[发明专利]基于点对点协议的MAC地址与接入电路绑定方法和装置

说明书

技术领域

本发明涉及网络中的二层综合接入设备的通讯安全领域，特别是一种基于点对点协议(PPP，Point to Point Protocol)的介质访问控制(MAC，Media AccessControl)地址与接入电路绑定方法和装置。

背景技术

随着宽带接入业务的开展和普及，基于以太网的点对点协议(PPPoE，Pointto Point Protocol over Ethernet)成为一种主要的宽带接入方式。对于靠近用户的二层接入网络，网络情况复杂，存在多种多样的攻击行为。因此，对于靠近用户的二层综合接入设备，如接入网关(AG，Access Gateway)或数字用户线接入复用器(DSLAM，DigitalSubscriber Line Access Multiplexer)，需要提供多种安全防护策略来应对各种网络攻击和非法访问。而对于地址欺骗，目前在综合接入设备上一般主要是通过MAC地址与端口静态绑定、网际协议地址(IP，Internet Protocol)与MAC地址静态绑定来实现。静态绑定的缺点是配置麻烦，不够灵活。

发明内容

有鉴于此，本发明的主要目的在于提供一种基于PPP的MAC地址与接入电路绑定方法和装置，应用简单灵活，可以有效的应对网络中非法地址的欺骗。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于点对点协议的MAC地址与接入电路绑定方法，该方法包括：

A、根据监听的下行PPP IPCP包的信息，建立MAC地址与接入电路的绑定关系，并设置绑定检查策略；

B、根据绑定检查策略和绑定关系对上行数据包进行检查，并根据绑定检查结果对上行数据包进行处理。

所述绑定关系是用户的接入电路的槽位、端口、VLAN或PVC中的一个或多个与用户MAC地址关联。

所述绑定检查策略是对上行协议数据包进行绑定检查。

所述绑定检查策略是对上行协议数据包和上行协议控制包均进行绑定检查。

步骤B包括：

B11、判断上行数据包是协议控制包还是协议数据包，如果是协议控制包，则根据协议控制包类型进行处理，如果是协议数据包，则进入步骤B12；

B12、提取该协议数据包中的源MAC地址和接入电路信息，并判断是否符合绑定关联，如果是，则将协议数据包转发至相应设备；否则丢弃。

步骤B包括：

提取所有上行数据包的源MAC地址与接入电路信息，并判断是否符合绑定关联，如果是，则将上行数据包转发至相应设备；否则丢弃。

步骤B11包括，判断协议控制包是否为PADT包，如果不是，将该协议控制包直接上传至相应设备，否则，提取PADT包中MAC地址与接入电路信息，查找绑定检查单元，发现匹配的绑定关系条目，清除绑定关系并转发该PADT包。

该方法还包括，设置所绑定电路的流量周期，绑定检查时，符合绑定关系转发数据包时，更新流量信息，并周期性的读取绑定电路的流量信息，当所述接入电路的流量无变化，认为该用户已下线，解除绑定关系。

该方法还包括，设置绑定检查的命中次数周期，绑定检查时，符合绑定关系为命中一次，每次命中均将命中次数加1，并周期性的检查命中次数，当所述接入电路的命中次数无变化，认为该用户已下线，解除绑定关系。

一种基于点对点协议的MAC地址与接入电路绑定装置，该装置包括协议分析单元、分析处理单元和绑定检查单元，其中：

协议分析单元位于转发层面，用于对接收的数据包进行分析，识别协议控制包并转发至分析处理单元，并将上行的协议数据包转发至绑定检查单元进行绑定关联检查；

分析处理单元位于CPU控制层面，用于根据绑定检查策略转发或丢弃协议控制包；以及用于建立或解除绑定关系条目，并将该绑定条目信息同步至绑定检查单元；

绑定检查单元位于转发层面，用于根据存储的绑定关系对上行协议数据包进行绑定检查，根据检查结果确定转发还是丢弃。

本发明通过将MAC地址与用户接入电路动态绑定，对接入电路接收的上行数据包进行绑定检查，如果发现未设置对应的绑定关系，则丢弃，这样可以有效的阻止非法地址对网络的攻击行为，同时，该装置结构简单，应用方便。

附图说明

图1为本发明方法的流程图；

图2为本发明装置的示意图。

具体实施方式