CN101707604B - 一种防恶意攻击的方法、系统及装置 - Google Patents
一种防恶意攻击的方法、系统及装置 Download PDFInfo
- Publication number
- CN101707604B CN101707604B CN 200910223970 CN200910223970A CN101707604B CN 101707604 B CN101707604 B CN 101707604B CN 200910223970 CN200910223970 CN 200910223970 CN 200910223970 A CN200910223970 A CN 200910223970A CN 101707604 B CN101707604 B CN 101707604B
- Authority
- CN
- China
- Prior art keywords
- user
- sequence number
- equipment end
- client
- standard grade
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防恶意攻击的方法,应用于包括客户端和设备端的系统中,所述方法包括以下步骤:所述设备端建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;所述设备端接收所述客户端发送的下线请求,所述下线请求中携带需要下线用户的序列号;所述设备端根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防恶意攻击的方法、系统及装置。
背景技术
IEEE802LAN(Local Area Network,局域网)/WAN(Wide Area Network,广域网)委员会为解决无线局域网安全问题,提出了802.1X协议。随后,802.1X协议作为局域网端口的普通接入控制机制在以太网中被广泛应用,用以解决以太网内认证和安全方面的问题。802.1X是基于端口的认证策略,其中端口可以是一个物理端口也可以是一个像VLAN(Virtual Local Area Network,虚拟局域网)一样的逻辑端口,对于无线局域网来说一个“端口”就是一条信道。
802.1X认证的最终目的是确定一个端口是否可用。对于一个端口,如果认证成功就打开该端口,允许报文通过;如果认证不成功保持该端口关闭,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol overLANs,基于LAN的扩展认证协议)通过。
802.1X的体系结构如图1所示,包括:Supplicant System(客户端系统);Authenticator System(认证系统);Authentication Sever System(认证服务器系统)。802.1X的认证过程如图2所示,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文和广播报文外不允许任何业务输入、输出。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。
如果客户端主动要求下线,向设备端发送EAPOL-Logoff报文,设备端只要检查到该报文是发送给自己的,且设备端上该MAC(Media Access Control, 介质访问控制)地址的用户在线,就把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。如果设备端或者服务器侧强制用户下线,就会向客户端发送EAP-Failure报文,踢用户下线,客户端接收到EAP-Failure报文,检查如果是设备端发给本客户端MAC的dotlx用户的报文,就会处理EAP-Failure报文,将该用户下线。
然而,由于现有技术中,客户端与设备间没有安全机制保证,如果在客户端和设备端之间有恶意攻击者,监听到客户端向设备端发送的某一个用户的主动下线请求包EAPOL-Logoff,保存该下线请求包。当该客户端再次通过认证,正常上线时,恶意攻击者在线路上向设备端发送该下线请求包,将会导致设备端将该用户踢下线。如果恶意攻击者保存了客户端的大量不同用户的主动下线请求包,并不定期的进行发送,就会导致发生大量dot1x用户非正常掉线。同样的,如果攻击者监听并学习到设备端发送给客户端的大量强制下线报文,之后当该用户上线后,向客户端发送下线报文,将导致该用户异常下线,非常影响用户的体验。
发明内容
本发明提供了一种防恶意攻击的方法、系统及装置,在客户端和设备端增加验证过程,防止恶意攻击。
本发明提供了一种防恶意攻击的方法,应用于包括客户端和设备端的系统中,所述方法包括以下步骤:
所述设备端建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;
所述设备端接收所述客户端发送的下线请求,所述下线请求中携带需要下线用户的序列号;
所述设备端根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线;
其中,所述序列号为随机变化的数值,且所述序列号与该用户前次上线分配的序列号不同。
所述下线请求中还包括认证字段,所述列表中的序列号与下线请求中的序列号一致时,还包括:
所述设备端获取用户列表中的用户名、序列号、共享密钥作为MD5摘要运算的因子,得到的MD5输出值,将所述MD5输出值与下线请求包中的认证字段比较,如果相同,则通知所述用户下线。
所述共享密钥的获取方法包括:
所述设备端和客户端分别维护一个相同的二维列表,其中包括节点序号和算法的对应关系;
所述设备端向所述客户端发送一个节点序号,然后将共享密钥经过对应的算法加密后发送给所述客户端;
所述客户端得到所述节点序号,查找客户端的二维列表,找出对应的算法,使用所述算法将获得的加密后的共享密钥进行解密,获得共享密钥。
在获得所述共享密钥之后,还包括:在序列号的数值空间被分配完毕时,对客户端和设备端进行预置共享密钥的更新。
所述设备端建立上线用户列表,具体包括:设备端主动触发客户端认证时,设备端建立用户列表,具体为:
所述设备端向所述客户端发送扩展data域的EAP报文,携带分配给上线用户的序列号;
所述客户端向所述设备端发送认证请求,所述认证请求中携带所述上线用户的MAC地址;
所述设备端获取所述认证请求中携带的MAC地址,并与分配给所述上线用户的序列号建立用户列表。
所述设备端建立上线用户列表,具体包括:客户端主动向设备端发起认证请求时,设备端建立用户列表具体为:
所述客户端主动向所述设备端发起认证请求,所述认证请求中携带上线用户的MAC地址,所述设备端接收到所述认证请求后,获取所述上线用户的MAC地址,并生成对应的序列号,建立用户列表;或
所述客户端主动向所述设备端发起认证请求,所述认证请求中携带上线用户的MAC地址及对应的序列号,所述设备端从所述认证请求中获取MAC地址及对应的序列号,建立用户列表。
本发明提供了一种防恶意攻击的系统,包括客户端和设备端的系统中,
所述客户端,用于向所述设备端发送下线请求,所述下线请求中携带需要下线用户的序列号;
所述设备端,用于建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;接收所述客户端发送的下线请求,根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线;
其中,所述序列号为随机变化的数值,且所述序列号与该用户前次上线分配的序列号不同。
本发明提供了一种防恶意攻击的设备端,应用于包括客户端和设备端的系统中,所述设备端包括:
列表维护模块,用于建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;
接收模块,与所述列表维护模块连接,用于接收所述客户端发送的下线请求,所述下线请求中携带需要下线用户的序列号;
控制模块,与所述接收模块连接,用于根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线。
共享密钥获取模块,用于在设备端维护一个和客户端相同的二维列表,其中包括节点序号和算法的对应关系;向所述客户端发送一个节点序号,然后将共享密钥经过对应的算法加密后发送给所述客户端;得到所述节点序号,查找客户端的二维列表,找出对应的算法,使用所述算法将获得的加密后的共享密钥进行解密,获得共享密钥;
所述控制模块,还用于获取用户列表中的用户名、序列号、共享密钥作为MD5摘要运算的因子,得到的MD5输出值,将所述MD5输出值与下线 请求包中的认证字段比较,如果相同,则通知所述用户下线。
所述列表维护模块,还用于向所述客户端发送扩展data域的EAP报文,携带分配给上线用户的序列号;接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带所述上线用户的MAC地址;获取所述认证请求中携带的MAC地址,并与分配给所述上线用户的序列号建立用户列表;或
接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带上线用户的MAC地址;获取所述上线用户的MAC地址,并生成对应的序列号,建立用户列表;或
接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带上线用户的MAC地址及对应的序列号;从所述认证请求中获取MAC地址及对应的序列号,建立用户列表。
与现有技术相比,本发明具有以下优点:
本发明中,在客户端和设备端之间的协议交互过程中,增加认证字段,并引入和上线用户相关联的可信变化因子,参与MD5的摘要运算,从而能够解决在客户端和设备端之间的恶意攻击问题。
附图说明
图1是现有技术中IEEE 802.1X的体系结构图;
图2是现有技术中802.1x认证处理流程图;
图3是本发明中EAPOL数据包格式示意图;
图4是本发明中EAP数据包结构示意图;
图5是本发明中客户端和设备端之间的交互报文中携带Seqnum字段示意图;
图6是本发明中客户端主动发起下线请求流程图;
图7是本发明中扩展Seqnum和authenticator字段示意图;
图8是本发明中一种防恶意攻击的设备端结构图。
具体实施方式
本发明通过对客户端和设备端之间的协议进行扩展,增加认证字段,并引入和上线用户相关联的可信变化因子,参与MD5的摘要运算,从而能够解决在客户端和设备端之间的恶意攻击问题。其中,客户端和设备端之间的协议为EAPOL,802.1X协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送,EAPOL数据包的格式如图3所示:
其中,Type表示EAPOL数据帧类型,Type=0X00时,为EAP-Packet(认证信息帧),相应的Packet Body为EAP数据包结构;Type=0X01时,为EAPOL-Start(认证发起帧),此时没有数据域Packet Body字段;Type=0X02时,为EAPOL-Logoff(退出请求帧),此时没有数据域Packet Body字段。
当EAPOL数据包格式类型为EAP-Packet时,Packet Body为EAP数据包结构,如图4所示,其中,Code域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定意义如下:Code=1表示Request(请求);Code=2表示Response(响应);Code=3表示Success(成功);Code=4表示Failure(失败);Data域为0个或者多个字节,Data域的格式由Code的值来决定,当为success或failure时,data域为0个字节。
本发明防恶意攻击的方法实现之前需要在设备端与客户端协商序列号,具体过程可以分为以下两种方式:
一种方式为设备端主动触发认证:设备端向客户端发送EAP-Request/Identity报文,该报文的data域经过扩展,可以携带一个分配给该上线用户的Seqnum(序号)字段,Seqnum用来唯一标识一个上线用户;客户端收到该报文后,需要将该Seqnum字段记录在客户端的内存表中,并保持该Seqnum客户端和设备端之间的一致性(即在客户端和设备端同一个Seqnum代表同一个上线用户)。该种方式中Seqnum字段是由设备端随机分配一个数值,该数值在一定数值空间范围内变化,并且在尽可能长的时间周期内不会出现重复。在随后的客户端和设备端之间的交互报文中都携带该Seqnum字段,如图5所 示。
另一种方式为客户端主动向设备端发起的认证请求,则Seqnum字段的具体数值也可以由客户端生成。此种情况下客户端向设备端发送eapol_start报文,该eapol_start报文中增加packet Body域,其中扩展Seqnum字段。Seqnum字段是一个随机变化的数值。为了保证上线用户的安全性,当该用户下线之后,如果再次上线,客户端和设备端之间交互的Seqnum字段要保证和上次认证流程中的Seqnum不同,避免恶意攻击者使用前次学习到的Seqnum仿冒攻击。
本发明防恶意攻击的方法,当客户端主动发起下线请求时,具体过程如图6所示,包括以下步骤:
步骤601,当设备端主动触发客户端认证,或客户端主动向设备端发起认证请求时,设备端建立一个用户列表,该用户列表中包括上线用户的MAC和Seqnum的对应关系,如表1所示:
表1:
| ID | Seqnum | Username | MAC_ADDRESS |
| 40032 | 2 | User01 | 00:31:00:00:00:01 |
| 40033 | 3 | User02 | 00:31:00:00:00:02 |
| 40034 | 4 | User03 | 00:31:00:00:00:03 |
| 40035 | 5 | User04 | 00:31:00:00:00:04 |
其中,当设备端主动触发客户端认证时,设备端建立用户列表的过程包括:
设备端向客户端发送EAP-Request/Identity报文,该报文携带分配给上线用户的序列号;客户端接收该EAP-Request/Identity报文后,向该设备端发送认证请求,该认证请求中携带该上线用户的MAC地址;该设备端获取该认证请求中携带的该上线用户的MAC地址,并与分配给该上线用户的序列号建立用户列表。
客户端主动向设备端发起认证请求时,设备端建立用户列表的过程包括:
在设备端产生序列号的情况下:客户端主动向设备端发起认证请求,该认证请求中携带上线用户的MAC地址,且不包含该上线用户的序列号;设备端接收到该认证请求后,获取该上线用户的MAC地址,并生成对应的序列号,建立用户列表。
在客户端产生序列号的情况下,客户端主动向设备端发起认证请求,该认证请求中携带上线用户的MAC地址及对应的序列号;设备端从该认证请求中获取MAC地址及对应的序列号,建立用户列表。
步骤602,客户端向设备端发送Eapol_logoff报文,该报文中增加packetBody域,其中扩展Seqnum和authenticator字段,如图7所示;该字段用来进行验证,只有判断收到的报文中携带了正确的Seqnum和authenticator字段,才回应EAPOL-Logoff用户下线。其中,authenticator字段的计算采用RFC1321中描述的MD5的加密算法:将用户名、Seqnum、默认共享密钥作为MD5摘要运算的因子,以字节流Username+Seqnum+secret(共享密钥)作为MD5的输入,得到的MD5输出就是请求报文的验证字Authenticator的内容。
步骤603,设备端收到客户端主动发起的下线请求包EAPOL-Logoff,根据其中的用户的MAC地址查找设备端维护的上线用户列表,读出该用户所对应的Seqnum,并比较从上线用户列表中读出的Seqnum和客户端发起的下线请求包中的Seqnum是否一致,如果一致,继续处理;如果不一致说明是恶意攻击者发送的,不继续处理。由于设备端对于再次上线的用户分配的Seqnum的值是随机变化的,不会和上次的相同,就可以检查出是否是可信包。
其中,Seqnum字段的长度可以选取为64bit以上的长度,数值在随机生成的过程中就有2的64次方种可能值。这个值对于目前的上线用户的实际可能数量来说已经足够大了。而且,由于设备端检查的是由设备端分配给该用户的MAC地址和Seqnum的对应关系,而某一个用户在不同次的上线过程中,恰好被分到相同的MAC地址和相同的Seqnum的可能性为:1/(2^64*N),假设MAC地址的可分配空间为N;因此,这个可能性,极其微小,这个结果对于目前实际使用中的防重放需求来说已经足够了。
如果需要更强的安全保证,可以增加Seqnum字段的位数。如果需要绝对 的安全保证,可以根据Seqnum的2^n(n为Seqnum字段的位数)的数值空间被分配完毕时,在客户端和设备端适时的进行预置共享密钥的更新,例如,当n为2时,Seqnum的数值空间为4(即可以分配4个Seqnum),当分配完该4个Seqnum后,则Seqnum的数值空间被分配完毕。但是,这要增加额外的系统开销,实现中可以根据实际需要进行权衡。
另外,为了进一步增加安全性,设备端在确认Seqnum匹配后,利用下线请求包中的authenticator字段进行判断。具体为:采用MD5算法,读出用户列表中的用户名,同时将设备端的默认共享密钥作为MD5摘要运算的因子,及Seqnum,得到的MD5输出值,将该MD5输出值与下线请求包中的authenticator作比较,如果不相同,则不处理,如果相同,则向客户端回应eap_failure,通知客户端将用户下线。因此,如果恶意攻击者在用户上线的过程中,截获了该设备端分配给客户端的Seqnum的值,并把该值替代了他攻击的下线请求包中的对应字段,设备端仍然可以检测出来。当然也可以将Seqnum和authenticator字段扩展到eap_failure的data域中,当客户端收到设备端发来的已扩展的eap_failure报文后,根据其中的用户的MAC地址查找客户端维护的上线用户列表,读出该用户所对应的Seqnum,并比较从上线用户列表中读出的Seqnum和设备端发起的下线请求包中的Seqnum是否一致,如果一致说明为真实的下线请求,继续处理;如果不一致说明是恶意攻击者发送的,不继续处理。
其中,设备端可以根据具体实现的需要设置共享密钥,客户端通过与设备端之间进行交互,得出该共享密钥。例如,在设备端和客户端分别维护一个相同的二维列表,其中包括节点序号和算法的对应关系。设备端首先向客户端发送一个节点序号,然后将共享密钥经过对应的算法加密后发送给客户端;客户端得到该节点序号,查找客户端的二维列表,找出相对应的算法,然后使用该算法将获得的加密后的共享密钥进行解密,获得共享密钥。
表2:
本发明提出了一种防恶意攻击的系统,包括客户端和设备端的系统中,所述客户端,用于向所述设备端发送下线请求,所述下线请求中携带需要下线用户的序列号;所述设备端,用于建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;接收所述客户端发送的下线请求,根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线。
本发明提出了一种防恶意攻击的设备端,应用于包括客户端和设备端的系统中,所述设备端如图8所示,包括:
列表维护模块810,用于建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;
列表维护模块810,还用于向所述客户端发送扩展data域的EAP报文,携带分配给上线用户的序列号;接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带所述上线用户的MAC地址;获取所述认证请求中携带的MAC地址,并与分配给所述上线用户的序列号建立用户列表;或
接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带上线用户的MAC地址;获取所述上线用户的MAC地址,并生成对应的序列号,建立用户列表;或
接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带上线用户的MAC地址及对应的序列号;从所述认证请求中获取MAC地址及对应的序列号,建立用户列表。。
接收模块820,与列表维护模块810连接,用于接收所述客户端发送的下线请求,所述下线请求中携带需要下线用户的序列号;
控制模块830,与接收模块820连接,用于根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线。
共享密钥获取模块840,用于在设备端维护一个和客户端相同的二维列表,其中包括节点序号和算法的对应关系;向所述客户端发送一个节点序号,然后将共享密钥经过对应的算法加密后发送给所述客户端;得到所述节点序号,查找客户端的二维列表,找出对应的算法,使用所述算法将获得的加密后的共享密钥进行解密,获得共享密钥;
控制模块830,还用于获取用户列表中的用户名、序列号、共享密钥作为MD5摘要运算的因子,得到的MD5输出值,将所述MD5输出值与下线请求包中的认证字段比较,如果相同,则通知所述用户下线。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种防恶意攻击的方法,应用于包括客户端和设备端的系统中,其特征在于,所述方法包括以下步骤:
所述设备端建立上线用户列表,所述列表中包括上线用户的媒体接入控制MAC地址和序列号的对应关系;
所述设备端接收所述客户端发送的下线请求,所述下线请求中携带需要下线用户的序列号;
所述设备端根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线;
其中,所述序列号为随机变化的数值,且所述序列号与该用户前次上线分配的序列号不同。
2.如权利要求1所述的方法,其特征在于,所述下线请求中还包括认证字段,所述列表中的序列号与下线请求中的序列号一致时,还包括:
所述设备端获取用户列表中的用户名、序列号、共享密钥作为MD5摘要运算的因子,得到的MD5输出值,将所述MD5输出值与下线请求包中的认证字段比较,如果相同,则通知所述用户下线。
3.如权利要求2所述的方法,其特征在于,所述共享密钥的获取方法包括:
所述设备端和客户端分别维护一个相同的二维列表,其中包括节点序号和算法的对应关系;
所述设备端向所述客户端发送一个节点序号,然后将共享密钥经过对应的算法加密后发送给所述客户端;
所述客户端得到所述节点序号,查找客户端的二维列表,找出对应的算法,使用所述算法将获得的加密后的共享密钥进行解密,获得共享密钥。
4.如权利要求3所述的方法,其特征在于,在获得所述共享密钥之后,还包括:
在序列号的数值空间被分配完毕时,对客户端和设备端进行预置共享密钥的更新。
5.如权利要求1所述的方法,其特征在于,所述设备端建立上线用户列表,具体包括:设备端主动触发客户端认证时,设备端建立用户列表,具体为:
所述设备端向所述客户端发送扩展data域的EAP报文,携带分配给上线用户的序列号;
所述客户端向所述设备端发送认证请求,所述认证请求中携带所述上线用户的MAC地址;
所述设备端获取所述认证请求中携带的MAC地址,并与分配给所述上线用户的序列号建立用户列表。
6.如权利要求1所述的方法,其特征在于,所述设备端建立上线用户列表,具体包括:客户端主动向设备端发起认证请求时,设备端建立用户列表具体为:
所述客户端主动向所述设备端发起认证请求,所述认证请求中携带上线用户的MAC地址,所述设备端接收到所述认证请求后,获取所述上线用户的MAC地址,并生成对应的序列号,建立用户列表;或
所述客户端主动向所述设备端发起认证请求,所述认证请求中携带上线用户的MAC地址及对应的序列号,所述设备端从所述认证请求中获取MAC地址及对应的序列号,建立用户列表。
7.一种防恶意攻击的系统,包括客户端和设备端的系统中,其特征在于,
所述客户端,用于向所述设备端发送下线请求,所述下线请求中携带需要下线用户的序列号;
所述设备端,用于建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;接收所述客户端发送的下线请求,根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线;
其中,所述序列号为随机变化的数值,且所述序列号与该用户前次上线分配的序列号不同。
8.一种防恶意攻击的设备端,应用于包括客户端和设备端的系统中,其特征在于,所述设备端包括:
列表维护模块,用于建立上线用户列表,所述列表中包括上线用户的MAC地址和序列号的对应关系;
接收模块,与所述列表维护模块连接,用于接收所述客户端发送的下线请求,所述下线请求中携带需要下线用户的序列号;
控制模块,与所述接收模块连接,用于根据所述用户的MAC地址查找所述上线用户列表,获取所述上线用户对应的序列号,并比较所述列表中的序列号与下线请求中的序列号是否一致,如果一致,说明为真实下线请求,通知所述用户下线。
9.如权利要求8所述的设备端,其特征在于,还包括:
共享密钥获取模块,用于在设备端维护一个和客户端相同的二维列表,其中包括节点序号和算法的对应关系;向所述客户端发送一个节点序号,然后将共享密钥经过对应的算法加密后发送给所述客户端;得到所述节点序号,查找客户端的二维列表,找出对应的算法,使用所述算法将获得的加密后的共享密钥进行解密,获得共享密钥;
所述控制模块,还用于获取用户列表中的用户名、序列号、共享密钥作为MD5摘要运算的因子,得到的MD5输出值,将所述MD5输出值与下线请求包中的认证字段比较,如果相同,则通知所述用户下线。
10.如权利要求8所述的设备端,其特征在于,所述列表维护模块,还用于向所述客户端发送扩展data域的EAP报文,携带分配给上线用户的序列号;接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带所述上线用户的MAC地址;获取所述认证请求中携带的MAC地址,并与分配给所述上线用户的序列号建立用户列表;或
接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带上线用户的MAC地址;获取所述上线用户的MAC地址,并生成对应的序列号,建立用户列表;或
接收所述客户端向所述设备端发送的认证请求,所述认证请求中携带上线用户的MAC地址及对应的序列号;从所述认证请求中获取MAC地址及对应的序列号,建立用户列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910223970 CN101707604B (zh) | 2009-11-20 | 2009-11-20 | 一种防恶意攻击的方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910223970 CN101707604B (zh) | 2009-11-20 | 2009-11-20 | 一种防恶意攻击的方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101707604A CN101707604A (zh) | 2010-05-12 |
| CN101707604B true CN101707604B (zh) | 2013-01-09 |
Family
ID=42377795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910223970 Active CN101707604B (zh) | 2009-11-20 | 2009-11-20 | 一种防恶意攻击的方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101707604B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924754B (zh) * | 2010-07-15 | 2013-07-31 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
| CN103237020B (zh) * | 2013-04-07 | 2016-08-17 | 杭州华三通信技术有限公司 | 避免状态机被攻击的方法及服务器、交换机 |
| CN105868587B (zh) * | 2016-03-24 | 2018-09-28 | 深圳市新格林耐特通信技术有限公司 | 一种加密、解密mac地址的方法和装置 |
| CN106453408B (zh) * | 2016-11-21 | 2020-01-03 | 新华三技术有限公司 | 一种防仿冒下线攻击的方法和装置 |
| CN112039966A (zh) * | 2020-08-25 | 2020-12-04 | 广州鲁邦通物联网科技有限公司 | 一种基于ActiveMQ的客户端在线状态更新的方法、程序和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1503534A (zh) * | 2002-11-19 | 2004-06-09 | 华为技术有限公司 | 一种802.1x认证的实现方法 |
| CN1613078A (zh) * | 2000-10-30 | 2005-05-04 | 弗兰克尼斯克斯基 | 用于连接不同目标群的方法及用于执行该方法的系统 |
| CN101075869A (zh) * | 2006-05-18 | 2007-11-21 | 中兴通讯股份有限公司 | 网络认证的实现方法 |
| CN101111075A (zh) * | 2007-04-16 | 2008-01-23 | 华为技术有限公司 | 移动通信系统中准入判断和寻呼用户的方法、系统及装置 |
| US7437145B2 (en) * | 2004-12-01 | 2008-10-14 | Canon Kabushiki Kaisha | Wireless control apparatus, system, control method, and program |
-
2009
- 2009-11-20 CN CN 200910223970 patent/CN101707604B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1613078A (zh) * | 2000-10-30 | 2005-05-04 | 弗兰克尼斯克斯基 | 用于连接不同目标群的方法及用于执行该方法的系统 |
| CN1503534A (zh) * | 2002-11-19 | 2004-06-09 | 华为技术有限公司 | 一种802.1x认证的实现方法 |
| US7437145B2 (en) * | 2004-12-01 | 2008-10-14 | Canon Kabushiki Kaisha | Wireless control apparatus, system, control method, and program |
| CN101075869A (zh) * | 2006-05-18 | 2007-11-21 | 中兴通讯股份有限公司 | 网络认证的实现方法 |
| CN101111075A (zh) * | 2007-04-16 | 2008-01-23 | 华为技术有限公司 | 移动通信系统中准入判断和寻呼用户的方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101707604A (zh) | 2010-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10104546B2 (en) | Systems and methods for authentication | |
| WO2017185913A1 (zh) | 一种无线局域网认证机制的改进方法 | |
| CN101764693B (zh) | 认证方法、系统、客户端和网络设备 | |
| US20100017603A1 (en) | Extensible Authentication Protocol Authentication and Key Agreement (EAP-AKA) Optimization | |
| CN109672538A (zh) | 一种轻量级车载总线安全通信方法及安全通信系统 | |
| CN106850207B (zh) | 无ca的身份认证方法和系统 | |
| CN102347957A (zh) | 一种云网络准入鉴别系统及准入鉴别技术方法 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN101141305A (zh) | 网络安全防御系统、方法和安全管理服务器 | |
| CN101707604B (zh) | 一种防恶意攻击的方法、系统及装置 | |
| CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN101616412A (zh) | 无线局域网中管理帧的校验方法和设备 | |
| CN101237325B (zh) | 以太网接入认证方法和下线认证方法以及以太网设备 | |
| WO2014015759A1 (zh) | 一种终端身份验证和服务鉴权的方法、系统和终端 | |
| CN103795728A (zh) | 一种隐藏身份且适合资源受限终端的eap认证方法 | |
| CN105323754A (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| US11678177B2 (en) | Dual-link wireless ad hoc network and security defense method in emergency scene | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| CN101282208A (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
| CN101699890A (zh) | 一种3g-wlan认证方法 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| CN101192927A (zh) | 基于身份保密的授权与多重认证方法 | |
| Bansal et al. | Lightweight authentication protocol for inter base station communication in heterogeneous networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |