主管加密式防攻击信息通讯网络安全防御方法及系统

摘要

本发明属于网络安全防御领域，具体涉及一种对地址解析协议请求报文进行加密处理的数据通信网络安全防御方法及系统。防御方法通过请求端将信息单向发送到加密部进行加密处理，再通过地址解析协议代理部对加密信息进行解密、确认后将查询信息单向发给所述请求端，由请求端根据确认信息与目的端进行通讯。该防御方法借助包括：地址解析协议代理部、具有加密功能的转接装置和通讯终端组成的防御系统来实现。本发明主管加密式防攻击信息通讯网络安全防御方法原理简单，设计合理，该防御方法在实际应用中能非常好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题，具有很高的实用性。

说明书

【技术领域】

本发明属于网络安全防御领域，具体涉及一种通过对地址解析协议请 求报文进行加密处理的数据通信网络安全防御方法及防御系统。

【背景技术】

以太网协议是由一组IEEE 802.3标准定义的局域网协议集。现已是 最为常用的局域网链路层协议。二层以太网交换机是基于链路层的物理地 址进行包交换的一种设备。

IP协议是目前应用最为广泛的数据通信网络层协议标准。IP协议使用 32bit的IP地址来唯一标识设备，数据报文在网络层之上的传播都是基于 IP地址来完成寻址的。但IP地址仅仅对网络层有效，承载IP网络的硬件 设备并不依赖于IP地址来进行寻址。比如，以太网物理设备是使用唯一的 48bit以太网地址来识别硬件接口，在链路层中从不检查IP数据报中的目 的IP地址。在广播网络上，这两种地址形式之间的映射是由地址解析协议 完成的，该映射过程是自动完成的。

在实现地址解析协议的系统中，地址解析协议会动态生成并在一段时 间内保留IP地址和硬件地址之间的映射关系，在需要使用硬件地址的时 候，系统会以IP地址为唯一标识查找映射关系，所找到的映射关系中的硬 件地址就是在物理网络上传发报文所需的硬件可识别的地址。此种映射关 系的生成，依赖于地址解析协议的两种协议报文，地址解析协议请求和地 址解析协议应答。

当运行地址解析协议的系统没有能够找到所需要的IP地址和硬件地 址的映射关系时，该系统就会发送地址解析协议请求报文，请求所需要的 IP地址的硬件地址。发出请求的系统会将自己的IP地址和硬件地址对应 关系包含在这个报文中，并指明需要请求硬件地址的IP地址信息。此报文 在网络中以广播的方式广泛发送。根据通常的实现，任何一个接收到这个 地址解析协议请求报文并运行地址解析协议的系统，都应该使用这个请求 报文中所包含的请求发送者的IP地址和硬件地址信息生成映射关系，如果 已经存在以这个IP地址为标识的映射关系，则应该使用此报文中的硬件地 址更新这个映射关系。

当某个运行地址解析协议的系统发现接收到的地址解析协议请求报 文中所指明的需要请求硬件地址的IP地址是自己的IP地址时，则会向请 求者发送地址解析协议应答报文。将自己的硬件地址通知请求者，这个报 文是单播方式发送的，当请求者接收到这个应答报文之后，就可以根据这 个应答报文中包含的信息生成对应IP地址和硬件地址之间的映射关系。   地址解析协议正常运行的关键，是保证IP地址和硬件地址的映射关系 的正确性。运行地址解析协议的系统并不能主动发现映射关系是否错误， 如果生成了错误的映射关系，报文的发送者将会根据错误的硬件地址发送 报文，接收者无法收到报文，从而导致数据转发的中断，更为严重的是， 由于报文的发送者认为自己已经有了报文接收者的硬件地址，因此就不会 发送地址解析协议的请求报文来更新这个映射关系，这种错误的映射就会 在一定时间内一直保持，直到涉及报文发送的双方发送了地址解析协议报 文才有可能的被纠正，这会严重影响数据网络的使用。

针对地址解析协议的这个弱点，恶意的攻击者可以通过伪造地址解析 协议应答报文的方法来实现对运行地址解析协议的网络的攻击。

以下举出具体实施例对存在的问题进行说明：现有技术中信息发送端 与信息接收端的通讯过程为：第一步：当信息发送端主机A与信息接收端 主机B开始通信时，主机A需要查找自存储的地址解析协议表[主机名IP 地址与物理地址对应关系表]，查找主机B的物理地址，如查到则跳转到第 五步与信息接收端主机B进行信息通讯；如果在主机A的自存储地址解析 协议表内没有找到主机B的物理地址则执行地址解析协议学习流程，进入 第二步；第二步、主机A将向网内广播一个地址解析协议请求，请求主 机B所对应的物理地址；第三步、在此局域网络中的所有终端将会收到此 地址解析协议请求，主机B收到此请求，发现这个请求是自己，其将回应 主机A一个单播地址解析协议回应，告诉其自己的物理地址；第四步、主 机A收到这个地址解析协议回应，将主机B的IP地址与主机B的物理地 址对应关系存入主机A的地址解析协议表内；第五步、主机A查找地址解 析协议表中的B主机的物理地址与B主机进行通讯。

在上述流程中有几个安全漏洞，可能被病毒或人为程序所利用，常用的 攻击方法有下面三种：

第一种安全漏洞：物理地址伪冒攻击。物理地址欺骗行为发生在上述 流程的第三步，此时因为地址解析协议请求报文是个广播报文，现有普通 二层交换机会向所有终端进行广播，此请求报文在此局域网络中的所有终 端都会收到，例如主机C也收到了给地址解析协议请求报文，如果主机C 上有病毒或恶意程序，它可以伪装成主机B发送地址解析协议回应报文给 主机A，在第四步中，主机A收到此伪装地址解析协议报文，会将其与主 机C的物理地址对应关系存入其自身的地址解析协议表中，这样以后主机 A与主机B通讯时的所有数据将全部发送给主机C，这样主机C就可以成 功截获主机A和主机B之间的所有通讯数据信息。

第二种安全漏洞：物理地址泛滥攻击，导致网络瘫痪。通常广播网络 内作为网关的设备的地址解析协议映射的数量是有限的，如果攻击者大量 发送分别伪冒不同源IP地址的地址解析报文请求报文，就可以使整个广播 网络的数据转发出现故障，此时攻击也可以被称为地址解析协议泛滥攻击。

第三种安全漏洞：物理地址伪冒导致IP冲突。通常的IP以太网主机 系统为防止IP地址冲突，会在联网的最初阶段向外发送几个地址解析协议 宣告，查询此IP是否有人已经占用，如果有人占用，则此主机不可使用此 IP，这就有可能有恶意攻击者在收到此宣告后，发起一个响应，伪装已经 占用此IP造成此主机不可联网。

目前针对这些攻击行为的唯一解决方案只有禁用主机地址解析协议功 能，使用静态配置地址解析协议映射关系方法。

如前文所说，地址解析协议映射关系是动态生成的，也正因为是动态 生成的，给恶意的攻击造成了伪冒其他用户发送报文，阻断数据报文转发 的机会。而静态配置地址解析协议是指用户配置生成IP地址和硬件地址的 映射关系报文，而且这个映射关系是不随着时间而变更的。因为其优先级 高于通过地址解析协议产生的动态的映射关系，因此也不会随着地址解析 协议报文中所携带的信息进行变更。静态配置地址解析协议映射关系虽然 可以有效地解决地址解析协议伪冒、泛滥攻击造成地数据报文转发被阻断 地问题，但是，静态配置地址解析协议映射关系必须要人工生成并维护大 量地IP地址和硬件地址的映射关系，完全废弃了地址解析协议所带来的益 处，实际上仅仅是模拟了地址解析协议生成的最终结果，而摒弃了地址解 析协议本身。

【发明内容】

为了更好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥 攻击和物理地址伪冒导致IP冲突等技术问题，本发明提供了一种主管加密 式防攻击信息通讯网络安全防御方法。

利用该主管加密式防攻击信息通讯网络安全防御方法本发明还提供了 一种主管加密式防攻击信息通讯网络安全防御系统。

本发明解决现有技术问题所采用的技术方案为提供一种主管加密式防 攻击信息通讯网络安全防御方法，所述防御方法包括步骤：第一、通过桥接 装置将请求端的地址解析协议信息单向发送至加密部；第二、通过所述加 密部对所述信息加密后进行发送；第三、通过所述地址解析协议代理部对 加密信息进行解密、确认；第四、所述请求端根据所述地址解析协议代理 部的确认信息与目的端进行通讯。

根据本发明的一优选实施例：所述第一步中所述信息为所述请求端的 地址解析协议宣告和所述目的端的地址查询信息。

根据本发明的一优选实施例：在进行第一步之前所述地址解析协议代 理部涵盖有各终端正确的地址信息，并通过所述地址解析代理部进行管理。

根据本发明的一优选实施例：所述地址解析代理部建立有地址解析协 议表，所述地址解析协议表包含各终端IP地址与物理地址的对应关系信 息。

根据本发明的一优选实施例：所述第二步进一步包括子步骤：首先、 对所述请求端发送的信息进行检测，确认地址解析协议请求；其次、通过 所述加密部对所述地址解析协议请求数据包进行加密；最后、将所述加密 后的所述地址解析协议请求向网内广播发送或直接单向发送至地址解析协 议代理部。

根据本发明的一优选实施例：所述第三步进一步包括子步骤：首先、 所述地址解析协议代理部对所述加密信息进行解密；其次、所述地址解析 协议代理部对所述请求端自身地址信息是否被占用进行确认，并将所述确 认信息单向发送至所述请求端；最后、所述地址解析协议代理部对所述请 求端的查询目的端的地址信息请求进行确认，并将所述确认信息单向发送 至所述请求端。

根据本发明的一优选实施例：所述第四步进一步包括子步骤：一、所 述请求端将接收到的所述地址解析协议代理部反馈回的所述目的端的地址 信息进行存储；二、所述请求端与所述目的端进行单向通讯。

本发明还提供了一种主管加密式防攻击信息通讯网络安全防御系统， 所述防御系统包括：地址解析协议代理部，具有加密功能的桥接装置和通 讯终端，其中，所述各通讯终端与所述桥接装置连接，所述桥接装置与所 述地址解析协议代理部连接，所述各终端相互之间通讯通过所述地址解析 协议代理部进行地址信息的存储和管理。

根据本发明的一优选实施例：所述地址解析协议代理部为独立装置或 部署于相关装置上的功能部件或者软件。

根据本发明的一优选实施例：所述桥接装置为交换机或路由器。

本发明中各终端在联网时只对加密部单向发送一个地址解析协议宣告 广播数据包，通过加密部将地址解析协议广播重新加密封闭成只有地址解 析协议代理部才能解悉的特殊的广播数据包，并对内网的所有的设备发送 重新封闭后的新的特殊广播数据包，内网中的设备收到该经过加密处理后 的广播数据包后不能对此广播数据包进行解悉，因此请求端可以直接从地 址解析协议代理部上查询该IP是否被内网其他设备占用，解决地址解析协 议中物理地址伪冒导致IP冲突的技术问题。该方法中经过加密处理后的地 址解析协议也可以不向内网中的所有设备发送，而直接单向发送给所述地 址解析协议代理部进行解密，查询该IP是否被内网其他设备占用，解决地 址解析协议中物理地址伪冒导致IP冲突的技术问题。

本发明中请求端是在地址解析协议代理部上直接查询该IP是否被内 网其他机器占用，有效的解决了地址解析协议中物理地址伪冒导致IP冲 突。

本发明中终端设备在相互通信时地址解析协议请求广播包不会对内网 所有的终端设备发送，而是直接通过地址解析协议代理部获取相关通信终 端设备的物理地址。有效的解决了物理地址伪冒攻击。

通过在交换机上对广播数据的发送频率进行处理，防止攻击者大量发 送伪冒地址解析请求报文，解决地址解析协议泛滥攻击。

本发明主管加密式防攻击信息通讯网络安全防御方法原理简单，设计 合理，通过防御系统在实际中的应用能非常好的解决现有技术中存在的物 理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问 题，具有很高的实用性。

【附图说明】

图1为本发明主管加密式防攻击信息通讯网络安全防御方法流程图；

图2为本发明主管加密式防攻击信息通讯网络安全防御系统结构图。

【具体实施方式】

以下结合附图说明和具体实施方式对本发明进一步说明。

请参阅图1本发明主管加密式防攻击信息通讯网络安全防御方法流程 图，如图1所示本发明主管加密式防攻击信息通讯网络安全防御方法，包 括主要步骤：第一、通过桥接装置200将请求端的地址解析协议信息单向 发送至加密部204；第二、通过所述加密部204对所述信息加密后进行发 送；第三、通过所述地址解析协议代理部201对加密信息进行解密、确认； 第四、所述请求端根据所述地址解析协议代理部201的确认信息与目的端 进行通讯。

其中，所述第一步中所述信息为所述请求端的地址解析协议宣告和对 所述目的端的地址查询信息。在进行第一步之前所述地址解析协议代理部 201涵盖有各终端正确的地址信息，并通过所述地址解析代理部进行管理。 所述地址解析代理部建立有地址解析协议表，所述地址解析协议表包含各 终端IP地址与物理地址的对应关系信息。本发明实施例中所述将各终端正 确的地址信息存入所述地址解析协议代理部201的方法可以手工配置。

所述第二步进一步包括子步骤：首先、对所述请求端发送的信息进行 检测，确认地址解析协议请求；其次、通过所述加密部204对所述地址解 析协议请求数据包进行加密；最后、将所述加密后的所述地址解析协议请 求向网内广播发送或直接单向发送至地址解析协议代理部201。

所述第三步进一步包括子步骤：首先、所述地址解析协议代理部201 对所述加密信息进行解密；其次、所述地址解析协议代理部201对所述请 求端自身地址信息是否被占用进行确认，并将所述确认信息单向发送至所 述请求端；最后、所述地址解析协议代理部201对所述请求端的查询目的 端的地址信息请求进行确认，并将所述确认信息单向发送至所述请求端。

所述第四步进一步包括子步骤：一、所述请求端将接收到的所述地址 解析协议代理部201反馈回的所述目的端的地址信息进行存储；二、所述 请求端与所述目的端进行单向通讯。

请参阅图2本发明主管加密式防攻击信息通讯网络安全防御系统结构 图，如图2所示一种主管加密式防攻击信息通讯网络安全防御系统，所述 防御系统包括：地址解析协议代理部201，具有加密功能的桥接装置200 和通讯终端，其中，所述各通讯终端与所述桥接装置200连接，所述桥接 装置200与所述地址解析协议代理部201连接，所述各终端相互之间通讯 通过所述地址解析协议代理部201进行地址信息的存储和管理。

所述地址解析协议代理部201为独立装置或部署于相关装置上的功能 部件。所述桥接装置200为交换机或路由器。

以下举出一具体实施例对本发明主管加密式防攻击信息通讯网络安全 防御问题进行详细说明，说明中可同时参阅图1和图2。在本实施例中所 述桥接装置200为交换机。

第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解 析协议代理部201，并运行地址解析协议代理部201；

第二步、当所有终端设备在最初联网时，会向网内交换机200的连接 端口送一个地址解析协议宣告广播包。

第三步、交换机200对交换端口的入口中的广播数据包进行检测，发 现是地址解析协议请求报文时，则将该广播数据发给加密模块，在本实用新 型中的加密通过中央处理器进行；

第四步、交换机200上的中央处理器收到此报文，对此报文进行加密 处理后重新封装成非地址解析协议报文的特殊广播报文，重新从交换机 200上广播出去；

第五步、地址解析协议代理部201主机收到此特殊广播报文后，进行 解密转换成正常地址解析协议报文，交给地址解析协议代理程序确认，通 过地址解析协议代理回应此地址解析协议请求；

第六步、所有终端设备根据地址解析协议代理部201的回应包查询自 己的IP是否被占用。

第七步、当终端设备A202与终端设备B203开始通信时，终端设备 A202首先查找自身存储的地址解析协议表[终端设备IP地址与物理地址对 应关系表]，查找终端设备B203的物理地址，如查到则跳转到第十四步与 B终端设备进行通讯；如果没找到终端设备B203的物理地址则执行地址 解析协议学习流程进入第八步；

第八步、终端设备A202将会单向向网内交换机200的指定端口送一 个地址解析协议宣告广播包，请求终端设备B203所对应的物理地址；

第九步、交换机200对交换端口的入口中的广播数据包进行检测，发 现是地址解析协议请求报文时，则将该广播数据发给加密模块；

第十步、交换机200上的中央处理器收到此报文，对此报文进行加密 处理后重新封装成非地址解析协议报文的特殊广播报文，重新从交换机 200上广播出去；

第十一步、地址解析协议代理部201主机收到此特殊广播报文后，进 行解密。

第十二步、地址解析协议代理部201将收到的地址解析协议请求报文 中的请求IP在物理表中查找到正确的终端设备B203的物理地址，将向终 端设备A202单向发送终端设备B203的地址解析协议回应报文；

第十三步、终端设备A202收到这个地址解析协议回应报文后，将终 端设备B203的IP地址与终端设备B203的物理地址对应关系存入终端设 备A202的地址解析协议表，以备下次与终端设备B203通讯时使用；

第十四步、终端设备A202根据终端设备B的物理地址与终端设备 B203进行单向通讯。

本发明中术语在行业内有不同写法，例如：本专利中所述地址解析协议 可写成ARP；所述物理地址也可写成MAC地址。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说 明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术 领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若 干简单推演或替换，都应当视为属于本发明的保护范围。