防止arp欺騙的方法�����、裝置及網(wǎng)絡(luò)接入服務(wù)器的制造方法
【專利摘要】本發(fā)明實(shí)施例提供一種防止ARP欺騙的方法��、裝置及網(wǎng)絡(luò)接入服務(wù)器�。該方法包括:通過(guò)將獲取到的第一報(bào)文的報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中;在獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在第一報(bào)文的源IP地址信息對(duì)應(yīng)的源IP地址后�����,將源IP地址添加至認(rèn)證數(shù)據(jù)庫(kù)中��;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于源IP地址的靜態(tài)ARP表項(xiàng)�;根據(jù)第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于源IP地址的表項(xiàng)中的所述物理端口信息,將第二報(bào)文發(fā)送到與物理端口信息對(duì)應(yīng)的物理端口�,以使與源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證;其中���,第二報(bào)文是第一報(bào)文的重定向報(bào)文��,從而實(shí)現(xiàn)在web認(rèn)證過(guò)程中防止ARP欺騙���。
【專利說(shuō)明】防止ARP欺騙的方法���、裝置及網(wǎng)絡(luò)接入服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種通信技術(shù),尤其涉及一種防止地址解析協(xié)議(AddressResolution Protocol,簡(jiǎn)稱:ARP)欺騙的方法��、裝置及網(wǎng)絡(luò)接入服務(wù)器(Netwoek AccessServer,簡(jiǎn)稱:NAS)�。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)(web)認(rèn)證是一種基于超文本傳輸協(xié)議(Hyper Text Transfer Protocol,簡(jiǎn)稱:HTTP)技術(shù)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的身份認(rèn)證方法,通常��,未認(rèn)證用戶訪問(wèn)網(wǎng)絡(luò)前需要先使用瀏覽器打開(kāi)一個(gè)站點(diǎn)���,部署身份認(rèn)證功能的NAS會(huì)強(qiáng)制瀏覽器訪問(wèn)web認(rèn)證服務(wù)器�����,即Portal服務(wù)器����,用戶通過(guò)瀏覽器在Portal服務(wù)器推送的頁(yè)面上輸入身份信息進(jìn)行身份認(rèn)證����,只有認(rèn)證通過(guò)后才可以使用網(wǎng)絡(luò)資源��。
[0003]ARP是指局域網(wǎng)上兩臺(tái)互聯(lián)網(wǎng)協(xié)議(Internet Protocol,簡(jiǎn)稱:IP)設(shè)備之間通信時(shí),根據(jù)對(duì)方的IP地址獲知對(duì)方媒質(zhì)接入控制(MediumAccess Control,簡(jiǎn)稱:MAC)地址的過(guò)程�,ARP可以將MAC地址和IP地址綁定,以IP地址作為輸入����,ARP能夠知道該IP地址關(guān)聯(lián)的MAC地址。ARP欺騙是指某個(gè)IP設(shè)備對(duì)外發(fā)送假的ARP報(bào)文�,偽造成其他IP設(shè)備,從而將發(fā)往其他IP設(shè)備的數(shù)據(jù)流引向自己��,實(shí)現(xiàn)窺探����,并導(dǎo)致其他合法的IP設(shè)備無(wú)法通信。
[0004]現(xiàn)有技術(shù)中���,為了防止ARP欺騙����,通常由預(yù)存有IP地址與MAC地址的映射數(shù)據(jù)庫(kù)的NAS將所有終端發(fā)出的ARP報(bào)文全部攔截下來(lái)����,通過(guò)映射數(shù)據(jù)庫(kù)對(duì)接收到的ARP報(bào)文進(jìn)行校驗(yàn),若校驗(yàn)通過(guò)則由NAS將ARP報(bào)文轉(zhuǎn)發(fā)出去。現(xiàn)有技術(shù)的方案中的映射數(shù)據(jù)庫(kù)��,若通過(guò)靜態(tài)配置�����,則不夠靈活且管理工作量巨大����;若通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic HostConfiguration Protocol,簡(jiǎn)稱:DHCP)嗅探自動(dòng)生成,貝U要求所有接入NAS的終端必須是通過(guò)DHCP獲得IP地址的,對(duì)于網(wǎng)絡(luò)部署有很大的限制�,并且使用DHCP也會(huì)存在DHCP被欺騙的可能性。因此�����,亟需提出一種有效防止ARP欺騙的方法����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種防止ARP欺騙的方法、裝置及網(wǎng)絡(luò)接入服務(wù)器��,以在web認(rèn)證過(guò)程中有效防止ARP欺騙�。
[0006]第一方面,本發(fā)明實(shí)施例提供一種防止ARP欺騙的方法,包括:
[0007]獲取接收到的第一報(bào)文的報(bào)文信息�,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中;其中,所述報(bào)文信息包括所述第一報(bào)文的源媒質(zhì)接入控制MAC地址信息�、源互聯(lián)網(wǎng)協(xié)議IP地址信息,以及接收所述第一報(bào)文的物理端口的物理端口信息��;
[0008]若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址��,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中�;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)�����;其中��,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址���;
[0009]根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息����,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口�,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)網(wǎng)絡(luò)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證;其中����,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文。
[0010]在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述方法還包括:
[0011]在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí)���,啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器�,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)����。
[0012]結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中�����,在所述獲取接收到的第一報(bào)文的報(bào)文信息之前���,還包括:
[0013]在滿足預(yù)設(shè)條件時(shí)�,攔截所述第一報(bào)文�����。
[0014]結(jié)合第一方面的第二種可能的實(shí)現(xiàn)方式�,在第三種可能的實(shí)現(xiàn)方式中,所述預(yù)設(shè)條件包括:
[0015]所述第一報(bào)文是TCP報(bào)文�����;
[0016]第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息;其中�,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步;
[0017]所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址���。
[0018]第二方面��,本發(fā)明實(shí)施例提供一種防止ARP欺騙的裝置��,包括:
[0019]獲取模塊,用于獲取接收到的第一報(bào)文的報(bào)文信息��,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中�;其中,所述報(bào)文信息包括所述第一報(bào)文的源MAC地址信息�、源IP地址信息,以及接收所述第一報(bào)文的物理端口的物理端口信息�;
[0020]處理模塊,用于若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址����,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)��;其中���,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址����;
[0021]發(fā)送模塊,用于根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息���,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口���,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證;其中���,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文����。
[0022]在第二方面的第一種可能的實(shí)現(xiàn)方式中�����,所述處理模塊還用于:
[0023]在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí)��,啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器����,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)��。
[0024]結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式����,在第二種可能的實(shí)現(xiàn)方式中����,所述裝置還包括攔截模塊,用于在滿足預(yù)設(shè)條件時(shí)���,攔截所述第一報(bào)文�����。
[0025]結(jié)合第二方面的第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中�,所述預(yù)設(shè)條件包括:
[0026]所述第一報(bào)文是TCP報(bào)文;
[0027]第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息����;其中,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步��;
[0028]所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址���。
[0029]第三方面���,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)接入服務(wù)器NAS�����,包括:[0030]處理器����,用于獲取接收到的第一報(bào)文的報(bào)文信息�,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中;其中�,所述報(bào)文信息包括所述第一報(bào)文的源媒質(zhì)接入控制MAC地址信息、源互聯(lián)網(wǎng)協(xié)議IP地址信息����,以及接收所述第一報(bào)文的物理端口的物理端口信息;若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址�����,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中�����;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng);其中�����,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址���;
[0031]發(fā)送器���,用于根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口���,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)網(wǎng)絡(luò)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證����;其中����,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文�。
[0032]在第三方面的第一種可能的實(shí)現(xiàn)方式中,所述處理器還用于:
[0033]在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí)����,啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器�,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)����。
[0034]結(jié)合第三方面或第三方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中�����,所述處理器還用于在滿足預(yù)設(shè)條件時(shí)�,攔截所述第一報(bào)文。
[0035]結(jié)合第三方面的第二種可能的實(shí)現(xiàn)方式���,在第三種可能的實(shí)現(xiàn)方式中��,所述預(yù)設(shè)條件包括:
[0036]所述第一報(bào)文是傳輸控制協(xié)議TCP報(bào)文�����;
[0037]第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息��;其中���,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步;
[0038]所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址。
[0039]本發(fā)明實(shí)施例提供的防止ARP欺騙的方法����、裝置及NAS,通過(guò)將獲取到的第一報(bào)文的報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中��;在獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址后���,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中���;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng);根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息����,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證�;其中,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文���,從而實(shí)現(xiàn)在web認(rèn)證過(guò)程中防止ARP欺騙����。
【專利附圖】
【附圖說(shuō)明】
[0040]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹�����,顯而易見(jiàn)地���,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。
[0041 ] 圖1為本發(fā)明防止ARP欺騙的方法實(shí)施例一的流程圖����;
[0042]圖2為應(yīng)用本發(fā)明防止ARP欺騙的方法的NAS的結(jié)構(gòu)示意圖;
[0043]圖3為本發(fā)明防止ARP欺騙的裝置實(shí)施例的結(jié)構(gòu)示意圖���;
[0044]圖4為本發(fā)明NAS實(shí)施例的結(jié)構(gòu)示意圖�?���!揪唧w實(shí)施方式】
[0045]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍���。
[0046]圖1為本發(fā)明防止ARP欺騙的方法實(shí)施例一的流程圖����。本實(shí)施例提供的方法具體可以由NAS執(zhí)行�,如圖1所示����,本實(shí)施例提供的方法可以包括:
[0047]步驟101���、獲取接收到的第一報(bào)文的報(bào)文信息,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中�����;其中���,所述報(bào)文信息包括所述第一報(bào)文的源MAC地址信息�、源IP地址信息�,以及接收所述第一報(bào)文的物理端口的物理端口信息。
[0048]需要說(shuō)明的是�,NAS在獲取第一報(bào)文的報(bào)文信息之前,需要先判斷第一報(bào)文是否滿足預(yù)設(shè)條件�����,若判斷出第一報(bào)文滿足預(yù)設(shè)條件�����,則攔截第一報(bào)文;其中����,預(yù)設(shè)條件包括:所述第一報(bào)文是傳輸控制協(xié)議(Transmission Control Protocol,簡(jiǎn)稱:TCP)報(bào)文;第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息����;其中,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步�����,即�����,所述第一報(bào)文的源IP地址沒(méi)有進(jìn)行過(guò)web認(rèn)證��;且所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址����。在第一報(bào)文同時(shí)滿足上述三個(gè)預(yù)設(shè)條件時(shí),NAS會(huì)對(duì)第一報(bào)文進(jìn)行攔截�����,再獲取第一報(bào)文的報(bào)文信息。
[0049]步驟102����、若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址���,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中��;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)�����;其中���,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址。
[0050]以源IP地址為索引����,在認(rèn)證數(shù)據(jù)庫(kù)中檢索所述源IP地址是否存在,若認(rèn)證數(shù)據(jù)庫(kù)中不存在所述源IP地址����,表明所述源IP地址并沒(méi)有進(jìn)行過(guò)web認(rèn)證,則將所述源IP地址添加至認(rèn)證數(shù)據(jù)庫(kù)中����。
[0051]同時(shí)���,為了在web認(rèn)證過(guò)程中防止ARP欺騙,NAS會(huì)向ARP數(shù)據(jù)庫(kù)中添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)����,由于靜態(tài)ARP表項(xiàng)的信息來(lái)自第一報(bào)文的源IP地址和源MAC地址,因此信息準(zhǔn)確���,并且由于設(shè)置為靜態(tài)信息��,在通信過(guò)程中就不會(huì)被欺騙篡改�;在添加靜態(tài)ARP表項(xiàng)后�����,NAS啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器對(duì)所述靜態(tài)ARP表項(xiàng)進(jìn)行維護(hù)����,在定時(shí)器超時(shí)后,NAS會(huì)將所述靜態(tài)ARP表項(xiàng)刪除����,以節(jié)省NAS的資源�����,同時(shí)可以避免在出現(xiàn)可能的HTTP偽造時(shí)�,NAS被欺騙的情況�。
[0052]需要說(shuō)明的是,NAS在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí)�����,會(huì)啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器����,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)��。
[0053]步驟103����、根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口���,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證����;其中,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文��。
[0054]本步驟中����,在完成步驟101-步驟102之后,NAS通過(guò)將第二報(bào)文發(fā)送至所述物理端口�����,從而使與源IP地址對(duì)應(yīng)的瀏覽器訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證�����;也就是說(shuō)��,NAS向終端發(fā)送第二報(bào)文時(shí)����,避開(kāi)了 TCP/IP協(xié)議中標(biāo)準(zhǔn)的發(fā)送過(guò)程,沒(méi)有使用到ARP報(bào)文�,因此,即便存在ARP欺騙���,也不會(huì)對(duì)web認(rèn)證產(chǎn)生影響��。
[0055]本實(shí)施例的技術(shù)方案���,通過(guò)將獲取到的第一報(bào)文的報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中�����;在獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址后�����,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中��;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng);根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息����,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證��;其中��,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文���,從而實(shí)現(xiàn)在web認(rèn)證過(guò)程中防止ARP欺騙�。
[0056]下面結(jié)合圖2,對(duì)發(fā)明提供的防止ARP欺騙的方法的實(shí)現(xiàn)過(guò)程和原理作進(jìn)一步的說(shuō)明�����,以幫助理解本發(fā)明����。
[0057]首先要說(shuō)明的是,本實(shí)施例提供的方法中���,NAS具體可以是交換機(jī)����、路由器��、防火墻���、無(wú)線設(shè)備�、出口設(shè)備等多種形態(tài)的設(shè)備����。本實(shí)施例中��,是以超文本傳輸協(xié)議(HypertextTransfer Protocol,簡(jiǎn)稱:HTTP)交互過(guò)程為例���、針對(duì)web認(rèn)證的應(yīng)用場(chǎng)景進(jìn)行說(shuō)明的,但實(shí)際應(yīng)用中,在部署了 HTTPS的網(wǎng)絡(luò)中�����,基于TCP/IP標(biāo)準(zhǔn)進(jìn)行通信的網(wǎng)絡(luò)中也適用��。
[0058]終端在進(jìn)行web認(rèn)證時(shí),主要涉及兩個(gè)通信過(guò)程:HTTP重定向過(guò)程和web認(rèn)證過(guò)程���。這兩個(gè)通信過(guò)程都是基于IP通信的�,因此只要在這兩個(gè)過(guò)程防止ARP欺騙�,就可以解決web認(rèn)證過(guò)程的ARP欺騙。
[0059]如圖2所示����,本實(shí)施例中�,涉及到三個(gè)網(wǎng)絡(luò)設(shè)備,終端���、NAS和認(rèn)證服務(wù)器�����。具體的���,在NAS中�����,可以包括硬件報(bào)文攔截模塊��、TCP報(bào)文嗅探模塊���、HTTP重定向模塊、ARP模塊以及硬件數(shù)據(jù)轉(zhuǎn)發(fā)模塊�;其中,NAS通過(guò)硬件報(bào)文攔截模塊與終端通信�����,通過(guò)硬件數(shù)據(jù)轉(zhuǎn)發(fā)模塊與認(rèn)證服務(wù)器通信�����。
[0060]在HTTP重定向過(guò)程防止ARP欺騙時(shí)����,首先用戶在終端的瀏覽器輸入一個(gè)網(wǎng)址���,如WWW.rui jie.com.cn,并敲擊回車;NAS的硬件對(duì)所有的DNS報(bào)文放行,使終端的操作系統(tǒng)可以通過(guò)域名系統(tǒng)(Domain Name System,簡(jiǎn)稱:DNS)協(xié)議正常解析到域名對(duì)應(yīng)的IP地址,并發(fā)送TCP報(bào)文與用戶想要訪問(wèn)的網(wǎng)站建立連接�。
[0061]硬件報(bào)文攔截模塊接收到報(bào)文,即上述實(shí)施例中提及的第一報(bào)文后���,根據(jù)預(yù)設(shè)條件判斷是否要攔截報(bào)文�;其中�,預(yù)設(shè)條件包括:接收到的報(bào)文是TCP報(bào)文;第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在報(bào)文的源IP地址信息��;其中����,第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與認(rèn)證數(shù)據(jù)庫(kù)同步,即����,報(bào)文的源IP地址沒(méi)有進(jìn)行過(guò)web認(rèn)證;且報(bào)文的目的IP地址不是認(rèn)證服務(wù)器的IP地址����,在這三個(gè)條件同時(shí)滿足的條件下,硬件報(bào)文攔截模塊會(huì)將TCP報(bào)文攔截下來(lái)���,并發(fā)送到TCP報(bào)文嗅探模塊�����。
[0062]TCP報(bào)文嗅探模塊收到TCP報(bào)文后�����,獲取TCP報(bào)文的報(bào)文信息�,即接收?qǐng)?bào)文的物理端口的物理端口信息����、TCP報(bào)文的源MAC地址信息、源IP地址信息��,并將報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中���。在TCP報(bào)文嗅探模塊將報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)后���,將HTTP報(bào)文發(fā)送給HTTP重定向模塊進(jìn)行處理。
[0063]HTTP重定向模塊動(dòng)態(tài)建立一個(gè)以HTTP報(bào)文的源IP地址為索引的認(rèn)證數(shù)據(jù)庫(kù)����,當(dāng)收到HTTP報(bào)文時(shí)�,提取HTTP報(bào)文的源IP地址�����,然后在認(rèn)證數(shù)據(jù)庫(kù)中搜索該源IP地址是否存在����,如果不存在,證明這是一個(gè)還未認(rèn)證的用戶�����,于是將源IP地址添加至認(rèn)證數(shù)據(jù)庫(kù)�;并向ARP模塊的ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于源IP地址的靜態(tài)ARP表項(xiàng),啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器�。
[0064]完成上述操作后,HTTP重定向模塊向源IP地址推送一個(gè)HTTP重定向頁(yè)面����,促使源IP地址對(duì)應(yīng)的瀏覽器去訪問(wèn)認(rèn)證服務(wù)器,以便進(jìn)行web認(rèn)證���。
[0065]在上述過(guò)程中��,由于HTTP重定向模塊不是按照正常的TCP/IP協(xié)議棧的通信流程將HTTP報(bào)文發(fā)送到IP協(xié)議棧���,而是直接發(fā)送到TCP報(bào)文嗅探模塊;TCP報(bào)文嗅探模塊在接收到報(bào)文后��,根據(jù)第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于源IP地址的表項(xiàng)中的物理端口信息����,選擇將HTTP報(bào)文發(fā)送到與物理端口信息對(duì)應(yīng)的物理端口,從而在HTTP重定向過(guò)程中沒(méi)有使用到ARP報(bào)文����,因此即便存在ARP欺騙,也不會(huì)對(duì)HTTP重定向過(guò)程產(chǎn)生影響���。
[0066]在web認(rèn)證過(guò)程防止ARP欺騙時(shí)�,終端在接收到NAS發(fā)送的重定向報(bào)文����,即上述實(shí)施例中的第二報(bào)文后,需要訪問(wèn)認(rèn)證服務(wù)器進(jìn)行認(rèn)證�,這個(gè)過(guò)程也是一個(gè)標(biāo)準(zhǔn)的TCP/IP通信過(guò)程。因此在這個(gè)過(guò)程中,如果NAS受到ARP欺騙�����,也會(huì)導(dǎo)致NAS在轉(zhuǎn)發(fā)認(rèn)證服務(wù)器和終端之間的報(bào)文時(shí)出現(xiàn)錯(cuò)誤�,導(dǎo)致終端無(wú)法進(jìn)行web認(rèn)證。
[0067]在HTTP重定向過(guò)程防止ARP欺騙的過(guò)程中��,HTTP重定向模塊會(huì)向ARP模塊的ARP數(shù)據(jù)庫(kù)中添加一條靜態(tài)ARP表項(xiàng)�,由于靜態(tài)ARP表項(xiàng)的信息來(lái)自終端的HTTP報(bào)文源IP地址和源MAC地址,因此信息準(zhǔn)確�,且被設(shè)置為靜態(tài)信息,在終端通信過(guò)程中����,不會(huì)被其他終端所欺騙篡改。
[0068]同時(shí)�,在HTTP重定向模塊把源IP地址加入ARP數(shù)據(jù)庫(kù)后,啟動(dòng)相應(yīng)的定時(shí)器對(duì)靜態(tài)ARP表項(xiàng)進(jìn)行維護(hù)����。因?yàn)榇嬖谝环N極端的情況,就是終端出現(xiàn)故障�,則靜態(tài)ARP表項(xiàng)不能一直保存在NAS上,否則會(huì)造成資源浪費(fèi)��,或者,甚至能發(fā)出報(bào)文的終端也是一個(gè)欺騙終端��,在發(fā)出一個(gè)報(bào)文后��,就不再進(jìn)行web認(rèn)證了����,在這種情況下�,通過(guò)在定時(shí)器超時(shí)后刪除相應(yīng)的靜態(tài)ARP表項(xiàng)可以避免NAS被這種極端情況所欺騙。
[0069]本實(shí)施例的技術(shù)方案�����,可以有效解決web認(rèn)證過(guò)程中存在的ARP欺騙的問(wèn)題���。
[0070]圖3為本發(fā)明防止ARP欺騙的裝置實(shí)施例的結(jié)構(gòu)示意圖����。如圖3所示����,本實(shí)施例提供的裝置具體可以集成在NAS中,本實(shí)施例提供的防止ARP欺騙的裝置10可以包括:獲取模塊11��,處理模塊12及發(fā)送模塊13。
[0071]其中����,獲取模塊11可以用于獲取接收到的第一報(bào)文的報(bào)文信息,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中�����;其中�����,所述報(bào)文信息包括所述第一報(bào)文的源MAC地址信息��、源IP地址信息���,以及接收所述第一報(bào)文的物理端口的物理端口信息���;
[0072]處理模塊12可以用于若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中��;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)����,啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器����,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)�����;其中��,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址��;
[0073]發(fā)送模塊13可以用于根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息�,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口��,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證��;其中�,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文。
[0074]進(jìn)一步地���,本實(shí)施例提供的防止ARP欺騙的裝置10還可以包括攔截模塊���,用于在滿足預(yù)設(shè)條件時(shí),攔截所述第一報(bào)文���。其中����,所述預(yù)設(shè)條件包括:所述第一報(bào)文是TCP報(bào)文;第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息�;其中,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步����;所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址。
[0075]具體的���,獲取模塊11可以對(duì)應(yīng)于圖2中的TCP報(bào)文嗅探模塊���;處理模塊12可以對(duì)應(yīng)于圖2中的HTTP重定向模塊和ARP模塊;發(fā)送模塊13可以對(duì)應(yīng)于圖2中的硬件數(shù)據(jù)轉(zhuǎn)發(fā)模塊��;攔截模塊可以對(duì)應(yīng)于圖2中的硬件報(bào)文攔截模塊���。
[0076]本實(shí)施例提供的防止ARP欺騙的裝置����,可用于執(zhí)行上述方法實(shí)施例的技術(shù)方案��,其實(shí)現(xiàn)原理及技術(shù)效果類似,此處不再贅述���。
[0077]圖4為本發(fā)明NAS實(shí)施例的結(jié)構(gòu)示意圖���。如圖4所示,本實(shí)施例提供的NAS20具體可以包括:處理器21和發(fā)送器22�����。
[0078]其中�����,處理器21可以用于獲取接收到的第一報(bào)文的報(bào)文信息���,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中;其中�����,所述報(bào)文信息包括所述第一報(bào)文的源MAC地址信息�����、源IP地址信息,以及接收所述第一報(bào)文的物理端口的物理端口信息�����;若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址�,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)���;其中�����,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址�;
[0079]發(fā)送器22可以用于根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息�,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證�;其中,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文�。
[0080]所述處理器21還可以用于在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí),啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器���,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)��。
[0081]進(jìn)一步地���,所述處理器21還可以用于在滿足預(yù)設(shè)條件時(shí)��,攔截所述第一報(bào)文�����;其中�,所述預(yù)設(shè)條件包括:所述第一報(bào)文是傳輸控制協(xié)議TCP報(bào)文����;第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息;其中���,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步��;所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址���。
[0082]本實(shí)施例提供的NAS�,可用于執(zhí)行上述方法實(shí)施例的技術(shù)方案,其實(shí)現(xiàn)原理及技術(shù)效果類似�����,此處不再贅述。
[0083]在本發(fā)明所提供的幾個(gè)實(shí)施例中����,應(yīng)該理解到,所揭露的裝置和方法����,可以通過(guò)其它的方式實(shí)現(xiàn)。例如�,以上所描述的裝置實(shí)施例僅僅是示意性的,例如���,所述單元的劃分��,僅僅為一種邏輯功能劃分���,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)�,或一些特征可以忽略,或不執(zhí)行����。另一點(diǎn),所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口,裝置或單元的間接耦合或通信連接����,可以是電性,機(jī)械或其它的形式���。
[0084]所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的��,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個(gè)地方�,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?����?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的����。[0085]另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中���,也可以是各個(gè)單元單獨(dú)物理存在����,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中��。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)�����,也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)�����。
[0086]上述以軟件功能單元的形式實(shí)現(xiàn)的集成的單元����,可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。上述軟件功能單元存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中���,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�����,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)或處理器(processor)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的部分步驟。而前述的存儲(chǔ)介質(zhì)包括:U盤(pán)���、移動(dòng)硬盤(pán)�����、只讀存儲(chǔ)器(Read-Only Memory, ROM)�����、隨機(jī)存取存儲(chǔ)器(Random Access Memory, RAM)����、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)��。
[0087]本領(lǐng)域技術(shù)人員可以清楚地了解到�����,為描述的方便和簡(jiǎn)潔�����,僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明���,實(shí)際應(yīng)用中�����,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成����,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊���,以完成以上描述的全部或者部分功能���。上述描述的裝置的具體工作過(guò)程,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程�����,在此不再贅述��。
[0088]最后應(yīng)說(shuō)明的是:以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案��,而非對(duì)其限制�;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改����,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換�����;而這些修改或者替換�,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍���。
【權(quán)利要求】
1.一種防止地址解析協(xié)議ARP欺騙的方法����,其特征在于�����,包括: 獲取接收到的第一報(bào)文的報(bào)文信息�����,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中���;其中��,所述報(bào)文信息包括所述第一報(bào)文的源媒質(zhì)接入控制MAC地址信息�、源互聯(lián)網(wǎng)協(xié)議IP地址信息,以及接收所述第一報(bào)文的物理端口的物理端口信息���; 若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址��,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中����;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)����;其中����,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址; 根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息�,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)網(wǎng)絡(luò)web認(rèn)證服 務(wù)器進(jìn)行web認(rèn)證����;其中,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,還包括: 在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí)����,啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器���,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)�。
3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,在所述獲取接收到的第一報(bào)文的報(bào)文信息之前�����,還包括: 在滿足預(yù)設(shè)條件時(shí)����,攔截所述第一報(bào)文。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于,所述預(yù)設(shè)條件包括: 所述第一報(bào)文是傳輸控制協(xié)議TCP報(bào)文�; 第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息;其中���,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步����; 所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址���。
5.一種防止地址解析協(xié)議ARP欺騙的裝置,其特征在于���,包括: 獲取模塊�,用于獲取接收到的第一報(bào)文的報(bào)文信息���,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中�����;其中��,所述報(bào)文信息包括所述第一報(bào)文的源媒質(zhì)接入控制MAC地址信息�����、源互聯(lián)網(wǎng)協(xié)議IP地址信息����,以及接收所述第一報(bào)文的物理端口的物理端口信息; 處理模塊�,用于若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中��;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)���;其中�����,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址��; 發(fā)送模塊��,用于根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息�,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)網(wǎng)絡(luò)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證���;其中�����,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文���。
6.根據(jù)權(quán)利要求5所述的裝置,其特征在于����,所述處理模塊還用于: 在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí),啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器�����,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)����。
7.根據(jù)權(quán)利要求5或6所述的裝置���,其特征在于����,還包括攔截模塊,用于在滿足預(yù)設(shè)條件時(shí)���,攔截所述第一報(bào)文���。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于����,所述預(yù)設(shè)條件包括: 所述第一報(bào)文是傳輸控制協(xié)議TCP報(bào)文; 第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在所述第一報(bào)文的源IP地址信息�;其中,所述第二轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)與所述認(rèn)證數(shù)據(jù)庫(kù)同步����; 所述第一報(bào)文的目的IP地址不是所述web認(rèn)證服務(wù)器的IP地址。
9.一種網(wǎng)絡(luò)接入服務(wù)器NAS�,其特征在于,包括: 處理器�����,用于獲取接收到的第一報(bào)文的報(bào)文信息�,將所述報(bào)文信息記錄到第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中�;其中����,所述報(bào)文信息包括所述第一報(bào)文的源媒質(zhì)接入控制MAC地址信息、源互聯(lián)網(wǎng)協(xié)議IP地址信息��,以及接收所述第一報(bào)文的物理端口的物理端口信息��;若獲知認(rèn)證數(shù)據(jù)庫(kù)中不存在所述第一報(bào)文的所述源IP地址信息對(duì)應(yīng)的源IP地址�,將所述源IP地址添加至所述認(rèn)證數(shù)據(jù)庫(kù)中;并向ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)���;其中��,所述靜態(tài)ARP表項(xiàng)中包含所述第一報(bào)文的源IP地址和源MAC地址���; 發(fā)送器,用于根據(jù)所述第一轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中對(duì)應(yīng)于所述源IP地址的表項(xiàng)中的所述物理端口信息�,將第二報(bào)文發(fā)送到與所述物理端口信息對(duì)應(yīng)的物理端口,以使與所述源IP地址對(duì)應(yīng)的瀏覽器跳轉(zhuǎn)訪問(wèn)網(wǎng)絡(luò)web認(rèn)證服務(wù)器進(jìn)行web認(rèn)證�;其中��,所述第二報(bào)文是所述第一報(bào)文的重定向報(bào)文�。
10.根據(jù)權(quán)利要求9所述的NAS,其特征在于,所述處理器還用于: 在向所述ARP數(shù)據(jù)庫(kù)添加一條對(duì)應(yīng)于所述源IP地址的靜態(tài)ARP表項(xiàng)時(shí)��,啟動(dòng)與所述靜態(tài)ARP表項(xiàng)對(duì)應(yīng)的定時(shí)器�,在所述定時(shí)器超時(shí)后刪除所述靜態(tài)ARP表項(xiàng)。
【文檔編號(hào)】H04L29/06GK104009999SQ201410256080
【公開(kāi)日】2014年8月27日 申請(qǐng)日期:2014年6月10日 優(yōu)先權(quán)日:2014年6月10日
【發(fā)明者】鄭偉忠 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司