The embodiment of the invention provides a ARP authentication method, a device and a system, belonging to the field of network communication technology. The ARP authentication method shakes the authentication protocol based on the challenge of the ARP message, and the authentication process determines the legality of the ARP message, thus effectively preventing the ARP message spoofing. The implementation of this authentication method is very cheap, which can greatly improve the security of ARP learning process and ensure the reliability of data transmission. Moreover, the traditional ARP learning process is not affected for Ethernet devices that do not open ARP authentication.
【技术实现步骤摘要】
一种ARP认证方法、装置及系统
本专利技术涉及网络通信
,具体而言,涉及一种ARP认证方法、装置及系统。
技术介绍
ARP(AddressResolutionProtocol,地址解析协议)用于把IP地址解析成LAN(LocalAreaNetwork,局域网)硬件使用的MAC地址。IP数据包通常通过以太网发送,但以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。ARP协议用于将网络中的IP地址解析为目标硬件地址(MAC地址),以保证通信的顺利进行。由于ARP协议本身没有做任何安全考虑,不会对ARP报文进行合法性验证,使得在以太交换网络中攻击者很容易实现ARP攻击。为防止ARP攻击采用的很多安全措施都很难有效地建立正确的ARP表项,无法保证网络数据传输的稳定性、安全性。目前企业网,特别是金融行业客户,中、农、工、建、交等各大银行,对局域网的安全性要求非常高,正在逐步的部署安全接入控制机制,因此需要一种有效的方法来防止ARP攻击。但是,当前以太交换网络防止ARP攻击所采用的方法,例如关闭ARP动态学习而配置静态ARP,或采用动态ARP监测(DynamicARPInspection)等技术,不是效率大幅度降低,就是使用有局限性、不能从根本上解决ARP攻击。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种ARP认证方法、装置及系统,以改善上述问题。本专利技术较佳实施例提供一种ARP认证方法,应用于请求端,所述方法包括:生成地址解析协议ARP请求报文并将其进行广播,所述ARP请求报文的目 ...
【技术保护点】
一种ARP认证方法,应用于请求端,其特征在于,所述方法包括:生成地址解析协议ARP请求报文并将其进行广播,所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址,所述特定组播硬件地址用于指示所述被请求端开启被动认证功能;接收被请求端响应于所述ARP请求报文而返回的ARP响应报文;根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证,并将认证结果写入认证响应报文发送至所述被请求端。
【技术特征摘要】
1.一种ARP认证方法,应用于请求端,其特征在于,所述方法包括:生成地址解析协议ARP请求报文并将其进行广播,所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址,所述特定组播硬件地址用于指示所述被请求端开启被动认证功能;接收被请求端响应于所述ARP请求报文而返回的ARP响应报文;根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证,并将认证结果写入认证响应报文发送至所述被请求端。2.根据权利要求1所述的ARP认证方法,其特征在于,当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的添加ARP表项时,所述根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证,并将认证结果写入认证响应报文发送至所述被请求端的步骤包括:根据从所述ARP响应报文中获得的所述被请求端的IP地址以及硬件地址生成临时ARP表项;获取ARP响应报文中携带的CHAP认证的挑战信息,再根据本地预先配置的被请求端的ARP认证信息,判断所述被请求端是否合法,若认证结果为合法,则将所述临时ARP表项写入静态ARP表项,将认证成功指示信息写入认证响应报文发送至所述被请求端;若认证结果为不合法,将认证失败指示信息写入认证响应报文,根据所述临时ARP表项将所述认证响应报文发送至所述被请求端后,删除所述临时ARP表项。3.根据权利要求1或2所述的ARP认证方法,其特征在于,当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的删除ARP表项时,所述根据ARP响应报文中携带的CHAP认证的挑战信息对被请求端进行认证,并将认证结果写入认证响应报文发送至所述被请求端的步骤包括:获取ARP响应报文中携带的CHAP认证的挑战信息,再根据本地预先配置的被请求端的ARP认证信息,判断所述被请求端是否合法,若认证结果为合法,则删除与所述ARP请求报文相关的目标静态ARP表项,若认证结果为不合法,则不删除与所述ARP请求报文相关的目标静态ARP表项。4.一种ARP认证方法,应用于被请求端,其特征在于,所述方法包括:接收请求端发送的地址解析协议ARP请求报文,所述ARP请求报文的目标硬件地址字段中写入有特定组播硬件地址,所述特定组播硬件地址用于指示所述被请求端开启被动认证功能;响应于所述ARP请求报文而生成挑战握手认证协议CHAP认证的挑战信息;将所述CHAP认证的挑战信息写入ARP响应报文发送至所述请求端,以使所述请求端响应于所述CHAP认证的挑战信息而生成认证响应报文;接收所述请求端返回的携带有认证结果的认证响应报文。5.根据权利要求4所述的ARP认证方法,其特征在于,当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的添加ARP表项时,在所述接收请求端发送的地址解析协议ARP请求报文的步骤之后,在响应于所述ARP请求报文而生成挑战握手认证协议CHAP认证的挑战信息的步骤之前,所述方法还包括:根据从所述ARP请求报文中获得的所述请求端的IP地址以及硬件地址生成临时ARP表项。6.根据权利要求5所述的ARP认证方法,其特征在于,在接收请求端返回的携带有认证结果的认证响应报文的步骤之后,所述方法还包括:若认证结果为合法,则将所述临时ARP表项写入静态ARP表项;若认证结果为不合法,则删除所述临时ARP表项。7.根据权利要求4-6任一项所述的ARP认证方法,其特征在于,当所述特定组播硬件地址用于指示所述被请求端开启被动认证功能的删除ARP表项时,在接收请求端返回的携带有认证结果的认证响应报文的步骤之后,所述方法还包括:若认证结果为合法,则删除与所述ARP请求报文相关的目标静态ARP表项,若认证结果为不合法,则不删除与所述ARP请求报文相关的目标静态ARP表项。8.一种ARP认证装置,其特征在于,所述装置包括:ARP模块,用于生成地址解析协议ARP请求报文,并交由报文发送模块,所述ARP请求报文的目标硬件地址字段中写入特定组播硬件地址,所述特定组播硬件地址用于指示所述被请求端开启被动认证...
【专利技术属性】
技术研发人员:邹林均,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。