電子欺騙的防止的製作方法

2023-05-27 12:20:21

專利名稱：電子欺騙的防止的製作方法
技術領域：
本發明涉及連接到例如乙太網的共享介質接入網絡用戶的公 共網絡(例如網際網路)的安全。
背景技術：
當使用網際網路時，期望的是通過專用的網際網路協議(IP)地址 來識別用戶。這有助於識別對例如國家安全有危險的非法業務或 行為。但是，如果用戶通過公共乙太網絡連接到網際網路，則對用 戶的識別將變得更加困難，因為在標準網絡中用戶改變他的IP地
址和MAC地址(這種行為通常被稱作"電子欺騙")都不存在技 術障礙，術語"公共乙太網"指代乙太網網絡，其中，核心網絡 由構成聚合聚合網絡的自學習交換機或者結點組成。採用分組的 目標介質存取控制(MAC)地址完成在聚合網絡上的交換，藉助每個 結點，隨著相關的目標地址接收和重定向分組，將MAC地址逐漸 與相關的目標地址關聯。這可以通過利用地址解析協議(ARP)請求 來完成，每次當聚合網絡中的交換機接收到具有新的MAC地址的 分組時，該請求被送往網絡中的邊緣結點或路由器。
在乙太網接入網絡中實行用戶身份是有可能的，其中要求每 個用戶在允許接入網絡之前使用唯一的用戶名和密碼登錄，例如 通過點到點協議PPPoE實行。但是，這樣的系統並不總是被人認 可，因為每次都要登陸不可避免減慢了接入速度。在這種共享介 質中的進一步的技術方案包括在所有用戶之間路由所有業務。但 是，這樣做代價昂貴而效率低下。接入結點必須能路由所有業務 並且每個用戶必需被有效地分配到至少一個IP子網，IP子網通 常包括4個IP位址，不管需要多少IP位址。當乙太網接入網絡 中沒有這樣的配置或路由限制時，網絡內的安全依賴於互相信任和所有用戶對管理規則的遵守。
考慮到現有技術，本發明的一個目標是在不對網絡自身中的 配置或路由作限制的情況下提高乙太網接入網絡的安全性。

發明內容
這些或進一步的目的在用於將至少一個用戶連接到乙太網網 絡的接入結點中實現。該接入結點具有用於存儲被連接用戶的地 址信息的表。它還包括過濾模塊，適於識別在所述網絡上接收的 數據分組的目標地址，並僅當該分組具有與存儲在所述表中的地 址信息對應的目標地址時，才允許向其中一個所述用戶發送該數 據分組。
這樣的配置有效地避免了下列情況的發生用戶發送假的地 址信息，導致聚合網絡將業務錯誤地轉向真正的目的地，從而使 該用戶接收到指定給另一用戶的信息。但是，該網絡絲毫不受影 響並且業務可以通過經過聚合網絡的最短路徑繼續流動。
優選地，接入結點存儲分配給用戶的IP和MAC地址。這可以 防止在聚合網絡內因為僅基於MAC地址而錯誤地路由業務。
還可以通過下列方式進一步提高安全級別設置過濾模塊對
接收自其中一個用戶經網絡發送的分組中的源地址信息作進一步 的識別，並且僅當該分組源地址信息對應於表中存儲的地址信息 時，才允許將這些分組發送到該網絡。
因此可以避免用戶通過錯誤或者出於惡意的目的來非法利用 假的或重複的IP位址的任何企圖。


本發明更多的目標和優點從下列以例子的方式給出的優選實 施例的描述結合參考附圖將會變得更明顯。附圖中
圖1示意性地圖示出具有標準乙太網交換機和按照本發明的 接入節點的標準乙太網網絡。
圖2示意性地圖示出根據本發明的接入結點的功能單元，以及
圖3示出流程圖，其圖示出根據本發明的接入結點的過濾功能。
具體實施例方式
圖1示出標準乙太網網絡10，在本例中其作為到網際網路的接 入網絡或連接到網際網路的另一個外部網絡的接入網絡。到外部網 絡的連接由路由器18確保，路由器18連接到由標準自學習以太 網交換機14， 16組成的聚合網絡。聚合網絡的交換機14， 16的 結構和功能為本領域所熟知，所以這裡就不作進一步討論。如圖 所示，兩個用戶、用戶A20-1和用戶B20-2通過接入結點12-1、 12-2連接到網絡10。示出的用戶為PC，但是可以理解的使，其 他設備也可以構成用戶設備。常規的接入結點12-1、 12-2包括由 Ericsson製造的Fibre Ethernet Access ELN200或ADSL Ethernet moderm EDA ESN312 IPDSLAM。本實施例的接入結點12-1、 12-2 可基於這些已知設備但包括下述附加的功能和特徵。
為便於闡釋，示出的接入結點ANl 12-1、 AN2 12-2的每個具 有5個埠。在本實施例中，如圖所示，用戶A20-l連接到接入 結點AN1 12-1的埠 2，用戶B20-2連接到接入結點AN2 12-2 的埠 5。接入結點AN1 12-1、 AN2 12-2的其餘埠沒有被佔用， 但本領域的技術人員可以理解的使，新增的用戶可以連接到這些 埠。在所示的配置中，接入結點ANl 12-1、 AN2 12-2的每個的 埠 1連接到構成聚合網絡一部分的乙太網交換機14的一個端 口。更詳細地，接入結點ANl 12-1連接到此交換機14的埠 2, 接入結點AN2 12-2連接到此交換機的埠 3。第三埠 (交換機 14的埠 3)連接到聚合網絡16中的另一個交換機。
連接到網絡10的用戶A20-l和用戶B20-2的每一個被分配 IP位址和MAC地址。IP位址被網際網路服務提供商ISP正常定義並 通信。MAC地址通常在用戶網絡接口卡(NIC卡)中配置，該卡帶有 在出廠時預定義的唯一的MAC地址。為便於闡釋，用戶A20-1的
6MAC地址為MACA, IP位址為IP1，用戶B20—2的MAC地址為MAC B， IP位址為IP2。路由器18也被分配MAC地址和IP位址，在本 例中分別為MAC C和IP3。在聚合網絡中，路由僅基於包含在數 據分組目標地址中的MAC地址。交換機14、 16和接入結點12-1、 12-2的每一個保存路由信息。這由圖1中的與乙太網交換機14 關聯的乙太網路由表140、與接入結點12-1關聯的表120-1和與 接入結點12-2關聯的表120-2示出，相關聯的交換機或結點利用 每個表，根據目的MAC地址將分組轉發到正確的埠。隨著交換 機或結點"學習"將帶有指定MAC地址的分組與特定的路由相關 聯，包含在這些表140、 120-1、 120-2中的路由信息逐漸積累起 來，這種關聯基於ARP請求中接收到的源地址信息、DHCP應答或 其他分組發送。 一旦此類信息形成，分組就經過聚合網絡由最短 路徑發送。
但是，在這樣的配置中，用戶可能試圖改變其MAC地址或IP 地址以從其他用戶那裡竊取分組，即使這些地址已經被分配給另 一個用戶。例如，用戶可以發送具有假的源MAC或IP位址的分組， 然後這些信息會被當成真實地址放入(be assimilated into )路 由表。例如，在圖1中，用戶B20-2可將其MAC地址從MAC B改 成MAC A以偶爾地竊取向用戶A20-l發送的乙太網分組。雖然以 這種方式截獲的分組的數量很少(可能10000隻中有一個)，但 對於惡意用戶來說，這種欺詐使用可能依然有吸引力，因為隨著 時間的推移，被竊取的分組中將包含敏感信息，例如安全密碼等。 這可以通過以下方法實現用戶A通過PC A發送TCP/IP請求到 網際網路並等待回答。用戶B通過PC B發送採用源地址MAC A而不 是MACB的假分組，目的在於重定向業務。該假分組導致乙太網 交換機SW1 14改變它的路由表，使得具有目標地址MAC A的分組 被映射到埠 3而不是埠2。相似地，接入結點AN2 12-2上的 路由表被改變，使得具有目標地址MAC A的分組被映射到埠 5。 隨著這些變化，對用戶A發送的TCP/IP請求的響應或任何其他以 PC A20-l為目的地的分組將會被重定向到PC B20-2和用戶B。相似地，用戶B可通過從PC B20-2發送一個具有源地址為MAC C的 假分組，假冒(assume)路由器18的MAC地址。該步驟將造成以 太網交換機SW1 14改變它的路由表，將發送給MAC C的分組映射 到埠 3代替埠 1,並且使得接入結點AN2改變它的路由表， 將MACC映射到埠 5。然後，在網絡10內任何打算向路由器18 發送的具有目標地址MAC C的分組(例如來自PC A20-l )會被重 定向到PC B20-2。
根據本發明，通過在接入結點中提供過濾功能避免了這一點。 圖2示出在接入結點12-2中簡化和示意性的過濾配置表示。如圖 2所示，每個接入結點12具有過濾模塊122，過濾模塊122從每 個進入的分組中提取地址信息並通過對表124的查詢來驗證IP地 址是否對應於連接到該接入結點12的用戶的IP位址。表124包 含正確的(即初始分配的)每個被連接用戶的IP和MAC地址。該 過濾模塊122通過參考表124，對照分配給該IP位址用戶的地址， 檢測所有進入分組的MAC目標地址。如果這些地址是匹配的，則 將分組發送給該用戶；如果找不到匹配，那就阻止分組。這樣， 如果用戶在送出的分組中採用不同於初始分配給其的MAC地址作 為源地址，則如上述兩例所所述，這些分組將會被接入結點阻止。
接入結點12中的過濾功能在用戶不知情的情況下發生。欺詐 性的誤轉向分組在該接入結點處就被阻止而不會象採用乙太網路 由表時那樣，被傳送給用戶。
除了基於目標IP和MAC地址來過濾進入或下行鏈路的分組之 外，該過濾模塊22也可以過濾送出的分組來保證這些分組包含合 法的IP源地址。該功能用於防止用戶非法使用另一個用戶的IP 源地址。例如，用戶B可能將送往網際網路的TCP/IP請求中的PC B20-2發送的分組的源地址從IP B改成IP A。儘管向IP A (即 PC A20-2的IP位址)發送，但是響應在網絡10中的路由將會採 用在TCP/IP中記錄(feature )的MAC源地址，例如MAC B，因 此其被重定向到PC B20-2上的用戶B。通過阻止那些源IP位址 不屬於所連接的用戶之一的分組，或者通過阻止那些構不成合法對(MAC地址和與之關聯的被連接用戶之一 )的分組，所述接入 結點阻止了對分組的詐騙性挪用或偶然的挪用。
對於一些接入結點來說，由其根據IP位址對上行鏈路或送出 分組進行過濾是已知的特徵並且通常被納入到公共乙太網網絡 中，以使得通過它們的IP位址能夠識別所有用戶。但是，當這種 已知的過濾機制與本發明的過濾功能相結合時，即當根據目標IP 和MAC地址對來過濾進入的分組時，網絡安全性大大改進了。而 且，這種安全性的改進不會影響接入網絡的基礎結構或會對安分 守己的用戶有限制。例如，用戶無需象實現點到點協議時(PPPoE) 登錄時那樣，需要進入登錄過程。網絡操作員無需做出重要的改 變。
接入結點12中過濾機制的功在圖3中以流程圖的形式示出。 開始於事件IOO,過濾模塊122接收下一個進入分組。在步驟101， 確定接收到的分組在哪個埠。如果該分組在埠 l接收(因此 表示接收來自網絡10的分組)，則該方法繼續到步驟102。在第 三步驟，從分組報頭提取IP和MAC目標地址對。在步驟103，將 這些地址與過濾表124中的條目比對。如果這兩個地址與該表的 條目中是匹配的，則它們表示合法的用戶地址。該方法然後繼續 到步驟104並且發送分組到相應的埠 。另一方面，如果所提取 的IP和MAC目標地址對沒有包含在表124的條目中，則該方法轉 到步驟105，該分組被阻止。在接入結點為AN2 12-2的情況下， 過濾表124隻包含用戶的User B (PC B，20-2)的MAC和IP位址。 該條目因此包含埠號5、 IP位址IP 2和MAC地址MAC B。 IP和 MAC地址的任何其他的組合將導致在步驟103中產生"否"的結 果並且該方法會轉到步驟105,從而阻止該分組。如果在步驟101， 該分組從埠 1到5中的一個接收到分組(此時表明它由網絡10 外部的用戶發送)，那麼該方法轉到步驟106，在該步驟中提取 IP和MAC源地址。然後在步驟107查詢過濾表124,並且如果包 含在該分組中的IP源地址或IP和MAC源地址的組合沒有在表中 記錄，那麼該方法轉到步驟105並且該分組被阻止。這表明用戶
9至少是非法修改了分組中的所分配的IP源地址。另一方面，在步
驟107，如果在表中查找到該IP源地址或IP和MAC源地址的組 合，那麼該方法繼續進行到步驟104，以已知的方式，將分組轉 發到在常規ARP表(乙太網路由表)中定義的埠。除了阻止非授 權的分組之外，過濾功能112還可以通過發送警告，向網絡操作 員告知該事件。另外，接入結點12可以生成事件日誌，其被發送 給接入網絡的操作員或管理員，或供他們查詢。通過採用假MAC 地址來截取鄰近用戶的業務數據的事情日益增多，這在預示著潛 在的安全風險的同時，也將由於分組不可避免地被誤轉向而影響 到接入網內的數據流量。結果是，網絡提供的服務質量將會降低。 如果網絡操作員警覺到該問題，就可以採取步驟(例如斷開欺詐
行為用戶的埠 )來阻斷該用戶。
過濾表124可以當用戶連接到接入結點12時生成。分配給每 個用戶的IP位址可以通過窺探網際網路服務提供商(ISP)和用戶之 間交換的消息(例如動態主機配置協議(DHCP)或點到點協議(PPP) 消息)獲得。替代的方式是，如果IP位址是手動配置的，則可以 通過直接詢問用戶或者ISP得到。MAC地址也可以通過詢問得到。
圖2所示的過濾表124與相對於乙太網路由表120-1和120-2 的分立實體。但是，可以理解的是，該過濾表124最終將會取代 具有定義了用於過濾功能的地址的埠的路由表120-1和120-2。 例如，當過濾功能只對以與埠 2到5相關聯方式存儲的地址進 行操作時，圖2所示的過濾表124將會被擴展到包含至少是關於 經埠 1路由到的MAC地址的信息。
權利要求
1、一種接入結點，用於將至少一個用戶連接到乙太網網絡，所述接入結點包括存儲模塊(124)，用於存儲所述用戶的地址信息，其特徵在於，包含過濾模塊(122)，適於識別在所述網絡(10)上接收的數據分組的目標地址，並僅當那些數據分組具有與存儲在所述存儲模塊(124)內的地址信息對應的目標地址時，才允許向其中一個所述用戶傳輸數據分組。
2、 如權利要求1所述的接入結點，其特徵在於所述存儲模塊 (124)適於為每個用戶存儲與介質接入控制地址相關聯的網際網路 協議地址，並且所述過濾模塊適於從所述接收到的分組中提取IP 目標地址和MAC目標地址並將所述提取的目標地址與所述存儲的 地址信息進行比較。
3、 如權利要求1或2所述的接入結點，其特徵在於所述過濾 模塊(122)進一步適於識別從所述用戶之一接收到的用於在所述 網絡(10)上傳輸的分組所包含的源地址信息，並且僅當分組源地 址信息對應於存儲在所述存儲模塊(124)中的地址信息時，才允許 所述分組到所述網絡的傳輸。
4、 如權利要求3所述的接入結點，其特徵在於所述存儲模塊 (124)適於為每個用戶存儲與介質接入控制地址相關聯的網際網路 協議地址，並且所述過濾模塊進一步適於提取從所述用戶接收到 的分組的IP目標地址和MAC目標地址並將所述提取的目標地址與 所述存儲的地址信息進行比較。
5、 如之前任意一項權利要求所述的接入結點，其特徵在於所 述過濾模塊進一步適於當所述識別的地址信息與所述存儲的地址 信息不對應時，產生警告信號。
6、 一種在接入節點過濾分組的方法，該接入結點用於將用戶 連接到乙太網接入網絡，所述方法包括以下步驟在所述接入網絡上接收分組， 提取包含在所述分組內的目標地址信息，將目標地址信息與存儲模塊(124)內為每個用戶而存儲的地址 信息進行比較，以及僅當該地址信息包含在所述存儲模塊(124)內時，將所述分組 發送給所述用戶之一。
7、 如權利要求6所述的方法，其特徵在於所述提取目標地址 信息的步驟包括從所述分組中提取目標IP位址和MAC地址對並且 所述比較步驟包括將提取的IP和MAC目標地址對與存儲在所述存 儲模塊(124)中的IP和MAC地址對進行比較。
8、 如權利要求6或7所述的方法，進一步包括步驟 從其中一個所述用戶接收指定為在所述乙太網網絡(10)上傳輸的分組，從所述分組中提取源地址信息，將所述提取的源地地址信息與所述存儲模塊內為每個用戶存 儲的地址信息進行比較，以及僅當提取的地址信息包含在所述存儲模塊內時，將所迷分組發 送到所述乙太網網絡。
9、 如權利要求8所述的方法，其特徵在於所述提取源地址信 息的步驟包括提取至少所述分組的IP源地址的步驟和所述比較步 驟包括將至少所述提取的IP源地址與為每個用戶存儲的IP位址 進行比較。
10、 如權利要求9所述的方法，其特徵在於所述提取源地址信 息的步驟包括還提取分組的MAC源地址的步驟和所述比較步驟包 括將所述提取的IP源地址和MAC源地址對與為每個用戶存儲的 IP和MAC源地址進行比較。
11、 如權利要求6到10中的任意一項權利要求所述的方法， 進一步包括當所述提取的地址信息與所述存儲的地址信息不對應 時，產生警告信號的步驟。
全文摘要
在用於接入網際網路的標準乙太網接入網絡中，沒有技術上的安全措施來防止用戶改變其地址信息以非法地從其他用戶挪用分組，或僅僅是偽裝其身份。通過在接入結點實現過濾機制，改進了網絡的整體安全而沒有犧牲乙太網接入網絡上的簡單性和傳輸的速度。該過濾機制通過利用結合分配的IP目標地址與分配的MAC地址，對向連接到接入結點上的用戶發送的分組進行過濾。任何發向用戶但包含不正確的MAC或IP位址的分組都會被阻止。
文檔編號H04L29/06GK101641933SQ200680056732
公開日2010年2月3日 申請日期2006年12月22日 優先權日2006年12月22日
發明者U·賈雷達爾 申請人:艾利森電話股份有限公司