[发明专利]一种报文安全检查方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，尤指一种报文安全检查方法和装置。

背景技术

随着互联网技术的不断演进以及其规模的爆炸性发展，互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面。越来越多的基于网络的关键业务蓬勃兴起，网络成为了人类提高生产力和提升生活质量的新的推动力。

然而，互联网的技术基础，即IP网络技术，却在天然上存在着诸如安全、服务质量、运营模式等问题。其中，IP网络的安全技术是非常重要的一方面，由于IP网络的开放性，又使得它的安全问题变得十分复杂。IP网络的简单和开放在促成互联网迅猛发展的同时，也造成了IP网络容易引入安全漏洞的弱点。另一方面，网络安全的威胁也促成了网络安全技术的进一步发展，单播反向路径转发(URPF，Unicast Reverse Path Forwarding)检查就是一种防止IP欺骗攻击的网络安全技术。

URPF检查的主要功能是防止基于源地址欺骗的网络攻击行为。源地址欺骗攻击行为是入侵者构造并发送一系列带有伪造源地址的报文，对于使用基于IP地址验证的应用来说，此攻击方法可以导致未授权用户以他人身份获得访问系统的权限，甚至以管理员权限来访问。

图1是对现有的URPF检查技术进行说明的一个组网示意图。参见图1，在IP地址为1.1.1.8/8的路由器A上伪造源IP地址为2.2.2.1/8的报文，并向作为服务器的路由器B发起请求，路由器B响应请求时，将响应报文发送到IP地址真正为2.2.2.1/8的路由器C。因此，路由器A伪造的非法报文对路由器B和路由器C都造成了攻击。

URPF检查技术可以应用在图1所示的环境中，即在路由器B上根据接收报文的源IP地址查找该IP地址的出接口，判断该IP地址的出接口是否与接收报文的入接口一致，如果一致则URPF检查通过，如果不一致则认为URPF检查不通过，并且对所接收的报文采取相应的处理，如丢弃报文等。

由上述说明可见，现有的URPF检查技术是基于IP层的检查，而当前的网络攻击已经渗透各方面，仅基于IP层的检查显得有些单薄，不能很好地保证网络安全。

发明内容

本发明提供了一种报文安全检查方法，该方法能够更好地保证网络安全。

本发明还提供了一种报文安全检查装置，该装置能够更好地保证网络安全。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明公开了一种报文安全检查方法，该方法包括：

网络设备接收报文；

网络设备根据所述接收报文的源IP地址查找路由表，获取目的地址与所述接收报文的源IP地址相同的路由表项中的下一跳IP地址；

网络设备根据所获取的下一跳IP地址查找地址解析协议ARP表，获取与所述下一跳IP地址对应的媒体接入控制MAC地址；

网络设备判断所获取的MAC地址与所述接收报文的源MAC地址是否相同，是则确定所述接收报文为合法报文，否则确定所述接收报文为非法报文。

本发明还公开了一种报文安全检查装置，该装置包括：报文处理模块和安全检查模块，其中，

报文处理模块，用于接收报文，并将所述接收报文的源IP地址和源MAC地址发送给安全检查模块；

所述安全检查模块，用于在接收到来自报文处理模块的源IP地址和源MAC地址后，通过查找路由表获取目的地址与所述来自报文处理模块的源IP地址相同的路由表项中的下一跳IP地址；根据所获取的下一跳IP地址查找地址解析协议ARP表，获取与所述下一跳IP地址对应的MAC地址；判断所获取的MAC地址与所接收的源MAC地址是否相同，是则向报文处理模块返回合法报文确认消息，否则向报文处理模块返回非法报文确认消息。

由上述技术方案可见，本发明这种网络设备接收到报文后，根据所述接收报文的源IP地址查找路由表，获取目的地址与所述接收报文的源IP地址相同的路由表项中的下一跳IP地址，然后根据所获取的下一跳IP地址查找地址解析协议ARP表，获取与所述下一跳IP地址对应的媒体接入控制MAC地址，判断所获取的MAC地址与所述接收报文的源MAC地址是否相同，是则确定所述接收报文为合法报文，否则确定所述接收报文为非法报文的技术方案，可以通过检查IP报文的源MAC地址，过滤源MAC地址非法的报文，从而防止非法报文对网络的攻击，更好地保证网络的安全。

附图说明

图1是对现有的URPF检查技术进行说明的一个组网示意图；

图2是本发明实施例一种报文安全检查方法的流程图；

图3是对本发明的报文安全检查方法进行说明的一个组网示意图；