[发明专利]自动防止网络侧媒体接入控制地址被仿冒的方法及其装置

说明书

技术领域

本发明涉及互联网宽带接入技术和网络安全领域，特别涉及一种自动防止网络侧媒体接入控制地址被仿冒的方法及其装置。 

背景技术

随着互联网络技术的成熟和业务的不断推广，宽带接入业务已经如火如荼地开展起来。但是如何保证宽带用户使用宽带业务的安全性和网络运营商的安全性，是一个需要重点解决的问题。例如，接入用户假冒宽带接入服务器(BRAS，Broadband Remote Access Server)的媒体接入控制(MAC，MediaAccess Control)地址发起以太网点对点协议(PPPoE，Point-to-Point Protocolover)或动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)申请导致接入设备上BRAS的MAC地址学习表从网络侧端口迁移到了用户侧端口，从而造成其他用户业务中断。 

接入设备的主要功能是提供各种接入手段将用户接入到网络获取网络服务，接入设备用来接入用户的端口通常称为用户侧端口，连接到局域网、城域网或核心网的端口通常称为网络侧端口。MAC地址表分为静态表和动态表，静态表一般手工在设备上配置，这种表的特点是该表一旦配置后一直保存在设备中，不会随着时间流逝而删除。动态表一般由设备自动学习生成，其特点是该表保存在设备一段时间后会自动删除。 

就目前宽带业务开展模式来说，用户接入网络使用宽带业务，一般使用两种PPPoE认证和DHCP认证两种方式。 

PPPoE协议为使用桥接以太网接入的用户提供了一种宽带接入手段，同时还提供方便的接入控制和计费。 

DHCP协议是在根协议(BOOTP，Bootstrap Protocol)基础上提出的，其作用是在网络中向主机提供配置信息。DHCP采用客户端/服务器模式，由客户端向服务器提出配置申请，包括分配的IP地址、子网掩码、缺省网关等参数，服务器根据策略返回相应配置信息。 

为了解决网络侧媒体接入控制地址被仿冒，而导致其他接入用户业务中断的问题，现有技术提供一种防止网络侧媒体接入控制地址被仿冒的方法，即在接入设备的用户侧端口上配置源MAC地址过滤功能：在接入设备的用户侧端口上手工配置的一个源MAC地址过滤列表，禁止接入用户使用过滤列表中的MAC地址作为源地址。如果接入用户使用了过滤列表中的地址，接入设备则丢弃该报文。 

从上述现有技术提供的方法可以看出：当更改BRAS或网络侧的主用BRAS发生切换时，用户侧端口的“源MAC地址过虑”需要重新配置，所述配置功能依赖于上层网络设备，网络管理维护工作量大；由于接入用户端口数量很多，逐个用户端口地配置“源MAC地址过虑”功能，网络管理员维护工作量大。因此，在进行本发明创造过程中，发明人发现现有技术中至少存在如下问题：现有技术提供的防止网络侧媒体接入控制地址被仿冒的方法，需要在接入设备的用户侧端口上手工配置一个源MAC地址过滤列表且网络管理维护工作量大。 

发明内容

本发明实施例要解决的技术问题为提供一种自动防止网络侧媒体接入控制地址被仿冒的方法及其装置，能够自动防止网络侧媒体接入控制地址被仿冒的方法且便于管理和维护。 

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的： 

本发明实施例提供一种自动防止网络侧媒体接入控制地址被仿冒的方法，包括： 

接入设备获取用户设备的媒体接入控制地址； 

判断接入设备所获取的用户设备的媒体接入控制地址是否为已获知的网络侧设备的媒体接入控制地址，如果否，则学习用户设备的媒体接入控制地址；如果是，则丢弃包含能够获取用户设备的媒体接入控制地址的报文； 

接入设备学习网络侧设备的媒体接入控制地址，生成媒体接入控制地址学习表，并防止媒体接入控制地址学习表被迁移。 

本发明实施例还提供一种自动防止网络侧媒体接入控制地址被仿冒的装置，包括： 

获取单元，用于获取并保存用户设备的媒体接入控制地址； 

判断单元，用于判断获取单元所获取的用户设备的媒体接入控制地址是否为已获知的网络侧设备的媒体接入控制地址； 

学习单元，用于当判断单元的判断结果为用户设备的媒体接入控制地址不是网络侧设备的媒体接入控制地址时，学习用户设备的媒体接入控制地址和网络侧设备的媒体接入控制地址，并生成媒体接入控制地址学习表； 

设置单元，用于防止学习单元生成的媒体接入控制地址学习表迁移。