[发明专利]一种影子用户检测方法、装置、设备和系统

说明书

技术领域

本发明涉及一种影子用户检测方法、装置、设备和系统，属于数据通信技术领域。

背景技术

IEEE 802LAN是美国电气电子工程师学会(Institute of Electricaland Electronic Engineers，简称IEEE)802委员会制定的局域网(LocalArea Network，简称LAN)，IEEE 802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如交换机)，就可以访问局域网中的设备或资源。

这种缺陷不利于网络管理员对网络的实时监控，也引起了人们对网络安全的担忧，网络认证就成了用户对网络或设备访问合法性认证的一种有效方法，并且提高了网络的安全性。

IEEE 802.1x是IEEE 802LAN标准中的一个。对于一个部署了802.1x认证的LAN，当用户(如个人电脑等)接入到LAN中时，需要通过802.1x认证，未经过认证的用户将无法接入到LAN中。

802.1x认证基本采用基于端口的网络存取控制，为局域网用户提供点对点式的安全接入。以电脑接入为例(也可以是其他接入终端)，一个简单的示意如图1所示，安装有802.1x认证客户端软件的个人电脑(Personal Computer，简称PC)将提交相关的认证信息给交换机进行认证，交换机将相关认证信息转交给认证服务器进行确认。如果认证通过，交换机将相关的端口打开，则连接此端口的电脑就可以使用网络了。

在802.1x中，只要认证通过了，交换机就会记录认证成功电脑的介质访问控制(Media Access Control，简称MAC)地址。只要是该MAC地址的数据，交换机就会认为是经过认证的电脑发送出来的，因此会放行这些数据。

如图2所示，如果有人采用在认证的交换机端口下增加一个集线器(HUB)，把两台电脑连接在HUB上。PC a安装有802.1x认证客户端，认证通过。而PC b仅仅通过把MAC地址修改成和PC a的MAC地址相同，就可以不用认证而非法使用网络。

针对图2中所示的缺陷，现有技术中比较普遍采用的解决办法就是在交换机的端口上，对认证过的电脑的因特网协议(Internet Protocol，简称IP)地址，MAC地址以及端口绑定在一起。而不是简单通过MAC地址来决定数据是否放行。

如图3所示给出了使用端口、IP、MAC三元素绑定的方案，此时PC b由于使用的IP地址与PC a不同，因此无法使用网络。但是三元素绑定方案还是存在一个漏洞，如果PC b将IP和MAC地址修改为与PC a的IP和MAC地址相同，则PC b还是可以通过不认证就可以使用网络，如图4所示。

从图4可以看出，当接入终端PC a通过认证客户端软件发出认证请求时，交换机转发相应信息，并提交认证服务器确认，如果通过认证，交换机就打开相应端口(PORT)，允许满足(IP+MAC+PORT)三元组认证条件的报文通过。此时如果有另一接入终端PC b通过HUB与PC a连接在一起，并且仿冒PC a的IP地址和MAC地址，那么PC b也可以满足三元组(IP+MAC+PORT)的认证条件，因此PC b此时不需要经过认证便可以访问网络资源。这样，网络中就出现了仿冒IP地址和MAC地址的终端可以不认证就访问网络的问题。

影子用户就是指非法用户企图不通过身份认证，而直接采用合法用户的IP地址和MAC地址的用户。如图4中的PC b即为影子用户。如果存在影子用户，那么只要被仿冒的用户上线，那么影子用户无需认证即可使用网络了，这无疑造成了认证和计费的漏洞。

针对影子用户带来的逃费、仿冒欺骗的危害，目前主要的影子用户检测方法为协议请求应答法。这类方法主要通过某些网络协议自身的请求应答机制，根据发出的请求数与收到的应答数是否一致来进行检测。但其破解方法也是利用这一点，设置对应协议的防火墙即可逃避检测。目前用到的协议方法有：

1)ARP扫描法

网络设备周期性的通过地址解析协议(Address ResolutionProtocol，简称ARP)扫描，针对主机对于ARP请求报文应答进行识别处理，如果同一个ARP请求出现多个应答，则必然存在影子用户。基于ARP协议的处理能够一定程度发现影子用户存在，但无法区分谁是正常合法的用户。现有的主机控制软件或ARP防火墙能够轻松实现对于ARP请求的不处理，使得ARP扫描法失效。

2)ICMP扫描法