[发明专利]一种宽带接入设备中防止用户地址欺骗的方法和装置

说明书

技术领域

本发明涉及网络通讯的安全接入方法，特别涉及一种宽带接入设备中防止用户地址欺骗的方法和装置。

背景技术

宽带技术的发展逐步要求网络架构向融合多业务承载的方向发展，因此运营商需要优化改造网络架构，以便承载多种业务。由于每种业务都有不同的特点，在其各自的发展过程中采用了不同的接入方式，如目前上网业务通常采用以太网上的点到点连接协议(PPPOE：Point to Point Protocol over Ethernet)接入方式，而网络电视(IPTV：Internet Protocol Television)、网络电话(VOIP：Voice over Internet Protocol)等业务采用动态主机配置协议(DHCP：Dynamic Host Configuration Protocol)接入方式，而这种不同业务采用不同接入方式的情况会在相当长的一段时间内存在。因此，在宽带接入设备的用户端口上同时支持多种接入方式已成为宽带接入设备的一个基本功能。

DHCP最初设计在网际协议(IP：Internet Protocol)网络上，与PPPOE不同的是，DHCP并没有太多的考虑安全性，在大规模使用中存在较多安全隐患，尤其是盗用IP地址进行网络非法操作。由于盗用IP地址进行网络非法操作时是通过仿冒IP进行的，因此即使安全管理系统获取了相关操作日志，也不容易定位真实的攻击者。

当前宽带接入设备中用来防止IP/介质访问控制(MAC：Media Access Control)地址欺骗的方法，主要是在宽带接入设备上进行IP/MAC地址过滤，即通过DHCP监听(DHCP Snooping)建立动态表和手工配置IP/MAC地址静态绑定表，对非法IP/MAC地址报文进行过滤。

在实现这一方法时，现有技术都是在用户端口上开启IP地址防欺骗功能，然后配置访问控制表(ACL：Access Control List)规则，对初始报文过滤时，丢弃除DHCP报文以外的所有IP报文，之后只允许源IP/MAC地址为DHCP Snooping表项中的IP/MAC地址的后续报文通过。这种基于用户端口级别的功能粒度太粗，当使用DHCP的IP源防护(IP Source Guard)功能时，用户端口只能工作在DHCP接入方式下，无法满足目前同一用户端口支持多种接入方式需求。

发明内容

本发明要解决的技术问题是提供一种宽带接入设备中防止用户地址欺骗的方法，在同一用户端口下可支持多种接入方式。

为了解决上述问题，本发明提供了一种宽带接入设备中防止用户地址欺骗的方法，包括：

所述宽带接入设备为配置的每一个业务配置一个业务端口作为承载业务的逻辑通道，并配置各业务端口与用户端口的关联关系，不同业务采用各自的业务标识信息区分；

所述宽带接入设备对配置的以动态主机配置协议(DHCP)方式接入的业务，开启IP地址防欺骗功能对收到的报文进行过滤处理；对已配置的非DHCP方式接入的业务的所有报文，都允许通过。

进一步地，上述方法还可具有以下特点：

所述宽带接入设备基于业务端口设置初始报文过滤条目，包括配置的业务的业务标识信息和该业务的初始报文类型，所述初始报文类型包括DHCP报文和非DHCP报文；

形成的初始报文过滤条件是：对配置的使用DHCP方式接入的业务，只有DHCP报文才能通过；对配置的使用其他方式接入的业务，所有报文都允许通过。

进一步地，上述方法还可具有以下特点：

所述宽带接入设备监听DHCP报文并保存监听到的DHCP报文的IP地址、MAC地址和业务标识信息作为过滤条目；

对于用户端口接收到的IP报文，宽带接入设备如判断所述IP报文中的IP地址、MAC地址和业务标识信息匹配到某个过滤条目，进行正常处理，否则按照所述初始报文过滤条件进行过滤。

进一步地，上述方法还可具有以下特点：

所述业务标识信息为虚拟局域网(VLAN)、流量优先权控制标准IEEE802.1P的优先级、永久虚电路(PVC)或以太网业务的标识信息。

进一步地，上述方法还可具有以下特点：

所述宽带接入设备监听到DHCP结束报文后，删除保存的该DHCP结束报文的IP地址、MAC地址和业务标识信息。

本发明要解决的另一技术问题是提供一种与方法对应的宽带接入设备中防止用户地址欺骗的装置，在同一用户端口下可支持多种接入方式。