所述接收單元接收到所述第一 接入設備回復的PAD0報文，則與所述第一接入設備完成PPPoE接入。
[0045] 結合前述的第三方面或第三方面的第一種可能的實現方式，在第二種可能的實現 方式中，
[0046] 所述發送單元，還用于所述再次進行PPPoE接入時，若確定所述存儲單元存儲有 所述第一接入設備的地址信息，則根據所述接收單元接收的所述第一接入設備的地址信息 向所述第一接入設備發送PADI報文之后，若在所述第一預定時間內，所述接收單元未接收 到所述第一接入設備回復的PAD0報文，則廣播PADI報文。
[0047] 第四方面，本發明實施例提供一種接入設備，包括：
[0048] 接收單元，用于接收用戶設備發送的PADI報文；
[0049] 發送單元，用于向所述用戶設備發送PAD0報文；所述PAD0報文中攜帶有自身的地 址信息；
[0050] 所述接收單元，還用于接收所述用戶設備發送的驗證報文；所述驗證報文中攜帶 有所述接入設備自身的地址信息、以及N個其他接入設備的地址信息；所述N > 1 ;
[0051] 屏蔽單元，用于根據所述接收單元接收的所述N個其他接入設備的地址信息，屏 蔽掉所述N個其他接入設備發送的報文；
[0052] 所述發送單元，還用于向所述用戶設備發送所述PAD0報文；
[0053] 接入單元，用于與所述用戶設備完成PPPoE接入。
[0054] 在第四方面的第一種可能的實現方式中，所述接入設備還包括構造單元，
[0055] 所述構造單元，用于構造測試用PADI報文；
[0056] 所述發送單元，具體用于根據所述接收單元接收的所述N個其他接入設備的地址 信息，將所述構造單元構造的所述測試用PADI報文向所述N個其他接入設備發送；
[0057] 所述接收單元，具體用于接收所述N個其他接入設備回復的測試用PAD0報文；
[0058] 所述屏蔽單元，具體用于根據所述接收單元接收的所述N個其他接入設備的地址 信息，向所述N個其他接入設備連接的交換機發送指令，指示所述交換機屏蔽掉所述N個其 他接入設備的PPPoE數據報文。
[0059] 結合第四方面的第一種可能的實現方式，在第二種可能的實現方式中，所述構造 單元構造的所述測試用PADI報文所在的數據幀中攜帶有隨機生成的地址信息。
[0060] 本發明實施例提供的一種PPPoE接入方法及設備，在用戶設備廣播PADI報文后， 當接收到多個接入設備回復的PAD0后，不再直接與第一個回復PAD0報文的接入設備進行 PPPoE接入，而是向各個接入設備發送攜帶有各接入設備地址信息的驗證信息。這樣，合法 的接入設備（第一接入設備）在接收到驗證信息后能夠根據其他接入設備的地址信息屏蔽 掉那些非法的接入設備發送的報文，從而使得用戶設備不再收到非法的接入設備（偽裝的 接入設備）發送的PPPoE的相關報文，保證了用戶設備只與合法的接入設備建立PPPoE連 接，進而防止了用戶信息的泄露，有效保護了用戶信息的安全。

【專利附圖】

【附圖說明】
[0061] 圖1為本發明實施例應用架構圖；
[0062] 圖2為本發明實施例提供的一種PPPoE接入方法的流程圖一；
[0063] 圖3為本發明實施例還提供的一種PPPoE接入方法的流程圖二；
[0064] 圖4為本發明實施例提供的一種PPPoE接入方法的交互圖；
[0065] 圖5為本發明實施例提供的一種用戶設備的結構示意圖一；
[0066] 圖6為本發明實施例提供的一種用戶設備的結構示意圖二；
[0067] 圖7為本發明實施例提供的一種接入設備的結構示意圖一；
[0068] 圖8為本發明實施例提供的一種接入設備的結構示意圖二；
[0069] 圖9為本發明實施例提供的一種用戶設備的結構示意圖三；
[0070] 圖10為本發明實施例提供的一種接入設備的結構示意圖三。

【具體實施方式】
[0071] 下面結合附圖對本發明實施例提供的一種PPPoE接入方法及設備進行詳細地描 述。
[0072] 實施例一
[0073] 需要說明的是，本發明實施例應用在與用戶設備在同一個二層接入網絡中，只有 一個真正的接入設備，即合法的接入設備的情況下。如圖1所示，本發明實施例的應用基于 PPPoE(Point to Point Protocol over Ethernet,以太網的點對點協議）協議上的網絡結 構，具體為：用戶設備（PPPoE終端）通過以太網交換機，連接到真正的接入設備（接入服務 器）上，該接入設備的網絡側連接到Internet。在用戶設備和以太網交換機之間，以及以太 網交換機和接入設備之間的鏈路為以太網鏈路。
[0074] 本領域技術人員可知，用戶設備具有PPPoE功能和廣播功能，以太網交換機具有 橋接轉發功能，以及接入設備具有PPPoE終結功能和廣播功能。且只有真正的接入設備才 能與英特網連接，使得用戶設備通過接入該接入設備連接到英特網。
[0075] 本發明的實施例提供一種PPPoE接入方法，應用于用戶設備側，如圖2所示，該方 法可以包括：
[0076] S101、用戶設備廣播 PADI (PPPoE Active Discovery Initiation)報文。
[0077] S102、若在第一預定時間內，該用戶設備接收到M個接入設備分別回復的M個 PADO(PPP〇E Active Discovery Offer)報文，則該用戶設備根據該Μ個PADO報文生成驗證 報文，其中，每個PAD0報文中均攜帶有接入設備的地址信息，該驗證報文包括Μ個接入設備 的地址信息，Μ > 1。
[0078] 用戶設備在進行PPPoE接入時，要先搜索可接入的接入設備，再與搜索到的接入 設備進行PPPoE接入。
[0079] 本發明實施例中的用戶設備搜索可接入的接入設備，即用戶設備進行PPPoE接入 時，該用戶設備廣播PADI報文，以搜索第一接入設備，若用戶設備接收到Μ個接入設備分別 回復的PAD0報文，則表征該Μ個第一接入設備被用戶設備搜索到了，該Μ個接入設備可用 于與該用戶設備進行PPPoE接入。
[0080] 可以理解的是，基于本發明的應用場景的限定，Μ個接入設備中包括M-1個偽裝的 接入設備和一個真正的接入設備。
[0081] 可選的，真正的接入設備可以為BRAS (Broadband ReMote Access Server，寬帶遠 程接入服務器）和SR(Service Router,全業務路由器）等。
[0082] 可選的，第一預定時間可以為30秒，具體的時間可以根據實際情況設定，本發明 不作限制。
[0083] 需要說明的是，本發明實施例提供的PPPoE接入方法中，由于應用場景中的二層 接入網絡中只有一個合法的接入設備，用戶設備只有與合法的接入設備上進行PPPoE接 入，才能進行正確的數據傳輸。當用戶設備通過廣播的方式發送PADI報文，并且將策略設 置為等待預定時間，在該第一預定時間內接收到的Μ個接入設備分別回復的PAD0報文，Μ大 于1時，用戶設備可認為網絡中有攻擊者偽裝的其他Μ-1個接入設備在嘗試與該用戶設備 進行PPPoE接入。這時，用戶設備將進入驗證階段，以判斷哪個才是真正的接入設備，以完 成與真正的接入設備的PPPoE接入。
[0084] 可選的，每個PAD0報文中均攜帶有接入設備的地址信息，例如接入設備的 MAC(Media Access Control,媒體訪問控制）地址。
[0085] 需要說明的是，PADI報文和PAD0報文為PPPoE數據報文，而PPPoE數據報文是被 承載在以太網數據幀中進行傳送的。具體的，PPPoE數據報文是封裝在以太網的數據域（凈 載荷區）中進行傳送的。以太網數據幀格式如表1所示，包括：目的地址、源地址、類型域、 凈載荷和幀校驗。其中，類型域中的字段內容表征以太網數據域中承載的數據報文的協議 類型，例如，在PPPoE的發現階段，以太網的類型域的字段為：0x8863 ;而在PPPoE的會話階 段，以太網的類型域的字段為0x8864。幀校驗用于表征以太網數據域中的數據報文傳送的 正確性。
[0086] 表 1
[0087]

【權利要求】
1. 一種以太網的點對點協議PPPoE接入方法，應用于用戶設備，其特征在于，包括： 廣播PADI報文； 若在第一預定時間內，接收到Μ個接入設備分別回復的Μ個PAD0報文，則根據所述Μ 個PAD0報文生成驗證報文；其中，每個PAD0報文中均攜帶有接入設備的地址信息；所述驗 證報文包括Μ個接入設備的地址信息；所述Μ > 1 ; 根據Μ個接入設備各自的地址信息，將所述驗證報文向所述Μ個接入設備發送，以便第 一接入設備根據所述驗證報文屏蔽掉其余Μ-1個接入設備發送的報文，所述第一接入設備 為真正的接入設備； 若在第二預定時間內，僅接收所述第一接入設備發送的PAD0報文，則與所述第一接入 設備完成PPPoE接入。
2. 根據權利要求1所述的PPPoE接入方法，其特征在于，所述與所述第一接入設備完成 PPPoE接入之后，所述方法還包括：存儲所述第一接入設備的地址信息； 再次進行PPPoE接入時，若確定存儲有所述第一接入設備的地址信息，則根據所述第 一接入設備的地址信息向所述第一接入設備發送PADI報文；若在所述第一預定時間內，接 收到所述第一接入設備回復的PAD0報文，則與所述第一接入設備完成PPPoE接入。
3. 根據權利要求2所述的PPPoE接入方法，其特征在于，所述再次進行PPPoE接入時， 若確定存儲有所述第一接入設備的地址信息，則根據所述第一接入設備的地址信息向所述 第一接入設備發送PADI報文之后，所述方法還包括： 若在所述第一預定時間內，未接收到所述第一接入設備回復的PAD0報文，則廣播PADI 報文。
4. 一種以太網的點對點協議PPPoE接入方法，應用于接入設備，其特征在于，包括： 接收用戶設備發送的PADI報文； 向所述用戶設備發送PAD0報文；所述PAD0報文中攜帶有自身的地址信息； 接收所述用戶設備發送的驗證報文；所述驗證報文中攜帶有所述接入設備自身的地址 信息、以及N個其他接入設備的地址信息；所述N彡1 ; 根據所述N個其他接入設備的地址信息，屏蔽掉所述N個其他接入設備發送的報文； 向所述用戶設備發送所述PAD0報文； 與所述用戶設備完成PPPoE接入。
5. 根據權利要求4所述的方法，其特征在于，所述根據所述N個其他接入設備的地址信 息，屏蔽掉所述N個其他接入設備發送的報文，包括： 構造測試用PADI報文； 根據所述N個其他接入設備的地址信息，將所述測試用PADI報文向所述N個其他接入 設備發送； 接收所述N個其他接入設備回復的測試用PAD0報文； 根據所述N個其他接入設備的地址信息，向所述N個其他接入設備連接的交換機發送 指令，指示所述交換機屏蔽掉所述N個其他接入設備的PPPoE數據報文。
6. 根據權利要求5所述的方法，其特征在于，構造的所述測試用PADI報文所在的數據 幀中攜帶有隨機生成的地址信息。
7. -種用戶設備，其特征在于，包括： 發送單元，用于廣播PADI報文； 接收單元，用于接收每個接入設備分別回復的PADO報文； 生成單元，用于若在第一預定時間內，所述接收單元接收到Μ個接入設備分別回復的Μ 個PADO報文，則根據所述Μ個PADO報文生成驗證報文；其中，每個PADO報文中均攜帶有接 入設備的地址信息；所述驗證報文包括Μ個接入設備的地址信息；所述Μ > 1 ; 所述發送單元，還用于根據所述接收單元接收的Μ個接入設備各自的地址信息，將所 述生成單元生成的所述驗證報文向所述Μ個接入設備發送，以便第一接入設備根據所述驗 證報文屏蔽掉其余Μ-1個接入設備發送的報文，所述第一接入設備為真正的接入設備； 所述接收單元，還用于接收所述第一接入設備發送的PADO報文； 接入單元，用于若在第二預定時間內，所述接收單元接收了所述第一接入設備發送的 PADO報文，則與所述第一接入設備完成PPPoE接入。
8. 根據權利要求7所述的用戶設備，其特征在于，所述用戶設備還包括存儲單元， 所述存儲單元，用于所述接入單元與所述第一接入設備完成PPPoE接入之后，存儲所 述接收單元接收的所述第一接入設備的地址信息； 所述發送單元，還用于再次進行PPPoE接入時，若確定所述存儲單元存儲有所述第一 接入設備的地址信息，則根據所述第一接入設備的地址信息向所述第一接入設備發送PADI 報文； 所述接入單元，還用于若在所述第一預定時間內，所述接收單元接收到所述第一接入 設備回復的PADO報文，則與所述第一接入設備完成PPPoE接入。
9. 根據權利要求8所述的用戶設備，其特征在于， 所述發送單元，還用于所述再次進行PPPoE接入時，若確定所述存儲單元存儲有所述 第一接入設備的地址信息，則根據所述接收單元接收的所述第一接入設備的地址信息向所 述第一接入設備發送PADI報文之后，若在所述第一預定時間內，所述接收單元未接收到所 述第一接入設備回復的PADO報文，則廣播PADI報文。
10. -種接入設備，其特征在于，包括： 接收單元，用于接收用戶設備發送的PADI報文； 發送單元，用于向所述用戶設備發送PADO報文；所述PADO報文中攜帶有自身的地址信 息； 所述接收單元，還用于接收所述用戶設備發送的驗證報文；所述驗證報文中攜帶有所 述接入設備自身的地址信息、以及N個其他接入設備的地址信息；所述N > 1 ; 屏蔽單元，用于根據所述接收單元接收的所述N個其他接入設備的地址信息，屏蔽掉 所述N個其他接入設備發送的報文； 所述發送單元，還用于向所述用戶設備發送所述PADO報文； 接入單元，用于與所述用戶設備完成PPPoE接入。
11. 根據權利要求10所述的接入設備，其特征在于，所述接入設備還包括構造單元， 所述構造單元，用于構造測試用PADI報文； 所述發送單元，具體用于根據所述接收單元接收的所述N個其他接入設備的地址信 息，將所述構造單元構造的所述測試用PADI報文向所述N個其他接入設備發送； 所述接收單元，具體用于接收所述N個其他接入設備回復的測試用PADO報文； 所述屏蔽單元，具體用于根據所述接收單元接收的所述N個其他接入設備的地址信 息，向所述N個其他接入設備連接的交換機發送指令，指示所述交換機屏蔽掉所述N個其他 接入設備的PPPoE數據報文。
12.根據權利要求11所述的接入設備，其特征在于，所述構造單元構造的所述測試用 PADI報文所在的數據幀中攜帶有隨機生成的地址信息。
【文檔編號】H04L29/06GK104243254SQ201410515707
【公開日】2014年12月24日 申請日期:2014年9月29日 優先權日:2014年9月29日
【發明者】劉思聰, 楊艷松, 何曉峰, 徐東, 文湘江, 王澤林, 謝夢楠 申請人:中國聯合網絡通信集團有限公司