防止MAC地址仿冒的实现方法技术

本发明专利技术涉及一种防止ＭＡＣ地址仿冒的实现方法。该方法主要包括：首先，获取请求接入网络的用户终端的媒体接入控制ＭＡＣ地址信息及对应的端口信息；然后，根据所述ＭＡＣ地址及对应的端口信息，以及已经存在的合法接入网络的用户终端的ＭＡＣ地址及端口信息确定仿冒ＭＡＣ地址接入的用户接入端口，并对其进行相应的处理。本发明专利技术可以在网络中存在ＭＡＣ仿冒或者地址冲突问题时采取相应的解决手段，即禁止并删除仿冒ＭＡＣ地址信息。因此，本发明专利技术可以有效解决网络中的ＭＡＣ地址仿冒的问题，从而保证了原来已经认证成功的接入用户的业务正常使用。

【技术实现步骤摘要】

本专利技术涉及网络通信
，尤其涉及一种防止MAC地址仿冒的实现方法。
技术介绍
目前，采用DSLAM (数字用户线接入复用器)设备、综合接入设备等接 入设备提供宽带接入的应用已经十分广泛。可以提供包括ADSL (非对数字 用户线)、SHDSL (单线对高速数字用户线)、VDSL (甚高速数字用户 线)等的多种宽带接入手段，提供用户的宽带上网以及其他业务的功能，例 如，视频业务和IP电话业务等。为实现针对接入用户的鉴权、计费操作，以及避免非法用户的恶意接入 等需要，目前，在很多网络中均采用基于MAC (媒体接入控制)地址对相应 的接入用户进行相应的过滤处理。随着宽带应用的用户的增多，部分非法用户为达到非法接入的目的，便 采用了仿冒合法MAC地址的方式接入宽带网络，开展非法业务；或者，采用 仿冒MAC地址的方式恶意干扰宽带业务。例如，部分宽带应用的用户利用软 件工具，更改部分用户的MAC地址，以对正常4吏用宽带网络的宽带用户进行 攻击，干扰正常的宽带业务。因此，导致宽带接入网络中出现了MAC地址仿冒的问题，为此，需要在宽带接入网络中提供相应的防止MAC地址仿冒的功台匕 8匕。目前，可以采用源MAC地址和端口绑定来实现防止MAC地址仿冒，源MAC地址和端口绑定指的是在DSLAM和综合接入设备等接入设备中为每个 接入用户分配一个或者多个整个接入网络唯一的允许接入源MAC地址。具体 为接入设备对用户上来的以太网报文的源MAC地址进行判断，只有源MAC地 址为设定的MAC地址的报文才允许通过，转发到上层网络中；其他的源MAC 地址不是设定的MAC地址的以太网报文将会被丢弃。这样，便可以有效地防 止MAC地址仿冒的问题。然而，目前采用的防止MAC地址仿冒的方法，虽然可以防止MAC地址仿 冒的问题，但是这样需要对每个用户都进行设置，设置其能通过的源MAC地 址。由于接入用户的源MAC都是随机分配的，如果接入用户很多，了解用户 的MAC地址并在接入设备中进行相应设置的工作量将会非常庞大。而且，上述防止MAC地址仿冒的处理方法还存在一个;f艮大的缺陷，即 在源MAC地址和端口绑定之后，如果用户更换了 一台PC或者更改为另 一个 正常的MAC地址，其业务也无法正常开展，必须要在接入设备中重新设置一 次新的MAC地址。正是因为这个缺陷的存在，导致目前的防止MAC地址仿冒 方法无法得到广泛的应用。
技术实现思路
鉴于上述现有技术所存在的问题，本专利技术的目的是提供一种防止MAC地 址仿冒的实现方法，以有效解决宽带接入网络中的MAC地址仿冒问题。 本专利技术的目的是通过以下技术方案实现的 本专利技术提供了一种防止MAC地址仿冒的实现方法，包括A、 获取请求接入网络的用户终端的媒体接入控制MAC地址信息及对应 的端口信息；B、 根据所述MAC地址及对应的端口信息，以及已经存在的合法接入网 络的用户终端的MAC地址及端口信息确定仿冒MAC地址接入的用户接入端口，并对其进4亍相应的处理。所述的步骤A包^^:A1、用户终端向接入设备发送认证请求报文，报文中携带着用户终端的 MAC地址信息；A2、接入设备获取所述认证请求报文，将认证报文和用户终端的端口信 息发送给认证设备；A3、认证设备接收所述报文，并获取用户终端的MAC地址信息及对应的 端口信息。本专利技术中，步骤A2所述的认证请求报文处理方法包括 支持在以太网的点对点协议认证报文、动态主机配置协议DHCP认证报 文中增加用户的端口信息后发送给认证设备；或者支持采用其他接入设备与 认证设备间采用的通信协议将用户终端的端口信息发送给认证设备。 所述的端口信息包括用户终端的物理端口信息、用户端口的虛通道标识VPI/虚通道标识VCI信 息和/或用户端口的虚拟局域网标识VLAN ID信息。 所述的步骤B包括终端的MAC地址匹配，如果是，则执行步骤B2，否则执行步骤B3; B2、确定该用户终端为仿冒MAC地址接入，禁止其接入； B3、允许该用户终端4妄入网络。 所述的步骤B1具体包括B11、认证设备获取请求接入的用户终端的MAC地址及端口信息后，判如果有，则执行步骤B12，否则，执行步骤B3;B12、判断所述MAC地址是否与其保存的已合法接入网络的用户终端的MAC地址匹配，如果是，则执行步骤B2，否则执行步骤B3。 本专利技术中，在执行所述的步骤B2之前还包括进一步判断与所述MAC地址匹配的已合法接入网络的用户终端的MAC地 址信息对应的端口信息是否与认证请求才艮文中的用户终端的端口信息匹配， 如果是，则不作处理，否则执行步骤B2。所述的步骤B2还包括B21 、 i人证i殳备向4妄入设备发送4十对所述用户终端认i正失败导致的消自.B22、接入设备接收到由于所述认证失败导致的消息后，将其保存的所 述用户终端的MAC地址信息删除。 所述的步骤B2还包括当认证设备在设定的时间段内产生的基于同 一端口认证失败导致的消息 超过预定的次数时，则通知接入设备将该端口禁止； 或者，当接入设备在设定的时间段内接收到的基于同 一端口认证失败导致的消 息超过预定的次数时，则将相应的端口禁止。 所述的步骤B3还包括在认证设备上保存所述用户终端的MAC地址及其对应的端口信息。本专利技术还提供了 一种防止MAC地址仿冒的接入设备，包括 xDSL接入模块，用于提供xDSL接口及相应的xDSL接入功能； MAC地址仿冒处理模块，用于识别用户终端的认证报文，并且将认证报 文和该接入用户的端口信息送到上行接口模块；该模块根据接收到的认证设 备下发的消息，删除和/或者绑定相应用户接入端口所学习到的MAC地址；上行接口模块，用于将认证报文和该接入用户的端口信息送到认证i殳 备；并支持接收认证设备下发的消息，送到MAC地址仿冒处理模块。所述的接入设备可以为只支持宽带接入的宽带接入设备，也可以为同时 支持宽带接入和窄带接入的综合接入设备。所述的xDSL接口可以为ADSL接口， SHDSL接口，或甚高速数字用户线 VDSL接口；所述的上行接口包括千兆以太网GE光接口或电接口、快速以太网FE光接口或电接口、 STM-1光接口或电接口、 E1接口、 E3接口或STM-4接口 。所述的接入设备也可以接收认证设备下发的由于认证成功导致的消息， 将MAC地址和相应的接入端口进行绑定。所述的MAC地址仿冒处理模块还设置有计数器，用于对由于MAC地址仿 冒导致的认证不成功的次数，且当一个端口在一^时间内出现MAC地址仿冒 次数超过预定数值时，除了将所学习到的接入用户的MAC地址删除外，还将 相应的接入端口关闭。本专利技术还提供了 一种防止MAC地址仿冒的认证设备，包括用户信息存储模块，用于完成用户信息的存储功能；MAC地址仿冒识别模块，用于接收用户终端发上来的认证寺艮文和用户端 口信息，根据用户信息存储模块中存储的用户信息确认是否为仿冒MAC地 址，如果为MAC地址仿冒的用户，则向接入设备返回携带端口信息的由于 MAC地址仿冒导致认证失败的消息；如果不是仿冒MAC地址，则将认证报文 提交认证模块，并将用户的信息送到用户信息存储模块进行存储；认证模块，用于完成非MAC地址仿冒的用户的认证报文的认证工作。所述的MAC地址仿冒识别模块还包括计数器，当 一个接入端口在一段时 本文档来自技高网...

【技术保护点】
一种防止ＭＡＣ地址仿冒的实现方法，其特征在于，包括：　Ａ、获取请求接入网络的用户终端的媒体接入控制ＭＡＣ地址信息及对应的端口信息；　Ｂ、根据所述ＭＡＣ地址及对应的端口信息，以及已经存在的合法接入网络的用户终端的ＭＡＣ地址及端口信 息确定仿冒ＭＡＣ地址接入的用户接入端口，并对其进行相应的处理。

【技术特征摘要】
1、一种防止MAC地址仿冒的实现方法，其特征在于，包括A、获取请求接入网络的用户终端的媒体接入控制MAC地址信息及对应的端口信息；B、根据所述MAC地址及对应的端口信息，以及已经存在的合法接入网络的用户终端的MAC地址及端口信息确定仿冒MAC地址接入的用户接入端口，并对其进行相应的处理。2、 根据权利要求1所述的防止MAC地址仿冒的实现方法，其特征在于， 所述的步骤A包括A1、用户终端向接入设备发送认证请求报文，报文中携带着用户终端的 MAC地址信息；A2、接入设备获耳又所述认证请求才艮文，将认证净艮文和用户终端的端口信 息发送给认证设备；A3、认证设备接收所述报文，并获取用户终端的MAC地址信息及对应的 端口信息。3、 4艮据权利要求2所述的防止MAC地址仿冒的实现方法，其特征在于， 步骤A2所述的认证请求报文处理方法包括支持在以太网的点对点协议认证报文、动态主机配置协议DHCP认证报 文中增加用户的端口信息后发送给认证设备；或者支持采用其他接入设备与 认证设备间采用的通信协议将用户终端的端口信息发送给认证设备。4、 根据权利要求1所述的防止MAC地址仿冒的实现方法，其特征在于， 所述的端口信息包括用户终端的物理端口信息、用户端口的虚通道标识VPI/虚通道标识VCI信 息和/或用户端口的虚拟局域网标识VLAN ID信息。5、 根据权利要求1至4任一项所述的防止MAC地址仿冒的实现方法，其 特征在于，所述的步骤B包括B1 、认证设备判断所述MAC地址是否与其保存的已合法接入网络的用户 终端的MAC地址匹配，如果是，则执行步骤B2，否则执行步骤B3; B2、确定该用户终端为仿冒MAC地址接入，禁止其接入； B3、允许该用户终端4妄入网络。6、 根据权利要求5所述的防止MAC地址仿冒的实现方法，其特征在于， 所述的步骤B1具体包括B11、认证设备获取请求接入的用户终端的MAC地址及端口信息后，判 断其是否保存有已合法接入网络的用户终端的MAC地址及对应的端口信息， 如果有，则执行步骤B12，否则，执行步骤B3;B12 、判断所述MAC地址是否与其保存的已合法接入网络的用户终端的 MAC地址匹配，如果是，则执行步骤B2，否则执行步骤B3。7、 根据权利要求5所述的防止MAC地址仿冒的实现方法，其特征在于， 执行所述的步骤B2之前还包括 '进一步判断与所述MAC地址匹配的已合法接入网络的用户终端的MAC地 址信息对应的端口信息是否与认证请求报文中的用户终端的端口信息匹配， 如果是，则不作处理，否则执行步骤B2。8、 根据权利要求5所述的防止MAC地址仿冒的实现方法，其特征在于， 所述的步骤B2还包括B21、认证设备向接入设备发送针对所述用户终端认证失败导致的消自 B22、接入设备接收到由于所述认证失败导致的消息后，将其保存的所 述用户终端的MAC地址信息删除。9、 根据权利要求5所述的防止仿冒MAC地址的实现方法，其特征在于，所述的步骤B2还包括当认证设备在设定的时间段内产生...

【专利技术属性】
技术研发人员：吴海军，张军，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]