专利名称:一种网络认证方法
技术领域:
本发明涉及网络技术,特别是涉及一种将代理检测技术和认证技术相结合的网络认证方法。
背景技术:
随着Internet(互联网)与Intranet(局域网)的飞速发展,作为连接Internet与Intranet的桥梁,共享上网技术在实际应用中发挥着极其重要的作用。但网络用户使用了共享上网技术以后,网络中的资源访问权限变得不可控,给网络资源带来了安全隐患,同时逃避计费也给通过网络运营的各类ISP(网络服务提供商)和校园网络管理部门带来了很大的损失。
802.1x是IEEE为了解决基于端口的接入控制(Port-Based Network AccessControl)而定义的一个标准,802.1x的体系结构如图1所示,包括请求者(客户端)1——请求认证的用户/设备;认证者(认证系统)2——对接入的用户/设备进行认证的端口;以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE(端口访问实体)根据认证服务器认证过程的结果,控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口,拒绝用户/设备的访问。
认证服务器3——根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证的设备。
但在采用802.1x技术的宽带网环境中,用户可以通过代理上网来实现“一个账号多人使用”的方法,如何防范和检测用户使用共享上网技术成为目前需要重点关注研究并急待解决的问题。如图2所示,客户机4通过代理服务器5连接外部服务器6,代理服务器的代理方式一般有NAT(Network AddressTranslator,网络地址转换)服务程序代理,双网卡代理和单网卡代理等,本发明采用了数据包特征分析和802.1x认证相结合以进行代理检测。
发明内容
本发明的目的在于提供一种网络认证方法,本发明的认证方法结合代理检测技术,能够防范和检测用户使用共享上网技术。
为实现本发明的上述目的,本发明提供了一种网络认证方法,基于802.1X的体系结构,用于对客户端的用户设备进行认证,其中,包括步骤101,认证设备根据802.1X的认证流程对用户设备进行认证,当所述用户设备通过所述802.1X标准的认证时转入步骤102;步骤102,认证设备向用户设备发送包含代理检测策略信息的扩展认证协议关键字类型数据报文,以启动对用户设备的代理检测;步骤103,认证设备接收所述用户设备向其发送的包含代理检测结果信息的扩展认证协议关键字类型数据报文。
所述的方法,其中,所述步骤102中的代理检测策略信息填充在所述扩展认证协议关键字类型数据报文的关键字域;和/或,所述步骤103中的代理检测结果信息填充在所述扩展认证协议关键字类型数据报文的关键字域。
所述的方法,其中,所述步骤102中,在发送所述扩展认证协议关键字类型数据报文前进一步包括步骤301,所述认证设备将所述代理检测策略加密;步骤302,所述认证设备将所述经加密的代理检测策略填充到所述扩展认证协议关键字类型数据报文的关键字域;步骤303,所述认证设备对所述已填充的扩展认证协议关键字类型数据报文的关键字域进行加密签名并填充扩展认证协议关键字类型数据报文的其它域。
所述的方法,其中,所述步骤103中,在用户设备发送所述扩展认证协议关键字类型数据报文前进一步包括步骤401,所述用户设备将代理检测结果加密;步骤402,所述用户设备将所述经加密的代理检测结果填充到所述扩展认证协议关键字类型数据报文的关键字域;步骤403,所述用户设备对所述已填充的扩展认证协议关键字类型数据报文的关键字域进行加密签名并填充扩展认证协议关键字类型数据报文的其它域。
所述的方法,其中,所述步骤102中启动对用户设备的代理检测为基于数据包分析的代理检测策略、基于代理软件特征检测策略、基于端口扫描和监视的检测策略、基于TCP连接数的突变的检测策略、和/或基于端口连接数的突变的检测策略。
所述的方法,其中,当所述用户设备的代理检测为基于数据包分析的代理检测策略时,具体包括步骤601,利用抓包引擎从网卡驱动程序处获取特定的进出数据包;步骤602,利用一数据包分析模块根据预先设定的特征规则的数据结构,提取数据包的特征数据,并将所述提取的特征数据存入数据结构队列;步骤603,从所述数据结构队列中提取数据结构元素,根据预先设定的特征匹配规则进行数据特征匹配;步骤604,如数据特征相匹配,则返回存在代理,并按照预定响应策略进行响应;如不匹配,则进一步判断所述数据包队列是否为非空,若为非空则返回步骤602;若数据包队列为空,则返回步骤601。
所述的方法,其中,所述步骤602中所述的数据包的特征数据进一步包括数据包头部的特征数据和/或数据包数据部分的特征数据;其中,所述数据包头部的特征数据进一步包括MAC地址和/或IP地址。
所述的方法,其中,所述特征匹配规则包括数据包的目的和源MAC地址互不相同而数据部分的特征内容相同;和/或,数据包的目的MAC地址与另一数据包的源MAC地址相同,而同时数据包的源MAC地址与另一数据包的目的MAC地址不相同;和/或,数据包的源MAC地址和另一数据包的目的MAC地址相同,而同时数据包的目的MAC地址和另一数据包的源MAC地址不同。
所述的方法,其中,所述步骤102进一步包括定时对所述用户设备进行代理检测的步骤。
所述的方法,其中,所述步骤101中基于802.1X的认证流程进一步包括步骤1001,客户端向接入设备发送一基于局域网的扩展认证协议开始报文,开始802.1x认证接入;步骤1002,接入设备向客户端发送扩展认证协议身份请求报文,要求客户端将用户名送上来;
步骤1003,客户端回应一扩展认证协议身份应答报文给接入设备的请求,其中包括用户名;步骤1004,接入设备将扩展认证协议身份应答报文封装到RADIUS接入请求报文中,发送给认证服务器;步骤1005,认证服务器产生一质询报文,并将其发送到接入设备;步骤1006,接入设备通过扩展认证协议请求报文将RADIUS接入质询报文发送给客户端,要求客户端进行认证;步骤1007,客户端收到扩展认证协议质询请求报文后,将用户的密码和质询报文做加密算法处理后的质询密码,以扩展认证协议应答报文回应给接入设备;步骤1008,接入设备将质询报文、质询密码和用户名一起发送到RADIUS服务器,由RADIUS服务器进行认证步骤1009,RADIUS服务器根据用户信息,做算法处理,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
本发明的效果在于,本发明通过EAP-Key报文进行代理检测请求和检测结果的加密传送,能实现代理检测,从而能够防范和检测用户使用共享上网技术,并保证了数据的安全性。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1是现有的802.1X的体系结构图;图2是现有的客户机通过代理服务器连接外网服务器的示意图;图3是EAPoL包和EAPoL-Key的格式示意图;图4是EAPoL包中的包类型域取值示意图;图5是本发明一实施例的结合代理检测和802.1x认证的流程示意图;图6是本发明一实施例的代理检测方法流程图;图7是本发明一实施例的代理检查策略请求/回应数据结构示意图。
具体实施例方式
图3是EAPoL(基于局域网的扩展认证协议)包和EAPoL-Key(基于局域网的扩展认证协议的关键字)的格式示意图。EAPoL包由目的MAC地址、源MAC地址、以太网PAE报文类型(PAE报文值为2)、EAP协议版本号(0x01)、包类型(类型如图4所示,此字段用于指示包所传输的数据类型,如传输的数据类型为EAP-Key即扩展认证协议关键字类型时,取值3)、包长度(不包含包的头部数据)及包数据等字段组成。如图3所示,本发明中的包数据是按EAPoL-Key的数据格式填充Descriptor Type(描述符类型如Key数据采用RC4加密,则取值1)、Key Length(关键字数据长度)、Replay Counter(重传计数器)、Key IV(关键字随机数据)、Key index(关键字索引号)、KeySignature(关键字数据签名)和Key(关键字,填充经过加密的代理检测策略或结果)组成。其中,代理检测策略(如基于包分析的检测策略、基于代理软件特征检测策略、基于端口扫描和监视的检测策略、基于TCP连接数的突变、基于某端口连接数的突变等)请求和回应数据的数据结构如图7所示。通过将图7所示的策略数据进行加密后填充EAPoL-Key的Key域,以完成请求者和认证者间的数据交互。在图7中,策略编号对应相应的代理检测策略,例如,策略编号为1,为基于数据包分析;策略编号为2,为基于代理软件特征检测;策略编号为3,为基于端口扫描和监视;策略编号为4,为基于TCP连接数的突变等。
图4是EAPoL包中的包类型域取值示意图。如图4,当传输的包类型为EAP-Packet(认证信息帧,用于承载认证信息)时,包类型域取值为0;当传输的包类型为EAPOL-Start(认证发起帧)时,包类型域取值为1;当传输的包类型为EAPOL-Logoff(退出请求帧,可主动终止已认证状态)时,包类型域取值为2;当传输的包类型为EAPOL-Key(密钥信息帧,支持对EAP报文的加密)时,包类型域取值为3;当传输的包类型EAPOL-Encapsulated-ASF-Alert(用于支持Alert Standard Forum ASF的Alerting消息)时,包类型域取值为4。
图5是本发明一实施例的方法结合代理检测和802.1x认证流程进行认证的过程,包括如下步骤步骤501,客户端向接入设备发送一个EAPoL-Start(EAPoL开始)报文,开始802.1x认证接入;
步骤502,接入设备向客户端发送EAP-Request/Identity(EAP身份请求)报文,要求客户端将用户名送上来;步骤503,客户端回应一个EAP-Response/Identity(EAP身份应答)报文给接入设备的请求,其中包括用户名;步骤504,接入设备将EAP-Response/Identity(EAP身份应答)报文封装到RADIUS Access-Request(认证服务器接入请求)报文中,发送给认证服务器;步骤505,认证服务器产生一个RADIUS Access-Challenge(质询)报文,并将其发送到接入设备;步骤506,接入设备通过EAP-Request(EAP请求)报文将RADIUSAccess-Challenge(质询)报文发送给客户端,要求客户端进行认证;步骤507,客户端收到EAP-Request(EAP质询请求)报文后,将用户的密码和Challenge(质询报文)做加密算法处理后的Challenged-Password(质询密码),以EAP-Response(EAP应答)报文回应给接入设备;步骤508,接入设备将Challenge(质询报文),Challenged Password(质询密码)和用户名一起送到RADIUS(远程接入认证服务)服务器,由RADIUS服务器进行认证步骤509,RADIUS服务器根据用户信息,做算法处理(如MD5),判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务策略给用户授权。如果认证失败,则流程到此结束;步骤510,如果认证通过,则接入设备也可以发起计费开始请求给RADIUS用户认证服务器;RADIUS用户认证服务器回应计费开始请求报文开始计费;在通过802.1x的认证后可以开始执行代理检测流程,具体包括步骤511,接入设备将代理检测策略(对应于相应的代理检测方法)加密,然后用加密后的代理检测策略填充EAP-Key报文的Key域,并进行加密签名和填充EAP-Key数据报文的其它域(如图3所示),向客户端发送经过数据加密的代理检测策略的EAP-Key数据报文,以启动客户端的代理检测;客户端启动策略解析,并根据解析的策略启动相应的代理检测方法(在图7中,策略编号对应相应的代理检测策略,例如,策略编号为1,为基于数据包分析;策略编号为2,为基于代理软件特征检测;策略编号为3,为基于端口扫描和监视;策略编号为4,为基于TCP连接数的突变等),然后定时的检测代理是否存在;步骤512,客户端将根据设置策略的对应检测方法的检测结果(在图7中,策略值对应相应策略编号的代理检测结果,如对应策略的检测方法检测存在代理,则在对应策略编号的策略值处填1;否则对应策略编号的策略值处填0)加密,并用加密后的检测结果填充EAP-Key报文的Key域,并进行加密签名和填充EAP-Key数据报文的其它域,向接入设备发送经过数据加密的代理检测结果的EAP-Key数据报文;认证设备根据获取的检测结果采取相应处理措施(如让客户端下线或在用户的上网记录上进行记载等)。
代理服务器的代理方式一般有NAT服务程序代理,双网卡代理和单网卡代理等。单网卡有两种代理方式,即单网卡NAT代理和单网卡一般代理,但在代理服务器上它们有共同的数据包头部特征一个包进(出)源(目的)数据包的MAC地址与另一个包出(进)目的(源)数据包的MAC地址相同,但同时这个包出(进)目的(源)MAC地址与另一个包的进(出)源(目的)数据包的MAC地址不同。双网卡也有两种代理方式,即双网卡NAT代理和双网卡一般代理,但在代理服务器上它们有共同的数据包头部特征一个包进(出)源(目的)数据包的MAC地址与另一个包出(进)目的(源)数据包的MAC地址不同,但同时这个包出(进)目的(源)MAC地址与另一个包的进(出)源(目的)数据包的MAC地址也不同,即两个数据包的MAC地址两两互不相同。为了避免可能存在代理服务器在上外网服务器的同时,将客户机访问代理服务器的情况检测为代理,则增加对数据包数据部分特征内容进行检测。因此本发明一实施例的方法,当所述用户设备的代理检测为基于数据包分析的代理检测策略时,采用了数据包头部特征和数据部分特征相结合的方法来实现代理检测。
图6是本发明一实施例的基于数据包的代理检测方法流程图。包括以下处理流程和数据结构步骤601,利用抓包引擎从网卡驱动程序处获取特定的进出数据包;步骤602,603,利用一数据包分析模块根据预设的特征规则的数据结构(数据包头部MAC地址,IP地址等;数据部分提取部分特征数据),提取数据包的特征数据(数据包头部MAC地址,IP地址等;数据部分提取部分特征数据),并将特征数据存入数据结构队列;步骤604,605,606,607,从数据结构队列中提取数据结构元素,根据特征匹配规则(如数据包的目的和源MAC地址互不相同而数据部分的特征内容相同;或数据包目的(源)MAC地址和另一数据包源(目的)MAC地址相同,而同时数据包源(目的)MAC地址和另一数据包目的(源)MAC地址不同等)进行数据特征匹配,若数据代理特征(数据包头部特征和数据部分特征)匹配,则转入步骤608;如否,则进一步判断数据包队列是否为非空,若为非空则转入步骤602,继续根据预设的特征规则提取数据包的特征进行分析;若数据包队列为空,则转入步骤601。
步骤608,返回存在代理,并按照预定响应策略进行响应(如让客户端下线或在用户的上网记录上进行记载等)。
同样的,本发明的其它实施例可采用其它的代理检测策略来进行代理检测,如基于代理软件特征检测策略、基于端口扫描和监视的检测策略、基于TCP连接数的突变的检测策略、基于某端口连接数的突变的检测策略等,在此不再赘述。
本发明通过EAP-Key报文进行代理检测请求和检测结果的加密传送能实现代理检测,从而可在采用802.1x技术的宽带网环境中,防范和检测用户使用共享上网技术,并保证了数据的安全性。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种网络认证方法,基于802.1X的体系结构,用于对客户端的用户设备进行认证,其特征在于,包括步骤101,认证设备根据802.1X的认证流程对用户设备进行认证,当所述用户设备通过所述802.1X标准的认证时转入步骤102;步骤102,认证设备向用户设备发送包含代理检测策略信息的扩展认证协议关键字类型数据报文,以启动对用户设备的代理检测;步骤103,认证设备接收所述用户设备向其发送的包含代理检测结果信息的扩展认证协议关键字类型数据报文。
2.根据权利要求1所述的方法,其特征在于,所述步骤102中的代理检测策略信息填充在所述扩展认证协议关键字类型数据报文的关键字域;和/或,所述步骤103中的代理检测结果信息填充在所述扩展认证协议关键字类型数据报文的关键字域。
3.根据权利要求2所述的方法,其特征在于,所述步骤102中,在发送所述扩展认证协议关键字类型数据报文前进一步包括步骤301,所述认证设备将所述代理检测策略加密;步骤302,所述认证设备将所述经加密的代理检测策略填充到所述扩展认证协议关键字类型数据报文的关键字域;步骤303,所述认证设备对所述已填充的扩展认证协议关键字类型数据报文的关键字域进行加密签名并填充扩展认证协议关键字类型数据报文的其它域。
4.根据权利要求3所述的方法,其特征在于,所述步骤103中,在用户设备发送所述扩展认证协议关键字类型数据报文前进一步包括步骤401,所述用户设备将代理检测结果加密;步骤402,所述用户设备将所述经加密的代理检测结果填充到所述扩展认证协议关键字类型数据报文的关键字域;步骤403,所述用户设备对所述已填充的扩展认证协议关键字类型数据报文的关键字域进行加密签名并填充扩展认证协议关键字类型数据报文的其它域。
5.根据权利要求1-4中任一权利要求所述的方法,其特征在于,所述步骤102中启动对用户设备的代理检测为基于数据包分析的代理检测策略、基于代理软件特征检测策略、基于端口扫描和监视的检测策略、基于TCP连接数的突变的检测策略、和/或基于端口连接数的突变的检测策略。
6.根据权利要求5所述的方法,其特征在于,当所述用户设备的代理检测为基于数据包分析的代理检测策略时,具体包括步骤601,利用抓包引擎从网卡驱动程序处获取特定的进出数据包;步骤602,利用数据包分析模块根据预先设定的特征规则的数据结构,提取数据包的特征数据,并将所述提取的特征数据存入数据结构队列;步骤603,从所述数据结构队列中提取数据结构元素,根据预先设定的特征匹配规则进行数据特征匹配;步骤604,如数据特征相匹配,则返回存在代理,并按照预定响应策略进行响应;如不匹配,则进一步判断所述数据包队列是否为非空,若为非空则返回步骤602;若数据包队列为空,则返回步骤601。
7.根据权利要求6所述的方法,其特征在于,所述步骤602中所述的数据包的特征数据进一步包括数据包头部的特征数据和/或数据包数据部分的特征数据;其中,所述数据包头部的特征数据进一步包括MAC地址和/或IP地址。
8.根据权利要求7所述的方法,其特征在于,所述特征匹配规则包括数据包的目的和源MAC地址互不相同而数据部分的特征内容相同;和/或,数据包的目的MAC地址与另一数据包的源MAC地址相同,而同时数据包的源MAC地址与另一数据包的目的MAC地址不相同;和/或,数据包的源MAC地址和另一数据包的目的MAC地址相同,而同时数据包的目的MAC地址和另一数据包的源MAC地址不同。
9.根据权利要求1所述的方法,其特征在于,所述步骤102进一步包括定时对所述用户设备进行代理检测的步骤。
10.根据权利要求1-4,6-9中任一权利要求所述的方法,其特征在于,所述步骤101中基于802.1X的认证流程进一步包括步骤1001,客户端向接入设备发送一基于局域网的扩展认证协议开始报文,开始802.1x认证接入;步骤1002,接入设备向客户端发送扩展认证协议身份请求报文,要求客户端将用户名送上来;步骤1003,客户端回应一扩展认证协议身份应答报文给接入设备的请求,其中包括用户名;步骤1004,接入设备将扩展认证协议身份应答报文封装到RADIUS接入请求报文中,发送给认证服务器;步骤1005,认证服务器产生一质询报文,并将其发送到接入设备;步骤1006,接入设备通过扩展认证协议请求报文将RADIUS接入质询报文发送给客户端,要求客户端进行认证;步骤1007,客户端收到扩展认证协议质询请求报文后,将用户的密码和质询报文做加密算法处理后的质询密码,以扩展认证协议应答报文回应给接入设备;步骤1008,接入设备将质询报文、质询密码和用户名一起发送到RADIUS服务器,由RADIUS服务器进行认证步骤1009,RADIUS服务器根据用户信息,做算法处理,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
全文摘要
本发明提供了一种网络认证方法,基于802.1X的体系结构,用于对客户端的用户设备进行认证,其特征在于,包括步骤101,认证设备根据802.1X的认证流程对用户设备进行认证,当所述用户设备通过所述802.1X标准的认证时转入步骤102;步骤102,认证设备向用户设备发送包含代理检测策略信息的EAP-Key数据报文,以启动对用户设备的代理检测;步骤103,认证设备接收所述用户设备向其发送的包含代理检测结果信息的EAP-Key数据报文。利用本发明的方法,能在采用802.1x技术的宽带网环境中,防范和检测用户使用共享上网技术,并保证了数据的安全性。
文档编号H04L29/06GK101047502SQ20061001157
公开日2007年10月3日 申请日期2006年3月29日 优先权日2006年3月29日
发明者黄小华, 卢应华, 蒋勇 申请人:中兴通讯股份有限公司