[发明专利]验证数据链路层地址与其发送方关系的方法、系统及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种验证数据链路层地址与其发送 方关系的方法、系统及其装置。

背景技术

在网络通信中，数据链路层作为网络数据传输的必经层面，通信安全要 求正在不断的提高，随着无线网络的实用和大规模普及，开放的空中接口带 来了威胁链路层数据传输安全的网络攻击。

这些网络攻击主要包括：(1)攻击者通过向网络交换机提供大量的无效 媒体访问控制(MAC，Media Access Control)地址，使得内容寻址存储器(CAM， Call Access Management)表格被淹没，导致入侵者看到本地虚拟局域网 (VLAN，Virtual Local Area Network)中的信息。(2)攻击者通过攻击生成 树协议，迫使生成树协议进行更新，攻击者将自己的系统伪装成该拓扑结构 中的根网桥，获得各种各样的数据帧。(3)攻击者仿冒被攻击主机的MAC 地址，并发送数据链路层控制报文，改写CAM表格中对应条目，使得交换机 将以被攻击主机为目的地址的数据包转发给该攻击者。(4)攻击者通过非法 修改交换机上保存的MAC地址和IP地址对应关系获得地址解析协议(ARP， Address Resolution Protocol)表格，实施服务拒绝或者中间人攻击。(5)攻 击者通过利用伪造的MAC地址来广播动态主机配置协议(DHCP，Dynamic  Host Configure Protocol)请求的方式进行攻击，如果所发出的请求足够多，网 络攻击者就可以在一段时间内耗竭DHCP服务器所提供的地址空间，然后攻击 者在自己的系统中建立虚假的DHCP服务器来对网络上客户发出的新DHCP请 求作出反应。

现有技术中，MAC地址是在数据链路层上使用的地址，也叫物理地址或 者链路地址，是厂商生产的网卡的物理地址，对于每一台设备是唯一的。以 太网中数据链路层的包交换和转发，都是以MAC地址作为标识，在数据链路 层上传输的每个报文都含有发送该报文的网卡的MAC地址，MAC地址的绑定 和基于MAC地址的认证被应用在数据链路层的各种安全机制中。

这些安全机制主要包括：(a)MAC地址和IP地址的绑定认证机制：在路 由器中建立一个IP地址与MAC地址的对应表，只有IP-MAC地址相对应的合法 注册机器才能得到正确的网络应答，以此来控制IP-MAC不匹配的主机与外界 通讯，达到防止IP地址的盗用。(b)数据链路层访问控制列表(ACL，Access  Control List)：访问控制列表实际上就是一系列允许和拒绝匹配准则的集合。 数据链路层访问控制列表中的匹配准则是以数据包的目标MAC地址、源MAC 地址，端口等项目来区分数据包是否合法的。以此来限制不合法的硬件接入 网络。(c)802.1x：通过检验客户端发送来的身份标识，即用户名和口令来 判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机 发出打开状态的指令，或者向交换机发出保持特定MAC地址的端口关闭状态 的指令。

在对现有技术的研究和实践过程中，发明人发现现有技术存在以下问题： 网卡驱动在发送数据链路层报文时，并不从硬件记忆设备中读取MAC地址， 而是在内存中建立一块缓存区，数据链路层报文从该缓存区中读取源MAC地 址。因此，用户可以通过操作系统修改实际发送的数据链路层报文中的源MAC 地址。由于MAC地址可以修改，那么基于MAC地址的各种安全机制也就失去 了它原有的意义。

另外，现有的数据链路层地址使用和物理硬件相对应的固定地址，没有 对该固定地址所有权的认证，极易被同一链路上潜在的攻击者假冒，并且各 种数据链路层安全机制，大都以MAC地址是唯一、永久且不可假冒，为前提， 但MAC地址是可以伪造的。攻击者可以先假冒MAC地址，再盗用IP地址，就 绕过了MAC地址和IP地址的绑定认证机制。攻击者可以把自己的MAC地址改 为已知访问控制列表允许的地址，从而欺骗使用访问控制列表的路由器。攻 击者可以在合法用户通过802.1x验证后，假冒合法用户的MAC地址和端口， 使用已经打开的网络服务。

发明内容

本发明实施例要解决的技术问题是提供一种验证数据链路层地址与其发 送方关系的方法、系统及其装置，能够生成内嵌安全机制的数据链路层地址， 并对该内嵌安全机制的数据链路层地址与其发送方关系进行验证，从而提高 数据链路层数据传输的安全性。

本发明实施例是通过如下技术方案来实现的：