一種802.1x認(rèn)證用戶遷移防攻擊的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種802.1X認(rèn)證用戶迀移防攻擊的方法和系統(tǒng)。
【背景技術(shù)】
[0002]IEEE 802LAN中,用戶只要能接到網(wǎng)絡(luò)設(shè)備上,不需要經(jīng)過(guò)認(rèn)證和授權(quán)即可直接使用。這樣,一個(gè)未經(jīng)授權(quán)的用戶,他可以沒(méi)有任何阻礙地通過(guò)連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用,特別是在運(yùn)營(yíng)網(wǎng)絡(luò)的出現(xiàn),對(duì)網(wǎng)絡(luò)的安全認(rèn)證的需求已經(jīng)提到了議事日程上。如何在以太網(wǎng)技術(shù)簡(jiǎn)單、廉價(jià)的基礎(chǔ)上,提供用戶對(duì)網(wǎng)絡(luò)或設(shè)備訪問(wèn)合法性認(rèn)證,已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)。IEEE 802.lx協(xié)議正是在這樣的背景下提出的。IEEE802.1X是一個(gè)基于端口的網(wǎng)絡(luò)存取控制標(biāo)準(zhǔn),為L(zhǎng)AN提供點(diǎn)對(duì)點(diǎn)式的安全接入。標(biāo)準(zhǔn)定義了一種基于“客戶端一一服務(wù)器"(Client-Server)模式實(shí)現(xiàn)了限制未認(rèn)證用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)??蛻舳艘L問(wèn)網(wǎng)絡(luò)必須先通過(guò)服務(wù)器的認(rèn)證,而設(shè)備端則通過(guò)用戶的MAC以區(qū)別不同的認(rèn)證用戶。ffiEE802.1X統(tǒng)一簡(jiǎn)稱為802.1X。
[0003]傳統(tǒng)的場(chǎng)景下,用戶通過(guò)認(rèn)證后,由于個(gè)人計(jì)算機(jī)體積大,物理接入位置往往不會(huì)發(fā)生變化,設(shè)備端以MAC和PORT為索引維護(hù)著每個(gè)用戶的認(rèn)證信息,由于MAC地址的全球唯一性,用戶的MAC信息不允許重復(fù)出現(xiàn)在設(shè)備中的其它端口上。隨著便攜式計(jì)算機(jī)的高速發(fā)展,個(gè)人計(jì)算機(jī)的迀移需求日益突顯,用戶認(rèn)證后隨時(shí)可能會(huì)改變地址位置重新進(jìn)行認(rèn)證接入,在此背景下催生了認(rèn)證用戶地址位置迀移的需求。
[0004]現(xiàn)有技術(shù)中的一種方法為:通過(guò)允許攻擊者的MAC在新端口下學(xué)習(xí),以實(shí)現(xiàn)認(rèn)證用戶的迀移。由于MAC地址全球的唯一性,設(shè)備上同時(shí)出現(xiàn)兩個(gè)相同的MAC,必須針對(duì)用戶的合法性進(jìn)行判斷。傳統(tǒng)方案中通過(guò)判斷學(xué)習(xí)到地址的先后關(guān)系,判斷后學(xué)習(xí)到的地址即為迀移后的用戶。該方案的判斷規(guī)則不能有效的判斷合法用戶,容易產(chǎn)生迀移攻擊。此類型攻擊會(huì)造成合法的用戶無(wú)法正常上線,無(wú)論攻擊者接入的是否是802.1X受控的接口。
[0005]上述現(xiàn)有技術(shù)中的缺點(diǎn)為:綜上所述,從用戶的迀移過(guò)程來(lái)看,基于單一索引的檢測(cè)機(jī)制存在攻擊漏洞,協(xié)議本身僅依靠MAC地址來(lái)判斷用戶的在位狀態(tài),導(dǎo)致攻擊者可通過(guò)偽造MAC地址引發(fā)大規(guī)模的合法認(rèn)證用戶下線。此類缺陷即屬于協(xié)議的誤判攻擊漏洞,該漏洞在對(duì)于用戶單一索引依賴的協(xié)議中均可能存在。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的實(shí)施例提供了實(shí)施例一提供的一種802.1X認(rèn)證用戶迀移防攻擊的方法和系統(tǒng),本發(fā)明提供了如下方案:
[0007]當(dāng)確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址時(shí),且,
[0008]當(dāng)迀移端口為非認(rèn)證受控口時(shí),獲取迀移端口接入的用戶MAC地址并根據(jù)用戶MAC地址查找用戶MAC地址接入的源端口,并觸發(fā)源端口的用戶MAC地址進(jìn)行重新認(rèn)證;
[0009]若用戶MAC在源端口重新認(rèn)證成功,則標(biāo)記迀移端口的接入用戶MAC地址為攻擊地址;
[0010]若用戶MAC在源端口重新認(rèn)證失敗,則標(biāo)記迀移端口接入的用戶MAC地址合法。
[0011]根據(jù)本發(fā)明的上述方法,還包括:
[0012]當(dāng)確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址時(shí),且,
[0013]當(dāng)迀移端口為認(rèn)證受控口時(shí),獲取迀移端口接入的用戶MAC地址,并觸發(fā)用戶MAC地址進(jìn)行認(rèn)證;
[0014]若用戶MAC在迀移端口認(rèn)證成功,則標(biāo)記迀移端口接入的用戶MAC地址合法;
[0015]若用戶MAC在迀移端口認(rèn)證失敗,則標(biāo)記迀移端口的接入用戶MAC地址為攻擊地址。
[0016]根據(jù)本發(fā)明的上述方法,在迀移端口接入的用戶MAC地址確定為疑似攻擊MAC地址之前,包括:當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口所通告的迀移端口接入的用戶MAC地址和迀移端口信息。
[0017]根據(jù)本發(fā)明的上述方法,接收迀移端口所通告的迀移端口接入的用戶MAC地址和迀移端口信息,包括:
[0018]接收迀移端口根據(jù)接收到的802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶MAC地址和迀移端口信息;或,
[0019]接收迀移端口根據(jù)接收到的非802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶MAC地址和源端口信息。
[0020]根據(jù)本發(fā)明的上述方法,確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址,包括:
[0021]當(dāng)確定迀移端口接入的用戶MAC地址已存在于802.1X用戶表項(xiàng)中,則確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址。
[0022]根據(jù)本發(fā)明的另一方面,還提供一種802.1X認(rèn)證用戶迀移防攻擊的系統(tǒng),包括:
[0023]第一獲取模塊:其用于當(dāng)確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址時(shí),且,當(dāng)迀移端口為非認(rèn)證受控口時(shí),獲取迀移端口接入的用戶MAC地址并根據(jù)用戶MAC地址查找用戶MAC地址接入的源端口,并觸發(fā)源端口的用戶MAC地址進(jìn)行重新認(rèn)證;
[0024]第一標(biāo)記模塊:其用于若用戶MAC在源端口重新認(rèn)證成功,則標(biāo)記迀移端口的接入用戶MAC地址為攻擊地址;
[0025]其還用于若用戶MAC在源端口重新認(rèn)證失敗,則標(biāo)記迀移端口接入的用戶MAC地址合法。
[0026]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶迀移防攻擊的系統(tǒng),還包括:
[0027]第二獲取模塊:其用于當(dāng)確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址時(shí),且,其用于當(dāng)迀移端口為認(rèn)證受控口時(shí),獲取迀移端口接入的用戶MAC地址,并觸發(fā)用戶MAC地址進(jìn)行認(rèn)證;
[0028]第二標(biāo)記模塊:其用于若用戶MAC在迀移端口認(rèn)證成功,則標(biāo)記迀移端口接入的用戶MAC地址合法;
[0029]其還用于若用戶MAC在迀移端口認(rèn)證失敗,則標(biāo)記迀移端口的接入用戶MAC地址為攻擊地址。
[0030]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶迀移防攻擊的系統(tǒng),還包括:
[0031]通告模塊:其用于在迀移端口接入的用戶MAC地址確定為疑似攻擊MAC地址之前,當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口所通告的迀移端口接入的用戶MAC地址和迀移端口信息。
[0032]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶迀移防攻擊的系統(tǒng),通告模塊具體用于,在迀移端口接入的用戶MAC地址確定為疑似攻擊MAC地址之前,當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口根據(jù)接收到的802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶MAC地址和迀移端口信息;或,
[0033]在迀移端口接入的用戶MAC地址確定為疑似攻擊MAC地址之前,當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口根據(jù)接收到的非802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶MAC地址和源端口信息。
[0034]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶迀移防攻擊的系統(tǒng),還包括:
[0035]疑似攻擊確定模塊:其用于確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址;
[0036]疑似攻擊確定模塊,具體用于當(dāng)確定迀移端口接入的用戶MAC地址存在于802.1X用戶表項(xiàng)中,則確定迀移端口接入的用戶MAC地址為疑似攻擊MAC地址。
[0037]由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出,本發(fā)明實(shí)施例通過(guò)當(dāng)迀移端口接入的用戶MAC地址為疑似攻擊MAC地址時(shí),且,當(dāng)迀移端口為非認(rèn)證受控口時(shí),獲取迀移端口接入的用戶MAC地址并根據(jù)用戶MAC地址查找用戶MAC地址接入的源端口,并觸發(fā)源端口的用戶MAC地址進(jìn)行重新認(rèn)證;若用戶MAC在源端口重新認(rèn)證成功,則標(biāo)記迀移端口的接入用戶MAC地址為攻擊地址;若源端口的用戶重新認(rèn)證失敗,則標(biāo)記迀移端口接入的用戶MAC地址合法。對(duì)于源端口或迀移端口至少一個(gè)是認(rèn)證受控口時(shí),建立獨(dú)立的攻擊檢測(cè)判定方法來(lái)判定接收到的表項(xiàng)通告是迀移或是攻擊,以達(dá)到準(zhǔn)確判定的效果,避免誤判定導(dǎo)致用戶受攻擊導(dǎo)致掉線的