專利名稱:共享上網(wǎng)用戶識別方法及裝置的制作方法
技術(shù)領域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領域�����,尤指一種在網(wǎng)絡通訊中識別共享上網(wǎng)用戶的共享上網(wǎng)用戶識別方法及裝置。
背景技術(shù):
在普通局域網(wǎng)中���,只要能接到網(wǎng)絡設備上���,不需要經(jīng)過認證和授權(quán)即可直接使用 該網(wǎng)絡,這不利于網(wǎng)絡管理員對網(wǎng)絡的實時監(jiān)控��,也引起了人們對網(wǎng)絡安全的擔憂��。用于對 網(wǎng)絡或設備訪問合法性進行認證的網(wǎng)絡認證成為網(wǎng)絡安全管理的有效手段�,提高了網(wǎng)絡的 安全性。現(xiàn)有的網(wǎng)絡認證基本采用基于端口的網(wǎng)絡存取控制方式��,為局域網(wǎng)(LocalArea Network,LAN)用戶提供點對點式的安全接入認證�。圖1為個人計算機網(wǎng)絡接入過程的簡單 示例圖(當然也可以是其他接入終端)。安裝有認證客戶端軟件的個人計算機(Personal Computer, PC)提交相關(guān)的認證信息給交換機進行認證�,交換機將相關(guān)認證信息轉(zhuǎn)交給認證 服務器進行確認。如果認證通過����,交換機將相關(guān)的端口打開,交換機將學習到該PC的互聯(lián) 網(wǎng)協(xié)議(InternetProtocol,IP)地址和媒體接入控制(Media Access Control,MAC)地址��, 并將其該PC與打開的相應接入端口(PORT)進行綁定��,形成一個三元組(IP��,MAC��,PORT)��。也 就是說只有符合這個三元組條件的PC才能夠獲準接入LAN���,并訪問相關(guān)的網(wǎng)絡資源?���,F(xiàn)有的上述網(wǎng)絡認證方式�,可能會導致出現(xiàn)下列兩種情況情況一非法終端偽裝成認證用戶終端訪問網(wǎng)絡。用戶終端認證成功后����,可以作為合法終端訪問網(wǎng)絡資源時�����,其他未通過認證的終 端(即非法終端)使用與其相同的IP和MAC地址,通過同一交換機接口也可以訪問到相關(guān) 的網(wǎng)絡資源�。例如如圖2所示,為非法終端偽裝成認證用戶訪問網(wǎng)絡資源的原理示意圖����。其 中,終端PC_a通過認證客戶端軟件發(fā)出認證請求時(如圖中步驟1所示)����,交換機轉(zhuǎn)發(fā)相 應信息,并提交認證服務器確認���,如果通過認證�����,交換機就打開相應的PORT�,允許滿足三元 組(IP+MAC+P0RT)的報文通過(如圖中步驟2所示)�����。此時�����,如果有另一接入終端PC_b通 過集線器(HUB)與PC_a連在一起,并且仿冒終端PC_a的IP地址和MAC地址�,那么PC_b也 可以滿足三元組(P,MAC, PORT)���,因此�����,終端PC_b不需要經(jīng)過認證便可以使用PC_a的三元 組訪問網(wǎng)絡資源(如圖中步驟3所示)����,則網(wǎng)絡中存在假冒合法終端IP地址和MAC 地址的非法終端PC_b��。上述非法終端偽裝成合法終端上網(wǎng)�����,是802. Ix認證固有的缺陷����,除非是基于端口 控制或者更具體的IP和MAC地址控制,否則一旦IP和MAC地址被人仿冒�,標準的802. Ix 認證就無能為力了���。情況二 通過認證用戶代理的方式訪問網(wǎng)絡資源用戶終端認證成功后�,可以作為合法終端訪問網(wǎng)絡資源時,也可以作為其他用戶 的代理服務器����,其他終端則可以通過該合法終端連接網(wǎng)絡了。目前主要采用的代理方式有網(wǎng)絡地址轉(zhuǎn)換(Network Address Translation, NAT)和網(wǎng)絡代理Proxy��,非法終端發(fā)送的 報文都經(jīng)過作為代理服務器的合法終端轉(zhuǎn)發(fā)���,該報文經(jīng)過代理服務器修改成代理服務器自 身的信息����,從而使得交換機認為該報文是合法終端報文并允許轉(zhuǎn)發(fā)�����。如圖3所示為非法終端通過代理服務器上網(wǎng)的原理示意圖���。非法終端需要上網(wǎng)訪問網(wǎng)絡資源時����,先把報文發(fā)送給作為代理服務器的認證用戶 的終端��,代理服務器再把報文的源MAC地址、源IP地址修改為本機的MAC和IP地址發(fā)送給 交換機�,由于交換機接收到的報文源MAC、源IP和端口信息是經(jīng)認證用戶修改后的��,因此�, 無法識別出該報文是非法終端發(fā)送的報文,該報文允許在網(wǎng)絡傳輸�����。由于大量非法用戶對網(wǎng)絡造成擁塞�����,損害了合法用戶的利益�,影響了合法用戶訪 問網(wǎng)絡資源的速度和效率,因此有必要識別共享上網(wǎng)用戶進行有效的控制�����。而要檢測出上 述通過使用與合法終端相同的IP�����、MAC地址上網(wǎng)或通過合法終端代理上網(wǎng)的共享上網(wǎng)的非 法終端�,目前比較常用的有下列兩種方式方式一通過檢測報文的互聯(lián)網(wǎng)協(xié)議標識(IP ID)來識別共享上網(wǎng)用戶�����。由于假冒認證終端上網(wǎng)的非法終端和認證終端的IP地址和MAC地址雖然是相同 的,但不同主機系統(tǒng)中IP報頭的ID字段是獨立的��。RFC 791中規(guī)定的IP報頭ID字段的特點包括由發(fā)送者設定����,用于標識數(shù)據(jù)報文,有助于重組數(shù)據(jù)報的分片�����。其長度為16bit����,且 該標識值位于0-65535之間,且在0-65535之間遞增�����,當達到65535后又從0開始計數(shù)��。該 標識值對同一源地址�、目的地址��、協(xié)議(protocol)在生存期間(TTL)是唯一的�。因此��,兩個 終端雖然使用相同的IP與MAC地址�����,每個終端發(fā)送出去的IP ID值相對于本機是連續(xù)的����。但是,由于各終端獨立的上網(wǎng)操作與不同的數(shù)據(jù)流量�����,其發(fā)出的報文速率與報文 中的ID字段是會有差異的��。例如終端1的IP ID為17000�,17001,17002等����,終端2的IP ID為32000,32001�����,32002,那么網(wǎng)絡傳輸設備接收到報文的IP ID為17000��,32000��,17001���, 32001,是不連續(xù)��,因此��,當網(wǎng)絡傳輸設備檢測到報文的IP ID存在這一現(xiàn)象時����,即檢測出IP ID發(fā)生跳變超過設定的范圍時,認為存在非法的上網(wǎng)用戶�。如圖4所示,即為網(wǎng)絡傳輸設備接收到認證終端與非法終端發(fā)送的報文的IP ID 分布規(guī)律示例圖��。上述方式中���,檢測設備必須布置在與終端直接相連的網(wǎng)絡接入設備上��,如果布置 在非直接相連的高層網(wǎng)絡設備上�����,將會導致合法終端之間的數(shù)據(jù)互傳被誤識別為存在非法 用戶共享上網(wǎng)����,且該方式需要每一個接入交換機上均部署檢測設備,無法集中部署和管理���, 且只能識別出存在共享上網(wǎng)用戶�,無法識別非法終端所訪問的網(wǎng)絡資源�。如圖5所示,為檢測設備布置在高層的匯集交換機上的檢測原理示意圖��。其中���,合 法接入的終端1�、2通過接入交換機1接入?yún)R集交換機�����,合法接入的終端3、4通過接入交換 機2接入?yún)R集交換機����。當終端1同時和終端2、3進行數(shù)據(jù)交換傳輸時�����,終端1�����、2之間的傳輸數(shù)據(jù)不經(jīng)過匯集交換機��,終端1���、3之間的傳輸數(shù)據(jù)經(jīng)過匯集交換機。當檢測設備設置在匯集交換機上 時��,匯集交換機只能檢測到終端1和3之間傳輸?shù)臄?shù)據(jù)的IP ID,不能檢測到終端1和2之間 傳輸?shù)臄?shù)據(jù)的IP ID�。由于終端1發(fā)送的所有報文的IP ID是連續(xù)的。假設終端1�����、2之間的 傳輸速率遠大于終端1、3之間的傳輸速率�,例如終端1向終端2發(fā)送999個報文,才向終端3發(fā)送一個報文���,則終端1到終端2的IP ID為1����,2���,3���,......,999��,1001�����,1002......等��,
而終端1到終端3的IP ID為1000�,2000,3000......等�。因此��,匯集交換機收到終端1發(fā)
送報文的IP ID為1000��,2000��,3000����,不是連續(xù)的���,而且差值也比較大�,在這種情況下匯集交換機就會判定存在共享上網(wǎng)的用戶����,從而造成誤判�����。方式二 通過傳輸控制協(xié)議(Transmission Control Protocol, TCP)連接數(shù)識別 共享上網(wǎng)用戶���。該方式需要檢測并發(fā)連接的數(shù)量�����,當并發(fā)連接的數(shù)量超過預定數(shù)量時�,認為存在 共享上網(wǎng)用戶;或者檢測一段時間內(nèi)新建立的連接數(shù)量超過預定數(shù)量時�,認為在共享上網(wǎng) 用戶。該方式很容易出現(xiàn)漏報和誤報���,如果預定數(shù)量太小�,即使只有合法用戶的TCP連 接���,也很容易超過該預定數(shù)量����,從而會認為有共享上網(wǎng)用戶存在���,產(chǎn)生誤報�;如果預定數(shù)量 太大���,那么即使有少量共享上網(wǎng)的TCP連接��,只要不超過該預定數(shù)量�,就無法被檢測到����,從 而導致漏報�����。上述現(xiàn)有技術(shù)的實現(xiàn)方案都不能準確����、有效的識別出是否有共享用戶存在���,識別 準確率低���、可靠性差。且只能識別出有共享上網(wǎng)用戶存在��,無法獲得非法終端訪問的網(wǎng)絡信 息����,無法提供用戶有共享上網(wǎng)的有力證據(jù)����,從而不能避免非法用戶通過共享的方式上網(wǎng),造 成網(wǎng)絡資源浪費����。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種共享上網(wǎng)用戶識別方法�、系統(tǒng)及裝置���,用以解決現(xiàn)有技術(shù) 中存在無法準確識別共享上網(wǎng)用戶�、識別準確性和可靠性差的問題��。本發(fā)明包括如下內(nèi)容一種共享上網(wǎng)用戶識別方法�����,包括網(wǎng)絡側(cè)設備根據(jù)終端傳輸?shù)膫鬏斂刂茀f(xié)議TCP報文�,獲取與該終端對應的傳輸控 制協(xié)議第一會話信息;將獲取到的第一會話信息與認證通過的合法終端上報的已建立的TCP連接的傳 輸控制協(xié)議第二會話信息進行匹配�����;若存在與所述第一會話信息相匹配的所述第二會話信息����,則確認發(fā)送所述報文的 終端為認證通過的合法終端;否則����,確認發(fā)送所述報文的終端為共享上網(wǎng)用戶的非法終端�。一種共享上網(wǎng)用戶識別系統(tǒng)���,包括網(wǎng)絡側(cè)設備和終端�;所述網(wǎng)絡側(cè)設備���,用于根據(jù)所述終端傳輸?shù)膫鬏斂刂茀f(xié)議TCP報文��,獲取與該終 端對應的傳輸控制協(xié)議第一會話信息����;將所述第一會話信息與認證通過的合法終端上報的 已建立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配���;若存在與所述第一會話信息相 匹配的所述第二會話信息�,則確認發(fā)送所述報文的終端為認證通過的合法終端��;否則���,確認 發(fā)送所述報文的終端為共享上網(wǎng)用戶的非法終端��;所述終端�����,用于發(fā)送數(shù)據(jù)報文到網(wǎng)絡側(cè)設備�����,以及上報傳輸控制協(xié)議第二會話信 息給網(wǎng)絡側(cè)設備���。一種共享上網(wǎng)用戶識別裝置,包括獲取模塊����,用于獲取與傳輸報文的終端對應的傳輸控制協(xié)議第一會話信息;
匹配模塊��,用于將所述第一會話信息與認證通過的合法終端上報的已建立的TCP 連接的傳輸控制協(xié)議第二會話信息進行匹配���;確定模塊�����,用于若存在與所述第一會話信息相匹配的所述第二會話信息���,則確認 發(fā)送所述報文的終端為認證通過的合法終端;否則�,確認發(fā)送所述報文的終端為共享上網(wǎng) 用戶的非法終端�。一種網(wǎng)絡側(cè)設備�,包括上述的共享上網(wǎng)用戶識別裝置。本發(fā)明有益效果如下本發(fā)明實施例提供的共享上網(wǎng)用戶識別方法�、系統(tǒng)及裝置,通過網(wǎng)絡側(cè)設備根據(jù) 終端傳輸?shù)膱笪?���,獲取與該終端對應的傳輸控制協(xié)議第一會話信息;將所述第一會話信息 與認證通過的合法終端上報的已建立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配�����; 若存在與所述第一會話信息相匹配的所述第二會話信息����,則確認發(fā)送所述報文的終端為認 證通過的合法終端;否則��,確認發(fā)送所述報文的終端為共享上網(wǎng)用戶的非法終端�����。該方式通 過將根據(jù)終端傳輸報文獲得的第一會話信息和認證終端上報的第二會話信息進行比較����,可 以準確��、有效的識別出共享上網(wǎng)的用戶終端�����,識別可靠性高。為防止共享的管理控制提供了 有力的證據(jù)�。且網(wǎng)絡部署方便,實現(xiàn)成本低�。
圖1為現(xiàn)有技術(shù)中個人計算機網(wǎng)絡接入過程的簡單示例圖;圖2為現(xiàn)有技術(shù)中非法終端偽裝成認證用戶訪問網(wǎng)絡資源的原理示意圖����;圖3為現(xiàn)有技術(shù)中非法終端通過代理服務器上網(wǎng)的原理示意圖;圖4為現(xiàn)有技術(shù)中存在共享上網(wǎng)用戶時�,網(wǎng)絡傳輸設備接收到的報文的IPID分布 規(guī)律示例圖;圖5為現(xiàn)有技術(shù)中檢測設備布置在高層的網(wǎng)絡設備中的檢測原理示意圖�;圖6為本發(fā)明實施例中共享上網(wǎng)用戶識別系統(tǒng)的結(jié)構(gòu)示意圖;圖7為本發(fā)明實施例中共享上網(wǎng)用戶識別裝置的結(jié)構(gòu)示意圖�����;圖8為本發(fā)明實施例中共享上網(wǎng)用戶識別系統(tǒng)的一個具體結(jié)構(gòu)示例圖�;圖9為本發(fā)明實施例中共享上網(wǎng)用戶識別方法的流程圖;圖10為本發(fā)明實施例中共享上網(wǎng)用戶識別方法的一個具體流程示例圖。
具體實施例方式本發(fā)明實施例提供的共享上網(wǎng)用戶識別方法���、系統(tǒng)及裝置�,通過終端發(fā)送的報文 中攜帶的傳輸控制協(xié)議會話信息(TCP Session信息)����,識別用戶是否存在共享上網(wǎng)用戶, 以提高識別的準確度和可靠性�。該系統(tǒng)如圖6所示,包括共享上網(wǎng)用戶識別裝置——網(wǎng)絡 側(cè)設備10和終端20��。網(wǎng)絡側(cè)設備10�,用于根據(jù)終端20傳輸?shù)膱笪模@取與該終端20對應的傳輸控制協(xié)議第一會話信息���;將第一會話信息與認證通過的合法終端上報的已建立的TCP連接的傳輸 控制協(xié)議第二會話信息進行匹配����;若存在與第一會話信息相匹配的第二會話信息��,則確認 發(fā)送報文的終端20為認證通過的合法終端����;否則���,確認發(fā)送報文的終端20為共享上網(wǎng)用戶 的非法終端。即即網(wǎng)絡側(cè)設備10上是否存儲有與獲取到的第一會話信息信息相同的由合法終端上報的第一會話信息����。終端20,用于發(fā)送數(shù)據(jù)報文到網(wǎng)絡側(cè)設備����,以及上報傳輸控制協(xié)議第二會話信息 給網(wǎng)絡側(cè)設備��。網(wǎng)絡側(cè)設備10�,還用于當接收到認證通過的合法終端發(fā)送的上報傳輸控制協(xié)議 第二會話信息的報文中攜帶TCP連接的斷開信息時,將該TCP連接對應的第二會話信息刪 除�����;或根據(jù)設定的存儲時間范圍��,將設定時間范圍之外的第二會話信息刪除��。其中����,終端在 檢測到TCP連接斷開時��,會向網(wǎng)絡側(cè)設備10發(fā)送攜帶斷開傳輸控制協(xié)議第二會話信息的斷 開信息的報文���;網(wǎng)絡設備接收到包含有斷開某個TCP連接的斷開信息的報文時,刪除存儲 的該TCP的第二會話信息���。 例如預先設定只存儲當前時間以前半小時之內(nèi)接收到的第二會話信息����,則當?shù)?二會話信息的接收時間位于該設定時間范圍之外時將其刪除���。上述共享上網(wǎng)用戶識別系統(tǒng)中的共享上網(wǎng)用戶識別裝置——網(wǎng)絡側(cè)設備20的結(jié) 構(gòu)如圖7所示��,包括獲取模塊201���、匹配模塊202和確定模塊203。獲取模塊201��,用于獲取與傳輸報文的終端對應的傳輸控制協(xié)議第一會話信息��。匹配模塊202���,用于將獲取模塊201獲取的第一會話信息與認證通過的合法終端 上報的已建立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配����。較佳的,上述匹配模塊202��,具體包括接收單元2021���、存儲單元2022和匹配單元 2023�。接收單元2021��,用于接收認證通過的合法終端周期性上報的第二會話信息�����。存儲單元2022����,用于存儲接收單元接收到的第二會話信息���。匹配單元2023��,用于獲取模塊201接收到第一會話信息時�����,根據(jù)接收到的第一會 話信息所對應的終端�,查找是否存儲與接收到的第一會話信息相匹配的該終端已建立的 TCP連接的第二會話信息。上述匹配模塊202中存儲單元2022����,還用于當接收單元2021接收到認證通過的 合法終端發(fā)送的上報傳輸控制協(xié)議第二會話信息的報文中攜帶TCP連接的斷開信息時,將 對應的第二會話信息刪除����;或根據(jù)設定的存儲時間范圍,將設定時間范圍之外的所述第二 會話信息刪除���。確定模塊203�,用于若存在與獲取模塊獲取到的第一會話信息相匹配的第二會話 信息�����,則確認發(fā)送報文的終端為認證通過的合法終端�����;否則����,確認發(fā)送報文的終端為共享上 網(wǎng)用戶的非法終端����。上述網(wǎng)絡側(cè)設備的功能可以是一個獨立的設備實現(xiàn)����,例如通過網(wǎng)絡側(cè)的傳輸設 備——匯集交換機實現(xiàn)。也可以是多個設備共同實現(xiàn)���。例如通過網(wǎng)絡側(cè)的傳輸設備和檢 測服務器共同實現(xiàn)���。此時將共享上網(wǎng)用戶識別裝置中的模塊分別設置在傳輸設備和檢測服 務器中。當上述網(wǎng)絡側(cè)設備的功能由一個獨立設備實現(xiàn)時�����,獲取模塊201�,具體用于獲取 終端發(fā)送的TCP報文��,對接收到的TCP報文進行分析��,根據(jù)報文中攜帶的地址信息端口信息 和接收到報文的時間���,確定與發(fā)送報文的終端對應的傳輸控制協(xié)議第一會話信息���。當上述網(wǎng)絡側(cè)設備的功能由傳輸設備和檢測服務器共同實現(xiàn)時���,獲取模塊201設 置在檢測服務器中,具體用于接收網(wǎng)絡側(cè)的傳輸設備發(fā)送的與發(fā)送報文的終端對應的傳輸控制協(xié)議第一會話信息��,其中該第一會話信息由傳輸設備獲取終端傳輸?shù)膱笪?��,根?jù)獲 取到的傳輸?shù)腡CP報文中攜帶的地址信息����、端口信息和接收到報文的時間確定���。如圖8所示���,為通過網(wǎng)絡側(cè)的傳輸設備和檢測服務器共同實現(xiàn)時,共享上網(wǎng)用戶 識別系統(tǒng)的結(jié)構(gòu)示意圖���。該系統(tǒng)包括傳輸設備(包括接入交換機11����、匯集交換機)、檢測 服務器13和終端(21���、22)等��。其中本申請中是以由匯集交換機11與檢測設備13共同實 現(xiàn)為例進行說明的���。該系統(tǒng)還可以包括認證服務器31,用于對終端進行合法性認證���,認證通過的終端 即為合法終端或稱認證終端���。下面以21為非法終端、終端22為認證終端為例進行說明���。上述傳輸設備�,用于獲取終端傳輸?shù)膱笪?��,根?jù)獲取到的傳輸報文��,確定與該終端 對應的傳輸控制協(xié)議第一會話信息,并發(fā)送給檢測服務器�。具體為接入交換機11接收終端(21、22等)發(fā)送的報文�,傳送給匯集交換機12����,由匯集交 換機12根據(jù)獲取到的報文中攜帶的地址信息�����、端口信息和接收到報文的時間信息等����,確定 與發(fā)送報文的終端對應的第一會話信息,并發(fā)送給檢測服務器13�����。檢測服務器13����,用于接收到傳輸設備發(fā)送的第一會話信息,具體是接收匯集交換 機12發(fā)送的第一會話信息�����。然后����,將第一會話信息與認證通過的合法終端22上報的已建 立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配���;若存在與第一會話信息相匹配的第 二會話信息,則確認發(fā)送報文的終端為認證通過的合法終端22 �����;否則�,確認發(fā)送報文的終 端為共享上網(wǎng)用戶的非法終端21。實施例一本發(fā)明實施例一提供一種共享上網(wǎng)用戶識別方法��,其流程如圖9所示����,執(zhí)行步驟 如下步驟SlOl 終端發(fā)送報文給網(wǎng)絡側(cè)設備?!憬K端會將報文發(fā)送與自身直接相連的接入交換機,并由接入交換機發(fā)送至匯 集交換機�。步驟S102 網(wǎng)絡側(cè)設備獲取終端傳輸?shù)膱笪摹1旧暾堉幸话阌蓞R集交換機來獲取終端傳輸?shù)膱笪?�,并對其進行分析����。根據(jù)報文 中攜帶的地址信息����、端口信息�,以及接收到該報文的時間��,確定與發(fā)送報文的終端對應的傳 輸控制協(xié)議第一會話信息��。上述第一會話信息�����,具體可以包括源IP地址��,目的IP地址���、TCP源端口和TCP目 的端口�。較佳的����,進一步還可以包括會話信息的開始時間和/或結(jié)束時間。步驟S103 根據(jù)終端傳輸?shù)膱笪?,獲取與該終端對應的傳輸控制協(xié)議第一會話信 肩、ο該步驟中根據(jù)實現(xiàn)共享上網(wǎng)用戶識別的設備是一個還是多個���,分別可以由不同的設備實現(xiàn)���。例如與步驟S102—樣由網(wǎng)絡側(cè)的傳輸設備匯集交換機實現(xiàn)���,則直接獲取上述 分析的到第一會話信息即可。又例如與步驟S102不采用相同的設備實現(xiàn)�����,由網(wǎng)絡側(cè)的檢 測服務器接收網(wǎng)絡側(cè)的傳輸設備——匯集交換機發(fā)送的與發(fā)送報文的終端對應的傳輸控 制協(xié)議第一會話信息��。步驟S104 接收認證通過的合法終端周期性上報的第二會話信息并存儲�����。終端接入網(wǎng)絡時���,向認證服務器提交認證請求�,認證通過后�,周期性的向傳輸設備或檢測服務器上報自身設置的第二會話信息。一般是上報當前周期內(nèi)創(chuàng)建的TCP連接的第二會話信息�����。當由傳輸設備實現(xiàn)共享用戶識別的匹配功能時,向傳輸設備上報第二會話信 息����,當由檢測服務器實現(xiàn)時,則向檢測服務器上報���。網(wǎng)絡側(cè)的傳輸設備或檢測服務器接收認證通過的終端周期性上報的當前周期內(nèi) 創(chuàng)建的第二會話信息并存儲。較佳的����,當接收到認證通過的終端發(fā)送的上報傳輸控制協(xié)議第二會話信息的報文 中攜帶斷開TCP連接的信息時,將該TCP連接對應的第二會話信息刪除或根據(jù)設定的存儲 時間范圍��,將設定時間范圍之外的第二會話信息刪除��。上述第二會話信息����,具體可以包括源IP地址,目的IP地址�����、TCP源端口和TCP目 的端口��。較佳的,進一步還可以包括會話信息的開始時間和/或結(jié)束時間��。較佳的����,認證通過的客戶端通過發(fā)送報文的方式每次上報至少一個第二會話信 息。也就是說�����,為了保證傳輸設備或檢測服務器不漏接第二會話信息信息���,可以在一次上報 中攜帶一個以上的第二會話信息���,例如第一次上報編號為1、2��、3的第二會話信息����,第二次 上報編號為2、3�����、4的第二會話信息,以此類推���,以避免漏接收現(xiàn)象的發(fā)生�。步驟S105 將第一會話信息與認證通過的合法終端上報的傳輸控制協(xié)議第二會 話信息進行匹配��。具體包括傳輸設備確定出第一會話信息時�����,根據(jù)第一會話信息所對應的終端��,查找是否存 儲有與接收到的第一會話信息相匹配的該終端的第二會話信息���。或檢測服務器接收到傳輸 設備發(fā)送的第一會話信息時�����,根據(jù)第一會話信息所對應的終端�����,查找是否存儲有與接收到 的第一會話信息相匹配的該終端的第二會話信息����。若存在與第一會話信息相匹配的第二會話信息(即匹配成功)����,執(zhí)行步驟S106 ���;否 則(即匹配失敗)����,執(zhí)行步驟S107�。步驟S106 確認發(fā)送報文的終端為認證通過的合法終端。也就是說����,當傳輸設備或檢測服務器終存在與發(fā)送報文終端的第一會話信息匹配 的第二會話信息時,確認發(fā)送報文的終端是合法的認證終端���。步驟S107 確認發(fā)送報文的終端為共享上網(wǎng)用戶的非法終端����。也就是說�,當傳輸設備或檢測服務器終不存在與發(fā)送報文終端的第一會話信息匹 配的第二會話信息時,確認發(fā)送報文的終端是非合法的共享上網(wǎng)終端。實施例二 本發(fā)明實施例二提供一種通過上述圖8所示的系統(tǒng)實現(xiàn)共享上網(wǎng)用戶識別的方 法��,其流程如圖10所示���,執(zhí)行步驟如下步驟S201 終端22向認證服務器31發(fā)送認證請求����。終端22可以是個人計算機(PC)���,也可以是移動終端等�。合法用戶通過終端22上 安裝的認證客戶端向認證服務器31發(fā)送認證請求等認證信息���。步驟S202 認證服務器31對發(fā)送請求的終端22進行認證。認證通過后認證服務器會通知檢測服務器終端22通過了認證���。認證通過后終端 22發(fā)送的報文就可以在網(wǎng)絡中順利傳輸了�����。步驟S203 認證通過的終端22向檢測服務器13上報傳輸控制協(xié)議會話信息(TCP Session信息)����,即上面實施例一中的第二會話信息。
終端22認證通過后�,將自身應用程序建立的TCP Session的信息,按照設定的時 間間隔上報給檢測服務器13��。例如認證終端22建立新的TCP Session信息并記錄��;包括源IP地址(SIP)���,目 的IP地址(DIP)����、TCP源端口 (SPORT)�����、TCP目的端(DPORT)和Session開始時間等���?����;驍?開一個已建立的TCP Session信息并記錄�;包括源IP地址���,目的IP地址��、TCP源端口和TCP 目的端��、Session開始時間和結(jié)束時間等���。該終端22每隔Tl時間(如5秒)向檢測服務器發(fā)送一次新建立的和/或需要斷 開的TCP Session信息�。較佳的�����,如果當前發(fā)送周期到期時沒有新建立或斷開的TCP Session信息需要發(fā) 送時��,可以在當前發(fā)送周期時不執(zhí)行發(fā)送��。如果需要發(fā)送的TCP Session信息太多也可以 分成多個報文多次發(fā)送��。如下表1所示為終端發(fā)送的TCP Session信息的報文內(nèi)容���,該報文的頭部增加了 表示該報文是從認證終端發(fā)送過來的字段,并且在報文頭部增加該報文的發(fā)送時間�。表 1 為了防止報文丟失造成檢測服務器不能正確接收到TCP Session信息,可以在一 個報文中攜帶T2-n T2間隔的所有TCP Session信息的報文����。例如認證終端第40秒 (T2 = 40秒)發(fā)送的報文攜帶第10�����、20����、30�、40秒的TCP Session信息,第50秒發(fā)送的報文 攜帶第 20��、30�、40、50 秒的 TCP Session 信息����。例如上述表1所示的發(fā)送TCP Session信息的報文為了防止報文丟失,在 14:31:00發(fā)送的上報信息的報文中攜帶了開始時間為14:30:05����、14:30:10、14:30:15�、 14:30:20 的四個 TCP Session 信息。
當然����,為了更加安全��,可以對上報的TCP Session信息的報文進行加密��。步驟S204 終端(21����、22等)發(fā)送報文給網(wǎng)絡側(cè)的接入交換機11����。其中,終端21使用終端22的IP和MAC地址接入網(wǎng)絡或使用終端22作為代理服 務器接入網(wǎng)絡���。并向網(wǎng)絡側(cè)的接入交換11發(fā)送報文��。
步驟S205 接入交換機11將報文發(fā)送至匯集交換機12���。 步驟S206 匯集交換機12獲取終端(21、22等)傳輸?shù)膱笪牟⒋_定與發(fā)送報文的 終端對應的TCP Session信息�,即上述實施例一中的第一會話信息。匯集交換機12會對經(jīng)過在自身的所有報文進行檢測��,并根據(jù)報文確定與發(fā)送報 文的終端對應的TCP Session信息����,匯集交換機12可以根據(jù)某個終端發(fā)送的一個或多個報 文確定與發(fā)送報文的終端對應的TCP Session信息。例如匯集交換機接收到終端發(fā)送的報文時�����,如果該報文中攜帶有TCP建立連接 的標志���,則匯集交換機13記錄發(fā)送該報文的終端新建立的TCP Session信息��,包括源IP地 址(SIP)���,目的 IP 地址(DIP)、TCP 源端 口 (SPORT)�、TCP 目的端(DPORT)和 Session 開始時 間等。如果該上報TCP Session的報文中攜帶有TCP斷開連接的標志��,則匯集交換機13 記錄發(fā)送該報文的終端斷開了一個已建立的TCP連接����,刪除該TCP連接的TCP Session信 息;包括源IP地址�����,目的IP地址、TCP源端口和TCP目的端��、Session開始時間和結(jié)束時間寸��。步驟S207 匯集交換機將確定的TCP Session信息發(fā)送給檢測服務器13�。即匯集交換機13自身不實現(xiàn)共享匹配功能時,將確定的TCP Session信息上報給 執(zhí)行該功能的其他網(wǎng)絡側(cè)設備����。匯集交換機13每隔設定的時間間隔Tl (如5秒)向檢測服務器13上報一次檢測 到的新建立的或斷開的TCP Session信息。較佳的�����,如果當前發(fā)送周期到期時沒有新建立或斷開的TCP Session信息需要發(fā) 送時�����,可以在當前發(fā)送周期時不執(zhí)行上報�。如果需要發(fā)送的TCP Session信息太多也可以 分成多個報文多次發(fā)送。如下表2所示為匯集交換機13上報TCP Session信息的報文內(nèi)容��,該報文的頭部 增加了表示該報文是從匯集交換機13發(fā)送過來的字段��,并且在報文頭部增加該報文的發(fā) 送時間��。表2 為了防止報文丟失造成檢測服務器不能正確接收到匯集交換機上報的TCP Session信息,可以在一個報文中攜帶T2-n T2間隔的所有TCP Session信息的報文���。例 如匯集交換機13第40秒(即T2 = 40秒時)上報的報文攜帶第10、20�����、30���、40秒的TCP Session信息���,第50秒上報的報文攜帶第20、30���、40����、50秒的TCP Session信息���。例如上述表2所示的上報TCP Session信息的報文為了防止報文丟失�����,在 14:33:00發(fā)送的上報信息的報文中攜帶了開始時間為14:32:05�、14:32:10、14:32:15���、 14:32:20,14:32:12 的五個 TCP Session 信息�。當然�����,為了更加安全�,也可以對上報的TCP Session信息的報文進行加密。步驟S208 檢測服務器13接收到匯集交換機12發(fā)送的TCP Session信息后���,將 其與自身存儲的認證終端上報的TCP Session信息進行匹配�����。即檢測服務器13接收到匯集交換機12發(fā)送的TCP Session信息時����,根據(jù)接收到 的TCP Session信息所對應的終端�����,查找是否存儲有與接收到的TCPSession信息相匹配的 該終端上報的TCP Session信息。即檢測服務器13上是否存儲有與匯集交換機12發(fā)送的 TCP Session信息相同的由該終端上報的TCPSession信息�。注由于檢測服務器13中沒有存儲非法終端的TCP Session信息,因此��,對于匯集 交換機根據(jù)非法終端的報文獲取并上報的非法終端TCP Session信息將不能查找到相匹配 的存儲的TCP Session信息�����,因此�,可以確定該終端為偽裝成合法終端共享上網(wǎng)的終端或使 用其他終端作為代理服務器上網(wǎng)的終端����。若存在相匹配的TCP Session信息(即匹配成功),執(zhí)行步驟S209 ����;否則(即匹配 失敗),執(zhí)行步驟S210��。當匯集交換機和終端之間不存在時間差問題時�����,可以直接對接收到的匯集交換機 上報的TCP Session信息和存儲的由認證終端上報的TCP Session信息進行匹配。當終端 和匯集交換機之間有時間差時��,需要由檢測服務器根據(jù)時間戳對接收到的匯集交換機上報 的TCP Session信息和存儲的由認證終端上報的TCP Session信息中的匯集交換機上報的 TCP Session信息和存儲的由認證終端上報的TCP Session信息的開始時間和接收時間進 行相應的調(diào)整后在進行匹配���。(注網(wǎng)絡延遲一般較小�����,因此可以忽略不計)下面以終端與匯集交換機存在2分鐘的時間差為例進行說明��,其中����,終端與檢測服務器的時間差為3分鐘�����,匯集交換機與檢測服務器的時間差為1分鐘�。則檢測服務器在 2010/02/1 14:34:00 接收到上述終端在 2010/02/1 14:31 00 上報的 TCP Session 信息和 上述匯集交換機在2010/02/1 14:33:00上報的TCP Session信息。且檢測服務器將接收到的上述表1和表2包含的幾個TCP Session信息的開始和結(jié)束時間進行調(diào)整��,調(diào)整為表3和表4所示的TCP Session信息����。表3 表 4 由于檢測服務器中保存了設定時間段內(nèi)認證終端上報的TCP Session信息(例 如1分鐘內(nèi)的�,或5分鐘內(nèi)的)��,因此可以將接收到的匯集交換機上報的該時間段內(nèi)的TCP Session信息與存儲的TCP Session信息進行比較���。比較算法如下檢測服務器從接收到的匯集交換機上報的TCP Session信息表終獲取一個TCP Session信息���,只有該TCP Session的結(jié)束時間在設定的時間范圍內(nèi)才可以參加比較,假設 只有結(jié)束時間早于當前時間(TC)與第一設定值之差(TA)�,即TC-TA,晚于當前時間(TC)與 第二設定值(TA)之差��,即TC-TB��,即可以參加比較���。其中TA、TB均可根據(jù)需要設置���。例如�����,當前時間為2010/02/1 14:34:00�,設定的時間范圍為2010/02/114:33:20 至2010/02/1 14:33:50,只要結(jié)束時間在這個范圍內(nèi)的TCP Session信息即可以參加比較��。較佳的��,為了進一步提高識別的準確性�,可以在接收到的匯集交換機上報的某終 端的不匹配的TCP Session信息的數(shù)量超過設定閾值時,才確認為非法終端�。步驟S209 確認發(fā)送報文的終端為認證通過的合法終端。例如發(fā)送報文的終端22為認證通過的合法終端�。步驟S210 確認發(fā)送報文的終端為共享上網(wǎng)用戶的非法終端。例如發(fā)送報文的終端21為未認證通過的非法終端��。上述方式不僅可以識別出是終端21在共享上網(wǎng)��,同時���,根據(jù)終端21使用的IP��、MAC 地址等可以確定出其使用哪個合法終端的地址信息或使用哪個合法終端作為代理服務器 共享上網(wǎng)����。本申請的上述方法可以通過計算機程序軟件實現(xiàn)�����,也可以通過計算機硬件實現(xiàn), 或者有兩者結(jié)合實現(xiàn)�。即本申請的共享上網(wǎng)用戶識別裝置可以是網(wǎng)絡側(cè)設備軟件模塊,也 可以是網(wǎng)絡側(cè)設備的硬件模塊�����?����?梢栽O置在至少一臺網(wǎng)絡測設備中�。網(wǎng)絡側(cè)設備獲取報文 的形式也有多種,可以通過報文鏡像給獨立的硬件模塊或者硬件設備�����,也可以在軟件模塊 內(nèi)部增加該檢測模塊��。本申請實施例提供上述共享上網(wǎng)用戶識別方法��、系統(tǒng)及裝置��,通過網(wǎng)絡側(cè)的傳輸 設備獲取傳輸報文的終端對應的傳輸控制協(xié)議會話信息��,與認證終端自身上報的傳輸控制 協(xié)議會話信息進行比較��,有效地識別出共享上網(wǎng)的用戶的終端����。該方式能夠有效的避免共 享上網(wǎng)用戶的誤檢測和漏檢測。上述實現(xiàn)共享上網(wǎng)用戶識別的裝置可以在網(wǎng)絡側(cè)的匯集傳輸設備��、核心管理設備 等高層設備上部署����,而不需要在每個接入端設備上均進行部署,簡化了網(wǎng)絡部署的復雜程 度�、節(jié)約了網(wǎng)絡部署投入。同時該方式能夠有效的識別出是那個用戶使用哪個IP�����、MAC地址 共享上網(wǎng)�,訪問了那些網(wǎng)絡資源。以較小的成本���、較高的準確度和可靠性�����,為防止共享上網(wǎng) 提供了有力證據(jù)���。由于認證終端只能獲取本機應用程序建立的TCP Session信息��,而經(jīng)過本機代理其它終端建立的TCP Session信息�,認證終端無法獲得�����,因此對于NAT/Proxy代理共享上網(wǎng) 方式也能夠有效識別���。顯然��,本領域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍�����。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)��,則本發(fā)明也意圖包含這些改動和變型在內(nèi)�。
權(quán)利要求
一種共享上網(wǎng)用戶識別方法,其特征在于�,包括網(wǎng)絡側(cè)設備根據(jù)終端傳輸?shù)膫鬏斂刂茀f(xié)議TCP報文���,獲取與該終端對應的傳輸控制協(xié)議第一會話信息;將所述第一會話信息與認證通過的合法終端上報的已建立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配��;若存在與所述第一會話信息相匹配的所述第二會話信息��,則確認發(fā)送所述報文的終端為認證通過的合法終端��;否則�,確認發(fā)送所述報文的終端為共享上網(wǎng)用戶的非法終端。
2.如權(quán)利要求1所述的方法�����,其特征在于���,所述網(wǎng)絡側(cè)設備根據(jù)終端傳輸?shù)腡CP報文��, 獲取與該終端對應的傳輸控制協(xié)議第一會話信息��,具體包括網(wǎng)絡側(cè)的傳輸設備獲取終端發(fā)送的TCP報文����,對接收到的TCP報文進行分析���,根據(jù)所述 報文中攜帶的地址信息��、端口信息和接收到報文的時間�����,確定與發(fā)送報文的終端對應的傳 輸控制協(xié)議第一會話信息���;或網(wǎng)絡側(cè)的檢測服務器接收網(wǎng)絡側(cè)的傳輸設備發(fā)送的與發(fā)送報文的終端對應的傳輸控 制協(xié)議第一會話信息���,其中所述第一會話信息由所述傳輸設備獲取終端傳輸?shù)腡CP報文, 根據(jù)獲取到的傳輸?shù)腡CP報文中攜帶的地址信息����、端口信息和接收到報文的時間確定。
3.如權(quán)利要求2所述的方法���,其特征在于���,所述將所述第一會話信息與認證通過的合 法終端上報的已建立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配,包括網(wǎng)絡側(cè)的所述傳輸設備或檢測服務器接收認證通過的合法終端周期性上報的當前周 期內(nèi)創(chuàng)建的所述第二會話信息并存儲���;以及所述傳輸設備確定出所述第一會話信息時根據(jù)所述第一會話信息所對應的終端���,查找 是否存儲有與接收到的第一會話信息相匹配的該終端已建立的TCP連接的第二會話信息; 或所述檢測服務器接收到所述傳輸設備發(fā)送的所述第一會話信息時���,根據(jù)所述第一會話 信息所對應的終端��,查找是否存儲有與接收到的第一會話信息相匹配的該終端的已建立的 TCP連接的第二會話信息����。
4.如權(quán)利要求3所述的方法��,其特征在于���,所述認證通過的合法終端通過發(fā)送報文的 方式每次上報至少一個所述第二會話信息��。
5.如權(quán)利要求3所述的方法�����,其特征在于��,還包括當網(wǎng)絡側(cè)設備接收到認證通過的合法終端發(fā)送的上報傳輸控制協(xié)議第二會話信息的 報文中攜帶TCP連接的斷開信息時�,將該TCP連接對應的所述第二會話信息刪除;或根據(jù)設定的存儲時間范圍����,將設定時間范圍之外的所述第二會話信息刪除。
6.如權(quán)利要求1-5任一所述的方法���,其特征在于��,所述第一會話信息或第二會話信息�����, 具體包括源互聯(lián)網(wǎng)協(xié)議IP地址����,目的IP地址���、傳輸控制協(xié)議TCP源端口和TCP目的端口����。
7.如權(quán)利要求6所述的方法����,其特征在于����,所述第一會話信息或第二會話信息��,還包括 所述會話信息的開始時間和/或結(jié)束時間�����。
8.一種共享上網(wǎng)用戶識別系統(tǒng)����,其特征在于���,包括網(wǎng)絡側(cè)設備和終端����;所述網(wǎng)絡側(cè)設備��,用于根據(jù)所述終端傳輸?shù)膫鬏斂刂茀f(xié)議TCP報文���,獲取與該終端對 應的傳輸控制協(xié)議第一會話信息�����;將所述第一會話信息與認證通過的合法終端上報的已建 立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配����;若存在與所述第一會話信息相匹配的所述第二會話信息,則確認發(fā)送所述報文的終端為認證通過的合法終端�;否則,確認發(fā)送 所述報文的終端為共享上網(wǎng)用戶的非法終端�;所述終端,用于發(fā)送數(shù)據(jù)報文到網(wǎng)絡側(cè)設備���,以及上報傳輸控制協(xié)議第二會話信息給 網(wǎng)絡側(cè)設備�����。
9.如權(quán)利要求8所述的系統(tǒng)�����,其特征在于���,所述網(wǎng)絡側(cè)設備,包括傳輸設備和檢測服 務器��;所述傳輸設備���,用于獲取終端傳輸?shù)腡CP報文��,根據(jù)獲取到的傳輸報文中攜帶的地址 信息�、端口信息和接收到報文的時間,確定與該終端對應的傳輸控制協(xié)議第一會話信息����,并 發(fā)送給所述檢測服務器����;所述檢測服務器,用于接收到所述傳輸設備發(fā)送的所述第一會話信息��,將所述第一會 話信息與認證通過的合法終端上報的已建立的TCP連接的傳輸控制協(xié)議第二會話信息進 行匹配�����;若存在與所述第一會話信息相匹配的所述第二會話信息�����,則確認發(fā)送所述報文的 終端為認證通過的合法終端�����;否則,確認發(fā)送所述報文的終端為共享上網(wǎng)用戶的非法終端��。
10.如權(quán)利要求8或9所述的系統(tǒng)�,其特征在于,所述網(wǎng)絡側(cè)設備���,還用于當接收到認證通過的合法終端發(fā)送的上報傳輸控制協(xié)議第二會話信息的報文中攜帶 TCP連接的斷開信息時�����,將該TCP連接對應的所述第二會話信息刪除�;或根據(jù)設定的存儲時 間范圍�,將設定時間范圍之外的所述第二會話信息刪除。
11.一種共享上網(wǎng)用戶識別裝置���,其特征在于��,包括獲取模塊��,用于獲取與傳輸報文的終端對應的傳輸控制協(xié)議第一會話信息��;匹配模塊����,用于將所述第一會話信息與認證通過的合法終端上報的已建立的TCP連接 的傳輸控制協(xié)議第二會話信息進行匹配;確定模塊�����,用于若存在與所述第一會話信息相匹配的所述第二會話信息��,則確認發(fā)送 所述報文的終端為認證通過的合法終端�;否則,確認發(fā)送所述報文的終端為共享上網(wǎng)用戶 的非法終端�����。
12.如權(quán)利要求11所述的裝置��,其特征在于�����,所述獲取模塊���,具體用于獲取終端發(fā)送的TCP報文,對接收到的TCP報文進行分析�����,根據(jù)所述報文中攜帶的地址 信息、端口信息和接收到報文的時間����,確定與發(fā)送報文的終端對應的傳輸控制協(xié)議第一會 話信息;或接收網(wǎng)絡側(cè)的傳輸設備發(fā)送的與發(fā)送報文的終端對應的傳輸控制協(xié)議第一會話信息��, 其中所述第一會話信息由所述傳輸設備獲取終端傳輸?shù)腡CP報文��,根據(jù)獲取到的傳輸?shù)?TCP報文中攜帶的地址信息�、端口信息和接收到報文的時間確定。
13.如權(quán)利要求11所述的裝置���,其特征在于�,所述匹配模塊��,具體包括接收單元�����,用于接收認證通過的合法終端周期性上報的當前周期內(nèi)創(chuàng)建的所述第二會 話{曰息���;存儲單元�����,用于存儲接收單元接收到的所述第二會話信息���;匹配單元��,用于所述獲取模塊接收到所述第一會話信息時����,根據(jù)所述第一會話信息所 對應的終端��,查找是否存儲與接收到的第一會話信息相匹配的該終端已建立的TCP連接的 ~ 會話{曰息���。
14.如權(quán)利要求13所述的裝置��,其特征在于���,所述存儲單元��,還用于當所述接收單元接收到認證通過的合法終端發(fā)送的上報傳輸控制協(xié)議第二會話信息 的報文中攜帶TCP連接的斷開信息時���,將對應的所述第二會話信息刪除��;或根據(jù)設定的存 儲時間范圍��,將設定時間范圍之外的所述第二會話信息刪除����。
15. 一種網(wǎng)絡側(cè)設備,其特征在于����,包括如權(quán)利要求11-14任一所述的共享上網(wǎng)用戶 識別裝置。
全文摘要
本發(fā)明公開了一種共享上網(wǎng)用戶識別方法�、系統(tǒng)及裝置,該方法包括網(wǎng)絡側(cè)設備根據(jù)終端傳輸?shù)膱笪?�,獲取與該終端對應的傳輸控制協(xié)議第一會話信息�;將所述第一會話信息與認證通過的合法終端上報的已建立的TCP連接的傳輸控制協(xié)議第二會話信息進行匹配;若存在與所述第一會話信息相匹配的所述第二會話信息���,則確認發(fā)送所述報文的終端為認證通過的合法終端���;否則,確認發(fā)送所述報文的終端為共享上網(wǎng)用戶的非法終端���。該方法能夠有效的識別出共享上網(wǎng)的非法用戶��,識別準確性和可靠性高�����。
文檔編號H04L12/28GK101841445SQ20101015417
公開日2010年9月22日 申請日期2010年4月20日 優(yōu)先權(quán)日2010年4月20日
發(fā)明者王龍順 申請人:北京星網(wǎng)銳捷網(wǎng)絡技術(shù)有限公司