CN101841445B - 共享上网用户识别方法及装置 - Google Patents
共享上网用户识别方法及装置 Download PDFInfo
- Publication number
- CN101841445B CN101841445B CN201010154175XA CN201010154175A CN101841445B CN 101841445 B CN101841445 B CN 101841445B CN 201010154175X A CN201010154175X A CN 201010154175XA CN 201010154175 A CN201010154175 A CN 201010154175A CN 101841445 B CN101841445 B CN 101841445B
- Authority
- CN
- China
- Prior art keywords
- session information
- terminal
- message
- transmission
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种共享上网用户识别方法、系统及装置,该方法包括:网络侧设备根据终端传输的报文,获取与该终端对应的传输控制协议第一会话信息;将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端。该方法能够有效的识别出共享上网的非法用户,识别准确性和可靠性高。
Description
技术领域
本发明涉及互联网技术领域,尤指一种在网络通讯中识别共享上网用户的共享上网用户识别方法及装置。
背景技术
在普通局域网中,只要能接到网络设备上,不需要经过认证和授权即可直接使用该网络,这不利于网络管理员对网络的实时监控,也引起了人们对网络安全的担忧。用于对网络或设备访问合法性进行认证的网络认证成为网络安全管理的有效手段,提高了网络的安全性。
现有的网络认证基本采用基于端口的网络存取控制方式,为局域网(LocalArea Network,LAN)用户提供点对点式的安全接入认证。图1为个人计算机网络接入过程的简单示例图(当然也可以是其他接入终端)。安装有认证客户端软件的个人计算机(Personal Computer,PC)提交相关的认证信息给交换机进行认证,交换机将相关认证信息转交给认证服务器进行确认。如果认证通过,交换机将相关的端口打开,交换机将学习到该PC的互联网协议(InternetProtocol,IP)地址和媒体接入控制(Media Access Control,MAC)地址,并将其该PC与打开的相应接入端口(PORT)进行绑定,形成一个三元组(IP,MAC,PORT)。也就是说只有符合这个三元组条件的PC才能够获准接入LAN,并访问相关的网络资源。
现有的上述网络认证方式,可能会导致出现下列两种情况:
情况一:非法终端伪装成认证用户终端访问网络。
用户终端认证成功后,可以作为合法终端访问网络资源时,其他未通过认证的终端(即非法终端)使用与其相同的IP和MAC地址,通过同一交换机接口也可以访问到相关的网络资源。
例如:如图2所示,为非法终端伪装成认证用户访问网络资源的原理示意图。其中,终端PC_a通过认证客户端软件发出认证请求时(如图中步骤1所示),交换机转发相应信息,并提交认证服务器确认,如果通过认证,交换机就打开相应的PORT,允许满足三元组(IP+MAC+PORT)的报文通过(如图中步骤2所示)。此时,如果有另一接入终端PC_b通过集线器(HUB)与PC_a连在一起,并且仿冒终端PC_a的IP地址和MAC地址,那么PC_b也可以满足三元组(P,MAC,PORT),因此,终端PC_b不需要经过认证便可以使用PC_a的三元组访问网络资源(如图中步骤3所示),则网络中存在假冒合法终端PC_a的IP地址和MAC地址的非法终端PC_b。
上述非法终端伪装成合法终端上网,是802.1x认证固有的缺陷,除非是基于端口控制或者更具体的IP和MAC地址控制,否则一旦IP和MAC地址被人仿冒,标准的802.1x认证就无能为力了。
情况二:通过认证用户代理的方式访问网络资源
用户终端认证成功后,可以作为合法终端访问网络资源时,也可以作为其他用户的代理服务器,其他终端则可以通过该合法终端连接网络了。目前主要采用的代理方式有网络地址转换(Network Address Translation,NAT)和网络代理Proxy,非法终端发送的报文都经过作为代理服务器的合法终端转发,该报文经过代理服务器修改成代理服务器自身的信息,从而使得交换机认为该报文是合法终端报文并允许转发。
如图3所示为非法终端通过代理服务器上网的原理示意图。
非法终端需要上网访问网络资源时,先把报文发送给作为代理服务器的认证用户的终端,代理服务器再把报文的源MAC地址、源IP地址修改为本机的MAC和IP地址发送给交换机,由于交换机接收到的报文源MAC、源IP和端口信息是经认证用户修改后的,因此,无法识别出该报文是非法终端发送的报文,该报文允许在网络传输。
由于大量非法用户对网络造成拥塞,损害了合法用户的利益,影响了合法用户访问网络资源的速度和效率,因此有必要识别共享上网用户进行有效的控制。而要检测出上述通过使用与合法终端相同的IP、MAC地址上网或通过合法终端代理上网的共享上网的非法终端,目前比较常用的有下列两种方式:
方式一:通过检测报文的互联网协议标识(IP ID)来识别共享上网用户。
由于假冒认证终端上网的非法终端和认证终端的IP地址和MAC地址虽然是相同的,但不同主机系统中IP报头的ID字段是独立的。
RFC 791中规定的IP报头ID字段的特点包括:
由发送者设定,用于标识数据报文,有助于重组数据报的分片。其长度为16bit,且该标识值位于0-65535之间,且在0-65535之间递增,当达到65535后又从0开始计数。该标识值对同一源地址、目的地址、协议(protocol)在生存期间(TTL)是唯一的。因此,两个终端虽然使用相同的IP与MAC地址,每个终端发送出去的IP ID值相对于本机是连续的。
但是,由于各终端独立的上网操作与不同的数据流量,其发出的报文速率与报文中的ID字段是会有差异的。例如:终端1的IP ID为17000,17001,17002等,终端2的IP ID为32000,32001,32002,那么网络传输设备接收到报文的IP ID为17000,32000,17001,32001,是不连续,因此,当网络传输设备检测到报文的IP ID存在这一现象时,即检测出IP ID发生跳变超过设定的范围时,认为存在非法的上网用户。
如图4所示,即为网络传输设备接收到认证终端与非法终端发送的报文的IP ID分布规律示例图。
上述方式中,检测设备必须布置在与终端直接相连的网络接入设备上,如果布置在非直接相连的高层网络设备上,将会导致合法终端之间的数据互传被误识别为存在非法用户共享上网,且该方式需要每一个接入交换机上均部署检测设备,无法集中部署和管理,且只能识别出存在共享上网用户,无法识别非法终端所访问的网络资源。
如图5所示,为检测设备布置在高层的汇集交换机上的检测原理示意图。其中,合法接入的终端1、2通过接入交换机1接入汇集交换机,合法接入的终端3、4通过接入交换机2接入汇集交换机。
当终端1同时和终端2、3进行数据交换传输时,终端1、2之间的传输数据不经过汇集交换机,终端1、3之间的传输数据经过汇集交换机。当检测设备设置在汇集交换机上时,汇集交换机只能检测到终端1和3之间传输的数据的IP ID,不能检测到终端1和2之间传输的数据的IP ID。由于终端1发送的所有报文的IP ID是连续的。假设终端1、2之间的传输速率远大于终端1、3之间的传输速率,例如:终端1向终端2发送999个报文,才向终端3发送一个报文,则终端1到终端2的IP ID为:1,2,3,......,999,1001,1002......等,而终端1到终端3的IP ID为1000,2000,3000......等。因此,汇集交换机收到终端1发送报文的IP ID为1000,2000,3000,不是连续的,而且差值也比较大,在这种情况下汇集交换机就会判定存在共享上网的用户,从而造成误判。
方式二:通过传输控制协议(Transmission Control Protocol,TCP)连接数识别共享上网用户。
该方式需要检测并发连接的数量,当并发连接的数量超过预定数量时,认为存在共享上网用户;或者检测一段时间内新建立的连接数量超过预定数量时,认为在共享上网用户。
该方式很容易出现漏报和误报,如果预定数量太小,即使只有合法用户的TCP连接,也很容易超过该预定数量,从而会认为有共享上网用户存在,产生误报;如果预定数量太大,那么即使有少量共享上网的TCP连接,只要不超过该预定数量,就无法被检测到,从而导致漏报。
上述现有技术的实现方案都不能准确、有效的识别出是否有共享用户存在,识别准确率低、可靠性差。且只能识别出有共享上网用户存在,无法获得非法终端访问的网络信息,无法提供用户有共享上网的有力证据,从而不能避免非法用户通过共享的方式上网,造成网络资源浪费。
发明内容
本发明实施例提供一种共享上网用户识别方法、系统及装置,用以解决现有技术中存在无法准确识别共享上网用户、识别准确性和可靠性差的问题。
本发明包括如下内容:
一种共享上网用户识别方法,包括:
网络侧设备根据终端传输的传输控制协议TCP报文,获取与该终端对应的传输控制协议第一会话信息;
将获取到的第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;
若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端。
一种共享上网用户识别系统,包括:网络侧设备和终端;
所述网络侧设备,用于根据所述终端传输的传输控制协议TCP报文,获取与该终端对应的传输控制协议第一会话信息;将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端;
所述终端,用于发送数据报文到网络侧设备,以及上报传输控制协议第二会话信息给网络侧设备。
一种共享上网用户识别装置,包括:
获取模块,用于获取与传输报文的终端对应的传输控制协议第一会话信息;
匹配模块,用于将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;
确定模块,用于若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端。
一种网络侧设备,包括:上述的共享上网用户识别装置。
本发明有益效果如下:
本发明实施例提供的共享上网用户识别方法、系统及装置,通过网络侧设备根据终端传输的报文,获取与该终端对应的传输控制协议第一会话信息;将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端。该方式通过将根据终端传输报文获得的第一会话信息和认证终端上报的第二会话信息进行比较,可以准确、有效的识别出共享上网的用户终端,识别可靠性高。为防止共享的管理控制提供了有力的证据。且网络部署方便,实现成本低。
附图说明
图1为现有技术中个人计算机网络接入过程的简单示例图;
图2为现有技术中非法终端伪装成认证用户访问网络资源的原理示意图;
图3为现有技术中非法终端通过代理服务器上网的原理示意图;
图4为现有技术中存在共享上网用户时,网络传输设备接收到的报文的IPID分布规律示例图;
图5为现有技术中检测设备布置在高层的网络设备中的检测原理示意图;
图6为本发明实施例中共享上网用户识别系统的结构示意图;
图7为本发明实施例中共享上网用户识别装置的结构示意图;
图8为本发明实施例中共享上网用户识别系统的一个具体结构示例图;
图9为本发明实施例中共享上网用户识别方法的流程图;
图10为本发明实施例中共享上网用户识别方法的一个具体流程示例图。
具体实施方式
本发明实施例提供的共享上网用户识别方法、系统及装置,通过终端发送的报文中携带的传输控制协议会话信息(TCP Session信息),识别用户是否存在共享上网用户,以提高识别的准确度和可靠性。该系统如图6所示,包括:共享上网用户识别装置——网络侧设备10和终端20。
网络侧设备10,用于根据终端20传输的报文,获取与该终端20对应的传输控制协议第一会话信息;将第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与第一会话信息相匹配的第二会话信息,则确认发送报文的终端20为认证通过的合法终端;否则,确认发送报文的终端20为共享上网用户的非法终端。即即网络侧设备10上是否存储有与获取到的第一会话信息信息相同的由合法终端上报的第一会话信息。
终端20,用于发送数据报文到网络侧设备,以及上报传输控制协议第二会话信息给网络侧设备。
网络侧设备10,还用于:当接收到认证通过的合法终端发送的上报传输控制协议第二会话信息的报文中携带TCP连接的断开信息时,将该TCP连接对应的第二会话信息删除;或根据设定的存储时间范围,将设定时间范围之外的第二会话信息删除。其中,终端在检测到TCP连接断开时,会向网络侧设备10发送携带断开传输控制协议第二会话信息的断开信息的报文;网络设备接收到包含有断开某个TCP连接的断开信息的报文时,删除存储的该TCP的第二会话信息。
例如:预先设定只存储当前时间以前半小时之内接收到的第二会话信息,则当第二会话信息的接收时间位于该设定时间范围之外时将其删除。
上述共享上网用户识别系统中的共享上网用户识别装置——网络侧设备20的结构如图7所示,包括:获取模块201、匹配模块202和确定模块203。
获取模块201,用于获取与传输报文的终端对应的传输控制协议第一会话信息。
匹配模块202,用于将获取模块201获取的第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配。
较佳的,上述匹配模块202,具体包括:接收单元2021、存储单元2022和匹配单元2023。
接收单元2021,用于接收认证通过的合法终端周期性上报的第二会话信息。
存储单元2022,用于存储接收单元接收到的第二会话信息。
匹配单元2023,用于获取模块201接收到第一会话信息时,根据接收到的第一会话信息所对应的终端,查找是否存储与接收到的第一会话信息相匹配的该终端已建立的TCP连接的第二会话信息。
上述匹配模块202中存储单元2022,还用于:当接收单元2021接收到认证通过的合法终端发送的上报传输控制协议第二会话信息的报文中携带TCP连接的断开信息时,将对应的第二会话信息删除;或根据设定的存储时间范围,将设定时间范围之外的所述第二会话信息删除。
确定模块203,用于若存在与获取模块获取到的第一会话信息相匹配的第二会话信息,则确认发送报文的终端为认证通过的合法终端;否则,确认发送报文的终端为共享上网用户的非法终端。
上述网络侧设备的功能可以是一个独立的设备实现,例如:通过网络侧的传输设备——汇集交换机实现。也可以是多个设备共同实现。例如:通过网络侧的传输设备和检测服务器共同实现。此时将共享上网用户识别装置中的模块分别设置在传输设备和检测服务器中。
当上述网络侧设备的功能由一个独立设备实现时,获取模块201,具体用于:获取终端发送的TCP报文,对接收到的TCP报文进行分析,根据报文中携带的地址信息端口信息和接收到报文的时间,确定与发送报文的终端对应的传输控制协议第一会话信息。
当上述网络侧设备的功能由传输设备和检测服务器共同实现时,获取模块201设置在检测服务器中,具体用于:接收网络侧的传输设备发送的与发送报文的终端对应的传输控制协议第一会话信息,其中该第一会话信息由传输设备获取终端传输的报文,根据获取到的传输的TCP报文中携带的地址信息、端口信息和接收到报文的时间确定。
如图8所示,为通过网络侧的传输设备和检测服务器共同实现时,共享上网用户识别系统的结构示意图。该系统包括:传输设备(包括接入交换机11、汇集交换机)、检测服务器13和终端(21、22)等。其中本申请中是以由汇集交换机11与检测设备13共同实现为例进行说明的。
该系统还可以包括认证服务器31,用于对终端进行合法性认证,认证通过的终端即为合法终端或称认证终端。下面以21为非法终端、终端22为认证终端为例进行说明。
上述传输设备,用于获取终端传输的报文,根据获取到的传输报文,确定与该终端对应的传输控制协议第一会话信息,并发送给检测服务器。具体为:
接入交换机11接收终端(21、22等)发送的报文,传送给汇集交换机12,由汇集交换机12根据获取到的报文中携带的地址信息、端口信息和接收到报文的时间信息等,确定与发送报文的终端对应的第一会话信息,并发送给检测服务器13。
检测服务器13,用于接收到传输设备发送的第一会话信息,具体是接收汇集交换机12发送的第一会话信息。然后,将第一会话信息与认证通过的合法终端22上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与第一会话信息相匹配的第二会话信息,则确认发送报文的终端为认证通过的合法终端22;否则,确认发送报文的终端为共享上网用户的非法终端21。
实施例一:
本发明实施例一提供一种共享上网用户识别方法,其流程如图9所示,执行步骤如下:
步骤S101:终端发送报文给网络侧设备。
一般终端会将报文发送与自身直接相连的接入交换机,并由接入交换机发送至汇集交换机。
步骤S102:网络侧设备获取终端传输的报文。
本申请中一般由汇集交换机来获取终端传输的报文,并对其进行分析。根据报文中携带的地址信息、端口信息,以及接收到该报文的时间,确定与发送报文的终端对应的传输控制协议第一会话信息。
上述第一会话信息,具体可以包括:源IP地址,目的IP地址、TCP源端口和TCP目的端口。较佳的,进一步还可以包括会话信息的开始时间和/或结束时间。
步骤S103:根据终端传输的报文,获取与该终端对应的传输控制协议第一会话信息。
该步骤中根据实现共享上网用户识别的设备是一个还是多个,分别可以由不同的设备实现。例如:与步骤S102一样由网络侧的传输设备汇集交换机实现,则直接获取上述分析的到第一会话信息即可。又例如:与步骤S102不采用相同的设备实现,由网络侧的检测服务器接收网络侧的传输设备——汇集交换机发送的与发送报文的终端对应的传输控制协议第一会话信息。
步骤S104:接收认证通过的合法终端周期性上报的第二会话信息并存储。
终端接入网络时,向认证服务器提交认证请求,认证通过后,周期性的向传输设备或检测服务器上报自身设置的第二会话信息。一般是上报当前周期内创建的TCP连接的第二会话信息。当由传输设备实现共享用户识别的匹配功能时,向传输设备上报第二会话信息,当由检测服务器实现时,则向检测服务器上报。
网络侧的传输设备或检测服务器接收认证通过的终端周期性上报的当前周期内创建的第二会话信息并存储。
较佳的,当接收到认证通过的终端发送的上报传输控制协议第二会话信息的报文中携带断开TCP连接的信息时,将该TCP连接对应的第二会话信息删除或根据设定的存储时间范围,将设定时间范围之外的第二会话信息删除。
上述第二会话信息,具体可以包括:源IP地址,目的IP地址、TCP源端口和TCP目的端口。较佳的,进一步还可以包括会话信息的开始时间和/或结束时间。
较佳的,认证通过的客户端通过发送报文的方式每次上报至少一个第二会话信息。也就是说,为了保证传输设备或检测服务器不漏接第二会话信息信息,可以在一次上报中携带一个以上的第二会话信息,例如:第一次上报编号为1、2、3的第二会话信息,第二次上报编号为2、3、4的第二会话信息,以此类推,以避免漏接收现象的发生。
步骤S105:将第一会话信息与认证通过的合法终端上报的传输控制协议第二会话信息进行匹配。具体包括:
传输设备确定出第一会话信息时,根据第一会话信息所对应的终端,查找是否存储有与接收到的第一会话信息相匹配的该终端的第二会话信息。或检测服务器接收到传输设备发送的第一会话信息时,根据第一会话信息所对应的终端,查找是否存储有与接收到的第一会话信息相匹配的该终端的第二会话信息。
若存在与第一会话信息相匹配的第二会话信息(即匹配成功),执行步骤S106;否则(即匹配失败),执行步骤S107。
步骤S106:确认发送报文的终端为认证通过的合法终端。
也就是说,当传输设备或检测服务器终存在与发送报文终端的第一会话信息匹配的第二会话信息时,确认发送报文的终端是合法的认证终端。
步骤S107:确认发送报文的终端为共享上网用户的非法终端。
也就是说,当传输设备或检测服务器终不存在与发送报文终端的第一会话信息匹配的第二会话信息时,确认发送报文的终端是非合法的共享上网终端。
实施例二:
本发明实施例二提供一种通过上述图8所示的系统实现共享上网用户识别的方法,其流程如图10所示,执行步骤如下:
步骤S201:终端22向认证服务器31发送认证请求。
终端22可以是个人计算机(PC),也可以是移动终端等。合法用户通过终端22上安装的认证客户端向认证服务器31发送认证请求等认证信息。
步骤S202:认证服务器31对发送请求的终端22进行认证。
认证通过后认证服务器会通知检测服务器终端22通过了认证。认证通过后终端22发送的报文就可以在网络中顺利传输了。
步骤S203:认证通过的终端22向检测服务器13上报传输控制协议会话信息(TCP Session信息),即上面实施例一中的第二会话信息。
终端22认证通过后,将自身应用程序建立的TCP Session的信息,按照设定的时间间隔上报给检测服务器13。
例如:认证终端22建立新的TCP Session信息并记录;包括源IP地址(SIP),目的IP地址(DIP)、TCP源端口(SPORT)、TCP目的端(DPORT)和Session开始时间等。或断开一个已建立的TCP Session信息并记录;包括源IP地址,目的IP地址、TCP源端口和TCP目的端、Session开始时间和结束时间等。
该终端22每隔T1时间(如5秒)向检测服务器发送一次新建立的和/或需要断开的TCP Session信息。
较佳的,如果当前发送周期到期时没有新建立或断开的TCP Session信息需要发送时,可以在当前发送周期时不执行发送。如果需要发送的TCP Session信息太多也可以分成多个报文多次发送。
如下表1所示为终端发送的TCP Session信息的报文内容,该报文的头部增加了表示该报文是从认证终端发送过来的字段,并且在报文头部增加该报文的发送时间。
表1
为了防止报文丢失造成检测服务器不能正确接收到TCP Session信息,可以在一个报文中携带T2-n~T2间隔的所有TCP Session信息的报文。例如:认证终端第40秒(T2=40秒)发送的报文携带第10、20、30、40秒的TCP Session信息,第50秒发送的报文携带第20、30、40、50秒的TCP Session信息。
例如:上述表1所示的发送TCP Session信息的报文为了防止报文丢失,在14:31:00发送的上报信息的报文中携带了开始时间为14:30:05、14:30:10、14:30:15、14:30:20的四个TCP Session信息。
当然,为了更加安全,可以对上报的TCP Session信息的报文进行加密。
步骤S204:终端(21、22等)发送报文给网络侧的接入交换机11。
其中,终端21使用终端22的IP和MAC地址接入网络或使用终端22作为代理服务器接入网络。并向网络侧的接入交换11发送报文。
步骤S205:接入交换机11将报文发送至汇集交换机12。
步骤S206:汇集交换机12获取终端(21、22等)传输的报文并确定与发送报文的终端对应的TCP Session信息,即上述实施例一中的第一会话信息。
汇集交换机12会对经过在自身的所有报文进行检测,并根据报文确定与发送报文的终端对应的TCP Session信息,汇集交换机12可以根据某个终端发送的一个或多个报文确定与发送报文的终端对应的TCP Session信息。
例如:汇集交换机接收到终端发送的报文时,如果该报文中携带有TCP建立连接的标志,则汇集交换机13记录发送该报文的终端新建立的TCP Session信息,包括源IP地址(SIP),目的IP地址(DIP)、TCP源端口(SPORT)、TCP目的端(DPORT)和Session开始时间等。
如果该上报TCP Session的报文中携带有TCP断开连接的标志,则汇集交换机13记录发送该报文的终端断开了一个已建立的TCP连接,删除该TCP连接的TCP Session信息;包括源IP地址,目的IP地址、TCP源端口和TCP目的端、Session开始时间和结束时间等。
步骤S207:汇集交换机将确定的TCP Session信息发送给检测服务器13。
即汇集交换机13自身不实现共享匹配功能时,将确定的TCP Session信息上报给执行该功能的其他网络侧设备。
汇集交换机13每隔设定的时间间隔T1(如5秒)向检测服务器13上报一次检测到的新建立的或断开的TCP Session信息。
较佳的,如果当前发送周期到期时没有新建立或断开的TCP Session信息需要发送时,可以在当前发送周期时不执行上报。如果需要发送的TCP Session信息太多也可以分成多个报文多次发送。
如下表2所示为汇集交换机13上报TCP Session信息的报文内容,该报文的头部增加了表示该报文是从汇集交换机13发送过来的字段,并且在报文头部增加该报文的发送时间。
表2
| Session开始时间 | Session结束时间 | Session信息(SIP、DIP、 |
为了防止报文丢失造成检测服务器不能正确接收到汇集交换机上报的TCP Session信息,可以在一个报文中携带T2-n~T2间隔的所有TCP Session信息的报文。例如:汇集交换机13第40秒(即T2=40秒时)上报的报文携带第10、20、30、40秒的TCP Session信息,第50秒上报的报文携带第20、30、40、50秒的TCP Session信息。
例如:上述表2所示的上报TCP Session信息的报文为了防止报文丢失,在14:33:00发送的上报信息的报文中携带了开始时间为14:32:05、14:32:10、14:32:15、14:32:20、14:32:12的五个TCP Session信息。
当然,为了更加安全,也可以对上报的TCP Session信息的报文进行加密。
步骤S208:检测服务器13接收到汇集交换机12发送的TCP Session信息后,将其与自身存储的认证终端上报的TCP Session信息进行匹配。
即检测服务器13接收到汇集交换机12发送的TCP Session信息时,根据接收到的TCP Session信息所对应的终端,查找是否存储有与接收到的TCPSession信息相匹配的该终端上报的TCP Session信息。即检测服务器13上是否存储有与汇集交换机12发送的TCP Session信息相同的由该终端上报的TCPSession信息。
注:由于检测服务器13中没有存储非法终端的TCP Session信息,因此,对于汇集交换机根据非法终端的报文获取并上报的非法终端TCP Session信息将不能查找到相匹配的存储的TCP Session信息,因此,可以确定该终端为伪装成合法终端共享上网的终端或使用其他终端作为代理服务器上网的终端。
若存在相匹配的TCP Session信息(即匹配成功),执行步骤S209;否则(即匹配失败),执行步骤S210。
当汇集交换机和终端之间不存在时间差问题时,可以直接对接收到的汇集交换机上报的TCP Session信息和存储的由认证终端上报的TCP Session信息进行匹配。当终端和汇集交换机之间有时间差时,需要由检测服务器根据时间戳对接收到的汇集交换机上报的TCP Session信息和存储的由认证终端上报的TCP Session信息中的汇集交换机上报的TCP Session信息和存储的由认证终端上报的TCP Session信息的开始时间和接收时间进行相应的调整后在进行匹配。(注:网络延迟一般较小,因此可以忽略不计)
下面以终端与汇集交换机存在2分钟的时间差为例进行说明,其中,终端与检测服务器的时间差为3分钟,汇集交换机与检测服务器的时间差为1分钟。则检测服务器在2010/02/1 14:34:00接收到上述终端在2010/02/1 14:31:00上报的TCP Session信息和上述汇集交换机在2010/02/1 14:33:00上报的TCP Session信息。
且检测服务器将接收到的上述表1和表2包含的几个TCP Session信息的开始和结束时间进行调整,调整为表3和表4所示的TCP Session信息。
表3
表4
由于检测服务器中保存了设定时间段内认证终端上报的TCP Session信息(例如1分钟内的,或5分钟内的),因此可以将接收到的汇集交换机上报的该时间段内的TCP Session信息与存储的TCP Session信息进行比较。比较算法如下:
检测服务器从接收到的汇集交换机上报的TCP Session信息表终获取一个TCP Session信息,只有该TCP Session的结束时间在设定的时间范围内才可以参加比较,假设只有结束时间早于当前时间(TC)与第一设定值之差(TA),即TC-TA,晚于当前时间(TC)与第二设定值(TA)之差,即TC-TB,即可以参加比较。其中TA、TB均可根据需要设置。
例如,当前时间为2010/02/1 14:34:00,设定的时间范围为2010/02/114:33:20至2010/02/1 14:33:50,只要结束时间在这个范围内的TCP Session信息即可以参加比较。
较佳的,为了进一步提高识别的准确性,可以在接收到的汇集交换机上报的某终端的不匹配的TCP Session信息的数量超过设定阈值时,才确认为非法终端。
步骤S209:确认发送报文的终端为认证通过的合法终端。
例如:发送报文的终端22为认证通过的合法终端。
步骤S210:确认发送报文的终端为共享上网用户的非法终端。
例如:发送报文的终端21为未认证通过的非法终端。
上述方式不仅可以识别出是终端21在共享上网,同时,根据终端21使用的IP、MAC地址等可以确定出其使用哪个合法终端的地址信息或使用哪个合法终端作为代理服务器共享上网。
本申请的上述方法可以通过计算机程序软件实现,也可以通过计算机硬件实现,或者有两者结合实现。即本申请的共享上网用户识别装置可以是网络侧设备软件模块,也可以是网络侧设备的硬件模块。可以设置在至少一台网络测设备中。网络侧设备获取报文的形式也有多种,可以通过报文镜像给独立的硬件模块或者硬件设备,也可以在软件模块内部增加该检测模块。
本申请实施例提供上述共享上网用户识别方法、系统及装置,通过网络侧的传输设备获取传输报文的终端对应的传输控制协议会话信息,与认证终端自身上报的传输控制协议会话信息进行比较,有效地识别出共享上网的用户的终端。该方式能够有效的避免共享上网用户的误检测和漏检测。
上述实现共享上网用户识别的装置可以在网络侧的汇集传输设备、核心管理设备等高层设备上部署,而不需要在每个接入端设备上均进行部署,简化了网络部署的复杂程度、节约了网络部署投入。同时该方式能够有效的识别出是那个用户使用哪个IP、MAC地址共享上网,访问了那些网络资源。以较小的成本、较高的准确度和可靠性,为防止共享上网提供了有力证据。
由于认证终端只能获取本机应用程序建立的TCP Session信息,而经过本机代理其它终端建立的TCP Session信息,认证终端无法获得,因此对于NAT/Proxy代理共享上网方式也能够有效识别。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种共享上网用户识别方法,其特征在于,包括:
网络侧设备根据终端传输的传输控制协议TCP报文,获取与该终端对应的传输控制协议第一会话信息;
将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;
若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端;其中,所述第一会话信息和第二会话信息,包括源互联网协议IP地址、目的IP地址、传输控制协议TCP源端口和TCP目的端口,还包括所述会话信息的开始时间和/或结束时间。
2.如权利要求1所述的方法,其特征在于,所述网络侧设备根据终端传输的TCP报文,获取与该终端对应的传输控制协议第一会话信息,具体包括:
网络侧的传输设备获取终端发送的TCP报文,对接收到的TCP报文进行分析,根据所述报文中携带的地址信息、端口信息和接收到报文的时间,确定与发送报文的终端对应的传输控制协议第一会话信息;或
网络侧的检测服务器接收网络侧的传输设备发送的与发送报文的终端对应的传输控制协议第一会话信息,其中所述第一会话信息由所述传输设备获取终端传输的TCP报文,根据获取到的传输的TCP报文中携带的地址信息、端口信息和接收到报文的时间确定。
3.如权利要求2所述的方法,其特征在于,所述将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配,包括:
网络侧的所述传输设备或检测服务器接收认证通过的合法终端周期性上报的当前周期内创建的所述第二会话信息并存储;以及
所述传输设备确定出所述第一会话信息时根据所述第一会话信息所对应的终端,查找是否存储有与接收到的第一会话信息相匹配的该终端已建立的TCP连接的第二会话信息;或所述检测服务器接收到所述传输设备发送的所述第一会话信息时,根据所述第一会话信息所对应的终端,查找是否存储有与接收到的第一会话信息相匹配的该终端已建立的TCP连接的第二会话信息。
4.如权利要求3所述的方法,其特征在于,所述认证通过的合法终端通过发送报文的方式每次上报至少一个所述第二会话信息。
5.如权利要求3所述的方法,其特征在于,还包括:
当网络侧设备接收到认证通过的合法终端发送的上报传输控制协议第二会话信息的报文中携带TCP连接的断开信息时,将该TCP连接对应的所述第二会话信息删除;或
根据设定的存储时间范围,将设定时间范围之外的所述第二会话信息删除。
6.一种共享上网用户识别系统,其特征在于,包括:网络侧设备和终端;
所述网络侧设备,用于根据所述终端传输的传输控制协议TCP报文,获取与该终端对应的传输控制协议第一会话信息;将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端;其中,所述第一会话信息和第二会话信息,包括源互联网协议IP地址、目的IP地址、传输控制协议TCP源端口和TCP目的端口,还包括所述会话信息的开始时间和/或结束时间;
所述终端,用于发送数据报文到网络侧设备,以及上报传输控制协议第二会话信息给网络侧设备。
7.如权利要求6所述的系统,其特征在于,所述网络侧设备,包括:传输设备和检测服务器;
所述传输设备,用于获取终端传输的TCP报文,根据获取到的传输报文中携带的地址信息、端口信息和接收到报文的时间,确定与该终端对应的传输控制协议第一会话信息,并发送给所述检测服务器;
所述检测服务器,用于接收到所述传输设备发送的所述第一会话信息,将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端。
8.如权利要求6或7所述的系统,其特征在于,所述网络侧设备,还用于:
当接收到认证通过的合法终端发送的上报传输控制协议第二会话信息的报文中携带TCP连接的断开信息时,将该TCP连接对应的所述第二会话信息删除;或根据设定的存储时间范围,将设定时间范围之外的所述第二会话信息删除。
9.一种共享上网用户识别装置,其特征在于,包括:
获取模块,用于根据终端传输的传输控制协议TCP报文,获取与传输报文的终端对应的传输控制协议第一会话信息;
匹配模块,用于将所述第一会话信息与认证通过的合法终端上报的已建立的TCP连接的传输控制协议第二会话信息进行匹配;
确定模块,用于若存在与所述第一会话信息相匹配的所述第二会话信息,则确认发送所述报文的终端为认证通过的合法终端;否则,确认发送所述报文的终端为共享上网用户的非法终端;其中,所述第一会话信息和第二会话信息,包括源互联网协议IP地址、目的IP地址、传输控制协议TCP源端口和TCP目的端口,还包括所述会话信息的开始时间和/或结束时间。
10.如权利要求9所述的装置,其特征在于,所述获取模块,具体用于:
获取终端发送的TCP报文,对接收到的TCP报文进行分析,根据所述报文中携带的地址信息、端口信息和接收到报文的时间,确定与发送报文的终端对应的传输控制协议第一会话信息;或
接收网络侧的传输设备发送的与发送报文的终端对应的传输控制协议第一会话信息,其中所述第一会话信息由所述传输设备获取终端传输的TCP报文,根据获取到的传输的TCP报文中携带的地址信息、端口信息和接收到报文的时间确定。
11.如权利要求9所述的装置,其特征在于,所述匹配模块,具体包括:
接收单元,用于接收认证通过的合法终端周期性上报的当前周期内创建的所述第二会话信息;
存储单元,用于存储接收单元接收到的所述第二会话信息;
匹配单元,用于所述获取模块接收到所述第一会话信息时,根据所述第一会话信息所对应的终端,查找是否存储与接收到的第一会话信息相匹配的该终端已建立的TCP连接的第二会话信息。
12.如权利要求11所述的装置,其特征在于,所述存储单元,还用于:
当所述接收单元接收到认证通过的合法终端发送的上报传输控制协议第二会话信息的报文中携带TCP连接的断开信息时,将对应的所述第二会话信息删除;或根据设定的存储时间范围,将设定时间范围之外的所述第二会话信息删除。
13.一种网络侧设备,其特征在于,包括:如权利要求9-12任一所述的共享上网用户识别装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010154175XA CN101841445B (zh) | 2010-04-20 | 2010-04-20 | 共享上网用户识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010154175XA CN101841445B (zh) | 2010-04-20 | 2010-04-20 | 共享上网用户识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101841445A CN101841445A (zh) | 2010-09-22 |
| CN101841445B true CN101841445B (zh) | 2012-07-25 |
Family
ID=42744583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010154175XA Active CN101841445B (zh) | 2010-04-20 | 2010-04-20 | 共享上网用户识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101841445B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101980477B (zh) * | 2010-10-09 | 2013-01-30 | 北京星网锐捷网络技术有限公司 | 检测影子用户的数目的方法和装置及网络设备 |
| CN102833264B (zh) * | 2012-09-07 | 2016-03-30 | 北京星网锐捷网络技术有限公司 | 防止认证用户通过代理逃费的方法、装置和认证客户端 |
| CN108024291B (zh) * | 2016-11-01 | 2023-02-24 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
| CN106534397A (zh) * | 2016-11-14 | 2017-03-22 | 锐捷网络股份有限公司 | 一种确定地址仿冒用户的方法和装置 |
| CN107071085A (zh) * | 2017-04-19 | 2017-08-18 | 新华三技术有限公司 | 网络设备mac地址配置方法及装置 |
| CN109981661B (zh) * | 2019-03-29 | 2022-04-22 | 新华三技术有限公司 | 一种监测mac地址的方法、装置及电子设备 |
| CN112787975B (zh) * | 2019-11-05 | 2022-06-10 | 华为技术有限公司 | 一种接入设备类型确定方法、设备及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070038604A (ko) * | 2005-10-06 | 2007-04-11 | 주식회사 케이티 | 세션정보 제공 방법 및 시스템 |
| CN1953452A (zh) * | 2006-10-24 | 2007-04-25 | 中国科学院电工研究所 | 一种流媒体的动态认证及授权方法 |
| JP2007108968A (ja) * | 2005-10-13 | 2007-04-26 | Hitachi Ltd | 情報処理方法及び情報処理装置 |
| CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| CN101431424A (zh) * | 2008-12-12 | 2009-05-13 | 南京邮电大学 | 一种基于数据包的计费方法 |
-
2010
- 2010-04-20 CN CN201010154175XA patent/CN101841445B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070038604A (ko) * | 2005-10-06 | 2007-04-11 | 주식회사 케이티 | 세션정보 제공 방법 및 시스템 |
| JP2007108968A (ja) * | 2005-10-13 | 2007-04-26 | Hitachi Ltd | 情報処理方法及び情報処理装置 |
| CN1953452A (zh) * | 2006-10-24 | 2007-04-25 | 中国科学院电工研究所 | 一种流媒体的动态认证及授权方法 |
| CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| CN101431424A (zh) * | 2008-12-12 | 2009-05-13 | 南京邮电大学 | 一种基于数据包的计费方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101841445A (zh) | 2010-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101841445B (zh) | 共享上网用户识别方法及装置 | |
| US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
| US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
| CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
| US20070294753A1 (en) | Adaptor or ic card for encrypted communication on network | |
| US8214534B2 (en) | Method and apparatus for outputting event of third party device in home network supporting UPnP remote protocol | |
| US20080072289A1 (en) | Unauthorized Connection Detection System and Unauthorized Connection Detection Method | |
| CN103095732A (zh) | 信息推送系统和信息推送方法 | |
| JP2012080418A (ja) | ネットワーク認証における端末接続状態管理 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| CN101252584B (zh) | 双向转发检测协议会话的认证方法、系统和设备 | |
| CN102271132A (zh) | 一种访问网络权限的控制方法、系统及客户端 | |
| CN105262773B (zh) | 一种物联网系统的验证方法及装置 | |
| CN101611608A (zh) | 用于限制ip(因特网协议)网络的广播域中一个节点与其他节点进行通信的方法和系统 | |
| JP5619691B2 (ja) | 機器管理装置、機器管理方法および機器管理用プログラム | |
| EP1895718B1 (en) | Method and apparatus for checking Maintenance Association integrity and method and apparatus for adding Maintenance End Point | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN100499524C (zh) | 通过探测客户端维护dhcp安全特性表的方法与装置 | |
| CN101399709B (zh) | 一种网络监控方法、装置和系统 | |
| CN101383818A (zh) | 一种接入网络的处理方法及装置 | |
| CN111917706A (zh) | 一种识别nat设备及确定nat后终端数的方法 | |
| US20050273606A1 (en) | Communication system, communication apparatus, operation control method, and program | |
| CN104702612B (zh) | 一种用户认证处理方法及装置 | |
| CN112261055B (zh) | 一种实时数据定向推送的方法、系统及其网关设备 | |
| CN107800715B (zh) | 一种Portal认证方法及接入设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING Z-GOOD TECHNOLOGY SERVICE CO., LTD. Free format text: FORMER OWNER: BEIJING XINGWANG RUIJIE NETWORK TECHNOLOGIES CO., LTD. Effective date: 20150120 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100036 HAIDIAN, BEIJING TO: 100085 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150120 Address after: 100085 Beijing city Haidian District No. 33 Xiaoying Road 1 1F06 room Patentee after: BEIJING ZHIGU TECHNOLOGY SERVICES CO., LTD. Address before: 100036 Beijing Haidian District City 33 Fuxing Road Cuiwei East 1106 Patentee before: Beijing Xingwang Ruijie Network Technologies Co., Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20100922 Assignee: Beijing Xingwang Ruijie Network Technologies Co., Ltd. Assignor: BEIJING ZHIGU TECHNOLOGY SERVICES CO., LTD. Contract record no.: 2015990000068 Denomination of invention: User identifying method and device for internet connection sharing Granted publication date: 20120725 License type: Common License Record date: 20150213 |