CN100544348C - 代理检测方法 - Google Patents
代理检测方法 Download PDFInfo
- Publication number
- CN100544348C CN100544348C CNB2004100010936A CN200410001093A CN100544348C CN 100544348 C CN100544348 C CN 100544348C CN B2004100010936 A CNB2004100010936 A CN B2004100010936A CN 200410001093 A CN200410001093 A CN 200410001093A CN 100544348 C CN100544348 C CN 100544348C
- Authority
- CN
- China
- Prior art keywords
- authenticating device
- subscriber equipment
- agency
- message
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种代理检测方法包括以下流程:认证流程,认证设备的逻辑端口授权给用户设备;代理检测流程,通过认证设备和用户设备间的交互携带属性类型为代理检测的EAP报文完成代理检测。其中代理检测流程包括如下步骤:1)认证设备向用户设备发送属性类型为代理检测的EAP请求报文,检测用户设备是否使用代理;2)用户设备向认证设备发送属性类型为代理检测的EAP应答报文,把检测结果发送给认证设备,并根据检测结果采取相应处理措施。本发明通过扩展一种属性类型为代理检测,并通过与EAP请求报文和EAP应答报文结合,实现代理检测;不需要增加额外的设备成本,没有增加网络负担;并可根据检测结果采取相应的措施,易于管理。
Description
技术领域
本发明涉及网络技术,尤指一种网络中代理检测方法。
背景技术
IEEE 802LAN协议定义的局域网不提供接入认证,一般来说,只要用户可以接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼LAN以及移动办公等应用场合,网络管理者希望能对用户的接入进行控制和配置,为此产生了基于端口的网络接入控制(Port Based Network AccessControl)需求,即IEEE 802.1X(以下简称802.1X)协议。
从图1可以看出,802.1X的体系结构中包括:
用户设备(Supplicant)1,LAN所连接的一端的实体(Entity),作为认证请求者向认证设备(Authenticator)发起请求,对其身份的合法性进行检验;
认证设备2,响应用户设备1的认证请求,包括两个逻辑端口:受控端口(Controlled Port)21和不受控端口(Uncontrolled Port)22;
认证服务器3,是指通过检验用户设备1发送来的身份标识,来判断该请求者是否有权使用认证设备2所提供的网络服务。
通常,要访问局域网/城域网4,首先用户设备1要向认证设备2发起认证请求,不受控端口22始终处于双向连通状态,主要用来传递EAPoL协议帧,可保证用户设备1始终可以发出或接受;认证授权时,认证设备2的受控端口21才被连通,用于传递网络资源和服务。其中,EAPoL指局域网承载的EAP,而EAP指可扩展认证协议,全称为PPP(点对点通信协议)可扩展认证协议(RFC 2284)。
目前,在采用802.1X技术的宽带园区网环境中,特别是校园网中,用户通过Proxy(即代理)上网来实现"一个账号多人使用"的方法,引起了运营商的强烈关注。因为这种账号共享方式严重损害了运营商的利益,从而影响运营者和管理者网络建设和运营的投资回报。另外,在一些安全性要求高的网络环境中(如发表法轮功等反动言论),管理者也不允许用户通过设置代理来隐藏真实身份的方式使用网络。概括来说,产生了两个方面的问题:一是利用代理逃避计费,二是利用代理发表反动言论。
如图2所示,代理6(可以是代理服务器业可以是代理主机),通过在企业内部网(Intranet)5和企业外部网(Internet)7间充当中间人的方式为企业内部网5的若干用户52提供网络访问服务。其中用户52通过集线器51与代理6进行网络连接,而代理6通过以太网交换机/路由器71与企业外部网7进行网络连接。最大特点是隐蔽了企业内部网5用户52的真实身份,即只有代理6本身对企业内部网5可见。
代理一般有以下三种方式:双网卡方式的代理;双网卡方式的网络地址转换(Network Address Translation,NAT);单网卡方式的代理。
采用单网卡实现代理的方式,其代理端口会暴露在网络上,通过扫描端口进行检测。通过双网卡的代理和NAT实现代理的方式,则不能通过扫描端口检测到,因为其代理端口对外网是隐蔽的。从Internet的角度看,通过双网卡的代理和NAT实现代理的代理主机与网络中的其他非代理主机没有什么区别。
代理检测通过在服务器上安装端口扫描软件,对于某些知名端口进行扫描实现的,然后,再对检测的情况进行处理。
端口扫描有以下几个主要缺点:
1)增加网络负载,耗费高。服务器运行扫描软件,需要给所有用户设备发送大量的试探报文,增加了网络负担,并且对服务器的消耗也很大。
2)可管理性差。扫描软件只能发现问题,很难与认证设备配合采取相关策略进行处理。
发明内容
本发明解决的问题是对于用户通过代理上网的情况进行检测,并对检测结果采取相应的处理措施。
为解决上述问题,本发明代理检测方法包括以下流程:认证流程,认证设备的逻辑端口授权给用户设备;代理检测流程,通过认证设备和用户设备交互携带属性类型为代理检测的可扩展认证协议EAP报文完成代理检测,包括如下步骤:
1)认证设备向用户设备发送属性类型为代理检测的EAP请求报文,检测用户设备是否使用代理;
2)用户设备向认证设备发送属性类型为代理检测的EAP应答报文,把检测结果发送给认证设备,并根据检测结果采取相应处理措施。
步骤1)中检测范围包括:处于运行状态的代理进程以及以网络地址转换实现代理。步骤1)中通过触发用户设备代理检测功能进行代理检测,若用户设备不支持代理检测功能,则丢弃该EAP请求报文。
步骤2)中检测结果为有代理或无代理,且在认证设备接收到有代理的检测结果,认证设备向网管报送中断信息或/和向认证服务器发送下线消息,拒绝用户上网。
与现有技术相比,本发明具有以下优点:
本发明代理检测方法通过扩展一种属性类型(Proxy-Detect表示代理检测。不同于现在协议定义的任何属性类型),并通过与EAP请求报文和EAP应答报文结合,实现代理检测;
实现该代理检测方法不需要增加额外的设备成本,没有增加网络负担;
另外,并可根据检测结果采取相应的措施,易于管理。
附图说明
图1是802.1X的体系结构框图。
图2是现有技术中利用使用代理网络框图。
图3是PPP帧格式示意图。
图4是图3中PPP帧应用在本发明代理检测方法中信息域格式示意图。
图5是现有技术中PPP帧中代码域取值示意图。
图6是本发明代理检测方法流程图。
具体实施方式
图3是PPP帧格式示意图。其中,F域标识一PPP帧的开始及结束;FCS域为帧的校验域;表示帧内容的为地址(Address)、控制(Control)、协议(Protocol)、信息(Information)域所包含的内容。当PPP帧(参见IETF RFC1661)中的Protocol域表明协议类型为C227(即表示协议为PPP可扩展认证协议)时,在PPP帧的Information域中封装且仅封装一个PPP可扩展认证协议报文(本发明称为EAP报文),传输时各域从左到右依次传输。本发明代理检测方法将通过扩展EAP报文属性类型实现的,也封装在Information域中进行传输其原理如下文描述。
Information域进一步包括有代码(Code)、标识(Identifier)、长度(Length)及数据(Data)域。所述Data域进一步包括属性类型(Type)域及属性数据(Type-Data)域;属性数据(Type-Data)域进一步包括属性值长度(Value-Size)域、属性值(Value)域及名称(Name)域。请参照图4所示,这样信息域则包括有以下域:代码、标识、长度、属性类型、属性值长度、属性值及名称。
其中所述代码表示EAP报文的类型(例如,EAP-Request表示该EAP报文为EAP请求报文,EAP-Response表示该EAP报文为EAP应答报文)。现有技术中,请参照图5所示,代码值为1表示EAP报文类型为EAP请求报文;值为2表示EAP报文类型为EAP应答报文;值为3表示EAP报文类型为EAP成功报文;值为4表示EAP报文类型为EAP失败报文。
标识,用于识别EAP报文。
长度,为EAP报文的长度。
属性类型,表示EAP报文具体内容的类型,具体到EAP服务报文中,则表示EAP服务报文具体内容的类型,因为1-8已经被国际标准或国家标准占用,Type域取值除1-8外的任何值。图4中Type为Proxy-Detect,表示代理检测。
属性值,表示EAP报文的具体属性(具体到EAP服务报文中,则表示EAP服务报文的具体属性),以图4为例,Value表示Proxy-Detect属性值,例如用0表示用户设备没有使用代理,1表示用户设备是用代理。
属性值长度,表示属性值的长度。
名称,表示用户的名字。
请参照图6所示,本发明代理检测方法基于802.1X的体系结构,认证服务器(服务器以RADIUS为例)上,本发明代理检测方法包括以下流程:
认证流程,认证设备的逻辑端口授权给用户设备;
代理检测流程,通过认证设备和用户设备间的交互携带属性类型为代理检测的EAP报文完成代理检测。
所述认证流程包括以下步骤:
1)用户设备向认证设备发送EAPOL开始报文;
2)认证设备向用户设备发送EAP请求报文;
3)用户设备向认证设备发送EAP应答报文;
4)认证设备向认证服务器发送携带用户识别信息的认证请求报文;
5)认证服务器经由认证设备向用户设备发送RADIUS MD5质询报文;
6)用户设备经由认证设备向认证服务器发送对MD5质询的应答报文;
7)认证服务器向认证设备发送认证接受报文;
8)认证设备向用户设备发送认证成功报文,认证设备逻辑端口被授权给用户设备。
所述代理检测流程包括如下步骤:
9)认证设备向用户设备发送属性类型为代理检测的EAP请求报文,对用户设备是否使用代理进行检测;
例如EAP-Request/Proxy-Detect报文的Proxy-Detect为2表示认证设备要求用户设备对该用户设备是否使用代理进行上网的情况进行检测。检测范围包括:处于运行状态的代理进程(例如常见的代理程序:Sygate,WinGate,Winrouter,CCProxy等)以及以网络地址转换实现代理(一个IETF标准,允许一个机构以一个地址出现在Internet上。网络地址转换将每个局域网节点的地址转换成一个IP地址,反之亦然)。
通过触发用户设备代理检测功能进行代理检测,若用户设备不支持代理检测功能,则把EAP-Request/Proxy-Detect报文当做非法报文丢弃,不会影响原有功能的正常使用。
认证设备上对此有两种处理方式:其一,如果用户设备不支持检测功能(用户设备会丢弃次报文),就不会给认证设备EAP-Response/Proxy-Detect报文。认证设备如果收不到这个应答,则取消对用户的授权,使得用户不能上网;其二,认证设备不取消对用户的授权,与没有检测的效果是相同的,具体怎么做由网络管理员决定。
10)用户设备向认证设备发送属性类型为代理检测的EAP应答报文,把检测结果发送给认证设备,并根据检测结果采取相应处理措施。
检测结果为有代理或无代理例如可以把EAP-Response/Proxy-Detect报文中Proxy-Detect的值定义为“0”表示用户设备没有代理;“1”表示有代理。且当在认证设备接收到有代理的检测结果,认证设备向网管报送中断信息(Trap)或/和向认证服务器发送下线消息,拒绝用户上网。
另外,认证设备启动Proxy检测定时器,在使能代理检测的设备端口上周期性地发送EAP-Request/Proxy-Detect报文;并等待EAP-Response/Proxy-Detect应答和根据应答结果采取处理措施。这样就在802.1X网络中实现了对用户设备进行Proxy检测和处理的业务。
综上所述,本发明代理检测方法通过扩展一种属性类型(Proxy-Detect表示代理检测。不同于现在协议定义的任何Type),并通过与EAP请求报文和EAP应答报文结合,来实现802.1X认证网络中代理检测业务。报文格式完全遵循RFC2284“PPP可扩展认证协议”。
Claims (6)
1.一种代理检测方法,其特征在于,该代理检测方法包括以下流程:
认证流程,认证设备的逻辑端口授权给用户设备;
代理检测流程,通过认证设备和用户设备交互携带属性类型为代理检测的可扩展认证协议EAP报文完成代理检测,包括如下步骤:
1)认证设备向用户设备发送属性类型为代理检测的EAP请求报文,检测用户设备是否使用代理;
2)用户设备向认证设备发送属性类型为代理检测的EAP应答报文,把检测结果发送给认证设备,并根据检测结果采取相应处理措施。
2.如权利要求1所述的代理检测方法,其特征在于,所述EAP报文封装在点对点协议帧的信息域中,该信息域进一步包括以下域:
代码,表示EAP报文的类型;
标识,用于识别EAP报文;
长度,表示EAP报文的长度;
属性类型,表示EAP报文具体内容的类型;
属性值,表示EAP报文的具体属性;
属性值长度,表示属性值的长度;
名称,表示用户的名字。
3.如权利要求1所述的代理检测方法,其特征在于,步骤1)中检测范围包括:处于运行状态的代理进程以及以网络地址转换实现代理。
4.如权利要求1所述的代理检测方法,其特征在于,步骤1)中通过触发用户设备代理检测功能进行代理检测,若用户设备不支持代理检测功能,则丢弃该EAP请求报文。
5.如权利要求1所述的代理检测方法,其特征在于,步骤2)中检测结果为有代理或无代理,且在认证设备接收到有代理的检测结果,认证设备向网管报送中断信息或/和向认证服务器发送下线消息,拒绝用户上网。
6.如权利要求1-5任意一项所述的代理检测方法,其特征在于,认证流程包括以下步骤:
11)用户设备向认证设备发送局域网承载的可扩展认证协议EAPOL开始报文;
12)认证设备向用户设备发送EAP请求报文;
13)用户设备向认证设备发送EAP应答报文;
14)认证设备向认证服务器发送携带用户识别信息的认证请求报文;
15)认证服务器经由认证设备向用户设备发送RADIUSMD5质询报文;
16)用户设备经由认证设备向认证服务器发送对MD5质询的应答报文;
17)认证服务器向认证设备发送认证接受报文;
18)认证设备向用户设备发送认证成功报文,认证设备逻辑端口被授权给用户设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100010936A CN100544348C (zh) | 2004-02-03 | 2004-02-03 | 代理检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100010936A CN100544348C (zh) | 2004-02-03 | 2004-02-03 | 代理检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1652538A CN1652538A (zh) | 2005-08-10 |
| CN100544348C true CN100544348C (zh) | 2009-09-23 |
Family
ID=34867014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100010936A Expired - Fee Related CN100544348C (zh) | 2004-02-03 | 2004-02-03 | 代理检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100544348C (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100388688C (zh) * | 2006-03-22 | 2008-05-14 | 中兴通讯股份有限公司 | 一种代理检测系统和方法 |
| CN101047502B (zh) * | 2006-03-29 | 2010-08-18 | 中兴通讯股份有限公司 | 一种网络认证方法 |
| CN101132278B (zh) * | 2006-08-24 | 2010-05-12 | 腾讯科技(深圳)有限公司 | 检验用户通过网络代理登录的系统及方法、及扫描服务器 |
| CN101150406B (zh) * | 2006-09-18 | 2011-06-08 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及相关装置 |
| CN101212375B (zh) * | 2006-12-30 | 2014-07-23 | 方正宽带网络服务股份有限公司 | 控制用户使用代理上网的方法 |
| CN102223266B (zh) * | 2011-06-17 | 2013-07-24 | 北京星网锐捷网络技术有限公司 | 一种协议代理检测方法和装置 |
| CN103138998B (zh) * | 2011-11-28 | 2015-11-25 | 华为技术有限公司 | 一种代理状态检测方法、装置和系统 |
| CN103200172B (zh) | 2013-02-19 | 2018-06-26 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
| CN114006832B (zh) * | 2021-10-08 | 2023-03-21 | 福建天泉教育科技有限公司 | 一种检测客户端与服务端之间存在代理服务的方法及终端 |
-
2004
- 2004-02-03 CN CNB2004100010936A patent/CN100544348C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1652538A (zh) | 2005-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7185360B1 (en) | System for distributed network authentication and access control | |
| JP4347335B2 (ja) | ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 | |
| EP2051432B1 (en) | An authentication method, system, supplicant and authenticator | |
| US20020157090A1 (en) | Automated updating of access points in a distributed network | |
| US20030087629A1 (en) | Method and system for managing data traffic in wireless networks | |
| MXPA04010624A (es) | Cuenta, autorizacion y autentificacion transitoria en el interfuncionamiento entre redes de acceso. | |
| US20100146599A1 (en) | Client-based guest vlan | |
| CN101379795A (zh) | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 | |
| US20060161770A1 (en) | Network apparatus and program | |
| JP2003046533A (ja) | ネットワークシステム、その認証方法及びそのプログラム | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| US7117258B2 (en) | Method and apparatus for assigning IP address using agent in zero configuration network | |
| CN100544348C (zh) | 代理检测方法 | |
| CN104468619B (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| WO2003081839A1 (fr) | Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x | |
| JP2010034901A (ja) | 通信制御装置、通信制御方法および通信制御処理プログラム | |
| JPH09266475A (ja) | アドレス情報管理装置およびネットワークシステム | |
| US20060253893A1 (en) | Method and network for wlan session control | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| CN105959251B (zh) | 一种防止nat穿越认证的方法及装置 | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| JP4230683B2 (ja) | セキュリティ判定方法、およびセキュリティ判定装置 | |
| CN1652535B (zh) | 网络层地址管理方法 | |
| CN110611678A (zh) | 一种识别报文的方法及接入网设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090923 Termination date: 20180203 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |