[发明专利]一种在AN上实现IP地址防欺骗的装置及其方法

说明书

技术领域

本发明涉及多媒体业务运营，提供了一种在AN(Access Node，访问节点)上实现IP地址防欺骗的装置及其方法。 

背景技术

随着IPTV等越来越多的多媒体新业务的应用，IPoE(IP over Ethernet)逐渐成为一种重要的用户接入方式。不同于数据业务，多媒体业务面向的人群很多对计算机并不了解。他们需要的是‘傻’终端，并需要或者尽量少需要配置就可以使用。因此，很在IPoE模式下，为了减少用户的配置工作量，DHCP(dynamic host configuration protocol，动态主机配置协议)就成为一种最普遍的用户终端自动配置工具。 

DHCP最初设计在IP网络上，并没有考虑多少安全性。在接入网络中，如果不考虑安全性，一个恶意用户完全可以使用另外一个用户已经申请的IP地址上网。这样就会影响正常用户的合法上网业务。因此，如果能够在接入网络边缘，也就是接入节点上对非法的IP地址盗用进行检测，并且丢弃检测到的非法业务报文，那么对于可靠、安全的多媒体业务运营，就显得非常的必要和重要了。 

发明内容

本发明所要解决的技术问题在于提供一种在AN上实现IP地址防欺骗的装置及其方法，以解决在IPoE接入模式下，如果使用DHCP动态主机自动配置协议的话，就存在恶意欺骗用户的IP地址的安全威胁问题。 

为了解决上述问题，本发明提供了一种在AN上实现IP地址防欺骗的装置，应用于IPoE模式下由DHCP自动配置主机的接入网络中，其包括：报文入口模块、DHCP侦听模块、报文过滤模块，其中， 

报文入口模块，用于根据DHCP协议报文的特征，从接收到的报文中提取出DHCP协议报文，并将该提取出的报文及其对应的用户端口信息传递至所述DHCP侦听模块，同时将其余的报文发送给所述报文过滤模块； 

DHCP侦听模块，用于接收由所述报文入口模块传递来的DHCP协议报文及其对应的用户端口信息，获取分配给用户主机的配置信息，包括IP地址及其租用期，将该IP地址与接收到的对应的用户端口信息进行绑定，并结合所述租用期信息以及后续接收的报文，对获取的用户配置信息进行维护； 

报文过滤模块，用于根据所述DHCP侦听模块维护的所述用户配置信息对接收到的上行报文进行过滤，如果发现该报文中的用户IP地址和端口信息没有绑定在一起，则判定其为非法报文； 

所述DHCP侦听模块包括： 

DHCP协议报文分析模块，用于对各种协议报文进行分析，获取用户配置信息，并对其进行维护； 

DHCP信息表记录模块，用于在所述DHCP协议报文分析模块的维护下，记录一个五元组DHCP信息表，包括：话路身份，IP地址，租用期，用户端口，MAC地址； 

定时器，与所述DHCP信息表绑定，每个DHCP信息表项都绑定一个定时器，其触发时限由对应表项的租用期字段决定，每当定时器触发时，其对应的DHCP信息表表项被删除。 

本发明所述的装置，其中，所述DHCP协议报文分析模块，如果其收到上行方向的DHCP REQUEST报文，从该报文中提取用户的MAC(media access control，媒体访问控制)地址、SessionID(话路身份)，使用MAC地址和lport(用户端口，可以是物理端口，也可以是逻辑端口)查看DHCP信息表，如果不存在相应的表项，那么创建一个DHCP信息表表项，填入SessionID、MAC地址，lport，租用期设为无效，IP地址设置为0.0.0.0， 否则如果存在相应的表项，那么更新DHCP信息表中的SessionID； 

如果其收到下行方向的DHCP ACK报文，从该报文中提取SessionID、lport、MAC地址、用户申请的IP地址、租用期信息，使用MAC地址和lport(用户端口，可以是物理端口，也可以是逻辑端口)查看DHCP信息表，如果不存在相应的表项，直接丢弃该报文，否则如果存在相应的表项，那么利用该报文信息更改对应的DHCP信息表表项，填入新的IP地址信息和租用期信息，基于租用期信息创建对应的定时器； 

如果其收到下行方向的DHCP NAK报文，使用MAC地址和用户端口查看DHCP信息表，删除对应的定时器以及对应DHCP信息表表项； 

如果其收到上行方向的DHCP RELEASE报文，使用MAC地址和用户端口查看DHCP信息表，删除应的定时器以及对应的DHCP信息表表项；