CN107342903A - 一种旁路认证和审计方法 - Google Patents
一种旁路认证和审计方法 Download PDFInfo
- Publication number
- CN107342903A CN107342903A CN201710583418.3A CN201710583418A CN107342903A CN 107342903 A CN107342903 A CN 107342903A CN 201710583418 A CN201710583418 A CN 201710583418A CN 107342903 A CN107342903 A CN 107342903A
- Authority
- CN
- China
- Prior art keywords
- user
- certification
- audit device
- audit
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
Abstract
本发明公开了一种旁路认证和审计方法,包括如下步骤:步骤(1)、将认证和审计设备接入到三层交换机或路由器上,并且与用户终端网络隔离;步骤(2)、使用三层交换机或路由器的端口镜像功能,将用户的上网数据镜像到认证和审计设备上;步骤(3)、认证和审计设备根据用户的网关的MAC地址来判断数据的方向;步骤(4)、在认证和审计设备分析用户的网络访问请求,进行对用户数据的审计和认证功能。本方法可以避免用户改变网络的拓扑结构,减少了用户的改造成本。本方法使用时降低用户对设备性能的要求,降低成本。用户在使用过程中如设备发生故障时,只是认证及审计功能失效,对用户正常的网络访问无影响。
Description
技术领域
本发明涉及一种旁路认证和审计方法。
背景技术
随着公共网络的普及,网络安全变得越来越重要。网络布署时,对认证及审计的需求也越来越多,包括许多已存在的现网进行重新布署改造。认证及审计功能的实现必须依靠用户访问网的数据流,利用控制或截取用户的上网数据实现认证及审计。在现网改造的过程中,减少改造成本、减少维护人力及性能要求成为客户的首要选择条件。目前有一种方案可实现上述功能:将认证及审计设备嵌入到现网中,即控制终端原数据流,将设备嵌入到用户访问网络的主干网络中,因用户的数据流需要设备转发,所以可以通过截取用户的http请求,达到http认证的目的,数据流可直接拷贝到用户态,进行审计数据的收集,此方案在使用时,因需要改变现网的网络结构,消耗很多不必要的人力,且对设备的转发性能要求很高,成本较大,当设备出现故障时,会造成网络瘫痪,还要考虑是否做主备,给人们带来不利。
发明内容
本发明的目的是克服现有产品中的不足,提供一种旁路认证和审计方法。
为了达到上述目的,本发明是通过以下技术方案实现的:
一种旁路认证和审计方法,包括如下步骤:
步骤(1)、将认证和审计设备接入到三层交换机或路由器上,并且与用户终端网络隔离;
步骤(2)、使用三层交换机或路由器的端口镜像功能,将用户的上网数据镜像到认证和审计设备上;
步骤(3)、认证和审计设备根据用户的网关的MAC地址来判断数据的方向;
步骤(4)、在认证和审计设备分析用户的网络访问请求,进行对用户数据的审计和认证功能。
所述步骤(1)、将认证和审计设备的WAN口接入到三层交换机或路由器上,并且与用户终端网络隔离。
所述步骤(2)、使用三层交换机或路由器的端口镜像功能,将用户的上网数据镜像到认证和审计设备LAN口上。
所述数据的方向包括两种方向,分别是用户发出的数据和发给用户的数据。
所述进行对用户数据的认证功能包括如下步骤:
a、用户访问网站数据,向网站服务器发送SYN报文;
b、将SYN报文通过三层交换机或路由器的镜像功能发送到认证与审计设备上;
c、认证和审计设备通过SYN报文中的目的MAC地址判断报文是否是用户发出的报文,若是用户发出的报文则进行步骤d,若不是则停止;
d、认证和审计设备根据用户的MAC地址判断是否为已认证,若为已认证则SYN报文直接丢弃,停止退出,否则判断用户访问是否为80端口,若用户访问非80端口则认证和审计设备模拟网站服务器向用户发送RST请求,强制用户断开连接,停止退出,否则进行步骤e;
e、认证和审计设备模拟网站服务器向用户发送SYN-ACK报文,认证和审计设备与用户建立虚似连接;
f、用户向网站发送HTTP的GET请求时,认证和审计设备通过模拟网站向用户发送HTTP的302请求,使得用户主动请求到认证与审计设备的认证页面;
g、用户主动填写手机号码并获取验证码后进行认证上网,认证后用户的SYN报文直接丢弃。
本发明的有益效果如下:现网需要认证及审计的功能进行改造时,本方法可以避免用户改变网络的拓扑结构,减少了用户的改造成本。本方法使用时降低用户对设备性能的要求,降低成本。用户在使用过程中如设备发生故障时,只是认证及审计功能失效,对用户正常的网络访问无影响。
具体实施方式
下面对本发明的技术方案作进一步说明:
一种旁路认证和审计方法,其特征在于,包括如下步骤:
步骤(1)、将认证和审计设备的WAN口接入到三层交换机或路由器上,并且与用户终端网络隔离;
步骤(2)、使用三层交换机或路由器的端口镜像功能,将用户的上网数据镜像到认证和审计设备LAN口上;
步骤(3)、认证和审计设备根据用户的网关的MAC地址来判断数据的方向;
步骤(4)、在认证和审计设备分析用户的网络访问请求,进行对用户数据的审计和认证功能。
所述数据的方向包括两种方向,分别是用户发出的数据和发给用户的数据。
所述进行对用户数据的认证功能包括如下步骤:
a、用户访问网站数据,向网站服务器发送SYN报文;
b、将SYN报文通过三层交换机或路由器的镜像功能发送到认证与审计设备上;
c、认证和审计设备通过SYN报文中的目的MAC地址判断报文是否是用户发出的报文,若是用户发出的报文则进行步骤d,若不是则停止;
d、认证和审计设备根据用户的MAC地址判断是否为已认证,若为已认证则SYN报文直接丢弃,停止退出,否则判断用户访问是否为80端口,若用户访问非80端口则认证和审计设备模拟网站服务器向用户发送RST请求,强制用户断开连接,停止退出,否则进行步骤e;
e、认证和审计设备模拟网站服务器向用户发送SYN-ACK报文,认证和审计设备与用户建立虚似连接;
f、用户向网站发送HTTP的GET请求时,认证和审计设备通过模拟网站向用户发送HTTP的302请求,使得用户主动请求到认证与审计设备的认证页面;
g、用户主动填写手机号码并获取验证码后进行认证上网,认证后用户的SYN报文直接丢弃。
审计功能流程如下
1、认证和审计设备获取到三层交换机或路由器发送过来的镜像报文
2、解析报文,包括协议、内容
3、将解析到的用户的虚拟身份及上网记录上传到公安审计
现网需要认证及审计的功能进行改造时,本方法可以避免用户改变网络的拓扑结构,减少了用户的改造成本。本方法使用时降低用户对设备性能的要求,降低成本。用户在使用过程中如设备发生故障时,只是认证及审计功能失效,对用户正常的网络访问无影响。
需要注意的是,以上列举的仅是本发明的一种具体实施例。显然,本发明不限于以上实施例,还可以有许多变形,总之,本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (5)
1.一种旁路认证和审计方法,其特征在于,包括如下步骤:
步骤(1)、将认证和审计设备接入到三层交换机或路由器上,并且与用户终端网络隔离;
步骤(2)、使用三层交换机或路由器的端口镜像功能,将用户的上网数据镜像到认证和审计设备上;
步骤(3)、认证和审计设备根据用户的网关的MAC地址来判断数据的方向;
步骤(4)、在认证和审计设备分析用户的网络访问请求,进行对用户数据的审计和认证功能。
2.根据权利要求1所述一种旁路认证和审计方法,其特征在于,所述步骤(1)、将认证和审计设备的WAN口接入到三层交换机或路由器上,并且与用户终端网络隔离。
3.根据权利要求1所述一种旁路认证和审计方法,其特征在于,所述步骤(2)、使用三层交换机或路由器的端口镜像功能,将用户的上网数据镜像到认证和审计设备LAN口上。
4.根据权利要求1所述一种旁路认证和审计方法,其特征在于,所述数据的方向包括两种方向,分别是用户发出的数据和发给用户的数据。
5.根据权利要求1所述一种旁路认证和审计方法,其特征在于,所述进行对用户数据的认证功能包括如下步骤:
a、用户访问网站数据,向网站服务器发送SYN报文;
b、将SYN报文通过三层交换机或路由器的镜像功能发送到认证与审计设备上;
c、认证和审计设备通过SYN报文中的目的MAC地址判断报文是否是用户发出的报文,若是用户发出的报文则进行步骤d,若不是则停止;
d、认证和审计设备根据用户的MAC地址判断是否为已认证,若为已认证则SYN报文直接丢弃,停止退出,否则判断用户访问是否为80端口,若用户访问非80端口则认证和审计设备模拟网站服务器向用户发送RST请求,强制用户断开连接,停止退出,否则进行步骤e;
e、认证和审计设备模拟网站服务器向用户发送SYN-ACK报文,认证和审计设备与用户建立虚似连接;
f、用户向网站发送HTTP的GET请求时,认证和审计设备通过模拟网站向用户发送HTTP的302请求,使得用户主动请求到认证与审计设备的认证页面;
g、用户主动填写手机号码并获取验证码后进行认证上网,认证后用户的SYN报文直接丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710583418.3A CN107342903A (zh) | 2017-07-18 | 2017-07-18 | 一种旁路认证和审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710583418.3A CN107342903A (zh) | 2017-07-18 | 2017-07-18 | 一种旁路认证和审计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107342903A true CN107342903A (zh) | 2017-11-10 |
Family
ID=60219765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710583418.3A Pending CN107342903A (zh) | 2017-07-18 | 2017-07-18 | 一种旁路认证和审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107342903A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259509A (zh) * | 2018-02-27 | 2018-07-06 | 世纪龙信息网络有限责任公司 | 网络接入认证方法、系统、计算机设备和存储介质 |
| CN108965307A (zh) * | 2018-07-26 | 2018-12-07 | 深信服科技股份有限公司 | 基于https协议密文数据审计方法、系统及相关装置 |
| CN114124473A (zh) * | 2021-11-02 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7730521B1 (en) * | 2004-09-23 | 2010-06-01 | Juniper Networks, Inc. | Authentication device initiated lawful intercept of network traffic |
| CN105592038A (zh) * | 2015-07-13 | 2016-05-18 | 杭州华三通信技术有限公司 | Portal认证方法及装置 |
| CN106211217A (zh) * | 2015-04-30 | 2016-12-07 | 深圳市商机无限网络科技有限公司 | 一种wifi网络安全审计方法、平台 |
-
2017
- 2017-07-18 CN CN201710583418.3A patent/CN107342903A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7730521B1 (en) * | 2004-09-23 | 2010-06-01 | Juniper Networks, Inc. | Authentication device initiated lawful intercept of network traffic |
| CN106211217A (zh) * | 2015-04-30 | 2016-12-07 | 深圳市商机无限网络科技有限公司 | 一种wifi网络安全审计方法、平台 |
| CN105592038A (zh) * | 2015-07-13 | 2016-05-18 | 杭州华三通信技术有限公司 | Portal认证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 林元华: "基于旁路接入的互联网访问内容审计系统设计", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259509A (zh) * | 2018-02-27 | 2018-07-06 | 世纪龙信息网络有限责任公司 | 网络接入认证方法、系统、计算机设备和存储介质 |
| CN108965307A (zh) * | 2018-07-26 | 2018-12-07 | 深信服科技股份有限公司 | 基于https协议密文数据审计方法、系统及相关装置 |
| CN114124473A (zh) * | 2021-11-02 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
| CN114124473B (zh) * | 2021-11-02 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 基于端口镜像的网络准入认证系统及认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN104662873B (zh) | 用于减少由迁移引起的核心网络流量的方法和装置 | |
| CN102724189B (zh) | 一种控制用户url访问的方法及装置 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| US20080092213A1 (en) | Method, system and server for realizing secure assignment of dhcp address | |
| CN100571216C (zh) | 网络访问控制方法及系统 | |
| CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
| WO2005036852A8 (en) | Apparatuses and method for authentication in heterogeneuous ip networks | |
| CN107342903A (zh) | 一种旁路认证和审计方法 | |
| CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
| CN103701760A (zh) | 无线局域网Portal认证方法、系统及Portal服务器 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN104270325B (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
| CN101098292A (zh) | 在接入设备上减少用户地址解析协议广播的方法 | |
| CN101217508A (zh) | 一种基于即时通信平台的网络代理系统及其实现方法 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| CN110647698A (zh) | 页面加载方法、装置、电子设备及可读存储介质 | |
| CN110012322B (zh) | 一种视联网业务发起的方法和系统 | |
| CN111107060B (zh) | 一种登录请求处理方法、服务器、电子设备及存储介质 | |
| CN103236976A (zh) | 一种POS机Wi-Fi与以太网共存的多路由机制 | |
| CN1538706A (zh) | 一种用于web认证的http重定向方法 | |
| CN110324678B (zh) | 传输监控资源的方法、装置、电子设备及可读存储介质 | |
| CN101227477A (zh) | 一种用户终端接入认证的实现方法 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN109495477A (zh) | 一种认证方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171110 |