[发明专利]对局域网中的ARP中间人攻击进行防范的方法和系统

说明书

技术领域

本发明涉及局域网安全领域，具体是涉及到一种对局域网中的ARP（Address Resolution Protocol，地址解析协议）中间人攻击进行防范的方法和系统。

背景技术

电信级IP技术的发展成熟使得话音、数据、视频和移动等应用的融合成为必然，统一通讯已成为发展的趋势。以IP技术为核心进行网络改造并承载多种新型业务以提升竞争力，是固网运营商的发展方向。而以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟，设备性价比高，对IP的良好支持，成为城域网和接入网的发展趋势。但是，由于以太网技术的开放性和其应用广泛，也带来了一些安全上的问题。特别是当网络由原有的单业务承载转为多业务承载时，安全问题带来的影响愈发明显，已经逐步影响到业务的开展和部署。

ARP（Address Resolution Protocol，地址解析协议）是获取物理地址的一个TCP（Transmission Control Protocol，传输控制协议）/IP协议。按照ARP协议的设计，一个节点即使收到的ARP数据包并非自身请求得到的，也会将上述ARP数据包中携带的IP地址和MAC（Medium/MediaAccess Control，介质访问控制）地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP中间人”创造了条件。

网络节点A和网络节点C进行通信。此时，如果有黑客(节点B)想探听节点A和节点C之间的通信，节点B可以分别给节点A和节点C发送伪造的ARP数据包，使节点A和节点C用B的MAC地址更新自身ARP映射表中与对方IP地址相应的表项。之后，节点A和节点C之间的通信，却都是通过黑客所在的节点B间接进行的，即节点B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“ARP中间人(Man-In-The-Middle)攻击”。显而易见，该种攻击对于网络具有极大的危害性。

目前，现有技术中还没有一种有效地解决上述ARP中间人攻击的方法。

发明内容

本发明的实施例提供了一种对局域网中的ARP中间人攻击进行防范的方法和系统，以有效地解决上述局域网中的ARP中间人攻击。

一种对局域网中的ARP中间人攻击进行防范的方法，包括：

局域网内的第一节点接收到第二节点发送的地址解析协议ARP数据包，所述ARP数据包用所述第二节点的私钥进行签名，所述第一节点获取所述ARP数据包中携带的所述第二节点的IP地址；

当所述第一节点在本地没有查询到所述第二节点的IP地址对应的公钥时，所述第一节点向所述局域网中预先设置的可信任节点发送携带所述第二节点的IP地址的查询请求；

所述可信任节点向所述第一节点发送所述第二节点的公钥，所述第一节点用所述第二节点的公钥验签所述ARP数据包。

所述的局域网内第一节点接收到第二节点发送的ARP数据包之前还包括：

在所述局域网中设置可信任节点，所述可信任节点向所述局域网内的所有节点发送该可信任节点的公钥和介质访问控制MAC地址；

所述各个节点接收到所述可信任节点的公钥和MAC地址后，将所述可信任节点的公钥进行存储，利用可信任节点的公钥生成各个节点自身的公钥和私钥，再将其IP地址和公钥用可信任节点的公钥签名之后发送到所述可信任节点；

所述可信任节点接收到所述各个节点发送的IP地址和公钥信息后，将各个节点的IP地址和公钥信息在节点信息数据库中进行关联存储。

所述的当所述第一节点在本地没有查询到所述第二节点的IP地址对应的公钥时，所述第一节点向所述局域网中预先设置的可信任节点发送携带所述第二节点的IP地址的查询请求，包括：

所述第一节点根据所述第二节点的IP地址查询本地ARP缓存表，当所述第一节点从所述本地ARP缓存表中没有查询到所述第二节点的公钥时；或者，查询到的所述第二节点的公钥过期或者错误，而不能验签所述ARP数据包时，所述第一节点向所述局域网中预先设置的可信任节点发送携带所述第二节点的IP地址的查询请求。

所述的可信任节点向所述第一节点发送所述第二节点的公钥，包括：

所述可信任节点接收到所述第一节点发送的所述查询请求后，根据所述查询请求中携带的所述第二节点的IP地址查询所述节点信息数据库中关联存储的各个节点的IP地址和公钥信息，获取所述第二节点的公钥，将所述第二节点的公钥用自身的私钥加密后发送给所述第一节点。