技術領域

本發明涉及互聯網技術領域，尤指一種在網絡通訊中識別共享上網用戶的共享上網用戶識別方法及裝置。

背景技術

在普通局域網中，只要能接到網絡設備上，不需要經過認證和授權即可直接使用該網絡，這不利于網絡管理員對網絡的實時監控，也引起了人們對網絡安全的擔憂。用于對網絡或設備訪問合法性進行認證的網絡認證成為網絡安全管理的有效手段，提高了網絡的安全性。

現有的網絡認證基本采用基于端口的網絡存取控制方式，為局域網(LocalArea?Network，LAN)用戶提供點對點式的安全接入認證。圖1為個人計算機網絡接入過程的簡單示例圖(當然也可以是其他接入終端)。安裝有認證客戶端軟件的個人計算機(Personal?Computer，PC)提交相關的認證信息給交換機進行認證，交換機將相關認證信息轉交給認證服務器進行確認。如果認證通過，交換機將相關的端口打開，交換機將學習到該PC的互聯網協議(InternetProtocol，IP)地址和媒體接入控制(Media?Access?Control，MAC)地址，并將其該PC與打開的相應接入端口(PORT)進行綁定，形成一個三元組(IP，MAC，PORT)。也就是說只有符合這個三元組條件的PC才能夠獲準接入LAN，并訪問相關的網絡資源。

現有的上述網絡認證方式，可能會導致出現下列兩種情況：

情況一：非法終端偽裝成認證用戶終端訪問網絡。

用戶終端認證成功后，可以作為合法終端訪問網絡資源時，其他未通過認證的終端(即非法終端)使用與其相同的IP和MAC地址，通過同一交換機接口也可以訪問到相關的網絡資源。

例如：如圖2所示，為非法終端偽裝成認證用戶訪問網絡資源的原理示意圖。其中，終端PC_a通過認證客戶端軟件發出認證請求時(如圖中步驟1所示)，交換機轉發相應信息，并提交認證服務器確認，如果通過認證，交換機就打開相應的PORT，允許滿足三元組(IP+MAC+PORT)的報文通過(如圖中步驟2所示)。此時，如果有另一接入終端PC_b通過集線器(HUB)與PC_a連在一起，并且仿冒終端PC_a的IP地址和MAC地址，那么PC_b也可以滿足三元組(P，MAC，PORT)，因此，終端PC_b不需要經過認證便可以使用PC_a的三元組訪問網絡資源(如圖中步驟3所示)，則網絡中存在假冒合法終端PC_a的IP地址和MAC地址的非法終端PC_b。

上述非法終端偽裝成合法終端上網，是802.1x認證固有的缺陷，除非是基于端口控制或者更具體的IP和MAC地址控制，否則一旦IP和MAC地址被人仿冒，標準的802.1x認證就無能為力了。

情況二：通過認證用戶代理的方式訪問網絡資源

用戶終端認證成功后，可以作為合法終端訪問網絡資源時，也可以作為其他用戶的代理服務器，其他終端則可以通過該合法終端連接網絡了。目前主要采用的代理方式有網絡地址轉換(Network?Address?Translation，NAT)和網絡代理Proxy，非法終端發送的報文都經過作為代理服務器的合法終端轉發，該報文經過代理服務器修改成代理服務器自身的信息，從而使得交換機認為該報文是合法終端報文并允許轉發。

如圖3所示為非法終端通過代理服務器上網的原理示意圖。

非法終端需要上網訪問網絡資源時，先把報文發送給作為代理服務器的認證用戶的終端，代理服務器再把報文的源MAC地址、源IP地址修改為本機的MAC和IP地址發送給交換機，由于交換機接收到的報文源MAC、源IP和端口信息是經認證用戶修改后的，因此，無法識別出該報文是非法終端發送的報文，該報文允許在網絡傳輸。

由于大量非法用戶對網絡造成擁塞，損害了合法用戶的利益，影響了合法用戶訪問網絡資源的速度和效率，因此有必要識別共享上網用戶進行有效的控制。而要檢測出上述通過使用與合法終端相同的IP、MAC地址上網或通過合法終端代理上網的共享上網的非法終端，目前比較常用的有下列兩種方式：

方式一：通過檢測報文的互聯網協議標識(IP?ID)來識別共享上網用戶。

由于假冒認證終端上網的非法終端和認證終端的IP地址和MAC地址雖然是相同的，但不同主機系統中IP報頭的ID字段是獨立的。

RFC?791中規定的IP報頭ID字段的特點包括：