基于无线局域网的源地址验证方法技术

本发明专利技术公开了一种基于无线局域网的源地址验证方法，包括：创建绑定表，并使绑定表中保存有进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；获取来自设备的报文，并基于设备的MAC地址，在绑定表中查找与该MAC地址绑定的IP地址；获取报文的IP地址，并在判断出查找的IP地址与该报文的IP地址相同的情况下，确定该报文的源地址合法，并转发该报文。该方法能够准确验证进入无线局域网的所有设备中每个设备的报文的源地址是否合法，防止无线局域网中基于源地址伪造的各类网络攻击，大大提高了无线局域网的使用安全性。

【技术实现步骤摘要】
基于无线局域网的源地址验证方法
本专利技术涉及互联网
，尤其涉及一种基于无线局域网的源地址验证方法。
技术介绍
现行的IP/TCP协议在设计之初并没有在安全问题上做过多考虑，协议默认网络中数据包包含的源地址信息都是真实可靠的，不会对数据包来源的合法性进行筛查和检验。然而，随着互联网使用环境的巨变，其慢慢从学术同行交流的工具变成了全社会的基础设施，通过伪造源地址字段进行的网络攻击越来越多，给整个互联网的发展带来了很大挑战。这类攻击往往容易发起却难以追溯，危害网络安全，也给网络管理、诊断、计费等带来了巨大阻碍。为了保证网络中源地址信息的可靠性、防止源地址伪造攻击，本领域技术人员提出了一系列源地址验证方法。无线局域网(WirelessLocalAreaNetwork,WLAN)利用无线通信技术，将有限范围内的设备相互连接起来，使得用户可以在信号覆盖范围内移动而保持连接。无线局域网的安全隐患较大，现有的大量智能手机、平板电脑、笔记本电脑等设备，很多通过无线接入互联网，而它们有可能被攻击者远程控制，发起基于源地址伪造的各类网络攻击，产生巨大的危害，并且难以追溯。然而，虽然目前提出了一系列源地址验证方法，但并没有将该方法应用于无线局域网的各个部署场景，以致不能解决无线局域网中基于源地址伪造的各类网络攻击。因此，需要提供一种基于无线局域网的源地址验证方法。
技术实现思路
本专利技术所要解决的技术问题是：目前提出了一系列源地址验证方法，但并没有将该方法应用于无线局域网的各个部署场景，以致不能解决无线局域网中基于源地址伪造的各类网络攻击。为了解决上述技术问题，本专利技术提供了一种基于无线局域网的源地址验证方法，包括：创建绑定表，并使所述绑定表中保存有进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；获取来自所述设备的报文，并基于所述设备的MAC地址，在所述绑定表中查找与该MAC地址绑定的IP地址；获取所述报文的IP地址，并在判断出查找的IP地址与该报文的IP地址相同的情况下，确定该报文的源地址合法，并转发该报文。在本专利技术一优选实施例中，创建绑定表，并使所述绑定表中保存有进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；判断所述绑定关系是否合法，若合法，则将所述绑定关系添加至绑定表；否则，丢弃该绑定关系。在本专利技术一优选实施例中，获取进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取由无线局域网的管理人员指定进入无线局域网的部分设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；以及获取通过无线路由器嗅探进入无线局域网的其余设备中每个设备与地址分配服务器的交互报文，并从中得到该设备的MAC地址与分配给该设备的IP地址的绑定关系。在本专利技术一优选实施例中，所述绑定表包括：IP-MAC绑定表和MAC-IP绑定表。在本专利技术一优选实施例中，创建绑定表，并使所述绑定表中保存有进入集中式无线局域网的FIT-AP部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取进入所述FIT-AP部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，并将该绑定关系发送给控制器；通过所述控制器判断所述绑定关系是否合法，若合法，则由所述控制器将所述绑定关系添加至IP-MAC绑定表，并通知无线路由器将该绑定关系添加至MAC-IP绑定表，以实现IP-MAC绑定表与MAC-IP绑定表的同步；否则，丢弃该绑定关系。在本专利技术一优选实施例中，所述IP-MAC绑定表和所述MAC-IP绑定表的同步通过扩展协议来执行。在本专利技术一优选实施例中，当进入集中式无线局域网的FIT-AP部署场景的所有设备中每个设备从由第一控制器控制的与该设备连接的第一无线路由器的范围移动到由第一控制器控制的第二无线路由器的范围时，第一无线路由器在检测到所述设备与其断开连接后，自动删除存储在第一无线路由器中的MAC-IP绑定表中与所述设备相关的绑定关系；当第二无线路由器检测到所述设备后，第二无线路由器向第一控制器请求存储在第一控制器中的IP-MAC绑定表中与所述设备相关的绑定关系；当第一控制器接受请求后，将该绑定关系发送给第二无线路由器，第二无线路由器将该绑定关系存储在第二无线路由器中的MAC-IP绑定表中，以实现所述设备的绑定关系的迁移。在本专利技术一优选实施例中，当进入集中式无线局域网的FIT-AP部署场景的所有设备中每个设备从由第二控制器控制的第三无线路由器的范围移动到由第三控制器控制的第四无线路由器的范围时，第四无线路由器在检测到所述设备后，通知第三控制器，第三控制器向第二控制器请求存储在第二控制器中的IP-MAC绑定表中与所述设备相关的绑定关系；当第二控制器接受请求后，将该绑定关系发送给第三控制器，第三控制器将该绑定关系存储在第三控制器中的IP-MAC绑定表中，并将该绑定关系发送给第四无线路由器，第四无线路由器将该绑定关系存储在第四无线路由器中的MAC-IP绑定表中；第二控制器自动删除存储在第二控制器中的IP-MAC绑定表中与所述设备相关的绑定关系，第三无线路由器自动删除存储在第三无线路由器中的MAC-IP绑定表中与所述设备相关的绑定关系，以实现所述设备的绑定关系的迁移。在本专利技术一优选实施例中，创建绑定表，并使所述绑定表中保存有进入集中式无线局域网的FIT-AC部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取进入所述FIT-AC部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，并将该绑定关系发送给控制器；通过所述控制器判断所述绑定关系是否合法，若合法，则由所述控制器将所述绑定关系添加至IP-MAC绑定表和MAC-IP绑定表；否则，丢弃该绑定关系。在本专利技术一优选实施例中，当进入集中式无线局域网的FIT-AC部署场景的所有设备中每个设备从由第四控制器控制的第五无线路由器的范围移动到由第五控制器控制的第六无线路由器的范围时，第六无线路由器在检测到所述设备后，通知第五控制器，第五控制器向第四控制器请求存储在第四控制器中的IP-MAC绑定表和MAC-IP绑定表中与所述设备相关的绑定关系；当第四控制器接受请求后，将该绑定关系发送给第五控制器，第五控制器将该绑定关系存储在第五控制器中的IP-MAC绑定表和MAC-IP绑定表中；第四控制器自动删除存储在第四控制器中的IP-MAC绑定表和MAC-IP绑定表中与所述设备相关的绑定关系，以实现所述设备的绑定关系的迁移。在本专利技术一优选实施例中，创建绑定表，并使所述绑定表中保存有进入分布式无线局域网的FAT-AP部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取进入所述FAT-AP部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；通过无线路由器判断所述绑定关系是否合法，若合法，则由所述无线路由器将所述绑定关系添加至IP-MAC绑定表和MAC-IP绑定表；否则，丢弃该绑定关系。在本专利技术一本文档来自技高网...

【技术保护点】
1.一种基于无线局域网的源地址验证方法，其特征在于，包括：创建绑定表，并使所述绑定表中保存有进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；获取来自所述设备的报文，并基于所述设备的MAC地址，在所述绑定表中查找与该MAC地址绑定的IP地址；获取所述报文的IP地址，并在判断出查找的IP地址与该报文的IP地址相同的情况下，确定该报文的源地址合法，并转发该报文。

【技术特征摘要】
1.一种基于无线局域网的源地址验证方法，其特征在于，包括：创建绑定表，并使所述绑定表中保存有进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；获取来自所述设备的报文，并基于所述设备的MAC地址，在所述绑定表中查找与该MAC地址绑定的IP地址；获取所述报文的IP地址，并在判断出查找的IP地址与该报文的IP地址相同的情况下，确定该报文的源地址合法，并转发该报文。2.根据权利要求1所述的基于无线局域网的源地址验证方法，其特征在于，创建绑定表，并使所述绑定表中保存有进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；判断所述绑定关系是否合法，若合法，则将所述绑定关系添加至绑定表；否则，丢弃该绑定关系。3.根据权利要求2所述的基于无线局域网的源地址验证方法，其特征在于，获取进入无线局域网的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取由无线局域网的管理人员指定进入无线局域网的部分设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系；以及获取通过无线路由器嗅探进入无线局域网的其余设备中每个设备与地址分配服务器的交互报文，并从中得到该设备的MAC地址与分配给该设备的IP地址的绑定关系。4.根据权利要求3所述的基于无线局域网的源地址验证方法，其特征在于，所述绑定表包括：IP-MAC绑定表和MAC-IP绑定表。5.根据权利要求4所述的基于无线局域网的源地址验证方法，其特征在于，创建绑定表，并使所述绑定表中保存有进入集中式无线局域网的FIT-AP部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，包括：获取进入所述FIT-AP部署场景的所有设备中每个设备的MAC地址与分配给该设备的IP地址的绑定关系，并将该绑定关系发送给控制器；通过所述控制器判断所述绑定关系是否合法，若合法，则由所述控制器将所述绑定关系添加至IP-MAC绑定表，并通知无线路由器将该绑定关系添加至MAC-IP绑定表，以实现IP-MAC绑定表与MAC-IP绑定表的同步；否则，丢弃该绑定关系。6.根据权利要求5所述的基于无线局域网的源地址验证方法，其特征在于，所述IP-MAC绑定表和所述MAC-IP绑定表的同步通过扩展协议来执行。7.根据权利要求4所述的基于无线局域网的源地址验证方法，其特征在于，当进入集中式无线局域网的FIT-AP部署场景的所有设备中每个设备从由第一控制器控制的与该设备连接的第一无线路由器的范围移动到由第一控制器控制的第二无线路由器的范围时，第一无线路由器在检测到所述设备与其断开连接后，自动删除存储在第一无线路由器中的MAC-IP绑定表中与所述设备相关的绑定关系；当第二无线路由器检测到所述设备后，第二无线路由器向第一控制器请求存储在第一控制器中的IP-MAC绑定表中与所述设备相关的绑定关系；当第一控制器接受请求后，将该绑定关系发送给第二无线路由器，第二无线路由器将该绑定关系存储在第二无线路由器中的MAC-IP绑定表中，以实现所述设备的绑定关系的迁移。8.根据权利要求4所述的基于无线局域网的源地址验证方法，其特征在于，当进入集中式无线局域网的FIT-AP部署场景的所有设备中每个设备从由第二控制器控制的第三无线路由器的范围移动到由第三控制器控制的第四无线路由器的范围时，第四无线路由器在检测到所述设备后，...

【专利技术属性】
技术研发人员：毕军，乔奕，张梦豪，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京,11