埠安全接入方式下防802.1x協議攻擊的處理機制的製作方法

2023-05-29 13:14:26

埠安全接入方式下防802.1x協議攻擊的處理機制的製作方法
【專利摘要】本發明公開了一種埠安全接入方式下防802.1X協議攻擊的處理機制，屬於數據通信領域。在埠安全接入方式下，原有的處理方式會導致攻擊報文全部上傳至網絡設備控制平面，造成報文擁塞。本發明利用埠收發包模塊檢測接收到的攻擊報文速率和報文類型，一旦滿足設定條件就發送控制信息請求關閉MAC協議認證功能，能保證攻擊報文匹配埠下的控制訪問列表而不匹配系統中的控制訪問列表，降低上傳通道的阻塞概率，減輕網絡設備CPU的處理負擔。
【專利說明】埠安全接入方式下防802.1X協議攻擊的處理機制
【技術領域】
[0001]本發明涉及網絡設備安全技術，尤其是針對埠安全接入方式下同時配置了802.1X協議認證和MAC協議認證網絡中802.1X協議報文攻擊的處理機制，防止大量報文上傳至網絡設備CPU，導致CPU負擔加重、報文擁塞、正常報文丟棄。
【背景技術】
[0002]隨著接入網絡設備的多樣化、功能的複雜化以及網絡安全威脅的日益增加，且網絡惡意攻擊越來越有針對性，對網絡中間接入設備(交換機或路由器)的安全性要求越來越高，不僅要求對設備埠配置安全的接入認證方式，而且還應能靈活運用組合多種接入認證方式，埠安全接入技術越來越重要。埠安全接入技術是一種基於MAC地址對網絡接入進行控制的安全機制，同時又結合802.1X認證對接入用戶進行控制，是對已有的802.1X協議認證和MAC協議認證的擴充。這種安全機制通過檢測埠接收數據幀中的源MAC地址來阻止非授權設備訪問網絡，通過檢測埠發送數據幀中的目的MAC地址來阻止對非授權設備的訪問。埠安全的主要功能是通過定義各種埠安全模式，使設備學習到合法的源MAC地址，以達到網絡安全管理的目的。當啟動了埠安全功能後，一旦發現非法報文，系統將觸發相應規則，並按照預定方式進行處理，既方便用戶管理，又能提高系統的安全等級。這裡的非法報文是指MAC地址未被埠學習到的用戶報文和未通過認證的用戶報文。
[0003]路由器、交換機等網絡設備由於需要計算傳輸路徑、維護轉發表項、處理本地服務，其控制模塊會從網絡設備的埠收發包模塊中提取相關協議或服務報文並對其進行處理，即一旦埠收發包模塊接收到相應報文，會根據報文類型上傳至控制平面供控制模塊執行相應的處理。由於上傳通道帶寬有限，當上傳至網絡設備CPU的報文過多時，就會造成通道堵塞，丟棄部分報文。基於這種工作模式，攻擊者可以通過發送大量攻擊報文，如協議報文、洪泛報文等，阻塞上傳通道，造成正常的協議報文和業務報文被丟棄，佔用網絡設備CPU資源，導致網絡設備工作效率嚴重下降，甚至飽和癱瘓。
[0004]防範網絡設備遭受攻擊的典型手段之一是引入訪問控制列表(ACL)。在ACL中通過設置關鍵字，並根據關鍵字對需要上傳的報文進行匹配，丟棄失配報文，以此識別和防範非法報文。ACL的關鍵字包括報文類型TYPE，限速帶寬CIR、Green報文、Red報文等，當報文需要上傳至網絡設備CPU時，首先匹配ACL中的報文類型和限速帶寬，只有匹配成功的報文才能上傳至網絡設備CPU，若報文速率大於限速帶寬，則埠收發包模塊觸發驅動埠，下發此報文類型的ACL SHADOW，所有報文匹配ACL SHADOW，並將部分報文標記為Green報文上傳至網絡設備CPU處理，其餘報文標記為Red報文後阻止上傳。
[0005]訪問控制列表(ACL)本質是對上傳報文進行控制，防止網絡設備遭受攻擊。
[0006]防範網絡設備遭受攻擊的典型手段之二是引入埠安全接入方式，其基本思想是，當埠接收到攻擊報文時，執行埠下的控制訪問列表或系統中的控制訪問列表匹配操作。對於只有MAC協議認證方式或802.1X協議認證方式的網絡，該處理方式能實現硬體限速，但如果埠配置的802.1X協議認證和MAC協議認證同時生效時，該處理機制會導致攻擊報文匹配優先級高的控制訪問列表而忽略埠下的控制訪問列表，攻擊報文將全部上傳至網絡設備控制平面，導致報文擁塞。

【發明內容】

[0007]針對原有的埠安全接入方式下對802.1X協議報文處理仍存在大量攻擊報文，防攻擊失效；大量攻擊報文上傳至網絡設備CPU造成報文擁塞、正常業務報文丟失、CPU負擔加重等缺陷，本發明設計了一種埠安全接入方式下防802.1X協議攻擊的處理機制，該處理機制利用埠收發包模塊檢測接收到的攻擊報文速率和類型，一旦滿足設定條件就發送控制信息請求，關閉MAC協議認證功能，保證攻擊報文匹配埠下的控制訪問列表而不匹配系統中的控制訪問列表，以避免硬體限速失效，大量報文上傳至網絡設備CPU造成報文擁塞、正常協議報文和業務報文丟失等。
[0008]為了實現上述目的，本發明設計的基於埠安全接入方式下防802.1X協議攻擊的處理機制，其處理步驟如下:
步驟一、確定報文攻擊埠 配置模式:在網絡設備埠配置完成後，網絡設備已知當前需要限制上傳至網絡設備CPU的報文類型。若埠配置模式不包括802.1X協議認證模式，網絡設備無法判決802.1X協議報文是否為需要限制上傳至網絡設備CPU的報文類型，則攻擊無效，埠丟棄802.1X攻擊報文；若埠配置模式包括802.1X協議認證或包括802.1X協議認證和MAC協議認證兩種認證的任意模式，網絡設備已知802.1X協議報文是需要限制上傳至網絡設備CPU的報文類型，埠收發包模塊接收攻擊報文，並統計報文速率及報文類型。
[0009]步驟二、確定報文攻擊速率--埠收發包模塊接收802.1X攻擊報文後統計報文速率，若報文速率不超過CPU對該報文硬體限速速率門限，且報文類型為802.1X協議報文類型，則不對攻擊報文做限速處理，802.1X協議報文匹配該埠下802.1X協議報文對應的NORMAL ACL規則上傳至網絡設備CPU處理。
[0010]步驟三:埠收發包模塊接收802.1X攻擊報文後統計報文速率，若速率超過CPU對該報文硬體限速速率門限，且報文類型為802.1X協議報文類型，收發包模塊發送控制信息至接口管理模塊，接口管理模塊發送控制信息至埠安全模塊，請求關閉該埠的MAC認證功能；若埠配置模式只有802.1X協議認證模式，由於埠安全模塊中MAC協議認證原本就處於關閉狀態，所以忽略此控制消息；同時埠收發包模塊通過控制信息觸發相應驅動，對埠下發一條ACL SHADOW表項(不重複下發)限制報文，限制上傳至網絡設備CPU的報文速率，報文通過匹配ACL SHADOW表項，部分報文標記為Green報文上送至網絡設備CPU處理，其餘報文標記為Red報文後阻止其上傳至網絡設備CPU。
[0011]步驟四:一旦埠收發包模塊統計報文速率低於CPU對該報文硬體限速速率門限，埠收發包模塊就發送控制信息至接口管理模塊，接口管理模塊發送控制信息至埠安全模塊，請求恢復該埠的MAC協議認證功能，同時刪除ACL SHADOW表項，報文重新匹配NORMAL ACL規則上傳至網絡設備CPU處理。
【專利附圖】

【附圖說明】
[0012]圖1是本發明測試驗證採用的網絡拓撲圖，圖中利用測試儀生成並調用攻擊報文向網絡設備的某個埠發送。
[0013]圖2是埠安全配置數據流圖，圖中埠安全模塊與多個外圍模塊連接，通過與各模塊之間數據交換完成進程控制。
[0014]圖3是本發明設計的埠安全接入方式下防802.1X協議攻擊處理機制的工作流程圖。
【具體實施方式】
[0015]本說明書中公開的所有特徵，或公開的所有方法或過程中的步驟，除了互相排斥的特徵和/或步驟以外，均可以以任何方式組合。
[0016]本說明書(包括任何附加權利要求、摘要和附圖)中公開的任一特徵，除非特別敘述，均可被其他等效或具有類似目的的替代特徵加以替換。即，除非特別敘述，每個特徵只是一系列等效或類似特徵中的一個例子而已。
[0017]埠安全接入方式下防802.1X協議攻擊的處理機制，下面結合附圖和具體實施例對本發明做進一步詳細說明:
網絡設備埠安全基本配置:在網絡設備上使用相應的命令行配置埠工作在埠安全模式下，並配置為其中一種安全模式。
[0018]測試儀流量構造:使用測試儀構造802.1X攻擊報文，其報文主要特徵:TYPE頭為888E,攻擊流量速率分別為lOOOpps和lOOpps，並從配置埠打入流量。
[0019]步驟一、確定報文攻擊埠配置模式:在網絡設備埠配置完成後，網絡設備已知當前需要限制上傳至網絡設備CPU的報文類型。若埠配置模式不包括802.1X協議認證模式，網絡設備無法判決802.1X協`議報文是否為需要限制上傳至網絡設備CPU的報文類型，則攻擊無效，埠丟棄802.1X攻擊報文；若埠配置模式包括802.1X協議認證或包括802.1X協議認證和MAC協議認證兩種認證的任意模式，網絡設備已知802.1X協議報文是需要限制上傳至網絡設備CPU的報文類型，埠收發包模塊接收攻擊報文，並統計報文速率及報文類型。
[0020]步驟二、確定報文攻擊速率--埠收發包模塊接收802.1X攻擊報文後統計報文速率，若報文速率為lOOpps，表明該報文速率不超過CPU對該報文硬體限速速率門限，且報文類型為802.1X協議報文類型(TYPE=888E)，則不對攻擊報文做限速處理，802.1X協議報文匹配該埠下802.1X協議報文對應的NORMAL ACL規則上傳至網絡設備CPU處理。
[0021]步驟三:埠收發包模塊接收802.1X攻擊報文後統計報文速率，若報文速率為lOOOpps，表明該報文速率超過了 CPU對該報文硬體限速速率門限，且報文類型為802.1X協議報文類型(TYPE=888E)，收發包模塊發送控制信息至接口管理模塊，接口管理模塊發送控制信息至埠安全模塊，請求關閉該埠的MAC認證功能；若埠配置模式只有802.1X協議認證模式，由於埠安全模塊中MAC協議認證原本就處於關閉狀態，所以忽略此控制消息；同時埠收發包模塊通過控制信息觸發相應驅動，對埠下發一條ACL SHADOW表項(不重複下發)限制報文，限制上傳至網絡設備CPU的報文速率，報文通過匹配ACL SHADOW表項，部分報文標記為Green報文上送至網絡設備CPU處理，其餘報文標記為Red報文後阻止其上傳至網絡設備CPU。
[0022]步驟四:關閉所有注入流量，埠收發包模塊統計報文速率將低於CPU對該報文硬體限速速率門限，此時，埠收發包模塊發送控制信息至接口管理模塊，接口管理模塊發送控制信息至埠安全模塊，請求恢復該埠的MAC協議認證功能，同時刪除ACL SHADOW表項,報文重新匹配NORMAL ACL規則上傳至網絡設備CPU處理。
【權利要求】
1.埠安全接入方式下防802.1X協議攻擊的處理機制，其特徵在於:在埠安全接入方式下，埠同時配置了 802.1X協議認證和MAC協議認證，對802.1X協議攻擊報文採用以下防攻擊機制，其步驟如下: 步驟一、網絡設備埠同時配置了 802.1X協議和MAC協議，並已知當前需要限制上傳至網絡設備CPU的802.1X協議報文類型； 步驟二、使用測試儀生成並調用802.1X報文流攻擊該埠，報文速率大於網絡設備對該報文硬體限速速率門限，將802.1X報文類型上傳至埠訪問控制列表(ACL)，依據埠訪問控制列表(ACL)限制802.1X報文類型對應的報文上傳至網絡設備CPU ； 步驟三、在執行步驟二的同時，發送控制信息至接口管理模塊，接口管理模塊向埠安全模塊請求關閉MAC認證功能，防止802.1X攻擊報文通過匹配系統訪問控制列表(ACL)，以未知源MAC方式上傳至網絡設備CPU，導致網絡設備硬體限速失敗、網絡設備CPU負擔加重以及正常報文丟棄。
2.根據權利要求1所述,埠安全接入方式的安全模式特徵如下: 2.1、埠自動學習(Auto Learn) MAC地址:在此模式下,埠通過配置或學習到的安全MAC地址被保存在安全MAC地址表項中；當埠下的安全MAC地址數超過埠允許學習的最大安全MAC地址數時,埠模式自動轉變為安全模式,此後該埠停止添加新的安全MAC地址數，只有源MAC地址為安全MAC地址、已配置的靜態MAC地址的報文才能通過該端Π ； 2.2、禁止埠學習MAC地址:對於禁止埠學習MAC地址，只有源MAC地址為埠上的安全MAC地址時，已配置的靜態MAC地址的報文才能通過該埠 ； 2.3,802.1X協議認證:對於接 入用戶採用基於埠的802.1X協議認證模式，埠允許多個802.1X協議認證用戶接入，但只有一個用戶在線，若該埠下有一個用戶認證成功上線，該埠下其他用戶可以不需要認證，即可接入網絡； 2.4、安全802.1X協議認證:在該認證模式下,埠必須通過802.1X認證才能開啟，且只允許認證成功的用戶報文通過，埠最多只允許一個802.1X認證用戶接入，當有多個用戶認證時，只有一個用戶能認證成功，接入網絡，其他用戶不能接入網絡； 2.5、支持OUI的802.1X協議認證:該模式與安全802.1X協議認證類似，但埠上除了允許一個802.1X認證用戶接入外，還允許一個特殊用戶接入，該用戶報文的源MAC的OUI與設備上配置的OUI —致，當用戶接入為有線方式時，對802.1X報文進行802.1X認證，對非802.1X報文直接進行OUI匹配，802.1X認證成功和OUI匹配成功的報文都允許通過端Π ； 2.6、MAC協議認證:在該模式下，埠允許報文進行MAC協議認證，只有源MAC地址通過認證的用戶才能接入網絡； 2.7、安全802.1X協議認證和/或MAC協議認證:埠同時處於安全802.1X協議認證模式和MAC協議認證模式，但安全802.1X協議認證優先級高於MAC協議認證，當用戶接入為有線方式時，對於非802.1X報文直接進行MAC協議認證，對於802.1X報文直接進行安全802.1X協議認證；當用戶接入為無線方式時，報文首先進行802.1X協議認證，如果802.1X協議認證失敗再進行MAC協議認證； 2.8、MAC協議認證和/或安全802.1X協議認證:埠同時處於MAC協議認證模式和安全802.1X協議認證模式，但MAC協議認證優先級高於安全802.1X協議認證，對於非802.1X報文直接進行MAC協議認證，對於802.1X報文，首先進行MAC協議認證，如果MAC協議認證失敗再進行安全802.1X協議認證； ` 2.9、擴展的安全802.1X協議認證:對接入用戶採用基於MAC協議的`802.1X協議認證，且允許埠下有多個802.1X用戶； ` 2.10、擴展的安全802.1X協議認證和/或MAC協議認證:與安全`802.1X協議認證和/或MAC協議認證類似，但允許埠下有多個802.1X協議和MAC協議認證用戶； ` 2.11、擴展的MAC協議認證和/或安全802.1X協議認證:與MAC協議認證和/或安全`802.1X協議認證類似，但允許埠下有多個802.1X協議和MAC協議認證用戶。
3.根據權利要求1所述特徵和權利要求2所述特徵，埠安全接入方式下防802.1X協議攻擊的處理機制的處理步驟如下: 步驟一、確定報文攻擊埠配置模式:在網絡設備埠配置完成後，網絡設備已知當前需要限制上傳至網絡設備CPU的報文類型，若埠配置模式不包括802.1X協議認證模式，網絡設備無法判決802.1X協議報文是否為需要限制上傳至網絡設備CPU的報文類型，則攻擊無效，埠丟棄802.1X攻擊報文；若埠配置模式包括802.1X協議認證或包括802.1X協議認證和MAC協議認證兩種認證的任意模式，網絡設備已知802.1X協議報文是需要限制上傳至網絡設備CPU的報文類型，埠收發包模塊接收攻擊報文，並統計報文速率及報文類型； 步驟二、確定報文攻擊速率:埠收發包模塊接收802.1X攻擊報文後統計報文速率，若報文速率不超過CPU對該報文硬體限速速率門限，且報文類型為802.1X協議報文類型，則不對攻擊報文做限速處理，802.1X協議報文匹配該埠下802.1X協議報文對應的NORMAL ACL規則上傳至網絡設備CPU處理； 步驟三--埠收發包模塊接收802.1X攻擊報文後統計報文速率，若速率超過CPU對該報文硬體限速速率門限，且報文類型為802.1X協議報文類型，收發包模塊發送控制信息至接口管理模塊，接口管理模塊發送控制信息至埠安全模塊，請求關閉該埠的MAC認證功能；若埠配置模式只有802.1X協議認證模式，由於埠安全模塊中MAC協議認證原本就處於關閉狀態，所以忽略此控制消息；同時埠收發包模塊通過控制信息觸發相應驅動，對埠下發一條ACL SHADOW表項(不重複下發)限制報文，限制上傳至網絡設備CPU的報文速率，報文通過匹配ACL SHADOW表項，部分報文標記為Green報文上送至網絡設備CPU處理，其餘報文標記為Red報文後阻止其上傳至網絡設備CPU ； 步驟四:一旦埠收發包模塊統計報文速率低於CPU對該報文硬體限速速率門限，埠收發包模塊就發送控制信息至接口管理模塊，接口管理模塊發送控制信息至埠安全模塊，請求恢復該埠的MAC協議認證功能，同時刪除ACL SHADOW表項，報文重新匹配NORMALACL規則上傳至網絡設備CPU處理。
【文檔編號】H04L29/06GK103457953SQ201310410539
【公開日】2013年12月18日 申請日期:2013年9月11日 優先權日:2013年9月11日
【發明者】鍾汶娟, 馮文江, 黃天聰, 陳斌斌, 袁楊, 應騰達, 鄧藝娜, 馮大春 申請人:重慶大學