法律状态公告日
法律状态信息
法律状态
2013-06-12
未缴年费专利权终止 IPC(主分类):H04L12/28 授权公告日:20090218 终止日期:20120419 申请日:20040419
专利权的终止
2009-02-18
授权
授权
2005-03-09
实质审查的生效
实质审查的生效
2005-01-12
公开
公开
技术领域
本发明涉及计算机通信领域,广泛应用于各种网络接入设备中,如以太网交换机、路由器、拨号服务器、DSL集中器等,特别涉及单台计算机直接和网络接入设备连接场合的基于地址重写的防IP地址伪造方法。
背景技术
IP地址伪造是网络应用中常见的问题,联网计算机进行基于TCP/IP协议的通信时,会发出IP数据包。其中,源地址字段中,应填写由网络机构分配给自己的IP地址,但该地址很容易被发送者修改。许多网络攻击者会利用这一特性,进行匿名攻击,如DoS(拒绝服务)。
目前,防止IP地址伪造的主要方法有两种:
一种是利用IPsec。IPsec中的AH协议可以对IP包头产生认证数据,称为ICV。ICV计算的内容包括IP包头中传输过程中值不改变的字段(对于值改变的字段,计算时假设其值为0)、AH包头(认证数据字段初值为0)、上层协议数据(假设传输过程中不会改变)等。
计算ICV使用的算法可以是基于单向哈希函数和对称密钥算法的消息认证码(MAC),如HMAC-MD5-96、HMAC-SHA-1-96等,也可以是基于单向哈希函数和公钥算法的数字签名。
基于IPsec方法的主要问题是实现比较困难,需要大规模密钥管理机构的支持。该方法主要防止IP包在传输过程中被篡改、伪造,但无法防止用户端的IP地址伪造。
另一种采用MAC地址、IP地址绑定的方法。该方法能对双向通信中的IP地址伪造有一定遏制作用,但无法防止,因为用户端可以同时修改MAC地址、IP地址。现有的方法也无法防止单向(用户端发出IP数据包)的源IP地址伪造。
发明内容
本发明的目的在于提供一种操作简洁、能够防止用户端的IP地址伪造的基于地址重写的防IP地址伪造方法。
本发明的技术方案是这样解决的:
网络接入设备在直接连接单台计算机时,不论单台计算机采用动态IP地址还是静态IP地址,网络接入设备都会同时维护一个“端口-IP地址对应表”,端口i(1≤i≤n)所连接的单台计算机上分配的IP地址与“端口-IP地址对应表”中第i项的IP地址字段值相同。
具体处理步骤如下:
1)若网络接入设备的端口i(1≤i≤n)没有连接单台计算机,则“端口-IP地址对应表”中第i项的IP地址字段设置为0;
若网络接入设备的端口i(1≤i≤n)连接了单台计算机,且使用网络管理机构分配的静态IP地址Xi,则网络管理机构通过控制台、网管协议、远程登录方式对接入设备进行手工配置,将静态IP地址Xi同时设置到“端口-IP地址对应表”中第i项的IP地址字段;
若网络接入设备的端口i(1≤i≤n)连接了单台计算机,且使用动态IP地址,网络接入设备获取了单台计算机到网络管理机构的动态认证、地址分配信息后,将获得的动态IP地址同时设置到“端口-IP地址对应表”中第i项的IP地址字段;
2)网络接入设备端口i(1≤i≤n)收到IP数据包后,网络接入设备检查“端口-IP地址对应表”中第i项中的IP地址字段值,如果值为0,则丢弃IP数据包;如果IP地址字段值不为0,则将IP地址字段值写入IP数据包的源IP地址字段,得到被地址重写的IP数据包,网络接入设备转发该IP数据包。
所说的“端口-IP地址对应表”是指:
采用本发明的方法及步骤,由于接入设备地址重写是强制性的,不管计算机所发的IP包中源地址是否被伪造,接入设备都要重新写入IP地址,从而有效防止了用户端的IP地址伪造。由于重写操作很简单,因此,对网络性能影响也非常小。
附图说明
图1是本发明的流程图;
图2是本发明中接入设备维护的“端口-IP地址对应表”。
具体实施方式
附图是本发明的具体实施例;
下面结合附图对本发明的内容作进一步的详细说明;
参照图1所示,1是进行地址分配的网络管理机构。网络接入设备2可以是以太网交换机、拨号服务器、DSL集中器等,用于连接计算机的端口号为1~N。单台计算机3直接与网络接入设备2连接。IP数据包4是单台计算机3发出的IP包。IP数据包5是经过接入设备2地址重写后的IP包。
本发明实现过程由地址分配、IP包中源IP地址字段重写组成。
1)若网络接入设备2的端口i(1≤i≤n)没有连接单台计算机3,则“端口-IP地址对应表”中第i项的IP地址字段设置为0;
若网络接入设备2的端口i(1≤i≤n)连接了单台计算机3,且使用网络管理机构1分配的静态IP地址Xi,则网络管理机构1通过控制台、网管协议、远程登录方式对网络接入设备2进行手工配置,将静态IP地址Xi同时设置到“端口-IP地址对应表”中第i项的IP地址字段;
若网络接入设备2的端口i(1≤i≤n)连接了单台计算机3,且使用动态IP地址,网络接入设备2获取了单台计算机3到网络管理机构1的动态认证、地址分配信息后,将获得的动态IP地址同时设置到“端口-IP地址对应表”中第i项的IP地址字段;
2)网络接入设备2端口i(1≤i≤n)收到IP数据包4后,检查“端口-IP地址对应表”中第i项的IP地址字段值,如果值为0,则丢弃IP数据包4;如果不为0,则将IP地址字段值写入IP数据包4的源IP地址字段。得到IP数据包5,网络接入设备2转发IP数据包5。
参照图2所示,网络接入设备2上维护一个“端口-IP地址对应表”,表中主要字段为IP地址。
机译: 基于IP的IP地址中IP地址的IP非IP化方法和基于IP的IP地址中分组IP的分组路由方法
机译: 基于互联网协议(ip)地址提供位置信息服务的位置信息服务装置和系统,基于IP地址的位置信息服务的用户设备,基于ip地址的位置信息服务的方法以及具有计算机程序的计算机可读介质
机译: 用于基于RFID服务的IP地址的RFID标签以及基于RFID服务的基于IP地址的方法