端口安全接入方式下防802.1x協(xié)議攻擊的處理機制的制作方法
【專利摘要】本發(fā)明公開了一種端口安全接入方式下防802.1X協(xié)議攻擊的處理機制���,屬于數(shù)據(jù)通信領(lǐng)域。在端口安全接入方式下�,原有的處理方式會導致攻擊報文全部上傳至網(wǎng)絡(luò)設(shè)備控制平面,造成報文擁塞����。本發(fā)明利用端口收發(fā)包模塊檢測接收到的攻擊報文速率和報文類型���,一旦滿足設(shè)定條件就發(fā)送控制信息請求關(guān)閉MAC協(xié)議認證功能,能保證攻擊報文匹配端口下的控制訪問列表而不匹配系統(tǒng)中的控制訪問列表���,降低上傳通道的阻塞概率�����,減輕網(wǎng)絡(luò)設(shè)備CPU的處理負擔�。
【專利說明】端口安全接入方式下防802.1X協(xié)議攻擊的處理機制
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)設(shè)備安全技術(shù)�,尤其是針對端口安全接入方式下同時配置了802.1X協(xié)議認證和MAC協(xié)議認證網(wǎng)絡(luò)中802.1X協(xié)議報文攻擊的處理機制,防止大量報文上傳至網(wǎng)絡(luò)設(shè)備CPU��,導致CPU負擔加重�、報文擁塞、正常報文丟棄��。
【背景技術(shù)】
[0002]隨著接入網(wǎng)絡(luò)設(shè)備的多樣化���、功能的復雜化以及網(wǎng)絡(luò)安全威脅的日益增加���,且網(wǎng)絡(luò)惡意攻擊越來越有針對性,對網(wǎng)絡(luò)中間接入設(shè)備(交換機或路由器)的安全性要求越來越高,不僅要求對設(shè)備端口配置安全的接入認證方式�����,而且還應(yīng)能靈活運用組合多種接入認證方式�,端口安全接入技術(shù)越來越重要。端口安全接入技術(shù)是一種基于MAC地址對網(wǎng)絡(luò)接入進行控制的安全機制�����,同時又結(jié)合802.1X認證對接入用戶進行控制��,是對已有的802.1X協(xié)議認證和MAC協(xié)議認證的擴充����。這種安全機制通過檢測端口接收數(shù)據(jù)幀中的源MAC地址來阻止非授權(quán)設(shè)備訪問網(wǎng)絡(luò)�����,通過檢測端口發(fā)送數(shù)據(jù)幀中的目的MAC地址來阻止對非授權(quán)設(shè)備的訪問���。端口安全的主要功能是通過定義各種端口安全模式���,使設(shè)備學習到合法的源MAC地址,以達到網(wǎng)絡(luò)安全管理的目的。當啟動了端口安全功能后��,一旦發(fā)現(xiàn)非法報文�����,系統(tǒng)將觸發(fā)相應(yīng)規(guī)則��,并按照預(yù)定方式進行處理�,既方便用戶管理,又能提高系統(tǒng)的安全等級�。這里的非法報文是指MAC地址未被端口學習到的用戶報文和未通過認證的用戶報文。
[0003]路由器�、交換機等網(wǎng)絡(luò)設(shè)備由于需要計算傳輸路徑、維護轉(zhuǎn)發(fā)表項�、處理本地服務(wù),其控制模塊會從網(wǎng)絡(luò)設(shè)備的端口收發(fā)包模塊中提取相關(guān)協(xié)議或服務(wù)報文并對其進行處理���,即一旦端口收發(fā)包模塊接收到相應(yīng)報文���,會根據(jù)報文類型上傳至控制平面供控制模塊執(zhí)行相應(yīng)的處理。由于上傳通道帶寬有限�,當上傳至網(wǎng)絡(luò)設(shè)備CPU的報文過多時,就會造成通道堵塞�,丟棄部分報文���。基于這種工作模式����,攻擊者可以通過發(fā)送大量攻擊報文,如協(xié)議報文���、洪泛報文等�,阻塞上傳通道�����,造成正常的協(xié)議報文和業(yè)務(wù)報文被丟棄���,占用網(wǎng)絡(luò)設(shè)備CPU資源��,導致網(wǎng)絡(luò)設(shè)備工作效率嚴重下降����,甚至飽和癱瘓���。
[0004]防范網(wǎng)絡(luò)設(shè)備遭受攻擊的典型手段之一是引入訪問控制列表(ACL)�����。在ACL中通過設(shè)置關(guān)鍵字���,并根據(jù)關(guān)鍵字對需要上傳的報文進行匹配,丟棄失配報文�,以此識別和防范非法報文。ACL的關(guān)鍵字包括報文類型TYPE��,限速帶寬CIR�、Green報文、Red報文等���,當報文需要上傳至網(wǎng)絡(luò)設(shè)備CPU時�����,首先匹配ACL中的報文類型和限速帶寬����,只有匹配成功的報文才能上傳至網(wǎng)絡(luò)設(shè)備CPU�,若報文速率大于限速帶寬,則端口收發(fā)包模塊觸發(fā)驅(qū)動端口��,下發(fā)此報文類型的ACL SHADOW,所有報文匹配ACL SHADOW�����,并將部分報文標記為Green報文上傳至網(wǎng)絡(luò)設(shè)備CPU處理����,其余報文標記為Red報文后阻止上傳。
[0005]訪問控制列表(ACL)本質(zhì)是對上傳報文進行控制����,防止網(wǎng)絡(luò)設(shè)備遭受攻擊。
[0006]防范網(wǎng)絡(luò)設(shè)備遭受攻擊的典型手段之二是引入端口安全接入方式���,其基本思想是��,當端口接收到攻擊報文時��,執(zhí)行端口下的控制訪問列表或系統(tǒng)中的控制訪問列表匹配操作����。對于只有MAC協(xié)議認證方式或802.1X協(xié)議認證方式的網(wǎng)絡(luò)��,該處理方式能實現(xiàn)硬件限速����,但如果端口配置的802.1X協(xié)議認證和MAC協(xié)議認證同時生效時,該處理機制會導致攻擊報文匹配優(yōu)先級高的控制訪問列表而忽略端口下的控制訪問列表�,攻擊報文將全部上傳至網(wǎng)絡(luò)設(shè)備控制平面,導致報文擁塞����。
【發(fā)明內(nèi)容】
[0007]針對原有的端口安全接入方式下對802.1X協(xié)議報文處理仍存在大量攻擊報文,防攻擊失效�����;大量攻擊報文上傳至網(wǎng)絡(luò)設(shè)備CPU造成報文擁塞��、正常業(yè)務(wù)報文丟失�����、CPU負擔加重等缺陷��,本發(fā)明設(shè)計了一種端口安全接入方式下防802.1X協(xié)議攻擊的處理機制����,該處理機制利用端口收發(fā)包模塊檢測接收到的攻擊報文速率和類型,一旦滿足設(shè)定條件就發(fā)送控制信息請求�����,關(guān)閉MAC協(xié)議認證功能,保證攻擊報文匹配端口下的控制訪問列表而不匹配系統(tǒng)中的控制訪問列表�����,以避免硬件限速失效����,大量報文上傳至網(wǎng)絡(luò)設(shè)備CPU造成報文擁塞、正常協(xié)議報文和業(yè)務(wù)報文丟失等�����。
[0008]為了實現(xiàn)上述目的��,本發(fā)明設(shè)計的基于端口安全接入方式下防802.1X協(xié)議攻擊的處理機制����,其處理步驟如下:
步驟一、確定報文攻擊端口 配置模式:在網(wǎng)絡(luò)設(shè)備端口配置完成后�,網(wǎng)絡(luò)設(shè)備已知當前需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型。若端口配置模式不包括802.1X協(xié)議認證模式�����,網(wǎng)絡(luò)設(shè)備無法判決802.1X協(xié)議報文是否為需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型,則攻擊無效�����,端口丟棄802.1X攻擊報文�����;若端口配置模式包括802.1X協(xié)議認證或包括802.1X協(xié)議認證和MAC協(xié)議認證兩種認證的任意模式���,網(wǎng)絡(luò)設(shè)備已知802.1X協(xié)議報文是需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型,端口收發(fā)包模塊接收攻擊報文����,并統(tǒng)計報文速率及報文類型。
[0009]步驟二�、確定報文攻擊速率--端口收發(fā)包模塊接收802.1X攻擊報文后統(tǒng)計報文速率,若報文速率不超過CPU對該報文硬件限速速率門限����,且報文類型為802.1X協(xié)議報文類型,則不對攻擊報文做限速處理�,802.1X協(xié)議報文匹配該端口下802.1X協(xié)議報文對應(yīng)的NORMAL ACL規(guī)則上傳至網(wǎng)絡(luò)設(shè)備CPU處理。
[0010]步驟三:端口收發(fā)包模塊接收802.1X攻擊報文后統(tǒng)計報文速率,若速率超過CPU對該報文硬件限速速率門限�,且報文類型為802.1X協(xié)議報文類型,收發(fā)包模塊發(fā)送控制信息至接口管理模塊���,接口管理模塊發(fā)送控制信息至端口安全模塊����,請求關(guān)閉該端口的MAC認證功能����;若端口配置模式只有802.1X協(xié)議認證模式,由于端口安全模塊中MAC協(xié)議認證原本就處于關(guān)閉狀態(tài)�,所以忽略此控制消息;同時端口收發(fā)包模塊通過控制信息觸發(fā)相應(yīng)驅(qū)動�,對端口下發(fā)一條ACL SHADOW表項(不重復下發(fā))限制報文,限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文速率��,報文通過匹配ACL SHADOW表項���,部分報文標記為Green報文上送至網(wǎng)絡(luò)設(shè)備CPU處理����,其余報文標記為Red報文后阻止其上傳至網(wǎng)絡(luò)設(shè)備CPU�����。
[0011]步驟四:一旦端口收發(fā)包模塊統(tǒng)計報文速率低于CPU對該報文硬件限速速率門限,端口收發(fā)包模塊就發(fā)送控制信息至接口管理模塊�,接口管理模塊發(fā)送控制信息至端口安全模塊,請求恢復該端口的MAC協(xié)議認證功能���,同時刪除ACL SHADOW表項����,報文重新匹配NORMAL ACL規(guī)則上傳至網(wǎng)絡(luò)設(shè)備CPU處理���。
【專利附圖】
【附圖說明】
[0012]圖1是本發(fā)明測試驗證采用的網(wǎng)絡(luò)拓撲圖,圖中利用測試儀生成并調(diào)用攻擊報文向網(wǎng)絡(luò)設(shè)備的某個端口發(fā)送���。
[0013]圖2是端口安全配置數(shù)據(jù)流圖��,圖中端口安全模塊與多個外圍模塊連接��,通過與各模塊之間數(shù)據(jù)交換完成進程控制����。
[0014]圖3是本發(fā)明設(shè)計的端口安全接入方式下防802.1X協(xié)議攻擊處理機制的工作流程圖�。
【具體實施方式】
[0015]本說明書中公開的所有特征,或公開的所有方法或過程中的步驟,除了互相排斥的特征和/或步驟以外��,均可以以任何方式組合���。
[0016]本說明書(包括任何附加權(quán)利要求����、摘要和附圖)中公開的任一特征���,除非特別敘述��,均可被其他等效或具有類似目的的替代特征加以替換���。即,除非特別敘述��,每個特征只是一系列等效或類似特征中的一個例子而已���。
[0017]端口安全接入方式下防802.1X協(xié)議攻擊的處理機制��,下面結(jié)合附圖和具體實施例對本發(fā)明做進一步詳細說明:
網(wǎng)絡(luò)設(shè)備端口安全基本配置:在網(wǎng)絡(luò)設(shè)備上使用相應(yīng)的命令行配置端口工作在端口安全模式下��,并配置為其中一種安全模式���。
[0018]測試儀流量構(gòu)造:使用測試儀構(gòu)造802.1X攻擊報文���,其報文主要特征:TYPE頭為888E,攻擊流量速率分別為lOOOpps和lOOpps,并從配置端口打入流量�����。
[0019]步驟一��、確定報文攻擊端口配置模式:在網(wǎng)絡(luò)設(shè)備端口配置完成后�,網(wǎng)絡(luò)設(shè)備已知當前需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型。若端口配置模式不包括802.1X協(xié)議認證模式�,網(wǎng)絡(luò)設(shè)備無法判決802.1X協(xié)`議報文是否為需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型�����,則攻擊無效�,端口丟棄802.1X攻擊報文;若端口配置模式包括802.1X協(xié)議認證或包括802.1X協(xié)議認證和MAC協(xié)議認證兩種認證的任意模式�,網(wǎng)絡(luò)設(shè)備已知802.1X協(xié)議報文是需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型,端口收發(fā)包模塊接收攻擊報文�,并統(tǒng)計報文速率及報文類型。
[0020]步驟二��、確定報文攻擊速率--端口收發(fā)包模塊接收802.1X攻擊報文后統(tǒng)計報文速率,若報文速率為lOOpps�,表明該報文速率不超過CPU對該報文硬件限速速率門限,且報文類型為802.1X協(xié)議報文類型(TYPE=888E)��,則不對攻擊報文做限速處理����,802.1X協(xié)議報文匹配該端口下802.1X協(xié)議報文對應(yīng)的NORMAL ACL規(guī)則上傳至網(wǎng)絡(luò)設(shè)備CPU處理。
[0021]步驟三:端口收發(fā)包模塊接收802.1X攻擊報文后統(tǒng)計報文速率�����,若報文速率為lOOOpps����,表明該報文速率超過了 CPU對該報文硬件限速速率門限,且報文類型為802.1X協(xié)議報文類型(TYPE=888E)��,收發(fā)包模塊發(fā)送控制信息至接口管理模塊����,接口管理模塊發(fā)送控制信息至端口安全模塊,請求關(guān)閉該端口的MAC認證功能����;若端口配置模式只有802.1X協(xié)議認證模式��,由于端口安全模塊中MAC協(xié)議認證原本就處于關(guān)閉狀態(tài)�,所以忽略此控制消息�;同時端口收發(fā)包模塊通過控制信息觸發(fā)相應(yīng)驅(qū)動,對端口下發(fā)一條ACL SHADOW表項(不重復下發(fā))限制報文���,限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文速率����,報文通過匹配ACL SHADOW表項���,部分報文標記為Green報文上送至網(wǎng)絡(luò)設(shè)備CPU處理��,其余報文標記為Red報文后阻止其上傳至網(wǎng)絡(luò)設(shè)備CPU����。
[0022]步驟四:關(guān)閉所有注入流量��,端口收發(fā)包模塊統(tǒng)計報文速率將低于CPU對該報文硬件限速速率門限���,此時,端口收發(fā)包模塊發(fā)送控制信息至接口管理模塊���,接口管理模塊發(fā)送控制信息至端口安全模塊�,請求恢復該端口的MAC協(xié)議認證功能,同時刪除ACL SHADOW表項,報文重新匹配NORMAL ACL規(guī)則上傳至網(wǎng)絡(luò)設(shè)備CPU處理�����。
【權(quán)利要求】
1.端口安全接入方式下防802.1X協(xié)議攻擊的處理機制����,其特征在于:在端口安全接入方式下,端口同時配置了 802.1X協(xié)議認證和MAC協(xié)議認證�����,對802.1X協(xié)議攻擊報文采用以下防攻擊機制��,其步驟如下: 步驟一���、網(wǎng)絡(luò)設(shè)備端口同時配置了 802.1X協(xié)議和MAC協(xié)議���,并已知當前需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的802.1X協(xié)議報文類型; 步驟二���、使用測試儀生成并調(diào)用802.1X報文流攻擊該端口��,報文速率大于網(wǎng)絡(luò)設(shè)備對該報文硬件限速速率門限���,將802.1X報文類型上傳至端口訪問控制列表(ACL)����,依據(jù)端口訪問控制列表(ACL)限制802.1X報文類型對應(yīng)的報文上傳至網(wǎng)絡(luò)設(shè)備CPU ���; 步驟三��、在執(zhí)行步驟二的同時��,發(fā)送控制信息至接口管理模塊�����,接口管理模塊向端口安全模塊請求關(guān)閉MAC認證功能���,防止802.1X攻擊報文通過匹配系統(tǒng)訪問控制列表(ACL),以未知源MAC方式上傳至網(wǎng)絡(luò)設(shè)備CPU���,導致網(wǎng)絡(luò)設(shè)備硬件限速失敗、網(wǎng)絡(luò)設(shè)備CPU負擔加重以及正常報文丟棄��。
2.根據(jù)權(quán)利要求1所述,端口安全接入方式的安全模式特征如下: 2.1、端口自動學習(Auto Learn) MAC地址:在此模式下,端口通過配置或?qū)W習到的安全MAC地址被保存在安全MAC地址表項中�;當端口下的安全MAC地址數(shù)超過端口允許學習的最大安全MAC地址數(shù)時,端口模式自動轉(zhuǎn)變?yōu)榘踩J?此后該端口停止添加新的安全MAC地址數(shù),只有源MAC地址為安全MAC地址���、已配置的靜態(tài)MAC地址的報文才能通過該端Π ��; 2.2���、禁止端口學習MAC地址:對于禁止端口學習MAC地址,只有源MAC地址為端口上的安全MAC地址時�,已配置的靜態(tài)MAC地址的報文才能通過該端口 ; 2.3,802.1X協(xié)議認證:對于接 入用戶采用基于端口的802.1X協(xié)議認證模式��,端口允許多個802.1X協(xié)議認證用戶接入�,但只有一個用戶在線,若該端口下有一個用戶認證成功上線�,該端口下其他用戶可以不需要認證,即可接入網(wǎng)絡(luò)�����; 2.4���、安全802.1X協(xié)議認證:在該認證模式下,端口必須通過802.1X認證才能開啟��,且只允許認證成功的用戶報文通過����,端口最多只允許一個802.1X認證用戶接入,當有多個用戶認證時���,只有一個用戶能認證成功��,接入網(wǎng)絡(luò)�,其他用戶不能接入網(wǎng)絡(luò)�����; 2.5����、支持OUI的802.1X協(xié)議認證:該模式與安全802.1X協(xié)議認證類似,但端口上除了允許一個802.1X認證用戶接入外�����,還允許一個特殊用戶接入�����,該用戶報文的源MAC的OUI與設(shè)備上配置的OUI —致����,當用戶接入為有線方式時,對802.1X報文進行802.1X認證���,對非802.1X報文直接進行OUI匹配��,802.1X認證成功和OUI匹配成功的報文都允許通過端Π ��; 2.6����、MAC協(xié)議認證:在該模式下�,端口允許報文進行MAC協(xié)議認證,只有源MAC地址通過認證的用戶才能接入網(wǎng)絡(luò)���; 2.7�����、安全802.1X協(xié)議認證和/或MAC協(xié)議認證:端口同時處于安全802.1X協(xié)議認證模式和MAC協(xié)議認證模式�����,但安全802.1X協(xié)議認證優(yōu)先級高于MAC協(xié)議認證���,當用戶接入為有線方式時���,對于非802.1X報文直接進行MAC協(xié)議認證,對于802.1X報文直接進行安全802.1X協(xié)議認證����;當用戶接入為無線方式時,報文首先進行802.1X協(xié)議認證���,如果802.1X協(xié)議認證失敗再進行MAC協(xié)議認證����; 2.8��、MAC協(xié)議認證和/或安全802.1X協(xié)議認證:端口同時處于MAC協(xié)議認證模式和安全802.1X協(xié)議認證模式�����,但MAC協(xié)議認證優(yōu)先級高于安全802.1X協(xié)議認證���,對于非802.1X報文直接進行MAC協(xié)議認證��,對于802.1X報文��,首先進行MAC協(xié)議認證�����,如果MAC協(xié)議認證失敗再進行安全802.1X協(xié)議認證�����; ` 2.9���、擴展的安全802.1X協(xié)議認證:對接入用戶采用基于MAC協(xié)議的`802.1X協(xié)議認證,且允許端口下有多個802.1X用戶�; ` 2.10、擴展的安全802.1X協(xié)議認證和/或MAC協(xié)議認證:與安全`802.1X協(xié)議認證和/或MAC協(xié)議認證類似���,但允許端口下有多個802.1X協(xié)議和MAC協(xié)議認證用戶�����; ` 2.11��、擴展的MAC協(xié)議認證和/或安全802.1X協(xié)議認證:與MAC協(xié)議認證和/或安全`802.1X協(xié)議認證類似�����,但允許端口下有多個802.1X協(xié)議和MAC協(xié)議認證用戶����。
3.根據(jù)權(quán)利要求1所述特征和權(quán)利要求2所述特征,端口安全接入方式下防802.1X協(xié)議攻擊的處理機制的處理步驟如下: 步驟一���、確定報文攻擊端口配置模式:在網(wǎng)絡(luò)設(shè)備端口配置完成后����,網(wǎng)絡(luò)設(shè)備已知當前需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型�����,若端口配置模式不包括802.1X協(xié)議認證模式��,網(wǎng)絡(luò)設(shè)備無法判決802.1X協(xié)議報文是否為需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型�����,則攻擊無效��,端口丟棄802.1X攻擊報文;若端口配置模式包括802.1X協(xié)議認證或包括802.1X協(xié)議認證和MAC協(xié)議認證兩種認證的任意模式��,網(wǎng)絡(luò)設(shè)備已知802.1X協(xié)議報文是需要限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文類型�,端口收發(fā)包模塊接收攻擊報文,并統(tǒng)計報文速率及報文類型��; 步驟二����、確定報文攻擊速率:端口收發(fā)包模塊接收802.1X攻擊報文后統(tǒng)計報文速率����,若報文速率不超過CPU對該報文硬件限速速率門限,且報文類型為802.1X協(xié)議報文類型��,則不對攻擊報文做限速處理���,802.1X協(xié)議報文匹配該端口下802.1X協(xié)議報文對應(yīng)的NORMAL ACL規(guī)則上傳至網(wǎng)絡(luò)設(shè)備CPU處理���; 步驟三--端口收發(fā)包模塊接收802.1X攻擊報文后統(tǒng)計報文速率,若速率超過CPU對該報文硬件限速速率門限�����,且報文類型為802.1X協(xié)議報文類型,收發(fā)包模塊發(fā)送控制信息至接口管理模塊��,接口管理模塊發(fā)送控制信息至端口安全模塊��,請求關(guān)閉該端口的MAC認證功能�;若端口配置模式只有802.1X協(xié)議認證模式,由于端口安全模塊中MAC協(xié)議認證原本就處于關(guān)閉狀態(tài)����,所以忽略此控制消息;同時端口收發(fā)包模塊通過控制信息觸發(fā)相應(yīng)驅(qū)動��,對端口下發(fā)一條ACL SHADOW表項(不重復下發(fā))限制報文��,限制上傳至網(wǎng)絡(luò)設(shè)備CPU的報文速率�����,報文通過匹配ACL SHADOW表項��,部分報文標記為Green報文上送至網(wǎng)絡(luò)設(shè)備CPU處理��,其余報文標記為Red報文后阻止其上傳至網(wǎng)絡(luò)設(shè)備CPU ���; 步驟四:一旦端口收發(fā)包模塊統(tǒng)計報文速率低于CPU對該報文硬件限速速率門限�,端口收發(fā)包模塊就發(fā)送控制信息至接口管理模塊,接口管理模塊發(fā)送控制信息至端口安全模塊�����,請求恢復該端口的MAC協(xié)議認證功能����,同時刪除ACL SHADOW表項,報文重新匹配NORMALACL規(guī)則上傳至網(wǎng)絡(luò)設(shè)備CPU處理�。
【文檔編號】H04L29/06GK103457953SQ201310410539
【公開日】2013年12月18日 申請日期:2013年9月11日 優(yōu)先權(quán)日:2013年9月11日
【發(fā)明者】鐘汶娟, 馮文江, 黃天聰, 陳斌斌, 袁楊, 應(yīng)騰達, 鄧藝娜, 馮大春 申請人:重慶大學