国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種旁路認證和審計方法與流程

      文檔序號:12908144閱讀:2085來源:國知局

      本發(fā)明涉及一種旁路認證和審計方法。



      背景技術(shù):

      隨著公共網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)安全變得越來越重要。網(wǎng)絡(luò)布署時,對認證及審計的需求也越來越多,包括許多已存在的現(xiàn)網(wǎng)進行重新布署改造。認證及審計功能的實現(xiàn)必須依靠用戶訪問網(wǎng)的數(shù)據(jù)流,利用控制或截取用戶的上網(wǎng)數(shù)據(jù)實現(xiàn)認證及審計。在現(xiàn)網(wǎng)改造的過程中,減少改造成本、減少維護人力及性能要求成為客戶的首要選擇條件。目前有一種方案可實現(xiàn)上述功能:將認證及審計設(shè)備嵌入到現(xiàn)網(wǎng)中,即控制終端原數(shù)據(jù)流,將設(shè)備嵌入到用戶訪問網(wǎng)絡(luò)的主干網(wǎng)絡(luò)中,因用戶的數(shù)據(jù)流需要設(shè)備轉(zhuǎn)發(fā),所以可以通過截取用戶的http請求,達到http認證的目的,數(shù)據(jù)流可直接拷貝到用戶態(tài),進行審計數(shù)據(jù)的收集,此方案在使用時,因需要改變現(xiàn)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu),消耗很多不必要的人力,且對設(shè)備的轉(zhuǎn)發(fā)性能要求很高,成本較大,當(dāng)設(shè)備出現(xiàn)故障時,會造成網(wǎng)絡(luò)癱瘓,還要考慮是否做主備,給人們帶來不利。



      技術(shù)實現(xiàn)要素:

      本發(fā)明的目的是克服現(xiàn)有產(chǎn)品中的不足,提供一種旁路認證和審計方法。

      為了達到上述目的,本發(fā)明是通過以下技術(shù)方案實現(xiàn)的:

      一種旁路認證和審計方法,包括如下步驟:

      步驟(1)、將認證和審計設(shè)備接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離;

      步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備上;

      步驟(3)、認證和審計設(shè)備根據(jù)用戶的網(wǎng)關(guān)的mac地址來判斷數(shù)據(jù)的方向;

      步驟(4)、在認證和審計設(shè)備分析用戶的網(wǎng)絡(luò)訪問請求,進行對用戶數(shù)據(jù)的審計和認證功能。

      所述步驟(1)、將認證和審計設(shè)備的wan口接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離。

      所述步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備lan口上。

      所述數(shù)據(jù)的方向包括兩種方向,分別是用戶發(fā)出的數(shù)據(jù)和發(fā)給用戶的數(shù)據(jù)。

      所述進行對用戶數(shù)據(jù)的認證功能包括如下步驟:

      a、用戶訪問網(wǎng)站數(shù)據(jù),向網(wǎng)站服務(wù)器發(fā)送syn報文;

      b、將syn報文通過三層交換機或路由器的鏡像功能發(fā)送到認證與審計設(shè)備上;

      c、認證和審計設(shè)備通過syn報文中的目的mac地址判斷報文是否是用戶發(fā)出的報文,若是用戶發(fā)出的報文則進行步驟d,若不是則停止;

      d、認證和審計設(shè)備根據(jù)用戶的mac地址判斷是否為已認證,若為已認證則syn報文直接丟棄,停止退出,否則判斷用戶訪問是否為80端口,若用戶訪問非80端口則認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送rst請求,強制用戶斷開連接,停止退出,否則進行步驟e;

      e、認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送syn-ack報文,認證和審計設(shè)備與用戶建立虛似連接;

      f、用戶向網(wǎng)站發(fā)送http的get請求時,認證和審計設(shè)備通過模擬網(wǎng)站向用戶發(fā)送http的302請求,使得用戶主動請求到認證與審計設(shè)備的認證頁面;

      g、用戶主動填寫手機號碼并獲取驗證碼后進行認證上網(wǎng),認證后用戶的syn報文直接丟棄。

      本發(fā)明的有益效果如下:現(xiàn)網(wǎng)需要認證及審計的功能進行改造時,本方法可以避免用戶改變網(wǎng)絡(luò)的拓撲結(jié)構(gòu),減少了用戶的改造成本。本方法使用時降低用戶對設(shè)備性能的要求,降低成本。用戶在使用過程中如設(shè)備發(fā)生故障時,只是認證及審計功能失效,對用戶正常的網(wǎng)絡(luò)訪問無影響。

      具體實施方式

      下面對本發(fā)明的技術(shù)方案作進一步說明:

      一種旁路認證和審計方法,其特征在于,包括如下步驟:

      步驟(1)、將認證和審計設(shè)備的wan口接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離;

      步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備lan口上;

      步驟(3)、認證和審計設(shè)備根據(jù)用戶的網(wǎng)關(guān)的mac地址來判斷數(shù)據(jù)的方向;

      步驟(4)、在認證和審計設(shè)備分析用戶的網(wǎng)絡(luò)訪問請求,進行對用戶數(shù)據(jù)的審計和認證功能。

      所述數(shù)據(jù)的方向包括兩種方向,分別是用戶發(fā)出的數(shù)據(jù)和發(fā)給用戶的數(shù)據(jù)。

      所述進行對用戶數(shù)據(jù)的認證功能包括如下步驟:

      a、用戶訪問網(wǎng)站數(shù)據(jù),向網(wǎng)站服務(wù)器發(fā)送syn報文;

      b、將syn報文通過三層交換機或路由器的鏡像功能發(fā)送到認證與審計設(shè)備上;

      c、認證和審計設(shè)備通過syn報文中的目的mac地址判斷報文是否是用戶發(fā)出的報文,若是用戶發(fā)出的報文則進行步驟d,若不是則停止;

      d、認證和審計設(shè)備根據(jù)用戶的mac地址判斷是否為已認證,若為已認證則syn報文直接丟棄,停止退出,否則判斷用戶訪問是否為80端口,若用戶訪問非80端口則認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送rst請求,強制用戶斷開連接,停止退出,否則進行步驟e;

      e、認證和審計設(shè)備模擬網(wǎng)站服務(wù)器向用戶發(fā)送syn-ack報文,認證和審計設(shè)備與用戶建立虛似連接;

      f、用戶向網(wǎng)站發(fā)送http的get請求時,認證和審計設(shè)備通過模擬網(wǎng)站向用戶發(fā)送http的302請求,使得用戶主動請求到認證與審計設(shè)備的認證頁面;

      g、用戶主動填寫手機號碼并獲取驗證碼后進行認證上網(wǎng),認證后用戶的syn報文直接丟棄。

      審計功能流程如下

      1、認證和審計設(shè)備獲取到三層交換機或路由器發(fā)送過來的鏡像報文

      2、解析報文,包括協(xié)議、內(nèi)容

      3、將解析到的用戶的虛擬身份及上網(wǎng)記錄上傳到公安審計

      現(xiàn)網(wǎng)需要認證及審計的功能進行改造時,本方法可以避免用戶改變網(wǎng)絡(luò)的拓撲結(jié)構(gòu),減少了用戶的改造成本。本方法使用時降低用戶對設(shè)備性能的要求,降低成本。用戶在使用過程中如設(shè)備發(fā)生故障時,只是認證及審計功能失效,對用戶正常的網(wǎng)絡(luò)訪問無影響。

      需要注意的是,以上列舉的僅是本發(fā)明的一種具體實施例。顯然,本發(fā)明不限于以上實施例,還可以有許多變形,總之,本領(lǐng)域的普通技術(shù)人員能從本發(fā)明公開的內(nèi)容直接導(dǎo)出或聯(lián)想到的所有變形,均應(yīng)認為是本發(fā)明的保護范圍。



      技術(shù)特征:

      技術(shù)總結(jié)
      本發(fā)明公開了一種旁路認證和審計方法,包括如下步驟:步驟(1)、將認證和審計設(shè)備接入到三層交換機或路由器上,并且與用戶終端網(wǎng)絡(luò)隔離;步驟(2)、使用三層交換機或路由器的端口鏡像功能,將用戶的上網(wǎng)數(shù)據(jù)鏡像到認證和審計設(shè)備上;步驟(3)、認證和審計設(shè)備根據(jù)用戶的網(wǎng)關(guān)的MAC地址來判斷數(shù)據(jù)的方向;步驟(4)、在認證和審計設(shè)備分析用戶的網(wǎng)絡(luò)訪問請求,進行對用戶數(shù)據(jù)的審計和認證功能。本方法可以避免用戶改變網(wǎng)絡(luò)的拓撲結(jié)構(gòu),減少了用戶的改造成本。本方法使用時降低用戶對設(shè)備性能的要求,降低成本。用戶在使用過程中如設(shè)備發(fā)生故障時,只是認證及審計功能失效,對用戶正常的網(wǎng)絡(luò)訪問無影響。

      技術(shù)研發(fā)人員:張震
      受保護的技術(shù)使用者:杭州敦崇科技股份有限公司
      技術(shù)研發(fā)日:2017.07.18
      技術(shù)公布日:2017.11.10
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1