一種安全arp的實現方法及網絡設備的製作方法

2023-05-08 08:54:21

專利名稱：一種安全arp的實現方法及網絡設備的製作方法
技術領域：
本發明涉及通信領域，尤其涉及一種安全ARP的實現方法及網絡設備。
背景技術：
數據鏈路上的設備需要一種方法來發現鄰居的數據鏈路標識，即媒體訪問 控制(Media Access Control, MAC)地址，以便將數據傳送到正確的目的地。 網際網路的地址解析協議(Address Resolution Protocol, ARP)根據指定的IP位址 來獲取對應的MAC地址。
根據網際網路標準RFC826， ARP的機制是當一臺網絡設備需要獲取同一鏈 路上的另一臺網絡設備的MAC地址時，它將組裝ARP請求消息，在這個消息 中包括設備一的MAC地址、IP位址和設備二的IP位址。然後，ARP請求消 息在數據鏈路上被廣播，即數據鏈路上的所有設備都將收到該幀，並且必須檢 查幀內封裝的消息。IP位址與ARP請求消息中的目標IP位址相同的設備二將 向ARP請求消息的發送者地址發送ARP響應消息，以提供自己的MAC地址， 而其他設備則不會發送答覆消息。於是，地址解析操作的結果就是發送源設備 即設備一獲得了設備二的MAC地址，並且在本地的ARP緩存表中記錄目標設 備即設備二的MAC地址和IP位址的映射關係。
當前的ARP通過明文的廣播詢問、應答，可以獲得同網段網絡中所有主機 的IP與MAC地址的對應關係。因此，只要攻擊設備能拿到其他設備的IP-MAC (IP位址與MAC地址)地址的映射關係，就能對其他i殳備進行相應的攻擊。當 某接入設備中毒，導致同網內的其他設備受到攻擊，這樣的攻擊經常發生在機 房或者辦公室等同 一個網段的網絡中。
隨著全IP網絡的發展，安全問題已經越來越受到重視，在第三代合作夥伴 計劃(3rd Generation Partnership Project, 3GPP)領域，也定義了比如IP層協i義安 全結構(Security Architecture for IP network , IPSEC)等IP層以上的安全技術， 形成安全域，組織安全網絡。但是這種保護僅僅能對伺服器程序進行保護，對設備本身，尤其是位於同一網段進行交互的兩個設備，沒有保護作用。請參見


圖1所示，圖1為採用IPSEC等安全IP手段進行對相關內容的保護，設備一要 安全訪問設備二，設備一上的客戶程序含有設備二的IP位址，該方法實現方式
設備一向網絡廣播普通ARP請求消息；
設備二接收到普通ARP請求消息後，將含有MAC地址信息的響應消息返回 給設備一；
獲得設備二的IP-MAC地址映射關係的設備一的客戶程序能通過安全IP接口 與設備二的伺服器程序進行通訊，通訊內容受到安全IP的保護。
但與此同時，設備一上的病毒程序也能夠通過普通IP接口，利用ARP緩存表 存儲的IP-MAC地址映射關係，攻擊到設備二。其他設備也能通過ARP協議，獲 得網絡中i史備的IP與MAC地址映射關係，並能實施攻擊。
為了實現對設備的保護，請參見圖2所示，公開了一種在設備二前放置一臺 防火牆，通過防火牆的設置，安全的消息可以通過防火牆，而攻擊消息將被過 濾掉。但是在每一臺設備前都放置一臺防火牆，不僅需要花費巨大的成本，還 需要進行不斷的維護。

發明內容
有鑑於此，本發明實施例提供了一種安全ARP的實現方法及網絡設備。可 在節約成本的前提下實現安全ARP。
本發明實施例提供了 一種安全ARP的實現方法，該方法至少包括以下步驟
對本端i殳備地址和需請求的目標i殳備的地址進行加密；
生成安全ARP請求消息，所述消息中攜帶有安全標識和所述加密後的地址 信息；
通過所述安全ARP請求消息向網絡中廣播安全ARP請求。 該方法還進一步包括
在接收到目標設備的ARP響應消息後，解密所述ARP響應消息的地址欄位， 獲取所述目標i殳備的地址。
在接收到目標設備的ARP響應消息後，還進一步包括 判斷所述ARP響應消息中是否攜帶有安全標識，如果判斷為是，則解密所 述ARP響應消息的地址欄位，獲取所述目標設備的地址。 該方法還再進一步包括
客戶程序通過安全IP接口以及安全ARP接口獲得所述解密獲取的目標設備 的地址。
本發明實施例提供了 一種安全ARP的實現方法，該方法至少包括以下步驟 接收安全ARP請求，並解密所述安全APR請求的地址欄位； 解密完成後，將本端設備的地址信息以及源請求設備的地址信息進行加密； 生成安全ARP響應消息，所述消息中攜帶有安全標識和所述加密後的地址 信息；
通過所述安全ARP響應消息向所述ARP請求的源設備發送安全ARP響應。 在接收到安全ARP請求消息後，還進一步包括
判斷所述ARP請求消息中是否攜帶有安全標識，如果判斷為是，則解密所 述ARP請求消息的地址欄位，獲取所述ARP請求的源設備的地址以及需請求的 地址。
本發明實施例提供了一種網絡設備，該網絡設備包括 加密單元，用於對本端設備地址和需請求的目標設備的地址進行加密； 生成單元，用於生成安全ARP請求消息，所述消息中攜帶有安全標識和所 述加密後的地址信息；
發送單元，用於通過所述安全ARP請求消息向網絡中廣播安全ARP請求。 所述網絡設備還包括
接收單元，用於接收目標設備的ARP響應消息；
解密單元，用於解密所述接收單元"l妄收到的ARP響應消息的地址欄位，獲 取所述目標i殳備的i也址。 所述網絡設備還包括
判斷單元，用於判斷所述接收單元接收到的ARP響應消息中是否攜帶有安 全標識，當判斷結果為是時，向所述解密單元輸出肯定的判斷結果。 所述網絡設備還包括 請求單元，用於發起目標設備訪問請求；
安全接口單元，用於向所述請求單元發送所述解密單元解密後的目標設備 地址信息。
所述安全接口單元包括安全IP接口單元和安全ARP接口單元。 本發明實施例提供了一種網絡設備，該網絡設備包括 接收單元，接收安全ARP請求；
解密單元，用於解密所述接收單元接收到的安全APR請求的地址欄位；
加密單元，用於在所述解密單元解密完成後，將本端設備的地址信息以及 源請求設備的地址信息進行加密；
生成單元，用於生成安全ARP響應消息，所述消息中攜帶有安全標識和所 述加密後的地址信息；
發送單元，用於通過所述安全ARP響應消息向所述ARP請求的源設備發送 安全ARP響應。
所述網絡設備還包括
判斷單元，用於判斷所述接收單元接收到的ARP請求消息中是否攜帶有安 全標識，如果判斷為是，則向所述解密單元輸出肯定的判斷結果。
本發明實施例在通過對本端i殳備地址和需請求的目標i更備的地址進^f於加密 和生成安全ARP請求消息，使得IP-MAC地址映射關係不能通過明文獲得，而 且通過對信息的加密使設備的IP-MAC地址映射關係信息受到有效的保護，避 免該設備受到其他設備的攻擊；而在後續的通訊時，同一設備上的程序只能通 過安全IP的專用接口，才能訪問ARP緩存表，這樣這臺設備的其他程序就無法 利用ARP緩存表的存儲內容對其他設備進行攻擊。本發明的實現方法和現有技 術採用防火牆的方案均可有效保護網絡設備和維護網絡安全，但是本發明實現 方法具有比所述防火牆的方案簡便，有效降低成本，節約資源的優點。
附圖i兌明
圖1為採用安全IP方法實現網絡安全的原理示意圖2為採用設置防火牆方法實現網絡安全的原理示意圖3為乙太網中的ARP請求或應答消息的分組消息的一種格式組成示意
圖4為本發明實施例實現安全ARP的系統示意圖5為本發明實施例實現安全ARP方法的流程圖。
具體實施例方式
為使本發明的目的、技術方案及優點更加清楚明白，以下參照附圖對本發 明實施例進一步詳細說明。
請參見圖4所示，圖4為本發明實施例實現安全ARP的系統示意圖，該系 統包括第 一 網絡設備10和第二網絡設備20,兩個設備通過網絡進行連接。
其中，第一網絡i史備10包括請求單元11、安全^J妄口單元12、第一加密 單元13、第一生成單元14、第一發送單元15、第一接收單元16、第一判斷單 元17以及第一解密單元18。請參照圖4，其中，請求單元11和安全接口單元 12相連；第一加密單元13、第一生成單元14和第一發送單元15依次相連；第 一接收單元16、第一判斷單元17以及第一解密單元18依次相連；安全接口單 元12、分別和第一加密單元13以及第一解密單元18連接。
請求單元ll，用於發起對第二網絡設備20訪問請求，該單元根據需客戶程 序的需要發起對第二網絡設備20的訪問請求，在ARP緩存表沒有存儲第二網 絡設備20的IP-MAC (具體實現中，MAC地址可為設備的乙太網地址)地址映 射關係的情況下需要獲得該IP-MAC地址映射關係。
安全接口單元12,該單元進一步包括安全IP接口單元121和安全ARP 接口單元122。所述安全IP接口 121,通過IPSEC等安全IP手段進行同網絡設 備內不同單元或者不同網絡設備之間的安全通訊；所述安全ARP接口單元122, 是在客戶程序調用地址信息時用於保護獲得的IP-MAC地址映射關係不被其他 程序盜用，有效避免的含有病毒的程序獲得其他網絡設備的IP-MAC地址映射 關係，並對其進行攻擊。
第一加密單元13,用於對第一網絡設備10的地址和需請求的第二網絡設備 20的地址進行加密，所述的第一網絡設備10的地址和需請求的第二網絡設備 20的地址包括第一網絡設備10的MAC地址、所述第一網絡設備10的IP位址、 所述第二網絡設備20的IP位址以及所述第二網絡設備的MAC地址。圖3為以 太網中的ARP請求或應答消息的分組消息的一種格式組成示意圖，本圖中的 MAC地址為設備的乙太網地址，如圖3所示，OP欄位之後的發送端乙太網地 址、發送端IP位址、目的乙太網地址、目的IP位址為需要加密保護的信息，具 體實現中，可採用靜態配置加密，通過第一加密單元13的配置程序將密匙與IP的對應關係進行加密，並將加密後的ARP請求消息發送到第一生成單元14。另 外，還可以採用動態獲得密匙加密，由請求單元ll在調用客戶程序時向第三方 認證伺服器發出認證請求，再接收到認證響應後獲得認證伺服器返回的密匙， 請求單元11再通過安全接口單元12將密匙與IP對應關係發送給第一加密單元 13進行加密。除了這兩種加密方法在實際應用中還可以根據安全程度採用其他 的力p密方法。
第一生成單元14，用於生成安全ARP請求消息，所述消息中攜帶有安全標 識和所述加密後的地址信息。參見圖3所示，所述的安全標識是對原有的OP字 段進行擴展，圖3中的OP欄位定義操作類型和對應的值，按照RFC826的原有 定義如下ARP請求(l)， ARP應答(2), RARP請求(3)， RARP應答(4)，發送端 乙太網地址、發送端IP位址、目的乙太網地址、目的IP位址在原協議中為明文。 通過擴充將OP欄位標識如下安全ARP請求(5)，安全ARP應答(6),安全 RARP請求(7)，安全RARP應答(8)，其中括號的數字為操作類型的值，但 不限於這一種定義方式，^喿作類型所對應的值可以改變。在完成對加密的ARP 請求消息後生成所述的安全ARP請求消息，本實施例採用上述對OP欄位的擴 展進行標識，即將OP欄位標識為安全ARP請求(5)，並將標識後的消息下 放到第一發送單元15。
第一發送單元15，該單元用於通過所述安全ARP請求消息向網絡中廣播安 全ARP請求。
第一接收單元16，用於接收第二網絡設備20返回的ARP響應消息。當第 二網絡設備20返回ARP響應消息後，第一網絡設備10通過第一接收單元16 接收該響應消息。
第一判斷單元17,用於判斷第一接收單元16接收到的ARP響應消息中是 否攜帶有安全標識，本實施例中採用OP欄位進行安全標識，根據上述的OP字 段定義，如果第二網絡設備20返回ARP響應消息的OP欄位為安全ARP應答 (6)，則向第一解密單元18輸出肯定的判斷結果，並由第一解密單元18對第 二網絡i殳備20返回的安全ARP響應消息進行解密。
第一解密單元18,用於解密所述第一接收單元16接收到的安全APR響應 消息的地址字l殳。
第二網絡設備20包括第二接收單元21、第二判斷單元22、第二解密單 元23 、第二加密單元24、第二生成單元25和第二發送單元26。第二接收單元 21、第二判斷單元22和第二解密單元23—次相連；第二加密單元24、第二生 成單元25和第二發送單元26依次相連。
第二接收單元21，用於接收第一網絡設備10廣播的ARP請求消息。當第 一網絡設備10向網絡中廣播安全ARP請求消息後，第二網絡設備20通過第二 接收單元21接收該請求消息。
第二判斷單元22,用於判斷第二接收單元21接收到的ARP請求消息中是 否攜帶有安全標識，本實施例中採用OP欄位進行安全標識，根據上述的OP字 段定義，如果第一網絡設備10向網絡中廣播的ARP請求消息的OP欄位為安全 ARP請求(5),則向第二解密單元23輸出肯定的判斷結果，並由第二解密單元 23對第一網絡設備10廣播的安全ARP請求消息進行解密。
第二解密單元23,用於解密所述第二接收單元21接收到的安全APR請求 消息的地址欄位。
第二加密單元24,用於在所述解密單元解密完成後，將第二網絡i殳備20的 地址信息以及第一網絡設備10的地址信息進行加密，所述的第一網絡設備10 的地址和需請求的第二網絡設備20的地址包括第一網絡設備10的MAC地址、 所述第一網絡設備10的IP位址、所述第二網絡設備20的IP位址以及所述第二 網絡設備的MAC地址。參見圖3所示，OP欄位之後的發送端乙太網地址、發 送端IP位址、目的乙太網地址、目的IP位址為需要加密保護的信息，具體實現 中，可採用靜態配置加密，通過第二加密單元24的配置程序將密匙與IP的對應 關係進行加密，並將加密後的ARP響應消息發送到第二生成單元25。另外，還 可以採用動態獲得密匙進行加密。由第二網絡設備20在調用相關程序時向第三 方認證伺服器發出認證請求，再接收到認證響應後獲得認證伺服器返回的密匙， 將密匙與IP對應關係發送給第二加密單元24進行加密。除了這兩種加密方法在 實際應用中還可以根據安全程度採用其他的加密方法。
第二生成單元25,用於生成安全ARP響應消息，所述消息中攜帶有安全標 識和所述加密後的地址信息；本實施例採用上述的對OP欄位擴充來標識，根據 上述操作類型和對應的值的定義，將加密的ARP響應消息生成為安全ARP響應 消息，即將OP欄位標識為安全ARP應答(6)，並將標識後的消息下放到第
二發送單元26。
第二發送單元26,用於通過所述安全ARP響應消息向所述ARP第 一 網絡 設備10發送安全ARP響應消息。
本實施例採用對OP欄位進行安全標識，但並不僅限於此，參見圖3，還可 以以同樣的方式對幀類型、硬體類型或者協議類型等進行安全標識。本實施例 中的第一網絡設備10和第二網絡設備20在判斷出不是安全ARP交互消息時還 可以進行普通的ARP交互。
具體實現中，信息的交互是雙向進行的，因此所述第一網絡設備可同時包 括所述第二網絡設備的功能模塊，所述第二網絡設備也可同時包括所述第 一 網 絡設備的功能模塊。
請參見圖5,圖5為本發明實施例實現安全ARP方法的流程圖，該圖簡要 示出了通過對ARP欄位的操作實現安全ARP方法，結合圖5,本發明實施例 實現安全ARP具體步驟描述如下
步驟SIOI，對第一設備地址和需請求的第二設備的地址進行加密。所述的 第一網絡設備10的地址和需請求的第二網絡設備20的地址包括第一網絡設備 10的MAC地址、所述第一網絡設備10的IP位址、所述第二網絡設備20的IP 地址以及所述第二網絡設備的MAC地址。參見圖3所示，OP欄位後的發送端 乙太網地址、發送端IP位址、目的乙太網地址、目的IP位址為需要^f呆護的信息， 本實施例採用靜態配置加密，通過配置程序將密匙與IP的對應關係進行加密。 除此之外，還可以採用動態獲得密匙加密，在調用客戶程序時向第三方認證服 務器發出認證請求，再接收到認證響應後獲得認證伺服器返回的密匙，再將密 匙與IP對應關係進行加密。除了這兩種加密方法在實際應用中還可以根據安全 程度採用其他的加密方法。
步驟S102,生成安全ARP請求消息。請參見圖3所示，所述的安全標識是 通過程序對原有的OP欄位進行擴展，圖3中的OP欄位定義操作類型，定義如 下ARP請求(l), ARP應答(2), RARP請求(3)， RARP應答(4),其中括號的數 字為操作類型的值，但不限於這一種定義方式，操作類型和值均可以改變。發 送端乙太網地址、發送端IP位址、目的乙太網地址、目的IP位址在原協議中為 明文。通過擴充將OP欄位標識如下安全ARP請求(5 )，安全ARP應答(6), 安全RARP請求(7)，安全RARP應答(8)，其中括號的數字為對應操作類型
的值，但不限於這一種定義方式，操作類型和值均可以改變。本實施例採用上
述對OP欄位的擴展進行標識，即將OP欄位標識為安全ARP請求(5)。
步驟S103,通過所述安全ARP請求消息向網絡中廣播安全ARP請求。
步驟S104,第二設備接收安全ARP請求消息。第二設備對接收的廣播請求 進行判斷，如果識別出該請求含有安全標識的OP欄位，即含有標識為安全ARP 請求(5)的0P欄位，則判斷為安全ARP請求消息，進入後續的處理步驟；否 則判斷為非安全廣播請求，進入普通的ARP過程或者不作響應。
步驟S105,判斷所述ARP請求消息中是否攜帶有安全標識。本實施例中採 用OP欄位進行安全標識，根據上述的OP欄位定義，如果第一設備向網絡中廣 播的ARP請求消息的OP欄位為安全ARP請求(5)，則進行後續的解密處理。 如果為非安全ARP請求消息，則進行普通的ARP交互或者不作響應。
步驟S106，解密所述安全APR請求。在步驟S105判斷為安全ARP請求後 進入步驟S106,對該消息的加密部分進行相應的解密。如果解密正確，則進入 後續的處理步驟；如果解密錯誤，則不作響應。
步驟S107，將第二設備的地址信息以及第一設備的地址信息進行加密。在 經過步驟S106解密正確後，第二設備將IP位址和MAC地址填入ARP響應的 相應欄位。對第二設備地址和需響應的第一設備的地址進行加密。當採用靜態 密碼配置時，通過配置程序對所述的第二設備的地址和需響應的第一設備的地 址進行加密。參見圖3所示，發送端乙太網地址、發送端IP位址、目的乙太網 地址、目的IP位址為需要保護的信息，本實施例採用靜態配置加密，通過配置 程序將密匙與IP的對應關係進行加密。除此之外，還可以採用動態獲得密匙加 密，在調用客戶程序時向第三方認證伺服器發出認證請求，再接收到認證響應 後獲得認證伺服器返回的密匙，再將密匙與IP對應關係進行加密。除了這兩種 加密方法在實際應用中還可以根據安全程度採用其他的加密方法。
步驟S108，生成安全ARP響應消息。本實施例採用上述的對OP欄位擴充 來進行安全標識，根據上述操作類型和對應值的定義，將加密的ARP響應消息 生成為安全ARP響應消息，即將OP欄位標識為安全ARP應答(6 )。
步驟S109,向所述ARP請求的第一設備發送安全ARP響應。第二設備將 帶有加密之後並含有安全標識的安全ARP響應消息直接發送給第一設備，因為 已經在安全ARP請求消息獲得了第一設備的IP-MAC地址映射關係，所以這裡
第二設備可以直接將安全ARP響應發送給第一設備。
步驟SllO，第一設備接收到第二設備的ARP響應消息。
步驟Slll,判斷所述ARP響應消息中是否攜帶有安全標識。如果識別出該
請求含有安全標識的OP欄位，即含有標識為安全ARP應答(6 )的OP欄位，
則判斷為安全ARP響應消息，則進入後續的處理步驟；否則判斷為非安全ARP
響應，進入普通的ARP過程或者不作響應。
步驟S112,解密所述ARP響應消息的地址欄位。在步驟Slll判斷為安全
ARP響應後進入步驟S112，對該消息的加密部分進行相應的解密。如果解密正
確，則進入後續的處理步驟；如果解密鋂-誤，則不作響應。
步驟S113,客戶程序通過安全IP接口以及安全ARP接口獲得所述解密獲
取的目標設備的地址。安全IP通過安全ARP接口獲得目標設備的MAC地址信
息，可以進行進一步的通訊，這樣其他的程序的將無法使用第二設備的IP-MAC
地址映射關係信息。
本實施例採用對OP欄位進行安全標識，但並不僅限於此，參見圖3，還可
以以同樣的方式對幀類型、硬體類型或者協議類型等進行安全標識。本實施例
中的第一設備和第二設備在判斷出不是安全ARP交互消息時可以進行普通的
ARP交互。
本發明實施例在通過對本端i殳備地址和需請求的目標i殳備的地址進行加密 和生成安全ARP請求消息，使得IP-MAC地址映射關係不能通過明文獲得，而 且通過對信息的加密使設備的IP-MAC地址映射關係信息受到有效的保護，避 免該設備受到其他設備的攻擊；而在後續的通訊時，同一設備上的程序只能通 過安全IP的專用接口，才能訪問ARP緩存表，這樣這臺設備的其他程序就無法 利用ARP緩存表的存儲內容對其他設備進行攻擊。本發明的實現方法在滿足現 有技術採用防火牆的方案能夠有效保護網絡設備和維護網絡安全的同時，具有 比所述防火牆的方案簡便，有效降低成本，節約資源的優點。
以上所列舉的僅為本發明的較佳實施例而已，當然不能以此來限定本發明 之權利範圍，因此依本發明權利要求所作的等同變化，仍屬本發明所涵蓋的範 圍。
權利要求
1、一種安全ARP的實現方法，其特徵在於，該方法至少包括以下步驟對本端設備地址和需請求的目標設備的地址進行加密；生成安全ARP請求消息，所述消息中攜帶有安全標識和所述加密後的地址信息；通過所述安全ARP請求消息向網絡中廣播安全ARP請求。
2、 如權利要求1所述的安全ARP的實現方法，其特徵在於，該方法還進 一步包括在接收到目標設備的ARP響應消息後，解密所述ARP響應消息的地址欄位， 獲取所述目標設備的地址。
3、 如權利要求2所述的安全ARP的實現方法，其特徵在於，在接收到目 標設備的ARP響應消息後，還進一步包括判斷所述ARP響應消息中是否攜帶有安全標識，如果判斷為是，則解密所 述ARP響應消息的地址欄位，獲取所述目標設備的地址。
4、 如權利要求2或3所述的安全ARP的實現方法，其特徵在於，該方法 還進一步包括客戶程序通過安全IP接口以及安全ARP接口獲得所述解密獲取的目標設備 的地址。
5、 一種安全ARP的實現方法，其特徵在於，該方法至少包括以下步驟 接收安全ARP請求，並解密所述安全APR請求的地址欄位； 解密完成後，將本端設備的地址信息以及源請求設備的地址信息進行加密； 生成安全ARP響應消息，所述消息中攜帶有安全標識和所述加密後的地址通過所述安全ARP響應消息向所述ARP請求的源設備發送安全ARP響應。
6、 如權利要求5所述的安全ARP的實現方法，其特徵在於，在接收到安 全ARP請求消息後，還進一步包括判斷所述ARP請求消息中是否攜帶有安全標識，如果判斷為是，則解密所 述ARP請求消息的地址欄位，獲取所述ARP請求的源設備的地址以及需請求的 地址。
7、 一種網絡設備，其特徵在於，包括加密單元，用於對本端i殳備地址和需i貪求的目標設備的地址進行加密； 生成單元，用於生成安全ARP請求消息，所述消息中攜帶有安全標識和所 述加密後的地址信息；發送單元，用於通過所述安全ARP請求消息向網絡中廣播安全ARP請求。
8、 如權利要求7所述的網絡設備，其特徵在於，所述網絡設備還包括 接收單元，用於接收目標設備的ARP響應消息；解密單元，用於解密所述接收單元接收到的ARP響應消息的地址欄位，獲 取所述目標i殳備的地址。
9、 如權利要求8所述的網絡設備，其特徵在於，所述網絡設備還包括 判斷單元，用於判斷所述接收單元接收到的ARP響應消息中是否攜帶有安全標識，當判斷結果為是時，向所述解密單元輸出肯定的判斷結果；相應的，所述解密單元接收所述肯定的判斷結果後，解密所述接收單元接 收到的ARP響應消息的地址欄位，獲取所述目標設備的地址。
10、 如權利要求8或9所述的網絡設備，其特徵在於，所述網絡設備還包括請求單元，用於發起目標設備訪問請求；安全接口單元，用於向所述請求單元發送所述解密單元解密後的目標設備 地址信息。
11、 如權利要求IO所述的網絡設備，其特徵在於，所述安全接口單元包括安全IP接口單元或安全ARP接口單元。
12、 一種網絡設備，其特徵在於，包括 接收單元，接收安全ARP請求；解密單元，用於解密所述接收單元接收到的安全APR請求的地址欄位；加密單元，用於在所述解密單元解密完成後，將本端設備的地址信息以及 源請求設備的地址信息進行加密；生成單元，用於生成安全ARP響應消息，所述消息中攜帶有安全標識和所 述加密後的地址信息；發送單元，用於通過所述安全ARP響應消息向所述ARP請求的源設備發送 安全ARP響應。
13、如權利要求12所述的網絡設備，其特徵在於，所述網絡設備還包括 判斷單元，用於判斷所述接收單元接收到的ARP請求消息中是否攜帶有安全標識，如果判斷為是，則向所述解密單元輸出肯定的判斷結果；相應的，所述解密單元接收所述肯定的判斷結果後，解密所述接收單元接收到的ARP響應消息的地址欄位，獲取所述目標設備的地址。
全文摘要
本發明實施例公開了一種安全ARP的實現方法及網絡設備。其中，安全ARP的實現方法包括對本端設備地址和需請求的目標設備的地址進行加密；生成安全ARP請求消息，所述消息中攜帶有安全標識和所述加密後的地址信息；通過所述安全ARP請求消息向網絡中廣播安全ARP請求。本發明實施例在通過上述的方法使得IP-MAC地址映射關係不能通過明文獲得，而且通過對信息的加密使設備的IP-MAC地址映射關係信息受到有效的保護，避免該設備受到其他設備的攻擊；本發明的實現方法和現有技術採用防火牆的方案均可有效保護網絡設備和維護網絡安全，但是本發明實現方法具有比所述防火牆的方案簡便，有效降低成本，節約資源的優點。
文檔編號H04L29/06GK101197828SQ20071003286
公開日2008年6月11日 申請日期2007年12月25日 優先權日2007年12月25日
發明者虹 胡 申請人:華為技術有限公司