专利名称:一种在上网过程中防止ip地址盗用的实现方法
技术领域:
本发明涉及互联网接入技术,特别是涉及一种在上网过程中防止IP地址盗用的实现方法。
背景技术:
随着网络的迅速发展,网络已经逐渐渗透到我们的日常生活中,上网用户越来越多。用户上网必须采用合法的IP地址,如动态主机配置协议(DHCP)用户必须使用动态主机配置协议服务器(DHCP SERVER)地址池中的地址,点到点协议(PPP)用户必须使用服务器分配的IP拨号地址,固定IP地址用户必须使用预先分配的IP地址。非法的IP地址将干扰合法用户的上网,不但会导致合法用户无法上网,而且还可能使用合法用户帐号内的费用,给合法用户造成经济损失。
现在宽带上网的主流模式是数字用户线路(xDSL)接入和高速以太网接入,采用高速以太网接入的用户通常采用DHCP协议接入宽带接入服务器,采用xDSL接入的用户通常采用PPP拨号接入到宽带接入服务器中。在宽带接入服务器内部对这两种接入方式的用户对IP地址管理的方案是相同的,下面以用户采用DHCP协议接入宽带接入服务器为例描述上网过程参见图1,宽带接入服务器位于骨干网的边缘层,作为用户接入网和骨干网之间的网关,终结来自用户接入网的连接,提供接入到宽带核心业务网的服务。宽带接入服务器在为用户提供上网业务的同时,还要提供对用户访问权限控制,计费等管理功能,以实现宽带网络的可运营,可管理的需求。从功能实现上可以把宽带接入服务器的软件划分为控制平面和转发平面,控制平面负责用户权限认证,连接建立和各种转发表项,连接表项的设置;而转发平面的功能是根据转发表项和连接表项的具体的内容把用户侧来的报文正确的转发到网络侧,或把网络侧的报文正确的转发到用户侧。
参见图2,用户打开计算机后,计算机先向外发送DHCP请求报文,该报文通过物理接口(如快速以太网或千兆以太网)进入宽带接入服务器的内部,动态主机配置协议中继代理(DHCP Relay)模块发现这是DHCP请求报文,就把该报文转发给DHCP Server,DHCP Server收到报文后就从它的地址池分配一个空闲的IP地址,然后把该IP地址封装在DHCP的响应报文中,通过DHCP Relay模块转发给用户的计算机,这样计算机就得到了自己的IP地址。
参见图3,用户获得IP地址后此时还不能上网,因为宽带接入服务器上还没有该用户的相关表项,用户计算机先向外发送地址解析协议(ARP)报文,该报文通过物理接口(如快速以太网或千兆以太网)进入宽带接入服务器的内部,ARP模块接收到该报文后发现是一个新的的ARP报文,就把该报文转发给连接控制模块请求分配一个连接信息表项,连接控制模块分配一个新的连接信息表项给ARP模块,同时把该表项下发给表项维护模块,表项维护模块把该表项添加到转发平面的连接表项和转发表项中,以后从该用户过来的上网报文就可以根据表项的内容被转发出去,用户就可以正常上网。
现有的各种网络设备都没有采取有效的IP地址防盗用的措施。如上所说,对于DHCP用户基本都采用上文的处理方案,即用户的IP地址都要由DHCP Server分配并下发给用户;但是如果有非法用户私自设置IP地址,而DHCP Server并不知道该IP地址已经使用,会把该IP地址分配给后来的合法用户,将导致合法用户无法上网,而且非法用户还将使用合法用户的上网帐号,给合法用户带来经济上的损失。
发明内容
本发明的目的在于提供一种在上网过程中防止IP地址盗用的方法,以便能够禁止具有非法IP地址的用户建立上网连接和转发报文。
本发明的方法包括步骤一种在上网过程中防止IP地址盗用的实现方法,包括步骤由网络设备获取用户终端的IP地址和链路层信息;
根据所述IP地址从地址信息表中找到对应的表项;判断获取的链路层信息与所述表项中的链路层信息与是否一致,如果不一致,则确定该IP地址非法并拒绝为该用户终端提供后续业务;否则确定该IP地址合法并为该用户终端提供后续业务。
其中所述用户终端为发送申请IP地址请求报文的用户终端,所述用户终端IP地址为动态主机配置协议(DHCP)服务器为该用户终端分配的IP地址;确定所述IP地址非法时拒绝向所述用户终端提供该IP地址。
所述用户终端为发送地址解析协议报文的用户终端,网络接入设备从报文中获取源IP地址和链路层信息;确定所述IP地址非法时拒绝为所述用户终端建立上网连接。
在判断链路层信息是否一致前,首先根据地址解析协议报文中的链路信息判断该条链路中已建立连接的用户终端数目是否大于规定的数目,如果是,则确定所述用户终端的IP地址非法并拒绝建立连接;否则继续后续步骤。
所述用户终端为发送数据报文的用户终端,网络接入设备从该数字报文中获取源IP地址和链路层信息;确定所述IP地址非法时丢弃该数据报文。
本发明将用户的IP地址和VLAN/PVC信息进行绑定,通过对VLAN/PVC的正确性判断来决定IP地址的合法性,使用该方案对所有的用户、所有转发的报文都进行合法性检查,可以基本上解决IP地址被盗用的问题,从而保护了合法用户的上网权限,丰富了IP电信网的可管理功能。
图1为宽带接入服务器的网络结构示意图;图2为现有技术的DHCP请求阶段示意图;图3为现有技术的用户连接的建立过程示意图;图4为本发明的DHCP请求示意图;图5为本发明的用户连接的建立过程示意图。
具体实施例方式
为了实现有效的IP地址防盗用功能,把宽带接入服务器控制平面和转发平面的软件进行修改。在控制平面,连接控制模块以IP地址合法性检查的结果,作为是否建立连接的依据之一;在转发平面,转发引擎检查用户数据报的IP地址和链路层信息,判断其合法性,来决定是否继续转发。
在现有的DHCP用户上网过程中,用户计算机开机后向外发送DHCP的请求报文,DHCP Relay把该报文转发给DHCP Server,并把分配的IP地址转交给用户。参见图4,在本发明的技术方案中,DHCP Relay模块接收到DHCP Server下发的IP地址后,把该用户计算机的IP地址、虚拟局域网/永久虚连接(VLAN/PVC)等信息通知连接控制模块,由连接控制模块把这些信息写入地址信息表中(该地址信息表存储在宽带接入服务器内,其中的每个表项对应着一台用户计算机的信息,包括有IP地址和链路层信息等),如果连接控制模块发现以前已经存在一个相同IP地址的表项,但是VLAN/PVC又不同,就认为该IP地址非法,不再转交给用户计算机,禁止其上网业务。
参见图5,在本发明中,用户连接的建立过程也要进行相应的合法性判断。用户计算机先向外发送地址解析协议(ARP)报文,该报文通过物理接口(如快速以太网或千兆以太网)进入宽带接入服务器的内部,当ARP模块接收到该报文并确认是一个新的ARP报文之后,向连接控制模块发出分配连接信息表项的请求,在消息包中带有用户的VLAN/PVC信息、源IP地址和目的IP地址等。连接控制模块首先根据ARP模块上报VLAN/PVC信息,查看该条VLAN/PVC中用户个数,如果用户个数大于系统规定的数目,则直接向ARP模块回答,拒绝该用户的上网请求。如果连接数在规定的范围内,连接控制模块则在地址信息表中查找该用户的地址信息表项,来检查的用户报文中的PVC/VLAN,是否和地址信息表中记录的内容一致,从而来决定是否建立相应的连接表项。如果用户报文中的PVC/VLAN和地址信息表中记录的内容不一致,就认为该连接非法,拒绝该用户的上网请求。反之则为该用户建立上网的连接,当连接建立后,连接控制模块通知表项维护模块填写该用户的连接表项。
以上是控制平面的修改,对于转发平面也要对每个报文进行合法性的判断,在原来的转发引擎处理流程中,用户计算机发送的数据报文进来后先根据连接信息表对报文进行预处理,然后根据转发信息表查找路由并转发。现在报文进来后先根据报文的源IP地址查找到该用户的地址信息表,取出其VLAN/PVC信息,然后和报文中携带的VLAN/PVC进行比较,如果一致就查找路由转发表进行转发,否则就丢弃该报文。
上述描述了用户上网过程中在控制平面和转发平面同时对用户的IP地址进行合法性判断,但不仅限于此,也可以只在控制平面或转发平面进行判断,或者只在控制平面的某一步进行判断。
上面描述的是把IP地址和VLAN/PVC信息进行绑定,实际上IP地址不仅可以和PVC/VLAN绑定,也可以和用户的连接类型、接入的物理端口号等信息进行绑定,PVC号、VLAN端口号等信息是由网络设备所能控制的,用户基本上是无法仿冒的。综上所述,系统预先知道用户的IP地址和VLAN/PVC等链路层信息,并把它们保存在地址信息表和连接信息表中,在用户连接建立时和用户上网过程中,系统检查用户数据报的IP地址和链路层信息是否和表项中的记录一致。以此作为用户数据报是否合法的依据,从而防止用户非法使用IP地址。
以上揭示的只是本发明的较佳实施例,是以宽带接入服务器中为例来描述本发明的IP地址的防盗用方案,本发明还可以广泛的应用在路由器、三层交换机、二层交换机以及窄带接入服务器等网络设备上;同时本发明也不仅限于DHCP用户,还可以拓展到PPP用户和固定IP地址用户。对于固定IP地址的用户,它就是在向DHCP SERVER申请固定IP地址的时候把链路层信息和IP地址写入地址信息表的,其他过程与DHCP用户相同;对于PPP用户它没有DHCP的发现和请求报文,它是自己的PADI,PADR报文功能和DHCP的请求和发现报文基本相同,在此期间把IP地址和链路层信息写入地址信息表,其他过程相同。
权利要求
1.一种在上网过程中防止IP地址盗用的实现方法,其特征在于包括步骤网络设备获取用户终端的IP地址和链路层信息;根据所述IP地址从地址信息表中找到对应的表项;判断获取的链路层信息与所述表项中的链路层信息与是否一致,如果不一致,则确定该IP地址非法并拒绝为该用户终端提供后续业务;否则确定该IP地址合法并为该用户终端提供后续业务。
2.如权利要求1所述的实现方法,其特征在于,所述用户终端为发送申请IP地址请求报文的用户终端,所述用户终端IP地址为动态主机配置协议(DHCP)服务器为该用户终端分配的IP地址。
3.如权利要求2所述的实现方法,其特征在于,确定所述IP地址非法时拒绝向所述用户终端提供该IP地址。
4.如权利要求1所述的实现方法,其特征在于,所述用户终端为发送地址解析协议报文的用户终端,网络接入设备从报文中获取源IP地址和链路层信息。
5.如权利要求4所述的实现方法,其特征在于,确定所述IP地址非法时拒绝为所述用户终端建立上网连接。
6.如权利要求4所述的实现方法,其特征在于,在判断链路层信息是否一致前,首先根据地址解析协议报文中的链路信息判断该条链路中已建立连接的用户终端数目是否大于规定的数目,如果是,则确定所述用户终端的IP地址非法并拒绝建立连接;否则继续后续步骤。
7.如权利要求1所述的实现方法,其特征在于,所述用户终端为发送数据报文的用户终端,网络接入设备从该数字报文中获取源IP地址和链路层信息。
8.如权利要求7所述的实现方法,其特征在于,确定所述IP地址非法时丢弃该数据报文。
9.如权利要求1至8任一所述的实现方法,其特征在于,所述链路层信息为虚拟局域网/永久虚连接(VLAN/PVC)信息、连接类型信息或接入的物理端口信息。
全文摘要
本发明公开了一种在上网过程中防止IP地址盗用的实现方法,该方法为网络接入设备获取用户终端的IP地址和链路层信息;根据所述IP地址从地址信息表中找到对应的表项;判断获取的链路层信息与所述表项中的链路层信息与是否一致,如果不一致,则确定该IP地址非法并拒绝为该用户终端提供后续业务;否则确定该IP地址合法并为该用户终端提供后续业务。采用本发明的方法,能够禁止具有非法IP地址的用户建立上网连接和转发报文,维护合法用户的权益,以满足电信运营商对IP电信网“可运营,可管理”的需求。
文档编号H04L12/28GK1630256SQ200310124110
公开日2005年6月22日 申请日期2003年12月16日 优先权日2003年12月16日
发明者朱克楚 申请人:华为技术有限公司