Método y dispositivo para impedir que una dirección de control de acceso del medio en el lado de la red sea falseada.

Un método para impedir que se falsifique una dirección de control de acceso al medio, MAC, en el lado de la red, que comprende:

recibir en el puerto del lado del usuario de un equipo de acceso, un mensaje de descubrimiento desde un equipo de usuario, UE

(101) y analizar el mensaje de descubrimiento del UE para obtener una dirección MAC del UE (102);

caracterizado porque el método comprende además:

aprender, por el equipo de acceso, la dirección MAC del UE si la dirección MAC del UE es diferente de la dirección MAC conocida del equipo del lado de la red (105);

reenviar, por el equipo de acceso, el mensaje de descubrimiento al equipo del lado de la red;

recibir, por el equipo de acceso, un mensaje de oferta desde el equipo del lado de la red;

analizar, por el equipo de acceso, un mensaje de oferta para adquirir una dirección MAC del equipo del lado de la red;

aprender, por el equipo de acceso, la dirección MAC del equipo del lado de la red (109);

generar, por el equipo de acceso, una tabla de aprendizaje de direcciones MAC utilizando la dirección MAC aprendida del equipo del lado de la red y fijar la tabla de aprendizaje de direcciones MAC para que sea una tabla estática de direcciones, donde la dirección MAC del equipo del lado de la red en la tabla estática de direcciones queda enclavada; y

filtrar, por el equipo de acceso, mensajes que tienen direcciones MAC de la fuente idénticas a la dirección MAC del equipo del lado de la red y son de otros puertos del lado de usuario del equipo de acceso, utilizando la dirección MAC aprendida del equipo del lado de la red.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2008/071196.

Solicitante: HUAWEI TECHNOLOGIES CO., LTD..

Nacionalidad solicitante: China.

Dirección: Huawei Administration Building Bantian Longgang District, Shenzhen Guangdong 518129 CHINA.

Inventor/es: ZHANG,QUN, KE,BO.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • H04L12/56

PDF original: ES-2527132_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Método y dispositivo para impedir que una dirección de control de acceso del medio en el lado de la red sea falseada Campo de la tecnología

La presente Invención está relacionada con una tecnología de acceso de banda ancha en Internet y con el campo de la seguridad de la red y, más en particular, con un método y un dispositivo para impedir que una dirección de control de acceso del medio en el lado de la red sea falseada.

Antecedentes

Con la madurez de las tecnologías de Internet y la continua popularización de los servicios, se ha desarrollado rápidamente el servicio de acceso de banda ancha. Sin embargo, el problema clave a resolver es cómo asegurar la seguridad del usuario de banda ancha al utilizar los servicios de banda ancha y la seguridad de los operadores de la red. Por ejemplo, un usuario de acceso falsifica una dirección del control de acceso al medio (MAC) de un servidor de acceso remoto de banda ancha (BRAS) para iniciar la aplicación de un protocolo de punto a punto sobre Ethernet (PPPoE) o un protocolo dinámico de configuración del ordenador central (DHCP), lo cual origina una migración de una tabla de aprendizaje de direcciones MAC del servidor de acceso remoto de banda ancha (BRAS) sobre un equipo de acceso, desde un puerto del lado de la red a un puerto del lado del usuario y, por tanto, esto da como resultado la interrupción de otros servicios de usuario.

Considerando el modo de desarrollo actual del servicio de banda ancha, un usuario accede a una red para usar el servicio de banda ancha generalmente de dos maneras, es decir, la autenticación del PPPoE y la autenticación del DHCP.

El protocolo PPPoE proporciona un medio de acceso de banda ancha para un usuario que utilice un Ethernet en puente para acceder, y entre tanto proporciona un control y facturación de acceso convenientes.

Se propone el protocolo DHCP sobre la base de un protocolo de arranque (BOOTP), y su función es proporcionar Información de configuración para un ordenador central de la red. El DHCP emplea un modo cliente/servidor, en el cual un cliente inicia en un servidor una aplicación de configuración que Incluye una dirección de IP asignada, una máscara de sub-red, una pasarela predeterminada y otros parámetros, y el servidor devuelve la correspondiente información de configuración de acuerdo con las políticas.

Con el fin de resolver el problema de que se pueda falsificar una dirección MAC del lado de la red, lo que da como resultado que se interrumpe el servicio de otros usuarios de acceso, se configura una función de filtrado de direcciones MAC de la fuente en el puerto del lado del usuario del equipo de acceso, en la técnica convencional, es decir, se configura manualmente una tabla de filtrado de direcciones MAC de la fuente en el puerto del lado del usuario del equipo de acceso, para prohibir que un usuario de acceso utilice la dirección MAC de la tabla de filtrado como dirección fuente. Si el usuario de acceso utiliza una dirección de la tabla de filtrado, el equipo de acceso descarta el mensaje.

Como puede verse por el método anterior proporcionado en la técnica convencional, cuando se cambia el BRAS o se conmuta un BRAS activo en el lado de la red, necesita reconfigurarse la tabla de filtrado de direcciones MAC de la fuente del puerto del lado de usuario. La configuración depende de la dirección MAC específica de un equipo de red de capa superior, es decir, la tabla de filtrado de direcciones MAC almacena la dirección MAC de la fuente del equipo de la capa superior. Si se cambia equipo de la capa superior, la tabla de filtrado de direcciones MAC de la fuente del equipo de acceso necesita modificarse, lo cual origina una gran sobrecarga de administración y mantenimiento de la red. Como existe una gran número de puertos de usuarios de acceso, la función de filtrado de direcciones MAC de la fuente se configura en los puertos del lado de usuario uno por uno, lo cual origina una gran carga de trabajo de mantenimiento del administrador de la red. Por tanto, en la creación de la presente invención, el inventor se encuentra con que la técnica convencional tiene al menos el problema siguiente: se necesita configurar manualmente una tabla de filtrado de direcciones MAC de la fuente en un puerto del lado de usuario, lo cual origina una gran carga de trabajo de administración y mantenimiento de la red.

El documento US 6115376 A (SHERER W PAUL [US] ET AL) divulga un método para mejorar la seguridad de la red en una red que incluye un dispositivo de interconexión configurado en estrella, tal como un repetidor, un puente o un interruptor, que tiene una pluralidad de puertos adaptados para la conexión a respectivos dispositivos de capa MAC, que incluyen datos de autenticación del almacenamiento en el dispositivo de interconexión configurado en estrella que establece una correspondencia entre la dirección MAC de las estaciones finales de la red, con puertos particulares del dispositivo de interconexión configurado en estrella.

El documento WO 24/25926 A (CISCO TECH IND [US]) divulga un método para impedir la puesta en cola de direcciones de red.

El documento D7 (US 26/13221 A1 (DE CNODDER STEFAAN J [BE] ET AL DE CNODDER STEFAAN JOZEF [BE] ET AL) 19 Enero 26) divulga una solución de utilización de direcciones fuente del lado de la red para filtrar nuevas direcciones fuente recibidas en el lado del usuario, si ocurre que la dirección fuente del lado de usuario ya estaba almacenada como dirección fuente del lado de la red, el paquete que contiene la nueva dirección fuente se descarta; en otro caso, se tomará nota de la nueva dirección en el lado del usuario.

Todos estos documentos no muestran ni sugieren ninguna solución para resolver el problema técnico anteriormente descrito.

Sumario

Con el fin de resolver los problemas técnicos, diversos modos de realización de la presente invención proporcionan un método y un dispositivo para impedir que se falsifique una dirección de control de acceso al medio (MAC) en el lado de la red, lo cual impide automáticamente que se falsifique una dirección MAC del lado de la red y refuerza la comodidad de la administración y el mantenimiento.

En un modo de realización, se proporciona un método para impedir que una dirección MAC del lado de la red sea falsificada, como se define en la reivindicación 1.

En un modo de realización, se proporciona un dispositivo para impedir que se falsifique una dirección MAC del lado de la red, como se define en la reivindicación 4.

Con el método y dispositivo para impedir que se falsifique una dirección MAC del lado de la red en los modos de realización proporcionados en la presente invención, cuando la dirección MAC del UE no es la dirección MAC del equipo de red, se permite que el equipo de acceso aprenda las direcciones MAC del UE y del equipo del lado de la red, para impedir que se relocalice la tabla de aprendizaje de direcciones MAC, impidiendo automáticamente con ello que el usuario falsifique el equipo del lado de la red para acceder a la red, impidiendo que otros puertos aprendan la dirección MAC del equipo del lado de la red para falsificar la dirección MAC del equipo del lado de la red y para ser más cómodo de administrar y mantener.

Breve descripción de los dibujos

La presente invención se comprenderá mejor a partir de la siguiente descripción detallada ofrecida a continuación solamente como ilustración, cuando se toma en conjunto con los dibujos que se acompañan, entre los cuales:

La figura 1 es un diagrama de flujo de señalización de un método para impedir que una MAC del lado de la red

por la unidad de adquisición sea una dirección MAC conocida del equipo del lado de la red.

La unidad de aprendizaje está adaptada... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para impedir que se falsifique una dirección de control de acceso al medio, MAC, en el lado de la red, que comprende:

recibir en el puerto del lado del usuario de un equipo de acceso, un mensaje de descubrimiento desde un equipo de usuario, UE (11) y analizar el mensaje de descubrimiento del UE para obtener una dirección MAC del UE (12); caracterizado porque el método comprende además:

aprender, por el equipo de acceso, la dirección MAC del UE si la dirección MAC del UE es diferente de la dirección MAC conocida del equipo del lado de la red (15);

reenviar, por el equipo de acceso, el mensaje de descubrimiento al equipo del lado de la red; recibir, por el equipo de acceso, un mensaje de oferta desde el equipo del lado de la red;

analizar, por el equipo de acceso, un mensaje de oferta para adquirir una dirección MAC del equipo del lado de la red;

aprender, por el equipo de acceso, la dirección MAC del equipo del lado de la red (19);

generar, por el equipo de acceso, una tabla de aprendizaje de direcciones MAC utilizando la dirección MAC aprendida del equipo del lado de la red y fijar la tabla de aprendizaje de direcciones MAC para que sea una tabla estática de direcciones, donde la dirección MAC del equipo del lado de la red en la tabla estática de direcciones queda enclavada; y

filtrar, por el equipo de acceso, mensajes que tienen direcciones MAC de la fuente idénticas a la dirección MAC del equipo del lado de la red y son de otros puertos del lado de usuario del equipo de acceso, utilizando la dirección MAC aprendida del equipo del lado de la red.

2. El método según la reivindicación 1, en el que el aprendizaje de la dirección MAC del equipo del lado de la

red comprende:

adquirir la dirección MAC del equipo del lado de la red en virtud de un protocolo de encaminamiento; o

adquirir la dirección MAC del equipo del lado de la red en virtud de un protocolo de resolución de direcciones; o

recibir un mensaje de respuesta del equipo del lado de la red y adquirir la dirección MAC del equipo del lado de la red.

3. El método según la reivindicación 1, que comprende además:

descartar el mensaje de descubrimiento del UE si la dirección MAC del UE es la misma que la dirección MAC conocida del equipo del lado de la red.

4. Un dispositivo para impedir que se falsifique una dirección de control de acceso al medio, MAC, del lado de la red, comprende:

una unidad (31) de adquisición, adaptada para recibir un mensaje de descubrimiento desde un equipo de usuario, UE, a través de un puerto del lado de usuario en el dispositivo, y analizar el mensaje de descubrimiento del UE para obtener una dirección MAC del UE;

caracterizada porque el dispositivo comprende además:

una unidad (32) de juicio, adaptada para juzgar si la dirección MAC del UE adquirida por la unidad (31) de adquisición es una dirección MAC conocida de un equipo del lado de la red; y

una unidad (33) de aprendizaje, adaptada para aprender la dirección MAC del UE cuando el resultado del juicio de la unidad (32) de juicio es que la dirección MAC del UE no es la dirección MAC conocida del equipo del lado de la red;

donde el dispositivo está adaptado además para reenviar el mensaje de descubrimiento al equipo del lado de la red, y recibir un mensaje de oferta desde el equipo del lado de la red; donde la unidad (33) de aprendizaje está adaptada además para adquirir una dirección MAC del equipo del lado de la red desde el mensaje de oferta;

donde el dispositivo comprende además: una unidad (36) de generación de tablas de direcciones y una unidad (37) de filtrado, y donde

la unidad (36) de generación de tablas de direcciones está adaptada para generar una tabla de aprendizaje de

direcciones MAC basada en la dirección MAC aprendida del equipo del lado de la red, siendo fijada la tabla de aprendizaje de direcciones MAC para que sea una tabla estática de direcciones, donde la dirección MAC del equipo del lado de la red de la tabla estática de direcciones queda enclavada;

la unidad (37) de filtrado está adaptada para filtrar mensajes con direcciones MAC de la fuente que sean la dirección 5 MAC del equipo del lado de la red y de otros puertos del lado de usuario del dispositivo, utilizando la dirección MAC aprendida del equipo del lado de la red.

5. El dispositivo según la reivindicación 4, que comprende además:

una unidad de fijación, adaptada para fijar la tabla de aprendizaje de direcciones MAC generada por la unidad de generación de tablas de direcciones para que sea una tabla estática de direcciones MAC y/o adaptada para 1 configurar la unidad de filtrado.