本發(fā)明涉及一種旁路認證和審計方法。
背景技術(shù):
隨著公共網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)安全變得越來越重要。網(wǎng)絡(luò)布署時,對認證及審計的需求也越來越多,包括許多已存在的現(xiàn)網(wǎng)進行重新布署改造。認證及審計功能的實現(xiàn)必須依靠用戶訪問網(wǎng)的數(shù)據(jù)流,利用控制或截取用戶的上網(wǎng)數(shù)據(jù)實現(xiàn)認證及審計。在現(xiàn)網(wǎng)改造的過程中,減少改造成本、減少維護人力及性能要求成為客戶的首要選擇條件。目前有一種方案可實現(xiàn)上述功能:將認證及審計設(shè)備嵌入到現(xiàn)網(wǎng)中,即控制終端原數(shù)據(jù)流,將設(shè)備嵌入到用戶訪問網(wǎng)絡(luò)的主干網(wǎng)絡(luò)中,因用戶的數(shù)據(jù)流需要設(shè)備轉(zhuǎn)發(fā),所以可以通過截取用戶的http請求,達到http認證的目的,數(shù)據(jù)流可直接拷貝到用戶態(tài),進行審計數(shù)據(jù)的收集,此方案在使用時,因需要改變現(xiàn)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu),消耗很多不必要的人力,且對設(shè)備的轉(zhuǎn)發(fā)性能要求很高,成本較大,當(dāng)設(shè)備出現(xiàn)故障時,會造成網(wǎng)絡(luò)癱瘓,還要考慮是否做主備,給人們帶來不利。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的是克服現(xiàn)有產(chǎn)品中的不足,提供一種旁路認證和審計方法。
為了達到上述目的,本發(fā)明是通過以下技術(shù)方案實現(xiàn)的:
一種旁路認證和審計方法,包括如下步驟:
步驟(1)、將認證和審計設(shè)備接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離;
步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備上;
步驟(3)、認證和審計設(shè)備根據(jù)用戶的網(wǎng)關(guān)的mac地址來判斷數(shù)據(jù)的方向;
步驟(4)、在認證和審計設(shè)備分析用戶的網(wǎng)絡(luò)訪問請求,進行對用戶數(shù)據(jù)的審計和認證功能。
所述步驟(1)、將認證和審計設(shè)備的wan口接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離。
所述步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備lan口上。
所述數(shù)據(jù)的方向包括兩種方向,分別是用戶發(fā)出的數(shù)據(jù)和發(fā)給用戶的數(shù)據(jù)。
所述進行對用戶數(shù)據(jù)的認證功能包括如下步驟:
a、用戶訪問網(wǎng)站數(shù)據(jù),向網(wǎng)站服務(wù)器發(fā)送syn報文;
b、將syn報文通過三層交換機或路由器的鏡像功能發(fā)送到認證與審計設(shè)備上;
c、認證和審計設(shè)備通過syn報文中的目的mac地址判斷報文是否是用戶發(fā)出的報文,若是用戶發(fā)出的報文則進行步驟d,若不是則停止;
d、認證和審計設(shè)備根據(jù)用戶的mac地址判斷是否為已認證,若為已認證則syn報文直接丟棄,停止退出,否則判斷用戶訪問是否為80端口,若用戶訪問非80端口則認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送rst請求,強制用戶斷開連接,停止退出,否則進行步驟e;
e、認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送syn-ack報文,認證和審計設(shè)備與用戶建立虛似連接;
f、用戶向網(wǎng)站發(fā)送http的get請求時,認證和審計設(shè)備通過模擬網(wǎng)站向用戶發(fā)送http的302請求,使得用戶主動請求到認證與審計設(shè)備的認證頁面;
g、用戶主動填寫手機號碼并獲取驗證碼后進行認證上網(wǎng),認證后用戶的syn報文直接丟棄。
本發(fā)明的有益效果如下:現(xiàn)網(wǎng)需要認證及審計的功能進行改造時,本方法可以避免用戶改變網(wǎng)絡(luò)的拓撲結(jié)構(gòu),減少了用戶的改造成本。本方法使用時降低用戶對設(shè)備性能的要求,降低成本。用戶在使用過程中如設(shè)備發(fā)生故障時,只是認證及審計功能失效,對用戶正常的網(wǎng)絡(luò)訪問無影響。
具體實施方式
下面對本發(fā)明的技術(shù)方案作進一步說明:
一種旁路認證和審計方法,其特征在于,包括如下步驟:
步驟(1)、將認證和審計設(shè)備的wan口接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離;
步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備lan口上;
步驟(3)、認證和審計設(shè)備根據(jù)用戶的網(wǎng)關(guān)的mac地址來判斷數(shù)據(jù)的方向;
步驟(4)、在認證和審計設(shè)備分析用戶的網(wǎng)絡(luò)訪問請求,進行對用戶數(shù)據(jù)的審計和認證功能。
所述數(shù)據(jù)的方向包括兩種方向,分別是用戶發(fā)出的數(shù)據(jù)和發(fā)給用戶的數(shù)據(jù)。
所述進行對用戶數(shù)據(jù)的認證功能包括如下步驟:
a、用戶訪問網(wǎng)站數(shù)據(jù),向網(wǎng)站服務(wù)器發(fā)送syn報文;
b、將syn報文通過三層交換機或路由器的鏡像功能發(fā)送到認證與審計設(shè)備上;
c、認證和審計設(shè)備通過syn報文中的目的mac地址判斷報文是否是用戶發(fā)出的報文,若是用戶發(fā)出的報文則進行步驟d,若不是則停止;
d、認證和審計設(shè)備根據(jù)用戶的mac地址判斷是否為已認證,若為已認證則syn報文直接丟棄,停止退出,否則判斷用戶訪問是否為80端口,若用戶訪問非80端口則認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送rst請求,強制用戶斷開連接,停止退出,否則進行步驟e;
e、認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送syn-ack報文,認證和審計設(shè)備與用戶建立虛似連接;
f、用戶向網(wǎng)站發(fā)送http的get請求時,認證和審計設(shè)備通過模擬網(wǎng)站向用戶發(fā)送http的302請求,使得用戶主動請求到認證與審計設(shè)備的認證頁面;
g、用戶主動填寫手機號碼并獲取驗證碼后進行認證上網(wǎng),認證后用戶的syn報文直接丟棄。
審計功能流程如下
1、認證和審計設(shè)備獲取到三層交換機或路由器發(fā)送過來的鏡像報文
2、解析報文,包括協(xié)議、內(nèi)容
3、將解析到的用戶的虛擬身份及上網(wǎng)記錄上傳到公安審計
現(xiàn)網(wǎng)需要認證及審計的功能進行改造時,本方法可以避免用戶改變網(wǎng)絡(luò)的拓撲結(jié)構(gòu),減少了用戶的改造成本。本方法使用時降低用戶對設(shè)備性能的要求,降低成本。用戶在使用過程中如設(shè)備發(fā)生故障時,只是認證及審計功能失效,對用戶正常的網(wǎng)絡(luò)訪問無影響。
需要注意的是,以上列舉的僅是本發(fā)明的一種具體實施例。顯然,本發(fā)明不限于以上實施例,還可以有許多變形,總之,本領(lǐng)域的普通技術(shù)人員能從本發(fā)明公開的內(nèi)容直接導(dǎo)出或聯(lián)想到的所有變形,均應(yīng)認為是本發(fā)明的保護范圍。