亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種802.1x認(rèn)證用戶(hù)遷移防攻擊的方法和系統(tǒng)的制作方法

文檔序號(hào):9624116閱讀:918來(lái)源:國(guó)知局
一種802.1x認(rèn)證用戶(hù)遷移防攻擊的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種802.1X認(rèn)證用戶(hù)迀移防攻擊的方法和系統(tǒng)。
【背景技術(shù)】
[0002]IEEE 802LAN中,用戶(hù)只要能接到網(wǎng)絡(luò)設(shè)備上,不需要經(jīng)過(guò)認(rèn)證和授權(quán)即可直接使用。這樣,一個(gè)未經(jīng)授權(quán)的用戶(hù),他可以沒(méi)有任何阻礙地通過(guò)連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用,特別是在運(yùn)營(yíng)網(wǎng)絡(luò)的出現(xiàn),對(duì)網(wǎng)絡(luò)的安全認(rèn)證的需求已經(jīng)提到了議事日程上。如何在以太網(wǎng)技術(shù)簡(jiǎn)單、廉價(jià)的基礎(chǔ)上,提供用戶(hù)對(duì)網(wǎng)絡(luò)或設(shè)備訪(fǎng)問(wèn)合法性認(rèn)證,已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)。IEEE 802.lx協(xié)議正是在這樣的背景下提出的。IEEE802.1X是一個(gè)基于端口的網(wǎng)絡(luò)存取控制標(biāo)準(zhǔn),為L(zhǎng)AN提供點(diǎn)對(duì)點(diǎn)式的安全接入。標(biāo)準(zhǔn)定義了一種基于“客戶(hù)端一一服務(wù)器"(Client-Server)模式實(shí)現(xiàn)了限制未認(rèn)證用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)。客戶(hù)端要訪(fǎng)問(wèn)網(wǎng)絡(luò)必須先通過(guò)服務(wù)器的認(rèn)證,而設(shè)備端則通過(guò)用戶(hù)的MAC以區(qū)別不同的認(rèn)證用戶(hù)。ffiEE802.1X統(tǒng)一簡(jiǎn)稱(chēng)為802.1X。
[0003]傳統(tǒng)的場(chǎng)景下,用戶(hù)通過(guò)認(rèn)證后,由于個(gè)人計(jì)算機(jī)體積大,物理接入位置往往不會(huì)發(fā)生變化,設(shè)備端以MAC和PORT為索引維護(hù)著每個(gè)用戶(hù)的認(rèn)證信息,由于MAC地址的全球唯一性,用戶(hù)的MAC信息不允許重復(fù)出現(xiàn)在設(shè)備中的其它端口上。隨著便攜式計(jì)算機(jī)的高速發(fā)展,個(gè)人計(jì)算機(jī)的迀移需求日益突顯,用戶(hù)認(rèn)證后隨時(shí)可能會(huì)改變地址位置重新進(jìn)行認(rèn)證接入,在此背景下催生了認(rèn)證用戶(hù)地址位置迀移的需求。
[0004]現(xiàn)有技術(shù)中的一種方法為:通過(guò)允許攻擊者的MAC在新端口下學(xué)習(xí),以實(shí)現(xiàn)認(rèn)證用戶(hù)的迀移。由于MAC地址全球的唯一性,設(shè)備上同時(shí)出現(xiàn)兩個(gè)相同的MAC,必須針對(duì)用戶(hù)的合法性進(jìn)行判斷。傳統(tǒng)方案中通過(guò)判斷學(xué)習(xí)到地址的先后關(guān)系,判斷后學(xué)習(xí)到的地址即為迀移后的用戶(hù)。該方案的判斷規(guī)則不能有效的判斷合法用戶(hù),容易產(chǎn)生迀移攻擊。此類(lèi)型攻擊會(huì)造成合法的用戶(hù)無(wú)法正常上線(xiàn),無(wú)論攻擊者接入的是否是802.1X受控的接口。
[0005]上述現(xiàn)有技術(shù)中的缺點(diǎn)為:綜上所述,從用戶(hù)的迀移過(guò)程來(lái)看,基于單一索引的檢測(cè)機(jī)制存在攻擊漏洞,協(xié)議本身僅依靠MAC地址來(lái)判斷用戶(hù)的在位狀態(tài),導(dǎo)致攻擊者可通過(guò)偽造MAC地址引發(fā)大規(guī)模的合法認(rèn)證用戶(hù)下線(xiàn)。此類(lèi)缺陷即屬于協(xié)議的誤判攻擊漏洞,該漏洞在對(duì)于用戶(hù)單一索引依賴(lài)的協(xié)議中均可能存在。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的實(shí)施例提供了實(shí)施例一提供的一種802.1X認(rèn)證用戶(hù)迀移防攻擊的方法和系統(tǒng),本發(fā)明提供了如下方案:
[0007]當(dāng)確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址時(shí),且,
[0008]當(dāng)迀移端口為非認(rèn)證受控口時(shí),獲取迀移端口接入的用戶(hù)MAC地址并根據(jù)用戶(hù)MAC地址查找用戶(hù)MAC地址接入的源端口,并觸發(fā)源端口的用戶(hù)MAC地址進(jìn)行重新認(rèn)證;
[0009]若用戶(hù)MAC在源端口重新認(rèn)證成功,則標(biāo)記迀移端口的接入用戶(hù)MAC地址為攻擊地址;
[0010]若用戶(hù)MAC在源端口重新認(rèn)證失敗,則標(biāo)記迀移端口接入的用戶(hù)MAC地址合法。
[0011]根據(jù)本發(fā)明的上述方法,還包括:
[0012]當(dāng)確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址時(shí),且,
[0013]當(dāng)迀移端口為認(rèn)證受控口時(shí),獲取迀移端口接入的用戶(hù)MAC地址,并觸發(fā)用戶(hù)MAC地址進(jìn)行認(rèn)證;
[0014]若用戶(hù)MAC在迀移端口認(rèn)證成功,則標(biāo)記迀移端口接入的用戶(hù)MAC地址合法;
[0015]若用戶(hù)MAC在迀移端口認(rèn)證失敗,則標(biāo)記迀移端口的接入用戶(hù)MAC地址為攻擊地址。
[0016]根據(jù)本發(fā)明的上述方法,在迀移端口接入的用戶(hù)MAC地址確定為疑似攻擊MAC地址之前,包括:當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口所通告的迀移端口接入的用戶(hù)MAC地址和迀移端口信息。
[0017]根據(jù)本發(fā)明的上述方法,接收迀移端口所通告的迀移端口接入的用戶(hù)MAC地址和迀移端口信息,包括:
[0018]接收迀移端口根據(jù)接收到的802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶(hù)MAC地址和迀移端口信息;或,
[0019]接收迀移端口根據(jù)接收到的非802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶(hù)MAC地址和源端口信息。
[0020]根據(jù)本發(fā)明的上述方法,確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址,包括:
[0021]當(dāng)確定迀移端口接入的用戶(hù)MAC地址已存在于802.1X用戶(hù)表項(xiàng)中,則確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址。
[0022]根據(jù)本發(fā)明的另一方面,還提供一種802.1X認(rèn)證用戶(hù)迀移防攻擊的系統(tǒng),包括:
[0023]第一獲取模塊:其用于當(dāng)確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址時(shí),且,當(dāng)迀移端口為非認(rèn)證受控口時(shí),獲取迀移端口接入的用戶(hù)MAC地址并根據(jù)用戶(hù)MAC地址查找用戶(hù)MAC地址接入的源端口,并觸發(fā)源端口的用戶(hù)MAC地址進(jìn)行重新認(rèn)證;
[0024]第一標(biāo)記模塊:其用于若用戶(hù)MAC在源端口重新認(rèn)證成功,則標(biāo)記迀移端口的接入用戶(hù)MAC地址為攻擊地址;
[0025]其還用于若用戶(hù)MAC在源端口重新認(rèn)證失敗,則標(biāo)記迀移端口接入的用戶(hù)MAC地址合法。
[0026]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶(hù)迀移防攻擊的系統(tǒng),還包括:
[0027]第二獲取模塊:其用于當(dāng)確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址時(shí),且,其用于當(dāng)迀移端口為認(rèn)證受控口時(shí),獲取迀移端口接入的用戶(hù)MAC地址,并觸發(fā)用戶(hù)MAC地址進(jìn)行認(rèn)證;
[0028]第二標(biāo)記模塊:其用于若用戶(hù)MAC在迀移端口認(rèn)證成功,則標(biāo)記迀移端口接入的用戶(hù)MAC地址合法;
[0029]其還用于若用戶(hù)MAC在迀移端口認(rèn)證失敗,則標(biāo)記迀移端口的接入用戶(hù)MAC地址為攻擊地址。
[0030]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶(hù)迀移防攻擊的系統(tǒng),還包括:
[0031]通告模塊:其用于在迀移端口接入的用戶(hù)MAC地址確定為疑似攻擊MAC地址之前,當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口所通告的迀移端口接入的用戶(hù)MAC地址和迀移端口信息。
[0032]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶(hù)迀移防攻擊的系統(tǒng),通告模塊具體用于,在迀移端口接入的用戶(hù)MAC地址確定為疑似攻擊MAC地址之前,當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口根據(jù)接收到的802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶(hù)MAC地址和迀移端口信息;或,
[0033]在迀移端口接入的用戶(hù)MAC地址確定為疑似攻擊MAC地址之前,當(dāng)迀移端口為認(rèn)證受控口時(shí),接收迀移端口根據(jù)接收到的非802.1X認(rèn)證報(bào)文所通告的迀移端口接入的用戶(hù)MAC地址和源端口信息。
[0034]根據(jù)本發(fā)明的另一方面,上述一種802.1X認(rèn)證用戶(hù)迀移防攻擊的系統(tǒng),還包括:
[0035]疑似攻擊確定模塊:其用于確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址;
[0036]疑似攻擊確定模塊,具體用于當(dāng)確定迀移端口接入的用戶(hù)MAC地址存在于802.1X用戶(hù)表項(xiàng)中,則確定迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址。
[0037]由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出,本發(fā)明實(shí)施例通過(guò)當(dāng)迀移端口接入的用戶(hù)MAC地址為疑似攻擊MAC地址時(shí),且,當(dāng)迀移端口為非認(rèn)證受控口時(shí),獲取迀移端口接入的用戶(hù)MAC地址并根據(jù)用戶(hù)MAC地址查找用戶(hù)MAC地址接入的源端口,并觸發(fā)源端口的用戶(hù)MAC地址進(jìn)行重新認(rèn)證;若用戶(hù)MAC在源端口重新認(rèn)證成功,則標(biāo)記迀移端口的接入用戶(hù)MAC地址為攻擊地址;若源端口的用戶(hù)重新認(rèn)證失敗,則標(biāo)記迀移端口接入的用戶(hù)MAC地址合法。對(duì)于源端口或迀移端口至少一個(gè)是認(rèn)證受控口時(shí),建立獨(dú)立的攻擊檢測(cè)判定方法來(lái)判定接收到的表項(xiàng)通告是迀移或是攻擊,以達(dá)到準(zhǔn)確判定的效果,避免誤判定導(dǎo)致用戶(hù)受攻擊導(dǎo)致掉線(xiàn)的
當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1