本發明實施例提供了一種802.1X認證用戶遷移防攻擊的方法和系統。當遷移端口接入的用戶MAC地址為疑似攻擊MAC地址時，且，當遷移端口為非認證受控口時，獲取遷移端口接入的用戶MAC地址并根據所述用戶MAC地址查找所述用戶MAC地址接入的源端口，并觸發源端口的所述用戶MAC地址進行重新認證；若所述用戶MAC在源端口重新認證成功，則標記遷移端口的接入用戶MAC地址為攻擊地址；若源端口的用戶重新認證失敗，則標記遷移端口接入的用戶MAC地址合法。對于源端口或遷移端口至少一個是認證受控口時，建立獨立的攻擊檢測判定方法來判定接收到的表項通告是遷移或是攻擊，避免誤判定導致用戶受攻擊導致掉線的問題。

技術領域

本發明涉及通信技術領域，尤其涉及一種802.1X認證用戶遷移防攻擊的方法和系統。

背景技術

IEEE 802LAN中，用戶只要能接到網絡設備上，不需要經過認證和授權即可直接使用。這樣，一個未經授權的用戶，他可以沒有任何阻礙地通過連接到局域網的設備進入網絡。隨著局域網技術的廣泛應用，特別是在運營網絡的出現，對網絡的安全認證的需求已經提到了議事日程上。如何在以太網技術簡單、廉價的基礎上，提供用戶對網絡或設備訪問合法性認證，已經成為業界關注的焦點。IEEE 802.1x協議正是在這樣的背景下提出的。IEEE802.1X是一個基于端口的網絡存取控制標準，為LAN提供點對點式的安全接入。標準定義了一種基于“客戶端——服務器”(Client-Server)模式實現了限制未認證用戶對網絡的訪問。客戶端要訪問網絡必須先通過服務器的認證,而設備端則通過用戶的MAC以區別不同的認證用戶。IEEE802.1X統一簡稱為802.1X。

傳統的場景下，用戶通過認證后，由于個人計算機體積大，物理接入位置往往不會發生變化，設備端以MAC和PORT為索引維護著每個用戶的認證信息，由于MAC地址的全球唯一性，用戶的MAC信息不允許重復出現在設備中的其它端口上。隨著便攜式計算機的高速發展，個人計算機的遷移需求日益突顯，用戶認證后隨時可能會改變地址位置重新進行認證接入，在此背景下催生了認證用戶地址位置遷移的需求。

現有技術中的一種方法為：通過允許攻擊者的MAC在新端口下學習，以實現認證用戶的遷移。由于MAC地址全球的唯一性，設備上同時出現兩個相同的MAC，必須針對用戶的合法性進行判斷。傳統方案中通過判斷學習到地址的先后關系，判斷后學習到的地址即為遷移后的用戶。該方案的判斷規則不能有效的判斷合法用戶，容易產生遷移攻擊。此類型攻擊會造成合法的用戶無法正常上線，無論攻擊者接入的是否是802.1X受控的接口。

上述現有技術中的缺點為：綜上所述，從用戶的遷移過程來看，基于單一索引的檢測機制存在攻擊漏洞，協議本身僅依靠MAC地址來判斷用戶的在位狀態，導致攻擊者可通過偽造MAC地址引發大規模的合法認證用戶下線。此類缺陷即屬于協議的誤判攻擊漏洞，該漏洞在對于用戶單一索引依賴的協議中均可能存在。

發明內容

本發明的實施例提供了實施例一提供的一種802.1X認證用戶遷移防攻擊的方法和系統，本發明提供了如下方案：

當確定遷移端口接入的用戶MAC地址為疑似攻擊MAC地址時，且，

當遷移端口為非認證受控口時，獲取遷移端口接入的用戶MAC地址并根據用戶MAC地址查找用戶MAC地址接入的源端口，并觸發源端口的用戶MAC地址進行重新認證；

若用戶MAC在源端口重新認證成功，則標記遷移端口的接入用戶MAC地址為攻擊地址；

若用戶MAC在源端口重新認證失敗，則標記遷移端口接入的用戶MAC地址合法。

根據本發明的上述方法，還包括：

當確定遷移端口接入的用戶MAC地址為疑似攻擊MAC地址時，且，

當遷移端口為認證受控口時，獲取遷移端口接入的用戶MAC地址，并觸發用戶MAC地址進行認證；