[发明专利]对局域网中的ARP中间人攻击进行防范的方法和系统

权利要求书

1.一种对局域网中的ARP中间人攻击进行防范的方法，其特征在于，包括：

局域网内的第一节点接收到第二节点发送的地址解析协议ARP数据包，所述ARP数据包用所述第二节点的私钥进行签名，所述第一节点获取所述ARP数据包中携带的所述第二节点的IP地址；

当所述第一节点在本地没有查询到所述第二节点的IP地址对应的公钥时，所述第一节点向所述局域网中预先设置的可信任节点发送携带所述第二节点的IP地址的查询请求；

所述可信任节点向所述第一节点发送所述第二节点的公钥，所述第一节点用所述第二节点的公钥验签所述ARP数据包。

2.根据权利要求1所述的对局域网中的ARP中间人攻击进行防范的方法，其特征在于，所述的局域网内第一节点接收到第二节点发送的ARP数据包之前还包括：

在所述局域网中设置可信任节点，所述可信任节点向所述局域网内的所有节点发送该可信任节点的公钥和介质访问控制MAC地址；

所述各个节点接收到所述可信任节点的公钥和MAC地址后，将所述可信任节点的公钥进行存储，利用可信任节点的公钥生成各个节点自身的公钥和私钥，再将其IP地址和公钥用可信任节点的公钥签名之后发送到所述可信任节点；

所述可信任节点接收到所述各个节点发送的IP地址和公钥信息后，将各个节点的IP地址和公钥信息在节点信息数据库中进行关联存储。

3.根据权利要求2所述的对局域网中的ARP中间人攻击进行防范的方法，其特征在于，所述的当所述第一节点在本地没有查询到所述第二节点的IP地址对应的公钥时，所述第一节点向所述局域网中预先设置的可信任节点发送携带所述第二节点的IP地址的查询请求，包括：

所述第一节点根据所述第二节点的IP地址查询本地ARP缓存表，当所述第一节点从所述本地ARP缓存表中没有查询到所述第二节点的公钥时；或者，查询到的所述第二节点的公钥过期或者错误，而不能验签所述ARP数据包时，所述第一节点向所述局域网中预先设置的可信任节点发送携带所述第二节点的IP地址的查询请求。

4.根据权利要求2所述的对局域网中的ARP中间人攻击进行防范的方法，其特征在于，所述的可信任节点向所述第一节点发送所述第二节点的公钥，包括：

所述可信任节点接收到所述第一节点发送的所述查询请求后，根据所述查询请求中携带的所述第二节点的IP地址查询所述节点信息数据库中关联存储的各个节点的IP地址和公钥信息，获取所述第二节点的公钥，将所述第二节点的公钥用自身的私钥加密后发送给所述第一节点。

5.根据权利要求1至4任一项所述的对局域网中的ARP中间人攻击进行防范的方法，其特征在于，所述的第一节点用所述第二节点的公钥验签所述ARP数据包，包括：

所述第一节点接收到所述可信任节点发送的加密后的所述第二节点的公钥后，使用所述可信任节点的公钥进行解密处理，得到所述第二节点的公钥；

所述第一节点用所述第二节点的公钥验签所述ARP数据包，若验签成功，则将所述第二节点的公钥和IP地址之间的对应关系存储在本地ARP缓存表中，若验签不成功，则将所述ARP数据包和所述第二节点的公钥抛弃。

6.一种对局域网中的ARP中间人攻击进行防范的系统，其特征在于，包括：设置在局域网中的第一节点、第二节点和可信任节点，

所述的第二节点，用于向所述第一节点发送地址解析协议ARP数据包，所述ARP数据包用所述第二节点的私钥进行签名

所述的第一节点，用于接收到所述第二节点发送的所述ARP数据包后，获取所述ARP数据包中携带的所述第二节点的IP地址；当在本地没有查询到所述第二节点的IP地址对应的公钥时，向所述可信任节点发送携带所述第二节点的IP地址的查询请求；

所述的可信任节点，用于接收到所述第一节点发送的所述查询请求后，向所述第一节点发送所述第二节点的公钥，

所述的第一节点，还用于用所述可信任主机发送过来的第二节点的公钥验签所述ARP数据包。