一种ARP认证方法、装置及系统制造方法及图纸

本发明专利技术实施例提供一种ARP认证方法、装置及系统，属于网络通信技术领域。所述ARP认证方法通过基于ARP报文的挑战握手认证协议认证过程确定ARP报文的合法性，能有效防止ARP报文欺骗。这种认证方法的实现代价小，可以极大提升ARP学习过程的安全性，保障数据传输的可靠性。而且，对于未开启ARP认证的以太网设备，其传统的ARP学习过程不会受到任何影响。

ARP authentication method, device and system

The embodiment of the invention provides a ARP authentication method, a device and a system, belonging to the field of network communication technology. The ARP authentication method shakes the authentication protocol based on the challenge of the ARP message, and the authentication process determines the legality of the ARP message, thus effectively preventing the ARP message spoofing. The implementation of this authentication method is very cheap, which can greatly improve the security of ARP learning process and ensure the reliability of data transmission. Moreover, the traditional ARP learning process is not affected for Ethernet devices that do not open ARP authentication.

【技术实现步骤摘要】
一种ARP认证方法、装置及系统
本专利技术涉及网络通信
，具体而言，涉及一种ARP认证方法、装置及系统。
技术介绍
ARP(AddressResolutionProtocol，地址解析协议)用于把IP地址解析成LAN(LocalAreaNetwork，局域网)硬件使用的MAC地址。IP数据包通常通过以太网发送，但以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。ARP协议用于将网络中的IP地址解析为目标硬件地址(MAC地址)，以保证通信的顺利进行。由于ARP协议本身没有做任何安全考虑，不会对ARP报文进行合法性验证，使得在以太交换网络中攻击者很容易实现ARP攻击。为防止ARP攻击采用的很多安全措施都很难有效地建立正确的ARP表项，无法保证网络数据传输的稳定性、安全性。目前企业网，特别是金融行业客户，中、农、工、建、交等各大银行，对局域网的安全性要求非常高，正在逐步的部署安全接入控制机制，因此需要一种有效的方法来防止ARP攻击。但是，当前以太交换网络防止ARP攻击所采用的方法，例如关闭ARP动态学习而配置静态ARP，或采用动态ARP监测(DynamicARPInspection)等技术，不是效率大幅度降低，就是使用有局限性、不能从根本上解决ARP攻击。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种ARP认证方法、装置及系统，以改善上述问题。本专利技术较佳实施例提供一种ARP认证方法，应用于请求端，所述方法包括：生成地址解析协议ARP请求报文并将其进行广播，所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；接收被请求端响应于所述ARP请求报文而返回的ARP响应报文；根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证，并将认证结果写入认证响应报文发送至所述被请求端。相应的，本专利技术另一较佳实施例提供一种ARP认证方法，应用于请求端，所述方法包括：接收请求端发送的地址解析协议ARP请求报文，所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；响应于所述ARP请求报文而生成挑战握手认证协议CHAP认证的挑战信息；将所述CHAP认证的挑战信息写入ARP响应报文发送至所述请求端，以使所述请求端响应于所述CHAP认证的挑战信息而生成认证响应报文；接收请求端返回的携带有认证结果的认证响应报文。本专利技术另一较佳实施例提供一种ARP认证装置，应用于请求端，所述装置包括：ARP模块，用于生成地址解析协议ARP请求报文，并交由报文发送模块，所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；报文发送模块，用于将所述ARP请求报文进行广播；报文接收模块，用于接收被请求端响应于所述ARP请求报文而返回的ARP响应报文；认证模块，用于根据ARP响应报文中携带的CHAP认证信息对被请求端进行认证，并将认证结果通知给所述ARP模块；所述ARP模块，还用于将所述认证结果写入认证响应报文发；所述报文发送模块，还用于将所述认证响应报文发送至所述被请求端。相应的，本专利技术另一较佳实施例提供一种ARP认证装置，应用于被请求端，所述装置包括：报文接收模块，用于接收请求端发送的地址解析协议ARP请求报文，所述ARP请求报文的目标硬件地址字段中写入有特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；认证模块，用于响应于所述ARP请求报文而生成挑战握手认证协议CHAP认证信息；ARP模块，用于将所述CHAP认证的挑战信息写入ARP响应报文；报文发送模块，用于将所述ARP响应报文发送至所述请求端，以使所述请求端响应于CHAP认证的挑战信息而生成认证响应报文；所述报文接收模块，还用于接收请求端返回的携带有认证结果的认证响应报文。相应的，本专利技术另一较佳实施例提供了一种ARP认证系统，包括：请求端和被请求端，其中，所述请求端包括本专利技术的应用于请求端的ARP认证装置，所述被请求端包括本专利技术的应用于被请求端的ARP认证装置。本专利技术实施例提供的ARP认证方法、装置及系统，通过基于ARP报文的CHAP(ChallengeHandshakeAuthenticationProtocol，挑战握手认证协议)认证过程确定ARP报文的合法性，可以有效的过滤ARP欺骗报文，防止ARP报文欺骗，这种认证方法的实现代价小，能极大提升ARP学习过程的安全性。而且，对于未开启ARP认证的以太网设备(如交换机或终端)，其传统的ARP学习过程不会受到任何影响。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本专利技术实施例提供的一种ARP认证方法的应用场景图；图2为本专利技术实施例提供的一种应用于请求端的ARP认证方法的流程图；图3为本专利技术实施例提供的ARP报文的部分结构示意图；图4为本专利技术实施例提供的一种应用于被请求端的ARP认证方法的流程图；图5为本专利技术实施例提供的应用于请求端的ARP认证装置的功能模块示意图；图6为本专利技术实施例提供的应用于被请求端的ARP认证装置的功能模块示意图。图标：100-请求端；200-被请求端；110、210-ARP认证装置；112-ARP模块；114-报文发送模块；116-报文接收模块；118-认证模块；212-报文接收模块；214-认证模块；216-ARP模块；218-报文发送模块。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。请参阅图1，是本专利技术实施例提供的一种ARP认证方法的应用场景图。如图所示，该ARP认证方法可以应用于以太网络中两端存在通信交互的设备，其中一端为ARP(AddressResolutionProtocol，地址解析协议)报文的请求端100，另一端为ARP报文的响应端(被请求端200)。作为一种非限制性实施方式，请求端100可以是以太网交换机，相应地，被请求端200可以是以太网主机。请参阅图2，是本专利技术实施例提供的一种应用于请求端100的ARP认证方法的流程图。所应说明的是，本实施例中的方法不以图2及以下所述的具体顺序为限制。下面对图2中所示的各步骤进行详细阐述。步骤101，预先启用请求端100的ARP报文主动认证功能，并配置用于认证的被请求端的ARP认证信本文档来自技高网...

【技术保护点】
一种ARP认证方法，应用于请求端，其特征在于，所述方法包括：生成地址解析协议ARP请求报文并将其进行广播，所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；接收被请求端响应于所述ARP请求报文而返回的ARP响应报文；根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证，并将认证结果写入认证响应报文发送至所述被请求端。

【技术特征摘要】
1.一种ARP认证方法，应用于请求端，其特征在于，所述方法包括：生成地址解析协议ARP请求报文并将其进行广播，所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；接收被请求端响应于所述ARP请求报文而返回的ARP响应报文；根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证，并将认证结果写入认证响应报文发送至所述被请求端。2.根据权利要求1所述的ARP认证方法，其特征在于，当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的添加ARP表项时，所述根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证，并将认证结果写入认证响应报文发送至所述被请求端的步骤包括：根据从所述ARP响应报文中获得的所述被请求端的IP地址以及硬件地址生成临时ARP表项；获取ARP响应报文中携带的CHAP认证的挑战信息，再根据本地预先配置的被请求端的ARP认证信息，判断所述被请求端是否合法，若认证结果为合法，则将所述临时ARP表项写入静态ARP表项，将认证成功指示信息写入认证响应报文发送至所述被请求端；若认证结果为不合法，将认证失败指示信息写入认证响应报文，根据所述临时ARP表项将所述认证响应报文发送至所述被请求端后，删除所述临时ARP表项。3.根据权利要求1或2所述的ARP认证方法，其特征在于，当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的删除ARP表项时，所述根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证，并将认证结果写入认证响应报文发送至所述被请求端的步骤包括：获取ARP响应报文中携带的CHAP认证的挑战信息，再根据本地预先配置的被请求端的ARP认证信息，判断所述被请求端是否合法，若认证结果为合法，则删除与所述ARP请求报文相关的目标静态ARP表项，若认证结果为不合法，则不删除与所述ARP请求报文相关的目标静态ARP表项。4.一种ARP认证方法，应用于被请求端，其特征在于，所述方法包括：接收请求端发送的地址解析协议ARP请求报文，所述ARP请求报文的目标硬件地址字段中写入有特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证功能；响应于所述ARP请求报文而生成挑战握手认证协议CHAP认证的挑战信息；将所述CHAP认证的挑战信息写入ARP响应报文发送至所述请求端，以使所述请求端响应于所述CHAP认证的挑战信息而生成认证响应报文；接收所述请求端返回的携带有认证结果的认证响应报文。5.根据权利要求4所述的ARP认证方法，其特征在于，当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的添加ARP表项时，在所述接收请求端发送的地址解析协议ARP请求报文的步骤之后，在响应于所述ARP请求报文而生成挑战握手认证协议CHAP认证的挑战信息的步骤之前，所述方法还包括：根据从所述ARP请求报文中获得的所述请求端的IP地址以及硬件地址生成临时ARP表项。6.根据权利要求5所述的ARP认证方法，其特征在于，在接收请求端返回的携带有认证结果的认证响应报文的步骤之后，所述方法还包括：若认证结果为合法，则将所述临时ARP表项写入静态ARP表项；若认证结果为不合法，则删除所述临时ARP表项。7.根据权利要求4-6任一项所述的ARP认证方法，其特征在于，当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的删除ARP表项时，在接收请求端返回的携带有认证结果的认证响应报文的步骤之后，所述方法还包括：若认证结果为合法，则删除与所述ARP请求报文相关的目标静态ARP表项，若认证结果为不合法，则不删除与所述ARP请求报文相关的目标静态ARP表项。8.一种ARP认证装置，其特征在于，所述装置包括：ARP模块，用于生成地址解析协议ARP请求报文，并交由报文发送模块，所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址，所述特定组播硬件地址用于指示所述被请求端开启被动认证...

【专利技术属性】
技术研发人员：邹林均，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51