一种802.1x认证用户迁移防攻击的方法和系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种802.1X认证用户迀移防攻击的方法和系统。
【背景技术】
[0002]IEEE 802LAN中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。IEEE 802.lx协议正是在这样的背景下提出的。IEEE802.1X是一个基于端口的网络存取控制标准,为LAN提供点对点式的安全接入。标准定义了一种基于“客户端一一服务器"(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证,而设备端则通过用户的MAC以区别不同的认证用户。ffiEE802.1X统一简称为802.1X。
[0003]传统的场景下,用户通过认证后,由于个人计算机体积大,物理接入位置往往不会发生变化,设备端以MAC和PORT为索引维护着每个用户的认证信息,由于MAC地址的全球唯一性,用户的MAC信息不允许重复出现在设备中的其它端口上。随着便携式计算机的高速发展,个人计算机的迀移需求日益突显,用户认证后随时可能会改变地址位置重新进行认证接入,在此背景下催生了认证用户地址位置迀移的需求。
[0004]现有技术中的一种方法为:通过允许攻击者的MAC在新端口下学习,以实现认证用户的迀移。由于MAC地址全球的唯一性,设备上同时出现两个相同的MAC,必须针对用户的合法性进行判断。传统方案中通过判断学习到地址的先后关系,判断后学习到的地址即为迀移后的用户。该方案的判断规则不能有效的判断合法用户,容易产生迀移攻击。此类型攻击会造成合法的用户无法正常上线,无论攻击者接入的是否是802.1X受控的接口。
[0005]上述现有技术中的缺点为:综上所述,从用户的迀移过程来看,基于单一索引的检测机制存在攻击漏洞,协议本身仅依靠MAC地址来判断用户的在位状态,导致攻击者可通过伪造MAC地址引发大规模的合法认证用户下线。此类缺陷即属于协议的误判攻击漏洞,该漏洞在对于用户单一索引依赖的协议中均可能存在。
【发明内容】
[0006]本发明的实施例提供了实施例一提供的一种802.1X认证用户迀移防攻击的方法和系统,本发明提供了如下方案:
[0007]当确定迀移端口接入的用户MAC地址为疑似攻击MAC地址时,且,
[0008]当迀移端口为非认证受控口时,获取迀移端口接入的用户MAC地址并根据用户MAC地址查找用户MAC地址接入的源端口,并触发源端口的用户MAC地址进行重新认证;
[0009]若用户MAC在源端口重新认证成功,则标记迀移端口的接入用户MAC地址为攻击地址;
[0010]若用户MAC在源端口重新认证失败,则标记迀移端口接入的用户MAC地址合法。
[0011]根据本发明的上述方法,还包括:
[0012]当确定迀移端口接入的用户MAC地址为疑似攻击MAC地址时,且,
[0013]当迀移端口为认证受控口时,获取迀移端口接入的用户MAC地址,并触发用户MAC地址进行认证;
[0014]若用户MAC在迀移端口认证成功,则标记迀移端口接入的用户MAC地址合法;
[0015]若用户MAC在迀移端口认证失败,则标记迀移端口的接入用户MAC地址为攻击地址。
[0016]根据本发明的上述方法,在迀移端口接入的用户MAC地址确定为疑似攻击MAC地址之前,包括:当迀移端口为认证受控口时,接收迀移端口所通告的迀移端口接入的用户MAC地址和迀移端口信息。
[0017]根据本发明的上述方法,接收迀移端口所通告的迀移端口接入的用户MAC地址和迀移端口信息,包括:
[0018]接收迀移端口根据接收到的802.1X认证报文所通告的迀移端口接入的用户MAC地址和迀移端口信息;或,
[0019]接收迀移端口根据接收到的非802.1X认证报文所通告的迀移端口接入的用户MAC地址和源端口信息。
[0020]根据本发明的上述方法,确定迀移端口接入的用户MAC地址为疑似攻击MAC地址,包括:
[0021]当确定迀移端口接入的用户MAC地址已存在于802.1X用户表项中,则确定迀移端口接入的用户MAC地址为疑似攻击MAC地址。
[0022]根据本发明的另一方面,还提供一种802.1X认证用户迀移防攻击的系统,包括:
[0023]第一获取模块:其用于当确定迀移端口接入的用户MAC地址为疑似攻击MAC地址时,且,当迀移端口为非认证受控口时,获取迀移端口接入的用户MAC地址并根据用户MAC地址查找用户MAC地址接入的源端口,并触发源端口的用户MAC地址进行重新认证;
[0024]第一标记模块:其用于若用户MAC在源端口重新认证成功,则标记迀移端口的接入用户MAC地址为攻击地址;
[0025]其还用于若用户MAC在源端口重新认证失败,则标记迀移端口接入的用户MAC地址合法。
[0026]根据本发明的另一方面,上述一种802.1X认证用户迀移防攻击的系统,还包括:
[0027]第二获取模块:其用于当确定迀移端口接入的用户MAC地址为疑似攻击MAC地址时,且,其用于当迀移端口为认证受控口时,获取迀移端口接入的用户MAC地址,并触发用户MAC地址进行认证;
[0028]第二标记模块:其用于若用户MAC在迀移端口认证成功,则标记迀移端口接入的用户MAC地址合法;
[0029]其还用于若用户MAC在迀移端口认证失败,则标记迀移端口的接入用户MAC地址为攻击地址。
[0030]根据本发明的另一方面,上述一种802.1X认证用户迀移防攻击的系统,还包括:
[0031]通告模块:其用于在迀移端口接入的用户MAC地址确定为疑似攻击MAC地址之前,当迀移端口为认证受控口时,接收迀移端口所通告的迀移端口接入的用户MAC地址和迀移端口信息。
[0032]根据本发明的另一方面,上述一种802.1X认证用户迀移防攻击的系统,通告模块具体用于,在迀移端口接入的用户MAC地址确定为疑似攻击MAC地址之前,当迀移端口为认证受控口时,接收迀移端口根据接收到的802.1X认证报文所通告的迀移端口接入的用户MAC地址和迀移端口信息;或,
[0033]在迀移端口接入的用户MAC地址确定为疑似攻击MAC地址之前,当迀移端口为认证受控口时,接收迀移端口根据接收到的非802.1X认证报文所通告的迀移端口接入的用户MAC地址和源端口信息。
[0034]根据本发明的另一方面,上述一种802.1X认证用户迀移防攻击的系统,还包括:
[0035]疑似攻击确定模块:其用于确定迀移端口接入的用户MAC地址为疑似攻击MAC地址;
[0036]疑似攻击确定模块,具体用于当确定迀移端口接入的用户MAC地址存在于802.1X用户表项中,则确定迀移端口接入的用户MAC地址为疑似攻击MAC地址。
[0037]由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过当迀移端口接入的用户MAC地址为疑似攻击MAC地址时,且,当迀移端口为非认证受控口时,获取迀移端口接入的用户MAC地址并根据用户MAC地址查找用户MAC地址接入的源端口,并触发源端口的用户MAC地址进行重新认证;若用户MAC在源端口重新认证成功,则标记迀移端口的接入用户MAC地址为攻击地址;若源端口的用户重新认证失败,则标记迀移端口接入的用户MAC地址合法。对于源端口或迀移端口至少一个是认证受控口时,建立独立的攻击检测判定方法来判定接收到的表项通告是迀移或是攻击,以达到准确判定的效果,避免误判定导致用户受攻击导致掉线的