專利名稱：：一種防惡意攻擊的方法、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，尤其涉及一種防惡意攻擊的方法、系統(tǒng)及裝置。
背景技術(shù)：
：IEEE802LAN(LocalAreaNetwork,局域網(wǎng))/WAN(WideAreaNetwork,廣域網(wǎng))委員會為解決無線局域網(wǎng)安全問題，提出了802.IX協(xié)議。隨后，802.IX協(xié)議作為局域網(wǎng)端口的普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，用以解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。802.IX是基于端口的認(rèn)證策略,其中端口可以是一個物理端口也可以是一個像VLAN(VirtualLocalAreaNetwork,虛擬局域網(wǎng))一樣的邏輯端口，對于無線局域網(wǎng)來說一個"端口"就是一條信道。802.IX認(rèn)證的最終目的是確定一個端口是否可用。對于一個端口，如果認(rèn)證成功就打開該端口，允許報文通過；如果認(rèn)證不成功保持該端口關(guān)閉，此時只允許802.IX的認(rèn)證牛艮:文:EAP()L(ExtensibleAuthenticationProtocoloveri.,ANs,基于LAN的擴(kuò)展認(rèn)證協(xié)議)通過。802.IX的體系結(jié)構(gòu)如圖1所示，包括:SupplicantSystem(客戶端系統(tǒng))；AuthenticatorSystem(認(rèn)證系統(tǒng))AuthenticationSeverSystem(認(rèn)證月艮務(wù)器系統(tǒng))。802.IX的認(rèn)證過程如圖2所示，端口的狀態(tài)決定了客戶端是否能接入網(wǎng)絡(luò),在啟用802.lx認(rèn)證時端口初始狀態(tài)一般為非授權(quán)(unauthorized),在該狀態(tài)下，除802.IX報文和廣播報文外不允許任何業(yè)務(wù)輸入、輸出。當(dāng)客戶通過認(rèn)證后，則端口狀態(tài)切換到授權(quán)狀態(tài)(authorized)，允許客戶端通過端口進(jìn)行正常通訊。如果客戶端主動要求下線，向設(shè)備端發(fā)送EAP()L-Logoff報文，設(shè)備端只要檢查到該報文是發(fā)送給自己的，且設(shè)備端上該MAC(MediaAccessControl,介質(zhì)訪問控制)地址的用戶在線，就把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)，并向客戶端發(fā)送EAP-Failure報文。如果設(shè)備端或者服務(wù)器側(cè)強制用戶下線，就會向客戶端發(fā)送EAP-Failure報文,踢用戶下線，客戶端接收到EAP-Failure報文，檢查如果是設(shè)備端發(fā)給本客戶端MAC的dotlx用戶的報文，就會處理EAP-Failure報文，將該用戶下線。然而，由于現(xiàn)有技術(shù)中，客戶端與設(shè)備間沒有安全機(jī)制保證，如果在客戶端和設(shè)備端之間有惡意攻擊者，監(jiān)聽到客戶端向設(shè)備端發(fā)送的某一個用戶的主動下線請求包EAP0L-Logoff，保存該下線請求包。當(dāng)該客戶端再次通過認(rèn)證，正常上線時，惡意攻擊者在線路上向設(shè)備端發(fā)送該下線請求包,將會導(dǎo)致設(shè)備端將該用戶踢下線。如果惡意攻擊者保存了客戶端的大量不同用戶的主動下線請求包，并不定期的進(jìn)行發(fā)送，就會導(dǎo)致發(fā)生大量dotlx用戶非正常掉線。同樣的,如果攻擊者監(jiān)聽并學(xué)習(xí)到設(shè)備端發(fā)送給客戶端的大量強制下線報文，之后當(dāng)該用戶上線后，向客戶端發(fā)送下線報文，將導(dǎo)致該用戶異常下線，非常影響用戶的體驗。
發(fā)明內(nèi)容本發(fā)明提供了一種防惡意攻擊的方法、系統(tǒng)及裝置，在客戶端和設(shè)備端增加驗證過程，防止惡意攻擊。本發(fā)明提供了一種防惡意攻擊的方法,應(yīng)用于包括客戶端和設(shè)備端的系統(tǒng)中，所述方法包括以下步驟所述設(shè)備端建立....匕線用戶列表，所述列表中包括....匕線用戶的MAC地址和序列號的對應(yīng)關(guān)系；所述設(shè)備端接收所述客戶端發(fā)送的下線請求，所述下線請求中攜帶需要下線用戶的序列號；所述設(shè)備端根據(jù)所述用戶的MAC地址查找所述....匕線用戶列表，獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致,說明為真實下線請求,通知所述用戶下線。所述下線請求中還包括認(rèn)證字段，所述列表中的序列號與下線請求中的序列號-致時，還包括所述設(shè)備端獲取用戶列表中的用戶名、序列號、共享密鑰作為MD5摘要運算的因子，得到的MD5輸出值，將所述MD5輸出值與下線請求包中的認(rèn)證字段比較,如果相同，則通知所述用戶下線。所述共享密鑰的獲取方法包括所述設(shè)備端和客戶端分別維護(hù)一個相同的二維列表,其中包括節(jié)點序號和算法的對應(yīng)關(guān)系；所述設(shè)備端向所述客戶端發(fā)送-個節(jié)點序號，然后將共享密鑰經(jīng)過對應(yīng)的算法加密后發(fā)送給所述客戶端；所述客戶端得到所述節(jié)點序號,査找客戶端的二維列表，找出對應(yīng)的算法，使用所述算法將獲得的加密后的共享密鑰進(jìn)行解密，獲得共享密鑰。在獲得所述共享密鑰之后，還包括在序列號的數(shù)值空間被分配完畢時，對客戶端和設(shè)備端進(jìn)行預(yù)置共享密鑰的更新。所述設(shè)備端建立上線用戶列表，具體包括設(shè)備端主動觸發(fā)客戶端認(rèn)證時，設(shè)備端建立用戶列表，具體為所述設(shè)備端向所述客戶端發(fā)送擴(kuò)展data域的EAP報文，攜帶分配給上線用戶的序列號；所述設(shè)備端獲取所述認(rèn)證請求中攜帶的MAC地址,并與分配給所述上線用戶的序列號建立用戶列表。所述設(shè)備端建立上線用戶列表，具體包括客戶端主動向設(shè)備端發(fā)起認(rèn)證請求時，設(shè)備端建立用戶列表具體為所述客戶端主動向所述設(shè)備端發(fā)起認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址，所述設(shè)備端接收到所述認(rèn)證請求后，獲取所述上線用戶的脆C地址，并生成對應(yīng)的序列號，建立用戶列表；或所述客戶端主動向所述設(shè)備端發(fā)起認(rèn)證請求,所述認(rèn)證請求中攜帶上線用戶的脆C地址及對應(yīng)的序列號，所述設(shè)備端從所述認(rèn)證請求中獲取MAC地址及對應(yīng)的序列號，建立用戶列表。本發(fā)明提供了一種防惡意攻擊的系統(tǒng)，包括客戶端和設(shè)備端的系統(tǒng)中，所述客戶端，用于向所述設(shè)備端發(fā)送下線請求，所述下線請求中攜帶需要下線用戶的序列號；所述設(shè)備端，用于建立上線用戶列表，所述列表中包括上線用戶的MAC地址和序列號的對應(yīng)關(guān)系；接收所述客戶端發(fā)送的下線請求,根據(jù)所述用戶的MAC地址查找所述上線用戶列表,獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致，說明為真實下線請求，通知所述用戶F線。本發(fā)明提供了一種防惡意攻擊的設(shè)備端，應(yīng)用于包括客戶端和設(shè)備端的系統(tǒng)中，所述設(shè)備端包括列表維護(hù)模塊，用于建立上線用戶列表，所述列表中包括上線用戶的MAC地址和序列號的對應(yīng)關(guān)系；接收模塊,與所述列表維護(hù)模塊連接,用于接收所述客戶端發(fā)送的下線請求，所述下線請求中攜帶需要下線用戶的序列號；控制模塊，與所述接收模塊連接，用于根據(jù)所述用戶的MAC地址査找所述上線用戶列表，獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致，說明為真實下線請求,通知所述用戶下線。共享密鑰獲取模塊，用于在設(shè)備端維護(hù)一個和客戶端相同的二維列表，其中包括節(jié)點序號和算法的對應(yīng)關(guān)系；向所述客戶端發(fā)送--個節(jié)點序號，然后將共享密鑰經(jīng)過對應(yīng)的算法加密后發(fā)送給所述客戶端；得到所述節(jié)點序號，查找客戶端的二維列表，找出對應(yīng)的算法,使用所述算法將獲得的加密后的共享密鑰進(jìn)行解密，獲得共享密鑰；所述控制模塊，還用于獲取用戶列表中的用戶名、序列號、共享密鑰作為MD5摘要運算的因子，得到的MD5輸出值，將所述MD5輸出值與下線請求包中的認(rèn)證字段比較，如果相同，則通知所述用戶下線。所述列表維護(hù)模塊,還用于向所述客戶端發(fā)送擴(kuò)展data域的EAP報文，攜帶分配給上線用戶的序列號；接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求,所述認(rèn)證請求中攜帶所述上線用戶的MAC地址；獲取所述認(rèn)證請求中攜帶的MAC地址，并與分配給所述上線用戶的序列號建立用戶列表；或接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求,所述認(rèn)證請求中攜帶上線用戶的MAC地址；獲取所述上線用戶的MAC地址，并生成對應(yīng)的序列號，建立用戶列表；或接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址及對應(yīng)的序列號；從所述認(rèn)證請求中獲取MAC地址及對應(yīng)的序列號，建立用戶列表。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點本發(fā)明中，在客戶端和設(shè)備端之間的協(xié)議交互過程中，增加認(rèn)證字段,并引入和上線用戶相關(guān)聯(lián)的可信變化因子，參與MD5的摘要運算，從而能夠解決在客戶端和設(shè)備端之間的惡意攻擊問題。圖1是現(xiàn)有技術(shù)中IEEE802.IX的體系結(jié)構(gòu)圖；圖2是現(xiàn)有技術(shù)中802.lx認(rèn)證處理流程圖；圖4是本發(fā)明中EAP數(shù)據(jù)包結(jié)構(gòu)示意圖；圖5是本發(fā)明中客戶端和設(shè)備端之間的交互報文中攜帶Seqnum字段示意圖；圖6是本發(fā)明中客戶端主動發(fā)起下線請求流程圖；圖7是本發(fā)明中擴(kuò)展Seqnura和authenticator字段示意圖；圖8是本發(fā)明中--種防惡意攻擊的設(shè)備端結(jié)構(gòu)圖。具體實施例方式本發(fā)明通過對客戶端和設(shè)備端之間的協(xié)議進(jìn)行擴(kuò)展，增加認(rèn)證字段，并引入和上線用戶相關(guān)聯(lián)的可信變化因子，參與MD5的摘要運算，從而能夠解決在客戶端和設(shè)備端之間的惡意攻擊問題。其中，客戶端和設(shè)備端之間的協(xié)議為EAP0L，802.1X協(xié)議定義的一種報文封裝格式，主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報文，以允許EAP協(xié)議報文在LAN上傳送，EAP()L數(shù)據(jù)包的格式如圖3所示其中，Type表示EAPOL數(shù)據(jù)幀類型，Type=0X00時，為EAP-Packet(認(rèn)證信息幀)，相應(yīng)的Packet.Body為EAP數(shù)據(jù)包結(jié)構(gòu);Type=0X01時，為EAPOL-Start(認(rèn)證發(fā)起幀)，此時沒有數(shù)據(jù)域PacketBody字段；Type=0X02時，為EAPOL-Logoff(退出請求幀)，此時沒有數(shù)據(jù)域PacketBody字段。當(dāng)EAPOL數(shù)據(jù)包格式類型為EAP-Packet時，Packet.Body為EAP數(shù)據(jù)包結(jié)構(gòu)，如圖4所示，其中，Code域為一個字節(jié)，表示了EAP數(shù)據(jù)包的類型，EAP的Code的值指定意義如下Code=1表示Request(請求)；Code=2表示Response(響應(yīng))；Code=3表示Success(成功)；Code=4表示Failure(失敗)；Data域為()個或者多個字節(jié)，Data域的格式由Code的值來決定，當(dāng)為success或failure時，data域為0個字節(jié)。本發(fā)明防惡意攻擊的方法實現(xiàn)之前需要在設(shè)備端與客戶端協(xié)商序列號，具體過程可以分為以下兩種方式—種方式為設(shè)備端主動觸發(fā)認(rèn)證設(shè)備端向客戶端發(fā)送EAP-Request/Identity報文，該報文的data域經(jīng)過擴(kuò)展，可以攜帶一個分配給該上線用戶的Seqnum(序號)字段，Seq皿m用來唯一標(biāo)識一個上線用戶；客戶端收到該報文后，需要將該Seqnum字段記錄在客戶端的內(nèi)存表中，并保持該Seq皿m客戶端和設(shè)備端之間的一致性(即在客戶端和設(shè)備端同一個Seq誦代表同一個上線用戶)。該種方式中Seq皿m字段是由設(shè)備端隨機(jī)分配一個數(shù)值，該數(shù)值在一定數(shù)值空間范圍內(nèi)變化,并且在盡可能長的時間周期內(nèi)不會出現(xiàn)重復(fù)。在隨后的客戶端和設(shè)備端之間的交互報文中都攜帶該Seqnum字段，如圖5所示。另一種方式為客戶端主動向設(shè)備端發(fā)起的認(rèn)證請求，則Seq皿m字段的具體數(shù)值也可以由客戶端生成。此種情況下客戶端向設(shè)備端發(fā)送eapol—start報文，該eapol—start報文中增加packetBody域，其中擴(kuò)展Seqnum字段。Seq皿m字段是一個隨機(jī)變化的數(shù)值。為了保證--匕線用戶的安全性，當(dāng)該用戶F線之后，如果再次上線，客戶端和設(shè)備端之間交互的Seqnum字段要保證和上次認(rèn)證流程中的Seqnum不同，避免惡意攻擊者使用前次學(xué)習(xí)到7的Seq皿m仿冒攻擊。本發(fā)明防惡意攻擊的方法，當(dāng)客戶端主動發(fā)起下線請求時，具體過程如圖6所示，包括以下步驟步驟6()1,當(dāng)設(shè)備端主動觸發(fā)客戶端認(rèn)證，或客戶端主動向設(shè)備端發(fā)起認(rèn)證請求時，設(shè)備端建立一個用戶列表，該用戶列表中包括上線用戶的MAC和Seq皿m的對應(yīng)關(guān)系，如表1所示-表1:<table>tableseeoriginaldocumentpage8</column></row><table>其中，當(dāng)設(shè)備端主動觸發(fā)客戶端認(rèn)證時,設(shè)備端建立用戶列表的過程包括設(shè)備端向客戶端發(fā)送EAP-Request/Identity報文，該報文攜帶分配給上線用戶的序列號；客戶端接收該EAP-Request/Identity報文后，向該設(shè)備端發(fā)送認(rèn)證請求，該認(rèn)證請求中攜帶該--匕線用戶的脆C地址；該設(shè)備端獲取該認(rèn)證請求中攜帶的該上線用戶的MAC地址，并與分配給該上線用戶的序列號建立用戶列表?？蛻舳酥鲃酉蛟O(shè)備端發(fā)起認(rèn)證請求時，設(shè)備端建立用戶列表的過程包括在設(shè)備端產(chǎn)生序列號的情況下客戶端主動向設(shè)備端發(fā)起認(rèn)證請求,該認(rèn)證請求中攜帶上線用戶的MAC地址，且不包含該上線用戶的序列號；設(shè)備端接收到該認(rèn)證請求后，獲取該上線用戶的MAC地址，并生成對應(yīng)的序列號，建立用戶列表。在客戶端產(chǎn)生序列號的情況下，客戶端主動向設(shè)備端發(fā)起認(rèn)證請求，該認(rèn)證請求中攜帶上線用戶的MAC地址及對應(yīng)的序列號；設(shè)備端從該認(rèn)證請求中獲取MAC地址及對應(yīng)的序列號，建立用戶列表。步驟602，客戶端向設(shè)備端發(fā)送Eapo1—logoff報文，該報文中增加packetBody域，其中擴(kuò)展Seqnum和authenticator字段，如圖7所示；該字段用來進(jìn)行驗證，只有判斷收到的報文中攜帶了正確的Seqnum和aut.hent.icat.or字段，才回應(yīng)EAP0L-Logoff用戶下線。其中，authenticator字段的計算采用RFC1321中描述的MD5的加密算法將用戶名、Seq皿m、默認(rèn)共享密鑰作為MD5摘要運算的因子，以字節(jié)流Usemame+Seqnum+secret(共享密鑰)作為MD5的輸入，得到的MD5輸出就是請求報文的驗證字Authenticator的內(nèi)容。步驟603，設(shè)備端收到客戶端主動發(fā)起的下線請求包EAP0L-Logoff，根據(jù)其中的用戶的MAC地址查找設(shè)備端維護(hù)的上線用戶列表，讀出該用戶所對應(yīng)的Seqnum，并比較從上線用戶列表中讀出的Se,m和客戶端發(fā)起的下線請求包中的Seqm皿是否一致，如果一致，繼續(xù)處理；如果不一致說明是惡意攻擊者發(fā)送的，不繼續(xù)處理。由于設(shè)備端對于再次上線的用戶分配的Seq皿m的值是隨機(jī)變化的，不會和上次的相同，就可以檢查出是否是可信包。其中，Seq皿m字段的長度可以選取為64bit以上的長度，數(shù)值在隨機(jī)生成的過程中就有2的64次方種可能值。這個值對于目前的上線用戶的實際可能數(shù)量來說已經(jīng)足夠大了。而且，由于設(shè)備端檢查的是由設(shè)備端分配給該用戶的MAC地址和Seq皿m的對應(yīng)關(guān)系，而某一個用戶在不同次的上線過程中，恰好被分到相同的MAC地址和相同的Seq皿m的可能性為1/(2'64*N),假設(shè)MAC地址的可分配空間為N;因此，這個可能性，極其微小，這個結(jié)果對于目前實際使用中的防重放需求來說已經(jīng)足夠了。如果需要更強的安全保證，可以增加Seqnum字段的位數(shù)。如果需要絕對的安全保證，可以根據(jù)Seq皿m的2"n(n為Seq薩字段的位數(shù))的數(shù)值空間被分配完畢時，在客戶端和設(shè)備端適時的進(jìn)行預(yù)置共享密鑰的更新，例如，當(dāng)n為2時，Seq皿m的數(shù)值空間為4(即可以分配4個Seq皿ni),當(dāng)分配完該4個Seq皿m后，則Seq皿m的數(shù)值空間被分配完畢。但是，這要增加額外的系統(tǒng)開銷，實現(xiàn)中可以根據(jù)實際需要進(jìn)行權(quán)衡。另外，為了進(jìn)一步增加安全性，設(shè)備端在確認(rèn)Seq皿m匹配后，利用下線請求包中的authenticator字段進(jìn)行判斷。具體為采用MD5算法，讀出用戶列表中的用戶名，同時將設(shè)備端的默認(rèn)共享密鑰作為MD5摘要運算的因子，及Seq皿ra，得到的MD5輸出值，將該MD5輸出值與下線請求包中的authenticator作比較，如果不相同，則不處理，如果相同，則向客戶端回應(yīng)eap—failure，通知客戶端將用戶下線。因此，如果惡意攻擊者在用戶上線的過程中，截獲了該設(shè)備端分配給客戶端的Seqm皿的值，并把該值替代了他攻擊的下線請求包中的對應(yīng)字段，設(shè)備端仍然可以檢測出來。當(dāng)然也可以將Seq皿m和authenticator字段擴(kuò)展到eapj'ailure的data域中，當(dāng)客戶端收到設(shè)備端發(fā)來的已擴(kuò)展的eapj'ailure報文后，根據(jù)其中的用戶的MAC地址査找客戶端維護(hù)的上線用戶列表，讀出該用戶所對應(yīng)的Seqnum，并比較從上線用戶列表中讀出的Seqnum和設(shè)備端發(fā)起的卜'線請求包中的Seqnum是否一致,如果一致說明為真實的下線請求，繼續(xù)處理；如果不一致說明是惡意攻擊者發(fā)送的，不繼續(xù)處理。其中，設(shè)備端可以根據(jù)具體實現(xiàn)的需要設(shè)置共享密鑰，客戶端通過與設(shè)備端之間進(jìn)行交互，得出該共享密鑰。例如，在設(shè)備端和客戶端分別維護(hù)一個相同的二維列表，其中包括節(jié)點序號和算法的對應(yīng)關(guān)系。設(shè)備端首先向客戶端發(fā)送一個節(jié)點序號,然后將共享密鑰經(jīng)過對應(yīng)的算法加密后發(fā)送給客戶端；客戶端得到該節(jié)點序號，查找客戶端的二維列表，找出相對應(yīng)的算法，然后使用該算法將獲得的加密后的共享密鑰進(jìn)行解密，獲得共享密鑰。<table>tableseeoriginaldocumentpage9</column></row><table>本發(fā)明提出了一種防惡意攻擊的系統(tǒng),包括客戶端和設(shè)備端的系統(tǒng)中，所述客戶端，用于向所述設(shè)備端發(fā)送下線請求，所述下線請求中攜帶需要下線用戶的序列號；所述設(shè)備端，用于建立上線用戶列表，所述列表中包括上線用戶的MAC地址和序列號的對應(yīng)關(guān)系；接收所述客戶端發(fā)送的下線請求，根據(jù)所述用戶的M:AC地址查找所述上線用戶列表,獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致，說明為真實下線請求，通知所述用戶下線。本發(fā)明提出了一種防惡意攻擊的設(shè)備端，應(yīng)用于包括客戶端和設(shè)備端的系統(tǒng)中，所述設(shè)備端如圖8所示，包括列表維護(hù)模塊810，用于建立上線用戶列表，所述列表中包括上線用戶的MAC地址和序列號的對應(yīng)關(guān)系；列表維護(hù)模塊810，還用于向所述客戶端發(fā)送擴(kuò)展data域的EAP報文，攜帶分配給上線用戶的序列號；接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求，所述認(rèn)證請求中攜帶所述上線用戶的MAC地址；獲取所述認(rèn)證請求中攜帶的MAC地址，并與分配給所述上線用戶的序列號建立用戶列表；或接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求,所述認(rèn)證請求中攜帶上線用戶的MAC地址；獲取所述上線用戶的MAC地址，并生成對應(yīng)的序列號，建立用戶列表；或接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址及對應(yīng)的序列號；從所述認(rèn)證請求中獲取MAC地址及對應(yīng)的序列號，建立用戶列表。。接收模塊820，與列表維護(hù)模塊810連接,用于接收所述客戶端發(fā)送的下線請求,所述下線請求中攜帶需要下線用戶的序列號；控制模塊830，與接收模塊820連接，用于根據(jù)所述用戶的脆C地址查找所述....匕線用戶列表,獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致,說明為真實下線請求，通知所述用戶下線。共享密鑰獲取模塊840，用于在設(shè)備端維護(hù)一個和客戶端相同的二維列表，其中包括節(jié)點序號和算法的對應(yīng)關(guān)系；向所述客戶端發(fā)送一個節(jié)點序號，然后將共享密鑰經(jīng)過對應(yīng)的算法加密后發(fā)送給所述客戶端；得到所述節(jié)點序號，査找客戶端的二維列表,找出對應(yīng)的算法，使用所述算法將獲得的加密后的共享密鑰進(jìn)行解密，獲得共享密鑰；控制模塊830，還用于獲取用戶列表中的用戶名、序列號、共享密鑰作為MD5摘要運算的因子，得到的MD5輸出值，將所述MD5輸出值與下線請求包中的認(rèn)證字段比較，如果相同，則通知所述用戶下線。通過以上的實施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn),也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來，該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM，U盤，移動硬盤等)中，包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī),服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是-個優(yōu)選實施例的示意圖，附圖中的模塊或流程并不一定是實施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進(jìn)行分布于實施例的裝置中，也可以進(jìn)行相應(yīng)變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊，也可以進(jìn)一步拆分成多個子模塊。上述本發(fā)明序號僅僅為了描述，不代表實施例的優(yōu)劣。以上公開的僅為本發(fā)明的幾個具體實施例，但是,本發(fā)明并非局限于此，任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。權(quán)利要求一種防惡意攻擊的方法，應(yīng)用于包括客戶端和設(shè)備端的系統(tǒng)中，其特征在于，所述方法包括以下步驟所述設(shè)備端建立上線用戶列表，所述列表中包括上線用戶的媒體接入控制MAC地址和序列號的對應(yīng)關(guān)系；所述設(shè)備端接收所述客戶端發(fā)送的下線請求，所述下線請求中攜帶需要下線用戶的序列號；所述設(shè)備端根據(jù)所述用戶的MAC地址查找所述上線用戶列表，獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致，說明為真實下線請求，通知所述用戶下線。2.如權(quán)利要求1所述的方法，其特征在于，所述下線請求中還包括認(rèn)證字段，所述列表中的序列號與下線請求中的序列號一致時，還包括所述設(shè)備端獲取用戶列表中的用戶名、序列號、共享密鑰作為MD5摘要運算的因子，得到的MD5輸出值，將所述MD5輸出值與下線請求包中的認(rèn)證字段比較，如果相同，則通知所述用戶下線。3.如權(quán)利要求2所述的方法，其特征在于，所述共享密鑰的獲取方法包括所述設(shè)備端和客戶端分別維護(hù)一個相同的二維列表，其中包括節(jié)點序號和算法的對應(yīng)關(guān)系；所述設(shè)備端向所述客戶端發(fā)送--個節(jié)點序號，然后將共享密鑰經(jīng)過對應(yīng)的算法加密后發(fā)送給所述客戶端；所述客戶端得到所述節(jié)點序號，查找客戶端的二維列表，找出對應(yīng)的算法，使用所述算法將獲得的加密后的共享密鑰進(jìn)行解密，獲得共享密鑰。4.如權(quán)利要求3所述的方法，其特征在于,在獲得所述共享密鑰之后,還包括在序列號的數(shù)值空間被分配完畢時，對客戶端和設(shè)備端進(jìn)行預(yù)置共享密鑰的更新。5.如權(quán)利要求1所述的方法,其特征在于，所述設(shè)備端建立上線用戶列表，具體包括設(shè)備端主動觸發(fā)客戶端認(rèn)證時，設(shè)備端建立用戶列表，具體為所述設(shè)備端向所述客戶端發(fā)送擴(kuò)展data域的EAP報文,攜帶分配給上線用戶的序列號；所述客戶端向所述設(shè)備端發(fā)送認(rèn)證請求，所述認(rèn)證請求中攜帶所述上線用戶的MAC地址；所述設(shè)備端獲取所述認(rèn)證請求中攜帶的MAC地址,并與分配給所述上線用戶的序列號建立用戶列表。6.如權(quán)利要求1所述的方法，其特征在于,所述設(shè)備端建立上線用戶列表，具體包括客戶端主動向設(shè)備端發(fā)起認(rèn)證請求時，設(shè)備端建立用戶列表具體為所述客戶端主動向所述設(shè)備端發(fā)起認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址，所述設(shè)備端接收到所述認(rèn)證請求后，獲取所述--匕線用戶的MAC地址，并生成對應(yīng)的序列號，建立用戶列表；或所述客戶端主動向所述設(shè)備端發(fā)起認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址及對應(yīng)的序列號，所述設(shè)備端從所述認(rèn)證請求中獲取MAC地址及對應(yīng)的序列號，建立用戶列表。7.—種防惡意攻擊的系統(tǒng)，包括客戶端和設(shè)備端的系統(tǒng)中，其特征在于，所述客戶端，用于向所述設(shè)備端發(fā)送下線請求，所述下線請求中攜帶需要下線用戶的序列號；所述設(shè)備端，用于建立上線用戶列表，所述列表中包括上線用戶的M:AC地址和序列號的對應(yīng)關(guān)系；接收所述客戶端發(fā)送的下線請求，根據(jù)所述用戶的MAC地址査找所述上線用戶列表，獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致,如果一致，說明為真實下線請求,通知所述用戶下線。8.—種防惡意攻擊的設(shè)備端，應(yīng)用于包括客戶端和設(shè)備端的系統(tǒng)中，其特征在于，所述設(shè)備端包括列表維護(hù)模塊，用于建立上線用戶列表，所述列表中包括上線用戶的MAC地址和序列號的對應(yīng)關(guān)系；接收模塊，與所述列表維護(hù)模塊連接,用于接收所述客戶端發(fā)送的下線請求，所述下線請求中攜帶需要下線用戶的序列號；控制模塊，與所述接收模塊連接，用于根據(jù)所述用戶的MAC地址査找所述上線用戶列表，獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致，說明為真實下線請求，通知所述用戶下線。9.如權(quán)利要求8所述的設(shè)備端，其特征在于，還包括共享密鑰獲取模塊，用于在設(shè)備端維護(hù)一個和客戶端相同的二維列表，其中包括節(jié)點序號和算法的對應(yīng)關(guān)系；向所述客戶端發(fā)送一個節(jié)點序號，然后將共享密鑰經(jīng)過對應(yīng)的算法加密后發(fā)送給所述客戶端；得到所述節(jié)點序號，查找客戶端的二維列表，找出對應(yīng)的算法，使用所述算法將獲得的加密后的共享密鑰進(jìn)行解密，獲得共享密鑰；所述控制模塊，還用于獲取用戶列表中的用戶名、序列號、共享密鑰作為MD5摘要運算的因子,得到的MD5輸出值,將所述MD5輸出值與下線請求包中的認(rèn)證字段比較，如果相同，則通知所述用戶下線。10.如權(quán)利要求8所述的設(shè)備端，其特征在于，所述列表維護(hù)模塊，還用于向所述客戶端發(fā)送擴(kuò)展data域的EAP報文，攜帶分配給上線用戶的序列號；接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求,所述認(rèn)證請求中攜帶所述上線用戶的MAC地址；獲取所述認(rèn)證請求中攜帶的MAC地址，并與分配給所述上線用戶的序列號建立用戶列表；或接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址；獲取所述上線用戶的MAC地址，并生成對應(yīng)的序列號，建立用戶列表;或接收所述客戶端向所述設(shè)備端發(fā)送的認(rèn)證請求，所述認(rèn)證請求中攜帶上線用戶的MAC地址及對應(yīng)的序列號；從所述認(rèn)證請求中獲取MAC地址及對應(yīng)的序列號，建立用戶列表。全文摘要本發(fā)明公開了一種防惡意攻擊的方法，應(yīng)用于包括客戶端和設(shè)備端的系統(tǒng)中，所述方法包括以下步驟所述設(shè)備端建立上線用戶列表，所述列表中包括上線用戶的MAC地址和序列號的對應(yīng)關(guān)系；所述設(shè)備端接收所述客戶端發(fā)送的下線請求，所述下線請求中攜帶需要下線用戶的序列號；所述設(shè)備端根據(jù)所述用戶的MAC地址查找所述上線用戶列表，獲取所述上線用戶對應(yīng)的序列號，并比較所述列表中的序列號與下線請求中的序列號是否一致，如果一致，說明為真實下線請求，通知所述用戶下線。文檔編號H04L29/06GK101707604SQ200910223970公開日2010年5月12日申請日期2009年11月20日優(yōu)先權(quán)日2009年11月20日發(fā)明者伊莉娜申請人:杭州華三通信技術(shù)有限公司