本发明专利技术提供了一种ARP条目更新管理方法、装置及系统。其中,该方法包括第二设备接收第一设备发送的地址解析协议ARP报文,该ARP报文携带有依据预先设置的标识信息所生成的第一签名;该第二设备依据该第一签名对该第一设备进行身份校验;在身份校验成功的情况下,该第二设备更新存储的该第一设备的ARP条目。通过上述方法,解决了现有技术在更新ARP条目时需要加入第三方信任主机进行信息校验,从而增加设备成本的问题,同时提高了设备之间更新ARP条目的可靠性,达到了防ARP欺骗的效果。
【技术实现步骤摘要】
一种ARP条目更新管理方法、装置及系统
本专利技术涉及通信
,防地址解析协议(ARP,AddressResolutionProtocol)欺骗的技术,主要涉及一种ARP条目更新管理方法、装置及系统。
技术介绍
ARP欺骗是黑客常用的攻击手段之一,黑客只要在局域网内阅读送上门来的ARP请求就能偷听到网内所有的(IP,MAC)地址。后期,节点收到ARP响应时,也不会质疑ARP响应的可靠性,而是直接按照ARP响应中的(IP,MAC)地址信息更新设备的ARP条目。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积的设备掉线。现有技术对ARP条目进行更新时主要采用密钥验证的方法,即采用对称加密算法或非对称加密算法对接收到的ARP响应进行验证。对称加密算法进行验证的方法主要包括:发送方将加密后的ARP数据包发送给接收方主机,接收方主机接收到ARP数据包后,向网络中的可信任主机发送携带发送方的MAC地址和IP地址的加密密钥查询请求,可信任主机根据发送方的MAC地址和IP地址查询主机信息数据表获取对应的加密密钥,将对应的加密密钥返回给接收方主机,接收方主机用加密密钥对ARP数据包进行解密,解密成功即可更新ARP条目。非对称加密算法进行验证的方法主要包括:局域网内的第一节点接收到第二节点发送的用第二节点的私钥签名后的ARP数据包,当第一节点在本地没有查询到第二节点的IP地址对应的公钥时,向所述局域网中的可信任节点发送携带第二节点的IP地址的查询请求。可信任节点向第一节点发送第二节点的公钥,第一节点用第二节点的公钥验证所述ARP数据包。以上两种方法都需要增加信任主机,从而增加了设备成本。
技术实现思路
为解决上述问题,本专利技术实施例提供了一种ARP条目更新管理方法、装置及系统,以解决现有技术进行ARP条目更新时需要增加第三方信任主机进行信息校验,从而增加设备成本的问题。本专利技术实施例的技术方案具体如下:一种ARP条目更新管理方法,包括以下步骤:第二设备接收第一设备发送的地址解析协议ARP报文,所述ARP报文携带有依据预先设置的标识信息所生成的第一签名;所述第二设备依据所述第一签名对所述第一设备进行身份校验;在身份校验成功的情况下,所述第二设备更新存储的所述第一设备的ARP条目。进一步的,所述第二设备依据所述第一签名对所述第一设备进行身份校验包括:所述第二设备从所述ARP报文中获取所述第一设备的IP地址;所述第二设备获取所述IP地址对应的标识信息,其中,所述IP地址对应的标识信息存储于所述第二设备中;所述第二设备通过预先设置的算法,依据所述IP地址对应的标识信息生成对应的第二签名,其中,所述预先设置的算法用于所述第一设备生成所述第一签名;所述第二设备校验所述第一签名与所述第二签名是否一致。进一步的,所述依据所述IP地址对应的标识信息生成对应的第二签名包括:所述第二设备依据所述预先设置的算法,以所述IP地址对应的标识信息为密钥,对所述ARP报文的协议部分进行加密生成所述第二签名,其中,所述预先设置的算法为不可逆算法。进一步的,在第二设备接收第一设备发送的地址解析协议ARP报文之前,所述方法还包括:所述第二设备接收第一设备发送的公钥;所述第二设备生成所述预先设置的标识信息,并依据所述公钥对所述预先设置的标识信息进行加密;所述第二设备将加密后生成的数据发送给所述第一设备,由所述第一设备依据所述公钥对应的私钥解密得到所述预先设置的标识信息。进一步的,在所述第二设备从所述ARP报文中获取所述第一设备的IP地址之前,所述方法还包括:所述第二设备解析所述ARP报文,其中,所述ARP报文中携带有源Source字段以及发送端MAC地址SenderMACAddress字段;所述第二设备判断所述source字段与所述SenderMACAddress字段是否一致;在判断一致的情况下,依据所述source字段与所述SenderMACAddress字段确定所述第一设备的媒体访问控制MAC地址;在判断不一致的情况下,丢弃所述ARP报文。进一步的,所述第一设备与所述第二设备为主机或路由器。本专利技术实施例还公开了一种ARP条目更新管理装置,应用于第二设备中,包括:第一接收模块,用于接收第一设备发送的地址解析协议ARP报文,所述ARP报文携带有依据预先设置的标识信息所生成的第一签名;校验模块,用于依据所述第一签名对所述第一设备进行身份校验;更新模块,用于在身份校验成功的情况下,更新存储的所述第一设备的ARP条目。进一步的,所述校验模块包括:第一获取子模块,用于从所述ARP报文中获取所述第一设备的IP地址;第二获取子模块,用于获取所述IP地址对应的标识信息,其中,所述IP地址对应的标识信息存储于所述第二设备中;生成子模块,用于通过预先设置的算法,依据所述IP地址对应的标识信息生成对应的第二签名,其中,所述预先设置的算法用于所述第一设备生成所述第一签名;校验子模块,用于校验所述第一签名与所述第二签名是否一致。进一步的,所述生成子模块具体用于,依据所述预先设置的算法,以所述IP地址对应的标识信息为密钥,对所述ARP报文的协议部分进行加密生成所述第二签名,其中,所述预先设置的算法为不可逆算法。进一步的,所述装置还包括:第二接收模块,用于接收第一设备发送的公钥;生成模块,用于生成所述预先设置的标识信息,并依据所述公钥对所述预先设置的标识信息进行加密;发送模块,用于将加密后生成的数据发送给所述第一设备,由所述第一设备依据所述公钥对应的私钥解密得到所述预先设置的标识信息。本专利技术实施例还提供了一种ARP条目更新管理系统,包括第一设备和第二设备:所述第一设备,用于向所述第二设备发送地址解析协议ARP报文;所述第二设备,用于接收所述第一设备发送的所述ARP报文,所述ARP报文携带有依据预先设置的标识信息所生成的第一签名;依据所述第一签名对所述第一设备进行身份校验;在身份校验成功的情况下,更新存储的所述第一设备的ARP条目。本专利技术实施例通过在第一设备发送的ARP报文中增加由预先设置的标识信息所生成的第一签名,第二设备根据该第一签名可以对第一设备的身份进行校验,在校验成功的情况下更新第一设备的ARP条目。解决了现有技术在更新ARP条目时需要加入第三方信任主机进行信息校验,从而增加了设备成本的问题,同时提高了设备之间更新ARP条目的可靠性,达到了防ARP欺骗的效果。说明书附图图1是根据本专利技术实施例的一种ARP条目更新管理方法流程图;图2是根据本专利技术实施例的一种ARP条目更新管理装置框图一;图3是根据本专利技术实施例的一种ARP条目更新管理装置框图二;图4是根据本专利技术实施例的一种ARP条目更新管理装置框图三;图5是根据本专利技术实施例的一种ARP条目更新管理系统框图;图6是本专利技术实施例一提供的一种路由器、主机组网环境结构图;图7是本专利技术实施例一提供的一种标识信息生成方法流程图;图8是本专利技术实施例一提供的一种ARP响应报文。具体实施方式下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。本专利技术实施例提供了一种ARP条目更新管理方法流程图,通过在第一设备发送的ARP响应报文中增加由预先设置的标识信息所生成的第一签名,第二设备根据该第一签名可以对第一设备的身份进行校验,在本文档来自技高网...
【技术保护点】
一种ARP条目更新管理方法,其特征在于,包括:第二设备接收第一设备发送的地址解析协议ARP报文,其中,所述ARP报文携带有依据预先设置的标识信息所生成的第一签名;所述第二设备依据所述第一签名对所述第一设备进行身份校验;在身份校验成功的情况下,所述第二设备更新存储的所述第一设备的ARP条目。
【技术特征摘要】
1.一种ARP条目更新管理方法,其特征在于,包括:第二设备接收第一设备发送的地址解析协议ARP报文,其中,所述ARP报文携带有依据预先设置的标识信息所生成的第一签名;所述第二设备依据所述第一签名对所述第一设备进行身份校验;在身份校验成功的情况下,所述第二设备更新存储的所述第一设备的ARP条目。2.如权利要求1所述的方法,其特征在于,所述第二设备依据所述第一签名对所述第一设备进行身份校验包括:所述第二设备从所述ARP报文中获取所述第一设备的IP地址;所述第二设备获取所述IP地址对应的标识信息,其中,所述IP地址对应的标识信息存储于所述第二设备中;所述第二设备通过预先设置的算法,依据所述IP地址对应的标识信息生成对应的第二签名,其中,所述预先设置的算法用于所述第一设备生成所述第一签名;所述第二设备校验所述第一签名与所述第二签名是否一致。3.如权利要求2所述的方法,其特征在于,所述依据所述IP地址对应的标识信息生成对应的第二签名包括:所述第二设备依据所述预先设置的算法,以所述IP地址对应的标识信息为密钥,对所述ARP报文的协议部分进行加密生成所述第二签名,其中,所述预先设置的算法为不可逆算法。4.如权利要求1-3任一所述的方法,其特征在于,在第二设备接收第一设备发送的地址解析协议ARP报文之前,所述方法还包括:所述第二设备接收第一设备发送的公钥;所述第二设备生成所述预先设置的标识信息,并依据所述公钥对所述预先设置的标识信息进行加密;所述第二设备将加密后生成的数据发送给所述第一设备,由所述第一设备依据所述公钥对应的私钥解密得到所述预先设置的标识信息。5.如权利要求4所述的方法,其特征在于,在所述第二设备从所述ARP报文中获取所述第一设备的IP地址之前,所述方法还包括:所述第二设备解析所述ARP报文,其中,所述ARP报文中携带有源Source字段以及发送端MAC地址SenderMACAddress字段;所述第二设备判断所述source字段与所述SenderMACAddress字段是否一致;在判断一致的情况下,依据所述source字段与所述SenderMACAddress字段确...
【专利技术属性】
技术研发人员:邵长春,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。