CN1271816C - 包过滤的网络协议层用户认证方法 - Google Patents
包过滤的网络协议层用户认证方法 Download PDFInfo
- Publication number
- CN1271816C CN1271816C CN 02126013 CN02126013A CN1271816C CN 1271816 C CN1271816 C CN 1271816C CN 02126013 CN02126013 CN 02126013 CN 02126013 A CN02126013 A CN 02126013A CN 1271816 C CN1271816 C CN 1271816C
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- client
- information
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种包过滤的网络协议层用户认证方法,至少包括:防火墙对客户端访问网络的请求进行基于链路层或网络协议层的认证;防火墙根据认证结果对客户端的访问进行控制。本发明提供的方法,在网络协议层实现对用户的认证,认证后,对数据包进行访问控制,并且该控制与具体的应用协议无关;同时,网络服务的数据包可以直接在内核包过滤部分处理,提高了过滤的效率。再有就是可以实现对用户的流量统计,可以精确地统计用户发出/接收到每一个网络协议包以及用户使用网络的总时间。
Description
技术领域:
本发明涉及一种包过滤的网络协议(网络协议,Internet Protocol)层用户认证方法,特别涉及一种内网用户通过防火墙访问外网资源的认证方法,属于计算机网络安全技术领域。
背景技术:
计算机的发展和网络技术的普及,从各个方面改善着人类的生活;但是,伴随着网络技术的发展,网络的安全性更加不容忽视;因此,目前,网络安全正成为人们日益关注的热点问题。为了保证自身网络及数据的安全,越来越多的组织在其内部网络和外部网(例如:互联网—Internet)之间设置防火墙来保护其内部的资源不被入侵;同时,也利用防火墙控制其网络内部机器访问Internet的范围和时间。
但是,现有的防火墙上普遍使用的应用代理的认证技术尚存在着一些不足:
1、在应用代理(网关)一级的认证技术只能对特定的网络服务(例如:HTTP/FTP)作认证,而且有可代理服务数量方面的限制;因此,存在着其他大量的网络服务无法在应用代理一级做认证的问题。
2、对于需要认证的网络服务来说,如果在应用代理做认证,所有和认证相关的信息都存放在应用层;这样,所有该网络服务的数据包需要上传到应用层进行处理,需要进出内核各一次,这样的处理效率很低,系统的负荷大。
3、此外,在对用户做计费统计时,如果在应用网关一级做统计,往往只能对某些特定的网络服务类型来做统计,不能统计该用户使用的所有服务的流量以及时间,统计的准确性和有效性大打折扣。
发明内容:
本发明的主要目的在于提供一种包过滤的网络协议层用户认证方法,在网络协议层实现用户认证,认证后,对数据包的控制与应用协议无关。
本发明的又一目的在于提供一种包过滤的网络协议层用户认证方法,网络服务的数据包可以直接在内核包过滤部分处理,提高过滤的效率。
本发明的另一目的在于提供一种包过滤的网络协议层用户认证方法,其可以对用户实现流量统计,可以精确地统计用户发出/接收到每一个网络协议包以及用户使用网络的总时间。
本发明是这样实现的:
一种包过滤的网络协议层用户认证方法,至少包括如下步骤:
步骤1:防火墙对客户端访问网络的请求进行基于链路层或网络协议层的认证;
步骤2:防火墙根据认证结果对客户端的访问进行控制。
上述的步骤1具体包括:
步骤11:客户端向防火墙提交认证请求信息;
步骤12:防火墙根据认证协议对客户端的身份信息进行认证;
步骤13:如果认证成功,防火墙将认证结果和相应的安全规则信息传送到防火墙中、对客户端访问进行控制的访问控制模块,执行步骤15;
步骤14:如果认证不成功,防火墙向其访问控制模块发出拒绝客户端通过防火墙的安全规则;
步骤15:结束认证。
上述的步骤2具体为:
步骤21:记录用户登录的时间;
步骤22:根据登录用户的用户策略表相应中的安全规则,控制该用户访问的网络资源;
步骤23:用户根据防火墙的安全规则通过防火墙访问被开放的网络服务;
步骤24:防火墙内核对收到的每一个来自或发往用户的IP数据包直接由链路层或IP层包过滤模块进行访问控制;
步骤25:对该用户收发的IP数据包进行统计,分别累计该用户的流出流量和流入流量;
步骤26:当用户断开认证连接,或者是认证连接超时,防火墙记录结束认证连接的时间,并根据认证连接的开始和结束时间计算该用户该次认证连接使用网络服务的时间。
当用户断开认证连接或者上述的认证连接超时,防火墙清除为该客户端添加的安全规则,清除状态表中该用户正在进行的网络服务;并获取和记录该用户在认证连接保持期间通过防火墙的流量。
上述的认证过程还包括:
步骤31:服务器返回给客户端认证协议;
步骤32:客户端收到该协议包后,把密码直接发给服务器;
步骤33:服务器收到客户端发来的密码,并对密码进行校验;
步骤34:如果密码不匹配,则通知客户端出错返回;
步骤35:否则,记录用户登陆并给用户授权。
上述的用户策略表至少包括:用户名或用户识别标识号、时间段信息、地址段信息、同时连接数信息。
上述的用户策略表还可以包括:用户账号有效期信息、用户账号有效信息。
所述的安全规则信息至少包括:客户端地址、源端口范围信息、目的地址段信息,目的端口范围信息,协议信息,流量累计数据。
所述的安全规则信息还包括:规则有效时间信息、派生该规则的认证连接表表项的索引值;并且当安全规则达到有效期后,防火墙清除该规则。
本发明提供的方法,在网络协议层实现对用户的认证,认证后,对数据包进行访问控制,并且该控制与具体的应用协议无关。同时,网络服务的数据包可以直接在内核包过滤部分处理,提高了过滤的效率。再有就是可以实现对用户的流量统计,可以精确地统计用户发出/接收到每一个网络协议包以及用户使用网络的总时间。
附图说明:
图1为本发明的主流程示意图。
图2为本发明认证过程的流程示意图。
图3为为本发明在客户端建立连接后控制网络服务的流程图。
图4为本发明根据密码进行认证处理的流程图。
具体实施方式:
以下结合附图和具体的实施例对本发明做进一步的详细说明:
参见图1、图2、图3,本发明的核心在于:
首先,防火墙对客户端访问网络的请求进行基于链路层或网络协议层的认证;
其次,防火墙根据认证结果对客户端的访问进行控制。
防火墙对客户端访问网络的请求进行基于链路层或网络协议层的认证过程具体包括:
步骤11:客户端向防火墙提交认证请求信息;
步骤12:防火墙根据认证协议对客户端的身份信息进行认证;
步骤13:如果认证成功,防火墙将认证结果和相应的安全规则信息传送到防火墙中、对客户端访问进行控制的访问控制模块,执行步骤15;
步骤14:如果认证不成功,防火墙向其访问控制模块发出拒绝客户端通过防火墙的安全规则;
步骤15:结束认证。
防火墙根据认证结果对客户端的访问进行的控制具体为:
步骤21:记录用户登录的时间;
步骤22:根据登录用户的用户策略表相应中的安全规则,控制该用户访问的网络资源;
步骤23:用户根据防火墙的安全规则通过防火墙访问被开放的网络服务;
步骤24:防火墙内核对收到的每一个来自或发往用户的IP数据包直接由链路层或IP层包过滤模块进行访问控制;
步骤25:对该用户收发的IP数据包进行统计,分别累计该用户的流出流量和流入流量;
步骤26:当用户断开认证连接,或者是认证连接超时,防火墙记录结束认证连接的时间,并根据认证连接的开始和结束时间计算该用户该次认证连接使用网络服务的时间。
结合状态包过滤表,防火墙可实现对用户区分和流量统计。其实现具有多种方式。例如:所述的用户策略表,用户表,认证连接表和认证规则表,既可以采取静态链表,即:数组;或采用动态链表,即:通过动态申请内存来创建的方式来实现;同时,还可以有线性表(顺序表),或者是索引表,散列表(HASH表)的差别;并且每个表的具体内容也可以在必须有的内容外,外加其他附属的或特定的属性,从而造成差别,甚至拆分成多个表。
以上所述的每个表的主要属性信息参见如下的定义:
1、用户策略表至少包括:用户名或用户识别标识号、时间段信息、地址段信息、同时连接数量信息;还可包括:用户账号有效期限信息、用户账号有效信息。
2、用户表至少包括:用户名或用户识别标识号、连接数量信息、流量累计值;还可包括:最近一次成功登陆在认证连接表中的索引值、指向同一组用户的指针信息。
3、认证连接表至少包括:客户端地址、到期时间信息、流量累计值;还可包括:登陆成功的时间信息和本次认证连接到期的时间信息。
4、认证规则表至少包括:客户端地址,源端口范围信息、目的地址段信息、目的端口范围信息、协议信息、流量累计信息;还可包括:规则有效时间信息、派生该规则的认证连接表表项索引值。
以明文口令认证为例,具体的认证过程还包括:
首先,服务器端返回给客户端认证协议为“明文口令”;
其次,客户端收到该协议包后,把密码直接发给服务器;
然后,服务器收到客户端发来的密码,对该密码进行校验;
最后,如果该密码不匹配,则通知客户端出错返回;否则,记录用户登陆和给用户授权的过程。
如果该用户是第一次登陆,防火墙则添加一个新的表项,填入用户名或该用户的识别标识号,并将连接数信息和流量累计值清零;同时,如果该用户被定义了指向同一组用户的指针,防火墙则还可以建立与本组用户的连接,否则,仅将连接计数累加一个固定的步长值,例如1。
更新认证连接表;防火墙添加一新的表项,填入用户的网络协议地址,设置指向用户表中该用户项的指针,并将本次连接的流量累计值清零。
如果定义了本次连接的失效时间,防火墙则还应计算并设置该值,当失效时间到达时,该连接表项将被防火墙清除;如果定义了本次连接的起始时间,防火墙则将当前的系统时间填入,这样,防火墙可以利用该值来统计用户使用了多长时间。
如果在用户表中定义了最近一次成功登陆在认证连接表中的索引值,防火墙则将当前认证表项的索引值填入到用户表中的相应项内。
防火墙为用户可以享有每项服务都添加相应规则,并将流量累计清零;用户通过该规则使用的流量将被保存在流量累计项中。
如果定义了规则有效时间,防火墙则计算出每一条规则的有效时间,达到该时间后,该规则被防火墙自动清除。
如果定义了派生该规则的认证连接表表项的索引值,防火墙则将该用户在认证连接表中的索引值填入,可以利用该信息来快速定位规则对应的连接表项。因为在规则被清除时,需要将该规则作用下使用的流量累加到连接表项中。
防火墙将在用户表中为该用户增加一项(或仅增加计数,若该用户项已经存在),在认证连接表中为该用户的这次连接增加一项,并根据包过滤规则,向认证规则表中,为这次认证连接添加相应的表项,使得用户可以访问外部的资源。
每一次内部用户访问外部网络的连接,防火墙都将由认证规则表在状态表中派生出来相应的表项;这个派生出来的表项用于统计本次连接使用的流量。当本次连接中止时,该连接使用的流量将累加到对应的认证规则表的表项中。
当每一认证规则表的表项被清除时(比如该规则生存时间已到,或者用户退出,中止认证连接)时,防火墙在该规则作用下使用的累计流量将又被累加到认证连接表中对应的表项。因此,防火墙可以统计出每次认证连接时访问外部网络使用的流量。
同样,当用户中止认证连接时,本次认证连接访问外网使用的流量也会累计到在用户表中该用户对应的项目下,从而实现了统计每个用户所使用的流量。
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1、一种包过滤的网络协议层用户认证方法,其特征在于:至少包括如下步骤:
步骤1:防火墙对客户端访问网络的请求进行基于链路层或网络协议层的认证;具体为:
步骤11:客户端向防火墙提交认证请求信息;
步骤12:防火墙根据认证协议对客户端的身份信息进行认证;
步骤2:防火墙根据认证结果对客户端的访问进行控制;具体为:
步骤21:记录用户登录的时间;
步骤22:根据登录用户的用户策略表中相应的安全规则,控制该用户访问的网络资源
步骤23:用户根据防火墙的安全规则通过防火墙访问被开放的网络服务;
步骤24:防火墙内核对收到的每一个来自或发往用户的IP数据包直接由链路层或IP层包过滤模块进行访问控制;
步骤25:对该用户收发的IP数据包进行统计,分别累计该用户的流出流量和流入流量;
步骤26:当用户断开认证连接,或者是认证连接超时,防火墙记录结束认证连接的时间,并根据认证连接的开始和结束时间计算该用户该次认证连接使用网络服务的时间。
2、根据权利要求1所述的包过滤的网络协议层用户认证方法,其特征在于:所述的步骤12之后还包括:
步骤13:如果对客户端的身份信息所进行的认证成功,防火墙将认证结果和相应的安全规则信息传送到防火墙中对客户端访问进行控制的访问控制模块,执行步骤15;
步骤14:如果对客户端的身份信息所进行的认证不成功,防火墙向其访问控制模块发出拒绝客户端通过防火墙的安全规则;
步骤15:结束认证。
3、根据权利要求1所述的包过滤的网络协议层用户认证方法,其特征在于:当用户断开认证连接或者认证连接超时,防火墙清除为该客户端添加的安全规则,清除状态表中该用户正在进行的网络服务;并获取和记录该用户在认证连接保持期间通过防火墙的流量。
4、根据权利要求1或2所述的包过滤的网络协议层用户认证方法,其特征在于:所述的认证还包括:
步骤31:服务器返回给客户端认证协议;
步骤32:客户端收到该协议包后,把密码直接发给服务器;
步骤33:服务器收到客户端发来的密码,并对密码进行校验;
步骤34:如果密码不匹配,则通知客户端出错返回;
步骤35:否则,记录用户登陆并给用户授权。
5、根据权利要求1所述的包过滤的网络协议层用户认证方法,其特征在于:所述的用户策略表至少包括:用户名或用户识别标识号、时间段信息、地址段信息、同时连接数信息。
6、根据权利要求1或5所述的包过滤的网络协议层用户认证方法,其特征在于:所述的用户策略表还包括:用户账号有效期信息、用户账号有效信息。
7、根据权利要求1、2或3所述的包过滤的网络协议层用户认证方法,其特征在于:所述的安全规则信息至少包括:客户端地址、源端口范围信息、目的地址段信息,目的端口范围信息,协议信息,流量累计数据。
8、根据权利要求7所述的包过滤的网络协议层用户认证方法,其特征在于:所述的安全规则信息还包括:规则有效时间信息、派生该规则的认证连接表表项的索引值。
9、根据权利要求8所述的包过滤的网络协议层用户认证方法,其特征在于:所述的安全规则当达到有效期后,防火墙清除该规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02126013 CN1271816C (zh) | 2002-08-09 | 2002-08-09 | 包过滤的网络协议层用户认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02126013 CN1271816C (zh) | 2002-08-09 | 2002-08-09 | 包过滤的网络协议层用户认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1474534A CN1474534A (zh) | 2004-02-11 |
| CN1271816C true CN1271816C (zh) | 2006-08-23 |
Family
ID=34143185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02126013 Expired - Lifetime CN1271816C (zh) | 2002-08-09 | 2002-08-09 | 包过滤的网络协议层用户认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1271816C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546408A (zh) * | 2011-12-30 | 2012-07-04 | 重庆拉土拉现代农业有限公司 | 基地农产品远程可视方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
| CN100576819C (zh) * | 2005-01-14 | 2009-12-30 | 中国科学院计算技术研究所 | 基于Linux内核的流量分析方法 |
| CN100464518C (zh) * | 2005-02-03 | 2009-02-25 | 杭州华三通信技术有限公司 | 基于用户的互联网访问控制系统、方法及路由设备 |
| CN100362809C (zh) * | 2005-07-05 | 2008-01-16 | 华为技术有限公司 | 一种对bt客户端数据传输的控制方法 |
| CN1750538B (zh) * | 2005-09-29 | 2010-12-01 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
| US8104073B2 (en) * | 2007-08-10 | 2012-01-24 | Juniper Networks, Inc. | Exchange of network access control information using tightly-constrained network access control protocols |
| CN103561002B (zh) * | 2013-10-22 | 2017-02-15 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| TW201721498A (zh) * | 2015-12-01 | 2017-06-16 | Chunghwa Telecom Co Ltd | 具安全與功能擴充性的有線區域網路使用者管理系統及方法 |
| CN109474560A (zh) * | 2017-09-07 | 2019-03-15 | 中国电信股份有限公司 | 网络访问的控制方法、装置和计算机可读存储介质 |
-
2002
- 2002-08-09 CN CN 02126013 patent/CN1271816C/zh not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546408A (zh) * | 2011-12-30 | 2012-07-04 | 重庆拉土拉现代农业有限公司 | 基地农产品远程可视方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1474534A (zh) | 2004-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100337229C (zh) | 网络认证、授权和计帐系统及方法 | |
| CN104113519B (zh) | 网络攻击检测方法及其装置 | |
| EP3016329B1 (en) | Service path allocation method, router and service execution entity | |
| CN1271816C (zh) | 包过滤的网络协议层用户认证方法 | |
| CN1905555A (zh) | 基于ngn业务的防火墙控制系统及方法 | |
| US20130117451A1 (en) | Method, device and system for controlling web page access | |
| CN101069382A (zh) | 有线/无线集成服务网络中通过实时会话管理进行集成计费管理的装置与方法 | |
| CN1314251C (zh) | 一种综合业务平台及其业务流程控制方法 | |
| CN1523811A (zh) | 用户连接因特网时认证网络访问的用户的方法和系统 | |
| CN101056306A (zh) | 网络设备及其访问控制方法 | |
| CN1731725A (zh) | 接入控制方法和装置 | |
| CN1725736A (zh) | 配置访问控制列表的方法及其应用 | |
| CN1946024A (zh) | 一种业务分组认证的方法和系统 | |
| CN1866951A (zh) | 在网络中检测共享接入主机的方法及系统 | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN1705270A (zh) | 一种控制网络访问的系统及方法 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| CN1700638A (zh) | 借助安全认证网关的企业网安全接入方法 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN1968180A (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
| CN1881938A (zh) | 一种预防和检测代理的方法和系统 | |
| CN1855933A (zh) | 一种网络的认证和计费的系统及方法 | |
| CN1501622A (zh) | Ip设备的网络流量统计方法 | |
| CN101075992A (zh) | Ip多业务交换方法及ip多业务交换系统 | |
| CN1248455C (zh) | 宽带网用户接入管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060823 |