专利名称:用于在局域网交换机中保证通信的方法
技术领域:
本发明涉及用于在局域网交换机中保证(secure)通信的方法,所述局域网交换机包括用户接口(UI)和网络接口(NI),所述方法包括以下步骤从通过所述局域网交换机(AN)所接收的每个分组中提取源地址(MACi),以及将所述地址(MACi)与相关联的信息一起存储到所述局域网交换机(AN)里所包括的地址转发表(FT)中。
背景技术:
从输入分组中提取源地址并且将其与相关联的信息一起存储在地址转发表中是普遍的技术,被称为在局域网中的自学习(self-learning)。用于局域网的最普遍的标准是以太网标准,其中,所述源地址被称为MAC地址。所述自学习技术允许在不需要存储很多路由表的情况下,通过以及借助于局域网交换机来容易地转发数据分组。实际上,在新的分组到达时,所述源地址以及关于接收所述分组的链路和接收所述分组的内部交换端口的相关联的信息将被存储在所谓的地址转发表中。现在有这样的以太网交换机,所述交换机具有至少两种接口,至少包括用户接口和网络接口,并且所述交换机出现接入网络中,所述接入网络例如是DSL接入网络、无源光接入网络、电缆接入网络等。在所述特定的局域网交换机中,用户接口用于通过局域家庭网络从终端用户接收分组并且向终端用户发送分组,而在另一侧,网络接口用于通过例如以太网城域网从服务器和路由器接收分组以及向服务器和路由器发送分组。同样地,在所述具有用户和网络接口的局域网交换机中,自学习是一种普遍的情况。因此,同样地,在所述局域网交换机中,每次新分组从任何一个接口到达时,所述源地址信息被提取并且被添加到所述转发表中。对于所述源地址已经在所述表中的情况,其相关联信息将被所述新的相关联信息所覆盖。
然而,所述典型的自学习以太网交换机易于出现地址欺骗,所述地址欺骗是指一个用户“偷取”另一个用户或者服务器的地址,并且通过将所述地址放置在由其所发送的分组中作为源地址,而使用所述地址作为其自己的地址。然后,所述以太网交换机将会添加所述信息或者用所述恶意用户的信息来覆盖所述已有的正确信息,从而使其它用户以及所述以太网交换机本身产生很多麻烦。
用于保证通信的方法试图克服在以太网交换机中的所述恶意使用的问题,所述方法在已公布的美国专利申请2002/0010869中被公开。所述现有技术的文档描述了一种基于MAC地址的通信限制方法,其中,确定所接收的MAC地址的接入向量是否在地址条目(entry)表中。如果在,则在所述MAC目的地址和源地址的接入向量之间,对以接入向量形式所存储的安全键(securiy key)进行比较。如果这些不匹配,则拒绝接入。
因此,所述现有技术的方法需要首先配置所述安全键并且将其存储在所谓的“黑客表”中。所述表将被提前配置以存储所述安全键。然而,所述方法相当复杂,并且需要操作员的介入,所述操作员必需构建所述黑客表。
发明内容
本发明的目的是提供一种较简单的方法,用于在局域网交换机中的保证通信,所述方法更加简单,并且其不依赖于所述反黑客表的构建。
根据本发明,所述目的是由于这样的事实而实现的,即,所述方法包括在本发明的一个实施例中所描述的步骤。
以这种方式,提出了一种简单的方法,用于在不需要反黑客表的情况下,防止用户进行路由器或者服务器的源地址的欺骗。代替地,在所述用户接口上所接收的源地址和所述网络接口上所接收的源地址之间进行区分。所述区分可以是以特定标签的形式的,所述标签被另外存储在所述(单个)地址转发表中,或者所述地址转发表本身被划分为两个单独的表一个用于所述用户接口,而另一个用于所述网络接口。另外,直接对在所述网络侧所学习的所述服务器或者路由器的源地址和从所述用户接口上所接收的分组中所提取的源地址进行比较。当所述局域网交换机于是在所述用户侧提取到源地址时,而相同的源地址已经在所述网络侧被学习到,此时,在所述网络侧所学习的所述源地址将总是优先的。更明确地来说,这意味着,如果所述源地址首先在所述网络侧被学习到,而稍后,所述相同的源地址也在所述用户侧被提取到,那么所述地址转发表将不会被修改,并且来自于所述用户的新接收的分组将会被丢弃。因此,恶意用户现在将不会成功地实现其目的,所述恶意用户希望欺骗来自于所述服务器的源地址,这样,如果在所述交换机中只有标准的学习技术,则想要到达所述服务器的所有流量将不会到达所述服务器,而是到达所述用户。由于所述自学习过程,如果从所述网络侧新接收的分组包括所述转发表中已经包含的源地址,那么根据标准的自学习处理,所述新的源地址及其相关联的信息将会被存储在所述转发表中,这样也取代了来自于恶意用户的之前所存储的(错误的)MAC源地址。
这将意味着,对于普遍的自学习机制,仅有小的改动和小的检查被添加到所述现有的局域网交换机中,其中,所述改动包括确定接收所述分组的接口,所述检查是在从所述用户接口接收到分组时发生的。因此,所述方法非常简单,并且可以很容易地在现有的标准以太网交换机中被实现。
本发明的其它特征在另外的实施例中被描述。
以这种方式,通过将涉及恶意用户的信息自动存储在所述另外的表中,于是可以自动地形成所述恶意用户的列表。
本发明的另外的实施例表明,在从所述网络侧学习到源地址的情况下,其中所述源地址已经在所述地址转发表中,此时,所述恶意用户的列表也可以被更新。这意味着,在此情况下,恶意用户是活动的,其对于所述交换机还是未知的,直到相同的(路由器)源地址出现在所述网络侧为止。在此情况下,所述旧用户信息通常由来自于所述网络侧的信息所覆盖,所述操作保证了在交换机中的通信,而且所述旧用户信息可以用于了解所述恶意用户,以及,在覆盖所述地址转发表中的所述恶意用户的信息之前,所述旧用户信息首先被输入到所述另外的表中。
本发明还涉及适合于实现所述方法的局域网交换机,所述局域网交换机包括用户接口(UI)和网络接口(NI)以及地址转发表(FT),所述地址转发表(FT)用于存储从通过所述局域网交换机(AN)所接收的每个分组中所提取的源地址(MACi)以及涉及所述源地址的相关联的信息,其特征在于,所述局域网交换机(AN)还包括区分装置,所述区分装置适合于在从所述用户接口和所述网络接口所接收的源地址之间进行区分,所述局域网交换机(AN)还包括比较装置,所述比较装置用于将所述用户接口(UI)上新到达的分组中所包括的源地址与所述转发表(FT)中所有被存储的源地址进行比较,其中所述被存储的源地址是从所述网络接口(NI)上所接收的,从而提供控制信号给丢弃装置,所述丢弃装置用于在其中所包括的所述源地址已经作为从所述网络接口所接收的源地址而被存储的情况下丢弃所述新到达的分组。
根据另一个实施例的局域网交换机(AN),还包括另外的表,所述另外的表用于存储所述被丢弃的分组的其它用户信息。
根据另一个实施例的局域网交换机(AN),还包括这样的装置,所述装置用于检测新接收的网络地址已经作为所述地址转发表(FT)中所存储的用户地址而被存储,以及用于将涉及所述用户地址的所述地址转发表中的条目发送给所述另外的表,并且指示所述转发表用所述新接收的地址及其相关联的信息来覆盖所述条目。
注意,在权利要求中所使用的“耦合”不应当被解释为仅限于直接的连接。因此,“被耦合到设备B的设备A”的范围不应当被限制为这样的设备或者系统,其中设备A的输出被直接连接到设备B的输入。这意味着,在A的输出和B的输入之间有路径,所述路径可以是包括其它设备或者装置的路径。
注意,在权利要求中所使用的“包括”不应当被解释为限于其后所列的装置。因此,“包括装置A和B的设备”的范围不应当被限制为仅包括部件A和B的设备。这意味着,就本发明而言,所述设备的仅相关的部件是A和B。
结合附图,参考下面对实施例的描述,本发明的上述以及其它目的和特征将会更加显而易见,并且本发明本身也会更好地被理解,其中图1显示了包括局域网交换机AN的局域网的概略图,所述局域网交换机AN具有用户和网络接口,并且被耦合到用户终端T1到Tn以及路由器R1到Rr;图2示意地显示了当新的分组到达所述局域网交换机AN中的任意接口时所发生的不同步骤。
具体实施例方式
本发明涉及以太网聚合(aggregation)网络,其中所有的用户共享相同的局域网,局域网此后被简写为LAN,但是,本发明不限于使用所述以太网标准的这些局域网。在这样的LAN网络中,每个用户被分配唯一的地址,通常被称为用于以太网LAN网络的MAC地址。局域网交换机基于其中所包括的源地址以及目的地址对所接收的分组进行转发。出于这个目的,每个局域网交换机都必需“学习”所述源地址,这意味着,通过涉及所述地址的信息,例如,被链接到具有所述特定地址的客户或者用户的以太网交换机的端口的内部端口名,以及通过涉及所述链路本身的信息,地址转发表被实现,正如本领域技术人员所熟知的那样。
本发明可应用于这些类型的局域网交换机,所述交换机具有至少两种接口在一侧是用户接口,在另一侧是网络接口。具有后面两种接口的局域网交换机例如可以包括DSL接入节点、被耦合到所述用户侧的几台计算机上的DSL网络中的调制解调器、集中器或者甚至是无线接入节点。如在图1中由AN所描述的所述局域网交换机在其用户侧通过其用户接口UI被耦合到几个用户线路,例如DSL接入网络中的DSL线路。所述用户线路在构成所述局域网交换机的集中器的情况下还可以包括几个同轴电缆,或者在作为局域网交换机的无线接入节点的情况下包括无线链路。所述用户线路由图1中的1到n所描述。所述用户线路中的每条在所述用户的房屋侧被耦合到由T1到Tn所表示的用户终端或者设备上。所述终端设备可以包括简单的个人计算机、语音IP电话、机顶盒等。例如DSL调制解调器的一些用户终端接着还可以被连接到用户的房屋中的几种设备上,例如,可能通过内部路由器而被内部耦合在一起的一台或者多台个人计算机。所述终端设备或者用户设备中的每个都具有其自己的局域网地址。在几个调制解调器具有分别的局域网源地址的情况下,本发明也可以应用于被耦合到所述几个调制解调器的局域网交换机上,甚至于在所述调制解调器又被耦合到例如计算机的几个设备上的情况下,应用于所述调制解调器本身。
在另一侧,即图1所概略描述的AN的右手侧,所述局域网接入节点AN通过其网络接口NI被耦合到由其中所包括的R1到Rr所指示的一个或多个路由器或者服务器上。所述路由器中的每个还都具有其自己的局域网(MAC)地址。
如前面所解释的那样,从被耦合到AN的一个终端或者例如T1或R1的路由器向AN的另外一侧的另外一个转发分组是基于对所述不同用户终端或路由器的地址的学习的,其中所述过程意味着,以这样的条目来填写在图1中由FT所表示的地址转发表,所述条目包括在新到达的分组中所接收的源(MAC)地址以及与其相关联的其它信息,例如其相应的输入端口标示。所以,当DSL局域网接入节点接收到这样的分组时,所述分组来自于例如线路1的特定DSL线路,并且包括MAC1作为源地址,那么所述接入节点将将例如MAC1所述信息以及被连接到所述DSL线路1的内部端口名存储在所述转发表内。如果接着从路由器R1接收到具有目的地址MAC1的下一个分组,则一旦在所述转发表中检索到所述必要的信息,AN就可以立即将所述分组转发给DSL线路1。
或者,AN还学习来自于所述路由器R1的源地址MACR1,并且将所述信息与被连接到R1的所述内部端口一起存储在所述地址转发表FT内。
在所述接入节点的用户侧的恶意客户有时想要使用所述网络侧的路由器或服务器的地址作为其自己的源地址。这被称为MAC地址欺骗,这也就是由特定客户使用不属于所述客户的MAC地址。结果,当用户欺骗MAC地址时,所述用户于是产生具有属于其他人的MAC源地址的上行数据分组。因此,在所述转发节点的地址转发表学习到所述错误的关联。如果其他用户然后想要发送分组给所述路由器,其中所述路由器的MAC地址例如被用户1所欺骗,则所有的分组可能会被发给用户1。在一些现有的以太网交换机中,这已经通过阻止直接的用户到用户的传输而被避免,但是,在其它的以太网交换机中,可能产生严重的问题。而且,即使直接的用户到用户的传输是不可能的,用户欺骗路由器的源地址也将会使得所述路由器不再接收任何分组。
本发明提供了一种简单的解决方案,以防止由用户侧的用户对网络侧的路由器的地址进行欺骗。所述解决方案在于每当在所述用户侧或者在所述网络侧接收到新的源地址时,就确定是从哪个接口接收到所述源地址的。接着,在所述用户侧的新接收的源地址与所述网络侧所接收的所有存储的源地址之间进行比较。如果发现所述源地址已经作为来自于所述网络侧的源地址而被存储,则包括所述新的源地址的所述分组将会被丢弃。如果所述网络侧的新的源地址与已经被存储在所述用户侧的源地址相匹配,那么具有所述地址的现有条目将被具有额外指示的标准学习过程所覆盖,其中所述指示表明所述条目包括从所述用户侧所接收的源地址。如果所述用户侧的新的源地址还未被包括在所述地址转发表中,那么其将与所述典型的关联信息以及表明其是由用户侧所产生的指示一起被存储在所述转发表中。为了这个目的,一种特定的标记可以被存储在FT中,但是,FT也可以被分成两部分用户所产生的部分以及网络所产生的部分,以及,对于本领域技术人员来说,用于产生和存储所述区分的其它技术也是可以被设想的。
如果新的路由器源地址尚未被存储在FT中,那么,根据所述FT的实现,所述源地址也将与其附加的关联信息以及其来源的指示一起被存储在FT中,或者被存储在FT的网络部分中,其中所述来源是用户或者网络侧。
这在图2中概略地被描述了。除了丢弃来自于用户的具有已经被存储的“网络”源地址的分组以外,涉及所述用户的另外的信息也可以被存储在另外的表中。因此,还需要注意,除了图2的右手侧的两个方框中所描述的标准的自学习之外,首先可以在所述另外的表中执行内部检查,以及,在所述标准的学习过程之后,例如当检测到新接收的网络地址已经作为所述地址转发表的用户地址而被存储时,还将对所述另外的表执行更新。在此情况下,涉及所述(恶意)用户地址的所述地址转发表中的条目将被复制并且存储在所述另外的表中,在所述步骤之后,所述地址转发表中的所述条目将被新接收的地址及其相关联的信息所覆盖。
在所述标准学习过程之后,如本领域技术人员所熟知的那样,当然还可以进行涉及所接收的分组的进一步处理的其它步骤。
所述步骤可以通过所述局域网交换机中所包括的处理装置来执行,或者通过几个软件模块来执行。为此目的,一种区分装置适合于在从所述用户接口和所述网络接口所接收的源地址之间进行区分,所述装置是以所述交换机机中软件程序或者具体硬件的形式的。类似地,还可以通过软件模块或者以硬件来实现比较装置,所述比较装置用于将所述用户接口(UI)上新到达的分组中所包括的源地址与所述转发表(FT)中所有存储的源地址进行比较,其中所述存储的源地址是从所述网络接口(NI)所接收的,从而提供控制信号给丢弃装置,所述丢弃装置用于在其中所包括的所述源地址已经作为从所述网络接口所接收的源地址而被存储的情况下丢弃所述新到达的分组。
同样地,还可以通过软件程序或者硬件中的处理装置来实现这样的装置,所述装置用于检测新接收的网络地址已经作为所述地址转发表(FT)中所存储的用户地址而被存储,以及用于将涉及所述用户地址的所述地址转发表中的条目发送给所述另外的表,并且指示所述转发表用所述新接收的地址及其相关联的信息来覆盖所述条目。
当然,其它的实现也是可能的。尽管在上面已经就具体的装置描述了本发明的原理,但是,应该清楚地知道,所述描述仅仅是作为例子来进行的,而并不像所附权利要求那样是作为对本发明的范围的限制的。
权利要求
1.一种用于在局域网交换机(AN)中保证通信的方法,所述局域网交换机包括用户接口(UI)和网络接口(NI),所述方法包括以下步骤从通过所述局域网交换机(AN)所接收的每个分组中提取源地址(MACi),以及将所述地址(MACi)与相关联的信息一起存储到所述局域网交换机(AN)里所包括的地址转发表(FT)中,其特征在于,在从所述用户接口(UI)和所述网络接口(NI)所接收的源地址之间进行区分,这样,当检测到在所述用户接口(UI)上新接收的分组中所包括的源地址(MACi)已经作为在所述网络接口(NI)上所接收的源地址而被存储时,所述新接收的分组将被丢弃,并且,其中所包括的其源地址将不会被存储在所述地址转发表(FT)中。
2.根据权利要求1的方法,其中,涉及所述被丢弃的分组的其它用户信息被存储在另外的表中。
3.根据权利要求2的方法,其中,当检测到新接收的网络地址已经作为所述地址转发表(FT)中的用户地址而被存储时,涉及所述用户地址的所述地址转发表中的条目将被存储在所述另外的表中,在所述步骤之后,所述条目将被所述新接收的地址及其相关联的信息所覆盖。
4.一种局域网交换机(AN),其包括用户接口(UI)和网络接口(NI)以及地址转发表(FT),所述地址转发表(FT)用于存储从通过所述局域网交换机(AN)所接收的每个分组中所提取的源地址(MACi)以及涉及所述源地址的相关联的信息,其特征在于,所述局域网交换机(AN)还包括区分装置,所述区分装置适合于在从所述用户接口和所述网络接口所接收的源地址之间进行区分,所述局域网交换机(AN)还包括比较装置,所述比较装置用于将所述用户接口(UI)上新到达的分组中所包括的源地址与所述转发表(FT)中所有被存储的源地址进行比较,其中所述被存储的源地址是从所述网络接口(NI)上所接收的,从而提供控制信号给丢弃装置,所述丢弃装置用于在其中所包括的所述源地址已经作为从所述网络接口所接收的源地址而被存储的情况下丢弃所述新到达的分组。
5.根据权利要求4的局域网交换机(AN),还包括另外的表,所述另外的表用于存储所述被丢弃的分组的其它用户信息。
6.根据权利要求4的局域网交换机(AN),还包括这样的装置,所述装置用于检测新接收的网络地址已经作为所述地址转发表(FT)中所存储的用户地址而被存储,以及用于将涉及所述用户地址的所述地址转发表中的条目发送给所述另外的表,并且指示所述转发表用所述新接收的地址及其相关联的信息来覆盖所述条目。
全文摘要
一种用于在局域网交换机(AN)中保证通信的方法,所述交换机包括用户接口(UI)和网络接口(NI),所述方法包括以下步骤从通过所述局域网交换机(AN)所接收的每个分组中提取源地址(MACi),以及将所述地址(MACi)与相关联的信息一起存储到所述局域网交换机(AN)里所包括的地址转发表(FT)中,其特征在于,在从所述用户接口(UI)和所述网络接口(NI)所接收的源地址之间进行区分,这样,当检测到在所述用户接口(UI)上新接收的分组中所包括的源地址(MACi)已经作为在所述网络接口(NI)上所接收的源地址而被存储时,所述新接收的分组将被丢弃,并且,其中所包括的其源地址将不会被存储在所述地址转发表(FT)中。
文档编号H04L12/04GK1722707SQ20051008062
公开日2006年1月18日 申请日期2005年7月4日 优先权日2004年7月16日
发明者S·J·德克诺德尔, P·P·Y·门施 申请人:阿尔卡特公司