[发明专利]一种安全ARP的实现方法及网络设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种安全ARP的实现方法及网络设备。

背景技术

数据链路上的设备需要一种方法来发现邻居的数据链路标识，即媒体访问控制(Media Access Control，MAC)地址，以便将数据传送到正确的目的地。因特网的地址解析协议(Address Resolution Protocol，ARP)根据指定的IP地址来获取对应的MAC地址。

根据因特网标准RFC826，ARP的机制是：当一台网络设备需要获取同一链路上的另一台网络设备的MAC地址时，它将组装ARP请求消息，在这个消息中包括：设备一的MAC地址、IP地址和设备二的IP地址。然后，ARP请求消息在数据链路上被广播，即数据链路上的所有设备都将收到该帧，并且必须检查帧内封装的消息。IP地址与ARP请求消息中的目标IP地址相同的设备二将向ARP请求消息的发送者地址发送ARP响应消息，以提供自己的MAC地址，而其他设备则不会发送答复消息。于是，地址解析操作的结果就是发送源设备即设备一获得了设备二的MAC地址，并且在本地的ARP缓存表中记录目标设备即设备二的MAC地址和IP地址的映射关系。

当前的ARP通过明文的广播询问、应答，可以获得同网段网络中所有主机的IP与MAC地址的对应关系。因此，只要攻击设备能拿到其他设备的IP-MAC(IP地址与MAC地址)地址的映射关系，就能对其他设备进行相应的攻击。当某接入设备中毒，导致同网内的其他设备受到攻击，这样的攻击经常发生在机房或者办公室等同一个网段的网络中。

随着全IP网络的发展，安全问题已经越来越受到重视，在第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)领域，也定义了比如IP层协议安全结构(Security Architecture for IP network，IPSEC)等IP层以上的安全技术，形成安全域，组织安全网络。但是这种保护仅仅能对服务器程序进行保护，对设备本身，尤其是位于同一网段进行交互的两个设备，没有保护作用。请参见图1所示，图1为采用IPSEC等安全IP手段进行对相关内容的保护，设备一要安全访问设备二，设备一上的客户程序含有设备二的IP地址，该方法实现方式如下：

设备一向网络广播普通ARP请求消息；

设备二接收到普通ARP请求消息后，将含有MAC地址信息的响应消息返回给设备一；

获得设备二的IP-MAC地址映射关系的设备一的客户程序能通过安全IP接口与设备二的服务器程序进行通讯，通讯内容受到安全IP的保护。

但与此同时，设备一上的病毒程序也能够通过普通IP接口，利用ARP缓存表存储的IP-MAC地址映射关系，攻击到设备二。其他设备也能通过ARP协议，获得网络中设备的IP与MAC地址映射关系，并能实施攻击。

为了实现对设备的保护，请参见图2所示，公开了一种在设备二前放置一台防火墙，通过防火墙的设置，安全的消息可以通过防火墙，而攻击消息将被过滤掉。但是在每一台设备前都放置一台防火墙，不仅需要花费巨大的成本，还需要进行不断的维护。

发明内容

有鉴于此，本发明实施例提供了一种安全ARP的实现方法及网络设备。可在节约成本的前提下实现安全ARP。

本发明实施例提供了一种安全ARP的实现方法，该方法至少包括以下步骤：

对本端设备地址和需请求的目标设备的地址进行加密；

生成安全ARP请求消息，所述消息中携带有安全标识和所述加密后的地址信息；

通过所述安全ARP请求消息向网络中广播安全ARP请求。

该方法还进一步包括：

在接收到目标设备的ARP响应消息后，解密所述ARP响应消息的地址字段，获取所述目标设备的地址。

在接收到目标设备的ARP响应消息后，还进一步包括：

判断所述ARP响应消息中是否携带有安全标识，如果判断为是，则解密所述ARP响应消息的地址字段，获取所述目标设备的地址。

该方法还再进一步包括：

客户程序通过安全IP接口以及安全ARP接口获得所述解密获取的目标设备的地址。

本发明实施例提供了一种安全ARP的实现方法，该方法至少包括以下步骤：

接收安全ARP请求，并解密所述安全APR请求的地址字段；

解密完成后，将本端设备的地址信息以及源请求设备的地址信息进行加密；

生成安全ARP响应消息，所述消息中携带有安全标识和所述加密后的地址信息；